AngellPRO防火墙企业级解决方案.doc

AngellPRO防火墙企业级解决方案企业网络安全解决方案 企业网的建设成功为企业信息化打下了基础，为企业的生产经营的开展提供了高效的信息传输手段。在网络信息资源日益丰富的同时，对信息的安全保密性提出了更高的要求。由于历史和技术等原因，在企业网的建设中，比较少或基本上没有考虑安全等因素。在安全性方面，比较突出的表现在以下几个方面：身份认证和资源访问控制、数据的安全传输、邮件的加解密和一些特殊的安全防范等问题。 一 企业网络安全解决思路 设计、服务提供依据采用 P2DR 模型。 通过信息安全表述模型 P 2 DR 模型的分析，我们可以对需要建设的整体解决方案有一个完整的概念。确定 Policy 策略、 Protection 防护、 Detection 检测和 Response 响应四个方面的安全需求。 P 2 DR 模型阐述了一个提供 724 不间断安全管理和保障的产品和服务的全部综合套件以及全面安全解决方案。 P 2 DR 方案是一个超前的安全模型。它的指导思想比传统安全方案 ( 传统安全在本质上是静态的，如防火墙和加固验证等 ) 有突破性提高。 Policy 策略、 Protection 防护、 Detection 检测和 Response 响应组成的完整模型体系，可以描述和解释任何信息安全问题。 P2DR 安全模型的特点就是动态性和基于时间的特性，可以说对信息安全的“相对性”给予了更好地描述：虽然没有 100% 的安全，但是模型为进一步解决信息安全技术问题提供了有益的方法和方向。 由 P 2 DR 的数学模型我们得到结论：安全的目标实际上就是尽可能的增大保护时间，尽量减少检测时间和响应时间。 按照 P 2 DR 模型，信息安全方案可以最大限度地保护信息不受诸多威胁的侵犯，目的是确保商务连续性，将商务损失和风险降低到最小程度，将投资回报和商业机会提高到最大程度。 Policy （安全策略 ） 由于安全策略是 P 2 DR 安全模型的核心，所以要想实施动态网络安全模型，必须首先制定企业的安全策略，所有的防护、检测、响应都是依据安全策略实施的，企业安全策略为安全管理提供管理方向和支持手段。 对于一个策略体系的建立包括：安全策略的制订、安全策略的评估、安全策略的执行等。 Protection （保护） 保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密、认证等方法。通过防火墙监视限制进出网络的数据包，可以防范外对内及内对外的非法访问，提高了网络的防护能力，当然需要根据安全策略制定合理的防火墙策略；也可以利用 SecureID 这种一次性口令的方法来增加系统的安全性等等。 Detection （检测） 在 P 2 DR 模型，检测是非常重要的一个环节，检测是动态响应的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应。 在我们采用了一系列静态安全措施后，比如设置了防火墙、进行身份验证、采用了加密算法等等，我们是否就能认为我们的网络是安全的呢？应该如何来评估网络的安全性？实际上网络的安全风险是实时存在的，所以我们检测的对象应该主要针对构成安全风险的两个部分：系统自身的脆弱性及外部威胁。检测的内容主要包括网络和系统漏洞扫描、入侵检测以及病毒扫描等等。 Response （响应） 紧急响应在安全系统中占有最重要得地位，是解决安全潜在性最有效的办法。在检测到安全漏洞和安全事件之后必须及时做出正确的响应，从而把系统调整到安全状态。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。要解决好紧急响应问题，就要制订好紧急响应的方案，做好紧急响应方案中的一切准备工作。 二 安全系统设计模型 安全建设过程是一个系统化过程。因此，安全建设的初期考虑中必须站在全局，而不是局部的角度来设计组织的安全规划。 按照 ISO17799 的标准，我们可以将其浓缩为以下图示。该标准涉及了安全建设中需要考虑的各个方面，对组织的安全建设具有非常全面的指导作用。 安全建设参考模型 以上模型中所包含的概念如下： 物理和环境安全：物理和环境安全是保护计算机设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为破坏所造成损失的过程和规范。 链路和操作安全：链路安全主要解决网络系统中，链路级点对点公用信道上的安全。操作安全主要解决人为操作失误所造成的损失。 网络安全：网络安全只要面对信息传输过程中由于传输协议、网络设备配置、传输加密等引起的安全问题。 设备安全：设备安全主要解决由于自然磨损、疲劳失效等引起的设备老化、介质损坏等问题。 应用安全：应用安全主要解决应用系统的安全问题，这些问题主要是应用系统本身的程序设计问题造成或者由于应用系统引发的其他问题。 数据安全：数据是企业存在和发展的基础。数据安全主要解决数据在存储和传输过程中的安全问题。 系统安全：系统安全主要解决操作系统的安全问题。 人员安全：人员安全主要解决由于内部人员的离职、无意泄漏、警惕性降低、水平不足或者故意报复等造成的损失。 安全策略和管理：安全策略和管理是组织根据自身的业务和安全需求制定的用于为信息安全提供管理方向和支持手段的指导性规范。 安全服务：安全服务是组织的 IT 部门或者专业的安全服务提供者提供给组织的安全培训、响应、指导、分析等工作。 标准：标准是组织实现任何 IT 建设、安全保障等必须遵循的国家级或国际化的规范。 尽管我们在具体实现的时候，会针对不同情况对以上的方面有所侧重。但是，安全建设参考模型的建立将帮助组织更加全面地考虑自己所需要面对的安全问题。 三 企业网安全实现目标 技术先进性和成熟性 设计立足先进技术，相对成熟可靠，符合网络发展的方向，以适应大量数据传输以及多媒体信息的传输。以适应未来网络技术的发展。 系统可靠性和稳定性 网络大量传输的是重要的数据，企业网的安全建设结果应严格注意如何保证网络系统的可靠性和运行的稳定性，其中包括： 网络结构的可靠性和稳定性。 在网络拓扑结构的设计上，力求简洁，符合网络发展的方向。 设备的高可靠 选用的网络设备应具有很好的容错特性及热备份能力等。 网络系统与应用系统接口的可靠性。 选用的网络系统的接口与应用系统接口兼容并可靠。 选用的网络设备必须符合国际标准。 系统的开放和互联 在网络设计过程考虑到与其它系统或网络的互联，因此，网络系统应支持多协议、兼容各种拓扑结构、互连性好，只有这样才能够实现与现有的和未来的网络系统互联。 易于管理 在整个网络中，连入网络的网络设备和终端设备多、分布广、网络运行情况复杂，网络设备应该具有很好的可