企业网络安全方案设计Word文档格式.docx
《企业网络安全方案设计Word文档格式.docx》由会员分享,可在线阅读,更多相关《企业网络安全方案设计Word文档格式.docx(12页珍藏版)》请在冰豆网上搜索。
3
三、设计原则5
四、企业网络安全解决方案的思路5
(一)安全系统架构5
(二)安全防护体系6
(三)企业网络安全结构图6
五、整体网络安全方案7
(一)网络安全认证平台7
(二)VPN系统8
(三)网络防火墙8
(四)病毒防护系统9
(五)对服务器的保护10
(六)日志分析和统计报表能力11
(七)内部网络行为的管理和监控11
(八)身份认证的解决方案13
六、方案的组织与实施方式13
七、总结14
教师评语:
15
设计企业网络安全方案
随着互联网的不断更新与发展,它给我们带来了极大的利益和方便。
但是,随着互联网的空前发展以及互联网技术的普及,使我们面临另外提个困境:
私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下,伴随而来的网络安全问题越来越引起人们的关注。
计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。
加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。
关键词:
信息安全、企业网络安全、安全防护
一、引言
随着互联网的空前发展以及互联网技术的不断普及,企业的重要数据信息都被暴露在公共网络空间下,很容易丢失或者被一些不法人士获取。
由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视。
因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,如何使企业信息网络系统免受黑客和病毒的入侵,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展。
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。
它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
网络安全产品有以下几大特点:
第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;
第二,网络的安全机制与技术要不断地变化;
第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。
安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。
对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。
政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
图说明图一企业网络简图
(一)对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。
计算机网络规模不断扩大,网络结构日益复杂。
计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
(二)由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。
为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
具体如下:
1.技术先进性原则
2.系统性原则
3.管理可控性原则
4.技术与管理相结合原则
5.多重保护原则
6.系统可伸缩性原则
7.测评认证原则
四、企业网络安全解决方案的思路
(一)安全系统架构
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。
根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。
举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。
因此我们建议企业采用立体多层次的安全系统架构。
这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。
(二)安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。
信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
如图二所示:
图说明图二
网络与信息安全防范体系模型
(三)企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明图三总体安全结构图
五、整体网络安全方案
(一)网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。
目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。
PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。
通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1.身份认证(Authentication):
确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
2.数据的机密性(Confidentiality):
对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3.数据的完整性(Integrity):
确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4.不可抵赖性(Non-Repudiation):
防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
(二)VPN系统
一个完全私有的网络可以解决许多安全问题,因为很多恶意攻击者根本无法进入网络实施攻击。
但是,对于一个普通的地理覆盖范围广的企业或公司,要搭建物理上私有的网络,往往在财政预算上是不合理的。
VPN技术就是为了解决这样一种安全需求的技术。
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。
其网络结构一般如下:
图说明图四防火墙
安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的攻击。
在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。
所有来自internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。
入侵行为的发觉。
它通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
行进入侵检测的软件与硬件的组合便是入侵监测系统。
与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。
一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行。
(四)病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
1.邮件防毒。
采用趋势科技的ScanMailforNotes。
该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。
可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。
ScanMail是NotesDominoServer使用率最高的防病毒软件。
2.服务器防毒。
采用趋势科技的ServerProtect。
该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。
一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
3.客户端防毒。
采用趋势科技的OfficeScan。
该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。
其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
4.集中控管TVCS。
管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。
无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。
简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
(五)对服务器的保护
服务器的安全对企业来说是至关重要的,近几年来,服务器遭遇“黑手”的风险越来越大,就最近服务器遭遇病毒、黑客攻击的新闻不绝于耳。
首先,这些恶意的攻击行为,旨在消耗服务器资源,影响服务器的正常运作,甚至攻击到服务器所在网络瘫痪。
还有一方面,就是入侵行为,这种大多与某些利益有关联,有的涉及到企业的敏感信息,有的是同行相煎。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。
首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。
其次,S/MIME将信件内容加密签名后作为特殊的附件传送。
保证了信件内容的安全性。
下图五是邮件系统保护的简图(透明方式):
图说明图五邮件系统保护
(六)日志分析和统计报表能力
所有的网站统计报告都是相同的么?
日志分析与实时统计分析工具报告和追踪网站的活动都有着很大的区别。
因为他们收集不同的信息,所以提供的报告也许并不一致。
实时统计工具的优势在于跟踪访问者行为和精确的页面浏览量统计。
如果很清楚的理解这些工具是怎样进行统计的,您将能更好的理解两种报告的差异,并协调使用不同的数据,从而帮助您在营销和市场活动中做出更有效的决定。
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。
此外,报表系统还应自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。
(七)内部网络行为的管理和监控
内部网络行为监管审计系统是在网络整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,采取多层架构、分布式设计,可满足党政机关以及企事业单位对保障数据、信息的安全性及完整性的迫切要求。
对内部网络行为的管理监控结果有效,审计结果取证完整、记录可信。
以下是几种系统:
1.监控中心控制台
运行在Windows2000各种版本/WindowsXP下,对系统安全策略进行统一管理与发布,对系统的安全设备及配置进行统一管理,对系统的日志进行审计、分析、报告,对安全事件进行应急响应和处理,可随机抽查网络内受控主机的屏幕信息并可记录和回放。
2.身份认证识别服务器
运行在Windows2000Server版本下,采用一次一变的动态口令,有效的解决了一般静态口令易截取、易窃听、易猜测等安全隐患,用于内部网使用人员的身份管理和网络安全管理员身份的认证控制。
3.受控主机代理
运行在Windows2000各种版本/WindowsXP下,根据监控中心控制台设置的策略规则(包括登录策略、文件策略、一机两用策略、屏幕监控策略、输入输出策略等),实时进行信息采集,阻止违规操作,将违规操作报警到控制台。
4.邮件监控器代理
运行在Windows2000各种版本下,安装在邮件服务器中,根据监控中心控制台设置的邮件策略规则,根据时间段、计算机的IP地址、Email地址进行阻止、报警,将违规操作报警到控制台。
5.网络感应器代理
运行在Windows2000各种版本/WindowsXP下,采集网络中的信息流量,根据控制台的要求,将采集的网络信息流量上传到控制台,进行审计统计。
并可实时检测出网络内非法接入的其它设备。
则内网综合保护简图如下图七所示:
图说明图七内网综合保护
(八)身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。
基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。
它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。
USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:
攻击前的防范、攻击过程中的防范和攻击后的应对。
具体的安全管理贯穿全流程图,如图八所示。
安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明图八安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本课程设计以某公司为例,分析了网络安全现状,重点提出了管理技术和维护技术。
随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;
从单机系统的安全加固,到整体网络的安全管理。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
升级会员 