XXX公司网络改造及安全体系建设项目技术建议方案

XXX公司网络改造和安全体系建设项目技术建议方案XX信息系统股份二九年六月目 录1方案概述1现状描述1建设目标2总体建设原则32项目技术方案4网络改造规划4网络改造目标4网络改造思路4网络改造的技术特点4XXX网络改造方案6网络安全规划11网络安全规划概述11网络安全风险分析13XXX网络安全解决方案17安全产品选型建议331 方案概述1.1 现状描述网络方面：全网核心层采用一台Cisco 6509作为单核心，无冗余；呼叫中心网络汇聚层为Cisco 4507R，而其他三个办公点网络都采用两层结构，没有汇聚层；接入设备为Cisco 3560和 2960。长沙4个办公点通过光纤连接，南京、天津仓库通过专线接入，其他物流中心则通过VPN接入。网络出口为3条百兆光纤，2条电信，一条网通，通过Radware Linkproof 1000实现负载均衡。无线接入则主要采用胖AP的方式。安全方面：部署一台三星防火墙作为网络边界，划分DMZ区放置网站服务器等；ISA服务器作为互联网代理和应用防火墙；部署一台绿盟IDS，实现入侵检测防护；VPN接入则是通过Cisco 3825路由器所提供的IP-Sec VPN方式。针对XXX目前网络及安全体系的现状，我们给出如下分析：XXX的网络建设时间不长，结构较为明晰，便于采用最先进、成熟的技术建立现代化的网络及安全体系；网络连接带宽充足，为建设高速稳定的网络环境提供了条件；数据存储及灾备系统建设较为完善，保证数据的完整性和可靠性；目前国际、国内使用的网络设备、安全技术比较成熟稳定，为XXX建立一个稳定可靠、性能先进的网络及安全体系提供了技术和工程管理方面支持。但是目前网络核心层未提供冗余，易出现单点故障；网络安全建设相对比较薄弱，难以对公司日益发展的业务提供有效的安全保障，这些都是急待解决的问题。因此本次项目必须依据现有的有利条件，充分考虑性价比，以最小的投资获取最大的效益，不断完善XXX网络及安全体系，为业务系统创建良好的IT基础，提高XXX的IT管理水平，进而提高企业总体水平和市场竞争能力。1.2 建设目标经过交流，可明确XXX网络改造及安全体系建设项目的具体建设目标如下：1、网络核心层实现双机热备冗余，公司本部网络增加汇聚层，减轻核心层的压力。2、公司网络实现QoS控制，对数据包进行分类、标注、设置优先级，确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。3、无线接入改为瘦AP方式，通过无线控制器统一配置管理。4、通过在网络设备上增加防火墙模块来实现虚拟防火墙，定制基于VLAN的访问控制策略。5、实现安全域的划分设计。6、部署独立的VPN设备，用户可通过SSL VPN和IPSec VPN两种方式接入内网。7、部署IPS，实现入侵防御。8、部署上网行为管理系统，规范员工上网行为。9、部署网络准入控制系统，内部用户不管是通过有线还是无线接入，都进行802.1x认证，认证与AD域集成，实现SSO。对外部用户开放无线接入，但需进行Portal认证。在部署准入控制系统时，同时实现补丁管理和桌面电脑的安全状态管理。1.3 总体建设原则项目的建设应该遵循如下的原则： 应尽量避免对现网业务的影响； 必须保护已有的设备投资； 新增的设备应符合相应标准规范要求； 新增的设备应具备进一步扩容的可扩展能力； 新增的设备应具备开放性、灵活性。2 项目技术方案2.1 网络改造规划2.1.1 网络改造目标考虑到XXX未来的业务发展，网络平台应能有效很好地支持各现有和规划中的业务系统、支持广域网连接、具有良好网络结构的扩张性、可靠性，同时具有良好的可管理性，最大限度降低网管工作的复杂性。2.1.2 网络改造思路XXX网络平台的改造应以业务为导向，支撑经营的“规模化”和“差异化”，实现多业务的承载。在实际网络改造中，应结合网络和业务实际情况，充分考虑投资保护因素，提高投资效益。具体建设中需体现以下原则：1、网络层次清晰化。通过二三层网络分离，构建物理和逻辑层次清晰的三层路由网络和二层接入网络。2、网络质量差异化。通过部署区分服务机制，为不同用户和不同业务提供不同QoS等级的差异化服务。3、设备要求规范化。新增设备必须符合公司设备技术规范和选型结果的要求。应尽量减少网内设备厂家数目和型号，核心层、汇聚层每个层面的设备应尽量选用同一厂家产品。2.1.3 网络改造的技术特点2.1.3.1 开放性与标准化设备使用的各种协议符合网络设备国际标准，基于业界开放性标准，保证本系统能与现有网络及业务系统进行正常互连互通。2.1.3.2 具有可扩展性设备采用模块化设计，每个模块具有多个千兆接口接入能力，方便扩展设备容量和提升设备性能；具备支持业务处理的灵活配置，业务功能的重组与更新的灵活性。接入设备具足够的快速以太网接入接口，具有线速交换能力。2.1.3.3 安全可靠性网络各节点提供双交换引擎，双电源保障。提供良好的安全可靠性策略，支持多种安全可靠性技术手段，制定严格的安全可靠性管理措施。2.1.3.4 先进性采用先进成熟的设备和技术，确保系统的技术先进性，保证投资的有效性和延续性。提供业务流量的线速转发，具有QoS保障、完善的安全管理机制，满足用户对多业务、高可靠、大容量和模块化的需求。2.1.3.5 投资保护工程选择的设备一方面要考虑设备的先进性，另一方面本着资源充分利用的原则，既要保护原有的投资利益，节约投资，又要保障设备的二次利用。2.1.3.6 统一性虽然在以太网交换领域已经有了各种国际标准，但不同的厂商在实现交换协议时都作了较大的增强，为了充分利用这些增强功能，实现无缝的连接，建议选择网络产品时应注意统一性。选择产品系列具有相同软硬结构设计和功能特性的厂商以保障互操作性和平滑升级能力。2.1.4 XXX网络改造方案2.1.4.1 方案概述三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）。改造后整个网络遵循三层网络架构，网络拓扑如下图所示。网络拓扑结构图2.1.4.2 核心层改造方案核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。本次项目将核心层由单核心改造为两台高性能核心交换机构成冗余结构，采用模块化结构，便于网络的扩容与升级。核心交换机上至少部署16个千兆光纤端口和48个 10/100/1000自适应以太网口。两台核心交换机之间通过四条Cat5e UTP线缆互连，四条链路利用捆绑成千兆以太通道，这样，在全双工模式下两台核心交换机间的链路带宽达到8Gbps，同时多链路捆绑的设计也可确保线路的冗余，提高系统的高可靠性。两台核心层交换机各加载一个防火墙模块，实现公司网络边界以及各安全域之间的屏障。2.1.4.3 汇聚层改造方案汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该采用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。目前核心层交换机所有光电口全部在使用状态，不利于今后网络的扩展，因此建议将公司本部网络改造为三层结构，增加两台汇聚交换机，以减轻核心层设备负荷，并为今后网络的扩容打下良好的网络架构基础。另外大溪地和T2区用户数不多，目前的网络结构能够满足今后一段时间内的发展，而且增加汇聚层等于在网络中多增加了一个故障点，因此从保障网络稳定以及节省投资等方面考虑，建议这两个网络区域最好维持现状暂不增加汇聚层。出于规范化的考虑，本次汇聚层改造的原则及设备选型应尽可能与大金马机房保持一致。另外为了给本部无线AP提供POE供电，汇聚层交换机应支持标准，配置至少48个 10/100/1000自适应以太网口。2.1.4.4 接入层改造方案接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机。公司本部接入层交换机均通过双链路分别接入两台汇聚交换机，以提供冗余的线路保障。2.1.4.5 无线接入方式WLAN技术可以替代现有的传统有线网络或者作为其延伸以拓展它的覆盖范围和容量。在室内应用时，无线可以同时支持移动和有线连接计算。在会议室、办公区、客户等候区等位置配置无线AP，对该区域进行无线覆盖，为无线用户提供11-54M的网络接入，提高办公人员的机动性。无线接入方式采用瘦AP模式，在中心机房安装无线控制器，所有无线AP接受无线控制器的统一管理与配置，减轻用户在无线网配置上的负担。为简化线路，要求无线AP满足标准要求，支持POE（以太网供电），若接入交换机不支持标准要求，则无线AP需要配置电源。无线局域网采用IEEE/b/g标准，在使用支持IEEE的终端接入时，可获得最高54Mbps的接入速度。根据每AP最佳并发接入30个用户的标准，以及Wlan所需覆盖的办公区域面积测算，公司无线接入共需设立约16个无线接入点，其中公司本部需要6个，大金马3个，大溪地4个，T2区3个。其中公司本部的6个接入点可由新购的汇聚层交换机提供POE供电；大金马以及大溪地的7个接入点可由现有的Cisco 3560提供POE供电；T2区接入交换机不能提供POE供电，因此3个接入点需要考虑配置电源。2.1.4.6 网络管理方案局域网管理解决方案是一套强大的管理工具，可简化公司网络的配置、管理、监测和故障排除，优化局域网管理，大大提高网络管理员的工作精度和效率。为了对网络中的交换机路由器，访问服务器，集线器等网络设备进行有效的管理，我们需要配置这样一套综合的，经济有效的，功能强大的网络管理工具。由于每个网络设备厂商都有自己的网络管理产品，可对其出品的网络设备提供更好的管理支持，因此我们建议采用与公司现有网络设备配套的局域网管理系统。2.1.4.7 服务器负载均衡建议XXX提供对外服务的服务器共有4-5台，包括WWW、CMS、SCM和BBS等几种服务，目前这些服务都只有单台服务器进行支撑。随着XXX业务的不断发展，访问者数量快速增加，服务器需要具备提供大量并发访问服务的能力。单台服务器的性能总是有限的，一般来讲，一台PC服务器所能提供的并发访问处理能力大约为1000个，更为高档的专用服务器能够支持3000-5000个并发访问，这样的能力还是无法满足负载较大的网站的要求。因此建议逐步采用多台服务器提供这些网络服务，并将网络请求分配给这些服务器分担，实现服务器的负载均衡，这样才能提供处理大量并发服务的能力，使之不再成为企业发展的瓶颈。2.1.4.8 对布线系统的要求新办公大楼布线系统(数据布线系统)分为水平布线和垂直布线： 1、水平布线系统：水平布线系统以满足楼层数据网点数为原则，为达到1000M到桌面的目的，一般要求使用超五类双绞线； 2、垂直布线系统：垂直布线系统为光纤，用于各楼层与核心机房的核心设备千兆以太网连接；2.1.4.9 远程接入规划远程接入规划示意图远程接入建议采用IPSEC/SSL VPN一体化的方式，以适应Lan to Lan 和End to Lan两种不同应用。VPN提供了远远高于防火墙访问控制功能的安全性，具体优势如下：1) VPN不仅支持数据包的加密-防止入侵者侦听传输内容，同时也支持数据包的来源认证-防止入侵者假冒合法用户进入网络，以及数据包完整性校验-防止数据传输途中被别人篡改，所有这些安全机制运用于通讯双方的每一个数据包，以确保万无一失。2) VPN加密和认证的密钥可动态更新，即使理论上密钥可以被解密，但是使用最快的计算机来处理也需要一定的时间，这时密钥已改变，所以实际上基本不可能破译。3) 不同用户之间、同一对用户不同应用之间都可以建立不同的VPN通道，使用不同的加密算法、不同的密钥和不同的认证算法，以保证绝对安全。对于普通应用的数据，可以使用ACL表进行过滤，不经过VPN通道传输，以减轻路由器的负载。客户端如果使用VPN客户软件，通过Split Tuning功能指定到哪些地址的流量进入VPN ，到哪些地址的流量不经过VPN。4) VPN通道的建立需要经过双方严格的身份校验，客户端用户使用此通道前还需另外的身份认证，客户通过认证后，其虚拟VPN地址的分配、允许访问的网络资源、通讯时间、最多建立的会话数等安全策略都可以根据注册的用户名由中心端控制，不同外网性质的用户可以限制他们只允许访问对应的服务器。另外，VPN通过虚拟私有加密通道实现用户之间数据的安全传送。可在XXX内部用户访问的网段前部署专业级硬件VPN集中器，远程客户端可以有多种连接方式，既可安装VPN软件，也可采用客户端硬件VPN设备。通信线路既可采用专线，也可采用宽带线路，或两种方式同时共存。需要注意的是，目前XXX应用存在B/S、C/S等多种模式，因此SSL VPN应该能通过用户可选的客户端插件形式为终端用户分配虚拟IP，并通过SSL隧道建立三层隧道，实现与传统IPSEC VPN客户端一样的终端网络功能。2.2 网络安全规划2.2.1 网络安全规划概述一个全方位的计算机网络安全体系结构包含安全管理、物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和业务连续性等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、网络反病毒技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。在实施网络安全防范措施时要考虑以下几点：要加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补；从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；利用数据存储技术加强数据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。如何构建XXX安全可靠的网络系统是本章内容的目的。本章内容将根据XXX网络的结构特点提出XXX网络安全系统的规划方案。2.2.1.1 设计思想网络安全是一个必须解决的重要问题，同时也是一个极其复杂的问题。考虑安全层次、技术难度及经费支出等因素，在设计方案时我们遵循了如下设计思想：尽可能地提高系统的安全性和可靠性。保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性。易于操作、维护，并便于自动化管理，而不增加或少增加附加操作。尽量不影响原网络拓扑结构，便于系统结构及系统功能的扩展。安全保密系统具有较好的性能价格比，一次性投资，可以长期使用。以“承认漏洞、正视威胁、适度防护、加强检测、落实反应和建立威慑”为指导思想，以突出网络级的安全监控预警体系为重点，有效地提高企业对计算机信息系统自身安全漏洞和内外部攻击行为的检测、管理、监控和实时处理能力，要实现合理的评估信息系统安全事件、有效地实时阻断非法和违规网络活动、准确地提供违规行为的全部审计档案的动态适应安全目标。2.2.1.2 设计原则网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。在设计网络安全系统时，我们将遵循以下原则：1） 需求、风险、代价平衡分析的原则对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2） 综合性、整体性原则运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 3）一致性原则这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。4) 易操作性原则 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。 5）适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。6）多重保护原则 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。2.2.2 网络安全风险分析由于目前网络的应用的自由性、广泛性以及黑客的“流行”，网络面临着各种安全威胁。如：非授权访问、信息泄露、数据被篡改或丢失等。一旦信息泄露或者信息混乱，将给企业自身信誉、社会稳定、国家安全带来巨大影响。为了便于分析网络安全风险和设计网络安全解决方案，我们采取对网络分层的方法，并且在每个层面上进行细致的分析，根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。从系统和应用出发，网络的安全因素可以划分到如下的五个安全层中，即安全管理、物理层、网络层、系统层、应用层。2.2.2.1 安全管理风险分析最安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。XXX网络系统应按照国家关于计算机和网络的一些安全管理条例，如计算站场地安全要求、中华人民共和国计算机信息系统安全保护条例等，制订安全管理制度。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入计算机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。2.2.2.2 物理层的安全风险分析网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路不可以使用,而造成网络的不可以使用。它是整个网络安全的前提。如：1） 设备被盗、被毁坏2） 链路老化或被有意或者无意的破坏3） 因电子辐射造成信息泄露4） 设备意外故障、停电5） 地震、火灾、水灾等自然灾害因此，在网络安全考虑时，首先要考虑物理安全。例如：设备被盗、被毁坏；设备老化、意外故障；计算机系统通过无线电辐射泄露秘密信息等。2.2.2.3 网络层安全风险分析l 数据传输风险分析1） 重要业务数据泄漏由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁，同时局域网网络内部也存在着内部攻击行为，其中包括登录通行字和一些敏感信息，可能被侵袭者搭线窃取和篡改，造成泄密。如果没有专门的软件或硬件对数据进行控制，所有的广域网通信都将不受限制地进行传输，因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的，只要使用现在可以很容易得到的“包检测”软件即可。2） 重要数据被破坏由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。存储数据对于用户来说极为重要，如果由于通信线路的质量原因或者人为的恶意篡改，都将导致难以想象的后果，这也是网络犯罪的最大特征。l 网络边界风险分析目前公司内部用户有上网需求，但现有的网络安全防范措施还很薄弱，存在的安全风险主要有：1） 入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。2） 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网的重要信息。3） 入侵者通过发送大量PING数据包对内部网中重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。l 网络设备的安全风险由于XXX网络中使用大量的网络设备，如交换机、路由器等。使得这些设备的自身安全性也会直接关系的公司系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。2.2.2.4 系统及应用层的安全风险l 系统安全风险系统级的安全风险分析主要针对公司专用网络采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。公司网络通常采用的操作系统(主要为WINDOWS)本身在安全方面有一定考虑，但服务器、数据库的安全级别较低，存在一些安全隐患。l 与INTERNET连接带来的安全隐患为满足公司内部用户上网需求，公司网与INETRNET直接连接，这样网络结构信息极易为攻击者所利用，有人可能在未经授权的情况下非法访问公司的内部网络，窃取信息同时由于二者之间尚无专门的安全防护措施，服务器主机所提供的网络服务也极易被攻击者所利用，发动进一步攻击。即使采用代理服务器进行网络隔离，一旦代理服务器失控，内部网络将直接暴露在INTERNET上。l 身份认证漏洞服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。2.2.3 XXX网络安全解决方案2.2.3.1 安全管理解决方案安全管理是公司网络和信息安全的核心内容，包括了风险管理、信息安全策略、规程、标准、方针、基线、信息分级和安全教育等。制定安全管理计划应该采用自顶向下的方法，这就意味着创意、支持和指导都应该从最高管理者中来，如果没有得到管理层足够的支持和指导，IT部门想制定安全计划就可能遇到很多的阻力，最终导致计划的失败。我们建议XXX可从如下几个方面着手，来实现安全管理。1、 注意风险管理风险管理是识别、评估风险，并将这种风险减小到一个可接受的程度，并实行正确的机制以保持这种程度的风险的过程。没有百分之百安全的系统，每个系统都有其脆弱性，我们所需要做的就是识别这些风险，评估它们实际发生地可能性和因此可能造成的破坏，然后采取正确的措施全面减小系统中的风险程度。XXX在网络信息安全方面可能面临的部分威胁和脆弱点：薄弱点利用该弱点的威胁成功可能性影响防火墙缺陷（产品漏洞、体系结构、配置不合理）n DOS/DDOS攻击n 对内部资源的非授权访问n 数据操纵较高严重防病毒体系缺陷（覆盖不完备、产品BUG、策略配置和部署不得当）病毒（木马、蠕虫、移动代码）高非常严重缺乏关键链路和设备的冗余考虑一切威胁（引起的单点故障）高非常严重缺乏专门的入侵防御措施各种攻击/非授权访问较高非常严重缺乏完备的接入管理规范n 病毒、木马n 信息偷窃高非常严重缺乏完善的分级加密措施n 网络侦听n 信息窃取缺乏完备的账号/口令策略入侵/非授权访问高非常严重缺乏完备的备份/恢复计划一切威胁高非常严重缺乏完善的审计措施入侵/非授权访问高无法取证和调查缺乏完备的文件存取策略非授权访问/信息偷窃高非常严重缺乏应急响应机制和团队一切威胁较高非常严重缺乏定期的设备更新计划设备老化高严重缺乏好的门禁控制体系社会工程/信息偷窃/人为破坏高非常严重对于这些风险威胁和脆弱点，应该进行识别、分门别类，还应该通过定量或定性的分析方法计算其潜在损失的实际危害程度，划分出相应等级，然后选择减小、分担或是接受风险。2、制定信息安全策略和规程安全策略是高级管理层决定的一个全面的声明，为机构的安全体系提供基础，涵盖了机构的管理层对于安全在机构内的角色这一方面所作出的决策。实质上是高层面上的非技术性策略，用于保护机构的资产，确保保护资产的机密性、可用性和完整性的安全机制得以实施。XXX应根据本公司的实际情况，制定相应的信息安全策略，下面是一个可供参考的信息安全策略示例：禁止未经授权的修改和传输，或是传播公司私有的、敏感的、机密的信息。未经授权传播这些信息的后果将导致中止、结束合同或是承担民事责任并受到严厉的经济犯罪处罚；所有接入公司网络的计算机必须是可管理的，其网络行为必须是可控的；任何第三方在进入或参观设备或者接收和讨论机密的专有信息之前必须要签订一份保密协议；在接收公司以外的任何文档、文件、附件或者应用程序前必须先做病毒扫描来保护当前信息；敏感的专有信息只能被授权用户访问而且要受到严格的访问控制、审计和监控；关键数据必须进行灾备，为公司业务提供可持续保障；网络环境应该提供冗余，减少单点故障的出现；安全官员负责确保这个策略被完全执行。规程则是完成某项任务的详细具体的步骤。规程说明如何将策略应用到操作环境中去。例如上述安全策略规定敏感的专有信息只能被授权用户访问，那么作为支撑的规程就需要说明达到这个目标的步骤：为认证授权定义访问标准，规定访问控制机制应该如何实行和配置，规定如何审计访问活动。规程应该足够详细，以便不同人群都可以理解和使用它。3、实现信息分级我们必须认识到什么样的信息资产对于公司是至关重要的，并给这些信息资产赋予它所背负的价值，这样我们才能测定应该用多少资金和资源去保护它们。数据分级的主要目的就是为了表明各种信息所需的机密性、完整性和可用性的级别。经过初步评估，我们认为XXX企业的关键资产包括：n 所有对企业业务和持续性商业计划产生重要影响的数据和文档；n 呼叫中心、Email、Web、OA等重点应用和服务；n 上述服务/应用赖以运行的主机和网段；n 数据库服务器、文件服务器、DNS服务器等关键支撑设备；n 关键链路上的通信设备和安全产品（如防火墙、防病毒等）；在上述基础上，XXX的安全规划人员可以通过业务影响力分析，对资产进行评分和重要度排序，并对信息进行分级。前者可以帮助我们确定在资金有限的情况下，先保护什么，后者帮助我们对不同的信息实施不同级别的访问控制和保护。下表给出了可参考的信息分级示例，其中包括四个等级，根据企业情况的不同，信息分级可以包括3级至六级不等。信息安全分级参考示例分级级别分级定义示例公共XXX认为可以对公众清楚透露的信息，譬如通过网站、报纸、杂志等媒介和渠道对外发布的信息。广告、营销材料XXX的出版物关于XXX报道的杂志、报纸文章通过采购取得的IT软硬件及使用手册内部XXX认为无法向公众公开透露的信息。为实现保护和处理的目的，XXX内部信息根据其中包含的最敏感数据或材料加以分级。人力资源信息、组织机构示意图、内部 簿顾客信息、详细价格信息研究和开发数据公司培训材料公司电子邮件系统灾难及业务恢复计划机密XXX认为如果受到威胁会对公司、顾客、供应商、员工产生不利影响的信息，这些信息包括在正常的业务活动中对员工公开，但必须由公司策略和制度加以控制，不得在未经授权的情况下泄露给公众的信息。非公开财务报表（如费用中心报表）内部审计报表材料成本、生产成本数据短期业务计划对手竞争力分析报告采购合同和其他投标信息自主产品软件源代码及相关文档限制XXX认为如果受到威胁后会对公司、顾客、供应商、员工造成财务、法律、规章条例上的严重损失的信息。这类信息极为敏感，要求个人在访问前必须进行必要性确认（访问记录）。保护机制包括确保这些信息的副本都要进行特别记录，并在处理后加以销毁。该级别的数据保护和处理要求比机密数据更严格。公司薪资信息财务库和顾客/订单库预发布产品信息长期业务战略计划防火墙配置规则root/Administrator/DBA用户/操作员密码和PIN4、进行安全意识培训一个机构想要达到自己的安全计划的预定目标，就必须向自己的雇员说明他们的安全计划是什么，怎么实行安全计划以及为什么要实行安全计划。目的是让每一个雇员都了解安全问题对于整个公司和每个人的重要性。应该澄清职责和可以接受的行为，在违反规则的情况发生之前就要说明这样做的后果，可能是警告，也可能是开除。针对一个安全意识培训计划，通常会有3种听众：管理人员、普通员工和技术人员。每个听众都应该受到特定种类的安全意识培训，从而保证每个团体都了解自己特定的职责、义务和期望。安全培训应该定期地、持续地进行。这种安全培训一年至少应该进行一次，目的是让职员不但了解安全措施如何在自己的环境中运行，而且知道为什么这样做。进行安全意识培训的主要原因在于改变职员的行为和对安全的态度。5、用户分级管理一个机构存在着很多职能部门，每个职能部门日常工作所涉及的信息资产都不同，因此从安全管理角度考虑，不同职能部门的用户应该拥有不同等级的访问权限。例如财务、战略计划等信息资产只能允许具有相关权限等级的用户进行的访问。目前XXX采用AD域进行用户认证管理，今后需要将AD域的用户管理与网络准入控制以及VPN等结合起来提供用户的认证、授权及审计。但是目前XXX的AD域管理仍存在着一定的问题，在公司多次组织结构调整后，AD域中的组织结构并未进行及时更新，这样对于今后的用户分级管理将会造成不便。因此建议在本次项目中，应对AD域的OU、用户组等进行一定的调整，使之与XXX组织架构保持一致。2.2.3.2 物理层安全解决方案保证计算机信息系统各种设备的物理安全是保障整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全、设备安全、线路安全。为了将不同密级的网络隔离开，我们还要采用隔离技术将核心密和普通密两个网络在物理上隔离同时保证在逻辑上两个网络能够连通。l 环境安全对系统所在环境的安全保护，如区域保护和灾难保护；(参见国家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求l 设备安全设备安全主要包括设备的防盗、防破坏、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；设备冗余备份；通过严格管理及提高员工的整体安全意识来实现。 l 媒体安全包括媒体数据的安全及媒体本身的安全。显然，为保证企业网络的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。l 隔离技术隔离技术要达到以下几点关键技术：1） 物理隔断。2） 可选择数据交换：两个网络能够有选择的交换数据，好像它们直接相连一样。3） 数据是静态的：在交换数据过程中，数据是静态的（被动的），不能被执行。4） 独立决策：所有决策要求数据在一个安全的环境中处理，与不可信的网络隔断。5） 高性能：上述所有工作实时进行，最大通过量和最小延时。2.2.3.3 网络层安全解决方案l 防火墙安全技术建议XXX网络是一个由公司总部大楼、大溪地、大金马、T2区组成的网络体系结构，从网络安全角度上讲，他们属于不同的网络安全域，因此在网络边界，应安装防火墙，并需要实施相应的安全策略控制。另外，根据对外提供信息查询等服务的要求，为了控制对关键服务器的授权访问控制，应把对外公开服务器集合起来划分为一个专门的服务器子网，设置防火墙DMZ区来保护对它们的访问。根据XXX的网络现状，我们建议在核心交换机配置防火墙模块，实现虚拟防火墙功能。虚拟防火墙可以将一台硬件防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等，以此来实现对不同网段或不同设备的安全防护。硬件防火墙与交换机连接后，再通过交换机连接不同类别的PC终端，这样虚拟防火墙功能将转嫁应用在每台交换机上，使得每台交换机都成了逻辑上的防火墙设备，以此来实现PC终端或多台服务器的虚拟防火墙保护。这样的布置不仅增加了各终端的安全保护级别，而且也类似于一组独立的物理防火墙，但是更加便于管理。因为它们是虚拟设备，所以组织可以轻松地根据用户的增长情况添加或者删除此种安全结构。l 入侵防御安全技术建议利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙，网络安全还远远不够，主要表现在以下几个方面：1） 入侵者可寻找防火墙背后可能敞开的后门；2） 入侵者可能就在防火墙内；3） 由于性能的限制，防火墙通常不能提供实时的入侵检测能力；4） 对于CC攻击、SQL注入等应用层攻击，防火墙无能为力；5） 保护措施单一。入侵防御目的是提供实时的入侵检测及采取相应的防护手段，如发现违规访问、阻断网络连接、内部越权访问等，发现更为隐蔽的攻击。公司网络安全体系必须建立一个智能化的实时攻击识别和响应系统，管理和降低网络安全风险，保证网络安全防护能力能够不断增强。目前网络入侵安全问题主要采用网络入侵防御系统等成熟产品和技术来解决。IPS产品选型一般遵循以下三个先决条件： 1：是否对漏洞掌握的足够多，并有相关的防护措施尽快出台 2：是否对新出现的针对漏洞的攻击手段掌握的足够快 3：是否有能力研究和防护最新可能出现的攻击手段 部署网络入侵检测系统应能满足以下要求：能在网络环境下实现实时地分布协同地入侵防御，全面防御可能的入侵行为。能及时识别各种黑客攻击行为，发现攻击时，阻断弱化攻击行为、并能详细记录，生成入侵报告，及时向管理员报警。能够按照管理者需要进行多个层次的扫描，按照特定的时间、广度和细度的需求配置多个扫描。能够支持大规模并行检测，能够方便地对大的网络同时执行多个检测。所采用的入侵防御产品和技术不能被绕过或旁路。检测和扫描行为不能影响正常的网络连接服务和网络的效率。检测的特征库要全面并能够及时更新。安全检测策略可由用户自行设定，对检测强度和风险程度进行等级管理，用户可根据不同需求选择相应的检测策略。能够帮助建立安全策略，具有详细的帮助数据库，帮助管理员实现网络的安全，并且制定实际的、可强制执行的网络安全策略。l 网络设备安全增强技术建议在漏洞扫描与风险评估的基础上对网络设备进行安全性增强配置，下面以CISCO路由器的几个安全增强配置为例说明网络设备的安全性也是不容忽视的。1） Login Banner配置：修改login banner，隐藏路由器系统真实信息，防止真实信息的泄露。2） Enable secret配置：使用enable secret来加密secret口令。3） Idents配置：通过ident配置来增加路由器安全性。4） 超时配置：配置VTY，Console的超时来增加系统访问安全性。5） 访问控制配置：通过配置VTY端口的Access List来增加系统访问的安全性。6） VTY访问配置：配置VTY的访问方式，如SSH来增加系统访问的安全性。7） 用户验证配置：配置用户验证方式以增强系统访问的安全性。8） AAA方式配置：配置AAA方式来增加用户访问安全性。9） 路由命令审计配置：配置AAA命令记账来增强系统访问安全性。l 数据传输安全建议为保证数据传输的机密性和完整性，建议网络中采用安全VPN系统。VPN应具有以下功能：1） 信息透明加解密功能，支持网络IP数据包的机密性保护。网络密码机串联在以太网中，凡是流经的IP报文无一例外地都要受到它的分析和检查，根据需要进行加解密和认证处理。信息加解密功能支持政务系统专有的业务服务，及WWW、FTP、SMTP、Telnet等基于TCP/IP的服务。2） 支持IPSEC/SSL VPN一体化的方式，适应Lan to Lan 和End to Lan两种不同应用，SSL VPN必须支持网络层以上的所有B/S和C/S应用。3） 信息认证功能，支持IP数据包的完整性保护。流过的IP报文在被加解密的同时，还要进行认证处理，由加密方在每个报文之后都自动附有认证码，其他人无法伪造，在接收方对该认证码进行验证，保证了信息的完整性和不可篡改性。4） 防火墙功能，支持网络访问控制机制，防止外部非法用户攻击。在操作系统底层直接实现报文包过滤技术、IP地址伪装技术（NAT），并与信息加密、认证机制无缝结合。可以保证局域网的边界安全，防止了通常的类似于IP spoofing（IP地址欺骗）的攻击。5） 支持远程分布式集中统一管理功能。6） 安全审计及告警功能，支持对网络非法访问操作的审计和自动告警。VPN网关对流过的报文进行动态过滤分析，根据网络安全审计策略，自动调度审计进程，进行审计记录，产生审计报告，并以多种方式，如语音、E-mail等方式对非法事件进行实时告警，以便安全管理员在第一时间了解情况，做出正确的应对措施，以尽可能的将非法事件造成的损失降低至最小。2.2.3.4 系统及应用安全解决方案l 操作系统安全技术1）操作系统安全要求操作系统是所有计算机终端、工作站和服务器等正常运行的基础，操作系统的安全十分重要。目前的商用操作系统主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows、OS/2、NOVELL Netware等。针对操作系统应用环境对安全要求的不同，系统对操作系统的不同适用范围作如下要求：关键的服务器和工作站（如数据库服务器、WWW服务器、代理服务器、备份服务器和网管工作站）应该采用服务器版本的操作系统。典型的有：SUN Solaris、HP Unix、Windows NT Server、Windows 2000/2003 Server。网管终端、办公终端可以采用通用图形窗口操作系统，如Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000等。2）操作系统安全管理操作系统因为设计和版本的问题，存在许多的安全漏洞；同时因为在使用中安全设置不当，也会增加安全漏洞，带来安全隐患。在没有其它更高安全级别的商用操作系统可供选择的情况下，安全关键在于操作系统的安全管理。为了加强操作系统的安全管理，要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各个应用系统安全等方面制定强化安全的措施。l 服务器安全防护公司服务器本身不能保证没有漏洞，不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的BUG，使得黑客可以远程对服务器发出指令，从而导致对系统进行修改和损坏，包括无限制地向服务器发出大量指令，以至于服务器“拒绝服务”，最终引起整个系统的崩溃。这就要求我们必须提高服务器的抵抗破坏能力，防止拒绝服务（DOS）或分布式拒绝服务（DDOS）之类的恶意攻击，提高服务器备份与恢复、防篡改与自动修复能力。如采用服务器灾难恢复系统，一旦服务器上的数据被非法修改，安全系统能够迅速发现，并自动地对数据进行恢复。因此，我们有必要采取相应的措施对公司的服务器进行安全保护。1、必须将整个公司网以及各种公开服务器与INTERNET进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝；另外，还要对内部用户访问INTERNET而引入的安全风险加以防范，加强内部的审计管理。2、需要对公司各种服务器进行安全分级，对不同安全级别的服务器采取不同的安全保护措施。例如对于数据库服务器、卡支付服务器、财务服务器、呼叫中心服务器等生产相关的关键服务器应采取最高等级的安全防护，在其他服务器安全措施的基础上再增加双因素安全认证等保护手段。2.2.3.5 安全域解决方案l 安全域安全域，系统内包含相同的安全要求，达到相同的安全防护等级的区域。同一个安全域，一般要求有统一的安全管理组织和制度以及统一的安全技术防护体系。安全域定义了与内部网络系统的最低安全等级，在安全域内可以包含更高安全级别的安全域。安全域分离是指确保至少有一个安全域，对自己执行是可用的，并且该主体受保护不被不可信主体从外部干扰和篡改。域分离的具体要求如下：通过将安全域的资源与该域外的主体及不受约束的实体分离开，使得安全域外的实体不能观察或修改安全域内的数据或编码；域内传输是受控的，不能随意地进入或退出安全域；按地址传到保护域的用户或应用参数，根据保护域的地址空间进行确认，而按值传到保护的域的用户或应用参数则根据保护域内所期望的值进行确认。l 安全域划分一个好的网络拓扑设计应力求边界清晰没有交叉，同时具备良好的可用性。而边界划分的主要依据是联接方式、访问对象和访问权限，无论怎样，企业网络都可以简单分为Intranet、Extranet和Internet三个部分，它们对企业的重要性按由高到低排序，安全性逐级较低，风险则逐次升高（如下图所示）。网络安全区域划分1、企业内网（园区网）：属于企业的核心子网，包括管理子网、服务器子网和楼道子网，它们通过6509核心交换机进行路由交换。1）管理子网包括了各种用以管理或安全目的的主机，包括网管、安全管理、各种数据的最终汇聚服务器、IDS、AD域的管理器和控制台、增强认证和访问控制服务器等。2）服务器子网包括各种用以内部用途的服务器，如数据库服务器、DNS服务器、卡支付服务器、呼叫中心服务器、文件服务器、打印服务器等。3）楼道子网包括各个部门的办公PC，一部分特权用户（领导）构成了公共上网逻辑区域，其他的则为普通区域。注意：这种划分可以通过交换机上的VLAN和防火墙的设置来完成，无需改变物理组网。2、Intranet属于企业网的边缘，包括汇聚层的边缘分布模块和接入层的各类子网，如通过光纤接入的大溪地、大金马、T2区，以及专线接入的企业分支子网以及内部移动用户。3、Extranet包括供应商、合作伙伴或电子业务往来单位（银行、保险公司等）等关系密切的外部用户。4、Internet用户包括所有经由Internet访问的外部用户。上面这些区域按重要度分级如下：区域包含(接入)子网（用户）重要级别Intranetn 园区网n 企业分支机构n 内部移动用户A1A2A3Extranetn 供应商n 合作伙伴n 电子业务往来单位（如银行）BCDInternetn 一般企业和互联网用户El 每个部分的安全目标及实现1、在整个网络中，管理子网汇聚并可以访问全局数据，重要度最高，因此必须增加虚拟防火墙、HIDS和NIDS保护；另外，通过专有VLAN技术防止从一台主机入侵其他的主机。管理子网还包括其他可能的产品组件，包括LDAP、DB Server以及各种汇聚的二层数据源。2、对服务器子网的保护主要包括防火墙、专有VLAN、外部路由过滤、HIDS、NIDS和平台加固技术。平台加固不仅仅是补丁管理，我们需要从网络、系统、文件/目录、用户以及物理安全几个方面进行全面的加固考虑。借助专业的基于主机的弱点扫描工具可以简化这个过程，但首先要有相应的企业安全策略。3、楼道子网包括公共上网区和普通办公用户，区别主要在于前者允许上网，后者不允许，这种方式可以通过以下安全机制来实现：（1）通过交换机限制网络窃听； （2）通过交换机的VLAN划分不同PC的逻辑域，避免普通PC对特权用户PC发起的非授权访问和攻击； （3）在边界防火墙或员工上网行为管理服务器上设置不同的Internet访问策略。比如，对领导允许全开放的Internet访问，对普通部门员工根据工作性质按时段开放对不同性质网站的访问；（4）对公共上网区的PC增加个人防火墙保护，因为上网可能带来信息剽窃和恶意代码下载，而个人防火墙可以大幅减少这种隐患。另一方面，个人防火墙安装和开启后会增加内存和CPU占用，因此并不建议普通部门PC也安装个人防火墙，而防病毒软件作为最基本的防护措施，每台机器都必须安装。无论怎样，客户的安全操作和意识教育至关重要，包括桌面安全策略、邮件客户端安全操作、上网和移动介质管理等，企业必须有配套的培训计划、定期检查制度和行政方面的执行保障手段。、对于企业分支的接入，我们通过VPN技术确保数据传输的安全性；通过防火墙提供了对内网的增强保护，确保企业分支用户通过身份认证并进行严格的访问控制。另外，我们可以通过动态口令卡技术来提高认证的安全性，减少远程用户冒充和欺骗的威胁。、企业Internet模块的安全保护措施包括边界防火墙、URL过滤和DMZ区的各种安全防护措施。通过设置到Internet出口的速率限制避免了攻击数据包速率超过预定的带宽阀值，减轻了DOS/DD