第一篇:企業(yè)網(wǎng)絡(luò)安全NGFW+ICG方案
安全解決方案
北京網(wǎng)康科技有限公司
/ 12
目錄 安全風(fēng)險(xiǎn)分析.....................................3 1.1 來自公網(wǎng)的安全風(fēng)險(xiǎn)分析.........................3 1.2 來自內(nèi)部人員及分部的安全威脅...................3 2 安全方案設(shè)計(jì).....................................4 2.1 方案概述.......................................4 2.2 總體設(shè)計(jì).......................................4 2.3 詳細(xì)設(shè)計(jì).......................................5 2.3.1 外部安全防護(hù)................................5 2.3.2 內(nèi)部安全防護(hù)................................7 3 網(wǎng)康方案價值與產(chǎn)品優(yōu)勢..........................10 3.1 易用性........................................10 3.2 健壯性........................................11 3.3 產(chǎn)品優(yōu)勢......................................11
/ 12 安全風(fēng)險(xiǎn)分析
1.1 來自公網(wǎng)的安全風(fēng)險(xiǎn)分析
由于內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。假如內(nèi)部網(wǎng)絡(luò)的一臺機(jī)器安全受損(被攻擊或者被病毒感染),就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播,還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)。
如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施,內(nèi)部網(wǎng)絡(luò)容易造到來自外網(wǎng)一些不懷好意的入侵者的攻擊。如:
? 入侵者通過漏洞掃描、Sniffer嗅探等工具來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞,如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)類型、開放哪些服務(wù)端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等,并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊;
? 入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息,進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄,竊取內(nèi)部網(wǎng)重要信息;
? 惡意攻擊:入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊,使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓; ? 發(fā)送大量包含惡意代碼或病毒程序的郵件。
1.2 來自內(nèi)部人員及分部的安全威脅
據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。來自機(jī)構(gòu)內(nèi)部局域網(wǎng)的威脅包括:
? 誤用和濫用關(guān)鍵、敏感數(shù)據(jù)和計(jì)算資源。無論是有不滿情緒的員工的故意破壞,還是沒有訪問關(guān)鍵系統(tǒng)權(quán)限的員工因誤操作而進(jìn)入關(guān)鍵系統(tǒng),由此而造成的數(shù)據(jù)泄露、偷竊、損壞或刪除將給企業(yè)帶來很大的負(fù)面影響。
? 因不當(dāng)使用Internet接入而降低生產(chǎn)率。不當(dāng)使用Internet資源不但會浪費(fèi)工人的時間,還能增加計(jì)算機(jī)網(wǎng)絡(luò)的負(fù)擔(dān),降低了人員與網(wǎng)絡(luò)的工作效率。
? 如果工作人員發(fā)送、接收和查看攻擊性材料,可能會形成敵意的工作環(huán)境,從而增大內(nèi)耗。
? 內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu);安全管理員有意透露其用戶名及口令;
/ 12
? 內(nèi)部不懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去;
? 內(nèi)部人員利用公司網(wǎng)絡(luò)訪問黃色網(wǎng)站、反動網(wǎng)站和其他與工作無關(guān)的網(wǎng)站; ? 內(nèi)部人員訪問不良網(wǎng)站時,無意中執(zhí)行了網(wǎng)頁上的惡意代碼或病毒程序; ? 內(nèi)部人員使用移動存儲設(shè)備,不小心涉帶有關(guān)病毒,導(dǎo)致網(wǎng)絡(luò)癱瘓; ? 內(nèi)部人員使用BT、P2P下載,嚴(yán)重影響網(wǎng)絡(luò)使用 安全方案設(shè)計(jì) 2.1 方案概述
我們?yōu)橘F單位網(wǎng)絡(luò)構(gòu)架了一個整套的安全體系結(jié)構(gòu),整個體系中最基本單元是每臺在線主機(jī)的安全,即安全體系中的每一個點(diǎn);子網(wǎng)/局域網(wǎng)是體系中的塊狀組成部分,是安全體系中的各個面;整個安全體系由各個層次和面組成,形成安全體系的立體框架。我們知道實(shí)現(xiàn)網(wǎng)絡(luò)安全不是一次可以完成的任務(wù),需要不斷根據(jù)網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)管理進(jìn)行調(diào)整,我們設(shè)計(jì)的解決方案充分兼容今后的安全管理及優(yōu)化的需求。
基于以上的分析,我們建議以系統(tǒng)的內(nèi)部安全優(yōu)化修復(fù),清除網(wǎng)絡(luò)安全漏洞為主要手段,提高網(wǎng)絡(luò)內(nèi)每個點(diǎn)的安全系數(shù),清除各點(diǎn)的安全隱患,以網(wǎng)絡(luò)優(yōu)化系統(tǒng)、防火墻和防毒軟件等安全產(chǎn)品對網(wǎng)絡(luò)施以自動監(jiān)控和防御,在各個面形成有效的防御體系,最后通過加強(qiáng)人員培訓(xùn),提高管理水平,制定先進(jìn)的安全策略,消除全網(wǎng)的各種安全威脅,全面提高軟件、硬件和人員的安全水平,形成一個牢固的,立體的網(wǎng)絡(luò)安全防御體系。
2.2 總體設(shè)計(jì)
依據(jù)我們的安全系統(tǒng)設(shè)計(jì)原則,并結(jié)合貴單位網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況和需求,采用一系列產(chǎn)品搭建安全防范體系,通過安全技術(shù)和管理手段,使安全產(chǎn)品充分發(fā)揮其安全保護(hù)的作用。
首先,從安全區(qū)域上,我們將網(wǎng)絡(luò)劃分為:服務(wù)器區(qū)、辦公區(qū),并采用防火墻將上述各個區(qū)域進(jìn)行隔離,以對各個區(qū)域之間的相互訪問進(jìn)行訪問控制,構(gòu)成第一道安全防護(hù)體系。對于接入Internet的區(qū)域,都將Internet的LAN接口接在防火墻的接口上,從而實(shí)現(xiàn)對來自Internet的入侵的防護(hù)。
/ 12
第二,為了對保護(hù)公司本部的重要服務(wù)器(如管理服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器),特將這些重要的服務(wù)器放在同一網(wǎng)段,用防火墻進(jìn)行訪問控制,該網(wǎng)段稱為非軍事化區(qū)(DMZ區(qū))。再使用SSL VPN設(shè)備將重要服務(wù)器進(jìn)行發(fā)布,對外呈現(xiàn)只有SSL VPN一個服務(wù),并根據(jù)具體要求配置SSL VPN安全訪問策略,保護(hù)公司本部的重要服務(wù)器。
第三,在網(wǎng)絡(luò)出口防火墻與核心交換機(jī)間部署網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān)(ICG)設(shè)備,對內(nèi)網(wǎng)的所有網(wǎng)絡(luò)行為進(jìn)行審計(jì)和記錄,及時有效地管理辦公人員的上網(wǎng)行為,包括網(wǎng)頁服務(wù)、即時聊天、論壇言論發(fā)布、郵件收發(fā)等;除此之外還可進(jìn)行全網(wǎng)的流量分析,并阻斷P2P及與辦公無關(guān)的應(yīng)用,保證帶寬的使用價值,提升網(wǎng)絡(luò)的可用性,減少投資。并可以分析網(wǎng)絡(luò)帶寬利用狀況,方便排除網(wǎng)絡(luò)故障。
第四,通過網(wǎng)康防火墻的部署,全面地保護(hù)內(nèi)部各區(qū)域網(wǎng)絡(luò)不受到病毒的入侵和破壞。利用全方位的企業(yè)防毒產(chǎn)品,實(shí)施“層層設(shè)防,集中控管,以防為主、防治結(jié)合”的策略,使網(wǎng)絡(luò)沒有能成為病毒入侵的薄弱環(huán)節(jié)。
拓?fù)鋱D如下:
2.3 詳細(xì)設(shè)計(jì)
2.3.1 外部安全防護(hù)
網(wǎng)康下一代防火墻NGFW。通過深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容,并借助全新
/ 12 的高性能單路徑異構(gòu)并行處理引擎,NGFW能夠?yàn)橛脩籼峁┯行У膽?yīng)用層一體化安全防護(hù),幫助幫助用戶安全地開展業(yè)務(wù)并簡化用戶的網(wǎng)絡(luò)安全架構(gòu)。入侵、病毒、木馬防護(hù)
網(wǎng)康下一代防火墻NGFW提供了對黑客入侵、上傳或下載病毒和木馬的防護(hù)手段。通過在“策略配置”界面配置“安全策略”,用戶可以非常方便地實(shí)現(xiàn)基于用戶、應(yīng)用、服務(wù)和時間的一體化防護(hù)。
針對企業(yè)的具體情況,建議采用開啟對服務(wù)器域從外到內(nèi)的IPS和AV防護(hù),防范從外部發(fā)起的網(wǎng)絡(luò)攻擊、傳病毒、傳木馬等行為;開啟從內(nèi)到外的IPS、AV防護(hù)和URL過濾,防范內(nèi)部用戶的攻擊、染毒、僵尸主機(jī)或訪問惡意網(wǎng)站等行為。
策略配置完成后可以在設(shè)備首頁實(shí)時看到當(dāng)前網(wǎng)絡(luò)的威脅和告警信息,同時也可以在監(jiān)控中心的威脅日志、告警日志和網(wǎng)址過濾日志中看到更多的細(xì)節(jié)信息。DoS防護(hù)
網(wǎng)康下一代防火墻NGFW提供了對DoS攻擊的防護(hù)功能,可以配置策略針對不同的DoS攻擊類型進(jìn)行聚合防護(hù)和分類防護(hù)。
針對企業(yè)的具體情況,建議分別對從內(nèi)到外和從外到內(nèi)的DoS攻擊防護(hù)進(jìn)行配置。其中,服務(wù)器域的連接數(shù)閾值要相應(yīng)提高。ARP防護(hù)
網(wǎng)康下一代防火墻NGFW支持通過綁定靜態(tài)ARP的方式防止ARP攻擊。
建議企業(yè)根據(jù)實(shí)際網(wǎng)絡(luò)拓?fù)淝闆r在各核心設(shè)備上開啟靜態(tài)ARP功能,進(jìn)行IP和MAC的綁定,防止ARP欺騙造成的無法聯(lián)網(wǎng)或無法訪問某些網(wǎng)站的現(xiàn)象產(chǎn)生。網(wǎng)絡(luò)攻擊防護(hù)
網(wǎng)康下一代防火墻NGFW支持通過對常見網(wǎng)絡(luò)攻擊進(jìn)行防護(hù),如TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等。
建議企業(yè)開啟網(wǎng)絡(luò)攻擊防護(hù)功能,保障網(wǎng)絡(luò)服務(wù)器的安全。主動發(fā)現(xiàn)服務(wù)器是否被植入木馬
網(wǎng)康下一代防火墻NGFW提供了深入的應(yīng)用洞察能力,用戶可以通過簡單的配置方便地主動發(fā)現(xiàn)服務(wù)器是否有異常行為,從而發(fā)現(xiàn)服務(wù)器中隱藏的木馬。主動發(fā)現(xiàn)網(wǎng)絡(luò)中存在風(fēng)險(xiǎn)的服務(wù)器或僵尸主機(jī)
建議采用以下方式主動發(fā)現(xiàn)網(wǎng)絡(luò)中存在風(fēng)險(xiǎn)的服務(wù)器或僵尸主機(jī)。
1.定期查看“應(yīng)用分析”模塊,篩選應(yīng)用名稱為“木馬”、“遠(yuǎn)程桌面”、“ssh”、“HTTP
/ 12
PROXY”等高風(fēng)險(xiǎn)應(yīng)用,查看產(chǎn)生這些應(yīng)用流量的IP地址,根據(jù)需要進(jìn)行防護(hù)和整改。
2.定期查看“應(yīng)用分析”模塊,篩選網(wǎng)址類別為“木馬病毒”、“釣魚網(wǎng)站”等高風(fēng)險(xiǎn)網(wǎng)址,查看排名前幾名的IP,主動對這些IP進(jìn)行殺毒。
3.定期查看“監(jiān)控中心”的應(yīng)用對比統(tǒng)計(jì)功能,查看網(wǎng)絡(luò)中同一時段的應(yīng)用連接數(shù)和流量變化,當(dāng)高風(fēng)險(xiǎn)應(yīng)用連接數(shù)和流量較大時,可在“應(yīng)用分析”和“流量日志”中找到相應(yīng)時段的流量細(xì)節(jié)。
主動檢測網(wǎng)站是否被掛黑鏈或掛馬
建議采用以下方式主動網(wǎng)站是否被掛黑鏈或掛馬。
1.在網(wǎng)站服務(wù)器或其他無人使用的服務(wù)器上設(shè)定計(jì)劃任務(wù),定時訪問xxx政府機(jī)關(guān)官方網(wǎng)站首頁。
2.定期查看“應(yīng)用分析”模塊,篩選源地址為服務(wù)器IP,篩選普通HTTP應(yīng)用,查看目的IP地址是否正常,若出現(xiàn)異常IP地址即為被掛黑鏈,若篩選的IP地址出現(xiàn)較大HTTP下載流量即為被掛馬。
2.3.2 內(nèi)部安全防護(hù)
網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān)(ICG),為用戶提供專業(yè)的用戶管理、應(yīng)用控制、網(wǎng)頁過濾、內(nèi)容審計(jì)、流量管理和行為分析等功能。可以幫助客戶達(dá)成上網(wǎng)行為可視、減少安全風(fēng)險(xiǎn),減少信息泄密、遵從法律法規(guī)、提升工作效率、優(yōu)化帶寬資源。
1、內(nèi)容審計(jì)
外發(fā)信息審計(jì)
通過互聯(lián)網(wǎng)傳遞信息已經(jīng)成為企業(yè)的關(guān)鍵應(yīng)用,然而信息的機(jī)密性、健康性、政治性等問題也隨之而來。本方案提供全方位的審計(jì)功能,可實(shí)現(xiàn)針對IM、郵件、FTP、論壇發(fā)帖等應(yīng)用的內(nèi)容審計(jì)。
審計(jì)功能在默認(rèn)配置下關(guān)閉,需要管理員手動打開審計(jì)功能,方可實(shí)現(xiàn)全方位的審計(jì)。同時,可通過分級分權(quán)功能,收回設(shè)備管理員審計(jì)功能的權(quán)限,以徹底關(guān)閉審計(jì)功能,在這種情況,打開審計(jì)功能的權(quán)限僅超級管理員擁有。
郵件收發(fā)審計(jì)和過濾
網(wǎng)康ICG不但可以審計(jì)通過任意端口的POP3和SMTP協(xié)議收發(fā)郵件內(nèi)容,同時還可以審計(jì)通過WEB-MAIL發(fā)送郵件的內(nèi)容,實(shí)現(xiàn)對用戶郵件收發(fā)內(nèi)容的全面審計(jì)。
/ 12
2、行為管理 網(wǎng)頁過濾
Web是互聯(lián)網(wǎng)上內(nèi)容最豐富、訪問量最大的應(yīng)用,然而網(wǎng)頁內(nèi)容良莠不齊,充斥許多反動、暴力、色情以及其它不健康的信息;此外,大量網(wǎng)絡(luò)應(yīng)用,如P2P,IM,網(wǎng)絡(luò)電視、游戲等等,也借助HTTP協(xié)議或者80端口,一方面躲避防火墻的封堵,一方面攜帶病毒、惡意軟件,為內(nèi)網(wǎng)用戶帶來安全風(fēng)險(xiǎn),擠占網(wǎng)絡(luò)帶寬。網(wǎng)康ICG通過預(yù)分類過濾技術(shù)、URL自動分類引擎以及靈活的策略設(shè)置,對違反國家法律、危害企業(yè)安全的內(nèi)容進(jìn)行過濾,避免用戶有意無意訪問包含非法內(nèi)容的網(wǎng)頁,凈化網(wǎng)絡(luò),減少病毒進(jìn)入局域網(wǎng)的幾率,降低企業(yè)法律風(fēng)險(xiǎn),創(chuàng)造文明健康的上網(wǎng)環(huán)境。
? 最領(lǐng)先的中文URL分類數(shù)據(jù)庫
網(wǎng)頁內(nèi)容浩如煙海,URL數(shù)目數(shù)以千萬計(jì)。傳統(tǒng)的網(wǎng)頁過濾通過預(yù)設(shè)的關(guān)鍵字,對網(wǎng)頁內(nèi)容進(jìn)行匹配,效率很低,而且誤封率居高不下,已經(jīng)退出應(yīng)用的主流。另外一種方法是預(yù)先設(shè)置需要封堵的URL列表,對URL進(jìn)行實(shí)時的匹配過濾,這也存在很大的缺陷,由于URL數(shù)量巨大,依靠手工添加方式不可能實(shí)現(xiàn)完整的過濾,而且對URL列表的更新管理幾乎不可能。目前國際上最先進(jìn)的方式是將URL按照一定的標(biāo)準(zhǔn)進(jìn)行預(yù)分類,然后由網(wǎng)關(guān)設(shè)備對類別進(jìn)行過濾,既解決了過濾效率的問題,又保證了過濾的完整性與實(shí)效性。應(yīng)用控制
隨著技術(shù)的迅猛發(fā)展,各種互聯(lián)網(wǎng)應(yīng)用層出不窮,如即時通訊(IM)、網(wǎng)絡(luò)游戲、在線炒股以及在線音樂視頻等等。未加管理的使用,不可避免地影響員工的工作效率。在一項(xiàng)調(diào)查中,超過80%的員工在上班時間做過與工作無關(guān)的工作,其中,有60%的被調(diào)查員工承認(rèn)其主要是在玩網(wǎng)絡(luò)游戲、用QQ / MSN等即時通訊軟件聊天,以及炒股等等。這些不當(dāng)網(wǎng)絡(luò)活動大大降低了員工的工作效率,造成了企業(yè)人力資源的嚴(yán)重浪費(fèi)。同時,與工作無關(guān)的應(yīng)用,如P2P下載、在線視頻等對帶寬資源的擠占,使得關(guān)鍵業(yè)務(wù)的使用質(zhì)量無法保障,大大降低了出口鏈路的利用率,造成了企業(yè)帶寬資源的嚴(yán)重浪費(fèi)。
? 基于特征識別的覆蓋全面的應(yīng)用協(xié)議數(shù)據(jù)庫
欲控制各種網(wǎng)絡(luò)應(yīng)用,必先準(zhǔn)確識別。傳統(tǒng)安全產(chǎn)品通過IP或者端口封堵各種協(xié)議,只能局限于標(biāo)準(zhǔn)的協(xié)議,如HTTP,SMTP,且主要是在網(wǎng)絡(luò)層以及傳輸層進(jìn)行,對應(yīng)用層的內(nèi)容無能為力,而且,如果IP與端口經(jīng)過動態(tài)協(xié)商建立,比如QQ,P2P下載等,則完全不能勝任。網(wǎng)康ICG對應(yīng)用的識別是通過應(yīng)用特征與行為特征實(shí)現(xiàn)的。所謂應(yīng)用特征,是指在成序列的數(shù)據(jù)包的應(yīng)用層信息中,存在有規(guī)律的字節(jié)特征,它可以唯一地標(biāo)識某種應(yīng)用協(xié)議,8 / 12
就如同一個人無論穿什么顏色的衣服,其指紋特征不會改變,而且是唯一的。類似地,ICG可以通過特征值準(zhǔn)確地識別網(wǎng)絡(luò)應(yīng)用;而行為特征,是指連續(xù)多個包或者多個并發(fā)的網(wǎng)絡(luò)連接表現(xiàn)出來的某種行為模式具有一定規(guī)律性,通過這些行為模式可以識別特征值不明顯的應(yīng)用類型。
網(wǎng)康ICG擁有國內(nèi)最全面的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)庫,分為20余種大類,共2000多種協(xié)議。
3、帶寬管理
? 網(wǎng)絡(luò)感知
網(wǎng)康行為管理設(shè)備提供豐富的監(jiān)控界面,可以實(shí)時顯示網(wǎng)絡(luò)運(yùn)行情況,以圖標(biāo)形式顯示設(shè)備實(shí)時流速、用戶實(shí)時流速、應(yīng)用實(shí)時流速、實(shí)時審計(jì)日志等,如下圖:
? 支持靈活的流量限額手段 流量限速
流量限速功能可以基于時間、VLAN、對從源用戶(組)去往目的用戶(組)的網(wǎng)絡(luò)應(yīng)用上傳、下載流速進(jìn)行限制。每用戶帶寬上限
每用戶帶寬上限功能可以對每個用戶的帶寬進(jìn)行管理,具體分為每用戶的帶寬上限控制和通道內(nèi)每用戶的帶寬上限控制。流量限額
網(wǎng)康 ITM 還可以從流量的角度對網(wǎng)絡(luò)應(yīng)用進(jìn)行管理,通過每用戶的流量限額和通道整體的流量限額功能,為某種網(wǎng)絡(luò)應(yīng)用設(shè)定流量限額閥值,在預(yù)定的周期性時間段范圍內(nèi),限
/ 12
制此應(yīng)用的流量總額連接控制 ? 支持豐富的流量保障手段 帶寬保證
帶寬保證功能可以在帶寬資源有限而多種網(wǎng)絡(luò)應(yīng)用并存的情況下,通過為關(guān)鍵業(yè)務(wù)建立并指定帶寬通道的方式,從而避免了關(guān)鍵業(yè)務(wù)應(yīng)用與非關(guān)鍵業(yè)務(wù)應(yīng)用共同爭用帶寬,有效保障了關(guān)鍵業(yè)務(wù)應(yīng)用的正常使用。帶寬預(yù)留
在保障關(guān)鍵業(yè)務(wù)應(yīng)用時,既可以通過通道的帶寬保證來實(shí)現(xiàn),也可以通過帶寬預(yù)留來實(shí)現(xiàn)。帶寬預(yù)留可以對對進(jìn)入特定通道的某(些)關(guān)鍵業(yè)務(wù)的應(yīng)用架設(shè)“帶寬專線”,通過劃分專門的帶寬,使關(guān)鍵業(yè)務(wù)在任何時候都可以獨(dú)享該通道全部的帶寬資源,徹底避免非關(guān)鍵業(yè)務(wù)無序搶占此專線帶寬資源,從而使關(guān)鍵業(yè)務(wù)應(yīng)用的帶寬需求能獲得可靠保障。帶寬平均
根據(jù)通道里用戶數(shù)量的動態(tài)變化實(shí)時調(diào)整各用戶的帶寬分配,保證流經(jīng)通道里的所有用戶動態(tài)平均享用該通道的全部帶寬資源,實(shí)現(xiàn)帶寬資源得到高效與公平地利用。網(wǎng)康方案價值與產(chǎn)品優(yōu)勢 3.1 易用性
該方案可以支持透明橋接、網(wǎng)關(guān)、旁路鏡像、代理模式等多種部署方式,可以最大程度兼容各種網(wǎng)絡(luò)環(huán)境下的部署需求,同時最大程度地減少對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的改造需求,設(shè)備上線十分簡單,操作量小,實(shí)施快速。
修改任何設(shè)備配置無需重啟,滿足不間斷運(yùn)營的要求;采用圖形化報(bào)警方式,使得風(fēng)險(xiǎn)可快速被管理員獲得;管理采用HTTPS方式,對瀏覽器無插件依賴;系統(tǒng)健康參數(shù)一目了然,CPU,內(nèi)存,硬盤使用率,持續(xù)運(yùn)行時間一目了然;排錯簡單,一鍵bypass功能按下后,可直接定位問題是否由設(shè)備造成;各分支設(shè)備可集中管理,實(shí)現(xiàn)設(shè)備狀況統(tǒng)一監(jiān)控,策略集中下發(fā),集中回收;通過圖形化的操作方式,以及標(biāo)準(zhǔn)的配置過程模式,利用鼠標(biāo)的勾勾選選即可實(shí)現(xiàn)策略的完整配置,滿足非專業(yè)人員的快速使用。
設(shè)備版本一鍵升級,用戶只需點(diǎn)擊升級按鈕即可實(shí)現(xiàn)全版本的更新,原有配
/ 12
置與日志數(shù)據(jù)可完全保留; 整個升級過程不依賴客戶端,沒有任何需要判斷的分支步驟 ;URL數(shù)據(jù)庫與應(yīng)用協(xié)議庫保持以天為單位的快速更新。
3.2 健壯性
網(wǎng)康設(shè)備提供硬件bypass與軟件bypass雙重保護(hù),確保發(fā)生異常時網(wǎng)絡(luò)依然暢通。通過帶電模式下的智能bypass功能,當(dāng)系統(tǒng)出現(xiàn)宕機(jī)等嚴(yán)重異常時,工作接口可以自動的物理導(dǎo)通,同時管理接口還可以繼續(xù)排查設(shè)備的問題。在不影響用戶正常使用的同時,還能定位問題的來源。
網(wǎng)康科技的產(chǎn)品擁有多項(xiàng)高性能優(yōu)化專利,在同等級的硬件平臺上可以提供更強(qiáng)的處理轉(zhuǎn)發(fā)性能,從而有效的避免新添加的設(shè)備帶來的網(wǎng)絡(luò)延時,在提供上網(wǎng)行為管理功能的同時,不會影響原有線路的質(zhì)量。
網(wǎng)康科技采用了自主研發(fā)的NSOS操作系統(tǒng),并進(jìn)行了專門安全加固,可有效的防護(hù)對設(shè)備的攻擊和入侵,全面保障設(shè)備自身的安全。
網(wǎng)康科技采用了獨(dú)有的用戶交互隱身技術(shù),無論是對用戶彈出的認(rèn)證登錄框,還是行為阻塞的提示框,或者客戶端下載框都采用了設(shè)備隱身技術(shù),使得最終用戶無法獲取設(shè)備本身的地址。避免了可能的有針對性的嘗試攻擊,或者DOS攻擊。
3.3 產(chǎn)品優(yōu)勢
? 網(wǎng)康下一代防火墻 領(lǐng)先的應(yīng)用識別技術(shù)
憑借網(wǎng)康科技在應(yīng)用識別和內(nèi)容控制領(lǐng)域8年的技術(shù)積累,實(shí)現(xiàn)了對2000種以上網(wǎng)絡(luò)應(yīng)用的識別,其中包含了300多種高風(fēng)險(xiǎn)應(yīng)用,從各種維度對不同應(yīng)用做出評價。先進(jìn)的主動防御技術(shù)
基于行為分析感知僵尸主機(jī),通過多維度的數(shù)據(jù)分析和多種類型日志的智能關(guān)聯(lián)集成,實(shí)現(xiàn)應(yīng)用威脅的可視化,便于用戶提早發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的威脅,并主動調(diào)整安全策略。高性能的應(yīng)用安全防護(hù)
/ 12
采用網(wǎng)康獨(dú)有專利技術(shù)的多核加速轉(zhuǎn)發(fā)引擎,充分發(fā)揮硬件優(yōu)勢,實(shí)現(xiàn)高性能的應(yīng)用安全防護(hù)。移動識別和管理
支持超過500種移動互聯(lián)網(wǎng)應(yīng)用,覆蓋蘋果、安卓、塞班等多種移動平臺,涵蓋聊天、微博、視頻、地圖等多種主流應(yīng)用類型。? 網(wǎng)康上網(wǎng)行為管理(ICG)豐富的用戶識別類型
支持基于IP/MAC、計(jì)算機(jī)名、POP3、Proxy、LDAP、AD域、Radius、Portal進(jìn)行認(rèn)證,同時支持和多種認(rèn)證系統(tǒng)聯(lián)動,實(shí)現(xiàn)單點(diǎn)認(rèn)證。國內(nèi)最大的URL庫
擁有國內(nèi)最大且唯一擁有自主知識產(chǎn)權(quán)的、包含3000萬中文網(wǎng)頁的URL庫,每日更新,即時發(fā)現(xiàn)惡意網(wǎng)站。精確網(wǎng)頁內(nèi)容審計(jì)
可針對必要的分類進(jìn)行分類網(wǎng)頁快照留存設(shè)計(jì),滿足審計(jì)全面性的同時,不消耗過多的存儲資源。精確搜索引擎關(guān)鍵字審計(jì),可針對不用的搜索分類進(jìn)行不同關(guān)鍵字的設(shè)置,例如對圖片視頻類要控制色情類的詞語,文字網(wǎng)頁類的搜索要控制政治類的詞語。
/ 12
第二篇:企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
河 南 理 工 大 學(xué) 計(jì) 算 機(jī) 學(xué) 院
︽ 信 息
安
課 全
程 ︾
設(shè)
計(jì)
報(bào)
告
題 目 企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
學(xué) 號 310609040104
班 級 網(wǎng)絡(luò)工程06-1班
姓 名 嚴(yán)茵茵
指導(dǎo)老師 劉 琨
信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案
摘 要:在這個信息技術(shù)飛速發(fā)展的時代,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到很有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺來極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。本文主要通過安全體系建設(shè)原則、實(shí)例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實(shí)施等方面的闡述,為企業(yè)提供一個可靠地、完整的方案。
關(guān)鍵詞: 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)
一、引言
隨著國內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及,企業(yè)經(jīng)營活動的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時,對安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅,甚至處于癱瘓狀態(tài),將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟(jì)損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵,已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。
一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng),主要有WEB、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展,網(wǎng)絡(luò)體系結(jié)構(gòu)也會變得越來越復(fù)雜,應(yīng)用系統(tǒng)也會越來越多。但從整個網(wǎng)絡(luò)系統(tǒng)的管理上來看,通常包括內(nèi)部用戶,也有外部用戶,以及內(nèi)外網(wǎng)之間。因此,一般整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全事件層出不窮。近年來,計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶,每當(dāng)遭遇這些威脅時,往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊,工作效率下降,直接或間接的經(jīng)濟(jì)損失也很大。
(2)企業(yè)內(nèi)網(wǎng)的安全性:最新調(diào)查顯示,在受調(diào)查的企業(yè)中60%以上的員信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用,降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜,或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密,從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視,存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。
(3)內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全:隨著企業(yè)的發(fā)展壯大及移動辦公的普及,逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動辦公人員這樣的新型互動運(yùn)營模式。怎么處理總部與分支機(jī)構(gòu)、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。
二、以某公司為例,綜合型企業(yè)網(wǎng)絡(luò)簡圖如下,分析現(xiàn)狀并分析需求:
信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明 圖一 企業(yè)網(wǎng)絡(luò)簡圖
對該公司的信息安全系統(tǒng)無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。
(3)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。
(4)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級或重新部署。(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
三、設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。具體如下: 1.標(biāo)準(zhǔn)化原則 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)2.系統(tǒng)化原則 3.規(guī)避風(fēng)險(xiǎn)原則 4.保護(hù)投資原則 5.多重保護(hù)原則 6.分步實(shí)施原則
四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路
1.安全系統(tǒng)架構(gòu)
安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上,因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。
隨著針對應(yīng)用層的攻擊越來越多、威脅越來越大,只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN,還要設(shè)置針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施,將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣,這種主動防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護(hù)體系
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)3.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖
通過以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:
圖說明 圖三
總體安全結(jié)構(gòu)圖
五、整體網(wǎng)絡(luò)安全方案
1.網(wǎng)絡(luò)安全認(rèn)證平臺
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺,能夠通過這個安全平臺實(shí)現(xiàn)以下目標(biāo):
1)身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
2)數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
3)數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)
VPN(Virtual Private Network)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
3.網(wǎng)絡(luò)防火墻
采用防火墻系統(tǒng)實(shí)現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨(dú)的防火墻設(shè)備進(jìn)行防護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下:
圖說明 圖四 防火墻
此外在實(shí)際中可以增加入侵檢測系統(tǒng),作為防火墻的功能互補(bǔ),提供對監(jiān)控信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)網(wǎng)段的攻擊的實(shí)時報(bào)警和積極響應(yīng)等功能。4.病毒防護(hù)系統(tǒng)
應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略,增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一個專門針對網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件,通過瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng),并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理,實(shí)時掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件,并實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。5.對服務(wù)器的保護(hù)
在一個企業(yè)中對服務(wù)器的保護(hù)也是至關(guān)重要的。在這里我們選擇電子郵件為例來說明對服務(wù)器保護(hù)的重要性。
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證,整個信任關(guān)系基本是樹狀的。其次,S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡圖(透明方式): 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明
圖五
郵件系統(tǒng)保護(hù) 6.關(guān)鍵網(wǎng)段保護(hù)
企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的,應(yīng)此對外應(yīng)是保密的。所以這些網(wǎng)段我們也應(yīng)給予特別的防護(hù)。簡圖如下圖六所示。
圖說明
圖六
關(guān)鍵網(wǎng)段的防護(hù) 7.日志分析和統(tǒng)計(jì)報(bào)表能力
對網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄,這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外,報(bào)表系統(tǒng)還應(yīng)自動生成各種形式的攻擊統(tǒng)計(jì)報(bào)表,形式包括日報(bào)表,月報(bào)表,年報(bào)表等,通過來源分析,目信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)標(biāo)分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件,有助于管理人員提高網(wǎng)絡(luò)的安全管理。8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控
除對外的防護(hù)外,對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)該進(jìn)行規(guī)范,并監(jiān)控上網(wǎng)行為,過濾網(wǎng)頁訪問,過濾郵件,限制上網(wǎng)聊天行為,阻止不正當(dāng)文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識別度應(yīng)達(dá)到每一個URL請求和每一個URL請求的回應(yīng)。通過對網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為,提高工作效率,同時避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統(tǒng):
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進(jìn)行簽章,或是打開文檔時驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
則內(nèi)網(wǎng)綜合保護(hù)簡圖如下圖七所示: 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明
圖七
內(nèi)網(wǎng)綜合保護(hù) 9.移動用戶管理系統(tǒng)
對于企業(yè)內(nèi)部的筆記本電腦在外工作,當(dāng)要接入內(nèi)部網(wǎng)也應(yīng)進(jìn)行安全控制,確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。10.身份認(rèn)證的解決方案
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。
基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實(shí)施方式
由以上的分析及設(shè)計(jì),可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。具體的安全管理貫穿全信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態(tài)過程,也為本方案的實(shí)施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時,加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
七、總結(jié)
本課程設(shè)計(jì)以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。也希望通過本方信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。
本次課程設(shè)計(jì)的完成,首先應(yīng)感謝劉老師的指導(dǎo)。由于剛開始選題不恰當(dāng),所以完成的不理想,后來和劉老師交流后決定用這個項(xiàng)目來做。此外,也感謝同學(xué)的幫助。特別是在課程設(shè)計(jì)中需要繪制圖形時,給我推薦了“億圖”繪圖工具,使得本課程設(shè)計(jì)中所需的圖形都得以順利繪制出來,能較好的展示出整個設(shè)計(jì)的過程。
教師評語:
第三篇:企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)
海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院信息技術(shù)系
︽ 網(wǎng) 絡(luò)
安
課 全
程 ︾
設(shè)
計(jì)
報(bào)
告
題 目 XX網(wǎng)絡(luò)安全方案的設(shè)計(jì)
學(xué) 號 310609040104
班 級 網(wǎng)絡(luò)工程06-1班
姓 名 王某某
指導(dǎo)老師 王天明
信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案
摘 要:在這個信息技術(shù)飛速發(fā)展的時代,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到很有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺來極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。本文主要通過安全體系建設(shè)原則、實(shí)例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實(shí)施等方面的闡述,為企業(yè)提供一個可靠地、完整的方案。
關(guān)鍵詞: 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)
一、引言
隨著國內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及,企業(yè)經(jīng)營活動的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時,對安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅,甚至處于癱瘓狀態(tài),將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟(jì)損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵,已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。
一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng),主要有WEB、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展,網(wǎng)絡(luò)體系結(jié)構(gòu)也會變得越來越復(fù)雜,應(yīng)用系統(tǒng)也會越來越多。但從整個網(wǎng)絡(luò)系統(tǒng)的管理上來看,通常包括內(nèi)部用戶,也有外部用戶,以及內(nèi)外網(wǎng)之間。因此,一般整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全事件層出不窮。近年來,計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶,每當(dāng)遭遇這些威脅時,往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊,工作效率下降,直接或間接的經(jīng)濟(jì)損失也很大。
(2)企業(yè)內(nèi)網(wǎng)的安全性:最新調(diào)查顯示,在受調(diào)查的企業(yè)中60%以上的員 信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用,降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜,或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密,從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視,存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。
(3)內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全:隨著企業(yè)的發(fā)展壯大及移動辦公的普及,逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動辦公人員這樣的新型互動運(yùn)營模式。怎么處理總部與分支機(jī)構(gòu)、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。
二、以某公司為例,綜合型企業(yè)網(wǎng)絡(luò)簡圖如下,分析現(xiàn)狀并分析需求:
信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明 圖一 企業(yè)網(wǎng)絡(luò)簡圖
對該公司的信息安全系統(tǒng)無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。
(3)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。
(4)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級或重新部署。(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
三、設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。具體如下: 1.標(biāo)準(zhǔn)化原則
信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)2.系統(tǒng)化原則 3.規(guī)避風(fēng)險(xiǎn)原則 4.保護(hù)投資原則 5.多重保護(hù)原則 6.分步實(shí)施原則
四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路
1.安全系統(tǒng)架構(gòu)
安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上,因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。
隨著針對應(yīng)用層的攻擊越來越多、威脅越來越大,只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN,還要設(shè)置針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施,將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣,這種主動防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護(hù)體系
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型
信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)3.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖
通過以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:
圖說明 圖三
總體安全結(jié)構(gòu)圖
五、整體網(wǎng)絡(luò)安全方案
1.網(wǎng)絡(luò)安全認(rèn)證平臺
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺,能夠通過這個安全平臺實(shí)現(xiàn)以下目標(biāo):
1)身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。
信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)
2)數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
3)數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)
VPN(Virtual Private Network)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
3.網(wǎng)絡(luò)防火墻
采用防火墻系統(tǒng)實(shí)現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨(dú)的防火墻設(shè)備進(jìn)行防護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下:
圖說明 圖四 防火墻
此外在實(shí)際中可以增加入侵檢測系統(tǒng),作為防火墻的功能互補(bǔ),提供對監(jiān)控 信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)網(wǎng)段的攻擊的實(shí)時報(bào)警和積極響應(yīng)等功能。4.病毒防護(hù)系統(tǒng)
應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略,增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一個專門針對網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件,通過瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng),并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理,實(shí)時掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件,并實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。5.對服務(wù)器的保護(hù)
在一個企業(yè)中對服務(wù)器的保護(hù)也是至關(guān)重要的。在這里我們選擇電子郵件為例來說明對服務(wù)器保護(hù)的重要性。
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證,整個信任關(guān)系基本是樹狀的。其次,S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡圖(透明方式):
信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明
圖五
郵件系統(tǒng)保護(hù) 6.關(guān)鍵網(wǎng)段保護(hù)
企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的,應(yīng)此對外應(yīng)是保密的。所以這些網(wǎng)段我們也應(yīng)給予特別的防護(hù)。簡圖如下圖六所示。
圖說明
圖六
關(guān)鍵網(wǎng)段的防護(hù) 7.日志分析和統(tǒng)計(jì)報(bào)表能力
對網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄,這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外,報(bào)表系統(tǒng)還應(yīng)自動生成各種形式的攻擊統(tǒng)計(jì)報(bào)表,形式包括日報(bào)表,月報(bào)表,年報(bào)表等,通過來源分析,目 信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)標(biāo)分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件,有助于管理人員提高網(wǎng)絡(luò)的安全管理。8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控
除對外的防護(hù)外,對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)該進(jìn)行規(guī)范,并監(jiān)控上網(wǎng)行為,過濾網(wǎng)頁訪問,過濾郵件,限制上網(wǎng)聊天行為,阻止不正當(dāng)文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識別度應(yīng)達(dá)到每一個URL請求和每一個URL請求的回應(yīng)。通過對網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為,提高工作效率,同時避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統(tǒng):
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進(jìn)行簽章,或是打開文檔時驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
則內(nèi)網(wǎng)綜合保護(hù)簡圖如下圖七所示:
信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明
圖七
內(nèi)網(wǎng)綜合保護(hù) 9.移動用戶管理系統(tǒng)
對于企業(yè)內(nèi)部的筆記本電腦在外工作,當(dāng)要接入內(nèi)部網(wǎng)也應(yīng)進(jìn)行安全控制,確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。10.身份認(rèn)證的解決方案
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。
基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實(shí)施方式
由以上的分析及設(shè)計(jì),可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。具體的安全管理貫穿全 信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態(tài)過程,也為本方案的實(shí)施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時,加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
七、總結(jié)
本課程設(shè)計(jì)以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。也希望通過本方 信息安全課程設(shè)計(jì)
xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。
本次課程設(shè)計(jì)的完成,首先應(yīng)感謝劉老師的指導(dǎo)。由于剛開始選題不恰當(dāng),所以完成的不理想,后來和劉老師交流后決定用這個項(xiàng)目來做。此外,也感謝同學(xué)的幫助。特別是在課程設(shè)計(jì)中需要繪制圖形時,給我推薦了“億圖”繪圖工具,使得本課程設(shè)計(jì)中所需的圖形都得以順利繪制出來,能較好的展示出整個設(shè)計(jì)的過程。
教師評語:
第四篇:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)
信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)
摘 要:在這個信息技術(shù)飛速發(fā)展的時代,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到很有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺來極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。本文主要通過安全體系建設(shè)原則、實(shí)例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實(shí)施等方面的闡述,為企業(yè)提供一個可靠地、完整的方案。
關(guān)鍵詞: 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)
一、引言
隨著國內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及,企業(yè)經(jīng)營活動的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時,對安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅,甚至處于癱瘓狀態(tài),將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟(jì)損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵,已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。
一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng),主要有WEB、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展,網(wǎng)絡(luò)體系結(jié)構(gòu)也會變得越來越復(fù)雜,應(yīng)用系統(tǒng)也會越來越多。但從整個網(wǎng)絡(luò)系統(tǒng)的管理上來看,通常包括內(nèi)部用戶,也有外部用戶,以及內(nèi)外網(wǎng)之間。因此,一般整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全事件層出不窮。近年來,計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶,每當(dāng)遭遇這些威脅時,往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊,工作效率下降,直接或間接的經(jīng)濟(jì)損失也很大。
(2)企業(yè)內(nèi)網(wǎng)的安全性:最新調(diào)查顯示,在受調(diào)查的企業(yè)中60%以上的員信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用,降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜,或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密,從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視,存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。
(3)內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全:隨著企業(yè)的發(fā)展壯大及移動辦公的普及,逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動辦公人員這樣的新型互動運(yùn)營模式。怎么處理總部與分支機(jī)構(gòu)、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。
二、以某公司為例,綜合型企業(yè)網(wǎng)絡(luò)簡圖如下,分析現(xiàn)狀并分析需求:
信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明 圖一 企業(yè)網(wǎng)絡(luò)簡圖
對該公司的信息安全系統(tǒng)無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。
(3)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。
(4)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級或重新部署。(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
三、設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。具體如下: 1.標(biāo)準(zhǔn)化原則 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)2.系統(tǒng)化原則 3.規(guī)避風(fēng)險(xiǎn)原則 4.保護(hù)投資原則 5.多重保護(hù)原則 6.分步實(shí)施原則
四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路
1.安全系統(tǒng)架構(gòu)
安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上,因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。
隨著針對應(yīng)用層的攻擊越來越多、威脅越來越大,只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN,還要設(shè)置針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施,將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣,這種主動防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護(hù)體系
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)3.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖
通過以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:
圖說明 圖三
總體安全結(jié)構(gòu)圖
五、整體網(wǎng)絡(luò)安全方案
1.網(wǎng)絡(luò)安全認(rèn)證平臺
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺,能夠通過這個安全平臺實(shí)現(xiàn)以下目標(biāo):
1)身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
2)數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
3)數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)
VPN(Virtual Private Network)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
3.網(wǎng)絡(luò)防火墻
采用防火墻系統(tǒng)實(shí)現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨(dú)的防火墻設(shè)備進(jìn)行防護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下:
圖說明 圖四 防火墻
此外在實(shí)際中可以增加入侵檢測系統(tǒng),作為防火墻的功能互補(bǔ),提供對監(jiān)控信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)網(wǎng)段的攻擊的實(shí)時報(bào)警和積極響應(yīng)等功能。4.病毒防護(hù)系統(tǒng)
應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略,增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一個專門針對網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件,通過瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng),并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理,實(shí)時掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件,并實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。5.對服務(wù)器的保護(hù)
在一個企業(yè)中對服務(wù)器的保護(hù)也是至關(guān)重要的。在這里我們選擇電子郵件為例來說明對服務(wù)器保護(hù)的重要性。
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證,整個信任關(guān)系基本是樹狀的。其次,S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡圖(透明方式): 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明
圖五
郵件系統(tǒng)保護(hù) 6.關(guān)鍵網(wǎng)段保護(hù)
企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的,應(yīng)此對外應(yīng)是保密的。所以這些網(wǎng)段我們也應(yīng)給予特別的防護(hù)。簡圖如下圖六所示。
圖說明
圖六
關(guān)鍵網(wǎng)段的防護(hù) 7.日志分析和統(tǒng)計(jì)報(bào)表能力
對網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄,這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外,報(bào)表系統(tǒng)還應(yīng)自動生成各種形式的攻擊統(tǒng)計(jì)報(bào)表,形式包括日報(bào)表,月報(bào)表,年報(bào)表等,通過來源分析,目信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)標(biāo)分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件,有助于管理人員提高網(wǎng)絡(luò)的安全管理。8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控
除對外的防護(hù)外,對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)該進(jìn)行規(guī)范,并監(jiān)控上網(wǎng)行為,過濾網(wǎng)頁訪問,過濾郵件,限制上網(wǎng)聊天行為,阻止不正當(dāng)文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識別度應(yīng)達(dá)到每一個URL請求和每一個URL請求的回應(yīng)。通過對網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為,提高工作效率,同時避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統(tǒng):
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進(jìn)行簽章,或是打開文檔時驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
則內(nèi)網(wǎng)綜合保護(hù)簡圖如下圖七所示: 信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
圖說明
圖七
內(nèi)網(wǎng)綜合保護(hù) 9.移動用戶管理系統(tǒng)
對于企業(yè)內(nèi)部的筆記本電腦在外工作,當(dāng)要接入內(nèi)部網(wǎng)也應(yīng)進(jìn)行安全控制,確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。10.身份認(rèn)證的解決方案
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。
基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實(shí)施方式
由以上的分析及設(shè)計(jì),可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。具體的安全管理貫穿全信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態(tài)過程,也為本方案的實(shí)施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時,加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
七、總結(jié)
本設(shè)計(jì)以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。也希望通過本方案的信息安全課程設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。
第五篇:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)---
海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院信息技術(shù)系
︽ 網(wǎng) 絡(luò)
安
案 全
例 ︾
設(shè)
計(jì)
報(bào)
告
題 目 企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)
學(xué) 號 1***
班 級 11級網(wǎng)絡(luò)1 班
姓 名 XXX
指導(dǎo)老師 XXX
要解決的幾個關(guān)鍵問題
目錄
摘 要:.......................................................................................................2
一、引言....................................................................................................2
二、以某公司為例,綜合型企業(yè)網(wǎng)絡(luò)簡圖如下,分析現(xiàn)狀并分析需求:.....................................................................................................................3
三、設(shè)計(jì)原則............................................................................................4
四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路........................................................5
(一)安全系統(tǒng)架構(gòu)..........................................................................5
(二)安全防護(hù)體系..........................................................................5
(三)企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖..............................................................6
五、整體網(wǎng)絡(luò)安全方案............................................................................7
(一)網(wǎng)絡(luò)安全認(rèn)證平臺..................................................................7
(二)VPN系統(tǒng)................................................................................7
(三)網(wǎng)絡(luò)防火墻..............................................................................8
(四)病毒防護(hù)系統(tǒng)..........................................................................8
(五)對服務(wù)器的保護(hù)......................................................................9
(六)日志分析和統(tǒng)計(jì)報(bào)表能力....................................................10
(七)內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控..............................................11
(八)身份認(rèn)證的解決方案............................................................12
六、方案的組織與實(shí)施方式..................................................................12
七、總結(jié)..................................................................................................13 教師評語:..............................................................................................14
要解決的幾個關(guān)鍵問題
設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案
摘 要:
隨著互聯(lián)網(wǎng)的不斷更新與發(fā)展,它給我們帶來了極大的利益和方便。但是,隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的普及,使我們面臨另外提個困境:私人數(shù)據(jù)、重要的企業(yè)資源以及政府機(jī)密等信息被暴露在公共網(wǎng)絡(luò)空間之下,伴隨而來的網(wǎng)絡(luò)安全問題越來越引起人們的關(guān)注。計(jì)算機(jī)系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟(jì)損失,并嚴(yán)重影響正常工作的順利開展。加強(qiáng)企業(yè)網(wǎng)絡(luò)安全工作,是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。
關(guān)鍵詞: 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)
一、引言
隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的不斷普及,企業(yè)的重要數(shù)據(jù)信息都被暴露在公共網(wǎng)絡(luò)空間下,很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當(dāng)?shù)龋加锌赡芡{到重要信息數(shù)據(jù),這些危害也越來越受到人們的重視。因此,根據(jù)企業(yè)的實(shí)際情況建立一套切實(shí)可行的安全網(wǎng)絡(luò)方案來改善這個情況,如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵,使企業(yè)的數(shù)據(jù)機(jī)密信息得以保護(hù),并且可以保證企業(yè)的網(wǎng)絡(luò)順暢的工作,有助于公司的長遠(yuǎn)發(fā)展。
網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進(jìn)行介入控制,以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段,主要包括物理的安全分析技術(shù),網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù),系統(tǒng)安全分析技術(shù),管理安全分析技術(shù),以及其他的安全服務(wù)和安全機(jī)制策略。
21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會,網(wǎng)絡(luò)社會的時候,我國將建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。
網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn):第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多 2
要解決的幾個關(guān)鍵問題
樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會各方面的延伸,進(jìn)入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。
信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應(yīng)該看到它對我國未來電子 化、信息化的發(fā)展將起到非常重要的作用。
二、以某公司為例,綜合型企業(yè)網(wǎng)絡(luò)簡圖如下,分析現(xiàn)狀并分析需求:
圖說明 圖一 企業(yè)網(wǎng)絡(luò)簡圖
要解決的幾個關(guān)鍵問題
(一)對該公司的信息安全系統(tǒng)無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。
(3)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。
(4)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
(二)由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級或重新部署。(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
三、設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。具體如下: 1.技術(shù)先進(jìn)性原則 2.系統(tǒng)性原則
要解決的幾個關(guān)鍵問題
3.管理可控性原則 4.技術(shù)與管理相結(jié)合原則 5.多重保護(hù)原則 6.系統(tǒng)可伸縮性原則 7.測評認(rèn)證原則
四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路
(一)安全系統(tǒng)架構(gòu)
一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面,包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等,而一個安全系統(tǒng)的安全等級,又是按照木桶原理來實(shí)現(xiàn)的。根據(jù)企業(yè)各級內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn),安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上,因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。
隨著針對應(yīng)用層的攻擊越來越多、威脅越來越大,只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN,還要設(shè)置針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施,將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣,這種主動防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。
(二)安全防護(hù)體系
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終。如圖二所示:
要解決的幾個關(guān)鍵問題
圖說明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型
(三)企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖
通過以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:
圖說明 圖三
總體安全結(jié)構(gòu)圖
要解決的幾個關(guān)鍵問題
五、整體網(wǎng)絡(luò)安全方案
(一)網(wǎng)絡(luò)安全認(rèn)證平臺
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺,能夠通過這個安全平臺實(shí)現(xiàn)以下目標(biāo):
1.身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。
2.數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
3.數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。
4.不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
(二)VPN系統(tǒng)一個完全私有的網(wǎng)絡(luò)可以解決許多安全問題,因?yàn)楹芏鄲阂夤粽吒緹o法進(jìn)入網(wǎng)絡(luò)實(shí)施攻擊。但是,對于一個普通的地理覆蓋范圍廣的企業(yè)或公司,要搭建物理上私有的網(wǎng)絡(luò),往往在財(cái)政預(yù)算上是不合理的。VPN技術(shù)就是為了解決這樣一種安全需求的技術(shù)。
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義,虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設(shè)線路的費(fèi)用,也不用購買路由器等硬件設(shè)備。
要解決的幾個關(guān)鍵問題
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
(三)網(wǎng)絡(luò)防火墻
采用防火墻系統(tǒng)實(shí)現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下:
圖說明 圖四 防火墻
安裝好專業(yè)切功能強(qiáng)勁的防火墻,來有效防御外來黑客病毒等方面的攻擊。在兩個網(wǎng)絡(luò)之間加強(qiáng)訪問控制的一整套裝置,是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全防范系統(tǒng)通常安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的鏈接點(diǎn)上。所有來自internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過防火墻。
入侵行為的發(fā)覺。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息,并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。行進(jìn)入侵檢測的軟件與硬件的組合便是入侵監(jiān)測系統(tǒng)。與其他安全產(chǎn)品不同的是,入侵檢測系統(tǒng)需要更多的智能,它必須可以將得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大簡化管理員的工作,保證網(wǎng)絡(luò)安全的運(yùn)行。
(四)病毒防護(hù)系統(tǒng)
基于單位目前網(wǎng)絡(luò)的現(xiàn)狀,在網(wǎng)絡(luò)中添加一臺服務(wù)器,用于安裝IMSS。
要解決的幾個關(guān)鍵問題
1.郵件防毒。采用趨勢科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件,實(shí)時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作,并提供實(shí)時監(jiān)控病毒流量的活動記錄報(bào)告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
2.服務(wù)器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響,另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署,管理和更新。
3.客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng),使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊,并可以自動對所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
4.集中控管TVCS。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢科技的防病毒軟件,支持跨域和跨網(wǎng)段的管理,并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無論運(yùn)行于何種平臺和位置,TVCS在整個網(wǎng)絡(luò)中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)代理部署,網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動下載病毒代碼文件和病毒爆發(fā)警報(bào),給管理帶來極大的便利。
(五)對服務(wù)器的保護(hù)
服務(wù)器的安全對企業(yè)來說是至關(guān)重要的,近幾年來,服務(wù)器遭遇“黑手”的風(fēng)險(xiǎn)越來越大,就最近服務(wù)器遭遇病毒、黑客攻擊的新聞不絕于耳。首先,這些惡意的攻擊行為,旨在消耗服務(wù)器資源,影響服務(wù)器的正常運(yùn)作,甚至攻擊到服務(wù)器所在網(wǎng)絡(luò)癱瘓。還有一方面,就是入侵行為,這種大多與某些利益有關(guān)聯(lián),有的涉及到企業(yè)的敏感信息,有的是同行相煎。
目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次 9
要解決的幾個關(guān)鍵問題
結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證,整個信任關(guān)系基本是樹狀的。其次,S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡圖(透明方式):
圖說明
圖五
郵件系統(tǒng)保護(hù)
(六)日志分析和統(tǒng)計(jì)報(bào)表能力
所有的網(wǎng)站統(tǒng)計(jì)報(bào)告都是相同的么?日志分析與實(shí)時統(tǒng)計(jì)分析工具報(bào)告和追蹤網(wǎng)站的活動都有著很大的區(qū)別。因?yàn)樗麄兪占煌男畔ⅲ蕴峁┑膱?bào)告也許并不一致。實(shí)時統(tǒng)計(jì)工具的優(yōu)勢在于跟蹤訪問者行為和精確的頁面瀏覽量統(tǒng)計(jì)。
如果很清楚的理解這些工具是怎樣進(jìn)行統(tǒng)計(jì)的,您將能更好的理解兩種報(bào)告的差異,并協(xié)調(diào)使用不同的數(shù)據(jù),從而幫助您在營銷和市場活動中做出更有效的決定。
對網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄,這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外,報(bào)表系統(tǒng)還應(yīng)自動生成各種 10
要解決的幾個關(guān)鍵問題
形式的攻擊統(tǒng)計(jì)報(bào)表,形式包括日報(bào)表,月報(bào)表,年報(bào)表等,通過來源分析,目標(biāo)分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件,有助于管理人員提高網(wǎng)絡(luò)的安全管理。
(七)內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控
內(nèi)部網(wǎng)絡(luò)行為監(jiān)管審計(jì)系統(tǒng)是在網(wǎng)絡(luò)整體安全解決方案的基礎(chǔ)上,綜合了黨政機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)的安全需求,采取多層架構(gòu)、分布式設(shè)計(jì),可滿足黨政機(jī)關(guān)以及企事業(yè)單位對保障數(shù)據(jù)、信息的安全性及完整性的迫切要求。對內(nèi)部網(wǎng)絡(luò)行為的管理監(jiān)控結(jié)果有效,審計(jì)結(jié)果取證完整、記錄可信。以下是幾種系統(tǒng):
1.監(jiān)控中心控制臺
運(yùn)行在Windows2000各種版本/Windows XP下,對系統(tǒng)安全策略進(jìn)行統(tǒng)一管理與發(fā)布,對系統(tǒng)的安全設(shè)備及配置進(jìn)行統(tǒng)一管理,對系統(tǒng)的日志進(jìn)行審計(jì)、分析、報(bào)告,對安全事件進(jìn)行應(yīng)急響應(yīng)和處理,可隨機(jī)抽查網(wǎng)絡(luò)內(nèi)受控主機(jī)的屏幕信息并可記錄和回放。2.身份認(rèn)證識別服務(wù)器
運(yùn)行在Windows2000 Server版本下,采用一次一變的動態(tài)口令,有效的解決了一般靜態(tài)口令易截取、易竊聽、易猜測等安全隱患,用于內(nèi)部網(wǎng)使用人員的身份管理和網(wǎng)絡(luò)安全管理員身份的認(rèn)證控制。3.受控主機(jī)代理
運(yùn)行在Windows2000各種版本/Windows XP下,根據(jù)監(jiān)控中心控制臺設(shè)置的策略規(guī)則(包括登錄策略、文件策略、一機(jī)兩用策略、屏幕監(jiān)控策略、輸入輸出策略等),實(shí)時進(jìn)行信息采集,阻止違規(guī)操作,將違規(guī)操作報(bào)警到控制臺。4.郵件監(jiān)控器代理
運(yùn)行在Windows2000各種版本下,安裝在郵件服務(wù)器中,根據(jù)監(jiān)控中心控制臺設(shè)置的郵件策略規(guī)則,根據(jù)時間段、計(jì)算機(jī)的IP地址、Email地址進(jìn)行阻止、報(bào)警,將違規(guī)操作報(bào)警到控制臺。5.網(wǎng)絡(luò)感應(yīng)器代理
運(yùn)行在Windows2000各種版本/Windows XP下,采集網(wǎng)絡(luò)中的信息流量,根據(jù)控制臺的要求,將采集的網(wǎng)絡(luò)信息流量上傳到控制臺,進(jìn)行審計(jì)統(tǒng)計(jì)。并可實(shí)時檢測出網(wǎng)絡(luò)內(nèi)非法接入的其它設(shè)備。
要解決的幾個關(guān)鍵問題
則內(nèi)網(wǎng)綜合保護(hù)簡圖如下圖七所示:
圖說明
圖七
內(nèi)網(wǎng)綜合保護(hù)
(八)身份認(rèn)證的解決方案
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。
基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實(shí)施方式
由以上的分析及設(shè)計(jì),可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。具體的安全管理貫穿全 12
要解決的幾個關(guān)鍵問題
流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態(tài)過程,也為本方案的實(shí)施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時,加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
七、總結(jié)
本課程設(shè)計(jì)以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,重點(diǎn)提出了管理技術(shù)和維護(hù)技術(shù)。隨著現(xiàn)在的發(fā)展,網(wǎng)絡(luò)的不安全因素很多,網(wǎng)絡(luò)管理和維護(hù)尤其重要,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個方面,從
要解決的幾個關(guān)鍵問題
技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。也希望通過本方案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。
教師評語:
點(diǎn)擊咨詢 