《XX公司安全及网管解决方案.docx》由会员分享,可在线阅读,更多相关《XX公司安全及网管解决方案.docx(30页珍藏版)》请在三一办公上搜索。
1、XX公司安全及网管解决方案北京兆维晓通科技有限公司2005年11月目 录1 安全概述- 3 -1.1安全问题的根源- 3 -1.2 面临的主要安全挑战- 3 -1.3 安全建设的重要性、迫切性- 4 -2 网络现状及需求分析- 5 -2.1 网络现状- 5 -2.2 安全风险分析- 5 -2.2.1 安全隐患和安全威胁分析- 6 -2.2.2 风险评估- 7 -2.3 安全需求分析- 8 -2.3.1 物理与链路层安全需求- 9 -2.3.2 网络层安全需求- 9 -2.3.3 系统层安全需求- 10 -2.4 网管系统需求分析- 10 -2.4.1 网络管理需求- 10 -2.4.2 系统管
2、理需求- 11 -2.4.3 实现系统与网络管理一体化- 13 -3 设计目标与原则- 13 -3.1 安全设计目标与原则- 13 -3.1.1 目标- 13 -3.1.2 原则- 13 -3.2 网管设计目标与原则- 14 -3.2.1 目标- 14 -3.2.2 原则- 15 -4设计方案- 17 -5 方案产品介绍- 18 -5.1 ISS Proventia A 系列- 18 -5.2 桌面机安全防护系统 ISS Desktop Protector- 20 -5.3 统一安全管理平台ISS RealSecure SiteProtector- 23 -5.4 HP OpenView Ne
3、twork Node Manager- 26 -1 安全概述1.1安全问题的根源造成众多安全问题的根源是多方面的,而且也涉及信息产业发展的历史现实,主要有以下几个方面:l 信息系统的脆弱性当前的信息系统从技术上来说还是相对脆弱的系统,这些脆弱性体现在以下几个方面:通信和服务层次上的脆弱性、操作系统的漏洞、数据库层次的脆弱性、应用层的脆弱性。ll 网络安全技术相对滞后重视程度不够、缺乏对黑客技术的研究、无法及时追踪与阻止黑客攻击、安全技术的滞后性、专业技术人员的缺乏、人员教育与培训l 整体方案设计中的缺陷l 运行和管理体制上的缺陷1.2 面临的主要安全挑战尽管有众多的专家、用户和厂商长期致力于提
4、高信息系统的安全性,然而由于历史和现状所造成的原因,信息安全是一个任重而道远的长期任务。对于构建信息安全防护体系的人员,尤其是国内的信息安全领域专业人士来说,面临以下的挑战:l 计算机技术及应用的不断发展,安全技术需要不断适应新的计算机和应用技术,因此不存在一劳永逸的安全技术、方案和措施。l 网上犯罪现象猖獗,而具体的犯罪事件不但和技术有关,还与管理,法律,取证规范等方面有关,信息安全研究人士不但面临技术上的挑战,还面临各方面的其他挑战。l 有害信息泛滥,尤其是攻击技术的大范围传播,使得安全防范更为困难。由于互联网本身就是一个对内容开放和自由的环境,所以目前还无法对有害信息进行有效的控制,需要
5、一定的突破性的技术革新才能有所进展。l 网络病毒无处不在,病毒的制造技术越来越高明,制作病毒的方法却越来越简单。而且当前病毒的快速传播特性使得传统的病毒防杀技术已经很难跟上发展需要。l 黑客攻击无孔不入,只要有一个漏洞被突破,都将使其它的安全防御措施形同虚设。1.3 安全建设的重要性、迫切性网络安全问题直接关系到一个国家的政治、军事、经济等领域的安全和稳定。因此,提高对网络安全重要性的认识,增强防范意识,强化防范措施,转变网络安全观念成为网络持续稳定发展的重要保证和前提条件。据调查,目前约有60的企业认为最常面临的安全性威胁,是来自于计算机病毒的攻击,而22的企业则担心黑客的入侵。随着企业e化
6、的成熟度越来越高,网络安全的重要性也随之增加,目前,已有越来越多的企业开始意识到网络安全的重要性,并加强了在网络安全方面的建设。然而,在人们开始意识到网络安全重要性的同时,在具体实践中却往往走入误区。虽然,很多的企业已具有某种程度的网络安全措施,但却偏重于现成的防毒产品,而非全面性的网络安全解决方案。这就使得在实际的应用中,往往是补了西墙漏东墙,顾此失彼,不能达到很好的网络防护效果。对于企业来说,网络安全建设的投资并不会给企业带来直接的利润,或是直接降低企业的成本支出,因此,在不景气的情况下,企业在对网络安全资金做预算时也会有所迟疑。然而事实上,全球有许多案例都证明了,一旦信息安全遭到入侵,都
7、会直接或间接影响企业的收入,甚至给企业造成巨大的损失。“亡羊可以,但一定要补牢”,可事实上,很多的企业并没有真正做到这一点。网络安全是动态的、长期的,不能说你今天买了防火墙就能确保永远不出问题。2 网络现状及需求分析2.1 网络现状上图是XX公司网络现状。公司拥有总部局域网和五个分支机构的局域网,目前只有防火墙作为网络防护。网络中也没有网络管理系统。2.2 安全风险分析XX公司网络与信息系统是一个跨越地理位置较广的、规模较大的、应用情况复杂的广域网,目前在网络安全基础设施建设方面比较薄弱,同时由于在网络技术与协议的开放性,以及在使用和管理上需要逐步制定一系列的制度和规范的问题,使得网络技术的迅
8、速发展带来了数据安全的新挑战,如何保护重要信息不受黑客和不法分子的入侵,保证通信网络的安全性、可用性、完整性以及保密性等问题摆在我们面前。2.2.1 安全隐患和安全威胁分析根据XX公司网络与信息系统的实际情况分析,对网络中潜在的安全威胁和安全隐患分析如下:1、传输线路信息泄漏:XX公司网络是一个分布式的广域网络系统,网络覆盖的范围广,用户数据量大而且采用的都是通用的协议和平台,因此在网络上的信息和数据容易遭到外部人员的窃听,特别是在通过公共通信网传输的部分。2、非授权访问:有意避开系统访问控制机制,对系统设备及资源进行非正常使用,擅自扩大权限,越权访问信息。3、冒充合法用户:网上“黑客”非法增
9、加节点,使用假冒主机欺骗合法用户及主机;使用假冒的系统控制程序套取或修改使用权限、口令、密钥等信息,然后,利用这些信息进行登录,从而达到欺骗系统,占用合法用户资源的目的。4、破坏数据的完整性:以非法手段窃得对数据的使用权,删除、修改或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。5、干扰系统的正常运行:不断对服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,严重影响正常用户的使用和工作。6、通过电子邮件、文件共享等传播的病毒,会严重网络病毒问题:目前由于网络蠕虫病毒的泛滥,对网络用户造成了极大的损失;尤其是在网络环境下病毒的传播
10、更加便捷,如影响系统的正常运行。7、来自内部人员的威胁:据IDC统计,2003年来自于内部人员的安全事件占安全事件总数的80%以上。可能是内部员工的计算机与Internet相连,其机器遭到黑客的攻击,黑客再利用它作为跳板,攻击重要的服务器;而且来自于内部员工(或者内外勾结)的破坏行为,往往对整个系统的破坏作用将更大。内部安全威胁包括两个方面:一是内部员工的恶意攻击,由于在网络内部较网络外部更容易直接通过局域网连接到核心服务器等关键设备,尤其是管理员拥有一定的权限可以轻而易举地对内网进行破坏,造成严重后果。另外一方面是由于内部人员的误操作,或者为了贪图方便绕过安全系统等违规的操作从而对网络构成威
11、胁。由此看来,网络内部安全更需要引起重视。8、安全管理比较薄弱:随着网络安全事件的频繁发生,各企业开始纷纷加强投入信息安全方面的建设,越来越多的各项安全技术、产品被广泛的使用,但许多用户在安全管理方面比较薄弱,考虑得比较少。在技术上缺乏完善的安全管理平台,对所有的安全系统进行统一协调的管理,将它们融合为一个整体;而在管理上缺乏良好的安全管理体制和策略,包括制度的不完善、机构混乱、策略不统一等都需要提高,而这些直接导致了整个安全体系的华而不实,造成网络整体安全防御能力的下降,无法真正达到企业的安全要求。从上述安全威胁中可以看出,在XX公司网络中,存在针对信息系统可用性、保密性以及完整性的许多安全
12、问题,因此需要从整体上进行充分的、综合的评估分析,确认系统中最迫切需要解决的安全问题,从而为安全体系的规划以及建设提供明确的指导性建议,并逐步完善信息安全体系的建设,全面保障XX公司网络系统的可靠、稳定的运行。2.2.2 风险评估风险评估就是确认安全风险以及影响大小的过程,一般采用定量以及定性分析方法,确定保护数据的风险等级以及安全措施实施的优先次序。在进行XX公司网络安全风险评估过程中,我们综合考虑了如下因素:l 安全事件可能造成的业务损失,包含由于信息和其他资产的保密性、完整性或可用性损失可能造成的后果;l 当前主要的威胁和漏洞带来的现实安全问题,以及目前实施的控制措施;在整个安全风险评估
13、过程中,根据XX公司网络信息安全系统所保护的范围进行了全方位的分析。根据上述的安全威胁以及安全隐患的分析,在XX公司网络信息系统中,各主要威胁的风险评估如下表所示:序号风险与威胁发生的概率危害程度安全目标1自然灾害和环境事故低中可用性2信息泄漏低(专网)/中低保密性3网络入侵中中可用性、完整性4非授权访问低高完整性5冒充合法用户低中保密性、可用性、完整性6口令使用与破解中中保密性7破坏数据完整性中高完整性8数据丢失低高可用性、完整性9网络病毒传播高中可用性10恶意代码与后门低高可用性、完整性、保密性11破坏系统可用性低高可用性12安全管理缺陷中高可用性、完整性、保密性13不良的内部人员低高可用
14、性、完整性由于安全系统的建设是一个动态的、具有生命周期的系统过程,因此在安全系统建设完成之后,随着技术的发展以及业务的扩展,系统可能会产生新的漏洞、新的安全问题和隐患,因此需要持续不断对系统进行检测、监控以及评估,及时发现系统中存在的新的弱点,并采取相应的技术和管理手段,弥补漏洞,进一步完善安全体系,使得安全系统的建设形成一个良性循环的生命周期过程。2.3 安全需求分析安全需求是通过对安全风险的系统评估确定的,我们在进行安全系统建设过程中将充分考虑实施安全控制措施的支出与安全故障可能造成的业务损失进行权衡考虑。安全需求是建立良好的安全体系的前提条件,我们从XX公司网络系统的实际情况出发,根据对
15、用户网络系统脆弱性以及安全威胁的风险评估,我们把整体的安全需求根据不同的侧重点,从物理与链路层安全、网络层安全和系统层安全等三个方面进行充分的考虑。信息安全保障体系各层次的安全需求具体描述如下:2.3.1 物理与链路层安全需求在XX公司网络安全系统建设中,物理与链路层安全需求阐述如下:1、从数据传输链路安全方面考虑:考虑到大量内部的数据跨过广域网进行传输,可能被它人窃听和破坏,因此对数据的传输的安全具有以下需求:l 信息在传输过程中保持保密性、完整性、可靠性,防篡改,拟采用相关加密技术和产品,对敏感数据的传输进行加密,同时对传输双方的身份加以鉴别,从而达到安全保密性以及完整性的要求。l 关键信
16、息传输的链路必须通过备份链路等方式,保证相关信息的传输不受到人为、物理的其它因素的影响。l 对系统中的关键应用以及关键的网络连接建立相应的安全机制,如建立备份通道,以便在主通道发生故障的情况,及时采用备份通道,最大程度的保障网络的可用性。2.3.2 网络层安全需求网络层是网络入侵者攻击信息系统的渠道和通路,因此许多安全问题都集中体现在网络的安全方面。在XX公司网络网络平台安全体系中,安全需求主要包括以下内容:l 网络安全优化主要是对系统中不同网段的、不同功能要求以及不同的安全等级的区域的划分,同时根据不同的安全级别,针对性的制定各区域之间的访问控制规则。主要是对现有的网络设备加强安全策略配置如
17、访问控制列表,进行严格的访问控制,并对核心网络设备进行相应的安全设置。l 防火墙防火墙是网络层安全领域最成熟、使用最广泛的技术,用于隔离信任网络与不信任网络的有效工具。需要在全省各网络中部署防火墙隔离内外网,设置各级安全屏蔽,将全网在网络上分割为相对独立的子网,免收外来袭击。l 网络入侵防护与相应的安全审计系统建立全网网络入侵防护检测与相应的安全审计系统,及时监测、拦截并记录来自外部和网络其它部分的黑客入侵行为,拒绝服务攻击,违规操作等,并能对相关入侵行为进行多个日志系统的关联分析,排除虚假的报警信息、过滤掉低风险事件,得到最准确的关键安全事件信息。l 网络安全监管与故障处理通过建立网络管理系
18、统,实现对全网关键网络设备的运行状态、链路的情况进行实时监控与管理,及时发现网络故障情况,并采取相应的响应报警机制,马上通知管理人员进行处理,尽量保障网络的可用性。2.3.3 系统层安全需求主机服务器系统是整个应用业务的基础平台设施,因此其安全性会影响到整个应用业务系统能否正常的运营。在安全系统中,系统平台的安全建设主要有: l 主机系统漏洞扫描与加固采用安全扫描技术,对XX系统中关键的主机和服务器进行定期漏洞扫描与评估,针对相关的系统漏洞,自动提出修补的措施,并定期进行相关操作系统的裁剪、修补和加固的工作。l 网络病毒防杀系统建立全网的病毒检测与防范系统,及时检测和控制各种文件、宏和其它网络
19、病毒的传播和破坏,具有集中统一的管理界面,系统具有自动升级,自动数据更新,可管理性等特性。2.4 网管系统需求分析2.4.1 网络管理需求了解包括总部及五个分支机构的网络状况,包括网络设备管理、网络性能管理和网络配置管理。实现远程管理和维护,保证网络的可用性、可靠性和安全性;网络性能管理通过对各种性能指标的监控、调节,确保网络的可靠性和高效率,优化网络质量。为了实现统一的、高效的管理,需要对整个系统内的问题进行综合分析,把网络的事件与系统、数据库、应用的事件统一起来分析,以分析问题的根本原因。网络安全管理应负责对系统网络的使用进行审查,杜绝无权用户对系统网络的使用,保障网络上传络数据资源的安全
20、,保护用户信息在网输的安全。网络拓扑的自动发现。可自动发现网络节点、自动生网络拓扑图,并对网络事件进行处理。如发现某台机器关机或开机或某种特定事件时,发出报警声音;机器何时开机,何时关机,因何故障出现死机;IP地址是否有重复使用;机器所对应的IP地址,主机名及机型等均可在窗口中反映出来。发现过滤,拓扑过滤,图象过滤功能。可以根据自己的需要,选择要发现监控的对象,定制MAP,按一定的共同特征将被管对象进行分组。动态监测网络。自动发现和监控机制能够发现网络节点,检测网络网络连接,生成和保持TCP/IP网络图,通过色彩确定网络设备的运行状态,通过MIB浏览器了解外围设备的工作状况,可通过在被管节点上
21、扩展SNMP子代理,在管理站上装载其MIB的方式对其进行监视。使用预定义的MIB应用或创建MIB查询应用监视网络连接的通信速率,信息流量等。分布式管理。分布式及可伸缩结构可为指定域分配采集器,采集器可向分布在广域网上的一个或多个管理器报告发现设备的情况与设备变化的情况,只有重要的数据才被传往管理器,这样减少了全网的信息流量,从而最大限度地节约网络带宽。2.4.2 系统管理需求对提供集中和分布式管理功能,可使用户积极地监视和管理网络、系统、应用程序以及数据库的所有方面,有相应的监控、管理功能,形成一套统一的网络与系统管理整体解决方案,实现包括配置管理、可用性管理、安全管理、操作管理、应用管理等功
22、能;同时,对于各种事件,有一套完善的收集、告警、处理、分析、自动处理功能,为整个企业网提供统一的、智能的事件处理服务,同时能够提供API接口,能针对重要的应用进行二次开发。性能管理对系统各个组成部分的性能数据进行实时的采集和处理,在此基础上,结合配置管理功能,保证系统的性能正常。能够进行量的定义,设置一定的阀值,当所定义的资源性能超出阀值时应能自动发出告警并触发相应的处理。对操作系统实现的监控功能:CPU利用率,包括系统,用户进程,I/O占用的CPU时间;交换空间(SwapSpace)的使用情况;磁盘阵列系统使用情况。应能对系统中任何日志文件进行监控,管理员可指定监控的信息(关键字),如果出现
23、了指定的信息,应能立即自动执行特定的命令或向特定的管理工作站发送告警信息。应能自动连续收集系统(操作系统,数据库,应用程序)的运行性能信息并对这些信息进行分析处理。为系统管理员提供定期的运行性能分析报表。在整个系统工作效率或功能部分下降时提出告警信息,严重下降时则由故障管理处理。数据库系统是应用系统的基础,应对数据库系统的多种参数进行分析,并可以对这些参数做对照分析。故障管理故障管理功能应能作到实时侦测、收集系统主机的运行状态信息,当侦测到故障信息时,向指定的监控坐席发出告警信息,写入故障日志,向系统管理员信箱发出信件或通过电话、寻呼通知系统管理人员。故障管理应能侦测以下类型的故障信息,并以图
24、形化的方式实时显示。应用程序故障:当应用程序发生故障或被停止运行,或重复启动时,发出故障告警;数据库系统故障:当出现数据库系统的故障时发出故障告警;存储设备故障:如磁盘、磁带等发生故障时发出告警;主机性能障碍:如发现CPU的运行效率明显降低,频繁等待I/O,文件区满,出现过大文件,出现死锁进程等,发出告警;通信链路故障:可侦测到通信线路,传输转换或适配设备等的故障,并发出告警;病毒故障:当发现病毒或有来历不明进程运行或对系统修改时发出警告;能发现辅助设备故障。故障定位功能:当有上述几种故障或其他故障发生时,能够通过逐级放大,定位到故障发生点。应能实现事件的集中管理。应有对事件的可重定向的传递功
25、能,使所有或某一类事件转发至特定的事件主控台,从而实现对事件的集中管理。应能实现对事件的过滤及分类。应能通过定义(例如根据事件的来源、类型、告警级别等)实现对事件主控台所收到的事件的过滤和分类并传递事件至上级事件主控台。应能根据要求,实现对所收集到的事件的自动处理,例如收到一特定事件信息时,系统能自动执行一个或一组动作,动作可以是各种方式(醒目信息显示、声音报警、自动拨通电话或寻呼等)的报警,执行一个或一组特定命令,启动或停止进程或进行批处理等。应能够实现对事件的数据统计处理。应能够记录所有收集到的事件信息,产生必要的主控台事件日志文件,以及能够根据需要进行事件信息的统计处理。在事件处理的过程
26、中,把事件根据严重程度分成危急(Critical)、严重(Severe)、警告(Warning)、正常(Normal)等几级,使系统管理员可以迅速地把注意力放在重要的事件上,实现高效的事件管理。2.4.3 实现系统与网络管理一体化逐步建立面向服务的一体化的管理方式目的是为各业务系统提供高质量的服务。由于信息环境日趋复杂,当问题出现时,能否快速定位、找出问题原因、及时处理,以避免影响业务系统正常运行,成为衡量一个管理系统优劣的最重要的因素。为了达到快速定位及处理问题,必须优化管理软件的运作模式。这就是我们所提出的实现系统与网络管理一体化的原因。3 设计目标与原则3.1 安全设计目标与原则3.1.
27、1 目标针对XX公司网络安全需求制定的技术方案应实现以下目标:l 部署网络入侵检测系统,检查来自网络的各种威胁l 部署桌面机安全系统,对内部网络的桌面机进行全面安全防护l 建议部署统一安全管理平台,综合分析各种收集的信息,全面了解企业当前安全状况和风险,采取合适的响应措施 。l 在工程实施过程中,不中断或影响支持业务的运行。3.1.2 原则本技术方案和提供的产品应遵循以下原则:l 应具有清晰、实用、易于实现和管理的安全策略。l 充分利用世界先进、成熟的安全产品和技术,组成一个完全的安全防护系统和安全评估系统。产品和技术的选择要符合业务的实际情况。l 对方案的实施尽可能少地更改现有支付系统网络设
28、备的配置,现有网络的拓扑结构和路由策略不能更改,网络设备更改尽量小,并且不需要增加额外的网络设备。l 在增加网络安全设备后,不降低现有支付系统网络的可靠性、可用性;不应对网络通信平台造成大的冲击;不应出现单点故障。l 具有一定的可扩展性,面对各种潜在威胁,确保安全系统在现在和未来能够引入新的技术,以及可能的技术、产品升级;有与相关的新业务接入时,可继续使用本方案的设计。l 满足支付系统业务数据量的要求,不能成为通信瓶颈。l 安全产品应支付集中管理和分散管理模式。3.2 网管设计目标与原则3.2.1 目标在XX公司业务所涉及的范围内,建立一套完整的、统一的、开放的、可扩充的IT系统管理监控体系,
29、实现:(1)管理手段实现质的转变变“救火式”管理为“未雨绸缪式”管理。采用IT管理解决方案,从根本上改变以往管理工作只能依靠技术人员凭经验去操作、问题出现后紧急救火、甚至于面对系统无能为力的被动局面。从技术手段上保证了IT系统性能指标的可视性,预防问题出现、真正实现统一管理、集中监控,变不能为能够,在管理方面实现质的转变。(2)管理水平有质的提高IT管理的初级阶段,对各种网络、系统指标都无法精确地把握,采用IT管理系统才能对各种指标定量地把握,从而更科学地规划IT系统,为管理人员的决策提供数据依据,如决定什么时候系统需要扩容、网络需要扩容等等。(3) 完整、全面的功能从网络上的各种网络设备到X
30、X公司的现有的各种主机操作系统以及各个应用,有相应的监控、管理功能,形成一套统一的网络与系统管理整体解决方案,实现包括配置管理、可用性管理、安全管理、操作管理、应用管理等功能;同时,对于各种事件,有一套完善的收集、告警、处理、分析功能,为整个企业网提供统一的、智能的事件处理服务。(4)适应XX公司现在的结构和将来发展的要求该系统管理方案充分考虑XX公司现有系统的规模和复杂性,又充分考虑未来系统的发展,通过整个管理系统的优秀的体系结构,提供良好的开放性,具有广泛的合作伙伴,能够集成其它的管理工具,使之很好地协调工作,充分的保护了现有的投资;同时相应的开发环境及提供丰富的API接口的,对二次开发提
31、供有力的支持,适应XX公司将来的网络、计算机、应用的升级和扩充。(5)智能性对于产生的事件,通过定义,系统可以执行一些相应的操作,如:当启动一些进程、执行相应的任务、运行预先定义的应用等,实现自动化的操作。同时,还可以通过调度(Schedule)的定义,合理安排一些系统操作。如,对于Oracle数据库的备份,我们可以把它安排到深夜生产机和网络比较空闲的时候自动执行,实现系统资源的合理利用。IT管理本身的目标一般包括短期目标和长期目标。IT管理短期目标是,进行IT基础设施的日常运行维护管理,支撑业务系统稳定、高效的运行。IT管理长期目标是,进行IT管理数据的分析与决策支持,对IT系统进行定量监控
32、及数据分析,支持管理人员制定相应的管理策略,维护一个可以长期安全、可靠、持续运行的IT环境。3.2.2 原则l 经济性:在本建议书中,在方案的制订、产品的选型、服务的选择方面都尽可能体现经济性的原则。l 标准性:构建IT管理体系,必须坚持遵循必须的标准。在方案设计过程中,应遵循和参照最新的、最权威的、最具有代表性的信息管理标准。推荐的软硬件产品应遵循共同开放的标准,所有软件和硬件设备必须遵循相应的网络标准、国际标准或工业标准,并且符合相关工业标准,支持第三方厂商的应用集成,具有开放的API支持用户应用软件的集成。l 先进性:先进性原则要求技术领先、市场领先、服务领先。为了保护XX公司在信息基础
33、设施上的投资,保证IT管理体系能构筑在具有长期发展前途的产品基础上,就需要以技术先进、市场领先以及强有力的后续支持为标准,选择最适合于XX公司目前和未来发展需要的产品。推荐的产品应能够提供对我公司系统软、硬件升级的支持,提供对未来新的设备和应用管理的支持。l 策略性:建立XX公司的IT管理体系,需要首先制订完整的、一致的信息管理策略体系,并且将信息管理策略体系与其他企业策略(如:安全体系)相协调。l 统一管理:提供的统一管理平台工具应能够有效集成所有系统管理产品。l 尽量降低对原有网络、系统性能的影响:由于增加了安全设置,必将一定程度上影响网络和系统的性能,包括对网络传输速率的影响,对系统本身
34、资源的消耗等。因此需要平衡利弊,提出最为适当的IT管理系统解决方案建议。要求增加的管理系统不影响现有系统的正常运行,也不能对现有应用系统提出太多的限制,更不能对应用程序造成破坏,在项目设计和实施过程中,不能因为新增软件的存在而影响到整个网络和应用的正常运行。l 避免复杂性:提供的管理解决方案会尽力避免造成网络结构的复杂,操作与维护的复杂。IT管理体系的建立不会对XX公司的网络结构做出修改。工程实施后,交付给XX公司的管理平台遵循易用易操作原则。l 保护投资: 在本项目实施中,充分考虑利用现有资源,保护现有的投资。l 可用性:可用性包括两个方面,IT管理系统本身的可用性和建立在IT管理体系下的网
35、络的可用性。对于IT管理系统来说,要求可提供方便、友好的图形化管理界面对于网络来说,要求不影响原有业务的开展。l 纵深性:提供的IT管理解决方案应该是一个多层保护体系。l 适应性:提供的IT管理解决方案必须能够随着XX公司信息网网络性能、管理需求的变化而变化,要容易适应、容易修改。4设计方案通过上面的需求分析,结合XX公司网络的现状,我们提出如下图的解决方案。方案拓扑图见下图。在总部的核心交换机上接入一台ISS Proventia A604入侵检测设备,通过镜像流量监控全网的数据流。这样不论是Internet来的流量还是五个分支机构来的流量或者总部内部的流量都可以被监测,如果有网络攻击行为就会
36、被记录下来,并发出警告。在XX公司的所有PC机上(包括五个分支机构)安装ISS Desktop Protector桌面防护软件,可以有效得的防护PC机的安全。在总部部署一台安装了ISS RealSecure Site Protector统一管理软件的服务器,该管理软件可以统一配置和管理Proventia A604入侵检测设备和Desktop Protector桌面防护软件。在总部部署一台安装了HP OpenView Network Node Manager软件的服务器,负责全网的网络管理。方案部署产品列表入侵检测系统产品名称数量Proventia A6041桌面机安全防护系统产品名称数量Des
37、ktop Protector200统一安全管理平台产品名称数量RealSecure SiteProtector1网络管理系统产品名称数量HP OpenView Network Node Manager15 方案产品介绍5.1 ISS Proventia A 系列凭借全球领先的安全智囊和技术,ISS公司的Proventia A 系列入侵检测设备通过简便的部署、先进的管理和全面的保护为企业降低成本。Proventia A 系列设备连同所有ISS公司的网络、服务器和桌面机防护系统,都可以通过同一安全管理平台SiteProtector 而进行管理。X-Force 安全研究小组的最新研究成果通过X-Pr
38、ess Update 升级而对于已知和未知的攻击提供实时的保护。Proventia A 系列的各种型号可以满足用户不同的需求,可在一到四个网段上从200Mbps到1000Mbps提供全面的威胁保护。Proventia A 系列优势集成保护设备提供24/7的支持可在短时间内迅速部署即插即用空前的精准检测技术基于RealSecure 技术同一的协议分析与模式匹配技术,在高速网络上仍游刃有余久经考验的先进技术使RealSecure网络保护系统获奖无数,在市场中独占鳌头可分析100多种协议,甚至捕获未知的攻击防火墙监测保护信息资产免受成功穿透防火墙的恶意网络通信的攻击提供基本层面之上的防护集中管理通过
39、SiteProtector和SiteProtector SecurityFusionTM模块提供简便、远程和集中的管理只需最少的人员及运行成本,即可进行控制、监控与分析先进的数据融合、影响分析和攻击模式识别可选的安全代管服务24/7为您监视安全事件使您集中精力在核心业务上而非安全客户控制策略并可在线访问安全事件优点超强防护,减少风险暴露和防火墙共同组成企业的基本防护体系,帮助企业持续经营是网络防火墙最基本的补充方法,在线性商业运作模式中,能够增大网络安全的成功机率操作简便,降低拥有成本简便的部署方式和先进的管理功能可减少企业的总成本优化设计,适合企业网络为各种规模企业的不同需要提供最全面的保护
40、5.2 桌面机安全防护系统 ISS Desktop ProtectorISS的多功能桌面安全产品RealSecure Desktop Protector为全球领先的桌面机安全防护系统。RealSecure Desktop Protector是一款集中管理的桌面安全防护系统,它结合了 ISS 公司享誉全球且领先市场的入侵防护技术和特定应用程序防护功能,可以防止公司桌面机和便携式计算机受到最新威胁的攻击。这款独一无二的桌面安全产品不仅可以防止主动式攻击,而且可以前瞻性地防护各种安全漏洞。它创造性的结合了防火墙、入侵防护,应用程序保护,病毒防护,缓冲区溢出攻击防护等最先进技术,全面保护客户个人电脑的
41、安全。ISS Desktop Protector实现功能RealSecure Desktop Protector创造性的结合了防火墙、入侵防护,应用程序保护,病毒防护,缓冲区溢出攻击防护等最先进技术,全面保护客户终端电脑的安全, 是企业和组织用来保护桌面机和移动电脑的最佳选择。RealSecure Desktop Protector的防火墙可以阻断来自互联网和内联网到您桌面机的各种未授权的通信,据IDC 2004年9月报告显示, ISS在全球企业桌面防火墙市场排名第一;RealSecure Desktop Protector的入侵防护测组件采用和服务器传感器相同的高速引擎,能自动分析系统行为和
42、通信内容中的可疑活动,与防火墙组件自动联动以阻止黑客的攻击;RealSecure Desktop Protector的应用程序保护组件可以监视系统上各种应用程序的行为和通信,保护用户的电脑免受未知的程序破坏。ISS所有产品皆基于其X-Force研发小组的研发和创造。X-Force 研发小组是专门从事威胁与攻击领域的研究以及产品开发的专业技术队伍。在威胁发生前,X-Force 研发小组针对检测到的全球范围的趋势性威胁和正在发生的攻击情况提供“早期警报”,揭示主要的软件缺陷并开发防护工具,并把其研究成果以最快的速度通过X-Force Update向市场发布。X-Force 研发小组是在全球入侵检测
43、、漏洞扫描及评估等信息安全领域上极具权威性的组织。RealSecure Desktop Protector 可与SiteProtector整合,提供了中央控管机制,并可对安全事件进行分析与报表制作。如此易于使用、且完全整合的解决方案对于攻击提供了主动式的防御,使得对安全事件的管理与响应更加容易,大大降低了维护成本。 应用程序保护 - 仅允许执行合法的程序,避免执行骇客或病毒植入系统的木马或后门程序。RealSecure Desktop Protector的应用程序保护功能可以让系统管理者建立不合法的程序清单,让个人计算机在保护下不会被未授权的人或程序存取使用。 双向的入侵侦测与防御 - 监看所
44、有向内(Inbound)或向外(Outbound)的信息流以查看是否有新的或未知的攻击,同时藉由对应用程序的智能型分析,来对攻击予以阻挡。由于许多病毒、木马程序、计算机蠕虫或后门程序皆是使用计算机上的合法应用程序来发出攻击,因此不管信息流是否是由合法的应用程序所发出,RealSecure Desktop Protector皆能阻挡恶意的或可疑的信息流,而允许没有问题的信息流通过。 VPN的整合 - 确保计算机在使用VPN存取企业网络时,能够符合企业的网络安全政策。 防毒软件的监看 - 可用以确保计算机更新至最新的防毒软件版本,以防御病毒攻击。中央控管 - 您可以在一个中央控管的平台上控制、监看
45、、分析所有接受安全保护的系统,如此不但节省人力,也节省成本。这个中央控管的整合平台 - SiteProtector 可让您监看入侵行为、执行弱点扫描、调整安全事件的处理优先级、或进行交叉分析;同时也提供对多个跨地域网段的中央控管机制。没有其它的厂商可提供如此实时且可清楚掌控的企业网络安全解决方案。 先进的事件关联与分析 - 提供内建的X-Force安全知识库,可动态地有效地找出具威胁性的安全事件,而减少错误的警报。X-Force安全知识库可实时对不同来源的安全事件进行关系型分析,进而找出严重的威胁,例如对具有弱点的主机进行的攻击,或者隐密的、多步骤的攻击等等。 ISS 美国原厂X-Force
46、研究小组全力支持 - X-Force是信息安全产业倍受推崇的研究小组,对于Cisco, Microsoft, IBM, Sun, Hewlett-Packard, Oracle, Peoplesoft, BMC, Polycom, Apache以及其它各个信息厂商推出之产品,业已研究并提出安全性问题。这个小组结合了傲视全球的计算机安全科学家与情报搜集人员,提供宝贵的网络风险管理知能,保护ISS客户最重要的线上数字资产。优势与特色可对复杂的网际网络威胁,例如MSBlast、Nimda、Code Red 等计算机蠕虫进行防御。 保护个人计算机上的重要资料,免于遭骇客或病毒窃取或损坏。 缩短个人计算
47、机系统无法运作的时间,提高企业生产力。 减轻系统管理者在系统管理上须整合多种厂商解决方案的负担,降低企业整体的成本。 5.3 统一安全管理平台ISS RealSecure SiteProtectorISS公司的RealSecure SiteProtector是一套功能强大的集中安全控管平台,可集中管理信息安全产品,并进行资料分析。使用SiteProtector能简易地部署、管理企业内的ISS入侵防护系统、漏洞评估系统与以及第三方的防火墙,可以有效地监督、控制信息安全,替企业提高效率与降低成本,减少网络上的资源浪费,人力及其它相关资源的消耗。该平台具有以下优势:l 革命性的简易使用方式SiteProtector弹性的分组架构,让管理者依据企业实际的组织架构,对信息安全系统与信息安全事件进行分组管理。这个独特的功能,能让企业内的单位或营运组织立即获得所需注意的安全事项。l 自动安装与部署RealSecure Deployment Manager让SiteProtector与其所控管的信息安全系统的安
