XXX食品公司信息安全體系規劃方案(中)

2014-11-19 17:01:00
dxt001
原創
2418

l   異常管理

根據用戶上網狀態,如 IP 連接數、數據包特征、流量等情況,及時發現用戶上網電腦是否異常,自動告警或采取相應的控制措施,保障網絡通暢。

3  BOT 防護

l 爬蟲(蜘蛛)行為

l Web 漏洞掃描器行為

4 .應用層洪水攻擊

l SYN Flood

l ACK Flood

4.4.2.4. 高級功能

1 .自定義規則

提供用戶編寫自己的規則

支持字符串快速查找與 PCRE 正則查找


2 .白名單

設定某些網站、 URL 等對于 Web 應用防火墻直接放行。



3.關鍵詞過濾

雙向、單項(可選)替換關鍵詞為****

4.自動通知

在內置存儲空間快接近最大容量時發送電子郵件提醒用戶。

用戶可以手工導出日志或者清空過去的部分日志。

注:若用戶不予清理,防火墻將執行自動清理過去的部分日志。



5.防火墻攔截方式設置

阻斷 ------攔截嘗試入侵的數據報文,并將入侵者的 IP封掉一段時間。

包過濾 ----攔截嘗試入侵的數據報文,不阻斷入侵者的 IP

全部放行 --停用本防火墻,對所有數據報文一律放行。

6.防火墻過濾端口設置

用戶可以自己填寫需要過濾的 HTTP端口。

如需要過濾 80端口以外,還可以選擇過濾 8080端口。

7.防火墻檢測方向設置

用戶可以選擇檢測雙向的數據或者流入的數據。

8.阻斷時間設置

用戶可以設置檢測到攻擊后,對某個 IP的阻斷時間。



4.4.2.5. 統計功能

1. 入侵統計


2.網絡流量統計


4.4.2.6. 日志分析

1 .告警日志

對每次攻擊記錄包括攻擊時間、攻擊者的 IP 、物理地址等。


2. 審計日志

Web應用防火墻硬件的每次操作進行記錄。



4.5. 遠程訪問控制

4.5.1. 概述

企業通過公網實現跨地域的系統互聯必然面臨安全問題。使用公用網絡會導致機構間的傳輸信息容易被竊取,同時攻擊者有可能通過公網對機構的內部網絡實施攻擊,因此虛擬專用網的重點在于建立安全的數據通道,該通道應具備以下的基本安全要素:

l   保證數據的真實性,通信主機必須是經過授權的,要有抵抗地址假冒( IPSpoofing )的能力。

l   保證數據的完整性,接收到的數據必須與發送時的一致,要有抵抗不法分子篡改數據的能力。

l   保證通道的機密性,提供強有力的加密手段,必須使偷聽者不能破解攔截到的通道數據。

l   提供動態密鑰交換功能和集中安全管理服務。

l   提供安全防護措施和訪問控制,具有抵抗黑客通過 VPN 通道攻擊企業網絡的能力,并且可以對 VPN 通道進行訪問控制。

需要強調指出的是:網絡信息系統是由人參與的信息系統環境,建立良好的安全組織和管理是首要的安全需求,也是一切安全技術手段得以有效發揮的基礎。企業需要的是集組織、管理和技術為一體的完整的安全解決方案。

4.5. 2. 技術特點

在總結國內外各種 VPN 產品的特點和國內用戶實際需求的基礎上,聯想網御公司推出了面向企業用戶并具有完全知識產權的 VPN 系列產品。聯想網御 VPN 產品要達到的目標 是:采用聯想網御 VPN ,企業的所有分支機構、合作伙伴和移動用戶只要連接上因特網(無論采取什么樣的接入方式),就能夠像是用專線互聯一樣方便安全地交換和共享數據。

4.5.2.1. 完備的 VPN 系統

聯想網御 VPN 產品由 VPN 安全網關、 VPN 客戶端以及集中管理平臺組成。 VPN 安全網關可以實現用戶網絡到 網絡安全訪問, VPN 客戶端幫助用戶實現遠程接入用戶的安全訪問。集中管理平臺可以幫助用戶輕松管理多層次多節點的大型 VPN 系統。

4.5.2.2. 全面支持 IPSec 協議標準

IPSec 作為一個全球性的安全標準,要求所有 IPSec 的實現必須嚴格遵循其各種協議規范,以便實現不同產品之間的互通。聯想網御 VPN 產品經過嚴格的互通性測試,和 CISCO NetScreen 等著名廠家的 VPN 產品可以實現互通(采用標準算法)。

4.5.2.3. 支持最新的 NAT 穿越( NATT )協議

NAT 技術是目前國內企業共享上網、小區和智能大廈寬帶接入、城域網寬帶接入所使用的主流技術; NAT IPSec 協議存在著原理上的矛盾(具體參考上一章的相關描述);所以在應用 IPSec 技術組建 VPN 網絡時,一定要考慮選用的 VPN 設備是否具有“ NAT 穿越”的功能。網御 VPN 的全系列產品均支持最新的 NATT 協議標準,具有非常好的網絡適應性。

4.5.2.4. 集成 SSL VPN 接入功能

聯想網御 VPN 網關中集成開發了功能強大的 SSLVPN 功能,移動辦公用戶不需要安裝客戶端就可以通過 SSLVPN 安全的訪問內部網絡。

移動用戶只需要通過瀏覽器打開聯想網御 VPN 網關的 SSLVPN 入口網頁,就可以建立隧道。隧道建立后,可以透明的訪問內部網絡。 SSLVPN 支持所有的動態協議。

聯想網御 VPN 網關中 SSL VPN 功能特點:

無客戶端,部署方便

終端用戶無需配置,使用方便

支持 B/S C/S 各種應用

支持隧道內包過濾

支持代理和 NAT 接入方式

支持 3DES DES AES 等加密算法以及 SHA1 MD5 摘要算法

支持基于 USBKey 的證書認證

支持 IP 地址動態分配

支持多個保護網絡

支持資源管理、方便用戶使用

4.5.2.5. 集成完善的防火墻功能

聯想網御 VPN 網關中集成開發了功能強大的防火墻,并進行了友好易用的用戶界面封裝,提供專用防火墻產品絕大部分的功能:

      完備的動態包過濾功能;

      雙向 NAT 功能;

      MAC 地址綁定功能;

      ARP 代理功能;

      透明應用代理功能;

      防止半連接、拒絕服務、 IP 碎片等常見攻擊功能;

4.5.2.6. 支持雙動態 IP 地址間建立 VPN 隧道

目前國內常用的因特網接入方案(包括電話撥號、 ISDN 撥號、 ADSL 寬帶接入等等)都是由 ISP 為接入用戶動態分配臨時 IP 地址。如果企業的兩個分支機構均采用動態 IP 地址方式接入因特網,那么這兩個分支機構之間的 VPN 隧道策略參數必須進行動態調整,這一過程對目前市場大部分的 VPN 產品(包括國內產品和國外產品)都無法自動完成,這為企業 VPN 網絡的廣泛應用和管理人員的維護工作帶來很大麻煩。

聯想網御 VPN 網關產品通過集中的 VPN 策略管理方式成功解決了雙動態 IP 之間自動建立 VPN 隧道的問題。網關接入因特網之后首先向企業總部部署的“安全策略服務器( SPS )”進行注冊和身份認證,然后從 SPS 下載自己的 VPN 策略;同時 SPS 負責當策略參數發生改變時,實時通知在線的網關產品更新策略。從而確保所有的網關都能夠獲得最新的策略參數變化情況。

4.5.2.7. 完善的 VPN 網絡集中管理功能

XXX 食品網絡上運行有 OA ERP 等業務數據傳輸系統,系統中的數據直接關系到 XXX 的商業秘密和經濟利益,具有較高的安全性要求,因此對接入 VPN 網絡的部門及個人必須進行集中嚴格的身份認證,控制非授權人員進入企業內部網絡,對業務系統的安全運行造成威脅;其次,多數大型企業的業務數據具有比較強的實時性要求,一旦某個分公司的 VPN 網絡發生故障,業務數據不能及時上傳,就可能對企業用戶造成時間或經濟上的損失,從而直接影響公司的聲譽形象和經濟利益,所以需要對整個 VPN 網絡的運行情況進行集中監控和遠程管理,及時發現網絡故障并排除,保證業務系統的順利運行;同時,對于分支機構、營業網點遍布全國的大型企業來講,其業務網絡系統具有分布地域廣泛、接入網點較多、網絡結構復雜等特點,如果全部的管理工作都集中在公司總部完成,必然會給總部的網絡管理人員帶來繁重的日常維護管理工作,降低對接入、連通需求的反映速度,因此對 VPN 網絡的管理在統一認證、集中監控的前提下,還應該充分發揮各個分公司網絡管理人員的作用,將日常的管理維護工作分級化,提高整個網絡的運行效率。

綜合以上分析的企業 VPN 網絡管理需求,聯想網御 VPN 系列產品采用了 “統一認證、集中監控、分級管理” VPN 網絡管理方案:

統一認證: 聯想網御 VPN 全系列產品(包括網關和軟件包)均支持目前最安全的身份認證方式——數字電子證書認證,采用 1024bits 密鑰的 RSA 算法進行數字證書簽名,數字證書的發放、認證過程由“網御安全管理中心( SMC )”軟件完成;在企業的總部部署“網御安全管理中心”,負責對全國 VPN 網絡的入網設備發放數字證書,只有擁有合法數字證書并通過中心 SMC 認證的網關或安全包才能接入企業的 VPN 網絡。

集中監控: 通過“聯想網御安全管理中心( SMC )”軟件,可以對整個 VPN 網絡中部署的網御 VPN 產品(包括網關和軟件包)完成實時在線狀態監控,可以及時、清楚的獲取當前在線 VPN 設備的各種狀態參數;同時網御 VPN 網關產品均具有安全的遠程管理的功能,無論該設備以何種方式接入企業虛擬網,都可以對其進行遠程配置,因此當通過狀態查看發現某個網關設備工作不正常時,中心管理員可以及時遠程修改該設備的各種配置參數,以保證整個 VPN 系統的運轉正常。

分級管理: 通過“證書托管中心( CMC )”和“安全管理控制臺”等軟件,分公司的網絡管理員可以在總部中心授權的前提下,負責對其所管轄的企業部門進行 VPN 隧道信息配置;在這種管理模式下,大大減輕了總部網絡管理人員的工作強度,提高整個 VPN 網絡的可伸縮性。

4.5.2.8. 支持動態帶寬管理功能

VPN 網關設備作為企業內部網絡與因特網的互聯設備,通常需要完成兩個主要功能:

代理內部網絡用戶訪問因特網;

隧道封裝內部網絡用戶訪問遠端企業內部網主機的數據流。

因此合理分配有限的因特網接入帶寬資源,確保企業內部的業務數據流快速實時地進行傳輸是 VPN 網關設備必不可少的一項功能。

聯想網御 VPN 網關系列產品均提供精確的動態帶寬管理功能。其可根據因特網接入的總帶寬,定量的控制因特網瀏覽和企業 VPN 數據流所占用的帶寬比例;而且可以對上述兩種類型的數據流進行更為細致的劃分,例如:可以控制 VPN 數據流中流向總部與流向下屬分公司的數據所占用的帶寬比例;另外網御 VPN 網關對帶寬控制采用了自適應的動態管理策略,例如:當 VPN 數據流不大時,因特網瀏覽數據可以自動借用剩余的 VPN 數據帶寬,動 VPN 數據流加大時,因特網瀏覽數據又會自動讓出占用的 VPN 數據帶寬,從而即可以確保 VPN 數據的通訊質量,又不會造成不必要的帶寬資源浪費。

4.5.2.9. 提供豐富的冗余備份方案

聯想網御 VPN 網關提供兩種冗余備份解決方案,為保證企業 VPN 網絡的穩定性提供了強有力的工具。具體方案如下:

雙機單線路主從備份


雙機單線路主從備份

在這種方案中,正常情況下僅有工作機進行工作,備份機處于熱等待狀態,并使用心跳信號實時偵聽工作機的運轉狀態;當工作機出現故障時,備份機自動接替工作機的工作,完成 VPN隧道的加解密和數據隧道封裝工作;當工作機恢復正常后,備份重新進入熱等待狀態。

雙機雙線路鏡像備份



雙機雙線路鏡像備份

在這種方案中兩臺 VPN 設備均為工作狀態,而且各種配置信息完全自動鏡像,數據流選擇主線路還是備份線路是由路由器的 HSRP 備份協議自動協商完成的。

4.5.2.10. 提供功能強大的 VPN 軟件包

作為完整的企業 VPN 解決方案,提供支持移動辦公用戶遠程訪問 VPN 系統的客戶端軟件包是必不可少的。

聯想網御 VPN 軟件包不但提供完整的 IPSec 協議實現,支持移動用戶的 VPN 接入需求,而且內置完善的軟件防火墻功能、支持 PP PoE 撥號協議、支持動態 VPN 策略下載、支持開機自動建立隧道、支持同時激活多條 VPN 隧道、支持內部主機共享上網連接和 VPN 隧道等強大的安全功能,所以其可以作為軟件 VPN 網關安裝在企業局域網的代理服務器上,作為硬件網關的備份或補充。

4.5.2.11. 提供易用的管理配置界面

聯想網御 VPN 網關提供基于串口超級終端和遠程 telnet 兩種登錄管理方式,管理員可以使用命令行的方式對設備進行配置;同時提供基于 windows GUI 管理控制界面,管理員可以不用記憶復雜的配置命令,而僅通過點擊鼠標就可完成全部配置工作。另外,由于聯想網御 VPN 設備支持從安全策略服務器自動進行策略下載的集中管理配置工作模式,所以對于分支網關的安裝人員來講只需要配置網關的網絡地址信息和中心策略服務器的地址信息,就完成了全部配置工作。如果在分支網關安裝之前,由中心的管理人員將這兩項信息預先配置完成,則分支網關的安裝過程可以做到真正的“零配置”。

4.5.2.12. 提供豐富的 VPN 網關附加功能

聯想網御 VPN 網關不僅能夠提供組建企業 VPN 網絡的基本功能,而且作為網關設備具有許多對用戶十分實用的附加功能,真正做到一機多能,節省用戶投資。具體功能包括:

l   內置 DHCP 服務器和客戶端;

l   內置遠程撥號服務器功能;

l   支持靜態路由協議;

l   支持 RIP OSPF 動態路由協議;

l   支持內部多子網劃分;

l   支持遠程網絡鄰居互訪(與 WINS 服務器配合)。

4.5.2.13. 快速便捷的 VPN 客戶端

聯想網御 VPN 客戶端是聯想完全自主版權的 IPSec VPN 軟件產品。它既可以完成移動用戶遠程接入企業 VPN 的客戶端軟件功能,也可以安裝在企業內部局域網的代理服務器上,作為軟件網關完成和聯想網御 VPN 安全網關基本相同的功能,同時還可以安裝在企業內部高安全級別的服務器主機上,完成對服務器的高級訪問控制。

聯想網御 VPN 客戶端既可以與聯想網御 VPN 安全網關配套使用,也可以在多個 VPN 客戶端之間建立安全隧道,構成虛擬專網,從而實現客戶端—客戶端、客戶端—網關(硬件 / 軟件)、網關(硬件 / 軟件)—網關(硬件 / 軟件)之間的信息安全傳輸。

聯想網御 VPN 客戶端的運行對用戶表現為全透明,即:用戶的應用系統無需作任何適應性調整,其網絡配置也不必作任何改動。

軟件支持平臺:   MicrosoftWindows 2000/XP/Vista

主要功能性能指標:

l   支持 10個并發 VPN隧道;

l   支持 IPSec ESP AH 的隧道模式封裝和傳輸模式封裝;

l   支持主模式、野蠻模式認證方式;

l   支持 DES 3DES AES 等加密算法和 MD5 SHA1 摘要算法;

l   支持 DH1 DH2 DH5

l   支持 RSA1024 非對稱加密算法;

l   支持預共享密鑰、數字證書的身份認證;

l   支持 IKE 自動密鑰協商協議;

l   支持 NAT 穿越;

l   支持國密辦專用算法(通過選配加密卡支持);

l   支持完美向前保護( PFS );

l   支持數據通信中的壓縮;

l   支持擴展認證;

l   支持 DHCP over IPSec

l   支持電子鑰匙( USBkey ),能夠保存認證數據與策略;

l   支持開機自動建立隧道,便于無人值守業務的數據傳輸。

4.5.2.14. 完善的 集中管理平臺

聯想網御集中管理平臺 Leadsec-DM(SA)-X 是一套用于對整個企業 VPN 網絡進行集中統一管理的軟件系統。它由兩個相對獨立的子系統組成:安全策略服務器( SPS )和中心管理器( SMCManager ),子系統可分別安裝在不同的主機上,它 們之間通過安全的網絡通訊機制進行數據交換; SPS 是一個基于數據庫的后臺服務程序,可運行在 Windows 2000 Linux 系統平臺上,主要完成:

存儲并同步整個企業 VPN 網絡中所部署的聯想網御 VPN 設備狀態信息;

存儲并下發預先制定的全局 VPN 安全策略;

SMC 管理器是基于 Windows 的圖形界面程序,它主要完成瀏覽、配置 SPS 所維護的 VPN 設備信息和 VPN 安全策略信息。

對任何一個網御 VPN 產品節點,必須導入一個合法的數字證書,才能和其它 VPN 節點進行基于電子證書的雙向身份認證,進而協商建立安全加密隧道。采用網御 VPN 安全管理中心來自行生成、發放和管理企業自身的證書庫。

軟件支持平臺: Microsoft Windows 2000/2003

GUI 界面示例:


4.5.2.15. 基于應用的內容識別控制

聯想網御 VPN 擁有目前最完善的應用識別特征庫,通過智能分析技術,將 P2P IM 、炒股軟件和在線游戲等協議的應用行為、加密方式、處理動作等特點整理成庫。當流量經過 VPN 網關時, VPN 網關啟動過濾引擎,對流量進行特征值的匹配。當過濾引擎搜索到與之匹配的特征碼時, VPN 網關即可應用智能識別技術進行細粒度控制或一鍵封鎖。

如何快速而準確地識別各種上網行為,是決定 VPN 網關性能的關鍵因素。聯想網御 VPN 網關從如下幾個方面保障內容識別的高速與準確。

u   智能匹配技術

在特征庫上的設置上, VPN 網關按照所有上網行為的特點進行了分類,并對 P2P IM 、炒股以及在線游戲等上網行為設置了不同的特征庫。當數據包到達 VPN 網關時, VPN 網關首先根據用戶定制策略將其分配到其對應的特征庫管道,如 P2P 下載行為的流量被輸送到 P2P 特征庫管道,即時通訊的流量則被輸送到 IM 特征庫管道。流量被分發到相應的特征庫管道以后,再由相應的搜索引擎對流量進行掃描。這樣既大大減少了搜索引擎檢索的時間,又提高了過濾引擎的性能。

u   多線程掃描技術

聯想網御 VPN 網關采用多線程掃描技術,提高了引擎掃描的效率。比如當 BT 數據流和 MSN 數據流同時進入 VPN 網關時, VPN 網關內容搜索引擎不是在檢索完 BT 數據流以后再去檢索 MSN 數據流,而是可以同時啟動 BT 搜索引擎和 MSN 搜索引擎。兩個搜索引擎同時工作而互不影響。這種多線程處理機制同樣適用于 2 種以上不同類型的數據流同時經過 VPN 網關的情況,快速提升了搜索引擎的工作效率。

4.5.3. 部署示意圖


4.6. 網絡行為管理

4.6.1. 范圍和對象

通過網絡行為管理系統規避互聯網使用風險。

4.6.2. 方式和方法

4.6.2.1. 概述

應該說互聯網的廣泛應用和迅速發展給我們帶來了挑戰,管理得好可以維護社會穩定,提高企事業單位的工作和生產效率,反之則可能激化社會矛盾,影響正常工作次序。公安部據此頒布第 82號令《互聯網安全保護技術措施規定》,要求所有互聯網聯網單位或服務提供者需要部署保障互聯網網絡安全和信息安全、防范違法犯罪的技術設施和技術方法,從而保障互聯網網絡安全和信息安全,促進互聯網健康、有序發展,維護國家安全、社會秩序和公共利益等。

作為國內“網絡行為管理”產品最早的研發單位之一,上海新網程信息技術有限公司一直致力于各種上網行為管理、監控技術的研究。推出的“網絡督察”系列產品就是為了滿足管理部門對各種網絡行為的管理和監控的需要,完全符合公安部 82號令對管理的要求。目前“網絡督察”已廣泛地在政府機關、醫療單位、企事業單位、酒店賓館、學校等投入使用,該產品以靈活而又貼近用戶的設計理念深受企事業單位的喜愛。

4.6.2.2. 功能


l   用戶管理

系統支持以 IP 地址、 MAC 地址、驗證帳號等為參照的用戶管理模式,并可對用戶分組多層管理。對不同人員可以設置免監控、不監控郵件內容等不同的監控級別。


l   實時監控

可以通過瀏覽器實時查看用戶當前的上網情況,包括其訪問的 IP 地址、網址、服務類型、流量等等,了解網絡目前應用狀況,及時進行控制和調整,保障網絡正常運行。


l   日志記錄

詳細記錄用戶的上網的各類日志,包括 HTTP SMTP POP3 Telnet FTP QQ MSN 、游戲等數十種日志,同時記錄了訪問時間、 IP 地址、 MAC 地址、流量等重要信息,日志可以按照要求保留 90 天以上并可組合查詢。


l   訪問控制

提供完整的訪問控制管理策略,可靈活地按用戶角色或者分組對用戶上網行為進行控制,可以根據時間段、服務、網址、流量等手段進行控制,可以封堵常用的聊天軟件、抄股軟件等服務。并提供百萬級的有害信息過濾網址庫防堵不良網站。



發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富