技术建议书-安全解决方案技术建议书(边界防护、行为监管)v1.0.doc

1、杭州华三通信技术有限公司 XXXXXX网络安全建设技术建议书2008年2月目 录1.XX网络安全现状22.H3C安全解决方案理念42.1.智能安全渗透网络局部安全42.2.智能安全渗透网络全局安全52.3.智能安全渗透网络智能安全53.建设原则及设计思路63.1.安全平台设计思路63.1.1.以安全为核心划分区域63.1.2.用防火墙隔离各安全区域73.1.3.对关键路径进行深入检测防护83.1.4.对用户非法上网行为进行识别和控制83.1.5.对全网设备进行统一安全管理并进行用户行为审计93.1.6.根据实际需要部署其他安全系统94.XXXX网络安全解决方案114.1.1.边界安全防护114

2、.1.2.用户行为监管124.1.3.统一安全管理中心145.安全管理建议（供参考）155.1.安全管理组织结构155.1.1.人员需求与技能要求155.1.2.岗位职责155.2.安全管理制度165.2.1.业务网服务器上线及日常管理制度165.2.2.安全产品管理制度175.2.3.应急响应制度175.2.4.制度运行监督17181. XX网络安全现状随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现

3、金，数字货币，网络银行等新兴业务的兴起，网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失十分巨大，仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元以上。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。目前，网络技术已在XX行业得到了全面应用，大大提高了XX行业的业务处理效率和管理水平，促成了各项创新的业务的开展，改善了整个XX行业的经营环境，增强了信息的可靠性，服务于社会的手段更趋现代化。但是，同其他任何行业一样，网

4、络安全风险的阴霾如同网络技术的孪生子，伴随着网络技术在XX行业的全面应用而全面笼罩在XX行业的每个业务角落。而且，对XX行业网络系统的攻击，可能造成国家经济命脉的瘫痪和国家经济的崩溃，因此XX行业的网络安全问题是一个关系到国计民生的重大问题，也是所有网络安全厂商非常关心的问题。目前的主要网络安全威胁包括以下方面：非法访问：现有网络系统利用操作系统网络设备进行访问控制，而这些访问控制强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；另一方面XX行业（如银行）开发的很多增值业务、代理业务，存在大量与外界互连的接口，外部网络可能会通过这些接口攻击银行，造成巨大损失。失密和窃密：利用搭线窃

5、听窃收，使用协议分析仪器窃收计算机系统的操作密码，破解系统的核心密码，窃取用户帐号、密码等；或利用间谍软件获得敏感的金融信息。信息篡改：利用信息篡改攻击手段，非授权改变金融交易传输过程、存储过程中的信息。内部人员破坏：内部人员熟悉XX行业网络系统的应用业务和薄弱环节，可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。黑客入侵：利用黑客技术非法侵入XX行业的网络系统，调阅各种资料，篡改他人的资料，破坏系统运行，或者进行有目的的金融犯罪活动。假冒和伪造：假冒和伪造是XX行业网络系统中经常遇见的攻击手段。如伪造各类业务信息，未授权篡改数据，改变业务信息流的次序、时序、流向，破坏金融信息的完整性

6、，假冒合法用户实施金融欺诈等。蠕虫、病毒泛滥：蠕虫、病毒泛滥可能导致XX行业的重要信息遭到损坏，或者导致XX行业网络系统瘫痪，如2003年初的SQL Slammer蠕虫，导致了全国金融业务的大面积中断。拒绝服务：拒绝服务攻击使XX行业的电子商务网站无法为客户提供正常服务，造成经济损失，同时也使行业形象受到损害。用户非法上网行为：大量P2P/IM应用的泛滥，导致带宽被占用和网络的严重拥塞；同时上班炒股、网络游戏、不良网站访问等非法行为也导致了员工工作效率下降，并且极易感染蠕虫和病毒。此外，随着网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络安全管理也逐步成为

7、网络技术发展中一个极为关键的任务，对网络的发展产生很大的影响，成为现代信息网络中最重要的问题之一。如果没有一个高效和统一的安全管理系统对网络安全进行管理，就很难使管理员对网络的安全状况有清楚的认识。因此，找到一种使网络运作更安全，更实用，更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求。2. H3C安全解决方案理念在这种咄咄逼人的安全形势下，需要一个全方位一体化的安全部署方式。H3C数据中心安全解决方案秉承了H3C一贯倡导的“智能安全渗透理念”，将安全部署渗透到整个网络的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了使安全贯穿数据链路层到网络应用层的目

8、标，使安全保护无处不在。智能安全渗透网络（iSPN）提出了一个整体安全架构，从局部安全、全局安全、智能安全三个层面，为用户提供一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署，抵御最基础的安全威胁；全局安全利用安全策略完成产品间的分工协作，达到协同防御的目的；智能安全在统一的安全管理平台基础上，借助于开放融合的大安全模型，将网络安全变为从感知到响应的智能实体。图1 智能安全渗透网络结构2.1. 智能安全渗透网络局部安全网络安全最基础的防护方式是关键点安全，即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品，进行27层的威胁防范，当前企业绝大

9、部分采用的都是这种单点威胁防御方式。这种局部安全方式简单有效并有极强的针对性，适合网络建设已经比较完善而安全因素考虑不足的情况。在这种方式下，H3C强调通过“集成”来提供最佳的防御效果，即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式，实现了安全技术和网络技术在无缝融合上做出的第一步最佳实践。2.2. 智能安全渗透网络全局安全由于安全产品种类的不断丰富，使得局部安全可以应对企业的大部分基础网络安全问题。然而此时用户意识到，局部安全的防护手段相对比较孤立，只有将产品的相互协作作为安全规划的必备因素，形成整网的安全保护才能抵御日趋严重的混合型安全威胁。为此，H

10、3C推出了全局安全理念，借助于IToIP的网络优势，通过技术和产品的协作，将网络中的多个网络设备、安全设备和各组件联动起来，并通过多层次的安全策略和流程控制，向用户提供端到端的安全解决方案。以H3C的端点准入防御及安全事件分析机制为例，它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。在统一的安全策略下，利用各部分组件的协同联动，保证网络各端点的安全性与可控性；同时，在统一的平台上进行安全事件的收集、整理、分析，可以做到整网安全风险的提前预防与及时控制。2.3. 智能安全渗透网络智能安全随着网络建设的日趋完善，面向业务的安全已经成为新的发展方向。只有理解企业

11、业务，将企业的业务需求及流程建设充分融合到网络安全建设中来，从信息的计算、通信及存储等信息安全状态出发，以面向应用的统一安全平台为基础，通过安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应，将智能的安全融入企业业务流程中，形成开放融合、相互渗透的安全实体，才能实现真正的网络安全智能化。帮助企业将业务信息的所有状态都控制在安全管理的范围内，这样的需求正是智能安全产生的原动力。完善的安全管理体制是加强信息系统安全防范的组织保证。iSPN全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据，保证企业信息系统的安全运行。iSPN全局安全管理平台以开放的安

12、全管理中心和智能管理中心为框架，将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅度提高企业网络的整体安全防御能力。H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。高效的安全解决方案不仅仅在于当安全事件发生时，我们能够迅速察觉、准确定位，更重要的是我们能够及时制定合理的、一致的、完备的安全策略

13、，并最大限度的利用现有网络安全资源，通过智能分析和协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础上，H3C iSPN为实现这一目标而构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台，通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理，将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来，构成了一个智能的、联动的闭环响应体系，可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。H3C将以全新的iSPN理念配合先进的产品技术与日趋完善的面向应用解决方案，为企业打造一个领先的、全面的、可信赖的IP安全平

14、台。3. 建设原则及设计思路3.1. 安全平台设计思路XXXXXX的网络应用对安全的要求比较高，根据对XXXXXX网络和应用的理解，结合在XX行业的成功经验，提出了如下安全建设思路。3.1.1. 以安全为核心划分区域现有网络大多是以连通性作为中心进行设计的，而很少考虑安全性。例如最典型的网络三层架构模型（核心层、汇聚层、接入层架构）中，网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计。所谓以安全为核心的设计思路就是要求在进行网络设计时

15、，首先根据现有以及未来的网络应用和业务模式，将网络分为不同的安全区域，在不同的安全区域之间进行某种形式的安全隔离，比如采用防火墙隔离业务网和办公网。针对XXXXX网络安全实际情况，可划分出不同的安全分区级别，详细定义如下： DMZ区：DMZ区包括省级网络连接贵州省电子政务网区域、INTERNET服务区以及贵州省劳动和社会保障厅对社会公众提供服务的服务群（如：对外发布系统服务器区等），该区域都是暴露在外面的系统，因此，对安全级别要求比较高。 互联网服务区：互联网业务应用系统集合构成的安全区域，主要实现公开网站、外部邮件系统、远程办公用户、部分分支机构以及部分合作伙伴的VPN接入等功能。 远程接入

16、区：合作业务应用系统集合构成的安全区域，主要实现与原材料供应商、渠道商等合作伙伴的业务应用功能。考虑到部分合作伙伴会采用VPN方式接入，基于安全性考虑，其与互联网服务区应该有独立的物理连接。根据应用要求，可以进一步划分为互联网业务区、VPN接入区等。 广域网分区：在之前的网络建设中，企业通过专线连接国内的分支机构。广域网连接区就是专线网络的链路及全部路由器构成的安全区域，这一安全区域内部没有具体的应用系统，主要实现网络连接功能，定义这一安全区域是为了方便网络管理。 数据中心区：由贵州省金保业务服务区服务群构成，是贵州省金保一切业务应用活动的基础，包括生产区、交换区、决策区。这个区域的安全性要求

17、最高，对业务连续性要求也最高。要求不能随便进行任何可能影响业务的操作，包括为服务器打补丁，管理起来也最为复杂。 网络管理区：网络管理员及网管应用系统构成的安全区域，一切网络及安全的管理和维护工作都在这一区域完成。网络管理区域的资产在定义中属于支撑部门资产集合，但是鉴于网络管理的特殊性，将这一部分资产独立设置安全区域。 内部办公区：数据中心内部办公计算机构成的安全区域。安全性和业务持续性要求最低，管理难度大，最容易遭受蠕虫的威胁。3.1.2. 用防火墙隔离各安全区域防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务

18、，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效监不同安全网络之间的任何活动。防火墙在网络间实现访问控制，比如一个是用户的安全网络，称之为被信任应受保护的网络，另外一个是其它的非安全网络称为某个不被信任并且不需要保护的网络。防火墙就位于一个受信任的网络和一个不受信任的网络之间，通过一系列的安全手段来保护受信任网络上的信息。3.1.3. 对关键路径进行深入检测防护虽然，网络中已部署了防火墙等基础网络安全产品，但是，在网络的运行维护中，IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是自200

19、3年以来，蠕虫、点到点，入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙等安全产品其软硬件设计当初仅按照其工作在L2-L4时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。因此在关键路径上部署独立的具有深度检测防御的IPS（入侵防御系统）就显得非常重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有：l 入侵非法用户的违规行为；l 滥用用户的违规行为；深度检测防御识别

20、出任何不希望有的活动，从而限制这些活动，以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。3.1.4. 对用户非法上网行为进行识别和控制目前网络各种应用越来越丰富，但是对于一个网络的管理员而言，非法的、未受控的应用，会挤占合法应用带宽，同时影响企业员工的整体生产率，这些应用必须被识别并加以控制。比如在企业网、校园网中，P2P下载、娱乐类应用占用了大量的带宽，对这些机构正常的业务影响极大；另一方面，企业员工或高校学生，把工作或学习时间消耗在一些不必要甚至非法的网络活动上，大大影响了

21、工作和学习效率。通过应用识别技术，可把各种应用及其行为置于明确的可管理的前提下，并通过阻断、限流等手段实现应用控制。3.1.5. 对全网设备进行统一安全管理并进行用户行为审计日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护，不断追求多层次、立体化的安全防御体系，逐步引入了防病毒、防火墙、IPS/IDS、VPN等大量异构的单点安全防御技术，再加上交换机、路由器等网络设备，网络结构日益复杂。然而，现有网络安全防御体系还是以孤立的单点防御为主，彼此间缺乏有效的协作，不同的设备之间的信息也无法共享，从而形成了一个个安全的“信息孤岛”。通过统一安全管理平台，可以对网络中的网络设备、安全设备、服务

22、器等进行统一管理，收集相关信息，进行关联分析，形成安全事件报表输出，并且针对用户行为输出审计报告，有效的帮助管理员了解网络中的安全现状与风险，提供相关解决办法和建议。3.1.6. 根据实际需要部署其他安全系统以上的安全系统部署基本可以涵盖一般性网络安全需求，但是很多特殊的应用也需要特别的应用保护系统。此外管理员也需要一些其他的安全工具对网络安全运行进行审计评估等操作。在XXXXXX网络中，还需要以下安全系统和安全工具：l 补丁管理系统从公开的统计资料可以看到，在2003年全球有80%的大型企业遭受病毒感染而使得业务系统运作受到干扰，即使这些大型企业已经具备了良好的边界安全措施，也普遍部署了病毒

23、防御机制。造成困境的原因，一方面当然是由于现有防御体系的缺陷，是由于现有的边界防御、基于签名的入侵检测和防病毒系统从原理上就决定了其不擅长对付基于漏洞进行感染的病毒，单单具备这些措施，不足以遏制病毒的泛滥。另一方面，也是由于基于漏洞进行感染的病毒传播速度极快，以至来不及采取措施，病毒就已经大规模爆发了。这恰好说明企业需要一些应付这种情况的措施，最好在病毒前面就消灭漏洞隐患，杜绝病毒传播的可能。补丁管理就是这一思想的产物，因为它的原理就是对软件进行修补从而根本上消灭漏洞，杜绝了病毒利用漏洞的可能。l 漏洞扫描工具如今，每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布，利用这些漏洞可

24、以很容易的破坏乃至完全的控制系统；另外，由于管理员的疏忽或者技术水平的限制造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。一般来说，最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞，保证系统的安全性。因此XXXXXX需要一套帮助管理员监控网络通信数据流、发现网络漏洞并解决问题的工具，以保证整体网络系统平台安全。l 网络流量监测与审计对网络流量进行监测和分析是十分必要的，尤其是在大型的网络环境中。利用网络流量监测与分析系统可以实时监测网络流量峰值，以及方便管理员根据分析报告来排除网络故障，所以目前很多的大型企业都部署了专业的网络流量监测与分析系统。4. XXX

25、X网络安全解决方案在XXXX总体安全规划设计中，我们将按照安全风险防护与安全投资之间的平衡原则（主要包括层次化的综合防护原则和不同层次重点防护原则），提出以下的安全风险和防护措施，从而建立起全防御体系的信息安全框架。4.1.1. 边界安全防护XXXXX网络包括了省中心、地市中心、县级中心、外联单位等不同级别的安全区域，由于各区域的管理员和使用者安全防护能力参差不齐，如有防护不当，极有可能由于个别的漏洞而导致整个网络的崩溃，因此针对这些区域的安全防护是要考虑的重点内容。同时，纵向业务网与将来建设的纵向办公网的数据互联接口通过省中心完成，两个网络采用统一接口的方式互联。考虑到纵向办公网将来会预留与

26、Internet的接口，纵向业务网在物理上与办公网互联就导致了业务网间接的暴露在Internet环境下。分析目前主要的安全威胁状况，要求XXXXX纵向业务网与办公网的接口区域安全设备的部署可以提供以下功能：l 采用在线模式部署l 在优先保证业务持续的基础上提供全面的防护；l 基于状态的链路检测功能；l 能够有效抵御DoS/DDoS攻击；l 对网络蠕虫病毒进行有效防护；l 可以针对数据进行27层的深度安全防护；l 监控并屏蔽恶意软件；l 提供对网络设备、主机、链路的保护；l 能够抵御ZeroDay Attack；l 具备实时的升级特性；l 提供可供分析的标准日志结构；l 便捷的统一的管理；l 保

27、护有效数据带宽，针对P2P协议对数据流可以灵活控制带宽；根据以上要求，这里采用防火墙设备和入侵抵御设备（IPS）共同部署完成互联接口区域的安全保护。具体部署见下图。I. 图 XXXXXX互联接口区域安全拓扑示意图在网络出口处部署两台SecPath千兆防火墙，通过包过滤和状态检测技术实现安全区域的划分和边界的隔离， 同时，SecPath防火墙支持H3C OAA开放应用架构，可在设备上部署防病毒、网流分析等业务模块，成为智能开放的应用平台；在数据中心、DMZ等安全区域前，各部署一台SecPath IPS设备或SecBlade IPS插卡。SecPath/SecBlade IPS是业界唯一集成漏洞库

28、、专业病毒库、协议库的IPS产品，特征库数量已达上万种，并保持不断更新，能精确实时地识别并防御蠕虫、病毒、木马、DDoS等网络攻击，细粒度地控制P2P/IM造成的带宽滥用。通过对防火墙和IPS的有机结合和功能互补，为用户提供2-7层的全面安全防护，有效的抵御来自网络边界的各种安全风险。4.1.2. 用户行为监管网络应用层出不穷，在大大提升了用户的工作效率的同时也带来许多负面影响，针对用户行为控制的解决方案，需要能够解决以下问题：l 员工通过P2P下载电影造成网络速度变慢，怎么解决l 员工工作时间炒股、打游戏、聊天造成工作效率的下降，怎么解决l 用户访问非法网站易感染病毒，如何控制根据以上要求，

29、采用H3C ACG（应用控制网关）可以有效的解决用户上网行为的问题，部署方式如下图所示：II. 图 XXXXXX互联安全拓扑示意图通过在互联网出口处部署一台SecPath ACG网关，通过在ACG应用控制网关，可精确识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用，可基于时间、用户、区域、应用协议，通过告警、限速、阻断等手段进行灵活控制，保证网速的正常和业务不被影响。ACG采用先进的分析技术，能对网络多媒体、网络游戏、炒股等应用进行识别与控制，通过URL过滤、关键字过滤、内容过滤等多种访问控制策略，控制非法应用，过滤非法网站，规范用户上网

30、行为，提高员工工作效率。通过在管理区部署一台SecCenter A1000（安全管理中心），可以对ACG进行图形化的策略配置，根据不同用户定制不同安全策略，并采集网络设备、安全设备和服务器的安全日志，结合ACG记录的用户应用访问信息，实时输出审计报告。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源，对潜在的破坏者可起到威慑作用。4.1.3. 统一安全管理中心为了保证部署的硬件设备和安全软件能够统一的为网络安全服务，必须要求对全网设备，包括主机和数据交互设备进行统一的日志收集和日志分析。这样就要求必须在网络当中部署安全管理中心来完成统一的策略规划和分析。安全管理中心并不是一

31、个威胁抵御的直接发起者，而是一个系统规划的首脑。所以要求安全管理中心可以提供以下功能：旁路部署模式，不影响正常业务和造成瓶颈；具有广泛的日志采集功能，要求可以对网络当中的所有设备（防火墙、IPS、交换机、路由器、PC、Server等）进行日志分析；l 采用先进的关联算法，能够对日志数据按照不同的关联组合进行分析；l 对安全威胁的实时监控功能；l 对网络流量的实时监控功能；l 可支持多家厂商的设备日志采集；l 提供拓扑发现功能，并能够准确迅速的根据日志定为网络故障；l 对网络故障提供多种迅速的告警机制；l 具有完善的安全审计功能；l 对历史数据进行压缩并可提供高效的查询机制；l 根据需要提供多种报表；l 根据需求可分步实施的灵活部署方式；根据以上需求，这里采用一台安全管理中心作为整个网络的安全管理中心，对全网设备进行日志分析，帮助定制安全策略。仅仅需要路由可达即可完成上述功能，部署位置相对灵活，建议可以和网络管理软件服务器部署在一起，以方便硬件的管理。5. 安全管理建议（供参考）5.1. 安全管理组织结构5.1.1. 人员需求与技能要求l 安全总监CSO一人，熟悉信息技术和信息安全，有5年以上整个机构信息技术和安全管理经验。l 经理一人，熟悉信息技术和信息安全，具有2年以上部门级信息