保护信息安全的措施

保护信息安全的措施保护信息安全的措施 现在是互联网的时代 每家每户基本上已经有了电脑上网 了 在上网的时候要注意好信息的安全防范 避免造成个人的 损失 以下是小编给大家整理的资料 欢迎大家阅读参考 一 网站运行安全保障措施 1 网站服务器和其他计算机之间设置经公安部认证的防火 墙 并与专业网络安全公司合作 做好安全策略 拒绝外来的 恶意攻击 保障网站正常运行 2 在网站的服务器及工作站上均安装了正版的防病毒软件 对计算机病毒 有害电子邮件有整套的防范措施 防止有害信 息对网站系统的干扰和破坏 3 做好生产日志的留存 网站具有保存 60 天以上的系统 运行日志和用户使用日志记录功能 内容包括 ip 地址及使用情 况 主页维护者 邮箱使用者和对应的 ip 地址情况等 4 交互式栏目具备有 ip 地址 身份登记和识别确认功能 对没有合法手续和不具备条件的电子公告服务立即关闭 5 网站信息服务系统建立双机热备份机制 一旦主系统遇 到故障或受到攻击导致不能正常运行 保证备用系统能及时替 换主系统提供服务 6 关闭网站系统中暂不使用的服务功能 及相关端口 并 及时用补丁修复系统漏洞 定期查杀病毒 7 服务器平时处于锁定状态 并保管好登录密码 后台管 理界面设置超级用户名及密码 并绑定 ip 以防他人登入 8 网站提供集中式权限管理 针对不同的应用系统 终端 操作人员 由网站系统管理员设置共享数据库信息的访问权限 并设置相应的密码及口令 不同的操作人员设定不同的用户名 且定期更换 严禁操作人员泄漏自己的口令 对操作人员的权 限严格按照岗位职责设定 并由网站系统管理员定期检查操作 人员权限 9 公司机房按照电信机房标准建设 内有必备的独立 ups 不间断电源 高灵敏度的烟雾探测系统和消防系统 定期进行 电力 防火 防潮 防磁和防鼠检查 二 信息安全保密管理制度 1 我公司建立了健全的信息安全保密管理制度 实现信息 安全保密责任制 切实负起确保网络与信息安全保密的责任 严格按照 谁主管 谁负责 谁主办 谁负责 的原则 落实责 任制 明确责任人和职责 细化工作措施和流程 建立完善管 理制度和实施办法 确保使用网络和提供信息服务的安全 2 网站信息内容更新全部由网站工作人员完成 工作人员 素质高 专业水平好 有强烈的责任心和责任感 网站所有信 息发布之前都经分管领导审核批准 工作人员采集信息将严格 遵守国家的有关法律 法规和相关规定 严禁通过我公司网站 及短信平台散布 互联网信息管理办法 等相关法律法规明令 禁止的信息 即 九不准 一经发现 立即删除 3 遵守对网站服务信息监视 保存 清除和备份的制度 开展对网络有害信息的清理整治工作 对违法犯罪案件 报告 并协助公安机关查处 4 所有信息都及时做备份 按照国家有关规定 网站将保 存 60 天内系统运行日志和用户使用日志记录 短信服务系统将 保存 5 个月以内的系统及用户收发短信记录 5 制定并遵守安全教育和培训制度 加大宣传教育力度 增强用户网络安全意识 自觉遵守互联网管理有关法律 法规 不泄密 不制作和传播有害信息 不链接有害信息或网页 三 用户信息安全管理制度 1 我公司郑重承诺尊重并保护用户的个人隐私 除了在与 用户签署的隐私政策和网站服务条款以及其他公布的准则规定 的情况下 未经用户授权我公司不会随意公布与用户个人身份 有关的资料 除非有法律或程序要求 2 所有用户信息将得到本公司网站系统的安全保存 并在 和用户签署的协议规定时间内保证不会丢失 3 严格遵守网站用户帐号使用登记和操作权限管理制度 对用户信息专人管理 严格保密 未经允许不得向他人泄露 信息安全简介信息安全简介 信息安全主要包括以下五方面的内容 即需保证信息的保 密性 真实性 完整性 未授权拷贝和所寄生系统的安全性 信息安全本身包括的范围很大 其中包括如何防范商业企业机 密泄露 防范青少年对不良信息的浏览 个人信息的泄露等 网络环境下的信息安全体系是保证信息安全的关键 包括计算 机安全操作系统 各种安全协议 安全机制 数字签名 消息认 证 数据加密等 直至安全系统 如 uninac dlp 等 只要存 在安全漏洞便可以威胁全局安全 信息安全是指信息系统 包括 硬件 软件 数据 人 物理环境及其基础设施 受到保护 不 受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续 可靠正常地运行 信息服务不中断 最终实现业务连续性 信息安全学科可分为狭义安全与广义安全两个层次 狭义 的安全是建立在以密码论为基础的计算机安全领域 早期中国 信息安全专业通常以此为基准 辅以计算机技术 通信网络技 术与编程等方面的内容 广义的信息安全是一门综合性学科 从 传统的计算机安全到信息安全 不但是名称的变更也是对安全 发展的延伸 安全不在是单纯的技术问题 而是将管理 技术 法律等问题相结合的产物 信息安全产品 20 xx 年信息安全产业将步入高速发展阶段 而整个互联网 用户对安全产品的要求也转入 主动性安全防御 随着用户安 全防范意识正在增强 主动性安全产品将更受关注 主动的安 全防御将成为未来安全应用的主流 终端方案 终端安全解决方案是以终端安全保护系统全方位综合保障 终端安全 并以数据安全保护系统重点保护终端敏感数据的安 全 终端安全保护系统以 主动防御 理念为基础 采用自主知 识产权的基于标识的认证技术 以智能控制和安全执行双重体 系结构为基础 将全面安全策略与操作系统有机结合 通过对 代码 端口 网络连接 移动存储设备接入 数据文件加密 行为审计分级控制 实现操作系统加固及信息系统的自主 可 控 可管理 保障终端系统及数据的安全 安全软件 数据安全保护系统能够实现数据文档的透明加解密保护 可指定类型文件加密 指定程序创建文件加密 杜绝文档泄密 实现数据文档的强制访问控制和统一管理控制 敏感文件及加 密密钥的冗余存储备份 包括文件权限管理 用户管理 共享 管理 外发管理 备份管理 审计管理等 对政府及企业的各 种敏感数据文档 包括设计文档 设计图纸 源代码 营销方 案 财务报表及其他各种涉及企业商业秘密的文档 都能实现 稳妥有效的保护 信息安全影响因素 信息安全与技术的关系可以追溯到远古 埃及人在石碑上 镌刻了令人费解的象形文字 斯巴达人使用一种称为密码棒的工 具传达军事计划 罗马时代的凯撒大帝是加密函的古代将领之 一 凯撒密码 据传是古罗马凯撒大帝用来保护重要军情的加 密系统 它 是一种替代密码 通过将字母按顺序推后 3 位起 到加密作用 如将字母 a 换作字母 d 将字母 b 换作字母 e 英国计算机科学之父阿兰图灵在英国布莱切利庄园帮助破解 了 德国海军的 enigma 密电码 改变了二次世界大战的进程 美国 nist 将信息安全控制分 为 3 类 1 技术 包括产品和过程 例如防火墙 防病毒软件 侵入 检测 加密技术 2 操作 主要包括加强机制和方法 纠正运行缺陷 各种 威胁造成的运行缺陷 物 理进入控制 备份能力 免予环境威 胁的保护 3 管理 包括使用政策 员工培训 业务规划 基于信息 安全的非技术领域 信息系统安全涉及政策法规 教育 管理 标准 技术等方面 任何单一层次的安全措 施都不能提供全方 位的安全 安全问题应从系统工程的角度来考虑 图 8 1 给出 了 nstissc 安全模型 安全威胁 1 信息泄露 信息被泄露或透露给某个非授权的实体 2 破坏信息的完整性 数据被非授权地进行增删 修改或 破坏而受到损失 3 拒绝服务 对信息或其他资源的合法访问被无条件地阻 止 4 非法使用 非授权访问 某一资源被某个非授权的人 或 以非授权的方式使用 5 窃听 用各种可能的合法或非法的手段窃取系统中的信 息资源和敏感信息 例如对通信线路中传输的信号搭线监听 或者利用通信设备在工作过程中产生的电磁泄露截取有用信息 等 6 业务流分析 通过对系统进行长期监听 利用统计分析 方法对诸如通信频度 通信的信息流向 通信总量的变化等参 数进行研究 从中发现有价值的信息和规律 7 假冒 通过欺骗通信系统 或用户 达到非法用户冒充成为 合法用户 或者特权小的用户冒充成为特权大的用户的目的 黑客大多是采用假冒攻击 8 旁路控制 攻击者利用系统的安全缺陷或安全性上的脆 弱之处获得非授权的权利或特权 例如 攻击者通过各种攻击 手段发现原本应保密 但是却又暴露出来的一些系统 特性 利用这些 特性 攻击者可以绕过防线守卫者侵入系统的内部 9 授权侵犯 被授权以某一目的使用某一系统或资源的某 个人 却将此权限用于其他非授权的目的 也称作 内部攻击 10 特洛伊木马 软件中含有一个觉察不出的有害的程序段 当它被执行时 会破坏用户的安全 这种应用程序称为特洛伊 木马 trojan horse 11 陷阱门 在某个系统或某个部件中设置的 机关 使得 在特定的数据输入时 允许违反安全策略 12 抵赖 这是一种来自用户的攻击 比如 否认自己曾经发 布过的某条消息 伪造一份对方来信等 13 重放 出于非法目的 将所截获的某次合法的通信数据 进行拷贝 而重新发送 14 计算机病毒 一种在计算机系统运行过程中能够实现传 染和侵害功能的程序 15 人员不慎 一个授权的人为了某种利益 或由于粗心 将信息泄露给一个非授权的人 16 媒体废弃 信息被从废弃的磁碟或打印过的存储介质中 获得 17 物理侵入 侵入者绕过物理控制而获得对系统的访问 18 窃取 重要的安全物品 如令牌或身份卡被盗 19 业务欺骗 某一伪系统或系统部件欺骗合法的用户或系 统自愿地放弃敏感信息等等 信息安全的重要性信息安全的重要性 信息作为一种资源 它的普遍性 共享性 增值性 可处 理性和多效用性 使其对于人类具有特别重要的意义 信息安 全的实质就是要保护信息系统或信息网络中的信息资源免受各 种类型的威胁 干扰和破坏 即保证信息的安全性 根据国际 标准化组织的定义 信息安全性的含义主要是指信息的完整性 可用性 保密性和可靠性 信息安全是任何国家 政府 部门 行业都必须十分重视的问题 是一个不容忽视的国家安全战略 但是 对于不同的部门和行业来说 其对信息安全的要求和重 点却是有区别的 中国的改革开放带来了各方面信息量的急剧增加 并要求 大容量 高效率地传输这些信息 为了适应这一形势 通信技 术发生了前所未有的爆炸性发展 除有线通信外 短波 超短 波 微波 卫星等无线电通信也正在越来越广泛地应用 与此 同时 国外敌对势力为了窃取中国的政治 军事 经济 科学 技术等方面的秘密信息 运用侦察台 侦察船 侦察机 卫星 等手段 形成固定与移动 远距离与近距离 空中与地面相结 合的立体侦察网 截取中国通信传输中的信息 从文献中了解一个社会的内幕 早已是司空见惯的事情 在 20 世纪后 50 年中 从社会所属计算机中了解一个社会的内 幕 正变得越来越容易 不管是机构还是个人 正把日益繁多 的事情托付给计算机来完成 敏感信息正经过脆弱的通信线路 在计算机系统之间传送 专用信息在计算机内存储或在计算机 之间传送 电子银行业务使财务账目可通过通信线路查阅 执 法部门从计算机中了解罪犯的前科 医生们用计算机管理病历 最重要的问题是不能在对非法 非授权 获取 访问 不加防范的条 件下传输信息 传输信息的方式很多 有局域计算机网 互联网和分布式 数据库 有蜂窝式无线 分组交换式无线 卫星电视会议 电 子邮件及其它各种传输技术 信息在存储 处理和交换过程中 都存在泄密或被截收 窃听 窜改和伪造的可能性 不难看出 单一的保密措施已很难保证通信和信息的安全 必须综合应用 各种保密措施 即通过技术的 管理的 行政的手段 实现信 源 信号 信息三个环节的保护 藉以达到秘密信息安全的目 的 保护信息安全的方案篇一保护信息安全的方案篇一 某市政府中心网络安全方案设计 1 1 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全 解决方案 包括安全管理制度策略的制定 安全策略的实施体 系结构的设计 安全产品的选择和部署实施 以及长期的合作 和技术支持服务 系统建设目标是在不影响当前业务的前提下 实现对网络的全面安全管理 1 将安全策略 硬件及软件等方法结合起来 构成一个统 一的防御系统 有效阻止非法用户进入网络 减少网络的安全 风险 2 通过部署不同类型的安全产品 实现对不同层次 不同 类别网络安全问题的防护 3 使网络管理者能够很快重新组织被破坏了的文件或应用 使系统重新恢复到破坏前的状态 最大限度地减少损失 具体来说 本安全方案能够实现全面网络访问控制 并能 够对重要控制点进行细粒度的访问控制 其次 对于通过对网络的流量进行实时监控 对重要服务 器的运行状况进行全面监控 1 1 1 防火墙系统设计方案 1 1 1 1 防火墙对服务器的安全保护 网络中应用的服务器 信息量大 处理能力强 往往是攻 击的主要对象 另外 服务器提供的各种服务本身有可能成为 黑客 攻击的突破口 因此 在实施方案时要对服务器的安全进 行一系列安全保护 如果服务器没有加任何安全防护措施而直接放在公网上提 供对外服务 就会面临着 黑客 各种方式的攻击 安全级别很 低 因此当安装防火墙后 所有访问服务器的请求都要经过防 火墙安全规则的详细检测 只有访问服务器的请求符合防火墙 安全规则后 才能通过防火墙到达内部服务器 防火墙本身抵 御了绝大部分对服务器的攻击 外界只能接触到防火墙上的特 定服务 从而防止了绝大部分外界攻击 1 1 1 2 防火墙对内部非法用户的防范 网络内部的环境比较复杂 而且各子网的分布地域广阔 网络用户 设备接入的可控性比较差 因此 内部网络用户的 可靠性并不能得到完全的保证 特别是对于存放敏感数据的主 机的攻击往往发自内部用户 如何对内部用户进行访问控制和 安全防范就显得特别重要 为了保障内部网络运行的可靠性和 安全性 我们必须要对它进行详尽的分析 尽可能防护到网络 的每一节点 对于一般的网络应用 内部用户可以直接接触到网络内部 几乎所有的服务 网络服务器对于内部用户缺乏基本的安全防 范 特别是在内部网络上 大部分的主机没有进行基本的安 全防范处理 整个系统的安全性容易受到内部用户攻击的 威胁 安全等级不高 根据国际上流行的处理方法 我们把内 部用户跨网段的访问分为两大类 其一 是内部网络用户之间 的访问 即单机到单机访问 这一层次上的应用主要有用户共 享文件的传输 netbios 应用 其次 是内部网络用户对内部服务 器的访问 这一类应用主要发生在内部用户的业务处理时 一 般内部用户对于网络安全防范的意识不高 如果内部人员发起 攻击 内部网络主机将无法避免地遭到损害 特别是针对于 netbios 文件共享协议 已经有很多的漏洞在网上公开报道 如果网络主机保护不完善 就可能被内部用户利用 黑客 工具 造成严重破坏 1 1 2 入侵检测系统 利用防火墙技术 经过仔细的配置 通常能够在内外网之 间提供安全的网络保护 降低了网络安全风险 但是入侵者可 寻找防火墙背后可能敞开的后门 入侵者也可能就在防火墙内 网络入侵检测系统位于有敏感数据需要保护的网络上 通 过实时侦听网络数据流 寻找网络违规模式和未授权的网络访 问尝试 当发现网络违规行为和未授权的网络访问时 网络监 控系统能够根据系统安全策略做出反应 包括实时报警 事件 登录 或执行用户自定义的安全策略等 网络监控系统可以部 署在网络中有安全风险的地方 如局域网出入口 重点保护主 机 远程接入服务器 内部网重点工作站组等 在重点保护区 域 可以单独各部署一套网络监控系统 管理器 探测引擎 也 可以在每个需要保护的地方单独部署一个探测引擎 在全网使 用一个管理器 这种方式便于进行集中管理 在内部应用网络中的重要网段 使用网络探测引擎 监视 并记录该网段上的所有操作 在一定程度上防止非法操作和恶 意攻击网络中的重要服务器和主机 同时 网络监视器还可以 形象地重现操作的过程 可帮助安全管理员发现网络安全的隐 患 需要说明的是 ids 是对防火墙的非常有必要的附加而不仅 仅是简单的补充 按照现阶段的网络及系统环境划分不同的网络安全风险区 域 xxx 市政府本期网络安全系统项目的需求为 区域 部署安全产品 内网 连接到 internet 的出口处安装两台互为双机热备的海 信 fw3010pf 4000 型百兆防火墙 在主干交换机上安装海信千兆 眼镜蛇入侵检测系统探测器 在主干交换机上安装 nethawk 网络 安全监控与审计系统 在内部工作站上安装趋势防毒墙网络版防 病毒软件 在各服务器上安装趋势防毒墙服务器版防病毒软件 dmz 区 在服务器上安装趋势防毒墙服务器版防病毒软件 安装一台 interscan viruswall 防病毒网关 安装百兆眼镜蛇入侵检测系统探测器 和 nethawk 网络安全监控与审计系统 安全监控与备份中心 安装 fw3010 5000 千兆防火墙 安 装 rj itop 榕基网络安全漏洞扫描器 安装眼镜蛇入侵检测系统 控制台和百兆探测器 安装趋势防毒墙服务器版管理服务器 趋 势防毒墙网络版管理服务器 对各防病毒软件进行集中管理 1 2 防火墙安全系统技术方案 某市政府局域网是应用的中心 存在大量敏感数据和应用 因此必须设计一个高安全性 高可靠性及高性能的防火墙安全 保护系统 确保数据和应用万无一失 所有的局域网计算机工作站包括终端 广域网路由器 服 务器群都直接汇接到主干交换机上 由于工作站分布较广且全 部连接 对中心的服务器及应用构成了极大的威胁 尤其是可能 通过广域网上的工作站直接攻击服务器 因此 必须将中心与 广域网进行隔离防护 考虑到效率 数据主要在主干交换机上 流通 通过防火墙流入流出的流量不会超过百兆 因此使用百 兆防火墙就完全可以满足要求 如下图 我们在中心机房的 dmz 服务区上安装两台互为冗 余备份的海信 fw3010pf 4000 百兆防火墙 dmz 口通过交换机 与 www ftp dns mail 服务器连接 同时 安装一台 fw3010pf 5000 千兆防火墙 将安全与备份中心与其他区域逻 辑隔离开来通过安装防火墙 实现下列的安全目标 1 利用防火墙将内部网络 internet 外部网络 dmz 服务 区 安全监控与备份中心进行有效隔离 避免与外部网络直接 通信 2 利用防火墙建立网络各终端和服务器的安全保护措施 保证系统安全 3 利用防火墙对来自外网的服务请求进行控制 使非法访 问在到达主机前被拒绝 4 利用防火墙使用 ip 与 mac 地址绑定功能 加强终端用 户的访问认证 同时在不影响用户正常访问的基础上将用户的 访问权限控制在最低限度内 5 利用防火墙全面监视对服务器的访问 及时发现和阻止 非法操作 6 利用防火墙及服务器上的审计记录 形成一个完善的审 计体系 建立第二条防线 7 根据需要设置流量控制规则 实现网络流量控制 并设 置基于时间段的访问控制 1 3 入侵检测系统技术方案 如下图所示 我们建议在局域网中心交换机安装一台海信 眼镜蛇入侵检测系统千兆探测器 dmz 区交换机上安装一台海 信眼镜蛇入侵检测系统百兆探测器 用以实时检测局域网用户 和外网用户对主机的访问 在安全监控与备份中心安装一台海 信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统 控制台 由系统控制台进行统一的管理 统一事件库升级 统一 安全防护策略 统一上报日志生成报表 其中 海信眼镜蛇网络入侵检测系统还可以与海信 fw3010pf 防火墙进行联动 一旦发现由外部发起的攻击行为 将向防火墙发送通知报文 由防火墙来阻断连接 实现动态的 安全防护体系 海信眼镜蛇入侵检测系统可以联动的防火墙有 海信 fw3010pf 防火墙 支持 opsec 协议的防火墙 通过使用入侵检测系统 我们可以做到 1 对网络边界点的数据进行检测 防止黑客的入侵 2 对 服务器的数据流量进行检测 防止入侵者的蓄意破坏和篡改 3 监视内部用户和系统的运行状况 查找非法用户和合法用户的 越权操作 4 对用户的非正常活动进行统计分析 发现入侵行 为的规律 5 实时对检测到的入侵行为进行报警 阻断 能够 与防火墙 系统联动 6 对关键正常事件及异常行为记录日志 进行审计跟踪管理 通过使用海信眼镜蛇入侵检测系统可以容易的完成对以下 的攻击识别 网络信息收集 网络服务缺陷攻击 dosddos 攻 击 缓冲区溢出攻击 web 攻击 后门攻击等 网络给某市政府带来巨大便利的同时 也带来了许多挑战 其中安全问题尤为突出 加上一些人缺乏安全控制机制和对网 络安全政策及防护意识的认识不足 这些风险会日益加重 引 起这些风险的原因有多种 其中网络系统结构和系统的应用等 因素尤为重要 主要涉及物理安全 链路安全 网络安全 系 统安全 应用安全及管理安全等方面 通过以上方案的设计和 实施 所有安全隐患就得到了良好的改善 保护信息安全的方案篇二保护信息安全的方案篇二 一 客户背景 集团内联网主要以总部局域网为核心 采用广域网方式与 外地子公司联网 集团广域网采用 mpls 技术 用来为各个分 公司提供骨干网络平台和接入 各个分公司可以在集团的骨干 信息网络系统上建设各自的子系统 确保各类系统间的相互独 立 二 安全威胁 某公司属于大型上市公司 在北京 上海 广州等地均有 分公司 公司内部采用无纸化办公 oa 系统成熟 每个局域网 连接着该所有部门 所有的数据都从局域网中传递 同时 各 分公司采用技术连接公司总部 该单位为了方便 将相当一部 分业务放在了对外开放的网站上 网站也成为了既是对外形象 窗口又是内部办公窗口 由于网络设计部署上的缺陷 该单位局域网在建成后就不 断出现网络拥堵 网速特别慢的情况 同时有些个别机器上的 杀毒软件频频出现病毒报警 网络经常瘫痪 每次时间都持续 几十分钟 网管简直成了救火队员 忙着清除病毒 重装系统 对外 web 网站同样也遭到黑客攻击 网页遭到非法篡改 有些 网页甚至成了传播不良信息的平台 不仅影响到网站的正常运 行 而且还对政府形象也造成不良影响 安全威胁根据拓扑图 分析 从网络安全威胁看 集团网络的威胁主要包括外部的攻击 和入侵 内部的攻击或误用 企业内的病毒传播 以及安全管 理漏洞等信息安全现状 经过分析发现该公司信息安全基本上 是空白 主要有以下问题 公司没有制定信息安全政策 信息管理不健全 公司在建 内网时与 internet 的连接没有防火墙 内部网络 同一城市的各 分公司 之间没有任何安全保障为了让网络正常运行 根据我国 信息安全等级保护管理办法 的信息安全要求 近期公司决定对该网络加强安全防护 解决目前网络出现的安 全问题 三 安全需求 从安全性和实用性角度考虑 安全需求主要包括以下几个 方面 1 安全管理咨询 安全建设应该遵照 7 分管理 3 分技术的原则 通过本次安 全项目 可以发现集团现有安全问题 并且协助建立起完善的 安全管理和安全组织体系 2 集团骨干网络边界安全 主要考虑骨干网络中 internet 出口处的安全 以及移动用 户 远程拨号访问用户的安全 3 集团骨干网络服务器安全 主要考虑骨干网络中网关服务器和集团内部的服务器 包 括 oa 财务 人事 内部 web 等内部信息系统服务器区和安 全管理服务器区的安全 4 集团内联网统一的病毒防护 主要考虑集团内联网中 包括总公司在内的所有公司的病 毒防护 5 统一的增强口令认证系统 由于系统管理员需要管理大量的主机和网络设备 如何确 保口令安全称为一个重要的问题 6 统一的安全管理平台 通过在集团内联网部署统一的安全管理平台 实现集团总 部对全网安全状况的集中监测 安全策略的统一配置管理 统 计分析各类安全事件 以及处理各种安全突发事件 7 专业安全服务 过专业安全服务建立全面的安全策略 管理组织体系及相 关管理制度 全面评估企业网络中的信息资产及其面临的安全 风险情况 在必要的情况下 进行主机加固和网络加固 通过 专业紧急响应服务保证企业在面临紧急事件情况下的处理能力 降低安全风险 四 方案设计 骨干网边界安全 集团骨干网共有一个 internet 出口 位置在总部 在 internet 出口处部署 linktrust cyberwall 200f 006 防火墙一台 在 internet 出口处部署一台 linktrust network defender 领 信网络入侵检测系统 通过交换机端口镜像的方式 将进出 internet 的流量镜像到入侵检测的监听端口 linktrust network defender 可以实时监控网络中的异常流量 防止 恶意入侵 在各个分公司中添加一个 dmz 区 保证各公司的信息安全 内部网络 同一城市的各分公司 之间没有任何安全保障骨干网服 务器安全 集团骨干网服务器主要指网络中的网关服务器和集团内部 的应用服务器包括 oa 财务 人事 内部 web 等 以及专为 此次项目配置的 用于安全产品管理的服务器的安全 主要考 虑为在服务器区配置千兆防火墙 实现服务器区与办公区的隔 离 并将内部信息系统服务器区和安全管理服务器区在防火墙 上实现逻辑隔离 还考虑到在服务器区配置主机入侵检测系统 在网络中配置百兆网络入侵检测系统 实现主机及网络层面的 主动防护 漏洞扫描 了解自身安全状况 目前面临的安全威胁 存在的安全隐 患 以及定期的了解存在那些安全漏洞 新出现的安全问题等 都要求信息系统自身和用户作好安全评估 安全评估主要分成 网络安全评估 主机安全评估和数据库安全评估三个层面 内联网病毒防护 病毒防范是网络安全的一个基本的 重要部分 通过对病 毒传播 感染的各种方式和途径进行分析 结合集团网络的特 点 在网络安全的病毒防护方面应该采用 多级防范 集中管理 以防为主 防治结合 的动态防毒策略 病毒防护体系主要由桌面网络防毒 服务器防毒和邮件防 毒三个方面 增强的身份认证系统 由于需要管理大量的主机和网络设备 如何确保口令安全 也是一个非常重要的问题 减小口令危险的最为有效的办法是 采用双因素认证方式 双因素认证机制不仅仅需要用户提供一 个类似于口令或者 pin 的单一识别要素 而且需要第二个要素 也即用户拥有的 通常是认证令牌 这种双因素认证方式提供 了比可重用的口令可靠得多的用户认证级别 用户除了知道他 的 pin 号码外 还必须拥有一个认证令牌 而且口令一般是一 次性的 这样每次的口令是动态变化的 大大提高了安全性 统一安全平台的建立 通过建立统一的安全管理平台 安全运行管理中心 soc 建立起集团的安全风险监控体系 利于从全局的角度发现网络 中存在的安全问题 并及时归并相关人员处理 这里的风险监 控体系包括安全信息库 安全事件收集管理系统 安全工单系 统等 同时开发有效的多种手段实时告警系统 定制高效的安 全报表系统 五 网络管理 1 故障管理 故障管理是网络管理中最基本的功能之一 用户都希望有 一个可靠的计算机网络 当网络中某个组成失效时 网络管理器 必须迅速查找到故障并及时排除 通常不大可能迅速隔离某个 故障 因为网络故障的产生原因往往相当复杂 特别是当故障是由 多个网络组成共同引起的 在此情况下 一般先将网络修复 然后 再分析网络故障的原因 分析故障原因对于防止类似故障的再 发生相当重要 网络故障管理包括故障检测 隔离和纠正三方 面 应包括以下典型功能 1 故障监测 主动探测或被动接收网络上的各种事件信息 并识别出其中与网络和系统故障相关的内容 对其中的关键部 分保持跟踪 生成网络故障事件记录 2 故障报警 接收故障监测模块传来的报警信息 根据报 警策略驱动不同的报警程序 以报警窗口 振铃 通知一线网络 管理人员 或电子邮件 通知决策管理人员 发出网络严重故障警 报 3 故障信息管理 依靠对事件记录的分析 定义网络故障 并生成故障卡片 记录排除故障的步骤和与故障相关的值班员 日志 构造排错行动记录 将事件 故障 日志构成逻辑上相互关 联的整体 以反映故障产生 变化 消除的整个过程的各个方 面 4 排错支持工具 向管理人员提供一系列的实时检测工具 对被管设备的状况进行测试并记录下测试结果以供技术人员分 析和排错 根据已有的徘错经验和管理员对故障状态的描述给出 对徘错行动的提示 5 检索 分析故障信息 浏阅并且以关键字检索查询故障管 理系统中所有的数据库记录 定期收集故障记录数据 在此基 础上给出被管网络系统 被管线路设备的可靠性参数 对网络 故障的检测依据对网络组成部件状态的监测 不严重的简单故 障通常被记录在 错误日志中 并不作特别处理 而严重一些的故 障则需要通知网络管理器 即所谓的 警报 一般网络管理器应 根据有关信息对警报进行处理 排除故障 当故障比较复杂时 网 络管理 器应能执行一些诊断测试来辨别故障原因 2 计费管理 计费管理记录网络资源的使用 目的是控制和监测网络操作 的费用和代价 它对一些公共商业网络尤为重要 它可以估算 出用户使用网络资源可能需要的费用和代价 以及已经使用的资 源 网络管理员还可规定用户可使用的最大费用 从而控制用户 过多占用和使用网络 资源 这也从另一方面提高了网络的效率 另外 当用户为了一个通信目的需要使用多个网络中的资源时 计 费管理应可计算总计费用 1 计费数据采集 计费数据采集是整个计费系统的基础 但计费数据采集往往受到采集设备硬件与软件的制约 而且也 与进行计费的网络资源有关 2 数据管理与数据维护 计费管 理人工交互性很强 虽然有很多数据维护系统自动完成 但仍 然需要人为管理 包括交纳费用的输入 联网单位信息维护 以及账单样式决定等 3 计费政策制定 由于计费政策经常灵活变化 因此实现用 户自由制定输入计费政策尤其重要 这样需要一个制定计费政 策的友好人机界面和完善的实现计费政策的数据模型 4 政策比较与决策支持 计费管理应该提供多套计费政策 的数据比较 为政策制订提供决策依据 5 数据分析与费用计算 利用采集的网络资源使用数据 联网用户的详细信息以及计费政策计算网络用户资源的使用情 况 并计算出应交纳的费用 6 数据查询 提供给每个网络用户关于自身使用网络资源 情况的详细信息 网络用户根据这些信息可以计算 核对自己 的收费情况 3 配置管理 配置管理同样相当重要 它初始化网络 并配置网络 以使 其提供网络服务 配置管理 是一组对辨别 定义 控制和监视 组成一个通信网络的对象所必要的相关功能 目的是为了实现某 个特定功能或使网络性能达到最优 1 配置信息的自动获取 在一个大型网络中 需要管理的 设备是比较多的 如果每个设备的配置信息都完全依靠管理人 员的手工输入 工作量是相当大的 而且还存在出错的可能性 对于不熟悉网络结构的人员来说 这项工作甚至无法完成因此 一个先进的网络管理系统应该具有配置信息自动获取功能 即 使在管理人员不是很熟悉网络结构和配置状况的情况下 也能 通过有关的技术手段来完成对网络的配置和管理 在网络设备 的配置信息中 根据获取手段大致可以分为三类 一类是网络 管理协议标准的 mib 中定义的配置信息 包括 snmp 和 cmip 协 议 二类是不在网络管理协议标准中有定义 但是对设备运行比 较重要的配置信息 三类就是用于管理的一些辅助信息 2 自动配置 自动备份及相关技术 配置信息自动获取功 能相当于从网络设备中 读 信息 相应的 在网络管理应用中 还有大量 写 信息的需求 同样根据设置手段对网络配置信息 进行分类 一类是可以通过网络管理协议标准中定义的方法 如 snmp 中的 set 服务 进行设置的配置信息 二类是可以通过自动 登录到设备进行配置的信息 三类就是需要修改的管理性配置信 息 3 配置一致性检查 在一个大型网络中 由于网络设备众 多 而且由于管理的原因 这些设备很可能不是由同一个管理 人员进行配置的 实际上即使是同一个管理员对设备进行的配 置 也会由于各种原因导致配置一致性问题 因此 对整个网 络的配置情况进行一致性检查是必需的 在网络的配置中 对 网络正常运行影响最大的主要是路由器端口配置和路由信息配 置 因此 要进行 致性检查的也主要是这两类信息 4 用户操作记录功能 配置系统的安全性是整个网络管理 系统安全的核心 因此 必须对用户进行的每一配置操作进行 记录 在配置管理中 需要对用户操作进行记录 并保存下来 管理人员可以随时查看特定用户在特定时间内进行的特定配置 操作 4 性能管理 performance management 性能管理估价系统资源的运行状况及通信效率等系统性能 其能力包括监视和分析被管网络及其所提供服务的性能机制 性能分析的结果可能会触发某个诊断测试过程或重新配置网络 以维持网络的性能 性能管理收集分析有关被管网络当前状况 的数据信息 并维持和分析性能日志 一些典型的功能包括 1 性能监控 由用户定义被管对象及其属性 被管对象类 型包括线路和路由器 被管对象属性包括流量 延迟 丢包率 cpu 利用率 温度 内存余量 对于每个被管对象 定时采集 性能数据 自动生成性能报告 2 阈值控制 可对每一个被管对象的每一条属性设置阈值 对于特定被管对象的特定属性 可以针对不同的时间段和性能 指标进行阈值设置 可通过设置阈值检查开关控制阂值检查和 告警 提供相应的阈值管理和溢出告警机制 3 性能分桥 对历史数据进行分析 统计和整理 计算性 能指标 对性能状况作出判断 为网络规划提供参考 4 可视化的性能报告 对数据进行扫描和处理 生成性能 趋势曲线 以直观的图形反映性能分析的结果 5 实时性能监控 提供了一系列实时数据采集 分析和可视 化工具 用以对流量 负载 丢包 温度 内存 延迟等网络 设备和线路的性能指标进行实时检测 可任意设置数据采集间 隔 6 网络对象性能查询 可通过列表或按关键字检索被管网 络对象及其属性的性能记录 5 安全管理 安全性一直是网络的薄弱环节之一 而用户对网络安全的要 求又相当高 因此网络安全管理非常重要 网络中主要有以下几 大安全问题 网络数据的私有性 保护网络数据不被侵 入者非法获取 授权 authentication 防止侵入者在网络上发送错误信息 访问控制 控制访问控制 控制对网络资源的访问 相应的 网络安全管理应包括对授权机制 访问控制 加 密和加密关键字的管理 另外还要维护和检查安全日志 包括 网络管理过程中 存储和传输的管理和控制信息对网络的 运行和管理至关重要 一旦泄密 被篡改和伪造 将给网络造 成灾难性的破坏 网络管理本身的安全由以下机制来保证 1 管理员身份认证 采用基于公开密钥的证书认证机制 为 提高系统效率 对于信任域内 如局域网 的用户 可以使用简单 口令认证 2 管理信息存储和传输的加密与完整性 web 浏览器和网 络管理服务器之间采用安全套接字层 ssl 传输协议 对管理信 息加密传输并保证其完整性 内部存储的机密信息 如登录口令 等 也是经过加密的 3 网络管理用户分组管理与访问控制 网络管理系统的用 户 即管理员 按任务的不同分成若干用户组 不同的用户组中有 不同的权限范围 对用户的操作由访问控制检查 保证用户不 能越权使用网络管理系统 4 系统日志分析 记录用户所有的操作 使系统的操作和 对网络对象的修改有据可查 同时也有助于故障的跟踪与恢复 网络对象的安全管理有以下功能 1 网络资源的访问控制 通过管理路由器的访问控制链表 完成防火墙的管理功能 即从网络层 1p 和传输层 tcp 控制对 网络资源的访问 保护网络内部的设备和应用服务 防止外来 的攻击 2 告警事件分析 接收网络对象所发出的告警事件 分析 员安全相关的信息 如路由器登录信息 snmp 认证失败信息 实时地向管理员告警 并提供历史安全事件的检索与分析机制 及时地发现正在进行的攻击或可疑的攻击迹象 3 主机系统的安全漏洞检测 实时的监测主机系统的重要 服务 如 www dns 等 的状态 提供安全监测工具 以搜索系 统可能存在的安全漏洞或安全隐患 并给出弥补的措施 保护信息安全的方案篇三保护信息安全的方案篇三 网络信息系统的安全技术体系通常是在安全策略指导下合 理配置和部署 网络隔离与访问控制 入侵检测与响应 漏洞 扫描 防病毒 数据加密 身份认证 安全监控与审计等技术 设备 并且在各个设备或系统之间 能够实现系统功能互补和 协调动作 网络系统安全具备的功能及配置原则 1 网络隔离与访问控制 通过对特定网段 服务进行物理 和逻辑隔离 并建立访问控制机制 将绝大多数攻击阻止在网 络和服务的边界以外 2 漏洞发现与堵塞 通过对网络和运行系统安全漏洞的周 期检查 发现可能被攻击所利用的漏洞 并利用补丁或从管理 上堵塞漏洞 3 入侵检测与响应 通过对特定网络 段 服务建立的入侵 检测与响应体系 实时检测出攻击倾向和行为 并采取相应的 行动 如断开网络连接和服务 记录攻击过程 加强审计等 4 加密保护 主动的加密通信 可使攻击者不能了解 修 改敏感信息 如方式 或数据加密通信方式 对保密或敏感数据进 行加密存储 可防止窃取或丢失 5 备份和恢复 良好的备份和恢复机制 可在攻击造成损 失时 尽快地恢复数据和系统服务 6 监控与审计 在办公网络和主要业务网络内配置集中管 理 分布式控制的监控与审计系统 一方面以计算机终端为单 元强化桌面计算的内外安全控制与日志记录 另一方面通过集中 管理方式对内部所有计算机终端的安全态势予以掌控 边界安全解决方案 在利用公共网络与外部进行连接的 内 外网络边界处使用 防火墙 为 内部 网络 段 与 外部 网络 段 划定安全边界 在 网络内部进行各种连接的地方使用带防火墙功能的设备 在进 行 内 外网络 段 的隔离的同时建立网络 段 之间的安全通道 1 防火墙应具备如下功能 使用 nat 把 dmz 区的服务器和内部端口影射到 firewall 的 对外端口 允许 internet 公网用户访问到 dmz 区的应用服务 http ftp smtp dns 等 允许 dmz 区内的工作站与应用服务器访问 internet 公网 允许内部用户访问 dmz 的应用服务 http ftp smtp dns pop3 https 允许内部网用户通过代理访问 internet 公网 禁止 internet 公网用户进入内部网络和非法访问 dmz 区应 用服务器 禁止 dmz 区的公开服务器访问内部网络 防止来自 internet 的 dos 一类的攻击 能接受入侵检测的联动要求 可实现对实时入侵的策略响 应 对所保护的主机的常用应用通信协议 http ftp telnet smtp 能够替换服务器的 banner 信息 防止 恶意用户信息刺探 提供日志报表的自动生成功能 便于事件的分析 提供实时的网络状态监控功能 能够实时的查看网络通信 行为的连接状态 当前有那些连接 正在连接的 ip 正在关闭的 连接等信息 通信数据流量 提供连接查询和动态图表显示 防火墙自身必须是有防黑客攻击的保护能力 2 带防火墙功能的设备是在防火墙基本功能 隔离和访问控 制 基础上 通过功能扩展 同时具有在 ip 层构建端到端的具有 加密选项功能的 esp 隧道能力 这类设备也有 s 的 主要用于 通过外部网络 公共通信基础网络 将两个或两个以上 内部 局域 网安全地连接起来 一般要求 s 应具有一下功能 防火墙基本功能 主要包括 ip 包过虑 应用代理 提供 dmz 端口和 nat 功能等 有些功能描述与上相同 具有对连接两端的实体鉴别认证能力 支持移动用户远程的安全接入 支持 ipesp 隧道内传输数据的完整性和机密性保护 提供系统内密钥管理功能 s 设备自身具有防黑客攻击以及网上设备认证的能力 入侵检测与响应方案 在网络边界配置入侵检测设备 不仅是对防火墙功能的必 要补充 而且可与防火墙一起构建网络边界的防御体系 通过 入侵检测设备对网络行为和流量的特征分析 可以检测出侵害 内部 网络或对外泄漏的网络行为和流量 与防火墙形成某种 协调关系的互动 从而在 内部 网与外部网的边界处形成保护 体系 入侵检测系统的基本功能如下 通过检测引擎对各种应用协议 操作系统 网络交换的数 据进行分析 检测出网络入侵事件和可疑操作行为 对自身的数据库进行自动维护 无需人工干预 并且不对 网络的正常运行造成任何干扰 采取多种报警方式实时报警 音响报警 信息记录到数据 库 提供电子邮件报警 syslog 报警 snmptrap 报警 windows 日志报警 windows 消息报警信息 并按照预设策略 根据提供的报警信息切断攻击连接 与防火墙建立协调联动 运行自定义的多种响应方式 及 时阻隔或消除异常行为 全面查看网络中发生的所有应用和连接 完整的显示当前 网络连接状态 可对网络中的攻击事件 访问记录进行适时查询 并可根 据查询结果输出图文报表 能让管理人员方便的提取信息 入侵检测系统犹如摄像头 监视器 在可疑行为发生前有 预警 在攻击行为发生时有报警 在攻击事件发生后能记录 做到事前 事中 事后有据可查 漏洞扫描方案 除利用入侵检测设备检测对网络的入侵和异常流量外 还 需要针对主机系统的漏洞采取检查和发现措施 目前常用的方 法是配置漏洞扫描设备 主机漏洞扫描可以主动发现主机系统 中存在的系统缺陷和可能的安全漏洞 并提醒系统管理员对该 缺陷和漏洞进行修补或堵塞 对于漏洞扫描的结果 一般可以按扫描提示信息和建议 属外购标准产品问题的 应及时升级换代或安装补丁程序 属委 托开发的产品问题的 应与开发商协议修改程序或安装补丁程 序 属于系统配置出现的问题 应建议系统管理员修改配置参数 或视情况关闭或卸载引发安全漏洞的程序模块或功能模块 漏洞扫描功能是协助安全管理 掌握网络安全态势的必要 辅助 对使用这一工具的安全管理员或系统管理员有较高的技 术素质要求 考虑到漏洞扫描能检测出防火墙策略配置中的问题 能与 入侵检测形成很好的互补关系 漏洞扫描与评估系统使系统管 理员在事前掌握主动地位 在攻击事件发生前找出并关闭安全 漏洞 而入侵检测系统则对系统进行监测以期在系统被破坏之前 阻止攻击得逞 因此 漏洞扫描与入侵检测在安全保护方面不 但有共同的安全目标 而且关系密切 本方案建议采购将入侵 检测 管理控制中心与漏洞扫描一体化集成的产品 不但可以 简化管理 而且便于漏洞扫描 入侵检测和防火墙之间的协调 动作 网络防病毒方案 网络防病毒产品较为成熟 且有几种主流产品 本方案建 议 网络防病毒系统应具备下列功能 网络单机防护 提供个人或家庭用户病毒防护 文件及存储服务器防护 提供服务器病毒防护 邮件服务器防护 提供 lotusnotes microsoftexchange 等病 毒防护 网关防护 在 smtp http 和 ftpservergateway 阻挡计算机 病毒 集中管理 为企业网络的防毒策略 提供了强大的集中控 管能力 关于安全设备之间的功能互补与协调运行 各种网络安全设备 防火墙 入侵检测 漏洞扫描 防病毒 产品等 都有自己独特的安全探测与安全保护能力 但又有基 于自身主要功能的扩展能力和与其它安全功能的对接能力或延 续能力 因此 在安全设备选型和配置时 尽可能考虑到相关 安全设备的功能互补与协调运行 对于提高网络平台的整体安 全性具有重要意义 防火墙是目前广泛用于隔离网络 段 边界