第一篇:企業網絡安全規劃與設計
企業網絡安全規劃與設計 企業網絡安全已成為當今值得關注的問題,它的重要性是不言而喻的,對于大多數網絡黑客來說,成功地入侵一個企業特別是著名企業的網絡系統,具有證明和炫耀其能耐的價值,盡管這種行為的初衷也許并不具有惡意的目的;竊取企業的網絡數據,甚至破壞其網絡系統,更加具有現實和長遠的商業價值。因此,如何保障企業網絡的安全變得重要起來。
網絡安全性包括信息安全性,網絡本身的安全性,保證系統的安全性。要從管理和技術角度制定不同的安全策略。安全設備的技術性能和功能,必須滿足行業系統管理體制的要求,即能基于網絡實現安全管理,具有接受網絡信息安全管理機構管理的能力,還要不影響原網絡拓撲結構。
在對企業局域網網絡系統安全方案設計、規劃時,也應遵循一定的原則。首先需求、風險、代價平衡的原則:對任一網絡,絕對安全難以達到,也不一定是必要的。對一個網絡進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。一致性原則:一致性原則主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計(包括初步或詳細設計)及實施計劃、網絡驗證、驗收、運行等,都要有安全的內容及措施,實際上,在網絡建設的開始就考慮網絡安全對策,比在網絡建設好后再考慮安全措施,不但容易,且花費也小得多。適度安全性原則:系統安全方案應充分考慮保護對象的價值與保護成本之間的平衡性,在允許的風險范圍內盡量減少安全服務的規模和復雜性,使之具有可操作性,避免超出用戶所能理解的范圍,變得很難執行或無法執行。易操作性原則:安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次,措施的采用不能影響系統的正常運行。多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
局域網絡系統建成之后,應該達到如下的目標:建立一套完整可行的網絡安全與網絡管理策略;將內部網絡、公開服務器網絡和外網進行有效隔離,避免與外部網絡的直接通信;建立網站各主機和服務器的安全保護措施,保證他們的系統安全;對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕;加強合法用戶的訪問認證,同時將用戶的訪問權限控制在最低限度;全面監視對公開服務器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為;加強對各種訪問的審計工作,詳細記錄對網絡、公開服務器的訪問行為,形成完整的系統日志;備份與災難恢復——強化系統備份,實現系統快速恢復;加強網絡安全管理,提高系統全體人員的網絡安全意識和防范技術。
通常網絡中的安全隱患,會涉及這樣一些內容:網絡的物理安全,主要是指地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬件、雙機多冗余的設計、機房環境及報警系統、安全意識等。它是整個網絡系統安全的前提,在這個企業區局域網內,由于網絡的物理跨度不大,只要制定健全的安全管理制度,做好備份,并且加強網絡設備和機房的管理,這些風險是可以避免的。
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提,物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。主要包括:設備安全,設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;媒體安全,媒體數據的安全及媒體本身的安全。
還有其他的安全隱患,黑客們利用系統和管理上的漏洞,進入企業網的內部,篡改一些數據,例如將自己變為高級用戶,或者監聽登錄會話,竊取他人的賬戶和口令;還有包括病毒、蠕蟲、特洛伊木馬等惡意代碼;能夠通過mail、internet傳播的病毒;還有一些對網絡的攻擊手段,沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息,例如,假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作;破壞數據的完整性,使得信息/數據失去了原有的真實性,從而變得不可用或造成廣泛的負面影響;以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益于攻擊者的響應,惡意添加,修改數據,以干擾用戶的正常使用。搭線(網絡)竊聽攻擊者可以采用如Sniffer等網絡協議分析工具,在internet網絡安全的薄弱處進入internet,并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內容。
網絡安全技術可以分為如下幾大類,即:身份認證技術、防火墻技術、入侵檢測技術、病毒防治技術、網絡數據完整性技術和網絡活動審計技術。他們應用于網絡活動的不同階段,來保護網絡內的信息資源。
整個企業的局域網按訪問區域可以劃分為三個主要的區域:Internet區域、內部網絡、公開服務器區域。內部網絡又可按照所屬的部門、職能、安全重要程度分為許多子網。企業局域網一般都進行文件共享、辦公自動化、WWW服務、電子郵件服務,文件數據的統一存儲,提供與Internet的訪問,通過公開服務器對外發布企業信息、發送電子郵件等。網絡運行環境下,系統與系統、系統與用戶、用戶與用戶之間頻繁交換各種數據、信息,如電子文件、文檔、報文甚至數據或代碼。在網絡通信環境下,也經常有假冒源點身份將報文插入網絡中,或者假的報文接收者發回假確認,或不予接收;還有篡改報文內容、報文序號;報文延遲或回收;否認收到報文或否認發送報文等。在企業網絡中,企業的賬務、人事、新產品等重要的數據,不得隨意修改。因此,除使用一般的網管軟件和系統監控管理系統外,還應使用目前較為成熟的網絡監控設備或實時入侵檢測設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。數字簽名可以防止否認收到報文或否認發送報文這類問題,所以解決的方法就是,對這些數據庫的錄入與修改的操作者的身份進行認證,也可用數字簽名、證書技術保證數據交換過程中用戶和信息的有效性,用于標明信息分發者的身份和對交換信息的認可,接收方也可以通過驗證數字簽名以判斷信息是否來源于指定用戶,以及交換信息的完整性。存取控制規定何種主體對何種客體具有何種操作權利,也是內部網絡安全理論的重要方面,主要包括人員限制、數據標識、權限控制、控制類型和風險分析。
在內部網與外部網之間,設置防火墻實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火墻設置在不同網絡或網絡安全域之間信息的唯一出入口。包過濾防火墻工作在網絡層上,有選擇的讓數據包在內部網絡與外部網絡之間進行交換。一般利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網絡的信息流。同時可實現網絡地址轉換(NAT)、審記與實時告警等功能。代理服務防火墻也有一定功效,是一種增加了安全功能的應用層網關,位于internet和intranet之間,自動截取內部用戶訪問internet的請求,驗證其有效性,代表用戶建立訪問外部網絡的連接。代理服務器在很大程度上對用戶是透明的,如果外部網絡個站點之間的連接被切斷了,必須通過代理服務器方可相互連通。
網絡系統的安全性取決于網絡系統中最薄弱的環節,所以要及時發現并修正網絡中存在的弱點和漏洞。網絡安全檢測工具通常是一個網絡安全性評估分析軟件,其功能是用實踐性的方法掃描分析網絡系統,檢查報告系統存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。這樣,防火墻將得到合理配置,內外WEB站點的安全漏洞減為
最低,網絡體系達到強壯的耐攻擊性,對網絡訪問做出有效響應,保護重要應用系統(如財務系統)數據安全不受黑客攻擊和內部人員誤操作的侵害。入侵檢測系統是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail),一般包括控制臺和探測器,也不會對網絡系統性能造成多大影響。
由于企業需要的是一個非常龐大的網絡系統,因而對整個網絡(或重要網絡部分)運行進行記錄、分析是非常重要的,它可以讓用戶通過對記錄的日志數據進行分析、比較,找出發生的網絡安全問題的原因,并可作為以后的法律證據或者為以后的網絡安全調整提供依據。審計可以記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能看出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于去定問題和攻擊源很重要。
由于在網絡環境下,計算機病毒有不可估量的威脅性和破壞力,因為病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣,因此計算機病毒的防范是網絡安全性建設中重要的一環。所選的防毒軟件應該構造全網統一的防病毒體系。主要面向MAIL、Web服務器,以及辦公網段的PC服務器和PC機等。支持對網絡、服務器和工作站的實時病毒監控;能夠在中心控制臺向多個目標分發新版殺毒軟件,并監視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,包括宏病毒;支持對Internet/ Intranet服務器的病毒防治,能夠阻止惡意的Java或ActiveX小程序的破壞;支持對電子郵件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持對壓縮文件的病毒檢測;支持廣泛的病毒處理選項,如對染毒文件進行實時殺毒,移出,重新命名等;支持病毒隔離,當客戶機試圖上載一個染毒文件時,服務器可自動關閉對該工作站的連接;提供對病毒特征信息和檢測引擎的定期在線更新服務;支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
除此之外,也要進行系統備份,備份不僅在網絡系統硬件故障或人為失誤時起到保護作用,也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用,同時亦是系統災難恢復的前提之一。在確定備份的指導思想和備份方案之后,就要選擇安全的存儲媒介和技術進行數據備份,有“冷備份”和“熱備份”兩種。熱備份是指“在線”的備份,即下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放。“冷備份”是指“不在線”的備份,下載的備份存放到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝,有一部分原始的數據長期保存并作為查詢使用。熱備份的優點是投資大,但調用快,使用方便,在系統恢復中需要反復調試時更顯優勢。
為了保護網絡的安全性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,安全管理規范也是網絡安全所必須的。安全管理策略一方面從純粹的管理上即安全管理規范來實現,另一方面從技術上建立高效的管理平臺(包括網絡管理和安全管理)。安全管理策略主要有:定義完善的安全管理模型;建立長遠的并且可實施的安全策略;徹底貫徹規范的安全防范措施;建立恰當的安全評估尺度,并且進行經常性的規則審核。當然,還需要建立高效的管理平臺。管理員可以在管理機器上對整個內部網絡上的網絡設備、安全設備、網絡上的防病毒軟件、入侵檢測探測器進行綜合管理,同時利用安全分析軟件可以從不同角度對所有的設備、服務器、工作站進行安全掃描,分析他們的安全漏洞,并采取相應的措施。
第二篇:企業網絡安全方案的設計
信息安全課程設計
xx網絡安全方案的設計
海南經貿職業技術學院信息技術系
︽ 網 絡
安
課 全
程 ︾
設
計
報
告
題 目 XX網絡安全方案的設計
學 號 310609040104
班 級 網絡工程06-1班
姓 名 王某某
指導老師 王天明
信息安全課程設計
xx網絡安全方案的設計設計企業網絡安全方案
摘 要:在這個信息技術飛速發展的時代,許多有遠見的企業都認識到很有必要依托先進的IT技術構建企業自身的業務和運營平臺來極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業整體網絡安全方案以及該方案的組織和實施等方面的闡述,為企業提供一個可靠地、完整的方案。
關鍵詞: 信息安全、企業網絡安全、安全防護
一、引言
隨著國內計算機和網絡技術的迅猛發展和廣泛普及,企業經營活動的各種業務系統都立足于Internet/Intranet環境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。一旦網絡系統安全受到嚴重威脅,甚至處于癱瘓狀態,將會給企業、社會、乃至整個國家帶來巨大的經濟損失。應此如何使企業信息網絡系統免受黑客和病毒的入侵,已成為信息事業健康發展所要考慮的重要事情之一。
一般企業網絡的應用系統,主要有WEB、E-mail、OA、MIS、財務系統、人事系統等。而且隨著企業的發展,網絡體系結構也會變得越來越復雜,應用系統也會越來越多。但從整個網絡系統的管理上來看,通常包括內部用戶,也有外部用戶,以及內外網之間。因此,一般整個企業的網絡系統存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
(2)企業內網的安全性:最新調查顯示,在受調查的企業中60%以上的員 信息安全課程設計
xx網絡安全方案的設計工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業數千萬美金的損失。所以企業內部的網絡安全同樣需要重視,存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。
(3)內部網絡之間、內外網絡之間的連接安全:隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
信息安全課程設計
xx網絡安全方案的設計
圖說明 圖一 企業網絡簡圖
對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下: 1.標準化原則
信息安全課程設計
xx網絡安全方案的設計2.系統化原則 3.規避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則
四、企業網絡安全解決方案的思路
1.安全系統架構
安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。2.安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網絡與信息安全防范體系模型
信息安全課程設計
xx網絡安全方案的設計3.企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三
總體安全結構圖
五、整體網絡安全方案
1.網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1)身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
信息安全課程設計
xx網絡安全方案的設計
2)數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3)數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。2.VPN系統
VPN(Virtual Private Network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
3.網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行防護。其網絡結構一般如下:
圖說明 圖四 防火墻
此外在實際中可以增加入侵檢測系統,作為防火墻的功能互補,提供對監控 信息安全課程設計
xx網絡安全方案的設計網段的攻擊的實時報警和積極響應等功能。4.病毒防護系統
應強化病毒防護系統的應用策略和管理策略,增強勤業網絡的病毒防護功能。這里我們可以選擇瑞星網絡版殺毒軟件企業版。瑞星網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發的網絡防病毒軟件,通過瑞星網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統,并且可以實現防病毒體系的統一、集中管理,實時掌握、了解當前網絡內計算機病毒事件,并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護
在一個企業中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式):
信息安全課程設計
xx網絡安全方案的設計
圖說明
圖五
郵件系統保護 6.關鍵網段保護
企業中有的網段上傳送的數據、信息是非常重要的,應此對外應是保密的。所以這些網段我們也應給予特別的防護。簡圖如下圖六所示。
圖說明
圖六
關鍵網段的防護 7.日志分析和統計報表能力
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目 信息安全課程設計
xx網絡安全方案的設計標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。8.內部網絡行為的管理和監控
除對外的防護外,對網絡內的上網行為也應該進行規范,并監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。企業內部用戶上網信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監控可以規范網絡內部的上網行為,提高工作效率,同時避免企業內部產生網絡安全隱患。因此對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統:
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
則內網綜合保護簡圖如下圖七所示:
信息安全課程設計
xx網絡安全方案的設計
圖說明
圖七
內網綜合保護 9.移動用戶管理系統
對于企業內部的筆記本電腦在外工作,當要接入內部網也應進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。10.身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全 信息安全課程設計
xx網絡安全方案的設計流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本課程設計以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方 信息安全課程設計
xx網絡安全方案的設計案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
本次課程設計的完成,首先應感謝劉老師的指導。由于剛開始選題不恰當,所以完成的不理想,后來和劉老師交流后決定用這個項目來做。此外,也感謝同學的幫助。特別是在課程設計中需要繪制圖形時,給我推薦了“億圖”繪圖工具,使得本課程設計中所需的圖形都得以順利繪制出來,能較好的展示出整個設計的過程。
教師評語:
第三篇:企業網絡安全方案的設計
信息安全課程設計
企業網絡安全方案的設計
河 南 理 工 大 學 計 算 機 學 院
︽ 信 息
安
課 全
程 ︾
設
計
報
告
題 目 企業網絡安全方案的設計
學 號 310609040104
班 級 網絡工程06-1班
姓 名 嚴茵茵
指導老師 劉 琨
信息安全課程設計
企業網絡安全方案的設計設計企業網絡安全方案
摘 要:在這個信息技術飛速發展的時代,許多有遠見的企業都認識到很有必要依托先進的IT技術構建企業自身的業務和運營平臺來極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業整體網絡安全方案以及該方案的組織和實施等方面的闡述,為企業提供一個可靠地、完整的方案。
關鍵詞: 信息安全、企業網絡安全、安全防護
一、引言
隨著國內計算機和網絡技術的迅猛發展和廣泛普及,企業經營活動的各種業務系統都立足于Internet/Intranet環境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。一旦網絡系統安全受到嚴重威脅,甚至處于癱瘓狀態,將會給企業、社會、乃至整個國家帶來巨大的經濟損失。應此如何使企業信息網絡系統免受黑客和病毒的入侵,已成為信息事業健康發展所要考慮的重要事情之一。
一般企業網絡的應用系統,主要有WEB、E-mail、OA、MIS、財務系統、人事系統等。而且隨著企業的發展,網絡體系結構也會變得越來越復雜,應用系統也會越來越多。但從整個網絡系統的管理上來看,通常包括內部用戶,也有外部用戶,以及內外網之間。因此,一般整個企業的網絡系統存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
(2)企業內網的安全性:最新調查顯示,在受調查的企業中60%以上的員信息安全課程設計
企業網絡安全方案的設計工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業數千萬美金的損失。所以企業內部的網絡安全同樣需要重視,存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。
(3)內部網絡之間、內外網絡之間的連接安全:隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
信息安全課程設計
企業網絡安全方案的設計
圖說明 圖一 企業網絡簡圖
對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下: 1.標準化原則 信息安全課程設計
企業網絡安全方案的設計2.系統化原則 3.規避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則
四、企業網絡安全解決方案的思路
1.安全系統架構
安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。2.安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網絡與信息安全防范體系模型 信息安全課程設計
企業網絡安全方案的設計3.企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三
總體安全結構圖
五、整體網絡安全方案
1.網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1)身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。信息安全課程設計
企業網絡安全方案的設計
2)數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3)數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。2.VPN系統
VPN(Virtual Private Network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
3.網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行防護。其網絡結構一般如下:
圖說明 圖四 防火墻
此外在實際中可以增加入侵檢測系統,作為防火墻的功能互補,提供對監控信息安全課程設計
企業網絡安全方案的設計網段的攻擊的實時報警和積極響應等功能。4.病毒防護系統
應強化病毒防護系統的應用策略和管理策略,增強勤業網絡的病毒防護功能。這里我們可以選擇瑞星網絡版殺毒軟件企業版。瑞星網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發的網絡防病毒軟件,通過瑞星網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統,并且可以實現防病毒體系的統一、集中管理,實時掌握、了解當前網絡內計算機病毒事件,并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護
在一個企業中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式): 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖五
郵件系統保護 6.關鍵網段保護
企業中有的網段上傳送的數據、信息是非常重要的,應此對外應是保密的。所以這些網段我們也應給予特別的防護。簡圖如下圖六所示。
圖說明
圖六
關鍵網段的防護 7.日志分析和統計報表能力
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目信息安全課程設計
企業網絡安全方案的設計標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。8.內部網絡行為的管理和監控
除對外的防護外,對網絡內的上網行為也應該進行規范,并監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。企業內部用戶上網信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監控可以規范網絡內部的上網行為,提高工作效率,同時避免企業內部產生網絡安全隱患。因此對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統:
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
則內網綜合保護簡圖如下圖七所示: 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖七
內網綜合保護 9.移動用戶管理系統
對于企業內部的筆記本電腦在外工作,當要接入內部網也應進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。10.身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全信息安全課程設計
企業網絡安全方案的設計流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本課程設計以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方信息安全課程設計
企業網絡安全方案的設計案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
本次課程設計的完成,首先應感謝劉老師的指導。由于剛開始選題不恰當,所以完成的不理想,后來和劉老師交流后決定用這個項目來做。此外,也感謝同學的幫助。特別是在課程設計中需要繪制圖形時,給我推薦了“億圖”繪圖工具,使得本課程設計中所需的圖形都得以順利繪制出來,能較好的展示出整個設計的過程。
教師評語:
第四篇:企業網絡安全方案設計
信息安全課程設計
企業網絡安全方案的設計企業網絡安全方案設計
摘 要:在這個信息技術飛速發展的時代,許多有遠見的企業都認識到很有必要依托先進的IT技術構建企業自身的業務和運營平臺來極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業整體網絡安全方案以及該方案的組織和實施等方面的闡述,為企業提供一個可靠地、完整的方案。
關鍵詞: 信息安全、企業網絡安全、安全防護
一、引言
隨著國內計算機和網絡技術的迅猛發展和廣泛普及,企業經營活動的各種業務系統都立足于Internet/Intranet環境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。一旦網絡系統安全受到嚴重威脅,甚至處于癱瘓狀態,將會給企業、社會、乃至整個國家帶來巨大的經濟損失。應此如何使企業信息網絡系統免受黑客和病毒的入侵,已成為信息事業健康發展所要考慮的重要事情之一。
一般企業網絡的應用系統,主要有WEB、E-mail、OA、MIS、財務系統、人事系統等。而且隨著企業的發展,網絡體系結構也會變得越來越復雜,應用系統也會越來越多。但從整個網絡系統的管理上來看,通常包括內部用戶,也有外部用戶,以及內外網之間。因此,一般整個企業的網絡系統存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
(2)企業內網的安全性:最新調查顯示,在受調查的企業中60%以上的員信息安全課程設計
企業網絡安全方案的設計工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業數千萬美金的損失。所以企業內部的網絡安全同樣需要重視,存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。
(3)內部網絡之間、內外網絡之間的連接安全:隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
信息安全課程設計
企業網絡安全方案的設計
圖說明 圖一 企業網絡簡圖
對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下: 1.標準化原則 信息安全課程設計
企業網絡安全方案的設計2.系統化原則 3.規避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則
四、企業網絡安全解決方案的思路
1.安全系統架構
安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。2.安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網絡與信息安全防范體系模型 信息安全課程設計
企業網絡安全方案的設計3.企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三
總體安全結構圖
五、整體網絡安全方案
1.網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1)身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。信息安全課程設計
企業網絡安全方案的設計
2)數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3)數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。2.VPN系統
VPN(Virtual Private Network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
3.網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行防護。其網絡結構一般如下:
圖說明 圖四 防火墻
此外在實際中可以增加入侵檢測系統,作為防火墻的功能互補,提供對監控信息安全課程設計
企業網絡安全方案的設計網段的攻擊的實時報警和積極響應等功能。4.病毒防護系統
應強化病毒防護系統的應用策略和管理策略,增強勤業網絡的病毒防護功能。這里我們可以選擇瑞星網絡版殺毒軟件企業版。瑞星網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發的網絡防病毒軟件,通過瑞星網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統,并且可以實現防病毒體系的統一、集中管理,實時掌握、了解當前網絡內計算機病毒事件,并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護
在一個企業中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式): 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖五
郵件系統保護 6.關鍵網段保護
企業中有的網段上傳送的數據、信息是非常重要的,應此對外應是保密的。所以這些網段我們也應給予特別的防護。簡圖如下圖六所示。
圖說明
圖六
關鍵網段的防護 7.日志分析和統計報表能力
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目信息安全課程設計
企業網絡安全方案的設計標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。8.內部網絡行為的管理和監控
除對外的防護外,對網絡內的上網行為也應該進行規范,并監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。企業內部用戶上網信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監控可以規范網絡內部的上網行為,提高工作效率,同時避免企業內部產生網絡安全隱患。因此對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統:
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
則內網綜合保護簡圖如下圖七所示: 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖七
內網綜合保護 9.移動用戶管理系統
對于企業內部的筆記本電腦在外工作,當要接入內部網也應進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。10.身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全信息安全課程設計
企業網絡安全方案的設計流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本設計以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方案的信息安全課程設計
企業網絡安全方案的設計實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
第五篇:企業網絡安全方案設計---
海南經貿職業技術學院信息技術系
︽ 網 絡
安
案 全
例 ︾
設
計
報
告
題 目 企業網絡安全方案的設計
學 號 1***
班 級 11級網絡1 班
姓 名 XXX
指導老師 XXX
要解決的幾個關鍵問題
目錄
摘 要:.......................................................................................................2
一、引言....................................................................................................2
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:.....................................................................................................................3
三、設計原則............................................................................................4
四、企業網絡安全解決方案的思路........................................................5
(一)安全系統架構..........................................................................5
(二)安全防護體系..........................................................................5
(三)企業網絡安全結構圖..............................................................6
五、整體網絡安全方案............................................................................7
(一)網絡安全認證平臺..................................................................7
(二)VPN系統................................................................................7
(三)網絡防火墻..............................................................................8
(四)病毒防護系統..........................................................................8
(五)對服務器的保護......................................................................9
(六)日志分析和統計報表能力....................................................10
(七)內部網絡行為的管理和監控..............................................11
(八)身份認證的解決方案............................................................12
六、方案的組織與實施方式..................................................................12
七、總結..................................................................................................13 教師評語:..............................................................................................14
要解決的幾個關鍵問題
設計企業網絡安全方案
摘 要:
隨著互聯網的不斷更新與發展,它給我們帶來了極大的利益和方便。但是,隨著互聯網的空前發展以及互聯網技術的普及,使我們面臨另外提個困境:私人數據、重要的企業資源以及政府機密等信息被暴露在公共網絡空間之下,伴隨而來的網絡安全問題越來越引起人們的關注。計算機系統一旦遭受破壞,將給使用單位造成重大經濟損失,并嚴重影響正常工作的順利開展。加強企業網絡安全工作,是一些企業建設工作的重要工作內容之一。
關鍵詞: 信息安全、企業網絡安全、安全防護
一、引言
隨著互聯網的空前發展以及互聯網技術的不斷普及,企業的重要數據信息都被暴露在公共網絡空間下,很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當等,都有可能威脅到重要信息數據,這些危害也越來越受到人們的重視。因此,根據企業的實際情況建立一套切實可行的安全網絡方案來改善這個情況,如何使企業信息網絡系統免受黑客和病毒的入侵,使企業的數據機密信息得以保護,并且可以保證企業的網絡順暢的工作,有助于公司的長遠發展。
網絡安全技術是指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段,主要包括物理的安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,以及其他的安全服務和安全機制策略。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會,網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多 2
要解決的幾個關鍵問題
樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子 化、信息化的發展將起到非常重要的作用。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
圖說明 圖一 企業網絡簡圖
要解決的幾個關鍵問題
(一)對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
(二)由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下: 1.技術先進性原則 2.系統性原則
要解決的幾個關鍵問題
3.管理可控性原則 4.技術與管理相結合原則 5.多重保護原則 6.系統可伸縮性原則 7.測評認證原則
四、企業網絡安全解決方案的思路
(一)安全系統架構
一個網絡系統的安全建設通常包括許多方面,包括物理安全、數據安全、網絡安全、系統安全、安全管理等,而一個安全系統的安全等級,又是按照木桶原理來實現的。根據企業各級內部網絡機構、廣域網結構、和三級網絡管理、應用業務系統的特點,安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。
(二)安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
要解決的幾個關鍵問題
圖說明 圖二 網絡與信息安全防范體系模型
(三)企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三
總體安全結構圖
要解決的幾個關鍵問題
五、整體網絡安全方案
(一)網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1.身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
2.數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3.數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4.不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
(二)VPN系統一個完全私有的網絡可以解決許多安全問題,因為很多惡意攻擊者根本無法進入網絡實施攻擊。但是,對于一個普通的地理覆蓋范圍廣的企業或公司,要搭建物理上私有的網絡,往往在財政預算上是不合理的。VPN技術就是為了解決這樣一種安全需求的技術。
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。
要解決的幾個關鍵問題
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
(三)網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。其網絡結構一般如下:
圖說明 圖四 防火墻
安裝好專業切功能強勁的防火墻,來有效防御外來黑客病毒等方面的攻擊。在兩個網絡之間加強訪問控制的一整套裝置,是內部網絡與外部網絡之間的安全防范系統通常安裝在內部網絡與外部網絡的鏈接點上。所有來自internet(外部網)的傳輸信息或從內部網絡發出的信息都必須穿過防火墻。
入侵行為的發覺。它通過對計算機網絡或計算機系統中若干關鍵點收集信息,并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。行進入侵檢測的軟件與硬件的組合便是入侵監測系統。與其他安全產品不同的是,入侵檢測系統需要更多的智能,它必須可以將得到的數據進行分析,并得出有用的結果。一個合格的入侵檢測系統能大大簡化管理員的工作,保證網絡安全的運行。
(四)病毒防護系統
基于單位目前網絡的現狀,在網絡中添加一臺服務器,用于安裝IMSS。
要解決的幾個關鍵問題
1.郵件防毒。采用趨勢科技的ScanMail for Notes。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數據庫中,可防止病毒入侵到LotueNotes的數據庫及電子郵件,實時掃描并清除隱藏于數據庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作,并提供實時監控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
2.服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統對原系統的影響,另一方面使所有服務器的防毒系統可以從單點進行部署,管理和更新。
3.客戶端防毒。采用趨勢科技的OfficeScan。該產品作為網絡版的客戶端防毒系統,使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
4.集中控管TVCS。管理員可以通過此工具在整個企業范圍內進行配置、監視和維護趨勢科技的防病毒軟件,支持跨域和跨網段的管理,并能顯示基于服務器的防病毒產品狀態。無論運行于何種平臺和位置,TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安裝和分發代理部署,網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報,給管理帶來極大的便利。
(五)對服務器的保護
服務器的安全對企業來說是至關重要的,近幾年來,服務器遭遇“黑手”的風險越來越大,就最近服務器遭遇病毒、黑客攻擊的新聞不絕于耳。首先,這些惡意的攻擊行為,旨在消耗服務器資源,影響服務器的正常運作,甚至攻擊到服務器所在網絡癱瘓。還有一方面,就是入侵行為,這種大多與某些利益有關聯,有的涉及到企業的敏感信息,有的是同行相煎。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次 9
要解決的幾個關鍵問題
結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式):
圖說明
圖五
郵件系統保護
(六)日志分析和統計報表能力
所有的網站統計報告都是相同的么?日志分析與實時統計分析工具報告和追蹤網站的活動都有著很大的區別。因為他們收集不同的信息,所以提供的報告也許并不一致。實時統計工具的優勢在于跟蹤訪問者行為和精確的頁面瀏覽量統計。
如果很清楚的理解這些工具是怎樣進行統計的,您將能更好的理解兩種報告的差異,并協調使用不同的數據,從而幫助您在營銷和市場活動中做出更有效的決定。
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種 10
要解決的幾個關鍵問題
形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。
(七)內部網絡行為的管理和監控
內部網絡行為監管審計系統是在網絡整體安全解決方案的基礎上,綜合了黨政機關內部網絡的安全需求,采取多層架構、分布式設計,可滿足黨政機關以及企事業單位對保障數據、信息的安全性及完整性的迫切要求。對內部網絡行為的管理監控結果有效,審計結果取證完整、記錄可信。以下是幾種系統:
1.監控中心控制臺
運行在Windows2000各種版本/Windows XP下,對系統安全策略進行統一管理與發布,對系統的安全設備及配置進行統一管理,對系統的日志進行審計、分析、報告,對安全事件進行應急響應和處理,可隨機抽查網絡內受控主機的屏幕信息并可記錄和回放。2.身份認證識別服務器
運行在Windows2000 Server版本下,采用一次一變的動態口令,有效的解決了一般靜態口令易截取、易竊聽、易猜測等安全隱患,用于內部網使用人員的身份管理和網絡安全管理員身份的認證控制。3.受控主機代理
運行在Windows2000各種版本/Windows XP下,根據監控中心控制臺設置的策略規則(包括登錄策略、文件策略、一機兩用策略、屏幕監控策略、輸入輸出策略等),實時進行信息采集,阻止違規操作,將違規操作報警到控制臺。4.郵件監控器代理
運行在Windows2000各種版本下,安裝在郵件服務器中,根據監控中心控制臺設置的郵件策略規則,根據時間段、計算機的IP地址、Email地址進行阻止、報警,將違規操作報警到控制臺。5.網絡感應器代理
運行在Windows2000各種版本/Windows XP下,采集網絡中的信息流量,根據控制臺的要求,將采集的網絡信息流量上傳到控制臺,進行審計統計。并可實時檢測出網絡內非法接入的其它設備。
要解決的幾個關鍵問題
則內網綜合保護簡圖如下圖七所示:
圖說明
圖七
內網綜合保護
(八)身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全 12
要解決的幾個關鍵問題
流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本課程設計以某公司為例,分析了網絡安全現狀,重點提出了管理技術和維護技術。隨著現在的發展,網絡的不安全因素很多,網絡管理和維護尤其重要,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從
要解決的幾個關鍵問題
技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
教師評語:
![下載企業網絡安全規劃與設計[共五篇]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 