某省烟草信息安全全面规划方案

某省烟草信息安全全面规划方案内容摘要：

改、删除等），记录文件操作时的屏幕，限制使用移动存储设备；  防止滥用公司电脑：限制与工作无关的应用程序的使用，禁止浏览与工作无关的网站；定时记录电脑屏幕操作，直观察看员工的电脑操作记录；  客观评估员工工作：详细记录员工使用的应用程序，详细记录员工浏览的网页，员工使用电脑情况图表分析；  协助企业管理：完善丰富的 报表功能，自动生成、发送邮件报告，远程控制等；  限制信息扩散：自动划分内部安全域，限制合法主机和非法主机之间的相互访问，防止敏感信息流入非法区域；  可扩展的解决方案：充分利用现有的计算机设备，并且可以随时从单个工作站方便的扩充到网络环境，受监控的工作站的多少也可以随时按需调整。 这种系统的特性减少了硬件和网络提升后所带来的软件成本上升的压力。 补丁分发管理子系统  具有完全的国内自主知识产权：补丁分发管理系统是国内自主开发的网络安全产品，具有全部的源代码，拥有完全自主的国内知识产权。 获得了多项国家认证证书。  产 品自带丰富全面的补丁库：产品自带丰富的补丁库，包括了目前主流的操作系统与应用程序漏洞补丁，为用户节省了搜寻并下载补丁的繁重工作。 补丁库采用增量升级，每周升级三到五次，补丁库中所有补丁都经过严格地测试与签名，确保补丁库的安全性与来源可靠性。  基于漏洞扫描的有效分发：不加分析 地随意分发补丁，不仅浪费网络资源，还会干扰客户端的正常应用。 补丁分发管理系统可以导入目前主流漏洞扫描产品的扫描结果，并结合主机端漏洞扫描的结果，进行有针对性的有效分发。 不仅发现漏洞，而且修补漏洞。  支持自定义补丁 /脚本：大多数补丁管理产品仅 仅基于源厂商所发 布的补丁库，对于系统配置不当等原因所导致的安全漏洞无能为力。 补丁系统不仅包括厂商所发布的补丁，也包括针对漏洞的修补脚本程序和用户自定义的补丁，修补能力更加 全面。  全面的安全资产管理： 补丁系统可以管理受控网络节点、非受控网络节点，可以自由分组、灵活调配。 客户端的资产信息包括硬件信息、软件信息、自定义信息等，而且补丁下发前结合软、硬件资产的情况做深入的有效性判断，做到分发的补丁与客户端资产的有效协调。  丰富的任务管理方式： 3 种时间模式， 7 种新建任务模式、 4 种分发模式、任意节点、任意文件的子任务管 理。 安全接入管理子系统  投资低廉：不要求复杂昂贵的交换机，不需要另外增加认证服务器和隔离网关，就可以实现网络接入的控制。  网络适应力强，控制效果有效可靠：可以很好地适应 DHCP、 PC 防火墙、 NAT等复杂场景，配置部署简单。  管理方便：可以自动生成各种白名单并手工更改，快速生成安全接入的管理策略，管理员甚至不需要手工设置，就可以在桌面安全管理系统客户端的基础上实现安全接入控制。  网络负载小：由于不需要传递复杂的证书和控制协议，基于 ARP 的干扰措施只需要很小的网络负荷就能实现安全接入的控制。  扩展能力强：可以 和防火墙、隔离网关等设施实现连动，从而实现更灵活、更有效的安全域划分控制和上网行为控制。  先进的架构：采用分布式部署，支持多 VLAN 内多控制点的设置，反应迅速，满足系统伸缩性和实时性的要求。 移动介质管理子系统  丰富的访问授权模型：支持 “拒绝访问（ NoAccess） ”、 “只读（ ReadOnly） ”、 “只写（ WriteOnly） ”、 “读写完全访问（ ReadWrite） ”等方式以适应多种运用场景。 比如通过 “只读（ ReadOnly） ”、 “只写（ WriteOnly） ”的配合可以解决外网资料向内网的 “摆渡 ”的难题。  特有的介质管理功能：可以详细规定 PC 上允许使用的存贮设备实例列表；也可以规定特定移动存储设备允许使用的 PC 列表，限制在非授权 PC 上的使用。  细致灵活的策略模型：支持在单台计算机上不同用户拥有不同的移动存储授权。  特有的 “文件审计 ”技术：可以很好地防止改名欺骗 “renamespoofing”的问题。 比如，防止将 Word 文档改名伪装成 MP3 文件躲避审计。  简单的基础设施要求：可以适应但不要求 Active Directory（微软的活动目录服务）等复杂 Windows 基础设施就可以使用，适合普及推广的需要。  随遇 而安的适应力：可以很好地适应 DHCP、 PC 防火墙、 NAT 等复杂场景，网络层配置简单，且底层 SSL 机制支持系统透过 Inter 部署。  顽强的抗攻击力：系统客户端采取多种技术增加生存能力并应付多种手段的攻击，以适应内部管理的需要。  实用方便：系统支持操作员不离开其控制台把客户端 “推 ”向远程 PC 机的特性，方便大规模部署。 系统还支持多个操作员。  先进的架构：采用分布式 P2P 技术架构，满足系统伸缩性和实时性的要求。 网络资产管理子系统  提高资产控制力：使用统一的数据库来建立系统信息的单一数据源，自动发现企业计算机 资产信息、它们的配置情况和在网络中的位置。  查询决策：强大的查询工具使您能快速的分析和了解企业的 IT 环境，从而使您能在软件、硬件有更新或升级需求时作出明智的决定。  丰富报表：丰富的商务报表能够更容易的显示协同任务的进展，证明 IT 标准的符合度以及计划您未来的扩充计划  提高效率：效率意味着自动完成日常任务，并且对人力及 IT 资源产生最小的影 响。 在最少的时间、努力和花费下做更多的事。  分级权限：可以给资产管理的职员只定义库存跟踪和分析功能，给安全加固的人员只定义补丁分发的功能，给 IT 管理人员定义对全部功能访问权限但 只能在他使用办公室的计算机的时候等，实现多种安全等级的控制。 产品规格 产品型号 终端与内网安全管理系统 产品形态 软件 产品功能 桌面安全管理 桌面安全管理 桌面审计管理 客户机屏幕监控功能 主机防火墙 流量控制 补丁分发管理 补丁分发 补丁管理 软件分发 任务管理 安全接入管理 接入控制 接入管理 非法外联监控 非法外联管理 移动介质管理 存储设备管理 外设管理 安全配置管理 网络资产管理 资产统计 资产变 更处理 自定义信息管理 安全性 系统安全性 服务器与客户机之间的通信经过必要的加密措施 有管理员帐号管理功能 控制台支持分级、分组、分权限管理 服务器与客户机的认证防止未获授权使用 电子邮件内容加密 备份数据加密 数据安全性 提供自动备份功能 支持多种备份装置 (如磁带机、 CDRW、 DVDRW、网络驱动器 ) 系统性能 数据库性能 高性能的后台数据库 网络性能 高性能的数据压缩和数据传输，降低数据大小及传输时间 快速客户机并发轮询 客户机网络流量 控制 管理功能 客户端程序功能 客户端程序兼容 WINDOWS 系列操作系统 客户端程序卸载必须通过控制台 客户端程序具有反安装保护功能 处理机制 采用高性能的后台数据库 高性能的数据压缩和数据传输，减低数据的大小及数据传输的时间 具有快速的客户机并发轮询机制 客户机网络流量控制 安装方式 单独安装 域安装 WEB 安装 远程推送 内部邮件发送客户端下载连接 配置功能 用户转换 修改密码 计算机管理 描述管理 用户及权限管 理 查询历史 选项设置数据清除周期 升级序列号 客户端自动升级 产品部署 本方案建议采用集中部署终端与内网安全管理系统的方式：  全网部署一台终端与内网服务器，负责全网各终端计算机的信息收集与策略下发，实现对终端计算机的管理，并在服务器上配置补丁系统，将补丁文件的存贮、发放和管理集中在服务顺进行。  网内部署管理控制台，运行管理中心。 负责对各终端计算机进行查看，并进行策略制定、下发  终端计算机上安装客户端程序。 负责向服务器上报资产、行为、补丁等信息，同时从服务器接收策略，并在本在执行。  部署客户端可以采用登录 WEB 页面下载安装和电子邮件分发客户端相结合的方法。 这种方式的优势在于部署简单，实现容易。 系统部署示意图如下： 4 安全域的重新划分 按照《烟草行业信息安全体系建设指南》的要求，将烟草行业电子政务系统、烟草行业电子商务系统等不同用途的系统划分在不同安全域；将信息系统用户功能区域与信息系统管理功能区域相划分在不同安全域，将应用服务（如门户网站、应用系统操作界面）与数据存储服务（如中间件服务器、数据库服务器）划分在不同安全域。 因 此将内网服务器群区域划分 为核心数据库服务器区、应用服务器区及管理服务器区。 通过防火墙 对跨越安全域边界的访问进行有效控制。 安全域重新划分后的拓扑图规划如图 41 所示。 图 41 安全域重新划分的规划拓扑图 安全域重新划分后，需要增加部署 2 套千兆防火墙系统、 1 套千兆入侵检测系统及对应的两台交换机系统。 5 网络流量分析与响应系统规划方案 某省 烟草网络 流量分析与响应系统的需求 某省 烟草省公司及各地市分公司已经统 一由省公司对 Intet 出口，与 互联网 进行 访问 ，并采用 VPN 方式通过互联网与下属部分单位进行通讯。 同时 某省 烟草广域网骨干路由器汇聚 着 下属地市分公司 等单位 的 通讯。 这将面临来自 Intet 及下属单位的 安全威胁。 如：下属单位网络路由循环将可 能导致 某省 烟草广域 网络瘫痪；内部人员在浏览互联网和收发邮件时，可能面临来自互联网的攻击和蠕虫在网络内的泛滥，从而造成网络流量异常的情况。 部署防火墙和入侵检测这些安全设备不能有效的检测和处理异常流量和攻击，并且都不能识别新型及其变种 DoS 攻击和蠕虫，因而不能及时发现新 型攻击，异常流量的增多导致网络质量进一步恶化，另一方面对于在网内传播的异常流量和攻击也不能快速准确定位。 网络 流量分析与响应系统能够用于网络出口流量的监控检测和分析，通过对出口骨干网络流量信息或系统信息的收集，采用多种方法进行分析、检测，实时监控、检测骨干网络中 DoS/DDoS 攻击、蠕虫病毒、垃圾邮件及其他网络异常事件，提取异常特征，并启动报警和响应系统进行过滤、阻断和防御。 因此对于 某省 省烟草省公司 需要 部署网络 流量分析与响应系统。 网络 流量分析与响应系统的部署与作用 网络 流量分析与响应系统采用旁路的部署方 案， 通过连接到 到网络中，收集 所有出口路 由器的 Netflow 数据。 如图 51 所示。 图 51 网络流量分析与响 应系统部署拓扑图 部署 网络 流量分析与响应系统的作用： 网络 流量实时分析 实时检测因大量数据包的泛滥式攻击造成的网络流量异常，包括网络中的DoS/DDoS 攻击、蠕虫病毒、大量的垃圾邮件等异常流量。 利用建立的流量基线和流量阀值，当前流量超过阈值或基线时，系统会产生相应的告警信息。 管理员还可以通过系统图形化的详细的主机流量、应用流量、会话流 量等排名，了解网络流量的问题点。 同时系统获取潜在异常流量产生的源、目的通信的原始数据包，以进行深度的攻击检测判断异常流量是垃圾邮件、拒绝服务攻击、病毒等何种成因。 流量趋势预警 实时监控、分析网络的通信流量情况，及时提供关于流量变化趋势的报表，显示网络运行状况。 通过设置预警的阈值或基线，当流量超过阈值时及时报警并通知管理员。 用户可以根据自身的网络情况及其关注的主要内容，设置相应的监控参数，包括可以指定监控的 IP 地址，端口、数据包的传输速率等信息，并可以设置组合条件。 系统内建数据库，可以进行长期监控， 方便管理员了解网络的流量模型，建立流量基线数据，为深度的安全检测提供数据基础，并为网络的优化提供依据。 攻击检测 采用数据流智能重组，以数据流为对象，通过特征检测、协议分析相结合的检测方法，根据强大的攻击特征库，检测各种攻击。 并提供攻击报告和建议措施，包括各类攻击的详细内容和可采取的安全措施。 系统支持自定义攻击事件，可以对从网络层到应用层的各协议字段设定检测特征。 用户还可以基于每个规则制定不同的响应措施。 通信行为分析 采用应用层内容检测、协议解码分析、行为分析等多种检测技术，实现对网络通信行为的 检测分析。 提供攻击报告和建议措施，包括各类攻击的详细内容和可采取的安全措施。 1) 协议解码分析：通过对数据包的捕获和协议解码分析，实现对通信行为的深度检测。 通过深度解码分析，可以检测异常协议，从而检测隐秘式攻击； 2) 内容检测：针对网络应用协议，如 HTTP、 FTP、 SMTP、 POP IMAP、 DNS、Rlogin、 Rsh、 MSN、 Bit Torrent、 eDonkey 等，进行通信过程和内容的分析，便于了解攻击过程、监控网络资源的滥用、发现攻击； 攻击实时响应 对于检测到的异常流量，将会产生相应级别的告警信息及 建议措施，以多种形式进行记录和通知管理员，包括实时报警、 Sys。