XXX网络安全预警解决方案模板文档格式.docx
《XXX网络安全预警解决方案模板文档格式.docx》由会员分享,可在线阅读,更多相关《XXX网络安全预警解决方案模板文档格式.docx(39页珍藏版)》请在冰点文库上搜索。
4方案实施后可达到的效果
............................................................................................................12
5XXX
技术支持体系
......................................................................................................................14
6附件:
产品技术白皮书
......................................................................................................15
6.1XXX
杀毒软件(网络版)技术白皮书
.....................................................................................15
6.1.1xxx
杀毒软件网络版概述.............................................................................................15
6.1.2xxx
集中安全管理主要功能.........................................................................................16
6.1.3主要技术特点
...............................................................................................................22
6.1.4xxx
杀毒软件网络版的升级管理.................................................................................24
6.2XXX
防毒墙技术白皮书
........................................................................................................25
6.2.1xxx
防毒墙功能介绍.....................................................................................................25
6.2.2xxx
防毒墙技术参数.....................................................................................................33
北京
xxx
信息技术有限公司
1
前言
1.1网络安全趋势
随着信息技术的迅猛发展,信息网络已应用于社会各个行业,信息产业已成为国民经
济的重要支柱产业,信息技术和网络技术正向政治、经济、军事、文化等各个领域广泛渗
透,极大地促进我国各个领域的发展和社会进步,也丰富了人们的生活。
同时,黑客攻击、
病毒侵害等给信息网络特别是关系国计民生的国家基础设施信息网络等重点信息网络造成
了严重的安全威胁,成为了威胁网络安全的一大公害。
当前的计算机病毒和黑客攻击行为
具有以下特点:
⏹具备网络特性是当前计算机病毒和黑客行为的第一大特征
当前,像蠕虫、木马/黑客、脚本等类型的病毒,它们都具有网络传播的特性,通过网
络进行传播并实施侵害行为。
目前的很多
onlineGame
病毒都具有
ARP
欺骗的发生,一旦
在网络中传播、蔓延,很难控制,它们不但盗取用户信息,同理还在网络中大网发送
ARP
欺骗,阻塞网络甚至网络瘫痪。
⏹当前计算机病毒和黑客攻击行为大多是利用软件系统的漏洞
漏洞是软件系统致命的安全缺陷,如果系统存在漏洞,即使有杀毒软件的保护,病毒
或者攻击依然可以长驱直入,对系统造成破坏。
利用漏洞进行的病毒和攻击的扩撒速度远
远大于传统病毒。
最近很多病毒通过微软的
MS07-017
和
MS08-067
等漏洞进行挂马,同时
演变到利用时下最为流行的应用软件漏洞进行挂马。
这其中包括一些播放器软件漏洞、聊
天工具漏洞、网络电视软件漏洞、甚至连一些常用的下载工具的漏洞都会成为病毒的传播
途径。
联众游戏漏洞、超星阅读器
0-Day
漏洞、迅雷
漏洞、PPlive
漏洞,已经
成为应用软件网页挂马病毒的一些重要漏洞,这病毒越来越成为主流病毒,同时传播非常
快。
⏹病毒和攻击向多元化、混合化发展
随着操作系统及各种软件的发展,病毒和攻击也在不停地发展,混合型病毒和攻击越
来越多,成为趋势。
如非常流行的“熊猫烧香”病毒。
信息技术有限公司[1]
1.2安全是风险管理
风险管理作为企业管理的三个要素之一,地位是非常重要的。
安全风险导致威胁和系
统脆弱点的产生,威胁可以利用暴露的脆弱点,降低企业的资产价值,并对潜在因素产生
影响。
如何控制风险,就需要通过包括风险评估、风险控制和风险降低的一系列风险管理
来实现。
信息安全要考虑投入和收益。
信息安全的投入是相当大的,如果安全投入和实现
安全之后所带来的收益不匹配,投入将毫无疑义。
1.3安全是相对概念
信息系统安全不但与不断变化的需求联系紧密,同时也与不断发展的信息技术关系密
切。
Ø
首先,信息系统的新业务需求和业务新需求是不断的,安全是相对于现有需
求的。
其次,互联网技术和信息技术是不断发展的,是安全攻击方式和手段层出不
穷,可利用并作为攻击的漏洞也越来越多。
此外,安全包括技术的和非技术的因素。
我们不能简单认为通过技术手段就
可以保证安全。
相对来说,非技术因素的考虑(安全管理)对于全面的信息安全
建设是不可缺少的。
因此,掌握最新的安全知识和技能,提高人员的安全意识和安全技能,才是构建全面
安全的必要措施。
1.4安全是动态过程
计算机只要是用于商业应用就会存在安全问题,我们认为安全是一个动态的过程,不
是一成不变的。
新的系统、新的应用层出不穷。
即使采购了安全产品、实施了安全管理、制
定了安全策略也不能说系统在某些方面基本没有安全问题。
因为协议服务固有的
问题、主机配置的复杂性、软件开发过程中产生的漏洞随时都有可能导致漏洞和
脆弱性的产生。
因此,要不断地跟踪最新的安全信息,对系统进行评估,并不断
地加固计算机系统。
信息技术有限公司[2]
安全产品除了拥有全面的特征库外,还需要制定合理的策略,策略需要根据
安全技术的发展进行动态地调整。
同时,要尽量保持产品的版本和特征库更新,
管理上随着安全的发展灵活改进。
非技术因素带来的安全问题,比如人员流动、技术操作不规范、责任不明确
等,也会对网络系统的安全构成极大的风险。
1.5安全是保障体系
信息安全的技术在不断发展,从早期的通信保密,发展到关注信息安全的保密、完整、
可用、可控和不可否认的信息安全,今天发展到信息保障。
单纯的保密和静态的保护已经
不能适应今天的需要了。
信息保障技术框架提出保障信息安全必须考虑保护、检测、反应
和恢复四个动态反馈的环节。
保障体系采用深度防御方式,目的是能够使攻破一层或一类
保护的攻击行为无法破坏整个信息基础设施。
图
信息安全保障技术框架
1.6信息安全建设必要性
办公自动化工作经过近年来的努力,取得了可喜的进展。
一是计算机应用普及率大
幅度提高,办公业务管理和信息管理系统已经普遍建立和使用,办公电脑化、网络化正在逐步
推进。
二是办公网络建设步伐加快,许多单位已建成支持办公业务的内部局域网络,一些部门
上下联网初具规模,纵向联网等到广泛发展。
三是初步形成了业务应用的数据库体系,积累了
一定的电子信息资源。
注重应用系统和信息资源开发,开通网上综合业务,实现办公业务的规范化、电子化、网
信息技术有限公司[3]
络化,全面提高工作质量和工作效率,改善指挥调度手段,增强快速反应能力,为各单位提供多
媒体通信服务、综合信息服务和决策支持服务,促进管理现代化、决策科学化等方面的发展。
2
项目背景
2.1项目背景与现状
根据用户实际网络情况进行描述
随着网络技术的发展和网络应用的快速普及,计算机病毒已经向网络病毒进化,仅采
用网络版杀毒软件已经不能满足
网络防病毒安全保障的需求,需要大力加强病毒防范
和综合治理的力度。
同时,病毒技术和黑客攻击技术也已经基本趋于融合。
因此,对病毒
的防护必须从单机或普通网络病毒防护走向整体病毒疫情掌控、病毒趋势分析、病毒形式
评估良性轨道来。
面对网络病毒的威胁,单独的杀毒软件的被动杀毒方式已经明显不能满足目前病毒防
范的实际需求,因此,如何充分利用现有安全基础设施,采纳最新的防病毒、反黑客技术
手段,建立全网防御、整体作战的综合防治体系对整体网络进行全面监控,是目前所面临
的一项重要任务。
目前,
信息网上主要的风险是存在计算机病毒大面积侵害运行网络的可能,但,现
在还没有对各种病毒进行全局监控和预警、防范的保障措施,没有全面的对病毒事件的大
面积发作的处理预案,XXX
信息网络的正常运行就会受到严重的威胁。
因此,必须从全局
出发,以防为主、防杀结合,建立以省局为中心,防病毒厂商为技术支持单位的计算机病
毒联合防范管理体系,依托集病毒监测等技术为一体的强大技术支撑系统,构筑成为整体
网络的病毒预警防范体系。
对发生在
信息网络上的病毒事件做到早预防、早发现、早
报警、早清杀,及时分发系统漏洞补丁并加以修补,最大程度地降低病毒事件对信息网造
成的安全风险。
2.2建设目标与任务
以
信息中心为核心,在
信息中心建立起融组织管理和技术支撑为一体的全网
信息技术有限公司[4]
病毒预警、防范体系,最大限度地消除计算机病毒在信息网上的生存环境,有效地清除信
息网上的各种病毒,遏制信息网上病毒的大面积发作。
实现整体网络统一的病毒预警、防
范管理,保障信息网安全运行。
信息网病毒预警体系建设有以下任务:
在省局核心交换节点上部署网络病毒监测
系统,实时检测和发现网络病毒,结合整个网络
IP
地址规划和计算机注册定位信息,形成
覆盖全网的网络病毒宏观分析、研判与协调处置系统,建立整体信息网病毒预警和通报机
制,并通过计算机病毒处理预案和应急响应、处置环境的建设,及时处理紧急病毒爆发事
件。
2.3项目的主要功能
1、计算机病毒监测:
通过对被监控网络的传播数据进行实时监测,对相关协议进行分
析,获取计算机病毒特征码,并获取其传播源
ip
和传播目的
Ip,达到监测预警的效果。
2、分析预警:
在
信息网络安全报警处置中心建设网络安全预警分析系统后台,
汇总网络安全探针的监测预警信息,对整个网络计算机病毒的传播的发作、传播动态进行
分析,掌握网络安全动态,生成网络安全预警分析报告。
2.4总体目标
1、通过积极防御、综合防范,全面提高公安网络安全防护能力,重点防护专用网络;
2、创建安全健康的网络环境,重点防范本地重点;
3、通过信息化的手段建设
信息网络安全防范监测预警系统。
信息技术有限公司[5]
3
安全方案的依据和原则
3.1xxx
网络预警系统设计原则
为适应
网络发展的需要,系统按照
网络安全预警和综合管理的需求来设计。
探针和系统监控中心接口通讯格式和开发接口开放,便于不同厂商产品整合部署。
网络安全预警系统,采用集中管理的分布式网络监测体系结构,支持多级部署。
系
统包括系统监控中心、多种类型的监测探针组成。
监测探针负责从被检测网络上收集特定
的安全信息、事件并根据配置上报到系统监控中心,监测探针主要收集网络里的计算机病
毒情况。
系统监控中心负责接收、存储和分析监测探针检测到的安全事件。
网络部署的
网络安全预警的设计必须坚持以下原则:
1、安全性
网络安全预警对网络的顺利运行有非常重要的作用,其自身安全性是非常重要的。
因此要求
网络安全预警具有抗攻击能力,有很好的数据传输、存储安全性保障。
2、可靠性
网络安全预警的实施不能影响业务的正常运行与可靠性,系统自身应能长期稳定、
可靠的运行,不受其它应用软件和环境的影响。
3、高效性
网络安全预警的实施必须最大限度保证网络中业务的运行效率,不影响网络和计算
机终端资源的正常使用。
4、可扩展性
网络安全预警的建设在最大限度考虑用户现有投资的基础上必须考虑到未来发展的
需要,系统必须基于标准的网络协议,具有良好的可扩展性和良好的可升级性。
5、易用性
网络安全预警的实施、安装应简单,配置、操作方便,便于升级与维护。
6、可管理性
网络安全预警必须支持集中管理和分级分区授权管理。
信息技术有限公司[6]
3.2系统建设目标
为有效防范病毒的入侵、传播和对系统的破坏,需要引入一套先进的
网络安全预
警系统,实现全方位、多层次的整体防护,xxx
网络安全预警的建设目标如下:
对
网络中的病毒状况进行统一的病毒监测,及时汇总病毒信息,构建完备、协调、
高效的预警体系。
实时数据流监测,有效数据的汇总和分析,形成对网络中的病毒情况的总体报告和趋
势分析,为宏观决策提供依据。
在本期
网络安全预警建设中,在省局核心交换机上做
端口镜像,部署
网络安全预警,对病毒实时数据流监测系统,在司法厅、省法院、武
警部队及
16
个监狱系统分别在核心交换机上做端口镜像部署网络病毒实时数据流监测设备,
监测本单位的实时病毒安全状况。
在省局部署一台总的管理中心管理所有单位的监测设备,形成统一管理
对网络中出现的病毒情况(新病毒出现,病毒大规模爆发等)进行统一的报警,并具
有多种预警方式(声音提示、电子邮件等),并能够进行快速应急响应。
信息技术有限公司[7]
4
网络安全预警需求分析
4.1XXX
网络安全风险分析
当前的
把众多的业务建立在日益复杂的解决方案计划之上。
而核心业务流程很可
能分布在几个系统之中,这些系统均包含不同的应用程序与技术。
当它们以最优的性能支
持业务时,这些解决方案在管理能力、可靠性、可用性以及性能方面也蕴含着潜在的风险。
安全管理的问题。
企业的安全管理制度是否得到了有效贯彻,安全运作流程
是否能够有效实施,以前无法衡量。
安全管理平台可帮助企业利用技术与管理手
段有效解决安全管理的问题:
海量数据的问题。
企业面临着来自异构系统、平台和应用的安全数据的冲击,
它们都以不同方式产生信息,且以不同的格式呈现、存储在不同的地方,并且报
告不同的内容,而这每天数以百万条信息淹没了安全基础设施;
信息孤岛的问题。
各种安全设备间缺少信息层互通能力,各自为营。
降低了
系统整体的运作效率,增加了安全事件的发现时间和响应时间;
实时监控的问题。
对整个网络的安全威胁形势、安全漏洞情况、安全事件情
况和综合安全风险情况无法提供准确、实时的分析数据;
业务安全的问题。
业务始终是一个企业发展的核心,如何保障业务的安全至
关重要。
现有安全技术侧重保障某特定资源,但业务应用系统一般都由众多
IT
资
源组合构成,如何从业务整个流程上进行安全保障尤为关键;
持续改进的问题。
安全管理需要不断对处理过的安全事件进行总结,不断更
新安全知识库,不断改进安全运维流程,以及不断完善安全管理制度等,因而需
要有效的管理手段来实现持续改进。
4.2XXX
网络安全需求分析
4.2.1
需要精准的实时安全威胁阻断
近期的安全事件,均可以穿透已部署的防火墙,严重影响关键的业务应用,主要是由
信息技术有限公司[8]
于防火墙无法充分防范新的混合型威胁攻击;
同时在企业内部网络大面积部署防火墙也是
不恰当的。
4.2.2
需要带宽保护措施
大量的与业务无关的无用网络流量,例如
peer-to-peer
应用及文件共享等,日益成为
联通网络新的威胁来源,它们会明显的消耗正常的网络带宽,破坏网络的可用性,间接影
响正常的业务运作。
4.2.3
需要更少的用户运维
正在试图运用前瞻性防护应对日益增长的各类威胁,xxx
网络安全预警系统尽可能的节
省人员的干预和维护成本,将有限的
资源留给更重要的网络和系统管理任务。
4.2.4
病毒的威胁
数据在网络的传播过程中,很难避免有害信息的侵入,目前对网络危害程度最大、波
及面最广的是计算机病毒和网络攻击,病毒和网络攻击的入侵不但造成系统运行效率降低、
网络堵塞,而且会造成信息、数据、文件损坏与丢失,还有可能造成信息