《某设计院内网安全管理解决方案》由会员分享,可在线阅读,更多相关《某设计院内网安全管理解决方案(18页珍藏版)》请在金锄头文库上搜索。
1、 Beijing SBR Information Technology Co. LTD 北京圣博润高新技术有限公司 地址:北京市海淀区知春路 56 号中航科技大厦三层 1 页 电话: 010-/06/07/08 网址: www.sbr- 中交水运规划设计院中交水运规划设计院 内网安全内网安全管理解决方案管理解决方案 北京圣博润高新技术有限公司 2006 年 3 月 Beijing SBR Information Technology Co. LTD 北京圣博润高新技术有限公司 地址:北京市海淀区知春路 56 号中航科技大厦三层 2 页 电话: 010-/06/07/08 网址: www.sbr
2、- 目录目录 第一章第一章 方案概况方案概况3 1.1 概述3 1.2. 需求分析 3 第二章第二章 方案原则、依据及目标方案原则、依据及目标5 2.1 方案原则 .5 2.2 方案依据 .5 2.3 方案目标 .7 第三章第三章 系统架构系统架构8 3.1 安全策略规划 .8 3.2 内网安全系统的建设 .8 3.2.1 内网审计9 3.2.3 内网监控10 3.2.4 详细的审计、分析与报告10 3.2.5 技术特色11 第四章第四章 系统应用部署和安全策略系统应用部署和安全策略13 4.1 系统部署 .13 4.1.2 集中式部署13 4.1.2 分布式管理部署13 4.2 安全策略 .
3、14 4.2.1 安全技术15 4.2.2 安全管理策略16 Beijing SBR Information Technology Co. LTD 北京圣博润高新技术有限公司 地址:北京市海淀区知春路 56 号中航科技大厦三层 3 页 电话: 010-/06/07/08 网址: www.sbr- 第一章第一章 方案概况方案概况 1.11.1 概述概述 随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们 的生活和工作方式,也改变现行企事业单位的管理模式。作为信息的管理部门, 必须考虑当前技术的发展给我们的工作所带来的利益和威胁.如何利用信息网络 进行安全的通信,同时保护计算机自身
4、信息的安全性,成为当前网络安全和信息 安全迫在眉睫的问题。 针对日益严重的内部信息泄漏问题,FBI对484 家公司调查显示。面对来自 于公司内部的安全威胁,85的安全损失是由企业内部原因造成的。对于很多国 内企业来说,这可能有点耸人听闻,但是,他们肯定遇到过类似的事情,由于某 一员工误操作造成公司服务器上重要文档丢失;由于没有定义每位员工在系统内 的访问权限,使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手 对于这些来自公司内部的安全问题,不是靠单纯安装杀毒软件或防火墙就能解决 的。 1.2.1.2. 需求分析需求分析 中交水运规划设计院的内部网络安全本质上是一种管理需求,目的是使中交
5、水运规划设计院的各项工作能够安全的进行,管理是主要方式。信息化工作模式 建立在技术含量较高的计算机及网络技术之上,在管理过程中仅仅依靠人力不能 够满足网络安全管理的需要,也不能够面对今后随着技术发展带来的更多安全需 求,因此必须依靠各种技术手段来为网络安全管理提供有效的工具,降低管理成 本,提高管理效率。具体的内网安全问题可以归结为: 缺乏有效的实时 IP/MAC 管理机制 1 随着网络知识的普及,大量终端用户可以轻易的修改本机的 IP 地址,而 网络管理人员通过现有的技术并不能实时的发现这些操作,这样做会导致如下问 Beijing SBR Information Technology Co.
6、 LTD 北京圣博润高新技术有限公司 地址:北京市海淀区知春路 56 号中航科技大厦三层 4 页 电话: 010-/06/07/08 网址: www.sbr- 题: 2 1.一旦发生网络瘫痪或网络阻塞问题,网络管理人员一般通过终端计算机 的 IP 地址进行查找,但如果用户修改了 IP 地址就会造成无法及时发现问题源的 现象,导致解决问题的时间被延误。 3 2. 如果用户修改的 IP 地址和网关或服务器冲突,就会造成网络瘫痪或服 务失效,同时网络管理人员无法对问题进行跟踪。 4 3. 如果用户感染病毒,病毒有可能会自动修改用户的 MAC 地址,就会导 致该用户隐身于整个网络中,使整个网络存在一个
7、看不见的漏洞。 缺乏内部网络之间的网络访问控制 中交水利规划院的网络已经很好的划分了 VLAN,但是对 VLAN 之间的访问 控制没有进行有效的设置,这样会导致如下问题: 1.内部数据的不安全性,如果内部用户无意或有意对服务器段或其他网 段进行操作会对该网段的数据造成破坏。 2.如果内部用户感染病毒,病毒会肆无忌惮的传播到每个 VLAN 中。 最大的安全等于最小的权限,这是网络安全的一条不变得法则。虽然中交 水利规划院的网络已经很好的划分了 VLAN,但是 VLAN 的划分存在配置复杂,设 置相对死板对网络管理人员的要求比较高。的划分存在配置复杂,设置相对死板, 对网络管理人员的要求比较高。
8、对一些造成网络性能下降的软件缺乏控制 当前网络的发展,导致了 P2P 软件的发展,这种软件大大增加了网络负载, 对正常的网络访问产生了极大的影响。仅仅从防火墙进行配置会对防火墙的性能 造成影响。同时根据防火墙原理它并不能完全有效的阻止网络回包,这样会给 P2P 这类软件造成可乘之机。 缺乏统一的系统补丁升级系统缺乏统一的系统补丁升级系统 当前网络蠕虫病毒的泛滥主要原因就是系统补丁升级不及时造成的。如何 统一地及时地强制地给所有终端用户安装补丁是每个网路所面临的问题。 对防病毒软件缺乏统一的管理对防病毒软件缺乏统一的管理 虽然中交水运规划设计院购买的网络版杀毒软件但是由于缺乏强制的安全 Beij
9、ing SBR Information Technology Co. LTD 北京圣博润高新技术有限公司 地址:北京市海淀区知春路 56 号中航科技大厦三层 5 页 电话: 010-/06/07/08 网址: www.sbr- 策略导致有的客户端没有安装能够及时升级的网络版杀毒软件,造成了网络安全 的隐患。 Beijing SBR Information Technology Co. LTD 北京圣博润高新技术有限公司 地址:北京市海淀区知春路 56 号中航科技大厦三层 6 页 电话: 010-/06/07/08 网址: www.sbr- 第二章第二章 方案原则、依据及目标方案原则、依据及目标
10、 2.12.1 方案原则方案原则 为保证方案的能够最终达到国家保密部门规定的相关保密要求,在设计方案 时遵循如下的设计原则: 系统安全原则:管理系统自身安全包括物理安全、系统安全、数据安全和 运行安全等; 可扩展原则:统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统 的可扩展性,保证分布实施的延续性。系统在结构、规模、应用能力等各个方面 都必须具备很强的扩展能力; 按照 GB17859-1999计算机信息系统安全保护等级划分准则的要求建 设; 可靠性原则。执行 ISO9002 质量认证体系要求,确保安全保密设备的高可 靠性和稳定性; 经济性原则。内网安全管理系统的建设、运行维护以及将来的扩
11、展建设, 必须符合经济性原则; 易操作原则。内网安全管理系统的使用、维护、管理、发行等方面要易操 作; 高效原则。内网安全管理系统的处理能力要求能满足现阶段的实际需求, 保证系统的高效运行,并能根据系统的发展进行不断提升; 功能完整原则。内网安全管理系统的功能完整,应用安全扩展系统功能完 整; 灵活性原则。内网安全管理系统的系统扩展、应用安全建设方面都必须满 足灵活性要求。 Beijing SBR Information Technology Co. LTD 北京圣博润高新技术有限公司 地址:北京市海淀区知春路 56 号中航科技大厦三层 7 页 电话: 010-/06/07/08 网址: ww
12、w.sbr- 2.22.2 方案依据方案依据 本设计方案的主要依据是国家保密局文件 “涉及国家秘密的计算机信息系 统安全保密方案设计指南” (BMZ2-2001) ,同时,还参考了以下标准和法规、 文件: 国家标准 GB2887-2000电子计算机场地通用规范 ; 国家标准 GB9254-1998信息技术设备的无线电骚扰限值和测量方法 ; 国家标准 GB9361-1998计算站场地安全要求 ; 国家标准 GB17859-1999计算机信息系统安全保护等级划分准则 ; 国家标准 GB50174-1993电子计算机机房设计规范 ; 国家军用标准 GJB3433-1998军用计算机网络安全体系结构
13、; 国家公共安全和保密标准 GGBB1-1999信息设备电磁泄漏发射限值 ; 国家保密标准 BMB2-1998使用现场的信息设备电磁泄漏发射检查测 试 方法和安全判据 ; 国家保密标准 BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和 测 试方法国家保密标准 BMB4-2000电磁干扰器技术要求和测试方法 ; 国家保密标准 BMB5-2000涉密信息设备使用现场的电磁泄漏发射防 护 要求 ; 国家保密指南 BMZ1-2000涉及国家秘密的计算机信息系统保密技术 要 求 ; 国家保密指南 BMZ2-2001涉及国家秘密的计算机信息系统安全保密方案 设计指南 国家保密指南 BM23-2000
14、涉及国家秘密的计算机信息系统安全保密测评 指南 ; CISPR22 信息技术设备无线电干扰特征极限值和测量方法; CISPR24 信息技术设备免疫性特征极限值和测量方法; 国务院令 147 号中华人民共和国计算机信息系统安全保护条例 ; 国务院令 195 号中华人民共和国计算机信息网络国际联网管理暂行规定 Beijing SBR Information Technology Co. LTD 北京圣博润高新技术有限公司 地址:北京市海淀区知春路 56 号中航科技大厦三层 8 页 电话: 010-/06/07/08 网址: www.sbr- ; 中华人民共和国公安部令 32 号计算机信息系统安全专用产品检测和销 售许可证管理办法 ; 国家保密局文件计算机信息系统保密管理暂行规定 (国保发19981 号) ; 中央保密委员会办公室、国家保密局文件涉及国家秘密的通信、办公自 动化和计算机信息系统审批暂行办法 (中保办发19986 号) ; 中共中央办公厅国务院办公厅关于转发中共中央保密委员会办公室、国 家保密局关于国家秘密载体保密管理的规定的通知(厅字200058 号) 。 2.32.3 方案目标方案目标 中交水运规划设计院要求最大可能的保护其办公网络和系统资源与数据可以得到 充分的
