




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
1、大型網(wǎng)絡(luò)安全解決方案第一章 總則 本方案為某大型局域網(wǎng)網(wǎng)絡(luò)安全解決方案,包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計等。本安全解決方案的目標(biāo)是在不影響某大型企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下,實現(xiàn)對他們局域網(wǎng)全面的安全管理。 1.將安全策略、硬件及軟件等方法結(jié)合起來,構(gòu)成一個統(tǒng)一的防御系統(tǒng),有效阻止非法用戶進入網(wǎng)絡(luò),減少網(wǎng)絡(luò)的安全風(fēng)險。 2.定期進行漏洞掃描,審計跟蹤,及時發(fā)現(xiàn)問題,解決問題。 3.通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控,提供快速響應(yīng)故障的手段,同時具備很好的安全取證措施。 4.使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用;使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài),最大限
2、度地減少損失。 5.在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件,由中央控制臺統(tǒng)一控制和管理,實現(xiàn)全網(wǎng)統(tǒng)一防病毒。 第二章 網(wǎng)絡(luò)系統(tǒng)概況 2.1 網(wǎng)絡(luò)概況 這個企業(yè)的局域網(wǎng)是一個信息點較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng),它所聯(lián)接的現(xiàn)有上千個信息點為在整個企業(yè)內(nèi)辦公的各部門提供了一個快速、方便的信息交流平臺。不僅如此,通過專線與Internet的連接,打通了一扇通向外部世界的窗戶,各個部門可以直接與互聯(lián)網(wǎng)用戶進行交流、查詢資料等。通過公開服務(wù)器,企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計為用戶提供快速、方便、靈活通信平臺的同時,也為網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險。因此,在
3、原有網(wǎng)絡(luò)上實施一套完整、可操作的安全解決方案不僅是可行的,而且是必需的。 2.1.1 網(wǎng)絡(luò)概述 這個企業(yè)的局域網(wǎng),物理跨度不大,通過千兆交換機在主干網(wǎng)絡(luò)上提供1000M的獨享帶寬,通過下級交換機與各部門的工作站和服務(wù)器連結(jié),并為之提供100M的獨享帶寬。利用與中心交換機連結(jié)的Cisco 路由器,所有用戶可直接訪問Internet。 2.1.2 網(wǎng)絡(luò)結(jié)構(gòu) 這個企業(yè)的局域網(wǎng)按訪問區(qū)域可以劃分為三個主要的區(qū)域:Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、安全重要程度分為許多子網(wǎng),包括:財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、市場部子網(wǎng)、中心服務(wù)器子網(wǎng)等。在安全方案設(shè)計中,
4、我們基于安全的重要程度和要保護的對象,可以在Catalyst 型交換機上直接劃分四個虛擬局域網(wǎng)(VLAN),即:中心服務(wù)器子網(wǎng)、財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域,由于財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段,因此在中心交換機上將這些網(wǎng)段各自劃分為一個獨立的廣播域,而將其他的工作站劃分在一個相同的網(wǎng)段。(圖省略) 2.2 網(wǎng)絡(luò)應(yīng)用 這個企業(yè)的局域網(wǎng)可以為用戶提供如下主要應(yīng)用: 1文件共享、辦公自動化、WWW服務(wù)、電子郵件服務(wù); 2文件數(shù)據(jù)的統(tǒng)一存儲; 3針對特定的應(yīng)用在數(shù)據(jù)庫服務(wù)器上進行二次開發(fā)(比如財務(wù)系統(tǒng)); 4提供與Internet的訪問; 5通過公開服務(wù)器
5、對外發(fā)布企業(yè)信息、發(fā)送電子郵件等; 2.3 網(wǎng)絡(luò)結(jié)構(gòu)的特點 在分析這個企業(yè)局域網(wǎng)的安全風(fēng)險時,應(yīng)考慮到網(wǎng)絡(luò)的如下幾個特點: 1、網(wǎng)絡(luò)與Internet直接連結(jié),因此在進行安全方案設(shè)計時要考慮與Internet連結(jié)的有關(guān)風(fēng)險,包括可能通過Internet傳播進來病毒,黑客攻擊,來自Internet的非授權(quán)訪問等。 2、網(wǎng)絡(luò)中存在公開服務(wù)器,由于公開服務(wù)器對外必須開放部分業(yè)務(wù),因此在進行安全方案設(shè)計時應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò),避免公開服務(wù)器的安全風(fēng)險擴散到內(nèi)部。 3、內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng),不同的子網(wǎng)有不同的安全性,因此在進行安全方案設(shè)計時,應(yīng)考慮將不同功能和安全級別的網(wǎng)絡(luò)分割開,這可以通
6、過交換機劃分VLAN來實現(xiàn)。 4、網(wǎng)絡(luò)中有二臺應(yīng)用服務(wù)器,在應(yīng)用程序開發(fā)時就應(yīng)考慮加強用戶登錄驗證,防止非授權(quán)的訪問。 總而言之,在進行網(wǎng)絡(luò)方案設(shè)計時,應(yīng)綜合考慮到這個企業(yè)局域網(wǎng)的特點,根據(jù)產(chǎn)品的性能、價格、潛在的安全風(fēng)險進行綜合考慮。 第三章 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析 隨著Internet網(wǎng)絡(luò)急劇擴大和上網(wǎng)用戶迅速增加,風(fēng)險變得更加嚴(yán)重和復(fù)雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng),引起大范圍的癱瘓和損失;另外加上缺乏安全控制機制和對Internet安全政策的認(rèn)識不足,這些風(fēng)險正日益嚴(yán)重。 針對這個企業(yè)局域網(wǎng)中存在的安全隱患,在進行安全方案設(shè)計時,下述安全風(fēng)險我們必須要認(rèn)真考慮,并
7、且要針對面臨的風(fēng)險,采取相應(yīng)的安全措施。下述風(fēng)險由多種因素引起,與這個企業(yè)局域網(wǎng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類風(fēng)險因素: 網(wǎng)絡(luò)安全可以從以下三個方面來理解:1 網(wǎng)絡(luò)物理是否安全;2 網(wǎng)絡(luò)平臺是否安全;3 系統(tǒng)是否安全;4 應(yīng)用是否安全;5 管理是否安全。針對每一類安全風(fēng)險,結(jié)合這個企業(yè)局域網(wǎng)的實際情況,我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險。 3.1物理安全風(fēng)險分析 網(wǎng)絡(luò)的物理安全的風(fēng)險是多種多樣的。 網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故;電源故障;人為操作失誤或錯誤;設(shè)備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬件、雙機多冗余的設(shè)計、機
8、房環(huán)境及報警系統(tǒng)、安全意識等。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提,在這個企業(yè)區(qū)局域網(wǎng)內(nèi),由于網(wǎng)絡(luò)的物理跨度不大,只要制定健全的安全管理制度,做好備份,并且加強網(wǎng)絡(luò)設(shè)備和機房的管理,這些風(fēng)險是可以避免的。 3.2網(wǎng)絡(luò)平臺的安全風(fēng)險分析 網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。 公開服務(wù)器面臨的威脅 這個企業(yè)局域網(wǎng)內(nèi)公開服務(wù)器區(qū)(WWW、EMAIL等服務(wù)器)作為公司的信息發(fā)布平臺,一旦不能運行后者受到攻擊,對企業(yè)的聲譽影響巨大。同時公開服務(wù)器本身要為外界服務(wù),必須開放相應(yīng)的服務(wù);每天,黑客都在試圖闖入Internet節(jié)點,這些節(jié)點如果不保持警惕,可能連黑客怎么闖入的都不知道,甚至?xí)?/p>
9、為黑客入侵其他站點的跳板。因此,規(guī)模比較大網(wǎng)絡(luò)的管理人員對Internet安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄;同時還要對外網(wǎng)的服務(wù)請求加以過濾,只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機,其他的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕。 整個網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中,只使用了一臺路由器,用作與Internet連結(jié)的邊界路由器,網(wǎng)絡(luò)結(jié)構(gòu)相對簡單,具體配置時可以考慮使用靜態(tài)路由,這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險。 3.3
10、系統(tǒng)的安全風(fēng)險分析 所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。 網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺的可靠性:對于中國來說,恐怕沒有絕對安全的操作系統(tǒng)可以選擇,無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統(tǒng),其開發(fā)廠商必然有其Back-Door。我們可以這樣講:沒有完全安全的操作系統(tǒng)。但是,我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴(yán)格控制,提高系統(tǒng)的安全性。因此,不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且,必須加強登錄過程的認(rèn)證(特別是在到達服務(wù)器主機之前的認(rèn)證),確保用戶的合法性;其次應(yīng)該嚴(yán)格限制登錄者的操作
11、權(quán)限,將其完成的操作限制在最小的范圍內(nèi)。 3.4應(yīng)用的安全風(fēng)險分析 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān),它涉及很多方面。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性,它包括很多方面。 應(yīng)用系統(tǒng)的安全動態(tài)的、不斷變化的:應(yīng)用的安全涉及面很廣,以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來說,其解決方案有幾十種,但其系統(tǒng)內(nèi)部的編碼甚至編譯器導(dǎo)致的BUG是很少有人能夠發(fā)現(xiàn)的,因此一套詳盡的測試軟件是相當(dāng)必須的。但是應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的,其結(jié)果是安全漏洞也是不斷增加且隱藏越來越深。因此,保證應(yīng)用系統(tǒng)的安全也是一個隨網(wǎng)絡(luò)發(fā)展不斷完善的過程。 應(yīng)用的安全性
12、涉及到信息、數(shù)據(jù)的安全性:信息的安全性涉及到:機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個企業(yè)局域網(wǎng)跨度不大,絕大部分重要信息都在內(nèi)部傳遞,因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進行保密的(比如領(lǐng)導(dǎo)子網(wǎng)、財務(wù)系統(tǒng)傳遞的重要信息)可以考慮在應(yīng)用級進行加密,針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時進行加密。 3.5管理的安全風(fēng)險分析 管理是網(wǎng)絡(luò)安全中最重要的部分 管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。責(zé)權(quán)不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至
13、外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應(yīng)制度來約束。 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操作等),無法進行實時的檢測、監(jiān)控、報告與預(yù)警。同時,當(dāng)事故發(fā)生后,也無法提供黑客攻擊行為的追蹤線索及破案依據(jù),即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發(fā)現(xiàn)非法入侵行為。 建立全新網(wǎng)絡(luò)安全機制,必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的結(jié)合。 3.6黑客攻擊 黑客們的攻擊行動是無時無刻不在進行的,而且會利用系統(tǒng)和管理上的一切可能利用的漏洞。公開服
14、務(wù)器存在漏洞的一個典型例證,是黑客可以輕易地騙過公開服務(wù)器軟件,得到Unix的口令文件并將之送回。黑客侵入UNIX服務(wù)器后,有可能修改特權(quán),從普通用戶變?yōu)楦呒売脩?,一旦成功,黑客可以直接進入口令文件。黑客還能開發(fā)欺騙程序,將其裝入UNIX服務(wù)器中,用以監(jiān)聽登錄會話。當(dāng)它發(fā)現(xiàn)有用戶登錄時,便開始存儲一個文件,這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客,需要設(shè)置公開服務(wù)器,使得它不離開自己的空間而進入另外的目錄。另外,還應(yīng)設(shè)置組特權(quán),不允許任何使用公開服務(wù)器的人訪問WWW頁面文件以外的東西。在這個企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、Web頁面保護技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來保護網(wǎng)絡(luò)內(nèi)的信息資源,防止黑客攻擊。 3.7通用網(wǎng)關(guān)接口(CGI)漏洞 有一類風(fēng)險涉及通用網(wǎng)關(guān)接口(CGI)腳本。許多頁面文件和指向其他頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的。黑客可以修
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 電磁元件銷售員考試試卷及答案
- 機械工程師(工藝設(shè)計)崗位面試問題及答案
- 產(chǎn)權(quán)式酒店式公寓購銷合同
- 航空航天股權(quán)轉(zhuǎn)讓及航天技術(shù)合作協(xié)議集錦
- 旅游產(chǎn)業(yè)股份入股合同
- 股票質(zhì)押融資業(yè)務(wù)反洗錢合作協(xié)議
- 電子商務(wù)企業(yè)股權(quán)轉(zhuǎn)讓與平臺運營管理合同
- 企業(yè)并購項目股權(quán)交易傭金合作協(xié)議
- 知識產(chǎn)權(quán)許可協(xié)議中股東退股條款范本
- 農(nóng)業(yè)企業(yè)股權(quán)轉(zhuǎn)讓內(nèi)部協(xié)議范本
- 高壓電纜故障搶修施工方案
- 2025-2030中國三元乙丙橡膠行業(yè)發(fā)展趨勢及發(fā)展前景研究報告
- 2025年統(tǒng)編版一年級上冊語文識字表字帖
- 2025住院患者身體約束護理
- 人行道開挖埋管施工方案
- 基于BOPPPS框架與線上線下混合教學(xué)模式的探索
- DB32-T 186-2015建筑消防設(shè)施檢測技術(shù)規(guī)程
- 2025年四川廣安愛眾股份有限公司招聘筆試參考題庫含答案解析
- 2025年上半年廣東省廣州白云區(qū)太和鎮(zhèn)政府雇員招聘16人易考易錯模擬試題(共500題)試卷后附參考答案
- DBJ33T 1271-2022 建筑施工高處作業(yè)吊籃安全技術(shù)規(guī)程
- 2025年江蘇鹽城市城投集團招聘筆試參考題庫含答案解析
評論
0/150
提交評論