安全加固方案和实施计划.docx
《安全加固方案和实施计划.docx》由会员分享,可在线阅读,更多相关《安全加固方案和实施计划.docx(8页珍藏版)》请在冰豆网上搜索。
安全加固方案和实施计划
安全加固方案和实施计划
篇一:
县级供电公司网络设备安全加固实施方案
县级供电公司网络设备安全加固实施方案
摘要以网络设备安全加固在江苏县级电网的实施方案为例,分别介绍了网络设备安全防护、加固形式与加固对象、网络设备加固内容、网络设备加固实施等4个重要方面,从技术层面阐述了网络设备加固在电力系统的重要性和必要性。
关键词网络设备;加固;电力
中图分类号tm7文献标识码a文章编号1674-6708(20XX)33-0226-02
0引言
随着电力行业信息化的不断发展,网络在日常工作中变得不可缺少,但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。
为了更好的将网络为工作所用,就必须很好解决网络带来的安全问题。
本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作,就国家电网公司对电力网络设备进行安全加固的规范要求为例,重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。
1网络设备安全防护
网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护,对于为各域均提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
篇二:
安全加固项目方案
XX单位XX网安全加固方案XX单位XX网安全建设项目安全加固方案XX有限公司二零一五年一月
XX单位XX网安全加固方案文档控制XX单位安全加固方案技术方案提交方提交日期XX有限公司20XX-1-1版本信息日期20XX/1/1版本1.1撰写者审核者描述
XX单位XX网安全加固方案目录1.1网络现状.................................................................................................51.2安全建设需求.........................................................................................61.3安全建设建议.........................................................................................71.3.1总体安全建设拓扑图..................................................................71.3.2云计算平台..................................................................................71.3.3网络准入控制和终端管理..........................................................81.3.4建立全网域控............................................................................121.3.5TmG(ThreatmangementGateway,统一的威胁管理网关)..............................................................................................................131.3.5.1高级的防火墙保护.........................................................141.3.5.2虚拟专用网(VPn)........................................................161.3.6流量监控....................................................................................171.3.7网络防病毒................................................................................181.3.8终端虚拟化................................................................................191.3.9机顶盒区域................................................................................201.3.10Exchange升级到20XX............................................................201.3.10.1升级前提条件...............................................................211.3.10.2准备ad(:
安全加固方案和实施计划)........................................................................211.3.10.3准备域和准备所有域...................................................221.3.10.4安装Exchange20XX软件要求....................................221.3.10.5安装Exchange20XXwindows组件要求....................22
XX单位XX网安全加固方案1.3.10.6完成部署.......................................................................231.3.10.7删除Exchange2000/20XX............................................241.3.11域控搬迁..................................................................................24
XX单位XX网安全加固方案1.1网络现状电信(服务器托管)电视台(上视)10兆电信广电光纤光纤cisco3750光纤H3cacH3caPcisco4500H3c二层交换机H3
caPXX单位目前有两套业务,一套为全国的业务网,一套为oa网,两套网运行在同一套网络硬件平台上。
根据业务不同有三个网络出口,分别为广电出口接入到电信机房的业务服务器,上视出口与电视台合作业务,internet出口实现外网访问。
现有内部人员为500人,今后会扩充至1000人。
网络硬件平台方面采用cisco45系列交换机作为网络核心,开启路由功能实现所有终端用户的路由访问,同时在核心上配置了acL访问控制列表,对用户访问范围进行了控制。
接入层交换机采用h3c二层交换机,并配置了VLan信息,根据部门和人员物理位置划分,实现不同用户间的隔离。
无线采用了h3c的瘦aP解决方案,通过h3cac配置无线aP的设置实现无线系统的统一管理,无线终端接入采用PSK加密方式,防止非授权用户的接入。
安全方面,在互联网出口部署了一台硬件防护墙,实现互联网出口的访问控制和端口控制。
内部用户安全仅仅依靠VLan相互之间划分,通过核心上的acL列表实现访问控制。
XX单位XX网安全加固方案1.2安全建设需求1、实现用户的统一管理,能够为每个用户指定权限,控制其访问范围和内容。
2、能够指定统一用户组策略,实现按照用户类别进行管理,能够为用户颁发有限的证书。
3、能够实现全网的iP的统一管理和分配,实现全网iP自动分配,同时mac地址和iP实现一一对应。
4、能够区分内部合法用户和外来访客用户,能够区分内部合规用户(满足内部接入规定)和内部非合规用户,并且网络能够自动将不同用户划分到不同的VLan,实现不同的访问权限。
5、能够实现用户终端的管理,实现安全策略管理、防止文件非法外传控制、补丁分发管理、软件分发管理、远程协助与维护等功能。
6、实现边界安全综合管理,边界访问控制,边界病毒控制,网络代理,应用层防火墙和VPn等功能。
7、实现网络出口流量的有效管理,保证管理外网核心业务的带宽,控制非核心数据流量带宽。
8、9、内部实现整体网络防病毒体系,实现统一病毒升级和补丁分发。
对于部分核心业务终端,实现终端的虚拟化,实现核心业务数据统一管理和存储,终端不保留任何数据。
XX单位XX网安全加固方案1.3安全建设建议1.3.1总体安全建设拓扑图电信(服务器托管)电视台(上视)10兆电信光纤广电cisco3750流量监控域控1磁盘阵列ScSiThreatmangementGatewayiPSecVPn原有防火墙域控2Hyper-V云计算平台Uniaccess(备)服务器光纤cisco4500H3cacH3caPdHcPUniaccess(主)服务器H3c二层交换机dHcPdHcPdHcPdHcPH3c
aP1.3.2云计算平台本次根据实际需要的服务器数量:
域控2台,证书服务器2台,准入控制5台,dHcP服务器3台共计12台服务器。
需要配置六台刀片服务器和一个刀片机箱,为了充分发挥服务器的系统资源和实现高可用选用虚拟化实现。
配置windowsHyper-V将刀片服务器虚拟为12台服务器,将域控服务器、证书服务器、准入控制服务器端、Radius服务器两两分别配置为虚拟集群,每台虚拟服务器分配1颗cPU和8GB内存一块硬盘。
通过虚拟化集群服务器平台能够实现7*24*356的运行保障。
通过虚拟化集群将域控制服务器和证书服务器分别部署在不同物理机上的虚拟集群中,实现物理硬件和系统服务的双重冗余保护。
虚拟机服务器后挂载磁盘阵列,为集群提供统一的数据储存平台,同时还能够实现虚拟机之间的快速切换。
XX单位XX网安全加固方案1.3.3网络准入控制和终端管理本次部署两台网络准入控制和桌面安全管理服务器端,同时部署两台Radius服务网络准入控制认证代理服务器,通过Radius服务器与域控服务器的证书进行比对,配置一台网络准入控制访客VLan管理器,实现对来访用户进行管理的功能。
首先,通过网络准入控制技术,确保接入网络的电脑终端符合如下要求:
1)必须安装agent,如果是未安装agent的电脑终端接入网络,其打开wEB浏览器访问任何website时,将被重定向到管理员指定的一个页面,提醒其安装agent。
不安装agent的电脑将无法访问内部网络(特殊电脑和访客电脑可以例外)。
2)必须符合网络接入安全管理规定,例如:
拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。
如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离,并且指引其进行安全修复。
然后,对安装了agent的电脑终端,进行进一步的管理控制,包括:
1)安全设置检查、加固,非法操作的管理、限制2)防止文件非法外传(U盘/软盘/共享/E-mail/QQ/mSn等)3)电脑终端的集中式管理,例如,资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计。
再次,要防止电脑终端私自、非法卸载agent或者停止agent的运行,确保管理策略的执行。
1)agent自带反卸载、反非法中止、非法删除功能;2)如果电脑终端私自卸载agent(如重新安装操作系统)或者中止agent的运行,UniaccessTm后台系统可以及时发现这种行为。
企业可以依据有关安全管理规范对其进行警告或者处罚,防范这种行为的再次发生。
XX单位XX网安全加固方案网络准入控制技术在网络准入控制解决方案中,
管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源:
访客区、修复区和正常工作区。
划分方式可以是VLan或者基于iP的访问控制列表。
访客区工作区修复区+准入控制认证服务器身份+安全状态+硬件id一般来说,访客区的网络资源是可以被任何用户的终端访问的,如internet资源。
一般外来用户的终端设备被限制只能访问访客区的网络资源。
修复区网络资源是用来修复安全漏洞的,如补丁服务器、防病毒服务器、软件安装包服务器等,不符合组织安全策略要求的终端被限制在修复区中,强制它们进行安全修复。
当终端设备被接入网络时,会被要求进行身份认证和安全策略检查。
如果是来自外部的Pc机试图接入网络,UniaccessTm将采取如下措施:
1)拒绝外部终端设备接入网络,或者2)将外部终端设备设置到访客区中。
如果是来自内部合法终端设备接入网络,UniaccessTm将采取如下控制措施:
1)检查用户输入的用户名和口令是否合法;检查客户端是否满足安全策略要求。
XX单位XX网安全加固方案2)只有合法身份的用户以及满足组织安全规范的终端设备才能接入到网络中,否则系统会将此终端设备自动切换到修复区中,终端设备在此修复区中访问修复安全漏洞必须的网络资源;3)合法身份的用户以及满足组织安全规范的终端设备接入到网络时,系统会根据用户身份自动将终端设备切换到属于该用户的工作区中,从而实现不同权限的人可以访问不同的网络资源。
将用户和终端设备进行绑定,即某个用户只能通过某台终端设备接入到网络中,这样可以禁止内部员工私自将家里电脑接入到网络中。
采用以iEEE802.1x认证和ciscoEoU认证为核心的网络准入控制架构,如下图所示。
修复服务器iEEE802.1x设备ad服务器cisconac-L2-iP设备cisconac-L3-iP设备LeagView服务器aRP干扰器Email服务器终端其它认证服务器图1UniaccessTm网络准入控制架构网络准入控制架构提供了三种方法解决不同网络环境的网络准入控制:
1)iEEE802.1x网络准入控制的802.1x实现同时支持多厂商网络设备,如cisco和华为3com。
支持iEEE802.1x的SingleHost、multi-host、multi-auth模式。
特别是mutli-auth
XX单位XX网安全加固方案模式,在有Hub的网络环境中也可以实现准入控制。
2)cisconac-iP-2和cisconac-iP-3作为802.1x的补充,当网络中有支持cisconac-iP-2和cisconac-iP-3的网络设备存在时,连接在这部分网络设备下的终端可以通过cicsonac机制来实现准入控制。
3)aRP干扰与iEEE802.1x相结合,为未安装代理的终端设备提供URL
重定向功能。
这样可以提示这些终端设备为什么被限制访问网络资源。
aRP干扰器只需要部署在访客区VLan中。
下图是网络准入控制技术中,基于802.1x认证和基于ciscoEoU认证的两种准入控制对比图。
两种准入控制技术都可以控制对不安全终端或者外来终端对网络资源的访问。
基于802.1x认证的准入控制通过VLan动态切换,将不安全的终端切换到修复区,将外来终端切换到访客区,从而实现对这些终端的访问控制;基于ciscoEoU证准入控制通过动态acL(访问控制列表),直接限制外来终端或者不安全的终端对网络资源的访问。
基于802.1x认证的准入控制基于ciscoEoU认证的准入控制访客可访问资源访客区VLan工作区修复区VLan安全区资源修复区资源+802.1XEaPoverLanVLan动态切换RadiusEaPoverUdP+RadiusacL访问控制身份+安全状态+硬件id身份+安全状态+硬件id
XX单位XX网安全加固方案网络准入控制架构的突出特点是以网络设备为控制设备点,但又不局限于一家网络设备厂商,能够适应各种网络环境要求。
1.3.4建立全网域控建立全网域控分为四部分:
建立域控服务器,建立证书服务器,建立dHcP服务器,创建用户账户并将所有终端加入。
由于今后用户管理和策略的推行均采用与形式需要将域控制器配置为双机模式,实现域控的可靠性。
域空中的权限和用户的证书进行了关联,因此证书服务器能够实时不间断运行极为重要。
鉴于域控和证书服务的重要性,采用windowsServer2008R2Hyper-V虚拟化实现高可用方案。
在主域控上配置dHcP服务,在分域控服务器,将分域控服务器加入到主域控服务器,并将分域控dHcP服务指向主域控,实现dHcP同步,由分域控直接分配iP,通过数据同步避免了不同dHcP分配冲突的情况。
通过建立与控制服务器能够将所有用户统一管理和授权,同时策略统一发放,权限集中管理。
域用户之间,域用户和域内服务器之间通信开启iPSec加密通讯,这样做防止未加入域的终端访问到服务器业务资源。
activedirectory域服务(addS,activedirectorydomainServices)存储目录数据,管理用户和域之间的通信,包括用户登录过程、身份验证,以及目录搜索。
此外还集成其它角色,为我们带来了标识和访问控制特性和技术,这些特性提供了一种集中管理身份信息的方式,以及只允许合法用户访问设备、程序和数据的技术。
activedirectory域服务addS是配置信息、身份验证请求和森林中所有对象信息的集中存储位置。
利用activedirectory,我们可以在一个安全集中的位置中,高效地管理用户、计算机、组
篇三:
县级供电公司网络设备安全加固实施方案
县级供电公司网络设备安全加固实施方案
摘要以网络设备安全加固在江苏县级电网的实施方案为例,分别介绍了网络设备安全防护、加固形式与加固对象、网络设备加固内容、网络设备加固实施等4个重要方面,从技术层面阐述了网络设备加固在电力系统的重要性和必要性。
关键词网络设备;加固;电力
0引言
随着电力行业信息化的不断发展,网络在日常工作中变得不可缺少,但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。
为了更好的将网络为工作所用,就必须很好解决网络带来的安全问题。
本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作,就国家电网公司对电力网络设备进行安全加固的规范要求为例,重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。
1网络设备安全防护
网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护,对于为各域均提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
2加固形式与加固对象
2.1加固形式
加固形式主要分为自加固与专业安全加固:
自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量,对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作;专业安全加固是指在信息安全风险评估或安全检查后,由信息管理部门或系统业务主管部门组织发起,开展的电力系统安全加固工作[1]。
2.2加固对象
加固对象主要包括:
网络系统、主机操作系统、通用应用系统、现有安全防护措施、电力业务应用系统。
3网络设备加固内容
3.1帐号权限加固