第一篇:企業網絡安全NGFW+ICG方案
安全解決方案
北京網康科技有限公司
/ 12
目錄 安全風險分析.....................................3 1.1 來自公網的安全風險分析.........................3 1.2 來自內部人員及分部的安全威脅...................3 2 安全方案設計.....................................4 2.1 方案概述.......................................4 2.2 總體設計.......................................4 2.3 詳細設計.......................................5 2.3.1 外部安全防護................................5 2.3.2 內部安全防護................................7 3 網康方案價值與產品優勢..........................10 3.1 易用性........................................10 3.2 健壯性........................................11 3.3 產品優勢......................................11
/ 12 安全風險分析
1.1 來自公網的安全風險分析
由于內部網絡中其辦公系統及各人主機上都有涉密信息。假如內部網絡的一臺機器安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到與本系統網絡有連接的外單位網絡。
如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施,內部網絡容易造到來自外網一些不懷好意的入侵者的攻擊。如:
? 入侵者通過漏洞掃描、Sniffer嗅探等工具來探測掃描網絡及操作系統存在的安全漏洞,如網絡IP地址、應用操作系統類型、開放哪些服務端口號、系統保存用戶名和口令等安全信息的關鍵文件等,并通過相應攻擊程序對內網進行攻擊;
? 入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息;
? 惡意攻擊:入侵者通過發送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓; ? 發送大量包含惡意代碼或病毒程序的郵件。
1.2 來自內部人員及分部的安全威脅
據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。來自機構內部局域網的威脅包括:
? 誤用和濫用關鍵、敏感數據和計算資源。無論是有不滿情緒的員工的故意破壞,還是沒有訪問關鍵系統權限的員工因誤操作而進入關鍵系統,由此而造成的數據泄露、偷竊、損壞或刪除將給企業帶來很大的負面影響。
? 因不當使用Internet接入而降低生產率。不當使用Internet資源不但會浪費工人的時間,還能增加計算機網絡的負擔,降低了人員與網絡的工作效率。
? 如果工作人員發送、接收和查看攻擊性材料,可能會形成敵意的工作環境,從而增大內耗。
? 內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令;
/ 12
? 內部不懷好意員工編些破壞程序在內部網上傳播或者內部人員通過各種方式盜取他人涉密信息傳播出去;
? 內部人員利用公司網絡訪問黃色網站、反動網站和其他與工作無關的網站; ? 內部人員訪問不良網站時,無意中執行了網頁上的惡意代碼或病毒程序; ? 內部人員使用移動存儲設備,不小心涉帶有關病毒,導致網絡癱瘓; ? 內部人員使用BT、P2P下載,嚴重影響網絡使用 安全方案設計 2.1 方案概述
我們為貴單位網絡構架了一個整套的安全體系結構,整個體系中最基本單元是每臺在線主機的安全,即安全體系中的每一個點;子網/局域網是體系中的塊狀組成部分,是安全體系中的各個面;整個安全體系由各個層次和面組成,形成安全體系的立體框架。我們知道實現網絡安全不是一次可以完成的任務,需要不斷根據網絡環境和網絡管理進行調整,我們設計的解決方案充分兼容今后的安全管理及優化的需求。
基于以上的分析,我們建議以系統的內部安全優化修復,清除網絡安全漏洞為主要手段,提高網絡內每個點的安全系數,清除各點的安全隱患,以網絡優化系統、防火墻和防毒軟件等安全產品對網絡施以自動監控和防御,在各個面形成有效的防御體系,最后通過加強人員培訓,提高管理水平,制定先進的安全策略,消除全網的各種安全威脅,全面提高軟件、硬件和人員的安全水平,形成一個牢固的,立體的網絡安全防御體系。
2.2 總體設計
依據我們的安全系統設計原則,并結合貴單位網絡系統的實際情況和需求,采用一系列產品搭建安全防范體系,通過安全技術和管理手段,使安全產品充分發揮其安全保護的作用。
首先,從安全區域上,我們將網絡劃分為:服務器區、辦公區,并采用防火墻將上述各個區域進行隔離,以對各個區域之間的相互訪問進行訪問控制,構成第一道安全防護體系。對于接入Internet的區域,都將Internet的LAN接口接在防火墻的接口上,從而實現對來自Internet的入侵的防護。
/ 12
第二,為了對保護公司本部的重要服務器(如管理服務器、郵件服務器、數據庫服務器),特將這些重要的服務器放在同一網段,用防火墻進行訪問控制,該網段稱為非軍事化區(DMZ區)。再使用SSL VPN設備將重要服務器進行發布,對外呈現只有SSL VPN一個服務,并根據具體要求配置SSL VPN安全訪問策略,保護公司本部的重要服務器。
第三,在網絡出口防火墻與核心交換機間部署網康互聯網控制網關(ICG)設備,對內網的所有網絡行為進行審計和記錄,及時有效地管理辦公人員的上網行為,包括網頁服務、即時聊天、論壇言論發布、郵件收發等;除此之外還可進行全網的流量分析,并阻斷P2P及與辦公無關的應用,保證帶寬的使用價值,提升網絡的可用性,減少投資。并可以分析網絡帶寬利用狀況,方便排除網絡故障。
第四,通過網康防火墻的部署,全面地保護內部各區域網絡不受到病毒的入侵和破壞。利用全方位的企業防毒產品,實施“層層設防,集中控管,以防為主、防治結合”的策略,使網絡沒有能成為病毒入侵的薄弱環節。
拓撲圖如下:
2.3 詳細設計
2.3.1 外部安全防護
網康下一代防火墻NGFW。通過深入洞察網絡流量中的用戶、應用和內容,并借助全新
/ 12 的高性能單路徑異構并行處理引擎,NGFW能夠為用戶提供有效的應用層一體化安全防護,幫助幫助用戶安全地開展業務并簡化用戶的網絡安全架構。入侵、病毒、木馬防護
網康下一代防火墻NGFW提供了對黑客入侵、上傳或下載病毒和木馬的防護手段。通過在“策略配置”界面配置“安全策略”,用戶可以非常方便地實現基于用戶、應用、服務和時間的一體化防護。
針對企業的具體情況,建議采用開啟對服務器域從外到內的IPS和AV防護,防范從外部發起的網絡攻擊、傳病毒、傳木馬等行為;開啟從內到外的IPS、AV防護和URL過濾,防范內部用戶的攻擊、染毒、僵尸主機或訪問惡意網站等行為。
策略配置完成后可以在設備首頁實時看到當前網絡的威脅和告警信息,同時也可以在監控中心的威脅日志、告警日志和網址過濾日志中看到更多的細節信息。DoS防護
網康下一代防火墻NGFW提供了對DoS攻擊的防護功能,可以配置策略針對不同的DoS攻擊類型進行聚合防護和分類防護。
針對企業的具體情況,建議分別對從內到外和從外到內的DoS攻擊防護進行配置。其中,服務器域的連接數閾值要相應提高。ARP防護
網康下一代防火墻NGFW支持通過綁定靜態ARP的方式防止ARP攻擊。
建議企業根據實際網絡拓撲情況在各核心設備上開啟靜態ARP功能,進行IP和MAC的綁定,防止ARP欺騙造成的無法聯網或無法訪問某些網站的現象產生。網絡攻擊防護
網康下一代防火墻NGFW支持通過對常見網絡攻擊進行防護,如TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等。
建議企業開啟網絡攻擊防護功能,保障網絡服務器的安全。主動發現服務器是否被植入木馬
網康下一代防火墻NGFW提供了深入的應用洞察能力,用戶可以通過簡單的配置方便地主動發現服務器是否有異常行為,從而發現服務器中隱藏的木馬。主動發現網絡中存在風險的服務器或僵尸主機
建議采用以下方式主動發現網絡中存在風險的服務器或僵尸主機。
1.定期查看“應用分析”模塊,篩選應用名稱為“木馬”、“遠程桌面”、“ssh”、“HTTP
/ 12
PROXY”等高風險應用,查看產生這些應用流量的IP地址,根據需要進行防護和整改。
2.定期查看“應用分析”模塊,篩選網址類別為“木馬病毒”、“釣魚網站”等高風險網址,查看排名前幾名的IP,主動對這些IP進行殺毒。
3.定期查看“監控中心”的應用對比統計功能,查看網絡中同一時段的應用連接數和流量變化,當高風險應用連接數和流量較大時,可在“應用分析”和“流量日志”中找到相應時段的流量細節。
主動檢測網站是否被掛黑鏈或掛馬
建議采用以下方式主動網站是否被掛黑鏈或掛馬。
1.在網站服務器或其他無人使用的服務器上設定計劃任務,定時訪問xxx政府機關官方網站首頁。
2.定期查看“應用分析”模塊,篩選源地址為服務器IP,篩選普通HTTP應用,查看目的IP地址是否正常,若出現異常IP地址即為被掛黑鏈,若篩選的IP地址出現較大HTTP下載流量即為被掛馬。
2.3.2 內部安全防護
網康互聯網控制網關(ICG),為用戶提供專業的用戶管理、應用控制、網頁過濾、內容審計、流量管理和行為分析等功能。可以幫助客戶達成上網行為可視、減少安全風險,減少信息泄密、遵從法律法規、提升工作效率、優化帶寬資源。
1、內容審計
外發信息審計
通過互聯網傳遞信息已經成為企業的關鍵應用,然而信息的機密性、健康性、政治性等問題也隨之而來。本方案提供全方位的審計功能,可實現針對IM、郵件、FTP、論壇發帖等應用的內容審計。
審計功能在默認配置下關閉,需要管理員手動打開審計功能,方可實現全方位的審計。同時,可通過分級分權功能,收回設備管理員審計功能的權限,以徹底關閉審計功能,在這種情況,打開審計功能的權限僅超級管理員擁有。
郵件收發審計和過濾
網康ICG不但可以審計通過任意端口的POP3和SMTP協議收發郵件內容,同時還可以審計通過WEB-MAIL發送郵件的內容,實現對用戶郵件收發內容的全面審計。
/ 12
2、行為管理 網頁過濾
Web是互聯網上內容最豐富、訪問量最大的應用,然而網頁內容良莠不齊,充斥許多反動、暴力、色情以及其它不健康的信息;此外,大量網絡應用,如P2P,IM,網絡電視、游戲等等,也借助HTTP協議或者80端口,一方面躲避防火墻的封堵,一方面攜帶病毒、惡意軟件,為內網用戶帶來安全風險,擠占網絡帶寬。網康ICG通過預分類過濾技術、URL自動分類引擎以及靈活的策略設置,對違反國家法律、危害企業安全的內容進行過濾,避免用戶有意無意訪問包含非法內容的網頁,凈化網絡,減少病毒進入局域網的幾率,降低企業法律風險,創造文明健康的上網環境。
? 最領先的中文URL分類數據庫
網頁內容浩如煙海,URL數目數以千萬計。傳統的網頁過濾通過預設的關鍵字,對網頁內容進行匹配,效率很低,而且誤封率居高不下,已經退出應用的主流。另外一種方法是預先設置需要封堵的URL列表,對URL進行實時的匹配過濾,這也存在很大的缺陷,由于URL數量巨大,依靠手工添加方式不可能實現完整的過濾,而且對URL列表的更新管理幾乎不可能。目前國際上最先進的方式是將URL按照一定的標準進行預分類,然后由網關設備對類別進行過濾,既解決了過濾效率的問題,又保證了過濾的完整性與實效性。應用控制
隨著技術的迅猛發展,各種互聯網應用層出不窮,如即時通訊(IM)、網絡游戲、在線炒股以及在線音樂視頻等等。未加管理的使用,不可避免地影響員工的工作效率。在一項調查中,超過80%的員工在上班時間做過與工作無關的工作,其中,有60%的被調查員工承認其主要是在玩網絡游戲、用QQ / MSN等即時通訊軟件聊天,以及炒股等等。這些不當網絡活動大大降低了員工的工作效率,造成了企業人力資源的嚴重浪費。同時,與工作無關的應用,如P2P下載、在線視頻等對帶寬資源的擠占,使得關鍵業務的使用質量無法保障,大大降低了出口鏈路的利用率,造成了企業帶寬資源的嚴重浪費。
? 基于特征識別的覆蓋全面的應用協議數據庫
欲控制各種網絡應用,必先準確識別。傳統安全產品通過IP或者端口封堵各種協議,只能局限于標準的協議,如HTTP,SMTP,且主要是在網絡層以及傳輸層進行,對應用層的內容無能為力,而且,如果IP與端口經過動態協商建立,比如QQ,P2P下載等,則完全不能勝任。網康ICG對應用的識別是通過應用特征與行為特征實現的。所謂應用特征,是指在成序列的數據包的應用層信息中,存在有規律的字節特征,它可以唯一地標識某種應用協議,8 / 12
就如同一個人無論穿什么顏色的衣服,其指紋特征不會改變,而且是唯一的。類似地,ICG可以通過特征值準確地識別網絡應用;而行為特征,是指連續多個包或者多個并發的網絡連接表現出來的某種行為模式具有一定規律性,通過這些行為模式可以識別特征值不明顯的應用類型。
網康ICG擁有國內最全面的網絡應用協議數據庫,分為20余種大類,共2000多種協議。
3、帶寬管理
? 網絡感知
網康行為管理設備提供豐富的監控界面,可以實時顯示網絡運行情況,以圖標形式顯示設備實時流速、用戶實時流速、應用實時流速、實時審計日志等,如下圖:
? 支持靈活的流量限額手段 流量限速
流量限速功能可以基于時間、VLAN、對從源用戶(組)去往目的用戶(組)的網絡應用上傳、下載流速進行限制。每用戶帶寬上限
每用戶帶寬上限功能可以對每個用戶的帶寬進行管理,具體分為每用戶的帶寬上限控制和通道內每用戶的帶寬上限控制。流量限額
網康 ITM 還可以從流量的角度對網絡應用進行管理,通過每用戶的流量限額和通道整體的流量限額功能,為某種網絡應用設定流量限額閥值,在預定的周期性時間段范圍內,限
/ 12
制此應用的流量總額連接控制 ? 支持豐富的流量保障手段 帶寬保證
帶寬保證功能可以在帶寬資源有限而多種網絡應用并存的情況下,通過為關鍵業務建立并指定帶寬通道的方式,從而避免了關鍵業務應用與非關鍵業務應用共同爭用帶寬,有效保障了關鍵業務應用的正常使用。帶寬預留
在保障關鍵業務應用時,既可以通過通道的帶寬保證來實現,也可以通過帶寬預留來實現。帶寬預留可以對對進入特定通道的某(些)關鍵業務的應用架設“帶寬專線”,通過劃分專門的帶寬,使關鍵業務在任何時候都可以獨享該通道全部的帶寬資源,徹底避免非關鍵業務無序搶占此專線帶寬資源,從而使關鍵業務應用的帶寬需求能獲得可靠保障。帶寬平均
根據通道里用戶數量的動態變化實時調整各用戶的帶寬分配,保證流經通道里的所有用戶動態平均享用該通道的全部帶寬資源,實現帶寬資源得到高效與公平地利用。網康方案價值與產品優勢 3.1 易用性
該方案可以支持透明橋接、網關、旁路鏡像、代理模式等多種部署方式,可以最大程度兼容各種網絡環境下的部署需求,同時最大程度地減少對現有網絡結構的改造需求,設備上線十分簡單,操作量小,實施快速。
修改任何設備配置無需重啟,滿足不間斷運營的要求;采用圖形化報警方式,使得風險可快速被管理員獲得;管理采用HTTPS方式,對瀏覽器無插件依賴;系統健康參數一目了然,CPU,內存,硬盤使用率,持續運行時間一目了然;排錯簡單,一鍵bypass功能按下后,可直接定位問題是否由設備造成;各分支設備可集中管理,實現設備狀況統一監控,策略集中下發,集中回收;通過圖形化的操作方式,以及標準的配置過程模式,利用鼠標的勾勾選選即可實現策略的完整配置,滿足非專業人員的快速使用。
設備版本一鍵升級,用戶只需點擊升級按鈕即可實現全版本的更新,原有配
/ 12
置與日志數據可完全保留; 整個升級過程不依賴客戶端,沒有任何需要判斷的分支步驟 ;URL數據庫與應用協議庫保持以天為單位的快速更新。
3.2 健壯性
網康設備提供硬件bypass與軟件bypass雙重保護,確保發生異常時網絡依然暢通。通過帶電模式下的智能bypass功能,當系統出現宕機等嚴重異常時,工作接口可以自動的物理導通,同時管理接口還可以繼續排查設備的問題。在不影響用戶正常使用的同時,還能定位問題的來源。
網康科技的產品擁有多項高性能優化專利,在同等級的硬件平臺上可以提供更強的處理轉發性能,從而有效的避免新添加的設備帶來的網絡延時,在提供上網行為管理功能的同時,不會影響原有線路的質量。
網康科技采用了自主研發的NSOS操作系統,并進行了專門安全加固,可有效的防護對設備的攻擊和入侵,全面保障設備自身的安全。
網康科技采用了獨有的用戶交互隱身技術,無論是對用戶彈出的認證登錄框,還是行為阻塞的提示框,或者客戶端下載框都采用了設備隱身技術,使得最終用戶無法獲取設備本身的地址。避免了可能的有針對性的嘗試攻擊,或者DOS攻擊。
3.3 產品優勢
? 網康下一代防火墻 領先的應用識別技術
憑借網康科技在應用識別和內容控制領域8年的技術積累,實現了對2000種以上網絡應用的識別,其中包含了300多種高風險應用,從各種維度對不同應用做出評價。先進的主動防御技術
基于行為分析感知僵尸主機,通過多維度的數據分析和多種類型日志的智能關聯集成,實現應用威脅的可視化,便于用戶提早發現網絡中潛在的威脅,并主動調整安全策略。高性能的應用安全防護
/ 12
采用網康獨有專利技術的多核加速轉發引擎,充分發揮硬件優勢,實現高性能的應用安全防護。移動識別和管理
支持超過500種移動互聯網應用,覆蓋蘋果、安卓、塞班等多種移動平臺,涵蓋聊天、微博、視頻、地圖等多種主流應用類型。? 網康上網行為管理(ICG)豐富的用戶識別類型
支持基于IP/MAC、計算機名、POP3、Proxy、LDAP、AD域、Radius、Portal進行認證,同時支持和多種認證系統聯動,實現單點認證。國內最大的URL庫
擁有國內最大且唯一擁有自主知識產權的、包含3000萬中文網頁的URL庫,每日更新,即時發現惡意網站。精確網頁內容審計
可針對必要的分類進行分類網頁快照留存設計,滿足審計全面性的同時,不消耗過多的存儲資源。精確搜索引擎關鍵字審計,可針對不用的搜索分類進行不同關鍵字的設置,例如對圖片視頻類要控制色情類的詞語,文字網頁類的搜索要控制政治類的詞語。
/ 12
第二篇:企業網絡安全方案的設計
信息安全課程設計
企業網絡安全方案的設計
河 南 理 工 大 學 計 算 機 學 院
︽ 信 息
安
課 全
程 ︾
設
計
報
告
題 目 企業網絡安全方案的設計
學 號 310609040104
班 級 網絡工程06-1班
姓 名 嚴茵茵
指導老師 劉 琨
信息安全課程設計
企業網絡安全方案的設計設計企業網絡安全方案
摘 要:在這個信息技術飛速發展的時代,許多有遠見的企業都認識到很有必要依托先進的IT技術構建企業自身的業務和運營平臺來極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業整體網絡安全方案以及該方案的組織和實施等方面的闡述,為企業提供一個可靠地、完整的方案。
關鍵詞: 信息安全、企業網絡安全、安全防護
一、引言
隨著國內計算機和網絡技術的迅猛發展和廣泛普及,企業經營活動的各種業務系統都立足于Internet/Intranet環境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。一旦網絡系統安全受到嚴重威脅,甚至處于癱瘓狀態,將會給企業、社會、乃至整個國家帶來巨大的經濟損失。應此如何使企業信息網絡系統免受黑客和病毒的入侵,已成為信息事業健康發展所要考慮的重要事情之一。
一般企業網絡的應用系統,主要有WEB、E-mail、OA、MIS、財務系統、人事系統等。而且隨著企業的發展,網絡體系結構也會變得越來越復雜,應用系統也會越來越多。但從整個網絡系統的管理上來看,通常包括內部用戶,也有外部用戶,以及內外網之間。因此,一般整個企業的網絡系統存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
(2)企業內網的安全性:最新調查顯示,在受調查的企業中60%以上的員信息安全課程設計
企業網絡安全方案的設計工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業數千萬美金的損失。所以企業內部的網絡安全同樣需要重視,存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。
(3)內部網絡之間、內外網絡之間的連接安全:隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
信息安全課程設計
企業網絡安全方案的設計
圖說明 圖一 企業網絡簡圖
對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下: 1.標準化原則 信息安全課程設計
企業網絡安全方案的設計2.系統化原則 3.規避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則
四、企業網絡安全解決方案的思路
1.安全系統架構
安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。2.安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網絡與信息安全防范體系模型 信息安全課程設計
企業網絡安全方案的設計3.企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三
總體安全結構圖
五、整體網絡安全方案
1.網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1)身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。信息安全課程設計
企業網絡安全方案的設計
2)數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3)數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。2.VPN系統
VPN(Virtual Private Network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
3.網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行防護。其網絡結構一般如下:
圖說明 圖四 防火墻
此外在實際中可以增加入侵檢測系統,作為防火墻的功能互補,提供對監控信息安全課程設計
企業網絡安全方案的設計網段的攻擊的實時報警和積極響應等功能。4.病毒防護系統
應強化病毒防護系統的應用策略和管理策略,增強勤業網絡的病毒防護功能。這里我們可以選擇瑞星網絡版殺毒軟件企業版。瑞星網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發的網絡防病毒軟件,通過瑞星網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統,并且可以實現防病毒體系的統一、集中管理,實時掌握、了解當前網絡內計算機病毒事件,并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護
在一個企業中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式): 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖五
郵件系統保護 6.關鍵網段保護
企業中有的網段上傳送的數據、信息是非常重要的,應此對外應是保密的。所以這些網段我們也應給予特別的防護。簡圖如下圖六所示。
圖說明
圖六
關鍵網段的防護 7.日志分析和統計報表能力
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目信息安全課程設計
企業網絡安全方案的設計標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。8.內部網絡行為的管理和監控
除對外的防護外,對網絡內的上網行為也應該進行規范,并監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。企業內部用戶上網信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監控可以規范網絡內部的上網行為,提高工作效率,同時避免企業內部產生網絡安全隱患。因此對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統:
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
則內網綜合保護簡圖如下圖七所示: 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖七
內網綜合保護 9.移動用戶管理系統
對于企業內部的筆記本電腦在外工作,當要接入內部網也應進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。10.身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全信息安全課程設計
企業網絡安全方案的設計流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本課程設計以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方信息安全課程設計
企業網絡安全方案的設計案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
本次課程設計的完成,首先應感謝劉老師的指導。由于剛開始選題不恰當,所以完成的不理想,后來和劉老師交流后決定用這個項目來做。此外,也感謝同學的幫助。特別是在課程設計中需要繪制圖形時,給我推薦了“億圖”繪圖工具,使得本課程設計中所需的圖形都得以順利繪制出來,能較好的展示出整個設計的過程。
教師評語:
第三篇:企業網絡安全方案的設計
信息安全課程設計
xx網絡安全方案的設計
海南經貿職業技術學院信息技術系
︽ 網 絡
安
課 全
程 ︾
設
計
報
告
題 目 XX網絡安全方案的設計
學 號 310609040104
班 級 網絡工程06-1班
姓 名 王某某
指導老師 王天明
信息安全課程設計
xx網絡安全方案的設計設計企業網絡安全方案
摘 要:在這個信息技術飛速發展的時代,許多有遠見的企業都認識到很有必要依托先進的IT技術構建企業自身的業務和運營平臺來極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業整體網絡安全方案以及該方案的組織和實施等方面的闡述,為企業提供一個可靠地、完整的方案。
關鍵詞: 信息安全、企業網絡安全、安全防護
一、引言
隨著國內計算機和網絡技術的迅猛發展和廣泛普及,企業經營活動的各種業務系統都立足于Internet/Intranet環境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。一旦網絡系統安全受到嚴重威脅,甚至處于癱瘓狀態,將會給企業、社會、乃至整個國家帶來巨大的經濟損失。應此如何使企業信息網絡系統免受黑客和病毒的入侵,已成為信息事業健康發展所要考慮的重要事情之一。
一般企業網絡的應用系統,主要有WEB、E-mail、OA、MIS、財務系統、人事系統等。而且隨著企業的發展,網絡體系結構也會變得越來越復雜,應用系統也會越來越多。但從整個網絡系統的管理上來看,通常包括內部用戶,也有外部用戶,以及內外網之間。因此,一般整個企業的網絡系統存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
(2)企業內網的安全性:最新調查顯示,在受調查的企業中60%以上的員 信息安全課程設計
xx網絡安全方案的設計工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業數千萬美金的損失。所以企業內部的網絡安全同樣需要重視,存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。
(3)內部網絡之間、內外網絡之間的連接安全:隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
信息安全課程設計
xx網絡安全方案的設計
圖說明 圖一 企業網絡簡圖
對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下: 1.標準化原則
信息安全課程設計
xx網絡安全方案的設計2.系統化原則 3.規避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則
四、企業網絡安全解決方案的思路
1.安全系統架構
安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。2.安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網絡與信息安全防范體系模型
信息安全課程設計
xx網絡安全方案的設計3.企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三
總體安全結構圖
五、整體網絡安全方案
1.網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1)身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
信息安全課程設計
xx網絡安全方案的設計
2)數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3)數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。2.VPN系統
VPN(Virtual Private Network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
3.網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行防護。其網絡結構一般如下:
圖說明 圖四 防火墻
此外在實際中可以增加入侵檢測系統,作為防火墻的功能互補,提供對監控 信息安全課程設計
xx網絡安全方案的設計網段的攻擊的實時報警和積極響應等功能。4.病毒防護系統
應強化病毒防護系統的應用策略和管理策略,增強勤業網絡的病毒防護功能。這里我們可以選擇瑞星網絡版殺毒軟件企業版。瑞星網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發的網絡防病毒軟件,通過瑞星網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統,并且可以實現防病毒體系的統一、集中管理,實時掌握、了解當前網絡內計算機病毒事件,并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護
在一個企業中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式):
信息安全課程設計
xx網絡安全方案的設計
圖說明
圖五
郵件系統保護 6.關鍵網段保護
企業中有的網段上傳送的數據、信息是非常重要的,應此對外應是保密的。所以這些網段我們也應給予特別的防護。簡圖如下圖六所示。
圖說明
圖六
關鍵網段的防護 7.日志分析和統計報表能力
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目 信息安全課程設計
xx網絡安全方案的設計標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。8.內部網絡行為的管理和監控
除對外的防護外,對網絡內的上網行為也應該進行規范,并監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。企業內部用戶上網信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監控可以規范網絡內部的上網行為,提高工作效率,同時避免企業內部產生網絡安全隱患。因此對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統:
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
則內網綜合保護簡圖如下圖七所示:
信息安全課程設計
xx網絡安全方案的設計
圖說明
圖七
內網綜合保護 9.移動用戶管理系統
對于企業內部的筆記本電腦在外工作,當要接入內部網也應進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。10.身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全 信息安全課程設計
xx網絡安全方案的設計流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本課程設計以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方 信息安全課程設計
xx網絡安全方案的設計案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
本次課程設計的完成,首先應感謝劉老師的指導。由于剛開始選題不恰當,所以完成的不理想,后來和劉老師交流后決定用這個項目來做。此外,也感謝同學的幫助。特別是在課程設計中需要繪制圖形時,給我推薦了“億圖”繪圖工具,使得本課程設計中所需的圖形都得以順利繪制出來,能較好的展示出整個設計的過程。
教師評語:
第四篇:企業網絡安全方案設計
信息安全課程設計
企業網絡安全方案的設計企業網絡安全方案設計
摘 要:在這個信息技術飛速發展的時代,許多有遠見的企業都認識到很有必要依托先進的IT技術構建企業自身的業務和運營平臺來極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業整體網絡安全方案以及該方案的組織和實施等方面的闡述,為企業提供一個可靠地、完整的方案。
關鍵詞: 信息安全、企業網絡安全、安全防護
一、引言
隨著國內計算機和網絡技術的迅猛發展和廣泛普及,企業經營活動的各種業務系統都立足于Internet/Intranet環境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。一旦網絡系統安全受到嚴重威脅,甚至處于癱瘓狀態,將會給企業、社會、乃至整個國家帶來巨大的經濟損失。應此如何使企業信息網絡系統免受黑客和病毒的入侵,已成為信息事業健康發展所要考慮的重要事情之一。
一般企業網絡的應用系統,主要有WEB、E-mail、OA、MIS、財務系統、人事系統等。而且隨著企業的發展,網絡體系結構也會變得越來越復雜,應用系統也會越來越多。但從整個網絡系統的管理上來看,通常包括內部用戶,也有外部用戶,以及內外網之間。因此,一般整個企業的網絡系統存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
(2)企業內網的安全性:最新調查顯示,在受調查的企業中60%以上的員信息安全課程設計
企業網絡安全方案的設計工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業數千萬美金的損失。所以企業內部的網絡安全同樣需要重視,存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。
(3)內部網絡之間、內外網絡之間的連接安全:隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
信息安全課程設計
企業網絡安全方案的設計
圖說明 圖一 企業網絡簡圖
對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下: 1.標準化原則 信息安全課程設計
企業網絡安全方案的設計2.系統化原則 3.規避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則
四、企業網絡安全解決方案的思路
1.安全系統架構
安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。2.安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網絡與信息安全防范體系模型 信息安全課程設計
企業網絡安全方案的設計3.企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三
總體安全結構圖
五、整體網絡安全方案
1.網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1)身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。信息安全課程設計
企業網絡安全方案的設計
2)數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3)數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。2.VPN系統
VPN(Virtual Private Network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
3.網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行防護。其網絡結構一般如下:
圖說明 圖四 防火墻
此外在實際中可以增加入侵檢測系統,作為防火墻的功能互補,提供對監控信息安全課程設計
企業網絡安全方案的設計網段的攻擊的實時報警和積極響應等功能。4.病毒防護系統
應強化病毒防護系統的應用策略和管理策略,增強勤業網絡的病毒防護功能。這里我們可以選擇瑞星網絡版殺毒軟件企業版。瑞星網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發的網絡防病毒軟件,通過瑞星網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統,并且可以實現防病毒體系的統一、集中管理,實時掌握、了解當前網絡內計算機病毒事件,并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護
在一個企業中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式): 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖五
郵件系統保護 6.關鍵網段保護
企業中有的網段上傳送的數據、信息是非常重要的,應此對外應是保密的。所以這些網段我們也應給予特別的防護。簡圖如下圖六所示。
圖說明
圖六
關鍵網段的防護 7.日志分析和統計報表能力
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目信息安全課程設計
企業網絡安全方案的設計標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。8.內部網絡行為的管理和監控
除對外的防護外,對網絡內的上網行為也應該進行規范,并監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。企業內部用戶上網信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監控可以規范網絡內部的上網行為,提高工作效率,同時避免企業內部產生網絡安全隱患。因此對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統:
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
則內網綜合保護簡圖如下圖七所示: 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖七
內網綜合保護 9.移動用戶管理系統
對于企業內部的筆記本電腦在外工作,當要接入內部網也應進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。10.身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全信息安全課程設計
企業網絡安全方案的設計流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本設計以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方案的信息安全課程設計
企業網絡安全方案的設計實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
第五篇:企業網絡安全方案設計---
海南經貿職業技術學院信息技術系
︽ 網 絡
安
案 全
例 ︾
設
計
報
告
題 目 企業網絡安全方案的設計
學 號 1***
班 級 11級網絡1 班
姓 名 XXX
指導老師 XXX
要解決的幾個關鍵問題
目錄
摘 要:.......................................................................................................2
一、引言....................................................................................................2
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:.....................................................................................................................3
三、設計原則............................................................................................4
四、企業網絡安全解決方案的思路........................................................5
(一)安全系統架構..........................................................................5
(二)安全防護體系..........................................................................5
(三)企業網絡安全結構圖..............................................................6
五、整體網絡安全方案............................................................................7
(一)網絡安全認證平臺..................................................................7
(二)VPN系統................................................................................7
(三)網絡防火墻..............................................................................8
(四)病毒防護系統..........................................................................8
(五)對服務器的保護......................................................................9
(六)日志分析和統計報表能力....................................................10
(七)內部網絡行為的管理和監控..............................................11
(八)身份認證的解決方案............................................................12
六、方案的組織與實施方式..................................................................12
七、總結..................................................................................................13 教師評語:..............................................................................................14
要解決的幾個關鍵問題
設計企業網絡安全方案
摘 要:
隨著互聯網的不斷更新與發展,它給我們帶來了極大的利益和方便。但是,隨著互聯網的空前發展以及互聯網技術的普及,使我們面臨另外提個困境:私人數據、重要的企業資源以及政府機密等信息被暴露在公共網絡空間之下,伴隨而來的網絡安全問題越來越引起人們的關注。計算機系統一旦遭受破壞,將給使用單位造成重大經濟損失,并嚴重影響正常工作的順利開展。加強企業網絡安全工作,是一些企業建設工作的重要工作內容之一。
關鍵詞: 信息安全、企業網絡安全、安全防護
一、引言
隨著互聯網的空前發展以及互聯網技術的不斷普及,企業的重要數據信息都被暴露在公共網絡空間下,很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當等,都有可能威脅到重要信息數據,這些危害也越來越受到人們的重視。因此,根據企業的實際情況建立一套切實可行的安全網絡方案來改善這個情況,如何使企業信息網絡系統免受黑客和病毒的入侵,使企業的數據機密信息得以保護,并且可以保證企業的網絡順暢的工作,有助于公司的長遠發展。
網絡安全技術是指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段,主要包括物理的安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,以及其他的安全服務和安全機制策略。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會,網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多 2
要解決的幾個關鍵問題
樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子 化、信息化的發展將起到非常重要的作用。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
圖說明 圖一 企業網絡簡圖
要解決的幾個關鍵問題
(一)對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
(二)由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下: 1.技術先進性原則 2.系統性原則
要解決的幾個關鍵問題
3.管理可控性原則 4.技術與管理相結合原則 5.多重保護原則 6.系統可伸縮性原則 7.測評認證原則
四、企業網絡安全解決方案的思路
(一)安全系統架構
一個網絡系統的安全建設通常包括許多方面,包括物理安全、數據安全、網絡安全、系統安全、安全管理等,而一個安全系統的安全等級,又是按照木桶原理來實現的。根據企業各級內部網絡機構、廣域網結構、和三級網絡管理、應用業務系統的特點,安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。
(二)安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
要解決的幾個關鍵問題
圖說明 圖二 網絡與信息安全防范體系模型
(三)企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三
總體安全結構圖
要解決的幾個關鍵問題
五、整體網絡安全方案
(一)網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1.身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
2.數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3.數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4.不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
(二)VPN系統一個完全私有的網絡可以解決許多安全問題,因為很多惡意攻擊者根本無法進入網絡實施攻擊。但是,對于一個普通的地理覆蓋范圍廣的企業或公司,要搭建物理上私有的網絡,往往在財政預算上是不合理的。VPN技術就是為了解決這樣一種安全需求的技術。
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。
要解決的幾個關鍵問題
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
(三)網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。其網絡結構一般如下:
圖說明 圖四 防火墻
安裝好專業切功能強勁的防火墻,來有效防御外來黑客病毒等方面的攻擊。在兩個網絡之間加強訪問控制的一整套裝置,是內部網絡與外部網絡之間的安全防范系統通常安裝在內部網絡與外部網絡的鏈接點上。所有來自internet(外部網)的傳輸信息或從內部網絡發出的信息都必須穿過防火墻。
入侵行為的發覺。它通過對計算機網絡或計算機系統中若干關鍵點收集信息,并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。行進入侵檢測的軟件與硬件的組合便是入侵監測系統。與其他安全產品不同的是,入侵檢測系統需要更多的智能,它必須可以將得到的數據進行分析,并得出有用的結果。一個合格的入侵檢測系統能大大簡化管理員的工作,保證網絡安全的運行。
(四)病毒防護系統
基于單位目前網絡的現狀,在網絡中添加一臺服務器,用于安裝IMSS。
要解決的幾個關鍵問題
1.郵件防毒。采用趨勢科技的ScanMail for Notes。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數據庫中,可防止病毒入侵到LotueNotes的數據庫及電子郵件,實時掃描并清除隱藏于數據庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作,并提供實時監控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
2.服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統對原系統的影響,另一方面使所有服務器的防毒系統可以從單點進行部署,管理和更新。
3.客戶端防毒。采用趨勢科技的OfficeScan。該產品作為網絡版的客戶端防毒系統,使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
4.集中控管TVCS。管理員可以通過此工具在整個企業范圍內進行配置、監視和維護趨勢科技的防病毒軟件,支持跨域和跨網段的管理,并能顯示基于服務器的防病毒產品狀態。無論運行于何種平臺和位置,TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安裝和分發代理部署,網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報,給管理帶來極大的便利。
(五)對服務器的保護
服務器的安全對企業來說是至關重要的,近幾年來,服務器遭遇“黑手”的風險越來越大,就最近服務器遭遇病毒、黑客攻擊的新聞不絕于耳。首先,這些惡意的攻擊行為,旨在消耗服務器資源,影響服務器的正常運作,甚至攻擊到服務器所在網絡癱瘓。還有一方面,就是入侵行為,這種大多與某些利益有關聯,有的涉及到企業的敏感信息,有的是同行相煎。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次 9
要解決的幾個關鍵問題
結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式):
圖說明
圖五
郵件系統保護
(六)日志分析和統計報表能力
所有的網站統計報告都是相同的么?日志分析與實時統計分析工具報告和追蹤網站的活動都有著很大的區別。因為他們收集不同的信息,所以提供的報告也許并不一致。實時統計工具的優勢在于跟蹤訪問者行為和精確的頁面瀏覽量統計。
如果很清楚的理解這些工具是怎樣進行統計的,您將能更好的理解兩種報告的差異,并協調使用不同的數據,從而幫助您在營銷和市場活動中做出更有效的決定。
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種 10
要解決的幾個關鍵問題
形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。
(七)內部網絡行為的管理和監控
內部網絡行為監管審計系統是在網絡整體安全解決方案的基礎上,綜合了黨政機關內部網絡的安全需求,采取多層架構、分布式設計,可滿足黨政機關以及企事業單位對保障數據、信息的安全性及完整性的迫切要求。對內部網絡行為的管理監控結果有效,審計結果取證完整、記錄可信。以下是幾種系統:
1.監控中心控制臺
運行在Windows2000各種版本/Windows XP下,對系統安全策略進行統一管理與發布,對系統的安全設備及配置進行統一管理,對系統的日志進行審計、分析、報告,對安全事件進行應急響應和處理,可隨機抽查網絡內受控主機的屏幕信息并可記錄和回放。2.身份認證識別服務器
運行在Windows2000 Server版本下,采用一次一變的動態口令,有效的解決了一般靜態口令易截取、易竊聽、易猜測等安全隱患,用于內部網使用人員的身份管理和網絡安全管理員身份的認證控制。3.受控主機代理
運行在Windows2000各種版本/Windows XP下,根據監控中心控制臺設置的策略規則(包括登錄策略、文件策略、一機兩用策略、屏幕監控策略、輸入輸出策略等),實時進行信息采集,阻止違規操作,將違規操作報警到控制臺。4.郵件監控器代理
運行在Windows2000各種版本下,安裝在郵件服務器中,根據監控中心控制臺設置的郵件策略規則,根據時間段、計算機的IP地址、Email地址進行阻止、報警,將違規操作報警到控制臺。5.網絡感應器代理
運行在Windows2000各種版本/Windows XP下,采集網絡中的信息流量,根據控制臺的要求,將采集的網絡信息流量上傳到控制臺,進行審計統計。并可實時檢測出網絡內非法接入的其它設備。
要解決的幾個關鍵問題
則內網綜合保護簡圖如下圖七所示:
圖說明
圖七
內網綜合保護
(八)身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全 12
要解決的幾個關鍵問題
流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本課程設計以某公司為例,分析了網絡安全現狀,重點提出了管理技術和維護技術。隨著現在的發展,網絡的不安全因素很多,網絡管理和維護尤其重要,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從
要解決的幾個關鍵問題
技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
教師評語:
點擊咨詢 