还剩6页未读,继续阅读
文本内容:
1、客户背景 集团内联网主要以总部局域网为核心,采用广域网方式与外地子公司联网集团广域网采用MPLS-___技术,用来为各个分公司提供骨干网络平台和___接入,各个分公司可以在集团的骨干___络系统上建设各自的子系统,确保各类系统间的相互__
二、安全威胁某公司属于大型上市公司,在北京,__、广州等地均有分公司公司内部采用无纸化办公,OA系统成熟每个局域网连接着该所有部门,所有的数据都从局域网中传递同时,各分公司采用___技术连接公司总部该单位为了方便,将相当一部分业务放在了对外开放的__上,__也成为了既是对外形象窗口又是内部办公窗口由于网络设计部署上的缺陷,该单位局域网在建成后就不断出现网络拥堵、网速特别慢的情况,同时有些个别机器上的杀毒软件频频出现病毒__,网络经常瘫痪,每次时间都持续几十分钟,__简直成了救火队员,忙着清除病毒,重装系统对外WEB__同样也遭到黑客攻击,网页遭到非法篡改,有些网页甚至成了传播不良信息的平台,不仅影响到__的正常运行,而且还对__形象也造成不良影响(安全威胁根据拓扑图分析)从网络安全威胁看,集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等信息安全现状经过分析发现该公司信息安全基本上是空白,主要有以下问题公司没有制定信息安全政策,信息管理不健全公司在建内网时与internet的连接没有防火墙内部网络(同一城市的各分公司)之间没有任何安全保障为了让网络正常运行根据我国《信息安全等级保护管理办法》的信息安全要求,近期公司决定对该网络加强安全防护,解决目前网络出现的安全问题
三、安全需求从安全性和实用性角度考虑,安全需求主要包括以下几个方面:
1、安全管理__安全建设应该遵照7分管理3分技术的原则,通过本次安全项目,可以发现集团现有安全问题,并且协助建立起完善的安全管理和安全组织体系
2、集团骨干网络边界安全主要考虑骨干网络中Internet出口处的安全,以及__用户、远程拨号访问用户的安全
3、集团骨干网络服务器安全主要考虑骨干网络中__服务器和集团内部的服务器,包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全
4、集团内联网统一的病毒防护主要考虑集团内联网中,包括总公司在内的所有公司的病毒防护
5、统一的增强口令认证系统由于系统___需要管理大量的主机和网络设备,如何确保口令安全称为一个重要的问题
6、统一的安全管理平台通过在集团内联网部署统一的安全管理平台,实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全__、以及处理各种安全突发__
7、专业安全服务过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度,全面评估企业网络中的信息资产及其面临的安全风险情况,在必要的情况下,进行主机加固和网络加固通过专业紧急响应服务保证企业在面临紧急__情况下的处理能力,降低安全风险
四、方案设计骨干网边界安全集团骨干网共有一个Internet出口,位置在总部,在Internet出口处部署LinkTrustCyberwall-200F/006防火墙一台在Internet出口处部署一台LinkTrustNetworkDefender领信网络入侵检测系统,通过交换机端口镜像的方式,将进出Internet的流量镜像到入侵检测的监听端口,LinkTrustNetworkDefender可以实时监控网络中的异常流量,防止恶意入侵在各个分公司中添加一个DMZ区,保证各公司的信息安全,内部网络(同一城市的各分公司)之间没有任何安全保障具体部署如下图所示骨干网服务器安全 集团骨干网服务器主要指网络中的__服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等,以及专为此次项目配置的、用于安全产品管理的服务器的安全 主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护漏洞扫描 了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安全问题等,都要求信息系统自身和用户作好安全评估安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面 内联网病毒防护 病毒防范是网络安全的一个基本的、重要部分通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略 病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面 增强的身份认证系统 由于需要管理大量的主机和网络设备,如何确保口令安全也是一个非常重要的问题 减小口令危险的最为有效的办法是采用双因素认证方式双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别用户除了知道他的PIN号码外,还必须拥有一个认证令牌而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了安全性 统一安全平台的建立 通过建立统一的安全管理平台(安全运行管理中心—SOC),建立起集团的安全风险监控体系,利于从全局的角度发现网络中存在的安全问题,并及时归并相关人员处理这里的风险监控体系包括安全信息库、安全__收集管理系统、安全工单系统等,同时__有效的多种手段实时告警系统,定制高效的安全报表系统
五、网络管理1故障管理 故障管理是网络管理中最基本的功能之一用户都希望有一个可靠的计算机网络当网络中某个组成失效时网络管理器必须迅速查找到故障并及时排除通常不大可能迅速隔离某个故障因为网络故障的产生原因往往相当复杂特别是当故障是由多个网络组成共同引起的在此情况下一般先将网络修复然后再分析网络故障的原因分析故障原因对于防止类似故障的再发生相当重要网络故障管理包括故障检测、隔离和纠正三方面应包括以下典型功能:1故障监测主动探测或被动接收网络上的各种__信息,并识别出其中与网络和系统故障相关的内容,对其中的关键部分保持跟踪,生成网络故障__记录2故障__接收故障监测模块传来的__信息,根据__策略驱动不同的__程序,以__窗口/振铃通知一线网络管理人员或____通知决策管理人员发出网络严重故障警报 3故障信息管理依靠对__记录的分析,定义网络故障并生成故障卡片,记录排除故障的步骤和与故障相关的值班员日志,构造排错行动记录,将__-故障-日志构成逻辑上相互关联的整体,以反映故障产生、变化、消除的整个过程的各个方面 4排错支持工具向管理人员提供一系列的实时检测工具,对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错;根据已有的徘错经验和___对故障状态的描述给出对徘错行动的提示 5检索/分析故障信息浏阅并且以关键字检索查询故障管理系统中所有的数据库记录,定期收集故障记录数据,在此基础上给出被管网络系统、被管线路设备的可靠性参数 对网络故障的检测依据对网络组成部件状态的监测不严重的简单故障通常被记录在错误日志中并不作特别处理;而严重一些的故障则需要通知网络管理器即所谓的警报一般网络管理器应根据有关信息对警报进行处理排除故障当故障比较复杂时网络管理器应能执行一些诊断测试来辨别故障原因 2计费管理 计费管理记录网络资源的使用目的是控制和监测网络操作的费用和代价它对一些公共商业网络尤为重要它可以估算出用户使用网络资源可能需要的费用和代价以及已经使用的资源网络___还可规定用户可使用的最大费用从而控制用户过多占用和使用网络资源这也从另一方面提高了网络的效率另外当用户为了一个通信目的需要使用多个网络中的资源时计费管理应可计算总计费用 1计费数据采集计费数据采集是整个计费系统的基础,但计费数据采集往往受到采集设备硬件与软件的制约,而且也与进行计费的网络资源有关2数据管理与数据维护计费管理人工交互性很强,虽然有很多数据维护系统自动完成,但仍然需要人为管理,包括交纳费用的输入、联网单位信息维护,以及账单样式决定等 3计费政策制定;由于计费政策经常灵活变化,因此实现用户自由制定输入计费政策尤其重要这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型 4政策比较与决策支持计费管理应该提供多套计费政策的数据比较,为政策制订提供决策依据 5数据分析与费用计算利用采集的网络资源使用数据,联网用户的详细信息以及计费政策计算网络用户资源的使用情况,并计算出应交纳的费用 6数据查询提供给每个网络用户关于自身使用网络资源情况的详细信息,网络用户根据这些信息可以计算、核对自己的收费情况 3配置管理 配置管理同样相当重要它初始化网络、并配置网络以使其提供网络服务配置管理是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能目的是为了实现某个特定功能或使网络性能达到最优 1配置信息的自动获取在一个大型网络中,需要管理的设备是比较多的,如果每个设备的配置信息都完全依靠管理人员的手工输入,工作量是相当大的,而且还存在出错的可能性对于不熟悉网络结构的人员来说,这项工作甚至无法完成‘因此,一个先进的网络管理系统应该具有配置信息自动获取功能即使在管理人员不是很熟悉网络结构和配置状况的情况下,也能通过有关的技术手段来完成对网络的配置和管理在网络设备的配置信息中,根据获取手段大致可以分为三类一类是网络管理协议标准的MIB中定义的配置信息包括S__P;和CMIP协议;二类是不在网络管理协议标准中有定义,但是对设备运行比较重要的配置信息;三类就是用于管理的一些辅助信息 2自动配置、自动备份及相关技术配置信息自动获取功能相当于从网络设备中“读”信息,相应的,在网络管理应用中还有大量“写”信息的需求同样根据设置手段对网络配置信息进行分类一类是可以通过网络管理协议标准中定义的方法如S__P中的set服务进行设置的配置信息;二类是可以通过自动登录到设备进行配置的信息;三类就是需要修改的管理性配置信息 3配置一致性检查在一个大型网络中,由于网络设备众多,而且由于管理的原因,这些设备很可能不是由同一个管理人员进行配置的实际上‘即使是同一个___对设备进行的配置,也会由于各种原因导致配置一致性问题因此,对整个网络的配置情况进行一致性检查是必需的在网络的配置中,对网络正常运行影响最大的主要是路由器端口配置和路由信息配置,因此,要进行、致性检查的也主要是这两类信息 4用户操作记录功能配置系统的安全性是整个网络管理系统安全的核心,因此,必须对用户进行的每一配置操作进行记录在配置管理中,需要对用户操作进行记录,并保存下来管理人员可以随时查看特定用户在特定时间内进行的特定配置操作 4性能管理perfor__n____nagement 性能管理估价系统资源的运行状况及通信效率等系统性能其能力包括监视和分析被管网络及其所提供服务的性能机制性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能性能管理收集分析有关被管网络当前状况的数据信息并维持和分析性能日志一些典型的功能包括: 1性能监控由用户定义被管对象及其属性被管对象类型包括线路和路由器;被管对象属性包括流量、延迟、丢包率、CPU利用率、温度、内存余量对于每个被管对象,定时采集性能数据,自动生成性能报告 2阈值控制可对每一个被管对象的每一条属性设置阈值,对于特定被管对象的特定属性,可以针对不同的时间段和性能指标进行阈值设置可通过设置阈值检查开关控制阂值检查和告警,提供相应的阈值管理和溢出告警机制 3性能分桥对历史数据进行分析,统计和整理,计算性能指标,对性能状况作出判断,为网络规划提供参考 4可视化的性能报告对数据进行扫描和处理,生成性能趋势曲线,以直观的图形反映性能分析的结果 5实时性能监控提供了一系列实时数据采集;分析和可视化工具,用以对流量、负载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测,可任意设置数据采集间隔 6网络对象性能查询可通过列表或按关键字检索被管网络对象及其属性的性能记录 5安全管理 安全性一直是网络的薄弱环节之一而用户对网络安全的要求又相当高因此网络安全管理非常重要网络中主要有以下几大安全问题: 网络数据的私有性保护网络数据不被侵入者非法获取 授权authentication防止侵入者在网络上发送错误信息 访问控制控制访问控制控制对网络资源的访问 相应的网络安全管理应包括对授权机制、访问控制、加密和加密关键字的管理另外还要维护和检查安全日志包括: 网络管理过程中,存储和传输的管理和控制信息对网络的运行和管理至关重要,一旦泄密、被篡改和伪造,将给网络造成灾难性的破坏网络管理本身的安全由以下机制来保证1___身份认证,采用基于公开密钥的证书认证机制;为提高系统效率,对于信任域内如局域网的用户,可以使用简单口令认证 2管理信息存储和传输的加密与完整性,Web浏览器和网络管理服务器之间采用安全套接字层SSL传输协议,对管理信息加密传输并保证其完整性;内部存储的机密信息,如登录口令等,也是经过加密的 3网络管理用户分组管理与访问控制,网络管理系统的用户即___按任务的不同分成若干用户组,不同的用户组中有不同的权限范围,对用户的操作由访问控制检查,保证用户不能越权使用网络管理系统 4系统日志分析,记录用户所有的操作,使系统的操作和对网络对象的修改有据可查,同时也有助于故障的跟踪与恢复 网络对象的安全管理有以下功能 1网络资源的访问控制,通过管理路由器的访问控制链表,完成防火墙的管理功能,即从网络层1P和传输层TCP控制对网络资源的访问,保护网络内部的设备和应用服务,防止外来的攻击 2告警__分析,接收网络对象所发出的告警__,分析员安全相关的信息如路由器登录信息、S__P认证失败信息,实时地向___告警,并提供历史安全__的检索与分析机制,及时地发现正在进行的攻击或可疑的攻击迹象 3主机系统的安全漏洞检测,实时的监测主机系统的重要服务如___,DNS等的状态,提供安全监测工具,以搜索系统可能存在的安全漏洞或安全隐患,并给出弥补的措施。