公司网络信息系统网络架构分析服务内容及方案.docxVIP

公司网络信息系统网络架构分析服务内容及方案 服务范围 绿盟科技网络架构分析服务可以为客户提供基于需要分析的整体网络或者目标区域网络的架构分析，如业务系统子网络或公司分支网络等。 网络架构分析的详细服务范围如下： 网络拓扑 网络协议 网络流量 网络设备 服务内容 网络架构分析会对目标网络的网络现状、网络建设规范性、网络可靠性、网络边界安全、网络流量分析、网络通信安全、网络设备安全和网络安全管理这八个方面进行网络架构安全性的全面分析，对整体网络中的脆弱点进行识别，评估结果包括定性和定量分析，让用户对网络中存在的风险了如指掌，详细内容如下： 网络架构整体分析 网络架构设计应符合层次分明、分级管理、统一规划的原则，应便于以后网络整体规划和改造。 根据组织实际情况进行区间划分，Internet、Intranet和Extranet之间以及它们内部各区域之间结构必须使网络应有的性能得到充分发挥。 根据各部门的工作职能、重要性、所涉及信息等级等因素划分不同的子网或网段。 网络规划应考虑把核心网络设备的处理任务分散到边缘设备，使其能将主要的处理能力放在对数据的转发或处理上。 实体的访问权限通常与其真实身份相关，身份不同，工作的内容、性质、所在的部门就不同，因此所应关注的网络操作也不同，授予的权限也就不同。 网络建设规范性 IP地址规划是否合理，IP地址规划是否连续，在不同的业务系统采用不同的网段，便于以后网络IP调整。 网络设备命名是否规范，是否有统一的命名原则，并且很容易区分各个设备的。 应合理设计网络地址，应充分考虑地址的连续性管理以及业务流量分布的均衡性。 网络系统建设是否规范，包括机房、线缆、配电等物理安全方面，是否采用标准材料和进行规范设计，设备和线缆是否贴有标签。 网络设备名称应具有合理的命名体系和名称标识，便于网管人员迅速准确识别，所有网络端口应进行充分描述和标记。 网络边界安全 Internet、Intranet和Extranet之间及它们内部各VLAN或区域之间边界划分是否合理；在网络节点（如路由器、交换机、防火墙等设备）互连互通应根据实际需求进行严格控制；验证设备当前配置的有效策略是否符合组织确定的安全策略。 内网中的安全区域划分和访问控制要合理，各VLAN之间的访问控制要严格，不严格就会越权访问。 可检查网络系统现有的身份鉴别、路由器的访问控制、防火墙的访问控制、NAT等策略配置的安全性；防止非法数据的流入；对内防止敏感数据（涉密或重要网段数据）的流出。 防火墙是否划分DMZ区域；是否配置登录配置的安全参数。例如：最大鉴别失败次数、最大审计存储容量等数据。 网络隔离部件上的访问通道应该遵循“默认全部关闭，按需求开通的原则”；拒绝访问除明确许可以外的任何一种服务，也就是拒绝一切未经特许的服务。 网络协议分析 路由协议、路由相关的协议及交换协议应以安全的、对网络规划和设计方便为原则，应充分考虑局域网络的规划、建设、扩充、性能、故障排除、安全隐患、被攻击可能性，并应启用加密和验证功能。 应合理设计网络路由协议和路由策略，保证网络的连通性、可达性，以及网络业务流向分布的均衡性。 启用动态路由协议的认证功能，并设置具有一定强度的密钥,相互之间交换路由信息的路由器必须具有相同的密钥。默认的认证密码是明文传输的，建议启用加密认证。 对使用动态路由协议的路由设备设置稳定的逻辑地址，如Loopback地址，以减少路由振荡的可能性。 应禁止路由器上IP直接广播、ICMP重定向、Loopback数据包和多目地址数据包，保证网络路径的正确性，防止IP源地址欺骗。如禁止非公有地址、组播地址、全网络地址和自己内部的网络地址访问内部网络，同时禁止非内部网络中的地址访问外部网络。 网络流量分析 带宽的网络流量分析。复杂的网络系统中不同的应用需占用不同的带宽，重要的应用是否得到了最佳的带宽？所占比例是多少？队列设置和网络优化是否生效？通过基于带宽的网络流量分析会使其更加明确。采用监控网络链路流量负载的工具软件，通过SNMP协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户，以非常直观的形式显示流量负载。 网络协议流量分析。对网络流量进行协议划分，针对不同的协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常流量暴涨，就有可能是攻击流量或有蠕虫病毒出现。例如：Cisco NetFlow V5可以根据不同的协议对网络流量进行划分，对不同协议流量进行分别汇总。 基于网段的业务流量分析。流量分析系统可以针对不同的VLAN来进行网络流量监控，大多数组织都是基于不同的业务系统通过VLAN来进行逻辑隔离的，所以可以通过流量分析系统针对不同的VLAN来对不同的业务系统的业务流量进行监控。例如：Cisco NetFlow V