上海安达通安全解决方案案例
www.adtsec.com 35 Tel,021-64325693; 64325694
案例五 某集团公司信息系统网络安全方案
一,项目简介
某集团公司是国家 520 家重点企业之一,是政府授权经营的国有资产投资主体;目前 拥有数十家子 公司,总资产已达数十亿,在中国包装行业享有盛誉 。
集团公司总部设于上海,并已分别在美国、香港、北京、深圳、湖南、吉林等地成立了分公司或子公司。
经过对信息系统进行仔细的分析,我们认为该集团当前面临的首要问题和最大隐患是:边界安全防御与链入传输的加密性。
按照目前国际 ISO 7498-2 企业信息系统安全设计标准,结合该集团 公司的实际需求,通 过对 必要性和可行性,实施效果、成本和风险,网络方案 和管理 等进行了充分的调研和论证,提出 了,X 集团信息系统网络安全方案,。
根据项目计划,在 集团公司总部、科技公司、光电公司、圣象公司和在江苏的 科技股份公司 江苏分部进行 试点,并按实际使用情况逐步在集团内推广应用。
各点的接入 Internet 方式和各点局域网的规模如下表,
名称 接入方式 有无公有 IP 带宽 局域网 PC 台数
上海集团公司总部 FTTB +ADSL 有 256K 40 台
科技公司 FTTB 无 2M 80 台
光电公司 FTTB 无 256K 50 台
圣象公司 FTTB 无 1M 20 台
江苏 科技股份有限公司 FTTB 有 10M 150 台
除了各点网络都接入 Internet 以外,上海集团公司总部和江苏子公司之间还有一条 256K 的 DDN 专线。分别 作为上海和江苏两地的中心,该两点网络中都存储有大量的重要的数据,提供两地的下级单位来访问并存取数据,两地数据通过 DDN 专线来进行同步,并将两地的网络高速、可靠地相连。
整体的网络拓扑图如下,
上海安达通安全解决方案案例
www.adtsec.com 36 Tel,021-64325693; 64325694
二、安全方案
集团目前在网络上运行的主要业务系统是 ERP 和 OA 系统,除此之外,还有一些 VoIP 的应用比如网络会议、视频会议等需要通过网络传输。
从应用总体的数据流向来看,是一个星型的网络结构,主要的中心点在上海集团总部,江苏公司是江苏地区其他分公司和工厂的中心,但在本项目中暂不涉及这些其他的分公司和工厂,因此主 要的数据流向是以上海总部为中心,向各分公司辐射。另外,考虑到上海总部和江苏公司之间已经有了一条 DDN 专线,部分数据会通过专线传输,在一定程度上分流了这两点的 VPN 数据。但也应考虑到将来 VPN 在江苏的分公司和工厂推广,江苏分公司也将是这一地区的中心结点。
安全隐患分析
集团的业务系统( OA 系统,ERP 系统)总部和各分公司(除江苏分公司之外)
之间的通信都建立在公网基础之上;另外除了本身的业务系统之外,各公司内部网络还必须保证能访问 Internet,而集团的业务系统本身涉及的重要信息资源较多,如果公司内部网络直接 连接到 Internet 公网,各个子网通信时明文直接在公网上传输,会带来很大的安全隐患。主要表现在,
上海安达通安全解决方案案例
www.adtsec.com 37 Tel,021-64325693; 64325694
总部的服务器直接暴露在公网中,很容易遭受黑客的攻击,轻则影响到业务的正常运作,重则使整个系统瘫痪、数据遭受破坏;
在网络中传输的原始重要数据容易被截获,通过分析,可以获取公司内部的重要商业机密数据,存在泄露给竞争对手的风险;
如果没有对网络出口作限制,公司内部可能存在的少数不良员工可通过网络将公司机密数据发送到外部;
公司内网访问外部未作限制,一些游戏、聊天程序可以正常运行,导致工作效率低下。
基于以上几点,迫切需要解决系统的安全防护工作。要求在网络的边界及各个分支机构的链路等环节进行综合考虑,建设和贯彻统一的安全保障体系。
为了实现上述目的,我们采用了如下图所示的解决方案,
在上海总部和外网的边界部署一台三口高性能的 SGW25C 安全网关,LAN
口接内部网络的交换机,WAN 口接外部网络( Internet)接口,DMZ口接业务系统的关键服务器,服务器和内部主机都使用私有 IP 地址,利用安全网关的静态
NAPT功能向外(那些尚未接入 VPN 的分公司)提供服务,利用地址池 NAT 功能使内网主机访问 Internet。
利用 安全网关中基于“六元组”控制的安全策略,可以对内部员工访问外部网络做到很细粒度的控制,比如对于大部分员工允许在上班时间访问 WEB页面、
上海安达通安全解决方案案例
www.adtsec.com 38 Tel,021-64325693; 64325694
收邮件操作,下班时间则完全不能访问外网,而对于公司领导没有上述限制,同时,也可以配合代理服务器对以上功能做更好的补充和扩展。
同时,安全网关具备状态检测模块,可以防御外网对内部主机的端口扫描、
各种 DoS/DDoS 攻击等恶意攻击行为。
上海的三个分公司和外网的边界分别部署一台 SGW25B安全网关。 SGW25B
安全网关有两个网口,其他功能和 SGW25C 完全一致。此三台安全网关和 总部的安全网关分别建立安全隧道,构建一个星型的 VPN 网络,保护子网中所有主机的通信,同样对于加密的数据也可以控制到 IP 的,六元组,,即只对业务系统和其他需要使用(比如 VOIP)的数据加密,避免因为其他非必须的通信占据 VPN
带宽,做到了很好的带宽控制功能。各子网之间安全隧道的加密密钥是两个网关动态协商的,协商的周期可以在网关上设定,用户可以根据对安全性的具体需求设置这个数值。
在江苏分公司和外网的边界部署一台 SGW25C 安全网关。在目前情况下,
因为和上海总部之间有一条 DDN 专线,VPN 上的数据量不一定会很大,但是江苏分公司将来会作为江苏地区网络的中心,要承担下属公司数据上报的任务,因此,考虑到网络的可扩展性和前瞻性,选用一台高性能的 SGW25C 网关是有必要的。
授权的内部员工当出差在外时,可以在当地接入 Internet,然后使用“安全网关客户端软件”,通过加密隧道从外部安全方便地接入局中心内网。
