商场网络安全解决方案Word文档格式.docx
- 文档编号:1499085
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:41
- 大小:2.13MB
商场网络安全解决方案Word文档格式.docx
《商场网络安全解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《商场网络安全解决方案Word文档格式.docx(41页珍藏版)》请在冰点文库上搜索。
4.4.5设备配置备份 31
4.4.6IP-MAC地址管理 33
第五:
设备应用清单 35
项目建设背景
XXXX商场是一家大型集团化公司,目前在yy进行规模化运营,是集品质购物、高端餐饮、休闲娱乐、体验观光于一体的一站式购物广场,将成为市民休闲购物娱乐的理想去处。
随着业务的拓展和规模的扩大,商场信息化程度不断深入,随着而来的是需要进行严格安全防护和管理,当前XXXX商场面临着新建和深化网络安全防护的任务,主要面临问题如下:
1、互联网出口安全威胁:
商场内部员工办公安全保密管理以及外部顾客快捷接入安全管理,需要对统一的互联网出口进行安全访问控制以及外部入侵进行防护;
2、内部数据传输威胁:
商场内部员工办公文件敏感信息安全防护,防止通过互联网通道如即时通讯、邮件等方式将内部商业信息传送;
3、移动存储介质威胁:
商场内部员工移动存储介质如U盘、移动硬盘等使用缺乏管理,导致病毒交叉感染,数据传输缺乏监控;
4、病毒流窜安全威胁:
商场病毒统一安全防护,在对终端计算机进行病毒防护、补丁修复,同时在网关出口进行统一的病毒过滤;
5、外来终端PC带来威胁:
内部办公网经常有外来计算机随意接入内部网络,存在数据非法访问(非授权访问)和外来攻击威胁(如病毒、木马等);
6、IT运维管理威胁:
商场有自有中心机房,核心交换机和各种应用服务器,同时,随着安全设备的部署,如何保证这些设备实时正常运行,需要建立集中的IT运维管理系统,对网络设备、服务器、安全设备进行统一的管理和运维监控。
建设标准(等级保护二级)
本次安全系统建设,在满足商场办公环境的业务和安全基础上,按照公安机关等级保护要求进行网络性能、安全防护实施。
计算机等级保护是针对基础网络、信息系统的安全运行和使用提出保护要求,在XXXX商场网络中,通过界定的使用人群、涵盖的应用系统,并保障商场信息管理外的正常办公所需,在此基础上购置相关资源,新建安全网络,新建或者升级主要应用系统,使其在物理环境、网络、系统、应用、数据、终端和系统集成六方面均达到对应等级要求;
完善该网络相关安全保障体系和日常管理办法。
通过等级保护要求的建设实施,进一步提高商场基础网络和信息系统等级保护符合性要求,将整个网络系统的可用状况和安全状况提升到一个较高的水平,并尽可能地消除或降低系统的安全风险。
等级保护二级技术建设要求
安全类别
控制项
主要安全措施
二级保护措施
物理安全
物理访问控制
机房安排专人负责,来访人员须审批和陪同
√
重要区域配置门禁系统
防盗窃和防破坏
暴露在公共场所的网络设备须具备安全保护措施
主机房安装监控报警系统
防雷击
机房计算机系统接地符合GB50057-1994《建筑物防雷设计规范》中的计算机机房防雷要求
机房电源、网络信号线、重要设备安装有资质的防雷装置
防火
机房设置灭火设备和火灾自动报警系统
机房配置自动灭火装置
电力供应
机房及关键设备应配置UPS备用电力供应
重要科室应采用双回路电源供电
环境监控
机房设置温、湿度自动调节设施
机房设置防水检测和报警设施
对机房关键设备和磁介质实施电磁屏蔽
网络安全
结构安全
网络应按职能和重要程度不同划分网段
重要网段之间应采用防火墙进行隔离
访问控制
网络边界部署防火墙或网闸
安全审计
网络日志审计、网络运维管理安全审计
边界完整性检查
采用准入控制系统,实现准入控制、非法外联检查
采用准入控制系统,实现准入控制及非法外联可阻断
入侵防范
入侵检测系统/入侵防御系统
恶意代码防范
防病毒网关
主机安全
采用服务器安全加固
采用终端管理系统实现安全审计
防病毒软件
应用安全
身份鉴别
采用电子认证措施
数据库安全审计系统
数据安全与备份恢复
备份和恢复
本地数据备份与恢复
硬件冗余
关键网络设备、线路和服务器硬件冗余
异地备份
异地数据备份
XXXX商场安全防护需求
3.1网络VLAN划分
通过使用VLAN,可以把物理意义上的一个网络划分成很多个逻辑意义上的子网,使网络的边界更加清晰。
VLAN的出现使交换机承担网络的分段工作,而不再使用路由器来完成。
各VLAN间是逻辑隔离的,相同VLAN内的主机间数据传输不会被其他VLAN上的主机得到,因此减少了整个大网络内部各种相互攻击行为发生的可能性,增强了网络的安全性。
另外各VLAN分属不同的广播域,限制了各种广播报文的流转,能够减少网络流量。
3.2重要边界及出口安全防护
网络出口边界保护的有效控制措施包括防火墙、鉴别/访问控制等。
有效的监督措施包括基于网络的入侵防护系统(IPS)、漏洞扫描、网关防病毒等。
这些机制可以单独使用或结合使用,可以对边界内的各类系统提供保护。
防火墙是一种部署在不同安全域之间的高级访问控制设备,能根据制定好的安全策略控制不同安全域之间的访问行为。
网络中使用防火墙将用户域和服务器域隔离开来,并制定相应的访问规则。
服务器域分为安全管理域和应用服务域。
安全管理域包括一些应用无关的服务器,如IDS、防火墙控制台等;
应用服务域包括各应用服务器、数据库服务器等。
3.3上网行为审计管理
在享受互联网带来的巨大便利的时候,由其带来的负面影响和安全威胁也日趋严重。
工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出,并由此产生法律、名誉、经济等各方面问题。
特别是《互联网安全保护技术措施规定》(公安部第82号令)明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。
这对于互联网管理,上网行为规范,提高网络利用率等方面提出了迫切的需要。
3.4终端管理及移动存储介质管理
在日常的网络维护中,来自终端的安全威胁是最大的。
终端任何不当甚至恶意的操作都可能对网络安全造成影响,因此必须对于终端的行为做出一定的控制。
控制采用C/S方式进行,在服务器端发布安全策略,终端安装安全代理软件限制用户行为。
可行的策略包括禁止网络文件共享,关闭主机的U口、COM口、串口,禁止终端安装软件,监控终端的拨号外联行为,监控终端的启动服务、运行进程等。
终端的安全代理软件隐藏运行,当发现有不符合安全策略的行为发生时,按照规则做出反应。
重要服务器和用户终端的并口、串口、USB接口等数据接口以及软驱光驱等设备应该采取安全控制措施,防止被非授权使用。
3.5网络出口访问速度
商场出口带宽目前仅仅有2个10M接入互联网,商场日常承载人数已到1000人/日,带宽已捉襟见肘,已无法满足顾客的正常应用体验,尤其是HTTP下载体验、WEB视频观看体验、P2P下载体验,仅仅依靠出口扩容也不能完全解决用户体验问题
3.6IT运维集中管理
机房中心拥有各种不同厂商、不同类型的设备,支撑着用户日常工作。
面对如此庞杂的异构网络环境,维护网络设备、服务器数量众多、品牌众多,维护工作量太大;
无法及时发现网络故障和系统故障原因;
管理员无法整体掌控网络和系统运行情况;
管理员无法掌控未来网络及系统运行的趋势;
无法对维护人员的工作内容进行有效记录和考核;
没有形成符合国际规范的运维管理制度体系等等。
而这些问题将随着各类信息系统的建设进一步扩大并会产生新的维护管理问题,严重威胁着系统网络的稳健运行。
如何实现对全网进行全面、统一、准确、及时的管理,保障系统网络以及依系统网络运行的各应用系统的稳定、安全运行成为用户需首要解决的问题。
XXXX商场安全防护方案设计
针对XXXX商场现有网络结构现状,以及未来业务扩展需求,建立基本的商场网络安全防护和运维体系。
基础网络信息安全防护体系包括:
互联网出口安全网关(防火墙、IPS入侵防护、AV防病毒网关)、互联网上网行为管理、内网终端安全及移动存储介质管理、IT运维网络管理系统。
通过上述四个系统的建设,能够基本满足XXXX商场现有安全管理需求。
XXXX商场网络安全防护体系示意图
4.1互联网出口安全网关
1800S-H-V2多核安全网关是推出的的新一代多功能安全网关产品,它主要是面中小企业、网吧、酒店、政府机关等网络使用环境,1800S-H-V2安全网关采用了领先的64位多核MIPS体系架构和高速交换总线技术,这让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、IPS、VPN、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的提升,1800S-H-V2安全网关支持的如防ARP欺骗、上网行为管理、带宽管理、多PPPOE链路捆绑和用户认证等诸多丰富的功能特性,让它成为了中小型网络安全部署的首选产品。
1800S-H-V2安全网关提供5个GE接口,可充分满足中小型网络对于安全设备的接口使用需求。
1.1800S-H-V2安全网关拥有先进的安全防护功能,除具有高级状态检测包过滤技术外,还支持对应用层报文进行检测和过滤,可根据包括安全域、协议、端口、应用、用户以及时段等在内的诸多条件定制访问控制策略,1800S-H-V2的ALG功能还支持对FTP、HTTP、MS-RPC、H.323、RTSP、SIP、RSA、SQLNetV2等应用层协议进行状态监控。
2.1800S-H-V2安全网关采用基于硬件加速方案的高效专业防病毒引擎,结合会话流智能病毒扫描技术,能够对HTTP、FTP、POP3、SMTP、IMAP等应用协议进行在线实时病毒查杀,多核安全网关采用了创新性的病毒检测技术,能将接收数据和病毒扫描同步进行,并对扫描的文件大小及数量没有限制,该技术在提升防病毒吞吐量的同时也降低了延迟。
3.1800S-H-V2安全网关提供基于深度应用识别的入侵防御解决方案,能有效防范网络中各种复杂的应用攻击,1800S-H-V2安全网关支持超过3000种以上的攻击检测和防御,并以强大的多核处理器为后盾,能为用户提供强劲精准的入侵防御功能。
4.1800S-H-V2安全网关采用的多核MIPS处理器提供了强大的VPN加解密性能,在功能上支持包括IPSec、GRE、SSL、L2TP等多种VPN业务,可提供包括星型VPN、动态VPN、速连VPN等诸多VPN组网技术及组网方案,1800S-H-V2安全网关的SSLVPN支持用户名及USBkey双因素认证技术、单点登录技术、客户端安全完整性检查技术、主机绑定技术等,这些为客户端的远程接入提供了安全便捷的手段,此外,对于GRE的支持也为用户在VPN组网上提供了更多的选择。
5.1800S-H-V2安全网关具有丰富的2-7层应用识别能力和管控手段,可对网络中的各种P2P、IM、网游、炒股及在线视频等众多应用进行管控,而且随着系统应用特征库的升级可识别的应用种类和数量还将不断增加;
1800S-H-V2安全网关内置了专业的URL分类过滤功能,它根据各网站提供的内容不同,将WEB站点分为40大类,其涵盖的WEB站点数量截至目前已超过2000多万,而且我们的URL分类库的种类和规模还在不断的升级更新。
此外1800S-H-V2安全网关还提供网页内容过滤、邮件过滤、论坛发贴过滤等多种上网行为管理功能。
6.1800S-H-V2安全网关具有堪比专业流量整形设备的强大的流控功能,其支持在设备各接口的上下行双方向上针对多种元素进行多级带宽控制,包括基于IP的流量整形、基于协议和应用的流量整形(支持的7层应用数量随特征库的更新不断增加)、基于认证用户的流量整形、按时间段控制流控策略的生效以及基于以上多种手段进行组合控制的流量整形。
1800S-H-V2安全网关所拥有的丰富流量整形功能可为用户提供更加灵活的网络管理手段,同时也能为用户带来更加理想的网络使用体验。
7.1800S-H-V2安全网关拥有完善的路由特性,支持包括静态路由、ISP路由、策略路由、动态路由(RIPv1&
v2、OSPF、BGP);
基于对多等价路由特性的支持还可以实现多种算法的多链路负载均衡功能;
此外,基于二三四层的链路备份技术也为网络的稳定运行提供了有效的保障。
8.拥有完善的NAT处理机制,完美支持当前各种源或目的地址转换功能。
领先的NAT地址池端口复用技术,可使得单个IP最高可支持100万条NAT会话处理请求。
在IPv4地址快要枯竭的今天,该技术可最大程度上为用户节约宝贵的IP地址资源。
9.1800S-H-V2安全网关独有DCSD防ARP欺骗机制,通过为网络中的客户端下发DCSD防ARP欺骗客户端可彻底杜绝网络中的ARP欺骗问题发生,同时支持自动IP-MAC绑定,防ARP攻击,反向ARP查询、DHCPSnooping等多种ARP安全防护手段。
4.2互联网上网行为管理系统
Ø
高可靠性设计,硬件网络接口具备ByPass功能,系统故障时自动物理导通;
采用CF卡/DOM盘+硬盘的双系统设计,降低宕机风险;
软件支持双击热备,支持系统产生故障时自动从主机切换到备机
精准的协议分析,采用DPI和DFI相结合的技术
系统软件、应用协议库以及URL分类库实时在线更新
分角色管理设置,可对运维层和管理层授予不同管理权限
层进式管理设计,网络管理清晰明了
l强大的URL分类库
DCBI-NETLOG集成了默认的URL分类库,总的域名达到近千万条,这些分类库是由公司组织专门的团队进行人工分类的,符合中国国情,分类结果较为准确。
同时支持用户手动添加URL分类。
l本土化应用及协议分类库
IM应用
QQ2008
彩虹QQ2009
MSN
ICQ
sinaUT
SinaUC
QQ2009
网易POPO
百度Hi
飞信聊天
淘宝旺旺
Skype聊天
GTalk
AIM
IRC
Lava-Lava
TeamSpeak
DCBI-Netlog立足国内进行本土化开发,对网络主流应用和协议准确识别,为国内用户提供最及时、最准确的协议分类库。
IM应用识别:
支持QQ不同版本、MSN、ICQ、网易POPO、飞信、淘宝旺旺、Skype、GoogleTalk、SinaUC、SinaUT、AIM、IRC、TeamSpeak等聊天软件的应用识别
文件传输:
支持识别QQ文件传输、MSN文件传输文件、飞信文件传输、YaHoo文件传输、ICQ文件传输、FTP文件传输、TFTP文件传输、HTTPDownload等文件传输应用
邮件识别:
支持SMTP、POP3、IMAP邮件应用识别
流媒体识别:
支持RTSP、RTMP、MMS、QuickTime、WMPlayer、RealPlayer等流媒体应用
Web-Mail识别:
支持Sina、Sohu、163、21cn、263、Hotmail、eyou、Tom、126、Sogou、Hexun、QQ、139、Foxmail、Yeah、Gmail、天涯等WEB邮箱应用
股票软件识别:
支持大智慧、钱龙、指南针、龙卷风、通达信、证券之星、湘财证券、大福星、分析家、文华财经、广发证券、国泰君安、股票之星、富远行情、行情眼、大有期货等股票应用及行情软件
网络游戏识别:
支持魔兽世界、武林外传、梦幻西游、征途、梦幻诛仙、完美世界、劲舞团、船体、地下城与勇士、永恒之塔、穿越火线、QQ游戏、街头篮球等60余种网络游戏的应用识别
P2P应用识别:
支持对BT、BitTorrent、BitComet、eDonkey、Emule、Vagaa、PPGou、WinMX、DirectConnect、SoulSeek、Xunlei、Ares、RaySource、Winny、Share、Maze、QQ旋风、PP点点通等30余种P2P及加密P2P应用
地下浏览识别:
能够识别使用地下浏览软件逃避普通监管的网络行为,能够识别火凤凰、世界通、洋葱头、花园、自由门、无界、Socks4/5、TGate等代理软件。
网络视频识别:
能够识别PPStream、PPLive、QQLive、PPFilem、UUSee、STTV、MySee、TVKoo、TTLivw、MOP、BBSee、Sopcast、TVUPlayer、QVOD、PPGou、YouTube、新浪TV、酷6、优酷、迅雷看看、土豆视频、风行在线、网易视频、六间房、沸点、皮皮影视、日月、搜狐TV等多种网络视频应用
数据库应用识别:
能够识别Oracke、Informix、SQLServer、DB2、Sybase、FireBird、Access、BerkleyDB、MySQL、PostgresSQL等数据库应用
远程连接识别:
能够识别SSH、Telnet、Rlogin、Rsh、X11、RDP、VNC、PCAnywhere、远程桌面等远程连接应用
l管理策略灵活
可基于IP地址、时间段、用户、部门、协议等实施监控。
l灵活多样的审计、报警功能
可根据URL、关键字等进行自动审计,并可通过网页、邮件方式进行报警,也可以对web访问、邮件、下载等网络行为进行阻断。
l完善的报表输出
报表输出是日志审计系统的重要功能,DCBI-NETLOG支持全局流量、流量-时间、时间趋势、上网TOP-N以及自定义的流量报表功能。
l在线信息管理
DCBI-NETLOG支持对在线用户的实时监控,比如聊天用户监控,并对实时网络使用情况进行监控。
l硬件参数
型号
DCBI-NETLOG(200)
DCBI-NETLOG(500)
DCBI-NETLOG(2000)
DCBI-NETLOG(5000)
规格尺寸
1U机架
2U机架
适用范围
小型企业
中型企业
大中型企业
推荐并发用户数
200
500
2000
5000
网络接口
4个千兆电口
3个千兆电口,2个千兆GBIC光口
5000-10000并发用户,同时部署2台DCBI-NETLOG(5000)
4.3终端安全及移动存储介质管理
IT管理人员可以通过系统分析模块实时查看“系统事件信息”、“软硬件资产信息(CPU、内存、硬盘、操作系统和防病毒软件)”、“设备注册信息(注册设备、未注册设备和卸载设备的比例关系)”和“注册设备在线信息”。
用户可以对“系统事件信息”进行多种时间段的调取,包括:
日、周、月、季度和自定义时间范围。
4.3.1全网视图管理
DeskMaster除了提供了“全局配置”、“系统配置”、“注册管理”和“终端管理”之外,还通过自身访问控制和帐户控制功能加强了服务器端的安全防护,另外,系统自身强大的日志审计功能也是DeskMaster的亮点之一,如下图所示:
4.3.2IT资产管理
DeskMaster的资产管理功能实现了对应用中的资产和备用资产的统一管理,以及资产使用过程中的资产维护,真正实现了无论是使用中的资产还是备用资产“履历”的记录和分析。
资产管理包含:
注册和非注册设备资产信息,使用中资产的管理和备用资产的管理;
1.注册设备和非注册设备资产信息:
(1)注册设备基本信息:
当前注册设备运行的操作系统类型和版本、内存和硬盘大小空间信息、个人注册信息、IP和MAC等
(2)注册设备软件信息:
当前注册设备运行的应用软件类型和版本等详细资产信息
(3)注册设备硬件信息:
当前注册设备各个部件的详细信息
(4)非注册设备信息:
IP和MAC信息
2. 资产统计:
包括软件资产分类、硬件资产、软件资产、IP资源统计和软硬件变更等,如下图所示:
4.3.3用户行为管理
(一)用户上网行为审计、控制
1. 上网行为审计
可以按照特定后缀名(.html、.asp)对URL进行审计,并且提取文件标题,根据URL信息从URL库查找相应的归类,将这些信息上报中心服务器,IT管理员可以通过数据分析平台很直观的了解到本企业的URL访问情况,比如某人在某时访问了体育类网站,某时访问了娱乐类网站,并且可以查看相应网站的标题。
2. 上网行为控制
可以定制基于URL类别的控制策略,灵活的控制某一类网址访问,简化了IT管理员的策略配置,使IT管理员可以灵活、有效的制定出相应的管理策略。
3. 邮件审计
可以灵活配置发送者和接收者的邮局地址,并且可以指定记录发送/接收的正文附件,并且将压缩后的邮件内容上报中心服务器,为日后审查提供数据依据,比如通过邮件泄露公司的机密信息的事件。
4. 邮件控制
可以设定全部禁止、而只允许本司的邮箱等相应管理策略,从而可以严格限制企业员工的滥发邮件,并由此导致机密信息的外泄。
5. FTP行为审计
可以定制相应审计策略详细记录某个ftp用户上传了什么文件,下载了什么文件,并且可以灵活的设置针对文件名或者文件内容的记录。
6. FTP行为控制
可以定制相应控制策略,灵活的控制对ftp的使用,比如禁止影音类文件的下载。
(二)本地文件审计
对终端访问本地的文件资源进行详细的审计,可以检测到该主机上“创建文件”、“删除文件”和“重命名”文件的操作。
(三)剪贴板审计
DeskMaster提供了对微软剪帖板内容的审计。
(四)光驱使用控制
DeskMaster通过下发光驱使用控制策略,可对终端的光盘读写(刻录)行为控制和记录。
(五)访问共享审计
对终端访问他人的网络共享资源进行详细的审计跟踪,可以检测到对某个IP主机的某文件夹读操作、写操作、修改操作,并且可以检测到对某文件的读操作、写操作、修改操作。
(六)打印审计、控制
对打印文件的名称、内容进行详细记录,可以有效监管企业员工对打印的使用。
(七)即时通讯审计
对主流的即时通讯软件进行侦听,对通讯信息进行及时查看和监督,对可能存在的涉密行为进行及时的阻止,便于对内网用户的通讯管理。
4.3.4移动介质管理
移动介质的使用不当已经造成了越来越多的政府和企事业机密信息的泄露,造成了巨大的损失。
人们对移动介质的管理的意识也越来越强,各单位也都加强了对移动介质管理的力度。
DeskMaster采用了以下方法对移动介质进行管理。
1. 入网授权:
移动存储在注册打标签之后,才能在内网中使用。
2. 人机绑定:
通过制定移动存储的访问策略,将通过授权的移动存储的使用绑定到某个特定计算机上,达到专盘专机用的目的。
3. 人盘绑定:
移动存储设备注册时,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 商场 网络安全 解决方案