網(wǎng)絡(luò)安全解決方案設(shè)計(jì)通用范本

1、囚寅0劎沖甲|JO 筑叭叫1敘丄 即!n分理罰MPpadh吁 嚴(yán)i# wpoipa憚 血町 其 旳 ©$ 如&昭 pd&oda敘丄s科曲翎 dBc|§ jd&|Q 門(mén)曽應(yīng)m竹ma® 0氣£總豈！卻由遁 砂# &旅砂# pi期說(shuō)斗曲爐9舉 Uy uiJciMj irerj奮筑 電口核| no"碼曲迥科|宦卑j p氣L jO tJ<3i$da3Mo| puy u©罟dua砒殂甘豈耳丄耳6冋。1 紳國(guó) 曲 賢蜩 拒 樂(lè)曾碼'幺護(hù)豈富牡 u傘肆宙密44決辜皇蹄丟莘馳00/10 ：華蹣劃/蜩網(wǎng)絡(luò)平安

2、解決方案設(shè)計(jì)通用范本住用晴弓X木萬(wàn)至丈件可用十前期的齡究中，通過(guò)対落實(shí)計(jì)址的設(shè)想和構(gòu)思.聒成有鼓的方妄,仏 寮料下載后可農(nóng)進(jìn)行白定義燧站 兩按嘛需進(jìn)行瀏漏僅用獸、客戶背景集團(tuán)內(nèi)聯(lián)網(wǎng)主要以總部局域網(wǎng)為核心,采用廣域網(wǎng)方式與外地子公司聯(lián)網(wǎng)。集團(tuán)廣域網(wǎng) 采用MPLS-技術(shù),用來(lái)為各個(gè)分公司提供骨干 b. P k 、 ° 網(wǎng)絡(luò)平臺(tái)和接入,各個(gè)分公司可以在集團(tuán)的骨b V干信息網(wǎng)絡(luò)系統(tǒng)上建設(shè)各自的子系統(tǒng)確保各 : -< ，/'類(lèi)系統(tǒng)間的相互獨(dú)立。二平安威脅 某公司屬于大型上市公司在北京上 *。需xJ% V海、廣州等地均有分公司。公司內(nèi)部采用無(wú)紙 化辦公,0A系統(tǒng)成熟。每個(gè)局域網(wǎng)連接

3、著該 所有部門(mén),所有的數(shù)據(jù)都從局域網(wǎng)中傳遞。同 時(shí),各分公司采用技術(shù)連接公司總部。該單位 為了方便，將相當(dāng)分業(yè)務(wù)放在了對(duì)外開(kāi)放 的網(wǎng)站上,網(wǎng)站也成為了既是對(duì)外形象窗口又 是內(nèi)部辦公窗口。由于網(wǎng)絡(luò)設(shè)計(jì)部署上的缺陷,該單位局域網(wǎng)在建成后就不斷出現(xiàn)網(wǎng)絡(luò)擁堵、網(wǎng)速特別慢 . :的情況,同時(shí)有些個(gè)別機(jī)器上的殺毒軟件頻頻 r 八八z%出現(xiàn)病毒報(bào)警,網(wǎng)絡(luò)經(jīng)常癱瘓,每次時(shí)間都持 續(xù)幾十分鐘,網(wǎng)管簡(jiǎn)直成了救火隊(duì)員,忙著清 除病毒,重裝系統(tǒng)。對(duì)外WEB網(wǎng)站同樣也遭到 黑客攻擊,網(wǎng)頁(yè)遭到非法篡改,有些網(wǎng)頁(yè)甚至 成了傳播不良信息的平臺(tái),不僅影響到網(wǎng)站的 正常運(yùn)行,而且還對(duì)政府形象也造成不良影 響。平安威脅根據(jù)拓?fù)鋱D分

4、析從網(wǎng)絡(luò)平安威脅 看,集團(tuán)網(wǎng)絡(luò)的威脅主要包括外部的攻擊和入 侵、內(nèi)部的攻擊或誤用、企業(yè)內(nèi)的病毒傳播 以及平安管理漏洞等信息平安現(xiàn)狀:經(jīng)過(guò)分析 發(fā)現(xiàn)該公司信息平安根本上是空白,主要有以 下問(wèn)題:公司沒(méi)有制定信息平安政策,信息管理不健全。公司在建內(nèi)網(wǎng)時(shí)與internet的連接沒(méi)有 亍 .防火墻。內(nèi)部網(wǎng)絡(luò)同一城市的各分公司之間 . 夕 .0 滬 0沒(méi)有任何平安保障為了讓網(wǎng)絡(luò)正常運(yùn)行。 U根據(jù)我國(guó)?信息平安等級(jí)保護(hù)管理方法?的信息平安要求,近期公司決定對(duì)該網(wǎng)絡(luò)加強(qiáng) fL <平安防護(hù),解決目前網(wǎng)絡(luò)出現(xiàn)的平安問(wèn)題。 r; 丫 三、平安需求從平安性和實(shí)用性角度考慮平安需求主要包括以下幾個(gè)方面：1、平安

5、管理咨詢(xún)平安建設(shè)應(yīng)該遵照7分管理3分技術(shù)的原那么,通過(guò)本次平安工程,可以發(fā)現(xiàn)集團(tuán)現(xiàn)有安* 夕 ° 全問(wèn)題,并且協(xié)助建立起完善的平安管理和安 9 全組織體系。2、集團(tuán)骨干網(wǎng)絡(luò)邊界平安主要考慮骨干網(wǎng)絡(luò)中Internet出口處的安 全,以及移動(dòng)用戶、遠(yuǎn)程撥號(hào)訪問(wèn)用戶的安% 全。3、集團(tuán)骨干網(wǎng)絡(luò)效勞器平安主要考慮骨干網(wǎng)絡(luò)中網(wǎng)關(guān)效勞器和集團(tuán)內(nèi)部的效勞器,包括0A、財(cái)務(wù)、人事、內(nèi)部 / > WEB等內(nèi)部信息系統(tǒng)效勞器區(qū)和平安管理效勞 r.器區(qū)的平安。4、集團(tuán)內(nèi)聯(lián)網(wǎng)統(tǒng)一的病毒防護(hù)主要考慮集團(tuán)內(nèi)聯(lián)網(wǎng)中,包括總公司在內(nèi)的所有公司的病毒防護(hù)。5、統(tǒng)一的增強(qiáng)口令認(rèn)證系統(tǒng) > <由于系統(tǒng)管

6、理員需要管理大量的主機(jī)和網(wǎng) 絡(luò)設(shè)備,如何確?？诹钇桨卜Q(chēng)為一個(gè)重要的問(wèn) 題。6、統(tǒng)一的平安管理平臺(tái)通過(guò)在集團(tuán)內(nèi)聯(lián)網(wǎng)部署統(tǒng)一的平安管理平 臺(tái)實(shí)現(xiàn)集團(tuán)總部對(duì)全網(wǎng)平安狀況的集中監(jiān)測(cè)、平安策略的統(tǒng)一配置管理、統(tǒng)計(jì)分析各類(lèi)平安事件、以及處理各種平安突發(fā)事件。7、專(zhuān)業(yè)平安效勞 過(guò)專(zhuān)業(yè)平安效勞建立全面的平安策略、管 理組織體系及相關(guān)管理制度,全面評(píng)估企業(yè)網(wǎng)? y.“寸絡(luò)中的信息資產(chǎn)及其面臨的平安風(fēng)險(xiǎn)情況,在 必要的情況下,逬行主機(jī)加固和網(wǎng)絡(luò)加虱 通 過(guò)專(zhuān)業(yè)緊急響應(yīng)效勞保證企業(yè)在面臨緊急事件 情況下的處理能力,降低平安風(fēng)險(xiǎn)。 K四、方案設(shè)計(jì) 骨干網(wǎng)邊界平安 集團(tuán)骨干網(wǎng)共有一個(gè)Internet出口 位置在總部孑在

7、Internet出口處咅B(yǎng)署LinkTrustCyberwall-200F/006 防火墻一臺(tái)。在 Internet 出口處咅B(yǎng)署一臺(tái) LinkTrustNetwork Defender領(lǐng)信網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)f通過(guò)交換機(jī)端口鏡像的方式，將進(jìn)出Internet 的流量鏡像到入侵檢測(cè)的監(jiān)聽(tīng)端口 , LinkTrustNetwork Defender可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中 的異常流量,防止惡意入侵。 療 在各個(gè)分公司中添加一個(gè)DMZ區(qū),保證 各公司的信息平安,內(nèi)部網(wǎng)絡(luò)同一城市的各分公司之間沒(méi)有任何平安保障骨干網(wǎng)效勞器平安集團(tuán)骨干網(wǎng)效勞器主要指網(wǎng)絡(luò)中的網(wǎng)關(guān)服 % % 務(wù)器和集團(tuán)內(nèi)部的應(yīng)用效勞器包括0A、財(cái)

8、；務(wù)、人事、內(nèi)部WEB等，以及專(zhuān)為此次工程配!A!置的、用于平安產(chǎn)品管理的效勞器的平安。主 要考慮為在效勞器區(qū)配置干兆防火墻,實(shí)現(xiàn)服 務(wù)器區(qū)與辦公區(qū)的隔離,并將內(nèi)部信息系統(tǒng)服 . . ° 務(wù)器區(qū)和平安管理效勞器區(qū)在防火墻上實(shí)現(xiàn)邏 輯隔離。還考慮到在效勞器區(qū)配置主機(jī)入侵檢 測(cè)系統(tǒng),在網(wǎng)絡(luò)中配置百兆網(wǎng)絡(luò)入侵檢測(cè)系 統(tǒng),實(shí)現(xiàn)主機(jī)及網(wǎng)絡(luò)層面的主動(dòng)防護(hù)。. r 9 漏洞掃描 « 了解自身平安狀況,目前面臨的平安威 脅,存在的平安隱患,以及定期的了解存在那 些平安漏洞，新出現(xiàn)的平安問(wèn)題等,都要求信 息系統(tǒng)自身和用戶作好平安評(píng)估。平安評(píng)估主 要分成網(wǎng)絡(luò)平安評(píng)估、主機(jī)平安評(píng)估和數(shù)據(jù)庫(kù) 安舒

9、估三個(gè)層面。內(nèi)聯(lián)網(wǎng)病毒防護(hù)病毒防范是網(wǎng)絡(luò)平安的一個(gè)根本的、重要局部。通過(guò)對(duì)病毒傳播、感染的各種方式和途 徑進(jìn)行分析,結(jié)合集團(tuán)網(wǎng)絡(luò)的特點(diǎn),在網(wǎng)絡(luò)安 - / r. le * * .-全的病毒防護(hù)方面應(yīng)該采用"多級(jí)防范集中 管理以防為主、防治結(jié)合的動(dòng)態(tài)防毒策 略。病毒防護(hù)體系主要由桌面網(wǎng)絡(luò)防毒、月艮務(wù)死* f _ w w .器防毒和郵件防毒三個(gè)方面。增強(qiáng)的身份認(rèn)證系統(tǒng)由于需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備,如 何確?？诹钇桨惨彩且粋€(gè)非常重要的問(wèn)題。減小口令危險(xiǎn)的最為有效的方法是采用雙因素認(rèn) 證方式。雙因素認(rèn)證機(jī)制不僅僅需要用戶提供 k 十 一個(gè)類(lèi)似于口令或者PIN的單一識(shí)別要素,而e * ° e e ®且需要第二個(gè)要素,也即用戶擁有的,通常是 認(rèn)證令牌,這種雙因素認(rèn)證方式提供了比可重 用的口令可靠得多的用戶認(rèn)證級(jí)別。用戶除了 知道他的PIN號(hào)碼外,還必須擁有一個(gè)認(rèn)證令 C ° e r 夕 L牌。而且口令一般是一次性的,這樣每次的口. 令是動(dòng)態(tài)變化的,大大提咼了平安性。統(tǒng)一平安平臺(tái)的建立通過(guò)建立統(tǒng)一的平安管理平臺(tái)(平安運(yùn)行管理中心一SOC),建立起集團(tuán)的平安風(fēng)險(xiǎn)監(jiān)控體 <> ： 系,利于從全局的角度發(fā)現(xiàn)網(wǎng)絡(luò)中存在的平安%