办公大楼信息安全网络建设方案XXXXXXXX公司20XX年XX月XX日目录一. 概述 (3)二. 建设目标 (3)三. 设计原则及依据 (4)3.1设计原则 (4)3.2设计依据 (5)四. 现状分析 (6)五. 项目需求分析 (7)5.1目标分析 (7)5.1.1 建立有效的隔离安全机制 (7)5.1.2 针对全网实现可行的行为分析 (7)5.2业务需求分析 (7)六. 总体建设方案 (8)6.1建设目标 (8)6.2建设内容 (8)6.3建设原则 (9)6.3.1 先进性原则 (9)6.3.2 高可靠性原则 (9)6.3.3 可扩展性原则 (9)6.3.4 开放兼容性原则 (9)6.4项目建设总体框架设计 (10)6.4.1 设计方案综述 (10)七. 项目建设方案 (11)7.1建设内容 (11)7.2方案详细设计 (12)7.2.1 网络安全 (12)7.2.2 网络功能优化说明 (16)八. 安全产品介绍 (17)8.1防火墙系统 (17)8.2入侵检测系统 (17)8.3上网行为管理系统 (17)九. 整体网络产品选项 (18)十. 费用预算清单 (19)一.概述随着信息技术的迅猛发展，利用计算机的高新技术，大大提高了工作效率，提高了信息化的管理水平。

鉴于任何系统都可能因设备故障、系统缺陷、病毒破坏、人为错误等原因导致网络速度下降甚至系统崩溃，严重影响企业办公活动的正常开展。

信息系统安全建设的目的在于保障重点信息系统的安全，规范信息安全，完善信息保护机制，提高信息系统的防护能力和应急水平，有效遏制重大网络与信息安全事件的发生，创造良好的信息系统安全运营环境。

二.建设目标建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系，达到国内一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行。

该体系覆盖信息系统安全所要求的各项内容，符合信息系统的业务特性和发展战略，满足企业信息安全要求。

本方案的安全措施框架是依据“积极防御、综合防范”的方针，以及“管理与技术并重”的原则，并结合等级保护基本要求进行设计。

技术体系：网络层面：关注安全域划分、访问控制、抗拒绝服务攻击，针对区域边界采取防火墙进行隔离，并在隔离后的各个安全区域边界执行严格的访问控制，防止非法访问；利用漏洞管理系统、网络安全审计等网络安全产品，为客户构建严密、专业的网络安全保障体系。

应用层面：WEB应用防火墙能够对WEB应用漏洞进行预先扫描，同时具备对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断，并结合网页防篡改子系统，真正达到双重层面的“网页防篡改”效果。

数据层面，数据库将被隐藏在安全区域，同时通过专业的安全加固服务对数据库进行安全评估和配置，对数据库的访问权限进行严格设定，最大限度保证数据库安全。

方案收益：✓有利于提高信息和信息系统安全建设的整体水平；✓有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调发展；✓有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；✓有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障重要信息系统的安全；✓有利于明确信息安全责任，加强信息安全管理；✓有利于推动信息安全的发展三.设计原则及依据3.1设计原则根据企业的要求和国家有关法规的要求，本系统方案设计遵循性能先进、质量可靠、经济实用的原则，为实现企业等级保护管理奠定了基础。

●全面保障：信息安全风险的控制需要多角度、多层次，从各个环节入手，全面的保障。

●整体规划，分步实施：对信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。

●同步规划、同步建设、同步运行：安全建设应与业务系统同步规划、同步建设、同步运行，在任何一个环节的疏忽都可能给业务系统带来危害。

●适度安全：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。

●内外并重：安全工作需要做到内外并重，在防范外部威胁的同时，加强规范内部人员行为和访问控制、监控和审计能力。

●标准化管理要规范化、标准化，以保证在能源行业庞大而多层次的组织体系中有效的控制风险。

●技术与管理并重：网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。

3.2设计依据根据现有情况，本次方案的设计严格按照现行行业的工程建设标准、规范的要求执行。

在后期设计或实施过程中，如国家有新法规、规范颁布，应以新颁布的法规规范为准。

本方案执行下列有关技术标准、规范、规程但不限于以下技术标准、规范、规程。

●信息系统通用安全技术要求（GB/T 20271-2006）●信息系统安全管理要求（GB/T 20269-2006）●信息系统安全工程管理要求（GB/T 20282-2006）●信息系统物理安全技术要求（GB/T 21052-2007）●网络基础安全技术要求（GB/T 20270-2006）●信息系统通用安全技术要求（GB/T 20271-2006）●操作系统安全技术要求（GB/T 20272-2006）●数据库管理系统安全技术要求（GB/T 20273-2006）●信息安全风险评估规范（GB/T 20984-2007）●信息安全事件管理指南（GB/T 20985-2007）●信息安全事件分类分级指南（GB/Z 20986-2007）●信息系统灾难恢复规范（GB/T 20988-2007）四.现状分析⏹区域划分有待改善按照公安部相关指导规定“三重防护、一个中心”的安全保护环境思路（即：安全计算环境、安全区域边界、安全通信网络，以及安全管理中心）应该对部分两个核心数据区进行整合并按照信息系统进行归类管理。

⏹区域防护能力较弱当前网络没有严格划分区域，因此，不能严格对各区域采取相应的安全防护措施，尤其是对于运行应用服务系统的两个核心数据区域没有任何安全防护，无法给各应用服务系统的安全运行提供保障。

⏹不能对进出网络的入侵行为进行监测防范企业内部无法对进出网的入侵行为进行监测防范，包含恶意代码、黑客攻击等，安全防护工作非常被动，主动防御、宏观安全监控更无从谈起。

⏹网络单点故障点较多需要在关键节点增加冗余部署，减少单点故障导致的网络安全事故。

⏹不能防止DDOS攻击来自互联网的DDOS攻击会挤占出口带宽，影响业务系统的使用，对内部主机或者虚拟机发起的应用型攻击，例如对DHCP服务器请求攻击、对DNS服务器发起查询攻击，使得DHCP服务器、DNS服务器不能响应正常请求，导致服务器瘫痪，业务中断。

⏹网络单点故障点较多需要在关键节点增加冗余部署，减少单点故障导致的网络安全事故。

随着企业信息化的逐步深入，系统逐渐增多，包括应用服务器、数据库服务器等，而这些系统由于管理及防护不到位，目前面临着较严重的安全威胁：⏹不能有效抵御应用层的攻击在整个网络架构体系中，应用系统区域没有部署安全防护设备，因此，针对该区域的一些违规或攻击行为，将无法监控及处置。

五.项目需求分析5.1目标分析5.1.1建立有效的隔离安全机制根据本身特定网络安全要求，进行合理的安全域划分和分区域安全防护设计、实施，通过一定的技术手段，对区域内和区域间的流量行为进行逻辑隔离和防护，对恶意代码和黑客入侵进行阻隔，保护网域间的安全。

5.1.2针对全网实现可行的行为分析通过此次建设的系统，对全网流行为进行全方位、多视角、细粒度的实时监测、统计分析、查询、追溯、可视化分析展示等。

有效管理和发现流量的异常波动行为，并能及时发出预警机制。

5.2业务需求分析基于以上的现状分析来看，企业网络防护体系建设项目建设，满足自身的安全需求，从以下方面进行分析：序号安全威胁分析安全需求分析需求实现方式1 没有根据流量特性对网络的安全区域进行划分，以及网络优化根据互联网、内网的业务逻辑，流量特性和安全需求，对网络进行安全域划分，对不同安全域实施不同的安全技术控制措施和安全管理策略；特定网络安全要求，进行合理的安全域划分和分区域安全防护设计、实施。

2 不能对进出网络的攻击行为进行防范实现互联网、专网的安全、可控的逻辑隔离；在互联网的安全区域边界分别部署防火墙系统等安全设备进有效防护和边界隔离。

3 不能对进出网络的入侵行为进行监测和阻断。

实现网络内部入侵行为的检测和阻断；对网路内敏感信息传输互联网的有效检测。

在内网核心服务器区部署入侵检测系统，对整网流量进行检测与攻击行为进行阻断。

4 不能防止DDOS攻击实现对来自互联网DDOS的防护，对内部服务器应用进行有效防护在互联网出口处部署入侵防御系统，有效防护DDOS攻击5应用系统的相关操作缺乏有效监控和审计对系统、应用、数据库系统进行审计，建立相应的安全审计机制，对引发事件的根源进行责任认定在外网互联网出口部署上网行为管理系统，结合系统本身的审计对业务操作进行严格审计。

六.总体建设方案企业信息安全网络项目建设，是一项基础性系统工程，必须依据相关国家、部门的要求和规定，根据当前网络现状，并结合其面临的安全威胁及安全需求，进行信息安全技术保障体系的建设，做到有理有据、切行实际的策略。

该项目的建设需要经过详细的设计和规划，在建设过程中需要各职能部门的合作和共同推进，系统提供符合企业相关要求的安全的网络环境。

6.1建设目标依据信息安全有关政策和标准，通过组织开展信息安全安全管理制度整改和技术措施整改，落实制度的各项要求，通过本方案的建设实施，进一步提高信息系统符合性要求，将整个信息系统的安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。

6.2建设内容企业信息安全网络项目主要包含以下内容：防火墙，上网行为管理系统，入侵检测系统，以及其他网络设备6.3建设原则6.3.1先进性原则安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。

6.3.2高可靠性原则安全稳定的网络是信息化发展的基础，其稳定性至关重要；网络安全设备由于部署在关键节点，成为网络稳定性的重要因素。

整个网络设计必须考虑到高可靠性因素。

6.3.3可扩展性原则企业网络在不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。

6.3.4开放兼容性原则企业网络安全产品设计规范、技术指标符合国际和工业标准，支持多厂家产品，从而有效的保护投资。