完整版网络安全加固最新解决方案.docx

1、完整版网络安全加固最新解决方案网络系统安全加固方案北京*有限公司2018年3月1 项目介绍1.1 项目背景随着对外网信息化的发展，业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。为了有效防范和化解风险，保证对外网信息系统平稳运行和业务持续开展,须对对外网现有的网络升级，并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。同时随着全球化和网络化，全球信息化建设的加快对我国的影响越来越大。由于利益的驱使,针对信息系统的安全威胁越来越多，必需加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能

2、力，我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理，降低运营风险,建立高效、统一、运转协调的管理体制的重要因素。1.2 项目目标满足对外网对网络系统等基础设施的需求,降低基础设施对对外网信息化发展的制约,顺利完成业务系统、网络系统与信息安全系统的整合,促进对外网信息化可持续发展。本次改造工作的主要内容：通过网络系统改造及安全加固，满足对外网日常办公需要,保障重要网络及业务系统的安全运行。1.3 参考标准本方案重点参考的政策和标准包括：中华人民共和国政府信息公开

3、条例（中华人民共和国国务院令第492号）中华人民共和国计算机信息网络国际联网管理暂行规定国务院办公厅关于做好中央政府门户网站内容保障工作的意见（国办发200531号）信息技术 信息系统安全等级保护实施指南信息技术 信息系统安全等级保护基本要求信息技术 信息系统安全等级保护方案设计规范BS7799/ISO17799信息安全管理实践准则1.4 方案设计原则本方案在设计中将严格遵循以下原则：需求、风险、代价平衡分析的原则对任一网络，绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，

4、然后制定规范和措施，确定系统的安全策略；综合性、整体性原则应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施（访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等）.一个较好的安全措施往往是多种方法适当综合的应用结果.计算机网络的各个环节,包括个人（使用、维护、管理）、设备(含设施)、软件(含应用系统)、数据等，在网络安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则

5、，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构；动态保护原则网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，又包括相应的管理手段.安全设备不是指单一的某种安全设备，而是指几种安全设备的综合。网络安全系统的动态性是指，安全是随着环境、时间的变化而变化的，在一定环境下是安全的系统,环境发生变化了（如更换了某个机器)，原来安全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了（如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了），原来的系统就会变的不安全。所以,建设的安全防护系统不是一劳永逸的事情;一致性原

6、则一致性原则主要是指网络安全问题应当与具体的安全措施保持同步,并且在网络安全建设中所采取的各类安全措施应当执行统一的安全策略，各个策略之间能够相互互补，并针对具体的问题,从不同的侧面执行一致性的策略，避免出现策略自身的矛盾和失误；强制性原则安全措施的策略应当统一下发，强制执行，应避免各个环节的安全措施各自为政，从而也保障了安全策略的一致性，保障各个环节的安全措施能够相互互补，真正的为系统提供有效的保护;易操作性原则安全措施需要人去完成,如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次,措施的采用不能影响系统的正常运行。多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。但是建立一

7、个多重保护系统,各层保护相互补充，当一层保护被攻破时,其它层保护仍可保护信息的安全。1.5 网络系统现状对外网共计约120名办公人员。办公网络通过一台二层交换机接入亦庄机房核心交换机，到机房的链路介质为两条光纤。网络系统现状拓扑目前，对外网现有四台二层交换机需要更新升级.同时办公场所没有无线网络覆盖,且无内网安全防护设备。2 网络系统升级改造方案2.1 网络系统建设要求网络系统建设要求如下：升级替换二层交换机。采用集中控管的组网方式,集中控制管理所有的AP。AP采用POE供电的方式。为了满足大容量并且以备扩容和发展，室内无线AP要求必须支持两个射频模块，可以工作在2.4GHz和5。8GHz频段

8、;无线系统能够对用户角色制定不同的策略，满足授权管理（访问控制、流量控制)功能；充分考虑WLAN的安全性,采用先进的WLAN安全技术保障.无线局域网系统要能方便和灵活地调整与扩充。为核心网络交换及安全设备提供UPS电源保证。2.2 网络系统升级改造方案网络系统升级改造方案拓扑图如下：2.2.1 有线网络升级替换四台现有二层交换机.2.2.2 新建无线网络2.2.2.1 AP布放设计根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。办公区域接入8个AP供办公人员日常业务使用。2.2.2.2 无线组网方式结合用户无线网络需求情况，结合产品自身技术特点，为了满足用户

9、构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照AP+控制器的结构化无线网络解决方案进行设计。2.2.2.3 信道规划使用2。4GHz频点为例,为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行.2.2.2.4 多业务区分设计在设计上采用无线局域网多SSID技术，设置多业务区分方式。例如一个SSID可给内部员工所用，而另一个可给外来的客户专用.2.2.2.5 无线安全性设计在无线系统中，可以在多个层面

10、对系统构筑安全防护，其安全性设计如下：（1）多SSID：可以根据需要，如用户的种类、应用的种类设置多个SSID,不同的SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该SSID不广播，用户无法看到,防止非法用户的接入。SSID还可以选择在某些AP上出现，某些AP上不出现，限制SSID出现的范围也是实现安全性的一种手段.(2）加密：无线系统支持国际标准的多种数据加密方式，保护数据不被窃取，用户可根据实际需要自行选择。（3）多重接入认证方式：厂家无线系统支持多重认证方式结合：开放式、WPAPSK、WPA2-PSK（个人）、开放式+Portal认

11、证、WPA-PSK/WPA2PSK+Portal认证、WPA(企业）、WPA2（企业）、WPA/WPA2（企业）；2.2.2.6 网络与用户管理在无线系统中可以设定用户的角色，同时，可根据角色进行访问的管控与流量的管理。比如，办公人员及领导具有较高的网络权限，可以访问更多的网络资源,或者对某些特殊的来宾开放某些VIP账号，分配给其较高权限的权限。分配较高的带宽供使用.而访客分配有限的权限，限制带宽和禁止访问内网,同时也可进行时间的限制。2.3 网络设备部署及用途本次网络系统升级改造中各设备部署及用途如下：序号设备名称数量单位用途1接入交换机1台与机房三层交换机对接2终端接入交换机4台提供终端P

12、C的接入网络3POE交换机1台为AP设备供电4AC控制器1台用于控制管理AP5室内AP8台为用户提供无线数据接入2.4 核心交换及安全设备UPS电源保证 通过核心信息机房布放核心交换机，核心网络安全设备，无线网控制器等，为保证这些设备在停电状态下的正常工作,我们配置了5K的ups电源，为核心网络设备提供延迟1小时的不间断电源保证.2.5 网络系统升级改造方案总结通过本次网络系统升级改造，网络的基础设施可以满足未来5年扩展需求。根据业务需求优化网络系统,保证网络系统可用性、工程实施的简便快捷。满足网络系统等基础设施的需求,降低基础设施对信息化发展的制约,顺利完成重要业务系统的部署及信息系统的整合

13、,促进对外网信息化可持续发展。3 网络系统安全加固技术方案3.1 网络系统安全加固建设要求网络系统安全加固建设要求如下：1、网络边界安全防护2、财务等重要部门安全防护3、限制网速,控制上网；访客可通过扫码或关注微信公众号，认证上网4、网络准入5、IPSEC VPN:与阿里云对接6、SSLVPN设备：移动办公3.2 网络系统安全加固技术方案针对系统的安全建设需求，在安全域划分的基础之上,提出了有针对性的安全技术措施，来构建整个信息安全技术防护体系.具体部署方式如下图所示：结合实际业务保障需要，本着“适度安全，保护重点”的原则，我们建议采用以下安全技术措施来构建安全保障体系的技术支撑平台.3.2.

14、1 边界安全保护措施采用防火墙,对信息网络中重要的安全域提供边界访问控制，严格控制进出网络各个安全区域的访问,明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保对外网信息网络正常访问活动。3.2.1.1 网络边界安全防护部署位置：在房与办公区域之间部署防火墙设备。部署模式：防火墙采用路由方式部署.3.2.1.2 重要部门安全防护部署位置:在行政、财务等重要部门与其他办公区域之间部署防火墙设备。部署模式：防火墙采用透明方式部署。3.2.1.3 产品功能特点“基于用户防护、“面向应用安全”、“高效转发平台”、“多层级冗余

15、架构”、“全方位可视化”及“安全技术融合”六大特性的NGFW下一代防火墙系列产品.全新的NGFW下一代防火墙产品线,不论是在性能方面还是在功能方面都完全符合用户对下一代防火墙产品的各种需求。基于用户防护灵活且强大的用户身份管理系统,支持RADIUS、TACACS、LDAP 、AD、邮件、证书、Ukey、短信等多种认证协议和认证方式。在用户管理方面，实现了分级、分组、权限、继承关系等功能，充分考虑到各种应用环境下不同的用户需求.基于上述特性,网络终端在访问网络前，被强制要求到NGFW下一代防火墙进行身份认证来完成对其的“合法性”检查。除此之外，NGFW下一代防火墙还集成了强大的安全准入控制功能,针对身份认证通过后的网络终端操作系统环境进行系统服务、软件、文件、进程、注册表等细粒度的检测与控制来实现对其的“合规性”检查.通过对网络终端“合法性”与“合规性的双重审核后，NGFW下一代防火墙将根据其身份认证信息(用户ID)通过智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控。一体化智能过滤引擎