《网络哨兵企业解决方案模板》由会员分享,可在线阅读,更多相关《网络哨兵企业解决方案模板(23页珍藏版)》请在金锄头文库上搜索。
1、网络安全审计系统设计方案深圳市中科新业信息科技发展有限公司2018 年 2 月 20 日第 2 页 共 24 页目 录1、 网络安全审计系统设计方案 .31.1、 项目背景 .31.2、 总体项目概述 .32、 企业网络架构及安全审计总体需求分析 .43、 企业网络安全审计系统整体解决方案 .63.1、 企业网络哨兵网络安全审计系统部署方案 .63.2、 网络哨兵网络安全审计工作原理说明 .74、 网络哨兵网络安全审计系统技术优势 .114.1、 高速的数据捕获技术 .114.2、 数据高速分析匹配技术 .114.3、 审计协议丰富、内容审计功能强大 .124.4、 内置强大过滤库 .124.
2、5、 管理策略可精细定制 .134.6、 审计对象管理灵活 .154.7、 部署方式多样 .154.8、 自身安全性高 .164.9、 能对上网用户进行认证管理 .164.10、 辅助功能齐全 .194.11、 违规通知 .194.12、 方便用户使用的个性化设置 .194.13、 分权管理 .204.14、 强大的报表系统 .215、 网络哨兵部署后实现的价值 .23第 3 页 共 24 页1、 网络安全审计系统设计方案1.1、 项目背景企业网络内部作为一个开放的局域网络接入系统,应用状况日趋复杂。一方面各员工上网工作的条件得到改善,但另一方面也给信息中心的管理层面貌带来更高的网络使用危险性
3、、复杂性和混乱,在帮助企业走向成功的同时,也成倍的加大了遭遇到各种风险的可能性:在 IDC 对全世界网络使用的调查结果中发现,员工 30%至 40%的上网活动与工作无关.超过 85%的网络安全威胁来自于内部;有 16%来自内部未授权的存取;有 14%来自专利信息被窃取;有 12%来自内部人员的财务欺骗;而只有 5%是来自黑客的攻击。有 69%的组织机构承认他们的信息安全被破坏通常是来自于员工恶意的行为与非恶意的失误;数据泄漏的原因有 39%来自于非恶意员工的失误 。在欧美发达国家: 80%的企业对员工的互联网活动进行审计,而且这一举措得到了法律条文上的支持. 在中国: 据 IDC 统计数据显示
4、,中国员工比其它地区的员工每周多花 7.6 小时的时间来使用 QQ、玩游戏、新闻网页浏览等。互联网资源的误用、滥用和恶用,已经成为目前内部网络面临的三大威胁。而且企业网络信息中心作为公司信息安全领域的核心平台,如何合理利用好互联网资源,审计、规范员工的上网行为,提高机构的工作效率,防止不良反动信息的发布,保障网络不被滥用是当前企业管理层所不得不关注的课题。1.2、 总体项目概述1.2.1、 项目目标本项目建设的目标是通过网络安全审计系统的部署,进一步加强与完善企业内部网的网络安全体系。安全审计系统的功能在于:通过灵活的策略与时间段设置,对工作网络中的行为流量与业务数据进行充分细致的分析审计,统
5、计并完整记录用户的网络行为与这些行为产生的数据,从而对网络上的违法违规第 4 页 共 24 页行为进行切实有效的管理与控制。1.2.2、 设计依据在进行网络安全审计方案设计时,我们将遵循国内和国际安全相关标准:主要依据为信息安全管理相关的标准,例如ISO/IEC17799、ISO17799/27001、COSO、CO BIT、ITIL、NISTSP800 系列,国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号), 信息安全等级保护管理办法 (公通字200743 号) ,公安部 82 号令提出的互联网安全保护技术措施规定 , 萨班斯-奥克斯利法案(2002Sarbane
6、s-OxleyAct) 的第 302 条款和第 404 条款等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到网络安全审计的目的,提高信息系统的安全性。1.2.3、 设计原则本项目的建设原则是尽最大可能地减小原有工作网络拓朴的改变,并且本着高质量,高稳定性,高性价比的方针,使新建设的网络安全审计系统能够完美地融合到企业原有网络系统中去,新系统的加入不能影响到原有网络的业务流量带宽,也不能给网络造成性能上的瓶颈点。安全审计设备的本身也应具备一定的安全性,以确保网络的安全;同时所选系统具备扩容功能,必须拥有较好的扩展性。2、 企业网络架构及安全审
7、计总体需求分析通过企业网络管理者的深入沟通,我们对企业网络构架、网络内部工作方式、信息系统建设以及业务信息化程度等方面做了全面的了解;目前企业针对信息安全审计方面的需求具有以下几点: 第 5 页 共 24 页1、全面记录网络信息资源的访问,实现网络行为与实名邦定(定位到人) ,对用户网络行为进行分类统计,具体分析;同时提供灵活的策略管理机制,合理引导用户健康文明上网,提升员工工作效率,限制与工作无关的网络应用,实现分时段进行上网行为分析管理;2、智能化管理即时聊天工具;3、可基于网络协议分析网络应用流量,同时需要针对用户提供详细网络应用流量分析;4、需建立专业的网络过滤机制,过滤不良信息,净化
8、上网环境;5、建立完善的上网管理机制,针对不同用户实现个性化定制策略管理,实现不同机构分级管理;6、可审计网络内外发数据内容及搜索信息,比如,邮件、发帖、搜索关键字等,分析网络舆情,发生网络泄密事件做到有据可查;7、具备全面、多样化的数据报表系统机制,方便管理者对海量审计信息的快速查询;8、实现审计信息与公安联网,满足公安机关对于上网信息安全审计的备案要求;同时,落实公安部 82 号令提出的互联网安全保护技术措施规定文件的精神,通告要求凡接入国际互联网的计算机用户必须落实互联网安全审计措施,具体要求如下: 完整纪录上网日志,包括“上网时间、源 IP、源端口、目的 IP、目的端 口、Mac 地址、协议类型等” 多级子网审计功能 审计日志时钟以北京时间为准 日志纪录不可篡改 日志纪录须保存 3 个月以上.第 6 页 共 24 页3、 企业网络安全审计系统整体解决方案3.1、 企业网络哨兵网络安全审计系统部署方案本项目的建设原则是尽最大可能地减小原有工作网络拓朴的改变,并且本着高质量,高稳定性,高性价比的方针,使新建设的网络安全审计系统能够完美地融合到企业原有网络系统中去,新系统的加入不能影响到原有网络的业务流量带宽,也不能给网
