海螺集團網(wǎng)絡規(guī)劃方案

1、海螺集團網(wǎng)絡規(guī)劃方案V1.0北京天融信科技有限公司2011年5月目 錄第一章 前言31.1 設計原則31.2 設計標準4第二章 安全需求分析52.1 網(wǎng)絡結構分析52.2 典型安全問題52.3 安全需求分析62.3.1 安全域劃分62.3.2 防火墻安全策略優(yōu)化72.3.3 系統(tǒng)安全加固措施72.3.4 入侵檢測和防范措施72.4 相關標準要求82.4.1 訪問控制要求82.4.2 入侵防范要求8第三章 安全方案設計103.1 安全規(guī)劃設計圖103.2 安全措施設計123.2.1 安全域劃分123.2.2 安全域邊界隔離與訪問控制123.2.3 服務器安全加固措施133.2.4 終端安全加固1

2、53.2.5 入侵檢測和防范措施153.3 安全部署規(guī)劃163.3.1 防火墻部署設計163.3.2 入侵檢測系統(tǒng)部署設計17第四章 方案建設效果19第一章 前言1.1 設計原則適度安全原則任何信息系統(tǒng)都不能做到絕對的安全，需要在安全需求、安全風險和安全成本之間進行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。技術管理并重原則信息安全問題從來就不是單純的技術問題，也不是單純的管理問題，專網(wǎng)終端管理同樣如此，需要通過管理手段，約束終端適用人員的行為，同時配合技術的檢測、控制、審計等手段，對于違反安全策略的用戶和行為，予以拒絕，這樣才能保障各項管理制度能夠有效地執(zhí)行下去，并產(chǎn)

3、生應有的效果；標準性原則標準性原則往往是信息安全建設中重點考慮的因素，在本方案中，將重點參考等級保護對的一些要求，進行設計，解決在實際應用中的問題；動態(tài)調(diào)整原則信息安全問題不是靜態(tài)的，它總是隨著組織策略、管理制度、組織架構、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施；保密性原則本方案應當遵循保密性原則，重點保護政務專網(wǎng)中的重要信息，防止信息通過外聯(lián)、移動介質等途徑泄露出去；成熟性原則本方案設計采取的安全措施和產(chǎn)品，在技術上是成熟的，是被檢驗確實能夠解決安全問題并在很多項目中有成功應用的。1.2 設計標準本方案重點參考以下的的政策和標準：指導思想中辦200

4、327號文件（關于轉發(fā)國家信息化領導小組關于加強信息安全保障工作的意見的通知）公通字200466號文件（關于印發(fā)信息安全等級保護工作的實施意見的通知）公通字200743號文件（關于印發(fā)信息安全等級保護管理辦法的通知）等級保護GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則GB/T aaaaa-xxxx 信息安全技術 信息系統(tǒng)安全等級保護實施指南技術方面GA/T671-2006 信息安全技術終端計算機系統(tǒng)安全等級技術要求GB/T aaaaa-xxxx 信息安全技術 信息系統(tǒng)安全等級保護基本要求管理方面ISO/IEC 27001 信息系統(tǒng)安全管理體系標準方案架構IATF 信息保障技術

5、框架第二章 需求分析針對目前的網(wǎng)絡現(xiàn)狀，以下主要從網(wǎng)絡層、應用層、安全策略和管理層面對可能遇到安全風險分別進行分析。2.1 典型安全問題問題1：ARP風暴問題整個網(wǎng)絡在一個廣播域內(nèi)，隨著網(wǎng)絡規(guī)模的擴大，網(wǎng)絡中的廣播報文越來越多，當用戶感染了ARP病毒以后，不斷向外發(fā)送廣播數(shù)據(jù)包，占用的網(wǎng)絡資源越來越多，嚴重影響網(wǎng)絡性能，引起廣播風暴問題。問題2：DOS/DDOS攻擊問題DOS/DDOS攻擊時一種非常有效的攻擊方式，能夠利用大量的服務請求占用過多的服務資源，從而使合法用戶無法得到正常的服務。常見的DOS/DDOS攻擊可分為兩類：一類是針對系統(tǒng)或者協(xié)議漏洞的攻擊，如ping of death,te

6、ardrop等，另一類是消耗計算機或者網(wǎng)絡中有限的資源，占用大量網(wǎng)絡寬帶，如udp flood ，syn flood ，icmp flood等。問題3終端自身安全帶來的安全隱患終端自身的安全問題也將對信息網(wǎng)絡造成威脅，比如終端自身已經(jīng)攜帶了病毒，終端沒有安裝防病毒軟件，終端的防病毒軟件沒有及時更新，終端操作系統(tǒng)補丁也沒有及時更新等，這些安全問題將對內(nèi)網(wǎng)其他終端，甚至內(nèi)網(wǎng)服務器造成很大的麻煩，嚴重的將導致病毒在網(wǎng)絡中的傳播，或者終端上攜帶的蠕蟲病毒在網(wǎng)絡中大量散播的時候，也將導致交換機的負荷過重，而引起癱瘓。問題4服務器安全問題內(nèi)網(wǎng)的應用服務和內(nèi)網(wǎng)終端部署在一個交換機上，之間沒有任何訪問控制措施

7、，應用服務器采用WIN2003系統(tǒng)，該系統(tǒng)默認配置安全級別較低，漏洞較多，容易被蠕蟲病毒、木馬和惡意軟件攻擊，從而影響其他用戶的使用。2.2 安全需求分析2.2.1 安全域劃分在安全防御體系構建中，我們一般所說的安全域是指網(wǎng)絡安全域，即同一系統(tǒng)內(nèi)有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡，且相同的網(wǎng)絡安全域共享一樣的安全策略。建議在省海螺集團網(wǎng)絡中根據(jù)實際業(yè)務需求劃分不同的安全域，通過防火墻進行嚴格訪問控制，實行授權的最小化。安全域方法的根本目標是能夠更好的保障網(wǎng)絡上承載的業(yè)務。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率。2.2.2 防火墻安全策

8、略優(yōu)化防火墻是互聯(lián)網(wǎng)和內(nèi)網(wǎng)之間安全隔離設備，它的作用是通過允許、拒絕或重定向經(jīng)過防火墻的數(shù)據(jù)流，防止不希望的、未經(jīng)授權的通信進出網(wǎng)絡，并對網(wǎng)絡服務和訪問進行審計和控制。實現(xiàn)這些功能的前提是配置良好的安全策略，經(jīng)過優(yōu)化后的防火墻具有較強的抗攻擊能力。2.2.3 VPN互聯(lián)海螺集團規(guī)模龐大，也經(jīng)常需要與各個下屬單位交互信息。同時，集團人員的出差移動辦公需求也日益迫切。所有的應用，都離不開一個基本前提：都要先建立一個可以安全的、可靠的、互聯(lián)互通的基礎網(wǎng)絡平臺。建立這樣的基礎網(wǎng)絡，傳統(tǒng)的做法對于大部分企業(yè)來講，無論在建設成本上還是后期維護上，要建立一個物理專網(wǎng)都是比較困難的。隨著Internet的迅猛

9、發(fā)展及VPN技術的出現(xiàn)，為集團信息化應用提供了良機和更好的選擇。VPN是利用公共網(wǎng)絡資源來構建的虛擬專用網(wǎng)絡，它是通過特殊設計的硬件或軟件直接在共享網(wǎng)絡中通過隧道、加密技術來保證用戶數(shù)據(jù)的安全性，提供與專用網(wǎng)絡一樣的安全和功能保障。使得整個網(wǎng)絡在邏輯上成為一個單獨的透明內(nèi)部網(wǎng)絡，具有安全性、可靠性和可管理性。今天，VPN虛擬專用網(wǎng)已經(jīng)具有與專線幾乎相近的穩(wěn)定性和安全性。第三章 訪問控制要求a) 應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能； b) 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級； c) 應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層 HTTP、FT

10、P、TELNET、SMTP、POP3等協(xié)議命令級的控制； d) 應在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接； e) 應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)； f) 重要網(wǎng)段應采取技術手段防止地址欺騙； g) 應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶； h) 應限制具有撥號訪問權限的用戶數(shù)量。第四章 安全方案設計4.1 安全規(guī)劃設計圖 4.2 安全措施設計4.2.1 安全域劃分安全域的劃分除了需根據(jù)業(yè)務特點、地域部署方式、管理模式等因素綜合考慮劃分安全域。按照以上劃分方法，安全域的典型劃分如下：l 服務器域

11、：包括承載關鍵業(yè)務的服務器系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等；l 外網(wǎng)組域：包括海螺集團接入互聯(lián)網(wǎng)終端和訪問服務器域資源用戶。l 內(nèi)網(wǎng)組域：包括下屬單位及員工的接入終端；4.2.2 安全域邊界隔離與訪問控制在安全域防護過程中，首先要實現(xiàn)的就是區(qū)域邊界隔離與訪問控制，特別是在服務器域、互聯(lián)網(wǎng)組域和內(nèi)網(wǎng)組域等區(qū)域的邊界，應采用專業(yè)的邊界隔離防護設備，目前天融信防火墻是很好的選擇。將防火墻部署于網(wǎng)絡安全域之間信息的唯一連接處，根據(jù)海螺集團的業(yè)務特點、管理制度所制定的安全策略，運用包過濾、代理網(wǎng)關、NAT轉換、IP+MAC地址綁定等技術，實現(xiàn)對出入各區(qū)域網(wǎng)絡的信息流進行全面的控制（允許通過、拒絕通過、過程監(jiān)測），控制類別包括IP地址、TCP/UDP端口、協(xié)議、服務、連接狀態(tài)等網(wǎng)絡信息的各個方面，可以實現(xiàn)對不良網(wǎng)站的封堵。在這里引入防火墻，重點是要隔離各安全區(qū)域的邊界，并根據(jù)業(yè)務類型來限制不同區(qū)域之間的訪問。第五章 方案建設效果本方案采用基于安全域劃分和縱深防御理