已阅读5页,还剩30页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
企业安全解决方案模企业安全解决方案模 板板 北北京京天天融融信信科科技技有有限限公公司司 2 20 00 05 5年年6 6月月 目目 录录 第一章第一章 前言前言3 3 1.1 背景 3 1.2 项目概述 3 第二章第二章 XXXX 企业信息网络的整体安全体系设计企业信息网络的整体安全体系设计 5 5 2.1 信息安全体系设计原则 5 2.2 信息安全体系结构分析 6 2.2.1 安全服务模型 7 2.2.2 协议层次安全模型 7 2.2.3 安全实体单元 8 第三章第三章 XXXX 企业信息网络的安全现状和需求分析企业信息网络的安全现状和需求分析 1010 3.1 XX 企业网络安全现状及威胁分析.10 3.1.1 内部网络与 Internet 互联的安全威胁 11 3.1.2 来自内部网络的安全威胁 .11 3.1.3 系统的安全风险分析 .13 3.1.4 病毒对 XX 企业网络安全运营的安全威胁 14 3.1.5 安全服务体系不健全的威胁 .14 3.2 XX 企业安全需求.14 3.2.1 防病毒体系需求 .14 3.2.2 强制性网管软件需求 .15 3.2.3 防火墙需求 .15 3.2.4 过滤网关需求 .16 3.2.5 入侵检测需求 .16 3.2.6 漏洞扫描需求 .16 3.2.7 安装需求 .16 第四章第四章 信息网络的安全方案设计信息网络的安全方案设计1717 4.1 安全管理 .17 4.2 安全防护 .17 4.3 安全监测 .17 4.4 病毒防护 .18 4.5 安全服务 .18 第五章第五章 XXXX 企业网络安全项目解决方案企业网络安全项目解决方案 1919 5.1 XX 企业防火墙解决方案.19 5.1.1 XX 企业防火墙的部署.19 5.1.2 XX 企业防火墙的作用.23 5.2 XX 企业入侵检测方案.24 5.3 XX 企业漏洞扫描解决方案.26 5.4 XX 企业防病毒解决方案.27 5.4.1 网络版防病毒解决方案 .27 5.4.2 网关防病毒解决方案 .28 5.5 XX 企业安全管理系统解决方案.29 第一章第一章 前言前言 1.11.1 背景背景 随着近年来网络安全事件不断地发生,安全问题也已成为 IT 业的一个热点, 安全问题对于 XX 企业的发展也越来越重要。安全问题已经成为影响 XX 企业业 务平台的稳定性和业务的正常提供的一个问题,所以提升我们 XX 企业自身的安 全性也已经成为 XX 企业增强企业竞争力的重要方面之一。 XX 企业集团是国家重点支持的 520 家工业企业大型支柱产业集团之一。随 着信息技术的迅猛发展,XX 企业集团领导充分认识到网络安全建设的重要性, 为了更好的开展生产、科研工作,决定对现有信息系统进行网络安全技术改造。 1.21.2 项目概述项目概述 本次信息安全项目包括 XX 企业集团下属企业、附属机构和分支机构的网络 安全系统建设所需的相关设备、软件以及方案详细设计、系统集成、管理制度 的建立、培训、技术支持与服务等内容。实施是在网络现有应用基础上的改造, 对网络整体的安全加固,所以在上新的系统时不能影响原有系统应用的整体性 能。 建立整体网络安全体系; 建设整体的防病毒体系,保证网络病毒不会由公司主干网传入专网,保证 远程 VPN 网络或用户的病毒不会传入公司主干网; 对于 INTERNET 上新病毒的反应、处理速度,比如当时“震荡波”病毒,要 在“黄金响应”时间内通知如何防范和相应补丁,在没有扩散到大范围及时发 现病毒;如果内网存在病毒,能够对其定位,知道在哪个机器上,是哪种病毒, 能够清除并有相应的日志; 保证系统服务器、生产专网、电话站专网的高可用性、抗攻击性; 能够查询谁在什么时间、什么地点、用什么方式访问了什么网络资源,上 了什么网站,要有分用户、分时间段、分服务类别的详细清单及统计报表; 强制性管理终端用户设备,并按照统一规划的不同策略管理不同的终端用 户设备或终端用户设备组; 能够及时觉知谁在攻击或在探测网络,并及时阻断攻击以及非法探测并有 详细的日志,在发生外部入侵进来时,必须及时报警并发邮件到管理人员邮箱, 并提供相应的策略; 对公司内网的安全能够做到:谁在用非法手段扫描、攻击服务器或别人的 机器,谁私自改 IP 地址,新的机器接入内网或非法上外网,不能随便安装、卸 载软件等等。对这些违反规定的机器要有相应的日志,并可以进行阻断; 对本公司内的生产子网要做好安全隔离,即使 XX 企业主干网上有病毒在传 播但不能传到该子网中去,该子网只保留一些必要的数据通讯端口与主干网络 通讯,其他端口必须屏蔽掉。 评估网络及主要的服务器、明确应用存在哪些漏洞及其补救措施,当前发 现的所有漏洞得到弥补,不能弥补的要有应急措施预案; 各种系统具备完善的日志及审计功能,可以追溯安全事件,可以按照不同 的方式出具各种报表; 第二章第二章 XXXX 企业信息网络的整体安全体系设计企业信息网络的整体安全体系设计 2.12.1 信息安全体系设计原则信息安全体系设计原则 XX 企业信息安全保障系统涉及到整个工程的各个层次,网络和信息安全方 案的设计遵循以下原则: 整体安全 XX 企业信息安全保障系统的是一个复杂的安全系统工程,对安全的需求是 任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发,综合 考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信 息网络和业务系统提供全方位安全服务。 有效管理 没有有效的安全管理(如防火墙监控、审计日志的分析等等) ,各种安全机 制的有效性很难保证。XX 企业信息安全保障系统所提供的各种安全服务,涉及 到各个层次、多个实体和各种安全技术,只有有效的安全管理才能保证这些安 全控制机制真正有效地发挥作用; 合理折衷 在 XX 企业信息安全保障系统的建设过程中,单纯考虑安全而不惜一切代价 是不合理的。安全与花费、系统性能、易用性、管理的复杂性都是矛盾的,安 全保障体系的设计应该在以上四个方面找到一个合理的折衷点,在可接受的风 险范围内,以最小的投资换取最大的安全性,同时不因性能开销和使用、管理 的复杂而影响整个系统高效运行的总体目标。 责权分明 采用分层、分级管理的模式:一方面,XX 企业信息系统可以分为三层:信 息网络、计算机系统和应用系统;另一方面,网络和应用系统都有中心、下属 等的分级结构。各级网络管理中心负责网络的安全可靠运行,为应用信息系统 提供安全可靠的网络服务,各级信息中心负责计算机系统和应用系统的安全管 理。 综合治理 XX 企业信息系统的安全建设是一个系统工程,信息网络的安全同样也绝不 仅仅是一个技术问题,各种安全技术应该与运行管理。机制、人员的思想教育 与技术培训、安全法律法规建设相结合,从社会系统工程的角度综合考虑。 2.22.2 信息安全体系结构分析信息安全体系结构分析 XX 企业信息系统对安全的需求是任何一种单元安全技术都无法解决的。安 全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系 的完备性、合理性。 在信息网络安全体系结构的研究表明,想要从一个角度得出整个信息系统 完整的安全模型是很困难的。借鉴美国国防部 DISSP 计划中的安全框架,我们 提出了适合 XX 企业信息系统的安全体系结构模型。该模型由安全服务、协议层 次和系统单元三个层面描述,且在每个层面上,都包含安全管理的内容。该模 型在整体上表现为一个三线立体框架结构。 信息网络安全体系结构 安全服务取自于国际标准化组织制订的安全体系结构模型 ISO7498,我们 在 ISO7498 的基础上增加了审计功能和可用性服务。 协议层次的划分参照 TCPIP 协议的分层模型。 系统单元给出了信息网络系统的组成。 安全管理涉及到所有协议层次、所有单元的安全服务和安全机制的管理。 安全管理涉及两方面的内容:各种安全技术的管理和安全管理制度。 .1 安全服务模型安全服务模型 国际标准化组织所定义的安全体系结构中包括五组重要的安全服务,这些 安全服务反映了信息系统的安全需求。这五种服务并不是相互独立的,而且不 同的应用环境有不同的程度的要求,我们在图中给出了主要安全服务之间的逻 辑关系。 各种安全服务之间的逻辑关系 在不同的协议层次,实体都有主体和客体(或资源)之分:在网络层,对 主体和资源的识别以主机或协议端口为粒度,认证服务主要指主机地址的认证, 网络层的访问控制主要指防火墙等过滤机制;在应用系统中,主体的识别以用 户为粒度,客体是业务信息资源,认证是指用户身份认证和应用服务的认证, 访问控制的粒度可以具体到某种操作,如对数据项的追加、修改和删除。在开 放式应用环境中,主体与客体的双向认证非常重要。 从这一模型可以得出如下结论:对资源的访问控制是安全保密的核心,而 对实体的(用户、主机、服务)认证是访问控制的前提。 .2 协议层次安全模型协议层次安全模型 从网络体系结构的协议层次角度考察安全体系结构,我们得到了网络安全 的协议层次模型,如图所示,图中实现上述安全服务的各种安全机制,并给出 了它们在协议层次中的位置。该模型与 OSI 体系结构一致。 协议层次模型 .3 安全实体单元安全实体单元 在工程实施阶段,各种安全服务、各协议的安全机制最终要落实到物理实 体单元。如图所示,从实体单元角度来看,安全体系结构可以分成以下层次: 物理环境安全。 端系统安全,主要保护网络环境下端系统的自身的安全。 网络通信安全,一则保障网络自身的安全可靠运行,保证网络的可用性; 二则为业务数据提供完整性、保密性的安全服务。 应用系统安全,为某种或多种应用提供用户认证、数据保密性、完整性 以及授权与访问控制服务等。 系统单元安全模型 其中,安全政策是制定安全方案和各项管理制度的依据,安全政策是有一 定的生命周期的,一般要经历风险分析、安全政策制定、安全方案和管理制度 的实施、安全审计和后评估、四个阶段。 安全管理是各项安全措施能够有效发挥作用的重要保证。安全管理的内容 可以分成安全技术管理和安兮管理制度两部分。安全技术的管理包括安全服务 的激活和关闭、安全相关参数的分发与更新、安全相关事件的收集与告警等。 第三章第三章 XXXX 企业信息网络的安全现状和需求分析企业信息网络的安全现状和需求分析 随着计算机技术和网络技术的发展,网络成为信息高速公路,人们利用网 络来获取和发布信息,处理和共享数据。但是网络协议本身的缺陷、计算机软 件的安全漏洞,对网络安全的忽视给计算机网络系统带来极大的风险。实际上, 安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。 网络安全是一个体系工程,如果把 XX 企业网络信息系统划一个边界的话, 未来在广域网建好之后可能发生的安全威胁会来自各个方向、各个层面。 3.13.1 XXXX 企业网络安全现状及威胁分析企业网络安全现状及威胁分析 XX 企业集团现有信息网络覆盖 10 平方公里之内的各个下属钢铁企业、附 属机构和分布在异地的远程分支机构。到目前为止,共有终端用户 1000 余个, 其中包含各种服务器 30 台。网络设备基本采用 CISCO 系列产品,主干网络交换 机近 100 台。整个网络拥有 100M 的因特网出口。 Interne t E-MAIL转发服务器转发服务器 Proxy AAACisco364 0 防火墙防火墙pix 2950- 12 3500G- 24 小型机小型机 SUNFIRE4800 Catalyst650 6 Catalyst650 6 Catalyst400 6 Catalyst400 6 2950G-24 2950G- 24 2950G-48 生产子网生产子网1 2950G- 24 2950- 12 2950- 12 VPN及移动上网卡及移动上网卡 3550G-12T 终端服务器终端服务器 计量服务器计量服务器 E-mail服务器服务器 3548G 2m数字电路数字电路 三个分厂三个分厂 生产子网生产子网2 下面主要针对 XX 企业的信息系统,列出可能面临的主要安全威胁为: .1 内部网络与内部网络与 InternetInternet 互联的安全威胁互联的安全威胁 与 Internet 相连,如果没有边界防护将是危险的。 XX 企业内部网络与 Internet 如果不采取安全防护措施,这样内部网络 很容易遭到来自于 Internet 中可能的入侵者的攻击。如: 入侵者通过 Sniffer 等嗅探程序来探测扫描网络及操作系统存 在的安全漏洞,如网络 IP 地址、应用操作系统的类型、开放哪 些 TCP 端口号、系统保存用户名和口令等安全信息的关键文件 等,并通过相应攻击程序对内网进行攻击。 入侵者通过网络监听等先进手段获得内部网用户的用户名、口 令等信息,进而假冒内部合法身份进行非法登录,窃取内部网 重要信息。 恶意攻击:入侵者通过发送大量 PING 包对内部网重要服务器进 行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪 在 Internet 上爆发网络蠕虫病毒的时候,如果内网的边界处没 有访问控制设备对蠕虫病毒在第一时间进行隔离,那么蠕虫的 攻击将会对网络造成致命的影响。 分支机构通过 Internet 与总公司进行通讯的安全威胁 在 Internet 上传输的公司内部数据,会面临被读取,被篡改, 被冒名的安全威胁,所以需要对数据的源发性、数据的机密性、 数据的完整性进行验证。 在分支机构与总部的 VPN 网关建立隧道以后,如果分支机构的 计算机遭到病毒或黑客的入侵,同样将会对 XX 企业的内网造成 安全威胁。 .2 来自内部网络的安全威胁来自内部网络的安全威胁 核心交换机如果没有访问控制,就不能抵御日益严重的网络攻击 XX 企业内部系统基本是一个三层互联的网络,核心交换机的设计如 果可以实现内部网络之间的访问控制。即使在交换机上可以通过配置提 供一些安全保证,但是其强度是不足的。现在的黑客攻击工具在网络上 泛滥成灾,任何一个稍微有点计算机操作能力的人员都可以利用这些工 具进行攻击。同时,由于内部人员比较熟悉系统的情况,其攻击行为更 容易取得成功。据权威数据表明,有 97的攻击是来自内部攻击和内 外勾结的攻击,而且内部攻击成功的概率要远远高于来自于外部网络的 攻击,造成的后果也严重的多。 而且 XX 企业的网络很庞大,覆盖面积广,内部人员复杂,不同的 网络区域对于内网的应用系统都会构成安全威胁。具体表现在:首先是 XX 企业内部任何区域的安全级别都要低于两台重要的 ERP 服务器,也 是就其他的网段和区域都会对两台 ERP 服务器造成威胁;其次是棒材和 炼钢生产子网;炼钢大高炉生产子网;矿业公司和二化子网;电话站专 网。这些专网之间都需要进行访问控制。 服务器区的安全威胁,缺少入侵监测设备 XX 企业的内部服务器组存有很多重要的数据,这些数据是不能丢 失或损坏的,因此一定要对这些服务器进行重点保护,防止这些数据被 篡改和窃取。在该网络结构中,各重要的服务器和主机都将是通过核心 交换机直接与其他子网连接的,并且这些服务器区的边界如果没有任何 访问控制产品和监控设备,内部人员对这些服务器可以很容易实施攻击。 网络节点变化的隐患 在 XX 企业集团网络系统中,预留了一些空节点以备人员扩充时使 用,若有非法人员利用这些节点接入后,就可以直接连入 XX 企业集团 的网络中,并且能与网络中的数据库服务器物理连接。此时,该人员 就可以非常方便地通过一些非法的工具和手段来随意攻击网络上的数 据库服务器和其他客户端主机、盗取网络上的一些关键数据以及获取 当前比较详细的 XX 企业集团整体网络情况为以后更致命的攻击做好准 备,然而网络管理员并没有一个有效的方法来实时了解网络中各节点 的情况,控制这些网络节点的变化,因此给整个 XX 企业集团的网络系 统造成极大的威胁。 非法访问的危害 XX 企业集团的网络是一个多应用多连接的系统,虽然目前已经存在 一些常用的访问控制手段:所有用户在访问服务器时都必须输入正确 的用户名和口令等,但是这样的网络结构利用传统的网络管理措施难 以实现有效的访问控制。对于网络中没有访问其他网段主机权限的用 户来说,当要对其他网段上主机发动攻击时,其情况类似于外部网络 的攻击。但是与外部网络的攻击者相比,内部攻击者对网络结构了解 的更加细致,而且更容易窃取用户登录所需资料,所以非法访问更易 成功。如某台非法主机在经过相关的配置后就可以与网络中的数据库 服务器和其他客户端主机进行 TCP/IP 通信。这样就能够通过仿冒合法 用户或通过其他黑客工具对客户端甚至关键的数据库服务器进行非法 通信和数据访问,这将给 XX 企业集团带来严重的危害。 非法应用的威胁 XX 企业集团系统中有许多的应用在实时地使用着,尤其是数据库和 工业控制的应用。但网络管理员并没有一个有效方法来监控这些应用 的使用,然而多数的木马程序都是以注入内存的方式来调用一些非法 应用与黑客通信的。若此时有一台开发客户端主机中了木马程序,在 正常访问服务器的过程中就可能通过这一非法应用程序将访问服务器 的账号、口令以及访问方式都泄露给黑客,黑客就能通过获取的信息 堂而皇之地登录到该应用服务器上,并能在该服务器上也启动一些非 法的应用服务,帮助黑客完全地控制服务器。 .3 系统的安全风险分析系统的安全风险分析 如果没有漏洞扫描和安全评估机制,将不能及时地填补网络漏洞 所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操 作系统或应用系统无论是 Windows 还是其它任何商用 UNIX 操作系统以 及其它厂商开发的应用系统,其开发厂商必然有其 Back-Door。而且系 统本身必定存在安全漏洞。这些“后门“或安全漏洞都将存在重大安全隐 患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的 应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏 洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置, 比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而 又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要 相当高的技术水平及相当长时间。 .4 病毒对病毒对 XXXX 企业网络安全运营的安全威胁企业网络安全运营的安全威胁 外部外部 XX 企业与 Internet 有直接通道,会受到来自专网以 HTTP、SMTP、FTP 等数据流为载体的潜在病毒的威胁。 内部内部 局域网中的工作站及文件服务器都会受到病毒的感染,病毒的 攻击方式多种多样,有通过局域网传播、传统介质(光盘、软盘、USB 硬盘等)传播等等,一旦受到感染,便会迅速传播,会给日常的工作和 生产带来极大的威胁。 网络带宽网络带宽 高速传播和具有网络攻击能力的病毒,能占用有限的网络 带宽,导致网络瘫痪。CodeRed,冲击波以及 Mydoom 就是典型导致网络 瘫痪的病毒,能导致网络交换机、路由器、服务器严重过载瘫痪。 间接损失间接损失 病毒造成的间接损失可能更大,病毒造成的事故对企业的 影响是直接导致企业信息资产损失,可能影响生产运营。 .5 安全服务体系不健全的威胁安全服务体系不健全的威胁 一个网络的安全,不是仅靠一种安全产品就能保障的,是需要多种安全产 品共同维护的。如今的网络攻击和网络漏洞日益严重,它需要网络管理人员具 有快速的响应机制。如果没有一个完善的安全服务体系,将尽可能多的安全产 品统一来维护,面对突如其来的网络攻击,XX 企业可能将面临巨大的损失。同 时,众多品牌的安全产品采购,也将对 XX 企业的网络的维护带来不便。 3.23.2 XXXX 企业安全需求企业安全需求 .1 防病毒体系需求防病毒体系需求 自动安装客户端软件; 自动更新、分发客户端软件及病毒库; 网络中布置了多少台机器,还有多少台未安装防病毒软件; 客户端软件、病毒库版本是否为最新,病毒防护或发作信息; 客户端软件不允许随意卸载; 网络中那些病毒在传播; .2 强制性网管软件需求强制性网管软件需求 网络上有哪些交换机,有哪些计算机; 网络拓扑结构,交换机如何互联,每台交换机接了那些终端; 网络性能管理、流量管理、故障管理、日志管理; 资产信息收集与管理; 管理制度制订、落实; 客户端软件不允许随意卸载; 远程管理与控制; 软件分发; 操作系统补丁分发、安装; 管理中心; 网络设备的软件升级(IOS 升级至最高版本) ; .3 防火墙需求防火墙需求 支持双机热备份功能,切换时间不超过 3 秒; 因特网出口(现状:100M) ,支持 VPN 功能,能够与 VPN 网关协调一致 工作,移动用户能够利用操作系统自带的 VPN 连接、通过 cisco 公司 ACS 3000 验证用户进入公司内网; 北京分公司(现状:Adsl) ,利用 VPN 网关与公司因特网出口防火墙建 立 VPN 连接进入公司内网; 北京库房(现状:华为路由器,128K DDN) ,利用 VPN 网关与公司因特 网出口防火墙建立 VPN 连接进入公司内网; 两台 ERP 小型机(每台小型机配置:双千兆短波多模光纤网卡,防火 墙采用桥接模式) 棒材生产子网、炼钢生产子网(百兆) 炼钢大高炉生产子网(千兆长波单模光纤) 矿业公司(2 条 2M 数字电路,连入电话站交换机)、二化(1 条 2M 数字 电路,连入电话站交换机) 电话站专网 .4 过滤网关需求过滤网关需求 因特网(现状:100M)入口,必须至少支持 4 种 Internet 协议: SMTP、POP3、HTTP、FTP,并具有日志以及日志分析功能; .5 入侵检测需求入侵检测需求 内网关键区域及因特网(现状:100M)出口,具有安全审计功能; .6 漏洞扫描需求漏洞扫描需求 定期挂接到网络中,对当前网络上的重点服务器(如 WEB 服务器、邮件服 务器、DNS 服务器、主域服务器等)以及主机进行一次扫描,得到当前系统中 存在的各种安全漏洞,并有针对性地提出补救措施报告; .7 安装需求安装需求 所有安全产品布置在项目附带的机柜内,并且在机柜内配置 2 台 32 口自动 多电脑切换器,配置相应的键盘、光电鼠标、显示器及线缆; 安全设备要有管理口,便于管理,降低安全产品本身的安全威胁,要有分 权管理,管理与审计权限分开; 要保证系统服务器、生产专网的高可用性、抗攻击性; 制定详细的实施计划,明确双方责任,专业技术工程师、制度管理师按照 实施计划布置实施符合 XX 企业管理需求的安全策略、制定符合 XX 企业管理需 求的制度体系; 各个系统协调一致工作,不能出现软件或硬件冲突; 第四章第四章 信息网络的安全方案设计信息网络的安全方案设计 4.14.1 安全管理安全管理 环节分析:环节分析: 主要是指 XX 企业集团要设备管理、人员管理、策略管理等; 目前 XX 企业集团尚无一套完善的网络安全管理体系,我们要建立通过 一定的国际标准来建立建设管理体系。 需求建议需求建议: XX 企业集团信息网需要对全网所有设备和终端用户进行管理。负责管理计 算机的技术人员和一般计算机使用人员,依靠一定的安全技术和手段和一些好 的管理办法,制定一些切实可用的网络安全策略,来建立 XX 企业集团信息网的 安全管理体系。另外建议应用强制性的网管系统对网络设备和客户端进行管理。 4.24.2 安全防护安全防护 环节分析环节分析: : 该环节的包括访问控制、保密性、完整性、可用性、不可否认性。该环 节主要依靠一些相关的技术手段来实现。访问控制主要依靠防火墙技术、 划分 Vlan 技术身份认证技术等方式来实现; 保密性、可用性、不可抵赖性:主要包括一些信息保密手段,例如使用 VPN 技术、采用加密软件、或者应用 CA 证书保证数据的安全防护等。 防护还包括对线路高可用性、网络病毒防护、数据容灾防护等方面。 需求建议需求建议: : 安全保护围很广涉及的技术也较多,对于 XX 企业集团信息网目前最需要的 防护手段是对全网的防护,使用防火墙、防病毒技术和入侵检测,在此基础上 建议加强对 XX 企业集团数据中心信息网的防护体系建设。对分支机构建议采用 VPN 网关建立隧道。 4.34.3 安全监测安全监测 环节分析环节分析: : 主要是指实时监测、风险评估、系统加固、漏洞修补等; 实时检测主要依靠入侵检测系统、风险评估依靠于脆弱性分析软件,系 统加固和漏洞修补要求网络管理人员能够随时跟踪各种操作系统和应用 系统漏洞情况及时采取必要的措施。 需求建议需求建议: 对于 XX 企业集团信息网目前尚无任何网络安全监测措施,对于发生的网络 安全问题需要有效的监测手段;对于全网的风险评估需要建立相应的评估制度; 对于系统加固和漏洞修补需要固定的工作流程和漏洞发现和加固计划。 4.44.4 病毒防护病毒防护 环节分析:环节分析: 主要针对全网 1000 多台主机和 30 多台服务器进行病毒防护。对网络的 边界及接入点进行病毒的监控。 需求建议需求建议: 目前 XX 企业集团急需一套网络版的防病毒软件覆盖整个网络。在网关处建 议配置防病毒网关。 4.54.5 安全服务安全服务 环节分析:环节分析: 一个优秀的网络安全系统的建立不仅仅依靠网络安全设备和相关安全手 段,如何去建设网络安全系统?如何去使用网络安全系统?以及出现安 全问题如何去应对?是一般网使用者非常关心的问题。究竟解决以上问 题呢?我们认为专业的事情要交给专业的人来做。 需求建议需求建议: 在 XX 企业集团信息网构建一个良好的安全系统的时候我们要有责任建议 XX 企业集团不要忽略安全公司所提供的前期、中期、后期所需的各种保障服务。 第五章第五章 XXXX 企业网络安全项目解决方案企业网络安全项目解决方案 5.15.1 XXXX 企业防火墙解决方案企业防火墙解决方案 .1 XXXX 企业防火墙的部署企业防火墙的部署 根据 XX 企业集团系统的安全现状和风险分析,我们在该网中建立防火墙子 系统。有关建立防火墙子系统的目标、功能、位置、在下文中进行详细说明。 信息化的前提就是建立起完善的信息保障体系,防火墙在信息保障体系中 对网络行为进行有效访问控制,对保证网络访问行为的有序性起到了至关重要 的作用,防火墙体系的建立直接关系到了系统能否正常运行,体系是否完善; 关系到了系统是否能够对非法访问进行有效的防范。 在 XX 企业集团网络系统中我们建立防火墙子系统的主要目标:逻辑隔离 XX 企业集团系统内网与 Internet;保护两台重要的 ERP 服务器;对棒材和炼钢生 产子网进行防护;对炼钢大高炉生产子网进行防护;对矿业公司和二化子网进 行防护;对电话站专网进行防护。以上这些专网和生产子网他们和 XX 企业集团 内网之间都需要进行访问控制。我们建议在 XX 企业集团内网和 Internet 接入 设备之间配置一台天融信网络卫士千兆防火墙 NGFW4000-UF-VPN(E),作为访问 控制设备。通过此设备除了进行访问控制而且还与远端的分支机构建立隧道, 在远端北京分公司和北京库房也配置了天融信的 VPN 网关。对于 XX 企业移动的 用户建议在单台计算机或笔记本上安装天融信 VPN 客户端软件,同样可以与总 部的 NGFW4000-UF-VPN(E)建立隧道,实现数据的安全传输。拓扑结构如下图所 示: 由于 XX 企业集团 ERP 系统承载着企业大量的重要数据信息,因此必须通过 防火墙的访问控制过滤技术对非授权的用户进行严格地控制和防护。若严格地 采取物理隔离措施,固然可以做到系统的访问控制绝对安全,但是对于通过间 接的物理访问而造成的病毒危害则很难防范(病毒库很难及时升级) ,而且对整 个信息系统的自动化和工作效率不能有效地保证。届时,可以通过防火墙系统 开放 ERP 系统的许可访问权限,其他不相关地访问用户则被严格禁止。目前 XX 企业在整体网络安全防范的情况下,着重对 ERP 的服务器进行安全防护。建议 在两台 SUN 服务器和核心交换之间部署防火墙,具体的连接方式如下图所示: 两台 SUN 的服务器做 CLUSTER,共映射两个浮动 IP,分别是应用和数据库, 两台 SUN 的服务器互为备份。我们建议在 SUN 服务器和核心交换之间加入天融 信的千兆防火墙 NGFW4000-UF,同时设定规则,只允许特定的 ERP 应用到达 SUN 服务器。经过在 XX 企业的测试,天融信的防火墙能够稳定应用在此网络结构下。 其中,最重要的技术是目前在国内的防火墙当中只有天融信支持的 Spanning Tree 的算法。如上图所示,XX 企业集团的核心网络是典型的二层备份方案,中 心两台 Catalyst6509 核心交换机,之间启用 Trunk 和 FEC 协议,下连的交换机 通过双链路分别连接两台核心交换机,通过生成树协议实现备份。Solaris 服 务器也是通过两块网卡连接两台核心交换机,物理上,一块网卡是 up,另一块 处于 down 状态。 Solaris 服务器切换的原理是这样的,每个网卡各有自己的真实 IP 地址, 两个网卡还虚拟出一个 ip,此虚拟 IP 对外提供服务,如果服务器通过 PING 检 测每个网卡的真实 ip 地址,如果不通,此网卡就变为 down,另一网卡为 up 状 态。 如果不支持生成树协议,又要避免环路出现,普通的防火墙会采用如 下图所示的连接方法(以一台服务器举例) ,每两个端口划分一个广播域,一台 防火墙要划分两个广播域。 如果断掉交换机与防火墙之间的连线,对于防火墙和服务器的连接状态依 然正常,所以服务器没有相应的收敛算法能检测到这种状态的变化,不能相应 的切换。对于天融信的防火墙由于支持 Spanning Tree 的算法,上图就可以变 成下图的连接方法: 区别表现在支持 Spanning Tree 的算法的防火墙可以把四个端口配置成一 个广播域,此时防火墙到交换机之间的切换通过生成树协议来实现,服务器到 防火墙之间的切换通过 Solaris 服务器双网卡自身的机制来切换。这也满足了 标书中要求的真正桥接的模式。 棒材和炼钢生产子网建议配置两台天融信网络卫士百兆防火墙 NGFW4000- T、矿业公司和二化子网建议配置一台天融信网络卫士百兆防火墙 NGFW4000- T、电话站专网建议配置一台天融信网络卫士百兆防火墙 NGFW4000-T。炼钢大 高炉生产子网配置天融信单模千兆防火墙 NGFW4000-UF。 .2 XXXX 企业防火墙的作用企业防火墙的作用 防火墙对内网用户一经授权便能够采用任何现有的或新出现的网络技术 访问 Internet 获取所需要的信息和服务; 防火墙可以防范各种网络攻击,能够查找到攻击的来源和类型,能够对 这些攻击进行反应; 对网络访问接入点的保护应该对相关组件与网络的性能造成尽可能少的 影响; 抗 DOS/DDOS 攻击:拒绝服务攻击(DOS) 、分布式拒绝服务攻击 (DDOS)就是攻击者过多的占用共享资源,导致服务器超载或系统资源 耗尽,而使其他用户无法享有服务或没有资源可用。防火墙通过控制、 检测与报警机制,防止 DOS 黑客攻击。所以通过防火墙上进行规则设置, 规定防火墙在单位时间内接到同一个地址的 TCP 全连接、半连接的数量, 如果超出这个数量便认为是 DOS/DDOS 攻击,防火墙在设定的时间内就 不接受来自于这个地址的数据包,从而抵御了 DOS/DDOS 攻击; 防止入侵者的扫描:大多数黑客在入侵之前都是通过对攻击对象进行 端口扫描,收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些 用户的口令弱等信息,然后再展开相应的攻击。通过防火墙上设置规则: 如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建 立多个连接,便认为是扫描行为,并截断这个连接。从而防止入侵者的 扫描行为,把入侵行为扼杀在最初阶段; 防止源路由攻击:源路由攻击是指黑客抓到数据包后改变数据包中的路 由选项,把数据包路由到它可以控制的一台路由器上,进行路由欺骗或 者得到该数据包的返回信息。通过在防火墙上配置规则,禁止 TCP/IP 数据包中的源路由选项,防止源路由攻击; 防止 IP 碎片攻击:IP 碎片攻击是指黑客把一个攻击数据包分成多个数 据据包,从而隐藏了该数据包的攻击特征。通过在防火墙上设置规则防 火墙在进行检查之前必须将 IP 分片重组为一个 IP 报文,而且这个报文 必须具有一个最小长度以包含必要的信息以供检查,从而防止了 IP 碎 片攻击; 防止 ICMP/IGMP 攻击:许多拒绝服务攻击是通过发送大量的 ICMP 数据 包、IGMP 数据包实现的。通过在防火墙上设置规则,禁止 ICMP/IGMP 数 据包的通过防火墙,保证系统的安全; 阻止 ActiveX、Java、Javascript 等侵入:防火墙能够从 HTTP 页面剥 离 ActiveX、JavaApplet 等小程序及从 Script、PHP 和 ASP 等代码检测 出危险的代码,也能够过滤用户上载的 CGI、ASP 等程序; 其他阻止的攻击:通过在防火墙上的 URL 过滤可以防止一些来自于系 统漏洞的攻击(例如:通过配置规则禁止访问. ./winnt/system32/cmd.exe?/可以防止 WINDOW NT/2000 的 UNICODE 漏 洞以及其他 CGI 漏洞攻击:/Cgi-bin/phf、cgi- bin/count.cig、_vti_pvt/service.pwd、cfdocs/expeval/ openfile.cfm 等) 、和一些病毒的攻击(例如:禁止 default.ida 可以 防止红色代码的攻击) ; 提供实时监控、审计和告警:通过防火墙提供对网络的实时监控,当 发现攻击和危险代码时,防火墙提供告警功能; 5.25.2 XXXX 企业入侵检测方案企业入侵检测方案 保护边界安全的有效的监视机制包括:基于网络的入侵检测系统(IDS)、 脆弱性扫描(安全服务)、病毒检测等。首先我们建议在网络出口处和重要网 段部署天融信千兆入侵检测 NGIDS-UF。 在基于 TCP/IP 的网络中,普遍存在遭受攻击的风险。除了恶意的攻击外, 非恶意目的发起的攻击也是非常重要的一部分。有效的入侵检测系统可以同时 检测内部和外部威胁。入侵检测系统的目的是检测恶意和非预期的数据和行为 (如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务)。 一旦入侵被检测到,会引发某种响应(如断开攻击者连接、通知操作员、自动 停止或减轻攻击、跟踪攻击来源或适当地反攻击)。 利用防火墙技术,经过精心的配置,通常能够在内外网之间提供安全的网 络保护,降低网络安全风险。但是,存在着一些防火墙等其它安全设备所不能 防范的安全威胁,这就需要入侵检测系统提供实时的入侵检测及采取相应的防 护手段,如记录证据用于跟踪和恢复、断开网络连接等,来保护 XX 企业集团局 域网的安全。建议在核心交换机上对 Internet 的接口和未来的应用服务器的接 口做流量映射,配置天融信网络卫士的入侵检测 NGIDS-UF。 入侵检测是防火墙等其它安全措施的补充,帮助系统对付网络攻击,扩展 系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高 了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息, 并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下 能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测。 除了入侵检测技术能够保障系统安全之外,下面几点也是使用入侵检测的 原因: (1)计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受 安全问题的困扰。入侵检测系统可以发现已有的威胁,并对攻击者进行 惩罚,有助于上述目标的实现,并对那些试图违反安全策略的人造成威 慑。 (2)入侵检测可以检测其它安全手段无法防止的问题。攻击者使用越来越容 易得到的攻击技术,能够对大量系统进行非授权的访问,尤其是连接到 XX 企业集团局域网的系统,而当这些系统具有已知漏洞的时候这种攻 击更容易发生。尽管开发商和管理员试图将漏洞带来的威胁降到最低程 度,但是很多情况下这是不能避免的: 很多系统的操作系统不能得到及时的更新 有的系统虽然可以及时得到补丁程序,但是管理员没有时间或者 资源进行系统更新,这个问题很普遍,特别是在那些具有大量主 机或多种类型的软硬件的环境中。 正常工作可能需要开启网络服务,而这些协议是具有漏洞,容易 被攻击的。 用户和管理员在配置和使用系统时可能犯错误。 在进行系统访问控制机制设置时可能产生矛盾,而这将造成合法 用户逾越他们权限的错误操作。 (3)当黑客攻击一个系统时,他们总是按照一定的步骤进行。首先是对系统 或网络的探测和分析,如果一个系统没有配置入侵检测,攻击者可以自 由的进行探测而不被发现,这样很容易找到最佳攻入点。如果同样的系 统配置了入侵检测,则会对攻击者的行动带来一定难度,它可以识别可 疑探测行为,阻止攻击者对目标系统的访问,或者对安全人员报警以便 采取响应措施阻止攻击者的下一步行动。 (4)入侵检测证实并且详细记录内部和外部的威胁,在制定网络安全管理方 案时,通常需要证实网络很可能或者正在受到攻击。此外,攻击的频率 和特征有助于选择保护网络免受相应攻击的安全手段。 (5)在入侵检测运行了一段时间后,系统使用模式和检测问题变得明显,这 会使系统的安全设计与管理的问题暴露出来,在还没有造成损失的时候 进行纠正。 (6)即使当入侵检测不能阻止攻击时,它仍可以收集该攻击的可信的详细信 息进行事件处理和恢复,此外,这些信息在某些情况下可以作为犯罪的 佐证。 总之,入侵检测的根本意义在于发现网络中的异常。管理人员需要了解网 络中正在发生的各种活动,需要在攻击到来之前发现攻击行为,需要识别异常 行为,需要有效的工具进行针对攻击行为以及异常的实时和事后分析。 “知情权知情权 是网络安全的关键是网络安全的关键” ,这使得入侵检测成为其它许多安全手段,如安全网管系统 的基础。 5.35.3 XXXX 企业漏洞扫描解决方案企业漏洞扫描解决方案 大多数的操作系统和数据库管理系统存在一定的安全漏洞,需要不断安装 和升级安全补丁。同时我们也注意到,许多安全侵害并不是由于系统产品本身 存在安全弱点,而是由于系统没有正确地安装使用或安全规则没有建立并执行。 甚至在一个正确的系统配置中,某些设置也可能被意外或故意的改动。基于以 上原因,应安装系统漏洞扫描软件,帮助管理员及时发现系统中的安全漏洞和 安全隐患,并提供安全决策分析、安全补救建议和措施,减少系统安全风险。 系统漏洞扫描软件应能扫描操作系统、数据库管理系统的安全漏洞。它包 括了网络漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全 建议和改进措施等多项功能,全面帮助用户控制可能发生的安全事件,最大可 能的消除安全隐患。该系统具有强大的漏洞检测能力和检测效率,贴切用户需 求的功能定义,灵活多样的检测方式,详尽的漏洞修补方案和友好的扫描系统 报告系统,以及方便的在线升级功能。我们在 XX 企业网络安全的项目中配置一 台榕基漏洞扫描系统。 5.45.4 XXXX 企业防病毒解决方案企业防病毒解决方案 病毒是系统中最常见、威胁最大的安全来源,建立一个全方位的病毒防范 系统是 XX 企业集团安全体系建设的重要任务。目前主要采用病毒防范系统解决 病毒查找、清杀问题。 .1 网络版防病毒解决方案网络版防病毒解决方案 根据 XX 企业集团网络结构和办公系统计算机分布情况,病毒防范系统的安 装实施要求为: 具备实时防护、计划扫描和手动扫描的功能; 具备对各种常用格式的压缩文件、包括多重压缩文件的扫描功能; 感染源和感染文件的隔离功能,提供对病毒感染源的网络连接阻断和隔 离功能,并且记录感染源的用户信息。对无法清除病毒的感染文件进行 隔离; 查病毒的效率。在性能要求比较高的服务器上能够实现增量方式的查病 毒方式,也就是仅仅扫描那些上次扫描过以后有变动的文件; 应急恢复功能,提供应急措施,对系统引导区进行应急恢复; 集中监控、重点管理的能力,防病毒管理软件对运行在 Windows NT/2000/98/95/ME 以及其他平台防病毒软件的集中监控管理功能。对 于关键的服务器具有实时的病毒活动参数监控方法; 防病毒策略的配置管理,防病毒策略的统一配置管理,能根据不同的防 病毒需求分别制定和实施不同的防病毒策略。防病毒管理软件具有分组 (域)管理客户端防病毒策略和调度相关任务执行的能力; 能够从多层次进行病毒防范,从服务器到客户机都能有相应的防毒软件 提供完整的、全面的防病毒保护。 网络防病毒产品是一个比较基础而且成熟的安全产品,在本方案没有网络 版防病毒进行过多描述,我们推荐趋势科技的网络版防病毒系统,覆盖 XX 企业 1000 个计算机节点和 30 多台服务器。 .2 网关防病毒解决方案网关防病毒解决方案 天融信网络卫士过滤网关作为一个专门的硬件防病毒设备,只要安装在 XX 企业网络的入口处,就可以保护局域网局域网免受各类病毒,木马的和垃圾邮 件的干扰。网络卫士过滤网关实时检查进入企业网络的数据流,当网关检测到 病毒时,它会根据相应的策略来处理病毒和染毒文件,保护企业内部的服务器 和工作站设备。 产品特点:产品特点: 实时病毒过滤实时病毒过滤 网络卫士过滤网关对通过网关设备的数据流进行实时检测,过滤数据流中 的病毒、蠕虫和垃圾邮件等,阻止它们进入企业网络。 即插即用的透明接入方式即插即用的透明接入方式 网络卫士过滤网关采用即插即用的思路设计,以透明网桥方式部署在企业 网络中,无需改变企业内部的网络配置,从而使安装工作变得非常简单。 一旦部署完成,网络卫士过滤网关就开始对企业网络进行病毒防护,保障 网络不受病毒侵害。 全面的协议保护全面的协议保护 网络卫士过滤网关对 SMTP、POP3、IMAP4、HTTP 和 FTP 等应用协议进行病 毒扫描和过滤,有效地防止可能的病毒威胁。 高性能高性能 网络卫士过滤网关构建在高性能的硬件平台上,采用高效的扫描算法,最 大限度地提高过滤效率,提供优异的处理性能。 内嵌的内容过滤功能内嵌的内容过滤功能 网络卫士过滤网关支持对数据内容进行检查,可以采用关键字过滤,URL 过 滤等方式来阻止非法数据进入企业网络,同时也支持对 Java 等小程序进行 过滤等,防止可能的恶意代码进入企业网络。 防垃圾邮件功能防垃圾邮件功能 网络卫士过滤网关采用业界领先的黑名单技术实时检测垃圾邮件并阻止其 进入企业网络,为企业节省宝贵的带宽。 防蠕虫
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论