utm方案建议书.doc

方案建议书系统建议书沈 阳 速 倍 科 技 有 限 公 司2020年01月 目录第一章 前言2第二章 网络结构4第三章 现状和问题5安全现状5安全目标5需求分析6网络出口缺少深层次的入侵防御6缺少对网络访问、操作的审计7第四章 解决方案建议书8入侵防御系统解决方案8网络业务审计解决方案10整体安全拓扑图14第五章 服务方案15第六章 部分成功案例16第一章 前言2008年，我国信息化建设仍然处于高速发展期。随着信息化建设的不断发展、核心应用业务迅速网络化以及互联网用户的飞速增长，我们面临的安全威胁也日益增多和复杂。根据CNCERT的最新统计数据，2006年CNCERT共接到网络安全事件报告26476件，比2005年增长近三倍。2006年我国大陆被篡改网站总数达到了24477个，同比增长一倍；其中政府网站（.）被篡改3831个，占大陆被篡改网站的16%。CNCERT统计显示，大陆地区约有4.5万个IP地址主机被植入木马，约有1千万个IP地址主机被植入僵尸程序。从以上数据可以看出，建设一个实时有效的网络安全防护系统，是保障业务正常进行的必然前提。 我们沈阳速倍科技发展有限公司作为专业的网络安全企业，经过了对贵单位网络环境的综合考察，对各种网关安全方案的深入分析，做出了此次方案，该方案将为贵单位提供环境，为贵公司网关安全系统的建设尽绵薄之力。第二章 网络结构锦西石化厂企业内部网关拓扑结构原设计为：共有两条线路分别通过两台cisco3640路由器连接到中油集团公司，其中一条为；另外还有一条网通线路通过防火墙连接到Internet 。大致拓扑如下：第三章 现状和问题安全现状我厂已经在网络安全方面做了一些基本的防护手段，主要包括：1、 在与Internet网络出口处安装了网络防火墙。它们主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，能比较有效的防范基于业务端口的攻击。2、 对于重要服务器基本进行了安全配置，将不用的进程和服务停止，启用操作系统日志系统，及时对操作系统进行补丁升级。对重要系统设置高安全性的口令，且不定期更换口令。安全目标锦西石化厂的信息安全目标就是要使得其信息系统及其承载的业务和数据得到有效的保护。分开来说大体有几下几个方面：1、 保密性（Confidentiality）：又可称为机密性。是指信息不泄露给非授权的个人、实体或进程，不为其所用。2、 完整性（Integrity）：又可称为一致性。是指保证数据没有遭受以非授权方式所作的篡改或破坏，如需要保证财务信息的数据完整。3、 可用性（Availability）：指当用户需要数据时，数据就能通过网络以用户需要的形式被调用，如需要保证随时可读取生产数据。4、 真实性（Authenticity）：是指确保用户、设备和其他实体是真实的。确保数据是真实的，如EMOS信息的真实性。5、 可追究性（Accountability）：是指确保实施过某些操作的主体不能否认其行为，并可以被独一无二地追踪的特性需求分析网络出口缺少深层次的入侵防御传统上，我们用防火墙来抵抗攻击，但随着威胁的不断发展，这种低层的防护措施已经显得力不从心。根据公安部一份信息网络安全状况调查显示，在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中，发生网络安全事件的比例为58。其中，计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79，拒绝服务、端口扫描和篡改网页等网络攻击事件占43，大规模垃圾邮件传播造成的安全事件占36。特别地，计算机病毒的感染率为87.9，比上一年增加了2。上述调查对象都是国内信息安全投入比较高的大行业，防火墙等常见安全产品基本都已部署，但仍然遭受了触目惊心的安全危害。 为什么？原因在于防火墙等传统安全网关设备无法防御深层攻击！统计显示，现阶段70%以上的攻击事件发生在传输层和应用层之间，我们称这类4-7层上的攻击为深层攻击行为。深层攻击行为有如下特点：第一：新攻击种类出现频率高，新攻击手段出现速度快。据美国CERT/CC的统计数据，2006年共收到信息系统漏洞报告8064个，比2005年增长了34.6%，漏洞数量的迅速增长标志着新攻击类型的迅速增长。第二：攻击过程隐蔽。文件捆绑：打开一份文档，结果执行了一个与文档捆绑的木马程序；文件伪装：可爱的熊猫图片，竟然是蠕虫病毒；跨站脚本攻击：仅仅是访问了一个网站的页面，就被安上了间谍软件。攻击行为正以越来越隐蔽的面貌出现。除了深层攻击行为这些自身的特点外，越来越多的网络业务应用，也增加了判断攻击行为的难度：到底是正常的应用还是违规的应用呢？在这种背景下，为了实现对深层攻击的防御，弥补防火墙等传统安全网关设备的不足，入侵防御系统（IPS：Instruction Prevention System）应运而生。入侵防御系统以在线方式部署，实时分析链路上的传输数据，对隐藏在4-7层特别是应用层的攻击行为进行阻断，专注的是深层防御、精确阻断。缺少对网络访问、操作的审计随着系统信息化进程不断深入，业务系统也变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据最新统计资料，对网络造成严重攻击中的70是来自于组织里的内部人员。其次如何有效地监控设备厂商服务人员和软件公司开发人员的操作行为，并进行严格的审计是我厂网络安全面临的一个关键问题。严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。一般来说，我们都是从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是，系统是在经历了大量的操作和变化后，才逐渐变得不安全的，系统日志的真实性和完整性无法保证。从系统变更的角度来看，网络审计日志比系统日志在定位系统安全问题上更加真实可信，也更加高效和方便。成熟的审计系统通过对可信人员的网络活动进行解析、记录、分析以帮助管理人员事前规划预防、事中实时监控、违规行为阻止和事后追查网络运营事故，从而帮助用户加强内外部网络行为监管、避免核心资产（数据库、服务器、网络设备）损失、保障客户业务系统的正常运营。第四章 解决方案建议书入侵防御系统解决方案据CERT数据显示，当前超过70%的网络攻击行为通过应用层传播，不仅传统的防火墙对这种深层的攻击行为无能为力，而且这种深层攻击由于过程复杂、手段多变，攻击特征难以被简单、精确地识别。入侵防御系统（IPS）不仅可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击、网络设备攻击等多种深层攻击行为进行主动阻断，弥补其它安全产品深层防御效果不足。因此我们推荐在与中油集团公司连接的Cisco3640路由器后面，和与Internet连接的防火墙后面分别部署入侵防御系统。部署拓扑如下图3：入侵检测系统部署示意图推荐产品：启明星辰天清入侵防御系统天清入侵防御系统是启明星辰公司自主研发的入侵防御类安全产品（IPS）。对内部网络/服务器群提供多种恶意行为的阻断防御功能。部署方式天清IPS采用在线式部署方式，透明串接到网络当中，不更改网络的拓扑。可以用作网络间的防御，也可用作对重点服务器的防御。天清IPS产品由两个部分组成：硬件形态的防御引擎和软件形态的控制中心。可以实现多级的管理部署架构，也可以实现对多台防御引擎的同时管理。天清入侵防御系统的主要特点是：深层防御：天清入侵防御系统可以防御那些防火墙发现不了的47层上的各种深层攻击行为，进一步提升对关键业务和数据的防御能力。精确阻断：天清入侵防御系统提供了针对缓冲区溢出、木马后门、间谍软件、SQL注入、蠕虫病毒等多种恶意攻击行为的防御，并且可以实现100%精确判断和阻断，不会因为误警而影响网络的正常应用。特别是针对数据库服务器的SQL注入攻击防御，达到国际领先水平。高效可靠：天清入侵防御系统通过内置硬件Watchdog技术、软件监控进程，对系统异常实时监控和处理，实现软、硬件双Bypass功能。在异常状况下也能保障网络的畅通。防御及时：启明星辰公司在攻击识别判断方面有着深厚的知识积累，专业化的事件分析队伍、及时的在线自动更新模式确保了用户能在第一时间获得对最新流行攻击行为的防御。网络业务审计解决方案据统计，安全威胁的70%来源于组织内部，防止内部的非法违规行为比抵御外部的入侵更为重要。一个成熟先进的审计系统不但能够监视和控制来自信息系统外部的入侵，还能够运用各种技术手段监视来自信息系统内部人员的违规和破坏行动，以便集中报警、分析、处理；从策略控制到事后取证、从主机到网络、从数据库到应用审计、全面地对整个网络和主机进行保护与审计，从而可以更有效地防御外部的入侵和内部的非法违规操作，最终起到保护机密信息和资源的作用。本方案建议在中心主交换机和服务器区接入交换机上部署网络安全审计系统。设置审计策略，使之能够审计：所有通过该交换机的网络操作行为、设备调试行为、数据库操作行为、用户访问行为。并为有管理权限的网管员、长期在我厂服务的设备厂商人员，软件开发人员等配备身份认证Key，对以上人员进行按角色的审计。并对角色进行授权，不同角色被授予不同的操作和访问权限，一般用户不配备身份认证Key，确保一般用户只拥有最低的操作权限。通过这种方式进行按角色审计（而不是按IP地址）不但能记录每个人的所有操作，还能避免低权限用户进行超出其权限的操作。部署拓扑如下：图3：安全审计系统部署示意图推荐产品：启明星辰天玥网络安全审计系统（业务网型）CA2300天玥网络安全审计系统（CA系列）是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内外部网络行为监管、避免核心资产（数据库、服务器、网络设备等）损失、保障业务系统的正常运营。业务环境下的网络操作行为包括：业务操作：指业务操作人员或业务应用系统对后台相关数据库的操作行为；运维操作：指运维人员对IT支撑系统中的基础组件（主机、路由器、交换机、操作系统等）进行的配置管理操作行为；OA操作：指办公自动化中员工收发邮件、网络共享等基本网络应用行为。部署天玥网络安全审计系统能起到如下作用：l 有效控制运维操作风险，便于事后追查原因与界定责任取证免责天玥网络安全审计系统采用基于角色的访问控制与审计机制，不仅能够有效控制运维操作风险，还能够有效区分不同维护人员的身份，同时能够完整回放事故当时操作场景，定位事故真正责任人，便于事后追查原因与界定责任。l 有效控制业务运行风险，直观掌握业务系统安全状况全局把控天玥网络安全审计系统提供业务流量实时监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况，特别是系统维护、访问量、业务流量、业务访问分布、数据库访问分布等重要信息，使得管理者可以直观的实时了解业务系统安全状况。l 实现独立审计与三权分立，完善IT内控机制完善机制从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立。天玥网络安全审计系统基于三权分立的基础上实施内控与审计，能够有效控制操作风险，完善IT内控机制。产品功能特性：1. 结合安全审计的国内外标准、各组织部门内外部合规性要求及SOX法案，提供强大、多样化的面向用户业务需求的统计分析报表；2. 基于角色的业务操作、运维操作审计，审计粒度精确到命令级；3. 能够灵活自定义审计策略，满足不同业务系统的不同审计需求；4. 基于HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、TNS、DB2、INFORMIX等应用层协议的网络行为审计与回放；5. 对多种主流数据库进行命令级、过程级的审计和控制，包括：Oracle、DB2、Sybase、Informix、MS SQL Server等；6. 操作行为实时监控，违规行为实时报警、自动阻断；7. 完备的“三权分立”管理体系，系统管理员、审计员、操作员三个用户组权限相互制衡，有效保证审计操作安全；8. 旁路监听式网络审计技术，不影响网络性能且审计结果客观真实。整体安全拓扑图图3：整体部署示意图第五章 服务方案优质的售后服务一直是我们对用户做出的承诺。我们将根据用户的实际情况，做出切合实际的售后服务计划。我公司有多名专业技术人员组成的售后服务队伍，无论是在系统安装调试过程中，还是在系统投入运行之后，无论发生任何问题用户都可以得到最快速的服务响应。我们承诺的服务包括：系统安装调试和升级服务我公司负责系统软硬件的全部安装调试过程，并负责系统后期的版本补丁升级服务。系统培训服务我公司会为用户提供系统基础知识培训、系统安装