网络安全加固解决方案.docx
- 文档编号:27737160
- 上传时间:2023-07-04
- 格式:DOCX
- 页数:59
- 大小:239.15KB
网络安全加固解决方案.docx
《网络安全加固解决方案.docx》由会员分享,可在线阅读,更多相关《网络安全加固解决方案.docx(59页珍藏版)》请在冰豆网上搜索。
网络安全加固解决方案
网络系统安全加固方案
北京*****有限公司
2018年3月
目
录
1
项目介绍....................................................................................................
3
项目背景........................................................................................
3
项目目标........................................................................................
3
参照标准........................................................................................
3
方案设计原则.................................................................................
4
网络系统现状.................................................................................
5
2
网络系统升级改造方案...............................................................................
6
网络系统建设要求.........................................................................
6
网络系统升级改造方案..................................................................
7
网络设备部署及用途......................................................................
9
中心互换及安全设备UPS
电源保证
............................................10
网络系统升级改造方案总结
.........................................................
10
3
网络系统安全加固技术方案......................................................................
10
网络系统安全加固建设要求
.........................................................
10
网络系统安全加固技术方案
.........................................................
11
安全设备部署及用途....................................................................
22
安全加固方案总结.......................................................................
22
4
产品清单........................................................................
错误!
不决义书签。
第II页
1项目介绍
项目背景
跟着对外网信息化的发展,业务系统对外网络系统、信息系统的依靠程度也愈来愈高,信息安全的问题也愈来愈突出。
为了有效防备和化解风险,保证对外网信息系统安稳运行和业务连续展开,须对对外网现有的网络升级,并成立信息安全保障系统,以增强对外网的信息安全风险防备能力。
同时跟着全世界化和网络化,全世界信息化建设的加快对我国的影响愈来愈大。
因为利益的驱遣,针对信息系统的安全威迫愈来愈多,必需增强自己的信息安全保护工作,成立完美的安全体制来抵抗外来和内在的信息安全威迫。
为提高对外网整体信息安全管理水平易抗风险能力,我们需要依据国内外先进信息安全管理体制联合对外网自己特色和需求来展开一项科学和系统的信息安全系统建设和规划设计工作。
经过系统的信息安全系统规划和建设,将为对外网增强内部控制和内部管理,降低营运风险,成立高效、一致、运行协调的管理系统的重要因素。
项目目标
知足对外网对网络系统等基础设备的需求,降低基础设备对对外网信息化
发展的限制,顺利达成业务系统、网络系统与信息安全系统的整合,促使对外
网信息化可连续发展。
本次改造工作的主要内容:
经过网络系统改造及安全加
固,知足对外网平时办公需要,保障重要网络及业务系统的安全运行。
参照标准
本方案要点参照的政策和标准包含:
《中华人民共和国政府信息公然条例》(中华人民共和国国务院令第
492号)
《中华人民共和国计算机信息网络国际联网管理暂行规定》
3
《国务院办公厅对于做好中央政府门户网站内容保障工作的建议》(国
办发〔2005〕31号)
《信息技术信息系统安全等级保护实行指南》
《信息技术信息系统安全等级保护基本要求》
《信息技术信息系统安全等级保护方案设计规范》
BS7799/ISO17799《信息安全管理实践准则》
方案设计原则
本方案在设计中将严格依照以下原则:
需求、风险、代价均衡剖析的原则
对任一网络,绝对安全难以达到,也不必定是必需的。
对一个网络要进行
实质的研究(包含任务、性能、构造、靠谱性、可保护性等),并对网络面对的
威迫及可能肩负的风险进行定性与定量相联合的剖析,而后拟订规范和举措,
确立系统的安全策略;
综合性、整体性原则
应运用系统工程的看法、方法,剖析网络的安全及详细举措。
安全举措主
要包含:
行政法律手段、各样管理制度(人员审察、工作流程、保护保障制度等)以及专业技术举措(接见控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。
一个较好的安全举措常常是多种方法合适综合的应用结果。
计算机网络的各个环节,包含个人(使用、保护、管理)、设备(含设备)、软
件(含应用系统)、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去对待、剖析,才可能获取有效、可行的举措。
不一样的安全举措其代价、成效对不一样网络其实不完好相同。
计算机网络安全应依照整体安全性原则,依据确立的安全策略拟订出合理的网络系统构造及网络安全系统构造;
动向保护原则
网络安全部是整体的、动向的。
网络安全的整体性是指一个安全系统的成立,
即包含采纳相应的安全设备,又包含相应的管理手段。
安全设备不是指单调的
某种安全设备,而是指几种安全设备的综合。
网络安全系统的动向性是指,安
4
全部是跟着环境、时间的变化而变化的,在必定环境下是安全的系统,环境发生
变化了(如改换了某个机器),本来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(现在天是安全的系统,可能因为黑客发现了某
种系统的破绽,明日就会变的不安全了),本来的系统就会变的不安全。
因此,建设的安全防备系统不是一劳久逸的事情;
一致性原则
一致性原则主假如指网络安全问题应该与详细的安全举措保持同步,并且在网络安全建设中所采纳的各种安全举措应该履行一致的安全策略,各个策略之间能够互相互补,并针对详细的问题,从不一样的侧面履行一致性的策略,防止出现策略自己的矛盾和失误;
强迫性原则
安全举措的策略应该一致下发,强迫履行,应防止各个环节的安全举措各自为营,进而也保障了安全策略的一致性,保障各个环节的安全举措能够互相互补,真切的为系统供给有效的保护;
易操作性原则
安全举措需要人去达成,假如举措过于复杂,对人的要求过高,自己就降低了安全性;其次,举措的采纳不可以影响系统的正常运行。
多重保护原则
任何安全举措都不是绝对安全的,都可能被攻破。
可是成立一个多重保护系统,各层保护互相增补,当一层保护被攻破时,其余层保护仍可保护信息的安全。
网络系统现状
对外网合计约120名办公人员。
办公网络经过一台二层互换机接入亦庄机
房中心互换机,到机房的链路介质为两条光纤。
5
网络系统现状拓扑
当前,对外网现有四台二层互换机需要更新升级。
同时办公场所没有无线
网络覆盖,且无内网安全防备设备。
2网络系统升级改造方案
网络系统建设要求
网络系统建设要求以下:
升级替代二层互换机。
采纳集中控管的组网方式,集中控制管理全部的AP。
AP采纳POE供电的方式。
为了知足大容量并且以备扩容和发展,室内无线AP要求一定支持两个
射频模块,能够工作在2.4GHz和5.8GHz频段;
6
无线系统能够对用户角色拟订不一样的策略,知足受权管理(接见控制、
流量控制)功能;
充足考虑WLAN的安全性,采纳先进的WLAN安全技术保障。
无线局域网系统要能方便和灵巧地调整与扩大。
为中心网络互换及安全设备供给UPS电源保证。
网络系统升级改造方案
网络系统升级改造方案拓扑图以下:
有线网络升级
替代四台现有二层互换机。
7
新建无线网络
AP布放设计
依据现场实质勘察、信号测试状况,无线网络采纳蜂窝式部署方式。
AP
安装在走廊/墙壁上。
办公地区接入8个AP供办公人员平时业务使用。
无线组网方式
联合用户无线网络需讨状况,联合产品自己技术特色,为了知足用户建立
一个高速、稳固、安全、靠谱、易于管理的无线接入网络的需求,本设计方案
依照AP+控制器的构造化无线网络解决方案进行设计。
信道规划
使用2.4GHz频点为例,为保证信道之间不互相扰乱,要求两个信道之间间隔不低于25MHz。
在一个覆盖区内,最多能够供给3个不重叠的频点同时工作,往常采纳1、6、11三个频点。
WLAN频次规划需综合考虑建筑构造、穿透消耗以及布线系统等详细状况进行。
多业务区分设计
在设计上采纳无线局域网多SSID技术,设置多业务区分方式。
比如一个
SSID可给内部职工所用,而另一个可给外来的客户专用。
无线安全性设计
在无线系统中,能够在多个层面对系统修建安全防备,其安全性设计以下:
(1)多SSID:
能够依据需要,如用户的种类、应用的种类设置多个SSID,
不一样的SSID采纳不一样的安全策略,这样能够对不一样的用户及应用进行区分服
8
务。
此外SSID还可以够选择隐蔽的方式,该SSID不广播,用户没法看到,防备非法用户的接入。
SSID还可以够选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
(2)加密:
无线系统支持国际标准的多种数据加密方式,保护数据不被
盗取,用户可依据实质需要自行选择。
(3)多重接入认证方式:
厂家无线系统支持多重认证方式联合:
开放式、WPA-PSK、WPA2-PSK(个人)、开放式+Portal认证、
WPA-PSK/WPA2-PSK+Portal认证、WPA(公司)、WPA2(公司)、WPA/WPA2
(公司);
网络与用户管理
在无线系统中能够设定用户的角色,同时,可依据角色进行接见的管控与
流量的管理。
比方,办公人员及领导拥有较高的网络权限,能够接见更多的网
络资源,或许对某些特别的贵宾开放某些VIP账号,分派给其较高权限的权限。
分派较高的带宽供使用。
而访客分派有限的权限,限制带宽和严禁接见内网,
同时也可进行时间的限制。
网络设备部署及用途
本次网络系统升级改造中各设备部署及用途以下:
序号设备名称数目单位用途
1接入互换机1台与机房三层互换机对接
2终端接入互换机4台供给终端PC的接入网络
3POE互换机1台为AP设备供电
4AC控制器1台用于控制管理AP
9
5室内AP8台为用户供给无线数据接入
中心互换及安全设备UPS电源保证
经过中心信息机房布放中心互换机,中心网络安全设备,无线网控制器等,为保证这些设备在停电状态下的正常工作,我们配置了5K的ups电源,为中心网络设备供给延缓1小时的不中断电源保证。
网络系统升级改造方案总结
经过本次网络系统升级改造,网络的基础设备能够知足将来5年扩展需求。
依据业务需求优化网络系统,保证网络系统可用性、工程实行的简易快捷。
满
足网络系统等基础设备的需求,降低基础设备对信息化发展的限制,顺利达成
重要业务系统的部署及信息系统的整合,促使对外网信息化可连续发展。
3网络系统安全加固技术方案
网络系统安全加固建设要求
网络系统安全加固建设要求以下:
1、网络界限安全防备
2、财务等重要部门安全防备
3、限制网速,控制上网;访客可经过扫码或关注微信民众号,认证上网
4、网络准入
5、IPSECVPN:
与阿里云对接
6、SSLVPN设备:
挪动办公
10
网络系统安全加固技术方案
针对系统的安全建设需求,在安全域区分的基础之上,提出了有针对性的
安全技术举措,来建立整个信息安全技术防备系统。
详细部署方式以下列图所示:
联合实质业务保障需要,本着“适量安全,保护要点”的原则,我们建议采纳以下安全技术举措来建立安全保障系统的技术支撑平台。
11
界限安全保护举措
采纳防火墙,对信息网络中重要的安全域供给界限接见控制,严格控制进
出网络各个安全地区的接见,明确接见的根源、接见的对象及接见的种类,确
保合法接见的正常进行,根绝非法及越权接见;同时有效预防、发现、办理异
常的网络接见,保证对外网信息网络正常接见活动。
网络界限安全防备
部署地点:
在房与办公地区之间部署防火墙设备。
部署模式:
防火墙采纳路由方式部署。
重要部门安全防备
部署地点:
内行政、财务等重要部门与其余办公地区之间部署防火墙设备。
部署模式:
防火墙采纳透明方式部署。
产品功能特色
“鉴于用户防备”、“面向应用安全”、“高效转发平台”、“多层级冗余架构”、“全方向可视化”及“安全技术交融”六大特征的NGFW?
下一代防火墙系列产品。
崭新的NGFW?
下一代防火墙产品线,无论是在性能方面仍是在功能方面都完好切合用户对下一代防火墙产品的各样需求。
鉴于用户防备
灵巧且强盛的用户身份管理系统,支持RADIUS、TACACS、LDAP、
12
AD、邮件、证书、Ukey、短信等多种认证协讲和认证方式。
在用户管理
方面,实现了分级、分组、权限、继承关系等功能,充足考虑到各样应用环境下不一样的用户需求。
鉴于上述特征,网络终端在接见网络前,被强迫
要求到NGFW?
下一代防火墙进行身份认证来达成对其的“合法性”检查。
除此以外,NGFW?
下一代防火墙还集成了强盛的安全准入控制功能,针对身份认证通事后的网络终端操作系统环境进行系统服务、软件、文件、
进度、注册表等细粒度的检测与控制来实现对其的“合规性”检查。
经过对网络终端“合法性”与“合规性”的两重审察后,NGFW?
下一代防火墙将依据其身份认证信息(用户ID)经过智能过滤引擎实现鉴于用户身份的安全防备策略部署与可视化监控。
一体化智能过滤引擎
NGFW?
下一代防火墙系列产品,采纳高度集成的一体化智能过滤引擎技术。
其能够在一次数据拆包过程中,对数据进行并行深度检测,进而保证了协议深度识其余高效性。
此外,NGFW?
下一代防火墙产品鉴于八元组高级接见控制设计,除传统的五元组控制以外,实现了用户身份信息、应用程序指纹及内容特色的辨别与控制,充足表现了下一代防火墙关注“用户”与“应用”的设计理念。
高效转发平台
TOS安全系统平台
NGFW?
系列产品鉴于厂家公司十余年高质量安全产品开发经验结晶
的TOS(TopsecOperatingSystem)安全系统平台。
跟着多核技术的宽泛应
13
用,TOS以多核硬件架构为基础,分为系统内核层、硬件抽象层及安全引擎层。
在安全引擎层内,依据安全功能模块协议特征的不一样,分为网络引
擎组(NETWORKEngines)与应用引擎组(APPEngines)。
经过将引擎组与多核硬件架构的完满整合,使TOS在系统层面实现了全功能多核并行流办理。
而在硬件抽象层则采纳多种加快技术,依据各个中心的及时负载情
况,将流量按会话的方式动向均衡到CPU的各个中心,进而保证整个CPU效率履行的最大化。
TopTURBO数据层高速办理
TopTURBO是自主原创实现数据层多核快速转发的高性能业务办理技术。
经过NGFW?
产品研发团队在TOS系统平台上所进行的大批性能优化工作,利用TopTURBO技术将数据层高速办理解决方案光滑迁徙到多核硬件平台上,与现在最初进的高性能多核架构合而为一,进而获取更高的
网络办理性能。
14
网络流量控制防备举措
串连部署上网行为管理系统,依照业务系统使用状况配置网络带宽和用户
对外接见的带宽,知足业务应用系统带宽使用,同时保障网络通畅。
网络流量控制防备
部署地点:
在防火墙设备与内网三层互换机之间。
部署模式:
采纳透明方式部署。
认证方式:
用户只要用微信扫描公司供给的二维码,关注民众号并申请上网,
即可达成身份认证过程。
同时支持扫一扫的方式认证上网。
产品功能特色
IP/MAC/VLAN绑定
上网行为管理设备支持二层网络环境和三层网络环境的IP、MAC、
IP+MAC和VLANID的绑定,可自动阻断哪些非法占用别人IP的用户上
网。
认证账户有效期
对于一些暂时的用户,经过有效期的限制能够控制这些用户的上网时
间范围,当用户高出预设的时间有效期,就不可以上网。
很好的控制了外来
用户上网的准入性和上网时长。
同时能够设定用户离线多久就自动删除该
15
用户,进而大大的简化了动向用户的管理,增强了用户管理的灵巧性。
微信认证
支持与微信联合的认证方式,用户关注微信民众号后即经过身份认证,后台记录取户ID
登录重定向
上网行为管理设备支持网页重定向的功能。
当用户认证成功后,上网
行为管理设备能够将其第一次的WEB接见重定向到预设的URL链接。
此功能合适于政府机关、公司公司、大中小学等、或许酒店等网络环境,便
于用户上网的时候直接导向最新的通告信息。
带宽资源管理
经过专业的带宽管理和分派算法,上网行为管理设备供给流量优先级、最大带宽容制、保障带宽、预留带宽、以及随机公正行列等一系列的应用优化和带宽管理控制功能。
防共享上网
上网行为管理,能自动发现网络中私接的有线路由器、无线路由、360wifi等共享上网行为,能够及时对私接行为进行管控,在系统中能够及时查察管控记录和日记
网络准入
网络准入
部署地点:
内网三层互换机。
部署模式:
采纳旁路方式部署。
产品功能特色
完好的接入管理流程
一套完好的接入管理流程,从基本的接入身份表记,到接入后的合规检查
和修复导游以及实名审计等,整体包装终端准入的安全性,纯净化与抗狡辩作
用。
16
全方向的可信准入
可信终端:
只同意合法终端的接入,细粒度的健康检查保证接入终端的合规性;
可信誉户:
系统供给实名制的准入功能,并可与AD域联动,将网络准入同域认证有机联合。
无线准入业界当先
支持传统PC有线和无线认证、健康检查、动向VLAN区分;
支持智能终端无线准入,无需安装客户端,支持Android、IOS、Windows
Phone等主流操作系统。
拥有很好的网络环境适应性,不需要大幅调整网络构造
网络安全准入系统可适应各种复杂网络和混淆型部署网络,支持多种接入
方式,支拥有线和无线的准入。
支持CISCO、H3C、华为等多个厂商的设备,很好的知足及适应了客户网络的复杂性。
细粒度的合规检查
从辨别系统特色,到操作系统以及杀毒软件的特色,全面支持对客户端主
机的各样安全检查,除基本的安全检查项外(杀毒软件、注册表、进度等),能够由管理员自定义制定检查安全监测任务。
用户可依据实质需求选择切合自己的合规检查。
高性能,高稳固性的设备
鉴于最新硬件平台而建立的NAC硬件准入网关,公司十五年的硬件产品
技术累积,硬件平台宽泛应用于防火墙、IPS、VPN等其余硬件产品。
该产品
鉴于拥有自主知识产权的安全操作系统TOS(TopsecOperatingSystem)。
强盛的可扩展性
准入安全检查技术上除了知足客户端安全监控、客户端安全加固、客户端
管理等要求以外,还供给多种数据接口和二次开发接口。
可依据实质需要快速
进行功能定制,也可与TSM产品(TD/TA-NET/TA-DB)联合部署,并可供给基
于实名认证审计功能。
17
IPSECVPN
机房与云IPSECVPN成立安全接见通道。
采纳鉴于IPSEC协议的虚构专
用网(VPN)体制,联合靠谱的认证、受权和密码技术,保护远程通讯过程和
传输数据的真切性、完好性、保密性,防备重要业务数据在传输过程中被盗取、
窜改和损坏。
IPSECVPN
部署地点:
机房三层互换机。
部署模式:
采纳旁路方式部署。
产品功能特色
全面支持国密局IPSec协议规范
IPSec作为一个通用性的安全标准,要求全部IPSec的实现一定严格依照
其各样协议规范,以便实现不一样产品之间的互通。
IPSecVPN产品经过国家密
码管理局的严格判定,切合国密局最新拟订的《IPSECVPN技术规范》,能够
和其余切合规范的的VPN产品实现互通。
本产品依照国密局最新拟订的《IPSECVPN技术规范》标准协议。
支持ESP、AH加密认证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 加固 解决方案