[计算机硬件及网络]系统安全解决方案

[计算机硬件及网络]系统安全解决方案内容摘要：

、风险、代价平衡分析的原则 对任何信息系统，绝对安全难以达到，也不一定是必要的。 对一个信息系统要进行实际的研究 (包括任务、性能、结构、可靠性、可维护性等 )，并对系统面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。 综合性、整体性原则 运用系统工程的观点、方法，分析系统的安全及具体措施。 安全措施主要包括：行政法律手段、各种管理制度 (人员审查、工作流程、维护保障制度等 )以及专业技术措施 (访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等 )。 一个较好的安全措施往往是多种方法适当综合的应用结果。 计算机信息系统的各个环节，包括个人 (使用、维护、管理 )、设备 (含设施 )、软件 (含应用系统 )、数据等，在网信息安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。 不同的安全措施其代价、效果对不同系统并不完全相同。 计算机信息系统安全应遵循整体安全性原则，根据确定的安全策略制定出合理的安全体系结构。 一致性原则 一致性原则主要是指信息系统安全问题应与整个系统的工作周期 (或生命周期 )同时存在，制定的安全体系结构必须与系统的安全需求相一致。 安全的系统设计 (包括初步或详细设计 )及实施计划、验证、验收、运行等，都要有安全的内容及措施。 实际上，在系统建设的开始就 考虑系统安全对策，比在系统建设好后再考虑安全措施，不但容易，且花费也少得多。 易操作性原则 安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。 适应性原则 安全措施必须能随着系统性能及安全需求的变化而变化，要容易适应、容易修改和升级。 多重保护原则 任何安全措施都不是绝对安全的，都可能被攻破。 但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。 设计依据 本设计方案参考了以下标准文件： 1. GB/T 222392020《信息安全技术 信息系统安全等级保护基本要求》 2. GB/T 209842020《 信息安全技术 信息安全风险评估规范 》 3. GB/T 183362020《 信息技术 安全技术 信息技术 安全性评估准则 》 4. GB/T 197162020《信息技术 信息安全管理实用规则》 5. IATF 《信息技术保障框架》 6. GB/T 202692020《 信息安全技术 信息系统安全管理要求 》 7. GB/T 202702020《 信息安全技术 网络基础安全技术要 》 8. GB/T 202712020《 信息安全技术 信息系统通用安全技术要求 》 9. GB/T 202722020《 信息安全技术 操作系统 安全技术要求 》 10. GB/T 202732020《 信息安全技术 数据库管理系统 安全技术要求 》 11. GB/T 202822020《 信息安全技术 信息系统 安全 工程管理 要求 》 5 安全系统实现 安全网络系统 系统安全设计网络拓扑如下： 防病毒 针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套 防病毒软件，防止病毒入侵主机并扩散到全网，实现全网的病毒安全防护。 并且由于新病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较 短。 防病毒建立独立的防病毒服务器。 网络防病毒软件主要考虑以下几个方面： 1) 病毒查杀能力：也就是对实际流行病毒的查杀能力。 查杀病毒的种数要包括可能染上的所有病毒。 2) 对新病毒的反应能力：就是及时、有效地查杀新出现的病毒，这是一个防病毒软件好坏的重要方面。 3) 病毒实时监测能力：目前的病毒传播途径都有一定的实时性，用户无法人为地了解可能感染的时间。 因此，防病毒软件必须要具有实 时监测能力。 4) 快速、方便的升级能力：就是防病毒软件要能及时、方便地进行病毒代码和病毒查杀引擎的更新，尽可能地减少人力的介入。 5) 集中管理、远程安装：就是管理员可以在一台机器上对全网的机器进行统一安装，和针对性的设置，而且，安装时能够自动区分服务器与客户端，并安装相应的软件，大大减轻管理员“奔波”于每台机器进行安装、设置的繁重工作。 6) 对现有资源的占用情况：防病毒程序进行实时监控都或多或少地要占用部分系统资源，这就不可避免地要带来系统性能的降低。 7) 系统兼容性：防病毒软件有一部分常驻程序，如果跟其它软件不兼容将会带 来更大的问题。 8) 管理方便、日志记录：防病毒系统要有生成病毒监控报告等辅助管理功能，以方便管理员随时了解各台计算机病毒感染的情况，并借此制定或调整防病毒策略；也要有相应的权限管理功能，如只能是对出现且只能是管理员从系统整体角度出发对各台计算机进行设置，如果各员工随意修改自己使用的计算机上防毒软件参数，可能会造成一些意想不到的漏洞，使病毒趁虚而入。 因此，还必须具有完整的日志记录，以便安全审计。 防病毒产品主要功能要求： 1) 网络病毒防护产品必须包括中心控管系统及客户端、服务器端、邮件 /群件防毒软件几个部份。 2) 管理员 可以通过防病毒系统执行针对该病毒的防范策略，如：在客户端 /服务器端强制关闭病毒对应开放的未知端口及漏洞等等，并统一部署分发到客户端 /服务器端 /网关 /群件；通过部署防范策略实现免疫功能。 3) 防病毒厂商的防病毒系统具备病毒爆发防御功能。 当新病毒爆发时，通过病毒爆发防护策略 OPP，在病毒代码未完成之前，通过爆发防护策略自动对企业网络中的各节点，客户端、服务端对病毒传播端口、共享、攻击的文件等进行关闭保护，切断病毒传播途径，预防最新病毒的攻击。 4) 可自动下载，提供对常驻内存型病毒、木马程序、间谍软件等有害代码的清除功能 ，并能有效恢复被感染的系统文件及注册。 5) 运用先进技术防范未知病毒、 Inter恶意代码（ Jave /Active X） ，可对未知病毒进行隔离。 6) 当网络中有异常流量产生时，可通知管理员，可对病毒数据包进行丢弃并隔离发包计算机，拒绝此计算机联入企业核心网络 7) 对被感染网络病毒的计算机可实行远程自动和本地清除，并对注册表和系统文件进行自动修复 8) 发现病毒后，有多种处理方法，例如自动清除、删除或隔离。 9) 病毒处理方式必须支持智能式的处理方式。 根据不同的病毒类型，采取不同的处理策略。 10)对无法清除病毒的感染文件进行隔离，并能够得到相应的防病毒解决方案 11)防病毒厂商提供的防病毒产品必须要支持网络病毒识别码。 防病毒软件必须提供两种病毒识别码（传统的病毒识别码、网络病毒识别码）。 12)防病毒软件具备远程病毒集中清除修复功能。 可对网络中感染病毒的计算机进行远程自动清除修复，提供的病毒清除修复工具必须支持集中升级，病毒清除修复必须支持所有病毒的修复程序，管理员通过 WEB管理控制台对企业内部的所有客户端执行自动修复功能。 13)具有全网 集中监控 和 管理 的 功能 ， 并要求实时监控 ； 14)是通过 TCPIP的方式实现，必须支持远 程浏览器（ WEB）管理方式 ； 15)支持病毒源头查询机制，通过日志查找病毒源头 ； 16)支持目录和文件防修改、删除、写入保护功能。 17)可 跨广域网 进行 管理 ； 18)事件驱动机制，对广域网带宽占用很小 ； 19)基于 TCP/IP协议的通讯方式。 20)可以做到多级管理，而且有不同的权限设置。 21)防病毒策略的统一配置管理，能根据不同的防病毒需求分别制定和实施不同的防病毒策略 ； 22)具有分组（域）管理客户端防病毒策略和调度相关任务执行的能力。 23)具有单一节点集中报警和日志功能，能生成统计 分析 报告。 24)提供占用网络通讯流量最小的增量病毒定义码、引擎的更新升级方 式 ； 25)提供多种方式的更新升级方法 ； 26)能方便实现全 网 病毒定义码、引擎的统一更新升级 ； 27)提供客户端定时自动更新、升级功能 ； 28)提供手工的方式进行升级部署 ； 29)更新、升级后避免重启主机或关闭相关应用进程。 30)病毒定义码更新周期小于一周，当病毒爆发流行或其它紧急情况发生时，病毒定义码一定要及时更新，病毒定义码更新升级周期小于 24小时。 31)对更新、升级中可能出现的错误具有可靠的预防和应急恢复措施。 防火墙 防火墙是网络安全最基本、最经济、最有效的手段之一 ,可以实现内部、外部网或不同信任域网络之间的隔离，达到有效的控制对网络访 问的作用。 本方案中防火墙采用双机冗余设计。 防火墙作为一个核心的关键安全设备，对性能、功能有较高的要求，将选用先进的防火墙，具体的要求如下： 1) 千兆防火墙，要求配置至少 4 个千兆多模光纤接口和 1 个10/100M 自适应电口； 2) 标准机架式硬件结构； 3) 网络吞吐率大于 990Mbps； 4) 防火墙并发连接数，大于 120 万； 5) 防火墙网络延迟小于 100μ s； 6) 采用专用硬件平台和专用安全操作系统或者嵌入式安全操作系统； 7) 防火墙自身安全性强，支持 NSNMP 网管协议，能通过第三方网管软件对防火墙进行监测； 8) 防火墙具有高可用性，支持双 机热备份 ,主从防火墙切换时已建立连接不中断； 9) 防火墙必须支持 TRUNK 工作模式； 10)隔离内外网络的通信，对进出的网络访问进行安全控制，严格控制外部用户非法进入内部专用网络，限制内部用户出访公网或互联网的站点和资源； 11)强大的日志记录和管理功能； 12)支持透明模式 /路由模式 /混合模式等接入方式； 13)具备双向 NAT 功能（静态、动态），支持内部网络主机和服务器采用私有地址，对外界隐藏内部网络拓扑； 14)有源、目地址路由功能，适应有多个网络出口的环境； 15)具有透明应用代理功能，支持 FTP、 HTTP、 TELNET、 PING、SSH、 FTP— DATA、 SMTP、 WINS、 TACACS、 DNS、 TFTP、 POP RTELNET、SQLSERV、 NNTP、 IMAP、 SNMP、 NETBIOS、 DNS、 IPSEC— ISAKMP、RLOGIN、 DHCP、 MSSQL（ S、 M、 R）、 RADIUS164 SQLNET— 152SQLNET— 152 、 MSN、 MYSQL、 、 GRE 等协议命令级的控制，实现对文件级的过滤； 16)支持众多网络通信协议和应用协议，如 DHCP 、 VLAN 、 ADSL 、IPX 、 RIP 、 ISL 、 、 Spanning tree 、 DEC 、 NETBEUI 、IPSEC 、 PPTP 、 AppleTalk 、 、 BOOTP 等，保证用户所需要的各种网络应用，包括：扩展 IP 宽带接入、 IP 电话、视频会议、 VOD 点播等，特别要求对视频有良好的支持； 17)具备针对对象配置安全策略功能，安全策略、安全对象分组功能； 18)具备审计能力，可提供对违规通信、安。