《宝德集团网络安全整体解决方案》由会员分享,可在线阅读,更多相关《宝德集团网络安全整体解决方案(19页珍藏版)》请在金锄头文库上搜索。
1、 中国电信与您携手共建美好未来福建宝德集团有限公司福建宝德集团有限公司网络安全整体解决方案网络安全整体解决方案中国电信股份有限公司泉州分公司中国电信股份有限公司泉州分公司2009 年年 7 月月中国电信与您携手共建美好未来前前 言言首先,泉州市电信分公司衷心感谢福建宝德集团有限公司长期以来对我公司各项电信业务的信赖与支持。福建宝德集团有限公司创立于1992 年,是一家以投资服装制造及贸易、房地产、旅游、教育等产业为主的综合性集团公司,十几年的创业历程已让宝德集团发展成为较具知名度的企业,目前拥有员工近2000 多名 ,年销售达人民币两亿多元,年出口创汇达2000 多万美元,纳税近人民币1000
2、 万元。集团下属企业包括福建宝德(服饰)轻工有限公司、香港宝德制衣发展有限公司、泉州宝德制衣有限公司、北京师范大学泉州附属中学、泉州城市假日大酒店、泉州宝德房地产有限公司等。旗下的MOMOCO(玛米玛卡)服饰品牌,先后获得“中国名优产品 ” 、 “ 国家免检产品 ” 、 “质量信得过产品 ” 、 “福建省名牌产品 ” 、 “消费者最喜爱品牌”和“厦门著名外资品牌 ”等多种殊荣。随着集团发展战略的全面启动,面对未来,宝德将抓住机遇、加快发展、致力于资源配置和产业结构的优化,不断提高企业核心竞争力,以“体制创新、管理创新、制度创新、科技创新 ”的企业发展目标,力争将宝德集团推向产业多元化、企业国际
3、化领域的颠峰。信息时代,泉州电信分公司正从传统的基础网络运营商向现代综合信息服务提供商转变,并在承接 “天翼 ”网络后,成为了真正意义上的全业务运营商。做为泉州市最具实力的综合信息提供商,我 公司具有网络资源丰富、专业技术力量强、优质服务保障等各种明显优势,我们将本着 “用户至上,用心服务”的理念,坚持 “精诚合作,实现双赢”的原则,真心诚意为贵公司提供全方位的信息化解决方案和零距离一站式服务,成为贵公司建设现代一流企业的最佳合作伙伴。我公司将十分珍惜这一合作机会。在此,再次感谢贵公司对中国电信的信任与支持,祝贵公司事业蓬勃发展,并祝双方合作愉快。中国电信与您携手共建美好未来一、宝德集团网络风
4、险分析宝德集团网络风险分析随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业,全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击,所以网上信息的安全和保密是一个至关重要的问题。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,可以删除数据库内容,摧毁网络节点,释放计算机病毒等等,这些都
5、使信息安全问题越来越复杂。所以网络的安全性也就成为广大网络用户普遍关心的问题。无论是在局域网还是在广域网中都存在着自然和人为等诸多因素的脆弱性和潜在威胁。发展和推广网络应用的同时进一步提高网络的安全性,真正做到“既要使网络开放又要使网络安全”这一问题已成为了网络界积极研究的课题。宝德集团内部网络是典型的 Intranet 网络架构,中心机房为各大分厂、全国各地分部和门店提供ERP、分销等系统的网络支持,并为本地提供 Internet 访问接入。随着宝德集团网络应用扩大,网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上
6、缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。总结可能存在以下风险:链路传输风险网络结构的安全风险(包括:来自与公网互联的安全危胁和来自内部网络的安全危胁)操作系统的安全风险应用的安全风险(包括:资源共享、电子邮件系统、病毒侵害、数据信息等)管理的安全风险中国电信与您携手共建美好未来二、宝德集团安全目标分析宝德集团安全目标分析通过对网络结构、网络安全风险分析,再加上黑客、病毒等安全威胁日益严重,网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决,使网络安全达到一定的安全目标。安全需求包括:加密
7、传输需求访问控制需求防范非法用户非法访问访问控制需求防范假冒合法用户非法访问防病毒系统需求安全管理体制基于以上的需求分析,我们认为宝德集团网络安全解决方案可以实现以下安全目标:保护网络系统的可用性保护网络系统服务的连续性防范网络资源的非法访问及非授权访问防范入侵者的恶意攻击与破坏保护信息通过网上传输过程中的机密性、完整性防范病毒的侵害计算机终端安全的管理实现网络的安全管理通过对宝德集团用户网络安全系统的实际情况分析,从务实的角度出发,我们为用户量身订做了这套网络安全解决方案,主要解决企业网络的链路传输、访问控制、内网终端安全管理及病毒管理等问题。中国电信与您携手共建美好未来三、方案设计方案设计
8、3.13.1 网络拓扑图网络拓扑图3.23.2 网络拓扑说明网络拓扑说明福建宝德集团有限公司目前拥有 erp、进销存、门户网站等在用生产系统,本期的建设将新增内网 终端安全系统、在线防病毒服务器等。下面对整个网络拓扑情况进行详细说明。 1、在网络结构中采用三层交换机,对于不同的部门划分不同 vlan,同时每个部门使用普通二层交 换机用于接入; 2、系统采用带有 vpn 功能的企业级防火墙,通过设置严格的防火墙策略来实现对内网与互联网的 安全策略管理; 3、系统采用内网终端安全管理系统,每个办公电脑均需要安装安全客户端,通过终端安全管理系 统可以实现上网行为管理、补丁自动分发、固定资产统计、移动
9、存储管理、报警和日志管理等;中国电信与您携手共建美好未来4、系统采用在线防病毒系统,每个办公电脑均需要安装规定的防毒软件,软件可以在内网内实现 实时自动更新; 5、浮桥和清蒙两大分厂采用 vpn 客户端安全接入宝德集团内部生产系统; 6、各大代理商采用 vpn 客户端安全接入宝德集团内部生产系统;3.33.3 防火墙和防火墙和 VPNVPN 技术分析技术分析防火墙是保护网络内部安全的第一道防护,使用防火墙有如下益处:保护脆弱的服务通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止 NIS、NFS 服务通过,防火墙同时可以拒绝源路由和 ICMP 重定向
10、封包。控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的 Mail Server 和 Web Server。集中的安全管理防火墙对网络实现集中的安全管理,在防火墙定义的安全规则可以运行于百宏集团整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。此外防火墙可以根据百宏集团的需求定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如 Figer 和 DNS。记录和统计网络利用数据以及非法使用数
11、据防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,并且,防火墙可以提供统计数据,来判断可能的攻击和探测。策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。VPN 系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。其处理过程大体是这样: 1)要保护的主机发送明文信息到连接公共网络的 VPN 设备; 2)VPN 设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。 3)对需要加密的数据,VPN 设备对整个数据包进行加密和附上数字签名。 中国电
12、信与您携手共建美好未来4)VPN 设备加上新的数据报头,其中包括目的地 VPN 设备需要的安全信息和一些初始化参数。 5)VPN 设备对加密后的数据、鉴别包以及源 IP 地址、目标 VPN 设备 IP 地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。 6)当数据包到达目标 VPN 设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。 在 VPN 的传输协议上,一般的产品都支持 PPTP、L2TP 协议,在这些协议的传输中能够保证数据的安全、可靠,但是它不能保证数据的机密性(在网络中传输的数据是明文的) 。所以对一些敏感的数据来说,也是不安全的。这样,为了保证数据的机密性,
13、在网络安全产品中选择中选择支持 IPSec 技术的产品。由于 IPsec 即将成为 Internet 标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。移动用户如出差在外需要访问公司内部的数据或传送重要文件,remote VPN 保证了在公网上访问内部数据的可能,保证数据的安全性和完整性,因此利用 VPN 技术进行数据加密可以满足日益变化的商务模式需求,实现企业网络无处不在的访问。 如下图所示:InternetFirewall省中心网络网络中心移动用户加密信息流加密信息流3.33.3 内网安全管理技术分析内网安全管理技术分析网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置
14、补丁以及文件的下发,流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作,并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报,可通过管理节点对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。中国电信与您携手共建美好未来在服务器管理节点,可根据实际网络拓扑情况,安装多块网卡,满足对同级不同网段的管理。终端部署方式网络管理中面临的重要服装设计图纸泄密等问题网络管理中面临的重要服装设计图纸泄密等问题宝德集团已经建立了比较完善的网络管理行政制度,但是以往在网络管理工作因为缺少相对应的技
15、术手段,网络管理制度无法得以落实,致使管理员的日常维护工作繁琐,同时还有信息泄密的风险。一个成熟的网络安全管理理念应该全方面的主动防御,而不是事后责任追查。网管人员在多年的管理中总结出部分有待解决的需求。非法接入非法接入问题问题在公司内部可能会出现外来笔记本接入的问题,可能会造成公司内部的涉密文件被窃取,引入病毒等严重后果。需要禁止非法 PC 机接入内网及和内部主机相互连接,防止重要资料的泄漏,防止内网用户通过拨号等外联方式连接互联网。需要对外来终端设备进行详细的安全认证及身份认证。中国电信与您携手共建美好未来终端安全管理问题终端安全管理问题计算机病毒是目前对网络及计算机安全最大的威胁,目前宝
16、德集团内部虽然已经配置安装了杀毒软件,能够对病毒进行一定效果的防范,但是仍存在终端升级不及时,版本不统一,管理不规则等问题。公司的终端的密码经常被改动,其安全性(包括密码长度、弱口令等方面)得不到有效的保障,而且终端的注册表也经常被改动,不能够对其进行及时有效的发现与控制,这些都对内网的安全造成了威胁。许多终端的 IE 的安全性令人担忧,而且有些终端已经安装了不安全的插件和恶意软件,这是一个急需解决的问题。内部网络经常会出现流量过大的问题,造成网络的不畅甚至拥塞,急需对网络流量进行监控。而且公司员工上网行为往往不规范对终端的上网访问行为进行审计,对其违规操作进行阻断。办公环境的计算机不允许安装及使用与办公无关的软件,当发现有非法使用违规软件是应该立即禁止。需要对软件的安装过程及软件执行所启动的进程进行控制。对于其他不安全的进程以及服务也需要加以监控。IP 地址管理地址管理问题问题以往对网络内 IP 地址分配和管理都需要人工
