网络安全解决方案

网络安全解决方案济南美讯网络科技有限公司2010年2月4日目录一、 外网用户安全登录 31.1.SSLVPN简介 3SSLVPN安全特性 4双因素身份认证系统简介 5二、内网用户认证准入系统 62.1.网络准入系统简介 6网络准入机制的实现 6三、漏洞扫描与信息系统安全评估 83.1.漏洞扫描与管理系统简介 8漏洞扫描与管理系统主要功能 83.2.信息系统安全评估简介 9评估内容和阶段 9评估结果 10四、济南美讯网络科技有限公司简介 11外网用户安全登录通过建设SSLVPN和RSA的双认证来实现外网用户能够安全的登录内部系统网络，使用内部系统的相关数据信息。SSLVPN实现了点对网的安全连接，SSLVPN安全网关使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。由于SSL协议属于高层安全机制，因而广泛应用于Web浏览程序和Web服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议，因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。SSLVPN简介相对于传统的IPSecVPN，SSL能让公司实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。很多企业用户采纳SSLVPN作为远程安全接入技术，主要看重的是其接入控制功能。SSLVPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁，目前对SSLVPN公认的三大好处是:来自于它的简单性，它不需要配置，可以立即安装、立即生效;客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行;兼容性好，传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSLVPN则完全没有这样的麻烦。SSLVPN安全特性通常SSLVPN的安全性包含三个层面上的含义：一是客户端接入的安全；二是数据传输安全；三是内部资源的访问安全。安全的加密认证、USBKEY双因素认证短信认证多重保证双向的证书支持，完整的PKI体系与第三方认证有效集成自建CA中心，减少安全架构成本客户端安全扫描，更完备的登陆安全自动清除访问记录，实现“零痕迹”访问超时退出，防止窥探1.2.RSA双因素身份认证系统简介在网络安全中，身份认证（Authentication）是最基本最重要的环节，即使将授权、保密性、完整性等环节做得很完善，但如果帐号和密码被盗，系统将认为是合法用户，给予相应的访问权限，使系统处于危险状态。一般的认证采用比较复杂的密码或长密码来提高安全性，但是这样一来在输入密码时又容易输入错误，而且容易忘记，如果写在纸面上又容易丢失。而短密码又容易被猜到或暴力破解。RSA提供了完整的身份认证解决方案，特别是RSASecurID双因素身份认证解决方案（RSA的一种），已成为该领域的事实标准，该解决方案以易于实现、成熟、可靠等特点在信息安全领域赢得广泛信赖。RSASecurID双因素身份认证解决方案需要每个用户拥有一个认证设备，在企业内部需要认证服务器。认证设备：类似优盘大小认证服务器： 标准19U机柜大小一般的RSA认证方法是：认证设备与认证服务器运用相同的RSA算法，每分钟更换一次密码，用户可以通过输入认证设备上显示的密码来登录。RSASecurID双因素身份认证解决方案的特点是：双重密码，就是每个认证设备都有一个4-8位PIN码（在服务器上定义），输入密码是要PIN+认证设备上显示的密码二合一的。好处就是即使认证设备被盗也不会被入侵者使用。二、内网用户认证准入系统2.1.网络准入系统简介使用桌面准入系统，可确保只有经过授权的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)访问网络资源，以防入侵者的威胁。并且可以保证终端设备的唯一性，不可伪造性。拒绝非法设备进行网络访问。网络准入机制的实现当一台机器接入内网时，服务器将检查是否安装Agent(代理模块)。没有安装Agent(代理模块)时，服务器检查这台机器的IP/MAC地址。如果是NAH例外终端，就可以直接通过动态授权访问内部资源。上图中状态1。如果是访客的终端，就划分到访客区，这台机器如果需要访问互联网，需要输入访客密码，通过访客认证才可以访问互联网。上图中状态2如果这台机器需要访问内部保密的数据，就会提示安装代理模块。上图中状态3。安装过代理模块的机器，需要经过身份认证和终端认证，不合法的将拒绝接入。上图中状态4。合法的终端还要通过安全策略的检查，如果不合格，需要进入隔离区进行强制修复，直到安全策略检查合格才可以进行下一步审核。上图中状态5。通过安全策略检查的终端通过动态授权才可以访问内部保密的数据。上图中状态6。安全策略检查包括安全检查，安全加固，行为审计，异常检测，U盘监控，文档加密等。三、漏洞扫描与信息系统安全评估3.1.漏洞扫描与管理系统简介漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。在漏洞横飞的今天，诞生了漏洞扫描与管理系统，漏洞扫描与管理系统是基于网络的脆弱性分析、评估与管理系统，它遵循“发现—扫描—定性—修复—审核”的全面评估法则。漏洞扫描与管理系统主要功能资产发现以及管理漏扫系统能够通过综合运用多种手段（主机存活探测，智能端口检测，操作系统指纹识别等）全面、快速、准确的发现被扫描网络中的存活主机，准确识别其属性，包括主机名称、设备类型、端口情况、操作系统以及开放的服务等，为进一步脆弱性扫描做好准备。脆弱式扫描与分析渐进式的扫描方法能够让漏扫系统利用已经发现的资产信息进行针对性扫描，以发现主机上不同应用对象（操作系统和应用软件）的弱点和漏洞，同时保证扫描过程的快速和结果的准确。目前，可检测的漏洞数量已经超过2300种，涵盖了各种常见的网络主机、操作系统、应用系统和数据库系统的安全漏洞。脆弱性风险评估总结被扫描资产的保护等级和资产价值，采用参考国家标准制定的风险评估算法，能够对主机、网络的脆弱性风险做出定量和定性的综合评价。弱点修复指导每个漏洞都有详细的描述，包括漏洞的说明、影响的系统、平台、危险级别以及标准的CNCVE、CVE、BUGTRAQ等对应关系以及链接信息，并提供修补方案。安全策略审核用户可以通过计划任务的定期执行，进行基于主机、网络和弱点的趋势对比分析。另外，漏洞验证功能允许检查用户对扫描到的漏洞进行审核。3.2.信息系统安全评估简介了解组织的管理、网络和系统安全现状；确定可能对资产造成危害的威胁，包括入侵者、罪犯、不满员工、恐怖分子和自然灾害；通过对历史资料和专家的经验确定威胁实施的可能性；对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的；对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；明晰组织的安全需求，指导组织建立安全管理框架，提出安全建议，合理规划未来的安全建设和投入。评估内容和阶段从评估对象这个角度，评估内容要覆盖组织所有节点中的重要信息资产。它包括两个层面的内容：技术层面：评估和分析在网络和主机上存在的安全技术风险，包括网络设备、主机系统、操作系统、数据库、应用系统等软硬件设备。管理层面：从组织的人员、组织结构、管理制度、系统运行保障措施，以及其它运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷。风险评估的步骤：资产识别与赋值:对组织的各类资产做潜在价值分析，了解其资产利用、维护和管理现状；威胁分析:是指对系统或资产的保密性、完整性及可用性构成潜在损害，以致影响系统或资产正常使用及操作的任何事件或行动弱点分析:识别信息系统在技术层面存在的安全弱点。通过采集本地安全信息，获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息，并进行相应的分析控制分析：产生一个总体可能性评价来说明一个潜在弱点在相关威胁环境下被攻击的可能性可能性及影响分析：对威胁发生频率的估计，即威胁发生的或然率风险识别：挖掘并评估业务系统/资产面临的威胁、挖掘并评估业务系统/资产存在的弱点、进而评估该业务系统/资产的风评估结果一旦风险评估全部结束（威胁源和弱点已经被识别出来，风险也被评估，控制建议也已经提出），结果被整理为正式文档。根据收集的信息和完成的分析，评估小组创建风险评估报告书，并向组织相关人员陈述本次风险评估结果，提出相应的安全措施建议，利用风险评估管理系统RAMS管理评估结果，使组织充分理解信息系统存在的风险，以尽早采取措施管理不可接受的风险，最终完成风险评估活动。四、济南美讯网络科技有限公司简介济南美讯网络科技有限公司是一家资金和技术实力雄厚的高科技企业，2005年注册成立于充满活力的济南高科技园区,现有员工30余人，专业技术人才20余人。注册资金500万元，现有固定资产总额600余万元，公司近两年发展迅速，先后在北京,青岛等地设立了办事处.

公司以专业的产品供应商和技术服务商为自身定位，不断完善运营体制，逐渐形成集销售、维修、工程安装及服务于一体的一条龙服务体系,为客户提供全面的系统集成服务，并充分利用现代化的系统管理手段，实现了网络规划、软件开发、产品供应、系统集成的创新运营。美讯公司秉承“专注需求，快速服务”的理念,美讯人齐心协力，发扬团结创新、追求卓越的服务精神，创造了良好的经济和社会效益。提供企业整体解决方案、OA网络智能办公系统解决方案、大中型网络系统设计、咨询、实施、技术支持和维护（X.25、DDN、FrameRelay、Ethernet、FDDI、ATM、SwitchLAN、TCP/IP、SNA等）软件工程管理（开发规范、标准文档、系统测试、系统维护）企业软件系统分析设计、以及应用开发培训等全面服务。主要业务：

美讯机房监控系统

网络流量控制设备办公OA协同工作软件网络安全一体化方案提供商

思科中国区专业集成商

网络控制及管理一体方案供应商专业存储设备供应商

神州数码网络产品分销商公司现有业务涉及政府，大型企业，运营商及公安系统，主要涉及软硬件安全产品，大型存储产品，电视电话会议设备，网络设备，传输设备及其他通讯相关产品服务。与联想网域、联想存储、神州数码网络、思科网络、日立存储、EMC存储、IBM存储、SUN公司、中兴通讯、华为通讯，均有广泛合作。2007年全年实现销售收入1400余万元，其中仅存储设备及相关服务就签约400余万元，在大型网络技术服务中实现收入200