安全生产_某设计院内网安全管理解决方案_第1页
安全生产_某设计院内网安全管理解决方案_第2页
安全生产_某设计院内网安全管理解决方案_第3页
安全生产_某设计院内网安全管理解决方案_第4页
安全生产_某设计院内网安全管理解决方案_第5页
已阅读5页,还剩12页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

中交水运规划设计院中交水运规划设计院 内网安全内网安全管理解决方案管理解决方案 北京圣博润高新技术有限公司 2006 年 3 月 目录目录 第一章第一章 方案概况方案概况3 1.1 概述3 1.2. 需求分析 3 第二章第二章 方案原则、依据及目标方案原则、依据及目标5 2.1 方案原则 .5 2.2 方案依据 .5 2.3 方案目标 .7 第三章第三章 系统架构系统架构8 3.1 安全策略规划 .8 3.2 内网安全系统的建设 .8 3.2.1 内网审计9 3.2.3 内网监控10 3.2.4 详细的审计、分析与报告10 3.2.5 技术特色11 第四章第四章 系统应用部署和安全策略系统应用部署和安全策略13 4.1 系统部署 .13 4.1.2 集中式部署13 4.1.2 分布式管理部署13 4.2 安全策略 .14 4.2.1 安全技术15 4.2.2 安全管理策略16 第一章第一章 方案概况方案概况 1.11.1 概述概述 随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们 的生活和工作方式,也改变现行企事业单位的管理模式。作为信息的管理部门, 必须考虑当前技术的发展给我们的工作所带来的利益和威胁.如何利用信息网络 进行安全的通信,同时保护计算机自身信息的安全性,成为当前网络安全和信息 安全迫在眉睫的问题。 针对日益严重的内部信息泄漏问题,FBI对484 家公司调查显示。面对来自 于公司内部的安全威胁,85的安全损失是由企业内部原因造成的。对于很多国 内企业来说,这可能有点耸人听闻,但是,他们肯定遇到过类似的事情,由于某 一员工误操作造成公司服务器上重要文档丢失;由于没有定义每位员工在系统内 的访问权限,使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手 对于这些来自公司内部的安全问题,不是靠单纯安装杀毒软件或防火墙就能解决 的。 1.2.1.2. 需求分析需求分析 中交水运规划设计院的内部网络安全本质上是一种管理需求,目的是使中交 水运规划设计院的各项工作能够安全的进行,管理是主要方式。信息化工作模式 建立在技术含量较高的计算机及网络技术之上,在管理过程中仅仅依靠人力不能 够满足网络安全管理的需要,也不能够面对今后随着技术发展带来的更多安全需 求,因此必须依靠各种技术手段来为网络安全管理提供有效的工具,降低管理成 本,提高管理效率。具体的内网安全问题可以归结为: 缺乏有效的实时 IP/MAC 管理机制 1 随着网络知识的普及,大量终端用户可以轻易的修改本机的 IP 地址,而 网络管理人员通过现有的技术并不能实时的发现这些操作,这样做会导致如下问 题: 2 1.一旦发生网络瘫痪或网络阻塞问题,网络管理人员一般通过终端计算机 的 IP 地址进行查找,但如果用户修改了 IP 地址就会造成无法及时发现问题源的 现象,导致解决问题的时间被延误。 3 2. 如果用户修改的 IP 地址和网关或服务器冲突,就会造成网络瘫痪或服 务失效,同时网络管理人员无法对问题进行跟踪。 4 3. 如果用户感染病毒,病毒有可能会自动修改用户的 MAC 地址,就会导 致该用户隐身于整个网络中,使整个网络存在一个看不见的漏洞。 缺乏内部网络之间的网络访问控制 中交水利规划院的网络已经很好的划分了 VLAN,但是对 VLAN 之间的访问 控制没有进行有效的设置,这样会导致如下问题: 1.内部数据的不安全性,如果内部用户无意或有意对服务器段或其他网 段进行操作会对该网段的数据造成破坏。 2.如果内部用户感染病毒,病毒会肆无忌惮的传播到每个 VLAN 中。 最大的安全等于最小的权限,这是网络安全的一条不变得法则。虽然中交 水利规划院的网络已经很好的划分了 VLAN,但是 VLAN 的划分存在配置复杂,设 置相对死板对网络管理人员的要求比较高。的划分存在配置复杂,设置相对死板, 对网络管理人员的要求比较高。 对一些造成网络性能下降的软件缺乏控制 当前网络的发展,导致了 P2P 软件的发展,这种软件大大增加了网络负载, 对正常的网络访问产生了极大的影响。仅仅从防火墙进行配置会对防火墙的性能 造成影响。同时根据防火墙原理它并不能完全有效的阻止网络回包,这样会给 P2P 这类软件造成可乘之机。 缺乏统一的系统补丁升级系统缺乏统一的系统补丁升级系统 当前网络蠕虫病毒的泛滥主要原因就是系统补丁升级不及时造成的。如何 统一地及时地强制地给所有终端用户安装补丁是每个网路所面临的问题。 对防病毒软件缺乏统一的管理对防病毒软件缺乏统一的管理 虽然中交水运规划设计院购买的网络版杀毒软件但是由于缺乏强制的安全 策略导致有的客户端没有安装能够及时升级的网络版杀毒软件,造成了网络安全 的隐患。 第二章第二章 方案原则、依据及目标方案原则、依据及目标 2.12.1 方案原则方案原则 为保证方案的能够最终达到国家保密部门规定的相关保密要求,在设计方案 时遵循如下的设计原则: 系统安全原则:管理系统自身安全包括物理安全、系统安全、数据安全和 运行安全等; 可扩展原则:统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统 的可扩展性,保证分布实施的延续性。系统在结构、规模、应用能力等各个方面 都必须具备很强的扩展能力; 按照 GB17859-1999计算机信息系统安全保护等级划分准则的要求建 设; 可靠性原则。执行 ISO9002 质量认证体系要求,确保安全保密设备的高可 靠性和稳定性; 经济性原则。内网安全管理系统的建设、运行维护以及将来的扩展建设, 必须符合经济性原则; 易操作原则。内网安全管理系统的使用、维护、管理、发行等方面要易操 作; 高效原则。内网安全管理系统的处理能力要求能满足现阶段的实际需求, 保证系统的高效运行,并能根据系统的发展进行不断提升; 功能完整原则。内网安全管理系统的功能完整,应用安全扩展系统功能完 整; 灵活性原则。内网安全管理系统的系统扩展、应用安全建设方面都必须满 足灵活性要求。 2.22.2 方案依据方案依据 本设计方案的主要依据是国家保密局文件 “涉及国家秘密的计算机信息系 统安全保密方案设计指南” (BMZ2-2001) ,同时,还参考了以下标准和法规、 文件: 国家标准 GB2887-2000电子计算机场地通用规范 ; 国家标准 GB9254-1998信息技术设备的无线电骚扰限值和测量方法 ; 国家标准 GB9361-1998计算站场地安全要求 ; 国家标准 GB17859-1999计算机信息系统安全保护等级划分准则 ; 国家标准 GB50174-1993电子计算机机房设计规范 ; 国家军用标准 GJB3433-1998军用计算机网络安全体系结构 ; 国家公共安全和保密标准 GGBB1-1999信息设备电磁泄漏发射限值 ; 国家保密标准 BMB2-1998使用现场的信息设备电磁泄漏发射检查测 试 方法和安全判据 ; 国家保密标准 BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和 测 试方法国家保密标准 BMB4-2000电磁干扰器技术要求和测试方法 ; 国家保密标准 BMB5-2000涉密信息设备使用现场的电磁泄漏发射防 护 要求 ; 国家保密指南 BMZ1-2000涉及国家秘密的计算机信息系统保密技术 要 求 ; 国家保密指南 BMZ2-2001涉及国家秘密的计算机信息系统安全保密方案 设计指南 国家保密指南 BM23-2000涉及国家秘密的计算机信息系统安全保密测评 指南 ; CISPR22 信息技术设备无线电干扰特征极限值和测量方法; CISPR24 信息技术设备免疫性特征极限值和测量方法; 国务院令 147 号中华人民共和国计算机信息系统安全保护条例 ; 国务院令 195 号中华人民共和国计算机信息网络国际联网管理暂行规定 ; 中华人民共和国公安部令 32 号计算机信息系统安全专用产品检测和销 售许可证管理办法 ; 国家保密局文件计算机信息系统保密管理暂行规定 (国保发19981 号) ; 中央保密委员会办公室、国家保密局文件涉及国家秘密的通信、办公自 动化和计算机信息系统审批暂行办法 (中保办发19986 号) ; 中共中央办公厅国务院办公厅关于转发中共中央保密委员会办公室、国 家保密局关于国家秘密载体保密管理的规定的通知(厅字200058 号) 。 2.32.3 方案目标方案目标 中交水运规划设计院要求最大可能的保护其办公网络和系统资源与数据可以得到 充分的信任,获得良好的管理。 本项目的总体目标是在不影响中交水运规划设计院网络正常工作的前提下,实现 对网络的全面安全加固。 北京圣博润高新技术有限公司(以下简称圣博润)根据中交水运规划设计院的 需求,提供包括整体安全策略、规划、设计、部署、管理、紧急响应以及配套服务组 成的网络安全整体解决方案。 安全管理的安全目标:安全管理是整个内部安全管理体系的核心,使得安全策略、 和安全系统最终形成一个统一的安全整体,为企业创造真正的价值,根据实际情况, 规划不同密级的安全,为不同用户制定相应的安全策略,并统一的管理所有设备; 第三章第三章 系统架构系统架构 3.13.1 安全策略规划安全策略规划 内网安全策略是企业实现内网安全管理的基础,内网安全策略是企业网络信 息系统安全建设的指导原则、配置规则和检查依据。内网安全系统的建设主要依 据企业网络信息系统统一的内部安全策略。 内部安全策略是一种指导方法,通常都以一种规范、制度、流程等体现出来, 用以指导我们快速、合理、全面的建设内部安全系统,同时我们所规划和实现的 内部安全策略本身又是可扩展的,随着时间的不断推移和内部安全需求的进一步 变化,我们都是根据调整企业的内部安全策略来更好的指导我们建设内部安全系 统。 我们认为,内部安全策略分为: (1 1) 主机资源审计与保护策略 主机资源审计策略是对主机资源进行收集、并现在统一管理的内部安全策略, 它指导如何准确、便捷的收集企业内网内所有主机的相关信息,同时指导我们根 据不同主机的资源现状制定不同的保护手段和管理制度。 (2 2) 在线信息保护策略 在线信息保护策略是指根据企业的实际情况,并结合相关的法规政策、企业 制度,对企业内部暴露在网络上面的重要信息进行保护的内部安全策略,它指导 企业如何定义重要信息、区分不同的信息的重要程度、并根据不同信息的重要程 度制定不同的保护方案和访问控制规则,同时也保证了我们企业的内部网络资源 得到最大化的合理应用。 3.23.2 内网安全系统的建设内网安全系统的建设 一套统一的、安全的、可扩展的内部安全系统是我们构建整个安全目标的重 要因素,内部安全系统是我们整个内部安全体系的基础框架,通过我们的内部安 全系统,我们可以 具体完成我们的安全管理工作,使我们的管理电子化、自动化; 实现安全策略,把安全策略作为系统配置的形式下发到所有终端主机; 科学的划分安全域,我们的管理工作趋于统一化、合理化、高效化。 3.2.13.2.1 内网审计内网审计 在拥有了有效的防止内部信息泄漏的方式后,对计算机资源的审计和管理也 变的同样重要,如何有效的、最大化的掌握每一个主机的资源状态,对统一的安 全管理尤为重要! 通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活 动进行审计。采用基于主机和基于网络相结合的控制机制和技术手段,可以多层 次、多手段地实现对网络的控制管理。通过集中管理、自我防护机制,全面体现 了管理层对内网关键资源的全局控制、把握和调度能力,为网络管理人员提供了 一种审计、检查当前系统运行状态的有效手段。 对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则控 制下的行为的记录和统计。在服务器设置相应的审计规则后,如果客户端所在的 设备有符合规则的行为发生,则在服务器的日志中会有相应记录。可以根据需要 配置受控终端的文件操作、进程、网络访问等事件的规则。系统根据规则自动记 录安全审计日志并存入系统日志信息库,这些信息是事后了解和判断网络安全事 故的宝贵资料。 审计功能包括: 自动登记受控终端的硬件配置(包括 CPU、内存、硬盘、显示卡、网卡等 等) ,当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息; 自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器,当其发生 变化时,自动向安全管理核心系统发出报警信息; 对受控终端安装的系统服务进行审计,自动记录系统服务的启动和停止; 自动记录受控终端上应用程序的安装与卸载情况; 对受控终端上运行的进程进行审计,自动记录进程的启动和停止; 对网络访问进行审计,记录用户对规则指定网址进行的访问操作; 对受控终端的可移动存储设备的使用情况进行审计; 对拨号访问情况进行审计。 3.2.33.2.3 内网监控内网监控 对受控终端进行监控是通过监控规则进行的。安全管理核心系统负责集中配 置监控规则,下发到受控节点。可以根据需要设置规则,系统根据规则自动阻止 非法操作,并且向控制台发出报警信息。内网监控模块功能包括: 对受控终端进行屏幕监视或控制; 对受控终端进行 IP 地址和 MAC 地址的绑定,防止用户随意更改网络配置; 对受控终端上运行的进程进行控制,允许或禁止某些进程的启动; 对网络访问进行控制,允许或阻断对某些网络地址的访问; 对受控终端自动进行补丁分发; 对受控终端进行防病毒软件的控制,不装指定的防毒软件不允许访问内网。 3.2.43.2.4 详细的审计、分析与报告详细的审计、分析与报告 审计统计报表为系统管理员分析诊断网络故障提供了数据分析的基础。可以 根据部门、设备、事件类别等多种条件进行查询统计,生成各种审计统计报表。 包括: 安全事件分析报告 计算机配置报告 计算机运行状况报告 系统进程审计监控报告 系统服务审计监控报告 系统日志审计监控报告 打印输出审计报告 文件存储、传输审计监控报告 网络访问监控报告 对生成的审计统计报表(或审计日志报表、系统事件报表) ,可以通过系统 提供的“报表查看器”进行浏览,同时提供打印预览功能,支持报表打印。 3.2.53.2.5 技术特色技术特色 LanSecS 内网安全管理系统凝聚了先进的网络安全管理思想,把安全管理的 流程和技术手段加以总结提高,既能保证计算机网络安全运行,也能提供对内网 计算机信息安全的监控和审计,可以解决企业和政府内部专用网络的安全管理、 安全控制和行为监视。通过主动的安全管理和安全控制的方式,将内部网络的安 全隐患以技术的手段进行有效的控制。 符合当前网络安全管理的国际、国内标准 符合国际信息安全管理体系标准和技术工程标准,BS 7799、ISO 17799、SSE-CMM 等。符合中华人民共和国国家标准 GB17895-1999计算机信息 系统安全保护等级划分准则 。 独特的安全管理思想和技术手段 结合信息安全行为模式理论以及多年从事网络安全和风险评估领域的经 验积累,形成了独特的安全管理的方法论,以此方法论为基础设计了专业的 智能的 LanSecS 内网安全管理系统。实现了严密的集中管理、自我安全保护, 并建立了信息安全管理体系。产品设计思想先进,拥有完全自主的知识产权。 基于主机和网络相结合的控制机制 基于主机控制机制可以监控指定的主机系统,其控制力度细;基于网络 的控制机制可以实时监控内网的安全隐患,实现了周密的内网资源保护。 集成的系统管理:端到端、全面的集成监控 优秀的 IT 系统管理软件,帮助用户稳定、可靠、方便、有效地管理企业级 IT 基 础设施,真正实现了端到端的系统管理。 强制的审计监控进程 在客户端隐藏审计/监控进程,使得受控客户端不能停止和删除进程,确 保安全审计和监控,同时不影响客户端的正常使用。 IPIP 和 MACMAC 地址绑定 可以防止受控客户端改变 IP 地址,确保访问控制。 集中管理和监控 对大量目标资源进行集中管理,可以监督的对象众多。系统对内网中设 备、网络、文件集中管理安全策略、系统配置、安全事件等。 安全日志信息库 所有网络、系统数据及安全事件,可以通过 SQLSever2000 数据库进行 存储,便于网络安全管理审计、分析。 操作系统自身的安全性审计 可以发现当前系统的补丁安装情况,同时针对不同单位的防病毒的需求, 可以提示用户安装本单位要求的防病毒软件. 模块化设计、简单易用 系统开发了独立模块以提供对目标主机多层次、多视角的审计,并提供 了友好的安全审计中心图形界面,操作简单直接,大大降低了用户后期维护 的投入以及网络系统/安全管理员的工作难度和工作量。 第四章第四章 系统应用部署系统应用部署和安全策略和安全策略 4.14.1 系统部署系统部署 通过管理角色特别是管理端管理角色的变化,结合LanSecS内网安全管理系 统应用数据服务器支持多级别、分布式部署的特性,在实际中,LanSecS内网安全管 理系统采用以下两种部署方式:集中式部署和分布式管理部署。 4.1.24.1.2 集中式部署集中式部署 集中式部署面向小型网络。LanSecS内网安全管理系统按照企业网络结构, 将网络划分为一个安全域,通过对每一个网络用户行为的监视和记录,并形成完 整的日志。 集中部署集中部署 4.1.24.1.2 分布式管理部署分布式管理部署 分布式部署面向复杂结构下的企业网络。 在这种部署应用模式下,LanSecS 内网安全管理系统按照企业网络结构,可 以将整个企业网络划分为一个以上的安全域;在某个安全域内,按照该安全域的 类型,LanSecS 内网安全管理系统可以将所有下级的安全数据信息集中到 LanSecS 安全管理核心系统。 分布式部署分布式部署 1.对于经常出差,策略是统一策略已下发到本机,所以还是可以保证数 据的安全的,同时操作日志会在联通网之后将日志上传这到服务,统一管理。 2.根据中交水运规划设计院的实际情况,规划不同策略,为为同安全级 别制定相应的安全策略,并统一的来之不易所有网络网络。 4.24.2 安全策略安全策略 网络与信息安全网络与信息安全= =信息安全技术信息安全技术+ +信息安全管理体系信息安全管理体系 技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途 径。其中,信息安全技术通过采用包括建设安全的主机系统和安全的网络系统, 并配备适当的安全产品的方法来实现。在管理层面,则通过构架信息安全管理体 系来实现。 应用开发提供功能,系统管理确保性能。离开了对于性能和可用性的保障, 系统应用无从谈起。保证网络自身安全和业务安全,首先要有一个可靠的网络, 其次就是要有强有力的网络管理和网络安全管理策略和手段。随着网络应用日趋 复杂,单凭网络管理员的学识和经验进行网络管理和安全管理,已经不能适应了。 因此,我们必须借助一些工具和软件来管理网络,并构建信息安全管理体系。 4.2.14.2.1 安全技术安全技术 全网安全策略考虑如下: 中交水运规划设计院虽说是一个独立的局域网,内部办公都是依靠此网进行完成, 所以必须考虑该监控系统安装后对原有系统的影响。包括对原有系统稳定性、网络带 宽资源、系统安全性的影响。 需要安装在原有系统上的模块是客户机端驻留引擎。该引擎我们做了测试,不会 引起操作系统的不稳定,占用的系统 CPU 资源量很小,约 2.5%以下,内存占用量也很 小,1M 以内。 监控系统其它模块不再和原有的系统直接联系,都是独立的。包括扫描发现引擎、 设备智能探测发引擎。 客户端引擎安全策略客户端引擎安全策略 客户端驻留引擎所完成的功能是整个监控系统要完成的核

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论