资源描述
XX企业网络安全建议书
成都天融信网络安全技术有限公司
2004年3月
目 录
总 则 5
项目背景 5
公司介绍 6
第一章网络风险分析 7
1.1物理安全分析 7
1.2链路分析 8
1.3网络结构的分析 8
1.4系统的安全分析 9
1.5应用系统安全分析 10
1.5.1资源共享 10
1.5.2电子邮件 10
1.5.3病毒侵害 10
1.5.4数据信息 10
1.5.5应用系统管理的安全风险分析 11
1.6网络安全方案设计原则 11
第二章网络安全需求分析 12
2.1物理安全需求 12
2.2防火墙需求 12
2.3入侵检测系统需求 12
2.4网络防病毒系统需求 13
2.5信息审计需求 13
2.6安全管理需求 13
2.7XX企业安全总体目标 13
第三章网络安全方案 15
3.1物理安全实施方案 15
3.1.1防盗防火放水 15
3.1.2机房环境 15
3.1.3物理访问控制方面 15
3.1.4机房屏蔽 15
3.1.5电源系统 16
3.1.6传输屏蔽 16
3.1.7对终端设备辐射的防范 16
3.2防火墙火墙实施方案 17
3.2.1防火墙参数要求 17
3. 2. 2防火墙部署拓扑图1 19
3.2.3防火墙部署拓扑图2 19
3.2.4部署防火墙的好处 20
3.3IDS实施方案 21
3.3.1IDS部署拓扑图 21
3.3.2IDS部署的好处 21
3.4信息审计实施方案 22
3.5数据备份实施方案 25
3.6安全管理实施方案 27
3.6.1工作人员个人安全行为规范 27
3.6.2密码安全规范 28
3.6.3系统管理规范 29
3.6.4物理安全规范 29
3.6.5用户访问控制规范 30
3.6.6登录策略 30
3.6.7安全确认规范 31
3.6.8审计规范 31
3.6.9服务的可靠性规范 32
3.6.10网络安全规范 33
3.7文件加密的实施方案 34
3.8防病毒实施方案 35
第四章培训计划 36
4.1培训目的 36
4.2培训对象 36
4.2.1网络管理员 36
4.2.2系统管理员 36
4.3培训内容 37
4.4培训计划 38
4.4.1初级培训 38
4.4.2高级培训 39
第五章售后服务、技术支持、软件升级的保障 40
5.1服务项目介绍 40
5.1.1北京技术服务中心 41
5.1.2成都技术服务中心 42
5.2售后服务承诺 42
附件1产品报价 43
附件2天融信防火墙先进性 44
附件3天融信部分用户名单 55
一、政府 55
二、金融行业 57
三、科研教育 58
四、电信 59
五、邮政 59
六、税务 59
七、能源 60
八、交通运输 61
九、安全部门 61
十、医疗 62
十一、其他 62
总 则
项目背景
以Internet为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,越来越多的企业、个人通过互联网进行重要数据的传输、商务活动的实现。因此网络安全问题也更加关键和重要。因为在开放的Internet上有形形色色的人,他们的意图也是多种多样的。如何使网络信息系统不受黑客和工业间谍的入侵,已成为企事业单位信息化健康发展所必需考虑和解决的重要问题。
XX企业的计算机网络是一个覆盖全厂系统的计算机网络。它的一方面作用是为各科室提供完整、准确、及时的各项数据和结果,加强系统内部信息的交换,是系统决策科学化的重要工具和手段;另一方面,以网络系统为基础,实现全厂文件交换提供基本平台保障。但是由于在建设网络的过程中没有过多的考虑网络的安全因素,随着应用的增加,网络也越来越复杂,所以敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。为保证XX企业网络的安全,有必要对网络安全的部分进行专门的改造。
本建议书的目标是在不影响资阳市机车厂网络当前业务的前提下,实现对其网络全面的安全防护和安全管理。本建议书构建了包括防火墙、入侵检测系统(IDS)、信息审计等多种安全产品协同工作的、有效的防御系统,降低网络的安全风险,提高网络安全性。
针对对资阳市机车厂网络的网络状况和实际应用情况,我们建议资阳市机车厂网络安全体系在“统一规划”的前提下,进行“分步实施”。具体而言,可以先对网络做一个比较全面的安全体系规划,根据网络的实际应用状况,先建立一个基础的安全防护体系,保证基本的、必需的安全性;随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,建立增强的安全防护体系。本方案为资阳市机车厂的网络安全解决方案,包括网络状况分析、安全需求分析、安全产品的选择和建议的完整的安全解决方案。
公司介绍
天融信网络安全技术有限公司是我国最早专业从事因特网(Internet)及计算机通信网络信息安全研究、产品开发与系统集成的高新技术企业。公司从创立之初即立足于这样一个信念:信息安全关系到国家的主权和利益,必须走自强不息的民族产业之路。自1995年起,公司便积极致力于信息安全的探索和研究,并于1996年6月推出了填补国内空白的中国第一套具有自主版权的防火墙产品。目前,天融信公司已成功开发出了防火墙系统、加密机(VPN)系统及信息审计系统等网络安全产品,并分别获得了公安部、国家安全部、国家保密局、国家密码管理委员会等国家安全主管部门的许可或认证,在国内的政府、电信、金融、证券、军队、能源、交通、教育、制造等行业及国家政府部门、企事业单位得到广泛应用,赢得了政府、社会和用户的广泛赞誉,为开创我国信息安全事业做出了积极贡献。
成都天融信网络安全技术有限公司是天融信网络安全技术有限公司在成都注册的全资公司,是天融信的三大核心公司、三大研发基地之一,天融信公司网络安全产品的核心部分许多都由成都公司来完成,在目前成都天融信公司有员工21名,其中网络安全的博士有3名,硕士6名,其余技术人员都是具有本科文凭的网络安全专业人士。可以很好的提供本地化安全服务。
天融信网络安全技术有限公司自95年成立以来,已经拥有的遍布全国31个省市、自治区、直辖市的近万家用户,受到了用户的认可,天融信公司成为国内安全市场的领导者,具国内调查的权威机构赛迪公布的市场报告指出:连续五年国内防火墙市场占有量第一名,每年的业绩和利润100%以上的增长
第一章网络风险分析
网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。
瞄准网络存在的安全漏洞,黑客们所制造的各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。
从网络安全的整个过程来看,网络现状分析是必不可少的。只有分析好了网络现状才有可能针对现有的网络制定定相应的安全方案,从而进行安全实施,进而达到保护整个网络的目的。
下面从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述XX企业的网络安全。
1.1物理安全分析
网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。
XX企业的物理安全应注意以下几个方面
1) 地震、水灾、火灾等环境事故;
2) 电源故障;
3) 人为操作失误或错误;
4) 设备被盗、被毁;
5) 电磁干扰;
6) 线路截获;
7)机房环境及报警系统的设计。
1.2链路分析
网络安全不仅是入侵者到内部网上进行攻击、窃取或其它破坏,有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性。
因此数据在链路上传输必须加密。对于非涉密但属于非公开敏感信息的传递应通过采用数字签名及认证技术来保证数据传输的机密性、可靠性及完整性
1.3网络结构的分析
如上图,现在XX企业的整个网络是一个庞大复杂的网络,基于对数据重要的程度划分,我们把整个网络分为3个不同的安全区域:互联网,资阳厂内部服务器群以及XX企业内部网络。
其中内部服务器群是整个网络的核心安全部分,对内部网络中的办公人员用户提供信息浏览、查询或其他应用。由于这些服务器允许大量的办公人员用户访问,因此从理论上存在个人行为或内部网络入侵的攻击者对服务器攻击的可能性。如果没有采用相应的安全措施,入侵者攻击服务器后,这样可能导致一些重要信息或敏感信息可能被非法窃取或修改
由于整个机车厂的内部网络和外部网络边界处已有防火墙做访问控制,故这次在网络结构分析中我们认为是相对安全的。
1.4系统的安全分析
谓系统安全通常是XX企业的内部网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。以下是侵袭者获取口令字的几种途径:
一是内部的管理人员因安全管理不当而造成泄密;
二是通过在公用网上搭线窃取口令字;
三是通过假冒,植入嗅探程序,截获口令字;
四是采用字典攻击方式,获得口令字。
侵袭者一旦掌握了某一用户口令字,就有可能得到管理员的权限并可造成不可。
因此填补主机的安全漏洞,关闭主机一些不常用的服务,禁止开放一些不常用比较敏感的窗口,给关键主机安装上基于主机的入侵检测对重要系统的安全是非常重要的。
1.5应用系统安全分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也动态。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
1.5.1资源共享
XX企业网络可能存在着:内部办公人员网络可能有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他人员窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
1.5.2电子邮件
内部网用户可能通过进行电子邮件发送和接收,这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。
1.5.3病毒侵害
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
1.5.4数据信息
数据安全对涉密企业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对涉密企业用户来说,是决不允许的。
1.5.5应用系统管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。机房重地却是任何人都可以进进出出,来去自由,存有恶意的入侵者便有机会得到入侵的条件。内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点,利用网络开些小玩笑,甚至破坏,如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
1.6网络安全方案设计原则
网络安全建设是一个系统工程,资阳市机车厂网络系统安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。
在进行网络系统安全方案设计、规划时,应遵循以下原则:
1 需求、风险、代价平衡的原则
2 综合性、整体性原则
3 一致性原则
4 易操作性原则
5 适应性、灵活性原则
6 多重保护原则
7 可评价性原则
第二章网络安全需求分析
2.1物理安全需求
针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对重要的设备进行备份;对重要系统进行备份等安全保护。配备机房自动灭火系统,门禁系统,报警系统等等。
2.2防火墙需求
防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域之间的隔离与访问控制。据有关数据统计,防火墙的加设会使整个网络的安全风险降低90%。
防火墙可以做到网络间的访问控制需求,过滤一些不安全服务,可以针对协议、端口号、时间、邮件地址等条件实现安全的访问控制。同时防火墙具有很强的记录日志的功能,可以对您所要求的策略来记录所有不安全的访问行为。
2.3入侵检测系统需求
也许有人认为,网络配了防火墙就安全了,就可以高枕无忧了。其实,这是一种错误的认识,网络安全是整体的,动态的,不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。所以确保网络更加安全必须配备入侵检测系统,配置防火墙与IDS的联动,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。因此入侵检测系统被公认为是继防火墙之后的第二道屏障。
2.4网络防病毒系统需求
针对防病毒危害性极大并且传播极为迅速,必须配备从单机到服务器部署整体防病毒体系,实现全网的病毒安全防护。
2.5信息审计需求
网络为泄露企业的商业机密、技术资料、传播非法和黄色信息也提供了便利,甚至有人在使用网络过程中无意或故意地泄露XX企业的机密,利用网络从事非法活动,严重危害社会安全。一套技术先进的信息审计系统将很好的监测网上信息的交流,能够做到发现问题及时解决
2.6安全管理需求
“三分技术,七分管理”是网络安全领域的一句至理名言, 在安全业界,安全重在管理的观念已被广泛接受,因此,对用户安全策略、安全制度等问题的建议也应当作为安全解决方案的重要组成部分。通过加强安全管理,才能保证由安全产品和安全技术组成的安全防护体系能够被有效的使用。
2.7安全总体目标
基于以上的需求分析,我们认为XX企业的安全网络系统可以实现以下安全目标:
1建立一套完整可行的网络安全与网络管理策略并加强培训,提高全体人员的安全意识及反黑技术。
2加强物理安全防护,特别是采取措施防止涉密的信息通过电磁辐射的方式泄露。
3利用防火墙实现内外网及不信任域之间的隔离与访问控制。
4通过入侵检测系统全面监视进出网络的所有访问行为,及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日志。
5各节点应采用网络防病毒系统,并与客户端防病毒软件相结合,构建起一套完整的全网防病毒体系,保证网络不被病毒的侵害。
6通过主机防火墙、防病毒、安全存储、防辐射来保证个人主机或重要服务器的网络安全防护。
第三章网络安全方案
3.1物理安全实施方案
针对XX企业的物理安全设施情况我们特提出以下几点:
3.1.1防盗防火放水
网络核心设备放在专用的机房有防盗设备,报警设备,消防设备,禁止任何液体在任何时间进入机房,7×24小时有人值班
3.1.2机房环境
机房要通风,干燥,温度保持在0度以上20度以下。
3.1.3物理访问控制方面
对主机房及重要信息存储、收发部门来说:首先要保证重要地点的安全防范工作,如:非工莫入;出入记录;录像监控;门磁、窗磁、红外报警等。以上非工莫入、出入记录可以采用目前先进的IC卡技术、指纹技术、虹膜技术、面纹技术等来实现,可以做到实时记录,方便查询等优点。另外,在机房内外安装摄像机实时记录机房内外的各种情况,便于今后查询。门磁、窗磁、红外报警等作为安全技术防范的辅助手段加以使用,可以获得优异的效果,可以通过门窗、通道放置磁性、红外报警装置,当报警装置被触动后,激发摄像机定位,以便实时记录并触发警报;也可以当报警装置被触动后,激发摄像机定位,启动实时记录并触发警报。
3.1.4机房屏蔽
对主机房及重要信息存储、收发部门进行屏蔽处理 即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓,磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风波导,门的关起等。
3.1.5电源系统
对主机房及重要信息存储、收发等重要部门来说:一旦电源发生故障,就会造成信息的丢失,正常工作无法进行,给不法分子造成可乘之机。故电源系统应加以改造和优化。可以采用多路供电的方法,市电、动力电、专有电网、UPS供电等多路电源同时接入XX企业主机房及重要信息存储、收发等重要部门,当市电故障后自动切换至动力电,动力电故障后自动切换至专有电网,专有电网故障后自动切换至UPS供电。并且,当下级电源恢复后,应立即自动切换回去。这样,既保证了安全性,又降低了运行费用。
另外,电源质量对用电设备的使用寿命、安全等有重大影响。在电源系统中,存在尖峰、浪涌等不洁净的情况,一旦发生会使用电设备处于危险境地,轻则使用电设备断电重启,总则使用电设备烧毁无法使用,甚至造成火灾。在这种情况下,即便是有UPS也无济于事。为避免因电源质量而造成不安全因素,可以采用电源净化系统。电源净化系统不但可以净化电源,保证良好的电源质量除去尖峰、浪涌等,而且可以一定程度上减少电磁污染,另外,也避免了用电设备的信息随电源电缆外泄的可能。
3.1.6传输屏蔽
对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用了屏蔽布线和光缆传输的方式。该部分的设计可在布线中综合考虑。
3.1.7对终端设备辐射的防范
计算机作为电子设备在工作时会产生电磁泄露和传导泄露,将计算机的显示信息携带出去。采用相应的接受设备即可在一定范围内获取该计算机的显示信息。这是造成计算机信息泄露的一个危险隐患。
终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃复。
当前对付计算机信息泄露的办法有两种:一是采用屏蔽措施,将涉密计算机置于屏蔽室内,隔断电磁辐射泄露;二是采取电磁加扰措施以干扰信号遮掩计算机辐射信息,以防窃收。但由于屏蔽方式投资大,灵活性小一般很少使用。电磁加扰方式具有较高的性价比。
干扰技术的发展是随着计算机技术和窃收手段的发展而不断深化的。
以前有些干扰设备采用自噪声干扰,但随着相关检测解调技术的发展和手段实施,已经被认为是不安全的了。随后采用的点相关加扰技术,因不能适用粗线条,简单图形的干扰防护也只有一定的适用范围。目前采用同步仿真干扰技术,以计算机场同步信号调制经一定算法产生的干扰信号,至在相应的干扰频域上与计算机电磁辐射相仿真,即可以保证有效的干扰防护,又可以保证较好的电磁兼容指标。
3.2防火墙火墙实施方案
3.2.1防火墙参数要求
1) 防火墙应支持多种工作模式:透明、路由以及透明加路由的混合模式。
2) 防火墙访问控制策略能够基于源、目IP地址,源、目端口号和时间
进行设置。
3) 支持IP与MAC地址的绑定,可以扩展ip+mac+用户名密码同时绑定彻底
防止ip盗用
4)身份认证协议支持,具有多个认证方案,如OTP 、RADIUS 、
S/KEY 、SECUREID 、TACACS/TACACS+、口令方式、数字证书(CA )等。
5) 防火墙应采用先进的状态检测技术或其它最新的防火墙技术。
6) 可支持动态、静态、双向的网络地址转换(NAT)。
7)具备完善的日志功能,能够提供日志自动导出功能,支持向日志服务器
导出日志。
8) 能够与第三方安全产品进行联动,尤其是与IDS产品的联动,注明联动协议,举例说明。
9) 支持分级带宽管理,可以利用防火墙对带宽进行精细的控制。
10) 应支持常见的动态路由协议,如OSPF、RIP、RIPII,支持生成树协议并
能参与生成树算法计算。
11) 防火墙应支持SNMP协议,同时提供相应的MIB库文件,能通过第三方网管软件对防火墙进行监测和控制。
12)可扩展支持VPN功能。
13)要求能够提供基于源地址和目的地址的路由功能。
14)应支持802.1Q、Cisco ISL等VLAN协议,不仅能够识别协议而且可以
给VLan做路由。
15)支持WATCH DOG电路,能够实现防火墙的自动检测和恢复
16)支持基于服务器的负载均衡技术,支持基于网络的负载均衡技术。
17)支持基于数据库的长连接应用
千兆防火墙技术性能要求:
1)要求提供2个10/100/1000Base-TX自适应千兆接口和一个10/100Base-TX自适应百兆端口。
2)、最大并发连接数在1,00万条以上。
3)、吞吐量不低于950M
4)、平均无故障时间MTBF:不低于60000小时。
5)、防火墙千兆口应可以扩展不少于4个
防火墙技术服务要求:
1)、提供防火墙产品的售后安装、升级、培训服务。
2)、提供本地化的日常维护和技术支持服务。
防火墙技术性能鉴定资质:(至少具备)
1)、公安部颁发的《计算机信息系统安全专用产口销售许可证》
2)、国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》
3. 2. 2防火墙部署拓扑图1
之所以这样部署防火墙是应为把服务器统一在一起便于管理,把服务器群与其他PC机完全通过防火墙隔离开,减少了服务器被攻击的可能行,增加了网络安全性,而且相对于第二套部署方案而言减少了防火墙的千兆端口数,IDS也只需要一套,降低了成本。而且不用再从计算中心机房铺设光纤到技术中心。
3.2.3防火墙部署拓扑图2
这样部署相对第一套部署方案而言唯一的好处就是不用搬动技术中心的服务器,保持原有网络结构,但是需要增加防火墙的端口数,增加IDS设备,以及铺设光纤,最主要的是不便于统一管理,而且网络安全性不如第一套方案。
3.2.4部署防火墙的好处
1将服务器区和办公网进行有效的安全隔离,防止来自办公网的攻击和非法访问。
2防火墙可以和IDS联动,防止来自内部的攻击。
3保证了数据核心层的相对安全。
4对服务器的访问做到日志审计。
5千兆防火墙的高处理性,保证了对服务器访问的吞吐量,使得网络性能不会因为防火墙成为瓶颈。
6同时防火墙必须要做到对VLAN的支持,能够做到客户端对服务器的访问控制。
7鉴防火墙可以做到对应用层的控制,屏蔽掉应用层的攻击。
8防火墙具有良好的抗攻击的性能,能够对常见的端口扫描,PING of death,DOS,SYNflood攻击有效防范。
9可以采用多种用户认证的方式,保证用户的合法性。
10防火墙可以做到对文件的控制,保证了关键文件的安全。
3.3IDS实施方案
3.3.1IDS部署拓扑图
3.3.2IDS部署的好处
1. 入侵检测系统能够对网络流量进行实时监控,能够准确有效地识别所有网络活动中的已知攻击、未知攻击行为,一旦发现攻击,立即报警,并采取响应措施。要求报警准确,避免漏报和误报。
2. 入侵监测系统具备分析采用躲避入侵检测技术的通信数据的能力,能够有效的检测针对IDS进行的躲避行为。
3. 入侵检测能够通过分析网络中的数据,记录入侵的完整过程,为安全事件的调查提供证据。
4. 入侵检测能够实时分析网络中活动,发现入侵行为可以采取预先设定的动作响应(报警、切断网络连接、记录日志等等)。
5. 能够依据定制的过滤条件获取某一特定网络协议、端口的原始报文数据;并对HTTP、FTP、SMTP、POP3、Telnet等主要的网络协议通信进行内容恢复、事件回放。
6. 入侵检测产品能够提供缺省策略,可以灵活通过自定义制定新的符合用户特征的策略,便于管理、维护,并且可依据事件报警的概率分析对事件策略集进行动态调整。
7. 能够提供与其他网络嗅探器和扫描器等辅助工具的集成,可与防火墙、漏洞扫描、验证系统、IP定位系统、网管系统进行联动。便于查看当前网络状况,分析网络问题。
8. 能够提供完整的网络事件记录,对网络中发生的所有事件进行记录,生成完整的网络审计日志。并支持对大量审计日志的数据库存储和对日志的多种查询方式。
9. 能够实现背景流量过滤。对用户指定的端口、协议、地址和应用相关的高数据流自动免检。
3.4信息审计实施方案
审计系统的部署主要涉及两个方面一个是基于网络出口敏感、有害、机密、黑客信息的审查,一方面是对于行为的审计主要指,对重要的服务器、应用系统、交换机、路由器日志系统的审计和分析。XX企业的信息审计主要位于:
1审计系统在互联网出口
2网络中心的应用服务核心数据层。
天融信日志审计系统能采集多种日志类型,包括:
1)各种操作系统日志,如UNIX/LINUX 系统的SYSLOG,WINDOWS 系统的系统日志
2)应用程序日志、安全事件日志、目录服务日志(WINDOWS2000)、文件复制日志(WINDOWS 2000)等。
3)防火墙系统日志,如天融信的NGFW 系列产品、NETSCREEN 的系列防火墙产品、CISCO 的PIX 系列防火墙、NETFILTER 和IPCHAINS 免费防火墙等。
4)入侵检测系统日志,如SNORT 产生的日志。
5)网络交换及路由设备的日志,如 CISCO 的系列交换机及路由器产品。
6)各种服务和应用系统日志,如IIS 服务器日志、APACHE 服务器日志等WEB 服务器日志,各种EMAIL 服务器日志,FTP 服务器日志,DNS 器服务日志等。
7)任何支持SYSLOG、SNMP 或TOPSEC 协议的日志。对于任何新的设备和系统,只要它能支持SYSLOG、SNMP 和TOPSEC 协议,日志审计系统都可以收集这种设备的日志信息。支持WEBTRENDS 日志格式, Webtrends 是广泛采用的防火墙日志格
信息系统还具有以下功能
1. 日志管理
日志审计系统的日志管理包括内容:
1)多种日志格式的统一管理。日志审计系统可以自动将其收集到的各种日志格式转换为统一的TFL 日志格式,便于对各种复杂日志信息的统一管理与处理
2)基于一定策略对日志数据进行分类、筛选,最大效率保存日志数据到数据库
3)支持日志数据从数据库的自动导出、导入存储日志记录到日志数据库、删除日志、备份日志、恢复日志、转发日志给上级审计中心。
2. 日志查询
日志审计系统可以支持以多种方式查询网络中的日志记录信息,以报表的形式显示。
1)基本查询。根据用户、源、目的地址和端口、协议、事件类型、危险级
别、等字段简单查询日志数据TA WHITE BOOK安 全 促 进 应 用
2)相关查询。根据一条日志记录,查询和这条日志记录相关联的其他日志记录。例如,根据Web 服务器日志中的一条安全事件记录,可以查询出同一攻击者主机在路由器、防火墙、ids 等系统上的相关安全记录。
3)基于连接的查询:还原TCP 协议族中的HTTP、FTP、TELNET、SMTP基本服务会话的过程。直观地显示给管理员。
3. 自动生成安全分析报告
TA 系统根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。报告的输出可以根据预先定义的条件(如每隔一段时间、网络中攻击事件的猛增等触发条件)自动地产生、提交给管理员。报告的类型主要分下面几种:
1) 攻击来源者排列的安全报告
2) 被攻击者排列的安全报告
3) 时间、日期排列的安全报告
4) 危险级别排列的安全报告
5) 攻击类型排列的安全报告
6) 协议类型或端口号排列的安全报告
7)自定义的安全分析报告:用户可以自己定义一些分析的条件,来进行分
8)析。例如同时根据攻击时间、攻击类型、攻击级别来排列的分析报告。
9)并且可以定义报告产生的条件。如每隔一天、一周、一个月产生一个安
10)全分析报告。当网络中发生DOS 攻击时自动产生一个攻击报告。
4. 日志审计系统可以监视的主要内容
1)日志代理是否处于活动状态,日志文件是否正常记录日志信息。
2)日志数据库是否处于活动状态、数据库当前容量、磁盘空间使用状况、
3)内存使用情况、CPU 使用状态,运行有代理(AGENT)的特定设备的状态
4)对指定设备或主机的DNS,FTP,HTTP,TELNET,PING 协议进行监控。用户可以指定被监控的设备的IP 地址,以及要监控的协议的端口号。采用DNS,FTP,HTTP,TELNET,PING 等方式做监视验证。
5)监控日志中的内容。一旦接受到的日志中有用户定义的关键字就采取相关的响应策略(如告警)。
6)自定义的监视活动
7)用户可以定义一些监视条件监视网络的状况(如监视在半夜的登陆行为等)。
8)集中安全审计系统自身的监视和各个AGENT 的连接是否正常、CPU、磁盘、内存的使用状态、数据库容量大小等。
9)网络行为的监视,监视最近一段时间内,网络中的事件、连接情况等。
5. 自动生成统计分析报表
日志系统可以统计网络状况,并输出统计报告。报告的输出可以根据预先定义的条件(如每隔一段时间)自动地产生、提交给管理员。统计分析报表的类型主要有下面几种:
1)WWW 服务统计报表
2)TELNET 服务统计
3)FTP 服务统计
4)Mail 服务统计
5)带宽使用统计
6)防火墙或VPN 使用统计
7)用户行为统计
8)总体网络活动统计
9)自定义的统计分析报告:用户可以自己定义一些统计的条件,例如根据时间、事件类型、事件级别的统计分析报告。并且可以定义报告产生的时间,如每隔一天、一周、一个月产生一个统计分析报告。
3.5数据备份实施方案
主要涉及两个方面一个是基于对重要数据的备份另一个方面是对重要的服务器的系统恢复。理想的备份系统,是软件备份和手工方式相结合的。如果系统出错、已备份的数据用软件方法来恢复;尚未备份的数据,用手工方式恢复。采用这种结合方式,不仅能有效地防止逻辑错误,还能有效地节省备份和恢复的时间。当然,如果在备份系统的基础上,再加上硬件容错系统,那就更好了。
现在基于网络的应用飞速发展,网络系统中的硬件环境、操作系统、运行的业务信息等都日益复杂。网络备份不仅仅是网络上计算机的文件备份,它包括整个网络系统的一套备份体系。网络备份包括:文件备份和恢复、数据库备份和恢复、系统灾难恢复、备份任务管理等。
1文件备份和恢复
优秀的网络备份方案,能够在一台计算机上实现整个网络的文件备份。因为网络备份系统通常使用专用备份设备,网络上的每台计算机都配置专用设备显然是不现实的。所以利用网络进行高速的备份是网络备份方案必需的功能。
2数据库备份和恢复
在许多人的观念里,数据库和文件还是一个概念。当然,如果数据库系统是基于文件系统的,那就可以用备份文件的方式备份数据库。但发展到今天,数据库系统已是相当复杂和庞大,再用备份文件的方式来备份数据库已是不适用了,是否能够将用要的数据从庞大的数据库文件中抽取出来,进行备份,是网络备份系统是否先进的标志之一。
3系统恢复灾难
网络备份的最终目的是保障网络系统的顺利运行,所以优秀的备份方案能够备份系统的关键数据,在网络出现故障甚至损坏时,能够迅速恢复网络系统。从发现故障到恢复整个系统,好的备份方案耗时不应超过半个工作日。
4备份任务管理
对大多数机房管理人员来说,备份是一项繁重的任务。网络系统备份对他们来说更是任务艰巨。要记的东西大多,在某台计算机,某时间要备份某个目录下的文件或某部分数据。这些数据,在一天两天要记住问题不大,但如果要长久不出错,就不能保证。网络备份可以解决此问题,能实现定时、自动备份数据,可大大减轻管理人员的压力。
5数据存储管理系统
网络数据存储管理系统是指在分布式网络环境下,通过专业的数据存储管理软件,结合相应的硬件和存储设备,来对全网络的数据备份进行集中管理,从而实现自动化的备份、文件归档、数据分级存储以及灾难恢复等。为在整个网络系统内实现全自动的数据存储管理,备份服务器、备份管理软件与智能存储设备的有机结合是这一目标实现的基础。
网络数据存储管理系统的工作原理是在网络上选择一台应用服务器(当然也可以在网络中另配一台服务器作为专用的备份服务器)作为网络数据存储管理服务器,安装网络数据存储管理服务器端软件,作为整个网络的备份服务器。在备份服务器上连接一台大容量存储设备(磁带库、光盘库)。在网络中其他需要进行数据备份管理的服务器上安装备份客户端软件,通过局域网将数据集中备份管理到与备份服务器连接的存储设备上。
6备份管理软件
网络数据存储管理系统的核心是备份管理软件,通过备份软件的计划功能,可为整个企业建立一个完善的备份计划及策略,并可借助备份时的呼叫功能,让所有的服务器备份都能在同一时间进行。备份软件也提供完善的灾难恢复手段,能够将备份硬件的优良特性完全发挥出来,使备份和灾难恢复时间大大缩短,实现网络数据备份的全自动智能化管理。智能备份系统是为开放系统环境,提供全面数据保护而设计的。直观的图形用户界面允许组织机构全方位整合备份和恢复,使之实现自动化;同时还允许为整个企业制定协调一致的备份政策,以实现快速无故障恢复。
备份系统提供能够识别数据库和应用程序的备份与恢复解决方案。能够使大量繁重的任务实现自动化。当硬件设备出现故障或发生灾难时,用户只要点击一下鼠标,就能够保证轻松地实现全方位系统恢复。
3.6安全管理实施方案
3.6.1工作人员个人安全行为规范
l 禁止与朋友、亲戚共享帐号和密码;
l 禁止对系统中的密码文件运行密码检查工具;
l 禁止运行网络监听工具;
l 禁止攻击别人的帐号;
l 禁止影响系统中的服务;
l 禁止滥用系统资源;
l 禁止滥用电子邮件;
l 禁止未经许可而检查别人的文件;
l 禁止随意下载、安装、使用未经检查过的软件;
3.6.2密码安全规范
用户名和密码的组合定义了系统中用户的身份,采取安全的密码策略是防止非法访问系统的最重要的手段。
密码的内容
l 要将数字、大写字母、小写字母、标点符号混合起来;
l 要易于记忆(不用写下来);
l 要易于输入(不易被偷看到)。
不能选择:
l 亲戚、朋友、同事、单位等的名字,生日、
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
