XXXX商场
信息安全建设项目方案书
北京中辰华创科技有限公司
目录
第一:项目建设背景
XXXX商场是一家大型集团化公司,目前在yy进行规模化运营,是集品质购物、高端餐饮、休闲娱乐、体验观光于一体的一站式购物广场,将成为市民休闲购物娱乐的理想去处。随着业务的拓展和规模的扩大,商场信息化程度不断深入,随着而来的是需要进行严格安全防护和管理,当前XXXX商场面临着新建和深化网络安全防护的任务,主要面临问题如下:
1、互联网出口安全威胁:商场内部员工办公安全保密管理以及外部顾客快捷接入安全管理,需要对统一的互联网出口进行安全访问控制以及外部入侵进行防护;
2、内部数据传输威胁:商场内部员工办公文件敏感信息安全防护,防止通过互联网通道如即时通讯、邮件等方式将内部商业信息传送;
3、移动存储介质威胁:商场内部员工移动存储介质如U盘、移动硬盘等使用缺乏管理,导致病毒交叉感染,数据传输缺乏监控;
4、病毒流窜安全威胁:商场病毒统一安全防护,在对终端计算机进行病毒防护、补丁修复,同时在网关出口进行统一的病毒过滤;
5、外来终端PC带来威胁:内部办公网经常有外来计算机随意接入内部网络,存在数据非法访问(非授权访问)和外来攻击威胁(如病毒、木马等);
6、IT运维管理威胁:商场有自有中心机房,核心交换机和各种应用服务器,同时,随着安全设备的部署,如何保证这些设备实时正常运行,需要建立集中的IT运维管理系统,对网络设备、服务器、安全设备进行统一的管理和运维监控。
第二:建设标准(等级保护二级)
本次安全系统建设,在满足商场办公环境的业务和安全基础上,按照公安机关等级保护要求进行网络性能、安全防护实施。计算机等级保护是针对基础网络、信息系统的安全运行和使用提出保护要求,在XXXX商场网络中,通过界定的使用人群、涵盖的应用系统,并保障商场信息管理外的正常办公所需,在此基础上购置相关资源,新建安全网络,新建或者升级主要应用系统,使其在物理环境、网络、系统、应用、数据、终端和系统集成六方面均达到对应等级要求;完善该网络相关安全保障体系和日常管理办法。
通过等级保护要求的建设实施,进一步提高商场基础网络和信息系统等级保护符合性要求,将整个网络系统的可用状况和安全状况提升到一个较高的水平,并尽可能地消除或降低系统的安全风险。等级保护二级技术建设要求
第三:XXXX商场安全防护需求
网络VLAN划分
通过使用VLAN,可以把物理意义上的一个网络划分成很多个逻辑意义上的子网,使网络的边界更加清晰。VLAN的出现使交换机承担网络的分段工作,而不再使用路由器来完成。各VLAN间是逻辑隔离的,相同VLAN内的主机间数据传输不会被其他VLAN上的主机得到,因此减少了整个大网络内部各种相互攻击行为发生的可能性,增强了网络的安全性。另外各VLAN分属不同的广播域,限制了各种广播报文的流转,能够减少网络流量。
重要边界及出口安全防护
网络出口边界保护的有效控制措施包括防火墙、鉴别/访问控制等。有效的监督措施包括基于网络的入侵防护系统(IPS)、漏洞扫描、网关防病毒等。这些机制可以单独使用或结合使用,可以对边界内的各类系统提供保护。
防火墙是一种部署在不同安全域之间的高级访问控制设备,能根据制定好的安全策略控制不同安全域之间的访问行为。网络中使用防火墙将用户域和服务器域隔离开来,并制定相应的访问规则。服务器域分为安全管理域和应用服务域。安全管理域包括一些应用无关的服务器,如IDS、防火墙控制台等;应用服务域包括各应用服务器、数据库服务器等。
上网行为审计管理
在享受互联网带来的巨大便利的时候,由其带来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出,并由此产生法律、名誉、经济等各方面问题。特别是《互联网安全保护技术措施规定》(公安部第82号令)明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。这对于互联网管理,上网行为规范,提高网络利用率等方面提出了迫切的需要。
终端管理及移动存储介质管理
在日常的网络维护中,来自终端的安全威胁是最大的。终端任何不当甚至恶意的操作都可能对网络安全造成影响,因此必须对于终端的行为做出一定的控制。控制采用C/S方式进行,在服务器端发布安全策略,终端安装安全代理软件限制用户行为。可行的策略包括禁止网络文件共享,关闭主机的U口、COM口、串口,禁止终端安装软件,监控终端的拨号外联行为,监控终端的启动服务、运行进程等。终端的安全代理软件隐藏运行,当发现有不符合安全策略的行为发生时,按照规则做出反应。
重要服务器和用户终端的并口、串口、USB接口等数据接口以及软驱光驱等设备应该采取安全控制措施,防止被非授权使用。
网络出口访问速度
商场出口带宽目前仅仅有2个10M接入互联网,商场日常承载人数已到1000人/日,带宽已捉襟见肘,已无法满足顾客的正常应用体验,尤其是HTTP 下载体验、WEB视频观看体验、P2P下载体验,仅仅依靠出口扩容也不能完全解决用户体验问题
IT运维集中管理
机房中心拥有各种不同厂商、不同类型的设备,支撑着用户日常工作。面对如此庞杂的异构网络环境,维护网络设备、服务器数量众多、品牌众多,维护工作量太大;无法及时发现网络故障和系统故障原因;管理员无法整体掌控网络和系统运行情况;管理员无法掌控未来网络及系统运行的趋势;无法对维护人员的工作内容进行有效记录和考核;没有形成符合国际规范的运维管理制度体系等等。而这些问题将随着各类信息系统的建设进一步扩大并会产生新的维护管理问题,严重威胁着系统网络的稳健运行。
如何实现对全网进行全面、统一、准确、及时的管理,保障系统网络以及依系统网络运行的各应用系统的稳定、安全运行成为用户需首要解决的问题。
第四:XXXX商场安全防护方案设计
针对XXXX商场现有网络结构现状,以及未来业务扩展需求,建立基本的商场网络安全防护和运维体系。基础网络信息安全防护体系包括:互联网出口安全网关(防火墙、IPS入侵防护、AV防病毒网关)、互联网上网行为管理、内网终端安全及移动存储介质管理、IT运维网络管理系统。通过上述四个系统的建设,能够基本满足XXXX商场现有安全管理需求。
XXXX商场网络安全防护体系示意图
互联网出口安全网关
1800S-H-V2多核安全网关是推出的的新一代多功能安全网关产品,它主要是面中小企业、网吧、酒店、政府机关等网络使用环境,1800S-H-V2安全网关采用了领先的64位多核MIPS体系架构和高速交换总线技术,这让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、IPS、VPN、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的提升,1800S-H-V2安全网关支持的如防ARP 欺骗、上网行为管理、带宽管理、多PPPOE链路捆绑和用户认证等诸多丰富的功能特性,让它成为了中小型网络安全部署的首选产品。1800S-H-V2安全网关提供5个GE接口,可充分满足中小型网络对于安全设备的接口使用需求。
1.1800S-H-V2安全网关拥有先进的安全防护功能,除具有高级状态检测包过
滤技术外,还支持对应用层报文进行检测和过滤,可根据包括安全域、协议、端口、应用、用户以及时段等在内的诸多条件定制访问控制策略,1800S-H-V2的ALG功能还支持对FTP、HTTP、MS-RPC、、RTSP、SIP、RSA、SQLNetV2等应用层协议进行状态监控。
2.1800S-H-V2安全网关采用基于硬件加速方案的高效专业防病毒引擎,结合
会话流智能病毒扫描技术,能够对HTTP、FTP、POP3、SMTP、IMAP等应用协议进行在线实时病毒查杀,多核安全网关采用了创新性的病毒检测技术,能将接收数据和病毒扫描同步进行,并对扫描的文件大小及数量没有限制,该技术在提升防病毒吞吐量的同时也降低了延迟。
3.1800S-H-V2安全网关提供基于深度应用识别的入侵防御解决方案,能有效
防范网络中各种复杂的应用攻击,1800S-H-V2安全网关支持超过3000种以上的攻击检测和防御,并以强大的多核处理器为后盾,能为用户提供强劲精准的入侵防御功能。
4.1800S-H-V2安全网关采用的多核MIPS处理器提供了强大的VPN加解密
性能,在功能上支持包括IPSec、GRE、SSL、L2TP等多种VPN业务,可提供包括星型VPN、动态VPN、速连VPN等诸多VPN组网技术及组网方案,1800S-H-V2安全网关的SSL VPN支持用户名及USBkey双因素认证技术、单点登录技术、客户端安全完整性检查技术、主机绑定技术等,这些为客户端的远程接入提供了安全便捷的手段,此外,对于GRE的支持也为用户在VPN组网上提供了更多的选择。
5.1800S-H-V2安全网关具有丰富的2-7层应用识别能力和管控手段,可对网
络中的各种P2P、IM、网游、炒股及在线视频等众多应用进行管控,而且随着系统应用特征库的升级可识别的应用种类和数量还将不断增加;
1800S-H-V2安全网关内置了专业的URL分类过滤功能,它根据各网站提供的内容不同,将WEB站点分为40大类,其涵盖的WEB站点数量截至目前已超过2000多万,而且我们的URL分类库的种类和规模还在不断的升级更新。此外1800S-H-V2安全网关还提供网页内容过滤、邮件过滤、论坛发贴过滤等多种上网行为管理功能。
6.1800S-H-V2安全网关具有堪比专业流量整形设备的强大的流控功能,其支
持在设备各接口的上下行双方向上针对多种元素进行多级带宽控制,包括基于IP的流量整形、基于协议和应用的流量整形(支持的7层应用数量随特征库的更新不断增加)、基于认证用户的流量整形、按时间段控制流控策略的生效以及基于以上多种手段进行组合控制的流量整形。1800S-H-V2安全网关所拥有的丰富流量整形功能可为用户提供更加灵活的网络管理手段,同时也能为用户带来更加理想的网络使用体验。
7.1800S-H-V2安全网关拥有完善的路由特性,支持包括静态路由、ISP路由、
策略路由、动态路由(RIPv1&v2、OSPF、BGP);基于对多等价路由特性的支持还可以实现多种算法的多链路负载均衡功能;此外,基于二三四层的链路备份技术也为网络的稳定运行提供了有效的保障。
8.拥有完善的NAT处理机制,完美支持当前各种源或目的地址转换功能。领
先的NAT地址池端口复用技术,可使得单个IP最高可支持100万条NAT 会话处理请求。在IPv4地址快要枯竭的今天,该技术可最大程度上为用户节约宝贵的IP地址资源。
9.1800S-H-V2安全网关独有DCSD防ARP欺骗机制,通过为网络中的客户
端下发DCSD防ARP欺骗客户端可彻底杜绝网络中的ARP欺骗问题发生,同时支持自动IP-MAC绑定,防ARP攻击,反向ARP查询、DHCP Snooping 等多种ARP安全防护手段。
互联网上网行为管理系统
?高可靠性设计,硬件网络接口具备ByPass功能,系统故障时自动物理导通;采用CF卡/DOM盘+硬盘的双系统设计,降低宕机风险;软件
支持双击热备,支持系统产生故障时自动从主机切换到备机?精准的协议分析,采用DPI和DFI相结合的技术
?系统软件、应用协议库以及URL分类库实时在线更新
?分角色管理设置,可对运维层和管理层授予不同管理权限
?层进式管理设计,网络管理清晰明了
●强大的URL分类库
DCBI-NETLOG集成了默认的URL分类库,总的域名达到近千万条,这些分类库是由公司组织专门的团队进行人工分类的,符合中国国情,分类结果较为准确。同时支持用户手动添加URL分类。
●本土化应用及协议分类库
DCBI-Netlog立足国内进行本土化开发,对网络主流应用和协议准确识别,为国内用户提供最及时、最准确的协议分类库。
IM应用识别:支持QQ不同版本、MSN、ICQ、网易POPO、飞信、淘宝旺旺、Skype、GoogleTalk、SinaUC、SinaUT、AIM、IRC、TeamSpeak 等聊天软件的应用识别
文件传输:支持识别QQ文件传输、MSN文件传输文件、飞信文件传输、YaHoo文件传输、ICQ文件传输、FTP文件传输、TFTP文件传输、HTTP Download等文件传输应用
邮件识别:支持SMTP、POP3、IMAP邮件应用识别
流媒体识别:支持RTSP、RTMP、MMS、QuickTime、WMPlayer、RealPlayer 等流媒体应用
Web-Mail识别:支持Sina、Sohu、163、21cn、263、Hotmail、eyou、Tom、126、Sogou、Hexun、QQ、139、Foxmail、Yeah、Gmail、天涯等WEB邮箱应用
股票软件识别:支持大智慧、钱龙、指南针、龙卷风、通达信、证券之星、湘财证券、大福星、分析家、文华财经、广发证券、国泰君安、股票之星、富远行情、行情眼、大有期货等股票应用及行情软件
网络游戏识别:支持魔兽世界、武林外传、梦幻西游、征途、梦幻诛仙、完
美世界、劲舞团、船体、地下城与勇士、永恒之塔、穿越火线、QQ游戏、街头篮球等60余种网络游戏的应用识别
P2P应用识别:支持对BT、BitTorrent、BitComet、eDonkey、Emule、Vagaa、PPGou、WinMX、DirectConnect、SoulSeek、Xunlei、Ares、RaySource、Winny、Share、Maze、QQ旋风、PP点点通等30余种P2P 及加密P2P应用
地下浏览识别:能够识别使用地下浏览软件逃避普通监管的网络行为,能够识别火凤凰、世界通、洋葱头、花园、自由门、无界、Socks4/5、TGate 等代理软件。
网络视频识别:能够识别PPStream、PPLive、QQLive、PPFilem、UUSee、STTV、MySee、TVKoo、TTLivw、MOP、BBSee、Sopcast、TVUPlayer、QVOD、PPGou、YouTube、新浪TV、酷6、优酷、迅雷看看、土豆视频、风行在线、网易视频、六间房、沸点、皮皮影视、日月、搜狐TV等多种网络视频应用
数据库应用识别:能够识别Oracke、Informix、SQL Server、DB2、Sybase、FireBird、Access、BerkleyDB、MySQL、Postgres SQL等数据库应用远程连接识别:能够识别SSH、Telnet、Rlogin、Rsh、X11、RDP、VNC、PCAnywhere、远程桌面等远程连接应用
●管理策略灵活
可基于IP地址、时间段、用户、部门、协议等实施监控。
●灵活多样的审计、报警功能
可根据URL、关键字等进行自动审计,并可通过网页、邮件方式进行报警,
也可以对web访问、邮件、下载等网络行为进行阻断。
●完善的报表输出
报表输出是日志审计系统的重要功能,DCBI-NETLOG支持全局流量、流量-时间、时间趋势、上网TOP-N以及自定义的流量报表功能。
●在线信息管理
DCBI-NETLOG支持对在线用户的实时监控,比如聊天用户监控,并对实时网络使用情况进行监控。
●硬件参数
终端安全及移动存储介质管理
IT管理人员可以通过系统分析模块实时查看“系统事件信息”、“软硬件资产信息(CPU、内存、硬盘、操作系统和防病毒软件)”、“设备注册信息(注册设备、未注册设备和卸载设备的比例关系)”和“注册设备在线信息”。
用户可以对“系统事件信息”进行多种时间段的调取,包括:日、周、月、季度和自定义时间范围。
全网视图管理
DeskMaster除了提供了“全局配置”、“系统配置”、“注册管理”和“终端管理”之外,还通过自身访问控制和帐户控制功能加强了服务器端的安全防护,另外,系统自身强大的日志审计功能也是DeskMaster的亮点之一,如下图所示:
IT资产管理
DeskMaster的资产管理功能实现了对应用中的资产和备用资产的统一管理,以及资产使用过程中的资产维护,真正实现了无论是使用中的资产还是备用资产“履历”的记录和分析。
资产管理包含:注册和非注册设备资产信息,使用中资产的管理和备用资产的管理;
1.注册设备和非注册设备资产信息:
(1)注册设备基本信息:当前注册设备运行的操作系统类型和版本、内
存和硬盘大小空间信息、个人注册信息、IP和MAC等
(2)注册设备软件信息:当前注册设备运行的应用软件类型和版本等详
细资产信息