第一篇:中国网络安全企业市场综合之尴尬
中国网络安全企业市场综合之尴尬
时间:2009-02-24 07:1
4本文乃一家之言,仅从市场的角度综合描述中国的网络安全现状,包括用户、产品、渠道、网络安全状况,希冀能够促进安全业界的发展,促进中国用户网络安全的改善,为我们中国的信息化贡献一点力量;
从事网络安全多年,接触厂家和企业无数,跌跌撞撞走过来后,回首往事,真得颇多感触,对于中国的网络安全事业既爱又恨,网络安全作为中国的朝阳产业,是刚刚学步的幼儿,需要来自各界的支持和自我的努力奋斗,而现实中,把安全作为事业的公司却生存艰难,借他来作秀的公司却早已脱离了安全的本质,提供给用户的很多产品是混淆视听的垃圾产品,而中国的网络现状又确实漏洞百出,大部分人睡在自己架设的温床里,一旦大规模的病毒爆发或者黑客攻击,绝大部分网站和用户都很难幸免于难,近几年接连爆发的安全事件就说明了这一点,从华为对内部离职员工的起诉到冲击波造成的互联网瘫痪等等已经给我们带来了太多的教训,可是没有遭受致命打击的用户仍然沉睡着,给黑客和病毒营造温床,想想这个就很可怕。比如大家都知道保险有益,可以分散风险,而很多人却很少采取行动,类似的情况在网络安全届尤其如此,没有出事前谁也不会管的,出事了再亡羊补牢,如果事情小还可以,如果事情大,则所有一切将遭受灭顶之灾,连挽救的机会都没有。
互联网发展自诞生之日起就与风险同行,由E_mail,ftp,网上会话等简单应用发展到现在的电子商务和电子政务,应用越来越复杂,安全问题也呈几何级数增长,黑客和病毒给网络带来了前所未有的挑战,安全产品也从防病毒、防火墙、入侵监测、VPN等单一产品走向整体化,比如防火墙原来更多的设计是如何防范黑客入侵,而现在已经在演变成一个综合安全网关,包括了传统的防火墙功能、防病毒网关、网页内容过滤、VPN等等,入侵监测也由单纯的监测走向防御,IDS正在被IDP和IPS取代,概念层出不穷,用户面临的负担也越来越重,每天面对这么多的设备、这么多危险,如何来管理,截止到目前为止,并没有很好的办法,大家只能寄希望与黑客的疏忽,哈哈哈,大家都知道网络安全界的木桶理论,最短的木桶决定了整体的装水数量,黑客指挥找最薄弱的地方攻击,因此我们所面临的问题依然很严重。
首先让我们来看看用户,国内信息化走在前沿的一直集中在政府、电信、金融、电力、烟草、石油化工等行业大户,中小企业仍处于信息化初期,在没有很大量的IT应用的情况下,网络安全问题不会那么突出,尽管这几年是IT市场中增长速度最快的一块,大部分应用比较简单,基础设施的建设和一些初始的应用是主流,ERP软件在该领域的应用是时下各个厂商抢占的重点,增长迅速,而对于安全产品还主要是防火墙和防病毒。
政府市场从99年开始进行大规模的IT建设,已经走过了政府触网(网站建设)、物理设施投入、电子政务等几个阶段,由开始的盲目投资逐渐进入理性规划,以OA为例,在九九年一套OA产品能够卖到近百万,而现在最低的报价甚至只有几万,政府一直对安全比较关注,曾经专门发布文件限定副省级政府部门禁止与互联网连接,造成了网络隔离卡和网闸的巨大市场,由于区域的经济发达程度不同,信息化的理念也有很大的区域差距,华东华南华北等沿海城市远远领先于中部和西部,很多地方已经把其列入政府的目标中,各级政府部门很重视信息化和安全,但由于我们的系统集成商对于安全的认识深浅不一,而政府IT部门也限于人力,可以说我们的安全状况并不好,首先是认识问题,意识决定了很多方面,中央的统一规划到现在也没有,一部分也是国内的现实状况决定的,我们的体制和政府管理都是潜在的影响信息化力量,其次是经济问题,IT建设和安全设备的购买都需要投入很大的金钱,没有钱是没法搞信息化的,再次是IT服务商的问题,很多服务商短视,提供劣质的产品和方案,错误的引导政府部门。
电信市场一直处于信息化的最前沿,投入了大量的设备进行基础设施建设,培养了华为、中兴通讯等巨型厂商,为中国经济建设发展提供了宝贵的动力和保障,目前正在步入信息化的高级阶段,对于安全方面力量投入也是不遗余力,往往采购了很多安全设备,但由于安全设备来自于世界各地各个方面的厂商,而安全产品本身也是日新月异,这里面最缺乏安全规划和安全管理,这也是现状决定的,安全人才的缺乏本身就制约了安全方面的投入,相比于硬件的投入,更需要安全管理等软件因素。
金融市场涵盖银行、保险、证券、信托、基金、财务公司等领域,目前在IT方面各都投入了很大的精力,入世在即,将会面临着巨大的市场竞争压力,信息化建设将决定银行等在未来的竞争力,金融业务不断创新,IT服务于业务需求,今年网上银行业逐渐开展起来,很多都采取身份认证和SSLVPN等作为网上银行的保护方法,这是很好的开始。我所认识的金融业系统集成极其复杂,目前银行内部已形成了多个系统,对于未来的规划和整合将是很大的挑战,而关于安全方面现在还缺少针对应用的方案,更多的是依据产品的安全规划和安全服务,更需要能与银行业务系统紧密结合起来的安全方案和规划。
而对于电力、烟草、石油化工等行业大户,ERP、OA、业务系统等都在逐步的建设中,很多都有了基础安全产品,例如防火墙、防病毒、入侵检测等等,但IT主管在安全方面投入的精力明显很少,这可能也是用户的现状决定了,很多IT部都说他们公司内部懂电脑的人很少,现在基本安全,不怕来自内外部的威胁,这种假设是不成立,本身这个社会就是在动态发展的,现在并不等于将来,现在没人利用你的漏洞,不等于永远都安全,而我们关注的是企业长期发展的保障,比如核电站建设,在一开始的时候就要考虑所有的安全因素,稍有不慎将造成巨型灾难,而对于行业用户的网络安全不用达到这个程度,但是也应该根据本身进行相应的规划,而不应存在侥幸心理。
来自计世咨询的调查报告(样本来自华东、华南、华北的政府、金融、电信、制造等行业)显示:目前中国的用户普遍自我感觉良好,调查显示,92.7%的用户都采取了一定的措施来防止和解决信息安全问题;88.9%的用户建立了相应的安全管理制度;50.9%的用户有专门的信息安全管理机构;74.4%的用户建立了针对信息安全的应急机制;73.1%的用户在建设IT系统时专门考虑过信息安全问题。这些结果表明,绝大部分的用户不仅在理论上很重视信息安全,而且也在组织机构和管理制度上对信息安全给予了充分的保证。调查还发现,用户对“数据被非法利用”非常关注。这说明,国内行业用户对信息安全的重要问题——数据安全已有了相当的认识,因此也得出了一个结论,信息安全事故影响不大。
更进一步的调查则显示了另一面:一方面,这些信息安全事故均属于“低级水平”,本身的影响有限;另一方面,对国内绝大部分行业用户而言,还没有真正到“离了IT系统企业就无法运营”的状态。对有电脑的用户来说,利用IT系统来帮助自己完成工作已成习惯。一旦没有IT系统,个人的工作会觉得影响非常大,但却不会对整个企业造成多大损失。这也是国内很多用户IT系统的应用现状。造成这种情况深入的解析,由以下原因:
一、认识深度不够,从统计看,“IT系统不稳定”是引发信息安全事故的主要导火索,却没有被纳入信息安全的管理之中,这便是国内行业用户对信息安全认识不足的第一个典型表现。
二、没有对信息安全做专门的风险评估。调查结果表明,仅有15.7%的用户对信息安全的风险做过专门评估。更进一步,即使在那些已做过评估的用户中,其评估的内容也不够全面。
根据世界经合组织制定的“信息系统安全准则”,没有做过专门的风险评估,就不会有科学合理的信息安全策略。事实上,调查结果也反映了这一现象。调查发现,尽管有74.4%的用户都建立了信息安全的应急机制,但他们制定应急机制所包含的内容却远远不够。只有21.5%的用户建立了“保证业务连续性”的应急计划,排在第五位。但从世界经合组织制定的“信息系统安全准则”来看,“业务连续性”是必须首先要得到保证的。
其次再让我们来看看国内的主要安全产品供应商,据统计,在市场销售额前10名的厂商中国内外企业各占半壁江山,具体排名依次为:赛门铁克、思科、天融信、瑞星、东软、江民、趋势科技、NetScreen、CheckPoint和金山,合计销售产品2.66亿元,占中国网络安全软件市场总销售额的44.2%。其它厂商合计销售额为3.36亿元,占中国网络安全软件市场总销售额的55.8%。从网络安全产品来看,主要包括防杀毒软件、防火墙、入侵检测系统、信息加密以及安全认证等产品。2004年第一季度,中国防杀毒软件市场的销售额为1.75亿元,比2003年同期增长28.7%,占网络安全产品市场销售额的29.1%;防火墙市场的销售额为2.53亿元,比2003年同期增长20.5%,占网络安全产品市场销售额的42.0%;入侵检测系统市场的销售额为0.71亿元,比2003年同期增长9.2%,占网络安全产品市场销售额的11.8%;其它网络安全产品市场的销售额为1.03亿元,比2003年同期增长19.8%,占网络安全产品市场销售额的17.1%。
从2004年第一季度的数据来看,中国网络安全产品市场保持了良好的发展势头,整体市场规模达到6.02亿元,比2003年同期增长21.1%,总体表现较佳。本季度以来,以Mydoom、Netsky和Bagle等恶性蠕虫病毒以及它们的变种为代表的各种病毒大规模轮番发作,严重威胁计算机网络安全,给用户带来了极大的麻烦并造成十分严重的经济损失。垃圾邮件问题成为本季度人们关注的热点,社会各界强烈呼吁采取有效办法制止垃圾邮件,目前已经建立了国内第一个“反垃圾邮件技术联盟”,有关反垃圾邮件立法方案亦有望出台,这是目前的几个热点。
防病毒由单机版发展到网络版,由桌面防毒、网关防毒再到整体防毒,曾几何时,存在安全就是病毒的误解,病毒技术的不断创新造成了反病毒市场的繁荣,从CIH到尼姆达、红色代码、冲击波,每一次新的病毒都造成前所未有的冲击,带来了巨大的损失的同时也给厂商创造了无限的商机,从国内的厂商江民、瑞星、金山、熊猫、KILL到国外的厂商诺顿、趋势、Mcafee等等,诺顿、趋势等已在国际资本市场不断的创造商业契机,相比而言,国内的安全厂商就寒酸的多了,除了瑞星近两年不断创新在中小企业市场逐渐占领了一席之地外,江民、金山等都日益在走下坡路,根本问题在于没有核心竞争力和持续的创新,仅仅靠渠道和市场炒作,就如昙花一现,很难持久,几年以前,我们更多的是单机市场,但是自2001年网络病毒的流行造成了巨大的企业市场,而中国本土企业在技术更新换代方面远远落后,目前瑞星在中小企业市场逐渐站稳了脚跟,但产品与国外产品相比仍有差距,而金山和江民虽推出网络版,但产品稳定性和市场策略都差距较大,渠道中都很少见到,短期内很难有大的作为,而诺顿和MCAfee一支盘踞中高端市场,趋势科技在国内进入比较晚,现在也奋起直追,而且大家都不约而同的扑向中小企业市场,相信病毒市场竞争将会更加激烈,淘汰更加残酷。技术创新和服务创新将是未来的生存之道。
防火墙产品已经由单一的防火墙演化成综合安全网关,该领域也是国际厂商占据领导地位,Cisco、Netscreen(被Junifor收购)、Checkpoint、nokia、sonicwall等占据了大型应用的主流,而国内厂商则风起云涌,两三年间涌现出了1000多家防火墙供应商(其中拥有自主产品就占据了200多家),可以说目前竞争也已进入白热化,而众多分销商就像卖电脑一样的去买防火墙,利润被压制的越来越薄,不过还好政府市场的硬性规定给了中国厂商特殊的机会,但是这并不能把国内厂商培养壮大,真正的IT市场在于企业市场,而中国IT公司好像很难在大的行业用户里与国外同行产品竞争,关键还是在于技术和产品本身,而且中国的厂商普遍成长时间短、积累不足、应用群窄、IT研发不足、产品雷同严重等等都是国内安全产品的硬伤,大鱼吃小鱼,末位淘汰将在未来的安全领域上演。
而对于入侵检测产品,目前只有高端用户采购使用,而且状况很不理想,采购后使用一段时间往往束之高阁,一部分原因该产品本身技术不成熟,海量数据造成IT人员无所适从,另一部分国内采购方往往追求概念,或者被供应商误导,在利益的驱动下匆匆采购,而并没
有从本身的IT建设实用性出发,安全的本质是为业务系统保驾护航,而不是单纯的采购设备架设在那里,由问题就有需求,未来入侵监测还会有发展,只不过短期内不会成为主流。垃圾邮件已成为互联网应用最令人头疼的事情,上班一打开电脑,就有几百封的垃圾邮件混杂在正常邮件中涌现出来,光处理这些就要一两个小时,如果带病毒,还会影响合作伙伴的业务往来,今年有法律规定,邮箱在1000个以上和政府教育等大型部门必须采取反垃圾邮件措施,很多服务器因为安全漏洞都成了替罪羔羊,而关于这方面的解决方案目前并没有很完善的,像趋势、诺顿等原厂商也不能很好地解决该类问题,而国内的专业反垃圾邮件厂商等也在探索之中,该方面的技术突破还需要时间。
对于CA等方面的建设,目前国内还处于探索阶段,无论是电子政务还是电子商务,应用前景广阔,但由于投资巨大,维护成本高昂,与应用结合的紧密程度,目前建设的几个CA中心仍处于摸索阶段,现在仍没有很好的盈利模式,亏损状况短期是难以扭转。目前国内的主流厂商有上海格尔、吉大正元、深圳维豪等等。
对于安全服务市场,安全服务包含两个方面,一方面是基于产品的维护升级等延伸服务,另一方面是安全策略、安全规划、安全评估等纯粹的安全咨询服务,几乎所有的厂商都会重视第一类安全服务,比如CA、诺顿等都提供整体的安全解决方案,但他们的方案因为他们的产品线齐全,也很少会从用户的角度去考虑提供第二类的服务,而第二类的服务供应商还很少,目前主要由中科网威、天融信、中联绿盟等提供,纯粹的服务商还很难生存,这主要是因为一方面市场需求还没有起来,另一方面是用户对这方面的认识不深,未来的发展机遇还是巨大的,关键是要在合适的时候进入。
希冀中国的安全事业能够如日中天,越走越高,能够为中国的信息化护驾保航,使中国立足于21信息化世纪的强手之林。
第二篇:企业网络安全综合设计方案
企业网络安全综合设计方案 企业网络分析
此处请根据用户实际情况做简要分析
网络威胁、风险分析
针对XXX企业现阶段网络系统的网络结构和业务流程,结合XXX企业今后进行的网络化应用范围的拓展考虑,XXX企业网主要的安全威胁和安全漏洞包括以下几方面:
2.1内部窃密和破坏
由于XXX企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。
2.2 搭线(网络)窃听
这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对XXX企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。
2.3 假冒
这种威胁既可能来自XXX企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
2.4 完整性破坏
这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
2.5 其它网络的攻击
XXX企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。
2.6 管理及操作人员缺乏安全知识
由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。
由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。
2.7 雷击
由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
注:部分描述地方需要进行调整,请根据用户实际情况叙述。
安全系统建设原则
XXX企业网络系统安全建设原则为:
1)系统性原则
XXX企业网络系统整个安全系统的建设要有系统性和适应性,不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化,而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。
2)技术先进性原则
XXX企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计,选用先进、成熟的安全技术和设备,实施中采用先进可靠的工艺和技术,提高系统运行的可靠性和稳定性。
3)管理可控性原则
系统的所有安全设备(管理、维护和配置)都应自主可控;系统安全设备的采购必须有严格的手续;安全设备必须有相应机构的认证或许可标记;安全设备供应商应具备相应资质并可信。
安全系统实施方案的设计和施工单位应具备相应资质并可信。
4)适度安全性原则
系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性,在允许的风险范围内尽量减少安全服务的规模和复杂性,使之具有可操作性,避免超出用户所能理解的范围,变得很难执行或无法执行。
5)技术与管理相结合原则
XXX企业网络系统安全建设是一个复杂的系统工程,它包括产品、过程和人的因素,因此它的安全解决方案,必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的,必须坚持技术和管理相结合的原则。
6)测评认证原则
XXX企业网络系统作为重要的政务系统,其系统的安全方案和工程设计必须通过国家有关部门的评审,采用的安全产品和保密设备需经过国家主管理部门的认可。
7)系统可伸缩性原则
XXX企业网络系统将随着网络和应用技术的发展而发生变化,同时信息安全技术也在发展,因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。
网络安全总体设计
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据XXX企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,本方案主要从以下几个方面进行安全设计:
l 网络系统安全;
l 应用系统安全;
l 物理安全;
l 安全管理;
4.1 安全设计总体考虑
根据XXX企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:
l 网络传输保护
主要是数据加密保护
l 主要网络安全隔离
通用措施是采用防火墙
l 网络病毒防护
采用网络防病毒系统
l 广域网接入部分的入侵检测
采用入侵检测系统
l 系统漏洞分析
采用漏洞分析设备
l 定期安全审计
主要包括两部分:内容审计和网络通信审计
l 重要数据的备份
l 重要信息点的防电磁泄露
l 网络安全结构的可伸缩性
包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展
l 网络防雷
4.2 网络安全
作为XXX企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,4.2.1 网络传输
由于XXX企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。
由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据XXX企业三级网络结构,VPN设置如下图所示:
图4-1三级 VPN设置拓扑图
每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的:
l 网络传输数据保护;
由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输
l 网络隔离保护;
与INTERNET进行隔离,控制内网与INTERNET的相互访问
l 集中统一管理,提高网络安全性;
l 降低成本(设备成本和维护成本);
其中,在各级中心网络的VPN设备设置如下图:
图4-2 中心网络VPN设置图
由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。
下级单位的VPN设备放置如下图所示:
图4-3 下级单位VPN设置图
从图4-4可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。
由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。
4.2.2 访问控制
由于XXX企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求:
l 控制外部合法用户对内部网络的网络访问;
l 控制外部合法用户对服务器的访问;
l 禁止外部非法用户对内部网络的访问;
l 控制内部用户对外部网络的网络;
l 阻止外部用户对内部的网络攻击;
l 防止内部主机的IP欺骗;
l 对外隐藏内部IP地址和网络拓扑结构;
l 网络监控;
l 网络日志审计;
详细配置拓扑图见图4-
1、图4-
2、图4-3。
由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:
l 管理、维护简单、方便;
l 安全性高(可有效降低在安全设备使用上的配置漏洞);
l 硬件成本和维护成本低;
l 网络运行的稳定性更高
由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。
4.2.3 入侵检测
网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
入侵检测系统的设置如下图:
从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。
第三篇:春节之尴尬
春节之尴尬
阆中市老观镇中心学校 六年级一班黄杨芬
又一个春节到了,相信大家十分兴奋吧!许多人都会认为春节是一个大家都喜欢的节日。我却反对!这是为什呢?因为我觉得过春节会有尴尬之处。
尴尬一:走亲访友
平时,人们都很忙,只有过春节时亲朋好友之间才有时间互相走动走动。对小孩子来说,父母带着你上亲戚家去拜年或者很多亲戚到你家来了,如果你不会叫人则会被视为不懂礼貌!可我这人天生害羞,记性又差,只好涨红了小脸,跟在爸爸、妈妈的身后,听他们不断地说着:“这是某某姑,那是某某婶;这叫某某姐,那叫某某哥„„”偏偏这些七大姑八大姨,又特别自恋,吃惊地问道:“芬儿,我们在某某时某某地方见过的呀!你怎么又忘了?”我不好意思说记不得了,(因为说记不得那不是更没有礼貌了吗?)只好尴尬地笑笑,我想我那时应该笑的很难看,比哭还难看。
尴尬二:吃饭
春节期间,从大年初一就开始走亲访友,家里几乎顿顿不用做饭,却顿顿几乎都吃大鱼大肉,不少人的腰围粗了一圈,很是烦恼;这对于贪吃的瘦小的我来说,挺好的。我唯一烦恼的就是吃汤圆:不知是怕客人饿着,还是为了驱寒,每走一处亲戚,主人首先热情地给你端上一碗热腾腾的汤圆,一人一碗,非吃不可,上顿大姨家是汤圆,下顿姑姑家又是汤圆,下下顿舅舅家还是汤圆„„真腻人啊!一个春节下来,看见汤圆我就想吐了。圆圆的汤圆,你让我如此尴尬,我讨厌你!
亲朋好友聚在一起,好客的主人好像恨不得把家里所有的好吃的好喝的全搬出来,桌子上是堆积如山。大人们见我是小孩子,都格外照顾我,不停地向我的碗中夹吃的,不一会儿,碗中都堆了一座小山了,总也吃不完,急的我满头大汗,最后实在难以下咽了,准备悄悄下桌逃走,不料父母却拉住我说:“芬儿,你以前不是很喜欢吃这些的吗?今天怎么啦?不舒服?胃疼?还是发烧„„?”
“没事!”我推开了来摸我额头的手。“没事就好,快吃吧!”“唉——”我只好硬着头皮坐下继续尴尬地吃下去。
尴尬三:拼孩子
走亲访友期间,茶余饭后大人们聚在一起闲聊,自然会谈到各自的孩子,我知道实际上他们是在拿自己的孩子来拼比。我在一旁听着他们的那些议论,心里是无比的愤怒,真想冲过去大吼一声,可又不敢。更尴尬的是,爸妈竟然把我平日里的那些囧事全抖了出来,羞得我在一旁恨不得有个地缝钻进去。
我的春节便是在这些尴尬的事情中度过的。这就是我的春节,尴尬的春节!
指导教师:李跃珍
第四篇:企业网络安全方案设计
信息安全课程设计
企业网络安全方案的设计企业网络安全方案设计
摘 要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:
(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
(2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员信息安全课程设计
企业网络安全方案的设计工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
(3)内部网络之间、内外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
信息安全课程设计
企业网络安全方案的设计
图说明 图一 企业网络简图
对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.标准化原则 信息安全课程设计
企业网络安全方案的设计2.系统化原则 3.规避风险原则 4.保护投资原则 5.多重保护原则 6.分步实施原则
四、企业网络安全解决方案的思路
1.安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。2.安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
图说明 图二 网络与信息安全防范体系模型 信息安全课程设计
企业网络安全方案的设计3.企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
五、整体网络安全方案
1.网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1)身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。信息安全课程设计
企业网络安全方案的设计
2)数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3)数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4)不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。2.VPN系统
VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
3.网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下:
图说明 图四 防火墙
此外在实际中可以增加入侵检测系统,作为防火墙的功能互补,提供对监控信息安全课程设计
企业网络安全方案的设计网段的攻击的实时报警和积极响应等功能。4.病毒防护系统
应强化病毒防护系统的应用策略和管理策略,增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护
在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式): 信息安全课程设计
企业网络安全方案的设计
图说明
图五
邮件系统保护 6.关键网段保护
企业中有的网段上传送的数据、信息是非常重要的,应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。
图说明
图六
关键网段的防护 7.日志分析和统计报表能力
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目信息安全课程设计
企业网络安全方案的设计标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控
除对外的防护外,对网络内的上网行为也应该进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。分别有以下几种系统:
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
则内网综合保护简图如下图七所示: 信息安全课程设计
企业网络安全方案的设计
图说明
图七
内网综合保护 9.移动用户管理系统
对于企业内部的笔记本电脑在外工作,当要接入内部网也应进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全信息安全课程设计
企业网络安全方案的设计流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本设计以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的信息安全课程设计
企业网络安全方案的设计实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
第五篇:企业网络安全方案设计---
海南经贸职业技术学院信息技术系
︽ 网 络
安
案 全
例 ︾
设
计
报
告
题 目 企业网络安全方案的设计
学 号 1***
班 级 11级网络1 班
姓 名 XXX
指导老师 XXX
要解决的几个关键问题
目录
摘 要:.......................................................................................................2
一、引言....................................................................................................2
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:.....................................................................................................................3
三、设计原则............................................................................................4
四、企业网络安全解决方案的思路........................................................5
(一)安全系统架构..........................................................................5
(二)安全防护体系..........................................................................5
(三)企业网络安全结构图..............................................................6
五、整体网络安全方案............................................................................7
(一)网络安全认证平台..................................................................7
(二)VPN系统................................................................................7
(三)网络防火墙..............................................................................8
(四)病毒防护系统..........................................................................8
(五)对服务器的保护......................................................................9
(六)日志分析和统计报表能力....................................................10
(七)内部网络行为的管理和监控..............................................11
(八)身份认证的解决方案............................................................12
六、方案的组织与实施方式..................................................................12
七、总结..................................................................................................13 教师评语:..............................................................................................14
要解决的几个关键问题
设计企业网络安全方案
摘 要:
随着互联网的不断更新与发展,它给我们带来了极大的利益和方便。但是,随着互联网的空前发展以及互联网技术的普及,使我们面临另外提个困境:私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下,伴随而来的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着互联网的空前发展以及互联网技术的不断普及,企业的重要数据信息都被暴露在公共网络空间下,很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视。因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,如何使企业信息网络系统免受黑客和病毒的入侵,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展。
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多 2
要解决的几个关键问题
样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子 化、信息化的发展将起到非常重要的作用。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
图说明 图一 企业网络简图
要解决的几个关键问题
(一)对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
(二)由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.技术先进性原则 2.系统性原则
要解决的几个关键问题
3.管理可控性原则 4.技术与管理相结合原则 5.多重保护原则 6.系统可伸缩性原则 7.测评认证原则
四、企业网络安全解决方案的思路
(一)安全系统架构
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。
(二)安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
要解决的几个关键问题
图说明 图二 网络与信息安全防范体系模型
(三)企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
要解决的几个关键问题
五、整体网络安全方案
(一)网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1.身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
2.数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3.数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4.不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
(二)VPN系统一个完全私有的网络可以解决许多安全问题,因为很多恶意攻击者根本无法进入网络实施攻击。但是,对于一个普通的地理覆盖范围广的企业或公司,要搭建物理上私有的网络,往往在财政预算上是不合理的。VPN技术就是为了解决这样一种安全需求的技术。
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
要解决的几个关键问题
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。其网络结构一般如下:
图说明 图四 防火墙
安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。所有来自internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。
入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行。
(四)病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
要解决的几个关键问题
1.邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
2.服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
3.客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
4.集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
(五)对服务器的保护
服务器的安全对企业来说是至关重要的,近几年来,服务器遭遇“黑手”的风险越来越大,就最近服务器遭遇病毒、黑客攻击的新闻不绝于耳。首先,这些恶意的攻击行为,旨在消耗服务器资源,影响服务器的正常运作,甚至攻击到服务器所在网络瘫痪。还有一方面,就是入侵行为,这种大多与某些利益有关联,有的涉及到企业的敏感信息,有的是同行相煎。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次 9
要解决的几个关键问题
结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式):
图说明
图五
邮件系统保护
(六)日志分析和统计报表能力
所有的网站统计报告都是相同的么?日志分析与实时统计分析工具报告和追踪网站的活动都有着很大的区别。因为他们收集不同的信息,所以提供的报告也许并不一致。实时统计工具的优势在于跟踪访问者行为和精确的页面浏览量统计。
如果很清楚的理解这些工具是怎样进行统计的,您将能更好的理解两种报告的差异,并协调使用不同的数据,从而帮助您在营销和市场活动中做出更有效的决定。
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种 10
要解决的几个关键问题
形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。
(七)内部网络行为的管理和监控
内部网络行为监管审计系统是在网络整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,采取多层架构、分布式设计,可满足党政机关以及企事业单位对保障数据、信息的安全性及完整性的迫切要求。对内部网络行为的管理监控结果有效,审计结果取证完整、记录可信。以下是几种系统:
1.监控中心控制台
运行在Windows2000各种版本/Windows XP下,对系统安全策略进行统一管理与发布,对系统的安全设备及配置进行统一管理,对系统的日志进行审计、分析、报告,对安全事件进行应急响应和处理,可随机抽查网络内受控主机的屏幕信息并可记录和回放。2.身份认证识别服务器
运行在Windows2000 Server版本下,采用一次一变的动态口令,有效的解决了一般静态口令易截取、易窃听、易猜测等安全隐患,用于内部网使用人员的身份管理和网络安全管理员身份的认证控制。3.受控主机代理
运行在Windows2000各种版本/Windows XP下,根据监控中心控制台设置的策略规则(包括登录策略、文件策略、一机两用策略、屏幕监控策略、输入输出策略等),实时进行信息采集,阻止违规操作,将违规操作报警到控制台。4.邮件监控器代理
运行在Windows2000各种版本下,安装在邮件服务器中,根据监控中心控制台设置的邮件策略规则,根据时间段、计算机的IP地址、Email地址进行阻止、报警,将违规操作报警到控制台。5.网络感应器代理
运行在Windows2000各种版本/Windows XP下,采集网络中的信息流量,根据控制台的要求,将采集的网络信息流量上传到控制台,进行审计统计。并可实时检测出网络内非法接入的其它设备。
要解决的几个关键问题
则内网综合保护简图如下图七所示:
图说明
图七
内网综合保护
(八)身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全 12
要解决的几个关键问题
流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本课程设计以某公司为例,分析了网络安全现状,重点提出了管理技术和维护技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从
要解决的几个关键问题
技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
教师评语: