《安全生产_内网安全解决方案》由会员分享,可在线阅读,更多相关《安全生产_内网安全解决方案(34页珍藏版)》请在金锄头文库上搜索。
1、 内网安全解决方案内网安全解决方案 上海宝信软件股份有限公司上海宝信软件股份有限公司 2019 年年 6 月月 27 日日 目目 录录 第第 1 1 章章 背景与现状背景与现状.5 1.1项目背景5 1.2建设内网安全管理系统的必要性6 第第 2 2 章章 建设目标和原则建设目标和原则.8 2.1设计目标8 2.2设计原则8 2.3设计依据10 第第 3 3 章章 问题分析与解决思路问题分析与解决思路.11 3.1外来用户的接入控制11 3.2IP 地址管理问题11 3.3用户资产信息管理问题11 3.4软硬件违规行为监控13 3.5非法外联问题13 3.6网络拓扑查看与安全事件定位困难14
2、3.7服务器与端口监控困难15 3.8缺乏完整的用户授权认证系统15 第第 4 4 章章 系统架构与内网安全解决方案系统架构与内网安全解决方案.17 4.1ECOP系统架构.17 4.2ECOP系统功能模块.18 4.3内网安全解决方案19 第第 5 5 章章 系统功能实现系统功能实现.20 5.1IP 地址管理子系统20 5.2客户端管理子系统20 5.2.1客户端的安装、卸载和升级20 5.2.2客户端资产信息管理模块21 5.2.3客户端软硬件监控模块22 5.2.4非法外联监控模块22 5.3网络拓扑管理子系统23 5.3.1扫描子网/路由器层网络拓扑.23 5.3.2扫描子网逻辑拓扑
3、24 5.3.3扫描子网物理拓扑25 5.3.4交换机端口控制25 5.3.5展现网络设备重要MIB信息.25 5.4服务监视与端口扫描子系统26 5.5系统管理子系统26 5.5.1身份认证与授权模块26 5.5.2报警与日志管理模块27 5.5.3系统备份模块28 上海宝信软件股份有限公司 Shanghai Baosight Software Co.,Ltd. 3 第第 6 6 章章 ECOPECOP 系统主要优势系统主要优势29 6.1技术优势29 6.2质量优势31 6.3资质认证31 6.4客户名单32 第第 7 7 章章 人员培训人员培训.34 7.1试运行期间的常规培训和练习34
4、 7.2其他培训34 第第 8 8 章章 售后服务和具体的保证措施售后服务和具体的保证措施.35 8.1宝信的系统服务队伍35 8.2售后服务模式35 第第 1 1 章章 背景背景与现状与现状 1.1 项目背景项目背景 近年来,随着计算机及通信技术的迅猛发展,全球信息化步伐日益加快,现代计算 机网络已成为信息社会的基础设施,渗透到社会的各个方面。(下简称 )的网络建设速度也在不断加快,正逐渐步入一个高效运转、快速服务的全新轨 道。 经过初步调查,的网络现况如下: 1)整个网络分为两个层次:总网和各地市级分网,均为以太网络,以总 网为中心,通过路由器连接各地分,如下图示。总内网安全的防护是 此次
5、方案的重点。 (网络拓扑图中的网络设备图标需统一) 2)总大楼里有一个内网,与内网逻辑隔离,内网不对外公开,内人士可 以访问内网和内网。大楼内划分约 14 个网段,VLAN 划分比较活跃,约 25 个。 3)总大楼共一个机房,使用北电 8612 型交换机,下部的以太端口直接接有 20 多 台服务器,上部的光纤端口接有 27 个楼层的所有网段,每个楼层有 2 个小型交换机 (1 楼有 3 台) 。 4)总大楼共 20 台服务器,全部接在中心机房;约有 400500 台办公电脑,其中 上海宝信软件股份有限公司 Shanghai Baosight Software Co.,Ltd. 5 使用 Win
6、dows98 第二版本约 30,使用 Windows2000 的约 60;内网使用趋势防火墙。 网络信息安全是一项系统工程,局域网络极大地提高了工作效率,降低了行政管理 成本。但与此同时,黑客、病毒以及网上作案日益猖獗,信息安全问题越来越显得突出。 调查显示,信息安全问题在很多情况下不是由外来的黑客所引起,而是来自于那些 “内部人士”或曾经是“内部人士”的威胁。因此,信息安全问题首先应该从内部的安 全着手。 1.2 建设内网安全管理系统的必要性建设内网安全管理系统的必要性 目前,的网络建设有了很大的发展,但还比较脆弱,自身安全性不高,在 日常管理中还存在着不少问题: (一) 、缺乏完整的内部安
7、全防护体系。一个大型计算机网络的整体安全体系包括 网络边界安全、网络内部安全和人为因素等多个方面,通过在网络边界部署防火墙、入 侵检测等系统可以有效地将内部网络与外部网络进行隔绝。但是对内而言还处于基本不 设防的状况,内部安全管理工作缺乏有效的技术手段。 (二) 、网络安全管理的基础工作较薄弱,各类网络基础信息采集不全。大型计算 机网络的管理应该以基础信息的管理为核心,信息管理中心如果对所管辖网络的用户和 资源状况难以掌握的话,对整个网络的管理工作也就无从谈起,在发生违规事件时也很 难及时将问题定位到具体的用户。 (三) 、IP 地址使用存在一定混乱。IP 地址是网络连接协议 TCP/IP 的
8、基础,IP 地 址就是每一台计算机在网络上的身份标识,因此在网络上要求 IP 地址是唯一的。如果 两台计算机设置了相同的 IP 地址,则会发生 IP 地址冲突的现象,造成两台计算机均无 法正常使用网络连接,从而影响正常业务工作的开展。 (四) 、外围设备的接入控制困难。为了保证内部安全,要求对网内各计算机设备 的外围设备使用情况进行控制,禁止或限制使用软驱、光驱、USB 盘、并行、串行口、 红外口、1394 口、Modem 等外围设备,防止利用移动存储设备进行数据文件的拷贝。 (五) 、难以监控外来用户的计算机接入内网。内网的计算机,应该是专门用于完 成业务工作且经过认可的计算机。但是存在着用
9、户利用这些计算机设备进行其他活动, 或使用未经确认许可的计算机接入内网的可能性,管理人员对这些情况难以进行监视和 控制。 (六) 、网络复杂庞大,安全问题难以定位。当出现网络不通情况时,究竟是网络发 生故障还是本身主机系统的问题,难以在较快时间内判断并做出响应。对违规操作或感 染病毒的计算机,不能快速、准确定位,不能及时阻断有害侵袭并快速查出侵袭的设备 和人员。 (七) 、服务器众多,状态监控的工作量大,端口开放信息不明确。 上述问题的存在,可能会造成机密信息外泄、影响正常业务进行等多种严重的后果。 究其根本原因,是缺乏信息网络安全管理完整体系和有效管理手段。因此,建立一整套 内网安全管理及监
10、控系统,对于提高内网的安全性和稳定可靠性具有重要意义。 上海宝信软件股份有限公司 Shanghai Baosight Software Co.,Ltd. 7 第第 2 2 章章 建设目标和原则建设目标和原则 2.1 设计目标设计目标 内网安全系统设计应从实际需求出发,实现内网信息严格保密的需要,同时 系统应是一个具有灵活性,开放性,便于扩充升级的综合系统。 网络安全管理平台方案应具有以下特点: 1) 采用最新的高科技成果,使其在网络信息管理领域具有较高的水平。 2) 扩充方便,修改灵活,操作维护简单,系统重启时间短,能适应业务的快速变化。 3) 充分利用现有各种系统的资源,以节省运行成本。 4
11、) 规范系统,从整体的角度来考虑系统的结构设计,基本包括计算机管理系统、相关 数据库系统间的直接或间接互连。 2.2 设计原则设计原则 依照本系统的基本需求及今后的发展规划,我们的设计遵循以下原则: 2.2.1 开放性开放性 开放系统结构在国际上广为流行,它能有效地保护用户已有的投资和资源,便于系 统间的联接。无论是硬件或软件的升级或移植,开放系统有它不可比拟的优越性,主要 体现在 : 1) 主机系统开放性环境:主机系统开放性环境:主机系统开放性环境是一个不可缺少的因素,它基于 Windows 2000 或 Linux 等技术的操作系统,便于系统扩充并保持应用软件的可 移植性。 2) 应用软件
12、的独立性:应用软件的独立性:建立一套基于通用的 Windows 2000 或 Linux 操作系统和开 放关系数据库管理系统的应用软件。应用软件应独立于具体的硬件平台,具有很 强的适用性和先进性,并且可以进一步推广和使用。 3) 可互联的网络系统:可互联的网络系统:网络的互联能力体现在网络的开放性和与异种网互联的支 持能力二方面。一个开放的网络,通常指符合国际标准或事实工业标准的网络, 此种网络能被经过其它授权的各类计算机访问,而不需要增加额外的软硬件。 基于 TCP/IP 网络协议在多种主机互联的实用性、用户接口方面的标准化、可用性, 我们建议采用 TCP/IP 协议,以保证用户接口的一致性
13、,为应用软件独立于网络系统提 供保证。 2.2.2 实用性实用性 在设计中首先要考虑实用性和易操作性,需选择技术成熟的设备及应用软件,同时 考虑到对现有设备和资源的利用。为使系统具备长时期技术领先的竞争能力,除保证系 统的高稳定性之外,还必须使其具有高效的故障诊断能力、简便的数据库更新功能、系 统维护功能、灵活高效的业务变更对应能力等,使无用功减至最少。 实用性还体现在信息系统业务界面的友好性上,因为灵活简洁的操作会直接提升管 理的效率。以上均是系统设计时必须考虑的问题。 2.2.3 先进性先进性 选择符合国家安全保密规定的、业界最先进的产品,同时提供业界最前沿的管理理 念,使得用户始终能与世
14、界领先技术和管理理念同步。 在设计时,应充分考虑到各地千差万别的实际业务需求及现代计算机和通讯技术发 展的先进成果。为能保证本系统在一个较长的时期内处于同行业技术领先水平,必须从 较高的起点出发,实现一个展现网络新面貌的信息系统。 2.2.4 服务的持续服务的持续性 安全产品对网络和主机的带宽占用很小,不会影响正常的网络通讯和主机系统资源 的使用。 2.2.5 可扩充性可扩充性 系统的设计应能最大限度保护用户现有投资。主机、网络及应用系统除能满足目前 及未来若干年业务发展规模之外,还应能随业务的发展而进一步扩充,这要求目标系统 具有很强的扩充能力,相应的主机系统、应用软件、网络都能够平滑升级和
15、扩充。即: 要求系统随着企业业务的发展在功能上可扩充,且不影响现有功能为前提;要求系统能 随企业服务水平和技术要求的整体提高适应国内安全系统联网的需求。 在用户网络发生改变的时候,安全系统的改变最小,只是简单通过添加授权 KEY 和监控点,就可以完成整个安全系统的改造。 2.2.6 安全性与可靠性安全性与可靠性 上海宝信软件股份有限公司 Shanghai Baosight Software Co.,Ltd. 9 网络安全平台对维持网络的顺利运行有非常重要的作用,其安全性与可靠性 是非常重要的。这个特性体现在主机、网络硬件设备、数据库及应用系统等各个方面, 并希望实现集中式的管理与控制。因而要求
16、整个系统有完整的故障对策,以保证主机系 统、网络系统的工作的连续性,以及数据的完整性和安全性。对策具体可分为: 1) 网络传输的完整性与安全性:网络传输的完整性与安全性:鉴于系统具有多个后台系统的集成联网的特点, 整体网络系统应从网络软、硬件技术及网络运行组织和管理上采取必要的措施。 2) 数据的完整性与安全性:数据的完整性与安全性:应保证机器中的数据是可靠的。当因系统故障或事故 造成中断时,要求系统对数据的完整性具有检测、保护和恢复的功能。 2.3 设计依据设计依据 系统的开发和建设在严格遵循国家和部、省有关信息系统建设的相关规范标准。采 用和参考的部颁发标准有: 1) 公安部公安计算机信息系统“九五”规划 2) 公安部中间件传输技术标准规范 3) 公共数据交换系统标准 4) 请求服务系统标准 5) 信息授权策略标准 6) 数字证书格式标准 第第 3 3 章章 问题分析与解决思路问题分析与解决思路 3.1 外来用户的接入控制外来用户的接入控制 接入
