1、网络系统安全加固方案北京*有限公司2018 年 3 月第 II 页 目 录1 项目介绍 .31.1 项目背景 .31.2 项目目标 .31.3 参考标准 .31.4 方案设计原则 .41.5 网络系统现状 .52 网络系统升级改造方案 .62.1 网络系统建设要求 .62.2 网络系统升级改造方案 .72.3 网络设备部署及用途 .92.4 核心交换及安全设备 UPS 电源保证 .102.5 网络系统升级改造方案总结 .103 网络系统安全加固技术方案 .103.1 网络系统安全加固建设要求 .103.2 网络系统安全加固技术方案 .113.3 安全设备部署及用途 .223.4 安全加固方案总
2、结 .224 产品清单 .2431 项目介绍1.1 项目背景随着对外网信息化的发展,业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。为了有效防范和化解风险,保证对外网信息系统平稳运行和业务持续开展,须对对外网现有的网络升级,并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。同时随着全球化和网络化,全球信息化建设的加快对我国的影响越来越大。由于利益的驱使,针对信息系统的安全威胁越来越多,必需加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能力,我们需要根据国内外先进信息安全管理机制结合
3、对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理,降低运营风险,建立高效、统一、运转协调的管理体制的重要因素。1.2 项目目标满足对外网对网络系统等基础设施的需求,降低基础设施对对外网信息化发展的制约,顺利完成业务系统、网络系统与信息安全系统的整合,促进对外网信息化可持续发展。本次改造工作的主要内容:通过网络系统改造及安全加固,满足对外网日常办公需要,保障重要网络及业务系统的安全运行。1.3 参考标准本方案重点参考的政策和标准包括: 中华人民共和国政府信息公开条例 (中华人民共和国国务院令第492 号)
4、 中华人民共和国计算机信息网络国际联网管理暂行规定4 国务院办公厅关于做好中央政府门户网站内容保障工作的意见 (国办发200531 号) 信息技术 信息系统安全等级保护实施指南 信息技术 信息系统安全等级保护基本要求 信息技术 信息系统安全等级保护方案设计规范 BS7799/ISO17799信息安全管理实践准则1.4 方案设计原则本方案在设计中将严格遵循以下原则:需求、风险、代价平衡分析的原则对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确
5、定系统的安全策略;综合性、整体性原则应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施( 访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等) 。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统) 、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安全
6、策略制定出合理的网络体系结构及网络安全体系结构;动态保护原则网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。网络安全系统的动态性是指,安5全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器) ,原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了) ,原来的系统就会变的不安全。所以,建设的安全防护系统不是一劳永逸的事情;一致性原则一致性原
7、则主要是指网络安全问题应当与具体的安全措施保持同步,并且在网络安全建设中所采取的各类安全措施应当执行统一的安全策略,各个策略之间能够相互互补,并针对具体的问题,从不同的侧面执行一致性的策略,避免出现策略自身的矛盾和失误;强制性原则安全措施的策略应当统一下发,强制执行,应避免各个环节的安全措施各自为政,从而也保障了安全策略的一致性,保障各个环节的安全措施能够相互互补,真正的为系统提供有效的保护;易操作性原则安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。多重保护原则任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护
8、系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。1.5 网络系统现状对外网共计约 120 名办公人员。办公网络通过一台二层交换机接入亦庄机房核心交换机,到机房的链路介质为两条光纤。6网络系统现状拓扑目前,对外网现有四台二层交换机需要更新升级。同时办公场所没有无线网络覆盖,且无内网安全防护设备。2 网络系统升级改造方案2.1 网络系统建设要求网络系统建设要求如下: 升级替换二层交换机。 采用集中控管的组网方式,集中控制管理所有的 AP。 AP 采用 POE 供电的方式。 为了满足大容量并且以备扩容和发展,室内无线 AP 要求必须支持两个射频模块,可以工作在 2.4GHz
9、 和 5.8GHz 频段;7 无线系统能够对用户角色制定不同的策略,满足授权管理(访问控制、流量控制)功能; 充分考虑 WLAN 的安全性,采用先进的 WLAN 安全技术保障。 无线局域网系统要能方便和灵活地调整与扩充。 为核心网络交换及安全设备提供 UPS 电源保证。2.2 网络系统升级改造方案网络系统升级改造方案拓扑图如下:2.2.1 有线网络升级替换四台现有二层交换机。82.2.2 新建无线网络2.2.2.1 AP布放设计根据现场实际勘测、信号测试情况,无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。办公区域接入 8 个 AP 供办公人员日常业务使用。2.2.2.2 无线组网方式结合
10、用户无线网络需求情况,结合产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照 AP+控制器的结构化无线网络解决方案进行设计。2.2.2.3 信道规划使用 2.4GHz 频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于 25MHz。在一个覆盖区内,最多可以提供 3 个不重叠的频点同时工作,通常采用 1、6 、11 三个频点。WLAN 频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。2.2.2.4 多业务区分设计在设计上采用无线局域网多 SSID 技术,设置多业务区分方式。例如一个SSID 可给内部员工所用,而另
11、一个可给外来的客户专用。2.2.2.5 无线安全性设计在无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:(1)多 SSID:可以根据需要,如用户的种类、应用的种类设置多个9SSID,不同的 SSID 采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外 SSID 还可以选择隐藏的方式,该 SSID 不广播,用户无法看到,防止非法用户的接入。SSID 还可以选择在某些 AP 上出现,某些 AP 上不出现,限制 SSID 出现的范围也是实现安全性的一种手段。(2)加密:无线系统支持国际标准的多种数据加密方式,保护数据不被窃取,用户可根据实际需要自行选择。(3)多重接入认
12、证方式:厂家无线系统支持多重认证方式结合:开放式、WPA-PSK 、WPA2-PSK(个人) 、开放式+Portal 认证、WPA-PSK/WPA2-PSK+Portal 认证、WPA(企业)、WPA2(企业) 、WPA/WPA2(企业) ;2.2.2.6 网络与用户管理在无线系统中可以设定用户的角色,同时,可根据角色进行访问的管控与流量的管理。比如,办公人员及领导具有较高的网络权限,可以访问更多的网络资源,或者对某些特殊的来宾开放某些 VIP 账号,分配给其较高权限的权限。分配较高的带宽供使用。而访客分配有限的权限,限制带宽和禁止访问内网,同时也可进行时间的限制。2.3 网络设备部署及用途本
13、次网络系统升级改造中各设备部署及用途如下:序号 设备名称 数量 单位 用途1 接入交换机 1 台 与机房三层交换机对接2 终端接入交换机 4 台 提供终端 PC 的接入网络3 POE 交换机 1 台 为 AP 设备供电4 AC 控制器 1 台 用于控制管理 AP105 室内 AP 8 台 为用户提供无线数据接入2.4 核心交换及安全设备 UPS 电源保证 通过核心信息机房布放核心交换机,核心网络安全设备,无线网控制器等,为保证这些设备在停电状态下的正常工作,我们配置了 5K 的 ups 电源,为核心网络设备提供延迟 1 小时的不间断电源保证。2.5 网络系统升级改造方案总结通过本次网络系统升级改造,网络的基础设施可以满足未来 5 年扩展需求。根据业务需求优化网络系统,保证网络系统可用性、工程实施的简便快捷。满足网络系统等基础设施的需求,降低基础设施对信息化发展的制约,顺利完成重要业务系统的部署及信息系统的整合,促进对外网信息化可持续发展。3 网络系统安全加固技术方案3.1 网络系统安全加固建设要求网络系统安全加固建设要求如下:1、网络边界安全防护2、财务等重要部门安全防护3、限制网速,控制上网;访客可通过扫码或关注微信公众号,认证上网4、网络准入5、IPSEC VPN:与阿里云对接6、SSLVPN 设备:移动办公