某单位网络安全解决方案.docx
《某单位网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《某单位网络安全解决方案.docx(26页珍藏版)》请在冰豆网上搜索。
某单位网络安全解决方案
**单位网络安全解决方案
1**单位通信有限公司网络现状
网络拥挤、办公效率下降;病毒木马猖狂,系统瘫痪无法办公;误用和滥用关键、敏感数据和计算资源,无迹可寻;外出办公无法安全方便访问公司内部资源,安全风险过高;不同业务部门无区域隔离。
1.1网络拓扑
1.2安全风险分析
1.2.1来自公网的安全威胁
由于内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统.透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。
如:
●入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击;
●入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息;
●恶意攻击:
入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪;
●发送大量包含恶意代码或病毒程序的邮件。
1.2.2来自内部人员及分部的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯.来自机构内部局域网的威胁包括:
●误用和滥用关键、敏感数据和计算资源。
无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。
●因不当使用Internet接入而降低生产率。
不当使用Internet资源不但会浪费工人的时间,还能增加计算机网络的负担,降低了人员与网络的工作效率。
●如果工作人员发送、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内耗。
●内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;
●内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去;
●内部人员利用公司网络访问黄色网站、反动网站和其他与工作无关的网站;
●内部人员访问不良网站时,无意中执行了网页上的恶意代码或病毒程序;
●内部人员使用移动存储设备,不小心涉带有关病毒,导致网络瘫痪;
●内部人员使用BT、P2P下载,严重影响网络使用
1.2.3应用的安全风险分析
应用系统的安全涉及很多方面。
应用系统是动态的、不断变化的。
应用的安全性也是动态的.这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险.
A.资源共享的安全风险
办公网络应用通常是共享网络资源,比如文件共、打印机共享等。
由此就可能存在着:
员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
B.Web系统的安全风险
如果提供Web服务,也存在安全的风险,例如Web服务器本身存在漏洞容易受到攻击,网页被篡改,Web服务器容易受到网络病毒的感染。
Web是电子业务的发布板,与其他服务器连接在一起,对Web服务器的攻击容易波及其他的网络服务器和设备。
C.数据库服务器的安全风险
数据库服务器上运行数据库系统软件,主要提供数据存储服务。
数据库服务器也存在安全风险,风险包括:
非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到攻击(例如SQLSlammer)等。
数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复,也是需要考虑的安全问题.
D.电子邮件系统的安全风险
电子邮件为网系统用户提供电子邮件应用.内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素.
E.病毒侵害的安全风险
网络是病毒传播的最好、最快的途径之一.病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网.因此,病毒的危害的不可以轻视的。
网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
F.数据信息的安全风险
数据安全对**单位通信来说尤其重要,数据在公网线路上传输,很难保证在传输过程中不被非法窃取,篡改.现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。
也就造成的泄密.这对贵单位网络用户来说,是决不允许的。
2需求分析
依据轻重缓急、分步实施的原则,系统信息安全可以划分为近阶段需求和远期需求两个阶段,并最终达到以下总体目标:
Ø建立具备完善的防黑及防毒能力的安全体系;
Ø建立完善安全管理制度,为网络和系统的正常运行提供充分的安全保障,最大程度上保证网络系统的信息安全、可靠。
近阶段需求集中表现在服务器的安全访问、防黑、流量优化的建设
在内部网络不同的安全区域间部署防火墙,实现内网、Internet和业务系统的安全访问控制,保护内部局域网上的各种信息和网络资源。
同时部署入侵检测系统,实时监视分析网络中所有的数据报文,防范入侵行为,通过对网络流量、网络安全情况的审计,帮助管理人员了解网络的运行情况,以便及早发现网络瓶颈并调整安全策略设置。
再与网络流量优化系统相结合,分析网络现状,对P2P流量及与工作无关的协议过滤,增加员工工作效率。
对防病毒控制系统,能够对所有节点的防病毒软件进行集中控制,包括集中下发、集中版本升级、病毒库更新、集中配置管理、远程安装、远程杀毒、远程报警等。
远期信息安全需求集中表现在建立网络管理中心,实行对全网安全的集中控制.
建立网络管理中心,可以实现先进的网络管理功能,实现动态监控管理网络,实时查看全网的状态,检测网络性能可能出现的瓶颈,并进行自动处理或告警显示,保证网络高效、可靠地运转,提高网络的使用效率,减轻网管人员的工作强度,提高工作效率.
2.1服务器区需求分析
该区域的主要功能:
Ø提供数据查询、接发邮件、自动办公软件、应用软件等服务
Ø作为重要的数据交换核心,提供对数据的拆分与统计等工作,
Ø可提供内部例如OA服务,及未来还需扩充新的业务服务。
Ø可提供连接互联网的通道
该区域的主要问题:
Ø用户内部私人信息暴露出去的安全风险
Ø被非法存取、非法访问的安全风险
Ø电脑病毒传播和感染文件,破坏资料的风险
Ø假冒合法用户访问禁止信息的安全风险
Ø主机配置和其他信息被非法篡改的安全风险
Ø用户和其他信息被非法篡改的安全风险
Ø非法占用网络资源,从事与工作无关工作
Ø发布有关违法违纪言论,使企业受到法律风险
Ø拒绝服务攻击的风险
Ø数据因其他故障或人为误操作丢失的风险
2.2办公区需求分析
该区域的主要功能:
Ø办公人员上网
Ø可提供内部例如OA服务,及未来还需扩充新的业务服务.
该区域的主要问题:
Ø用户内部私人信息暴露出去的安全风险
Ø被非法存取、非法访问的安全风险
Ø电脑病毒传播和感染文件,破坏资料的风险
Ø假冒合法用户访问禁止信息的安全风险
Ø主机配置和其他信息被非法篡改的安全风险
Ø用户和其他信息被非法篡改的安全风险
Ø拒绝服务攻击的风险
Ø限制网络带宽较死,带宽利用率较低
Ø上OA、上公网一个速度,不能根据数据流控制
Ø网络游戏、P2P不能限制
Ø网络状态不能时时查看,不能分析网络整体使用情况
ØIPSec客户端、分公司出现故障时,维护调试困难
Ø在使用C/S架构的应用系统时需要较高的网络接入带宽
3安全方案设计
3.1方案概述
我们为贵单位网络构架了一个整套的安全体系结构,整个体系中最基本单元是每台在线主机的安全,即安全体系中的每一个点;子网/局域网是体系中的块状组成部分,是安全体系中的各个面;整个安全体系由各个层次和面组成,形成安全体系的立体框架。
我们知道实现网络安全不是一次可以完成的任务,需要不断根据网络环境和网络管理进行调整,我们设计的解决方案充分兼容今后的安全管理及优化的需求。
基于以上的分析,我们建议以系统的内部安全优化修复,清除网络安全漏洞为主要手段,提高网络内每个点的安全系数,清除各点的安全隐患,以网络优化系统、防火墙和防毒软件等安全产品对网络施以自动监控和防御,在各个面形成有效的防御体系,最后通过加强人员培训,提高管理水平,制定先进的安全策略,消除全网的各种安全威胁,全面提高软件、硬件和人员的安全水平,形成一个牢固的,立体的网络安全防御体系。
3.2总体设计
依据我们的安全系统设计原则,并结合贵单位网络系统的实际情况和需求,采用一系列产品搭建安全防范体系,通过安全技术和管理手段,使安全产品充分发挥其安全保护的作用。
首先,从安全区域上,我们将网络划分为:
服务器区、办公区,并采用防火墙将上述各个区域进行隔离,以对各个区域之间的相互访问进行访问控制,构成第一道安全防护体系。
对于接入Internet的区域,都将Internet的LAN接口接在防火墙的接口上,从而实现对来自Internet的入侵的防护。
第二,为了对保护公司本部的重要服务器(如管理服务器、邮件服务器、数据库服务器),特将这些重要的服务器放在同一网段,用防火墙进行访问控制,该网段称为核心防护区。
再使用SSLVPN设备将重要服务器进行发布,对外呈现只有SSLVPN一个服务,并根据具体要求配置SSLVPN安全访问策略,保护公司本部的重要服务器。
第三,在网络出口防火墙与核心交换机间部署天网网络流量优化设备,进行P2P及与办公无关业务的拦截,从整体上分析网络使用情况,方便日后网络升级及维护.并在网络出口防火墙使用IP多管道技术,达到去不同目标地址有不同的带宽管理功能,增加带宽利用率。
第四,在办公区部署天网行为管理系统,通过有关安全策略规范员工的上网行为,记录有关上网日志,规避有关法律问题。
第五,通过天网防毒墙的部署,全面地保护内部各区域网络不受到病毒的入侵和破坏.利用全方位的企业防毒产品,实施“层层设防,集中控管,以防为主、防治结合”的策略,使网络没有能成为病毒入侵的薄弱环节。
针对网络中所有可能的病毒攻击设置对应的防毒软件,构建全方位、多层次的整体的防病毒体系.
拓扑图如下:
以下我们把贵单位应用结构划分成以下2个区域分别进行安全改造:
Ø服务器区
Ø办公区
A.服务器区域
Ø单独接入防火墙的一个接口,和内网分离保护。
使用原防火墙,节约投资.
Ø部署防毒墙管理中心/系统中心,对全网内的病毒的情况采取实时监控及管理.
Ø部署防毒系统主升级中心,承担整个XXX单位的病毒码扫描引擎统一的下载和分发工作。
Ø针对邮件/数据库等服务器部署防毒系统服务器端,服务器端是面向网络中基于服务器操作系统提供的病毒防护执行端,服务器端针对服务器操作系统进行特别优化处理,适合于服务器的大容量、高速度操作。
Ø针对所有客户终端部署防毒墙客户端,客户端是面向网络中的客户机而设计的病毒防护执行端,它提供病毒的监控、查杀、隔离,同时兼具备份和应急盘创建的功能,实现全面防范。
Ø在服务器区部署天网SSLVPN,对外只呈现SSLVPN一个服务,更好的保护内部服务器安全,并可以采用SSLVPN的USB证书机制实现远程用户访问安全。
可以通过登陆SSLVPN进行单点登陆访问内部资源,避免重复操作
升级会员 