篇一:网络安全解决方案
目录
目录........................................................................................................................ 1
1.信息安全概述..................................................................................................... 4
什么是信息安全?........................................................................................ 4
为什么需要信息安全.................................................................................... 4
1.1 安全理念................................................................................................. 5
1.1.1 系统生命周期与安全生命周期 ................................................. 5
1.1.2 3S安全体系-以客户价值为中心 ............................................. 6
1.1.3 关注资产的安全风险 ................................................................. 6
1.1.4 安全统一管理 ............................................................................. 7
1.1.5 安全 = 管理 + 技术 ................................................................ 8
1.2 计算机系统安全问题............................................................................. 8
1.2.1 从计算机系统的发展看安全问题............................................ 9
1.2.2 从计算机系统的特点看安全问题.............................................. 9
2.物理安全........................................................................................................... 10
2.1 设备的安全........................................................................................... 10
3.访问控制........................................................................................................... 14
3.1访问控制的业务需求............................................................................ 14
3.2用户访问的管理.................................................................................... 15
3.3用户责任................................................................................................ 17
3.4网络访问控制........................................................................................ 18
3.5操作系统的访问控制............................................................................ 22
3.6应用系统的访问控制............................................................................ 26
3.7系统访问和使用的监控........................................................................ 27
3.8移动操作及远程办公............................................................................ 30
4.网络与通信安全............................................................................................... 32
4.1网络中面临的威胁................................................................................ 32
5.系统安全设计方案........................................................................................... 43
5.1系统安全设计原则................................................................................ 43
5.2建设目标................................................................................................ 44
5.3总体方案................................................................................................ 45
5.4总体设计思想........................................................................................ 45
5.4.1内网设计原则............................................................................. 46
5.4.2有步骤、分阶段实现安全建设................................................. 46
5.4.3完整的安全生命周期................................................................. 47
5.5 网络区域划分与安全隐患.............................................................. 48
6.0网络安全部署................................................................................................ 48
保护目标.............................................................................................. 48
威胁来源.............................................................................................. 48
安全策略.............................................................................................. 49
6.1防火墙系统............................................................................................ 50
6.2 入侵检测系统.................................................................................. 59
6.2.1 什么是入侵检测系统 ............................................................... 59
6.2.2 如何选择合适的入侵检测系统 ............................................... 60
6.2.3 IDS的实现方式-----网络IDS .................................................. 61
6.2.4 IDS的实现方式-----主机IDS .................................................. 62
6.2.5 基于网络的入侵检测系统的主要优点有: ........................... 63
6.2.6 入侵检测系统的设计思想 ....................................................... 63
6.2.7 入侵检测产品的选型与推荐 ................................................... 65
6.3 漏洞扫描系统.................................................................................. 70
6.3.1 漏洞扫描系统产品选型与推荐 ............................................... 70
6.3.2 漏洞扫描系统的部署方案 ....................................................... 72
6.4 网络信息监控与取证系统.............................................................. 73
6.4.1 网络信息监控与取证系统产品的选型与推荐 ....................... 73
6.4.2 网络信息监控与取证系统的部署方案 ................................... 76
6.5 内部安全管理系统(防水墙系统).............................................. 78
6.5.1 内部安全管理系统产品选型与推荐 ....................................... 79
6.5.2 内部安全管理系统的部署方案 ............................................... 85
6.6 其他计算机系统安全产品介绍...................................................... 86
6.6.1 天镜系—漏洞扫描 ................................................................... 86
6.6.2 数据库审计系统 ....................................................................... 89
6.6.3 iGuard网页防篡改系统 ............................................................ 93
6.6.4 防垃圾邮件网关 ....................................................................... 99
6.6.5 集中安全管理平台 GSMDesktop 7.1 ................................... 106
6.6.6 中软运行管理系统2.0R2 ...................................................... 110
1.信息安全概述
什么是信息安全?
信息是一家机构的资产,与其它资产一样,应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰,使机构业务能够畅顺,减少损失及提供最大的投资回报和商机。
信息可以有多种存在方式,可以写在纸上、储存在电子文档里,也可以用邮递或电子手段发送,可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储,都应当适当地保护起来。
因此信息安全的特征是保留信息的如下特性:
? 保密性(confidentiality):保证信息只让合法用户访问;
? 完整性(integrity):保障信息及其处理方法的准确性(accuracy)、完全性(completeness);
? 可用性(availability):保证合法用户在需要时可以访问到信息及相关资产。
实现信息安全要有一套合适的控制(controls),如策略(policies)、惯例(practices)、程序(procedures)、组织的机构(organizational structures)和软件功能(software functions)。这些控制需要被建立以保证机构的安全目标能够最终实现。 为什么需要信息安全
信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。 但机构及其信息系统和网络也越来越要面对来自四面八方的威胁,如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。
机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以
及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管理的效果。
很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的,因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与,同时也应让供应商、客户或股东参与,如果有必要,可以向外界寻求专家的建议。
对信息安全的控制如果融合到需求分析和系统设计阶段,则效果会更好,成本也更便宜。
1.1 安全理念
绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱,并且承受很高的风险才能闯入”系统。安全性的增加通常导致企业费用的增长,这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素,例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。
1.1.1 系统生命周期与安全生命周期
系统生命周期通常由以下阶段组成:概念与需求定义、系统功能设计、系统开发与获取、系统实现与测试、系统的持久操作支持和最终系统处理。在过去的几年里,实现系统生命周期支持的途径已经转变,以适应将安全组成部分和安全过程综合到系统工程过程中的需要。与系统生命周期相对应,安全生命周期由以下几个阶段构成:安全概念和需求定义、安全机制设计、安全集成与实现、安全管理解决方案和安全风险分析。
涉及到任何功能和系统级别的需求,通过理解安全需求、参加安全产品评估并最终在工程设计和实现系统等方式,应该在生命周期过程的早期便提出安全问题。近年来发现,在系统开发之后实现系统安全非常困难,而且已经有了不少教训。因此,必须在发掘需求和定义系统时便考虑安全需求。为了在系统工程过程
篇二:企业网络安全解决方案的设计
摘 要
计算机网络的发展和技术的提高给网络的安全带来了很大的冲击,Internet的安全成了新信息安全的热点。网络安全,是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒,计算机系统的互联,在大大扩展信息资源的共享空间的同时,也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全和信息传输安全的问题,就是我们所谓的计算机网络安全。信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制;确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面。设计一个安全网络系统,必须做到既能有效地防止对网络系统的各种各样的攻击,保证系统的安全,同时又要有较高的成本效益,操作的简易性,以及对用户的透明性和界面的友好性。
针对计算机网络系统存在的安全性和可靠性问题,本文从网络安全的提出及定义、网络系统安全风险分析,网络攻击的一般手段,企业局域网安全设计的原则及其配置方案提出一些见解,并且进行了总结,就当前网络上普遍的安全威胁,提出了网络安全设计的重要理念和安全管理规范并针对常见网络故障进行分析及解决,以使企业中的用户在计算机网络方面增强安全防范意识,实现了企业局域网的网络安全。 关键词:网络安全; 路由器; 防火墙; 交换机; VLAN
Abstract
The development of computer networks and technologies to enhance network security is a big blow, Internet security has become a new hotspot of information security. Network security is the security of computer information systems in an important aspect. Like opening of the Pandora's Box, the computer systems of the Internet, greatly expanded information resources sharing space at the same time, will be its own exposure to the more malicious attacks under. How to ensure that the network of information storage, processing and transmission of information security security, is the so-called computer network security. Information security is to prevent information from the property have been deliberately or accidentally leaked authorized illegal, altered, damage or illegal information system identification, control; ensure confidentiality, integrity, availability, controllable. Information security, including the safety of the operating system, database security, network security, virus protection, access control, encryption and identification of seven areas. Design of a network security system, which must be done to effectively prevent the network all of the attacks, guarantee the safety of the system, and also have a higher cost-effectiveness, operational simplicity, and transparent to the user interface and friendly.
Computer network system of security and reliability problems, the paper from the network security and the proposed definition, Network security risk analysis, network attacks generally means Enterprise LAN security design principles and disposition program some insights, and it was summed up, on the current network-wide security threats the network security of the important design concepts and security management norms and against common network fault analysis and solution to enable enterprise customers in the computer network to enhance safety, realizing the enterprise LAN network security.
Key words:Network Security; Router; Firewall; Switch; VLAN
目 录
摘 要 .................................................................................................................................... I ABSTRACT ........................................................................................................................ II 目 录 ................................................................................................................................. III
绪论 ....................................................................................................................................... 1
1 网络安全概述 ................................................................................................................... 2
1.1 网络安全的概念 ........................................................................................................ 2
1.2 网络安全系统的脆弱性 ............................................................................................ 2
1.3 网络安全模型 ............................................................................................................ 3
1.4 企业局域网的应用 .................................................................................................... 4
2 网络系统安全风险分析 ................................................................................................... 5
2.1物理安全风险分析 ..................................................................................................... 5
2.2网络平台的安全风险分析 ......................................................................................... 5
2.3系统的安全风险分析 ................................................................................................. 6
2.4来自局域网内部的威胁 ............................................................................................. 6
2.5来自互联网的威胁 ..................................................................................................... 7
2.6网络的攻击手段 ......................................................................................................... 7
3 企业局域网的安全设计方案 ........................................................................................... 8
3.1企业局域网安全设计的原则 ..................................................................................... 8
3.2 安全服务、机制与技术 ............................................................................................ 9
3.3企业局域网安全配置方案 ......................................................................................... 9
3.3.1物理安全技术 ..................................................................................................... 9
3.3.2路由器安全配置 ................................................................................................. 9
3.3.3防火墙技术安全配置 ....................................................................................... 12
3.3.4内部网络隔离 ................................................................................................... 16
3.3.5企业局域网防病毒设置 ................................................................................... 19
3.3.6攻击检测技术及方法 ....................................................................................... 22
3.3.7审计与监控技术实施 ....................................................................................... 27
3.4信息安全 ................................................................................................................... 30
4 企业局域网安全管理 ..................................................................................................... 32
4.1 安全管理规范 .......................................................................................................... 33
4.1.1 安全管理原则 .................................................................................................. 33
4.1.2 安全管理的实现 .............................................................................................. 33
4.2 常见网络故障及解决 .............................................................................................. 33
4.2.1 IP冲突解决 ..................................................................................................... 33
4.2.2 DNS错误 ........................................................................................................... 34
结束语 ................................................................................................................................. 36
致 谢 ................................................................................................................................. 37
参考文献 ............................................................................................................................. 38
绪论
随着迅速变化的商业环境和日益复杂的网络, 已经彻底改变了目前从事业务的方式。尽管企业现在依赖许多种安全技术来保护知识产权,但它们经常会遇到这些技术所固有的限制因素难题。
无论当今的技术标榜有何种能力,它们通常均不能够集中监控和控制其它第三方异构安全产品。大多数技术都未能证实有至关重要的整合、正常化和关联层,而它们正是有效安全信息管理基础的组成部分。寻求尖端技术、经验丰富的人员和最佳作法与持续主动进行企业安全管理的坚实整合,是当今所有IT安全专业人士面临的最严峻挑战。
并同时在风险与性能 有效的安全信息管理主要关键是要求企业管理其企业安全,
改进间做到最佳平衡。拥有良好的主动企业安全管理不应是我们所有人难以实现的梦想。通过本企业网络安全技术及解决方案,使企业网络可有效的确保信息资产保密性、完整性和可用性。
本方案为企业局域网网络安全的解决方案,包括原有网络系统分析、网络安全风险分析、安全体系结构的设计等。本安全解决方案是在不影响该企业局域网当前业务的前提下,实现对局域网全面的安全管理。
(1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
(2) 定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
(3) 通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
(4) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
(5) 在服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
篇三:网络安全解决方案
企业内部网信息安全建设
的技术要求、配置方案及建议
XXXXXXXXXXX国际集团公司
一九九九年五月四日
企业网网络安全解决方案
引言
1999年已经到来, 人类处在21世纪前夜。1998年是全球信息革命和Internet新腾飞的一年。“带宽爆炸”, 用户超亿, 网上协同攻破密码等等创造性的应用层出不穷。Internet已成为全新的传播媒体, 克林顿丑闻材料在48小时内就有2000万人上网观看。电子商务发展更出人意料, 网上购物仅圣诞节就突破3亿美元的销售额, 比预计的全年20亿还多。美国对“Internet经济”投资达到1240亿, 第二代Internet正式启动,第三代智能网络已在酝酿, 以Internet为代表和主体的信息网络必将在21世纪成为人类生产、生活、自下而上的一个基本方式。世界各国都以战略眼光注视着它的发展, 并在积极谋取网上的优势和主动权。但是Internet网的信息安全问题在1998年也较突出, 除两千年虫问题已进入倒计时外,下面摘录上电报导:
病毒感染事件1998年增加了二倍, 宏病毒入侵案件占60%, 已超过1300种, 而1996只有40种。
网上攻击事件大幅上升, 对50个国家的抽样调查显示: 去年有73%的单位受到各种形式的入侵, 而1996年是42%。据估计, 世界上已有两千万人具有进行攻击的潜力。
网上经济诈骗增长了五倍, 估计金额达到6亿美元, 而同年暴力抢劫银行的损失才5900万。一份调查报告中说: 有48%的企业受过网上侵害, 其中损失最多的达一百万美元。
对美军的非绝密计算机系统的攻击试验表明, 成功率达到88%。而被主动查出的只占5%。1998年5月美CIA局长在信息安全的报告中正式宣布:“信息战威胁确实存在。”
网上赌博盛行, 去年在200个网点上的赌博金额达到60亿美元, 预计今年还会增加一倍。
网上色情泛滥, 通过浏览器、电子邮件等方式大量扩散。由于问题严重,西方12个国家的警方在去年九月进行了一次联合行动, 共抓96人, 其中一
个网址竟有25万张黄色图像。联合国科教文组织决定今年一月召开会议, 研究遏制网上色情。
欧盟正式发表了对网上有害和非法信息内容的处理法规。
电子邮件垃圾已被新闻界选为1998年Internet坏消息之一, 美国一家网络公司一年传送的电子邮件中有三分之一是电子垃圾。
网上违反保密和密码管制的问题已成为各国政府关注的一个焦点。
暴露个人隐私问题突出, 例如通过美国一个网站很容易量到别人的经济收入信息, 另一网址只要输入车牌号码就可查到车主地址, 为此这些网址已被封闭。在电子邮件内传播个人隐私的情况更为严重。
带有政治性的网上攻击在1998年有较大增加, 包括篡改政府机构的网页,侵入竞选对手的网站窃取信息, 在东南亚经济危机中散布谣言, 伪造世界热点地区的现场照片, 煽动民族纠纷等等, 已引起各国政府的高度重视。
我国的情况也大致相仿。一方面Internet上网人数增加, 仅下半年年就由117万剧增到210万, 另一方面, 同一时期内外电对在我国发生的Internet安全事件的报道数量也大增, 比1997年全年还多6倍, 其中包括经济犯罪、窃密、黑客入侵, 造谣惑众等等。以上报导只是全部景观的一角,却预示着下一个世纪全球信息安全形势不容乐观。我国正处于网络发展的初级阶段, 又面临着发达国家信息优势的压力, 要在信息化进程中趋利避害,从一开始就做好信息安全工作十分重要。这是这项工作难度也非常大, 经常遇到十分困难的选择, 甚至非难。人们对于“该不该”和“能不能”抓好信息安?全也尚有不同的看法。我们应当充分相信我国的制度优越性和人民的智慧与觉悟, 积极寻求解决中国特色的Internet安全问题的办法。在此, 仅就企业内部网的信息安全的建设作一个详细的讨论。
1.企业网络的现状
世纪之交,信息化已成为国际性发展趋势,作为国民经济信息化的基础,企业信息化建设受到国家和企业的广泛重视。
企业信息化,企业网络的建设是基础,从计算机网络技术和应用发展的
现状来看,Intranet是得到广泛认同的企业网络模式。Intranet并不完全是原来局域网的概念,通过与Internet的联结,企业网络的范围可以是跨地区的,甚至跨国界的。
现在,Internet的发展已成燎原之势,随着WWW上商业活动的激增,Intranet也应运而生。近几年,许多有远见的企业领导者都已感到企业信息化的重要性,陆续建立起了自己的企业网和Intranet并通过各种WAN线路与Internet相连。国际互联网Internet在带来巨大的资源和信息访问的方便的同时,它也带来了巨大的潜在的危险,至今仍有很多企业仍然没有感到企业网安全的重要性。在我国网络急剧发展还是近几年的事,而在国外企业网领域出现的安全事故已经是数不胜数。因此,我们应该在积极进行企业网建设的同时,就应借鉴国外企业网建设和管理的经验,在网络安全上多考虑一些,将企业网中可能出现的危险和漏洞降到最低。使已经花了不少财力、人力和时间后,建立起来的网络真正达到预想的效果。
从总体上来说,企业网络建设以下几方面的误区:解决方案上的误区、应用开发上的误区和系统管理上的误区。
1.1 解决方案上的误区
在解决方案上的误区主要包括:
1. 认为只要肯花钱就万事大吉了。诚然,投资是企业网络建设的基本,
但并非所有的东西都能直接买来。事实上,数据、应用软件、网络系统管理及网络的应用水平等都不是简单买来了事的。
2. 不根据实际需求,盲目认为购买的硬件、软件产品越先进越好,甚
至要求达到10年不落后等要求。这种提法本身就不科学,信息技术的发展是日新月异的,10年前谁也不知道现在的计算机会发展到如此水平,同样,10年后如何也无法预料。这样一来,后果是可以想到的:平台越先进,设备越昂贵,技术越复杂,建设的投入与产出相比一定很高,这当然不是企业需要得到的结果。
3. 认为有了网络、服务器、数据库、联通了Internet就能要什么就有
什么了,忽视总体数据体系规划和组织、应用系统开发,数据的采集、传输、加工、存储和查询等具体应用工作。而缺少这些,网络的作用就不能充分发挥出来,这恰恰与企业网络建设的初衷相违。
4. 认为可以“毕其功于一役”地搞企业网络建设,实际上,这是一项
长期的工作。
5. 认为只要找到好的供应商、系统集成商就肯定可以把网络建好,没
有想到只有良好的合作才能获得成功,只有建立自己的技术队伍才能保持成功之果。
1.2 应用开发上的误区
应用开发是企业网络系统建设中的重要内容,也是网络建设成功与否的关键。不少企业网络建设项目中,在应用开发方面也存在一些误区:
1. 认为只要有好的计算机专业人员去干就可以了,业务人员不参与应
用开发工作,甚至不很好地配合。事实上,由于专业计算机人员缺少具体业务知识和经验,无法独立开发出很适合业务部门的应用软件。
2. 认为凡是业务部门、业务人员提出的需求都要进行开发。在应用开
发的范围上,不进行认真地分析,不分主次。实际上,许多现成的工具软件已包含了许多功能,例如EXECL,但由于不重视业务人员计算机技能的提高,一切功能都寄希望于开发。这就造成开发成本的提高和工作重点的分散。
3. 认为只有采用最新潮的开发工具和最时髦的开发语言才能开发好的
软件,而不顾自己的实际需求,也不问那些工具和语言到底有什么用。
4. 认为开发软件与操作软件一样容易,所以不重视开发人员的工作,
随意提出需求,之后又随意改动。这样的改动,很可能给开发增加许多工作量,更为严重的是,破坏开发的总体规划,导致开发进度的延迟。
5. 企业高级领导认为开发工作是下面的事情,不参与总体规划,却对
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有