阿尔西IT外包规划方案设计_第1页
阿尔西IT外包规划方案设计_第2页
阿尔西IT外包规划方案设计_第3页
阿尔西IT外包规划方案设计_第4页
阿尔西IT外包规划方案设计_第5页
已阅读5页,还剩62页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

资料范本资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载阿尔西IT外包规划方案设计地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容阿尔西IT外包规划方案上海宝信软件股份有限公司2008年7月28日目录

阿尔西调研1.需求分析宝信已经拜访过阿尔西两次,第一次拜访时了解到了阿尔西内网桌面安全管理方面的实际需求;宝信的内网安全解决方案得到阿尔西梁总的认可,第二次拜访阿尔西时,了解到阿尔西需要IT外包的远期规划方案,通过这两次的拜访和了解,宝信有这样的实力,可以提供给阿尔西一个当前和远期需求的规划方案。宝信的规划方案中包括内网安全解决方案、网络优化规划方案、网络安全规划方案、关键数据备份规划方案、计算机系统运维规划方案、员工IT素质培训规划方案,共五大项的整体外包方案。2.整体外包规划方案宝信根据阿尔西整体外包项目规划方案,共分为五期完成:第一期、内网安全解决方案(今年8-9月份实施)从信息安全的发展趋势来看,内部网络安全的重要性日益凸显,已成为信息安全体系中最重要的一环。根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,因此,内部网络的运行存在着很大的一个安全管理盲区。第二期、网络优化规划方案&网络安全规划方案根据阿尔西外网业务和功能的后续不断扩充,建议划分为五大区域:用户接入区、安全管理区、对内服务区、对外服务区、Internet连接区,各区域之间通过防火墙隔离。从安全防护的角度来看,当前的安全系统建设已经取得了一定的成效,为阿尔西信息系统的正常运行提供了较好的支撑,在本期项目中将从整体安全保障的角度进行规划和设计,使系统更加符合国家相关政策要求。第三期、关键数据备份规划方案阿尔西系统中的数据目前主要集中存储于基于单机的磁盘阵列中,包括了所有的业务数据。这些数据通常是以数据库和文件的形式保存在磁盘阵列中。对于这些数据而言,对它们进行科学合理的日常数据备份以及在条件具备的情况下分期是现数据级的以及应用级的远程容灾保护是实现业务应用信息安全的重要保障和满足灾难发生后及时恢复日常工作的基础,因此该系统的数据备份及荣在今后将会逐步成为整个信息系统中的最主要的组成部分之一,因此我们需要充分全面地考虑系统的数据备份容灾保护问题。第四期、计算机系统运维规划方案计算机系统运维是计算机管理的核心和重点部分,也是内容最多、最繁杂的部分,该阶段主要用于IT部门内部日常运营管理和专业维护。第五期、员工IT素质培训规划方案对非IT工作员工做应知应会的计算机使用常识培训,对IT工作员工和高级管理人员可进行计算机运维管理能力的专门培训,包括主机系统、网络系统、安全系统、应用系统、桌面系统全方面。内网安全解决方案1.内网安全管理概述1.1什么是内网安全管理国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将内网安全管理理解为:通过采用各种技术和管理措施,使内部网络系统正常运行,从而确保网络数据的可用性、完整性和保密性,建立一个可信、可控的内部安全网络。可信可控的内部网络架构应该具有如下特征:网络中的行为和行为中的结果总是可以预知与可控的;网内的系统符合指定的安全策略,相对于安全策略是可信的、安全的;可信可控网络架构的推出,可以有效地解决用户所面临的如下问题,如设备接入过程是否可信;设备的安全策略的执行过程是否可信;安全制度的执行过程是否可信;系统使用过程中操作人员的行为是否可信等。符合“可信可控”理念的内网安全管理体系可以实现用户网络安全资源的有效整合、管理与监管,实现用户网络的可信扩展以及完善的信息安全保护;解决用户的现实需求,达到有效提升用户网络安全防御能力的目的。1.2内网安全管理的意义与重要性长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对网络安全的认识被广泛误导。认为全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统,这种看法对用户实施有效的信息安全保护带来了不良影响。信息安全的建设是一个系统工程,它要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要兼顾用户环境不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。从信息安全的发展趋势来看,内部网络安全的重要性日益凸显,已成为信息安全体系中最重要的一环。根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,因此,内部网络的运行存在着很大的一个安全管理盲区。以下是几个真实案例:西安某研究所核心技术资料失窃案,损失3000万;国务院领导到某国营单位视察,员工在内部论坛发布不合适信息造成不良影响;云南某公司服务器IP地址被非法盗用,导致公司业务中断四小时,损失巨大;苏州某化工公司技术泄密案,损失1亿元;Google内部文件不慎泄露

股价再度受挫下滑。由此可见内网安全隐患是真正使组织面临实际的威胁。若是忽略了其内网安全防范措施,将损失许多宝贵的核心数据、专利技术信息,多年累计的技术资产和研发投入成为他人的嫁衣,甚至可能因此失去竞争力。

组织还可能丧失的是其声誉,以及员工、合作伙伴与客户的信赖。在网际网络更加普及化之际,组织将面临以下的重要课题:1、

核心技术专利数据:如何保护这些核心机密不受到内部或外部的恶意威胁,例如人员跳槽或是违规泄露、拷贝等等;2、业务流程:如何保护组织正常业务活动不致因为内网网络与资源受到不当或非法使用而遭受损害;4、效能损失:如何确保员工的网络行为是最大服务于组织的发展;5、声誉损害:如何保障不致因内网防护不当、传输效率过低等因素而造成组织的信用及声誉的损害。大多数组织重视提高网络的边界安全,但是其网络的核心内网还是非常脆弱的。实践证明,很多成功防范网络边界安全的技术对保护组织内网却没有效用。1.3宝信内网安全管理方案特点简述本方案系对阿尔西的整体内网安全管理体系提出建议,采用基于业界最领先的内网安全管理产品――宝信软件的网络巡警eCop和解决方案。1.3.1宝信内网安全管理方案的技术优势1、功能全面性、领先性:宝信网络巡警eCop从内网安全的各个环节入手,提供了全面、完善的功能模块,特别是在接入安全管理、补丁管理等方面的技术优势,为用户提供完整的内网安全解决方案,保障信息安全体系的建设。2、软硬件一体化设计:eCop采用先进的软硬件一体化的功能控制器设计理念,并针对产品功能进行优化设计,实现了硬件平台与软件系统的无缝整合,保证整个系统安全性与稳定性。3、功能模块化:eCop采用功能模块化的设计理念,使得其产品功能可以灵活组合,有效的节省用户投资,升级也可以做到新功能的“即插即用”。4、兼容性:eCop是一款旁路设备,使用时将其接入网络即可管理,不会影响用户现有网络及应用环境,与其它信息安全产品也可以很好的协同工作。5、适应性:eCop可以适应不同规模和复杂度的网络。对于中小型的局域网,仅使用一台或几台eCop即可进行管理;而对于5000个节点以上的大型的网络,可以使用分级管理,集中汇总的协同工作模式实现对全网的管理。1.3.2宝信内网安全管理方案的核心优势1、软件成熟度5级认证(简称CMM5):宝信软件是国内为数不多通过CMM5级认证的软件企业,拥有成熟的软件开发过程管理和工程能力。2、管理体系:宝信软件拥有一套完整的信息安全体系建设流程,方案注重安全策略的引入,通过管理策略与技术的有机结合搭建有效内网安全架构。3、产品成熟度:宝信公司于2002年5月份就推出了内网安全管理产品eCop。从软件的生命周期来看,一款软件产品通常需要两年以上的成长才能逐渐稳定、成熟。eCop经过4年以上的研发、实施,已经形成了完整、成熟的内网安全解决方案。4、应用案例:eCop在国内各行业均有高质量的成功案例,并且通过对这些案例的跟踪和调查,已经总结出成熟的行业解决方案与宝贵的实施经验。5、售后服务与支持:宝信公司通过四年多的努力,已经建立了三级eCop技术支持架构和完善的售后服务流程。并在全国各分机构、渠道代理商中培养了一大批eCop支持工程师,可以对客户的各种服务需求及时做出高质量的响应。2.阿尔西需求分析2.1阿尔西项目背景2.1.1阿尔西网络结构整个网络的拓扑如下图示:总部大楼网络属于阿尔西内网的核心所在。大楼内有线网络共划分约6个网段和无线网络。各楼层接入交换机通过电缆直接接入核心交换机。目前共有150台左右的办公电脑。2.1.2阿尔西内网安全管理项目需求项目范围项目范围包括VLAN4、VLAN5、VLAN6,共三个网段。项目设计目标阿尔西内部网的安全建设总体目标是:在不影响阿尔西当前业务的前提下,根据计算机信息系统安全保护等级划分准则进行安全建设,从实际需求出发,实现网络信息严格保密的需要,同时系统应是一个具有灵活性,开放性,便于扩充升级的综合系统。阿尔西内网安全管理项目最终需要达到以下效果:1)终端资产管理:包括硬件信息和软件信息的快速全面收集,并在此基础上记录变更信息。2)外设与端口管理:管理人员可在控制器端设定启用或禁用各计算机的外围设备,包括软驱、光驱、U盘等设备。3)文件记录功能:包括在打印机、服务器、U盘上文件存储的记录功能。4)远程管理功能:包括屏幕监控和远程控制功能。以上1、2、4点NSM5.2都可以满足,由于新版本设计时的产品理念和技术发展方向上有所改变,取消了上面的第3项文件记录功能模块。但如果必须用到这个功能,建议用户采购宝信的NSM3.0版本。2.1.3NSM5.2版本新增和更新升级功能NSM5.2版本的新增功能如下:软件的扫描代理(简称SA,ScanAgent,又称IPA):NSM3.0版本的IPA是部署在宝信核心处理器(CM)后的硬件设备,当管理网段超过3个时,进行扩充网段使用,当然会相应增加硬件成本。NSM5.2版本软件的扫描代理(SA)可以降低其硬件成本。客户端非法隔离:在更新管理监控和防病毒软件监控模块,支持对非法终端的隔离。在更新管理监控模块和防病毒软件监控模块,管理员可以针对组织机构配置对应的更新服务器IP地址和防病毒软件的服务器IP地址,当终端隔离后,就只能访问配置的IP地址(与核心处理器(CM)永远保持通讯状态)。防病毒软件监控模块服务器地址配置更新管理监控模块服务器地址配置控制代理(MA)模块没有部署SA的网段,可以由MA负责扫描,但是由于SA是利用ARP包方式进行扫描,MA是利用TCP进行扫描,两者存在区别,导致用MA扫描只能发现在线节点的IP地址,而不能获取到MAC地址,所以,用MA扫描方式就无法进行接入控制了,只能进行健康体检。数据优化对CM上各种数据(报表文件,定期截屏文件,数据库归档文件,数据库中各种审计、报警和日志信息)进行定期的清理或者备份,防止由于磁盘空间满造成问题,同时提高数据库查询的速度和数据的安全性。用户可以配置磁盘报警阈值,在磁盘使用率到达阈值后会启动报警告知管理员;支持FTP外传备份文件机制;支持对历史数据的查询。分布式部署支持-数据中心(DC)开发了eCop数据中心,可以管理CM和数据中心,从而可以实现CM和DC的多级部署和管理。NSM5.2版本的更新升级功能如下:更新管理优化弱化了和WSUSSERVER的关系,原来是等待WSUSSERVER汇报各个客户端更新安装情况,现在客户端主动调用WSUSSERVER的接口,及时了解更新安装情况,并根据管理员的配置进行合法性判断。支持对一般更新的时间策略监控(在更新审批后一段时间内安装即可)和重要更新的截止时间测试监控(一定要在某个时间点之前安装好配置的更新)。防病毒监控优化改进了原有防病毒软件特征项需管理员频繁维护的不足;新增了客户端防病毒软件安装情况查看功能和基于防病毒软件信息的综合查询功能;同时在设计上允许客户端多个防病毒软件的可选择性安装,拓展了防病毒软件检测使用的灵活性;支持对不同操作系统配置不同的特征值,以满足不同防病毒软件对操作系统支持的变化。按照接入控制和健康体检调整系统围绕接入控制和健康体检两条主线进行重新规划,使得重点更新突出。特别提醒的是原有底帐管理现在改成了接入控制中的接入准则配置。手工添加交换机有些交换机在不能自动扫描出来情况下,可以通过手工添加后识别。SA自动升级本模块可以按照不同的需求对每个控制代理配置对不同SA是否开启升级功能,以保证SA可以在版本更新时自动完成更新。同时可以针对急需升级的SA进行立即升级。硬件变更监控中去掉了鼠标和键盘的监控考虑到实现复杂,而实际上用户需求很小,所以从这个版本去掉了此功能。jakaMonitor监控程序增加jakaMonitor监控程序,在tomcat异常后会自动重启,提高系统可用性。增加公司情况描述和系统版本介绍在系统管理的系统运行维护菜单下,增加了系统信息页面,来描述有关系统的基本信息。系统管理-->系统运行维护-->系统信息页面2.2内网安全运行管理风险分析基于上述对内网现状的分析,评估阿尔西目前内网管理是否存在以下不足:2.2.1安全策略是否拥有一套面向网络的建设者、管理者和使用者的适合组织的安全管理策略和管理规范,为内网安全提供管理性的指导和支持。2.2.2员工安全意识风险组织内员工是否意识到信息安全的威胁和利害关系,并在日常工作过程中支持组织的安全策略。2.2.3信息资源的访问控制风险是否拥有完善的访问控制策略以防止对信息系统的未授权访问;防止未授权用户的访问;保护网络服务;防止未授权的计算机访问;防止对信息系统内信息的未授权访问;探测未经授权的活动;确保移动办公和远程工作的安全。2.2.4资产管理风险是否拥有完整的资产管理策略以确保信息处理设备正确、安全的运行;将系统故障的风险降到最低;保护软件和信息的完整性;维护信息处理和通信服务的完整性和可用性;防止资产损坏、业务活动的中断。2.3阿尔西内网潜在风险评估2.3.1是否拥有完善的节点接入管理策略节点接入安全常见问题主要表现为以下两方面:1、IP地址盗用:恶意的盗用可能基于不可告人的目的,如:逃避服务器的记录、让服务器或某些重要主机无法上网;而非恶意的改动也会造成同样的后果。2、外来设备的非法接入:将非法计算机接入网络,盗窃网上的资源,甚至对主机发动攻击。出现概率:低影响程度:高处理建议:通过浏览器方式实现远程异地管理整个内网的IP地址资源,监视IP地址的使用情况。并有相应的技术手段来实现对IP地址盗用、非法节点接入等违规行为的自动发现、阻断、报警和日志记录策略。2.3.2是否有适用的资产信息管理手段目前,管理人员对所管辖网络的资源占用和用户情况难以准确掌握,对实际接入的计算机数量难以进行精确的统计,对面临的危害难以做出动态的评估和有效的防范。出现概率:中影响程度:高处理建议:阿尔西的内网安全管理系统应该帮助管理人员建立起台帐信息,对所有接入计算机的用户信息进行登记注册。在发生安全事件时能够以最快速度定位到具体的用户,对于未进行登记注册的微机,能自动将其隔离在系统之外;同时,内网安全管理系统也应该能够自动搜索各微机的软硬件信息,并能够对这些信息进行统计和分析,生成相应报表;另外,内网安全管理系统还应该与安全策略紧密结合,自动收集与安全相关的一些系统信息,包括:操作系统版本、操作系统补丁、软硬件变动等信息,同时针对这些收集的信息进行统计和分析,给出安全状况报告。2.3.3对外围设备的使用能否有效管理计算机的外围设备为各种信息在不同的计算机设备之间交流提供了一个方便的途径,通过它们可以将各种信息复制到不同的计算机中,也包括病毒、木马等。与此同时,内网中的主机上保存着一些涉密的内部信息,这些信息不能够随意地被传播。出现概率:低影响程度:高处理建议:对外围设备的使用进行控制,不允许随意地使用外围设备拷贝机密数据。内网安全管理系统应该实现对各客户机外围设备的集中监视和控制,通过在管理端进行设置,可禁止和启用各客户机的外围设备,有效地保护计算机上的信息。2.3.4缺少对客户端进程的监控措施阿尔西内部存在违规使用软件的行为。员工在计算机上安装使用游戏软件、盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦;这些行为不仅降低员工的工作效率,且对内网构成重大的安全威胁。出现概率:低影响程度:高处理建议:内网安全管理系统应能自动搜集各计算机所有的软件信息,形成内网计算机的软件资产报表,从而使管理员全面了解各计算机安装软件的信息,及时发现安全隐患并予以解决。同时,管理员可以在管理端配置软件运行预案,指定内网计算机必须运行的软件和禁止运行的软件,从而对计算机的软件运行情况进行检查,对未运行必须软件的情况发出报警,终止已运行的禁用软件的进程。2.3.5是否拥有完整的补丁管理策略操作系统补丁管理始终都是有必要的,是个不容忽视的重要任务。如果不实施全面的补丁策略,则后果可能会很严重:关键任务生产系统会失败,安全性敏感系统会受到恶意利用,从而导致时间和相关业务收入的损失。组织应该采取以下步骤:正确地配置系统,使用最新的软件,以及安装建议的有效性和安全补丁。出现概率:低影响程度:高处理建议:阿尔西内网安全管理系统应具有补丁管理功能应该帮助组织对产品环境中的内部操作系统软件进行部署和维护控制,帮助组织保持运作效率和有效性,克服安全漏洞并保持生产环境的稳定性。通过成熟稳定的补丁管理程序在网络环境中评估并保持系统软件的完整性,也是成功实施信息安全程序的首要关键步骤。2.3.6缺少有效的终端远程管理措施随着网络规模的日益扩大,工程人员对网内客户端进行管理和维护工作时,如果全部对现场机器直接操作,需要花费大量的时间和精力。这就需要一种安全可靠的远程控制解决方案,它可以使管理员通过网络远程进行连接、安装、配置和排除故障。出现概率:低影响程度:高处理建议:内网安全管理系统应该提供一种集中的手段来部署、监视并且管理分散的IT设备。工程师不再需要到每一台客户端所在的现场进行操作,坐在一台安装有管理器的计算机前,就可以方便、快速地完成维护、配置、重启机器的工作。2.3.7是否拥有完整的身份认证与授权策略身份认证服务是帮助系统识别用户的身份,决定并控制他们在网络上能干什么工作,即所谓的授权管理。组织内多套信息系统的多帐号身份认证和权限管理将会带来管理上的重复和不一致性,也可能导致管理混乱,带来安全漏洞。出现概率:低影响程度:高处理建议:内网安全管理系统应该实现多信息系统的统一用户身份认证和授权管理,为实现阿尔西统一门户、单点登录提供手段。3.阿尔西内网安全管理解决方案3.1内网安全策略3.1.1内网信息登记策略通过自动收集以及注册登记相结合的方式,收集全网设备信息(如终端IP/Mac地址、服务器、软硬件信息等),并按照组织机构归类。这样在发生安全事件后,可迅速确定安全事件源,采取有效措施。3.1.2内网管理责任制度本方案基于阿尔西组织结构管理,可在各管理节点分别设立专门的工作人员-部门管理员,对所管理范围内的内网进行日常的维护。他们的工作职责是:与内网安全管理中心沟通;内网的日常维护;接收所管理范围内的违规报警信息;处理产生的安全事件,确定事件源;定期的安全评估;提交可疑的事件样本、日志。同时在阿尔西内网安全管理中心设立一名全网管理员,他的工作职责是:收集各部门管理员提交的事件样本、日志及产品使用过程中遇到的问题,提交给宝信软件或集成商,作为三方沟通的窗口;制定并推行内网管理策略;实时了解全公司范围内网防护状况,并作出安全评估,对出现管理漏洞的管理节点提出相应的改进建议;了解最新的产品信息,发布给各部门管理员。设立独立的审计帐号,记录全网管理员与部门管理员的操作日志,因此建议在阿尔西管理部门设立一名审计员,他的工作职责是:审计全网管理员操作日志;审计部门管理员操作日志;3.1.3定期安全事件评估部门管理员将每周发生的安全事件汇总并进行详细评估,查找安全事件原因,并将此报告提交至该部门管理人员,督促该人员增强自身管理。全网管理员收集各部门管理员提交的安全评估报告,进行总结,并提交给领导。3.2内网安全域的划分安全域是指根据一定的分类方法,将一定数量的主机划分在同一个范围,使这些主机从逻辑上是在同一个安全区域。对网络内部的主机进行安全域的划分,主要考虑。3.2.1安全管理的需要管理者需要对网络内部大量的、分散的主机进行有效的管理,就需要进行安全域的划分。按照一定的分类方法,管理者可以将“大量的、分散的”主机安置在不同的安全域,每个安全域都只是包括了可管理数量的主机,使得每个安全域的内部安全管理都变得切实可行!而不是使安全管理变得复杂而不具可操作性,也不会使安全管理变成了整个内网安全体系的瓶颈。3.2.2安全策略的需要安全域的划分为安全策略的制定提供了基础,管理者可以根据不同安全域的不同安全需求,并结合相关管理制度,为每个安全域都制定相应的安全策略,使得网络的内部安全管理可以有层次的,同时也是全面的安全管理。内网安全域的划分通常有两种方法:按照主机安全级别。根据主机可能接触信息的安全级别来进行划分;按照机构内的行政范围。根据机构内部的行政范围来进行划分,如:财务科(安全域)、生产科(安全域)等。3.3宝信内网安全产品部署与建议3.3.1eCop部署拓扑如上图示,宝信网络巡警eCop主要由如下部分组成:eCop中央控制器、控制代理、扫描代理、eCop客户端、更新管理监控端、DHCP代理、报警精灵、远程桌面管理。部署说明:eCopNSM

=1\*ROMAN

I

型共三个网口LAN1、LAN2和LAN3,三个网口全部接入到核心交换机上,分别管理内网中的VLAN4、VLAN5和VLAN6,共3个网段。当这3个网段中有违反策略的客户端时,可以将其放到虚拟隔离区中,客户端只能访问指定的服务器,升级到符合接入策略后才能允许访问局域网内相关权限的资源。宝信软件eCop产品是基于B/S结构进行管理,任意一台网内计算机都可作为管理控制台,输入相应的用户名和帐号即可进入管理界面。中央控制器(简称CM,CentralManager)中央控制器是eCop产品体系的管理核心,采用B/S模式、软硬件一体化设计,实现对全网数据的收集统计和分析,是数据存储和提供用户交互接口的设备,通过升级包升级。根据启用的管理功能和管理的网络规模、终端数量,有5个级别的设备可供选择,针对多个中央控制器,还能够架构一个上层控制中心,汇总多个中央控制器的数据。控制代理(简称MA,ManageAgent)控制代理完成对扫描结果的逻辑处理,以及获取中央控制器的指令,对管辖内的扫描代理发布控制指令和配置信息,同时负责扫描关联的交换机,以获取交换机端口与接入设备的MAC地址对应关系,实现对交换机端口接入的控制。中央控制器内置一个控制代理。扫描代理(简称SA,ScanAgent,又称IPA)接入控制功能启用需配置中央控制器、扫描代理和控制代理。每个扫描代理管理一个物理网段(主动扫描模式一个网段不超过1024个节点),能够为软件形式(安装在98/NT/vista外的windows系统上),也能够是软硬件一体化的设备(内置3个扫描代理),主要取决于对安全级别和部署成本的要求。在运行过程中,硬件设备与软件部署对于控制代理是透明的,一个网段内最多安装3个代理,会按照启动顺序自动选举一个处于活动状态,其他代理处于休眠状态。中央控制器内置一个扫描代理。安全客户端(另称LsAgent)终端健康体检功能依靠安装在每个终端上的安全客户端来实现。安全客户端直接与中央控制器通过https通道进行通讯。当相应客户端的配置发生变更时,中央控制器会主动通知客户端,客户端会根据中央控制器负载情况主动获取新的配置;当客户端监测到有配置的审计事件发生,会根据中央控制器负载情况,向服务器发送审计记录。更新管理监控端(另称WSUSMonitor)配合WSUSServer进行windows更新管理,需要在WSUSServer上安装监控程序WSUSMonitor。DHCP代理(另称DHCPSniffer)为支持DHCP的IP接入控制,需要在DHCPServer上安装DHCPSniffer。如果使用非windows系统的DHCP服务器,则无法安装DHCPSniffer,同样也无法启用eCop系统在相应网络范围内的动态IP地址管理功能。报警精灵(另称AlarmGenius)用户能够在一般的客户计算机上安装报警精灵,以获取系统发出的管理员报警信息。远程桌面管理(另称Lanseeker)如有远程桌面管理的需求,可在管理员计算机上安装Lanseeker监控端,在需被控制的计算机上安装Lanseeker客户端。3.3.2eCop部署建议根据阿尔西内部网络潜在的威胁分析,结合宝信eCop网络巡警的特性,由点及面,全方位部署,彻底截断病毒入侵的所有途径。1、在阿尔西总部中心机房部署一台eCop5CMI型中央控制器,支持最多250个客户端。该中心配置可以解决内网安全中的终端接入控制、终端健康体检、终端运行维护、审计报表等所有模块的策略配置和数据汇总功能。2、将中央控制器接在核心交换机上,用eCop5CMI内置的控制代理和扫描代理来管理3个VLAN网段。内网分配IP地址如果是采用动态分配的方式,同时还需要在动态分配IP地址服务器上安装DHCPSniffer监控端,从而完成IP地址管理总体配置和部署实施问题。3、在内网各计算机上安装客户端程序,来保证客户端管理策略的实现。客户端程序采用了多线程保护等多种手段,保证驻留程序不被卸载和停用。从而完成整体的内网安全解决方案的部署。4、在总部中心架设一台监控管理服务器,包括远程桌面监控、更新管理监控、实时报警监控。3.4内网安全管理体系架构基于上述安全策略及对该领域技术发展前景、产品的性价比等综合因素,宝信软件建议阿尔西采用网络巡警eCop搭建内网安全管理架构:3.4.1eCop简要说明上图中各子系统的功能如下:1、终端接入控制是用户构建“可信”内网环境的稳固基石。管理和控制接入内网的各类网络设备,包括计算机、服务器、交换机等具有独立IP和网络接口的设备,设定接入策略,不符合策略的终端不能入网。该功能综合了eCop系列产品的3种技术:基于ARP原理的IP地址阻断与保护、基于交换机端口控制的管理功能,基于客户端自检的网络访问控制功能,高效的扫描引擎快速并准确的扫描到节点,形成灵活多样的网络设备接入控制功能;2、终端健康体检是用户构建“可控”内网环境的中流砥柱。监控安装MicrosoftWindows操作系统(除Win98/Vista)的计算机、服务器,能够监控windows补丁和防病毒软件安装运行情况,做好终端安全防护;监控计算机外设使用、外联拨号、USB设备使用,并增强了USB设备文件加密功能,防止机密信息泄露;监控计算机软硬件安装和变更、进程运行情况,提高内网资源使用效率。发现不符合“健康”标准的终端,则可以采取警告、隔离、阻断等措施,直到恢复要求才许入网;3、终端运行维护通过系统的自动搜集和更新功能,并辅助以手工添加的形式,逐渐形成按照组织机构的IT资产信息,包括计算机、网络节点信息等。若与管理制度相结合,提高资产利用率,使管理更规范快捷。提供终端截屏功能、远程桌面监控功能,减轻管理员远程维护的工作困难,是实现“可管”内网环境的有力辅助;4、审计中心完全用户自定义的审计功能,按用户需要记录用户最关心IT资产的使用、变化和违规信息,为用户合理规范地使用IT资源以及事件故障的追溯提供有力依据,数据有统一的图表展示和分析,并且可以支持长期保存;5、系统管理完成对安全管理及监控系统自身的管理和配置功能,该子系统划分为运行环境配置、用户机构管理、管理权限维护和系统运行维护四个模块。3.4.2eCop优势特点1、系统运行稳定,可靠性高专业软硬一体的监控设备,采用专门定制的并经严格测试硬件设备,保证了内网安全管理系统可以长期、稳定运行。旁路接入设计,当产品发生故障时适时断开网络,不会影响到企业主营业务的开展。客户端目前支持Windows主流操作系统,运行稳定,占用系统资源很低。2、准确并高效的网络扫描机制通过TCP扫描、交换机扫描、ARP扫描3种引擎以及安装的安全客户端对节点进行接入检查和健康体检,高效准确的组合扫描机制是确保整体系统可靠运行的保障,同时又是有效的网络接入控制手段。3、丰富并可灵活组合的终端健康体检功能为计算机维护和管理人员提供了有效的技术手段。健康体检功能涵盖了日常的终端运维和终端安全工作,从计算机使用的各个方面规范和监督用户,为组织的管理制度实施提供了有效的保障。用户可根据需要灵活组合各模块。4、多层次管理和策略控制可以按照不同的组织机构层级或者个人设定不同管理控制规则。根据组织机构和功能模块的两维授权体系,可以灵活应对不同组织内的授权管理要求。5、自定义的审计中心和全面的报表功能完全由用户自定义,避免大量无用数据,大大简化管理员的日常工作。用户可以定义报表模板和任务。6、高度适应环境变化,不需对网络进行特殊配置市场上多数接入控制系统利用交换机VLAN分隔方式,或通过交换机的802.1X协议扩展主机名、MAC地址绑定的方式实现接入控制,这些方案配置管理不够灵活方便,对网络设备硬件要求高,对管理维护人员技术水平有较高要求,有些系统需要对现有网络环境进行较复杂的配置甚至是改造。而eCop支持各类网络环境,采用旁路接入的方式,不需要用户对网络环境做特殊修改。交换机扫描和端口管理支持当前大多数主流的交换机产品。7、部署应用灵活分布式架构,适应超大网络规模的部署和应用。B/S系统结构。整个系统的管理和设置全部基于Web方式,在Web上就可以直接管理内网安全管理的运行,监控整个网络的运行状况。通过对策略模板的集中管理和应用,保障了整体策略的贯彻实施;同时模板的灵活性又保证了安全策略针对不同的应用环境可以灵活定制。8、可扩展性强可开放标准接口与外部系统联动。另外,eCop-NSMV5产品是宝信软件股份有限公司内网安全系列之一,同系列还包括宝信智能安全网关eCop-XSA等其他涉及边界安全、内部安全的产品。使用eCop内网安全系列产品,可以很方便的实现与eCop-XSA的联动,进而形成功能扩展。例如,可以通过eCop-XSA作为VPN的接入网关,同时通过与eCop-NSMV5联动形成VPN接入体检与健康体检系统。3.5终端接入控制网络接入控制已经日益得到企业用户的重视,因为只有确保内网接入的设备可信并受控,才能有效的保障内网安全。而接入设备如何才是可信,能够控制到何种程度,结合多年内网安全产品研发和市场推广经验,eCop-NSMV5提供如下功能:3.5.1自定义的组合接入检查策略节点MAC地址是否进行过登记,是否使用了合法绑定过的IP地址,是否从指定的交换机端口接入网络,是否安装并正常运行了安全客户端程序,都作为接入体检策略的备选项之一。不同的用户能够根据自己实际的网络环境和管理要求选择合适的接入策略。3.5.2灵活的接入控制手段支持主动扫描与被动侦听的管理方式,对于发现试图接入的不合法设备,能够采用IP地址保护、ARP阻断、关闭交换机端口、关闭违规计算机网络接口等方式对其进行控制,用户能够选择适合自己实际应用的方式进行控制。3.5.3自定义接入策略模板根据多年应用经验,为接入控制配置提供最大程度的灵活性,针对不同的应用类型提供了合理的参数范围和缺省值。用户可自定义接入策略模板,模板集中管理和应用,以保障组织的接入安全策略得到贯彻,同时减少重复的配置工作。3.6终端健康体检网络设备完成合法接入,只能保证接入设备初始是合法的,但是要保证在运行过程中符合组织的安全使用规范,只能依靠在运行过程中持续的进行健康体检。对于安装了安全客户端的计算机,能够采用客户端网络访问控制的方式限制其网络访问范围,形成一个逻辑隔离区,体检未通过的计算机,能够在此中间层内进行更新以满足体检策略。3.6.1安全客户端采用windows驱动层和应用层相结合的技术实现,在保证实现管理功能的同时,架构设计保证能够占用尽量少的系统资源,并且运行稳定。客户端程序作为服务在操作系统启动时自动启动,具有防恶意卸载功能。支持在线安装、卸载和离线安装、卸载,中央控制器能够快速准确的检测安全客户端的运行状况。系统通过客户端完成对终端计算机的安全防护、健康体检、资产自动收集和维护。3.6.2更新管理与WSUS3.0相配合,能够在中央控制器上为每个组织机构设置适合的标准更新模板,客户端结合配置的策略进行本机更新检查,对于不满足更新策略的情况进行警告,并且提供手动和自动的方式进行更新的下载和安装。对于组织内计算机对于更新的安装情况进行统一管理,及时地发现组织内部的防御漏洞。3.6.3防病毒软件检测支持国内外当前主流的防病毒软件检查,能够及时查询防病毒软件引擎和病毒库版本,并且支持注册表方式扩展。能够针对不同的组织机构设置合适的标准防病毒软件模板,支持一个组织机构内安装多种防病毒程序,支持对不同的操作系统配置不同的特征项值。3.6.4USB存储设备认证与加密针对USB存储设备这种当前最常见的移动存储设备,制定了设备认证和文件加密相结合的保护方式,只有经过本组织机构认证后的USB存储设备,才能够在装有安全客户端的本组织主机上被启用。可配置USB存储设备为加密设备,则写入该USB存储设备的文件将会自动被透明加密,只有装有安全客户端的计算机才能进行透明解密读取文件内容。U盘中的文件全部可见,加密文件打开为乱码。加密和解密目前采用的是对称算法,写入U盘,加密,从U盘读,则会解密。设置为加密U盘前原有文件对不安装客户端的计算机来说是明文,安装了客户端的计算机读取时就有一次加密,因此读入为乱码。对USB存储设备有文件审计,记录文件的创建、修改和删除。3.6.5外联监控通过配置连接参考点和标准路由信息来对主机进行联网检测,以检测各种途径的非法外联事件、脱离内网的不安全操作等。3.6.6外设控制全面控制软驱、光驱、USB接口、Modem、并口、串口、1394口、红外口等常用外设接口能否使用,进而控制这些接口连接的外围存储设备、打印设备等,控制机密信息的泄漏途径。3.6.7硬件变更监控快速全面收集计算机的硬件信息,并在此基础上记录变更信息。能够定义规则以检测重要硬件的变更,以审计变更事件,并进行报警处理。硬件信息的变更直接更新资产信息。3.6.8软件监控监控计算机软件安装情况,设置“必须安装”和“禁止安装”的策略,对违规安装软件的计算机进行警告、记录、报警、阻断等操作。3.6.9进程监控监控计算机进程运行情况,设置“必须运行”、“禁止运行”、“监控运行”3种策略,控制指定进程的运行状态。3.7终端运行维护终端运行维护模块是实现“可管”内网环境的有力辅助。提供资产管理、远程截屏、远程桌面监控功能,减轻管理员远程维护的工作困难。3.7.1资产管理按组织机构管理,实现设备信息的注册和审批。计算机安装了安全客户端后,可以自动搜集系统、硬件、软件信息,并自动更新其变更情况。对于资产情况可进行用户自定义的组合查询。3.7.2定时截屏功能按组织机构设定截屏参数;可对任意一台安装了eCop客户端且在线正常的机器进行实时截屏;可任意选中一个或多个或一定范围的计算机进行定时截屏;可定义时间段进行定时截屏,并设置图片大小、截屏周期;可以查看客户端截屏画面,并可以通过幻灯片的方式循环播放3.7.3客户端远程卸载管理客户端卸载有页面卸载和远程卸载两种方式,通过该功能模块创建卸载许可证进行远程卸载。3.7.4远程桌面管理Lanseeker远程桌面管理LanSeeker用来在局域网中部署、监视并且管理分散的IT设备,诸如终端、服务器、和工作站,是eCop产品家族中的一款远程监控软件。Lanseeker主要功能有:屏幕监视:实时获取客户端计算机上的屏幕图像,显示在监控端机器的画面上。开多个窗口能够同时监视多台计算机的画面。可以用于工程项目中实时查看现场终端的运行状况,也可以作为主管查看员工工作进度的工具。远程控制:用户通过LanSeeker创建一个虚拟的网络计算机,可以使用客户端上允许使用的各种资源,对计算机进行远程控制,与直接操作客户端计算机没有区别。3.8审计与报表安全审计中心根据用户配置的审计策略和报警策略汇总各类审计信息和报警信息,提供丰富的查询功能,方面用户进行查询和问题追踪。报表模块中内置了最常用的审计记录报表、报警信息报表和终端资产信息报表,用户可以进行实时报表浏览,或者定制报表模板,或者定义报表任务,报表任务支持日报表,周报表,月报表和定时报表;报表任务生成的报表文件提供下载列表。系统对审计信息,报警记录,报表文件和终端截屏文件大数据量数据进行管理,以免系统磁盘空间不足,导致系统不能正常运行。用户可以配置系统磁盘预警和阈值,当达到预警值后发送报警,达到阈值后,可以删除数据或者按照配置的ftp服务器,上传数据。3.9配置与维护系统配置中心完成运行环境的配置,创建用户、组织机构、群组,并可根据需求进行管理权限配置和下发。系统维护中心完成系统升级、数据库备份、数据库清理、工具下载等功能。4.成功案例4.1典型用户列表4.2行业典型案例4.2.1宝钢股份内网安全管理平台项目建设背景宝钢股份网络采用以太网络,其中各个办公地点之间使用光纤连接。网络设备使用Cisco系列产品。宝钢股份内网截至目前划分VLAN共计75个,后期可能增至85个。其中eCop中央控制服务器与其他监控设备单独部署在一个网段之中。宝钢股份接入内部网络的计算机共有5000台左右,同属于一个网络安全范畴。IP地址采用静态指定的方式。宝钢股份内网安全管理系统的特点:1、全网部署eCop系统IP地址管理功能,解决IP地址滥用冒用和IP地址冲突的问题。2、宝钢股份各个部门安全等级大多是统一的,没有重点和非重点之分。3、宝钢股份有一个独立的信息化管理部门-宝钢股份设备部,负责宝钢股份网络管理的是通讯管理室,其中绝大部分的人为相关计算机专业出身,具备相关的理论水平和实践经验。4、宝钢股份网络环境运行稳定性要求比较高。同时宝信软件系统服务部和智能化工程事业部提供专业的技术支持,有一定的运行维护经验和管理水平。宝钢股份内网资源的特点:终端分散程度:二级机构众多,内网节点总数大,位置相对比较分散;问题与需求分析宝钢股份是国内规模最大的制造型企业之一,由于网络环境规模较大、节点很多,管理起来由一定难度。主要有下列需求:1、外联监控涉密网内的计算机不让访问外部计算机或者Internet;2、设备端口管理不允许用USB等设备拷贝资料,特别是计算机的通讯端口,一般需要禁用掉。3、资产管理由于二级单位使用的计算机比较分散,台帐不好管理,对“基础信息”和“资产信息”的集中管理的需求强烈。4、节点接入控制对于不是该内网的计算机接入内网,希望能对该未登记注册的计算机进行快速隔离和阻断。对于内部非法修改终端计算机网络设置的计算机能进行验证,即节点验证的需求。对于大厦中裸露物理网口的保护。5、访问权限控制宝钢股份客户端数目众多,管理人员较多,需要准确分清“你是谁”“可以做什么”等权限问题。6、服务监控内网中的计算机是很多都是通过服务器来获取网络共享资源,如果服务器宕掉,或者其中运行关键服务关键进程出现问题,将影响到内网信息的可获得性,也是影响信息安全的一个重大问题。方案设计eCop中心控制服务器部署在宝钢指挥中心计算机中心机房的管理网段内。由于宝钢股份目前没有实施客户端安全管理模块,因此目前只部署了eCop中央控制服务器1台和IP地址管理代理31套。整个实施方案工作的示意图如下:方案实施与效果整个方案的实施大致分为以下阶段:1、信息中心工作人员试用eCop。信息中心的人员先在自己部门小范围内试用,积累初步经验。2、全面部署IP管理代理,IP地址管理模块正式上线阶段,完成全网接入用户的实名管理和非法阻断。eCop的成功实施和稳定运行,规范了内网的IP地址管理,为内网规范化管理提供了技术保障,提升了网络和服务器安全管理的水平,达到如下效果:1、规范了网络接入的管理程序,新增加的需要接入内网的计算机,需要到信息中心报备和批准;2、杜绝了由于一般人员私自修改IP地址造成服务器冲突、停机的现象,避免了重大经济损失;3、极大减轻了管理人员的工作量;4、充分实现“以人为本”的理念,实现信息安全工作齐抓共管。网络优化方案设计1.外网网络及业务应用系统现状为确保网站的安全性和稳定性,同时保障外部用户访问网站的方便快捷,目前,外网局域网网络结构及设备连接现状图如下:总部以交换机为核心,从业务和功能方面,外网网络结构划分为以下几个VLAN:服务器分为VLAN1\VLAN2\VLAN3,三个区域;非研发部门独立在VLAN4区域;研发部门和PDM服务器独立在VLAN5区域;销售人员独立在VLAN6区域;所有区域与互联网逻辑隔离。还有一个分厂独立成为一个网络,和总部物理隔离。总部外网网络开通了一条互联网出口。2.系统设计原则高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各个系统的正常运行。技术先进性和实用性--保证满足系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到阿尔西网络应用的现状和未来发展趋势。高性能-承载网络性能是网络通讯系统良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为阿尔西各项业务开展的瓶颈。标准开放性--支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于保证与其它网络(如公共数据网、金融网络、行内其它网络)之间的平滑连接互通,以及将来网络的扩展。灵活性及可扩展性--根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和设备的调整。可管理性--对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。安全性--制订统一的骨干网安全策略,整体考虑网络平台的安全性。3.网络与网络安全系统方案设计3.1网络与网络安全系统总体架构根据阿尔西外网业务和功能的后续不断扩充,建议划分为五大区域:用户接入区、安全管理区、对内服务区、对外服务区、Internet连接区,各区域之间通过防火墙隔离。3.1.1用户接入区主要为阿尔西内部用户提供接入,因此在充分保证可靠性的同时,也必须实现数据的高速访问。3.1.2安全管理区网络设计该区域放置相关网络安全管理服务器。3.1.3该区域提供局域网内部用户相关关键应用系统提供接入。3.1.4该区域提供未来阿尔西对外关键应用系统提供接入。3.1.5目前该区域主要由一根Internet连接区成,后续根据业务进行扩充。3.2网络系统设计3.2.1用户接入和安全管理区网络设计用户接入区主要为阿尔西内部用户提供接入,因此在充分保证可靠性的同时,也必须实现数据的高速访问。用户接入区网络的设计分为两层:核心层和接入层。核心层采用两台核心交换机,两台互为主/备,同时提为接入层交换机及网络安全管理服务器提供双路接入,保证链路的可靠性。接入层交换机选用WS-C2960-48TC-L(提供了48个10/100/1000M接口及2个1000M接口),接入层交换机以2条1000M链路(办公楼接入层交换机通过多模光缆、综合楼接入层交换机通过单模光缆)分别上联两台核心层交换机,同时提供安全管理服务器的双路接入。用户接入区网络拓扑图如下:3.2.2对内服务区网络设计对内服务区由VLAN1、VLAN2、VLAN3、VALN5中的内部服务器组成,该区域提供局域网内部用户相关关键应用系统提供接入。因此在充分保证可靠性的同时,也必须实现数据的高速访问。对内服务区网络主要由2台CiscoCatalyst4506组成,两台互为冗余备份。同时为区域内的服务器提供千兆双路接入,保证服务器的冗余接入。3.2.3对外服务器网络设计对外服务区由VLAN1、VLAN2、VLAN3、VALN5中的外部服务器和未来增加的外部服务器组成。该区域提供阿尔西对外关键应用系统提供接入。因此在充分保证可靠性的同时,也必须实现数据的高速访问。对外服务区网络主要由2台CiscoCatalyst4506组成,两台互为冗余备份。同时为区域内的服务器提供千兆双路接入,保证服务器的冗余接入。3.3网络运维管理软件3.3.1需求分析随着信息化建设的不断推进,业务应用系统的不断开发和投入运行,IT系统管理的范围也越来越大,包括网络、服务器、数据库、应用系统、桌面系统,IT系统日益成为政府和企业日常工作的主要支撑平台。如何使IT系统稳定、可靠、安全的运行,如何使IT工作步入一个有序的、规范的层次,如何使IT系统更好的为业务系统提供服务,从而提高整体运行效率,成为IT工作的一个长期的目标。如何提升运行服务水平,对IT系统(网络、应用和安全等)进行统一监控,及时发现和排除故障,保障政府和企业日常生产与办公的有序进行,已日益成为信息部门的工作重点。越来越多用户认识到:三分建设七分管理,IT系统的管理质量直接影响IT系统的运行质量。同时,网络安全也日益为人们关注的焦点。据统计分析资料得知,网络受到的攻击和损失更多地来自内部(约占70%),政府和企业内网的安全防护日益受到重视,网络安全特别是“内网安全”已成为IT应用面临的关键问题之一。上海宝信基于上述需求,借鉴多年来从事网络管理软件开发和服务的经验与理念,提出了eCopNOM综合运行管理平台解决方案,该解决方案面对用户日益复杂的异构网络环境和系统,克服了对网络、服务器、应用和安全的分割管理,提供了安全运行集中监控与管理平台。在该平台的统一监管下,不但可以优化网络、充分利用系统资源,保障网络和应用系统地正常有序运行。3.3.2产品概述eCopNOM系统结构是一个完整的网络管理、系统管理、安全管理、IT基础环境管理、运行值班管理解决方案,可以最大限度的保护网络的现有投资,并充分考虑到将来管理需求扩展。其中每一个层次之间的描述如下:管理对象层管理对象层涵盖了机房环境、网络设备、主机系统、业务应用软件、网络安全设备等。同时系统可以管理由网络设备和线路构成的多种链路。组件管理层组件管理层通过各类探针(Probe)获得各类被管对象的数据。采集方式支持多种网络协议和采集方式,对于不符合标准网络协议的设备,系统提供二次开发的数据采集接口。采集协议与方式主要包括:SNMP、SNMPTRAP、Agent、WMI、SYSLOG、Telnet、SSH、Socket等。采集的数据类型主要包括:网络设备、安全设备、主机系统、系统软件(中间件和数据库)、业务应用软件、机房环境等。数据汇聚层在底层模块所提供的功能基础之上,根据我们对网络综合运行管理系统需求的了解及我公司在以往项目经验基础,为用户又提供了如下几个实用功能:运行一览视图:展现安全、系统、业务应用的运行情况;业务视图:按业务的角度,对应用的运行状态进行监控;告警视图:实现对网络、安全、系统、机房环境等产生的所有告警事件的组织、展现和处理;知识库:对故障的诊断和排除提供建议和向导。通过不断地积累故障处理经验和知识,帮助技术人员不断地提高故障处理速度和技术水平。资源管理:实现资产管理功能,通过资源管理功能,用户可以对某设备迅速查出:“谁对设备做的登记、谁对设备做过维护、设备由谁负责”。工单管理:支持领导指派、告警自动生成工单,详细记录工单的每部操作,通过此功能还可以考核运维人员工作效率。系统自身管理实现对集中管理运行系统软件的自身管理,如:监测系统自身监测:监测系统每个模块的运行状态,如发生异常,可以自动恢复此模块运行;用户管理:统一管理平台系统中的网络管理、系统管理管理、安全事件管理、机房环境管理等模块的用户;权限管理:统一管理每个用户的权限;系统操作日志:详细记录统的用户操作、系统自身运行日志。3.3.3功能简介eCopNOM网络管理系统包括了如下常用的网络管理功能:拓扑图、编辑与查看、性能分析、资源管理、事件与告警、工具、系统管理、日志、帮助等,不在这里详述。网络安全规划设计1.安全体系需求分析1.1安全防护现状从安全防护的角度来看,当前的安全系统建设已经取得了一定的成效,为阿尔西信息系统的正常运行提供了较好的支撑,在本期项目中将从整体安全保障的角度进行规划和设计,使系统更加符合国家相关政策要求。1.2安全体系需求通过可能面临的安全威胁和风险的分析,为确保阿尔西网络系统的安全可靠运行,需要满足如下安全需求:1.2.1等级化保护参考相关的安全标准阿尔西的信息化建设从安全的角度讲,需要对信息安全保障体系进行全面的规划和设计,确保阿尔西保障体系的广度和深度。我国对信息安全保信息网络安全障工作的要求非常重视,国家相关部门也陆续出台了相应的标准:在安全技术防护方面,应参考公安部于2005年发布的《信息系统安全等级保护基本要求》,该文件规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于安全保护等级为四级及四级以下的信息系统的安全保护,技术要求包含了物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的要求,管理安全则包含了安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个层面的建设要求。系统的整体定级安全等级第一级对信息系统安全属性的破坏会对公司造成较小的负面影响,包括:公司运行带来较小的负面影响,公司还可以进行基本的业务,但效率有较小程度的降低;对相关部门、人员造成较小经济损失;对相关部门、人员的形象或名誉造成较小影响;不会造成人身伤害。安全等级第二级对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响,包括:对政务机构运行带来中等程度的负面影响,政务机构还可以履行其基本的政务职能,但效率有较大程度的降低;对政务机构、相关单位、人员造成一定程度的经济损失;对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响;造成轻微的人身伤害。安全等级第三级对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害,包括:对政务机构运行带来较大的负面影响,政务机构的一项或多项政务职能无法履行;对政务机构、相关单位、人员造成较大经济损失;对政务机构、相关单位、人员的形象或名誉造成较大的负面影响;导致严重的人身伤害。安全等级第四级对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害,包括:对政务机构运行带来严重的负面影响,政务机构的多项政务职能无法履行,并在区级行政区域范围内造成严重影响;对国家造成严重的经济损失;对国家形象造成严重影响;导致较多的人员伤亡;导致危害国家安全的犯罪行为。电子政务五个安全等级在机密性、完整性和可用性三个安全属性方面的描述如表3-1所示。宝信根据阿尔西对网络安全的需求,建议阿尔西做安全等级的第二级防护。1.2.2对应等级网络安全建设需求2.安全系统设计2.1防火墙系统阿尔西目前已经有一台防火墙,实现了对整个区域的访问控制和入侵防护。后续系统需要进行扩充时,再给出合理的配置方案。2.2入侵防护系统设计2.2.1入侵防护系统简介随着Internet及Intranet市场快速持续增长,目前的应用系统发展与Web更加紧密,从办公系统到交易系统,这种趋势日益明显。由于Internet的开放性和互连性,随之而来的安全问题,日益突出。Mi2g机构指出,仅Sobig病毒就为全球经济带来了297亿美元的损失。拒绝服务(DoS)攻击导致的平均损失为1,427,028美元,相比增长了五倍。根据分析,大多数攻击(蠕虫、病毒、DoS)都是通过80端口进行的。现有的安全系统,比如防火墙,对Web端口的检测功能非常有限,而IDS系统由于采用被动方式检测,无法对正在发生的攻击作出及时响应,并且存在误报率高的弱点。而病毒过滤系统,由于采用软件方式,又存在着性能不高的缺点。安全系统的整合也是一个问题,如何在提供可靠的安全防护,又能保证网络和应用系统的性能,同时让系统保持高度的灵活性和可扩展性,给大家带来了新的挑战。2.2.2入侵防护系统主要功能入侵防护设备提供第一手的安全防护。隔离:实时地监视和识别攻击,并主动将攻击隔离起来。拦截:数千兆位的速度拦截入侵、病毒和蠕虫,实现应用安全。预防:识别并阻止拒绝服务攻击(DOS攻击)和synflood攻击,实时保护网络的安全。由于组合了能够检测和拦截多种攻击特征的实时入侵防范功能,可以对关键任务资源进行彻底保护,从而确保您的站点获得真正安全。2.2.3入侵防护产品部署方式在安全应用中,入侵防护设备位于出口路由器和防火墙之间,位于防火墙前面,可以第一手阻挡攻击。2.2.4入侵防护产品选择与部署在阿尔西网络安全方案的设计中,通过比较国内外各家入侵防护产品,并综合考虑产品的各种性能。在本方案中我们选用网神IDS入侵检测系统,通过双机HA的方式对对内服务区及对外服务区内的服务器提供保护,在internet接入区部署2台IDS保护整个网络的安全。并在安全管理区域设备1台IPS入侵防护服务器,对入侵防护设备进行安全策略的管理。2.3邮件防病毒、防垃圾网关系统设计对于未来发展到存在庞大的垃圾邮件可能造成如下影响:1. 人员工作效率降低。对于内部员工,如果每天都接受到大量的垃圾邮件,可能需要花费1-2个小时来区分和删除垃圾邮件。同时,用户可能在工作时间讨论和抱怨垃圾邮件,这些都极大的降低了员工的工作效率;2. 增加风险。非常多的垃圾邮件往往伴随着混合型威胁。近些年来爆发的网络天空(Netsky)、大无极(Sobig)、Mydoom等混合型威胁都随着垃圾邮件大量的扩散到世界各地。而且,随着越来越多的国家重视垃圾邮件,已经开始有国家将发送垃圾邮件的行为认定为违法行为,企业自觉、不自觉的发送垃圾邮件将有可能遭受到法律法规的风险。所有这一切都增加了企业所面临的安全风险;3. 增加不必要的成本。大量的垃圾邮件会消耗大部分网络带宽、CPU处理时间和应对垃圾邮件管理员的薪水支出。作为企业来说,为了保证正常的工作运转,往往不得不购买额外的设备和主机来补充被垃圾邮件消耗掉的系统资源和网络带宽,给企业增加了很多不必要的成本。2.3.1邮件防病毒、防垃圾网关分析邮件服务器前端只有防火墙作为安全防护手段,防火墙属于防护四层一下的安全防护产品,对于大部分的病毒和垃圾邮件等四层以上的应用不能有效的防护。所以邮件服务器有可能受到互联网的病毒及垃圾邮件攻击。所以建议在邮件服务器前加配一台邮件防病毒和防垃圾邮件网关。2.3.2邮件防病毒、防垃圾网关部署设计我们建议采用基本网关部署模型。垃圾邮件网关设备位于安全区中邮件服务器与外网防火墙之间,它处理入站、出站邮件,提供安全电子邮件服务,以及将邮件中继到其他中继层或面向用户的邮件存储层。在所有已配置的服务器计算机上,必须将端口443配置为允许到垃圾邮件网关的出站连接。此种部署方式的优点为:由于垃圾邮件来自外界,因此网关是部署邮件防病毒、反垃圾设备的合理有效位置。没有部署在全网出口处,由于考虑到该设备属于过滤行安全产品,在过滤的过程中会使员工访问互联网降低效率。并且等于在用户到互联网干路上增加故障点,所以我们采用只针对邮件服务器进出的数据进行检测过滤。靠近外网防火墙部署反垃圾邮件设备时,经过电子邮件防火墙的过滤,可以最大限度地降低邮件处理和存储需求以及网络带宽。2.3.3邮件防病毒、防垃圾网关产品选型此处详细描述阿尔西的邮件系统规模,内容包括:邮箱数量,平均每天每人接受的邮件数量,邮件的平均大小,每天垃圾邮件占邮件总数的百分比,是否需要进行病毒扫描,病毒邮件占邮件总数的百分比,出站/入站邮件是否都需要进行扫描,垃圾邮件需要的动作(隔离、删除、打标记发送给用户等等)等等。一般来说,考虑到阿尔西未来的发展需要,对于全单位大于100用户的,我们推荐使用SymantecMailSecurity8360设备。2.3.4邮件防病毒、防垃圾网关产品简介根据阿尔西的实际情况,我们建议使用SymantecMailSecurity8360作为防垃圾邮件的解决方案。基于以上对企业用户在防垃圾邮件解决方案中的需求分析,作为世界排名第一的信息安全解决方案提供商——Symantec公司,提供了优秀了防垃圾邮件解决方案。产品功能:电子邮件防火墙-电子邮件防火墙是第一个防护级别,它分析传入的SMTP连接并在邮件在过滤过程中得到进一步处理之前启用优先响应和操作。TCP流量优化-流量优化可设定合法通信来源的优先级,并限制发送垃圾邮件的来源,从而减少网络中的下游负载。垃圾邮件发件人无法强制邮件进入受保护的网络,因此他们的垃圾邮件只能备份在他们自己的服务器上。SymantecMailSecurity8300系列能够在本地识别攻击并进行流量优化以响应这些攻击。反垃圾邮件功能-SymantecMailSecurity8300系列设备并入了多层垃圾邮件防护,利用了业界领先的技术,并由分布在全球的操作中心提供支持。FilteringEngine利用20多种不同的过滤技术,这些技术共同作用来最大限度地提高垃圾邮件检测的效率(有效性达95%以上),并最大限度地减少误报(每一百万个邮件中不到一个误报)。反病毒功能-SymantecMailSecurity8300系列设备通过集成倍受好评的Symantec防病毒技术来扫描和检测病毒。病毒防护包括病毒定义自动更新,用于处理含有病毒的邮件的灵活策略,以及针对群发邮件蠕虫和生成的关联电子邮件提供的特定防护。内容策略一致性-SymantecMailSecurity8300包括多项电子邮件内容策略一致性功能。当与邮件策略功能一起使用时,内容策略一致性功能使得管理员可以实施公司的电子邮件策略,减少法律责任,并确保符合法规要求。组策略和过滤策略-SymantecMailSecurity8300系列设备允许您为个人和组创建目标策略。可以通过LDAP集成或使用多种标识方法(包括域和电子邮件地址)从自定义列表中定义组。最终用户功能-SymantecMailSecurity8300系列设备使最终用户能够管理和自定义他们的过滤功能。用户可以登录到控制中心的特殊部分并选择适当的设置。管理和易管理性-SymantecMailSecurity8300系列设备的特点是自动内容更新以实现全面防护。它们还具有非常丰富的功能和充分的可定制性,使管理员能够控制和了解组织内的电子邮件安全问题。2.4主页防篡改2.4.1主页防篡改分析由于Internet是个开放的网络,网站发布的信息一天二十四小时都在被查询、阅读、下载或转载。网站内容复制容易,转载速度快,网页如果被篡改,后果难以预料,篡改网页将会被迅速、广泛传播,从而直接危害网站的利益。尤其是在网站上发布的重要新闻、重大方针政策以及法规等,一旦被黑客篡改,将严重影响政府形象,甚至造成重大的政治经济损失和恶劣的社会影响。网页防篡改系统是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。2.4.2主页防篡改部署阿尔西门户网站是对外重要的信息交互窗口。为了加强对网站服务器的安全管理,防止网页被恶意篡改。我们建议嵌入式的在网站服务器中部署一套网页防篡改系统。2.4.3主页防篡改产品选型产品列表2.4.4主页防篡改产品简介中创InforGuard网页防篡改系统具备如下功能:目录保护InforGuard采用独特的实时阻断技术,实现对监控目录,备份目录以及InforGuard安装目录的写保护。实时报警当网站内容被非法篡改时,InforGuard会第一时间发出报警信息通知管理员。InforGuard支持多种形式的报警模式,包括电话报警、短信报警、邮件报警、铃声报警等多种报警模式。自动发布网站运行过程中会自动生成大量网页文件,而同时InforGuard必须保证网站内容和备份端保持一致。为了解决这类应用和InforGuard之间的矛盾,InforGuard提供了热部署功能。保证用户只需经过简单配置,就可以继续使用原来的发布系统,在感觉不到InforGuard存在的情况下,实现对网站的完全监管。InforGuard兼容多种发布工具,如FTP、Telnet及CMS等第三方工具。增量备份及更新网站的内容时刻变化和更新,如果因为某些特殊操作,导致网站内容和InforGuard备份端不一致,这时候,就需要进行备份或者更新操作。为了兼顾效率和准确性,InforGuard提供了增量备份和同步(增量更新)功能。在进行网站备份和更新前,InforGuard会首先比较监控端的文件和备份端的文件,然后仅将增量变化的文件传给另一端。支持动态网页InforGuard支持监控保护动态网页文件,如符合JSP、ASP、PHP、Servlet等技术规范的文件。权限管理InforGuard支持完备的用户权限分配及管理。管理员通过监控中心特定权限管理模块为每个操作人员分配权限,操作人员根据所具备的权限可以通过维护终端MT进行相应的网站维护操作。策略管理支持用户自定义监控策略。用户可以通过监控中心MC对远端监控代理MA进行监控策略的配置及更改,这为管理人员管理多个分布式的监控代理提供了极大的方便。2.5链路控制子系统2.5.1链路控制系统简介随着Internet应用的不断发展,目前日益增多的机构,如电子商务公司、二级ISP和企业为了保证公司各个部门之间、供应商和客户之间连续的Internet访问,都逐步采用多个Internet接入链路(多链路)接入Internet。在多套Internet出口相互独立的情况下,一旦某条出口线路或ISP端设备出现问题,将造成此网络的出口与外部Internet连接的完全中断,影响到一些正常甚至是关键性业务工作的开展。为了充分保证多链路以及数据流量的的稳定性、安全性以及高效性,有必要实现企业多个出口IPS之间的负载均衡与自动故障切换。2.5.2链路控制产品选择与部署为了保障今后阿尔西Internet出口的可靠运行,在本方案中建议增加两台Linkproof互为热备,实现2个以上出口ISP之间动态的负载均衡与自动故障切换。使用LinkProof定时侦测阿尔西各出口线路的健康状况,及时将有问题的出口线路流量导引到其它健康的线路,使阿尔西的出口始终保持在最佳状况,并形成各ISP线路间的互相备份机制。通过LinkProof专有的SmartNAT完成智能网络地址转换。一方面保证了在不同ISP网络之间进行的不中断的数据传递。使用的LinkProof具有较高的吞吐量以及全部的应用功能,完全可以满足阿尔西将来的应用需求。方案拓扑图如上图所示在链路与核心网络之间架设RADWARE公司的链路负载均衡设备LinkProof(LP)将能完美的解决上述各项问题。两台LinkProof工作在主备状态,避免单点故障。链路健康状况检查LinkProof能够灵活有效地判断Internet链路的健康状况,作为分配流量的前提。全路径健康检查LinkProof的一个主要作用是检测ISP链路的可用性,即健康状况。而一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。因此,LinkProof提供了全路径健康检查的功能,可以做到从发起端到接收端进行全面而精确的健康检查,最多能够完成10跳路由的健康的检测,从而保证整条数据链路的通畅,提高服务质量。2.6上网行为管理系统2.6.1网行为管理的意义上网行为管理与传统网络安全范畴有所不同。传统的网络安全主要包括防火墙、入侵检测和防病毒应用,但是传统的设备,尤其是防火墙主要都是运作在第二层到第四层之间,对于应用层的协议分析往往无能为力。上网行为管理系统就是需要保障运行在应用层的各种网络网络应用处于一个合理的安全界限之内。这里的安全是一个相对的概念,对于企事业单

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论