中交水運規劃設計院網絡安全建設方案.doc
下載文檔
上傳人:地**
編號:1225027
2024-10-10
17頁
196KB
1、中交水運規劃設計院內網安全管理解決方案北京圣博潤高新技術有限公司2006年3月目錄第一章 方案概況31.1 概述31.2. 需求分析3第二章 方案原則、依據及目標52.1 方案原則52.2 方案依據52.3 方案目標7第三章 系統架構83.1 安全策略規劃83.2 內網安全系統的建設83.2.1 內網審計93.2.3 內網監控103.2.4 詳細的審計、分析與報告103.2.5 技術特色11第四章 系統應用部署和安全策略134.1 系統部署134.1.2 集中式部署134.1.2 分布式管理部署134.2 安全策略144.2.1 安全技術154.2.2 安全管理策略16第一章 方案概況1.1 2、概述隨著信息網絡的迅速發展,在當今的信息時代,信息技術已經徹底改變我們的生活和工作方式,也改變現行企事業單位的管理模式。作為信息的管理部門,必須考慮當前技術的發展給我們的工作所帶來的利益和威脅.如何利用信息網絡進行安全的通信,同時保護計算機自身信息的安全性,成為當前網絡安全和信息安全迫在眉睫的問題。針對日益嚴重的內部信息泄漏問題,FBI對484 家公司調查顯示。面對來自于公司內部的安全威脅,85的安全損失是由企業內部原因造成的。對于很多國內企業來說,這可能有點聳人聽聞,但是,他們肯定遇到過類似的事情,由于某一員工誤操作造成公司服務器上重要文檔丟失;由于沒有定義每位員工在系統內的訪問權限,使本該3、由一定級別的人員才能掌握的業務秘密泄露給競爭對手對于這些來自公司內部的安全問題,不是靠單純安裝殺毒軟件或防火墻就能解決的。1.2. 需求分析中交水運規劃設計院的內部網絡安全本質上是一種管理需求,目的是使中交水運規劃設計院的各項工作能夠安全的進行,管理是主要方式。信息化工作模式建立在技術含量較高的計算機及網絡技術之上,在管理過程中僅僅依靠人力不能夠滿足網絡安全管理的需要,也不能夠面對今后隨著技術發展帶來的更多安全需求,因此必須依靠各種技術手段來為網絡安全管理提供有效的工具,降低管理成本,提高管理效率。具體的內網安全問題可以歸結為: 缺乏有效的實時IP/MAC管理機制1 隨著網絡知識的普及,大量終4、端用戶可以輕易的修改本機的IP地址,而網絡管理人員通過現有的技術并不能實時的發現這些操作,這樣做會導致如下問題:2 1.一旦發生網絡癱瘓或網絡阻塞問題,網絡管理人員一般通過終端計算機的IP地址進行查找,但如果用戶修改了IP地址就會造成無法及時發現問題源的現象,導致解決問題的時間被延誤。3 2. 如果用戶修改的IP地址和網關或服務器沖突,就會造成網絡癱瘓或服務失效,同時網絡管理人員無法對問題進行跟蹤。4 3. 如果用戶感染病毒,病毒有可能會自動修改用戶的MAC地址,就會導致該用戶隱身于整個網絡中,使整個網絡存在一個看不見的漏洞。 缺乏內部網絡之間的網絡訪問控制 中交水利規劃院的網絡已經很好的劃分5、了VLAN,但是對VLAN之間的訪問控制沒有進行有效的設置,這樣會導致如下問題: 1.內部數據的不安全性,如果內部用戶無意或有意對服務器段或其他網段進行操作會對該網段的數據造成破壞。 2.如果內部用戶感染病毒,病毒會肆無忌憚的傳播到每個VLAN中。最大的安全等于最小的權限,這是網絡安全的一條不變得法則。雖然中交水利規劃院的網絡已經很好的劃分了VLAN,但是VLAN的劃分存在配置復雜,設置相對死板對網絡管理人員的要求比較高。的劃分存在配置復雜,設置相對死板,對網絡管理人員的要求比較高。 對一些造成網絡性能下降的軟件缺乏控制 當前網絡的發展,導致了P2P軟件的發展,這種軟件大大增加了網絡負載,對正6、常的網絡訪問產生了極大的影響。僅僅從防火墻進行配置會對防火墻的性能造成影響。同時根據防火墻原理它并不能完全有效的阻止網絡回包,這樣會給P2P這類軟件造成可乘之機。 缺乏統一的系統補丁升級系統 當前網絡蠕蟲病毒的泛濫主要原因就是系統補丁升級不及時造成的。如何統一地及時地強制地給所有終端用戶安裝補丁是每個網路所面臨的問題。 對防病毒軟件缺乏統一的管理雖然中交水運規劃設計院購買的網絡版殺毒軟件但是由于缺乏強制的安全策略導致有的客戶端沒有安裝能夠及時升級的網絡版殺毒軟件,造成了網絡安全的隱患。第二章 方案原則、依據及目標2.1 方案原則為保證方案的能夠最終達到國家保密部門規定的相關保密要求,在設計方案7、時遵循如下的設計原則: 系統安全原則:管理系統自身安全包括物理安全、系統安全、數據安全和運行安全等; 可擴展原則:統一規劃,兼顧長遠,既要滿足現有的需求,又要兼顧系統的可擴展性,保證分布實施的延續性。系統在結構、規模、應用能力等各個方面都必須具備很強的擴展能力; 按照GB17859-1999計算機信息系統安全保護等級劃分準則的要求建設; 可靠性原則。執行ISO9002質量認證體系要求,確保安全保密設備的高可靠性和穩定性; 經濟性原則。內網安全管理系統的建設、運行維護以及將來的擴展建設,必須符合經濟性原則; 易操作原則。內網安全管理系統的使用、維護、管理、發行等方面要易操作; 高效原則。內網安全8、管理系統的處理能力要求能滿足現階段的實際需求,保證系統的高效運行,并能根據系統的發展進行不斷提升; 功能完整原則。內網安全管理系統的功能完整,應用安全擴展系統功能完整; 靈活性原則。內網安全管理系統的系統擴展、應用安全建設方面都必須滿足靈活性要求。2.2 方案依據本設計方案的主要依據是國家保密局文件 “涉及國家秘密的計算機信息系統安全保密方案設計指南” (BMZ2-2001),同時,還參考了以下標準和法規、文件: 國家標準GB2887-2000電子計算機場地通用規范; 國家標準GB9254-1998信息技術設備的無線電騷擾限值和測量方法; 國家標準GB9361-1998計算站場地安全要求; 國9、家標準GB17859-1999計算機信息系統安全保護等級劃分準則; 國家標準GB50174-1993電子計算機機房設計規范; 國家軍用標準GJB3433-1998軍用計算機網絡安全體系結構; 國家公共安全和保密標準GGBB1-1999信息設備電磁泄漏發射限值; 國家保密標準BMB2-1998使用現場的信息設備電磁泄漏發射檢查測 試 方法和安全判據; 國家保密標準BMB3-1999處理涉密信息的電磁屏蔽室的技術要求和 測試方法國家保密標準BMB4-2000電磁干擾器技術要求和測試方法; 國家保密標準BMB5-2000涉密信息設備使用現場的電磁泄漏發射防 護要求; 國家保密指南BMZ1-2000涉10、及國家秘密的計算機信息系統保密技術 要求; 國家保密指南BMZ2-2001涉及國家秘密的計算機信息系統安全保密方案設計指南 國家保密指南BM23-2000涉及國家秘密的計算機信息系統安全保密測評指南; CISPR22信息技術設備無線電干擾特征極限值和測量方法; CISPR24信息技術設備免疫性特征極限值和測量方法; 國務院令147號中華人民共和國計算機信息系統安全保護條例; 國務院令195號中華人民共和國計算機信息網絡國際聯網管理暫行規定; 中華人民共和國公安部令32號計算機信息系統安全專用產品檢測和銷售許可證管理辦法; 國家保密局文件計算機信息系統保密管理暫行規定(國保發19981號); 中11、央保密委員會辦公室、國家保密局文件涉及國家秘密的通信、辦公自動化和計算機信息系統審批暫行辦法(中保辦發19986號); 中共中央辦公廳國務院辦公廳關于轉發中共中央保密委員會辦公室、國家保密局關于國家秘密載體保密管理的規定的通知(廳字200058號)。2.3 方案目標中交水運規劃設計院要求最大可能的保護其辦公網絡和系統資源與數據可以得到充分的信任,獲得良好的管理。本項目的總體目標是在不影響中交水運規劃設計院網絡正常工作的前提下,實現對網絡的全面安全加固。北京圣博潤高新技術有限公司(以下簡稱圣博潤)根據中交水運規劃設計院的需求,提供包括整體安全策略、規劃、設計、部署、管理、緊急響應以及配套服務組成12、的網絡安全整體解決方案。安全管理的安全目標:安全管理是整個內部安全管理體系的核心,使得安全策略、和安全系統最終形成一個統一的安全整體,為企業創造真正的價值,根據實際情況,規劃不同密級的安全,為不同用戶制定相應的安全策略,并統一的管理所有設備;第三章 系統架構3.1 安全策略規劃內網安全策略是企業實現內網安全管理的基礎,內網安全策略是企業網絡信息系統安全建設的指導原則、配置規則和檢查依據。內網安全系統的建設主要依據企業網絡信息系統統一的內部安全策略。內部安全策略是一種指導方法,通常都以一種規范、制度、流程等體現出來,用以指導我們快速、合理、全面的建設內部安全系統,同時我們所規劃和實現的內部安全策13、略本身又是可擴展的,隨著時間的不斷推移和內部安全需求的進一步變化,我們都是根據調整企業的內部安全策略來更好的指導我們建設內部安全系統。我們認為,內部安全策略分為:(1) 主機資源審計與保護策略主機資源審計策略是對主機資源進行收集、并現在統一管理的內部安全策略,它指導如何準確、便捷的收集企業內網內所有主機的相關信息,同時指導我們根據不同主機的資源現狀制定不同的保護手段和管理制度。(2) 在線信息保護策略在線信息保護策略是指根據企業的實際情況,并結合相關的法規政策、企業制度,對企業內部暴露在網絡上面的重要信息進行保護的內部安全策略,它指導企業如何定義重要信息、區分不同的信息的重要程度、并根據不同信14、息的重要程度制定不同的保護方案和訪問控制規則,同時也保證了我們企業的內部網絡資源得到最大化的合理應用。3.2 內網安全系統的建設一套統一的、安全的、可擴展的內部安全系統是我們構建整個安全目標的重要因素,內部安全系統是我們整個內部安全體系的基礎框架,通過我們的內部安全系統,我們可以 具體完成我們的安全管理工作,使我們的管理電子化、自動化; 實現安全策略,把安全策略作為系統配置的形式下發到所有終端主機; 科學的劃分安全域,我們的管理工作趨于統一化、合理化、高效化。3.2.1 內網審計在擁有了有效的防止內部信息泄漏的方式后,對計算機資源的審計和管理也變的同樣重要,如何有效的、最大化的掌握每一個主機的15、資源狀態,對統一的安全管理尤為重要!通過實時審計網絡數據流,根據用戶設定的安全控制策略,對受控對象的活動進行審計。采用基于主機和基于網絡相結合的控制機制和技術手段,可以多層次、多手段地實現對網絡的控制管理。通過集中管理、自我防護機制,全面體現了管理層對內網關鍵資源的全局控制、把握和調度能力,為網絡管理人員提供了一種審計、檢查當前系統運行狀態的有效手段。對受控終端進行審計是通過規則進行的。審計規則設置的是對服務器規則控制下的行為的記錄和統計。在服務器設置相應的審計規則后,如果客戶端所在的設備有符合規則的行為發生,則在服務器的日志中會有相應記錄。可以根據需要配置受控終端的文件操作、進程、網絡訪問等16、事件的規則。系統根據規則自動記錄安全審計日志并存入系統日志信息庫,這些信息是事后了解和判斷網絡安全事故的寶貴資料。審計功能包括: 自動登記受控終端的硬件配置(包括CPU、內存、硬盤、顯示卡、網卡等等),當受控終端的硬件發生變動時能自動向安全管理核心系統發出報警信息; 自動記錄受控終端操作系統配置的用戶、工作組、邏輯驅動器,當其發生變化時,自動向安全管理核心系統發出報警信息; 對受控終端安裝的系統服務進行審計,自動記錄系統服務的啟動和停止; 自動記錄受控終端上應用程序的安裝與卸載情況; 對受控終端上運行的進程進行審計,自動記錄進程的啟動和停止; 對網絡訪問進行審計,記錄用戶對規則指定網址進行的訪17、問操作; 對受控終端的可移動存儲設備的使用情況進行審計; 對撥號訪問情況進行審計。3.2.3 內網監控對受控終端進行監控是通過監控規則進行的。安全管理核心系統負責集中配置監控規則,下發到受控節點。可以根據需要設置規則,系統根據規則自動阻止非法操作,并且向控制臺發出報警信息。內網監控模塊功能包括: 對受控終端進行屏幕監視或控制; 對受控終端進行IP地址和MAC地址的綁定,防止用戶隨意更改網絡配置; 對受控終端上運行的進程進行控制,允許或禁止某些進程的啟動; 對網絡訪問進行控制,允許或阻斷對某些網絡地址的訪問; 對受控終端自動進行補丁分發; 對受控終端進行防病毒軟件的控制,不裝指定的防毒軟件不允許18、訪問內網。3.2.4 詳細的審計、分析與報告審計統計報表為系統管理員分析診斷網絡故障提供了數據分析的基礎。可以根據部門、設備、事件類別等多種條件進行查詢統計,生成各種審計統計報表。包括: 安全事件分析報告 計算機配置報告 計算機運行狀況報告 系統進程審計監控報告 系統服務審計監控報告 系統日志審計監控報告 打印輸出審計報告 文件存儲、傳輸審計監控報告 網絡訪問監控報告對生成的審計統計報表(或審計日志報表、系統事件報表),可以通過系統提供的“報表查看器”進行瀏覽,同時提供打印預覽功能,支持報表打印。3.2.5 技術特色LanSecS內網安全管理系統凝聚了先進的網絡安全管理思想,把安全管理的流程和19、技術手段加以總結提高,既能保證計算機網絡安全運行,也能提供對內網計算機信息安全的監控和審計,可以解決企業和政府內部專用網絡的安全管理、安全控制和行為監視。通過主動的安全管理和安全控制的方式,將內部網絡的安全隱患以技術的手段進行有效的控制。 符合當前網絡安全管理的國際、國內標準符合國際信息安全管理體系標準和技術工程標準,BS 7799、ISO 17799、SSE-CMM等。符合中華人民共和國國家標準GB17895-1999計算機信息系統安全保護等級劃分準則。 獨特的安全管理思想和技術手段結合信息安全行為模式理論以及多年從事網絡安全和風險評估領域的經驗積累,形成了獨特的安全管理的方法論,以此方法論20、為基礎設計了專業的智能的LanSecS內網安全管理系統。實現了嚴密的集中管理、自我安全保護,并建立了信息安全管理體系。產品設計思想先進,擁有完全自主的知識產權。 基于主機和網絡相結合的控制機制基于主機控制機制可以監控指定的主機系統,其控制力度細;基于網絡的控制機制可以實時監控內網的安全隱患,實現了周密的內網資源保護。 集成的系統管理:端到端、全面的集成監控優秀的IT系統管理軟件,幫助用戶穩定、可靠、方便、有效地管理企業級IT基礎設施,真正實現了端到端的系統管理。 強制的審計監控進程在客戶端隱藏審計/監控進程,使得受控客戶端不能停止和刪除進程,確保安全審計和監控,同時不影響客戶端的正常使用。 I21、P和MAC地址綁定可以防止受控客戶端改變IP地址,確保訪問控制。 集中管理和監控對大量目標資源進行集中管理,可以監督的對象眾多。系統對內網中設備、網絡、文件集中管理安全策略、系統配置、安全事件等。 安全日志信息庫所有網絡、系統數據及安全事件,可以通過SQLSever2000數據庫進行存儲,便于網絡安全管理審計、分析。 操作系統自身的安全性審計 可以發現當前系統的補丁安裝情況,同時針對不同單位的防病毒的需求,可以提示用戶安裝本單位要求的防病毒軟件. 模塊化設計、簡單易用系統開發了獨立模塊以提供對目標主機多層次、多視角的審計,并提供了友好的安全審計中心圖形界面,操作簡單直接,大大降低了用戶后期維護22、的投入以及網絡系統/安全管理員的工作難度和工作量。第四章 系統應用部署和安全策略4.1 系統部署通過管理角色特別是管理端管理角色的變化,結合LanSecS內網安全管理系統應用數據服務器支持多級別、分布式部署的特性,在實際中,LanSecS內網安全管理系統采用以下兩種部署方式:集中式部署和分布式管理部署。4.1.2 集中式部署集中式部署面向小型網絡。LanSecS內網安全管理系統按照企業網絡結構,將網絡劃分為一個安全域,通過對每一個網絡用戶行為的監視和記錄,并形成完整的日志。集中部署4.1.2 分布式管理部署分布式部署面向復雜結構下的企業網絡。在這種部署應用模式下,LanSecS內網安全管理系統23、按照企業網絡結構,可以將整個企業網絡劃分為一個以上的安全域;在某個安全域內,按照該安全域的類型,LanSecS內網安全管理系統可以將所有下級的安全數據信息集中到LanSecS安全管理核心系統。分布式部署1. 對于經常出差,策略是統一策略已下發到本機,所以還是可以保證數據的安全的,同時操作日志會在聯通網之后將日志上傳這到服務,統一管理。2. 根據中交水運規劃設計院的實際情況,規劃不同策略,為為同安全級別制定相應的安全策略,并統一的來之不易所有網絡網絡。4.2 安全策略網絡與信息安全=信息安全技術+信息安全管理體系技術層面和管理層面的良好配合,是組織實現網絡與信息安全系統的有效途徑。其中,信息安全24、技術通過采用包括建設安全的主機系統和安全的網絡系統,并配備適當的安全產品的方法來實現。在管理層面,則通過構架信息安全管理體系來實現。應用開發提供功能,系統管理確保性能。離開了對于性能和可用性的保障,系統應用無從談起。保證網絡自身安全和業務安全,首先要有一個可靠的網絡,其次就是要有強有力的網絡管理和網絡安全管理策略和手段。隨著網絡應用日趨復雜,單憑網絡管理員的學識和經驗進行網絡管理和安全管理,已經不能適應了。因此,我們必須借助一些工具和軟件來管理網絡,并構建信息安全管理體系。4.2.1 安全技術全網安全策略考慮如下:中交水運規劃設計院雖說是一個獨立的局域網,內部辦公都是依靠此網進行完成,所以必須25、考慮該監控系統安裝后對原有系統的影響。包括對原有系統穩定性、網絡帶寬資源、系統安全性的影響。需要安裝在原有系統上的模塊是客戶機端駐留引擎。該引擎我們做了測試,不會引起操作系統的不穩定,占用的系統CPU資源量很小,約2.5%以下,內存占用量也很小,1M以內。監控系統其它模塊不再和原有的系統直接聯系,都是獨立的。包括掃描發現引擎、設備智能探測發引擎。 客戶端引擎安全策略客戶端駐留引擎所完成的功能是整個監控系統要完成的核心功能,實現客戶端監控審計的功能。如果該系統出現安全問題,主要的數據信息將失去意義。客戶引擎完成的主要功能是控制本機用戶的使用權限,記錄、上報本機用戶的敏感操作和狀態信息,這使用戶產26、生抵觸心理。即使加強管理工作,用戶仍可能想方設法破壞引擎的正常工作,包括將其卸載、停止工作、刪改記錄、不正常運行等。所以,引擎必須保證自身安全可靠性。包括:1) 駐留模塊在本操作系統下具有不可發現、不可刪除、不可停止、不可篡改等特點,實現多層保護。第一層保護是不可發現,如果可以發現,就會給人以破壞的機會;第二層保護是不可刪除,萬一發現后,也是刪除不掉的,我們通過底層技術加以保護;第三層保護是不可停止,萬一發現了該進程,通過一般的技術手段,包括系統提供的工具都停止不了它;第四層保護是不可篡改,主要是針對該系統文件和日志記錄,在非在線情況下,對用戶的行為做日志非常重要,一旦連接在線,會將記錄傳送到27、數據庫中。2) 保證系統不可被病毒軟件發現。有一些同類軟件盡管采用了一些隱藏技術,但是避免不了被防病毒軟件發現。防病毒軟件會將監控系統駐留引擎當成病毒處理,并對引擎隔離或刪除。3) 自動啟動客戶機駐留引擎。試圖通過啟動配置、注冊分區表發現、修改或禁止引擎啟動都不可能。4) 安全模式下引擎仍然正常發揮作用。4.2.2 安全管理策略對于中交水運規劃設計院,除安全外,采用監控系統后還必須考慮對部門局域網和廣域網(指專網廣域網)的其它影響影響。 帶寬的問題在局域網內部,掃描引擎搜集大量的數據信息,上傳審計信息,對違法客戶端發起的阻斷功能都有可能引起局域網帶寬的瓶頸。實際上,掃描引擎搜集網絡信息采用定時方式,除開機注冊時需要上傳單機多項信息外,定時掃描時傳送很少量信息,而違法行為也不是大量出現,所以不會引起網絡瓶頸。管理控制臺提供查詢、配置、報警等功能,平時數據量都很小,只在數據查詢時稍大,顯然不會對網絡帶寬造成大的影響。當然,隨著逐步往中央集中,各地研究所數據傳輸量逐步增大。但是目前的帶寬保證,總體都不會出現網絡瓶頸。