【文章內(nèi)容簡(jiǎn)介】 目前已知的所有上網(wǎng)方式接入到企業(yè)內(nèi)部網(wǎng)。也可在某些通過(guò)地址轉(zhuǎn)換方式上網(wǎng)的局域網(wǎng)以私有 IP 地址通過(guò)安全 IP 通道接入企業(yè)內(nèi)部網(wǎng)。 這些數(shù)據(jù)傳輸中涉及到大量的身份認(rèn)證，確保機(jī)密性和不可抵賴性。主要需要認(rèn)證的用戶包括應(yīng)用系統(tǒng)用戶、數(shù)據(jù)用戶、操作系統(tǒng)用戶等。要求對(duì)關(guān)鍵業(yè)務(wù)、關(guān)鍵系統(tǒng)、關(guān)鍵數(shù)據(jù)的訪問(wèn)采用認(rèn)證鑒別技術(shù)，保證合法用戶訪問(wèn)合法數(shù)據(jù)。 . 網(wǎng)絡(luò)傳輸安全需求分析 中心與各級(jí)機(jī)構(gòu)之間以及移動(dòng)用戶與信息 中心進(jìn)行業(yè)務(wù)操作過(guò)程中，通過(guò)租用電信運(yùn)營(yíng)商線路或者通過(guò) INTERNET 進(jìn)行數(shù)據(jù)業(yè)務(wù)的傳輸，在傳輸過(guò)程中，信息將面臨搭線竊聽(tīng)、電磁信號(hào)分析都攻擊手段，通過(guò)這些攻擊手段，具有惡意行為的攻擊者可以竊取信息的內(nèi)容。對(duì)于 **集團(tuán) 業(yè)務(wù)、辦公信息等敏感內(nèi)容，將帶來(lái)較大的危害性。 信息系統(tǒng)安全建設(shè)建議 方案 第 12頁(yè) 共 53 頁(yè) 因此需要在信息傳輸兩端部署具有 VPN 能力的設(shè)備或者軟件保證傳輸安全。 . 內(nèi)容過(guò)濾安全需求分析 互聯(lián)網(wǎng)雖然給用戶帶來(lái)巨大的價(jià)值，但它也是非法信息傳播的溫床，反動(dòng)、色情、暴力等信息在互聯(lián)網(wǎng)上隨處可見(jiàn)，垃圾郵件占據(jù)了大量的合法帶寬和用戶存儲(chǔ)資源。雖然國(guó)家 有相關(guān)法律條例禁止這些不良信息，但僅僅依靠行政手段是無(wú)法達(dá)到徹底清除的目的。相比而言，技術(shù)手段則更加有效，需要安裝內(nèi)容過(guò)濾產(chǎn)品防止非法信息的傳播。 . 上網(wǎng)行為管理的需求 隨著互聯(lián)網(wǎng)的快速發(fā)展，即時(shí)通訊、 P2P 下載、網(wǎng)上炒股、在線視頻播放等應(yīng)用也變得日益廣泛。對(duì)于組織來(lái)說(shuō)，這些應(yīng)用本身不屬于威脅的范疇，但會(huì)影響組織的工作效率，降低組織的生產(chǎn)力，因此需要進(jìn)行合理的控制。譬如，需要對(duì) P2P 下載進(jìn)行速度限制，禁止網(wǎng)上炒股，等等。 . 反垃圾郵件的需求 郵件應(yīng)用是互聯(lián)網(wǎng)上最基本的網(wǎng)絡(luò)應(yīng)用，但由于互聯(lián)網(wǎng)的開(kāi)放性，垃圾郵件的問(wèn) 題也同樣突出，并日漸成為用戶的夢(mèng)魘。垃圾郵件的危害不僅在于要占用用戶大量的時(shí)間去對(duì)郵件進(jìn)行篩選、處理，還因?yàn)槔]件本身還是病毒、木馬等威脅傳播的重要途徑，會(huì)對(duì)用戶的終端和業(yè)務(wù)網(wǎng)絡(luò)造成危害。 為了凈化網(wǎng)絡(luò)流量，減少垃圾郵件的危害，在 網(wǎng)絡(luò)的邊界處需要部署反垃圾郵件設(shè)備。 . 安全審計(jì)需求 日志審計(jì)是信息安全的重要方面，它是實(shí)現(xiàn)安全事件的可追查性、不可否認(rèn)性的重要數(shù)據(jù)環(huán)節(jié)。對(duì)于 **集團(tuán) 信息系統(tǒng)由于數(shù)據(jù)來(lái)源多、數(shù)據(jù)量大、數(shù)據(jù)類型復(fù)雜，將面臨大量的攻擊事件。良好的安全審計(jì)能力是分析 **集團(tuán) 信息系統(tǒng)安全狀況的必要條件。 . 終端成為邊界帶來(lái)新的需求 隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的勢(shì)態(tài)發(fā)現(xiàn)了變化，終端正在成為新的網(wǎng)絡(luò)邊界。 首先，隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，終端接入網(wǎng)絡(luò)的方式已經(jīng)不再局限于局域網(wǎng)接口，包括雙網(wǎng)卡， WiFi， CDMA/GPRS 上網(wǎng)卡， Modem 撥號(hào)，紅外，藍(lán)牙 ? ，這些接口已經(jīng)成為企業(yè)內(nèi)部網(wǎng)絡(luò)的另一道邊界。不能管理內(nèi)部 PC 通過(guò)這些接口上網(wǎng)，就類似在防火墻的城堡下，存在很多沒(méi)有安全警衛(wèi)的后門、小道，內(nèi)部?jī)?nèi)部網(wǎng)絡(luò)的安全性無(wú)法保障。 信息系統(tǒng)安全建設(shè)建議 方案 第 13頁(yè) 共 53 頁(yè) 其次，在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，終端具有固定的辦公位置，內(nèi)部網(wǎng)絡(luò)相對(duì)是靜態(tài)的。然而隨著移動(dòng)終端的 普及（便攜機(jī)銷售超過(guò)臺(tái)式機(jī)），產(chǎn)生了移動(dòng)辦公方式，內(nèi)部網(wǎng)絡(luò)上接入的終端變得動(dòng)態(tài)化。一方面，員工的終端可能在多個(gè)位置動(dòng)態(tài)接入內(nèi)部網(wǎng)絡(luò)；另一方面，各種非公終端也可能接入內(nèi)網(wǎng)（包括員工個(gè)人 PC，以及合作伙伴，客戶的 PC）。隨著用戶 PC的不斷接入，內(nèi)部網(wǎng)絡(luò)的邊界在不斷擴(kuò)充。內(nèi)部網(wǎng)絡(luò)的動(dòng)態(tài)化，需要我們從另外一個(gè)視角來(lái)看邊界安全問(wèn)題。在內(nèi)網(wǎng)邊界動(dòng)態(tài)變化的過(guò)程中，我們必須在新加入的 PC 這一新的邊界上，進(jìn)行必要的安全檢察，配置必要的安全防護(hù)，才能滿足網(wǎng)絡(luò)安全的需要。 目前大多數(shù)的終端安全解決方案中，網(wǎng)關(guān)安全和終端安全是孤立 起來(lái)考慮的，不能做到有效的協(xié)同。但隨著終端的邊界化，只有站在網(wǎng)關(guān)的視點(diǎn)來(lái)看待終端安全，才能確保內(nèi)網(wǎng)的真正安全。 要使得網(wǎng)關(guān)和終端能夠完美融合，真正的起到縱深防御，遙相呼應(yīng)，需要在網(wǎng)關(guān)產(chǎn)品上整合終端安全策略，在網(wǎng)關(guān)產(chǎn)品上對(duì)內(nèi)網(wǎng)終端進(jìn)行統(tǒng)一的安全管理。 信息安全體系建設(shè) . 建設(shè)原則 在設(shè)計(jì)技術(shù)方案時(shí) 遵從以下 原則： ? 實(shí)用性原則 **集團(tuán) 的安全體系建設(shè)將始終遵循“面向應(yīng)用，注重實(shí)效”的指導(dǎo)思想。緊密結(jié)合 **集團(tuán) 現(xiàn)有網(wǎng)絡(luò)和應(yīng)用情況，充分保證原有系統(tǒng)和結(jié)構(gòu)的可用性。 ? 完整性原則 **集團(tuán) 網(wǎng)絡(luò)安全建設(shè)必需保證整個(gè)防御體系的 完整性。在安全體系建設(shè)中，我們采取多種安全防御的技術(shù)和措施來(lái)保障 **集團(tuán) 的網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。 ? 整體均衡 原則 要 對(duì)信息 系統(tǒng)進(jìn)行 全面均衡 的 保護(hù) ，要 提高整個(gè) 信息 系統(tǒng)的 安全最低點(diǎn) 的安全性能 ，保證各個(gè)層面防護(hù)的均衡 。 ? 安全目標(biāo)與效率、投入之間的 平衡原則 要綜合考慮安全目標(biāo)與效率、投入之間的均衡關(guān)系，確定合適的平衡點(diǎn)，不能為了追求安全而犧牲效率，或投入過(guò)大。 ? 區(qū)域 等級(jí)原則 要將信息系統(tǒng)按照合理的原則劃分為不同安全等級(jí)，分區(qū)域分等級(jí)進(jìn)行安全防護(hù)。 信息系統(tǒng)安全建設(shè)建議 方案 第 14頁(yè) 共 53 頁(yè) ? 動(dòng)態(tài)發(fā)展原則 安全防范體系的建設(shè)不是一個(gè)一勞永逸的工作，而是一 個(gè)長(zhǎng)期不斷完善的過(guò)程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整而 不斷 升級(jí)發(fā)展。 ? 節(jié)省投資原則 在滿足上述原則的基礎(chǔ)上，應(yīng)盡量作到節(jié)省設(shè)備采購(gòu)?fù)顿Y，不要形成一種“用價(jià)值 10元的設(shè)備來(lái)保護(hù)價(jià)值 5 元 的資產(chǎn)”的局面。 . 安全建設(shè)的思路和方法 建議首先采用安全域劃分方法將整個(gè)信息系統(tǒng)分成多個(gè)安全等級(jí)不同的相對(duì)獨(dú)立的子系統(tǒng)，既按照業(yè)務(wù)流程的不同層面劃分為不同的安全域針對(duì)每個(gè)安全域或安全子域來(lái)標(biāo)識(shí)其中的關(guān)鍵資產(chǎn)，分析所存在的安全隱患和面臨的安全風(fēng)險(xiǎn)，然后給出相應(yīng)的保護(hù)措施。 由于不同的安全 域 之 間存在著數(shù)據(jù)流，這時(shí)候就需要考慮安全域邊界的訪問(wèn)控制、身份驗(yàn)證、信息過(guò)濾、防病毒、入侵防御和審計(jì)等安全策略的實(shí)施。根據(jù)對(duì)市場(chǎng) 已 有的安全 技術(shù)分析，功能全面、維護(hù)簡(jiǎn)單且性價(jià)比較高的 UTM 類產(chǎn)品是比較好的選擇。 UTM 產(chǎn)品提供了完整的邊界安全保護(hù)能力，可以有效的實(shí)施訪問(wèn)控制、入侵檢測(cè)與防護(hù)、防病毒、應(yīng)用層信息過(guò)濾、流量管理、帶寬管理等能力。同時(shí)由于一臺(tái) UTM 設(shè)備即可實(shí)現(xiàn) 較為 完整的邊界安全解決方案，將大大降低用戶采購(gòu)成本和維護(hù)成本。 . 安全域劃分 網(wǎng)絡(luò)的建設(shè)是由業(yè)務(wù)系統(tǒng)的驅(qū)動(dòng)建設(shè)而成的，初始的網(wǎng)絡(luò)建設(shè)大多沒(méi)有統(tǒng)一規(guī)劃， 有些系統(tǒng)是獨(dú)立的網(wǎng)絡(luò)，有些系統(tǒng)又是共用一個(gè)網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級(jí)、使用的對(duì)象、面對(duì)的威脅和風(fēng)險(xiǎn)各不相同。 當(dāng)前 **集團(tuán) 網(wǎng)絡(luò)系統(tǒng)是一個(gè)龐大復(fù)雜的系統(tǒng)，在支持業(yè)務(wù)不斷發(fā)展的前提下，如何保證系統(tǒng)的安全性是一個(gè)巨大的挑戰(zhàn)，對(duì)系統(tǒng)進(jìn)行區(qū)域劃分，進(jìn)行層次化、有重點(diǎn)的保護(hù)是有保證系統(tǒng)和信息安全的有效手段。 按數(shù)據(jù)分類分區(qū)域分等級(jí)保護(hù)，就是按數(shù)據(jù)分類進(jìn)行分級(jí)，按數(shù)據(jù)分布進(jìn)行區(qū)域劃分，根據(jù)區(qū)域中數(shù)據(jù)的分類確定該區(qū)域的安全風(fēng)險(xiǎn)等級(jí)。目的是把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，分解為更小區(qū)域的安全保護(hù)問(wèn)題。這是實(shí)現(xiàn) 大規(guī)模復(fù)雜信息的系統(tǒng)安全等級(jí)保護(hù)的有效方法。 根據(jù) **集團(tuán) 信息系統(tǒng)的特點(diǎn)將整個(gè) **集團(tuán) 信息系統(tǒng)分為如下安全域： 信息系統(tǒng)安全建設(shè)建議 方案 第 15頁(yè) 共 53 頁(yè) 1. 中心接入域 ：包括外聯(lián)區(qū)（與 公網(wǎng) 相連）、內(nèi)聯(lián)區(qū)（與二級(jí)機(jī)構(gòu)相連）、 DMZ 區(qū)（對(duì)外公開(kāi)服務(wù)器）以及內(nèi)部網(wǎng)中的總部大樓和信息中心的接入部分。 2. 中心辦公域 ：總部工作人員辦公用網(wǎng)絡(luò)。 3. 中心生產(chǎn)域： 生產(chǎn)終端所在網(wǎng)絡(luò)。 4. 中心服務(wù)域 ：所有的業(yè)務(wù)生產(chǎn)系統(tǒng)的服務(wù)器都放置在這個(gè)區(qū)域。 5. 二級(jí)機(jī)構(gòu)辦公域 ：二級(jí) 機(jī)構(gòu) 的辦公網(wǎng)絡(luò)，每個(gè)具體的二級(jí) 機(jī)構(gòu) 辦公域形成一個(gè)獨(dú)立子安全域。 6. 二級(jí)機(jī)構(gòu)生產(chǎn)域 ：二級(jí) 機(jī)構(gòu) 的生產(chǎn)網(wǎng)絡(luò)，每個(gè)具體的二級(jí) 機(jī) 構(gòu) 生產(chǎn)域形成一個(gè)獨(dú)立子安全域。 信息安全 方案 設(shè)計(jì) 拓?fù)?示意圖： ? ?? ? ? ?? ?? ?分 / 子 公 司 分 / 子 公 司總 部北 京 公 司互 聯(lián) 網(wǎng)核 心 服 務(wù) 器 區(qū)業(yè) 務(wù) 安 全 審 計(jì)入 侵 檢 測(cè)互 聯(lián) 網(wǎng) 行 為 審 計(jì)辦 公 / 生 產(chǎn) 區(qū)安 全 網(wǎng) 關(guān)安 全 運(yùn) 營(yíng) 中 心V P N 接 入安 全 網(wǎng) 關(guān)安 全 網(wǎng) 關(guān)安 全 網(wǎng) 關(guān) 信息系統(tǒng)安全建設(shè)建議 方案 第 16頁(yè) 共 53 頁(yè) . 安全網(wǎng)關(guān) (UTM)設(shè)計(jì) 部署方案 根據(jù) **集團(tuán) 網(wǎng)絡(luò)的現(xiàn)狀和日后的發(fā)展需要， 通過(guò)安全域劃分原則部署和配置 我 公司的一體化 安全網(wǎng)關(guān) （ UTM） 設(shè)備 ： 中心接入域： 合法接入控制：接入域內(nèi)各子域邊界的訪問(wèn)控制以及對(duì)應(yīng)用數(shù)據(jù)進(jìn)行安全過(guò)濾，對(duì)接入的數(shù)據(jù)或者用戶進(jìn)行身份認(rèn)證與授權(quán)。 防入侵：檢測(cè)來(lái)自外部的入侵行為并予以阻斷。 病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的病毒傳播。 抗拒絕服務(wù)攻擊：根據(jù) 網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 傳輸安全：接入域和其他安全域的互聯(lián)方式可能需要加密傳輸，因此需要對(duì)敏感數(shù)據(jù)采用 VPN 技術(shù)進(jìn)行加密。 中心辦公域： 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。 防入侵：檢測(cè)來(lái)自外部的入侵行為并予以阻斷。 病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲(chóng)傳播。 抗拒絕服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 防泄密：監(jiān)控接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問(wèn)等。通過(guò)控制文 件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。 內(nèi)容過(guò)濾：對(duì)基于標(biāo)準(zhǔn)協(xié)議的內(nèi)容進(jìn)行過(guò)濾，防止色情、非法信息的下載與傳播。 上網(wǎng)行為管理：對(duì) IM 應(yīng)用進(jìn)行管理和控制，對(duì) P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。 防垃圾郵件：防止郵件炸彈攻擊，對(duì)垃圾郵件進(jìn)行過(guò)濾，提升工作效率。 中心生產(chǎn)域 : 信息系統(tǒng)安全建設(shè)建議 方案 第 17頁(yè) 共 53 頁(yè) 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。 防入侵：檢測(cè)來(lái)自外部的入侵行為并予以阻斷。 病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲(chóng)傳播。 安全審計(jì)：對(duì)所有與業(yè)務(wù)相關(guān)的 通訊進(jìn)行紀(jì)錄，保證可進(jìn)行事后分析和可追查性檢查。 中心服務(wù)域 : 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。 防入侵：檢測(cè)來(lái)自外部的入侵行為并予以阻斷。 病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲(chóng)傳播。 抗拒絕服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 二級(jí)機(jī)構(gòu)辦公域： 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。 防入侵：檢測(cè)來(lái)自外部的入侵行為并予以阻斷。 病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲(chóng)傳播。 抗拒絕服務(wù)攻擊：根 據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 防泄密：監(jiān)控接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問(wèn)等。通過(guò)控制文件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。 內(nèi)容過(guò)濾：對(duì)基于標(biāo)準(zhǔn)協(xié)議的內(nèi)容進(jìn)行過(guò)濾，防止色情、非法信息的下載與傳播。 上網(wǎng)行為管理：對(duì) IM 應(yīng)用進(jìn)行管理和控制，對(duì) P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。 防垃圾郵件：防止郵件炸彈攻擊，對(duì)垃圾郵件進(jìn)行過(guò)濾，提升工作效率。 二級(jí)機(jī)構(gòu)生產(chǎn)域 合法接入控制：僅允許可信主機(jī)進(jìn)入 辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。 信息系統(tǒng)安全建設(shè)建議 方案 第 18頁(yè) 共 53 頁(yè) 防入侵：檢測(cè)來(lái)自外部的入侵行為并予以阻斷。 病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲(chóng)傳播。 安全審計(jì)：對(duì)所有與業(yè)務(wù)相關(guān)的通訊進(jìn)行紀(jì)錄，保證可進(jìn)行事后分析和可追查性檢查。 系統(tǒng)功能 天清漢馬 USG 一體化安全網(wǎng)關(guān) 采用 高性能 的 硬件 架構(gòu)和 一體化的軟件設(shè)計(jì) ，集 防火墻、VPN、入侵防御（ IPS）、防病毒、外聯(lián)控制、抗拒絕服務(wù)攻擊（ AntiDoS） 、 內(nèi)容過(guò)濾、反垃圾郵件 、 NetFlow 等多種安全技術(shù)于一身， 同時(shí) 全面支持 QoS、高可用性（ HA） 、日志審計(jì)等功能 ， 為 網(wǎng)絡(luò)邊界提供 了全面實(shí)時(shí)的安全 防護(hù) 。 除此之外，天