生产专网信息安全解决方案.docx

生产专网信息安全解决方案.docx

《生产专网信息安全解决方案.docx》由会员分享，可在线阅读，更多相关《生产专网信息安全解决方案.docx（10页珍藏版）》请在冰点文库上搜索。

生产专网信息安全解决方案

生产专网安全体系建设方案

技术有限责任公司

2011年12月

作者

版本号

审阅人

时间

修改内容

2011-12-28

起草

2011-12-30

修改项目背景，添加产品选型

2012-1-11

修改项目背景

1.项目背景

公司历来重视服务信息化和自动化，并已建成了多个生产运行及管理系统，包括锅炉自控、视频监控、车辆GPS跟踪、远程集抄等系统。

2010年初，公司事业部提出“科技”的理念，管理处成立了调度服务中心，决定建设统一的调度服务指挥系统。

截止到2010年12月为止主体项目已完成，生产专网共有桌面终端共有34台，服务器共7台。

采用的操作系统为windowsXP和windows2003server，为了进一步加强生产专网的防护手段、桌面终端及服务器的安全防护和管控手段。

按照领导要求为建立起一套信息安全防护体系。

2.项目目标

本方案的建设目标主要是为了解决公司生产网的信息安全建设，主要分为三方面：

一、实现生产网和办公网的单向物理隔离，只允许生产网数据上传到办公网，不允许办公网用户访问生产网数据。

二、为生产网计算机终端部署防病毒软件，降低由于病毒、木马等给生产网带来的网络及终端安全威胁。

三、为生产网客户端部署终端计算机监控与审计系统，解决生产网内的终端安全管理、终端运维管理、用户行为管理、数据安全管理、终端接入管理及系统管理与审计；以便对用户的行为进行管控。

该系统还承担生产网内的终端、服务器的补丁分发和病毒库升级

3.项目建设方案

3.1方案概述

生产网安全体系建设方案主要有三部分构成：

办公网与生产专网的边界控制、终端计算机监控与审计、防病毒体系建设。

3.1.1办公网与生产专网的边界控制

此设备主要部署在生产网和办公网之间，实现生产网和办公网的物理隔离。

主要完成生产网专网的数据导入办公网展示页面，以方便领导和各院区主任对各院区的住户的报修、处理流程等数据进行查询，并拒绝办公网和internet的终端设备访问生产网的数据。

实现数据单向传输。

如图1：

图1

3.1.2终端计算机监控与审计系统

终端计算机监控与审计系统在生产专网中主要功能有：

终端安全管理、终端运维管理、用户行为管理、数据安全管理、终端接入管理、系统管理与审计。

⏹终端安全管理：

包括有安全策略管理、终端健康检查、用户登录计算机的身份认证、网络进程访问控制、防病毒软件检测、系统补丁管理、临时文件安全删除等涉及主机安全管理、策略合规性管理的功能体系。

⏹终端运维管理：

通过监控远程终端的运行状况，管理内网的信息资产，包括有软件分发、资产管理、运行监控、远程管理、远程帮助等终端运行维护管理方面的功能体系。

⏹用户行为管理：

主要规范终端用户信息带出行为，防止企业敏感信息泄露。

包括有网络失泄密防护、非法外联控制、存储介质泄密防护、打印机泄密防护、外设接口泄密防护等敏感信息失泄密防护方面的功能体系。

⏹数据安全管理：

包括有用户桌面电子文档保护子系统、可信移动存储介质管理、安全文件分发、安全文档管理等功能，实现了用户主动或者单位强制对数据加密的要求。

⏹终端接入管理：

通过终端接入认证功能实现对接入网络的客户端进行认证的要求，认证通过的可以连接网络，不通过的拒绝连接网络，同时通过扫描代理及时发现网络内非法接入的终端主机。

⏹系统管理与审计：

提供了对响应知识库的管理、系统用户的管理以及对系统运行参数的设置功能；同时集中统计、显示和分析各种受监控的用户行为日志、违规操作报警日志、系统用户的操作日志等。

3.1.3防病毒客户端部署

采用国际企业级主流防病毒软件，通过病毒和防间谍软件防护、主动型威胁防护、网络威胁防护等防护功能加强桌面终端和服务器的防护功能。

降低病毒和木马的传播、杜绝黑客的非法入侵及主动外联攻击等安全威胁。

3.2方案实现

3.2.1网络边界设备选型

经过多家网络边界设备从资质、性能、售后方面的对比本项目计划使用公司的单向传输系统。

系统架构如图2：

图2

设备功能简介如表1所示：

系统功能

功能简介

符合物理隔离要求

网络单向传输系统由完全独立的内网、外网两套处理系统组成，两套处理系统由单条光纤连接，外网处理系统甚至无法感知内网的存在，真正做到了物理隔离。

内置防火墙

系统内置防火墙，可有效阻止非法主动连接，防范端口扫描攻击，防御DDOS及未知网络攻击。

多用户管理与权限控制

系统采用用户认证管理，经系统认证的合法用户才可使用系统功能，且只能访问自己传输的数据；支持多用户并发使用，支持对用户分角色管理，系统管理员可为不同用户分配不同权限。

客户端免安装

系统基于B/S架构设计，部署简单，用户无需安装客户端即可使用，兼容Windows和Linux以及IE，Firefox，Opera等浏览器。

日志与审计系统

系统提供完善的LOG系统，管理员可实时掌控系统运行情况，查找排查网络设置等错误；可实时审计各用户使用情况，及时发现违规传输行为。

表1

3.2.2主机监控与审计系统选型

本次方案的主机监控与审计系统计划使用经过各厂商对比包括：

厂商资质、软件性能及软件功能等方面的对比后计划使用术服务有限公司的统一终端安全管理系统。

1）系统体系架构

本系统分为三个组件：

客户端、服务器和控制台，系统采用分布是监控，集中式管理的工作模式。

组建采用C/S架构模式，组建的通信是采用HTTP/HTTPS加密传输方式。

系统架构如下图：

图3

客户端：

安装在受保护的终端计算机上，实时监测客户端的用户行为和安全状态，实现客户端安全策略管理。

一旦发现用户的违规行为或计算机的安全状态异常，系统及时向服务器发送警告信息，并执行预定义的应急响应策略。

服务器：

安装在专业的数据服务器上，需要数据库的支持。

通过安全认证建立与多个客户端系统的连接，实现客户端策略的存储和下发、日志的收集和存储。

上下级服务器间基于HTTPS进行通信，实现组织结构、警告、日志统计信息等数据的搜集。

控制台：

人机交互界面，是管理员实现对系统管理的工具。

通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。

2）产品功能：

终端安全管理：

包括有安全策略管理、终端健康检查、用户登录计算机的身份认证、网络进程访问控制、防病毒软件检测、系统补丁管理、临时文件安全删除等涉及主机安全管理、策略合规性管理的功能体系。

终端运维管理：

通过监控远程终端的运行状况，管理内网的信息资产，包括有软件分发、资产管理、运行监控、远程管理、远程帮助等终端运行维护管理方面的功能体系。

用户行为管理：

主要规范终端用户信息带出行为，防止企业敏感信息泄露。

包括有网络失泄密防护、非法外联控制、存储介质泄密防护、打印机泄密防护、外设接口泄密防护等敏感信息失泄密防护方面的功能体系。

数据安全管理：

包括有用户桌面安全保险箱、可信移动存储介质管理、安全文件分发、安全文档管理等功能，实现了用户主动或者单位强制对数据加密的要求。

终端接入管理：

通过终端接入认证功能实现对接入网络的客户端进行认证的要求，认证通过的可以连接网络，不通过的拒绝连接网络，同时通过扫描代理及时发现网络内非法接入的终端主机。

系统管理与审计：

提供了对响应知识库的管理、系统用户的管理以及对系统运行参数的设置功能；同时集中统计、显示和分析各种受监控的用户行为日志、违规操作报警日志、主机状态日志以及UEM系统用户的操作日志等。

3.2.3防病毒客户端系统选型

针对生产网这一特性，本方案采用集团公司统建的symantec的SEP11防病毒客户端。

该客户端包含了：

病毒和防间谍软件防护、主动型威胁防护、网络威胁防护功能。

3.2.3.1防病毒客户端功能简介

1.病毒和防间谍软件防护

防病毒和反间谍软件解决方案一般采用基于扫描的传统技术，来识别端点设备上的病毒、蠕虫、特洛伊木马、间谍软件和其它恶意软件。

典型的防病毒和反间谍软件解决方案会在系统中搜索与已知威胁的特点（或称威胁特征）匹配的文件，从而检测这些威胁。

在检测到威胁后，该解决方案会对其进行补救，通常是删除或控制威胁。

多年来，该方法在针对已知威胁保护端点时一直非常有效。

1）网络威胁防护

端点上的网络威胁防护对于防御混合型威胁和阻止爆发至关重要。

为保证有效性，绝不能仅仅依赖防火墙。

网络威胁防护应包含多种先进防护技术，包括入侵防御以及先进的网络通信控制功能。

2）主动威胁防护

包括ProactiveThreatScan，它是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。

它具有独特的主机入侵防御功能，让企业有能力针对未知或零日威胁保护自己。

3.2.3.2客户端病毒库升级

由于本本方案的网络环境为生产专网属于纯生产网无法与办公网通信，因此防病毒客户端的病毒库升级有以下两种方法对客户端升级：

1）在生产网部署LU（升级服务器）服务器，在客户端导出时包含升级路径直接指向LU服务器，升级包由人工方式直接导入LU升级服务器，客户端通过LU升级服务器进行防病毒客户端的病毒库升级。

2）通过主机监控与审计系统的软件分发功能，由人工方式从symante的病毒定义网站进行病毒库升级。

4.方案设备需求

公司生产专网信息安全产品报价

分类

名称

参考型号

配置

单位

数量

单价（单位：

元）

总价（单位：

元）

硬件部分

笔记本电脑

ThinkPadX2204290-EC7

i5-2540M（2.6GHz-3.3GHz）/4GB/320GB7200/12.5"HD/Intel®HD3000/Intel6205AGN/6Cell/Express/4in1/FPR/DP/Camera/BT/W7Pro32/3+3+C

台

1

通用服务器（终端安全管理软件）

DellPowerEdge11GR310

英特尔®至强®处理器X3440（2.53GHz,8MB高速缓存），8GB内存（4x2GB）,2*500GB7.2KRPMSATA3.5寸热插拔硬盘

个

1

网闸（百兆）

联想网御

台

1

软件部分

中软终端安全管理系统

服务器软件

套

1

客户端软件

套

100

防病毒客户端

symantecSEP11防病毒客户端

套

100

产品总价

集成费用

设备总价的15%

.00

总价

00