XXXXX公司 網絡安全建設建議方案(二)

2014-12-17 16:29:00
dxt001
原創
1541

XXXXX公司 網絡安全建設建議方案(一)


網絡漏洞掃描系統就是這一技術的實現,包括了網絡模擬攻擊,漏洞檢測,報告服務進程,提取對象信息,以及評測風險,提供安全建議和改進措施等功能,幫助用戶控制可能發生的安全事件,最大可能的消除安全隱患。安全掃描系統具有強大的漏洞檢測能力和檢測效率,貼切用戶需求的功能定義,靈活多樣的檢測方式,詳盡的漏洞修補方案和友好的報表系統,為網絡管理人員制定與合理安全防護策略提供依據。

針對 **** 公司網絡的具體情況和行業特點,我們得到的安全掃描的需求包括以下幾個方面:

l   掃描技術要求

漏洞掃描系統必須具有全面的漏洞庫,應該可以檢測到流行的各種網絡安全漏洞隱患。要支持智能端口識別技術、模擬穿透技術等先進的掃描技術。

l   檢測報告要求

要提供全面的檢測報告,能夠從技術人員和網絡管理人員到行政管理人員提供全面的描述。

l   管理升級要求

能夠進行遠程的管理和掃描,能夠進行自動和手動的策略升級,保證漏洞掃描設備隨時擁有檢測最小漏洞的能力。

l   解決方案要求

針對系統檢測到的每一個安全漏洞,都應該提供詳細的解決方案,使管理員可以非常迅速的解決問題。

4.2.2. 網絡防毒 技術

隨著網絡的飛速發展,單機版的防病毒軟件面臨著集中管理、智能更新等多方面的問題,已經不能滿足當今大規模、分布式的企業級的應用環境,病毒防護也已經步入到了一個網絡化、多方位防護的階段。

網絡防病毒系統應基于策略集中管理的方式,使得移動、分布式的企業級病毒防護不再困難,而且應提供病毒定義的實時自動更新功能,所有操作都應對終端用戶透明,不需用戶的干預,使用戶在不知不覺中將病毒拒之門外。

Client/Server 的網絡系統結構中,服務器作為網絡的核心,為資源共享和信息交換提供了便利條件,但同時也給病毒的傳播和擴散以可乘之機。所以應重點加強對服務器進行保護,安裝服務器端防病毒系統,以提供對病毒的檢測、清除、免疫和對抗能力。其次,在客戶端的主機也應安裝單機防病毒軟件,將病毒在本地清除而不致于擴散到其他主機或服務器。這樣,由單機防毒到網絡防毒,再加上防病毒制度與措施,就構成了一套完整的防病 毒體系。 


網絡多級病毒防范示意圖

針對 **** 公司網絡的具體情況和行業特點,我們得到的防病毒系統的需求包括以下幾個方面:

l   完整的防病毒產品要求

防病毒產品必須具有完整的產品線,包括客戶端殺毒、服務器殺毒、群件殺毒、郵件殺毒、網關殺毒等等,覆蓋的操作系統包括 Windows Linux Dos ,主流 UNIX 等。

l   強大的防病毒能力要求

         防病毒系統要求能識別的病毒包括操作系統病毒、執行文件病毒、宏病毒、惡意 ActiveX Applet 代碼、壓縮文件病毒、特洛伊木馬程序等,能識別的病毒入口應包括軟盤、光盤、 INTERNET 、郵件等。發現病毒后,有多種處理方法,例如自動清除、刪除或隔離、加密上傳。對暫時無法清除的病毒,有病毒隔離功能。對常用壓縮格式文件的病毒能有效實時防護,能對多重壓縮文件進行病毒防護。

l   更新升級服務要求

防病毒系統要求能夠提供增量病毒定義碼、引擎的更新升級。提供多種方式的更新升級方(登錄腳本、定時、推出、拉入等方式)。能方便實現全網病毒定義碼、引擎的統一更新升級。提供基于 IP 的管理,對于沒有 NT 域的用戶,不需要設置 NT 域也可以分發升級。代碼更新不需要重啟主機或停止相關應用程序(如 DOMINO )。病毒定義碼更新周期小于一周,當病毒暴發流行或其他緊急情況發生時,病毒定義碼更新升級周期小于 24 小時。客戶端代碼引擎升級更新全自動,完全不需用戶干預。

l   軟件和代碼的分發安裝能力要求

防病毒系統要求能夠提供多種方式的軟件分發、安裝方法(推、拉、批處理、腳本等)。在廣域網、局域網中提供軟件自動分發安裝功能,提供軟件自動卸載功能。軟件安裝卸載時可進行權限控制。客戶端軟件(如 Agent 等)初次安裝時用戶介入最少。

l   自身安全性要求

防病毒產品自身具有較高的病毒防范能力和安全性。防病毒產品自身應不受病毒破壞,產品內部各組件之間通信應安全穩定。

l   分級集中管理要求

防病毒系統要求提供集中統一的管理,要求可以管理的客戶端數量不小于 20000 個,能夠設定多級的集中管理模式,在 XX 省政府和各地市政府設計管理控制臺。不同級別組別的用戶有不同的管理視圖,可以控制不同級別管理員的策略和權限,上級局的控制點可以看到、登錄、接管任一下級局的控制點和代理。靈活的防病毒策略配置能力,既可以對全網配置同一策略,也能分組制定不同的防病毒策略。

4.2.3. 建立災備中心

**** 公司網絡中有許多關鍵應用系統,一旦出現系統故障,其后果是災難性的。因此,必須建立相應的備份和災難后快速恢復機制,以保障重要業務的連續性。

對于災難備份的安全需求如下:

l   確定關鍵業務、應用系統及關鍵地點

l   確定關鍵業務的可容忍恢復時間及恢復程度

l   盡量縮短業務操作和資源遭受嚴重性破壞的時間

l   降低災難恢復任務的復雜性

l   降低直接損失

l   建立緊急事故恢復能力

l   利于 XX 省各部門協作有效的完成災難恢復任務 安全

4.3. 應用系統的防護

應用系統的防護包括身份認證、安全審計和集中安全管理,針對應用系統存在的安全威脅,從身份可信性、網絡事件可追蹤性和設備可管理性等多個方面,提供綜合防護。

4.3.1. 綜合審計安全需求

針對 **** 公司網絡,網絡中各種安全設備(防火墻、 IDS 系統、病毒檢測等)、操作系統(包括 Windows Unix )、應用服務( email www ftp DNS )等都可產生大量的審計數據。這些日志數據詳實地記錄了系統和網絡的運行事件,是安全審計的重要數據。這些日志信息對于記錄、檢測、分析、識別各種安全事件和威脅有非常重要的作用。但由于目前網絡攻擊的手段越來越多樣,攻擊方法越來越隱蔽,單純依靠這些彼此孤立的日志記錄和簡單的局部分析已經無法滿足網絡安全監測的目標。

要對各類系統產生的安全日志實現全面、有效的綜合分析,就必須為安全管理員建立一個能夠集中收集、管理、分析各種安全日志的安全審計管理中心,使網絡管理員不用像以前那樣從龐雜的日志信息中手工搜尋網絡入侵的行為, 為管理員提供一個方便、高效、直觀的審計平臺,大大提高安全管理員的工作效率和質量,更加有效地保障網絡的安全運行。

因此,有必要建立 **** 公司網絡系統集中的日志審計平臺,通過該平臺,實現日志的集中審計與管理,該平臺必須支持以下的功能:

?   網絡事件的收集:

通過本地或遠程信息收集等方式收集來自網絡中不同設備、系統及應用的日志及實時監視信息(系統提供對不同設備、系統、應用及服務的監視),同時將收集到的信息根據統一的信息格式進行標準化處理。

?   事件的處理:

對接收到的已格式化的事件信息進行處理,首先按審計策略進行事件的過濾,然后對大量的同類事件進行歸并處理,避免產生事件風暴。事件的歸并能簡化后續的分析及方便用戶的查看。處理后的事件分別發送至智能實時檢測引擎及數據庫系統。同時,根據制定的響應策略對不同事件進行不同方式的并作出統一響應。

?   智能實時檢測

對處理后的事件進行實時的審計,根據事件的不同,系統設有多個不同的審計引擎。基于 AI (人工智能)技術設計的審計分析引擎的應用,使得實時審計不僅可以發現已知的入侵,更可以根據特征相似程度的分析發現未知的入侵,并作出統一響應。

?   事件的可視化分析

通過對系統數據庫中歷史數據的分析,從不同角度(按網絡設備、系統、事件類型等),按系統預設的不同模板生成分析結果,并根據用戶的要求通過豐富的圖表來顯示分析的結果。分析涵蓋了對事件的歸類統計及事件的變化發展趨勢。

4.3.2. 認證授權 技術

XX 省政府平臺是一個跨地域、跨部門的大型綜合廣域網系統,有數以萬計的用戶能夠對該平臺進行訪問,并且利用該平臺進行數據和公文的轉發,因此如何有效的對用戶進行授權,如何有效鑒別正在活動用戶的身份,通過認證授權,就可以很好地進行解決,同時還能夠大大降低應用層安全威脅的影響,并且成為訪問控制的依據。認證授權主要采取的技術有: PKI CA 認證。

PKI 系統的目標就是向用戶提供數字證書和規范的業務應用 API 接口,為各類業務應用提供網上身份認證服務,提供信息保密性、數據完整性以及收發雙方的不可否認性服務。就 XX 省政府的網絡來說,它對 PKI 系統的需要主要表現為:

l   身份認證需求

基于 PKICA 技術,采用數字證書方式管理用戶,使每個用戶只需要擁有一個數字證書,就可以在信息網絡中具有一個惟一的身份,以此建立集中的用戶管理體系;

l   集中管理需求

LDAP 目錄服務技術的基礎上,采用資源目錄管理技術,集中管理各個應用系統的資源,并在用戶管理和資源管理的基礎上實現用戶的授權管理;

l   統一授權需求

建立集中的認證授權中心,在用戶訪問應用系統資源時,能夠集中對用戶的身份進行認證,并集中控制用戶的訪問行為

l   認證方式需求

采用 IC 卡或 USBKEY 作為用戶身份證明的存儲介質和惟一的身份認證接口,為用戶提供一種安全、可靠的認證方式,并實現單點登錄,減少用戶的認證操作。

4.3.3. 集中管理 技術

**** 公司網絡系統屬于一個大型的網絡系統,網絡和主機的數量都比較大。特別是在增加了多種網絡安全產品之后,會給安全管理帶來新的挑戰。一方面需要實現網絡設備和安全產品的集中管理,一方面要對整個網絡的安全事件進行監控。為了減少管理上的混亂,減少單位的管理成本,實現低成本、高效率的安全管理,有必要建立全網的安全管理監控中心,用以實現上述的目的。作為全網的安全管理中心,其職能就是維護整個網絡的安全性、可用性,實現 **** 公司網絡信息的機密性、可用性、完整性。其工作主要包括:制定網絡安全管理和監控的流程以及策略文檔;網絡設備和安全產品的集中管理與配置:包括防火墻、入侵檢測、防病毒等產品的集中管理、配置和軟件升級,以及入侵檢測漏洞庫、防病毒軟件病毒庫的升級工作;通過實時的監控或者是通過分析設備和主機的日志,準確發現入侵行為,并對安全事件進行響應;

**** 公司網絡系統對安全集中管理平臺的需求為:

l   實現集中化的安全策略管理

根據 XX 省政府的網絡結構和應用特點,我們認為很有必要采取自上而下方式來制定安全策略,體現出集中規劃、統一控制的原則,避免人為失誤導致的安全隱患,保障系統的整體安全;

l   實現統一管理

實現對安全產品的統一管理。使得網絡的安全管理人員能在同一個界面上完成不同安全產品的配置、修改和查詢,而不必面對不同的管理界面,從而有效提高管理效率。

l   實現集中監控

能夠對 **** 公司網絡的安全事件進行集中監控。集中監控可以在一個統一的界面上直觀地監視每個設備的應用情況,并對不同設備上報的時間進行分析,有效發現安全隱患和攻擊行為,減少管理上的混亂,提升安全設備的信息價值。

l   實現統一審計

將不同安全產品的報告統一分析和處理,得出簡明扼要的分析報告, 使管理員從海洋般的數據中跳出來,關注最重要的問題。

l   實現協同處理

實現協同處理是最有效的防御方式。比如防火墻和入侵檢測系統,在進行聯動后,當入侵檢測系統探測到網絡中存在的攻擊后,會及時通知防火墻,防火墻則根據入侵檢測系統上報的事件,動態調整其安全策略,將攻擊源頭發出的數據包阻斷在保護的網絡以外,從根上杜絕了此類攻擊事件的再次發生。

4.4. 威脅需求匯總

匯總前面所描述的 **** 公司網絡所面臨的安全威脅和安全需求,列表如下:




層面

安全威脅

安全需求

方案建議

物理層

信息機房、通信線路、網絡設備可能遭受的物理破壞

重要部門的機房需要采用電磁屏蔽措施;

重要線路采取冗余

重要網絡設備需要加強防護

安全機房建設與管理

各種重要業務數據存儲安全

數據需要異地備份

建立異地災備中心

外來人員的物理臨近攻擊

需要對系統進入人員進行控制

加強安全管理

網絡層

網絡設備存在的安全隱患

網絡訪問的合理性

網絡協議的弱點

數據明文傳輸的安全隱患

強化設備口令防護,訪問控制;

嚴格的訪問控制;

需要對進出網絡的數據進行偵聽與分析;

數據密文傳輸

防火墻

入侵檢測

VPN

安全訪問管理規章制度

系統層

操作系統漏洞所造成的安全威脅

及時發現漏洞,并進行加固

安全掃描系統

安全加固服務

應用層

病毒的威脅

WEB 應用的威脅

數據庫安全

對業務連續性威脅

需要建立整體病毒防護體系

需要對 WEB 進行防護

需要對數據庫采取更加強硬的審計手段

需要對全網安全狀況進行統一管理

網絡防病毒體系

WEB 防護系統

安全審計系統

 

管理層

沒有完善的信息機房進入手續,或有但沒有嚴格執行;

沒有完善的網絡與安全人員管理制度;

信息網絡管理人員技術水平較低或安全防護意識不高;

管理人員對其下屬沒有進行網絡操作的嚴格要求;

網絡或安全設備的管理登錄密碼沒有按照制度進行更換,或沒有安全密碼的管理制度;

沒有定期的對現有的操作管理人員進行安全培訓;

整個安全管理體系存在著一些問題;

需要建立完善的機房管理制度

需要建立完善的網絡與安全人員管理制度;

需要定期進行培訓

需要對重要的信息資產進行統一的管理

需要建立一套完善的“業務持續性計劃”,在系統受到惡意事件的干擾后,能夠根據該計劃迅速進行業務恢復。

安全管理制度

安全意識培訓

5. 方案介紹

5.1. 安全技術總體解決 方案

    參考 **** 公司網絡的網絡結構、應用現狀,結合 **** 公司網絡存在的風險和對安全產品的需求,本次項目建設從技術的角度,將著重從邊界防護、系統加固、認證授權、集中管理四個方面進行,在 **** 公司網絡中部署防火墻、入侵檢測、漏洞掃描、過濾網關、網絡防病毒、身份認證、 VPN 、安全管理八大子系統,并通過統一的平臺進行集中管理。


5.1.1. 確定安全方案內涵

    如前所述,安全方案由防火墻子系統、入侵檢測子系統、漏洞掃描子系統、過濾網關子系統、網絡防病毒子系統、 PKI-CA 認證子系統、 VPN 子系統、安全管理子系統組成。通過這些子系統協調工作,有力保證 **** 公司網絡在網絡層、系統層、應用層的安全;針對物理層,則建議建立物理安全策略體系,通過加強機房管理來提高對物理層面安全威脅的抵抗能力;此外,針對管理層,通過安全集中管理平臺實現管理上的互動與統一,共同構成有機的安全整體,確保系統安全策略的實現。

各子系統在 **** 公司網絡中應該履行的安全職責如下:


防火墻子系統: 用于實現網絡邊界的隔離與訪問控制,可解決專網的部分網絡安全、應用系統安全和重要服務器安全等方面的問題。

建議在 **** 公司局域網、網絡邊界處安裝硬件防火墻,實現基于網絡協議、網絡應用、網絡地址和主機地址的網關級安全防護;


入侵檢測子系統 用于實時檢測針對重要網絡資源的網絡攻擊行為,可針對 **** 公司網絡內異常的訪問及數據包,提出報警,以便 **** 公司的網絡管理人員采取有效的措施,防范重要的信息資產遭到破壞。同時,在入侵檢測探測器與防火墻之間建立互動響應體系,當探測器檢測到攻擊行為時,向防火墻發出指令,防火墻根據入侵檢測系統上報的信息,自動生成動態規則,對發出異常訪問及數據包的源地址給予阻斷;


漏洞掃描子系統: 漏洞掃描子系統定期分析網絡系統存在的安全隱患,把隱患消滅在萌牙狀態;


過濾網關子系統:  針對 **** 公司網絡的信息發布區域,利用過濾網關的“空中抓毒”技術,與網絡防病毒子系統配合,將病毒屏蔽在網絡邊界外;


網絡防病毒子系統: 用于實時查殺各種網絡病毒,可解決 **** 公司網絡遭到病毒的侵害;


CA 認證子系統: **** 公司網絡內的合法用戶進行授權,并在用戶發起訪問的時候進行身份認證,明確用戶的權限和訪問范圍,確保 **** 公司網絡內合法授權的訪問;


安全管理子系統: 其核心是安全管理平臺系統,用于實現對 **** 公司網絡中防火墻、入侵檢測系統、防病毒等軟硬安全產品的集中管理和監控,從而實現安全管理過程中的集中實時狀態監測,動態策略調整,綜合安全審計以及恰當及時的威脅響應,充分發揮整個安全體系的整體防護效能。

5.1.2. 安全技術方案

當越來越多的重要應用運行于 **** 公司網絡之后,勢必需要網絡系統具備更高的安全性,因此我們根據對 **** 公司網絡的安全威脅分析、安全需求分析、安全策略分析的結果,建議 **** 公司重點考慮以下安全技術方案。

?   **** 公司局域網邊界,及各個分公司局域網邊界處,部署防火墻,保障總公司和各個分公司局域網之間有序、受控的訪問,避免非法訪問和越權訪問,從而保障 **** 公司網絡整體的邊界安全;

?   **** 公司各個分公司局域網,部署網絡級入侵檢測子系統,實時偵聽網絡中的異常訪問,并根據異常事件發出報警,提示 **** 公司網絡管理人員進行相應的處理。并且部署的入侵檢測系統能夠與防火墻系統進行聯動,當入侵檢測系統探測到網絡中的異常訪問時,會將發起訪問的源地址信息發送給防火墻,防火墻接到信息后,自動生成規則,將發起異常訪問的用戶阻擋在網絡外,從而有力地保障了 **** 公司網絡的邊界安全;

?   **** 公司網絡內,通過安全脆弱性掃描子系統,定期對網絡進行分析,發現網絡系統存在的安全隱患,提供給 **** 公司網絡安全管理人員進行系統加固,把隱患消滅在萌牙狀態;

?   **** 公司網絡內部,部署全省的防病毒系統,在模塊的選擇上,建議從服務器防病毒、客戶端防病毒、網關防病毒、以及郵件防病毒四個方面考慮,并且在總公司病毒管理中心,能夠實現對 **** 公司網絡病毒防范系統統一的升級和管理;

?   在總公司中心部署 CA 認證中心,對 **** 公司網絡內用戶進行授權,和證書的方法,當網內用戶進行訪問時,通過 CA 認證中心進行認證,確保 **** 公司網絡內授權和有序的訪問;

?   **** 公司網絡各個分公司局域網部署安全審計系統,對 **** 公司網內的安全設備、網絡設備、操作系統、應用系統等產品和系統的日志信息進行統一收集、存儲,并采用先進的智能信息處理技術對各種日志信息進行綜合分析,為提高安全管理成效提供有力的技術保障;;

?   在部署上述各種安全產品的基礎上,建立 **** 公司安全集中管理中心,通過安全集中管理中心,制定網絡安全管理和監控的流程以及策略文檔;網絡設備和安全產品的集中管理與配置:包括防火墻、入侵檢測、防病毒等產品的集中管理、配置和軟件升級,以及入侵檢測漏洞庫、防病毒軟件病毒庫的升級工作;通過實時的監控或者是通過分析設備和主機的日志,準確發現入侵行為,并對安全事件進行響應。

5.2. 方案小結

實施以上方案后,可以解決 **** 公司網絡的如下安全問題:

?   針對物理層:通過嚴格的機房建設與管理,避免物理層面的安全威脅。

?   針對網絡層:在網絡邊界和內部引入了訪問控制措施、入侵檢測措施和網關過濾措施,強化邊界訪問的授權、受控。

?   針對系統層:解決了重要服務器、網絡設備的安全隱患發現和解決以及管理員維護主機系統、網絡系統的身份認證問題。

?   針對應用層:解決應用數據庫的安全優化,專網內的病毒控制等問題。

?   針對管理層:建立網絡安全管理組織,結合實際情況建立完整的一系列安全策略以及安全策略的發布、執行、審查、修訂的相關流程。對 **** 公司網絡的安全策略進行統一的下發,對 **** 公司網絡的安全事件進行統一的整理和歸納,確保專網系統的整體安全。

6. 技術解決方案

61. 防火墻子系統設計

6.1.1. 防火墻部署方案

控制大型網絡的安全的一種方法就是把網絡化分成單獨的邏輯網絡域,如組織內部的網絡域和外部網絡域,每一個網絡域由所定義的安全邊界來保護。這種邊界的實施可通過在相連的兩個網絡之間安全網關來控制其間訪問和信息流。網關要經過配置,以過濾兩個區域之間的通信量和根據組織的訪問控制方針來堵塞未授權訪問。這種網關的一個典型應用就是通常所說的防火墻。


?   XXXXX公司 網絡安全建設建議方案(三)待續 ...

發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富