《信息安全解决预案设计概述.doc》由会员分享,可在线阅读,更多相关《信息安全解决预案设计概述.doc(5页珍藏版)》请在三一文库上搜索。
1、第 1 章 信息安全解决方案设计在第 2 章里,我们分别从 网络 、应用 、终端及管理四个方面对公司的信息系统安全建设 进行了风险及需求的分析。 同时根据第 3 章的安全方案设计原则, 我们将公司网络安全建设 分为以下几个方面进行了详细的方案设计:边界安全解决方案;内网安全解决方案;应用安全解决方案;安全管理解决方案;安全服务解决方案。下面我们分别针对这 5 个安全解决方案进行详细的描述。1.1 边界安全解决方案在第 2 章的网络安全风险及需求分析中, 我们主要从外部网络连接及内部网络运行之间 进行了风险的分析。边界安全解决方案就是针对与外部网络连接处的安全方面。网络是用户业务和数据通信的纽带
2、、 桥梁,网络的主要功能就是为用户业务和数据通信 提供可靠的、满足传输服务质量的传输通道。就公司网络系统来讲, 网络边界安全负责保护和检测进出网络流量; 另一方面, 对网络 中一些重要的子系统,其边界安全考虑的是进出系统网络流量的保护和控制。针对公司网络系统,来自外部互联网的非安全行为和因素包括:未经授权的网络访问身份(网络地址)欺骗黑客攻击病毒感染针对以上的风险分析及需求的总结, 我们建议在网络边界处设置 防火墙系统 、安全网关 及远程访问系统 等来完善公司的边界网络安全保护。防火墙系统为在公司网络与外界网络连接处保障安全, 我们建议配置防火墙系统。 将防火墙放置在 网络联结处,这样可以通过
3、以下方式保护网络:为防火墙配置适当的网络访问规则, 可以防止来自外部网络对内网的未经授权访问;防止源地址欺骗 ,使得外部黑客不可能将自身伪装成系统内部人员, 而对网络发起 攻击;通过 对网络流量的流量模式进行整型和服务质量保证措施,保证网络应用的可用性和可靠性;可以根据时间定义防火墙的安全规则, 满足网络在不同时间有不同安全需求的现实 需要;提供用户认证机制 ,使网络访问规则和用户直接联系起来, 安全更为有效和针对性;对网络攻击进行检测 ,与防火墙内置的 IDS 功能共同组建一个多级网络检测体系。目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷, 状态检测防火墙
4、具有更高的安全性、 系统稳定性、 更加显著的功能特性和优异的网 络性能, 同时具有广泛的适应能力。 在不损失网络性能的同时, 能够实现网络安全策略的准 确制定与执行, 同时有效地抵御来自非可信任网络的攻击, 并具有对防火墙系统安全性能的 诊断功能。其内置的入侵检测系统, 可以自动识别黑客的入侵, 并对其采取确切的响应措施, 有效保护网络的安全,同时使防火墙系统具备无可匹敌的安全稳定性。我们可以根据业务模式及具体网络结构方式,不仅仅在内部网络与外部网络之间,同 时在内部网络与内部网络之间和各子业务系统之间,考虑采用防火墙设备进行逻辑隔离, 控制来自内外网络的用户对重要业务系统的访问。防火墙技术部
5、署说明(根据具体的网络情况描述)产品选型及功能介绍(根据具体产品描述)安全网关由于考虑到公司与互联网( Internet )进行连接,所以我们建议在系统网络与 Internet 接入处配置“安全网关” ,部署位置灵活,可放置在接入路由器与防火墙之间,也可部署在 防火墙与内部网络之间。随着互联网的飞速发展和应用, 计算机病毒已将互联网作为其一种主要的传播途径。 其 中利用电子邮件传播病毒是最直接的方式,统计显示邮件传播方式占全部病毒传播的90%以上。在过去一段时间内所发生的几起影响较大的计算机病毒事件中,以 Internet 为主要传 播途径的病毒占大多数,如Nimda、Code Red等,以及
6、近几年爆发的Sobig.F、Swen、冲击波、振荡波等等。同时, 由于病毒的泛滥, 垃圾邮件也越来越成为大家头痛的问题。 根据国际领导的市场 调查机构 Radicati Group 统计,目前所有的邮件中,超过50是垃圾邮件,也就是说每天在国际上有超过 150 亿封垃圾邮件被发送出去, 使各类企业每年遭受到 200 亿美元以上由于劳 动生产率下降及技术支出带来的损失,到 2007 年垃圾邮件数量将上升到惊人的 2万亿封一 年。经过上述风险及需求的分析, 在 Internet 接入处对病毒、 垃圾邮件及恶意代码进行控制, 是实现接入安全的最佳方案。通过配置“安全网关” ,我们可以实现:保证所有主
7、要的In ternet协议的安全,包括 HTTP、FTP、SMTP、POP3等信息在进 入内部网络前由安全网关进行查杀毒; 过滤所有来自互联网的垃圾邮件;通过SMTP认证保证邮件服务器不会被黑客当作攻击别人的跳板等。产品选型及功能描述安全网关的目标是在网络边界或 Internet 网关处提供全面的病毒防护, 而该病毒防护设 备是即插即用的,不需要改变任何 Internet 设置,并对所有应用及服务透明。通过全面阻截 已知及未知病毒和防垃圾邮件功能和内容过滤功能达到针对企业网络环境的全面防护。安全网关是一款高度可配置及提供负载均衡的产品, 为从中型到大型企业提供全面解决方案, 并 对网络流量透明
8、。主要模块防病毒模块能够扫描最常用的 6 种协议,阻止未知病毒和计算机蠕虫进入公司网络防垃圾模块 安全网关通过其反垃圾邮件模块检查进入公司的所有邮件。 信息被扫描并且被划分 成垃圾或非垃圾, 在未被请求的邮件到达用户信箱之前进行阻断或修改这些信息的 主题内容过滤模块 网页过滤模块允许管理员限制因特网访问。 可以定义不受欢迎内容目录, 授权和非 授权网页。允许管理员控制公司网络资源,并且阻断非法,黄色或暴力网站内容, 或只是不受欢迎内容进入公司。 可以建立 VIP 用户列表, 这些用户不需应用上述限 制主要特点:易于使用 :安全网关是目前世面上最易于安装及使用的硬件网关产品, 作为网络信 息传递
9、的桥梁而非需要重新路由网络流量。安全 :安全网关扫描 6 种网络协议, 而其他硬件网关产品仅能够扫描 2 到 4 种网络 协议。在安全网关安装在企业边界上时, 它实时扫描所有收入及发出邮件及其他的 网络传输信息,并且具有防垃圾邮件功能和内容过滤功能表现性能 :安全网关的最大性能是可以取得完全扫描及病毒防护。 安全网关的硬件 及软件性能经过特殊优化处理, 能够同时扫描 6 种网络协议, 并且完全对企业网络 透明。扩展性 :安全网关专门针对自动负载均衡设计, 使增加扫描的速度及增加网络防护 可以随时达到。并可支持到百兆。功能及优势:性能高度优化的病毒防护 整合最新硬件及软件技术,提供超乎寻常的优异
10、性能, 能够在一个小时内扫描上万封邮件,完全对企业网络透明。性能高度优化的垃圾邮件防护 整合最新硬件及软件技术,提供超乎寻常的优异 性能,能够在一个小时内扫描上万封邮件,完全对企业网络透明。拓展性及负载均衡 由于安全网关的高度可拓展性,安全网关适合中到大型企业, 能够根据网络通讯流量调节扫描能力。 负载均衡是完全自动的, 允许工作负载量能 够自动在不同工作单元间进行均衡, 良好地保障了产品的可拓展性及对企业边界的 全面防护。易于安装及配置 按照即插即用的设计思路,能够非常简便地安装在企业网络中,4 / 32不需要重新配置或重新路由 Internet 流量。一旦安装完成,就开始不知疲倦地扫描 所
11、有网络流量,保障网络的 100安全。保护所有广泛使用的网络协议 保护所有可能的 Internet 相关威胁,完全扫描所 有常用 Internet 协议,包括 : HTTP, FTP, SMTP, POP3, IMAP, NNTP.内容过滤 内容过滤防止未知病毒及蠕虫进入企业网络,大幅减少整体网络资源 占用及带宽,防止可能的恶意代码进入到企业网络。远程管理 可以通过一个简洁、 启发式的 WEB 管理控制台远程管理, 让企业网络管 理员通过企业内部任何一台电脑管理该产品。每日自动病毒更新 可以每日自动病毒更新,意味着安全网关始终可以防护所有最 新病毒。详细报告及可客户化的报警 安全网关提供完整的扫
12、描报告, 并可以客户化在企业内 部网络的病毒报警机制。实时系统监控 安全网关提供网络管理员对网络病毒行为及网络流量的实时监控。远程访问安全根据前面的风险及需求分析可知, 公司在通过 Internet 互连及远程访问方面, 主要存在 着以下两种类型:公司总部与分支机构之间的远程访问及互连;公司与合作伙伴之间的远程访问及互连。在总部与分支之间的互连, 一般要求将分支机构的网络接入到总部网络。 而与合作伙伴 的互连一般情况下合作伙伴访问企业固定的某些应用系统。同时, 远程应用中还存在着一种情况,即用户出差或移动状态中需要在远程访问安全方面,我们分别针对这两类应用类型设计了相应的VPN远程访问系统。分支与总部的连接目前,由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工, 以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以 保证数据的私密性。