全网安全解决方案技术建议书071010.docx
《全网安全解决方案技术建议书071010.docx》由会员分享,可在线阅读,更多相关《全网安全解决方案技术建议书071010.docx(28页珍藏版)》请在冰豆网上搜索。
全网安全解决方案技术建议书071010
全网安全解决方案技术建议书
杭州华三通信技术有限公司
目录
1.网络安全现状分析2
1.1.网络安全问题的产生2
1.2.网络安全成为信息时代人类共同面临的挑战2
1.3.我国网络安全问题日益突出2
2.H3C安全建设理念2
2.1.智能安全渗透网络简介2
2.2.智能安全渗透网络——局部安全2
2.3.智能安全渗透网络——全局安全2
2.4.智能安全渗透网络——智能安全2
3.XX系统安全整体规划2
3.1.系统概况2
3.2.系统的安全问题2
3.2.1.蠕虫2
3.2.2.端口扫描2
3.2.3.带宽滥用2
3.2.4.拒绝服务攻击和分布式拒绝服务攻击2
3.2.5.零时差攻击2
3.2.6.间谍软件2
3.3.解决方案设计原则2
4.XX系统安全解决方案2
4.1.远程接入安全解决方案2
4.2.边界安全解决方案2
4.3.内网安全解决方案2
4.4.数据中心安全解决方案2
4.5.全局安全管理解决方案2
5.总结2
1.
网络安全现状分析
网络安全问题已成为信息时代人类共同面临的挑战,国内的网络安全问题也日益突出。
具体表现为:
计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。
1.1.网络安全问题的产生
可以从不同角度对网络安全作出不同的解释。
一般意义上,网络安全是指信息安全和控制安全两部分。
国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。
网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。
然而,正是由于互联网的上述特性,产生了许多安全问题:
a)信息泄漏、信息污染、信息不易受控。
例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。
b)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。
c)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。
由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。
d)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。
1.2.网络安全成为信息时代人类共同面临的挑战
美国前总统克林顿在签发《保护信息系统国家计划》的总统咨文中陈述道:
“在不到一代人的时间里,信息革命以及电脑进入了社会的每一领域,这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式,然而,这种美好的新的代也带有它自身的风险。
所有电脑驱动的系统都很容易受到侵犯和破坏。
对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果,这种危险是客观存在的。
过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹,现在他们可以把手提电脑变成有效武器,造成非常巨大的危害。
如果人们想要继续享受信息时代的种种好处,继续使国家安全和经济繁荣得到保障,就必须保护计算机控制系统,使它们免受攻击。
”
在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步。
据有关方面统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。
在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。
2003年,CSI/FBI调查所接触的524个组织中,有56%遇到电脑安全事件,其中38%遇到1~5起、16%以上遇到11起以上。
因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭受拒绝服务攻击(DoS)则从2000年的27%上升到2003年的42%。
调查显示,521个接受调查的组织中96%有网站,其中30%提供电子商务服务,这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。
更令人不安的是,有33%的组织说他们不知道自己的网站是否受到损害。
据统计,全球平均每20s就发生1次网上入侵事件,黑客一旦找到系统的薄弱环节,所有用户均会遭殃。
1.3.我国网络安全问题日益突出
目前,我国网络安全问题日益突出的主要标志是:
a)计算机系统遭受病毒感染和破坏的情况相当严重。
据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。
据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。
其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。
b)电脑黑客活动已形成重要威胁。
网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
c)信息基础设施面临网络安全的挑战。
面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。
据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。
近年来,国内与网络有关的各类违法行为以每年30%的速度递增。
据某市信息安全管理部门统计,2003年第1季度内,该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。
该市某公司的镜像网站在10月份1个月内,就遭到从外部100多个IP地址发起的恶意攻击。
2.H3C安全建设理念
理念是人们对于不同事物从自身角度出发确定下来的正确看法,并用于指导人们的行为实践。
正确的安全建设理念可以指导用户解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方。
H3C公司提出的智能安全渗透网络理念(intelligentSafePervasiveNetwork,简称iSPN)体现了H3C在网络信息安全方面专业和独到的见解,使其成为客户最可信赖的安全建设指导思想。
2.1.智能安全渗透网络简介
互联网的广泛应用,大大改变了企业业务流程的开展方式。
但是,随着信息化建设的不断深入,网络安全问题也成为影响企业信息化建设的瓶颈。
遭受过由于网络安全问题带来的损失的企业,极容易失去对网络的信任,从而错失很多商业机会,这时他们需要的是一个安全的保障,在享用互联网带来无限商机的同时保证业务的持续可用及信息安全。
智能安全渗透网络(iSPN)提出了一个整体安全架构,从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。
局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。
2.2.智能安全渗透网络——局部安全
网络安全最基础的防护方式是关键点安全,即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品,进行2~7层的威胁防范,当前企业绝大部分采用的都是这种单点威胁防御方式。
这种局部安全方式简单有效并有极强的针对性,适合网络建设已经比较完善而安全因素考虑不足的情况。
在这种方式下,H3C强调通过“集成”来提供最佳的防御效果,即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式,实现了安全技术和网络技术在无缝融合上做出的第一步最佳实践。
2.3.智能安全渗透网络——全局安全
由于安全产品种类的不断丰富,使得局部安全可以应对企业的大部分基础网络安全问题。
然而此时用户意识到,局部安全的防护手段相对比较孤立,只有将产品的相互协作作为安全规划的必备因素,形成整网的安全保护才能抵御日趋严重的混合型安全威胁。
为此,H3C推出了全局安全理念,借助于IToIP的网络优势,通过技术和产品的协作,将网络中的多个网络设备、安全设备和各组件联动起来,并通过多层次的安全策略和流程控制,向用户提供端到端的安全解决方案。
以H3C的端点准入防御及安全事件分析机制为例,它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。
在统一的安全策略下,利用各部分组件的协同联动,保证网络各端点的安全性与可控性;同时,在统一的平台上进行安全事件的收集、整理、分析,可以做到整网安全风险的提前预防与及时控制。
2.4.智能安全渗透网络——智能安全
随着网络建设的日趋完善,面向业务的安全已经成为新的发展方向。
只有理解企业业务,将企业的业务需求及流程建设充分融合到网络安全建设中来,从信息的计算、通信及存储等信息安全状态出发,以面向应用的统一安全平台为基础,通过安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应,将智能的安全融入企业业务流程中,形成开放融合、相互渗透的安全实体,才能实现真正的网络安全智能化。
帮助企业将业务信息的所有状态都控制在安全管理的范围内,这样的需求正是智能安全产生的原动力。
目前,政府制定了网络安全相关的法律法规,促使各行业必须遵循一定的安全标准,以帮助提高企业的攻击防范能力。
为了帮助用户构建等级安全体系,实现按需防御需要,H3C数十人的专业安全服务团队,借助严格完善的网络安全评估规范,对企业IT环境现状进行安全评估,并对企业网络结构及业务流程进行统一的安全咨询和规划,为用户度身定制一整套闭环的安全建设方案,并通过培训提升企业安全管理人员的素质,保证安全性的延续。
有了量身定制的建设方案与安全策略,如何将这样的方案落到实处是下一步的难题,网络威胁千变万化、多种多样,业内还没有任何一个安全厂家可以解决所有的安全问题。
因此,为保证企业网络安全建设能符合未来发展趋势,需要建立一个由厂商、代理商和客户组成的大安全联盟,允许各个组织和个人都可以通过标准的接口将安全快速嵌入网络,实现弹性扩展与智能融合。
H3C在智能安全中采用开放应用架构(OAA,OpenApplicationArchitecture)为用户提供开放的硬件平台、标准的接口,允许第三方技术的无缝融合,从而将网络安全的边界打通,将业界的先进技术配合适当的安全策略,最终完成网络安全建设的蓝海战略。
完善的安全管理体制是加强信息系统安全防范的组织保证。
iSPN全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据,保证企业信息系统的安全运行。
iSPN全局安全管理平台以开放的安全管理中心和智能管理中心为框架,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应,在现有安全设施的基础上构建一个智能安全防御体系,大幅度提高企业网络的整体安全防御能力。
H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。
高效的安全解决方案不仅仅在于当安全事件发生时,我们能够迅速察觉、准确定位,更重要的是我们能够及时制定合理的、一致的、完备的安全策略,并最大限度的利用现有网络安全资源,通过智能分析和协同响应及时应对各种真正的网络攻击。
在局部安全、全局安全的基础上,H3CiSPN为实现这一目标而构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台,通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理,将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来,构成了一个智能的、联动的闭环响应体系,可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。
2007年,H3C将以全新的iSPN理念配合先进的产品技术与日趋完善的面向应用解决方案,为企业打造一个领先的、全面的、可信赖的IP安全平台。
3.XX系统安全整体规划
3.1.系统概况
(举例)电力调度数据网络是电力生产实时信息传输的网络,网络传输的主要信息是电力调度实时数据、生产管理数据、通信监测数据等,是电力指挥安全生产和调度自动化的重要基础,在协调电力系统发、送、变、配、用电等组成部分的联合运转及保证电网安全、经济、稳定、可靠的运行方面发挥关键的作用。
电力调度数据网有力的保障了电力生产、电力调度、水库调度、燃料调度、继电保护、安全自动装置、电网调度自动化等通信需要,在电力生产及管理中发挥着不可替代的作用。
目前,全国已形成五级调度管理系统。
全国共有国家调度机构1个,网级调度机构6个,省级调度机构30个,地区级调度机构310个,县级调度机构2000多个。
电力调度数据网主要有国家电力调度数据一级网,大区二级网,省级三级网,地市四级网和县级五级网,覆盖各级调度中心和直调发电厂、变电站。
目前一级网基本建成,二、三级网工程正在实施,少数省市已经开始建设四级网。
全国电力调度系统“十五”发展计划纲要指出:
“建立电力调度专用数据网络,保证实时控制系统的安全性和可靠性,完善国家一级网,建成所有大区二级网,90%的省建成三级网,逐步覆盖各级调度中心和直调发电厂、变电站;实现与电力信息网络(SPInet)及外部因特网的有效安全隔离。
”
全国电力调度系统发展的指导思想是:
“安全第一、预防为主”,确保电网安全。
电网调度最根本的职责在于保证电网的安全稳定运行,随着西电东送、南北互联和全国联网的发展,跨大区电网的互联和电力市场的建立,大电网的安全分析及运行控制都更大程度的依赖于电力调度数据网。
为提高电网稳定水平,保证不发生稳定破坏事故和系统瓦解事故,避免大面积停电事故的发生,作为电力调度系统的承载网,对电力调度数据网的首要要求就是可靠稳定、安全的运行,保证调度自动化系统对电网的监控准确、不间断进行。
南方电力调度数据网是用于电力生产调度的专用信息网络,充分整合南方电网各种业务数据和硬件资料,为电力调度生产提供高效率服务。
目前,南方电力调度数据网由上至下分为3层:
核心层包括:
南方局、南方备调、广东省调等7个节点;汇聚层包括:
罗洞变电站、江门变电站、茂名变电站等8个节点;接入层包括:
天生桥I、II级电站、广州换流站等17个节点。
网络拓扑图如下所示:
随着电力调度技术的不断进步,南方电力调度数据网承载的业务也在不断发展。
其中,EMS/SCADA系统仍然是最基础、最关键的业务,此外,调度生产管理系统,水调自动化系统,电力市场技术支持系统等业务也都开始由电力调度数据网来承载。
业务的不断发展对电力调度数据网的安全性提出了更高的要求。
3.2.系统的安全问题
XX系统的发展使其网络上的应用增多,应用增多带来了便利和高效,但这时如果出现网络安全问题,造成系统崩溃、应用瘫痪,损失将十分巨大,甚至无法弥补。
XX系统潜在的安全问题,主要有以下类型:
3.2.1.蠕虫
蠕虫的定义是:
通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪。
从本质上讲,蠕虫和病毒的最大的区别在于蠕虫是通过网络进行主动传播的,而病毒需要人的手工干预(如各种外部存储介质的读写)。
但是时至今日,蠕虫往往和病毒、木马和DDoS等各种威胁结合起来,形成混合型蠕虫。
3.2.2.端口扫描
这种信息收集型攻击可能会是某种攻击的前奏,虽然不会对目标本身造成危害,但由于会被用来为进一步入侵提供有用信息,这种探测应该被阻止,可通过设置防火墙对此类探测进行过滤。
3.2.3.带宽滥用
带宽滥用是指对于企业网络来说,非业务数据流(如P2P文件传输与即时通讯等)消耗了大量带宽,轻则影响企业业务无法正常运作,重则致使企业IT系统瘫痪。
所谓P2P,全称叫做“Peer-to-Peer”,即对等互联网络技术,也叫点对点网络技术,它让用户可以直接连接到其它用户的计算机,进行文件共享与交换。
3.2.4.拒绝服务攻击和分布式拒绝服务攻击
拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)可以被分为两类:
一类是利用网络协议的固有缺陷或实现上的弱点来进行攻击,与漏洞攻击相似。
另一类利用看似合理的海量服务请求来耗尽网络和系统的资源,从而使合法用户无法得到服务的响应。
早期的DoS攻击由单机发起,在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下,效果是明显的。
随着网络和系统性能的大幅提高,CPU的主频已达数G,服务器的内存通常在2G以上,此外网络的吞吐能力已达万兆,单机发起的DoS攻击好比孤狼斗猛虎,没有什么威胁。
狼的习性是群居,一只固然势单力薄,但如果群起而攻之,恐怕猛虎也难抵挡,这就是分布式拒绝服务攻击的原理。
用一台攻击机来攻击不再起作用的话,攻击者使用10台攻击机、100台共同发起攻击呢?
DDoS就是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,最终击溃高性能的网络和系统。
3.2.5.零时差攻击
零时差攻击(Zero-dayAttack)是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。
显而易见,零时差攻击对应用系统和网络的威胁和损害令人恐怖,这相当于在用户没有任何防备的情况下,黑客发起了闪电战,可能在极短的时间内摧毁关键的应用系统,造成网络瘫痪。
3.2.6.间谍软件
间谍软件(英文名称为“spyware”)是一种来自互联网的,能够在用户不知情的情况下偷偷进行非法安装(安装后很难找到其踪影),并悄悄把截获的一些机密信息发送给第三者的软件。
间谍软件在安装时什么都不显示,运行时用户也不知晓,删除起来非常困难。
由于间谍软件隐藏在用户计算机中、秘密监视用户活动,并已经建立了一个进入个人电脑的通道,很容易对用户电脑做后续的攻击。
间谍软件能够消耗计算能力,使计算机崩溃,并使用户被淹没在网络广告的汪洋大海中。
它还能够窃取密码、信用卡号和其它机密数据。
3.3.解决方案设计原则
在规划XX系统安全建设时,我们将遵循以下原则,提供完善的全网安全解决方案:
●体系化设计原则
通过分析XX系统的网络层次关系、安全需求以及动态实施过程,提出科学的安全体系,并根据安全体系分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出全网安全解决方案,从而最大限度地解决可能存在的安全问题。
●全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优性能价格比的安全解决方案。
●可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对XX系统平台原有的网络,以及运行在此网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。
●整体性、实用性、先进性、经济性原则
从网络和系统的整体性出发,选择先进且成熟的技术,满足当前的要求,并适应未来的技术发展,节约有限的投资。
●可动态演进的原则
方案应该针对XX系统平台制定统一技术和管理方案,实现统一安全策略的制定,并能实现整个网络从局部防御的网络,向全局防御的网络以及智能防御的网络演进,形成一个闭环的动态演进的网络安全系统。
●PDCA原则
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。
标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图所示:
既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
4.XX系统安全解决方案
综合考虑XX系统的现状、安全建设目标和上述的方案设计原则,我们提出XX系统的安全解决方案,由以下5部分组成:
1)远程接入安全解决方案
2)边界安全解决方案
3)内网安全解决方案
4)数据中心安全解决方案
5)全局安全管理解决方案
这5部分的安全解决方案衔接在一起构成了一个覆盖XX系统网络“端到端”信息流程的“全网安全解决方案”,是一个内容全面,可分步实施,可持续演进的解决方案集,如图所示:
“端到端”安全解决方案
4.1.远程接入安全解决方案
对拥有异地分支的XX系统来说,为提高沟通效率和资源利用效率,建立分支与总部之间的具有保密性的网络连接是十分必要的。
此外,XX系统的工作人员出差时也需要访问系统内部的一些信息资源,这时同样需要建立保密的网络连接。
虚拟专用网(VirtualPrivateNetwork,VPN)技术以其灵活、安全、经济、易扩展的特点,满足了这部分需求。
IPSecVPN解决方案
IPSec是业界标准的网络安全协议,可以为IP网络通信提供加密服务,保护TCP/IP通信免遭窃听和篡改,从而有效抵御网络攻击。
H3CIPSecVPN解决方案,由VPN接入网关和VPN管理子系统两个部分组成。
VPN接入网关(H3CSecPath系列防火墙或VPN)是整个VPN系统的核心部分。
它支持多种VPN业务,如L2TPVPN、IPSecVPN、GREVPN、MPLSVPN、以及专利技术的DVPN等,它可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户,构建Internet、Intranet、Extranet等多种形式的VPN。
VPN管理子系统由两部分组成:
H3CVPNManager系统和H3CBIMS分支智能管理系统。
VPNManager可以简化VPN的部署和配置,可以完成对网络VPN状态的监控。
BIMS可以后续完成对设备的升级配置和管理。
IPSecVPN解决方案的特点:
1)组网灵活:
H3C从用户业务需求、可靠性要求和投资规模等方面综合考虑,设计了多种分支上联总部的解决方案,包括:
单链路单网关、单链路双网关和双链路双网关。
2)管理简单:
采用专门的管理系统VPNManager,其图形化的管理界面使维护更简单。
支持自动发现和构建VPN拓扑,直观查看VPN通道状态、通道流量情况、VPN设备的运行情况等。
3)集中配置:
机构分布广、设备多、配置重复,往往给设备管理带来繁重的工作量,H3C的BIMS系统采用分支设备主动、网管被动的方式对分支的设备进行管理,网络连接由分支设备主动发起,公私网地址转换、动态IP地址、批量设备配置等难题迎刃而解。
IPSecVPN解决方案的典型组网:
在实际的组网中,可以根据XX系统的情况,采用灵活多样的组网方式,用最低的代价满足XX系统VPN接入需求。
1)
单链路单网关
该组网方案采用单链路单网关方式,在总部局域网数据中心部署VPNManager组件,实现对VPN网关的部署管理和监控,在总部局域网内部或Internet边界部署BIMS系统,实现对分支机构VPN网关设备
升级会员 