宝德集团网络安全整体解决方案Word文件下载.docx
《宝德集团网络安全整体解决方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《宝德集团网络安全整体解决方案Word文件下载.docx(17页珍藏版)》请在冰豆网上搜索。
而这些风险与网络系统结构和系统的应用等因素密切相关。
总结可能存在以下风险:
●链路传输风险
●网络结构的安全风险(包括:
来自与公网互联的安全危胁和来自内部网络的安全危胁)
●操作系统的安全风险
●应用的安全风险(包括:
资源共享、电子邮件系统、病毒侵害、数据信息等)
●管理的安全风险
二、宝德集团安全目标分析
通过对网络结构、网络安全风险分析,再加上黑客、病毒等安全威胁日益严重,网络安全问题的解决势在必行。
针对不同安全风险必须采用相应的安全措施来解决,使网络安全达到一定的安全目标。
安全需求包括:
●加密传输需求
●访问控制需求
✧防范非法用户非法访问
✧访问控制需求
✧防范假冒合法用户非法访问
●防病毒系统需求
●安全管理体制
基于以上的需求分析,我们认为宝德集团网络安全解决方案可以实现以下安全目标:
●保护网络系统的可用性
●保护网络系统服务的连续性
●防范网络资源的非法访问及非授权访问
●防范入侵者的恶意攻击与破坏
●保护信息通过网上传输过程中的机密性、完整性
●防范病毒的侵害
●计算机终端安全的管理
●实现网络的安全管理
通过对宝德集团用户网络安全系统的实际情况分析,从务实的角度出发,我们为用户量身订做了这套网络安全解决方案,主要解决企业网络的链路传输、访问控制、内网终端安全管理及病毒管理等问题。
三、方案设计
3.1网络拓扑图
3.2网络拓扑说明
福建宝德集团有限公司目前拥有erp、进销存、门户网站等在用生产系统,本期的建设将新增内网终端安全系统、在线防病毒服务器等。
下面对整个网络拓扑情况进行详细说明。
1、在网络结构中采用三层交换机,对于不同的部门划分不同vlan,同时每个部门使用普通二层交换机用于接入;
2、系统采用带有vpn功能的企业级防火墙,通过设置严格的防火墙策略来实现对内网与互联网的安全策略管理;
3、系统采用内网终端安全管理系统,每个办公电脑均需要安装安全客户端,通过终端安全管理系统可以实现上网行为管理、补丁自动分发、固定资产统计、移动存储管理、报警和日志管理等;
4、系统采用在线防病毒系统,每个办公电脑均需要安装规定的防毒软件,软件可以在内网内实现实时自动更新;
5、浮桥和清蒙两大分厂采用vpn客户端安全接入宝德集团内部生产系统;
6、各大代理商采用vpn客户端安全接入宝德集团内部生产系统;
3.3防火墙和VPN技术分析
防火墙是保护网络内部安全的第一道防护,使用防火墙有如下益处:
Ø
保护脆弱的服务
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
防火墙可以提供对系统的访问控制。
如允许从外部访问某些主机,同时禁止访问另外的主机。
例如,防火墙允许外部访问特定的MailServer和WebServer。
集中的安全管理
防火墙对网络实现集中的安全管理,在防火墙定义的安全规则可以运行于百宏集团整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
此外防火墙可以根据百宏集团的需求定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。
外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。
记录和统计网络
利用数据以及非法使用数据防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,并且,防火墙可以提供统计数据,来判断可能的攻击和探测。
策略执行
防火墙提供了制定和执行网络安全策略的手段。
未设置防火墙时,网络安全取决于每台主机的用户。
VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。
它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
其处理过程大体是这样:
1)要保护的主机发送明文信息到连接公共网络的VPN设备;
2)VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。
3)对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
4)VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
5)VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
6)当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
在VPN的传输协议上,一般的产品都支持PPTP、L2TP协议,在这些协议的传输中能够保证数据的安全、可靠,但是它不能保证数据的机密性(在网络中传输的数据是明文的)。
所以对一些敏感的数据来说,也是不安全的。
这样,为了保证数据的机密性,在网络安全产品中选择中选择支持IPSec技术的产品。
由于IPsec即将成为Internet标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。
移动用户如出差在外需要访问公司内部的数据或传送重要文件,remoteVPN保证了在公网上访问内部数据的可能,保证数据的安全性和完整性,因此利用VPN技术进行数据加密可以满足日益变化的商务模式需求,实现企业网络无处不在的访问。
如下图所示:
3.3内网安全管理技术分析
网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补丁以及文件的下发,流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作,并对客户端进行各种行为和状态的监控。
网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报,可通过管理节点对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。
在服务器管理节点,可根据实际网络拓扑情况,安装多块网卡,满足对同级不同网段的管理。
终端部署方式
网络管理中面临的重要服装设计图纸泄密等问题
宝德集团已经建立了比较完善的网络管理行政制度,但是以往在网络管理工作因为缺少相对应的技术手段,网络管理制度无法得以落实,致使管理员的日常维护工作繁琐,同时还有信息泄密的风险。
一个成熟的网络安全管理理念应该全方面的主动防御,而不是事后责任追查。
网管人员在多年的管理中总结出部分有待解决的需求。
非法接入问题
在公司内部可能会出现外来笔记本接入的问题,可能会造成公司内部的涉密文件被窃取,引入病毒等严重后果。
需要禁止非法PC机接入内网及和内部主机相互连接,防止重要资料的泄漏,防止内网用户通过拨号等外联方式连接互联网。
需要对外来终端设备进行详细的安全认证及身份认证。
终端安全管理问题
计算机病毒是目前对网络及计算机安全最大的威胁,目前宝德集团内部虽然已经配置安装了杀毒软件,能够对病毒进行一定效果的防范,但是仍存在终端升级不及时,版本不统一,管理不规则等问题。
公司的终端的密码经常被改动,其安全性(包括密码长度、弱口令等方面)得不到有效的保障,而且终端的注册表也经常被改动,不能够对其进行及时有效的发现与控制,这些都对内网的安全造成了威胁。
许多终端的IE的安全性令人担忧,而且有些终端已经安装了不安全的插件和恶意软件,这是一个急需解决的问题。
内部网络经常会出现流量过大的问题,造成网络的不畅甚至拥塞,急需对网络流量进行监控。
而且公司员工上网行为往往不规范对终端的上网访问行为进行审计,对其违规操作进行阻断。
办公环境的计算机不允许安装及使用与办公无关的软件,当发现有非法使用违规软件是应该立即禁止。
需要对软件的安装过程及软件执行所启动的进程进行控制。
对于其他不安全的进程以及服务也需要加以监控。
IP地址管理问题
以往对网络内IP地址分配和管理都需要人工来进行操作,并且在IP、MAC绑定上需要网管型交换机来完成,前期网络管理员的工作量太大,在有新的设备入网时网络管理员需要再次对交换机进行操作,如果操作不当可能造成一个资源子网不能正常工作,影响业务系统正常高效工作;
当没有进行IP、MAC绑定时会出现私自盗用他人IP地址的行为,造成合法的IP使用人不能正常入网工作,IP盗用成功后,如果有违规的网络行为时也不便于进行事件责任定位。
移动存储设备管理及安全审计管理问题
外来移动存储设备随意接入网络内终端同样可能会造成公司内部的涉密文件被窃取,引入病毒等严重后果,对于具有防火墙、网关等硬件防范的网络,移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。
如何防止外来移动存储介质随意接入网内终端,如何保护终端的涉密信息,对涉密信息的访问、修改、复制、删除进行控制和审计,如何能够对涉密文件的打印、发邮件、网络共享进行控制,发现敏感字能及时过滤,并对以上所有行为进行审计记录是急需解决的问题。
非法外联问题
对于宝德集团来说,保密工作是一项非常重要的工作。
内部人员非法连接外网会增大病毒渗入和黑客攻击的风险,更为严重的会导致内部资料的泄露,给公司造成无法逆转的严重损失。
为了防范这些隐患,必须防止内部人员未经允许非法连接外网。
终端补丁管理和软件分发问题
对于公司的内部网络,每台终端的操作系统及相关软件的补丁更新是用户及网管员最为烦琐的问题。
没有妥善的管理体系,轻则会因为流量问题,导致网速较慢或断开网络,重则由于兼容问题造成机器蓝屏、死机等,影响公司的正常工作活动。
这就需要有相关系统能够完成客户端操作系统补丁检测、补丁下发、补丁安装、补丁安装信息回馈等功能,而且能够分发任何形式的软件,软件下发后能够获取软件下发整体情况,用以及时调整软件下发策略。
资产管理问题
对网络的管理而言,软硬件资产的管理将是非常重要的一个组成部分。
如果不能全面的掌握终端计算机的软硬件资产,那么对于终端上非法安装的软件以及终端硬件的变化就无从知晓,这就可能造成公司硬件资产的流失,对网络的全面管理更无从谈起。
缺乏统一的远程帮助平台问题
宝德集团的终端用户对计算机的熟悉程度参差不齐,对于一些对计算机认识不够用户来说,一个小小的软件使用问题都有可能要求助于网络管理员,一旦出现程序无法正常运行时往往束手无策。
部门的分布比较广泛,管理员往来奔波,致使处理问题的效率不高。
如果计算机用户能在远程发出求助请求,管理员在远程进行程序安装、调试程序,势必会节省时间,提高管理员的工作效率,统一的远程呼叫帮助平台就成为必要。
四、产品选型
4.1防火墙
方案一、天融信NGFWARES(TG-1504-VPN4K)
网络卫士NGFWARES系列防火墙产品,是天融信公司为行业分支机构、中小型企业、教育行业非骨干节点院校、单位内部的部门级等中小用户开发的高性价比的安全平台。
网络卫士NGFWARES系列防火墙产品既提供1U可上机架的产品,也提供小巧的桌面型产品。
具有灵活的配置向导和一键恢复功能。
将防火墙、VPN、身份认证、IDS等安全特性充分融合优化,并提供交换、路由、组播、NAT、DHCP等多种特性。
成为集路由、交换、语音支持的多功能的安全网关。
支持LAN、ADSL、CABLE、电力、小区宽带等多种接入方式,并支持链路备份、多路径均衡。
提供串口、WEB、SSH和Telnet等多种管理方式,配置简单。
支持IPSECVPN、PPTP、L2TP等多种VPN接入,支持VPN集中管理。
性能参数指标:
基本规格
设备类型
企业级防火墙
硬件参数
4个10/100BASE-T接口
并发连接数
400000
VPN支持
支持
网络
网络吞吐量
200Mbps
安全性
用户数限制
无用户数限制
入侵检测
主要功能
防火墙、VPN,身份认证、IDS,路由、交换、语音支持
安全标准
FCC,CE
其他
控制端口
RS-232
管理
串口、WEB、SSH和Telnet等多种管理方式
电气规格
电源电压
100-240V/50-60HZ
外观参数
高度
44mm
方案二、JuniperNetScreen-SSG550M
Juniper网络公司500系列安全业务网关(SSG)代表了新一代的专用安全网关,为分支机构和分支办事处的网络部署提供了集高性能、高安全性和广泛的局域网/广域网接入手段于一体的完美组合。
凭借状态防火墙、IPS、防病毒特性(包括防间谍软件、防广告软件、防网页仿冒)、防垃圾邮件以及Web过滤等一套完整的统一威胁管理(UTM)安全特性,SSG500系列可作为单独的安全网关实施,用于阻断蠕虫间谍软件、特洛伊木马、恶意软件和其他新兴攻击。
强劲的路由引擎使强大的UTM安全特性更加完备,从而使SSG500系列既可以部署为传统的分支办事处路由器,也可以部署为防火墙和路由设备组合,以降低前期购置成本和运营成本。
500系列安全业务网关为客户提供以下优势和特性:
面向安全特性的专用处理硬件和软件平台,为保护高速局域网和低速广域网连接提供所需性能UTM安全特性。
4x10/100/1000,6个物理接口模块(PIM)扩展插槽,4个增强的PIM扩展插槽
128000
1000
Dos、DDoS
地址转换,防火墙,统一威胁管理/内容安全,VoIP安全性,vpn,防火墙和VPN用户验证,路由,封装,流量管理(QoS),系统管理,日志记录和监视
UL,CUL,CSA,CB
系统管理,本地管理员数据库,外部的管理员数据库,有限的管理网络,根管理员
AC:
100至240VAC,DC:
-48至-60
88.9mm
4.2三层交换机
方案一、CISCOWS-C3560-24TS-S
CiscoCatalyst3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE802.3af和思科预标准以太网电源(PoE)的交换机,提供了可用性、安全性和服务质量(QoS)功能,改进了网络运营。
Catalyst3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机,这些环境将其LAN基础设施用于部署全新产品和应用,如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。
客户可以部署网络范围的智能服务,如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由,并保持传统LAN交换的简便性。
内嵌在CiscoCatalyst3560系列交换机中的思科集群管理套件(CMS)让用户可以利用任何一个标准的Web浏览器,同时配置多个Catalyst桌面交换机并对其排障。
CiscoCMS软件提供了配置向导,它可以大幅度简化融合网络和智能化网络服务。
应用类型
企业级交换机
应用层级
三层
内存
128MBDRAM和32MB闪存
交换方式
存储-转发
背板带宽
32
包转发率
6.5Mpps
VLAN支持
MAC地址表
12k
网络标准
IEEE802.3,802.3u,802.3z
传输速率
10/100/1000
端口
端口类型
10/100BASE-T/TX,1000BASE-SX/T
端口结构
固定端口
固定端口数
24
模块化插槽数
2
是否全双工
全双工
网管功能
SNMP,CLI,Web,管理软件
44
方案二、3ComBaseline2250Plus(3C16476CS)
3ComSuperStack3Baseline10/100交换机(带有千兆上行链路)对于需要快速以太网(100Mbps)桌面连接及超高速千兆服务器或高速网络主干连接的办公环境,我们建议采用带有千兆上行链路的3ComSuperStack3Baseline10/100交换机。
该系列交换机包括两种型号。
其中一个型号提供48个10/100端口和2个10/100/1000上行链路端口。
另一个型号提供24个10/100端口和2个10/100/1000上行链路端口。
这两种型号的交换机均能在所有端口上提供完全无阻塞性能、自动协商功能、IEEE802.1p优先队列排序和自动MDI/MDIX配置。
工作组交换机
13.6
10.1Mpps
8K
10/100Base-TX,SFP
50
WEB,SNMP
4.3内网终端安全管理系统
方案一、北信源终端安全管理系统
北信源终端安全管理系统特点:
软件架构
一个或多个网段各拥有一套管理系统的同时,将本级所有设备信息再转发给上级管理数据库。
软件分发
通过在主网页上加载弹出页面的方式进行提示性注册,以此来实现大规模分发客户端.
企业网络安全管理
✓流量超过阀值告警,并发进程超过阀值报警
✓终端流量的排序报表(而不是路由器和交换机上的接口流量)
✓非法终端内联监控:
分布式ARP地址干扰技术,当用户没有安装客户端时,自动阻断与内网的连接
✓非法外联监控
当用户外联,客户端弹出对话框对用户进行告警,如果用户在设置的时间内不断开网络,系统便会自动重启
企业文件信息安全管理
✓USB移动存储设备接入审计
设置限制用户使用“光驱、软驱、USB接口、打印机、网卡、调制解调器、串行口、并行口”;
记录用户在本地拷贝了什么文件(文件名)
终端安全管理
✓系统内置主机防火墙,并可对其策略统一制定和管理。
✓上报系统用户(组)权限发生改变、数量增加的信息
✓客户端弱口令检查
终端维护管理
✓系统性能监控
监控终端CPU,内存等的资源占用情况,并根据阀值进行报警
✓软件、进程黑白名单控制
通过设置列表,来允许或者禁止终端安装软件、运行进程
✓软件分发
对全网进行软件分发安装
✓消息管理
✓桌面控制
补丁分发
✓提供补丁测试模块对新发布的补丁进行前期测试
✓按照安全等级对补丁进行分类
✓本区域客户端的补丁下载、安装情况
✓使用补丁分级下载、动态转发代理来减少网络流量
终端资产管理
✓显示硬件信息
✓显示安装软件信息
报表统计
对报警信息、报警处置信息、网络终端信息、级联统计信息、日志信息等分类进行查询,提供多种报表
4.4在线防病毒系统
方案一、瑞星杀毒软件网络版企业专用版
瑞星杀毒软件网络版2008——企业专用版拥有强大的管理和监控能力,是与瑞星杀毒软件网络版2008——企业版同级产品,可组建树状结构的多级系统中心,上级系统中心可直接控管相邻的下级系统中心及其下的客户端,每个系统中心可管理的客户端数量无具体限制。
通过该系统,可实现企业反病毒的统一管理和分布管理;
统一管理表现为由上级中心统一发送病毒命令、下达版本升级提示,并及时掌握整个网络的病毒分布情况等,分布管理表现为下级中心既可以对收到的上一级中心命令做出响应,也可以管理本级系统,并主动向上级中心发送请求和汇报信息。
此外,瑞星杀毒软件网络版2008——企业专用版是针对各个特殊行业网络结构的特点及对防范病毒、网络攻击的不同需求,量身定制的特定版本,支持根据不同行业用户的特殊需求,支持多项功能
升级会员 