51CTO下载-某单位内网安全管理系统建设方案

1某单位内网安全管理系统建设方案目录一、概述5二、系统需求分析62.1当前网络环境62.1.1网络拓扑图62.1.2网络安全建设目标62.2网络管理中可能面临的问题72.2.1非法接入的控制72.2.2移动存储设备管理72.2.3病毒问题82.2.4IP地址管理82.2.5软件使用管理82.2.6终端补丁管理和软件分发82.2.7资产管理92.2.8计算机流量的管理和必要的控制92.2.9缺乏统一的远程帮助平台9三、内网安全管理管理解决方案103.1系统部署和管理构架103.2移动存储及安全监控强审计管理问题1123.2.1未经过认证的移动设备带入、带出内网113.3节点访问控制和端口加固：网管可统一配置的主机防火墙123.4病毒防范管理143.5实名化管理143.6安全补丁的管理和发布153.6.1整体描述153.6.2补丁的自动分发163.6.3补丁下载带宽说明173.6.4补丁管理的特点173.7资产管理183.8软件分发193.9软件使用管理213.10资源发现和自动拓扑功能223.11IP地址管理和绑定233.11.1IP地址管理243.11.2IP、MAC地址绑定253.12流量管理和控制253.13远程呼叫帮助平台273.14档案、报警和日志管理功能283.14.1详尽的档案管理功能283.14.2日志管理功能293.14.3报警管理3033.15系统具备的接口和强大的可扩展性313.15.1.接口描述313.15.2.系统具有良好的可扩展性31四、北信源内网升级与技术服务32五、北信源内网实施计划345.1项目实施相关内容345.1.1实施目标345.1.2实施范围345.1.3实施构架345.2项目进度实施计划355.2.1合同签订355.2.2人员组织355.2.3系统实施前期准备365.2.4项目产品的安装部署375.3项目验收405.3.1验收概述405.3.2验收内容40六、北信源内网培训计划426.1培训目的426.2培训程序426.3培训对象与培训内容4246.3.1培训对象426.3.2现场培训内容436.3.3培训资料及语言436.3.5培训方式446.3.5培训安排445一、概述贵单位成立于1995年8月，担负着本区域主要工农业生产和137万城乡居民提供优质电力供应服务的任务，供电服务区域面积1872.8平方公里，其中工业用电占我局供电量的42.87%，居民用电占23.75%，其它用电占33.38%。已建35－220千伏变电站23座,其中220千伏站2座、110千伏变电站13座、35千伏站8座，主变45台，主变容量229.9万千伏安；拥有35千伏及以上高压线路62条，611.58公里；10千伏配电线路276条，共2448.96公里；公用开闭所142座,电缆分支箱236个,配电房729座，容量928.21兆伏安；配电变压器2267台，容量480.16兆伏安。贵单位自成立以来，先后获得了获得全国文明单位、全国电力行业优秀企业、全国安康杯竞赛优胜企业、原国家电力公司“一流供电企业”、“双文明单位”、国家电网公司文明单位、档案管理国家一级企业、国家电网公司“五四红旗团委”、中国质量协会“全国用户满意服务企业”、市“抗旱救灾工作先进集体”、市最佳文明单位、市最佳企业形象单位、市园林式单位等多项省部级以上荣誉。为进一步稳固贵单位信息化建设及应用，根据市电力公司关于基层单位信息安全项目要求，结合贵单位实际网络安全状况，我们特别为其编制了该技术方案，本方案将严格按照市电力公司基层单位信息安全项目技术要求内容选择相应的产品和技术，并制定了严谨的实施计划，结合安全评估，全面满足市电力公司的要求，并为贵单位今后的信息化建设、网络安全建设提供有利保障。6二、系统需求分析目前贵单位（以下简称贵单位）为了维护网络内部的安全及提高系统的管理控制，需要对企业内部终端进行统一部署配置网络，并实施安装统一的网络安全产品进行管理。其网络是逻辑隔离网络，允许连接到INTERNET广域网，许多终端并没有完全通过IT设备连接入网。根据网管员多年的管理经验，其反映虽然使用了多种安全监控手段，但是在当前的使用中还会存在很多的问题，网络安全员和网络管理人员疲于应付各种安全和日常维护事件，网络也经常收到各种安全事件的威胁，其网络可能面临着如下的桌面节点安全和管理问题。2.1当前网络环境2.1.1网络拓扑图网络拓扑图2.1.2网络安全建设目标在最小安全投资、对网络结构不改变的情况下，建立一套内部网络安全系统，对内部7网络系统和内部信息进行安全管理，防止通过网络的信息泄漏，加强网络安全管理。以“事前预防、事中监控、事后审计”的建设原则，在该系统架构上，通过相关行政管理制度建设，完善院网络安全系统。2.2网络管理中可能面临的问题几年来，网络建设虽然有了很大的发展，在现实服务中发挥了积极的作用。网络中除了资源的共享外，还有自己的OA、相关业务系统在网络内实时运行着。网络的安全稳定运作已经成为网络应用系统的保障。贵单位已经建立了比较完善的网络管理行政制度，但是以往在网络管理工作因为缺少相对应的技术手段，网络管理制度无法得以落实，致使管理员的日常维护工作繁琐，同时还有信息泄密的风险。一个成熟的网络安全管理理念应该全方面的主动防御，而不是事后责任追查。2.2.1非法接入的控制在贵单位单位内部可能会出现外来笔记本接入的问题，可能会造成单位内部的涉密文件被窃取，引入病毒等严重后果。需要禁止非法PC机接入内网及和内部主机相互连接，防止重要资料的泄漏，防止内网用户通过拨号等外联方式连接互联网。需要对外来终端设备进行详细的安全认证及身份认证。2.2.2移动存储设备管理外来移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文件被窃取，引入病毒等严重后果，对于具有防火墙、网关等硬件防范的网络，移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。82.2.3病毒问题计算机病毒是目前对网络及计算机安全最大的威胁，目前贵单位单位内部虽然已经统一配置安装了网络版杀毒软件，能够对病毒进行一定效果的防范，但是仍存在终端升级不及时，版本不统一，管理不规则等问题。2.2.4IP地址管理以往对网络内IP地址分配和管理都需要人工来进行操作，并且在IP、MAC绑定上需要网管型交换机来完成，前期网络管理员的工作量太大，在有新的设备入网时网络管理员需要再次对交换机进行操作，如果操作不当可能造成一个资源子网不能正常工作，影响业务系统正常高效工作；当没有进行IP、MAC绑定时会出现私自盗用他人IP地址的行为，造成合法的IP使用人不能正常入网工作，IP盗用成功后，如果有违规的网络行为时也不便于进行事件责任定位。2.2.5软件使用管理办公环境的计算机不允许安装及使用与办公无关的软件，当发现有非法使用违规软件是应该立即禁止。需要对软件的安装过程及软件执行所启动的进程进行控制。2.2.6终端补丁管理和软件分发对于一个庞大的内部网络，每台终端的操作系统及相关软件的补丁更新往往是用户及网管员最为烦琐的问题。没有妥善的管理体系，轻则会因为流量问题，导致网速较慢或断开网络，重则由于兼容问题造成机器蓝屏、死机等，影响单位的正常工作活动。这就需要有相关系统能够完成客户端操作系统补丁检测、补丁下发、补丁安装、补丁安装信息回馈9等功能。能够分发任何形式的软件，软件下发后需要获取软件下发整体情况，用以及时调整软件下发策略。2.2.7资产管理自动收集接入网络的资产信息，能够提供软硬件资产状况报告，对其变化进行跟踪及报警。将硬件设备的变化即使上报并定位。2.2.8计算机流量的管理和必要的控制以往管理网络的流量是通过管理智能型网络设备来实现的，在前期配置上是比较复杂和繁琐的，对网络设备的资金投入较大，在有新的设备接入可能还需要单独得进行设置，对管理员来说是很不方便的，同时在定位大流量计算机时不能够快速定位到明确的计算机。2.2.9缺乏统一的远程帮助平台贵单位的终端用户对计算机的熟悉程度参差不齐，对于一些对计算机认识不够用户来说，一个小小的软件使用问题都有可能要求助于网络管理员，一旦出现程序无法正常运行时更是束手无策。部门的分布也算是比较广的，管理员从自己的办公室来回于求助者办公地点之间会浪费很多时间，致使处理问题的效率不高。如果计算机用户能在远程发出求助请求，管理员在远程进行程序安装、调试程序，势必会节省时间，提高管理员的工作效率，那么统一的远程呼叫帮助平台就成为必要。10三、内网安全管理管理解决方案3.1系统部署和管理构架贵单位网内有近300台终端，由于网络设备及网络连接还没有配置部署完工，与架设内网同期就部署内网终端安全系统可以从根本上杜绝网内原有的病毒和漏洞。根据实际情况需要可以仅部署一级内网安全管理系统对终端进行统一监控和管理，一级管理节点为贵单位内各个终端主机。由于系统管理采用B/S构架，管理员可在网络的任何终端通过登录内网管理服务器的管理页面进行管理和各种信息查询；所有的网络终端需要安装客户端程序以对其进行监控和管理；具体的部署和管理构架如下：网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补丁以及文件的下发，流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作，并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报，可通过管理节点对异常计算机进行断网等处理，也可通过系统远程对客户端进行故障诊断和维护。如果实际情况需要，系统可以进行无限制的多级级联部署，各级网络独立安装相应的管理软件。下级管理节点统一汇总本级的报警信息和统计信息，统一上报管理节点；上级管理节点的管理策略、命令、各种补丁或病毒库升级文件统一下发下级管理节点。系统将来可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。在同一级管理节点，可根据实际网络拓扑情况，安装多块网卡，满足对同级不同网段的管理。VRVEDP系统管理构架基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网），可使用11一套本系统软件，集中管理所属区域内的所有设备，系统最大支持计算机管理数量15,000台（此数量之外建议采用扩展构架）。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域级联集中管理功能，即在一个或多个网段各使用一套北信源内网安全管理及补丁分发系统的同时，将本级所有安全信息转发至上级管理系统，上一级管理人员对整个网络的安全状况能够完全掌握，上级管理系统可将安全策略分发至下级系统执行。3.2移动存储及安全监控强审计管理问题3.2.1未经过认证的移动设备带入、带出内网3.2.1.1未经过认证的笔记本计算机接入内网对于未经过认证的笔记本接入内网可能带出涉密信息的情况，我们可以通过未注册计算机非法接入内网进行阻断的功能，阻止其连接到内网中。如果有笔记本等移动计算机必须接入内网，那么需要经过认证注册统一被管理中心监控后才可以连接内网。3.2.1.2USB存储、移动硬盘等接入内网对于以USB存储设备、移动硬盘非法接入内网的情况，我们通过对外设及端口进行12启用、禁用控制，必要时候还能够控制只读入、可写出等细致操作行为。管理控制中心可以启用/禁用除了人体工程学设备外的一切USB端口，可以从驱动级禁用USB端口、光驱、软驱、串口、并口、打印机、红外、蓝牙、磁带机、多网卡、1394口、调制解调器、PCIMCIA卡等。3.3节点访问控制和端口加固：网管可统一配置的主机防火墙蠕虫病毒均是通过一定的端口进行传播和发包，如果网管可以统一控制网络中计算机的端口，关闭病毒使用的端口，就可以有效阻止这些病毒的传播和破坏。系统具备可由网管根据需要统一配置的客户端主机防火墙，可按照策略控制客户端的特定端口的连接，包括禁用（开启）指定的端口，禁止Ping入（出），设定IP区域访问控制，进行包过滤控制等，也可禁止使用代理服务器，系统不管如何设置包过滤规则，均不会造成维系管理服