1、信息安全建设方案建议书五信息安全建设方案建议书(五)第1章信息安全解决方案设计在第2章里,我们分别从网络、应用、终端 及管理四个方面对公司的信息系统安全建设进 行了风险及需求的分析。同时根据第3章的安全 方案设计原则,我们将公司网络安全建设分为以 下几个方面进行了详细的方案设计:边界安全解决方案;内网安全解决方案;应用安全解决方案;安全管理解决方案;安全服务解决方案。下面我们分别针对这 5个安全解决方案进 行详细的描述。1.1边界安全解决方案在第2章的网络安全风险及需求分析中,我 们主要从外部网络连接及内部网络运行之间进 行了风险的分析。边界安全解决方案就是针对与 外部网络连接处的安全方面。网
2、络是用户业务和数据通信的纽带、桥梁, 网络的主要功能就是为用户业务和数据通信提 供可靠的、满足传输服务质量的传输通道。就公司网络系统来讲,网络边界安全负责保 护和检测进出网络流量;另一方面,对网络中一 些重要的子系统,其边界安全考虑的是进出系统 网络流量的保护和控制。针对公司网络系统,来自外部互联网的非安 全行为和因素包括:XX的网络访问身份(网络地址)欺骗黑客攻击病毒感染针对以上的风险分析及需求的总结,我们建 议在网络边界处设置防火墙系统、 安全网关及远 程访问系统等来完善公司的边界网络安全保护。1.1.1防火墙系统为在公司网络与外界网络连接处保障安全, 我们建议配置防火墙系统。将防火墙放置
3、在网络联结处,这样可以通过以下方式保护网络:为防火墙配置适当的网络访问规则,可以防 止来自外部网络对内网的XX访问;防止源地址欺骗,使得外部黑客不可能将自 身伪装成系统内部人员,而对网络发起攻 击;通过对网络流量的流量模式进行整型和服 务质量保证措施,保证网络应用的可用性和 可靠性;可以根据时间定义防火墙的安全规则,满足 网络在不同时间有不同安全需求的现实需要;提供用户认证机制,使网络访问规则和用户 直接联系起来,安全更为有效和针对性;对网络攻击进行检测,与防火墙内置的IDS 功能共同组建一个多级网络检测体系。目前新型状态检测的防火墙有效的解决并 改善了传统防火墙产品在性能及功能上存在的 缺陷
4、,状态检测防火墙具有更高的安全性、系统 稳定性、更加显著的功能特性和优异的网络性 能,同时具有广泛的适应能力。在不损失网络性 能的同时,能够实现网络安全策略的准确制定与 执行,同时有效地抵御来自非可信任网络的攻 击,并具有对防火墙系统安全性能的诊断功能。 其内置的入侵检测系统,可以自动识别黑客的入 侵,并对其米取确切的响应措施,有效保护网络 的安全,同时使防火墙系统具备无可匹敌的安全 稳定性。我们可以根据业务模式及具体网络结构方 式,不仅仅在内部网络与外部网络之间, 同时在内部网络与内部网络之间和各子业务系统之间, 考虑采用防火墙设备进行逻辑隔离,控制来自内 外网络的用户对重要业务系统的访问。
5、1.1.1.1防火墙技术部署说明(根据具体的网络情况描述)1.1.1.2产品选型及功能介绍(根据具体产品描述)1.1.2安全网关由于考虑到公司与互联网(Internet )进行 连接,所以我们建议在系统网络与In ternet接 入处配置“安全网关”,部署位置灵活,可放置 在接入路由器与防火墙之间,也可部署在防火墙 与内部网络之间。随着互联网的飞速发展和应用,计算机病毒 已将互联网作为其一种主要的传播途径。其中利 用电子邮件传播病毒是最直接的方式,统计显示 邮件传播方式占全部病毒传播的 90%上。在过 去一段时间内所发生的几起影响较大的计算机 病毒事件中,以In ternet为主要传播途径的病
6、 毒占大多数,如Nimda CodeRed等,以及近几 年爆发的Sobig.F、Swen冲击波、振荡波等等。同时,由于病毒的泛滥,垃圾邮件也越来越 成为大家头痛的问题。根据国际领导的市场调查 机构Radicati Group统计,目前所有的邮件中, 超过50%是垃圾邮件,也就是说每天在国际上 有超过150亿封垃圾邮件被发送出去,使各类企 业每年遭受到200亿美元以上由于劳动生产率 下降及技术支出带来的损失,到 2007年垃圾邮 件数量将上升到惊人的2万亿封一年。经过上述风险及需求的分析,在 In ter net接入处对病毒、垃圾邮件及恶意代码进行控制,是实现接入安全的最佳方案。通过配置“安全网
7、 关”,我们可以实现:保证所有主要的In ter net协议的安全,包 括HTTP FTP SMTP POP3等信息在进入内 部网络前由安全网关进行查杀毒;过滤所有来自互联网的垃圾邮件;通过SMTF认证保证邮件服务器不会被黑客 当作攻击别人的跳板等。1.121产品选型及功能描述安全网关的目标是在网络边界或 In ter net网关处提供全面的病毒防护,而该病毒防护设备 是即插即用的,不需要改变任何In ternet设置, 并对所有应用及服务透明。通过全面阻截已知及 未知病毒和防垃圾邮件功能和内容过滤功能达 到针对企业网络环境的全面防护。安全网关是一 款高度可配置及提供负载均衡的产品,为从中型
8、到大型企业提供全面解决方案,并对网络流量透 明。主要模块防病毒模块 能够扫描最常用的6种协议,阻止未知病毒 和计算机蠕虫进入公司网络防垃圾模块安全网关通过其反垃圾邮件模块检查进入 公司的所有邮件。信息被扫描并且被划分成 垃圾或非垃圾,在未被请求的邮件到达用户 信箱之前进行阻断或修改这些信息的主题内容过滤模块网页过滤模块允许管理员限制因特网访问。可以定义不受欢迎内容目录,授权和非授权 网页。允许管理员控制公司网络资源,并且 阻断非法,黄色或暴力网站内容,或只是不 受欢迎内容进入公司。可以建立VIP用户列 表,这些用户不需应用上述限制主要特点:易于使用:安全网关是目前世面上最易于安 装及使用的硬件
9、网关产品,作为网络信息传 递的桥梁而非需要重新路由网络流量。安全:安全网关扫描6种网络协议,而其他 硬件网关产品仅能够扫描 2到4种网络协 议。在安全网关安装在企业边界上时,它实时扫描所有收入及发出邮件及其他的网络 传输信息,并且具有防垃圾邮件功能和内容 过滤功能表现性能:安全网关的最大性能是可以取得 完全扫描及病毒防护。安全网关的硬件及软 件性能经过特殊优化处理,能够同时扫描6 种网络协议,并且完全对企业网络透明。扩展性:安全网关专门针对自动负载均衡设 计,使增加扫描的速度及增加网络防护可以 随时达到。并可支持到百兆。功能及优势:性能高度优化的病毒防护 整合最新硬件 及软件技术,提供超乎寻常
10、的优异性能,能 够在一个小时内扫描上万封邮件,完全对企 业网络透明。性能高度优化的垃圾邮件防护 整合最新硬件及软件技术,提供超乎寻常的优异性能,能够在一个小时内扫描上万封邮件,完 全对企业网络透明拓展性及负载均衡 由于安全网关的高度可拓展性,安全网关适合中到大型企业,能 够根据网络通讯流量调节扫描能力。负载均 衡是完全自动的,允许工作负载量能够自动 在不同工作单元间进行均衡,良好地保障了 产品的可拓展性及对企业边界的全面防护。易于安装及配置按照即插即用的设计思 路,能够非常简便地安装在企业网络中,不 需要重新配置或重新路由In ter net流量。 一旦安装完成,就开始不知疲倦地扫描所有 网络
11、流量,保障网络的100%安全。保护所有广泛使用的网络协议 保护所有可能的In ter net相关威胁,完全扫描所有 常用 In ternet 协议,包括:HTTP,FTP, SMTP, POP3, IMAP, NNTP.内容过滤 内容过滤防止未知病毒及蠕虫 进入企业网络,大幅减少整体网络资源占用 及带宽,防止可能的恶意代码进入到企业网 络。远程管理可以通过一个简洁、启发式的 WEB管理控制台远程管理,让企业网络管理员通过企业内部任何一台电脑管理该产品。 每日自动病毒更新 可以每日自动病毒更 新,意味着安全网关始终可以防护所有最新详细报告及可客户化的报警安全网关提供 完整的扫描报告,并可以客户化
12、在企业内部 网络的病毒报警机制。实时系统监控安全网关提供网络管理员对 网络病毒行为及网络流量的实时监控。1.1.3 远程访问安全根据前面的风险及需求分析可知,公司在通 过In ternet互连及远程访问方面,主要存在着 以下两种类型:公司总部与分支机构之间的远程访问及互 连;公司与合作伙伴之间的远程访问及互连。在总部与分支之间的互连,一般要求将分支 机构的网络接入到总部网络。而与合作伙伴的互 连一般情况下合作伙伴访问企业固定的某些应用系统。同时,远程应用中还存在着一种情况, 即用户出差或移动状态中需要在远程访问安全方面,我们分别针对这两类 应用类型设计了相应的 VPN远程访问系统。1.131分
13、支与总部的连接目前,由于VPN(虚拟专网)比租用专线更 加便宜、灵活,所以有越来越多的公司采用 vpn 连接在家工作和出差在外的员工,以及替代连接 分公司和合作伙伴的标准广域网。VPN建在互联 网的公共网络架构上,通过“隧道”协议,在发 端加密数据、在收端解密数据,以保证数据的私 密性。如在企业分部与企业总部之间,及企业员工 与企业核心数据之间,都可建立起端到端的逻辑 隧道仃unnel),所谓“隧道”是指其中所传递的 数据都经过特殊包装和加密处理,从而能与同一 物理链路中其它数据区别开来,避免被不法用户 所窃取,只有在隧道的始末两端才可能添加和去 除这些特殊包装以得到真实的数据。 在通过公共
14、网络(如In ter net)传递业务数据时,这项技术 尤为必要。现在大多数远程安全访问解决方案是采用 IPSec VPN方式,应用最广泛的组网结构是在站 点到站点的VPN组网方式。IPSec是网络层的VPN 技术,表示它独立于应用程序。IPSec以自己的 封包封装原始IP信息,因此可隐藏所有应用协 议的信息。一旦IPSec建立加密隧道后,就可以 实现各种类型的一对多的连接,如 Web电子邮 件、文件传输、VoIP等连接。并且,每个传输 必然对应到VPN网关之后的相关服务器上。在设 计上,IPSec VPN是一种基础设施性质的安全技 术。这类VPN的真正价值在于,它们尽量提高 IP环境的安全性
15、。IPSec VPN的诱人之处包括, 它采用了集中式安全和策略管理部件,从而大大 缓解了维护需求。1.132应用系统的远程访问信息技术发展到现在,Web成为标准平台已 势不可挡,越来越多的企业开始将 ERP CRMSCM移植至U Web上。SSL VPN将是Web应用热潮 的直接受益者,它被认为是实现远程安全访问 Web应用的最佳手段。很多情况下,如采用 SSL VPN的能够就是降低成本。虽然购买软件或硬件 的费用不一定便宜,但部署 SSLVPNT艮便宜。安 装了这类软件或硬件,使用者基本上就不需要 IT部门的支持了,只要从其PC机上的浏览器向 公司网注册即可。SSL连接也更稳定,据 Info
16、netics 最近发表的报告表明,SSL将不断 获得吸引力。到2006年,74%勺移动员工将依赖 VPN (比2004年增加15%,预计增长率主要来 自SSL,这种IPSec以外的方案避开了部署及管 理必要客户软件的复杂性和人力需求。最终用户 避免了携带电脑,通过与因特网连接的任何设备 就能获得访问,SSL更容易满足用户对移动连接 的需求。用户通过与因特网连接的任何设备实现 连接,并借助于SSL隧道获得安全访问。虽然这 需要在企业防火墙后面增添硬件,但企业只要管 理一种设备,不必维护、升级及配置客户软件。SSL VPN将远程安全接入延伸到IPSec VPN 扩展不到的地方,使更多的员工,在更多
17、的地方, 使用更多的设备,安全访问企业网络资源,同时 降低了部署和支持费用。SSL VPN正在成为远程 接入的事实标准。SSL VPN可以在任何地点,利用任何设备, 连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上,具有穿越防火墙的能力。这 种能力使SSLVPN能够从一家用户网络的代理防 火墙背后安全访问另一家用户网络中的资源。IPSec VPN通常不能支持复杂的网络,这是因为 它们需要克服穿越防火墙、IP地址冲突等困难。 鉴于IPSec客户机存在的问题,IPSec VPN实际 上只适用于易于管理的或者位置固定的设备。SSL VPN是基于应用的VPN基于应用层上 的连接意
18、味着(和IPSec VPN比较),SSLVPN更 容易提供细粒度远程访问(即可以对用户的权限 和可以访问的资源、服务、文件进行更加细致的 控制,这是IPSec VPN隹以做到的)。IPSec VPN 和SSL VPN将在网络组网中发挥各自的优势。在公司的远程访问安全中,由于分别存在着 这两种情况,因此我们建议在方案中采用 IPSec 和SSL VPN相结合的部署方式:总部与分支机构之间的需要通过现有的 In ternet 进行互连,提供分支机构对总部 网络的访问。因此,采用基于IPSec的站点 到站点的VPN接入是比较理想的接入方式。出差用户及远程移动用户访问公司内部应 用、及合作伙伴访问某些
19、特定的业务应用系 统,采用SSLVPN方式更能有效的满足应用 的需求。1.133产品选型及功能说明(根据具体的产品功能描述)1.1.4 入侵检测系统根据之前的安全风险与安全需求分析,在公 司网络中,由于直接接入In ter net及内部网络 用户众多,可能面临的风险及威胁有:拒绝服务攻击(DoS :通过消耗网络带宽资 源或网络设备处理能力资源,使正常的服务 和数据通信对网络的传输质量要求得不到 满足。尼姆达(Nimda)病毒冲击波(Blaster, Nachi)病毒就是非常典型例子。信息窃听资源滥用:内部人员访问不当站点、玩网络 游戏,浪费网络资源,使正常的服务和数据 通信得不到保障。管理失控
20、:通过窃取网络设备的管理权而使网络失去安全性因此,我们在方案中建议在网络中部署入侵 检测系统来入侵及滥用行为进行检测及审计。通 过在网络中部署入侵检测系统,可以在安全保障 上做到:检测和发现针对系统中的网络攻击行为,如 DoS攻击。对这些攻击行为可以采取记录、 报警、主动阻断等动作,以便事后分析和行 为追踪。通过定义禁止访问网站,限制内部人员对不 良站点的访问。对一些恶意网络访问行为可以先记录,后回 放,通过这种真实地再现方式更精确的了解 攻击意图和模式,为未来更有效地的防范类 似攻击提供经验“入侵检测系统”可以提供强大的网络行 为审计能力,让网络安全管理员跟踪用户(包括黑客)、应用程序等对网
21、络的使用情 况,帮助他们改进网络规划。对“入侵检测系统”的使用和使用人员的管 理一定要有专门的制度。IDS最主要的功能是对网络入侵行为的检 测,它包括普通入侵探测和服务拒绝型攻击探测 引擎,可以自动识别各种入侵模式,在对网络数 据进行分析时与这些模式进行匹配,一旦发现某 些入侵的企图,就会进行报警。IDS也支持基于 网络异常状况的检测方式。IDS具有强大的碎片 重组功能,能够抵御各种高级的入侵方式。为了 跟踪最新的入侵方式和网络漏洞,IDS提供大容 量的入侵特征库以及方便的升级方式,每一个漏 洞都提供了详细的说明和解决方法,并且给出了 相关的Bugtraq、CVE以及CAI等国际标准的编 号。
22、IDS能够基于时间、地点、用户账户以及协 议类型、攻击类型等等制定安全策略。通过对安 全策略的调整,用户能够很方便地将IDS自定义 成为符合自己组织需要的入侵检测系统。而且, 通过IDS提供的正则表达式,用户能够方便地对 入侵特征库进行扩充,添加需要的入侵特征,并 且能够对入侵的响应过程进行自定义。 比如用户 需要在发现某种特定类型的攻击方式的时候启 动一段自己编写的程序以完成某项功能的时候, 就可以利用IDS提供的接口灵活而方便地进行 配置完成。在抵御拒绝服务攻击的功能上,IDS不仅仅 能够进行攻击的报警,而且能够主动切断攻击。 由此产生的大量日志能够通过 IDS具备的强大的工作区切换功能进
23、行存储和转发,大大提高了 网络入侵检测系统本身的抗攻击能力。 为了进一 步提高IDS的抗攻击能力,IDS还支持Stealth 模式的配置,就是无IP设置。这样攻击者就无 法访问运行IDS安全工作站,也就无法对IDS进 行直接攻击。1.141产品部署说明(根据具体的网络情况描述)1.1.4.2产品选型及功能描述(根据具体的产品描述)1.2 内网安全解决方案面对网络信息安全的各种风险,我们在边界 及网关处的安全解决方案解决了许多安全问题。 例如:在网络边界,通过防火墙对网络连接和访 问的合法性进行控制,通过网关过滤设备对数据 流非法内容进行控制;在网络传输上,通过入侵 检测监视黑客攻击和非法网络活
24、动等。但针对于 内部网络我们仍然面临着诸多的安全问题。 传统 上,我们通过漏洞扫描发现系统缺陷; 在主机设 备,通过主机加固加强主机防护能力,通过防病 毒、反间谍软件预防恶意代码等。然而随着网络的发展,病毒及恶意代码本身 的技术越来越先进,其防护也越来越复杂。而且 随着计算机技术及应用的普及,桌面用户的行为 也越来越超出网管员的管理能力范畴。 因此,在 考虑内部网络安全时,如果有效的管理网络及终 端将是我们考虑的主要问题。在此我们通过以下三种手段来完成基于终端的安全管理:通过部署网络防病毒系统来完善企业整体 防病毒及恶意威胁的能力;通过漏洞扫描或风险评估工具 来发展漏洞、 脆弱性及威胁,并通过
25、补丁分发系统对漏洞 及脆弱性进行及时的矫正及补充;通过终端安全管理系统对桌面设备及用户 进行安全管理及规范,有效保证终端的安 全。1.2.1 企业防病毒系统目前公司网络系统中并没有一套完整的防 病毒策略和技术方案,工作站安装的防病毒软件 各种各样,甚至有些服务器与工作站没有安装防 病毒软件,部分工作上使用的防病毒软件病毒特 征代码没有及时更新,没有对防病毒软件进行统 一的管理。鉴于防病毒的重要性和资源服务器系 统网络的当前状况,需要建立一套完整的防病毒 系统,把病毒对网络的威胁降到最低。目前企业整体防病毒解决方案均已比较成 熟。在此我们针对传统企业防病毒系统部署强调 以下几点:全面性:实施网络
26、防毒系统时,应当对网络 内所有可能作为病毒寄居、传播及受感染的 计算机进行有效防护。避免有“遗忘的角落” 造成病毒传播的源泉;功能及易用性:一方面需要对各种病毒进行有效杀、防;另一方面,也要强调网络防毒 在实施、操作,维护和管理中的简洁、方便 和高效,最大限度地减轻使用人员和维护人 员的工作量;资源占用:防毒系统和企业现行计算机系统 的兼容性、防毒软件的运行效率及占用资源 等是企业防病毒系统必须考虑的问题。 部署 时考虑到企业现有的计算环境及应用平台, 是否与需求资源相匹配;管理体系:为了保证防病毒系统的一致性、 完整性和自升级能力,还必须要有一个完善 的病毒防护管理体系,负责病毒软件的自动
27、分发、自动升级、集中配置和管理、统一事 件和告警处理、保证整个企业范围内病毒防 护体系的一致性和完整性。防病毒策略:这个是企业防病毒系统最容易 被忽略的地方。系统必须明确地规定保护的 级别和所需采取的对策,并制定系统的防病 毒策略和部署多层防御战略,服务器防病 毒、个人桌面计算机防病毒以及所有防病毒 产品的统一管理,不要让网络系统中存在“木桶效应”。一个良好的防病毒解决方案需要做到“层层 防护,处处设防”,全方位多层次部署防病毒体 系。我们为公司网络中提供一个稳定高效、 技术一流、方便管理、服务周全的病毒防护解决方案, 满足网络系统对病毒防护系统设计的业务需求, 确保网络系统能有效抵御各种病毒
28、和恶意程序 的攻击。在公司网络中建立病毒防护管理服务器,所 有的防毒对象(工作站和服务器)均采用安装代 理的方式来实现集中控管。防毒服务器全面控制 防毒代理的运行、升级和删除等权限。可以通过 防毒服务器自动分发防毒策略和防病毒升级特 征库,而整个防毒体系只需要网管与网络安全管 理中心的防毒服务器去Internet自动获取病毒 库升级就可以自动完成全网的升级工作。 极大地 提高了防毒工作的效率。并且这种二层架构的网 络防毒体系具有很好的扩展性。121.1产品选型及功能描述N0D3企业级防病毒安全套装是一个高性能 和稳定的防病毒解决方案,它方便了对网络中所 有计算机的保护配置和更新,这些计算机包括
29、: 工作站,文件服务器,Excha nge和Domi no邮件 服务器,SMTP网关和边界服务器。它不仅抵御 病毒,蠕虫和特洛依木马,还防护新的英特网攻 击,如垃圾邮件,间谍程序,拨号器,黑客工具 和恶作剧,以及针对系统漏洞,并提供保护阻止 安全冒险。入侵防护采用了新一代的防护技术,它比传 统的检测系统更加智能化,能在第一时间发现新 的威胁,并阻断企图越过传统防病毒软件的未知 病毒的攻击,不管该未知病毒是以下列何种方式 传播:外围设备、局域网共享资源、电子邮件 E-mail、互联网。入侵防护是市场上唯一一款集 已知和未知威胁防护于一身的入侵防护软件, 能 最大程度地抵御病毒、木马、蠕虫等网络威
30、胁。入侵防护企业版主要特性包括:发现并清除未知病毒:结合了多种恶意代码 程序的检测及阻断技术,能有效发现并清除 未知病毒。缓冲区溢出防护:不仅能抵御已知的安全漏 洞攻击,而且能防护未知的攻击。能在第一 时间保护系统内的缓冲区溢出漏洞不会被 恶意代码利用作为攻击的手段,即使还没有 任何针对该漏洞的资料和补丁程序。防护性的阻断感染:可以在网络层防止病毒 和蠕虫在企业网络中传播。安全政策定义:通过建立安全政策来控制计 算机上运行的程序可执行的操作,使网管人 员能对企业网络内所有的计算机进行整体 控制管理、定义并干预正当的及被禁止的操 作。新一代的防护技术,能抵御所有类型的互联 网威胁:包括病毒、木马
31、、蠕虫等。无可比拟的集中式部署:能不受地域限制, 对企业组织中所有的工作站进行客户端分 发和集中管理。占用资源最小化:是在低带宽环境下保护笔 记本电脑的理想方案。基于通用标准的技术:优化网络内的防病毒 更新速度。友好直观的用户界面:避免混淆和误操作在第2章里我们针对终端的安全进行了详 细风险及需求的分析。终端安全是我们整体解决 方案里不可或缺的部分,因为终端安全是我们日 常安全工作是最重要也是需要关注最多的部分。 因此相应的终端安全的解决方案必须做到:统一、灵活的安全策略所有的安全管理都是通过策略集的定制和 分发来完成的,支持集中的安全管理,便于整个 系统的统一管理。安全策略分为用户策略和全局
32、 策略两类。一般情况下,用户终端工作在网络环 境下,接受在线环境下用户策略的控制; 对于移 动办公的笔记本电脑等移动终端,接受脱机情况 下全局策略的保护。管理员可根据组织机构划分管理权限,不同 的管理者具有不同的权限和管辖范围, 支持系统 清晰的职权划分。安全策略可以分组分类,不同 的策略组所起的控制作用和使用范围也不同。为 了简化策略的管理,我们将用户按照角色来管 理;对不同的角色实施不同的安全策略。策略涉及多个层次:物理和环境、链路和操 作、网络、设备、系统、应用、数据、人员等各 个层面的安全策略制定、部署和实施,帮助客户 有效实现网络安全建设。策略层次如下图所示:人员安全安全策略 和管理系统安全 应用安全 数钢安全网緞全 设备安全铤路和操作安全物理和环境安全多层面、全方位保护系统的保护覆盖了“系
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 