中交水运规划设计院网络安全建设方案.docx
《中交水运规划设计院网络安全建设方案.docx》由会员分享,可在线阅读,更多相关《中交水运规划设计院网络安全建设方案.docx(17页珍藏版)》请在冰点文库上搜索。
中交水运规划设计院内网安全管理解决方案
北京圣博润高新技术有限公司
2006年3月
目录
第一章 方案概况 3
1.1概述 3
1.2.需求分析 3
第二章 方案原则、依据及目标 5
2.1方案原则 5
2.2方案依据 5
2.3方案目标 7
第三章 系统架构 8
3.1安全策略规划 8
3.2内网安全系统的建设 8
3.2.1内网审计 9
3.2.3内网监控 10
3.2.4详细的审计、分析与报告 10
3.2.5技术特色 11
第四章 系统应用部署和安全策略 13
4.1系统部署 13
4.1.2集中式部署 13
4.1.2分布式管理部署 13
4.2安全策略 14
4.2.1安全技术 15
4.2.2安全管理策略 16
17/17
第一章 方案概况
1.1 概述
随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们的生活和工作方式,也改变现行企事业单位的管理模式。
作为信息的管理部门,必须考虑当前技术的发展给我们的工作所带来的利益和威胁.如何利用信息网络进行安全的通信,同时保护计算机自身信息的安全性,成为当前网络安全和信息安全迫在眉睫的问题。
针对日益严重的内部信息泄漏问题,FBI对484家公司调查显示。
面对来自于公司内部的安全威胁,85%的安全损失是由企业内部原因造成的。
对于很多国内企业来说,这可能有点耸人听闻,但是,他们肯定遇到过类似的事情,由于某一员工误操作造成公司服务器上重要文档丢失;由于没有定义每位员工在系统内的访问权限,使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手……对于这些来自公司内部的安全问题,不是靠单纯安装杀毒软件或防火墙就能解决的。
1.2.需求分析
中交水运规划设计院的内部网络安全本质上是一种管理需求,目的是使中交水运规划设计院的各项工作能够安全的进行,管理是主要方式。
信息化工作模式建立在技术含量较高的计算机及网络技术之上,在管理过程中仅仅依靠人力不能够满足网络安全管理的需要,也不能够面对今后随着技术发展带来的更多安全需求,因此必须依靠各种技术手段来为网络安全管理提供有效的工具,降低管理成本,提高管理效率。
具体的内网安全问题可以归结为:
Ø缺乏有效的实时IP/MAC管理机制
1随着网络知识的普及,大量终端用户可以轻易的修改本机的IP地址,而网络管理人员通过现有的技术并不能实时的发现这些操作,这样做会导致如下问题:
21.一旦发生网络瘫痪或网络阻塞问题,网络管理人员一般通过终端计算机
的IP地址进行查找,但如果用户修改了IP地址就会造成无法及时发现问题源的现象,导致解决问题的时间被延误。
32.如果用户修改的IP地址和网关或服务器冲突,就会造成网络瘫痪或服务失效,同时网络管理人员无法对问题进行跟踪。
43. 如果用户感染病毒,病毒有可能会自动修改用户的MAC地址,就会导致该用户隐身于整个网络中,使整个网络存在一个看不见的漏洞。
Ø缺乏内部网络之间的网络访问控制
中交水利规划院的网络已经很好的划分了VLAN,但是对VLAN之间的访问控制没有进行有效的设置,这样会导致如下问题:
1.内部数据的不安全性,如果内部用户无意或有意对服务器段或其他网段进行操作会对该网段的数据造成破坏。
2.如果内部用户感染病毒,病毒会肆无忌惮的传播到每个VLAN中。
最大的安全等于最小的权限,这是网络安全的一条不变得法则。
虽然中交水利规划院的网络已经很好的划分了VLAN,但是VLAN的划分存在配置复杂,设置相对死板对网络管理人员的要求比较高。
的划分存在配置复杂,设置相对死板,对网络管理人员的要求比较高。
Ø对一些造成网络性能下降的软件缺乏控制
当前网络的发展,导致了P2P软件的发展,这种软件大大增加了网络负载,对正常的网络访问产生了极大的影响。
仅仅从防火墙进行配置会对防火墙的性能造成影响。
同时根据防火墙原理它并不能完全有效的阻止网络回包,这样会给
P2P这类软件造成可乘之机。
Ø缺乏统一的系统补丁升级系统
当前网络蠕虫病毒的泛滥主要原因就是系统补丁升级不及时造成的。
如何统一地及时地强制地给所有终端用户安装补丁是每个网路所面临的问题。
Ø对防病毒软件缺乏统一的管理
虽然中交水运规划设计院购买的网络版杀毒软件但是由于缺乏强制的安全策略导致有的客户端没有安装能够及时升级的网络版杀毒软件,造成了网络安全的隐患。
第二章 方案原则、依据及目标
2.1方案原则
为保证方案的能够最终达到国家保密部门规定的相关保密要求,在设计方案时遵循如下的设计原则:
Ø系统安全原则:
管理系统自身安全包括物理安全、系统安全、数据安全和运行安全等;
Ø可扩展原则:
统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统的可扩展性,保证分布实施的延续性。
系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力;
Ø按照GB17859-1999《计算机信息系统安全保护等级划分准则》的要求建设;
Ø可靠性原则。
执行ISO9002质量认证体系要求,确保安全保密设备的高可靠性和稳定性;
Ø经济性原则。
内网安全管理系统的建设、运行维护以及将来的扩展建设,必须符合经济性原则;
Ø易操作原则。
内网安全管理系统的使用、维护、管理、发行等方面要易操作;
Ø高效原则。
内网安全管理系统的处理能力要求能满足现阶段的实际需求,保证系统的高效运行,并能根据系统的发展进行不断提升;
Ø功能完整原则。
内网安全管理系统的功能完整,应用安全扩展系统功能完整;
Ø灵活性原则。
内网安全管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。
2.2方案依据
本设计方案的主要依据是国家保密局文件“涉及国家秘密的计算机信息系统安全保密方案设计指南”(BMZ2-2001),同时,还参考了以下标准和法规、文件:
Ø国家标准GB2887-2000《电子计算机场地通用规范》;
Ø国家标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》;
Ø国家标准GB9361-1998《计算站场地安全要求》;
Ø国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》;
Ø国家标准GB50174-1993《电子计算机机房设计规范》;
Ø国家军用标准GJB3433-1998《军用计算机网络安全体系结构》;
Ø国家公共安全和保密标准GGBB1-1999《信息设备电磁泄漏发射限值》;
Ø国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测 试方法和安全判据》;
Ø国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和 测试方法》国家保密标准BMB4-2000《电磁干扰器技术要求和测试方法》;
Ø国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防 护要求》;
Ø国家保密指南BMZ1-2000《涉及国家秘密的计算机信息系统保密技术 要求》;
Ø国家保密指南BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》
Ø国家保密指南BM23-2000《涉及国家秘密的计算机信息系统安全保密测评指南》;
ØCISPR22信息技术设备—无线电干扰特征—极限值和测量方法;
ØCISPR24信息技术设备—免疫性特征—极限值和测量方法;
Ø国务院令147号《中华人民共和国计算机信息系统安全保护条例》;
Ø国务院令195号《中华人民共和国计算机信息网络国际联网管理暂行规定》
;
Ø中华人民共和国公安部令32号《计算机信息系统安全专用产品检测和销售许可证管理办法》;
Ø国家保密局文件《计算机信息系统保密管理暂行规定》(国保发[1998]1号);
Ø中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发[1998]6号);
Ø中共中央办公厅国务院办公厅关于转发《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》的通知(厅字[2000]58号)。
2.3方案目标
中交水运规划设计院要求最大可能的保护其办公网络和系统资源与数据可以得到充分的信任,获得良好的管理。
本项目的总体目标是在不影响中交水运规划设计院网络正常工作的前提下,实现对网络的全面安全加固。
北京圣博润高新技术有限公司(以下简称圣博润)根据中交水运规划设计院的需求,提供包括整体安全策略、规划、设计、部署、管理、紧急响应以及配套服务组成的网络安全整体解决方案。
安全管理的安全目标:
安全管理是整个内部安全管理体系的核心,使得安全策略、和安全系统最终形成一个统一的安全整体,为企业创造真正的价值,根据实际情况,规划不同密级的安全,为不同用户制定相应的安全策略,并统一的管理所有设备;
第三章 系统架构
3.1安全策略规划
内网安全策略是企业实现内网安全管理的基础,内网安全策略是企业网络信息系统安全建设的指导原则、配置规则和检查依据。
内网安全系统的建设主要依据企业网络信息系统统一的内部安全策略。
内部安全策略是一种指导方法,通常都以一种规范、制度、流程等体现出来,用以指导我们快速、合理、全面的建设内部安全系统,同时我们所规划和实现的内部安全策略本身又是可扩展的,随着时间的不断推移和内部安全需求的进一步变化,我们都是根据调整企业的内部安全策略来更好的指导我们建设内部安全系统。
我们认为,内部安全策略分为:
(1)主机资源审计与保护策略
主机资源审计策略是对主机资源进行收集、并现在统一管理的内部安全策略,它指导如何准确、便捷的收集企业内网内所有主机的相关信息,同时指导我们根据不同主机的资源现状制定不同的保护手段和管理制度。
(2)在线信息保护策略
在线信息保护策略是指根据企业的实际情况,并结合相关的法规政策、企业制度,对企业内部暴露在网络上面的重要信息进行保护的内部安全策略,它指导企业如何定义重要信息、区分不同的信息的重要程度、并根据不同信息的重要程度制定不同的保护方案和访问控制规则,同时也保证了我们企业的内部网络资源得到最大化的合理应用。
3.2内网安全系统的建设
一套统一的、安全的、可扩展的内部安全系统是我们构建整个安全目标的重要因素,内部安全系统是我们整个内部安全体系的基础框架,通过我们的内部安
全系统,我们可以
●具体完成我们的安全管理工作,使我们的管理电子化、自动化;
●实现安全策略,把安全策略作为系统配置的形式下发到所有终端主机;
●科学的划分安全域,我们的管理工作趋于统一化、合理化、高效化。
3.2.1内网审计
在拥有了有效的防止内部信息泄漏的方式后,对计算机资源的审计和管理也变的同样重要,如何有效的、最大化的掌握每一个主机的资源状态,对统一的安全管理尤为重要!
通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。
采用基于主机和基于网络相结合的控制机制和技术手段,可以多层次、多手段地实现对网络的控制管理。
通过集中管理、自我防护机制,全面体现了管理层对内网关键资源的全局控制、把握和调度能力,为网络管理人员提供了一种审计、检查当前系统运行状态的有效手段。
对受控终端进行审计是通过规则进行的。
审计规则设置的是对服务器规则控制下的行为的记录和统计。
在服务器设置相应的审计规则后,如果客户端所在的设备有符合规则的行为发生,则在服务器的日志中会有相应记录。
可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则。
系统根据规则自动记录安全审计日志并存入系统日志信息库,这些信息是事后了解和判断网络安全事故的宝贵资料。
审计功能包括:
²自动登记受控终端的硬件配置(包括CPU、内存、硬盘、显示卡、网卡等等),当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息;
²自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器,当其发生变化时,自动向安全管理核心系统发出报警信息;
²对受控终端安装的系统服务进行审计,自动记录系统服务的启动和停止;
²自动记录受控终端上应用程序的安装与卸载情况;
²对受控终端上运行的进程进行审计,自动记录进程的启动和停止;
²对网络访问进行审计,记录用户对规则指定网址进行的访问操作;
²对受控终端的可移动存储设备的使用情况进行审计;
²对拨号访问情况进行审计。
3.2.3内网监控
对受控终端进行监控是通过监控规则进行的。
安全管理核心系统负责集中配置监控规则,下发到受控节点。
可以根据需要设置规则,系统根据规则自动阻止非法操作,并且向控制台发出报警信息。
内网监控模块功能包括:
²对受控终端进行屏幕监视或控制;
²对受控终端进行IP地址和MAC地址的绑定,防止用户随意更改网络配置;
²对受控终端上运行的进程进行控制,允许或禁止某些进程的启动;
²对网络访问进行控制,允许或阻断对某些网络地址的访问;
²对受控终端自动进行补丁分发;
²对受控终端进行防病毒软件的控制,不装指定的防毒软件不允许访问内网。
3.2.4详细的审计、分析与报告
审计统计报表为系统管理员分析诊断网络故障提供了数据分析的基础。
可以根据部门、设备、事件类别等多种条件进行查询统计,生成各种审计统计报表。
包括:
²安全事件分析报告
²计算机配置报告
²计算机运行状况报告
²系统进程审计监控报告
²系统服务审计监控报告
²系统日志审计监控报告
²打印输出审计报告
²文件存储、传输审计监控报告
²网络访问监控报告
对生成的审计统计报表(或审计日志报表、系统事件报表),可以通过系统提供的“报表查看器”进行浏览,同时提供打印预览功能,支持报表打印。
3.2.5技术特色
LanSecS内网安全管理系统凝聚了先进的网络安全管理思想,把安全管理的流程和技术手段加以总结提高,既能保证计算机网络安全运行,也能提供对内网计算机信息安全的监控和审计,可以解决企业和政府内部专用网络的安全管理、安全控制和行为监视。
通过主动的安全管理和安全控制的方式,将内部网络的安全隐患以技术的手段进行有效的控制。
²符合当前网络安全管理的国际、国内标准
符合国际信息安全管理体系标准和技术工程标准,BS 7799、ISO
17799、SSE-CMM等。
符合中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》。
²独特的安全管理思想和技术手段
结合信息安全行为模式理论以及多年从事网络安全和风险评估领域的经验积累,形成了独特的安全管理的方法论,以此方法论为基础设计了专业的智能的LanSecS内网安全管理系统。
实现了严密的集中管理、自我安全保护,并建立了信息安全管理体系。
产品设计思想先进,拥有完全自主的知识产权。
²基于主机和网络相结合的控制机制
基于主机控制机制可以监控指定的主机系统,其控制力度细;基于网络的控制机制可以实时监控内网的安全隐患,实现了周密的内网资源保护。
²集成的系统管理:
端到端、全面的集成监控
优秀的IT系统管理软件,帮助用户稳定、可靠、方便、有效地管理企业级IT基础设施,真正实现了端到端的系统管理。
²强制的审计监控进程
在客户端隐藏审计/监控进程,使得受控客户端不能停止和删除进程,确保安全审计和监控,同时不影响客户端的正常使用。
²IP和MAC地址绑定
可以防止受控客户端改变IP地址,确保访问控制。
²集中管理和监控
对大量目标资源进行集中管理,可以监督的对象众多。
系统对内网中设备、网络、文件集中管理安全策略、系统配置、安全事件等。
²安全日志信息库
所有网络、系统数据及安全事件,可以通过SQLSever2000数据库进行存储,便于网络安全管理审计、分析。
²操作系统自身的安全性审计
可以发现当前系统的补丁安装情况,同时针对不同单位的防病毒的需求,可以提示用户安装本单位要求的防病毒软件.
²模块化设计、简单易用
系统开发了独立模块以提供对目标主机多层次、多视角的审计,并提供了友好的安全审计中心图形界面,操作简单直接,大大降低了用户后期维护的投入以及网络系统/安全管理员的工作难度和工作量。
第四章 系统应用部署和安全策略
4.1系统部署
通过管理角色特别是管理端管理角色的变化,结合LanSecS内网安全管理系统应用数据服务器支持多级别、分布式部署的特性,在实际中,LanSecS内网安全管理系统采用以下两种部署方式:
集中式部署和分布式管理部署。
4.1.2集中式部署
集中式部署面向小型网络。
LanSecS内网安全管理系统按照企业网络结构,将网络划分为一个安全域,通过对每一个网络用户行为的监视和记录,并形成完整的日志。
集中部署
4.1.2分布式管理部署
分布式部署面向复杂结构下的企业网络。
在这种部署应用模式下,LanSecS内网安全管理系统按照企业网络结构,可以将整个企业网络划分为一个以上的安全域;在某个安全域内,按照该安全域的类型,LanSecS内网安全管理系统可以将所有下级的安全数据信息集中到
LanSecS安全管理核心系统。
分布式部署
1.对于经常出差,策略是统一策略已下发到本机,所以还是可以保证数据的安全的,同时操作日志会在联通网之后将日志上传这到服务,统一管理。
2.根据中交水运规划设计院的实际情况,规划不同策略,为为同安全级别制定相应的安全策略,并统一的来之不易所有网络网络。
4.2安全策略
网络与信息安全=信息安全技术+信息安全管理体系
技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。
其中,信息安全技术通过采用包括建设安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现。
在管理层面,则通过构架信息安全管理体系来实现。
应用开发提供功能,系统管理确保性能。
离开了对于性能和可用性的保障,系统应用无从谈起。
保证网络自身安全和业务安全,首先要有一个可靠的网络,
其次就是要有强有力的网络管理和网络安全管理策略和手段。
随着网络应用日趋复杂,单凭网络管理员的学识和经验进行网络管理和安全管理,已经不能适应了。
因此,我们必须借助一些工具和软件来管理网络,并构建信息安全管理体系。
4.2.1安全技术
全网安全策略考虑如下:
中交水运规划设计院虽说是一个独立的局域网,内部办公都是依靠此网进行完成,所以必须考虑该监控系统安装后对原有系统的影响。
包括对原有系统稳定性、网络带宽资源、系统安全性的影响。
需要安装在原有系统上的模块是客户机端驻留引擎。
该引擎我们做了测试,不会引起操作系统的不稳定,占用的系统CPU资源量很小,约2.5%以下,内存占用量也很小,1M以内。
监控系统其它模块不再和原有的系统直接联系,都是独立的。
包括扫描发现引擎、设备智能探测发引擎。
Ø客户端引擎安全策略
客户端驻留引擎所完成的功能是整个监控系统要完成的核心功能,实现客户端监控审计的功能。
如果该系统出现安全问题,主要的数据信息将失去意义。
客户引擎完成的主要功能是控制本机用户的使用权限,记录、上报本机用户的敏感操作和状态信息,这使用户产生抵触心理。
即使加强管理工作,用户仍可能想方设法破坏引擎的正常工作,包括将其卸载、停止工作、删改记录、不正常运行等。
所以,引擎必须保证自身安全可靠性。
包括:
1)驻留模块在本操作系统下具有不可发现、不可删除、不可停止、不可篡改等特点,实现多层保护。
第一层保护是不可发现,如果可以发现,就会给人以破坏的机会;
第二层保护是不可删除,万一发现后,也是删除不掉的,我们通过底层技术加以保护;
第三层保护是不可停止,万一发现了该进程,通过一般的技术手段,包括
系统提供的工具都停止不了它;
第四层保护是不可篡改,主要是针对该系统文件和日志记录,在非在线情况下,对用户的行为做日志非常重要,一旦连接在线,会将记录传送到数据库中。
2)保证系统不可被病毒软件发现。
有一些同类软件尽管采用了一些隐藏技术,但是避免不了被防病毒软件发现。
防病毒软件会将监控系统驻留引擎当成病毒处理,并对引擎隔离或删除。
3)自动启动客户机驻留引擎。
试图通过启动配置、注册分区表发现、修改或禁止引擎启动都不可能。
4)安全模式下引擎仍然正常发挥作用。
4.2.2安全管理策略
对于中交水运规划设计院,除安全外,采用监控系统后还必须考虑对部门局域网和广域网(指专网广域网)的其它影响影响。
Ø带宽的问题
在局域网内部,扫描引擎搜集大量的数据信息,上传审计信息,对违法客户端发起的阻断功能都有可能引起局域网带宽的瓶颈。
实际上,扫描引擎搜集网络信息采用定时方式,除开机注册时需要上传单机多项信息外,定时扫描时传送很少量信息,而违法行为也不是大量出现,所以不会引起网络瓶颈。
管理控制台提供查询、配置、报警等功能,平时数据量都很小,只在数据查询时稍大,显然不会对网络带宽造成大的影响。
当然,随着逐步往中央集中,各地研究所数据传输量逐步增大。
但是目前的带宽保证,总体都不会出现网络瓶颈。
升级会员 