XX通信公司网络安全系统方案.doc

密密 级：秘级：秘 密密 文档编号：文档编号： 项目代号：项目代号： XXX 通信 网络网管安全系统 整体方案建议书 Ver1.0 2019 年 5 月 目 录 1XXX 通信省网管中心安全需求分析通信省网管中心安全需求分析1 1.1XXX 通信省网管中心及重要节点网络现状1 1.2XXX 通信省网管中心及重要节点现有安全措施2 1.3XXX 通信公司威胁来源分析2 1.4XXX 通信省网管中心及重要节点网络安全需求分析3 2XXX 通信安全方案设计通信安全方案设计5 2.1设计理念及方法5 2.1.1覆盖整个生命周期的完整体系ADDME5 2.1.2100%的风险管理体系6 2.1.3安全设计理念7 2.2设计原则7 2.3XXX 通信网络安全架构模型8 2.4安全漏洞扫描系统9 2.4.1网络安全评估9 2.4.2部署建议10 2.4.3主机（系统）安全评估10 2.4.4部署建议11 2.4.5数据库安全评估11 2.4.6部署建议12 2.4.7漏洞扫描系统部署示意图13 2.5入侵检测系统IDS .15 2.5.1百兆NIDS网络入侵检测系统的部署建议.17 2.5.2入侵检测系统部署图17 2.6方案总结18 2.7安全方案产品配置一览20 1 XXX 通信省网管中心安全需求分析通信省网管中心安全需求分析 本需求分析建立在XXX 通信省网管中心络安全设备配置与投资规模 所提供的 XXX 通信安全需求资料和 XX 公司前期调研的基础上，旨在给出构 建后文所述安全体系的充分理由。 1.1 XXX 通信省网管中心及重要节点网络现状通信省网管中心及重要节点网络现状 随着 XXX 通信数据业务的发展，用户数量迅速增长，为了适应市场的竞争、 提高整个 XXX 通信运营和管理效率，XXX 通信在今年计划实施网络安全项目 以保证省网管中心重要网段和服务器以及各个宽带城域网结点 Radius 系统的 安全。网络现状如下图所示： ISS Server SUN SPARC20 PrimaryDNS SUN E250 Catalys8540 HP VE5 后台维护工作站 HP 6P Catalyst2800 PIX Billing server 2 Enterprise 4000 RAID (DB ) HA Billing server 1 Enterprise 4000 AIWebState 漫漫游游认认证证 SUN E3000 哈哈尔尔滨滨 节节点点 GE PSTN AISB probe Catalys6506 统统计计/查查询询服服务务器器 SUN E3000 FreeMail E3000 ACESwitch LDAP Server SUN E2 FreeMail SUN E3000 Disk VLAN3 VLAN4 Mail Server SUN E3000 Disk NMS HP C3000 Backup Server SUN U1 SUN E450 AINettrend SUN E3000 AISerBase VLAN1 VLAN2 黑黑龙龙江江省省网网管管中中心心局局域域网网结结构构图图 PPPserver SUN E3000 EMSserver SPARC20 图1.1 XXX通信省网管中心网络拓扑示意图 图1.2 XXX通信牡丹江等节点网络拓扑示意图 1.2 XXX 通信省网管中心及重要节点现有安全措施通信省网管中心及重要节点现有安全措施 XXX 通信公司网络中现有网络扫描器（Internet Scanner）100 个 licence，对分布在网络中的重要服务器、网络设备等实施网络层面的漏洞扫描。 另外，网络中现有 2 台 NetScreen 防火墙，1 台为城域网工程备件中的 NS10，1 台为国家 163 骨干网工程中一台闲置的 NS100。但均未具体部署。 采用双机热备措施保护计费和认证等重要服务器。 1.3 XXX 通信公司威胁来源通信公司威胁来源分析分析 XXX 通信省网管中心及各个宽带城域网节点现阶段面临的主要风险如下： 1.网络与系统漏洞存在风险：由于 TCP/IP 网络协议与操作系统和应用软 件自身的缺陷，漏洞必然存在于网络业务系统中，漏洞是黑客进行攻击的首选 目标和有利条件，随着业务系统功能和复杂性的增加，必须对各个层面的漏洞 实施有效的管理和封堵。 Cisco7513Cisco7513Cisco7513Cisco7513 65096509 86108610 NAS Radius 宽宽带带城城域域网网 省省网网 2.外部黑客风险：由于认证、计费、DNS 等系统需要连接 Internet、其他 内部网络和合作伙伴网络等多个接口，因此必然存在不同级别的外部黑客入侵 的风险，必须全面考虑各个系统接口，制定管理规范，高效地配置安全控制和 检测产品，降低外部黑客攻击风险。 3.拒绝服务攻击风险：这种方式的攻击，使得应用服务器在很短的时间内 创建大量的到客户端的 Socket 连接，直到耗尽系统资源，此时系统性能严重下 降，正常业务无法维持，应用系统陷入瘫痪状态。 4.内部黑客和系统误用风险：根据美国 FBI/CSI 的统计，企业由于其内部 故意的滥用/欺诈和非故意的误用产生的损失占其全部安全损失的 93，尽管 这部分攻击仅占据 36的安全事故。要降低内部黑客攻击和系统误用的风险首 先需要对内部系统进行安全扫描和增强，然后增强监控和审计措施。 5.病毒威胁风险：计算机病毒寄生于操作系统或一般的可执行程序上，传 播及发作的方式多种多样，影响范围广，动辄修改、删除文件甚至删除整个文 件系统，导致业务系统程序运行错误，死机甚至整个系统数据的丢失，目前病 毒已成为计算机信息系统的重要威胁之一。 1.4 XXX 通信省网管中心及重要节点网络安全需求分析通信省网管中心及重要节点网络安全需求分析 根据 XXX 通信省网管中心及牡丹江等宽带城域网重要节点网络结构及业务 特点，可以把网络安全问题具体定位在以下三个层次上： 层次一：通讯和服务层次一：通讯和服务 该层次的安全问题主要体现在网络协议本身存在的一些漏洞。如 Ping 炸弹 可使一台主机宕机、无需口令通过 Rlogin 以 root 身份登录到一台主机等，都是 利用了 TCP/IP 协议本身的漏洞。 层次二：操作系统层次二：操作系统 这一层次的安全问题来自内部网采用的各种操作系统，如运行各种 UNIX 的操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑 客程序（木马）等带来的威胁。 层次三：应用程序层次三：应用程序 该层次的安全主要考虑重要业务系统应用服务的保护，如 DNS 等。 在上述三个层面上，结合对 XXX 通信省网管中心可能受到的安全威胁分析 中的需求说明，得出此次 XXX 通信省网管中心网络安全工程需求主要体现在以 下四个方面： 1在省网管中心的两个重要网段（认证、网管）及 7 个宽带城域网节 点 Radius 服务器所在网段提供安全的、基于策略的网络层访问控制措施，部 署防火墙系统； 2在省网管中心两个重要网段（认证、网管）扩充基于网络的实时入 侵检测系统，对黑客攻击实施 7x24 小时的实时检测、审计、响应和阻断； 3增加对重要主机系统、数据库系统和网络设备的漏洞管理措施； 4对省 IDC 中心的托管服务器，在内容层面上提供基于策略的、可调 度的病毒防范能力。 2 XXX 通信安全方案设计通信安全方案设计 2.1 设计理念及方法设计理念及方法 2.1.1覆盖整个生命周期的完整体系覆盖整个生命周期的完整体系ADDME 为了降低风险和减少成本，根据信息安全的生命周期特征，ISS 公司提出 了一种按阶段实施的可操作的模型 ADDME。将信息安全的生命周期描述为下 面各个阶段： 图 3.1.1、ADDME 立体示意图 Policy/Standards/Guidelines Phase 策略/标准/指南制订阶段：制订系统的 安全目标； Assess Phase 评估分析阶段：实现需求分析、风险分析、安全功能分析和 评估准则设计等，明确表述现时状态和目标之间的差距； Design Phase 方案设计阶段：形成信息安全解决方案，为达到目标给出有 效的方法和步骤； Deploy Phase 工程实施阶段：根据方案设计的框架，建设、调试并将整个 系统投入使用。 Manage 一个事件收集器可以管理许多台传感器并向 若干控制台传送数据。 2.5.1百兆百兆 NIDS 网络入侵检测系统的部署建议网络入侵检测系统的部署建议 为保证 XXX 通信省网管中心重要业务系统的安全可靠运行，同时节约投 资、方便部署，建议依如下方式配置百兆网络入侵检测产品RealSecure Network Sensor，便于实现对网络流量的入侵检测： 1在网管设备所在的网段的网络交换机上配置 Port Mirror 功能 ，将 RealSecure Network Sensor 直接与该交换机上的 Destination (SPAN) Port 相连， 将与该交换机连接的防火墙 Intranet 端口所对应的交换机端口设置为 Source (SPAN) Port，实现基于 SPAN 方式的网络入侵检测，所有由外网流入该网管网 段的网络流量和内容都得到有效的实时检测。 另外增加一台高档 PC Server，用于安装 RealSecure 的 Workgroup Manager 入侵检测系统中央控管平台（包含事件收集器和管理控制台，安全企业数据库 SQL2000 等） ，实现对 2 台 RealSecure Network Sensor 的集中管理，升级，策略 定制，分析与报告等功能。 2.5.2入侵检测系统部署图入侵检测系统部署图 省网管中心安全系统产品部署示意图 ISS Server SUN SPARC20 PrimaryDNS SUN E250 Catalys8540 HP VE5 后台维护工作站 HP 6P Catalyst2800 PIX Billing server 2 Enterprise 4000 RAID (DB ) HA Billing server 1 Enterprise 4000 AIWebStat e 漫游认证漫游认证 SUN E3000 GE PSTN AISB probe Catalys6506 统计统计/查询服务器查询服务器 SUN E3000 FreeMail E3000 ACESwitch LDAP Server SUN E2 FreeMail SUN E3000 Disk VLAN3 VLAN4 Mail Server SUN E3000 Disk NMS HP C3000 Backup Server SUN U1 SUN E450 AINettren d SUN E3000 AISerBase VLAN1 VLAN2 黑龙江省网管中心局域网结构图黑龙江省网管中心局域网结构图 PPPserver SUN E3000 EMSserver SPARC2 0 - IDS Workgroup Manager 图 2.4 网络入侵检测部署示意图 2.6 方案总结方案总结 本方案在充分考虑到 XXX 通信省网管中心和 7 个重要节点的安全需求及实 际网络结构，采用目前国际，国内领先的相关安全技术，在保证安全体系总体 性价比的前提下，重点考虑了在本方案中所有子系统相互之间的联系，力争建 立一个具有有机联系的整体安全体系。 本安全方案建议在充分理解用户需求的前提下，综合考虑了多方面的因素， 符合如下的设计要求： 先进性：所选产品都是业界最先进的产品线，同时也提供业界最先进和前 沿的管理理念，使得客户始终能够和世界领先的技术和管理理念同步。 充分的“兼容”：对现有用户网络的改造，只是添加安全设备，基本上不 需要对业务系统和网络结构做大的变动； 服务的持续性：在进行安全建设和安全评估、实时入侵检测的时候，不影 响现有系统的正常运行，保证了正常业务的持续开展； 良好的扩展性：在用户网络发生改变的时候，安全系统的改变最小，只是 简单通过添加授权 KEY，和添加监控点，就可以完成整个安全系统的改造； 自身的安全性：网络传感器（Network Sensor）的透明接入、加密通讯、 备份控制台等安全考虑，有效的保证了安全系统自身的安全； 安全产品对网络和主机的带宽占用很小，不会影响到正常的网络通讯和主 机系统的资源使用； 管理方便：方案提供的建议，对于安全管理员的负担是很小的，实时的入 侵检测协助管理员，阻止入侵者对系统的侵犯企图；主机代理提供的实时关键 文件的恢复功能，可以为管理员提供充足的事件处理善后工作； 综合考虑了系统的安全，引入了先进的安全理念，为用户网络防止入侵行 为提供了可靠的保障； 充分考虑了作为一个整体的信息安全体系中不同子系统之间的配合关系， 形成一个紧密合作的整体。 可以看出，本方案不仅考虑到了针对 XXX 通信省网管中心及 7 个重要节 点安全现状而提出的安全技术建议，而且针对安全技术提出了在省网管中心上 各重要业务系统中采用的各种无论在性能上，服务上在业界都非常优秀的产品， 而且在这些产品中都存在着相互之间的合作关系，这种合作关系便形成了 XXX 通信省网管中心网络及 7 个重要节点的深度防御体系。因为，依据本方案所建 立的安全系统，并非简单安全产品的堆砌，而是