网络安全整体解决方案word参考模板.docx
《网络安全整体解决方案word参考模板.docx》由会员分享,可在线阅读,更多相关《网络安全整体解决方案word参考模板.docx(33页珍藏版)》请在冰豆网上搜索。
网络安全整体解决方案word参考模板
某证券研究所
网络安全整体解决方案
XX网络安全技术有限公司
序言
随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。
网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。
随着网络上电子商务,电子现金,数字货币,网络国税等新兴业务的兴起,网络安全问题变得越来越重要。
病毒是网络安全最大的隐患,它对网络的威胁占导致经济损失的安全问题的76%。
几乎所有的企业都不同程度的遭受过病毒的侵袭。
目前全球已发现二万余种病毒样本,并且以每月新增300多种的速度继续破坏着网络和单机上宝贵的信息资源。
病毒给每个计算机用户和企业带来了无法估量和弥补的损失。
计算机网络犯罪所造成的经济损失也令人吃惊。
仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。
在全球平均每二十秒就发生一次网上入侵事件。
有近80%的公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。
面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。
此外,随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性能要求的不断提高,网络管理也逐步成为网络技术发展中一个极为关键的任务,对网络的发展产生很大的影响,成为现代信息网络中最重要的问题之一。
如果没有一个高效的网络管理系统对网络进行管理,就很难向广大用户提供令人满意的服务。
据测算,管理一台连网的PC机五年的成本就超过65,000美元。
因此,找到一种使网络运作更高效,更实用,更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求。
虽然其重要性已在各方面得到体现,并为越来越多的人所认识,可迄今为止,在网络管理领域里仍有许多漏洞和亟待完善的问题存在。
某计算机信息安全有限公司创立于2000年,是中国最大的计算机信息安全产品提供商之一。
某在收购知名软件企业南京信源的基础上,组建了一支国内顶尖反病毒专家团队,尖端产品不断推出,企业规模迅速扩大,现已发展成为国内反病毒软件行业技术服务实力最雄厚的企业。
某拥有单机版个人反病毒软件、企业级网络反病毒总体解决方案、基于生物指纹特征技术的加密认证等一系列的网络安全产品。
某突破传统的杀毒软件侧重查杀已知病毒,但不能有效阻止未知病毒和黑客入侵的局限性,在国际上率先提出"病毒实时监测+个人互联网防火墙"的概念,并独立开发出集杀毒、防毒和反黒客于一体的反病毒软件安全之星XP,产品性能达到了国际领先水平,在中国计算机信息安全的发展历史上具有深远的意义。
2000年6月,某承担了国家863项目信息安全领域专攻课题研究;2000年9月13日,负责国家信息安全示范工程XX219工程中信息安全工业技术的研究。
与国家统计局、环保局、铁道部、中国科学院等众多单位进行着长期友好的合作。
通过多项大型网络工程的建设实践,我们深切的认识到任何网络工程的建设都离不开网络安全和网络管理的建设工作。
正是出于对广大用户和企业切身利益的考虑,某网络安全技术有限公司与全球网络安全与管理技术领域的领先多个企业结成战略合作伙伴关系,本着“提供本行业最全面的系列网络安全与管理解决方案和安全服务
”的宗旨,荟萃全球的尖端技术,推出了最优秀的网络总体解决方案和安全服务。
因此,我们有理由相信,有了这样优秀的解决方案,加之我们为您奉上的全方位的周到服务,您的网络一定会变得安全而高效,您的事业也一定会因此而取得巨大的成功。
第一章某证券研究所网络平台安全体系概述
某证券研究所是国内证券经营机构最早成立的、具有独立法人资格和中国证监会批准的证券咨询从业资格的综合性证券研究咨询机构。
其网络主要由办公自动化网(OA)和该研究所托管服务器网站所组成,由于出差在外的移动用户需要访问内部办公网,以访问内部网络资源,网络安全体系的建立和网络安全的全面解决方案更是迫在眉睫。
总体上研究所的网络安全方案包括以下几个主要方面:
(1)办公自动化网络安全。
(2)托管服务器的网络安全。
(3)移动用户访问内部网的认证和通信的安全。
以上几个方面均有不同的安全需求,单一的防火墙远不能满足以上的复杂要求,每种应用会有不同的安全需求,要求建立不同的安全策略,但同时,象不同的应用运行在同一个网络上—样,网络安全也应该是—个统一全面的解决方案。
我们提供的解决方案力图从网络安全的威胁分析入手,在网络的各个层次上解决网络安全问题。
1.1安全威胁
自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。
根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元。
由于某证券研究所网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。
所以,研究所网络可能存在的安全威胁来自以下方面:
(1)操作系统的安全性,目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC;
(2)防火墙的安全性,防火墙产品自身是否安全,是否设置错误,需要经过检验;
(3)来自内部网用户的安全威胁;
(4)缺乏有效的手段监视、评估网络系统的安全性;
(5)采用的TCP/IP协议族软件,本身缺乏安全性;
(6)应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
1.2平台安全的需求
研究所网络平台将支持多种应用系统,对于每种系统均在不同程度上要求充分考虑平台安全。
1.2.1研究所网络的基本安全需求
满足基本的安全要求,是该网络成功运行的必要条件,在此基础上提供强有力的安全保障,是该网络系统安全的重要原则。
研究所网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要办公网,网站服务器系统的安全,是该网络的基本安全需求。
对于各种各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。
该网络基本安全要求:
(1)网络正常运行。
在受到攻击的情况下,能够保证网络系统继续运行。
(2)网络管理/网络部署的资料不被窃取。
(3)具备先进的入侵检测及跟踪体系。
(4)提供灵活而高效的内外通讯服务。
1.2.2移动用户接入内部网的安全需求
与普通网络应用不同的是,某研究所还存在人员经常出差情况,怎样保障移动用户远程安全接入内部网是迫在眉睫要解决的问题。
对于移动用户进入内部网络应该具有较高的网络安全措施。
移动用户进入内部网络应实施以下安全保障:
(1)增强的用户认证,用户认证在网络和信息的安全中属于技术措施的第一道大门,最后防线为审计和数据备份,不加强这道大门的建设,整个安全体系就会较脆弱。
用户认证的主要目的是提供访问控制和不可抵赖的作用。
用户认证方法按其层次不同可以根据以下三种因素提供认证。
1.用户持有的证件,如大门钥匙、门卡等等;
2.用户知道的信息,如密码;
3.用户特有的特征,如指纹、声音、视网膜扫描等等。
根据在认证中采用因素的多少,可以分为单因素认证、双因素认证,多因素认证等方法。
(2)授权,这主要为特许用户提供合适的访问权限,并监控用户的活动,使其不越权使用。
该部分与访问控制(常说的隔离功能)是相对立的。
隔离不是管理的最终目的,管理的最终目的是要加强信息有效、安全的使用,同时对不同用户实施不同访问许可。
(3)数据的传输加密,加密是信息安全应用中最早开展的有效手段之一,数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。
(4)审计和监控,确切说,还应包括数据备份,这是系统安全的最后一道防线。
系统一旦出了问题,这部分可以提供问题的再现、责任追查、重要数据复原等保障。
1.3平台安全与平台性能和功能的关系
通常,系统安全与性能和功能是一对矛盾的关系。
如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。
但是,若要提供更多的服务,将网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。
构建平台安全系统,一方面由于要进行认证、加密、监听、分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。
但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。
选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下,提供灵活的网络服务通道。
采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。
1.4平台安全的体系结构
网络的安全涉及到平台的各个方面。
按照网络OSI的7层模型,网络安全贯穿于整个7层模型。
针对XX网络实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。
平台安全的层次模型
下图表示了对应网络的安全体系层次模型:
图1-1安全体系层次模型
物理层的安全
物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
链路层的安全
链路层的网络安全需要保证通过网络链路传送的数据不被窃听。
主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。
网络层的安全
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
操作系统的安全
操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
应用平台的安全
应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。
由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。
应用系统的安全
应用系统完成网络系统的最终目的--为用户服务。
应用系统的安全与系统设计和实现关系密切。
应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。
1.5全方位的安全体系
与其它安全体系(如保安系统)类似,应用系统的安全体系应包含:
(1)访问控制,通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前;
(2)检查安全漏洞,通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效;
(3)攻击监控,通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);
(4)加密通讯,主动的加密通讯,可使攻击者不能了解、修改敏感信息;
(5)认证,良好的认证体系可防止攻击者假冒合法用户;
(6)备份和恢复,良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务;
(7)多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标;
(8)隐藏内部信息,使攻击者不能了解系统内的基本情况;
(9)设立安全监控中心,为信息系统提供安全体系管理、监控,维护及紧急情况服务;
1.6平台安全的管理因素
平台安全可以采用多种技术来增强和执行。
但是,很多安全威胁来源于管理上的松懈及对安全威胁的认识。
安全威胁主要利用以下途径:
(1)系统实现存在的漏洞;
(2)系统安全体系的缺陷;
(3)使用人员的安全意识薄弱;
(4)管理制度的薄弱;
良好的平台管理有助于增强系统的安全性:
(1)及时发现系统安全的漏洞;
(2)审查系统安全体系;
(3)加强对使用人员的安全知识教育;
(4)建立完善的系统管理制度。
第二章某证券研究所网络结构分析及安全需求
某证券研究所经过多年的建设,已经形成比较完善的综合网络,具体的网络拓扑结构如下图所示。