酒店网络安全解决方案-(网络拓扑及设计)

酒店酒店 网络安全建议书网络安全建议书 目录 第一部分 简述 2 第一章 概述 2 第二部分 技术方案 3 第一章 信息安全风险分析 3 第二章安全需求与目标 4 第三章 全面的信息络安全体系设计 4 第四章 酒店安全网络设计 7 第五章 防病毒产品设计方案 12 1 1 网络防病毒产品推荐 14 第六章 内网管理产品设计方案 2 整体方案建议 16 1 2 1 整体防病毒体系建议 16 2 1 1 防病毒体系设计思路 16 2 1 2 产品部署建议 16 2 1 3 服务器防护 16 2 1 4 客户机防护 18 2 1 5 网络层防病毒 20 2 部署实施方案 部署实施方案 22 一 控制功能 细致的访问控制功能 有效管理用户上网 26 二 监控功能 完善的内容过虑和访问审计功能 防止机密信息泄漏 27 三 报表功能 强大的数据报表中心 提供直观的上网数据统计 27 四 带宽及流量管理功能 强大的 QOS 功能及流量分析 28 五 负载均衡和高可用性 28 六 丰富的外网安全功能 包括防火墙 VPN IPS 网关杀毒及防垃圾邮件等 28 一 深度的内容检测技术及在线网关监控技术 及时封堵 P2P IM 软件 29 二 流量控制管理 29 三 邮件的延迟审计 专利技术 30 四 独有的网络访问准入规则 专利技术 30 五 WEB 认证技术 30 六 高度集成 部署灵活 31 第七章 整体网络应用拓扑图 32 第八章 酒店安全服务 33 第九章 产品报价 36 第一部分 简述 第一章 概述 在当今的信息时代 互联网已经成为很多人生活中不可分割的一部分 人 们越来越习惯于利用互联网进行相互沟通和商务活动 人们希望在任何地方 任何时候都可以通过网络方便 快速地获得所需要的信息 对于那些经常出门 在外的人 如果在暂住的酒店中能够随时访问互联网 对他们无疑将有着巨大 的吸引力 为此 在酒店这个人员流动性非常大的公共场所为客人提供上网服 务已成为现代酒店发展的必然趋势 这也是酒店提高自身服务水平的重要标志 2 通常酒店的网络有两部分 办公网络和客房网络 为节约成本往往两个网 络通过一条 Internet 出口连接互联网 酒店网络管理员希望充分保障办公网络 的安全 不受外部网络攻击及客房网络可能出现的病毒影响 客房用户上网随 意性较大 需要带宽管理措施来限制占用带宽过高的用户 并保障办公网络的 网速正常 酒店用户流动性很大 随身携带的移动电脑中经常带有病毒 一旦爆发将 影响整个网络的正常 例如常见的 ARP 地址欺骗病毒 当中毒电脑冒充网关地 址时 整个网络的客户端都将受此影响而无法访问互联网 因此急需有效的防 内部攻击措施来保障网络正常 针对 酒店计算机网络系统网络现状 我们从物理安全 链路安全 网络 安全 系统安全 应用安全及管理安全方面对 酒店计算机网络系统络系统进 行风险分析 基于以上的需求分析 我们将重点考虑 保护网络系统的可用性 保护网络系统服务的连续性 防范网络资源的非法访问及非授权访问 防范入 侵者的恶意攻击与破坏 保护信息通过网上传输过程中的机密性 完整性 防 范计算机病毒的侵害 实现系统快速恢复 实现网络的安全管理 建立相应的 远程安全管理通道和管理平台 建立一套完整可行的网络安全与网络管理策略 我们相信本建议书中的设计能较好地满足贵单位网络系统的需求 并希望 与贵公司有关领导及具体负责人进一步进行深入的讨论 我们有决心积极参加 贵单位此次网络安全建设项目 有信心圆满完成贵单位的网络安全建设工程 第二部分 技术方案 第一章 信息安全风险分析 随着 Internet 网络急剧扩大和上网用户迅速增加 风险变得更加严重和复 杂 原来由单个计算机安全事故引起的损害可能传播到其他系统 引起大范围 的瘫痪和损失 另外加上缺乏安全控制机制和对 Internet 安全政策的认识不足 这些风险正日益严重 3 下面列出部分这类新风险因素 信息安全可以从以下几个方面来理解 1 网络物理是否安全 2 网络结构是否安全 3 系统是否安全 4 应用是否安 全 5 管理是否安全 1 网络物理安全 地震 火灾 雷电等 2 网络安全 线路故障 路由 交换机设备损坏等 3 系统安全 应用服务器 操作系统 数据库故障等 4 应用安全 黑客攻击 非法入侵 病毒 恶意程序 应用软件故障 数据丢失泄密 帐号密码丢失 软件漏洞等 5 管理安全 内部攻击 误操作 设备的破坏 恶意行为等 第二章 安全需求与安全目标 针对信息系统所面临的安全分析 通过可能造系统安全的五个部分 如何 进行有效的防范 需从五方面进行 1 针对管理级安全 须建立一套完整可行的信息安全管理制度 通过有 效的系统管理工具 实现系统的安全运行管理与维护 2 针对应用级安全 须加强网络防病毒 防攻击 漏洞管理 数据备份 数据加密 身份认证等 通过一系列信息安全软硬件设备建设安全防 护体系 3 针对系统级安全 须加强对服务器 操作系统 数据库的运行监测 加强系统补丁的管理 通过双机 或两套系统 的形式保证核心系统 运行 当发生故障时 能及时的提供备用系统和恢复 4 针对网络级安全 须保证网络设备 网络线路的运行稳定 对核心层 的网络设备和线路提供双路的冗余 5 针对物理级安全 须保证数据的安全和系统的及时恢复 加强数据的 远程异地备份和系统的异地容灾 第三章全面的信息络安全体系设计 要建立一套全面的信息安全系统 就要从自身的应用状况分析 分析可能 存在安全漏洞 从重要性 紧迫性出发 逐一提供建设参考 首先 区分内外网 加强内部网络的安全防护 找到网络的对外接口 互联网接口 上级门 下级单位 同级部门 第三 方关联单位等其它非信任网络 在对外网络的接口处安装防火墙系统 通过防 火墙实现内外网的隔离 保证内部网络的安全 4 通过防火墙实现访问控制 控制内部用户的上网行为 通过防火墙验证访问内部的用户身份 访问权限等 通过入侵防护检测访问者的访问行为 因为数据在网络上的传输都是明文的 为了保证数据传输的安全性须对数 据进行加密 可以通过防火墙的 VPN 模块或专用的 VPN 设备建立 VPN 通道 目前 大部分防火墙的功能差异并不太大 性能成为选择防火墙的主要指 标 市场上的防火墙根据架构的不同 可分为三大类 ASIC 芯片 NP 架构 传 统的 X86 架构 ASIC 芯片级的防火墙把大部分处理通过芯片来完成 不再占用 CPU 资源 具有更好的处理性能 第二 建立多层次 全方面的防病毒系统 1 根据病毒寄存的环境 在所有服务器和客户机上安装网络版防毒系统 2 根据病毒传播的途径 在网关处安装网关防毒网关 在浏览网页 下载 资料 收发邮件时进行有效的病毒防护 3 在内部交换层 通过硬件的网络防毒墙对网络中的数据包进行检测 有 效的进行网络层病毒 蠕虫 恶意攻击行为的防护 保护内部网络的稳 定与畅通 单机的问题并不能对网络造成严重的问题 网络中断或瘫痪造成的损失是 巨大的 第三 加强核心网络 核心应用的安全防护 核心网络 服务器群是一个网络的中心部分 应更加注重安全的防范 为 了防止来自外部和内部的攻击 应在核心服务器群前安装防火墙及入侵防护系 统 重点加强核心系统的安全防护 对操作系统及应用系统的漏洞及时的安装补丁 为防止核心系统的运行出现固障 应对核心系统所在的网络线路进行冗余 设计 并对交换机 路由器设备进行双路冗余 同时 把安装重要应用系统的服务器进行双机热备 所有数据通过磁盘阵列或磁带机进行存储 备份 对于网站系统 可以通过主页防篡改系统 防 DOS 攻击系统加强对网站的防 护 第四 加强数据备份 数据资源是一个单位的最为重要资源 一但数据丢失所造成的损失是无法弥 补的 因此必须加对数据的保存和备份 现在一般常用的数据保存方式都是通过 磁盘阵列来完成 但是 磁盘阵列的稳定性是不能保证的 5 一般情况 可以通过磁带机对磁盘阵列的数据进行再次备份 也可以通过另一台磁盘阵列进行数据的相互备份 通过专用的备份软件实现对数据库 文件资源 应用系统及整个的应用服 务系统进行备份 并提供相应用恢复方案 为防止地震 火灾 雷电等自然灾害 须将重要数据在异地进行备份 如 果系统的运行不能中断 就需要在异地进行系统的容灾 第五 加强应用系统的安全防护 对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤 对于应用系统必须加强用户身份认证 通过身份认证控制用户的使用权限 身份认证可以通过应用系统中的用户管理系统实现 也可以通过专业的身份认 证系统 考虑到终端用户对帐号 密码的管理能力较差 建议可采用第三方生 物识别设备实现终端用户的帐号 密码的管理 第六 加强网络管理 信息系统的安全只靠以上的安全设备是不能解决问题的 三分技术七分管 理 必须加强对信息系统设备的管理以及用户应用的管理 可以通过网络管理 软件配合完成 使信息系统管理人员对信息系统的运行状况一目了然 网络管理系统应该具备和实现 1 获取全网拓扑结构图 在网络线路 基础联接层面了解网络系统的运行 状况 2 监控路由器 交换机 防火墙等网络设备的运行情况 监测控制网络流 量 及时提供报警 并能方便的对网络设备进行系统配置和管理 3 监控服务器 主机 磁盘阵列的运行状况 网络流量 资源占用等 及 时提供报警 并能方便的对主机设备进行配置和管理 4 监控应用系统的运行状况 对用户进行访问控制 记录访问及操作日志 5 管理网络中的所有终端设资源 方便进行远程的管理和操作控制 6 监测及控制终端用户对电脑软硬件资源的使用 应用程序的使用 上网 行为等操作行为 7 实现系统补丁管理 补丁分发 对操作系统 应用系统进行及时的补丁 更新 8 限制不安全的设备的接入 以上为网络管理系统所须具备的功能 缺一不可 建议在选择产品时 作 为重要的参考依据 第七 漏洞扫描 安全评估 仅管如上所述 我们己经采取了众多的安全措施 但是 我们的信息 6 系统是一个不断建设完善的系统 在系统的不断建设过程 仍然会出现一 些新的安全漏洞 安全系统的是否部署到位 我们的信息系统是否仍然存 在安全隐患 作为信息系统的管理人员仍然需要进行定期的安全检查 漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具 我们 可以通过专用的漏洞扫描系统对网络设备 服务器 应用系统 网络终端 进行全面的检测 通过模拟黑客的进攻方法 对被检系统进行攻击性的安 全漏洞和隐患扫描 提交风险评估报告 并提供相应的整改措施 找出网 络中存在的漏洞 防患于未然 第八 安全管理及培训 1 制定并实施信息安全制度 2 加强网络安全意识的教育和培养 3 加强网络安全知识的培训 4 定期进行终端安全产品的应用操作指导 第四章 酒店安全网络设计 一 酒店需求分析 自 2003 年新实行的星级酒店国家标准将提供宽带上网服务列入了 宾馆酒店评星的考核内容之一 短时间内星级宾馆酒店客房宽带上网服 务将基本普及 不同档次的宾馆酒店的流动人口可以在网络上进行各种 7 各样的网络活动 因此一系列的网络安全问题随即出现 宾馆酒店缺乏 单位网络信息备案 缺乏对房客互联网的访问管理 缺乏对出现问题的 信息源定位 导致线索跟踪的中断 缺乏对各类站点的分类管理 缺乏 对上网信息的收集 统计与分析 导致这部分的公共网络信息管理处于 真空状态 根据国家规定 提供上网服务场所必须将上网日志保存 并以一定 的技术手段进行管理 目前许多宾馆酒店都未有这种技术手段 在网络 管理上存在着漏洞 达不到国家的要求 主要网络安全威胁 由于网络体系越来越复杂 应用系统越来越多 网络规模不断扩大 再加上与 Internet 的连接 网络用户也已经不单单是内部用户 由于 内部网络直接与外部网络相连 对整个网络安全形成了巨大的威胁 因 此整个网络承受着来自外部 内部 黑客 病毒等各方面威胁 具体分析 对网络安全构成威胁的主要因素有 1 黑客的攻击 入侵 内部网络和外部网络之间的连接为直接连接 外部用户 不但可以访问对外服务的服务器 同时也容易地访问内 部的网络服务器 这样 由于内部和外部没有隔离措施 内部系统较容易遭到攻击 入侵服务器后 在服务器中增加黄色 反动站点 把服务器当作攻击其它网络 政府 金融 的跳板 攻 击其它服务器 把服务器当作检测扫描其它网络及数据处理的工具 造 成大量网络流量 2 病毒的侵害 通过网络传送的病毒和 Internet 的电子邮件夹带的病毒 来自 Internet 的 Web 浏览可能存在的恶意 Java ActiveX 控件 病毒 木马发送大量数据包 造成系统资源的消耗 以 至系统停止服务 造成数据丢失 机器 网络系统瘫痪 必须断开网络逐一进行杀毒 增加网络工作量 影响正 常工作 8 3 内部的无限制访问 内部用户的恶意攻击 误操作 访问不健康的站点 获取有害信息 工作学习时间无限制上网 游戏 聊天等 4 系统存在的漏洞 缺乏一套完整的安全策略 政策 缺乏有效的手段监视 评估 网络系统和操作系统的安全性 目前流行的许多操作系统均存在网 络安全漏洞 如 UNIX 服务器 NT 服务器及 Windows 桌面 PC 1 可能带来的严重后果 系统瘫痪或服务器停止工作造成重大损失 由于病毒的侵害 造成文件丢失 损坏 硬件设备损坏造成重 大损失 由于病毒原因 造成系统修复 病毒清理等巨大的工作量 无限增加流量 造成重大经济损失 因服务器危害其它网络 而涉及相关责任 数据泄密 数据丢失 2 当前网络问题分析 虽然网络中部署了单机防病毒系统 但仍有很多客户机 移动 笔记本由于没有安装防病毒系统 这些机器感染病毒后 对网 络中发出大量病毒攻击包 造成网络速度下降 甚至网络瘫痪 网络中大多数客户机都是 WIN2000 WINXP 系统 由于 WIN2000 WINXP 系统存在大量的系统漏洞 没有能及时升级系统补丁 使得病毒 黑客有了可乘之机 作为网络管理人员 无法及时的了解网络的运行情况 服务器 交换机等网络设备的工作情况 终端系统的操作应用情况等 3 网络目前需求分析 通过我们对 酒店结构 应用及安全威胁分析 可以看出其安全 问题主要集中在对计算机病毒的防护 内网安全的管理上 因此 我们 必须采取相应的安全措施杜绝安全隐患 其中应该做到 9 加强病毒的防护 建立全面的防毒体系 防止病毒的攻击 实现计算机网络系统的网络安全管理 针对 酒店系统的实际情况 在系统考虑如何解决上述安全问题 的设计时应满足如下要求 大幅度地提高系统的安全性 重点是可用性和可控性 保持网络原有的性能特点 即对网络的协议和传输具有很好的 透明性 能透明接入 无需更改网络设置 易于操作 维护 并便于自动化管理 而不增加或少增加附加 操作 尽量不影响原网络拓扑结构 同时便于系统及系统功能的扩展 安全保密系统具有较好的性能价格比 一次性投资 可以长期 使用 二 安全系统整体设计方案 一 系统设计原则 本方案的设计遵循并体现了如下设计原则 先进性 所采用的设备和技术应属世界 国内主流产品 在相关计算机 通信网络及数字视频技术方面处于国际或国内领先或领导地位 一体系化设计原则 本方案从物理层安全 系统层安全 网络层安全 应用层安全 安全管理等层面充分分析信息网络的层次关系 提出科学的安 全体系和安全框架 并根据安全体系分析存在的各种安全风险 从而最大限度地解决可能存在的安全问题 可控性原则 本次方案采取的技术手段达到安全可控的目的 技术解决方案 涉及的工程实施应具有可控性 10 系统性 均衡性 综合性设计原则 从全系统出发 综合考虑各种安全风险 采取相应的安全措施 并根据风险的大小 采取不同强度的安全措施 提供具有最优 的性能价格比的安全解决方案 可靠性 稳定性原则 设备及技术均已进入成熟期 应有类似的实际应用 系统运行 稳定 在国内应用领域中占主导地位 采用安全系统之后 不 会对南京中央商场的现有网络和应用系统有大的影响 在保证 网络和应用系统正常运转的前提下 提供最优安全保障 标准性原则 方案的设计 实施以及产品的选择以相关国际安全管理 安全 控制 安全规程为参考依据 投资保护原则 本次方案的设计和已经存在的设备具有兼容性 可以对已有设 备进行有效的利用 保护已有投资 二 安全应对策略及建议 在明确这些威胁与风险以后下一步需要做的就是在此基础上制定相应的 安全策略 以求实现有效的平衡 即一方面需要保持可靠的信息安全 另一 方面则要建立和易操作的有效安全 系统 一个系统的安全强度实际等 于它最薄弱环节的安全强度 即当 一个网络系统存在一点薄弱环节时 其就有可能危及到整个网络系统的 整体安全 电子业务安全关键基础之一就 是构成企业总体信息安全方案的综 合策略 我公司根据贵单位网络现 状分析 及工作业务的需求分析 从保护投资的角度考虑 提出了保 证网络系统的高性能正常运行的建 设建议 11 1 建立多层次 全方面的防病毒系统 首先 根据病毒寄存的环境 在所有服务器和客户机上安装网络版防 毒系统 通过趋势科技的 Serverprotect 加强服务器系统中的病毒防 护 通过趋势科技的 Officescan 加强对网络中所有客户机的病毒防护 其次 在内部交换层 通过硬件的网络防毒墙 NVW 对网络中的数据包 进行检测 有效的进行网络层病毒 蠕虫 恶意攻击行为的防护 及 时的清除和隔离网络层的病毒包 保护内部网络的稳定与畅通 防止 ARP 病毒的侵害 另外 根据病毒传播的途径 可以在网关处安装趋势防毒网关 IWSA IMSA 在浏览网页 下载资料 收发邮件时进行有效的病毒防护 最后 通过趋势统一集中控制管理平台 TMCM 实现对所有系统的集中病 毒防护 策略的实施和管理 2 加强网络管理 信息系统的安全只靠安全设备是不能解决问题的 三分技术七分管理 必须加强对信息系统设备的管理以及用户应用的管理 可以通过网络管理软 件配合完成 使信息系统管理人员对信息系统的运行状况一目了然 酒店客户的移动接入支持和安全的管理 需要酒店网络移动服务的大多 是商务人士 他们需要酒店提供移动的支持 更主要的是安全性 酒店是一个流动性很强的场所 所以这对网络的安全和管理是有很高的 要求 例如 防止客户对一些非法网站的访问而带给网络中其它用户的伤害 还有客户用 BT 等软件会对其他网络用户的网速有非常大的影响 同时一网 双用 内部办公网络和客户使用网络并用一个网络 而又互相隔离 通过深信服 AC 设备实现 一 控制功能 细致的访问控制功能 有效管理用户上网 二 监控功能 完善的内容过虑和访问审计功能 防止机密信息泄漏 三 报表功能 强大的数据报表中心 提供直观的上网数据统计 四 带宽及流量管理功能 强大的 QOS 功能及流量分析 五 负载均衡和高可用性 六 丰富的外网安全功能 包括防火墙 VPN IPS 网关杀毒及防垃圾邮件等 第五章 防病毒产品设计方案 12 南京联成科技为南京联成科技为 酒店构建的整体防病毒安全体系的建立简述如下 酒店构建的整体防病毒安全体系的建立简述如下 1 1 区分内外网 加强内部网络的安全防护 区分内外网 加强内部网络的安全防护 找到网络的对外接口 互联网接口 上级 门 下级单位 同级部门 第三方关联单位等其它非信任网络 在对外网络的接口处安装 防火墙系统 通过防火墙实现内外网的隔离 保证内部网络的安全 通过防火墙实现访问控制 控制内部用户的上网行为 通过防火墙验证访问内部的用户身份 访问权限等 通过入侵防护检测访问者的访问行为 因为数据在网络上的传输都是明文的 为了保证数据传输的安全性须对数据进行加密 可以通过防火墙的 VPN 模块或专用的 VPN 设备建立 VPN 通道 2 2 防病毒产品的全面性 领先性 防病毒产品的全面性 领先性 采用全方位 多层次防毒的方式 部署多层次病 毒防线 具体来说就是在网关利用趋势科技的 IMSS 以及 SPS 实现在进行病毒过 滤的同时 也防范垃圾邮件对企业网络资源的消耗与破坏 对整个 酒店网络中 的客户端采用趋势科技防毒墙网络版 Officescan 对整个 酒店网络中的服务器 部署趋势科技防病毒墙服务器版 Serverprotect 对于整个 酒店整体的防病毒 系统的中央控管则可以通过趋势科技中央控管软件 TMCM 来整体中央控管 3 3 厂商和代理商全面的服务 厂商和代理商全面的服务 趋势科技授权服务商和趋势科技 酒店相关人员组 成专门的防病毒以及安全小组 负责对 酒店的防病毒体系部署 防病毒安全规 范的制定 趋势科技授权服务商相关人员将对 酒店的防病毒体系定期进行巡检 在 酒店的病毒爆发造成业务影响的紧急时刻 趋势科技授权服务商工程师将至 酒店现场服务 趋势科技防病毒体系显著优势 趋势科技防病毒体系显著优势 1 1 厂商优势 厂商优势 趋势科技是目前业界唯一仅专注于防病毒和防病毒安全体系建立的厂商 相对其他的防病毒厂商 趋势科技的产品更具有技术的领先性 其设在菲律宾的 业界唯 一获得 ISO9002 认证的 TrendLab 病毒实验室提供 7 24 小时 全年无休的专人专业服务 包括从最早的防毒内容及范围的规划 企业防毒网的建立 人员的教育训练 病毒爆发时 保证两小时提供解药的最高等级支持等 2 2 高扩展性 高扩展性 由于专注于防病毒安全产品和解决方案 趋势科技有能力为 酒店提供全 方位 多层次 具可扩展性的防病毒安全体系 除了提供用于客户机防病毒的 officescan 产品 用于服务器的 ServerProtect 产品 用于网关防病毒的 IMSS 产品和网关垃圾邮件防 范的 SPS 还可以在将来 酒店需要时提供专注于 LotusNotes Exchange 的病毒防范软件 Scanmail 专注于 Web 防病毒的 IWSS 软件和提供所有在线用户的在线杀毒工具 DCS 等 全方位的产品和解决方案支持使得趋势科技的防病毒安全体系的提供是具备高扩展性的 13 3 3 防范和查杀病毒的自动化 防范和查杀病毒的自动化 针对像 酒店比较大型的网络 单纯的依靠 酒店的各 级网络管理人员进行分散的人为管理不可能将防病毒工作做到完美无缺 趋势科技提供高 度自动化的管理和病毒防范 查杀技术 扫描在线用户是否已经安装趋势客户端软件 并且可以有选择性的强制用户进行安装 扫描在线用户是否安装了微软操作系统的补丁 并且可以有选择性的强制用户进行安 装 中央控管软件定期自动进行全网络的病毒查杀 自动的更新病毒码和扫描引擎 自动 的生成全网络的病毒日志 分析报表 并且通过日志查找网络中的病毒源头等 所有这一 切都是通过位于中心的中央控管软件自动进行 4 4 业界独一无二的病毒预防范 业界独一无二的病毒预防范 针对目前病毒出现 影响用户 病毒库和防病毒代 码的出现这一时间段的病毒最可能蔓延和爆发的 真空期 趋势科技提供业界独一无二的 企业保护战略技术 EPS 其中央控管软件能够在防病毒代码出现之前 就自动的关闭客 户端可能引起病毒蔓延的端口 并自动的隔离已经感染病毒的 PC 文件夹等 第一时间的 做到了病毒的预防范 本方案详尽描述了采用趋势科技公司的全线产品为 酒店构建的整体防病毒系统 该 方案贯彻了如下整体防毒的基本思想整体防毒的基本思想 1 1 防毒一定要实现全方位 多层次防毒全方位 多层次防毒 在 酒店的方案中 我们部署了多层次病毒防 线 分别是网关防毒 应用服务器防毒和客户端防毒 保证斩断病毒可以传播 寄生的每 一个节点 实现病毒的全面防范 2 2 网关防毒和防垃圾邮件网关防毒和防垃圾邮件是整体防毒的首要防线 在 酒店的方案中 我们将网关防毒 和防垃圾邮件作为最重要的一道防线来部署 全面消除外来病毒的威胁 使得病毒 垃圾 邮件不能再从外网传播进来 对内部网络资源和系统资源造成消耗 同时 全面防范垃圾 邮件的侵扰以及内部机密数据的外泄 在整个防毒系统中起到事半功倍的效果 3 3 网络层病毒直接清除 网络层病毒直接清除 利用趋势科技网络病毒墙确保了病毒在网络设备之间传播的过 程中就能够直接被清除 以避免对整个网络造成冲击 4 4 没有集中管理集中管理的防毒系统是无效的防毒系统 在 酒店的方案中 趋势科技构建了跨 子网 跨分支机构的集中管理系统 保证了整个防毒产品可以从管理系统中及时得到更新 同时又使得管理人员可以在任何时间 任何地点通过浏览器对整个防毒系统进行管理 使 整个系统中任何一个节点都可以被管理人员随时管理 保证整个防毒系统有效 及时地拦 截病毒 14 5 5 服务是整体防毒系统中极为重要的一环服务是整体防毒系统中极为重要的一环 防病毒系统建立起来之后 能不能对病毒进 行有效的防范 与病毒厂商能否提供及时 全面的服务有着极为重要的关系 这一方面要 求厂商要有全球化的防毒体系为基础 另一方面也要求厂商以及本地趋势科技授权服务商 能有足够的本地化技术人员作依托 不管是对系统使用中出现的问题 还是用户发现的可 疑文件 都能进行快速的分析和方案提供 趋势科技作为网络防毒及互联网安全与服务的 领导厂商 可以全面满足 酒店多层次的服务要求 酒店整体防毒系统所达到的效果酒店整体防毒系统所达到的效果 酒店希望部署趋势科技防病毒整体解决方案后 能够达到以下效果 对 酒店通过防火墙实现内外网的隔离 保证内部网络的安全 对 酒店网络内的应用服务器进行全面防护 斩断病毒在服务器内的寄生及传播 对所有的客户机进行全面防护 彻底消除病毒对客户机的破坏 保证所有员工都有一 个干净 安全的平台 建立及时 快速的病毒响应机制 能够迅速抑制病毒在企业网中传播 1 1 1 1 网络防病毒产品推荐网络防病毒产品推荐 基于上述原则及对该领域技术发展前景 产品的性价比等综合因素 联成科技建议 酒店计算机网络采用如下产品配置 趋势公司趋势公司 TrendTrend MicroMicro AntiVirusAntiVirus TotalTotal SolutionSolution 包括 包括 趋势科技防毒墙服务器版 趋势科技防毒墙服务器版 ServerProtectServerProtect 趋势科技防毒墙网络版 趋势科技防毒墙网络版 OfficeScanOfficeScan 网络病毒墙网络病毒墙 TrendTrend MicroTMMicroTM NetworkNetwork VirusWallTM NVWEVirusWallTM NVWE 防火墙 防火墙 自己添加自己添加 产品简要说明产品简要说明 15 产品功能及用途产品功能及用途产品名称产品名称功能和部署建议功能和部署建议 桌面机的病毒防护 OfficeScanOfficeScan Officescan 服务器端安装在 酒店的防病毒专用服务器 上 Officescan 客户端可自动安装在所有客户机上 透过 Web 接口的管理主控台 管理人员可以从网络上的任何地 点 来管理和设置整个网络客户机防毒策略 并且也能 迅速响应各种紧急事件 NT Novell Linux 服务器病 毒防护 ServerProtectServerProtect ServerProtect 远程安装在所有服务器上对 Windows 2000 NT Novell NertWare 或 Linux Redhat 网络上的 服务器 提供全面性的病毒防护 它提供病毒疫情管理 集中式病毒扫描 病毒码更新 事件报告和防毒配置等 功能 网络层防病毒 NVWENVWE 针对企业网络内网安全管理的设备 可协助公司企业防 止 ARP 病毒攻击 在爆发病毒疫情时隔绝高危险的网络 脆弱环节 在网络层部署由趋势科技提供的安全防御策 略 并能在缺乏防毒保护的设备等潜在感染源连接网络 时 予以隔离和清除 网络防护防火墙防火墙 Asic 内容处理器 行为特征扫描 VPN 加密处理 DES 3DES MD5 SHA1 状态检测防火墙会话处理 流量管理 每个芯片 200 400 Mbps 的吞吐量 EsOS 专用的 高度安全的 基于需求定制的操作系统 16 2 2 整体方案建议整体方案建议 2 1 2 1 整体防病毒体系建议整体防病毒体系建议 2 1 1 2 1 1 防病毒体系设计思路防病毒体系设计思路 为了构建一个强壮 有效的防病毒体系 在分析了 酒店网络架构及相关应用之后 针对潜在的病毒传播威胁 趋势科技建议采用结合产品 防御策略 服务为一体的防病毒 体系 由于 酒店防病毒管理具有明显的地域性 为了方便集中管理 需要有一套切实可行 的集中管理机制 以方便管理员实时掌控全市防病毒状况 同时还要求按分支机构进行权 限分派管理 不同分支机构的管理人员在中央控管体系中只能够管理到本分支机构范围内 的防病毒软件 包括防病毒策略设定 病毒码及扫描引擎升级等 联成科技在为 酒店设计的防病毒体系中 充分考虑到集中及分权管理的需求 构建 逻辑结构为三层的防病毒体系 2 1 2 2 1 2 产品部署建议产品部署建议 根据 酒店计算机网络潜在的病毒威胁分析 结合趋势科技全系列防毒产品的特性 由点及面 全方位部署 彻底截断病毒入侵的所有途径 2 1 3 2 1 3 服务器防护服务器防护 趋势科技防毒墙服务器版趋势科技防毒墙服务器版 ServerProtectServerProtect 趋势科技的 ServerProtect 可以对 Windows 2000 NT Novell NertWare 或 Linux Redhat 网络上的档案服务器 提供全面性的病毒防护 ServerProtect 是通过直觉的 可 携式的主控台来操作 它提供病毒疫情管理 集中式病毒扫描 病毒码更新 事件报告和 防毒配置等功能 策略 策略 防毒软件可通过单一的主控台来管理 安装时可以依照网域分组 同时替多部服务器进行安装 利用集中式报表 管理人员可以监看整个网络的状态 通过 Task Manager 管理人员可以轻松地完成各种病毒维护工作 例如设定扫毒模式 更新病毒码和程序 编辑病毒报告 以及设定实时扫描的参数等 17 反复扫描经过多层压缩的档案 支持的格式包括 ARJ Diet LZEXE LZH PKLITE PKZIP Microsoft Compress 以及 UUENCODE 和 MIME 等邮件附件格式 自动下载和分发病毒码 扫毒引擎和程序文件 支持 MPLS VPN 和 IPSec 等 VPN 竞争优势 竞争优势 IDC 统计数据 连续多年占据全球市场份额第一位 病毒代码到来之前具备网络控制功能 有效控制病毒扩散 可集中分发病毒清除工具 免除手动清除烦恼 跨网段安装与管理 有集中隔离工具 可以将感染病毒档案集中隔离到一台服务器 有病毒追踪工具 当有病毒通过网络共享扩散时 可以侦测到感染病毒的机器 可以实现远程集中安装 扫描 更新 管理 软件安装时可对病毒进行预处理 安装后不需要重新启动 强大 完善的日志管理功能 安装简单 产品成熟 运行稳定 高效防毒 部署建议 部署建议 在 NT 2000 Netware 和 Linux 系统的服务器上安装 ServerProtect 防病毒系统 提 供以上系统的实时病毒防护能力 为了满足大型企业的要求 ServerProtect 本身被设计成一个多层结构的软件 它共 有三个模块 Information Server IS Normal Server NS Management Console MC NS 是安装在每台文件服务器上的防毒模块 IS 是所有 NS 的集中管理模块 可安装在某一 台服务器上 MC 是给管理员使用的管理界面模块 可安装在任何一台机器上 因此部署时 可以将 IS 和 MC 安装在防毒专用服务器上 NS 安装在真正的文件及 Proxy 邮件服务器上 在 酒店总部及下属各分支机构分公司中 建议各增设增设一台病毒防护专用服务器 系 统配置需求请见产品布署列表产品布署列表 安装 ServerProtect 信息服务器及管理控制台 SP Information Server Managemnet Console 作为 Serverprotect 的管理中心 在管理 中心上实现每一个管理单位内所有服务器的防病毒策略部署和病毒代码 引擎的升级 然 后在每一台 NT 或 2000 服务器上安装 ServerProtect 的普通服务器 SP Normal Server 产品部署架构 产品部署架构 18 同时 通过安装 TMCM 代理程序 Serverprotect 就能够被整合在 TMCM 的管理体系中 并且能够通过 TMCM 得到 病毒爆发抑制策略 Serverprotect 应用该策略能够有选择性 的关闭某些病毒攻击网络 服务器和客户机的端口 或共享文件夹 从而保护网络中的服 务器群 在最新的病毒码没做出来之前不被新病毒攻击 2 1 4 2 1 4 客户机防护客户机防护 趋势科技防毒墙网络版趋势科技防毒墙网络版 OfficeScanOfficeScan CorporateCorporate EditionEdition 趋势科技的 OfficeScan Corporate Edition 将管理与部署的功能集中到服务器端 透 过 Web 接口的管理主控台 管理人员可以从网络上的任何地点 来管理和设置全公司的防 毒策略 并且也能迅速响应各种紧急事件 竞争优势 竞争优势 支持防护策略的自动 手动配置 有效控制病毒扩散 支持多种客户端的安装方式 HTTP Base 具有 Web 管理功能 可以跨 WAN 进行管理 方便而简单的配置管理与实时报告 先进的自动更新技术 无须管理员与用户的手动操作 不需要重新启动 增量式 队列式更新防毒组件 节省网络带宽 提高网络性能 主动关闭用户共享 阻绝病毒通过网络共享传播 客户端 POP3 扫描功能 支持客户端自行上互联网更新防毒组件 支持网段扫描侦测尚未安装 OfficeScan 的用户机 杜绝防毒漏洞 19 支持将纪录数据导入 SQL 服务器方便数据分析与管理 支持在客户端可以在不同的 OfficeScan 服务器中转移 不需重新安装 无论是域模式网络还是对等网络 OfficeScan 都完全支持 软件安装时可对病毒进行预处理 强大 完善的日志管理功能 病毒 客户机的排行榜功能 帮助网管了解毒源 善后处理 报告领导 安装简单快捷 产品成熟 运行稳定 高效防毒 部署建议 对桌面系统的病毒防护 在 酒店的 32 位操作系统的客户端上可统一采用 OfficeScan 它的统一管理 升级和高效的实时防护 能有效的保证服务应用者的应用安 全 通过使用 NT 域的 Login Script 方式 或是使用 Web 页面方式 安装程序打包方式 SMS 方式 文件共享方式 最多提供 9 种安装方式 可以迅速 方便地将 OSCE 客户端软 件部署到每个客户机上 在部署时 可将 OfficeScan 管理服务器安装在 酒店总部及各分支机构分公司的专 用防病毒服务器上 这样就可在同一台服务器上实现服务器和桌面系统统一的防病毒策略 部署和病毒代码 引擎升级 产品部署架构 产品部署架构 20 同时 安装 TMCM 代理程序 Officescan 就能够被整合在 TMCM 的管理体系中 并 且能够通过 TMCM 得到 病毒爆发抑制策略 Officescan 应用该策略能够有选择性的 关闭某些病毒攻击网络 服务器和客户机的端口 或共享文件夹 从而 阻挡大量的 蠕虫病毒 在网络中大面积爆发 从而 保护用户网络中的所有客户机和服务器不受 到病毒攻击 2 1 5 2 1 5 网络层防病毒网络层防病毒 产品简介产品简介 Trend MicroTM Network VirusWallTM 是基于网络层 针对企业网络内网安全管理的设 备 可协助公司企业防止 ARP 病毒攻击 在爆发病毒疫情时隔绝高危险的网络脆弱环节 在网络层部署由趋势科技提供的安全防御策略 并能在缺乏防毒保护的设备等潜在感染源 连接网络时 予以隔离和清除 不同于只监测安全威胁或提供信息的安全解决方案 Network VirusWall 协助企业采取准确 快速的安全措施 并且主动侦测 预防围堵与进行 善后清理 当企业在网络的各网段之间部署 Network VirusWall 之后 即可大幅降低安全威 胁 网络宕机时间以疫情管理的负担 同时 Network VirusWall 支持趋势科技的 企业安 全防护策略 Enterprise Protection Strategy NVW 提供以下主要功能 提供以下主要功能 1 防止防止 ARP 欺骗欺骗 主动免疫 识别攻击者发送的 ARP 欺骗包 并阻止发送 被动防护 保护终端免受 ARP 欺骗包影响 2 网络流量侦测与网络病毒过滤网络流量侦测与网络病毒过滤 在网络层清除带毒数据包 分析网络数据流量 定位可疑计算机 使用智能型规则 提供关于网络病毒疫情的早期预警信息 3 隔离薄弱环节隔离薄弱环节 侦测带有安全漏洞的计算机 预防病毒利用网络上的薄弱环节入侵 爆发病毒疫情时 阻止未安装相关补丁程序的计算机访问网络资源 4 强制实施安全策略强制实施安全策略 隔离特定 IP 地址段 21 隔离实施通讯软件 MSN Yahoo ICQ 隔离特定文件传输 隔离特定的网络协议 TCP UDP ICMP 5 客户端补丁及防病毒软件管理客户端补丁及防病毒软件管理 管理未安装防病毒软件 Symantec MacFee TrendMicro 的机器 确保客户端安装最新的病毒代码 支持 OfficeScan PC Cillin 管理未打安全补丁的机器 6 自动损害清除自动损害清除 自动远程清除病毒 系统修复 定时病毒查杀 自动升级专杀工具 集中管理 找出网络上的染毒来源并在清除完成前予以隔离 7 报表管理报表管理 提供多种报表类型 提供详细的安全报告 定期安全性评估 22 2 部署实施方案 部署实施方案 由于 酒店整个网络物理位置分散的较开 这就给企业网络内网安全管理造成了非常 大的困难 一旦出现 ARP 病毒攻击 无法快速定位攻击源 基于 酒店目前的网络连接以及网络内网安全管理的存在的问题 趋势科技建议采用 网络病毒墙 Network Viruswall 来为 酒店解决网络内网安全管理存在的问题 特别是 ARP 病毒攻击问题 一旦在 酒店网络中部署了 NVW 应对先前对 酒店网络内网安 全管理所存在的问题 NVW 能够帮助 酒店在 ARP 病毒爆发生命周期中的每个环节 提高对整个网络的防病毒控制能力和管理能力 阶段一 微软更新了新的补丁 新病毒随时可能爆发阶段一 微软更新了新的补丁 新病毒随时可能爆发 1 NVW 在网络监听待命 可在在网络监听待命 可在 ARP 攻击行动前 主动封锁 如针对攻击行动前 主动封锁 如针对 ARP 传播和感传播和感 染利用的漏洞 染利用的漏洞 NVW 会将其定义为 最热门 会将其定义为 最热门 hot 的漏洞 作为企业安全政策执行 的漏洞 作为企业安全政策执行 如果使用者未补好某些漏洞 则无法连上企业网络 避免被感染或灾区扩大如果使用者未补好某些漏洞 则无法连上企业网络 避免被感染或灾区扩大 NVW 强制检测网络中所有计算机是否有会被病毒所利用的操作系统漏洞和应用程序 漏洞 同时 将漏洞的危险等级进行分类 针对具备不同危险等级漏洞的计算机 有不同 的处理方式 NVW 会将有漏洞的计算机隔离 同时 自动重定向到微软官方补丁更新网 站或内部网络中的补丁升级服务器 有漏洞的机器只有把补丁更新好之后 才能被 NVW 释放 这样就确保 酒店网络中不会有防病毒的漏洞存在 2 NVW 能侦测高危险的网络薄弱环节 并加以隔离 它可以扫描全网内的系统漏洞 能侦测高危险的网络薄弱环节 并加以隔离 它可以扫描全网内的系统漏洞 阻止漏洞机器上网 并立即针对可疑机器进行杀毒和系统恢复阻止漏洞机器上网 并立即针对可疑机器进行杀毒和系统恢复 NVW 可以自动实时监测和扫描 酒店网络中所有的计算机的防病毒状态 并且能够 按照管理员预先设定的处理措施 将那些没有安装防病毒软件的计算机以及病毒码过期的 计算机 自动暂时隔离 同时 NVW 会自动将有防病毒漏洞的计算机自动重定向到通过 网页安装防病毒软件客户端的界面 从而强制计算机安装防病毒软件的客户端 而那些病 毒码过期的计算机在被隔离的时间段内会自动从防病毒软件主控端升级到病毒码 一旦漏 洞被弥补之后 所有被隔离计算机会被 NVW 自动释放 同时为了避免重要计算机被隔离 管理员可以在 NVW 中设定例外 IP 地址 确保重要计算机的可用性 3 将笔记本电脑引导至指定的网址安装防病毒软件或者引导至在线杀毒服务器 一避 将笔记本电脑引导至指定的网址安装防病毒软件或者引导至在线杀毒服务器 一避 23 免笔记本电脑可能夹带的免笔记本电脑可能夹带的 ARP 病毒散播到企业的网络上病毒散播到企业的网络上 为了避免客户或者供应商的笔记本电脑在没有防护的情况下直接联入 酒店内部网络 在 酒店网络中可以设定特定的网段供他们上网 NVW 会检测客户或者供应商的笔记本 电脑是否具备防病毒能力 若有 则允许通过 若无 管理员则可以设定将笔记本电脑引 导至指定的网址安装防病毒软件或者引导至在线杀毒服务器 即使什么防护动作都不开启 NVW 也可以确保这些笔记本中所携带的网络病毒不能通过 NVW 向整个网络内部散播 4 管理员在 管理员在 NVWE 的控制台上输入各子网网关 代理服务器 邮件服务器的正确的控制台上输入各子网网关 代理服务器 邮件服务器的正确 IP 和和 MAC 地址 地址 管理员输入的 IP and MAC 信息被 PEAgent 传输到客户端并被写入 ARP 静态表 客 户端访问网关 代理服务器 邮件服务器等重要目标时就不会再被欺骗 同时也不需要进 行 ARP 查询 阶段二 阶段二 ARP 病毒在病毒在 酒店网络内部爆发阶段酒店网络内部爆发阶段 4 捕获 捕获 ARP 包分析包中的包分析包中的 IP 是否是本机是否是本机 IP 如果是本机 如果是本机 ARP 包允许发送 如果包允许发送 如果 不是本机的 不是本机的 ARP 包就被阻止并弹出警报信息给用户包就被阻止并弹出警报信息给用户 根据 ARP 数据包的特征 NVW 可以完全摆脱传统的单纯的依靠病毒码进行病毒查杀 的方式 可以直接将 ARP 病毒的欺骗数据包丢弃并弹出警报信息给用户 来解决 ARP 病 毒在 酒店网络中攻击和散播 阶段三 阶段三 酒店全网络清除酒店全网络清除 ARP 病毒病毒 5 自动远程清除 自动远程清除 ARP 病毒病毒 一旦发现网络中有机器感染了 ARP 病毒 对外进行 ARP 攻击 NVW 会自动调用损害 清除服务 远程自动清除感染 ARP 病毒的机器 6 NVW 的损害清除服务能够持续性的监控网络 避免病毒重复感染的损害清除服务能够持续性的监控网络 避免病毒重复感染 NVW 能够实时地 持续性的检测网络中的 ARP 病毒 能够发现依靠人力无法发现的 防 ARP 病毒遗漏的死角 从而确保能够真真正正的消灭网络中的 ARP 病毒 添加产品介绍 24 第六章 内网管理产品设计方案 南京联成科技为南京联成科技为 酒店构建的整体内网管理体系的建立简述如下 酒店构建的整体内网管理体系的建立简述如下 1 1 需求需求概述概述 1 1 背景介绍背景介绍 酒店建有完备的内网信息系统 网关处部署了防火墙 等安全设备 整个酒店应