网络哨兵企业解决方案模板

网络安全审计系统设计方案深圳市中科新业信息科技发展有限公司2020年5月21日第2页共23页目录1、网络安全审计系统设计方案.....................................................................................................31.1、项目背景.............................................................................................................................31.2、总体项目概述.....................................................................................................................32、企业网络架构及安全审计总体需求分析..................................................................................43、企业网络安全审计系统整体解决方案......................................................................................63.1、企业网络哨兵网络安全审计系统部署方案......................................................................63.2、网络哨兵网络安全审计工作原理说明.............................................................................74、网络哨兵网络安全审计系统技术优势....................................................................................114.1、高速的数据捕获技术.......................................................................................................114.2、数据高速分析匹配技术...................................................................................................114.3、审计协议丰富、内容审计功能强大...............................................................................124.4、内置强大过滤库...............................................................................................................124.5、管理策略可精细定制.......................................................................................................134.6、审计对象管理灵活...........................................................................................................154.7、部署方式多样...................................................................................................................154.8、自身安全性高...................................................................................................................164.9、能对上网用户进行认证管理...........................................................................................164.10、辅助功能齐全...................................................................................................................194.11、违规通知...........................................................................................................................194.12、方便用户使用的个性化设置...........................................................................................194.13、分权管理...........................................................................................................................204.14、强大的报表系统...............................................................................................................215、网络哨兵部署后实现的价值...................................................................................................23第3页共23页1、网络安全审计系统设计方案1.1、项目背景企业网络内部作为一个开放的局域网络接入系统，应用状况日趋复杂。一方面各员工上网工作的条件得到改善，但另一方面也给信息中心的管理层面貌带来更高的网络使用危险性、复杂性和混乱，在帮助企业走向成功的同时，也成倍的加大了遭遇到各种风险的可能性：在IDC对全世界网络使用的调查结果中发现，员工30%至40%的上网活动与工作无关.超过85%的网络安全威胁来自于内部;有16%来自内部未授权的存取；有14%来自专利信息被窃取；有12%来自内部人员的财务欺骗；而只有5%是来自黑客的攻击。有69%的组织机构承认他们的信息安全被破坏通常是来自于员工恶意的行为与非恶意的失误；数据泄漏的原因有39%来自于非恶意员工的失误。在欧美发达国家:80%的企业对员工的互联网活动进行审计，而且这一举措得到了法律条文上的支持.在中国:据IDC统计数据显示,中国员工比其它地区的员工每周多花7.6小时的时间来使用QQ、玩游戏、新闻网页浏览等。互联网资源的误用、滥用和恶用，已经成为目前内部网络面临的三大威胁。而且企业网络信息中心作为公司信息安全领域的核心平台，如何合理利用好互联网资源，审计、规范员工的上网行为，提高机构的工作效率，防止不良反动信息的发布，保障网络不被滥用是当前企业管理层所不得不关注的课题。1.2、总体项目概述1.2.1、项目目标本项目建设的目标是通过网络安全审计系统的部署，进一步加强与完善企业内部网的网络安全体系。安全审计系统的功能在于：通过灵活的策略与时间段设置，对工作网络中的行为流量与业务数据进行充分细致的分析审计，统计并完整记录用户的网络行为与这些行为产生的数据，从而对网络上的违法违规第4页共23页行为进行切实有效的管理与控制。1.2.2、设计依据在进行网络安全审计方案设计时，我们将遵循国内和国际安全相关标准：主要依据为信息安全管理相关的标准，例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），《信息安全等级保护管理办法》（公通字[2007]43号），公安部82号令提出的《互联网安全保护技术措施规定》，《萨班斯-奥克斯利法案（2002Sarbanes-OxleyAct）》的第302条款和第404条款等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而达到网络安全审计的目的，提高信息系统的安全性。1.2.3、设计原则本项目的建设原则是尽最大可能地减小原有工作网络拓朴的改变，并且本着高质量，高稳定性，高性价比的方针，使新建设的网络安全审计系统能够完美地融合到企业原有网络系统中去，新系统的加入不能影响到原有网络的业务流量带宽，也不能给网络造成性能上的瓶颈点。安全审计设备的本身也应具备一定的安全性，以确保网络的安全；同时所选系统具备扩容功能，必须拥有较好的扩展性。2、企业网络架构及安全审计总体需求分析通过企业网络管理者的深入沟通，我们对企业网络构架、网络内部工作方式、信息系统建设以及业务信息化程度等方面做了全面的了解；目前企业针对信息安全审计方面的需求具有以下几点：第5页共23页1、全面记录网络信息资源的访问，实现网络行为与实名邦定（定位到人），对用户网络行为进行分类统计，具体分析；同时提供灵活的策略管理机制，合理引导用户健康文明上网，提升员工工作效率，限制与工作无关的网络应用，实现分时段进行上网行为分析管理；2、智能化管理即时聊天工具；3、可基于网络协议分析网络应用流量，同时需要针对用户提供详细网络应用流量分析；4、需建立专业的网络过滤机制，过滤不良信息，净化上网环境；5、建立完善的上网管理机制，针对不同用户实现个性化定制策略管理，实现不同机构分级管理；6、可审计网络内外发数据内容及搜索信息，比如，邮件、发帖、搜索关键字等，分析网络舆情，发生网络泄密事件做到有据可查；7、具备全面、多样化的数据报表系统机制，方便管理者对海量审计信息的快速查询；8、实现审计信息与公安联网，满足公安机关对于上网信息安全审计的备案要求；同时，落实公安部82号令提出的《互联网安全保护技术措施规定》文件的精神，通告要求凡接入国际互联网的计算机用户必须落实互联网安全审计措施，具体要求如下：完整纪录上网日志，包括“上网时间、源IP、源端口、目的IP、目的端口、Mac地址、协议类型等”多级子网审计功能审计日志时钟以北京时间为准日志纪录不可篡改日志纪录须保存3个月以上…………….第6页共23页3、企业网络安全审计系统整体解决方案3.1、企业网络哨兵网络安全审计系统部署方案本项目的建设原则是尽最大可能地减小原有工作网络拓朴的改变，并且本着高质量，高稳定性，高性价比的方针，使新建设的网络安全审计系统能够完美地融合到企业原有网络系统中去，新系统的加入不能影响到原有网络的业务流量带宽，也不能给网络造成性能上的瓶颈点。本项目中，推荐使用网络哨兵硬件平台S3系列产品，以下是网络安全审计系统部署示意图：中科新业网络哨兵在工作时，采用旁路侦听的方式；安装部署时，不需要破坏原有的网络结构。因此在网络结构中，也不会造成任何数据流量上的瓶颈。在设计规划整个网络结构时，只需在接入交换机上预留出端口。在整个实施完工后，在交换机上设置好镜像端口并连接上网络哨兵即可，在本项目中，由于网络相对