技术建议书-H3C边界防护解决方案v1.0

杭州华三通信技术有限公司安全管理建议（供参考）----------------------------------------------------------------------------------134.1.安全管理组织结构-----------------------------------------------------------------------------134.1.1.人员需求与技能要求---------------------------------------------------------------------134.1.2.岗位职责------------------------------------------------------------------------------------144.2.安全管理制度------------------------------------------------------------------------------------154.2.1.业务网服务器上线及日常管理制度---------------------------------------------------154.2.2.安全产品管理制度------------------------------------------------------------------------154.2.3.应急响应制度------------------------------------------------------------------------------164.2.4.制度运行监督------------------------------------------------------------------------------16杭州华三通信技术有限公司网络安全风险随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现金，数字货币，网络银行等新兴业务的兴起，网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失十分巨大，仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元以上。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。此外，随着网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络管理也逐步成为网络技术发展中一个极为关键的任务，对网络的发展产生很大的影响，成为现代信息网络中最重要的问题之一。如果没有一个高效的网络管理系统对网络进行管理，就很难向广大用户提供令人满意的服务。因此，找到一种使网络运作更高效，更实用，更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求。虽然其重要性已在各方面得到体现，并为越来越多的人所认识，可迄今为止，在网络管理领域里仍有许多漏洞和亟待完善的问题存在。目前，网络技术已在XX行业得到了全面应用，大大提高了XX行业的业务处理效率和管理水平，促成了各项创新的金融业务的开展，改善了整个XX行业的经营环境，增强了金融信息的可靠性，使金融服务于社会的手段更趋现代化。但是，同其他任何行业一样，网络安全风险的阴霾如同网络技术的孪生子，伴随着网络技术在XX行业的全面应用而全面笼罩在XX行业的每个业务角落。而有别于其他一般行业，XX行业的网络系统中处理、传输、存储的都是金融信息，对其进行攻击将获得巨大的利益，如果这些机密信息在网上传输过程中泄密，其造成的损失将是不可估量的；而且，对XX行业网络系统的攻击，可能造成国家经济命脉的瘫痪和国家经济的崩溃，因此XX行业的网络安全问题是一个关系到国计民生的重大问题，也是所有网络安全厂商非常关心的问题。银行网络系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标，面临的网络安全风险叙述如下。非法访问：现有网络系统利用操作系统网络设备进行访问控制，而这些访问控制强度较杭州华三通信技术有限公司弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；另一方面XX行业（如银行）开发的很多增值业务、代理业务，存在大量与外界互连的接口，外部网络可能会通过这些接口攻击银行，造成巨大损失。失密和窃密：利用搭线窃听窃收，使用协议分析仪器窃收计算机系统的操作密码，破解系统的核心密码，窃取用户帐号、密码等；或利用间谍软件获得敏感的金融信息。信息篡改：利用信息篡改攻击手段，非授权改变金融交易传输过程、存储过程中的信息。内部人员破坏：内部人员熟悉XX行业网络系统的应用业务和薄弱环节，可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。黑客入侵：利用黑客技术非法侵入XX行业的网络系统，调阅各种资料，篡改他人的资料，破坏系统运行，或者进行有目的的金融犯罪活动。假冒和伪造：假冒和伪造是XX行业网络系统中经常遇见的攻击手段。如伪造各类业务信息，未授权篡改数据，改变业务信息流的次序、时序、流向，破坏金融信息的完整性，假冒合法用户实施金融欺诈等。蠕虫、病毒泛滥：蠕虫、病毒泛滥可能导致XX行业的重要信息遭到损坏，或者导致XX行业网络系统瘫痪，如2003年初的SQLSlammer蠕虫，导致了全国金融业务的大面积中断。拒绝服务：拒绝服务攻击使XX行业的电子商务网站无法为客户提供正常服务，造成经济损失，同时也使行业形象受到损害。杭州华三通信技术有限公司的网络应用对安全的要求比较高，根据对XXXXXX网络和应用的理解，结合在XX行业的成功经验，提出了如下安全建设思路。2.1.1.以安全为核心划分区域现有网络大多是以连通性作为中心进行设计的，而很少考虑安全性。例如最典型的网络三层架构模型（核心层、汇聚层、接入层架构）中，网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计。所谓以安全为核心的设计思路就是要求在进行网络设计时，首先根据现有以及未来的网络应用和业务模式，将网络分为不同的安全区域，在不同的安全区域之间进行某种形式的安全隔离，比如采用防火墙隔离业务网和办公网。针对XXXXX网络安全实际情况，可划分出不同的安全分区级别，详细定义如下：DMZ区：DMZ区包括省级网络连接贵州省电子政务网区域、INTERNET服务区以及贵州省劳动和社会保障厅对社会公众提供服务的服务群（如：对外发布系统服务器区等），该区域都是暴露在外面的系统，因此，对安全级别要求比较高。互联网服务区：互联网业务应用系统集合构成的安全区域，主要实现公开网站、外部邮件系统、远程办公用户、部分分支机构以及部分合作伙伴的VPN接入等功能。远程接入区：合作业务应用系统集合构成的安全区域，主要实现与原材料供应商、渠道商等合作伙伴的业务应用功能。考虑到部分合作伙伴会采用VPN方式接入，基于安全性考虑，其与互联网服务区应该有独立的物理连接。根据应用要求，可以进一步划分为互联网业务区、VPN接入区等。广域网分区：在之前的网络建设中，企业通过专线连接国内的分支机构。广域网连接区就是专线网络的链路及全部路由器构成的安全区域，这一安全区域内部没有具体的应用系统，主要实现网络连接功能，定义这一安全区域是为了方便网络管理。杭州华三通信技术有限公司数据中心区：由贵州省金保业务服务区服务群构成，是贵州省金保一切业务应用活动的基础，包括生产区、交换区、决策区。这个区域的安全性要求最高，对业务连续性要求也最高。要求不能随便进行任何可能影响业务的操作，包括为服务器打补丁，管理起来也最为复杂。网络管理区：网络管理员及网管应用系统构成的安全区域，一切网络及安全的管理和维护工作都在这一区域完成。网络管理区域的资产在定义中属于支撑部门资产集合，但是鉴于网络管理的特殊性，将这一部分资产独立设置安全区域。内部办公区：数据中心内部办公计算机构成的安全区域。安全性和业务持续性要求最低，管理难度大，最容易遭受蠕虫的威胁。2.1.2.用防火墙隔离各安全区域防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效监不同安全网络之间的任何活动。防火墙在网络间实现访问控制，比如一个是用户的安全网络，称之为‘被信任应受保护的网络’，另外一个是其它的非安全网络称为‘某个不被信任并且不需要保护的网络’。防火墙就位于一个受信任的网络和一个不受信任的网络之间，通过一系列的安全手段来保护受信