内网安全整体解决方案(2)

内网安全整体解决方案 等安全事件的发生

如上图所示，本项目的设计原则具体包括：

? 整体设计，重点突出原则 ? 纵深防御原则

? 追求架构先进、技术成熟，扩展性强原则 ? 统一规划，分布实施原则 ? 持续安全原则 ? 可视、可管、可控原则

1.3 总体设计思想

如上图所示，本方案依据国家信息安全相关政策和标准，坚持管理和技

术并重的原则，将技术和管理措施有机的结合，建立信息系统综合防护体系，通过“1341”的设计思想进行全局规划，具体内容：

第 6 页

内网安全整体解决方案

? 一个体系

以某单位内网安全为核心、以安全防护体系为支撑，从安全风险考虑，建立符合用户内网实际场景的安全基线，通过构建纵深防御体系、内部行为分析、外部情报接入，安全防护接入与虚拟主机防护接入等能力，构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。

? 三道防线

结合纵深防御的思想，从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次，从用户实际业务出发，构建统一安全策略和防护机制，实现内网核心系统和内网关键数据的风险可控。

? 四个安全能力

采用主动防御安全体系框架，结合业务和数据安全需求，实现“预测、防御、检测、响应”四种安全能力，实现业务系统的可管、可控、可视及可持续。

? 预测能力：通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题，甚至遇见可能侵袭的威胁，随之调整安全防护策略来应对。

? 防御能力：采用加固和隔离系统降低攻击面，限制黑客接触系统、发现漏洞和执行恶意代码的能力，并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞，以及隐藏\\混淆系统接口\\信息(如创建虚假系统、漏洞和信息)，此外，通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动，防止黑客未授权而进入系统，并判断现有策略的合规性并进行相应的优化设置。

? 检测能力：通过对业务、数据和基础设施的全面检测，结合现有的安全策略提出整改建议，与网络运维系统联动实现安全整改和策略变更后，并进行持续监控，结合外部安全情况快速发现安全漏洞并进行响应。

? 响应能力：与网络运维系统进行对接，实现安全联动，出现安全漏洞时在短时间内，进行安全策略的快速调整，将被感染的系统和账户进行隔离，通过回顾分析事件完整过程，利用持续监控所获取的数据，解决相应安全问题。

第 7 页

内网安全整体解决方案

第二章 技术体系详细设计

2.1 技术体系总体防护框架

在进行内网安全防护技术体系详细设计时，充分考虑某单位内部网络面临的威胁风险和安全需求，并遵循《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术，网络安全等级保护基本要求：第1部分-安全通用要求（征求意见稿）》，通过对内网安全计算环境、内网安全数据分析、内网安全管控手段等各种防护措施的详细设计，形成“信息安全技术体系三重防护”的信息安全技术防护体，达到《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术，网络安全等级保护基本要求：第1部分-安全通用要求（征求意见稿）》切实做到内部网络安全的风险可控。

三重防护主要包括：内网安全计算环境、内网安全数据分析、内网安全管控措施。

2.2 内网安全计算环境详细设计

2.2.1 传统内网安全计算环境总体防护设计

第 8 页

内网安全整体解决方案

如上图所示，在内网安全计算环境方面结合互联网与办公网的攻击，围绕网络、主机、应用和数据层实现安全防护，具体内容包括：

? 网络层安全防护设计

1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。

2、在各个内网安全域边界处，部署防火墙实现域边界的网络层访问控制。 3、在内网边界处部署流量监控设备，实现全景网络流量监控与审计，并对数据包进行解析，通过会话时间、协议类型等判断业务性能和交互响应时间。

? 主机层安全防护与设计

1、在各个区域的核心交换处部署安全沙箱，实现主机入侵行为和未知威胁分析与预警。

2、通过自适应安全监测系统，对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。 ? 应用层安全防护与设计

1、在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护

第 9 页

内网安全整体解决方案

2、通过自适应安全监测系统，对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。 ? 数据层安全防护与设计

1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制 2、在数据资源域边界处部署数据库审计设备实现数据库的操作审计。 3、在互联网接入域部署VPN设备，实现对敏感数据传输通道的加密

2.2.1.1 内网边界安全

2.2.1.1.1 内网边界隔离

严格控制进出内网信息系统的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保该区域信息网络正常访问活动。 2.2.1.1.1 内网恶意代码防范

病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一，面对越发复杂的网络环境，传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制，即便采取一些手段加以简单的控制，也仍然不能消除来自外界的继续攻击，短期消灭的危害仍会继续存在。为了解决上述问题，对网络安全实现全面控制，一个有效的控制手段应势而生：从内网边界入手，切断传播途径，实现网关级的过滤控制。

建议在该区域部署防病毒网关，对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理，并提供防病毒引擎和病毒库的自动在线升级，彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播 2.2.1.1.2 内网系统攻击防护

网络入侵防护系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，IPS系统工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别各种网络攻击行为，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。

第 10 页