搜索
运筹帷幄,持续安全xxx项目安全方案网神信息技术(北京)股份有限公司2015年4月目录一、背景.........................................................3二、目标.........................................................3三、安全现状分析.................................................4四、整体安全需求分析.............................................4整体安全需求分析.........................................51.网络边界的访问控制需求(防火墙).........................52.内网安全接入需求(SSLVPN).............................63.防病毒需求(终端病毒预警管理系统).......................64.Web应用防护(Web应用防火墙)............................7五、安全解决方案设计.............................................81.概述.....................................................82.边界安全解决方案.........................................83.安全接入解决方案........................................104.防病毒系统方案..........................................115.Web应用防火墙系统部署方案...............................12一、背景计算机资源的共享性和通信网络的开放性是信息系统的重要特征,而信息系统的开放性和信息的安全性是一对矛盾,如何保证合法用户对系统资源的合法访问,以及如何保障业务信息系统安全稳定运行,成为计算机网络信息安全必须解决的首要任务和重大课题。为了满足xxxx对网络安全建设的需要,保障信息化基础设施安全、稳定运行,为xxxx办公、对外交流提供良好、健康的网络环境,提供安全防御的整体解决方案。二、目标根据xxxx网络项目的需求,本方案应在技术上具有先进性,在设备选型方面具有适当的超前性和较强的可扩充性,保证系统在3-5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性能价格比,系统应充分利用现有的通讯方式,实现最有效的信息沟通,采用开放式和具有可扩展性的结构方案,保证系统的不断扩充。本安全整体解决方案是我们在了解并分析了xxxxx网络项目的网络结构和应用的基础之上,提出的切实可行的解决方案。xxxx的网络安全防御体系构成,整体的安全体系设计在全网安全规划的基础上,需要达到以下项目目标:保障xxx的网络能够抵御来自外部的网络攻击;能够提供安全的内网接入方式;能够保障xxxx的网站安全稳定运行,不被非法篡改;保障个人终端和服务器的安全,能够抵御各种已知和未知的病毒、木马、蠕虫等的攻击;三、安全现状分析内网缺少访问控制手段整个网络对于服务器无访问控制措施,无法开展合理的访问控制策略。单位迫切的需要控制接入者对内部网络的访问权限;单位内部网络接入层采用开放式的网络架构,随着IT技术的快速发展,各种网络应用的日益增多,病毒、木马、蠕虫以及黑客等等不断威胁并入侵单位内部网络资源,使得单位网络的安全边界迅速缩小,开放的内部网络访问已经严重影响到单位IT基础设施的稳定运行和数据安全,而且内部终端的管理不到位,不能进行标准化、统一化的运维管控,因此需要构建新一代的内部网络安全防御和管理体系,从准入控制、运维管理、审计三位一体去进行严格管理和控制。门户网站易受攻击传统的边界安全设备,如防火墙,作为整体安全策略中不可缺少的重要模块,局限于自身的产品定位和防护深度,不能有效地提供针对Web应用攻击完善的防御能力。xxxx针对web应用,采用的还是防火墙只映射80端口的端口隔离手段,无法应对当前面临的Web应用安全问题。病毒问题内网终端和服务器缺少企业级的安全防病毒软件,不能有效抵御恶意代码的攻击。运维审计问题各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。无法记录操作人员、操作时间、操作结果等。四、整体安全需求分析整体的系统安全是可靠运行和进行安全防范的基石,整体系统的安全设计需要在统一设计的原则下,在不同的安全层次,在预防、检测和管理等各个阶段,确保业务系统持续稳定的运行,防止信息的损坏、泄露或被非法修改,并保证业务系统平台的安全。整体安全需求分析本方案作为一个完整的安全解决方案涵盖了现阶段xxxxx单位的安全需求,并结合我们的安全方案和成功经验,从而最终为用户建立一个高效、可靠的网络安全环境。通过对用户现状的理解,我们认为目前xxxxx单位存在以下安全需求,下面将对这些具体的安全需求进行进一步的分析,从而为下一步技术方案的细致设计打下良好的基础。以下从4个需求进行分析。1.网络边界的访问控制需求(防火墙)边界防护的设计是将组织的网络,根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域,不同的安全域之间形成了网络边界,通过边界保护,可以有效规避大部分网络层安全威胁,并降低系统层安全威胁对信息系统的影响。利用边界防护手段,严格规范信息系统的数据传输及应用,防范不同网络区域之间的非法访问和攻击,从而确保信息系统各个区域的有序访问。访问控制需求主要通过部署防火墙来实现。防火墙是指设置在不同网络(如可信任的组织内部网和不可信任的公共网)或网络安全域之间的一系列部件组合。防火墙通常位于不同网络或网络安全域之间信息的唯一连接处,根据组织的业务特点、行业背景、管理制度所制定的安全策略,运用包过滤、代理网关、NAT转换、IP+MAC地址绑定、防病毒、抗DDOS攻击、流量控制等技术,实现对出入网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测),控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。防火墙本身必需具有很强的抗攻击能力,以确保其自身的安全性。2.内网安全接入需求(SSLVPN)内网安全接入是为单位在互联网上创建一个专属的接入内网环境的通道,给予合法用户通过正规渠道接入内网,阻止非授权用户接入内容环境,从而保障内网业务信息系统的数据的安全访问。SSLVPN为一款安全远程接入的网络设备。它在允许远程访问的同时,还包括:对用户身份进行认证、根据管理员定义的安全策略和客户端的安全状况,对用户进行授权、检测远端用户接入设备的安全状态、保证远端用户同内部网络的通信安全、实时监控远程接入的连接。3.防病毒需求(终端病毒预警管理系统)随着计算机网络及信息化系统的建设,*xxxx集团建设了全面覆盖的网络信息化系统,成为xxxx系统办公、管理的数字中枢,促进了xxxx集团的现代化办公管理、提高了工作效率。xxxx集团办公内网现共有各类PC终端数百多台,具有客户端点数目多、分布距离远(有连接广域网病毒防范系统的要求)、内部安全性要求高等特点。从信息化系统终端安全与管理的角度出发,以终端安全为核心,以终端桌面管理为重点,提供以终端为基础的桌面安全与管理整体解决方案,具体内容包括终端安全、桌面管理、统一运维三个方面:终端安全提供针对终端安全的防护措施,为终端提供安全的上网办公环境,具体包括如下几方面内容:终端病毒与恶意代码防范终端安全性检查XP安全加固企业软件管家桌面管理终端流量管理系统自动升级终端远程协助终端硬件性能监控终端进程与服务管理终端Agent强制安装与运行终端外设管理终端小工具终端信息搜集统一运维软件分发策略下发在线用户统计安装包定制与Web安装系统可扩展能力系统容灾4.Web应用防护(Web应用防火墙)着网络与信息技术的发展,尤其是互联网的广泛普及和应用,如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现,正深刻影响人类生活、工作的方式。与此同时,信息安全的重要性也在不断提升。近年来,企业各类组织所面临的Web应用安全问题越来越复杂,各类安全威胁正在飞速增长,极大地困扰着用户,给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵和攻击、保证Web应用系统的安全和正常运行成为政府、企业等各类组织所面临的重要问题。传统的边界安全设备,如防火墙,作为整体安全策略中不可缺少的重要模块,局限于自身的产品定位和防护深度,不能有效地提供针对Web应用攻击完善的防御能力。针对Web应用攻击,必须采用专门的机制,对其进行有效检测、防护。五、安全解决方案设计1.概述根据xxxxx单位建设要求,本次安全方案设计产品网络拓扑图具体如下:2.边界安全解决方案网络出口将是攻击重要入口,因此边界防护将是本方案重点。本方案针对边界防护的设计采用防火墙产品,根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域,不同的安全域之间形成了网络边界,通过边界保护,可以有效规避大部分网络层安全威胁,并降低系统层安全威胁对信息系统的影响。利用边界防护手段,严格规范信息系统的数据传输及应用,防范不同网络区域之间的非法访问和攻击,从而确保信息系统各个区域的有序访问。如整体规划所示,我们建议将整个网络划分为两块,服务器接入区及终端接入区,在服务器区交换机与核心交换机之间部署1台防火墙,限制接入区对服务器区的访问。针对xxxx集团信息系统的具体情况,防火墙的主要实现以下几个方面功能:●访问控制防火墙实现网络边界的隔离,具有基于状态检测的包过滤功能,能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制,能够实现邮件内容过滤,支持网络地址转换等功能。●强大的抗攻击能力完全自主开发的SecOS安全协议栈,支持对常见攻击的检测和阻断,并可以实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析,如针对ICMPFlood完成过滤类型与代码、频度、包长检查,针对UDPFlood完成频度、包长检查,针对Synfloood完成频度检查。针对最常见的SynFlood攻击,设置了SYNproxy以保护内部网络和网神防火墙本身免受此类的拒绝服务攻击,提供高安全性和高可用性。●高效率由于防火墙被部署在信息系统的网络边界,因此从某种意义上讲,防火墙的工作效率就决定了信息系统的工作效率,所以采用的防火墙设备必须有较高的工作效率,确保网络原有的吞吐率、延迟等重要的指标尽量不受到防火墙的干扰。●高可靠性防火墙是网络中的重要设备,意外的宕机都会造成网络的瘫痪,因此防火墙必须是运行稳定,故障率低的系统,并且能够实现双机热备,能够实现防火墙集群技术,以保证不间断的网络服务。●日志和审计防火墙能够对重要关键资源的使用情况进行有效的监控,防火墙系统应有较强的日志处理能力和日志分析能力,能够实现日志的分级管理、自动报表、自动报警功能,同时希望支持第三方的日志软件,实现功能的定制。●高安全性作为安全设备,防火墙本身必须具有高安全性,本身没有安全漏洞,不开放服务,可以抵抗各种类型的攻击。●可扩展性系统的建设必须考虑到未来发展的需要,系统具有良好的可扩展性和良好的可升级性。●易实现性系统的安装、配置与管理尽可能的简洁,安装便捷、配置灵活、操作简单。3.安全接入解决方案安全接入网关为一款安全远程接入VPN的设备。通过在内网旁路部署该设备,可以在不影响网络结构的情况下,运行用户安全接入内网环境,同时该设备还实现了多种安全功能,包括:对用户身份进行认证。根据管理员定义的安全策略和客户端的安全状