商场网络安全解决方案.docx
- 文档编号:235563
- 上传时间:2022-10-07
- 格式:DOCX
- 页数:41
- 大小:2.13MB
商场网络安全解决方案.docx
《商场网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《商场网络安全解决方案.docx(41页珍藏版)》请在冰豆网上搜索。
XXXX商场
信息安全建设项目方案书
北京中辰华创科技有限公司
2014.6
目录
第一:
项目建设背景 3
第二:
建设标准(等级保护二级) 4
第三:
XXXX商场安全防护需求 7
3.1网络VLAN划分 7
3.2重要边界及出口安全防护 7
3.3上网行为审计管理 8
3.4终端管理及移动存储介质管理 8
3.5IT运维集中管理 8
第四:
XXXX商场安全防护方案设计 10
4.1互联网出口安全网关 11
4.2互联网上网行为管理系统 13
4.3终端安全及移动存储介质管理 17
4.3.1全网视图管理 18
4.3.2IT资产管理 19
4.3.3用户行为管理 21
4.3.4移动介质管理 23
4.3.5桌面管理 24
4.4IT运维网络管理 26
4.4.1网络拓扑管理 26
4.4.2设备性能管理 28
4.4.3网络安全设备管理 30
4.4.4真实设备面板 30
4.4.5设备配置备份 31
4.4.6IP-MAC地址管理 33
第五:
设备应用清单 35
第一:
项目建设背景
XXXX商场是一家大型集团化公司,目前在yy进行规模化运营,是集品质购物、高端餐饮、休闲娱乐、体验观光于一体的一站式购物广场,将成为市民休闲购物娱乐的理想去处。
随着业务的拓展和规模的扩大,商场信息化程度不断深入,随着而来的是需要进行严格安全防护和管理,当前XXXX商场面临着新建和深化网络安全防护的任务,主要面临问题如下:
1、互联网出口安全威胁:
商场内部员工办公安全保密管理以及外部顾客快捷接入安全管理,需要对统一的互联网出口进行安全访问控制以及外部入侵进行防护;
2、内部数据传输威胁:
商场内部员工办公文件敏感信息安全防护,防止通过互联网通道如即时通讯、邮件等方式将内部商业信息传送;
3、移动存储介质威胁:
商场内部员工移动存储介质如U盘、移动硬盘等使用缺乏管理,导致病毒交叉感染,数据传输缺乏监控;
4、病毒流窜安全威胁:
商场病毒统一安全防护,在对终端计算机进行病毒防护、补丁修复,同时在网关出口进行统一的病毒过滤;
5、外来终端PC带来威胁:
内部办公网经常有外来计算机随意接入内部网络,存在数据非法访问(非授权访问)和外来攻击威胁(如病毒、木马等);
6、IT运维管理威胁:
商场有自有中心机房,核心交换机和各种应用服务器,同时,随着安全设备的部署,如何保证这些设备实时正常运行,需要建立集中的IT运维管理系统,对网络设备、服务器、安全设备进行统一的管理和运维监控。
第二:
建设标准(等级保护二级)
本次安全系统建设,在满足商场办公环境的业务和安全基础上,按照公安机关等级保护要求进行网络性能、安全防护实施。
计算机等级保护是针对基础网络、信息系统的安全运行和使用提出保护要求,在XXXX商场网络中,通过界定的使用人群、涵盖的应用系统,并保障商场信息管理外的正常办公所需,在此基础上购置相关资源,新建安全网络,新建或者升级主要应用系统,使其在物理环境、网络、系统、应用、数据、终端和系统集成六方面均达到对应等级要求;完善该网络相关安全保障体系和日常管理办法。
通过等级保护要求的建设实施,进一步提高商场基础网络和信息系统等级保护符合性要求,将整个网络系统的可用状况和安全状况提升到一个较高的水平,并尽可能地消除或降低系统的安全风险。
等级保护二级技术建设要求
安全类别
控制项
主要安全措施
二级保护措施
物理安全
物理访问控制
机房安排专人负责,来访人员须审批和陪同
√
重要区域配置门禁系统
√
防盗窃和防破坏
暴露在公共场所的网络设备须具备安全保护措施
√
主机房安装监控报警系统
√
防雷击
机房计算机系统接地符合GB50057-1994《建筑物防雷设计规范》中的计算机机房防雷要求
√
机房电源、网络信号线、重要设备安装有资质的防雷装置
√
防火
机房设置灭火设备和火灾自动报警系统
√
机房配置自动灭火装置
√
电力供应
机房及关键设备应配置UPS备用电力供应
√
重要科室应采用双回路电源供电
环境监控
机房设置温、湿度自动调节设施
√
机房设置防水检测和报警设施
√
对机房关键设备和磁介质实施电磁屏蔽
网络安全
结构安全
网络应按职能和重要程度不同划分网段
√
重要网段之间应采用防火墙进行隔离
√
访问控制
网络边界部署防火墙或网闸
√
安全审计
网络日志审计、网络运维管理安全审计
√
边界完整性检查
采用准入控制系统,实现准入控制、非法外联检查
√
采用准入控制系统,实现准入控制及非法外联可阻断
√
入侵防范
入侵检测系统/入侵防御系统
√
恶意代码防范
防病毒网关
√
主机安全
入侵防范
采用服务器安全加固
√
安全审计
采用终端管理系统实现安全审计
√
恶意代码防范
防病毒软件
√
应用安全
身份鉴别
采用电子认证措施
安全审计
数据库安全审计系统
数据安全与备份恢复
备份和恢复
本地数据备份与恢复
√
硬件冗余
关键网络设备、线路和服务器硬件冗余
异地备份
异地数据备份
第三:
XXXX商场安全防护需求
3.1网络VLAN划分
通过使用VLAN,可以把物理意义上的一个网络划分成很多个逻辑意义上的子网,使网络的边界更加清晰。
VLAN的出现使交换机承担网络的分段工作,而不再使用路由器来完成。
各VLAN间是逻辑隔离的,相同VLAN内的主机间数据传输不会被其他VLAN上的主机得到,因此减少了整个大网络内部各种相互攻击行为发生的可能性,增强了网络的安全性。
另外各VLAN分属不同的广播域,限制了各种广播报文的流转,能够减少网络流量。
3.2重要边界及出口安全防护
网络出口边界保护的有效控制措施包括防火墙、鉴别/访问控制等。
有效的监督措施包括基于网络的入侵防护系统(IPS)、漏洞扫描、网关防病毒等。
这些机制可以单独使用或结合使用,可以对边界内的各类系统提供保护。
防火墙是一种部署在不同安全域之间的高级访问控制设备,能根据制定好的安全策略控制不同安全域之间的访问行为。
网络中使用防火墙将用户域和服务器域隔离开来,并制定相应的访问规则。
服务器域分为安全管理域和应用服务域。
安全管理域包括一些应用无关的服务器,如IDS、防火墙控制台等;应用服务域包括各应用服务器、数据库服务器等。
3.3上网行为审计管理
在享受互联网带来的巨大便利的时候,由其带来的负面影响和安全威胁也日趋严重。
工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出,并由此产生法律、名誉、经济等各方面问题。
特别是《互联网安全保护技术措施规定》(公安部第82号令)明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。
这对于互联网管理,上网行为规范,提高网络利用率等方面提出了迫切的需要。
3.4终端管理及移动存储介质管理
在日常的网络维护中,来自终端的安全威胁是最大的。
终端任何不当甚至恶意的操作都可能对网络安全造成影响,因此必须对于终端的行为做出一定的控制。
控制采用C/S方式进行,在服务器端发布安全策略,终端安装安全代理软件限制用户行为。
可行的策略包括禁止网络文件共享,关闭主机的U口、COM口、串口,禁止终端安装软件,监控终端的拨号外联行为,监控终端的启动服务、运行进程等。
终端的安全代理软件隐藏运行,当发现有不符合安全策略的行为发生时,按照规则做出反应。
重要服务器和用户终端的并口、串口、USB接口等数据接口以及软驱光驱等设备应该采取安全控制措施,防止被非授权使用。
3.5网络出口访问速度
商场出口带宽目前仅仅有2个10M接入互联网,商场日常承载人数已到1000人/日,带宽已捉襟见肘,已无法满足顾客的正常应用体验,尤其是HTTP下载体验、WEB视频观看体验、P2P下载体验,仅仅依靠出口扩容也不能完全解决用户体验问题
3.6IT运维集中管理
机房中心拥有各种不同厂商、不同类型的设备,支撑着用户日常工作。
面对如此庞杂的异构网络环境,维护网络设备、服务器数量众多、品牌众多,维护工作量太大;无法及时发现网络故障和系统故障原因;管理员无法整体掌控网络和系统运行情况;管理员无法掌控未来网络及系统运行的趋势;无法对维护人员的工作内容进行有效记录和考核;没有形成符合国际规范的运维管理制度体系等等。
而这些问题将随着各类信息系统的建设进一步扩大并会产生新的维护管理问题,严重威胁着系统网络的稳健运行。
如何实现对全网进行全面、统一、准确、及时的管理,保障系统网络以及依系统网络运行的各应用系统的稳定、安全运行成为用户需首要解决的问题。
第四:
XXXX商场安全防护方案设计
针对XXXX商场现有网络结构现状,以及未来业务扩展需求,建立基本的商场网络安全防护和运维体系。
基础网络信息安全防护体系包括:
互联网出口安全网关(防火墙、IPS入侵防护、AV防病毒网关)、互联网上网行为管理、内网终端安全及移动存储介质管理、IT运维网络管理系统。
通过上述四个系统的建设,能够基本满足XXXX商场现有安全管理需求。
XXXX商场网络安全防护体系示意图
4.1互联网出口安全网关
1800S-H-V2多核安全网关是推出的的新一代多功能安全网关产品,它主要是面中小企业、网吧、酒店、政府机关等网络使用环境,1800S-H-V2安全网关采用了领先的64位多核MIPS体系架构和高速交换总线技术,这让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、IPS、VPN、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的提升,1800S-H-V2安全网关支持的如防ARP欺骗、上网行为管理、带宽管理、多PPPOE链路捆绑和用户认证等诸多丰富的功能特性,让它成为了中小型网络安全部署的首选产品。
1800S-H-V2安全网关提供5个GE接口,可充分满足中小型网络对于安全设备的接口使用需求。
1.1800S-H-V2安全网关拥有先进的安全防护功能,除具有高级状态检测包过滤技术外,还支持对应用层报文进行检测和过滤,可根据包括安全域、协议、端口、应用、用户以及时段等在内的诸多条件定制访问控制策略,1800S-H-V2的ALG功能还支持对FTP、HTTP、MS-RPC、H.323、RTSP、SIP、RSA、SQLNetV2等应用层协议进行状态监控。
2.1800S-H-V2安全网关采用基于硬件加速方案的高效专业防病毒引擎,结合会话流智能病毒扫描技术,能够对HTTP、FTP、POP3、SMTP、IMAP等应用协议进行在线实时病毒查杀,多核安全网关采用了创新性的病毒检测技术,能将接收数据和病毒扫描同步进行,并对扫描的文件大小及数量没有限制,该技术在提升防病毒吞吐量的同时也降低了延迟。
3.1800S-H-V2安全网关提供基于深度应用识别的入侵防御解决方案,能有效防范网络中各种复杂的应用攻击,1800S-H-V2安全网关支持超过3000种以上的攻击检测和防御,并以强大的多核处理器为后盾,能为用户提供强劲精准的入侵防御功能。
4.1800S-H-V2安全网关采用的多核MIPS处理器提供了强大的VPN加解密性能,在功能上支持包括IPSec、GRE、SSL、L2TP等多种VPN业务,可提供包括星型VPN、动态VPN、速连VPN等诸多VPN组网技术及组网方案,1800S-H-V2安全网关的SSLVPN支持用户名及USBkey双因素认证技术、单点登录技术、客户端安全完整性检查技术、主机绑定技术等,这些为客户端的远程接入提供了安全便捷的手段,此外,对于GRE的支持也为用户在
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 商场 网络安全 解决方案