北京小赛车群

当前位置:主页首页 > 电脑教程 > 安全知识 > 局域网安全 > >

天融信政府部门系统安全防护方案

来源::网络整理 | 作者:管理员 | 本文已影响

  XXXX是国家的重要政府部门,辖内现有共30个司局,办公人员总数约1500人。经过多年的建设,XXXX已经形成了比较完善的内网、纵向网和外网业务网络。其中:

  ★ 内网是XXXX机关内部办公网,是涉密网络,与互联网物理隔离。

  ★ 纵向网是以XXXX为中心节点,连接覆盖全国的各省、自治区、直辖市、副省级省会城市、计划单列市的XXXX所属各级单位和部门。纵向网是涉密网络,与互联网物理隔离。

  ★ 外网是XXXX工作人员访问互联网,及时了解国际、国内重要信息,并与外界进行必要的沟通、联系的重要渠道。

  由于XXXX本身职能的特殊性,对信息系统的安全性要求很高,因此在XXXX网络中部署了很多信息安全产品来加强整体安全性。这些安全产品虽然确实可以解决一些较为紧迫的安全问题,如病毒泛滥、黑客攻击等,但是仍然不够完善,网络中仍然存在一定的安全风险,例如:缺乏内网安全管理机制,不能对内部用户滥用网络系统资源或外界人员绕过边界安全控制设施进行的各种非法操作行为进行有效的监控和审计;缺乏集中的安全管理平台和流程化的安全事件处理机制,现有的各种安全防护机制彼此孤立,不能够有效互动和统一协调地工作。

  在充分认识到安全管理方面的不足之后,XXXX决定通过部署专业的安全产品来加强内网桌面计算机系统的安全管理和实现集中的网络信息安全监控。

  二、信息系统描述

  XXXX办公网包括相对独立的内网、纵向网和外网三部分,各网络核心交换机和服务器主机均放置于主楼的主机房,各网络的用户接入交换机和信息点分布于各个办公楼层中。此次网络信息安全管理和监控平台的建设主要针对内网进行。

  内网是XXXX机关内部办公网,目前网络覆盖整个XXXX的各个办公楼层。内网是涉密网络,与互联网物理隔离。

  内网网络骨干采用ATM技术,为双星型结构。由两台三层交换机作为核心,两台核心交换机采用串行双连接模式,核心数据交换能力为2*622M。每个楼层设备间配备一台楼层交换机,通过622M光纤线路与一台核心交换机单路相连。同时楼层交换机作为骨干网的边缘,通过LANE技术实现ATM网到以太网的过渡。终端用户通过100M双绞线连接楼层交换机的以太网端口。内网所有服务器集中部署在中央机房,单链路100M连接核心交换机。

  内网采用静态地址,按楼层、司局、服务器和管理网段等进行划分。

  内网目前部署了防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、安全审计系统等安全设备和软件。

  内网现有用户数约1200人。

  三、用户需求分析

  终端安全管理需求

  XXXX网络经过了长期的发展,计算机的硬件配置多样化,操作系统多样化,应用系统多样化。随着网络系统的不断发展,基于微软操作系统漏洞的病毒和攻击层出不穷,不断爆发的网络病毒的危害性越发凸显出来,严重影响了XXXX网络应用。针对以上具体情况,加强XXXX内网的计算机终端安全、统一计算机终端的管理已经势在必行。

  具体来说,在终端安全管理方面的需求主要包括:

  ★ 及时发现终端设备的操作系统和重要应用软件的漏洞并自动分发安全补丁,减少被攻击的可能。

  ★ 有效管理终端资产,保障终端设备正常运行,提供非法改变报警。

  ★ 防范内网终端设备非法外联。

  ★ 防范外来的移动终端非法接入内网。

  ★ 防范内部涉密重要信息的泄露。

  ★ 及时发现网络中占用大量网络带宽或产生异常网络流量的终端,并及时阻断。

  ★ 对移动存储设备的使用进行管理,防止通过移动存储设备泄密或染毒。

  ★ 通过批量设置计算机的安全保护措施提高桌面计算机的安全性。

  ★ 进行批量的软件分发和安装,提高运行维护效率。

  ★ 特定计算机的IP地址保护。

  ★ 在全网制订统一的安全策略并实时评估计算机的安全状态是否符合管理规定,阻断安全风险大的计算机与网络连接,并向管理员报警。

  ★ 出现安全问题后,可以快速有效的定位有问题的IP/MAC/主机名,找出网络中病毒、蠕虫、黑客的引入点,及时、准确的切断安全事件发生点和网络。

  内网网络和信息安全监控需求

  主流的安全产品如防火墙、入侵检测、防病毒软件等都是从某一局部去解决安全问题,相互之间是独立、分散管理的,这种状况不仅增加了管理成本和难度,而且无法对安全问题、安全隐患进行综合分析,不符合安全整体架构思想,无法为用户提供动态、全局的安全状态分析。

  鉴于XXXX内网信息系统中已经部署了很多的安全产品,如何从整体安全的角度出发,为信息安全管理提供决策依据和管理手段,解决采用多种相互独立的安全产品及安全技术所带来的管理混乱局面,降低网络安全管理的复杂性就显得尤为重要。

  因此在XXXX内网中需要通过一定的技术手段,建立全网的集中安全管理与监控平台,实现以下基本需求:

  ★ 在核心位置对整个网络系统中各类设备和软件所产生的安全事件信息进行集中分析,改变信息孤立,管理困难的局面,从而实时地掌握网络中各个部门、各个网段、各个应用系统的安全风险,及时发现和处理安全事故,将风险影响程度降到最低,并减少响应时间。

  ★ 分析和评估构成网络系统的各类关键资产的风险和价值,并通过对这些关键资产的实时监控,以及对资产所产生的事件进行风险分析和处理,从而维护网络中各种资产的安全性和网络整体安全性。

  ★ 在规范统一的平台上有机整合各种安全产品及技术,建立完善的安全预警、响应、处理、恢复及防护机制,使网络中所部署的各类安全系统能够有效互动和统一协调地工作,最大化发挥安全系统的效能。

  ★ 将技术因素与管理因素同时结合到企业的安全管理中,深入保护用户应用。

  ★ 实时了解自身安全状况和安全动态,及时发出预警信息。

  ★ 安全事件发生后,确诊网络故障的原因或感染源/攻击源。

  ★ 不断积累和丰富专家库、知识库,协助安全管理员去监控,分析,解决问题。

  ★ 最终的目标是最大程度的减少发生网络安全事故、减少由于网络安全事故造成的损失或者避免发生网络安全事故。

  符合政策要求的需求

  国信办于2003年颁布的中办[2003]27号文件(《国家信息化领导小组关于加强信息安全保障工作的意见》):

  四、建设和完善信息安全监控体系


分享到: 更多

热榜阅读TOP

本周TOP10

ARP欺骗防护实现方式介绍

ARP欺骗防护实现方式介绍

从现在的网络连接通畅de方式来看,ARP欺骗分为二种,一种是对路由器ARP表de欺骗;另一种是对内网PCde网关...