单位网络安全升级方案

XX 公司网络安全方案 XX 公司网络安全方案 网网神神信信息息技技术术（北北京京）股股份份有有限限公公司司 20132013年年0101月月 XX 公司网络安全方案 I 目目 录录 第一章 前言.3 1.1 背景.3 1.2 项目概述.3 1.3 信息安全体系设计原则.4 第二章 XX 公司信息网络的安全现状和需求分析 .6 2.1 XX公司网络安全现状.6 2.1.1 边界网络安全威胁 .6 2.1.2 来自网络的安全威胁 .6 2.1.3 Web 安全威胁 .7 2.2 XX 公司安全升级需求 .8 2.3.1 防火墙需求 .8 2.3.2 入侵防御系统 IPS 需求 .8 2.3.3WAF 应用防火墙需求 .8 第三章 XX 公司网络安全项目解决方案 .9 3.1 XX 公司防火墙解决方案 .9 3.1.1 XX 公司防火墙的部署 .9 3.1.2 XX 公司防火墙的作用 .9 3.2 入侵防御系统部署.11 3.2.1 入侵防御系统 IPS 的作用 .11 3.3 网页防篡改系统.12 3.3.1 网页防篡改系统的作用 .12 第四章 方案产品选型.14 XX 公司网络安全方案 2 第一章第一章 前言前言 1.11.1 背景背景 随着近年来网络安全事件不断地发生，安全问题也已成为 IT 业的一个热点， 数据安全问题对于 XX 公司的日常管理工作也越来越重要。安全问题已经成为影 响 XX 公司信息管理平台稳定性的一个问题，所以提升单位自身信息化办公平台 的安全性，已经成为 XX 公司增强机构内部工作效率、提升机构信息化管理共同 平台稳定性的重要方面之一。 随着信息技术的迅猛发展，XX 公司领导充分认识到网络安全建设的重要性， 为了更好的开展管理、监察工作，提升内部网络信息化平台的安全性及稳定性， 决定对现有信息系统进行网络安全进行升级。 1.21.2 项目概述项目概述 本次信息安全项目主要是 XX 公司内部网络结构调整，网络系统整体安全加 固、WEB 网站数据防篡改、网络整体数据中针对事件的侵入、关联、冲击、方 向和适当的分析，同时做相应的处理。实施是在网络现有应用基础上的改造， 对网络整体的安全加固，所以在上新的系统时不能影响原有系统应用的整体性 能。 建立边界安全防护体系； 边界防护的设计是将组织的网络，根据其信息性质、使用主体、安全目标 和策略的不同来划分为不同的安全域，不同的安全域之间形成了网络边界，通 过边界保护，严格规范地税专网系统内部的访问，防范不同网络区域之间的非 法访问和攻击，从而确保网络各个区域的有序访问。一般来说边界防护采用的 主要技术包括防火墙技。 建设关键业务 web 网站防篡改安全体系； 网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴 别、完整性检查、地址访问、表单提交、审计等各个环节的安全，完全实时地 杜绝篡改后的网页被访问的可能性，也杜绝任何使用 Web 方式对后台数据库的 篡改。 建设整体网络入侵防御体系； 将深度内容检测、安全防护、上网行为管理等技术结合在一起，配合实时 XX 公司网络安全方案 3 更新的入侵攻击特征库，检测防护网络攻击行为，包括病毒、蠕虫、木马、间 谍软件、可疑代码、探测与扫描等各种网络威胁；同时对 P2P、聊天、在线游 戏、虚拟通道等内网访问实现细粒度管理控制。提供动态、主动、深度的安全 防御。 1.31.3 信息安全体系设计原则信息安全体系设计原则 XX 公司信息安全保障系统涉及到此次网络安全系统改造的各个部分，网 络和信息安全方案的设计遵循以下原则： 整体安全 XX 公司信息安全保障系统的是一个重要的安全系统工程，对安全的需求 是任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发，综 合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为 信息网络和业务系统提供全方位安全服务。 有效管理 没有有效的安全管理（如防火墙监控、审计日志的分析等等） ，各种安全机 制的有效性很难保证。XX 公司信息安全保障系统所提供的各种安全服务，涉 及到各个层次、多个实体和各种安全技术，只有有效的安全管理才能保证这些 安全控制机制真正有效地发挥作用； 合理折衷 在 XX 公司信息安全保障系统的建设过程中，单纯考虑安全而不惜一切代 价是不合理的。安全与花费、系统性能、易用性、管理的复杂性都是矛盾的， 安全保障体系的设计应该在以上四个方面找到一个合理的折衷点，在可接受的 风险范围内，以最小的投资换取最大的安全性，同时不因性能开销和使用、管 理的复杂而影响整个系统高效运行的总体目标。 责权分明 采用分层、分级管理的模式：一方面，XX 公司信息系统可以分为三层： XX 公司网络安全方案 4 信息网络、计算机系统和应用系统；另一方面，网络和应用系统都有中心、下 属等的分级结构。网络管理中心负责网络的安全可靠运行，为应用信息系统提 供安全可靠的网络服务，同时负责计算机系统和应用系统的安全管理。 综合治理 XX 公司信息系统的安全建设是一个系统工程，信息网络的安全同样也绝 不仅仅是一个技术问题，各种安全技术应该与运行管理。机制、人员的思想教 育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。 XX 公司网络安全方案 5 第二章第二章 XXXX 公司信息网络的安全现状和需求分析公司信息网络的安全现状和需求分析 随着计算机技术和网络技术的发展，网络成为信息高速公路，人们利用网 络来获取和发布信息，处理和共享数据。但是网络协议本身的缺陷、计算机软 件的安全漏洞，对网络安全的忽视给计算机网络系统带来极大的风险。实际上， 安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。 网络安全是一个体系工程，如果把 XX 公司网络信息系统划一个边界的话， 可能发生的安全威胁会来自各个方向、各个层面。 2.1 xx 公司网络安全现状公司网络安全现状 2.1.1 边界网络安全威胁边界网络安全威胁 与 Internet 相连，如果没有边界防护将是危险的。不通的网络区域之间如 果不采取安全防护措施，这样内部网络很容易遭到来自于 Internet 中可能的入 侵者的攻击，网络中可能存在其他网络的越权访问，如： 入侵者通过 Sniffer 等嗅探程序来探测扫描网络及操作系统存在的安全漏 洞，如网络 IP 地址、应用操作系统的类型、开放哪些 TCP 端口号、系统保存用 户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息， 进而假冒内部合法身份进行非法登录，窃取内部网重要信息。 恶意攻击：入侵者通过发送大量 PING 包对内部网重要服务器进行攻击，使 得服务器超负荷工作以至拒绝服务甚至系统瘫痪 在 Internet 上爆发网络蠕虫病毒的时候，如果内网的边界处没有访问控制 设备对蠕虫病毒在第一时间进行隔离，那么蠕虫的攻击将会对网络造成致命的 影响。 2.1.2 来自网络的安全威胁来自网络的安全威胁 通常通过防火墙进行网络安全防范。从理论上分，防火墙可以说是第一层 安全防范手段，通常安装在网络入口来保护来自外部的攻击。其主要防范原理 XX 公司网络安全方案 6 为基于 TCP/IP 的 IP 地址和及端口进行过滤、限制。由于防火墙本身为穿透型 （所有数据流需要经过防火墙才能到达目的地） ，因此为了提高其过滤、转发效 率，通常不会对每个数据报文或者数据流进行过多的、细致地分析、检查。但 是恰恰很多符合防火墙的 TCP/IP 过滤安全策略的数据流或者报文中参杂着恶意 的攻击企图。虽然目前一些防火墙增强了对于应用层内容分析的功能，但是考 虑其因分析、处理应用层内容而导致的网络延迟的增加，因此从其实际应用角 度来说，存在一些公司限性。但是网络入侵防御系统由于其以主动模式部署到 现有网络中，因此可以在不影响网络结构及网络性能的情况下，执行各种复杂 的应用层分析工作，针对各种网络攻击行为进行阻止和防护。 2.1.3 Web 安全威胁安全威胁 现代的信息系统，无论是建立对外的信息发布和数据交换平台，还是建立 内部的业务应用系统，都离不开 Web 应用。Web 应用不仅给用户提供一个方便 和易用的交互手段，也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前，全球网络 用户已近 20 亿，用户利用互联网进行购物、银行转账支付和各种软件下载， 企业用户更是依赖于网络构建他们的核心业务，对此，Web 安全性已经提高一 个空前的高度。 然而，随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上，他们针对 Web 网站和应用的攻击愈演愈烈，频频得手。根 据 Gartner 的最新调查，信息安全攻击有 75%都是发生在 Web 应用而非网络层 面上。同时，数据也显示，三分之二的 Web 站点都相当脆弱，易受攻击。 另外，据美国计算机安全协会（CSI）/美国联邦调查公司（FBI）的研究表 明，在接受调查的公司中，2004 年有 52%的公司的信息系统遭受过外部攻击 （包括系统入侵、滥用 Web 应用系统、网页置换、盗取私人信息及拒绝服务等 等） ，这些攻击给 269 家受访公司带来的经济损失超过 1.41 亿美元，但事实上 他们之中有 98%的公司都装有防火墙。早在 2002 年，IDC 就曾在报告中认为， “网络防火墙对应用层的安全已起不到什么作用了，因为为了确保通信，网络 XX 公司网络安全方案 7 防火墙内的 Web 端口都必须处于开放状态。 ” 目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议深厚理解， 即可完成诸如更换 Web 网站主页、盗取管理员密码、破坏整个网站数据等等攻 击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。 2.22.2 XXXX 公司安全升级需求公司安全升级需求 2.3.1 防火墙需求防火墙需求 防火墙是指设置在不同网络（如可信任的组织内部网和不可信任的公共网） 或网络安全域之间的一系列部件组合。防火墙通常位于不同网络或网络安全域 之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的 安全策略，运用包过滤、代理网关、NAT 转换、IP+MAC 地址绑定等技术，实现 对出入网络的信息流进行全面的控制（允许通过、拒绝通过、过程监测） ，控制 类别包括 IP 地址、TCP/UDP 端口、协议、服务、连接状态等网络信息的各个方 面。防火墙本身必需具有很强的抗攻击能力，以确保其自身的安全性。 .2 入侵防御系统入侵防御系统 IPSIPS 需求需求 IPS 将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。 配合实时更新的入侵攻击特征库，可检测防护 3000 种以上的网络攻击行为，包 括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁，并 具有丰富的上网行为管理，可对 P2P、聊天、在线游戏、虚拟通道等内网访问 实现细粒度管理控制。从而很好地提供了动态、主动、深度的安全防御。 .3 WAFWAF 应用防火墙需求应用防火墙需求 提供针对不同类型主机服务器的网页防篡改功能、Web 防护功能以及事后 日志分析系统的功能，降低安全风险，为提高网站公信度提供安全保障。 XX 公司网络安全方案 8 第三章第三章 XXXX 公司网络安全项目解决方案公司网络安全项目解决方案 3.13.1 XXXX 公司防火墙解决方案公司防火墙解决方案 .1 XXXX 公司防火墙的部署公司防火墙的部署 根据 XX 公司系统的安全现状和风险分析，我们在该网中建立防火墙系统。 有关建立防火墙系统的目标、功能、位置、在下文中进行详细说明。 信息化的前提就是建立起完善的信息保障体系，防火墙在信息保障体系中 对网络行为进行有效访问控制，对保证网络访问行为的有序性起到了至关重要 的作用，防火墙体系的建立直接关系到了系统能否正常运行，体系是否完善； 关系到了系统是否能够对非法访问进行有效的防范。 在 XX 公司网络系统中我们建立防火墙系统的主要目标:逻辑隔离 XX 公司系 统内网与 Internet；内网用户区与其他子网；外网用户区与其他子网；服务器 区与其他子网区域保护两台重要的 WEB 服务器。以上这些内部子网之间都需要 进行访问控制。 .2 XXXX 公司防火墙的作用公司防火墙的作用 防火墙对内网用户一经授权便能够采用任何现有的或新出现的网络技术 访问 Internet 获取所需要的信息和服务； 防火墙可以防范各种网络攻击，能够查找到攻击的来源和类型，能够对 这些攻击进行反应； 对网络访问接入点的保护应该对相关组件与网络的性能造成尽可能少的 影响； 抗 DOS/DDOS 攻击：拒绝服务攻击（DOS） 、分布式拒绝服务攻击 （DDOS）就是攻击者过多的占用共享资源，导致服务器超载或系统资源 耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、 检测与报警机制，防止 DOS 黑客攻击。所以通过防火墙上进行规则设置， 规定防火墙在单位时间内接到同一个地址的 TCP 全连接、半连接的数量， 如果超出这个数量便认为是 DOS/DDOS 攻击，防火墙在设定的时间内就 不接受来自于这个地址的数据包，从而抵御了 DOS/DDOS 攻击； 防止入侵者的扫描：大多数黑客在入侵之前都是通过对攻击对象进行 XX 公司网络安全方案 9 端口扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些 用户的口令弱等信息，然后再展开相应的攻击。通过防火墙上设置规则： 如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建 立多个连接，便认为是扫描行为，并截断这个连接。从而防止入侵者的 扫描行为，把入侵行为扼杀在最初阶段； 防止源路由攻击：源路由攻击是指黑客抓到数据包后改变数据包中的路 由选项，把数据包路由到它可以控制的一台路由器上，进行路由欺骗或 者得到该数据包的返回信息。通过在防火墙上配置规则，禁止 TCP/IP 数据包中的源路由选项，防止源路由攻击； 防止 IP 碎片攻击：IP 碎片攻击是指黑客把一个攻击数据包分成多个数 据据包，从而隐藏了该数据包的攻击特征。通过在防火墙上设置规则防 火墙在进行检查之前必须将 IP 分片重组为一个 IP 报文，而且这个报文 必须具有一个最小长度以包含必要的信息以供检查，从而防止了 IP 碎 片攻击； 防止 ICMP/IGMP 攻击：许多拒绝服务攻击是通过发送大量的 ICMP 数据 包、IGMP 数据包实现的。通过在防火墙上设置规则，禁止 ICMP/IGMP 数 据包的通过防火墙，保证系统的安全； 阻止 ActiveX、Java、Javascript 等侵入：防火墙能够从 HTTP 页面剥 离 ActiveX、JavaApplet 等小程序及从 Script、PHP 和 ASP 等代码检测 出危险的代码，也能够过滤用户上载的 CGI、ASP 等程序； 其他阻止的攻击：通过在防火墙上的 URL 过滤可以防止一些来自于系 统漏洞的攻击（例如：通过配置规则禁止访问. ./winnt/system32/cmd.exe?/可以防止 WINDOW NT/2000 的 UNICODE 漏 洞以及其他 CGI 漏洞攻击：/Cgi-bin/phf、cgi- bin/count.cig、_vti_pvt/service.pwd、cfdocs/expeval/ openfile.cfm 等） 、和一些病毒的攻击（例如：禁止 default.ida 可以 防止红色代码的攻击） ； 提供实时监控、审计和告警：通过防火墙提供对网络的实时监控，当 发现攻击和危险代码时，防火墙提供告警功能； XX 公司网络安全方案 10 3.23.2 入侵防御系统部署入侵防御系统部署 通过深度内容检测、安全防护、上网行为管理等技术，配合入侵攻击特征 库，可检测防护包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等 各种网络威胁。 .1 入侵防御系统入侵防御系统 IPSIPS 的作用的作用 实时的入侵检测防护实时的入侵检测防护 IPS 具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能， 内置超过 3,000 种的 IPS 特征库，支持对 VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP 等各种协议的分 析；支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、 非法连接等多种攻击的防护。 丰富的上网行为管理丰富的上网行为管理 IPS 不仅具有精准的入侵检测和防护功能，同时还具有丰富的内网上网行为 管理功能。可以根据不同的时间、群组，来对即时聊天软件、P2P 软件、非法 隧道等下达严格的管理策略。 强大的抗强大的抗 DoS/DDoSDoS/DDoS 传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数，来 阻断未知类型的DoS/DDoS 攻击。 这种机制虽然可以将超过阈值的攻击数 据包丢弃，但同时也会将超过阈值的合法数据包丢弃，造成正常用户不能使用 网络服务。IPS 对于需要重点保护的 Web、DNS 等服务可选择采取传统的处理机 制。 另外，IPS 提供独特的 DoS/DDoS 检测及预防机制，可以辨别合法数据包以 及 DoS/DDoS 攻击数据包，支持双向阻断 TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing 等类型的 DoS/DDoS 攻击，可检测的 DoS/DDoS 攻击软件包括 XDoS、SUPERDDoS、FATBOY 等 50 种以上。当用户在遭受 DoS/DDoS 攻击之时，网神 IPS 能够保证合法用户顺利享用网络服务。 精准的带宽管理功能精准的带宽管理功能 XX 公司网络安全方案 11 IPS 采取七层深度数据包分析技术，可以完整地做到应用程序级别的流量 管理，具体针对以下两方面的管理： 1）可根据不同的应用程序分配不同的带宽，如对 P2P 、PPlive、PPStream 等流量的管理。 2）可根据不同的 VLAN、源/目的 IP 地址、应用协议端口划分不同的带宽。 IPS 采取以下两种方式对流量进行管理： 1）网络传输带宽方式限流，即限制特定对象的最大带宽，可精准到 1Kbps。 2）网络传输总量方式限流，即限制特定对象的单位时间内传输总量。 3.33.3 网页防篡改系统网页防篡改系统 采用文件系统驱动技术以及进程内嵌技术,针对黑客对网站攻击的首要目标 网站主页内容进行侵袭，保证网页内容安全性。 .1 网页防篡改系统的作用网页防篡改系统的作用 告警功能告警功能 网页防篡改系统有邮件、短信告警功能，针对网页防篡改和 Web 防护触发 进行告警，保证了客户第一时间了解篡改和攻击的详细报告，对于网页防篡改 的不同操作细节可以制定告警方式，多样化的告警功能，方便客户了解网站实 时动态。 WebWeb 防护功能防护功能 网页防篡改系统内置软件 WAF 管控平台，可以对 SQL 注入、跨站脚本、防 爬虫、扫描器、信息泄露、溢出以及协议完整性的 Web 攻击进行防护。 网页防篡改网页防篡改 网页防篡改系统采用第三代网页防篡改技术，第三代网页防篡改技术是事 件触发和文件驱动级保护相结合，其原理是：将篡改监测的核心程序通过微软 文件底层驱动技术应用到 Web 服务器中，通过事件触发方式进行自动监测，对 XX 公司网络安全方案 12 文件夹的所有内容，对照其底层文件属性，讲过内置散列快速算法，实时进行 监控，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文 件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件 复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实