火电建设公司网络安全保障方案建议书.doc

XX火电建设公司网络安全方案天融信网络安全技术有限公司2010年3月目 录1.概述31.1.项目背景及需求31.2.项目目标32.用户需求分析52.1.安全需求分析52.1.1.网络安全的需求52.1.2.管理安全的需求83.安全措施设计83.1.设计目标83.2.设计原则84.应用安全解决方案104.1.VPN系统设计114.2.网络入侵防御系统设计114.3.内网管理和安全准入设计124.4.网络防病毒设计144.5.病毒过滤网关设计154.6.安全隔离与信息交换系统的设计175.安全建设效果176.设备配置清单196.1.XX火电建设公司安全产品清单197.安全产品说明207.1.天融信TOPVPN 6000网关简介207.2.天融信入侵防御系统产品介绍257.3.盈高多维安全准入控制系统简介297.4.江民网络版杀毒软件产品介绍347.5.天融信防病毒过滤网关简介387.6.国保金泰安全隔离与信息交换系统产品介绍391. 概述1.1. 项目背景及需求XX火电建设公司网络系统经过多年建设和运行，虽然目前能基本满足业务系统的安全需求，但网络中存在着自然和人为等诸多因素的脆弱性和潜在威胁。尤其是在开放的网络环境下，信息系统不可避免会受到来自各个方面的各种主动或被动的人为攻击，如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等。XX火电建设公司网络中不时出现的ARP攻击和U盘带有病毒或木马接入网络，也是困扰网络管理者和用户的迫切需要解决的问题。XX火电建设公司业务系统数据敏感程度高，对数据采集、处理、传输和存储自然提出了更高的要求。随着信息技术的发展，系统的安全性也就成了重中之重，针对现有网络进行安全加固和安全建设迫在眉睫。通过在现有基础上对信息系统进行全面的安全风险评估、需求分析和升级改造，并结合XX火电建设公司业务系统自身特点和等级保护相关要求重新进行信息安全保障体系的整体规划和整改建设，从而增强XX火电建设公司信息系统安全保障能力。1.2. 项目目标通过安全升级建设后的XX火电建设公司网络系统必须具备高度的安全性、可靠性和稳定性，为各项业务系统和办公系统的应用搭建好一个高效、安全、稳定的平台。本方案是在充分调查和了解XX火电建设公司信息网络建设情况，结合国家相关政策和标准而进行的规划和设计，为XX火电建设公司网络安全而提出规划性建议，实现以下的设计目标：信息网络保密性目标确保XX火电建设公司网络中的信息只能被授权的人员访问，具体防护目标包括：Ø 信息系统不会被越权访问，只有授权用户在经过鉴别后，防可发起访问，获取相关信息；Ø 信息系统的合法访问身份具有“唯一性”，并且身份无法被复制，在网络中无法被假冒；Ø 信息系统中存储的数据也需要有防非法拷贝措施，对于信息的合法复制、拷贝、删除等操作，有相应的日志信息，并且日志信息可以追查到用户的身份。信息网络可用性目标XX火电建设公司的可用性目标指要确保已授权用户在需要时，可以正常访问XX火电建设公司中的信息和相关资产。可用性破坏是指XX火电建设公司所提供服务的中断，授权人员无法访问XX火电建设公司和信息。对于XX火电建设公司来讲，可用性目标是保障XX火电建设公司授权用户能够及时、可靠地访问信息、服务和系统资源。在本方案中重点考虑的可用性保护目标包括两个方面：Ø 确保XX火电建设公司所提供服务的可用性；Ø 确保XX火电建设公司中存储、传输和处理的信息的可用性。信息网络完整性目标XX火电建设公司的完整性目标指要确保XX火电建设公司中信息及信息系统的准确性和完备性。针对XX火电建设公司，完整性破坏是指对XX火电建设公司的信息和信息系统的未授权修改和破坏，导致错误信息被传递或被存储。本方案中重点考虑完整性保护包括以下几个方面：Ø 系统能够检测到管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏，并且在检测出错误时，系统能够采取相应的措施；Ø 系统能够检测到管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏，并且在检测出错误时，系统能够采取相应的措施；Ø 系统完整性目标还体现在XX火电建设公司信息系统自身的完整性，从物理环境、基础网络、操作系统、数据库系统、党政内网应用系统等每一个组成部分的完整性。2. 用户需求分析2.1. 安全需求分析2.1.1. 网络安全的需求网络是信息系统赖以存在的实体，离开了网络平台，信息的传递、业务的开展将无从依托，因此如何保障网络的安全，是构建XX火电建设公司系统安全架构的基础性工作，对于XX火电建设公司来讲，网络安全主要解决运行环境的安全问题，对应网络层安全威胁，网络安全主要的技术手段包括边界防护技术、检测与响应技术等，对照XX火电建设公司的实际情况，我们看到其存在以下的安全需求：基于XX火电建设公司对访问合理性缺乏控制的风险，为防范对XX火电建设公司系统非授权的访问和越权访问的发生，必须采用强制的访问控制措施，通过访问控制策略，限制信息网络中的访问，确保只有严格执行安全策略的访问才能被转发。2.1.1.1. VPN升级的需求XX火电建设公司各项目部、分支机构主要是通过INTERNET和XX火电建设公司进行数据交换共享，这样满足了各部门相关工作可以利用现有的网络设备，花费较少的投资就能实现信息异地传输共享，但由于广域网各节点间是通过公网INTERNET进行信息传输，存在非法访问和信息被窃听、泄漏的风险。我们在广域网上发送和接收信息时要保证：l 除了发送方和接收方外，其他人是不可知悉的（隐私性）；l 传输过程中不被窜改（真实性）；l 发送方能确信接收方不会是假冒的（防假冒）；l 发送方不能否认自己的发送行为（抗否认）。VPN解决方案是建立安全传输通道的最专业最领先的发展方向。利用公共网络来构建的私有网络称为虚拟专用网络（Virtual Private Network），它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。随着业务的发展，原防火墙自带VPN模块难以满足加密业务性能要求，需要对原有的VPN系统进行改造升级。2.1.1.2. 入侵防御的需求针对XX火电建设公司，其关键资源就是数据，而这些数据就存放在系统重要服务器的操作系统之上。所以，操作系统本身的安全性是至关重要的。但是遗憾的是不管是普遍采用的UNIX还是Windows操作系统，其安全性都是远远不够的，访问控制粒度、超级用户的存在以及不断被发现的安全漏洞是操作系统存在的几个致命性问题。因此针对这些重要的服务器，仅通过补丁还是无法满足其日益突出的安全风险，系统需要其重要的服务器从根本上提升安全防护能力，需要在不影响现有业务的情况下，从根本上提升服务器操作系统的安全性，削弱超级用户的权限，并且高强度抵御安全威胁最严重的缓存区溢出攻击问题。针对系统安全防御，存在以下的安全需求：Ø 能够有效对超级用户的权限进行削弱和再分配；Ø 基于时间、地点、访问手段等多种限制条件形成完整的策略数据库，能够针对重要的服务器系统，进行细粒度的访问控制；Ø 能够对服务器的文件、进程、服务、注册表、外设、共享资源等资源的全方位保护；Ø 能够对服务器上的关键文件和关键业务程序的防篡改保护；Ø 能够防止通过木马和后门实施的攻击；2.1.1.3. 多维终端安全管理和准入控制的需求随着网络技术的广泛应用，网络环境中的安全问题正威胁着用户的正常工作，目前边界安全技术及产品已非常成熟，从2003-2008年的网络安全情况来看，尽管大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施（如防火墙、入侵检测、漏洞扫描）等方式保证自己的网络安全，但是，对类似下面的安全问题仍然无法做到真正意义上的解决：Ø 如何防范频繁出现的内部攻击？Ø 如何及时发现桌面设备的系统漏洞并最快自动分发补丁；Ø 如何规范、方便、有效、安全地管理移动存储设备的日常使用，如何确保没有登记的移动存储设备无法在内部网络正常使用？Ø 如何防范用户绕过防火墙等边界防护设施，直接联入外网带来的严重安全隐患的行为？ Ø 如何确保需控制的岗位严格执行上班时间不允许炒股、玩游戏、聊天等管理制度？Ø 如何为每台终端设备加固安全策略，减少日常用户使用的安全事故？Ø 如何快速有效的定位网络中病毒、黑客的引入点，快速、安全的切断安全事件发生点和相关网络。Ø 如何控制外来笔记本电脑以及其它移动设备的随意接入问题？Ø 如何有效管理计算机设备资源，确保资产的不丢失？ Ø 如何优化IT运行维护流程，降低运维成本？为保证移动办公用户的安全，防御未知的黑客攻击、内部攻击、内部信息泄露，对XX火电建设公司网络的全面掌控以及加强每一台内网设备的安全策略，解决安全问题是迫在眉睫的！2.1.1.4. 病毒防御的需求病毒过滤网关作为一个专门的硬件防病毒设备，只要安装在网络的入口处，就可以保护内部局域网免受各类病毒，木马的和垃圾邮件的干扰。病毒过滤网关实时检查进入内部网络的数据流，当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件，保护内部的服务器和工作站设备，同时对用户是完全透明的。2.1.2. 管理安全的需求如前所术，管理安全主要考虑的是“人”的因素，即在安全建设及维护的过程中，如何通过“人”来对技术进行安全的“操作”和“配置”，针对XX火电建设公司，在管理方面存在以下需求：Ø 需要建立完善的机房管理制度，确保重要的安全区域内，只有授权的人员才能进入；Ø 需要建立完善的网络与安全人员管理制度；Ø 需要定期进行培训，提升网络管理人员的技术水平，还需要对全员进行安全意识的培训；Ø 需要对重要的信息资产进行统一的管理，防范信息资产被破坏或窃取；Ø 需要对异构的信息安全平台实现统一的策略下发，安全事件集中关联分析，从而最大化发挥信息安全平台的防护功效。3. 安全措施设计3.1. 设计目标根据XX火电建设公司的网络安全需求，综合运用各类技术防范措施与管理手段，构筑其网络完整、安全、可靠、可控的安全防护体系，最大限度地消除应用系统目前存在的安全隐患及漏洞，提供完善安全防护，确保内部网络信息的保密性、完整性、可用性及可审性、抗抵赖性。3.2. 设计原则XX火电建设公司信息网安全体系的建设应遵循国家相关信息安全保障体系建设的总体原则，按照统一规划、统一标准、适度超前；重点部门推进、分步实施；互联互通、资源共享、安全保密；以需求为导向、以应用促发展的原则进行建设，严格遵从以下的建设原则：坚持综合防范的原则坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护XX火电建设公司信息资源的利益，维护国家安全。管理与技术并进的原则XX火电建设公司信息网是一个高技术的系统工程，要实现系统的安全保密的功能和性能，既要采取先进的安全技术，又要对已建立的系统实施有效的安全管理，在进行安全技术基础设施建设时应注意建立配套的运行管理机制和安全规章制度。经济实用性原则XX火电建设公司信息网安全体系设计时，既要考虑安全风险和需求，又要考虑系统建设的成本，在保证整体安全的前提下，尽可能的减少投资规模，压缩开支。优化系统设计，合理进行系统配置，所采用的产品，要便于操作、实用高效。标准化原则技术的标准化是信息系统建设的基本要求，也是电子化和信息化的前提。XX火电建设公司信息网安全体系是一个较大的系统工程，结构复杂，设备种类多，应用多种多样，为了保证信息的安全互通互连，确保安全保障体系建设的典型意义和全面推广应用价值，必须严格遵循国家和有关部门关于信息系统安全管理的规定及建设规范，按照统一的标准进行设计。适度安全原则任何信息系统都不能做到绝对的安全，XX火电建设公司信息网也不例外。因此，在安全体系设计时，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。4. 应用安全解决方案遵循网络安全设计原则，深入理解XX火电建设公司安全需求，结合天融信公司在网络安全设计和评估的强大实力与经验，建立XX火电建设公司系统安全防护体系解决方案。安全产品配置如下：4.1. VPN系统设计由于原有防火墙自带的VPN模块在大流量工作时性能难以保证业务应用需求，因此需要对原有的防火墙进行升级，建议配置专用的VPN网关系统以实现各项目部和出差移动用户的安全接入。VPN设备放置位置：本方案中的VPN设备是利用天融信TopVPN 6000多合一网关、天融信防火墙和客户端构成。VPN设备作用：利用互联网与其它VPN客户端软件建立独立私有隧道，从而保证地市及区县知识产权局既能方便的接入XX火电建设公司网络，又能保护数据在互联网上的传输过程中不被非法窃取、篡改而造成泄密损失。使XX火电建设公司在远程数据通信时，既可达到专线的保密性，也可以最大限度的节省开支。在本方案中构造一个以天融信TopVPN 6000网关为核心，多种安全技术和产品互动，协同工作的网络安全体系。为客户提供了一种真正完整的，动态的网络安全解决方案。其中XX火电建设公司TopVPN 6000网关对内部服务器系统、远程数据通信进行加密保护，各个移动拨号用户采用VRC客户端进行远程数据通信加密保护；天融信Top VPN 6000网关可以实现内外网或内网与不信任域之间的隔离与访问控制，可以做到网络间的访问控制需求，过滤一些不安全服务，可以针对协议、端口号、时间、流量等条件实现安全的访问控制，同时天融信Top VPN 6000网关具有很强的记录日志的功能，可以对您所要求的策略来记录所有不安全的访问行为。VPN产品不仅可以作为一种简单的网络访问控制设备，而且对其它安全产品具有协同工作，集中管理功能。4.2. 网络入侵防御系统设计随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P 下载、IM 即时通讯、网游）等极大地困扰着用户，尤其是混合威胁的风险，给信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各个企业所面临的问题。面对这些问题，传统的安全产品已经无法独立应对。传统防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码；无法发现内部网络中的攻击行为。入侵检测系统IDS 旁路部署在网络上，当它检测出黑客入侵攻击时，攻击可能已到达目标造成损失，无法有效阻断各种攻击；入侵检测系统IDS 侧重网络监控，注重安全审计，适合对网络安全状态的了解。入侵防御系统使用的目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要，首先它能够对付来自内部网络的攻击，其次它能够缩短黑客入侵的时间。入侵防御系统以实时性、动态检测和主动防御为特点，有效弥补了防火墙等静态防御工具的不足。目前网络入侵安全问题主要采用基于网络与基于主机的入侵防御系统等成熟产品和技术来解决。通过在综合服务网段中部署入侵防御系统可以实现：在网络环境下实现实时地分布协同地入侵检测，全面检测可能的入侵行为。及时识别各种黑客攻击行为，发现攻击时，阻断弱化攻击行为、并能详细记录，生成入侵检测报告，及时向管理员报警。按照管理者需要进行多个层次的扫描，按照特定的时间、广度和细度的需求配置多个扫描。在XX火电建设公司网络中我们在核心服务器区入口设计部署一台天融信网络卫士TopIDP 3000入侵防御系统产品，同时对数据报文进行安全过滤，以实现对服务器区的访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能，并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，为XX火电建设公司提供完整的立体式网络安全防护，为数据大集中保驾护航。4.3. 内网管理和安全准入设计XX火电建设公司内网主要用于特定的信息处理的网络，因此该网络规定必须满足内部管理要求的人员、设备才能入网，并且操作行为符合规范要求。而实际上，内网安全管理存在以下问题：n 如何确保入网设备均为合法终端？当前情况下，各类智能终端、移动笔记本携带方便，由于缺乏一套行之有效的管理系统，很难确保入网的设备均为合法终端。n 内网做到真正隔离了？终端如果带出外网上了互联网再接入内外怎么办？如果有私下自动拨号上网怎么办？n 外来机器可以随意接入？假设外来的一台笔记本电脑带到局内网中，随便找一个网络端口接入怎么办？虽然我局已经有一套IP与MAC绑定的系统，但是很容易伪造一台内网中的机器IP与MAC信息，轻松接入内网并且无法检查接入机器的安全健康状态。n 怎么知道内部机器是安全的？如何保证内部PC机的操作系统没有漏洞，补丁全部打齐呢？如何保证所有的机器杀毒软件版本及病毒库都更新到最新呢？如何来保证终端用户的账号密码是具有一定强度的呢？n 内网机器如果存在安全隐患，怎么办？如何保证接入内网中的终端是处于健康状态的呢？同时如果存在安全隐患的终端又有什么样的机制或者平台来为他们修复安全隐患做保障呢？甚至强制让内网机器修复其安全隐患！n 如何将异常状态的终端快速隔离？如何快速有效的定位网络中病毒、黑客的引入点，快速、安全的切断安全事件发生点和相关网络？因此，部署网络安全准入控制系统是加强内网安全管理的必要措施。建议在XX火电建设公司内网部署网络安全准入控制系统以实现外部机器的安全接入。网络安全准入控制系统对所有入网设备进行身份认证，支持包括MAC地址、IP地址、基于用户名和密码的身份、接入设备端口、所在VLAN等信息，还支持U-KEY、支持智能卡、数字证书认证，LDAP、无缝结合域管理。网络安全准入系统提供了一整套基于全网的、覆盖全端点的安全管理平台，从设备入网、安全检查、隔离、修复等整个周期进行安全管理。通过内网管理和安全准入控制系统的统一策略部署，可以对XX火电建设公司全网以及各个项目部、出差移动用户接入的终端设备建立各种安全检查与评估任务，实时的了解目前网内设备的风险状况，并进行合规性检测，避免有安全隐患的机器接入劳动局网络。4.4. 网络防病毒设计国家计算机病毒应急处理中心日前公布的2008年中国计算机病毒疫情调查技术分析报告显示，我国计算机病毒感染率在连续两年呈下降趋势后，今年又出现较大反弹，达到91.47。 在受病毒感染的用户中，感染病毒3次以上的用户达53.64，仍维持在较高水平。 调查显示，趋利性成为计算机病毒发展的新趋势。网上制作、贩卖病毒、木马的活动日益猖獗，利用病毒、木马技术进行网络盗窃、诈骗的网络犯罪活动呈快速上升趋势，制约了我国网络银行的普及应用，网上治安形势非常严峻。 “密码、账号被盗”现象猛增，成为病毒危害的新特点。2008年密码被盗占调查总数的14.24。这是由于当前木马、病毒很多具有盗窃用户敏感信息的特点，并且犯罪分子将木马、病毒和相关技术作为从事网络犯罪活动的主要工具和手段。 近年来病毒功能越来越强大，不仅拥有蠕虫病毒传播速度和破坏能力，而且还具有木马的控制计算机和盗窃重要信息的功能。2006年“熊猫烧香”这一复合型病毒的出现改变了病毒制作者的想法。他们发现，利用蠕虫的传播能力和多种传播渠道，可以更快、更多的帮助木马传播，从而攫取更大的非法经济效益。“熊猫烧香”病毒在几个月的时间里感染了数以万计的机器，疯狂下载、运行各种木马程序，给被感染的用户带来重大损失。继“熊猫烧香”之后，复合型病毒成为了病毒制作者的新宠儿，这一类型的病毒大量出现，比如仇英、艾妮等病毒。 同时，网上贩卖病毒、木马和僵尸网络的活动不断增多，且公开化。利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。 通过在XX火电建设公司网络系统部署江民网络版杀病毒软件，通过运用集中式管理，分布式查杀先进的技术理念，可以实现XX火电建设公司网络全面防范的安全需求，定时全网升级全网杀毒，全网系统漏洞检查，垃圾邮件识别，流氓软件清除，全网防木马，未知病毒克星，系统启动前杀毒，移动存储接入杀毒，系统修复，注册表自动修复，实时监控，全网布防，分级分组远程管理，集中权限，安全预警，一键处理，无忧网管。功能强大的控制中心与子控制中心配合可以有效的将各个劳动保障部门有机的结合进行全面的防病毒管理，可减轻网络管理员的管理强度，提升网络整体管理效率。 4.5. 病毒过滤网关设计建议在XX火电建设公司外网出口边界部署专门的天融信网络卫士TopFilter 7000病毒过滤网关系统，串接在防火墙后端，一方面可以适当减少需要过滤网关处理的数据量，另一方面也可以保护过滤网关系统自身不受外界的恶意攻击。实时检查进入内部网络的数据流，当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件，保护内部网络中的服务器和工作站设备，同时对用户是完全透明的。部署后可防止来自外部网络的病毒和恶意代码进入XX火电建设公司网中，同时也防止病毒传播扩散占用纵向接入出口带宽。另外防病毒网关需要内置硬件BYPASS功能，当设备出现软件、硬件及电源故障时快速、自动切换到直通状态，保障网络可用性。 网关防毒系统部署后所达到的效果：l 阻止99以上的病毒传播据ICSA病毒流行性调查结果，电子邮件和Internet互联网已成为病毒传播的绝对主要途径。99%的病毒都是通过SMTP、HTTP和FTP协议进入用户的计算机。病毒过滤网关作为一个专门的硬件防病毒设备，安装在因特网网关处，实时检查进入网络的数据流，保护网络内部的服务器和工作站设备免受各类病毒，蠕虫，木马和垃圾邮件的干扰。病毒过滤网关可处理以下协议：SMTP、POP3、HTTP、FTP和IMAP，及时清除进出网关的邮件病毒、蠕虫攻击包，对进出网关的垃圾邮件、关键字进行过滤，对进出网关的Web访问、FTP访问行全面防毒扫描，彻底阻断因特网病毒的传播途径。l 弥补网络版防病毒产品的不足网络版防毒软件无法拦截攻击操作系统和应用软件安全漏洞的新型蠕虫（如SQLSlammer），而且需要投入较多的管理精力，往往会因为用户防病毒意识薄弱或对防毒产品配置不当而极大地影响防病毒能力。病毒过滤网关作为一个专门的硬件防病毒设备，只要安装在网络的入口处，就可以保护内部局域网免受各类病毒，木马的和垃圾邮件的干扰。病毒过滤网关实时检查进入内部网络的数据流，当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件，保护内部的服务器和工作站设备，同时对用户是完全透明的。l 自动在线升级病毒过滤网关可以按照管理员设定的更新策略自动连接到厂商的升级服务器，升级最新的病毒库，保证网络得到最有效的防病毒保护。l 统计报表功能防病毒网关提供了详细的报告，能够按照用户配置的参数查询相关的数据生成多种格式的图形化统计报表，形象直观，方便管理员的管理工作。报表中可以记录病毒的数目，主要病毒所占比例等信息，并且可以记录所有的网络活动情况。这些数据可以帮助管理员更好的规划网络需求和对防病毒网关进行配置。同时，这些用户需要的报表可以发送到管理员预先配置的邮箱，以供进一步的信息查询。l 强大的监控功能防病毒网关提供强大的监控功能，可以监控过滤网关系统资源、网络流量、当前会话数、当前病毒扫描信息等，极大地方便管理员对过滤网关进行监控。l 报警功能报警配置用于当某个病毒突然爆发时，防病毒网关可向网络管理员发送报警信息。l 内置Bypass功能利用防病毒网关内置的硬件BYPASS功能，当设备出现软件、硬件及电源故障时快速、自动切换到直通状态的功能，保障网络可用性。通过部署网关防病毒设备，以解决桌面杀毒软件无法解决的防病毒难题：n 检测阻断SQLSlammer等的新型蠕虫的功击，这是传统的防病毒软件所做不到的。n 防病毒软件部署率不高，有漏装n 防病毒软件病毒特征码没有及时更新或者禁用n 防病毒软件配置不当影响了防病毒的能力n 客户机及服务器没有及时安装系统补丁使用网关防病毒设备和网络版防病毒软件配合工作形成整体的防病毒体。4.6. 安全隔离与信息交换系统的设计考虑XX火电建设公司内部网与外部网相连的安全风险，就必须先对内、外网进行隔离并做访问控制。隔离要求在国内首先由国家保密局提出并且已经严格在涉密网内执行，而隔离交换技术目前也已经在技术上取得了实质的突破并在网络安全领域内受到了广泛关注。国保金泰安全隔离与信息交换系统工作在内部网络和外网交换机之间,即处于内部网络的网关位置。国保金泰安全隔离与信息交换系统(安全隔离网闸)可以截获所有在网络上传输的数据包,并通过解析数据包头来判断信息的流向,进而将数据包头状态在本地保存,并将数据包中不包含连接信息的纯数据部分通过硬件映射隔离技术(HRI)在内外网间进行纯数据交换,然后根据数据需要重新构造连接信息，保障系统运行在高安全性和保密性的状态下。建议在XX火电建设公司在办公网核心交换机出口与省公司广域网之间部署一台国保金泰安全隔离与信息交换系统，以保证对内外网之间的通路进行控制，纯数据将通过国保金泰安全隔离与信息交换系统根据实际要求重新构造成网络数据包，以屏蔽不安全的连接控制信息。由于内、外网间并不存在网络连接，所以诸如后门、木马等基于网络的攻击无法穿透国保金泰安全隔离与信息交换系统，同时外部数据进入网络内部也必须有内部请求相对应，加上内容检查，避免了黑客利用HTTP等应用协议的漏洞进行主动攻击，也在一定程度上做到了对未知攻击的免疫。5. 安全建设效果根据XX火电建设公司的网络现状、应用特点，本方案通过网络安全防护、系统安全防护、安全管理三个方面进行建设，从而满足XX火电建设公司在网络层、系统层、管理层三个层面的安全需求，实现以下的建设目标：在网络安全方面实现的建设目标为：保障XX火电建设公司的安全可靠运行；保证XX火电建设公司通信的正常进行，以及保障在网络上传输的信息的安全，包括：l 利用天融信Top VPN 6000多合一网关和VRC客户端实现XX火电建设公司与各项目部、移动用户之间对内网的安全互访，并对传输的数据进行加密保护；l 采用入侵防御系统，实现了27层的应用识别分类、对所有有害流量进行检测、阻断。卓越的入侵防御产品同时具备高性能、高检测阻断能力。l 内网管理与准入技术的应用，通过盈高安全准入控制系统有效地实施全局网络配置和安全管理、监控策略，实现了真正的统一安全策略。l 通过使用网关防病毒设备和网络版防病毒软件配合工作形成立体的防病毒体系；三分技术七分管理，所以我们要充分利用多种技术的基础上，严格执行管理条例，形成覆盖XX火电建设公司的安全防护体系，全面保障XX火电建设公司的机密性、完整性和可用性。 6. 设备配置清单6.1. XX火电建设公司安全产品清单序号设备名称品牌型号用途及使用地点单位数量1VPN网关网络卫士多合一VPN网关Top VPN 6000XX火电建设公司外网出口，提供分支机构和出差移动用户安全接入台12网络入侵防御系统TopIDP 3000XX火电建设公司核心服务器区入口用于防御监测黑客入侵台13内网管理与安全准入控制网络安全准入控制系统MSAC-500EXX火电建设公司网络内网管理和安全准入控制套14杀病毒系统江民网络版对服务器和PC进行病毒防护套15防病毒网关TopFilter 7000核心交换机网络入口，用于过滤外来病毒台16安全隔离与信息交换系统(安全隔离网闸)国保金泰IGap-500内网核心交换机出口，与省公司广域网安全隔离台17. 安全产品说明7.1. 天融信TOPVPN 6000网关简介TOPVPN 6000网关基于天融信具有自主知识产权的TOS（Topsec Operating System）系统平台，同时依靠天融信在防火墙系列产品上的技术积累，在VPN产品内部嵌入了基本的防火墙功能模块，采用了天融信独创的OS内核检测等多项专利安全技术，形成了集防火墙、IPSEC VPN、入侵检测、身份认证等多种功能一体化的高效率平台。l 自主安全操作系统平台采用自主知识产权的安全操作系统 TOS（Topsec Operating System），TOS拥有优秀的模块化设计架构，有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。l 多种VPN技术有机融合前面已经分析了目前主流的各种VPN技术的优缺点，这些技术有其不同的适用范围。在实际的用户网络中，不同的用户需求往往需要多种VPN技术综合应用，在这种情况下往往需要用户购买多台不同的VPN设备来满足需求，这既浪费资源又带来用户管理维护的工作量，同时网络环境变得更加复杂，网络运行的稳定性和安全性都会面临新的挑战。网络卫士VPN多合一网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上，推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。在TOS平台强大的整合能力保障下，各种VPN模块进行了有机的整合，为用户提供一个统一完整的VPN接入平台。l 安全接入与安全防护无缝结合VPN网关作为网络边界设备，除了完成远端网络或移动用户的远程接入功能外，对用户网络边界安全也是至关重要的。网络卫士IPSec/SSL VPN多合一网关构建在天融信强大的TOS系统平台基础上，集成了天融信业内领先的防火墙功能模块，能够为用户的VPN网络提供高等级的边界安全防护。网络卫士VPN多合一网关支持完善的基于内容检测的网络访问控制。内容检测技术发展至今，大致经历了三个阶段，从早期的状态检测（Status Inspection）到后来的深度包检测（Deep Packet Inspection），现在已经发展到了最新的完全内容检测（CCI，Complete Content Inspection）。状态检测只检查数据包的包头，深度包检测可对数据包内容进行检查，而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。网络卫士VPN多合一网关在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；从而形成了立体的、全面的访问控制机制，实现了全方位的安全控制。网络卫士VPN多合一网关提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略，如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。网络卫士VPN多合一网关还拥有强大的地址转换能力。同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式，可以满足绝大多数网络环境的需求。网络卫士VPN多合一网关集成了天融信高级的Intelligent Guard技术提供了强大的入侵防护功能，能抵御常见的各种攻击，包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击。l 多种SSLVPN技术结合实现应用系统全覆盖目前SSLVPN接入技术大致分为三类：WEB转发（WEB FORWARD）,端口转发（PORT FORWARD或者称为APP PROXY）和全网接入（NETWORK ACCESS或者称为IP TUNNEL）。这三种技术的技术特点和适用范围各不相同，在网络卫士VPN多合一网关中对这三种SSLVPN接入技术都做了很好的支持，用户可以根据自身应用系统的特点选择使用一种或多种接入方式。WEB转发模式可以实现用户的完全无客户端接入，支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统，而且对客户应用系统的依赖性较强。网络卫士VPN多合一网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规则框架，支持为用户个性化的业务系统自定义特殊的URL替换规则，进一步提高了系统的适应性。端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。这种模式的适应性比WEB转发要好，但其要求在客户端安装一个ACTIVEX控件。网络卫士VPN多合一网关实现了客户端透明代理，用户不需要修改本地的任何配置即能完成代理控件的安装和使用，大大简化了用户操作步骤。全网接入模式通过SSL隧道转发客户端所有的IP请求报文，其适应性最好，能够支持基于IP协议的所有B/S和C/S业务系统，其同样要求在客户端系统上安装一个ACTIVEX的控件。网络卫士VPN多合一网关通过全网接入模式能够实现移动用户的虚拟IP地址分配，实现各种访问控制策略的下发，支持移动用户以分离隧道（SPLIT TUNNEL即可以同时访问VPN和因特网）或完全隧道（FULL TUNNEL即只能访问VPN不能访问因特网）的方式接入VPN网络，大大提高了网络的整体安全性。l 完善的身份认证技术确保内部资源安全VPN的接入用户都具有远程访问部分企业内部资源的权限，而这些移动用户的接入地点是非常分散的，如果在接入时没有对用户身份进行严格的认证和授权，将会给企业内网带来很严重的安全因患。网络卫士VPN多合一网关为通过SSL隧道接入的用户提供了完整的身份认证手段。如果移动用户接入的环境比较简单、可信，管理员可以配置简单的“用户名口令”认证方式，从而达到简单易用的效果；为了防止线路窃听和重播攻击，管理员可以采用“用户名