• 为超越而起舞(名师谈艺) 2019-01-23
  • 【人事】中共临汾市委组织部公示3名拟任职干部 2019-01-22
  • 小伙收购12只鹦鹉拿网上卖 不仅被判刑还罚3万元 2019-01-22
  • 1个月广东6市针对楼市发文7次,大湾区规划将“去地产化” ——凤凰网房产北京 2019-01-16
  • 四川坚持稳中求进 提升精准落实水平 2019-01-16
  • 重庆市渝中区:创新党建引领社会治理 2019-01-15
  • 感触名家笔下的端午文化 吃香粽原来可以这样"文艺" 2019-01-14
  • Xi Menschen sind die Erschaffer der Geschichte, die wahren Helden 2018-12-25
  • Windows 10新版17692发布:游戏帧率显示加入Windows10新版17692发布-手机行情 2018-12-25
  • 安徽:跟进固体废物倾倒长江案 监督公安机关立案2件2人 2018-12-01
  • 特不靠谱先生言而无信,翻云覆雨小人,王八吃秤砣铁了心要与我朝为敌了。[福尔摩斯] 2018-12-01
  • 湖北快三走势图一定牛:XXXXX公司 网络安全建设建议方案(二)

    2014-12-17 16:29:00
    dxt001
    原创
    1653

    福建快3专家推荐 www.kwrf.net XXXXX公司 网络安全 建设建议方案(一)


    网络漏洞扫描系统就是这一技术的实现,包括了网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,最大可能的消除安全隐患。安全扫描系统具有强大的漏洞检测能力和检测效率,贴切用户需求的功能定义,灵活多样的检测方式,详尽的漏洞修补方案和友好的报表系统,为网络管理人员制定与合理安全防护策略提供依据。

    针对****公司网络的具体情况和行业特点,我们得到的安全扫描的需求包括以下几个方面:

    l  扫描技术要求

    漏洞扫描系统必须具有全面的漏洞库,应该可以检测到流行的各种网络安全漏洞隐患。要支持智能端口识别技术、模拟穿透技术等先进的扫描技术。

    l  检测报告要求

    要提供全面的检测报告,能够从技术人员和网络管理人员到行政管理人员提供全面的描述。

    l  管理升级要求

    能够进行远程的管理和扫描,能够进行自动和手动的策略升级,保证漏洞扫描设备随时拥有检测最小漏洞的能力。

    l  解决方案要求

    针对系统检测到的每一个安全漏洞,都应该提供详细的解决方案,使管理员可以非常迅速的解决问题。

    4.2.2. 网络防毒技术

    随着网络的飞速发展,单机版的防病毒软件面临着集中管理、智能更新等多方面的问题,已经不能满足当今大规模、分布式的企业级的应用环境,病毒防护也已经步入到了一个网络化、多方位防护的阶段。

    网络防病毒系统应基于策略集中管理的方式,使得移动、分布式的企业级病毒防护不再困难,而且应提供病毒定义的实时自动更新功能,所有操作都应对终端用户透明,不需用户的干预,使用户在不知不觉中将病毒拒之门外。

    Client/Server的网络系统结构中,服务器作为网络的核心,为资源共享和信息交换提供了便利条件,但同时也给病毒的传播和扩散以可乘之机。所以应重点加强对服务器进行?;?,安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力。其次,在客户端的主机也应安装单机防病毒软件,将病毒在本地清除而不致于扩散到其他主机或服务器。这样,由单机防毒到网络防毒,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。 


    网络多级病毒防范示意图

    针对****公司网络的具体情况和行业特点,我们得到的防病毒系统的需求包括以下几个方面:

    l  完整的防病毒产品要求

    防病毒产品必须具有完整的产品线,包括客户端杀毒、服务器杀毒、群件杀毒、邮件杀毒、网关杀毒等等,覆盖的操作系统包括Windows,Linux,Dos,主流UNIX等。

    l  强大的防病毒能力要求

             防病毒系统要求能识别的病毒包括操作系统病毒、执行文件病毒、宏病毒、恶意ActiveX Applet代码、压缩文件病毒、特洛伊木马程序等,能识别的病毒入口应包括软盘、光盘、INTERNET、邮件等。发现病毒后,有多种处理方法,例如自动清除、删除或隔离、加密上传。对暂时无法清除的病毒,有病毒隔离功能。对常用压缩格式文件的病毒能有效实时防护,能对多重压缩文件进行病毒防护。

    l  更新升级服务要求

    防病毒系统要求能够提供增量病毒定义码、引擎的更新升级。提供多种方式的更新升级方(登录脚本、定时、推出、拉入等方式)。能方便实现全网病毒定义码、引擎的统一更新升级。提供基于IP的管理,对于没有NT域的用户,不需要设置NT域也可以分发升级。代码更新不需要重启主机或停止相关应用程序(如DOMINO)。病毒定义码更新周期小于一周,当病毒暴发流行或其他紧急情况发生时,病毒定义码更新升级周期小于24小时??突Ф舜胍嫔陡氯远?,完全不需用户干预。

    l  软件和代码的分发安装能力要求

    防病毒系统要求能够提供多种方式的软件分发、安装方法(推、拉、批处理、脚本等)。在广域网、局域网中提供软件自动分发安装功能,提供软件自动卸载功能。软件安装卸载时可进行权限控制??突Ф巳砑ㄈ?/span>Agent等)初次安装时用户介入最少。

    l  自身安全性要求

    防病毒产品自身具有较高的病毒防范能力和安全性。防病毒产品自身应不受病毒破坏,产品内部各组件之间通信应安全稳定。

    l  分级集中管理要求

    防病毒系统要求提供集中统一的管理,要求可以管理的客户端数量不小于20000个,能够设定多级的集中管理模式,在XX省政府和各地市政府设计管理控制台。不同级别组别的用户有不同的管理视图,可以控制不同级别管理员的策略和权限,上级局的控制点可以看到、登录、接管任一下级局的控制点和代理。灵活的防病毒策略配置能力,既可以对全网配置同一策略,也能分组制定不同的防病毒策略。

    4.2.3. 建立灾备中心

    ****公司网络中有许多关键应用系统,一旦出现系统故障,其后果是灾难性的。因此,必须建立相应的备份和灾难后快速恢复机制,以保障重要业务的连续性。

    对于灾难备份的安全需求如下:

    l  确定关键业务、应用系统及关键地点

    l  确定关键业务的可容忍恢复时间及恢复程度

    l  尽量缩短业务操作和资源遭受严重性破坏的时间

    l  降低灾难恢复任务的复杂性

    l  降低直接损失

    l  建立紧急事故恢复能力

    l  利于XX省各部门协作有效的完成灾难恢复任务安全

    4.3. 应用系统的防护

    应用系统的防护包括身份认证、安全审计和集中安全管理,针对应用系统存在的安全威胁,从身份可信性、网络事件可追踪性和设备可管理性等多个方面,提供综合防护。

    4.3.1. 综合审计安全需求

    针对****公司网络,网络中各种安全设备(防火墙、IDS系统、病毒检测等)、操作系统(包括WindowsUnix)、应用服务(email,www,ftp,DNS)等都可产生大量的审计数据。这些日志数据详实地记录了系统和网络的运行事件,是安全审计的重要数据。这些日志信息对于记录、检测、分析、识别各种安全事件和威胁有非常重要的作用。但由于目前网络攻击的手段越来越多样,攻击方法越来越隐蔽,单纯依靠这些彼此孤立的日志记录和简单的局部分析已经无法满足网络安全监测的目标。

    要对各类系统产生的安全日志实现全面、有效的综合分析,就必须为安全管理员建立一个能够集中收集、管理、分析各种安全日志的安全审计管理中心,使网络管理员不用像以前那样从庞杂的日志信息中手工搜寻网络入侵的行为, 为管理员提供一个方便、高效、直观的审计平台,大大提高安全管理员的工作效率和质量,更加有效地保障网络的安全运行。

    因此,有必要建立****公司网络系统集中的日志审计平台,通过该平台,实现日志的集中审计与管理,该平台必须支持以下的功能:

    ?  网络事件的收集:

    通过本地或远程信息收集等方式收集来自网络中不同设备、系统及应用的日志及实时监视信息(系统提供对不同设备、系统、应用及服务的监视),同时将收集到的信息根据统一的信息格式进行标准化处理。

    ?  事件的处理:

    对接收到的已格式化的事件信息进行处理,首先按审计策略进行事件的过滤,然后对大量的同类事件进行归并处理,避免产生事件风暴。事件的归并能简化后续的分析及方便用户的查看。处理后的事件分别发送至智能实时检测引擎及数据库系统。同时,根据制定的响应策略对不同事件进行不同方式的并作出统一响应。

    ?  智能实时检测

    对处理后的事件进行实时的审计,根据事件的不同,系统设有多个不同的审计引擎?;?/span>AI(人工智能)技术设计的审计分析引擎的应用,使得实时审计不仅可以发现已知的入侵,更可以根据特征相似程度的分析发现未知的入侵,并作出统一响应。

    ?  事件的可视化分析

    通过对系统数据库中历史数据的分析,从不同角度(按网络设备、系统、事件类型等),按系统预设的不同模板生成分析结果,并根据用户的要求通过丰富的图表来显示分析的结果。分析涵盖了对事件的归类统计及事件的变化发展趋势。

    4.3.2. 认证授权技术

    XX省政府平台是一个跨地域、跨部门的大型综合广域网系统,有数以万计的用户能够对该平台进行访问,并且利用该平台进行数据和公文的转发,因此如何有效的对用户进行授权,如何有效鉴别正在活动用户的身份,通过认证授权,就可以很好地进行解决,同时还能够大大降低应用层安全威胁的影响,并且成为访问控制的依据。认证授权主要采取的技术有:PKI CA认证。

    PKI系统的目标就是向用户提供数字证书和规范的业务应用API接口,为各类业务应用提供网上身份认证服务,提供信息保密性、数据完整性以及收发双方的不可否认性服务。就XX省政府的网络来说,它对PKI系统的需要主要表现为:

    l  身份认证需求

    基于PKI CA技术,采用数字证书方式管理用户,使每个用户只需要拥有一个数字证书,就可以在信息网络中具有一个惟一的身份,以此建立集中的用户管理体系;

    l  集中管理需求

    LDAP目录服务技术的基础上,采用资源目录管理技术,集中管理各个应用系统的资源,并在用户管理和资源管理的基础上实现用户的授权管理;

    l  统一授权需求

    建立集中的认证授权中心,在用户访问应用系统资源时,能够集中对用户的身份进行认证,并集中控制用户的访问行为

    l  认证方式需求

    采用IC卡或USB KEY作为用户身份证明的存储介质和惟一的身份认证接口,为用户提供一种安全、可靠的认证方式,并实现单点登录,减少用户的认证操作。

    4.3.3. 集中管理技术

    ****公司网络系统属于一个大型的网络系统,网络和主机的数量都比较大。特别是在增加了多种网络安全产品之后,会给安全管理带来新的挑战。一方面需要实现网络设备和安全产品的集中管理,一方面要对整个网络的安全事件进行监控。为了减少管理上的混乱,减少单位的管理成本,实现低成本、高效率的安全管理,有必要建立全网的安全管理监控中心,用以实现上述的目的。作为全网的安全管理中心,其职能就是维护整个网络的安全性、可用性,实现****公司网络信息的机密性、可用性、完整性。其工作主要包括:制定网络安全管理和监控的流程以及策略文档;网络设备和安全产品的集中管理与配置:包括防火墙、入侵检测、防病毒等产品的集中管理、配置和软件升级,以及入侵检测漏洞库、防病毒软件病毒库的升级工作;通过实时的监控或者是通过分析设备和主机的日志,准确发现入侵行为,并对安全事件进行响应;

    ****公司网络系统对安全集中管理平台的需求为:

    l  实现集中化的安全策略管理

    根据XX省政府的网络结构和应用特点,我们认为很有必要采取自上而下方式来制定安全策略,体现出集中规划、统一控制的原则,避免人为失误导致的安全隐患,保障系统的整体安全;

    l  实现统一管理

    实现对安全产品的统一管理。使得网络的安全管理人员能在同一个界面上完成不同安全产品的配置、修改和查询,而不必面对不同的管理界面,从而有效提高管理效率。

    l  实现集中监控

    能够对****公司网络的安全事件进行集中监控。集中监控可以在一个统一的界面上直观地监视每个设备的应用情况,并对不同设备上报的时间进行分析,有效发现安全隐患和攻击行为,减少管理上的混乱,提升安全设备的信息价值。

    l  实现统一审计

    将不同安全产品的报告统一分析和处理,得出简明扼要的分析报告,使管理员从海洋般的数据中跳出来,关注最重要的问题。

    l  实现协同处理

    实现协同处理是最有效的防御方式。比如防火墙和入侵检测系统,在进行联动后,当入侵检测系统探测到网络中存在的攻击后,会及时通知防火墙,防火墙则根据入侵检测系统上报的事件,动态调整其安全策略,将攻击源头发出的数据包阻断在?;さ耐缫酝?,从根上杜绝了此类攻击事件的再次发生。

    4.4. 威胁需求汇总

    汇总前面所描述的****公司网络所面临的安全威胁和安全需求,列表如下:




    层面

    安全威胁

    安全需求

    方案建议

    物理层

    信息机房、通信线路、网络设备可能遭受的物理破坏

    重要部门的机房需要采用电磁屏蔽措施;

    重要线路采取冗余

    重要网络设备需要加强防护

    安全机房建设与管理

    各种重要业务数据存储安全

    数据需要异地备份

    建立异地灾备中心

    外来人员的物理临近攻击

    需要对系统进入人员进行控制

    加强安全管理

    网络层

    网络设备存在的安全隐患

    网络访问的合理性

    网络协议的弱点

    数据明文传输的安全隐患

    强化设备口令防护,访问控制;

    严格的访问控制;

    需要对进出网络的数据进行侦听与分析;

    数据密文传输

    防火墙

    入侵检测

    VPN

    安全访问管理规章制度

    系统层

    操作系统漏洞所造成的安全威胁

    及时发现漏洞,并进行加固

    安全扫描系统

    安全加固服务

    应用层

    病毒的威胁

    WEB应用的威胁

    数据库安全

    对业务连续性威胁

    需要建立整体病毒防护体系

    需要对WEB进行防护

    需要对数据库采取更加强硬的审计手段

    需要对全网安全状况进行统一管理

    网络防病毒体系

    WEB防护系统

    安全审计系统

     

    管理层

    没有完善的信息机房进入手续,或有但没有严格执行;

    没有完善的网络与安全人员管理制度;

    信息网络管理人员技术水平较低或安全防护意识不高;

    管理人员对其下属没有进行网络操作的严格要求;

    网络或安全设备的管理登录密码没有按照制度进行更换,或没有安全密码的管理制度;

    没有定期的对现有的操作管理人员进行安全培训;

    整个安全管理体系存在着一些问题;

    需要建立完善的机房管理制度

    需要建立完善的网络与安全人员管理制度;

    需要定期进行培训

    需要对重要的信息资产进行统一的管理

    需要建立一套完善的“业务持续性计划”,在系统受到恶意事件的干扰后,能够根据该计划迅速进行业务恢复。

    安全管理制度

    安全意识培训

    5. 方案介绍

    5.1. 安全技术总体解决方案

        参考****公司网络的网络结构、应用现状,结合****公司网络存在的风险和对安全产品的需求,本次项目建设从技术的角度,将着重从边界防护、系统加固、认证授权、集中管理四个方面进行,在****公司网络中部署防火墙、入侵检测、漏洞扫描、过滤网关、网络防病毒、身份认证、VPN、安全管理八大子系统,并通过统一的平台进行集中管理。


    5.1.1. 确定安全方案内涵

        如前所述,安全方案由防火墙子系统、入侵检测子系统、漏洞扫描子系统、过滤网关子系统、网络防病毒子系统、PKI-CA认证子系统、VPN子系统、安全管理子系统组成。通过这些子系统协调工作,有力保证****公司网络在网络层、系统层、应用层的安全;针对物理层,则建议建立物理安全策略体系,通过加强机房管理来提高对物理层面安全威胁的抵抗能力;此外,针对管理层,通过安全集中管理平台实现管理上的互动与统一,共同构成有机的安全整体,确保系统安全策略的实现。

    各子系统在****公司网络中应该履行的安全职责如下:


    防火墙子系统:用于实现网络边界的隔离与访问控制,可解决专网的部分网络安全、应用系统安全和重要服务器安全等方面的问题。

    建议在****公司局域网、网络边界处安装硬件防火墙,实现基于网络协议、网络应用、网络地址和主机地址的网关级安全防护;


    入侵检测子系统用于实时检测针对重要网络资源的网络攻击行为,可针对****公司网络内异常的访问及数据包,提出报警,以便****公司的网络管理人员采取有效的措施,防范重要的信息资产遭到破坏。同时,在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断;


    漏洞扫描子系统:漏洞扫描子系统定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态;


    过滤网关子系统: 针对****公司网络的信息发布区域,利用过滤网关的“空中抓毒”技术,与网络防病毒子系统配合,将病毒屏蔽在网络边界外;


    网络防病毒子系统:用于实时查杀各种网络病毒,可解决****公司网络遭到病毒的侵害;


    CA认证子系统:****公司网络内的合法用户进行授权,并在用户发起访问的时候进行身份认证,明确用户的权限和访问范围,确保****公司网络内合法授权的访问;


    安全管理子系统:其核心是安全管理平台系统,用于实现对****公司网络中防火墙、入侵检测系统、防病毒等软硬安全产品的集中管理和监控,从而实现安全管理过程中的集中实时状态监测,动态策略调整,综合安全审计以及恰当及时的威胁响应,充分发挥整个安全体系的整体防护效能。

    5.1.2. 安全技术方案

    当越来越多的重要应用运行于****公司网络之后,势必需要网络系统具备更高的安全性,因此我们根据对****公司网络的安全威胁分析、安全需求分析、安全策略分析的结果,建议****公司重点考虑以下安全技术方案。

    ?  ****公司局域网边界,及各个分公司局域网边界处,部署防火墙,保障总公司和各个分公司局域网之间有序、受控的访问,避免非法访问和越权访问,从而保障****公司网络整体的边界安全;

    ?  ****公司各个分公司局域网,部署网络级入侵检测子系统,实时侦听网络中的异常访问,并根据异常事件发出报警,提示****公司网络管理人员进行相应的处理。并且部署的入侵检测系统能够与防火墙系统进行联动,当入侵检测系统探测到网络中的异常访问时,会将发起访问的源地址信息发送给防火墙,防火墙接到信息后,自动生成规则,将发起异常访问的用户阻挡在网络外,从而有力地保障了****公司网络的边界安全;

    ?  ****公司网络内,通过安全脆弱性扫描子系统,定期对网络进行分析,发现网络系统存在的安全隐患,提供给****公司网络安全管理人员进行系统加固,把隐患消灭在萌牙状态;

    ?  ****公司网络内部,部署全省的防病毒系统,在??榈难≡裆?,建议从服务器防病毒、客户端防病毒、网关防病毒、以及邮件防病毒四个方面考虑,并且在总公司病毒管理中心,能够实现对****公司网络病毒防范系统统一的升级和管理;

    ?  在总公司中心部署CA认证中心,对****公司网络内用户进行授权,和证书的方法,当网内用户进行访问时,通过CA认证中心进行认证,确保****公司网络内授权和有序的访问;

    ?  ****公司网络各个分公司局域网部署安全审计系统,对****公司网内的安全设备、网络设备、操作系统、应用系统等产品和系统的日志信息进行统一收集、存储,并采用先进的智能信息处理技术对各种日志信息进行综合分析,为提高安全管理成效提供有力的技术保障;;

    ?  在部署上述各种安全产品的基础上,建立****公司安全集中管理中心,通过安全集中管理中心,制定网络安全管理和监控的流程以及策略文档;网络设备和安全产品的集中管理与配置:包括防火墙、入侵检测、防病毒等产品的集中管理、配置和软件升级,以及入侵检测漏洞库、防病毒软件病毒库的升级工作;通过实时的监控或者是通过分析设备和主机的日志,准确发现入侵行为,并对安全事件进行响应。

    5.2. 方案小结

    实施以上方案后,可以解决****公司网络的如下安全问题:

    ?  针对物理层:通过严格的机房建设与管理,避免物理层面的安全威胁。

    ?  针对网络层:在网络边界和内部引入了访问控制措施、入侵检测措施和网关过滤措施,强化边界访问的授权、受控。

    ?  针对系统层:解决了重要服务器、网络设备的安全隐患发现和解决以及管理员维护主机系统、网络系统的身份认证问题。

    ?  针对应用层:解决应用数据库的安全优化,专网内的病毒控制等问题。

    ?  针对管理层:建立网络安全管理组织,结合实际情况建立完整的一系列安全策略以及安全策略的发布、执行、审查、修订的相关流程。对****公司网络的安全策略进行统一的下发,对****公司网络的安全事件进行统一的整理和归纳,确保专网系统的整体安全。

    6. 技术解决方案

    61. 防火墙子系统设计

    6.1.1. 防火墙部署方案

    控制大型网络的安全的一种方法就是把网络化分成单独的逻辑网络域,如组织内部的网络域和外部网络域,每一个网络域由所定义的安全边界来?;?。这种边界的实施可通过在相连的两个网络之间安全网关来控制其间访问和信息流。网关要经过配置,以过滤两个区域之间的通信量和根据组织的访问控制方针来堵塞未授权访问。这种网关的一个典型应用就是通常所说的防火墙。


    ? XXXXX公司 网络安全建设建议方案(三)待续...

      文章分类
      联系我们
      联系人: 牟经理
      电话: 028-85666248
      传真: 028-85666248-8008
      Email: [email protected]
      QQ: 489323802
      微信: cddxt
      旺旺: dreamsilcon
      网址: 福建快3专家推荐
      地址: 成都市二环路西一段80号金科双楠天都2号楼1116、1117号
      购买咨询:销售咨询 技术咨询:技术咨询 阿里旺旺:点击这里给我发消息 网络发烧友:网络发烧友
    • 为超越而起舞(名师谈艺) 2019-01-23
    • 【人事】中共临汾市委组织部公示3名拟任职干部 2019-01-22
    • 小伙收购12只鹦鹉拿网上卖 不仅被判刑还罚3万元 2019-01-22
    • 1个月广东6市针对楼市发文7次,大湾区规划将“去地产化” ——凤凰网房产北京 2019-01-16
    • 四川坚持稳中求进 提升精准落实水平 2019-01-16
    • 重庆市渝中区:创新党建引领社会治理 2019-01-15
    • 感触名家笔下的端午文化 吃香粽原来可以这样"文艺" 2019-01-14
    • Xi Menschen sind die Erschaffer der Geschichte, die wahren Helden 2018-12-25
    • Windows 10新版17692发布:游戏帧率显示加入Windows10新版17692发布-手机行情 2018-12-25
    • 安徽:跟进固体废物倾倒长江案 监督公安机关立案2件2人 2018-12-01
    • 特不靠谱先生言而无信,翻云覆雨小人,王八吃秤砣铁了心要与我朝为敌了。[福尔摩斯] 2018-12-01