某单位网络安全防护方案书doc 35页Word文件下载.docx
《某单位网络安全防护方案书doc 35页Word文件下载.docx》由会员分享,可在线阅读,更多相关《某单位网络安全防护方案书doc 35页Word文件下载.docx(22页珍藏版)》请在冰豆网上搜索。
(F)外来人员及非网络管理人员可以直接对一些设备进行操作,更改通信设备(如交换机、路由器)、安全设备(如更改防火墙的安全策略配置)等。
(7)网络层安全风险
网络层是网络入侵者攻击信息系统的渠道和通路。
许多安全问题都集中体现在网络的安全方面。
大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。
网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用IP欺骗、重放或重演、拒绝服务攻击(SYNFLOOD,PINGFLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
(A)网络设备存在的风险
在网络中的重要的安全设备如路由器、交换机等有可能存在着以下的安全威胁:
(以最常用的交换机为例)
a)交换机缺省情况下只使用简单的口令验证用户的身份,并且远程TELNET
登录时以明文传输口令。
一旦口令泄密路由器将失去所有的保护能力。
b)交换机口令的弱点是没有计数器功能的,所有每个人都可以不限数的尝
试登录口令,在口令字典等工具的帮助下很容易破解登录口令。
c)每个管理员都可能使用相同的口令,因此,交换机对于谁曾经作过什么
修改,系统没有跟踪审计能力。
d)交换机实现的协议存在着一定的安全漏洞,有可能被恶意的攻击者利用
来破坏网络的设置,达到破坏网络或为攻击做准备。
(B)网络访问的合理性
网络的访问策略是不是合理,访问是不是有序,访问的目标资源是否受控等问题,都会直接影响到内网平台的稳定与安全。
如果存在网络内访问混乱,外来人员也很容易接入网络,地址被随意使用等问题,将导致网络难以管理,网络工作效率下将,无法部署安全设备、对攻击者也无法进行追踪审计。
对于XX单位的网络来讲,严格地控制专网内终端设备的操作及使用是非常必要的,例如,一位非法外联的拨号用户将会使在网络边界的防火墙设备的所有安全策略形同虚设。
(C)TCP/IP网络协议的缺陷
TCP/IP协议是当前网络的主流通信协议,已成为网络通信和应用的实际标准。
然而,基于数据流设计的TCP/IP协议自身存在着许多安全漏洞,在网络发展的
早期,由于应用范围和技术原因,没有引起重视。
但这些安全漏洞正日益成为黑客们的攻击点。
在网上办公、网上文件审批、网上数据传递等活动中,对TCP/IP网络服务的任一环节的攻击,都有可能威胁到用户机密,都可能使重要的信息,比如重要数据、重要的口令在传递过程中遭到窃听和篡改。
因此,针对网络层安全协议的攻击将给网络带来严重的后果。
(D)传输上存在的风险
从网络结构的分析上,我们看到,现今网络接入互联网,网络间只是通过交换机连接,完全透明,那么当数据以明文的方式在这种不可信任网络中进行传递和交换时,就给数据的安全性、保密性带来极大的挑战,具体来讲对数据传输安全造成威胁的主要行为有:
窃听、破译传输信息:
由于网络间的完全透明,攻击者能够通过线路侦听等
方式,获取传输的信息内容,造成信息泄露;
或通过开放环境中的路由或交
换设备,非法截取通信信息;
篡改、删减传输信息:
攻击者在得到报文内容后,即可对报文内容进行修改,
造成收信者的错误理解。
即使没有破译传输的信息,也可以通过删减信息内
容等方式,造成对信息的破坏,比如将一份报文的后半部分去掉,造成时间、
地点等重要内容的缺失,导致信息的严重失真;
重放攻击:
即使攻击者无法破译报文内容,也无法对报文进行篡改或删减,
但也可以通过重新发送收到的数据包的方式,进行重放攻击。
对于一些业务
系统,特别是数据库系统,这种重放攻击会造成数据失真以及数据错误;
伪装成合法用户:
利用伪造用户标识,通过实时报文或请求文件传输得以进
入通信信道,实现恶意目的。
例如,伪装成一个合法用户,参与正常的通信
过程,造成数据泄密。
网络中病毒的威胁:
由于网络间都为透明模式,一旦有机器中病毒,就会在
整个网络上大量传播,造成整个网络瘫痪,造成无法办公。
(8)应用层安全
操作系统安全即是主机安全。
整个网络是一个分布式交换的服务平台,其最核心的和需要保护的是财务处网络中的服务器,从操作系统本身来讲,现在代码的庞大和程序人员编码的习惯等等都会给操作系统留下一些BUG,比如一些鲜为人知的如WINGDOW2000的3389、139等等漏洞,都会给财务处网络带来一定的风险。
一旦通过其操作系统的问题而造成的网络的崩溃,其后果是不可设想的。
操作系统面临的安全风险主要来自两个方面,一方面来自操作系统本身的脆弱性,另一方面来自对系统的使用、配置和管理,主要有:
●操作系统是否安装补丁和修正程序:
由于技术开发原因,几乎所有网络中的操作系统在设计时就存在各种各样的漏洞,大多数漏洞直接与系统的安全有关,操作系统的开发公司发现后都安装了补丁和修正程序,但这种补丁和修正程序不一定为用户所知。
●操作系统的后门:
对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的产品或者其他任何商用操作系统,其开发厂商必然有其Back-Door,这将成为潜在的安全隐患。
●系统配置:
系统的安全程度与系统的应用面及严格管理有很大关系,一个工作组的打印服务器和一个机要部门的数据库服务器的选择标准显而易见是不可同日而与的,因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。
不同的用户应从不同的方面对其网络作详尽的分析,以正确评定数据流向。
比如,由于服务器需要进行日常的维护与管理及内容更新,这就要求系统管理员或服务提供者能登录到服务器上。
对此类访问服务器不应拒绝。
在使用防火墙之前,服务器通过简单静态的口令字进行身份鉴别(如使用服务器或数据库的认证机制),一旦身份鉴别通过,用户即可访问服务器。
侵袭者可以通过以下几种方式很容易地获取口令字:
◆一是内部的管理人员因安全管理不当而造成泄密;
◆二是通过在公用网上搭线窃取口令字;
◆三是通过假冒,植入嗅探程序,截获口令字;
◆四是采用字典攻击方式,获得口令字。
侵袭者一旦掌握了某一用户口令字,就有可能得到管理员的权限并可造成不可估量的损失。
由于操作系统的配置牵涉到各个方面,上面运行的服务也各种各样,故在系统的配置上很容易出错,因此,我们认为的系统的配置错误地很难避免,但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。
因此,不但要选用尽可能可靠的操作系统和硬件平台。
而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;
其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
(9)应用层安全
数据库安全也是整个财务处网络最为重要的应用,同时也是需要重点考虑的问题之一。
整个网络主要的业务就是信息的共享和数据交换的方便性。
从应用系统的角度,占据本网络整个信息平台的就是数据库,如果在数据库上不能保证安全,整个本网络的信息中心基本上就是空设防地带,数据库管理系统面临的安全风险有:
◆系统认证口令强度不够,过期账号,登录攻击的风险;
◆系统授权。
帐号权限,登录时间超时的风险;
◆系统完整性。
如:
Y2K兼容,特洛伊木马,审核配置,补丁和修正程序;
◆脆弱的帐号设置。
在许多情况下,数据库用户往往缺乏足够的安全设置,例如未禁用缺省用户帐号和密码,用户口令设置存在脆弱性等。
◆缺乏角色分离。
传统数据库管理并没有“安全管理员(SecurityAdministrator),这一角色,这就迫使数据库管理员(DBA)既要负责帐号的维护管理,又要专门对数据库执行性能和操作行为进行调试跟踪,从而导致安全管理效率低下。
◆缺乏审计跟踪。
数据库审计经常被DBA以提高性能或节省磁盘空间为由忽视或关闭,这大大降低了安全管理的效率。
1XX单位财务系统可能存在的风险和问题
1)来自财务网络外部的风险
虽然财务网络依托于XX单位的办公网络,但是财务网络毕竟是独立的网络个体,如果没有边界防护将是危险的。
财务网络很容易遭到来自于办公网络可能的入侵者的攻击。
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:
入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪在Internet上爆发网络蠕虫病毒的时候,如果内网的边界处没有访问控制设备对蠕虫病毒在第一时间进行隔离,那么蠕虫的攻击将会对网络造成致命的影响。
2)来自财务网络外部的非授权访问
非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
它主要有以下几种形式:
假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
3)来自财务网络内部的风险
目前财务网络内部的财务主服务器与财务办公主机,混杂在一台交换机上,这对于财务主服务器是完全不可取的,由于财务办公主机的使用人员纷杂,计算机安全意识参差不齐,所以财务办公主机的安全性和可靠性完全不能保证,而财务办公主机与财务主服务器之间完全没有任何防护手段。
4)来自财务网络内部的非授权访问
对于财务处网络向外部网络的访问没有任何的限制,也是不可取的,针对不同用户的不同访问需求,应给于不同的访问权限。
无限制的任由用户使用现有的网络资源,将会造成网络品质的整体下降。
同时当财务处网络中的主机因蠕虫原因大量向外发送数据包,没有相应安全防护设备,将造成包括办公网络的整个网络的瘫痪。
同时,没有完善的日志能力,对于日后的责任认定也造成了很大的麻烦。
5)病毒的风险
病毒的危险是现在网络最需要解决的问题,目前的病毒传播途径多样化,传播方式智能化,决定了使用单一的防病毒软件是无法完全解决病毒问题的,在网络的边界处,部署网关防护设备,可以有效地抑制病毒的传播,尤其是当出现大规模爆发的蠕虫病毒的时候,网关防护设备可以有效地把蠕虫病毒抑制在小范围之内,而不至于继续扩散。
6)没有完善的日志系统
财务处网络中数据的完整性,可靠性,要求对于任何一次访问,都要有明确的记录,以便日后审查使用,而目前XX单位的财务网络中没有这样的能力,这对日后的究责是非常不利的
三.整体方案的设计
根据XX单位的现有网络环境,分析可能存在的威胁和风险,考虑通过部署天融信防火墙系统,入侵防御系统及病毒过滤网关系统来加固XX单位的信息网络。
采用千兆天融信防火墙系统,入侵防御系统及病毒过滤网关系统部署在互联
网与XX单位办公网接入处用于互联网与XX单位办公网的安全防护,百兆天融信防火墙系统,入侵防御系统及病毒过滤网关系统部署在财务网络与XX单位办公网络的边界处,用于隔离财务网络中的工作主机和内部业务网络中的服务器,通过天融信防火墙系统,入侵防御系统及病毒过滤网关系统,保护服务器不受外来攻击。
具体部署如下图所示:
四.防火墙子系统
1防火墙部署的意义
防火墙是近年发展起来的重要安全技术,其主要作用是在网络区域边界处检查网络通信,根据用户设定的安全规则,在保护重要网络区域安全的前提下,提供不同网络区域间通信。
通过使用防火墙过滤不安全的通信,提高网络安全和减少主机的风险,提供对系统的访问控制;
阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。
设立防火墙的目的就是保护一个网络区域不受来自另一个网络区域的攻击,防火墙的主要功能包括以下几个方面:
(A)防火墙提供安全边界控制的基本屏障。
设置防火墙可提高网络安全性,降
低受攻击的风险。
(B)防火墙体现网络安全策略的具体实施。
防火墙集成所有安全软件(如口令、
加密、认证、审计等),比分散管理更经济。
(C)防火墙强化安全认证和监控审计。
因为所有进出网络的通信流都通过防火
墙,使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。
(D)防火墙能阻止内部信息泄漏。
防火墙实际意义上也是一个隔离器,即能防
外,又能防止内部业务网络中XX主机对服务器区域的访问。
2防火墙的安装部署
防火墙部署的目的是隔离不同安全等级的网络区域,所以我们把XX单位办公网络,XX单位财务网络分别看作一个网络区域,同时XX单位办公网络与财务网络之外的所有节点看作另一个网络区域,防火墙部署在两个网络区域之间,即部署在财务网络和办公网络的接口处。
XX单位办公网络与互联网络接口处。
3防火墙的工作模式和接入方式
防火墙提供多种工作模式,包括透明接入,路由接入和混合接入。
●连接方式:
将百兆天融信防火墙的接口1连接财务网络区域交换机,接口
2连接XX单位办公网络,接口3连接财务网络服务器区域交换机,千兆天融信防火墙接口1连接XX单位办公网络,接口2连接互联网区域,这样我们使用防火墙实现了各个安全区域的隔离作用。
●工作模式:
考虑到对XX单位办公网络和财务网络的影响尽可能小,建议将
百兆防火墙配置成透明工作模式,即防火墙本身不参与路由转发和运算,只提供访问控制等防护功能,这样对网络中原有IP地址的配置影响小,互联网与XX单位办公网络需要地址转换,将配置成的路由工作模式。
4防火墙的配置和功能
1)通过防火墙隔离财务网络的各个区域
通过防火墙的连接,原本属于一个网络(XX单位办公网络)的节点,被划分为不同的网络区域(财务处办公区域、财务处服务器区域、办公区域、互联网区域等),通过对访问请求的审核,我们隔离不同网络区域间的网络连接,可以达到保护脆弱的服务、控制对财务服务器的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。
这样在工作主机访问财务服务器时,全部通信都受到防火墙的监控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全。
2)通过防火墙保护财务服务器
通过在防火墙上设置详细的访问控制规则,各个区域,各个IP节点间的通信,必须要符合防火墙的访问控制规则,例如当工作主机向服务器请求访问时,也只能访问服务器的相应服务端口,在保护了服务器的同时,也清除了网络中传输的不必要的数据。
保证了整个业务网络的纯净,提高了网络的品质。
通过防火墙的阻断功能,使得内部业务网络各个区域不受到恶意的攻击,攻击者无法通过防火墙进行扫描、攻击等非法动作。
防火墙可防止攻击者对重要服务器的TCP/UDP的端口非法扫描,消除系统安全的隐患。
可防止攻击者通过外部网对重要服务器的源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击、拒绝服务攻击等多种攻击。
测的功能.
3)通过防火墙限制对服务器的访问权限
通过在防火墙上进行严格的访问控制,通过对不同的用户进行分组,对于不同的用户组,给予不同的访问权限进行访问服务器,,减小用户对于服务器可以进行操作的权限,极大地降低了服务器面临的风险。
4)通过防火墙限制财务网用户向外的访问
通常大多数用户认为从财务网络向外部的访问不会造成风险和威胁,这种想法是错误的,例如反弹型木马就是借助这种麻痹大意的想法进行侵入的。
缺乏安全控制的滥用互联网络,可能导致:
组织内部重要资料和秘密资料通过BBS、Email、QQ和MSN等途径向外散发,或被别有用心的人截获而加以利用,或是进行不当互联网访问而引起组织内部计算机感染木马病毒,加大了组织重要及秘密信息的曝光率,给组织信息安全带来隐患:
对于政府、事业单位以及其他公共服务单位,如果互联网管理的不够完善,将会带来极大信息安全隐患,例如经济等类型的重要的信息被通过非法渠道泄漏,此举必然会有损组织的权威及名誉,并导致组织的公信力下降。
对于公司企业等盈利性机构而言,企业的机密信息等同于企业的生命。
而在互联网极度开放的今天,任何的疏忽都有可能导致企业机密信息外泄;
而一旦发生企业机密信息外泄的情况,企业因此而投入了的大量人力物力将会付诸东流,此类案例在互联网广泛使用的今天是屡见不鲜的。
5)通过防火墙调整网络使用效率
通过防火墙具有带宽控制的特性,可以依据应用来限制流量,来调整链路的带宽利用如:
在网络中如果有工作主机向服务器区域FTP的访问、Web访问等等,可以在防火墙中直接加载控制策略,使FTP访问、Web访问按照预定的带宽进行数据交换。
实现每个用户、每个服务的带宽控制,调整链路带宽利用的效率。
6)通过防火前完善日志
通过防火墙可以采集所有流经防火墙的数据,记录到防火墙的日志服务器中,通过日志服务器的日志分析和统计功能,在对收集的事件进行详尽分析及统计的基础上输出丰富的报表,实现分析结果的可视化;
系统提供多达300多种的报表模板,不仅支持对网络事件按条件统计,更提供了对流量等变化趋势的形象表现;
对于分析结果系统提供了表格及多种图形表现形式(柱状图、曲线图),使管理员一目了然。
同时采用多种告警方式,通知网络管理人员。
7)实现了重要财务工作人员直接访问财务处网络
通过天融信防火墙的访问控制能力,我们可以控制各个访问者访问的权限,同时我们采用用户名,口令,证书等验证方式,彻底实现了对于访问者身份验证的目的。
五.入侵防御子系统
通常通过防火墙进行网络安全防范。
从理论上分,防火墙可以说是第一层安全防范手段,通常安装在网络入口来保护来自外部的攻击。
其主要防范原理为基于TCP/IP的IP地址和及端口进行过滤、限制。
由于防火墙本身为穿透型(所有数据流需要经过防火墙才能到达目的地),因此为了提高其过滤、转发效率,通常不会对每个数据报文或者数据流进行过多的、细致地分析、检查。
但是恰恰很多符合防火墙的TCP/IP过滤安全策略的数据流或者报文中参杂着恶意的攻击企图。
虽然目前一些防火墙增强了对于应用层内容分析的功能,但是考虑其因分析、处理应用层内容而导致的网络延迟的增加,因此从其实际应用角度来说,存在一些局限性。
但是网络入侵防御系统由于其以串接模式部署到现有网络中,执行各种复杂的应用层分析工作。
因此可以成为防火墙有效的扩展。
同时自带阻断功能,可以实现整体的安全防范体系。
1入侵防御产品概述
天融信公司新版本的“网络卫士入侵防御系统TopIDP”是基于新一代并行处理技术,它通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。
TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等,安全地保护内部IT资源。
网络卫士入侵防御系统部署于网络中的关键点,实时监控各种数据报文及网络行为,提供及时的报警及响应机制。
其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系,大大增强了用户的整体安全防护强度。
2入侵防御系统产品特点
强大的高性能并行处理架构
TopIDP应用了先进的多核处理器硬件平台,将并行处理技术成功融入天融信自主知识产权的安全操作系统TOS(TopsecOperatingSystem)系统,集成多项发明专利,形成了先进的多核架构技术体系。
在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
精确的基于目标系统的流重组检测引擎
传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击,任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器主机上形成真正的攻击。
TopIDP产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。
准确与完善的检测能力
TopIDP产品的智能检测引擎可分析网络攻击的组合行为特征来准确识别各种攻击,准确性更高;
可以智能地识别出多种攻击隐藏手段及变种攻击,带来更高安全性;
通过智能化检测引擎,能够识别出多种高危网络行为,并可以将此类行为以告警方式通知管理员,达到防患于未然的目的,带来更高网络安全性;
同时新版TopIDP具有强大的木马检测与识别能力;
完善的应用攻击检测与防护能力;
丰富的网络应用控制能力和及时的应急响应能力。
丰富灵活的自定义规则能力
TopIDP产品内置了丰富灵活的自定义规则能力,能够根据协议、源端口、目的端口及协议内容自行定义攻击行为,其中协议内容支持强大灵活的PCRE(兼容perl的正则表达式)语法格式,特定协议支持更多达10种,包括:
ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap等。
借助于灵活的自定义规则能力,用户可以轻松定义自己的应用层检测和控制功能。
可视化的实时报表功能
现实网络中的攻击行为纷繁复杂且瞬息万变,TopIDP产品提供了可视化的实时报表功能,可以实时显示按发生次数排序的攻击事件排名,使网络攻击及其威胁程度一目了然。
应用配套的TopPolicy产品,可以实时显示Top10攻击者、Top10被攻击者、Top10攻击事件等统计报表,更可以显示24小时连续变化的事件发生统计曲线图。
借助于可视化的实时报表功能,用户可以轻松实现全网威胁分析。
3入侵防御产品的作用
在基于TCP/IP的网络中,普遍存在遭受攻击的风险。
除了恶意的攻击外,非恶意目的发起的攻击也是非常重要的一部分。
有效的入侵防御系统可以同时检测内部和外部威胁。
入侵防御系统的目的是检测恶意和非预期的数据和行为(如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务)。
一旦入侵被检测到,会引发某种响应(如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击)。
利用防火墙技术,经过精心的配置,通常能够在内外网之间提供安全的网络保护,降低网络安全风险。
但是,存在着一些防火墙等其它安全设备所不能防范的安全威胁,这就需要入侵防御系统提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,来保护电子政务局域网的安全。
入侵防御是防火墙等其它安全措施的补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的流量中收集信息,并分析这些信息,看看网络
升级会员 