《【企划方案企业安全解决方案模板】(DOC34页).docx》由会员分享,可在线阅读,更多相关《【企划方案企业安全解决方案模板】(DOC34页).docx(34页珍藏版)》请在三一办公上搜索。
1、企业安全解决方案模板北京天融信科技有限公司2005年6月目 录第一章 前言31.1 背景31.2 项目概述3第二章 XX企业信息网络的整体安全体系设计52.1 信息安全体系设计原则52.2 信息安全体系结构分析62.2.1 安全服务模型72.2.2 协议层次安全模型72.2.3 安全实体单元8第三章 XX企业信息网络的安全现状和需求分析103.1 XX企业网络安全现状及威胁分析103.1.1 内部网络与Internet互联的安全威胁113.1.2 来自内部网络的安全威胁113.1.3 系统的安全风险分析133.1.4 病毒对XX企业网络安全运营的安全威胁143.1.5 安全服务体系不健全的威胁
2、143.2 XX企业安全需求143.2.1 防病毒体系需求143.2.2 强制性网管软件需求153.2.3 防火墙需求153.2.4 过滤网关需求163.2.5 入侵检测需求163.2.6 漏洞扫描需求163.2.7 安装需求16第四章 信息网络的安全方案设计174.1 安全管理174.2 安全防护174.3 安全监测174.4 病毒防护184.5 安全服务18第五章 XX企业网络安全项目解决方案195.1 XX企业防火墙解决方案195.1.1 XX企业防火墙的部署195.1.2 XX企业防火墙的作用235.2 XX企业入侵检测方案245.3 XX企业漏洞扫描解决方案265.4 XX企业防病毒
3、解决方案275.4.1 网络版防病毒解决方案275.4.2 网关防病毒解决方案285.5 XX企业安全管理系统解决方案29第一章 前言1.1 背景随着近年来网络安全事件不断地发生,安全问题也已成为IT业的一个热点,安全问题对于XX企业的发展也越来越重要。安全问题已经成为影响XX企业业务平台的稳定性和业务的正常提供的一个问题,所以提升我们XX企业自身的安全性也已经成为XX企业增强企业竞争力的重要方面之一。XX企业集团是国家重点支持的520家工业企业大型支柱产业集团之一。随着信息技术的迅猛发展,XX企业集团领导充分认识到网络安全建设的重要性,为了更好的开展生产、科研工作,决定对现有信息系统进行网络
4、安全技术改造。1.2 项目概述本次信息安全项目包括XX企业集团下属企业、附属机构和分支机构的网络安全系统建设所需的相关设备、软件以及方案详细设计、系统集成、管理制度的建立、培训、技术支持与服务等内容。实施是在网络现有应用基础上的改造,对网络整体的安全加固,所以在上新的系统时不能影响原有系统应用的整体性能。建立整体网络安全体系;建设整体的防病毒体系,保证网络病毒不会由公司主干网传入专网,保证远程VPN网络或用户的病毒不会传入公司主干网;对于INTERNET上新病毒的反应、处理速度,比如当时“震荡波”病毒,要在“黄金响应”时间内通知如何防范和相应补丁,在没有扩散到大范围及时发现病毒;如果内网存在病
5、毒,能够对其定位,知道在哪个机器上,是哪种病毒,能够清除并有相应的日志;保证系统服务器、生产专网、电话站专网的高可用性、抗攻击性;能够查询谁在什么时间、什么地点、用什么方式访问了什么网络资源,上了什么网站,要有分用户、分时间段、分服务类别的详细清单及统计报表;强制性管理终端用户设备,并按照统一规划的不同策略管理不同的终端用户设备或终端用户设备组;能够及时觉知谁在攻击或在探测网络,并及时阻断攻击以及非法探测并有详细的日志,在发生外部入侵进来时,必须及时报警并发邮件到管理人员邮箱,并提供相应的策略;对公司内网的安全能够做到:谁在用非法手段扫描、攻击服务器或别人的机器,谁私自改IP地址,新的机器接入
6、内网或非法上外网,不能随便安装、卸载软件等等。对这些违反规定的机器要有相应的日志,并可以进行阻断;对本公司内的生产子网要做好安全隔离,即使XX企业主干网上有病毒在传播但不能传到该子网中去,该子网只保留一些必要的数据通讯端口与主干网络通讯,其他端口必须屏蔽掉。评估网络及主要的服务器、明确应用存在哪些漏洞及其补救措施,当前发现的所有漏洞得到弥补,不能弥补的要有应急措施预案;各种系统具备完善的日志及审计功能,可以追溯安全事件,可以按照不同的方式出具各种报表;第二章 XX企业信息网络的整体安全体系设计2.1 信息安全体系设计原则XX企业信息安全保障系统涉及到整个工程的各个层次,网络和信息安全方案的设计
7、遵循以下原则: 整体安全XX企业信息安全保障系统的是一个复杂的安全系统工程,对安全的需求是任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和业务系统提供全方位安全服务。 有效管理没有有效的安全管理(如防火墙监控、审计日志的分析等等),各种安全机制的有效性很难保证。XX企业信息安全保障系统所提供的各种安全服务,涉及到各个层次、多个实体和各种安全技术,只有有效的安全管理才能保证这些安全控制机制真正有效地发挥作用; 合理折衷在XX企业信息安全保障系统的建设过程中,单纯考虑安全而不惜一切代价是不合理的。安全与
8、花费、系统性能、易用性、管理的复杂性都是矛盾的,安全保障体系的设计应该在以上四个方面找到一个合理的折衷点,在可接受的风险范围内,以最小的投资换取最大的安全性,同时不因性能开销和使用、管理的复杂而影响整个系统高效运行的总体目标。 责权分明采用分层、分级管理的模式:一方面,XX企业信息系统可以分为三层:信息网络、计算机系统和应用系统;另一方面,网络和应用系统都有中心、下属等的分级结构。各级网络管理中心负责网络的安全可靠运行,为应用信息系统提供安全可靠的网络服务,各级信息中心负责计算机系统和应用系统的安全管理。 综合治理XX企业信息系统的安全建设是一个系统工程,信息网络的安全同样也绝不仅仅是一个技术
9、问题,各种安全技术应该与运行管理。机制、人员的思想教育与技术培训、安全法律法规建设相结合,从社会系统工程的角度综合考虑。2.2 信息安全体系结构分析XX企业信息系统对安全的需求是任何一种单元安全技术都无法解决的。安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。在信息网络安全体系结构的研究表明,想要从一个角度得出整个信息系统完整的安全模型是很困难的。借鉴美国国防部DISSP计划中的安全框架,我们提出了适合XX企业信息系统的安全体系结构模型。该模型由安全服务、协议层次和系统单元三个层面描述,且在每个层面上,都包含安全管理的内容。该模型在整体上表现为一个三线立
10、体框架结构。信息网络安全体系结构安全服务取自于国际标准化组织制订的安全体系结构模型ISO7498,我们在ISO7498的基础上增加了审计功能和可用性服务。协议层次的划分参照TCPIP协议的分层模型。系统单元给出了信息网络系统的组成。安全管理涉及到所有协议层次、所有单元的安全服务和安全机制的管理。安全管理涉及两方面的内容:各种安全技术的管理和安全管理制度。2.2.1 安全服务模型国际标准化组织所定义的安全体系结构中包括五组重要的安全服务,这些安全服务反映了信息系统的安全需求。这五种服务并不是相互独立的,而且不同的应用环境有不同的程度的要求,我们在图中给出了主要安全服务之间的逻辑关系。各种安全服务
11、之间的逻辑关系在不同的协议层次,实体都有主体和客体(或资源)之分:在网络层,对主体和资源的识别以主机或协议端口为粒度,认证服务主要指主机地址的认证,网络层的访问控制主要指防火墙等过滤机制;在应用系统中,主体的识别以用户为粒度,客体是业务信息资源,认证是指用户身份认证和应用服务的认证,访问控制的粒度可以具体到某种操作,如对数据项的追加、修改和删除。在开放式应用环境中,主体与客体的双向认证非常重要。从这一模型可以得出如下结论:对资源的访问控制是安全保密的核心,而对实体的(用户、主机、服务)认证是访问控制的前提。2.2.2 协议层次安全模型从网络体系结构的协议层次角度考察安全体系结构,我们得到了网络
12、安全的协议层次模型,如图所示,图中实现上述安全服务的各种安全机制,并给出了它们在协议层次中的位置。该模型与OSI体系结构一致。协议层次模型2.2.3 安全实体单元在工程实施阶段,各种安全服务、各协议的安全机制最终要落实到物理实体单元。如图所示,从实体单元角度来看,安全体系结构可以分成以下层次:物理环境安全。端系统安全,主要保护网络环境下端系统的自身的安全。网络通信安全,一则保障网络自身的安全可靠运行,保证网络的可用性;二则为业务数据提供完整性、保密性的安全服务。应用系统安全,为某种或多种应用提供用户认证、数据保密性、完整性以及授权与访问控制服务等。系统单元安全模型其中,安全政策是制定安全方案和
13、各项管理制度的依据,安全政策是有一定的生命周期的,一般要经历风险分析、安全政策制定、安全方案和管理制度的实施、安全审计和后评估、四个阶段。安全管理是各项安全措施能够有效发挥作用的重要保证。安全管理的内容可以分成安全技术管理和安兮管理制度两部分。安全技术的管理包括安全服务的激活和关闭、安全相关参数的分发与更新、安全相关事件的收集与告警等。第三章 XX企业信息网络的安全现状和需求分析随着计算机技术和网络技术的发展,网络成为信息高速公路,人们利用网络来获取和发布信息,处理和共享数据。但是网络协议本身的缺陷、计算机软件的安全漏洞,对网络安全的忽视给计算机网络系统带来极大的风险。实际上,安全漏洞广泛存在
14、于网络数据链路、网络设备、主机操作系统和应用系统中。网络安全是一个体系工程,如果把XX企业网络信息系统划一个边界的话,未来在广域网建好之后可能发生的安全威胁会来自各个方向、各个层面。3.1 XX企业网络安全现状及威胁分析XX企业集团现有信息网络覆盖10平方公里之内的各个下属钢铁企业、附属机构和分布在异地的远程分支机构。到目前为止,共有终端用户1000余个,其中包含各种服务器30台。网络设备基本采用CISCO系列产品,主干网络交换机近100台。整个网络拥有100M的因特网出口。InternetE-MAIL转发服务器Proxy AAACisco3640防火墙pix2950-123500G-24小型
15、机 SUNFIRE4800Catalyst6506Catalyst6506Catalyst4006Catalyst40062950G-242950G-242950G-48生产子网12950G-242950-12 2950-12VPN及移动上网卡3550G-12T终端服务器计量服务器E-mail服务器3548G2m数字电路三个分厂生产子网2下面主要针对XX企业的信息系统,列出可能面临的主要安全威胁为:3.1.1 内部网络与Internet互联的安全威胁 与Internet相连,如果没有边界防护将是危险的。 XX企业内部网络与Internet如果不采取安全防护措施,这样内部网络很容易遭到来自于In
16、ternet中可能的入侵者的攻击。如:u 入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。u 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。u 恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪u 在Internet上爆发网络蠕虫病毒的时候,如果内网的边界处没有访问控制设备对蠕虫病毒在第一时间进行隔离,那
17、么蠕虫的攻击将会对网络造成致命的影响。 分支机构通过Internet与总公司进行通讯的安全威胁u 在Internet上传输的公司内部数据,会面临被读取,被篡改,被冒名的安全威胁,所以需要对数据的源发性、数据的机密性、数据的完整性进行验证。u 在分支机构与总部的VPN网关建立隧道以后,如果分支机构的计算机遭到病毒或黑客的入侵,同样将会对XX企业的内网造成安全威胁。3.1.2 来自内部网络的安全威胁 核心交换机如果没有访问控制,就不能抵御日益严重的网络攻击XX企业内部系统基本是一个三层互联的网络,核心交换机的设计如果可以实现内部网络之间的访问控制。即使在交换机上可以通过配置提供一些安全保证,但是其
18、强度是不足的。现在的黑客攻击工具在网络上泛滥成灾,任何一个稍微有点计算机操作能力的人员都可以利用这些工具进行攻击。同时,由于内部人员比较熟悉系统的情况,其攻击行为更容易取得成功。据权威数据表明,有97的攻击是来自内部攻击和内外勾结的攻击,而且内部攻击成功的概率要远远高于来自于外部网络的攻击,造成的后果也严重的多。而且XX企业的网络很庞大,覆盖面积广,内部人员复杂,不同的网络区域对于内网的应用系统都会构成安全威胁。具体表现在:首先是XX企业内部任何区域的安全级别都要低于两台重要的ERP服务器,也是就其他的网段和区域都会对两台ERP服务器造成威胁;其次是棒材和炼钢生产子网;炼钢大高炉生产子网;矿业
19、公司和二化子网;电话站专网。这些专网之间都需要进行访问控制。 服务器区的安全威胁,缺少入侵监测设备XX企业的内部服务器组存有很多重要的数据,这些数据是不能丢失或损坏的,因此一定要对这些服务器进行重点保护,防止这些数据被篡改和窃取。在该网络结构中,各重要的服务器和主机都将是通过核心交换机直接与其他子网连接的,并且这些服务器区的边界如果没有任何访问控制产品和监控设备,内部人员对这些服务器可以很容易实施攻击。 网络节点变化的隐患在XX企业集团网络系统中,预留了一些空节点以备人员扩充时使用,若有非法人员利用这些节点接入后,就可以直接连入XX企业集团的网络中,并且能与网络中的数据库服务器物理连接。此时,
20、该人员就可以非常方便地通过一些非法的工具和手段来随意攻击网络上的数据库服务器和其他客户端主机、盗取网络上的一些关键数据以及获取当前比较详细的XX企业集团整体网络情况为以后更致命的攻击做好准备,然而网络管理员并没有一个有效的方法来实时了解网络中各节点的情况,控制这些网络节点的变化,因此给整个XX企业集团的网络系统造成极大的威胁。 非法访问的危害XX企业集团的网络是一个多应用多连接的系统,虽然目前已经存在一些常用的访问控制手段:所有用户在访问服务器时都必须输入正确的用户名和口令等,但是这样的网络结构利用传统的网络管理措施难以实现有效的访问控制。对于网络中没有访问其他网段主机权限的用户来说,当要对其
21、他网段上主机发动攻击时,其情况类似于外部网络的攻击。但是与外部网络的攻击者相比,内部攻击者对网络结构了解的更加细致,而且更容易窃取用户登录所需资料,所以非法访问更易成功。如某台非法主机在经过相关的配置后就可以与网络中的数据库服务器和其他客户端主机进行TCP/IP通信。这样就能够通过仿冒合法用户或通过其他黑客工具对客户端甚至关键的数据库服务器进行非法通信和数据访问,这将给XX企业集团带来严重的危害。 非法应用的威胁XX企业集团系统中有许多的应用在实时地使用着,尤其是数据库和工业控制的应用。但网络管理员并没有一个有效方法来监控这些应用的使用,然而多数的木马程序都是以注入内存的方式来调用一些非法应用
22、与黑客通信的。若此时有一台开发客户端主机中了木马程序,在正常访问服务器的过程中就可能通过这一非法应用程序将访问服务器的账号、口令以及访问方式都泄露给黑客,黑客就能通过获取的信息堂而皇之地登录到该应用服务器上,并能在该服务器上也启动一些非法的应用服务,帮助黑客完全地控制服务器。3.1.3 系统的安全风险分析 如果没有漏洞扫描和安全评估机制,将不能及时地填补网络漏洞所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些后门或安全
23、漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。3.1.4 病毒对XX企业网络安全运营的安全威胁 外部 XX企业与Internet有直接通道,会受到来自专网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁。 内部 局域网中的工作站及文件服务器都会受到病毒的感染,病毒的攻击方式
24、多种多样,有通过局域网传播、传统介质(光盘、软盘、USB硬盘等)传播等等,一旦受到感染,便会迅速传播,会给日常的工作和生产带来极大的威胁。 网络带宽 高速传播和具有网络攻击能力的病毒,能占用有限的网络带宽,导致网络瘫痪。CodeRed,冲击波以及Mydoom就是典型导致网络瘫痪的病毒,能导致网络交换机、路由器、服务器严重过载瘫痪。 间接损失 病毒造成的间接损失可能更大,病毒造成的事故对企业的影响是直接导致企业信息资产损失,可能影响生产运营。3.1.5 安全服务体系不健全的威胁一个网络的安全,不是仅靠一种安全产品就能保障的,是需要多种安全产品共同维护的。如今的网络攻击和网络漏洞日益严重,它需要网
25、络管理人员具有快速的响应机制。如果没有一个完善的安全服务体系,将尽可能多的安全产品统一来维护,面对突如其来的网络攻击,XX企业可能将面临巨大的损失。同时,众多品牌的安全产品采购,也将对XX企业的网络的维护带来不便。3.2 XX企业安全需求3.2.1 防病毒体系需求 自动安装客户端软件; 自动更新、分发客户端软件及病毒库; 网络中布置了多少台机器,还有多少台未安装防病毒软件; 客户端软件、病毒库版本是否为最新,病毒防护或发作信息; 客户端软件不允许随意卸载; 网络中那些病毒在传播;3.2.2 强制性网管软件需求 网络上有哪些交换机,有哪些计算机; 网络拓扑结构,交换机如何互联,每台交换机接了那些
26、终端; 网络性能管理、流量管理、故障管理、日志管理; 资产信息收集与管理; 管理制度制订、落实; 客户端软件不允许随意卸载; 远程管理与控制; 软件分发; 操作系统补丁分发、安装; 管理中心; 网络设备的软件升级(IOS升级至最高版本);3.2.3 防火墙需求 支持双机热备份功能,切换时间不超过3秒; 因特网出口(现状:100M),支持VPN功能,能够与VPN网关协调一致工作,移动用户能够利用操作系统自带的VPN连接、通过cisco 公司ACS 3000验证用户进入公司内网; 北京分公司(现状:Adsl),利用VPN网关与公司因特网出口防火墙建立VPN连接进入公司内网; 北京库房(现状:华为路
27、由器,128K DDN) ,利用VPN网关与公司因特网出口防火墙建立VPN连接进入公司内网; 两台ERP小型机(每台小型机配置:双千兆短波多模光纤网卡,防火墙采用桥接模式) 棒材生产子网、炼钢生产子网(百兆) 炼钢大高炉生产子网(千兆长波单模光纤) 矿业公司(2条2M数字电路,连入电话站交换机)、二化(1条2M数字电路,连入电话站交换机) 电话站专网3.2.4 过滤网关需求因特网(现状:100M)入口,必须至少支持4种Internet协议:SMTP、POP3、HTTP、FTP,并具有日志以及日志分析功能;3.2.5 入侵检测需求内网关键区域及因特网(现状:100M)出口,具有安全审计功能;3.
28、2.6 漏洞扫描需求定期挂接到网络中,对当前网络上的重点服务器(如WEB服务器、邮件服务器、DNS服务器、主域服务器等)以及主机进行一次扫描,得到当前系统中存在的各种安全漏洞,并有针对性地提出补救措施报告;3.2.7 安装需求所有安全产品布置在项目附带的机柜内,并且在机柜内配置2台32口自动多电脑切换器,配置相应的键盘、光电鼠标、显示器及线缆;安全设备要有管理口,便于管理,降低安全产品本身的安全威胁,要有分权管理,管理与审计权限分开;要保证系统服务器、生产专网的高可用性、抗攻击性;制定详细的实施计划,明确双方责任,专业技术工程师、制度管理师按照实施计划布置实施符合XX企业管理需求的安全策略、制
29、定符合XX企业管理需求的制度体系;各个系统协调一致工作,不能出现软件或硬件冲突;第四章 信息网络的安全方案设计4.1 安全管理环节分析:l 主要是指XX企业集团要设备管理、人员管理、策略管理等;l 目前XX企业集团尚无一套完善的网络安全管理体系,我们要建立通过一定的国际标准来建立建设管理体系。需求建议:XX企业集团信息网需要对全网所有设备和终端用户进行管理。负责管理计算机的技术人员和一般计算机使用人员,依靠一定的安全技术和手段和一些好的管理办法,制定一些切实可用的网络安全策略,来建立XX企业集团信息网的安全管理体系。另外建议应用强制性的网管系统对网络设备和客户端进行管理。4.2 安全防护环节分
30、析:l 该环节的包括访问控制、保密性、完整性、可用性、不可否认性。该环节主要依靠一些相关的技术手段来实现。访问控制主要依靠防火墙技术、划分Vlan技术身份认证技术等方式来实现;l 保密性、可用性、不可抵赖性:主要包括一些信息保密手段,例如使用VPN技术、采用加密软件、或者应用CA证书保证数据的安全防护等。防护还包括对线路高可用性、网络病毒防护、数据容灾防护等方面。需求建议:安全保护围很广涉及的技术也较多,对于XX企业集团信息网目前最需要的防护手段是对全网的防护,使用防火墙、防病毒技术和入侵检测,在此基础上建议加强对XX企业集团数据中心信息网的防护体系建设。对分支机构建议采用VPN网关建立隧道。
31、4.3 安全监测环节分析:l 主要是指实时监测、风险评估、系统加固、漏洞修补等;l 实时检测主要依靠入侵检测系统、风险评估依靠于脆弱性分析软件,系统加固和漏洞修补要求网络管理人员能够随时跟踪各种操作系统和应用系统漏洞情况及时采取必要的措施。需求建议:对于XX企业集团信息网目前尚无任何网络安全监测措施,对于发生的网络安全问题需要有效的监测手段;对于全网的风险评估需要建立相应的评估制度;对于系统加固和漏洞修补需要固定的工作流程和漏洞发现和加固计划。4.4 病毒防护环节分析:l 主要针对全网1000多台主机和30多台服务器进行病毒防护。对网络的边界及接入点进行病毒的监控。需求建议:目前XX企业集团急
32、需一套网络版的防病毒软件覆盖整个网络。在网关处建议配置防病毒网关。4.5 安全服务环节分析:l 一个优秀的网络安全系统的建立不仅仅依靠网络安全设备和相关安全手段,如何去建设网络安全系统?如何去使用网络安全系统?以及出现安全问题如何去应对?是一般网使用者非常关心的问题。究竟解决以上问题呢?我们认为专业的事情要交给专业的人来做。需求建议:在XX企业集团信息网构建一个良好的安全系统的时候我们要有责任建议XX企业集团不要忽略安全公司所提供的前期、中期、后期所需的各种保障服务。第五章 XX企业网络安全项目解决方案5.1 XX企业防火墙解决方案5.1.1 XX企业防火墙的部署根据XX企业集团系统的安全现状
33、和风险分析,我们在该网中建立防火墙子系统。有关建立防火墙子系统的目标、功能、位置、在下文中进行详细说明。信息化的前提就是建立起完善的信息保障体系,防火墙在信息保障体系中对网络行为进行有效访问控制,对保证网络访问行为的有序性起到了至关重要的作用,防火墙体系的建立直接关系到了系统能否正常运行,体系是否完善;关系到了系统是否能够对非法访问进行有效的防范。在XX企业集团网络系统中我们建立防火墙子系统的主要目标:逻辑隔离XX企业集团系统内网与Internet;保护两台重要的ERP服务器;对棒材和炼钢生产子网进行防护;对炼钢大高炉生产子网进行防护;对矿业公司和二化子网进行防护;对电话站专网进行防护。以上这
34、些专网和生产子网他们和XX企业集团内网之间都需要进行访问控制。我们建议在XX企业集团内网和Internet接入设备之间配置一台天融信网络卫士千兆防火墙NGFW4000-UF-VPN(E),作为访问控制设备。通过此设备除了进行访问控制而且还与远端的分支机构建立隧道,在远端北京分公司和北京库房也配置了天融信的VPN网关。对于XX企业移动的用户建议在单台计算机或笔记本上安装天融信VPN客户端软件,同样可以与总部的NGFW4000-UF-VPN(E)建立隧道,实现数据的安全传输。拓扑结构如下图所示:由于XX企业集团ERP系统承载着企业大量的重要数据信息,因此必须通过防火墙的访问控制过滤技术对非授权的用
35、户进行严格地控制和防护。若严格地采取物理隔离措施,固然可以做到系统的访问控制绝对安全,但是对于通过间接的物理访问而造成的病毒危害则很难防范(病毒库很难及时升级),而且对整个信息系统的自动化和工作效率不能有效地保证。届时,可以通过防火墙系统开放ERP系统的许可访问权限,其他不相关地访问用户则被严格禁止。目前XX企业在整体网络安全防范的情况下,着重对ERP的服务器进行安全防护。建议在两台SUN服务器和核心交换之间部署防火墙,具体的连接方式如下图所示:两台SUN的服务器做CLUSTER,共映射两个浮动IP,分别是应用和数据库,两台SUN的服务器互为备份。我们建议在SUN服务器和核心交换之间加入天融信
36、的千兆防火墙NGFW4000-UF,同时设定规则,只允许特定的ERP应用到达SUN服务器。经过在XX企业的测试,天融信的防火墙能够稳定应用在此网络结构下。其中,最重要的技术是目前在国内的防火墙当中只有天融信支持的Spanning Tree的算法。如上图所示,XX企业集团的核心网络是典型的二层备份方案,中心两台Catalyst6509核心交换机,之间启用Trunk和FEC协议,下连的交换机通过双链路分别连接两台核心交换机,通过生成树协议实现备份。Solaris服务器也是通过两块网卡连接两台核心交换机,物理上,一块网卡是up,另一块处于down状态。Solaris服务器切换的原理是这样的,每个网卡
37、各有自己的真实IP地址,两个网卡还虚拟出一个ip,此虚拟IP对外提供服务,如果服务器通过PING检测每个网卡的真实ip地址,如果不通,此网卡就变为down,另一网卡为up状态。 如果不支持生成树协议,又要避免环路出现,普通的防火墙会采用如下图所示的连接方法(以一台服务器举例),每两个端口划分一个广播域,一台防火墙要划分两个广播域。如果断掉交换机与防火墙之间的连线,对于防火墙和服务器的连接状态依然正常,所以服务器没有相应的收敛算法能检测到这种状态的变化,不能相应的切换。对于天融信的防火墙由于支持Spanning Tree的算法,上图就可以变成下图的连接方法: 区别表现在支持Spanning Tr
38、ee的算法的防火墙可以把四个端口配置成一个广播域,此时防火墙到交换机之间的切换通过生成树协议来实现,服务器到防火墙之间的切换通过Solaris服务器双网卡自身的机制来切换。这也满足了标书中要求的真正桥接的模式。棒材和炼钢生产子网建议配置两台天融信网络卫士百兆防火墙NGFW4000-T、矿业公司和二化子网建议配置一台天融信网络卫士百兆防火墙NGFW4000-T、电话站专网建议配置一台天融信网络卫士百兆防火墙NGFW4000-T。炼钢大高炉生产子网配置天融信单模千兆防火墙NGFW4000-UF。5.1.2 XX企业防火墙的作用l 防火墙对内网用户一经授权便能够采用任何现有的或新出现的网络技术访问I
39、nternet获取所需要的信息和服务;l 防火墙可以防范各种网络攻击,能够查找到攻击的来源和类型,能够对这些攻击进行反应;l 对网络访问接入点的保护应该对相关组件与网络的性能造成尽可能少的影响;l 抗DOS/DDOS攻击:拒绝服务攻击(DOS)、分布式拒绝服务攻击(DDOS)就是攻击者过多的占用共享资源,导致服务器超载或系统资源耗尽,而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制,防止DOS黑客攻击。所以通过防火墙上进行规则设置,规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量,如果超出这个数量便认为是DOS/DDOS攻击,防火墙在设定的时间内就不接受来
40、自于这个地址的数据包,从而抵御了DOS/DDOS攻击;l 防止入侵者的扫描:大多数黑客在入侵之前都是通过对攻击对象进行端口扫描,收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息,然后再展开相应的攻击。通过防火墙上设置规则:如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接,便认为是扫描行为,并截断这个连接。从而防止入侵者的扫描行为,把入侵行为扼杀在最初阶段;l 防止源路由攻击:源路由攻击是指黑客抓到数据包后改变数据包中的路由选项,把数据包路由到它可以控制的一台路由器上,进行路由欺骗或者得到该数据包的返回信息。通过在防火墙上配置规则,禁止TCP/IP数
41、据包中的源路由选项,防止源路由攻击;l 防止IP碎片攻击:IP碎片攻击是指黑客把一个攻击数据包分成多个数据据包,从而隐藏了该数据包的攻击特征。通过在防火墙上设置规则防火墙在进行检查之前必须将IP分片重组为一个IP报文,而且这个报文必须具有一个最小长度以包含必要的信息以供检查,从而防止了IP碎片攻击;l 防止ICMP/IGMP攻击:许多拒绝服务攻击是通过发送大量的ICMP数据包、IGMP数据包实现的。通过在防火墙上设置规则,禁止ICMP/IGMP数据包的通过防火墙,保证系统的安全;l 阻止ActiveX、Java、Javascript等侵入:防火墙能够从HTTP页面剥离ActiveX、JavaA
42、pplet等小程序及从Script、PHP和ASP等代码检测出危险的代码,也能够过滤用户上载的CGI、ASP等程序;l 其他阻止的攻击:通过在防火墙上的URL过滤可以防止一些来自于系统漏洞的攻击(例如:通过配置规则禁止访问./winnt/system32/cmd.exe?/可以防止WINDOW NT/2000 的UNICODE漏洞以及其他CGI漏洞攻击:/Cgi-bin/phf、cgi-bin/count.cig、_vti_pvt/service.pwd、cfdocs/expeval/ openfile.cfm等)、和一些病毒的攻击(例如:禁止default.ida可以防止红色代码的攻击);l
43、 提供实时监控、审计和告警:通过防火墙提供对网络的实时监控,当发现攻击和危险代码时,防火墙提供告警功能;5.2 XX企业入侵检测方案保护边界安全的有效的监视机制包括:基于网络的入侵检测系统(IDS)、脆弱性扫描(安全服务)、病毒检测等。首先我们建议在网络出口处和重要网段部署天融信千兆入侵检测NGIDS-UF。在基于TCP/IP的网络中,普遍存在遭受攻击的风险。除了恶意的攻击外,非恶意目的发起的攻击也是非常重要的一部分。有效的入侵检测系统可以同时检测内部和外部威胁。入侵检测系统的目的是检测恶意和非预期的数据和行为(如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务)。一旦入侵被检测到
44、,会引发某种响应(如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击)。利用防火墙技术,经过精心的配置,通常能够在内外网之间提供安全的网络保护,降低网络安全风险。但是,存在着一些防火墙等其它安全设备所不能防范的安全威胁,这就需要入侵检测系统提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,来保护XX企业集团局域网的安全。建议在核心交换机上对Internet的接口和未来的应用服务器的接口做流量映射,配置天融信网络卫士的入侵检测NGIDS-UF。入侵检测是防火墙等其它安全措施的补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安
45、全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测。除了入侵检测技术能够保障系统安全之外,下面几点也是使用入侵检测的原因:(1) 计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受安全问题的困扰。入侵检测系统可以发现已有的威胁,并对攻击者进行惩罚,有助于上述目标的实现,并对那些试图违反安全策略的人造成威慑。(2) 入侵检测可以检测
46、其它安全手段无法防止的问题。攻击者使用越来越容易得到的攻击技术,能够对大量系统进行非授权的访问,尤其是连接到XX企业集团局域网的系统,而当这些系统具有已知漏洞的时候这种攻击更容易发生。尽管开发商和管理员试图将漏洞带来的威胁降到最低程度,但是很多情况下这是不能避免的:l 很多系统的操作系统不能得到及时的更新l 有的系统虽然可以及时得到补丁程序,但是管理员没有时间或者资源进行系统更新,这个问题很普遍,特别是在那些具有大量主机或多种类型的软硬件的环境中。l 正常工作可能需要开启网络服务,而这些协议是具有漏洞,容易被攻击的。l 用户和管理员在配置和使用系统时可能犯错误。l 在进行系统访问控制机制设置时
47、可能产生矛盾,而这将造成合法用户逾越他们权限的错误操作。(3) 当黑客攻击一个系统时,他们总是按照一定的步骤进行。首先是对系统或网络的探测和分析,如果一个系统没有配置入侵检测,攻击者可以自由的进行探测而不被发现,这样很容易找到最佳攻入点。如果同样的系统配置了入侵检测,则会对攻击者的行动带来一定难度,它可以识别可疑探测行为,阻止攻击者对目标系统的访问,或者对安全人员报警以便采取响应措施阻止攻击者的下一步行动。(4) 入侵检测证实并且详细记录内部和外部的威胁,在制定网络安全管理方案时,通常需要证实网络很可能或者正在受到攻击。此外,攻击的频率和特征有助于选择保护网络免受相应攻击的安全手段。(5) 在入侵检测运行了一段时间后,系统使用模式和检测问题变得明显,这会使系统的安全设计与管理的问题暴露出来,在还没有造成损失的时候进行纠正。(6) 即使当入侵检测不能阻止攻击时,它仍可以收集该攻击的可信的详细信息进行事件处理和恢复,此外,这些信息在某些情况下可以作为犯罪的佐证。总之,入侵检测的根本意义在于发现网络中的异常。管理人员需要了解网络中
