《加强带宽管理控制,已保证重要业务应用正常使用;加强对网内外入侵行为...》由会员分享,可在线阅读,更多相关《加强带宽管理控制,已保证重要业务应用正常使用;加强对网内外入侵行为...(8页珍藏版)》请在金锄头文库上搜索。
1、一、安全需求分析1、观澜办事处网络现状2、观澜办事处网络安全需求分析当前单位存在的信息安全隐患主要有: 内部整个网络无防御DOS或DDOS拒绝服务攻击设备和措施,一旦出现互联网的DOS/DDOS攻击,会导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务,甚至可以造成一些包括防火墙、路由器在内的网络设备的瘫痪。 网络无专用流量控制系统,可能出现的内部工作人员网络带宽的滥用使得内网带宽、外网链路都面临了严峻的挑战。外网带宽被占用,内网用户之间带宽分配不公平,导致关键业务应用无法正常运行。 整个内部网络无入侵检测设备。防火墙能起到边界访问控制作用,但对内部攻击行为无法实时检测,而内部攻击比外部
2、攻击往往更具致命性。增加内部网络监控机制可以做到最大限度的网络资源保护,从网络监控中得到的信息来确定网络安全规范及安全风险评估。 单位数据库属于重点保护对象,内部访问控制措施不足,内部资源可能会被非授权人员访问,保密性、完整性及可用性得不到保证。 对内网终端监控不足,无法对用户和主机行为进行安全审计管理。且内网终端数量与日俱增,可能有不属于本单位的终端计算机连接到内网。在这种情况下,IT管理人员很难统计内网计算机的确切数量,也无法区分哪些是内网授权使用的计算机,哪些是外来的非授权使用的计算机,涉密资料无法保证不外泄。 无法对上网行为进行监控管理,无法有效定位、发现有害信息源头,实现内容监控。网
3、络安全建设的安全需求可归纳为: 加强对DDOS攻击的防御力度; 加强带宽管理控制,已保证重要业务应用正常使用; 加强对网内外入侵行为的实时监测; 加强网络内部的访问控制,拒绝匿名或非授权访问内部资源,特别是数据库资源; 加强对各种日志的审计工作,详细记录对网络、公开服务器的访问、操作行为,形成完整的系统日志 ,并通过分析日志发现系统中的安全事件; 加强网络内部用户的行为监控,使用户在被授权的范围内工作,当出现非授权操作、非法接入时,系统能发现并报警; 完善建立安全管理制度,加强各级工作人员的安全意识和安全水平,从制度上提高整体安全级别; 按照安全事件相关标准,结合本信息系统的实际情况,通过预测
4、、评估和分析事件对信息系统的破坏程度,所造成后果严重程度,将安全事件依次进行等级划分,在统一的应急预案框架下制定不同安全事件的应急预案。3、网络安全方案设计原则网络安全建设是一个系统工程,系统专用网络系统安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。在进行网络系统安全方案设计、规划时,应遵循以下原则: 整体安全原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施
5、(识别技术、存取控制、密码、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。 积极防御原则:随着网络技术的提高,对网络安全也提出更高的要求,所以应尽量选用智能化、高度自动化、响应速度快的网络安全产品,配备技术力量雄厚、响应及时的本地化服务队伍,才能做好各种预防检测工作,达到防患于未然。 多重保护原则:任何安全措施都不是绝对安全的
6、,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。 一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。 易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。 可扩展性原则:由于
7、网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此充分考虑系统的可扩展性,根据资金情况分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支。4、信息安全审计系统信息安全审计系统是对员工上网行为管理的软硬一体解决方案。该产品可以在不影响网络运行效率和改变现有网络配置的条件下,对内部人员使用互联网的情况进行有效的管理和控制。它在开放网络资源的同时,能够有效平衡单位上网所带来的影响,避免员工面对网络分散精力和注意力,保障了为工作而上网所盼望的网路通畅,最大限度地保持员工
8、的工作效率,节约管理开销,直接提升单位形象、整体效率和生产力。4.1系统主要功能4.1.1实时监控4.1.2信息归档4.1.3统计分析4.1.4访问策略及控制4.1.5邮件拦截与审核4.1.6带宽管理4.1.7用户管理5、防火墙防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域之间的隔离与访问控制。二、设备清单及技术要求:序号设备名称技术参数单位数量备注1信息安全管理审计系统1、产品结构:千兆标准2U机架式,B/S管理结构;网络接口:标配2个100M/1000M RJ44端口,可扩展至8个端口。2、MTBF90000小时,网络延迟:1ms。3、并发用户数:480
9、0,4*10/100/1000M电口,4*千兆光口,支持网关、桥接、旁路等多种部署模式。4、系统提供的不良网站数量和分类:(1)系统提供百万条以上网址列表,并支持网址库的自动在线升级;(2)网址库具有不良网站的分类,包括不良言论、暴力、毒品、色情等不良网址。5、用户可以自定义网站分类:支持用户根据上网单位内部的网络应用特点自行定义网站分类和网站站点,系统可以对自定义的网站进行按管理策略进行封堵或放行等监控。6、即时通讯封堵:系统可以对QQ、MSN、ICQ、YahooMassger按管理策略进行封堵。7、网游封堵:支持对QQ在线游戏、联众在线游戏、中国游戏中心、边锋网络游戏等进行封堵。8、股票封
10、堵:支持对大智慧、证券之星、指南针、同花顺等股票应用的封堵。9、P2P应用封堵:支持常见BT、电驴等P2P应用软件的封堵。10、按网址关键字、文件类型封堵:系统支持按用户自定义的网址关键字、自定义的网站下载文件的文件扩展名进行封堵。11、邮件服务器封堵:系统支持网络中仅允许特定的邮件服务器列表有效或封堵特定的邮件服务器列表。12、邮件拦截与审核:支持通过预先设定的规则,根据收发件人、主题、邮件正文、附件名称等条件,对外发的邮件进行拦截、控制。13、BBS发帖封堵:支持按关键字封堵内部人员所发送帖子的内容。14、按IP访问互联网网站的封堵:系统支持网络中对按IP进行访问互联网网站的封堵功能。15
11、、可自定义封堵页面:系统实时拦截任何访问被封堵的网络行为,返回警告页面信息给用户端。16、系统应该具有黑白名单功能:主机黑、白名单:系统对机器黑名单将进行无条件封堵或放行;网站点黑、白名单:系统根据用户定义的URL地址进行封堵或放行。17、对邮件内容进行审计:根据邮件内容、邮箱地址、邮件主题三个方面设置的敏感信息捕获符合条件的邮件内容和附件;可以设置无条件捕获所有邮件内容和附件;提供捕获邮件内容的还原显示,附件的下载获取;对POP3、SMTP协议的邮件实现了完整的收发内容监控功能,对WEBMAIL邮件实现了发送邮件的内容监控功能。对SMTP发送邮件可以按照发件人、收件人、主题、正文关键字、是否
12、有附件、附件类型等条件进行拦截,在审核后可以选择是否发送或拒发。18、Webmail内容审计:可以支持多种Webmail服务器进行发送邮件的内容审计功能。19、网络会话审计功能:TELNET审计:会话过程审计;FTP审计:会话过程审。20、即时通讯内容审计:对MSN、ICQ、Yahoo Messenger的聊天内容敏感信息审计和帐号审计。21、网页访问审计:支持对网页地址审计。22、BBS发帖审计:支持对BBS发帖内容审计,包括附件。23、按IP地址进行审计:支持对特定的IP或IP列表进行全部网络行为的记录。24、当天流量分析:(1)各用户所产生的访问流量统计;(2)当天各类服务流量并以图表形
13、式显示。25、历史流量分析:可以按地址范围、数据流向、时间范围、排名的名次数等用户定义的内容生成以下内容种类的图表,包括柱图、趋势图、饼图等。26、日志保存时间:100天27、联动支持:审计系统支持BDSEC、OPENSEC协议,可支持与防火墙、入侵检测系统、安全扫描系统、DDoS防御网关、内网安全保密及审计系统等系列产品和其它第三方网络安全产品实现联动。套12防火墙1、运行模式:路由模式、透明模式、混合模式2、网络安全性:AAA服务3、功能:包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤l 应用层协议:FTP、HTTP、SMTP、
14、RTSP、H.323(Q.931,H.245,RTP/RTCP)l 传输层协议:TCP、UDP抗攻击特性Land/Smurf/Fraggle/WinNuke/Ping of Death/Tear Drop/IP Spoofing/ARP欺骗攻击防范/TCP报文标志位不合法攻击防范/超大ICMP报文攻击防范/地址/端口扫描的防范防病毒DoS/DDoS攻击防范CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP Flood等TCP Proxy 功能ICMP重定向或不可达报文控制功能Tracert报文控制功能带路由记录选项IP报文控制功能静态和动
15、态黑名单功能MAC和IP绑定功能透明防火墙基于MAC的访问控制列表支持802.1q VLAN 透传4、高可靠性:双机状态热备,Active/Active和Active/Passive两种工作模式,支持负载分担和业务备份关键部件冗余设计接口模块热插拔机箱温度自动检测5、配置管理:支持标准网管SNMPv3,并且兼容SNMP v2c、SNMP v1支持NTP时间同步支持Web方式进行远程配置管理支持H3C BIMS系统进行设备管理支持H3C VPN Manager系统进行VPN业务管理和监控台13存储设备1、双操作系统设计,支持HDMI、VGA、CVBS同时输出,支持HDMI与VGA双操作模式,可分别进行预览和回放,HDMI与VGA输出分辨率最高均可达1920x1080p;支持零通道编码;2、采用HIKVISION云台控制协议时候,可通过鼠标选定画面任意区域并进行中心缩放;支持计划抓图、手动抓图、报警抓图、报警联动抓图上传FTP与图片的回放、备份;3、支持多画面分割下不同通道并行预览与回放;4、支持最大16路4CIF实时同步回放;5、支持标签定义、查询、回放录像文件;6、支持录像文件倒放功能;
