以太科技烟草行业安全防护的方案.docxVIP

以太科技烟草行业安全防护方案 一、XX烟草工业公司网络现状概述 XX烟草工业公司目前通过广域网链路上联××中烟工业公司，下联XXXX卷烟厂1、XXXX卷烟厂2、XXXX卷烟厂3。目前通过10M光纤连接互联网。整个XX烟草工业公司目前网络拓扑图示意如下： 攻击 　　攻击主要来源于两方面：首先，随着公司的知名度的不断提高，XX烟草工业公司可能会成为黑客，敌对公司的攻击目标，我们每天都会面临很多的DOS，DDOS攻击。 　　另一方面，因为蠕虫病毒大规模的爆发或者内部人员攻击恶意或无恶意攻击。内部人员对信息的恶意破坏或不当使用，或使他人的访问遭到拒绝；由于粗心、无知以及其它非恶意的原因而造成的破坏。 病毒 　　而对于XX烟草工业公司目前面临的主要风险还是病毒，病毒的传播与攻击遵循了木桶原理，，一部分主机因为管理不严，没有按照要求安装防病毒软件，或者没有按时升级病毒库，或者没有按??装载补丁导致感染病毒，木马，后门程序，黑客软件，同时因为没有进行安全域划分，导致“城门失火，殃及池鱼”，最终对生产网有巨大的威胁。 对于终端的管理 　　对于一个将近5000人，2000多台主机的大型国有企业，而网管只有不到10人，对于这些主机的管理是非常让人头疼的，而因为没有建立完善的信息安全管理体系，每台主机尤其是运行在生产网中的主机在运行过程中，如果遭遇攻击，病毒，或者被黑客，不良居心的职工装载了木马，后门程序，不良插件都会对整个企业造成不可估量的损失。 垃圾邮件 　　目前，经过粗略统计XX烟草工业公司收到的邮件垃圾邮件占到了60%以上，大大影响了工作效率，还有一些邮件存在一些非法内容，对职工的影响不好。 互联网出口不统一 　　分厂3作为这个XX烟草工业公司网络的一部分，更广义的说是××中烟网络的一部分，因为具有独立的互联网出口，一方面这给××中烟，XX烟草工业公司整个都带来了巨大的不可预知的风险；另一方面因为风险的增大也加大了对风险的管理成本，这包括人力，物力，财力等成本的增大。 其他风险 　　一类是自然灾难，另一类为技术局限性。信息系统的高度复杂性以及信息技术的高速发展和变化，使得信??系统的技术局限性成为严重威胁信息系统安全的重大隐患。 二、XX烟草工业公司安全需求列表 产品名称 产品作用及推荐产品型号 机房相关设施 保证我公司物理层的基本安全，实现防火、防盗、防雷、防水等基本功能 存储备份系统 针对内网重要数据进行实时在线备份，避免由于各种灾难或人员原因而导致数据丢失以致工厂难以开展工作（例如：磁盘阵列及其相关策略设置软件） 防火墙 访问控制，重点子网划分、重点区域保护、传输加密、身份鉴别、IP和MAC地址绑定 网络流量控制系统 针对内网中的各种不同协议，自动根据管理员设置的策略进行协议发现并进行控制，例如这两年大肆泛滥的BT下载、eMule电驴下载等P2P软件，由于端口随机，无法通过路由器、防火墙进行控制，这个时候就可以考虑采用网络流量控制系统进行控制以及细化的QOS SSL VPN网关 对于存在多个分支机构通过外网访问公司的情况，针对这种情况，如果采用IPSEC VPN网关的解决方案，至少需要部署多台VPN网关，不但部署时间周期长、部署成本高，而且不利于后期的分支机构扩展，每增加一个分支机构就需要部署1台VPN设备。所以我们建议采用基于B/S的SSL VPN网关，用户只要能够登录到公司，就会自动通过浏览器下载一个客户端的加密控件，实现集团同分支机构之间的应用层传输加密（ 入侵检测 实时检测重点区域入侵或可疑时间并报警 防病毒过滤网关 针对内外网入口处进行实时的病毒扫描，将外来病毒隔离在内网之外，实现工作站被动防御病毒之外的主动病毒防御 防垃圾邮件过滤网关 针对XX烟草工业公司未来可能具有的邮件服务器，采用防垃圾邮件过滤网关，防止垃圾邮件进入集团内部，同时对内部发送出去的邮件也进行防垃圾处理，避免集团邮件服务器被黑客利用进行垃圾邮件发放系列防垃圾邮件过滤网关 终端管理系统 针对内网重要的服务器设备的各种为进行记录，对端口进行管理，针对网络内主机进行有效监控，例如：主机主动防御：基于主机的防火墙，IDS;集中地补丁下载;统一的行为监管,例如非法外联，对打印机进行监管，对文件的监视，对计算机外存设备的监管，系统监视，例如: 进程监控, 端口连接监视, 软/硬件信息监视, 性能信息监视,;杀毒软件版本检测 网络审计及监控系统 针对内网重要的网络区域进行多种关键字或多种协议的过往内容记录，并可以进行相关的还原操作，避免安全事故无证据可举证的情况发生 身份认证系统或租用身份认证证书 将XX烟草工业公司重要的应用系统进行身份认证，在避免出现人员无法认证身份的情况下实现电子签章，真正帮助企业实现无纸化办公，未来还可以支持统一门户身份认证 漏洞扫描系统 针对