网络安全方案样板

************网网络络安安全全解解决决方方案案启启明明星星辰辰信信息息技技术术有有限限公公司司11概概述述计算机和网络技术的飞速发展与普及，各项业务与办公系统越来越依赖计算机系统的安全性。******作为国家通信领域的重要机构，维护其网络系统的安全问题关系十分重大。病毒破坏和黑客攻击是威胁计算机系统安全的两大方面，不仅病毒和黑客技术的发展提高日新月异，更令人担忧的是来自网络内部的攻击日益成为网络安全防护领域的重要防护对象。据美国相关统计数字，70%的攻击来自网络内部。******内部网络作为全公司办公沟通、文件传送、数据传输的重要渠道，在安全问题十分严峻的形势下，必须及时做好内部网络安全策略的配置和网络安全的全方位防护。在充分了解破坏和攻击技术的同时，构建一个可行的防御系统。为确保******整个内部办公及数据传输网络的安全性，作为专业的网络安全公司，启明星辰根据******内部网网络安全系统的现状和需求，结合技术和管理，提出了全方位、多层次的网络安全解决方案。22************内内部部网网络络安安全全需需求求分分析析******内部网络部署了网络设备、服务器，承载了大量重要的数据信息。保护这些设备的正常运行，维护主要业务系统的安全，是******内部网络的基本安全需求。22..11************内内部部网网络络系系统统现现状状22..22************内内部部网网络络安安全全现现状状******内部网络运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，******内部网络可能存在的安全威胁来自以下方面：(1)缺乏有效的手段监视、评估网络系统的安全性。(2)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。(3)对于网络内部各种设备以及来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。(4)来自内部网用户的安全威胁。针对内部网络的非法操作和恶意攻击，成为网络安全体系的新触点。(5)针对内部网络用户的IP地址修改监控以及各IP网络流量的统计监控22..33************内内部部网网络络安安全全需需求求根据******内部网络的实际情况，结合******的具体要求，******内部网网络安全需求总结如下：（1）对公司网络按功能类别划分子网，实施有效的隔离，防范来自内部和外部的攻击。（2）需要对内网重要通信的入口点以及内部网络的重要网段的服务器区配置相应的入侵监测系统（IDS）进行实时监控，确保内部网及服务器的安全。（3）需对全网进行安全扫描（Scan）评估，对内部网的安全水平有一个掌握了解，对所出现的系统与网络问题进行及进的解决与修补。（4）针对内部网络用户的IP地址修改监控以及各IP网络流量的统计监控。（5）针对网络系统进行整体的病毒防护。（6）部署网络安全的管理服务器、安全管理终端、网络管理终端。（7）提供DHCP服务，实现IP地址动态分配。（8）需实现内部安全策略的合理规划。33安安全全策策略略建建议议我们建议******内部网络系统采用以下安全策略：建议对外防护为主，内部防护为辅。采用可以提供集中管理控制并可进行互动的产品。由于网络和系统的复杂性，对相应产品的管理控制提出了更高的要求，不但可以进行集中、分布的管理控制，还能够进行分级的管理控制以适应大规模网络的需要，同时不同安全产品之间应能够进行有效的互动，以提高系统的防御能力。产品在使用上应具有友好的用户界面，并且可以进行相应的客户化工作，使用户在管理、使用、维护上尽量简单、直观。建立层次化的防护体系和管理体系44安安全全措措施施******内部网络的安全问题是一个系统工程，我们在制定安全网络策略时尽可能地考虑到网络中的各个方面，采用TCP/IP协议进行网络通信的网络，在网络层对计算机通信进行安全保护是业界流行的安全解决办法。通常我们采用以下几项措施：1、ACL策略控制在对外路由器上设置过滤规则，形成第一道防护网。使用过滤规则设置功能，作过滤防护，形成******内部网络与专网和Internet之间的第一道防护网；2、采用VLAN技术。为了更好的保证******内部网络的安全，我们应按照用户群组和系统资源的访问权限进行安全划分。在各节点局域网内部可根据各种业务需要或安全级别的不同，使用三层交换机划分VLAN，从而对不同VLAN中的数据进行保护。3、动态分配IP通过代理服务器上设置DHCP来实现IP地址的动态分配。4入侵检测系统我们采取入侵检测系统，对******内部网络进行实施监控和核心业务系统服务器的重点保护，从而降低了网络安全风险，防止入侵者的破坏。网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。5、网络安全扫描系统我们采用网络漏洞扫描系统对******内部网络进行漏洞扫描，他能够测试和评价系统的安全性，并及时发现安全漏洞。网络漏洞扫描系统就是这一技术的实现，她包括了网络模拟攻击，漏洞检测，报告服务进程，提取对象信息，以及评测风险，提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。安全扫描系统具有强大的漏洞检测能力和检测效率，贴切用户需求的功能定义，灵活多样的检测方式，详尽的漏洞修补方案和友好的报表系统，为网络管理人员制定与合理安全防护策略提供依据。6网络防病毒措施******内部网络防病毒措施主要包括技术和管理方面，技术上可进行全方位的防病毒保护，在服务器中安装服务器端防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力，防止病毒在整个网络内部进行扩散。在客户端的主机也应安装单机防病毒软件，将病毒在本地清除而不致于扩散到其他主机或服务器，在邮件服务器上安装邮件防病毒系统。管理上应制定一整套有关的规章制度，如：不许使用来历不明的软件或盗版软件，软盘使用前要首先进行消毒等。只有提高了工作人员的安全意识，并自觉遵守有关规定，才能从根本上防止病毒对网络信息系统的危害。55安安全全产产品品介介绍绍55..11入入侵侵检检测测55..11..11入入侵侵检检测测系系统统概概述述入侵检测系统，是用来实时检测各种攻击，同时实时做出各种预先定义的响应，力求做到在黑客造成破坏之前发现问题，解决问题。网络入侵检测产品不会占用网络带宽，不会引起网络和主机性能的下降，同时不驻留在业务主机和服务器上，不会对原有网络造成额外的安全威胁，此部署方式可实时对服务器操作系统、应用系统进行监控，并实现集中管理。55..11..22入入侵侵检检测测产产品品选选择择我们采用北京启明星辰公司的“天阗”黑客入侵检测与预警系统进行网络安全入侵检测。55..11..22..11产产品品简简介介启明星辰自行研制开发的天阗黑客入侵检测与预警系统是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品，同时天阗还通过了国家保密局、解放军及国家信息安全测评中心的专门评测。天阗黑客入侵检测与预警系统是一种在计算机网络上自动、实时的入侵检测和响应系统。它能够实时监控网络传输，自动检测可疑行为，分析来自网络外部和内部的入侵信号。在系统受到危害前发出警告，实时对攻击做出反应，并提供补救措施，最大程度地为网络系统提供安全保障。已成功实施于首都电子商城的网络安全保障工程，海淀数字园区的安全保障工程，沈阳人行等多个网络安全项目，为网络的安全运行提供了有力保障。55..11..22..22产产品品优优势势天阗黑客入侵检测与预警系统包括两部分：控制中心和探测引擎。控制中心是个高性能管理系统，能控制位于本地或远程网段上的多个探测引擎的活动，实现动态分析，实时监控。探测引擎为固化硬件产品，动态监视网络上的数据包，进行攻击行为的检测和识别。与普通IDS产品相比，天阗黑客入侵检测与预警系统在下列方面具有明显优势产品优势：1.产品版本成熟，易用性强：天阗系统经过市场调研的反复进行和研发力量的巨大投入，现已升级为6.0版本，性能稳定，界面友好。2.全面的攻击事件处理方式：针对攻击事件，IDS产品基本均能提供报警、日志纪录、阻断攻击等处理方式。天阗产品在上述功能的基础上，还可实现与防火墙的互动，以阻断任何非法联接；对MAC地址实现阻断。3.用户自定义和定制功能：界面窗口可自行定制；攻击事件可自行定义并加入事件库；安全策略和协议可自行编辑定义下发等功能，为用户的使用带来方便。是普通IDS产品尚无法实现的重要功能。4.完备、开放的特征库：攻击事件库1200种，同时用户可以自行定义和添加特征库，实现用户端的自主实时更新。5.优化、高级的管理结构：普通IDS产品均为分布式结构，单级或二级控制，下级对上级控制台仅能实现报警功能，无法同时满足对不同网段上的实时监测和管理。天阗产品则为树形分布式结构，多级控制功能可使天阗控制中心对多级子控进行管理，便于网络安全的同步实现。同时上级可统一下发策略、事件特征库给下级，保证下发策略的统一性。6.灵活方便的人性化报表：天阗通过调用日志文件，运用嵌入式报告功能，形成方便、易懂、直观、全面的用户报告，分类列表更有助于用户了解网络各个层面的安全状况。7.便捷全面的升级方式：有升级模块可直接导入，或进行在线升级，升级速度在同类产品中较快。自动同步升级，控制中心可以及时将攻击特征升级包下发到各级探测器，提高对最新攻击事件和行为的同步识别。8.优秀的系统自身安全性：独有的硬件引擎，对于安全性作了全面的考虑，稳定性好。控制中心与子控中心以及探测引擎的通讯采用加密方式。9.天阗与各主流防火墙的联动以及最新实现的和天镜漏洞扫描的联动，已经在国家重点信息化安全保障工程、国家安全部、银行机构等一些大型网络中广泛的应用，其联动能力与效果十分显著，充分体现了以天阗IDS为核心筑造的动态防御体系对安全防护能力的极大提升作用。66安安全全产产品品部部署署66..11””天天阗阗””部部署署说说明明66..11..11产产品品部部署署为了保护网络出入与拨号用户所带来的安全性，我们作如下部署：1.中心交换机上接入一台天阗黑客入侵探测引擎：对渗透过防火墙的攻击与通过PSTN进行信息通讯的数据和用户进行实时的监测。2.在系统内部配置一台服务器:作为“天阗”入侵检测系统的控制台，对网络中的探测引擎进行管理与策略分发，以及对事件的监视与报警。66..11..22功功能能实实现现通过使用天阗可以容易的完成对以下的攻击识别：网络信息收集-、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。灵活的配置管理界面内置了多种预定义策略，并允许用户添加修改策略多种攻击响应方式，同防火墙进行联合行动，阻断任何非法连接开放式事件特征库，任何人都可以自行定义和添加特征事件报表分析系统，可对日志进行事后二次分析网络流量分析，可以帮助分析网络故障提供固化版本的网络探测器，即插即用，方便安装多级分层管理66..11..33产产品品配配置置“天阗”黑客入侵检测与预警系统控制中心软件一套（PC服务器配置一台NT4.0/2000Server）“天阗”黑客入侵检测与预警系统探测引擎一台（硬件）对内外部网的访问数据流进行实时监控与报警；同时对于各IP的网络流量进行监控77售售后后服服务务77..11服服务务宗宗旨旨网络安全是一个动态的过程，网络安全总是处在网络系统攻击和防御的平衡之中的动态相对安全。我们的安全服务宗旨是：在不断更新、优化现有产品的同时，为客户提供持续、专业、全面和快速的本地化服务。网络信息系统安全不仅需要动态的工具和产品，而且需要持续跟进的安全服务。77..22服服务务内内容容77..22..11风风险险分分析析对网络安全的威胁确是存在的，但并不是绝对的和确定性的；如果为一种极小概率的事