xxxx行业安全解决方案经典标书.docx
- 文档编号:28576673
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:127
- 大小:1.39MB
xxxx行业安全解决方案经典标书.docx
《xxxx行业安全解决方案经典标书.docx》由会员分享,可在线阅读,更多相关《xxxx行业安全解决方案经典标书.docx(127页珍藏版)》请在冰豆网上搜索。
xxxx行业安全解决方案经典标书
XXXX行业网络安全方案建议书
北京网新易尚科技有限公司
2003年4月26日
前言
在网络技术迅速发展的今天,信息化已成为国际性发展趋势,作为国民经济信息化的
基础,企业信息化建设受到国家和企业的广泛重视。
企业信息化,企业网络的建设是基础,从计算机网络技术和应用发展的现状来看,Intranet是得到广泛认同的企业网络模式。
Intranet并不完全是原来局域网的概念,通过与Internet的联结,企业网络的范围可以是跨地区的,甚至跨国界的。
现在,Internet的发展已使世界成为电子信息的地球村,人们不在有地理空间上的交流限制。
随着网上商业活动的激增,Intranet也应运而生。
企业都已感到企业信息化建设的重要性,陆续建立起了自己的企业网并通过各种WAN线路与Internet相连。
国际互联网Internet在带来巨大的资源和信息访问的方便的同时,它也带来了巨大的潜在的危险,至今仍有很多企业没有意识到企业网络安全的重要性。
随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制,数据的安全性和自身的利益受到了严重的威胁。
在我国,网络急剧发展还是近几年的事,而在国外企业网领域出现的安全事故已经是数不胜数。
我国网络安全存在诸多问题:
首先是防御意识的落后。
对网络安全的防护,意识和观念须先行。
但现实中无论是网民还是从事电子商务的企业,网络安全的维护意识薄弱得让人痛心。
据调查:
在我国电脑应用单位80%未设立相应的安全管理组织,58%无严格的调存管理制度,59%无应急措施,48%无事故发生后的系统恢复方案。
在当前复杂的网络应用环境下,单一的产品已经远远不足以保障用户网络系统、信息资源的安全,病毒、黑客攻击、恶意入侵等都已经成为主要的安全威胁,它们不但可以造成网络阻塞、传输中断,甚至会导致系统瘫痪的后果,更为严重的是,远程控制、内部泄密等行为可以轻易地破坏关键数据、盗窃机密信息,从而给企业、单位带来不可估量的损失。
而无论是有意的攻击,还是无意的误操作,都将会给应用系统带来不可估量的损失。
攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。
更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。
另外,在新技术应用的背后隐藏着诸多安全隐患,不管是传统的操作系统、TCP/IP协议还是新的应用软件要作到绝对安全是不可能的。
因此,北京网新易尚科技有限公司在积极进行企业网建设的同时,借鉴国外企业网建设和管理的经验,建设完善网络安全体系,将企业网中可能出现的危险和漏洞降到最低。
特别对于象XXXX行业(系统)这样拥有多个分支机构和自己信息中心的网络应用结构。
在利用网络为公司关键应用业务提供服务和进行重要数据传输时,网络的安全保障问题凸现了出来。
网络安全的建设越来越突出地成为网络运营体系中的重点,因此,必须建立完备的安全体系,以保证提供7*24小时的业务运营。
网新易尚的技术人员在网络安全行业中有着丰富的经验和技术实力,根据我们对XXXX行业网络情况的了解,和我们多年在网络安全领域从事安全集成、安全服务和安全咨询丰富的技术经验,将为XXXX行业提供最合适的安全解决方案和安全服务方案。
第一章网新易尚介绍
1.1北京网新易尚科技有限公司简介
北京网新易尚科技有限公司是由上市公司---浙大网新科技有限公司(上交所代码600797)投资组建的一家以生产和销售“易尚”全系列网络产品为主营业务的高科技企业。
网新易尚在引进国际先进网络技术的基础上,依托浙江大学计算机学院的科研优势,针对中国用户的需求,推出了局域网、宽带接入、无线及安全等全系列的网络产品。
公司倡导“开拓、创新、健康、睿智”的企业文化和精神,以推动和普及中国信息化建设为己任,力争在三年内使易尚系列网络产品进入国产网络品牌前列。
易尚网关防火墙系列产品是北京网新易尚科技有限公司(前身是北京晓通网络科技有限公司自有品牌事业部),依托浙江大学网新研究院的技术背景,并组织了国内外数十位网络安全产品专家经过长达两年的潜心研究和苛刻测试,推出集防火墙、VPN、网络入侵检测和应用内容处理于一身的易尚网关防火墙系列产品。
公司致力于发展一种新型的解决应用级安全的高性能防火墙产品,利用专业定制的ASIC芯片技术把多种安全功能集成到一起,创造新的业界性能纪录。
该项技术融合了安全策略控制、VPN加密处理、流量控制、内容安全、病毒防护等安全技术,解决了数据加密和内容处理时的性能瓶颈,并能实现最高级别的IP安全(Ipsec),无与伦比的性能和先进的系统级的设计允许产品提供多种功能。
公司成为新一代网络安全网关的前导者,致力于企业和服务提供商的安全保护。
所提供的设备使得减少网络资源滥用,最大限度提高网络效率,在保证网络性能的基础上,以相对传统解决方案更低廉的价格提供完善的网络保护。
1.2易尚网关防火墙系列产品介绍
网新易尚安全产品打破了内容处理的障碍,可在企业网关处提供高效率的内容扫描,阻止病毒和蠕虫的攻击、限制不适合的WEB内容和邮件垃圾的侵害。
基于网络边界的设备,例如防火墙和VPN系统能够实时地处理数据包级的信息,但是不能检查数据包的内容,传统的病毒软件解决方案能够检查病毒,但是必须安装在每个桌面主机、便携机和服务器上,同时需要不断的更新。
直到现在,仍然没有一个可以在网络边界处提供高性能应用级安全检测的网络设备,这导致企业组织对外开放了攻击弱点,特别是在一个攻击被检测到但是还没有在网络中的每一个主机上更新软件的时间段里,弱点窗口将随时遭受攻击。
网新易尚打破了内容处理障碍,关闭了网络弱点窗口,率先推出了在网络边界处提供网络层和应用层安全的全系列产品线。
网新易尚的YES系列产品结合了专用的硬件和软件,在一个集成的平台上提供了网络层和应用层的服务安全。
基于ASIC芯片的内容扫描引擎能够在应用层实时地进行内容分析,而传统网络中必须基于桌面主机进行保护,例如病毒保护和WEB内容过滤。
易尚网关防火墙系列提供了高性能的网络层服务,包括防火墙,VPN,入侵检测和流量控制,支持3GBit/s数据流量。
网新易尚解决方案优化了网络配置的需求,极大降低了设备的配置和维护费用,最大程度地简化了安装和管理,以最优的性能价格比提供了全系列的产品,包括家庭办公、小型SOHO到分支办公室、大中型企业和服务提供商等多种用户级别。
总体技术
网新易尚YES系列网关型防火墙利用易尚公司独特的ABACAS(AcceleratedBehaviorandContentAnalysisSystem)技术,通过专用ASIC芯片设计,达到了处理速度的突破,可以为网络层、应用层内容分析提供硬件级的性能加速。
易尚网关防火墙结合了专用的硬件和软件系统配置在Internet和企业网络或数据中心的边界处,提供完善的应用层和网络层的保护。
通过高性能硬件/软件系统,加速深层次的应用层内容分析,易尚网关防火墙系列产品充分利用了ASIC芯片的高速处理技术,独特的结构使得易尚系列在高速的网络环境中提供了基于策略的病毒保护,内容过滤,防火墙,VPN,入侵检测和流量控制服务,ABACAS技术使易尚网关防火墙能够提供应用层的安全服务,实时检测病毒和内容过滤。
网新易尚的Asic芯片提供了以下加速处理的功能:
∙检查IP报头,确认IP包来源的合法性
∙对VPN数据包的加密/解密和认证处理
∙重组数据包,查询有害的特征代码和禁止的访问内容
∙计算数据包,测量数据流速
易尚网关防火墙系列产品基于网新易尚加速行为和内容分析系统(ABACAS™)技术,它包括了ASIC™内容处理器和ESOS™操作系统。
ASIC内容处理器包括一个强有力的灵活的特征扫描引擎,它能依据上千种病毒特征代码、入侵特征码、关键字和其他的特征匹配码,进行内容范围的扫描,同时保证了良好的网络性能。
ASIC同时包括了密码处理的加速引擎支持高性能的加密/解密。
作为一个VPN网关,易尚网关防火墙能够“看到”VPN隧道内部,检测VPN里面的数据是否威胁企业内部私有网络,不然的话,他们会未经检测而通行。
高度安全而高效的ESOS可以优化数据包的处理,使ES能够提供线速的网络服务,例如防火墙和流量管理。
结合高级别的应用层服务,在网络边界处提供了完全的保护,系统配置降低了价格,同时极大简化了管理和维护。
易尚网关防火墙以最优的性能价格比提供了全系列的产品,包括家庭办公、小型SOHO到分支办公室、大中型企业和服务提供商等多种用户级别。
解决方案
网新易尚的YES系列网关型防火墙,是定位在企业和服务提供商边界处的专用的硬件安全平台。
它能快速地扫描应用层的内容,实时检测网络的攻击。
产品配置非常简单,极大降低了设备的维护和管理成本。
Ø产品型号
易尚网关防火墙产品系列包含以下6个型号产品:
∙YES750、YES800适合SOHO、中小型企业和分支办公室
∙YES903、YES904和YES912适合企业级别的应用
∙YES1000\2000\4000是电信级别的产品,适合运营服务提供商应用、大型企业及大型校园网络等
易尚网关防火墙系列从SOHO到服务提供商的产品线
图1—1网新易尚全面的安全产品线
易尚网关防火墙远程办公室/企业分支机构产品
YES750/800
图1—2远程办公机构安全产品系列(YES750/800)
易尚网关防火墙中型/大型企业产品
YES903
图1—3中/大型企业安全产品系列(YES903/904/912)
服务提供商级产品
YES1000、2000、4000
图1—4服务提供商安全产品(YES2000)
功能介绍
易尚网关防火墙提供了企业和运营商级别的安全和高可用性。
易尚系列产品可以检测和消除WildList病毒组织所公布的病毒。
易尚网关防火墙大部分产品同时提供了一个高可用的HA端口支持冗余的网络配置,这对关键事务的应用是非常重要的。
以下是YES系列部分特性的列表:
▪自动更新的蠕虫数据库,在网关处阻塞最新的和最危险的病毒攻击(强于主机防御)
▪病毒保护:
对所有的邮件附件、web内容和下载文件实行病毒特征码和宏病毒扫描,只需要扫描一次,强于单机的多次扫描处理
▪蠕虫保护:
扫描所有的进行出邮件附件和WEB内容,清除象CodeRed和Nimda这样的蠕虫攻击
▪内容过滤,阻塞象ActiveX,JavaApplets,和Cookies的危险内容
▪基于网络的入侵检测系统可以实时检测上千种的入侵攻击
▪IP/MAC绑定,防止内部用户的IP欺骗,限制用户的IP地址和网卡的MAC地址对应
▪高可用的集群功能,提供了设备的负载共享,基于状态检测的系统事件检测
▪工业标准的IPSec,PPTP,andL2TPVPNs在网络和客户间提供了高强度的DES和3DES加密
▪硬件加速处理保证了实时的性能
▪多安全域和VLAN特性通过组合物理网段和逻辑内部网络到不同的安全域内,控制不同部门间的安全
▪扫描VPN数据流量,阻止远程用户访问校园网络和企业网络而带来的威胁
▪简单易用的图形管理界面,使配置和维护工作降到最低
▪高级的防火墙策略配置,有效控制VPN流量,提供基于策略的病毒和蠕虫检测、web内容过滤,动态IP地址池可以进行灵活地址翻译
▪基与URL地址和关键字的内容过滤,自然语言表达式的理解和基于用户组的内容过滤
Ø病毒保护范围:
协议、文件类型、控制级别
病毒和蠕虫防御在网络边界处提供,在web流量(HTTP),email流量(SMTP,POP3,和IMAP)和安全域之间对以下的类型文件进行信息检查。
▪执行文件Executablefiles(exe,bat,andcom)
▪Visuanbasic文件Visualbasicfiles(vbs)
▪压缩文件Compressedfiles(zip,gzip,tar,hta,andrar)
▪屏幕保护文件Screensaverfiles(scr)
▪动态链接库Dynamiclinklibraries(dll)
▪MSOffice文件MSOfficefiles
易尚网关防火墙的病毒检查可以配置成过滤特定目标文件,检测特定病毒代码或不做病毒检测。
用户可以选择先进行特征扫描,然后进行特定文件过滤。
在网络边界处进行病毒扫描的好处是在数据进入内部网络之前清除威胁,使系统管理员从繁重的工作中解脱出来,在传统的方式下,管理员必须检查每一个主机的病毒软件是否更新,如果有一个主机被感染,整个网络都会面临崩溃的危险。
病毒扫描同样在所有的VPN解密数据流根据协议进行扫描,网关-网关和客户-网关病毒保护在通道终结后进行检测。
传统的病毒解决方案完全基于软件实现,依靠主机平台进行处理,例如依靠IntelCPUs.处理。
在传统的解决方案中,计算机要想以网络网关所需要的性能处理病毒是非常困难的-在网关处需要给数据流线速的处理以使其不成为最终用户的一个瓶颈。
易尚网关防火墙是业界唯一的利用硬件加速的(ASIC)技术进行病毒扫描的产品,保证了网络的性能。
这对于象HTTP这种实时应用是非常重要的。
Ø病毒特征库
在所有易尚网关防火墙中的基本的特征数据库,是由完全的WildList病毒码和变种组成。
WildList组织的网站为www.wildlist.org,集中了全世界的病毒专家和著名的病毒产品厂商病毒资源,是最权威的病毒和蠕虫的列表。
除了WildList的病毒和蠕虫列表,大部分基于主机的病毒产品,主要扫描传统的病毒和少有的变种,这些病毒不会散播到Internet上。
在网关处扫描这些少见的病毒没有很大的应用价值,因为这些病毒主要是通过软盘或非IP写传播。
ØWEB内容过滤
易尚网关防火墙家族提供了三种中高性能的内容过滤方式,包括:
URL过滤、关键字阻塞和脚本过滤。
这些特性作为网络层服务提供WEB内容过滤(HTTP)。
URL过滤
▪包括基本的URL数据库(SquidGuard),有50多万个URL
▪用户定制化的数据库
▪从管理接口上传和下载限制的URL列表
▪选择URL进行阻塞
关键字阻塞
▪多个单词或词组过滤
▪完全用户化的关键字列表
▪单字节和双字节的词语过滤
▪自动上传和下载限制的词语
脚本过滤
允许或拒绝Javaapplets,ActiveX,Cookies和MaliciousScripts
ØVPN
易尚网关防火墙产品系列工业标准的VPN,在两个YES系列安全产品保护的网络或YES系列与支持IPSec、PPTP或L2TP的第三方VPN保护的网络之间,建立加密流量传输隧道。
VPN隧道终止后,易尚网关防火墙自动地加密VPN流量,并发送内容穿过反病毒引擎。
VPN功能包括:
▪支持多区域VPN
▪IPSec,ESP安全隧道模式
▪硬件加速加密IPSec,DES,3DES
▪HMACMD5或HMACSHA认证和数据完整性。
▪自动IKE和手工密钥交换
▪通过大多数操作系统支持的PPTP容易的建立VPN连接
▪通过大多数操作系统支持的L2TP容易的建立VPN连接
▪IPSec和PPTPVPN穿越使你的内部网络的计算机或子网能够连接到互联网上的VPN网关
▪IPSecNAT在没有被数据传输途径NAT设备阻断的情况下建立IPSec隧道
▪支持HUB,该功能允许在分支机构与总部之间容易的建立VPN隧道,这样减轻了管理员在许多分支机构与总部之间维护需要安全通讯的VPN隧道
Ø防火墙
易尚网关防火墙系列都是基于状态检测技术的,保护你的计算机网络免遭来自Internet的攻击。
防火墙通过仔细地设置接口提供了安全控制策略,甚至在复杂的情况下还允许做详细的控制。
易尚网关防火墙安全策略包括下列范围:
▪通过网络分段和细粒度的策略到达多个区域
▪控制输入、输出流量
▪对所有策略选项阻止或允许访问
▪单个有效策略的控制
▪接收或拒绝单个地址到达或发送的流量
▪控制个别组标准的和用户自定义的网络服务
▪对用户接入Internet进行授权认证
▪对每个策略可以进行基本带宽、保障带宽以及优先级设置的流量控制
▪支持动态IP地址池,允许配置使用地址池的NAT灵活策略
网络地址转换:
在NAT模式,YES系列产品在内部网和Internet之间设置了一个秘密的屏障,防火墙提供了网络地址转换来保护私有网络。
NAT模式下,你能够添加DMZ网络来提供内部服务器给Internet用户访问,DMZ区是在防火墙的后面不同于内部网的独立网络。
你还可以配置最多8个用户自定义接口给用户提供多安全区域管理。
NAT模式下的防火墙功能:
▪防火墙防御,按照源/目的地址、服务和时间来允许/拒绝流量
▪VPN,反病毒和Web内容过滤
▪IP/MAC绑定
▪高可用性(HA),在主ES工作失败后做备份的ES产品能够接替它继续工作。
▪8个用户自定义的接口提供了多区域安全管理。
▪记录到WebTrend的Syslog服务器的详细日志
透明模式:
当一个预先设置好使用公共地址的网络需要防火墙保护时,透明模式提供了更快捷更简易的安装,防火墙的内部网接口和外部网接口能够共存于两个相同的网络中,因而,防火墙可以在不需要对已有网络进行任何改动的前提下将其接入到网络中的任何一点。
数据包到达易尚网关防火墙后会快速转发到正确的网络端口,同时防火墙策略防止对网络的未授权访问。
透明模式提供了和网络地址转换模式(NAT)一样的最基础防火墙保护功能,然而,更高级的特性,如:
DMZ网络、虚拟专用网络(VPN)和内容过滤等都只能在网络地址转换模式(NAT)下使用。
Ø网络入侵检测
易尚网关防火墙内置的NIDS系统,可以防护包括以下内容的超过1300多种方式的攻击:
▪分布式拒绝服务攻击(DDoS)
▪SYN攻击
▪ICMPFlood
▪UDPFlood
▪IP碎片攻击
▪死Ping攻击
▪泪滴攻击
▪LandAttack
▪端口扫描攻击
▪IP源路由
▪IP欺骗攻击
▪AddressSweepAttack
▪WinNuke攻击
一旦发现其中一种攻击,该攻击就会被记录到攻击日志中。
客户支持
我们的产品已经得到国家公安部的许可,可以在中国市场上销售。
所有的易尚网关防火墙产品在中国都有专业的技术支持队伍,提供快捷优质的售前和售后客户支持。
第二章xxxx行业网络现状
2.1xxxx公司(企业)网络总体现状
(客户网络具体分析)
(网络的拓扑结构图)
xxxx系统的全国广域网络由三个主要部分组成:
分公司局域网络,及办事处局域网络,总部信息中心与相关合作伙伴互联的网络。
全网为树型结构,总体分为3级,各办事处通过PSTN(或专线)连接到当地分公司司,各地市分公司通过光纤或者2M数字电路(SDH)连接到总公司。
xxxx公司信息中心通过宽带接入INTERNET。
整个网络的拓扑结构如图2—1所示:
图2-1xxxx行业网络现状结构示意图
2.2总部(中心结点)局域网络总体现状
总公司局域网作为全省的信息中心和管理中枢,担负着数据的传输、处理、存储,网站的信息收集与发布,对整个网络的监控管理和安全认证等任务。
总部信息中心网络采用分层式网络架构,即核心层、接入层和远程访问层。
网络的接入采用星型结构,明确划分结构之间的功能需求,保证骨干层数据传输的高速、稳定性,接入层可用性、灵活性和可扩展性。
在本局域网中,核心层由构成,接入层由交换机构成,远程访问层主要由防火墙、路由器等组成。
整个网络的拓扑结构如下图所示:
(xxxx行业总部局域网络拓扑结构图)
2.3XXXX行业网络系统应用现状
(根据用户实际情况分析)
XXXX公司局域网是一个集网络中心、应用中心和资料中心为一体的全信息数据中心和管理中枢。
在xxxx公司局域网中包括需要对外提供服务的WEB服务器、EMAIL服务器和数据库服务器和内部网管和其它服务器等,本地内部网络和下属公司以及内部子网可以通过专线访问主集群服务器,同时访问INTERNET。
INTERNET上的用户可以通过INTERNET访问对外提供服务的服务器,但被禁止访问内部服务器及其它内部网络上的计算机。
xxxx公司计算机网络的主要应用为:
2.3.1办公自动化系统
xxxx公司办公自动化系统是实现xxxx公司局域网络内部各部门之间、xxxx分公司各局域网之间以及xxxx内外部之间办公信息的收集与处理、流动与共享、实现科学决策的信息系统。
其总体设计目标是:
“以先进成熟的计算机和通信技术为主要手段,建成一个覆盖全系统的办公信息系统,提供xxxx总部与其他专用计算机网络(地市及外部网络)之间的信息交换,建立高质量、高效率的xxxx行业信息网络,为领导决策和机关办公提供服务,实现机关办公现代化、信息资源化、传输网络化和决策科学化。
”
xxxx办公应用系统的邮件、群件与Web应用开发平台,结合必要的相关系统、产品与工具,构筑xxxx办公自动化系统。
主要组成部分包括电子邮件、文件传输、综合信息服务、综合办公系统、决策支持等部分,其中综合办公系统包括公文管理、政务信息管理、签报、报告管理、会议系统等子系统。
2.3.2电子商务系统
信息技术以其无可比拟的优势,必将成为各行业的新的契机。
其它产品一样,作为一种商品在全社会流通,依靠的是现有的商品运行机制来实现它的本身价值。
电子商务无可争议地成为现代社会的商品交易和管理的最有效手段之一。
利用互联网技术建立电子商务平台,xxxx公司的各项工作如信息服务、保险业务、客户服务、代理人服务等等都将开拓更广阔的发展空间。
因此一个完善的、灵活的电子商务平台对于把握新经济浪潮中的机遇是有着非常的必要。
Xxxx公司正是在这样的一种形式下建立了自己的电子商务系统。
第三章安全系统风险分析
网新易尚认为没有一种技术可完全消除网络中的安全漏洞,网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。
不幸的是,由于缺乏安全技术、网络增长迅速、网络应用对安全的需求及不断快速增长的安全威胁等因素,给有限的安全资源带来巨大的压力。
这些增长的压力有一个明显的后果——重要的在线资源频繁而不可预料地发生安全问题和危险的误操作问题。
在xxxx网络应用系统中,有电子商务系统、OA系统等,一旦这些重要的系统中的某个子系统或环节出现问题的话,导致系统一刻的停顿都会带来巨大的经济损失。
更不用说敏感信息的窃取、关键数据的丢失和篡改了,所以,如何保障网络的安全、可靠的运营,是xxxx的当务之急。
图3—1是开放的互联网络所带来的安全风险示意图:
图3—1安全风险示意图
对于xxxx系统来说,通过专线连入Internet,对外提供电子商务、业务系统,内部网络中存取大量的重要数据和敏感信息,如何保证系统的正常运行呢?
网新易尚提出通常人们在进行系统安全维护时仅会考虑认证,授权,加密和存取控制这四个机制,但很少考虑到真正的应用系统是构筑在网络通信层,操作系统层,系统应用层三个层次综合的基础之上的。
例如,在业务系统中采用了加密机制,能够保证数据传输过程中的安全性,但数据本身的安全性还依赖于网络协议的安全性、操作系统的安全性,甚至业务系统的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- xxxx 行业 安全 解决方案 经典 标书