某集团公司信息系统网络安全方案

合集下载

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

ＦＴＴＢ＋ＡＤＳＬ有
２５６Ｋ４０台
ＦＴＴＢ
无
２Ｍ８０台
ＦＴＴＢ
无
２５６Ｋ５０台
ＦＴＴＢ
无
１Ｍ２０台
ＦＴＴＢ
有
１０Ｍ１５０台
除了各点网络都接入 Internet 以外，上海集团公司总部和江苏子公司之间还有一条 256K 的 DDN 专线。分别作为上海和江苏两地的中心，该两点网络中都存储有大量的重要的数据，提供两地的下级单位来访问并存取数据，两地数据通过 DDN 专线来进行同步，并将两地的网络高速、可靠地相连。
整体的网络拓扑图如下：
www.adtsec.com
35
Tel：021-64325693；64325694
上海安达通安全解决方案案例
二、安全方案
集团目前在网络上运行的主要业务系统是 ERP 和 OA 系统，除此之外，还有一些 VoIP 的应用比如网络会议、视频会议等需要通过网络传输。
从应用总体的数据流向来看，是一个星型的网络结构，主要的中心点在上海集团总部，江苏公司是江苏地区其他分公司和工厂的中心，但在本项目中暂不涉及这些其他的分公司和工厂，因此主要的数据流向是以上海总部为中心，向各分公司辐射。另外，考虑到上海总部和江苏公司之间已经有了一条 DDN 专线，部分数据会通过专线传输，在一定程度上分流了这两点的 VPN 数据。但也应考虑到将来 VPN 在江苏的分公司和工厂推广，江苏分公司也将是这一地区的中心结点。
经过对信息系统进行仔细的分析，我们认为该集团当前面临的首要问题和最大隐患是：边界安全防御与链入传输的加密性。
按照目前国际 ISO 7498-2 企业信息系统安全设计标准，结合该集团公司的实际需求，通过对必要性和可行性、实施效果、成本和风险、网络方案和管理等进行了充分的调研和论证，提出了《X 集团信息系统网络安全方案》。
在江苏分公司和外网的边界部署一台 SGW25C 安全网关。在目前情况下，因为和上海总部之间有一条 DDN 专线，VPN 上的数据量不一定会很大，但是江苏分公司将来会作为江苏地区网络的中心，要承担下属公司数据上报的任务，因此，考虑到网络的可扩展性和前瞻性，选用一台高性能的 SGW25C 网关是有必要的。
安全隐患分析
集团的业务系统（ＯＡ系统、ＥＲＰ系统）总部和各分公司（除江苏分公司之外）之间的通信都建立在公网基础之上；另外除了本身的业务系统之外，各公司内部网络还必须保证能访问Ｉｎｔｅｒｎｅｔ，而集团的业务系统本身涉及的重要信息资源较多，如果公司内部网络直接连接到Ｉｎｔｅｒｎｅｔ公网，各个子网通信时明文直接在公网上传输，会带来很大的安全隐患。主要表现在：
授权的内部员工当出差在外时，可以在当地接入Ｉｎｔｅｒｎｅｔ，然后使用“安全网关客户端软件”，通过加密隧道从外部安全方便地接入局中心内网。
www.adtsec.com
38ቤተ መጻሕፍቲ ባይዱ
Tel：021-64325693；64325694
同时，安全网关具备状态检测模块，可以防御外网对内部主机的端口扫描、各种 DoS/DDoS 攻击等恶意攻击行为。
上海的三个分公司和外网的边界分别部署一台 SGW25B 安全网关。SGW25B 安全网关有两个网口，其他功能和 SGW25C 完全一致。此三台安全网关和总部的安全网关分别建立安全隧道，构建一个星型的 VPN 网络，保护子网中所有主机的通信，同样对于加密的数据也可以控制到 IP 的“六元组”，即只对业务系统和其他需要使用（比如 VOIP）的数据加密，避免因为其他非必须的通信占据 VPN 带宽，做到了很好的带宽控制功能。各子网之间安全隧道的加密密钥是两个网关动态协商的，协商的周期可以在网关上设定，用户可以根据对安全性的具体需求设置这个数值。
上海安达通安全解决方案案例
案例五某集团公司信息系统网络安全方案
一．项目简介
某集团公司是国家 520 家重点企业之一，是政府授权经营的国有资产投资主体；目前拥有数十家子公司，总资产已达数十亿，在中国包装行业享有盛誉。集团公司总部设于上海，并已分别在美国、香港、北京、深圳、湖南、吉林等地成立了分公司或子公司。
根据项目计划，在集团公司总部、科技公司、光电公司、圣象公司和在江苏的科技股份公司江苏分部进行试点，并按实际使用情况逐步在集团内推广应用。各点的接入 Internet 方式和各点局域网的规模如下表：
名称上海集团公司总部科技公司光电公司圣象公司江苏科技股份有限公司
接入方式有无公有ＩＰ带宽局域网ＰＣ台数
Ø 如果没有对网络出口作限制，公司内部可能存在的少数不良员工可通过网络将公司机密数据发送到外部；
Ø 公司内网访问外部未作限制，一些游戏、聊天程序可以正常运行，导致工作效率低下。
基于以上几点，迫切需要解决系统的安全防护工作。要求在网络的边界及各个分支机构的链路等环节进行综合考虑，建设和贯彻统一的安全保障体系。
利用安全网关中基于“六元组”控制的安全策略，可以对内部员工访问外部网络做到很细粒度的控制，比如对于大部分员工允许在上班时间访问 WEB 页面、
www.adtsec.com
37
Tel：021-64325693；64325694
上海安达通安全解决方案案例
收邮件操作，下班时间则完全不能访问外网，而对于公司领导没有上述限制，同时，也可以配合代理服务器对以上功能做更好的补充和扩展。
www.adtsec.com
36
Tel：021-64325693；64325694
上海安达通安全解决方案案例
Ø 总部的服务器直接暴露在公网中，很容易遭受黑客的攻击，轻则影响到业务的正常运作，重则使整个系统瘫痪、数据遭受破坏；
Ø 在网络中传输的原始重要数据容易被截获，通过分析，可以获取公司内部的重要商业机密数据，存在泄露给竞争对手的风险；
为了实现上述目的，我们采用了如下图所示的解决方案：
在上海总部和外网的边界部署一台三口高性能的 SGW25C 安全网关，LAN 口接内部网络的交换机，WAN 口接外部网络（Internet）接口，DMZ 口接业务系统的关键服务器，服务器和内部主机都使用私有 IP 地址，利用安全网关的静态 NAPT 功能向外（那些尚未接入 VPN 的分公司）提供服务，利用地址池 NAT 功能使内网主机访问 Internet。