【文章內容簡介】 01082611122 網(wǎng)址： 營。 安全服務體系不健全的威脅 一個網(wǎng)絡的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護的。如今的網(wǎng)絡攻擊和網(wǎng)絡漏洞日益嚴重，它需要網(wǎng)絡管理人員具有快速的響應機制。如果沒有一個完善的安全服務體系，將盡可能多的安全產(chǎn)品統(tǒng)一來維護，面對突如其來的網(wǎng)絡攻擊，XX 企業(yè)可能將面臨巨大的損失。同時，眾多品牌的安全產(chǎn)品采購，也將對 XX 企業(yè)的網(wǎng)絡的維護帶來不便。 XX 企業(yè)安全需求 防病毒體系需求 ? 自動安裝客戶端軟件； ? 自動更新、分發(fā)客戶端軟件及病毒庫； ? 網(wǎng)絡中布置了多少臺機器，還有多少臺未安裝防病毒軟件； ? 客戶端軟件、病毒庫版本是否為最新，病毒防護或發(fā)作信息； ? 客戶端軟件不允許隨意卸載； ? 網(wǎng)絡中那些病毒在傳播； 強制性網(wǎng)管軟件需求 ? 網(wǎng)絡上有哪些交換機，有哪些計算機； ? 網(wǎng)絡拓撲結構，交換機如何互聯(lián)，每臺交換機接了那些終端； ? 網(wǎng)絡性能管理、流量管理、故障管理、日志管理； ? 資 產(chǎn)信息收集與管理 ； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 21 總機： 01082611122 網(wǎng)址： ? 管理制度制訂、落實； ? 客戶端軟件不允許隨意卸載； ? 遠程管理與控制； ? 軟件分發(fā)； ? 操作系統(tǒng)補丁分發(fā)、安裝； ? 管理中心； ? 網(wǎng)絡設備的軟件升級（ IOS升級至最高版本）； 防火墻需求 ? 支持雙機熱備份功能，切換時間不超過 3 秒； ? 因特網(wǎng)出口（現(xiàn)狀： 100M），支持 VPN 功能，能夠與 VPN 網(wǎng)關協(xié)調一致工作，移動用戶能夠利用操作系統(tǒng)自帶的 VPN 連接、通過 cisco 公司 ACS 3000 驗證用戶進入公司內網(wǎng)； ? 北京分公司（現(xiàn)狀： Adsl），利用 VPN 網(wǎng)關與公司因特網(wǎng)出口防火墻建立 VPN 連接進入公司內網(wǎng)； ? 北京庫房 (現(xiàn)狀：華為路由器， 128K DDN) ，利用 VPN 網(wǎng)關與公司因特網(wǎng)出口防火墻建立 VPN連接進入公司內網(wǎng)； ? 兩臺 ERP 小型機（每臺小型機配置：雙千兆短波多模光纖網(wǎng)卡，防火墻采用橋接模式） ? 棒材生產(chǎn)子網(wǎng)、煉鋼生產(chǎn)子網(wǎng)（百兆） ? 煉鋼大高爐生產(chǎn)子網(wǎng)（千兆長波單模光纖） ? 礦業(yè)公司 (2 條 2M 數(shù)字電路，連入電話站交換機 )、二化 (1 條2M 數(shù)字電路，連入電話站交換機 ) ? 電話站專網(wǎng) 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 22 總機： 01082611122 網(wǎng)址： 過濾網(wǎng)關需求 因特網(wǎng)（現(xiàn)狀： 100M）入口，必須至少支持 4 種 Inter 協(xié)議：SMTP、 POP HTTP、 FTP，并具有日志以及日 志分析功能； 入侵檢測需求 內網(wǎng)關鍵區(qū)域及因特網(wǎng)（現(xiàn)狀： 100M）出口，具有安全審計功能； 漏洞掃描需求 定期掛接到網(wǎng)絡中，對當前網(wǎng)絡上的重點服務器（如 WEB 服務器、郵件服務器、 DNS服務器、主域服務器等）以及主機進行一次掃描，得到當前系統(tǒng)中存在的各種安全漏洞，并 有 針對性地提出補救措施 報告； 安裝需求 所有安全產(chǎn)品布置在項目附帶的機柜內，并且在機柜內配置 2 臺32口 自動多電腦切換器 ，配置相應的鍵盤、光電鼠標、顯示器及線纜； 安全設備要有管理口，便于管理，降低安全產(chǎn)品本身的安全威脅，要有分權管理，管理與審計權限 分開； 要保證系統(tǒng)服務器、 生產(chǎn)專網(wǎng)的 高可用性、抗攻擊性； 制定詳細的實施計劃，明確雙方責任，專業(yè)技術工程師、制度管理師按照實施計劃布置實施符合 XX企業(yè)管理需求的安全策略、制定符合 XX 企業(yè)管理需求的制度體系； 各個系統(tǒng)協(xié)調一致工作，不能出現(xiàn)軟件或硬件沖突； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 23 總機： 01082611122 網(wǎng)址： 第四章 信息網(wǎng)絡的安全方案設計 安全管理 環(huán)節(jié)分析： ? 主要是指 XX企業(yè)集團要設備管理、人員管理、策略管理等； ? 目前 XX企業(yè)集團尚無一套完善的網(wǎng)絡安全管理體系，我們要建立通過一定的國際標準來建立建設管理體系。 需求建議： XX 企業(yè)集團信息網(wǎng)需要對全網(wǎng)所有設備和終端用 戶進行管理。負責管理計算機的技術人員和一般計算機使用人員，依靠一定的安全技術和手段和一些好的管理辦法，制定一些切實可用的網(wǎng)絡安全策略，來建立 XX企業(yè)集團信息網(wǎng)的安全管理體系。另外建議應用強制性的網(wǎng)管系統(tǒng)對網(wǎng)絡設備和客戶端進行管理。 安全防護 環(huán)節(jié)分析 : ? 該環(huán)節(jié)的包括訪問控制、保密性、完整性、可用性、不可否認性。該環(huán)節(jié)主要依靠一些相關的技術手段來實現(xiàn)。訪問控制主要依靠防火墻技術、劃分 Vlan技術身份認證技術等方式來實現(xiàn)； ? 保密性、可用性、不可抵賴性：主要包括一些信息保密手段，例如使用 VPN 技術、采用加密軟件、或者應用 CA 證書保證數(shù)據(jù)的安全防護等。防護還包括對線路高可用性、網(wǎng)絡病毒防護、數(shù)據(jù)容災防護等方面。 需求建議 : 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 24 總機： 01082611122 網(wǎng)址： 安全保護圍很廣涉及的技術也較多，對于 XX企業(yè)集團信息網(wǎng)目前最需要的防護手段是對全網(wǎng)的防護，使用防火墻、防病毒技術和入侵檢測，在此基礎上建議加強對 XX 企業(yè)集團數(shù)據(jù)中心信息網(wǎng)的防護體系建設。對分支機構建議采用 VPN 網(wǎng)關建立隧道。 安全監(jiān)測 環(huán)節(jié)分析 : ? 主要是指實時監(jiān)測、風險評估、系統(tǒng)加固、漏洞修補等； ? 實時檢測主要 依靠入侵檢測系統(tǒng)、風險評估依靠于脆弱性分析軟件，系統(tǒng)加固和漏洞修補要求網(wǎng)絡管理人員能夠隨時跟蹤各種操作系統(tǒng)和應用系統(tǒng)漏洞情況及時采取必要的措施。 需求建議： 對于 XX企業(yè)集團信息網(wǎng)目前尚無任何網(wǎng)絡安全監(jiān)測措施，對于發(fā)生的網(wǎng)絡安全問題需要有效的監(jiān)測手段；對于全網(wǎng)的風險評估需要建立相應的評估制度；對于系統(tǒng)加固和漏洞修補需要固定的工作流程和漏洞發(fā)現(xiàn)和加固計劃。 病毒防護 環(huán)節(jié)分析： ? 主要針對全網(wǎng) 1000 多臺主機和 30 多臺服務器進行病毒防護。對網(wǎng)絡的邊界及接入點進行病毒的監(jiān)控。 需求建議： 目前 XX企業(yè)集團急需一套 網(wǎng)絡版的防病毒軟件覆蓋整個網(wǎng)絡。在網(wǎng)關處建議配置防病毒網(wǎng)關。 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 25 總機： 01082611122 網(wǎng)址： 安全服務 環(huán)節(jié)分析： ? 一個優(yōu)秀的網(wǎng)絡安全系統(tǒng)的建立不僅僅依靠網(wǎng)絡安全設備和相關安全手段，如何去建設網(wǎng)絡安全系統(tǒng)？如何去使用網(wǎng)絡安全系統(tǒng)？以及出現(xiàn)安全問題如何去應對？是一般網(wǎng)使用者非常關心的問題。究竟解決以上問題呢？我們認為專業(yè)的事情要交給專業(yè)的人來做。 需求建議： 在 XX企業(yè)集團信息網(wǎng)構建一個良好的安全系統(tǒng)的時候我們要有責任建議 XX企業(yè)集團不要忽略安全公司所提供的前期、中期、后期所需的各種保障服務。 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 26 總機： 01082611122 網(wǎng)址： 第五章 XX 企業(yè)網(wǎng)絡安全項目解決方案 XX 企業(yè)防火墻 解決方案 XX 企業(yè)防火墻的部署 根據(jù) XX企業(yè)集團系統(tǒng)的安全現(xiàn)狀和風險分析，我們在該網(wǎng)中建立防火墻子系統(tǒng)。有關建立防火墻子系統(tǒng)的目標、功能、位置、在下文中進行詳細說明。 信息化 的前提就是建立起完善的信息保障體系，防火墻在信息保障體系中對網(wǎng)絡行為進行有效訪問控制，對保證網(wǎng)絡訪問行為的有序性起到了至關重要的作用，防火墻體系的建立直接關系到了系統(tǒng)能否正常運行，體系是否完善；關系到了系統(tǒng)是否能夠對非法訪問進行有效的防范。 在 XX 企業(yè)集團網(wǎng)絡系統(tǒng)中我們建立防火墻子系統(tǒng)的主要目標 :邏輯隔離 XX企業(yè)集團系統(tǒng)內網(wǎng)與 Inter；保護兩臺重要的 ERP服務器；對棒材和煉鋼生產(chǎn)子網(wǎng)進行防護；對煉鋼大高爐生產(chǎn)子網(wǎng)進行防護；對礦業(yè)公司和二化子網(wǎng)進行防護；對電話站專網(wǎng)進行防護。以上這些專網(wǎng)和生產(chǎn)子網(wǎng)他們和 XX 企業(yè)集團內網(wǎng)之間都需要進行訪問控制。我們建議在 XX 企業(yè)集團內網(wǎng)和 Inter 接入設備之間配置一臺天融信網(wǎng)絡衛(wèi)士千兆防火墻 NGFW4000UFVPN(E)，作為訪問控制設備。通過此設備除了進行訪問控制而且還與遠端的分支機構建立隧道，在遠端北京分公司和北京庫房也配置了天融信的 VPN 網(wǎng)關。對于 XX 企業(yè)移動的用戶建議在單臺計算機或 筆記本上安裝天融信 VPN 客戶端軟件，同地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 27 總機： 01082611122 網(wǎng)址： 樣可以與總部的 NGFW4000UFVPN(E)建立隧道，實現(xiàn)數(shù)據(jù)的安全傳輸。拓撲結構如下圖所示： 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 28 總機： 01082611122 網(wǎng)址： 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 29 總機： 01082611122 網(wǎng)址： 由于 XX企業(yè)集團 ERP系統(tǒng)承載著企業(yè)大量的重要數(shù)據(jù)信息，因此必須通過防火墻的訪問控制過濾技術對非授權的用戶進行嚴格地控制和防護。若嚴格地采取物理隔離措施，固然可以做到系統(tǒng)的訪問控制絕對安全，但是對于通過間接的物理訪問而造成的病毒危害則很難防范（病毒庫很難及時升級），而且對整個信息系統(tǒng)的自動化和工作效率不能有效地保證。屆時，可以通過防火墻系統(tǒng)開放 ERP 系統(tǒng)的許可訪問權 限，其他不相關地訪問用戶則被嚴格禁止。目前 XX 企業(yè)在整體網(wǎng)絡安全防范的情況下，著重對 ERP 的服務器進行安全防護。建議在兩臺 SUN 服務器和核心交換之間部署防火墻，具體的連接方式如下圖所示： 兩臺 SUN 的服務器做 CLUSTER，共映射兩個浮動 IP，分別是應用和數(shù)據(jù)庫，兩臺 SUN 的服務器互為備份。我們建議在 SUN 服務器和核地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 30 總機： 01082611122 網(wǎng)址： 心交換之間加入天融信的千兆防火墻 NGFW4000UF，同時設定規(guī)則，只允許特定的 ERP 應用到達 SUN 服務器。經(jīng)過在 XX企業(yè)的測試，天融信的防火墻能夠穩(wěn)定應用在此網(wǎng)絡結構下。其中，最重要的技 術是目前在國內的防火墻當中只有天融信支持的 Spanning Tree 的算法。如上圖所示， XX 企業(yè)集團的核心網(wǎng)絡是典型的二層備份方案，中心兩臺Catalyst6509 核心交換機，之間啟用 Trunk 和 FEC協(xié)議，下連的交換機通過雙鏈路分別連接兩臺核心交換機，通過生成樹協(xié)議實現(xiàn)備份。Solaris 服務器也是通過兩塊網(wǎng)卡連接兩臺核心交換機，物理上，一塊網(wǎng)卡是 up，另一塊處于 down 狀態(tài)。 Solaris 服務器切換的原理是這樣的，每個網(wǎng)卡各有自己的真實IP 地址，兩個網(wǎng)卡還虛擬出一個 ip，此虛擬 IP 對外提供服務，如果服 務器通過 PING 檢測每個網(wǎng)卡的真實 ip 地址，如果不通，此網(wǎng)卡就變?yōu)?down，另一網(wǎng)卡為 up狀態(tài)。 如果不支持生成樹協(xié)議，又要避免環(huán)路出現(xiàn)，普通的防火墻會采用如下圖所示的連接方法（以一臺服務器舉例），每兩個端口劃分一個廣播域，一臺防火墻要劃分兩個廣播域。 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 31 總機： 01082611122 網(wǎng)址： 如果斷掉交換機與防火墻之間的連線，對于防火墻和服