《技术建议书-H3C边界防护解决方案v1.0》由会员分享,可在线阅读,更多相关《技术建议书-H3C边界防护解决方案v1.0(17页珍藏版)》请在金锄头文库上搜索。
1、杭州华三通信技术有限公司 XXXXXX 网络安全建设 技术建议书 2008 年 2 月 杭州华三通信技术有限公司 1 目 录 1.XX 网络安全风险网络安全风险-2 2.建设原则及设计思路建设原则及设计思路 -4 2.1.安全平台设计思路-4 2.1.1.以安全为核心划分区域-4 2.1.2.用防火墙隔离各安全区域-5 2.1.3.对关键路径进行深入检测防护-5 2.1.4.对全网设备进行统一安全管理-6 2.1.5.根据实际需要部署其他安全系统-6 3.XXXX 网络安全解决方案网络安全解决方案-7 3.1.1.互联接口区域-7 3.1.2.数据中心-9 3.1.3.统一安全管理中心-1
2、0 4.安全管理建议(供参考)安全管理建议(供参考)-11 4.1.安全管理组织结构-11 4.1.1.人员需求与技能要求-11 4.1.2.岗位职责-11 4.2.安全管理制度-12 4.2.1.业务网服务器上线及日常管理制度-12 4.2.2.安全产品管理制度-13 4.2.3.应急响应制度-13 4.2.4.制度运行监督-13 杭州华三通信技术有限公司 2 1.1.XXXX 网络安全风险网络安全风险 随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方 式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是 Internet 的出现,使网络
3、的重要性和对社会的影响也越来越大。随着网络上电子商务,电 子现金,数字货币,网络银行等新兴业务的兴起,网络安全问题变得越来越重要。 计算机网络犯罪所造成的经济损失十分巨大,仅在美国每年因计算机犯罪所造成的直 接经济损失就达 150 亿美元以上。在全球平均每二十秒就发生一次网上入侵事件。有近 80%的 公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有 用户都会遭殃。面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。 此外,随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性 能要求的不断提高,网络管理也逐步成为网络技术发展中一个极为关键的任
4、务,对网络的 发展产生很大的影响,成为现代信息网络中最重要的问题之一。如果没有一个高效的网络 管理系统对网络进行管理,就很难向广大用户提供令人满意的服务。因此,找到一种使网 络运作更高效,更实用,更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫 切要求。虽然其重要性已在各方面得到体现,并为越来越多的人所认识,可迄今为止,在 网络管理领域里仍有许多漏洞和亟待完善的问题存在。 目前,网络技术已在 XX 行业得到了全面应用,大大提高了 XX 行业的业务处理效率和 管理水平,促成了各项创新的金融业务的开展,改善了整个 XX 行业的经营环境,增强了金 融信息的可靠性,使金融服务于社会的手段更趋现
5、代化。但是,同其他任何行业一样,网 络安全风险的阴霾如同网络技术的孪生子,伴随着网络技术在 XX 行业的全面应用而全面笼 罩在 XX 行业的每个业务角落。而有别于其他一般行业,XX 行业的网络系统中处理、传输、 存储的都是金融信息,对其进行攻击将获得巨大的利益,如果这些机密信息在网上传输过 程中泄密,其造成的损失将是不可估量的;而且,对 XX 行业网络系统的攻击,可能造成国 家经济命脉的瘫痪和国家经济的崩溃,因此 XX 行业的网络安全问题是一个关系到国计民生 的重大问题,也是所有网络安全厂商非常关心的问题。 银行网络系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,面临的 网络安全风
6、险叙述如下。 非法访问:现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制 杭州华三通信技术有限公司 3 强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面 XX 行业 (如银行)开发的很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能 会通过这些接口攻击银行,造成巨大损失。 失密和窃密:利用搭线窃听窃收,使用协议分析仪器窃收计算机系统的操作密码,破 解系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息。 信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信 息。 内部人员破坏:内部人员熟悉 XX 行业网络系
7、统的应用业务和薄弱环节,可以比较容易 地篡改系统数据、泄露信息和破坏系统的软硬件。 黑客入侵:利用黑客技术非法侵入 XX 行业的网络系统,调阅各种资料,篡改他人的资 料,破坏系统运行,或者进行有目的的金融犯罪活动。 假冒和伪造:假冒和伪造是 XX 行业网络系统中经常遇见的攻击手段。如伪造各类业务 信息,未授权篡改数据,改变业务信息流的次序、时序、流向,破坏金融信息的完整性, 假冒合法用户实施金融欺诈等。 蠕虫、病毒泛滥:蠕虫、病毒泛滥可能导致 XX 行业的重要信息遭到损坏,或者导致 XX 行业网络系统瘫痪,如 2003 年初的 SQL Slammer 蠕虫,导致了全国金融业务的大面积 中断。
8、拒绝服务:拒绝服务攻击使 XX 行业的电子商务网站无法为客户提供正常服务,造成经 济损失,同时也使行业形象受到损害。 杭州华三通信技术有限公司 4 2.2.建设原则及设计思路建设原则及设计思路 2.1.2.1. 安全平台设计思路安全平台设计思路 XXXXXX 的网络应用对安全的要求比较高,根据对 XXXXXX 网络和应用的理解,结合在 XX 行业的成功经验,提出了如下安全建设思路。 2.1.1. 以安全为核心划分区域 现有网络大多是以连通性作为中心进行设计的,而很少考虑安全性。例如最典型的网 络三层架构模型(核心层、汇聚层、接入层架构)中,网络是向核心层集中的而并没有考 虑同一层不同节点之间
9、的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连 通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路 的要求对网络进行重新设计。 所谓以安全为核心的设计思路就是要求在进行网络设计时,首先根据现有以及未来的 网络应用和业务模式,将网络分为不同的安全区域,在不同的安全区域之间进行某种形式 的安全隔离,比如采用防火墙隔离业务网和办公网。 针对 XXXXX 网络安全实际情况,可划分出不同的安全分区级别,详细定义如下: DMZ 区:区:DMZ 区包括省级网络连接贵州省电子政务网区域、INTERNET 服务区以及 贵州省劳动和社会保障厅对社会公众提供服务的服务群(如:
10、对外发布系统服务 器区等) ,该区域都是暴露在外面的系统,因此,对安全级别要求比较高。 互联网服务区:互联网服务区:互联网业务应用系统集合构成的安全区域,主要实现公开网站、 外部邮件系统、远程办公用户、部分分支机构以及部分合作伙伴的VPN接入等功 能。 远程接入区:远程接入区:合作业务应用系统集合构成的安全区域,主要实现与原材料供应商、 渠道商等合作伙伴的业务应用功能。考虑到部分合作伙伴会采用VPN方式接入, 基于安全性考虑,其与互联网服务区应该有独立的物理连接。根据应用要求,可 以进一步划分为互联网业务区、VPN接入区等。 广域网分区:广域网分区:在之前的网络建设中,企业通过专线连接国内的分
11、支机构。广域网 连接区就是专线网络的链路及全部路由器构成的安全区域,这一安全区域内部没 有具体的应用系统,主要实现网络连接功能,定义这一安全区域是为了方便网络 杭州华三通信技术有限公司 5 管理。 数据中心区:数据中心区:由贵州省金保业务服务区服务群构成,是贵州省金保一切业务应用 活动的基础,包括生产区、交换区、决策区。这个区域的安全性要求最高,对业 务连续性要求也最高。要求不能随便进行任何可能影响业务的操作,包括为服务 器打补丁,管理起来也最为复杂。 网络管理区:网络管理区:网络管理员及网管应用系统构成的安全区域,一切网络及安全的管 理和维护工作都在这一区域完成。网络管理区域的资产在定义中属于支撑部门资
