xx单位网络安全升级方案.docx
《xx单位网络安全升级方案.docx》由会员分享,可在线阅读,更多相关《xx单位网络安全升级方案.docx(15页珍藏版)》请在冰点文库上搜索。
N网神
SEUWORLD
XX公司网络安全方案
XX公司网络安全方案
SECWORLD
网神
网神信息技术(北京)股份有限公司
2013年01月
目录
第一章前言 3
1.1背景 3
1.2项目概述 3
1•3信息女全体系设计原则 4
第二章XX公司信息网络的安全现状和需求分析 6
2.1XX公司网络安全现状 6
2.1.1边界网络安全威胁 6
2.1.2来自网络的安全威胁 6
2.1.3 Web安全威胁 7
2.2XX公司安全升级需求 8
2.3.1防火墙需求 8
3.3.2入侵防御系统IPS需求 8
4.3.3WAF应用防火墙需求
第三章XX公司网络安全项目解决方案 9
3.1XX公司防火墙解决方案 9
3.1.1XX公司防火墙的部署 9
5.1.2XX公司防火墙的作用 9
5.2入侵防御系统部署 11
3.2.1入侵防御系统IPS的作用 11
5.3网页防篡改系统 12
3.3.1网页防篡改系统的作用 12
第四章方案产品选型 14
N网神
SEUWORLD
XX公司网络安全方案
第一章前言
1.1背景
随着近年来网络安全事件不断地发生,安全问题也已成为IT业的一个热点,数据安全问题对于XX公司的日常管理工作也越来越重要。
安全问题已经成为影响XX公司信息管理平台稳定性的一个问题,所以提升单位自身信息化办公平台的安全性,已经成为XX公司增强机构内部工作效率、提升机构信息化管理共同平台稳定性的重要方面之一。
随着信息技术的迅猛发展,XX公司领导充分认识到网络安全建设的重要性,为了更好的开展管理、监察工作,提升内部网络信息化平台的安全性及稳定性,决定对现有信息系统进行网络安全进行升级。
1.2项目概述
本次信息安全项目主要是XX公司内部网络结构调整,网络系统整体安全加固、WEB网站数据防篡改、网络整体数据中针对事件的侵入、关联、冲击、方向和适当的分析,同时做相应的处理。
实施是在网络现有应用基础上的改造,对网络整体的安全加固,所以在上新的系统时不能影响原有系统应用的整体性能。
建立边界安全防护体系;
边界防护的设计是将组织的网络,根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域,不同的安全域之间形成了网络边界,通过边界保护,严格规范地税专网系统内部的访问,防范不同网络区域之间的非法访问和攻击,从而确保网络各个区域的有序访问。
一般来说边界防护采用的主要技术包括防火墙技。
建设关键业务web网站防篡改安全体系;
网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全,完全实时地杜绝篡改后的网页被访问的可能性,也杜绝任何使用Web方式对后台数据库的篡改。
建设整体网络入侵防御体系;
将深度内容检测、安全防护、上网行为管理等技术结合在…起,配合实时更新的入侵攻击特征库,检测防护网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁;同时对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。
提供动态、主动、深度的安全防御。
1.3信息安全体系设计原则
XX公司信息安全保障系统涉及到此次网络安全系统改造的各个部分,网络和信息安全方案的设计遵循以下原则:
・整体安全
XX公司信息安全保障系统的是一个重要的安全系统工程,对安全的需求是任何一种单元技术都无法解决的。
必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和业务系统提供全方位安全服务。
・有效管理
没有有效的安全管理(如防火墙监控、审计日志的分析等等),各种安全机制的有效性很难保证。
XX公司信息安全保障系统所提供的各种安全服务,涉及到各个层次、多个实体和各种安全技术,只有有效的安全管理才能保证这些安全控制机制真正有效地发挥作用;
・合理折衷
在XX公司信息安全保障系统的建设过程中,单纯考虑安全而不惜一切代价是不合理的。
安全与花费、系统性能、易用性、管理的复杂性都是矛盾的,安全保障体系的设计应该在以上四个方面找到一个合理的折衷点,在可接受的风险范围内,以最小的投资换取最大的安全性,同时不因性能开销和使用、管理的复杂而影响整个系统高效运行的总体目标。
・责权分明
采用分层、分级管理的模式:
一方面,XX公司信息系统可以分为三层:
信息网络、计算机系统和应用系统;另一方面,网络和应用系统都有中心、下属等的分级结构。
网络管理中心负责网络的安全可靠运行,为应用信息系统提供安全可靠的网络服务,同时负责计算机系统和应用系统的安全管理。
・综合治理
XX公司信息系统的安全建设是一个系统工程,信息网络的安全同样也绝不仅仅是一个技术问题,各种安全技术应该与运行管理。
机制、人员的思想教育与技术培训、安全法律法规建设相结合,从社会系统工程的角度综合考虑。
9
第二章XX公司信息网络的安全现状和需求分析
随着计算机技术和网络技术的发展,网络成为信息高速公路,人们利用网络来获取和发布信息,处理和共享数据。
但是网络协议本身的缺陷、计算机软件的安全漏洞,对网络安全的忽视给计算机网络系统带来极大的风险。
实际上,安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。
网络安全是一个体系工程,如果把XX公司网络信息系统划一个边界的话,可能发生的安全威胁会来自各个方向、各个层面。
2.1xx公司网络安全现状
2.1.1边界网络安全威胁
与Internet相连,如果没有边界防护将是危险的。
不通的网络区域之间如果不采取安全防护措施,这样内部网络很容易遭到来自于Internet中可能的入侵者的攻击,网络中可能存在其他网络的越权访问,如:
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:
入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪
在Internet上爆发网络蠕虫病毒的时候,如果内网的边界处没有访问控制设备对蠕虫病毒在第一时间进行隔离,那么蠕虫的攻击将会对网络造成致命的影响。
2.1.2来自网络的安全威胁
通常通过防火墙进行网络安全防范。
从理论上分,防火墙可以说是第一层安全防范手段,通常安装在网络入口来保护来自外部的攻击。
其主要防范原理为基于TCP/IP的IP地址和及端口进行过滤、限制。
由于防火墙本身为穿透型(所有数据流需要经过防火墙才能到达目的地),因此为了提高其过滤、转发效率,通常不会对每个数据报文或者数据流进行过多的、细致地分析、检查。
但是恰恰很多符合防火墙的TCP/IP过滤安全策略的数据流或者报文中参杂着恶意的攻击企图。
虽然目前一些防火墙增强了对于应用层内容分析的功能,但是考虑其因分析、处理应用层内容而导致的网络延迟的增加,因此从其实际应用角度来说,存在一些公司限性。
但是网络入侵防御系统由于其以主动模式部署到现有网络中,因此可以在不影响网络结构及网络性能的情况下,执行各种复杂的应用层分析工作,针对各种网络攻击行为进行阻止和防护。
2.1.3Web安全威胁
现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。
Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。
网络的发展历史也可以说是攻击与防护不断交织发展的过程。
目前,全球网络用户已近20亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web安全性已经提高一个空前的高度。
然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。
根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。
同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。
另外,据美国计算机安全协会(CSD/美国联邦调查公司(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。
早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。
”
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。
而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
2.2XX公司安全升级需求
2.1.1防火墙需求
防火墙是指设置在不同网络(如可信任的组织内部网和不可信任的公共网)或网络安全域之间的一系列部件组合。
防火墙通常位于不同网络或网络安全域之间信息的唯一连接处,根据组织的业务特点、行业背景、管理制度所制定的安全策略,运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术,实现对出入网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测),控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。
防火墙本身必需具有很强的抗攻击能力,以确保其自身的安全性。
2.3.2入侵防御系统IPS需求
IPS将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。
配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。
从而很好地提供了动态、主动、深度的安全防御。
3.3.3WAF应用防火墙需求
提供针对不同类型主机服务器的网页防篡改功能、Web防护功能以及事后日志分析系统的功能,降低安全风险,为提高网站公信度提供安全保障。
第三章XX公司网络安全项目解决方案
4.1XX公司防火墙解决方案
3.1.1XX公司防火墙的部署
根据XX公司系统的安全现状和风险分析,我们在该网中建立防火墙系统。
有关建立防火墙系统的目标、功能、位置、在下文中进行详细说明。
信息化的前提就是建立起完善的信息保障体系,防火墙在信息保障体系中对网络行为进行有效访问控制,对保证网络访问行为的有序性起到了至关重要的作用,防火墙体系的建立直接关系到了系统能否正常运行,体系是否完善;关系到了系统是否能够对非法访问进行有效的防范。
在XX公司网络系统中我们建立防火墙系统的主要目标:
逻辑隔离XX公司系统内网与Internet;内网用户区与其他子网;外网用户区与其他子网;服务器区与其他子网区域保护两台重要的WEB服务器。
以上这些内部子网之间都需要进行访问控制。
3.1.2XX公司防火墙的作用
•防火墙对内网用户一经授权便能够采用任何现有的或新出现的网络技术访问Internet获取所需要的信息和服务;
•防火墙可以防范各种网络攻击,能够查找到攻击的来源和类型,能够对这些攻击进行反应;
•对网络访问接入点的保护应该对相关组件与网络的性能造成尽可能少的影响;
•抗D0S/DD0S攻击:
拒绝服务攻击(DOS)、分布式拒绝服务攻击(DDOS)就是攻击者过多的占用共享资源,导致服务器超载或系统资源耗尽,而使其他用户无法享有服务或没有资源可用。
防火墙通过控制、检测与报警机制,防止DOS黑客攻击。
所以通过防火墙上进行规则设置,规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量,如果超出这个数量便认为是DOS/DDOS攻击,防火墙在设定的时间内就不接受来自于这个地址的数据包,从而抵御了DOS/DDOS攻击;
•防止入侵者的扫描:
大多数黑客在入侵之前都是通过对攻击对象进行端
N网神
SEUWORLD
XX公司网络安全方案
口扫描,收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息,然后再展开相应的攻击。
通过防火墙上设置规则:
如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接,便认为是扫描行为,并截断这个连接。
从而防止入侵者的扫描行为,把入侵行为扼杀在最初阶段;
•防止源路由攻击:
源路由攻击是指黑客抓到数据包后改变数据包中的路由选项,把数据包路由到它可以控制的一台路由器上,进行路由欺骗或者得到该数据包的返回信息。
通过在防火墙上配置规则,禁止TCP/IP数据包中的源路由选项,防止源路由攻击;
•防止IP碎片攻击:
IP碎片攻击是指黑客把一个攻击数据包分成多个数据据包,从而隐藏了该数据包的攻击特征。
通过在防火墙上设置规则防火墙在进行检查之前必须将IP分片重组为一个IP报文,而且这个报文必须具有一个最小长度以包含必要的信息以供检查,从而防止了IP碎片攻击;
•防止ICMP/IGMP攻击:
许多拒绝服务攻击是通过发送大量的ICMP数据包、IGMP数据包实现的。
通过在防火墙上设置规则,禁止ICMP/IGMP数据包的通过防火墙,保证系统的安全;
•阻止ActiveX、Java、Javascript等侵入:
防火墙能够从HTTP页面剥离ActiveX>JavaApplet等小程序及从ScriptsPHP和ASP等代码检测出危险的代码,也能够过滤用户上载的CGI、ASP等程序;
•其他阻止的攻击:
通过在防火墙上的URL过滤可以防止一些来自于系统
漏洞的攻击(例如:
通过配置规则禁止访问../winnt/system32/cind.exe?
/可以防止WINDOWNT/2000的UNICODE漏洞以及其他CGI漏洞攻击:
/Cgi-bin/phfcgi-bin/count.cig>_vti_pvt/service.pwd>cfdocs/expeval/openfile.cfm^)>和一些病毒的攻击(例如:
禁止default,ida可以防止红色代码的攻击);
•提供实时监控、审计和告警:
通过防火墙提供对网络的实时监控,当发
现攻击和危险代码时,防火墙提供告警功能;
3.2入侵防御系统部署
通过深度内容检测、安全防护、上网行为管理等技术,配合入侵攻击特征库,可检测防护包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁。
3.1.1入侵防御系统IPS的作用
•实时的入侵检测防护
IPS具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能,内置超过3,000种的IPS特征库,支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析;支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护。
•丰富的上网行为管理
IPS不仅具有精准的入侵检测和防护功能,同时还具有丰富的内网上网行为管理功能。
可以根据不同的时间、群组,来对即时聊天软件、P2P软件、非法隧道等下达严格的管理策略。
•强大的抗DoS/DDoS
传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数,来阻断未知类型的DoS/DDoS攻击。
这种机制虽然可以将超过阈值的攻击数据包丢弃,但同时也会将超过阈值的合法数据包丢弃,造成正常用户不能使用网络服务。
IPS对于需要重点保护的Web、DNS等服务可选择采取传统的处理机制。
另外,IPS提供独特的DoS/DDoS检测及预防机制,可以辨别合法数据包以及DoS/DDoS攻击数据包,支持双向阻断TCP/UDP/IGMP/ICMP/IPFlooding、UDP/ICMPSmurfing等类型的DoS/DDoS攻击,可检测的DoS/DDoS攻击软件包括XDoS、SUPERDDoS、FATBOY等50种以上。
当用户在遭受DoS/DDoS攻击之时,网神IPS能够保证合法用户顺利享用网络服务。
•精准的带宽管理功能
IPS采取七层深度数据包分析技术,可以完整地做到应用程序级别的流量
管理,具体针对以下两方面的管理:
1)可根据不同的应用程序分配不同的带宽,如对P2P、PPlive、PPStream等流量的管理。
2)可根据不同的丫山及、源/目的IP地址、应用协议端口划分不同的带宽。
IPS采取以下两种方式对流量进行管理:
1)网络传输带宽方式限流,即限制特定对象的最大带宽,可精准到1Kbpso
2)网络传输总量方式限流,即限制特定对象的单位时间内传输总量。
3.3网页防篡改系统
采用文件系统驱动技术以及进程内嵌技术,针对黑客对网站攻击的首要目标网站主页内容进行侵袭,保证网页内容安全性。
3.3.1网页防篡改系统的作用
•告警功能
网页防篡改系统有邮件、短信告警功能,针对网页防篡改和Web防护触发进行告警,保证了客户第一时间了解篡改和攻击的详细报告,对于网页防篡改的不同操作细节可以制定告警方式,多样化的告警功能,方便客户了解网站实时动态。
•Web防护功能
网页防篡改系统内置软件WAF管控平台,可以对SQL注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出以及协议完整性的Web攻击进行防护。
•网页防篡改
网页防篡改系统采用第三代网页防篡改技术,第三代网页防篡改技术是事件触发和文件驱动级保护相结合,其原理是:
将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器中,通过事件触发方式进行自动监测,对文件夹的所有内容,对照其底层文件属性,讲过内置散列快速算法,实时进行监控,若发现属性变更,通过非协议方式,纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高的水准。
网页防篡改系统用Web服务器底层文件过滤驱动级保护技术,与操作系统紧密结合,所监测的文件类型不限,可以是一个html文件也可以是一段动态网页,执行准确率高。
这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能,其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或核心内嵌式的同类软件。
可以说是一种简单、高效、安全性又极高的一种防篡改技术。
•日志系统
网页防篡改系统内置了日志系统,日志系统内包含了备份日志、审计日志、攻击日志、防篡改日志,方便客户了解系统日常动向,方便可对配置备份、网页防篡改系统登陆登出、网页篡改等工作的详细记录。
•分析系统
网页防篡改系统的分析系统可以帮助客户统计每日、每月、每年的防篡改汇总统计、访问站点统计,并对相关统计进行曲线路、饼状图、柱状图进行呈现,并方便于客户导出,相关曲线图可以直接导出成PDF、PNG文件格式,并可以根据时间、事件类型进行报表生成,方便客户了解网站整体安全状况提供有力依据。
13
》EdQBuj XX公司网络安全方案
第四章方案产品选型
综合上面的分析和介绍,我们本次为XX公司进行的网络安全方案建议中推荐的网络安全系统和设备如下:
序号
产品名称
规格型号
单位
数量
参数描述
防火墙设备
1
网神SecGate3600
G7-5966
台
1
1.吞吐量6Gbps
2.并发连接数240万
3.6个10/100/1000BaseT接口,6个千兆SFP
插槽
4.2U机箱
5.单电源
入侵防御IPS设备
1
网神SecIPS3600
G620A
台
1
1、吞吐量IGbps
2、并发连接数120万
3、6个10/100/1000TX
4、两路内置bypass
5、1U机箱
6、单电源
WAF网页防篡改设备
1
网神SecWAF
3600web应用防篡改系统
WPS
套
1
1.支持1个网页防篡改客户端(windows操作系统)
15
升级会员 