技術(shù)建議書安全解決方案技術(shù)建議書邊界防護(hù)行為監(jiān)管v10

杭州華三通信技術(shù)有限公司 3cXXXXXX網(wǎng)絡(luò)安全建設(shè)技術(shù)建議書2008年2月杭州華三通信技術(shù)有限公司3c目錄1.XX網(wǎng)絡(luò)安全現(xiàn)狀--------------------------------------------------------------------------------------------22.H3C安全解決方案理念-------------------------------------------------------------------------------------42.1.智能安全滲透網(wǎng)絡(luò)——局部安全-------------------------------------------------------------42.2.智能安全滲透網(wǎng)絡(luò)——全局安全-------------------------------------------------------------52.3.智能安全滲透網(wǎng)絡(luò)——智能安全-------------------------------------------------------------53.建設(shè)原則及設(shè)計(jì)思路----------------------------------------------------------------------------------------63.1.安全平臺(tái)設(shè)計(jì)思路-------------------------------------------------------------------------------63.1.1.以安全為核心劃分區(qū)域-------------------------------------------------------------------63.1.2.用防火墻隔離各安全區(qū)域----------------------------------------------------------------73.1.3.對(duì)關(guān)鍵路徑進(jìn)行深入檢測(cè)防護(hù)----------------------------------------------------------83.1.4.對(duì)用戶非法上網(wǎng)行為進(jìn)行識(shí)別和控制-------------------------------------------------83.1.5.對(duì)全網(wǎng)設(shè)備進(jìn)行統(tǒng)一安全管理并進(jìn)行用戶行為審計(jì)-------------------------------93.1.6.根據(jù)實(shí)際需要部署其他安全系統(tǒng)-------------------------------------------------------94.XXXX網(wǎng)絡(luò)安全解決方案---------------------------------------------------------------------------------114.1.1.邊界安全防護(hù)------------------------------------------------------------------------------114.1.2.用戶行為監(jiān)管------------------------------------------------------------------------------124.1.3.統(tǒng)一安全管理中心------------------------------------------------------------------------145.安全管理建議（供參考）----------------------------------------------------------------------------------155.1.安全管理組織結(jié)構(gòu)-----------------------------------------------------------------------------155.1.1.人員需求與技能要求---------------------------------------------------------------------155.1.2.崗位職責(zé)------------------------------------------------------------------------------------155.2.安全管理制度------------------------------------------------------------------------------------165.2.1.業(yè)務(wù)網(wǎng)服務(wù)器上線及日常管理制度---------------------------------------------------165.2.2.安全產(chǎn)品管理制度------------------------------------------------------------------------175.2.3.應(yīng)急響應(yīng)制度------------------------------------------------------------------------------175.2.4.制度運(yùn)行監(jiān)督------------------------------------------------------------------------------171/191杭州華三通信技術(shù)有限公司 3cXX網(wǎng)絡(luò)安全現(xiàn)狀隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，特別是Internet 的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)銀行等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題變得越來越重要。計(jì)算機(jī)網(wǎng)絡(luò)犯罪所造成的經(jīng)濟(jì)損失十分巨大， 僅在美國每年因計(jì)算機(jī)犯罪所造成的直接經(jīng)濟(jì)損失就達(dá) 150億美元以上。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。有近 80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次， 并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)， 所有用戶都會(huì)遭殃。面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。目前，網(wǎng)絡(luò)技術(shù)已在 XX行業(yè)得到了全面應(yīng)用， 大大提高了 XX行業(yè)的業(yè)務(wù)處理效率和管理水平，促成了各項(xiàng)創(chuàng)新的業(yè)務(wù)的開展，改善了整個(gè) XX行業(yè)的經(jīng)營環(huán)境，增強(qiáng)了信息的可靠性，服務(wù)于社會(huì)的手段更趨現(xiàn)代化。但是， 同其他任何行業(yè)一樣，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的陰霾如同網(wǎng)絡(luò)技術(shù)的孿生子，伴隨著網(wǎng)絡(luò)技術(shù)在 XX行業(yè)的全面應(yīng)用而全面籠罩在 XX行業(yè)的每個(gè)業(yè)務(wù)角落。而且，對(duì) XX行業(yè)網(wǎng)絡(luò)系統(tǒng)的攻擊，可能造成國家經(jīng)濟(jì)命脈的癱瘓和國家經(jīng)濟(jì)的崩潰，因此 XX行業(yè)的網(wǎng)絡(luò)安全問題是一個(gè)關(guān)系到國計(jì)民生的重大問題，也是所有網(wǎng)絡(luò)安全廠商非常關(guān)心的問題。目前的主要網(wǎng)絡(luò)安全威脅包括以下方面：非法訪問：現(xiàn)有網(wǎng)絡(luò)系統(tǒng)利用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制， 而這些訪問控制強(qiáng)度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊； 另一方面 XX行業(yè)（如銀行）開發(fā)的很多增值業(yè)務(wù)、 代理業(yè)務(wù)，存在大量與外界互連的接口， 外部網(wǎng)絡(luò)可能會(huì)通過這些接口攻擊銀行，造成巨大損失。失密和竊密：利用搭線竊聽竊收， 使用協(xié)議分析儀器竊收計(jì)算機(jī)系統(tǒng)的操作密碼， 破解系統(tǒng)的核心密碼，竊取用戶帳號(hào)、密碼等；或利用間諜軟件獲得敏感的金融信息。信息篡改：利用信息篡改攻擊手段， 非授權(quán)改變金融交易傳輸過程、 存儲(chǔ)過程中的信息。內(nèi)部人員破壞：內(nèi)部人員熟悉XX行業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用業(yè)務(wù)和薄弱環(huán)節(jié)，可以比較容易地篡改系統(tǒng)數(shù)據(jù)、泄露信息和破壞系統(tǒng)的軟硬件。黑客入侵：利用黑客技術(shù)非法侵入XX行業(yè)的網(wǎng)絡(luò)系統(tǒng)，調(diào)閱各種資料，篡改他人的資料，破壞系統(tǒng)運(yùn)行，或者進(jìn)行有目的的金融犯罪活動(dòng)。2/192杭州華三通信技術(shù)有限公司 3c假冒和偽造：假冒和偽造是XX行業(yè)網(wǎng)絡(luò)系統(tǒng)中經(jīng)常遇見的攻擊手段。如偽造各類業(yè)務(wù)信息，未授權(quán)篡改數(shù)據(jù)，改變業(yè)務(wù)信息流的次序、時(shí)序、流向，破壞金融信息的完整性，假冒合法用戶實(shí)施金融欺詐等。蠕蟲、病毒泛濫：蠕蟲、病毒泛濫可能導(dǎo)致 XX行業(yè)的重要信息遭到損壞，或者導(dǎo)致 XX行業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓，如 2003年初的SQLSlammer蠕蟲，導(dǎo)致了全國金融業(yè)務(wù)的大面積中斷。拒絕服務(wù)：拒絕服務(wù)攻擊使XX行業(yè)的電子商務(wù)網(wǎng)站無法為客戶提供正常服務(wù)，造成經(jīng)濟(jì)損失，同時(shí)也使行業(yè)形象受到損害。用戶非法上網(wǎng)行為：大量 P2P/IM應(yīng)用的泛濫，導(dǎo)致帶寬被占用和網(wǎng)絡(luò)的嚴(yán)重?fù)砣?；同時(shí)上班炒股、網(wǎng)絡(luò)游戲、不良網(wǎng)站訪問等非法行為也導(dǎo)致了員工工作效率下降，并且極易感染蠕蟲和病毒。此外，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，復(fù)雜性不斷增加，異構(gòu)性不斷提高， 用戶對(duì)網(wǎng)絡(luò)性能要求的不斷提高，網(wǎng)絡(luò)安全管理也逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個(gè)極為關(guān)鍵的任務(wù)， 對(duì)網(wǎng)絡(luò)的發(fā)展產(chǎn)生很大的影響， 成為現(xiàn)代信息網(wǎng)絡(luò)中最重要的問題之一。 如果沒有一個(gè)高效和統(tǒng)一的安全管理系統(tǒng)對(duì)網(wǎng)絡(luò)安全進(jìn)行管理， 就很難使管理員對(duì)網(wǎng)絡(luò)的安全狀況有清楚的認(rèn)識(shí)。 因此，找到一種使網(wǎng)絡(luò)運(yùn)作更安全，更實(shí)用，更低廉的解決方案已成為每一個(gè)企業(yè)領(lǐng)導(dǎo)人和網(wǎng)絡(luò)管理人員的迫切要求。3/193杭州華三通信技術(shù)有限公司 3cH3C安全解決方案理念在這種咄咄逼人的安全形勢(shì)下，需要一個(gè)全方位一體化的安全部署方式。 H3C數(shù)據(jù)中心安全解決方案秉承了 H3C一貫倡導(dǎo)的 “智能安全滲透理念 ”，將安全部署滲透到整個(gè)網(wǎng)絡(luò)的設(shè)計(jì)、 部署、運(yùn)維中，為數(shù)據(jù)中心搭建起一個(gè)立體的、 無縫的安全平臺(tái)， 真正做到了使安全貫穿數(shù)據(jù)鏈路層到網(wǎng)絡(luò)應(yīng)用層的目標(biāo)，使安全保護(hù)無處不在。智能安全滲透網(wǎng)絡(luò)（ iSPN）提出了一個(gè)整體安全架構(gòu)，從局部安全、全局安全、智能安全三個(gè)層面，為用戶提供一個(gè)多層次、全方位的立體防護(hù)體系， 使網(wǎng)絡(luò)成為智能化的安全實(shí)體。 局部安全針對(duì)關(guān)鍵問題點(diǎn)進(jìn)行安全部署， 抵御最基礎(chǔ)的安全威脅； 全局安全利用安全策略完成產(chǎn)品間的分工協(xié)作，達(dá)到協(xié)同防御的目的； 智能安全在統(tǒng)一的安全管理平臺(tái)基礎(chǔ)上， 借助于開放融合的大安全模型，將網(wǎng)絡(luò)安全變?yōu)閺母兄巾憫?yīng)的智能實(shí)體。圖1智能安全滲透網(wǎng)絡(luò)結(jié)構(gòu)2.1. 智能安全滲透網(wǎng)絡(luò)——局部安全網(wǎng)絡(luò)安全最基礎(chǔ)的防護(hù)方式是關(guān)鍵點(diǎn)安全， 即對(duì)出現(xiàn)問題的薄弱環(huán)節(jié)或有可能出現(xiàn)問題的節(jié)點(diǎn)部署安全產(chǎn)品，進(jìn)行 2～7層的威脅防范，當(dāng)前企業(yè)絕大部分采用的都是這種單點(diǎn)威脅防御方式。這種局部安全方式簡(jiǎn)單有效并有極強(qiáng)的針對(duì)性， 適合網(wǎng)絡(luò)建設(shè)已經(jīng)比較完善而安全因素考慮不足的情況。在這種方式下， H3C強(qiáng)調(diào)通過“集成”來提供最佳的防御效果，即通過在網(wǎng)絡(luò)產(chǎn)品上集成安全技術(shù)、 在安全產(chǎn)品上集成網(wǎng)絡(luò)技術(shù)以及網(wǎng)絡(luò)與安全的插卡集成等方式， 實(shí)現(xiàn)了安全技4/194杭州華三通信技術(shù)有限公司 3c術(shù)和網(wǎng)絡(luò)技術(shù)在無縫融合上做出的第一步最佳實(shí)踐。2.2. 智能安全滲透網(wǎng)絡(luò)——全局安全由于安全產(chǎn)品種類的不斷豐富， 使得局部安全可以應(yīng)對(duì)企業(yè)的大部分基礎(chǔ)網(wǎng)絡(luò)安全問題。 然而此時(shí)用戶意識(shí)到， 局部安全的防護(hù)手段相對(duì)比較孤立， 只有將產(chǎn)品的相互協(xié)作作為安全規(guī)劃的必備因素，形成整網(wǎng)的安全保護(hù)才能抵御日趨嚴(yán)重的混合型安全威脅。為此， H3C推出了全局安全理念，借助于 IToIP 的網(wǎng)絡(luò)優(yōu)勢(shì)，通過技術(shù)和產(chǎn)品的協(xié)作，將網(wǎng)絡(luò)中的多個(gè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和各組件聯(lián)動(dòng)起來， 并通過多層次的安全策略和流程控制， 向用戶提供端到端的安全解決方案。以H3C的端點(diǎn)準(zhǔn)入防御及安全事件分析機(jī)制為例， 它將計(jì)算機(jī)網(wǎng)絡(luò)、 網(wǎng)絡(luò)上的通用操作系統(tǒng)、 主機(jī)應(yīng)用系統(tǒng)等企業(yè)資源都納入到安全保護(hù)的范疇內(nèi)。 在統(tǒng)一的安全策略下， 利用各部分組件的協(xié)同聯(lián)動(dòng)，保證網(wǎng)絡(luò)各端點(diǎn)的安全性與可控性； 同時(shí)，在統(tǒng)一的平臺(tái)上進(jìn)行安全事件的收集、 整理、分析，可以做到整網(wǎng)安全風(fēng)險(xiǎn)的提前預(yù)防與及時(shí)控制。2.3. 智能安全滲透網(wǎng)絡(luò)——智能安全隨著網(wǎng)絡(luò)建設(shè)的日趨完善， 面向業(yè)務(wù)的安全已經(jīng)成為新的發(fā)展方向。 只有理解企業(yè)業(yè)務(wù)， 將企業(yè)的業(yè)務(wù)需求及流程建設(shè)充分融合到網(wǎng)絡(luò)安全建設(shè)中來， 從信息的計(jì)算、 通信及存儲(chǔ)等信息安全狀態(tài)出發(fā)，以面向應(yīng)用的統(tǒng)一安全平臺(tái)為基礎(chǔ)， 通過安全事件的實(shí)時(shí)感知、 安全策略的動(dòng)態(tài)部署、網(wǎng)絡(luò)安全設(shè)備的自動(dòng)響應(yīng)，將智能的安全融入企業(yè)業(yè)務(wù)流程中，形成開放融合、 相互滲透的安全實(shí)體，才能實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全智能化。 幫助企業(yè)將業(yè)務(wù)信息的所有狀態(tài)都控制在安全管理的范圍內(nèi)，這樣的需求正是智能安全產(chǎn)生的原動(dòng)力。完善的安全管理體制是加強(qiáng)信息系統(tǒng)安全防范的組織保證。 iSPN全局安全管理平臺(tái)可以對(duì)全網(wǎng)的安全信息做到統(tǒng)一管理、 統(tǒng)一下發(fā)安全策略以及統(tǒng)一分析安全數(shù)據(jù)， 保證企業(yè)信息系統(tǒng)的安全運(yùn)行。iSPN全局安全管理平臺(tái)以開放的安全管理中心和智能管理中心為框架，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端、網(wǎng)絡(luò)服務(wù)等納入一個(gè)緊密的統(tǒng)一管理平臺(tái)中， 通過安全策略的集中部署、 安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)， 在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個(gè)智能安全防御體系，大幅度提高企業(yè)網(wǎng)絡(luò)的整體安全防御能力。 H3C全局安全管理平臺(tái)由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個(gè)組件構(gòu)成，與網(wǎng)絡(luò)中的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、用戶終端等獨(dú)立功能部件通過各種信息交互接口形成一個(gè)完整的協(xié)同防御體系。高效的安全解決方案不僅僅在于當(dāng)安全事件發(fā)生時(shí)， 我們能夠迅速察覺、 準(zhǔn)確定位，更重要的是我們能夠及時(shí)制定合理的、 一致的、完備的安全策略， 并最大限度的利用現(xiàn)有網(wǎng)絡(luò)安全資源，通過智能分析和協(xié)同響應(yīng)及時(shí)應(yīng)對(duì)各種真正的網(wǎng)絡(luò)攻擊。在局部安全、全局安全的基礎(chǔ)上， H3CiSPN為實(shí)現(xiàn)這一目標(biāo)而構(gòu)建了專業(yè)安全服務(wù)、 開放應(yīng)用架構(gòu)和可持續(xù)演進(jìn)的全局安全管理平臺(tái)，通過對(duì)防護(hù)、檢測(cè)和響應(yīng)等不同生命周期的各個(gè)安全環(huán)節(jié)進(jìn)行基于策略的管理， 將各種異構(gòu)的安5/195杭州華三通信技術(shù)有限公司 3c全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端和管理員有機(jī)的連接起來， 構(gòu)成了一個(gè)智能的、 聯(lián)動(dòng)的閉環(huán)響應(yīng)體系，可在保護(hù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資的基礎(chǔ)上有效應(yīng)對(duì)新的安全威脅、 大幅提升對(duì)企業(yè)基礎(chǔ)業(yè)務(wù)的安全保障。 H3C將以全新的 iSPN理念配合先進(jìn)的產(chǎn)品技術(shù)與日趨完善的面向應(yīng)用解決方案，為企業(yè)打造一個(gè)領(lǐng)先的、全面的、可信賴的 IP安全平臺(tái)。建設(shè)原則及設(shè)計(jì)思路3.1. 安全平臺(tái)設(shè)計(jì)思路XXXXXX的網(wǎng)絡(luò)應(yīng)用對(duì)安全的要求比較高， 根據(jù)對(duì)XXXXXX網(wǎng)絡(luò)和應(yīng)用的理解， 結(jié)合在XX行業(yè)的成功經(jīng)驗(yàn)，提出了如下安全建設(shè)思路。3.1.1. 以安全為核心劃分區(qū)域現(xiàn)有網(wǎng)絡(luò)大多是以連通性作為中心進(jìn)行設(shè)計(jì)的，而很少考慮安全性。例如最典型的網(wǎng)絡(luò)三層架構(gòu)模型（核心層、匯聚層、接入層架構(gòu)）中，網(wǎng)絡(luò)是向核心層集中的而并沒有考慮同一層不同節(jié)點(diǎn)之間的安全隔離問題。 而在網(wǎng)絡(luò)安全改造中首先需要改變的就是將以連通性為中心的設(shè)計(jì)思路轉(zhuǎn)變?yōu)橐园踩珵橹行牡脑O(shè)計(jì)思路。并按照以安全為核心的設(shè)計(jì)思路的要求對(duì)網(wǎng)絡(luò)進(jìn)行重新設(shè)計(jì)。所謂以安全為核心的設(shè)計(jì)思路就是要求在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)，首先根據(jù)現(xiàn)有以及未來的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)模式，將網(wǎng)絡(luò)分為不同的安全區(qū)域，在不同的安全區(qū)域之間進(jìn)行某種形式的安全隔離，比如采用防火墻隔離業(yè)務(wù)網(wǎng)和辦公網(wǎng)。針對(duì)XXXXX網(wǎng)絡(luò)安全實(shí)際情況，可劃分出不同的安全分區(qū)級(jí)別，詳細(xì)定義如下：DMZ區(qū)：DMZ區(qū)包括省級(jí)網(wǎng)絡(luò)連接貴州省電子政務(wù)網(wǎng)區(qū)域、INTERNET服務(wù)區(qū)以及貴州省勞動(dòng)和社會(huì)保障廳對(duì)社會(huì)公眾提供服務(wù)的服務(wù)群（如：對(duì)外發(fā)布系統(tǒng)服務(wù)器區(qū)等），該區(qū)域都是暴露在外面的系統(tǒng)，因此，對(duì)安全級(jí)別要求比較高?；ヂ?lián)網(wǎng)服務(wù)區(qū)：互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)集合構(gòu)成的安全區(qū)域，主要實(shí)現(xiàn)公開網(wǎng)站、外部郵件系統(tǒng)、遠(yuǎn)程辦公用戶、部分分支機(jī)構(gòu)以及部分合作伙伴的 VPN接入等功能。遠(yuǎn)程接入?yún)^(qū)：合作業(yè)務(wù)應(yīng)用系統(tǒng)集合構(gòu)成的安全區(qū)域，主要實(shí)現(xiàn)與原材料供應(yīng)商、渠道商等合作伙伴的業(yè)務(wù)應(yīng)用功能。 考慮到部分合作伙伴會(huì)采用 VPN方式接入，基于安全性考慮，其與互聯(lián)網(wǎng)服務(wù)區(qū)應(yīng)該有獨(dú)立的物理連接。根據(jù)應(yīng)用要求，可以進(jìn)一步劃分為互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、 VPN接入?yún)^(qū)等。廣域網(wǎng)分區(qū)：在之前的網(wǎng)絡(luò)建設(shè)中，企業(yè)通過專線連接國內(nèi)的分支機(jī)構(gòu)。廣域網(wǎng)6/196杭州華三通信技術(shù)有限公司 3c連接區(qū)就是專線網(wǎng)絡(luò)的鏈路及全部路由器構(gòu)成的安全區(qū)域，這一安全區(qū)域內(nèi)部沒有具體的應(yīng)用系統(tǒng)，主要實(shí)現(xiàn)網(wǎng)絡(luò)連接功能，定義這一安全區(qū)域是為了方便網(wǎng)絡(luò)管理。數(shù)據(jù)中心區(qū)：由貴州省金保業(yè)務(wù)服務(wù)區(qū)服務(wù)群構(gòu)成，是貴州省金保一切業(yè)務(wù)應(yīng)用活動(dòng)的基礎(chǔ)，包括生產(chǎn)區(qū)、交換區(qū)、決策區(qū)。這個(gè)區(qū)域的安全性要求最高，對(duì)業(yè)務(wù)連續(xù)性要求也最高。要求不能隨便進(jìn)行任何可能影響業(yè)務(wù)的操作，包括為服務(wù)器打補(bǔ)丁，管理起來也最為復(fù)雜。網(wǎng)絡(luò)管理區(qū)：網(wǎng)絡(luò)管理員及網(wǎng)管應(yīng)用系統(tǒng)構(gòu)成的安全區(qū)域，一切網(wǎng)絡(luò)及安全的管理和維護(hù)工作都在這一區(qū)域完成。網(wǎng)絡(luò)管理區(qū)域的資產(chǎn)在定義中屬于支撐部門資產(chǎn)集合，但是鑒于網(wǎng)絡(luò)管理的特殊性，將這一部分資產(chǎn)獨(dú)立設(shè)置安全區(qū)域。內(nèi)部辦公區(qū)：數(shù)據(jù)中心內(nèi)部辦公計(jì)算機(jī)構(gòu)成的安全區(qū)域。安全性和業(yè)務(wù)持續(xù)性要求最低，管理難度大，最容易遭受蠕蟲的威脅。3.1.2. 用防火墻隔離各安全區(qū)域防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口， 能根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。 它是提供信息安全服務(wù)， 實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上， 防火墻是一個(gè)分離器、限制器和分析器， 可以有效監(jiān)不同安全網(wǎng)絡(luò)之間的任何活動(dòng)。防火墻在網(wǎng)絡(luò)間實(shí)現(xiàn)訪問控制， 比如一個(gè)是用戶的安全網(wǎng)絡(luò)， 稱之為‘被信任應(yīng)受保護(hù)的網(wǎng)絡(luò)’，另外一個(gè)是其它的非安全網(wǎng)絡(luò)稱為‘某個(gè)不被信任并且不需要保護(hù)的網(wǎng)7/197杭州華三通信技術(shù)有限公司 3c絡(luò)’。防火墻就位于一個(gè)受信任的網(wǎng)絡(luò)和一個(gè)不受信任的網(wǎng)絡(luò)之間，通過一系列的安全手段來保護(hù)受信任網(wǎng)絡(luò)上的信息。3.1.3. 對(duì)關(guān)鍵路徑進(jìn)行深入檢測(cè)防護(hù)雖然，網(wǎng)絡(luò)中已部署了防火墻等基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品，但是，在網(wǎng)絡(luò)的運(yùn)行維護(hù)中， IT部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、 而應(yīng)用系統(tǒng)的響應(yīng)速度越來越慢。 產(chǎn)生這個(gè)問題的原因并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周，而是自 2003年以來，蠕蟲、點(diǎn)到點(diǎn)，入侵技術(shù)日益滋長并演變到應(yīng)用層面（ L7）的結(jié)果，而這些有害代碼總是偽裝成客戶正常業(yè)務(wù)進(jìn)行傳播， 目前部署的防火墻等安全產(chǎn)品其軟硬件設(shè)計(jì)當(dāng)初僅按照其工作在 L2-L4時(shí)的情況考慮，不具有對(duì)數(shù)據(jù)流進(jìn)行綜合、 深度監(jiān)測(cè)的能力， 自然就無法有效識(shí)別偽裝成正常業(yè)務(wù)的非法流量， 結(jié)果蠕蟲、攻擊、間諜軟件、點(diǎn)到點(diǎn)應(yīng)用等非法流量輕而易舉地通過防火墻開放的端口進(jìn)出網(wǎng)絡(luò)。因此在關(guān)鍵路徑上部署獨(dú)立的具有深度檢測(cè)防御的 IPS（入侵防御系統(tǒng)）就顯得非常重要。深度檢測(cè)防御是為了檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為。 一般認(rèn)為違反安全策略的行為有：入侵——非法用戶的違規(guī)行為；濫用——用戶的違規(guī)行為；深度檢測(cè)防御識(shí)別出任何不希望有的活動(dòng)， 從而限制這些活動(dòng)， 以保護(hù)系統(tǒng)的安全。 深度檢測(cè)防御的應(yīng)用目的是在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前， 檢測(cè)到入侵攻擊， 并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。3.1.4. 對(duì)用戶非法上網(wǎng)行為進(jìn)行識(shí)別和控制目前網(wǎng)絡(luò)各種應(yīng)用越來越豐富， 但是對(duì)于一個(gè)網(wǎng)絡(luò)的管理員而言， 非法的、未受控的應(yīng)用，會(huì)擠占合法應(yīng)用帶寬， 同時(shí)影響企業(yè)員工的整體生產(chǎn)率， 這些應(yīng)用必須被識(shí)別并加以控制。比如在企業(yè)網(wǎng)、校園網(wǎng)中， P2P下載、娛樂類應(yīng)用占用了大量的帶寬，對(duì)這些機(jī)構(gòu)正常的業(yè)務(wù)影響極大； 另一方面，企業(yè)員工或高校學(xué)生， 把工作或?qū)W習(xí)時(shí)間消耗在一些不必要甚至非法的網(wǎng)絡(luò)活動(dòng)上， 大大影響了工作和學(xué)習(xí)效率。 通過應(yīng)用識(shí)別技術(shù)， 可把各種應(yīng)用及其行為置于明確的可管理的前提下，并通過阻斷、限流等手段實(shí)現(xiàn)應(yīng)用控制。8/198杭州華三通信技術(shù)有限公司 3c3.1.5. 對(duì)全網(wǎng)設(shè)備進(jìn)行統(tǒng)一安全管理并進(jìn)行用戶行為審計(jì)日益嚴(yán)峻的安全威脅迫使企業(yè)不得不加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)， 不斷追求多層次、立體化的安全防御體系，逐步引入了防病毒、防火墻、 IPS/IDS、VPN等大量異構(gòu)的單點(diǎn)安全防御技術(shù)，再加上交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。然而，現(xiàn)有網(wǎng)絡(luò)安全防御體系還是以孤立的單點(diǎn)防御為主， 彼此間缺乏有效的協(xié)作， 不同的設(shè)備之間的信息也無法共享，從而形成了一個(gè)個(gè)安全的“信息孤島” 。通過統(tǒng)一安全管理平臺(tái)，可以對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等進(jìn)行統(tǒng)一管理，收集相關(guān)信息，進(jìn)行關(guān)聯(lián)分析，形成安全事件報(bào)表輸出，并且針對(duì)用戶行為輸出審計(jì)報(bào)告， 有效的幫助管理員了解網(wǎng)絡(luò)中的安全現(xiàn)狀與風(fēng)險(xiǎn)，提供相關(guān)解決辦法和建議。3.1.6. 根據(jù)實(shí)際需要部署其他安全系統(tǒng)以上的安全系統(tǒng)部署基本可以涵蓋一般性網(wǎng)絡(luò)安全需求，但是很多特殊的應(yīng)用也需要特別的應(yīng)用保護(hù)系統(tǒng)。此外管理員也需要一些其他的安全工具對(duì)網(wǎng)絡(luò)安全運(yùn)行進(jìn)行審計(jì)評(píng)估等操作。在XXXXXX網(wǎng)絡(luò)中，還需要以下安全系統(tǒng)和安全工具：補(bǔ)丁管理系統(tǒng)從公開的統(tǒng)計(jì)資料可以看到，在 2003年全球有80%的大型企業(yè)遭受病毒感染而使得業(yè)務(wù)系統(tǒng)運(yùn)作受到干擾， 即使這些大型企業(yè)已經(jīng)具備了良好的邊界安全措施， 也普遍部署了病毒防御機(jī)制。造成困境的原因， 一方面當(dāng)然是由于現(xiàn)有防御體系的缺陷， 是由于現(xiàn)有的邊界防御、基于簽名的入侵檢測(cè)和防病毒系統(tǒng)從原理上就決定了其不擅長對(duì)付基于漏洞進(jìn)行感染的病毒，單單具備這些措施，不足以遏制病毒的泛濫。另一方面， 也是由于基于漏洞進(jìn)行感染的病毒傳播速度極快， 以至來不及采取措施， 病毒就已經(jīng)大規(guī)模爆發(fā)了。 這恰好說明企業(yè)需要一些應(yīng)付這種情況的措施，最好在病毒前面就消滅漏洞隱患，杜絕病毒傳播的可能。補(bǔ)丁管理就是這一思想的產(chǎn)物，因?yàn)樗脑砭褪菍?duì)軟件進(jìn)行修補(bǔ)從而根本上消滅漏洞，杜絕了病毒利用漏洞的可能。漏洞掃描工具9/199杭州華三通信技術(shù)有限公司 3c如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、 應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)； 另外，由于管理員的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對(duì)于系統(tǒng)的威脅同樣很嚴(yán)重。一般來說，最有效的方法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析， 及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞，保證系統(tǒng)的安全性。因此 XXXXXX需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的工具，以保證整體網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全。網(wǎng)絡(luò)流量監(jiān)測(cè)與審計(jì)對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)和分析是十分必要的，尤其是在大型的網(wǎng)絡(luò)環(huán)境中。利用網(wǎng)絡(luò)流量監(jiān)測(cè)與分析系統(tǒng)可以實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量峰值，以及方便管理員根據(jù)分析報(bào)告來排除網(wǎng)絡(luò)故障，所以目前很多的大型企業(yè)都部署了專業(yè)的網(wǎng)絡(luò)流量監(jiān)測(cè)與分析系統(tǒng)。10/1910杭州華三通信技術(shù)有限公司 3cXXXX網(wǎng)絡(luò)安全解決方案在XXXX總體安全規(guī)劃設(shè)計(jì)中，我們將按照安全風(fēng)險(xiǎn)防護(hù)與安全投資之間的平衡原則（主要包括層次化的綜合防護(hù)原則和不同層次重點(diǎn)防護(hù)原則），提出以下的安全風(fēng)險(xiǎn)和防護(hù)措施，從而建立起全防御體系的信息安全框架。4.1.1. 邊界安全防護(hù)XXXXX網(wǎng)絡(luò)包括了省中心、地市中心、縣級(jí)中心、外聯(lián)單位等不同級(jí)別的安全區(qū)域，由于各區(qū)域的管理員和使用者安全防護(hù)能力參差不齊， 如有防護(hù)不當(dāng)，極有可能由于個(gè)別的漏洞而導(dǎo)致整個(gè)網(wǎng)絡(luò)的崩潰，因此針對(duì)這些區(qū)域的安全防護(hù)是要考慮的重點(diǎn)內(nèi)容。同時(shí)，縱向業(yè)務(wù)網(wǎng)與將來建設(shè)的縱向辦公網(wǎng)的數(shù)據(jù)互聯(lián)接口通過省中心完成， 兩個(gè)網(wǎng)絡(luò)采用統(tǒng)一接口的方式互聯(lián)?？紤]到縱向辦公網(wǎng)將來會(huì)預(yù)留與 Internet 的接口，縱向業(yè)務(wù)網(wǎng)在物理上與辦公網(wǎng)互聯(lián)就導(dǎo)致了業(yè)務(wù)網(wǎng)間接的暴露在 Internet 環(huán)境下。分析目前主要的安全威脅狀況，要求XXXXX縱向業(yè)務(wù)網(wǎng)與辦公網(wǎng)的接口區(qū)域安全設(shè)備的部署可以提供以下功能：采用在線模式部署在優(yōu)先保證業(yè)務(wù)持續(xù)的基礎(chǔ)上提供全面的防護(hù)；基于狀態(tài)的鏈路檢測(cè)功能；能夠有效抵御 DoS/DDoS攻擊；對(duì)網(wǎng)絡(luò)蠕蟲病毒進(jìn)行有效防護(hù)；可以針對(duì)數(shù)據(jù)進(jìn)行 2~7層的深度安全防護(hù)；監(jiān)控并屏蔽惡意軟件；提供對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)、鏈路的保護(hù)；能夠抵御 ZeroDayAttack ；具備實(shí)時(shí)的升級(jí)特性；提供可供分析的標(biāo)準(zhǔn)日志結(jié)構(gòu)；11/1911杭州華三通信技術(shù)有限公司 3c便捷的統(tǒng)一的管理；保護(hù)有效數(shù)據(jù)帶寬，針對(duì) P2P協(xié)議對(duì)數(shù)據(jù)流可以靈活控制帶寬；根據(jù)以上要求，這里采用防火墻設(shè)備和入侵抵御設(shè)備（ IPS）共同部署完成互聯(lián)接口區(qū)域的安全保護(hù)。具體部署見下圖。圖XXXXXX互聯(lián)接口區(qū)域安全拓?fù)涫疽鈭D在網(wǎng)絡(luò)出口處部署兩臺(tái) SecPath千兆防火墻，通過包過濾和狀態(tài)檢測(cè)技術(shù)實(shí)現(xiàn)安全區(qū)域的劃分和邊界的隔離， 同時(shí)，SecPath防火墻支持 H3COAA開放應(yīng)用架構(gòu)，可在設(shè)備上部署防病毒、網(wǎng)流分析等業(yè)務(wù)模塊，成為智能開放的應(yīng)用平臺(tái)；在數(shù)據(jù)中心、 DMZ等安全區(qū)域前，各部署一臺(tái) SecPathIPS設(shè)備或SecBladeIPS插卡。SecPath/SecBladeIPS 是業(yè)界唯一集成漏洞庫、專業(yè)病毒庫、協(xié)議庫的 IPS產(chǎn)品，特征庫數(shù)量已達(dá)上萬種，并保持不斷更新，能精確實(shí)時(shí)地識(shí)別并防御蠕蟲、病毒、木馬、 DDoS等網(wǎng)絡(luò)攻擊，細(xì)粒度地控制 P2P/IM造成的帶寬濫用。通過對(duì)防火墻和 IPS的有機(jī)結(jié)合和功能互補(bǔ)， 為用戶提供 2-7層的全面安全防護(hù)， 有效的抵御來自網(wǎng)絡(luò)邊界的各種安全風(fēng)險(xiǎn)。4.1.2. 用戶行為監(jiān)管網(wǎng)絡(luò)應(yīng)用層出不窮， 在大大提升了用戶的工作效率的同時(shí)也帶來許多負(fù)面影響， 針對(duì)用12/1912杭州華三通信技術(shù)有限公司 3c戶行為控制的解決方案，需要能夠解決以下問題：?jiǎn)T工通過 P2P下載電影造成網(wǎng)絡(luò)速度變慢，怎么解決員工工作時(shí)間炒股、打游戲、聊天造成工作效率的下降，怎么解決用戶訪問非法網(wǎng)站易感染病毒，如何控制根據(jù)以上要求，采用H3CACG（應(yīng)用控制網(wǎng)關(guān)）可以有效的解決用戶上網(wǎng)行為的問題，部署方式如下圖所示：圖XXXXXX互聯(lián)安全拓?fù)涫疽鈭D通過在互聯(lián)網(wǎng)出口處部署一臺(tái) SecPath ACG網(wǎng)關(guān)，通過在 ACG應(yīng)用控制網(wǎng)關(guān)，可精確識(shí)別BT、電驢、迅雷、MSN、QQ、YahooMessenger 、PPLive等近百種 P2P/IM應(yīng)用，可基于時(shí)間、用戶、區(qū)域、應(yīng)用協(xié)議，通過告警、限速、阻斷等手段進(jìn)行靈活控制，保證網(wǎng)速的正常和業(yè)務(wù)不被影響。ACG采用先進(jìn)的分析技術(shù)，能對(duì)網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)游戲、炒股等應(yīng)用進(jìn)行識(shí)別與控制，通過URL過濾、關(guān)鍵字過濾、內(nèi)容過濾等多種訪問控制策略，控制非法應(yīng)用，過濾非法網(wǎng)站，規(guī)范用戶上網(wǎng)行為，提高員工工作效率。通過在管理區(qū)部署一臺(tái) SecCenter A1000（安全管理中心），可以對(duì) ACG進(jìn)行圖形化的策略配置，根據(jù)不同用戶定制不同安全策略， 并采集網(wǎng)絡(luò)設(shè)備、 安全設(shè)備和服務(wù)器的安全13/1913杭州華三通信技術(shù)有限公司 3c日志，結(jié)合 ACG記錄的用戶應(yīng)用訪問信息，實(shí)時(shí)輸出審計(jì)報(bào)告。當(dāng)發(fā)生安全事故后，可以根據(jù)記錄的信息對(duì)用戶既往行為進(jìn)行分析和追根朔源，對(duì)潛在的破壞者可起到威懾作用。4.1.3. 統(tǒng)一安全管理中心為了保證部署的硬件設(shè)備和安全軟件能夠統(tǒng)一的為網(wǎng)絡(luò)安全服務(wù)，必須要求對(duì)全網(wǎng)設(shè)備，包括主機(jī)和數(shù)據(jù)交互設(shè)備進(jìn)行統(tǒng)一的日志收集和日志分析。這樣就要求必須在網(wǎng)絡(luò)當(dāng)中部署安全管理中心來完成統(tǒng)一的策略規(guī)劃和分析。安全管理中心并不是一個(gè)威脅抵御的直接發(fā)起者，而是一個(gè)系統(tǒng)規(guī)劃的首腦。所以要求安全管理中心可以提供以下功能：旁路部署模式，不影響正常業(yè)務(wù)和造成瓶頸；具有廣泛的日志采集功能，要求可以對(duì)網(wǎng)絡(luò)當(dāng)中的所有設(shè)備（防火墻、 IPS、交換機(jī)、路由器、PC、Server等）進(jìn)行日志分析；采用先進(jìn)的關(guān)聯(lián)算法，能夠?qū)θ罩緮?shù)據(jù)按照不同的關(guān)聯(lián)組合進(jìn)行分析；對(duì)安全威脅的實(shí)時(shí)監(jiān)控功能；對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)控功能；可支持多家廠商的設(shè)備日志采集；提供拓?fù)浒l(fā)現(xiàn)功能，并能夠準(zhǔn)確迅速的根據(jù)日志定為網(wǎng)絡(luò)故障；對(duì)網(wǎng)絡(luò)故障提供多種迅速的告警機(jī)制；具有完善的安全審計(jì)功能；對(duì)歷史數(shù)據(jù)進(jìn)行壓縮并可提供高效的查詢機(jī)制；根據(jù)需要提供多種報(bào)表；根據(jù)需求可分步實(shí)施的靈活部署方式；根據(jù)以上需求，這里采用一臺(tái)安全管理中心作為整個(gè)網(wǎng)絡(luò)的安全管理中心， 對(duì)全網(wǎng)設(shè)備進(jìn)行日志分析，幫助定制安全策略。 僅僅需要路由可達(dá)即可完成上述功能， 部署位置相對(duì)靈14/1914杭州華三通信技術(shù)有限公司 3c活，建議可以和網(wǎng)絡(luò)管理軟件服務(wù)器部署在一起，以方便硬件的管理。安全管理建議（供參考）5.1.安全管理組織結(jié)構(gòu)5.1.1.人員需求與技能要求安全總監(jiān)CSO一人，熟悉信息技術(shù)和信息安全，有5年以上整個(gè)機(jī)構(gòu)信息技術(shù)和安全管理經(jīng)驗(yàn)。經(jīng)理一人，熟悉信息技術(shù)和信息安全，具有2年以上部門級(jí)信息安全技術(shù)和管理經(jīng)驗(yàn)；安全專員四人，精通各種需要的安全工具的使用，認(rèn)真、細(xì)心、負(fù)責(zé)。網(wǎng)絡(luò)小組二人，精通網(wǎng)絡(luò)和各種安全工具的使用。系統(tǒng)小組二人，精通操作系統(tǒng)和安全工具的使用。5.1.2. 崗位職責(zé)1、總經(jīng)理職責(zé)為整個(gè)機(jī)構(gòu)的安全管理活動(dòng)提供必要的人力、物力、財(cái)力等方面的資源支持。負(fù)責(zé)主持年度安全管理評(píng)審活動(dòng)。2、安全總監(jiān)職責(zé)負(fù)責(zé)整個(gè)機(jī)構(gòu)信息