第1章信息安全解决方案设计在第2章里,我们分别从网络、应用、终端及管理四个方面对公司的信息系统安全建设进行了风险及需求的分析。同时根据第3章的安全方案设计原则,我们将公司网络安全建设分为以下几个方面进行了详细的方案设计:边界安全解决方案;内网安全解决方案;应用安全解决方案;安全管理解决方案;安全服务解决方案。下面我们分别针对这5个安全解决方案进行详细的描述。1.1边界安全解决方案在第2章的网络安全风险及需求分析中,我们主要从外部网络连接及内部网络运行之间进行了风险的分析。边界安全解决方案就是针对与外部网络连接处的安全方面。网络是用户业务和数据通信的纽带、桥梁,网络的主要功能就是为用户业务和数据通信提供可靠的、满足传输服务质量的传输通道。就公司网络系统来讲,网络边界安全负责保护和检测进出网络流量;另一方面,对网络中一些重要的子系统,其边界安全考虑的是进出系统网络流量的保护和控制。针对公司网络系统,来自外部互联网的非安全行为和因素包括:未经授权的网络访问身份(网络地址)欺骗黑客攻击病毒感染针对以上的风险分析及需求的总结,我们建议在网络边界处设置防火墙系统、安全网关及远程访问系统等来完善公司的边界网络安全保护。1.1.1防火墙系统为在公司网络与外界网络连接处保障安全,我们建议配置防火墙系统。将防火墙放置在网络联结处,这样可以通过以下方式保护网络:为防火墙配置适当的网络访问规则,可以防止来自外部网络对内网的未经授权访问;防止源地址欺骗,使得外部黑客不可能将自身伪装成系统内部人员,而对网络发起攻击;通过对网络流量的流量模式进行整型和服务质量保证措施,保证网络应用的可用性和可靠性;可以根据时间定义防火墙的安全规则,满足网络在不同时间有不同安全需求的现实需要;提供用户认证机制,使网络访问规则和用户直接联系起来,安全更为有效和针对性;对网络攻击进行检测,与防火墙内置的IDS功能共同组建一个多级网络检测体系。目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷,状态检测防火墙具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网络性能,同时具有广泛的适应能力。在不损失网络性能的同时,能够实现网络安全策略的准确制定与执行,同时有效地抵御来自非可信任网络的攻击,并具有对防火墙系统安全性能的诊断功能。其内置的入侵检测系统,可以自动识别黑客的入侵,并对其采取确切的响应措施,有效保护网络的安全,同时使防火墙系统具备无可匹敌的安全稳定性。我们可以根据业务模式及具体网络结构方式,不仅仅在内部网络与外部网络之间,同时在内部网络与内部网络之间和各子业务系统之间,考虑采用防火墙设备进行逻辑隔离,控制来自内外网络的用户对重要业务系统的访问。1.1.1.1防火墙技术部署说明(根据具体的网络情况描述)1.1.1.2产品选型及功能介绍(根据具体产品描述)1.1.2安全网关由于考虑到公司与互联网(Internet)进行连接,所以我们建议在系统网络与Internet接入处配置“安全网关”,部署位置灵活,可放置在接入路由器与防火墙之间,也可部署在防火墙与内部网络之间。随着互联网的飞速发展和应用,计算机病毒已将互联网作为其一种主要的传播途径。其中利用电子邮件传播病毒是最直接的方式,统计显示邮件传播方式占全部病毒传播的90%以上。在过去一段时间内所发生的几起影响较大的计算机病毒事件中,以Internet为主要传播途径的病毒占大多数,如Nimda、CodeRed等,以及近几年爆发的Sobig.F、Swen、冲击波、振荡波等等。同时,由于病毒的泛滥,垃圾邮件也越来越成为大家头痛的问题。根据国际领导的市场调查机构RadicatiGroup统计,目前所有的邮件中,超过50%是垃圾邮件,也就是说每天在国际上有超过150亿封垃圾邮件被发送出去,使各类企业每年遭受到200亿美元以上由于劳动生产率下降及技术支出带来的损失,到2007年垃圾邮件数量将上升到惊人的2万亿封一年。经过上述风险及需求的分析,在Internet接入处对病毒、垃圾邮件及恶意代码进行控制,是实现接入安全的最佳方案。通过配置“安全网关”,我们可以实现:保证所有主要的Internet协议的安全,包括HTTP、FTP、SMTP、POP3等信息在进入内部网络前由安全网关进行查杀毒;过滤所有来自互联网的垃圾邮件;通过SMTP认证保证邮件服务器不会被黑客当作攻击别人的跳板等。1.1.2.1产品选型及功能描述安全网关的目标是在网络边界或Internet网关处提供全面的病毒防护,而该病毒防护设备是即插即用的,不需要改变任何Internet设置,并对所有应用及服务透明。通过全面阻截已知及未知病毒和防垃圾邮件功能和内容过滤功能达到针对企业网络环境的全面防护。安全网关是一款高度可配置及提供负载均衡的产品,为从中型到大型企业提供全面解决方案,并对网络流量透明。主要模块防病毒模块能够扫描最常用的6种协议,阻止未知病毒和计算机蠕虫进入公司网络防垃圾模块安全网关通过其反垃圾邮件模块检查进入公司的所有邮件。信息被扫描并且被划分成垃圾或非垃圾,在未被请求的邮件到达用户信箱之前进行阻断或修改这些信息的主题内容过滤模块网页过滤模块允许管理员限制因特网访问。可以定义不受欢迎内容目录,授权和非授权网页。允许管理员控制公司网络资源,并且阻断非法,黄色或暴力网站内容,或只是不受欢迎内容进入公司。可以建立VIP用户列表,这些用户不需应用上述限制主要特点:易于使用:安全网关是目前世面上最易于安装及使用的硬件网关产品,作为网络信息传递的桥梁而非需要重新路由网络流量。安全:安全网关扫描6种网络协议,而其他硬件网关产品仅能够扫描2到4种网络协议。在安全网关安装在企业边界上时,它实时扫描所有收入及发出邮件及其他的网络传输信息,并且具有防垃圾邮件功能和内容过滤功能表现性能:安全网关的最大性能是可以取得完全扫描及病毒防护。安全网关的硬件及软件性能经过特殊优化处理,能够同时扫描6种网络协议,并且完全对企业网络透明。扩展性:安全网关专门针对自动负载均衡设计,使增加扫描的速度及增加网络防护可以随时达到。并可支持到百兆。功能及优势:性能高度优化的病毒防护整合最新硬件及软件技术,提供超乎寻常的优异性能,能够在一个小时内扫描上万封邮件,完全对企业网络透明。性能高度优化的垃圾邮件防护整合最新硬件及软件技术,提供超乎寻常的优异性能,能够在一个小时内扫描上万封邮件,完全对企业网络透明。拓展性及负载均衡由于安全网关的高度可拓展性,安全网关适合中到大型企业,能够根据网络通讯流量调节扫描能力。负载均衡是完全自动的,允许工作负载量能够自动在不同工作单元间进行均衡,良好地保障了产品的可拓展性及对企业边界的全面防护。易于安装及配置按照即插即用的设计思路,能够非常简便地安装在企业网络中,不需要重新配置或重新路由Internet流量。一旦安装完成,就开始不知疲倦地扫描所有网络流量,保障网络的100%安全。保护所有广泛使用的网络协议保护所有可能的Internet相关威胁,完全扫描所有常用Internet协议,包括:HTTP,FTP,SMTP,POP3,IMAP,NNTP.内容过滤内容过滤防止未知病毒及蠕虫进入企业网络,大幅减少整体网络资源占用及带宽,防止可能的恶意代码进入到企业网络。远程管理可以通过一个简洁、启发式的WEB管理控制台远程管理,让企业网络管理员通过企业内部任何一台电脑管理该产品。每日自动病毒更新可以每日自动病毒更新,意味着安全网关始终可以防护所有最新病毒。详细报告及可客户化的报警安全网关提供完整的扫描报告,并可以客户化在企业内部网络的病毒报警机制。实时系统监控安全网关提供网络管理员对网络病毒行为及网络流量的实时监控。1.1.3远程访问安全根据前面的风险及需求分析可知,公司在通过Internet互连及远程访问方面,主要存在着以下两种类型:公司总部与分支机构之间的远程访问及互连;公司与合作伙伴之间的远程访问及互连。在总部与分支之间的互连,一般要求将分支机构的网络接入到总部网络。而与合作伙伴的互连一般情况下合作伙伴访问企业固定的某些应用系统。同时,远程应用中还存在着一种情况,即用户出差或移动状态中需要在远程访问安全方面,我们分别针对这两类应用类型设计了相应的VPN远程访问系统。1.1.3.1分支与总部的连接目前,由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。如在企业分部与企业总部之间,及企业员工与企业核心数据之间,都可建立起端到端的逻辑隧道(Tunnel),所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理,从而能与同一物理链路中其它数据区别开来,避免被不法用户所窃取,只有在隧道的始末两端才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如Internet)传递业务数据时,这项技术尤为必要。现在大多数远程安全访问解决方案是采用IPSecVPN方式,应用最广泛的组网结构是在站点到站点的VPN组网方式。IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后,就可以实现各种类型的一对多的连接,如Web、电子邮件、文件传输、VoIP等连接。并且,每个传输必然对应到VPN网关之后的相关服务器上。在设计上,IPSecVPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。IPSecVPN的诱人之处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。1.1.3.2应用系统的远程访问信息技术发展到现在,Web成为标准平台已势不可挡,越来越多的企业开始将ERP、CRM、SCM移植到Web上。SSLVPN将是Web应用热潮的直接受益者,它被认为是实现远程安全访问Web应用的最佳手段。很多情况下,如采用SSLVPN的能够就是降低成本。虽然购买软件或硬件的费用不一定便宜,但部署SSLVPN很便宜。安装了这类软件或硬件,使用者基本上就不需要IT部门的支持了,只要从其PC机上的浏览器向公司网注册即可。SSL连接也更稳定,据Infonetics最近发表的报告表明,SSL将不断获得吸引力。到2006年,74%的移动员工将依赖VPN(比2004年增加15%),预计增长率主要来自SSL,这种IPSec以外的方案避开了部署及管理必要客户软件的复杂性和人力需求。最终用户避免了携带电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足用户对移动连接的需求。用户通过与因特网连接的任何设备实现连接,并借助于SSL隧道获得安全访问。虽然这需要在企业防火墙后面增添硬件,但企业只要管理一种设备,不必维护、升级及配置客户软件。SSLVPN将远程安全接入延伸到IPSecVPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSLVPN正在成为远程接入的事实标准。SSLVPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSLVPN通信运行在TCP/UDP协议上,具有穿越防火墙的能力。这种能力使SSLVPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSecVPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。鉴于IPSec客户机存在的问题,IPSecVPN实际上只适用于易于管理的或者位置固定的设备。SSLVPN是基于应用的VPN,基于应用层上的连接意味着(和IPSecVPN比较),SSLVPN更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSecVPN难以做到的)。IPSecVPN和SSLVPN将在网