信息安全解决方案.docx

1、信息安全解决方案某单位信息化工程网络系统安全技术方案建议书联想(北京)有限公司2002年 5月第一章 概述1.1 某单位信息化工程网络系统项目简介 某单位信息化工程网络系统（以下简称“某单位网”）项目是某单位信息化工程和国家经济信息资源网建设的重要组成部分。其根本目的在于建立政府与企业间的信息桥梁和纽带，为政府转变和行使职能服务，为国有企业转机建制及培育发展市场体系服务。其主要任务包含以下几个方面： 对构成国家经济基础的企业实行重点监测和进行信息引导； 建立企业数据库和产品数据库；对各行各业的信息资源整合优化、实现信息资源共享； 为国家进行宏观调控，保持国民经济持续、快速、健康发展提供决策支持

2、信息服务。 为企业走向市场、调整结构、进行技术改造和技术开发、生产适销对路产品提供信息引导服务，为国民经济增长的质量和效益服务。某单位信息化工程在进度上包括两个阶段，即某单位信息化工程网络系统的核心工程全国某单位系统信息专网 （以下简称“专网”）二期建设阶段和某单位接入专网阶段。通过本项目的实施，某单位可以及时的了解企业生产经营及经济运行情况，并及时、准确地将国家的宏观调控政策、企业改革与发展政策传递到重点企业，帮助企业了解国家有关兼并破产、债转股、技术改造贴息、技术创造与技术引进、扩大出口与境外投资、资源节约与利用、节能环保等政策措施，引导企业制定发展策略、技术创新规划。1.2 某单位对本项

3、安全系统建设的指导意见由于专网用来承载某单位信息化工程建设，众多的企业和应用系统都将运行于该网络平台之上，所以将涉及大量不宜公开的敏感信息，并需要同步考虑随之而来的各种安全问题。某单位的领导和技术专家高度重视信息安全问题。他们本着对事业负责的工作态度，组织专家深入分析了系统可能存在的安全隐患，并对网络安全系统设计提出了如下指导意见： 充分考虑专网的特点，结合已有的安全系统，制定全网的整体安全策略和安全保障方案。 各地某单位内部网与外连专网两者之间使用合理配置的网络安全防火墙设备。 某单位内部局域网需要设置防病毒系统，安全扫描系统，入侵检测系统。 网络安全系统的接入，以尽量不影响网络结构和运行效

4、率为原则。 网络安全系统所采用的的技术必须是实用的和成熟的。 网络安全系统必须具有自我保护能力。1.3 某单位网对信息安全厂商的基本要求信息安全是涉及多种科学和技术的综合性边沿学科，需要最先进的全系列产品与专业服务，信息安全产品与服务还需要随网络攻击技术的发展而不断发展。像某单位网这样的大型信息系统，其承载的大量敏感信息是保证国家经济健康发展的重要信息资源。因此对信息安全系统建设的产品供应商和方案与服务提供商提出了很高的要求。根据某单位网的性质和信息安全行业的特点，我们认为某单位网对信息安全厂商的选择，需要满足以下基本要求： 安全体系建设应纳入国家政治经济整体安全体系中统一考虑，按国家保密委员

5、会的要求，尽可能选择国内厂商或国内可控厂商。 选择信誉好，质量可靠的企业，以便保证得到合格的信息安全产品。 选择属于“百年老店”那类企业，以便保证能得到不间断的技术支持和持续的安全服务。1.4 联想在网络系统信息安全建设上的主要优势联想（北京）有限公司于1999年正式进入信息安全领域，目前已成立了200余人的专业团队（80%以上是研发及技术服务队伍），为政府和企业提供全面的安全解决方案。和许多中小型专业安全公司相比，联想在网络安全建设方面具有以下显著的优势： 联想（北京）有限公司作为大型IT企业，对IT应用需求有较深入的把握，拥有较深厚的人才、技术和资金优势，具有覆盖全国的技术服务体系和不断推

6、出拥有核心技术的信息安全产品的能力。 联想（北京）有限公司凭借在业界的良好信誉，以及联想研究院拥有的信息安全开放评测实验室，可以为用户对业界的各种安全产品进行评测选型，因此可以向用户推荐最好的信息安全产品。 联想（北京）有限公司把信息安全业务作为联想向高科技转型和向服务转型的探路尖兵，信息安全业务在集团内享有许多优惠条件，因此可以向最终用户提供性能价格比更高的信息安全产品和更加完善到位的信息安全服务。 联想将致力于IT服务，因此在向客户提供最新最好的安全产品和安全服务的同时，还可以为用户提供全系列的系统硬件，系统软件，以及电子政务等应用解决方案，为信息化的深度应用和生产力成倍提高，提供全方位的

7、服务。由此可以看出，联想（北京）有限公司具备为国家重企业网安全系统建设提供完整的解决方案和全面服务的条件。1.5 某单位网全面安全解决方案编制说明由于某单位对某单位网的建设采取分步实施的发展策略，而近期主要实施专网二期建设，并且根据安全隐患的严重程度和经费安排，本期项目将按照重点考虑某单位和兼顾各省级单位某单位的原则实施网络信息系统安全建设，所以本方案亦针对专网二期建设进行安全方案设计，重点考虑某单位网络信息系统的安全方案。同时，根据联想信息安全专家对信息安全工程的理解，我们认为，某单位网的安全系统建设，必须按照系统工程的方法，遵循自顶向下地统一规划、统一设计和分步实施的指导思想。因此，本方案

8、除针对某单位对本项目信息安全系统建设的指导意见进行安全方案分析设计之外，也会对专网二期建设给出今后如何进一步安全加固的建议，对某单位接入专网派生的安全问题给出解决问题的基本思路，供某单位的领导、专家和网络集成商参考。第二章 某单位网安全分析透彻地对某单位网进行安全分析，是制定科学合理的系统安全策略和设计安全方案的前提。因此，本章将根据整体网络结构，将整个信息系统划分为网络架构和应用系统等两个部分进行现状分析及安全隐患分析，然后在此基础上讨论安全需求。2.1 某单位网系统现状分析2.1.1 网络架构现状分析 骨干网某单位网项目包括专网二期建设和重点企业接入建设等两个部分。其核心工程是专网二期建设

9、，它构成出了某单位网的骨干网。根据调研了解，某单位网的骨干网是中企网络通信有限公司所提供的全程全网的、端到端的宽带MPLS VPN网，MPLS VPN是一种基于网络(Network-Based)的VPN新技术，它主要用于构造宽带Intranet、Extranet。MPLS VPN相对普通IP网具有一定的网络安全性能，并能灵活地扩展网络结构和网络应用，因此可方便地实现和重点企业在全国范围内的内部高速互连,从而使某单位的Intranet真正进入宽带互联时代。图2.1.1a 专网二期建设骨干网结构示意图专网包括核心主干节点和38个某单位节点。38个某单位节点所在的城市包括某单位(北京)、北京、哈尔滨

10、、长春、天津、石家庄、太原、呼和浩特、银川、上海、合肥、南昌、南京、长沙、海口、郑州、深圳、成都、重庆、拉萨、昆明、贵阳、西安、兰州、西宁、广州、武汉、大连、沈阳、青岛、济南、宁波、杭州、福州、厦门、乌鲁木齐、新疆生产建设兵团（乌鲁木齐）。其核心骨干网的11个节点，分别是部署于北京、沈阳、上海、深圳、济南、武汉、广州、福州、杭州、成都、乌鲁木齐，网络拓扑示意结构如图2.1.1a所示。利用MPLS VPN技术，该骨干网可进一步扩展其外部网络，连接重点企业及移动办公用户，具有成本低、效率高的特点。 某单位及其它省级某单位某单位内部网建设是某单位网的重要组成部分，也是此网络安全系统重点保护的对象。其

11、网络架构的核心是千兆多层交换机CISCO6509，楼层交换机是Catalyst2900系列产品。图2.1.1b 某单位与其它省级某单位网络拓扑结构示意图某单位内部网实施高可靠性的冗余设计，核心交换机采用双机引擎、双电源、双千兆模块；楼层交换机采用双千兆的上行链路，100Mbps到桌面；采用VLAN技术提高网络效率、可扩展性及安全性；主机部分采用双机备份，双网卡的冗余设计。其网络拓扑结构如图2.1.1b所示。其它各地某单位的网络架构各不相同，但其网络拓扑结构与某单位网络系统基本相同，在此不再一一赘述。2.1.2 应用系统现状分析某单位网目前主要承载以下应用系统： 采用邮件系统实现某单位与其它某单

12、位及某单位之间的信息交互； 通过Web信息发布系统，实现各地某单位及某单位之间的互访。随着某单位信息化工程的不断推进，越来越的应用系统，如OA、IP-Voice、H.323视讯会议、VOD等多媒体应用将逐步运行于该网络平台之上。2.2 某单位网安全隐患分析 某单位网是一个典型的广域网应用系统，我们可以按照国际上流行的安全隐患分析方法，从网络、应用和用户等三个层次来分析其可能的安全隐患。由于应用和用户结合非常紧密，所以我们可以简化为从网络架构和应用系统这两个维度来进行安全隐患分析。2.2.1 网络架构安全隐患分析在图2.1.1a和图2.1.1b中给出了专网的网络结构拓扑图，根据网络结构及其中的关

13、键网络设备的基本情况，可以确定其中所具有的网络安全隐患包括： 专网系统与Internet互联，可能遭到来自Internet的越权访问、恶意攻击、扫描和计算机病毒入侵，而目前部署的防火墙隔离系统不能完全抵御上述所有的安全威胁； 专网系统内部，各某单位之间通过专网互联，可能遭到来自各地和内部的越权访问、恶意攻击和计算机病毒的入侵；例如一个对某单位不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部和其他局网的站点，致使网络局部或整体瘫痪； 某单位网的各种信息需要通过专网相互传输，存在网络攻击者突破MPLS VPN防线窃取、篡改、删除数据的风险； 各类邮件服务器和Web服务器作

14、为信息交换中心，存在因系统故障导致系统服务中断的风险； 信息系统工作中，敏感信息存在电磁辐射和电磁传导泄漏的安全风险。2.2.2 应用系统安全隐患分析根据2.1.2对应用系统的现状分析，可以确定某单位网应用系统具有以下安全隐患： 某单位网的应用系统数据库服务器、邮件服务器和文档服务器，可能遭到其他局网或内部用户的非法存取、删改和破坏； 由于没有对邮件服务器进行相应的防护，一旦有计算机病毒通过电子邮件传播，那么就可以很迅速、方便地扩散到整个网络之中，致使许多主机瘫痪。 Web等应用服务，本身就是安全漏洞的温床，如果没有进行完善的设置和配套的安全防护，则非但该服务本身可能因信息被篡改、删除等原因，

15、无法正常运转；甚至整个网络都将被破坏掉，而无法有效地运转，比如尼姆达病毒就可以利用微软IIS服务的几个漏洞而对网络实施攻击和破坏。2.3 某单位网安全需求分析 根据对某单位网的网络现状和网络安全隐患分析，我们认为，某单位网主要有以下几个方面的安全需求。 防止来自Internet对某单位网的非授权访问和恶意攻击，防止Internet网络病毒的危害和传播。 防止某单位网本地用户和其它各省某单位节点对某单位网进行非授权访问和恶意攻击，防止本地网络病毒的危害和传播。 加强对其它各地某单位和内部用户的身份鉴别、权限控制、角色管理和访问控制管理，防止对应用系统的数据库服务器、邮件服务器及文档服务器的非法存

16、取、删改和破坏。 加强对各种网络安全事件的检测与审计，其中包括：检测来自内部和外部的黑客入侵行为，监视网络流量及各种主机设备，监视数据库系统及应用系统的运行情况，并及时告警。 实现对网站文件属性和文件内容的实时监控，可以自动、安全恢复网站文件系统。 建立完善的安全管理机制，能够有效地确保安全策略的准确执行，减少人为因素造成的系统安全事故。 定期对某单位网进行安全分析和安全评估，及时发现并修正存在的漏洞和弱点，及时调整和完善安全策略，保证某单位网的动态安全与持续安全。 完善的咨询、评估、设计、实施、培训以及实时的安全响应等信息安全专业服务。第三章 某单位网安全策略建议3.1 整体安全策略 将“统

17、筹规划、统一设计、分布实施、不断优化”的十六字方针作为某单位网安全系统建设的总体指导思想。 从网络架构、应用系统及用户管理三个层面综合规划设计网络安全保障体系， 根据安全事件发生的种类与频度，以及某单位信息化工程的推进计划，及时审议、评估和调整管理安全策略和技术安全策略。 根据不同的安全等级和某单位信息化工程总体建设计划，本期安全系统建设将某单位本地局域网作为实施的重点，将各省某单位本地局域网作为实施的对象，并兼顾各重点企业接入后的安全解决方案。 安全系统建设主要针对防毒、防黑、防越权访问等方面的安全问题进行规划设计，将冗余备份和系统容错纳入网络建设方案中统一考虑。 鉴于涉密网与某单位网实施物

18、理隔离，某单位网处理的仅是敏感信息，并不过多地涉及国家秘密，因此在某单位网安全系统建设中暂不考虑防电磁泄漏等防护措施。3.2 管理安全策略 为确保安全保障体系行之有效，确保安全策略得到持之以恒地贯彻执行，必须有相应的组织保障，为此建议某单位在现有信息管理架构下，专门成立信息安全领导小组、信息安全专家咨询小组、信息安全技术响应小组。 建议根据国家有关法律法规制定某单位计算机安全管理规定、某单位网安全技术规范、某单位网安全响应实施办法、计算机安全事件等规章制度，并严格执行。 除专门成立三个信息安全小组各司其职外，建议根据需要外聘部分专家提供信息安全战略咨询，还应在签定信息安全实施合同时，明确规定提

19、供信息安全方案和信息安全产品的厂商，履行各种常规安全服务和应急响应服务。3.3 技术安全策略 将某单位及省级某单位的本地局域网划分为内部区、对外服务区、专网接入区和Internet接入区等四个区域，各区域之间通过防火墙实现相互隔离及其访问控制。 在某单位本地局域网中部署入侵检测系统控制台，并在内部区和服务区分别部署入侵检测探测器，实现对潜在安全攻击的实时检测。 在入侵检测探测器与防火墙之间建立互动响应体系，当探测器检测到攻击行为时，利用防火墙进行实时阻断。 在某单位本地局域网中部署安全漏洞扫描系统，对本地局域网和远程局域网及其各种主机定期进行安全漏洞扫描，以便发现和堵塞漏洞。 在某单位本地局域

20、网中部署网络防病毒系统，针对所有服务器和客户机建立病毒防范体系。 在某单位本地局域网中部署网页自动恢复系统，对本地局域网所有Web服务器的多级页面实时进行防篡改监控，一旦发现页面被改写则立即恢复。 上述所有安全策略均基于在线集中式的安全监控和管理模式，确保安全策略的有效执行和管理的便捷实现。第四章 某单位网总体安全方案建议本章着重围绕网络安全策略中的技术安全策略，设计某单位网的总体安全解决方案。4.1 安全方案设计原则本方案在设计时，将严格遵循以下基本原则： 安全性原则： 充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。 可靠性原则： 保

21、证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。 先进性原则： 具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。 可推广性原则： 方案及其采用的技术应该支持系统规模的扩大和网点数量的增加，易于广泛推广。 可扩展性原则： IT技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性，充分保护当前的投资和利益。 兼容性原则： 系统的标准化程度很高，可以做到不同应用系统间的完全兼容；同时，也可以根据特殊的要求给出不兼容的设计。 可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。4.2 信息系统安全模型根据对某单位网的网络现状、安全隐患

22、和安全需求的分析，建议某单位网安全方案采取由信息安全专业服务商提供的以安全管理为中心，以防护、检测、响应和恢复等手段为具体措施的解决方案。建议采用如图4.2.1a所提出的综合安全管理模型。 集中安全管理：以某单位网统一的技术安全策略为基础，控制和协调网络中部署的防护、检测、响应模块，防范和处理安全事件，审计和分析安全日志，制定和实施安全管理规章，完整地实现网络安全目标。 防护：在各某单位之间以及与Internet连接的网络边界处采取网关级的安全防护措施。在本地局域网各服务器和工作站上部署基于主机的安全防护措施。实现网络边界、服务器和客户机的三级防护体系。避免非授权访问和病毒感染等事件的发生。

23、检测：在各地某单位的网络边界和重要的服务器上部署入侵检测系统，对越过防护手段的安全威胁进行实时检测，使安全防护从单纯的被动防护演进到积极的主动防御。 响应：入侵检测系统和防护系统相互配合工作，在入侵检测系统检测到入侵事件时，能够实时通知防护系统，并由防护系统根据确定的安全策略自动采取响应措施。也包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。 恢复：在某单位本地局域网中部署网页自动恢复系统，对本地局域网所有Web服务器的多级页面实时进行防篡改监控，一旦发现页面被改写则立即恢复。 信息安全专业服务：以上各个要素能否真正有效地实现，取决于是否有持续的、专业的安全服务支持，特别是定期的安

24、全技术升级和安全响应。4.3 本期安全方案建议图4.3.1总体安全配置方案示意图根据系统安全模型分析，我们推荐某单位网的近期实施的安全解决方案，包括防火墙分系统、入侵检测分系统、安全脆弱性扫描分系统、网络防病毒分系统、网页自动恢复分系统。并建议采用如图4.3.1所示的整体配置方案。 4.3.1 规划安全区域我们将某单位局域网划分为内部区、管理区、SSN区（安全服务区，相当于DMZ），以及专网接口和Internet接口，共五部分；将各省级某单位局域网划分为内部区、SSN区，以及专网接口和Internet接口，共四部分；每一部分构成一个不同性质的安全域。对各安全域通过采取不同的网络连接方式或管理方

25、式，可以与部署的各项安全系统紧密结合，很好地体现和执行第三章确定的系统安全策略。4.3.2 定义安全管理域某单位局域网中专门划分出的管理区包括防火墙集中管理控制台、防病毒集中管理台、安全脆弱性扫描控制台、入侵检测集中控制台和网页自动恢复集中控制台，以及其他网管设备。它们实际上构成了一个相对独立的安全管理域，并成为某单位网的安全管理中枢。鉴于安全管理域对履行系统安全策略的极端重要性，建议将其配置在一个单独的机房，并设置可靠的物理分割措施和严格的管理制度。从尽可能的不影响各安全分系统性能和节约用户投资相统一的角度考虑，我们建议将防火墙集中管理控制台、防病毒集中管理台、安全脆弱性扫描控制台安装在一台

26、主机上，将入侵检测集中控制台和网页自动恢复集中控制台分别安装在另外的两台主机中。在系统建成后，可以根据具体确定的安全管理制度、安全管理人员和安全事件响应频度，定期调整安全管理域的组织结构。4.3.3 确定安全方案内涵如前所述，本期安全方案由防火墙分系统、入侵检测分系统、安全脆弱性扫描分系统、网络防病毒分系统、网页自动恢复分系统组成，除防火墙分系统以外，其它各分系统主要用于解决某单位局域网内部的安全问题。各分系统中，除防火墙与入侵检测存在技术上的互动关系外，其他分系统之间主要依靠管理机制实现管理上的互动与统一，并共同构成有机的安全整体，确保系统安全策略的实现。各分系统在某单位网中应该履行的安全职

27、责如下：防火墙分系统：用于实现网络边界的隔离与访问控制，可解决专网的部分网络安全、应用系统安全和重要服务器安全等方面的问题。建议在各某单位局域网的出口处安装硬件防火墙，实现基于网络协议、网络应用、网络地址和主机地址的网关级安全防护。入侵检测分系统：用于实时检测针对重要网络资源的网络攻击行为，可解决某单位的部分网络安全、应用系统安全和网络管理安全的隐患。在入侵检测探测器与防火墙之间建立互动响应体系，当探测器检测到攻击行为时，利用防火墙进行实时阻断。安全脆弱性扫描分系统：定期对网络系统进行安全性分析，及时发现并修正存在的脆弱点，保证系统的安全。网络防病毒分系统：用于实时查杀各种网络病毒，可解决某单

28、位部分网络安全、应用系统安全等方面的问题。网页自动恢复系统：对某单位局域网各Web服务器的多级页面实时进行防篡改监控，一旦发现页面被改写则立即恢复。4.3.4 安全技术方案详见本方案建议书第五至第九章。4.4 扩展安全方案建议 当越来越多的重要应用运行于某单位网之后，势必需要网络系统具备更高的安全性，因此我们根据对某单位网的安全需求分析、安全策略分析和系统发展预测，建议某单位在适当的时候考虑以下扩展安全方案。 在省级某单位局域网中采用入侵检测分系统、安全脆弱性扫描分系统、网络防病毒系统和网页自动恢复系统，提高其整体安全性。 在某单位局域网的Web服务器和其它应用服务器中，采用CA公司的eTru

29、st Access Control 软件包，对操作系统进行加固，对用户进行角色管理和强制性访问控制，取消超级用户权限，并对服务器的文件系统实现细粒度的访问控制，从而显著提高服务器的安全级别。 在某单位的重要服务器中安装基于主机的入侵检测系统，进一步提高其抗攻击能力。 针对专网内部互联的广域网信道，安装网络加密机，实现信息在广域网上传输的机密性和完整性保护。 在重点企业接入网建设中，应建立访问服务安全认证系统。 在网络系统建设中，充分考虑灾备和容错措施。第五章 防火墙分系统安全方案5.1 设计目标 将Internet与各某单位内部网隔离开来，拒绝非法访问，恶意攻击，真正保护网络边界的安全。 将各

30、某单位的内部网进行隔离，限制用户非法访问，避免受到恶意攻击非法访问、非法连接。 保护某单位的信息发布系统，抵御来自于公网上的攻击，保护网络资源安全。5.2 功能要求某单位对防火墙的功能要求如下：1. 专有的硬件平台，专有的操作系统。2. 与原有的防火墙 （天融信防火墙）、交换机、路由器（CISCO产品）等网络设备功能兼容并有效整合。3. 网络特性：应支持至少三个端口的LAN接口数，接口数量应可以增加，能有效的保护以太网、快速以太网、可扩展支持千兆以太网（ATM、Token Ring、FDDI等请另外说明）。4. 应支持路由接入、透明接入，如还有其他的接入方式请另外说明。5. 访问控制：千兆级别

31、的基于状态的包过滤功能，支持动态、静态、双向的网络地址转换（NAT）。6. 防御功能：可防TCP、UDP等端口扫描、防源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击、DOS/DDOS攻击、可阻止ActiveX、Java、Javascript入侵；同时提供时间监控和告警功能。7. 能力特性：具备流量控制和统计。8. 具备应用级透明代理功能，支持对HTTP、SMTP、POP3、NNTP等高层应用协议的代理；支持对URL的过滤、对WEB页面中的Java、VBscript、Javascript组件过滤。9. 具备完善的日志功能，支持向日志服务器导出日志，应具备日志冗余功能。10. 管理功能： 支持本地管理、远程管理和集中管理；支持SNMP监视和配置，其中远程管理应该能很好的安全保护。11. 支持容错技术，如双机热备、故障恢复、双电源备份等。12. 提供对WWW站点的保护功能。13. 能够与第三方安全产品进行很好的联动，尤其是与IDS产品的联动。14. 支持带宽管理（QoS）。15. 能很好的防止IP欺骗功能。16. 认证类型：应具有一个或多个认证方案，如OTP认证（一次性口令认证）、RADIUS、KERBEROS、TACACS/TACACS+、口令方式、数字证书等。