XXXXX局网络安全规划方案.docx
《XXXXX局网络安全规划方案.docx》由会员分享,可在线阅读,更多相关《XXXXX局网络安全规划方案.docx(9页珍藏版)》请在冰豆网上搜索。
XXXXX局网络安全规划方案
XXXXX局网络安全规划方案
xxxxxxxxx有限公司
1.综述
随着计算机和网络的普及,原本只有少数人掌握的计算机和网络知识已不再神秘,病毒和黑客攻击层出不穷。
据统计,70%的网络攻击行为来自于内部,可以说哪里有网络、有重要信息,哪里就有攻击、有安全问题,无论是否与Internet相联。
随着我国的逐渐富强,外国反华势力更是对我国虎视眈眈。
政府网络因其特殊性和历史遗留问题,逐渐暴露出信息系统的不健全,但因为工作需要,与外界的互联互通又势在必行。
如果不及时解决安全问题,届时网络的安全性就会对政府单位造成无法预估的风险。
所以安全不是一种保险,而是一种增值。
随着Internet的迅猛发展,现在的网络攻击技术新、变化快,往往会在短时间内造成巨大的破坏,同时由于互联网的传播使黑客技术具有更大的普及性和破坏性,都会给网络造成很大的威胁。
长期以来网御神州科技有限公司是集技术研发、生产制造、综合服务于一体的网络与信息安全方案、产品及服务提供商。
并提供给用户完整、全系列的安全解决方案。
我公司的安全产品能够帮助用户更加全面的认识信息安全技术、评估网络的安全隐患及薄弱环节,进一步完善网络系统安全架构,通过共同规划、设计、实施、运作,为用户的网络系统、网上应用构建高度安全的运行环境。
2.政府网络应用和安全现状
目前我国政府网络通常以各省为中心,逐级串联下级单位的方式。
其间的链接方式有ADSL、专线等方式。
并且很多单位的内网与互联网在同一环境下,这样就无形中带来了很多安全隐患,并且对上级机关网络安全也无形中带来了不少的麻烦。
因此政府网应体现出多网络互存的特点,把政府用于日常办公的内网与互联网区分开来。
这样,一方面即有相对比较安全和隐蔽的办公网,另一方面也有可作为对外宣传、倾听民生的公共网络平台。
这样能把政务与信息收集两方面完全区分开来,才能更好的提供安全、可靠的信息系统。
3.安全风险分析
3.1系统层安全风险分析
经分析,政府网络中的系统层安全风险主要包括:
操作系统和各种服务漏洞及网络病毒攻击造成的安全风险。
操作系统和各种服务漏洞
在日常办公中,由于存在大多数工作人员缺乏专业知识及管理人员经常忽略给各种工作站与办公用作必要维护的情况,这样无形中给互联网恶意攻击者提供了可攻击漏洞。
Web应用对于政府就是一个宣传法制法规、政策、新闻、与民互动的平台,因存在漏洞,就会有被篡改、在网页上挂马等风险。
网络病毒入侵风险
由于政府部门日常文档的撰写与处理的工作相对较大,因此很多人员会使用自己的移动存储设备,这样却给病毒、木马等提供了更好的滋生和传播的条件。
现在流行的各种新型网络病毒,将网络蠕虫、计算机病毒、木马程序合为一体,已不仅仅是单一的病毒,而发展到融和了各种攻击和漏洞利用,使系统防不胜防。
3.2网络层安全风险分析
3.2.1网络边界安全风险
来自于不信任区域的风险
大部分政府部门都是与各级上下属单位之间互联。
一个系统分布在全省甚至于全国各地,范围之广,而且各级单位也都是独立运维,这样对每一个区域来说,其它区域都可以说是不信任的,因此同样存在安全风险。
来自于自身内部的风险
据调查统计,已发生的网络安全事件中,70%的攻击是来自内部,因此内部网的安全风险更为严重。
内部员工对本企业网络结构、应用比较熟悉,如果自己攻击或泄露重要信息内外勾结,都可能成为系统的致命安全隐患。
3.2.2网络传输的安全风险
网络传输数据的安全风险,包括上下级单位之间办公文件的共享与分发。
考虑到文件的重要性,因此需要更安全可靠的数据传输途径。
3.2.3来自于各种应用的风险
互联网发展是迅速的,在现今这个娱乐至上的时代,各种基于互联网的娱乐应用层出不穷。
贵单位因需要而接入互联网,虽以自觉自愿作为出发点,同时也建立了相应的奖惩机制,但并不能完全杜绝上班时间在网上娱乐和下载各种格式的文件。
这样即占用了网络带宽,另一方面也因缺乏专业知识而造成更多的安全隐患。
4.安全需求分析
通过以上对政府网络系统应用与安全风险分析,种种结果对于政府部门来说,其损失都是不可估量的。
所以,必须将风险防患于未然。
在此,我公司通过对贵单位网络安全危险的了解及分析,提出如下相应的安全需求:
1.需要在外部网络(internet)和内部网络之间部署安全设备,这样能有效隔离网络攻击;并且考虑到经费问题,此台设备还具有一定的上网行为管理能力。
2.贵单位生产网中存在OA服务器与业务服务器,考虑到数据的重要性;因此,建议部署数据库备份。
3.由于生产网独立于外部网络,因考虑到来自各种存储设备的不安全性,而安装防病毒软件又无法及时更新病毒库的尴尬;因此建议部署防病毒服务器,以手动为服务器更新病毒库的方式来提高内部网络办公用机的安全性。
4.由于网络设备长期持续工作,但无法确定何时会出现故障;因此建议部署网络监控系统,监控网络设备并不是目标,而是最终保障日常办公正常运行。
5.贵单位与下级单位之间,时常协调处理跟踪事项,其中可能涉及绝密文件;因此,建议与下级单位建立安全、可靠的数据传输通道。
6.由于服务器数量较多,而需要单独对服务器区域做核心防护;因此推荐增设入侵防御系统。
5.改造后网络结构图
我们为贵单位设计了相应的网络应用系统。
如下图示:
整个网络以贵单位内部作为出发点辐射覆盖到市局网络出口,并对相应关键部位增设了安全部署。
整个安全解决方案设计包括:
物理隔离、入侵防御、网络设备监控系统、数据库备份系统、病毒防范系统、防火墙隔离、上网行为管理及VPN应用。
下面我们将针对每个子系统进行阐述。
5.1物理隔离
一般常规网络,以VLAN或ACL等手段来实现虚拟的网络隔离,以实现主机与主机间、主机与服务器之间的无法访问。
而条件相应健全的单位一般也就在防火墙上做一些相应的策略控制来实现相应功能。
而因贵单位的办公环境的需求,所以考虑把办公网与互联网物理隔绝,以保证互联网无法对办公网发起攻击。
如下图示:
而物理隔离也只是把贵单位的办公网与互联网区分开来,那对于办公内部网呢?
对此,我们另利用交换机划分VLAN并配合防火墙划分区域等功能来实现访问控制。
5.2入侵防御
入侵防御(阻止)系统(IPS)是新一代的入侵检测系统(IDS),它可弥补IDS存在于前摄及假阳性/阴性等性质方面的弱点。
IPS能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
IPS的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理IPS的控制台。
如同IDS中一样,IPS中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
综上所述,因考虑到贵单位的身份性质和对数据安全的敏感性,我们在办公网所用服务器区域和防火墙设备间建议增设入侵防御系统(IPS),以提高该区域内的安全等级。
如下图所示:
5.3网络设备监控系统
随着时代的发展和科技的进步,从原来的同轴电缆发展至今。
虽然网络越来越发达,设备的性能和功能越来越多,但网络设备的数量也在不断的增加。
为此不得不付出大量的人力、物力和财力来保障各个设备的健康性。
而且,部分管理人员并不一定具备对所有设备的认知或者因为其他原因疏于管理;因此我们建议增设网络设备监控系统,这样不仅能对设备进行有效的监管,而且对于现阶段网络设备的运行情况也能一目了然。
5.4数据库备份系统
数据库作为信息系统的核心,担当着重要的角色。
尤其在一些对数据可靠性要求很高的行业,如:
政府、金融、通信等,如果发生意外停机或数据丢失,其后果将十分严重,甚至无法补救。
为此数据库管理员应针对具体的业务要求制定详细的数据库备份与灾难恢复策略,并通过模拟故障对每种可能的情况进行严格测试,只有这样才能保证数据的高可用性。
数据库的备份是一个长期的过程,而恢复只在发生事故后进行,恢复可以看作是备份的逆过程,恢复程度的好坏很大程度上依赖于备份的情况。
因考虑贵单位数据的重要性,对此我们推荐增设数据库备份系统。
5.5病毒防范系统
对于病毒的防范首先要了解什么是病毒,计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据以影响计算机的使用,并能自我复制的一组计算机指令或者程序代码。
它像细菌一样,扩散性极强,又常常难以根除。
它们能把自身附注在各种类型的文件上,比如.EXE、RAR等等,有时会替换正常的系统文件。
当文件被复制或从一个用户传递到另一个用户时,它们就随同文件一起蔓延开来。
因此,为避免病毒在网络中的传播,一方面我们采用访问控制策略来缩小病毒的传播范围,但由于此方法只能缩小它的传播范围,并不能起到防范的作用;因此,另一方面,我们建议部署病毒防范服务器,采购反病毒软件企业版,来构建健全的病毒防范系统。
5.6防火墙隔离
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法。
它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。
防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
在省局与市局的网络边缘处,部署防火墙能更好的隔离来自于外部的不安全的访问。
5.7上网行为管理
在如今这样一个互联网飞速发展的时代,公司都会因工作需要而开通网络。
但是问题来了,员工经常在上班时间聊QQ、浏览与工作无关的网页和下载文件等。
大多数公司都为了避免这种情况而制定一系列的惩罚制度,但效果不理想,根本不能杜绝。
为此,公司高层反对开通网络,但这样一来,员工也有意见,认为如果不开通网络工作起来不方便,而现实工作中,也确实需要。
所以现在很疑惑,如果开通网络,该怎么管理员工呢?
严格要求并不是所有的员工都需要网络的,销售、采购外部协作、生产管理等部门的员工可能需要上网,但是像人事、工程设计等部门上班时间用网络的很少。
怎么管理员工上网的行为?
是堵还是疏?
据第三方的统计显示,用户的意见大致可以分为两类。
一种意见认为应该严格管理,严惩员工的不良行为;还有一种意见则认为,在这个问题上,主管应该持开明的态度,给员工一定的空间。
解决之道应该是有堵有疏,从而上网行为管理的需求也就出现了。
我觉得应该持开明的态度,充分相信员工,这样员工才有积极性,才会觉得领导对他们的充分信任,才会更加努力为公司效力。
在贵单位的外网和市局的网络边缘处,增设上网行为管理设备,一方面能更好的利用网络带宽,另一方面上网行为管理设备也能提供基本的安全防御功能,如:
VPN、基于服务和协议的攻击、网络隔离等。
5.8VPN应用
VPN可以通过特殊加密的通讯协议连接到Internet上,在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,好比通过安全隧道,到达目的地,而不用为隧道的建设付费,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,在交换机,防火墙设备或Windows2000及以上操作系统中都支持VPN功能,一句话,VPN的核心就是利用公共网络建立虚拟私有网。
因此在省局与市局之间部署VPN应用,能更好的加密期间所传输的各种数据,以此来保障数据不被窃取和数据的可靠性。
6.总结
网络安全是动态的、整体的,并不是简单的安全产品集成就解决问题。
安全不是一劳永逸的,安全总会随着网络现况的变化而变化。
随着时间推移,新的安全风险又将随着产生。
因此,一个完整的安全解决方案还必须包括长期的、与项目相关的信息安全服务,以实现我们提出的帮助用户构建高度安全的运行环境的目标。