海螺集團(tuán)網(wǎng)絡(luò)規(guī)劃方案

1、海螺集團(tuán)網(wǎng)絡(luò)規(guī)劃方案V1.0北京天融信科技有限公司2011年5月目 錄第一章 前言31.1 設(shè)計(jì)原則31.2 設(shè)計(jì)標(biāo)準(zhǔn)4第二章 安全需求分析52.1 網(wǎng)絡(luò)結(jié)構(gòu)分析52.2 典型安全問題52.3 安全需求分析62.3.1 安全域劃分62.3.2 防火墻安全策略優(yōu)化72.3.3 系統(tǒng)安全加固措施72.3.4 入侵檢測和防范措施72.4 相關(guān)標(biāo)準(zhǔn)要求82.4.1 訪問控制要求82.4.2 入侵防范要求8第三章 安全方案設(shè)計(jì)103.1 安全規(guī)劃設(shè)計(jì)圖103.2 安全措施設(shè)計(jì)123.2.1 安全域劃分123.2.2 安全域邊界隔離與訪問控制123.2.3 服務(wù)器安全加固措施133.2.4 終端安全加固1

2、53.2.5 入侵檢測和防范措施153.3 安全部署規(guī)劃163.3.1 防火墻部署設(shè)計(jì)163.3.2 入侵檢測系統(tǒng)部署設(shè)計(jì)17第四章 方案建設(shè)效果19第一章 前言1.1 設(shè)計(jì)原則適度安全原則任何信息系統(tǒng)都不能做到絕對的安全，需要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。技術(shù)管理并重原則信息安全問題從來就不是單純的技術(shù)問題，也不是單純的管理問題，專網(wǎng)終端管理同樣如此，需要通過管理手段，約束終端適用人員的行為，同時配合技術(shù)的檢測、控制、審計(jì)等手段，對于違反安全策略的用戶和行為，予以拒絕，這樣才能保障各項(xiàng)管理制度能夠有效地執(zhí)行下去，并產(chǎn)

3、生應(yīng)有的效果；標(biāo)準(zhǔn)性原則標(biāo)準(zhǔn)性原則往往是信息安全建設(shè)中重點(diǎn)考慮的因素，在本方案中，將重點(diǎn)參考等級保護(hù)對的一些要求，進(jìn)行設(shè)計(jì)，解決在實(shí)際應(yīng)用中的問題；動態(tài)調(diào)整原則信息安全問題不是靜態(tài)的，它總是隨著組織策略、管理制度、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施；保密性原則本方案應(yīng)當(dāng)遵循保密性原則，重點(diǎn)保護(hù)政務(wù)專網(wǎng)中的重要信息，防止信息通過外聯(lián)、移動介質(zhì)等途徑泄露出去；成熟性原則本方案設(shè)計(jì)采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗(yàn)確實(shí)能夠解決安全問題并在很多項(xiàng)目中有成功應(yīng)用的。1.2 設(shè)計(jì)標(biāo)準(zhǔn)本方案重點(diǎn)參考以下的的政策和標(biāo)準(zhǔn)：指導(dǎo)思想中辦200

4、327號文件（關(guān)于轉(zhuǎn)發(fā)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見的通知）公通字200466號文件（關(guān)于印發(fā)信息安全等級保護(hù)工作的實(shí)施意見的通知）公通字200743號文件（關(guān)于印發(fā)信息安全等級保護(hù)管理辦法的通知）等級保護(hù)GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南技術(shù)方面GA/T671-2006 信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求GB/T aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求管理方面ISO/IEC 27001 信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)方案架構(gòu)IATF 信息保障技術(shù)

5、框架第二章 需求分析針對目前的網(wǎng)絡(luò)現(xiàn)狀，以下主要從網(wǎng)絡(luò)層、應(yīng)用層、安全策略和管理層面對可能遇到安全風(fēng)險(xiǎn)分別進(jìn)行分析。2.1 典型安全問題問題1：ARP風(fēng)暴問題整個網(wǎng)絡(luò)在一個廣播域內(nèi)，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)中的廣播報(bào)文越來越多，當(dāng)用戶感染了ARP病毒以后，不斷向外發(fā)送廣播數(shù)據(jù)包，占用的網(wǎng)絡(luò)資源越來越多，嚴(yán)重影響網(wǎng)絡(luò)性能，引起廣播風(fēng)暴問題。問題2：DOS/DDOS攻擊問題DOS/DDOS攻擊時一種非常有效的攻擊方式，能夠利用大量的服務(wù)請求占用過多的服務(wù)資源，從而使合法用戶無法得到正常的服務(wù)。常見的DOS/DDOS攻擊可分為兩類：一類是針對系統(tǒng)或者協(xié)議漏洞的攻擊，如ping of death,te

6、ardrop等，另一類是消耗計(jì)算機(jī)或者網(wǎng)絡(luò)中有限的資源，占用大量網(wǎng)絡(luò)寬帶，如udp flood ，syn flood ，icmp flood等。問題3終端自身安全帶來的安全隱患終端自身的安全問題也將對信息網(wǎng)絡(luò)造成威脅，比如終端自身已經(jīng)攜帶了病毒，終端沒有安裝防病毒軟件，終端的防病毒軟件沒有及時更新，終端操作系統(tǒng)補(bǔ)丁也沒有及時更新等，這些安全問題將對內(nèi)網(wǎng)其他終端，甚至內(nèi)網(wǎng)服務(wù)器造成很大的麻煩，嚴(yán)重的將導(dǎo)致病毒在網(wǎng)絡(luò)中的傳播，或者終端上攜帶的蠕蟲病毒在網(wǎng)絡(luò)中大量散播的時候，也將導(dǎo)致交換機(jī)的負(fù)荷過重，而引起癱瘓。問題4服務(wù)器安全問題內(nèi)網(wǎng)的應(yīng)用服務(wù)和內(nèi)網(wǎng)終端部署在一個交換機(jī)上，之間沒有任何訪問控制措施

7、，應(yīng)用服務(wù)器采用WIN2003系統(tǒng)，該系統(tǒng)默認(rèn)配置安全級別較低，漏洞較多，容易被蠕蟲病毒、木馬和惡意軟件攻擊，從而影響其他用戶的使用。2.2 安全需求分析2.2.1 安全域劃分在安全防御體系構(gòu)建中，我們一般所說的安全域是指網(wǎng)絡(luò)安全域，即同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。建議在省海螺集團(tuán)網(wǎng)絡(luò)中根據(jù)實(shí)際業(yè)務(wù)需求劃分不同的安全域，通過防火墻進(jìn)行嚴(yán)格訪問控制，實(shí)行授權(quán)的最小化。安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。2.2.2 防火墻安全策

8、略優(yōu)化防火墻是互聯(lián)網(wǎng)和內(nèi)網(wǎng)之間安全隔離設(shè)備，它的作用是通過允許、拒絕或重定向經(jīng)過防火墻的數(shù)據(jù)流，防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出網(wǎng)絡(luò)，并對網(wǎng)絡(luò)服務(wù)和訪問進(jìn)行審計(jì)和控制。實(shí)現(xiàn)這些功能的前提是配置良好的安全策略，經(jīng)過優(yōu)化后的防火墻具有較強(qiáng)的抗攻擊能力。2.2.3 VPN互聯(lián)海螺集團(tuán)規(guī)模龐大，也經(jīng)常需要與各個下屬單位交互信息。同時，集團(tuán)人員的出差移動辦公需求也日益迫切。所有的應(yīng)用，都離不開一個基本前提：都要先建立一個可以安全的、可靠的、互聯(lián)互通的基礎(chǔ)網(wǎng)絡(luò)平臺。建立這樣的基礎(chǔ)網(wǎng)絡(luò)，傳統(tǒng)的做法對于大部分企業(yè)來講，無論在建設(shè)成本上還是后期維護(hù)上，要建立一個物理專網(wǎng)都是比較困難的。隨著Internet的迅猛

9、發(fā)展及VPN技術(shù)的出現(xiàn)，為集團(tuán)信息化應(yīng)用提供了良機(jī)和更好的選擇。VPN是利用公共網(wǎng)絡(luò)資源來構(gòu)建的虛擬專用網(wǎng)絡(luò)，它是通過特殊設(shè)計(jì)的硬件或軟件直接在共享網(wǎng)絡(luò)中通過隧道、加密技術(shù)來保證用戶數(shù)據(jù)的安全性，提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。使得整個網(wǎng)絡(luò)在邏輯上成為一個單獨(dú)的透明內(nèi)部網(wǎng)絡(luò)，具有安全性、可靠性和可管理性。今天，VPN虛擬專用網(wǎng)已經(jīng)具有與專線幾乎相近的穩(wěn)定性和安全性。第三章 訪問控制要求a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能； b) 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級； c) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層 HTTP、FT

10、P、TELNET、SMTP、POP3等協(xié)議命令級的控制； d) 應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接； e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙； g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個用戶； h) 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。第四章 安全方案設(shè)計(jì)4.1 安全規(guī)劃設(shè)計(jì)圖 4.2 安全措施設(shè)計(jì)4.2.1 安全域劃分安全域的劃分除了需根據(jù)業(yè)務(wù)特點(diǎn)、地域部署方式、管理模式等因素綜合考慮劃分安全域。按照以上劃分方法，安全域的典型劃分如下：l 服務(wù)器域

11、：包括承載關(guān)鍵業(yè)務(wù)的服務(wù)器系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等；l 外網(wǎng)組域：包括海螺集團(tuán)接入互聯(lián)網(wǎng)終端和訪問服務(wù)器域資源用戶。l 內(nèi)網(wǎng)組域：包括下屬單位及員工的接入終端；4.2.2 安全域邊界隔離與訪問控制在安全域防護(hù)過程中，首先要實(shí)現(xiàn)的就是區(qū)域邊界隔離與訪問控制，特別是在服務(wù)器域、互聯(lián)網(wǎng)組域和內(nèi)網(wǎng)組域等區(qū)域的邊界，應(yīng)采用專業(yè)的邊界隔離防護(hù)設(shè)備，目前天融信防火墻是很好的選擇。將防火墻部署于網(wǎng)絡(luò)安全域之間信息的唯一連接處，根據(jù)海螺集團(tuán)的業(yè)務(wù)特點(diǎn)、管理制度所制定的安全策略，運(yùn)用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實(shí)現(xiàn)對出入各區(qū)域網(wǎng)絡(luò)的信息流進(jìn)行全面的控制（允許通過、拒絕通過、過程監(jiān)測），控制類別包括IP地址、TCP/UDP端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個方面，可以實(shí)現(xiàn)對不良網(wǎng)站的封堵。在這里引入防火墻，重點(diǎn)是要隔離各安全區(qū)域的邊界，并根據(jù)業(yè)務(wù)類型來限制不同區(qū)域之間的訪問。第五章 方案建設(shè)效果本方案采用基于安全域劃分和縱深防御理