保護(hù)信息安全的措施(2)
保護(hù)信息安全的方案篇一
某市政府中心網(wǎng)絡(luò)安全方案設(shè)計(jì)
1.1安全系統(tǒng)建設(shè)目標(biāo)
本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案,包括安全管理制度策略的制定、安全策略的實(shí)施體系結(jié)構(gòu)的設(shè)計(jì)、安全產(chǎn)品的選擇和部署實(shí)施,以及長(zhǎng)期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面安全管理。
1) 將安全策略、硬件及軟件等方法結(jié)合起來(lái),構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng),有效阻止非法用戶進(jìn)入網(wǎng)絡(luò),減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn);
2) 通過(guò)部署不同類型的安全產(chǎn)品,實(shí)現(xiàn)對(duì)不同層次、不同類別網(wǎng)絡(luò)安全問(wèn)題的防護(hù);
3) 使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。
具體來(lái)說(shuō),本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問(wèn)控制,并能夠?qū)χ匾刂泣c(diǎn)進(jìn)行細(xì)粒度的訪問(wèn)控制;
其次,對(duì)于通過(guò)對(duì)網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控,對(duì)重要服務(wù)器的運(yùn)行狀況進(jìn)行全面監(jiān)控。
1.1.1 防火墻系統(tǒng)設(shè)計(jì)方案
1.1.1.1 防火墻對(duì)服務(wù)器的安全保護(hù)
網(wǎng)絡(luò)中應(yīng)用的服務(wù)器,信息量大、處理能力強(qiáng),往往是攻擊的主要對(duì)象。另外,服務(wù)器提供的各種服務(wù)本身有可能成為"黑客"攻擊的突破口,因此,在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。
如果服務(wù)器沒(méi)有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù),就會(huì)面臨著"黑客"各種方式的攻擊,安全級(jí)別很低。因此當(dāng)安裝防火墻后,所有訪問(wèn)服務(wù)器的請(qǐng)求都要經(jīng)過(guò)防火墻安全規(guī)則的詳細(xì)檢測(cè)。只有訪問(wèn)服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后,才能通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊,外界只能接觸到防火墻上的特定服務(wù),從而防止了絕大部分外界攻擊。
1.1.1.2 防火墻對(duì)內(nèi)部非法用戶的防范
網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜,而且各子網(wǎng)的分布地域廣闊,網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差,因此,內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶,如何對(duì)內(nèi)部用戶進(jìn)行訪問(wèn)控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性,我們必須要對(duì)它進(jìn)行詳盡的分析,盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。
對(duì)于一般的網(wǎng)絡(luò)應(yīng)用,內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù),網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范,特別是在內(nèi)部網(wǎng)絡(luò)上,大部分的主機(jī)沒(méi)有進(jìn)行基本的安
全防范處理,整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅,安全等級(jí)不高。根據(jù)國(guó)際上流行的處理方法,我們把內(nèi)部用戶跨網(wǎng)段的訪問(wèn)分為兩大類:其一,是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問(wèn),即單機(jī)到單機(jī)訪問(wèn)。這一層次上的應(yīng)用主要有用戶共享文件的傳輸(NETBIOS)應(yīng)用;其次,是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問(wèn),這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高,如果內(nèi)部人員發(fā)起攻擊,內(nèi)部網(wǎng)絡(luò)主機(jī)將無(wú)法避免地遭到損害,特別是針對(duì)于NETBIOS文件共享協(xié)議,已經(jīng)有很多的漏洞在網(wǎng)上公開(kāi)報(bào)道,如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善,就可能被內(nèi)部用戶利用"黑客"工具造成嚴(yán)重破壞。
1.1.2入侵檢測(cè)系統(tǒng)
利用防火墻技術(shù),經(jīng)過(guò)仔細(xì)的配置,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù),降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn),但是入侵者可尋找防火墻背后可能敞開(kāi)的后門,入侵者也可能就在防火墻內(nèi)。
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上,通過(guò)實(shí)時(shí)偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流,尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí),網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng),包括實(shí)時(shí)報(bào)警、事件登錄,或執(zhí)行用戶自定義的安全策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中有安全風(fēng)險(xiǎn)的地方,如局域網(wǎng)出入口、重點(diǎn)保護(hù)主機(jī)、遠(yuǎn)程接入服務(wù)器、內(nèi)部網(wǎng)重點(diǎn)工作站組等。在重點(diǎn)保護(hù)區(qū)域,可以單獨(dú)各部署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)(管理器+探測(cè)引擎),也可以在每個(gè)需要保護(hù)的地方單獨(dú)部署一個(gè)探測(cè)引擎,在全網(wǎng)使用一個(gè)管理器,這種方式便于進(jìn)行集中管理。
在內(nèi)部應(yīng)用網(wǎng)絡(luò)中的重要網(wǎng)段,使用網(wǎng)絡(luò)探測(cè)引擎,監(jiān)視并記錄該網(wǎng)段上的所有操作,在一定程度上防止非法操作和惡意攻擊網(wǎng)絡(luò)中的重要服務(wù)器和主機(jī)。同時(shí),網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作的過(guò)程,可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。
需要說(shuō)明的是,IDS是對(duì)防火墻的非常有必要的附加而不僅僅是簡(jiǎn)單的補(bǔ)充。
按照現(xiàn)階段的網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)區(qū)域,xxx市政府本期網(wǎng)絡(luò)安全系統(tǒng)項(xiàng)目的需求為:
區(qū)域 部署安全產(chǎn)品
內(nèi)網(wǎng) 連接到Internet的出口處安裝兩臺(tái)互為雙機(jī)熱備的海信FW3010PF-4000型百兆防火墻;在主干交換機(jī)上安裝海信千兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器;在主干交換機(jī)上安裝NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng);在內(nèi)部工作站上安裝趨勢(shì)防毒墻網(wǎng)絡(luò)版防病毒軟件;在各服務(wù)器上安裝趨勢(shì)防毒墻服務(wù)器版防病毒軟件。
DMZ區(qū) 在服務(wù)器上安裝趨勢(shì)防毒墻服務(wù)器版防病毒軟件;安裝一臺(tái)InterScan
VirusWall防病毒網(wǎng)關(guān);安裝百兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器和NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)。
安全監(jiān)控與備份中心 安裝FW3010-5000千兆防火墻,安裝RJ-iTOP榕基網(wǎng)絡(luò)安全漏洞掃描器;安裝眼鏡蛇入侵檢測(cè)系統(tǒng)控制臺(tái)和百兆探測(cè)器;安裝趨勢(shì)防毒墻服務(wù)器版管理服務(wù)器,趨勢(shì)防毒墻網(wǎng)絡(luò)版管理服務(wù)器,對(duì)各防病毒軟件進(jìn)行集中管理。
1.2防火墻安全系統(tǒng)技術(shù)方案
某市政府局域網(wǎng)是應(yīng)用的中心,存在大量敏感數(shù)據(jù)和應(yīng)用,因此必須設(shè)計(jì)一個(gè)高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng),確保數(shù)據(jù)和應(yīng)用萬(wàn)無(wú)一失。
所有的局域網(wǎng)計(jì)算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到主干交換機(jī)上。由于工作站分布較廣且全部連接,對(duì)中心的服務(wù)器及應(yīng)用構(gòu)成了極大的威脅,尤其是可能通過(guò)廣域網(wǎng)上的工作站直接攻擊服務(wù)器。因此,必須將中心與廣域網(wǎng)進(jìn)行隔離防護(hù)。考慮到效率,數(shù)據(jù)主要在主干交換機(jī)上流通,通過(guò)防火墻流入流出的流量不會(huì)超過(guò)百兆,因此使用百兆防火墻就完全可以滿足要求。
如下圖,我們?cè)谥行臋C(jī)房的DMZ服務(wù)區(qū)上安裝兩臺(tái)互為冗余備份的海信FW3010PF-4000百兆防火墻,DMZ口通過(guò)交換機(jī)與WWW/FTP、DNS/MAIL服務(wù)器連接。同時(shí),安裝一臺(tái)Fw3010PF-5000千兆防火墻,將安全與備份中心與其他區(qū)域邏輯隔離開(kāi)來(lái)通過(guò)安裝防火墻,實(shí)現(xiàn)下列的安全目標(biāo):
1) 利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進(jìn)行有效隔離,避免與外部網(wǎng)絡(luò)直接通信;
2) 利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施,保證系統(tǒng)安全;
3) 利用防火墻對(duì)來(lái)自外網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制,使非法訪問(wèn)在到達(dá)主機(jī)前被拒絕;
4) 利用防火墻使用IP與MAC地址綁定功能,加強(qiáng)終端用戶的訪問(wèn)認(rèn)證,同時(shí)在不影響用戶正常訪問(wèn)的基礎(chǔ)上將用戶的訪問(wèn)權(quán)限控制在最低限度內(nèi);
5) 利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問(wèn),及時(shí)發(fā)現(xiàn)和阻止非法操作;
6) 利用防火墻及服務(wù)器上的審計(jì)記錄,形成一個(gè)完善的審計(jì)體系,建立第二條防線;
7) 根據(jù)需要設(shè)置流量控制規(guī)則,實(shí)現(xiàn)網(wǎng)絡(luò)流量控制,并設(shè)置基于時(shí)間段的訪問(wèn)控制。
1.3入侵檢測(cè)系統(tǒng)技術(shù)方案
如下圖所示,我們建議在局域網(wǎng)中心交換機(jī)安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)千兆探測(cè)器,DMZ區(qū)交換機(jī)上安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)百兆探測(cè)器,用以實(shí)時(shí)檢測(cè)局域網(wǎng)用戶和外網(wǎng)用戶對(duì)主機(jī)的訪問(wèn),在安全監(jiān)控與備份中心安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)百兆探測(cè)器和海信眼鏡蛇入侵檢測(cè)系統(tǒng)控制臺(tái),由系統(tǒng)控制臺(tái)進(jìn)行統(tǒng)一的管理(統(tǒng)一事件庫(kù)升級(jí)、統(tǒng)一安全防護(hù)策略、統(tǒng)一上報(bào)日志生成報(bào)表)。
其中,海信眼鏡蛇網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以與海信FW3010PF防火墻進(jìn)行聯(lián)動(dòng),一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為,將向防火墻發(fā)送通知報(bào)文,由防火墻來(lái)阻斷連接,實(shí)現(xiàn)動(dòng)態(tài)的安全防護(hù)體系。海信眼鏡蛇入侵檢測(cè)系統(tǒng)可以聯(lián)動(dòng)的防火墻有:海信FW3010PF防火墻,支持OPSEC協(xié)議的防火墻。
通過(guò)使用入侵檢測(cè)系統(tǒng),我們可以做到:
1) 對(duì)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行檢測(cè),防止黑客的入侵; 2) 對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測(cè),防止入侵者的蓄意破壞和篡改; 3) 監(jiān)視內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況,查找非法用戶和合法用戶的越權(quán)操作; 4) 對(duì)用戶的非正?;顒?dòng)進(jìn)行統(tǒng)計(jì)分析,發(fā)現(xiàn)入侵行為的規(guī)律; 5) 實(shí)時(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行報(bào)警、阻斷,能夠與防火墻/系統(tǒng)聯(lián)動(dòng); 6) 對(duì)關(guān)鍵正常事件及異常行為記錄日志,進(jìn)行審計(jì)跟蹤管理。
通過(guò)使用海信眼鏡蛇入侵檢測(cè)系統(tǒng)可以容易的完成對(duì)以下的攻擊識(shí)別:網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dos&Ddos攻擊、緩沖區(qū)溢出攻擊、Web攻擊、后門攻擊等。
網(wǎng)絡(luò)給某市政府帶來(lái)巨大便利的同時(shí),也帶來(lái)了許多挑戰(zhàn),其中安全問(wèn)題尤為突出。加上一些人缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足,這些風(fēng)險(xiǎn)會(huì)日益加重。引起這些風(fēng)險(xiǎn)的原因有多種,其中網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素尤為重要。主要涉及物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面。通過(guò)以上方案的設(shè)計(jì)和實(shí)施,所有安全隱患就得到了良好的改善。
保護(hù)信息安全的方案篇二
一、客戶背景
集團(tuán)內(nèi)聯(lián)網(wǎng)主要以總部局域網(wǎng)為核心,采用廣域網(wǎng)方式與外地子公司聯(lián)網(wǎng)。集團(tuán)廣域網(wǎng)采用MPLS-技術(shù),用來(lái)為各個(gè)分公司提供骨干網(wǎng)絡(luò)平臺(tái)和接入,各個(gè)分公司可以在集團(tuán)的骨干信息網(wǎng)絡(luò)系統(tǒng)上建設(shè)各自的子系統(tǒng),確保各類系統(tǒng)間的相互獨(dú)立。
二、安全威脅
某公司屬于大型上市公司,在北京,上海、廣州等地均有分公司。公司內(nèi)部采用無(wú)紙化辦公,OA系統(tǒng)成熟。每個(gè)局域網(wǎng)連接著該所有部門,所有的數(shù)據(jù)都從局域網(wǎng)中傳遞。同時(shí),各分公司采用技術(shù)連接公司總部。該單位為了方便,將相當(dāng)一部分業(yè)務(wù)放在了對(duì)外開(kāi)放的網(wǎng)站上,網(wǎng)站也成為了既是對(duì)外形象窗口又是內(nèi)部辦公窗口。
由于網(wǎng)絡(luò)設(shè)計(jì)部署上的缺陷,該單位局域網(wǎng)在建成后就不斷出現(xiàn)網(wǎng)絡(luò)擁堵、網(wǎng)速特別慢的情況,同時(shí)有些個(gè)別機(jī)器上的殺毒軟件頻頻出現(xiàn)病毒報(bào)警,網(wǎng)絡(luò)經(jīng)常癱瘓,每次時(shí)間都持續(xù)幾十分鐘,網(wǎng)管簡(jiǎn)直成了救火隊(duì)員,忙著清除病毒,重裝系統(tǒng)。對(duì)外WEB網(wǎng)站同樣也遭到黑客攻擊,網(wǎng)頁(yè)遭到非法篡改,有些網(wǎng)頁(yè)甚至成了傳播不良信息的平臺(tái),不僅影響到網(wǎng)站的正常運(yùn)行,而且還對(duì)政府形象也造成不良影響。(安全威脅根據(jù)拓?fù)鋱D分析)從網(wǎng)絡(luò)安全威脅看,集團(tuán)網(wǎng)絡(luò)的威脅主要包括外部的攻擊和入侵、內(nèi)部的攻擊或誤用、企業(yè)內(nèi)的病毒傳播,以及安全管理漏洞等信息安全現(xiàn)狀:經(jīng)過(guò)分析發(fā)現(xiàn)該公司信息安全基本上是空白,主要有以下問(wèn)題:
公司沒(méi)有制定信息安全政策,信息管理不健全。 公司在建內(nèi)網(wǎng)時(shí)與internet的連接沒(méi)有防火墻。 內(nèi)部網(wǎng)絡(luò)(同一城市的各分公司)之間沒(méi)有任何安全保障為了讓網(wǎng)絡(luò)正常運(yùn)行。
根據(jù)我國(guó)《信息安全等級(jí)保護(hù)管理辦法》的信息安全要求,近期公司決定對(duì)該網(wǎng)絡(luò)加強(qiáng)安全防護(hù),解決目前網(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題。
三、安全需求
從安全性和實(shí)用性角度考慮,安全需求主要包括以下幾個(gè)方面:
1、安全管理咨詢
安全建設(shè)應(yīng)該遵照7分管理3分技術(shù)的原則,通過(guò)本次安全項(xiàng)目,可以發(fā)現(xiàn)集團(tuán)現(xiàn)有安全問(wèn)題,并且協(xié)助建立起完善的安全管理和安全組織體系。
2、集團(tuán)骨干網(wǎng)絡(luò)邊界安全
主要考慮骨干網(wǎng)絡(luò)中Internet出口處的安全,以及移動(dòng)用戶、遠(yuǎn)程撥號(hào)訪問(wèn)用戶的安全。
3、集團(tuán)骨干網(wǎng)絡(luò)服務(wù)器安全
主要考慮骨干網(wǎng)絡(luò)中網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的服務(wù)器,包括OA、財(cái)務(wù)、人事、內(nèi)部WEB等內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)的安全。
4、集團(tuán)內(nèi)聯(lián)網(wǎng)統(tǒng)一的病毒防護(hù)
主要考慮集團(tuán)內(nèi)聯(lián)網(wǎng)中,包括總公司在內(nèi)的所有公司的病毒防護(hù)。
5、統(tǒng)一的增強(qiáng)口令認(rèn)證系統(tǒng)
由于系統(tǒng)管理員需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備,如何確??诹畎踩Q為一個(gè)重要的問(wèn)題。
6、統(tǒng)一的安全管理平臺(tái)
通過(guò)在集團(tuán)內(nèi)聯(lián)網(wǎng)部署統(tǒng)一的安全管理平臺(tái),實(shí)現(xiàn)集團(tuán)總部對(duì)全網(wǎng)安全狀況的集中監(jiān)測(cè)、安全策略的統(tǒng)一配置管理、統(tǒng)計(jì)分析各類安全事件、以及處理各種安全突發(fā)事件。
7、專業(yè)安全服務(wù)
過(guò)專業(yè)安全服務(wù)建立全面的安全策略、管理組織體系及相關(guān)管理制度,全面評(píng)估企業(yè)網(wǎng)絡(luò)中的信息資產(chǎn)及其面臨的安全風(fēng)險(xiǎn)情況,在必要的情況下,進(jìn)行主機(jī)加固和網(wǎng)絡(luò)加固。通過(guò)專業(yè)緊急響應(yīng)服務(wù)保證企業(yè)在面臨緊急事件情況下的處理能力,降低安全風(fēng)險(xiǎn)。
四、方案設(shè)計(jì)
骨干網(wǎng)邊界安全
集團(tuán)骨干網(wǎng)共有一個(gè)Internet出口,位置在總部,在Internet出口處部署LinkTrust Cyberwall-200F/006防火墻一臺(tái)。
在Internet出口處部署一臺(tái)LinkTrust Network Defender領(lǐng)信網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),通過(guò)交換機(jī)端口鏡像的方式,將進(jìn)出Internet的流量鏡像到入侵檢測(cè)的監(jiān)聽(tīng)端口,LinkTrust
Network Defender可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的異常流量,防止惡意入侵。
在各個(gè)分公司中添加一個(gè)DMZ區(qū),保證各公司的信息安全,內(nèi)部網(wǎng)絡(luò)(同一城市的各分公司)之間沒(méi)有任何安全保障骨干網(wǎng)服務(wù)器安全
集團(tuán)骨干網(wǎng)服務(wù)器主要指網(wǎng)絡(luò)中的網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的應(yīng)用服務(wù)器包括OA、財(cái)務(wù)、人事、內(nèi)部WEB等,以及專為此次項(xiàng)目配置的、用于安全產(chǎn)品管理的服務(wù)器的安全。 主要考慮為在服務(wù)器區(qū)配置千兆防火墻,實(shí)現(xiàn)服務(wù)器區(qū)與辦公區(qū)的隔離,并將內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)在防火墻上實(shí)現(xiàn)邏輯隔離。還考慮到在服務(wù)器區(qū)配置主機(jī)入侵檢測(cè)系統(tǒng),在網(wǎng)絡(luò)中配置百兆網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),實(shí)現(xiàn)主機(jī)及網(wǎng)絡(luò)層面的主動(dòng)防護(hù)。
漏洞掃描
了解自身安全狀況,目前面臨的安全威脅,存在的安全隱患,以及定期的了解存在那些安全漏洞,新出現(xiàn)的安全問(wèn)題等,都要求信息系統(tǒng)自身和用戶作好安全評(píng)估。安全評(píng)估主要分成網(wǎng)絡(luò)安全評(píng)估、主機(jī)安全評(píng)估和數(shù)據(jù)庫(kù)安全評(píng)估三個(gè)層面。
內(nèi)聯(lián)網(wǎng)病毒防護(hù)
病毒防范是網(wǎng)絡(luò)安全的一個(gè)基本的、重要部分。通過(guò)對(duì)病毒傳播、感染的各種方式和途徑進(jìn)行分析,結(jié)合集團(tuán)網(wǎng)絡(luò)的特點(diǎn),在網(wǎng)絡(luò)安全的病毒防護(hù)方面應(yīng)該采用“多級(jí)防范,集中管理,以防為主、防治結(jié)合”的動(dòng)態(tài)防毒策略。
病毒防護(hù)體系主要由桌面網(wǎng)絡(luò)防毒、服務(wù)器防毒和郵件防毒三個(gè)方面。
增強(qiáng)的身份認(rèn)證系統(tǒng)
由于需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備,如何確保口令安全也是一個(gè)非常重要的問(wèn)題。 減小口令危險(xiǎn)的最為有效的辦法是采用雙因素認(rèn)證方式。雙因素認(rèn)證機(jī)制不僅僅需要用戶提供一個(gè)類似于口令或者PIN的單一識(shí)別要素,而且需要第二個(gè)要素,也即用戶擁有的,通常是認(rèn)證令牌,這種雙因素認(rèn)證方式提供了比可重用的口令可靠得多的用戶認(rèn)證級(jí)別。用戶除了知道他的PIN號(hào)碼外,還必須擁有一個(gè)認(rèn)證令牌。而且口令一般是一次性的,這樣每次的口令是動(dòng)態(tài)變化的,大大提高了安全性。
統(tǒng)一安全平臺(tái)的建立
通過(guò)建立統(tǒng)一的安全管理平臺(tái)(安全運(yùn)行管理中心—SOC),建立起集團(tuán)的安全風(fēng)險(xiǎn)監(jiān)控體系,利于從全局的角度發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問(wèn)題,并及時(shí)歸并相關(guān)人員處理。這里的風(fēng)險(xiǎn)監(jiān)控體系包括安全信息庫(kù)、安全事件收集管理系統(tǒng)、安全工單系統(tǒng)等,同時(shí)開(kāi)發(fā)有效的多種手段實(shí)時(shí)告警系統(tǒng),定制高效的安全報(bào)表系統(tǒng)。
五、網(wǎng)絡(luò)管理:
(1)故障管理
故障管理是網(wǎng)絡(luò)管理中最基本的功能之一。用戶都希望有一個(gè)可靠的計(jì)算機(jī)網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)中某個(gè)組成失效時(shí),網(wǎng)絡(luò)管理器必須迅速查找到故障并及時(shí)排除。通常不大可能迅速隔離某個(gè)故障,因?yàn)榫W(wǎng)絡(luò)故障的產(chǎn)生原因往往相當(dāng)復(fù)雜,特別是當(dāng)故障是由多個(gè)網(wǎng)絡(luò)組成共同引起的。在此情況下,一般先將網(wǎng)絡(luò)修復(fù),然后再分析網(wǎng)絡(luò)故障的原因。分析故障原因?qū)τ诜乐诡愃乒收系脑侔l(fā)生相當(dāng)重要。網(wǎng)絡(luò)故障管理包括故障檢測(cè)、隔離和糾正三方面,應(yīng)包括以下典型功能:
(1)故障監(jiān)測(cè):主動(dòng)探測(cè)或被動(dòng)接收網(wǎng)絡(luò)上的各種事件信息,并識(shí)別出其中與網(wǎng)絡(luò)和系統(tǒng)故障相關(guān)的內(nèi)容,對(duì)其中的關(guān)鍵部分保持跟蹤,生成網(wǎng)絡(luò)故障事件記錄。
(2)故障報(bào)警:接收故障監(jiān)測(cè)模塊傳來(lái)的報(bào)警信息,根據(jù)報(bào)警策略驅(qū)動(dòng)不同的報(bào)警程序,以報(bào)警窗口/振鈴(通知一線網(wǎng)絡(luò)管理人員)或電子郵件(通知決策管理人員)發(fā)出網(wǎng)絡(luò)嚴(yán)重故障警報(bào)。
(3)故障信息管理:依靠對(duì)事件記錄的分析,定義網(wǎng)絡(luò)故障并生成故障卡片,記錄排除故障的步驟和與故障相關(guān)的值班員日志,構(gòu)造排錯(cuò)行動(dòng)記錄,將事件-故障-日志構(gòu)成邏輯上相互關(guān)聯(lián)的整體,以反映故障產(chǎn)生、變化、消除的整個(gè)過(guò)程的各個(gè)方面。
(4)排錯(cuò)支持工具:向管理人員提供一系列的實(shí)時(shí)檢測(cè)工具,對(duì)被管設(shè)備的狀況進(jìn)行測(cè)試并記錄下測(cè)試結(jié)果以供技術(shù)人員分析和排錯(cuò);根據(jù)已有的徘錯(cuò)經(jīng)驗(yàn)和管理員對(duì)故障狀態(tài)的描述給出對(duì)徘錯(cuò)行動(dòng)的提示。
(5)檢索/分析故障信息:瀏閱并且以關(guān)鍵字檢索查詢故障管理系統(tǒng)中所有的數(shù)據(jù)庫(kù)記錄,定期收集故障記錄數(shù)據(jù),在此基礎(chǔ)上給出被管網(wǎng)絡(luò)系統(tǒng)、被管線路設(shè)備的可靠性參數(shù)。 對(duì)網(wǎng)絡(luò)故障的檢測(cè)依據(jù)對(duì)網(wǎng)絡(luò)組成部件狀態(tài)的監(jiān)測(cè)。不嚴(yán)重的簡(jiǎn)單故障通常被記錄在 錯(cuò)誤日志中,并不作特別處理;而嚴(yán)重一些的故障則需要通知網(wǎng)絡(luò)管理器,即所謂的"警報(bào)"。 一般網(wǎng)絡(luò)管理器應(yīng)根據(jù)有關(guān)信息對(duì)警報(bào)進(jìn)行處理,排除故障。當(dāng)故障比較復(fù)雜時(shí),網(wǎng)絡(luò)管理 器應(yīng)能執(zhí)行一些診斷測(cè)試來(lái)辨別故障原因。
(2)計(jì)費(fèi)管理
計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用,目的是控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。它對(duì)一些公共商業(yè)網(wǎng)絡(luò)尤為重要。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價(jià),以及已經(jīng)使用的資源。網(wǎng)絡(luò)管理員還可規(guī)定用戶可使用的最大費(fèi)用,從而控制用戶過(guò)多占用和使用網(wǎng)絡(luò) 資源。這也從另一方面提高了網(wǎng)絡(luò)的效率。另外,當(dāng)用戶為了一個(gè)通信目的需要使用多個(gè)網(wǎng)絡(luò)中的資源時(shí),計(jì)費(fèi)管理應(yīng)可計(jì)算總計(jì)費(fèi)用。
(1)計(jì)費(fèi)數(shù)據(jù)采集:計(jì)費(fèi)數(shù)據(jù)采集是整個(gè)計(jì)費(fèi)系統(tǒng)的基礎(chǔ),但計(jì)費(fèi)數(shù)據(jù)采集往往受到采集設(shè)備硬件與軟件的制約,而且也與進(jìn)行計(jì)費(fèi)的網(wǎng)絡(luò)資源有關(guān)。 (2)數(shù)據(jù)管理與數(shù)據(jù)維護(hù):計(jì)費(fèi)管理人工交互性很強(qiáng),雖然有很多數(shù)據(jù)維護(hù)系統(tǒng)自動(dòng)完成,但仍然需要人為管理,包括交納費(fèi)用的輸入、聯(lián)網(wǎng)單位信息維護(hù),以及賬單樣式?jīng)Q定等。
(3)計(jì)費(fèi)政策制定;由于計(jì)費(fèi)政策經(jīng)常靈活變化,因此實(shí)現(xiàn)用戶自由制定輸入計(jì)費(fèi)政策尤其重要。這樣需要一個(gè)制定計(jì)費(fèi)政策的友好人機(jī)界面和完善的實(shí)現(xiàn)計(jì)費(fèi)政策的數(shù)據(jù)模型。
(4)政策比較與決策支持:計(jì)費(fèi)管理應(yīng)該提供多套計(jì)費(fèi)政策的數(shù)據(jù)比較,為政策制訂提供決策依據(jù)。
(5)數(shù)據(jù)分析與費(fèi)用計(jì)算:利用采集的網(wǎng)絡(luò)資源使用數(shù)據(jù),聯(lián)網(wǎng)用戶的詳細(xì)信息以及計(jì)費(fèi)政策計(jì)算網(wǎng)絡(luò)用戶資源的使用情況,并計(jì)算出應(yīng)交納的費(fèi)用。
(6)數(shù)據(jù)查詢:提供給每個(gè)網(wǎng)絡(luò)用戶關(guān)于自身使用網(wǎng)絡(luò)資源情況的詳細(xì)信息,網(wǎng)絡(luò)用戶根據(jù)這些信息可以計(jì)算、核對(duì)自己的收費(fèi)情況。
(3)配置管理
配置管理同樣相當(dāng)重要。它初始化網(wǎng)絡(luò)、并配置網(wǎng)絡(luò),以使其提供網(wǎng)絡(luò)服務(wù)。配置管理 是一組對(duì)辨別、定義、控制和監(jiān)視組成一個(gè)通信網(wǎng)絡(luò)的對(duì)象所必要的相關(guān)功能,目的是為了實(shí)現(xiàn)某個(gè)特定功能或使網(wǎng)絡(luò)性能達(dá)到最優(yōu)。
(1)配置信息的自動(dòng)獲?。涸谝粋€(gè)大型網(wǎng)絡(luò)中,需要管理的設(shè)備是比較多的,如果每個(gè)設(shè)備的配置信息都完全依靠管理人員的手工輸入,工作量是相當(dāng)大的,而且還存在出錯(cuò)的可能性。對(duì)于不熟悉網(wǎng)絡(luò)結(jié)構(gòu)的人員來(lái)說(shuō),這項(xiàng)工作甚至無(wú)法完成‘因此,一個(gè)先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具有配置信息自動(dòng)獲取功能。即使在管理人員不是很熟悉網(wǎng)絡(luò)結(jié)構(gòu)和配置狀況的情況下,也能通過(guò)有關(guān)的技術(shù)手段來(lái)完成對(duì)網(wǎng)絡(luò)的配置和管理。在網(wǎng)絡(luò)設(shè)備的配置信息中,根據(jù)獲取手段大致可以分為三類:一類是網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)的MIB中定義的配置信息(包括SNMP;和CMIP協(xié)議);二類是不在網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中有定義,但是對(duì)設(shè)備運(yùn)行比較重要的配置信息;三類就是用于管理的一些輔助信息。
(2)自動(dòng)配置、自動(dòng)備份及相關(guān)技術(shù):配置信息自動(dòng)獲取功能相當(dāng)于從網(wǎng)絡(luò)設(shè)備中“讀”信息,相應(yīng)的,在網(wǎng)絡(luò)管理應(yīng)用中還有大量“寫(xiě)”信息的需求。同樣根據(jù)設(shè)置手段對(duì)網(wǎng)絡(luò)配置信息進(jìn)行分類:一類是可以通過(guò)網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中定義的方法(如SNMP中的set服務(wù))進(jìn)行設(shè)置的配置信息;二類是可以通過(guò)自動(dòng)登錄到設(shè)備進(jìn)行配置的信息;三類就是需要修改的管理性配置信息。
(3)配置一致性檢查:在一個(gè)大型網(wǎng)絡(luò)中,由于網(wǎng)絡(luò)設(shè)備眾多,而且由于管理的原因,這些設(shè)備很可能不是由同一個(gè)管理人員進(jìn)行配置的。實(shí)際上‘即使是同一個(gè)管理員對(duì)設(shè)備進(jìn)行的配置,也會(huì)由于各種原因?qū)е屡渲靡恢滦詥?wèn)題。因此,對(duì)整個(gè)網(wǎng)絡(luò)的配置情況進(jìn)行一致性檢查是必需的。在網(wǎng)絡(luò)的配置中,對(duì)網(wǎng)絡(luò)正常運(yùn)行影響最大的主要是路由器端口配置和路由信息配置,因此,要進(jìn)行、致性檢查的也主要是這兩類信息。
(4)用戶操作記錄功能:配置系統(tǒng)的安全性是整個(gè)網(wǎng)絡(luò)管理系統(tǒng)安全的核心,因此,必須對(duì)用戶進(jìn)行的每一配置操作進(jìn)行記錄。在配置管理中,需要對(duì)用戶操作進(jìn)行記錄,并保存下來(lái)。管理人員可以隨時(shí)查看特定用戶在特定時(shí)間內(nèi)進(jìn)行的特定配置操作。
(4)性能管理(performance management)
性能管理估價(jià)系統(tǒng)資源的運(yùn)行狀況及通信效率等系統(tǒng)性能。其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能機(jī)制。性能分析的結(jié)果可能會(huì)觸發(fā)某個(gè)診斷測(cè)試過(guò)程或重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能。性能管理收集分析有關(guān)被管網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)信息,并維持和分析性能日志。一些典型的功能包括:
(1)性能監(jiān)控:由用戶定義被管對(duì)象及其屬性。被管對(duì)象類型包括線路和路由器;被管對(duì)象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內(nèi)存余量。對(duì)于每個(gè)被管對(duì)象,定時(shí)采集性能數(shù)據(jù),自動(dòng)生成性能報(bào)告。
(2)閾值控制:可對(duì)每一個(gè)被管對(duì)象的每一條屬性設(shè)置閾值,對(duì)于特定被管對(duì)象的特定屬性,可以針對(duì)不同的時(shí)間段和性能指標(biāo)進(jìn)行閾值設(shè)置??赏ㄟ^(guò)設(shè)置閾值檢查開(kāi)關(guān)控制閡值檢查和告警,提供相應(yīng)的閾值管理和溢出告警機(jī)制。
(3)性能分橋:對(duì)歷史數(shù)據(jù)進(jìn)行分析,統(tǒng)計(jì)和整理,計(jì)算性能指標(biāo),對(duì)性能狀況作出判斷,為網(wǎng)絡(luò)規(guī)劃提供參考。
(4)可視化的性能報(bào)告:對(duì)數(shù)據(jù)進(jìn)行掃描和處理,生成性能趨勢(shì)曲線,以直觀的圖形反映性能分析的結(jié)果。
(5)實(shí)時(shí)性能監(jiān)控:提供了一系列實(shí)時(shí)數(shù)據(jù)采集;分析和可視化工具,用以對(duì)流量、負(fù)載、丟包、溫度、內(nèi)存、延遲等網(wǎng)絡(luò)設(shè)備和線路的性能指標(biāo)進(jìn)行實(shí)時(shí)檢測(cè),可任意設(shè)置數(shù)據(jù)采集間隔。
(6)網(wǎng)絡(luò)對(duì)象性能查詢:可通過(guò)列表或按關(guān)鍵字檢索被管網(wǎng)絡(luò)對(duì)象及其屬性的性能記錄。
(5)安全管理
安全性一直是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一,而用戶對(duì)網(wǎng)絡(luò)安全的要求又相當(dāng)高,因此網(wǎng)絡(luò)安全管理非常重要。網(wǎng)絡(luò)中主要有以下幾大安全問(wèn)題:
網(wǎng)絡(luò)數(shù)據(jù)的私有性(保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵 入者非法獲取),
授權(quán)(authentication)(防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息),
訪問(wèn)控制(控制訪問(wèn)控制(控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn))。
相應(yīng)的,網(wǎng)絡(luò)安全管理應(yīng)包括對(duì)授權(quán)機(jī)制、訪問(wèn)控制 、加密和加密關(guān)鍵字的管理,另外還要維護(hù)和檢查安全日志。包括:
網(wǎng)絡(luò)管理過(guò)程中,存儲(chǔ)和傳輸?shù)墓芾砗涂刂菩畔?duì)網(wǎng)絡(luò)的運(yùn)行和管理至關(guān)重要,一旦泄密、被篡改和偽造,將給網(wǎng)絡(luò)造成災(zāi)難性的破壞。網(wǎng)絡(luò)管理本身的安全由以下機(jī)制來(lái)保證:
(1)管理員身份認(rèn)證,采用基于公開(kāi)密鑰的證書(shū)認(rèn)證機(jī)制;為提高系統(tǒng)效率,對(duì)于信任域內(nèi)(如局域網(wǎng))的用戶,可以使用簡(jiǎn)單口令認(rèn)證。
(2)管理信息存儲(chǔ)和傳輸?shù)募用芘c完整性,Web瀏覽器和網(wǎng)絡(luò)管理服務(wù)器之間采用安全套接字層(SSL)傳輸協(xié)議,對(duì)管理信息加密傳輸并保證其完整性;內(nèi)部存儲(chǔ)的機(jī)密信息,如登錄口令等,也是經(jīng)過(guò)加密的。
(3)網(wǎng)絡(luò)管理用戶分組管理與訪問(wèn)控制,網(wǎng)絡(luò)管理系統(tǒng)的用戶(即管理員)按任務(wù)的不同分成若干用戶組,不同的用戶組中有不同的權(quán)限范圍,對(duì)用戶的操作由訪問(wèn)控制檢查,保證用戶不能越權(quán)使用網(wǎng)絡(luò)管理系統(tǒng)。
(4)系統(tǒng)日志分析,記錄用戶所有的操作,使系統(tǒng)的操作和對(duì)網(wǎng)絡(luò)對(duì)象的修改有據(jù)可查,同時(shí)也有助于故障的跟蹤與恢復(fù)。
網(wǎng)絡(luò)對(duì)象的安全管理有以下功能:
(1)網(wǎng)絡(luò)資源的訪問(wèn)控制,通過(guò)管理路由器的訪問(wèn)控制鏈表,完成防火墻的管理功能,即從網(wǎng)絡(luò)層(1P)和傳輸層(TCP)控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn),保護(hù)網(wǎng)絡(luò)內(nèi)部的設(shè)備和應(yīng)用服務(wù),防止外來(lái)的攻擊。
(2)告警事件分析,接收網(wǎng)絡(luò)對(duì)象所發(fā)出的告警事件,分析員安全相關(guān)的信息(如路由器登錄信息、SNMP認(rèn)證失敗信息),實(shí)時(shí)地向管理員告警,并提供歷史安全事件的檢索與分析機(jī)制,及時(shí)地發(fā)現(xiàn)正在進(jìn)行的攻擊或可疑的攻擊跡象。
(3)主機(jī)系統(tǒng)的安全漏洞檢測(cè),實(shí)時(shí)的監(jiān)測(cè)主機(jī)系統(tǒng)的重要服務(wù)(如WWW,DNS等)的狀態(tài),提供安全監(jiān)測(cè)工具,以搜索系統(tǒng)可能存在的安全漏洞或安全隱患,并給出彌補(bǔ)的措施。
保護(hù)信息安全的方案篇三
網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)體系通常是在安全策略指導(dǎo)下合理配置和部署:網(wǎng)絡(luò)隔離與訪問(wèn)控制、入侵檢測(cè)與響應(yīng)、漏洞掃描、防病毒、數(shù)據(jù)加密、身份認(rèn)證、安全監(jiān)控與審計(jì)等技術(shù)設(shè)備,并且在各個(gè)設(shè)備或系統(tǒng)之間,能夠?qū)崿F(xiàn)系統(tǒng)功能互補(bǔ)和協(xié)調(diào)動(dòng)作。
網(wǎng)絡(luò)系統(tǒng)安全具備的功能及配置原則
1.網(wǎng)絡(luò)隔離與訪問(wèn)控制。通過(guò)對(duì)特定網(wǎng)段、服務(wù)進(jìn)行物理和邏輯隔離,并建立訪問(wèn)控制機(jī)制,將絕大多數(shù)攻擊阻止在網(wǎng)絡(luò)和服務(wù)的邊界以外。
2.漏洞發(fā)現(xiàn)與堵塞。通過(guò)對(duì)網(wǎng)絡(luò)和運(yùn)行系統(tǒng)安全漏洞的周期檢查,發(fā)現(xiàn)可能被攻擊所利用的漏洞,并利用補(bǔ)丁或從管理上堵塞漏洞。
3.入侵檢測(cè)與響應(yīng)。通過(guò)對(duì)特定網(wǎng)絡(luò)(段)、服務(wù)建立的入侵檢測(cè)與響應(yīng)體系,實(shí)時(shí)檢測(cè)出攻擊傾向和行為,并采取相應(yīng)的行動(dòng)(如斷開(kāi)網(wǎng)絡(luò)連接和服務(wù)、記錄攻擊過(guò)程、加強(qiáng)審計(jì)等)。
4.加密保護(hù)。主動(dòng)的加密通信,可使攻擊者不能了解、修改敏感信息(如方式)或數(shù)據(jù)加密通信方式;對(duì)保密或敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ),可防止竊取或丟失。
5.備份和恢復(fù)。良好的備份和恢復(fù)機(jī)制,可在攻擊造成損失時(shí),盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。
6.監(jiān)控與審計(jì)。在辦公網(wǎng)絡(luò)和主要業(yè)務(wù)網(wǎng)絡(luò)內(nèi)配置集中管理、分布式控制的監(jiān)控與審計(jì)系統(tǒng)。一方面以計(jì)算機(jī)終端為單元強(qiáng)化桌面計(jì)算的內(nèi)外安全控制與日志記錄;另一方面通過(guò)集中管理方式對(duì)內(nèi)部所有計(jì)算機(jī)終端的安全態(tài)勢(shì)予以掌控。
邊界安全解決方案
在利用公共網(wǎng)絡(luò)與外部進(jìn)行連接的“內(nèi)”外網(wǎng)絡(luò)邊界處使用防火墻,為“內(nèi)部”網(wǎng)絡(luò)(段)與“外部”網(wǎng)絡(luò)(段)劃定安全邊界。在網(wǎng)絡(luò)內(nèi)部進(jìn)行各種連接的地方使用帶防火墻功能的設(shè)備,在進(jìn)行“內(nèi)”外網(wǎng)絡(luò)(段)的隔離的同時(shí)建立網(wǎng)絡(luò)(段)之間的安全通道。
1.防火墻應(yīng)具備如下功能:
使用NAT把DMZ區(qū)的服務(wù)器和內(nèi)部端口影射到Firewall的對(duì)外端口;
允許Internet公網(wǎng)用戶訪問(wèn)到DMZ區(qū)的應(yīng)用服務(wù):http、ftp、smtp、dns等;
允許DMZ區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問(wèn)Internet公網(wǎng);
允許內(nèi)部用戶訪問(wèn)DMZ的應(yīng)用服務(wù):http、ftp、smtp、dns、pop3、https;
允許內(nèi)部網(wǎng)用戶通過(guò)代理訪問(wèn)Internet公網(wǎng);
禁止Internet公網(wǎng)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)和非法訪問(wèn)DMZ區(qū)應(yīng)用服務(wù)器;
禁止DMZ區(qū)的公開(kāi)服務(wù)器訪問(wèn)內(nèi)部網(wǎng)絡(luò);
防止來(lái)自Internet的DOS一類的攻擊;
能接受入侵檢測(cè)的聯(lián)動(dòng)要求,可實(shí)現(xiàn)對(duì)實(shí)時(shí)入侵的策略響應(yīng);
對(duì)所保護(hù)的主機(jī)的常用應(yīng)用通信協(xié)議(http、ftp、telnet、smtp)能夠替換服務(wù)器的Banner信息,防止惡意用戶信息刺探;
提供日志報(bào)表的自動(dòng)生成功能,便于事件的分析;
提供實(shí)時(shí)的網(wǎng)絡(luò)狀態(tài)監(jiān)控功能,能夠?qū)崟r(shí)的查看網(wǎng)絡(luò)通信行為的連接狀態(tài)(當(dāng)前有那些連接、正在連接的IP、正在關(guān)閉的連接等信息),通信數(shù)據(jù)流量。提供連接查詢和動(dòng)態(tài)圖表顯示。
防火墻自身必須是有防黑客攻擊的保護(hù)能力。
2.帶防火墻功能的設(shè)備是在防火墻基本功能(隔離和訪問(wèn)控制)基礎(chǔ)上,通過(guò)功能擴(kuò)展,同時(shí)具有在IP層構(gòu)建端到端的具有加密選項(xiàng)功能的ESP隧道能力,這類設(shè)備也有S的,主要用于通過(guò)外部網(wǎng)絡(luò)(公共通信基礎(chǔ)網(wǎng)絡(luò))將兩個(gè)或兩個(gè)以上“內(nèi)部”局域網(wǎng)安全地連接起來(lái),一般要求S應(yīng)具有一下功能:
防火墻基本功能,主要包括:IP包過(guò)慮、應(yīng)用代理、提供DMZ端口和NAT功能等(有些功能描述與上相同);
具有對(duì)連接兩端的實(shí)體鑒別認(rèn)證能力;
支持移動(dòng)用戶遠(yuǎn)程的安全接入;
支持IPESP隧道內(nèi)傳輸數(shù)據(jù)的完整性和機(jī)密性保護(hù);
提供系統(tǒng)內(nèi)密鑰管理功能;
S設(shè)備自身具有防黑客攻擊以及網(wǎng)上設(shè)備認(rèn)證的能力。
入侵檢測(cè)與響應(yīng)方案
在網(wǎng)絡(luò)邊界配置入侵檢測(cè)設(shè)備,不僅是對(duì)防火墻功能的必要補(bǔ)充,而且可與防火墻一起構(gòu)建網(wǎng)絡(luò)邊界的防御體系。通過(guò)入侵檢測(cè)設(shè)備對(duì)網(wǎng)絡(luò)行為和流量的特征分析,可以檢測(cè)出侵害“內(nèi)部”網(wǎng)絡(luò)或?qū)ν庑孤┑木W(wǎng)絡(luò)行為和流量,與防火墻形成某種協(xié)調(diào)關(guān)系的互動(dòng),從而在“內(nèi)部”網(wǎng)與外部網(wǎng)的邊界處形成保護(hù)體系。
入侵檢測(cè)系統(tǒng)的基本功能如下:
通過(guò)檢測(cè)引擎對(duì)各種應(yīng)用協(xié)議,操作系統(tǒng),網(wǎng)絡(luò)交換的數(shù)據(jù)進(jìn)行分析,檢測(cè)出網(wǎng)絡(luò)入侵事件和可疑操作行為。
對(duì)自身的數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)維護(hù),無(wú)需人工干預(yù),并且不對(duì)網(wǎng)絡(luò)的正常運(yùn)行造成任何干擾。
采取多種報(bào)警方式實(shí)時(shí)報(bào)警、音響報(bào)警,信息記錄到數(shù)據(jù)庫(kù),提供電子郵件報(bào)警、SysLog報(bào)警、SNMPTrap報(bào)警、Windows日志報(bào)警、Windows消息報(bào)警信息,并按照預(yù)設(shè)策略,根據(jù)提供的報(bào)警信息切斷攻擊連接。
與防火墻建立協(xié)調(diào)聯(lián)動(dòng),運(yùn)行自定義的多種響應(yīng)方式,及時(shí)阻隔或消除異常行為。
全面查看網(wǎng)絡(luò)中發(fā)生的所有應(yīng)用和連接,完整的顯示當(dāng)前網(wǎng)絡(luò)連接狀態(tài)。
可對(duì)網(wǎng)絡(luò)中的攻擊事件,訪問(wèn)記錄進(jìn)行適時(shí)查詢,并可根據(jù)查詢結(jié)果輸出圖文報(bào)表,能讓管理人員方便的提取信息。
入侵檢測(cè)系統(tǒng)猶如攝像頭、監(jiān)視器,在可疑行為發(fā)生前有預(yù)警,在攻擊行為發(fā)生時(shí)有報(bào)警,在攻擊事件發(fā)生后能記錄,做到事前、事中、事后有據(jù)可查。
漏洞掃描方案
除利用入侵檢測(cè)設(shè)備檢測(cè)對(duì)網(wǎng)絡(luò)的入侵和異常流量外,還需要針對(duì)主機(jī)系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機(jī)漏洞掃描可以主動(dòng)發(fā)現(xiàn)主機(jī)系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞,并提醒系統(tǒng)管理員對(duì)該缺陷和漏洞進(jìn)行修補(bǔ)或堵塞。
對(duì)于漏洞掃描的結(jié)果,一般可以按掃描提示信息和建議,屬外購(gòu)標(biāo)準(zhǔn)產(chǎn)品問(wèn)題的,應(yīng)及時(shí)升級(jí)換代或安裝補(bǔ)丁程序;屬委托開(kāi)發(fā)的產(chǎn)品問(wèn)題的,應(yīng)與開(kāi)發(fā)商協(xié)議修改程序或安裝補(bǔ)丁程序;屬于系統(tǒng)配置出現(xiàn)的問(wèn)題,應(yīng)建議系統(tǒng)管理員修改配置參數(shù),或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。
漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢(shì)的必要輔助,對(duì)使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求。
考慮到漏洞掃描能檢測(cè)出防火墻策略配置中的問(wèn)題,能與入侵檢測(cè)形成很好的互補(bǔ)關(guān)系:漏洞掃描與評(píng)估系統(tǒng)使系統(tǒng)管理員在事前掌握主動(dòng)地位,在攻擊事件發(fā)生前找出并關(guān)閉安全漏洞;而入侵檢測(cè)系統(tǒng)則對(duì)系統(tǒng)進(jìn)行監(jiān)測(cè)以期在系統(tǒng)被破壞之前阻止攻擊得逞。因此,漏洞掃描與入侵檢測(cè)在安全保護(hù)方面不但有共同的安全目標(biāo),而且關(guān)系密切。本方案建議采購(gòu)將入侵檢測(cè)、管理控制中心與漏洞掃描一體化集成的產(chǎn)品,不但可以簡(jiǎn)化管理,而且便于漏洞掃描、入侵檢測(cè)和防火墻之間的協(xié)調(diào)動(dòng)作。
網(wǎng)絡(luò)防病毒方案
網(wǎng)絡(luò)防病毒產(chǎn)品較為成熟,且有幾種主流產(chǎn)品。本方案建議,網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)具備下列功能:
網(wǎng)絡(luò)&單機(jī)防護(hù)—提供個(gè)人或家庭用戶病毒防護(hù);
文件及存儲(chǔ)服務(wù)器防護(hù)—提供服務(wù)器病毒防護(hù);
郵件服務(wù)器防護(hù)—提供LotusNotes,MicrosoftExchange等病毒防護(hù);
網(wǎng)關(guān)防護(hù)—在SMTP,HTTP,和FTPservergateway阻擋計(jì)算機(jī)病毒;
集中管理—為企業(yè)網(wǎng)絡(luò)的防毒策略,提供了強(qiáng)大的集中控管能力。
關(guān)于安全設(shè)備之間的功能互補(bǔ)與協(xié)調(diào)運(yùn)行
各種網(wǎng)絡(luò)安全設(shè)備(防火墻、入侵檢測(cè)、漏洞掃描、防病毒產(chǎn)品等),都有自己獨(dú)特的安全探測(cè)與安全保護(hù)能力,但又有基于自身主要功能的擴(kuò)展能力和與其它安全功能的對(duì)接能力或延續(xù)能力。因此,在安全設(shè)備選型和配置時(shí),盡可能考慮到相關(guān)安全設(shè)備的功能互補(bǔ)與協(xié)調(diào)運(yùn)行,對(duì)于提高網(wǎng)絡(luò)平臺(tái)的整體安全性具有重要意義。
防火墻是目前廣泛用于隔離網(wǎng)絡(luò)(段)邊界并實(shí)施進(jìn)/出信息流控制的大眾型網(wǎng)絡(luò)安全產(chǎn)品之一。作為不同網(wǎng)絡(luò)(段)之間的邏輯隔離設(shè)備,防火墻將內(nèi)部可信區(qū)域與外部危險(xiǎn)區(qū)域有效隔離,將網(wǎng)絡(luò)的安全策略制定和信息流動(dòng)集中管理控制,為網(wǎng)絡(luò)邊界提供保護(hù),是抵御入侵控制內(nèi)外非法連接的。
但防火墻具有局限性。這種局限性并不說(shuō)明防火墻功能有失缺,而且由于本身只應(yīng)該承擔(dān)這樣的職能。因?yàn)榉阑饓κ桥渲迷诰W(wǎng)絡(luò)連接邊界的通道處的,這就決定了它的基本職能只應(yīng)提供靜態(tài)防御,其規(guī)則都必須事先設(shè)置,對(duì)于實(shí)時(shí)的攻擊或異常的行為不能做出實(shí)時(shí)反應(yīng)。這些控制規(guī)則只能是粗顆粒的,對(duì)一些協(xié)議細(xì)節(jié)無(wú)法做到完全解析。而且,防火墻無(wú)法自動(dòng)調(diào)整策略設(shè)置以阻斷正在進(jìn)行的攻擊,也無(wú)法防范基于協(xié)議的攻擊。
為了彌補(bǔ)防火墻在實(shí)際應(yīng)用中存在的局限,防火墻廠商主動(dòng)提出了協(xié)調(diào)互動(dòng)思想即聯(lián)動(dòng)問(wèn)題。防火墻聯(lián)動(dòng)即將其它安全設(shè)備(組件)(例如IDS)探測(cè)或處理的結(jié)果通過(guò)接口引入系統(tǒng)內(nèi)調(diào)整防火墻的安全策略,增強(qiáng)防火墻的訪問(wèn)控制能力和范圍,提高整體安全水平。
目前,防火墻形成聯(lián)動(dòng)的主要有以下幾種方式:
1.與入侵檢測(cè)實(shí)現(xiàn)聯(lián)動(dòng)
目前,實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式。一種是實(shí)現(xiàn)緊密結(jié)合,即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中,即入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源不再來(lái)源于抓包,而是流經(jīng)防火墻的數(shù)據(jù)流。但由于入侵檢測(cè)系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng),從目前的軟硬件處理能力來(lái)看,這種聯(lián)動(dòng)難于達(dá)到預(yù)期效果。第二種方式是通過(guò)開(kāi)放接口來(lái)實(shí)現(xiàn)聯(lián)動(dòng),即防火墻或者入侵檢測(cè)系統(tǒng)開(kāi)放一個(gè)接口供對(duì)方調(diào)用,按照一定的協(xié)議進(jìn)行通信、警報(bào)和傳輸,這種方式比較靈活,不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。
防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng),可以對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)靜結(jié)合的保護(hù),對(duì)網(wǎng)絡(luò)行為進(jìn)行細(xì)顆粒的檢查,并對(duì)網(wǎng)絡(luò)內(nèi)外兩個(gè)部分都進(jìn)行可靠管理。
2.與防病毒實(shí)現(xiàn)聯(lián)動(dòng)
防火墻處于內(nèi)外網(wǎng)絡(luò)信息流的必經(jīng)之地,在網(wǎng)關(guān)一級(jí)對(duì)病毒進(jìn)行查殺是網(wǎng)絡(luò)防病毒的理想措施。目前已有一些廠商的防火墻可以與病毒防治軟件進(jìn)行聯(lián)動(dòng),通過(guò)提供API定義異步接口,將數(shù)據(jù)包轉(zhuǎn)發(fā)到裝載了網(wǎng)關(guān)病毒防護(hù)軟件的服務(wù)器上進(jìn)行檢查,但這種聯(lián)動(dòng)由于性能影響,目前并不適宜部署在網(wǎng)絡(luò)邊界處。
3.與日志處理間實(shí)現(xiàn)聯(lián)動(dòng)
防火墻與日志處理之間的聯(lián)動(dòng),目前國(guó)內(nèi)廠商做的不多。比較有代表性的是CheckPoint的防火墻,它提供兩個(gè)API:LEA(LogExportAPI)和ELA(EventLoggingAPI),允許第三方訪問(wèn)日志數(shù)據(jù)。報(bào)表和事件分析采用LE保護(hù)信息安全的方案PI,而安全與事件整合采用EL保護(hù)信息安全的方案PI。防火墻產(chǎn)品利用這個(gè)接口與其他日志服務(wù)器合作,將大量的日志處理工作由專門的服務(wù)設(shè)備完成,提高了專業(yè)化程度。
內(nèi)部網(wǎng)絡(luò)監(jiān)控與審計(jì)方案
上面的安全措施配置解決了網(wǎng)絡(luò)邊界的隔離與保護(hù),網(wǎng)絡(luò)與主機(jī)的健康(防病毒)運(yùn)行,以及用戶訪問(wèn)網(wǎng)絡(luò)資源的身份認(rèn)證和授權(quán)問(wèn)題。
然而,縣衛(wèi)生局網(wǎng)絡(luò)內(nèi)部各辦公網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)行秩序的維護(hù),網(wǎng)絡(luò)操作行為的監(jiān)督,各種違規(guī)、違法行為的取證和責(zé)任認(rèn)定,以及對(duì)操作系統(tǒng)漏洞引發(fā)的安全事件的監(jiān)視和控制等問(wèn)題,則是必須予以解決的問(wèn)題。因此有必要在各種內(nèi)部辦公網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)內(nèi)部部署集中管理、分布式控制的監(jiān)控與審計(jì)系統(tǒng)。這種系統(tǒng)通過(guò)在局域網(wǎng)(子網(wǎng))內(nèi)的管理中心安裝管理器,在各臺(tái)主機(jī)(PC機(jī))中安裝的代理軟件形成一個(gè)監(jiān)控與審計(jì)(虛擬網(wǎng)絡(luò))系統(tǒng),通過(guò)對(duì)代理軟件的策略配置,使得每臺(tái)工作主機(jī)(PC機(jī))按照辦公或業(yè)務(wù)操作規(guī)范進(jìn)行操作,并對(duì)可能經(jīng)過(guò)主機(jī)外圍接口(USB口、串/并口、軟硬盤接口等)引入的非法入侵(包括病毒、木馬等),或非法外連和外泄的行為予以阻斷和記錄;同時(shí)管理器通過(guò)網(wǎng)絡(luò)還能及時(shí)收集各主機(jī)上的安全狀態(tài)信息并下達(dá)控制命令,形成“事前預(yù)警、事中控制和事后審計(jì)”的監(jiān)控鏈。
監(jiān)控與審計(jì)系統(tǒng)應(yīng)具有下列功能:
管理器自動(dòng)識(shí)別局域網(wǎng)內(nèi)所有被監(jiān)控對(duì)象之間的網(wǎng)絡(luò)拓?fù)潢P(guān)系,并采用圖形化顯示,包括被監(jiān)控主機(jī)的狀態(tài)(如在線、離線)等;
支持對(duì)包含有多個(gè)子網(wǎng)的局域網(wǎng)進(jìn)行全面監(jiān)控;
系統(tǒng)對(duì)被監(jiān)控對(duì)象的USB移動(dòng)存儲(chǔ)設(shè)備、光驅(qū)、軟驅(qū)等外設(shè)的使用以及利用這些設(shè)備進(jìn)行文件操作等非授權(quán)行為進(jìn)行實(shí)時(shí)監(jiān)視、控制和審計(jì);
系統(tǒng)對(duì)被監(jiān)控對(duì)象的串/并口等接口的活動(dòng)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)視、控制和審計(jì);
系統(tǒng)對(duì)進(jìn)出被監(jiān)控對(duì)象的網(wǎng)絡(luò)通信(www,ftp,pop,smtp)數(shù)據(jù)包進(jìn)行實(shí)時(shí)攔截、分析、處理和審計(jì),對(duì)telnet通信數(shù)據(jù)包進(jìn)行攔截;
系統(tǒng)可根據(jù)策略規(guī)定,禁止被監(jiān)控對(duì)象進(jìn)行撥號(hào)(普通modem撥號(hào)、ADSL撥號(hào)、社區(qū)寬帶撥號(hào))連接,同時(shí)提供審計(jì);
系統(tǒng)對(duì)被監(jiān)控對(duì)象運(yùn)行的所有進(jìn)程進(jìn)行實(shí)時(shí)監(jiān)視和審計(jì);
系統(tǒng)支持群組管理,管理員可以根據(jù)被監(jiān)控對(duì)象的屬性特征,將其劃分成不同的安全組,對(duì)每個(gè)組制定不同的安全策略,所有組的成員都根據(jù)該策略執(zhí)行監(jiān)控功能;
支持多角色管理,系統(tǒng)將管理員和審計(jì)員的角色分離,各司其職;
強(qiáng)審計(jì)能力,系統(tǒng)具有管理員操作審計(jì)、被監(jiān)控對(duì)象發(fā)送的事件審計(jì)等功能;
系統(tǒng)自身有極強(qiáng)的安全性,能抗欺騙、篡改、偽造、嗅探、重放等攻擊。
看過(guò)“保護(hù)信息安全的措施”的人還看了:
保護(hù)信息安全的措施(2)
上一篇:保護(hù)熊貓的措施