【文章內容簡介】 目前已知的所有上網方式接入到企業(yè)內部網。也可在某些通過地址轉換方式上網的局域網以私有 IP 地址通過安全 IP 通道接入企業(yè)內部網。 這些數據傳輸中涉及到大量的身份認證，確保機密性和不可抵賴性。主要需要認證的用戶包括應用系統(tǒng)用戶、數據用戶、操作系統(tǒng)用戶等。要求對關鍵業(yè)務、關鍵系統(tǒng)、關鍵數據的訪問采用認證鑒別技術，保證合法用戶訪問合法數據。 . 網絡傳輸安全需求分析 中心與各級機構之間以及移動用戶與信息 中心進行業(yè)務操作過程中，通過租用電信運營商線路或者通過 INTERNET 進行數據業(yè)務的傳輸，在傳輸過程中，信息將面臨搭線竊聽、電磁信號分析都攻擊手段，通過這些攻擊手段，具有惡意行為的攻擊者可以竊取信息的內容。對于 **集團 業(yè)務、辦公信息等敏感內容，將帶來較大的危害性。 信息系統(tǒng)安全建設建議 方案 第 12頁 共 53 頁 因此需要在信息傳輸兩端部署具有 VPN 能力的設備或者軟件保證傳輸安全。 . 內容過濾安全需求分析 互聯網雖然給用戶帶來巨大的價值，但它也是非法信息傳播的溫床，反動、色情、暴力等信息在互聯網上隨處可見，垃圾郵件占據了大量的合法帶寬和用戶存儲資源。雖然國家 有相關法律條例禁止這些不良信息，但僅僅依靠行政手段是無法達到徹底清除的目的。相比而言，技術手段則更加有效，需要安裝內容過濾產品防止非法信息的傳播。 . 上網行為管理的需求 隨著互聯網的快速發(fā)展，即時通訊、 P2P 下載、網上炒股、在線視頻播放等應用也變得日益廣泛。對于組織來說，這些應用本身不屬于威脅的范疇，但會影響組織的工作效率，降低組織的生產力，因此需要進行合理的控制。譬如，需要對 P2P 下載進行速度限制，禁止網上炒股，等等。 . 反垃圾郵件的需求 郵件應用是互聯網上最基本的網絡應用，但由于互聯網的開放性，垃圾郵件的問 題也同樣突出，并日漸成為用戶的夢魘。垃圾郵件的危害不僅在于要占用用戶大量的時間去對郵件進行篩選、處理，還因為垃圾郵件本身還是病毒、木馬等威脅傳播的重要途徑，會對用戶的終端和業(yè)務網絡造成危害。 為了凈化網絡流量，減少垃圾郵件的危害，在 網絡的邊界處需要部署反垃圾郵件設備。 . 安全審計需求 日志審計是信息安全的重要方面，它是實現安全事件的可追查性、不可否認性的重要數據環(huán)節(jié)。對于 **集團 信息系統(tǒng)由于數據來源多、數據量大、數據類型復雜，將面臨大量的攻擊事件。良好的安全審計能力是分析 **集團 信息系統(tǒng)安全狀況的必要條件。 . 終端成為邊界帶來新的需求 隨著信息網絡技術的發(fā)展，網絡安全的勢態(tài)發(fā)現了變化，終端正在成為新的網絡邊界。 首先，隨著網絡接入技術的發(fā)展，終端接入網絡的方式已經不再局限于局域網接口，包括雙網卡， WiFi， CDMA/GPRS 上網卡， Modem 撥號，紅外，藍牙 ? ，這些接口已經成為企業(yè)內部網絡的另一道邊界。不能管理內部 PC 通過這些接口上網，就類似在防火墻的城堡下，存在很多沒有安全警衛(wèi)的后門、小道，內部內部網絡的安全性無法保障。 信息系統(tǒng)安全建設建議 方案 第 13頁 共 53 頁 其次，在傳統(tǒng)的企業(yè)網絡中，終端具有固定的辦公位置，內部網絡相對是靜態(tài)的。然而隨著移動終端的 普及（便攜機銷售超過臺式機），產生了移動辦公方式，內部網絡上接入的終端變得動態(tài)化。一方面，員工的終端可能在多個位置動態(tài)接入內部網絡；另一方面，各種非公終端也可能接入內網（包括員工個人 PC，以及合作伙伴，客戶的 PC）。隨著用戶 PC的不斷接入，內部網絡的邊界在不斷擴充。內部網絡的動態(tài)化，需要我們從另外一個視角來看邊界安全問題。在內網邊界動態(tài)變化的過程中，我們必須在新加入的 PC 這一新的邊界上，進行必要的安全檢察，配置必要的安全防護，才能滿足網絡安全的需要。 目前大多數的終端安全解決方案中，網關安全和終端安全是孤立 起來考慮的，不能做到有效的協(xié)同。但隨著終端的邊界化，只有站在網關的視點來看待終端安全，才能確保內網的真正安全。 要使得網關和終端能夠完美融合，真正的起到縱深防御，遙相呼應，需要在網關產品上整合終端安全策略，在網關產品上對內網終端進行統(tǒng)一的安全管理。 信息安全體系建設 . 建設原則 在設計技術方案時 遵從以下 原則： ? 實用性原則 **集團 的安全體系建設將始終遵循“面向應用，注重實效”的指導思想。緊密結合 **集團 現有網絡和應用情況，充分保證原有系統(tǒng)和結構的可用性。 ? 完整性原則 **集團 網絡安全建設必需保證整個防御體系的 完整性。在安全體系建設中，我們采取多種安全防御的技術和措施來保障 **集團 的網絡系統(tǒng)安全運行。 ? 整體均衡 原則 要 對信息 系統(tǒng)進行 全面均衡 的 保護 ，要 提高整個 信息 系統(tǒng)的 安全最低點 的安全性能 ，保證各個層面防護的均衡 。 ? 安全目標與效率、投入之間的 平衡原則 要綜合考慮安全目標與效率、投入之間的均衡關系，確定合適的平衡點，不能為了追求安全而犧牲效率，或投入過大。 ? 區(qū)域 等級原則 要將信息系統(tǒng)按照合理的原則劃分為不同安全等級，分區(qū)域分等級進行安全防護。 信息系統(tǒng)安全建設建議 方案 第 14頁 共 53 頁 ? 動態(tài)發(fā)展原則 安全防范體系的建設不是一個一勞永逸的工作，而是一 個長期不斷完善的過程，所以技術方案要能夠隨著安全技術的發(fā)展、外部環(huán)境的變化、安全目標的調整而 不斷 升級發(fā)展。 ? 節(jié)省投資原則 在滿足上述原則的基礎上，應盡量作到節(jié)省設備采購投資，不要形成一種“用價值 10元的設備來保護價值 5 元 的資產”的局面。 . 安全建設的思路和方法 建議首先采用安全域劃分方法將整個信息系統(tǒng)分成多個安全等級不同的相對獨立的子系統(tǒng)，既按照業(yè)務流程的不同層面劃分為不同的安全域針對每個安全域或安全子域來標識其中的關鍵資產，分析所存在的安全隱患和面臨的安全風險，然后給出相應的保護措施。 由于不同的安全 域 之 間存在著數據流，這時候就需要考慮安全域邊界的訪問控制、身份驗證、信息過濾、防病毒、入侵防御和審計等安全策略的實施。根據對市場 已 有的安全 技術分析，功能全面、維護簡單且性價比較高的 UTM 類產品是比較好的選擇。 UTM 產品提供了完整的邊界安全保護能力，可以有效的實施訪問控制、入侵檢測與防護、防病毒、應用層信息過濾、流量管理、帶寬管理等能力。同時由于一臺 UTM 設備即可實現 較為 完整的邊界安全解決方案，將大大降低用戶采購成本和維護成本。 . 安全域劃分 網絡的建設是由業(yè)務系統(tǒng)的驅動建設而成的，初始的網絡建設大多沒有統(tǒng)一規(guī)劃， 有些系統(tǒng)是獨立的網絡，有些系統(tǒng)又是共用一個網絡。而這些系統(tǒng)的業(yè)務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。 當前 **集團 網絡系統(tǒng)是一個龐大復雜的系統(tǒng)，在支持業(yè)務不斷發(fā)展的前提下，如何保證系統(tǒng)的安全性是一個巨大的挑戰(zhàn)，對系統(tǒng)進行區(qū)域劃分，進行層次化、有重點的保護是有保證系統(tǒng)和信息安全的有效手段。 按數據分類分區(qū)域分等級保護，就是按數據分類進行分級，按數據分布進行區(qū)域劃分，根據區(qū)域中數據的分類確定該區(qū)域的安全風險等級。目的是把一個大規(guī)模復雜系統(tǒng)的安全問題，分解為更小區(qū)域的安全保護問題。這是實現 大規(guī)模復雜信息的系統(tǒng)安全等級保護的有效方法。 根據 **集團 信息系統(tǒng)的特點將整個 **集團 信息系統(tǒng)分為如下安全域： 信息系統(tǒng)安全建設建議 方案 第 15頁 共 53 頁 1. 中心接入域 ：包括外聯區(qū)（與 公網 相連）、內聯區(qū)（與二級機構相連）、 DMZ 區(qū)（對外公開服務器）以及內部網中的總部大樓和信息中心的接入部分。 2. 中心辦公域 ：總部工作人員辦公用網絡。 3. 中心生產域： 生產終端所在網絡。 4. 中心服務域 ：所有的業(yè)務生產系統(tǒng)的服務器都放置在這個區(qū)域。 5. 二級機構辦公域 ：二級 機構 的辦公網絡，每個具體的二級 機構 辦公域形成一個獨立子安全域。 6. 二級機構生產域 ：二級 機構 的生產網絡，每個具體的二級 機 構 生產域形成一個獨立子安全域。 信息安全 方案 設計 拓撲 示意圖： ? ?? ? ? ?? ?? ?分 / 子 公 司 分 / 子 公 司總 部北 京 公 司互 聯 網核 心 服 務 器 區(qū)業(yè) 務 安 全 審 計入 侵 檢 測互 聯 網 行 為 審 計辦 公 / 生 產 區(qū)安 全 網 關安 全 運 營 中 心V P N 接 入安 全 網 關安 全 網 關安 全 網 關 信息系統(tǒng)安全建設建議 方案 第 16頁 共 53 頁 . 安全網關 (UTM)設計 部署方案 根據 **集團 網絡的現狀和日后的發(fā)展需要， 通過安全域劃分原則部署和配置 我 公司的一體化 安全網關 （ UTM） 設備 ： 中心接入域： 合法接入控制：接入域內各子域邊界的訪問控制以及對應用數據進行安全過濾，對接入的數據或者用戶進行身份認證與授權。 防入侵：檢測來自外部的入侵行為并予以阻斷。 病毒過濾：發(fā)現并阻斷可能出現的病毒傳播。 抗拒絕服務攻擊：根據 網絡異常行為判斷出拒絕服務攻擊并予以阻斷。 傳輸安全：接入域和其他安全域的互聯方式可能需要加密傳輸，因此需要對敏感數據采用 VPN 技術進行加密。 中心辦公域： 合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業(yè)務需求的主機訪問外部網絡。 防入侵：檢測來自外部的入侵行為并予以阻斷。 病毒過濾：發(fā)現并阻斷可能出現的蠕蟲傳播。 抗拒絕服務攻擊：根據網絡異常行為判斷出拒絕服務攻擊并予以阻斷。 防泄密：監(jiān)控接入域客戶的非業(yè)務流量，特別是進行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問等。通過控制文 件傳輸以及紀錄文件傳輸行為兩種方式進行防泄密保護。 內容過濾：對基于標準協(xié)議的內容進行過濾，防止色情、非法信息的下載與傳播。 上網行為管理：對 IM 應用進行管理和控制，對 P2P/網絡視頻等行為進行阻斷或者限流，確保帶寬的有效利用。 防垃圾郵件：防止郵件炸彈攻擊，對垃圾郵件進行過濾，提升工作效率。 中心生產域 : 信息系統(tǒng)安全建設建議 方案 第 17頁 共 53 頁 合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業(yè)務需求的主機訪問外部網絡。 防入侵：檢測來自外部的入侵行為并予以阻斷。 病毒過濾：發(fā)現并阻斷可能出現的蠕蟲傳播。 安全審計：對所有與業(yè)務相關的 通訊進行紀錄，保證可進行事后分析和可追查性檢查。 中心服務域 : 合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業(yè)務需求的主機訪問外部網絡。 防入侵：檢測來自外部的入侵行為并予以阻斷。 病毒過濾：發(fā)現并阻斷可能出現的蠕蟲傳播。 抗拒絕服務攻擊：根據網絡異常行為判斷出拒絕服務攻擊并予以阻斷。 二級機構辦公域： 合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業(yè)務需求的主機訪問外部網絡。 防入侵：檢測來自外部的入侵行為并予以阻斷。 病毒過濾：發(fā)現并阻斷可能出現的蠕蟲傳播。 抗拒絕服務攻擊：根 據網絡異常行為判斷出拒絕服務攻擊并予以阻斷。 防泄密：監(jiān)控接入域客戶的非業(yè)務流量，特別是進行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問等。通過控制文件傳輸以及紀錄文件傳輸行為兩種方式進行防泄密保護。 內容過濾：對基于標準協(xié)議的內容進行過濾，防止色情、非法信息的下載與傳播。 上網行為管理：對 IM 應用進行管理和控制，對 P2P/網絡視頻等行為進行阻斷或者限流，確保帶寬的有效利用。 防垃圾郵件：防止郵件炸彈攻擊，對垃圾郵件進行過濾，提升工作效率。 二級機構生產域 合法接入控制：僅允許可信主機進入 辦公域，同時僅允許有業(yè)務需求的主機訪問外部網絡。 信息系統(tǒng)安全建設建議 方案 第 18頁 共 53 頁 防入侵：檢測來自外部的入侵行為并予以阻斷。 病毒過濾：發(fā)現并阻斷可能出現的蠕蟲傳播。 安全審計：對所有與業(yè)務相關的通訊進行紀錄，保證可進行事后分析和可追查性檢查。 系統(tǒng)功能 天清漢馬 USG 一體化安全網關 采用 高性能 的 硬件 架構和 一體化的軟件設計 ，集 防火墻、VPN、入侵防御（ IPS）、防病毒、外聯控制、抗拒絕服務攻擊（ AntiDoS） 、 內容過濾、反垃圾郵件 、 NetFlow 等多種安全技術于一身， 同時 全面支持 QoS、高可用性（ HA） 、日志審計等功能 ， 為 網絡邊界提供 了全面實時的安全 防護 。 除此之外，天