IT外包规划方案

上传人:仙*** 文档编号:122960528 上传时间:2022-07-21 格式:DOC 页数:77 大小:3.12MB
收藏 版权申诉 举报 下载
IT外包规划方案_第1页
第1页 / 共77页
IT外包规划方案_第2页
第2页 / 共77页
IT外包规划方案_第3页
第3页 / 共77页
资源描述:

《IT外包规划方案》由会员分享,可在线阅读,更多相关《IT外包规划方案(77页珍藏版)》请在装配图网上搜索。

1、阿尔西IT外包规划方案上海宝信软件股份有限公司2008年7月28日目 录第一章、阿尔西调研61.需求分析62.整体外包规划方案6第二章、内网安全解决方案81.内网安全管理概述81.1什么是内网安全管理81.2内网安全管理的意义与重要性81.3宝信内网安全管理方案特点简述92.阿尔西需求分析102.1阿尔西项目背景102.2内网安全运行管理风险分析152.3阿尔西内网潜在风险评估163.阿尔西内网安全管理解决方案183.1内网安全策略183.2内网安全域的划分193.3宝信内网安全产品部署与建议203.4内网安全管理体系架构223.5终端接入控制253.6终端健康体检263.7终端运行维护273

2、.8审计与报表283.9配置与维护284.成功案例284.1典型用户列表294.2行业典型案例30第三章、网络优化方案设计331.外网网络及业务应用系统现状332.系统设计原则333.网络与网络安全系统方案设计343.1网络与网络安全系统总体架构343.2网络系统设计343.3网络运维管理软件36第四章、网络安全规划设计381.安全体系需求分析381.1安全防护现状381.2安全体系需求382.安全系统设计412.1防火墙系统412.2入侵防护系统设计412.3邮件防病毒、防垃圾网关系统设计422.4主页防篡改442.5链路控制子系统462.6上网行为管理系统48第五章、关键数据备份规划设计5

3、21.关键应用数据的备份机制分析521.1备份系统建设要求521.2数据备份系统建设目标531.3目前的备份需求532.关键应用数据的备份部署配置533.关键应用数据规划中的备份方式554.关键应用数据备份策略554.1对文件系统备份的专用策略564.2每日对各服务器的备份策略565.关键应用数据的备份产品选型566.关键应用数据的备份产品简介57第六章、计算机系统运维规划设计601.日常维护601.1日常维护流程图601.2主机系统601.3网络系统601.4安全系统611.5应用系统611.6桌面系统612.专业维护612.1日常维护流程图612.2定期预防612.3适应性维护622.4故

4、障维护622.5改善性维护62第七章、员工IT素质培训规划设计641.应知应会能力培训641.1微机系统日常安全操作641.2一般故障分类及判断解决方法661.3常见的微机故障案例及解决方法691.4定制培训项目722.运维管理能力培训72第八章、宝信公司介绍731概述732主营业务733宝信公司荣誉734宝信公司资质735网络巡警eCop资质75第九章、产品设备价格清单76第一章、 阿尔西调研1.需求分析宝信已经拜访过阿尔西两次,第一次拜访时了解到了阿尔西内网桌面安全管理方面的实际需求;宝信的内网安全解决方案得到阿尔西梁总的认可,第二次拜访阿尔西时,了解到阿尔西需要IT外包的远期规划方案,通

5、过这两次的拜访和了解,宝信有这样的实力,可以提供给阿尔西一个当前和远期需求的规划方案。宝信的规划方案中包括内网安全解决方案、网络优化规划方案、网络安全规划方案、关键数据备份规划方案、计算机系统运维规划方案、员工IT素质培训规划方案,共五大项的整体外包方案。2.整体外包规划方案宝信根据阿尔西整体外包项目规划方案,共分为五期完成:第一期、内网安全解决方案(今年8-9月份实施)从信息安全的发展趋势来看,内部网络安全的重要性日益凸显,已成为信息安全体系中最重要的一环。根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,因此,内部网络的运行存

6、在着很大的一个安全管理盲区。第二期、网络优化规划方案&网络安全规划方案根据阿尔西外网业务和功能的后续不断扩充,建议划分为五大区域: 用户接入区、安全管理区、对内服务区、对外服务区、Internet连接区,各区域之间通过防火墙隔离。从安全防护的角度来看,当前的安全系统建设已经取得了一定的成效,为阿尔西信息系统的正常运行提供了较好的支撑,在本期项目中将从整体安全保障的角度进行规划和设计,使系统更加符合国家相关政策要求。第三期、关键数据备份规划方案阿尔西系统中的数据目前主要集中存储于基于单机的磁盘阵列中,包括了所有的业务数据。这些数据通常是以数据库和文件的形式保存在磁盘阵列中。对于这些数据而言,对它

7、们进行科学合理的日常数据备份以及在条件具备的情况下分期是现数据级的以及应用级的远程容灾保护是实现业务应用信息安全的重要保障和满足灾难发生后及时恢复日常工作的基础,因此该系统的数据备份及荣在今后将会逐步成为整个信息系统中的最主要的组成部分之一,因此我们需要充分全面地考虑系统的数据备份容灾保护问题。第四期、计算机系统运维规划方案 计算机系统运维是计算机管理的核心和重点部分,也是内容最多、最繁杂的部分,该阶段主要用于IT部门内部日常运营管理和专业维护。第五期、员工IT素质培训规划方案 对非IT工作员工做应知应会的计算机使用常识培训,对IT工作员工和高级管理人员可进行计算机运维管理能力的专门培训,包括

8、主机系统、网络系统、安全系统、应用系统、桌面系统全方面。第二章、 内网安全解决方案1.内网安全管理概述1.1什么是内网安全管理国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将内网安全管理理解为:通过采用各种技术和管理措施,使内部网络系统正常运行,从而确保网络数据的可用性、完整性和保密性,建立一个可信、可控的内部安全网络。可信可控的内部网络架构应该具有如下特征: 网络中的行为和行为中的结果总是可以预知与可控的; 网内的系统符合指定的安全策略,相对于安全策略是可信的、安全

9、的; 可信可控网络架构的推出,可以有效地解决用户所面临的如下问题,如设备接入过程是否可信;设备的安全策略的执行过程是否可信;安全制度的执行过程是否可信;系统使用过程中操作人员的行为是否可信等。符合“可信可控”理念的内网安全管理体系可以实现用户网络安全资源的有效整合、管理与监管,实现用户网络的可信扩展以及完善的信息安全保护;解决用户的现实需求,达到有效提升用户网络安全防御能力的目的。1.2内网安全管理的意义与重要性长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对网络安全的认识被广泛误导。认为全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统,这种看法对用户

10、实施有效的信息安全保护带来了不良影响。信息安全的建设是一个系统工程,它要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要兼顾用户环境不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。从信息安全的发展趋势来看,内部网络安全的重要性日益凸显,已成为信息安全体系中最重要的一环。根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,因此,内部网络的运行存在着很大的一个安全管理盲区。以下是几个真实案例: 西安某研究所核心技术资料失窃案,损失3000万; 国务院领导到某国营单位视察,员工在内部论坛发布不合适信息造成不良影响; 云南

11、某公司服务器IP地址被非法盗用,导致公司业务中断四小时,损失巨大; 苏州某化工公司技术泄密案,损失1亿元; Google内部文件不慎泄露股价再度受挫下滑。由此可见内网安全隐患是真正使组织面临实际的威胁。若是忽略了其内网安全防范措施,将损失许多宝贵的核心数据、专利技术信息,多年累计的技术资产和研发投入成为他人的嫁衣,甚至可能因此失去竞争力。组织还可能丧失的是其声誉,以及员工、合作伙伴与客户的信赖。在网际网络更加普及化之际,组织将面临以下的重要课题:1、核心技术专利数据:如何保护这些核心机密不受到内部或外部的恶意威胁,例如人员跳槽或是违规泄露、拷贝等等;2、业务流程:如何保护组织正常业务活动不致因

12、为内网网络与资源受到不当或非法使用而遭受损害; 4、效能损失:如何确保员工的网络行为是最大服务于组织的发展;5、声誉损害:如何保障不致因内网防护不当、传输效率过低等因素而造成组织的信用及声誉的损害。大多数组织重视提高网络的边界安全,但是其网络的核心内网还是非常脆弱的。实践证明,很多成功防范网络边界安全的技术对保护组织内网却没有效用。1.3宝信内网安全管理方案特点简述本方案系对阿尔西的整体内网安全管理体系提出建议,采用基于业界最领先的内网安全管理产品宝信软件的网络巡警eCop和解决方案。1.3.1宝信内网安全管理方案的技术优势1、功能全面性、领先性:宝信网络巡警eCop从内网安全的各个环节入手,

13、提供了全面、完善的功能模块,特别是在接入安全管理、补丁管理等方面的技术优势,为用户提供完整的内网安全解决方案,保障信息安全体系的建设。2、软硬件一体化设计:eCop采用先进的软硬件一体化的功能控制器设计理念,并针对产品功能进行优化设计,实现了硬件平台与软件系统的无缝整合,保证整个系统安全性与稳定性。3、功能模块化:eCop采用功能模块化的设计理念,使得其产品功能可以灵活组合,有效的节省用户投资,升级也可以做到新功能的“即插即用”。4、兼容性: eCop是一款旁路设备,使用时将其接入网络即可管理,不会影响用户现有网络及应用环境,与其它信息安全产品也可以很好的协同工作。5、适应性: eCop可以适

14、应不同规模和复杂度的网络。对于中小型的局域网,仅使用一台或几台eCop即可进行管理;而对于5000个节点以上的大型的网络,可以使用分级管理,集中汇总的协同工作模式实现对全网的管理。1.3.2宝信内网安全管理方案的核心优势1、软件成熟度5级认证(简称CMM5):宝信软件是国内为数不多通过CMM5级认证的软件企业,拥有成熟的软件开发过程管理和工程能力。2、管理体系:宝信软件拥有一套完整的信息安全体系建设流程,方案注重安全策略的引入,通过管理策略与技术的有机结合搭建有效内网安全架构。3、产品成熟度:宝信公司于2002年5月份就推出了内网安全管理产品eCop。从软件的生命周期来看,一款软件产品通常需要

15、两年以上的成长才能逐渐稳定、成熟。eCop经过4年以上的研发、实施,已经形成了完整、成熟的内网安全解决方案。4、应用案例:eCop在国内各行业均有高质量的成功案例,并且通过对这些案例的跟踪和调查,已经总结出成熟的行业解决方案与宝贵的实施经验。5、售后服务与支持:宝信公司通过四年多的努力,已经建立了三级eCop技术支持架构和完善的售后服务流程。并在全国各分机构、渠道代理商中培养了一大批eCop支持工程师,可以对客户的各种服务需求及时做出高质量的响应。2.阿尔西需求分析2.1阿尔西项目背景2.1.1阿尔西网络结构整个网络的拓扑如下图示:总部大楼网络属于阿尔西内网的核心所在。大楼内有线网络共划分约6

16、个网段和无线网络。各楼层接入交换机通过电缆直接接入核心交换机。目前共有150台左右的办公电脑。2.1.2阿尔西内网安全管理项目需求2.1.2.1项目范围项目范围包括VLAN4、VLAN5、VLAN6,共三个网段。2.1.2.2项目设计目标阿尔西内部网的安全建设总体目标是:在不影响阿尔西当前业务的前提下,根据计算机信息系统安全保护等级划分准则进行安全建设,从实际需求出发,实现网络信息严格保密的需要,同时系统应是一个具有灵活性,开放性,便于扩充升级的综合系统。阿尔西内网安全管理项目最终需要达到以下效果:1)终端资产管理:包括硬件信息和软件信息的快速全面收集,并在此基础上记录变更信息。2)外设与端口

17、管理:管理人员可在控制器端设定启用或禁用各计算机的外围设备,包括软驱、光驱、U盘等设备。3)文件记录功能:包括在打印机、服务器、U盘上文件存储的记录功能。4)远程管理功能:包括屏幕监控和远程控制功能。以上1、2、4点NSM5.2都可以满足,由于新版本设计时的产品理念和技术发展方向上有所改变,取消了上面的第3项文件记录功能模块。但如果必须用到这个功能,建议用户采购宝信的NSM3.0版本。2.1.3 NSM5.2版本新增和更新升级功能2.1.3.1 NSM5.2版本的新增功能如下:软件的扫描代理(简称SA,Scan Agent,又称IPA):NSM3.0版本的IPA是部署在宝信核心处理器(CM)后

18、的硬件设备,当管理网段超过3个时,进行扩充网段使用,当然会相应增加硬件成本。NSM5.2版本软件的扫描代理(SA)可以降低其硬件成本。客户端非法隔离:在更新管理监控和防病毒软件监控模块,支持对非法终端的隔离。在更新管理监控模块和防病毒软件监控模块,管理员可以针对组织机构配置对应的更新服务器IP地址和防病毒软件的服务器IP地址,当终端隔离后,就只能访问配置的IP地址(与核心处理器(CM)永远保持通讯状态)。防病毒软件监控模块服务器地址配置更新管理监控模块服务器地址配置控制代理(MA)模块没有部署SA的网段,可以由MA负责扫描,但是由于SA是利用ARP包方式进行扫描,MA是利用TCP进行扫描,两者

19、存在区别,导致用MA扫描只能发现在线节点的IP地址,而不能获取到MAC地址,所以,用MA扫描方式就无法进行接入控制了,只能进行健康体检。数据优化对CM上各种数据(报表文件,定期截屏文件,数据库归档文件,数据库中各种审计、报警和日志信息)进行定期的清理或者备份,防止由于磁盘空间满造成问题,同时提高数据库查询的速度和数据的安全性。用户可以配置磁盘报警阈值,在磁盘使用率到达阈值后会启动报警告知管理员;支持FTP外传备份文件机制;支持对历史数据的查询。分布式部署支持数据中心(DC)开发了eCop数据中心,可以管理CM和数据中心,从而可以实现CM和DC的多级部署和管理。2.1.3.2 NSM5.2版本的

20、更新升级功能如下:更新管理优化弱化了和WSUSSERVER的关系,原来是等待WSUSSERVER汇报各个客户端更新安装情况,现在客户端主动调用WSUSSERVER的接口,及时了解更新安装情况,并根据管理员的配置进行合法性判断。支持对一般更新的时间策略监控(在更新审批后一段时间内安装即可)和重要更新的截止时间测试监控(一定要在某个时间点之前安装好配置的更新)。防病毒监控优化改进了原有防病毒软件特征项需管理员频繁维护的不足;新增了客户端防病毒软件安装情况查看功能和基于防病毒软件信息的综合查询功能;同时在设计上允许客户端多个防病毒软件的可选择性安装,拓展了防病毒软件检测使用的灵活性;支持对不同操作系

21、统配置不同的特征值,以满足不同防病毒软件对操作系统支持的变化。按照接入控制和健康体检调整系统围绕接入控制和健康体检两条主线进行重新规划,使得重点更新突出。特别提醒的是原有底帐管理现在改成了接入控制中的接入准则配置。手工添加交换机有些交换机在不能自动扫描出来情况下,可以通过手工添加后识别。SA自动升级本模块可以按照不同的需求对每个控制代理配置对不同SA是否开启升级功能,以保证SA可以在版本更新时自动完成更新。同时可以针对急需升级的SA进行立即升级。硬件变更监控中去掉了鼠标和键盘的监控考虑到实现复杂,而实际上用户需求很小,所以从这个版本去掉了此功能。jakaMonitor监控程序增加jakaMon

22、itor监控程序,在tomcat异常后会自动重启,提高系统可用性。增加公司情况描述和系统版本介绍在系统管理的系统运行维护菜单下,增加了系统信息页面,来描述有关系统的基本信息。系统管理-系统运行维护-系统信息 页面2.2内网安全运行管理风险分析基于上述对内网现状的分析,评估阿尔西目前内网管理是否存在以下不足:2.2.1安全策略是否拥有一套面向网络的建设者、管理者和使用者的适合组织的安全管理策略和管理规范,为内网安全提供管理性的指导和支持。2.2.2员工安全意识风险组织内员工是否意识到信息安全的威胁和利害关系,并在日常工作过程中支持组织的安全策略。2.2.3信息资源的访问控制风险是否拥有完善的访问

23、控制策略以防止对信息系统的未授权访问;防止未授权用户的访问;保护网络服务;防止未授权的计算机访问;防止对信息系统内信息的未授权访问;探测未经授权的活动;确保移动办公和远程工作的安全。2.2.4资产管理风险是否拥有完整的资产管理策略以确保信息处理设备正确、安全的运行;将系统故障的风险降到最低;保护软件和信息的完整性;维护信息处理和通信服务的完整性和可用性;防止资产损坏、业务活动的中断。2.3阿尔西内网潜在风险评估2.3.1是否拥有完善的节点接入管理策略节点接入安全常见问题主要表现为以下两方面:1、IP地址盗用:恶意的盗用可能基于不可告人的目的,如:逃避服务器的记录、让服务器或某些重要主机无法上网

24、;而非恶意的改动也会造成同样的后果。2、外来设备的非法接入:将非法计算机接入网络,盗窃网上的资源,甚至对主机发动攻击。出现概率:低影响程度:高处理建议:通过浏览器方式实现远程异地管理整个内网的IP地址资源,监视IP地址的使用情况。并有相应的技术手段来实现对IP地址盗用、非法节点接入等违规行为的自动发现、阻断、报警和日志记录策略。2.3.2是否有适用的资产信息管理手段目前,管理人员对所管辖网络的资源占用和用户情况难以准确掌握,对实际接入的计算机数量难以进行精确的统计,对面临的危害难以做出动态的评估和有效的防范。出现概率:中影响程度:高处理建议:阿尔西的内网安全管理系统应该帮助管理人员建立起台帐信

25、息,对所有接入计算机的用户信息进行登记注册。在发生安全事件时能够以最快速度定位到具体的用户,对于未进行登记注册的微机,能自动将其隔离在系统之外;同时,内网安全管理系统也应该能够自动搜索各微机的软硬件信息,并能够对这些信息进行统计和分析,生成相应报表;另外,内网安全管理系统还应该与安全策略紧密结合,自动收集与安全相关的一些系统信息,包括:操作系统版本、操作系统补丁、软硬件变动等信息,同时针对这些收集的信息进行统计和分析,给出安全状况报告。2.3.3对外围设备的使用能否有效管理计算机的外围设备为各种信息在不同的计算机设备之间交流提供了一个方便的途径,通过它们可以将各种信息复制到不同的计算机中,也包

26、括病毒、木马等。与此同时,内网中的主机上保存着一些涉密的内部信息,这些信息不能够随意地被传播。出现概率:低影响程度:高处理建议:对外围设备的使用进行控制,不允许随意地使用外围设备拷贝机密数据。内网安全管理系统应该实现对各客户机外围设备的集中监视和控制,通过在管理端进行设置,可禁止和启用各客户机的外围设备,有效地保护计算机上的信息。2.3.4缺少对客户端进程的监控措施阿尔西内部存在违规使用软件的行为。员工在计算机上安装使用游戏软件、盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦;这些行为不仅降低员工的工作效率,且对内网构成重大的安全威胁。出现概率:低影

27、响程度:高处理建议:内网安全管理系统应能自动搜集各计算机所有的软件信息,形成内网计算机的软件资产报表,从而使管理员全面了解各计算机安装软件的信息,及时发现安全隐患并予以解决。同时,管理员可以在管理端配置软件运行预案,指定内网计算机必须运行的软件和禁止运行的软件,从而对计算机的软件运行情况进行检查,对未运行必须软件的情况发出报警,终止已运行的禁用软件的进程。2.3.5是否拥有完整的补丁管理策略操作系统补丁管理始终都是有必要的,是个不容忽视的重要任务。如果不实施全面的补丁策略,则后果可能会很严重:关键任务生产系统会失败,安全性敏感系统会受到恶意利用,从而导致时间和相关业务收入的损失。组织应该采取以

28、下步骤:正确地配置系统,使用最新的软件,以及安装建议的有效性和安全补丁。出现概率:低影响程度:高处理建议:阿尔西内网安全管理系统应具有补丁管理功能应该帮助组织对产品环境中的内部操作系统软件进行部署和维护控制,帮助组织保持运作效率和有效性,克服安全漏洞并保持生产环境的稳定性。通过成熟稳定的补丁管理程序在网络环境中评估并保持系统软件的完整性,也是成功实施信息安全程序的首要关键步骤。2.3.6缺少有效的终端远程管理措施随着网络规模的日益扩大,工程人员对网内客户端进行管理和维护工作时,如果全部对现场机器直接操作,需要花费大量的时间和精力。这就需要一种安全可靠的远程控制解决方案,它可以使管理员通过网络远

29、程进行连接、安装、配置和排除故障。出现概率:低影响程度:高处理建议:内网安全管理系统应该提供一种集中的手段来部署、监视并且管理分散的IT设备。工程师不再需要到每一台客户端所在的现场进行操作,坐在一台安装有管理器的计算机前,就可以方便、快速地完成维护、配置、重启机器的工作。2.3.7是否拥有完整的身份认证与授权策略身份认证服务是帮助系统识别用户的身份,决定并控制他们在网络上能干什么工作,即所谓的授权管理。组织内多套信息系统的多帐号身份认证和权限管理将会带来管理上的重复和不一致性,也可能导致管理混乱,带来安全漏洞。出现概率:低影响程度:高处理建议:内网安全管理系统应该实现多信息系统的统一用户身份认

30、证和授权管理,为实现阿尔西统一门户、单点登录提供手段。3.阿尔西内网安全管理解决方案3.1内网安全策略3.1.1内网信息登记策略通过自动收集以及注册登记相结合的方式,收集全网设备信息(如终端IP/Mac地址、服务器、软硬件信息等),并按照组织机构归类。这样在发生安全事件后,可迅速确定安全事件源,采取有效措施。3.1.2内网管理责任制度本方案基于阿尔西组织结构管理,可在各管理节点分别设立专门的工作人员部门管理员,对所管理范围内的内网进行日常的维护。他们的工作职责是: 与内网安全管理中心沟通; 内网的日常维护; 接收所管理范围内的违规报警信息; 处理产生的安全事件,确定事件源; 定期的安全评估;

31、提交可疑的事件样本、日志。 同时在阿尔西内网安全管理中心设立一名全网管理员,他的工作职责是: 收集各部门管理员提交的事件样本、日志及产品使用过程中遇到的问题,提交给宝信软件或集成商,作为三方沟通的窗口; 制定并推行内网管理策略; 实时了解全公司范围内网防护状况,并作出安全评估,对出现管理漏洞的管理节点提出相应的改进建议; 了解最新的产品信息,发布给各部门管理员。设立独立的审计帐号,记录全网管理员与部门管理员的操作日志,因此建议在阿尔西管理部门设立一名审计员,他的工作职责是: 审计全网管理员操作日志; 审计部门管理员操作日志;3.1.3定期安全事件评估部门管理员将每周发生的安全事件汇总并进行详细

32、评估,查找安全事件原因,并将此报告提交至该部门管理人员,督促该人员增强自身管理。全网管理员收集各部门管理员提交的安全评估报告,进行总结,并提交给领导。3.2内网安全域的划分 安全域是指根据一定的分类方法,将一定数量的主机划分在同一个范围,使这些主机从逻辑上是在同一个安全区域。对网络内部的主机进行安全域的划分,主要考虑。3.2.1安全管理的需要管理者需要对网络内部大量的、分散的主机进行有效的管理,就需要进行安全域的划分。按照一定的分类方法,管理者可以将“大量的、分散的”主机安置在不同的安全域,每个安全域都只是包括了可管理数量的主机,使得每个安全域的内部安全管理都变得切实可行!而不是使安全管理变得

33、复杂而不具可操作性,也不会使安全管理变成了整个内网安全体系的瓶颈。3.2.2安全策略的需要安全域的划分为安全策略的制定提供了基础,管理者可以根据不同安全域的不同安全需求,并结合相关管理制度,为每个安全域都制定相应的安全策略,使得网络的内部安全管理可以有层次的,同时也是全面的安全管理。内网安全域的划分通常有两种方法: 按照主机安全级别。根据主机可能接触信息的安全级别来进行划分; 按照机构内的行政范围。根据机构内部的行政范围来进行划分,如:财务科(安全域)、生产科(安全域)等。3.3宝信内网安全产品部署与建议3.3.1eCop部署拓扑如上图示,宝信网络巡警eCop主要由如下部分组成:eCop中央控

34、制器、控制代理、扫描代理、eCop客户端、更新管理监控端、DHCP代理、报警精灵、远程桌面管理。部署说明: eCop NSMI型共三个网口LAN1、LAN2和LAN3,三个网口全部接入到核心交换机上,分别管理内网中的VLAN4、VLAN5和VLAN6,共3个网段。当这3个网段中有违反策略的客户端时,可以将其放到虚拟隔离区中,客户端只能访问指定的服务器,升级到符合接入策略后才能允许访问局域网内相关权限的资源。宝信软件eCop产品是基于B/S结构进行管理,任意一台网内计算机都可作为管理控制台,输入相应的用户名和帐号即可进入管理界面。中央控制器(简称CM,Central Manager)中央控制器是

35、eCop产品体系的管理核心,采用B/S模式、软硬件一体化设计,实现对全网数据的收集统计和分析,是数据存储和提供用户交互接口的设备,通过升级包升级。根据启用的管理功能和管理的网络规模、终端数量,有5个级别的设备可供选择,针对多个中央控制器,还能够架构一个上层控制中心,汇总多个中央控制器的数据。控制代理(简称MA,Manage Agent)控制代理完成对扫描结果的逻辑处理,以及获取中央控制器的指令,对管辖内的扫描代理发布控制指令和配置信息,同时负责扫描关联的交换机,以获取交换机端口与接入设备的MAC地址对应关系,实现对交换机端口接入的控制。中央控制器内置一个控制代理。扫描代理(简称SA,Scan

36、Agent,又称IPA)接入控制功能启用需配置中央控制器、扫描代理和控制代理。每个扫描代理管理一个物理网段(主动扫描模式一个网段不超过1024个节点),能够为软件形式(安装在98/NT/vista外的windows系统上),也能够是软硬件一体化的设备(内置3个扫描代理),主要取决于对安全级别和部署成本的要求。在运行过程中,硬件设备与软件部署对于控制代理是透明的,一个网段内最多安装3个代理,会按照启动顺序自动选举一个处于活动状态,其他代理处于休眠状态。中央控制器内置一个扫描代理。安全客户端(另称LsAgent)终端健康体检功能依靠安装在每个终端上的安全客户端来实现。安全客户端直接与中央控制器通过

37、https通道进行通讯。当相应客户端的配置发生变更时,中央控制器会主动通知客户端,客户端会根据中央控制器负载情况主动获取新的配置;当客户端监测到有配置的审计事件发生,会根据中央控制器负载情况,向服务器发送审计记录。更新管理监控端(另称WSUSMonitor)配合WSUS Server进行windows更新管理,需要在WSUS Server上安装监控程序WSUSMonitor。DHCP代理(另称DHCPSniffer)为支持DHCP的IP接入控制,需要在DHCP Server上安装DHCPSniffer。如果使用非windows系统的DHCP服务器,则无法安装DHCPSniffer,同样也无法启

38、用eCop系统在相应网络范围内的动态IP地址管理功能。报警精灵(另称AlarmGenius)用户能够在一般的客户计算机上安装报警精灵,以获取系统发出的管理员报警信息。远程桌面管理(另称Lanseeker)如有远程桌面管理的需求,可在管理员计算机上安装Lanseeker监控端,在需被控制的计算机上安装Lanseeker客户端。3.3.2eCop部署建议 根据阿尔西内部网络潜在的威胁分析,结合宝信eCop网络巡警的特性,由点及面,全方位部署,彻底截断病毒入侵的所有途径。1、在阿尔西总部中心机房部署一台eCop5 CMI型中央控制器,支持最多250个客户端。该中心配置可以解决内网安全中的终端接入控制

39、、终端健康体检、终端运行维护、审计报表等所有模块的策略配置和数据汇总功能。2、将中央控制器接在核心交换机上,用eCop5 CMI内置的控制代理和扫描代理来管理3个VLAN网段。内网分配IP地址如果是采用动态分配的方式,同时还需要在动态分配IP地址服务器上安装DHCPSniffer监控端,从而完成IP地址管理总体配置和部署实施问题。3、在内网各计算机上安装客户端程序,来保证客户端管理策略的实现。客户端程序采用了多线程保护等多种手段,保证驻留程序不被卸载和停用。从而完成整体的内网安全解决方案的部署。4、在总部中心架设一台监控管理服务器,包括远程桌面监控、更新管理监控、实时报警监控。3.4内网安全管

40、理体系架构基于上述安全策略及对该领域技术发展前景、产品的性价比等综合因素,宝信软件建议阿尔西采用网络巡警eCop搭建内网安全管理架构:3.4.1eCop简要说明上图中各子系统的功能如下:1、终端接入控制是用户构建“可信”内网环境的稳固基石。管理和控制接入内网的各类网络设备,包括计算机、服务器、交换机等具有独立IP和网络接口的设备,设定接入策略,不符合策略的终端不能入网。该功能综合了eCop系列产品的3种技术:基于ARP原理的IP地址阻断与保护、基于交换机端口控制的管理功能,基于客户端自检的网络访问控制功能,高效的扫描引擎快速并准确的扫描到节点,形成灵活多样的网络设备接入控制功能;2、终端健康体

41、检是用户构建“可控”内网环境的中流砥柱。监控安装Microsoft Windows操作系统(除Win98/Vista)的计算机、服务器,能够监控windows补丁和防病毒软件安装运行情况,做好终端安全防护;监控计算机外设使用、外联拨号、USB设备使用,并增强了USB设备文件加密功能,防止机密信息泄露;监控计算机软硬件安装和变更、进程运行情况,提高内网资源使用效率。发现不符合“健康”标准的终端,则可以采取警告、隔离、阻断等措施,直到恢复要求才许入网;3、终端运行维护通过系统的自动搜集和更新功能,并辅助以手工添加的形式,逐渐形成按照组织机构的IT资产信息,包括计算机、网络节点信息等。若与管理制度相

42、结合,提高资产利用率,使管理更规范快捷。提供终端截屏功能、远程桌面监控功能,减轻管理员远程维护的工作困难,是实现“可管”内网环境的有力辅助;4、审计中心完全用户自定义的审计功能,按用户需要记录用户最关心IT资产的使用、变化和违规信息,为用户合理规范地使用IT资源以及事件故障的追溯提供有力依据,数据有统一的图表展示和分析,并且可以支持长期保存;5、系统管理完成对安全管理及监控系统自身的管理和配置功能,该子系统划分为运行环境配置、用户机构管理、管理权限维护和系统运行维护四个模块。3.4.2eCop优势特点1、系统运行稳定,可靠性高专业软硬一体的监控设备,采用专门定制的并经严格测试硬件设备,保证了内

43、网安全管理系统可以长期、稳定运行。旁路接入设计,当产品发生故障时适时断开网络,不会影响到企业主营业务的开展。客户端目前支持Windows主流操作系统,运行稳定,占用系统资源很低。2、准确并高效的网络扫描机制通过TCP扫描、交换机扫描、ARP扫描3种引擎以及安装的安全客户端对节点进行接入检查和健康体检,高效准确的组合扫描机制是确保整体系统可靠运行的保障,同时又是有效的网络接入控制手段。3、丰富并可灵活组合的终端健康体检功能为计算机维护和管理人员提供了有效的技术手段。健康体检功能涵盖了日常的终端运维和终端安全工作,从计算机使用的各个方面规范和监督用户,为组织的管理制度实施提供了有效的保障。用户可根

44、据需要灵活组合各模块。4、多层次管理和策略控制可以按照不同的组织机构层级或者个人设定不同管理控制规则。根据组织机构和功能模块的两维授权体系,可以灵活应对不同组织内的授权管理要求。5、自定义的审计中心和全面的报表功能完全由用户自定义,避免大量无用数据,大大简化管理员的日常工作。用户可以定义报表模板和任务。6、高度适应环境变化,不需对网络进行特殊配置市场上多数接入控制系统利用交换机VLAN分隔方式,或通过交换机的802.1X协议扩展主机名、MAC地址绑定的方式实现接入控制,这些方案配置管理不够灵活方便,对网络设备硬件要求高,对管理维护人员技术水平有较高要求,有些系统需要对现有网络环境进行较复杂的配

45、置甚至是改造。而eCop支持各类网络环境,采用旁路接入的方式,不需要用户对网络环境做特殊修改。交换机扫描和端口管理支持当前大多数主流的交换机产品。7、部署应用灵活分布式架构,适应超大网络规模的部署和应用。B/S系统结构。整个系统的管理和设置全部基于Web方式,在Web上就可以直接管理内网安全管理的运行,监控整个网络的运行状况。通过对策略模板的集中管理和应用,保障了整体策略的贯彻实施;同时模板的灵活性又保证了安全策略针对不同的应用环境可以灵活定制。8、可扩展性强可开放标准接口与外部系统联动。另外,eCop-NSM V5 产品是宝信软件股份有限公司内网安全系列之一,同系列还包括宝信智能安全网关eC

46、op-XSA等其他涉及边界安全、内部安全的产品。使用eCop内网安全系列产品,可以很方便的实现与eCop-XSA的联动,进而形成功能扩展。例如,可以通过eCop-XSA作为VPN的接入网关,同时通过与eCop-NSM V5联动形成VPN接入体检与健康体检系统。3.5终端接入控制网络接入控制已经日益得到企业用户的重视,因为只有确保内网接入的设备可信并受控,才能有效的保障内网安全。而接入设备如何才是可信,能够控制到何种程度,结合多年内网安全产品研发和市场推广经验,eCop-NSM V5提供如下功能:3.5.1自定义的组合接入检查策略节点MAC地址是否进行过登记,是否使用了合法绑定过的IP地址,是否

47、从指定的交换机端口接入网络,是否安装并正常运行了安全客户端程序,都作为接入体检策略的备选项之一。不同的用户能够根据自己实际的网络环境和管理要求选择合适的接入策略。3.5.2灵活的接入控制手段支持主动扫描与被动侦听的管理方式,对于发现试图接入的不合法设备,能够采用IP地址保护、ARP阻断、关闭交换机端口、关闭违规计算机网络接口等方式对其进行控制,用户能够选择适合自己实际应用的方式进行控制。3.5.3自定义接入策略模板根据多年应用经验,为接入控制配置提供最大程度的灵活性,针对不同的应用类型提供了合理的参数范围和缺省值。用户可自定义接入策略模板,模板集中管理和应用,以保障组织的接入安全策略得到贯彻,

48、同时减少重复的配置工作。3.6终端健康体检 网络设备完成合法接入,只能保证接入设备初始是合法的,但是要保证在运行过程中符合组织的安全使用规范,只能依靠在运行过程中持续的进行健康体检。对于安装了安全客户端的计算机,能够采用客户端网络访问控制的方式限制其网络访问范围,形成一个逻辑隔离区,体检未通过的计算机,能够在此中间层内进行更新以满足体检策略。3.6.1安全客户端采用windows驱动层和应用层相结合的技术实现,在保证实现管理功能的同时,架构设计保证能够占用尽量少的系统资源,并且运行稳定。客户端程序作为服务在操作系统启动时自动启动,具有防恶意卸载功能。支持在线安装、卸载和离线安装、卸载,中央控制

49、器能够快速准确的检测安全客户端的运行状况。系统通过客户端完成对终端计算机的安全防护、健康体检、资产自动收集和维护。3.6.2更新管理与WSUS3.0相配合,能够在中央控制器上为每个组织机构设置适合的标准更新模板,客户端结合配置的策略进行本机更新检查,对于不满足更新策略的情况进行警告,并且提供手动和自动的方式进行更新的下载和安装。对于组织内计算机对于更新的安装情况进行统一管理,及时地发现组织内部的防御漏洞。3.6.3防病毒软件检测支持国内外当前主流的防病毒软件检查,能够及时查询防病毒软件引擎和病毒库版本,并且支持注册表方式扩展。能够针对不同的组织机构设置合适的标准防病毒软件模板,支持一个组织机构

50、内安装多种防病毒程序,支持对不同的操作系统配置不同的特征项值。3.6.4USB存储设备认证与加密针对USB存储设备这种当前最常见的移动存储设备,制定了设备认证和文件加密相结合的保护方式,只有经过本组织机构认证后的USB存储设备,才能够在装有安全客户端的本组织主机上被启用。可配置USB存储设备为加密设备,则写入该USB存储设备的文件将会自动被透明加密,只有装有安全客户端的计算机才能进行透明解密读取文件内容。U盘中的文件全部可见,加密文件打开为乱码。加密和解密目前采用的是对称算法,写入U盘,加密,从U盘读,则会解密。设置为加密U盘前原有文件对不安装客户端的计算机来说是明文,安装了客户端的计算机读取

51、时就有一次加密,因此读入为乱码。对USB存储设备有文件审计,记录文件的创建、修改和删除。3.6.5外联监控通过配置连接参考点和标准路由信息来对主机进行联网检测,以检测各种途径的非法外联事件、脱离内网的不安全操作等。3.6.6外设控制全面控制软驱、光驱、USB接口、Modem、并口、串口、1394口、红外口等常用外设接口能否使用,进而控制这些接口连接的外围存储设备、打印设备等,控制机密信息的泄漏途径。3.6.7硬件变更监控快速全面收集计算机的硬件信息,并在此基础上记录变更信息。能够定义规则以检测重要硬件的变更,以审计变更事件,并进行报警处理。硬件信息的变更直接更新资产信息。3.6.8软件监控监控

52、计算机软件安装情况,设置“必须安装”和“禁止安装”的策略,对违规安装软件的计算机进行警告、记录、报警、阻断等操作。3.6.9进程监控监控计算机进程运行情况,设置“必须运行”、“禁止运行”、“监控运行”3种策略,控制指定进程的运行状态。3.7终端运行维护终端运行维护模块是实现“可管”内网环境的有力辅助。提供资产管理、远程截屏、远程桌面监控功能,减轻管理员远程维护的工作困难。3.7.1资产管理按组织机构管理,实现设备信息的注册和审批。计算机安装了安全客户端后,可以自动搜集系统、硬件、软件信息,并自动更新其变更情况。对于资产情况可进行用户自定义的组合查询。3.7.2定时截屏功能按组织机构设定截屏参数

53、;可对任意一台安装了eCop客户端且在线正常的机器进行实时截屏;可任意选中一个或多个或一定范围的计算机进行定时截屏;可定义时间段进行定时截屏,并设置图片大小、截屏周期;可以查看客户端截屏画面,并可以通过幻灯片的方式循环播放3.7.3客户端远程卸载管理客户端卸载有页面卸载和远程卸载两种方式,通过该功能模块创建卸载许可证进行远程卸载。3.7.4远程桌面管理Lanseeker远程桌面管理LanSeeker用来在局域网中部署、监视并且管理分散的IT设备,诸如终端、服务器、和工作站,是eCop产品家族中的一款远程监控软件。Lanseeker主要功能有:屏幕监视:实时获取客户端计算机上的屏幕图像,显示在监

54、控端机器的画面上。开多个窗口能够同时监视多台计算机的画面。可以用于工程项目中实时查看现场终端的运行状况,也可以作为主管查看员工工作进度的工具。远程控制:用户通过LanSeeker创建一个虚拟的网络计算机,可以使用客户端上允许使用的各种资源,对计算机进行远程控制,与直接操作客户端计算机没有区别。3.8审计与报表安全审计中心根据用户配置的审计策略和报警策略汇总各类审计信息和报警信息,提供丰富的查询功能,方面用户进行查询和问题追踪。报表模块中内置了最常用的审计记录报表、报警信息报表和终端资产信息报表,用户可以进行实时报表浏览,或者定制报表模板,或者定义报表任务,报表任务支持日报表,周报表,月报表和定

55、时报表;报表任务生成的报表文件提供下载列表。 系统对审计信息,报警记录,报表文件和终端截屏文件大数据量数据进行管理,以免系统磁盘空间不足,导致系统不能正常运行。用户可以配置系统磁盘预警和阈值,当达到预警值后发送报警,达到阈值后,可以删除数据或者按照配置的ftp服务器,上传数据。3.9配置与维护系统配置中心完成运行环境的配置,创建用户、组织机构、群组,并可根据需求进行管理权限配置和下发。 系统维护中心完成系统升级、数据库备份、数据库清理、工具下载等功能。4.成功案例4.1典型用户列表行业客户名称政府机关中国海关(含全国各分海关)广东省进出口检验检疫局上海市嘉定区政府上海市宝山区检察院厦门市工商局

56、浙江省高级人民法院贵州安顺国税湖南省水利厅制造业宝钢集团云南红塔集团梅山钢铁集团上广电NEC液晶显示器公司第二重型机械厂广西卷烟厂金融业中国建设银行无锡商行厦门市商业银行能源/电力秦山核电站徐州发电厂泉州电业无锡西姆莱斯中石油上海销售公司四川广旺能源发展集团电信上海联通常州联通科研院所中国航空工业第618所航天部第804所航天部第805所航天部第810所航天部第802所军队广州军区司令部通讯部陆军31集团军教育北京房山区教委广东佛山三中医疗卫生中山大学附属第二医院上海海员医院广州军区武汉总医院其它成都图书馆上海动力设备公司。4.2行业典型案例4.2.1宝钢股份内网安全管理平台4.2.1.1 项

57、目建设背景宝钢股份网络采用以太网络,其中各个办公地点之间使用光纤连接。网络设备使用Cisco系列产品。宝钢股份内网截至目前划分VLAN共计75个,后期可能增至85个。其中eCop中央控制服务器与其他监控设备单独部署在一个网段之中。宝钢股份接入内部网络的计算机共有5000台左右,同属于一个网络安全范畴。IP地址采用静态指定的方式。4.2.1.2 宝钢股份内网安全管理系统的特点:1、全网部署eCop系统IP地址管理功能,解决IP地址滥用冒用和IP地址冲突的问题。2、宝钢股份各个部门安全等级大多是统一的,没有重点和非重点之分。3、宝钢股份有一个独立的信息化管理部门宝钢股份设备部,负责宝钢股份网络管理

58、的是通讯管理室,其中绝大部分的人为相关计算机专业出身,具备相关的理论水平和实践经验。4、宝钢股份网络环境运行稳定性要求比较高。同时宝信软件系统服务部和智能化工程事业部提供专业的技术支持,有一定的运行维护经验和管理水平。4.2.1.3 宝钢股份内网资源的特点:终端分散程度:二级机构众多,内网节点总数大,位置相对比较分散;问题与需求分析宝钢股份是国内规模最大的制造型企业之一,由于网络环境规模较大、节点很多,管理起来由一定难度。主要有下列需求:1、外联监控涉密网内的计算机不让访问外部计算机或者Internet;2、设备端口管理不允许用USB等设备拷贝资料,特别是计算机的通讯端口,一般需要禁用掉。3、

59、资产管理由于二级单位使用的计算机比较分散,台帐不好管理,对“基础信息”和“资产信息”的集中管理的需求强烈。4、节点接入控制对于不是该内网的计算机接入内网,希望能对该未登记注册的计算机进行快速隔离和阻断。对于内部非法修改终端计算机网络设置的计算机能进行验证,即节点验证的需求。对于大厦中裸露物理网口的保护。5、访问权限控制宝钢股份客户端数目众多,管理人员较多,需要准确分清“你是谁”“可以做什么”等权限问题。6、服务监控内网中的计算机是很多都是通过服务器来获取网络共享资源,如果服务器宕掉,或者其中运行关键服务关键进程出现问题,将影响到内网信息的可获得性,也是影响信息安全的一个重大问题。方案设计eCo

60、p中心控制服务器部署在宝钢指挥中心计算机中心机房的管理网段内。由于宝钢股份目前没有实施客户端安全管理模块,因此目前只部署了eCop中央控制服务器1台和IP地址管理代理31套。整个实施方案工作的示意图如下:4.2.1.4 方案实施与效果整个方案的实施大致分为以下阶段:1、信息中心工作人员试用eCop。信息中心的人员先在自己部门小范围内试用,积累初步经验。2、全面部署IP管理代理,IP地址管理模块正式上线阶段,完成全网接入用户的实名管理和非法阻断。 eCop的成功实施和稳定运行,规范了内网的IP地址管理,为内网规范化管理提供了技术保障,提升了网络和服务器安全管理的水平,达到如下效果:1、规范了网络

61、接入的管理程序,新增加的需要接入内网的计算机,需要到信息中心报备和批准;2、杜绝了由于一般人员私自修改IP地址造成服务器冲突、停机的现象,避免了重大经济损失;3、极大减轻了管理人员的工作量;4、充分实现“以人为本”的理念,实现信息安全工作齐抓共管。第三章、 网络优化方案设计1.外网网络及业务应用系统现状为确保网站的安全性和稳定性,同时保障外部用户访问网站的方便快捷,目前,外网局域网网络结构及设备连接现状图如下:总部以交换机为核心,从业务和功能方面,外网网络结构划分为以下几个VLAN:服务器分为VLAN1VLAN2VLAN3,三个区域;非研发部门独立在VLAN4区域;研发部门和PDM服务器独立在

62、VLAN5区域;销售人员独立在VLAN6区域;所有区域与互联网逻辑隔离。还有一个分厂独立成为一个网络,和总部物理隔离。总部外网网络开通了一条互联网出口。2.系统设计原则l 高可靠性-网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各个系统的正常运行。l 技术先进性和实用性-保证满足系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到阿尔西网络应用的现状和未来发展趋势。l 高性能-承载网络性能是网络通讯系统良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为阿尔西各项业务开展的瓶颈。l 标准开放性-支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于保证与其它网络(如公共数据网、金融网络、行内其它网络)之间的平滑连接互通,以及将来网络的扩展。l 灵活性及可扩展性-根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减

展开阅读全文
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

相关资源

更多
正为您匹配相似的精品文档
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!