第1章 信息安全解决方案设计
在第2章里,我们分别从网络、应用、终端及管理四个方面对公司的信息系统安全建设进行了风险及需求的分析。同时根据第3章的安全方案设计原则,我们将公司网络安全建设分为以下几个方面进行了详细的方案设计:
边界安全解决方案; 内网安全解决方案; 应用安全解决方案; 安全管理解决方案; 安全服务解决方案。
下面我们分别针对这5个安全解决方案进行详细的描述。
1.1 边界安全解决方案
在第2章的网络安全风险及需求分析中,我们主要从外部网络连接及内部网络运行之间进行了风险的分析。边界安全解决方案就是针对与外部网络连接处的安全方面。
网络是用户业务和数据通信的纽带、桥梁,网络的主要功能就是为用户业务和数据通信提供可靠的、满足传输服务质量的传输通道。
就公司网络系统来讲,网络边界安全负责保护和检测进出网络流量;另一方面,对网络中一些重要的子系统,其边界安全考虑的是进出系统网络流量的保护和控制。
针对公司网络系统,来自外部互联网的非安全行为和因素包括: 未经授权的网络访问 身份(网络地址)欺骗 黑客攻击 病毒感染
针对以上的风险分析及需求的总结,我们建议在网络边界处设置防火墙系统、安全网关及远程访问系统等来完善公司的边界网络安全保护。
1.1.1 防火墙系统
为在公司网络与外界网络连接处保障安全,我们建议配置防火墙系统。将防火墙放置在网络联结处,这样可以通过以下方式保护网络:
为防火墙配置适当的网络访问规则,可以防止来自外部网络对内网的未经授权访问;
防止源地址欺骗,使得外部黑客不可能将自身伪装成系统内部人员,而对网络发起攻击;
通过对网络流量的流量模式进行整型和服务质量保证措施,保证网络应用的可用性和可靠性;
可以根据时间定义防火墙的安全规则,满足网络在不同时间有不同安全需求的现实需要;
提供用户认证机制,使网络访问规则和用户直接联系起来,安全更为有效和针对性; 对网络攻击进行检测,与防火墙内置的IDS功能共同组建一个多级网络检测体系。 目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷,状态检测防火墙具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网络性能,同时具有广泛的适应能力。在不损失网络性能的同时,能够实现网络安全策略的准确制定与执行,同时有效地抵御来自非可信任网络的攻击,并具有对防火墙系统安全性能的诊断功能。其内置的入侵检测系统,可以自动识别黑客的入侵,并对其采取确切的响应措施,有效保护网络的安全,同时使防火墙系统具备无可匹敌的安全稳定性。
我们可以根据业务模式及具体网络结构方式,不仅仅在内部网络与外部网络之间,同时在内部网络与内部网络之间和各子业务系统之间,考虑采用防火墙设备进行逻辑隔离,控制来自内外网络的用户对重要业务系统的访问。
1.1.1.1 防火墙技术部署说明
(根据具体的网络情况描述)
1.1.1.2 产品选型及功能介绍
(根据具体产品描述)
1.1.2 安全网关
由于考虑到公司与互联网(Internet)进行连接,所以我们建议在系统网络与Internet接入处配置“安全网关”,部署位置灵活,可放置在接入路由器与防火墙之间,也可部署在防火墙与内部网络之间。
随着互联网的飞速发展和应用,计算机病毒已将互联网作为其一种主要的传播途径。其中利用电子邮件传播病毒是最直接的方式,统计显示邮件传播方式占全部病毒传播的90%以上。在过去一段时间内所发生的几起影响较大的计算机病毒事件中,以Internet为主要传播途径的病毒占大多数,如Nimda、Code Red等,以及近几年爆发的、Swen、冲击波、振荡波等等。
同时,由于病毒的泛滥,垃圾邮件也越来越成为大家头痛的问题。根据国际领导的市场调查机构Radicati Group统计,目前所有的邮件中,超过50%是垃圾邮件,也就是说每天在国际上有超过150亿封垃圾邮件被发送出去,使各类企业每年遭受到200亿美元以上由于劳动生产率下降及技术支出带来的损失,到2007年垃圾邮件数量将上升到惊人的2万亿封一年。
经过上述风险及需求的分析,在Internet接入处对病毒、垃圾邮件及恶意代码进行控制,是实现接入安全的最佳方案。通过配置“安全网关”,我们可以实现:
保证所有主要的Internet协议的安全,包括HTTP、FTP、SMTP、POP3等信息在进入内部网络前由安全网关进行查杀毒; 过滤所有来自互联网的垃圾邮件;
通过SMTP认证保证邮件服务器不会被黑客当作攻击别人的跳板等。
1.1.2.1 产品选型及功能描述
安全网关的目标是在网络边界或Internet网关处提供全面的病毒防护,而该病毒防护设备是即插即用的,不需要改变任何Internet设置,并对所有应用及服务透明。通过全面阻截已知及未知病毒和防垃圾邮件功能和内容过滤功能达到针对企业网络环境的全面防护。安全网关是一款高度可配置及提供负载均衡的产品,为从中型到大型企业提供全面解决方案,并对网络流量透明。 主要模块
防病毒模块
能够扫描最常用的6种协议,阻止未知病毒和计算机蠕虫进入公司网络
防垃圾模块
安全网关通过其反垃圾邮件模块检查进入公司的所有邮件。信息被扫描并且被划分成垃圾或非垃圾,在未被请求的邮件到达用户信箱之前进行阻断或修改这些信息的主题
内容过滤模块
网页过滤模块允许管理员限制因特网访问。可以定义不受欢迎内容目录,授权和非授权网页。允许管理员控制公司网络资源,并且阻断非法,黄色或暴力网站内容,或只是不受欢迎内容进入公司。可以建立VIP用户列表,这些用户不需应用上述限制 主要特点:
易于使用:安全网关是目前世面上最易于安装及使用的硬件网关产品,作为网络信息传递的桥梁而非需要重新路由网络流量。
安全:安全网关扫描6种网络协议,而其他硬件网关产品仅能够扫描2到4种网络协议。在安全网关安装在企业边界上时,它实时扫描所有收入及发出邮件及其他的网络传输信息,并且具有防垃圾邮件功能和内容过滤功能
表现性能:安全网关的最大性能是可以取得完全扫描及病毒防护。安全网关的硬件及软件性能经过特殊优化处理,能够同时扫描6种网络协议,并且完全对企业网络透明。
扩展性:安全网关专门针对自动负载均衡设计,使增加扫描的速度及增加网络防护可以随时达到。并可支持到百兆。 功能及优势:
性能高度优化的病毒防护 整合最新硬件及软件技术,提供超乎寻常的优异性能,能够在一个小时内扫描上万封邮件,完全对企业网络透明。
性能高度优化的垃圾邮件防护 整合最新硬件及软件技术,提供超乎寻常的优异性能,能够在一个小时内扫描上万封邮件,完全对企业网络透明。
拓展性及负载均衡 由于安全网关的高度可拓展性,安全网关适合中到大型企业,能够根据网络通讯流量调节扫描能力。负载均衡是完全自动的,允许工作负载量能够自动在不同工作单元间进行均衡,良好地保障了产品的可拓展性及对企业边界的全面防护。
易于安装及配置 按照即插即用的设计思路,能够非常简便地安装在企业网络中,
不需要重新配置或重新路由Internet流量。一旦安装完成,就开始不知疲倦地扫描所有网络流量,保障网络的100%安全。
保护所有广泛使用的网络协议 保护所有可能的Internet相关威胁,完全扫描所有常用Internet协议,包括: HTTP, FTP, SMTP, POP3, IMAP, NNTP.
内容过滤 内容过滤防止未知病毒及蠕虫进入企业网络,大幅减少整体网络资源占用及带宽,防止可能的恶意代码进入到企业网络。
远程管理 可以通过一个简洁、启发式的WEB管理控制台远程管理,让企业网络管理员通过企业内部任何一台电脑管理该产品。
每日自动病毒更新 可以每日自动病毒更新,意味着安全网关始终可以防护所有最新病毒。
详细报告及可客户化的报警安全网关提供完整的扫描报告,并可以客户化在企业内部网络的病毒报警机制。
实时系统监控 安全网关提供网络管理员对网络病毒行为及网络流量的实时监控。
1.1.3 远程访问安全
根据前面的风险及需求分析可知,公司在通过Internet互连及远程访问方面,主要存在着以下两种类型:
公司总部与分支机构之间的远程访问及互连; 公司与合作伙伴之间的远程访问及互连。
在总部与分支之间的互连,一般要求将分支机构的网络接入到总部网络。而与合作伙伴的互连一般情况下合作伙伴访问企业固定的某些应用系统。同时,远程应用中还存在着一种情况,即用户出差或移动状态中需要
在远程访问安全方面,我们分别针对这两类应用类型设计了相应的VPN远程访问系统。
1.1.3.1 分支与总部的连接
目前,由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。
信息安全建设方案建议书
