xx采购中心网络安全设计方案.docx

运筹帷幄，持续安全xxx项目安全方案网神信息技术（北京）股份有限公司2015年4月目 录一、背景3二、目标3三、安全现状分析4四、整体安全需求分析4u整体安全需求分析51.网络边界的访问控制需求（防火墙）52.内网安全接入需求（SSL VPN）63.防病毒需求（终端病毒预警管理系统）64.Web应用防护（Web应用防火墙）7五、安全解决方案设计81.概述82.边界安全解决方案83.安全接入解决方案104.防病毒系统方案115.Web应用防火墙系统部署方案12一、 背景计算机资源的共享性和通信网络的开放性是信息系统的重要特征，而信息系统的开放性和信息的安全性是一对矛盾，如何保证合法用户对系统资源的合法访问，以及如何保障业务信息系统安全稳定运行，成为计算机网络信息安全必须解决的首要任务和重大课题。为了满足xxxx对网络安全建设的需要，保障信息化基础设施安全、稳定运行，为xxxx办公、对外交流提供良好、健康的网络环境，提供安全防御的整体解决方案。二、 目标根据xxxx网络项目的需求，本方案应在技术上具有先进性，在设备选型方面具有适当的超前性和较强的可扩充性，保证系统在3-5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性能价格比，系统应充分利用现有的通讯方式，实现最有效的信息沟通，采用开放式和具有可扩展性的结构方案，保证系统的不断扩充。本安全整体解决方案是我们在了解并分析了xxxxx网络项目的网络结构和应用的基础之上，提出的切实可行的解决方案。xxxx的网络安全防御体系构成，整体的安全体系设计在全网安全规划的基础上，需要达到以下项目目标： 保障xxx的网络能够抵御来自外部的网络攻击； 能够提供安全的内网接入方式； 能够保障xxxx的网站安全稳定运行，不被非法篡改； 保障个人终端和服务器的安全，能够抵御各种已知和未知的病毒、木马、蠕虫等的攻击；三、 安全现状分析u 内网缺少访问控制手段整个网络对于服务器无访问控制措施，无法开展合理的访问控制策略。单位迫切的需要控制接入者对内部网络的访问权限；单位内部网络接入层采用开放式的网络架构，随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫以及黑客等等不断威胁并入侵单位内部网络资源，使得单位网络的安全边界迅速缩小，开放的内部网络访问已经严重影响到单位IT基础设施的稳定运行和数据安全，而且内部终端的管理不到位，不能进行标准化、统一化的运维管控，因此需要构建新一代的内部网络安全防御和管理体系，从准入控制、运维管理、审计三位一体去进行严格管理和控制。u 门户网站易受攻击传统的边界安全设备，如防火墙，作为整体安全策略中不可缺少的重要模块，局限于自身的产品定位和防护深度，不能有效地提供针对Web应用攻击完善的防御能力。xxxx针对web应用，采用的还是防火墙只映射80端口的端口隔离手段，无法应对当前面临的Web应用安全问题。u 病毒问题内网终端和服务器缺少企业级的安全防病毒软件，不能有效抵御恶意代码的攻击。u 运维审计问题各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。无法记录操作人员、操作时间、操作结果等。四、 整体安全需求分析整体的系统安全是可靠运行和进行安全防范的基石，整体系统的安全设计需要在统一设计的原则下，在不同的安全层次，在预防、检测和管理等各个阶段，确保业务系统持续稳定的运行，防止信息的损坏、泄露或被非法修改，并保证业务系统平台的安全。u 整体安全需求分析本方案作为一个完整的安全解决方案涵盖了现阶段xxxxx单位的安全需求，并结合我们的安全方案和成功经验，从而最终为用户建立一个高效、可靠的网络安全环境。通过对用户现状的理解，我们认为目前xxxxx单位存在以下安全需求，下面将对这些具体的安全需求进行进一步的分析，从而为下一步技术方案的细致设计打下良好的基础。以下从4个需求进行分析。1. 网络边界的访问控制需求（防火墙）边界防护的设计是将组织的网络，根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域，不同的安全域之间形成了网络边界，通过边界保护，可以有效规避大部分网络层安全威胁，并降低系统层安全威胁对信息系统的影响。利用边界防护手段，严格规范信息系统的数据传输及应用，防范不同网络区域之间的非法访问和攻击，从而确保信息系统各个区域的有序访问。访问控制需求主要通过部署防火墙来实现。防火墙是指设置在不同网络（如可信任的组织内部网和不可信任的公共网）或网络安全域之间的一系列部件组合。防火墙通常位于不同网络或网络安全域之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP+MAC地址绑定、防病毒、抗DDOS攻击、流量控制等技术，实现对出入网络的信息流进行全面的控制（允许通过、拒绝通过、过程监测），控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。防火墙本身必需具有很强的抗攻击能力，以确保其自身的安全性。2. 内网安全接入需求（SSL VPN）内网安全接入是为单位在互联网上创建一个专属的接入内网环境的通道，给予合法用户通过正规渠道接入内网，阻止非授权用户接入内容环境，从而保障内网业务信息系统的数据的安全访问。SSL VPN为一款安全远程接入的网络设备。它在允许远程访问的同时，还包括：对用户身份进行认证、根据管理员定义的安全策略和客户端的安全状况，对用户进行授权、检测远端用户接入设备的安全状态、保证远端用户同内部网络的通信安全、实时监控远程接入的连接。3. 防病毒需求（终端病毒预警管理系统）随着计算机网络及信息化系统的建设，*xxxx集团建设了全面覆盖的网络信息化系统，成为xxxx系统办公、管理的数字中枢，促进了xxxx集团的现代化办公管理、提高了工作效率。xxxx集团办公内网现共有各类PC终端数百多台，具有客户端点数目多、分布距离远（有连接广域网病毒防范系统的要求）、内部安全性要求高等特点。从信息化系统终端安全与管理的角度出发，以终端安全为核心，以终端桌面管理为重点，提供以终端为基础的桌面安全与管理整体解决方案，具体内容包括终端安全、桌面管理、统一运维三个方面：l 终端安全提供针对终端安全的防护措施，为终端提供安全的上网办公环境，具体包括如下几方面内容： 终端病毒与恶意代码防范 终端安全性检查 XP安全加固 企业软件管家l 桌面管理 终端流量管理 系统自动升级 终端远程协助 终端硬件性能监控 终端进程与服务管理 终端Agent强制安装与运行 终端外设管理 终端小工具 终端信息搜集l 统一运维 软件分发 策略下发 在线用户统计 安装包定制与Web安装 系统可扩展能力系统容灾4. Web应用防护（Web应用防火墙）着网络与信息技术的发展，尤其是互联网的广泛普及和应用，如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现，正深刻影响人类生活、工作的方式。与此同时，信息安全的重要性也在不断提升。近年来，企业各类组织所面临的Web应用安全问题越来越复杂，各类安全威胁正在飞速增长，极大地困扰着用户，给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵和攻击、保证Web应用系统的安全和正常运行成为政府、企业等各类组织所面临的重要问题。传统的边界安全设备，如防火墙，作为整体安全策略中不可缺少的重要模块，局限于自身的产品定位和防护深度，不能有效地提供针对Web应用攻击完善的防御能力。针对Web应用攻击，必须采用专门的机制，对其进行有效检测、防护。五、 安全解决方案设计1. 概述根据xxxxx单位建设要求，本次安全方案设计产品网络拓扑图具体如下：2. 边界安全解决方案网络出口将是攻击重要入口，因此边界防护将是本方案重点。本方案针对边界防护的设计采用防火墙产品，根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域，不同的安全域之间形成了网络边界，通过边界保护，可以有效规避大部分网络层安全威胁，并降低系统层安全威胁对信息系统的影响。利用边界防护手段，严格规范信息系统的数据传输及应用，防范不同网络区域之间的非法访问和攻击，从而确保信息系统各个区域的有序访问。如整体规划所示，我们建议将整个网络划分为两块，服务器接入区及终端接入区，在服务器区交换机与核心交换机之间部署1台防火墙，限制接入区对服务器区的访问。针对xxxx集团信息系统的具体情况，防火墙的主要实现以下几个方面功能：访问控制防火墙实现网络边界的隔离，具有基于状态检测的包过滤功能，能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制，能够实现邮件内容过滤，支持网络地址转换等功能。强大的抗攻击能力完全自主开发的SecOS安全协议栈，支持对常见攻击的检测和阻断，并可以实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析，如针对ICMP Flood完成过滤类型与代码、频度、包长检查，针对UDP Flood完成频度、包长检查，针对Syn floood完成频度检查。针对最常见的SynFlood攻击，设置了SYN proxy以保护内部网络和网神防火墙本身免受此类的拒绝服务攻击，提供高安全性和高可用性。高效率由于防火墙被部署在信息系统的网络边界，因此从某种意义上讲，防火墙的工作效率就决定了信息系统的工作效率，所以采用的防火墙设备必须有较高的工作效率，确保网络原有的吞吐率、延迟等重要的指标尽量不受到防火墙的干扰。高可靠性防火墙是网络中的重要设备，意外的宕机都会造成网络的瘫痪，因此防火墙必须是运行稳定，故障率低的系统，并且能够实现双机热备，能够实现防火墙集群技术，以保证不间断的网络服务。日志和审计防火墙能够对重要关键资源的使用情况进行有效的监控，防火墙系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能，同时希望支持第三方的日志软件，实现功能的定制。高安全性作为安全设备，防火墙本身必须具有高安全性，本身没有安全漏洞，不开放服务，可以抵抗各种类型的攻击。可扩展性系统的建设必须考虑到未来发展的需要，系统具有良好的可扩展性和良好的可升级性。易实现性系统的安装、配置与管理尽可能的简洁，安装便捷、配置灵活、操作简单。3. 安全接入解决方案安全接入网关为一款安全远程接入VPN的设备。通过在内网旁路部署该设备，可以在不影响网络结构的情况下，运行用户安全接入内网环境，同时该设备还实现了多种安全功能，包括：l 对用户身份进行认证。l 根据管理员定义的安全策略和客户端的安全状况，对用户进行授权。l 检测远端用户接入设备的安全状态。l 保证远端用户同内部网络的通信安全。l 实时监控远程接入的连接。l 支持IPv6网络远程用户接入l 支持多种远程用户接入及使用模式l 支持安全桌面功能，实现数据终端无痕l 远程应用发布，满足多种应用跨平台使用l 支持移动智能终端设备的移动办公l 支持基于IP协议的各种应用需求l 实现基于Web的文件共享l 支持智能选择多ISP接入l 支持双机互备及负载均衡l 提供完整的系统监控及日志功能l 支持基于用户的客户端安全检查l 支持硬件特征码绑定功能l 提供多纬度授权机制l 支持采用L2tp over IPSec的方式实现智能终端接入l 支持多因素身份认证4. 防病毒系统方案防病毒是任何一个网络中安全基础的最基本的安全防护手段，是保证系统正常运行的基本措施。终端防毒+服务器防毒的方式有效结合，形成立体防毒体系，能最大限度降低病毒带来的风险，有效保障信息系统安全。网神多维终端防御系统是网以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系，并提供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类功能。网神终端客户端，部署在终端用户的机器上，执行最终的安全操作，如：杀毒、修复漏洞、非白即黑控制等。主要包括了：杀毒、漏洞修复、软件管理、硬件管理、上网行为管理、其他安全模块以及通讯终端等。l 终端杀毒网神多维终端管理系统的杀毒能力是一个安全软件的重中之重。天擎终端具有多引擎、强查杀的特点。终端集成了QVM、QEX、BD等多种引擎，可以对终端从多个角度形成立体防护，确保终端远离病毒。l 终端漏洞修复网神多维终端管理系统带有360安全卫士的漏洞修复模块，该模块在国内拥有近5亿的用户，具有漏洞修复及时，占用资源低，防蓝屏死机等特点。l 终端软件管理网神多维终端管理系统为终端用户提供了企业级软件仓库功能，通过在服务器端部署软件仓库服务，终端可以获取为本企业定制的软件列表。天擎终端还可以接收管理员从控制中心下发的软件，并自动安装部署，便于整个企业的软件统一安装。网神多维终端管理系统还会把终端安装的软件情况，汇总到控制中心，供管理员统一管理。管理员可以在控制中心下发指令，直接写在终端的某些软件。l 终端硬件管理网神多维终端管理系统会收集终端硬件信息，并汇总到控制中心，管理员在控制中心就可以很方便的浏览整个企业的硬件情况。网神多维终端管理系统还具有硬件识别、驱动自动安装等功能。l 终端上网行为管理网神多维终端管理系统，可以接收管理员从控制中心下发的各种上网策略，并以此限制终端的各种上网行为，如：网速带宽限制、网站访问权限等。5. Web应用防火墙系统部署方案Web应用防火墙系统（又名SecWAF应用防护系统），防护对象为Web服务器，其设计目标为：分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案。以“攻击事件”为中心的防护三部曲根据常年观察互联网黑客攻击方式和黑客技术，从多年的安全研发经验中总结了一套“Web安全防护体系”，安全团队提出了“事前、事中、事后”的事件三部曲防护方案。首先，事前评估。根据黑客攻击经验，每次黑客在攻击前都会对目标事物进行漏洞扫描。使用Web扫描器对客户网站架构进行整体评估，评估客户网站在开发过程中，开发人员忽视的安全问题。其次，事中防护。根据常见对黑客攻击技术的研究，Web应用防火墙具有一套黑客Web攻击行为的特征库，针对黑客的攻击流量进行逐一特征匹配，匹配上的流量就是黑客攻击流量，此时进行Web安全过滤然后，事后弥补。针对网站网页频繁被篡改事件的发生，网神Web安全团队提出多重防护组合模型：内核保护、本地备份、异地备份。客户可以根据自身网神情况进行多种防护组合。队针对“事件三部曲”做出的安全产品Web应用防火墙，降低安全风险，维护网站的公信度。WAF工作原理l 事前评估根据对黑客攻击手法的多年观察中，了解到每次“攻击事件”发生前期，网站会被扫描软件进行扫描，当扫描软件扫描出网站漏洞后，黑客会使用网站漏洞对网站发起攻击。随着HTML5的发布，网站已经从我们日常生活中必不可少的工具，但是网站开发人员在开发过程往往为了网站开发进度和网站美观从而忽略的网站安全问题，黑客就是针对漏洞进行有效攻击。网神Web安全团队就是根据这类事件现象，从