1、海螺集团网络规划方案 2011 北京天融信科技有限公司 - 1 -海螺集团网络规划方案V1.0北京天融信科技有限公司2011 年 5 月海螺集团网络规划方案 2011 北京天融信科技有限公司 - 2 -目 录第一章 前言 31.1 设计原则 .31.2 设计标准 .4第二章 安全需求分析 52.1 网络结构分析 .52.2 典型安全问题 .52.3 安全需求分析 .62.3.1 安全域划分 62.3.2 防火墙安全策略优化 72.3.3 系统安全加固措施 72.3.4 入侵检测和防范措施 72.4 相关标准要求 .82.4.1 访问控制要求 82.4.2 入侵防范要求 8第三章 安全方案设计
2、103.1 安全规划设计图 .103.2 安全措施设计 .123.2.1 安全域划分 123.2.2 安全域边界隔离与访问控制 123.2.3 服务器安全加固措施 133.2.4 终端安全加固 153.2.5 入侵检测和防范措施 153.3 安全部署规划 .163.3.1 防火墙部署设计 163.3.2 入侵检测系统部署设计 17第四章 方案建设效果 19海螺集团网络规划方案 2011 北京天融信科技有限公司 - 3 -第一章 前言1.1 设计原则适度安全原则任何信息系统都不能做到绝对的安全,需要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的
3、复杂性。技术管理并重原则信息安全问题从来就不是单纯的技术问题,也不是单纯的管理问题,专网终端管理同样如此,需要通过管理手段,约束终端适用人员的行为,同时配合技术的检测、控制、审计等手段,对于违反安全策略的用户和行为,予以拒绝,这样才能保障各项管理制度能够有效地执行下去,并产生应有的效果;标准性原则标准性原则往往是信息安全建设中重点考虑的因素,在本方案中,将重点参考等级保护对的一些要求,进行设计,解决在实际应用中的问题;动态调整原则信息安全问题不是静态的,它总是随着组织策略、管理制度、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施;保密性原则本方案应
4、当遵循保密性原则,重点保护政务专网中的重要信息,防止信息通过外联、移动介质等途径泄露出去;成熟性原则本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的。海螺集团网络规划方案 2011 北京天融信科技有限公司 - 4 -1.2 设计标准本方案重点参考以下的的政策和标准:中办200327 号文件(关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知)公通字200466 号文件(关于印发信息安全等级保护工作的实施意见的通知)指导思想公通字200743 号文件(关于印发信息安全等级保护管理办法的通知)等级保护 GB 17859-1999
5、计算机信息系统安全保护等级划分准则GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护实施指南技术方面 GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护基本要求管理方面 ISO/IEC 27001 信息系统安全管理体系标准方案架构 IATF 信息保障技术框架海螺集团网络规划方案 2011 北京天融信科技有限公司 - 5 -第二章 需求分析针对目前的网络现状,以下主要从网络层、应用层、安全策略和管理层面对可能遇到安全风险分别进行分析。2.1 典型安全问题问题 1:ARP 风暴问题整个网络在一个广
6、播域内,随着网络规模的扩大,网络中的广播报文越来越多,当用户感染了 ARP 病毒以后,不断向外发送广播数据包,占用的网络资源越来越多,严重影响网络性能,引起广播风暴问题。问题 2:DOS/DDOS 攻击问题DOS/DDOS 攻击时一种非常有效的攻击方式,能够利用大量的服务请求占用过多的服务资源,从而使合法用户无法得到正常的服务。常见的 DOS/DDOS攻击可分为两类:一类是针对系统或者协议漏洞的攻击,如 ping of death,teardrop 等,另一类是消耗计算机或者网络中有限的资源,占用大量网络宽带,如 udp flood ,syn flood ,icmp flood 等。问题 3
7、终端自身安全带来的安全隐患终端自身的安全问题也将对信息网络造成威胁,比如终端自身已经携带了病毒,终端没有安装防病毒软件,终端的防病毒软件没有及时更新,终端操作系统补丁也没有及时更新等,这些安全问题将对内网其他终端,甚至内网服务器造成很大的麻烦,严重的将导致病毒在网络中的传播,或者终端上携带的蠕虫病毒在网络中大量散播的时候,也将导致交换机的负荷过重,而引起瘫痪。问题 4 服务器安全问题内网的应用服务和内网终端部署在一个交换机上,之间没有任何访问控制措施,应用服务器采用 WIN2003 系统,该系统默认配置安全级别较低,漏洞较多,容易被蠕虫病毒、木马和恶意软件攻击,从而影响其他用户的使用。海螺集团
8、网络规划方案 2011 北京天融信科技有限公司 - 6 -2.2 安全需求分析2.2.1 安全域划分在安全防御体系构建中,我们一般所说的安全域是指网络安全域,即同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。建议在省海螺集团网络中根据实际业务需求划分不同的安全域,通过防火墙进行严格访问控制,实行授权的最小化。安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。2.2.2 防火墙安全策略优化防火墙是互联网和内网之间安全隔离设备,它的作用是通过允许、拒绝或重定向
9、经过防火墙的数据流,防止不希望的、未经授权的通信进出网络,并对网络服务和访问进行审计和控制。 实现这些功能的前提是配置良好的安全策略,经过优化后的防火墙具有较强的抗攻击能力。2.2.3 VPN 互联海螺集团规模庞大,也经常需要与各个下属单位交互信息。同时,集团人员的出差移动办公需求也日益迫切。所有的应用,都离不开一个基本前提:都要先建立一个可以安全的、可靠的、互联互通的基础网络平台。建立这样的基础网络,传统的做法对于大部分企业来讲,无论在建设成本上还是后期维护上,要建立一个物理专网都是比较困难的。随着 Internet 的迅猛发展及 VPN 技术的出现,为集团信息化应用提供了良机和更好的选择。
10、VPN 是利用公共网络资源来构建的虚拟专用网络,它是通过海螺集团网络规划方案 2011 北京天融信科技有限公司 - 7 -特殊设计的硬件或软件直接在共享网络中通过隧道、加密技术来保证用户数据的安全性,提供与专用网络一样的安全和功能保障。使得整个网络在逻辑上成为一个单独的透明内部网络,具有安全性、可靠性和可管理性。今天,VPN 虚拟专用网已经具有与专线几乎相近的稳定性和安全性。海螺集团网络规划方案 2011 北京天融信科技有限公司 - 8 -第三章 访问控制要求a) 应在网络边界部署访问控制设备,启用访问控制功能; b) 应能根据会话状态信息为数据流提供明确的允许/ 拒绝访问的能力,控制粒度为端
11、口级; c) 应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP 、POP3等协议命令级的控制; d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; e) 应限制网络最大流量数及网络连接数; f) 重要网段应采取技术手段防止地址欺骗; g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。海螺集团网络规划方案 2011 北京天融信科技有限公司 - 9 -第四章 安全方案设计4.1 安全规划设计图海螺集团网络规划方案 2011 北京天融信科技有限公司 - 10 -
12、4.2 安全措施设计4.2.1 安全域划分安全域的划分除了需根据业务特点、地域部署方式、管理模式等因素综合考虑划分安全域。按照以上划分方法,安全域的典型划分如下: 服务器域:包括承载关键业务的服务器系统、数据库系统等; 外网组域:包括海螺集团接入互联网终端和访问服务器域资源用户。 内网组域:包括下属单位及员工的接入终端;4.2.2 安全域边界隔离与访问控制在安全域防护过程中,首先要实现的就是区域边界隔离与访问控制,特别是在服务器域、互联网组域和内网组域等区域的边界,应采用专业的边界隔离防护设备,目前天融信防火墙是很好的选择。将防火墙部署于网络安全域之间信息的唯一连接处,根据海螺集团的业务特点、
13、管理制度所制定的安全策略,运用包过滤、代理网关、NAT 转换、IP+MAC 地址绑定等技术,实现对出入各区域网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测) ,控制类别包括 IP 地址、TCP/UDP 端口、协议、服务、连接状态等网络信息的各个方面,可以实现对不良网站的封堵。在这里引入防火墙,重点是要隔离各安全区域的边界,并根据业务类型来限制不同区域之间的访问。海螺集团网络规划方案 2011 北京天融信科技有限公司 - 11 -第五章 方案建设效果本方案采用基于安全域划分和纵深防御理论进行网络域划分和安全防护体系建设,主要效果如下: 可以有效简化网络结构,清晰网络防护边界,简化管理模式,降低维护工作量; 安全域边界是灾难发生时的抑制点,防止影响的扩散; 可以更好的利用系统安全措施,易于实现多种安全手段的协同防御,进一步提升安全设备的效率和效果; 加强了系统的监控和预警能力,通过防火墙的日志功能,可以更直观了解目前系统的安全状况。
