网络安全建议方案.docx
《网络安全建议方案.docx》由会员分享,可在线阅读,更多相关《网络安全建议方案.docx(31页珍藏版)》请在冰豆网上搜索。
网络安全建议方案
XXXX网络安全建议方案
VER:
1.0
XXXXXXXXXXXXXX有限公司
2009年7月
1前言
随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业,全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。
但在地下黑色产业链的推动下,网络犯罪行为趋利性表现更加明显,追求经济利益依然是主要目标。
黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等,并结合社会工程学,窃取大量用户数据牟取暴利,包括网游账号、网银账号和密码、网银数字证书等。
木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链条,为各种网络犯罪行为带来了利益驱动,加之黑客攻击手法更具隐蔽性,使得对这些网络犯罪行为的取证、追查和打击都非常困难。
在我国,近几年随着网络技术的发展,网络应用的普及和丰富,网络安全的问题也日益严重,利用信息技术进行的高科技犯罪事件呈现增长态势。
根据国际权威应急组织CERT/CC统计1,2007年公布漏洞数7236个,平均每天接近20个!
自1995年以来各年来漏洞公布总数38016个。
网络信息系统存在的安全漏洞和隐患层出不穷,网络攻击的种类和数量成倍增长,终端用户和互联网企业是主要的受害者,基础网络和重要信息系统面临着严峻的安全威胁。
2007年各种网络安全事件与2006年相比都有显著增加。
接收的网络仿冒事件和网页恶意代码事件成倍增长,分别超出去年总数的近1.4倍和2.6倍,被篡改网站数量比去年增加了1.5倍。
安全问题已经成为制约网络技术发展的首要因素!
2安全需求分析
安全风险分析
网络应用给人们带来了无尽的好处,更方便各项日常工作的开展。
但随着网络应用扩大网络安全风险也变得更加严重和复杂。
原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。
瞄准网络系统可能存在的安全漏洞,黑客们所制造的各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。
完整的网络安全风险评估是对网络内的信息资产进行价值评估、对网络存在的威胁进行评估、对整体安全策略和制度的有效性进行评估、以及对系统漏洞被利用的可能性进行评估后的综合结果。
它是一项综合系统的工程,是风险管理的重要组成部分,也是整体网络安全解决方案的重要参考依据。
3.2.1安全弱点分析
3.2.1.1系统和应用脆弱性
网络内部运行有ERP服务器、OA服务器、数据库服务器等。
这些服务器是最容易受到攻击的薄弱点。
众所周知,每一种操作系统都包含有漏洞(如下表所示),开发厂商也会定期发布补丁包。
如何对重要服务器进行漏洞扫描、入侵检测、补丁管理成为日常安全维护的重要工作。
网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。
ID
名称
说明举例
1
Backdoor
各种后门和远程控制软件,例如BO、Netbus等
2
BruteForce
各种浏览器相关的弱点,例如自动执行移动代码等
3
CGI-BIN
各种CGI-BIN相关的弱点,例如PHF、wwwboard等
4
Daemons
服务器中各种监守程序产生弱点,例如amd,nntp等
5
DCOM
微软公司DCOM控件产生的相关弱点
6
DNS
DNS服务相关弱点,例如BIND8.2远程溢出弱点
7
E-mail
各种邮件服务器、客户端相关的安全弱点,例如Qpopper的远程溢出弱点
8
Firewalls
各种防火墙及其代理产生的安全弱点,例如GauntletFirewallCyberPatrol内容检查弱点
9
FTP
各种FTP服务器和客户端相关程序或配置弱点,例如WuFTPDsiteexec弱点
10
InformationGathering
各种由于协议或配置不当造成信息泄露弱点,例如finger或rstat的输出
11
InstantMessaging
当前各种即时消息传递工具相关弱点,例如OICQ、IRC、Yahoomessager等相关弱点
12
LDAP
LDAP服务相关的安全弱点,
13
Network
网络层协议处理不当引发的安全弱点,例如LAND攻击弱点
14
NetworkSniffers
各种窃听器相关的安全弱点,例如NetXRay访问控制弱点
15
NFS
NFS服务相关的安全弱点,例如NFS信任关系弱点
16
NIS
NIS服务相关的安全弱点,例如知道NIS域名后可以猜测口令弱点
17
NTRelated
微软公司NT操作系统相关安全弱点
18
ProtocolSpoofing
协议中存在的安全弱点,例如TCP序列号猜测弱点
19
Router/Switch
各种路由器、交换机等网络设备中存在的安全弱点,例如CiscoIOS10.3存在拒绝服务攻击弱点
20
RPC
RPC(SUN公司远程过程调用)服务相关的弱点,例如rpc.ttdbserver远程缓冲区溢出弱点
21
Shares
文件共享服务相关的安全弱点,i.e.NetBIOS/Samba等相关弱点,例如Samba缓冲区溢出弱点
22
SNMP
SNMP协议相关的安全弱点,例如利用“public”进行SNMP_SET操作
23
UDP
UDP协议相关弱点,例如允许端口扫描等
24
WebScan
Web服务器相关安全弱点,例如IISASPdot弱点
25
XWindows
X服务相关安全弱点
26
Management
安全管理类漏洞
3.2.1.2管理脆弱性
再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环。
管理的脆弱性主要体现在以下一些方面:
●缺乏针对性的安全策略和安全技术规范,安全管理和运行维护的组织不健全。
●缺乏有效的安全监控措施和评估检查制度,无法有效的发现和监控安全事件,不利于及时发现安全事件并采取相应的措施。
●缺乏完善的灾难应急计划和制度,对突发的安全事件没有制定有效的应对措施,没有有效的对安全事件的处理流程和制度。
3.2.2安全威胁分析
网络安全所面临的威胁来自很多方面,这些威胁可以宏观地分为人为威胁和自然威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。
这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。
人为威胁,也就是说对网络的人为攻击。
这些攻击手段都是通过过寻找系统的弱点,以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估量的损失。
人为威胁主要包括:
●中断:
是对系统的可用性进行攻击,如破坏计算机硬件、线路或文件管理系统。
●窃听:
是对系统的保密性进行攻击,如搭线窃听、对文件或程序的非法拷贝。
●篡改:
是对系统完整性进行攻击,如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容。
●伪造:
是对系统的真实性进行攻击,如在网络中插入伪造的消息或在文件中插入伪造的记录。
攻击类型又可以分为被动攻击和主动攻击
被动攻击相应于攻击类型中的窃听,敌手的目标是窃取传输中的数据。
对加密的消息,敌手可能无法获取消息的真实内容,然而敌手却有可能获得消息的格式、确定通信双方的身份和位置,以及通信的次数和消息的长度,而这些消息对通信双方来说是敏感的。
被动攻击因不对传输的消息做任何修改,因而是难以检测的,所以抗击这种攻击的重点在于预防而不是检测。
主动攻击又可分为以下四个子类:
●假冒:
某个实体假装成另外一个实体,以便使一线的防卫者相信它是一个合法的实体,取得合法用户的权利和特权,这是侵入安全防线最为常用的方法。
●重放:
攻击者对截获的某次合法数据进行拷贝,以后出于非法目的而重新发送。
●消息的篡改:
通信数据在传输过程中被改变、删除或替代。
●业务拒绝:
对通信设备的使用和管理被无条件地拒绝。
绝对防止主动攻击是十分困难的,因为需要随时随地对通信设备和通信线路进行物理保护,因此抗击主动攻击的主要途径是检测,以及对此攻击造成的破坏进行恢复。
3.2.3安全风险总结
通过对上述信息系统的弱点和威胁进行分析,我们可以对系统所面临的风险从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述:
3.2.3.1物理安全风险
●地震、水灾、火灾等环境事故造成整个系统毁灭;
●电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;
●设备被盗、被毁造成数据丢失或信息泄漏;
●电磁辐射可能造成数据信息被窃取或偷阅。
3.2.3.2网络安全风险
●DOS/DDOS攻击、DNS欺骗攻击,会造成服务器服务的中断,影响业务的正常运行;
●内部用户通过Sniffer等嗅探程序在网络内部抓包,获得系统用户名和口令等关键信息或其他机密数据,进而假冒内部合法身份进行非法登录,窃取内部网重要信息;
●内部用户通过扫描软件或取其他用户系统或服务器的各种信息,并利用这些信息对整个网络或其他系统进行破坏。
●病毒,尤其是蠕虫病毒爆发,将使整个网络处于瘫痪状态。
●目前,垃圾邮件已经成为网络安全的又一种重大威胁,垃圾邮件或邮件炸弹的爆发将使网络带宽大量被消耗,邮件服务器系统资源消耗殆尽,不能够进行正常的邮件转发服务。
3.2.3.3系统安全风险
目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其后门。
而且系统本身必定存在安全漏洞。
这些“后门”或安全漏洞都将存在重大安全隐患。
但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。
3.2.3.4管理安全风险
对于管理风险包括:
◆内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
◆机房重地却被任何人都可以进进出出,来去自由。
存有恶意的入侵者便有机会得到入侵的条件。
◆内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。
利用网络开些小玩笑,甚至破坏,如传出至关重要的信息、错误地进入数据库、删除数据等等。
这些都将给网络造成极大的安全风险。
◆非法人员进入重要部门或机房,非法获得资料或对设备进行破坏;
◆员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
◆大量的人为因素的安全隐患,为破坏着进入系统造成了便利,例如:
1.部分系统管理员密码强度不够,或没有设置密码;
2.密码和帐号名相同或者采用帐号名翻转作为密码;
3.采用电话号码作为密码;
4.采用单一字符集作为密码,例如qqqqqq;
5.密码的复杂程度不够;
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。
责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
即除了从技术上下功夫外,还得依靠安全管理来实现。
安全需求分析
安全目标
通过对网络结构、网络安全风险分析,再加上黑客、病毒等安全危胁日益严重,网络安全问题的解决势在必行。
针对不同安全风险必须采用相应的安全措施来解决,使网络安全达到一定的安全目标。
◆保护网络系统的可用性;
◆保护网络系统服务的连续性;
◆防范网络资源的非法访问及非授权访问;
◆防范入侵者的恶意攻击与破坏;
◆防范病毒的侵害;
◆实现网络的安全管理。
安全需求
访问控制需求
防范非法用户非法访问
非法用户的访问会给网内的用户带来巨大的安全风险。
非法用户的非法访问也就是黑客或间谍的攻击行为。
在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。
但对于用户名及口令的保护方式,对有攻击目的的人而言,根本就不是一种障碍。
他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口令,这都将不是难事,而且可以说只要花费很少的时间。
因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只有合法用户才能访问合法资源。
防范合法用户非授权访问
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。
一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有一定的隐私性。
外部用户被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信息泄密。
所以,还得加密访问控制的机制,对服务及访问权限进行严格控制。
防范假冒合法用户非法访问
网络管理上及实际需求上是要求合法用户可正常访问被许可的资源。
既然合法用户可以访问资源。
那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。
因此,必需从访问控制上做到防止假冒而进行的非法访问。
防病毒系统需求
病毒对于网络来说威胁极大。
因为网络内的用户情况复杂,很多员工的好奇心理导致他们会有意无意的访问到含有病毒的网站或者下载带病毒的程序。
针对防病毒危害性极大并且传播极为迅速的特点,必须配备从单机到服务器的整套防病毒软件,实现全网的病毒安全防护。
安全管理体制
健全的人的安全意识可以通过安全常识培训来提高。
人的行为的约束只能通过严格的管理体制,并利用法律手段来实现。
网络上存在的客观问题是人员复杂,用户流动性很大。
因此在网络中采用严格的管理机制有利于对所有用户的行为控制。
网络系统中也可以通过部署相应的安全管理产品,采用一定的技术手段监控各种网络行为。
3安全解决方案
设计原则
●代价平衡原则:
对任一网络,绝对安全难以达到,也不一定是必要的。
对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。
●综合性、整体性原则:
应运用系统工程的观点、方法,分析网络的安全及具体措施。
安全措施主要包括:
行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。
计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。
不同的安全措施其代价、效果对不同网络并不完全相同。
计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。
●一致性原则:
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。
实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
●易操作性原则:
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
●适应性及灵活性原则:
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
●多重保护原则:
任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
●可评价性原则:
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
网络安全是整体的、动态的。
网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。
安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。
网络安全的动态性是指,网络安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器),原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全。
所以,建立网络安全系统不是一劳永逸的事情。
●整体规划分步实施:
针对安全体系的特性,我们可以采用“统一规划、分步实施”的原则。
我们可以先对网络做一个比较全面的安全体系规划、分步实施工。
随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,建立增强的安全防护体系。
安全体系结构
通过对网络应用的全面了解,按照安全风险、需求分析结果、安全策略以及网络的安全目标等方面的分析,网络具体的安全控制系统可以从以下几个方面分述:
物理安全、系统安全、网络安全、应用安全、管理安全。
物理安全
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
它主要包括三个方面:
环境安全
对系统所在环境进行安全保护,如区域保护和灾难保护(参见国家标准GB50174-1993《电子计算机机房设计规范》、国标GB/T2887-2000《电子计算机场地通用规范》、GB/T9361-1988《计算站场地安全要求》)。
设备安全
设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份。
通过严格管理及提高员工的整体安全意识来实现。
系统安全
操作系统安全
对于操作系统的安全防范可以采取如下策略:
尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件(如UNIX下:
/.rhost、etc/host、passwd、shadow、group等;WindowsNT下的LMHOST、SAM等)使用权限进行严格限制;加强口令字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令),并及时给系统打补丁、系统内部的相互调用不对外公开。
通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地进行对网络设备重新配置或升级。
应用系统安全
在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号。
如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。
还有就是加强登录身份认证。
确保用户使用的合法性;并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
网络安全
网络安全是整个安全解决方案的关键,分别从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒、非法外联监控等方面描述。
隔离与访问控制
划分安全区域
网络需要保护的对象主要是为用户提供服务的应用服务器。
如果网络中所有服务器与用户的普通计算机混杂在一起,很难进行访问控制或者部署其他的安全策略。
因此,我们把网络按照各种设备的不同安全等级分成四个安全区域:
●互联网区
●外部服务器区
●内部服务器区
●内网办公区
●各分支机构
不同的安全区域因为安全级别的不同,因此应在边界处采用防火墙作为访问控制设备。
防火墙的目的是在不同安全区域之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,对进、出不同安全区域的服务和访问进行控制和审计。
配备防火墙
防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。
防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。
并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。
病毒防护
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。
网络系统中使用的操作系统一般为WINDOWS系统,比较容易感染病毒。
因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。
我们建议在整个XXXXXX网络统一部署网关防病毒硬件,这样能够对本安全区域内的病毒防护、升级进行统一管理和控制。
应用安全
内部办公系统中资源共享
严格控制内部用户对网络共享资源的使用。
在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与用户间交换信息时泄漏重要信息。
对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。
虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。
信息存储
对有涉及秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。
对数据库服务器中的数据库必须做安全备份。
通过网络备份系统,可以对数据库进行远程备份存储。
安全产品的部署
统计规划——整体设计
综上所述,我们在XXXXXX网络中按如图所示的方式部署防火墙系统、防病毒系统、入侵检测系统、入侵防御系统、网页防篡改系统、漏洞扫描系统、安全审计系统。
部署防火墙系统:
逻辑上隔离互联网与内部服务器区、办公网区,通过安全策略,有效的控制不同区域之间的访问请求(如访问互联网,MSN、QQ聊天,炒股等)。
部署防病毒系统:
采用网关+服务器+客户端的方式建立完善病毒防御体系,首先,防病毒网关可以抵御蠕虫病毒的攻击,这是传统的防病毒软件无法做到的;其次,作为防病毒体系的边界保护层,防病毒网关可以拒绝病毒和蠕虫于门外(部署在出口处);最后,如果客户端或服务器上的防病毒软件没有及时更新、被禁用或未及时安装的话,则很有可能被病毒感染;而部署防病毒网关则可以及时查杀病毒,避免客户端和服务器感染病毒。
部署入侵检测系统:
实时监控内部服务器区各种数据报文及网络行为,提供及时的报警及响应机制。
其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系,大大增强了用户的整体安全防护强度。
部署入侵防御系统:
对流经网络流量进行分析过滤,来判断是否为异常数据流量或可疑数据流量,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络资源的安全保护。
部署网页防篡改系统:
使正常网页信息具有不可篡改性,防止黑客在网络上可能进行的截获-篡改攻击,保证网站的安全。
部署漏洞扫描系统:
对外服服务器区、内部服务器区、办公网区等的计算机系统或者其它网络设备进行安全相关的检测,以找出网络中的存在的安全隐患和可被黑客利用的漏洞;并针对每一个具体漏洞提供详细的修补方案和安全建议。
部署安全审计系统:
系统对网络和系统中出现的各种访问活动进行监视和记录,通过日志分析和应用活动检测等手段来审查资源的受访情况是否符合安全策略的设定,同时审计也是发现和追踪安全事件的重要措施,是事后追踪处理的依据。
针对XXXXXX我们采用“统一规划、分步实施”的原则。
分步实施——第一步“防护”
使用防火墙将网站服务器区域与其他网络区域进
升级会员 