計(jì)算機(jī)網(wǎng)絡(luò)安全解決方案

1、內(nèi)網(wǎng)實(shí)施TianjinDagangDistrictofwater-savinginformationmanagementsystem安全解決方案SecuritySolutions TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 一、需求分析2 HYPERLINK l bookmark6 o Current Document 網(wǎng)絡(luò)管理現(xiàn)狀及問(wèn)題2 HYPERLINK l bookmark8 o Current Document 網(wǎng)絡(luò)安全管理的基本功能需求2二、方案介紹3邊界網(wǎng)關(guān)3活動(dòng)目錄集成3 HYPERLINK l bookmark

2、10 o Current Document 防病毒系統(tǒng)4 HYPERLINK l bookmark12 o Current Document 客戶端管理4U盤(pán)管理5 HYPERLINK l bookmark14 o Current Document 三、實(shí)施前后網(wǎng)絡(luò)安全性對(duì)比8 HYPERLINK l bookmark16 o Current Document 網(wǎng)絡(luò)安全性增強(qiáng)概述8 HYPERLINK l bookmark18 o Current Document 詳細(xì)對(duì)比列表8、需求分析、網(wǎng)絡(luò)管理現(xiàn)狀及問(wèn)題現(xiàn)有網(wǎng)絡(luò)基本對(duì)等網(wǎng)絡(luò)，結(jié)構(gòu)為星形拓?fù)?，沒(méi)有服務(wù)器及網(wǎng)絡(luò)安全相關(guān)設(shè)備及軟件，現(xiàn)有網(wǎng)絡(luò)管理

3、體系存在的問(wèn)題主要有：?沒(méi)有有效的防病毒軟件，客戶端使用的防病毒軟件良莠不齊，甚至沒(méi)有安裝，遇到病毒的威脅對(duì)客戶端的操作系統(tǒng)、文檔數(shù)據(jù)等造成嚴(yán)重威脅，甚至造成網(wǎng)絡(luò)的癱瘓；?沒(méi)有硬件防火墻保護(hù)網(wǎng)絡(luò)內(nèi)部邊界安全，無(wú)疑對(duì)黑客、木馬等惡意軟件和行為敞開(kāi)大門(mén)，對(duì)內(nèi)部資料的保密造成了嚴(yán)重的威脅；?無(wú)法對(duì)客戶端集中管理，上級(jí)經(jīng)常需要了解下級(jí)計(jì)算機(jī)運(yùn)行狀況，但在僅依靠現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)，很難對(duì)下級(jí)計(jì)算機(jī)的運(yùn)行狀態(tài)進(jìn)行有效監(jiān)視；缺乏對(duì)下級(jí)計(jì)算機(jī)管理實(shí)施監(jiān)督、指導(dǎo)、協(xié)作的手段；?對(duì)U盤(pán)等移動(dòng)存儲(chǔ)缺乏有效的管制，對(duì)于內(nèi)部敏感資料的保護(hù)是個(gè)很大的威脅；?IP地址使用沒(méi)有綁定，對(duì)出現(xiàn)客戶端問(wèn)題定位比較困難，也不易于客戶端的

4、管理。、網(wǎng)絡(luò)安全管理的基本功能需求網(wǎng)絡(luò)安全管理從總體來(lái)講應(yīng)具備如下基本功能：對(duì)網(wǎng)絡(luò)邊界安全進(jìn)行管理和防御減少邊界安全事件發(fā)生；對(duì)病毒進(jìn)行有效的防治和控制，防治病毒的大面積爆發(fā)，保護(hù)內(nèi)網(wǎng)安全；監(jiān)測(cè)網(wǎng)絡(luò)通信數(shù)據(jù)，預(yù)期可能發(fā)生的網(wǎng)絡(luò)問(wèn)題；提供對(duì)歷史數(shù)據(jù)的統(tǒng)計(jì)分析；具有對(duì)監(jiān)視策略、網(wǎng)絡(luò)事件的定義和管理能力等。二、方案介紹、邊界網(wǎng)關(guān)我們已經(jīng)認(rèn)知這樣的事實(shí)：電子郵件、互聯(lián)網(wǎng)已經(jīng)成為惡意網(wǎng)站、病毒、蠕蟲(chóng)等威脅的主要傳播途徑，網(wǎng)絡(luò)邊界是引入威脅的最薄弱環(huán)節(jié)，對(duì)于網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)內(nèi)容，可以采用網(wǎng)絡(luò)過(guò)濾技術(shù)進(jìn)行有效控制，御敵于外。我們選用全球知名網(wǎng)絡(luò)設(shè)備廠商美國(guó)飛塔公司的Fortigate60B網(wǎng)絡(luò)防火墻作為本方案

5、的網(wǎng)絡(luò)邊界網(wǎng)關(guān)設(shè)備。Fortigate60系列的產(chǎn)品適合于小型辦公室、家庭辦公室、中小企業(yè)、分公司辦公室等等客戶。產(chǎn)品管理界面簡(jiǎn)單易操作，為客戶降低了使用成本和超額的價(jià)值。本產(chǎn)品具有多種安全功能：包括防病毒、防火墻、VPN、入侵檢測(cè)/防御、內(nèi)容過(guò)濾和流量控制等。現(xiàn)在我們的企業(yè)客戶能夠在不降低網(wǎng)絡(luò)性能和不增加成本的基礎(chǔ)上，享受網(wǎng)絡(luò)安全服務(wù)。設(shè)備的吞吐量從30Mbps至U200Mbp$FortiGate能夠保護(hù)企業(yè)的網(wǎng)絡(luò)，使其免受網(wǎng)絡(luò)的攻擊與威脅。、活動(dòng)目錄集成MicrosoftActiveDirectory服務(wù)是Windows平臺(tái)的核心組件，使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信

6、息進(jìn)行合乎邏輯的分層組織。它為用戶管理網(wǎng)絡(luò)環(huán)境各個(gè)組成要素的標(biāo)識(shí)和關(guān)系提供了一種有力的手段。安全性通過(guò)登錄身份驗(yàn)證以及目錄對(duì)象的訪問(wèn)控制集成在ActiveDirectory之中。ActiveDirectory通過(guò)對(duì)象訪問(wèn)控制列表以及用戶憑據(jù)保護(hù)其存儲(chǔ)的用戶帳戶和組信息。因?yàn)锳ctiveDirectory不但可以保存用戶憑據(jù)，而且可以保存訪問(wèn)控制信息，所以登錄到網(wǎng)絡(luò)上的用戶既能夠獲得身份驗(yàn)證，也可例如，在用戶登錄到網(wǎng)絡(luò)上的時(shí)候，安全系統(tǒng)首先利用存儲(chǔ)在ActiveDirectory中的信息驗(yàn)證用戶的身份。然后，在用戶試圖訪問(wèn)網(wǎng)絡(luò)服務(wù)的時(shí)候，系統(tǒng)會(huì)檢查在服務(wù)的自由訪問(wèn)控制列表（DCAL）中所定義的屬

7、性。另外，使用活動(dòng)目錄還可以通過(guò)組策略對(duì)客戶端和用戶實(shí)行統(tǒng)一的管理和配置。ActiveDirectory允許管理員創(chuàng)建組帳戶，管理員得以更加有效地管理系統(tǒng)的安全性。例如，通過(guò)調(diào)整文件的屬性，管理員能夠允許某個(gè)組中的所有用戶讀取該文件。通過(guò)這種辦法，系統(tǒng)將根據(jù)用戶的組成員身份控制其對(duì)ActiveDirectory中對(duì)象的訪問(wèn)操作。、防病毒系統(tǒng)根據(jù)目前對(duì)安全風(fēng)險(xiǎn)的統(tǒng)計(jì)分析，主機(jī)和桌面計(jì)算機(jī)系統(tǒng)面臨的最主要威脅就是計(jì)算機(jī)病毒。病毒雖小，危害卻極大。對(duì)于企業(yè)用戶，應(yīng)通過(guò)網(wǎng)絡(luò)防病毒系統(tǒng)實(shí)現(xiàn)企業(yè)范圍內(nèi)各種系統(tǒng)的防病毒保護(hù)，進(jìn)行統(tǒng)一的安全策略管理和集中的防病毒監(jiān)控。我們選用瑞星殺毒軟件網(wǎng)絡(luò)版2008（中小企

8、業(yè)版）來(lái)防御計(jì)算機(jī)病毒的威脅。瑞星殺毒軟件網(wǎng)絡(luò)版2011中小企業(yè)版是瑞星公司特別為中小型企業(yè)量身定做的一款企業(yè)級(jí)反病毒產(chǎn)品。在開(kāi)發(fā)、研制、推廣產(chǎn)品的過(guò)程中，瑞星公司充分考慮了中小型企業(yè)信息化建設(shè)現(xiàn)狀及其對(duì)于網(wǎng)絡(luò)安全的實(shí)際需要，瑞星殺毒軟件網(wǎng)絡(luò)版2011中小企業(yè)版產(chǎn)品整體設(shè)計(jì)不僅包含了企業(yè)級(jí)反病毒產(chǎn)品的主要管理功能，且靈活、快捷，反應(yīng)迅速，易于操作，更適用于中小型的網(wǎng)絡(luò)環(huán)境，讓中小型企業(yè)能夠以最小的投資給予網(wǎng)絡(luò)環(huán)境最安全的保障。、客戶端管理現(xiàn)在有許多公司已經(jīng)在網(wǎng)絡(luò)網(wǎng)關(guān)裝有防火墻及防毒軟件，但是有的時(shí)候仍然會(huì)受到病毒在公司內(nèi)部網(wǎng)絡(luò)傳播的侵?jǐn)_，導(dǎo)致這類問(wèn)題出現(xiàn)的原因在哪里呢？這是因?yàn)橛袝r(shí)公司內(nèi)部的員

9、工訪問(wèn)了帶有病毒的網(wǎng)站，使用了帶有病毒的光盤(pán)、軟盤(pán)等介質(zhì)而被感染。雖然只是該員工自己的被感染，但由于員工的計(jì)算機(jī)上沒(méi)有配備可以阻止病毒向外傳播的工具，同時(shí)又由于這些傳入的病毒帶有木馬程序等，所以該員工有時(shí)即使不經(jīng)過(guò)網(wǎng)絡(luò)的存取，從其電腦上擴(kuò)散的病毒仍令其他同事仍是防不勝防。那么，針對(duì)使用者在個(gè)人計(jì)算機(jī)上的各種檔案?jìng)鬏敿按嫒」艿溃畿洷P(pán)存取、光盤(pán)讀取、PDAE憶卡、USB&等與外界聯(lián)系造成的網(wǎng)絡(luò)內(nèi)部客戶端的病毒傳染，甚至來(lái)自企業(yè)內(nèi)部客戶端的攻擊威脅等。我們選用AnyView（網(wǎng)絡(luò)警）網(wǎng)絡(luò)監(jiān)控軟件來(lái)實(shí)現(xiàn)對(duì)客戶端的管控。AnyView/（網(wǎng)絡(luò)警）網(wǎng)絡(luò)監(jiān)控軟件是一款國(guó)內(nèi)目前最專業(yè)的企業(yè)級(jí)的網(wǎng)絡(luò)監(jiān)控軟件產(chǎn)

10、品。包含局域網(wǎng)上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控功能；上網(wǎng)監(jiān)控、網(wǎng)頁(yè)瀏覽監(jiān)控、郵件監(jiān)控、Webmail發(fā)送監(jiān)視、聊天監(jiān)控、BT禁止、流量監(jiān)視、上下行分離流量帶寬限制、并發(fā)連接數(shù)限制、FTP命令監(jiān)視、TELNE喻令監(jiān)視、網(wǎng)絡(luò)行為審計(jì)、操作員審計(jì)、軟網(wǎng)關(guān)功能、端口映射和PPPO鼓號(hào)支持等；內(nèi)網(wǎng)監(jiān)控、屏幕監(jiān)視和錄象、軟硬件資產(chǎn)管理、光驅(qū)和US灣硬件禁止、應(yīng)用軟件限制、打印監(jiān)控、AR映墻、消息發(fā)布、日志報(bào)警、遠(yuǎn)程文件自動(dòng)備份功能、禁止修改本地連接屬性、禁止聊天工具傳輸文件、通過(guò)網(wǎng)頁(yè)發(fā)送文件監(jiān)視、遠(yuǎn)程文件資源管理、支持遠(yuǎn)程關(guān)機(jī)注銷等、支持MSN/MSNshell/新浪UC/ICQ/AOL/SKYPE/E舌通/YAHOO

11、通/貿(mào)易通/googletalk/淘寶旺旺/飛信/UUCALL鹿鴿傳書(shū)/TM/QQ聊天記錄等功能，并能方便的對(duì)歷史記錄進(jìn)行查詢。、U盤(pán)管理根據(jù)美國(guó)FBI和CSI調(diào)查結(jié)果表明,造成信息外泄的事件中,80%以上來(lái)由于網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，網(wǎng)絡(luò)行為種類又是非常之多，如何主動(dòng)防止內(nèi)部信息泄漏？過(guò)程如何監(jiān)控？事件發(fā)生后如何能夠調(diào)查取證？這些都成為各個(gè)單位的嚴(yán)重隱患，隨時(shí)都可能造成不可預(yù)估的損失和其它嚴(yán)重的連帶后果。我們選用國(guó)邁科技US瞭動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)來(lái)實(shí)現(xiàn)U盤(pán)的管理。國(guó)邁科技作為國(guó)內(nèi)最專注內(nèi)網(wǎng)安全的專業(yè)性公司，針對(duì)以上情況，憑借自身強(qiáng)大的技術(shù)力量，綜合利用Windows底層驅(qū)動(dòng)、強(qiáng)加密、隱藏、認(rèn)證、

12、鑒別、訪問(wèn)控制、審計(jì)等技術(shù)手段，研究開(kāi)發(fā)出國(guó)邁科技USB移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)，該產(chǎn)品榮獲國(guó)家保密局和公安部的權(quán)威認(rèn)證，并廣泛為軍工企業(yè)、政府機(jī)構(gòu)、科研機(jī)構(gòu)、企事業(yè)單位提供軍工安全級(jí)別的內(nèi)網(wǎng)安全整體解決方案，做到事前防范、事中監(jiān)控、事后審計(jì)，同時(shí)，它也是網(wǎng)絡(luò)運(yùn)維管理不可缺少的得力助手。系統(tǒng)優(yōu)勢(shì)如下：優(yōu)勢(shì)說(shuō)明安全強(qiáng)度業(yè)界超前.可對(duì)安全模式進(jìn)行監(jiān)管,國(guó)內(nèi)領(lǐng)先.無(wú)論關(guān)閉進(jìn)程、禁用/啟用設(shè)備、停用服務(wù)、清除注冊(cè)表、刪除相關(guān)文件等非法操作，都無(wú)法破壞系統(tǒng)監(jiān)管能力.系統(tǒng)自我加密后完全隱藏,試圖對(duì)系統(tǒng)進(jìn)行攻擊的人失去攻擊目標(biāo).即使系統(tǒng)模塊被破壞，系統(tǒng)能自我修復(fù).軟件兼容業(yè)界領(lǐng)先1.系統(tǒng)補(bǔ)兼容：Window

13、s2003,WindowsXPWindows2003勺各種補(bǔ)丁版，支持簡(jiǎn)體/繁體中文、英文版.2.殺毒軟件的兼容：諾頓、趨勢(shì)、瑞星、卡巴斯基等.穩(wěn)定方便業(yè)界優(yōu)秀.客戶端登陸之后無(wú)任何軟件界面，免維護(hù).嚴(yán)謹(jǐn)?shù)慕巧渲靡?guī)則，將計(jì)算機(jī)、資源、用戶完善的心管理.移動(dòng)存儲(chǔ)介質(zhì)通過(guò)注冊(cè)認(rèn)證，授權(quán)高、中、低安全級(jí)別使用，同時(shí)特制的安全U盤(pán)也可注冊(cè)使用，方便管理.三、實(shí)施前后網(wǎng)絡(luò)安全性對(duì)比網(wǎng)絡(luò)安全性增強(qiáng)概述通過(guò)以上方案的實(shí)施，我們實(shí)現(xiàn)了對(duì)內(nèi)網(wǎng)出口（即網(wǎng)絡(luò)邊界）安全的加強(qiáng)，網(wǎng)絡(luò)防病毒的加強(qiáng)，對(duì)客戶端行為、U盤(pán)使用、用戶權(quán)限、網(wǎng)絡(luò)訪問(wèn)、流量監(jiān)控等功能，解決了需求分析中所列出的問(wèn)題，基本實(shí)現(xiàn)了網(wǎng)絡(luò)安全管理的功能需求

14、。詳細(xì)對(duì)比列表項(xiàng)目實(shí)現(xiàn)功能實(shí)施前實(shí)施后邊界網(wǎng)關(guān)對(duì)內(nèi)到外網(wǎng)絡(luò)訪問(wèn)管控XV對(duì)外到內(nèi)網(wǎng)絡(luò)訪問(wèn)管控XVSSLVPN遠(yuǎn)程安全訪問(wèn)XV活動(dòng)目錄集成客戶端操作系統(tǒng)統(tǒng)一管理XV客戶端組策略統(tǒng)一管理XV用戶賬戶統(tǒng)一管理XVIP地址與客戶端綁定XV共享目錄的統(tǒng)一授權(quán)X防病禺防病毒軟件的統(tǒng)一管理XV防病毒軟件的統(tǒng)一查殺XV防病毒軟件的統(tǒng)一升級(jí)XV病毒情況周報(bào)XV病毒情況月報(bào)XV客戶端管理實(shí)時(shí)日志XV實(shí)時(shí)流量XV屏幕快照XV屏幕追蹤XV進(jìn)程管理XV資源查看XV（基于時(shí)間控制的）上網(wǎng)限制XV（基于時(shí)間控制的）常見(jiàn)聊天軟件查看、限制XV（基于時(shí)間控制的）常見(jiàn)游戲查看、限制XV客戶端網(wǎng)頁(yè)查看日志XV客戶端操作查看、回放XV客戶端窗口標(biāo)題日志XV客戶端程序開(kāi)關(guān)日志XV客戶端文件操作日志XV客戶端文件備份記錄XV客戶端網(wǎng)頁(yè)標(biāo)題日志XV網(wǎng)站瀏覽統(tǒng)計(jì)X流量統(tǒng)計(jì)XV程序使用統(tǒng)計(jì)XV資產(chǎn)信息查詢XV打印機(jī)使用日志XV（基于時(shí)間控制的）應(yīng)用程序限制XVUSB光驅(qū)、打印機(jī)使用限制XVU盤(pán)管理對(duì)注冊(cè)和非注冊(cè)U盤(pán)的管控XV四、安全管理網(wǎng)絡(luò)安全環(huán)境是一個(gè)由人員與網(wǎng)絡(luò)安全軟件及設(shè)備共建的一個(gè)網(wǎng)絡(luò)使用環(huán)境需要人員的努力與設(shè)備的合理設(shè)置才能發(fā)揮其真正的作用，人員是主體，設(shè)備是輔助。制定健全的安全管理體制制定健全的安全管理體制將是網(wǎng)絡(luò)安全