企业网网络安全系统设计建议书.doc

1、企业网络安全系统设计建议书企业网网络安全系统设计建议书 目录1概述41.1企业建立网络安全系统的必要性41.2安全建议书的设计原则41.3安全技术体系分析模型介绍51.3.1安全服务维51.3.2协议层次维61.3.3系统单元维61.4安全技术体系的理解及实践61.4.1安全体系的理解61.4.2构建安全系统的基本目标71.4.3网络安全系统的技术实施72应用需求分析92.1网络基础层安全需求分析92.1.1Internet连接安全保护92.1.2广域网连接的安全保护92.1.3虚拟连接广域网的安全保护112.1.4其他安全保护辅助措施112.2系统安全需求分析122.3应用安全管理需求分析1

2、22.3.1主机系统122.3.2网络设备安全管理132.3.3移动用户的访问控制访问132.3.4VPN上的认证132.3.5应用层安全保护142.4应用对安全系统的要求分析142.4.1网络应用系统的现状及发展说明142.4.2面向应用系统的防火墙系统设计要求153安全系统实现目标163.1网络基础层安全系统建设目标163.1.1Internet及Extranet进出口控制163.1.2VPN应用163.1.3防火墙系统的功能实现要求总结173.2应用辅助安全系统的建设目标174网络安全系统的实施建议194.1系统设计的基本原则194.2安全系统实施步骤建议194.3防火墙系统实施建议20

3、4.3.1Internet进出口控制204.3.2广域网进出口控制234.3.3虚拟连接广域网出入口控制264.4VPN系统设计264.4.1广域网链路加密274.4.2虚拟连接组网建议274.4.3虚拟连接通信加密294.5防火墙系统集中管理294.6防火墙选型设计说明304.6.1评价防火墙产品的基本要素314.6.2评价防火墙的一般方法314.6.3几种流行防火墙产品的比较321 概述建设功能强大和安全可靠的网络化信息管理系统是企业实现现代化管理的必要手段。如何构建企业安全可靠的网络系统是本建议书的目的。本建议书是本公司为企业提出的“网络安全系统设计建议书”，建议书只针对网络基础设施安全

4、系统向企业提交网络安全的设计及实施建议，将不涉及其他部分的内容，如“数据安全系统”等。1.1 企业建立网络安全系统的必要性毫无疑问，不需要任何形式的“说教”，在信息和网络被广泛应用的今天，任何一个网络管理或使用者都非常清楚，所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。企业的网络同样存在安全方面的风险问题。对于大多数网络黑客来说，成功地侵入一企业特别是著名企业的网络系统，具有证明和炫耀其“能耐”的价值，尽管这种行为的初衷也许并不具有恶意的目的；窃取企业的网络数据，甚至破坏其网络系统，更加具有现实和长远的商业价值。因此，企业网络建立完善的安全系统，其必要性不言而喻。1.2 安全

5、建议书的设计原则网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。在设计企业的网络安全系统时，我们将遵循以下原则：体系化设计原则通过分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。全局性、均衡性、综合性设计原则安全建议书将从企业网络整体建设角度出发，提供一个具有相当高度、可扩展性强的安全解决方案；从企业的实际情况看，单纯依靠一种安全措施，并不能解决全部的安全问题。本建议书将考虑到各种安全措施的使用。本安全建议书将均衡考虑各种安全措施的效果，

6、提供具有最优的性能价格比的安全解决方案。安全需要付出代价（资金、性能损失等），但是任何单纯为了安全而不考虑代价的安全建议书都是不切实际的。建议书同时提供了可操作的分步实施计划。可行性、可靠性、安全性作为一个工程项目，可行性是设计企业安全方案的根本，它将直接影响到网络通信平台的畅通；可靠性是安全系统和网络通信平台正常运行的保证；而安全性是设计安全系统的最终目的。1.3 安全技术体系分析模型介绍安全方案必须架构在科学的安全体系和安全框架之上，因为安全框架是安全方案设计和分析的基础。为了系统、科学地分析网络安全系统涉及的各种安全问题，网络安全技术专家们提出了三维安全体系结构，并在其基础上抽象地总结了

7、能够指导安全系统总体设计的三维安全体系（见图1-1），它反映了信息系统安全需求和体系结构的共性。具体说明如下：图1-1安全框架示意图1.3.1 安全服务维安全服务维（第一维，X轴）定义了7种主要完全属性。具体如下：身份认证，用于确认所声明的身份的有效性；访问控制，防止非授权使用资源或以非授权的方式使用资源；数据保密，数据存储和传输时加密，防止数据窃取、窃听；数据完整，防止数据篡改；不可抵赖，取两种形式的一种，用于防止发送者企图否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认；审计管理，设置审计记录措施，分析审计记录；可用性、可靠性，在系统降级或受到破坏时能使系统继续完成其功

8、能，使得在不利的条件下尽可能少地受到侵害者的破坏。1.3.2 协议层次维协议层次维（Y轴）由ISO/OSI参考模型的七层构成。与TCP/IP层次对应，可以把会话层、表示、应用层统一为“应用层”。1.3.3 系统单元维系统单元维（Z轴）描述了信息网络基础构件的各个成分。通信平台，信息网络的通信平台；网络平台，信息网络的网络系统；系统平台，信息网络的操作系统平台；应用平台，信息网络各种应用的开发、运行平台；物理环境，信息网络运行的物理环境及人员管理。1.4 安全技术体系的理解及实践贯穿于安全体系的三个方面，各个层次的是安全管理。通过技术手段和行政管理手段，安全管理将涉及到各系统单元在各个协议层次提

9、供的各种安全服务。1.4.1 安全体系的理解在图1-1的安全体系分析模型中，完整地将网络安全系统的全部内容进行了科学和系统的归纳，详尽地描述了网络安全系统所使用的技术、服务的对象和涉及的范围（即网络层次）。对于上图的理解，不妨简单说明如下：安全服务维是网络安全系统所提供可实现的全部技术手段；网络协议维是网络安全系统应该将所采纳之安全技术手段实施的范围；系统单元维是网络安全系统应该提供安全保护的对象。作为一个现实的网络安全系统，首先要考虑的是安全建议书所涉及的有哪些系统单元，然后根据这些系统单元的不同，确定该单元所需要的安全服务，再根据所需要的安全服务，确定这些安全服务在哪些OSI层次实现。1.

10、4.2 构建安全系统的基本目标在上述的三维结构的安全体系中，安全服务维是向网络系统的各个部分和每一个层次，提供安全保证的各种技术手段和措施。虽然并不是每一个应用网络都需要安全服务维提出的所有手段，但是对于一个包含各种应用和具有一定规模的企业网络，这些安全措施应该都基本具备，因此安全服务维所涉及的所有安全服务措施，是网络安全系统的基本建设目标。根据我们对企业网络系统应用现状的认识，以及未来将要实现的各种应用目标了解，我们认为企业网络安全系统，最终需要全部实现图1-1中安全服务维所提出的基本技术手段。1.4.3 网络安全系统的技术实施构筑网络安全系统的最终目的是对网络资源或者说是保护对象，实施最有

11、效的安全保护。从网络的系统和应用平台对网络协议层次的依赖关系不难看出，只有对网络协议结构层次的所有层实施相应有效的技术措施，才能实现对网络资源的安全保护。针对一般网络系统的结构和应用要求，为了达到保护网络资源的目的，必须在网络协议层实施相应的安全措施，如下表1。表1 （ * 表示需要实施）物理层数据链路层网络层传输层会话层表示层应用层认证*访问控制*数据保密*数据完整性*不可抵赖性*审计*可用性*在本建议书中，我们建议企业网络系统通过防火墙系统、VPN应用系统、认证系统和网络漏洞扫描及攻击检测系统实现表1中的安全手段实施。2 应用需求分析企业网络结构将会包括企业内部网络Intranet和企业互

12、联网络Extranet，同时网络连接Internet，满足互联网访问、WWW发布、外部移动用户应用等需求。本章将根据企业网络系统的结构及应用，详细分析企业网络系统的安全需求。2.1 网络基础层安全需求分析网络基础层（在此网络基础层是指网络通信链路、路由/交换设备、网络节点接口设备/网卡包括了OSI物理层到传输层设备的集合）作为现代计算机信息系统不可缺或的基础设施部分，其安全性是每一个用户最为关心的问题。从企业的应用网络结构分析，企业网络层的安全涉及到Internet连接安全、广域网连接安全、应用系统内部资源网络连接安全保护几方面的安全问题。2.1.1 Internet连接安全保护企业在网络应用

13、中有三种情况需要进行Internet连接，即向外大众用户提供业务和宣传信息服务、公司内部用户和外界的电子邮件往来、通过互联网在异地进行业务办公的移动用户服务等。由此企业企业网必须向外“开门”，象所有连接互联网的企业网一样，企业网不可避免地存在，遭受到来自外部的恶意攻击和破坏、各种各样病毒传播的可能性。因此，在Internet出入口连接点，必须采取措施进行保护 布置防火墙系统，对集团总部的Internet出入口实施有效的控制，包括进出的数据检查和资源访问的控制。另外，仅仅设置1台防火墙，容易出现单点故障，为了保证网络对外的7X24小时不间断服务，还必须考虑网络安全设备的冗余配置。2.1.2 广域

14、网连接的安全保护企业部分异地的下属企业和部门将通过广域网的方式与绵阳总部进行连接。因此企业的网络系统从其结构而言是一个在物理上广域连接的企业网络系统，我们认为企业广域连接的网络系统必须考虑两方面的安全措施：（一）网络通信加密（VPN应用）广域网络通信连接将通过第三方链路进行。尽管租用电信或其他传输服务提供商的专用链路传输数据的安全性会高于通过Internet传输，但是由于第三方提供的专用链路所使用的设备是公共的，其安全性具有相对性，不仅在链路上传输的数据存在被窃取的可能，同时也存在由于链路供应商安全管理和保护措施不完善的原因，导致被别有用心者有可能通过盗接而非法访问网络资源的风险，在国内就曾有类似的案件发生 非法分子通过在公共设备上偷偷接入自己的电脑，窃取了别人的股票交易帐户资料，盗用他人的帐户进行证券交易而非法获利。如果仅仅是窃取资料对于网络系统本身也许不会产生太严重的破坏，但是假设盗接者是一个恶意攻击者，即使仅仅是一个普通的网络高手，把在网络通信链路上截取的数据进行篡改或者置换，再通过网络链路将属性被异动的数据对系统进行回放，其对网络系统可能造成的破坏程度是用户无法预计的。现有的设备和技术手段要实现以上的非法目的不难，如果仅仅是通过盗接来窃取资料，只需要物理上存在接入的可能（实际上目前国内所有的链路服务