XXX幼稚园网络安全建设方案

2014-12-30 15:41:00
dxt001
原创
2551
摘要:多年以来,点线通一直秉承的是顾问式销售模式,从不采用抄袭方案,所有方案均由公司资深售前工程师或网络架构师与用户沟通后进行设计和编写。欢迎来电咨询,获取专业建议和为您定制的方案。

1. 背景及现状

1.1. 企业现状

***幼稚园学前教育集团自1993年创办第一家幼稚园以来走过了近20年的发展历程,是中国西部地区极具品牌影响力的一家专业从事学前教育、03岁婴儿多元智能训练和儿童英语培训和儿童生存体验的专业化集团。由***幼稚园教育投资(集团)有限责任公司控股。

集团目前举办有30余家全资幼稚园、403岁婴儿多元智能训练营,1所儿童英语培训学校以及儿童生存体验馆。集团本部以其强大的管理实力支撑着各单位的优质成长与发展,目前已成立了文化战略发展中心、学前教育研究中心、人力资源中心、后勤管理中心、卫生保健中心五个一级部门,其下包括了战略规划部、事业发展部等在内的二十余个二级部门。在园幼儿5000余名,教职员工近2000人。

1.2. IT环境

1.2.1. 硬件及基础网络

主要硬件资源有计算机、服务器、飞塔防火墙、二层交换机以及其他相关网络办公设备。

其中计算机约有200台左右,集中在新光路集团总部办公大楼。

各分支幼稚园计算机30-60台不等,通过当地电信ADSL接入,网络结构简单。经过本次的网络改造,各幼稚园网络拓扑如下:

XXX幼稚园网络拓扑


经过本公司公司实施的本次网络改造,所有幼稚园网络结构都已标准化,解决了以前网络结构和管理混乱、故障率高的问题。该项目正在由本公司公司实施中,预计于20121月中下旬结束。

同时,我们正在对无线网络覆盖的技术进行调研,预期实现全园的无线网络覆盖,本公司公司会同集团信息中心及原厂家技术人员已经对现场进行了实际勘测和测试,根据测试的结果出具了设计方案,在近期将会实现全园的无线网络覆盖。

为了更好的集中管理和使用各类教学资源,集团决定建设覆盖全园的MPLS VPN系统,通过电信城域网将各幼稚园网络统一管理。

MPLS VPN的实施有以下益处:

1、                通过光纤连接,保证上下行带宽,而且都在成都电信城域网覆盖内,分支机构到集团的访问速度会增加,有利于后期信息化的全面推广;

2、                方便管理,集团信息中心可以直接通过城域网直接管理到幼稚园的网络设备,有利于后期的运维管理和维护。

3、                局端的运维管理全部在电信,集团可以享受到应有的服务。

1.2.1. 应用系统

经过多年的发展,**幼稚园已经建设完成大量应用系统,如在幼稚园的多媒体教学课件系统、幼儿安全接送系统等。

集团正在或准备建设CRM管理系统、幼儿学籍管理系统、财务系统、对外网站、博客系统。即将完成覆盖全集团的VOIP电话、视频会议系统。

这些系统都需要有高速的计算机网络做支撑,同时,信息的安全性、可靠性也非常重要。

1.2.2. 安全现状

目前主要通过集团总部的飞塔防火墙来实现对NAT及应用服务器的访问控制,部分实现信息安全管理。各幼稚园尚无任何信息安全保护措施。

2. 安全需求分析

2.1. 远程接入访问

2.1.1. 风险分析

远程接入功能保证分支机构能与公司内部进行正常的业务沟通,如课件教学系统、视频会议系统、VOIP电话系统,都需要分支机构和集团总部之间进行直接的数据交换,他们对基础网络的要求是:高效、安全。但是目前采用的接入方式数据运行于公网上,存在接入速度、数据传输的安全性、业务交互的流畅性等诸多其他安全风险。

2.1.2. 需求建议

通过MPLS VPN构建的专用网络,达到分支结构和内部网络快速稳定安全的连接,但是问题在于MPLS只解决数据的高速传输通道,不实现访问控制和安全加密等,相对安全性较差,如果在分支机构出现病毒、木马等攻击,可以快速的通过MPLS VPN蔓延到集团信息中心及所有的幼稚园计算机。

根据目前**幼稚园的情况,我们建议在分支幼稚园与集团总部进行通信的时候采用边界访问控制,将可能存在的病毒木马隔离在各自的区域内,保证大网的安全性。

同时,在互联网出口部署一台高性能UTM设备,开启防病毒网关/NAT/访问控制/SSLVPN功能,实现所有的网络安全 功能

2.2. 互联网资源使用

2.2.1. 风险分析

互联网资源在日常工作扮演重要的角色,目前在互联网带宽有限的情况下,存在着使用BT、迅雷等其他下载工具恶意占用公司互联网资源的情况;严重影响正常使用互联网资源的行为,同时也将某些含有病毒、木马的网络资源带入到公司内部网络。员工在工作时间上网“冲浪”,还可能因此而面临法律风险。例如淫秽邮件、即时讯息玩笑、什么都写的博客、色情反动网站、下载一些侵犯版权的软件,这些都有可能引发诉讼案件。

2.2.2. 需求建议

使用网络行为管理设备可以对用户上网占用的带宽进行管控,可以按网络地址段、用户组、个人或服务类型来制定策略对带宽进行管理。可将带宽划分成若干个虚拟通道,设定每个通道的带宽,上、下载速度的限制,优先级和管理策略等,保证关键应用或重要人员的上网带宽,对有限的带宽进行优化使用、合理分配,将网络资源使用发挥到最大。

加强内部员工管理,避免员工在工作时间利用单位网络做工作无关的事如网上聊天,在线视频等。

同时网络行为管理系统提供了很好的内容屏蔽手段解决方法,它可以对这些不良网站及信息进行屏蔽管控,规避法律风险。

3. 安全体系建设方案

3.1. 整体设计思路

目前,众多厂商在安全方面提出有很多理念如,MPDRRPDRR、多层防护、纵深防御等等。这些安全理念大概可分为两类,一类关注安全过程中各个环节,如MPDRR等;另一类则更多关注安全过程中的某个环节的构架如多级防护等等。以上的安全理念都重点阐述安全过程分解后各环节的重要性以及相关的问题,却忽略了各环节之间的相互联系。本公司公司认为:

网络安全是整体的:我们可以通过选择优秀的产品、优秀的服务构建一个解决方案,但如果各个优秀的产品、优秀的服务之间是孤立的,那么产品、服务环节的安全策略就是相对孤立的,无法形成整体的安全策略。这样,孤立的环节之间就会形成漏洞,给入侵者可乘之机。

网络安全是动态的:如果各个优秀的产品、优秀的服务等各环节之间是孤立的,则无法全面了解网络的整体安全状况,当然也无法根据网络和应用情况动态调整安全策略。

因此,网络安全需要统一、动态的安全策略,网络安全需要联动的安全产品,需要联动的安全环节。也就是说,网络系统需要一个联动的整体的安全解决方案。

联动是信息安全解决方案的重要思想,我们对联动的诠释是:

联动的目标:提高客户网络的安全性,提高安全系统使用成效,更有效的保障客户应用;降低企业的IT经营风险,提高企业的投资回报率。

联动的内容:我们将安全过程分为五个环节:管理、防护、监测、审计、服务,各个环节以及各环节对应的产品之间实现联动。(五个环节的体现:管理体现在安全集中管理系统、制度管理等方面;防护体现在防火墙、VPN、防病毒、桌面管理、行为管理等技术或者系统的防护方面;监测体现在技术或者系统的监测方面;审计体现在系统中各个产品自身的日志、审计和综合安全审计技术或者系统上;服务体现在产品的维护和专业的评估、响应等服务方面。)

3.2. 参考标准

ISO27001 信息安全国际规范2005

《计算机信息系统安全保护等级划分准则》

《信息安全等级保护管理办法》

《信息系统保密管理规定》

《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

《中华人民共和国公共安全和保密标准》

《互联网安全保护技术措施规定》(公安部第82号令-2006

塞班斯法案(2005)-美国

3.3. 远程访问控制

3.3.1. 概述

企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此MPLS VPN网络安全的的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素:

l  保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IP Spoofing)的能力。

l  保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。

l  保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。

l  提供动态密钥交换功能和集中安全管理服务。

l  提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。

需要强调指出的是,该方案比传统通过路由器连接的优势在于:

不仅仅解决了网络联通的问题,同时还在很大程度上实现了分支幼稚园到集团信息中心及相互之间的访问控制,清晰的画出各安全域的网络边界。

3.3.2. 技术特点

在总结国内外各种路由器/防火墙等产品的特点和国内用户实际需求的基础上,我们为**幼稚园集团推荐SonicWALL具有完全知识产权的防火墙系列产品。SonicWALL UTM产品要达到的目标是:采用SonicWALL UTM,企业的所有分支机构、合作伙伴和移动用户只要连接上因特网(无论采取什么样的接入方式),就能够像是用专线互联一样方便安全地交换和共享数据。

考虑到后期集团需要部署VOIP电话和视频会议系统,我们本次为**幼稚园集团推荐在这个方向具有优势的SonicWALL解决方案,SonicWALL这款强大的数据包检测防火墙来探测VOIP通信,简化了在防火墙中配置安全通过语音数据的设置过程。它可以支持的VOIP协议包括H.323SIP。可以在网络上使用MGCPSCCPVOIP设备,SonicWALL可以监视所有VOIP呼叫的状态,在VOIP呼叫状态菜单中,你可以看到它们的日志和正在进行的呼叫。


SonicWALL同时也是全球SMB中小企业市场中销量最高的UTM产品,拥有良好的性价比。

3.4. 网络行为管理

3.4.1. 范围和对象

通过网络行为管理系统规避互联网使用风险。

3.4.2. 方式和方法

3.4.2.1. 概述

应该说互联网的广泛应用和迅速发展给我们带来了挑战,管理得好可以维护社会稳定,提高企事业单位的工作和生产效率,反之则可能激化社会矛盾,影响正常工作次序。公安部据此颁布第82号令《互联网安全保护技术措施规定》,要求所有互联网联网单位或服务提供者需要部署保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法,从而保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益等。

作为国内“网络行为管理”产品最早的研发单位之一,上海新网程信息技术有限公司一直致力于各种上网行为管理、监控技术的研究。推出的“网络督察”系列产品就是为了满足管理部门对各种网络行为的管理和监控的需要,完全符合公安部82号令对管理的要求。目前“网络督察”已广泛地在政府机关、医疗单位、企事业单位、酒店宾馆、学校等投入使用,该产品以灵活而又贴近用户的设计理念深受企事业单位的喜爱。

3.4.2.2. 功能

l  用户管理

系统支持以IP地址、MAC地址、验证帐号等为参照的用户管理模式,并可对用户分组多层管理。对不同人员可以设置免监控、不监控邮件内容等不同的监控级别。


l  实时监控

可以通过浏览器实时查看用户当前的上网情况,包括其访问的IP地址、网址、服务类型、流量等等,了解网络目前应用状况,及时进行控制和调整,保障网络正常运行。

l  日志记录

详细记录用户的上网的各类日志,包括HTTPSMTPPOP3TelnetFTPQQMSN、游戏等数十种日志,同时记录了访问时间、IP地址、MAC地址、流量等重要信息,日志可以按照要求保留90天以上并可组合查询。


l  访问控制

提供完整的访问控制管理策略,可灵活地按用户角色或者分组对用户上网行为进行控制,可以根据时间段、服务、网址、流量等手段进行控制,可以封堵常用的聊天软件、抄股软件等服务。并提供百万级的有害信息过滤网址库防堵不良网站。

l  异常管理

根据用户上网状态,如IP连接数、数据包特征、流量等情况,及时发现用户上网电脑是否异常,自动告警或采取相应的控制措施,保障网络通畅。


l  带宽管理

可以按组和服务类型等来制定策略对带宽进行管理。可将带宽划分成若干个虚拟通道,设定每个通道的带宽,上、下载速度的限制,优先级和管理策略,保证等关键应用或重要人员的上网带宽。



l  BYPASS(附加模块)

可以在系统断电或故障的时候自动将一对网口置成直连状态,保证网络畅通,不影响正常业务。

统计分析

提供数十种统计报表对上网流量、时间等进行统计,可生成各类排行榜,并可以图表的方式从各个角度对用户上网情况进行分析。统计结果可导出到Excel表格,方便进行二次处理。

l  自动整理和备份

对用户数据和系统数据进行自动备份和整理。系统将根据设定的各种数据的保存时间定时自动整理,删除不必要的数据,从而保证系统可以长期稳定地运行。系统还可以按要求对关键数据和存档数据进行本地或异地备份,备份的信息可以离线查看。




l  日志内容审计

能够对HTTPSMTPPOP3WebMailTelnetFTPQQMSN等常见应用记录其访问日志并对其内容进行还原,可根据进行实时分析、匹配。

l  本地验证
可以实现单位内所有上网人员的准入认证,用户打开浏览器便会弹出上网认证窗口,没有认证授权的人员一律不能上网。避免随意接入局域网上网现象。

3.5. 方案总结

经过以上分析,我们给出**幼稚园集团网络及安全建设总体拓扑图如下:



在该网络中,集团信息中心的办公用PC机和服务器分别处于不同的安全域,通过SonicWALL UTM实现访问控制和NAT

来自MPLS VPN的数据通过核心交换机汇接到网络行为管理系统再接入到UTM防火墙实现访问控制和对公网的访问。








    文章分类
    联系我们
    联系人: 牟经理
    电话: 028-85666248
    传真: 028-85666248-8008
    Email: business@cd-dxt.com
    QQ: 489323802
    微信: cddxt
    旺旺: dreamsilcon
    地址: 成都市大件路白家段280号(空港国际城)7栋4单元
    购买咨询:销售咨询 技术咨询:技术咨询 阿里旺旺:点击这里给我发消息 网络发烧友:网络发烧友