天融信网络安全技术有限公司
目 录
1. 概述 3
1.1. 项目背景及需求 3
1.2. 项目目标 3
2. 用户需求分析 5
2.1. 安全需求分析 5
2.1.1. 网络安全的需求 5
2.1.2. 管理安全的需求 8
3. 安全措施设计 8
3.1. 设计目标 8
3.2. 设计原则 8
4. 应用安全解决方案 10
4.1. VPN系统设计 11
4.2. 网络入侵防御系统设计 11
4.3. 内网管理和安全准入设计 12
4.4. 网络防病毒设计 14
4.5. 病毒过滤网关设计 15
4.6. 安全隔离与信息交换系统的设计 17
5. 安全建设效果 17
6. 设备配置清单 19
6.1. XX火电建设公司安全产品清单 19
7. 安全产品说明 20
7.1. 天融信TOPVPN 6000网关简介 20
7.2. 天融信入侵防御系统产品介绍 25
7.3. 盈高多维安全准入控制系统简介 29
7.4. 江民网络版杀毒软件产品介绍 34
7.5. 天融信防病毒过滤网关简介 38
7.6. 国保金泰安全隔离与信息交换系统产品介绍 39

概述
项目背景及需求
XX火电建设公司网络系统经过多年建设和运行，虽然目前能基本满足业务系统的安全需求，但网络中存在着自然和人为等诸多因素的脆弱性和潜在威胁。尤其是在开放的网络环境下，信息系统不可避免会受到来自各个方面的各种主动或被动的人为攻击，如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等。XX火电建设公司网络中不时出现的ARP攻击和U盘带有病毒或木马接入网络，也是困扰网络管理者和用户的迫切需要解决的问题。

XX火电建设公司业务系统数据敏感程度高，对数据采集、处理、传输和存储自然提出了更高的要求。随着信息技术的发展，系统的安全性也就成了重中之重，针对现有网络进行安全加固和安全建设迫在眉睫。通过在现有基础上对信息系统进行全面的安全风险评估、需求分析和升级改造，并结合XX火电建设公司业务系统自身特点和等级保护相关要求重新进行信息安全保障体系的整体规划和整改建设，从而增强XX火电建设公司信息系统安全保障能力。

项目目标
通过安全升级建设后的XX火电建设公司网络系统必须具备高度的安全性、可靠性和稳定性，为各项业务系统和办公系统的应用搭建好一个高效、安全、稳定的平台。

本方案是在充分调查和了解XX火电建设公司信息网络建设情况，结合国家相关政策和标准而进行的规划和设计，为XX火电建设公司网络安全而提出规划性建议，实现以下的设计目标：
信息网络保密性目标
确保XX火电建设公司网络中的信息只能被授权的人员访问，具体防护目标包括：
信息系统不会被越权访问，只有授权用户在经过鉴别后，防可发起访问，获取相关信息；
信息系统的合法访问身份具有“唯一性”，并且身份无法被复制，在网络中无法被假冒；
信息系统中存储的数据也需要有防非法拷贝措施，对于信息的合法复制、拷贝、删除等操作，有相应的日志信息，并且日志信息可以追查到用户的身份。

信息网络可用性目标
XX火电建设公司的可用性目标指要确保已授权用户在需要时，可以正常访问XX火电建设公司中的信息和相关资产。可用性破坏是指XX火电建设公司所提供服务的中断，授权人员无法访问XX火电建设公司和信息。

对于XX火电建设公司来讲，可用性目标是保障XX火电建设公司授权用户能够及时、可靠地访问信息、服务和系统资源。在本方案中重点考虑的可用性保护目标包括两个方面：
确保XX火电建设公司所提供服务的可用性；
确保XX火电建设公司中存储、传输和处理的信息的可用性。

信息网络完整性目标
XX火电建设公司的完整性目标指要确保XX火电建设公司中信息及信息系统的准确性和完备性。针对XX火电建设公司，完整性破坏是指对XX火电建设公司的信息和信息系统的未授权修改和破坏，导致错误信息被传递或被存储。本方案中重点考虑完整性保护包括以下几个方面：
系统能够检测到管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏，并且在检测出错误时，系统能够采取相应的措施；
系统能够检测到管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏，并且在检测出错误时，系统能够采取相应的措施；
系统完整性目标还体现在XX火电建设公司信息系统自身的完整性，从物