技术建议书-安全解决方案技术建议书(边界防护、行为监管)v1.0.doc
《技术建议书-安全解决方案技术建议书(边界防护、行为监管)v1.0.doc》由会员分享,可在线阅读,更多相关《技术建议书-安全解决方案技术建议书(边界防护、行为监管)v1.0.doc(20页珍藏版)》请在咨信网上搜索。
1、杭州华三通信技术有限公司 XXXXXX网络安全建设技术建议书2008年2月目 录1.XX网络安全现状22.H3C安全解决方案理念42.1.智能安全渗透网络局部安全42.2.智能安全渗透网络全局安全52.3.智能安全渗透网络智能安全53.建设原则及设计思路63.1.安全平台设计思路63.1.1.以安全为核心划分区域63.1.2.用防火墙隔离各安全区域73.1.3.对关键路径进行深入检测防护83.1.4.对用户非法上网行为进行识别和控制83.1.5.对全网设备进行统一安全管理并进行用户行为审计93.1.6.根据实际需要部署其他安全系统94.XXXX网络安全解决方案114.1.1.边界安全防护114
2、.1.2.用户行为监管124.1.3.统一安全管理中心145.安全管理建议(供参考)155.1.安全管理组织结构155.1.1.人员需求与技能要求155.1.2.岗位职责155.2.安全管理制度165.2.1.业务网服务器上线及日常管理制度165.2.2.安全产品管理制度175.2.3.应急响应制度175.2.4.制度运行监督17191. XX网络安全现状随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现
3、金,数字货币,网络银行等新兴业务的兴起,网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失十分巨大,仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元以上。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。目前,网络技术已在XX行业得到了全面应用,大大提高了XX行业的业务处理效率和管理水平,促成了各项创新的业务的开展,改善了整个XX行业的经营环境,增强了信息的可靠性,服务于社会的手段更趋现代化。但是,同其他任何行业一样,网
4、络安全风险的阴霾如同网络技术的孪生子,伴随着网络技术在XX行业的全面应用而全面笼罩在XX行业的每个业务角落。而且,对XX行业网络系统的攻击,可能造成国家经济命脉的瘫痪和国家经济的崩溃,因此XX行业的网络安全问题是一个关系到国计民生的重大问题,也是所有网络安全厂商非常关心的问题。目前的主要网络安全威胁包括以下方面:非法访问:现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面XX行业(如银行)开发的很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能会通过这些接口攻击银行,造成巨大损失。失密和窃密:利用搭线窃
5、听窃收,使用协议分析仪器窃收计算机系统的操作密码,破解系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息。信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信息。内部人员破坏:内部人员熟悉XX行业网络系统的应用业务和薄弱环节,可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。黑客入侵:利用黑客技术非法侵入XX行业的网络系统,调阅各种资料,篡改他人的资料,破坏系统运行,或者进行有目的的金融犯罪活动。假冒和伪造:假冒和伪造是XX行业网络系统中经常遇见的攻击手段。如伪造各类业务信息,未授权篡改数据,改变业务信息流的次序、时序、流向,破坏金融信息的完整性
6、,假冒合法用户实施金融欺诈等。蠕虫、病毒泛滥:蠕虫、病毒泛滥可能导致XX行业的重要信息遭到损坏,或者导致XX行业网络系统瘫痪,如2003年初的SQL Slammer蠕虫,导致了全国金融业务的大面积中断。拒绝服务:拒绝服务攻击使XX行业的电子商务网站无法为客户提供正常服务,造成经济损失,同时也使行业形象受到损害。用户非法上网行为:大量P2P/IM应用的泛滥,导致带宽被占用和网络的严重拥塞;同时上班炒股、网络游戏、不良网站访问等非法行为也导致了员工工作效率下降,并且极易感染蠕虫和病毒。此外,随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性能要求的不断提高,网络安全管理也逐步成为
7、网络技术发展中一个极为关键的任务,对网络的发展产生很大的影响,成为现代信息网络中最重要的问题之一。如果没有一个高效和统一的安全管理系统对网络安全进行管理,就很难使管理员对网络的安全状况有清楚的认识。因此,找到一种使网络运作更安全,更实用,更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求。2. H3C安全解决方案理念在这种咄咄逼人的安全形势下,需要一个全方位一体化的安全部署方式。H3C数据中心安全解决方案秉承了H3C一贯倡导的“智能安全渗透理念”,将安全部署渗透到整个网络的设计、部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到了使安全贯穿数据链路层到网络应用层的目
8、标,使安全保护无处不在。智能安全渗透网络(iSPN)提出了一个整体安全架构,从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。图1 智能安全渗透网络结构2.1. 智能安全渗透网络局部安全网络安全最基础的防护方式是关键点安全,即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品,进行27层的威胁防范,当前企业绝大
9、部分采用的都是这种单点威胁防御方式。这种局部安全方式简单有效并有极强的针对性,适合网络建设已经比较完善而安全因素考虑不足的情况。在这种方式下,H3C强调通过“集成”来提供最佳的防御效果,即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式,实现了安全技术和网络技术在无缝融合上做出的第一步最佳实践。2.2. 智能安全渗透网络全局安全由于安全产品种类的不断丰富,使得局部安全可以应对企业的大部分基础网络安全问题。然而此时用户意识到,局部安全的防护手段相对比较孤立,只有将产品的相互协作作为安全规划的必备因素,形成整网的安全保护才能抵御日趋严重的混合型安全威胁。为此,H
10、3C推出了全局安全理念,借助于IToIP的网络优势,通过技术和产品的协作,将网络中的多个网络设备、安全设备和各组件联动起来,并通过多层次的安全策略和流程控制,向用户提供端到端的安全解决方案。以H3C的端点准入防御及安全事件分析机制为例,它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。在统一的安全策略下,利用各部分组件的协同联动,保证网络各端点的安全性与可控性;同时,在统一的平台上进行安全事件的收集、整理、分析,可以做到整网安全风险的提前预防与及时控制。2.3. 智能安全渗透网络智能安全随着网络建设的日趋完善,面向业务的安全已经成为新的发展方向。只有理解企业
11、业务,将企业的业务需求及流程建设充分融合到网络安全建设中来,从信息的计算、通信及存储等信息安全状态出发,以面向应用的统一安全平台为基础,通过安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应,将智能的安全融入企业业务流程中,形成开放融合、相互渗透的安全实体,才能实现真正的网络安全智能化。帮助企业将业务信息的所有状态都控制在安全管理的范围内,这样的需求正是智能安全产生的原动力。完善的安全管理体制是加强信息系统安全防范的组织保证。iSPN全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据,保证企业信息系统的安全运行。iSPN全局安全管理平台以开放的安
12、全管理中心和智能管理中心为框架,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应,在现有安全设施的基础上构建一个智能安全防御体系,大幅度提高企业网络的整体安全防御能力。H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。高效的安全解决方案不仅仅在于当安全事件发生时,我们能够迅速察觉、准确定位,更重要的是我们能够及时制定合理的、一致的、完备的安全策略
13、,并最大限度的利用现有网络安全资源,通过智能分析和协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础上,H3C iSPN为实现这一目标而构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台,通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理,将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来,构成了一个智能的、联动的闭环响应体系,可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。H3C将以全新的iSPN理念配合先进的产品技术与日趋完善的面向应用解决方案,为企业打造一个领先的、全面的、可信赖的IP安全平
14、台。3. 建设原则及设计思路3.1. 安全平台设计思路XXXXXX的网络应用对安全的要求比较高,根据对XXXXXX网络和应用的理解,结合在XX行业的成功经验,提出了如下安全建设思路。3.1.1. 以安全为核心划分区域现有网络大多是以连通性作为中心进行设计的,而很少考虑安全性。例如最典型的网络三层架构模型(核心层、汇聚层、接入层架构)中,网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计。所谓以安全为核心的设计思路就是要求在进行网络设计时
15、,首先根据现有以及未来的网络应用和业务模式,将网络分为不同的安全区域,在不同的安全区域之间进行某种形式的安全隔离,比如采用防火墙隔离业务网和办公网。针对XXXXX网络安全实际情况,可划分出不同的安全分区级别,详细定义如下: DMZ区:DMZ区包括省级网络连接贵州省电子政务网区域、INTERNET服务区以及贵州省劳动和社会保障厅对社会公众提供服务的服务群(如:对外发布系统服务器区等),该区域都是暴露在外面的系统,因此,对安全级别要求比较高。 互联网服务区:互联网业务应用系统集合构成的安全区域,主要实现公开网站、外部邮件系统、远程办公用户、部分分支机构以及部分合作伙伴的VPN接入等功能。 远程接入
16、区:合作业务应用系统集合构成的安全区域,主要实现与原材料供应商、渠道商等合作伙伴的业务应用功能。考虑到部分合作伙伴会采用VPN方式接入,基于安全性考虑,其与互联网服务区应该有独立的物理连接。根据应用要求,可以进一步划分为互联网业务区、VPN接入区等。 广域网分区:在之前的网络建设中,企业通过专线连接国内的分支机构。广域网连接区就是专线网络的链路及全部路由器构成的安全区域,这一安全区域内部没有具体的应用系统,主要实现网络连接功能,定义这一安全区域是为了方便网络管理。 数据中心区:由贵州省金保业务服务区服务群构成,是贵州省金保一切业务应用活动的基础,包括生产区、交换区、决策区。这个区域的安全性要求
17、最高,对业务连续性要求也最高。要求不能随便进行任何可能影响业务的操作,包括为服务器打补丁,管理起来也最为复杂。 网络管理区:网络管理员及网管应用系统构成的安全区域,一切网络及安全的管理和维护工作都在这一区域完成。网络管理区域的资产在定义中属于支撑部门资产集合,但是鉴于网络管理的特殊性,将这一部分资产独立设置安全区域。 内部办公区:数据中心内部办公计算机构成的安全区域。安全性和业务持续性要求最低,管理难度大,最容易遭受蠕虫的威胁。3.1.2. 用防火墙隔离各安全区域防火墙作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务
18、,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效监不同安全网络之间的任何活动。防火墙在网络间实现访问控制,比如一个是用户的安全网络,称之为被信任应受保护的网络,另外一个是其它的非安全网络称为某个不被信任并且不需要保护的网络。防火墙就位于一个受信任的网络和一个不受信任的网络之间,通过一系列的安全手段来保护受信任网络上的信息。3.1.3. 对关键路径进行深入检测防护虽然,网络中已部署了防火墙等基础网络安全产品,但是,在网络的运行维护中,IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周,而是自200
19、3年以来,蠕虫、点到点,入侵技术日益滋长并演变到应用层面(L7)的结果,而这些有害代码总是伪装成客户正常业务进行传播,目前部署的防火墙等安全产品其软硬件设计当初仅按照其工作在L2-L4时的情况考虑,不具有对数据流进行综合、深度监测的能力,自然就无法有效识别伪装成正常业务的非法流量,结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。因此在关键路径上部署独立的具有深度检测防御的IPS(入侵防御系统)就显得非常重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有:l 入侵非法用户的违规行为;l 滥用用户的违规行为;深度检测防御识别
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 技术 建议书 安全 解决方案 边界 防护 行为 监管 v1
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。