1、技术建议书安全解决方案技术建议书边界防护行为监管 技术建议书安全解决方案技术建议书(边界防护行为监管)技术建议书xx 年2 月 1、XX 网络安全现状-2 2、 H3C 安全解决方案理念-4 2、 1、智能安全渗透网络 局部安全-4 2、2、 智能安全渗透网络 全局安全-5 2、3、 智能安全渗透网络 智能安全-5 3、 建设原则及设计思路-6 3、 1、安全平台设计思路-6 3、1、 1、以安全为核心划分区域-6 3、1、2、 用防火墙隔离各安全区域-7 3、1、3、 对关键路径进行深入检测防护-8 3、1、4、 对用户非法上网行为进行识别和控制-8 3、1、5、 对全网设备进行统一安全管理
2、并进行用户行为审计-9 3、1、6、 根据实际需要部署其他安全系统-9 4、 XXXX 网络安全解决方案-11 4、1、 1、边界安全防护-11 4、1、2、 用户行为监管-12 4、1、3、 统一安全管理中心-14 5、 安全管理建议(供参考)-15 5、 1、安全管理组织结构-15 5、1、 1、人员需求与技能要求-15 5、1、2、 岗位职责-15 5、2、 安全管理制度-16 5、2、 1、业务网服务器上线及日常管理制度-16 5、2、2、 安全产品管理制度-17 5、2、3、 应急响应制度-17 5、2、4、 制度运行监督-17 1、XX 网络安全现状 随着计算机技术和通讯技术的飞速
3、发展,网络正逐步改变着人们的工作方式和生活方 式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是 Internet 的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电 子现金,数字货币,网络银行等新兴业务的兴起,网络安全问题变得越来越重要。 计算机网络犯罪所造成的经济损失分巨大,仅在美国每年因计算机犯罪所造成的直 接经济损失就达150 亿美元以上。在全球平均每二秒就发生一次网上入侵事件。有近80%的 公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有 用户都会遭殃。面对计算机网络的种种安全威胁,必须采取有力的措施来保证
4、安全。 目前,网络技术已在 XX 行业得到了全面应用,大大提高了 XX 行业的业务处理效率和 管理水平,促成了各项创新的业务的开展,改善了整个 XX 行业的经营环境,增强了信息的 可靠性,服务于社会的手段更趋现代化。但是,同其他任何行业一样,网络安全风险的阴 霾如同网络技术的孪生子,伴随着网络技术在 XX 行业的全面应用而全面笼罩在 XX 行业的 每个业务角落。而且,对 XX 行业网络系统的攻击,可能造成国家经济命脉的瘫痪和国家经 济的崩溃,因此 XX 行业的网络安全问题是一个关系到国计民生的重大问题,也是所有网络 安全厂商非常关心的问题。目前的主要网络安全威胁包括以下方面: 非法访问:现有网
5、络系统利用操作系统网络设备进行访问控制,而这些访问控制强度 较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面 XX 行业(如银 行)开发的很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能会通过 这些接口攻击银行,造成巨大损失。 失密和窃密:利用搭线窃听窃收,使用协议分析仪器窃收计算机系统的操作密码,破 解系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息。 信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信 息。 内部人员破坏:内部人员熟悉 XX 行业网络系统的应用业务和薄弱环节,可以比较容易 地篡改系统数据、泄露信息
6、和破坏系统的软硬件。 黑客入侵:利用黑客技术非法侵入 XX 行业的网络系统,调阅各种资料,篡改他人的资 料,破坏系统运行,或者进行有目的的金融犯罪活动。 假冒和伪造:假冒和伪造是 XX 行业网络系统中经常遇见的攻击手段。如伪造各类业务 信息,未授权篡改数据,改变业务信息流的次序、时序、流向,破坏金融信息的完整性, 假冒合法用户实施金融欺诈等。 蠕虫、病毒泛滥:蠕虫、病毒泛滥可能导致 XX 行业的重要信息遭到损坏,或者导致 XX 行业网络系统瘫痪,如2003 年初的 SQL Slammer 蠕虫,导致了全国金融业务的大面积 中断。 拒绝服务:拒绝服务攻击使 XX 行业的电子商务网站无法为客户提供
7、正常服务,造成经 济损失,同时也使行业形象受到损害。 用户非法上网行为:大量 P2P/IM 应用的泛滥,导致带宽被占用和网络的严重拥塞;同 时上班炒股、网络游戏、不良网站访问等非法行为也导致了员工工作效率下降,并且极易 感染蠕虫和病毒。 此外,随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性 能要求的不断提高,网络安全管理也逐步成为网络技术发展中一个极为关键的任务,对网 络的发展产生很大的影响,成为现代信息网络中最重要的问题之一。如果没有一个高效和 统一的安全管理系统对网络安全进行管理,就很难使管理员对网络的安全状况有清楚的认 识。因此,找到一种使网络运作更安全,更实用,更
8、低廉的解决方案已成为每一个企业领 导人和网络管理人员的迫切要求。 2、 H3C 安全解决方案理念 在这种咄咄逼人的安全形势下,需要一个全方位一体化的安全部署方式。H3C 数据中心安 全解决方案秉承了 H3C 一贯倡导的“智能安全渗透理念”,将安全部署渗透到整个网络的设计、 部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到了使安全贯穿数据 链路层到网络应用层的目标,使安全保护无处不在。 智能安全渗透网络(iSPN)提出了一个整体安全架构,从局部安全、全局安全、智能安全 三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。 局部安全针对关键问题点进行
9、安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成 产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开 放融合的大安全模型,将网络安全变为从感知到响应的智能实体。 图1 智能安全渗透网络结构 2、 1、智能安全渗透网络局部安全 网络安全最基础的防护方式是关键点安全,即对出现问题的薄弱环节或有可能出现问题的 节点部署安全产品,进行27 层的威胁防范,当前企业绝大部分采用的都是这种单点威胁防御 方式。这种局部安全方式简单有效并有极强的针对性,适合网络建设已经比较完善而安全因素 考虑不足的情况。在这种方式下,H3C 强调通过“集成”来提供最佳的防御效果,即通过在
10、网 络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式,实现 了安全技术和网络技术在无缝融合上做出的第一步最佳实践。 2、2、 智能安全渗透网络全局安全 由于安全产品种类的不断丰富,使得局部安全可以应对企业的大部分基础网络安全问题。 然而此时用户意识到,局部安全的防护手段相对比较孤立,只有将产品的相互协作作为安全规 划的必备因素,形成整网的安全保护才能抵御日趋严重的混合型安全威胁。为此,H3C 推出了 全局安全理念,借助于 IToIP 的网络优势,通过技术和产品的协作,将网络中的多个网络设备、 安全设备和各组件联动起来,并通过多层次的安全策略和流程控制,向用户提供端到
11、端的安全 解决方案。以 H3C 的端点准入防御及安全事件分析机制为例,它将计算机网络、网络上的通用 操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。在统一的安全策略下,利用 各部分组件的协同联动,保证网络各端点的安全性与可控性;同时,在统一的平台上进行安全 事件的收集、整理、分析,可以做到整网安全风险的提前预防与及时控制。 2、3、 智能安全渗透网络智能安全 随着网络建设的日趋完善,面向业务的安全已经成为新的发展方向。只有理解企业业务, 将企业的业务需求及流程建设充分融合到网络安全建设中来,从信息的计算、通信及存储等信 息安全状态出发,以面向应用的统一安全平台为基础,通过安全事件的实
12、时感知、安全策略的 动态部署、网络安全设备的自动响应,将智能的安全融入企业业务流程中,形成开放融合、相 互渗透的安全实体,才能实现真正的网络安全智能化。帮助企业将业务信息的所有状态都控制 在安全管理的范围内,这样的需求正是智能安全产生的原动力。 完善的安全管理体制是加强信息系统安全防范的组织保证。iSPN 全局安全管理平台可以对 全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据,保证企业信息系统 的安全运行。iSPN 全局安全管理平台以开放的安全管理中心和智能管理中心为框架,将安全体 系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中, 通过安全策
13、略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应,在现有 安全设施的基础上构建一个智能安全防御体系,大幅度提高企业网络的整体安全防御能力。H3C 全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安 全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整 的协同防御体系。 高效的安全解决方案不仅仅在于当安全事件发生时,我们能够迅速察觉、准确定位,更重 要的是我们能够及时制定合理的、一致的、完备的安全策略,并最大限度的利用现有网络安全 资源,通过智能分析和协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础 上,
14、H3C iSPN 为实现这一目标而构建了专业安全服务、开放应用架构和可持续演进的全局安全 管理平台,通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理,将 各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来,构成了一个智能的、联 动的闭环响应体系,可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提 升对企业基础业务的安全保障。H3C 将以全新的 iSPN 理念配合先进的产品技术与日趋完善的面 向应用解决方案,为企业打造一个领先的、全面的、可信赖的 IP 安全平台。 3、 建设原则及设计思路 3、 1、安全平台设计思路 XXXXXX 的网络应用对安全的要
15、求比较高,根据对 XXXXXX 网络和应用的理解,结合在 XX 行业的成功经验,提出了如下安全建设思路。 3、1、 1、以安全为核心划分区域 现有网络大多是以连通性作为中心进行设计的,而很少考虑安全性。例如最典型的网 络三层架构模型(核心层、汇聚层、接入层架构)中,网络是向核心层集中的而并没有考 虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连 通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路 的要求对网络进行重新设计。 所谓以安全为核心的设计思路就是要求在进行网络设计时,首先根据现有以及未来的 网络应用和业务模式,将网络分为不同的安
16、全区域,在不同的安全区域之间进行某种形式 的安全隔离,比如采用防火墙隔离业务网和办公网。 针对 XXXXX 网络安全实际情况,可划分出不同的安全分区级别,详细定义如下: DMZ 区:DMZ 区包括省级网络连接贵州省电子政务网区域、INTERNET 服务区以及 贵州省劳动和社会保障厅对社会公众提供服务的服务群(如:对外发布系统服务 器区等) ,该区域都是暴露在外面的系统,因此,对安全级别要求比较高。 互联网服务区:互联网业务应用系统集合构成的安全区域,主要实现公开网站、 外部邮件系统、远程办公用户、部分分支机构以及部分合作伙伴的VPN接入等功 能。 远程接入区:合作业务应用系统集合构成的安全区域
17、,主要实现与原材料供应商、 渠道商等合作伙伴的业务应用功能。考虑到部分合作伙伴会采用VPN方式接入, 基于安全性考虑,其与互联网服务区应该有独立的物理连接。根据应用要求,可 以进一步划分为互联网业务区、VPN接入区等。 广域网分区:在之前的网络建设中,企业通过专线连接国内的分支机构。广域网 连接区就是专线网络的链路及全部路由器构成的安全区域,这一安全区域内部没 有具体的应用系统,主要实现网络连接功能,定义这一安全区域是为了方便网络 管理。 数据中心区:由贵州省金保业务服务区服务群构成,是贵州省金保一切业务应用 活动的基础,包括生产区、交换区、决策区。这个区域的安全性要求最高,对业 务连续性要求
18、也最高。要求不能随便进行任何可能影响业务的操作,包括为服务 器打补丁,管理起来也最为复杂。 网络管理区:网络管理员及网管应用系统构成的安全区域,一切网络及安全的管 理和维护工作都在这一区域完成。网络管理区域的资产在定义中属于支撑部门资 产集合,但是鉴于网络管理的特殊性,将这一部分资产独立设置安全区域。 内部办公区:数据中心内部办公计算机构成的安全区域。安全性和业务持续性要 求最低,管理难度大,最容易遭受蠕虫的威胁。 3、1、2、 用防火墙隔离各安全区域 防火墙作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络 的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网
19、络和信息安全 的基础设施。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效监不同安全网 络之间的任何活动。防火墙在网络间实现访问控制,比如一个是用户的安全网络,称之为 被信任应受保护的网络 ,另外一个是其它的非安全网络称为某个不被信任并且不需要 保护的网络 。防火墙就位于一个受信任的网络和一个不受信任的网络之间,通过一系列的 安全手段来保护受信任网络上的信息。 3、1、3、 对关键路径进行深入检测防护 虽然,网络中已部署了防火墙等基础网络安全产品,但是,在网络的运行维护中,IT 部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢。产生这个问 题的原因并不是当初网络设计不周
20、,而是自2003 年以来,蠕虫、点到点,入侵技术日益滋 长并演变到应用层面(L7)的结果,而这些有害代码总是伪装成客户正常业务进行传播, 目前部署的防火墙等安全产品其软硬件设计当初仅按照其工作在 L2-L4 时的情况考虑,不 具有对数据流进行综合、深度监测的能力,自然就无法有效识别伪装成正常业务的非法流 量,结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端 口进出网络。 因此在关键路径上部署独立的具有深度检测防御的 IPS(入侵防御系统)就显得非常 重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略 的行为有: 入侵非法用户的违规行为; 滥
21、用用户的违规行为; 深度检测防御识别出任何不希望有的活动,从而限制这些活动,以保护系统的安全。 深度检测防御的应用目的是在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警 与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。 3、1、4、 对用户非法上网行为进行识别和控制 目前网络各种应用越来越丰富,但是对于一个网络的管理员而言,非法的、未受控的 应用,会挤占合法应用带宽,同时影响企业员工的整体生产率,这些应用必须被识别并加 以控制。比如在企业网、校园网中,P2P下载、娱乐类应用占用了大量的带宽,对这些机构 正常的业务影响极大;另一方面,企业员工或高校学生,把工作或学习时
22、间消耗在一些不 必要甚至非法的网络活动上,大大影响了工作和学习效率。通过应用识别技术,可把各种 应用及其行为置于明确的可管理的前提下,并通过阻断、限流等手段实现应用控制。 3、1、5、 对全网设备进行统一安全管理并进行用户行为审计 日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护,不断追求多层次、 立体化的安全防御体系,逐步引入了防病毒、防火墙、IPS/IDS、VPN 等大量异构的单点安 全防御技术,再加上交换机、路由器等网络设备,网络结构日益复杂。然而,现有网络安 全防御体系还是以孤立的单点防御为主,彼此间缺乏有效的协作,不同的设备之间的信息 也无法共享,从而形成了一个个安全的“信息
23、孤岛” 。通过统一安全管理平台,可以对网络 中的网络设备、安全设备、服务器等进行统一管理,收集相关信息,进行关联分析,形成 安全事件报表输出,并且针对用户行为输出审计报告,有效的帮助管理员了解网络中的安 全现状与风险,提供相关解决办法和建议。 3、1、6、 根据实际需要部署其他安全系统 以上的安全系统部署基本可以涵盖一般性网络安全需求,但是很多特殊的应用也需要 特别的应用保护系统。此外管理员也需要一些其他的安全工具对网络安全运行进行审计评 估等操作。 在 XXXXXX 网络中,还需要以下安全系统和安全工具: 补丁管理系统 从公开的统计资料可以看到,在2003 年全球有80%的大型企业遭受病毒感
24、染而使得业 务系统运作受到干扰,即使这些大型企业已经具备了良好的边界安全措施,也普遍部署了 病毒防御机制。造成困境的原因,一方面当然是由于现有防御体系的缺陷,是由于现有的 边界防御、基于签名的入侵检测和防病毒系统从原理上就决定了其不擅长对付基于漏洞进 行感染的病毒,单单具备这些措施,不足以遏制病毒的泛滥。另一方面,也是由于基于漏 洞进行感染的病毒传播速度极快,以至来不及采取措施,病毒就已经大规模爆发了。这恰 好说明企业需要一些应付这种情况的措施,最好在病毒前面就消灭漏洞隐患,杜绝病毒传 播的可能。 补丁管理就是这一思想的产物,因为它的原理就是对软件进行修补从而根本上消灭漏 洞,杜绝了病毒利用漏
25、洞的可能。 漏洞扫描工具 如今,每天都有数种有关操作系统、网络软件、应用软件的安全漏洞被公布,利用 这些漏洞可以很容易的破坏乃至完全的控制系统;另外,由于管理员的疏忽或者技术水平 的限制造成的配置漏洞也是广泛存在的,这对于系统的威胁同样很严重。 一般来说,最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的 弱点和漏洞,保证系统的安全性。因此 XXXXXX 需要一套帮助管理员监控网络通信数据流、 发现网络漏洞并解决问题的工具,以保证整体网络系统平台安全。 网络流量监测与审计 对网络流量进行监测和分析是分必要的,尤其是在大型的网络环境中。利用网络流 量监测与分析系统可以实时监测网络流
26、量峰值,以及方便管理员根据分析报告来排除网络 故障,所以目前很多的大型企业都部署了专业的网络流量监测与分析系统。 4、 XXXX 网络安全解决方案 在 XXXX 总体安全规划设计中,我们将按照安全风险防护与安全投资之间的平衡原则 (主要包括层次化的综合防护原则和不同层次重点防护原则) ,提出以下的安全风险和防护 措施,从而建立起全防御体系的信息安全框架。 4、1、 1、边界安全防护 XXXXX 网络包括了省中心、地市中心、县级中心、外联单位等不同级别的安全区域, 由于各区域的管理员和使用者安全防护能力参差不齐,如有防护不当,极有可能由于个别 的漏洞而导致整个网络的崩溃,因此针对这些区域的安全防护是要考虑的重点内容。 同时,纵向业务网与将来建设的纵向办公网的数据互联接口通过省中心完成,两个网 络采用统一接口的方式互联。考虑到纵向办公网将来会预留与 Internet 的接口,纵向业务 网在物理上与办公网互联就导致了业务网间接的暴露在 Internet 环境下。 分析目前主要的安全威胁状况,要求 XXXXX 纵向业务网与办公网的接口区域安全设备 的部署可以提供以下功能: 采
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 