海螺集團(tuán)網(wǎng)絡(luò)規(guī)劃方案

1、海螺集團(tuán)網(wǎng)絡(luò)規(guī)劃方案V1.0北京天融信科技有限公司2011年5月目 錄第一章 前言31.1 設(shè)計(jì)原則31.2 設(shè)計(jì)標(biāo)準(zhǔn)4第二章 安全需求分析52.1 網(wǎng)絡(luò)結(jié)構(gòu)分析52.2 典型安全問(wèn)題52.3 安全需求分析62.3.1 安全域劃分62.3.2 防火墻安全策略優(yōu)化72.3.3 系統(tǒng)安全加固措施72.3.4 入侵檢測(cè)和防范措施72.4 相關(guān)標(biāo)準(zhǔn)要求82.4.1 訪問(wèn)控制要求82.4.2 入侵防范要求8第三章 安全方案設(shè)計(jì)103.1 安全規(guī)劃設(shè)計(jì)圖103.2 安全措施設(shè)計(jì)123.2.1 安全域劃分123.2.2 安全域邊界隔離與訪問(wèn)控制123.2.3 服務(wù)器安全加固措施133.2.4 終端安全加固1

2、53.2.5 入侵檢測(cè)和防范措施153.3 安全部署規(guī)劃163.3.1 防火墻部署設(shè)計(jì)163.3.2 入侵檢測(cè)系統(tǒng)部署設(shè)計(jì)17第四章 方案建設(shè)效果19第一章 前言1.1 設(shè)計(jì)原則適度安全原則任何信息系統(tǒng)都不能做到絕對(duì)的安全，需要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過(guò)多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。技術(shù)管理并重原則信息安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，也不是單純的管理問(wèn)題，專(zhuān)網(wǎng)終端管理同樣如此，需要通過(guò)管理手段，約束終端適用人員的行為，同時(shí)配合技術(shù)的檢測(cè)、控制、審計(jì)等手段，對(duì)于違反安全策略的用戶和行為，予以拒絕，這樣才能保障各項(xiàng)管理制度能夠有效地執(zhí)行下去，并產(chǎn)

3、生應(yīng)有的效果；標(biāo)準(zhǔn)性原則標(biāo)準(zhǔn)性原則往往是信息安全建設(shè)中重點(diǎn)考慮的因素，在本方案中，將重點(diǎn)參考等級(jí)保護(hù)對(duì)的一些要求，進(jìn)行設(shè)計(jì)，解決在實(shí)際應(yīng)用中的問(wèn)題；動(dòng)態(tài)調(diào)整原則信息安全問(wèn)題不是靜態(tài)的，它總是隨著組織策略、管理制度、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施；保密性原則本方案應(yīng)當(dāng)遵循保密性原則，重點(diǎn)保護(hù)政務(wù)專(zhuān)網(wǎng)中的重要信息，防止信息通過(guò)外聯(lián)、移動(dòng)介質(zhì)等途徑泄露出去；成熟性原則本方案設(shè)計(jì)采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗(yàn)確實(shí)能夠解決安全問(wèn)題并在很多項(xiàng)目中有成功應(yīng)用的。1.2 設(shè)計(jì)標(biāo)準(zhǔn)本方案重點(diǎn)參考以下的的政策和標(biāo)準(zhǔn)：指導(dǎo)思想中辦200

4、327號(hào)文件（關(guān)于轉(zhuǎn)發(fā)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)的通知）公通字200466號(hào)文件（關(guān)于印發(fā)信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)的通知）公通字200743號(hào)文件（關(guān)于印發(fā)信息安全等級(jí)保護(hù)管理辦法的通知）等級(jí)保護(hù)GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南技術(shù)方面GA/T671-2006 信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求GB/T aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求管理方面ISO/IEC 27001 信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)方案架構(gòu)IATF 信息保障技術(shù)

5、框架第二章 需求分析針對(duì)目前的網(wǎng)絡(luò)現(xiàn)狀，以下主要從網(wǎng)絡(luò)層、應(yīng)用層、安全策略和管理層面對(duì)可能遇到安全風(fēng)險(xiǎn)分別進(jìn)行分析。2.1 典型安全問(wèn)題問(wèn)題1：ARP風(fēng)暴問(wèn)題整個(gè)網(wǎng)絡(luò)在一個(gè)廣播域內(nèi)，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)中的廣播報(bào)文越來(lái)越多，當(dāng)用戶感染了ARP病毒以后，不斷向外發(fā)送廣播數(shù)據(jù)包，占用的網(wǎng)絡(luò)資源越來(lái)越多，嚴(yán)重影響網(wǎng)絡(luò)性能，引起廣播風(fēng)暴問(wèn)題。問(wèn)題2：DOS/DDOS攻擊問(wèn)題DOS/DDOS攻擊時(shí)一種非常有效的攻擊方式，能夠利用大量的服務(wù)請(qǐng)求占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到正常的服務(wù)。常見(jiàn)的DOS/DDOS攻擊可分為兩類(lèi)：一類(lèi)是針對(duì)系統(tǒng)或者協(xié)議漏洞的攻擊，如ping of death,te

6、ardrop等，另一類(lèi)是消耗計(jì)算機(jī)或者網(wǎng)絡(luò)中有限的資源，占用大量網(wǎng)絡(luò)寬帶，如udp flood ，syn flood ，icmp flood等。問(wèn)題3終端自身安全帶來(lái)的安全隱患終端自身的安全問(wèn)題也將對(duì)信息網(wǎng)絡(luò)造成威脅，比如終端自身已經(jīng)攜帶了病毒，終端沒(méi)有安裝防病毒軟件，終端的防病毒軟件沒(méi)有及時(shí)更新，終端操作系統(tǒng)補(bǔ)丁也沒(méi)有及時(shí)更新等，這些安全問(wèn)題將對(duì)內(nèi)網(wǎng)其他終端，甚至內(nèi)網(wǎng)服務(wù)器造成很大的麻煩，嚴(yán)重的將導(dǎo)致病毒在網(wǎng)絡(luò)中的傳播，或者終端上攜帶的蠕蟲(chóng)病毒在網(wǎng)絡(luò)中大量散播的時(shí)候，也將導(dǎo)致交換機(jī)的負(fù)荷過(guò)重，而引起癱瘓。問(wèn)題4服務(wù)器安全問(wèn)題內(nèi)網(wǎng)的應(yīng)用服務(wù)和內(nèi)網(wǎng)終端部署在一個(gè)交換機(jī)上，之間沒(méi)有任何訪問(wèn)控制措施

7、，應(yīng)用服務(wù)器采用WIN2003系統(tǒng)，該系統(tǒng)默認(rèn)配置安全級(jí)別較低，漏洞較多，容易被蠕蟲(chóng)病毒、木馬和惡意軟件攻擊，從而影響其他用戶的使用。2.2 安全需求分析2.2.1 安全域劃分在安全防御體系構(gòu)建中，我們一般所說(shuō)的安全域是指網(wǎng)絡(luò)安全域，即同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。建議在省海螺集團(tuán)網(wǎng)絡(luò)中根據(jù)實(shí)際業(yè)務(wù)需求劃分不同的安全域，通過(guò)防火墻進(jìn)行嚴(yán)格訪問(wèn)控制，實(shí)行授權(quán)的最小化。安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。2.2.2 防火墻安全策

8、略優(yōu)化防火墻是互聯(lián)網(wǎng)和內(nèi)網(wǎng)之間安全隔離設(shè)備，它的作用是通過(guò)允許、拒絕或重定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出網(wǎng)絡(luò)，并對(duì)網(wǎng)絡(luò)服務(wù)和訪問(wèn)進(jìn)行審計(jì)和控制。實(shí)現(xiàn)這些功能的前提是配置良好的安全策略，經(jīng)過(guò)優(yōu)化后的防火墻具有較強(qiáng)的抗攻擊能力。2.2.3 VPN互聯(lián)海螺集團(tuán)規(guī)模龐大，也經(jīng)常需要與各個(gè)下屬單位交互信息。同時(shí)，集團(tuán)人員的出差移動(dòng)辦公需求也日益迫切。所有的應(yīng)用，都離不開(kāi)一個(gè)基本前提：都要先建立一個(gè)可以安全的、可靠的、互聯(lián)互通的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)。建立這樣的基礎(chǔ)網(wǎng)絡(luò)，傳統(tǒng)的做法對(duì)于大部分企業(yè)來(lái)講，無(wú)論在建設(shè)成本上還是后期維護(hù)上，要建立一個(gè)物理專(zhuān)網(wǎng)都是比較困難的。隨著Internet的迅猛

9、發(fā)展及VPN技術(shù)的出現(xiàn)，為集團(tuán)信息化應(yīng)用提供了良機(jī)和更好的選擇。VPN是利用公共網(wǎng)絡(luò)資源來(lái)構(gòu)建的虛擬專(zhuān)用網(wǎng)絡(luò)，它是通過(guò)特殊設(shè)計(jì)的硬件或軟件直接在共享網(wǎng)絡(luò)中通過(guò)隧道、加密技術(shù)來(lái)保證用戶數(shù)據(jù)的安全性，提供與專(zhuān)用網(wǎng)絡(luò)一樣的安全和功能保障。使得整個(gè)網(wǎng)絡(luò)在邏輯上成為一個(gè)單獨(dú)的透明內(nèi)部網(wǎng)絡(luò)，具有安全性、可靠性和可管理性。今天，VPN虛擬專(zhuān)用網(wǎng)已經(jīng)具有與專(zhuān)線幾乎相近的穩(wěn)定性和安全性。第三章 訪問(wèn)控制要求a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能； b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)； c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP、FT

10、P、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制； d) 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接； e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙； g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶； h) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。第四章 安全方案設(shè)計(jì)4.1 安全規(guī)劃設(shè)計(jì)圖 4.2 安全措施設(shè)計(jì)4.2.1 安全域劃分安全域的劃分除了需根據(jù)業(yè)務(wù)特點(diǎn)、地域部署方式、管理模式等因素綜合考慮劃分安全域。按照以上劃分方法，安全域的典型劃分如下：l 服務(wù)器域

11、：包括承載關(guān)鍵業(yè)務(wù)的服務(wù)器系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等；l 外網(wǎng)組域：包括海螺集團(tuán)接入互聯(lián)網(wǎng)終端和訪問(wèn)服務(wù)器域資源用戶。l 內(nèi)網(wǎng)組域：包括下屬單位及員工的接入終端；4.2.2 安全域邊界隔離與訪問(wèn)控制在安全域防護(hù)過(guò)程中，首先要實(shí)現(xiàn)的就是區(qū)域邊界隔離與訪問(wèn)控制，特別是在服務(wù)器域、互聯(lián)網(wǎng)組域和內(nèi)網(wǎng)組域等區(qū)域的邊界，應(yīng)采用專(zhuān)業(yè)的邊界隔離防護(hù)設(shè)備，目前天融信防火墻是很好的選擇。將防火墻部署于網(wǎng)絡(luò)安全域之間信息的唯一連接處，根據(jù)海螺集團(tuán)的業(yè)務(wù)特點(diǎn)、管理制度所制定的安全策略，運(yùn)用包過(guò)濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實(shí)現(xiàn)對(duì)出入各區(qū)域網(wǎng)絡(luò)的信息流進(jìn)行全面的控制（允許通過(guò)、拒絕通過(guò)、過(guò)程監(jiān)測(cè)），控制類(lèi)別包括IP地址、TCP/UDP端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個(gè)方面，可以實(shí)現(xiàn)對(duì)不良網(wǎng)站的封堵。在這里引入防火墻，重點(diǎn)是要隔離各安全區(qū)域的邊界，并根據(jù)業(yè)務(wù)類(lèi)型來(lái)限制不同區(qū)域之間的訪問(wèn)。第五章 方案建設(shè)效果本方案采用基于安全域劃分和縱深防御理