企业安解决方案模板
北京天融信科技
2005年6月
目 录
第章 前言 3
背景 3
工程概述 3
第二章 XX企业信息网络整体安体系设计 5
信息安体系设计原 5
信息安体系结构分析 6
安效劳模型 7
协议层次安模型 7
安实体单元 8
第三章 XX企业信息网络安现状需求分析 10
XX企业网络安现状威胁分析 10
部网络Internet互联安威胁 11
部网络安威胁 11
系统安风险分析 13
病毒XX企业网络安运营安威胁 14
安效劳体系健全威胁 14
XX企业安需求 14
防病毒体系需求 14
强制性网软件需求 15
防火墙需求 15
滤网关需求 16
入侵检测需求 16
漏洞扫描需求 16
安装需求 16
第四章 信息网络安方案设计 17
安理 17
安防护 17
安监测 17
病毒防护 18
安效劳 18
第五章 XX企业网络安工程解决方案 19
XX企业防火墙解决方案 19
XX企业防火墙部署 19
XX企业防火墙作 23
XX企业入侵检测方案 24
XX企业漏洞扫描解决方案 26
XX企业防病毒解决方案 27
网络版防病毒解决方案 27
网关防病毒解决方案 28
XX企业安理系统解决方案 29
第章 前言
11 背景
着年网络安事件断发生安问题已成IT业热点安问题XX企业开展越越重安问题已成影响XX企业业务台稳定性业务正常提供问题提升XX企业身安性已成XX企业增强企业竞争力重方面
XX企业集团国家重点支持520家工业企业型支柱产业集团着信息技术迅猛开展XX企业集团领导充分认识网络安建设重性更开展生产科研工作决定现信息系统进行网络安技术改造
12 工程概述
次信息安工程包括XX企业集团属企业附属机构分支机构网络安系统建设需相关设备软件方案详细设计系统集成理制度建立培训技术支持效劳等容实施网络现应根底改造网络整体安加固新系统时影响原系统应整体性
建立整体网络安体系
建设整体防病毒体系保证网络病毒会公司干网传入专网保证远程VPN网络户病毒会传入公司干网
INTERNET新病毒反响处理速度方时震荡波〞病毒黄金响应〞时间通知防范相应补丁没扩散范围时发现病毒果网存病毒够定位知道机器种病毒够相应日志
保证系统效劳器生产专网 站专网高性抗攻击性
够查询谁什时间什点什方式访问什网络资源什网站分户分时间段分效劳类详细清单统计报表
强制性理终端户设备统规划策略理终端户设备终端户设备组
够时觉知谁攻击探测网络时阻断攻击非法探测详细日志发生外部入侵进时必须时报警发邮件理员邮箱提供相应策略
公司网安够做:谁非法手段扫描攻击效劳器机器谁私改IP址新机器接入网非法外网便安装卸载软件等等违反规定机器相应日志进行阻断
公司生产子网做安隔离XX企业干网病毒传播传该子网中该子网保存必数通讯端口干网络通讯端口必须屏蔽掉
评估网络效劳器明确应存漏洞补救措施前发现漏洞弥补弥补应急措施预案
种系统具备完善日志审计功追溯安事件方式出具种报表
第二章 XX企业信息网络整体安体系设计
21 信息安体系设计原
XX企业信息安保障系统涉整工程层次网络信息安方案设计遵循原:
● 整体安
XX企业信息安保障系统复杂安系统工程安需求种单元技术法解决必须完整安体系结构出发综合考虑信息网络种实体环节综合层次种安手段信息网络业务系统提供全方位安效劳
● 效理
没效安理〔防火墙监控审计日志分析等等〕种安机制效性难保证XX企业信息安保障系统提供种安效劳涉层次实体种安技术效安理保证安控制机制真正效发挥作
● 合理折衷
XX企业信息安保障系统建设程中单纯考虑安惜切代价合理安花费系统性易性理复杂性矛盾安保障体系设计应该四方面找合理折衷点接受风险范围投资换取安性时性开销理复杂影响整系统高效运行总体目标
● 责权清楚
采分层分级理模式:方面XX企业信息系统分三层:信息网络计算机系统应系统方面网络应系统中心属等分级结构级网络理中心负责网络安运行应信息系统提供安网络效劳级信息中心负责计算机系统应系统安理
● 综合治理
XX企业信息系统安建设系统工程信息网络安样绝仅仅技术问题种安技术应该运行理机制员思想教育技术培训安法律法规建设相结合社会系统工程角度综合考虑
22 信息安体系结构分析
XX企业信息系统安需求种单元安技术法解决安方案设计必须科学安体系结构模型保障整安体系完备性合理性
信息网络安体系结构研究说明想角度出整信息系统完整安模型困难鉴美国国防部DISSP方案中安框架提出适合XX企业信息系统安体系结构模型该模型安效劳协议层次系统单元三层面描述层面包含安理容该模型整体表现三线立体框架结构
信息网络安体系结构
安效劳取国际标准化组织制订安体系结构模型ISO7498ISO7498根底增加审计功性效劳
协议层次划分参TCP/IP协议分层模型
系统单元出信息网络系统组成
安理涉协议层次单元安效劳安机制理安理涉两方面容:种安技术理安理制度
221 安效劳模型
国际标准化组织定义安体系结构中包括五组重安效劳安效劳反映信息系统安需求五种效劳相互独立应环境程度求图中出安效劳间逻辑关系
种安效劳间逻辑关系
协议层次实体体客体〔资源〕分:网络层体资源识机协议端口粒度认证效劳指机址认证网络层访问控制指防火墙等滤机制应系统中体识户粒度客体业务信息资源认证指户身份认证应效劳认证访问控制粒度具体某种操作数项追加修改删开放式应环境中体客体双认证非常重
模型出结:资源访问控制安保密核心实体〔户机效劳〕认证访问控制前提
222 协议层次安模型
网络体系结构协议层次角度考察安体系结构网络安协议层次模型图图中实现述安效劳种安机制出协议层次中位置该模型OSI体系结构致
协议层次模型
223 安实体单元
工程实施阶段种安效劳协议安机制终落实物理实体单元图实体单元角度安体系结构分成层次:
● 物理环境安
● 端系统安保护网络环境端系统身安
● 网络通信安保障网络身安运行保证网络性二业务数提供完整性保密性安效劳
● 应系统安某种种应提供户认证数保密性完整性授权访问控制效劳等
系统单元安模型
中安政策制定安方案项理制度安政策定生命周期般历风险分析安政策制定安方案理制度实施安审计评估四阶段
安理项安措施够效发挥作重保证安理容分成安技术理安理制度两局部安技术理包括安效劳激活关闭安相关参数分发更新安相关事件收集告警等
第三章 XX企业信息网络安现状需求分析
着计算机技术网络技术开展网络成信息高速公路利网络获取发布信息处理享数网络协议身缺陷计算机软件安漏洞网络安视计算机网络系统带极风险实际安漏洞广泛存网络数链路网络设备机操作系统应系统中
网络安体系工程果XX企业网络信息系统划边界话未广域网建发生安威胁会方层面
31 XX企业网络安现状威胁分析
XX企业集团现信息网络覆盖10方公里属钢铁企业附属机构分布异远程分支机构目前止终端户1000余中包含种效劳器30台网络设备根采CISCO系列产品干网络交换机100台整网络拥100M特网出口
Internet
EMAIL转发效劳器
Proxy AAA
Cisco3640
防火墙pix
295012
3500G24
型机 SUNFIRE4800
Catalyst6506
Catalyst6506
Catalyst4006
Catalyst4006
2950G24
2950G24
2950G48
生产子网1
2950G24
295012
295012
VPN移动网卡
3550G12T
终端效劳器
计量效劳器
Email效劳器
3548G
2m数字电路
三分厂
生产子网2
面针XX企业信息系统列出面安威胁:
311 部网络Internet互联安威胁
Ø Internet相连果没边界防护危险
XX企业部网络Internet果采取安防护措施样部网络容易遭Internet中入侵者攻击:
u 入侵者通Sniffer等嗅探程序探测扫描网络操作系统存安漏洞网络IP址应操作系统类型开放TCP端口号系统保存户名口令等安信息关键文件等通相应攻击程序网进行攻击
u 入侵者通网络监听等先进手段获部网户户名口令等信息进假部合法身份进行非法登录窃取部网重信息
u 恶意攻击:入侵者通发送量PING包部网重效劳器进行攻击效劳器超负荷工作拒绝效劳甚系统瘫痪
u Internet爆发网络蠕虫病毒时候果网边界处没访问控制设备蠕虫病毒第时间进行隔离蠕虫攻击会网络造成致命影响
Ø 分支机构通Internet总公司进行通讯安威胁
u Internet传输公司部数会面读取篡改名安威胁需数源发性数机密性数完整性进行验证
u 分支机构总部VPN网关建立隧道果分支机构计算机遭病毒黑客入侵样会XX企业网造成安威胁
312 部网络安威胁
Ø 核心交换机果没访问控制抵御日益严重网络攻击
XX企业部系统根三层互联网络核心交换机设计果实现部网络间访问控制交换机通配置提供安保证强度缺乏现黑客攻击工具网络泛滥成灾稍微点计算机操作力员利工具进行攻击时部员拟熟悉系统情况攻击行更容易取成功权威数说明97%攻击部攻击外勾结攻击部攻击成功概率远远高外部网络攻击造成果严重
XX企业网络庞覆盖面积广部员复杂网络区域网应系统会构成安威胁具体表现:首先XX企业部区域安级低两台重ERP效劳器网段区域会两台ERP效劳器造成威胁次棒材炼钢生产子网炼钢高炉生产子网矿业公司二化子网 站专网专网间需进行访问控制
Ø 效劳器区安威胁缺少入侵监测设备
XX企业部效劳器组存重数数丧失损坏定效劳器进行重点保护防止数篡改窃取该网络结构中重效劳器机通核心交换机直接子网连接效劳器区边界果没访问控制产品监控设备部员效劳器容易实施攻击
Ø 网络节点变化隐患
XX企业集团网络系统中预留空节点备员扩充时假设非法员利节点接入直接连入XX企业集团网络中网络中数库效劳器物理连接时该员非常方便通非法工具手段意攻击网络数库效劳器客户端机盗取网络关键数获取前拟详细XX企业集团整体网络情况更致命攻击做准备然网络理员没效方法实时解网络中节点情况控制网络节点变化整XX企业集团网络系统造成极威胁
Ø 非法访问危害
XX企业集团网络应连接系统然目前已存常访问控制手段:户访问效劳器时必须输入正确户名口令等样网络结构利传统网络理措施难实现效访问控制网络中没访问网段机权限户说网段机发动攻击时情况类似外部网络攻击外部网络攻击者相部攻击者网络结构解更加细致更容易窃取户登录需资料非法访问更易成功某台非法机相关配置网络中数库效劳器客户端机进行TCPIP通信样够通仿合法户通黑客工具客户端甚关键数库效劳器进行非法通信数访问XX企业集团带严重危害
Ø 非法应威胁
XX企业集团系统中许应实时着尤数库工业控制应网络理员没效方法监控应然数木马程序注入存方式调非法应黑客通信假设时台开发客户端机中木马程序正常访问效劳器程中通非法应程序访问效劳器账号口令访问方式泄露黑客黑客通获取信息堂皇登录该应效劳器该效劳器启动非法应效劳帮助黑客完全控制效劳器
313 系统安风险分析
Ø 果没漏洞扫描安评估机制时填补网络漏洞
谓系统安通常指网络操作系统应系统安目前操作系统应系统Windows商UNIX操作系统厂商开发应系统开发厂商必然BackDoor系统身必定存安漏洞门安漏洞存重安隐患实际应系统安程度进行安配置系统应面关系操作系统果没采相应安配置漏洞百出掌握般攻击技术入侵手果进行安配置方填补安漏洞关闭常效劳禁止开放常拟敏感端口等入侵者成功进行部网容易需相高技术水相长时间
314 病毒XX企业网络安运营安威胁
Ø 外部 –XX企业Internet直接通道会受专网HTTPSMTPFTP等数流载体潜病毒威胁
Ø 部 – 局域网中工作站文件效劳器会受病毒感染病毒攻击方式种样通局域网传播传统介质(光盘软盘USB硬盘等)传播等等旦受感染便会迅速传播会日常工作生产带极威胁
Ø 网络带宽 – 高速传播具网络攻击力病毒占限网络带宽导致网络瘫痪CodeRed击波Mydoom典型导致网络瘫痪病毒导致网络交换机路器效劳器严重载瘫痪
Ø 间接损失 – 病毒造成间接损失更病毒造成事企业影响直接导致企业信息资产损失影响生产运营
315 安效劳体系健全威胁
网络安仅种安产品保障需种安产品维护网络攻击网络漏洞日益严重需网络理员具快速响应机制果没完善安效劳体系安产品统维护面突网络攻击XX企业面巨损失时众品牌安产品采购XX企业网络维护带便
32 XX企业安需求
321 防病毒体系需求
Ø 动安装客户端软件
Ø 动更新分发客户端软件病毒库
Ø 网络中布置少台机器少台未安装防病毒软件
Ø 客户端软件病毒库版否新病毒防护发作信息
Ø 客户端软件允许意卸载
Ø 网络中病毒传播
322 强制性网软件需求
Ø 网络交换机计算机
Ø 网络拓扑结构交换机互联台交换机接终端
Ø 网络性理流量理障理日志理
Ø 资产信息收集理
Ø 理制度制订落实
Ø 客户端软件允许意卸载
Ø 远程理控制
Ø 软件分发
Ø 操作系统补丁分发安装
Ø 理中心
Ø 网络设备软件升级〔IOS升级高版〕
323 防火墙需求
Ø 支持双机热备份功切换时间超3秒
Ø 特网出口〔现状:100M〕支持VPN功够VPN网关协调致工作移动户够利操作系统带VPN连接通cisco 公司ACS 3000验证户进入公司网
Ø 北京分公司〔现状:Adsl〕利VPN网关公司特网出口防火墙建立VPN连接进入公司网
Ø 北京库房(现状:华路器128K DDN) 利VPN网关公司特网出口防火墙建立VPN连接进入公司网
Ø 两台ERP型机〔台型机配置:双千兆短波模光纤网卡防火墙采桥接模式〕
Ø 棒材生产子网炼钢生产子网〔百兆〕
Ø 炼钢高炉生产子网〔千兆长波单模光纤〕
Ø 矿业公司(2条2M数字电路连入 站交换机)二化(1条2M数字电路连入 站交换机)
Ø 站专网
324 滤网关需求
特网〔现状:100M〕入口必须少支持4种Internet协议:SMTPPOP3HTTPFTP具日志日志分析功
325 入侵检测需求
网关键区域特网〔现状:100M〕出口具安审计功
326 漏洞扫描需求
定期挂接网络中前网络重点效劳器〔WEB效劳器邮件效劳器DNS效劳器域效劳器等〕机进行次扫描前系统中存种安漏洞针性提出补救措施报告
327 安装需求
安产品布置工程附带机柜机柜配置2台32口动电脑切换器配置相应键盘光电鼠标显示器线缆
安设备理口便理降低安产品身安威胁分权理理审计权限分开
保证系统效劳器生产专网高性抗攻击性
制定详细实施方案明确双方责专业技术工程师制度理师实施方案布置实施符合XX企业理需求安策略制定符合XX企业理需求制度体系
系统协调致工作出现软件硬件突
第四章 信息网络安方案设计
41 安理
环节分析:
l 指XX企业集团设备理员理策略理等
l 目前XX企业集团尚套完善网络安理体系建立通定国际标准建立建设理体系
需求建议:
XX企业集团信息网需全网设备终端户进行理负责理计算机技术员般计算机员定安技术手段理方法制定切实网络安策略建立XX企业集团信息网安理体系外建议应强制性网系统网络设备客户端进行理
42 安防护
环节分析
l 该环节包括访问控制保密性完整性性否认性该环节相关技术手段实现访问控制防火墙技术划分Vlan技术身份认证技术等方式实现
l 保密性性抵赖性:包括信息保密手段例VPN技术采加密软件者应CA证书保证数安防护等防护包括线路高性网络病毒防护数容灾防护等方面
需求建议
安保护围广涉技术较XX企业集团信息网目前需防护手段全网防护防火墙防病毒技术入侵检测根底建议加强XX企业集团数中心信息网防护体系建设分支机构建议采VPN网关建立隧道
43 安监测
环节分析
l 指实时监测风险评估系统加固漏洞修补等
l 实时检测入侵检测系统风险评估脆弱性分析软件系统加固漏洞修补求网络理员够时踪种操作系统应系统漏洞情况时采取必措施
需求建议:
XX企业集团信息网目前尚网络安监测措施发生网络安问题需效监测手段全网风险评估需建立相应评估制度系统加固漏洞修补需固定工作流程漏洞发现加固方案
44 病毒防护
环节分析:
l 针全网1000台机30台效劳器进行病毒防护网络边界接入点进行病毒监控
需求建议:
目前XX企业集团急需套网络版防病毒软件覆盖整网络网关处建议配置防病毒网关
45 安效劳
环节分析:
l 优秀网络安系统建立仅仅网络安设备相关安手段建设网络安系统?网络安系统?出现安问题应?般网者非常关心问题究竟解决问题呢?认专业事情交专业做
需求建议:
XX企业集团信息网构建良安系统时候责建议XX企业集团忽略安公司提供前期中期期需种保障效劳
第五章 XX企业网络安工程解决方案
51 XX企业防火墙解决方案
511 XX企业防火墙部署
根XX企业集团系统安现状风险分析该网中建立防火墙子系统关建立防火墙子系统目标功位置文中进行详细说明
信息化前提建立起完善信息保障体系防火墙信息保障体系中网络行进行效访问控制保证网络访问行序性起关重作防火墙体系建立直接关系系统否正常运行体系否完善关系系统否够非法访问进行效防范
XX企业集团网络系统中建立防火墙子系统目标逻辑隔离XX企业集团系统网Internet保护两台重ERP效劳器棒材炼钢生产子网进行防护炼钢高炉生产子网进行防护矿业公司二化子网进行防护 站专网进行防护专网生产子网XX企业集团网间需进行访问控制建议XX企业集团网Internet接入设备间配置台天融信网络卫士千兆防火墙NGFW4000UFVPN(E)作访问控制设备通设备进行访问控制远端分支机构建立隧道远端北京分公司北京库房配置天融信VPN网关XX企业移动户建议单台计算机笔记安装天融信VPN客户端软件样总部NGFW4000UFVPN(E)建立隧道实现数安传输拓扑结构列图示:
XX企业集团ERP系统承载着企业量重数信息必须通防火墙访问控制滤技术非授权户进行严格控制防护假设严格采取物理隔离措施固然做系统访问控制绝安通间接物理访问造成病毒危害难防范〔病毒库难时升级〕整信息系统动化工作效率效保证届时通防火墙系统开放ERP系统许访问权限相关访问户严格禁止目前XX企业整体网络安防范情况着重ERP效劳器进行安防护建议两台SUN效劳器核心交换间部署防火墙具体连接方式列图示:
两台SUN效劳器做CLUSTER映射两浮动IP分应数库两台SUN效劳器互备份建议SUN效劳器核心交换间参加天融信千兆防火墙NGFW4000UF时设定规允许特定ERP应达SUN效劳器XX企业测试天融信防火墙够稳定应网络结构中重技术目前国防火墙中天融信支持Spanning Tree算法图示XX企业集团核心网络典型二层备份方案中心两台Catalyst6509核心交换机间启TrunkFEC协议连交换机通双链路分连接两台核心交换机通生成树协议实现备份Solaris效劳器通两块网卡连接两台核心交换机物理块网卡up块处down状态
Solaris效劳器切换原理样网卡真实IP址两网卡虚拟出ip虚拟IP外提供效劳果效劳器通PING检测网卡真实ip址果通网卡变down网卡up状态
果支持生成树协议防止环路出现普通防火墙会采列图示连接方法〔台效劳器举例〕两端口划分播送域台防火墙划分两播送域
果断掉交换机防火墙间连线防火墙效劳器连接状态然正常效劳器没相应收敛算法检测种状态变化相应切换天融信防火墙支持Spanning Tree算法图变成列图连接方法:
区表现支持Spanning Tree算法防火墙四端口配置成播送域时防火墙交换机间切换通生成树协议实现效劳器防火墙间切换通Solaris效劳器双网卡身机制切换满足标书中求真正桥接模式
棒材炼钢生产子网建议配置两台天融信网络卫士百兆防火墙NGFW4000T矿业公司二化子网建议配置台天融信网络卫士百兆防火墙NGFW4000T 站专网建议配置台天融信网络卫士百兆防火墙NGFW4000T炼钢高炉生产子网配置天融信单模千兆防火墙NGFW4000UF
512 XX企业防火墙作
l 防火墙网户授权便够采现新出现网络技术访问Internet获取需信息效劳
l 防火墙防范种网络攻击够查找攻击源类型够攻击进行反响
l 网络访问接入点保护应该相关组件网络性造成少影响
l 抗DOSDDOS攻击:拒绝效劳攻击〔DOS〕分布式拒绝效劳攻击〔DDOS〕攻击者占享资源导致效劳器超载系统资源耗户法享效劳没资源防火墙通控制检测报警机制防止DOS黑客攻击通防火墙进行规设置规定防火墙单位时间接址TCP全连接半连接数量果超出数量便认DOSDDOS攻击防火墙设定时间接受址数包抵御DOSDDOS攻击
l 防止入侵者扫描:数黑客入侵前通攻击象进行端口扫描收集攻击象开放什端口什效劳漏洞户口令弱等信息然展开相应攻击通防火墙设置规:果发现外部某台计算机单位时间部某台效劳器者机建立连接便认扫描行截断连接防止入侵者扫描行入侵行扼杀初阶段
l 防止源路攻击:源路攻击指黑客抓数包改变数包中路选项数包路控制台路器进行路欺骗者该数包返回信息通防火墙配置规禁止TCPIP数包中源路选项防止源路攻击
l 防止IP碎片攻击:IP碎片攻击指黑客攻击数包分成数包隐藏该数包攻击特征通防火墙设置规防火墙进行检查前必须IP分片重组IP报文报文必须具长度包含必信息供检查防止IP碎片攻击
l 防止ICMPIGMP攻击:许拒绝效劳攻击通发送量ICMP数包IGMP数包实现通防火墙设置规禁止ICMPIGMP数包通防火墙保证系统安
l 阻止ActiveXJavaJavascript等侵入:防火墙够HTTP页面剥离ActiveXJavaApplet等程序ScriptPHPASP等代码检测出危险代码够滤户载CGIASP等程序
l 阻止攻击:通防火墙URL滤防止系统漏洞攻击〔例:通配置规禁止访问winntsystem32cmdexe防止WINDOW NT2000 UNICODE漏洞CGI漏洞攻击:Cgibinphfcgibincountcig_vti_pvtservicepwdcfdocsexpeval openfilecfm等〕病毒攻击〔例:禁止defaultida防止红色代码攻击〕
l 提供实时监控审计告警:通防火墙提供网络实时监控发现攻击危险代码时防火墙提供告警功
52 XX企业入侵检测方案
保护边界安效监视机制包括:基网络入侵检测系统〔IDS〕脆弱性扫描〔安效劳〕病毒检测等首先建议网络出口处重网段部署天融信千兆入侵检测NGIDSUF
基TCPIP网络中普遍存遭受攻击风险恶意攻击外非恶意目发起攻击非常重局部效入侵检测系统时检测部外部威胁入侵检测系统目检测恶意非预期数行〔变更数恶意执行允许非预期资源访问请求非预期效劳〕旦入侵检测会引发某种响应〔断开攻击者连接通知操作员动停止减轻攻击踪攻击源适反攻击〕
利防火墙技术精心配置通常够外网间提供安网络保护降低网络安风险存着防火墙等安设备防范安威胁需入侵检测系统提供实时入侵检测采取相应防护手段记录证踪恢复断开网络连接等保护XX企业集团局域网安建议核心交换机Internet接口未应效劳器接口做流量映射配置天融信网络卫士入侵检测NGIDSUF
入侵检测防火墙等安措施补充帮助系统付网络攻击扩展系统理员安理力〔包括安审计监视进攻识响应〕提高信息安根底结构完整性计算机网络系统中假设干关键点收集信息分析信息网络中否违反安策略行遭袭击迹象入侵检测认防火墙第二道安闸门影响网络性情况网络进行监测提供部攻击外部攻击误操作实时检测
入侵检测技术够保障系统安外面点入侵检测原:
(1) 计算机安理根目标标准单户行保护信息系统免受安问题困扰入侵检测系统发现已威胁攻击者进行惩罚助述目标实现试图违反安策略造成威慑
(2) 入侵检测检测安手段法防止问题攻击者越越容易攻击技术够量系统进行非授权访问尤连接XX企业集团局域网系统系统具漏洞时候种攻击更容易发生开发商理员试图漏洞带威胁降低程度情况防止:
l 系统操作系统时更新
l 系统然时补丁程序理员没时间者资源进行系统更新问题普遍特具量机种类型软硬件环境中
l 正常工作需开启网络效劳协议具漏洞容易攻击
l 户理员配置系统时犯错误
l 进行系统访问控制机制设置时产生矛盾造成合法户逾越权限错误操作
(3) 黑客攻击系统时总定步骤进行首先系统网络探测分析果系统没配置入侵检测攻击者进行探测发现样容易找正确攻入点果样系统配置入侵检测会攻击者行动带定难度识疑探测行阻止攻击者目标系统访问者安员报警便采取响应措施阻止攻击者步行动
(4) 入侵检测证实详细记录部外部威胁制定网络安理方案时通常需证实网络者正受攻击外攻击频率特征助选择保护网络免受相应攻击安手段
(5) 入侵检测运行段时间系统模式检测问题变明显会系统安设计理问题暴露出没造成损失时候进行纠正
(6) 入侵检测阻止攻击时收集该攻击信详细信息进行事件处理恢复外信息某情况作犯罪佐证
总入侵检测根意义发现网络中异常理员需解网络中正发生种活动需攻击前发现攻击行需识异常行需效工具进行针攻击行异常实时事分析知情权网络安关键〞入侵检测成许安手段安网系统根底
53 XX企业漏洞扫描解决方案
数操作系统数库理系统存定安漏洞需断安装升级安补丁时注意许安侵害系统产品身存安弱点系统没正确安装安规没建立执行甚正确系统配置中某设置意外成心改动基原应安装系统漏洞扫描软件帮助理员时发现系统中安漏洞安隐患提供安决策分析安补救建议措施减少系统安风险
系统漏洞扫描软件应扫描操作系统数库理系统安漏洞包括网络漏洞检测报告效劳进程提取象信息评测风险提供安建议改良措施等项功全面帮助户控制发生安事件消安隐患该系统具强漏洞检测力检测效率贴切户需求功定义灵活样检测方式详漏洞修补方案友扫描系统报告系统方便线升级功XX企业网络安工程中配置台榕基漏洞扫描系统
54 XX企业防病毒解决方案
病毒系统中常见威胁安源建立全方位病毒防范系统XX企业集团安体系建设重务目前采病毒防范系统解决病毒查找清杀问题
541 网络版防病毒解决方案
根XX企业集团网络结构办公系统计算机分布情况病毒防范系统安装实施求:
l 具备实时防护方案扫描手动扫描功
l 具备种常格式压缩文件包括重压缩文件扫描功
l 感染源感染文件隔离功提供病毒感染源网络连接阻断隔离功记录感染源户信息法病毒感染文件进行隔离
l 查病毒效率性求拟高效劳器够实现增量方式查病毒方式仅仅扫描次扫描变动文件
l 应急恢复功提供急措施系统引导区进行应急恢复
l 集中监控重点理力防病毒理软件运行Windows NT20009895ME台防病毒软件集中监控理功关键效劳器具实时病毒活动参数监控方法
l 防病毒策略配置理防病毒策略统配置理根防病毒需求分制定实施防病毒策略防病毒理软件具分组〔域〕理客户端防病毒策略调度相关务执行力
l 够层次进行病毒防范效劳器客户机相应防毒软件提供完整全面防病毒保护
网络防病毒产品拟根底成熟安产品方案没网络版防病毒进行描述推荐趋势科技网络版防病毒系统覆盖XX企业1000计算机节点30台效劳器
542 网关防病毒解决方案
天融信网络卫士滤网关作专门硬件防病毒设备安装XX企业网络入口处保护局域网局域网免受类病毒木马垃圾邮件干扰网络卫士滤网关实时检查进入企业网络数流网关检测病毒时会根相应策略处理病毒染毒文件保护企业部效劳器工作站设备
产品特点:
实时病毒滤
Ø 网络卫士滤网关通网关设备数流进行实时检测滤数流中病毒蠕虫垃圾邮件等阻止进入企业网络
插透明接入方式
Ø 网络卫士滤网关采插思路设计透明网桥方式部署企业网络中需改变企业部网络配置安装工作变非常简单旦部署完成网络卫士滤网关开始企业网络进行病毒防护保障网络受病毒侵害
全面协议保护
Ø 网络卫士滤网关SMTPPOP3IMAP4HTTPFTP等应协议进行病毒扫描滤效防止病毒威胁
高性
Ø 网络卫士滤网关构建高性硬件台采高效扫描算法限度提高滤效率提供优异处理性
嵌容滤功
Ø 网络卫士滤网关支持数容进行检查采关键字滤URL滤等方式阻止非法数进入企业网络时支持Java等程序进行滤等防止恶意代码进入企业网络
防垃圾邮件功
Ø 网络卫士滤网关采业界领先黑名单技术实时检测垃圾邮件阻止进入企业网络企业节省珍贵带宽
防蠕虫攻击
Ø 网络卫士滤网关实时检测日益泛滥蠕虫攻击进行实时阻断效防止企业网络遭受蠕虫攻击陷瘫痪
动线升级
Ø 网络卫士滤网关理员设定更新策略动连接天融信公司升级效劳器升级新病毒库保证企业网络效保护
友理界面
Ø 网络卫士滤网关采基Web理界面户需翻开浏览器方便通HTTPS协议滤网关进行效理
完善日志统计功
Ø 网络卫士滤网关提供完整病毒日志访问日志系统日志等记录根日志数生成种格式 统计图形化统计报表形象直观方便理员理工作
强监控功
Ø 网络卫士滤网关提供强监控功监控滤网关系统资源网络流量前会话数前病毒扫描信息等极方便理员滤网关进行监控
方案中防病毒局部建议趋势网络版防病毒根底配置防病毒网关具体XX企业集团Internet接口处部署天融信防病毒滤网关NGFGE
55 XX企业安理系统解决方案
XX企业集团网络安理台建议采北信源网安理系统北信源网络运行安保障系统两产品模块组合成XX企业网络安理台网络安理台五子功模块组成:集中报警中心网络理系统关键机监控系统数流分析模块扩展模块子模块互相配合维护企业部网络工程相关工程正常运行
集中报警中心
集中报警中心控制台实现安网络设备设备集中报警理增强企业部网相关报警信息处理效率快速反响力报警信息时妥善效处理相关损失减少低点通类异常情况进行集中收集统报警收集汇总理网络中相关安应设备信息类相关信息通相关信息综合分析时发现系统运行中安问题隐患提出改良措施
事件集中报警处理中心汇总安台组件事件报警报警组件种类事件报警级分类时支持短信声音邮件图形等报警时报警中心动种报警信息汇总成3高中低三等级显示类发生事件名称发生事件设备名称ipmac等信息便第时间发现报警源头类型发现网络危害报警信息快速度妥善处理事件程度增强系统理员网络突发事件快速反响力
集中报警处理中心承级报警传递职实现重事件时报警级汇报网络扩展做准备
安报警处置中心报警方式:
1 声音报警
2 网页发布
3 电子邮件报警
4 报警
5 发送播送消息
6 报警
安集中汇总分析模块
着网络安重视网络中安系统复杂程度数量断增加理复杂程度难度越越北信源年努力开发出独技术第三方厂商提供相关报数接口直接获取安系统报警统计数进行汇总安策略需进行取舍技术减少相互间协调工作提高工作效率时减少工作复杂程度
网络中具体量网络系统应保障网络功实现例文件检索系统视频点播系统邮件效劳器系统等般情况系统中报警信息通技术获取时系统通预留数接口接收报信息相关信息报网络应监控系统相关网络应系统统监控
防火墙IDS漏洞扫描等网络安产品获取报警信息安理台直接进行控制通控制定期升级攻击特征库升级安系统等
数流分析模块
网络数流分析模块通网络中数包进行侦听统计协助网网络中出现安事件进行协议级数包分析支持功完善安滤器滤出某IP端口致数包进行分析网络数流分析器时动进行实时网络数流踪发现定义事件立报警
流量监控包括网络中计算机IP址数流量统计时显示网络前IPTop 10流量 port Top5流量统计信息统计网络中流量网络资源消耗等等数分析器分析踪网络数流量数库里定义事件动报警
关键终端理系统
网络终端包括机数库效劳器邮件效劳器等网络中根节点支撑着网络项功正常运行终端理系统网络终端硬件设备状况联网状况进程状况软件系统进行监控保障网络中终端安解决问题
网络中终端众重性果终端资源占情况进程软件状况等进行监控会造成工作分复杂全网工作流保护意义实际中应网络中效劳器关键计算机进行重点监控
网络理模块
系统种事件处理结果详细记载进行档案化理作续事件分析参考查性提出网络改良措施通安理台效实现全网安理发现快速定位网络中薄弱点〔包括设备员〕针员进行安理培训增强员安防范意识减少户安意识强导致安隐患
系统功:
l 网络设备发现资产理:资产理包括发现连接网设备图形方式显示网络结构网络联网计算机数量情况精确统计网络IP址分配状况精确统计WEB日志方式查户信息设备信息IP分配情况网络机运行进程报警信息
l 网络资源理:联网计算机网络设备进行登记理台扫描器动客户端IP址机名MAC址系统环境端口情况等汇报理器充分解网络种动态静态资源状况效劳器机设备状况等旦发现异常变动立报警时具备信息统计分类汇总查询条件筛选功
l 性化监控:支持SNMPWMI设备根定义数信息进行数汇总监视
l 路器理:路器CPU存情况接口流量情况进行记录汇总分析
l 安理:网络种设备安信息进行收集整理网络安现状进行综合分析显示防止数部非法访问泄漏理违规联网非法入侵非法访问等安问题
l 报警理:网络中报警予分类汇总分级统报警统理报警信息报集中报警中心
l 关键设备性理障理:通关键设备性分析监控时发现问题根源迅速定位障点根知识库提供操作方法应急流程提供种拟便捷报警方式
l 设备入网理:移动设备〔笔记电脑等〕新增设备未安滤检查违规接入部网络未允许擅接入电脑设备会网络带病毒传播黑客入侵等安素
l 问题设备隔离:网络出现病毒蠕虫攻击等安问题做安事件源实时快速精确定位远程阻断隔离操作传统情况安事件发生网般通交换机路器防火墙进行封堵设置复杂操作风险绝数普通交换机没设置成SNMP理模式够方便进行隔离操作系统解决难题
l 病毒源确定:规模病毒〔安〕事件发生确定病毒黑客事件源头找网络中薄弱环节做事分析加强安预警
l 数库监控:数库系统信息进行监控数库数库连接数数库锁数
l 务分发理:理区域够进行软件分发消息通知控制执行脚理
l 补丁分发理:够采取种策略进行补丁分发支持微软外第三方软件分发理
l 提供补丁动检测:提供补丁动检测页面户通访问补丁动检测页面发现系统存漏洞
l 日志纪录分析理:建立安日志数库报警信息分类滤备户查询报警
l 文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
企业安解决方案模板
北京天融信科技
2005年6月
目 录
第章 前言 3
背景 3
工程概述 3
第二章 XX企业信息网络整体安体系设计 5
信息安体系设计原 5
信息安体系结构分析 6
安效劳模型 7
协议层次安模型 7
安实体单元 8
第三章 XX企业信息网络安现状需求分析 10
XX企业网络安现状威胁分析 10
部网络Internet互联安威胁 11
部网络安威胁 11
系统安风险分析 13
病毒XX企业网络安运营安威胁 14
安效劳体系健全威胁 14
XX企业安需求 14
防病毒体系需求 14
强制性网软件需求 15
防火墙需求 15
滤网关需求 16
入侵检测需求 16
漏洞扫描需求 16
安装需求 16
第四章 信息网络安方案设计 17
安理 17
安防护 17
安监测 17
病毒防护 18
安效劳 18
第五章 XX企业网络安工程解决方案 19
XX企业防火墙解决方案 19
XX企业防火墙部署 19
XX企业防火墙作 23
XX企业入侵检测方案 24
XX企业漏洞扫描解决方案 26
XX企业防病毒解决方案 27
网络版防病毒解决方案 27
网关防病毒解决方案 28
XX企业安理系统解决方案 29
第章 前言
11 背景
着年网络安事件断发生安问题已成IT业热点安问题XX企业开展越越重安问题已成影响XX企业业务台稳定性业务正常提供问题提升XX企业身安性已成XX企业增强企业竞争力重方面
XX企业集团国家重点支持520家工业企业型支柱产业集团着信息技术迅猛开展XX企业集团领导充分认识网络安建设重性更开展生产科研工作决定现信息系统进行网络安技术改造
12 工程概述
次信息安工程包括XX企业集团属企业附属机构分支机构网络安系统建设需相关设备软件方案详细设计系统集成理制度建立培训技术支持效劳等容实施网络现应根底改造网络整体安加固新系统时影响原系统应整体性
建立整体网络安体系
建设整体防病毒体系保证网络病毒会公司干网传入专网保证远程VPN网络户病毒会传入公司干网
INTERNET新病毒反响处理速度方时震荡波〞病毒黄金响应〞时间通知防范相应补丁没扩散范围时发现病毒果网存病毒够定位知道机器种病毒够相应日志
保证系统效劳器生产专网 站专网高性抗攻击性
够查询谁什时间什点什方式访问什网络资源什网站分户分时间段分效劳类详细清单统计报表
强制性理终端户设备统规划策略理终端户设备终端户设备组
够时觉知谁攻击探测网络时阻断攻击非法探测详细日志发生外部入侵进时必须时报警发邮件理员邮箱提供相应策略
公司网安够做:谁非法手段扫描攻击效劳器机器谁私改IP址新机器接入网非法外网便安装卸载软件等等违反规定机器相应日志进行阻断
公司生产子网做安隔离XX企业干网病毒传播传该子网中该子网保存必数通讯端口干网络通讯端口必须屏蔽掉
评估网络效劳器明确应存漏洞补救措施前发现漏洞弥补弥补应急措施预案
种系统具备完善日志审计功追溯安事件方式出具种报表
第二章 XX企业信息网络整体安体系设计
21 信息安体系设计原
XX企业信息安保障系统涉整工程层次网络信息安方案设计遵循原:
● 整体安
XX企业信息安保障系统复杂安系统工程安需求种单元技术法解决必须完整安体系结构出发综合考虑信息网络种实体环节综合层次种安手段信息网络业务系统提供全方位安效劳
● 效理
没效安理〔防火墙监控审计日志分析等等〕种安机制效性难保证XX企业信息安保障系统提供种安效劳涉层次实体种安技术效安理保证安控制机制真正效发挥作
● 合理折衷
XX企业信息安保障系统建设程中单纯考虑安惜切代价合理安花费系统性易性理复杂性矛盾安保障体系设计应该四方面找合理折衷点接受风险范围投资换取安性时性开销理复杂影响整系统高效运行总体目标
● 责权清楚
采分层分级理模式:方面XX企业信息系统分三层:信息网络计算机系统应系统方面网络应系统中心属等分级结构级网络理中心负责网络安运行应信息系统提供安网络效劳级信息中心负责计算机系统应系统安理
● 综合治理
XX企业信息系统安建设系统工程信息网络安样绝仅仅技术问题种安技术应该运行理机制员思想教育技术培训安法律法规建设相结合社会系统工程角度综合考虑
22 信息安体系结构分析
XX企业信息系统安需求种单元安技术法解决安方案设计必须科学安体系结构模型保障整安体系完备性合理性
信息网络安体系结构研究说明想角度出整信息系统完整安模型困难鉴美国国防部DISSP方案中安框架提出适合XX企业信息系统安体系结构模型该模型安效劳协议层次系统单元三层面描述层面包含安理容该模型整体表现三线立体框架结构
信息网络安体系结构
安效劳取国际标准化组织制订安体系结构模型ISO7498ISO7498根底增加审计功性效劳
协议层次划分参TCP/IP协议分层模型
系统单元出信息网络系统组成
安理涉协议层次单元安效劳安机制理安理涉两方面容:种安技术理安理制度
221 安效劳模型
国际标准化组织定义安体系结构中包括五组重安效劳安效劳反映信息系统安需求五种效劳相互独立应环境程度求图中出安效劳间逻辑关系
种安效劳间逻辑关系
协议层次实体体客体〔资源〕分:网络层体资源识机协议端口粒度认证效劳指机址认证网络层访问控制指防火墙等滤机制应系统中体识户粒度客体业务信息资源认证指户身份认证应效劳认证访问控制粒度具体某种操作数项追加修改删开放式应环境中体客体双认证非常重
模型出结:资源访问控制安保密核心实体〔户机效劳〕认证访问控制前提
222 协议层次安模型
网络体系结构协议层次角度考察安体系结构网络安协议层次模型图图中实现述安效劳种安机制出协议层次中位置该模型OSI体系结构致
协议层次模型
223 安实体单元
工程实施阶段种安效劳协议安机制终落实物理实体单元图实体单元角度安体系结构分成层次:
● 物理环境安
● 端系统安保护网络环境端系统身安
● 网络通信安保障网络身安运行保证网络性二业务数提供完整性保密性安效劳
● 应系统安某种种应提供户认证数保密性完整性授权访问控制效劳等
系统单元安模型
中安政策制定安方案项理制度安政策定生命周期般历风险分析安政策制定安方案理制度实施安审计评估四阶段
安理项安措施够效发挥作重保证安理容分成安技术理安理制度两局部安技术理包括安效劳激活关闭安相关参数分发更新安相关事件收集告警等
第三章 XX企业信息网络安现状需求分析
着计算机技术网络技术开展网络成信息高速公路利网络获取发布信息处理享数网络协议身缺陷计算机软件安漏洞网络安视计算机网络系统带极风险实际安漏洞广泛存网络数链路网络设备机操作系统应系统中
网络安体系工程果XX企业网络信息系统划边界话未广域网建发生安威胁会方层面
31 XX企业网络安现状威胁分析
XX企业集团现信息网络覆盖10方公里属钢铁企业附属机构分布异远程分支机构目前止终端户1000余中包含种效劳器30台网络设备根采CISCO系列产品干网络交换机100台整网络拥100M特网出口
Internet
EMAIL转发效劳器
Proxy AAA
Cisco3640
防火墙pix
295012
3500G24
型机 SUNFIRE4800
Catalyst6506
Catalyst6506
Catalyst4006
Catalyst4006
2950G24
2950G24
2950G48
生产子网1
2950G24
295012
295012
VPN移动网卡
3550G12T
终端效劳器
计量效劳器
Email效劳器
3548G
2m数字电路
三分厂
生产子网2
面针XX企业信息系统列出面安威胁:
311 部网络Internet互联安威胁
Ø Internet相连果没边界防护危险
XX企业部网络Internet果采取安防护措施样部网络容易遭Internet中入侵者攻击:
u 入侵者通Sniffer等嗅探程序探测扫描网络操作系统存安漏洞网络IP址应操作系统类型开放TCP端口号系统保存户名口令等安信息关键文件等通相应攻击程序网进行攻击
u 入侵者通网络监听等先进手段获部网户户名口令等信息进假部合法身份进行非法登录窃取部网重信息
u 恶意攻击:入侵者通发送量PING包部网重效劳器进行攻击效劳器超负荷工作拒绝效劳甚系统瘫痪
u Internet爆发网络蠕虫病毒时候果网边界处没访问控制设备蠕虫病毒第时间进行隔离蠕虫攻击会网络造成致命影响
Ø 分支机构通Internet总公司进行通讯安威胁
u Internet传输公司部数会面读取篡改名安威胁需数源发性数机密性数完整性进行验证
u 分支机构总部VPN网关建立隧道果分支机构计算机遭病毒黑客入侵样会XX企业网造成安威胁
312 部网络安威胁
Ø 核心交换机果没访问控制抵御日益严重网络攻击
XX企业部系统根三层互联网络核心交换机设计果实现部网络间访问控制交换机通配置提供安保证强度缺乏现黑客攻击工具网络泛滥成灾稍微点计算机操作力员利工具进行攻击时部员拟熟悉系统情况攻击行更容易取成功权威数说明97%攻击部攻击外勾结攻击部攻击成功概率远远高外部网络攻击造成果严重
XX企业网络庞覆盖面积广部员复杂网络区域网应系统会构成安威胁具体表现:首先XX企业部区域安级低两台重ERP效劳器网段区域会两台ERP效劳器造成威胁次棒材炼钢生产子网炼钢高炉生产子网矿业公司二化子网 站专网专网间需进行访问控制
Ø 效劳器区安威胁缺少入侵监测设备
XX企业部效劳器组存重数数丧失损坏定效劳器进行重点保护防止数篡改窃取该网络结构中重效劳器机通核心交换机直接子网连接效劳器区边界果没访问控制产品监控设备部员效劳器容易实施攻击
Ø 网络节点变化隐患
XX企业集团网络系统中预留空节点备员扩充时假设非法员利节点接入直接连入XX企业集团网络中网络中数库效劳器物理连接时该员非常方便通非法工具手段意攻击网络数库效劳器客户端机盗取网络关键数获取前拟详细XX企业集团整体网络情况更致命攻击做准备然网络理员没效方法实时解网络中节点情况控制网络节点变化整XX企业集团网络系统造成极威胁
Ø 非法访问危害
XX企业集团网络应连接系统然目前已存常访问控制手段:户访问效劳器时必须输入正确户名口令等样网络结构利传统网络理措施难实现效访问控制网络中没访问网段机权限户说网段机发动攻击时情况类似外部网络攻击外部网络攻击者相部攻击者网络结构解更加细致更容易窃取户登录需资料非法访问更易成功某台非法机相关配置网络中数库效劳器客户端机进行TCPIP通信样够通仿合法户通黑客工具客户端甚关键数库效劳器进行非法通信数访问XX企业集团带严重危害
Ø 非法应威胁
XX企业集团系统中许应实时着尤数库工业控制应网络理员没效方法监控应然数木马程序注入存方式调非法应黑客通信假设时台开发客户端机中木马程序正常访问效劳器程中通非法应程序访问效劳器账号口令访问方式泄露黑客黑客通获取信息堂皇登录该应效劳器该效劳器启动非法应效劳帮助黑客完全控制效劳器
313 系统安风险分析
Ø 果没漏洞扫描安评估机制时填补网络漏洞
谓系统安通常指网络操作系统应系统安目前操作系统应系统Windows商UNIX操作系统厂商开发应系统开发厂商必然BackDoor系统身必定存安漏洞门安漏洞存重安隐患实际应系统安程度进行安配置系统应面关系操作系统果没采相应安配置漏洞百出掌握般攻击技术入侵手果进行安配置方填补安漏洞关闭常效劳禁止开放常拟敏感端口等入侵者成功进行部网容易需相高技术水相长时间
314 病毒XX企业网络安运营安威胁
Ø 外部 –XX企业Internet直接通道会受专网HTTPSMTPFTP等数流载体潜病毒威胁
Ø 部 – 局域网中工作站文件效劳器会受病毒感染病毒攻击方式种样通局域网传播传统介质(光盘软盘USB硬盘等)传播等等旦受感染便会迅速传播会日常工作生产带极威胁
Ø 网络带宽 – 高速传播具网络攻击力病毒占限网络带宽导致网络瘫痪CodeRed击波Mydoom典型导致网络瘫痪病毒导致网络交换机路器效劳器严重载瘫痪
Ø 间接损失 – 病毒造成间接损失更病毒造成事企业影响直接导致企业信息资产损失影响生产运营
315 安效劳体系健全威胁
网络安仅种安产品保障需种安产品维护网络攻击网络漏洞日益严重需网络理员具快速响应机制果没完善安效劳体系安产品统维护面突网络攻击XX企业面巨损失时众品牌安产品采购XX企业网络维护带便
32 XX企业安需求
321 防病毒体系需求
Ø 动安装客户端软件
Ø 动更新分发客户端软件病毒库
Ø 网络中布置少台机器少台未安装防病毒软件
Ø 客户端软件病毒库版否新病毒防护发作信息
Ø 客户端软件允许意卸载
Ø 网络中病毒传播
322 强制性网软件需求
Ø 网络交换机计算机
Ø 网络拓扑结构交换机互联台交换机接终端
Ø 网络性理流量理障理日志理
Ø 资产信息收集理
Ø 理制度制订落实
Ø 客户端软件允许意卸载
Ø 远程理控制
Ø 软件分发
Ø 操作系统补丁分发安装
Ø 理中心
Ø 网络设备软件升级〔IOS升级高版〕
323 防火墙需求
Ø 支持双机热备份功切换时间超3秒
Ø 特网出口〔现状:100M〕支持VPN功够VPN网关协调致工作移动户够利操作系统带VPN连接通cisco 公司ACS 3000验证户进入公司网
Ø 北京分公司〔现状:Adsl〕利VPN网关公司特网出口防火墙建立VPN连接进入公司网
Ø 北京库房(现状:华路器128K DDN) 利VPN网关公司特网出口防火墙建立VPN连接进入公司网
Ø 两台ERP型机〔台型机配置:双千兆短波模光纤网卡防火墙采桥接模式〕
Ø 棒材生产子网炼钢生产子网〔百兆〕
Ø 炼钢高炉生产子网〔千兆长波单模光纤〕
Ø 矿业公司(2条2M数字电路连入 站交换机)二化(1条2M数字电路连入 站交换机)
Ø 站专网
324 滤网关需求
特网〔现状:100M〕入口必须少支持4种Internet协议:SMTPPOP3HTTPFTP具日志日志分析功
325 入侵检测需求
网关键区域特网〔现状:100M〕出口具安审计功
326 漏洞扫描需求
定期挂接网络中前网络重点效劳器〔WEB效劳器邮件效劳器DNS效劳器域效劳器等〕机进行次扫描前系统中存种安漏洞针性提出补救措施报告
327 安装需求
安产品布置工程附带机柜机柜配置2台32口动电脑切换器配置相应键盘光电鼠标显示器线缆
安设备理口便理降低安产品身安威胁分权理理审计权限分开
保证系统效劳器生产专网高性抗攻击性
制定详细实施方案明确双方责专业技术工程师制度理师实施方案布置实施符合XX企业理需求安策略制定符合XX企业理需求制度体系
系统协调致工作出现软件硬件突
第四章 信息网络安方案设计
41 安理
环节分析:
l 指XX企业集团设备理员理策略理等
l 目前XX企业集团尚套完善网络安理体系建立通定国际标准建立建设理体系
需求建议:
XX企业集团信息网需全网设备终端户进行理负责理计算机技术员般计算机员定安技术手段理方法制定切实网络安策略建立XX企业集团信息网安理体系外建议应强制性网系统网络设备客户端进行理
42 安防护
环节分析
l 该环节包括访问控制保密性完整性性否认性该环节相关技术手段实现访问控制防火墙技术划分Vlan技术身份认证技术等方式实现
l 保密性性抵赖性:包括信息保密手段例VPN技术采加密软件者应CA证书保证数安防护等防护包括线路高性网络病毒防护数容灾防护等方面
需求建议
安保护围广涉技术较XX企业集团信息网目前需防护手段全网防护防火墙防病毒技术入侵检测根底建议加强XX企业集团数中心信息网防护体系建设分支机构建议采VPN网关建立隧道
43 安监测
环节分析
l 指实时监测风险评估系统加固漏洞修补等
l 实时检测入侵检测系统风险评估脆弱性分析软件系统加固漏洞修补求网络理员够时踪种操作系统应系统漏洞情况时采取必措施
需求建议:
XX企业集团信息网目前尚网络安监测措施发生网络安问题需效监测手段全网风险评估需建立相应评估制度系统加固漏洞修补需固定工作流程漏洞发现加固方案
44 病毒防护
环节分析:
l 针全网1000台机30台效劳器进行病毒防护网络边界接入点进行病毒监控
需求建议:
目前XX企业集团急需套网络版防病毒软件覆盖整网络网关处建议配置防病毒网关
45 安效劳
环节分析:
l 优秀网络安系统建立仅仅网络安设备相关安手段建设网络安系统?网络安系统?出现安问题应?般网者非常关心问题究竟解决问题呢?认专业事情交专业做
需求建议:
XX企业集团信息网构建良安系统时候责建议XX企业集团忽略安公司提供前期中期期需种保障效劳
第五章 XX企业网络安工程解决方案
51 XX企业防火墙解决方案
511 XX企业防火墙部署
根XX企业集团系统安现状风险分析该网中建立防火墙子系统关建立防火墙子系统目标功位置文中进行详细说明
信息化前提建立起完善信息保障体系防火墙信息保障体系中网络行进行效访问控制保证网络访问行序性起关重作防火墙体系建立直接关系系统否正常运行体系否完善关系系统否够非法访问进行效防范
XX企业集团网络系统中建立防火墙子系统目标逻辑隔离XX企业集团系统网Internet保护两台重ERP效劳器棒材炼钢生产子网进行防护炼钢高炉生产子网进行防护矿业公司二化子网进行防护 站专网进行防护专网生产子网XX企业集团网间需进行访问控制建议XX企业集团网Internet接入设备间配置台天融信网络卫士千兆防火墙NGFW4000UFVPN(E)作访问控制设备通设备进行访问控制远端分支机构建立隧道远端北京分公司北京库房配置天融信VPN网关XX企业移动户建议单台计算机笔记安装天融信VPN客户端软件样总部NGFW4000UFVPN(E)建立隧道实现数安传输拓扑结构列图示:
XX企业集团ERP系统承载着企业量重数信息必须通防火墙访问控制滤技术非授权户进行严格控制防护假设严格采取物理隔离措施固然做系统访问控制绝安通间接物理访问造成病毒危害难防范〔病毒库难时升级〕整信息系统动化工作效率效保证届时通防火墙系统开放ERP系统许访问权限相关访问户严格禁止目前XX企业整体网络安防范情况着重ERP效劳器进行安防护建议两台SUN效劳器核心交换间部署防火墙具体连接方式列图示:
两台SUN效劳器做CLUSTER映射两浮动IP分应数库两台SUN效劳器互备份建议SUN效劳器核心交换间参加天融信千兆防火墙NGFW4000UF时设定规允许特定ERP应达SUN效劳器XX企业测试天融信防火墙够稳定应网络结构中重技术目前国防火墙中天融信支持Spanning Tree算法图示XX企业集团核心网络典型二层备份方案中心两台Catalyst6509核心交换机间启TrunkFEC协议连交换机通双链路分连接两台核心交换机通生成树协议实现备份Solaris效劳器通两块网卡连接两台核心交换机物理块网卡up块处down状态
Solaris效劳器切换原理样网卡真实IP址两网卡虚拟出ip虚拟IP外提供效劳果效劳器通PING检测网卡真实ip址果通网卡变down网卡up状态
果支持生成树协议防止环路出现普通防火墙会采列图示连接方法〔台效劳器举例〕两端口划分播送域台防火墙划分两播送域
果断掉交换机防火墙间连线防火墙效劳器连接状态然正常效劳器没相应收敛算法检测种状态变化相应切换天融信防火墙支持Spanning Tree算法图变成列图连接方法:
区表现支持Spanning Tree算法防火墙四端口配置成播送域时防火墙交换机间切换通生成树协议实现效劳器防火墙间切换通Solaris效劳器双网卡身机制切换满足标书中求真正桥接模式
棒材炼钢生产子网建议配置两台天融信网络卫士百兆防火墙NGFW4000T矿业公司二化子网建议配置台天融信网络卫士百兆防火墙NGFW4000T 站专网建议配置台天融信网络卫士百兆防火墙NGFW4000T炼钢高炉生产子网配置天融信单模千兆防火墙NGFW4000UF
512 XX企业防火墙作
l 防火墙网户授权便够采现新出现网络技术访问Internet获取需信息效劳
l 防火墙防范种网络攻击够查找攻击源类型够攻击进行反响
l 网络访问接入点保护应该相关组件网络性造成少影响
l 抗DOSDDOS攻击:拒绝效劳攻击〔DOS〕分布式拒绝效劳攻击〔DDOS〕攻击者占享资源导致效劳器超载系统资源耗户法享效劳没资源防火墙通控制检测报警机制防止DOS黑客攻击通防火墙进行规设置规定防火墙单位时间接址TCP全连接半连接数量果超出数量便认DOSDDOS攻击防火墙设定时间接受址数包抵御DOSDDOS攻击
l 防止入侵者扫描:数黑客入侵前通攻击象进行端口扫描收集攻击象开放什端口什效劳漏洞户口令弱等信息然展开相应攻击通防火墙设置规:果发现外部某台计算机单位时间部某台效劳器者机建立连接便认扫描行截断连接防止入侵者扫描行入侵行扼杀初阶段
l 防止源路攻击:源路攻击指黑客抓数包改变数包中路选项数包路控制台路器进行路欺骗者该数包返回信息通防火墙配置规禁止TCPIP数包中源路选项防止源路攻击
l 防止IP碎片攻击:IP碎片攻击指黑客攻击数包分成数包隐藏该数包攻击特征通防火墙设置规防火墙进行检查前必须IP分片重组IP报文报文必须具长度包含必信息供检查防止IP碎片攻击
l 防止ICMPIGMP攻击:许拒绝效劳攻击通发送量ICMP数包IGMP数包实现通防火墙设置规禁止ICMPIGMP数包通防火墙保证系统安
l 阻止ActiveXJavaJavascript等侵入:防火墙够HTTP页面剥离ActiveXJavaApplet等程序ScriptPHPASP等代码检测出危险代码够滤户载CGIASP等程序
l 阻止攻击:通防火墙URL滤防止系统漏洞攻击〔例:通配置规禁止访问winntsystem32cmdexe防止WINDOW NT2000 UNICODE漏洞CGI漏洞攻击:Cgibinphfcgibincountcig_vti_pvtservicepwdcfdocsexpeval openfilecfm等〕病毒攻击〔例:禁止defaultida防止红色代码攻击〕
l 提供实时监控审计告警:通防火墙提供网络实时监控发现攻击危险代码时防火墙提供告警功
52 XX企业入侵检测方案
保护边界安效监视机制包括:基网络入侵检测系统〔IDS〕脆弱性扫描〔安效劳〕病毒检测等首先建议网络出口处重网段部署天融信千兆入侵检测NGIDSUF
基TCPIP网络中普遍存遭受攻击风险恶意攻击外非恶意目发起攻击非常重局部效入侵检测系统时检测部外部威胁入侵检测系统目检测恶意非预期数行〔变更数恶意执行允许非预期资源访问请求非预期效劳〕旦入侵检测会引发某种响应〔断开攻击者连接通知操作员动停止减轻攻击踪攻击源适反攻击〕
利防火墙技术精心配置通常够外网间提供安网络保护降低网络安风险存着防火墙等安设备防范安威胁需入侵检测系统提供实时入侵检测采取相应防护手段记录证踪恢复断开网络连接等保护XX企业集团局域网安建议核心交换机Internet接口未应效劳器接口做流量映射配置天融信网络卫士入侵检测NGIDSUF
入侵检测防火墙等安措施补充帮助系统付网络攻击扩展系统理员安理力〔包括安审计监视进攻识响应〕提高信息安根底结构完整性计算机网络系统中假设干关键点收集信息分析信息网络中否违反安策略行遭袭击迹象入侵检测认防火墙第二道安闸门影响网络性情况网络进行监测提供部攻击外部攻击误操作实时检测
入侵检测技术够保障系统安外面点入侵检测原:
(1) 计算机安理根目标标准单户行保护信息系统免受安问题困扰入侵检测系统发现已威胁攻击者进行惩罚助述目标实现试图违反安策略造成威慑
(2) 入侵检测检测安手段法防止问题攻击者越越容易攻击技术够量系统进行非授权访问尤连接XX企业集团局域网系统系统具漏洞时候种攻击更容易发生开发商理员试图漏洞带威胁降低程度情况防止:
l 系统操作系统时更新
l 系统然时补丁程序理员没时间者资源进行系统更新问题普遍特具量机种类型软硬件环境中
l 正常工作需开启网络效劳协议具漏洞容易攻击
l 户理员配置系统时犯错误
l 进行系统访问控制机制设置时产生矛盾造成合法户逾越权限错误操作
(3) 黑客攻击系统时总定步骤进行首先系统网络探测分析果系统没配置入侵检测攻击者进行探测发现样容易找正确攻入点果样系统配置入侵检测会攻击者行动带定难度识疑探测行阻止攻击者目标系统访问者安员报警便采取响应措施阻止攻击者步行动
(4) 入侵检测证实详细记录部外部威胁制定网络安理方案时通常需证实网络者正受攻击外攻击频率特征助选择保护网络免受相应攻击安手段
(5) 入侵检测运行段时间系统模式检测问题变明显会系统安设计理问题暴露出没造成损失时候进行纠正
(6) 入侵检测阻止攻击时收集该攻击信详细信息进行事件处理恢复外信息某情况作犯罪佐证
总入侵检测根意义发现网络中异常理员需解网络中正发生种活动需攻击前发现攻击行需识异常行需效工具进行针攻击行异常实时事分析知情权网络安关键〞入侵检测成许安手段安网系统根底
53 XX企业漏洞扫描解决方案
数操作系统数库理系统存定安漏洞需断安装升级安补丁时注意许安侵害系统产品身存安弱点系统没正确安装安规没建立执行甚正确系统配置中某设置意外成心改动基原应安装系统漏洞扫描软件帮助理员时发现系统中安漏洞安隐患提供安决策分析安补救建议措施减少系统安风险
系统漏洞扫描软件应扫描操作系统数库理系统安漏洞包括网络漏洞检测报告效劳进程提取象信息评测风险提供安建议改良措施等项功全面帮助户控制发生安事件消安隐患该系统具强漏洞检测力检测效率贴切户需求功定义灵活样检测方式详漏洞修补方案友扫描系统报告系统方便线升级功XX企业网络安工程中配置台榕基漏洞扫描系统
54 XX企业防病毒解决方案
病毒系统中常见威胁安源建立全方位病毒防范系统XX企业集团安体系建设重务目前采病毒防范系统解决病毒查找清杀问题
541 网络版防病毒解决方案
根XX企业集团网络结构办公系统计算机分布情况病毒防范系统安装实施求:
l 具备实时防护方案扫描手动扫描功
l 具备种常格式压缩文件包括重压缩文件扫描功
l 感染源感染文件隔离功提供病毒感染源网络连接阻断隔离功记录感染源户信息法病毒感染文件进行隔离
l 查病毒效率性求拟高效劳器够实现增量方式查病毒方式仅仅扫描次扫描变动文件
l 应急恢复功提供急措施系统引导区进行应急恢复
l 集中监控重点理力防病毒理软件运行Windows NT20009895ME台防病毒软件集中监控理功关键效劳器具实时病毒活动参数监控方法
l 防病毒策略配置理防病毒策略统配置理根防病毒需求分制定实施防病毒策略防病毒理软件具分组〔域〕理客户端防病毒策略调度相关务执行力
l 够层次进行病毒防范效劳器客户机相应防毒软件提供完整全面防病毒保护
网络防病毒产品拟根底成熟安产品方案没网络版防病毒进行描述推荐趋势科技网络版防病毒系统覆盖XX企业1000计算机节点30台效劳器
542 网关防病毒解决方案
天融信网络卫士滤网关作专门硬件防病毒设备安装XX企业网络入口处保护局域网局域网免受类病毒木马垃圾邮件干扰网络卫士滤网关实时检查进入企业网络数流网关检测病毒时会根相应策略处理病毒染毒文件保护企业部效劳器工作站设备
产品特点:
实时病毒滤
Ø 网络卫士滤网关通网关设备数流进行实时检测滤数流中病毒蠕虫垃圾邮件等阻止进入企业网络
插透明接入方式
Ø 网络卫士滤网关采插思路设计透明网桥方式部署企业网络中需改变企业部网络配置安装工作变非常简单旦部署完成网络卫士滤网关开始企业网络进行病毒防护保障网络受病毒侵害
全面协议保护
Ø 网络卫士滤网关SMTPPOP3IMAP4HTTPFTP等应协议进行病毒扫描滤效防止病毒威胁
高性
Ø 网络卫士滤网关构建高性硬件台采高效扫描算法限度提高滤效率提供优异处理性
嵌容滤功
Ø 网络卫士滤网关支持数容进行检查采关键字滤URL滤等方式阻止非法数进入企业网络时支持Java等程序进行滤等防止恶意代码进入企业网络
防垃圾邮件功
Ø 网络卫士滤网关采业界领先黑名单技术实时检测垃圾邮件阻止进入企业网络企业节省珍贵带宽
防蠕虫攻击
Ø 网络卫士滤网关实时检测日益泛滥蠕虫攻击进行实时阻断效防止企业网络遭受蠕虫攻击陷瘫痪
动线升级
Ø 网络卫士滤网关理员设定更新策略动连接天融信公司升级效劳器升级新病毒库保证企业网络效保护
友理界面
Ø 网络卫士滤网关采基Web理界面户需翻开浏览器方便通HTTPS协议滤网关进行效理
完善日志统计功
Ø 网络卫士滤网关提供完整病毒日志访问日志系统日志等记录根日志数生成种格式 统计图形化统计报表形象直观方便理员理工作
强监控功
Ø 网络卫士滤网关提供强监控功监控滤网关系统资源网络流量前会话数前病毒扫描信息等极方便理员滤网关进行监控
方案中防病毒局部建议趋势网络版防病毒根底配置防病毒网关具体XX企业集团Internet接口处部署天融信防病毒滤网关NGFGE
55 XX企业安理系统解决方案
XX企业集团网络安理台建议采北信源网安理系统北信源网络运行安保障系统两产品模块组合成XX企业网络安理台网络安理台五子功模块组成:集中报警中心网络理系统关键机监控系统数流分析模块扩展模块子模块互相配合维护企业部网络工程相关工程正常运行
集中报警中心
集中报警中心控制台实现安网络设备设备集中报警理增强企业部网相关报警信息处理效率快速反响力报警信息时妥善效处理相关损失减少低点通类异常情况进行集中收集统报警收集汇总理网络中相关安应设备信息类相关信息通相关信息综合分析时发现系统运行中安问题隐患提出改良措施
事件集中报警处理中心汇总安台组件事件报警报警组件种类事件报警级分类时支持短信声音邮件图形等报警时报警中心动种报警信息汇总成3高中低三等级显示类发生事件名称发生事件设备名称ipmac等信息便第时间发现报警源头类型发现网络危害报警信息快速度妥善处理事件程度增强系统理员网络突发事件快速反响力
集中报警处理中心承级报警传递职实现重事件时报警级汇报网络扩展做准备
安报警处置中心报警方式:
1 声音报警
2 网页发布
3 电子邮件报警
4 报警
5 发送播送消息
6 报警
安集中汇总分析模块
着网络安重视网络中安系统复杂程度数量断增加理复杂程度难度越越北信源年努力开发出独技术第三方厂商提供相关报数接口直接获取安系统报警统计数进行汇总安策略需进行取舍技术减少相互间协调工作提高工作效率时减少工作复杂程度
网络中具体量网络系统应保障网络功实现例文件检索系统视频点播系统邮件效劳器系统等般情况系统中报警信息通技术获取时系统通预留数接口接收报信息相关信息报网络应监控系统相关网络应系统统监控
防火墙IDS漏洞扫描等网络安产品获取报警信息安理台直接进行控制通控制定期升级攻击特征库升级安系统等
数流分析模块
网络数流分析模块通网络中数包进行侦听统计协助网网络中出现安事件进行协议级数包分析支持功完善安滤器滤出某IP端口致数包进行分析网络数流分析器时动进行实时网络数流踪发现定义事件立报警
流量监控包括网络中计算机IP址数流量统计时显示网络前IPTop 10流量 port Top5流量统计信息统计网络中流量网络资源消耗等等数分析器分析踪网络数流量数库里定义事件动报警
关键终端理系统
网络终端包括机数库效劳器邮件效劳器等网络中根节点支撑着网络项功正常运行终端理系统网络终端硬件设备状况联网状况进程状况软件系统进行监控保障网络中终端安解决问题
网络中终端众重性果终端资源占情况进程软件状况等进行监控会造成工作分复杂全网工作流保护意义实际中应网络中效劳器关键计算机进行重点监控
网络理模块
系统种事件处理结果详细记载进行档案化理作续事件分析参考查性提出网络改良措施通安理台效实现全网安理发现快速定位网络中薄弱点〔包括设备员〕针员进行安理培训增强员安防范意识减少户安意识强导致安隐患
系统功:
l 网络设备发现资产理:资产理包括发现连接网设备图形方式显示网络结构网络联网计算机数量情况精确统计网络IP址分配状况精确统计WEB日志方式查户信息设备信息IP分配情况网络机运行进程报警信息
l 网络资源理:联网计算机网络设备进行登记理台扫描器动客户端IP址机名MAC址系统环境端口情况等汇报理器充分解网络种动态静态资源状况效劳器机设备状况等旦发现异常变动立报警时具备信息统计分类汇总查询条件筛选功
l 性化监控:支持SNMPWMI设备根定义数信息进行数汇总监视
l 路器理:路器CPU存情况接口流量情况进行记录汇总分析
l 安理:网络种设备安信息进行收集整理网络安现状进行综合分析显示防止数部非法访问泄漏理违规联网非法入侵非法访问等安问题
l 报警理:网络中报警予分类汇总分级统报警统理报警信息报集中报警中心
l 关键设备性理障理:通关键设备性分析监控时发现问题根源迅速定位障点根知识库提供操作方法应急流程提供种拟便捷报警方式
l 设备入网理:移动设备〔笔记电脑等〕新增设备未安滤检查违规接入部网络未允许擅接入电脑设备会网络带病毒传播黑客入侵等安素
l 问题设备隔离:网络出现病毒蠕虫攻击等安问题做安事件源实时快速精确定位远程阻断隔离操作传统情况安事件发生网般通交换机路器防火墙进行封堵设置复杂操作风险绝数普通交换机没设置成SNMP理模式够方便进行隔离操作系统解决难题
l 病毒源确定:规模病毒〔安〕事件发生确定病毒黑客事件源头找网络中薄弱环节做事分析加强安预警
l 数库监控:数库系统信息进行监控数库数库连接数数库锁数
l 务分发理:理区域够进行软件分发消息通知控制执行脚理
l 补丁分发理:够采取种策略进行补丁分发支持微软外第三方软件分发理
l 提供补丁动检测:提供补丁动检测页面户通访问补丁动检测页面发现系统存漏洞
l 日志纪录分析理:建立安日志数库报警信息分类滤备户查询报警
l 文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
