第一篇:企业网络安全NGFW+ICG方案
安全解决方案
北京网康科技有限公司
/ 12
目录 安全风险分析.....................................3 1.1 来自公网的安全风险分析.........................3 1.2 来自内部人员及分部的安全威胁...................3 2 安全方案设计.....................................4 2.1 方案概述.......................................4 2.2 总体设计.......................................4 2.3 详细设计.......................................5 2.3.1 外部安全防护................................5 2.3.2 内部安全防护................................7 3 网康方案价值与产品优势..........................10 3.1 易用性........................................10 3.2 健壮性........................................11 3.3 产品优势......................................11
/ 12 安全风险分析
1.1 来自公网的安全风险分析
由于内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如:
入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击;
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息;
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪; 发送大量包含恶意代码或病毒程序的邮件。
1.2 来自内部人员及分部的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括:
误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。
因不当使用Internet接入而降低生产率。不当使用Internet资源不但会浪费工人的时间,还能增加计算机网络的负担,降低了人员与网络的工作效率。
如果工作人员发送、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内耗。
内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;
/ 12
内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去;
内部人员利用公司网络访问黄色网站、反动网站和其他与工作无关的网站; 内部人员访问不良网站时,无意中执行了网页上的恶意代码或病毒程序; 内部人员使用移动存储设备,不小心涉带有关病毒,导致网络瘫痪; 内部人员使用BT、P2P下载,严重影响网络使用 安全方案设计 2.1 方案概述
我们为贵单位网络构架了一个整套的安全体系结构,整个体系中最基本单元是每台在线主机的安全,即安全体系中的每一个点;子网/局域网是体系中的块状组成部分,是安全体系中的各个面;整个安全体系由各个层次和面组成,形成安全体系的立体框架。我们知道实现网络安全不是一次可以完成的任务,需要不断根据网络环境和网络管理进行调整,我们设计的解决方案充分兼容今后的安全管理及优化的需求。
基于以上的分析,我们建议以系统的内部安全优化修复,清除网络安全漏洞为主要手段,提高网络内每个点的安全系数,清除各点的安全隐患,以网络优化系统、防火墙和防毒软件等安全产品对网络施以自动监控和防御,在各个面形成有效的防御体系,最后通过加强人员培训,提高管理水平,制定先进的安全策略,消除全网的各种安全威胁,全面提高软件、硬件和人员的安全水平,形成一个牢固的,立体的网络安全防御体系。
2.2 总体设计
依据我们的安全系统设计原则,并结合贵单位网络系统的实际情况和需求,采用一系列产品搭建安全防范体系,通过安全技术和管理手段,使安全产品充分发挥其安全保护的作用。
首先,从安全区域上,我们将网络划分为:服务器区、办公区,并采用防火墙将上述各个区域进行隔离,以对各个区域之间的相互访问进行访问控制,构成第一道安全防护体系。对于接入Internet的区域,都将Internet的LAN接口接在防火墙的接口上,从而实现对来自Internet的入侵的防护。
/ 12
第二,为了对保护公司本部的重要服务器(如管理服务器、邮件服务器、数据库服务器),特将这些重要的服务器放在同一网段,用防火墙进行访问控制,该网段称为非军事化区(DMZ区)。再使用SSL VPN设备将重要服务器进行发布,对外呈现只有SSL VPN一个服务,并根据具体要求配置SSL VPN安全访问策略,保护公司本部的重要服务器。
第三,在网络出口防火墙与核心交换机间部署网康互联网控制网关(ICG)设备,对内网的所有网络行为进行审计和记录,及时有效地管理办公人员的上网行为,包括网页服务、即时聊天、论坛言论发布、邮件收发等;除此之外还可进行全网的流量分析,并阻断P2P及与办公无关的应用,保证带宽的使用价值,提升网络的可用性,减少投资。并可以分析网络带宽利用状况,方便排除网络故障。
第四,通过网康防火墙的部署,全面地保护内部各区域网络不受到病毒的入侵和破坏。利用全方位的企业防毒产品,实施“层层设防,集中控管,以防为主、防治结合”的策略,使网络没有能成为病毒入侵的薄弱环节。
拓扑图如下:
2.3 详细设计
2.3.1 外部安全防护
网康下一代防火墙NGFW。通过深入洞察网络流量中的用户、应用和内容,并借助全新
/ 12 的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助帮助用户安全地开展业务并简化用户的网络安全架构。入侵、病毒、木马防护
网康下一代防火墙NGFW提供了对黑客入侵、上传或下载病毒和木马的防护手段。通过在“策略配置”界面配置“安全策略”,用户可以非常方便地实现基于用户、应用、服务和时间的一体化防护。
针对企业的具体情况,建议采用开启对服务器域从外到内的IPS和AV防护,防范从外部发起的网络攻击、传病毒、传木马等行为;开启从内到外的IPS、AV防护和URL过滤,防范内部用户的攻击、染毒、僵尸主机或访问恶意网站等行为。
策略配置完成后可以在设备首页实时看到当前网络的威胁和告警信息,同时也可以在监控中心的威胁日志、告警日志和网址过滤日志中看到更多的细节信息。DoS防护
网康下一代防火墙NGFW提供了对DoS攻击的防护功能,可以配置策略针对不同的DoS攻击类型进行聚合防护和分类防护。
针对企业的具体情况,建议分别对从内到外和从外到内的DoS攻击防护进行配置。其中,服务器域的连接数阈值要相应提高。ARP防护
网康下一代防火墙NGFW支持通过绑定静态ARP的方式防止ARP攻击。
建议企业根据实际网络拓扑情况在各核心设备上开启静态ARP功能,进行IP和MAC的绑定,防止ARP欺骗造成的无法联网或无法访问某些网站的现象产生。网络攻击防护
网康下一代防火墙NGFW支持通过对常见网络攻击进行防护,如TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等。
建议企业开启网络攻击防护功能,保障网络服务器的安全。主动发现服务器是否被植入木马
网康下一代防火墙NGFW提供了深入的应用洞察能力,用户可以通过简单的配置方便地主动发现服务器是否有异常行为,从而发现服务器中隐藏的木马。主动发现网络中存在风险的服务器或僵尸主机
建议采用以下方式主动发现网络中存在风险的服务器或僵尸主机。
1.定期查看“应用分析”模块,筛选应用名称为“木马”、“远程桌面”、“ssh”、“HTTP
/ 12
PROXY”等高风险应用,查看产生这些应用流量的IP地址,根据需要进行防护和整改。
2.定期查看“应用分析”模块,筛选网址类别为“木马病毒”、“钓鱼网站”等高风险网址,查看排名前几名的IP,主动对这些IP进行杀毒。
3.定期查看“监控中心”的应用对比统计功能,查看网络中同一时段的应用连接数和流量变化,当高风险应用连接数和流量较大时,可在“应用分析”和“流量日志”中找到相应时段的流量细节。
主动检测网站是否被挂黑链或挂马
建议采用以下方式主动网站是否被挂黑链或挂马。
1.在网站服务器或其他无人使用的服务器上设定计划任务,定时访问xxx政府机关官方网站首页。
2.定期查看“应用分析”模块,筛选源地址为服务器IP,筛选普通HTTP应用,查看目的IP地址是否正常,若出现异常IP地址即为被挂黑链,若筛选的IP地址出现较大HTTP下载流量即为被挂马。
2.3.2 内部安全防护
网康互联网控制网关(ICG),为用户提供专业的用户管理、应用控制、网页过滤、内容审计、流量管理和行为分析等功能。可以帮助客户达成上网行为可视、减少安全风险,减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源。
1、内容审计
外发信息审计
通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。本方案提供全方位的审计功能,可实现针对IM、邮件、FTP、论坛发帖等应用的内容审计。
审计功能在默认配置下关闭,需要管理员手动打开审计功能,方可实现全方位的审计。同时,可通过分级分权功能,收回设备管理员审计功能的权限,以彻底关闭审计功能,在这种情况,打开审计功能的权限仅超级管理员拥有。
邮件收发审计和过滤
网康ICG不但可以审计通过任意端口的POP3和SMTP协议收发邮件内容,同时还可以审计通过WEB-MAIL发送邮件的内容,实现对用户邮件收发内容的全面审计。
/ 12
2、行为管理 网页过滤
Web是互联网上内容最丰富、访问量最大的应用,然而网页内容良莠不齐,充斥许多反动、暴力、色情以及其它不健康的信息;此外,大量网络应用,如P2P,IM,网络电视、游戏等等,也借助HTTP协议或者80端口,一方面躲避防火墙的封堵,一方面携带病毒、恶意软件,为内网用户带来安全风险,挤占网络带宽。网康ICG通过预分类过滤技术、URL自动分类引擎以及灵活的策略设置,对违反国家法律、危害企业安全的内容进行过滤,避免用户有意无意访问包含非法内容的网页,净化网络,减少病毒进入局域网的几率,降低企业法律风险,创造文明健康的上网环境。
最领先的中文URL分类数据库
网页内容浩如烟海,URL数目数以千万计。传统的网页过滤通过预设的关键字,对网页内容进行匹配,效率很低,而且误封率居高不下,已经退出应用的主流。另外一种方法是预先设置需要封堵的URL列表,对URL进行实时的匹配过滤,这也存在很大的缺陷,由于URL数量巨大,依靠手工添加方式不可能实现完整的过滤,而且对URL列表的更新管理几乎不可能。目前国际上最先进的方式是将URL按照一定的标准进行预分类,然后由网关设备对类别进行过滤,既解决了过滤效率的问题,又保证了过滤的完整性与实效性。应用控制
随着技术的迅猛发展,各种互联网应用层出不穷,如即时通讯(IM)、网络游戏、在线炒股以及在线音乐视频等等。未加管理的使用,不可避免地影响员工的工作效率。在一项调查中,超过80%的员工在上班时间做过与工作无关的工作,其中,有60%的被调查员工承认其主要是在玩网络游戏、用QQ / MSN等即时通讯软件聊天,以及炒股等等。这些不当网络活动大大降低了员工的工作效率,造成了企业人力资源的严重浪费。同时,与工作无关的应用,如P2P下载、在线视频等对带宽资源的挤占,使得关键业务的使用质量无法保障,大大降低了出口链路的利用率,造成了企业带宽资源的严重浪费。
基于特征识别的覆盖全面的应用协议数据库
欲控制各种网络应用,必先准确识别。传统安全产品通过IP或者端口封堵各种协议,只能局限于标准的协议,如HTTP,SMTP,且主要是在网络层以及传输层进行,对应用层的内容无能为力,而且,如果IP与端口经过动态协商建立,比如QQ,P2P下载等,则完全不能胜任。网康ICG对应用的识别是通过应用特征与行为特征实现的。所谓应用特征,是指在成序列的数据包的应用层信息中,存在有规律的字节特征,它可以唯一地标识某种应用协议,8 / 12
就如同一个人无论穿什么颜色的衣服,其指纹特征不会改变,而且是唯一的。类似地,ICG可以通过特征值准确地识别网络应用;而行为特征,是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性,通过这些行为模式可以识别特征值不明显的应用类型。
网康ICG拥有国内最全面的网络应用协议数据库,分为20余种大类,共2000多种协议。
3、带宽管理
网络感知
网康行为管理设备提供丰富的监控界面,可以实时显示网络运行情况,以图标形式显示设备实时流速、用户实时流速、应用实时流速、实时审计日志等,如下图:
支持灵活的流量限额手段 流量限速
流量限速功能可以基于时间、VLAN、对从源用户(组)去往目的用户(组)的网络应用上传、下载流速进行限制。每用户带宽上限
每用户带宽上限功能可以对每个用户的带宽进行管理,具体分为每用户的带宽上限控制和通道内每用户的带宽上限控制。流量限额
网康 ITM 还可以从流量的角度对网络应用进行管理,通过每用户的流量限额和通道整体的流量限额功能,为某种网络应用设定流量限额阀值,在预定的周期性时间段范围内,限
/ 12
制此应用的流量总额连接控制 支持丰富的流量保障手段 带宽保证
带宽保证功能可以在带宽资源有限而多种网络应用并存的情况下,通过为关键业务建立并指定带宽通道的方式,从而避免了关键业务应用与非关键业务应用共同争用带宽,有效保障了关键业务应用的正常使用。带宽预留
在保障关键业务应用时,既可以通过通道的带宽保证来实现,也可以通过带宽预留来实现。带宽预留可以对对进入特定通道的某(些)关键业务的应用架设“带宽专线”,通过划分专门的带宽,使关键业务在任何时候都可以独享该通道全部的带宽资源,彻底避免非关键业务无序抢占此专线带宽资源,从而使关键业务应用的带宽需求能获得可靠保障。带宽平均
根据通道里用户数量的动态变化实时调整各用户的带宽分配,保证流经通道里的所有用户动态平均享用该通道的全部带宽资源,实现带宽资源得到高效与公平地利用。网康方案价值与产品优势 3.1 易用性
该方案可以支持透明桥接、网关、旁路镜像、代理模式等多种部署方式,可以最大程度兼容各种网络环境下的部署需求,同时最大程度地减少对现有网络结构的改造需求,设备上线十分简单,操作量小,实施快速。
修改任何设备配置无需重启,满足不间断运营的要求;采用图形化报警方式,使得风险可快速被管理员获得;管理采用HTTPS方式,对浏览器无插件依赖;系统健康参数一目了然,CPU,内存,硬盘使用率,持续运行时间一目了然;排错简单,一键bypass功能按下后,可直接定位问题是否由设备造成;各分支设备可集中管理,实现设备状况统一监控,策略集中下发,集中回收;通过图形化的操作方式,以及标准的配置过程模式,利用鼠标的勾勾选选即可实现策略的完整配置,满足非专业人员的快速使用。
设备版本一键升级,用户只需点击升级按钮即可实现全版本的更新,原有配
/ 12
置与日志数据可完全保留; 整个升级过程不依赖客户端,没有任何需要判断的分支步骤 ;URL数据库与应用协议库保持以天为单位的快速更新。
3.2 健壮性
网康设备提供硬件bypass与软件bypass双重保护,确保发生异常时网络依然畅通。通过带电模式下的智能bypass功能,当系统出现宕机等严重异常时,工作接口可以自动的物理导通,同时管理接口还可以继续排查设备的问题。在不影响用户正常使用的同时,还能定位问题的来源。
网康科技的产品拥有多项高性能优化专利,在同等级的硬件平台上可以提供更强的处理转发性能,从而有效的避免新添加的设备带来的网络延时,在提供上网行为管理功能的同时,不会影响原有线路的质量。
网康科技采用了自主研发的NSOS操作系统,并进行了专门安全加固,可有效的防护对设备的攻击和入侵,全面保障设备自身的安全。
网康科技采用了独有的用户交互隐身技术,无论是对用户弹出的认证登录框,还是行为阻塞的提示框,或者客户端下载框都采用了设备隐身技术,使得最终用户无法获取设备本身的地址。避免了可能的有针对性的尝试攻击,或者DOS攻击。
3.3 产品优势
网康下一代防火墙 领先的应用识别技术
凭借网康科技在应用识别和内容控制领域8年的技术积累,实现了对2000种以上网络应用的识别,其中包含了300多种高风险应用,从各种维度对不同应用做出评价。先进的主动防御技术
基于行为分析感知僵尸主机,通过多维度的数据分析和多种类型日志的智能关联集成,实现应用威胁的可视化,便于用户提早发现网络中潜在的威胁,并主动调整安全策略。高性能的应用安全防护
/ 12
采用网康独有专利技术的多核加速转发引擎,充分发挥硬件优势,实现高性能的应用安全防护。移动识别和管理
支持超过500种移动互联网应用,覆盖苹果、安卓、塞班等多种移动平台,涵盖聊天、微博、视频、地图等多种主流应用类型。 网康上网行为管理(ICG)丰富的用户识别类型
支持基于IP/MAC、计算机名、POP3、Proxy、LDAP、AD域、Radius、Portal进行认证,同时支持和多种认证系统联动,实现单点认证。国内最大的URL库
拥有国内最大且唯一拥有自主知识产权的、包含3000万中文网页的URL库,每日更新,即时发现恶意网站。精确网页内容审计
可针对必要的分类进行分类网页快照留存设计,满足审计全面性的同时,不消耗过多的存储资源。精确搜索引擎关键字审计,可针对不用的搜索分类进行不同关键字的设置,例如对图片视频类要控制色情类的词语,文字网页类的搜索要控制政治类的词语。
/ 12
第二篇:企业网络安全方案的设计
信息安全课程设计
企业网络安全方案的设计
河 南 理 工 大 学 计 算 机 学 院
︽ 信 息
安
课 全
程 ︾
设
计
报
告
题 目 企业网络安全方案的设计
学 号 310609040104
班 级 网络工程06-1班
姓 名 严茵茵
指导老师 刘 琨
信息安全课程设计
企业网络安全方案的设计设计企业网络安全方案
摘 要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:
(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
(2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员信息安全课程设计
企业网络安全方案的设计工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
(3)内部网络之间、内外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
信息安全课程设计
企业网络安全方案的设计
图说明 图一 企业网络简图
对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.标准化原则 信息安全课程设计
企业网络安全方案的设计2.系统化原则 3.规避风险原则 4.保护投资原则 5.多重保护原则 6.分步实施原则
四、企业网络安全解决方案的思路
1.安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。2.安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
图说明 图二 网络与信息安全防范体系模型 信息安全课程设计
企业网络安全方案的设计3.企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
五、整体网络安全方案
1.网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1)身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。信息安全课程设计
企业网络安全方案的设计
2)数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3)数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4)不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。2.VPN系统
VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
3.网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下:
图说明 图四 防火墙
此外在实际中可以增加入侵检测系统,作为防火墙的功能互补,提供对监控信息安全课程设计
企业网络安全方案的设计网段的攻击的实时报警和积极响应等功能。4.病毒防护系统
应强化病毒防护系统的应用策略和管理策略,增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护
在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式): 信息安全课程设计
企业网络安全方案的设计
图说明
图五
邮件系统保护 6.关键网段保护
企业中有的网段上传送的数据、信息是非常重要的,应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。
图说明
图六
关键网段的防护 7.日志分析和统计报表能力
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目信息安全课程设计
企业网络安全方案的设计标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控
除对外的防护外,对网络内的上网行为也应该进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。分别有以下几种系统:
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
则内网综合保护简图如下图七所示: 信息安全课程设计
企业网络安全方案的设计
图说明
图七
内网综合保护 9.移动用户管理系统
对于企业内部的笔记本电脑在外工作,当要接入内部网也应进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全信息安全课程设计
企业网络安全方案的设计流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本课程设计以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方信息安全课程设计
企业网络安全方案的设计案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
本次课程设计的完成,首先应感谢刘老师的指导。由于刚开始选题不恰当,所以完成的不理想,后来和刘老师交流后决定用这个项目来做。此外,也感谢同学的帮助。特别是在课程设计中需要绘制图形时,给我推荐了“亿图”绘图工具,使得本课程设计中所需的图形都得以顺利绘制出来,能较好的展示出整个设计的过程。
教师评语:
第三篇:企业网络安全方案的设计
信息安全课程设计
xx网络安全方案的设计
海南经贸职业技术学院信息技术系
︽ 网 络
安
课 全
程 ︾
设
计
报
告
题 目 XX网络安全方案的设计
学 号 310609040104
班 级 网络工程06-1班
姓 名 王某某
指导老师 王天明
信息安全课程设计
xx网络安全方案的设计设计企业网络安全方案
摘 要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:
(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
(2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员 信息安全课程设计
xx网络安全方案的设计工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
(3)内部网络之间、内外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
信息安全课程设计
xx网络安全方案的设计
图说明 图一 企业网络简图
对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.标准化原则
信息安全课程设计
xx网络安全方案的设计2.系统化原则 3.规避风险原则 4.保护投资原则 5.多重保护原则 6.分步实施原则
四、企业网络安全解决方案的思路
1.安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。2.安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
图说明 图二 网络与信息安全防范体系模型
信息安全课程设计
xx网络安全方案的设计3.企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
五、整体网络安全方案
1.网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1)身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
信息安全课程设计
xx网络安全方案的设计
2)数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3)数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4)不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。2.VPN系统
VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
3.网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下:
图说明 图四 防火墙
此外在实际中可以增加入侵检测系统,作为防火墙的功能互补,提供对监控 信息安全课程设计
xx网络安全方案的设计网段的攻击的实时报警和积极响应等功能。4.病毒防护系统
应强化病毒防护系统的应用策略和管理策略,增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护
在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式):
信息安全课程设计
xx网络安全方案的设计
图说明
图五
邮件系统保护 6.关键网段保护
企业中有的网段上传送的数据、信息是非常重要的,应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。
图说明
图六
关键网段的防护 7.日志分析和统计报表能力
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目 信息安全课程设计
xx网络安全方案的设计标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控
除对外的防护外,对网络内的上网行为也应该进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。分别有以下几种系统:
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
则内网综合保护简图如下图七所示:
信息安全课程设计
xx网络安全方案的设计
图说明
图七
内网综合保护 9.移动用户管理系统
对于企业内部的笔记本电脑在外工作,当要接入内部网也应进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全 信息安全课程设计
xx网络安全方案的设计流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本课程设计以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方 信息安全课程设计
xx网络安全方案的设计案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
本次课程设计的完成,首先应感谢刘老师的指导。由于刚开始选题不恰当,所以完成的不理想,后来和刘老师交流后决定用这个项目来做。此外,也感谢同学的帮助。特别是在课程设计中需要绘制图形时,给我推荐了“亿图”绘图工具,使得本课程设计中所需的图形都得以顺利绘制出来,能较好的展示出整个设计的过程。
教师评语:
第四篇:企业网络安全方案设计
信息安全课程设计
企业网络安全方案的设计企业网络安全方案设计
摘 要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:
(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
(2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员信息安全课程设计
企业网络安全方案的设计工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
(3)内部网络之间、内外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
信息安全课程设计
企业网络安全方案的设计
图说明 图一 企业网络简图
对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.标准化原则 信息安全课程设计
企业网络安全方案的设计2.系统化原则 3.规避风险原则 4.保护投资原则 5.多重保护原则 6.分步实施原则
四、企业网络安全解决方案的思路
1.安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。2.安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
图说明 图二 网络与信息安全防范体系模型 信息安全课程设计
企业网络安全方案的设计3.企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
五、整体网络安全方案
1.网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1)身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。信息安全课程设计
企业网络安全方案的设计
2)数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3)数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4)不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。2.VPN系统
VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
3.网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下:
图说明 图四 防火墙
此外在实际中可以增加入侵检测系统,作为防火墙的功能互补,提供对监控信息安全课程设计
企业网络安全方案的设计网段的攻击的实时报警和积极响应等功能。4.病毒防护系统
应强化病毒防护系统的应用策略和管理策略,增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护
在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式): 信息安全课程设计
企业网络安全方案的设计
图说明
图五
邮件系统保护 6.关键网段保护
企业中有的网段上传送的数据、信息是非常重要的,应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。
图说明
图六
关键网段的防护 7.日志分析和统计报表能力
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目信息安全课程设计
企业网络安全方案的设计标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控
除对外的防护外,对网络内的上网行为也应该进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。分别有以下几种系统:
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
则内网综合保护简图如下图七所示: 信息安全课程设计
企业网络安全方案的设计
图说明
图七
内网综合保护 9.移动用户管理系统
对于企业内部的笔记本电脑在外工作,当要接入内部网也应进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全信息安全课程设计
企业网络安全方案的设计流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本设计以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的信息安全课程设计
企业网络安全方案的设计实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
第五篇:企业网络安全方案设计---
海南经贸职业技术学院信息技术系
︽ 网 络
安
案 全
例 ︾
设
计
报
告
题 目 企业网络安全方案的设计
学 号 1***
班 级 11级网络1 班
姓 名 XXX
指导老师 XXX
要解决的几个关键问题
目录
摘 要:.......................................................................................................2
一、引言....................................................................................................2
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:.....................................................................................................................3
三、设计原则............................................................................................4
四、企业网络安全解决方案的思路........................................................5
(一)安全系统架构..........................................................................5
(二)安全防护体系..........................................................................5
(三)企业网络安全结构图..............................................................6
五、整体网络安全方案............................................................................7
(一)网络安全认证平台..................................................................7
(二)VPN系统................................................................................7
(三)网络防火墙..............................................................................8
(四)病毒防护系统..........................................................................8
(五)对服务器的保护......................................................................9
(六)日志分析和统计报表能力....................................................10
(七)内部网络行为的管理和监控..............................................11
(八)身份认证的解决方案............................................................12
六、方案的组织与实施方式..................................................................12
七、总结..................................................................................................13 教师评语:..............................................................................................14
要解决的几个关键问题
设计企业网络安全方案
摘 要:
随着互联网的不断更新与发展,它给我们带来了极大的利益和方便。但是,随着互联网的空前发展以及互联网技术的普及,使我们面临另外提个困境:私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下,伴随而来的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着互联网的空前发展以及互联网技术的不断普及,企业的重要数据信息都被暴露在公共网络空间下,很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视。因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,如何使企业信息网络系统免受黑客和病毒的入侵,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展。
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多 2
要解决的几个关键问题
样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子 化、信息化的发展将起到非常重要的作用。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
图说明 图一 企业网络简图
要解决的几个关键问题
(一)对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
(二)由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.技术先进性原则 2.系统性原则
要解决的几个关键问题
3.管理可控性原则 4.技术与管理相结合原则 5.多重保护原则 6.系统可伸缩性原则 7.测评认证原则
四、企业网络安全解决方案的思路
(一)安全系统架构
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。
(二)安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
要解决的几个关键问题
图说明 图二 网络与信息安全防范体系模型
(三)企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
要解决的几个关键问题
五、整体网络安全方案
(一)网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1.身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
2.数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3.数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4.不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
(二)VPN系统一个完全私有的网络可以解决许多安全问题,因为很多恶意攻击者根本无法进入网络实施攻击。但是,对于一个普通的地理覆盖范围广的企业或公司,要搭建物理上私有的网络,往往在财政预算上是不合理的。VPN技术就是为了解决这样一种安全需求的技术。
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
要解决的几个关键问题
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。其网络结构一般如下:
图说明 图四 防火墙
安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。所有来自internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。
入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行。
(四)病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
要解决的几个关键问题
1.邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
2.服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
3.客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
4.集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
(五)对服务器的保护
服务器的安全对企业来说是至关重要的,近几年来,服务器遭遇“黑手”的风险越来越大,就最近服务器遭遇病毒、黑客攻击的新闻不绝于耳。首先,这些恶意的攻击行为,旨在消耗服务器资源,影响服务器的正常运作,甚至攻击到服务器所在网络瘫痪。还有一方面,就是入侵行为,这种大多与某些利益有关联,有的涉及到企业的敏感信息,有的是同行相煎。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次 9
要解决的几个关键问题
结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式):
图说明
图五
邮件系统保护
(六)日志分析和统计报表能力
所有的网站统计报告都是相同的么?日志分析与实时统计分析工具报告和追踪网站的活动都有着很大的区别。因为他们收集不同的信息,所以提供的报告也许并不一致。实时统计工具的优势在于跟踪访问者行为和精确的页面浏览量统计。
如果很清楚的理解这些工具是怎样进行统计的,您将能更好的理解两种报告的差异,并协调使用不同的数据,从而帮助您在营销和市场活动中做出更有效的决定。
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种 10
要解决的几个关键问题
形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。
(七)内部网络行为的管理和监控
内部网络行为监管审计系统是在网络整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,采取多层架构、分布式设计,可满足党政机关以及企事业单位对保障数据、信息的安全性及完整性的迫切要求。对内部网络行为的管理监控结果有效,审计结果取证完整、记录可信。以下是几种系统:
1.监控中心控制台
运行在Windows2000各种版本/Windows XP下,对系统安全策略进行统一管理与发布,对系统的安全设备及配置进行统一管理,对系统的日志进行审计、分析、报告,对安全事件进行应急响应和处理,可随机抽查网络内受控主机的屏幕信息并可记录和回放。2.身份认证识别服务器
运行在Windows2000 Server版本下,采用一次一变的动态口令,有效的解决了一般静态口令易截取、易窃听、易猜测等安全隐患,用于内部网使用人员的身份管理和网络安全管理员身份的认证控制。3.受控主机代理
运行在Windows2000各种版本/Windows XP下,根据监控中心控制台设置的策略规则(包括登录策略、文件策略、一机两用策略、屏幕监控策略、输入输出策略等),实时进行信息采集,阻止违规操作,将违规操作报警到控制台。4.邮件监控器代理
运行在Windows2000各种版本下,安装在邮件服务器中,根据监控中心控制台设置的邮件策略规则,根据时间段、计算机的IP地址、Email地址进行阻止、报警,将违规操作报警到控制台。5.网络感应器代理
运行在Windows2000各种版本/Windows XP下,采集网络中的信息流量,根据控制台的要求,将采集的网络信息流量上传到控制台,进行审计统计。并可实时检测出网络内非法接入的其它设备。
要解决的几个关键问题
则内网综合保护简图如下图七所示:
图说明
图七
内网综合保护
(八)身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全 12
要解决的几个关键问题
流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本课程设计以某公司为例,分析了网络安全现状,重点提出了管理技术和维护技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从
要解决的几个关键问题
技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
教师评语:
点击咨询 