CADT 上海安达通安全解决方案案例 案例五某集团公司信息系统网络安全方案 项目简介 某集团公司是国家520家重点企业之一,是政府授权经营的国有资产投资主 体;目前拥有数十家子公司,总资产已达数十亿,在中国包装行业享有盛誉 集团公司总部设于上海,并已分别在美国、香港、北京、深圳、湖南、吉林等地 成立了分公司或子公司。 经过对信息系统进行仔细的分析,我们认为该集团当前面临的首要问题和最 大隐患是:边界安全防御与链入传输的加密性。 按照目前国际IsO7498-2企业信息系统安全设计标准,结合该集团公司的实 际需求,通过对必要性和可行性、实施效果、成本和风险、网络方案和管理等进 行了充分的调研和论证,提出了《X集团信息系统网络安全方案》。 根据项目计划,在集团公司总部、科技公司、光电公司、圣象公司和在江苏 的科技股份公司江苏分部进行试点,并按实际使用情况逐步在集团内推广应用。 各点的接入 Internet方式和各点局域网的规模如下表: 名称 接入方式有无公有IP带宽局域网PC台数 上海集团公司总部 FTTB +ADSL 256K40台 科技公司 FTTB 80台 光电公司 FTTB 无无无 256K50台 圣象公司 20台 江苏科技股份有限公司 FTTB 10M150台 除了各点网络都接入 Internet以外,上海集团公司总部和江苏子公司之间还 有一条256K的DDN专线。分别作为上海和江苏两地的中心,该两点网络中都 存储有大量的重要的数据,提供两地的下级单位来访问并存取数据,两地数据通 过DDN专线来进行同步,并将两地的网络高速、可靠地相连。 整体的网络拓扑图如下: yw. adtsec com Te021-64325693:64325694
上海安达通安全解决方案案例 www.adtsec.com 35 Tel:021-64325693;64325694 案例五 某集团公司信息系统网络安全方案 一. 项目简介 某集团公司是国家 520 家重点企业之一,是政府授权经营的国有资产投资主 体;目前拥有数十家子公司,总资产已达数十亿,在中国包装行业享有盛誉。 集团公司总部设于上海,并已分别在美国、香港、北京、深圳、湖南、吉林等地 成立了分公司或子公司。 经过对信息系统进行仔细的分析,我们认为该集团当前面临的首要问题和最 大隐患是:边界安全防御与链入传输的加密性。 按照目前国际 ISO 7498-2 企业信息系统安全设计标准,结合该集团公司的实 际需求,通过对必要性和可行性、实施效果、成本和风险、网络方案和管理等进 行了充分的调研和论证,提出了《X 集团信息系统网络安全方案》。 根据项目计划,在集团公司总部、科技公司、光电公司、圣象公司和在江苏 的科技股份公司江苏分部进行试点,并按实际使用情况逐步在集团内推广应用。 各点的接入 Internet 方式和各点局域网的规模如下表: 名称 接入方式 有无公有 IP 带宽 局域网 PC 台数 上海集团公司总部 FTTB +ADSL 有 256K 40 台 科技公司 FTTB 无 2M 80 台 光电公司 FTTB 无 256K 50 台 圣象公司 FTTB 无 1M 20 台 江苏科技股份有限公司 FTTB 有 10M 150 台 除了各点网络都接入 Internet 以外,上海集团公司总部和江苏子公司之间还 有一条 256K 的 DDN 专线。分别作为上海和江苏两地的中心,该两点网络中都 存储有大量的重要的数据,提供两地的下级单位来访问并存取数据,两地数据通 过 DDN 专线来进行同步,并将两地的网络高速、可靠地相连。 整体的网络拓扑图如下:
CADT sure D 上海安达通安全解决方案案例 科技公司 光电公司 圣象公司 交换机 交换机 Intemet 在外地出差的员工 服务器群 服务器群 安全方案 集团目前在网络上运行的主要业务系统是ERP和OA系统,除此之外,还 有一些ⅤoP的应用比如网络会议、视频会议等需要通过网络传输。 从应用总体的数据流向来看,是一个星型的网络结构,主要的中心点在上海 集团总部,江苏公司是江苏地区其他分公司和工厂的中心,但在本项目中暂不涉 及这些其他的分公司和工厂,因此主要的数据流向是以上海总部为中心,向各分 公司辐射。另外,考虑到上海总部和江苏公司之间已经有了一条DDN专线,部 分数据会通过专线传输,在一定程度上分流了这两点的VPN数据。但也应考虑 到将来VPN在江苏的分公司和工厂推广,江苏分公司也将是这一地区的中心结 点 安全隐患分析 集团的业务系统(OA系统、ERP系统)总部和各分公司(除江苏分公司之外) 之间的通信都建立在公网基础之上;另外除了本身的业务系统之外,各公司内部 网络还必须保证能访问 Internet,而集团的业务系统本身涉及的重要信息资源 较多,如果公司内部网络直接连接到 Internet公网,各个子网通信时明文直接 在公网上传输,会带来很大的安全隐患。主要表现在: yw. adtsec com Tek021-64325693;64325694
上海安达通安全解决方案案例 www.adtsec.com 36 Tel:021-64325693;64325694 二、安全方案 集团目前在网络上运行的主要业务系统是 ERP 和 OA 系统,除此之外,还 有一些 VoIP 的应用比如网络会议、视频会议等需要通过网络传输。 从应用总体的数据流向来看,是一个星型的网络结构,主要的中心点在上海 集团总部,江苏公司是江苏地区其他分公司和工厂的中心,但在本项目中暂不涉 及这些其他的分公司和工厂,因此主要的数据流向是以上海总部为中心,向各分 公司辐射。另外,考虑到上海总部和江苏公司之间已经有了一条 DDN 专线,部 分数据会通过专线传输,在一定程度上分流了这两点的 VPN 数据。但也应考虑 到将来 VPN 在江苏的分公司和工厂推广,江苏分公司也将是这一地区的中心结 点。 安全隐患分析 集团的业务系统(OA 系统、ERP 系统)总部和各分公司(除江苏分公司之外) 之间的通信都建立在公网基础之上;另外除了本身的业务系统之外,各公司内部 网络还必须保证能访问 Internet,而集团的业务系统本身涉及的重要信息资源 较多,如果公司内部网络直接连接到 Internet 公网,各个子网通信时明文直接 在公网上传输,会带来很大的安全隐患。主要表现在:
CADT 上海安达通安全解决方案案例 总部的服务器直接暴露在公网中,很容易遭受黑客的攻击,轻则影响到 业务的正常运作,重则使整个系统瘫痪、数据遭受破坏; 在网络中传输的原始重要数据容易被截获,通过分析,可以获取公司内 部的重要商业机密数据,存在泄露给竞争对手的风险 如果没有对网络出口作限制,公司内部可能存在的少数不良员工可通过 网络将公司机密数据发送到外部 公司内网访问外部未作限制,一些游戏、聊天程序可以正常运行,导致 工作效率低下。 基于以上几点,迫切需要解决系统的安全防护工作。要求在网络的边界及各 个分支机构的链路等环节进行综合考虑,建设和贯彻统一的安全保障体系 为了实现上述目的,我们采用了如下图所示的解决方案: 科技公司 光电公司 圣象公司 早号是 在外地出差的员工 服务器群 在上海总部和外网的边界部署一台三口高性能的SGW2C安全网关,LAN 口接内部网络的交换机,WAN口接外部网络( Internet)接口,DMZ口接业务系 统的关键服务器,服务器和内部主机都使用私有IP地址,利用安全网关的静态 NAPT功能向外(那些尚未接入VPN的分公司)提供服务,利用地址池NAT功 能使内网主机访问 Internet 利用安全网关中基于“六元组”控制的安全策略,可以对内部员工访问外部 网络做到很细粒度的控制,比如对于大部分员工允许在上班时间访问WEB页面 yw. adtsec com Tek021-64325693;64325694
上海安达通安全解决方案案例 www.adtsec.com 37 Tel:021-64325693;64325694 ÿ 总部的服务器直接暴露在公网中,很容易遭受黑客的攻击,轻则影响到 业务的正常运作,重则使整个系统瘫痪、数据遭受破坏; ÿ 在网络中传输的原始重要数据容易被截获,通过分析,可以获取公司内 部的重要商业机密数据,存在泄露给竞争对手的风险; ÿ 如果没有对网络出口作限制,公司内部可能存在的少数不良员工可通过 网络将公司机密数据发送到外部; ÿ 公司内网访问外部未作限制,一些游戏、聊天程序可以正常运行,导致 工作效率低下。 基于以上几点,迫切需要解决系统的安全防护工作。要求在网络的边界及各 个分支机构的链路等环节进行综合考虑,建设和贯彻统一的安全保障体系。 为了实现上述目的,我们采用了如下图所示的解决方案: 在上海总部和外网的边界部署一台三口高性能的 SGW25C 安全网关,LAN 口接内部网络的交换机,WAN 口接外部网络(Internet)接口,DMZ 口接业务系 统的关键服务器,服务器和内部主机都使用私有 IP 地址,利用安全网关的静态 NAPT 功能向外(那些尚未接入 VPN 的分公司)提供服务,利用地址池 NAT 功 能使内网主机访问 Internet。 利用安全网关中基于“六元组”控制的安全策略,可以对内部员工访问外部 网络做到很细粒度的控制,比如对于大部分员工允许在上班时间访问 WEB 页面
DADT 上海安达通安全解 收邮件操作,下班时间则完全不能访问外网,而对于公司领导没有上述限制,同 时,也可以配合代理服务器对以上功能做更好的补充和扩展 同时,安全网关具备状态检测模块,可以防御外网对内部主机的端口扫描、 各种 DOS/DDOS攻击等恶意攻击行为。 上海的三个分公司和外网的边界分别部署一台SGW25B安全网关SGW25B 安全网关有两个网口,其他功能和SGW25C完全一致。此三台安全网关和总部 的安全网关分别建立安全隧道,构建一个星型的VPN网络,保护子网中所有主 机的通信,同样对于加密的数据也可以控制到IP的“六元组”,即只对业务系统 和其他需要使用(比如ⅴOIP)的数据加密,避免因为其他非必须的通信占据ⅴPN 带宽,做到了很好的带宽控制功能。各子网之间安全隧道的加密密钥是两个网关 动态协商的,协商的周期可以在网关上设定,用户可以根据对安全性的具体需求 设置这个数值。 在江苏分公司和外网的边界部署一台SGW25C安全网关。在目前情况下 因为和上海总部之间有一条DDN专线,VPN上的数据量不一定会很大,但是江 苏分公司将来会作为江苏地区网络的中心,要承担下属公司数据上报的任务,因 此,考虑到网络的可扩展性和前瞻性,选用一台高性能的SGW25C网关是有必 要的。 授权的内部员工当出差在外时,可以在当地接入 Internet,然后使用“安全 网关客户端软件”,通过加密隧道从外部安全方便地接入局中心内网 w. adtsec com Te021-64325693:64325694
上海安达通安全解决方案案例 www.adtsec.com 38 Tel:021-64325693;64325694 收邮件操作,下班时间则完全不能访问外网,而对于公司领导没有上述限制,同 时,也可以配合代理服务器对以上功能做更好的补充和扩展。 同时,安全网关具备状态检测模块,可以防御外网对内部主机的端口扫描、 各种 DoS/DDoS 攻击等恶意攻击行为。 上海的三个分公司和外网的边界分别部署一台SGW25B安全网关。SGW25B 安全网关有两个网口,其他功能和 SGW25C 完全一致。此三台安全网关和总部 的安全网关分别建立安全隧道,构建一个星型的 VPN 网络,保护子网中所有主 机的通信,同样对于加密的数据也可以控制到 IP 的“六元组”,即只对业务系统 和其他需要使用(比如 VOIP)的数据加密,避免因为其他非必须的通信占据 VPN 带宽,做到了很好的带宽控制功能。各子网之间安全隧道的加密密钥是两个网关 动态协商的,协商的周期可以在网关上设定,用户可以根据对安全性的具体需求 设置这个数值。 在江苏分公司和外网的边界部署一台 SGW25C 安全网关。在目前情况下, 因为和上海总部之间有一条 DDN 专线,VPN 上的数据量不一定会很大,但是江 苏分公司将来会作为江苏地区网络的中心,要承担下属公司数据上报的任务,因 此,考虑到网络的可扩展性和前瞻性,选用一台高性能的 SGW25C 网关是有必 要的。 授权的内部员工当出差在外时,可以在当地接入 Internet,然后使用“安全 网关客户端软件”,通过加密隧道从外部安全方便地接入局中心内网