XXXXX公司 網絡安全建設建議方案(六)

2014-12-26 12:28:00
dxt001
原創
2777
摘要:多年以來,點線通一直秉承的是顧問式銷售模式,從不采用抄襲方案,所有方案均由公司資深售前工程師或網絡架構師與用戶溝通后進行設計和編寫。歡迎來電咨詢,獲取專業建議和為您定制的方案。

接《XXXXX公司 網絡安全建設建議方案(五)》



l CopSap 的計算機硬件認證機制。 CopSap 身份認證的特點之一在于對認證主體計算機設備信息的認證。 CopSap 在認證過程中利用客戶端代理實時獲取用戶的計算機硬件信息,并進行與服務器同步的隨機化處理,然后通過安全通道傳到服務器認證。有了這個機制,即使在口令及 USB 遺失的情況下,也能保證其它用戶不能使用其它計算機使用該帳號成功認證。

l CopSap 認證協議的安全性高。 CopSap 采用多因子進行用戶認證,除了安全的計算機硬件認證機制外, CopSap 還采取動態口令的認證方式及基于證書的認證方式,以及基于 Diffie-Hellman 密鑰交換機制來保證整個認證過程的安全。

l CopSap 平臺的委托授權功能。 考慮到系統使用的靈活性,對于使用多主機或經常更換計算機的用戶, CopSap 具有委托授權功能,通過由主機用戶來授權從機使用相同的帳號,可以使統一帳號在多臺主機上使用。

l CopSap 的單點登錄機制。 CopSap 使用用戶屬性數據庫、客戶端專有代理、門戶網站及借鑒于 SAML SSO 協議等保證 C/S 應用及 B/S 應用的單點登錄的成功實現。 CopSap SSO 功能,可以很少,甚或不用對應用系統進行改造即可完成,同時 CopSap SSO 與身份認證及訪問控制從分結合,使得 CopSap 真正成為一個安全認證平臺。

l CopSap 具有完善的審計功能。 CopSap 平臺對用戶的認證交易有完善的記錄,方便事后的追查與跟蹤,同時 CopSap 對服務器的運行狀況有實時的統計分析,保證服務器運行穩定。

l CopSap 具有豐富的 API 接口。 CopSap 系統針對不同的應用平臺具有眾多的支持接口,詳見技術指標。

6.6. VPN 子系統

6.6.1. 部署 VPN 的意義

在經濟全球化的今天,越來越多的公司、企業開始在各地建立分支機構,開展業務,移動辦公人員也隨之劇增。在這樣的背景下,這些在家辦公或下班后繼續工作的人員和移動辦公人員,遠程辦公室,公司各分支機構 , 公司與合作伙伴、供應商 , 公司與客戶之間都可能建立連接通道以進行信息傳送。

傳統的企業網組網方案中,要進行遠地 LAN LAN 互連,除了租用 DDN 專線或幀中繼之外,并無更好的解決方法。對于移動用戶與遠端用戶而言,只能通過撥號線路進入企業各自獨立的局域網。隨著全球化的步伐加快,移動辦公人員越來越多,公司客戶關系越來越龐大,這樣的方案必然導致高昂的長途線路租用費及長途電話費。于是,虛擬專用網 VPN

Virtual Private Network )的概念與市場隨之出現。

虛擬專用網是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。虛擬專用網通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的主機都處于一個網絡之中。公共網絡仿佛是只由本網絡在獨占使用,而事實上并非如此,所以稱之虛擬專用。之所以采用虛擬專用網是因為 VPN 有以下幾方面優點:

l   降低成本

l   容易擴展

l   完全控制主動權

l   全方位的安全保護

l   高的性價比

l   使用和管理方便

l   投資保護

虛擬專用網 VPN 采用了一種稱之為隧道的技術。隧道技術的基本過程是在源內部網與公用網的接口處將內部網發送的數據 ( 可以是 ISO 七層模型中的數據鏈路層或網絡層數據 ) 作為負載封裝在一種可以在公用網上傳輸的數據格式中,在目的內部網與公用網的接口處將公用網的數據解封裝后,取出負載即源內網發送的數據向目的內網傳輸。

由于封裝與解封裝只在兩個接口處由設備按照隧道協議配置進行,內網中的其他設備將不會覺察到這一過程,對與內部網用戶來說這一切都是透明的。但提供了網絡數據在不安全公網中安全傳輸的能力。

6.6.2. 實現 VPN 的思路

在具體實現 VPN 配置的設備中,主要有專用的 VPN 設備、支持 VPN 功能的路由器、具有 VPN 功能的防火墻、 VPN 客戶軟件等。

l   專用 VPN 設備。采用專用的軟硬件實現加密、認證、訪問控制、審計等功能,科靈活配置在網絡邊界、服務器甚至計算機與網絡之間,如 IP 加密機、 VPN 加密機、 VPN 安全網關等。

l   兼容 VPN 的路由器。在路由器中內嵌 VPN 功能,實現 VPN 需求的加密、認證和包過濾等,主要配置在網絡邊界。

l   VPN 型防火墻。利用防火墻的強制訪問識別控制和安全機制,結合加密、認證、密鑰交換等技術保護內部網絡安全,使其成為一種較強的 VPN 實現方案。

由于本方案中我們可以采用在防火墻上增加 VPN 模塊的方式來實現 VPN 功能,從節約投資、部署的方便性考慮,選擇利用 VPN 型防火墻的實現方式,在下級分支機構采用 VPN 客戶軟件的方式。

針對 **** 公司應用和用戶移動辦公的特點,我們認為信息傳輸安全方案主要需要考慮以下一些問題:

(1) 身份真實性

對于基于互聯網的應用,參與公司業務的各類實體的身份真實性受到極大挑戰。各類信息盜取、身份冒充的事件層出不窮, 網銀大盜 網絡釣魚式攻擊 等事件給網上應用蒙上了陰影。用戶對于網上服務的真實身份難以確認,造成誤入非法網站的情況,結果是將個人賬戶和密碼輸入給非法網站,從而使得 網絡釣魚式攻擊 得以成功。

相反,由于使用“賬戶 + 口令”模式登陸使用網上服務,這種簡單的認證方式,使得許多黑客程序輕易得到用戶的敏感信息,從而讓非法用戶冒充合法用戶進行網上服務,造成合法用戶、企業受到損失。

(2) 數據機密性

由于 **** 公司的數據的特殊性有機密性,防止這些信息被非法竊取至關重要。

(3) 信息完整性

網上服務發給其用戶的信息以及用戶發給網上服務器的信息,在互聯網上傳輸,在此過程中,由于網絡有被黑客非法攔截的因素,信息有被改變的風險。

(4) 行為不可抵賴性

使用網上服務進行操作時,用戶的操作行為具有不可抵賴的需求。

 

6.6.3. VPN 系統的部署

l **** 公司網絡信息系統中,各級機構網絡之間的業務數據傳輸是通過租用電信部門的通信線路或者各自的光纖進行的,為了保證信息數據在傳輸過程中的安全性,建議通過建立企業 VPN 系統來為廣域網數據傳輸提供加密和認證保護,以保證在公網中傳輸的企業內部私有信息的機密性、真實性及完整性。我們在 **** 公司總部及各分公司網絡出口所推薦采用的防火墻系統擴展 VPN 模塊的方式,以保護以前的投資。

l 對于單機上網的移動辦公用戶,可以在業務工作站上安裝 VPN 客戶端軟件 VRC ,以實現與上級機構網絡之間的安全通信。

l 在總部和各分公司網絡間通過雙方的 FW/VPN 網關建立加密的網關 - 網關型的 VPN 傳輸隧道;移動辦公工作站通過 VRC 軟件建立與上級機構網絡間的端-網關型的 VPN 傳輸隧道,并通過 VPN 網關的隧道轉換功能,可方便地實現與 **** 公司全網中其他網絡節點之間的安全通信。

l VPN 功能對最終用戶是完全透明的,不影響實際的業務操作。

6.6.4. WWW 公司 VPN 的優勢

l   通過 NAT 穿越功能( NATT 支持穿越 NAT 網關建立 VPN 隧道

VPN 支持 NAT 穿越( NATT )功能,即便 VPN網關或客戶端處在 NAT環境中(即采用保留 IP地址上網),也可以建立 VPN加密通訊隧道。 VPN系統在協商過程中會根據網絡情況自動決定是否啟用 NATT功能,保證 VPN隧道的正常建立和使用。

 

l   提供多種認證方式 ,用戶可根據安全需要靈活選擇

VPN 網關提供簡單的用戶名 /口令認證、 OTP一次性口令認證 和基于 PKI體系的 CA認證等多種認證方式。

對于安全性要求不高的用戶,可以采用簡單的用戶名 /口令認證方式。

OTP 一次性口令認證是用來檢驗欲訪問 VPN網關的管理員是否為合法用戶。一次性口令認證機制極大地提高了訪問控制的安全性,有效阻止非授權用戶訪問 VPN網關。

對于安全性要求高的用戶,建議對 VPN網關和 VRC客戶端的身份認證均采用基于證書的認證。證書遵循 X.509證書體系。 VPN網關可采用兩種證書管理方式:自建 CA服務器和利用第三方 CA中心。


l   提供足夠的加密保護 強度,確保數據傳輸安全

VPN 網關支持多種加密算法,包括 各種國際主流加密算法和經國密辦認證的硬件加密卡提供的專用 128位加密算法 。本項目推薦采用 168位的 3DES加密算法,可提供足夠的加密強度。

 

l   提供隧道探測 功能,在隧道異常斷開后可自動恢復

好的 VPN具有隧道探測功能,在隧道協商過程中,不停的探測隧道狀態,并在 GUI管理器中顯示探測結果。當隧道建立成功后, VPN會每隔一定的時間間隔探測隧道狀態,在對探測沒有正常響應的情況下, VPN會停掉本方的隧道,并每隔一定的間隔試圖去重建,一旦對方 VPN或網絡恢復正常,隧道就能夠馬上自動重新建立。


l    提供隧道接力技術

為了減少在 VPN 上隧道參數的配置,各個分支機構只需要與總部建立 VPN 隧道,通過隧道接力技術就可以實現分支機構之間的互相訪問。減少網絡維護人員的工作量 雙方 / 單方動態 IP 地址支持;支持 VPN 雙方內部網段地址有重疊時的 IPSec 連接;支持透明模式下的 VPN

6.7. 安全審計子系統

6.7.1. 系統部署的意義

安全審計系統是一款綜合性的終端管理軟件產品,能對局域網內部的網絡行為進行全面監管,檢測和維護桌面系統的安全。它通過對桌面安全監管、行為監管、系統監管和安全狀態檢測,采用統一策略下發并強制策略執行的機制,實現對局域網內部桌面系統的管理和維護,從而有效地保護用戶系統安全和機密數據安全。

桌面安全監管,通過統一策略配置的主機防火墻和主機 IDS ,實現對桌面系統的網絡安全檢測和防護,當 IDS 檢測到報警后能夠與主機防火墻進行聯動,自動阻斷外部攻擊行為。

行為監管,對桌面系統上撥號行為、打印行為、外存使用行為、文件操作行為的監控(文件操作只進行監視),確保機密數據的安全,避免泄密。

系統監管,使管理員能夠輕松進行局域網的管理維護。通過系統監管模塊管理員能夠遠程查看桌面系統的詳細硬件配置信息和已經安裝的軟件;能夠很容易的進行 IP 地址管理,避免 IP 地址混亂;還可以輕松完成網絡內 Windows 系統的補丁檢測、下發和安裝。

安全狀態檢測,檢測桌面系統的病毒防護工作是否正常。

系統主要從主機安全和數據保密的角度實現對桌面系統的管理和維護,使管理員能夠輕松管理網絡內大量的計算機,及時發現并解決用戶遇到的故障,

6.7.2. 系統部署 的作用

客戶端聯網管理

 

1)、     入網檢測: 移動設備(筆記本電腦等)和新增(設備計算機等)以及便攜式存儲工具接入檢測,未經允許擅自接入的設備會給網絡帶來病毒傳播、黑客入侵等不安全因素;

2)、     筆記本帶入帶出監控: 自動發現筆記本電腦帶出網絡后進行上網等非安全的行為,在出現這些行為后,如未通過系統安檢程序的安全檢測,系統將自動阻斷這類筆記本入網;

3)、     客戶端違規聯網檢測: 檢測內部網絡(包括物理隔離和邏輯隔離網絡)用戶通過調制解調器、雙網卡、無線網卡等設備進行在線違規撥號上網、違規離線上網等行為,并可按照不同的策略進行警告或分布式阻斷。

 

客戶端安全管理

                   

1)、     客戶端防病毒軟件監控: 可監控所有防病毒廠商的防病毒軟件在客戶端的情況并以圖表的形式直觀表示,可通過此系統強行安裝防病毒軟件或升級。

2)、     客戶端補丁安裝監控: 注冊后的網絡客戶端,在本機系統中將實時運行狀態監測程序,及時將本機的補丁修補狀況上報,管理人員在 WEB平臺中可以對全網計算機終端補丁修補狀況作詳細了解。

3)、     客戶端軟件安全情況監視: 可自動發現客戶端安裝的軟件,所有相關數據入庫管理。

4)、     安全事件源遠程阻斷: 網絡客戶端出現病毒、蠕蟲攻擊等安全問題后,做到對安全事件源的實時、快速、精確定位、遠程阻斷隔離操作。

5)、     網絡薄弱環節查找: 大規模病毒(安全)事件發生后,網管人員利用本系統確定病毒黑客事件源頭,找到網絡中的薄弱環節,進而加強安全預警。

 

應用資源安全監控

 

1)、    網絡終端合法、非法進程監控: 監控網絡客戶端運行程序,合法的工作類軟件,影響工作效率的非法軟件:如 OICQMSN、股票等;還可以進行病毒、木馬等可疑程序的監控。

2)、    網絡流量統計控制: 基于主機、基于網絡兩種方式對網絡中客戶端流量、分支網絡帶寬流量進行分析,并可以進行數據包規則檢測,防止非法入侵、非法濫用網絡資源。

3)、   網絡病毒源定位、分析: 北信源在病毒源碼分析、安全事件應急處理方面有著極強的技術實力,對于病毒源定位、病毒風險分析、病毒安全等級評估等方面有著成熟的技術。 內網安全管理系統 基于進程 /服務的代理偵測技術能夠進行病毒源定位,并進行遠程封殺控制,將帶毒客戶端隔離在受保護網絡之外,實現對網絡的安全保護。

 

聯網計算機注冊登記、管理

 

內網安全管理系統提供強大的內網聯機設備注冊、管理功能,完美實現對局域網、廣域網設備資源的綜合管理。

1)、 網絡硬件設備登記注冊:將硬件設備屬性信息采集后存儲到后臺 SQLserver數據庫中,硬件屬性信息包括:硬盤容量、序列號、 CPU型號、內存大小、網卡 MAC地址、 IP地址等重要屬性信息。

2)、 網絡設備物理信息登記:登記設備的名稱、使用人(管理負責人)姓名、設備房間號、聯系方式、計算機所屬部門等,進行物理定位。

3)、 計算機硬件設備變化檢測:實時檢測硬件設備變化狀態,如內存增減、地址變更等變化信息,將信息都在系統報警中心上顯示。

4)、     級聯管理報警: 支持設備信息級聯存儲、級聯管理、報警信息級聯上報顯示,為多級管理人員提供強大的安檢功能。

 

網絡資源監控管理

 

1、     IP 地址 區域劃分管理: 對于規模較大網絡(廣域網、城域網),進行 IP區域劃分; 檢測網絡中 IP應用狀況,歸類已注冊、已使用、未使用的信息, 提供 IP地址 MAC地址綁定功能。

2、     網絡設備信息變化管理: 對局域網、廣域網網絡中設備變化狀況即時報警,統計當前在線、不在線機器數量及機器狀態。

3、     網絡終端信息監控: 對網絡終端設備屬性進行實時監控,如操作系統類型、入網時間、用戶信息等。

4、     網絡異常狀況報警: 報警網絡中設備變化、設備入網、流量異常等。


6.7.3. 系統 部署方案



標準構架(小型網絡): 一般網絡(例如 1C類地址或若干個 C類地址的局域網范圍)可使用一套本系統軟件,集中管理所屬區域內的所有設備。

級聯構架(大型網絡): 大規模的多個局域網或者跨地域廣域網(包括基于國家、省、市、縣等多級管理模式的網絡結構)可使用本系統提供的多區域集中管理構架,即一個或多個網段各擁有一套獨立內網安全管理軟件的同時,將本級所有設備信息再轉發給上級管理數據庫,使得上一級管理人員對整個網絡的設備狀況也能夠完全掌握。

 

系統運行平臺

   系統管理主機: 專用服務器或高檔 PC 服務器, Windows2000 Server SP4 )以上操作系統(安裝 IIS ), MS SQL SP3 數據庫(可以采用桌面數據庫版本)。

基本配置: P4 2.0G 以上 CPU 512 M 以上內存,硬盤 40G

建議配置: P4 2.8G 以上 CPU 1G 以上內存,硬盤 80G 以上。

 

用戶管理控制臺 :建議安裝在系統管理主機上, IE6.0(SP1) 以上版本。

6.7.4. 北信源內網安全管理的優勢


1、     客戶端不能任意卸載: 必須要特定的軟件才能卸載掉客戶端,而這種軟件只能管理員才能擁有。

2、     支持 IP/MAC地址綁定等功能

3、     流量、連接數限制: 能夠正對客戶機進行連接數或者流量的控制。通過對每個客戶機的連接數的限制,在蠕蟲病毒爆發的時候,能夠較為有效的降低蠕蟲病毒對網絡的沖擊

4、     可以和北信源網絡補丁分發管理系統集成使用。

5、     為專業網管軟件聯動兼容提供接口: 違規聯網管理系統支持對網絡資源的管理,側重于對內部網絡的管理,設計構架同網絡管理軟件有相近的地方,可以同專業的網管軟件聯動,雙方相互提供接口,增加一些用戶化的功能。

6、     同防火墻、 IDS等安全平臺聯動兼容,提供接口: 北信源 VRV內網安全管理系統為防火墻、 IDS提供安全訪問控制聯動接口,目前已成功同國內防火墻聯動,對網絡中存在違規計算機采取自動阻斷封殺措施。

7、     同防病毒系統聯動兼容,提供接口: 北信源 VRV內網安全管理系統支持對網絡中應用資源的統計,如防病毒軟件、系統應用軟件的檢測,統計網絡防病毒軟件的安裝數量,對網絡中的病毒源進行定位,通過遠程封殺方式對帶病毒計算機控制。同時還可以提供軟件分發功能。

8、     預留擴展接口(級聯、控制、統計等): 能夠依照用戶特定要求——監控系統數據接口格式規范進行數據傳遞。具備諸如軟件分發、腳本控制、補丁控制、桌面管理等二次開發擴展功能。


6.8. 全網管控方案設計

6.8.1. 綜合安全管控系統的目標

對網絡系統中的安全設備和網絡設備、應用系統和運行狀況進行全面的監測、分析、評估是保障網絡安全的重要手段。網絡安全是動態的,對已經建立的系統,如果沒有實時的、集中的、可視化審計,就不能有效 /及時的評估系統究竟是不是安全的,并及時發現安全隱患。所以安全系統需要集中的審計系統。在安全解決方案中,跨廠商產品的簡單集合往往會存在漏洞,從而威脅乘虛而入,危及安全。此外,當某種安全漏洞出現時,如果必須針對不同廠商的技術和產品先進行人工分析,然后綜合分析,提出解決方案,將降低對攻擊的反應速度,并潛在地增加成本。如果不能將在同一網絡中多個不同或者相同廠商的產品實現技術上互操作,實現集中的審計,就無法發揮有效的安全性,就無法有效管理。如果沒有實時的、集中的、可視化審計,就不能有效、及時的評估,系統究竟是不是安全的,無法及時發現安全隱患。

6.8.2. 綜合安全管控系統的作用

為用戶提供了一個分布式的集日志存儲、分析、管理等功能于一身的安全審計和管理平臺。主要應用于具有多種網絡設備及主機類型的復雜網絡環境中,通過記錄、分析網絡中的各類日志信息,并實時監視網絡中的各種設備狀態,及時、有效分析出網絡中發生的安全事件及入侵行為。并可以根據設置的策略及規則,對違規行為進行記錄、報警和阻斷。它可以與防火墻、入侵檢測系統等協調工作,記錄并分析發生在不同的協議級上的安全事件,為用戶提供一整套完整的網絡安全解決方案。不僅如此,集中網絡安全審計和管理系統還可為打擊網絡犯罪提供一種有效的信息取證依據。



 

其中,事件監控中心主要監控各網絡設備、操作系統的日志信息,以便及時發現網絡蠕蟲攻擊、非授權漏洞掃描等安全事件,采取積極主動措施進行處理。而通過漏洞評估中心可以掌握全網各系統中的安全漏洞情況,有助于各級安全管理機構及時調整安全策略。綜合分析決策支持與預警中心是平臺的核心模塊,能夠接收來自安全事件監控中心的事件,依據資產管理和漏洞評估中心進行綜合的事件協同關聯分析,并基于資產進行風險評估分析。僅僅及時檢測到安全事件是不夠的,必須做出即時的、正確的響應才能保證網絡的安全,響應管理中心為響應服務實現工具化、程序化、規范化提供了管理平臺。

6.8.2.1. 綜合安全管控系統部署方案

本方案建議考慮對未來應用系統服務器的日志進行收集、分析的工作。在網絡中心服務器的區域部署綜合安全管理平臺,管理 **** 公司 信息資產,并負責采集重要服務器以及網絡設備、安全設備的日志信息,定時進行分析,為客戶生成統計報告,和預警報告。

l   建立專門的管控中心,作為單獨的區域,由防火墻進行嚴格的訪問控制。

l   在不同安全區域設置日志服務器,在本區域內收集防火墻、路由器、交換機、 IDS 、重要服務器的日志信息。

l   在重要服務器上部署綜合安全管理平臺代理,負責本服務器的監控工作:進程、硬件資源、非法外聯等等。

l   在管控中心部署專門的設備管理控制臺(或網管軟件),所有設備統一由管控中心進行配置、監控和管理。

l   在管控中心部署漏洞掃描設備,定期對全網設備、服務器進行安全評估。

6.8.2.2. 綜合安全管理平臺綜合安全管控系統

綜合安全管理平臺是組成可信網絡架構( TNA)的核心部件。它通過對網絡中各種設備(包括路由設備、安全設備等)、安全機制、安全信息的綜合管理和分析,對現有安全資源進行有效管理和整合,從全局角度對網絡安全狀況進行分析、評估與管理,獲得全局網絡安全視圖;通過制定安全策略指導或自動完成安全設施的重新部署或響應;從而全面提高整體網絡的安全防護能力。

其中,安全事件管理、風險管理以及安全策略配置管理是網絡安全管理系統實施安全機制整合的核心。

綜合安全管理平臺的設計目標是:從根本上改變不斷增加的安全技術和安全產品所造成的信息孤立、管理困難的局面,在一個規范、統一的綜合管理平臺上有機整合各種安全技術、產品,同時使技術因素、策略因素以及人員因素能夠更加緊密地結合在一起,突出人在企業安全管理中的中心地位,充分地發揮用戶網絡中各種安全資源的作用,提高用戶的網絡安全防御體系的整體的綜合效能,獲得盡可能大的投入產出比。

具體來說,主要包括:

l   實時監控全網絡運行

l   實施統一的安全策略管理

l   有效收集、整合、分析海量的運行事件

l   快速判斷、應對網絡安全威脅

l   及時預測網絡安全趨勢

l   提高網管工作效率

 

待續《XXXXX公司 網絡安全建設建議方案(七)》


發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富