1、杭州华三通信技术有限公司 XXXXXX 网络安全建设技术建议书2008 年 2 月杭州华三通信技术有限公司 1目 录1. XX 网络安全现状 -22. H3C 安全解决方案理念 -42.1. 智能安全渗透网络 局部安全-42.2. 智能安全渗透网络 全局安全-52.3. 智能安全渗透网络 智能安全-53. 建设原则及设计思路 -63.1. 安全平台设计思路 -63.1.1. 以安全为核心划分区域 -63.1.2. 用防火墙隔离各安全区域 -73.1.3. 对关键路径进行深入检测防护 -83.1.4. 对用户非法上网行为进行识别和控制 -83.1.5. 对全网设备进行统一安全管理并进行用户行为审
2、计 -93.1.6. 根据实际需要部署其他安全系统 -94. XXXX 网络安全解决方案 -114.1.1. 边界安全防护 -114.1.2. 用户行为监管 -124.1.3. 统一安全管理中心 -145. 安全管理建议(供参考) -155.1. 安全管理组织结构 -155.1.1. 人员需求与技能要求 -155.1.2. 岗位职责 -155.2. 安全管理制度 -165.2.1. 业务网服务器上线及日常管理制度 -165.2.2. 安全产品管理制度 -175.2.3. 应急响应制度 -175.2.4. 制度运行监督 -17杭州华三通信技术有限公司 21. XX 网络安全现状随着计算机技术和通
3、讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet 的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现金,数字货币,网络银行等新兴业务的兴起,网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失十分巨大,仅在美国每年因计算机犯罪所造成的直接经济损失就达 150 亿美元以上。在全球平均每二十秒就发生一次网上入侵事件。有近 80%的公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。面对计算机网络的种种安全威胁,必须采取有力的措施
4、来保证安全。目前,网络技术已在 XX 行业得到了全面应用,大大提高了 XX 行业的业务处理效率和管理水平,促成了各项创新的业务的开展,改善了整个 XX 行业的经营环境,增强了信息的可靠性,服务于社会的手段更趋现代化。但是,同其他任何行业一样,网络安全风险的阴霾如同网络技术的孪生子,伴随着网络技术在 XX 行业的全面应用而全面笼罩在 XX 行业的每个业务角落。而且,对 XX 行业网络系统的攻击,可能造成国家经济命脉的瘫痪和国家经济的崩溃,因此 XX 行业的网络安全问题是一个关系到国计民生的重大问题,也是所有网络安全厂商非常关心的问题。目前的主要网络安全威胁包括以下方面:非法访问:现有网络系统利用
5、操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面 XX 行业(如银行)开发的很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能会通过这些接口攻击银行,造成巨大损失。失密和窃密:利用搭线窃听窃收,使用协议分析仪器窃收计算机系统的操作密码,破解系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息。信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信息。内部人员破坏:内部人员熟悉 XX 行业网络系统的应用业务和薄弱环节,可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。黑客入侵
6、:利用黑客技术非法侵入 XX 行业的网络系统,调阅各种资料,篡改他人的资杭州华三通信技术有限公司 3料,破坏系统运行,或者进行有目的的金融犯罪活动。假冒和伪造:假冒和伪造是 XX 行业网络系统中经常遇见的攻击手段。如伪造各类业务信息,未授权篡改数据,改变业务信息流的次序、时序、流向,破坏金融信息的完整性,假冒合法用户实施金融欺诈等。蠕虫、病毒泛滥:蠕虫、病毒泛滥可能导致 XX 行业的重要信息遭到损坏,或者导致XX 行业网络系统瘫痪,如 2003 年初的 SQL Slammer 蠕虫,导致了全国金融业务的大面积中断。拒绝服务:拒绝服务攻击使 XX 行业的电子商务网站无法为客户提供正常服务,造成经
7、济损失,同时也使行业形象受到损害。用户非法上网行为:大量 P2P/IM 应用的泛滥,导致带宽被占用和网络的严重拥塞;同时上班炒股、网络游戏、不良网站访问等非法行为也导致了员工工作效率下降,并且极易感染蠕虫和病毒。此外,随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性能要求的不断提高,网络安全管理也逐步成为网络技术发展中一个极为关键的任务,对网络的发展产生很大的影响,成为现代信息网络中最重要的问题之一。如果没有一个高效和统一的安全管理系统对网络安全进行管理,就很难使管理员对网络的安全状况有清楚的认识。因此,找到一种使网络运作更安全,更实用,更低廉的解决方案已成为每一个企业领导
8、人和网络管理人员的迫切要求。杭州华三通信技术有限公司 42. H3C 安全解决方案理念在这种咄咄逼人的安全形势下,需要一个全方位一体化的安全部署方式。H3C 数据中心安全解决方案秉承了 H3C 一贯倡导的“智能安全渗透理念”,将安全部署渗透到整个网络的设计、部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到了使安全贯穿数据链路层到网络应用层的目标,使安全保护无处不在。智能安全渗透网络(iSPN)提出了一个整体安全架构,从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署,抵御最基础的安
9、全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。图 1 智能安全渗透网络结构2.1. 智能安全渗透网络局部安全网络安全最基础的防护方式是关键点安全,即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品,进行 27 层的威胁防范,当前企业绝大部分采用的都是这种单点威胁防御方式。这种局部安全方式简单有效并有极强的针对性,适合网络建设已经比较完善而安全因素考虑不足的情况。在这种方式下,H3C 强调通过“集成”来提供最佳的防御效果,即通过在网络产品上集成安全技术、在安全产品上
10、集成网络技术以及网络与安全的插卡集成等方式,杭州华三通信技术有限公司 5实现了安全技术和网络技术在无缝融合上做出的第一步最佳实践。2.2. 智能安全渗透网络全局安全由于安全产品种类的不断丰富,使得局部安全可以应对企业的大部分基础网络安全问题。然而此时用户意识到,局部安全的防护手段相对比较孤立,只有将产品的相互协作作为安全规划的必备因素,形成整网的安全保护才能抵御日趋严重的混合型安全威胁。为此,H3C 推出了全局安全理念,借助于 IToIP 的网络优势,通过技术和产品的协作,将网络中的多个网络设备、安全设备和各组件联动起来,并通过多层次的安全策略和流程控制,向用户提供端到端的安全解决方案。以 H
11、3C 的端点准入防御及安全事件分析机制为例,它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。在统一的安全策略下,利用各部分组件的协同联动,保证网络各端点的安全性与可控性;同时,在统一的平台上进行安全事件的收集、整理、分析,可以做到整网安全风险的提前预防与及时控制。2.3. 智能安全渗透网络智能安全随着网络建设的日趋完善,面向业务的安全已经成为新的发展方向。只有理解企业业务,将企业的业务需求及流程建设充分融合到网络安全建设中来,从信息的计算、通信及存储等信息安全状态出发,以面向应用的统一安全平台为基础,通过安全事件的实时感知、安全策略的动态部署、网络安全设备
12、的自动响应,将智能的安全融入企业业务流程中,形成开放融合、相互渗透的安全实体,才能实现真正的网络安全智能化。帮助企业将业务信息的所有状态都控制在安全管理的范围内,这样的需求正是智能安全产生的原动力。完善的安全管理体制是加强信息系统安全防范的组织保证。iSPN 全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据,保证企业信息系统的安全运行。iSPN 全局安全管理平台以开放的安全管理中心和智能管理中心为框架,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的
13、协同响应,在现有安全设施的基础上构建一个智能安全防御体系,大幅度提高企业网络的整体安全防御能力。H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。高效的安全解决方案不仅仅在于当安全事件发生时,我们能够迅速察觉、准确定位,更重要的是我们能够及时制定合理的、一致的、完备的安全策略,并最大限度的利用现有网络安全资源,通过智能分析和协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础上,H3C iSPN 为实现这一目标而构建了专业安全服务、开放应用架构和可持
14、续演进的全局安全管理平台,通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理,将杭州华三通信技术有限公司 6各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来,构成了一个智能的、联动的闭环响应体系,可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。H3C 将以全新的 iSPN 理念配合先进的产品技术与日趋完善的面向应用解决方案,为企业打造一个领先的、全面的、可信赖的 IP 安全平台。3. 建设原则及设计思路3.1. 安全平台设计思路XXXXXX 的网络应用对安全的要求比较高,根据对 XXXXXX 网络和应用的理解,结合在XX
15、 行业的成功经验,提出了如下安全建设思路。3.1.1. 以安全为核心划分区域现有网络大多是以连通性作为中心进行设计的,而很少考虑安全性。例如最典型的网络三层架构模型(核心层、汇聚层、接入层架构)中,网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计。所谓以安全为核心的设计思路就是要求在进行网络设计时,首先根据现有以及未来的网络应用和业务模式,将网络分为不同的安全区域,在不同的安全区域之间进行某种形式的安全隔离,比如采用防火墙隔离业务网和
16、办公网。针对 XXXXX 网络安全实际情况,可划分出不同的安全分区级别,详细定义如下: DMZ 区:DMZ 区包括省级网络连接贵州省电子政务网区域、INTERNET 服务区以及贵州省劳动和社会保障厅对社会公众提供服务的服务群(如:对外发布系统服务器区等) ,该区域都是暴露在外面的系统,因此,对安全级别要求比较高。 互联网服务区:互联网业务应用系统集合构成的安全区域,主要实现公开网站、外部邮件系统、远程办公用户、部分分支机构以及部分合作伙伴的VPN接入等功能。 远程接入区:合作业务应用系统集合构成的安全区域,主要实现与原材料供应商、渠道商等合作伙伴的业务应用功能。考虑到部分合作伙伴会采用VPN方
17、式接入,基于安全性考虑,其与互联网服务区应该有独立的物理连接。根据应用要求,可以进一步划分为互联网业务区、VPN接入区等。杭州华三通信技术有限公司 7 广域网分区:在之前的网络建设中,企业通过专线连接国内的分支机构。广域网连接区就是专线网络的链路及全部路由器构成的安全区域,这一安全区域内部没有具体的应用系统,主要实现网络连接功能,定义这一安全区域是为了方便网络管理。 数据中心区:由贵州省金保业务服务区服务群构成,是贵州省金保一切业务应用活动的基础,包括生产区、交换区、决策区。这个区域的安全性要求最高,对业务连续性要求也最高。要求不能随便进行任何可能影响业务的操作,包括为服务器打补丁,管理起来也
18、最为复杂。 网络管理区:网络管理员及网管应用系统构成的安全区域,一切网络及安全的管理和维护工作都在这一区域完成。网络管理区域的资产在定义中属于支撑部门资产集合,但是鉴于网络管理的特殊性,将这一部分资产独立设置安全区域。 内部办公区:数据中心内部办公计算机构成的安全区域。安全性和业务持续性要求最低,管理难度大,最容易遭受蠕虫的威胁。3.1.2. 用防火墙隔离各安全区域防火墙作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效监不同安全网络
19、之间的任何活动。防火墙在网络间实现访问控制,比如一个是用户的安全网络,称之为杭州华三通信技术有限公司 8被信任应受保护的网络 ,另外一个是其它的非安全网络称为某个不被信任并且不需要保护的网络 。防火墙就位于一个受信任的网络和一个不受信任的网络之间,通过一系列的安全手段来保护受信任网络上的信息。3.1.3. 对关键路径进行深入检测防护虽然,网络中已部署了防火墙等基础网络安全产品,但是,在网络的运行维护中,IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周,而是自 2003 年以来,蠕虫、点到点,入侵技术日益滋长并演变到应用层面(L7)
20、的结果,而这些有害代码总是伪装成客户正常业务进行传播,目前部署的防火墙等安全产品其软硬件设计当初仅按照其工作在 L2-L4 时的情况考虑,不具有对数据流进行综合、深度监测的能力,自然就无法有效识别伪装成正常业务的非法流量,结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。因此在关键路径上部署独立的具有深度检测防御的 IPS(入侵防御系统)就显得非常重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有: 入侵非法用户的违规行为; 滥用用户的违规行为;深度检测防御识别出任何不希望有的活动,从而限制这些活动,以保护系统的安全。深度
21、检测防御的应用目的是在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。3.1.4. 对用户非法上网行为进行识别和控制目前网络各种应用越来越丰富,但是对于一个网络的管理员而言,非法的、未受控的应用,会挤占合法应用带宽,同时影响企业员工的整体生产率,这些应用必须被识别并加以控制。比如在企业网、校园网中,P2P下载、娱乐类应用占用了大量的带宽,对这些机构正常的业务影响极大;另一方面,企业员工或高校学生,把工作或学习时间消耗在一些不必要甚至非法的网络活动上,大大影响了工作和学习效率。通过应用识别技术,可把各种应用及其行为置于明确
22、的可管理的前提下,并通过阻断、限流等手段实现应用控制。杭州华三通信技术有限公司 93.1.5. 对全网设备进行统一安全管理并进行用户行为审计日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护,不断追求多层次、立体化的安全防御体系,逐步引入了防病毒、防火墙、IPS/IDS、VPN 等大量异构的单点安全防御技术,再加上交换机、路由器等网络设备,网络结构日益复杂。然而,现有网络安全防御体系还是以孤立的单点防御为主,彼此间缺乏有效的协作,不同的设备之间的信息也无法共享,从而形成了一个个安全的“信息孤岛” 。通过统一安全管理平台,可以对网络中的网络设备、安全设备、服务器等进行统一管理,收集相关信息
23、,进行关联分析,形成安全事件报表输出,并且针对用户行为输出审计报告,有效的帮助管理员了解网络中的安全现状与风险,提供相关解决办法和建议。3.1.6. 根据实际需要部署其他安全系统以上的安全系统部署基本可以涵盖一般性网络安全需求,但是很多特殊的应用也需要特别的应用保护系统。此外管理员也需要一些其他的安全工具对网络安全运行进行审计评估等操作。在 XXXXXX 网络中,还需要以下安全系统和安全工具: 补丁管理系统从公开的统计资料可以看到,在 2003 年全球有 80%的大型企业遭受病毒感染而使得业务系统运作受到干扰,即使这些大型企业已经具备了良好的边界安全措施,也普遍部署了病毒防御机制。造成困境的原因,一方面当然是由于现有防御体系的缺陷,是由于现有的边界防御、基于签名的入侵检测和防病毒系统从原理上就决定了其不擅长对付基于漏洞进行感染的病毒,单单具备这些措施,不足以遏制病毒的泛滥。另一方面,也是由于基于漏洞进行感染的病毒传播速度极快,以至来不及采取措施,病毒就已经大规模爆发了。这恰好说明企业需要一些应付这种情况的措施,最好在病毒前面就消灭漏洞隐患,杜绝病毒传播的可能。补丁管理就是这一思想的产物,因为它的原理就是对软件进行修补从而根本上消灭漏洞,杜绝了病毒利用漏洞的可能。 漏洞扫描工具
