(完整版)网络安全加固最新解决方案
网络系统安全加固方案
北京*****有限公司
2018年3月
1项目介绍
1.1项目背景
随着对外网信息化的发展,业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。
为了有效防范和化解风险,保证对外网信息系统平稳运行和业务持续开展,须对对外网现有的网络升级,并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。
同时随着全球化和网络化,全球信息化建设的加快对我国的影响越来越大。
由于利益的驱使,针对信息系统的安全威胁越来越多,必需加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。
为提升对外网整体信息安全管理水平和抗风险能力,我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。
通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理,降低运营风险,建立高效、统一、运转协调的管理体制的重要因素。
1.2项目目标
满足对外网对网络系统等基础设施的需求,降低基础设施对对外网信息化发展的制约,顺利完成业务系统、网络系统与信息安全系统的整合,促进对外网信息化可持续发展。
本次改造工作的主要内容:通过网络系统改造及安全加固,满足对外网日常办公需要,保障重要网络及业务系统的安全运行。
1.3参考标准
本方案重点参考的政策和标准包括:
《中华人民共和国政府信息公开条例》(中华人民共和国国务院令第492号)
《中华人民共和国计算机信息网络国际联网管理暂行规定》
•《国务院办公厅关于做好中央政府门户网站内容保障工作的意见》(国办发(2005)
31号)
•《信息技术信息系统安全等级保护实施指南》
•《信息技术信息系统安全等级保护基本要求》
•《信息技术信息系统安全等级保护方案设计规范》
•BS7799/ISO17799《信息安全管理实践准则》
1.4方案设计原则
本方案在设计中将严格遵循以下原则:
需求、风险、代价平衡分析的原则
对任一网络,绝对安全难以达到,也不一定是必要的。
对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略;
综合性、整体性原则
应运用系统工程的观点、方法,分析网络的安全及具体措施。
安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。
计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。
不同的安全措施其代价、效果对不同网络并不完全相同。
计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构;
动态保护原则
网络安全是整体的、动态的。
网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。
安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。
网络安全系统的动态性是指,安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器),原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全。
所以,建设的安全防护系统不是一劳永逸的事情;一致性原则一致性原则主要是指网络安全问题应当与具体的安全措施保持同步,并且在网络安全建设中所采取的各类安全措施应当执行统一的安全策略,各个策略之间能够相互互补,并针对具体的问题,从不同的侧面执行一致性的策略,避免出现策略自身的矛盾和失误;
强制性原则
安全措施的策略应当统一下发,强制执行,应避免各个环节的安全措施各自为政,从而也保隙了安全策略的一致性,保障各个环节的安全措施能够相互互补,真正的为系统提供有效的保护;
易操作性原则
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
1.5网络系统现状
对外网共计约120名办公人员。
办公网络通过一台二层交换机接入亦庄机房核心交换机,到机房的链路介质为两条光纤。
网络系统现状拓扑
目前,对外网现有四台二层交换机需要更新升级。
同时办公场所没有无线网络覆盖,且无内网安全防护设备。
2网络系统升级改造方案
2.1网络系统建设要求
网络系统建设要求如下:
•升级替换二层交换机。
•采用集中控管的组网方式,集中控制管理所有的AP。
•AP采用PoE供电的方式。
•为了满足大容量并且以备扩容和发展,室内无线AP要求必须支持两个射频模块,可以工作在2.4GHZ和5.8GHZ频段;
•无线系统能够对用户角色制定不同的策略,满足授权管理(访问控制、流量控制)功
能;
•充分考虑W1AN的安全性,采用先进的W1AN安全技术保障。
•无线局域网系统要能方便和灵活地调整与扩充。
•为核心网络交换及安全设备提供UPS电源保证。
2.2网络系统升级改造方案
网络系统升级改造方案拓扑图如下:
9出出999as
财务行政其他部门无线AP
2.2.1有线网络升级
替换四台现有二层交换机。
2.2.2新建无线网络
2.2.2.1AP布放设计
根据现场实际勘测、信号测试情况,无线网络采取蜂窝式部署方式。
AP安装在走廊/墙壁上。
办公区域接入8个AP供办公人员日常业务使用。
2.2.2.2无线组网方式
结合用户无线网络需求情况,结合产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照AP+控制器的结构化无线网络解决方案进行设计。
1.1.1.1道规划
使用2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于
25MHz。
在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。
W1AN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
2.2.2.4多业务区分设计
在设计上采用无线局域网多SS1D技术,设置多业务区分方式。
例如一个SS1D可给内部员工所用,而另一个可给外来的客户专用。
2.2.2.5无线安全性设计
在无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
(1)多SSID:可以根据需要,如用户的种类、应用的种类设置多个SSID,不同的SSID 采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。
另外SSID还可以选择隐藏的方式,该SS1D不广播,用户无法看到,防止非法用户的接入。
SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
(2)加密:无线系统支持国际标准的多种数据加密方式,保护数据不被窃取,用户可根据实际需要自行选择。
(3)多重接入认证方式:
厂家无线系统支持多重认证方式结合:
开放式、WPA-PSK、WPA2-PSK(个人)、开放式+Porta1认证、WPA-PSK∕WPA2-PSK+Porta1认证、WPA(企业)、WPA2(企业)、WPA/WPA2(企业);
2.2.2.6网络与用户管理
在无线系统中可以设定用户的角色,同时,可根据角色进行访问的管控与流量的管理。
比如,办公人员及领导具有较高的网络权限,可以访问更多的网络资源,或者对某些特
殊的来宾开放某些VIP账号,分配给其较高权限的权限。
分配较高的带宽供使用。
而访客分配有限的权限,限制带宽和禁止访问内网,同时也可进行时间的限制。
2.3网络设备部署及用途
本次网络系统升级改造中各设备部署及用途如下:
序号设备名称数量单位用途
1接入交换机1台与机房三层交换机对接
2终端接入交换机4分提供终端PC的接入网络
3POE交换机1Zs为AP设备供电
4AC控制器1分用于控制管理AP
5室内AP8Zx为用户提供无线数据接入
2.4核心交换及安全设备UPS电源保证
通过核心信息机房布放核心交换机,核心网络安全设备,无线网控制器等,为保证这些设备在停电状态下的正常工作,我们配置了5K的UPS电源,为核心网络设备提供延迟1小时的不间断电源保证。
2.5网络系统升级改造方案总结
通过本次网络系统升级改造,网络的基础设施可以满足未来5年扩展需求。
根据业务需求优化网络系统,保证网络系统可用性、工程实施的简便快捷。
满足网络系统等基础设施的需求,降低基础设施对信息化发展的制约,顺利完成重要业务系统的部署及信息系统的整合,促进对外网信息化可持续发展。
