第一篇:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)---
海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院信息技術(shù)系
︽ 網(wǎng) 絡(luò)
安
案 全
例 ︾
設(shè)
計(jì)
報(bào)
告
題 目 企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
學(xué) 號(hào) 1***
班 級(jí) 11級(jí)網(wǎng)絡(luò)1 班
姓 名 XXX
指導(dǎo)老師 XXX
要解決的幾個(gè)關(guān)鍵問題
目錄
摘 要:.......................................................................................................2
一、引言....................................................................................................2
二、以某公司為例,綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖如下,分析現(xiàn)狀并分析需求:.....................................................................................................................3
三、設(shè)計(jì)原則............................................................................................4
四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路........................................................5
(一)安全系統(tǒng)架構(gòu)..........................................................................5
(二)安全防護(hù)體系..........................................................................5
(三)企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖..............................................................6
五、整體網(wǎng)絡(luò)安全方案............................................................................7
(一)網(wǎng)絡(luò)安全認(rèn)證平臺(tái)..................................................................7
(二)VPN系統(tǒng)................................................................................7
(三)網(wǎng)絡(luò)防火墻..............................................................................8
(四)病毒防護(hù)系統(tǒng)..........................................................................8
(五)對(duì)服務(wù)器的保護(hù)......................................................................9
(六)日志分析和統(tǒng)計(jì)報(bào)表能力....................................................10
(七)內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控..............................................11
(八)身份認(rèn)證的解決方案............................................................12
六、方案的組織與實(shí)施方式..................................................................12
七、總結(jié)..................................................................................................13 教師評(píng)語:..............................................................................................14
要解決的幾個(gè)關(guān)鍵問題
設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案
摘 要:
隨著互聯(lián)網(wǎng)的不斷更新與發(fā)展,它給我們帶來了極大的利益和方便。但是,隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的普及,使我們面臨另外提個(gè)困境:私人數(shù)據(jù)、重要的企業(yè)資源以及政府機(jī)密等信息被暴露在公共網(wǎng)絡(luò)空間之下,伴隨而來的網(wǎng)絡(luò)安全問題越來越引起人們的關(guān)注。計(jì)算機(jī)系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟(jì)損失,并嚴(yán)重影響正常工作的順利開展。加強(qiáng)企業(yè)網(wǎng)絡(luò)安全工作,是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。
關(guān)鍵詞: 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)
一、引言
隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的不斷普及,企業(yè)的重要數(shù)據(jù)信息都被暴露在公共網(wǎng)絡(luò)空間下,很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當(dāng)?shù)龋加锌赡芡{到重要信息數(shù)據(jù),這些危害也越來越受到人們的重視。因此,根據(jù)企業(yè)的實(shí)際情況建立一套切實(shí)可行的安全網(wǎng)絡(luò)方案來改善這個(gè)情況,如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵,使企業(yè)的數(shù)據(jù)機(jī)密信息得以保護(hù),并且可以保證企業(yè)的網(wǎng)絡(luò)順暢的工作,有助于公司的長(zhǎng)遠(yuǎn)發(fā)展。
網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進(jìn)行介入控制,以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段,主要包括物理的安全分析技術(shù),網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù),系統(tǒng)安全分析技術(shù),管理安全分析技術(shù),以及其他的安全服務(wù)和安全機(jī)制策略。
21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì),網(wǎng)絡(luò)社會(huì)的時(shí)候,我國(guó)將建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國(guó)自己特色的網(wǎng)絡(luò)安全體系。
網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn):第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多 2
要解決的幾個(gè)關(guān)鍵問題
樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會(huì)各方面的延伸,進(jìn)入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系,需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。
信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問題。對(duì)于這個(gè)問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分,甚至應(yīng)該看到它對(duì)我國(guó)未來電子 化、信息化的發(fā)展將起到非常重要的作用。
二、以某公司為例,綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖如下,分析現(xiàn)狀并分析需求:
圖說明 圖一 企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖
要解決的幾個(gè)關(guān)鍵問題
(一)對(duì)該公司的信息安全系統(tǒng)無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì),存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)。
(3)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。
(4)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
(二)由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
三、設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。具體如下: 1.技術(shù)先進(jìn)性原則 2.系統(tǒng)性原則
要解決的幾個(gè)關(guān)鍵問題
3.管理可控性原則 4.技術(shù)與管理相結(jié)合原則 5.多重保護(hù)原則 6.系統(tǒng)可伸縮性原則 7.測(cè)評(píng)認(rèn)證原則
四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路
(一)安全系統(tǒng)架構(gòu)
一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面,包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等,而一個(gè)安全系統(tǒng)的安全等級(jí),又是按照木桶原理來實(shí)現(xiàn)的。根據(jù)企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn),安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上,因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。
隨著針對(duì)應(yīng)用層的攻擊越來越多、威脅越來越大,只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個(gè)簡(jiǎn)單的例子,那些攜帶著后門程序的蠕蟲病毒是簡(jiǎn)單的防火墻VPN安全體系所無法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN,還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施,將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣,這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。
(二)安全防護(hù)體系
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終。如圖二所示:
要解決的幾個(gè)關(guān)鍵問題
圖說明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型
(三)企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖
通過以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:
圖說明 圖三
總體安全結(jié)構(gòu)圖
要解決的幾個(gè)關(guān)鍵問題
五、整體網(wǎng)絡(luò)安全方案
(一)網(wǎng)絡(luò)安全認(rèn)證平臺(tái)
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):
1.身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。
2.數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
3.數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。
4.不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
(二)VPN系統(tǒng)一個(gè)完全私有的網(wǎng)絡(luò)可以解決許多安全問題,因?yàn)楹芏鄲阂夤粽吒緹o法進(jìn)入網(wǎng)絡(luò)實(shí)施攻擊。但是,對(duì)于一個(gè)普通的地理覆蓋范圍廣的企業(yè)或公司,要搭建物理上私有的網(wǎng)絡(luò),往往在財(cái)政預(yù)算上是不合理的。VPN技術(shù)就是為了解決這樣一種安全需求的技術(shù)。
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義,虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線,但是不用給鋪設(shè)線路的費(fèi)用,也不用購買路由器等硬件設(shè)備。
要解決的幾個(gè)關(guān)鍵問題
集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
(三)網(wǎng)絡(luò)防火墻
采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下:
圖說明 圖四 防火墻
安裝好專業(yè)切功能強(qiáng)勁的防火墻,來有效防御外來黑客病毒等方面的攻擊。在兩個(gè)網(wǎng)絡(luò)之間加強(qiáng)訪問控制的一整套裝置,是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全防范系統(tǒng)通常安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的鏈接點(diǎn)上。所有來自internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過防火墻。
入侵行為的發(fā)覺。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息,并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。行進(jìn)入侵檢測(cè)的軟件與硬件的組合便是入侵監(jiān)測(cè)系統(tǒng)。與其他安全產(chǎn)品不同的是,入侵檢測(cè)系統(tǒng)需要更多的智能,它必須可以將得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大簡(jiǎn)化管理員的工作,保證網(wǎng)絡(luò)安全的運(yùn)行。
(四)病毒防護(hù)系統(tǒng)
基于單位目前網(wǎng)絡(luò)的現(xiàn)狀,在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器,用于安裝IMSS。
要解決的幾個(gè)關(guān)鍵問題
1.郵件防毒。采用趨勢(shì)科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件,實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作,并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
2.服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響,另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署,管理和更新。
3.客戶端防毒。采用趨勢(shì)科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng),使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊,并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
4.集中控管TVCS。管理員可以通過此工具在整個(gè)企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件,支持跨域和跨網(wǎng)段的管理,并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無論運(yùn)行于何種平臺(tái)和位置,TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)代理部署,網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào),給管理帶來極大的便利。
(五)對(duì)服務(wù)器的保護(hù)
服務(wù)器的安全對(duì)企業(yè)來說是至關(guān)重要的,近幾年來,服務(wù)器遭遇“黑手”的風(fēng)險(xiǎn)越來越大,就最近服務(wù)器遭遇病毒、黑客攻擊的新聞不絕于耳。首先,這些惡意的攻擊行為,旨在消耗服務(wù)器資源,影響服務(wù)器的正常運(yùn)作,甚至攻擊到服務(wù)器所在網(wǎng)絡(luò)癱瘓。還有一方面,就是入侵行為,這種大多與某些利益有關(guān)聯(lián),有的涉及到企業(yè)的敏感信息,有的是同行相煎。
目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次 9
要解決的幾個(gè)關(guān)鍵問題
結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證,而最上一級(jí)的組織(根證書)之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹狀的。其次,S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡(jiǎn)圖(透明方式):
圖說明
圖五
郵件系統(tǒng)保護(hù)
(六)日志分析和統(tǒng)計(jì)報(bào)表能力
所有的網(wǎng)站統(tǒng)計(jì)報(bào)告都是相同的么?日志分析與實(shí)時(shí)統(tǒng)計(jì)分析工具報(bào)告和追蹤網(wǎng)站的活動(dòng)都有著很大的區(qū)別。因?yàn)樗麄兪占煌男畔ⅲ蕴峁┑膱?bào)告也許并不一致。實(shí)時(shí)統(tǒng)計(jì)工具的優(yōu)勢(shì)在于跟蹤訪問者行為和精確的頁面瀏覽量統(tǒng)計(jì)。
如果很清楚的理解這些工具是怎樣進(jìn)行統(tǒng)計(jì)的,您將能更好的理解兩種報(bào)告的差異,并協(xié)調(diào)使用不同的數(shù)據(jù),從而幫助您在營(yíng)銷和市場(chǎng)活動(dòng)中做出更有效的決定。
對(duì)網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄,這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外,報(bào)表系統(tǒng)還應(yīng)自動(dòng)生成各種 10
要解決的幾個(gè)關(guān)鍵問題
形式的攻擊統(tǒng)計(jì)報(bào)表,形式包括日?qǐng)?bào)表,月報(bào)表,年報(bào)表等,通過來源分析,目標(biāo)分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件,有助于管理人員提高網(wǎng)絡(luò)的安全管理。
(七)內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控
內(nèi)部網(wǎng)絡(luò)行為監(jiān)管審計(jì)系統(tǒng)是在網(wǎng)絡(luò)整體安全解決方案的基礎(chǔ)上,綜合了黨政機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)的安全需求,采取多層架構(gòu)、分布式設(shè)計(jì),可滿足黨政機(jī)關(guān)以及企事業(yè)單位對(duì)保障數(shù)據(jù)、信息的安全性及完整性的迫切要求。對(duì)內(nèi)部網(wǎng)絡(luò)行為的管理監(jiān)控結(jié)果有效,審計(jì)結(jié)果取證完整、記錄可信。以下是幾種系統(tǒng):
1.監(jiān)控中心控制臺(tái)
運(yùn)行在Windows2000各種版本/Windows XP下,對(duì)系統(tǒng)安全策略進(jìn)行統(tǒng)一管理與發(fā)布,對(duì)系統(tǒng)的安全設(shè)備及配置進(jìn)行統(tǒng)一管理,對(duì)系統(tǒng)的日志進(jìn)行審計(jì)、分析、報(bào)告,對(duì)安全事件進(jìn)行應(yīng)急響應(yīng)和處理,可隨機(jī)抽查網(wǎng)絡(luò)內(nèi)受控主機(jī)的屏幕信息并可記錄和回放。2.身份認(rèn)證識(shí)別服務(wù)器
運(yùn)行在Windows2000 Server版本下,采用一次一變的動(dòng)態(tài)口令,有效的解決了一般靜態(tài)口令易截取、易竊聽、易猜測(cè)等安全隱患,用于內(nèi)部網(wǎng)使用人員的身份管理和網(wǎng)絡(luò)安全管理員身份的認(rèn)證控制。3.受控主機(jī)代理
運(yùn)行在Windows2000各種版本/Windows XP下,根據(jù)監(jiān)控中心控制臺(tái)設(shè)置的策略規(guī)則(包括登錄策略、文件策略、一機(jī)兩用策略、屏幕監(jiān)控策略、輸入輸出策略等),實(shí)時(shí)進(jìn)行信息采集,阻止違規(guī)操作,將違規(guī)操作報(bào)警到控制臺(tái)。4.郵件監(jiān)控器代理
運(yùn)行在Windows2000各種版本下,安裝在郵件服務(wù)器中,根據(jù)監(jiān)控中心控制臺(tái)設(shè)置的郵件策略規(guī)則,根據(jù)時(shí)間段、計(jì)算機(jī)的IP地址、Email地址進(jìn)行阻止、報(bào)警,將違規(guī)操作報(bào)警到控制臺(tái)。5.網(wǎng)絡(luò)感應(yīng)器代理
運(yùn)行在Windows2000各種版本/Windows XP下,采集網(wǎng)絡(luò)中的信息流量,根據(jù)控制臺(tái)的要求,將采集的網(wǎng)絡(luò)信息流量上傳到控制臺(tái),進(jìn)行審計(jì)統(tǒng)計(jì)。并可實(shí)時(shí)檢測(cè)出網(wǎng)絡(luò)內(nèi)非法接入的其它設(shè)備。
要解決的幾個(gè)關(guān)鍵問題
則內(nèi)網(wǎng)綜合保護(hù)簡(jiǎn)圖如下圖七所示:
圖說明
圖七
內(nèi)網(wǎng)綜合保護(hù)
(八)身份認(rèn)證的解決方案
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。
基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實(shí)施方式
由以上的分析及設(shè)計(jì),可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。具體的安全管理貫穿全 12
要解決的幾個(gè)關(guān)鍵問題
流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
七、總結(jié)
本課程設(shè)計(jì)以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,重點(diǎn)提出了管理技術(shù)和維護(hù)技術(shù)。隨著現(xiàn)在的發(fā)展,網(wǎng)絡(luò)的不安全因素很多,網(wǎng)絡(luò)管理和維護(hù)尤其重要,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從
要解決的幾個(gè)關(guān)鍵問題
技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。也希望通過本方案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。
教師評(píng)語:
第二篇:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)
信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)
摘 要:在這個(gè)信息技術(shù)飛速發(fā)展的時(shí)代,許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到很有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)來極大地提升企業(yè)的核心競(jìng)爭(zhēng)力,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。本文主要通過安全體系建設(shè)原則、實(shí)例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實(shí)施等方面的闡述,為企業(yè)提供一個(gè)可靠地、完整的方案。
關(guān)鍵詞: 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)
一、引言
隨著國(guó)內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及,企業(yè)經(jīng)營(yíng)活動(dòng)的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí),對(duì)安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅,甚至處于癱瘓狀態(tài),將會(huì)給企業(yè)、社會(huì)、乃至整個(gè)國(guó)家?guī)砭薮蟮慕?jīng)濟(jì)損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵,已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。
一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng),主要有WEB、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展,網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來越復(fù)雜,應(yīng)用系統(tǒng)也會(huì)越來越多。但從整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理上來看,通常包括內(nèi)部用戶,也有外部用戶,以及內(nèi)外網(wǎng)之間。因此,一般整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個(gè)方面的安全問題:
(1)Internet的安全性:隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全事件層出不窮。近年來,計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對(duì)于企業(yè)級(jí)用戶,每當(dāng)遭遇這些威脅時(shí),往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊,工作效率下降,直接或間接的經(jīng)濟(jì)損失也很大。
(2)企業(yè)內(nèi)網(wǎng)的安全性:最新調(diào)查顯示,在受調(diào)查的企業(yè)中60%以上的員信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用,降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜,或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密,從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視,存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。
(3)內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全:隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及,逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全,既要保證信息的及時(shí)共享,又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過程中不得不考慮的問題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。
二、以某公司為例,綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖如下,分析現(xiàn)狀并分析需求:
信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明 圖一 企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖
對(duì)該公司的信息安全系統(tǒng)無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì),存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)。
(3)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。
(4)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
三、設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。具體如下: 1.標(biāo)準(zhǔn)化原則 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)2.系統(tǒng)化原則 3.規(guī)避風(fēng)險(xiǎn)原則 4.保護(hù)投資原則 5.多重保護(hù)原則 6.分步實(shí)施原則
四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路
1.安全系統(tǒng)架構(gòu)
安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上,因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。
隨著針對(duì)應(yīng)用層的攻擊越來越多、威脅越來越大,只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個(gè)簡(jiǎn)單的例子,那些攜帶著后門程序的蠕蟲病毒是簡(jiǎn)單的防火墻VPN安全體系所無法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN,還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施,將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣,這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護(hù)體系
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終。如圖二所示:
圖說明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)3.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖
通過以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:
圖說明 圖三
總體安全結(jié)構(gòu)圖
五、整體網(wǎng)絡(luò)安全方案
1.網(wǎng)絡(luò)安全認(rèn)證平臺(tái)
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):
1)身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
2)數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
3)數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)
VPN(Virtual Private Network)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。
集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
3.網(wǎng)絡(luò)防火墻
采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對(duì)內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨(dú)的防火墻設(shè)備進(jìn)行防護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下:
圖說明 圖四 防火墻
此外在實(shí)際中可以增加入侵檢測(cè)系統(tǒng),作為防火墻的功能互補(bǔ),提供對(duì)監(jiān)控信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)等功能。4.病毒防護(hù)系統(tǒng)
應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略,增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一個(gè)專門針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件,通過瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng),并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理,實(shí)時(shí)掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件,并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。5.對(duì)服務(wù)器的保護(hù)
在一個(gè)企業(yè)中對(duì)服務(wù)器的保護(hù)也是至關(guān)重要的。在這里我們選擇電子郵件為例來說明對(duì)服務(wù)器保護(hù)的重要性。
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證,而最上一級(jí)的組織(根證書)之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹狀的。其次,S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡(jiǎn)圖(透明方式): 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明
圖五
郵件系統(tǒng)保護(hù) 6.關(guān)鍵網(wǎng)段保護(hù)
企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的,應(yīng)此對(duì)外應(yīng)是保密的。所以這些網(wǎng)段我們也應(yīng)給予特別的防護(hù)。簡(jiǎn)圖如下圖六所示。
圖說明
圖六
關(guān)鍵網(wǎng)段的防護(hù) 7.日志分析和統(tǒng)計(jì)報(bào)表能力
對(duì)網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄,這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外,報(bào)表系統(tǒng)還應(yīng)自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表,形式包括日?qǐng)?bào)表,月報(bào)表,年報(bào)表等,通過來源分析,目信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)標(biāo)分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件,有助于管理人員提高網(wǎng)絡(luò)的安全管理。8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控
除對(duì)外的防護(hù)外,對(duì)網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)該進(jìn)行規(guī)范,并監(jiān)控上網(wǎng)行為,過濾網(wǎng)頁訪問,過濾郵件,限制上網(wǎng)聊天行為,阻止不正當(dāng)文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識(shí)別度應(yīng)達(dá)到每一個(gè)URL請(qǐng)求和每一個(gè)URL請(qǐng)求的回應(yīng)。通過對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為,提高工作效率,同時(shí)避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對(duì)客戶端安全的整體解決方案。分別有以下幾種系統(tǒng):
1)電子簽章系統(tǒng)
利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。
則內(nèi)網(wǎng)綜合保護(hù)簡(jiǎn)圖如下圖七所示: 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明
圖七
內(nèi)網(wǎng)綜合保護(hù) 9.移動(dòng)用戶管理系統(tǒng)
對(duì)于企業(yè)內(nèi)部的筆記本電腦在外工作,當(dāng)要接入內(nèi)部網(wǎng)也應(yīng)進(jìn)行安全控制,確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。10.身份認(rèn)證的解決方案
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。
基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實(shí)施方式
由以上的分析及設(shè)計(jì),可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。具體的安全管理貫穿全信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
七、總結(jié)
本設(shè)計(jì)以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。也希望通過本方案的信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。
第三篇:校園網(wǎng)絡(luò)安全方案設(shè)計(jì)
汕尾職業(yè)技術(shù)學(xué)院-------數(shù)學(xué)與應(yīng)用系
校園網(wǎng)絡(luò)安全方案設(shè)計(jì)
班級(jí):123網(wǎng)絡(luò)技術(shù)2班
姓名:李仲富 學(xué)號(hào):2012324208
設(shè)計(jì)題目: 校園網(wǎng)絡(luò)安全方案設(shè)計(jì)
設(shè)計(jì)時(shí)間:6月20號(hào)至6月30號(hào)
汕尾職業(yè)技術(shù)學(xué)院-------數(shù)學(xué)與應(yīng)用系
一、校園網(wǎng)方案設(shè)計(jì)原則與需求
1.1設(shè)計(jì)原則:保證校園網(wǎng)的穩(wěn)定運(yùn)行和利用。
1.2網(wǎng)絡(luò)建設(shè)需求:高度的穩(wěn)定性和高性能性,對(duì)網(wǎng)絡(luò)統(tǒng)一管理和高效處理。
二、校園網(wǎng)方案設(shè)計(jì)
2.1校園網(wǎng)現(xiàn)網(wǎng)拓?fù)鋱D
整個(gè)網(wǎng)絡(luò)采用二級(jí)的網(wǎng)絡(luò)架構(gòu):核心、接入。
核心采用一臺(tái)RG-S4909,負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā),同時(shí)為接入交換機(jī)S1926F+、內(nèi)部服務(wù)器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。
2.2校園網(wǎng)設(shè)備更新方案
更換核心設(shè)備
汕尾職業(yè)技術(shù)學(xué)院-------數(shù)學(xué)與應(yīng)用系
核心采用一臺(tái)銳捷網(wǎng)絡(luò)面向10萬兆平臺(tái)設(shè)計(jì)的多業(yè)務(wù)IPV6路由交換機(jī)RG-S8606,負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在C區(qū)增加一臺(tái)SAM服務(wù)器,部署SAM系統(tǒng),同時(shí)A區(qū)和B區(qū)用3臺(tái)S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設(shè)備,下接三臺(tái)S2126G實(shí)現(xiàn)安全控制,其它二層交換機(jī)分別接入相應(yīng)的S2126G。B區(qū)匯聚采用一臺(tái)S2126G,剩余兩臺(tái)S2126G用于保護(hù)重點(diǎn)機(jī)器,其它交換機(jī)接入對(duì)應(yīng)的S2126G。C區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整,采用現(xiàn)有的兩臺(tái)S2126G做為匯聚設(shè)備,其它交換機(jī)分別接入這兩臺(tái)交換機(jī),從而實(shí)現(xiàn)所有匯聚層交換機(jī)都能進(jìn)行安全控制,重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。
2.3 網(wǎng)絡(luò)安全系統(tǒng)的管理
1、確定計(jì)算機(jī)安全管理責(zé)任人和安全領(lǐng)導(dǎo)小組負(fù)責(zé)人 應(yīng)當(dāng)履行下列職責(zé):
(一)組織宣傳計(jì)算機(jī)信息網(wǎng)絡(luò)安全管理方面的法律、法規(guī)和有關(guān)政策;
(二)擬定并組織實(shí)施本校計(jì)算機(jī)信息網(wǎng)絡(luò)安全管理的各項(xiàng)規(guī)章制度;
(三)定期組織檢查本校計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行情況,及時(shí)排除各種安全隱患;
(四)負(fù)責(zé)組織本校學(xué)生的安全教育和培訓(xùn);
汕尾職業(yè)技術(shù)學(xué)院-------數(shù)學(xué)與應(yīng)用系
2、配備1至2名計(jì)算機(jī)學(xué)生安全員(由技術(shù)負(fù)責(zé)人和技術(shù)操作人員組成),應(yīng)當(dāng)履行下列職責(zé):
(一)執(zhí)行本單位計(jì)算機(jī)信息網(wǎng)絡(luò)安全管理的各項(xiàng)規(guī)章制度;
(二)按照計(jì)算機(jī)信息網(wǎng)絡(luò)安全技術(shù)規(guī)范要求對(duì)計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行情況進(jìn)行檢查測(cè)試,及時(shí)排除各種安全隱患;
2.4網(wǎng)絡(luò)安全系統(tǒng)的風(fēng)險(xiǎn)評(píng)估
一般可能會(huì)遭受到外部的攻擊和入侵、內(nèi)部的攻擊或誤用、企業(yè)內(nèi)的病毒傳播,以及安全管理漏洞等方面。
2.5網(wǎng)絡(luò)安全設(shè)計(jì)
2.5.1校園網(wǎng)網(wǎng)絡(luò)安全需求分析
1.網(wǎng)絡(luò)安全的防范:
病毒產(chǎn)生的原因:校園網(wǎng)很重要的一個(gè)特征就是用戶數(shù)比較多,會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段,這樣,當(dāng)用戶在頻繁的訪問INTERNET的時(shí)候,通過局域網(wǎng)共享文件的時(shí)候,通過U盤,光盤拷貝文件的時(shí)候,系統(tǒng)都會(huì)感染上病毒,當(dāng)某個(gè)學(xué)生感染上病毒后,他會(huì)向校園網(wǎng)的每一個(gè)角落發(fā)送,發(fā)送給其他用戶,發(fā)送給服務(wù)器。
病毒對(duì)校園網(wǎng)的影響:校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗,用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng),辦公平臺(tái)不能使用;資源庫、VOD不能點(diǎn)播;INTERNET上不了,學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。
2、防止IP、MAC地址的盜用
IP、MAC地址的盜用的原因:某校園網(wǎng)采用靜態(tài)IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用戶可以隨意的更改IP地址,在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址,會(huì)引起多方?jīng)_突,如果與網(wǎng)關(guān)地址沖突,同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò);如果惡意用戶發(fā)送虛假的IP、MAC的對(duì)應(yīng)關(guān)系,用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中,造成ARP欺騙攻擊。
IP、MAC地址的盜用對(duì)校園網(wǎng)的影響:在用戶看來,校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò),因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源,而且,用戶在正常工作和學(xué)習(xí)時(shí)候,自己的電腦上會(huì)經(jīng)常
汕尾職業(yè)技術(shù)學(xué)院-------數(shù)學(xué)與應(yīng)用系
彈出MAC地址沖突的對(duì)話框。由于擔(dān)心一些機(jī)密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏,用戶會(huì)盡量減少網(wǎng)絡(luò)的使用,這樣,學(xué)生、老師對(duì)校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱,投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用,造成很大程度上的資源浪費(fèi)。
3、安全事故發(fā)生時(shí)候,需要準(zhǔn)確定位到用戶 安全事故發(fā)生時(shí)候,需要準(zhǔn)確定位到用戶原因:
資料:國(guó)家的要求:2002年,朱镕基簽署了282號(hào)令,要求各大INTERNET運(yùn)營(yíng)機(jī)構(gòu)(包括高校)必須要保存60天的用戶上網(wǎng)記錄,以待相關(guān)部門審計(jì)。
校園網(wǎng)正常運(yùn)行的需求:如果說不能準(zhǔn)確的定位到用戶,學(xué)生會(huì)在網(wǎng)絡(luò)中肆無忌彈進(jìn)行各種非法的活動(dòng),會(huì)使得校園網(wǎng)變成“黑客”娛樂的天堂,更嚴(yán)重的是,如果當(dāng)某個(gè)學(xué)生在校外的某個(gè)站點(diǎn)發(fā)布了大量涉及政治的比如法輪功的言論,這時(shí)候公安部門的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時(shí)候,我們無法處理,學(xué)校或者說網(wǎng)絡(luò)中心只有替學(xué)生背這個(gè)黑鍋。
4、安全事故發(fā)生時(shí)候,不能準(zhǔn)確定位到用戶的影響:
一旦發(fā)生這種涉及到政治的安全事情發(fā)生后,很容易在社會(huì)上廣泛傳播,上級(jí)主管部門會(huì)對(duì)學(xué)校做出處理;同時(shí)也會(huì)大大降低學(xué)校在社會(huì)上的影響力,降低家長(zhǎng)、學(xué)生對(duì)學(xué)校的滿意度,對(duì)以后學(xué)生的招生也是大有影響的。
5、用戶上網(wǎng)時(shí)間的控制
無法控制學(xué)生上網(wǎng)時(shí)間的影響:如果缺乏有效的機(jī)制來限制用戶的上網(wǎng)時(shí)間,學(xué)生可能會(huì)利用一切機(jī)會(huì)上網(wǎng),會(huì)曠課。像網(wǎng)吧一樣無人監(jiān)管,通宵、影響明天的課程。精力。
6、用戶網(wǎng)絡(luò)權(quán)限的控制
在校園網(wǎng)中,不同用戶的訪問權(quán)限應(yīng)該是不一樣的,比如學(xué)生應(yīng)該只能夠訪問資源服務(wù)器,上網(wǎng),不能訪問辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問財(cái)務(wù)網(wǎng)絡(luò)。因此,需要對(duì)用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。例如:學(xué)院的重要的部門。學(xué)生選課。資料檔案。
7、各種網(wǎng)絡(luò)攻擊的有效屏蔽
校園網(wǎng)中常見的網(wǎng)絡(luò)攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務(wù)器及DHCP攻擊、竊取交換機(jī)的管理員密碼、發(fā)送大量的廣播報(bào)文,這些攻擊的存在,會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行低了校園網(wǎng)的效率。計(jì)算機(jī)專業(yè)的學(xué)生搞惡作劇,做實(shí)驗(yàn)
2.6.2某校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)思想和實(shí)施
汕尾職業(yè)技術(shù)學(xué)院-------數(shù)學(xué)與應(yīng)用系
2.6.2.1安全到邊緣的設(shè)計(jì)思想
用戶在訪問網(wǎng)絡(luò)的過程中,首先要經(jīng)過的就是交換機(jī),如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候,也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無疑是達(dá)到更好的效果。2.6.2.2全局安全的設(shè)計(jì)思想
銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)安全,安全不是某一個(gè)設(shè)備的事情,應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能,互相協(xié)作,形成一個(gè)全民皆兵的網(wǎng)絡(luò),最終從全局的角度把控網(wǎng)絡(luò)安全。2.6.2.3全程安全的設(shè)計(jì)思想
用戶的網(wǎng)絡(luò)訪問行為可以分為三個(gè)階段,包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時(shí)候、訪問網(wǎng)絡(luò)后。對(duì)著每一個(gè)階段,都應(yīng)該有嚴(yán)格的安全控制措施。2.6.3校園網(wǎng)網(wǎng)絡(luò)安全方案
銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機(jī)嵌入式安全防護(hù)機(jī)制設(shè)計(jì)的特點(diǎn),從三個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)安全:事前的準(zhǔn)確身份認(rèn)證、事中的實(shí)時(shí)處理、事后的完整審計(jì)。2.6.3.1事前的身份認(rèn)證
對(duì)于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶,我們需要對(duì)其身份進(jìn)行驗(yàn)證,身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時(shí)間,通過以上信息的綁定,可以達(dá)到如下的效果:
每一個(gè)用戶的身份在整個(gè)校園網(wǎng)中是唯一,避免了個(gè)人信息被盜用.當(dāng)安全事故發(fā)生的時(shí)候,只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址,就可以準(zhǔn)確定位到該用戶,便于事情的處理。
只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng),防止非法用戶的非法接入,這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。2.6.3.2網(wǎng)絡(luò)攻擊的防范
1、常見網(wǎng)絡(luò)病毒的防范
對(duì)于常見的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒,通過部署擴(kuò)展的ACL,能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范,一旦某個(gè)用戶不小心感染上了這種類型的病毒,不會(huì)影響到網(wǎng)絡(luò)中的其他用戶,保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。
2、未知網(wǎng)絡(luò)病毒的防范
汕尾職業(yè)技術(shù)學(xué)院-------數(shù)學(xué)與應(yīng)用系
對(duì)于未知的網(wǎng)絡(luò)病毒,通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能,為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬,保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬,當(dāng)新的病毒產(chǎn)生時(shí),不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行,從而保證了網(wǎng)絡(luò)的高可用性。
3、防止IP地址盜用和ARP攻擊
通過對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè),即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致,如果不一致,視為更改了IP地址,所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò),這樣可有效防止安全端口上的ARP欺騙,防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP(如服務(wù)器),造成網(wǎng)絡(luò)通訊混亂。
4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊
通過部署IP、MAC、端口綁定和IP+MAC綁定(只需簡(jiǎn)單的一個(gè)命令就可以實(shí)現(xiàn))。并實(shí)現(xiàn)端口反查功能,追查源IP、MAC訪問,追查惡意用戶。有效的防止通過假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊,進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。
5、非法組播源的屏蔽
銳捷產(chǎn)品均支持IMGP源端口檢查,實(shí)現(xiàn)全網(wǎng)杜絕非法組播源,指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí),從任何端口進(jìn)入的視頻流均是合法的,交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查打開時(shí),只有從路由連接口進(jìn)入的視頻流才是合法的,交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口;而從非路由連接口進(jìn)入的視頻流被視為是非法的,將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查,有效控制非法組播,實(shí)現(xiàn)全網(wǎng)杜絕非法組播源,更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能,同時(shí)可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢(shì),而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查,具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn),更加適用于校園運(yùn)營(yíng)網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。
6、對(duì)DOS攻擊,掃描攻擊的屏蔽
通過在校園網(wǎng)中部署防止DOS攻擊,掃描攻擊,能夠有效的避免這二種攻擊行為,節(jié)省了網(wǎng)絡(luò)帶寬,避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。2.7 業(yè)務(wù)連續(xù)策略
可分為4種類型:人力不可抗拒事件、高傳染性疾病、物理訪問、it邏輯訪問 2.8 業(yè)務(wù)持續(xù)計(jì)劃進(jìn)行測(cè)試、保持和重新評(píng)估(1)測(cè)試即使:1桌面測(cè)試 2模擬
汕尾職業(yè)技術(shù)學(xué)院-------數(shù)學(xué)與應(yīng)用系
3技術(shù)恢復(fù)測(cè)試
4供應(yīng)商設(shè)備和服務(wù)測(cè)試 5排練
(2)保持與重新評(píng)估:考慮各方面的更新1人員 2地址或電話號(hào)碼 3過程 4風(fēng)險(xiǎn)
第四篇:校園網(wǎng)絡(luò)安全方案設(shè)計(jì)
校園網(wǎng)絡(luò)安全方案設(shè)計(jì)案例2案例)
班 級(jí): 學(xué) 號(hào): 設(shè)計(jì)人:李**
(校園
第一章、校園網(wǎng)方案設(shè)計(jì)原則與需求
1.1設(shè)計(jì)原則
1.充分滿足現(xiàn)在以及未來3-5年內(nèi)的網(wǎng)絡(luò)需求,既要保證校園網(wǎng)能很好的為學(xué)校服務(wù),又要保護(hù)學(xué)校的投資。
2.強(qiáng)大的安全管理措施,四分建設(shè)、六分管理,管理維護(hù)的好壞是校園網(wǎng)正常運(yùn)行的關(guān)鍵
3.在滿足學(xué)校的需求的前提下,建出自己的特色 1.2網(wǎng)絡(luò)建設(shè)需求
網(wǎng)絡(luò)的穩(wěn)定性要求
整個(gè)網(wǎng)絡(luò)需要具有高度的穩(wěn)定性,能夠滿足不同用戶對(duì)網(wǎng)絡(luò)訪問的不同要求 網(wǎng)絡(luò)高性能需求
整個(gè)網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能,能夠滿足各種流媒體的無障礙傳輸,保證校園網(wǎng)各種應(yīng)用的暢通無阻
認(rèn)證計(jì)費(fèi)效率高,對(duì)用戶的認(rèn)證和計(jì)費(fèi)不會(huì)對(duì)網(wǎng)絡(luò)性能造成瓶頸 網(wǎng)絡(luò)安全需求
防止IP地址沖突
非法站點(diǎn)訪問過濾
非法言論的準(zhǔn)確追蹤
惡意攻擊的實(shí)時(shí)處理
記錄訪問日志提供完整審計(jì) 網(wǎng)絡(luò)管理需求
需要方便的進(jìn)行用戶管理,包括開戶、銷戶、資料修改和查詢
需要能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行集中的統(tǒng)一管理
需要對(duì)網(wǎng)絡(luò)故障進(jìn)行快速高效的處理
第二章、校園網(wǎng)方案設(shè)計(jì)
2.1校園網(wǎng)現(xiàn)網(wǎng)拓?fù)鋱D
整個(gè)網(wǎng)絡(luò)采用二級(jí)的網(wǎng)絡(luò)架構(gòu):核心、接入。
核心采用一臺(tái)RG-S4909,負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā),同時(shí)為接入交換機(jī)S1926F+、內(nèi)部服務(wù)器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。原有網(wǎng)絡(luò)設(shè)備功能較少,無法進(jìn)行安全防護(hù),已經(jīng)不能滿足應(yīng)用的需求。
2.2校園網(wǎng)設(shè)備更新方案
方案一:不更換核心設(shè)備
核心仍然采用銳捷網(wǎng)絡(luò)S4909交換機(jī),在中校區(qū)增加一臺(tái)SAM服務(wù)器,部署SAM系統(tǒng),同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+,其中匯聚交換機(jī)各采用一臺(tái)新增的S2126G,剩余的兩臺(tái)S2126G用于加強(qiáng)對(duì)關(guān)鍵機(jī)器的保護(hù),中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整,采用現(xiàn)有的兩臺(tái)S2126G做為匯聚設(shè)備,其它交換機(jī)分別接入這兩臺(tái)交換機(jī),從而實(shí)現(xiàn)所有匯聚層交換機(jī)都能進(jìn)行安全控制,重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。
方案二:更換核心設(shè)備
核心采用一臺(tái)銳捷網(wǎng)絡(luò)面向10萬兆平臺(tái)設(shè)計(jì)的多業(yè)務(wù)IPV6路由交換機(jī)RG-S8606,負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺(tái)SAM服務(wù)器,部署SAM系統(tǒng),同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設(shè)備,下接三臺(tái)S2126G實(shí)現(xiàn)安全控制,其它二層交換機(jī)分別接入相應(yīng)的S2126G。西校區(qū)匯聚采用一臺(tái)S2126G,剩余兩臺(tái)S2126G用于保護(hù)重點(diǎn)機(jī)器,其它交換機(jī)接入對(duì)應(yīng)的S2126G。中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整,采用現(xiàn)有的兩臺(tái)S2126G做為匯聚設(shè)備,其它交換機(jī)分別接入這兩臺(tái)交換機(jī),從而實(shí)現(xiàn)所有匯聚層交換機(jī)都能進(jìn)行安全控制,重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。2.3骨干網(wǎng)絡(luò)設(shè)計(jì)
骨干網(wǎng)絡(luò)由RG-S8606構(gòu)成,核心交換機(jī)RG-S8606主要具有5特性:
1、骨干網(wǎng)帶寬設(shè)計(jì):千兆骨干,可平滑升級(jí)到萬兆
整個(gè)骨干網(wǎng)采用千兆雙規(guī)線路的設(shè)計(jì),二條線路通過VRRP冗余路由協(xié)議和OSPF動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)負(fù)載分擔(dān)和冗余備份,以后,隨著網(wǎng)絡(luò)流量的增加,可以將鏈路升級(jí)到萬兆。
2、骨干設(shè)備的安全設(shè)計(jì):CSS安全體系架構(gòu)
3、CSS之硬件CPP CPP即CPU Protect Policy,RG-S8606采用硬件來實(shí)現(xiàn),CPP提供管理模塊和線卡CPU的保護(hù)功能,對(duì)發(fā)往CPU的數(shù)據(jù)流進(jìn)行帶寬限制(總帶寬、QOS隊(duì)列帶寬、類型報(bào)文帶寬),這樣,對(duì)于ARP攻擊的數(shù)據(jù)流、針對(duì)CPU的網(wǎng)絡(luò)攻擊和病毒數(shù)據(jù)流,RG-S8606分配給其的帶寬非常的有限,不會(huì)影響其正常工作。
由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實(shí)現(xiàn),不影響整機(jī)的運(yùn)行效率
4、CSS之SPOH技術(shù)
現(xiàn)在的網(wǎng)絡(luò)需要更安全、需要為不同的業(yè)務(wù)提供不同的處理優(yōu)先級(jí),這樣,大量的ACL和QOS需要部署,需要核心交換機(jī)來處理,而這些應(yīng)用屬于對(duì)交換機(jī)硬件資源消耗非常大的,核心交換機(jī)RG-S8606通過在交換機(jī)的每一個(gè)用戶端口上增加一個(gè)FFP(快速過濾處理器),專門用來處理ACL和QOS,相當(dāng)于把交換機(jī)的每一個(gè)端口都變成了一臺(tái)獨(dú)立的交換機(jī),可以保證在非常復(fù)雜的網(wǎng)絡(luò)環(huán)境中核心交
換機(jī)的高性能。
2.4網(wǎng)絡(luò)安全設(shè)計(jì)
2.4.1某校園網(wǎng)網(wǎng)絡(luò)安全需求分析
1、網(wǎng)絡(luò)病毒的防范
病毒產(chǎn)生的原因:某校園網(wǎng)很重要的一個(gè)特征就是用戶數(shù)比較多,會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段,這樣,當(dāng)用戶在頻繁的訪問INTERNET的時(shí)候,通過局域網(wǎng)共享文件的時(shí)候,通過U盤,光盤拷貝文件的時(shí)候,系統(tǒng)都會(huì)感染上病毒,當(dāng)某個(gè)學(xué)生感染上病毒后,他會(huì)向校園網(wǎng)的每一個(gè)角落發(fā)送,發(fā)送給其他用戶,發(fā)送給服務(wù)器。
病毒對(duì)校園網(wǎng)的影響:校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗,用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng),辦公平臺(tái)不能使用;資源庫、VOD不能點(diǎn)播;INTERNET上不了,學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能
使用的尷尬境地。
2、防止IP、MAC地址的盜用
IP、MAC地址的盜用的原因:某校園網(wǎng)采用靜態(tài)IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用戶可以隨意的更改IP地址,在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址,會(huì)引起多方?jīng)_突,如果與網(wǎng)關(guān)地址沖突,同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò);如果惡意用戶發(fā)送虛假的IP、MAC的對(duì)應(yīng)關(guān)系,用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中,造成ARP欺騙攻擊。
IP、MAC地址的盜用對(duì)校園網(wǎng)的影響:在用戶看來,校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò),因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源,而且,用戶在正常工作和學(xué)習(xí)時(shí)候,自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對(duì)話框。由于擔(dān)心一些機(jī)密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏,用戶會(huì)盡量減少網(wǎng)絡(luò)的使用,這樣,學(xué)生、老師對(duì)校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱,投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用,造成很大程度上的資源浪費(fèi)。
3、安全事故發(fā)生時(shí)候,需要準(zhǔn)確定位到用戶 安全事故發(fā)生時(shí)候,需要準(zhǔn)確定位到用戶原因:
國(guó)家的要求:2002年,朱镕基簽署了282號(hào)令,要求各大INTERNET運(yùn)營(yíng)機(jī)構(gòu)(包括高校)必須要保存60天的用戶上網(wǎng)記錄,以待相關(guān)部門審計(jì)。
校園網(wǎng)正常運(yùn)行的需求:如果說不能準(zhǔn)確的定位到用戶,學(xué)生會(huì)在網(wǎng)絡(luò)中肆無忌彈進(jìn)行各種非法的活動(dòng),會(huì)使得校園網(wǎng)變成“黑客”娛樂的天堂,更嚴(yán)重的是,如果當(dāng)某個(gè)學(xué)生在校外的某個(gè)站點(diǎn)發(fā)布了大量涉及政治的比如法輪功的言論,這時(shí)候公安部門的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時(shí)候,我們無法處理,學(xué)校或者說網(wǎng)絡(luò)中心只有替學(xué)生背這個(gè)黑鍋。
4、安全事故發(fā)生時(shí)候,不能準(zhǔn)確定位到用戶的影響:
一旦發(fā)生這種涉及到政治的安全事情發(fā)生后,很容易在社會(huì)上廣泛傳播,上級(jí)主管部門會(huì)對(duì)學(xué)校做出處理;同時(shí)也會(huì)大大降低學(xué)校在社會(huì)上的影響力,降低家長(zhǎng)、學(xué)生對(duì)學(xué)校的滿意度,對(duì)以后學(xué)生的招生也是大有影響的。
5、用戶上網(wǎng)時(shí)間的控制
無法控制學(xué)生上網(wǎng)時(shí)間的影響:如果缺乏有效的機(jī)制來限制用戶的上網(wǎng)時(shí)間,學(xué)生可能會(huì)利用一切機(jī)會(huì)上網(wǎng),會(huì)曠課。學(xué)生家長(zhǎng)會(huì)對(duì)學(xué)校產(chǎn)生強(qiáng)烈的不滿,會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任,不是在教書育人。這對(duì)學(xué)校的聲譽(yù)以及學(xué)校的長(zhǎng)期發(fā)展是及其不利的。
6、用戶網(wǎng)絡(luò)權(quán)限的控制
在校園網(wǎng)中,不同用戶的訪問權(quán)限應(yīng)該是不一樣的,比如學(xué)生應(yīng)該只能夠訪問資源服務(wù)器,上網(wǎng),不能訪問辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問財(cái)務(wù)網(wǎng)絡(luò)。因此,需要對(duì)用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。
7、各種網(wǎng)絡(luò)攻擊的有效屏蔽
校園網(wǎng)中常見的網(wǎng)絡(luò)攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務(wù)器及DHCP攻擊、竊取交換機(jī)的管理員密碼、發(fā)送大量的廣播報(bào)文,這些攻擊的存在,會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行
低了校園網(wǎng)的效率。
2.4.2某校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)思想 2.4.2.1安全到邊緣的設(shè)計(jì)思想
用戶在訪問網(wǎng)絡(luò)的過程中,首先要經(jīng)過的就是交換機(jī),如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候,也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無疑是達(dá)到更好的效果。2.4.2.2全局安全的設(shè)計(jì)思想
銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)安全,安全不是某一個(gè)設(shè)備的事情,應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能,互相協(xié)作,形成一個(gè)全民皆兵的網(wǎng)絡(luò),最終從全局的角度把控網(wǎng)絡(luò)安全。2.4.2.3全程安全的設(shè)計(jì)思想
用戶的網(wǎng)絡(luò)訪問行為可以分為三個(gè)階段,包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時(shí)候、訪問網(wǎng)絡(luò)后。對(duì)著每一個(gè)階段,都應(yīng)該有嚴(yán)格的安全控制措施。2.4.3某校園網(wǎng)網(wǎng)絡(luò)安全方案
銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機(jī)嵌入式安全防護(hù)機(jī)制設(shè)計(jì)的特點(diǎn),從三個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)安全:事前的準(zhǔn)確身份認(rèn)證、事中的實(shí)時(shí)處理、事后的完整審計(jì)。
2.4.3.1事前的身份認(rèn)證
對(duì)于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶,我們需要對(duì)其身份進(jìn)行驗(yàn)證,身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時(shí)間,通過以上信息的綁定,可以達(dá)到如下的效果:
每一個(gè)用戶的身份在整個(gè)校園網(wǎng)中是唯一,避免了個(gè)人信息被盜用.當(dāng)安全事故發(fā)生的時(shí)候,只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址,就可以準(zhǔn)確定位到該用戶,便于事情的處理。
只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng),防止非法用戶的非法接入,這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。2.4.3.2網(wǎng)絡(luò)攻擊的防范
1、常見網(wǎng)絡(luò)病毒的防范
對(duì)于常見的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒,通過部署擴(kuò)展的ACL,能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范,一旦某個(gè)用戶不小心感染上了這種類型的病毒,不會(huì)影響到網(wǎng)絡(luò)中的其他用戶,保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。
2、未知網(wǎng)絡(luò)病毒的防范
對(duì)于未知的網(wǎng)絡(luò)病毒,通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能,為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬,保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬,當(dāng)新的病毒產(chǎn)生時(shí),不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行,從而保證了網(wǎng)絡(luò)的高可用性。
3、防止IP地址盜用和ARP攻擊
通過對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè),即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致,如果不一致,視為更改了IP地址,所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò),這樣可有效防止安全端口上的ARP欺騙,防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP(如服務(wù)器),造成網(wǎng)絡(luò)通訊混亂。
4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊
通過部署IP、MAC、端口綁定和IP+MAC綁定(只需簡(jiǎn)單的一個(gè)命令就可以實(shí)現(xiàn))。并實(shí)現(xiàn)端口反查功能,追查源IP、MAC訪問,追查惡意用戶。有效的防止通過假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊,進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。
5、非法組播源的屏蔽
銳捷產(chǎn)品均支持IMGP源端口檢查,實(shí)現(xiàn)全網(wǎng)杜絕非法組播源,指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí),從任何端口進(jìn)入的視頻流均是合法的,交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查打開時(shí),只有從路由連接口進(jìn)入的視頻流才是合法的,交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口;而從非路由連接口進(jìn)入的視頻流被視為是非法的,將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查,有效控制非法組播,實(shí)現(xiàn)全網(wǎng)杜絕非法組播源,更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能,同時(shí)可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢(shì),而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查,具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn),更加適用于校園運(yùn)營(yíng)網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。
6、對(duì)DOS攻擊,掃描攻擊的屏蔽
通過在校園網(wǎng)中部署防止DOS攻擊,掃描攻擊,能夠有效的避免這二種攻擊行為,節(jié)省了網(wǎng)絡(luò)帶寬,避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。2.4.3.3事后的完整審計(jì)
當(dāng)用戶訪問完網(wǎng)絡(luò)后,會(huì)保存有完備的用戶上網(wǎng)日志紀(jì)錄,包括某個(gè)用戶名,使用那個(gè)IP地址,MAC地址是多少,通過那一臺(tái)交換機(jī)的哪一個(gè)端口,什么時(shí)候開始訪問網(wǎng)絡(luò),什么時(shí)候結(jié)束,產(chǎn)生了多少流量。如果安全事故發(fā)生,可以通過查詢?cè)撊罩荆瑏砦ㄒ坏拇_定該用戶的身份,便于了事情的處理。2.5網(wǎng)絡(luò)管理設(shè)計(jì)
網(wǎng)絡(luò)管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)故障管理 2.5.1網(wǎng)絡(luò)用戶管理
網(wǎng)絡(luò)用戶管理見網(wǎng)絡(luò)運(yùn)營(yíng)設(shè)計(jì)開戶部分 2.5.2網(wǎng)絡(luò)設(shè)備管理
網(wǎng)絡(luò)設(shè)備的管理通過STARVIEW實(shí)現(xiàn),主要提供以下功能,這些功能也是我們常見的解決問題的思路:
1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動(dòng)發(fā)現(xiàn)和了解
STARVIEW能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),讓網(wǎng)絡(luò)管理員對(duì)整個(gè)校園網(wǎng)了如指掌,對(duì)于用戶私自掛接的HUB、交換機(jī)等設(shè)備能及時(shí)地發(fā)現(xiàn),提前消除各種安全隱患。對(duì)于網(wǎng)絡(luò)中的異常故障,比如某臺(tái)交換機(jī)的CPU利用率過高,某條鏈路上的流量負(fù)載過大,STARVIEW都可以以不同的顏色進(jìn)行顯示,方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。
2、網(wǎng)絡(luò)流量的查看
STARVIEW在網(wǎng)絡(luò)初步異常的情況下,能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量,從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。
3、網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告
STARVIEW支持故障信息的自動(dòng)告警,當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí),會(huì)通過TRAP的方式進(jìn)行告警,網(wǎng)絡(luò)管理員的界面上能看到各種故障信息,這些信息同樣為管理員 的故障排除提供了豐富的信息。
4、設(shè)備面板管理
STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板,包括端口數(shù)量、狀態(tài)等等,同時(shí)可以很方便的登陸到設(shè)備上,進(jìn)行配置的修改,完善以及各種信
息的察看。
5、RGNOS操作系統(tǒng)的批量升級(jí)
校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大,需要使用大量的接入層交換機(jī),如果需要對(duì)這些交換機(jī)進(jìn)行升級(jí),一臺(tái)一臺(tái)的操作,會(huì)給管理員的工作帶來很大的壓力,STARVIEW提供的操作系統(tǒng)的批量升級(jí)功能,能夠很方便的一次對(duì)所有的相同型號(hào)的交換機(jī)進(jìn)行升級(jí),加大的較少了網(wǎng)絡(luò)管理員的工作量。
2.5.3網(wǎng)絡(luò)故障管理
隨著校園網(wǎng)用戶數(shù)的增多,尤其是宿舍網(wǎng)運(yùn)營(yíng)的開始,用戶網(wǎng)絡(luò)故障的排除會(huì)成為校園網(wǎng)管理工作的重點(diǎn)和難點(diǎn),傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個(gè)流程:
2.6流量管理系統(tǒng)設(shè)計(jì)
網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵,網(wǎng)絡(luò)中大量的P2P軟件的使用,已經(jīng)對(duì)各種網(wǎng)絡(luò)業(yè)務(wù)的正常開展產(chǎn)生了非常嚴(yán)重的影響,有的學(xué)校甚至因?yàn)镻2P軟件的泛濫,直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。2.6.1方案一:傳統(tǒng)的流量管理方案
傳統(tǒng)的流量管理方案的做法很多就是簡(jiǎn)單的封堵這些P2P軟件,從而達(dá)到控制流量的目的,這有三大弊端,第一:這些軟件之所以有如此強(qiáng)大的生命力,是因?yàn)橛脩敉ㄟ^使用這些軟件的確能快速的獲取各種有用的資源,如果簡(jiǎn)單的通過禁止的方式,用戶的意見會(huì)非常的大,同時(shí),各種有用的資源我們很難獲取。
第二:各種新型的,對(duì)網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺,魔高一丈,一味的封堵這些軟件,我們永遠(yuǎn)處于被動(dòng)的局面,顯然不能從根本上解決這個(gè)問題。
第三:我們無法獲取網(wǎng)絡(luò)中的流量信息,無法為校園網(wǎng)的優(yōu)化,網(wǎng)絡(luò)管理,網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。2.6.2方案二:銳捷的流量管理與控制方案
銳捷網(wǎng)絡(luò)的流量管理主要通過RG-NTD+日志處理軟件+RG-SAM系統(tǒng)來實(shí)現(xiàn)。NTD是銳捷流量管理解決方案的重要組成部分,我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計(jì)費(fèi),銳捷的流量管理方案有三大功能:
第一:為SAM系統(tǒng)對(duì)用戶進(jìn)行流量計(jì)費(fèi)提供原始數(shù)據(jù),這是我們已經(jīng)實(shí)現(xiàn)了的功能。該功能能滿足不同消費(fèi)層次的用戶對(duì)帶寬的需求,經(jīng)濟(jì)條件好一點(diǎn),可以多用點(diǎn)流量,提高了用戶的滿意度。而且,對(duì)于以后新出現(xiàn)的功能更加強(qiáng)大的下載軟件,都不必?fù)?dān)心用戶任意使用造成帶寬擁塞。
第二:提供日志審計(jì)和帶寬管理功能,通過NTD、SAM、日志系統(tǒng)的結(jié)合,能夠做到基于用戶身份對(duì)用戶進(jìn)行管理,做到將用戶名、源IP、目的IP直接關(guān)聯(lián),通過目的IP,可以直接定位到用戶名,安全事件處理起來非常的方便,同時(shí)還能提供P2P的限速,帶寬管理等功能,這一部分的功能我們會(huì)在明年4月份提供。第三:能夠?qū)W(wǎng)絡(luò)中的各種流量了如指掌,可以對(duì)用戶經(jīng)常訪問的資源進(jìn)行分析對(duì)比,為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級(jí)改造提供數(shù)據(jù)支持;能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量,從而進(jìn)行有效的防范,結(jié)合認(rèn)證計(jì)費(fèi)系統(tǒng)SAM,能夠捕捉到事件源頭,并于做出處理。
總體來說,流量控制和管理和日志系統(tǒng)的整體解決方案對(duì)于校園網(wǎng)的長(zhǎng)期健康可持續(xù)發(fā)展是很有幫助的。
第五篇:公司網(wǎng)絡(luò)安全方案設(shè)計(jì)書
網(wǎng)絡(luò)安全方案設(shè)計(jì)書
公司網(wǎng)絡(luò)安全隱患與需求分析
1.1 網(wǎng)絡(luò)現(xiàn)狀
公司計(jì)算機(jī)通過內(nèi)部網(wǎng)相互連接與外網(wǎng)互聯(lián),在內(nèi)部網(wǎng)絡(luò)中,各服務(wù)部門計(jì)算機(jī)在同一網(wǎng)段,通過交換機(jī)連接。如下圖所示:
1.2 安全隱患分析
1.2.1 應(yīng)用系統(tǒng)的安全隱患
應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān),它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性,它包括很多方面。應(yīng)用的安全性也是動(dòng)態(tài)的。需要對(duì)不同的應(yīng)用,檢測(cè)安全漏洞,采取相應(yīng)的安全措施,降低應(yīng)用的安全風(fēng)險(xiǎn)。主要有文件服務(wù)器的安全風(fēng)險(xiǎn)、數(shù)據(jù)庫服務(wù)器的安全風(fēng)險(xiǎn)、病毒侵害的安全風(fēng)險(xiǎn)、數(shù)據(jù)信息的安全風(fēng)險(xiǎn)等。
1.2.2 管理的安全隱患
管理方面的安全隱患包括:內(nèi)部管理人員或員工圖方便省事,不設(shè)置用戶口令,或者設(shè)置的口令過短和過于簡(jiǎn)單,導(dǎo)致很容易破解。責(zé)任不清,使用相同的用戶名、口令,導(dǎo)致權(quán)限管理混亂,信息泄密。用戶權(quán)限設(shè)置過大、開放不必要的服務(wù)端口,或者一般用戶因?yàn)槭韬觯瑏G失帳號(hào)和口令,從而造成非授權(quán)訪問,以及把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。可能造成極大的安全風(fēng)險(xiǎn)。
1.2.3 操作系統(tǒng)的安全漏洞
計(jì)算機(jī)操作系統(tǒng)尤其服務(wù)器系統(tǒng)是被攻擊的重點(diǎn),如果操作系統(tǒng)因本身遭到攻擊,則不僅影響機(jī)器本身而且會(huì)消耗大量的網(wǎng)絡(luò)資源,致使整個(gè)網(wǎng)絡(luò)陷入癱瘓。
1.2.4 病毒侵害
一旦有主機(jī)受病毒感染,病毒程序 就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散,傳播到網(wǎng)絡(luò)上的其他主機(jī),可能造成信息泄漏、文件丟失、機(jī)器不能正常運(yùn)行等。
2.1 需求分析
公司根據(jù)業(yè)務(wù)發(fā)展需求,建設(shè)一個(gè)小型的企業(yè)網(wǎng),有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和綜合部門,需要他們之間相互隔離。同時(shí)由于考慮到Internet 的安全性,以及網(wǎng)絡(luò)安全等一些因素。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下:
1.根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃;
2.保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性; 3.保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性;
4.防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問;
5.防范入侵 者的惡意攻擊與破壞;
6.保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性;
7.防范病毒的侵害;
8.實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。
通過了解公司的需求與現(xiàn)狀,為實(shí)現(xiàn)網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造,提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性,保證企業(yè)各種設(shè)計(jì)信息的安全性,避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù),記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作,使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤,防范外來計(jì)算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造,使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要
(1)構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全(2)劃分VLAN控制內(nèi)網(wǎng)安全
(3)安裝防火墻體系(4)安裝防病毒服務(wù)器
(5)加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理
如前所述,公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),網(wǎng)絡(luò)信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行,使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是公司面臨的重要課題。
網(wǎng)絡(luò)信息安全策略及整體方案
信息安全的目標(biāo)是通過系統(tǒng)及網(wǎng)絡(luò)安全配置,應(yīng)用防火墻及入侵檢測(cè)、安全掃描、網(wǎng)絡(luò)防病毒等技術(shù),對(duì)出入口的信息進(jìn)行嚴(yán)格的控制;對(duì)網(wǎng)絡(luò)中所有的裝置進(jìn)行檢測(cè)、分析和評(píng)估,發(fā)現(xiàn)并報(bào)告系統(tǒng)內(nèi)存在的弱點(diǎn)和漏洞,評(píng)估安全風(fēng)險(xiǎn),建議補(bǔ)救措施,并有效地防止黑客入侵和病毒擴(kuò)散,監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況。
3.1 方案綜述
公司整個(gè)網(wǎng)絡(luò)安全系統(tǒng)從物理上劃分4個(gè)部分,即計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)控中心、財(cái)務(wù)部、綜合部及服務(wù)器區(qū)。每個(gè)安全區(qū)域有一套相對(duì)獨(dú)立的網(wǎng)絡(luò)安全系統(tǒng),這些相對(duì)獨(dú)立的網(wǎng)絡(luò)安全系統(tǒng)能被計(jì)算機(jī)網(wǎng)絡(luò)中心所管理。同時(shí)每個(gè)安全區(qū)域都要進(jìn)行有效的安全控制,防止安全事件擴(kuò)散,將事件控制在最小范圍。通過對(duì)公司現(xiàn)狀的分析與研究以及對(duì)當(dāng)前安全技術(shù)的研究分析,我們制定如下企業(yè)信息安全策略。
3.1.1 防火墻實(shí)施方案
根據(jù)網(wǎng)絡(luò)整體安全及保證財(cái)務(wù)部的安全考慮,采用2臺(tái)cisco pix535防火墻,一防火墻對(duì)財(cái)務(wù)部與企業(yè)內(nèi)網(wǎng)進(jìn)行隔離,另一防火墻對(duì)Internet 與企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離,其中內(nèi)服務(wù)器對(duì)外服務(wù)器連接在防火墻的 DMZ 區(qū)與內(nèi)、外網(wǎng)間進(jìn)行隔離。防火墻設(shè)置原則如下所示:建立合理有效的安全過濾原則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核,嚴(yán)格控制外網(wǎng)用戶非法訪問;防火墻DMZ區(qū)訪問控制,只打開服務(wù)必須的HTTP、FTP、SMTP、POP3 以及所需的其他服務(wù),防范外部來的拒絕服務(wù)攻擊;定期查看防火墻訪問日志;對(duì)防火墻的管理員權(quán)限嚴(yán)格控制。
3.1.2 Internet 連接與備份方案
防火墻經(jīng)外網(wǎng)交換機(jī)接入 Internet。此區(qū)域當(dāng)前存在一定的安全隱患:首先,防火墻作
為企業(yè)接入Internet的出口,占有及其重要的作用,一旦此防火墻出現(xiàn)故障或防火墻與主交換機(jī)連接鏈路出現(xiàn)問題,都會(huì)造成全臺(tái)與 Internet 失去連接;其次,當(dāng)前的防火墻無法對(duì)進(jìn)入網(wǎng)絡(luò)的病毒進(jìn)行有效的攔截。為此,新增加一臺(tái)防火墻和一臺(tái)防病毒過濾網(wǎng)關(guān)與核心交換機(jī)。防病毒網(wǎng)關(guān)可對(duì)進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行有效過濾,使病毒數(shù)據(jù)包無法進(jìn)入網(wǎng)絡(luò),提高內(nèi)網(wǎng)的安全性。防火墻連接只在主核心交換機(jī)上,并且采用兩臺(tái)防火墻進(jìn)行熱備配置,分別連接兩臺(tái)核心交換機(jī)。設(shè)備及鏈路都進(jìn)行了冗余配置,提高了網(wǎng)絡(luò)的健壯性。根據(jù)改企業(yè)未來的應(yīng)用需求,可考慮網(wǎng)絡(luò)改造后,將Internet 連接帶寬升級(jí)為100M。
3.1.3 入侵檢測(cè)方案
在核心交換機(jī)監(jiān)控端口部署CA入侵檢測(cè)系統(tǒng)(eTrust Intrusion Detection),并在不同網(wǎng)段(本地或遠(yuǎn)程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)代理,對(duì)網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)和響應(yīng)。
3.1.4 VPN 系統(tǒng)
考慮到本公司和其子公司的通信,通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程 LAN 的安全連接。
集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
3.1.5 網(wǎng)絡(luò)安全漏洞
企業(yè)網(wǎng)絡(luò)擁有 WWW、郵件、域、視頻等服務(wù)器,還有重要的數(shù)據(jù)庫服務(wù)器,對(duì)于管理人員來說,無法確切了解和解決每個(gè)服務(wù)器系統(tǒng)和整個(gè)網(wǎng)絡(luò)的安全缺陷及安全漏洞.因此需要借助漏洞掃描工具定期掃描、分析和評(píng)估,發(fā)現(xiàn)并報(bào)告系統(tǒng)內(nèi)存在的弱點(diǎn)和漏洞,評(píng)估安全風(fēng)險(xiǎn),建議補(bǔ)救措施,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。
3.1.6 防病毒方案
采用 Symantec網(wǎng)絡(luò)防病毒軟件,建立企業(yè)整體防病毒體系,對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計(jì)算機(jī)設(shè)備采取全面病毒防護(hù)。并且需要在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管 理中心,通過防病毒管理中心將局域網(wǎng)內(nèi)所有計(jì)算機(jī)創(chuàng)建在同一防病毒管理域內(nèi)。通過防病毒管理域的主服務(wù)器,對(duì)整個(gè)域進(jìn)行防病毒管理,制定統(tǒng)一的防毒策略,設(shè)定域掃描作業(yè),安排系統(tǒng)自動(dòng)查、殺病毒。
可實(shí)現(xiàn)對(duì)病毒侵入情況、各系統(tǒng)防毒情況、防毒軟件的工作情況等的集中監(jiān)控;可實(shí)現(xiàn)對(duì)所有防毒軟件的集中管理、集中設(shè)置、集中維護(hù);可集中反映整個(gè)系統(tǒng)內(nèi)的病毒入侵情況,設(shè)置各種消息通報(bào)方式,對(duì)病毒的爆發(fā)進(jìn)行報(bào)警;可集中獲得防毒系統(tǒng)的日志信息;管理人員可方便地對(duì)系統(tǒng)情況進(jìn)行匯總和分析。
根據(jù)企業(yè)內(nèi)部通知或官方網(wǎng)站公布的流行性或重大惡性病毒及時(shí)下載系統(tǒng)補(bǔ)丁和殺毒
工具,采取相關(guān)措施,防范于未然。
3.1.7 訪問控制管理
實(shí)施有效的用戶口令和訪問控制,確保只有合法用戶才能訪問合法資源。在內(nèi)網(wǎng)中系統(tǒng)管理員必須管理好所有的設(shè)備口令,不要在不同系統(tǒng)上使用同一口令;口令中最好要有大小寫字母、字符、數(shù)字;定期改變自己的口令。
由于企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立,其在網(wǎng)絡(luò)上必定會(huì)受到來自INTERNET上許多非法用戶的攻擊和訪問,如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等,因此,采取相應(yīng)的安全措施是必不可少的。通常,對(duì)網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實(shí)現(xiàn)的,本方案中選擇帶防火墻功能的VPN設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離。
3.1.8 重要文件及內(nèi)部資料管理
定期對(duì)重要資料進(jìn)行備份,以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進(jìn)而蒙受重大損失。可選擇功能完善、使用靈活的備份軟件配合各種災(zāi)難恢復(fù)軟件,全面地保護(hù)數(shù)據(jù)的安全。系統(tǒng)軟件、應(yīng)用軟件及信息數(shù)據(jù)要實(shí)施保密,并自覺對(duì)文件進(jìn)行分級(jí)管理,注意對(duì)系統(tǒng)文件、重要的可執(zhí)行文件進(jìn)行寫保護(hù)。對(duì)于重要的服務(wù)器,利用 RAID5等數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施;對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施。
3.2 網(wǎng)絡(luò)信息管理策略
計(jì)算機(jī)網(wǎng)絡(luò)中心設(shè)計(jì)即公司網(wǎng)絡(luò)安全管理策略的建設(shè)如下:
(1)USB Key 是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書,利用USB Key 內(nèi)置的密 碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。基于PKI的USB Key 的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
(2)安全登錄系統(tǒng)。由于網(wǎng)絡(luò)開發(fā)中心以及財(cái)務(wù)部門涉及公司的網(wǎng)絡(luò)部署 以及財(cái)務(wù)狀況,需要高度保密,只有公司網(wǎng)絡(luò)安全主管、財(cái)務(wù)主管以及公司法人才可以登錄相應(yīng)的網(wǎng)絡(luò),而安全登錄系統(tǒng)正是提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證,使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
(3)文件加密系統(tǒng)。與普通網(wǎng)絡(luò)應(yīng)用不同的是,業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用的核心。對(duì)于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施,文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。
(4)防毒中心建設(shè)。病毒對(duì)公司網(wǎng)絡(luò)的攻擊對(duì)公司的整體運(yùn)轉(zhuǎn)造成威脅,因此公司各部門均需要建設(shè)完善的防毒中心,使用企業(yè)版的防病毒系統(tǒng)的分級(jí)管 理功能,對(duì)網(wǎng)絡(luò)進(jìn)行管理單元?jiǎng)澐帧T诰W(wǎng)絡(luò)中心建立以及防病毒服務(wù)器,負(fù)責(zé)所有二級(jí)防病毒服務(wù)器的統(tǒng)一管理。在不同的子系統(tǒng)建立二級(jí)防病毒服務(wù)器,負(fù)責(zé)本部的防病毒客戶端管理
點(diǎn)擊咨詢 