凌源钢铁集团网络安全系统项目设计书.doc

凌源钢铁集团网络安全
系统项目设计书
2010年6月29日
目录
第 1 章 概述 3
第 2 章 网络现状及需求分析 4
网络现状 4
防火墙使用现状分析 4
防病毒现状分析 4
需求分析 5
防火墙系统需求分析 5
威胁分析 5
风险分析 6
防病毒系统需求分析 6
第 3 章 网络设计技术选型 8
入侵检测产品选型 8
选型依据 8
选型建议 8
绿盟网络入侵检测系统介绍 9
体系架构 10
主要功能 10
全面精细的检测技术 11
可靠的Web威胁检测能力 12
灵活高效的病毒监测技术 12
基于对象的虚拟系统 12
细粒度的流量统计分析 13
全面的用户上网行为监测 13
可扩展的安全审计能力 14
强大的管理能力 14
完善的报表系统 16
丰富的响应方式 16
高可靠的自身安全性 17
防病毒产品选型 17
KSG的总体优势 17
详细对比 18
第 4 章 网络方案设计 21
网络配置 21
入侵检测系统配置 21
投入分析 21
产品指标 21
防病毒网关系统配置 22
冠群金辰病毒软硬协同处理,立体防护模型 22
冠群金辰网关病毒防护方案设计原则 24
网络拓扑图 26
概述
凌源钢铁集团有限责任公司(简称凌钢)始建于1966年,是集采矿、选矿、冶炼、轧材为一体的钢铁联合企业。经40多年成长,特别是改革开发30年的建设发展,凌钢从一个年产几万吨钢、名不见经传的小钢厂,一跃发展成为了共和国工业企业的500强,企业发生了翻天覆地的变化,为我国钢铁工业的发展和地方经济的振兴做出了巨大贡献。
凌钢是全国冶金系统首批通过ISO9002产品质量体系认证企业,曾被授予国家级守合同重信用企业、全国质量管理先进企业和中国优秀诚信企业,并荣获了全国五一劳动奖状和全国百户企业管理杰出贡献奖。公司党委连续多年被辽宁省委评为先进党委,两次被中央组织部评为全国先进基层党组织。凌钢三次被国家文明委评为全国精神文明建设先进单位。
作为国内重要的钢铁企业和上市公司,信息化在企业内日益发挥着重要的作用。随着公司防盗监控系统、生产监控系统、进销存系统、生产调度系统、中宽带生产管理系统、炼钢厂管理信息系统,远程集中计量系统,工资管理系统、以及内部网站等各类系统的部署和完善,如何保障网络和信息安全成为日益重要的问题。
伴随着网络的发展,也产生了各种各样的问题,其中安全问题尤为突出。现在,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDOS攻击越来越常见,网络资源滥用(包括P2P下载、IM即时通讯、网络游戏、在线视频等行为),黑客攻击行为几乎每时每刻都在发生,所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。
能否及时发现网络黑客的入侵、有效的检测出网络中的异常行为,成为所有网络用户面临的一个重要问题。
网络现状及需求分析
网络现状
防火墙使用现状分析
目前凌源钢铁网络安全方面只在网关处部署了一台防火墙,实现对网络中网络层的访问控制,能够抵御一部分的黑客攻击。但是传统防火墙是一种静态防护设备,随着越来越多的系统本身漏洞以及应用系统的漏洞被发现,以及攻击者的入侵方式更加隐蔽,新的攻击方式层出不穷,所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。
传统的防火墙主要有以下的不足:
防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对WEB服务的注入攻击等。
防火墙无法发现内部网络中的攻击行为。
由于防火墙具有以上一些缺陷,所以部署了防火墙的安全保障体系还有进一步完善的需要。
防火墙是网络层控制设备,无法检测来自2-7层全面的攻击行为,特别是对日益增多的应用层攻击无法监控和阻断。
防病毒现状分析
用户现有病毒解决方案只有在终端部署杀毒软件,除此之外并没有在网络边界处进行任何病毒防护方案。而终端杀毒软件又具有一定的局限性。如:
只能亡羊补牢,不能未雨绸缪
众所周知,终端杀毒软件只能起到事后救护的作用。只有当病毒出现以后,防病毒厂商通过一定的渠道收集病毒样本,后提