机房外网防病毒真实方案.docx
《机房外网防病毒真实方案.docx》由会员分享,可在线阅读,更多相关《机房外网防病毒真实方案.docx(8页珍藏版)》请在冰豆网上搜索。
机房外网防病毒真实方案
机房防病毒方案
XXX单位
XXXX年XX月XX日
1方案设计
互联网防病毒是一项复杂的工程,特别是涉及保密数据的互联网网站安全保护,不仅要具有防病毒软硬件设施,还要有严格的机房管理制度、上网行为管理以及移动存储设备的管理等。
因此,本方案设计设计四方面:
边界防护、机房管理制度、上网行为管理和移动存储设备管理。
1.1边界防护
当前比较专业的网络防护方案中一般包括“防DDOS系统、外网防火墙、外网入侵防御系统、外网漏洞扫描系统、网页防篡改系统以及企业版杀毒软件”。
结合用户服务系统使用规模以及建设成本,本方案中选择在现有基础上,添加防DDoS系统,外网入侵防御、网页防篡改和杀毒软件等软硬件设备,以保障网站安全。
图21网络部署结构
1.1.1防DDOS系统
DDoS(分布式拒绝服务)通常是指黑客通过控制大量互联网上的机器(通常称为僵尸机器),在瞬间向一个攻击目标发动潮水般的攻击。
大量的攻击报文导致被攻击系统的链路被阻塞、应用服务器或网络防火墙等网络基础设施资源被耗尽,无法为用户提供正常业务访问。
因此,针对此DDoS攻击,增加抗拒绝服务系统,基本功能如下:
1)可防护各类基于网络层、传输层及应用层的拒绝服务攻击,如SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及连接耗尽等常见的攻击行为;
2)智能防御。
借助内嵌的“智能多层识别净化矩阵”,实现基于行为异常的攻击检测和过滤机制,而不依赖于传统的特征字(或指纹)匹配等方式;
3)提供完备的异常流量检测、攻击防御、设备管理、报表生成等功能。
盟科技经过10年多不间断的技术创新和产品研发,自2001年推出首款百兆防护绿盟抗拒绝服务系统(NSFOCUSAnti-DDoSSystem,简称NSFOCUSADS)后,持续推出针对不同行业的各类抗DDoS产品。
绿盟抗拒绝服务攻击系统能够及时发现背景流量中各种类型的攻击流量,针对攻击类型迅速对攻击流量进行拦截,保证正常流量的通过。
因此,本方案中推荐绿盟ADS1600抗拒绝服务系统。
1.1.2外网入侵防御系统
当前互联网问题越来越复杂,安全威胁正在飞速增长,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,都很可能对数据分发网络造成严重的破坏。
因此,要搭载一套外网入侵防御系统,以防御威胁入侵,具体要具备如下功能:
1)入侵防护
实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
2)Web安全
基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。
3)流量控制
阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。
4)上网监管
全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
绿盟网络入侵防护系统(NSFOCUSNetworkIntrusionPreventionSystem,简称:
NSFOCUSNIPS)是绿盟科技自主知识产权的新一代安全产品,是网络入侵防护系统同类产品中的精品典范,能够准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。
这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。
并且该产品高度融合高性能、高安全性、高可靠性和易操作性等特性,产品内置先进的Web信誉机制,同时具备深度入侵防护、精细流量控制,以及全面用户上网行为监管等多项功能,能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。
因此,本方案中推荐绿盟V5.6NIPS1000A产品。
1.1.3网页防篡改系统
网页防篡改系统对用户可访问的网页内容进行保护,确保网页不能被篡改或者在篡改后进行及时恢复,确保用户访问不到篡改后的网页。
用户可访问的网页内容指用户可以从互联网公开访问的合法资源,包括静态网页显示的内容、动态网页或数据库等生成的内容。
保障用户从互联网访问的网页内容的完整性,确保用户访问内容的合法性。
在网页被篡改的情况下,网页防篡改系统能够保证用户访问不到被篡改的网页。
1.1.4杀毒软件
服务器与工作站都要安装杀毒软件,建议添加一台PC机作为网络杀毒软件的服务端,用户服务系统的节点作为客户端,在边界防护的最里端进一步查杀病毒。
根据网站杀毒软件需求,要充分考虑网络病毒防范能力、杀毒能力、对新病毒的反应时间和资源占有情况。
当前在企业版杀毒软件中比较流行的有卡巴斯基、诺顿32、McAfee、瑞星、金山和冠群KILL。
均衡杀毒能力与系统资源占有情况,选择诺顿32和冠群KILL比较有优势。
冠群科技的KILL品牌诞生于1989年,是国内第一款防病毒软件,经过20年的发展,KILL品牌已成为国内知名的、最值得信赖的安全产品,获得了市场高度认可和广泛的行业应用。
其最大的特点就是只针对企业,现已在政府单位、电信行业、金融证券、税务系统、公安军警、能源行业、航空系统等众多领域成功应用。
由于网络中涉及卫星影像数据等保密数据,本方案中建议使用冠群科技的KILL杀毒软件。
1.2机房管理制度
包括机房人员出入、机房安全管理、操作管理、运行管理和上网行为管理。
1.2.1出入管理
1)机房工作人员出入们刷门禁卡,平时门处于关闭状态;
2)严禁非机房工作人员进入机房,特殊情况需经中心值班负责人批准,并认真填写登记表后方可进入,进入人员必须由机房管理员全程陪同;
3)进入机房人员应遵守机房管理制度,更换专用工作鞋;机房工作人员必须穿着工作服。
4)进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
1.2.2安全管理
1)操作人员随时监控中心设备运行状况,发现异常情况应立即按照预案规程进行操作,并及时上报和详细记录。
2)非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。
3)严格执行密码管理规定,对操作密码定期更改,超级用户密码由系统管理员掌握。
4)机房工作人员应恪守保密制度,不得擅自泄露中心各种信息资料与数据。
5)中心机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。
6)不定期对机房内设置的消防器材、监控设备进行检查,以保证其有效性。
1.2.3操作管理
1)操作人员必须认真、如实、详细填写《机房日志》等各种登记簿,以备后查。
2)制定用户服务系统操作流程,填写数据分发申请表,书面报负责人批准签字后方可执行,所有操作变更必须有存档记录。
3)值班人员必须密切监视中心设备运行状况以及各网点运行情况,确保安全、高效运行。
4)严格按规章制度要求做好各种数据、文件的备份工作。
5)所有重要文档定期整理装订,专人保管,以备后查。
1.2.4运行管理
1)未经负责人批准,不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。
2)软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经负责人书面批准后方可进行;必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。
3)为确保数据的安全保密,对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。
4)部门负责人应定期与不定期对制度的执行情况进行检查,督促各项制度的落实,并作为人员考核之依据。
1.2.5上网行为管理
1)机房严禁访问非法网站、网上购物、在线聊天、在线欣赏音乐和电影。
2)严禁使用P2P工具。
3)严禁在服务器与工作站上操作与工作无关的事项。
1.3上网行为管理
要严格控制访问非法网站、网上购物、在线聊天、在线欣赏音乐和电影、P2P工具下载等与工作无关的行为。
需要采用上网行为管理软件,控制上网者行为,从自身行为上避免影响带宽,避免病毒传播,避免泄露国家秘密。
上网管理软件功能如下:
1.3.1上网人员管理
上网身份管理:
利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性
上网终端管理:
检查主机的注册表/进程/硬盘文件的合法性,确保接入企业网的终端PC的合法性和安全性
移动终端管理:
检查移动终端识别码,识别智能移动终端类型/型号,确保接入企业网的移动终端的合法性、
上网地点管理:
检查上网终端的物理接入点,识别上网地点,确保上网地点的合法性
1.3.2上网浏览管理
搜索引擎管理:
利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响。
网址URL管理:
利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。
网页正文管理:
利用正文关键字识别、记录、阻断技术,确保浏览正文的合法性
文件下载管理:
利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性
1.3.3上网外发管理
普通邮件管理:
利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性
WEB邮件管理:
利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性
网页发帖管理:
利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性
即时通讯管理:
利用对MSN、飞信、QQ、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性
其他外发管理:
针对FTP、Telnet等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性
1.3.4上网应用管理:
上网应用阻断:
利用不依赖端口的应用协议库进行应用的识别和阻断
上网应用累计时长限额:
针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问
上网应用累计流量限额:
针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问
1.3.5上网行为分析:
上网行为实时监控:
对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现
上网行为日志查询:
对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询,精确定位问题
上网行为统计分析:
对上网日志进行归纳汇总,统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表,便于管理者全局发现潜在问题
1.3.6上网隐私保护:
日志传输加密:
管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心,防止黑客窃听
管理三权分立:
内置管理员、审核员、审计员账号。
管理员无日志查看权限,但可设置审计员账号;审核员无日志查看权限,但可审核审计员权限的合法性后才开通审计员权限;审计员无法设置自己的日志查看范围,但可在审核员通过权限审核后查看规定的日志内容
精确日志记录:
所有上网行为可根据过滤条件进行选择性记录,不违规不记录,最小程度记录隐私
1.3.7设备容错管理:
死机保护:
设备带电死机/断电后可变成透明网线,不影响网络传输。
一键排障:
网络出现故障后,按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起,缩短网络故障定位时间
双系统冗余:
提供硬盘+Flash卡双系统,互为备份,单个系统故障后依旧可以保持设备正常使用。
1.3.8风险集中告警
告警中心:
所有告警信息可在告警中心页面中统一的集中展示
分级告警:
不同等级的告警进行区分排列,防止低等级告警淹没关键的高等级告警信息。
告警通知:
告警可通过邮件、语音提示方式通知管理员,便于快速发现告警风险。
1.4移动存储介质管理
设置用户服务分系统专用U盘,实现用户、涉密专用U盘、涉密计算机间的绑定与认证使用。
通过对USB移动存储介质认证与控制,USB移动存储介质只有在被授权的情况下才能在指定的计算机上使用,XX的USB移动存储介质不能在计算机上使用,防范“摆渡木马”等间谍软件的威胁。
局域网中保留一台工作站的USB使用能力,其他设备都封闭USB端口。
U盘插到此工作站经过认证与控制后,首先进行杀毒处理,对确保不存在病毒的情况下,将数据存储在工作站上,然后通过局域网络放在相应节点上。