《1563编号信息安全建设方案建议书(五)》由会员分享,可在线阅读,更多相关《1563编号信息安全建设方案建议书(五)(32页珍藏版)》请在金锄头文库上搜索。
1、第第1章章 信息安全解决方案设计信息安全解决方案设计 在第 2 章里,我们分别从网络网络、应用应用、终端终端及管理管理四个方面对公司的信息系统安全建设 进行了风险及需求的分析。 同时根据第 3 章的安全方案设计原则, 我们将公司网络安全建设 分为以下几个方面进行了详细的方案设计: 边界安全解决方案;边界安全解决方案; 内网安全解决方案;内网安全解决方案; 应用安全解决方案;应用安全解决方案; 安全管理解决方案;安全管理解决方案; 安全服务解决方案。安全服务解决方案。 下面我们分别针对这 5 个安全解决方案进行详细的描述。 1.1 边界安全解决方案边界安全解决方案 在第 2 章的网络安全风险及需
2、求分析中, 我们主要从外部网络连接及内部网络运行之间 进行了风险的分析。边界安全解决方案就是针对与外部网络连接处的安全方面。 网络是用户业务和数据通信的纽带、 桥梁, 网络的主要功能就是为用户业务和数据通信 提供可靠的、满足传输服务质量的传输通道。 就公司网络系统来讲,网络边界安全负责保护和检测进出网络流量 ; 另一方面,对网络 中一些重要的子系统,其边界安全考虑的是进出系统网络流量的保护和控制。 针对公司网络系统,来自外部互联网的非安全行为和因素包括: 未经授权的网络访问 身份(网络地址)欺骗 黑客攻击 病毒感染 针对以上的风险分析及需求的总结, 我们建议在网络边界处设置防火墙系统防火墙系统
3、、 安全网关安全网关 及远程访问系统远程访问系统等来完善公司的边界网络安全保护。 1.1.1 防火墙系统防火墙系统 为在公司网络与外界网络连接处保障安全, 我们建议配置防火墙系统。 将防火墙放置在 网络联结处,这样可以通过以下方式保护网络: 为防火墙配置适当的网络访问规则,可以防止来自外部网络对内网的未经授权访 问; 防止源地址欺骗, 使得外部黑客不可能将自身伪装成系统内部人员, 而对网络发起 攻击; 通过对网络流量的流量模式进行整型和服务质量保证措施, 保证网络应用的可用性 和可靠性; 可以根据时间定义防火墙的安全规则, 满足网络在不同时间有不同安全需求的现实 需要; 提供用户认证机制, 使
4、网络访问规则和用户直接联系起来, 安全更为有效和针对性 ; 对网络攻击进行检测,与防火墙内置的 IDS 功能共同组建一个多级网络检测体系。 目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在 的缺陷,状态检测防火墙具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网 络性能,同时具有广泛的适应能力。在不损失网络性能的同时,能够实现网络安全策略的准 确制定与执行, 同时有效地抵御来自非可信任网络的攻击, 并具有对防火墙系统安全性能的 诊断功能。 其内置的入侵检测系统, 可以自动识别黑客的入侵, 并对其采取确切的响应措施, 有效保护网络的安全,同时使防火墙系统具备无可
5、匹敌的安全稳定性。 我们可以根据业务模式及具体网络结构方式,不仅仅在内部网络与外部网络之间,同 时在内部网络与内部网络之间和各子业务系统之间,考虑采用防火墙设备进行逻辑隔离, 控制来自内外网络的用户对重要业务系统的访问。 我们可以根据业务模式及具体网络结构方式,不仅仅在内部网络与外部网络之间,同 时在内部网络与内部网络之间和各子业务系统之间,考虑采用防火墙设备进行逻辑隔离, 控制来自内外网络的用户对重要业务系统的访问。 1.1.1.1 防火墙技术部署说明防火墙技术部署说明 (根据具体的网络情况描述) 1.1.1.2 产品选型及功能介绍产品选型及功能介绍 (根据具体产品描述) 1.1.2 安全网
6、关安全网关 由于考虑到公司与互联网(Internet)进行连接,所以我们建议在系统网络与 Internet 接入处配置“安全网关” ,部署位置灵活,可放置在接入路由器与防火墙之间,也可部署在 防火墙与内部网络之间。 随着互联网的飞速发展和应用, 计算机病毒已将互联网作为其一种主要的传播途径。 其 中利用电子邮件传播病毒是最直接的方式, 统计显示邮件传播方式占全部病毒传播的 90%以 上。在过去一段时间内所发生的几起影响较大的计算机病毒事件中,以 Internet 为主要传播 途径的病毒占大多数,如 Nimda、Code Red 等,以及近几年爆发的 Sobig.F、Swen、冲击波、 振荡波等
7、等。 同时,由于病毒的泛滥,垃圾邮件也越来越成为大家头痛的问题。根据国际领导的市场 调查机构 Radicati Group 统计,目前所有的邮件中,超过 50是垃圾邮件,也就是说每天在 国际上有超过 150 亿封垃圾邮件被发送出去, 使各类企业每年遭受到 200 亿美元以上由于劳 动生产率下降及技术支出带来的损失,到 2007 年垃圾邮件数量将上升到惊人的 2 万亿封一 年。 经过上述风险及需求的分析, 在 Internet 接入处对病毒、 垃圾邮件及恶意代码进行控制, 是实现接入安全的最佳方案。通过配置“安全网关” ,我们可以实现: 保证所有主要的 Internet 协议的安全,包括 HTT
8、P、FTP、SMTP、POP3 等信息在进 入内部网络前由安全网关进行查杀毒; 过滤所有来自互联网的垃圾邮件; 通过 SMTP 认证保证邮件服务器不会被黑客当作攻击别人的跳板等。 1.1.2.1 产品选型及功能描述产品选型及功能描述 安全网关的目标是在网络边界或 Internet 网关处提供全面的病毒防护, 而该病毒防护设 备是即插即用的,不需要改变任何 Internet 设置,并对所有应用及服务透明。通过全面阻截 已知及未知病毒和防垃圾邮件功能和内容过滤功能达到针对企业网络环境的全面防护。 安全 网关是一款高度可配置及提供负载均衡的产品, 为从中型到大型企业提供全面解决方案, 并 对网络流量
9、透明。 主要模块主要模块 防病毒模块防病毒模块 能够扫描最常用的 6 种协议,阻止未知病毒和计算机蠕虫进入公司网络 防垃圾模块防垃圾模块 安全网关通过其反垃圾邮件模块检查进入公司的所有邮件。 信息被扫描并且被划分 成垃圾或非垃圾, 在未被请求的邮件到达用户信箱之前进行阻断或修改这些信息的 主题 内容过滤模块内容过滤模块 网页过滤模块允许管理员限制因特网访问。 可以定义不受欢迎内容目录, 授权和非 授权网页。允许管理员控制公司网络资源,并且阻断非法,黄色或暴力网站内容, 或只是不受欢迎内容进入公司。可以建立 VIP 用户列表,这些用户不需应用上述限 制 主要特点:主要特点: 易于使用易于使用 :
10、 安全网关是目前世面上最易于安装及使用的硬件网关产品,作为网络信 息传递的桥梁而非需要重新路由网络流量。 安全安全 : 安全网关扫描 6 种网络协议,而其他硬件网关产品仅能够扫描 2 到 4 种网络 协议。 在安全网关安装在企业边界上时, 它实时扫描所有收入及发出邮件及其他的 网络传输信息,并且具有防垃圾邮件功能和内容过滤功能 表现性能表现性能 : 安全网关的最大性能是可以取得完全扫描及病毒防护。安全网关的硬件 及软件性能经过特殊优化处理, 能够同时扫描 6 种网络协议, 并且完全对企业网络 透明。 扩展性扩展性 : 安全网关专门针对自动负载均衡设计,使增加扫描的速度及增加网络防护 可以随时达
11、到。并可支持到百兆。 功能及优势:功能及优势: 性能高度优化的病毒防护性能高度优化的病毒防护 整合最新硬件及软件技术,提供超乎寻常的优异性能, 能够在一个小时内扫描上万封邮件,完全对企业网络透明。 性能高度优化的垃圾邮件防护性能高度优化的垃圾邮件防护 整合最新硬件及软件技术,提供超乎寻常的优异 性能,能够在一个小时内扫描上万封邮件,完全对企业网络透明。 拓展性及负载均衡拓展性及负载均衡 由于安全网关的高度可拓展性,安全网关适合中到大型企业, 能够根据网络通讯流量调节扫描能力。 负载均衡是完全自动的, 允许工作负载量能 够自动在不同工作单元间进行均衡, 良好地保障了产品的可拓展性及对企业边界的
12、全面防护。 易于安装及配置易于安装及配置 按照即插即用的设计思路,能够非常简便地安装在企业网络中, 不需要重新配置或重新路由 Internet 流量。一旦安装完成,就开始不知疲倦地扫描 所有网络流量,保障网络的 100安全。 保护所有广泛使用的网络协议保护所有广泛使用的网络协议 保护所有可能的 Internet 相关威胁,完全扫描所 有常用 Internet 协议,包括: HTTP, FTP, SMTP, POP3, IMAP, NNTP. 内容过滤内容过滤 内容过滤防止未知病毒及蠕虫进入企业网络,大幅减少整体网络资源 占用及带宽,防止可能的恶意代码进入到企业网络。 远程管理远程管理 可以通过
13、一个简洁、启发式的 WEB 管理控制台远程管理,让企业网络管 理员通过企业内部任何一台电脑管理该产品。 每日自动病毒更新每日自动病毒更新 可以每日自动病毒更新,意味着安全网关始终可以防护所有最 新病毒。 详细报告及可客户化的报警详细报告及可客户化的报警安全网关提供完整的扫描报告, 并可以客户化在企业内 部网络的病毒报警机制。 实时系统监控实时系统监控 安全网关提供网络管理员对网络病毒行为及网络流量的实时监控。 1.1.3 远程访问安全远程访问安全 根据前面的风险及需求分析可知,公司在通过 Internet 互连及远程访问方面,主要存在 着以下两种类型: 公司总部与分支机构之间的远程访问及互连;
14、 公司与合作伙伴之间的远程访问及互连。 在总部与分支之间的互连, 一般要求将分支机构的网络接入到总部网络。 而与合作伙伴 的互连一般情况下合作伙伴访问企业固定的某些应用系统。 同时, 远程应用中还存在着一种 情况,即用户出差或移动状态中需要 在远程访问安全方面,我们分别针对这两类应用类型设计了相应的 VPN 远程访问系统。 1.1.3.1 分支与总部的连接分支与总部的连接 目前,由于 VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用 VPN, 连接在家工作和出差在外的员工, 以及替代连接分公司和合作伙伴的标准广域网。 VPN 建在互联网的公共网络架构上,通过“隧道”协议,在
15、发端加密数据、在收端解密数据,以 保证数据的私密性。 如在企业分部与企业总部之间, 及企业员工与企业核心数据之间, 都可建立起端到端的 逻辑隧道(Tunnel),所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理,从而 能与同一物理链路中其它数据区别开来, 避免被不法用户所窃取, 只有在隧道的始末两端才 可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如 Internet)传递业务数 据时,这项技术尤为必要。 现在大多数远程安全访问解决方案是采用 IPSec VPN 方式,应用最广泛的组网结构是在 站点到站点的 VPN 组网方式。IPSec 是网络层的 VPN 技术,表示它独
16、立于应用程序。IPSec 以自己的封包封装原始 IP 信息,因此可隐藏所有应用协议的信息。一旦 IPSec 建立加密隧道 后,就可以实现各种类型的一对多的连接,如 Web、电子邮件、文件传输、VoIP 等连接。 并且,每个传输必然对应到 VPN 网关之后的相关服务器上。在设计上,IPSec VPN 是一种基 础设施性质的安全技术。这类 VPN 的真正价值在于,它们尽量提高 IP 环境的安全性。IPSec VPN 的诱人之处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。 1.1.3.2 应用系统的远程访问应用系统的远程访问 信息技术发展到现在,Web 成为标准平台已势不可挡,越来越多的企业开始将 ERP、 CRM、SCM 移植到 Web 上。SSL VPN 将是 Web 应用热潮的直接受益者,它被认为是实现远 程安全访问 Web 应用的最佳手段。很多情况下,如采用 SSL VPN 的能够就是降低成本。虽 然购买软件或硬件的费用不一定便宜,但部署 SSL VPN 很便宜。安装了这类软件或硬件,使 用者基本上就不需要 IT 部门的支持了,只要
