61阅读

网络设计方案-网络安全设计方案

发布时间:2017-08-26 所属栏目:无线网络设计方案

一 : 网络安全设计方案

方案一:网络安全设计方案

网络系统安全

网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。

网络系统安全具备的功能及配置原则

1.网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。

2.漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。

3.入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。

4.加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如VPN方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。

5.备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。

6.监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。

边界安全解决方案

在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙,为“内部”网络(段)与“外部”网络(段)划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的VPN设备,在进行“内”外网络(段)的隔离的同时建立网络(段)之间的安全通道。

1.防火墙应具备如下功能:

使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口;

允许Internet公网用户访问到DMZ区的应用服务:http、ftp、smtp、dns等;

允许DMZ区内的工作站与应用服务器访问Internet公网;

允许内部用户访问DMZ的应用服务:http、ftp、smtp、dns、pop3、https;

允许内部网用户通过代理访问Internet公网;

禁止Internet公网用户进入内部网络和非法访问DMZ区应用服务器;

禁止DMZ区的公开服务器访问内部网络;

防止来自Internet的DOS一类的攻击;

能接受入侵检测的联动要求,可实现对实时入侵的策略响应;

对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的Banner信息,防止恶意用户信息刺探;

提供日志报表的自动生成功能,便于事件的分析;

提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态(当前有那些连接、正在连接的IP、正在关闭的连接等信息),通信数据流量。提供连接查询和动态图表显示。

防火墙自身必须是有防黑客攻击的保护能力。

2.带防火墙功能的VPN设备是在防火墙基本功能(隔离和访问控制)基础上,通过功能扩展,同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力,这类设备也有SVPN的,主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网安全地连接起来,一般要求SVPN应具有一下功能:

防火墙基本功能,主要包括:IP包过虑、应用代理、提供DMZ端口和NAT功能等(有些功能描述与上相同);

具有对连接两端的实体鉴别认证能力;

支持移动用户远程的安全接入;

支持IPESP隧道内传输数据的完整性和机密性保护;

提供系统内密钥管理功能;

SVPN设备自身具有防黑客攻击以及网上设备认证的能力。

入侵检测与响应方案

在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵害“内部”网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在“内部”网与外部网的边界处形成保护体系。

入侵检测系统的基本功能如下:

通过检测引擎对各种应用协议,操作系统,网络交换的数据进行分析,检测出网络入侵事件和可疑操作行为。

对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰。

采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、SysLog报警、SNMPTrap报警、Windows日志报警、Windows消息报警信息,并按照预设策略,根据提供的报警信息切断攻击连接。

与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为。

全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态。

可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能让管理人员方便的提取信息。

入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。

漏洞扫描方案

除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。

对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及时升级换代或安装补丁程序;属委托开发的产品问题的,应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题,应建议系统管理员修改配置参数,或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。

漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助,对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。

考虑到漏洞扫描能检测出防火墙策略配置中的问题,能与入侵检测形成很好的互补关系:漏洞扫描与评估系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此,漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标,而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品,不但可以简化管理,而且便于漏洞扫描、入侵检测和防火墙之间的协调动作。

网络防病毒方案

网络防病毒产品较为成熟,且有几种主流产品。本方案建议,网络防病毒系统应具备下列功能:

网络&单机防护—提供个人或家庭用户病毒防护;

文件及存储服务器防护—提供服务器病毒防护;

邮件服务器防护—提供LotusNotes,MicrosoftExchange等病毒防护;

网关防护—在SMTP,HTTP,和FTPservergateway阻挡计算机病毒;

集中管理—为企业网络的防毒策略,提供了强大的集中控管能力。

关于安全设备之间的功能互补与协调运行

各种网络安全设备(防火墙、入侵检测、漏洞扫描、防病毒产品等),都有自己独特的安全探测与安全保护能力,但又有基于自身主要功能的扩展能力和与其它安全功能的对接能力或延续能力。因此,在安全设备选型和配置时,尽可能考虑到相关安全设备的功能互补与协调运行,对于提高网络平台的整体安全性具有重要意义。

防火墙是目前广泛用于隔离网络(段)边界并实施进/出信息流控制的大众型网络安全产品之一。作为不同网络(段)之间的逻辑隔离设备,防火墙将内部可信区域与外部危险区域有效隔离,将网络的安全策略制定和信息流动集中管理控制,为网络边界提供保护,是抵御入侵控制内外非法连接的。

但防火墙具有局限性。这种局限性并不说明防火墙功能有失缺,而且由于本身只应该承担这样的职能。因为防火墙是配置在网络连接边界的通道处的,这就决定了它的基本职能只应提供静态防御,其规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。这些控制规则只能是粗颗粒的,对一些协议细节无法做到完全解析。而且,防火墙无法自动调整策略设置以阻断正在进行的攻击,也无法防范基于协议的攻击。

为了弥补防火墙在实际应用中存在的局限,防火墙厂商主动提出了协调互动思想即联动问题。防火墙联动即将其它安全设备(组件)(例如IDS)探测或处理的结果通过接口引入系统内调整防火墙的安全策略,增强防火墙的访问控制能力和范围,提高整体安全水平。

目前,防火墙形成联动的主要有以下几种方式:

1.与入侵检测实现联动

目前,实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据来源不再来源于抓包,而是流经防火墙的数据流。但由于入侵检测系统本身也是一个很庞大的系统,从目前的软硬件处理能力来看,这种联动难于达到预期效果。第二种方式是通过开放接口来实现联动,即防火墙或者入侵检测系统开放一个接口供对方调用,按照一定的协议进行通信、警报和传输,这种方式比较灵活,不影响防火墙和入侵检测系统的性能。

防火墙与入侵检测系统联动,可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,并对网络内外两个部分都进行可靠管理。

2.与防病毒实现联动

防火墙处于内外网络信息流的必经之地,在网关一级对病毒进行查杀是网络防病毒的理想措施。目前已有一些厂商的防火墙可以与病毒防治软件进行联动,通过提供API定义异步接口,将数据包转发到装载了网关病毒防护软件的服务器上进行检查,但这种联动由于性能影响,目前并不适宜部署在网络边界处。

3.与日志处理间实现联动

防火墙与日志处理之间的联动,目前国内厂商做的不多。比较有代表性的是CheckPoint的防火墙,它提供两个API:LEA(LogExportAPI)和ELA(EventLoggingAPI),允许第三方访问日志数据。报表和事件分析采用LEAAPI,而安全与事件整合采用ELAAPI。防火墙产品利用这个接口与其他日志服务器合作,将大量的日志处理工作由专门的服务设备完成,提高了专业化程度。

内部网络监控与审计方案

上面的安全措施配置解决了网络边界的隔离与保护,网络与主机的健康(防病毒)运行,以及用户访问网络资源的身份认证和授权问题。

然而,县卫生局网络内部各办公网络、业务网络的运行秩序的维护,网络操作行为的监督,各种违规、违法行为的取证和责任认定,以及对操作系统漏洞引发的安全事件的监视和控制等问题,则是必须予以解决的问题。因此有必要在各种内部办公网络、业务网内部部署集中管理、分布式控制的监控与审计系统。这种系统通过在局域网(子网)内的管理中心安装管理器,在各台主机(PC机)中安装的代理软件形成一个监控与审计(虚拟网络)系统,通过对代理软件的策略配置,使得每台工作主机(PC机)按照办公或业务操作规范进行操作,并对可能经过主机外围接口(USB口、串/并口、软硬盘接口等)引入的非法入侵(包括病毒、木马等),或非法外连和外泄的行为予以阻断和记录;同时管理器通过网络还能及时收集各主机上的安全状态信息并下达控制命令,形成“事前预警、事中控制和事后审计”的监控链。

监控与审计系统应具有下列功能:

管理器自动识别局域网内所有被监控对象之间的网络拓扑关系,并采用图形化显示,包括被监控主机的状态(如在线、离线)等;

支持对包含有多个子网的局域网进行全面监控;

系统对被监控对象的USB移动存储设备、光驱、软驱等外设的使用以及利用这些设备进行文件操作等非授权行为进行实时监视、控制和审计;

系统对被监控对象的串/并口等接口的活动状态进行实时监视、控制和审计;

系统对进出被监控对象的网络通信(www,ftp,pop,smtp)数据包进行实时拦截、分析、处理和审计,对telnet通信数据包进行拦截;

系统可根据策略规定,禁止被监控对象进行拨号(普通modem拨号、ADSL拨号、社区宽带拨号)连接,同时提供审计;

系统对被监控对象运行的所有进程进行实时监视和审计;

系统支持群组管理,管理员可以根据被监控对象的属性特征,将其划分成不同的安全组,对每个组制定不同的安全策略,所有组的成员都根据该策略执行监控功能;

支持多角色管理,系统将管理员和审计员的角色分离,各司其职;

强审计能力,系统具有管理员操作审计、被监控对象发送的事件审计等功能;

系统自身有极强的安全性,能抗欺骗、篡改、伪造、嗅探、重放等攻击。


方案二:网络安全设计方案

某市政府中心网络安全方案设计

1.1安全系统建设目标

本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。

1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险;

2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护;

3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。

具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制;

其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。

1.1.1 防火墙系统设计方案

1.1.1.1 防火墙对服务器的安全保护

网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。

1.1.1.2 防火墙对内部非法用户的防范

网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。

对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安

全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用"黑客"工具造成严重破坏。

1.1.2入侵检测系统

利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就在防火墙内。

网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方,如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域,可以单独各部署一套网络监控系统(管理器+探测引擎),也可以在每个需要保护的地方单独部署一个探测引擎,在全网使用一个管理器,这种方式便于进行集中管理。

在内部应用网络中的重要网段,使用网络探测引擎,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,网络监视器还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。

需要说明的是,IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。

按照现阶段的网络及系统环境划分不同的网络安全风险区域,xxx市政府本期网络安全系统项目的需求为:

区域 部署安全产品

内网 连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆防火墙;在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器;在主干交换机上安装NetHawk网络安全监控与审计系统;在内部工作站上安装趋势防毒墙网络版防病毒软件;在各服务器上安装趋势防毒墙服务器版防病毒软件。

DMZ区 在服务器上安装趋势防毒墙服务器版防病毒软件;安装一台InterScan

VirusWall防病毒网关;安装百兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控与审计系统。

安全监控与备份中心 安装FW3010-5000千兆防火墙,安装RJ-iTOP榕基网络安全漏洞扫描器;安装眼镜蛇入侵检测系统控制台和百兆探测器;安装趋势防毒墙服务器版管理服务器,趋势防毒墙网络版管理服务器,对各防病毒软件进行集中管理。

1.2防火墙安全系统技术方案

某市政府局域网是应用的中心,存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。

所有的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到主干交换机上。由于工作站分布较广且全部连接,对中心的服务器及应用构成了极大的威胁,尤其是可能通过广域网上的工作站直接攻击服务器。因此,必须将中心与广域网进行隔离防护。考虑到效率,数据主要在主干交换机上流通,通过防火墙流入流出的流量不会超过百兆,因此使用百兆防火墙就完全可以满足要求。

如下图,我们在中心机房的DMZ服务区上安装两台互为冗余备份的海信FW3010PF-4000百兆防火墙,DMZ口通过交换机与WWW/FTP、DNS/MAIL服务器连接。同时,安装一台Fw3010PF-5000千兆防火墙,将安全与备份中心与其他区域逻辑隔离开来通过安装防火墙,实现下列的安全目标:

1) 利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信;

2) 利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;

3) 利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝;

4) 利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;

5) 利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;

6) 利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线;

7) 根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。

1.3入侵检测系统技术方案

如下图所示,我们建议在局域网中心交换机安装一台海信眼镜蛇入侵检测系统千兆探测器,DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器,用以实时检测局域网用户和外网用户对主机的访问,在安全监控与备份中心安装一台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统控制台,由系统控制台进行统一的管理(统一事件库升级、统一安全防护策略、统一上报日志生成报表)。

其中,海信眼镜蛇网络入侵检测系统还可以与海信FW3010PF防火墙进行联动,一旦发现由外部发起的攻击行为,将向防火墙发送通知报文,由防火墙来阻断连接,实现动态的安全防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有:海信FW3010PF防火墙,支持OPSEC协议的防火墙。

通过使用入侵检测系统,我们可以做到:

1) 对网络边界点的数据进行检测,防止黑客的入侵; 2) 对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改; 3) 监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作; 4) 对用户的非正常活动进行统计分析,发现入侵行为的规律; 5) 实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动; 6) 对关键正常事件及异常行为记录日志,进行审计跟踪管理。

通过使用海信眼镜蛇入侵检测系统可以容易的完成对以下的攻击识别:网络信息收集、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。

网络给某市政府带来巨大便利的同时,也带来了许多挑战,其中安全问题尤为突出。加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险会日益加重。引起这些风险的原因有多种,其中网络系统结构和系统的应用等因素尤为重要。主要涉及物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等方面。通过以上方案的设计和实施,所有安全隐患就得到了良好的改善。


方案三:网络安全设计方案

一、客户背景

集团内联网主要以总部局域网为核心,采用广域网方式与外地子公司联网。集团广域网采用MPLS-VPN技术,用来为各个分公司提供骨干网络平台和VPN接入,各个分公司可以在集团的骨干信息网络系统上建设各自的子系统,确保各类系统间的相互独立。

二、安全威胁

某公司属于大型上市公司,在北京,上海、广州等地均有分公司。公司内部采用无纸化办公,OA系统成熟。每个局域网连接着该所有部门,所有的数据都从局域网中传递。同时,各分公司采用VPN技术连接公司总部。该单位为了方便,将相当一部分业务放在了对外开放的网站上,网站也成为了既是对外形象窗口又是内部办公窗口。

由于网络设计部署上的缺陷,该单位局域网在建成后就不断出现网络拥堵、网速特别慢的情况,同时有些个别机器上的杀毒软件频频出现病毒报警,网络经常瘫痪,每次时间都持续几十分钟,网管简直成了救火队员,忙着清除病毒,重装系统。对外WEB网站同样也遭到黑客攻击,网页遭到非法篡改,有些网页甚至成了传播不良信息的平台,不仅影响到网站的正常运行,而且还对政府形象也造成不良影响。(安全威胁根据拓扑图分析)从网络安全威胁看,集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等信息安全现状:经过分析发现该公司信息安全基本上是空白,主要有以下问题:

公司没有制定信息安全政策,信息管理不健全。 公司在建内网时与internet的连接没有防火墙。 内部网络(同一城市的各分公司)之间没有任何安全保障为了让网络正常运行。

根据我国《信息安全等级保护管理办法》的信息安全要求,近期公司决定对该网络加强安全防护,解决目前网络出现的安全问题。

三、安全需求

从安全性和实用性角度考虑,安全需求主要包括以下几个方面:

1、安全管理咨询

安全建设应该遵照7分管理3分技术的原则,通过本次安全项目,可以发现集团现有安全问题,并且协助建立起完善的安全管理和安全组织体系。

2、集团骨干网络边界安全

主要考虑骨干网络中Internet出口处的安全,以及移动用户、远程拨号访问用户的安全。

3、集团骨干网络服务器安全

主要考虑骨干网络中网关服务器和集团内部的服务器,包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全。

4、集团内联网统一的病毒防护

主要考虑集团内联网中,包括总公司在内的所有公司的病毒防护。

5、统一的增强口令认证系统

由于系统管理员需要管理大量的主机和网络设备,如何确保口令安全称为一个重要的问题。

6、统一的安全管理平台

通过在集团内联网部署统一的安全管理平台,实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。

7、专业安全服务

过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度,全面评估企业网络中的信息资产及其面临的安全风险情况,在必要的情况下,进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力,降低安全风险。

四、方案设计

骨干网边界安全

集团骨干网共有一个Internet出口,位置在总部,在Internet出口处部署LinkTrust Cyberwall-200F/006防火墙一台。

在Internet出口处部署一台LinkTrust Network Defender领信网络入侵检测系统,通过交换机端口镜像的方式,将进出Internet的流量镜像到入侵检测的监听端口,LinkTrust

Network Defender可以实时监控网络中的异常流量,防止恶意入侵。

在各个分公司中添加一个DMZ区,保证各公司的信息安全,内部网络(同一城市的各分公司)之间没有任何安全保障骨干网服务器安全

集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等,以及专为此次项目配置的、用于安全产品管理的服务器的安全。 主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。

漏洞扫描

了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安全问题等,都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。

内联网病毒防护

病毒防范是网络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。

病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。

增强的身份认证系统

由于需要管理大量的主机和网络设备,如何确保口令安全也是一个非常重要的问题。 减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外,还必须拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了安全性。

统一安全平台的建立

通过建立统一的安全管理平台(安全运行管理中心—SOC),建立起集团的安全风险监控体系,利于从全局的角度发现网络中存在的安全问题,并及时归并相关人员处理。这里的风险监控体系包括安全信息库、安全事件收集管理系统、安全工单系统等,同时开发有效的多种手段实时告警系统,定制高效的安全报表系统。

五、网络管理:

(1)故障管理

故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:

(1)故障监测:主动探测或被动接收网络上的各种事件信息,并识别出其中与网络和系统故障相关的内容,对其中的关键部分保持跟踪,生成网络故障事件记录。

(2)故障报警:接收故障监测模块传来的报警信息,根据报警策略驱动不同的报警程序,以报警窗口/振铃(通知一线网络管理人员)或电子邮件(通知决策管理人员)发出网络严重故障警报。

(3)故障信息管理:依靠对事件记录的分析,定义网络故障并生成故障卡片,记录排除故障的步骤和与故障相关的值班员日志,构造排错行动记录,将事件-故障-日志构成逻辑上相互关联的整体,以反映故障产生、变化、消除的整个过程的各个方面。

(4)排错支持工具:向管理人员提供一系列的实时检测工具,对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错;根据已有的徘错经验和管理员对故障状态的描述给出对徘错行动的提示。

(5)检索/分析故障信息:浏阅并且以关键字检索查询故障管理系统中所有的数据库记录,定期收集故障记录数据,在此基础上给出被管网络系统、被管线路设备的可靠性参数。 对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在 错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理器,即所谓的"警报"。 一般网络管理器应根据有关信息对警报进行处理,排除故障。当故障比较复杂时,网络管理 器应能执行一些诊断测试来辨别故障原因。

(2)计费管理

计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。

(1)计费数据采集:计费数据采集是整个计费系统的基础,但计费数据采集往往受到采集设备硬件与软件的制约,而且也与进行计费的网络资源有关。 (2)数据管理与数据维护:计费管理人工交互性很强,虽然有很多数据维护系统自动完成,但仍然需要人为管理,包括交纳费用的输入、联网单位信息维护,以及账单样式决定等。

(3)计费政策制定;由于计费政策经常灵活变化,因此实现用户自由制定输入计费政策尤其重要。这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型。

(4)政策比较与决策支持:计费管理应该提供多套计费政策的数据比较,为政策制订提供决策依据。

(5)数据分析与费用计算:利用采集的网络资源使用数据,联网用户的详细信息以及计费政策计算网络用户资源的使用情况,并计算出应交纳的费用。

(6)数据查询:提供给每个网络用户关于自身使用网络资源情况的详细信息,网络用户根据这些信息可以计算、核对自己的收费情况。

(3)配置管理

配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了实现某个特定功能或使网络性能达到最优。

(1)配置信息的自动获取:在一个大型网络中,需要管理的设备是比较多的,如果每个设备的配置信息都完全依靠管理人员的手工输入,工作量是相当大的,而且还存在出错的可能性。对于不熟悉网络结构的人员来说,这项工作甚至无法完成‘因此,一个先进的网络管理系统应该具有配置信息自动获取功能。即使在管理人员不是很熟悉网络结构和配置状况的情况下,也能通过有关的技术手段来完成对网络的配置和管理。在网络设备的配置信息中,根据获取手段大致可以分为三类:一类是网络管理协议标准的MIB中定义的配置信息(包括SNMP;和CMIP协议);二类是不在网络管理协议标准中有定义,但是对设备运行比较重要的配置信息;三类就是用于管理的一些辅助信息。

(2)自动配置、自动备份及相关技术:配置信息自动获取功能相当于从网络设备中“读”信息,相应的,在网络管理应用中还有大量“写”信息的需求。同样根据设置手段对网络配置信息进行分类:一类是可以通过网络管理协议标准中定义的方法(如SNMP中的set服务)进行设置的配置信息;二类是可以通过自动登录到设备进行配置的信息;三类就是需要修改的管理性配置信息。

(3)配置一致性检查:在一个大型网络中,由于网络设备众多,而且由于管理的原因,这些设备很可能不是由同一个管理人员进行配置的。实际上‘即使是同一个管理员对设备进行的配置,也会由于各种原因导致配置一致性问题。因此,对整个网络的配置情况进行一致性检查是必需的。在网络的配置中,对网络正常运行影响最大的主要是路由器端口配置和路由信息配置,因此,要进行、致性检查的也主要是这两类信息。

(4)用户操作记录功能:配置系统的安全性是整个网络管理系统安全的核心,因此,必须对用户进行的每一配置操作进行记录。在配置管理中,需要对用户操作进行记录,并保存下来。管理人员可以随时查看特定用户在特定时间内进行的特定配置操作。

(4)性能管理(performance management)

性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:

(1)性能监控:由用户定义被管对象及其属性。被管对象类型包括线路和路由器;被管对象属性包括流量、延迟、丢包率、CPU利用率、温度、内存余量。对于每个被管对象,定时采集性能数据,自动生成性能报告。

(2)阈值控制:可对每一个被管对象的每一条属性设置阈值,对于特定被管对象的特定属性,可以针对不同的时间段和性能指标进行阈值设置。可通过设置阈值检查开关控制阂值检查和告警,提供相应的阈值管理和溢出告警机制。

(3)性能分桥:对历史数据进行分析,统计和整理,计算性能指标,对性能状况作出判断,为网络规划提供参考。

(4)可视化的性能报告:对数据进行扫描和处理,生成性能趋势曲线,以直观的图形反映性能分析的结果。

(5)实时性能监控:提供了一系列实时数据采集;分析和可视化工具,用以对流量、负载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测,可任意设置数据采集间隔。

(6)网络对象性能查询:可通过列表或按关键字检索被管网络对象及其属性的性能记录。

(5)安全管理

安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:

网络数据的私有性(保护网络数据不被侵 入者非法获取),

授权(authentication)(防止侵入者在网络上发送错误信息),

访问控制(控制访问控制(控制对网络资源的访问)。

相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:

网络管理过程中,存储和传输的管理和控制信息对网络的运行和管理至关重要,一旦泄密、被篡改和伪造,将给网络造成灾难性的破坏。网络管理本身的安全由以下机制来保证:

(1)管理员身份认证,采用基于公开密钥的证书认证机制;为提高系统效率,对于信任域内(如局域网)的用户,可以使用简单口令认证。

(2)管理信息存储和传输的加密与完整性,Web浏览器和网络管理服务器之间采用安全套接字层(SSL)传输协议,对管理信息加密传输并保证其完整性;内部存储的机密信息,如登录口令等,也是经过加密的。

(3)网络管理用户分组管理与访问控制,网络管理系统的用户(即管理员)按任务的不同分成若干用户组,不同的用户组中有不同的权限范围,对用户的操作由访问控制检查,保证用户不能越权使用网络管理系统。

(4)系统日志分析,记录用户所有的操作,使系统的操作和对网络对象的修改有据可查,同时也有助于故障的跟踪与恢复。

网络对象的安全管理有以下功能:

(1)网络资源的访问控制,通过管理路由器的访问控制链表,完成防火墙的管理功能,即从网络层(1P)和传输层(TCP)控制对网络资源的访问,保护网络内部的设备和应用服务,防止外来的攻击。

(2)告警事件分析,接收网络对象所发出的告警事件,分析员安全相关的信息(如路由器登录信息、SNMP认证失败信息),实时地向管理员告警,并提供历史安全事件的检索与分析机制,及时地发现正在进行的攻击或可疑的攻击迹象。

(3)主机系统的安全漏洞检测,实时的监测主机系统的重要服务(如WWW,DNS等)的状态,提供安全监测工具,以搜索系统可能存在的安全漏洞或安全隐患,并给出弥补的措施。

二 : 网络安全设计方案07

(1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整性。要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作为一个系统工程来考虑。

网络系统可靠性:为减少单点失效,要分析交换机和路由器应采用负荷或流量分担方式,对服务器、计费服务器和DB服务器,WWW服务器,分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。

对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。 网络安全应包含:数据安全;

预防病毒;

网络安全层;

操作系统安全;

安全系统等;

(2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个方面:

l 对路由器、服务器等的配置要求充分考虑安全因素

l 制定妥善的安全管理政策,例如口令管理、用户帐号管理等。 l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。

l 制定对黑客入侵的防范策略。

l 对不同的业务设立不同的安全级别。

(3)卖方可提出自己建议的网络安全方案。

1.2 整体需求

l 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。 l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。

l 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级,培训,入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。

l 安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能兼容并有效整合。

l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。

l 所有安全产品要求界面友好,易于安装,配置和管理,并有详尽的技术文档。

l 所有安全产品要求自身高度安全性和稳定性。

l 安全产品要求功能模块配置灵活,并具有良好的可扩展性。

1.3 防火墙部分的功能需求

l 网络特性:防火墙所能保护的网络类型应包括以太网、快速以太网、(千兆以太 网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数:软、硬件防火墙应能提供至少4个端口。

l 服务器平台:软件防火墙所运行的操作系统平台应包括

Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000可选)。 l 加密特性:应提供加密功能,最好为基于硬件的加密。

l 认证类型:应具有一个或多个认证方案,如RADIUS、Kerberos、TACACS/TACACS+、 口令方式、数字证书等。

l 访问控制:包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤;过滤规则应易于理解,易于编辑修改;同时应具备一致性检测机制,防止冲突;在传输层、应用层(HTTP、FTP、TELNET、SNMP、STMP、POP)提供代理支持;支持网络地址转换(NAT)。

l 防御功能:支持病毒扫描,提供内容过滤,能防御Ping of Death,TCP SYN Floods及其它类型DoS攻击。

l 安全特性:支持转发和跟踪ICMP协议(ICMP 代理);提供入侵实时警告;提供实时入侵防范;识别/记录/防止企图进行IP地址欺骗。

l 管理功能:支持本地管理、远程管理和集中管理;支持SNMP监视和配置;负载均衡特性;支持容错技术,如双机热备份、故障恢复,双电源备份等。 l 记录和报表功能:防火墙应该提供日志信息管理和存储方法;防火墙应具有日志的自动分析和扫描功能;防火墙应提供告警机制,在检测到入侵网络以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,包括E-mail、呼机、手机等;提供简要报表(按照用户ID或IP 地址提供报表分类打印); 提供实时统计。

2 惠普公司在吉通上海IDC中的网络安全管理的设计思想

2.1 网络信息安全设计宗旨

惠普公司在为客户IDC项目的信息安全提供建设和服务的宗旨可以表述为: l 依据最新、最先进的国际信息安全标准

l 采用国际上最先进的安全技术和安全产品

l 参照国际标准ISO9000系列质量保证体系来规范惠普公司提供的信息安全产品和服务

l 严格遵守中华人民共和国相关的法律和法规

2.2 网络信息安全的目标

网络安全的最终目标是保护网络上信息资源的安全,信息安全具有以下特征: l 保密性:确保只有经过授权的人才能访问信息;

l 完整性:保护信息和信息的处理方法准确而完整;

l 可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。

信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。

2.3 网络信息安全要素

惠普公司的信息安全理念突出地表现在三个方面--安全策略、管理和技术。 l 安全策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等,是信 息安全的最核心问题,是整个信息安全建设的依据;

l 安全管理--主要是人员、组织和流程的管理,是实现信息安全的落实手段;

l 安全技术--包含工具、产品和服务等,是实现信息安全的有力保证。 根据上述三个方面,惠普公司可以为客户提供的信息安全完全解决方案不仅仅包含各种安全产品和技术,更重要的就是要建立一个一致的信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。

2.4 网络信息安全标准与规范

在安全方案设计过程和方案的实施中,惠普公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括:

l ISO/IEC 17799 Information technology–Code of practice for information security management

l ISO/IEC 13335 Information technology– Guidelines for The Management of IT Security

l ISO/IEC 15408 Information technology– Security techniques – Evaluation criteria for IT security

l 我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。

2.5 网络信息安全周期

任何网络的安全过程都是一个不断重复改进的循环过程,它主要包含风险管理、安全策略、方案设计、安全要素实施。这也是惠普公司倡导的网络信息安全周期。 l 风险评估管理:对企业网络中的资产、威胁、漏洞等内容进行评估,获取安全风险的客观数据;

l 安全策略:指导企业进行安全行为的规范,明确信息安全的尺度; l 方案设计:参照风险评估结果,依据安全策略及网络实际的业务状况,进行安全方案设计;

l 安全要素实施:包括方案设计中的安全产品及安全服务各项要素的有效执行。

l 安全管理与维护:按照安全策略以及安全方案进行日常的安全管理与维护,包括变更管理、事件管理、风险管理和配置管理。

l 安全意识培养:帮助企业培训员工树立必要的安全观念。

3 吉通上海IDC信息系统安全产品解决方案

3.1 层次性安全需求分析和设计

网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题,本节将从系统层次结构的角度展开,分析吉通IDC各个层次可能存在的安全漏洞和安全风险,并提出解决方案。

3.2 层次模型描述

针对吉通IDC的情况,结合《吉通上海IDC技术需求书》的要求,惠普公司把吉通上海IDC的信息系统安全划分为六个层次,环境和硬件、网络层、操作系统、数据库层、应用层及操作层。

3.2.1 环境和硬件

为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施、过程。详细内容请参照机房建设部分的建议书。

3.2.2 网络层安全

3.2.2.1安全的网络拓扑结构

网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用 IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。 保证网络安全的首要问题就是要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。在对吉通IDC网络设计时,惠普公司已经考虑了网段的划分的安全性问题。其中网络具体的拓扑结构好要根据吉通IDC所提供的服务和客户的具体要求做出最终设计。

3.2.2.2 网络扫描技术

解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。

解决方案:ISS网络扫描器Internet Scanner

配置方法:在上海IDC中使用一台高配置的笔记本电脑安装Internet Scanner,定期对本IDC进行全面的网络安全评估, 包括所有重要的服务器、防火墙、路由设备等。扫描的时间间隔请参照安全策略的要求。

ISS网络扫描器Internet Scanner是全球网络安全市场的顶尖产品。它通过对网络安全弱 点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。网络扫描仪对所有附属在网络中的设备进行扫描,检查它们的弱点,将风险分为高,中,低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。

该产品的时间策略是定时操作,扫描对象是整个网络。它可在一台单机上对已知的网络安全漏洞进行扫描。截止Internet Scanner6.01版本,Internet Scanner已能对900 种以上 的来自通讯、服务、防火墙、WEB应用等的漏洞进行扫描。它采用模拟攻击的手段去检测网络上每一个IP隐藏的漏洞,其扫描对网络不会做任何修改和造成任何危害。

Internet Scanner每次扫描的结果可生成详细报告,报告对扫描到的漏洞按高、中、低三 个风险级别分类,每个漏洞的危害及补救办法都有详细说明。用户可根据报告提出的建议修改网络配置,填补漏洞。

可检测漏洞分类表:

Brute Force Password-Guessing

为经常改变的帐号、口令和服务测试其安全性

Daemons

检测UNIX进程(Windows服务)

Network

检测SNMP和路由器及交换设备漏洞

Denial of Service

检测中断操作系统和程序的漏洞,一些检测将暂停相应的服务

NFS/X Windows

检测网络网络文件系统和X-Windows的漏洞

RPC

检测特定的远程过程调用

SMTP/FTP

检测SMTP和FTP的漏洞

Web Server Scan and CGI-Bin

检测Web服务器的文件和程序(如IIS,CGI脚本和HTTP)

NT Users, Groups, and Passwords

检测NT用户,包括用户、口令策略、解锁策略

Browser Policy

检测IE和Netscape浏览器漏洞

Security Zones

检测用于访问互联网安全区域的权限漏洞

Port Scans

检测标准的网络端口和服务

Firewalls

检测防火墙设备,确定安全和协议漏洞

Proxy/DNS

检测代理服务或域名系统的漏洞

IP Spoofing

检测是否计算机接收到可疑信息

Critical NT Issues

包含NT操作系统强壮性安全测试和与其相关的活动

NT Groups/Networking

检测用户组成员资格和NT网络安全漏洞

NetBIOS Misc

检测操作系统版本和补丁包、确认日志存取,列举、显示NetBIOS提供的信息

网络安全设计方案07_网络安全方案

Shares/DCOM

检测NetBIOS共享和DCOM对象。使用DCOM可以测试注册码、权限和缺省安全级别

NT Registry

包括检测主机注册信息的安全性,保护SNMP子网的密匙

NT Services

包括检测NT正在运行的服务和与之相关安全漏洞

2.2.2.3 防火墙技术

防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击,实现以下基本功能:

· 禁止外部用户进入内部网络,访问内部机器;

· 保证外部用户可以且只能访问到某些指定的公开信息;

· 限制内部用户只能访问到某些特定的Internet资源,如WWW服务、FTP服务、 TELNET服务等;

解决方案:CheckPoint Firewall-1防火墙和Cisco PIX防火墙

防火墙除了部署在IDC的私有网(即网管网段等由IDC负责日常维护的网络部分)以外,还可以根据不同的用户的需求进行防火墙的部署,我们建议对于独享主机和共享主机都进行防火墙的配置,而对于托管的主机可以根据用户的实际情况提供防火墙服务。

无论是虚拟主机还是托管主机,IDC都需要为这些用户提供不同程度的远程维护手段,因此我们也可以采用VPN的技术手段来保证远程维护的安全性,VPN同时也可以满足IDC为某些企业提供远程移动用户和合作企业之间的安全访问的需求。

根据吉通上海IDC的安全要求以及安全产品的配置原则,我们建议使用的产品包括Cisco PIX和CheckPoint Firewall-1在内的两种防火墙,其中:

l Cisco PIX防火墙配置在对网络访问速度要求较高但安全要求相对较低的网站托管区和主机托管区;

l CheckPoint防火墙配置在对网络速度较低但安全要求相对较高的IDC维护网段。

这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品,并在今年4月刚刚结束的安全产品的年度评比中,并列最佳防火墙产品的首位。这里只对CheckPoint的Firewall-1进行说明。

Checkpoint公司是一家专门从事网络安全产品开发的公司,是软件防火墙领域的佼佼者,其旗舰产品CheckPoint Firewall-1在全球软件防火墙产品中位居第一(52%),在亚太 地区甚至高达百分之七十以上,远远领先同类产品。在中国电信、银行等行业都有了广泛的应用。

CheckPoint Firewall-1 是一个综合的、模块化的安全套件,它是一个基于策略的解决方 案,提供集中管理、访问控制、授权、加密、网络地址传输、内容显

示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CheckPoint Firewall-1 套件提供单一的、集中的分布式安全的策略,跨越Unix、 NT、路由器、交换机和其他外围设备,提供大量的API,有150多个解决方案和OEM厂商的 支持。CP Firewall-1 由3个交互操作的组件构成:控制组件、加强组件和可选组件。这些 组件即可以运行在单机上,也可以部署在跨平台系统上。其中,控制组件包括Firewall-1 管理服务器和图形化的客户端;加强组件包含Firewall-1 检测模块和Firewall-1 防火墙 模块;可选组件包括Firewall-1 Encryption Module(主要用于保护VPN)、Firewall-1 Connect Control Module(执行服务器负载平衡)Router Security Module (管理路由器 访问控制列表)。

Checkpoint Firewall-1 防火墙的操作在操作系统的核心层进行,而不是在应用程序层, 这样可以使系统达到最高性能的扩展和升级。此外Checkpoint

Firewall-1 支持基于Web 的多媒体和基于UDP的应用程序,并采用多重验证模板和方法,使网络管理员容易验证客户端、会话和用户对网络的访问。 CHECKPOINT防火墙功能要求:

1) 支持透明接入和透明连接,不影响原有网络设计和配置:

Check Point FireWall-1是一款软件防火墙,是安装在现有的网关或服务器计算机上,对接入和连接都是透明的,不会影响原有网络设计和配置。

2) 带有DMZ的连接方式:

Check Point FireWall-1可以支持多个网络接口,所以客户可以很容易的按照需要设置DMZ分区。

3) 支持本地和远程管理两种管理方式:

Check Point FireWall-1中的Enterprise Management Console模块功能十分强 大,支持本地和远程两种管理方式,减轻了网络管理员对网络的管理负担。

4) 支持命令行和GUI方式的管理与配置:

Check Point FireWall-1中的管理控制台支持命令行和GUI方式的管理与配置; 可以在Windows 95/98/NT上安装Windows GUI界面,在Unix操作系统下可以安装 Motif GUI图形用户界面进行管理与配置。

5) 对分布式的防火墙支持集中统一状态管理:

Check Point FireWall-1中的管理控制台支持对分布式防火墙的集中统一状态 管理。它可以同时管理多个防火墙模块。

6) 规则测试功能,支持规则一致性测试:

Check Point FireWall-1中的策略编辑器中有一命令,可以对已经配置好的规则 进行测试,可以检测其一致性。

7) 透明代理功能:

Check Point FireWall-1支持代理功能,而且功能强大,可以支持本身自带的预 定义 的超过150多种的常用协议。

8) 地址转换功能,支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换:

Check Point FireWall-1支持NAT地址转换功能,支持Static Mode(静态转换)和 Hide Mode(动态转换) 两种方式;目前不支持IP地址与TCP/UDP端口的转换。

9) 访问控制,包括对HTTP、FTP、SMTP、TELNET、NNTP等服务类型的访问控制;

Check Point FireWall-1可以通过制定策略来进行访问控制,可以支持超过150 多种的常用协议,并可以自定义各种不常用的协议。

10) 用户级权限控制:

Check Point FireWall-1可以指定用户对象,在其属性中有各种认证方式可供选 择,加强了用户级的权限控制。

11) 防止IP地址欺骗功能:

Check Point FireWall-1提供了防止IP地址欺骗的功能,可以在设定防火墙网关 的网卡属性时激活该功能。

12) 包过滤,支持IP层以上的所有数据包的过滤:

Check Point FireWall-1中的对象以IP地址或TCP/UDP端口号来识别,所以可以 对IP层以上的所有数据包进行过滤。

13) 信息过滤,包括HTTP、FTP、SMTP、NNTP等协议的信息过滤:

Check Point FireWall-1可以通过OPSEC接口,与第三方厂商的软件或硬件产品无 缝结合起来对HTTP、FTP、SMTP等协议进行信息过滤。

14) 地址绑定功能,实现MAC地址与固定IP地址的绑定,防止IP地址盗用: Check Point FireWall-1目前为止不能实现MAC地址与固定IP地址的绑定。但是 可以利用各节点处的路由器来进行MAC地址与固定IP地址的绑定。

15) 抗攻击性要求,包括对防火墙本身和受保护网段的攻击抵抗:

防火墙本身的抗攻击能力与其所运行的操作系统的安全级别有关。操作系统的安全级别越高,防火墙本身的抗攻击的能力也越高。

16) 审计日志功能,支持对日志的统计分析功能:

Check Point FireWall-1中自带有日志功能,可以对符合预定规则的网络流量事先规定的方式进行记录;在Check Point FireWall-1 4.1产品中带有Reporting Module,可以对日志进行分析统计。

17) 实时告警功能,对防火墙本身或受保护网段的非法攻击支持多种告警方式(声光告警、EMAIL告警、日志告警等)以及多种级别的告警:

Check Point FireWall-1的策略中有报警功能,其中包括了E-mail告警,日志告警等多种告警方式。

CheckPoint防火墙技术性能指标:

1) 时延:在每个包大小平均为512字节的情况下,在3DES加密方式下Unix的时延是 1.8msec,NT是1.2msec;在DES加密下Unix的时延是1.3msec,NT是1msec。

2) 吞吐量:在没有数据加密情况下,不同的操作系统可以分别达到152M~246Mbps;在数据加密情况下,可以达到约55Mbps。

3) 最小规则数:

在防火墙概念中无此提法。按照我们的理解,此概念如果是指策略中的规则数的话,则无限制。

4) 包转发率:10~15Mbps。

5) 最大位转发率:在防火墙概念中无此提法。按照我们的理解,此概念类似吞吐量。

6) 并发连接数:理论上没有限制。

Firewall-1防火墙是一种应用级防火墙,它的监测模块能监测和分析网络通信所有七层协议的内容。

实际上路由器本身就可以实现包过滤防火墙的功能,对吉通上海IDC的各个路由器的配置进行检查和调整。保证整个网络中各个路由器的配置相互一致,并承担包过滤检查的功能。

因为防火墙在核心网上起着安全管理的“警察”的重要作用,它的可靠性往往代表着整个网络的可靠性。如果一台防火墙发生故障,那么所有经过它的网络连接都中断了,防火墙就成为一个“单点故障”,这在一个及其关键的网络环境中是不允许的。

建议方案:

Checkpoint FireWall-1 防火墙产品可以通过两台防火墙之间建立主备份 关系而大大增加防火墙的可靠性。Checkpoint FireWall-1是基于先进的“状态检测”(Stateful Inspection)技术的防火墙,它从经过它的网络连接的各个层次抽取信息,以得到每个连接的状态。这些状态存放在一个动态的状态表中,并随着数据的传输而刷新。要在两台防火墙之间切换,必须在这两台防火墙之间共享这些状态信息,以保证切换时最大可能地保留已建立的连接。

利用Qualix Group的QualixHA+ Module for FireWall-1软件可以很好地做到这一点。 两台相同配置的FireWall-1防火墙,一台为主防火墙,一台为热 备份防火墙。在热备份防火墙上安装QualixHA+,它能自动地监测主防火墙的状态,并在一旦主防火墙故障时迅速地把主防火墙切换到热备份防火墙上,而不需要人工干预。由于QualixHA+能把热备份防火墙的配置设置成与主防火墙一致,所以切换后不会损失任何防火墙功能。而QualixHA+所在的热备份防火墙可以与主备份防火墙共有同一个IP地址,所以切换后也无需修改路由器的设置。

2.2.2.4 网络实时入侵检测技术

防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应,就要依靠基于网络的实时入侵监测技术。监控网络上的数据流,从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。

解决方案: ISS网络入侵检测 RealSecure Network Sensor

配置方法:参见“监控和防御”。

ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻 击检测与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。

ISS 网络入侵检测RealSecure Network Sensor在检测到网络入侵后,除了可以及时切断攻 击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。

3.2.3 操作系统层安全

操作系统安全也称主机安全,由于现代操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如Unix,Window NT,其安全漏洞更是广为流传。另 一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。

3.2.3.1 系统扫描技术

对操作系统这一层次需要功能全面、智能化的检测,以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布,及时下载补丁来进行防范,同时要经常对关键数据和文件进行备份和妥善保存,随时留意系统文件的变化。

解决方案: ISS系统扫描器(System Scanner)

配置方法: System Scanner Console可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。在IDC中各重要服务器(网管工作站、数据采集工作站、计费服务器、网站托管服务器等)内安装

System Scanner Agent。Console管理各个Agent。定期(时间间隔参照安全策略的要求)对重要服务器进行全面的操作系统安全评估。

ISS系统扫描器(System Scanner) 是基于主机的一种领先的安全评估系统。系统扫描器 通过对内部网络安全弱点的全面分析,协助企业进行安全风险管理。区别于静态的安全策略,系统扫描工具对主机进行预防潜在安全风险的设置。其中包括易猜出的密码,用户权限,文件系统访问权,服务器设置以及其它含有攻击隐患的可疑点。

该产品的时间策略是定时操作,扫描对象是操作系统。System Scanner包括引擎和控制台 两个部分。引擎必须分别装在被扫描的服务器内部,在一台集中的服务器上安装控制台。控制台集中对各引擎管理,引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查,并对操作系统中是否有黑客特征进行检测。其扫描结果同样可生成报告。并对不安全的文件属性生成可执行的修改脚本。

3.2.3.2 系统实时入侵探测技术

为了加强主机的安全,还应采用基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事件,从中检测出攻击的可疑特征,并给与响应和处理。 解决方案:ISS网络入侵检测 RealSecure OS Sensor以及Server Sensor 配置方法:参见“监控和防御”。

ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自 主地,实时 地攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上可以切断系统用户进程通信,和做出各种安全反应。

ISS实时系统传感器 (RealSecure OS Sensor)还具有伪装功能,可以将服务器不开放 的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。

3.2.4 数据库层安全

许多关键的业务系统运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在:

· 系统认证:口令强度不够,过期帐号,登录攻击等。

· 系统授权:帐号权限,登录时间超时等。

· 系统完整性:Y2K兼容,特洛伊木马,审核配置,补丁和修正程序等。

解决方案:ISS 数据库扫描器(DataBase Scanner)

配置方法:Database Scanner可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。定期对IDC内的数据库服务器软件进行漏洞评估,并将软件生成的漏洞报告分发给数据库管理员,对数据库系统中的安全问题及时修复。扫描的时间间隔请参照安全策略的要求。

网络安全设计方案07_网络安全方案

该产品可保护存储在数据库管理系统中的数据的安全。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。 ISS 数据库扫描器(DataBase Scanner)是世界上第一个也是目前唯一的一个针对数 据库管理系统风险评估的检测工具。

该产品可保护存储在数据库管理系统中的数据的安全。目前ISS是唯一提供数据库安全管理解决方案的厂商。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。

Database Scanner具有灵活的体系结构,允许客户定制数据库安全策略并强制实施,控制数 据库的安全。用户在统一网络环境可为不同数据库服务器制定相应的安全策略。一旦制定出安全策略,Database Scanner将全面考察数据库,对安全漏洞级别加以度量的控制,并持 续改善数据库的安全状况。

Database Scanner能通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全 面评估所有的安全漏洞和认证、授权、完整性方面的问题。 Database Scanner漏洞检测的主要范围包括:

· 2000年问题--据环境并报告数据和过程中存在的2000年问题。 · 口令,登录和用户--口令长度,检查有登录权限的过去用户,检查用户名的信任度。

· 配置--否具有潜在破坏力的功能被允许,并建议是否需要修改配置,如回信,发信,直接修改,登录认证,一些系统启动时存储的过程,报警和预安排的任务, WEB任务,跟踪标识和不同的网络协议。

· 安装检查--要客户打补丁及补丁的热链接。

· 权限控制--些用户有权限得到存储的过程及何时用户能未授权存取Windows NT文件和数据资源。它还能检查“特洛伊木马”程序的存在。

3.2.5安全管理层(人,组织)

层次系统安全架构的最顶层就是对吉通上海IDC进行操作、维护和使用的内部人员。人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。

除按业务划分的组织结构以外,必须成立专门安全组织结构。这个安全组织应当由各级行政负责人、安全技术负责人、业务负责人及负责具体实施的安全技术人员组成。有关具体的安全管理请参照第4节的信息安全策略解决方案。

3.3 监控和防御

3.3.1 入侵检测技术

大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模 式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本节讨论了基于主机和基于网络入侵检测技术的不同之 处,以说明如何将这二种方式融合在一起,以提供更加有效的入侵检测和保护措施。

3.3.1.1 基于网络的入侵检测:

基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:

· 模式、表达式或字节匹配

· 频率或穿越阀值

· 低级事件的相关性

· 规统学意义上的非常规现象检测

一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。

3.3.1.2 基于主机的入侵检测:

基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操 作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。

现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提 高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。 基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。

3.3.1.3 将基于网络和基于主机的入侵检测结合起来:

基于网络和基于主机的IDS方案都有各自特有的优点,并且互为补充。因此,下一代的IDS必须包括集成的主机和网络组件。将这两项技术结合,必将大幅度提高网络对攻击和错误使用的抵抗力,使安全策略的实施更加有效,并使设置选项更加灵活。

有些事件只能用网络方法检测到,另外一些只能用主机方式检测到,有一些则需要二者共同发挥作用,才能检测到。

3.3.2 推荐的安全产品—ISS的入侵检测产品RealSecure

ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻击检测 与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。

ISS 网络入侵检测(RealSecure Network Sensor)在检测到网络入侵后,除了可以及时切断攻 击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。

ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自主地,实时地 攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上切断的用户进程,和做出各种安全反应。

ISS实时服务器传感器 (RealSecure Server Sensor)包括了所有的OS Sensor功能,也具备部分Network Sensor的功能,为灵活的安全配置提供了必要的手段。

RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络引 擎和系统传感器进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。

ISS RealSecure是一个完整的,一致的实时入侵监控体系。

ISS Realsecure对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志,并可采 取一定的防御和反入侵措施。它能完全满足《吉通上海IDC技术需求 书》所提要求:

支持统一的管理平台,可实现集中式的安全监控管理:

RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络 Sensor和系统Sensor进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。在吉通IDC项目中可以利用这一特点,实现对各结点的集中监控管理。例如,从上海IDC的RealSecure Workgroup Manager,对其下其它城市的 IDC 进行统一的Sensor监控策略配置,Sensor所发现的安全事件将实时地报告给Manager;对各个Sensor安全特征库的升级也可以从Manager统一分发完成。

图RS-1 RealSecure Workgroup Manager的工作界面

①主菜单和工具栏

②监控安全事件的综合窗口

③按安全级别分成高、中、低三个事件窗口

④列出所有被管理的网络Sensor和系统Sensor

⑤对被管理的网络传感器和系统传感器进行配置的弹出窗口

自动识别类型广泛的攻击:

网络Sensor能够识别以下种类的攻击和误用行为:

类型

说明

拒绝服务攻击

通过消耗系统资源使目标主机的部分或全部服务功能丧失。例如,SYN FLOOD攻击,PING FLOOD攻击,WINNUK攻击等。

分布式拒绝服务攻击

检查分布拒绝服务攻击的主控程序和代理之间的通讯和通讯企图。例如,TFN、Trinoo和Stacheldraht等。

未授权访问攻击

攻击者企图读取、写或执行被保护的资源。如FTP ROOT攻击,EMAIL WIZ攻击等。

预攻击探测

攻击者试图从网络中获取用户名、口令等敏感信息。如SATAN扫描、端口扫描、IP HALF扫描等。

可疑行为

非 “正常”的网络访问,很可能是需要注意的不安全事件。如IP地址复用,无法识别IP协议的事件。

协议解码

对协议进行解析,帮助管理员发现可能的危险事件。如FTP口令解析,EMAIL主题解析等。

普通网络事件

识别各种网络协议包的源、目的IP地址,源、目的端口号,协议类型等。

系统Sensor能够监控并识别的攻击类型有:

类型

说明

安全事件

监控NT或Unix系统事件login成功/失败,logout,管理员行为异常,系统重启动等;

监控特殊的系统事件,包括对重要文件的读写、删除行为,系统资源情况异常现象等;

监控Windows环境下的未授权事件,如企图访问未授权文件,访问特权服务,企图改变登录权限等。

对未用端口监控

监控对未提供服务端口的连接企图,这种连接企图应视为可疑行为。例如,对未提供FTP服务的主机尝试FTP连接被认为是可疑的。

远程UNIX Syslog事件

对远程的UNIX主机进行监控。监控用户的login成功/失败,logout,管理员行为异常等;监控的服务包括IMAP2bis,IPOP3,Qpopper,Sendmail和SSH等。

自定义事件

用户自定义的基于系统审计事件的监控

支持按行为特征的入侵检测:

图RS-2 RealSecure Sensor工作过程示意图

如图所示,Realsecure的入侵检测主要是依据用户事先定义的监控策略,将发生的入侵事件与已有的安全事件特征库进行特征匹配,匹配成功,则认为是有威胁事件发生,采取适当的响应动作。

网络安全设计方案07_网络安全方案

具体分析过程的输入包括:

· 用户或者安全管理人员定义的配置规则;

· 以及作为事件检测的原始数据。对于Network Sensor来讲原始数据是原始网络包; 对于OS Sensor来讲原始数据是操作系统日志项。

具体分析过程的输出包括:

· 系统发起的对安全事件的响应过程;

· 监控器在收到数据后,将数据和特征库进行对比,如果匹配会发出对应的响应。特征数据库主要来源于ISS的Xforce研究开发小组,而且是目前业界最全面的攻击特征数据库。另外,Network Sensor和System Sensor都支持用户自定义特征。

· Network Sensor检测过程--安装Realsecure Network Sensor主机的网络适配卡连接 到被监控的网段上。Realsecure将网络适配卡设成

promiscuous模式,可收到本地网段上的所有数据流。当一个包符合了当前有效的过滤规则时,会被解码并进行攻击特征识别分析。每个活动的过程都被保持和跟踪,这样跨越了许多包的攻击特征就可以被检测出来。因此,当一个“感兴趣事件”被检测到时,Realsecure会采取合适的动作。

· OS Sensor检测过程--RealSecure OS Sensor在被保护服务器上运行一个进程。每当 操作系统产生一个新的日志记录项,操作系统会向OS Sensor发出中断。OS Sensor读取新的日志记录项,与监控特征进行对比,如果匹配会发起适当的响应。由一些特征会涉及多个日志记录项,因此OS Sensor会同时维护和监控 一些用 户活动流的状态。

提供对特定网段的实时保护,支持高速交换网络的监控:

对重要网段的保护,如公共服务器群,为了避免来自网络其它边界的入侵,需要在该子网的入口处安装Realsecure Network Sensor,并在各个服务器内配置Realsecure OS Sensor, 由集中的Realsecure Workgroup Manager统一管理。 能够在检测到入侵事件时,自动执行预定义的动作,包括切断服务、重起服务进程,记录入侵过程信息等:

1. 当一个攻击或事件被检测到,RealSecure可以做出以下几种响应: · 自动终止攻击

· 终止用户连接

· 禁止用户账号

· 重新配置Check Point? Firewall-1?防火墙阻塞攻击的源地址 · 向管理控制台发出警告指出事件的发生

· 向网络管理平台(off-the-shelf)发出SNMP trap

· 记录事件的日志,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据。

· 实时观看事件中的原始记录(或者记录下来过后再回放) · 向安全管理人员发出提示性的电子邮件

· 执行一个用户自定义程序

2. 可以为RealSecure OS Sensor自定义一些特征。OS Sensor允许用户指定一个关键字或正 则表达式,在发现操作系统日志文件项对应特征时,会做出相应的响应。

3. 用户可以为RealSecure Network Sensor自定义连接事件。一个连接事件可以定义为基于 IP的连接,可以对下面信息进行匹配:

· 协议

· 源IP地址

· 目的IP地址

· 源端口

· 目的端口

4. 一些RealSecure预定以攻击特征可以根据网络的具体情况进行参数调整。比如,有些网络中PointCast下载会引发SYN Flood特征,此时可以通过调整SYN Flood的阀值来 减少误报。

5. 用户可以定义RealSecure Network Sensor过滤规则来忽略某些类型的数据流。可以 通过指定协议、源IP地址、目的IP地址、源端口、目的端口定义忽略的数据流。对于规则匹配的数据流不进行预定义或用户定义特征分析。通过这种方式,可以将 RealSecure配置得更适合用户的网络。

6. 最后,用户可以建立自己的响应选项。任何可以从命令行发起的动作(如:可执行程序、批处理文件、Shell Script等),都可以作为RealSecure Network Sensor或者OS Sensor对攻击的响应。

支持集中的攻击特征和攻击取证数据库管理:

Realsecure真正实现集中管理,也体现在对攻击特征和攻击事件的数据库管理。 · Realsecure Workgroup Manager运行在MS NT或Win2000平台上,在默认情况下, 其管理数据库格式为MS Access文件格式。Realsecure的数据库接口支持标准的 ODBC,因此可以灵活选择其后台管理数据库类型。

· 在Realsecure的管理数据库中,有一组数据库表格式,分别用于记录所有最新版本能够识别的攻击特征,及从各个远程的Sensor汇总来的攻击事件的记录。

支持攻击特征信息的集中式发布和攻击取证信息的分布式上载:

Realsecure中包含升级组件X-press Updates,利用这一组件,可以从Workgroup Manager集中 分发攻击特征信息。当分布在网络中的各个Sensor监控到攻击事件时,依据Sensor的策略定制,Sensor将执行一系列的动作,包括实时在

Workgroup Manager的屏幕上显示,并执行切 断连接或重新配置防火墙等动作,为了方便管理员查询并记录犯罪证据,Sensor必须将监控的事件记录到日志中。在Workgroup Manager可以采取手工干预或自动两种方式对Sensor 的日志进行上载和汇总。上传后的日志将统一以数据库形式保存。

提供对监视引擎和检测特征的定期更新服务,更新方式可有多种,包括厂家的直接服务和联网更新操作:

ISS拥有实力雄后的X-Force小组,该小组专门研究和发现新的攻击手段,是业界独一无二 的安全小组。作为入侵检测产品,其Sensor和攻击特征库的升级能力直接反映了产品的功 能,而ISS的系列安全产品包括Realsecure的升级速度

都是其它厂商无法比拟的。ISS承诺对 用户的升级服务,详见ISS服务承诺。从产品本身提供的功能看,Realsecure中提供了 X-press Updates,利用这一组件,可以直接从ISS站点下载升级包,并可以从Workgroup Manager集中分发攻击特征信息至所管理的每个Sensor。

网络访问控制:

Realsecure的主要功能用于对恶意入侵事件和误用行为的监控报警。可以根据实际需要,对Sensor进行策略配置,用于特殊的网络访问控制。如可以用Network Sensor对办公环境员工 上网浏览Web页面进行限制;可以对某个重要的服务器进行特殊保护,限制某个地址或某个范围的地址段对该服务器指定端口的访问;通过对E-mail主题或内容的特殊 字符串的监 控,限制某些E-mail的非法传送等等。

可疑网络活动的检测,对带有ActiveX、 Java、JavaScript、VBScript的WEB页面、电子邮 件的附件、带宏的Office文档中的一些可以执行的程序(包括通过SSL协议或者加密传输的可疑目标)进行检测,隔离未知应用,建立安全资源区域:

Realsecure Network Sensor除了对恶意的入侵行为进行识别以外,还能够对可疑的不安全事 件报警和阻止,包括对带有ActiveX、Java、JavaScript、VBScript的WEB页面,可疑的Arp事件,IP地址复用事件等报警。

支持与防火墙的配合监控:

Realsecure与防火墙功能互补:适当配置的防火墙可以将非预期的信息屏蔽在外。然而防火墙为提供一些级别的获取权的通道可能被伪装的攻击者利用。防火墙不能制止这种类型的攻击,RealSecure却能够制止。RealSecure对防火墙后面的网络的信息流监控,能够检测到并终止获取权限的企图。

另外防火墙的错误配置也有可能发生。尽管防火墙的错误配置能够迅速更正,网络内有了RealSecure则能捕获许多溜进来的未预料的信息。即便不选择切断这些连接,RealSecure所发出的警告的数量仍能迅速表明防火墙没有起到作用。

· Realsecure与CheckPoint协同工作:CheckPoint公司通过它提供的OPSEC(Open Platform For Secure Enterprise Connectivity,安全企业连通性开放平台)向第三方提供API,使得 其它厂商可以使用这些API开发能集成到FW-1防火墙中的产品。由于ISS是CheckPoint 的OEM厂商,所以Realsecure能够对FW-1进行安全操作。

· Realsecure重新配置 FW-1有两种响应方式:冻结指定的时间长度 和 完全关闭。每种 响应方式根据需要又细分四种模式:针对源地址操作,针对目的地址操作,针对源和目的同时操作,针对服务操作。

RealSecure Network Sensor可以完全透明:

RealSecure network Sensor可以配置为完全透明的方式。一个RealSecure Network Sensor可以 采用Out-of-band方式和管理控制台进行通讯。这种情况需要配置两块网络适配卡:一块 网络适配卡用来监控本地网段,另一块用来和

控制台通信。由于这种方式使得RealSecure Network Sensor采用了专门的通信通道和控制台通信,会大大加强RealSecure的安全性。

另外,用来监控本地网段的网络适配卡并不需要一个协议栈。因此,RealSecure Network Sensor并不需要一个外部可见的IP地址或者外部可见的IP服务。这样RealSecure Network Sensor可以做到从被监控网络上不可见。

当然,RealSecure Network Sensor需要TCP/IP协议与管理控制台通讯。因此,与管理控制台 通讯的接口卡需要IP地址。

Realsecure OS Sensor可疑连接监控:

一个攻击者首先会刺探主机提供了什么服务。“可疑连接监控”使得一个没有服务的端口看起来是活动的,这样入侵者可能会误以为系统开启了某种服务,在刺探中浪费时间而一无所获。这个功能对防范一些自动攻击工具十分有效。

对不存在服务的连接企图或者是一个错误,或者是故意的攻击。OS Sensor将这些 连接作为入侵检测判断的数据。持续的对不存在服务的连接企图会产生高风险报警。

安全管理人员可以对这种连接企图设置响应提示。可以设置为法律警告指出入侵是非法 的,或者可以设置成欺骗性连接提示(比如,登录提示)。

可疑连接监控的功能能延长攻击者发现可攻击端口的时间,为防护者抓住他争取更多的时间。

支持HP OpenView的RealSecure管理器

支持HP OpenView的RealSecure管理器为使用HP OpenView网络结点管理器的网络管理员提 供实时入侵检测。支持HP OpenView的RealSecure管理器提供完全的RealSecure 可适应性网 络安全功能,包括:

主导市场的入侵检测和响应--支持HP OpenView的RealSecure管理器在

OpenView网络管理 框 架中提供对企业网中可疑行为的实时监控,如企业网络外部和内部的攻击或内部滥用。

实时警报管理--网络安全行为的连续显示,完整清晰的知识控制,RealSecure对事件响 应的在线帮助,以及对事件的详细信息,包括源和目的、端口、风险级别和其它的信息。

统一的数据管理--入侵事件和RealSecure引擎状态被记录在OpenView 的事件浏览器中。 OpenView地图反映了实时的攻击。颜色编码的符号反映出被攻击结点的攻击名称、级别、每一个攻击进行的次数。

集中配置--RealSecure引擎的配置和策略能够通过OpenView的主控台配置和修改。

安全的通信--OpenView和RealSecure之间控制信息的传输是完全安全的。控制功能有认 证、校验和加密,加密算法使用RSA、Certicom Elliptical Curve、或用户自己选择的算法。

管理功能

· 引擎控制:启动、停止、暂停、重新启动、ping连接

· 实时警报管理:接收、延续、统一、清除

· 对事件响应的详在线帮助

· 编辑RealSecure引擎的配置

· 发送和接收配置到远程RealSecure引擎

· 上传和/或清除RealSecure引擎数据库

· 启动ISS RealSecure管理器

3.3.3 配置方法

Realsecure是一个真正的集中管理的入侵检测系统。它由一个或多个(可选)管理控制台,即Workgroup Manager,统一、集中管理分布在网络中的Sensor。建议在吉通上海IDC安装一套Workgroup Manager,用于对不同的传感器。 RealSecure运行在交换式网络中,有以下三个解决方案:

· RealSecure Network Sensor连接在这个点上。这样就可以防护来自Internet的攻击,而不处理网络的其它部分。

· 另外,还可以使用交换机的管理端口甚至一个VLAN。一些交换机(比如,Cisco Catalyst)有一个管理端口(有时称为span端口)可以镜像一个或多个指定端口的数据流。可以将RealSecure Network Sensor配置在这样的管理端口上,通过镜像 的方式获得多个端口的数据流。如果交换机的一个端口里连接Internet路由器,则可以镜像连接路由器的这个端口。如果交换机连接多台重要内联网服务器,则可以镜像连接服务器的这几个端口。现在,已经有很多交换机支持这种功能。

· 使用RealSecure OS Sensor--由于OS Sensor是基于主机的工作方式,因此完全不会受到交换方式的影响。在连接交换环境的服务器上安装OS Sensor,对每个服务器进行保护。OS Sensor特别适合于安全需求高的服务器,与Network Sensor配合使用,需要配置的服务器包括网管工作站、数据采集工作站、计费服务器等。

· 使用RealSecure Server Sensor--由于Server Sensor是基于主机的工作方式,因此完全不会受到交换方式的影响。又由于Server Sensor具备了部分Network Sensor的功能,因此特别适合于网络流量大的相对独立的服务器上,例如网站托管主机上。

3.5 防病毒

3.5.1 推荐安全产品--Trend Micro防病毒产品

网络安全设计方案07_网络安全方案

支持对网络、服务器和工作站的实时病毒监控:

对于Internet类型的网络,包括Extranet和Intranet,趋势科技提供基于网关处的防毒产品:InterScan系列。产品都含有纯web方式的管理界面。

1. 因特网病毒防火墙 -- InterScan VirusWall:在网关处实时监控通过SMTP、HTTP和FTP 协议传输的信息内容,检查其是否存在病毒或恶意程序,并根据管理员的设定采取相关的处理方式,以保证通过网关出入企业的信息的安全性。支持对16种以上的压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。支持的平台:Windows NT(2000)、Solaris、HP-UX、Linux。

2. 电子邮件安全管理 -- InterScan eManager:基于InterScan VirusWall NT版和Solaris版的 外加﹝Plug-in﹞的电子邮件管理工具,属于InterScan VirusWall的因特网安全﹝Internet Security﹞系列产品之一。eManager电子邮件安全管理软件可以过滤垃圾邮件及大量推销性质的电子邮件,并可扫描由内部使用者寄出的邮件内容,若有敏感性内容可就进行拦阻;此外也能够自定邮件传递时间,延迟递送较大的邮件、国际信件或其它自定规则范围内的邮件,避免在网络带宽使用高峰时段造成邮件阻塞。支持的平台:Windows NT(2000)。

3. 网站安全管理软件 -- InterScan WebManager:集web访问的管理限定和防病毒与一身。 除了对传入的web页面进行防毒之外,还可以对访问的内容及带宽进行管理。可弹性设定对14种不同类型的网站内容进行过滤。WebManager应用Cyber Patrol所开发出全球数 十万个网站的数据库,阻止内部使用者通过因特网进入色情或其它的不良网站。可依 据个人及部门的特殊需求,过滤不良网站和设定下载文件的大小限制。管理员可依每日、每周或每月,设定个人或部门对于Web下载文件的最大流量,从而控制网络的使用带宽。支持的平台:Windows NT(2000)。

4. 大规模邮件防毒--

· 对于企业内部的电子邮件和群件系统,如Lotus Notes和Microsoft Exchange,由 于企业内部用户间的通讯可能并不通过Internet网关,因此光靠在网关处防毒并不能控制病毒在企业内部的传播。趋势科技针对此类系统提供了相应的防毒产品:ScanMail系列。

· ScanMail系列在对邮件系统内的邮件和公用文件夹内的文件进行病防护的同时,还可以对含有敏感性内容的邮件进行隔离等处理,以保护企业内部信息流的安全。产品都含有纯web方式的管理界面。

· ScanMail支持对19种压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。

· ScanMail fro Microsoft Exchange:真正支持微软建议的AVAPI接口,以获得更高的工作效率,减少对系统资源的占用。完全支持Exchange的群集技术。支持的平台:Windows NT(2000)。

· ScanMail for HP OpenMail

· 其它许多大规模的邮件服务器,例如:Software.com 的 Intermail 及 AsiaInfo 的 AIMC 和 Microsoft 的 MCIS及 Netscape 的 Message Server及 Sendmail 等

5. 防毒工作中央监控系统:TVCS——Trend Virus Control System。为了让企业能对所有 的防毒产品和工作进行集中管理,趋势科技提供了产品TVCS。上述的趋势科技的防毒软件产品都可集成TVCS的客户端组件—TVCS Agent。当企业安装了TVCS系统后,即 可实现对上述产品的集中控制和管理。同时,TVCS也可以显示出其他一些防毒软件产品的信息,以便让管理员统一监控。

TVCS采用纯web的管理界面,管理员不论在何时何地,只需有Web浏览器即可实现整个企业的防毒管理工作。

完善的日志记录和统计信息功能。

支持弹出窗口、e-mail、寻呼机等报警方式。

能够在中心控制台上向多个目标系统分发新版杀毒软件:

防毒工作中央监控系统TVCS提供统一而且自动的产品组件更新功能,通过它实现趋势科技所有防毒产品的扫描引擎及病毒码更新功能。

能够在中心控制台上对多个目标系统监视病毒防治情况:

防毒工作中央监控系统TVCS使管理员通过浏览器即可实时监视趋势科技所有防毒产品的工作情况,以及病毒防治情况。由于采用了客户/服务器的时间驱动模式进行工作,因此有效的避免了对网络带宽的过多占用。 支持多种平台的病毒防范:

趋势科技是一家专注于企业安全的产品供应商,具有十分完善的产品系列,考虑了企业内从工作站到因特网网关,几乎所有需要防病毒的平台和网络连接点。 能够识别广泛的已知和未知病毒,包括宏病毒:

作为作早进入计算机防毒领域的厂商之一,趋势科技在防毒技术上始终保持着领先的优 势。早在1995年趋势科技即开发出了基于人工智能(Rule-based)的扫描引擎,采用陷阱 方式探测恶意程序可能出现的破环动作,以及探测出变形病毒的真面目,从而实现对未知病毒的拦截。经过不断地完善,目前的引擎中已设下了多达12道以上的陷阱,根据传统方式制作的各类新病毒根本逃不过被检测出的命运。1996年趋势科技又率先推出了自己的专利技术——MacroTrap?,解决了对已知或未知的宏病毒的探测问题。

支持对Internet/Intranet服务器的病毒防治,能够阻止恶意的Java 或Active X小程序的破 坏;

趋势科技的因特网网关病毒防护产品--InterScan系列,能够有效阻止恶意的Java、ActiveX 程序以及一些黑客程序通过因特网对企业进行的入侵。InterScan在网关处实时监控通过 SMTP、HTTP和FTP协议传输的信息内容,检查其是否存在病毒或恶意程序,并根据管理员的设定采取相关的处理方式,以保证通过网关出入企业的信息的安全性。

支持对电子邮件附件的病毒防治,包括WORD/EXCEL中的宏病毒:

趋势科技的产品系列中,InterScan、OfficeScan、ScanMail等都支持对电子邮件附件的病毒防护。趋势科技的扫描引擎中含有自己的专利技术—MacroTrap?,由于采用了人工智能的 陷阱技术,还可以检测出部分未知的宏病毒。 支持对压缩文件的病毒检测:

趋势科技的产品对压缩文件的扫毒支持是同类产品中最为完善的。其中的InterScan和ScanMail更是支持16种以上的压缩格式和20级的压缩深度。 支持广泛的病毒处理选项,如对染毒文件进行实时杀毒、移出、删除、重新命名等:

针对企业和个人用户的需要,趋势科技提供了灵活的处理选项。如对于网络防毒,一般提供:带警告通过(pass)、隔离转移(move or quarantine)、删除(delete)、清除病毒 (auto clean)等选项。其中对于auto clean方式,由于有些文件本身即是病毒或黑客程序, 或者带有不能随意删除的病毒类型,因此当选择auto clean方式时,将会针对不能清除 病毒的文件提供给用户额外的选项,其中又包括:pass, move, delete方式。

支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接:

趋势科技的产品都支持文件隔离方式,让管理员可以对染毒文件进行分析,或是发往趋势科技的支持中心以得到针对新型病毒的最新解药。考虑到应尽量简化企业的防毒管理工作,以降低TCO,趋势科技不主张采取关闭客户连接的做法。如果采用这种方式,企业将需要有专职的防病毒管理员来处理每次的连接中断,用户也会觉得十分麻烦。

提供对病毒特征信息和检测引擎的定期在线更新服务:

趋势科技的全线防毒产品都提供此类功能。其中大多数产品更是能自动通过因特网更新其病毒码、扫描引擎和产品升级包。通过使用TVCS,所有的防毒产品更新工作都可从中央进行集中管理,并只需建立TVCS和趋势科技间的Internet连接,而不需要各个产品各自去连接因特网。

支持日志记录功能:

趋势科技的全线产品都提供日志记录功能。通过使用TVCS,所有的防毒产品的日志可以从单点进行管理和浏览,并可通过TVCS得到企业所有防毒工作的各类统计信息和日志。

支持多种方式的告警功能(声音、图像、e-mail等):

趋势科技的全线产品都提供告警功能。通过使用TVCS,对企业内所有的中毒情况都会有综合的报警提示,包括弹出窗口、e-mail和寻呼机报警。其中的

ServerProtect更是提供 了包括:讯息信箱、寻呼机、打印机、Internet电子邮件、SNMP通知或写入到Windows NT事件日志的多种报警方式。

Interscan与FireWall的集成:

Trend Micro是OPSEC的成员之一,Interscan 透过CVP(Content Vectoring Protocal)的方式 与Check Point Firewall的整合,由Check Point在FireWall上的policy上可以设定http, ftp 及smtp是否经过扫毒,其例子如下:

1. LocalNet到任何一个网站或download或upload档案,全经过Interscan扫毒

2. MailServer到任何的SMTP Server的Outgoing的邮件,全经过Interscan扫毒

3. SMTP Server到任何的MailServer的Outgoing的邮件,全经过Interscan扫毒

Interscan与HP OpenView的集成:

Trend VCS可藉由SNMP的Protocol和HP的OpenView加以结合,而由HP的OpenView 来作防毒的控制台。

3.5.2 解决方案

1) 因特网网关处防毒软件:Trend InterScan VirusWall for Unix/Linux or NT

i) 针对企业自身网络

(a) 其中包括的模块:E-Mail viruswall、Web viruswall、FTP viruswall、 TVCS(Trend Virus Control System)agent。

(b) 作用:对从Internet上通过SMTP、HTTP、FTP标准协议传入的各类信息进行防毒处理。其中E-Mail viruswall还可对传出的信息进行防毒;FTP VirusWall还可用来保护内部的FTP服务器不受外部upload的信息的病毒侵扰(为实现该功能应将其安装在FTP服务器上或单独安装)。

(c) 安装建议:原则上在出现防火墙的网关处都应该部署VirusWall。

InterScan VirusWall产品包中内含两个版本--标准版和CVP版。其中CVP 版是 专门针对与采用CVP协议的防火墙进行集成设置而设计的,InterScan完全遵从OPSEC规范(TREND公司是OPSEC联盟的成员之一)。如果企业部署的防火墙采用了CVP协议,建议使用InterScan的CVP版本。这样部署InterScan会更简便,并且能够更好地与防火墙协同工作。

(d) 购买使用许可证方式:按照子网内的客户工作站台数计算用户数量,按用户数计算总价格。

ii) 针对Internet接入的虚拟主机服务

(a) 如果虚拟主机放置于单独的子网内,电信企业可以考虑是否需要为其提供防毒服务。如果需要提供该服务,则应采用同上述类似的方式为该子网安装独立的InterScan VirusWall。

iii) 针对Internet接入的主机托管服务

(a) 由于各个客户的服务器单独放置,电信企业可以考虑为需要防毒的客户提供服务。原则上应把需要防毒的客户和不需要防毒的客户分在两个不同的子网内,对需要防毒的客户子网安装InterScan VirusWall。电信企业可以将其做为增值服务向客户收费或免费提供。采用此种方式时,产品购买方式可与软件销售商进行商榷而定。

iv) 如果客户考虑Dedicated Server的模式,Trend公司可以为客户与软件产品一起提 供硬件平台。软硬件由Trend公司或集成商进行整体维护。

2) 企业内部网络防毒软件:Trend ServerProtect,Trend OfficeScan i) ServerProtect for NT and NetWare

a) ServerProtect安装时分为三部分:普通服务器模块、信息分发服务器模块、管理控制台模块。

b) ServerProtect应安装在所有的NT和NetWare服务器上,其中的一台将做为信息分发服务器(Information Server),由它对所有服务器上的ServerProtect进行管理和控制。

c) 管理控制台模块可安装在win95/98/NT上,管理员可以在安装有控制台模块的机器上对整个ServerProtect系统进行中央管理。

ii) OfficeScan

d) OfficeScan是单机产品的企业版软件,整个软件只需安装在一台NT服务器上,客户机上的防毒模块可以自动地、透明地分发到各个客户机上,包括

win3.x、win95/98、winNT/2000等平台的机器。所有客户机的防毒工作由服务器管理,管理员籍此可以实现对所有客户机防毒工作的集中管理和配置。

3) 防毒软件中央控制系统:Trend Virus Control System—— TVCS i) 趋势科技的所有防毒产品都可以选装TVCS的客户端代理模块,一旦企业安装了TVCS系统,就可以实现不论何时何地都可以从某个WEB浏览器上对整个防毒系统进行管理和控制,为管理工作提供了极大的便利性。

4 吉通上海IDC信息安全策略解决方案

4.1 概述

惠普公司提供的安全服务符合安全体系结构的安全周期理论,安全周期是包含如下4个环节的循环过程:

评 估

策略

结构

实施

网络安全设计方案07_网络安全方案

通过风险评估来客观地确定当前状况的安全状态,了解没有达到预期安全状态的地方,根据评估的结果以及相应的标准制定安全策略,明确安全的指导方针和各种行为的安全准则,在此基础上确定安全体系结构,并进行实施。由于网络状态以及其他安全因素的不断变化,安全评估需要定期进行,这就又启动了一个安全过程,上图所示的循环不断地重复,来保证安全在动态过程中的持续性和稳定性;就上述安全系统周期惠普公司提供了相应的安全服务。

安全服务包括:

l 风险分析服务:用于使企业能够在信息系统安全方面作出正确的投资决定和安全措施,此项服务分析企业当前的信息系统面临的风险,以及由此而带来的经济损失,从而达到作出正确安全措施和合理投资决策的目的。

l 系统与应用的安全加固:协助企业以及企业所属的客户对网络中的重要操作系统、应用程序进行安全配置加固。

l 安全策略配置服务:通过业务需求和相应的法律以及法规,协助企业编写安全策略,定义安全组织结构,以及相应的安全操作流程和人员分工。协助企业将其安全策略下发以保证安全策略在整体组织内具体实现。

l 安全意识规范化咨询服务:协助企业在企业内部实施安全教育,帮助企业员工建立良好的安全意识,推动企业安全策略的贯彻执行。

4.2 风险分析服务

鉴于吉通IDC当前的系统情况,建议首先采取惠普公司提供的风险分析服务,协助客户定位系统中的漏洞及其出现的可能性,从而估计对业务产生的影响。惠普公司的风险分析服务,使用标准的表格和向关键人员提供问卷的方式搜集基础数据,进行评估工作,以用于漏洞和业务影响分级,惠普公司的技术顾问将完成下列工作:

l 分析企业信息系统的资产状况,确定其分类,价值以及问题发生后对业务造成的影响。

l 分析从不同的角度企业信息系统面临的威胁。

l 分析在企业信息系统,安全策略和操作流程中的漏洞。

l 风险分析,确定关键信息系统资产的保护级别。

l 选择安全控制措施以降低风险到可以接受的水平。

4.3系统与应用的安全加固服务

系统与应用的安全是网络运行过程中最基本的安全要素,但往往客户在使用安装系统与应用软件时忽略了这一部分的安全或者没有充分考虑到它们的不安全因素,因此惠普的技术顾问通过专门的评估系统或风险评估工具对重要的操作系统及应用程序进行安全加固配置,把操作系统与应用程序的风险降到安全策略中定义的等级。惠普公司的技术顾问为客户完成以下工作:

l 获得风险评估的结果;

l 根据不同的操作系统及应用程序提出安全漏洞分析报告;

l 与客户相应的管理人员协商,进行系统与应用的漏洞配置及安全配置工作;

l 提供配置后的系统与应用的安全状况分析及相关报告。

4.4安全策略配置

4.4.1 安全策略创建

大多数信息系统在设计时,没有考虑到安全的问题。通过技术手段得到的安全性是有限的,必须得到相应的管理手段和操作程序的支持,才能得到真正的安全。如果对安全需求说明和设计过程进行整体考虑时,信息安全控制是相当经济和有效的。惠普公司的安全技术顾问采用国际通用的标准方法,对应用于用户网络的信息资产进行安全保护。该方法考虑到了客户的商业需求、安全规则、风险评估、法律以及企业特有的安全需求,保证与客户商业目标和法律要求相一致的安全策略。惠普公司的技术顾问为客户完成以下工作:

· 协助企业在高级管理层中确定安全策略项目负责人;

· 协助企业明确现有的信息安全策略及执行状态;

· 根据国际通用的标准和方法制定安全策略的大纲,并通过召开策略设计专题研讨会,确定每个安全项目的职能与责任;

· 创建策略文件并确定最终策略文件;

· 安排和准备组织结构、市场及执行计划专题讨论会;

· 向最高管理层介绍结果及完成的目标。

4.4.2安全策略实施

信息安全策略实施的目的是保证企业所有的行为与制定的安全策略一致。不同的任务会在策略实施过程中定义,该过程存在于所有的企业安全策略中。除策略之外,信息安全的所有要素都必须放置在企业的适当的位置。惠普公司的技术顾问为客户完成以下工作:

l 与企业合作组建安全策略实施小组,定义安全小组及其成员的责任、义务;

l 提供策略实施所需的资源计划;

l 召开安全策略培训专题研讨会;

l 为企业提供基于安全策略的安全调查问卷;

l 为调查结果做出评价,分析企业当前策略执行状态与应达到状态的差距,并形成文件,定义需要实施的内容;

l 信息小组监督安全策略实施内容在各个安全要素的执行情况; l 与企业合作形成实施文档。

4.4.3 安全策略内容

依照国际通用的安全标准作为制定组织专用的指导原则的起点。通用的安全标准中的指导原则和控制措施并非全部适用。因此,还可能需要包括的其它控制措施,

各控制措施之间相互参照很有用,有利于审计人员和业务伙伴检查是否符合安全指导原则。

安全策略的主要内容包括以下几个方面:

l 关于信息安全、风险评估、风险管理、安全策略的定义;

l 建立企业的安全组织,包括安全论坛、安全责任划分、安全专家建议体系、安全组织间的合作以及第三方和外包服务的安全性;

l 进行信息资产分类,明确资产责任;

l 个人行为的安全规范,定义个人的安全行为、人员聘用原则、安全事故和责任处理;

l 物理和环境的安全,包括安全区域的划分、设备的安全性定义、常规的安全性规章;

l 通信与操作管理的安全,包括系统规划与验收、操作的安全流程、事故管理、恶意软件的防范、网络安全控制管理、邮件安全、办公系统安全、软件使用安全;

l 访问控制,包括用户安全等级定义和权限检查、口令使用的安全性、外部用户的身份验证、节点/端口的使用、操作系统的访问控制、应用程序的访问控制、移动用户的访问控制;

l 系统的开发和维护的安全管理;

l 业务连续性的安全管理;

l 安全审计。

4.5安全意识规范化咨询服务

员工对安全策略的认识是成功执行安全策略的关键,如果员工没有确立安全理念或没有得到相应维护安全策略的教育,安全策略的执行就会背离法律和他们的义务。成功执行并维护企业信息安全方案要高度依赖于一个良好的结构的、确定的和易于管理的安全理念计划。惠普公司的技术顾问帮助客户设计、执行、监控并管理信息安全理念计划,使之适合于可以自维护并能够高效运转的客户环境。惠普公司的技术顾问为客户完成以下工作:

l 从企业高级管理层中选出负责人,启动培训活动。

l 明确企业的培训需求,并明确不同级别的培训需求。

4.6 系统攻击测试服务

惠普公司企业放置在网通IDC的设备提供模拟入侵的系统攻击测试服务,其目的是帮助企业发现可能遭受的攻击是否能穿透提供服务的各种设备。惠普公司的该项服务面向全球,提供模拟攻击的中心设立在香港。通过系统攻击测试服务,为客户完成以下工作:

l 得到安全扫描和风险分析的结果;

l 根据客户的网络服务需求制定模拟攻击的手段与工具;

l 与客户共同配合完成模拟攻击;

生成攻击结果报告并根据情况提供相应建议。

通过以上的服务,惠普公司帮助吉通上海IDC制订系列的安全管理制度和普及安全意识教育,包括:

· 用户守则制订,如应包括:未知请求一律禁止通过、只有网络管理员才可进行物理访问、分部不应使用单一标准的Modem、只有网络人员才可进行软件安装工作、访问Internet必须通过代理、所有安全软件必须能保留完整的日志、重要系统应使用难猜测的口令并经常改换口令。

· 机房管理制度的制订

· 分层次的安全培训,对行政、技术的各级人员有针对地进行培训。 · 建立安全信息分发系统,对安全管理的阶段性结果,以可读性好的报告形式分发给各个结点的安全部门。应对具体的分发方式、分发渠道、保密措施做出规定。网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题,本节将从系统层次结构的角度展 开,分析吉通IDC各个层次可能存在的安全漏洞和安全风险,并提出解决方案。

三 : 建设绿色网络方案

  xx年“阳光•绿色网络工程”将继续围绕“建设和治理”两条主线,坚持重点突出、整体推进,推动各项工作在继承和巩固中加强,在改进和创新中提高,努力开创积极、主动、有力的网络信息安全监管新局面,为我国社会主义文化大发展大繁荣和北京奥运会成功举办创造良好的网络环境。

    一、指导思想

    以邓**理论和“三个代表”重要思想为指导,深入贯彻落实科学发展观,按照党的xx大“加强网络文化建设和管理,营造良好网络环境”的要求,紧紧围绕“服务国家信息化发展大局、确保奥运网络信息安全、不断提升国家软实力”的总体要求,坚持积极利用、大力发展、科学管理互联网,坚持以先进技术传播先进文化,坚决打击网上各类违法违规服务,进一步清除违法不良信息的生存空间,更好地满足人民群众日益增长的物质文化需要,为建设社会主义和谐社会提供有力的支持和保证。

    二、主要工作

    (一)深入贯彻落实网络文化建设与管理要求,不断拓展社会主义先进文化传播新途径

    1、深入推进绿色网络文化创建活动

    各基础电信运营公司要不断解放思想,加大投入,进一步加大对创新型、融合型信息服务的研究、开发和推广力度,为社会主义先进文化的传播提供技术支持、业务支撑和传播平台。组织开发绿色网络文化产品,向社会提供一批人民群众喜闻乐见尤其是适合青少年的绿色精品业务和绿色网站。

    2、不断强化绿色手机文化建设

    陕西移动公司、陕西联通公司要积极开展“手机短信文明公约”的宣传活动,积极倡导推广“红色短信文化”,对效果好、有特色的移动信息化业务进行集中宣传推广。配合省委、省政府等有关部门,继续开展“手机短信公益活动”。同时加大与重点新闻网站的强强联合,探索开展手机报、手机电视等新型信息服务模式,进一步扩大社会主义先进文化的覆盖面和影响力。

    3、积极探索互联网新技术、新业务的运用与网络文化发展

    互联网协会要积极引导各基础电信运营公司和互联网信息服务单位积极开发适应新一代互联网和移动通信特点的新业务,鼓励互联网视听节目服务单位传播公益性视听节目,着力营造良好的网络环境。

    (二)积极开辟电信业向信息服务大行业转型的新空间

    4、开展信息服务助农工作

    各基础电信运营公司要围绕社会主义新农村建设,大力推动农村信息化,推广各类实用的农村信息服务手段,推广“农家乐”、“农信通”、“农业新时空”等一批品牌业务。管局将配合政府有关部门整合信息资源,丰富涉农信息,推进和规范“农村综合信息服务平台”和“农村信息服务站”的建设、使用和管理。省互联网协会组织基础电信运营企业开展农民网络知识培训试点、农村网络科普等活动,提高农民信息意识和上网技能。

    (三)积极推进行业自律,加大规范治理力度,打造信息化和谐发展新平台

    5、治理违法垃圾短信和网络垃圾

    各基础电信运营公司要加强违法垃圾短信息的综合治理,从技术手段、管理平台、市场服务等各方面开展清理垃圾短信息活动,有效防止和遏制垃圾短信的泛滥。

    深入开展绿色上网活动。基础电信运营企业要加大家庭绿色上网业务开发推广工作,在青少年和社会终端用户中广泛推广应用终端绿色上网软件,有效过滤网络有害信息。

    6、畅通网络不良和垃圾信息举报渠道

    各基础电信运营公司要进一步完善举报处理机制和受理平台,规范举报流程,深入开展违法不良信息的举报和处理工作,提高举报信息的处理效率。加强协查,督促存在违法和不良信息的单位及时处理问题。

    7、积极开展各项专项活动

    各单位要积极深入开展打击网络淫

秽*情等有害信息、打击网络赌博、非法广告、网上“扫黄打非”等各类净化网络环境专项行动。

    (四)借助绿色科技奥运,推动网络信息安全管理长效机制建设迈上新台阶

    8、做好奥运网络信息安全保障工作

    各基础电信运营公司要进一步强化技术保障和安全管理,从网络安全、通信保障、应急通信、信息安全等多个方面,努力为世界各国游客和奥运观众来陕旅游提供多样化的通信服务需求。

    9、按照“三谁”原则全面落实信息安全责任制

    各单位要落实网络信息安全责任制,按照“谁主管谁负责、谁经营谁负责、谁接入谁负责”原则,严格规范市场经营行为,建立健全发现、监督和处置三机制,实现人员、手段、系统和绩效考核等管理机制保障要求。

    10、稳步推进网站备案管理工作

    基础电信运营商、接入服务商要完善网站备案管理,提高网站备案率、准确率,强化接入环节的备案责任,建立考核制度,确保备案信息的准确率,为配合网站相关管理部门查处违规违法网站提供基础保障,有效实现网站实名管理。

    三、工作要求

    (一)高度重视、周密策划。各单位要充分认识开展此项活动的重要性,切实承担责任,发挥作用。特别是各基础电信运营公司是“阳光•绿色网络工程”重要的参与实施单位,要切实承担社会责任,明确工作部门,指定专人负责。对照本工作方案的具体内容,紧密结合本单位开展业务的情况,制定本单位“阳光•绿色网络工程”工作方案。请各单位将活动方案(书面和电子版)于3月21日前上报活动领到小组办公室(省通信管理局信息安全处)。

    (二)加强组织协调,因地制宜开展工作。我局将加强对各单位活动开展的督促指导,及时掌握活动进展,及时发现和解决问题,及时总结交流活动经验,确保系列活动有效落实。各基础电信运营公司要在管局的统一领导下,依照活动的整体要求,进一步拓宽工作思路,创新工作方法,结合企业发展实际,发挥企业优势,办出一些有特色活动。

    (三)扩大宣传力度,尽快形成活动声势。做好宣传引导工作是活动取得良好成效的重要环节,我局将通过省内重点新闻媒体和管局网站等及时报道活动开展情况信息,扩大活动的社会影响。各单位要指定专人负责本单位活动信息上报工作,加强活动宣传和信息报送工作,充分发挥活动的组合优势,尽快形成活动声势,在全社会形成积极推进网络文化建设和净化环境的良好风气。

    (四)总结经验,不断完善网络信息安全管理长效机制。各单位要以“阳光绿色网络工程”系列活动的开展为契机,不断总结经验,扎实推进网络与信息安全管理各项工作。进一步推进制度和技术手段建设,充实网络信息安全管理队伍,健全和落实网络信息安全责任制,规范企业内部的协作配合机制和流程,巩固深化系列活动的成果。

    请各单位于xx年12月15日前将活动总结上报我局。

    联系电话:88333377

    电子信箱:

 

四 : 主题网络设计方案“冬天来了”

主题来源:

冬天来临,幼儿会自然而然地感受到气候得变冷,发现人们的生活起居、穿戴打扮有了变化、会因为冰雪的出现而欣喜不已。

从对冬季生活的感受和体验切入,让我们和幼儿一起去拥抱阳光的温暖,闻闻阳光的香味,参与户外活动,探索冰雪的形成和变化,观察人们的衣着……在这些活动中,幼儿会充满乐趣地、勇敢地面队环境,冬天不怕冷,自觉地、主动地认识周围的变化,他们的认知周围的变化,他们的认知在生活化的情景中得到发展,积极的情感态度也随之形成。

冬天来了,让我们满怀欣喜地迎接冬天,把它作为引导幼儿主动发展的机会。

环境创设:

l  幼儿和教师共同参与“不怕冷”的主题墙面布置

l  提供一些活动器具,鼓励幼儿去室外活动、游戏。

l  下雪时,将自制的小雪花贴在室内玻璃上。

l  张贴一些有关冬天的图片。

l  “宝宝”造房子上海城背景,用彩色皱纸搓小球粘贴。

l  各色小旗帜,彩球,布置圣诞节,新年的气氛。

家园共育:

l  多带孩子到阳光下活动,如登山、玩雪、玩冰等。

l  鼓励孩子天冷也要坚持早起上幼儿园,天气好时坚持户外锻炼。

l  孩子穿戴过多会活动不便,过少则会着凉。请家长根据孩子体质,合理调整着装,提高孩子的自我保护意识。

l  选个易结冰的日子,家长和孩子一起拿一个容器,如小口杯、小瓶子等,盛上水放置室外;第二天结冰后把它带到班上,放置科学区内。
主题网络图:
冬天吃什么
冬天的故事
不怕冷冬天来了
l  吃火锅

l  小狗卖冷饮

l  雪花

l  向太阳借点火


l    小雪花

l  下雪了

l  雪白雪白的朋友

l  冬天的树

l  漂亮的外套

l  冬天的帽子

l  圣诞树

l  熊宝宝冬眠了

l  冷冷的水

l  奇妙的发现

l  小狗逛超市    冬天不怕冷

l  我不怕冷

l  香香的被子

l  怕冷的大恐龙

l  医生本领大

l  扫雪

l  我给太阳唱支歌

l  阳光抱抱你

l  健康操

说明:黑色为预设活动

  红色为生成活动

五 : 公司网络安全方案设计书

网络安全方案设计书

公司网络安全隐患与需求分析

1.1 网络现状

公司计算机通过内部网相互连接与外网互联,在内部网络中,各服务部门计算机在同一网段,通过交换机连接。(www.61k.com]如下图所示:

企业网络安全 公司网络安全方案设计书

1.2 安全隐患分析

1.2.1 应用系统的安全隐患

应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。应用的安全性也是动态的。需要对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等 。

1.2.2 管理的安全隐患

管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。用户权限设置过大、开放不必要的服务端口,或者一般用户因为疏忽,丢失帐号和口令,从而造成非授权访问,以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。可能造成极大的安全风险。

1.2.3 操作系统的安全漏洞

计算机操作系统尤其服务器系统是被攻击的重点,如果操作系统因本身遭到攻击,则不仅影响机器本身而且会消耗大量的网络资源,致使整个网络陷入瘫痪。

企业网络安全 公司网络安全方案设计书

1.2.4 病毒侵害

一旦有主机受病毒感染,病毒程序 就完全可能在极短的时间内迅速扩散,传播到网络上的其他主机,可能造成信息泄漏、文件丢失、机器不能正常运行等。[www.61k.com]

2.1 需求分析

公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和综合部门,需要他们之间相互隔离。同时由于考虑到Internet 的安全性,以及网络安全等一些因素。因此本企业的网络安全构架要求如下:

1.根据公司现有的网络设备组网规划;

2.保护网络系统的可用性;

3.保护网络系统服务的连续性;

4.防范网络资源的非法访问及非授权访问;

5.防范入侵 者的恶意攻击与破坏;

6.保护企业信息通过网上传输过程中的机密性、完整性;

7.防范病毒的侵害;

8.实现网络的安全管理。

通过了解公司的需求与现状,为实现网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

(1)构建良好的环境确保企业物理设备的安全

(2)划分VLAN控制内网安全

(3)安装防火墙体系

(4)安装防病毒服务器

(5)加强企业对网络资源的管理

如前所述,公司信息系统存在较大的风险,网络信息安全的需求主要体现在如下几点:

(1) 公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。

(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是公司面临的重要课题。

企业网络安全 公司网络安全方案设计书

网络信息安全策略及整体方案

信息安全的目标是通过系统及网络安全配置,应用防火墙及入侵检测、安全扫描、网络防病毒等技术,对出入口的信息进行严格的控制;对网络中所有的装置进行检测、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,建议补救措施,并有效地防止黑客入侵和病毒扩散,监控整个网络的运行状况。(www.61k.com]

3.1 方案综述

公司整个网络安全系统从物理上划分4个部分,即计算机网络监控中心、财务部、综合部及服务器区。每个安全区域有一套相对独立的网络安全系统,这些相对独立的网络安全系统能被计算机网络中心所管理。同时每个安全区域都要进行有效的安全控制,防止安全事件扩散,将事件控制在最小范围。通过对公司现状的分析与研究以及对当前安全技术的研究分析,我们制定如下企业信息安全策略。

3.1.1 防火墙实施方案

根据网络整体安全及保证财务部的安全考虑,采用2台cisco pix535防火墙,一防火墙对财务部与企业内网进行隔离,另一防火墙对Internet 与企业内网之间进行隔离,其中内服务器对外服务器连接在防火墙的 DMZ 区与内、外网间进行隔离。 防火墙设置原则如下所示:建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问;防火墙DMZ区访问控制,只打开服务必须的HTTP、FTP、SMTP、POP3 以及所需的其他服务,防范外部来的拒绝服务攻击;定期查看防火墙访问日志;对防火墙的管理员权限严格控制。

企业网络安全 公司网络安全方案设计书

3.1.2 Internet 连接与备份方案

防火墙经外网交换机接入 Internet。此区域当前存在一定的安全隐患:首先,防火墙作

企业网络安全 公司网络安全方案设计书

为企业接入Internet的出口,占有及其重要的作用,一旦此防火墙出现故障或防火墙与主交换机连接链路出现问题,都会造成全台与 Internet 失去连接;其次,当前的防火墙无法对进入网络的病毒进行有效的拦截。(www.61k.com)为此,新增加一台防火墙和一台防病毒过滤网关与核心交换机。防病毒网关可对进入网络的流量进行有效过滤,使病毒数据包无法进入网络,提高内网的安全性。防火墙连接只在主核心交换机上,并且采用两台防火墙进行热备配置,分别连接两台核心交换机。设备及链路都进行了冗余配置,提高了网络的健壮性。根据改企业未来的应用需求,可考虑网络改造后,将Internet 连接带宽升级为100M。

3.1.3 入侵检测方案

在核心交换机监控端口部署CA入侵检测系统(eTrust Intrusion Detection),并在不同网段(本地或远程)上安装由中央工作站控制的网络入侵检测代理,对网络入侵进行检测和响应。

企业网络安全 公司网络安全方案设计书

3.1.4 VPN 系统

考虑到本公司和其子公司的通信,通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程 LAN 的安全连接。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

3.1.5 网络安全漏洞

企业网络拥有 WWW、邮件、域、视频等服务器,还有重要的数据库服务器,对于管理人员来说,无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞.因此需要借助漏洞扫描工具定期扫描、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,建议补救措施,达到增强网络安全性的目的。

3.1.6 防病毒方案

采用 Symantec网络防病毒软件,建立企业整体防病毒体系,对网络内的服务器和所有计算机设备采取全面病毒防护。 并且需要在网络中心设置病毒防护管 理中心,通过防病毒管理中心将局域网内所有计算机创建在同一防病毒管理域内。通过防病毒管理域的主服务器,对整个域进行防病毒管理,制定统一的防毒策略,设定域扫描作业,安排系统自动查、杀病毒。

可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控;可实现对所有防毒软件的集中管理、集中设置、集中维护;可集中反映整个系统内的病毒入侵情况,设置各种消息通报方式,对病毒的爆发进行报警;可集中获得防毒系统的日志信息;管理人员可方便地对系统情况进行汇总和分析。

根据企业内部通知或官方网站公布的流行性或重大恶性病毒及时下载系统补丁和杀毒

企业网络安全 公司网络安全方案设计书

工具,采取相关措施,防范于未然。(www.61k.com]

3.1.7 访问控制管理

实施有效的用户口令和访问控制,确保只有合法用户才能访问合法资源。在内网中系统管理员必须管理好所有的设备口令,不要在不同系统上使用同一口令;口令中最好要有大小写字母、字符、数字;定期改变自己的口令。

由于企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离。

3.1.8 重要文件及内部资料管理

定期对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。可选择功能完善、使用灵活的备份软件配合各种灾难恢复软件,全面地保护数据的安全。系统软件、应用软件及信息数据要实施保密,并自觉对文件进行分级管理,注意对系统文件、重要的可执行文件进行写保护。对于重要的服务器, 利用 RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施。

3.2 网络信息管理策略

计算机网络中心设计即公司网络安全管理策略的建设如下:

(1)USB Key 是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key 内置的密 码算法实现对用户身份的认证。基于PKI的USB Key 的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

(2)安全登录系统。由于网络开发中心以及财务部门涉及公司的网络部署 以及财务状况,需要高度保密,只有公司网络安全主管、财务主管以及公司法人才可以登录相应的网络, 而安全登录系统正是提供了对系统和网络登录的身份认证,使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。

(3)文件加密系统。与普通网络应用不同的是,业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施,文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。

(4)防毒中心建设。病毒对公司网络的攻击对公司的整体运转造成威胁,因此公司各部门均需要建设完善的防毒中心,使用企业版的防病毒系统的分级管 理功能,对网络进行管理单元划分。在网络中心建立以及防病毒服务器,负责所有二级防病毒服务器的统一管理。在不同的子系统建立二级防病毒服务器,负责本部的防病毒客户端管理

本文标题:网络设计方案-网络安全设计方案
本文地址: http://www.61k.com/1069391.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1