还剩17页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
企业oa办公系统设计方案天互数据
1.项目背景随着业务应用系统的不断扩展,特别是基于internet的应用日益丰富,信息安全形式趋于复杂化,威胁形式更为丰富,安全事故带来的危害及影响也越来越大目前公司已有的防护体系在防护结构和防护手段方面需要针对新情况进行重新评估和设计,以满足公司内网办公系统网络安全设计方案信息化发展的要求,为公司内网办公系统网络安全设计方案的业务应用提供全面的安全保障
2.需求分析通过对公司内网办公系统网络安全设计方案网络系统进行实地检查和分析后,目前存在的问题如下1)Server1托管着辖区内所有单位的门户__,Server2是教育资源服务器,两台服务器都需要是对外进行数据交互,从现有网络拓扑可以看出,采用目前这种部署方式使防火墙失去作用,整个网络拓扑存在很大安全隐患,需要对网络拓扑进行优化;2)网络的出口采用一台神州数码DCFW1800S-L防火墙,该设备无___功能,无法提供远程__办公功能,且该设备老化严重,在性能及可靠性等方面均无法满足公司现有网络应用,急需要更换;3)没有上网信息审计措施,不能满足国家对于__机关接入互联网的要求;4)由于黑客、木马、等网络入侵越来越隐蔽,破坏性越来越大,防火墙承担着地址转换(NAT)、网络访问控制和网络边界隔离防护等工作,再加上对网络入侵行为的鉴别需要消耗大量的性能,这将会使防火墙成为网络瓶颈同时防火墙对了来自内网的攻击__无力,因此需要部署专业的网络入侵检测系统;5)网络核心采用一台DlinkDGS1024D交换机,该交换机为非智能型交换机,不支持Vlan划分、端口镜像及网络管理功能,随着网络应用的不断扩展,该型交换机已经不能满足实际使用的需要;6)网内没有部署专业的网络版杀毒软件,无法做到统一杀毒、统一升级、统一管理,容易形成管理死角,一旦发生毒害,无法准确定位及查杀现有网络拓扑如下
3.网络安全改造方案
3.
1.建设原则网络安全建设是一个系统工程,公司内网办公系统网络安全设计方案安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的效益,坚持近期目标与远期目标相结合在进行网络系统安全方案设计、规划时,应遵循以下原则完整性网络安全建设必须保证整个防御体系的完整性一个较好的安全措施往往是多种方法适当综合的应用结果经济性根据保护对象的价值、威胁以及存在的风险,制定保护策略,使得系统的安全和投资达到均衡,避免低价值对象采用高成本的保护,反之亦然动态性随着网络脆弱性的改变和威胁攻击技术的发展,使网络安全变成了一个动态的过程,静止不变的产品根本无法适应网络安全的需要所选用的安全产品必须及时地、不断地改进和完善,及时进行技术和设备的升级换代,只有这样才能保证系统的安全性专业性攻击技术和防御技术是网络安全的一对矛盾体,两种技术从不同角度不断地对系统的安全提出了挑战,只有掌握了这两种技术才能对系统的安全有全面的认识,才能提供有效的安全技术、产品、服务,这就需要从事安全的公司拥有专业技术人才,并能__的进行技术研究、积累,从而全面、系统、深入的为用户提供服务可管理性安全管理定义为在一个包含的服务、应用程序和网络架构的IT环境中,提供高可靠性、私有性和安全集中的安全管理包括了技术实现和管理两方面标准性遵守国家标准、行业标准以及国际相关的安全标准,是构建系统安全的保障和基础可控性系统安全的任何一个环节都应有很好的可控性,他可以有效的保证系统安全在可以控制的范围,而这一点也是安全的核心这就要求对安全产品本身的安全性和产品的可客户化易用性安全措施要由人来完成,如果措施过于复杂,对人的要求过高,一般人员难以胜任,有可能降低系统的安全性对于公司内网办公系统网络安全设计方案网络安全体系的建立,我们建议采取以上的原则,先对整个网络进行整体的安全规划,然后根据实际情况建立一个从防护--检测--响应的安全防护体系,提高整个网络的安全性,保证应用系统的安全性
3.
2.部署方案综合考虑公司内网办公系统网络安全设计方案网络应用现状及需求,结合我公司的项目经验,本次方案部署如下1)优化网络拓扑,将网络划分为外网区、DMZ区、服务器区和内网区,外网区就是互联网;DMZ区为公共服务区,Server1和Server2放入该区;服务器区存放内网服务器;内网区是内网PC各区之间的数据交互由ACL(访问控制列表)进行控制;2)将神州数码DCFW1800S-L防火墙更换为捷普F3000-160,该产品配置6*10/100/1000M支持基于接口的安全级别自定义,可满足日后扩展特有的流量控制、应用软件(P2P、IM、网络视频、网友、炒股)识别控制、URL分类库,可在线和离线升级;集成有___功能,支持远程__办公;3)部署捷普网络信息安全审计系统,该设备具有审计网络风险行为、防止敏感信息外泄、监控网络异常操作、监视异常流量和完善的__报表功能,完全满足国家对于__机关接入互联网的要求;4)部署捷普网络入侵检测系统,该系统综合使用会话状态检测、应用层协议完全解析、误用检测、异常检测、内容恢复、网络审计等入侵检测与分析技术,综合虚拟引擎功能,可对包括各种网络数据进行全面监视和分析;5)将DlinkDGS1024D更换为中兴S3928,该交换机为智能三层交换机,有24个FE+4个GE接口,支持Vlan划分(最大4K个)、支持ACL、支持端口镜像及网络管理功能;6)部署瑞星网络版杀毒软件,可以做到全网统一杀毒、统一升级、统一管理网络部署拓扑如下图所示网络部署拓扑
3.
3.产品简介
3.
3.
1.捷普防火墙功能特点系统安全,全面防护√遵循安全关联协议,保障协同防护;√与IDS、信息审计等其他安全产品联动,构建立体安全保障体系;√支持多种管理方式,可完成防火墙的策略集中管理,利于企业级用户的部署和管理全面UTM,功能全面√精确识别、控制应用层协议和行为,包括P2P下载,P2P视频,IM控制,在线游戏以及炒股软件等;√WEB安全包含URL过滤和WEB防攻击功能,全面保证WEB安全;√IPS和防病毒有效阻止木马、蠕虫等攻击,FTP、__TP、POP
3、HTTP协议全支持;√邮件过滤使用户远离垃圾邮件困扰,实时黑__和关键字过滤等多种技术保障;√各个特征库实时云升级,保证小于一周的升级时长;多重冗余,安全可靠√防火墙多重管理,增强设备可靠性;√支持双ISP出口热备,保证链路备份;√多端口__,实现零成本宽带扩展;√支持会话同步、配置同步的双机热备、负载均衡,冗余而不损失安全性;扩展功能√支持网络接口扩展,主流千兆最大可扩展至32个千兆网络接口,百兆平台最大可扩展到10个网络接口,充分满足用户需求;√支持IPSec、动态路由、流量控制、上网行为管理并支持绿色上网升级服务
3.
3.
2.捷普入侵检测系统捷普入侵检测系统是一种动态网络信息安全技术,它能够发现入侵者实时攻击行为,并对其进行响应从网络信息安全防护上讲,防火墙技术给出了一个静态防护的概念,而入侵检测技术具有动态防御的意义入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、识别攻击行为、对异常行为进行统计,使系统___可以较有效地监视、审计、评估自己的系统在入侵检测系统配置中,我们对网络系统进行实时监控与阻断响应,它集成了在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统,不仅能即时监控网络资源运行状况,为网络___及时提供网络入侵预警和防范解决方案,还使得对于检查黑客入侵,变得有迹可寻,为用户采取进一步行动提供了强有力的技术支持,大大加强了对恶意黑客的威慑力量捷普入侵检测系统特性全面的入侵检测入侵检测能力取决于两个方面的技术攻击特征分析技术和入侵检测支撑技术在入侵检测的支撑技术上,技术优势体现在高速捕包、深入协议分析技术、高速树型匹配技术、防躲避处理技术以及__风暴处理技术等多个方面,有效地保证了入侵检测的准确性、有效性和高性能以入侵检测为核心的动态安全体系随着网络脆弱性的改变和威胁攻击技术的发展,使网络信息安全变成了一个动态的过程,静止不变的产品根本无法适应网络信息安全的需要同时由于单一的安全产品对安全问题的发现处理控制等能力各有优劣,因此不同安全产品之间的安全互补,可以提高系统对安全__响应的准确性和全面性,使防护体系由静态到动态,由平面到立体,不仅增强了入侵检测系统的响应能力,降低了入侵检测的误报率,充分发挥了入侵检测的作用,同时提升了防火墙的机动性和实时反应能力因此,以入侵检测系统为核心的动态防御体系,可以实现入侵检测和防火墙、入侵检测和漏洞扫描等防护系统的联动入侵检测系统可以进行针对TCP连接的阻断但是,对于网络上的错综复杂的攻击__,网络入侵检测系统的防护效果还是不够全面防火墙作为网络系统的专用的安全防护工具,其防护能力与入侵检测产品的响应能力可以相互补充所以,使用入侵检测系统与防火墙联动方式,来实现整体防护当入侵检测检测到此攻击__时,会实时的传送一个防护策略给防火墙,由防火墙来执行此策略,实现入侵阻断入侵检测系统与漏洞扫描系统的联动入侵检测在发现攻击行为的同时,发出指令通知漏洞扫描系统,对被攻击目标机或攻击源进行扫描,来确认攻击源的存在和被攻击机系统存在的漏洞,以作到主动防御同时,通过获得漏洞扫描系统的扫描结果,可动态修改入侵检测系统的检测策略,使入侵检测系统的____更加准确,提高入侵检测系统的运行效率基于入侵检测系统的应急响应通过入侵检测系统的强大功能为应急响应提供有力的技术支撑和充足的信息支持,实施应急响应来解决实际的网络信息安全问题入侵检测系统的应急响应体系的架构如下图示其中,技术包括4个方面检测发现、__分析、____、__处理,这是一个安全__的发现和处理流程具有这几项技术的支撑是具有庞大的知识库,能够进行入侵管理而应急响应体系的组织结构、处理规范、响应流程都是保证应急响应能够正常开展的管理要素异常流量分析实时监控网络流量,进行网络流量的分类分析和统计;产生例如提供点对点数据流量及流量排名的详细图表;定义流量异常的阀值,对异常流量进行实时__内容异常分析基于异常的检测技术可以发现可疑的网络行为,能够对未知的攻击方式发出预警__,是对其他方法的有利补充同时,采用“多目标跟踪锁定”功能,对用户所设定的异常__内容进行多方位的定点跟踪和显示,“凸出”用户所关心的信息行为关联分析一个真正的攻击不是一个单独的行为就可以发现,必须分析一系列的单独行为,找到其中的行为关联关系,才能更好地识别攻击,管理已发生的入侵__,处理垃圾__信息,准确描述攻击行为网络病毒分析针对当前流行的网络蠕虫和病毒进行预警,包括Nimda蠕虫、Sqlslammer蠕虫等强调实现以入侵检测为核心的安全防御体系入侵检测系统与防火墙、漏洞扫描系统、防病毒系统、网络管理系统等安全产品均可实现联动,这些联动本身就是应急响应的一个组成部分,使得以前相互__、需要在不同的时间段内完成的入侵检测和应急响应两个阶段有机地融为一体入侵管理入侵管理技术是应急响应体系的核心支撑技术入侵检测系统不仅能抓取网络中的数据流并进行分析,与__库中的入侵行为进行模式匹配,从而对入侵行为进行__,而且能够进行完备的协议分析,保证对数据流的分析是比较完整的同时,好的入侵检测系统还具有异常统计的功能,以降低误报率,提高工作效率随着入侵检测技术的发展,入侵检测系统还能够与防火墙、漏洞扫描系统__等其它安全产品进行广泛的联合,组成入侵防御系统为了提高入侵检测系统的可用性,提高对应急响应体系的支持力度,还应加强入侵检测系统的安全防范及管理功能,提高对全局入侵行为的可视管理具有良好可视化、可控性、可管理性的新一代入侵检测系统可称为入侵管理系统入侵验证入侵验证系统根据入侵检测系统发现的网络信息安全__,对被攻击网络或主机进行攻击后果的验证,并将攻击后果返回给控制中心,供管理者做决策参考与__系统结合安全和__系统结合,入侵管理平台将预警__分级、分类、自动上报给__系统,供网络___做全局安全__分析可视化用可视化的方式显示当前安全态势,用不同的颜色和形状表示关键点(如外部IP)可根据需要设置条件,实时显示TOP10__,包括攻击源、目标的__C地址、IP地址,流量信息;对各种协议相关__如Telnet、__TP,按需要进行回放__自定义__自定义功能,以深层协议分析为基础,能够实现对攻击特征进行多样化、灵活定义,可以使我公司保证对最新攻击方法的迅速反应和升级,同时可以协助用户直接定义针对其特殊应用的攻击和威胁用户可以方便地修改协议端口默认值,满足用户保护特殊网络应用的需要,同时有效防止黑客以变形木马等方式躲避入侵检测系统监控的攻击用户可以自定义所__的敏感信息,加强内外部信息的审查,如商业机密,反动、黄色、__等信息用户可以定义与指定的人、邮件、IP地址等有关的行为,实现对重点目标的保护和对重点怀疑对象异常行为的有效监控策略自定义入侵检测系统内置检测策略,可以供用户选用同时,入侵检测系统应允许有经验的用户根据网络中数据流的特点,提供灵活的安全策略管理机制,利用系统中的__定义模板,定制网络中可疑行为和监控对象,定制相应的检测策略,并对这些行为进行响应,做到重点监测、量体裁衣,报告用户最为__的__,充分提高入侵检测系统的检测效率,降低误报率引擎自定义提供不同作用、基于不同环境的入侵检测探测引擎包括基于百兆网的网络入侵检测系统引擎、基于千兆网的网络入侵检测系统引擎、基于Windows平台的主机入侵检测系统引擎、基于AIX、Solaris平台的主机入侵检测系统引擎等这些引擎都可以被统一的入侵管理平台所管理
3.
3.
3.捷普网络信息安全审计系统捷普网络信息安全审计系统基于应用协议分析技术,具有强大的数据包分析能力及异常行为跟踪能力,以及数据查询过程回放功能该设备采用网络旁路监听技术,不改变网络结构,不影响用户网络流量和性能,不会成为用户的网络故障点而导致网络瘫痪;通过安全审计系统的运行提高管理人员对网络状况的监控和__分析能力捷普安全审计系统特性系统特点记录全面的互联网访问信息对非正常网络行为进行审计审计__IL信息对FTP、Telnet、数据库操作、应用(业务)系统等进行命令级的审计对HTTP、NETBIO、__TP、POP3等应用层协议进行审计监控对数据库、Telnet、FTP等登录的操作进行详细的审计和实时监控
3.
4.安全管理体系建设任何一个系统的安全,都是由两方面组成系统的安全管理措施,以及保护系统安全的各种技术手段,也就是人的因素和技术的因素系统安全策略的制定与实施、各种安全技术和产品的使用和部署,都是通过系统的___和用户来完成的能否实现一个系统的安全目标,__的重视程度、技术人员的水平、用户的安全意识及安全管理的制度和措施起着很重要的作用因此,下面将从管理和技术的角度来考虑如何增强网络系统的安全性业务系统的安全性直接与人的安全意识、技术水平、安全管理制度有着密切的关系良好的管理平台有助于增强系统的安全性,可以及时发现系统安全的漏洞,不断审查和完善系统安全体系,并建立完善的系统安全管理制度,切实保证系统的安全目标和安全策略的实现
3.
4.
1.从管理体制上保证网络安全策略切实可行健全的管理体制是维护网络正常安全运行的关键很多系统因为没有健全的安全管理体制常常出现由于管理的疏忽而导致严重的问题信息系统需要在组织机构上对安全管理有一个保证--成立专门负责管理信息安全的部门,该部门是系统内部处理信息安全问题的权威机构,部门成员可以由__及网络___参加明确制定安全管理部门在管理上的权利和义务对于每一个成员,明确指定每个人应该对什么事故负什么样的责任主要职责应包括
1、制定、监督执行及修订安全管理规定和安全策略;
2、指导和监督信息系统及设施的建设,以确保信息系统满足安全要求;
3、对各类网络安全技术进行研究和评估,选择适合农联社的技术进行研发和__;
4、针对使用的各类操作系统和网络设备制订出配置指南;
5、建立和更新安全补丁库和病毒数据库,并及时下发通知给各单位;
6、审查各种应用系统的配置规划和备份计划是否符合安全要求;
7、不定期地组织安全专家对农联社内各类应用系统、设备和个人主机进行安全检查和审计;
8、接受和处理各单位安全__的日常汇报
9、组成一个快捷有效的应急响应小组在发生应急__时,组织安全专家进行处理,收集证据,必要时与律师进行协调应急响应小组可以有选择的邀请国内外一些网络安全专家担任特聘顾问,以便在发生攻击__时在最短时间内提供最有利的支持
3.
4.
2.将安全管理制度化、程序化需要制定一系列的网络安全管理规定,以明确职责和责任这些规定应包括
1、计算机网络安全建设规定用于描述建设各类信息系统应遵循的一般要求,以及建设专用网络安全设施的一般要求;
2、计算机网络安全管理规定用于描述用户应遵守的一般要求,以及对违反规定的行为的处罚措施;
3、安全保密管理规定定义网络系统内部对各类信息的保密要求,对涉密人员的一般要求,以及对违反规定的行为的处罚措施;
4、安全__响应流程定义发生各类安全__时的处理流程和相关人员的职责安全__包括系统故障导致瘫痪、硬件被盗、不明原因引起线路中断、感染计算机病毒、黑客入侵、误操作导致重要数据丢失、严重泄密等;
5、应用系统使用指南和安全注意事项负责各种应用系统运行和维护的主管人员应制订相关应用系统的使用指南和安全注意事项,以便让应用系统的操作人员能够掌握正确的使用方法,避免因操作不当而造成损失等等;
3.
4.
3.从管理成员上保证网络安全策略切实可行要真正实现网络安全,各种制度、策略和技术措施只是前提条件,日常的管理和维护工作才是重点要维护网络系统的安全,需要有一批经验丰富的专门的网络安全管理人员应该培养一些经验丰富、精通网络安全技术和管理的技术人员,来维护和保证整个网络系统的正常运行另外,可以与国内外知名的安全厂商合作,以便跟踪最新的网络安全技术,使安全之钥掌握在自己的手里同时,公司内网办公系统网络安全设计方案应提高管理人员的安全保密意识和相关的操作技能,定期进行安全培训和教育,以便员工能够学习和掌握基本的安全技能,识别安全__,掌握安全__的正确的处理方法
3.
5.完善的安全服务支撑
3.
5.
1.借用安全评估服务做整体性安全规划捷普公司采用公认的ISO
17799、ISO
13335、SSE-CMM安全标准进行风险评估的工作,针对资产重要程度分别提供不同频率和方式的安全评估,帮助用户了解客观真实的自身网络系统安全现状,规划适合自己网络系统环境的安全策略,并根据科学合理的安全策略来实施后续的安全服务、选型与部署安全产品以及建立有效的安全管理规章制度,从而全面完整的解决可能存在的各种风险隐患安全评估服务可以帮助用户
1、准确了解企业的信息安全现状
2、明晰企业的信息安全需求
3、制定企业信息系统的安全策略和安全解决方案
4、指导企业未来的信息安全建设和投入
5、建立企业自身的信息安全管理框架安全评估服务的对象
1、网络结构环境
2、服务器、工作站主机系统
3、网络设备
4、应用服务
5、数据存储状况
6、通讯/数据传输状况
7、管理制度
8、人员状况
9、安全__处理能力
10、安全产品和技术应用状况2安全威胁评估威胁是对系统和企业网的资产引起不期望__而造成的损害的潜在可能性威胁可能源于对企业信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在完整性或可用性等方面造成损害威胁也可能源于偶发的、或蓄意的__一般来说,威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害安全评估不仅在网络建设的初期是必要的,同时随着客户网络的不断发展,网络系统的不断变化也要求客户进行新的安全评估
3.
5.
2.采用安全加固服务来增强信息系统的自身安全性在经过了安全评估服务之后,我们就可以清楚的了解到公司信息系统都存在有哪些安全风险隐患,接下来的系统安全加固和优化措施将是实现服务器系统安全的关键环节我们知道,部署安全产品可以帮助我们加强一定程度的安全防护,但是安全产品只能起到表层作用,并不能根除附着在信息资产上的安全漏洞,所以我们还需要实施安全加固服务,通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证公司内网办公系统网络安全设计方案网络安全的起点
3.
5.
3.采用应急响应服务及时有效的处理重大安全__在客户运行维护系统过程中,作为客户方的技术人员由于时间和精力的问题,常常对于这些紧急__缺乏有效的处理,这样往往会对系统正常运转造成重大影响如果用户选择了我们的应急响应服务,那么在服务期间,一旦客户系统发生紧急或重大的安全__,我们就将派出专业安全工程师,到现场快速响应安全__,解决安全问题,并根据出现的问题及时调整安全策略,帮助用户在以后的维护中正确解决问题作为一个规范的网络安全服务商,我公司拥有一整套紧急响应机制,同时也具备众多处理各种紧急__经验的工程师我们可以为客户处理的紧急__包括大规模病毒爆发网络入侵__拒绝服务攻击主机或网络异常__应急响应服务的内容包括
1.协助恢复系统正常工作
2.协助检查入侵来源、时间、方法等
3.对网络进行评估,找出其他网络安全风险
4.作出事故分析报告
5.跟踪用户运营情况安全策略制定安全策略是企事业单位信息化建设的安全性保障原则物理环境建设的安全原则数据通讯与存储的安全原则安全产品的部署与配置原则安全管理制度的建立和完善组织机构和人员职责安全操作流程安全需求分析是否需要部署安全产品部署什么安全产品,部署多少数量以及部署在哪里等是否需要改善安全管理制度是否需要改善组织结构和人员安全解决方案安全解决方案应该是一个防护体系的建立,而不能仅仅只是安全产品的堆砌安全产品线的建立(防火墙、IDS、___、安全审计、防病毒等)安全服务系统的建立(安全评估、应急响应、系统加固等)相应技术支持人员的培养后期的安全技术跟踪服务
4.设备清单序号名称型号配置说明数量单价金额1防火墙捷普F3000-160接口配置标配6GE吞吐量800M并发数150W_____2500功能流量控制、应用软件(P2P、IM、网络视频、网友、炒股)识别控制、URL分类库,可在线和离线升级12入侵检测系统捷普D6000接口配置标配4GE流截获率≧100M13信息安全审计系统捷普A6000接口配置标配4GETCP/UDP数100000个/秒支持对关键词、URL、邮件地址、压缩文件等内容进行实时审计,支持行为阻断与还原14交换机中兴S3928智能三层交换机,24FE+4GE15网络版杀毒软件瑞星20PC锻+5服务器端16UPS山特C6K1小时延时17防盗门步阳18PDU图腾2A产品费用合计1~8之和B系统集成费A*10%C总计A+B。