宝德集团网络安全整体解决方案

1、 中国电信与您携手共建美好未来福建宝德集团有限公司网络安全整体解决方案中国电信股份有限公司泉州分公司2009年7月前 言首先，泉州市电信分公司衷心感谢福建宝德集团有限公司长期以来对我公司各项电信业务的信赖与支持。福建宝德集团有限公司创立于1992年，是一家以投资服装制造及贸易、房地产、旅游、教育等产业为主的综合性集团公司，十几年的创业历程已让宝德集团发展成为较具知名度的企业，目前拥有员工近2000多名,年销售达人民币两亿多元，年出口创汇达2000多万美元，纳税近人民币1000万元。集团下属企业包括福建宝德（服饰）轻工有限公司、香港宝德制衣发展有限公司、泉州宝德制衣有限公司、北京师范大学泉州附属

2、中学、泉州城市假日大酒店、泉州宝德房地产有限公司等。旗下的MOMOCO（玛米玛卡）服饰品牌，先后获得“中国名优产品”、 “ 国家免检产品”、“质量信得过产品”、“福建省名牌产品”、“消费者最喜爱品牌”和“厦门著名外资品牌”等多种殊荣。随着集团发展战略的全面启动，面对未来，宝德将抓住机遇、加快发展、致力于资源配置和产业结构的优化，不断提高企业核心竞争力，以“体制创新、管理创新、制度创新、科技创新”的企业发展目标，力争将宝德集团推向产业多元化、企业国际化领域的颠峰。信息时代，泉州电信分公司正从传统的基础网络运营商向现代综合信息服务提供商转变，并在承接“天翼”网络后，成为了真正意义上的全业务运营商。

3、做为泉州市最具实力的综合信息提供商，我公司具有网络资源丰富、专业技术力量强、优质服务保障等各种明显优势，我们将本着“用户至上，用心服务”的理念，坚持“精诚合作，实现双赢”的原则，真心诚意为贵公司提供全方位的信息化解决方案和零距离一站式服务，成为贵公司建设现代一流企业的最佳合作伙伴。我公司将十分珍惜这一合作机会。在此，再次感谢贵公司对中国电信的信任与支持，祝贵公司事业蓬勃发展，并祝双方合作愉快。一、宝德集团网络风险分析随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业，全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。但由于计算机网络具有联结形式多样性、终

4、端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击，所以网上信息的安全和保密是一个至关重要的问题。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，可以删除数据库内容，摧毁网络节点，释放计算机病毒等等，这些都使信息安全问题越来越复杂。所以网络的安全性也就成为广大网络用户普遍关心的问题。无论是在局域网还是在广域网中都存在着自然和人为等诸多因素的脆弱性和潜在威胁。发展和推广网络应用的同时进一步提高网络的安全性，真正

5、做到“既要使网络开放又要使网络安全”这一问题已成为了网络界积极研究的课题。宝德集团内部网络是典型的Intranet网络架构，中心机房为各大分厂、全国各地分部和门店提供ERP、分销等系统的网络支持，并为本地提供Internet访问接入。随着宝德集团网络应用扩大，网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。总结可能存在以下风险：链路传输风险网络结构的安全风险（包括：来自与公网互联的安全危胁和来

6、自内部网络的安全危胁）操作系统的安全风险应用的安全风险（包括：资源共享、电子邮件系统、病毒侵害、数据信息等）管理的安全风险二、宝德集团安全目标分析通过对网络结构、网络安全风险分析，再加上黑客、病毒等安全威胁日益严重，网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决，使网络安全达到一定的安全目标。安全需求包括：加密传输需求访问控制需求防范非法用户非法访问访问控制需求防范假冒合法用户非法访问防病毒系统需求安全管理体制基于以上的需求分析，我们认为宝德集团网络安全解决方案可以实现以下安全目标：保护网络系统的可用性保护网络系统服务的连续性防范网络资源的非法访问及非授权访问防范入侵

7、者的恶意攻击与破坏保护信息通过网上传输过程中的机密性、完整性防范病毒的侵害计算机终端安全的管理实现网络的安全管理通过对宝德集团用户网络安全系统的实际情况分析，从务实的角度出发，我们为用户量身订做了这套网络安全解决方案，主要解决企业网络的链路传输、访问控制、内网终端安全管理及病毒管理等问题。 三、方案设计3.1网络拓扑图3.2网络拓扑说明福建宝德集团有限公司目前拥有erp、进销存、门户网站等在用生产系统，本期的建设将新增内网终端安全系统、在线防病毒服务器等。下面对整个网络拓扑情况进行详细说明。在网络结构中采用三层交换机，对于不同的部门划分不同vlan，同时每个部门使用普通二层交换机用于接入；系统

8、采用带有vpn功能的企业级防火墙，通过设置严格的防火墙策略来实现对内网与互联网的安全策略管理；系统采用内网终端安全管理系统，每个办公电脑均需要安装安全客户端，通过终端安全管理系统可以实现上网行为管理、补丁自动分发、固定资产统计、移动存储管理、报警和日志管理等；系统采用在线防病毒系统，每个办公电脑均需要安装规定的防毒软件，软件可以在内网内实现实时自动更新；浮桥和清蒙两大分厂采用vpn客户端安全接入宝德集团内部生产系统；各大代理商采用vpn客户端安全接入宝德集团内部生产系统；3.3 防火墙和VPN技术分析防火墙是保护网络内部安全的第一道防护，使用防火墙有如下益处：保护脆弱的服务通过过滤不安全的服务

9、，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Mail Server和Web Server。集中的安全管理防火墙对网络实现集中的安全管理，在防火墙定义的安全规则可以运行于百宏集团整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。此外防火墙可以根据百宏集团的需求定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部

10、网。增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。记录和统计网络利用数据以及非法使用数据防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据，并且，防火墙可以提供统计数据，来判断可能的攻击和探测。策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时，网络安全取决于每台主机的用户。VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程大体是这样： 要保护的主机发送明文信息到连接公共网络的VPN设备； VPN设备根据网管设置的规则，确定是否需要对

11、数据进行加密或让数据直接通过。 对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。 VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。 VPN 设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。 当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。 在VPN的传输协议上，一般的产品都支持PPTP、L2TP协议，在这些协议的传输中能够保证数据的安全、可靠，但是它不能保证数据的机密性（在网络中传输的数据是明文的）。所以对一些敏感的数据来说，也是不安全

12、的。这样，为了保证数据的机密性，在网络安全产品中选择中选择支持IPSec技术的产品。由于IPsec即将成为Internet标准，因此不同厂家提供的防火墙（VPN）产品可以实现互通。移动用户如出差在外需要访问公司内部的数据或传送重要文件，remote VPN 保证了在公网上访问内部数据的可能，保证数据的安全性和完整性，因此利用VPN技术进行数据加密可以满足日益变化的商务模式需求，实现企业网络无处不在的访问。 如下图所示：3.3内网安全管理技术分析网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补丁以及文件的下发，流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件

13、分发、消息分发等工作，并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报，可通过管理节点对异常计算机进行断网等处理，也可通过系统远程对客户端进行故障诊断和维护。在服务器管理节点，可根据实际网络拓扑情况，安装多块网卡，满足对同级不同网段的管理。 终端部署方式网络管理中面临的重要服装设计图纸泄密等问题宝德集团已经建立了比较完善的网络管理行政制度，但是以往在网络管理工作因为缺少相对应的技术手段，网络管理制度无法得以落实，致使管理员的日常维护工作繁琐，同时还有信息泄密的风险。一个成熟的网络安全管理理念应该全方面的主动防御，而不是事后责任追查。网

14、管人员在多年的管理中总结出部分有待解决的需求。非法接入问题在公司内部可能会出现外来笔记本接入的问题，可能会造成公司内部的涉密文件被窃取，引入病毒等严重后果。需要禁止非法PC机接入内网及和内部主机相互连接，防止重要资料的泄漏，防止内网用户通过拨号等外联方式连接互联网。需要对外来终端设备进行详细的安全认证及身份认证。终端安全管理问题计算机病毒是目前对网络及计算机安全最大的威胁，目前宝德集团内部虽然已经配置安装了杀毒软件，能够对病毒进行一定效果的防范，但是仍存在终端升级不及时，版本不统一，管理不规则等问题。公司的终端的密码经常被改动，其安全性（包括密码长度、弱口令等方面）得不到有效的保障，而且终端的

15、注册表也经常被改动，不能够对其进行及时有效的发现与控制，这些都对内网的安全造成了威胁。许多终端的IE的安全性令人担忧，而且有些终端已经安装了不安全的插件和恶意软件，这是一个急需解决的问题。内部网络经常会出现流量过大的问题，造成网络的不畅甚至拥塞，急需对网络流量进行监控。而且公司员工上网行为往往不规范对终端的上网访问行为进行审计，对其违规操作进行阻断。办公环境的计算机不允许安装及使用与办公无关的软件，当发现有非法使用违规软件是应该立即禁止。需要对软件的安装过程及软件执行所启动的进程进行控制。对于其他不安全的进程以及服务也需要加以监控。IP地址管理问题以往对网络内IP地址分配和管理都需要人工来进行

16、操作，并且在IP、MAC绑定上需要网管型交换机来完成，前期网络管理员的工作量太大，在有新的设备入网时网络管理员需要再次对交换机进行操作，如果操作不当可能造成一个资源子网不能正常工作，影响业务系统正常高效工作；当没有进行IP、MAC绑定时会出现私自盗用他人IP地址的行为，造成合法的IP使用人不能正常入网工作，IP盗用成功后，如果有违规的网络行为时也不便于进行事件责任定位。移动存储设备管理及安全审计管理问题外来移动存储设备随意接入网络内终端同样可能会造成公司内部的涉密文件被窃取，引入病毒等严重后果，对于具有防火墙、网关等硬件防范的网络，移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。

17、如何防止外来移动存储介质随意接入网内终端，如何保护终端的涉密信息，对涉密信息的访问、修改、复制、删除进行控制和审计，如何能够对涉密文件的打印、发邮件、网络共享进行控制，发现敏感字能及时过滤，并对以上所有行为进行审计记录是急需解决的问题。非法外联问题对于宝德集团来说，保密工作是一项非常重要的工作。内部人员非法连接外网会增大病毒渗入和黑客攻击的风险，更为严重的会导致内部资料的泄露，给公司造成无法逆转的严重损失。为了防范这些隐患，必须防止内部人员未经允许非法连接外网。终端补丁管理和软件分发问题对于公司的内部网络，每台终端的操作系统及相关软件的补丁更新是用户及网管员最为烦琐的问题。没有妥善的管理体系，

18、轻则会因为流量问题，导致网速较慢或断开网络，重则由于兼容问题造成机器蓝屏、死机等，影响公司的正常工作活动。这就需要有相关系统能够完成客户端操作系统补丁检测、补丁下发、补丁安装、补丁安装信息回馈等功能，而且能够分发任何形式的软件，软件下发后能够获取软件下发整体情况，用以及时调整软件下发策略。资产管理问题对网络的管理而言，软硬件资产的管理将是非常重要的一个组成部分。如果不能全面的掌握终端计算机的软硬件资产，那么对于终端上非法安装的软件以及终端硬件的变化就无从知晓，这就可能造成公司硬件资产的流失，对网络的全面管理更无从谈起。缺乏统一的远程帮助平台问题宝德集团的终端用户对计算机的熟悉程度参差不齐，对于

19、一些对计算机认识不够用户来说，一个小小的软件使用问题都有可能要求助于网络管理员，一旦出现程序无法正常运行时往往束手无策。部门的分布比较广泛，管理员往来奔波，致使处理问题的效率不高。如果计算机用户能在远程发出求助请求，管理员在远程进行程序安装、调试程序，势必会节省时间，提高管理员的工作效率，统一的远程呼叫帮助平台就成为必要。四、产品选型4.1防火墙方案一、天融信 NGFWARES(TG-1504-VPN4K)网络卫士NGFWARES系列防火墙产品，是天融信公司为行业分支机构、中小型企业、教育行业非骨干节点院校、单位内部的部门级等中小用户开发的高性价比的安全平台。网络卫士NGFWARES系列防火墙

20、产品既提供1U可上机架的产品，也提供小巧的桌面型产品。具有灵活的配置向导和一键恢复功能。 将防火墙、VPN、身份认证、IDS等安全特性充分融合优化，并提供交换、路由、组播、NAT、DHCP等多种特性。成为集路由、交换、语音支持的多功能的安全网关。支持LAN、ADSL、CABLE、电力、小区宽带等多种接入方式,并支持链路备份、多路径均衡。提供串口、WEB、SSH和Telnet等多种管理方式，配置简单。支持IPSEC VPN、PPTP、L2TP等多种VPN接入，支持VPN集中管理。性能参数指标：基本规格设备类型企业级防火墙硬件参数 HYPERLINK /cWord/2910.shtml t _bl

21、ank 4个10/100BASE-T接口并发连接数400000VPN支持支持网络网络吞吐量 HYPERLINK /cWord/497.shtml t _blank 200Mbps安全性用户数限制无用户数限制入侵检测 HYPERLINK /cWord/509.shtml t _blank 支持主要功能防火墙、VPN,身份认证、IDS,路由、交换、语音支持安全标准 HYPERLINK /cWord/499.shtml t _blank FCC,CE其他控制端口RS-232管理 HYPERLINK /cWord/501.shtml t _blank 串口、WEB、SSH和Telnet等多种管理方式电

22、气规格电源电压100 - 240V/50-60HZ外观参数高度44mm方案二、Juniper NetScreen-SSG550MJuniper 网络公司500 系列安全业务网关（SSG）代表了新一代的专用安全网关，为分支机构和分支办事处的网络部署提供了集高性能、高安全性和广泛的局域网/ 广域网接入手段于一体的完美组合。凭借状态防火墙、IPS、防病毒特性（包括防间谍软件、防广告软件、防网页仿冒）、防垃圾邮件以及Web 过滤等一套完整的统一威胁管理（UTM）安全特性，SSG 500 系列可作为单独的安全网关实施，用于阻断蠕虫间谍软件、特洛伊木马、恶意软件和其他新兴攻击。 强劲的路由引擎使强大的UT

23、M 安全特性更加完备，从而使SSG 500 系列既可以部署为传统的分支办事处路由器，也可以部署为防火墙和路由设备组合，以降低前期购置成本和运营成本。500 系列安全业务网关为客户提供以下优势和特性：面向安全特性的专用处理硬件和软件平台，为保护高速局域网和低速广域网连接提供所需性能 UTM 安全特性。性能参数指标：基本规格设备类型企业级防火墙硬件参数4x 10/100/1000,6个物理接口模块（PIM）扩展插槽,4个增强的PIM扩展插槽并发连接数 HYPERLINK /cWord/495.shtml t _blank 128000VPN支持支持网络网络吞吐量 HYPERLINK /cWord/

24、497.shtml t _blank 1000安全性用户数限制无用户数限制入侵检测 HYPERLINK /cWord/509.shtml t _blank Dos、DDoS主要功能地址转换,防火墙,统一威胁管理/ 内容安全,VoIP 安全性,vpn,防火墙和VPN 用户验证,路由,封装,流量管理（QoS）,系统管理,日志记录和监视安全标准 HYPERLINK /cWord/499.shtml t _blank UL，CUL，CSA，CB其他控制端口RS-232管理 HYPERLINK /cWord/501.shtml t _blank 系统管理,本地管理员数据库,外部的管理员数据库,有限的管理

25、网络,根管理员电气规格电源电压AC:100 至240 VAC，DC:-48至-60外观参数高度88.9mm4.2三层交换机方案一、CISCO WS-C3560-24TS-SCisco Catalyst 3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE 802.3af和思科预标准以太网电源（PoE）的交换机，提供了可用性、安全性和服务质量（QoS）功能，改进了网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机，这些环境将其LAN基础设施用于部署全新产品和应用，如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可

26、以部署网络范围的智能服务，如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由，并保持传统LAN交换的简便性。内嵌在Cisco Catalyst 3560系列交换机中的思科集群管理套件（CMS）让用户可以利用任何一个标准的Web浏览器，同时配置多个Catalyst桌面交换机并对其排障。 Cisco CMS软件提供了配置向导，它可以大幅度简化融合网络和智能化网络服务。性能参数指标：基本规格应用类型企业级交换机应用层级 HYPERLINK /cWord/539.shtml t _blank 三层内存128 MB DRAM和32MB闪存交换方式存储-转发背板带宽32包转发率 HYPERLI

27、NK /cWord/545.shtml t _blank 6.5MppsVLAN支持 HYPERLINK /cWord/581.shtml t _blank 支持MAC地址表 HYPERLINK /cWord/550.shtml t _blank 12k网络网络标准 HYPERLINK /cWord/571.shtml t _blank IEEE 802.3, 802.3u, 802.3z传输速率 HYPERLINK /cWord/582.shtml t _blank 10/100/1000端口端口类型 HYPERLINK /cWord/560.shtml t _blank 10/100BAS

28、E-T/TX,1000BASE-SX/T端口结构固定端口固定端口数24模块化插槽数2其他是否全双工 HYPERLINK /cWord/549.shtml t _blank 全双工网管功能SNMP, CLI, Web, 管理软件外观参数高度44方案二、3Com Baseline 2250 Plus(3C16476CS)3Com SuperStack 3 Baseline 10/100 交换机(带有千兆上行链路) 对于需要快速以太网(100 Mbps)桌面连接及超高速千兆服务器或高速网络主干连接的办公环境，我们建议采用带有千兆上行链路的 3Com SuperStack 3 Baseline 10/

29、100 交换机。该系列交换机包括两种型号。其中一个型号提供 48 个 10/100 端口和 2 个 10/100/1000 上行链路端口。另一个型号提供 24 个 10/100 端口和 2 个 10/100/1000 上行链路端口。这两种型号的交换机均能在所有端口上提供完全无阻塞性能、自动协商功能、IEEE 802.1p 优先队列排序和自动 MDI/MDIX 配置。性能参数指标：基本规格应用类型工作组交换机应用层级 HYPERLINK /cWord/539.shtml t _blank 三层内存128 MB DRAM和32MB闪存交换方式存储-转发背板带宽 HYPERLINK /cWord/5

30、44.shtml t _blank 13.6包转发率 HYPERLINK /cWord/545.shtml t _blank 10.1MppsVLAN支持 HYPERLINK /cWord/581.shtml t _blank 支持MAC地址表 HYPERLINK /cWord/550.shtml t _blank 8K网络网络标准 HYPERLINK /cWord/571.shtml t _blank IEEE 802.3, 802.3u, 802.3z传输速率 HYPERLINK /cWord/582.shtml t _blank 10/100/1000端口端口类型10/100Base-T

31、X，SFP端口结构固定端口固定端口数 HYPERLINK /cWord/564.shtml t _blank 50模块化插槽数2其他是否全双工 HYPERLINK /cWord/549.shtml t _blank 全双工网管功能WEB,SNMP外观参数高度444.3内网终端安全管理系统方案一、北信源终端安全管理系统北信源终端安全管理系统特点：软件架构一个或多个网段各拥有一套管理系统的同时，将本级所有设备信息再转发给上级管理数据库。软件分发通过在主网页上加载弹出页面的方式进行提示性注册，以此来实现大规模分发客户端.企业网络安全管理流量超过阀值告警，并发进程超过阀值报警终端流量的排序报表（而不是

32、路由器和交换机上的接口流量）非法终端内联监控：分布式ARP地址干扰技术，当用户没有安装客户端时，自动阻断与内网的连接非法外联监控当用户外联，客户端弹出对话框对用户进行告警，如果用户在设置的时间内不断开网络，系统便会自动重启企业文件信息安全管理USB移动存储设备接入审计设置限制用户使用“光驱、软驱、USB接口、打印机、网卡、调制解调器、串行口、并行口”；记录用户在本地拷贝了什么文件（文件名）终端安全管理系统内置主机防火墙，并可对其策略统一制定和管理。上报系统用户（组）权限发生改变、数量增加的信息客户端弱口令检查终端维护管理系统性能监控监控终端CPU，内存等的资源占用情况，并根据阀值进行报警软件、

33、进程黑白名单控制通过设置列表，来允许或者禁止终端安装软件、运行进程软件分发对全网进行软件分发安装消息管理桌面控制补丁分发提供补丁测试模块对新发布的补丁进行前期测试按照安全等级对补丁进行分类本区域客户端的补丁下载、安装情况使用补丁分级下载、动态转发代理来减少网络流量终端资产管理显示硬件信息显示安装软件信息报表统计对报警信息、报警处置信息、网络终端信息、级联统计信息、日志信息等分类进行查询，提供多种报表4.4在线防病毒系统方案一、瑞星杀毒软件网络版企业专用版瑞星杀毒软件网络版2008企业专用版拥有强大的管理和监控能力，是与瑞星杀毒软件网络版2008企业版同级产品，可组建树状结构的多级系统中心，上级系统中心可直接控管相邻的下级系统中心及其下的客户端，每个系统中心可管理的客户端数量无具体限制。通过该系统，可实现企业反病毒的统一管理和分布管理；统一管理表现为由上级中心统一发送病毒命令、下达版本升级提示，并及时掌握整个网络的病毒分布情况等，分布管理表现为下级中心既可以对收到的上一级中心命令做出响应，也可以管理本级系统，并主动向上级中心发送请求和汇报信息。