某某集团信息安全建设项目设计方案

信息系统安全建设建议 方案 第 页 共 50 页 1 某某集团 信息安全建设 项目设计方案 1、 概述 同时随着全球化和网络化，全球信息化建设的加快对我国的影响越来越大 ,网络 的飞速发展以及企业对计算机的依赖性逐渐增强，随之而来的网络信息安全问题日益突出。据美国计，美国每年因网络信息安全问题所造成的经济损失高达 75 亿美元，而全球平均每20 秒钟就发生一起 网络 计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏给企业造成的损失令人触目惊心。网络防黑客、防病毒等安全问题也必须引起相关企业、事业单位 的重视。 近两年来，黑客攻击、网络病毒等等已经屡见不鲜，而且一次比一次 破坏力大，对网络信息安全造成的威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。 由于利益的驱使，针对信息系统的安全威胁越来越多， 为了有效防范和化解风险，保证*集团 信息系统平稳运行和业务持续开展，须建立 *集团 的信息安全保障体系， 抵御外来和内在的信息安全威胁， 提升整体信息安全管理水平和抗风险能力， 以增强 *集团 的信息安全风险防范能力。 根据 *集团 网络 信息 系统 的安全现状 和基本安全构想，设计 了以下 网络信息安全 建议方案，以此来保障 *集团 网络信息系统 的有效运维和信息 资源的安全性、可用性和完整性（ 性） 。 本项目具体的 网络信息安全 目标即： 建立一个安全屏障，保护 *集团 的网络信息系统 不受来自网络开放所带来的 网络信息安全 问题的影响，和通信数据 安全的非法破坏。 对内是要建立一个安全堡垒，控制网络内部用户非授权通信和进行的一些有意的、无意的破坏活动，保证网络 系统信息 平台和应用系统平台的正常运行。 通过系统的信息安全体系规划和建设，加强内部控制和内部管理，降低运营风险，建立高效、统一、运转协调的管理体制。 信息系统安全建设建议 方案 第 页 共 50 页 2 2、 网络现状 网络现状 *集团 已经配置了当务之急的 网络系统设备和基本的 技术防范设备， 如路由器、交换机 、防病毒软件等，如并制定了较 为 详细具体的管理制度，对管理人员也作了细致的分工；系统与外部网络已经实现了 逻辑 隔离；系统内 部也 划分了 基本的安全域 ；系统安全策略已基本 形成并趋于健全 。目前的拓扑示意图如下： 网络 现状 拓扑示意图 分 / 子 公 司 分 / 子 公 司 分 / 子 公 司河 南北 京互 联 网3、 信息 安全 分析 资产 在本方案中， *集团 网络的相关资产包括： 有形资产： 有通信基础设备、网络设备（路由器、交换机、防火墙等）、主机（含外购的操作系统、数据库管理系统、邮件服务器等）、外围设备、存储设备、数据介质等构成的 撑系 统； 信息系统安全建设建议 方案 第 页 共 50 页 3 无形资产： 业务系统，业务数据，数字化的业务相关信息与知识（以文档或程序的形式存在）。 本次 *集团 网络信息安全 建设 的内容就在于保障上述有形及无形资产。 弱点 资产包括有形资产和无形资产两部分，相应的弱点主要包括： 通信基础设施、网络设备、主机、外围设备、存储设备、数据介质等“硬件”的物理安全弱点。主要 包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等 ； 主机、可管理的网络设备等包含可设置的“软件”的资产的安全弱点（这些弱点的原因可能是软件缺陷，也可能是配置不当或者人员使用 不当）； 保存在数据介质中的业务数据、数字化的业务相关信息与知识的安全弱点。 人的脆弱性：人的安全意识不足导致的各种被攻击可能，如接受未知数据，设置弱口令等。 安全技术的脆弱性：操作系统和数据库的安全脆弱性，系统配置的安全脆弱性，访问控制机制的安全脆弱性，测评和认证的脆弱性。 运行的脆弱性：监控系统的脆弱性，无入侵检测设备，响应和恢复机制的不完善。 威胁 威胁就是将会对资产造成不利影响的潜在的事件或行为，包括自然的、故意的以及偶然的情况。威胁至少包含以下属性：动机（自然威胁除外）、能力、影响方式等。可以说 威胁是不可避免的，我们必须采取有效的措施，降低各种情况造成的威胁。 动攻击产生的威胁 1、 网络和基础设施的被动攻击威胁 局域网 /骨干网线路的窃听；监视没被保护的通信线路；破译弱保护的通信线路信息；信息流量分析；利用被动攻击为主动攻击创造条件以便对网络基础设施设备进行破信息系统安全建设建议 方案 第 页 共 50 页 4 坏，如截获用户的账号或密码以便对网络设备进行破坏；机房和处理信息终端的电磁泄露。 2、 区域边界 /外部连接的被动攻击威胁 截取末受保护的网络信息；流量分析攻击；远程接入连接。 3、 计算环境的被动攻击威胁 获取鉴别信息和控制信息；获取明文或解密弱密文实施重 放攻击。 4、 支持性基础设施的被动攻击威胁 机房和处理信息终端的信息电磁泄露；获取鉴别信息和控制信息。 动攻击产生的威胁 1、 对网络和基础设施的主动攻击威胁 一是可用带宽的损失攻击，如网络阻塞攻击、扩散攻击等。二是网络管理通讯混乱使网络基础设施失去控制的攻击。最严重的网络攻击是使网络基础设施运行控制失灵。如对网络运行和设备之间通信的直接攻击，它企图切断网管人员与基础设施的设备之间的通信，比如切断网管人员与交换机、路由器之间的通信，使网管人员失去对它们的控制。三是网络管理通信的中断攻击，它是通过攻击网络底层设备的 控制信号来干扰网络传输的用户信息；引入病毒攻击；引入恶意代码攻击。 2、 对信息系统及数据主动攻击威胁 试图阻断或攻破保护机制 (内网或外网 )；偷窃或篡改信息；利用社会工程攻击欺骗合法用户 (如匿名询问合法用户账号 )；伪装成合法用户和服务器进行攻击； 址欺骗攻击；拒绝服务攻击；利用协议和基础设施的安全漏洞进行攻击；利用远程接入用户对内网进行攻击；建立非授权的网络连接；监测远程用户链路、修改传输数据；解读未加密或弱加密的传输信息；恶意代码和病毒攻击。 3、 计算环境的主动攻击威胁 引入病毒攻击；引入恶意代码攻击；冒充超级 用户或其他合法用户；拒绝服务和数据的篡改；伪装成合法用户和服务器进行攻击；利用配置漏洞进行攻击；利用系统脆弱性 (操作系统安全脆弱性、数据库安全脆弱性 )实施攻击；利用服务器的安全脆弱性进行攻击；利用应用系统安全脆弱性进行攻击。 4、 支持性基础设施的主动攻击威胁 信息系统安全建设建议 方案 第 页 共 50 页 5 对未加密或弱加密的通信线路的搭线窃听；用获取包含错误信息的证书进行伪装攻击；拒绝服务攻击 (如攻击目录服务等 )；中间攻击；攻击 取对用户私钥的访问、在支持性基础设施的组件中引入恶意代码攻击、在密钥分发期间对密钥实施攻击、对钥实施密码攻击、对密钥 恢复后的密钥进行末授权访问、在用户认证期间使用户不能生成失效信息；利用备份信息进行攻击。 自内部的安全威胁分析 1. 内部网络的失误操作行为 由于人员的技术水平的局限性以及经验的不足， 或对 网络信息安全 的漫不经心或者误操作可能会出现各种意想不到的 失误，势必对系统或者网络的安全产生较大的影响。鉴于现在很多网络病毒通过邮件方式进行传播，如果内部办公人员不小心打开某个带有病毒或“特洛伊木马”程序的邮件附件，而有部分员工设置的机器密码不符合密码设置的安全规定，或者未及时为主机和 打上 么 *集团 网络系统的稳定就受到了极大的威胁； 2. 源自内部网络的恶意攻击与破坏 据统计，有 70%的网络攻击来自于网络的内部。对于网络内部的安全防范会明显的弱于对于网络外部的安全防范，而且由于内部人员对于内部网络的熟悉程度一般是很高的，所以，由网络内部发起的攻击也就必然更容易成功，因此一旦攻击成功，其强烈的攻击目的也就必然促使了更为隐蔽和严重的网络破坏。 3. 来自邮件、网页、便携机、可移动存储设备的蠕虫、病毒以及恶意代码 由于 *集团 的核心业务系统与办公用机处于一个安全域内，一旦某台办公用机被侵入，整个 *集团 的网络、系 统及应用都会很快被波及； 4. 自然灾害、火灾、水灾等人力不可抗拒因素。 络病毒威胁 在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点，网络病毒的这些新的特点都会对网络与应用造成极大的威胁。 1. 传播的形式复杂多样 信息系统安全建设建议 方案 第 页 共 50 页 6 计算机病毒在网络上一般是通过“工作站 工作站”的途径进行传播的，但传播的形式复杂多样，通过网络共享、服务漏洞、电子邮件等多种方式进行传播。 2. 病毒的智能化程序越来越高 网络病毒可以利用系统的漏洞进行传播或攻击；在携带特洛伊木马程序进行对系 统进行远程破坏与控制；自身就有木马功能，为系统开后门；散播拒绝服务攻击点，对目标采取分布式拒绝服务攻击等等。 3. 难于彻底清除 智能化的网络病毒既可以像传统病毒一下感染服务器或客户端主机的应用文件系统，也兼具网络黑客技术的特点，通过各种途径破坏服务器或客户机的重要数据，通过电子邮件系统散播恶意代码，设置系统后门，窃取系统的重要数据与机密信息等。病毒要完成这些复杂的动作，就要对系统进行比较复杂的设置，对系统的影响也比较大，仅有防病毒软件很难彻底地从系统上将病毒清除掉。 4. 破坏性大 网络上病毒将直接影响网络的工作，轻 则降低速度，影响工作效率，重则使网络崩溃， 破坏服务器信息，造成巨大的直接和间接的经济损失。 风险 由于 网络信息安全 是一个系统工程，网络上的攻击行为和方法也急剧增长，造成的安全损失也越来越大，因此我们从黑客攻击以及网络蠕虫病毒的角度对 *集团 面临的威胁进行全面的分析，就是为了减少对其的安全威胁，把 *集团 面临的安全风险控制在可接受的最理想的范围内。 从 *集团 的网络结构来看， 目前 所面临的主要问题 可以 简要归纳 为： 网段之间边界不够清晰，控制力度弱，病毒、攻击等安全事件容易扩散； 多数业务网段间仅采用 离，存在较大风险； 终端与重要服务器处于同一逻辑区域，重要信息服务器存在安全风险； 边界复杂，缺乏对边界策略的统一控制； 网络病毒，木马利用网络大肆传播； 存在 2P、网络游戏等滥用行为，影响工作效率和组织生产力； 垃圾邮件防不胜防，成为病毒、木马传播的新载体。 信息系统安全建设建议 方案 第 页 共 50 页 7 需要对终端用户方便地进行管理和审计，对用户进行准入控制。 4、 安全需求分析 根据 *集团 信息系统的现状以及风险分析，我们认为 *集团 信息系统应着重解决如下安全需求： 边界访问控制需求分析 *集团 信息系统的边界之内包含多个局域网以及计算 资源组件。边界环境是比较复杂的。如果在边界没有一个可集中控制访问请求的措施，很容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段，如获取口令、拒绝服务攻击、击、 骗攻击等等获取系统权限，进入系统内部。所以需要对边界部署访问控制系统，有效地监控内部网和公共网之间的活动，并对数据进行过滤与控制，保证内部网络的安全。 入侵 检测 /防御需求分析 访问控制系统可以静态的实施访问控制策略，防止一些非法的访问等。但对利用合法的访问手段或其它的攻击手段（比如，利用内部系 统的漏洞等）对系统入侵和内部用户的入侵等是没有办法控制的。因此系统内需要建设统一的符合国家规定的安全检测机制，实现对网络系统进行自动的入侵检测和分析，对非法信息予以过滤，提高系统整体安全性。 防病毒需求分析 防病毒必须立足于系统全网的角度，除了在终端部署放病毒产品控制病毒对终端的破坏，更应该在网络中部署安全产品，控制病毒的传播。 目前病毒的发展主要呈现以下几个趋势，通过了解这些背景情况，将有助于了解防病毒体系的技术要求。 病毒与黑客程序相结合 随着网络的普及和网速的提高，计算机之间的远程控制越来越方便，传 输文件也变得非常快捷，正因为如此，病毒与黑客程序（木马病毒）结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。 蠕虫病毒更加泛滥 信息系统安全建设建议 方案 第 页 共 50 页 8 其表现形式是邮件病毒会越来越多，这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件，往往在邮件当中附带一些具有欺骗性的话语，由于是熟人发送的邮件，接受者往往没有戒心。因此，这类病毒传播速度非常快，只要有一个用户受到感染，就可以形成一个非常大的传染面。 病毒破坏性更大 计算机病毒 不再仅仅以侵占和破坏单机的资料为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者，或者采取 绝服务）的攻击。一方面可能会导致本机机密资料的泄漏，另一方面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源，造成网络堵塞。 制作病毒的方法更简单 由于网络的普及，使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件，只需要通过简单的操作就可以生成破坏性的病毒。 病毒传播 速度更快，传播渠道更多 目前上网用户已不再局限于收发邮件和网站浏览，此时，文件传输成为病毒传播的另一个重要途径。随着网速的提高，在数据传输时间变短的同时，病毒的传送时间会变得更加微不足道。同时，其它的网络连接方式如 成为了传播病毒的途径。 病毒的实时检测更困难 众所周知，对待病毒应以预防为主，如果发生了病毒感染，往往就已经造成了不可挽回的损失，因此对网上传输的文件进行实时病毒检测成了亟待解决的重要问题。 因此部署网关防病毒产品，控制病毒的传播至关重要。 用户身份认证和授权需求分析 中心与下级 机构以及合作伙伴 互联过程中，要向特定的远程用户或主机提供访问许可，同时 中心内部业务人员在作业现场或出差在外，需要通过目前已知的所有上网方式接入到企业内部网。也可在某些通过地址转换方式上网的局域网以私有 址通过安全 道接入企业内部网。 这些数据传输中涉及到大量的身份认证，确保机密性和不可抵赖性。主要需要认证的用户包括应用系统用户、数据用户、操作系统用户等。要求对关键业务、关键系统、关键数据的访问采用认证鉴别技术，保证合法用户访问合法数据。 信息系统安全建设建议 方案 第 页 共 50 页 9 网络传输安全需求分析 中心与各级机构之间以及移动用户与信息中心 进行业务操作过程中，通过租用电信运营商线路或者通过 行数据业务的传输，在传输过程中，信息将面临搭线窃听、电磁信号分析都攻击手段，通过这些攻击手段，具有恶意行为的攻击者可以窃取信息的内容。对于 *集团 业务、办公信息等敏感内容，将带来较大的危害性。 因此需要在信息传输两端部署具有 力的设备或者软件保证传输安全。 内容过滤安全需求分析 互联网虽然给用户带来巨大的价值，但它也是非法信息传播的温床，反动、色情、暴力等信息在互联网上随处可见，垃圾邮件占据了大量的合法带宽和用户存储资源。虽然国家有相 关法律条例禁止这些不良信息，但仅仅依靠行政手段是无法达到彻底清除的目的。相比而言，技术手段则更加有效，需要安装内容过滤产品防止非法信息的传播。 上网行为管理的需求 随着互联网的快速发展，即时通讯、 载、网上炒股、在线视频播放等应用也变得日益广泛。对于组织来说，这些应用本身不属于威胁的范畴，但会影响组织的工作效率，降低组织的生产力，因此需要进行合理的控制。譬如，需要对 载进行速度限制，禁止网上炒股，等等。 反垃圾邮件的需求 邮件应用是互联网上最基本的网络应用，但由于互联网的开放性，垃圾邮件的问题也 同样突出，并日渐成为用户的梦魇。垃圾邮件的危害不仅在于要占用用户大量的时间去对邮件进行筛选、处理，还因为垃圾邮件本身还是病毒、木马等威胁传播的重要途径，会对用户的终端和业务网络造成危害。 为了净化网络流量，减少垃圾邮件的危害，在 网络的边界处需要部署反垃圾邮件设备。 安全审计需求 日志审计是信息安全的重要方面，它是实现安全事件的可追查性、不可否认性的重要数据环节。对于 *集团 信息系统由于数据来源多、数据量大、数据类型复杂，将面临大量的攻击事件。良好的安全审计能力是分析 *集团 信息系统安全状况的必要条件。 信息系统安全建设建议 方案 第 页 共 50 页 10 终端 成为边界带来新的需求 随着信息网络技术的发展，网络安全的势态发现了变化，终端正在成为新的网络边界。 首先，随着网络接入技术的发展，终端接入网络的方式已经不再局限于局域网接口，包括双网卡， 网卡， 号，红外，蓝牙 ，这些接口已经成为企业内部网络的另一道边界。不能管理内部 过这些接口上网，就类似在防火墙的城堡下，存在很多没有安全警卫的后门、小道，内部内部网络的安全性无法保障。 其次，在传统的企业网络中，终端具有固定的办公位置，内部网络相对是静态的。然而随着移动终端的普及 （便携机销售超过台式机），产生了移动办公方式，内部网络上接入的终端变得动态化。一方面，员工的终端可能在多个位置动态接入内部网络；另一方面，各种非公终端也可能接入内网（包括员工个人 及合作伙伴，客户的 随着用户 部网络的边界在不断扩充。内部网络的动态化，需要我们从另外一个视角来看边界安全问题。在内网边界动态变化的过程中，我们必须在新加入的 一新的边界上，进行必要的安全检察，配置必要的安全防护，才能满足网络安全的需要。 目前大多数的终端安全解决方案中，网关安全和终端安全是孤立起来 考虑的，不能做到有效的协同。但随着终端的边界化，只有站在网关的视点来看待终端安全，才能确保内网的真正安全。 要使得网关和终端能够完美融合，真正的起到纵深防御，遥相呼应，需要在网关产品上整合终端安全策略，在网关产品上对内网终端进行统一的安全管理。 5、 信息安全体系建设 建设原则 在设计技术方案时 遵从以下 原则： 实用性原则 *集团 的安全体系建设将始终遵循“面向应用，注重实效”的指导思想。紧密结合 *集团 现有网络和应用情况，充分保证原有系统和结构的可用性。 完整性原则 *集团 网络安全建设必需保证整个防御体系的完整 性。在安全体系建设中，我们采取多种安全防御的技术和措施来保障 *集团 的网络系统安全运行。 整体均衡 原则 信息系统安全建设建议 方案 第 页 共 50 页 11 要 对信息 系统进行 全面均衡 的 保护 ，要 提高整个 信息 系统的 安全最低点 的安全性能 ，保证各个层面防护的均衡 。 安全目标与效率、投入之间的 平衡原则 要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安全而牺牲效率，或投入过大。 区域 等级原则 要将信息系统按照合理的原则划分为不同安全等级，分区域分等级进行安全防护。 动态发展原则 安全防范体系的建设不是一个一劳永逸的工作，而是一个长 期不断完善的过程，所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而 不断 升级发展。 节省投资原则 在满足上述原则的基础上，应尽量作到节省设备采购投资，不要形成一种“用价值 10元的设备来保护价值 5 元 的资产”的局面。 安全建设的思路和方法 建议首先采用安全域划分方法将整个信息系统分成多个安全等级不同的相对独立的子系统，既按照业务流程的不同层面划分为不同的安全域针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施。 由于不同的安全 域 之间存 在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证、信息过滤、防病毒、入侵防御和审计等安全策略的实施。根据对市场 已 有的安全 技术分析，功能全面、维护简单且性价比较高的 产品是比较好的选择。 品提供了完整的边界安全保护能力，可以有效的实施访问控制、入侵检测与防护、防病毒、应用层信息过滤、流量管理、带宽管理等能力。同时由于一台 备即可实现 较为 完整的边界安全解决方案，将大大降低用户采购成本和维护成本。 安全域划分 网络的建设是由业务系统的驱动建设而成的，初始的网络建设大多没有统一规划，有些系统是独立的网络，有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。 信息系统安全建设建议 方案 第 页 共 50 页 12 当前 *集团 网络系统是一个庞大复杂的系统，在支持业务不断发展的前提下，如何保证系统的安全性是一个巨大的挑战，对系统进行区域划分，进行层次化、有重点的保护是有保证系统和信息安全的有效手段。 按数据分类分区域分等级保护，就是按数据分类进行分级，按数据分布进行区域划分，根据区域中数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂系统的安全问题，分解为更小区域的安全保护问题。这是实现大规 模复杂信息的系统安全等级保护的有效方法。 根据 *集团 信息系统的特点将整个 *集团 信息系统分为如下安全域： 1. 中心接入域 ：包括外联区（与 公网 相连）、内联区（与二级机构相连）、 （对外公开服务器）以及内部网中的总部大楼和信息中心的接入部分。 2. 中心办公域 ：总部工作人员办公用网络。 3. 中心生产域： 生产终端所在网络。 4. 中心服务域 ：所有的业务生产系统的服务器都放置在这个区域。 5. 二级机构办公域 ：二级 机构 的办公网络，每个具体的二级 机构 办公域形成一个独立子安全域。 6. 二级机构生产域 ：二级 机构 的生产网络，每个具体的二级 机构 生 产域形成一个独立子安全域。 6、 信息安全 方案 设计 拓扑 示意图： 信息系统安全建设建议 方案 第 页 共 50 页 13 分 / 子 公 司 分 / 子 公 司总 部北 京 公 司互 联 网核 心 服 务 器 区业 务 安 全 审 计入 侵 检 测互 联 网 行 为 审 计办 公 / 生 产 区安 全 网 关安 全 运 营 中 心V P N 接 入安 全 网 关安 全 网 关安 全 网 安全网关 (计 署方案 根据 *集团 网络的现状和日后的发展需要， 通过安全域划分原则部署和配置 我 公司的一体化 安全网关 （ 设备 ： 1、中心接入域： 合法接入控制：接入域内各子域边界的访问控制以及对应用数据进行安全过滤，对接入的数据或者用户进行身份认证与授权。 防入侵：检测来自外部的入侵行为并予以阻断。 病毒过滤：发现并阻断可能出现的病毒传播。 抗拒绝服务攻击：根据网络 异常行为判断出拒绝服务攻击并予以阻断。 传输安全：接入域和其他安全域的互联方式可能需要加密传输，因此需要对敏感数据采用 术进行加密。 2、中心办公域： 信息系统安全建设建议 方案 第 页 共 50 页 14 合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。 防入侵：检测来自外部的入侵行为并予以阻断。 病毒过滤：发现并阻断可能出现的蠕虫传播。 抗拒绝服务攻击：根据网络异常行为判断出拒绝服务攻击并予以阻断。 防泄密：监控接入域客户的非业务流量，特别是进行文件和信息交换的协议，比如：电子邮件、 问等。通过控制文件传 输以及纪录文件传输行为两种方式进行防泄密保护。 内容过滤：对基于标准协议的内容进行过滤，防止色情、非法信息的下载与传播。 上网行为管理：对 用进行管理和控制，对 络视频等行为进行阻断或者限流，确保带宽的有效利用。 防垃圾邮件：防止邮件炸弹攻击，对垃圾邮件进行过滤，提升工作效率。 3、中心生产域 : 合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。 防入侵：检测来自外部的入侵行为并予以阻断。 病毒过滤：发现并阻断可能出现的蠕虫传播。 安全审计：对所有与业务相关的通讯 进行纪录，保证可进行事后分析和可追查性检查。 4、中心服务域 : 合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。 防入侵：检测来自外部的入侵行为并予以阻断。 病毒过滤：发现并阻断可能出现的蠕虫传播。 抗拒绝服务攻击：根据网络异常行为判断出拒绝服务攻击并予以阻断。 5、二级机构办公域： 信息系统安全建设建议 方案 第 页 共 50 页 15 合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。 防入侵：检测来自外部的入侵行为并予以阻断。 病毒过滤：发现并阻断可能出现的蠕虫传播。 抗拒绝服务攻击：根据网 络异常行为判断出拒绝服务攻击并予以阻断。 防泄密：监控接入域客户的非业务流量，特别是进行文件和信息交换的协议，比如：电子邮件、 问等。通过控制文件传输以及纪录文件传输行为两种方式进行防泄密保护。 内容过滤：对基于标准协议的内容进行过滤，防止色情、非法信息的下载与传播。 上网行为管理：对 用进行管理和控制，对 络视频等行为进行阻断或者限流，确保带宽的有效利用。 防垃圾邮件：防止邮件炸弹攻击，对垃圾邮件进行过滤，提升工作效率。 6、二级机构生产域 合法接入控制：仅允许可信主机进入办公 域，同时仅允许有业务需求的主机访问外部网络。 防入侵：检测来自外部的入侵行为并予以阻断。 病毒过滤：发现并阻断可能出现的蠕虫传播。 安全审计：对所有与业务相关的通讯进行纪录，保证可进行事后分析和可追查性检查。 统功能 天清汉马 体化安全网关 采用 高性能 的 硬件 架构和 一体化的软件设计 ，集 防火墙、侵防御（ 防病毒、外联控制、抗拒绝服务攻击（ 、 内容过滤、反垃圾邮件 、 多种安全技术于一身， 同时 全面支持 可用性（ 、日志审计等功能 ， 为 网络边界提供了全 面实时的安全 防护 。 除此之外，天清汉马 体化安全网关还融合了内网安全特性，能够为终端 发安全客户端，同步内网安全策略，并根据安全客户端的检查结果对终端 行准入控制。 天清汉马 体化安全网关采用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面，采用天清汉马 体化安全网关，可以从整体上解决了信息系统安全建设建议 方案 第 页 共 50 页 16 接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护管理而苦恼，天清汉马 体化安全网关是低成本、高效率、易管理的理想解决方案。 通过 部署天 清汉马 体化安全网关 系统，可以 实现 ： 全面的访问控制手段 基于出 /入接口、源 /目的 址、服务、时间的安全策略，支持 址过滤、 定、用户认证、流量整形、连接数控制等 坚固的入侵防御（ 系 业界最完善的攻击特征库 ，包括 18 大类，超过 2,000 项的入侵攻击特征，并提供动态更新 漏洞机理分析技术 ，精确抵御黑客攻击、蠕虫、木马、后门 应用还原重组技术 ，抑制间谍软件、灰色软件、网络钓鱼的泛滥 网络异常分析技术 ，全面防止拒绝服务攻击 业界领先的网络防病毒技术 文件感染病毒 、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件，病毒库总计 16 万，并提供动态更新 支持 协议的病毒查杀 病毒类型根据危害程度划分为：流行库、高危库、普通库 实用的流量监控系统 历史带宽使用趋势分析、带宽应用分布、带宽使用实时统计、 量排名等 多种手段全面清除垃圾邮件 支持黑名单、白名单 支持防邮件炸弹功能，能够设定邮件发送速率的门限值 病毒扫描、附件类型和附件大小过滤、关键字过滤等 支持贝叶斯过滤、可追查性检查、发件人认证等反垃圾邮件功能 丰富的 性使组网变得简单 丰富的手段：支持 灵活的部署： 面支持 越，支持 部署； 持 用方式，支持端到端部署 信息系统安全建设建议 方案 第 页 共 50 页 17 持 3密 加密算法，支持 认证算法 精确的抗 击能力 支持对 of CP 击、 描、 描、 描等各种 击和扫描事件的检测和防御 采用特征控制和异常控制相结合的手段，有效保障抗拒绝服务攻击的准确性和全面性 完善的上网行为管理 制 ：对 进行阻断、限速； 制 ：基于黑白名单的 录控制、文件传输阻止、查毒；支持主流 件如 虎通、 流媒体控制： 对流媒体应用进行阻断或 限速，支持 播、 点网络电视、猫扑播霸等 网络游戏控制： 对常见网络游戏如魔兽世界、征途、 戏大厅、联众游戏大厅等的阻断 股票软件控制： 对常用股票软件如同花顺、大参考、大智慧等的阻断 独有的内网安全管理特性 终端安全部署： 内置 我 的天珣内网安全服务器，可以为客户端部署天珣终端安全软件； 终端准入控制： 由天珣终端软件进行各种安全性检查， 关根据检查结果进行准入控制，杜绝不安全的终端接入，保障内网合规； 终端安全管理： 通过 终端下发安全策略，能够对接入网络的所有终端进行进程管理、服务管理、网络应用管理和补丁管理。 强大的日志报表功能 记录内容丰富 ：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、 问日志、 送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询 ：可对 址、端口、时间、危急程度、日志内容关键字等进行查询 信息系统安全建设建议 方案 第 页 共 50 页 18 报表贴近需求 ：根据用户具体需求，定制报表内容、定制报名名称、定制企业 可形成多种格式的报表文件。 方便的集中管理功能 通过集中管理与数据分析中心实现对多台设备的统一管理、实 时监控、集中升级和拓扑显示，能够对多台设备的日志和流量信息进行记录。 入侵检测系统 (计 在传统的 网络信息安全 概念里，似乎配置了防火墙就标志着网络的安全，其实不然，防火墙仅仅是部署在网络边界的安全设备，它的作用是防止外部的非法入侵，仅仅相当于计算机网络的第一道防线。虽然通过防火墙可以隔离大部分的外部攻击，但是仍然会有小部分攻击通过正常的访问的漏洞渗透到内部网络；另外，据统计有 70 以上的攻击事件来自内部网络，也就是说内部人员作案，而这恰恰是防火墙的盲区。 入侵检测系统 (以弥补防火墙的不足， 为 网络信息安全 提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。 入侵检测系统是实时的网络违规自动识别和响应系统。它运行于敏感数据需要保护的网络上，通过实时监听网络数据流，识别，记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，入侵检测系统能够根据系统安全策略作出反应。该系统可安装于防火墙前后，可以对攻击防火墙本身的数据流进行响应，同时可以对穿透防火墙进行攻击的数据流进行响应。在被保护的局域网中，入侵检测设备应安装在主 交换机上 ,这些保护措施主要是为了监控经过网络出入口及对重点服务器进行访问的数据流。入侵检测报警日志的功能是通过对所有对网络系统有可能造成危害的数据流进行报警及响应。由于网络攻击大多来自于网络的出口位置，入侵检测在此处将承担实时监测大量出入整个网络的具有破坏性的数据流。这些数据流引起的报警日志，是作为受到网络攻击的主要证据。 入侵检测系统是一种动态 网络信息安全 技术，它能够发现入侵者实时攻击行为，并对其进行响应。从 网络信息安全 防护上讲，防火墙技术给出了一个静态防护的概念，而入侵检测技术具有动态防御的意义。入侵检 测具有监视分析用户和系统的行为、审计系统配置和漏洞、识别攻击行为、对异常行为进行统计，使系统管理员可以较有效地监视、审计、评估自己的系统。在 *集团 网络入侵检测系统配置中，我们对网络系统 进行实时监控与阻断响应，它集信息系统安全建设建议 方案 第 页 共 50 页 19 成了在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统，不仅能即时监控网络资源运行状况，为网络管理员及时提供网络入侵预警和防范解决方案，还使得对于检查黑客入侵，变得有迹可寻，为用户采取进一步行动提供了强有力的技术支持，大大加强了对恶意黑客的威慑力量 。 署方案 根据 *集团 网络的现状和日后的发展需要，通过部署 我 公司的 天阗入侵检测与管理系统 1. 实时分析进出网络的数据和访问连接，及时检测出混杂在正常数据流中的恶意入侵和攻击，保护各级网络的安全。 2. 对 *集团 网络边界点的数据进行监测，防止黑客的入侵。 3. 监视 *集团 网络内部用户和系统的运行状况，查找非法用户和合法用户的越权操作。 4. 对用户的非正常活动进行统计分析，发现入侵行为的规律。 5. 实时对检测到的入侵行为进行报警、阻断，能够与防火墙联动。 6. 对关键正常事件及异常行为记录日志，进行审计跟踪管理。 统功能 通 过使用网络入侵检测系统，我们可以做到： 全面的入侵检测 入侵检测能力取决于两个方面的技术：攻击特征分析技术和入侵检测支撑技术。在入侵检测的支撑技术上，技术优势体现在高速捕包、深入协议分析技术、高速树型匹配技术、防躲避处理技术以及事件风暴处理技术等多个方面，有效地保证了入侵检测的准确性、有效性和高性能。对 *集团 网网络系统各级网络边界点的数据进行监测，防止黑客的入侵。 以入侵检测为核心的动态安全体系 随着网络脆弱性的改变和威胁攻击技术的发展，使 网络信息安全 变成了一个动态的过程，静止不变的产品根本无法适应 网络信 息安全 的需要。同时由于单一的安全产品对安全问题的发现处理控制等能力各有优劣，因此不同安全产品之间的安全互补，可以提高系统对安全事件响应的准确性和全面性，使防护体系由静态到动态，由平面到立体，不仅增强了入侵信息系统安全建设建议 方案 第 页 共 50 页 20 检测系统的响应能力，降低了入侵检测的误报率，充分发挥了入侵检测的作用，同时提升了防火墙的机动性和实时反应能力。因此， 以入侵检测系统为核心的动态防御体系，可以实现入侵检测和防火墙、入侵检测和漏洞扫描等防护系统的联动。 入侵检测和防火墙、入侵检测和漏洞扫描联动体系示意图如下： 入侵检测系统与防火墙的联动 入侵检测系统可以进行针对 接的阻断。 但是，对于网络上的错综复杂的攻击事件，网络入侵检测系统的防护效果还是不够全面。防火墙作为网络系统的专用的安全防护工具，其防护能力与入侵检测产品的响应能力可以相互补充。所以，使用入侵检测系统与防火墙联动方式，来实现整体防护。当入侵检测检测到此攻击事件时，会实时的传送一个防护策略给防火墙，由防火墙来执行此策略，实现入侵阻断。 入侵检测系统与漏洞扫描系统的联动 入侵检测在发现攻击行为的同时，发出指令通知漏洞扫描系 统，对被攻击目标机或攻击源进行扫描，来确认攻击源的存在和被攻击机系统存在的漏洞，以作到主动防御。 信息系统安全建设建议 方案 第 页 共 50 页 21 同时，通过获得漏洞扫描系统的扫描结果，可动态修改入侵检测系统的检测策略，使入侵检测系统的事件报警更加准确，提高入侵检测系统的运行效率。 基于入侵检测系统的应急响应 通过入侵检测系统的强大功能为应急响应提供有力的技术支撑和充足的信息支持，实施应急响应来解决实际的 网络信息安全 问题。 入侵检测系统的应急响应体系的架构如下图示。 其中，技术包括 4 个方面：检测发现、事件分析、事件报警、事件处理，这是一个安全事件的 发现和处理流程。具有这几项技术的支撑是具有庞大的知识库，能够进行入侵管理。而应急响应体系的组织结构、处理规范、响应流程都是保证应急响应能够正常开展的管理要素。 异常流量分析 组织检测发现响应流程处理规范事件分析 事件报警 事件处理入侵管理知识库I D S 控 制 中 心I D S 引 擎 （ 服 务 端 ) 扫描系统( 客 户 端 )实时扫描命令（ I D S 事 件 攻 击 特 征 ）定期扫描结果文件（事件漏洞信息）实时事件的有效性实时事件的有效性事件与漏洞对照文件信息系统安全建设建议 方案 第 页 共 50 页 22 实时监控网络流量，进行网络流量的分类分析和统计；产生例如提供点对点数据流量及流量排名的详细图表；定义流量异常的阀值，对异常流量进行实时报警。 内容异常分析 基于异常的检测技术可以发现可疑的网络行为，能够对未知的攻击方式发出预警信号，是对其他方法的有利补充。同时，采用“多目标跟踪锁定”功能，对用户所设定的异常报警内容进行多方位的定点跟踪和 显示，“凸出”用户所关心的信息。 行为关联分析 一个真正的攻击不是一个单独的行为就可以发现，必须分析一系列的单独行为，找到其中的行为关联关系，才能更好地识别攻击，管理已发生的入侵事件，处理垃圾报警信息，准确描述攻击行为。 网络病毒分析 针对当前流行的网络蠕虫和病毒进行预警，包括 虫、 虫等。 强调实现以入侵检测为核心的安全防御体系。入侵检测系统与防火墙、漏洞扫描系统、防病毒系统、网络管理系统等安全产品均可实现联动，这些联动本身就是应急响应的一个组成部分，使得以前相互独立、需要 在不同的时间段内完成的入侵检测和应急响应两个阶段有机地融为一体。 入侵管理 入侵管理技术是应急响应体系的核心支撑技术。入侵检测系统不仅能抓取网络中的数据流并进行分析，与事件库中的入侵行为进行模式匹配，从而对入侵行为进行报警，而且能够进行完备的协议分析，保证对数据流的分析是比较完整的。同时，好的入侵检测系统还具有异常统计的功能，以降低误报率，提高工作效率。 随着入侵检测技术的发展，入侵检测系统还能够与防火墙、漏洞扫描系统网管等其它安全产品进行广泛的联合，组成入侵防御系统。为了提高入侵检测系统的可用性，提高对应 急响应体系的支持力度，还应加强入侵检测系统的安全防范及管理功能，提高对全局入侵行为的可视管理。具有良好可视化、可控性、可管理性的新一代入侵检测系统可称为入侵管理系统。 入侵验证 入侵验证系统根据 入侵检测系统 发现的 网络信息安全 事件，对被攻击网络或主机进行攻击后果的验证，并将攻击后果返回给控制中心，供管理者做决策参考。 信息系统安全建设建议 方案 第 页 共 50 页 23 与网管系统结合 安全和网管系统结合，入侵管理平台将预警事件分级、分类、自动上报给网管系统，供网络管理员做全局安全事件分析。 可视化 用可视化的方式显示当前安全态势，用不同的颜色和形状表示关键点（ 如外部 可根据需要设置条件，实时显示 件，包括攻击源、目标的 址、 址，流量信息；对各种协议相关事件如 需要进行回放。 事件自定义 事件自定义功能，以深层协议分析为基础，能够实现： 对攻击特征进行多样化、灵活定义，可以使 我 公司保证对最新攻击方法的迅速反应和升级，同时可以协助用户直接定义针对其特殊应用的攻击和威胁。 用户可以方便地修改协议端口默认值，满足用户保护特殊网络应用的需要，同时有效防止黑客以变形木马等方式躲避入侵检测系统监控的攻击。 用户可以自定义所 关注的敏感信息，加强内外部信息的审查，如商业机密，反动、黄色、暴力等信息。 用户可以定义与指定的人、邮件、 址等有关的行为，实现对重点目标的保护和对重点怀疑对象异常行为的有效监控。 策略自定义 入侵检测系统内置检测策略，可以供用户选用。同时，入侵检测系统应允许有经验的用户根据网络中数据流的特点，提供灵活的安全策略管理机制，利用系统中的事件定义模板，定制网络中可疑行为和监控对象，定制相应的检测策略，并对这些行为进行响应，做到重点监测、量体裁