XXXXX公司 网络安全建设建议方案(六)

2014-12-26 12:28:00
dxt001
原创
2228
摘要:多年以来,点线通一直秉承的是顾问式销售模式,从不采用抄袭方案,所有方案均由公司资深售前工程师或网络架构师与用户沟通后进行设计和编写。欢迎来电咨询,获取专业建议和为您定制的方案。

接《XXXXX公司 网络安全 建设建议方案(五)》



l CopSap的计算机硬件认证机制。CopSap身份认证的特点之一在于对认证主体计算机设备信息的认证。CopSap在认证过程中利用客户端代理实时获取用户的计算机硬件信息,并进行与服务器同步的随机化处理,然后通过安全通道传到服务器认证。有了这个机制,即使在口令及USB遗失的情况下,也能保证其它用户不能使用其它计算机使用该帐号成功认证。

l CopSap认证协议的安全性高。CopSap采用多因子进行用户认证,除了安全的计算机硬件认证机制外,CopSap还采取动态口令的认证方式及基于证书的认证方式,以及基于Diffie-Hellman密钥交换机制来保证整个认证过程的安全。

l CopSap平台的委托授权功能。考虑到系统使用的灵活性,对于使用多主机或经常更换计算机的用户,CopSap具有委托授权功能,通过由主机用户来授权从机使用相同的帐号,可以使统一帐号在多台主机上使用。

l CopSap的单点登录机制。CopSap使用用户属性数据库、客户端专有代理、门户网站及借鉴于SAMLSSO协议等保证C/S应用及B/S应用的单点登录的成功实现。CopSapSSO功能,可以很少,甚或不用对应用系统进行改造即可完成,同时CopSapSSO与身份认证及访问控制从分结合,使得CopSap真正成为一个安全认证平台。

l CopSap具有完善的审计功能。CopSap平台对用户的认证交易有完善的记录,方便事后的追查与跟踪,同时CopSap对服务器的运行状况有实时的统计分析,保证服务器运行稳定。

l CopSap具有丰富的API接口。CopSap系统针对不同的应用平台具有众多的支持接口,详见技术指标。

6.6. VPN子系统

6.6.1. 部署VPN的意义

在经济全球化的今天,越来越多的公司、企业开始在各地建立分支机构,开展业务,移动办公人员也随之剧增。在这样的背景下,这些在家办公或下班后继续工作的人员和移动办公人员,远程办公室,公司各分支机构,公司与合作伙伴、供应商,公司与客户之间都可能建立连接通道以进行信息传送。

传统的企业网组网方案中,要进行远地LAN LAN互连,除了租用DDN 专线或帧中继之外,并无更好的解决方法。对于移动用户与远端用户而言,只能通过拨号线路进入企业各自独立的局域网。随着全球化的步伐加快,移动办公人员越来越多,公司客户关系越来越庞大,这样的方案必然导致高昂的长途线路租用费及长途电话费。于是,虚拟专用网VPN

Virtual Private Network)的概念与市场随之出现。

虚拟专用网是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用,而事实上并非如此,所以称之虚拟专用。之所以采用虚拟专用网是因为VPN有以下几方面优点:

l  降低成本

l  容易扩展

l  完全控制主动权

l  全方位的安全保护

l  高的性价比

l  使用和管理方便

l  投资保护

虚拟专用网VPN采用了一种称之为隧道的技术。隧道技术的基本过程是在源内部网与公用网的接口处将内部网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中,在目的内部网与公用网的接口处将公用网的数据解封装后,取出负载即源内网发送的数据向目的内网传输。

由于封装与解封装只在两个接口处由设备按照隧道协议配置进行,内网中的其他设备将不会觉察到这一过程,对与内部网用户来说这一切都是透明的。但提供了网络数据在不安全公网中安全传输的能力。

6.6.2. 实现VPN的思路

在具体实现VPN配置的设备中,主要有专用的VPN设备、支持VPN功能的路由器、具有VPN功能的防火墙、VPN客户软件等。

l  专用VPN设备。采用专用的软硬件实现加密、认证、访问控制、审计等功能,科灵活配置在网络边界、服务器甚至计算机与网络之间,如IP加密机、VPN加密机、VPN安全网关等。

l  兼容VPN的路由器。在路由器中内嵌VPN功能,实现VPN需求的加密、认证和包过滤等,主要配置在网络边界。

l  VPN型防火墙。利用防火墙的强制访问识别控制和安全机制,结合加密、认证、密钥交换等技术保护内部网络安全,使其成为一种较强的VPN实现方案。

由于本方案中我们可以采用在防火墙上增加VPN模块的方式来实现VPN功能,从节约投资、部署的方便性考虑,选择利用VPN型防火墙的实现方式,在下级分支机构采用VPN客户软件的方式。

针对****公司应用和用户移动办公的特点,我们认为信息传输安全方案主要需要考虑以下一些问题:

(1) 身份真实性

对于基于互联网的应用,参与公司业务的各类实体的身份真实性受到极大挑战。各类信息盗取、身份冒充的事件层出不穷,网银大盗网络钓鱼式攻击等事件给网上应用蒙上了阴影。用户对于网上服务的真实身份难以确认,造成误入非法网站的情况,结果是将个人账户和密码输入给非法网站,从而使得网络钓鱼式攻击得以成功。

相反,由于使用“账户+口令”模式登陆使用网上服务,这种简单的认证方式,使得许多黑客程序轻易得到用户的敏感信息,从而让非法用户冒充合法用户进行网上服务,造成合法用户、企业受到损失。

(2) 数据机密性

由于****公司的数据的特殊性有机密性,防止这些信息被非法窃取至关重要。

(3) 信息完整性

网上服务发给其用户的信息以及用户发给网上服务器的信息,在互联网上传输,在此过程中,由于网络有被黑客非法拦截的因素,信息有被改变的风险。

(4) 行为不可抵赖性

使用网上服务进行操作时,用户的操作行为具有不可抵赖的需求。

 

6.6.3. VPN系统的部署

l ****公司网络信息系统中,各级机构网络之间的业务数据传输是通过租用电信部门的通信线路或者各自的光纤进行的,为了保证信息数据在传输过程中的安全性,建议通过建立企业VPN系统来为广域网数据传输提供加密和认证保护,以保证在公网中传输的企业内部私有信息的机密性、真实性及完整性。我们在****公司总部及各分公司网络出口所推荐采用的防火墙系统扩展VPN模块的方式,以保护以前的投资。

l 对于单机上网的移动办公用户,可以在业务工作站上安装VPN客户端软件VRC,以实现与上级机构网络之间的安全通信。

l 在总部和各分公司网络间通过双方的FW/VPN网关建立加密的网关-网关型的VPN传输隧道;移动办公工作站通过VRC软件建立与上级机构网络间的端-网关型的VPN传输隧道,并通过VPN网关的隧道转换功能,可方便地实现与****公司全网中其他网络节点之间的安全通信。

l VPN功能对最终用户是完全透明的,不影响实际的业务操作。

6.6.4. WWW公司VPN的优势

l  通过NAT穿越功能(NATT支持穿越NAT网关建立VPN隧道

VPN支持NAT 穿越(NATT )功能,即便VPN网关或客户端处在NAT环境中(即采用保留IP地址上网),也可以建立VPN加密通讯隧道。VPN系统在协商过程中会根据网络情况自动决定是否启用NATT功能,保证VPN隧道的正常建立和使用。

 

l  提供多种认证方式,用户可根据安全需要灵活选择

VPN网关提供简单的用户名/口令认证、OTP一次性口令认证和基于PKI体系的CA认证等多种认证方式。

对于安全性要求不高的用户,可以采用简单的用户名/口令认证方式。

OTP一次性口令认证是用来检验欲访问VPN网关的管理员是否为合法用户。一次性口令认证机制极大地提高了访问控制的安全性,有效阻止非授权用户访问VPN网关。

对于安全性要求高的用户,建议对VPN网关和VRC客户端的身份认证均采用基于证书的认证。证书遵循X.509证书体系。VPN网关可采用两种证书管理方式:自建CA服务器和利用第三方CA中心。


l  提供足够的加密保护强度,确保数据传输安全

VPN网关支持多种加密算法,包括各种国际主流加密算法和经国密办认证的硬件加密卡提供的专用128位加密算法。本项目推荐采用168位的3DES加密算法,可提供足够的加密强度。

 

l  提供隧道探测功能,在隧道异常断开后可自动恢复

好的VPN具有隧道探测功能,在隧道协商过程中,不停的探测隧道状态,并在GUI管理器中显示探测结果。当隧道建立成功后,VPN会每隔一定的时间间隔探测隧道状态,在对探测没有正常响应的情况下,VPN会停掉本方的隧道,并每隔一定的间隔试图去重建,一旦对方VPN或网络恢复正常,隧道就能够马上自动重新建立。


l   提供隧道接力技术

为了减少在VPN上隧道参数的配置,各个分支机构只需要与总部建立VPN隧道,通过隧道接力技术就可以实现分支机构之间的互相访问。减少网络维护人员的工作量双方/单方动态IP地址支持;支持VPN双方内部网段地址有重叠时的IPSec连接;支持透明模式下的VPN

6.7. 安全审计子系统

6.7.1. 系统部署的意义

安全审计系统是一款综合性的终端管理软件产品,能对局域网内部的网络行为进行全面监管,检测和维护桌面系统的安全。它通过对桌面安全监管、行为监管、系统监管和安全状态检测,采用统一策略下发并强制策略执行的机制,实现对局域网内部桌面系统的管理和维护,从而有效地保护用户系统安全和机密数据安全。

桌面安全监管,通过统一策略配置的主机防火墙和主机IDS,实现对桌面系统的网络安全检测和防护,当IDS 检测到报警后能够与主机防火墙进行联动,自动阻断外部攻击行为。

行为监管,对桌面系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控(文件操作只进行监视),确保机密数据的安全,避免泄密。

系统监管,使管理员能够轻松进行局域网的管理维护。通过系统监管模块管理员能够远程查看桌面系统的详细硬件配置信息和已经安装的软件;能够很容易的进行IP 地址管理,避免IP 地址混乱;还可以轻松完成网络内Windows 系统的补丁检测、下发和安装。

安全状态检测,检测桌面系统的病毒防护工作是否正常。

系统主要从主机安全和数据保密的角度实现对桌面系统的管理和维护,使管理员能够轻松管理网络内大量的计算机,及时发现并解决用户遇到的故障,

6.7.2. 系统部署的作用

客户端联网管理

 

1)、    入网检测:移动设备(笔记本电脑等)和新增(设备计算机等)以及便携式存储工具接入检测,未经允许擅自接入的设备会给网络带来病毒传播、黑客入侵等不安全因素;

2)、    笔记本带入带出监控:自动发现笔记本电脑带出网络后进行上网等非安全的行为,在出现这些行为后,如未通过系统安检程序的安全检测,系统将自动阻断这类笔记本入网;

3)、    客户端违规联网检测:检测内部网络(包括物理隔离和逻辑隔离网络)用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网、违规离线上网等行为,并可按照不同的策略进行警告或分布式阻断。

 

客户端安全管理

                   

1)、    客户端防病毒软件监控:可监控所有防病毒厂商的防病毒软件在客户端的情况并以图表的形式直观表示,可通过此系统强行安装防病毒软件或升级。

2)、    客户端补丁安装监控:注册后的网络客户端,在本机系统中将实时运行状态监测程序,及时将本机的补丁修补状况上报,管理人员在WEB平台中可以对全网计算机终端补丁修补状况作详细了解。

3)、    客户端软件安全情况监视:可自动发现客户端安装的软件,所有相关数据入库管理。

4)、    安全事件源远程阻断:网络客户端出现病毒、蠕虫攻击等安全问题后,做到对安全事件源的实时、快速、精确定位、远程阻断隔离操作。

5)、    网络薄弱环节查找:大规模病毒(安全)事件发生后,网管人员利用本系统确定病毒黑客事件源头,找到网络中的薄弱环节,进而加强安全预警。

 

应用资源安全监控

 

1)、   网络终端合法、非法进程监控:监控网络客户端运行程序,合法的工作类软件,影响工作效率的非法软件:如OICQMSN、股票等;还可以进行病毒、木马等可疑程序的监控。

2)、   网络流量统计控制:基于主机、基于网络两种方式对网络中客户端流量、分支网络带宽流量进行分析,并可以进行数据包规则检测,防止非法入侵、非法滥用网络资源。

3)、  网络病毒源定位、分析:北信源在病毒源码分析、安全事件应急处理方面有着极强的技术实力,对于病毒源定位、病毒风险分析、病毒安全等级评估等方面有着成熟的技术。内网安全管理系统基于进程/服务的代理侦测技术能够进行病毒源定位,并进行远程封杀控制,将带毒客户端隔离在受保护网络之外,实现对网络的安全保护。

 

联网计算机注册登记、管理

 

内网安全管理系统提供强大的内网联机设备注册、管理功能,完美实现对局域网、广域网设备资源的综合管理。

1)、网络硬件设备登记注册:将硬件设备属性信息采集后存储到后台SQLserver数据库中,硬件属性信息包括:硬盘容量、序列号、CPU型号、内存大小、网卡MAC地址、IP地址等重要属性信息。

2)、网络设备物理信息登记:登记设备的名称、使用人(管理负责人)姓名、设备房间号、联系方式、计算机所属部门等,进行物理定位。

3)、计算机硬件设备变化检测:实时检测硬件设备变化状态,如内存增减、地址变更等变化信息,将信息都在系统报警中心上显示。

4)、    级联管理报警:支持设备信息级联存储、级联管理、报警信息级联上报显示,为多级管理人员提供强大的安检功能。

 

网络资源监控管理

 

1、    IP地址区域划分管理:对于规模较大网络(广域网、城域网),进行IP区域划分;检测网络中IP应用状况,归类已注册、已使用、未使用的信息,提供IP地址MAC地址绑定功能。

2、    网络设备信息变化管理:对局域网、广域网网络中设备变化状况即时报警,统计当前在线、不在线机器数量及机器状态。

3、    网络终端信息监控:对网络终端设备属性进行实时监控,如操作系统类型、入网时间、用户信息等。

4、    网络异常状况报警:报警网络中设备变化、设备入网、流量异常等。


6.7.3. 系统部署方案



标准构架(小型网络):一般网络(例如1C类地址或若干个C类地址的局域网范围)可使用一套本系统软件,集中管理所属区域内的所有设备。

级联构架(大型网络):大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构)可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立内网安全管理软件的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。

 

系统运行平台

   系统管理主机: 专用服务器或高档PC服务器,Windows2000 ServerSP4)以上操作系统(安装IIS),MS SQLSP3 数据库(可以采用桌面数据库版本)。

基本配置:P4 2.0G以上CPU512 M以上内存,硬盘40G

建议配置:P4 2.8G以上CPU1G以上内存,硬盘80G以上。

 

用户管理控制台:建议安装在系统管理主机上,IE6.0(SP1)以上版本。

6.7.4. 北信源内网安全管理的优势


1、    客户端不能任意卸载:必须要特定的软件才能卸载掉客户端,而这种软件只能管理员才能拥有。

2、    支持IP/MAC地址绑定等功能

3、    流量、连接数限制:能够正对客户机进行连接数或者流量的控制。通过对每个客户机的连接数的限制,在蠕虫病毒爆发的时候,能够较为有效的降低蠕虫病毒对网络的冲击

4、    可以和北信源网络补丁分发管理系统集成使用。

5、    为专业网管软件联动兼容提供接口:违规联网管理系统支持对网络资源的管理,侧重于对内部网络的管理,设计构架同网络管理软件有相近的地方,可以同专业的网管软件联动,双方相互提供接口,增加一些用户化的功能。

6、    同防火墙、IDS等安全平台联动兼容,提供接口:北信源VRV内网安全管理系统为防火墙、IDS提供安全访问控制联动接口,目前已成功同国内防火墙联动,对网络中存在违规计算机采取自动阻断封杀措施。

7、    同防病毒系统联动兼容,提供接口:北信源VRV内网安全管理系统支持对网络中应用资源的统计,如防病毒软件、系统应用软件的检测,统计网络防病毒软件的安装数量,对网络中的病毒源进行定位,通过远程封杀方式对带病毒计算机控制。同时还可以提供软件分发功能。

8、    预留扩展接口(级联、控制、统计等):能够依照用户特定要求——监控系统数据接口格式规范进行数据传递。具备诸如软件分发、脚本控制、补丁控制、桌面管理等二次开发扩展功能。


6.8. 全网管控方案设计

6.8.1. 综合安全管控系统的目标

对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患。所以安全系统需要集中的审计系统。在安全解决方案中,跨厂商产品的简单集合往往会存在漏洞,从而威胁乘虚而入,危及安全。此外,当某种安全漏洞出现时,如果必须针对不同厂商的技术和产品先进行人工分析,然后综合分析,提出解决方案,将降低对攻击的反应速度,并潜在地增加成本。如果不能将在同一网络中多个不同或者相同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。如果没有实时的、集中的、可视化审计,就不能有效、及时的评估,系统究竟是不是安全的,无法及时发现安全隐患。

6.8.2. 综合安全管控系统的作用

为用户提供了一个分布式的集日志存储、分析、管理等功能于一身的安全审计和管理平台。主要应用于具有多种网络设备及主机类型的复杂网络环境中,通过记录、分析网络中的各类日志信息,并实时监视网络中的各种设备状态,及时、有效分析出网络中发生的安全事件及入侵行为。并可以根据设置的策略及规则,对违规行为进行记录、报警和阻断。它可以与防火墙、入侵检测系统等协调工作,记录并分析发生在不同的协议级上的安全事件,为用户提供一整套完整的网络安全解决方案。不仅如此,集中网络安全审计和管理系统还可为打击网络犯罪提供一种有效的信息取证依据。



 

其中,事件监控中心主要监控各网络设备、操作系统的日志信息,以便及时发现网络蠕虫攻击、非授权漏洞扫描等安全事件,采取积极主动措施进行处理。而通过漏洞评估中心可以掌握全网各系统中的安全漏洞情况,有助于各级安全管理机构及时调整安全策略。综合分析决策支持与预警中心是平台的核心模块,能够接收来自安全事件监控中心的事件,依据资产管理和漏洞评估中心进行综合的事件协同关联分析,并基于资产进行风险评估分析。仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全,响应管理中心为响应服务实现工具化、程序化、规范化提供了管理平台。

6.8.2.1. 综合安全管控系统部署方案

本方案建议考虑对未来应用系统服务器的日志进行收集、分析的工作。在网络中心服务器的区域部署综合安全管理平台,管理****公司信息资产,并负责采集重要服务器以及网络设备、安全设备的日志信息,定时进行分析,为客户生成统计报告,和预警报告。

l  建立专门的管控中心,作为单独的区域,由防火墙进行严格的访问控制。

l  在不同安全区域设置日志服务器,在本区域内收集防火墙、路由器、交换机、IDS、重要服务器的日志信息。

l  在重要服务器上部署综合安全管理平台代理,负责本服务器的监控工作:进程、硬件资源、非法外联等等。

l  在管控中心部署专门的设备管理控制台(或网管软件),所有设备统一由管控中心进行配置、监控和管理。

l  在管控中心部署漏洞扫描设备,定期对全网设备、服务器进行安全评估。

6.8.2.2. 综合安全管理平台综合安全管控系统

综合安全管理平台是组成可信网络架构(TNA)的核心部件。它通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;通过制定安全策略指导或自动完成安全设施的重新部署或响应;从而全面提高整体网络的安全防护能力。

其中,安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。

综合安全管理平台的设计目标是:从根本上改变不断增加的安全技术和安全产品所造成的信息孤立、管理困难的局面,在一个规范、统一的综合管理平台上有机整合各种安全技术、产品,同时使技术因素、策略因素以及人员因素能够更加紧密地结合在一起,突出人在企业安全管理中的中心地位,充分地发挥用户网络中各种安全资源的作用,提高用户的网络安全防御体系的整体的综合效能,获得尽可能大的投入产出比。

具体来说,主要包括:

l  实时监控全网络运行

l  实施统一的安全策略管理

l  有效收集、整合、分析海量的运行事件

l  快速判断、应对网络安全威胁

l  及时预测网络安全趋势

l  提高网管工作效率

 

待续《XXXXX公司 网络安全建设建议方案(七)》


    文章分类
    联系我们
    联系人: 牟经理
    电话: 028-85666248
    传真: 028-85666248-8008
    Email: business@cd-dxt.com
    QQ: 489323802
    微信: cddxt
    旺旺: dreamsilcon
    网址: www.cd-dxt.com
    地址: 成都市大件路白家段280号(空港国际城)7栋4单元
    购买咨询:销售咨询 技术咨询:技术咨询 阿里旺旺:点击这里给我发消息 网络发烧友:网络发烧友