盐业公司网络安全解决方案.doc

此文档收集于网络，如有侵权，请联系网站删除青海盐业网络整体解决方案西安华盾信息技术有限公司2006.9第一部分信息安全理论模型2前言21.1安全背景2第二章安全理念和模型42.1对网络信息整体安全的理解42.1.1为什么要实施安全系统42.1.2怎样部署安全系统安全时空理论模型42.2安全系统设计原则72.3安全集成项目原则9第三章项目管理流程11第二部分 安全需求与解决方案13第四章网络应用现状及网络信息安全需求134.1网络环境及应用现状134.2网络信息安全需求134.2.1网络信息安全系统建设目标13第三部分安全产品部署及预算17第五章安全产品部署方案175.1防火墙系统部署175.2 安全网关（VPN）系统部署175.3 网络管理平台系统部署205.4 漏洞扫描系统系统部署215.5 入侵检测（IDS）系统部署215.6主机监控与审计系统22主机监控与审计系统的产品建议使用中科网威的主机监控与审计系统。245.7 防病毒系统部署24针对集团公司网络系统和应用特点，我们推荐部署硬件防病毒网关255.8内外网物理隔离28第六章 信息安全系统设备清单及预算30设备分项报价表30第一部分信息安全理论模型前言1.1安全背景以Internet网为主体的信息高速公路的迅猛发展，正以前所未有的速度和能力改变着人们的生活和工作方式，我们真正处于一个“信息爆炸”的时代。一方面，Internet网使得人们能够跨越时空的限制，为学习、生活和工作带来空前的便利；另一方面，面对信息的汪洋大海，人们往往感到无所适丛，出现“信息迷向”的现象。特别是，Internet网是一个无国界的虚拟信息社会，现实社会中的各种问题都会在Internet网上通过电子手段予以重现，信息犯罪愈演愈烈。网络的开放性，互连性，共享性程度的扩大，使网络的重要性和对社会的影响也越来越大，网络安全问题变得越来越重要。信息安全问题不仅仅涉及到国家的经济安全、金融安全，还涉及到国家的国防安全、政治安全和文化安全。据统计，当今世界上，已经有超过50，000种计算机病毒，并且每天仍有300400种新病毒出现，平均每20秒就发生一起入侵Internet网上计算机事件。据报道，美国每年因信息和网络安全问题所造成的损失就超过100亿美元。各国政府不惜耗巨资加紧开发保护电脑和网络安全的新技术、新产品。计算机网络犯罪所造成的经济损失也令人吃惊。有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。青海省盐业股份有限公司-是集全省盐业产、运、销于一体的大型企业，组建于2000年4月，通过对外商增资扩股，2003年3月经国家外经贸部批准为外商投资股份有限公司。公司下设西宁分公司、茶卡制盐分公司、塑料制品分公司和青海省银湖制盐有限责任公司、青海省德令哈石英制品有限责任公司、青海省金源盐化工开发有限责任公司三家控股子公司。公司生产的产品有：工业盐、再生盐、粉碘盐、硒碘盐、真空精制盐、加锌盐、食用加硒盐、调味盐、味精盐、加钙盐、食品加工盐、藏青盐和塑料制品以及熔炼石英、溶雪剂、皮革防腐剂等。年生产能力为：工业盐200万吨、食用粉碘盐30万吨、真空精制盐8万吨、塑料编织袋700万条、复膜袋100吨、熔炼石英1万吨。公司依托高海拔、无污染的茶卡盐湖、柯柯盐湖得天独厚的资源优势，所生产的工业盐和各类食用盐以绿洁、海神、柯柯为注册商标，产品销往全国12个省、市、自治区，并出口到香港、日本、韩国、尼泊尔等国家。青盐产品由于含有多种人体所必需的微量元素，味道不苦涩，历来深受广大消费者青睐。其中，绿洁牌粉碎洗涤盐、精制盐、藏青盐已被中国绿色食品发展中心认定为绿色食品A级产品。公司已通过ISO9000质量管理体系认证。2000年、2001年被省政府授予青海省上缴税利大户企业称号，2002年、2003年被省政府授予青海省上缴税利先进企业称号。青海省盐业股份有限公司将紧紧抓住西部大开发的有利机遇，大力实施科技兴盐战略，努力向企业国际化、生产规模化、资本多元化的发展战略目标迈进，为青海的经济发展和社会稳定做出更大的贡献。第二章安全理念和模型2.1对网络信息整体安全的理解一个专业的安全方案必须有自己对网络信息安全的整体理解，它既包括理论模型，还包括众多项目实施经验。这个模型是厂商参照国际、国内标准，集多年的研发成果及无数项目实施经验提炼出来的，同时他们也会根据这个理论模型及自己的专业经验帮助客户完善对其业务系统的安全认识，最终部署安全产品和安全服务以保证其系统的安全。2.1.1为什么要实施安全系统内因，也就是根本原因，是因为其信息有价值。客户的信息资产值越来越大，信息越来越电子化、网络化，越来越容易泄漏、篡改和丢失，为了保护信息资产值不减值，必须要保护，因此要有安全投入。其次才是我们耳熟能详的外因，如遭受攻击和入侵。当前在网络信息领域中，入侵的门槛已经越来越低（攻击条件：简单化；攻击方式：工具化；攻击形式：多样化；攻击后果：严重化；攻击范围：内部化；攻击动机：目的化；攻击人群：低龄化），因此当入侵者采用技术方式攻击，客户必须采用安全技术防范，任何抽象的安全技术必须通过具体的安全产品和安全服务来体现。2.1.2怎样部署安全系统安全时空理论模型时间和空间是事物的两个根本特性，即一经一纬构成了一个立体的整体概念，安全系统的设计也可以这么理解。n 从时间角度部署安全系统该模型的核心思想是从时间方面考虑，以入侵者成功入侵一个系统的完整步骤为主线，安全方案的设计处处与入侵者争夺时间，赶在入侵者前面对所保护的系统进行安全处理。在入侵前，对入侵的每一个时间阶段，即下一个入侵环节进行预防处理。也就是说，与入侵者赛跑，始终领先一步。时间防御系统模型在客户系统具有一定的信息资产的时候，客户就应该根据业务特点和网络特点制订出一整套如何保护系统安全的技术和管理的方法与措施（包括哪些服务器应该重点防护，防火墙允许什么用户在什么时候访问什么服务，安全管理人员应该负责什么，普通用户又有什么权限及义务，一旦受到攻击应该怎么处理等等），使整个系统的安全处于受控状态。图中的“策略”正对应这样的中心位置。在制订安全策略以后，对现有（新建）系统进行漏洞评估，使客户了解自己网络的安全状况，并且针对暴露的问题进行修补，使系统更完善，具有一定的抗击打（抗入侵）能力，属于练内功的范畴。如上图的“评估”环节。在入侵者为攻击目标前（或设计新的网络前），针对不同的系统（部分）要采用相应的保护技术，并部署有关的安全产品和实施相关的安全技术优化系统。使系统处于一个静态的保护之下，做到人（入侵者）未来，我先防。图中的“防护”环节包括抗毁技术（如冗余、备份）、系统安全优化配置技术、防火墙、VPN、加密认证等技术和措施。在系统的运行过程中，“侦测”环节作为静态防护（或称事先防护）的补充非常重要（网络应用和黑客攻击方式都是动态变化的，任何一个事先设计的防护策略在解决新的漏洞前总有一段安全时间间隙），它实时监测流经被保护对象的数据流，对合法用户及非法用户的所有行为进行监控分析，最终识别出入侵者、入侵行为，同时和响应环节通信，保证系统和管理员及时采取措施，同时进行非法行为审记，以便取证和保证法律威慑力。响应环节有两个含义，一个是产品的响应，如网络入侵侦测系统在识别出入侵行为后即报警或与防火墙互动（通知防火墙切断此连接，阻断攻击者）；另一个是更高层次即人的响应，管理员在得到报警后，会采取响应措施。恢复是防范体系的又一个环节，无论防范多严密，都很难确保万无一失，所以，采用亡羊补牢、犹为未晚的策略，使用完善的备份机制确保内容的可恢复性，借助自动恢复系统、快速恢复系统来控制和修复破坏，将损失降至最低，保证系统的可用性。攻击阶段防范阶段对应产品对应安全服务策略安全策略、安全统一管理平台安全咨询服务、顾问服务评估漏洞扫描和安全评估系统安全技术服务之调查、红客攻击防护防病毒、防火墙、VPN、身份认证系统、安全管理平台安全技术服务之优化服务（系统、网络、应用、数据库等）检测网络入侵检测、主机入侵检测安全技术服务之（季、月）回归检查、审计服务、实时监控响应各个产品各自响应；产品间的协同响应（互动互联）（如：防火墙与入侵检测）常规响应服务；紧急响应服务恢复监控及恢复系统、备份系统各类系统的备份和恢复策略n 从空间角度部署安全系统一个具体的网络系统可以根据保护对象的重要程度（信息资产值的大小）及防护范围，把整个保护对象从网络空间角度划分成若干层次，不同层次采用具有不同特点的安全技术，其突出的特点是对保护对象“层层设防、重点保护”。一个基本的网络系统按防护范围可以分为边界防护、区域防护、节点防护、核心防护四个层次。边界防护是指在一个系统的边界设立一定的安全防护措施，具体到系统中边界一般是两个不同逻辑或物理的网络之间，常见的边界防护技术和产品有网关防病毒、路由器、交换机和防火墙。区域防护是一个比边界更小的范围，指在一个区域设立的安全防护措施，具体到系统中区域可能是比较小的网段或者网络，常见的区域防护技术和产品有网络防病毒系统、网络入侵侦测系统。节点防护范围更小，一般具体到一台服务器或主机的防护措施，它主要是保护系统信的健壮性，消除系统的漏洞，常见的节点防护技术和产品有服务器防病毒系统、漏洞扫描和网络安全评估分析系统等。核心防护的作用范围最小，比如针对某一个具体应用、具体机器或用户，它架构在其它网络安全体系之上，但它抗攻击强度最大，能够保证最核心的信息安全，常见的核心防护技术和产品有VPN系统、身份认证系统、数字证书认证系统、加密产品、安全管理平台等。2.2安全系统设计原则在进行集团公司网络信息安全系统的建设阶段，由于各方面条件的限制，不能要求全面铺开、一气呵成，而要在总体设计指导下，按轻重缓急程度，分期分批进行详细设计和实施。先关键部分后一般部分，先基础部分后扩展部分，先着手效益显著和容易见到成效的部分，使资金能够得到充分的利用，并适应计算机的更新与发展。1、规范性和标准化原则严格按照国家和集团公司公司有关信息系统建设规范，进行系统的规划、分析、设计、开发、维护和项目管理，有关信息编码、分类、数据通信规约和系统保密、安全规范都严格遵照国家有关规定执行。2、经济性原则网络信息安全系统建设是一个不断完善、不断发展的过程，在有限的资金投入下追求最高效益是我们的目标。因此，应从全局考虑，进行合理规划，结合本公司具体特点选用性价比高的设备，采用有技术代表性的产品。3、先进性原则网络信息安全系统建设起点要高，采用成熟、先进、高效的软硬平台。既要保证网络信息安全系统具有长久的生命力，又要保护系统投资，绝不能仅仅为了追求技术上的领先，去进行不必要的超前投资，造成资源上的浪费。网络信息安全系统应做到网络信息安全设备与网络设备相匹配、网络信息安全技术与应用系统相适应、软件技术与硬件技术相匹配、网络信息安全系统二次开发工具与平台环境相匹配，从而发挥各自的最大效能。网络信息安全系统需要进行二次开发时，一定要选用高效、先进和成熟的开发工具和技术，以提高开发效率和开发质量，使系统的开发过程可控、高效、保证系统的可维护性和可扩展性。4、可扩展性和可维护性原则对网络信息安全系统可扩展性和可维护性的保证是由网络基础设施、网络协议、计算机软硬件系统同时决定的。选择最适合目标系统的安全技术、安全设备和安全解决方案，使网络信息安全系统能够充分考虑到并能够满足现有系统维护的需要，因为现有系统维护过程中出现的任何问题需要相关的安全知识进行支持，所以安全系统设计文档、调试文档、安全体系架构和安全技术等各方面都决定了系统维护的高效性。5、安全可靠性原则可靠性是网络信息安全系统的重要指标，可靠性包括安全系统硬件、安全系统软件和安全应用软件的可靠性。因为安全硬件、软件、通讯通道甚至是应用软件中的任何一方面的故障都可能使整个系统瘫痪，所以在系统可靠性及稳定性要求方面必须综合考虑各方面因素，从总体费用和总体性能方面着眼，硬件兼容和软件监测双管齐下，保证系统正常运转。保证可靠性必须采用严格的系统管理机制，包括用户管理、配置管理、运行日志、账户管理、性能管理、网络监视等。同时配备完善的系统维护、数据备份和故障恢复手段，保证系统在万一发生灾难性故障时可以很快得到恢复。6、需求、风险、代价平衡分析原则对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。7、综合性、整体性原则运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。8、一致性原则这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。9、易操作性原则安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。10、适应性、灵活性原则良好的系统结构，融多种技术于一身，系统设计和实现采用结构化和面向对象相结合的技术，实现高度模块化。子系统之间具有高内聚、低耦合的特点，即各个子系统具有相对的独立性，既能独立运行，又能协同工作。安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。11、层次性、多在保护原则层次性原则包含了两个方面的含义，一是网络上的层次关系，即主干网二级网（核心节点到汇聚节点）三级网（核心节点到桌面节点）三级层次关系，这样设计可以保持信息管理的独立性和网络上传输的有效性以及故障的可隔离性。二是信息隶属的层次性，严格分级授权管理。任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。2.3安全集成项目原则u 经济性在本方案中，在方案的制订、产品的选型、服务的选择方面都尽可能体现经济性的原则。u 策略性建立集团公司的网络信息安全体系，需要先制定完整的、一致性的信息安全策略体系，即安全策略体系和其他企业策略相协调。u 综合性和整体性从系统综合的整体角度充分考虑此次集团公司安全项目，制定有效、可行的安全措施，建立完整的安全防范体系。u 尽量降低对原有网络、系统性能的影响由于安全设置的增加，必将影响网络和系统的性能，包括对网络传输速率的影响，对系统本身资源的消耗等。因此需要平衡双方的利弊，提出最为适当的安全解决建议。u 避免复杂性提供的安全解决方案不会使原网络结构的复杂程度增加，并使操作与维护简单化。安全体系的建立也不会对集团公司的结构做出根本性的修改。u 扩展性、适应性提供的安全解决方案能够随着集团公司网络性能及安全需求的变化而变化，要容易适应、容易修改。u 兼容性提供的安全管理工具应能够和其它系统管理工具有效兼容。u 保障安全系统自身的安全提供的安全产品和系统都有能力在合理范围内保障系统自身的安全。u 稳定性总体设计方案需保证运行过程中的稳定、顺畅，不对应用系统造成危害。第三章项目管理流程通常，要设计一个安全的网络，必须要经过安全需求分析、安全设计规划、安全产品选型、安全产品安装实施、售后安全服务等几个过程。安全需求分析：主要是对客户的信息系统进行安全需求的调研的分析，包括物理层、网络层、系统层、应用层及管理层的安全。确定所需要保护的信息资产的范围；通过对客户信息系统的调研了解来分析客户实际应用的安全需求；通过专业的安全评估来发现系统中存在的漏洞和缺陷等等。安全设计规划：根据对客户的信息系统的安全需求分析的结果，来为客户制定符合其特定需求的个性化的整体安全解决方案，包括边界的防护、区域的防护、节点的防护、核心的防护以及系统的容错设计等方面。同时必须要周全的考虑到系统的实际应用需求，来选择不同的安全防护设备和防护手段。并且除了技术手段，还应该考虑帮助客户建立起属于其自己的安全管理体系，包括制定相应的安全管理策略和制度。安全产品选型：根据安全设计规划方案的指导，通过包括功能、性能、价格及自身安全性等多方面因素的比较，来选择符合自身需求的安全产品。安全产品安装实施：对所选的安全产品进行安装和配置，包括策略的优化等工作，以保证它们的工作正常、可靠。售后安全服务：包括两方面的的服务，一是对所有安全产品的售后服务支持，包括产品升级、状态监控、故障排除等；二是对系统的安全服务，包括对系统的安全评估、系统修补、系统加固及系统优化等，从操作系统和应用层面来进一步加固整个信息系统的安全性。通过整个流程化的安全设计和实施，制定符合客户需求的安全方案，来保证客户的信息系统的安全性。安达通在这方面，有着业界顶尖的安全专家，丰富的项目经验，来为客户提供完善的全方位的服务。本方案的下面章节主要是针对集团公司的具体网络和应用情况，并结合集团公司行业计算机局域网络安全系统项目需求及技术规范，制定的一个网络信息安全技术方面的整体解决方案。第二部分 安全需求与解决方案第四章网络应用现状及网络信息安全需求4.1网络环境及应用现状根据集团公司目前的情况，集团公司的内部局域网已经建立，公司内部采用光纤作为主干线路，连接到汇聚层和楼层交换机，实现100M/1000M到桌面交换机，采用超五类双绞线作为楼宇布线，连接到桌面PC机，实现100M到桌面PC机。中心机房采用主、从核心交换模式，保证了数据交换的安全性、可靠性，利用防火墙对整个内部局域网进行访问保护。基础网络环境的建立为集团公司实际应用提供了链路层的数据通道和基本安全防护。随着应用的开展，在应用层如何保护信息的正常流转和安全可靠是集团公司内部网络建设面临的主要课题。也就是说，网络信息安全是保证应用系统正常开展的前提。4.2网络信息安全需求4.2.1网络信息安全系统建设目标集团公司网络信息安全系统的建设目标是全面的网络系统安全解决方案，包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合作和技术支持服务。网络信息安全系统建设目标是在不影响当前业务的前提下，实现对集团公司网络的全面安全管理。具体就是： 将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。 通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护。 使网络管理者能够很快重新组织被破坏了的文件或应用；使系统重新恢复到破坏前的状态；最大限度地减少损失。集团公司网络信息安全系统的需求描述可以从ISO/OSI及TCP/IP的分层设计思想角度描述，即从物理安全、网络安全、系统（数据库）安全、应用安全及安全管理（策略）等不同层面加以说明。1、物理层面安全主要是保证集团公司网络系统的物理安全，防范因为物理介质、信号辐射等造成的安全风险，保证信号传输的完整性、保密性和可靠性。由于物理安全措施的实施存在技术、政策等方面的局限性，因此就物理层面的安全策略及注意事项加以技术性说明。2、网络层面安全主要是保证网络结构的安全、在网络层加强访问控制能力、加强对攻击的实时检测能力和先于入侵者发现网络中存在漏洞的能力；加强全网的病毒防范能力；加强重要数据和信息的安全传输能力。具体可以概括为： 在网络系统中，整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备。 内部网络与外部网络（Extranet等）之间，采用硬件防火墙设备进行逻辑隔离，控制来自外部网络的用户对内部系统的访问。 加强对内部用户访问外部网络的控制。一般来说，只允许内部用户根据访问权限访问相关内部服务器或HTTP、FTP、TELNET、邮件等服务，而不允许访问更多的服务；更进一步的是要能够控制内部用户访问外部的什么网站、网页，以防单位职工利用网络之便聊天、打网络游戏等，导致工作效率降低。 建立一个完善的网络防病毒系统，实现对网络病毒防护的集中控制管理。网络防病毒体系应包括：网关级的病毒防护、服务器级的病毒防护、群件级（主要指邮件系统）的病毒防护以及个人主机级别的病毒防护，所有的病毒防护组建均应能集中控制，并具备很强的扩展能力。 由于入侵具有不可预测性，网络安全的防御体系也要求是动态的，而非静态的。因此，考虑建立实时入侵检测系统，以便及时发现各种可能的攻击企图，及时采取相应的应对措施。 作为动态防御体系的有机组成部分，网络安全评估措施也是必需的。只有先于入侵者发现网络中问题所在，才能更有效地降低安全风险。 利用认证技术和加密技术建立安全、易用、可靠、快捷的集团公司VPN专用网络，也可以建立VPN专用网络的专用子系统(如财务子系统、销售子系统等)保证重要数据和信息的机密性、完整性和信息来源的确定性。3、系统层面安全主要指对网络中存在的众多类型的操作系统、数据库系统等进行保护，保证重要服务器上操作系统、数据库系统和数据本身的安全。 集团公司对外公开的服务主要是Web服务，因此针对Web服务器，当被攻击、主页被篡改之后，能够迅速发现，并自动恢复。 对主机的安全漏洞扫描和评估系统或者安全服务，对现有网络中的服务器、主机（包括内部网络系统的各种应用服务器）进行扫描，预先查找出存在的漏洞，从而进行修补。 对数据库的安全漏洞扫描和评估系统或者安全服务，对网络中的所有数据库系统进行专门评估，预先发现漏洞，以便及时修补。4、应用层面安全集团公司网络中的应用很多业务通过Web方式开展。因此，有效的应用安全（尤其是Web应用）措施是保证集团公司业务正常开展的关键。目前，应用系统面对的安全风险主要有： 用户身份假冒：非法用户假冒合法用户的身份访问应用资源，如攻击者通过各种手段取得应用系统的一个合法用户的帐号访问应用资源，或是一个内部的合法用户盗用领导的用户帐号访问应用资源。用户身份假冒的风险来源主要有两点：一是应用系统的身份认证机制比较薄弱，如把用户信息（用户名、口令）在网上明文传输，造成用户信息泄漏；二是用户自身安全意识不强，如使用简单的口令，或把口令记在计算机旁边。 非授权访问：非法用户或者合法用户访问在其权限之外的系统资源。其风险来源于两点：一是应用系统没有正确设置访问权限，使合法用户通过正常手段就可以访问到不在权限范围之内的资源；二是应用系统中存在一些后门、隐通道、陷阱等，使非法用户（特别是系统开发人员）可以通过非法的途径进入应用系统。 数据窃取、篡改、重放攻击、抵赖：攻击者通过侦听网络上传输的数据，窃取集团公司的重要数据，或以此为基础实现进一步的攻击。包括：攻击者利用网络窃听工具窃取经由网络传输的数据包，通过分析获得重要的信息；内部用户通过网络侦听获取在网络上传输的用户帐号，利用此帐号访问应用资源；攻击者篡改网络上传输的数据包，使信息的接收方接收到不正确的信息，影响正常的工作；信息发送方或接收方抵赖曾经发送过或接收到了信息。5、安全策略与安全管理安全管理是多种安全技术、产品、工具得以充分发挥作用的基础保证，也是全局安全策略的有机组成部分。为了使各种安全产品能够协调工作，需要统一、标准的安全管理平台对其进行综合控制。另外，安全管理制度的不健全将很难避免人为的疏忽。具体来说，在此层面的安全需求主要体现为： 建立、健全安全管理制度，对安全管理制度的建立提出可供参考的框架性建议。 部署有效的安全管理平台，对入侵检测、漏洞扫描和安全评估等安全工具所获得的数据进行整合、深度挖掘，为决策层提供有效的安全风险决策支持。 概括来说，针对集团公司网络的现状，根据安全管理的需求，本着“总体规划、分步实施”为原则，对集团公司网络实施全面、有效、经济、可行的安全防护系统。 第三部分安全产品部署及预算第五章安全产品部署方案在本章，我们从集团公司信息系统整体安全的角度，按照“全面考虑、重点监控、分步实施”的原则，在网络安全建设初期，有选择地推荐相关安全技术及产品，并在集团公司网络系统中进行部署建议，以供集团网络安全系统项目选型用。目前针对这方面的系列的解决方案和产品很多，如：防火墙、防水墙系统，安全网关，网络管理平台，内网监控防泄密系统，入侵检测系统、漏洞扫描系统，防病毒系统，审计系统等等。5.1防火墙系统部署根据集团公司网络的基本情况和业务特点，建议在集团公司对外网络出口处部署一套性能稳定、速度快的高性能防火墙系统(已经部署)，用于对集团公司内部重点服务器的防护可根据实际应用的需求进行相应的防火墙部署。同时，对相关数据包进行“状态检测”，对于常用服务则通过代理方式进行相应的访问控制。防火墙产品建议采用中科网威的防火墙5.2 安全网关（VPN）系统部署随着集团公司公司业务量的逐渐扩大，分支机构的逐渐增多，出差员工的数量增加，应用系统的程度加深，机密数据的交互频繁，需要有先进的产品和技术满足不断增长的业务需要，怎样才能解决集团公司与分支机构或移动用户对公司进行安全、方便的信息交流、访问。解决此类业务需求的传统做法一般均采用电信网络的DDN专线来构建企业的Intranet。众所周知，电信行业在国内属于垄断行业，居高不下的租借费用令许多企业头疼。另外，电信所谓的DDN专线其实还是属于公共网络，只不过是“专为某几个单位公用的线路”，信息和数据传输依然是以明文的方式传输，安全性问题同样存在。此外，出差用户依然不能快捷、安全、方便的接入公司内部网络。企业如何构建自己专用的、安全的、经济的、快捷的“内部网络”？VPN组网方案就成为许多企业的首选。本次方案中，我们也力推VPN产品来组建集团公司企业内部的“虚拟专网”，为集团公司的信息化平台建设再上一个新台阶。VPN产品建议采用华盾的系列VPN产品。具体部署如下：1、 根据集团公司现有网络及应用的实际需求，我们建议在中心节点的Internet的出口处部署一台高性能的华盾VPN300安全网关（如经费许可，可以采用两台300进行双机热备），并为其分配一个静态IP地址。中心VPN网关兼有功能完善的防火墙，支持状态检测包过滤工作方式，支持路由模式和桥模式的数据转发，可防IP地址欺骗、端口扫描，抗DOS/DDOS攻击、IP碎片攻击、SYN攻击、DNS/RIP/ICMP攻击等。华盾VPN200设备具有系统设置备份和快速恢复功能。；2、 在VPN网关后接入一台防火墙设备，并在防火墙的DMZ区部署E-mail服务器、Web服务器和一套安全管理平台（SMC）。安全管理平台软件SMC安装在一台服务器上（操作系统要求为Windows 2000系列），负责青海盐业集团整个VPN环境中VPN设备的证书签发和管理，使得中心和分支机构的硬件VPN设备和各部署VPN客户端软件的网点能够以电子证书方式进行身份认证和隧道的建立（华盾VPN设备同时支持预共享密钥的身份认证和隧道建立方式），并对青海盐业集团整个VPN网络的所有华盾VPN设备进行管理；3、 集团公司下属的各分支机构，对于中、小规模的网络环境及应用，可以在Internet的出口处部署“华盾VPN安全网关100”产品，Internet的接入方式不受任何限制。“华盾VPN安全网关100”和中心VPN 300网关之间建立VPN通道，构建虚拟专网，安全网关的防火墙、路由功能也可用于对分支机构内部网络的防护与专线接入；4、 而对于一些临时机构等网点，其对集团公司的访问只限于少数PC机，可以使用华盾安全网关50或安全客户端；5、 在集团公司总部、分支机构的局域网内部，有财务、营销等系统的PC机上可以部署一个VPN客户端，组建一个集团公司VPN财务、营销等子系统，以保证财务、营销等系统的独立性、可靠性、安全性；6、 移动用户的接入也同样是通过“华盾VPN客户端软件”来实现。移动用户的身份认证证书、用户名和密码，都是由中心的VPN硬件网关进行设置和访问权限的分配，每一个上线的VPN客户端软件包都可以DHCP获取或者被指定一个固定的虚拟网卡的地址，如集团公司领导的VPN客户端在进行初始设置时，就可以指定一个固定的虚拟网卡的地址，当领导使用VPN客户端登录到公司的VPN网络上以后，就会以这个固定的IP地址来访问公司内部的局域网络，这将方便网络管理员对VPN网络的移动用户的管理；7、 由集团公司网络维护人员专人负责所有VPN设备的证书发放工作，证书载体为电子文件或USB KEY，以保证公司VPN设备身份的唯一性、安全性和可控性。作为身份认证的证书可有两种方式发放：一是采用文件方式发放，二是采用有口令保护的USB KEY方式发放，具体采用哪种方式由用户选择，两种方式可以并存。图6-4 VPN系统部署示意图5.3 网络管理平台系统部署集团公司的网络是一个复杂的网络环境，为了工作的顺利开展，设计并建造了一个庞大的网络系统，这个系统担负了集团公司的日常工作业务的开展，还担负着连接各个部门等多个功能区域的网络连接任务，这样庞大的业务网络必然要应用大量的数据业务，广泛的数据交换和信息共享，网络利用将非常高，需要得到有效的监控。由于网元数目众多，互访数据量众多，众多的访问和数据交换会导致网络设备、链路或服务器主机系统本身出现故障的几率加大，随时存在网络故障隐患，当出现网络故障时，可能又因得不到及时排除而耽误正常业务工作，或由于维护而耽误恢复时间，加大了网络的停工期，也没有形成从上到下集中式的网络管理模式，无法满足用户对正常业务正常开展的基本需求。网络管理平台建设要达到以下目标：建立一整套以综合的、统一的、可扩展的，能满足各种运营管理职能部门需求的网管系统，全面实现网络管理、系统管理与业务管理相结合的管理系统，完成IP网跨区域网管建设要求。网管系统将被设在中心网络，用于管理网络设备。集团公司网络平台系大型综合性网络，网络覆盖面大，设备种类多，业务量大，需要一整套综合的网络系统进行全网的统一管理。l 实现对整个专线网的全程全网的集中监控，集中维护和集中管理，实时显示专线网的线路运行状态及资源占用情况。l 实时对网络、网络设备、主机系统、的故障告警的集中监控、集中显示，提供故障告警的定位、故障原因分析和相关性分析。l 实现全网的性能流量分析，提供端到端的流量流向、全网的流量流向、基于应用的流量流向分析，主机服务器、路由器、交换机和数据库的性能监控。l 实现网络各级节点的资源管理，核心节点的容量、占用率，其他节点的容量、使用率的统计分析。l 通过分级分布式的管理方式，对所有网络资源进行统一收集整理，提供对其他新增设备、新增业务管理的无缝升级。l 通过分级分权管理模式，实现对管理角色的不同权力和不同操作范围的权力划分，使得高级管理者、一般网络管理人员和用户享有自己权限范围内的管理功能。l 提供C/S和B/S两种管理界面，使得各类管理功能和管理人员可以通过多种方式，在任何地方实现管理功能。l 在中心点建立网络监控系统，提供对全网范围内的网络技术支持服务。l 全网设立一套安全保护机制，用以备份全网和新路由/交换设备的配置，实现快速配置恢复。网络管理平台系统建议使用在国内具有领先水平的NetWin2000网络管理平台。5.4 漏洞扫描系统系统部署网络系统的安全是一个动态系统，系统升级、应用增加、设置改变等动作都有可能给系统带来新的安全隐患，因此需要配置一套网络安全评估系统（漏洞扫描系统）或采用相关服务，动态地对网络安全级别进行检测。同时还能模拟网络攻击，扫描并检测系统漏洞，评测当前系统风险，提供安全建议和改进措施等功能，控制可能发生的安全事件，最大可能的消除安全隐患。漏洞扫描（不论是网络扫描、主机扫描和数据库扫描）使企业有机会在故障出现之前将其修复，而不是对一项已经进行的入侵或误用情况作出反应。入侵检测系统检查的是正在进行的入侵活动，而漏洞扫描可以让用户首先防止入侵。漏洞扫描也许对那些没有很好的事件响应能力的用户会有帮助。集团公司完成漏洞扫描工作，可以由两种方式完成： 集团公司购买漏洞扫描产品后，由集团公司的网络管理工程师（或者网络安全工程师）使用漏洞扫描工具完成，然后集团公司的网络管理工程师根据扫描报告对暴露的脆弱性问题自行修补和加固； 集团公司购买第三方专业安全公司的安全服务，由专业安全公司的有经验的安全服务工程师完成对目标系统的网络、主机和数据库的脆弱性评估，然后结合集团公司网络和应用的实际情况进行脆弱性问题修补和加固。漏洞扫描系统建议使用中科网威的网络安全评估与分析系统。5.5 入侵检测（IDS）系统部署网络安全是一个很复杂的问题，同时它也是模糊的。安全产品的主要目的是使安全风险处于可视和可控的状态。目前企业内部比较常用的安全产品是防火墙，但防火墙是一种静态的防护措施，只能实现访问控制和过滤等基本功能，对于一些复杂和变化的网络环境，防火墙则难以适应。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统（IDS）可以实时监控和检测网络或系统中的活动状态，一旦发现网络中的可疑行为或恶意攻击，IDS便可做出及时的报警和响应，甚至可以调整防火墙的配置策略，与其进行联动。网络的动态变化及复杂性使人们对安全风险的控制有了更高的要求，而以入侵检测为基础建立起来的检测和响应基础设施（DRI）是我们对安全风险进行动态控制和有效管理的最好方法，入侵检测已成为网络安全的基础设施。入侵检测系统的产品建议使用中科网威的IDS系统。5.6主机监控与审计系统信息化发展带来的信息安全问题对企业安全的威胁主要来自两个方面：首先是外网的安全；网与网之间的连接以及B2B、B2C等各种活动的开展，使传统的网络完全裸露在所有人的面前，外网发生的破坏方法简单。目前，黑客工具日益简单，黑客需要的技术水平日益降低，从不少下载网站都能够下载网络黑客软件。其次，内部信息泄漏和攻击日益严重。据 CCID最新的调查报告显示，85%的信息安全事件发生在内部。企业现在都很重视安全建设，但是主要在对付外来的攻击上，而忽略了来自内网的信息泄露和攻击。网络信息安全现状有三个特点：1、在众多的攻击行为和事件中，最主要的、也是最多的安全事件是信息泄漏事件；2、攻击者主要来自企业内部，而不是来自外部的黑客等攻击者；3、安全事件造成的经济损失最大的，也是最主要的是内部人员有意或无意的信息泄漏事件造成的经济损失。针对网络/系统安全方面，机构需要防止网络系统遭到没有授权的存取或破坏以及非法入侵（包括拒绝服务攻击DoS/DDoS），其目的是为了保证网络设备、服务器系统、群件系统、应用系统等基础设施（Network & Infrastructure）和应用环境（Local Application & Computing Environment）的稳定性（Stability）、可靠性（Availability）、可用性（Usability）。在数据（信息）安全方面，党、政、军、金融、军工、科研等保密要求比较高的部门则需要防止机要的、敏感的数据（信息）被窃取、篡改、破坏或非法复制、传递、使用等，其目的是为了保证信息的机密性（Confidentiality）、完整性（Integrality）。目前针对内网监控方面的解决方案和产品较少，并且比较零散，主要集中在身份认证和密码技术方面。主机监控与审计系统是针对有内网主机行为审计要求，对内部ip管理有需求的，对客户终端的统筹管理需要的单位内部网络中出现的。该系统能够对局域网IP地址、拨号上网和设备软硬件信息进行实时有效的管理。它能够实现快速阻断非法接入的IP地址和设备、防止一些保密网络中的计算机自行拨号上网、对受控设备安装的软硬件进行监控等功能。它能够帮助企业打造一个安全、可靠、可控制、可管理的计算机网络环境，杜绝来自于网络内部或外部的、无意或是恶意的非法使用。大大降低了企业内部网络管理和维护上所花费的成本。其一般具有如下功能：网络管理方面： 在线计算机IP地址和MAC地址的实时检测 IP地址和MAC地址信息的合法性判定 警告并自动阻断非法接入的计算机 记录非法IP地址的使用历史，发送报警通知 控制指定交换机端口的关闭与启用客户端安全管理： 客户端计算机外围设备的访问控制，可远程启用或禁用软驱、光驱、U盘、MODEM、串口和并口等外围设备 按照组织机构进行客户端计算机的管理 接入计算机资产信息的登记注册和审批管理， 对客户端计算机的硬件信息、软件信息和系统信息进行自动收集、统计、变更与报警管理，并提供丰富的分析、查询和统计功能以辅助决策 客户端计算机进程监视与控制 自动扫描发现未安装客户端的计算机，对其进行警告和阻断 检测客户端计算机与指定外部网络的连接， 发现非法外联行为时即时阻断，并发送报警通知服务器监控： 定期检测和记录指定服务器的状态和性能数据 根据服务器状态和性能参数的设定范围，在异常时发送报警通知 定期检测和记录服务器上指定服务的运行状态和性能参数 支持对常见的WEB应用服务、数据库服务、FTP等多种服务进行监视产品选型我们推荐使用中科网威主机监控与审计系统NPISA-AF。该系统具有很好的内网管理功能。产品部署在集团公司总部部署一套网威主机监控与审计管理端，各单位的员工主机上安装主机监控与审计客户端，实现对集团公司的各个主机的监控和管理。产品部署的作用主机监控与审计系统将安全网管、内网审计与内网监控有机地结合在一起，以解决企业和政府内部专用网络的安全管理、安全控制和行为监视为目标。系统综合利用系统管理、智能探测、访问控制、安全审计等技术手段，对涉密信息、重要业务数据、技术专利等敏感信息、其载体、机器处理过程、网络设备等全面实施安全保护，阻止受保护的敏感信息被非法或违规的外传、破坏和拷贝，同时保证系统和网络的稳定运营。运用多种技术手段，从源头上阻止了敏感信息泄漏事件的发生。主机监控与审计系统的产品建议使用中科网威的主机监控与审计系统。5.7 防病毒系统部署计算机病毒是以文件为载体的恶意程序，近年来病毒技术发展迅速，从传统的系统病毒、可执行文件病毒发展到以数据文件为传染对象的宏病毒、基于HTTP协议的JAVA病毒，并借助全球互连网及企业内部网络迅速传播，各种以攻击网络应用服务器、窃取电脑网络机密为目的的黑客程序、网络蠕虫、特洛依木马程序等，使企业网络安全面临日益严重的威胁。计算机病毒对集团公司网络的安全威胁主要体现在以下方面： 通过网络互联网关入口进入企业内部网： 基于HTTP协议的JAVA，ActiveX恶意程序； 基于FTP协议的病毒感染文件下载； 基于SMTP协议的EMAIL附件文件； 攻击和利用群件系统服务器： 攻击群件系统服务器，造成网络拥塞，服务器瘫痪； 利用群件系统文件共享功能及EMAIL附件进行病毒传播； 攻击和利用网络服务器： 攻击网络服务器操作系统，造成网络平台的瘫痪； 利用网络服务器的文件共享功能进行病毒传播； 新型结合病毒如Code Red等利用微软漏洞，在内网造成通讯堵塞； 攻击网络工作站：通过各种文件数据流通道进入大量、分散的网络工作站进行病毒感染攻击网络工作站，造成不同程度的系统损害；显然，系统需要一个面向所有网络用户、各级文件服务器、邮件服务器和Internet网关服务器的全方位防毒解决方案。方案应有足够的平台适应性，以保证能在本网络中实现多层最大限度的防护能力，也应保证对系统资源的占用达到最小，在大量的客户端和高信息流量的情况下不至于影响网络的本身的业务和功能。防病毒系统只有进行网络统一管理才能真正发挥防病毒的作用。这里的统一包括统一的软件安装，统一的防护策略，统一的病毒库升级，统一的病毒查杀。部署网关级病毒防护互联网的应用确实给我们带来的许多的便利，同时，也给我们带来的许多的麻烦，例如，病毒和木马程序的日益猖獗。尽管我们在各个终端、服务器具部署了相关的病毒防护系统，还是不能从根本上解决。俗话说：“病要根治”，我们虽然不能从根本上制止病毒的产生，但可以从我们的源头，集团网络的网关出口处进行把关，确保集团内部网络免受或减少病毒的侵扰，减轻终端以及服务器防病毒的压力，提高整个网络性能。针对集团公司网络系统和应用特点，我们推荐部署硬件防病毒网关集团公司目前的病毒检测和查杀通过在用户计算机上安装防病毒软件来实现的，这种防病毒方式的最大缺点就是不能达到网络内整体的防病毒，从而造成重复的病毒感染。对于互联网接入的病毒防护应在网络的接口即网关处实施统一的防病毒策略，也就是在网关处安装硬件防病毒网关产品，根据需要检查入站和出站通讯，对互联网过来的病毒进行查杀。根据集团公司目前Internet访问需求，企业的邮件服务器部署在内网并且Internet出口在集团公司。内网用户主要是对Internet的访问，因此防病毒网关主要是实现病毒防护，防止内部用户上网时将病毒带入内网。因此防病毒网关主要对HTTP、FTP协议提供病毒扫描。要求防病毒网关具有： 防病毒网关采用安全的操作系统，保证防病毒网关本身的安全、可靠性。 防病毒网关应该具备较高的网络流量处理性能，尽量降低网络的延迟，保证应用的正常访问。 能够有效地抵御各类病毒和其他威胁 。能够拦截各种病毒和恶意代码威胁，包括宏病毒、木马程序、Internet 蠕虫、32 位高级