网络安全预警解决方案模板文档格式.docx
《网络安全预警解决方案模板文档格式.docx》由会员分享,可在线阅读,更多相关《网络安全预警解决方案模板文档格式.docx(21页珍藏版)》请在冰豆网上搜索。
信息安全要考虑投入和收益。
信息安全的投入是相当大的,如果安全投入和实现安全之后所带来的收益不匹配,投入将毫无疑义。
1.3安全是相对概念
信息系统安全不但与不断变化的需求联系紧密,同时也与不断发展的信息技术关系密切。
Ø
首先,信息系统的新业务需求和业务新需求是不断的,安全是相对于现有需求的。
其次,互联网技术和信息技术是不断发展的,是安全攻击方式和手段层出不穷,可利用并作为攻击的漏洞也越来越多。
此外,安全包括技术的和非技术的因素。
我们不能简单认为通过技术手段就可以保证安全。
相对来说,非技术因素的考虑(安全管理)对于全面的信息安全建设是不可缺少的。
因此,掌握最新的安全知识和技能,提高人员的安全意识和安全技能,才是构建全面安全的必要措施。
1.4安全是动态过程
计算机只要是用于商业应用就会存在安全问题,我们认为安全是一个动态的过程,不是一成不变的。
新的系统、新的应用层出不穷。
即使采购了安全产品、实施了安全管理、制定了安全策略也不能说系统在某些方面基本没有安全问题。
因为协议服务固有的问题、主机配置的复杂性、软件开发过程中产生的漏洞随时都有可能导致漏洞和脆弱性的产生。
因此,要不断地跟踪最新的安全信息,对系统进行评估,并不断地加固计算机系统。
安全产品除了拥有全面的特征库外,还需要制定合理的策略,策略需要根据安全技术的发展进行动态地调整。
同时,要尽量保持产品的版本和特征库更新,管理上随着安全的发展灵活改进。
非技术因素带来的安全问题,比如人员流动、技术操作不规范、责任不明确等,也会对网络系统的安全构成极大的风险。
1.5安全是保障体系
信息安全的技术在不断发展,从早期的通信保密,发展到关注信息安全的保密、完整、可用、可控和不可否认的信息安全,今天发展到信息保障。
单纯的保密和静态的保护已经不能适应今天的需要了。
信息保障技术框架提出保障信息安全必须考虑保护、检测、反应和恢复四个动态反馈的环节。
保障体系采用深度防御方式,目的是能够使攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。
图1信息安全保障技术框架
1.6信息安全建设必要性
XXX办公自动化工作经过近年来的努力,取得了可喜的进展。
一是计算机应用普及率大幅度提高,办公业务管理和信息管理系统已经普遍建立和使用,办公电脑化、网络化正在逐步推进。
二是办公网络建设步伐加快,许多单位已建成支持办公业务的内部局域网络,一些部门上下联网初具规模,纵向联网等到广泛发展。
三是初步形成了业务应用的数据库体系,积累了一定的电子信息资源。
注重应用系统和信息资源开发,开通网上综合业务,实现办公业务的规范化、电子化、网络化,全面提高工作质量和工作效率,改善指挥调度手段,增强快速反应能力,为各单位提供多媒体通信服务、综合信息服务和决策支持服务,促进管理现代化、决策科学化等方面的发展。
2项目背景
2.1项目背景与现状
根据用户实际网络情况进行描述
随着网络技术的发展和网络应用的快速普及,计算机病毒已经向网络病毒进化,仅采用网络版杀毒软件已经不能满足XXX网络防病毒安全保障的需求,需要大力加强病毒防范和综合治理的力度。
同时,病毒技术和黑客攻击技术也已经基本趋于融合。
因此,对病毒的防护必须从单机或普通网络病毒防护走向整体病毒疫情掌控、病毒趋势分析、病毒形式评估良性轨道来。
面对网络病毒的威胁,单独的杀毒软件的被动杀毒方式已经明显不能满足目前病毒防范的实际需求,因此,如何充分利用现有安全基础设施,采纳最新的防病毒、反黑客技术手段,建立全网防御、整体作战的综合防治体系对整体网络进行全面监控,是目前所面临的一项重要任务。
目前,XXX信息网上主要的风险是存在计算机病毒大面积侵害运行网络的可能,但,现在还没有对各种病毒进行全局监控和预警、防范的保障措施,没有全面的对病毒事件的大面积发作的处理预案,XXX信息网络的正常运行就会受到严重的威胁。
因此,必须从全局出发,以防为主、防杀结合,建立以省局为中心,防病毒厂商为技术支持单位的计算机病毒联合防范管理体系,依托集病毒监测等技术为一体的强大技术支撑系统,构筑成为整体网络的病毒预警防范体系。
对发生在XXX信息网络上的病毒事件做到早预防、早发现、早报警、早清杀,及时分发系统漏洞补丁并加以修补,最大程度地降低病毒事件对信息网造成的安全风险。
2.2建设目标与任务
以XXX信息中心为核心,在XXX信息中心建立起融组织管理和技术支撑为一体的全网病毒预警、防范体系,最大限度地消除计算机病毒在信息网上的生存环境,有效地清除信息网上的各种病毒,遏制信息网上病毒的大面积发作。
实现整体网络统一的病毒预警、防范管理,保障信息网安全运行。
XXX信息网病毒预警体系建设有以下任务:
在省局核心交换节点上部署网络病毒监测系统,实时检测和发现网络病毒,结合整个网络IP地址规划和计算机注册定位信息,形成覆盖全网的网络病毒宏观分析、研判与协调处置系统,建立整体信息网病毒预警和通报机制,并通过计算机病毒处理预案和应急响应、处置环境的建设,及时处理紧急病毒爆发事件。
2.3项目的主要功能
1、计算机病毒监测:
通过对被监控网络的传播数据进行实时监测,对相关协议进行分析,获取计算机病毒特征码,并获取其传播源ip和传播目的Ip,达到监测预警的效果。
2、分析预警:
在XXX信息网络安全报警处置中心建设网络安全预警分析系统后台,汇总网络安全探针的监测预警信息,对整个网络计算机病毒的传播的发作、传播动态进行分析,掌握网络安全动态,生成网络安全预警分析报告。
2.4总体目标
1、通过积极防御、综合防范,全面提高公安网络安全防护能力,重点防护专用网络;
2、创建安全健康的网络环境,重点防范本地重点;
3、通过信息化的手段建设XXX信息网络安全防范监测预警系统。
3安全方案的依据和原则
3.1xxx网络预警系统设计原则
为适应XXX网络发展的需要,系统按照XXX网络安全预警和综合管理的需求来设计。
探针和系统监控中心接口通讯格式和开发接口开放,便于不同厂商产品整合部署。
xxx网络安全预警系统,采用集中管理的分布式网络监测体系结构,支持多级部署。
系统包括系统监控中心、多种类型的监测探针组成。
监测探针负责从被检测网络上收集特定的安全信息、事件并根据配置上报到系统监控中心,监测探针主要收集网络里的计算机病毒情况。
系统监控中心负责接收、存储和分析监测探针检测到的安全事件。
XXX网络部署的xxx网络安全预警的设计必须坚持以下原则:
1、安全性
xxx网络安全预警对网络的顺利运行有非常重要的作用,其自身安全性是非常重要的。
因此要求xxx网络安全预警具有抗攻击能力,有很好的数据传输、存储安全性保障。
2、可靠性
xxx网络安全预警的实施不能影响业务的正常运行与可靠性,系统自身应能长期稳定、可靠的运行,不受其它应用软件和环境的影响。
3、高效性
xxx网络安全预警的实施必须最大限度保证网络中业务的运行效率,不影响网络和计算机终端资源的正常使用。
4、可扩展性
xxx网络安全预警的建设在最大限度考虑用户现有投资的基础上必须考虑到未来发展的需要,系统必须基于标准的网络协议,具有良好的可扩展性和良好的可升级性。
5、易用性
xxx网络安全预警的实施、安装应简单,配置、操作方便,便于升级与维护。
6、可管理性
xxx网络安全预警必须支持集中管理和分级分区授权管理。
3.2系统建设目标
为有效防范病毒的入侵、传播和对系统的破坏,需要引入一套先进的xxx网络安全预警系统,实现全方位、多层次的整体防护,xxx网络安全预警的建设目标如下:
对XXX网络中的病毒状况进行统一的病毒监测,及时汇总病毒信息,构建完备、协调、高效的预警体系。
实时数据流监测,有效数据的汇总和分析,形成对网络中的病毒情况的总体报告和趋势分析,为宏观决策提供依据。
在本期xxx网络安全预警建设中,在省局核心交换机上做端口镜像,部署xxx网络安全预警,对病毒实时数据流监测系统,在司法厅、省法院、武警部队及16个监狱系统分别在核心交换机上做端口镜像部署网络病毒实时数据流监测设备,监测本单位的实时病毒安全状况。
在省局部署一台总的管理中心管理所有单位的监测设备,形成统一管理
对网络中出现的病毒情况(新病毒出现,病毒大规模爆发等)进行统一的报警,并具有多种预警方式(声音提示、电子邮件等),并能够进行快速应急响应。
4XXX网络安全预警需求分析
4.1XXX网络安全风险分析
当前的XXX把众多的业务建立在日益复杂的解决方案计划之上。
而核心业务流程很可能分布在几个系统之中,这些系统均包含不同的应用程序与技术。
当它们以最优的性能支持业务时,这些解决方案在管理能力、可靠性、可用性以及性能方面也蕴含着潜在的风险。
安全管理的问题。
企业的安全管理制度是否得到了有效贯彻,安全运作流程是否能够有效实施,以前无法衡量。
安全管理平台可帮助企业利用技术与管理手段有效解决安全管理的问题:
海量数据的问题。
企业面临着来自异构系统、平台和应用的安全数据的冲击,它们都以不同方式产生信息,且以不同的格式呈现、存储在不同的地方,并且报告不同的内容,而这每天数以百万条信息淹没了安全基础设施;
信息孤岛的问题。
各种安全设备间缺少信息层互通能力,各自为营。
降低了系统整体的运作效率,增加了安全事件的发现时间和响应时间;
实时监控的问题。
对整个网络的安全威胁形势、安全漏洞情况、安全事件情况和综合安全风险情况无法提供准确、实时的分析数据;
业务安全的问题。
业务始终是一个企业发展的核心,如何保障业务的安全至关重要。
现有安全技术侧重保障某特定资源,但业务应用系统一般都由众多IT资源组合构成,如何从业务整个流程上进行安全保障尤为关键;
持续改进的问题。
安全管理需要不断对处理过的安全事件进行总结,不断更新安全知识库,不断改进安全运维流程,以及不断完善安全管理制度等,因而需要有效的管理手段来实现持续改进。
4.2XXX网络安全需求分析
4.2.1需要精准的实时安全威胁阻断
近期的安全事件,均可以穿透已部署的防火墙,严重影响关键的业务应用,主要是由于防火墙无法充分防范新的混合型威胁攻击;
同时在企业内部网络大面积部署防火墙也是不恰当的。
4.2.2需要带宽保护措施
大量的与业务无关的无用网络流量,例如peer-to-peer应用及文件共享等,日益成为联通网络新的威胁来源,它们会明显的消耗正常的网络带宽,破坏网络的可用性,间接影响正常的业务运作。
4.2.3需要更少的用户运维
正在试图运用前瞻性防护应对日益增长的各类威胁,xxx网络安全预警系统尽可能的节省人员的干预和维护成本,将有限的IT资源留给更重要的网络和系统管理任务。
4.2.4病毒的威胁
数据在网络的传播过程中,很难避免有害信息的侵入,目前对网络危害程度最大、波及面最广的是计算机病毒和网络攻击,病毒和网络攻击的入侵不但造成系统运行效率降低、网络堵塞,而且会造成信息、数据、文件损坏与丢失,还有可能造成信息泄露。
5xxx网络安全预警系统方案设计
综上所述,XXX把众多复杂的业务建立在分散的网络及应用系统之上。
缺少统一的管理,和一套优良的风险预警机制。
建立一套切实可行的风险预警机制已经迫在眉睫。
建议采用xxx公司研发生产的xxx网络安全预警作为解决方案。
5.1方案简述
本方案描述了采用xxx公司的xxx网络预警系统为XXX网络构建的整体的网络防病毒系统,该方案贯彻了如下三点整体防毒的基本设计思想:
⏹风险预警机制建立
预警性保护服务大大降低了您的总拥有成本(TotalCostofOwnership,TCO),并且将故障风险降到最低。
我们通过以下服务可以达到这些目的:
成熟的产品可以缩短您的项目周期,这样可以帮助您用最少的资源完成上线投产。
提供技术指导以帮助您将不必要的工作减到最少,并且避免其复杂化。
确保您的解决方案在运行中始终保持最优的性能、最大可用性和可维护性。
预防性保护服务节省了您的时间和金钱。
您将分享xxx网络预警系统的丰富经验,并且从一开始就避免了系统的复杂化。
对您的关键任务流程来说,预防性保护服务的价值显得尤为重要——因为如果这些流程出现问题,您将会遭受巨大的经济损失。
⏹集中监控管理
没有集中管理的防毒系统是无效的网络防毒系统。
在XXX网络的网络防病毒方案中,我们在XXX省局部署了xxx网络预警系统总控制中心来管理整个网络预警系统。
包括本级的病毒探针、下级网络的网络预警系统分中心。
⏹分级监控管理
根据XXX的实际情况,我们把XXX的xxx网络安全预警划分为两级:
第一级,即省局;
第二级,司法厅、省法院、武警部队及16个下级系统。
其各自在职能上既相对独立又相互统一,所以在部署防病毒体系时,我们既考虑统一集中管理,也考虑到分级监控管理,即建立多级防病毒管理体系。
在本方案中,针对XXX网络,我们考虑建立二级防病毒管理结构。
即在XXX的省局信息中心处建立一级网络预警中心(总中心),在各二级单位网络中建立二级预警管理中心(分中心),各级中心主要负责监控和管理本级网络防病毒情况,同时,上级中心可以监控管理下级中心病毒情况。
5.2实施范围
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXx
5.3系统配置
在XXX省局网络核心交换机上部署一套网络预警系统,包括xxx网络安全预警总中心及分中心中心和病毒探针。
5.4总体设计
5.4.1建立分级的xxx网络安全预警管理体系
由于XXX网络的环境,在此xxx网络安全预警的解决方案中,我们建议使用二级xxx网络安全预警管理体系来进行全网病毒集中的监控和管理。
二级系统中心的划分可以按地理、行政网段划分,也可以按计算机数量划分,或依照行政单位划分。
在本方案中,二级防病毒体系主要是按照行政单位来划分的。
首先,在XXX的省局网络信息中心建立一级xxx网络安全预警管理中心,同时在XXX网络核心交换机上部署部署病毒探针及分中心实时监测数据流中的病毒。
其次,在各二级单位部署二级xxx网络安全预警的分中心。
综上所设计,在整个内部网络中构建了一套二级结构的xxx网络安全预警管理防范体系。
每级系统中心可以独立运行,实现对属于本级的防病体系的毒监控,并将本中心内病毒爆发情况的统计信息上报给一级系统中心(总中心)的管理者。
5.4.2多级管理体系实现的功能
上级中心可以对下级进行管理,并接收由下级传送过来的数据。
下级定时收集本中心系统的病毒信息,在分析处理后上传到上级中心,以便上级及时得到下级的病毒信息,及时做出相应的处理。
这样既避免了由于过度的信息传输给网络资源造成的影响,也能够及时让管理员得到最新的病毒分布情况。
5.4.3汇集网络版杀毒软件病毒日志信息统一评估整体病毒趋势
通过对网络中统一部署的防病毒系统日志的统一收集、汇总和分析,形成对网络中的病毒情况的总体报告和趋势分析,为宏观决策提供依据。
报告具有多种标识功能(说明、图表、曲线等)。
报告能提供报告期内病毒事件的汇总和归类统计数据。
报告包括:
报告期内病毒分布图、病毒事件种类、发生时间、中毒文件传输目的地、被感染的机器和文件、病毒清除状态。
5.5详细部署设计
5.5.1XXX网络预警系统项目中心(总中心)
5.5.1.1监控管理体系位置
xxx网络安全预警管理中心部署位置
一级xxx网络安全预警中心部署在XXX省局,它位于xxx网络安全预警系统的最高层(第一层)。
xxx网络安全预警探及分中心针部署位置
病毒探针及分中心的部署要求为:
在各单位核心交换机部署,需要镜像端口,采用旁路部署
病毒探针的数量与部署位置为:
在各单位核心交换机分别部署具有千兆能力的病毒实时数据流监测设备一套,监视病毒传播状况;
5.5.1.2监控管理体系的作用
xxx网络安全预警管理中心实现的主要功能包括:
网络整体安全进行宏观的调控;
帮助网络安全状况制定统一的策略,最大限度地利用现有资源,发挥整体优势,保障网络安全;
xxx网络安全预警探针实现的主要功能包括:
具备对已知病毒的检测能力,能够检测通过常用网络协议(http、pop3、smtp等)传播的网络病毒;
能够通过网络病毒行为分析检测病毒;
具有对未知病毒的检测能力;
病毒实时数据流监测设备提供每天一次以上的病毒特征库升级;
具备多级和统一集中管理能力,xxx网络安全预警管理中心能够配置病毒实时数据流监测设备的策略,病毒实时数据流监测设备具有病毒事件的上报功能,实现病毒预警统一管理。
一级防病毒监控管理体系主要作用是对XXX网络整体进行病毒监控和管理,同时,可以对下级防病毒监控管理体系进行统一监控和管理,另外,一级防病毒管理体系也负责接收下级防病毒监控管理体系病毒信息,可以对全网病毒部分和爆发状况进行统一管理。
5.5.1.3监控管理体系的组成和功能
xxx网络安全预警系统主要由总中心、分中心、病毒探针协同工作,共同完成对整个网络的病毒预警及管理工作。
整个系统的功能如下:
1、系统采用B/S的管理架构,管理、维护方便,移动性强。
2、通过对网络中的病毒进行汇总和分析,形成对整个网络中的病毒情况的总体报告和趋势分析,为宏观决策提供依据。
报告需具有多种标识功能(说明、图表、曲线等)。
报告能提供报告期内全网的病毒事件的汇总和归类统计数据。
3、具备多级统一集中管理能力,xxx网络安全预警管理中心能够统一管理各下级设备;
4、对网络中出现的病毒情况(新病毒出现、病毒大规模爆发等)进行统一的病毒报警。
病毒预警重点应为网络型病毒,并具有多种预警方式(桌面消息、声音提示、电子邮件、短信等)。
5、系统具有可疑病毒文件或代码的提交功能;
6、系统具有对病毒源头的跟踪能力;
7、系统支持管理权限分配,上级管理员可下发管理权限,系统应该能够兼容其它安全、应用系统的授权认证管理,支持用户实现单点登录。
8、XXX网络预警系统项目部署的千兆病毒实时数据流监测设备具备以下能力:
能够通过网络数据流病毒行为分析检测;
病毒实时数据流监测设备提供至少每天1次的病毒特征库升级;
5.5.2各二级单位(分中心)
5.5.2.1监控管理体系位置
xxx网络安全预警分中心部署在XXXXXXXXXXXXXXX系统处,它位于整个xxx网络安全预警系统的二级(第二层)。
5.5.2.2监控管理体系的作用
xxx网络安全预警分中心部署在XXX网络二级单位,它位于整个xxx网络安全预警系统的二级(第二层)。
二级xxx网络安全预警管理体系主要作用是对本系统内的所有病毒进行监测,同时,二级防病毒监控管理体系也接受一级防病毒监控管理体系的监控管理。
5.5.2.3监控管理体系的组成和功能
二级xxx网络安全预警主要由集中病毒管理分中心构成,共同完成对整个网络的病毒预警及管理工作。
系统采用B/S的管理架构,管理、维护方便,移动性强。
通过对本级网络范围内的病毒收集、汇总和分析,形成对网中的病毒情况的总体报告和趋势分析,为宏观决策提供依据。
报告能提供报告期内本网络病毒的汇总和归类统计数据。
、
5.6部署后达到的效果
5.6.1病毒的发现
可以对网络中的病毒状况进行集中统一的病毒监测,构建完备、协调、高效的预警体系。
在病毒发作、网络攻击的初期进行提前预警,进行科学的评估,采取各种有效的手段,努力把风险发生的可能性降到最小,在现代病毒安全事件中,检测是现代网络安全模型中重要的一部分,xxx网络预警系统可实时检测网络内的病毒攻击;
同时网络蠕虫病毒发作时,也会向网络发送大量的病毒包,造成整体网络堵塞和瘫痪,xxx网络预警系统可以在蠕虫爆发的初期进行报警,采用有效的手段,可以避免对网络造成的危害。
病毒监控如下图:
图2预警系统管理中心病毒监控截图
5.6.2查找病毒源,定位风险,为有效处理病毒提供依据
xxx网络预警系统整理大量的互联网真实IP地址所在地相关信息,同时也支持用户自行导入和添加IP地址库。
在分析网络安全事件时,可以单击相关IP确定该IP地址的物理位置,查找病毒源,定位风险,为有效处理病毒提供依据,准确的定位,如下图:
图3预警系统管理中心病毒定位截图
5.6.3发现未知病毒,解决新病毒爆发带的风险
xxx网络预警系统拥有网络行为判断技术,能够有效的检测未知病毒,解决新病毒爆发带的风险,对网络中出现的病毒情况(新病毒出现,病毒大规模爆发等)进行统一的报警,并具有多种预警方式(声音提示、电子邮件等),并能够进行快速应急响应。
图4xxx行为判断技术示意图
5.6.4独有的智能分析技术,发现异常网络安全问题
对http协议、pop3协议、Smtp协议完整的协议解析,对正常网络建模,提供异常网络流对比分析,结合管理中心所生成的动态策略杜绝网络中黑客攻击的一切来源,同时还能够追踪攻击的源头,以便网络警察取证。
图5异常流量分析截图
5.6.5安全事件的关联分析
针对病毒探针和防攻击探针所报告的大量网络安全事件,在无法人为的对其进行分析和整理时,就需要管理系统能够将各类网络安全事件归纳总结在一起,然后存入数据库,方便进行管理查询。
网络安全预警系统的管理中心所具有的大容量存储空间完全能够长时间存储网络安全事件。
将各种安全事件集中到管理中心后,对于某些网络安全事件来说,一台或者两台探针无法探测或者发现针
升级会员 