公检法技术建议书公安项目.doc

政府机关信息安全系统建设方案1.1 现状分析公安系统信息化建设过程中还存在着以下不足：1、由于以前的信息化程度不高，导致了目前很多业务数据陈旧，数据不完善、执行规格不准确。数据信息数量少，不能满足目前的很多业务的需求。2、实战应用不足，安全保障较为薄弱。基层民警应用技术相对比较薄弱，基础比较差。对于信息安全、信息完整性的意识没有完全的建立，整体系统存在内部安全隐患。3、信息共享与综合利用的水平不高。由于历史原因，各地以“条线”应用为主，应用系统分散，跨地区、跨警种、跨部门的信息共享程度不高，在应用整合、信息资源综合利用的技术实现和运作管理上仍存在一定问题。4、部分应用系统不能满足实际应用需求。5、各级信息中心的系统建设，并不能满足日益增长的应用系统运行及大量用户的访问需求。1.2 设计原则可以根据实际的情况修改下面的描述： 可靠性，利用电信级产品构建一个高可靠的网络环境，保证整个网络的可靠运行，可靠性设计可以达到99.999，可以满足实际的办公、业务等的要求。 安全性，网络设计的各个环节，融合了网络安全、应用安全、接入安全、终端安全、数据安全等各个方面，可以很好的满足网络高安全的要求。 管理性，网络设计考虑了日后的网络管理，每个环节的设计都考虑了业务开展的便利性，使得网络可以真正的为企业服务，为后续业务的开展奠定了良好的基础。 集成性，从用户的实际需要考虑对IT资源的每个环节进行设计，保证了网络在日后交付使用的时候，可以更好的满足业务变化的要求，充分考虑了业务变化性的特点，进行了网络弹性设计，使得IT技术贴近用户。 集中的存储“第二网络”，数据是IT资源的最宝贵的财富，在整个方案设计中，采用独立可靠的的方式集中构建存储数据区，有效的方便数据的管理和共享，为业务的进一步开展奠定了良好的基础。 集中计算平台，采用华为先进的刀片服务器构架，建立一个灵活、共享、可靠的计算平台，方便后续计算业务的开展，充分保证了用户的投资。2 网络建设方案2.1.1 组网方案根据实际情况给出总体组网建议，建议选择双归属、A/B双平面组网方案，如果用户实际投资有限，则按照一期、二期的形式给出当前的建设方案。具体双平面组网方案参考下图所示。图1 组网方案示意图整个网络采用扁平化设计理念，分成核心层、汇聚层、接入层、服务器、存储网络。整个网络的建设方案示意图如图1所示。2.1.2 数据中心接入方案数据中心、服务器、业务系统等采用独立交换机接入到核心层，构建三层交换网络，这样的结构有助于业务系统的稳定运行，具体组网图需要根据实际情况修改。图2 数据中心接入示意图业务接入系统的组网示意图参考上图所示，对于服务器、重要领导终端、网管终端等采用独立的交换机接入到核心层，构建一个独立的三层交换网络。这样可以更进一步保证这些重要的业务系统的网络可靠性，同时采用独立的防火墙隔离，可以很好的保证业务安全。2.1.3 高可靠的网络模型高可靠的模型是根据组网方案来统一考虑的，主要的高可靠的手段有：A/B双平面、双机模式、主备模式、链路冗余、设备结构冗余等。根据网络设计的实际情况修改。图3 高可靠的组网模型 核心网络采用双平面组网，可以最大程度上保证网络的100可靠。 核心设备采用双引擎设计，汇聚层采用双归属主备链路。2.2 网络中存在的主要问题网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，网络安全成为必须面对的一个实际问题。网络上存在着各种类型的攻击方式，例如：窃听报文，IP地址欺骗，源路由攻击，地址端口扫描，拒绝服务攻击 （Deny Of Service），应用层攻击，蠕虫病毒的传播，2.2.1 方案组网示意图图4 网络隔离建设方案网络Internet的接入位置是风险传播的接入控制点，通过在这个位置部署高性能防火墙设备，可以很好的缓解风险的传播，阻挡来自Internet的风险、攻击等行为的发生。在这个位置需要部署高端防火墙设备，满足高性能、高可靠、高安全的要求，是整网的第一道安全屏障。2.3 终端管理方案2.3.1 组网示意图根据实际的组网图修改下图。图5 终端监控解决方案2.3.2 Secospace终端安全方案部署概述随着计算机网络技术的飞速发展和Internet和Intranet技术的不断完善，信息技术和网络给企业带来方便、快捷和高效的同时也带来了各种的安全隐患： 员工窃取公司机密信息谋私利； 工作时间访问各种网站，降低工作效率，同时将互联网上的病毒、木马引入企业网； 企业资产流失； 员工越权访问企业应用系统，篡改数据； 非法用户接入公司内部网络，盗取商业机密； 终端不能及时打补丁，造成蠕虫泛滥。图6 CSI/FBI 2006调查结果柱状图根据国际安全界的统计，每年全球计算机网络遭受的攻击和破坏70%是内部人员所为。来自内部的数据失窃和破坏所造成的危害远远高于外部黑客的攻击。传统的网络安全产品如防火墙和防病毒系统等对于内部用户攻击和威胁事件则无能为力。为了解决企业内部网络管理失控，保障企业网络的畅通、终端设备的安全和公司信息数据的安全，企业需要一套终端安全管理解决方案。华为公司开发了 Secospace终端安全管理系统，该系统通过身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略检查的用户终端进行网络隔离，并帮助终端进行安全修复，在系统补丁管理以及软件分发上实现补丁和必需安装软件的协助安装，以防范不安全网络用户终端给安全网络带来的安全威胁。Secospace终端安全管理系统实现了免疫的终端安全控制和终端安全的审计监控，使用户终端安全得到有效的控制，同时还提供资产管理功能，协助企业管理者实现企业内部终端资产可控可管，防止资产和信息外泄，保障企业信息安全。Secospace终端安全管理系统还提供了强大的报表功能，为管理者提供有用的管理信息。 Secospace终端安全管理理念终端安全管理是一个不断完善的PDCA过程。图7 Secospace安全管理过程示意图根据我们解决网络终端安全问题的指导思想，我们提出了包括定制策略检查控制修复加固统计汇总的整体解决思路。Secospace终端安全管理系统架构如下图所示。图8 Secospace终端安全管理系统架构图Secospace终端安全管理系统是一个包括软件和硬件整体系统。Secospace使用Web浏览器作为管理端界面。主要由Secospace管理器（SM）、控制器（SC）、代理（SA）和修复服务器（SRS）四个软件部件，以及接入控制网关（SACG）一个硬件部件，共五个部件组成。2.3.3 Secospace终端安全管理系统功能介绍 安全接入控制安全接入控制是Secospace 安全管理系统提供的一项重要业务功能，包括终端安全接入控制和网络级（IP地址端口）访问控制功能。终端安全接入控制是指企业员工在使用终端访问企业资源前，先要经过身份认证和终端健康检查（即企业定义的安全策略标准），在确认身份合法并通过健康检查后，终端可以访问各种企业资源，认证不通过则不能访问网络，健康检查不通过则放在一个隔离区进行检查修复，直到终端通过健康检查后才允许正常访问企业内部网络资源，终端接入控制采用的是认证前域和认证后域的概念。终端接入控制主要是防止不安全的终端接入网络给企业安全带来隐患和防止非法终端和用户访问企业网络。图9 Secospace安全接入控制流程示意图 安全接入控制网关（SACG）方式终端在接入企业网络访问资源前，可以访问缺省区域，终端在该区域可以获取对终端问题进行修复，比如安装操作系统补丁、更新病毒库等等，只有在终端用户的身份合法且健康状况检查通过后，硬件网关就会开启用户可以访问的网络资源。通常硬件接入控制网关的部署比较灵活，可以支持集中/分布、串接/侧挂等各种部署方式。通常在方案设计过程中，针对安全防护的颗粒度不同，采用的部署方式也各有差别。 终端安全策略合规性检查客户可将定义的安全策略下发到SA，SA在接入网络时进行安全检查，安全检查不通过则根据事先定义的规则判断是否允许接入网络。 终端用户行为管理 客户可以定义实施监测策略并下发到SA，SA实时监测终端用户的行为，并且把安全策略要求采集的事件上报到SC。管理员可以根据这些上报的安全事件，分析内网的安全状况 终端资产管理Secospace安全管理系统提供企业IT资产生命周期管理，包括资产的购置、变更、淘汰，支持软、硬件资产的管理，支持软件License统计和管理，支持资产和责任人管理，提供资产统计和报表功能。Secospace安全管理系统通过安装在终端上的代理采集软硬件资产信息，并能跟踪资产信息变化。资产管理还包括对资产基本信息的录入、查询、硬件信息的获取和资产责任人的管理。SASC录入资产基本信息！管理员绑定并自动收集资产绑定信息生成资产记录资产库查看并统计资产情况资产变更资产变更表查看资产变更情况生成报表上报启动资产管理图10 Secospace资产管理流程图 终端软件分发功能Secospace终端安全管理系统的软件分发功能，基于操作系统自身的FTP服务，首先将要下发的软件通过管理界面上载到FTP目录，通过服务器预设规则，代理获知下载通知后，根据FTP的地址，集中从指定的FTP服务器下载规定的软件。Secospace为终端软件分发提供集中的管理界面，方便客户在整个内网中快速分发软件，并且能够查询软件下载情况，督促未下载的终端用户尽快下载，帮助客户实现统一规范的安全管理目标。 补丁分发管理Secospace安全管理系统补丁管理支持对Windows（的补丁检查和管理。Secospace安全管理系统提供终端补丁安装情况统计报表，并支持强制策略，当某个或某些补丁没有打时，禁止用户接入网络。强制策略可以按组（部门）或个人灵活定制。2.4 入侵检测系统根据项目的实际情况修改组网图。图11 入侵检测系统的部署方案IDS系统可以有效的检测应用层的攻击行为，及时的发现例如病毒、木马等的攻击。成为了防火墙设备的有益补充。部署在安装有Windows等操作系统的主机边缘具有良好的安全防护的功能。由于网络攻击所带来的危害愈加严重。NIP网络智能入侵检测系统作为一种高效、准确和智能化的网络攻击检测产品，能实时采集网络系统中的信息数据，并通过综合分析和比较，判断是否有入侵和可疑行为的发生，并采用多种方式实时告警，记录攻击，阻断攻击者的进攻，从而起到保护用户网络和系统免受外部和内部的攻击。NIP网络智能入侵检测系统特别适用于需要极高网络安全性的机构，例如：审计机构、安全顾问机构、安全法律执行机构、大型企业、Internet 服务提供商、培训机构以及涉及敏感信息的政府机构等。 功能特点强大的入侵检测能力可识别30大类、上千种入侵行为：后门攻击，分布式攻击，溢出攻击，暴力破解攻击，FTP攻击，Ping攻击，Netbios 攻击，远程服务攻击，扫描攻击，邮件服务器攻击， Web服务攻击，针对CGI的攻击，Web服务攻击，针对web服务器的其它杂项攻击，针对Xwindow服务器的攻击，数据库攻击，DNS服务攻击，拒绝服务攻击，密码破解攻击，端口扫描攻击，UNICODE攻击，针对入侵检测系统的DOS攻击，IP分片重组攻击，SYN-FLOOD拒绝服务攻击，UDP-FLOOD拒绝服务攻击，ICMP-FLOOD拒绝服务攻击，等其他类型攻击 高性能的核心抓包机制 功能强大的事件管理 多样化的报警响应方式 大规模网络下的入侵检测能力 灵活多样的部署方式 强大的协作联动能力 灵活的入侵规则定制 可持续的规则库升级 完备的自身安全性2.5 业务监控部署方案采用SIG系统可以对全网的业务状况进行一个清晰的分析，根据项目的实际情况选择。图12 业务监控的部署方案DPI业务监控可以解决IP管道化的问题，有效的缓解带宽压力，可以很好的解决网络环境中业务不可管理的问题，通过对业务监控的部署可以对全网的业务流量进行精确的分析，可以一目了然的知道网络流量的变化，业务的分布等情况，同时可以对P2P、非法下载、URL等各种非法情况的发生。提供业务流量流向分析、VoIP业务监控、P2P业务监控、共享接入监控、DDoS等异常流量监控、用户行为分析及基于其上的智能WEB推送等功能。 业界最高的硬件集成度和性能 业界首创的精细化联动运营方案 全面细致的业务流量流向分析 空前强大的VoIP业务监控 可运营的P2P业务监控 精准的共享接入监控 实时的DDoS等异常流量监管 详细的用户行为分析 智能的Web定向广告推送 快捷方便的协议分析知识库升级3 存储建设方案3.1 概述3.1.1 需求分析图13 集中存储的一个案例集中存储现在已经是一个必然的趋势，在网络建设的初期为了避免由于后续业务的开展，进行存储空间的调整以及存储备份等情况的发生，在初期建设的时候就应该部署集中存储方案，使得网络的结构可以满足将来业务发展的要求。图14 集中存储示意图3.1.2 存储方案的选择通过构建集中存储方案，可以有效的整合内部的业务资源，使得各种业务平台、业务系统、主机系统公用一个存储空间，而空间的分配对于各个业务系列来说是透明的，每个业务系统都动态的拥有自己的硬盘空间，可以随时