技術建議書安全解決方案技術建議書邊界防護行為監(jiān)管v10

杭州華三通信技術有限公司 3cXXXXXX網(wǎng)絡安全建設技術建議書2008年2月杭州華三通信技術有限公司3c目錄1.XX網(wǎng)絡安全現(xiàn)狀--------------------------------------------------------------------------------------------22.H3C安全解決方案理念-------------------------------------------------------------------------------------42.1.智能安全滲透網(wǎng)絡——局部安全-------------------------------------------------------------42.2.智能安全滲透網(wǎng)絡——全局安全-------------------------------------------------------------52.3.智能安全滲透網(wǎng)絡——智能安全-------------------------------------------------------------53.建設原則及設計思路----------------------------------------------------------------------------------------63.1.安全平臺設計思路-------------------------------------------------------------------------------63.1.1.以安全為核心劃分區(qū)域-------------------------------------------------------------------63.1.2.用防火墻隔離各安全區(qū)域----------------------------------------------------------------73.1.3.對關鍵路徑進行深入檢測防護----------------------------------------------------------83.1.4.對用戶非法上網(wǎng)行為進行識別和控制-------------------------------------------------83.1.5.對全網(wǎng)設備進行統(tǒng)一安全管理并進行用戶行為審計-------------------------------93.1.6.根據(jù)實際需要部署其他安全系統(tǒng)-------------------------------------------------------94.XXXX網(wǎng)絡安全解決方案---------------------------------------------------------------------------------114.1.1.邊界安全防護------------------------------------------------------------------------------114.1.2.用戶行為監(jiān)管------------------------------------------------------------------------------124.1.3.統(tǒng)一安全管理中心------------------------------------------------------------------------145.安全管理建議（供參考）----------------------------------------------------------------------------------155.1.安全管理組織結構-----------------------------------------------------------------------------155.1.1.人員需求與技能要求---------------------------------------------------------------------155.1.2.崗位職責------------------------------------------------------------------------------------155.2.安全管理制度------------------------------------------------------------------------------------165.2.1.業(yè)務網(wǎng)服務器上線及日常管理制度---------------------------------------------------165.2.2.安全產(chǎn)品管理制度------------------------------------------------------------------------175.2.3.應急響應制度------------------------------------------------------------------------------175.2.4.制度運行監(jiān)督------------------------------------------------------------------------------171/191杭州華三通信技術有限公司 3cXX網(wǎng)絡安全現(xiàn)狀隨著計算機技術和通訊技術的飛速發(fā)展，網(wǎng)絡正逐步改變著人們的工作方式和生活方式，成為當今社會發(fā)展的一個主題。網(wǎng)絡的開放性，互連性，共享性程度的擴大，特別是Internet 的出現(xiàn)，使網(wǎng)絡的重要性和對社會的影響也越來越大。隨著網(wǎng)絡上電子商務，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡銀行等新興業(yè)務的興起，網(wǎng)絡安全問題變得越來越重要。計算機網(wǎng)絡犯罪所造成的經(jīng)濟損失十分巨大， 僅在美國每年因計算機犯罪所造成的直接經(jīng)濟損失就達 150億美元以上。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。有近 80%的公司至少每周在網(wǎng)絡上要被大規(guī)模的入侵一次， 并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)， 所有用戶都會遭殃。面對計算機網(wǎng)絡的種種安全威脅，必須采取有力的措施來保證安全。目前，網(wǎng)絡技術已在 XX行業(yè)得到了全面應用， 大大提高了 XX行業(yè)的業(yè)務處理效率和管理水平，促成了各項創(chuàng)新的業(yè)務的開展，改善了整個 XX行業(yè)的經(jīng)營環(huán)境，增強了信息的可靠性，服務于社會的手段更趨現(xiàn)代化。但是， 同其他任何行業(yè)一樣，網(wǎng)絡安全風險的陰霾如同網(wǎng)絡技術的孿生子，伴隨著網(wǎng)絡技術在 XX行業(yè)的全面應用而全面籠罩在 XX行業(yè)的每個業(yè)務角落。而且，對 XX行業(yè)網(wǎng)絡系統(tǒng)的攻擊，可能造成國家經(jīng)濟命脈的癱瘓和國家經(jīng)濟的崩潰，因此 XX行業(yè)的網(wǎng)絡安全問題是一個關系到國計民生的重大問題，也是所有網(wǎng)絡安全廠商非常關心的問題。目前的主要網(wǎng)絡安全威脅包括以下方面：非法訪問：現(xiàn)有網(wǎng)絡系統(tǒng)利用操作系統(tǒng)網(wǎng)絡設備進行訪問控制， 而這些訪問控制強度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊； 另一方面 XX行業(yè)（如銀行）開發(fā)的很多增值業(yè)務、 代理業(yè)務，存在大量與外界互連的接口， 外部網(wǎng)絡可能會通過這些接口攻擊銀行，造成巨大損失。失密和竊密：利用搭線竊聽竊收， 使用協(xié)議分析儀器竊收計算機系統(tǒng)的操作密碼， 破解系統(tǒng)的核心密碼，竊取用戶帳號、密碼等；或利用間諜軟件獲得敏感的金融信息。信息篡改：利用信息篡改攻擊手段， 非授權改變金融交易傳輸過程、 存儲過程中的信息。內部人員破壞：內部人員熟悉XX行業(yè)網(wǎng)絡系統(tǒng)的應用業(yè)務和薄弱環(huán)節(jié)，可以比較容易地篡改系統(tǒng)數(shù)據(jù)、泄露信息和破壞系統(tǒng)的軟硬件。黑客入侵：利用黑客技術非法侵入XX行業(yè)的網(wǎng)絡系統(tǒng)，調閱各種資料，篡改他人的資料，破壞系統(tǒng)運行，或者進行有目的的金融犯罪活動。2/192杭州華三通信技術有限公司 3c假冒和偽造：假冒和偽造是XX行業(yè)網(wǎng)絡系統(tǒng)中經(jīng)常遇見的攻擊手段。如偽造各類業(yè)務信息，未授權篡改數(shù)據(jù)，改變業(yè)務信息流的次序、時序、流向，破壞金融信息的完整性，假冒合法用戶實施金融欺詐等。蠕蟲、病毒泛濫：蠕蟲、病毒泛濫可能導致 XX行業(yè)的重要信息遭到損壞，或者導致 XX行業(yè)網(wǎng)絡系統(tǒng)癱瘓，如 2003年初的SQLSlammer蠕蟲，導致了全國金融業(yè)務的大面積中斷。拒絕服務：拒絕服務攻擊使XX行業(yè)的電子商務網(wǎng)站無法為客戶提供正常服務，造成經(jīng)濟損失，同時也使行業(yè)形象受到損害。用戶非法上網(wǎng)行為：大量 P2P/IM應用的泛濫，導致帶寬被占用和網(wǎng)絡的嚴重擁塞；同時上班炒股、網(wǎng)絡游戲、不良網(wǎng)站訪問等非法行為也導致了員工工作效率下降，并且極易感染蠕蟲和病毒。此外，隨著網(wǎng)絡規(guī)模的不斷擴大，復雜性不斷增加，異構性不斷提高， 用戶對網(wǎng)絡性能要求的不斷提高，網(wǎng)絡安全管理也逐步成為網(wǎng)絡技術發(fā)展中一個極為關鍵的任務， 對網(wǎng)絡的發(fā)展產(chǎn)生很大的影響， 成為現(xiàn)代信息網(wǎng)絡中最重要的問題之一。 如果沒有一個高效和統(tǒng)一的安全管理系統(tǒng)對網(wǎng)絡安全進行管理， 就很難使管理員對網(wǎng)絡的安全狀況有清楚的認識。 因此，找到一種使網(wǎng)絡運作更安全，更實用，更低廉的解決方案已成為每一個企業(yè)領導人和網(wǎng)絡管理人員的迫切要求。3/193杭州華三通信技術有限公司 3cH3C安全解決方案理念在這種咄咄逼人的安全形勢下，需要一個全方位一體化的安全部署方式。 H3C數(shù)據(jù)中心安全解決方案秉承了 H3C一貫倡導的 “智能安全滲透理念 ”，將安全部署滲透到整個網(wǎng)絡的設計、 部署、運維中，為數(shù)據(jù)中心搭建起一個立體的、 無縫的安全平臺， 真正做到了使安全貫穿數(shù)據(jù)鏈路層到網(wǎng)絡應用層的目標，使安全保護無處不在。智能安全滲透網(wǎng)絡（ iSPN）提出了一個整體安全架構，從局部安全、全局安全、智能安全三個層面，為用戶提供一個多層次、全方位的立體防護體系， 使網(wǎng)絡成為智能化的安全實體。 局部安全針對關鍵問題點進行安全部署， 抵御最基礎的安全威脅； 全局安全利用安全策略完成產(chǎn)品間的分工協(xié)作，達到協(xié)同防御的目的； 智能安全在統(tǒng)一的安全管理平臺基礎上， 借助于開放融合的大安全模型，將網(wǎng)絡安全變?yōu)閺母兄巾憫闹悄軐嶓w。圖1智能安全滲透網(wǎng)絡結構2.1. 智能安全滲透網(wǎng)絡——局部安全網(wǎng)絡安全最基礎的防護方式是關鍵點安全， 即對出現(xiàn)問題的薄弱環(huán)節(jié)或有可能出現(xiàn)問題的節(jié)點部署安全產(chǎn)品，進行 2～7層的威脅防范，當前企業(yè)絕大部分采用的都是這種單點威脅防御方式。這種局部安全方式簡單有效并有極強的針對性， 適合網(wǎng)絡建設已經(jīng)比較完善而安全因素考慮不足的情況。在這種方式下， H3C強調通過“集成”來提供最佳的防御效果，即通過在網(wǎng)絡產(chǎn)品上集成安全技術、 在安全產(chǎn)品上集成網(wǎng)絡技術以及網(wǎng)絡與安全的插卡集成等方式， 實現(xiàn)了安全技4/194杭州華三通信技術有限公司 3c術和網(wǎng)絡技術在無縫融合上做出的第一步最佳實踐。2.2. 智能安全滲透網(wǎng)絡——全局安全由于安全產(chǎn)品種類的不斷豐富， 使得局部安全可以應對企業(yè)的大部分基礎網(wǎng)絡安全問題。 然而此時用戶意識到， 局部安全的防護手段相對比較孤立， 只有將產(chǎn)品的相互協(xié)作作為安全規(guī)劃的必備因素，形成整網(wǎng)的安全保護才能抵御日趨嚴重的混合型安全威脅。為此， H3C推出了全局安全理念，借助于 IToIP 的網(wǎng)絡優(yōu)勢，通過技術和產(chǎn)品的協(xié)作，將網(wǎng)絡中的多個網(wǎng)絡設備、安全設備和各組件聯(lián)動起來， 并通過多層次的安全策略和流程控制， 向用戶提供端到端的安全解決方案。以H3C的端點準入防御及安全事件分析機制為例， 它將計算機網(wǎng)絡、 網(wǎng)絡上的通用操作系統(tǒng)、 主機應用系統(tǒng)等企業(yè)資源都納入到安全保護的范疇內。 在統(tǒng)一的安全策略下， 利用各部分組件的協(xié)同聯(lián)動，保證網(wǎng)絡各端點的安全性與可控性； 同時，在統(tǒng)一的平臺上進行安全事件的收集、 整理、分析，可以做到整網(wǎng)安全風險的提前預防與及時控制。2.3. 智能安全滲透網(wǎng)絡——智能安全隨著網(wǎng)絡建設的日趨完善， 面向業(yè)務的安全已經(jīng)成為新的發(fā)展方向。 只有理解企業(yè)業(yè)務， 將企業(yè)的業(yè)務需求及流程建設充分融合到網(wǎng)絡安全建設中來， 從信息的計算、 通信及存儲等信息安全狀態(tài)出發(fā)，以面向應用的統(tǒng)一安全平臺為基礎， 通過安全事件的實時感知、 安全策略的動態(tài)部署、網(wǎng)絡安全設備的自動響應，將智能的安全融入企業(yè)業(yè)務流程中，形成開放融合、 相互滲透的安全實體，才能實現(xiàn)真正的網(wǎng)絡安全智能化。 幫助企業(yè)將業(yè)務信息的所有狀態(tài)都控制在安全管理的范圍內，這樣的需求正是智能安全產(chǎn)生的原動力。完善的安全管理體制是加強信息系統(tǒng)安全防范的組織保證。 iSPN全局安全管理平臺可以對全網(wǎng)的安全信息做到統(tǒng)一管理、 統(tǒng)一下發(fā)安全策略以及統(tǒng)一分析安全數(shù)據(jù)， 保證企業(yè)信息系統(tǒng)的安全運行。iSPN全局安全管理平臺以開放的安全管理中心和智能管理中心為框架，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡設備、用戶終端、網(wǎng)絡服務等納入一個緊密的統(tǒng)一管理平臺中， 通過安全策略的集中部署、 安全事件的深度感知與關聯(lián)分析以及安全部件的協(xié)同響應， 在現(xiàn)有安全設施的基礎上構建一個智能安全防御體系，大幅度提高企業(yè)網(wǎng)絡的整體安全防御能力。 H3C全局安全管理平臺由策略管理、事件采集、分析決策、協(xié)同響應四個組件構成，與網(wǎng)絡中的安全產(chǎn)品、網(wǎng)絡設備、網(wǎng)絡服務、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的協(xié)同防御體系。高效的安全解決方案不僅僅在于當安全事件發(fā)生時， 我們能夠迅速察覺、 準確定位，更重要的是我們能夠及時制定合理的、 一致的、完備的安全策略， 并最大限度的利用現(xiàn)有網(wǎng)絡安全資源，通過智能分析和協(xié)同響應及時應對各種真正的網(wǎng)絡攻擊。在局部安全、全局安全的基礎上， H3CiSPN為實現(xiàn)這一目標而構建了專業(yè)安全服務、 開放應用架構和可持續(xù)演進的全局安全管理平臺，通過對防護、檢測和響應等不同生命周期的各個安全環(huán)節(jié)進行基于策略的管理， 將各種異構的安5/195杭州華三通信技術有限公司 3c全產(chǎn)品、網(wǎng)絡設備、用戶終端和管理員有機的連接起來， 構成了一個智能的、 聯(lián)動的閉環(huán)響應體系，可在保護現(xiàn)有網(wǎng)絡基礎設施投資的基礎上有效應對新的安全威脅、 大幅提升對企業(yè)基礎業(yè)務的安全保障。 H3C將以全新的 iSPN理念配合先進的產(chǎn)品技術與日趨完善的面向應用解決方案，為企業(yè)打造一個領先的、全面的、可信賴的 IP安全平臺。建設原則及設計思路3.1. 安全平臺設計思路XXXXXX的網(wǎng)絡應用對安全的要求比較高， 根據(jù)對XXXXXX網(wǎng)絡和應用的理解， 結合在XX行業(yè)的成功經(jīng)驗，提出了如下安全建設思路。3.1.1. 以安全為核心劃分區(qū)域現(xiàn)有網(wǎng)絡大多是以連通性作為中心進行設計的，而很少考慮安全性。例如最典型的網(wǎng)絡三層架構模型（核心層、匯聚層、接入層架構）中，網(wǎng)絡是向核心層集中的而并沒有考慮同一層不同節(jié)點之間的安全隔離問題。 而在網(wǎng)絡安全改造中首先需要改變的就是將以連通性為中心的設計思路轉變?yōu)橐园踩珵橹行牡脑O計思路。并按照以安全為核心的設計思路的要求對網(wǎng)絡進行重新設計。所謂以安全為核心的設計思路就是要求在進行網(wǎng)絡設計時，首先根據(jù)現(xiàn)有以及未來的網(wǎng)絡應用和業(yè)務模式，將網(wǎng)絡分為不同的安全區(qū)域，在不同的安全區(qū)域之間進行某種形式的安全隔離，比如采用防火墻隔離業(yè)務網(wǎng)和辦公網(wǎng)。針對XXXXX網(wǎng)絡安全實際情況，可劃分出不同的安全分區(qū)級別，詳細定義如下：DMZ區(qū)：DMZ區(qū)包括省級網(wǎng)絡連接貴州省電子政務網(wǎng)區(qū)域、INTERNET服務區(qū)以及貴州省勞動和社會保障廳對社會公眾提供服務的服務群（如：對外發(fā)布系統(tǒng)服務器區(qū)等），該區(qū)域都是暴露在外面的系統(tǒng)，因此，對安全級別要求比較高?；ヂ?lián)網(wǎng)服務區(qū)：互聯(lián)網(wǎng)業(yè)務應用系統(tǒng)集合構成的安全區(qū)域，主要實現(xiàn)公開網(wǎng)站、外部郵件系統(tǒng)、遠程辦公用戶、部分分支機構以及部分合作伙伴的 VPN接入等功能。遠程接入?yún)^(qū)：合作業(yè)務應用系統(tǒng)集合構成的安全區(qū)域，主要實現(xiàn)與原材料供應商、渠道商等合作伙伴的業(yè)務應用功能。 考慮到部分合作伙伴會采用 VPN方式接入，基于安全性考慮，其與互聯(lián)網(wǎng)服務區(qū)應該有獨立的物理連接。根據(jù)應用要求，可以進一步劃分為互聯(lián)網(wǎng)業(yè)務區(qū)、 VPN接入?yún)^(qū)等。廣域網(wǎng)分區(qū)：在之前的網(wǎng)絡建設中，企業(yè)通過專線連接國內的分支機構。廣域網(wǎng)6/196杭州華三通信技術有限公司 3c連接區(qū)就是專線網(wǎng)絡的鏈路及全部路由器構成的安全區(qū)域，這一安全區(qū)域內部沒有具體的應用系統(tǒng)，主要實現(xiàn)網(wǎng)絡連接功能，定義這一安全區(qū)域是為了方便網(wǎng)絡管理。數(shù)據(jù)中心區(qū)：由貴州省金保業(yè)務服務區(qū)服務群構成，是貴州省金保一切業(yè)務應用活動的基礎，包括生產(chǎn)區(qū)、交換區(qū)、決策區(qū)。這個區(qū)域的安全性要求最高，對業(yè)務連續(xù)性要求也最高。要求不能隨便進行任何可能影響業(yè)務的操作，包括為服務器打補丁，管理起來也最為復雜。網(wǎng)絡管理區(qū)：網(wǎng)絡管理員及網(wǎng)管應用系統(tǒng)構成的安全區(qū)域，一切網(wǎng)絡及安全的管理和維護工作都在這一區(qū)域完成。網(wǎng)絡管理區(qū)域的資產(chǎn)在定義中屬于支撐部門資產(chǎn)集合，但是鑒于網(wǎng)絡管理的特殊性，將這一部分資產(chǎn)獨立設置安全區(qū)域。內部辦公區(qū)：數(shù)據(jù)中心內部辦公計算機構成的安全區(qū)域。安全性和業(yè)務持續(xù)性要求最低，管理難度大，最容易遭受蠕蟲的威脅。3.1.2. 用防火墻隔離各安全區(qū)域防火墻作為不同網(wǎng)絡或網(wǎng)絡安全域之間信息的出入口， 能根據(jù)安全策略控制出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。 它是提供信息安全服務， 實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上， 防火墻是一個分離器、限制器和分析器， 可以有效監(jiān)不同安全網(wǎng)絡之間的任何活動。防火墻在網(wǎng)絡間實現(xiàn)訪問控制， 比如一個是用戶的安全網(wǎng)絡， 稱之為‘被信任應受保護的網(wǎng)絡’，另外一個是其它的非安全網(wǎng)絡稱為‘某個不被信任并且不需要保護的網(wǎng)7/197杭州華三通信技術有限公司 3c絡’。防火墻就位于一個受信任的網(wǎng)絡和一個不受信任的網(wǎng)絡之間，通過一系列的安全手段來保護受信任網(wǎng)絡上的信息。3.1.3. 對關鍵路徑進行深入檢測防護雖然，網(wǎng)絡中已部署了防火墻等基礎網(wǎng)絡安全產(chǎn)品，但是，在網(wǎng)絡的運行維護中， IT部門仍然發(fā)現(xiàn)網(wǎng)絡的帶寬利用率居高不下、 而應用系統(tǒng)的響應速度越來越慢。 產(chǎn)生這個問題的原因并不是當初網(wǎng)絡設計不周，而是自 2003年以來，蠕蟲、點到點，入侵技術日益滋長并演變到應用層面（ L7）的結果，而這些有害代碼總是偽裝成客戶正常業(yè)務進行傳播， 目前部署的防火墻等安全產(chǎn)品其軟硬件設計當初僅按照其工作在 L2-L4時的情況考慮，不具有對數(shù)據(jù)流進行綜合、 深度監(jiān)測的能力， 自然就無法有效識別偽裝成正常業(yè)務的非法流量， 結果蠕蟲、攻擊、間諜軟件、點到點應用等非法流量輕而易舉地通過防火墻開放的端口進出網(wǎng)絡。因此在關鍵路徑上部署獨立的具有深度檢測防御的 IPS（入侵防御系統(tǒng)）就顯得非常重要。深度檢測防御是為了檢測計算機網(wǎng)絡中違反安全策略行為。 一般認為違反安全策略的行為有：入侵——非法用戶的違規(guī)行為；濫用——用戶的違規(guī)行為；深度檢測防御識別出任何不希望有的活動， 從而限制這些活動， 以保護系統(tǒng)的安全。 深度檢測防御的應用目的是在入侵攻擊對系統(tǒng)發(fā)生危害前， 檢測到入侵攻擊， 并利用報警與防護系統(tǒng)驅逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。3.1.4. 對用戶非法上網(wǎng)行為進行識別和控制目前網(wǎng)絡各種應用越來越豐富， 但是對于一個網(wǎng)絡的管理員而言， 非法的、未受控的應用，會擠占合法應用帶寬， 同時影響企業(yè)員工的整體生產(chǎn)率， 這些應用必須被識別并加以控制。比如在企業(yè)網(wǎng)、校園網(wǎng)中， P2P下載、娛樂類應用占用了大量的帶寬，對這些機構正常的業(yè)務影響極大； 另一方面，企業(yè)員工或高校學生， 把工作或學習時間消耗在一些不必要甚至非法的網(wǎng)絡活動上， 大大影響了工作和學習效率。 通過應用識別技術， 可把各種應用及其行為置于明確的可管理的前提下，并通過阻斷、限流等手段實現(xiàn)應用控制。8/198杭州華三通信技術有限公司 3c3.1.5. 對全網(wǎng)設備進行統(tǒng)一安全管理并進行用戶行為審計日益嚴峻的安全威脅迫使企業(yè)不得不加強對網(wǎng)絡系統(tǒng)的安全防護， 不斷追求多層次、立體化的安全防御體系，逐步引入了防病毒、防火墻、 IPS/IDS、VPN等大量異構的單點安全防御技術，再加上交換機、路由器等網(wǎng)絡設備，網(wǎng)絡結構日益復雜。然而，現(xiàn)有網(wǎng)絡安全防御體系還是以孤立的單點防御為主， 彼此間缺乏有效的協(xié)作， 不同的設備之間的信息也無法共享，從而形成了一個個安全的“信息孤島” 。通過統(tǒng)一安全管理平臺，可以對網(wǎng)絡中的網(wǎng)絡設備、安全設備、服務器等進行統(tǒng)一管理，收集相關信息，進行關聯(lián)分析，形成安全事件報表輸出，并且針對用戶行為輸出審計報告， 有效的幫助管理員了解網(wǎng)絡中的安全現(xiàn)狀與風險，提供相關解決辦法和建議。3.1.6. 根據(jù)實際需要部署其他安全系統(tǒng)以上的安全系統(tǒng)部署基本可以涵蓋一般性網(wǎng)絡安全需求，但是很多特殊的應用也需要特別的應用保護系統(tǒng)。此外管理員也需要一些其他的安全工具對網(wǎng)絡安全運行進行審計評估等操作。在XXXXXX網(wǎng)絡中，還需要以下安全系統(tǒng)和安全工具：補丁管理系統(tǒng)從公開的統(tǒng)計資料可以看到，在 2003年全球有80%的大型企業(yè)遭受病毒感染而使得業(yè)務系統(tǒng)運作受到干擾， 即使這些大型企業(yè)已經(jīng)具備了良好的邊界安全措施， 也普遍部署了病毒防御機制。造成困境的原因， 一方面當然是由于現(xiàn)有防御體系的缺陷， 是由于現(xiàn)有的邊界防御、基于簽名的入侵檢測和防病毒系統(tǒng)從原理上就決定了其不擅長對付基于漏洞進行感染的病毒，單單具備這些措施，不足以遏制病毒的泛濫。另一方面， 也是由于基于漏洞進行感染的病毒傳播速度極快， 以至來不及采取措施， 病毒就已經(jīng)大規(guī)模爆發(fā)了。 這恰好說明企業(yè)需要一些應付這種情況的措施，最好在病毒前面就消滅漏洞隱患，杜絕病毒傳播的可能。補丁管理就是這一思想的產(chǎn)物，因為它的原理就是對軟件進行修補從而根本上消滅漏洞，杜絕了病毒利用漏洞的可能。漏洞掃描工具9/199杭州華三通信技術有限公司 3c如今，每天都有數(shù)十種有關操作系統(tǒng)、網(wǎng)絡軟件、 應用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)； 另外，由于管理員的疏忽或者技術水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴重。一般來說，最有效的方法是定期對網(wǎng)絡系統(tǒng)進行安全性分析， 及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安全性。因此 XXXXXX需要一套幫助管理員監(jiān)控網(wǎng)絡通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡漏洞并解決問題的工具，以保證整體網(wǎng)絡系統(tǒng)平臺安全。網(wǎng)絡流量監(jiān)測與審計對網(wǎng)絡流量進行監(jiān)測和分析是十分必要的，尤其是在大型的網(wǎng)絡環(huán)境中。利用網(wǎng)絡流量監(jiān)測與分析系統(tǒng)可以實時監(jiān)測網(wǎng)絡流量峰值，以及方便管理員根據(jù)分析報告來排除網(wǎng)絡故障，所以目前很多的大型企業(yè)都部署了專業(yè)的網(wǎng)絡流量監(jiān)測與分析系統(tǒng)。10/1910杭州華三通信技術有限公司 3cXXXX網(wǎng)絡安全解決方案在XXXX總體安全規(guī)劃設計中，我們將按照安全風險防護與安全投資之間的平衡原則（主要包括層次化的綜合防護原則和不同層次重點防護原則），提出以下的安全風險和防護措施，從而建立起全防御體系的信息安全框架。4.1.1. 邊界安全防護XXXXX網(wǎng)絡包括了省中心、地市中心、縣級中心、外聯(lián)單位等不同級別的安全區(qū)域，由于各區(qū)域的管理員和使用者安全防護能力參差不齊， 如有防護不當，極有可能由于個別的漏洞而導致整個網(wǎng)絡的崩潰，因此針對這些區(qū)域的安全防護是要考慮的重點內容。同時，縱向業(yè)務網(wǎng)與將來建設的縱向辦公網(wǎng)的數(shù)據(jù)互聯(lián)接口通過省中心完成， 兩個網(wǎng)絡采用統(tǒng)一接口的方式互聯(lián)?？紤]到縱向辦公網(wǎng)將來會預留與 Internet 的接口，縱向業(yè)務網(wǎng)在物理上與辦公網(wǎng)互聯(lián)就導致了業(yè)務網(wǎng)間接的暴露在 Internet 環(huán)境下。分析目前主要的安全威脅狀況，要求XXXXX縱向業(yè)務網(wǎng)與辦公網(wǎng)的接口區(qū)域安全設備的部署可以提供以下功能：采用在線模式部署在優(yōu)先保證業(yè)務持續(xù)的基礎上提供全面的防護；基于狀態(tài)的鏈路檢測功能；能夠有效抵御 DoS/DDoS攻擊；對網(wǎng)絡蠕蟲病毒進行有效防護；可以針對數(shù)據(jù)進行 2~7層的深度安全防護；監(jiān)控并屏蔽惡意軟件；提供對網(wǎng)絡設備、主機、鏈路的保護；能夠抵御 ZeroDayAttack ；具備實時的升級特性；提供可供分析的標準日志結構；11/1911杭州華三通信技術有限公司 3c便捷的統(tǒng)一的管理；保護有效數(shù)據(jù)帶寬，針對 P2P協(xié)議對數(shù)據(jù)流可以靈活控制帶寬；根據(jù)以上要求，這里采用防火墻設備和入侵抵御設備（ IPS）共同部署完成互聯(lián)接口區(qū)域的安全保護。具體部署見下圖。圖XXXXXX互聯(lián)接口區(qū)域安全拓撲示意圖在網(wǎng)絡出口處部署兩臺 SecPath千兆防火墻，通過包過濾和狀態(tài)檢測技術實現(xiàn)安全區(qū)域的劃分和邊界的隔離， 同時，SecPath防火墻支持 H3COAA開放應用架構，可在設備上部署防病毒、網(wǎng)流分析等業(yè)務模塊，成為智能開放的應用平臺；在數(shù)據(jù)中心、 DMZ等安全區(qū)域前，各部署一臺 SecPathIPS設備或SecBladeIPS插卡。SecPath/SecBladeIPS 是業(yè)界唯一集成漏洞庫、專業(yè)病毒庫、協(xié)議庫的 IPS產(chǎn)品，特征庫數(shù)量已達上萬種，并保持不斷更新，能精確實時地識別并防御蠕蟲、病毒、木馬、 DDoS等網(wǎng)絡攻擊，細粒度地控制 P2P/IM造成的帶寬濫用。通過對防火墻和 IPS的有機結合和功能互補， 為用戶提供 2-7層的全面安全防護， 有效的抵御來自網(wǎng)絡邊界的各種安全風險。4.1.2. 用戶行為監(jiān)管網(wǎng)絡應用層出不窮， 在大大提升了用戶的工作效率的同時也帶來許多負面影響， 針對用12/1912杭州華三通信技術有限公司 3c戶行為控制的解決方案，需要能夠解決以下問題：員工通過 P2P下載電影造成網(wǎng)絡速度變慢，怎么解決員工工作時間炒股、打游戲、聊天造成工作效率的下降，怎么解決用戶訪問非法網(wǎng)站易感染病毒，如何控制根據(jù)以上要求，采用H3CACG（應用控制網(wǎng)關）可以有效的解決用戶上網(wǎng)行為的問題，部署方式如下圖所示：圖XXXXXX互聯(lián)安全拓撲示意圖通過在互聯(lián)網(wǎng)出口處部署一臺 SecPath ACG網(wǎng)關，通過在 ACG應用控制網(wǎng)關，可精確識別BT、電驢、迅雷、MSN、QQ、YahooMessenger 、PPLive等近百種 P2P/IM應用，可基于時間、用戶、區(qū)域、應用協(xié)議，通過告警、限速、阻斷等手段進行靈活控制，保證網(wǎng)速的正常和業(yè)務不被影響。ACG采用先進的分析技術，能對網(wǎng)絡多媒體、網(wǎng)絡游戲、炒股等應用進行識別與控制，通過URL過濾、關鍵字過濾、內容過濾等多種訪問控制策略，控制非法應用，過濾非法網(wǎng)站，規(guī)范用戶上網(wǎng)行為，提高員工工作效率。通過在管理區(qū)部署一臺 SecCenter A1000（安全管理中心），可以對 ACG進行圖形化的策略配置，根據(jù)不同用戶定制不同安全策略， 并采集網(wǎng)絡設備、 安全設備和服務器的安全13/1913杭州華三通信技術有限公司 3c日志，結合 ACG記錄的用戶應用訪問信息，實時輸出審計報告。當發(fā)生安全事故后，可以根據(jù)記錄的信息對用戶既往行為進行分析和追根朔源，對潛在的破壞者可起到威懾作用。4.1.3. 統(tǒng)一安全管理中心為了保證部署的硬件設備和安全軟件能夠統(tǒng)一的為網(wǎng)絡安全服務，必須要求對全網(wǎng)設備，包括主機和數(shù)據(jù)交互設備進行統(tǒng)一的日志收集和日志分析。這樣就要求必須在網(wǎng)絡當中部署安全管理中心來完成統(tǒng)一的策略規(guī)劃和分析。安全管理中心并不是一個威脅抵御的直接發(fā)起者，而是一個系統(tǒng)規(guī)劃的首腦。所以要求安全管理中心可以提供以下功能：旁路部署模式，不影響正常業(yè)務和造成瓶頸；具有廣泛的日志采集功能，要求可以對網(wǎng)絡當中的所有設備（防火墻、 IPS、交換機、路由器、PC、Server等）進行日志分析；采用先進的關聯(lián)算法，能夠對日志數(shù)據(jù)按照不同的關聯(lián)組合進行分析；對安全威脅的實時監(jiān)控功能；對網(wǎng)絡流量的實時監(jiān)控功能；可支持多家廠商的設備日志采集；提供拓撲發(fā)現(xiàn)功能，并能夠準確迅速的根據(jù)日志定為網(wǎng)絡故障；對網(wǎng)絡故障提供多種迅速的告警機制；具有完善的安全審計功能；對歷史數(shù)據(jù)進行壓縮并可提供高效的查詢機制；根據(jù)需要提供多種報表；根據(jù)需求可分步實施的靈活部署方式；根據(jù)以上需求，這里采用一臺安全管理中心作為整個網(wǎng)絡的安全管理中心， 對全網(wǎng)設備進行日志分析，幫助定制安全策略。 僅僅需要路由可達即可完成上述功能， 部署位置相對靈14/1914杭州華三通信技術有限公司 3c活，建議可以和網(wǎng)絡管理軟件服務器部署在一起，以方便硬件的管理。安全管理建議（供參考）5.1.安全管理組織結構5.1.1.人員需求與技能要求安全總監(jiān)CSO一人，熟悉信息技術和信息安全，有5年以上整個機構信息技術和安全管理經(jīng)驗。經(jīng)理一人，熟悉信息技術和信息安全，具有2年以上部門級信息安全技術和管理經(jīng)驗；安全專員四人，精通各種需要的安全工具的使用，認真、細心、負責。網(wǎng)絡小組二人，精通網(wǎng)絡和各種安全工具的使用。系統(tǒng)小組二人，精通操作系統(tǒng)和安全工具的使用。5.1.2. 崗位職責1、總經(jīng)理職責為整個機構的安全管理活動提供必要的人力、物力、財力等方面的資源支持。負責主持年度安全管理評審活動。2、安全總監(jiān)職責負責整個機構信息