网络安全解决方案.docx
《网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《网络安全解决方案.docx(20页珍藏版)》请在冰点文库上搜索。
网络安全解决方案
目录
某机密企业内网1
网络安全解决方案1
目录2
总则3
第一章某机密企业内网现状描述4
第二章某机密企业内网安全需求分析5
第三章某机密企业内网安全方案设计原则5
3.1安全体系结构5
3.2安全方案设计原则6
3.2.1需求、风险、代价平衡的原则7
3.2.2综合性、整体性原则7
3.2.3一致性原则7
3.2.4易操作性原则7
3.2.5适应性及灵活性原则7
3.2.6多重保护原则7
第四章内网安全技术实现方案8
4.1物理安全8
4.2网络安全9
4.2.1网络结构安全10
4.2.2访问控制11
4.2.3入侵检测14
4.2.4病毒防护15
4.2.5数据备份与恢复15
4.3安全管理16
4.3.1.安全管理原则16
4.3.2.安全管理的实现17
第五章安全设备配置18
5.1某机密企业内网网络安全拓扑图19
5.2某机密企业内网网络安全设备配置列表19
第六章附件20
6.1防火墙产品介绍20
6.2天融信安全服务介绍22
6.2.1天融信专业的安全服务描述22
6.2.2服务范围24
6.2.3服务方式25
6.2.4服务实现目标25
6.2.5服务标准和规范25
总则
本方案书为某机密企业内网网络安全项目方案书,包括网络状况分析、网络风险分析、安全需求分析、安全目标的确立、安全产品的选择和方案的完整的安全解决方案。
本方案书的目标是在不影响某机密企业内网网络当前业务的前提下,实现对某机密企业内网网络的全面安全防护和安全管理。
1、本方案书构建了包括防火墙、入侵检测系统(IDS)、病毒防护系统、安全管理系统等多种安全产品协同工作的、有效的防御系统,降低网络的安全风险,提高网络安全性;
2、针对某机密企业内网网络的现状和实际应用情况,我们方案某机密企业内网网络安全体系在“统一规划”的前提下,进行“分步实施”。
具体而言,可以先对网络做一个比较全面的安全体系规划,根据网络的实际应用状况,先建立一个基础的安全防护体系,保证基本的、必需的安全性;随着今后应用和复杂程度的增加,再在原来基础的防护体系之上,建立增强的安全防护体系。
第一章某机密企业内网现状描述
某机密企业内网由于网络建设时间比较早,网络设备比较老,很多现在先进的网络技术支持的不是很好,导致了结构的划分上不是很清晰,但大致可以分为六个组成部分,即:
核心骨干区、内网用户区、数据库服务器区、应用服务器区、WEB服务器区和软件服务器区。
核心骨干区由两台IBM8265三层交换机组成,其中一台通过千兆光纤下联到各种楼层交换机,形成了内网用户区;另外一台通过155M光纤下联到2810交换机,2810交换机通过100M以太接口与各类软件服务器相联形成了软件服务器区;2810交换机通过一条100M以太线路连接到Catalyst3550交换机,Catalyst3550通过100M以太接口与各类WEB服务器相联形成了WEB服务器区;IBM8265通过一条100M以太线路连接到Catalyst3548交换机,Catalyst3548通过100M以太接口连接各类数据库服务器,形成了数据库服务器区;另外IBM8265通过100M以太接口直接连接各类应用服务器,形成了应用服务器区。
所有的内部数据都在核心层进行快速的交换/路由,以保证整个某机密企业内网高效、快捷、安全的运转,大致的网络拓扑结构示意图如下:
第二章某机密企业内网安全需求分析
某机密企业内网为某机密企业内网系统业务的开展带来了极大的方便。
但随着网络应用的扩大和网络设备的老化,网络安全风险也变得更加严重和复杂,原来运转正常的网络现在经常发生网络故障,严重影响了内部业务的开展。
原来由单个计算机安全事故引起的损害可能传播到其它系统和主机,引起大范围的瘫痪和损失;另外,加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险可谓日益加重。
这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。
在目前的网络中已经部署了一些安全产品,例如防病毒软件、防火墙系统等。
原来清华德实公司的四台防火墙设备,在访问控制方面已经有了基本的防护功能,但设备的部署不是很合理,没有充分发挥防火墙的访问控制功能,只有小部分服务器得到了防火墙的保护,大部分服务器没有任何防护措施,完全暴露在公开网络中,其安全度可想而知。
我们根据业务的需求重新划分了新的网络安全域,在核心交换机和数据库安全域之间没有任何的安全防护,而这些数据又是网络中的核心,一旦数据发生问题这个的业务都会受到影响,所以保护这些数据的安全是重中之重。
因此为了保证某机密企业内部网络系统的安全、稳定、高效的运转,有必要对其网络安全进行专门设计。
第三章某机密企业内网安全方案设计原则
3.1安全体系结构
网络安全的总体设计思想是围绕MPDR2模型的,要实现某机密企业网络系统的安全,就要从保护、检测、响应、恢复及管理五个方面对纵向网信息系统建立一套全方位的信息保障体系。
P(Protection):
防护
D(Detection):
扫描、检测
R(Response):
回应
R(Recovery):
恢复/备份
M(Management):
管理
保护:
安全保护技术包括访问控制技术、身份认证技术、加密技术、数字签名技术、系统备份等。
信息系统的保护是安全策略的核心内容。
检测:
检测的含义是对信息传输内容的可控性的检测,包括对信息平台访问过程的检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等等。
检测使信息安全环境从单纯的被动防护演进到积极防御,从概念化安全对策演变到在对整体安全状态认知基础上的有针对性的对策,并为进行及时有效的安全响应以及更加精确的安全评估奠定了基础。
回应:
响应是保证在任何时候信息平台能高效正常运行,要求安全体系提供有力的响应机制。
包括在遇到攻击和紧急事件时及时采取措施,例如关闭受到攻击的服务器;反击进行攻击的网站;按系统的安全状况加强和调整安全措施等等。
恢复:
狭义的恢复指灾难恢复,在系统受到攻击的时候,评估系统受到的危害与损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等。
广义的恢复还包括灾难生存等现代新兴学科的研究。
保证信息系统在恶劣的条件下,甚至在遭到恶意攻击的条件下,仍能有效地发挥效能。
管理:
管理是实现整个网络系统安全的重要保证,有了安全网络环境,但缺乏有效的安全管理,安全就很难得以维持,只有建立严格安全管理制并强制执行,才能适应网络安全的动态性和整体性。
网络安全是一个整体目标。
如果全面的保护仍然不能确保安全,就需要检测来为响应创造条件;有效与充分地响应安全事件。
将大大减少对保护和恢复的依赖;恢复能力是在其它措施均失效的情形下的最后保障机制。
因此,要在网络上构筑有效的安全保障体系,必须投入必要的资源,全面加强五个方面的技术与管理,实现整体网络的安全目标。
3.2安全方案设计原则
在对某机密企业内网进行网络系统安全方案的设计和规划时,我们遵循以下原则:
3.2.1需求、风险、代价平衡的原则
对任何一个网络,绝对安全难以达到,也不一定是必要的。
对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定相应的规范和措施,确定系统的安全策略。
3.2.2综合性、整体性原则
应运用系统工程的观点、方法,分析网络的安全及具体措施。
安全措施主要包括:
行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。
3.2.3一致性原则
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有详实的内容及措施。
实际上,在网络建设的开始就考虑网络安全对策,比在网络建设完成后再考虑安全措施,不但容易,而且花费也少很多。
3.2.4易操作性原则
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
3.2.5适应性及灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
3.2.6多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
网络安全是整体的、动态的。
网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。
安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。
网络安全的动态性是指,网络安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器),原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全。
所以,网络安全不是一劳永逸的事情。
对于某机密企业内网的网络建设,我们方案采取以上的原则,先对整个网络进行整体的安全规划,然后,根据实际状况建立一个从防护—检测—响应的基础的安全防护体系,保证整个网络安全的最根本需要。
第四章内网安全技术实现方案
通过对某机密企业内网网络应用的全面了解,根据某机密企业内网网络的实际情况,按照安全风险、需求分析的结果以及网络的安全目标,我们从物理安全、网络安全、管理安全等几个方面对现有的网络进行分析:
4.1物理安全
保证计算机信息系统各种设备的物理安全是保障整个某机密企业内网网络系统安全的前提。
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
它主要包括三个方面:
环境安全:
对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》)
设备安全:
主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;通过严格管理及提高员工的整体安全意识来实现。
媒体安全:
包括媒体数据的安全及媒体本身的安全。
显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。
计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。
为了防止系统中的信息在空间上的扩散,通常是在物理上探取一定的防护措施,来减少或干扰扩散出去的空间信号。
政府、军队、金融机构在建设信息中心时都将成为首要设置的条件。
正常的防范措施主要在三个方面:
1、对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。
为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。
2、对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
3、对终端设备辐射的防范,终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。
本方案暂不考虑这方面的安全。
4.2网络安全
网络安全主要涉及网络结构的安全和网络系统的安全。
网络结构安全涉及网络结构的合理性和可扩展性,网络系统的安全涉及到很多内容,根据用户的实际情况本方案中只涉及了访问控制、入侵检测、病毒防护、数据的备份等,由于用户网络中已经有了病毒防护和数据的备份防护措施,所以下面的描述只涉及到了访问控制和入侵检测技术。
4.2.1网络结构安全
在网络结构的安全方面,主要考虑优化网络结构、路由的优化和可扩展性。
网络结构的建立要考虑地域环境、现有线路状况、设备配置与应用情况、通信量的估算、网络维护管理、网络应用与业务定位等因素。
成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营维护管理的简便性,完善的安全保障体系。
网络结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。
网络结构的优化,在网络拓扑上主要考虑冗余链路、冗余路由,动态路由协议的安全认证,专用网管链路等;在某机密企业网络的建设中我们方案在核心采用2台高端3层交换机,采用HSRP技术互为备份,实现备份与负载功能;采用VLAN技术,将网络根据业务关系划分为若干个强度不同安全域,减少网络广播数据包,减少数据冲突,提高带宽利用率,保障网络安全、稳定运转;在接入层交换机到核心层交换机之间采用双链路(STP技术),保障接入层到核心层的实时畅通;采用QOS技术来保障关键应用有可靠的带宽。
路由的优化,主要涉及到以下几个方面:
防止单点失败;隔离路由波动;消除循环路由;较小的时延;使用路由认证,保证动态路由的安全;在某机密企业网络的建设中我们方案采用浮动静态路由、动态路由、策略路由的方式实现路由的冗余备份。
可扩展性,网络发展极为迅速,用户需求也在不断提高,当为扩展业务范围而增加设备时,能够方便、有效地接入,不至于因网络结构的局限性,而重新调整网络设备,由此而带来不安全因素;在在某机密企业网络的安全建设中我们方案采用成熟的网络技术来构建这个网络基础设施,例如采用802.3技术,也就是目前普遍使用的以太网技术。
根据网络目前的实际情况,现有的网络结构仍然保持不变,在下一次网络改造中主要遵循这个原则就可以了。
4.2.2访问控制
某机密企业网络系统的访问控制可以通过配备访问控制设备来实现。
对于内部网络,根据用户实际的业务数据流向和我们对网络安全的理解与经验,我们重新划分了不同强度的网络安全域。
要实现不同安全域之间的访问控制,在实现高效的访问控制的同时,又要保证内网中关键的业务数据可以正常通过防火墙设备。
通过配置安全的访问控制策略可以过滤进、出防火墙的数据包;管理进、出网络的访问行为;封堵某些禁止的访问;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
重新划分网络安全域并安装防火墙后的网络拓扑图如下:
防火墙设备部署示意图
根据需要我们重新划分了七个网络安全域,在不同的安全域之间分别放置了防火墙设备,设备的部署情况描述如下:
1、根据内网业务数据的实际情况,我们在核心交换机和CATALYST3500之间部署一台天融信公司的NGFW4000-E防火墙产品,以保障所有对安全域一中的数据库进行调用时长连接的正常转发,不会因为防火墙的原因造成数据调用的失败,从而影响正常的业务应用。
2、由于网络视频、视频会议、网络电话等应用对防火墙的要求很高,不断要求防火墙能够对H.323、MMS、RTSP、NETMeeting、SIP等协议有很好的支持,并且对防火墙的转发率、对数据的延迟、丢包率以及对突发数据的处理能力都有严格的要求,因此在单独部署了一台清华德实公司的防火墙产品,以满足业务对防火墙的这种高要求的需要。
3、在安全域二和核心交换机之间部署一台清华德实公司的防火墙,这样不仅能够保护原有的设备投资,也能够满足基本的访问控制的要求。
4、在安全域三中部署了很多常见应用服务器,包括WEB服务器、邮件服务器、DNS服务器等,这些服务器对网络的稳定性、转发速率和安全性有非常高的要求,一旦这些服务器出现问题整个办公系统将会瘫痪,严重影响办公效率,因此在安全域三和核心交换机之间部署一台天融信公司的NGFW4000防火墙,并且在邮件服务器的前端部署冠群金辰公司的KSG防病毒过滤网关,以满足基本的访问控制的要求和系统对网络的稳定性、转发速率和安全性的高要求。
5、安全域四是内部终端用户区,分部在各个楼层,并且链路是光纤接口,如果部署防火墙系统,一是设备数量很多,二是光纤设备非常昂贵,这样部署防火墙设备的造价很高,大量的投入也并不能提高网络的安全状况,但我们可以在连接终端用户的三层交换机端口上进行简单的访问控制,满足基本的访问控制要求。
能否实现这个功能要看三层交换机的功能。
6、在安全域五和核心交换机之间部署一台清华德实公司的防火墙,这样不仅能够保护原有的设备投资,也能够满足基本的访问控制的要求。
7、在安全域六和核心交换机之间部署一台清华德实公司的防火墙,这样不仅能够保护原有的设备投资,也能够满足基本的访问控制的要求。
天融信防火墙NGFW4000在保证高可用性和高可靠性的同时还在以下几个方面起着重要的作用:
1.通过防火墙的规则设置隔离了数据库安全域与其它安全域,实现了保护关键业务的应用、控制对服务器的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。
到数据库安全域的全部通信都受到防火墙的监控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全。
2.过滤网络中不必要传输的无用数据。
防火墙是一种网关型的设备,各个区域之间的通信,可以通过防火墙的添加规则策略保障,如果在防火墙上添加一些有关重要应用的策略,就可以过滤掉部分无用的信息,只要网络中传输必要的应用数据,比如封闭目前常见的蠕虫病毒使用的端口。
3.防火墙具有流量控制的特性,可以依据应用来限制流量,来调整链路的带宽利用如:
在网络中,有数据库调用应用、域登陆应用等等,可以在防火墙中直接加载控制策略,使数据库调用应用、域登陆应用按照预定的带宽进行数据交换。
实现流量控制,调整链路带宽利用的功能。
4.在天融信防火墙上还可以防止恶意的内部员工通过网络对数据库安全域的服务器TCP/UDP端口进行非法扫描,消除系统安全的隐患。
可防止恶意的内部员工通过网络对数据库安全域的服务器进行源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击、拒绝服务攻击等多种攻击。
天融信防火墙提供入侵检测的功能,当发现重要服务器被攻击时,防火墙将自动报警并根据策略进行响应。
5.对于防火墙自身来说,日志的导出、日志服务器的安装,可使得通过防火墙的数据访问加以统计,为优化网络提供必要的数据,日志服务器可以完成,每个不同的源访问的流量统计,可以了解到每个源的流量是否在正常范围内,等等。
这样的数据对于网络安全是十分重要的。
6.防火墙提供应用级透明代理,可以对高层应用(HTTP、FTP、SMTP、POP3、NNTP)做了更详细控制,如HTTP命令(GET,POST,HEAD)及URL,FTP命令(GEI,PUT)及文件控制,也就是说:
在的网络中当通过防火墙对数据库安全域进行访问时,可在应用层上做更详细的访问控制。
7.通过在数据库安全域添加入侵检测系统,保证入侵检测系统与防火墙产生联动。
当网络中发生攻击时,向防火墙发送策略,将攻击行为进行过滤,使攻击行为的数据无法到达目的主机,实际上是斩断了攻击的路径。
如此往复,可以提供大量时间来追测攻击源,采取相应措施。
全面的联动延长了安全管理的触角,增加了安全管理的手段,加大了安全管理的强度。
4.2.3入侵检测
防火墙的主要功能是对进出防火墙的数据进行访问控制,防火墙无法阻止由于防火墙配置有误或者绕过防火墙而进入网络的非法数据。
数据一旦通过防火墙进入网络后,如果操作系统或者应用系统本身存在漏洞,由于防火墙系统是一个静态、被动的设备,这时候就无能为力了,入侵检测系统作为防火墙的一个有益补充,完全可以胜任此工作。
入侵检测是根据已有的、最新的攻击手段的信息代码对进出各个安区域的所有操作进行主动的实时监控、审查,并按制定的策略实行响应(阻断、报警、发送E-mail),同时进行日志记录,并且入侵检测系统的动态防御还能实现入侵检测系统和防火墙及其它特定网络安全系统之间的互动(如路由器),动态的保护网络不受恶意的入侵及来自于内部的攻击。
根据某机密企业内网的实际网络环境以及应用情况,我们方案目前只在数据库安全域部署一套入侵检测系统,以后可以根据业务的重要程度在需要的安全域添加入侵检测系统,以实现对数据进行主动的实时监控、审查,以发现违规行为,并对违规行为进行处理(报警、阻断、与防火墙进行联动等)。
管理员也可以定期的生产各种报表,根据报表及时的调整安全策略,完善网络中存在的安全问题。
具体的部署方式如下图:
4.2.4病毒防护
目前某机密企业内网已经部署了一套完整的防病毒解决系统,包括客户端防病毒、服务器防病毒、群件系统防病毒、网关防病毒系统以及统一的升级、管理、监控,但面对日益猖狂的病毒,特别是蠕虫型的病毒,单靠一套完整的防病毒系统已经难以解决问题。
一套优秀的防病毒解决方案不但要有一套完整的技术解决方案,还要有一个勤奋努力的网络管理员和严格的管理制度。
4.2.5数据备份与恢复
备份系统为一个目的而存在:
存档备份;当需要时,尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。
根据系统安全需求可选择的备份机制有:
场地内高速、高容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。
备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
一般的数据备份操作有三种。
一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,是最有效的备份方法;三是差量备份,备份上次全盘备份之后更改过的所有文件,其优点是只需两组磁带就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。
在进行备份的过程中,常使用备份软件,它一般应具有以下功能。
备份数据的完整性,并具有对备份介质的管理能力;支持多种备份方式,可以定时自动备份,还可设置备份自动启动和停止日期;支持多种文件格式的备份;支持多种校验手段(如字节校验、CRC循环冗余校验、快速磁带扫描),以保证备份的正确性;提供联机数据备份功能;支持RAID容错技术和图像备份功能。
在某机密企业网络系统中,已经根据自己实际的业务需求建立了比较完善的备份及恢复系统。
4.3安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理规范的建立,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题,所以应引起各计算机网络应用部门领导的重视。
安全管理可以通过相应的规章制度来实现。
制订完善的管理制度,包括:
机房安全管理制度,安全设施系统操作制度,网络、系统安全操作规程,数据备份制度,普通用户操作规范等。
4.3.1.安全管理原则
网络信息系统的安全管理主要基于三个原则。
多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。
这些人应是系统主管领导指派的,他们忠诚可
升级会员 