網(wǎng)絡(luò)安全建設(shè)方案

《網(wǎng)絡(luò)安全建設(shè)方案》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全建設(shè)方案（22頁珍藏版）》請在裝配圖網(wǎng)上搜索。

網(wǎng)絡(luò)安全建設(shè)方案 2016 年 7 月 1 前言 1 1 1 方案涉及范圍 1 1 2 方案參考標準 2 1 3 方案設(shè)計原則 3 2 安全需求分析 4 2 1 符合等級保護的安全需求 4 2 1 1 等級保護框架設(shè)計 4 2 1 2 相應等級的安全技術(shù)要求 5 2 2 自身安全防護的安全需求 5 2 2 1 物理層安全需求 5 2 2 2 網(wǎng)絡(luò)層安全需求 6 2 2 3 系統(tǒng)層安全需求 7 2 2 4 應用層安全需求 8 3 網(wǎng)絡(luò)安全建設(shè)內(nèi)容 8 3 1 邊界隔離措施 10 3 1 1 下一代防火墻 10 3 1 2 入侵防御系統(tǒng) 12 3 1 3 流量控制系統(tǒng) 12 3 1 4 流量清洗系統(tǒng) 14 3 2 應用安全措施 14 3 2 1 WEB 應用防火墻 14 3 2 2 上網(wǎng)行為管理系統(tǒng) 15 3 2 3 內(nèi)網(wǎng)安全準入控制系統(tǒng) 16 3 3 安全運維措施 16 3 3 1 堡壘機 16 3 3 2 漏洞掃描系統(tǒng) 17 3 3 3 網(wǎng)站監(jiān)控預警平臺 18 3 3 4 網(wǎng)絡(luò)防病毒系統(tǒng) 19 3 3 5 網(wǎng)絡(luò)審計系統(tǒng) 20 第 3 頁 共 22 頁 1 前言 1 1 方案涉及范圍 方案設(shè)計中的防護重點是學校中心機房的服務器區(qū)域 這些服務器承載了 學校內(nèi)部的所有業(yè)務系統(tǒng) 因此是需要重點防護的信息資產(chǎn) 學校目前采取了數(shù)據(jù)大集中的模式 將所有的業(yè)務數(shù)據(jù)集中在中心機房 數(shù)據(jù)大集中模式將導致數(shù)據(jù)中心的安全風險也很集中 因此必須對中心機房服 務器區(qū)域進行重點防護 方案中還要對綜合網(wǎng)管區(qū)域 數(shù)據(jù)存儲區(qū)域 辦公區(qū)域進行規(guī)劃和設(shè)計 納入到整體的安全防護體系內(nèi) 1 2 方案參考標準 本方案的主要規(guī)劃的重點內(nèi)容是網(wǎng)絡(luò)安全防護體系 規(guī)劃的防護對象以學 校數(shù)據(jù)中心為主 規(guī)劃的參考標準是等級保護 該方案的設(shè)計要點就是定級和 保障技術(shù)的規(guī)劃 針對教育部和省教育廳對等級保護的相關(guān)要求 本方案將主 要參考以下的標準進行規(guī)劃 方案的建設(shè)思想方面 將嚴格按照湘教發(fā) 2011 33 號文件關(guān)于印發(fā) 湖 南省教育信息系統(tǒng)安全等級保護工作實施方案 的通知 該文件對計算機信息 系統(tǒng)的等級化保護提出了建設(shè)要求 是我省今后一段時期內(nèi)信息安全保障工作 的綱領(lǐng)性文件 文件中對我省教育行業(yè)信息安全保障工作指出了總體思路 系統(tǒng)定級方面 參考 信息系統(tǒng)安全等級保護定級指南 該指南適用于黨 政機關(guān)網(wǎng)絡(luò)于信息系統(tǒng) 其中涉及國家秘密的網(wǎng)絡(luò)與信息系統(tǒng) 按照國家有關(guān) 保密規(guī)定執(zhí)行 其他網(wǎng)絡(luò)與信息系統(tǒng)定級工作參考本指南進行 本指南對定級 工作的原則 職責分工 工作程序 定級要素和方法進行了描述 并對網(wǎng)絡(luò)與 信息系統(tǒng)提出了最低安全等級要求 高等職業(yè)學校應不低于最低安全等級要求 在本項目中我們建議學校數(shù)據(jù)中心可按照二級的建設(shè)目標進行規(guī)劃 本方案參考的指南和標準具體見下表 第 4 頁 共 22 頁 安全要素 遵循標準 指導思想 中辦 2003 27 號文件 國家信息化領(lǐng)導小組關(guān)于加強 信息安全保障工作的意見 信息系統(tǒng)安全等級保護定級指南 等級保護 電子政務信息安全保障技術(shù)框架 GB 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則 技術(shù)方面 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求 試用稿 1 3 方案設(shè)計原則 學校數(shù)據(jù)中心安全體系的建設(shè)應遵循國家相關(guān)信息安全保障體系建設(shè)的總 體原則 按照統(tǒng)一規(guī)劃 統(tǒng)一標準 適度超前 分級 分階段實施 互聯(lián)互通 資源共享 安全保密 以需求為導向 以應用促發(fā)展的原則進行建設(shè) 本方案 將嚴格遵從以下的建設(shè)原則 重點保護原則 本次項目建設(shè) 屬于學校信息安全保障體系的基礎(chǔ)防護平臺建設(shè)階段 以 基礎(chǔ)性保障為準 同時對中心機房進行重點防護 根據(jù) 信息系統(tǒng)安全等級保 護定級指南 本方案針對重要的核心部位嚴格按照二級要求進行規(guī)劃 確保重 要的信息資產(chǎn)能夠得到重點的防護 具備相當?shù)目构裟芰?分布實施原則 數(shù)據(jù)中心建設(shè)的效果將直接影響學校的信息化建設(shè) 特別是安全保障體系 的建設(shè) 因此在規(guī)劃階段必須通盤考慮 實施的時候可按照階段進行分布實施 確保學校信息化建設(shè) 以及安全保障體系的建設(shè)能夠有序開展 并且前期的工 作能夠為后期的建設(shè)打好基礎(chǔ) 避免重復建設(shè) 管理與技術(shù)并進的原則 學校數(shù)據(jù)中心是一個高技術(shù)的系統(tǒng)工程 要實現(xiàn)各業(yè)務系統(tǒng)的功能和性能 又要采取先進的安全技術(shù) 還要對已建立的系統(tǒng)實施有效的安全管理 在進行 安全技術(shù)基礎(chǔ)設(shè)施建設(shè)時應注意建立配套的運行管理機制和安全規(guī)章制度 第 5 頁 共 22 頁 經(jīng)濟實用性原則 對學校數(shù)據(jù)中心安全體系設(shè)計時 既要考慮安全風險和需求 又要考慮系 統(tǒng)建設(shè)的成本 在保證整體安全的前提下 盡可能的減少投資規(guī)模 壓縮開支 優(yōu)化系統(tǒng)設(shè)計 合理進行系統(tǒng)配置 所采用的產(chǎn)品 要便于操作 實用高效 標準化原則 技術(shù)的標準化是信息系統(tǒng)建設(shè)的基本要求 也是電子化和信息化的前提 學校數(shù)據(jù)中心構(gòu)成復雜 應用多種多樣 為了保證信息的安全互通互連 確保 安全保障體系建設(shè)的典型意義和全面推廣應用價值 必須嚴格遵循國家和有關(guān) 部門關(guān)于信息系統(tǒng)安全管理的規(guī)定及建設(shè)規(guī)范 按照統(tǒng)一的標準進行設(shè)計 適度安全原則 任何信息系統(tǒng)都不能做到絕對的安全 學校數(shù)據(jù)中心也不例外 因此 在 安全體系設(shè)計時 要在安全需求 安全風險和安全成本之間進行平衡和折中 過多的安全要求必將造成安全成本的迅速增加和運行的復雜性 統(tǒng)一規(guī)劃原則 信息安全保障體系的建設(shè)必須適應其信息化的要求 必須兼顧核心業(yè)務和 非核心業(yè)務的信息化需求 從安全技術(shù)保障 安全組織保障和安全運營保障等 角度出發(fā) 為學校規(guī)劃全面的信息安全保障體系 2 安全需求分析 從安全建設(shè)的角度 本方案認為學校的安全建設(shè)來自兩個方面 一是從符 合國家政策的角度 需要按照公安部的相關(guān)標準 按照分級 分域的建設(shè)思路 進行總體的安全規(guī)劃和設(shè)計 另外也需要從自身安全防護的角度 分析對抗外 部惡意攻擊 防范內(nèi)部誤操作行為 規(guī)避物理安全風險 強化安全管理等方面 的建設(shè)需求 具體內(nèi)容如下 第 6 頁 共 22 頁 2 1 符合等級保護的安全需求 2 1 1 等級保護框架設(shè)計 本方案中 針對學校數(shù)據(jù)中心 按照功能類型的方式進行區(qū)域的劃分 根 據(jù)信息資產(chǎn)重要性的差別 劃分為服務器區(qū)域 辦公區(qū)域 運維區(qū)域 數(shù)據(jù)存 儲區(qū)域等 各區(qū)域內(nèi)設(shè)備類型的差別 以及對業(yè)務應用影響的區(qū)別 導致各個 區(qū)域應該采用不同的安全防護要求 其中 服務器區(qū)域內(nèi)主要是各類應用服務器 包括數(shù)據(jù)庫服務器 各類業(yè) 務系統(tǒng)等 該區(qū)域是數(shù)據(jù)中心最重要的信息資產(chǎn) 必須重點進行防護 運維區(qū)域內(nèi)主要是目前已經(jīng)采用的網(wǎng)絡(luò)管理軟件 包括運行網(wǎng)管軟件的服 務器和數(shù)據(jù)庫系統(tǒng) 在本期項目建設(shè)中 還可以將一些軟件的安全防護系統(tǒng)部 署在該區(qū)域內(nèi) 比如堡壘機 漏洞掃描系統(tǒng)等 其重要性僅次于服務器區(qū)域 數(shù)據(jù)存儲區(qū)域則是方案建議規(guī)劃出的一個區(qū)域 作為綜合網(wǎng)管區(qū)域的本地 數(shù)據(jù)災備中心 該區(qū)域主要部署了磁盤柜等存儲設(shè)備 由于在物理上該區(qū)域與 服務器區(qū)域緊密相連 因此其重要性也是比較高的 辦公區(qū)域 包括學校的辦公人員的桌面用機 該區(qū)域的設(shè)備遭到破壞后 對業(yè)務系統(tǒng)不會造成大面積的影響 因此重要性最低 但是該區(qū)域要做好防病 毒 補丁管理 行為管理等方面 要防止該區(qū)域的設(shè)備被攻擊者利用 作為進 一步攻擊其他區(qū)域的 跳板 2 1 2 相應等級的安全技術(shù)要求 綜合參考 信息系統(tǒng)安全等級保護定級指南 我們可將學校網(wǎng)絡(luò)和信息系 統(tǒng)劃分為網(wǎng)絡(luò)基礎(chǔ)設(shè)施 業(yè)務處理平臺和應用系統(tǒng)三個層次 其中 業(yè)務處理 平臺包括了本地計算區(qū)域和區(qū)域邊界 對服務器區(qū)域的安全防護機制按照二級 的要求進行建設(shè) 對應用系統(tǒng)的安全防護機制按照二級的要求進行建設(shè) 其他 區(qū)域可參考此標準 根據(jù)自身重要性的區(qū)別 適當調(diào)整技術(shù)要求 第 7 頁 共 22 頁 2 2 自身安全防護的安全需求 從自身安全防護的角度 我們認為學校數(shù)據(jù)中心除了滿足相關(guān)標準以外 還需要考慮物理 終端 邊界 網(wǎng)絡(luò) 系統(tǒng)和管理方面的安全風險 并由此產(chǎn) 生了以下的安全需求 2 2 1 物理層安全需求 保證網(wǎng)絡(luò)信息系統(tǒng)各種設(shè)備的物理安全是保證整個網(wǎng)絡(luò)信息系統(tǒng)安全的基 礎(chǔ) 物理安全是保護計算機網(wǎng)絡(luò)設(shè)備 設(shè)施以及其他介質(zhì)免遭地震 水災 火 災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程 它主要包括三個方面 環(huán)境安全 對系統(tǒng)所在環(huán)境的安全保護 如區(qū)域保護和災難保護 參見 國家標準 GB50173 93 電子計算機機房設(shè)計規(guī)范 國標 GB2887 89 計算 站場地技術(shù)條件 GB9361 88 計算站場地安全要求 設(shè)備安全 主要包括設(shè)備的防盜 防毀 防電磁信息輻射泄漏 防止線路 截獲 抗電磁干擾及電源保護等 介質(zhì)安全 包括信息系統(tǒng)數(shù)據(jù)所依賴的存儲介質(zhì)和傳輸介質(zhì)的安全 確保 不會因為物理介質(zhì)的故障導致信息數(shù)據(jù)受損 2 2 2 網(wǎng)絡(luò)層安全需求 網(wǎng)絡(luò)是信息系統(tǒng)賴以存在的實體 離開了網(wǎng)絡(luò)平臺 信息的傳遞 業(yè)務的 開展將無從依托 因此如何保障網(wǎng)絡(luò)的安全 是構(gòu)建學校數(shù)據(jù)中心系統(tǒng)安全架 構(gòu)的基礎(chǔ)性工作 對于數(shù)據(jù)中心來講 網(wǎng)絡(luò)安全主要解決運行環(huán)境的安全問題 對應網(wǎng)絡(luò)層安全威脅 網(wǎng)絡(luò)安全主要的技術(shù)手段包括訪問控制技術(shù) 加密傳輸 技術(shù) 檢測與響應技術(shù)等 對照學校數(shù)據(jù)中心的實際情況 我們看到其存在以 下的安全需求 訪問控制需求 第 8 頁 共 22 頁 防范非法用戶的非法訪問 非法用戶的非法訪問也就是黑客或間諜的攻擊行為 在沒有任何防范措施 的情況下 網(wǎng)絡(luò)的安全主要是靠主機系統(tǒng)自身的安全 如用戶名及口令字這些 簡單的控制 但對于用戶名及口令的保護方式 對有攻擊目的的人而言 根本 就不是一種障礙 他們可以通過對網(wǎng)絡(luò)上信息的監(jiān)聽 得到用戶名及口令或者 通過猜測用戶及口令 這都將不是難事 而且可以說只要花費很少的時間 因 此 要采取一定的訪問控制手段 防范來自非法用戶的攻擊 嚴格控制只有合 法用戶才能訪問合法資源 防范合法用戶的非授權(quán)訪問 合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本 不該訪問的資源 一般來說 每個成員的主機系統(tǒng)中 有一部份信息是可以對 外開放 而有些信息是要求保密或具有一定的隱私性 外部用戶 指來自外部 網(wǎng)絡(luò)的合法用戶 被允許正常訪問的一定的信息 但他同時通過一些手段越權(quán) 訪問了別人不允許他訪問的信息 因此而造成他人的信息泄密 所以 還得加 密訪問控制的機制 對服務及訪問權(quán)限進行嚴格控制 防范假冒合法用戶的非法訪問 從管理上及實際需求上是要求合法用戶可正常訪問被許可的資源 既然合 法用戶可以訪問資源 那么 入侵者便會在用戶下班或關(guān)機的情況下 假冒合 法用戶的 IP 地址或用戶名等資源進行非法訪問 因此 必需從訪問控制上做到 防止假冒而進行的非法訪問 入侵防御需求 防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本 最經(jīng)濟 最有效的措施之一 防火墻可以 對所有的訪問進行嚴格控制 允許 禁止 報警 但網(wǎng)絡(luò)配置了防火墻卻不一 定安全 防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊 因為網(wǎng)絡(luò)安全是整體的 動態(tài)的 不是單一產(chǎn)品能夠完全實現(xiàn) 所以確保網(wǎng)絡(luò) 更加安全必須配備入侵檢測和響應系統(tǒng) 對透過防火墻的攻擊進行檢測并做相 應反應 記錄 報警 阻斷 第 9 頁 共 22 頁 2 2 3 系統(tǒng)層安全需求 安全漏洞檢測和修補需求 網(wǎng)絡(luò)系統(tǒng)存在安全漏洞 如安全配置不嚴密等 和操作系統(tǒng)安全漏洞等是 黑客等入侵者攻擊屢屢得手的重要因素 入侵者通常都是通過一些程序來探測 網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞 然后通過發(fā)現(xiàn)的安全漏洞 采取相就技術(shù) 進行攻擊 因此 必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測網(wǎng)絡(luò)中 存在的安全漏洞 并采用相應的措施填補系統(tǒng)漏洞 對網(wǎng)絡(luò)設(shè)備等存在的不安 全配置重新進行安全配置 安全加固需求 對關(guān)鍵的服務器主機系統(tǒng)進行安全加固 提供用戶認證 訪問控制和審計 嚴格控制用戶對服務器系統(tǒng)的訪問 禁止黑客利用系統(tǒng)的開口隱患和安全管理 功能的不足之處進行非法訪問 避免內(nèi)部用戶的濫用 2 2 4 應用層安全需求 防病毒需求 針對防病毒危害性極大并且傳播極為迅速的特點 必須配備涵蓋客戶端 服務器 郵件系統(tǒng) 互聯(lián)網(wǎng)網(wǎng)關(guān)的整套防病毒體系 實現(xiàn)全網(wǎng)的病毒安全防護 徹底切斷病毒繁殖和傳播的途徑 防垃圾郵件需求 必須采用有效的手段防范互聯(lián)網(wǎng)垃圾郵件進入網(wǎng)絡(luò)內(nèi)部郵件服務器系統(tǒng) 干擾正常業(yè)務通信 身份認證需求 必須采用必要的用戶身份認證和授權(quán)管理機制 對網(wǎng)絡(luò)用戶身份的真實性 合法性進行集中的控制 數(shù)據(jù)安全需求 對重要的業(yè)務數(shù)據(jù)和管理數(shù)據(jù)應提供可靠的備份和恢復機制 防止因非法 第 10 頁 共 22 頁 攻擊或意外事件造成數(shù)據(jù)的破壞或丟失 3 網(wǎng)絡(luò)安全建設(shè)內(nèi)容 建議在本期項目的建設(shè)中 重點從網(wǎng)絡(luò)安全 系統(tǒng)安全 應用安全 管理 安全的角度出發(fā) 進行建設(shè) 同時在本期項目成功建設(shè)的基礎(chǔ)上 再進一步向 物理安全 組織體系 運行體系方面進行擴展 實現(xiàn)全面的安全策略 具體的 實施方案可參考下圖表示 圖 3 1 學校網(wǎng)絡(luò)安全拓撲示意圖 在本方案中 在互聯(lián)網(wǎng)接入邊界處部署防火墻系統(tǒng) 形成層次化的訪問控 制和區(qū)域隔離 特別針對服務器區(qū)域 利用安全邊界接入平臺技術(shù)加強訪問控 制力度 有效保障重要的應用系統(tǒng)不受到非法的訪問 此外 在服務器接入邊界處部署入侵防御系統(tǒng) 一方面有效抵抗拒絕服務 掃描 惡意代碼 木馬 蠕蟲等網(wǎng)絡(luò)攻擊行為 降低來自互聯(lián)網(wǎng)和校園內(nèi)部的 第 11 頁 共 22 頁 威脅與風險 在防火墻邊界隔離的基礎(chǔ)上 部署入侵防御系統(tǒng)可以進行深度的 檢測與防護 提升系統(tǒng)的檢測力度 同時 還在互聯(lián)網(wǎng)接入邊界處部署流量控制系統(tǒng) 根據(jù)應用和用戶進行帶 寬的分配與監(jiān)控 在 WEB 網(wǎng)站前端部署一臺 WEB 應用防火墻 防范來自互聯(lián)網(wǎng)對 WEB 網(wǎng) 站的攻擊行為 在互聯(lián)網(wǎng)接入邊界處部署上網(wǎng)行為管理系統(tǒng) 規(guī)范辦公區(qū)人員的互聯(lián)網(wǎng)行 為 保障核心業(yè)務系統(tǒng)的流量帶寬 同時 還在互聯(lián)網(wǎng)接入邊界處部署流量清洗系統(tǒng) 對網(wǎng)絡(luò)中的異常流量進 行分析和清洗 保障有限帶寬的合理化利用 在內(nèi)網(wǎng)署一套安全準入控制系統(tǒng) 加強網(wǎng)絡(luò)安全管理及內(nèi)部 PC 的安全管 理 部署堡壘機來對管理員和第三方維護人員進行設(shè)備維護時進行審計管理 部署漏洞掃描系統(tǒng)對全網(wǎng)的服務器 網(wǎng)絡(luò)設(shè)備 安全設(shè)備和終端進行檢測 發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞 并采用相應的措施填補系統(tǒng)漏洞 參考圖 3 1 針對學校數(shù)據(jù)中心 采取的主要防護措施包括 3 1 邊界隔離措施 3 1 1 下一代防火墻 防火墻是近年發(fā)展起來的重要安全技術(shù) 其主要作用是在網(wǎng)絡(luò)入口點檢查 網(wǎng)絡(luò)通信 根據(jù)用戶設(shè)定的安全規(guī)則 在保護內(nèi)部網(wǎng)絡(luò)安全的前提下 提供內(nèi) 外網(wǎng)絡(luò)通信 起到安全域劃分 訪問控制 NAT 轉(zhuǎn)換和殺毒 漏洞檢測等防護 的作用 同時該防火墻還作為 VPN 網(wǎng)關(guān)為移動辦公 BYOD 人員提供遠程安全 連接 通過使用防火墻過濾不安全的服務 提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的 風險 提供對系統(tǒng)的訪問控制 阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息 記 錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù) 攻擊和探測策略執(zhí)行 防火墻屬于 一種被動的安全防御工具 設(shè)立防火墻的目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊 防火墻的 第 12 頁 共 22 頁 主要功能包括以下幾個方面 1 防火墻提供安全邊界控制的基本屏障 設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全 性 降低受攻擊的風險 2 防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實施 防火墻集成所有安全軟件 如口 令 加密 認證 審計等 比分散管理更經(jīng)濟 3 防火墻強化安全認證和監(jiān)控審計 因為所有進出網(wǎng)絡(luò)的數(shù)據(jù)流都必須通 過防火墻 防火墻也能提供日志記錄 統(tǒng)計數(shù)據(jù) 報警處理 審計跟蹤等服務 4 防火墻能阻止內(nèi)部信息泄漏 防火墻實際意義上也是一個隔離器 即能 防外 又能防止內(nèi)部未經(jīng)授權(quán)用戶對外網(wǎng)的訪問 防火墻設(shè)備的部署 可實現(xiàn)以下功能 1 通過防火墻連接 隔離安全區(qū)域 通過對訪問請求的審核 我們隔離了內(nèi)部網(wǎng)絡(luò)同外部網(wǎng)絡(luò)連接 可以達到 保護脆弱的服務 控制對內(nèi)部的訪問 記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用 數(shù)據(jù)和策略執(zhí)行等功能 在有不安全網(wǎng)絡(luò)接入時 全部通信都受到防火墻的監(jiān) 控 通過防護墻的策略可以設(shè)置成相應的保護級別 以保證系統(tǒng)的安全性 2 過濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù) 防火墻是一種網(wǎng)關(guān)型的設(shè)備 各個區(qū)域之間的通信 可以通過防火墻的添 加 如果在其上添加一些策略 就可以過濾掉部分無用的信息 在網(wǎng)絡(luò)中只能 傳輸必要的應用數(shù)據(jù) 3 利用防火墻的帶寬控制功能 調(diào)整鏈路的帶寬利用 防火墻是一種網(wǎng)關(guān)型的設(shè)備 而且防火墻具有帶寬控制的特性 可以依據(jù) 應用來限制流量 來調(diào)整鏈路的帶寬 實現(xiàn)每個用戶 服務器的帶寬控制 提 高鏈路帶寬利用的效率 4 通過防火墻的保護 隱蔽內(nèi)部網(wǎng)絡(luò)信息 提高系統(tǒng)的安全性 使得各個內(nèi)網(wǎng)區(qū)不受到黑客的攻擊 黑客無法通過防火墻進行掃描 攻擊 等非法動作 可防止黑客通過外部網(wǎng)對重要服務器的 TCP UDP 的端口非法掃描 消除系統(tǒng)安全的隱患 可防止攻擊者通過外部網(wǎng)對重要服務器的源路由攻擊 IP 碎片包攻擊 DNS RIP ICMP 攻擊 SYN 攻擊 拒絕服務等多種攻擊 防 第 13 頁 共 22 頁 火墻還具有一定的入侵檢測功能 當發(fā)現(xiàn)有繞過防火墻攻擊重要服務器時 防 火墻將自動報警并根據(jù)策略進行響應 5 強大的應用層控制 防火墻提供應用級透明代理 可以對高層應用 HTTP FTP SMTP POP3 NNTP 做了更詳細控制 如 HTTP 命令 GET POST HEAD 及 URL FTP 命令 GEI PUT 及文件控制 這對 于提高網(wǎng)絡(luò)中的應用服務器的安全非常有意義 3 1 2 入侵防御系統(tǒng) 剛才提到防火墻實現(xiàn)的是不同安全域之間的訪問控制和管理 而入侵防御 系統(tǒng)實現(xiàn)的是對整個內(nèi)網(wǎng)的訪問控制 數(shù)據(jù)包深度過濾 漏洞攻擊防御 郵件 病毒過濾 報文完整性分析等功能 并提供更高的性能 更細的安全控制粒度 更深的內(nèi)容攻擊防御 更大的功能擴展空間 更豐富的服務和協(xié)議支持 為網(wǎng) 絡(luò)提供完整的立體式網(wǎng)絡(luò)安全防護 入侵防御系統(tǒng)是在線部署在網(wǎng)絡(luò)中 提供主動的 實時的防護 具備對 2 到 7 層網(wǎng)絡(luò)的線速 深度檢測能力 同時配合以精心研究 及時更新的攻擊特 征庫 即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)中的病毒 攻擊與濫用行為 也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理 從而達到對網(wǎng)絡(luò)架構(gòu)防護 網(wǎng)絡(luò)性能保護和核心應用防護 第 14 頁 共 22 頁 3 1 3 流量控制系統(tǒng) 隨著互聯(lián)網(wǎng)的逐步發(fā)展 網(wǎng)上用戶和業(yè)務流量在不斷增長 除傳統(tǒng)數(shù)據(jù)業(yè) 務外 網(wǎng)絡(luò)電話 網(wǎng)絡(luò)視頻 P2P 下載等新型網(wǎng)絡(luò)應用使得骨干網(wǎng)絡(luò)中話音 視頻 點到點下載流量在呈幾何基數(shù)級膨脹趨勢 今天的互聯(lián)網(wǎng)用戶中 沒有 聽說或使用過Skype QQ MSN BT Emule PPLive等應用的恐怕已經(jīng)是 極少數(shù) 網(wǎng)絡(luò)應用繁榮的同時 網(wǎng)絡(luò)管理的難度也隨之增加 傳統(tǒng)的網(wǎng)絡(luò)設(shè)備 由于無法識別應用層的流量信息 致使應用級別的管控不到位 網(wǎng)絡(luò)管理的灰 色地帶不斷增加 主要表現(xiàn)在 網(wǎng)絡(luò)透明度降低 無法獲知網(wǎng)上的各種應用及用戶準確分布情況 無 法針對不同用戶 不同應用設(shè)置差異化的管理策略 網(wǎng)絡(luò)資源濫用嚴重 難以進行有效控制管理 如 觀看在線視頻 網(wǎng) 絡(luò)電視 在線影視 利用各種下載工具下載喜歡的音樂 影視等 致 使網(wǎng)絡(luò)鏈路經(jīng)常處于流量飽和的狀態(tài) 無法滿足日益增長的應用需求 關(guān)鍵用戶 關(guān)鍵應用的服務質(zhì)量難以得到有效保障 網(wǎng)絡(luò)應用流量種 類 數(shù)量不斷增多 無序化的競爭經(jīng)常導致關(guān)鍵用戶 關(guān)鍵應用的服 務體驗的降低 網(wǎng)絡(luò)安全性降低 由于網(wǎng)絡(luò)的無序化管理 內(nèi)部人員對網(wǎng)絡(luò)應用的濫 用 大量蠕蟲病毒 DDOS 攻擊趁虛而入 這些以消耗網(wǎng)絡(luò)資源為目 的的流量類攻擊發(fā)展迅猛 卻沒有有效的防范 控制手段 造成網(wǎng)絡(luò) 擁塞 甚至網(wǎng)絡(luò)癱瘓 為網(wǎng)絡(luò)安全帶來了重大的隱患 另外 現(xiàn)有網(wǎng)絡(luò)設(shè)備無法實現(xiàn)應用級別管控還會給各類不同用戶帶來其它 一些嚴重問題 例如 對于企業(yè)網(wǎng)絡(luò) 用戶網(wǎng)絡(luò)行為監(jiān)管困難 既便制定了內(nèi)部網(wǎng)絡(luò)管理條 例 員工的上網(wǎng)行為也難以進行有效的管理 例如 在工作時間炒股 票 大智慧 通花順 錢龍等 玩網(wǎng)絡(luò)游戲 傳奇 魔獸 聯(lián)眾 反 第 15 頁 共 22 頁 恐精英等 用 MSN QQ 等即時通訊工具進行與工作無關(guān)的聊天等 這不僅會影響工作效率 也會給網(wǎng)絡(luò)管理帶來巨大隱患 對于電信運營商網(wǎng)絡(luò) 對應用管控的缺失 造成非法 VoIP P2P 應用 在線視頻應用的泛濫 一方面 其占有了大量的網(wǎng)絡(luò)資源 帶來了擴 容壓力 另一方面 其也對運營商的主營業(yè)務 傳統(tǒng)的語音業(yè)務 新 興的 IPTV 業(yè)務等 收入造成了巨大的影響 對于今天的網(wǎng)絡(luò)管理者而言 如何深度感知網(wǎng)絡(luò)應用 通過適當?shù)膸捁?理技術(shù)來解決帶寬增長與業(yè)務收益 網(wǎng)絡(luò)擴容與用戶體驗之間的不對稱關(guān)系 實現(xiàn)對用戶和業(yè)務的分級化識別管理 和基于用戶和用戶業(yè)務流量的管理和增 值顯得尤為重要 在這種背景下 流量控制系統(tǒng)就能夠很好的解決上述網(wǎng)絡(luò)面臨的問題 它 通過高速數(shù)據(jù)內(nèi)容檢測 數(shù)據(jù)流狀態(tài)監(jiān)測 IP 隧道和微碼固件等方法 在對網(wǎng) 絡(luò)應用深度解析的基礎(chǔ)上 實現(xiàn)了 2 7 層的應用識別分類 流量屬性分析 流 量策略管理 分類統(tǒng)計報告以及狀態(tài)預警等多種功能 流控為提高網(wǎng)絡(luò)透明度 實施網(wǎng)絡(luò)應用服務管理以及拓展網(wǎng)絡(luò)增值業(yè)務提供了有效和可靠的硬件平臺 在對網(wǎng)絡(luò)流量進行精確識別分析進而達到控制的目的的同時 鞏固和加強了網(wǎng) 絡(luò)的安全管理 3 1 4 流量清洗系統(tǒng) 隨著各種業(yè)務對 Internet 依賴程度的日益加強 DDoS 攻擊所帶來的損失也 愈加嚴重 包括運營商 企業(yè)及政府機構(gòu)的各種用戶時刻都受到了 DDoS 攻擊 的威脅 而未來更加強大的攻擊工具的出現(xiàn) 為日后發(fā)動數(shù)量更多 破壞力更 強的 DDoS 攻擊帶來可能 正是由于 DDoS 攻擊非常難于防御 以及其危害嚴重 所以如何有效的應 對 DDoS 攻擊就成為 Internet 使用者所需面對的嚴峻挑戰(zhàn) 網(wǎng)絡(luò)設(shè)備或者傳統(tǒng)的 邊界安全設(shè)備 諸如防火墻 入侵檢測系統(tǒng) 作為整體安全策略中不可缺少的 重要模塊 都不能有效的提供針對 DDoS 攻擊完善的防御能力 面對這類給 Internet 可用性帶來極大損害的攻擊 必須采用專門的設(shè)備 對攻擊進行有效檢 測及阻斷 進而遏制這類不斷增長的 復雜的且極具欺騙性的攻擊形式 因此 第 16 頁 共 22 頁 對骨干設(shè)備的防護也是整個網(wǎng)絡(luò)環(huán)境的關(guān)鍵 建議在互聯(lián)網(wǎng)接入處部署專業(yè)的 DDoS 防護產(chǎn)品 保障用戶網(wǎng)絡(luò)可用性 3 2 應用安全措施 3 2 1 WEB 應用防火墻 隨著信息技術(shù)的不斷發(fā)展 互聯(lián)網(wǎng)已經(jīng)成為信息傳播 流通 交換及存儲 的重要手段 信息高速公路的興建使人類完全突破了傳統(tǒng)的信息獲取方式 存 儲在計算機中的資料都在逐漸增加 對信息的保護比以往更加重要也更加困難 由于 Internet 是個開放的網(wǎng)絡(luò) 網(wǎng)站發(fā)布的信息一天二十四小時都在被查詢 閱讀 下載或轉(zhuǎn)載 網(wǎng)站內(nèi)容復制容易 轉(zhuǎn)載速度快 學校 WEB 站點網(wǎng)頁如 果被篡改 后果難以預料 篡改網(wǎng)頁將會被迅速 廣泛傳播 從而直接危害網(wǎng) 站的利益 尤其是網(wǎng)站上發(fā)布的重要新聞 重大方針政策以及法規(guī)等 一旦被 黑客篡改 將嚴重影響政府形象 甚至造成重大的政治經(jīng)濟損失和惡劣的社會 影響 WEB 服務器前端部署 WEB 應用防火墻 可以提高相關(guān) WEB 站點的安全 性 當出現(xiàn)黑客攻擊或工作人員某些操作失誤 WEB 應用防火墻能夠?qū)崟r恢復 網(wǎng)站文件 保證網(wǎng)站的連續(xù)正常運行 同時還能夠記錄篡改事件的相關(guān)資料 從而為安全部門提供調(diào)查的線索和證據(jù) WEB 應用防火墻具備實時 低耗等性 能指標 既能夠保證篡改頁面的立即恢復 又能保證網(wǎng)站的正常服務性能不受 影響 WEB 應用防火墻支持全透明部署模式 全面支持 HTTPS 協(xié)議 在提供 WEB 應用實時深度防御的同時實現(xiàn) WEB 應用加速及敏感信息泄露防護 能夠 解決應用及業(yè)務邏輯層面的安全問題 特別是解決目前所面臨的各類網(wǎng)站安全 問題 如 注入攻擊 跨站腳本攻擊 釣魚攻擊 惡意編碼 網(wǎng)頁木馬 緩沖區(qū)溢出 信息泄露 應用層 DOS DDOS 攻擊等等 3 2 2 上網(wǎng)行為管理系統(tǒng) 隨著信息化建設(shè)的開展 工作和生活對于互聯(lián)網(wǎng)的依賴性越來越強 在學 第 17 頁 共 22 頁 校職工利用互聯(lián)網(wǎng)獲得更多更及時地資源的時候 一些網(wǎng)絡(luò)性能方面和應用方 面的問題被暴露了出來 大量的 P2P 等非關(guān)鍵應用無情地吞噬著網(wǎng)絡(luò)有限的帶 寬資源 使得網(wǎng)絡(luò)管理人員頭痛不已 在沒有對 P2P 流量進行策略管理的時間 段內(nèi) P2P 等非關(guān)鍵應用的流量幾乎占用了 60 70 的網(wǎng)絡(luò)帶寬 關(guān)鍵性應用如 OA Email WEB 網(wǎng)站等卻得不到保障 會嚴重影響了機關(guān)網(wǎng)絡(luò)的健康發(fā)展 通過在互聯(lián)網(wǎng)出口處部署一臺上網(wǎng)行為管理系統(tǒng) 對互聯(lián)網(wǎng)資源做一個合 理的流量控制 抑制 P2P 的濫用 并保障關(guān)鍵應用的帶寬 大幅度提高訪問互 聯(lián)網(wǎng)的速度 有效提升帶寬利用率 上網(wǎng)行為管理系統(tǒng)提供了強大的網(wǎng)頁過濾功能 屏蔽對非法網(wǎng)站的訪問 提供基于時間 用戶 應用的精細管理策略 控制職工在上班時間玩網(wǎng)絡(luò)游戲 炒股 觀看在線視頻 以及無節(jié)制的網(wǎng)絡(luò)聊天 從而保障工作效率 提供對電 子郵件 即時通訊 論壇發(fā)帖等途徑的外發(fā)信息進行監(jiān)控審計 避免機密信息 泄露或發(fā)表反動言論等 3 2 3 內(nèi)網(wǎng)安全準入控制系統(tǒng) 學校業(yè)務種類越來越多 重要性越來越突出 所以辦公計算機的系統(tǒng)安全 以及日常的運行維護顯的尤為重要 如果出現(xiàn)安全漏洞或安全事故 將會嚴重 影響整體業(yè)務運行安全 由于學校信息化程度較高 終端點數(shù)較多 對 IT 軟硬 件的資產(chǎn)管理及故障維護靠人工施行難度較大 且效率低下 迫切需要通過技 術(shù)手段規(guī)范人員入網(wǎng)及日常終端使用行為 為加強網(wǎng)絡(luò)安全管理及加強內(nèi)部 PC 的安全管理 建議在內(nèi)網(wǎng)部署一套安 全準入控制系統(tǒng) 這套系統(tǒng)將重點解決以下問題 用戶入網(wǎng)身份證書認證化 入網(wǎng)終端登記注冊認證化 違規(guī)終端不準入網(wǎng) 入網(wǎng)終端必合規(guī) 安全檢查一目了然 智能傻瓜式修復 用戶權(quán)限的細粒度分派及管理 全網(wǎng)終端軟硬件資產(chǎn)合理 實時 有序管理 終端系統(tǒng)補丁 殺毒軟件 應用程序等有效統(tǒng)一管理 第 18 頁 共 22 頁 安全準入控制系統(tǒng)可以對所有的入網(wǎng)設(shè)備進行身份認證 包括 MAC 地址 IP 地址 基于用戶名和密碼的身份 接入設(shè)備端口 所在 VLAN 等信息 還支 持 U KEY 支持智能卡 數(shù)字證書認證 LDAP 無縫結(jié)合域管理 保證接入 設(shè)備為合法終端 3 3 安全運維措施 3 3 1 堡壘機 隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進步 業(yè)務應用 辦公系統(tǒng) 不斷推出和投入運行 信息系統(tǒng)在政府機構(gòu)運營中全面滲透 學校信息系統(tǒng)使 用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備 服務器主機來提供基礎(chǔ)網(wǎng)絡(luò)服務 運行關(guān)鍵業(yè)務 由 于設(shè)備和服務器眾多 系統(tǒng)管理員壓力太大等因素 越權(quán)訪問 誤操作 濫用 惡意破壞等情況時有發(fā)生 另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限 闖入 內(nèi)部網(wǎng)絡(luò) 造成不可估量的損失 如何提高系統(tǒng)運維管理水平 跟蹤服務器上 用戶的操作行為 防止黑客的入侵和破壞 提供控制和審計依據(jù) 降低運維成 本 滿足相關(guān)標準要求 越來越成為管理員關(guān)心的問題 通過部署堡壘機 該設(shè)備扮演著看門者的職責 所有對網(wǎng)絡(luò)設(shè)備和服務器 的請求都要從這扇大門經(jīng)過 因此它能夠攔截非法訪問和惡意攻擊 對不合法 命令進行阻斷 過濾掉所有對目標設(shè)備的非法訪問行為 并能夠?qū)⑺械妮敵?信息全部記錄下來 具備審計回放功能 能夠模擬用戶的在線操作過程 豐富 和完善了網(wǎng)絡(luò)的內(nèi)控審計功能 因此 堡壘機能夠極大的保護內(nèi)部網(wǎng)絡(luò)設(shè)備及 服務器資源的安全性 使得內(nèi)部網(wǎng)絡(luò)管理更加合理化和專業(yè)化 第 19 頁 共 22 頁 3 3 2 漏洞掃描系統(tǒng) 在內(nèi)網(wǎng)服務器區(qū)部署一臺漏洞掃描系統(tǒng) 其主要用于分析和指出有關(guān)網(wǎng)絡(luò) 的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié) 給出詳細的檢測報告 并針對檢測到的網(wǎng) 絡(luò)安全隱患給出相應的修補措施和安全建議 漏洞掃描系統(tǒng)通過模擬黑客的進 攻方法 對被檢系統(tǒng)進行攻擊性的安全漏洞和隱患掃描 提交風險評估報告 并提供相應的整改措施 先于黑客發(fā)現(xiàn)并彌補漏洞 防患于未然 預防性的安 全檢查最大限度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患 配合行之有效的整 改措施 可以將網(wǎng)絡(luò)系統(tǒng)的運行風險降至最低 3 3 3 網(wǎng)站監(jiān)控預警平臺 由于針對 Web 系統(tǒng)的網(wǎng)絡(luò)訪問控制措施被廣泛采用 且一般只開放 HTTP 等必要的服務端口 因此黑客已經(jīng)難以通過傳統(tǒng)網(wǎng)絡(luò)層攻擊方式 查找并攻擊 操作系統(tǒng)漏洞 數(shù)據(jù)庫漏洞 攻擊網(wǎng)站 然而 Web 應用程序漏洞的存在更加 普遍 隨著 Web 應用技術(shù)的深入普及 Web 應用程序漏洞發(fā)掘和攻擊速度越來 越塊 基于 Web 漏洞的攻擊更容易被利用 已經(jīng)成為黑客首選 據(jù)統(tǒng)計 現(xiàn)在 第 20 頁 共 22 頁 對網(wǎng)站成功的攻擊中 超過 7 成都是基于 Web 應用層 而非網(wǎng)絡(luò)層 前不久 OWASP Open Web Application Security Project 機構(gòu)發(fā)布了最新的 OWASP Top 10 Application Security Risks SQL 注入和 XSS 攻擊 Cross Site Scripting 跨站腳本攻擊 仍舊排名前兩位 是目前存在最為普遍 利用最為廣泛 造成危害最為嚴重的兩類 Web 威脅 Web 應用與云計算技術(shù)具有天然的聯(lián)姻關(guān)系 基于 SaaS 軟件即服務 的云計算技術(shù)模型 對 Web 安全監(jiān)控系統(tǒng)提出好的解決思路 網(wǎng)站監(jiān)控預警平 臺與 IDC 合作 搭建 Web 安全監(jiān)測系統(tǒng) 對用戶提供基于云計算 SaaS 模 型的 Web 安全監(jiān)測服務 可提供 7 24 小時的實時網(wǎng)站安全監(jiān)測服務 一旦發(fā) 現(xiàn)您的網(wǎng)站存在風險狀況 安全團隊會第一時間通知您 并提供專業(yè)的安全解 決建議 同時 基于 SaaS 的 Web 安全監(jiān)測系統(tǒng)結(jié)合公司安全專家團隊為用戶 定期提供網(wǎng)站系統(tǒng)評估報告 及時 有效地掌握網(wǎng)站的風險狀況及安全趨勢 從而提供穩(wěn)定 安全的 Web 應用環(huán)境 第 21 頁 共 22 頁 3 3 4 網(wǎng)絡(luò)防病毒系統(tǒng) 防病毒系統(tǒng)不僅是檢測和清除病毒 還應加強對病毒的防護工作 在網(wǎng)絡(luò) 中不僅要部署被動防御體系 防病毒系統(tǒng) 還要采用主動防御機制 防火墻 安全策略 漏洞修復等 將病毒隔離在網(wǎng)絡(luò)大門之外 通過管理控制臺統(tǒng)一 部署防病毒系統(tǒng) 保證不出現(xiàn)防病毒漏洞 因此 遠程安裝 集中管理 統(tǒng)一 防病毒策略成為企業(yè)級防病毒產(chǎn)品的重要需求 在跨區(qū)域的廣域網(wǎng)內(nèi) 要保證 整個廣域網(wǎng)安全無毒 首先要保證每一個局域網(wǎng)的安全無毒 也就是說 一個 局域網(wǎng)的防病毒系統(tǒng)是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的 應該根據(jù)每個局 域網(wǎng)的防病毒要求 建立局域網(wǎng)防病毒控制系統(tǒng) 分別設(shè)置有針對性的防病毒 策略 從總部到分支機構(gòu) 由上到下 各個局域網(wǎng)的防病毒系統(tǒng)相結(jié)合 最終 形成一個立體的 完整的病毒防護體系 第 22 頁 共 22 頁 3 3 5 網(wǎng)絡(luò)審計系統(tǒng) 網(wǎng)絡(luò)審計系統(tǒng)以旁路的方式部署在網(wǎng)絡(luò)中 不影響網(wǎng)絡(luò)的性能 具有即時 的網(wǎng)絡(luò)數(shù)據(jù)采集能力 強大的審計分析功能以及智能的信息處理能力 通過使 用該系統(tǒng) 可以實現(xiàn)如下目標 對用戶的網(wǎng)絡(luò)行為監(jiān)控 網(wǎng)絡(luò)傳輸內(nèi)容進行審計 如員工是否在工 作時間上網(wǎng)沖浪 網(wǎng)上聊天 是否訪問內(nèi)容不健康的網(wǎng)站 員工是 否通過網(wǎng)絡(luò)泄漏了公司的機密信息等等 實現(xiàn)對單位業(yè)務系統(tǒng)核心數(shù)據(jù)庫的操作過程進行審計 有效保護業(yè) 務數(shù)據(jù)的完整性 可以對違規(guī)行為進行審計記錄與報警 實現(xiàn)網(wǎng)絡(luò)傳輸信息的保密存儲 實現(xiàn)網(wǎng)絡(luò)行為后期取證 對網(wǎng)絡(luò)潛在威脅者予以威懾