心动网络安全解决方案 · 语雀

一、项目背景

1.1 安全网络建设的必要性和意义

1.1.1 建设必要性

国内中小企业信息化已经得到了迅速的发展，而且发挥着越来越重要的作用，由于受资金、安全意识方面的限制，信息安全建设相对严重滞后。目前，很多企业已经建立了防火墙 + 防病毒的安全体系, 是否就能取得较好的安全效果呢？事实表明，这样的安全措施还是不够的。蠕虫的爆发、网站遭到破坏、内部信息资外泄…… 中小企业会遇到许多 “成长中的烦恼”，如何做到利用最有效的投资获取最大的安全效果呢？

中小企业在业务中对于信息技术和网络的依赖程度越来越高，必须引起对信息安全的重视。然而, 由于企业将主要的精力集中在各种业务应用的开展上，再加之受限于资金、技术、人员以及安全 意识等多方面因素，信息安全建设往往相对滞后。部分企业已经釆用了 “防火墙 + 防病毒” 的基 本安全措施，但很多中小企业什么安全保护措施都没有，不能不让人为此担忧。

随着网络技术的迅速发展，各种依托网络开展的攻击技术也得到了蔓延。黑客攻击手段越来越丰富，各类破坏力较大的攻击工具、文摘在网上唾手可得；中小企业的安全现状常常使得他们成了黑客攻击破坏的首选 “试验品”。另外病毒的发展已经远远超过人们预期的想象，破坏性越来越严重；加上企业内部信息安全管理制度的疏漏，为一些不法人员提供了大量的犯罪途径。中小企业迅速建立完善的信息安全体制已经势在必行。

1.1.2 建设意义

能削减网络安全事故的发作

目前，网络信息安全是国家重点发展的项目之一，随着对于互联网的利用，这个非传统的安全领域成为了脆弱的信息中枢，在保护着国家安全的同时，也受到了极为严密的保护。一般来说，因为网络中对于相关信息的传播较为迅速，所以开放性的网络极其容易被不法人员进行利用，安全建设在一个企业中是不可或缺的。

能推进计算机网络技术的开展

随着 Internet 的广泛应用，采用客户机 / 服务器模式的各类网络纷纷建成，这使网络用户可以方便地访问和共享网络资源，但同时对企业的重要信息，如贸易秘密、产品开发计划、市场策略、财务资料等的安全无疑埋下了致命的隐患。必须认识到，对于大到整个 Internet，小到各 Internet 及各校园网，都存在来自网络内部与外部的威胁。领先的网络安全文明总是推进大家去盲目开掘网络中的不安全要素并处理它们，不断地改善网络功能，使网络愈加安全，推进计算机网络技术的开展。

1.2 需求分析

边界安全的防护

服务器及内部办公网络和外部网络连接处的入口，保证服务器区以及内部办公网络的资源不被非法访问。

对于入侵进行检测

对于分布环境下重要网段的攻击检测，发现来源于内部或外部的攻击，进行记录和阻断；也便于发现网络内部的异常信息流，如访问非法网站、内部异常扫描、非主流业务的大流量传输等；对于蠕虫大规模爆发时即可以查出源地址，便于及时进行处理。

安全事件处置机制

保证网络遇到各种突发安全事件时能得到妥善处理；在日常维护中提供专家级咨询服务；并有利于提高整体安全意识等，满足动态性安全需要

对互联网依赖性强

随着企业信息化的发展，越来越多的业务和工作需要访问互联网，而保障外网 (互联网) 通信的的稳定成了重要的问题。

网络维护量增加

由于办公的计算机利用率越来越高，随之产生的维护量也越来越大。

网管人员依然很少

根据不完全统计，在企业中，平均 150 台计算机才能分配到 1 名专职管理维护人员，这种人员配置只能降低网络维护的能力。

企业用于信息化建设的资金投入力度依然不够

虽然企业用于信息化建设的预算有所增加，投入力度也有所加大，但是从投入绝对额占总资产的比重看，只有 0.75%，与国外大企业一般投入在 8% 至 10% 的比重还相差甚远。

二、项目介绍

国内知名游戏厂商，有员工 100 + 人左右，内部办公主机总数约 100 + 台。整个网络采用分层的单出口结构，接入层釆用网络设备，通过一条至电信部门的专线与广域网相连。主要应用为内部办公、网站系统、邮件系统、财务办公、部分商业系统以及客户关系管理系统、人事管理系统等。

企业总部设在上海。网络曾经过多次改造扩建，目前初具规模, 设备主要釆用云上设备，服务器系统大多数釆用 Windows+Liunx 系列，提供服务的服务器目前有 5 若干台；此外还有内部服务器系统，主要做用户文件管理与共享；内部网络分布在不同的楼层，在交换设备上作了 VLAN 的划分。移动办公人员通过电话拨号上网与内部网络通过邮件进行信息传递。

该企业内部网上病毒危害较大；此外在路由设备上未作基本的地址转换等访问控制规则设置。实际情况是仅采取以上措施仍然没有达到预期效果，发生了几期安全事件：办公网络主机发现蠕虫病毒挖矿；在采用监听工具查找时，发现了蠕虫对外网访问挖矿的痕迹；为此, 公司管理人员深感安全防护已经成为迫在眉睫的工作。

三、总体规划

3.1 总体目标与分期目标

3.1.1 总体目标

信息安全是由多方面组成，主要工作需要防范威胁发生的可能，以及采取风险降低措施。建立健全的恢复应急工作机制，提高对突发事件的组织协调能力和应急处置能力，满足突发情况下通信保障和通信恢复工作的需要，最大程度地降低重大灾害、事件、故障等对通信业务的损害。安排具有网络安全攻防经验和应急响应工作经历的技术人员完成实施工作解决安全事件问题。根据每次应急响应的具体情况，在必要时将会聘请外部安全顾问协助进行安全事件的分析和处置。

3.1.2 分期目标

依据总体目标，将整体项目实施计划分为四个阶段。

启动阶段

项目需求调研、制定项目总体可行规划、平台架构设计和项目批复等。

建设阶段

制定项目实施方案、完成相关内容建设等。

运营维护阶段

建立运维服务管理体系、建立专业运维团队，按照标准的运维规范，以统一服务流程的思路为系统安全提供 运维服务，保证系统稳定、安全、可靠运行。

服务拓展阶段

在前三个阶段建设的基础上，进一步完善提升平台功能，扩建相关安全设备与平台和服务功能，探索新的管理和运行模式，形成适应心动网络新的需求和产业发展需要的安全服务创新服务体系。

四、架构设计

4.1 业务架构与建设原则

4.1.1 业务架构

此次建设是公司重要稳步发展中重要一部分：一是要保证各业务信息系统网络汇接安全；二是要实现各业务信息之间的交换；三是为本公司服务和管理资源提供安全的应用支撑；四是承载企业安全的基础。

4.1.2 建设原则

基于安全需求原则

应根据信息系统担负的使命，信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，遵从相应的规范要求，从全局上恰当地平衡安全投入与效果；

领导负责制原则

主管领导应明确统一的信息安全保障宗旨和政策，负责提高人员的安全意识，组织有效的信息安全保障队伍，调动并优化配置必要的资源，协调信息安全管理工作与各部门工作的关系，并确保其落实、有效；

全员参与原则

信息系统所有相关人员（信息系统的使用者、管理者等）应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全；

持续改进原则

安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整，提升信息安全管理水平，维护和持续改进信息安全管理体系的有效性；

分权和授权原则

对特定职能或责任领域的管理功能实施分离、独立审计，避免权力过分集中所带来的隐患，以避免未授权的修改或滥用。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限；

分等级保护原则

按等级划分标准确定信息系统的安全保护等级，实行分等级保护；对多个子系统构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，实行多级安全保护；

管理与技术并重原则

坚持积极防御和综合防范相结合，全面提高信息系统安全防护能力，立足实际，采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标；

“三同步” 原则：在规划和建设信息系统时，信息系统安全防护措施应按照 “三同步” 原则，与信息系统建设同步规划、同步建设、同步投入运行。

4.2 技术架构与建设原则

4.2.1 技术架构

依据业务需求和建设思路，结合成熟服务的先进经验，形成了可靠的总体安全技术架构。自底向上依次为基础设施层、数据资源层、应用支撑层、业务应用层、门户展现层，各层均通过统一的服务接口为上一层提供安全服务；分别为信息安全保障体系和运维管理服务体系，主要面向各层提供安全保障和综合管理支撑服务。

4.2.2 建设原则

统一性与整体性原则

一个完整网络系统的各个环节，包括设备、软件、数据、人员等，在网络安全中的地位和影响作用，只有从系统整体的角度去看待、分析，才可能得到有效、可行的安全措施。因此，整体安全保障体系建设应遵循统一性、整体性原则，便于今后系统的扩展。

技术与管理相结合原则

信息网络系统是一个相对复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

动态防护原则

要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。

积极防御原则

消极防御只能是被动挨打，所以应在技术和管理上创建一个灵活机动、适应性强的安全保障体系，做到积极防御。

多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层被攻破时，其他层仍可保护系统的安全。

分阶段实施原则

要根据实际安全需求情况，以及建设内容的重要程度和建设成本等，实行分阶段建设的原则，做到安全体系的建设既能够满足现阶段相当一段时间内安全的需要，又能够充分利用有限的资金和资源。

五、建设内容

5.1 基础设施

对应边界防护体系专注在入侵防护，可能不仅限于边界区域，但主要目的就是为了阻断，一般采用的是规则库方式，特点就是规则库越大，越准确，效果越好。包含设备：防火墙（包含 VPN、访问控制、防病毒、邮件防护模块）、终端防护设备。

5.2 服务支撑平台

对于分布环境下重要网段的攻击检测，发现来源于内部或外部的攻击，进行记录和阻断；也便于发现网络内部的异常信息流、内部异常扫描、非主流业务的大流量传输等；对于蠕虫大规模爆发时即可以查出源地址，便于及时进行处理。包含设备：入侵检测设备、风险评估系统。

5.3 安全保障

保证动态网络在变化时的风险检测，同时评估安全风险变化和安全工程的作用；部署专业级风险评估系统，周期性对网络内部进行评估检测，提供专家级补救建议与应急响应。通过技术解决方案和强健的一套流程检测、分析并且响应网络安全事件，监督全部安全操作，同组织结构的事件响应团队紧密合作，确保发现的安全问题迅速得到解决，包括监控和分析网络、服务器、终端、数据库、应用、网站和其他的系统，寻找可能代表一个安全事件或者受侵害的异常活动，确保潜在的安全事件能够被正确识别、分析、防护、调查取证和报告。

5.4 安全服务

保证网络遇到各种突发安全事件时能得到妥善处理；在日常维护中提供专家级咨询服务；并有利于提高整体安全意识等，满足动态性安全需要。在进行安全项目实施前作一次脆弱性安全评估，确定整体安全策略；提供安全咨询、紧急响应、安全通告、专业安全培训、安全制度的更新完善。

经过整体分析后，整体安全需求及解决方法描述如下表：

同时需要专业的安全服务人员对网络环境进行检查，具体内容如下表：

六、实施计划

本项目实施主要包括调研规划、实施加固、安全运营三个环节。定制实施环节将根据项目实际情况，按系统约定的任务分解实现。

本项目计划分三个阶段进行建设，见下表：

注：第一阶段，项目要实现良好的架构、优秀的总线服务能力，以保证后续阶段的网络安全的建设、能力、信息服务安全水平能够持续提升。
https://www.yuque.com/lnadmin/qs3tf4/ou3gr4