版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、实用标准实用标准文案大全文案大全目录 TOC o 1-5 h z 1、网络安全问题 32、设计的安全性 3可用性 .3机密性 .3完整性 .3可控性 .3可审查性 .3访问控制 .3数据加密 .3安全审计 .33、安全设计方案 5设备选型 .5网络安全 .7访问控制 .9入侵检测 .104、总结 111、网络安全问题随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。 网络安全 性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。 在其 最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其 他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程
2、服务 的人。安全性也处理合法消息被截获和重播的问题, 以及发送者是否曾发送过该 条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某 些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、 富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法 对那些惯于作案的老手来说,收效甚微。网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以 及完整性控制。保密是保护信息不被未授权者访问, 这是人们提到的网络安全性 时最常想到的内容。鉴别主要指在揭示敏感信息或进行
3、事务处理之前先确认对方 的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁 来2、设计的安全性通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安 全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查 性。即,可用性:授权实体有权访问数据机密性:信息不暴露给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权范围内的信息流向及操作方式可审查性:对出现的安全问题提供依据与手段访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。 同样,对内 部网络,由于不同的
4、应用业务以及不同的安全级别, 也需要使用防火墙将不同的 LAN或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效 手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统, 识别网络各种违规 操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可 以防止内部机密或敏感信息的非法泄漏针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:(1)内部窃密和破坏由于企业网络上同时接
5、入了其它部门的网络系统,因此容易出现其它部门不 怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络, 并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等), 因此这种风险是必须采取措施进行防范的。(2)搭线(网络)窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析 工具,在INTERNET络安全的薄弱处进入INTERNET并非常容易地在信息传输 过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在 跨越INTERNET勺内部通信(与上级、下级)这种威胁等级是相当高的,因此也是 本方案考虑的重点。(3)假冒这种威
6、胁既可能来自企业网内部用户,也可能来自INTERNETS的其它用户。 如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名 /口令等敏感信息,进一 步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的 秘密信息。(4)完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于 XXX 企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对 没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作
7、的正常进行。(5)其它网络的攻击企业网络系统是接入到INTERNET:的,这样就有可能会遭到INTERNET:黑 客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数 据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的 安全措施进行防范。(6)管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引 入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要 性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作 用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从 而出现网
8、络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重 要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。(7)雷击由于网络系统中涉及很多的网络设备、 终端、线路等,而这些都是通过通信 电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏, 造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等 引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。3、网络安全设计方案(1)网络拓扑结构图PartnersBranchinternetH 、 Mobile office usersMain VPN tunnelStand
9、by VPN tunnel ;LAN Line WAN UnePartnersBranchinternetH 、 Mobile office usersMain VPN tunnelStandby VPN tunnel ;LAN Line WAN UnefiicwaD/TDS/IPS n -ff 1 -UBiGate3026 UBrGate3026 Of UBiGate2016H Exterior Server多节IIOfficeInsideServerHeadquarters设备选型传统的组网已经不能满足现在网络应用的变化了, 在组网的初期必须考虑到安全 和网络的问题,考虑到这个问题我们就不
10、能不考虑免疫网络的作用以及前景如 何。免疫网络免疫网络是企业信息网络的一种安全形式。“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免 疫监视”的特定功能。就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就 是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网 络就称之为免疫网络。免疫网络的主要理念是自主防御和管理, 它通过源头抑制、群防群控、全网联动 使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应 对。它具有安全和网络功能融合、全网设备联动、可
11、信接入、深度防御和控制、精细 带宽管理、业务感知、全网监测评估等主要特征。下面让我们看看这几个特征的距离内容安全和网络功能的融合网络架构的融合,主要包括网关和终端的融合网关方面:ARPfe大免疫原理一NATS中添加源MAO址滤窗防火墙一封包检 测,IP分片检查UDPft水终端方面:驱动部分一免疫标记网络协议的融合一行为特征和网络行为的融合全网设备的联动驱动与运营中心的联动分收策略驱动与驱动的联动IP地址冲突网关和驱动的联动群防群控运营中心和网关的联动(外网攻击,上下线可信接入MAO址的可信(类似于DNA ,生物身份传输的可信(免疫标记)深度防御和控制深入到每个终端的网卡深入到协议的最低层深入到
12、二级路由,多级路由器下精细带宽管理身份精细一IP/MAC的精确位置精确一终端驱动路径细分(特殊的IP)流量去向(内,公网)应用流控(QQ,MSN业务感知协议区分和应用感知它与防火墙(FW、入侵检测系统(IDS)、防病毒等“老三样”组成的安全网 络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题, 应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络 威胁。同时,安全和管理密不可分。免疫网络对基于可信身份的带宽管理、 业务感知 和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企 业网络的可管可控,大大提高了通信效率和可靠性。安全架构分析根据
13、企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:网络传输保护主要是数据加密保护主要网络安全隔离通用措施是采用防火墙网络病毒防护采用网络防病毒系统广域网接入部分的入侵检测采用入侵检测系统系统漏洞分析采用漏洞分析设备定期安全审计主要包括两部分:内容审计和网络通信审计重要数据的备份重要信息点的防电磁泄露网络安全结构的可伸缩性包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展 网络防雷(2)网络安全作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许 多重要的信息都通过网络进行交换,网络传输由于企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要 运行
14、的是内部办公、业务系统等;另一套是与INTERNE下目连,通过ADSLS入, 并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERNE冰身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意 主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们 的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采 用VPNS备来构建内联网。可在每级管理域内设置一套 VPNS备,由VPNS备实 现网络传输的加密保护
15、。根据企业三级网络结构,VPNK置如下图所示:VPN 没#二蛰 V PTV管理ttP 0VPN 没#二蛰 V PTV管理ttP 0三堞内部储第三发内部糜S三嵯内部两珞三级内部应培图为三级VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台 VPNK备,由上级的VPN1证服务器通过网络对下一级的 VPNS备进行集中统一 的网络化管理。可达到以下几个目的:网络传输数据保护由安装在网络上的VPNS备实现各内部网络之间的数据传输加密保护, 并可 同时采取加密或隧道的方式进行传输网络隔离保护与INT
16、ERNETS行隔离,J空制内网与INTERNET勺相互访问集中统一管理,提高网络安全性降低成本(设备成本和维护成本)其中,在各级中心网络的 VPNS备设置如下图:图为中心网络VPN设置图由一台VPNt理机对CA中心VPN设备、分支机构VPN设备进行统一 网络管理。将对外服务器放置于VPNS备的DMa与内部网络进行隔离,禁止外 网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内 部网络仍然安全。下级单位的VPNS备放置如下图所示:图为下级单位VPNS置图从图可知,下属机构的VPNS备放置于内部网络与路由器之间,其配置、 管理由上级机构通过网络实现,下属机构不需要做任何的管理,
17、仅需要检查是否 通电即可。由于安全设备属于特殊的网络设备, 具维护、管理需要相应的专业人 员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人 员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程, 是由许多因素决定的,而不是仅仅 采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。 由于一 般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当, 而使 整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此, 容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上 的错误使
18、网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管 理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体 网络的安全性和稳定性。(3)访问控制由于企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自 INTERNET:许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、 破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应 的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术 来实现的,本方案中选择带防火墙功能的VPNS备来实现网络安全隔离,可满足 以下几个方面的要求:控制外部合法用户对内部网络的网络访问;控制外
19、部合法用户对服务器的访问;禁止外部非法用户又t内部网络的访问;控制内部用户对外部网络的网络;阻止外部用户对内部的网络攻击;防止内部主机的IP欺骗;对外隐藏内部IP地址和网络拓扑结构;网络监控;网络日志审计;详细配置拓扑图见图由于采用防火墙、VPNK术融为一体的安全设备,并采取网络化的统一管理, 因此具有以下几个方面的优点:管理、维护简单、方便;安全性高(可有效降低在安全设备使用上的配置漏洞);硬件成本和名!护成本低;网络运行的稳定性更高由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备 而言,其稳定性更高,故障率更低。(4)入侵检测网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相 应的安全产品。作为必要的
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 创业计划书(合集15篇)
- 圣诞节2021庆祝活动总结
- 军训后感受300字(35篇)
- 无编站骨干选拔理论考试(战训业务理论)练习试题(一)
- 专题09 二次根式加减(七大类型)(题型专练)(原卷版)
- 广东高三英语语法填空之冠词
- 高中英语语法分类讲解过去进行时
- 第4章 其他排泄物和体腔液检查课件
- 会计数据分析 Solutions-Manual Chapter-4 EOC-SM
- 《茎越长越高》植物的生长变化茎越长越高
- 《大数据智能物流》课件
- 可编程控制器ASI总线课件
- IABP合并行心肺转运的临床观察
- 年度异常分析报告
- 语言发育迟缓家长培训课件
- 2024年新闻记者证培训考试题库(含答案)
- 学前儿童艺术教育考试试题与答案
- 《制作手提袋》教学设计
- 运动系统畸形医学课件
- 啤酒终端销售培训课件
- 心身疾病的诊断与治疗
评论
0/150
提交评论