网络底层安全解决的方案(共10篇)
篇1:网络底层安全解决的方案
大多数刚开始做网络工程的朋友都会犯这样一个错误,就是搭建服务器或者配置网络设备的时候,往往服务器的安全考虑的非常周到,而忽略了他们的底层平台-操作系统或者IOS系统漏洞,就拿windows来说吧,搭建了一个WEB站点,web的权限做到了目录的每个文件夹中,但是,系统的漏洞却没有打上,比如说Windows的各个盘的隐藏共享属性等,再比如说密码的复杂度不够或者是端口的过多开放等等都会造成系统的漏洞,即使你的服务器安全做的再 好,系统的漏洞还是有的,等你找到问题的所在时,你才发现系统的崩溃源自系统的漏洞造成的,而不是服务搭建的问题!上面只是举了两个简单例子而已!而Linux的漏洞更是不容忽视,比如说多余账户是否被禁用,是否关闭Ctrl+Alt+Del键等等问题下面我用三张灵感触发图来说明这些问题的存在,大家可根据触发图中的一些设置来增加你服务器底层的安全性,当然,这也仅仅是安全的一部分,并不能代表全部,比如说防火墙上的策略问题,已经其它设置等等,更有待于大家不断的去完善,
网络底层安全解决的方案
,
篇2:网络底层安全解决的方案
关键词:政府网络安全方案政府网络安全解决方案企业安全解决方案企业网络安全方案企业信息化解决方案
概述
随着信息网络的迅速发展,网络资源共享的进一步加强,如何利用信息网络进行安全通信的同时又要保护网络信息的安全,成为网络建设中迫在眉睫的问题。目前政府机关和企业的各种业务工作对信息网络的依赖性越来越强,对信息网络安全的要求也越来越高,如果不能解决,势必将影响到政府机关和企业的信息网络化建设的发展和生存。目前政府机关网络存在如下几方面的问题:
内部网络的办公信息和国家机密的泄漏。
内部网络资源的权限访问控制。
网络被外部非法入侵,造成网络性能下降或服务中断。
政府对外网站被篡改、破坏,严重影响政府形象。
政府网络被病毒、木马所感染。
国家保密局2000年1月1日起颁布实施的《计算机信息系统国际互联网保密管理规定》对国家机要部门使用互联网规定如下:
“涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行”物理隔离“。
防火墙也是一种被人们广泛使用的连接互联网的网络安全设备。然而,人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有防火墙的情况下。有关防火墙的弊病以及与网络安全隔离网闸的区别请参阅我公司网站的技术专栏文章《物理隔离网闸与防火墙的对比》。
物理隔离卡是另一种常用的解决方案。采用物理隔离卡进行隔离。有关隔离卡的弊病可参阅我公司网站的技术文章《物理隔离网闸与隔离卡的对比》
北京数码星辰科技有限公司研制的网络安全物理隔离装置就是为解决政府和企业所面临的各种网络安全和信息安全问题,专门设计了针对不同网络安全要求的政府网络安全解决方案和企业安全解决方案。这些解决方案使用宇宙盾网络安全隔离与信息交换系列产品。网络安全隔离与信息交换系列产品的设计遵循高安全性、高可靠性和方便用户的原则进行设计。同时把保护网络和设备的绝对安全作为最高的设计准则。”千里之堤溃于蚁穴“,一个防护再严密的网络安全装置,如果有一个漏洞被忽略就会使整个安全防护系统崩溃。数码星辰清楚地认识到 这一问题的重要性和严重性,率先提出了”整体安全防护技术“新理念。在系统硬件、操作系统、网络协议、访问控制以及用户界面等所有的层次均进行了安全设计,形成了一个完整的、无懈可击的网络安全设备。这一理念不仅仅考虑了来自网络的攻击和破坏,而且也考虑了来自非网络的破坏。其中对于防止国外芯片”后门"、操作系统防加载技术、防止用户界面的攻击等等均是基于这一理念的独特的设计思路。这一独创的设计理念,使得网络安全防护的安全度提升到
了一个无可比拟的新高度。宇宙盾网络隔离网闸系列产品分别获得公安部、和国家保密局的认证。
篇3:企业网络安全解决方案的设计
尽管现在计算机网络技术发展的越来做快, 而且信息全球化也逐渐渗透, 我们都可以切身感受到信息技术为我们带来的便利, 但是在这个过程中却出现了很多的网络安全问题, 如果仍然使用原来的网络安全防范对策是不够的, 因为原来的防范力度较小, 难以适应时代的发展潮流。现在很多的企业都有自己独特的网络系统, 在企业内部的网络系统中存在着很多的企业信息和重要数据等, 如果这些关键信息数据在进行传输或者是使用的过程中被盗就会对企业造成非常严重的影响, 若是企业关键信息被恶意损坏同样也会造成企业的损失。所以为了保证企业的健康发展与持续运行必须要引进相关的网络安全系统, 保护企业的数据信息资料。
1 企业网络安全现状
如今科学技术发展程度不断提高, 信息网络的公开性和共享性也有了进一步的扩大, 企业网络普及率上升, 在这个过程中为企业的发展带来了很大的好处, 不过, 却出现了网络安全问题, 对企业的健康发展与运行造成了威胁, 所以企业相关管理人员必须要重视企业的网络安全问题, 现在企业在发展的过程中除了要合理的利用信息资源, 将资源发挥出最大的效益, 还需要保护好企业的信息资源数据, 这是现阶段困扰企业持续发展的一个难题。
企业的网络安全问题主要来源大体上可以分为两个方面, 其一是企业内部人员的恶意破坏, 其二是外部人员对企业进行攻击破坏等。企业的内部人员可能会发现企业安全软件存在的漏洞, 通过这些漏洞攻击企业的安全软件, 对企业网络安全造成严重的威胁, 企业的外部人员主要是对企业内部网络植入木马病毒, 从而获取企业的机密信息资料, 透露给其竞争企业, 从中得到报酬奖励。除了这些, 还有的恶意攻击人员会对企业的安全网络进行非授权访问, 还会假意冒充企业的合法用户, 进入到企业的内部网络中对其攻击破坏, 威胁企业的网络安全。
2 企业网络安全需求
2.1 办公网设备实体安全需求
企业里的办公设备实体主要包括交换机和企业员工所使用的电脑等, 在对这些设备进行管理的过程中必须要重视安全问题, 如果管控不当的话会造成很严重的损失, 企业的发展也会因此受到威胁, 所以必须要对设备进行严格的安全管理, 保护设备的安全性。在大多数情况下, 企业的办公网络的一些最关键的设备与其他的服务器都放置在一个机房之内, 而且很多企业使用的粗电池并没有很长的使用寿命, 蓄电量不够, 所以如果停电的时间过长的话就会对企业的设备造成严重的影响, 设备的使用将会受到阻碍。不仅如此, 影响企业网络安全的因素还有很多, 比如说, 现在有很多的企业在对企业机房进行管理的过程中并没有完善合理的措施, 没有严格的限制进出入机房的人员, 闲杂人等也会出入机房, 而且交换机机柜的管理也不够完善, 交换机在不使用的时候没有上锁, 所以会有很多的人对其进行随意的使用, 难以保证设备的安全性, 企业的顺利运营都会受到严重的影响, 更严重的是企业的服务器相关数据可能会丢失或者是被损坏, 对企业来说是非常严重的损失。
2.2 个人办公电脑系统安全需求
在实际的运营过程中, 企业的一些关键文件信息或者是报表数据等员工都可以在自己的电脑中看到, 这样做的主要目的是为了方便员工获取资料数据, 更好的工作, 从而提高员工的工作效率, 尽管这样做对员工工作来说是很有帮助作用的, 但是在这个过程中却存在着很大的安全隐患, 可能会对企业的安全造成威胁, 因为, 企业的员工众多, 如果恶意破坏人员攻击了任何一位员工的电脑, 那么企业的重要信息数据都会被泄漏或者是遭到损害, 所以企业的一些非常关键的重要信息应该进行特殊的保护存储, 加强安全保护, 保证企业的信息安全, 可以对储存关键信息的电脑加锁或者是设置好密码, 这样就能够在一定的程度上避免恶意破坏人员窃取破坏企业的重要信息数据。
2.3 病毒防护需求
尽管现在计算机网络技术与之前相比有了很大程度上的进步与发展, 但是, 计算机网络安全问题也越来越严重, 这主要是因为计算机病毒越来越高深莫测, 对计算机的破坏程度越来越高, 所以必须要在企业计算机中加入相关的杀毒软件, 防止病毒侵入电脑。现在科学信息技术更新换代的速度非常快, 网络病毒也在不断的更新, 病毒的植入方式也有了进一步的更新发展, 而且病毒的危害性越来越快, 所以必须要跟上病毒发展的步伐, 不断的更新计算机网络防毒系统, 提高计算机网络的安全。
3 企业网络安全解决方案
3.1 边界防火墙部署
为了进一步保护企业的网络安全, 需要对企业设置边界防火墙, 提高企业的安全性。边界防火墙的设置位置是在网络交换机, 而且能厚借助于路由器实现与外界的连接交流。设置边界防火墙的作用是非常大的, 防火墙存在于企业的内部网络与外部网络之间, 借助于防火墙能够提前查看进入系统的相关信息数据, 通过查看数据资料, 能够避免存在危险的信息数据进入到企业的内部网络中, 从而提高企业网络的安全性。通过建立企业边界防火墙能够将企业的内部网络和外部网络进行有效的隔离, 保证企业内部网络安全, 避免企业内部网络受到外界的强烈攻击与入侵, 还可以自动化的过滤掉系统的访问数据, 拒绝那些存在安全威胁的数据信息, 而且还可以阻止危险的服务项目, 除了这些作用之外还能够监测信息, 确保信息的安全性。
3.2 漏洞扫描
由于企业的内部网络使用频率非常高, 此安全系统占据着重要的地位, 所以必须要选择好合适的方法对其进行保护, 还应该每隔一段时间就要做安全性能检测和评估工作, 对网络进行安全漏洞扫描, 这样可以扫描并且修复网络漏洞, 从而进一步提高企业的网络安全, 保证企业网络不受侵害与攻击。对企业网络进行安全漏洞扫描可以有相关软件的支持, 而这些软件必须要有网络监控功能, 通过软件可以及时的发现企业网络的某些问题, 并发现问题的根源, 仔细的分析企业的网络安全漏洞, 在最大程度上减少漏洞的危害, 还能够增强企业网络抗攻击的能力。
4 结语
现阶段经济发展不断进步, 科学技术也有了很大的提升, 各个企业在这种背景下获得了很大的进步与发展, 但是在企业飞速发展的过程中却面临着企业网络安全问题的威胁, 所以企业管理人员必须要采取措施提高企业的网络安全, 提高企业的网络安全能够促进企业的长远发展和不断进步, 还能够使得企业在飞速发展的过程中站稳脚跟, 不被激烈的市场竞争淘汰, 所以需要对企业的网络安全进行合理的管控, 检测企业网络的运行情况, 有效的管理企业的网络信息系统。如今科学技术仍在处于不断的发展过程中, 在将来发展的道路上, 企业也会借助于科学技术的力量获得更大的发展, 但是会遇到网络安全威胁, 可以说企业网络发展过程既面临着机遇, 又有很大的挑战。
摘要:如今计算机技术发展程度不断加深, 而且经济全球化也有了很大的进步, 带动了信息全球化的发展。最近几年, 我国的企业内部网络都开始了信息资源共享, 不过, 这里面有很多与企业有关的关键信息, 所以网络安全就受到了很大程度上的威胁, 企业应该重视网络安全问题。本文主要介绍的就是解决企业的网络安全主要对策和方法, 希望对大家有所帮助。
关键词:企业网络安全,方案,设计
参考文献
[1]杨旭.乌兰察布市中等职业技术学校校园网络安全解决方案的设计[D].内蒙古大学, 2012.
[2]江超.面向应用层的网络安全方案的设计与实施[D].北京邮电大学, 2013.
[3]高辰.基础电信企业的网络安全防护和风险评估方案设计与实施[D].北京邮电大学, 2012.
[4]陆文伟.重庆气矿企业网络及网络安全方案设计[D].电子科技大学, 2005.
[5]孔祥.县级供电企业信息网络安全方案的设计与应用[D].中国海洋大学, 2011.
篇4:企业网络安全解决方案
关键词:信息安全;网络;VPN
中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Enterprise Network Security Solution
Lu Wenshuo
(National Computer Network Emergency Response Technical Team Coordination Centre,Guangdong Sub-center,Guangzhou510665,China)
Abstract:With the rapid development of information technology,management of the computer application system dependent enhancement,computer applications increased dependence on the network.Computer networks and computer application systems running on a higher network security requirements.Information security should be done to prevent the overall consideration of a comprehensive information system covering all levels,for the network,system,application,data do comprehensive prevention.
Keywords:Information security;Network;VPN
一、引言
隨着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
二、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
(一)标准化原则。本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
(二)系统化原则。信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
(三)分步实施原则。由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
三、设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
(一)网络安全基础设施。证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:身份认证(Authentication)、数据的机密性(Confidentiality)、数据的完整性(Integrity)、不可抵赖性(Non-Repudiation)。
(二)边界防护和网络的隔离。VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)桌面安全防护。对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
四、方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
五、结论
篇5:网络安全解决方案设计
集团内联网主要以总部局域网为核心,采用广域网方式与外地子公司联网。集团广域网采用MPLS-技术,用来为各个分公司提供骨干网络平台和接入,各个分公司可以在集团的骨干信息网络系统上建设各自的子系统,确保各类系统间的相互独立。
二、安全威胁
某公司属于大型上市公司,在北京,上海、广州等地均有分公司。公司内部采用无纸化办公,OA系统成熟。每个局域网连接着该所有部门,所有的数据都从局域网中传递。同时,各分公司采用技术连接公司总部。该单位为了方便,将相当一部分业务放在了对外开放的网站上,网站也成为了既是对外形象窗口又是内部办公窗口。
由于网络设计部署上的缺陷,该单位局域网在建成后就不断出现网络拥堵、网速特别慢的情况,同时有些个别机器上的杀毒软件频频出现病毒报警,网络经常瘫痪,每次时间都持续几十分钟,网管简直成了救火队员,忙着清除病毒,重装系统。对外WEB网站同样也遭到黑客攻击,网页遭到非法篡改,有些网页甚至成了传播不良信息的平台,不仅影响到网站的正常运行,而且还对政府形象也造成不良影响。(安全威胁根据拓扑图分析)从网络安全威胁看,集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等信息安全现状:经过分析发现该公司信息安全基本上是空白,主要有以下问题:
公司没有制定信息安全政策,信息管理不健全。 公司在建内网时与internet的连接没有防火墙。 内部网络(同一城市的各分公司)之间没有任何安全保障为了让网络正常运行。
根据我国《信息安全等级保护管理办法》的信息安全要求,近期公司决定对该网络加强安全防护,解决目前网络出现的安全问题。
三、安全需求
从安全性和实用性角度考虑,安全需求主要包括以下几个方面:
1、安全管理咨询
安全建设应该遵照7分管理3分技术的原则,通过本次安全项目,可以发现集团现有安全问题,并且协助建立起完善的安全管理和安全组织体系。
2、集团骨干网络边界安全
主要考虑骨干网络中Internet出口处的安全,以及移动用户、远程拨号访问用户的安全。
3、集团骨干网络服务器安全
主要考虑骨干网络中网关服务器和集团内部的服务器,包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全。
4、集团内联网统一的病毒防护
主要考虑集团内联网中,包括总公司在内的所有公司的病毒防护。
5、统一的增强口令认证系统
由于系统管理员需要管理大量的主机和网络设备,如何确保口令安全称为一个重要的问题。
6、统一的安全管理平台
通过在集团内联网部署统一的安全管理平台,实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。
7、专业安全服务
过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度,全面评估企业网络中的信息资产及其面临的安全风险情况,在必要的情况下,进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力,降低安全风险。
四、方案设计
骨干网边界安全
集团骨干网共有一个Internet出口,位置在总部,在Internet出口处部署LinkTrust Cyberwall-200F/006防火墙一台。
在Internet出口处部署一台LinkTrust Network Defender领信网络入侵检测系统,通过交换机端口镜像的方式,将进出Internet的流量镜像到入侵检测的监听端口,LinkTrust
Network Defender可以实时监控网络中的异常流量,防止恶意入侵。
在各个分公司中添加一个DMZ区,保证各公司的信息安全,内部网络(同一城市的各分公司)之间没有任何安全保障骨干网服务器安全
集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等,以及专为此次项目配置的、用于安全产品管理的服务器的安全。 主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。
漏洞扫描
了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安全问题等,都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。
内联网病毒防护
病毒防范是网络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析,结团网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。
病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。
增强的身份认证系统
由于需要管理大量的主机和网络设备,如何确保口令安全也是一个非常重要的问题。 减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外,还必须拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了安全性。
统一安全平台的建立
篇6:思科网络安全解决方案
思科网络安全解决方案
思科安全解决方案可以分为:安全连接、周边安全、入侵防范、身份辨识、安全管理等几个方面.
作 者:思科系统(中国)网络技术有限公司电信事业部 Telecom Dept. of Cisco (China) 作者单位:刊 名:信息网络英文刊名:INFORMATION NETWORK年,卷(期):2003“”(5)分类号:F6关键词:
篇7:网络底层安全解决的方案
■ 在各下级部门部署客户端或服务器端,使其接受系统中心的管理。
■ 管理员通过远程安装方式为所有服务器安装服务器端防毒程序;
■ 按以下方式执行客户端的安装:
1) 对于已加入域的计算机尽量采用域脚本登录安装方式;
2) 管理员通过email、内部网络发布通知等方式发布各子网的web安装链接,客户机通过点击链接自动完成安装;
3) 对于部分无专人使用的电脑采用远程安装方式安装;
4) 不能通过以上方式安装的计算机可采用光盘或网络安装方式;确定升级方案■ 系统中心定期从internet升级,保持最新的升级文件;
■ 系统中心完成升级后,将自动通知内网所有客户端及服务器端升级,
升级路线如下图:管理与维护1) 分组管理
可根据需要对客户端及服务器端进行分组管理,针对不同的组制定不同的防治策略。分组可以部门、保密级别等为依据。
2) 防治策略
◆ 通过系统中心配置服务器端每晚闲时进行一次全面扫描;
◆ 通过系统中心配置客户端每周进行一次全面扫描(午休时间);
◆ 定期(或微软发布公告后)为所有计算机进行漏洞扫描并进行修补,杜绝安全隐患;
◆ 为所有客户端设置卸载密码,避免用户自行卸载客户端。
◆ 经常查看日志,并进行分析,对传播性及危害性较高的病毒采取应急措施,对感染严重的计算机发出指令进行全面扫描。
◆ 发现疑似新病毒及时上报金山反病毒应急中心,应急中心将在分析确认后更新病毒库。
◆ 经常进行检查,对于没有安装客户端的计算机进行强制安装,确保网内所有计算机均在金山毒霸反病毒体系的保护之下。
篇8:企业网络安全解决方案
随着信息化技术的飞速发展, 许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力, 使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场, 企业就面临着如何提高自身核心竞争力的问题, 而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等, 又时刻在制约着自己, 企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
一、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行, 避免重复投入、重复建设, 充分考虑整体和局部的利益。
1) 标准化原则。本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定, 使安全技术体系的建设达到标准化、规范化的要求, 为拓展、升级和集中统一打好基础。
2) 系统化原则。信息安全是一个复杂的系统工程, 从信息系统的各层次、安全防范的各阶段全面地进行考虑, 既注重技术的实现, 又要加大管理的力度, 以形成系统化的解决方案。
3) 规避风险原则。安全技术体系的建设涉及网络、系统、应用等方方面面, 任何改造、添加甚至移动, 都可能影响现有网络的畅通或在用系统的连续、稳定运行, 这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题, 在规划与应用系统衔接的基础安全措施时, 优先保证透明化, 从提供通用安全基础服务的要求出发, 设计并实现安全系统与应用系统的平滑连接。
4) 分步实施原则。由于某公司应用扩展范围广阔, 随着网络规模的扩大及应用的增加, 系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性, 寻求安全、风险、开销的平衡, 采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求, 亦可节省费用开支。
二、设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑, 全面覆盖信息系统的各层次, 针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程, 事前、事中和事后的技术手段应当完备, 安全管理应贯穿安全防范活动的始终。信息安全又是相对的, 需要在风险、安全和投入之间做出平衡, 通过对某公司信息化和信息安全现状的分析, 对现有的信息安全产品和解决方案的调查, 通过与计算机专业公司接触, 初步确定了本次安全项目的内容。通过本次安全项目的实施, 基本建成较完整的信息安全防范体系。
(一) 网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台, 都必须建立在一个安全可信的网络之上。通过建设证书认证中心系统, 建立一个完善的网络安全认证平台, 能够通过这个安全平台实现以下目标:身份认证 (Authentication) 、数据的机密性 (Confidentiality) 、数据的完整性 (Integrity) 、不可抵赖性 (Non-Repudiation) 。
(二) 边界防护和网络的隔离
VPN (Virtual Private Ne tw ork) 虚拟专用网, 是将物理分布在不同地点的网络通过公用骨干网 (如Internet) 连接而成的逻辑上的虚拟专用网。和传统的物理方式相比, 具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统, 可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体, 通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道, 使得合法的用户可以安全的访问企业的私有数据, 用以代替专线方式, 实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术, 可以对多种网络对象进行有效地访问监控, 为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三) 安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展, 电子邮件的使用日益广泛, 成为人们交流的重要工具, 大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点, 电子邮件存在着很大的安全隐患。目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME (Secure Multipurpose Internet Mail Exte ns ions) , 它是从PEM (Privacy Enhance d Mail) 和MIME (Internet邮件的附件标准) 发展而来的。首先, 它的认证机制依赖于层次结构的证书认证机构, 所有下一级的组织和个人的证书由上一级的组织负责认证, 而最上一级的组织 (根证书) 之间相互认证, 整个信任关系基本是树状的。其次, S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
(四) 桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部, 大量的安全威胁来自企业内部。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起, 形成一个整体, 是针对客户端安全的整体解决方案。
(五) 方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程, 也为本方案的实施提供了借鉴。
三、结论
本文提出了一整套完整的解决方案, 涵盖了各个方面, 从技术手段的改进, 到规章制度的完善;从单机系统的安全加固, 到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署, 为众多行业提供了网络安全解决手段。希望通过本方案的实施, 可以建立较完善的信息安全体系, 有效地防范信息系统来自各方面的攻击和威胁, 把风险降到最低水平。
摘要:随着信息化技术的飞速发展, 经营管理对计算机应用系统的依赖性增强, 计算机应用系统对网络的依赖性增强。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑, 全面覆盖信息系统的各层次, 针对网络、系统、应用、数据做全面的防范。
篇9:网络安全解决方案与对策
【关键词】网络;安全;技术防范;对策
【中图分类号】TP393.08 【文献标识码】B 【文章编号】1672-5158(2013)01—0445—02
引言
近年来,随着经济社会的快速发展,互联网得到快速增长,互联网的应用领域不断扩张,已经从传统领域拓展到非传统领域,而且影响力越来越大。据中国互联网络信息中心(CNNIC)近期发布的《中国互联网络发展状况统计报告》显示:截至2012年12月底,手机网民数量为4.2亿,中国网民数达到5.64亿,全年新增网民5090万人,普及率为42.1%;微博用户规模为3.09亿,较2011年底增长了5873万。域名总数为1341万个,其中“.CN”域名总数为751万,“.中国”域名总数为28万。中国网站总数(即网站的域名注册者在中国境内的网站数)回升至268万个(去年底只有183万)。网络安全从大的方面讲,关系国家安全主权、社会稳定;从小的方面讲,网络安全涉及个人信息安全、财产安全,因此,积极研究探讨适应新形势发展要求的网络安全方案,对确保网络安全,提升网络服务质量具有十分重要的现实意义。
1 加强网络安全的现实意义
随着信息化技术的不断发展,网络已经成为一种联通各地、各个领域的重要基础设施,计算机网络的发展为人们的生产、生活、工作带来了极大便利,拉近了全球的距离。但在看到网络给人们带来便捷的同时,还要清醒地认识到网络作为一个面向公众的开放系统,如果网络安全意识不强、网络安全防范措施不力,就会产生网络安全隐患。特别是随着信息网络技术的飞速发展,网络得到广泛普及和应用,应用层次不断深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,已经被行政部门、金融机构、企业广泛应用,网络在这些领域的广泛应用,也进—步加大了网络安全的风险。如何保持网络的稳定安全,防止诸如黑客攻击、非正常入侵等安全问题的发生,是一项重要任务。
由于网络系统结构复杂、涉及终端众多、系统开放,网络系统面临的威胁和风险比较多,归纳起来主要来自外部的人为影响和自然环境的影响,这些威胁有的是对网络设备的安全运行存在威胁,有的是对网络中的信息安全存在威胁。这些威胁的集中起来主要有:非法授权访问,假冒合法用户,病毒破坏,线路窃听,黑客入侵,干扰系统正常运行,修改或删除数据等。这些威胁一旦成为现实,将对网络系统产生致命的影响,严重的可能会导致系统瘫痪,传输信息被非法获取和传播,会给相关机构和网络用户造成不可挽回的损失。
在网络快速发展的新形势下,全面加强网络安全建设,提升网络安全等级,对确保和维护网络用户利益,维护单位整体形象都具有十分重要我。特别是在当前,终端用户往往会在终端中存储大量的信息资料,工作手段也越来越依赖于网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失,因此,积极研究探索与网络发展同步的网络安全解决方案,全面加强网络安全建设,是各级网络管理部门及用户的重要职责,必须要高度重视,扎实推进。
2 信息系统安全威胁与风险分析
认真分析信鼠系统安全威胁与存在的风险,是进行风险管理、制定网络安全方案的前提和基础。通过进行有效的系统安全威胁与风险分析,可以帮助相关机构和用户选择合作的控制措施来降低风险。
2.1 物理安全风险分析
网络物理安全是整个网络系统安全的前提,相关的物理安全风险主要有:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
2.2 链路传输风险分析
网络安全不仅是入侵者到企业内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全危胁。
2.3 网络结构的安全风险分析
来自与公网互联的安全危胁,基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全危胁。一些黑客会制造病毒透过网络进行传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。
内部网络与系统外部网互联安全威胁。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。恶意攻击,入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
内部局域网的安全威胁。据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。这些都将对网络安全构成严重威胁。
2.4 系统的安全风险分析
系统的安全往往归结于操作系统的安全性,决定于网络操作系统、应用系统的安全性。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,系统本身必定存在安全漏洞。这些安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。因此,必须要高度重视系统的安全风险,科学进行系统安全配置,从而有效降低系统风险。
2.5 应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。比如由于资源共享、使用电子邮件系统、受病毒侵害、数据信息被非法窃取,篡改等,这些都是应用层面应当防范的安全风险。
2.6 管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。机房存在恶意的入侵者,内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。一些网络系统管理由于责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
3 网络安全解决方案
可以通过配置诸如:标识、密钥管理、安全管理、系统保护、鉴别、授权、访问控制、抗抵赖、受保护通信、入侵检测与抑制、完整性证明、恢复安全状态、病毒检测与根除等技术类安全控制来有效防止给定类型的风险与威胁;通过建立相关的安全管理机制,实现管理在的安全控制;通过建立一整套严谨的控制指南,实现操作类的安全控制,从而实现信息系统安全控制。
3.1 做好物理防护
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。要严格按照相关标准建设网络,防止人为降低建设标准。确保设备安全,采取有力措施搞好防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
3.2 确保系统安全
要认真判断网络拓扑结构是否合理;线路是否有冗余;路由是否冗余,防止单点失败等。工行网络在设计时,比较好的考虑了这些因素,可以说网络结构是比较合理的、比较安全的。对于操作系统要尽可能采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件,对使用权限进行严格限制;加强口令字的使用,增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令,并及时给系统打补丁、系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地进行对网络设备重新配置或升级。在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
3.3 突出网络安全
网络安全是整个安全解决方案的重中之重,要从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等方面,采取切实可行的对策措施,确保网络安全。要严格落实《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等安全管理制度。设置虚拟子网,各子网间不能实现互访,实现初级访问控制。设置高等级防火墙,通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测系统就是最好的安全产品,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。建立网络扫描系统,对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,并自动进行相关修复。通过预防病毒技术、检测病毒技术、杀毒技术,实施反病毒措施,防止病毒进入网络进行传播扩散。
3.4 确保应用安全
应用是信息系统安全应当关注的重要内容,要通过规范用户的行为,来实现应用安全。要严格控制内部员工对网络共享资源的使用,尤其要限制共享资源的滥用,在内部子网中一般不随意开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。适当配置资源控制,要精心设置访问权限,并拒绝未经授权人员的登录,减少有意或无意的案例漏洞。对数据库服务器中的数据库必须做安全备份,通过网络备份系统,可以对数据库进行远程备份存储。
3.5 安全管理
篇10:典型企业网络边界安全解决方案
意见征询稿
Hillstone Networks Inc.2010年9月29日
典型中小型企业网络边界安全解决方案
目录 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企业网络现状分析..................................................................................................................6 典型中小企业网络安全威胁..................................................................................................................8 典型中小企业网络安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要进行有效的访问控制..........................................................................................................10 深度应用识别的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要实现实名制管理....................................................................................................................11 需要实现全面URL过滤.............................................................................................................12 需要实现IPSEC VPN..................................................................................................................12 需要实现集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6
安全技术选择..............................................................................................................................................................13 技术选型的思路和要点........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可认证性........................................................................................................................13 再次保障链路畅通性....................................................................................................................14 最后是稳定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制与审计......................................................................................................16 基于深度应用识别的访问控制.................................................................................................17 深度内容安全(UTMPlus®)......................................................................................................17 高性能病毒过滤.............................................................................................................................18 灵活高效的带宽管理功能..........................................................................................................19 强大的URL地址过滤库.............................................................................................................21 高性能的应用层管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 选择山石安全网关的原因....................................................................................................................14 3.2.10 高可靠的冗余备份能力...............................................................................................................22 4 系统部署说明..............................................................................................................................................................23 4.1 4.2 安全网关部署设计..................................................................................................................................24 安全网关部署说明..................................................................................................................................25 / 42
典型中小型企业网络边界安全解决方案
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5
部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置访问控制策略........................................................................................................................30 配置带宽控制策略........................................................................................................................31 上网行为日志管理........................................................................................................................33 实现URL过滤................................................................................................................................35 实现网络病毒过滤........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 实现安全移动办公........................................................................................................................38 方案建设效果..............................................................................................................................................................38 / 42
典型中小型企业网络边界安全解决方案 前言
1.1 方案目的
本方案的设计对象为国内中小企业,方案中定义的中小型企业为:人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业网站;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
根据当前国内企业的发展趋势,中小企业呈现出快速增长的势头,计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件,为企业经营决策提供了有力支撑,为企业的对外宣传发挥了重要的作用,因此企业对信息化建设的依赖也越来越强,但同时由于计算机网络所普遍面临的安全威胁,又给企业的信息化带来严重的制约,互联网上的黑客攻击、蠕虫病毒传播、非法渗透等,严重威胁着企业信息系统的正常运行;内网的非法破坏、非法授权访问、员工故意泄密等事件,也是的企业的正常运营秩序受到威胁,如何做到既高效又安全,是大多数中小企业信息化关注的重点。
而作为信息安全体系建设,涉及到各个层面的要素,从管理的角度,涉及到组织、制度、流程、监督等,从技术的角度,设计到物理层、网络层、主机层、应用层和运维层,本方案的重点是网络层的安全建设,即通过加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境,保障中小企业计算机网络的安全性。
1.2 方案概述
本方案涉及的典型中小型企业的网络架构为:两级结构,纵向上划分为总部与分支机构,总部/ 42
典型中小型企业网络边界安全解决方案
集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下:
典型中小型企业网络结构示意图
为保障中小企业网络层面的安全防护能力,本方案结合山石网科集成化安全平台,在对中小企业信息网络安全域划分的基础上,从边界安全防护的角度,实现以下的安全建设效果:
实现有效的访问控制:对员工访问互联网,以及员工访问业务系统的行为进行有效控制,杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性; 实现有效的集中安全管理:中小型企业的管理特点为总部高度集中模式,通过网关的集中管理系统,中小企业能够集中监控总部及各个分支机构员工的网络访问行为,做到可视化的安全。/ 42
典型中小型企业网络边界安全解决方案
保障安全健康上网:对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的网站进行实时监控,限制员工访问不健康或不安全的网站,从而造成病毒的传播等;
保护网站安全:对企业网站进行有效保护,防范来自互联网上黑客的故意渗透和破坏行为; 保护关键业务安全性:对重要的应用服务器和数据库服务器实施保护,防范病毒和内部的非授权访问;
实现实名制的安全监控:中小型企业的特点是,主机IP地址不固定,但全公司有统一的用户管理措施,通常通过AD域的方式来实现,因此对于访问控制和行为审计,可实现基于身份的监控,实现所谓的实名制管理;
实现总部与分支机构的可靠远程传输:典型中小型企业的链路使用模式为,专线支撑重要的业务类访问,互联网链路平时作为员工上网使用,当专线链路故障可作为备份链路,为此通过总部与分支机构部署网关的IPSEC VPN功能,可在利用备份链路进行远程通讯中,保障数据传输的安全性;
对移动办公的安全保障:利用安全网关的SSL VPN功能,提供给移动办公人员进行远程安全传输保护,确保数据的传输安全性; 安全需求分析
2.1 典型中小企业网络现状分析
中小企业的典型架构为两级部署,从纵向上划分为总部及分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支/ 42
典型中小型企业网络边界安全解决方案
机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。
双链路给中小企业应用访问带来的好处是,业务访问走专线,可保障业务的高可靠性;上网走互联网链路,增加灵活性,即各个分支机构可根据自己的人员规模,采用合理的价格租用电信宽带;从网络设计上,中小企业各个节点的结构比较简单,为典型的星形结构设计,总部因用户量和服务器数量较高,因此核心往往采用三层交换机,通过VLAN来划分不同的子网,并在子网内部署终端及各类应用服务器,有些中小型企业在VLAN的基础上还配置了ACL,对不同VLAN间的访问实行控制;各分支机构的网络结构则相对简单,通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图:
典型中小企业组网结构示意图 / 42
典型中小型企业网络边界安全解决方案
2.2 典型中小企业网络安全威胁
在没有采取有效的安全防护措施,典型的中小型企业由于分布广,并且架构在TCP/IP网络上,由于主机、网络、通信协议等存在的先天性安全弱点,使得中小型企业往往面临很多的安全威胁,其中典型的网络安全威胁包括: 【非法和越权的访问】
中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统,在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能,但是这种控制只体现在应用层,如果远程通过网络层的嗅探或攻击工具(因为在网络层应用服务器与任何一台企业网内的终端都是相通的),有可能会获得上层的身份和口令信息,从而对业务系统进行非法及越权访问,破坏业务的正常运行,或非法获得企业的商业秘密,造成泄露; 【恶意代码传播】
大多数的中小企业,都在终端上安装了防病毒软件,以有效杜绝病毒在网络中的传播,但是随着蠕虫、木马等网络型病毒的出现,单纯依靠终端层面的查杀病毒显现出明显的不足,这种类型病毒的典型特征是,在网络中能够进行大量的扫描,当发现有弱点的主机后快速进行自我复制,并通过网络传播过去,这就使得一旦网络中某个节点(可能是台主机,也可能是服务器)被感染病毒,该病毒能够在网络中传递大量的扫描和嗅探性质的数据包,对网络有限的带宽资源造成损害。【防范ARP欺骗】
大多数的中小企业都遭受过此类攻击行为,这种行为的典型特点是利用了网络的先天性缺陷,即两台主机需要通讯时,必须先相互广播ARP地址,在相互交换IP地址和ARP地址后方可通讯,特别是中小企业都需要通过边界的网关设备,实现分支机构和总部的互访;ARP欺骗就是某台主机伪装成网关,发布虚假的ARP信息,让内网的主机误认为该主机就是网关,从而把跨越网段的访问/ 42
典型中小型企业网络边界安全解决方案
数据包(比如分支机构人员访问互联网或总部的业务系统)都传递给该主机,轻微的造成无法正常访问网络,严重的则将会引起泄密; 【恶意访问】
对于中小型企业网而言,各个分支机构的广域网链路带宽是有限的,因此必须有计划地分配带宽资源,保障关键业务的进行,这就要求无论针对专线所转发的访问,还是互联网出口链路转发的访问,都要求对那些过度占用带宽的行为加以限制,避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。
这种恶意访问行为包括:过度使用P2P进行大文件下载,长时间访问网游,长时间访问视频网站,访问恶意网站而引发病毒传播,直接攻击网络等行为。【身份与行为的脱节】
常见的访问控制措施,还是QOS措施,其控制依据都是IP地址,而众所周知IP地址是很容易伪造的,即使大多数的防火墙都支持IP+MAC地址绑定,MAC地址也是能被伪造的,这样一方面造成策略的制定非常麻烦,因为中小型企业内员工的身份是分级的,每个员工因岗位不同需要访问的目标是不同的,需要提供的带宽保障也是不同的,这就需要在了解每个人的IP地址后来制定策略;另一方面容易形成控制缺陷,即低级别员工伪装成高级别员工的地址,从而可占用更多的资源。
身份与行为的脱节的影响还在于日志记录上,由于日志的依据也是根据IP地址,这样对发生违规事件后的追查造成极大的障碍,甚至无法追查。【拒绝服务攻击】
大多数中小型企业都建有自己的网站,进行对外宣传,是企业对外的窗口,但是由于该平台面向互联网开放,很容易受到黑客的攻击,其中最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击/ 42
典型中小型企业网络边界安全解决方案 的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。这种攻击常常针对企业的网站,使得网站无法被正常访问,破坏企业形象; 【不安全的远程访问】
对于中小型企业,利用互联网平台,作为专线的备份链路,实现分支机构与总部的连接,是很一种提高系统可靠性,并充分利用现有网络资源的极好办法;另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台,进行相关的业务处理;而互联网的开放性使得此类访问往往面临很多的安全威胁,最为典型的就是攻击者嗅探数据包,或篡改数据包,破坏正常的业务访问,或者泄露企业的商业秘密,使企业遭受到严重的损失。【缺乏集中监控措施】
典型中小型企业的特点是,集中管理,分布监控,但是在安全方面目前尚缺乏集中的监控手段,对于各分支机构员工的上网行为,访问业务的行为,以及总部重要资源的受访问状态,都没有集中的监控和管理手段,一旦发生安全事件,将很难快速进行察觉,也很难有效做出反应,事后也很难取证,使得企业的安全管理无法真正落地。
2.3 典型中小企业网络安全需求
针对中小企业在安全建设及运维管理中所暴露出的问题,山石网科认为,应当进行有针对性的设计和建设,最大化降低威胁,并实现有效的管理。
2.3.1 需要进行有效的访问控制
网络安全建设的首要因素就是访问控制,控制的核心是访问行为,应实现对非许可访问的杜绝,限制员工对网络资源的使用方式。/ 42
典型中小型企业网络边界安全解决方案
中小企业的业务多样化,必然造成访问行为的多样化,因此如何有效鉴别正常的访问,和非法的访问是非常必要的,特别是针对中小企业员工对互联网的访问行为,应当采取有效的控制措施,杜绝过度占用带宽的访问行为,保障正常的业务和上网访问。
对于中小企业重要的应用服务器和数据库资源,应当有效鉴别出合法的业务访问,和可能的攻击访问行为,并分别采取必要的安全控制手段,保障关键的业务访问。
2.3.2 深度应用识别的需求
引入的安全控制系统,应当能够支持深度应用识别功能,特别是对使用动态端口的P2P和IM应用,能够做到精准鉴别,并以此为基础实现基于应用的访问控制和QOS,提升控制和限制的精度和力度。
对于分支机构外来用户,在利用分支机构互联网出口进行访问时,基于身份识别做到差异化的控制,提升系统总体的维护效率。
2.3.3 需要有效防范病毒
在访问控制的技术上,需要在网络边界进行病毒过滤,防范病毒的传播;在互联网出口上要能够有效检测出挂马网站,对访问此类网站而造成的病毒下发,能够快速检测并响应;同时也能够防范来自其他节点的病毒传播。
2.3.4 需要实现实名制管理
应对依托IP地址进行控制,QOS和日志的缺陷,应实现基于用户身份的访问控制、QOS、日志记录,应能够与中小企业现有的安全准入系统整合起来,当员工接入办公网并对互联网访问时,/ 42
典型中小型企业网络边界安全解决方案
先进行准入验证,验证通过后将验证信息PUSH给网关,网关拿到此信息,在用户发出上网请求时,根据IP地址来索引相关的认证信息,确定其角色,最后再根据角色来执行访问控制和带宽管理。
在日志记录中,也能够根据确定的身份来记录,使得日志可以方便地追溯到具体的员工。
2.3.5 需要实现全面URL过滤
应引入专业性的URL地址库,并能够分类和及时更新,保障各个分支机构在执行URL过滤策略是,能够保持一致和同步。
2.3.6 需要实现IPSEC VPN 利用中小企业现有的互联网出口,作为专线的备份链路,在不增加链路投资的前提下,使分支机构和总公司的通信得到更高的可靠性保障。
但是由于互联网平台的开放性,如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时,容易遭到窃听和篡改的风险,为此需要设备提供IPSEC VPN功能,对传输数据进行加密和完整性保护,保障数据传输的安全性。
2.3.7 需要实现集中化的管理
集中化的管理首先要求日志信息的集中分析,各个分支机构既能够在本地查看详细的访问日志,总部也能够统一查看各个分支机构的访问日志,从而实现总部对分支机构的有效监管。
总部能够统一对各个分支机构的安全设备进行全局性配置管理,各个分支机构也能够在不违背全局性策略的前提下,配置符合本节点特点的个性化策略。
由于各个厂商的技术壁垒,不同产品的功能差异,因此要实现集中化管理的前提就是统一品牌,/ 42
典型中小型企业网络边界安全解决方案
统一设备,而从投资保护和便于维护的角度,中小企业应当选择具有多种功能的安全网关设备。安全技术选择
3.1 技术选型的思路和要点
现有的安全设备无法解决当前切实的安全问题,也无法进一步扩展以适应当前管理的需要,因此必须进行改造,统一引入新的设备,来更好地满足运行维护的要求,在引入新设备的时候,必须遵循下属的原则和思路。
3.1.1 首要保障可管理性
网络安全设备应当能够被集中监控,由于安全网关部署在中小企业办公网的重要出口上,详细记录了各节点的上网访问行为,因此对全网监控有着非常重要的意义,因此系统必须能够被统一管理起来,实现日志行为,特别是各种防护手段形成的记录进行集中的记录与分析。
此外,策略也需要分级集中下发,总部能够统一下发集中性的策略,各分支机构可根据自身的特点,在不违背全局性策略的前提下,进行灵活定制。
3.1.2 其次提供可认证性
设备必须能够实现基于身份和角色的管理,设备无论在进行访问控制,还是在QOS,还是在日志记录过程中,依据必须是真实的访问者身份,做到精细化管理,可追溯性记录。
对于中小企业而言,设备必须能够与中小企业的AD域管理整合,通过AD域来鉴别用户的身份和角色信息,并根据角色执行访问控制和QOS,根据身份来记录上网行为日志。/ 42
典型中小型企业网络边界安全解决方案
3.1.3 再次保障链路畅通性
对于多出口链路的分支机构,引入的安全设备应当支持多链路负载均衡,正常状态下设备能够根据出口链路的繁忙状态自动分配负载,使得两条链路都能够得到充分利用;在某条链路异常的状态下,能够自动切换负载,保障员工的正常上网。
目前中小企业利用互联网的主要应用就是上网浏览,因此系统应提供强大的URL地址过滤功能,对员工访问非法网站能够做到有效封堵,这就要求设备应提供强大的URL地址库,并能够自动升级,降低管理难度,提高控制精度。
中小企业的链路是有限的,因此应有效封堵P2P、IM等过度占用带宽的业务访问,保障链路的有效性。
3.1.4 最后是稳定性
选择的产品必须可靠稳定,选择产品形成的方案应尽量避免单点故障,传统的网络安全方案总是需要一堆的产品去解决不同的问题,但这些产品接入到网络中,任何一台设备故障都会造成全网通信的故障,因此采取集成化的安全产品应当是必然选择。
另外,安全产品必须有多种稳定性的考虑,既要有整机稳定性措施,也要有接口稳定性措施,还要有系统稳定性措施,产品能够充分应对各种突发的情况,并保持系统整体工作的稳定性。
3.2 选择山石安全网关的原因
基于中小企业的产品选型原则,方案建议采用的山石网科安全网关,在多核Plus G2硬件架构的基础上,采用全并行架构,实现更高的执行效率。并综合实现了多个安全功能,完全能够满足中小企业安全产品的选型要求。/ 42
典型中小型企业网络边界安全解决方案
山石网科安全网关在技术上具有如下的安全技术优势,包括:
3.2.1 安全可靠的集中化管理
山石网科安全管理中心采用了一种全新的方法来实现设备安全管理,通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责,从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率,减少开销并降低运营成本。
利用山石网科安全管理中心,可以为特定用户分配适当的管理接入权限(从只读到全面的编辑权限)来完成多种工作。可以允许或限制用户接入信息,从而使用户可以作出与他们的角色相适应的决策。
山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性,同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标,山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时,只要是能够通过山石网科安全管理中心进行配置的设备都可以通过CLI接入。
山石网科安全管理中心还带有一种高性能日志存储机制,使IT部门可以收集并监控关键方面的详细信息,如网络流量、设备状态和安全事件等。利用内置的报告功能,管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。
山石网科安全管理中心采用了一种3层的体系结构,该结构通过一条基于TCP的安全通信信道-安全服务器协议(SSP)相连接。SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP通信链路,就不需要在不同分层之间建立VPN隧/ 42
典型中小型企业网络边界安全解决方案 道,从而大大提高了性能和灵活性。
山石网科安全管理中心提供统一管理功能,在一个统一界面中集成了配置、日志记录、监控和报告功能,同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡,对于安全网关这类安全设备的大规模部署非常重要。
3.2.2 基于角色的安全控制与审计
针对传统基于IP的访问控制和资源控制缺陷,山石网科采用RBNS(基于身份和角色的管理)技术让网络配置更加直观和精细化,不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。
另外,在采用了RBNS技术后,使得审计记录可以直接反追溯到真实的访问者,更便于安全事件的定位。
在本方案中,利用山石网科安全网关的身份认证功能,可结合AD域认证等技术,提供集成化的认证+控制+深度检测+行为审计的解决方案,当访问者需跨网关访问时,网关会根据确认的访问者身份,自动调用邮件系统内的邮件组信息,确定访问者角色,随后根据角色执行访问控制,限制其访问范围,然后再对访问数据包进行深度检测,根据角色执行差异化的QOS,并在发现非法的访问,或者存在可疑行为的访问时,记录到日志提供给系统员进行事后的深度分析。/ 42
典型中小型企业网络边界安全解决方案
3.2.3 基于深度应用识别的访问控制
中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上,新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。
Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。
StoneOS®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。
3.2.4 深度内容安全(UTMPlus®)
山石网科安全网关可选UTMPlus®软件包提供病毒过滤,入侵防御,内容过滤,上网行为管理和应用流量整形等功能,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库,攻击库,URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的URL做到及时响应。
由于中小企业包含了多个分支机构,一旦因某个节点遭到恶意代码的传播,病毒将会很快在企业的网络内传播,造成全网故障。在使用了山石网科安全网关后,并在全网各个节点的边界部署后,将在逻辑上形成不同的隔离区,一旦某个节点遭遇到病毒攻击/ 42
典型中小型企业网络边界安全解决方案
后,不会影响到其他节点。并且山石支持硬件病毒过滤技术,在边界进行病毒查杀的时候,对性能不会造成过多影响。
3.2.5 高性能病毒过滤
对于中小企业而言,在边界进行病毒的过滤与查杀,是有效防范蠕虫、木马等网络型病毒的有效工具,但是传统病毒过滤技术由于需要在应用层解析数据包,因此效率很低,导致开启病毒过滤后对全网的通信速度形成很大影响。
山石安全网关在多核的技术上,对病毒过滤采取了全新的流扫描技术,也就是所谓的边检测边传输技术,从而大大提升了病毒检测与过滤的效率。
流扫描策略
传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的,并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法,首先需要下载整个文件,然后开始扫描,最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收,会经历长时间延迟。对于大文件,用户应用程序可能出现超时。
文件接受扫描文件发送延迟
山石网科扫描引擎是基于流的,病毒过滤扫描引擎在数据包流到达时进行检查,如果没有检查到病毒,则发送数据包流。由此,用户将看到明显的延迟改善,并且他们的应用程序也将更快响应。/ 42
典型中小型企业网络边界安全解决方案
文件接收扫描文件发送延迟
流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑,流扫描技术适合网关病毒过滤解决方案。
基于策略的病毒过滤功能
山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面:哪些域的流量需要进行病毒过滤扫描,哪些用户或者用户组进行扫描,以及哪些服务器和应用被保护。
3.2.6 灵活高效的带宽管理功能
山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能,称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类。山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键网页浏览设置高优先级保证它们的带宽使用;对于P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。
将山石网科的角色鉴别以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽/ 42
典型中小型企业网络边界安全解决方案
控制(入方向和出方向),这就相当于系统中可容纳最多40,000的QoS队列。
结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个IP地址产生的不同流量,用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS,甚至可以对每个IP地址进行流量控制的同时,还能够对该IP地址内部应用类型的流量进行有效管控。
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。
总之,通过采取山石网科产品所集成的带宽管理功能,可以在用户网络中做到关键应用优先,领导信息流量优先,非业务应用限速或禁用,VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚,这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用,使得昂贵的带宽能获取最高的效益和高附加值应用。/ 42
典型中小型企业网络边界安全解决方案
3.2.7 强大的URL地址过滤库
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
全面的URL地址库也改变了现在各个分支机构自行手动配置URL地址的局限性,当时设备被部署到网络中后,各个设备均采用统一标准的过滤地址库,在进行URL访问日志中也可以保持日志内容的一致性。
3.2.8 高性能的应用层管控能力
安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。
山石网科安全网关具有丰富的应用层管控能力,包括URL地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等,能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤,防止潜在的安全风险。/ 42
典型中小型企业网络边界安全解决方案
此外,山石网科安全网关均采用多核系统架构,在性能上具有很高的处理能力,能够实现大并发处理。
3.2.9 高效IPSEC VPN 所有的山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎,这保证了在CPU核数增加时,IPSec的性能得到相应提高,不会成为瓶颈。山石网科安全网关设备的IPSec吞吐率最高可以达到8Gbps,达到和防火墙一样的性能和设备极限。
山石网科安全网关设备支持标准IPSec协议,能够保障与第三方VPN进行通讯,建立隧道并实现安全的数据传输。
3.2.10 高可靠的冗余备份能力
山石网科安全网关能够支持设备级别的HA解决方案,如A-P和A-A架构。山石网科的HA解决方案能够为网络层提供会话级别的状态同步机制,保证在设备切换过程中数据传输的连续性及网络的持久畅通,甚至在设备进行主备切换的时候都不会中断会话,为企业提供真正意义的网络冗余/ 42
典型中小型企业网络边界安全解决方案
解决方案。山石网科安全甚至还能够提供VPN传输的状态同步,并包括SA状态的同步。系统部署说明
对于中小企业,在设计边界安全防护时,首要进行的就是安全区域的划分,划分安全域是信息安全建设常采用的方法,其好处在与可以将原本比较庞大的网络划分为多个单元,根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计,保障了安全建设的针对性和差异性。
安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则,可操作性不强,在实际划分过程中有很多困难。在本方案中,建议按照资产重要性以及支撑的业务类型,纵向上可划分为总部及分支机构域,从资产角度可根据业务类型的不同,将总部/ 42
典型中小型企业网络边界安全解决方案
信息网络划分为ERP域、OA域、网站域、终端域和运维域等,而分支机构的域相对简单,由于只有终端,因此不再细分。
4.1 安全网关部署设计
划分安全域后,可在所有安全域的边界,特别是重要的业务系统安全域的边界配置安全网关即可,配置后形成的边界安全部署方案可参考下图:
部署要点: 通过总部配置的山石网科安全管理中心,集中监管各个分支机构边界部署的山石网科安全网关,对日志进行集中管理;同时各个分支机构本地也部署管理终端,在本地对网关进行监管; / 42
典型中小型企业网络边界安全解决方案
纵向链路的出口分别部署安全网关,实现对中小企业网的纵向隔离,对分支机构的上访行为进行严格控制,杜绝非法或非授权的访问;
安全网关启用源地址转换策略,在终端上网过程中进行转换,保障内网用户上网的要求,同时启用相应的日志,对上网行为进行有效记录;
安全网关在分支机构上网出口的链路上,运用深度应用识别技术,有效鉴别出哪些是合法的HTTP应用,哪些是过度占用带宽的P2P和IM应用,对P2P和IM通过严格的带宽限制功能能进行及限制,并对HTTP执行保障带宽策略,保障员工正常上网行为;
安全网关与中小企业的AD域认证整合,在确认访问者身份的基础上,进行实名制的访问控制,QOS控制,以及上网行为审计;
安全网关内置全面的URL地址库,用以对员工的访问目标地址进行分类,对于非法网站进行封堵,且URL地址库能够自动升级,保障了该功能的持续性和完整性;
安全网关运用IPSEC VPN技术,实现与总部的加密传输,作为现有专线的备份链路,在不增加投资的前提下提升系统的可靠性。
安全网关运用SSL VPN技术,对移动办公用户配发USB KEY,当其需要远程访问企业网时,利用USB KEY与总部互联网出口的安全网关建立VPN加密隧道,从而实现了安全可靠的远程访问。
4.2 安全网关部署说明
4.2.1 部署集中安全管理中心
通过在总部部署山石网科安全管理中心,然后对分布在各个分支机构边界的安全网关进行配置,/ 42
典型中小型企业网络边界安全解决方案
使网关接受管理中心的集中管理来实现,并执行如下的集中监管。
设备管理
设备管理包括域管理和设备组管理,域和设备组都是用来组织被管理设备的逻辑组,域包含设备组。通过域的使用,可以实现设备的区域化管理;而通过设备组的使用,可以进一步将域中的设备进行细化分组管理。一台设备可以同时属于多个域或者设备组。只有超级管理员可以执行域的操作以及添加设备和彻底删除设备,普通管理员可以执行设备组的操作,将设备从设备组中删除。
设备基本信息监管
显示设备的基本信息,例如设备主机名称、设备序列号、管理IP、设备运行时间、接口状态以及AV相关信息等。
通过客户端可查看的设备属性信息包括:设备基本信息以及设备实时统计信息,包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。系统通过曲线图显示以上实时信息,使用户能够直观的了解当前设备的各种状态。/ 42
典型中小型企业网络边界安全解决方案
日志浏览
山石网科安全管理中心接收设备发送的多种日志信息,经过系统处理后,用户可通过客户端进行多维度、多条件的浏览。山石网科安全管理中心支持通过以下种类进行日志浏览:
●系统日志 ●配置日志 ●会话日志 ●地址转换日志 ●上网日志
流量监控
山石网科安全管理中心可以实时监控以下对象的流量,并在客户端通过饼状图或者柱状图直观显示:
●设备接口(TOP 10)/ 42
典型中小型企业网络边界安全解决方案
●指定接口TOP 10 IP,进而可以查看指定IP的TOP 10应用的流量 ●指定接口TOP 10应用,进而可以查看指定应用的TOP 10 IP的流量
柱状图可分别按照上行流量、下行流量或者总流量进行排序;饼状图可分别根据上行流量、下行流量或者总流量显示不同的百分比。
攻击监控
山石网科安全管理中心可以实时监控以下对象的攻击情况,并在客户端通过饼状图或者柱状图直观显示:
●设备接口遭受攻击(TOP 10)
●指定接口发起攻击TOP 10 IP,进而可以查看指定IP发起的TOP 10攻击类型 ●指定接口TOP 10攻击类型,进而可以查看发起指定攻击类型的TOP 10 IP
VPN监控
山石网科安全管理中心可以实时监控被管理设备的IPSec VPN和SCVPN隧道流量,并在客户端通过饼状图或者柱状图直观显示。/ 42
典型中小型企业网络边界安全解决方案
4.2.2 基于角色的管理配置
对于中小企业办公网而言,终端使用者的身份不尽相同,因此其访问权限,对资源的要求等也不尽相同,实现差异化的访问控制与资源保障。对此可通过山石网科安全网关的RBNS(基于身份和角色的管理)策略来实现。RBNS包含三个部分:用户身份的认证、用户角色的确定、基于角色控制和服务。
在访问控制部分,通过RBNS实现了基于用户角色的访问控制,使得控制更加精准; 在QOS部分,通过RBNS实现了基于角色的带宽控制,使得资源分配更加贴近中小企业办公网的管理模式; 在会话限制部分,通过RBNS实现了基于角色的并发限制,对于重要用户放宽并发连接的数量,对于非重要用户则压缩并发连接的数量; 在上网行为管理部分,通过RBNS实现了基于角色的上网行为管理;
在审计部分,通过RBNS实现实名制审计,使审计记录能够便捷地追溯到现实的人员。
在整合了AD域以及邮件系统后的实名制管理与控制方案后,在员工上网访问过程中实现精细化的管理,大大降低了单纯依靠IP地址带来的安全隐患,也降低了配置策略的难度,还提升了日志的可追溯性; / 42
典型中小型企业网络边界安全解决方案
整合后实名制监管过程示意图
4.2.3 配置访问控制策略
山石网科多核安全网关可提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别,并根据安全策略配置规则,保证应用的正常通信或对其进行指定的操作,如监控、流量统计、流量控制和阻断等。StoneOS利用分片重组及传输层代理技术,使设备能够适应复杂的网络环境,即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下,也能有效的获取应用层信息,从而保证安全策略的有效实施。
山石网科安全网关,作用在中小企业的互联网出口链路上,通过访问控制策略,针对访问数据包,根据数据包的应用访问类型,进行控制,包括: / 42
典型中小型企业网络边界安全解决方案
限制不被许可的访问类型:比如在只允许进行网页浏览、电子邮件、文件传输,此时当终端用户进行其他访问(比如P2P),即使在网络层同样使用TCP 80口进行访问数据包的传送,但经过山石网科安全网关的深度应用识别后,分析出真实的应用后,对P2P和IM等过度占用带宽的行为进行限制;
限制不被许可的访问地址:山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
基于身份的访问控制:传统访问控制的基础是IP地址,但是由于IP地址的可修改性,使得控制的精度大打折扣,特别是根据不同IP地址配置不同强度的访问控制规则时,通过修改IP地址可以获得较宽松的访问限制,及时采用了IP+MAC绑定,但修改MAC也不是难事。山石网科安全网关支持与第三方认证的结合,可实现基于“实名制”下的访问控制,将大大提升了访问控制的精度。
4.2.4 配置带宽控制策略
针对外网的互联网出口链路,承载了员工上网的访问,因此必须应采取带宽控制,来针对不同访问的重要级别,提供差异化的带宽资源。(可以实现基于角色的QOS) 基于角色的流量管理
基于山石网科的多核 Plus G2安全架构,StoneOS® Qos将Hillstone 山石网科的行为控制以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽控制(入方向和出方向),这就相当于系统
/ 42
典型中小型企业网络边界安全解决方案
中可容纳多于40,000的QoS队列。结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个角色产生的不同流量,用户可以基于应用分类结果指定流量的优先级。
对应用控制流量和区分优先级
山石网科提供专有的智能应用识别(Intelligent Application Identification)功能,简称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类;Hillstone 山石网科还支持用户自定义的流量,并对自定义流量进行分类;同时山石网科可以结合强大的policy对流量进行分类。山石网科 QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用;对于网页浏览和P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。
带宽利用率最大化
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。Hillstone 山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽的利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。弹性QoS还允许用户进行更加精细的控制,允许某一类的网络使用者享有弹性QoS,另外一类不享有弹性QoS。以此功能用户可以为网络使用者提供差分服务。
实时流量监控和统计
山石网科 QoS解决方案提供各种灵活报告和监控方法,帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。山石网科设备
/ 42
典型中小型企业网络边界安全解决方案
提供带宽使用情况的历史记录,为将来分析提供方便。同时用户还可以自己定制想要的统计数据。
4.2.5 上网行为日志管理
通过山石网科安全网关,在实现分支机构员工上网访问控制和QOS控制的基础上,对行为进行全面记录,来控制威胁的上网行为,并结合基于角色的管理技术,实现“实名制”审计,在本方案中将配置执行如下的安全策略:
网络应用控制策略规则
网络应用控制策略规则,是根据名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:
策略规则名称 – 上网行为管理策略规则的名称。
优先级-上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 用户 – 上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 时间表 – 上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的网络行为。 网络行为 – 具体的网络应用行为,比如MSN聊天、网页访问、邮件发送、论坛发帖等。 控制动作 – 针对用户的网络行为所采取的控制动作,比如允许、拒绝某网络行为或者对该行为或者内容进行日志记录等。
/ 42
典型中小型企业网络边界安全解决方案
网页内容控制策略规则
网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别,对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。
外发信息控制策略规则
外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则,能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制,可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时,能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容进行控制,如阻断内网用户在论坛发布含有指定关键字的帖子。
例外设置
对于特殊情况下不需要上网行为管理策略规则进行控制的对象,可以通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。
/ 42
典型中小型企业网络边界安全解决方案
分级日志管理模式示意图
4.2.6 实现URL过滤
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了强大的URL地址库,包含数千万条域名的分类web页面库,并能够实时同步更新,该地址库将被配置在所有分支机构出口的山石安全网关上,对员工访问的目标站点进行检查,保障健康上网。
山石网科提供的URL过滤功能包含以下组成部分: 黑名单:包含不可以访问的URL。不同平台黑名单包含的最大URL条数不同。白名单:包含允许访问URL。不同平台白名单包含的最大URL条数不同。
关键字列表:如果URL中包含有关键字列表中的关键字,则PC不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。
/ 42
典型中小型企业网络边界安全解决方案
不受限IP:不受URL过滤配置影响,可以访问任何网站。
只允许用域名访问:如果开启该功能,用户只可以通过域名访问Internet,IP地址类型的URL将被拒绝访问。
只允许访问白名单里的URL:如果开启该功能,用户只可以访问白名单中的URL,其它地址都会被拒绝。
4.2.7 实现网络病毒过滤
随着病毒技术的发展,网络型病毒(比如蠕虫、木马等)已经被广泛应用了,这种病毒的特点是没有宿主就可以传播,在网络中快速扫描,只要发现网络有许可的行为,就能够快速传播,其危害除了对目标主机造成破坏,在传播过程中也产生大量的访问,对网络流量造成影响,对此传统在主机上进行病毒查杀是不足的,对此问题就产生了病毒过滤网关,该系统类似于防火墙,采用“空中抓毒“技术,工作在网络的关键节点,对经过网关的数据包进行过滤,在判断为是病毒的时候进行阻断,防止病毒利用网络进行传播。
这里建议中小企业可利用安全网关的病毒过滤技术,对各个安全域在实行访问控制的同时,进行有效的病毒过滤,杜绝某个安全域内(比如终端区域)的主机感染了病毒,该病毒无法穿越病毒过滤网关,从而无法在全企业网蔓延,造成更大的破坏。
山石网科的病毒过滤能够有效解析出上十万种病毒,能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。基于多核Plus® G2架构的设计提供了病毒过滤需要的高处理能力,其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力,全并行流检测引擎则使用较少的系统资源,并且在并行扫描会话和最大可扫描文件
/ 42
典型中小型企业网络边界安全解决方案
方面提供高升级性。
病毒过滤系统同样也大大提升了服务器的安全性,在当前访问控制的基础上,进一步保障了关键业务的安全性。
4.2.8 部署IPSEC VPN 山石网科安全网关支持的IPSec VPN技术,作用于中小企业,可实现总部与分支机构之间通过互联网的纵向互联,并作为现有专线的备份链路,在不增加额外投资的基础上,提升了系统总体的安全效率。(当然需要总部的互联网出口也部署有标准IPSEC VPN系统)
在通过互联网实现纵向互联的过程中,通过IPSEC VPN技术,将实现如下的保护: 机密性保护:在传输过程中对数据进行加密,从而防范了被篡改的风险;
完整性保护:在传输过程中,通过HASH算法,对文件进行摘要处理,当到达接收端时再次进行HASH,并与发送端HASH后形成的摘要进行批对,如果完全相同则证明数据没有
/ 42
典型中小型企业网络边界安全解决方案
被篡改,从而保障了传输过程的完整性; 抗抵赖:IPSEC VPN运用了数字签名技术,采用对称密钥算法防范传输数据被抵赖的风险; 抗重放:IPSEC VPN运用系列号,一旦某个数据包被处理,序列号自动加一,防范攻击者在收取到数据包,以自己的身份重新发送的风险; 山石网科安全网关IPSec VPN支持的主要技术包括: 标准的技术使Hillstone IPSec VPN能和国际VPN厂商互通,只要对端采用标准IPSEC协议,即可实现互联互通; 全面的加密算法支持,包括AES256、Diffie-Hellman Group 5;
支持静态IP对端、动态IP对端、拨号VPN对端,可以很好地使用各个分支机构实际的网络环境; 支持VPN上的应用控制,在隧道内针对中小企业,提供更完善的访问控制。
4.2.9 实现安全移动办公
山石网科安全网关支持的SSL VPN技术,针对移动办公人员,在不需要配置任何客户端的情况下,实现安全可靠的接入。通过USB KEY的方式,配发证书,移动办公人员必须在提交KEY证书后,安全网关方可允许其通过互联网接入到企业网内,实现安全快捷的访问。方案建设效果
本方案利用山石网科安全网关,作用于中小企业各个分支机构的互联网出口,对员工上网行为进行有效控制和记录,对比现有的安全手段,将在如下层面提升安全性:
/ 42
典型中小型企业网络边界安全解决方案
总体部署效果示意图
【实现集中监控】
在采取了统一品牌的山石网科安全网关后,通过部署在总部的安全管理中心,实现对分布在各个分支机构互联网出口的安全设备的集中管理,重点对日志进行集中的收集和分析,确保在发生安全事件后能够快速传递到总部,以便采取必要的保障措施。【实现有效访问控制】
通过严格的访问控制,限制了内、外部用户对企业各种资源的访问,限制员工对ERP和OA的访问,限制互联网用户对企业网站的访问,由于这些人员只能通过许可的方式,因此大大降低了重要信息资产的暴露程度,提升了系统的安全性; 【有效保护关键资产】
/ 42
典型中小型企业网络边界安全解决方案
对于中小企业而言,关键的信息资产就是各类应用服务器,和数据库,由于本方案采取安全域划分的方式,将这些关键资产集中起来进行有效防护,因此大大提升了系统的总体安全性; 【有效防范攻击】
山石安全网关支持超过3,000种的攻击检测和防御,支持攻击特征库离线在线更新,定期自动更新多种方式。
山石安全网关内置的入侵防御系统重点实现了对重要服务器的保护,当其他主机访问业务系统时,发起对服务器的访问,山石入侵防御系统会在线分析这些数据包,并从中剥离出哪些是正常访问的数据包,哪些是存在攻击行为的数据包,在此基础上对攻击包采取有效的封堵行为,从而保障了安全可靠的访问,进一步保护了易程公司关键的应用服务器。
【有效过滤病毒】
与防范攻击的作用类似,科山石安全网关内置的过滤网关部署在重要的安全域边界,当重要的服务器接受访问时,病毒过滤网关深入分析数据包,检测出是否携带病毒,或者数据包本身就是由一些恶意病毒(比如木马、蠕虫等)引发的,并采取有效的查杀,或者将数据包直接丢弃。
【基于角色的控制与资源保障】
/ 42
典型中小型企业网络边界安全解决方案
中小企业的上网人员是多个层面多种角色的,因角色不同,在访问控制和资源保障部分,需要有不同的策略与力度。山石安全网关能够与第三方身份认证有效整合,在控制(比如访问控制、日志审计)和资源保障(比如QOS)方面能够根据用户身份以及对应的角色来进行配置,解决了传统以IP地址为依据时,IP地址容易被伪造的问题; 【上网行为实名制审查】
国家相关监管部门要求提供上网的机构,应当对上网人员的行为进行记录,以备在员工进行违规访问(比如发布发动言论,访问非法网站)时,能够进行追溯。而目前中小企业员工均通过NAT来上网,这样单纯在互联网上无法准确定位访问者,即使有些分支机构采取了NAT和上网行为管理设备,但这些设备对行为之记录到IP地址,很难对应到具体的人员。
对此山石安全网关能够在身份识别和角色确定的基础上,对上网人员的行为(访问了什么地址、进行了什么操作、访问的时间、访问产生的流量等)进行有效记录,从而做到实名制审计。【有效封堵P2P和IM】
P2P和IM的特点是,运用动态端口进行访问,对此传统访问控制的基础是地址、协议和端口,这种控制方法根本无法从根本上封堵P2P和IM。
山石安全网关支持的深度应用识别,通过协议分析能够有效鉴别出真实的应用,再此基础上进行控制,方可实现对P2P和IM等通过动态端口的应用。【更全面的URL过滤】
目前中小企业的URL过滤库采用手工方式维护,这种方式无论从实效性、全面性上都存在明显不足,山石网科安全网关内置了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网。
/ 42
典型中小型企业网络边界安全解决方案 【对专线形成补充】
目前中小企业各个分支机构与总公司之间,通过专线实现纵向链接,并支撑纵向的业务访问,而总公司和各个分支机构都有互联网的通道,该通道也可作为专线的备份链路,并且从节约投资的角度,甚至可以用互联网通道取代专线,降低系统总体成本。
山石安全网关支持的IPSEC VPN技术,可以在互联网通道上提供安全保护,数据传输过程中采用加密、完整性校验措施,保障了数据的安全性。【实现安全移动办公】
通过SSL VPN解决了远程办公的安全隐患,使移动人员能够安全、可靠地访问企业网资源。
【网络底层安全解决的方案】相关文章:
底层的光辉05-08
底层的光芒高三作文04-09
高校网络安全整体解决方案的研究09-11
底层人物命运04-29
网络信息安全解决方案03-14
基于网络管理的校园网安全解决方案12-11
高校网络安全解决方案05-23
网络安全整改解决方案03-13
底层民间思想者04-18
电力信息网络安全解决方案设计09-10