外網(wǎng)安全解決方案2003

以創(chuàng)新為動(dòng)力以服務(wù)為根本 外網(wǎng)安全解決方案XXXXX有限公司2011-7-4目錄 一.前言 3二.網(wǎng)絡(luò)現(xiàn)狀 3三.需求分析 43.1威脅分析 43.2外部威脅 43.2.1.內(nèi)部威脅 53.3風(fēng)險(xiǎn)分析 53.3.2攻擊快速傳播引發(fā)的安全風(fēng)險(xiǎn)與IDS的不足 63.3.3日志存儲(chǔ)存在風(fēng)險(xiǎn) 63.3.4需求分析 7四.解決方案 74.1入侵保護(hù)系統(tǒng)和外置數(shù)據(jù)中心部署 94.1.1部署圖 94.1.2部署說(shuō)明 94.2功能與效益 10xxxx所外網(wǎng)安全解決方案前言隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展，尤其是互聯(lián)網(wǎng)的廣泛普及和應(yīng)用，網(wǎng)絡(luò)正逐步改變著人類(lèi)的生活和工作方式。網(wǎng)絡(luò)與信息技術(shù)對(duì)社會(huì)的各行各業(yè)產(chǎn)生了巨大深遠(yuǎn)的影響，信息安全的重要性也在不斷提升。近年來(lái)，軍工企業(yè)所面臨的安全問(wèn)題越來(lái)越復(fù)雜，安全威脅正在飛速增長(zhǎng)，如蠕蟲(chóng)、病毒、木馬、DDoS攻擊、垃圾郵件，木馬引起的計(jì)算機(jī)資料被篡改、竊取等，極大地困擾著用戶(hù)，給企業(yè)的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞。能否及時(shí)發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵、和內(nèi)部有意無(wú)意破壞保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行便成為所有企業(yè)所面臨的一個(gè)重要問(wèn)題。陜西中微航信電子科技有限公司是一家專(zhuān)業(yè)從事信息安全產(chǎn)品銷(xiāo)售及整體解決方案的高新技術(shù)企業(yè)。公司專(zhuān)注于信息安全領(lǐng)域，以保護(hù)國(guó)家機(jī)密、商業(yè)機(jī)密，防止重要信息泄漏為己任，為各類(lèi)用戶(hù)構(gòu)筑安全可信的信息堡壘。我們根據(jù)705外網(wǎng)實(shí)際環(huán)境制定相應(yīng)的解決方案。網(wǎng)絡(luò)現(xiàn)狀出口帶寬為電信10M光纖接入，通過(guò)交換機(jī)分成兩路分支，一路為接待區(qū)，一路為辦公區(qū)。辦公區(qū)客戶(hù)通過(guò)二層交換機(jī)、安氏防火墻（已無(wú)法配置）、深信服上網(wǎng)優(yōu)化網(wǎng)關(guān)SG3200組成的百兆局域網(wǎng)?？蛻?hù)端為辦公上網(wǎng)終端、管理網(wǎng)絡(luò)設(shè)備終端和臨時(shí)網(wǎng)吧終端組成。辦公區(qū)拓?fù)淙缦拢?需求分析威脅分析由于網(wǎng)絡(luò)連接互聯(lián)網(wǎng)，網(wǎng)絡(luò)的使用者既有來(lái)自互聯(lián)網(wǎng)的用戶(hù)、合作伙伴、網(wǎng)民，也有來(lái)自企業(yè)內(nèi)部的員工，因此企業(yè)網(wǎng)絡(luò)面臨來(lái)自?xún)蓚€(gè)方面的安全威脅：外部威脅黑客掃描和攻擊Internet網(wǎng)絡(luò)的惡意入侵者可能因?yàn)樯虡I(yè)的目的或者是隨機(jī)的目的對(duì)企業(yè)網(wǎng)絡(luò)發(fā)起惡意掃描和滲透式入侵，通過(guò)滲透或繞過(guò)防火墻，進(jìn)入企業(yè)網(wǎng)絡(luò)，獲取、篡改甚至破壞敏感的數(shù)據(jù)。病毒或蠕蟲(chóng)侵襲Internet網(wǎng)絡(luò)上大量肆虐的網(wǎng)絡(luò)蠕蟲(chóng)病毒具備滲透防火墻的傳播能力，他們可以穿透防火墻進(jìn)入企業(yè)網(wǎng)絡(luò)；一旦遭受了病毒和蠕蟲(chóng)的侵襲，不僅會(huì)造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，同時(shí)也會(huì)對(duì)核心敏感的數(shù)據(jù)造成嚴(yán)重的威脅，甚至造成泄密事件。.內(nèi)部威脅無(wú)意識(shí)的外部風(fēng)險(xiǎn)引入企業(yè)網(wǎng)絡(luò)中，由于安全技能和安全意識(shí)存在差異，員工可能無(wú)意識(shí)的通過(guò)互聯(lián)網(wǎng)絡(luò)將Internet上危險(xiǎn)的、惡意的木馬程序和惡意代碼下載到內(nèi)部網(wǎng)絡(luò)執(zhí)行，甚至將Internet上的蠕蟲(chóng)、網(wǎng)絡(luò)病毒傳播進(jìn)入內(nèi)部網(wǎng)絡(luò)，這將對(duì)企業(yè)網(wǎng)絡(luò)的安全帶來(lái)嚴(yán)重威脅；內(nèi)部故意破壞企業(yè)需要考慮內(nèi)部的不滿(mǎn)員工惡意破壞信息網(wǎng)絡(luò)、系統(tǒng)和泄漏敏感數(shù)據(jù)的可能；風(fēng)險(xiǎn)分析依據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀和相關(guān)業(yè)務(wù)情況，我們主要從以下幾個(gè)方面關(guān)注可能面臨的安全風(fēng)險(xiǎn)：防火墻的局限絕大多數(shù)人在談到網(wǎng)絡(luò)安全時(shí)，首先會(huì)想到“防火墻”，企業(yè)一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無(wú)法滿(mǎn)足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一步完善。傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個(gè)方面：防火墻作為訪問(wèn)控制設(shè)備，無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對(duì)WEB服務(wù)的CodeRed蠕蟲(chóng)等。有些主動(dòng)或被動(dòng)的攻擊行為是來(lái)自防火墻內(nèi)部的，防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。如果有哪臺(tái)電腦中了木馬或者被控制，內(nèi)網(wǎng)所有電腦都會(huì)被感染，沒(méi)人敢保證他們內(nèi)網(wǎng)的那些電腦完全沒(méi)有涉密信息，不出問(wèn)題則以，一出問(wèn)題前面所有的努力都前功盡棄了防火墻無(wú)法防御內(nèi)部病毒、攻擊示意圖如下：攻擊快速傳播引發(fā)的安全風(fēng)險(xiǎn)與IDS的不足目前利用漏洞傳播的蠕蟲(chóng)、病毒、間諜軟件、DDoS攻擊、垃圾郵件等混合威脅越來(lái)越多，傳播速度加快，留給人們響應(yīng)的時(shí)間越來(lái)越短，使用戶(hù)來(lái)不及對(duì)入侵做出響應(yīng)，比如蠕蟲(chóng)爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓。入侵檢測(cè)系統(tǒng)IDS雖然能檢測(cè)出攻擊行為，但無(wú)法有效阻斷攻擊。另外，網(wǎng)絡(luò)防病毒系統(tǒng)屬于被動(dòng)防護(hù)，對(duì)于新的未知蠕蟲(chóng)病毒，防病毒軟件無(wú)法檢測(cè)出。因此如何保證企業(yè)網(wǎng)絡(luò)在安裝最新安全補(bǔ)丁之前，網(wǎng)絡(luò)不會(huì)被蠕蟲(chóng)、病毒、黑客等攻擊造成網(wǎng)絡(luò)癱瘓，這是目前企業(yè)關(guān)注的問(wèn)題。日志存儲(chǔ)存在風(fēng)險(xiǎn)根據(jù)保密標(biāo)準(zhǔn)123條和132條嚴(yán)格規(guī)定要有完善的日志審計(jì)系統(tǒng)并且不允許隨意刪除審計(jì)日志，同時(shí)審計(jì)日志是違規(guī)取證的重要手段。目前外網(wǎng)審計(jì)設(shè)備為深信服SG3200上網(wǎng)優(yōu)化網(wǎng)關(guān)，內(nèi)置數(shù)據(jù)中心硬盤(pán)為250G，雖然該設(shè)備日志審計(jì)功能相當(dāng)完善，但是當(dāng)內(nèi)部數(shù)據(jù)中心硬盤(pán)存滿(mǎn)后網(wǎng)關(guān)會(huì)自動(dòng)刪除最早的日志記錄，造成了日志文件不全的問(wèn)題，假如發(fā)生設(shè)備硬件軟件故障、病毒入侵、人為、天災(zāi)等因素造成日志文件丟失勢(shì)必會(huì)對(duì)企業(yè)造成很大的損失。需求分析根據(jù)對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析，我們發(fā)現(xiàn)企業(yè)的信息安全需求主要在以下方面：防御來(lái)自外部的威脅，阻止蠕蟲(chóng)、網(wǎng)絡(luò)病毒、間諜軟件和黑客攻擊對(duì)企業(yè)網(wǎng)絡(luò)造成的安全損失，提高企業(yè)網(wǎng)絡(luò)的整體抗攻擊能力；防御來(lái)自?xún)?nèi)部的威脅，阻止蠕蟲(chóng)、網(wǎng)絡(luò)病毒爆發(fā)對(duì)企業(yè)內(nèi)部服務(wù)器和網(wǎng)絡(luò)的破壞，保障企業(yè)業(yè)務(wù)系統(tǒng)的正常運(yùn)行，減少敏感信息被非法竊取的可能。監(jiān)控企業(yè)網(wǎng)絡(luò)的安全運(yùn)行，全面把握安全狀態(tài)，以便于及時(shí)的發(fā)現(xiàn)安全攻擊，防止安全事件的發(fā)生。審計(jì)日志等重要數(shù)據(jù)應(yīng)當(dāng)建立容災(zāi)系統(tǒng)，即使設(shè)備因意外情況損壞、日志被有意無(wú)意刪除等情況發(fā)生也能第一時(shí)間恢復(fù)數(shù)據(jù)。因此在企業(yè)網(wǎng)絡(luò)中部署新一代安全產(chǎn)品——入侵保護(hù)系統(tǒng)（IPS），能夠有效防御各種攻擊，控制網(wǎng)絡(luò)資源濫用，保證網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行。另外建議增加一臺(tái)外置數(shù)據(jù)中心服務(wù)器作為審計(jì)日志容災(zāi)系統(tǒng)，可以自動(dòng)或者手動(dòng)定期同步各種網(wǎng)絡(luò)設(shè)備、審計(jì)設(shè)備的審計(jì)日志，全面解決因病毒、人為、設(shè)備故障、天災(zāi)等引起的審計(jì)日志丟失。解決方案入侵保護(hù)系統(tǒng)IPS（IntrusionPreventionSystem）提供一種主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)旨在對(duì)常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè)，阻止入侵活動(dòng)，預(yù)先對(duì)攻擊性的流量進(jìn)行自動(dòng)攔截，使它們無(wú)法造成損失，而不是簡(jiǎn)單地在傳送惡意流量的同時(shí)或之后發(fā)出警報(bào)。IPS是通過(guò)直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時(shí)，如果檢測(cè)到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。外置數(shù)據(jù)中心系統(tǒng)可以第一時(shí)間同步深信服SG3200的內(nèi)部審計(jì)日志，也可以手動(dòng)存儲(chǔ)其他審計(jì)設(shè)備、網(wǎng)絡(luò)設(shè)備的日志信息。同時(shí)又可以作為一臺(tái)日志容災(zāi)服務(wù)器。入侵保護(hù)系統(tǒng)和外置數(shù)據(jù)中心部署部署圖部署說(shuō)明根據(jù)安全風(fēng)險(xiǎn)分析、安全目標(biāo)和設(shè)計(jì)原則，我們?cè)诔浞掷矛F(xiàn)有資源、盡量在少投入、少改動(dòng)的基礎(chǔ)上，建議使用以下集防護(hù)、檢測(cè)和響應(yīng)于一體的安全解決方案。具體部署方式如下：在企業(yè)互聯(lián)網(wǎng)出入口處在線部署1臺(tái)網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)分別連接ISP路由器、DMZ區(qū)和內(nèi)網(wǎng)的核心交換機(jī)相連，可以入侵保護(hù)，又可以發(fā)揮集成防火墻的功能，最大化利用資源，也可以將接待區(qū)接入NIPS實(shí)現(xiàn)全網(wǎng)防護(hù)，節(jié)約投資；IPS選擇路由工作模式，部署在網(wǎng)絡(luò)邊界，類(lèi)似于一個(gè)靜態(tài)的路由器，又相當(dāng)于一臺(tái)防火墻，可以實(shí)現(xiàn)NAT，策略路由等功能；IPS進(jìn)行入侵行為檢測(cè)、分析和實(shí)時(shí)響應(yīng)，自動(dòng)阻斷黑客攻擊，切實(shí)有效的保護(hù)企業(yè)網(wǎng)絡(luò)的安全；在安全管理區(qū)域部署一臺(tái)外置數(shù)據(jù)中心服務(wù)器作為審計(jì)日志容災(zāi)系統(tǒng)，可以自動(dòng)或者手動(dòng)定期同步各種網(wǎng)絡(luò)設(shè)備、審計(jì)設(shè)備的審計(jì)日志，全面解決因病毒、人為、設(shè)備故障、天災(zāi)等引起的審計(jì)日志丟失。功能與效益布署網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)會(huì)給企業(yè)網(wǎng)絡(luò)帶來(lái)以下安全功能的提高：只需部署一個(gè)IPS，同時(shí)擁有IDS+IPS+FW的全部功能，降低企業(yè)整體的安全費(fèi)用并且完全滿(mǎn)足保密資格標(biāo)準(zhǔn)。實(shí)時(shí)發(fā)現(xiàn)和阻斷來(lái)自Internet的蠕蟲(chóng)、病毒、間諜軟件和黑客等攻擊和入侵，竊取敏感信息，防止黑客帶來(lái)的安全損失；實(shí)時(shí)發(fā)現(xiàn)