技术建议书H3C边界防护解决方案

杭州华三通信技术有限公司 XXXXXX 网络安全建设 技术建议书 2008 年 2 月 杭州华三通信技术有限公司 1 目 录 1.XX 网络安全风险网络安全风险-2 2.建设原则及设计思路建设原则及设计思路 -4 2.1.安全平台设计思路-4 2.1.1.以安全为核心划分区域-4 2.1.2.用防火墙隔离各安全区域-5 2.1.3.对关键路径进行深入检测防护-5 2.1.4.对全网设备进行统一安全管理-6 2.1.5.根据实际需要部署其他安全系统-6 3.XXXX 网络安全解决方案网络安全解决方案-7 3.1.1.互联接口区域-7 3.1.2.数据中心-9 3.1.3.统一安全管理中心-10 4.安全管理建议（供参考）安全管理建议（供参考）-11 4.1.安全管理组织结构-11 4.1.1.人员需求与技能要求-11 4.1.2.岗位职责-11 4.2.安全管理制度-12 4.2.1.业务网服务器上线及日常管理制度-12 4.2.2.安全产品管理制度-13 4.2.3.应急响应制度-13 4.2.4.制度运行监督-13 杭州华三通信技术有限公司 2 1.1.XXXX 网络安全风险网络安全风险 随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方 式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是 Internet 的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电 子现金，数字货币，网络银行等新兴业务的兴起，网络安全问题变得越来越重要。 计算机网络犯罪所造成的经济损失十分巨大，仅在美国每年因计算机犯罪所造成的直 接经济损失就达 150 亿美元以上。在全球平均每二十秒就发生一次网上入侵事件。有近 80%的 公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有 用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。 此外，随着网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性 能要求的不断提高，网络管理也逐步成为网络技术发展中一个极为关键的任务，对网络的 发展产生很大的影响，成为现代信息网络中最重要的问题之一。如果没有一个高效的网络 管理系统对网络进行管理，就很难向广大用户提供令人满意的服务。因此，找到一种使网 络运作更高效，更实用，更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫 切要求。虽然其重要性已在各方面得到体现，并为越来越多的人所认识，可迄今为止，在 网络管理领域里仍有许多漏洞和亟待完善的问题存在。 目前，网络技术已在 XX 行业得到了全面应用，大大提高了 XX 行业的业务处理效率和 管理水平，促成了各项创新的金融业务的开展，改善了整个 XX 行业的经营环境，增强了金 融信息的可靠性，使金融服务于社会的手段更趋现代化。但是，同其他任何行业一样，网 络安全风险的阴霾如同网络技术的孪生子，伴随着网络技术在 XX 行业的全面应用而全面笼 罩在 XX 行业的每个业务角落。而有别于其他一般行业，XX 行业的网络系统中处理、传输、 存储的都是金融信息，对其进行攻击将获得巨大的利益，如果这些机密信息在网上传输过 程中泄密，其造成的损失将是不可估量的；而且，对 XX 行业网络系统的攻击，可能造成国 家经济命脉的瘫痪和国家经济的崩溃，因此 XX 行业的网络安全问题是一个关系到国计民生 的重大问题，也是所有网络安全厂商非常关心的问题。 银行网络系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标，面临的 网络安全风险叙述如下。 非法访问：现有网络系统利用操作系统网络设备进行访问控制，而这些访问控制 杭州华三通信技术有限公司 3 强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；另一方面 XX 行业 （如银行）开发的很多增值业务、代理业务，存在大量与外界互连的接口，外部网络可能 会通过这些接口攻击银行，造成巨大损失。 失密和窃密：利用搭线窃听窃收，使用协议分析仪器窃收计算机系统的操作密码，破 解系统的核心密码，窃取用户帐号、密码等；或利用间谍软件获得敏感的金融信息。 信息篡改：利用信息篡改攻击手段，非授权改变金融交易传输过程、存储过程中的信 息。 内部人员破坏：内部人员熟悉 XX 行业网络系统的应用业务和薄弱环节，可以比较容易 地篡改系统数据、泄露信息和破坏系统的软硬件。 黑客入侵：利用黑客技术非法侵入 XX 行业的网络系统，调阅各种资料，篡改他人的资 料，破坏系统运行，或者进行有目的的金融犯罪活动。 假冒和伪造：假冒和伪造是 XX 行业网络系统中经常遇见的攻击手段。如伪造各类业务 信息，未授权篡改数据，改变业务信息流的次序、时序、流向，破坏金融信息的完整性， 假冒合法用户实施金融欺诈等。 蠕虫、病毒泛滥：蠕虫、病毒泛滥可能导致 XX 行业的重要信息遭到损坏，或者导致 XX 行业网络系统瘫痪，如 2003 年初的 SQL Slammer 蠕虫，导致了全国金融业务的大面积 中断。 拒绝服务：拒绝服务攻击使 XX 行业的电子商务网站无法为客户提供正常服务，造成经 济损失，同时也使行业形象受到损害。 杭州华三通信技术有限公司 4 2.2.建设原则及设计思路建设原则及设计思路 2.1.2.1. 安全平台设计思路安全平台设计思路 XXXXXX 的网络应用对安全的要求比较高，根据对 XXXXXX 网络和应用的理解，结合在 XX 行业的成功经验，提出了如下安全建设思路。 2.1.1. 以安全为核心划分区域 现有网络大多是以连通性作为中心进行设计的，而很少考虑安全性。例如最典型的网 络三层架构模型（核心层、汇聚层、接入层架构）中，网络是向核心层集中的而并没有考 虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连 通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路 的要求对网络进行重新设计。 所谓以安全为核心的设计思路就是要求在进行网络设计时，首先根据现有以及未来的 网络应用和业务模式，将网络分为不同的安全区域，在不同的安全区域之间进行某种形式 的安全隔离，比如采用防火墙隔离业务网和办公网。 针对 XXXXX 网络安全实际情况，可划分出不同的安全分区级别，详细定义如下： DMZDMZ 区：区：DMZ 区包括省级网络连接贵州省电子政务网区域、INTERNET 服务区以及 贵州省劳动和社会保障厅对社会公众提供服务的服务群（如：对外发布系统服务 器区等） ，该区域都是暴露在外面的系统，因此，对安全级别要求比较高。 互联网服务区：互联网服务区：互联网业务应用系统集合构成的安全区域，主要实现公开网站、 外部邮件系统、远程办公用户、部分分支机构以及部分合作伙伴的VPN接入等功 能。 远程接入区：远程接入区：合作业务应用系统集合构成的安全区域，主要实现与原材料供应商、 渠道商等合作伙伴的业务应用功能。考虑到部分合作伙伴会采用VPN方式接入， 基于安全性考虑，其与互联网服务区应该有独立的物理连接。根据应用要求，可 以进一步划分为互联网业务区、VPN接入区等。 广域网分区：广域网分区：在之前的网络建设中，企业通过专线连接国内的分支机构。广域网 连接区就是专线网络的链路及全部路由器构成的安全区域，这一安全区域内部没 有具体的应用系统，主要实现网络连接功能，定义这一安全区域是为了方便网络 杭州华三通信技术有限公司 5 管理。 数据中心区：数据中心区：由贵州省金保业务服务区服务群构成，是贵州省金保一切业务应用 活动的基础，包括生产区、交换区、决策区。这个区域的安全性要求最高，对业 务连续性要求也最高。要求不能随便进行任何可能影响业务的操作，包括为服务 器打补丁，管理起来也最为复杂。 网络管理区：网络管理区：网络管理员及网管应用系统构成的安全区域，一切网络及安全的管 理和维护工作都在这一区域完成。网络管理区域的资产在定义中属于支撑部门资 产集合，但是鉴于网络管理的特殊性，将这一部分资产独立设置安全区域。 内部办公区：内部办公区：数据中心内部办公计算机构成的安全区域。安全性和业务持续性要 求最低，管理难度大，最容易遭受蠕虫的威胁。 2.1.2. 用防火墙隔离各安全区域 防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络 的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全 的基础设施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效监不同安全网 络之间的任何活动。防火墙在网络间实现访问控制，比如一个是用户的安全网络，称之为 被信任应受保护的网络 ，另外一个是其它的非安全网络称为某个不被信任并且不需要 保护的网络 。防火墙就位于一个受信任的网络和一个不受信任的网络之间，通过一系列的 安全手段来保护受信任网络上的信息。 杭州华三通信技术有限公司 6 2.1.3. 对关键路径进行深入检测防护 虽然，网络中已部署了防火墙等基础网络安全产品，但是，在网络的运行维护中，IT 部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢。产生这个问 题的原因并不是当初网络设计不周，而是自 2003 年以来，蠕虫、点到点，入侵技术日益滋 长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播， 目前部署的防火墙等安全产品其软硬件设计当初仅按照其工作在 L2-L4 时的情况考虑，不 具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流 量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端 口进出网络。 因此在关键路径上部署独立的具有深度检测防御的 IPS（入侵防御系统）就显得非常 重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略 的行为有： 入侵非法用户的违规行为； 滥用用户的违规行为； 深度检测防御识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。 深度检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警 与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。 2.1.4. 对全网设备进行统一安全管理 日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护，不断追求多层次、 立体化的安全防御体系，逐步引入了防病毒、防火墙、IPS/IDS、VPN 等大量异构的单点安 全防御技术，再加上交换机、路由器等网络设备，网络结构日益复杂。然而，现有网络安 全防御体系还是以孤立的单点防御为主，彼此间缺乏有效的协作，不同的设备之间的信息 也无法共享，从而形成了一个个安全的“信息孤岛” 。通过统一安全管理平台，可以对网络 中的网络设备、安全设备、服务器等进行统一管理，收集相关信息，进行关联分析，形成 安全事件报告输出，有效的帮助管理员了解网络中的安全现状与风险，提供相关解决办法 和建议。 杭州华三通信技术有限公司 7 2.1.5. 根据实际需要部署其他安全系统 以上的安全系统部署基本可以涵盖一般性网络安全需求，但是很多特殊的应用也需要 特别的应用保护系统。此外管理员也需要一些其他的安全工具对网络安全运行进行审计评 估等操作。 在 XXXXXX 网络中，还需要以下安全系统和安全工具： 补丁管理系统 从公开的统计资料可以看到，在 2003 年全球有 80%的大型企业遭受病毒感染而使得业 务系统运作受到干扰，即使这些大型企业已经具备了良好的边界安全措施，也普遍部署了 病毒防御机制。造成困境的原因，一方面当然是由于现有防御体系的缺陷，是由于现有的 边界防御、基于签名的入侵检测和防病毒系统从原理上就决定了其不擅长对付基于漏洞进 行感染的病毒，单单具备这些措施，不足以遏制病毒的泛滥。另一方面，也是由于基于漏 洞进行感染的病毒传播速度极快，以至来不及采取措施，病毒就已经大规模爆发了。这恰 好说明企业需要一些应付这种情况的措施，最好在病毒前面就消灭漏洞隐患，杜绝病毒传 播的可能。 补丁管理就是这一思想的产物，因为它的原理就是对软件进行修补从而根本上消灭漏 洞，杜绝了病毒利用漏洞的可能。 漏洞扫描工具 如今，每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布，利用 这些漏洞可以很容易的破坏乃至完全的控制系统；另外，由于管理员的疏忽或者技术水平 的限制造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。 一般来说，最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的 弱点和漏洞，保证系统的安全性。因此 XXXXXX 需要一套帮助管理员监控网络通信数据流、 发现网络漏洞并解决问题的工具，以保证整体网络系统平台安全。 网络流量监测与审计 对网络流量进行监测和分析是十分必要的，尤其是在大型的网络环境中。利用网络流 量监测与分析系统可以实时监测网络流量峰值，以及方便管理员根据分析报告来排除网络 杭州华三通信技术有限公司 8 故障，所以目前很多的大型企业都部署了专业的网络流量监测与分析系统。 杭州华三通信技术有限公司 9 3.3.XXXXXXXX 网络安全解决方案网络安全解决方案 在 XXXX 总体安全规划设计中，我们将按照安全风险防护与安全投资之间的平衡原则 （主要包括层次化的综合防护原则和不同层次重点防护原则） ，提出以下的安全风险和防护 措施，从而建立起全防御体系的信息安全框架。 3.1.1. 互联接口区域 XXXXX 网络包括了省中心、地市中心、县级中心、外联单位等不同级别的安全区域， 由于各区域的管理员和使用者安全防护能力参差不齐，如有防护不当，极有可能由于个别 的漏洞而导致整个网络的崩溃，因此针对这些区域的安全防护是要考虑的重点内容。 同时，纵向业务网与将来建设的纵向办公网的数据互联接口通过省中心完成，两个网 络采用统一接口的方式互联。考虑到纵向办公网将来会预留与 Internet 的接口，纵向业务 网在物理上与办公网互联就导致了业务网间接的暴露在 Internet 环境下。 分析目前主要的安全威胁状况，要求 XXXXX 纵向业务网与办公网的接口区域安全设备 的部署可以提供以下功能： 采用在线模式部署 在优先保证业务持续的基础上提供全面的防护； 基于状态的链路检测功能； 能够有效抵御 DoS/DDoS 攻击； 对网络蠕虫病毒进行有效防护； 可以针对数据进行 27 层的深度安全防护； 监控并屏蔽恶意软件； 提供对网络设备、主机、链路的保护； 能够抵御 ZeroDay Attack； 具备实时的升级特性； 提供可供分析的标准日志结构； 杭州华三通信技术有限公司 10 便捷的统一的管理； 保护有效数据带宽，针对 P2P 协议对数据流可以灵活控制带宽； 根据以上要求，这里采用防火墙设备和入侵抵御设备（IPS）共同部署完成互联接口区 域的安全保护。具体部署见下图。 4 Catalyst 4507Catalyst 4507 省省级级数数据据中中心心省省级级数数据据中中心心 SDH 中中间间业业务务前前置置机机 中中间间业业务务区区中中间间业业务务区区 地地市市联联社社网网络络系系统统连连接接示示意意图图 合合作作伙伙伴伴 Cisco 7206 PIX 525 办办公公用用户户区区办办公公用用户户区区 广广域域网网区区广广域域网网区区 Frame Relay SDH Cisco 7304 Cisco 7606 Cisco 3725 县县级级联联社社县县级级联联社社 信信用用社社网网点点信信用用社社网网点点 Cisco 3725 IPS 杭州华三通信技术有限公司 11 6 市市级级节节点点 网网点点 OA区区 业业务务区区 通过逻辑隔离 核心路由器AR 4680 县县级级节节点点连连接接示示意意图图 核心交换机S5624P 防防火火墙墙 8 各各安安全全区区域域的的安安全全设设计计 生产外联区 S6509 内内网网IPS S6509 核核心心交交换换区区核核心心交交换换区区 外联合作伙伴 IPS 外网防火墙 外 联 前 置 机 外 联 前 置 机 汇聚交换机 杭州华三通信技术有限公司 12 9 省省中中心心办办公公网网省省中中心心业业务务网网 RouterRouter防防火火墙墙IPS IPS RouterRouter防防火火墙墙 互互联联区区域域 GEGEGE GE GEGEGE GE 互互联联区区域域安安全全部部署署 I.图 XXXXXX 互联接口区域安全拓扑示意图 3.1.2. 数据中心 对于业务网数据中心，办公网对它所有的数据调用都需要通过互联区域，并不直接面 对 Internet。因此主要考虑的来自于业务网内部的安全威胁。 针对业务网内部进行分析，其威胁的主要入口是终端设备的接入。要求数据中心区域 的安全设备部署提供以下功能： 采用在线模式部署 在优先保证业务持续的基础上提供全面的防护 对操作系统漏洞可以提供补丁功能； 对网络蠕虫病毒进行有效防护； 可以针对数据进行 47 层的深度安全防护； 提供对服务器集群的有效保护； 具备实时的升级特性； 提供可供分析的标准日志结构； 杭州华三通信技术有限公司 13 便捷的统一的管理； 考虑到数据中心防护更重要的是对操作系统和数据的保护，在这里根据以上要求，部 署入侵抵御设备（IPS）完成数据中心区域的安全保护。具体部署见下图。 7 Server Switch PCPCPC Switch Switch Switch SwitchSwitchSwitchSwitch IPS IPS 数数据据中中心心 省省业业务务网网核核心心 数数据据中中心心安安全全部部署署 II. 图 XXXXXX 数据中心安全拓扑示意图 3.1.3. 统一安全管理中心 为了保证部署的硬件设备和安全软件能够统一的为网络安全服务，必须要求对全网设 备，包括主机和数据交互设备进行统一的日志收集和日志分析。这样就要求必须在网络当 中部署安全管理中心来完成统一的策略规划和分析。 安全管理中心并不是一个威胁抵御的直接发起者，而是一个系统规划的首脑。所以要 求安全管理中心可以提供以下功能： 旁路部署模式，不影响正常业务和造成瓶颈； 具有广泛的日志采集功能，要求可以对网络当中的所有设备（防火墙、IPS、交换机、 路由器、PC、Server 等）进行日志分析； 采用先进的关联算法，能够对日志数据按照不同的关联组合进行分析； 杭州华三通信技术有限公司 14 对安全威胁的实时监控功能； 对网络流量的实时监控功能； 可支持多家厂商的设备日志采集； 提供拓扑发现功能，并能够准确迅速的根据日志定为网络故障； 对网络故障提供多种迅速的告警机制； 具有完善的安全审计功能； 对历史数据进行压缩并可提供高效的查询机制； 根据需要提供多种报表； 根据需求可分步实施的灵活部署方式； 根据以上需求，这里采用一台安全管理中心作为整个网络的安全管理中心，对全网设 备进行日志分析，帮助定制安全策略。仅仅需要路由可达即可完成上述功能，部署位置相 对灵活，建议可以和网络管理软件服务器部署在一起，以方便硬件的管理。 4.4.安全管理建议（供参考）安全管理建议（供参考） 4.1.4.1. 安全管理组织结构安全管理组织结构 4.1.1. 人员需求与技能要求 安全总监 CSO 一人，熟悉信息技术和信息安全，有 5 年以上整个机构信息技术和 安全管理经验。 经理一人，熟悉信息技术和信息安全，具有 2 年以上部门级信息安全技术和管理 经验； 安全专员四人，精通各种需要的安全工具的使用，认真、细心、负责。 网络小组二人，精通网络和各种安全工具的使用。 系统小组二人，精通操作系统和安全工具的使用。 杭州华三通信技术有限公司 15 4.1.2. 岗位职责 1、总经理职责 为整个机构的安全管理活动提供必要的人力、物力、财力等方面的资源支持。 负责主持年度安全管理评审活动。 2、安全总监职责 负责整个机构信息安全，协调机构的安全资源开展安全管理活动，审批安全政策。 指导信息安全部筹建应急响应中心。 负责指导每月督查活动。 负责组织领导季度安全管理审核活动。 负责向年度安全管理评审会议报告安全管理制度的运行情况。 负责批准发布安全管理制度的更新版本。 3、信息安全部经理职责 协调整个信息安全部的工作，对部门的安全管理活动提供指导。 建立应急响应中心，对安全事件实施应急响应。 制定和实施安全策略，实施审计检查。 负责组织领导每月督查活动。 负责组织更新安全管理制度。 4、信息安全专员职责 负责为其它部门分配或撤销 IP 地址、捆绑或撤销捆绑 IP 和 MAC 地址。 负责为其它部门配置防火墙策略。 负责病毒防护软件（包括病毒库）和漏洞扫描软件（包括漏洞库）的管理、更新 和公布。 负责对网上交易系统所有服务器和专用网络设备的首次、周期性和紧急的病毒防 护和漏洞扫描。 系统小组组长进行上线前安全配置和运行中的日