企业网络安全综合设计方案.docx

1、企业网络安全综合设计方案For personal use only in study and research; not for commercial useXXX企业网络安全综合设计方案For personal use only in study and research; not for commercial useFor personal use only in study and research; not for commercial useFor personal use only in study and research; not for commercial use四川川大能

2、士信息安全有限公司2002年3月1 XXX企业网络分析此处请根据用户实际情况做简要分析2 网络威胁、风险分析针对XXX企业现阶段网络系统的网络结构和业务流程，结合XXX企业今后进行的网络化应用范围的拓展考虑，XXX企业网主要的安全威胁和安全漏洞包括以下几方面：2.1内部窃密和破坏由于XXX企业网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员（或外部非法人员利用其它部门的计算机）通过网络进入内部网络，并进一步窃取和破坏其中的重要信息（如领导的网络帐号和口令、重要文件等），因此这种风险是必须采取措施进行防范的。2.2 搭线（网络）窃听这种威胁是网络最容易发生的。攻击者可以采用

3、如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息（尤其是敏感信息）的内容。对XXX企业网络系统来讲，由于存在跨越INTERNET的内部通信（与上级、下级）这种威胁等级是相当高的，因此也是本方案考虑的重点。2.3 假冒这种威胁既可能来自XXX企业网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。

4、2.4 完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息，从而影响工作的正常进行。2.5 其它网络的攻击XXX企业网络系统是接入到INTERNET上的，这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。2.6 管理及操作人员

5、缺乏安全知识由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术认识不足，很容易使安全设备/系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。由于网络安全产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使安全设备能够尽量发挥其作用，避免使用上的漏洞。2.7 雷击 由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。因此，

6、为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏，有必要对整个网络系统采取相应的防雷措施。注：部分描述地方需要进行调整，请根据用户实际情况叙述。3 安全系统建设原则XXX企业网络系统安全建设原则为：1)系统性原则XXX企业网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。2）技术先进性原则XXX企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运

7、行的可靠性和稳定性。3）管理可控性原则系统的所有安全设备（管理、维护和配置）都应自主可控；系统安全设备的采购必须有严格的手续；安全设备必须有相应机构的认证或许可标记；安全设备供应商应具备相应资质并可信。安全系统实施方案的设计和施工单位应具备相应资质并可信。4）适度安全性原则系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行。5）技术与管理相结合原则XXX企业网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的

8、同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则。 6）测评认证原则XXX企业网络系统作为重要的政务系统，其系统的安全方案和工程设计必须通过国家有关部门的评审，采用的安全产品和保密设备需经过国家主管理部门的认可。7）系统可伸缩性原则XXX企业网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。4 网络安全总体设计一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安全、安全管理

9、等，而一个安全系统的安全等级，又是按照木桶原理来实现的。根据XXX企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面进行安全设计： 网络系统安全； 应用系统安全； 物理安全； 安全管理；4.1 安全设计总体考虑根据XXX企业网络现状及发展趋势，主要安全措施从以下几个方面进行考虑： 网络传输保护主要是数据加密保护 主要网络安全隔离通用措施是采用防火墙 网络病毒防护采用网络防病毒系统 广域网接入部分的入侵检测采用入侵检测系统 系统漏洞分析采用漏洞分析设备 定期安全审计主要包括两部分：内容审计和网络通信审计 重要数据的备份 重要信息点的防电磁泄露 网络安全

10、结构的可伸缩性包括安全设备的可伸缩性，即能根据用户的需要随时进行规模、功能扩展 网络防雷4.2 网络安全 作为XXX企业应用业务系统的承载平台，网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换，4.2.1 网络传输由于XXX企业中心内部网络存在两套网络系统，其中一套为企业内部网络，主要运行的是内部办公、业务系统等；另一套是与INTERNET相连，通过ADSL接入，并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上

11、任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统，因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护。根据XXX企业三级网络结构，VPN设置如下图所示：图4-1三级 VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPN-CA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网

12、络化管理。可达到以下几个目的： 网络传输数据保护；由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护，并可同时采取加密或隧道的方式进行传输 网络隔离保护；与INTERNET进行隔离，控制内网与INTERNET的相互访问 集中统一管理，提高网络安全性； 降低成本（设备成本和维护成本）；其中，在各级中心网络的VPN设备设置如下图：图4-2 中心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。下

13、级单位的VPN设备放置如下图所示：图4-3 下级单位VPN设置图从图4-4可知，下属机构的VPN设备放置于内部网络与路由器之间，其配置、管理由上级机构通过网络实现，下属机构不需要做任何的管理，仅需要检查是否通电即可。由于安全设备属于特殊的网络设备，其维护、管理需要相应的专业人员，而采取这种管理方式以后，就可以降低下属机构的维护成本和对专业技术人员的要求，这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程，是由许多因素决定的，而不是仅仅采用高档的安全产品就能解决，因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理，因而很容易因为某个设

14、备的设置不当，而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的，因此，容易出现上述现象；同时，每个维护人员的水平也有差异，容易出现相互配置上的错误使网络中断。所以，在安全设备的选择上应当选择可以进行网络化集中管理的设备，这样，由少量的专业人员对主要安全设备进行管理、配置，提高整体网络的安全性和稳定性。4.2.2 访问控制由于XXX企业广域网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访

15、问控制最成熟的是采用防火墙技术来实现的，本方案中选择带防火墙功能的VPN设备来实现网络安全隔离，可满足以下几个方面的要求： 控制外部合法用户对内部网络的网络访问； 控制外部合法用户对服务器的访问； 禁止外部非法用户对内部网络的访问； 控制内部用户对外部网络的网络； 阻止外部用户对内部的网络攻击； 防止内部主机的IP欺骗； 对外隐藏内部IP地址和网络拓扑结构； 网络监控； 网络日志审计；详细配置拓扑图见图4-1、图4-2、图4-3。由于采用防火墙、VPN技术融为一体的安全设备，并采取网络化的统一管理，因此具有以下几个方面的优点： 管理、维护简单、方便； 安全性高（可有效降低在安全设备使用上的配置

16、漏洞）； 硬件成本和维护成本低； 网络运行的稳定性更高由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机两个设备而言，其稳定性更高，故障率更低。4.2.3 入侵检测网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。控制台用作制定及管理所有探测器（网络引擎

17、）。探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。入侵检测系统的设置如下图： 从上图可知，入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报警、通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设备自适应机制），最后将攻击行为进行日志记录以供以后审查。4.2.4 漏洞扫描作为一个完善的通用安全系统，应当包含完善的安全措施，

18、定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性，而是随着时间的推移和技术的发展而不断下降的，同时，在使用过程中会出现新的安全问题，因此，作为安全系统建设的补充，采取相应的措施也是必然。本方案中，采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相应的漏洞并告警，自动提出解决措施，或参考意见，提醒网络安全管理员作好相应调整。4.2.5 其它对复杂或有特殊要求的网络环境，在采取安全措施上应当特殊考虑，增加新的安全措施。4.3 应用系统安全4.3.1 系统平台安全XXX企业各级网络系统平台安全

19、主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患。XXX企业网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统，针对通用OS的安全问题，对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台，在选择性地用好NT安全机制的同时，应加强监控管理。4.3.2 应用平台安全XXX企业网络系统的应用平台安全，一方面涉及用户进入系统的身份鉴别与控制，以及使用网络资源的权限管理和访问控制，对安全相关操作进行的审计等。其中的用户应同时包括各级管理员

20、用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时，应当尽量选择国内软件开发商进行开发，系统类型也应当尽量采用国内自主开发的应用系统。4.3.3 病毒防护因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时

21、应当注意几个方面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。病毒对信息系统的正常工作运行产生很大影响，据统计，信息系统的60%瘫痪是由于感染病毒引起的。 系统设计原则为了更好的解决病毒的防范，一般要求病毒防范系统满足如下要求： 采用世界最先进的防毒产品与XXX网络网络系统的实际需要相结合，确保XXX网络系统具有最佳的病毒防护能力的情况下综合成本最少。 贯彻川大能士“层层设防，集中控管，以防为主、防治结合”的企业防毒策略。在XXX

22、网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件，通过这种全方位的、多层次的防毒系统配置，使企业网络免遭所有病毒的入侵和危害。 充分考虑XXX网络的系统数据、文件的安全可靠性，所选产品与现系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。 应用全球最为先进的“实时监控”技术，充分体现趋势科技“以防为主”的反病毒思想。 所选用产品具备对多种压缩格式文件的病毒检测。 所选用产品易于安装、操作简便、便于管理和维护，具有友好的用户界面。 应用经由ICSA（国际电脑安全协会）技术认证的扫描引擎，保证对包括各种千面人病毒、变种病毒和黑客程序等具有最佳的病毒侦测率

23、，除对已知病毒具备全面的侦防能力，对未知病毒亦有良好的侦测能力。强调在XXX网络防毒系统内，实施统一的防病毒策略、集中的防毒管理和维护，最大限度地减轻使用人员和维护人员的工作量。 完全自动化的日常维护，便于进行病毒码及扫描引擎的更新。 提供良好的售后服务及技术支持。 具有良好的可扩充性，充分保护用户的现有投资，适应 XXX网络系统的今后发展需要 产品应用根据XXX企业网络系统的结构和应用特点，病毒防御可采取多种措施： 网关防毒； 服务器防毒； 客户端防毒； 邮件防毒；应用拓扑如下图：图4-4病毒应用拓扑图在网络骨干接入处，安装防毒墙（即安装有网关杀毒软件的独立网关设备），由防毒墙实现网络接入处

24、的病毒防护。由于是安装在网络接入处，因此，对主要网络协议进行杀毒处理（SMTP、FTP、HTTP）。在服务器上安装单独的服务器杀毒产品，对服务器进行病毒保护。由于内部存在几十个网络客户端，如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品（客户端杀毒软件的工作模式是服务器端、客户端的方式）的服务器端，由客户端通过网络与服务器端连接后进行网络化安装。对产品升级，可通过在服务器端进行设置，自动通过INETRNET进行升级，再由客户端到服务器端进行升级，大大简化升级过程，并且整个升级是自动完成，不需要人工操作。对邮件系统，可采取安装专用邮件杀毒产品，通过在邮件服务器上

25、安装邮件杀毒程序，实现对内部邮件的杀毒，保证邮件在收、发时都是经过检查的，确保邮件无毒。通过这种方法，可以达到层层设防的作用，最终实现病毒防护。4.3.4 数据备份作为国家机关，XXX企业内部存在大量的数据，而这里面又有许多重要的、机密的信息。而整个数据的安全保护就显得特别重要，对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点： 存储介质安全在选择存储介质上应选择保存时间长，对环境要求低的存储产品，并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。 数据安全即数据在备份前是真实数据，没有经过篡改或含有病毒。 备份过程安全确保数据在备份时是没有受到外界任何干扰，包括

26、因异常断电而使数据备份中断的或其它情况。 备份数据的保管对存有备份数据的存储介质，应保存在安全的地方，防火、防盗及各种灾害，并注意保存环境（温度、湿度等）的正常。同时对特别重要的备份数据，还应当采取异地备份保管的方式，来确保数据安全。对重要备份数据的异地、多处备份（避免类似美国911事件为各公司产生的影响）4.3.5 安全审计作为一个良好的安全系统，安全审计必不可少。由于XXX企业是一个非常庞大的网络系统，因而对整个网络（或重要网络部分）运行进行记录、分析是非常重要的，它可以让用户通过对记录的日志数据进行分析、比较，找出发生的网络安全问题的原因，并可作为以后的法律证据或者为以后的网络安全调整提

27、供依据。4.3.6 认证、鉴别、数字签名、抗抵赖 由于XXX企业网络系统庞大，上面存在很多分级的重要信息；同时，由于现在国家正在大力推进电子政务的发展，网上办公已经越来越多的被应用到各级政府部门当中，因此，需要对网上用户的身份、操作权限等进行控制和授权。对不同等级、类型的信息只允许相应级别的人进行审阅；对网上公文的处理采取数字签名、抗抵赖等相应的安全措施。4.4 物理安全XXX企业网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。4.4.1 两套网络的相互转换由于XXX企业内部网络系统具有两

28、套网络，这两套网络系统是完全物理隔离的，而企业内部有部分用户需要两个网络都要接入，这就涉及到两个网络之间的相互切换问题。而现在的实际使用是采用手工拔插网线的方式进行切换，这使得使用中非常不方便。因此，本方案建议采用网络隔离卡的方式来解决网络切换的问题。 隔离卡工作方式 隔离卡上有两个网络接口，一个接内网，一个接外网；另外还有一个控制口，通过控制口连接一个控制器（只有火柴盒大小），放置于电脑旁边。同时，在隔离卡上接两个硬盘，使一个计算机变为两个计算机使用，两个硬盘上分别运行独立的操作系统。这样，可通过控制器进行切换（简单的开关，类似电源开关），使计算机分别接到两个网络上。 应用 根据XXX企业网

29、络的实际情况，需要在二、三、四楼共20个信息点上安装隔离卡。其中二楼6个，三楼12个，四楼2个。4.4.2 防电磁辐射普通的综合布线系统通常都采用5类UTP的方式，由于电信号在传输时存在电磁场，并随着信号的改变而改变磁场的强弱，而UTP本身没有任何的屏蔽功能，因此容易被国外间谍机构或不法分子采取电磁波复原的方法窃取重要机密信息，造成严重后果。因而对重要信息点的数据传输介质应采取相应的安全措施，如使用屏蔽双绞线等终端设备尤其是CRT显示器均有程度不同的电磁辐射问题，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，因此除要求在订购设备上尽量选取低辐射产品外，还应根据保护对象分别采取主动式的干扰设

30、备（如干扰机来破坏对信息的侦窃），或采用加装带屏蔽门窗的屏蔽室。4.4.3 网络防雷由于XXX企业网络系统的物理范围主要是在一栋大楼内，而大楼本身已采取相应的防雷措施，因此，本方案中主要针对网络系统防雷进行设计，不包括电源防雷（这一般属于大楼防雷的部分）。不少用户为防止计算机及其局域网或广域网遭雷击，便简单地在与外部线路连接的调制解调器上安装避雷器，但由于静电感应雷、防电磁感应雷主要是通过供电线路破坏设备的，因此对计算机信息系统的防雷保护首先是合理地加装电源避雷器，其次是加装信号线路和天馈线避雷器。如果大楼信息系统的设备配置中有计算机中心机房、程控交换机房及机要设备机房，那么在总电源处要加装电

31、源避雷器。按照有关标准要求，必须在0区、1区、2区分别加装避雷器（0区、1区、2区是按照雷电出现的强度划分的）。在各设备前端分别要加装串联型电源避雷器（多级集成型），以最大限度地抑制雷电感应的能量。同时，计算机中心的MODEM、路由器、甚至HUB等都有线路出户，这些出户的线路都应视为雷电引入通道，都应加装信号避雷器。对楼内计算机等电子设备进行防护的同时，对建（构）筑物再安装防雷设施就更安全了。根据XXX企业网络结构、物理结构、电源结构分析，防雷系统可采取两级防雷措施。 骨干网络防雷； 终端防雷；以上两级避雷可使用信号避雷器来实现。根据网络连接线路的类型和带宽选择相应的避雷器。4.4.4 重要信息点的物理保护XXX企业各级网络内部存在重要的信息点，如内部核心应用系统，环境等都需要保护，它主要包括三个方面：（1） 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护（参见国家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求）。（2） 设备安全：主要包括设备的防盗、防毁坏及电源保护等。对中心机房和关键信息点采取多种安全防范措施，确保非授权人员无法进入。中心机房处理秘密级、机密级信息的系统均采用有效的