旭日信息安全整體規(guī)劃OK.doc

ABC數(shù)據(jù)信息安全整體規(guī)劃旭日信息安全系統(tǒng)整體規(guī)劃2011年03月第一章 環(huán)境及需求1.1 環(huán)境現(xiàn)狀描述旭日目前的應(yīng)用環(huán)境為：1臺(tái)域控服務(wù)器和Exchange集成、1臺(tái)文件服務(wù)器。域控系統(tǒng)為windows server 2003。文件服務(wù)器為windows server 2008.1.2 安全分析內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個(gè)主要組成部分，其安全性也受到越來(lái)越多的重視。要提高內(nèi)網(wǎng)的安全，就要做到，采用安全交換機(jī)由于內(nèi)網(wǎng)的信息傳輸采用廣播技術(shù)，數(shù)據(jù)包在廣播域中很容易受到監(jiān)聽(tīng)和截獲，因此需要使用安全交換機(jī)，利用網(wǎng)絡(luò)分段及VLAN的方法從物理上或邏輯上隔離網(wǎng)絡(luò)資源，以加強(qiáng)內(nèi)網(wǎng)的安全性。操作系統(tǒng)的安全從終端用戶(hù)的程序到服務(wù)器應(yīng)用服務(wù)、以及網(wǎng)絡(luò)安全的很多技術(shù)，都是運(yùn)行在操作系統(tǒng)上的，因此，保證操作系統(tǒng)的安全是整個(gè)安全系統(tǒng)的根本。除了不斷增加安全補(bǔ)丁之外，還需要建立一套對(duì)系統(tǒng)的監(jiān)控系統(tǒng)，并建立和實(shí)施有效的用戶(hù)口令和訪問(wèn)控制等制度。對(duì)重要資料進(jìn)行備份在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對(duì)用戶(hù)的重要性越來(lái)越大，實(shí)際上引起電腦數(shù)據(jù)流失或被損壞、篡改的因素已經(jīng)遠(yuǎn)超出了可知的病毒或惡意的攻擊，用戶(hù)的一次錯(cuò)誤操作，系統(tǒng)的一次意外斷電以及其他一些更有針對(duì)性的災(zāi)難可能對(duì)用戶(hù)造成的損失比直接的病毒和黑客攻擊還要大。為了維護(hù)企業(yè)內(nèi)網(wǎng)的安全，必須對(duì)重要資料進(jìn)行備份，以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰，進(jìn)而蒙受重大損失。對(duì)數(shù)據(jù)的保護(hù)來(lái)說(shuō)，選擇功能完善、使用靈活的備份軟件是必不可少的。目前應(yīng)用中的備份軟件是比較多的，配合各種災(zāi)難恢復(fù)軟件，可以較為全面地保護(hù)數(shù)據(jù)的安全。使用代理網(wǎng)關(guān)使用代理網(wǎng)關(guān)的好處在于，網(wǎng)絡(luò)數(shù)據(jù)包的交換不會(huì)直接在內(nèi)外網(wǎng)絡(luò)之間進(jìn)行。內(nèi)部計(jì)算機(jī)必須通過(guò)代理網(wǎng)關(guān)，進(jìn)而才能訪問(wèn)到Internet ，這樣操作者便可以比較方便地在代理服務(wù)器上對(duì)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)訪問(wèn)外部網(wǎng)絡(luò)進(jìn)行限制。在代理服務(wù)器兩端采用不同協(xié)議標(biāo)準(zhǔn)，也可以阻止外界非法訪問(wèn)的入侵。還有，代理服務(wù)的網(wǎng)關(guān)可對(duì)數(shù)據(jù)封包進(jìn)行驗(yàn)證和對(duì)密碼進(jìn)行確認(rèn)等安全管制。設(shè)置防火墻防火墻的選擇應(yīng)該適當(dāng)，對(duì)于幾乎所有的路由器產(chǎn)品而言，都可以通過(guò)內(nèi)置的防火墻防范部分的攻擊，而硬件防火墻的應(yīng)用，可以使安全性得到進(jìn)一步加強(qiáng)。信息保密防范為了保障網(wǎng)絡(luò)的安全，也可以利用網(wǎng)絡(luò)操作系統(tǒng)所提供的保密措施。以Windows為例，進(jìn)行用戶(hù)名登錄注冊(cè)，設(shè)置登錄密碼，設(shè)置目錄和文件訪問(wèn)權(quán)限和密碼，以控制用戶(hù)只能操作什么樣的目錄和文件，或設(shè)置用戶(hù)級(jí)訪問(wèn)控制，以及通過(guò)主機(jī)訪問(wèn)Internet等。同時(shí)，可以加強(qiáng)對(duì)數(shù)據(jù)庫(kù)信息的保密防護(hù)。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫(kù)兩種。由于文件組織形式的數(shù)據(jù)缺乏共享性，數(shù)據(jù)庫(kù)現(xiàn)已成為網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的主要形式。由于操作系統(tǒng)對(duì)數(shù)據(jù)庫(kù)沒(méi)有特殊的保密措施，而數(shù)據(jù)庫(kù)的數(shù)據(jù)以可讀的形式存儲(chǔ)其中，所以數(shù)據(jù)庫(kù)的保密也要采取相應(yīng)的方法。電子郵件是企業(yè)傳遞信息的主要途徑，電子郵件的傳遞應(yīng)行加密處理。針對(duì)計(jì)算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)部件的泄密渠道，如電磁泄露、非法終端、搭線竊取、介質(zhì)的剩磁效應(yīng)等，也可以采取相應(yīng)的保密措施。從攻擊角度入手目前，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅有很大一部分來(lái)自拒絕服務(wù)(DoS)攻擊和計(jì)算機(jī)病毒攻擊。為了保護(hù)網(wǎng)絡(luò)安全，也可以從這幾個(gè)方面進(jìn)行。對(duì)付“拒絕服務(wù)”攻擊有效的方法，是只允許跟整個(gè)Web站臺(tái)有關(guān)的網(wǎng)絡(luò)流量進(jìn)入，就可以預(yù)防此類(lèi)的黑客攻擊，尤其對(duì)于ICMP封包，包括ping指令等，應(yīng)當(dāng)進(jìn)行阻絕處理。通過(guò)安裝非法入侵偵測(cè)系統(tǒng)，可以提升防火墻的性能，達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即攔截動(dòng)作以及分析過(guò)濾封包和內(nèi)容的動(dòng)作，當(dāng)竊取者入侵時(shí)可以立刻有效終止服務(wù)，以便有效地預(yù)防企業(yè)機(jī)密信息被竊取。同時(shí)應(yīng)限制非法用戶(hù)對(duì)網(wǎng)絡(luò)的訪問(wèn)，規(guī)定具有IP地址的工作站對(duì)本地網(wǎng)絡(luò)設(shè)備的訪問(wèn)權(quán)限，以防止從外界對(duì)網(wǎng)絡(luò)設(shè)備配置的非法修改。防范計(jì)算機(jī)病毒從病毒發(fā)展趨勢(shì)來(lái)看，現(xiàn)在的病毒已經(jīng)由單一傳播、單種行為，變成依賴(lài)互聯(lián)網(wǎng)傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計(jì)算機(jī)病毒更多的呈現(xiàn)出如下的特點(diǎn)：與Internet和Intranet更加緊密地結(jié)合，利用一切可以利用的方式(如郵件、局域網(wǎng)、遠(yuǎn)程管理、即時(shí)通信工具等)進(jìn)行傳播;所有的病毒都具有混合型特征，集文件傳染、蠕蟲(chóng)、木馬、黑客程序的特點(diǎn)于一身，破壞性大大增強(qiáng);因?yàn)槠鋽U(kuò)散極快，不再追求隱藏性，而更加注重欺騙性;利用系統(tǒng)漏洞將成為病毒有力的傳播方式。安全不應(yīng)再僅僅停留于“堵”、“殺”或者“防”，應(yīng)該以動(dòng)態(tài)的方式積極主動(dòng)應(yīng)用來(lái)自安全的挑戰(zhàn)，因而健全的內(nèi)網(wǎng)安全管理制度及措施是保障內(nèi)網(wǎng)安全必不可少的措施。第二章 整體解決方案規(guī)劃2.1 整體規(guī)劃拓?fù)浣Y(jié)構(gòu)圖2.2 整體解決方案概述1、設(shè)計(jì)原則1.安全性和可靠性 整個(gè)系統(tǒng)必須具有高度的安全性、可靠性和穩(wěn)定性；2.成熟性和先進(jìn)性 應(yīng)采用被實(shí)踐證明為技術(shù)成熟且領(lǐng)先的技術(shù)設(shè)備，最大限度地滿(mǎn)足現(xiàn)在業(yè)務(wù)和未來(lái)發(fā)展的需求；3.開(kāi)放性和可擴(kuò)展性 考慮未來(lái)發(fā)展的需要，使系統(tǒng)與未來(lái)擴(kuò)展的設(shè)備具有互聯(lián)性和互操作性，便于升級(jí)、換代、使整個(gè)系統(tǒng)可以隨著科學(xué)技術(shù)的發(fā)展與進(jìn)步，不斷得到充實(shí)、完善、改進(jìn)和提高。2、設(shè)計(jì)目標(biāo)為旭日辦公網(wǎng)絡(luò)提供了一個(gè)穩(wěn)定、可靠、安全、有效的工作平臺(tái)。3、方案分析1.域管理環(huán)境，并做好輔助域。從終端做到數(shù)據(jù)安全。域環(huán)境優(yōu)點(diǎn)：（1）權(quán)限管理比較集中，管理成本大大下降。 （2）域環(huán)境，所有網(wǎng)絡(luò)資源，包括用戶(hù)，均是在域控制器上維護(hù)，便于集中管理。所有用戶(hù)只要登入到域，在域內(nèi)均能進(jìn)行身份驗(yàn)證，管理人員可以較好的管理計(jì)算機(jī)資源，管理網(wǎng)絡(luò)的成本大大降低。（3）防止公司員工在客戶(hù)端亂裝軟件, 能夠增強(qiáng)客戶(hù)端安全性、減少客戶(hù)端故障，降低維護(hù)成本。（4）安全性加強(qiáng)。（5）方便用戶(hù)使用各種資源。2.ISA 2006企業(yè)版代理上網(wǎng)，多臺(tái)服務(wù)器負(fù)載均衡，減少服務(wù)器故障。(1)、對(duì)正在發(fā)生的網(wǎng)絡(luò)通信和過(guò)去10分鐘內(nèi)的網(wǎng)絡(luò)訪問(wèn)進(jìn)行監(jiān)視。(2)、能夠統(tǒng)計(jì)一定時(shí)期內(nèi)部門(mén)和個(gè)人的互聯(lián)網(wǎng)訪問(wèn)請(qǐng)求量、數(shù)據(jù)流量和訪問(wèn)時(shí)間。(3)、融合AD域管理功能，用戶(hù)可以從AD域服務(wù)器直接提取SAM Account帳號(hào)、OU和Group部門(mén)數(shù)據(jù)，在AD樹(shù)上定義部門(mén)以及部門(mén)用戶(hù)。 (4)、能夠分析部門(mén)、用戶(hù)、用戶(hù)IP、網(wǎng)站、網(wǎng)站IP、網(wǎng)絡(luò)文件、文件類(lèi)別、查詢(xún)串、網(wǎng)站端口、HTTP狀態(tài)碼、ISA緩存信息、日期、星期、時(shí)間段等多達(dá)25個(gè)分析方面的5項(xiàng)上網(wǎng)數(shù)據(jù)指標(biāo)（訪問(wèn)請(qǐng)求、發(fā)出流量、接收流量、通信時(shí)間、瀏覽時(shí)間）及其百分比；能夠深入挖掘活躍用戶(hù)訪問(wèn)過(guò)的活