网络安全方案样板.docx
《网络安全方案样板.docx》由会员分享,可在线阅读,更多相关《网络安全方案样板.docx(14页珍藏版)》请在冰豆网上搜索。
网络安全方案样板
******网络安全解决方案
启明星辰信息技术有限公司
2003年7月
1概述
计算机和网络技术的飞速发展与普及,各项业务与办公系统越来越依赖计算机系统的安全性。
******作为国家通信领域的重要机构,维护其网络系统的安全问题关系十分重大。
病毒破坏和黑客攻击是威胁计算机系统安全的两大方面,不仅病毒和黑客技术的发展提高日新月异,更令人担忧的是来自网络内部的攻击日益成为网络安全防护领域的重要防护对象。
据美国相关统计数字,70%的攻击来自网络内部。
******内部网络作为全公司办公沟通、文件传送、数据传输的重要渠道,在安全问题十分严峻的形势下,必须及时做好内部网络安全策略的配置和网络安全的全方位防护。
在充分了解破坏和攻击技术的同时,构建一个可行的防御系统。
为确保******整个内部办公及数据传输网络的安全性,作为专业的网络安全公司,启明星辰根据******内部网网络安全系统的现状和需求,结合技术和管理,提出了全方位、多层次的网络安全解决方案。
2******内部网络安全需求分析
******内部网络部署了网络设备、服务器,承载了大量重要的数据信息。
保护这些设备的正常运行,维护主要业务系统的安全,是******内部网络的基本安全需求。
2.1******内部网络系统现状
2.2******内部网络安全现状
******内部网络运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。
所以,******内部网络可能存在的安全威胁来自以下方面:
(1)缺乏有效的手段监视、评估网络系统的安全性。
(2)操作系统的安全性。
目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
(3)对于网络内部各种设备以及来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。
(4)来自内部网用户的安全威胁。
针对内部网络的非法操作和恶意攻击,成为网络安全体系的新触点。
(5)针对内部网络用户的IP地址修改监控以及各IP网络流量的统计监控
2.3******内部网络安全需求
根据******内部网络的实际情况,结合******的具体要求,******内部网网络安全需求总结如下:
(1)对公司网络按功能类别划分子网,实施有效的隔离,防范来自内部和外部的攻击。
(2)需要对内网重要通信的入口点以及内部网络的重要网段的服务器区配置相应的入侵监测系统(IDS)进行实时监控,确保内部网及服务器的安全。
(3)需对全网进行安全扫描(Scan)评估,对内部网的安全水平有一个掌握了解,对所出现的系统与网络问题进行及进的解决与修补。
(4)针对内部网络用户的IP地址修改监控以及各IP网络流量的统计监控。
(5)针对网络系统进行整体的病毒防护。
(6)部署网络安全的管理服务器、安全管理终端、网络管理终端。
(7)提供DHCP服务,实现IP地址动态分配。
(8)需实现内部安全策略的合理规划。
3安全策略建议
我们建议******内部网络系统采用以下安全策略:
建议对外防护为主,内部防护为辅。
采用可以提供集中管理控制并可进行互动的产品。
由于网络和系统的复杂性,对相应产品的管理控制提出了更高的要求,不但可以进行集中、分布的管理控制,还能够进行分级的管理控制以适应大规模网络的需要,同时不同安全产品之间应能够进行有效的互动,以提高系统的防御能力。
产品在使用上应具有友好的用户界面,并且可以进行相应的客户化工作,使用户在管理、使用、维护上尽量简单、直观。
建立层次化的防护体系和管理体系
4安全措施
******内部网络的安全问题是一个系统工程,我们在制定安全网络策略时尽可能地考虑到网络中的各个方面,采用TCP/IP协议进行网络通信的网络,在网络层对计算机通信进行安全保护是业界流行的安全解决办法。
通常我们采用以下几项措施:
1、ACL策略控制
在对外路由器上设置过滤规则,形成第一道防护网。
使用过滤规则设置功能,作过滤防护,形成******内部网络与专网和Internet之间的第一道防护网;
2、采用VLAN技术。
为了更好的保证******内部网络的安全,我们应按照用户群组和系统资源的访问权限进行安全划分。
在各节点局域网内部可根据各种业务需要或安全级别的不同,使用三层交换机划分VLAN,从而对不同VLAN中的数据进行保护。
3、动态分配IP
通过代理服务器上设置DHCP来实现IP地址的动态分配。
4入侵检测系统
我们采取入侵检测系统,对******内部网络进行实施监控和核心业务系统服务器的重点保护,从而降低了网络安全风险,防止入侵者的破坏。
网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。
当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。
5、网络安全扫描系统
我们采用网络漏洞扫描系统对******内部网络进行漏洞扫描,他能够测试和评价系统的安全性,并及时发现安全漏洞。
网络漏洞扫描系统就是这一技术的实现,她包括了网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,最大可能的消除安全隐患。
安全扫描系统具有强大的漏洞检测能力和检测效率,贴切用户需求的功能定义,灵活多样的检测方式,详尽的漏洞修补方案和友好的报表系统,为网络管理人员制定与合理安全防护策略提供依据。
6网络防病毒措施
******内部网络防病毒措施主要包括技术和管理方面,技术上可进行全方位的防病毒保护,在服务器中安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力,防止病毒在整个网络内部进行扩散。
在客户端的主机也应安装单机防病毒软件,将病毒在本地清除而不致于扩散到其他主机或服务器,在邮件服务器上安装邮件防病毒系统。
管理上应制定一整套有关的规章制度,如:
不许使用来历不明的软件或盗版软件,软盘使用前要首先进行消毒等。
只有提高了工作人员的安全意识,并自觉遵守有关规定,才能从根本上防止病毒对网络信息系统的危害。
5安全产品介绍
5.1入侵检测
5.1.1入侵检测系统概述
入侵检测系统,是用来实时检测各种攻击,同时实时做出各种预先定义的响应,力求做到在黑客造成破坏之前发现问题,解决问题。
网络入侵检测产品不会占用网络带宽,不会引起网络和主机性能的下降,同时不驻留在业务主机和服务器上,不会对原有网络造成额外的安全威胁,此部署方式可实时对服务器操作系统、应用系统进行监控,并实现集中管理。
5.1.2入侵检测产品选择
我们采用北京启明星辰公司的“天阗”黑客入侵检测与预警系统进行网络安全入侵检测。
5.1.2.1产品简介
启明星辰自行研制开发的天阗黑客入侵检测与预警系统是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品,同时天阗还通过了国家保密局、解放军及国家信息安全测评中心的专门评测。
天阗黑客入侵检测与预警系统是一种在计算机网络上自动、实时的入侵检测和响应系统。
它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部和内部的入侵信号。
在系统受到危害前发出警告,实时对攻击做出反应,并提供补救措施,最大程度地为网络系统提供安全保障。
已成功实施于首都电子商城的网络安全保障工程,海淀数字园区的安全保障工程,沈阳人行等多个网络安全项目,为网络的安全运行提供了有力保障。
5.1.2.2产品优势
天阗黑客入侵检测与预警系统包括两部分:
控制中心和探测引擎。
控制中心是个高性能管理系统,能控制位于本地或远程网段上的多个探测引擎的活动,实现动态分析,实时监控。
探测引擎为固化硬件产品,动态监视网络上的数据包,进行攻击行为的检测和识别。
与普通IDS产品相比,天阗黑客入侵检测与预警系统在下列方面具有明显优势产品优势:
1.产品版本成熟,易用性强:
天阗系统经过市场调研的反复进行和研发力量的巨大投入,现已升级为版本,性能稳定,界面友好。
2.全面的攻击事件处理方式:
针对攻击事件,IDS产品基本均能提供报警、日志纪录、阻断攻击等处理方式。
天阗产品在上述功能的基础上,还可实现与防火墙的互动,以阻断任何非法联接;对MAC地址实现阻断。
3.用户自定义和定制功能:
界面窗口可自行定制;攻击事件可自行定义并加入事件库;安全策略和协议可自行编辑定义下发等功能,为用户的使用带来方便。
是普通IDS产品尚无法实现的重要功能。
4.完备、开放的特征库:
攻击事件库>1200种,同时用户可以自行定义和添加特征库,实现用户端的自主实时更新。
5.优化、高级的管理结构:
普通IDS产品均为分布式结构,单级或二级控制,下级对上级控制台仅能实现报警功能,无法同时满足对不同网段上的实时监测和管理。
天阗产品则为树形分布式结构,多级控制功能可使天阗控制中心对多级子控进行管理,便于网络安全的同步实现。
同时上级可统一下发策略、事件特征库给下级,保证下发策略的统一性。
6.灵活方便的人性化报表:
天阗通过调用日志文件,运用嵌入式报告功能,形成方便、易懂、直观、全面的用户报告,分类列表更有助于用户了解网络各个层面的安全状况。
7.便捷全面的升级方式:
有升级模块可直接导入,或进行在线升级,升级速度在同类产品中较快。
自动同步升级,控制中心可以及时将攻击特征升级包下发到各级探测器,提高对最新攻击事件和行为的同步识别。
8.优秀的系统自身安全性:
独有的硬件引擎,对于安全性作了全面的考虑,稳定性好。
控制中心与子控中心以及探测引擎的通讯采用加密方式。
9.天阗与各主流防火墙的联动以及最新实现的和天镜漏洞扫描的联动,已经在国家重点信息化安全保障工程、国家安全部、银行机构等一些大型网络中广泛的应用,其联动能力与效果十分显著,充分体现了以天阗IDS为核心筑造的动态防御体系对安全防护能力的极大提升作用。
6安全产品部署
6.1”天阗”部署说明
6.1.1产品部署
为了保护网络出入与拨号用户所带来的安全性,我们作如下部署:
1.中心交换机上接入一台天阗黑客入侵探测引擎:
对渗透过防火墙的攻击与通过PSTN进行信息通讯的数据和用户进行实时的监测。
2.在系统内部配置一台服务器:
作为“天阗”入侵检测系统的控制台,对网络中的探测引擎进行管理与策略分发,以及对事件的监视与报警。
6.1.2功能实现
通过使用天阗可以容易的完成对以下的攻击识别:
网络信息收集-、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。
灵活的配置管理界面
内置了多种预定义策略,并允许用户添加修改策略
多种攻击响应方式,同防火墙进行联合行动,阻断任何非法连接
开放式事件特征库,任何人都可以自行定义和添加特征事件
报表分析系统,可对日志进行事后二次分析
网络流量分析,可以帮助分析网络故障
提供固化版本的网络探测器,即插即用,方便安装
多级分层管理
6.1.3产品配置
“天阗”黑客入侵检测与预警系统控制中心软件一套(PCwr/2000Serve,服务器配置一台2000Server)
“天阗”黑客入侵检测与预警警与阻断,在防火墙后配置一套天阗黑客入侵检测与警预系统,实时时系统探测引擎一台(硬件)
对内外部网的访问数据流进行实时监控与报警;同时对于各IP的网络流量进行监控
7售后服务
7.1服务宗旨
网络安全是一个动态的过程,网络安全总是处在网络系统攻击和防御的平衡之中的动态相对安全。
我们的安全服务宗旨是:
在不断更新、优化现有产品的同时,为客户提供持续、专业、全面和快速的本地化服务。
网络信息系统安全不仅需要动态的工具和产品,而且需要持续跟进的安全服务。
7.2服务内容
7.2.1风险分析
对网络安全的威胁确是存在的,但并不是绝对的和确定性的;如果为一种极小概率的事件付出的代价超过可能带来的损失,显然是不足取的。
清楚系统环境中的威胁可以帮助管理者制定最为经济合算的安全政策,有时甚至发现,容忍可能的损失而不采取措施可能更为经济,这一切的决策基于风险分析的结果。
风险分析的概念,是指确定资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。
风险分析有两种基本方法:
定性分析和定量分析。
定量分析与定性分析不同之处在于,该方法需要收集尽可能详细和精确的数值,使用数学和统计方法,以得到绝对的风险值;与防卫措施的投资相比较,可以直接做出安全措施是否实施的决策。
风险分析的结果是制定安全政策的重要依据,可以按照资产列表制定相应的安全政策。
当然,安全政策的制定有时需要全局性的考虑,而不是完全以资产为线索。
7.2.2产品维护
(1)启明星辰为软件产品提供一年免费维护。
维护项目包括:
软件的更新升级,在软件长期运行时一旦出现故障或不稳定情况,迅速进行维护和更新;
(2)软件产品提供长期的更新升级服务,同时对较大的产品升级及时提供培训;
(3)随着******内部业务的变化,可以根据具体业务的要求适当优化、修改原有系统,增加新的功能。
7.2.3测试支持
在系统安装完成后,为******内部提供完整的测试方案,进行全面的测试。
在系统经测试确认配置优化,系统运行正常后,方可进行系统签收。
7.3服务形式
7.3.1软件升级
我公司通过Internet为我公司软件产品及时提供升级等服务;
我公司可以通过其它介质为******内部网络安全提供软件更新;
我公司可以通过电子邮件为******内部网络安全提供实时的软件更新。
7.3.2热线咨询
安全问题通常是复杂多变的,******内部网络在采用我公司的网络安全方案并安全产品之后,可以通过我公司提供的24小时热线电话(800-810-6038),向我们的安全专家进行咨询,安全专家将会从保护******内部网络技术可实现的角度为您提供满意的答复。
7.3.3紧急事件处理
在******内部网络发生紧急情况时,启动紧急救援计划,提供安全专家紧急出动服务,安全专家将到现场,恢复系统正常工作,协助检查入侵来源,提供事故分析报告和安全建议及服务,为用户提供及时、全面的安全问题解决方案。
7.3.4
紧急服务流程
流程说明:
1、在接到网络事件通报后,值班技术服务人员立即查询知识信息库,对于能解决的问题告之用户解决方法;
2、若值班技术服务人员不能立即解决问题,须立即通知值班负责人;
3、在通知值班负责人后,值班负责人将在该类服务所规定的期限内做出响应,并联系用户进行应急服务
4、对于不能独立解决的技术问题,将由值班负责人通知研发中心有关专家进行现场技术攻关,直到问题解决。
8培训
为了让客户更好地理解和使用启明星辰公司的安全技术和产品,高效维护网络的安全运行,我公司特为客户提供相应的技术培训。
具体培训内容涵盖:
网络安全的法律、法规
计算机网络安全基础
各个安全子系统的原理、功能及安装、调试、配置和运行维护
网络安全策略制订和管理制度的建立
9附件:
成功案例
启明星辰公司针对银行、证券、广电、电信、政府、军队等领域的不同需求特性,已经形成了具有特色的网络安全行业解决方案,并为行业大客户提供全面的咨询设计和工程项目实施服务,具有代表性的成功案例包括:
国家公安部
2000年6月和公安部第三研究所等单位共同承担国家计委项目“计算机信息系统安全保护等级评估认证体系”;
2000年11月承担公安部“拨号上网安全系统”;
国家计委
1998年完成国家信息中心“防火墙测试平台”研发,并获得广泛好评;
国家经贸委
2001年5月“天蘅安防网络防病毒系统”被列入2001年国家重点新产品试产计划
信息产业部
2000年8月承担并负责实施信息产业部“网络保障应急响应示范工程”;
2000年9月承担并实施国家计算机网络与信息安全管理中心“国家网络安全攻防技术实验室”;
2000年12月承担国家计算机网络与信息安全管理中心“安全资源管理平台”和“黑客身份认证与反攻击系统”;
国家科技部
2000年4月完成科技部科技创新基金项目“智能黑客身份认证与监测系统”
2000年7月承担并负责实施国家863计划信息安全技术应急项目“网络安全测评工具”和“网络动态防病毒系统”;
2001年3月“个人防火墙与PC机保护系统”获得科技部创新基金支持项目;
2001年4月“智能黑客监测预警系统”被列入2001年国家级重点火炬计划项目;
政府
2000年8月承担并实施“海淀数字园区”安全保障系统;
2000年12月承担并实施上海219工程项目东方网、上海市高级人民法院网站监测与自动修复系统;
2001年7月承担并实施上海市纪委网络防病毒系统;
2001年8月承担并实施某大政府核心政务系统网络安全总集成项目;
2001年9月承担并实施上海市社会劳动与保障局网站监测与自动修复系统;
银行
2000年8月承担一系列商业银行网络安全系统项目;
2000年12月成为中国人民银行唯一一家防病毒、防黑客及漏洞扫描两方面产品都入围的厂商;
2001年3月承担某银行北京分行网络防病毒解决方案;
2001年3月承担人行某分行入侵监测、漏洞扫描系统项目;
2001年4月承担人行某分行入侵监测、漏洞扫描系统项目;
电信
2001年10月承担中国电信IP网网络安全风险评估项目;
证券
2000年6月承担并实施“国信证券网上交易安全示范工程”;
2001年8月承担并实施蔚深证券入侵检测和漏洞扫描系统;
军队
2000年8月解放军某部网络安全系统和模拟攻击系统;
ISP/ICP
2000年5月与首都信息发展有限公司签订ASP协议,负责保障首都电子商城网络安全并共同为其客户提供网络安全在线及现场服务;
2000年7月中科院信息中心查询项目信息安全系统;
2000年7月承担中国社会发展互联网信息安全系统;
企业
2001年9月承接华能国电网络安全项目入侵检测与漏洞扫描系统;
另外启明星辰公司大力开展与各行业系统集成商、产品代理商的紧密合作,已经成功实施的代表案例包括:
2001年8月中国兵器工业新技术推广研究所网站监测与自动修复系统;
2001年8月浙江嘉兴市行政中心网络安全整体解决方案;
2001年8月华安证券网络防病毒系统;
2001年8月上海浦东新区宣传部网络防病毒系统;
2001年9月上海国家安全局网络入侵检测系统;
2002年3月湖南省政府经济信息中心网络入侵检测系统,漏洞扫描系统;
2002年4月湖南省移动通信公司入侵检测系统、网络防病毒系统,漏洞扫描系统;
2002年5月湖南省国税局入侵检测系统;
2002年7月湖南省公安厅入侵检测系统、网络防病毒系统,漏洞扫描系统;
2002年7月湖南省地税局入侵检测系统、漏洞扫描系统。
2002年8月长沙大学入侵检测系统
2002年9月长沙市地税局入侵检测系统
2002年10月湖南省株洲列车电力机车厂入侵检测
升级会员 