某企业网络安全综合设计方案
目 录
1 XXX企业网络分析... 4
2 网络威胁、风险分析... 5
2.1内部窃密和破坏... 5
2.2 搭线(网络)窃听... 5
2.3 假冒... 5
2.4 完整性破坏... 5
2.5 其它网络的攻击... 5
2.6 管理及操作人员缺乏安全知识... 6
2.7 雷击... 6
3 安全系统建设原则... 7
4 网络安全总体设计... 9
4.1 安全设计总体考虑... 9
4.2 网络安全... 10
4.2.1 网络传输... 10
4.2.2 访问控制... 12
4.2.3 入侵检测... 13
4.2.4 漏洞扫描... 14
4.2.5 其它... 14
4.3 应用系统安全... 14
4.3.1 系统平台安全... 14
4.3.2 应用平台安全... 14
4.3.3 病毒防护... 15
4.3.4 数据备份... 17
4.3.5 安全审计... 17
4.3.6 认证、鉴别、数字签名、抗抵赖... 18
4.4 物理安全... 18
4.4.1 两套网络的相互转换... 18
4.4.2 防电磁辐射... 18
4.4.3 网络防雷... 19
4.4.4 重要信息点的物理保护... 19
4.5 安全管理... 20
4.6 安全特性... 21
5 安全设备要求... 23
5.1 安全设备选型原则... 23
5.1.1 安全性要求... 23
5.1.2 可用性要求... 23
5.1.3 可靠性要求... 24
5.2 安全设备的可扩展性... 24
5.3 安全设备的升级... 24
6 技术支持与服务... 25
6.1 保障机制... 25
6.2 咨询服务... 25
6.3 故障响应... 25
6.4 备件仓库... 26
6.5 系统升级... 26
6.6 性能分析... 26
6.7 保修服务... 26
6.8 保修期后的技术支持服务... 26
6.9 网络安全培训... 26
6.9.1网络安全管理培训... 26
6.9.2 现场操作培训... 27
1 XXX企业网络分析
此处请根据用户实际情况做简要分析
2 网络威胁、风险分析
针对XXX企业现阶段网络系统的网络结构和业务流程,结合XXX企业今后进行的网络化应用范围的拓展考虑,XXX企业网主要的安全威胁和安全漏洞包括以下几方面:
2.1内部窃密和破坏
由于XXX企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。
2.2 搭线(网络)窃听
这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对XXX企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。
2.3 假冒
这种威胁既可能来自XXX企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
2.4 完整性破坏
这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
2.5 其它网络的攻击
XXX企业网络系统是接入到INTERNET上的,这样就有可能会遭到
INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感
信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。
2.6 管理及操作人员缺乏安全知识
由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。
由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。
2.7 雷击
由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。 注:部分描述地方需要进行调整,请根据用户实际情况叙述。
3 安全系统建设原则
XXX企业网络系统安全建设原则为:
1)系统性原则
XXX企业网络系统整个安全系统的建设要有系统性和适应性,不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化,而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。
2)技术先进性原则
XXX企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计,选用先进、成熟的安全技术和设备,实施中采用先进可靠的工艺和技术,提高系统运行的可靠性和稳定性。
3)管理可控性原则
系统的所有安全设备(管理、维护和配置)都应自主可控;系统安全设备的采购必须有严格的手续;安全设备必须有相应机构的认证或许可标记;安全设备供应商应具备相应资质并可信。
安全系统实施方案的设计和施工单位应具备相应资质并可信。
4)适度安全性原则
系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性,在允许的风险范围内尽量减少安全服务的规模和复杂性,使之具有可操作性,避免超出用户所能理解的范围,变得很难执行或无法执行。
5)技术与管理相结合原则
XXX企业网络系统安全建设是一个复杂的系统工程,它包括产品、过程和人的因素,因此它的安全解决方案,必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的,必须坚持技术和管理相结合的原则。
6)测评认证原则
XXX企业网络系统作为重要的政务系统,其系统的安全方案和工程设计必须通过国家有关部门的评审,采用的安全产品和保密设备需经过国家主管理部门的认可。
7)系统可伸缩性原则
XXX企业网络系统将随着网络和应用技术的发展而发生变化,同时信息安全技术也在发展,因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。
4 网络安全总体设计
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据XXX企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,本方案主要从以下几个方面进行安全设计:
● 网络系统安全;
● 应用系统安全;
● 物理安全;
● 安全管理;
4.1 安全设计总体考虑
根据XXX企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:
● 网络传输保护
主要是数据加密保护
● 主要网络安全隔离
通用措施是采用防火墙
● 网络病毒防护
采用网络防病毒系统
● 广域网接入部分的入侵检测
采用入侵检测系统
● 系统漏洞分析
采用漏洞分析设备
● 定期安全审计
主要包括两部分:内容审计和网络通信审计
● 重要数据的备份
● 重要信息点的防电磁泄露
● 网络安全结构的可伸缩性
包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展 ● 网络防雷
4.2 网络安全
作为XXX企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,
4.2.1 网络传输
由于XXX企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而
INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。
由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据XXX企业三级网络结构,VPN设置如下图所示:
图4-1三级 VPN设置拓扑图
每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的:
● 网络传输数据保护;
由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输
● 网络隔离保护;
与INTERNET进行隔离,控制内网与INTERNET的相互访问
● 集中统一管理,提高网络安全性;
● 降低成本(设备成本和维护成本);
其中,在各级中心网络的VPN设备设置如下图:
图4-2 中心网络VPN设置图
由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。
下级单位的VPN设备放置如下图所示:
图4-3 下级单位VPN设置图
从图4-4可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。 由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上
的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。
4.2.2 访问控制
由于XXX企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求:
● 控制外部合法用户对内部网络的网络访问;
● 控制外部合法用户对服务器的访问;
● 禁止外部非法用户对内部网络的访问;
● 控制内部用户对外部网络的网络;
● 阻止外部用户对内部的网络攻击;
● 防止内部主机的IP欺骗;
● 对外隐藏内部IP地址和网络拓扑结构;
● 网络监控;
● 网络日志审计;
详细配置拓扑图见图4-1、图4-2、图4-3。
由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:
● 管理、维护简单、方便;
● 安全性高(可有效降低在安全设备使用上的配置漏洞);
● 硬件成本和维护成本低;
● 网络运行的稳定性更高
由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。
4.2.3 入侵检测
网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
入侵检测系统的设置如下图:
从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。
4.2.4 漏洞扫描
作为一个完善的通用安全系统,应当包含完善的安全措施,定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性,而是随着时间的推移和技术的发展而不断下降的,同时,在使用过程中会出现新的安全问题,因此,作为安全系统建设的补充,采取相应的措施也是必然。 本方案中,采用漏洞扫描设备对网络系统进行定期扫描,对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描,发现相应的漏洞并告警,自动提出解决措施,或参考意见,提醒网络安全管理员作好相应调整。
4.2.5 其它
对复杂或有特殊要求的网络环境,在采取安全措施上应当特殊考虑,增加新的安全措施。
4.3 应用系统安全
4.3.1 系统平台安全
XXX企业各级网络系统平台安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上,因而存在很大的安全隐患。
XXX企业网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统,针对通用OS的安全问题,对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台,在选择性地用好NT安全机制的同时,应加强监控管理。
4.3.2 应用平台安全
XXX企业网络系统的应用平台安全,一方面涉及用户进入系统的身份鉴别与控制,以及使用网络资源的权限管理和访问控制,对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时,应当尽量选择国内软件开发商进行开发,系统类型也应当尽量采用国内自主开发的应用系统。
4.3.3 病毒防护
因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地企业在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时应当注意几个方面的要求:具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品,系统资源占用低,性能优越、可管理性高,易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。
病毒对信息系统的正常工作运行产生很大影响,据统计,信息系统的60%瘫痪是由于感染病毒引起的。
4.3.3.1 系统设计原则
为了更好的解决病毒的防范,一般要求病毒防范系统满足如下要求:
● 采用世界最先进的防毒产品与XXX网络网络系统的实际需要相结合,确保XXX网络系统具有最佳的病毒防护能力的情况下综合成本最少。
● 贯彻川大能士“层层设防,集中控管,以防为主、防治结合”的企业防毒策略。在XXX网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件,通过这种全方位的、多层次的防毒系统配置,使企业网络免遭所有病毒的入侵和危害。
● 充分考虑XXX网络的系统数据、文件的安全可靠性,所选产品与现系统具有良好的一致性和兼容性,以及最低的系统资源占用,保证不对现有系统运行产生不良影响。
● 应用全球最为先进的“实时监控”技术,充分体现趋势科技“以防为主”的反病毒思想。
● 所选用产品具备对多种压缩格式文件的病毒检测。
● 所选用产品易于安装、操作简便、便于管理和维护,具有友好的用户界面。 ● 应用经由ICSA(国际电脑安全协会)技术认证的扫描引擎,保证对包括各种千面人病毒、变种病毒和黑客程序等具有最佳的病毒侦测率,除对已知病毒具备全面的侦防能力,对未知病毒亦有良好的侦测能力。强调在XXX网络防毒系统内,实施统一的防病毒策略、集中的防毒管理和维护,最大限度地减轻使用人员和维护人员的工作量。
● 完全自动化的日常维护,便于进行病毒码及扫描引擎的更新。 ● 提供良好的售后服务及技术支持。
● 具有良好的可扩充性,充分保护用户的现有投资,适应 XXX网络系统的今后发展需要
4.3.3.2 产品应用
根据XXX企业网络系统的结构和应用特点,病毒防御可采取多种措施: ● 网关防毒;
● 服务器防毒;
● 客户端防毒;
● 邮件防毒;
应用拓扑如下图:
图4-4病毒应用拓扑图
在网络骨干接入处,安装防毒墙(即安装有网关杀毒软件的独立网关设备),由防毒墙实现网络接入处的病毒防护。由于是安装在网络接入处,因此,对主要网络协议进行杀毒处理(SMTP、FTP、HTTP)。
在服务器上安装单独的服务器杀毒产品,对服务器进行病毒保护。
由于内部存在几十个网络客户端,如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品(客户端杀毒软件的工作模式是服务器端、客户端的方式)的服务器端,由客户端通过网络与服务器端连接后进行网络化安装。对产品升级,可通过在服务器端进行设置,自动通过
INETRNET进行升级,再由客户端到服务器端进行升级,大大简化升级过程,并且整个升级是自动完成,不需要人工操作。
对邮件系统,可采取安装专用邮件杀毒产品,通过在邮件服务器上安装邮件杀毒程序,实现对内部邮件的杀毒,保证邮件在收、发时都是经过检查的,确保邮件无毒。
通过这种方法,可以达到层层设防的作用,最终实现病毒防护。
4.3.4 数据备份
作为国家机关,XXX企业内部存在大量的数据,而这里面又有许多重要的、机密的信息。而整个数据的安全保护就显得特别重要,对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点:
● 存储介质安全
在选择存储介质上应选择保存时间长,对环境要求低的存储产品,并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。
● 数据安全
即数据在备份前是真实数据,没有经过篡改或含有病毒。
● 备份过程安全
确保数据在备份时是没有受到外界任何干扰,包括因异常断电而使数据备份中断的或其它情况。
● 备份数据的保管
对存有备份数据的存储介质,应保存在安全的地方,防火、防盗及各种灾害,并注意保存环境(温度、湿度等)的正常。同时对特别重要的备份数据,还应当采取异地备份保管的方式,来确保数据安全。对重要备份数据的异地、多处备份(避免类似美国911事件为各公司产生的影响)
4.3.5 安全审计
作为一个良好的安全系统,安全审计必不可少。
由于XXX企业是一个非常庞大的网络系统,因而对整个网络(或重要网络部分)运行进行记录、分析是非常重要的,它可以让用户通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并可作为以后的法律证据或者为以后的网络安全调整提供依据。
4.3.6 认证、鉴别、数字签名、抗抵赖
由于XXX企业网络系统庞大,上面存在很多分级的重要信息;同时,由于现在国家正在大力推进电子政务的发展,网上办公已经越来越多的被应用到各级政府部门当中,因此,需要对网上用户的身份、操作权限等进行控制和授权。对不同等级、类型的信息只允许相应级别的人进行审阅;对网上公文的处理采取数字签名、抗抵赖等相应的安全措施。
4.4 物理安全
XXX企业网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
4.4.1 两套网络的相互转换
由于XXX企业内部网络系统具有两套网络,这两套网络系统是完全物理隔离的,而企业内部有部分用户需要两个网络都要接入,这就涉及到两个网络之间的相互切换问题。而现在的实际使用是采用手工拔插网线的方式进行切换,这使得使用中非常不方便。因此,本方案建议采用网络隔离卡的方式来解决网络切换的问题。
4.4.1.1 隔离卡工作方式
隔离卡上有两个网络接口,一个接内网,一个接外网;另外还有一个控制口,通过控制口连接一个控制器(只有火柴盒大小),放置于电脑旁边。同时,在隔离卡上接两个硬盘,使一个计算机变为两个计算机使用,两个硬盘上分别运行独立的操作系统。这样,可通过控制器进行切换(简单的开关,类似电源开关),使计算机分别接到两个网络上。
4.4.1.2 应用
根据XXX企业网络的实际情况,需要在二、三、四楼共20个信息点上安装隔离卡。其中二楼6个,三楼12个,四楼2个。
4.4.2 防电磁辐射
普通的综合布线系统通常都采用5类UTP的方式,由于电信号在传输时存在电磁场,并随着信号的改变而改变磁场的强弱,而UTP本身没有任何的屏蔽功能,因此容易被国外间谍机构或不法分子采取电磁波复原的方法窃取重要机密信息,造成严重后果。因而对重要信息点的数据传输介质应采取相应的安全措施,如使用屏蔽双绞线等
终端设备尤其是CRT显示器均有程度不同的电磁辐射问题,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,因此除要求在订购设备上尽量选取低辐射产品外,还应根据保护对象分别采取主动式的干扰设备(如干扰机来破坏对信息的侦窃),或采用加装带屏蔽门窗的屏蔽室。
4.4.3 网络防雷
由于XXX企业网络系统的物理范围主要是在一栋大楼内,而大楼本身已采取相应的防雷措施,因此,本方案中主要针对网络系统防雷进行设计,不包括电源防雷(这一般属于大楼防雷的部分)。
不少用户为防止计算机及其局域网或广域网遭雷击,便简单地在与外部线路连接的调制解调器上安装避雷器,但由于静电感应雷、防电磁感应雷主要是通过供电线路破坏设备的,因此对计算机信息系统的防雷保护首先是合理地加装电源避雷器,其次是加装信号线路和天馈线避雷器。如果大楼信息系统的设备配置中有计算机中心机房、程控交换机房及机要设备机房,那么在总电源处要加装电源避雷器。按照有关标准要求,必须在0区、1区、2区分别加装避雷器(0区、1区、2区是按照雷电出现的强度划分的)。在各设备前端分别要加装串联型电源避雷器(多级集成型),以最大限度地抑制雷电感应的能量。同时,计算机中心的MODEM、路由器、甚至HUB等都有线路出户,这些出户的线路都应视为雷电引入通道,都应加装信号避雷器。对楼内计算机等电子设备进行防护的同时,对建(构)筑物再安装防雷设施就更安全了。
根据XXX企业网络结构、物理结构、电源结构分析,防雷系统可采取两级防雷措施。
● 骨干网络防雷;
● 终端防雷;
以上两级避雷可使用信号避雷器来实现。根据网络连接线路的类型和带宽选择相应的避雷器。
4.4.4 重要信息点的物理保护
XXX企业各级网络内部存在重要的信息点,如内部核心应用系统,环境等都需要保护,它主要包括三个方面:
(1) 环境安全:对系统所在环境的安全保护,如区域保护和灾难保护(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》)。
(2) 设备安全:主要包括设备的防盗、防毁坏及电源保护等。
对中心机房和关键信息点采取多种安全防范措施,确保非授权人员无法进入。中心机房处理秘密级、机密级信息的系统均采用有效的电子门控系统等。
(3) 媒体安全:包括媒体数据的安全及媒体本身的安全。
4.5 安全管理
任何网络系统的安全建设,不仅仅是采用安全产品,而是结合相应的安全管理来进行的。XXX企业及下属各级机构在行政管理上采取逐级纵向管理的方式,因此在网络管理上也采用这种方式,。
组织机构体系指是XXX企业网络系统安全的组织保障系统,由机构、岗位和人事三个模块构成一个体系。XXX企业网络系统的安全组织体系是安全管理体系的组织保障。这个组织体系在国家有关安全部门(如机要局、保密局、公安厅、安全厅、信息安全协调机构等)的指导下,遵循国家相关法律法规,制定相应的安全管理制度和内部的法规政策,并对内部人员进行安全教育和管理,指导、监督、考核安全制度的执行。
安全组织建立原则
XXX企业网络系统的安全组织体系,是网络系统安全的组织保障系统,由机构、岗位和人事三个部分构成一个体系。
安全组织结构
XXX企业网络系统的安全管理机构设置为三个层次:决策层、管理层和执行层。决策层是XXX企业网络系统主体单位决定系统安全重大事宜的领导机构,由主管信息工作的负责人为首,有行使国家安全、公共安全、机要和保密职能的部门负责人和信息系统主要负责人参与组成。管理层是决策层的日常管理机关,根据决策机构的决定全面规划并协调各方面力量实施信息系统的安全方案,制定、修改安全策略,处理安全事故,设置安全相关的岗位。执行层是在管理层协调下具体负责某一个或某几个特定安全事务的一个逻辑群体,这个群体分布在信息系统的各个操作层或岗位上。
岗位是XXX企业网络系统安全管理部门根据安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列,一个人可以负责一个或几个安全岗位,但一个人不得同时兼任安全岗
位所对应的系统管理或具体业务岗位。因此岗位并不是一个机构,它由管理机构设定,由人事机构管理。
人事机构是根据管理机构设定的岗位,对岗位上在职和待职的工作人员进行素质教育、业绩考核和管理,以及对离职工作人员进行监管的机构。人事机构的全部管理活动在国家有关安全的法律、法规、政策规定范围内依法进行。
在XXX企业主管部门直接领导下,自上而下地构建层次清楚、职责明确的安全组织体系。
安全组织职责
XXX企业网络系统的各级安全工作小组的职责是:
在XXX企业网络系统安全管理机构的领导下,严格执行各项安全管理规章制度,进行日常的安全保密工作,对内部人员进行安全教育和管理,指导、监督和考核安全制度的执行。
管理体系
管理是XXX企业网络系统安全的灵魂。网络信息系统安全的管理体系由法律管理、制度管理和培训管理三部分组成。
XXX企业网络系统安全管理组织根据国家、各省有关的法律、法规和政策,在安全领导组织的领导下制定具体的安全管理制度,并进行培训。
安全管理制度的分类原则
XXX企业网络系统安全管理组织制定的安全管理制度主要包括:
(1) 人事安全管理制度
(2) 操作安全管理制度
(3) 场地与设施安全管理制度
(4) 设备安全管理制度
(5) 软件平台安全管理制度
(6) 计算机网络安全管理制度
(7) 应用软件安全管理制度
(8) 技术文档安全管理制度
(9) 数据安全管理制度
(10)密码安全管理制度
(11)应急管理制度
4.6 安全特性
XXX企业网络系统的安全性建设措施应能满足当前XXX企业网络系统安全的主要需求及以后系统建设的发展需要,使网络系统不易受到内部和外部的攻击,从而达到网络能够正常运行,满足主要业务对安全的需要:
(1) 确保XXX企业中心网络系统与下属各级机构等网络系统互连的安全,并必须能防范来自外部的各种形式的攻击。
(2) 确保XXX企业中心网络系统与下属各级机构网络之间的信息在交换过程中保持完整、真实、可用和不被非法泄露的特性。信息交换必须遵照约定的层次管理需要和授权管理需要。
(3) 确保XXX企业中心网络系统与平级机构等网络系统的网络连接安全。
(4) 确保XXX企业中心网络关键系统入口数据访问的可监视性,作到有据可查,提供完善的信息安全审计系统支持。
(5) 确保XXX企业中心网络、各级机构网络的系统受到病毒的破坏。
(6) 确保XXX企业各级网络重要信息的数据安全。包括防电磁泄露、数据备份、防火、防盗等。
(7) 确保网络系统不受雷击。
(8) 确保建立一套完善的网络安全管理制度,做到专人管理、维护。
(9) 确保XXX企业内部移动用户与内部网络系统连接的识别,确保连接安全及信息交换安全。
(10) 确保网络系统的长期安全。
(11) 实现在两套网络系统之间的安全转换,做到安全、易用、方便。 5 安全设备要求
5.1 安全设备选型原则
对XXX企业网络系统的安全设备选型时,必须在满足国家对信息安全产品的政策性要求前提下,综合考察设备的功能和性能,必须符合XXX企业网络系统的网络安全需求。
5.1.1 安全性要求
政策性原则
信息安全设备(硬件/软件)均应经过信息安全产品的主管部门的测评认证、鉴定和许可。
技术性原则
(1) 安全设备必须具有自我系统保护能力。
● 安全设备的软件平台应为专用定制的基于最小内核的操作系统,不应采用一般商业Dos, Windows或Unix操作系统。
● 安全设备应提供避免或禁止内外网络用户进入系统的手段,即使对安全管理员而言,也应遵循对系统操作的最小授权原则。对安全设备的配置必须具备多重安全措施且拥有最高安全授权,同时具备进行严格的操作审计功能,在出现安全故障时应具有安全应急措施。
● 安全设备遇故障工作失效,系统应自动转为缺省禁止状态。
(2) 安全设备必须至少具有履行所需安全服务的最小能力。
● 安全设备所采用的技术,不单纯追求先进、完善,而必须保证实用和成熟性,相关技术标准应采用、引用和接近国家标准。
● 安全设备的接入不影响原网络拓扑结构,安全设备的运行不明显影响原网络系统的运行效率,更不能导致产生通信瓶颈。
● 安全设备的机械、电气及电磁辐射性能必须符合国家标准,且能满足全天候运行的可靠性要求。
5.1.2 可用性要求
(1)安全设备的技术性能和功能,必须满足行业系统管理体制的要求,即能基于网络实现安全管理,具有接受网络信息安全管理机构管理的能力。
(2)安全设备所采用的技术,不单纯追求先进、完善,而必须保证实用和成熟性,相关技术标准应采用、引用和接近国家标准。
(3)安全设备的接入不影响原网络拓扑结构,安全设备的运行不明显影响原网络系统的运行效率,更不能导致产生通信瓶颈。
(4)安全设备的使用必须简便、实用。
5.1.3 可靠性要求
(1) 安全设备的机械、电气及电磁辐射性能必须符合国家标准
(2) 能满足7*24小时无人值守工作模式
5.2 安全设备的可扩展性
作为一个安全系统建设项目,其安全系统的建设周期往往存在几个阶段,跨越很长时间,少则几个月,因此,对安全设备要求能够满足高扩展性要求。根据XXX企业网络系统安全建设的建设和应用系统的发展需要,能够随时对安全产品的功能、规模进行扩充,而且不能影响XXX企业网络系统的结构。
5.3 安全设备的升级
在安全方案中涉及的安全产品,必须是能够升级的安全产品。由于网络技术飞速发展,网络应用越来越广泛,网络安全的新的软件、硬件、协议等漏洞不断涌现,因此,对安全产品进行升级是必不可少的。如VPN系统的软件升级、杀毒软件的定期升级病毒特征代码库、入侵检测系统升级攻击行为特征库等。
5.4 设备列表
针对XXX企业网络安全建设需要,本方案中主要的安全产品见下表:
对没有列出的安全产品,根据用户实际情况进行调整。
6 技术支持与服务
成熟而完善的技术支持与服务体系对于网络信息安全系统的顺利实施和正常运行是必不可少的。川大能士信息安全有限公司将为XXX企业提供全面的技
术支持与完善的售后服务。
6.1 保障机制
● 产品符合国家技术及管理要求,具有相应资质;
● 企业具有相应资质;
● 企业内部人员安全审查制度;
● 现场施工授权及用户确认制度;
● 客户响应中心及用户跟踪服务制度;
● 产品应用备案制度,每台产品档案及用户联系信息等工程信息均报国家相关管理部门备案;
● 故障处理规程,设备更换由用户监督进行。
6.2 咨询服务
川大能士的客户咨询服务中心7x24小时向客户提供信息与技术方面的咨询和服务。技术人员将回答客户提出的各种技术问题,并在客户允许的情况下,进行面对面的技术交流服务。
地址: 电话:
6.3 故障响应
川大能士的客户响应中心7×24小时向客户提供信息与技术方面的协助。技术人员将回答客户提出的各种技术问题,并在客户允许的情况下,进行远程静态
诊断与维护。此外,对某些无法进行远程诊断的问题,川大能士将在短时间内派人到现场进行服务。
6.4 备件仓库
川大能士分别在成都和北京设有备件仓库,拥有充足的产品的备件,为客户提供及时的维修服务。
6.5 系统升级
川大能士将对安全设备提供升级支持服务,并就客户对网络信息系统安全的需求变化与客户展开密切合作,协助对客户网络信息系统的安全系统扩展进行完善的设计和实施。
6.6 性能分析
川大能士将定期或应客户的要求,对客户网络信息系统检测,分析各种影响系统安全的因素,提出预防性的意见和应采取的措施,并就网络安全出现的各种情况,找出原因并提出合理的解决方法。
6.7 保修服务
川大能士对所提供的信息安全产品自安装之日起免费保修一年,在此期间提供免费的硬件保修和系统软件升级服务。在保修期内,如因川大能士的信息安全产品使网络系统出现故障,除非出现人力不可抗拒的情况,川大能士保证在48小时内到现场检修或用相同产品更换故障设备。
6.8 保修期后的技术支持服务
保修期后,川大能士将与客户签订《安全产品及安全系统维护合同》,川大能士承诺对客户提供优惠价格的设备维修与零部件更换服务,并将继续为客户网络信息免费提供其它技术支持服务。
6.9 网络安全培训
网络信息安全的培训工作是网络系统正常运行至关重要的一环。培训工作由川大能士信息安全有限公司会同XXX企业的相关技术负责人联合制定计划,由川大能士组织高级技术人员编写教材并实施。
6.9.1网络安全管理培训
对XXX企业网络系统的安全设备管理人员进行网络安全管理培训,使其了解网络安全的基本管理和技术知识。
网络安全管理培训在安全产品到货前分期安排,采用专家授课的方式。 网络安全管理培训工作的具体事宜待方案选定后,根据XXX企业网络系统的具体情况进行制定。
6.9.2 现场操作培训
对安全设备操作人员进行安全设备使用的培训,使其能按产品使用说明书的步骤和有关操作正确使用安全设备。
川大能士信息安全有限公司将在安装现场对管理中心的管理人员进行操作培训,采用授课与现场操作结合的形式。
现场操作培训工作的其它事宜容方案选定后,根据XXX企业网络安全系统的具体实施情况进行制定。
总结
致谢
参考文献
某企业网络安全综合设计方案
目 录
1 XXX企业网络分析... 4
2 网络威胁、风险分析... 5
2.1内部窃密和破坏... 5
2.2 搭线(网络)窃听... 5
2.3 假冒... 5
2.4 完整性破坏... 5
2.5 其它网络的攻击... 5
2.6 管理及操作人员缺乏安全知识... 6
2.7 雷击... 6
3 安全系统建设原则... 7
4 网络安全总体设计... 9
4.1 安全设计总体考虑... 9
4.2 网络安全... 10
4.2.1 网络传输... 10
4.2.2 访问控制... 12
4.2.3 入侵检测... 13
4.2.4 漏洞扫描... 14
4.2.5 其它... 14
4.3 应用系统安全... 14
4.3.1 系统平台安全... 14
4.3.2 应用平台安全... 14
4.3.3 病毒防护... 15
4.3.4 数据备份... 17
4.3.5 安全审计... 17
4.3.6 认证、鉴别、数字签名、抗抵赖... 18
4.4 物理安全... 18
4.4.1 两套网络的相互转换... 18
4.4.2 防电磁辐射... 18
4.4.3 网络防雷... 19
4.4.4 重要信息点的物理保护... 19
4.5 安全管理... 20
4.6 安全特性... 21
5 安全设备要求... 23
5.1 安全设备选型原则... 23
5.1.1 安全性要求... 23
5.1.2 可用性要求... 23
5.1.3 可靠性要求... 24
5.2 安全设备的可扩展性... 24
5.3 安全设备的升级... 24
6 技术支持与服务... 25
6.1 保障机制... 25
6.2 咨询服务... 25
6.3 故障响应... 25
6.4 备件仓库... 26
6.5 系统升级... 26
6.6 性能分析... 26
6.7 保修服务... 26
6.8 保修期后的技术支持服务... 26
6.9 网络安全培训... 26
6.9.1网络安全管理培训... 26
6.9.2 现场操作培训... 27
1 XXX企业网络分析
此处请根据用户实际情况做简要分析
2 网络威胁、风险分析
针对XXX企业现阶段网络系统的网络结构和业务流程,结合XXX企业今后进行的网络化应用范围的拓展考虑,XXX企业网主要的安全威胁和安全漏洞包括以下几方面:
2.1内部窃密和破坏
由于XXX企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。
2.2 搭线(网络)窃听
这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对XXX企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。
2.3 假冒
这种威胁既可能来自XXX企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
2.4 完整性破坏
这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
2.5 其它网络的攻击
XXX企业网络系统是接入到INTERNET上的,这样就有可能会遭到
INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感
信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。
2.6 管理及操作人员缺乏安全知识
由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。
由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。
2.7 雷击
由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。 注:部分描述地方需要进行调整,请根据用户实际情况叙述。
3 安全系统建设原则
XXX企业网络系统安全建设原则为:
1)系统性原则
XXX企业网络系统整个安全系统的建设要有系统性和适应性,不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化,而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。
2)技术先进性原则
XXX企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计,选用先进、成熟的安全技术和设备,实施中采用先进可靠的工艺和技术,提高系统运行的可靠性和稳定性。
3)管理可控性原则
系统的所有安全设备(管理、维护和配置)都应自主可控;系统安全设备的采购必须有严格的手续;安全设备必须有相应机构的认证或许可标记;安全设备供应商应具备相应资质并可信。
安全系统实施方案的设计和施工单位应具备相应资质并可信。
4)适度安全性原则
系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性,在允许的风险范围内尽量减少安全服务的规模和复杂性,使之具有可操作性,避免超出用户所能理解的范围,变得很难执行或无法执行。
5)技术与管理相结合原则
XXX企业网络系统安全建设是一个复杂的系统工程,它包括产品、过程和人的因素,因此它的安全解决方案,必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的,必须坚持技术和管理相结合的原则。
6)测评认证原则
XXX企业网络系统作为重要的政务系统,其系统的安全方案和工程设计必须通过国家有关部门的评审,采用的安全产品和保密设备需经过国家主管理部门的认可。
7)系统可伸缩性原则
XXX企业网络系统将随着网络和应用技术的发展而发生变化,同时信息安全技术也在发展,因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。
4 网络安全总体设计
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据XXX企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,本方案主要从以下几个方面进行安全设计:
● 网络系统安全;
● 应用系统安全;
● 物理安全;
● 安全管理;
4.1 安全设计总体考虑
根据XXX企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:
● 网络传输保护
主要是数据加密保护
● 主要网络安全隔离
通用措施是采用防火墙
● 网络病毒防护
采用网络防病毒系统
● 广域网接入部分的入侵检测
采用入侵检测系统
● 系统漏洞分析
采用漏洞分析设备
● 定期安全审计
主要包括两部分:内容审计和网络通信审计
● 重要数据的备份
● 重要信息点的防电磁泄露
● 网络安全结构的可伸缩性
包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展 ● 网络防雷
4.2 网络安全
作为XXX企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,
4.2.1 网络传输
由于XXX企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而
INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。
由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据XXX企业三级网络结构,VPN设置如下图所示:
图4-1三级 VPN设置拓扑图
每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的:
● 网络传输数据保护;
由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输
● 网络隔离保护;
与INTERNET进行隔离,控制内网与INTERNET的相互访问
● 集中统一管理,提高网络安全性;
● 降低成本(设备成本和维护成本);
其中,在各级中心网络的VPN设备设置如下图:
图4-2 中心网络VPN设置图
由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。
下级单位的VPN设备放置如下图所示:
图4-3 下级单位VPN设置图
从图4-4可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。 由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上
的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。
4.2.2 访问控制
由于XXX企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求:
● 控制外部合法用户对内部网络的网络访问;
● 控制外部合法用户对服务器的访问;
● 禁止外部非法用户对内部网络的访问;
● 控制内部用户对外部网络的网络;
● 阻止外部用户对内部的网络攻击;
● 防止内部主机的IP欺骗;
● 对外隐藏内部IP地址和网络拓扑结构;
● 网络监控;
● 网络日志审计;
详细配置拓扑图见图4-1、图4-2、图4-3。
由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:
● 管理、维护简单、方便;
● 安全性高(可有效降低在安全设备使用上的配置漏洞);
● 硬件成本和维护成本低;
● 网络运行的稳定性更高
由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。
4.2.3 入侵检测
网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
入侵检测系统的设置如下图:
从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。
4.2.4 漏洞扫描
作为一个完善的通用安全系统,应当包含完善的安全措施,定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性,而是随着时间的推移和技术的发展而不断下降的,同时,在使用过程中会出现新的安全问题,因此,作为安全系统建设的补充,采取相应的措施也是必然。 本方案中,采用漏洞扫描设备对网络系统进行定期扫描,对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描,发现相应的漏洞并告警,自动提出解决措施,或参考意见,提醒网络安全管理员作好相应调整。
4.2.5 其它
对复杂或有特殊要求的网络环境,在采取安全措施上应当特殊考虑,增加新的安全措施。
4.3 应用系统安全
4.3.1 系统平台安全
XXX企业各级网络系统平台安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上,因而存在很大的安全隐患。
XXX企业网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统,针对通用OS的安全问题,对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台,在选择性地用好NT安全机制的同时,应加强监控管理。
4.3.2 应用平台安全
XXX企业网络系统的应用平台安全,一方面涉及用户进入系统的身份鉴别与控制,以及使用网络资源的权限管理和访问控制,对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时,应当尽量选择国内软件开发商进行开发,系统类型也应当尽量采用国内自主开发的应用系统。
4.3.3 病毒防护
因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地企业在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时应当注意几个方面的要求:具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品,系统资源占用低,性能优越、可管理性高,易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。
病毒对信息系统的正常工作运行产生很大影响,据统计,信息系统的60%瘫痪是由于感染病毒引起的。
4.3.3.1 系统设计原则
为了更好的解决病毒的防范,一般要求病毒防范系统满足如下要求:
● 采用世界最先进的防毒产品与XXX网络网络系统的实际需要相结合,确保XXX网络系统具有最佳的病毒防护能力的情况下综合成本最少。
● 贯彻川大能士“层层设防,集中控管,以防为主、防治结合”的企业防毒策略。在XXX网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件,通过这种全方位的、多层次的防毒系统配置,使企业网络免遭所有病毒的入侵和危害。
● 充分考虑XXX网络的系统数据、文件的安全可靠性,所选产品与现系统具有良好的一致性和兼容性,以及最低的系统资源占用,保证不对现有系统运行产生不良影响。
● 应用全球最为先进的“实时监控”技术,充分体现趋势科技“以防为主”的反病毒思想。
● 所选用产品具备对多种压缩格式文件的病毒检测。
● 所选用产品易于安装、操作简便、便于管理和维护,具有友好的用户界面。 ● 应用经由ICSA(国际电脑安全协会)技术认证的扫描引擎,保证对包括各种千面人病毒、变种病毒和黑客程序等具有最佳的病毒侦测率,除对已知病毒具备全面的侦防能力,对未知病毒亦有良好的侦测能力。强调在XXX网络防毒系统内,实施统一的防病毒策略、集中的防毒管理和维护,最大限度地减轻使用人员和维护人员的工作量。
● 完全自动化的日常维护,便于进行病毒码及扫描引擎的更新。 ● 提供良好的售后服务及技术支持。
● 具有良好的可扩充性,充分保护用户的现有投资,适应 XXX网络系统的今后发展需要
4.3.3.2 产品应用
根据XXX企业网络系统的结构和应用特点,病毒防御可采取多种措施: ● 网关防毒;
● 服务器防毒;
● 客户端防毒;
● 邮件防毒;
应用拓扑如下图:
图4-4病毒应用拓扑图
在网络骨干接入处,安装防毒墙(即安装有网关杀毒软件的独立网关设备),由防毒墙实现网络接入处的病毒防护。由于是安装在网络接入处,因此,对主要网络协议进行杀毒处理(SMTP、FTP、HTTP)。
在服务器上安装单独的服务器杀毒产品,对服务器进行病毒保护。
由于内部存在几十个网络客户端,如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品(客户端杀毒软件的工作模式是服务器端、客户端的方式)的服务器端,由客户端通过网络与服务器端连接后进行网络化安装。对产品升级,可通过在服务器端进行设置,自动通过
INETRNET进行升级,再由客户端到服务器端进行升级,大大简化升级过程,并且整个升级是自动完成,不需要人工操作。
对邮件系统,可采取安装专用邮件杀毒产品,通过在邮件服务器上安装邮件杀毒程序,实现对内部邮件的杀毒,保证邮件在收、发时都是经过检查的,确保邮件无毒。
通过这种方法,可以达到层层设防的作用,最终实现病毒防护。
4.3.4 数据备份
作为国家机关,XXX企业内部存在大量的数据,而这里面又有许多重要的、机密的信息。而整个数据的安全保护就显得特别重要,对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点:
● 存储介质安全
在选择存储介质上应选择保存时间长,对环境要求低的存储产品,并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。
● 数据安全
即数据在备份前是真实数据,没有经过篡改或含有病毒。
● 备份过程安全
确保数据在备份时是没有受到外界任何干扰,包括因异常断电而使数据备份中断的或其它情况。
● 备份数据的保管
对存有备份数据的存储介质,应保存在安全的地方,防火、防盗及各种灾害,并注意保存环境(温度、湿度等)的正常。同时对特别重要的备份数据,还应当采取异地备份保管的方式,来确保数据安全。对重要备份数据的异地、多处备份(避免类似美国911事件为各公司产生的影响)
4.3.5 安全审计
作为一个良好的安全系统,安全审计必不可少。
由于XXX企业是一个非常庞大的网络系统,因而对整个网络(或重要网络部分)运行进行记录、分析是非常重要的,它可以让用户通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并可作为以后的法律证据或者为以后的网络安全调整提供依据。
4.3.6 认证、鉴别、数字签名、抗抵赖
由于XXX企业网络系统庞大,上面存在很多分级的重要信息;同时,由于现在国家正在大力推进电子政务的发展,网上办公已经越来越多的被应用到各级政府部门当中,因此,需要对网上用户的身份、操作权限等进行控制和授权。对不同等级、类型的信息只允许相应级别的人进行审阅;对网上公文的处理采取数字签名、抗抵赖等相应的安全措施。
4.4 物理安全
XXX企业网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
4.4.1 两套网络的相互转换
由于XXX企业内部网络系统具有两套网络,这两套网络系统是完全物理隔离的,而企业内部有部分用户需要两个网络都要接入,这就涉及到两个网络之间的相互切换问题。而现在的实际使用是采用手工拔插网线的方式进行切换,这使得使用中非常不方便。因此,本方案建议采用网络隔离卡的方式来解决网络切换的问题。
4.4.1.1 隔离卡工作方式
隔离卡上有两个网络接口,一个接内网,一个接外网;另外还有一个控制口,通过控制口连接一个控制器(只有火柴盒大小),放置于电脑旁边。同时,在隔离卡上接两个硬盘,使一个计算机变为两个计算机使用,两个硬盘上分别运行独立的操作系统。这样,可通过控制器进行切换(简单的开关,类似电源开关),使计算机分别接到两个网络上。
4.4.1.2 应用
根据XXX企业网络的实际情况,需要在二、三、四楼共20个信息点上安装隔离卡。其中二楼6个,三楼12个,四楼2个。
4.4.2 防电磁辐射
普通的综合布线系统通常都采用5类UTP的方式,由于电信号在传输时存在电磁场,并随着信号的改变而改变磁场的强弱,而UTP本身没有任何的屏蔽功能,因此容易被国外间谍机构或不法分子采取电磁波复原的方法窃取重要机密信息,造成严重后果。因而对重要信息点的数据传输介质应采取相应的安全措施,如使用屏蔽双绞线等
终端设备尤其是CRT显示器均有程度不同的电磁辐射问题,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,因此除要求在订购设备上尽量选取低辐射产品外,还应根据保护对象分别采取主动式的干扰设备(如干扰机来破坏对信息的侦窃),或采用加装带屏蔽门窗的屏蔽室。
4.4.3 网络防雷
由于XXX企业网络系统的物理范围主要是在一栋大楼内,而大楼本身已采取相应的防雷措施,因此,本方案中主要针对网络系统防雷进行设计,不包括电源防雷(这一般属于大楼防雷的部分)。
不少用户为防止计算机及其局域网或广域网遭雷击,便简单地在与外部线路连接的调制解调器上安装避雷器,但由于静电感应雷、防电磁感应雷主要是通过供电线路破坏设备的,因此对计算机信息系统的防雷保护首先是合理地加装电源避雷器,其次是加装信号线路和天馈线避雷器。如果大楼信息系统的设备配置中有计算机中心机房、程控交换机房及机要设备机房,那么在总电源处要加装电源避雷器。按照有关标准要求,必须在0区、1区、2区分别加装避雷器(0区、1区、2区是按照雷电出现的强度划分的)。在各设备前端分别要加装串联型电源避雷器(多级集成型),以最大限度地抑制雷电感应的能量。同时,计算机中心的MODEM、路由器、甚至HUB等都有线路出户,这些出户的线路都应视为雷电引入通道,都应加装信号避雷器。对楼内计算机等电子设备进行防护的同时,对建(构)筑物再安装防雷设施就更安全了。
根据XXX企业网络结构、物理结构、电源结构分析,防雷系统可采取两级防雷措施。
● 骨干网络防雷;
● 终端防雷;
以上两级避雷可使用信号避雷器来实现。根据网络连接线路的类型和带宽选择相应的避雷器。
4.4.4 重要信息点的物理保护
XXX企业各级网络内部存在重要的信息点,如内部核心应用系统,环境等都需要保护,它主要包括三个方面:
(1) 环境安全:对系统所在环境的安全保护,如区域保护和灾难保护(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》)。
(2) 设备安全:主要包括设备的防盗、防毁坏及电源保护等。
对中心机房和关键信息点采取多种安全防范措施,确保非授权人员无法进入。中心机房处理秘密级、机密级信息的系统均采用有效的电子门控系统等。
(3) 媒体安全:包括媒体数据的安全及媒体本身的安全。
4.5 安全管理
任何网络系统的安全建设,不仅仅是采用安全产品,而是结合相应的安全管理来进行的。XXX企业及下属各级机构在行政管理上采取逐级纵向管理的方式,因此在网络管理上也采用这种方式,。
组织机构体系指是XXX企业网络系统安全的组织保障系统,由机构、岗位和人事三个模块构成一个体系。XXX企业网络系统的安全组织体系是安全管理体系的组织保障。这个组织体系在国家有关安全部门(如机要局、保密局、公安厅、安全厅、信息安全协调机构等)的指导下,遵循国家相关法律法规,制定相应的安全管理制度和内部的法规政策,并对内部人员进行安全教育和管理,指导、监督、考核安全制度的执行。
安全组织建立原则
XXX企业网络系统的安全组织体系,是网络系统安全的组织保障系统,由机构、岗位和人事三个部分构成一个体系。
安全组织结构
XXX企业网络系统的安全管理机构设置为三个层次:决策层、管理层和执行层。决策层是XXX企业网络系统主体单位决定系统安全重大事宜的领导机构,由主管信息工作的负责人为首,有行使国家安全、公共安全、机要和保密职能的部门负责人和信息系统主要负责人参与组成。管理层是决策层的日常管理机关,根据决策机构的决定全面规划并协调各方面力量实施信息系统的安全方案,制定、修改安全策略,处理安全事故,设置安全相关的岗位。执行层是在管理层协调下具体负责某一个或某几个特定安全事务的一个逻辑群体,这个群体分布在信息系统的各个操作层或岗位上。
岗位是XXX企业网络系统安全管理部门根据安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列,一个人可以负责一个或几个安全岗位,但一个人不得同时兼任安全岗
位所对应的系统管理或具体业务岗位。因此岗位并不是一个机构,它由管理机构设定,由人事机构管理。
人事机构是根据管理机构设定的岗位,对岗位上在职和待职的工作人员进行素质教育、业绩考核和管理,以及对离职工作人员进行监管的机构。人事机构的全部管理活动在国家有关安全的法律、法规、政策规定范围内依法进行。
在XXX企业主管部门直接领导下,自上而下地构建层次清楚、职责明确的安全组织体系。
安全组织职责
XXX企业网络系统的各级安全工作小组的职责是:
在XXX企业网络系统安全管理机构的领导下,严格执行各项安全管理规章制度,进行日常的安全保密工作,对内部人员进行安全教育和管理,指导、监督和考核安全制度的执行。
管理体系
管理是XXX企业网络系统安全的灵魂。网络信息系统安全的管理体系由法律管理、制度管理和培训管理三部分组成。
XXX企业网络系统安全管理组织根据国家、各省有关的法律、法规和政策,在安全领导组织的领导下制定具体的安全管理制度,并进行培训。
安全管理制度的分类原则
XXX企业网络系统安全管理组织制定的安全管理制度主要包括:
(1) 人事安全管理制度
(2) 操作安全管理制度
(3) 场地与设施安全管理制度
(4) 设备安全管理制度
(5) 软件平台安全管理制度
(6) 计算机网络安全管理制度
(7) 应用软件安全管理制度
(8) 技术文档安全管理制度
(9) 数据安全管理制度
(10)密码安全管理制度
(11)应急管理制度
4.6 安全特性
XXX企业网络系统的安全性建设措施应能满足当前XXX企业网络系统安全的主要需求及以后系统建设的发展需要,使网络系统不易受到内部和外部的攻击,从而达到网络能够正常运行,满足主要业务对安全的需要:
(1) 确保XXX企业中心网络系统与下属各级机构等网络系统互连的安全,并必须能防范来自外部的各种形式的攻击。
(2) 确保XXX企业中心网络系统与下属各级机构网络之间的信息在交换过程中保持完整、真实、可用和不被非法泄露的特性。信息交换必须遵照约定的层次管理需要和授权管理需要。
(3) 确保XXX企业中心网络系统与平级机构等网络系统的网络连接安全。
(4) 确保XXX企业中心网络关键系统入口数据访问的可监视性,作到有据可查,提供完善的信息安全审计系统支持。
(5) 确保XXX企业中心网络、各级机构网络的系统受到病毒的破坏。
(6) 确保XXX企业各级网络重要信息的数据安全。包括防电磁泄露、数据备份、防火、防盗等。
(7) 确保网络系统不受雷击。
(8) 确保建立一套完善的网络安全管理制度,做到专人管理、维护。
(9) 确保XXX企业内部移动用户与内部网络系统连接的识别,确保连接安全及信息交换安全。
(10) 确保网络系统的长期安全。
(11) 实现在两套网络系统之间的安全转换,做到安全、易用、方便。 5 安全设备要求
5.1 安全设备选型原则
对XXX企业网络系统的安全设备选型时,必须在满足国家对信息安全产品的政策性要求前提下,综合考察设备的功能和性能,必须符合XXX企业网络系统的网络安全需求。
5.1.1 安全性要求
政策性原则
信息安全设备(硬件/软件)均应经过信息安全产品的主管部门的测评认证、鉴定和许可。
技术性原则
(1) 安全设备必须具有自我系统保护能力。
● 安全设备的软件平台应为专用定制的基于最小内核的操作系统,不应采用一般商业Dos, Windows或Unix操作系统。
● 安全设备应提供避免或禁止内外网络用户进入系统的手段,即使对安全管理员而言,也应遵循对系统操作的最小授权原则。对安全设备的配置必须具备多重安全措施且拥有最高安全授权,同时具备进行严格的操作审计功能,在出现安全故障时应具有安全应急措施。
● 安全设备遇故障工作失效,系统应自动转为缺省禁止状态。
(2) 安全设备必须至少具有履行所需安全服务的最小能力。
● 安全设备所采用的技术,不单纯追求先进、完善,而必须保证实用和成熟性,相关技术标准应采用、引用和接近国家标准。
● 安全设备的接入不影响原网络拓扑结构,安全设备的运行不明显影响原网络系统的运行效率,更不能导致产生通信瓶颈。
● 安全设备的机械、电气及电磁辐射性能必须符合国家标准,且能满足全天候运行的可靠性要求。
5.1.2 可用性要求
(1)安全设备的技术性能和功能,必须满足行业系统管理体制的要求,即能基于网络实现安全管理,具有接受网络信息安全管理机构管理的能力。
(2)安全设备所采用的技术,不单纯追求先进、完善,而必须保证实用和成熟性,相关技术标准应采用、引用和接近国家标准。
(3)安全设备的接入不影响原网络拓扑结构,安全设备的运行不明显影响原网络系统的运行效率,更不能导致产生通信瓶颈。
(4)安全设备的使用必须简便、实用。
5.1.3 可靠性要求
(1) 安全设备的机械、电气及电磁辐射性能必须符合国家标准
(2) 能满足7*24小时无人值守工作模式
5.2 安全设备的可扩展性
作为一个安全系统建设项目,其安全系统的建设周期往往存在几个阶段,跨越很长时间,少则几个月,因此,对安全设备要求能够满足高扩展性要求。根据XXX企业网络系统安全建设的建设和应用系统的发展需要,能够随时对安全产品的功能、规模进行扩充,而且不能影响XXX企业网络系统的结构。
5.3 安全设备的升级
在安全方案中涉及的安全产品,必须是能够升级的安全产品。由于网络技术飞速发展,网络应用越来越广泛,网络安全的新的软件、硬件、协议等漏洞不断涌现,因此,对安全产品进行升级是必不可少的。如VPN系统的软件升级、杀毒软件的定期升级病毒特征代码库、入侵检测系统升级攻击行为特征库等。
5.4 设备列表
针对XXX企业网络安全建设需要,本方案中主要的安全产品见下表:
对没有列出的安全产品,根据用户实际情况进行调整。
6 技术支持与服务
成熟而完善的技术支持与服务体系对于网络信息安全系统的顺利实施和正常运行是必不可少的。川大能士信息安全有限公司将为XXX企业提供全面的技
术支持与完善的售后服务。
6.1 保障机制
● 产品符合国家技术及管理要求,具有相应资质;
● 企业具有相应资质;
● 企业内部人员安全审查制度;
● 现场施工授权及用户确认制度;
● 客户响应中心及用户跟踪服务制度;
● 产品应用备案制度,每台产品档案及用户联系信息等工程信息均报国家相关管理部门备案;
● 故障处理规程,设备更换由用户监督进行。
6.2 咨询服务
川大能士的客户咨询服务中心7x24小时向客户提供信息与技术方面的咨询和服务。技术人员将回答客户提出的各种技术问题,并在客户允许的情况下,进行面对面的技术交流服务。
地址: 电话:
6.3 故障响应
川大能士的客户响应中心7×24小时向客户提供信息与技术方面的协助。技术人员将回答客户提出的各种技术问题,并在客户允许的情况下,进行远程静态
诊断与维护。此外,对某些无法进行远程诊断的问题,川大能士将在短时间内派人到现场进行服务。
6.4 备件仓库
川大能士分别在成都和北京设有备件仓库,拥有充足的产品的备件,为客户提供及时的维修服务。
6.5 系统升级
川大能士将对安全设备提供升级支持服务,并就客户对网络信息系统安全的需求变化与客户展开密切合作,协助对客户网络信息系统的安全系统扩展进行完善的设计和实施。
6.6 性能分析
川大能士将定期或应客户的要求,对客户网络信息系统检测,分析各种影响系统安全的因素,提出预防性的意见和应采取的措施,并就网络安全出现的各种情况,找出原因并提出合理的解决方法。
6.7 保修服务
川大能士对所提供的信息安全产品自安装之日起免费保修一年,在此期间提供免费的硬件保修和系统软件升级服务。在保修期内,如因川大能士的信息安全产品使网络系统出现故障,除非出现人力不可抗拒的情况,川大能士保证在48小时内到现场检修或用相同产品更换故障设备。
6.8 保修期后的技术支持服务
保修期后,川大能士将与客户签订《安全产品及安全系统维护合同》,川大能士承诺对客户提供优惠价格的设备维修与零部件更换服务,并将继续为客户网络信息免费提供其它技术支持服务。
6.9 网络安全培训
网络信息安全的培训工作是网络系统正常运行至关重要的一环。培训工作由川大能士信息安全有限公司会同XXX企业的相关技术负责人联合制定计划,由川大能士组织高级技术人员编写教材并实施。
6.9.1网络安全管理培训
对XXX企业网络系统的安全设备管理人员进行网络安全管理培训,使其了解网络安全的基本管理和技术知识。
网络安全管理培训在安全产品到货前分期安排,采用专家授课的方式。 网络安全管理培训工作的具体事宜待方案选定后,根据XXX企业网络系统的具体情况进行制定。
6.9.2 现场操作培训
对安全设备操作人员进行安全设备使用的培训,使其能按产品使用说明书的步骤和有关操作正确使用安全设备。
川大能士信息安全有限公司将在安装现场对管理中心的管理人员进行操作培训,采用授课与现场操作结合的形式。
现场操作培训工作的其它事宜容方案选定后,根据XXX企业网络安全系统的具体实施情况进行制定。
总结
致谢
参考文献