网络与信息安全保障技术方案Word格式.docx

1、62、2、5数据安全62、3系统的网络安全设计72、3、1防火墙系统72、3、1、1防火墙的基本类型72、3、1、2常用攻击方法102、3、1、3常用攻击对策102、3、2VPN路由 器112、 3、3IDS入侵检测112、3、4CA认证与SSL加密132、3、4、1CA 的作用 132、3、4、2CA系统简介142、3、4、3SSL 加密 172、3、5防病毒系统192、3、5、1病毒的类型192、3、5、2病毒的检测222、3、5、3防病毒建议方案242、3、6网站监控与恢复系统242、 3、7SAN网络存储/备份/灾难恢复：243业务网络安全设计243、 1网络安全设计原则243、2系统

2、的安全设计253、2、1威胁及漏洞253、2、2计说明263、3系统的安全设计273、3、1各业务系统的分离273、3、2敏感数据区的保护283、3、3通迅线路数据加密293、3、4防火墻自身的保护303、3、5网络安全设计313、3、5、1设计说明：331网络安全实施的难点分析1、1 IT系统建设面临的问题企业在IT系统建设过程中，往往面临以下方 面的问题；其一：专业人员少，因为任何一个企业的IT系统建设，往往都是为 企业内部使用，只有自己最为了解自己企业的需求，但是往往企业内部的专业人 员比较少。其二：经验不足，专业性不强，由于企业内部的专业人员仅仅着眼于 本企业自身的需求，项目实施的少，

3、相应的项目经验欠缺专业性不强；其三：效 率不髙，效果不好，应为欠缺对系统建设的系统知识和经验，总是在摸索着前进, 在这个过程中，实施人员和使用人员的积极性就会降低，无法按照预期完成项目。1、 2 IT系统运维面临的问题2系统安全2、 1网络系统安全风险分析2、1、1设备安全风险分析网络设备、服务器设备、存储设备的安全是保 证网络安全运行的一个重要因素。为了保证网络的安全而制定的安全策略都是由 网络设备执行的，如果一些非网络管理人员故意或无意对网络设备进行非法操 作，势必会对网络的安全造成影响，甚至是重大的安全事故。因此，没有网络设 备的安全，网络设备的安全就无从谈起。所以，必须从多个层面来保证

4、网络设备 的安全。2、1、2网络安全系统分析网络层位于系统平台的最低层，是信息访问、共享、交流和发布的必由之路，也是黑客（或其它攻击者）等进行其截获、窃听 窃取信息、篡改信息、伪造和冒充等攻击的必由之路。所以，网络层所面临的安 全风险威胁是整个系统面临的主要安全风险之一。网络层的安全风险包括以下几 方面：1黑客攻击外网通过防火墙与Internet公众网相连，所以Internet上的 各种各样的黑客攻击、病毒传播等都可能威胁到系统的安全。其存在的安全风险 主要是黑客攻击，窃取或篡改重要信息，攻击网站等。许多机器临时性（甚至经 常性的）连接到外网上或直接连接到Internet上。这样Interne

5、t上的黑客或敌 对势力使用木马等黑客攻击手段，就可以将该员工机器用作一个侦察站。1网内 可能存在的相互攻击由于公司内网中的各级网络互连，这些设备在网络层是可以 互通的，在没有任何安全措施的情况下，一个单位的用户可以连接到另一个单位 使用的机器，访问其中的数据。这样就会造成网络间的互相病毒等其他因素引起 的网络攻击。2、1、3系统安全风险分析系统安全通常分为系统级软件比如操作系统、 数据库等的安全漏洞、病毒防治。1、 系统软件安全漏洞系统级软件比如操作系统、数据库等总是存在着这样 那样的安全漏洞，包括已发现或未发现的安全漏洞。2、 病毒侵害计算机病毒一直是困扰每一个计算机用户的重要问题，一旦计

6、算机程序被感染了病毒，它就有可能破坏掉用户工作中的重要信息。网络使病毒 的传播速度极大的加快，公司内部网络与Internet相连，这意味着每天可能受 到来自世界各地的新病毒的攻击。2、1、4应用安全风险分析基于B/S模式的业务系统由于身份认证、数据 传输、访问控制、授权、口令等存在安全隐患，从而对整个系统造成安全威胁。2、1、5数据安全风险分析在系统中存放有的重要的数据。这些数据如被 非法复制、篡改、删除，或是因各种天灾人祸丢失，将威胁到数据的保密性、完 整性和一致性。2、2网络系统安全设计针对上面提到的种种安全风险，对系统安全进行设 计。2、2、1设备安全设备安全在这里主要指控制对交换机等网

7、络设备的访问， 包括物理访问和登录访问两种。针对访问的两种方式采取以下措施：对基础设施采取防火、防盗、防静电、防潮措施。系统主机应采用双机热备（主备/互备） 方式，构成集群系统；系统关键通信设备应考虑冗余备份；要求利用系统监控工 具，实时监控系统中各种设备和网络运行状态，及时发现故障或故障苗头，及时 采取措施，排除故障，保障系统平稳运行。2、2、2网络安全为保障网络安全，在网络上要采取以下措施：1设立防 火墙。防火墙作为内部网络与外部公共网络之间的第一道屏障，一般用在企业网 与Internet等公众网之间的连接点处，防护来自外部的攻击，并过滤掉不安全 的服务请求和非法用户进入；1在内部系统的W

8、eb服务器到应用服务器之间设置 防火墙，防止来自内部的攻击和破坏，保证系统的安全；1进行入侵检测。对计 算机网络和计算机系统的关键结点的信息进行收集分析，检测其中是否有违反 安全策略的事件发生或攻击迹象，并通知系统安全管理员。1采用相应技术和手 段，保证网络安全。对传输数据进行加密，保障数据传输安全1防止网页的篡 改；利用防护工具防止黑客篡改或非法破坏网页，保证网站网页安全。针对防止 网页篡改，推荐使用InforGuaido InforGuard主要提供文件监控保护功能，保 证文件系统安全，防止被非法修改。InforGuard适用于网站网页文件的安全保 护，解决了网站被非法修改的问题，是一套安

9、全、高效、简单、易用的网页保护 系统；采用数字证书技术实现InforGuard的用户管理，加强了对Web站点目录 的ftp用户和口令的保护，防止了 ftp 口令泄漏造成的安全隐患；通过用户操作 日志提供对网页文件更新过程的全程监控。从而保证了网站网页文件的绝对安 全。1定期进行安全检查，查补安全漏洞，采用漏洞扫描软件对内部服务器浏览 器和所有网络设备进行漏洞扫描，及时弥补各类安全漏洞。2、2、3系统安全应用安全的解决往往依赖于网络层、操作系统、数据库 的安全，所以对系统级软件的安全防范突显其重要性；由于病毒通过Internet 网，可以在极短的时间内传到Internet的各个角落，而病毒对系统

10、稳定性和数 据安全性的威胁众所周知，所以对病毒的预防是一项分重要的工作；同时对一些 专用服务器的特别防护也是我们保证系统良好运行的前提。下面就从系统漏洞防 护、病毒防护和专用服务器防护等方面来阐述安全防范的措施。1系统安全漏洞 防护：通过系统扫描工具，定期检查系统中与安全有关的软件、资源、各厂商安 全补丁包”的情况，发现问题及时报告并给出解决建议。1病毒防护：在内网和外网中分别设置网络防病毒软件控制中心，安装网络版的防病毒控制台，在服 务器系统和网络内的主机均安装防病毒软件的客户端。管理员负责每天检查有没 有新的病毒库更新，并对防病毒服务器上的防病毒软件进行及时更新。然后再由 防病毒服务器将最

11、新的病毒库文件下发到各联网的机器上，实现全网统一、及时的防病毒软件更新，防止因为少数内部用户的疏忽，感染病毒，导致 病毒在全网的传播。1专用服务器的专门保护：针对重要的、最常受到攻击的应 用系统实施特别的保护。对WEB服务器保护对Web访问、监控/阻塞/报警、入侵 探测、攻击探测、恶意applets.恶意Ema订等在内的安全政策进行明确规划。 对E-mail服务程序、浏览器，采取正确的配置与及时下载安全补丁实现。2、2、4应用安全针对人为操作造成的风险，必须从系统的应用层进行防 范，因此应用系统在建设时需考虑系统的安全性。具体包括以下几个方面：1访 问控制：操作系统的用户管理、权限管理；限制用

12、户口令规则和长度，禁止用户 使用简单口令，强制用户定期修改口令；按照登录时间、登录方式限制用户的登 录请求；加强文件访问控制管理，根据访问的用户范围，设置文件的读、写、执 行权限；对重要资料设置被访问的时间和日期。1权限控制和管理：按照单位、 部门、职务、工作性质等对用户进行分类，不同的用户赋予不同的权限、可以访 问不同的系统、可以操作不同的功能模块；应用系统的权限实行分级管理，每个 系统的管理员自己定义各类用户对该系统资源的可访问内容。1身份验证：通过 采用口令识别、数字认证方式，来确保用户的登录身份与其真实身份相符，保证 数据的安全性、完整性、可靠性和交易的不可抵赖性、增强顾客、商家、企业

13、等 对网上交易的信心。1数据加密存储：关联及关键数据加密存储，提取数据库中 表间关联数据或重要数据信息，采用HASH算法，生成一加密字段，存放在数据 表中，保证数据库中关联数据的一致性、完整性，防止重要数据的非法篡改。1日 志记载：数据库日志：使得系统发生故障后能提供数据动态恢复或向前恢复等功 能，确保数据的可靠性和一致性。应用系统日志：通过记录应用系统中操作日志, 通过事后审计功能为将来分析提供数据分析源，确保业务的可追溯性。2、2、5数据安全业务数据是业务系统运行的重要元素，也是企业中宝贵 的资源。这些数据如被非法复制、篡改、删除，或是因系统崩溃及各种天灾人祸 丢失，将威胁到数据的保密性、

14、完整性和一致性。由此造成的损失将是巨大的。为了保证数据的安全，通常的做法是对数据进行备份。数据备份解决方案大致可 以分为两种：数据级的备份和系统级的备份。数据级的备份是指对存储在磁盘阵 列、磁带库等设备上的数据的备份。系统级备份主要是指对服务器系统、数据库 系统等系统的备份。对于数据库系统备份，有两种方式可以选择：第一种是采用 数据库自身的备份功能，其优点是不需要追加额外的投资，缺点是这种备份方式 是手工进行的，备份效率较低，并且在备份时需要关闭数据库，即需要shutdown 数据库实例。第二种方式是采用专业的备份工具，这种方式能够实现在线备份的 方式，即在备份的过程中不需Shutdown数据

15、库实例。同时，在备份过程中，通 过追踪数据块的变动记录来实现增量备份，缩短备份窗口。在保持数据库online 的前提下，这种方式还能够充分保证数据库的OLTP联机事务处理的性能。数据 库的数据量庞大，可以通过同时驱动多个磁带驱动器来保证数据库备份的效率。 通过这种方式，能够在夜间的非工作时段内完成全备份，并在相对更短的时间段 内完成日增量备份。在上述数据备份环境中，可以对操作系统及应用程序环境实 现动态即时在线快速备份，即在不影响用户和应用程序运行的前提下，备份系统 的动态数据，同时能够将传统文件系统的备份速度成倍提高。在前面的服务器平 台设计中，我们为每台服务器都配置了两块硬盘，通过磁盘镜像（RAID1）技术 实现系统冗余备份，可以极大提高服务器系统的安全性。保证数据安全，对数据 进行备份。2、3系统的网络安全设计2、3、1防火墙系统2、3、1、1防火墙的基本类型实现防火墙的技术主要包括四类：包过滤防 火墙