《网络安全方案样板》由会员分享,可在线阅读,更多相关《网络安全方案样板(24页珍藏版)》请在金锄头文库上搜索。
1、网络安全方案样板12020年5月29日文档仅供参考*网络安全解决方案启明星辰信息技术有限公司 7月1 概述计算机和网络技术的飞速发展与普及,各项业务与办公系统越来越依赖计算机系统的安全性。*作为国家通信领域的重要机构,维护其网络系统的安全问题关系十分重大。病毒破坏和黑客攻击是威胁计算机系统安全的两大方面,不但病毒和黑客技术的发展提高日新月异,更令人担忧的是来自网络内部的攻击日益成为网络安全防护领域的重要防护对象。据美国相关统计数字,70%的攻击来自网络内部。*内部网络作为全公司办公沟通、文件传送、数据传输的重要渠道,在安全问题十分严峻的形势下,必须及时做好内部网络安全策略的配置和网络安全的全方
2、位防护。在充分了解破坏和攻击技术的同时,构建一个可行的防御系统。为确保*整个内部办公及数据传输网络的安全性,作为专业的网络安全公司,启明星辰根据*内部网网络安全系统的现状和需求,结合技术和管理,提出了全方位、多层次的网络安全解决方案。2 *内部网络安全需求分析*内部网络部署了网络设备、服务器,承载了大量重要的数据信息。保护这些设备的正常运行,维护主要业务系统的安全,是*内部网络的基本安全需求。2.1 *内部网络系统现状2.2 *内部网络安全现状*内部网络运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。因此,*内部网络可能存在的安全威胁来自以下方面:(1)缺乏有效的手段监视、评估
3、网络系统的安全性。(2) 操作系统的安全性。当前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。(3)对于网络内部各种设备以及来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。 (4)来自内部网用户的安全威胁。针对内部网络的非法操作和恶意攻击,成为网络安全体系的新触点。(5)针对内部网络用户的IP地址修改监控以及各IP网络流量的统计监控2.3 *内部网络安全需求根据*内部网络的实际情况,结合*的具体要求,*内部网网络安全需求总结如下:(1) 对公司网络按功能类别划分子网,实施有效的隔离,防范来自内
4、部和外部的攻击。(2) 需要对内网重要通信的入口点以及内部网络的重要网段的服务器区配置相应的入侵监测系统(IDS)进行实时监控,确保内部网及服务器的安全。(3) 需对全网进行安全扫描(Scan)评估,对内部网的安全水平有一个掌握了解,对所出现的系统与网络问题进行及进的解决与修补。(4) 针对内部网络用户的IP地址修改监控以及各IP网络流量的统计监控。(5) 针对网络系统进行整体的病毒防护。(6) 部署网络安全的管理服务器、安全管理终端、网络管理终端。(7) 提供DHCP服务,实现IP地址动态分配。(8) 需实现内部安全策略的合理规划。3 安全策略建议 我们建议*内部网络系统采用以下安全策略:l
5、 建议对外防护为主,内部防护为辅。l 采用能够提供集中管理控制并可进行互动的产品。由于网络和系统的复杂性,对相应产品的管理控制提出了更高的要求,不但能够进行集中、分布的管理控制,还能够进行分级的管理控制以适应大规模网络的需要,同时不同安全产品之间应能够进行有效的互动,以提高系统的防御能力。l 产品在使用上应具有友好的用户界面,而且能够进行相应的客户化工作,使用户在管理、使用、维护上尽量简单、直观。l 建立层次化的防护体系和管理体系4 安全措施*内部网络的安全问题是一个系统工程,我们在制定安全网络策略时尽可能地考虑到网络中的各个方面,采用TCP/IP协议进行网络通信的网络,在网络层对计算机通信进
6、行安全保护是业界流行的安全解决办法。一般我们采用以下几项措施:1、ACL策略控制在对外路由器上设置过滤规则,形成第一道防护网。使用过滤规则设置功能,作过滤防护,形成*内部网络与专网和Internet之间的第一道防护网;2、采用VLAN技术。为了更好的保证*内部网络的安全,我们应按照用户群组和系统资源的访问权限进行安全划分。在各节点局域网内部可根据各种业务需要或安全级别的不同,使用三层交换机划分 VLAN,从而对不同VLAN中的数据进行保护。3、动态分配IP经过代理服务器上设置DHCP来实现IP地址的动态分配。4入侵检测系统我们采取入侵检测系统,对*内部网络进行实施监控和核心业务系统服务器的重点
7、保护,从而降低了网络安全风险,防止入侵者的破坏。网络入侵检测系统位于有敏感数据需要保护的网络上,经过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。5、网络安全扫描系统我们采用网络漏洞扫描系统对*内部网络进行漏洞扫描,她能够测试和评价系统的安全性,并及时发现安全漏洞。网络漏洞扫描系统就是这一技术的实现,她包括了网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,最大可能的消
8、除安全隐患。安全扫描系统具有强大的漏洞检测能力和检测效率,贴切用户需求的功能定义,灵活多样的检测方式,详尽的漏洞修补方案和友好的报表系统,为网络管理人员制定与合理安全防护策略提供依据。6网络防病毒措施*内部网络防病毒措施主要包括技术和管理方面,技术上可进行全方位的防病毒保护,在服务器中安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力,防止病毒在整个网络内部进行扩散。在客户端的主机也应安装单机防病毒软件,将病毒在本地清除而不致于扩散到其它主机或服务器,在邮件服务器上安装邮件防病毒系统。管理上应制定一整套有关的规章制度,如:不许使用来历不明的软件或盗版软件,软盘使用前要首先进行消毒
9、等。只有提高了工作人员的安全意识,并自觉遵守有关规定,才能从根本上防止病毒对网络信息系统的危害。5 安全产品介绍5.1 入侵检测5.1.1 入侵检测系统概述入侵检测系统,是用来实时检测各种攻击,同时实时做出各种预先定义的响应,力求做到在黑客造成破坏之前发现问题,解决问题。网络入侵检测产品不会占用网络带宽,不会引起网络和主机性能的下降,同时不驻留在业务主机和服务器上,不会对原有网络造成额外的安全威胁,此部署方式可实时对服务器操作系统、应用系统进行监控,并实现集中管理。5.1.2 入侵检测产品选择我们采用北京启明星辰公司的”天阗”黑客入侵检测与预警系统进行网络安全入侵检测。5.1.2.1 产品简介
10、启明星辰自行研制开发的天阗黑客入侵检测与预警系统是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品,同时天阗还经过了国家保密局、解放军及国家信息安全测评中心的专门评测。天阗黑客入侵检测与预警系统是一种在计算机网络上自动、实时的入侵检测和响应系统。它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部和内部的入侵信号。在系统受到危害前发出警告,实时对攻击做出反应,并提供补救措施,最大程度地为网络系统提供安全保障。已成功实施于首都电子商城的网络安全保障工程,海淀数字园区的安全保障工程,沈阳人行等多个网络安全项目,为网络的安全运行提供了有力保障。5.1.2.2 产品优势天阗黑客入侵
11、检测与预警系统包括两部分:控制中心和探测引擎。控制中心是个高性能管理系统,能控制位于本地或远程网段上的多个探测引擎的活动,实现动态分析,实时监控。探测引擎为固化硬件产品,动态监视网络上的数据包,进行攻击行为的检测和识别。与普通IDS产品相比,天阗黑客入侵检测与预警系统在下列方面具有明显优势产品优势:1. 产品版本成熟,易用性强:天阗系统经过市场调研的重复进行和研发力量的巨大投入,现已升级为6.0版本,性能稳定,界面友好。2. 全面的攻击事件处理方式:针对攻击事件,IDS产品基本均能提供报警、日志纪录、阻断攻击等处理方式。天阗产品在上述功能的基础上,还可实现与防火墙的互动,以阻断任何非法联接;对
12、MAC地址实现阻断。3. 用户自定义和定制功能:界面窗口可自行定制;攻击事件可自行定义并加入事件库;安全策略和协议可自行编辑定义下发等功能,为用户的使用带来方便。是普通IDS产品尚无法实现的重要功能。4. 完备、开放的特征库:攻击事件库1200种,同时用户能够自行定义和添加特征库,实现用户端的自主实时更新。5. 优化、高级的管理结构:普通IDS产品均为分布式结构,单级或二级控制,下级对上级控制台仅能实现报警功能,无法同时满足对不同网段上的实时监测和管理。天阗产品则为树形分布式结构,多级控制功能可使天阗控制中心对多级子控进行管理,便于网络安全的同步实现。同时上级可统一下发策略、事件特征库给下级,
13、保证下发策略的统一性。6. 灵活方便的人性化报表:天阗经过调用日志文件,运用嵌入式报告功能,形成方便、易懂、直观、全面的用户报告,分类列表更有助于用户了解网络各个层面的安全状况。7. 便捷全面的升级方式:有升级模块可直接导入,或进行在线升级,升级速度在同类产品中较快。自动同步升级,控制中心能够及时将攻击特征升级包下发到各级探测器,提高对最新攻击事件和行为的同步识别。8. 优秀的系统自身安全性:独有的硬件引擎,对于安全性作了全面的考虑,稳定性好。控制中心与子控中心以及探测引擎的通讯采用加密方式。9. 天阗与各主流防火墙的联动以及最新实现的和天镜漏洞扫描的联动,已经在国家重点信息化安全保障工程、国
14、家安全部、银行机构等一些大型网络中广泛的应用,其联动能力与效果十分显著,充分体现了以天阗IDS为核心筑造的动态防御体系对安全防护能力的极大提升作用。6 安全产品部署6.1 ”天阗”部署说明6.1.1 产品部署为了保护网络出入与拨号用户所带来的安全性,我们作如下部署:1. 中心交换机上接入一台天阗黑客入侵探测引擎:对渗透过防火墙的攻击与经过PSTN进行信息通讯的数据和用户进行实时的监测。2. 在系统内部配置一台服务器:作为”天阗”入侵检测系统的控制台,对网络中的探测引擎进行管理与策略分发,以及对事件的监视与报警。6.1.2 功能实现 经过使用天阗能够容易的完成对以下的攻击识别:网络信息收集-、网
15、络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。l 灵活的配置管理界面l 内置了多种预定义策略,并允许用户添加修改策略l 多种攻击响应方式,同防火墙进行联合行动,阻断任何非法连接l 开放式事件特征库,任何人都能够自行定义和添加特征事件l 报表分析系统,可对日志进行事后二次分析l 网络流量分析,能够帮助分析网络故障l 提供固化版本的网络探测器,即插即用,方便安装l 多级分层管理6.1.3 产品配置 ”天阗”黑客入侵检测与预警系统控制中心软件一套(PCqwr/ Serve,服务器配置一台NT4.0/ Server) ”天阗”黑客入侵检测与预警警与阻断,在防火墙后配置一套天阗黑客入侵检测与警预系统,实时时系统探测引擎一台(硬件) 对内外部网的访问数据流进行实时监控与报警;同时对于各IP的网络流量进行监控7 售后服务7
