网络信息安全保障方案说明Word文档格式.docx
《网络信息安全保障方案说明Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络信息安全保障方案说明Word文档格式.docx(27页珍藏版)》请在冰豆网上搜索。
由于公司内网中的各级网络互连,这些设备在网络层是可以互通的,在没有任何安全措施的情况下,一个单位的用户可以连接到另一个单位使用的机器,访问其中的数据。
这样就会造成网络间的互相病毒等其他因素引起的网络攻击。
2.1.3系统安全风险分析
系统安全通常分为系统级软件比如操作系统、数据库等的安全漏洞、病毒防治。
1、系统软件安全漏洞
系统级软件比如操作系统、数据库等总是存在着这样那样的安全漏洞,包括已发现或未发现的安全漏洞。
2、病毒侵害
计算机病毒一直是困扰每一个计算机用户的重要问题,一旦计算机程序被感染了病毒,它就有可能破坏掉用户工作中的重要信息。
网络使病毒的传播速度极大的加快,公司内部网络与Internet相连,这意味着每天可能受到来自世界各地的新病毒的攻击。
2.1.4应用安全风险分析
基于B/S模式的业务系统由于身份认证、数据传输、访问控制、授权、口令等存在安全隐患,从而对整个系统造成安全威胁。
2.1.5数据安全风险分析
在系统中存放有的重要的数据。
这些数据如被非法复制、篡改、删除,或是因各种天灾人祸丢失,将威胁到数据的保密性、完整性和一致性。
2.2网络系统安全设计
针对上面提到的种种安全风险,对系统安全进行设计。
2.2.1设备安全
设备安全在这里主要指控制对交换机等网络设备的访问,包括物理访问和登录访问两种。
针对访问的两种方式采取以下措施:
对基础设施采取防火、防盗、防静电、防潮措施。
系统主机应采用双机热备(主备/互备)方式,构成集群系统;
系统关键通信设备应考虑冗余备份;
要求利用系统监控工具,实时监控系统中各种设备和网络运行状态,及时发现故障或故障苗头,及时采取措施,排除故障,保障系统平稳运行。
2.2.2网络安全
为保障网络安全,在网络上要采取以下措施:
●设立防火墙。
防火墙作为内部网络与外部公共网络之间的第一道屏障,一般用在企业网与Internet等公众网之间的连接点处,防护来自外部的攻击,并过滤掉不安全的服务请求和非法用户进入;
●在内部系统的Web服务器到应用服务器之间设置防火墙,防止来自内部的攻击和破坏,保证系统的安全;
●进行入侵检测。
对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。
●采用相应技术和手段,保证网络安全。
对传输数据进行加密,保障数据传输安全
●防止网页的篡改;
利用防护工具防止黑客篡改或非法破坏网页,保证网站网页安全。
针对防止网页篡改,推荐使用InforGuard。
InforGuard主要提供文件监控保护功能,保证文件系统安全,防止被非法修改。
InforGuard适用于网站网页文件的安全保护,解决了网站被非法修改的问题,是一套安全、高效、简单、易用的网页保护系统;
采用数字证书技术实现InforGuard的用户管理,加强了对Web站点目录的ftp用户和口令的保护,防止了ftp口令泄漏造成的安全隐患;
通过用户操作日志提供对网页文件更新过程的全程监控。
从而保证了网站网页文件的绝对安全。
●定期进行安全检查,查补安全漏洞,采用漏洞扫描软件对内部服务器浏览器和所有网络设备进行漏洞扫描,及时弥补各类安全漏洞。
2.2.3系统安全
应用安全的解决往往依赖于网络层、操作系统、数据库的安全,所以对系统级软件的安全防范突显其重要性;
由于病毒通过Internet网,可以在极短的时间内传到Internet的各个角落,而病毒对系统稳定性和数据安全性的威胁众所周知,所以对病毒的预防是一项十分重要的工作;
同时对一些专用服务器的特别防护也是我们保证系统良好运行的前提。
下面就从系统漏洞防护、病毒防护和专用服务器防护等方面来阐述安全防范的措施。
●系统安全漏洞防护:
通过系统扫描工具,定期检查系统中与安全有关的软件、资源、各厂商安全“补丁包”的情况,发现问题及时报告并给出解决建议。
●病毒防护:
在内网和外网中分别设置网络防病毒软件控制中心,安装网络版的防病毒控制台,在服务器系统和网络内的主机均安装防病毒软件的客户端。
管理员负责每天检查有没有新的病毒库更新,并对防病毒服务器上的防病毒软件进行及时更新。
然后再由防病毒服务器将最新的病毒库文件下发到各联网的机器上,实现全网统一、及时的防病毒软件更新,防止因为少数内部用户的疏忽,感染病毒,导致病毒在全网的传播。
●专用服务器的专门保护:
针对重要的、最常受到攻击的应用系统实施特别的保护。
对WEB服务器保护对Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全政策进行明确规划。
对E-mail服务程序、浏览器,采取正确的配置与及时下载安全补丁实现。
2.2.4应用安全
针对人为操作造成的风险,必须从系统的应用层进行防范,因此应用系统在建设时需考虑系统的安全性。
具体包括以下几个方面:
●访问控制:
操作系统的用户管理、权限管理;
限制用户口令规则和长度,禁止用户使用简单口令,强制用户定期修改口令;
按照登录时间、登录方式限制用户的登录请求;
加强文件访问控制管理,根据访问的用户范围,设置文件的读、写、执行权限;
对重要资料设置被访问的时间和日期。
●权限控制和管理:
按照单位、部门、职务、工作性质等对用户进行分类,不同的用户赋予不同的权限、可以访问不同的系统、可以操作不同的功能模块;
应用系统的权限实行分级管理,每个系统的管理员自己定义各类用户对该系统资源的可访问内容。
●身份验证:
通过采用口令识别、数字认证方式,来确保用户的登录身份与其真实身份相符,保证数据的安全性、完整性、可靠性和交易的不可抵赖性、增强顾客、商家、企业等对网上交易的信心。
●数据加密存储:
关联及关键数据加密存储,提取数据库中表间关联数据或重要数据信息,采用HASH算法,生成一加密字段,存放在数据表中,保证数据库中关联数据的一致性、完整性,防止重要数据的非法篡改。
●日志记载:
数据库日志:
使得系统发生故障后能提供数据动态恢复或向前恢复等功能,确保数据的可靠性和一致性。
应用系统日志:
通过记录应用系统中操作日志,通过事后审计功能为将来分析提供数据分析源,确保业务的可追溯性。
2.2.5数据安全
业务数据是业务系统运行的重要元素,也是企业中宝贵的资源。
这些数据如被非法复制、篡改、删除,或是因系统崩溃及各种天灾人祸丢失,将威胁到数据的保密性、完整性和一致性。
由此造成的损失将是巨大的。
为了保证数据的安全,通常的做法是对数据进行备份。
数据备份解决方案大致可以分为两种:
数据级的备份和系统级的备份。
数据级的备份是指对存储在磁盘阵列、磁带库等设备上的数据的备份。
系统级备份主要是指对服务器系统、数据库系统等系统的备份。
对于数据库系统备份,有两种方式可以选择:
第一种是采用数据库自身的备份功能,其优点是不需要追加额外的投资,缺点是这种备份方式是手工进行的,备份效率较低,并且在备份时需要关闭数据库,即需要shutdown数据库实例。
第二种方式是采用专业的备份工具,这种方式能够实现在线备份的方式,即在备份的过程中不需Shutdown数据库实例。
同时,在备份过程中,通过追踪数据块的变动记录来实现增量备份,缩短备份窗口。
在保持数据库online的前提下,这种方式还能够充分保证数据库的OLTP联机事务处理的性能。
数据库的数据量庞大,可以通过同时驱动多个磁带驱动器来保证数据库备份的效率。
通过这种方式,能够在夜间的非工作时段内完成全备份,并在相对更短的时间段内完成日增量备份。
在上述数据备份环境中,可以对操作系统及应用程序环境实现动态即时在线快速备份,即在不影响用户和应用程序运行的前提下,备份系统的动态数据,同时能够将传统文件系统的备份速度成倍提高。
在前面的服务器平台设计中,我们为每台服务器都配置了两块硬盘,通过磁盘镜像(RAID1)技术实现系统冗余备份,可以极大提高服务器系统的安全性。
保证数据安全,对数据进行备份。
2.3系统的网络安全设计
2.3.1防火墙系统
2.3.1.1防火墙的基本类型
实现防火墙的技术主要包括四类:
包过滤防火墙、电路网关防火墙、应用层防火墙以及动态包过滤防火墙。
其各自的特点如下:
包过滤防火墙:
包过滤防火墙技术主要通过分析网络传输层数据,并通过预先定义的规则对数据包转发或丢弃。
其检查信息为网络层、传输层以及传输方向等报头信息,典型的包过滤主要利用下面的控制信息:
数据包到达的物理网络接口
数据包的源网络层地址
数据包的目的网络层地址
传输层协议类型
传输层源端口
传输层目的端口
包过滤防火墙有以下先进性:
包过滤防火墙通常性能高,因为他们执行的评估比较少而且通常可以用硬件完成。
可以简单地通过禁止特定外部网络和内部网络的连接来保护整个网络。
包过滤防火墙对客户端是透明的,所有工作都在防火墙中完成。
结合NAT(网络地址转换功能,可以将内部网络从外部网络中屏蔽起来。
包过滤防火墙具有以下缺点:
包过滤防火墙不能识别上层信息,因此,同应用层防火墙以及电路网关防火墙相比,其安全性较低。
包过滤防火墙不是基于连接状态的,因此,它不保存会话连接信息或上层应用信息。
包过滤只利用了数据包中有限的信息。
包过滤不提供增值服务,如HTTPCache,URL过滤等。
电路网关防火墙
电路网关防火墙是一种基于连接状态的防火墙技术,它能确认、证实一个数据包是两个传输层之间连接请求、两个传输层之间已建连接中的数据包或两个传输层之间的虚电路。
电路网关防火墙检查每一个连接的建立过程来保证连接的合法性,以及利用一个合法的连接信息表(包括状态以及序列号)来检查数据包的正确性。
当一个连接关闭时,这个连接信息表就被关闭。
电路网关级防火墙主要应用下列状态信息:
一个唯一的会话识别用于跟踪处理。
连接状态,包括:
握手、建立以及关闭。
序列号信息。
源网络地址。
目的网络地址。
数据包到达的物理网络接口。
数据包离开的物理网络接口。
电路网关级防火墙具有以下优点:
电路网关防火墙通常性能高,因为他们执行的评估比较少。
电路应用网关具有以下缺点:
电路应用网关不能限制TCP之外的其他协议集。
电路应用网关防火墙不能进行严格的高层应用检查。
应用层防火墙
应用层防火墙检查所有的数据包、连接状态信息以及序列号,同时还能验证应用层特定的安全控制,包括:
用户名,口令等。
大多数应用层防火墙包括一个特定服务程序和代理服务,代理是一个面向特定应用的流量管理程序,如HTTP、FTP等,能提供增强的访问控制、细节检查以及审记记录等信息。
每一个应用代理一般由两部分组成,代理服务器以及代理客户,相对于发起连接的客户端来说,代理服务器充当一个最终服务器。
代理客户端代替实际的客户应用同外部服务器进行数据交换。
应用层防火墙具有以下优点:
代理服务能完全理解和实施上层协议。
如HTTP、FTP等。
代理服务维护所有的应用状态信息,包括:
部分的通讯层状态信息、全部应用层状态信息以及部分会话信息。
代理服务能处理和利用数据包。
代理服务不允许外部服务器和内部主机之间的直接通讯,可有效的隐含内部网络信息。
代理服务能提供增值特征,包括:
HTTPCache、URL过滤以及用户认证等。
代理服务能很好的产生审记记录,允许管理员监控企图违反网络安全策略的行为。
应用层防火墙具有以下缺点:
代理服务需要替换防火墙服务器的本来的网络堆栈。
由于代理服务要监听服务端口,因此,在防火墙服务器上不能提供同样的服务。
代理服务对数据包需要处理两次,因此,性能比较差。
通常,对于不同的应用,需要对每一个服务提供一个代理服务程序。
应用级防火墙不能提供UDP、TCP以及其他协议代理功能。
代理服务通常需要修改客户应用程序端或应用配置。
代理服务通常依赖操作系统提供设备驱动,因此,一个操作系统或应用Bug都有可能造成代理服务容易受到攻击。
代理服务经常会遇到多次登录的情况。
动态包过滤防火墙
动态包过滤防火墙类似电路网关防火墙,但它提供了对面向非连接的传输层协议,如UDP的支持。
其同电路网关有相同的优缺点。
2.3.1.2常用攻击方法
了解常用的攻击方法可以更好的制定安全防范措施,常用的攻击方法包括以下几种:
被动监听:
这种攻击方法是攻击者利用网络监听或分析工具,直接窃获用户的报文信息,从而获得用户/口令信息,这时,攻击者就可以以合法用户的身份对应用进行破坏。
地址欺骗:
在这种方法中,攻击者伪装成一个信任主机的IP地址,对系统进行破坏。
端口扫描:
这是一种主动的攻击方法,攻击者不断的扫描安全控制点上等待连接的监听端口,一旦发现,攻击者就集中精力对端口上的应用发起攻击。
否认服务:
这种攻击方法又细分为两种:
即洪水连接和报文注入,洪水连接是向目的主机发出大量原地址非法的TCP连接,这样,目的主机就一直处于等待状态,最后由于资源耗尽而死机。
报文注入就是在合法连接的报文中插入攻击者发出的数据包,从而对目的主机进行攻击。
应用层攻击:
这种攻击方法是利用应用软件的缺陷,从而获得对系统的访问权利。
特洛伊木马:
在这种攻击方法中,攻击者让用户运行一个用户误认为是一个合法程序的攻击程序,从而寄生在用户系统中,为以后的攻击埋下伏笔。
这种攻击方法最常见的应用就是在WEB服务嵌入JavaApplet、Active-X等控件,使用户在浏览网页时,不知不觉中被寄生了攻击程序。
2.3.1.3常用攻击对策
下面我们对上面所述的攻击方法提出自己的防范措施。
在共享式以太网结构中,一个主机发送的数据会发送到一个网段上的每主机数据包被监听是不可避免的。
而交换式网络根据目的地址选择发送的端口,因此,尽量连接桌面工作站到交换机端口会避免数据包被监听。
对于同各个分支机构的按Extranet方式连接的采用IPSec技术对IP数据包加密,该加密算法对数据加密采用DES算法,其DES密钥是动态产生的,连接双方加密密钥是通过RAS算法传送的,因此,具有很高的安全性。
对于Internet个人用户的访问,数据被监听是不可避免的,因此,对这种攻击的防范是合理设定用户权限。
对这种攻击的防范采用扩展访问过滤列表方式,凡是从其他网段进来的数据包,如果其源地址不是来自该网段的合法地址,就抛弃该数据包。
对这种攻击的防范采用扩展访问列表方式,拒绝非授权网络访问特定的网络服务。
对于洪水连接攻击我们采用TCP拦截技术,对一个主机的访问限制在一个可接受范围内,对于超过的可按几种设定方式丢弃连接。
对于报文注入,CiscoPIX防火墙产品是一种基于状态的包过滤产品,本身能很好的防范报文注入攻击。
改进、替换具有安全漏洞的应用服务器。
对于这种攻击方式,首先应该教育公司职员不要运行不明来源的程序,避免内部主机被攻破,一旦内部主机被攻破,攻击者就可以以被攻破主机为落脚点,对内部所有主机进行攻击。
对JavaApplet和Active-X的防范采用员工教育方式,教育职员不要访问不明站点,尽量在浏览器中关闭JavaApplet和Active-X功能。
2.3.2VPN路由器
●采用CiscoRouter进行IP数据包过滤,安全VLAN子网划分
●作为VPN配置路由使用,可方便进行安全访问的划分
●结合PIX防火墙、NetRanger入侵检测系统和NetSonar安全扫描程序三者配合,最大限度地保证了企业VPN的可靠性和安全性
2.3.3IDS入侵检测
入侵检测(eTrustIntrusionDetection简称eID)提供了全面的网络保护功能,其内置主动防御功能可以防止破坏的发生。
这种高性能且使用方便的解决方案在单一软件包中提供了最广泛的监视、入侵和攻击探测、非法URL探测和阻塞、警告、记录和实时响应。
●网络访问控制
入侵检测(eTrustIntrusionDetection)使用基本规则定义可以访问特定网络资源的用户,从而确保只对网络资源进行授权访问。
●高级反病毒引擎
能够探测包含计算机病毒的网络流量的病毒扫描引擎。
它可以防止用户在不知情的情况下下载受病毒感染的文件。
从CAweb站点可以得到最新和更新后的病毒特征码。
●全面的攻击模式库
入侵检测eID可以自动探测来自网络流量的攻击模式(即使是正在进行中的攻击)。
定期更新的攻击模式库-可以从CAweb站点获得-能够确保入侵检测保持最新。
●包检测技术
入侵检测eID在隐蔽模式下工作,攻击者是察觉不到的。
因为黑客不知道他们正在被监视,因此通常在未察觉的情况下被捕获。
●URL阻塞
管理员可以指定不允许用户访问的URL,从而防止了非工作性Web冲浪。
●内容扫描
管理员通过入侵检测eID可以定义策略对内容进行检查。
这可以防止在没有授权的情况下通过电子邮件或Web发送敏感数据。
●网络使用情况记录
入侵检测eID允许网络管理员跟踪最终用户、应用程序等的网络使用情况。
它有助于改进网络策略规划和提供精确的网络收费。
●集中化监控
网络管理员可以从本地或远程监控运行入侵检测(eTrustIntrusionDetection)的一个或多个站,在不同网络段(本地或远程)上安装了受中央站控制的入侵检测(eTrustIntrusionDetection)代理后,管理员可以根据收集到的合并信息查看报警和生成报告。
●远程管理
远程用户可以使用TCP/IP或者调制解调器连接访问运行入侵检测(eTrustIntrusionDetection)的站。
在连接后,根据入侵检测(eTrustIntrusionDetection)管理员定义的权限,用户可以查看和监控入侵检测(eTrustIntrusionDetection)数据、更改规则以及创建报告。
●入侵记录和分析
入侵检测(eTrustIntrusionDetection)为捕获信息和进行分析提供了全面的系统功能。
在安装软件并指定归档地点后,用户可以定义在档案中记录会话的规则。
然后用户可以通过浏览器过滤、排序和查看归档信息,并创建详细的报告。
入侵检测eID代表了最新一代企业网络保护技术,具有前所未有的访问控制、用户透明性、高性能、灵活性、适应性及易用性等。
它提供给企业一个易于部署的网络保护方案。
2.3.4CA认证与SSL加密
2.3.4.1CA的作用
●数字证书能为你做什么:
个人数字证书是网友进入21世纪的必需品。
网上证券少不了它;
网上缴款不能没有它;
进入全球知名网站,更不得没有它。
它简单易懂、安装容易,它比“卡”还要重要,是您身份的表征,网络新贵的识别证。
现今不论X、Y、Z世代,您皮夹中至少必备四五张卡(提款卡、万事达卡、威士卡、会员卡、金卡、普卡、电话卡、保健卡...),因为目前是“卡”的时代。
而在网际路上,您如果没有数字证书,不管您外表多young、多炫,多酷,依旧是寸步难行。
因为“一证在手,走遍天下”的时代已经到来。
CA为了更好地满足客户的需要,给客户提供更大的便利,设计开发的通用证书系统使得一证多用成为可能。
●数字证书和电子商务的关系
电子商务正以不可逆转之势席卷全球的各行各业,但世界各地也面临着共同的阻碍——电子商务的安全问题,必须要采用先进的安全技术对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。
以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案。
数字安全证书建立了一套严密的身份认证系统,可以确保电子商务的安全性。
●信息的保密性
交易中的商务信息均有保密的要求.如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。
因此在电子商务的信息传播中一般均有加密的要求。
●交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。
要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店.因此能方便而可靠地确认对方身份是交易的前提。
对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。
对有关的销售商店来说,他们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。
银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
●不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。
否则必然会损害一方的利益.例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。
因此电子交易通信过程的各个环节都必须是不可否认的。
●不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。
供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。
因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
2.3.4.2CA系统简介
人们在感叹电子商务的巨大潜力的同时,不得不冷静地思
升级会员 