企业网络安全系统规划方案
目 录
一、 安全系统整体规划 .............................................................................................. 3 1.1. 方案设计原则................................................................................................... 3 1.2. 安全体系模型................................................................................................... 3 1.3. 方案设计思路................................................................................................... 5 二、 网络及安全现状分析 .......................................................................................... 7 2.1. 网络结构分析................................................................................................... 7 2.2. 安全层次的分析模型....................................................................................... 8 2.3. 安全需求分析................................................................................................... 9 2.3.1. 网络层........................................................................................................ 9 2.3.2. 系统层...................................................................................................... 10 2.3.3. 管理层...................................................................................................... 10 2.3.4. 用户层...................................................................................................... 11 2.4. 安全需求总结................................................................................................. 11 三、 网络安全整体解决方案 .................................................................................... 13 3.1. 网络安全总体方案......................................................................................... 13 3.1.1. 基础设施安全部署.................................................................................. 15 3.1.2. 防火墙系统防护方案.............................................................................. 21 3.1.3. 建立内部入侵防御机制.......................................................................... 24 3.1.4. 建立入侵防御机制.................................................................................. 26 3.1.5. 建立端点准入控制系统.......................................................................... 28 3.1.6. 建立网络流量分析系统.......................................................................... 29 3.1.7. 完善的病毒防范机制.............................................................................. 33 3.1.8. 防DOS设备安全防护方案 ................................................................... 34 3.1.9. 网络漏洞扫描机制.................................................................................. 34 3.1.10. 建立科学的安全管理机制...................................................................... 37 四、 安全方案总结 .................................................................................................... 40 五、 附件 .................................................................................................................... 41
2
一、 安全系统整体规划
1.1. 方案设计原则
在规划(————)信息系统安全时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案 ? 体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。 ? 全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。 ? 可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对(————)的网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。 ? 可动态演进的原则
方案应该针对(————)制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。
1.2. 安全体系模型
安全方案必须架构在科学的安全体系和安全模型之上,因为安全模型是安全方案设计和分析的基础。只有在先进的网络安全理论模型的基础上,才能够有效地实现我们在上面分析的网络安全系统规划的基本原则,从而保证整个网络安全解决方案的先进性。
3
为了系统、科学地分析网络安全方案涉及的各种安全问题,在大量理论分析和调查研究的基础上,H3C公司提出了i3SAFE网络安全模型,以此模型为基础,可以进行整个网络安全体系的有效的分析与合理规划。下面我们对此网络安全模型进行具体的阐述和说明:
i3SAFE安全理论模型示意图
i3SAFE安全理论模型是一个三维立体结构,基于此三维结构安全理论模型,形成一个智能的(intelligence),集成的(integrated),定制的(individuality)的网络安全解决方案,真正达到SAFE的目的,下面是每个层次的详细分析描述:
? 第一维为应用层次维:
这个维度实现对整个信息体系进行描述,通过这个维度,以层次化对整个信息体系进行划分,层次的划分依据信息体系的建设结构,把整个信息体系划分为网络层:提供信息流通的平台;用户层:信息应用的终端;业务层:信息应用的提供层。通过这种抽象的层次的划分,可以以不同的层次对象为目标,分析这些层次对不同的安全服务要素的需求情况,进行层次化的、有针对性的系统安全需求分析。 ? 第二维为网络空间维:
这个维度从实际的信息系统结构的组成的角度,对信息系统进行模块化的划分。基本的模块可以划分为桌面、服务器、外网、内网等几个模块,这些模块的划分可以根据需要进行组合或者细化,进行模块划分的主要目的是为前面相对抽象的安全需求分析提供具体可实施的对象,保证整个安全措施有效可实施性。
4
? 第三维为业务流程维:
这个维度主要描述一个完善的网络安全体系建设的流程,这个流程主要的参考P2DR模型,以我们前面进行的需求分析为基础,制定统一的安全策略,同时通过预防(Harden)、保护(Protect)、检测(Detect)、响应(Respond)以及改进(Improve),形成一个闭环的网络安全措施流程。 ? 纵深维为安全管理维:
贯穿于上述三个维度,以及各个维度内部各个层次的是安全管理,我们认为,全面的安全管理是信息网络安全的一个基本保证,只有通过切实的安全管理,才能够保证各种安全技术能够真正起到其应有的作用,常言说:“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术只是配合安全管理的有效的辅助措施。
1.3. 方案设计思路
通过上述三维安全理论模型,我们可以比较清晰的分析出在一个信息网络系统中,不同系统层次有各自的特点,对安全服务要素的不同的需求的强度,依据这些安全服务要素需求的重点不同,基于这些层次对应的实际结构模块,有针对性地采用一些安全技术和安全产品来实现这些安全服务要素,这些措施形成本层次的安全防护面,不同的层次相互组合衔接,形成一个立体的网络安全防御体系。
在下面的(————)信息系统安全方案设计中,我们将首先通过信息网络的层次划分,把其安全系统划分成若干个安全层次,并针对每一个安全层次,分析其业务安全需求,提出安全解决方案,最后形成一个全面的安全解决方案。同时在方案的设计过程中,遵循我们安全理论模型中的业务流程体系,对所采取的安全措施进行实施阶段的划分,形成一个动态的、可调整的具有强大实施能力的整体安全解决方案。
另外,我们认为,网络安全是一个动态的全面的有机整体,传统的网络安全产品单独罗列在网络之上的单点防御部署方法,事实已经证明不能够及时有效的解决网络的威胁,网络安全已经进入人民战争阶段,必须有效整合网络中的每一个节点设备资源,通过加固、联动、嵌入等多种技术手段使安全因素DNA渗透到网络的每一个设备中,为用户提供一个可实现可管理的安全网络。借助多年的网络产品研发经验,H3C已经能够为用户提供多种安全网络构成产品技术,如具有安全特征的网络基础设备、能够与核心路由器、交换机联动的安全设备,安全设备间联动、核
5