长沙网络安全需求_第1页
长沙网络安全需求_第2页
长沙网络安全需求_第3页
长沙网络安全需求_第4页
长沙网络安全需求_第5页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、最新资料欢迎阅读长沙网络安全需求.DOC长沙电信网络安全系统的建立,必将为长沙电信的业务信息系统、缴费系统、 97工程等重要业务信息管理系统提供一个安全的环境和完整平台。通过以下软、 硬件安全技术、加强企业管理方案综合建立起的网络安全系统,可以极大地解决 来自网络外部及内部对企业生产网络安全造成的各种威胁,从而形成一个更加安 全、健康的业务系统和办公环境。网络安全整体解决方案提供整体防病毒、防火 墙、防黑客、数据加密、身份验证等于一身的功能,有效地保证秘密、机密文件 的安全传输,严格地防止经济损失、泄密现象发生,避免重大经济损失。2长沙 电信网络现状和计算机安全隐患2、1网络、安全现状长沙电信

2、的网络结构较复杂。现我局计算机网络为九 六年建成,经过寻呼、移动分家时没有进行任何改造;目前电信公司共有PC机 二千多台,服务器70多台;营业网点数量多,地理位置较分散,覆盖面广(含 长沙市、长沙县、望城县、浏阳县、宁乡县)连接方式多样;内部网络连接Internet 出口、方式较多且难以控制;内部网络上承载电信公司内部所的重要应用系统: 包括计费系统,网管监控系统,大97系统,企业网,缴费系统,资源管理系统 等等;广大员工的注意力集中在如何充分使用、利用它,而安全意识方面则较淡 薄,相应的管理规则、规范严重匮乏,急待完善。2、2网络全貌图12、5客户端现状1、机器品种繁多,公司员工对计算机的认

3、识日益深化,存在员工在工作用 机上随意重装自己喜欢的操作系统,造成操作系统混乱。共计如下:windows95、 windows98、 windows me、 windows NT4、 windows NT6、windows2000 个人版、windows2000 服务器版、windows XP 甚至 lunix 等。每一个版本的操作系统都有自己的漏洞和补丁,如此多的版本在维护上带来 了极大的不便,在计算机安全上带来一定的隐患。2、公司员工存在使用过程中私自更改机器名,IP地址,造成机器名混乱、IP地址冲突的现象时有发生。3、存在私自在生产、办公用机上安装软件,而软件来源不明,给网络安全 带来了

4、隐患。4、存在私自改造公司网络布线结构,且同时在办公用机上安装两块网卡, 既连企业生产网又连通公网,未通知专业维护单位,造成维护困难。2、6存在安全隐患由于长沙电信信息网上的网络体系越来越复杂,应用系 统越来越多,网络规模不断扩大,逐渐由Intranet扩展到Internet,內部网络 通ADSL、ISDN、以太网等直接与外部网络相连,对整个生产网络安全构成了巨 大的威胁。具体分析,对长沙电信网络及计算机系统安全构成威胁的主要因素有:1) 应用及管理、系统平台复杂,管理困难,存在大量的安全隐患。2) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服 务的服务器,同时也容易地访

5、问內部的网络服务器,这样,由于内部和外部没有 隔离措施,内部系统极为容易遭到攻击。3)来自外部及内部网的病毒的破坏,来自Internet的Web浏览可能存在的恶 意Java/ActiveX控件。病毒发作情况难以得到监控,存在大范围系统瘫痪风险。 4)缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多 操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。 管理成本极高,减低了工作效率。5)缺乏一套完整的管理和安全策略、政策,相当多用户安全意识匮乏。6) 与竞争对手共享资源(如联通),潜在安全风险极髙。7)上网资源管理、客户端工作用机使用管理混乱,存在

6、多点高危安全隐患。8) 计算机环境的缺陷可能引发安全问题;公司中心主机房环境的消防安全检测 设施,长时间未经确认其可用性,存在一定隐患。9)各重要计算机系统及数据的常规备份恢复方案,目前都处于人工管理阶段, 缺乏必要的自动备份支持设备。10)目前电信分公司没有明确的异地容灾方案,如出现灾难性的系统损坏,完全没有恢复的可能性O 11)远程拔号访问缺少必要的安全认证机制,存在安全性问题。3长沙电信网络 安全需求分析网络安全设计是一个综合的系统工程,其复杂性丝毫不亚于设计一 个庞大的应用系统。长沙电信信息网的安全设计,需要考虑涉及到承载的所有软 硬件产品及处理环节,而总体安全往往取决于所有环节中的最

7、薄弱环节,如果有 一个环节出了问题,总体安全就得不到保障;具体就以下几个方面来分析。物理 安全:在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等 等。网络结构安全:通过层次设计和分段设计能够更好的实现网络之间的访问控 制,结构设计需要对网络地址资源分配、路由协议选择等方面进行合理规划。通 常应该要求网络集成商在网络设计时对结构安全加以考虑,并在运营维护过程中 不断改进和完善。网络安全:对重要网段加以保护。通过防火墙做接入点的安全; 通过扫描软件对网络范围内的所有提供网络服务的设备进行漏洞扫描和修补;通 过基于网络的入侵检测系统动态的保护重要网段。系统安全:对网上运行的所有 重要

8、服务器加以保护,并从自身实施一定的安全措施。通过操作系统升级和打安 全补丁减少系统漏洞;通过扫描软件对服务器进行漏洞扫描和修补;通过安装基 于主机的入侵检测系统来保护重要的服务器。数据库安全:通过专业的数据库扫 描软件检测数据库系统存在的安全漏洞并进行修补,保护关键应用系统存放在数 据库中的数据。应用系统和数据的安全:对于应用系统的安全,一方面可以借助 扫描工具对软件安装的主机进行评估,另一方面对应用系统所占用的网络服务、 用户权限和资源使用情况进行分析,找出可能存在的安全问题。对于数据的安全, 通过使用防病毒产品进行全方位的数据扫描服务,保证整个生产网处于安全无毒 的环境。网络安全是个长期的

9、过程,不仅需要有好的规划设计,还要有良好的安 全策略、及时的安全评估和完善的安全管理体系,综合运用各种安全工具,方能 保证系统处于最佳安全状态。4网络安全的解决方案分析4、1网络与服务器安全设计和调整在进行安全规划时,网络自身的安全考 虑往往容易被忽视,结果成为被黑客利用的短木条”。实际上,很多攻击我们 可以通过良好的网络设计和配置加以避免和消除。网络结构设计和具体配置按照 如下的建议做出调整:尽快与寻呼、移动网络从物理上完全分离,并禁止私 自更改机器名、IP地址。-物理安全的保护主要网络设备和各种业务服务器的 安全(包括确认防火、防盗,自动烟雾检测系统的工作正常)。“毁灭性灾难发 生时的异地

10、容灾(从节约资金的角度,现主要考虑数据磁带的异地备份)。内 部网络结构层次分明,便于网络隔离和安全规划网络结构具备高可靠性和 髙可用性(关键设备的负载均衡与功能互备)。应用系统按其重要性分段,重 要系统在条件许可时尽量集中放置,以便集中实施安全策略。维护人员的桌面机 所在网段应与重要网段逻辑上隔离。重要数据所在服务器使用防火墙进行隔 离针对桌面平台现状,制定规范化方案。良好的网络结构设计和配置,能够 消除网络结构不合理带来的安全隐患,也能够使得我们更好地实施更高层次的安 全规划。4、2防火墙的保护网络层的安全性首先由路由器做初步保障。路由器一般 用于分隔网段。分隔网段的特性往往要求路由器处于网

11、络的边界上。通过配置路 由器访问控制列表(ACL),可以将其用作一个“预过滤器”,筛分不要的信息流, 路由器的ACL只能作为防火墙系统的一个重要补充,对于复杂的安全控制,只能 通过防火墙系统来实现。因目前INTERNET网的发展,企业不访问公网,已属不 可能,且片面的自封闭政策也直接阻碍了电信业务在网上的发展,大势所趋是无 法回避的,重要的是有足够的安全措施及防范体系。在本次的安全建设中,我们 提出如下的建议:在长沙节点接入97骨干,数据中心接入网络处架设防火墙, 确认防火设备的可用性。防火墙的安全策略可以基于系统、网络、域、服务、时 间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击等等

12、。通过制定相 应的安全策略,防火墙允许合法访问,拒绝所有无关的服务和非法入侵。目前主 流的防火墙产品均采用状态检测技术,与其它技术相比,基于状态检测技术的防 火墙在提供更多功能的同时提供了更好的性能。4、3安全评估系统现阶段电信公司网络内服务器数量多,各种操作系统复 杂,利用人工检查系统的安全漏洞已经不可能为系统正常运行提供足够的安全保 证。我们只能利用各种安全方面的软件和硬件辅助系统管理员来了解网络和服务 器当前的安全状况,并针对性的解决存在的安全问题,进而为企业的整体安全决 策提供可靠依据。运用安全漏洞扫描产品能够较全面的评估企业范围内的所有网 络服务、防火墙、应用服务器、数据库服务器等系

13、统的安全状况,找出存在的安 全漏洞并给出修补建议(如ISS)。网络扫描器产品:可以扫描网络范围內的所 有支持TCP/IP协议的设备,扫描的对象包括NT/2000工作站/服务器、各种UNIX 工作站/服务器、防火墙、路由器/交换机等等,通过模拟黑客攻击手法,扫描目 标对象存在的安全漏洞,与黑客攻击不同的是不做任何破坏活动。在进行扫描时, 可以从不同的网络位置对网络设备进行扫描,例如在防火墙的内侧和外侧的扫描 效果不同,內侧扫描的结果真实、准确,外侧扫描可以用来检测防火墙或网络的 耐攻击程度。另外也可以根据不同的扫描对象选择或定制不同的策略,如针对防 火墙、UNIX服务器、NT服务器、Intern

14、et (WWW. DNS、MAIL)服务器、路由器交 换机等等,扫描结束后生成详细的安全评估报告。(如Internet Scanner产品扫 描的漏洞类型高达900多种,是业界较好的网络扫描器产品。)系统扫描器产品: 利用此类产品可对97工程重要服务器的操作系统定期进行安全漏洞扫描和风险 评估。在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。在重要 的服务器上安装其的代理软件(代理软件支持NT/2000和各种UNIX操作系统), 在网管中心的一台NT工作站上安装其控制台。系统扫描比较一个组织规定的安 全策略和实际的主机配置来发现潜在的安全风险,包括缺少的安全补丁、词典中 可猜中的口令

15、、不适当的用户权限、不正确的系统登录权限、操作系统内部是否 有黑客程序驻留、不安全的服务配置等等。扫描结果可生成各级漏洞报告,可根 据报告中详述的内容修改操作系统中不安全的配置。扫描器代理的安全策略可以 通过系统扫描器控制台进行集中管理和配置。系统扫描带来了更强有力的针对基 于主机的漏洞评估技术,它把快速的分析与可靠的建议结合起来,从而保护服务 器上的应用程序、数据免受盗用、破坏或误操作。同时可以制定一个系统基线, 制定计划和规则,让系统扫描器在没有任何监管的情况下自动运行,一旦发现漏 洞立即报警。系统扫描器所实行的所有规则定义在每个代理的知识库里,它允许 用户自己定义一个适合相应平台的规则,

16、同时还允许进行特殊定义,当网络不通 时代理也可以进行工作。(如System Scanner产品)数据库扫描器产品:可针对 数据库管理系统的风险评估检测工具,可以利用它建立数据库的安全规则,通过 运用审核程序来提供有关安全风险和位置的简明报告。利用Database Scanner 定期地通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全面 评估数据库存在的认证、授权、完整性方面的问题。应支持的企业现有的数据库 类型有:MS SQL ServerOracle和Sybase。不同的数据库类型有相应的数据库 扫描器产品。对数据库的扫描同样生成详细的安全评估报告。所有扫描器可以根 据扫描的结

17、果为技术人员、部门领导生成不同的安全评估报告,为技术人员的生 成报告列举了所有的安全漏洞,分髙、中、低三个风险级别,每个漏洞给出了详 细的说明并附修补建议,某些漏洞需要打补丁的还给出了下载网址。为管理人员 生成的报告给出了汇总信息,使管理者了解整体安全状况,提供决策指导。(如 Database Scanner产品)网络扫描器产品、数据库扫描器产品在进行安全扫描 时,对网络带宽以及被扫描的机器的资源占用应很少,通常在3%以下;系统扫 描器产品的代理软件需安装在被扫描的机器上,在扫描时与系统其它进程共享资 源,应扫描时间短,不超过分钟,并在不扫描时基本不占用资源。网络管理中心 要配置一台便携式笔记

18、本电脑安装网络扫描器产品,从不同的网络位置扫描所有 重要的应用服务器、交换机路由器、防火墙等设备,该笔记本电脑还可以同时安 装系统扫描器产品的Console以及数据库扫描器产品。就长沙电信公司目前规范 来讲,安全评估产品的具体配置要求如下:网络扫描器产品全网需要扫描约100 台设备。包括相对重要的UNIX服务器工作站、NT服务器、路由器、交换机等等。 系统扫描器产品约5套。配置在数据中心重要服务器上。数据库扫描器产品for ORACLE 1 套。4、4入侵检测系统适当配置的防火墙虽然可以将非预期的信息屏蔽在外, 但防火墙不能检查不经过它的访问请求,比如来自内部的攻击就不能防范,据 IDC统计,

19、60%左右的成功的攻击来自于内部,内部如果都使用防火墙就会使得 整个系统的维护管理变得异常复杂;防火墙需要开通必须的服务,内部需要收发 邮件、需要访问Internet.需要提供WWW和MAIL服务,在提供正常业务的同时 也给了入侵者可乘之机,他可以通过邮件或WEB浏览攻进网络,也可以直接攻击 WWW和MAIL服务器;防火墙的策略配置复杂,需要考虑各种协议、Inbound和 Outbound,地址欺骗、先后顺序、隐藏策略、全局策略、目标对象等众多因素, 稍有不慎就会出现防护漏洞;防火墙自身存在漏洞,目前最好的防火墙技术都不 可避免的存在这样或那样的问题,这在业界已经是不争的事实。防火墙的保护是

20、必要的,但绝不是仅仅的保护手段,特别是在97网络,应用系统极其重要,能 否正常运行直接关系到电信的业务能否正常开展。97需要一种动态和主动的保 护机制,时刻检查和解析所有的访问请求和内容,一旦发现可疑的行为,及时作 出适当的响应,以保证将系统调整到“最安全”和“风险最低”的状态。这种动 态的保护机制就是入侵检测系统。基于主机的入侵检测如安氏实时检测系统代理 产品(RealSecure OS sensor)对计算机主机操作系统进行自主地,实时地攻击检测与响应。一旦发现对主 机的入侵,RealSecure可以马上切断可以的用户进程,和各种安全反映。基于 网络和基于主机入侵检测的结合如RealSec

21、ure Server Sensor产品是一种新型 的实时传感器,它是在RealSecure OS Sensor的基础上加入了基于网络入侵检 测的部分功能。Server Sensor比较类似于OS Sensor,它包含了 OS Sensor可 以监控的所有系统事件,但在此基础上,Server Sensor也能监视网络事件,不 过,Server Sensor只监控进出该服务器的通信,而不是整个网段的通信。Server Sensor不仅可以检测到入侵,它也能通过阻塞某些网络包来阻止入侵。 RealSecure Workgroup Manager:提供集中统一的管理界面,用来管理各种探测 器,收集它们

22、发来的安全事件。在长沙节点和97骨干之间、长沙节点与四个县 之间、数据中心接入网络处、PSTN, DDN接入网络处安装基于网络的入侵检测, 实时监控流入/流出网络的数据流,解析存在的可疑数据,及时切断连接,并反 应给安全管理员,保证内部网络不受到来自外部的攻击。在重要服务器上安装“基 于网络和基于主机入侵检测”,实时监控这些服务器的访问请求,检查系统日志, 解析可疑访问请求,及时反应给安全管理员,避免服务器受到来自内部和外部的 访问攻击。而他们的控制台是统一的,所以只需在网络控制中心添加一台NT Workstation安装“基于主机的入侵检测”控制台即可对全网所有的探测器进行 管理。也可以在每

23、个节点使用管理控制台。就长沙电信公司目前规范来讲,入侵 检测系统的具体配置如下:基于网络和基于主机入侵检测”:长沙节点和97骨 干之间、长沙节点与四个县之间、数据中心接入网络处、PSTN, DDN接入网络处, 在相应的点上配置,一共大概8套。“基于主机的入侵检测:数据中心大概有5 台重要的服务器,这样需要5套,也可根据需要酌情增加。4、5病毒扫描和防范服务4、5、1群件/邮件服务器的病毒防护随着电子邮件应用日益普及,病毒 又找到了一条重要的入侵的渠道。根据国际计算机安全协会(ICSA) 1998年的 报告,因使用电子邮件而中毒的事件已占所有中毒事件的3 8%, 2000年已达 86%。象包括微

24、软在内的几家全球著名企业,先后遭受到来自电子邮件的梅莉莎 病毒(Melissa)、蠕虫病毒(EXPLOREZIP)、爱虫病毒(I LOVE YOU)的攻击,致 使企业邮件服务器关闭、企业内重要资料丢失。保护邮件服务器免受病毒攻击的 重要性应放在相当髙的地位。4、5、2桌面客户机的病毒防护网络工作站的防护位于企业防毒体系中的 最底层,对企业计算机用户而言,也是最后一道查、杀、清、防病毒的实践层。 考虑到网络中的工作站数量少则几台,多则数百上千台甚至更多。如果需要靠网 管人员逐一到每台计算机上安装单机防病毒软件,费时费力,同时难以实施统一 的防病毒策略,日后的维护和更新工作也分繁琐。4、5、3网关处病毒的防护在网关处对病毒进行拦截,是效率最高的病毒 防范方式,目的在于在病毒入口的源头进行病毒防范,达到阻止病毒从网关进入 内部的作用。4、5、4病毒的中央控制管理一个企业级的病毒系统,最重要的是对病毒 的监控可管理,好的病毒防范系统必须具备一个方便的强大的管理系统。4、6规范、统一计算机管理4、6、1统一操作系统版本我公司

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论