XXX幼稚園網絡安全建設方案

2014-12-30 15:41:00
dxt001
原創
4475
摘要:多年以來,點線通一直秉承的是顧問式銷售模式,從不采用抄襲方案,所有方案均由公司資深售前工程師或網絡架構師與用戶溝通后進行設計和編寫。歡迎來電咨詢,獲取專業建議和為您定制的方案。

1. 背景及現狀

1.1. 企業現狀

*** 幼稚園學前教育集團自 1993 年創辦第一家幼稚園以來走過了近 20 年的發展歷程,是中國西部地區極具品牌影響力的一家專業從事學前教育、 0 3 歲嬰兒多元智能訓練和兒童英語培訓和兒童生存體驗的專業化集團。由 *** 幼稚園教育投資(集團)有限責任公司控股。

集團目前舉辦有 30 余家全資幼稚園、 4 0 3 歲嬰兒多元智能訓練營, 1 所兒童英語培訓學校以及兒童生存體驗館。集團本部以其強大的管理實力支撐著各單位的優質成長與發展,目前已成立了文化戰略發展中心、學前教育研究中心、人力資源中心、后勤管理中心、衛生保健中心五個一級部門,其下包括了戰略規劃部、事業發展部等在內的二十余個二級部門。在園幼兒 5000 余名,教職員工近 2000 人。

1.2. IT 環境

1.2.1. 硬件及基礎網絡

主要硬件資源有計算機、服務器、飛塔防火墻、二層交換機以及其他相關網絡辦公設備。

其中計算機約有 200 臺左右,集中在新光路集團總部辦公大樓。

各分支幼稚園計算機 30-60 臺不等,通過當地電信 ADSL 接入,網絡結構簡單。經過本次的網絡改造,各幼稚園網絡拓撲如下:

XXX幼稚園網絡拓撲


經過本公司公司實施的本次網絡改造,所有幼稚園網絡結構都已標準化,解決了以前網絡結構和管理混亂、故障率高的問題。該項目正在由本公司公司實施中,預計于 2012 1 月中下旬結束。

同時,我們正在對無線網絡覆蓋的技術進行調研,預期實現全園的無線網絡覆蓋,本公司公司會同集團信息中心及原廠家技術人員已經對現場進行了實際勘測和測試,根據測試的結果出具了設計方案,在近期將會實現全園的無線網絡覆蓋。

為了更好的集中管理和使用各類教學資源,集團決定建設覆蓋全園的 MPLS VPN 系統,通過電信城域網將各幼稚園網絡統一管理。

MPLS VPN 的實施有以下益處:

1、                 通過光纖連接,保證上下行帶寬,而且都在成都電信城域網覆蓋內,分支機構到集團的訪問速度會增加,有利于后期信息化的全面推廣;

2、                 方便管理,集團信息中心可以直接通過城域網直接管理到幼稚園的網絡設備,有利于后期的運維管理和維護。

3、                 局端的運維管理全部在電信,集團可以享受到應有的服務。

1.2.1. 應用系統

經過多年的發展, ** 幼稚園已經建設完成大量應用系統,如在幼稚園的多媒體教學課件系統、幼兒安全接送系統等。

集團正在或準備建設 CRM 管理系統、幼兒學籍管理系統、財務系統、對外網站、博客系統。即將完成覆蓋全集團的 VOIP 電話、視頻會議系統。

這些系統都需要有高速的計算機網絡做支撐,同時,信息的安全性、可靠性也非常重要。

1.2.2. 安全現狀

目前主要通過集團總部的飛塔防火墻來實現對 NAT 及應用服務器的訪問控制,部分實現信息安全管理。各幼稚園尚無任何信息安全保護措施。

2. 安全需求分析

2.1. 遠程接入訪問

2.1.1. 風險分析

遠程接入功能保證分支機構能與公司內部進行正常的業務溝通,如課件教學系統、視頻會議系統、 VOIP 電話系統,都需要分支機構和集團總部之間進行直接的數據交換,他們對基礎網絡的要求是:高效、安全。但是目前采用的接入方式數據運行于公網上,存在接入速度、數據傳輸的安全性、業務交互的流暢性等諸多其他安全風險。

2.1.2. 需求建議

通過 MPLS VPN 構建的專用網絡,達到分支結構和內部網絡快速穩定安全的連接,但是問題在于 MPLS 只解決數據的高速傳輸通道,不實現訪問控制和安全加密等,相對安全性較差,如果在分支機構出現病毒、木馬等攻擊,可以快速的通過 MPLS VPN 蔓延到集團信息中心及所有的幼稚園計算機。

根據目前 ** 幼稚園的情況,我們建議在分支幼稚園與集團總部進行通信的時候采用邊界訪問控制,將可能存在的病毒木馬隔離在各自的區域內,保證大網的安全性。

同時,在互聯網出口部署一臺高性能 UTM 設備,開啟防病毒網關 /NAT/ 訪問控制 /SSLVPN 功能,實現所有的 網絡安全功能

2.2. 互聯網資源使用

2.2.1. 風險分析

互聯網資源在日常工作扮演重要的角色,目前在互聯網帶寬有限的情況下,存在著使用 BT 、迅雷等其他下載工具惡意占用公司互聯網資源的情況;嚴重影響正常使用互聯網資源的行為,同時也將某些含有病毒、木馬的網絡資源帶入到公司內部網絡。員工在工作時間上網“沖浪”,還可能因此而面臨法律風險。例如淫穢郵件、即時訊息玩笑、什么都寫的博客、色情反動網站、下載一些侵犯版權的軟件,這些都有可能引發訴訟案件。

2.2.2. 需求建議

使用網絡行為管理設備可以對用戶上網占用的帶寬進行管控,可以按網絡地址段、用戶組、個人或服務類型來制定策略對帶寬進行管理。可將帶寬劃分成若干個虛擬通道,設定每個通道的帶寬,上、下載速度的限制,優先級和管理策略等,保證關鍵應用或重要人員的上網帶寬,對有限的帶寬進行優化使用、合理分配,將網絡資源使用發揮到最大。

加強內部員工管理,避免員工在工作時間利用單位網絡做工作無關的事如網上聊天,在線視頻等。

同時網絡行為管理系統提供了很好的內容屏蔽手段解決方法,它可以對這些不良網站及信息進行屏蔽管控,規避法律風險。

3. 安全體系建設方案

3.1. 整體設計思路

目前,眾多廠商在安全方面提出有很多理念如, MPDRR PDRR 、多層防護、縱深防御等等。這些安全理念大概可分為兩類,一類關注安全過程中各個環節,如 MPDRR 等;另一類則更多關注安全過程中的某個環節的構架如多級防護等等。以上的安全理念都重點闡述安全過程分解后各環節的重要性以及相關的問題,卻忽略了各環節之間的相互聯系。本公司公司認為:

網絡安全是整體的:我們可以通過選擇優秀的產品、優秀的服務構建一個解決方案,但如果各個優秀的產品、優秀的服務之間是孤立的,那么產品、服務環節的安全策略就是相對孤立的,無法形成整體的安全策略。這樣,孤立的環節之間就會形成漏洞,給入侵者可乘之機。

網絡安全是動態的:如果各個優秀的產品、優秀的服務等各環節之間是孤立的,則無法全面了解網絡的整體安全狀況,當然也無法根據網絡和應用情況動態調整安全策略。

因此,網絡安全需要統一、動態的安全策略,網絡安全需要聯動的安全產品,需要聯動的安全環節。也就是說,網絡系統需要一個聯動的整體的安全解決方案。

聯動是信息安全解決方案的重要思想,我們對聯動的詮釋是:

聯動的目標:提高客戶網絡的安全性,提高安全系統使用成效,更有效的保障客戶應用;降低企業的 IT 經營風險,提高企業的投資回報率。

聯動的內容:我們將安全過程分為五個環節:管理、防護、監測、審計、服務,各個環節以及各環節對應的產品之間實現聯動。(五個環節的體現:管理體現在安全集中管理系統、制度管理等方面;防護體現在防火墻、 VPN 、防病毒、桌面管理、行為管理等技術或者系統的防護方面;監測體現在技術或者系統的監測方面;審計體現在系統中各個產品自身的日志、審計和綜合安全審計技術或者系統上;服務體現在產品的維護和專業的評估、響應等服務方面。)

3.2. 參考標準

ISO27001 信息安全國際規范 2005

《計算機信息系統安全保護等級劃分準則》

《信息安全等級保護管理辦法》

《信息系統保密管理規定》

《關于信息安全等級保護工作的實施意見》(公通字 [2004]66 號)

《中華人民共和國公共安全和保密標準》

《互聯網安全保護技術措施規定》(公安部第 82 號令- 2006

塞班斯法案( 2005 )-美國

3.3. 遠程訪問控制

3.3.1. 概述

企業通過公網實現跨地域的系統互聯必然面臨安全問題。使用公用網絡會導致機構間的傳輸信息容易被竊取,同時攻擊者有可能通過公網對機構的內部網絡實施攻擊,因此 MPLS VPN 網絡安全的的重點在于建立安全的數據通道,該通道應具備以下的基本安全要素:

l   保證數據的真實性,通信主機必須是經過授權的,要有抵抗地址假冒( IPSpoofing )的能力。

l   保證數據的完整性,接收到的數據必須與發送時的一致,要有抵抗不法分子篡改數據的能力。

l   保證通道的機密性,提供強有力的加密手段,必須使偷聽者不能破解攔截到的通道數據。

l   提供動態密鑰交換功能和集中安全管理服務。

l   提供安全防護措施和訪問控制,具有抵抗黑客通過 VPN 通道攻擊企業網絡的能力,并且可以對 VPN 通道進行訪問控制。

需要強調指出的是,該方案比傳統通過路由器連接的優勢在于:

不僅僅解決了網絡聯通的問題,同時還在很大程度上實現了分支幼稚園到集團信息中心及相互之間的訪問控制,清晰的畫出各安全域的網絡邊界。

3.3.2. 技術特點

在總結國內外各種路由器 / 防火墻等產品的特點和國內用戶實際需求的基礎上,我們為 ** 幼稚園集團推薦 SonicWALL 具有完全知識產權的防火墻系列產品。 SonicWALL UTM 產品要達到的目標 是:采用 SonicWALL UTM ,企業的所有分支機構、合作伙伴和移動用戶只要連接上因特網(無論采取什么樣的接入方式),就能夠像是用專線互聯一樣方便安全地交換和共享數據。

考慮到后期集團需要部署 VOIP 電話和視頻會議系統,我們本次為 ** 幼稚園集團推薦在這個方向具有優勢的 SonicWALL 解決方案, SonicWALL 這款強大的數據包檢測防火墻來探測 VOIP 通信,簡化了在防火墻中配置安全通過語音數據的設置過程。它可以支持的 VOIP 協議包括 H.323 SIP 。可以在網絡上使用 MGCP SCCP VOIP 設備, SonicWALL 可以監視所有 VOIP 呼叫的狀態,在 VOIP 呼叫狀態菜單中,你可以看到它們的日志和正在進行的呼叫。


SonicWALL 同時也是全球 SMB 中小企業市場中銷量最高的 UTM 產品,擁有良好的性價比。

3.4. 網絡行為管理

3.4.1. 范圍和對象

通過網絡行為管理系統規避互聯網使用風險。

3.4.2. 方式和方法

3.4.2.1. 概述

應該說互聯網的廣泛應用和迅速發展給我們帶來了挑戰,管理得好可以維護社會穩定,提高企事業單位的工作和生產效率,反之則可能激化社會矛盾,影響正常工作次序。公安部據此頒布第 82 號令《互聯網安全保護技術措施規定》,要求所有互聯網聯網單位或服務提供者需要部署保障互聯網網絡安全和信息安全、防范違法犯罪的技術設施和技術方法,從而保障互聯網網絡安全和信息安全,促進互聯網健康、有序發展,維護國家安全、社會秩序和公共利益等。

作為國內“網絡行為管理”產品最早的研發單位之一,上海新網程信息技術有限公司一直致力于各種上網行為管理、監控技術的研究。推出的“網絡督察”系列產品就是為了滿足管理部門對各種網絡行為的管理和監控的需要,完全符合公安部 82 號令對管理的要求。目前“網絡督察”已廣泛地在政府機關、醫療單位、企事業單位、酒店賓館、學校等投入使用,該產品以靈活而又貼近用戶的設計理念深受企事業單位的喜愛。

3.4.2.2. 功能

l   用戶管理

系統支持以 IP 地址、 MAC 地址、驗證帳號等為參照的用戶管理模式,并可對用戶分組多層管理。對不同人員可以設置免監控、不監控郵件內容等不同的監控級別。


l   實時監控

可以通過瀏覽器實時查看用戶當前的上網情況,包括其訪問的 IP 地址、網址、服務類型、流量等等,了解網絡目前應用狀況,及時進行控制和調整,保障網絡正常運行。

l   日志記錄

詳細記錄用戶的上網的各類日志,包括 HTTP SMTP POP3 Telnet FTP QQ MSN 、游戲等數十種日志,同時記錄了訪問時間、 IP 地址、 MAC 地址、流量等重要信息,日志可以按照要求保留 90 天以上并可組合查詢。


l   訪問控制

提供完整的訪問控制管理策略,可靈活地按用戶角色或者分組對用戶上網行為進行控制,可以根據時間段、服務、網址、流量等手段進行控制,可以封堵常用的聊天軟件、抄股軟件等服務。并提供百萬級的有害信息過濾網址庫防堵不良網站。

l   異常管理

根據用戶上網狀態,如 IP 連接數、數據包特征、流量等情況,及時發現用戶上網電腦是否異常,自動告警或采取相應的控制措施,保障網絡通暢。


l   帶寬管理

可以按組和服務類型等來制定策略對帶寬進行管理。可將帶寬劃分成若干個虛擬通道,設定每個通道的帶寬,上、下載速度的限制,優先級和管理策略,保證等關鍵應用或重要人員的上網帶寬。



l   BYPASS (附加模塊)

可以在系統斷電或故障的時候自動將一對網口置成直連狀態,保證網絡暢通,不影響正常業務。

統計分析

提供數十種統計報表對上網流量、時間等進行統計,可生成各類排行榜,并可以圖表的方式從各個角度對用戶上網情況進行分析。統計結果可導出到 Excel 表格,方便進行二次處理。

l   自動整理和備份

對用戶數據和系統數據進行自動備份和整理。系統將根據設定的各種數據的保存時間定時自動整理,刪除不必要的數據,從而保證系統可以長期穩定地運行。系統還可以按要求對關鍵數據和存檔數據進行本地或異地備份,備份的信息可以離線查看。




l   日志內容審計

能夠對 HTTP SMTP POP3 WebMail Telnet FTP QQ MSN 等常見應用記錄其訪問日志并對其內容進行還原,可根據進行實時分析、匹配。

l   本地驗證
可以實現單位內所有上網人員的準入認證,用戶打開瀏覽器便會彈出上網認證窗口,沒有認證授權的人員一律不能上網。避免隨意接入局域網上網現象。

3.5. 方案總結

經過以上分析,我們給出 ** 幼稚園集團網絡及安全建設總體拓撲圖如下:



在該網絡中,集團信息中心的辦公用 PC機和服務器分別處于不同的安全域,通過 SonicWALL UTM實現訪問控制和 NAT

來自MPLS VPN的數據通過核心交換機匯接到網絡行為管理系統再接入到UTM防火墻實現訪問控制和對公網的訪問。








發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
街机金蟾捕鱼礼包激活码 双彩开奖走势图今晚 云南11选5有规律吗 体育彩票36选7走势图 股票涨跌有什么规律吗 体彩浙江6+1开奖规则 福彩吉林快3走势图 5分赛车 股票配资公司航久联优配 安徽快三怎么玩稳赚 云南快乐10分基本走势图工具图表 下载黑龙江11选5官方 上海时时乐开奖結果 天津十一选五计划 安微11选五走势图 广东36选7中奖条件 基金配资业务