网络哨兵企业解方案模板.doc

网络安全审计系统设计方案 深圳市中科新业信息科技发展有限公司 2013年6月13日 1、 网络安全审计系统设计方案 3 1.1、 项目背景 3 1.2、 总体项目概述 3 2、 企业网络架构及安全审计总体需求分析 4 3、 企业网络安全审计系统整体解决方案 6 3.1、 企业网络哨兵网络安全审计系统部署方案 6 3.2、 网络哨兵网络安全审计工作原理说明 7 4、 网络哨兵网络安全审计系统技术优势 11 4.1、 高速的数据捕获技术 11 4.2、 数据高速分析匹配技术 11 4.3、 审计协议丰富、内容审计功能强大 12 4.4、 内置强大过滤库 12 4.5、 管理策略可精细定制 13 4.6、 审计对象管理灵活 15 4.7、 部署方式多样 15 4.8、 自身安全性高 16 4.9、 能对上网用户进行认证管理 16 4.10、 辅助功能齐全 19 4.11、 违规通知 19 4.12、 方便用户使用的个性化设置 19 4.13、 分权管理 20 4.14、 强大的报表系统 21 5、 网络哨兵部署后实现的价值 23 网络安全审计系统设计方案 项目背景 企业网作为一个开放的网络系统，状员工上网的条件得到改善，另一方面也带来更高的网络使用危险性、复杂性和混乱IDC对全世界网络使用的调查结果中发现，员工30%至40%的上网活动与工作无关.超过85%的网络安全威胁来自于内部;有16%来自内部未授权的存取；有14%来自专利信息被窃取；有12%来自内部人员的财务欺骗；而只有5%是来自黑客的攻击。有 69%的组织机构承认他们的信息安全被破坏通常是来自于员工恶意的行为与非恶意的失误；数据泄漏的原因有39%来自于非恶意员工的失误 。在欧美发达国家: 80%的企业对员工的互联网活动进行审计，而且这一举措得到了法律条文上的支持. 在中国: 据IDC统计数据显示,中国员工比其它地区的员工每周多花7.6小时的时间来使用QQ、玩游戏、新闻网页浏览等。互联网资源的误用、滥用和恶用，已经成为目前内部网络面临的三大威胁。而且企业网络信息中心作为公司信息安全领域的核心平台，如何合理利用好互联网资源，审计、规范员工的上网行为，提高机构的工作效率，防止不良反动信息的发布，保障网络不被滥用是当前企业管理层所不得不关注的课题。 总体项目概述 项目目标 本项目建设的目标是通过网络安全审计系统的部署，进一步加强与完善企业内部网的网络安全体系。安全审计系统的功能在于：通过灵活的策略与时间段设置，对工作网络中的行为流量与业务数据进行充分细致的分析审计，统计并完整记录用户的网络行为与这些行为产生的数据，从而对网络上的违法违规行为进行切实有效的管理与控制。 设计依据 在进行网络安全审计方案设计时，我们将遵循国内和国际安全相关标准：主要依据为信息安全管理相关的标准，例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列[2007]43号），公安部82号令提出的《互联网安全保护技术措施规定《萨班斯-奥克斯利法案（2002Sarbanes-OxleyAct）》的第302条款和第404条款。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而达到安全审计的目的，提高信息系统的安全性。互联网安全保护技术措施规定……………. 企业网络安全审计系统整体解决方案 企业网络哨兵网络安全审计系统部署方案 本项目的建设原则是尽最大可能地减小原有工作网络拓朴的改变，并且本着高质量，高稳定性，高性价比的方针，使新建设的网络安全审计系统能够完美地融合到企业原有网络系统中去，新系统的加入不能影响到原有网络的业务流量带宽，也不能给网络造成性能上的瓶颈点。本项目中，推荐使用网络哨兵硬件平台S3系列产品，以下是网络安全审计系统部署示意图： 中科新业网络哨兵在工作时，采用旁路侦听的方式；安装部署时，不需要破坏原有的网络结构。因此在网络结构中，也不会造成任何数据流量上的瓶颈。在设计规划整个网络结构时，只需在接入交换机上预留出端口。在整个实施完工后，在交换机上设置好镜像端口并连接上网络哨兵即可， 在本项目中，由于网络相对独立，网络均采用的是将局域网工作站，数据服务器，其他应用服务器交换机联接到核心的结构，以并一台三层交换机作为网络数据与流量负载的汇聚，网络内部各工作站终端产生的业务数据通过核心交换机汇聚后接入到交换机上。同时交换机通过上行线路连通到外部网络。由于企业网络应用服务较多，为保证使用的稳定性，针对流量分析应用排错及带宽规范统计有效实行现提出部署方案。 由于在核心交换机上的业务流量众多，所有的网络流量都将经过此处，对于核心交换机的处理能力是一个考验。为了最大程度地确保终端产生