大型企业网络安全整体解决方案.doc

XXXXXX 责任有限公司责任有限公司 网络安全整体解决方案网络安全整体解决方案 提供您高质量的系统集成类方案与资料 系统集成方案大全 目目 录录 第一部分第一部分 网络安全概述网络安全概述 第一章网络安全体系的基本认识 第二章网络安全技术概述 一 虚拟网技术 二 防火墙枝术 三 病毒防护技术 四 入侵检测技术 五 安全扫描技术 六 认证和数宇签名技术 七 VPN 技术 八 应用系统的安全技术 第二部分第二部分 XXXXXX 责任有限公司安全方案责任有限公司安全方案 第一章网络安全需求分析 一 当前网络状况 二 安全需求分析 第二章安全解决方案分析 一 网络配置结构图 二 公司总部安全配置 三 营业网点安全设置 四 产品配置说明 第三章防火墙解决方案 CHECKPOINT FIREWALL 1 一 防火墙部署示意图 二 防火墙安全策略配置和管理 三 Checkpoit 防火墙简介 第四章防病毒解决方案 TRENDMICRO ANTIVIRUS TOTAL SOLUTION 1 防病毒中央管理控制系统 2 服务器防毒系统设计 3 客户机防毒系统设计 第五章NFR 入侵监测 一 NFR 入侵监测的配置 二 NFR 入侵监测产品简介 第六章身份认证安全方案 一 Spa 产品配置图 二 Spa 产品简介 第七章内部网络安全管理制度和技术实现 第三部分第三部分 安全服务及相关培训安全服务及相关培训 第一章 产品和安全培训 一 产品安装培训 提供您高质量的系统集成类方案与资料 系统集成方案大全 二 网络信息安全培训 三 网络安全产品的认证培训 第二章 大连 XX 网络安全服务 总结总结 提供您高质量的系统集成类方案与资料 系统集成方案大全 第一部分第一部分 网络安全概述网络安全概述 第一章第一章 网络安全体系的基本认识网络安全体系的基本认识 自信息系统开始运行以来就存在信息系统安全问题 通过网络远程访问而构 成的安全威胁成为日益受到严重关注的问题 根据美国 FBI 的调查 美国每年 因为网络安全造成的经济损失超过 1 5 万亿美元 一 安全威胁 一 安全威胁 由于企业网络内运行的主要是多种网络协议 而这些网络协议并非专为 安全通讯而设计 所以 企业网络可能存在的安全威胁来自以下方面 1 操作系统的安全性 目前流行的许多操作系统均存在网络安全漏 洞 如 UNIX 服务器 NT 服务器及 Windows 桌面 PC 2 防火墙的安全性 防火墙产品自身是否安全 是否设置错误 需 要经过检验 3 来自内部网用户的安全威胁 4 缺乏有效的手段监视 评估网络系统的安全性 5 采用的 TCP IP 协议族软件 本身缺乏安全性 6 未能对来自 Internet 的电子邮件夹带的病毒及 Web 浏览可能存在 的 Java ActiveX 控件进行有效控制 7 应用服务的安全 许多应用服务系统在访问控制及安全通讯方面 考虑较少 并且 如果系统设置错误 很容易造成损失 二 网络安全的需求 二 网络安全的需求 1 1 企业网络的基本安全需求 企业网络的基本安全需求 满足基本的安全要求 是该网络成功运行的必要条件 在此基础上提 供强有力的安全保障 是建设企业网络系统安全的重要原则 企业网络内部部署了众多的网络设备 服务器 保护这些设备的正常 提供您高质量的系统集成类方案与资料 系统集成方案大全 运行 维护主要业务系统的安全 是企业网络的基本安全需求 对于各科各样的网络攻击 如何在提供灵活且高效的网络通讯及信息 服务的同时 抵御和发现网络攻击 并且提供跟踪攻击的手段 是本项目需要 解决的问题 2 2 业务系统的安全需求 业务系统的安全需求 与普通网络应用不同的是 业务系统是企业应用的核心 对于业务系统应 该具有最高的网络安全措施 企业网络应保障 企业网络应保障 访问控制 确保业务系统不被非法访问 数据安全 保证数据库软硬件系统的整体安全性和可靠性 入侵检测 对于试图破坏业务系统的恶意行为能够及时发现 记录和 跟踪 提供非法攻击的犯罪证据 来自网络内部其他系统的破坏 或误操作造成的安全隐患 3 3 InternetInternet 服务网络的安全需求服务网络的安全需求 Internet 服务网络分为两个部分 提供网络用户对 Internet 的访问 提 供 Internet 对网内服务的访问 网络内客户对 Internet 的访问 有可能带来某些类型的网络安全 如通过 电子邮件 FTP 引入病毒 危险的 Java 或 ActiveX 应用等 因此 需要在网络 内对上述情况提供集成的网络病毒检测 消除等操作 网络安全需求是保护网络不受破坏 确保网络服务的可用性 作为信息网 络之间的互联的边界安全应作为主要安全需求 需要保证信息网络之间安全互联 能够实现网络安全隔离 对于专有应用的安全服务 必要的信息交互的可信任性 能够提供对于主流网络应用 如 WWW Mail Ftp Oicq 和 NetMeeting 等 良好支持 并能够实现安全应用 同时信息网络公共资源能够对开放用户提供安全访问 能够防范包括 提供您高质量的系统集成类方案与资料 系统集成方案大全 利用 Http 应用 通过 Java Applet ActiveX 以及 Java Script 形 式 利用 Ftp 应用 通过文件传输形式 利用 SMTP 应用 通过对邮件分析及利用附件所造成的信息泄漏和有 害信息对于信息网络的侵害 对网络安全事件的审计 对于网络安全状态的量化评估 对网络安全状态的实时监控 其次 对于信息网络内部同样存在安全需求 包括 信息网络中的各单位网络之间建立连接控制手段 能够满足信息网络内的授权用户对相关专用网络资源访问 同时对于远程访问用户增强安全管理 加强对于整个信息网络资源和人员的安全管理与培训 三 三 网络安全与网络性能和功能的关系网络安全与网络性能和功能的关系 通常 系统安全与性能和功能是一对矛盾的关系 如果某个系统不向外界 提供任何服务 断开 外界是不可能构成安全威胁的 但是 企业接入国际互 连网络 提供网上商店和电子商务等服务 等于将一个内部封闭的网络建成了 一个开放的网络环境 各种安全包括系统级的安全问题也随之产生 构建网络安全系统 一方面由于要进行认证 加密 监听 分析 记录等 工作 由此影响网络效率 并且降低客户应用的灵活性 另一方面也增加了管 理费用 但是 来自网络的安全威胁是实际存在的 特别是在网络上运行关键业务 时 网络安全是首先要解决的问题 选择适当的技术和产品 制订灵活的网络安全策略 在保证网络安全的情 况下 提供灵活的网络服务通道 采用适当的安全体系设计和管理计划 能够有效降低网络安全对网络性能 的影响并降低管理费用 全方位的安全体系 全方位的安全体系 提供您高质量的系统集成类方案与资料 系统集成方案大全 与其它安全体系 如保安系统 类似 企业应用系统的安全休系应包含 访问控制 访问控制 通过对特定网段 服务建立的访问控制体系 将绝大多数攻击 阻止在到达攻击目标之前 检查安全漏洞 检查安全漏洞 通过对安全漏洞的周期检查 即使攻击可到达攻击目标 也可使绝大多数攻击无效 攻击监控 攻击监控 通过对特定网段 服务建立的攻击监控体系 可实时检测出绝 大多数攻击 并采取相应的行动 如断开网络连接 记录攻击过程 跟踪攻击 源等 加密通讯加密通讯 主动的加密通讯 可使攻击者不能了解 修改敏感信息 认证 认证 良好的认证体系可防止攻击者假冒合法用户 备份和恢复 备份和恢复 良好的备份和恢复机制 可在攻击造成损失时 尽快地恢复 数据和系统服务 多层防御多层防御 攻击者在突破第一道防线后 延缓或阻断其到达攻击目标 隐藏内部信息隐藏内部信息 使攻击者不能了解系统内的基本情况 设立安全监控中心设立安全监控中心 为信息系统提供安全体系管理 监控 渠护及紧急情 况服务 四 网络安全的管理因素 四 网络安全的管理因素 网络安全可以采用多种技术来增强和执行 但是 很多安全威胁来源于管 理上的松懈及对安全威胁的认识 安全威胁主要利用以下途径 系统实现存在的漏洞 系统安全体系的缺陷 使用人员的安全意识薄弱 管理制度的薄弱 良好的网络管理有助于增强系统的安全性 及时发现系统安全的漏洞 审查系统安全体系 加强对使用人员的安全知识教育 提供您高质量的系统集成类方案与资料 系统集成方案大全 建立完善的系统管理制度 如前所述 能否制定一个统一的安全策略 在全网范围内实现统一的安全 管理 对于信息网来说就至关重要了 安全管理主要包括两个方面 内部安全管理 主要是建立内部安全管理制度 如机房管理制度 设备管 理制度 安全系统管理制度 病毒防范制度 操作安全管理制度 安全事 件应急制度等 并采取切实有效的措施保证制度的执行 内部安全管理主 要采取行政手段和技术手段相结合的方法 网络安全管理 在网络层设置路由器 防火墙 安全检测系统后 必须保 证路由器和防火墙的 ACL 设置正确 其配置不允许被随便修改 网络层的 安全管理可以通过防火墙 安全检测 网络病毒防治以及网管等一些网络 层的管理工具来实现 提供您高质量的系统集成类方案与资料 系统集成方案大全 第二章第二章 网络安全技术概述网络安全技术概述 基于以上的分析 企业网络系统涉及到各方面的网络安全问题 我们认为 整个企业的安全体系必须集成多种安全技术实现 如虚拟网技术 防火墙技术 入侵监控技术 安全漏洞扫描技术 病毒防护技术 加密技术 认证和数字签 名技术等 下面就以上技术加以详细阐述 一一 虚拟网技术虚拟网技术 虚拟网技术主要基于近年发展的局域网交换技术 ATM 和以太网交换 交 换技术将传统的基于广播的局域网技术发展为面向连接的技术 因此 网管系 统有能力限制局域网通讯的范围而无需通过开销很大的路由器 由以上运行机制带来的网络安全的好处是显而易见的 信息只到达应该到 达的地点 因此 防止了大部分基于网络监听的入侵手段 通过虚拟网设置的 访问控制 使在虚拟网外的网络节点不能直接访问虚拟网内节点 但是 虚拟 网技术也带来了新的安全问题 执行虚拟网交换的设备越来越复杂 从而成为被攻击的对象 基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置 基于 MAC 的 VLAN 不能防止 MAC 欺骗攻击 以太网从本质上基于广播机制 但应用了交换器和 VLAN 技术后 实际上转 变为点到点通讯 除非设置了监听口 信息交换也不会存在监听和插入 改变 问题 但是 采用基于 MAC 的 VLAN 划分将面临假冒 MAC 地址的攻击 因此 VLAN 的划分最好基于交换机端口 但这要求整个网络桌面使用交换端口或每个交换 端口所在的网段机器均属于相同的 VLAN 网络层通讯可以跨越路由器 因此攻击可以从远方发起 IP 协议族各厂家 提供您高质量的系统集成类方案与资料 系统集成方案大全 实现的不完善 因此 在网络层发现的安全漏洞相对更多 如 IP sweep teardrop sync flood IP spoofing 攻击等 二二 防火墙枝术防火墙枝术 防火墙是近年发展起来的重要安全技术 其主要作用是在网络入口点检查 网络通讯 根据客户设定的安全规则 在保护内部网络安全的前提下 提供内 外网络通讯 1 1 使用 使用 FirewallFirewall 的益处的益处 保护脆弱的服务保护脆弱的服务 通过过滤不安全的服务 Firewall 可以极大地提高网络安全和减少子网中 主机的风险 例如 Firewall 可以禁止 NIS NFS 服务通过 Firewall 同时可以拒绝源路由 和 ICMP 重定向封包 控制对系统的访问控制对系统的访问 Firewall 可以提供对系统的访问控制 如允许从外部访问某些主机 同时 禁止访问另外的主机 例如 Firewall 允许外部访问特定的 Mail Server 和 Web Server 集中的安全管理集中的安全管理 Firewall 对企业内部网实现集中的安全管理 在 Firewall 定义的安全规 则可以运用于整个内部网络系统 而无须在内部网每台机器上分别设立安全策 略 如在 Firewall 可以定义不同的认证方法 而不需在每台机器上分别安装特 定的认证软件 外部用户也只需要经过 次认证即可访问内部网 增强的保密性增强的保密性 使用 Firewall 可以阻止攻击者获取攻击网络系统的有用信息 如 Finger 和 DNS 记录和统计网络利用数据以及非法使用数据 Firewall 可以记录和统计通过 Firewall 的网络通讯 提供关于网络使用 提供您高质量的系统集成类方案与资料 系统集成方案大全 的统计数据 并且 Firewall 可以提供统计数据 来判断可能的攻击和探测 策略执行 Firewall 提供了制定和执行网络安全策略的手段 未设置 Firewall 时 网络安全取决于每台主机的用户 2 2 设置设置 FirewallFirewall 的要素的要素 网络策略网络策略 影响 Firewall 系统设计 安装和使用的网络策略可分为两级 高级的网络 策略定义允许和禁止的服务以及如何使用服务 低级的网络策略描述 Firewall 如何限制和过滤在高级策略中定义的服务 服务访问策略 服务访问策略集中在 Internet 访问服务以及外部网络访问 如拨入策略 SLIP PPP 连接等 服务访问策略必须是可行的和合理的 可行的策略必须在阻止己知的网络 风险和提供用户服务之间获得平衡 典型的服务访问策略是 允许通过增强认 证的用户在必要的情况下从 Internet 访问某些内部主机和服务 允许内部用户 访问指定的 Internet 主机和服务 FirewallFirewall 设计策略设计策略 Firewall 设计策略基于特定的 firewall 定义完成服务访问策略的规则 通常有两种基本的设计策略 允许任何服务除非被明确禁止 允许任何服务除非被明确禁止 禁止任何服务除非被明确允许 禁止任何服务除非被明确允许 通常采用第二种类型的设计策略 3 3 FirewallFirewall 的基本分类的基本分类 包过滤包过滤 IP 包过滤 源 IP 地址 目的 IP 地址 TCP UDP 源端口 提供您高质量的系统集成类方案与资料 系统集成方案大全 TCP UDP 目的端口 包过滤路由器存在许多弱点 包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性 手工测 试除外 一些包过滤路由器不提供任何日志能力 直到闯入发生后 危险的封包才可能检测出来 实际运行中 经常会发生规则例外 即要求允许通常情况下禁止的访问 通过 但是 规则例外使包过滤规则过于复杂而难以管理 例如 定义 规则 禁止所有到达 Inbound 的端口 23 连接 telnet 如果某些系统 需要直接 Telnet 连接 此时必须为内部网的每个系统分别定义一条规 则 某些包过滤路由器不支持 TCP UDP 源端口过滤 可能使过滤规则集更加 复杂 并在过滤模式中打开了安全漏洞 如 SMTP 连接源端口是随机产 生的 1023 此时如果允许双向的 SMTP 连接 在不支持源端口过滤的 路由器上必须定义一条规则 允许所有 1023 端口的双向连接 此时用 户通过重新映射端口 可以绕过过滤路由器 对许多 RPC Remoute Procedure Call 服务进行包过滤非常困难 由于 RPC 的 Listen 口是在主机启动后随机地分配的 要禁止 RPC 服务 通 常需要禁止所有的 UDP 绝大多数 RPC 使用 UDP 如此可能需要允许的 DNS 连接就会被禁止 应用网关应用网关 为了解决包过滤路由器的弱点 Firewall 要求使用软件应用来过滤和传送 服务连接 如 Telnet 和 Ftp 这样的应用称为代理服务 运行代理服务的主 机被称为应用网关 应用网关和包过滤器混合使用能提供比单独使用应用网关 和包过滤器更高的安全性和更大的灵活性 应用网关的优点是 应用网关的优点是 比包过滤路由器更高的安全件 提供对协议的过滤 如可以禁止 FTP 连接的 Put 命令 信息隐藏 应用网关为外部连接提供代理 提供您高质量的系统集成类方案与资料 系统集成方案大全 健壮的认证和日志 节省费用 第三方的认证设备 软件或硬件 只需安装在应用网关上 简化和灵活的过滤规则 路由器只需简单地通过到达应用网关的包并拒 绝其余的包通过 应用网关的缺点在于 应用网关的缺点在于 新的服务需要安装新的代理服务器 有时需要对客户软件进行修改 可能会降低网络性能 应用网关可能被攻击 线路级网关线路级网关 线路级网关提供内部网和外部网连接的中继 但不提供额外的处理和过滤 能力 StatefulStateful 防火墙防火墙 该类防火墙综合了包过滤防火墙及应用网关的特性 能够提供比应用网关 更多的连接特性 但是安全性比较应用网关差 4 4 建设建设 FirewallFirewall 的原则的原则 分析安全和服务需求分析安全和服务需求 以下问题有助于分析安全和服务需求 计划使用哪些 Internet 服务 如 http ftp gopher 从何处使用 Internet 服务 本地网 拨号 远程办公室 增加的需要 如加密或拔号接入支持 提供以上服务和访问的风险 提供网络安全控制的同时 对系统应用服务牺牲的代价 策略的灵活性策略的灵活性 Internet 相关的网络安全策略总的来说 应该保持一定的灵活性 主要有 以下原因 Internet 自身发展非常快 机构可能需要不断使用 Internet 提供的新 服务开展业务 新的协议和服务大量涌现带来新的安全问题 安全策略 提供您高质量的系统集成类方案与资料 系统集成方案大全 必须能反应和处理这些问题 机构面临的风险并非是静态的 机构职能转变 网络设置改变都有可能 改变风险 远程用户认证策略 远程用户不能通过放置于 Firewall 后的未经认证的 Modem 访问系统 PPP SLIP 连接必须通过 Firewall 认证 对远程用户进行认证方法培训 拨入 拨出策略 拨入 拨出能力必须在设计 Firewall 时进行考虑和集成 外部拨入用户必须通过 Firewall 的认证 Information Server 策略 公共信息服务器的安全必须集成到 Firewall 中 必须对公共信息服务器进行严格的安全控制 否则将成为系统安全的缺 口 为 Information server 定义折中的安全策略允许提供公共服务 对公共信息服务和商业信息 如 email 讲行安全策略区分 Firewall 系统的基本特征 Firewall 必须支持 禁止任何服务除非被明确允许 的设计策略 Firewall 必须支持实际的安全政策 而非改变安全策略适应 Firewall Firewall 必须是灵活的 以适应新的服务和机构智能改变带来的安全 策略的改变 Firewall 必须支持增强的认证机制 Firewall 应该使用过滤技术以允许或拒绝对特定主机的访问 IP 过滤描述语言应该灵活 界面友好 并支持源 IP 和目的 IP 协议类 型 源和目的 TCP UDP 口 以及到达和离开界面 Firewall 应该为 FTP TELNET 提供代理服务 以提供增强和集中的认 证管理机制 如果提供其它的服务 如 NNTP http 等 也必须通过代理 提供您高质量的系统集成类方案与资料 系统集成方案大全 服务器 Firewall 应该支持集中的 SMTP 处理 减少内部网和远程系统的直接连 接 Firewall 应该支持对公共 Information server 的访问 支持对公共 Information server 的保护 并且将 Information server 同内部网隔 离 Firewall 可支持对拨号接入的集中管理和过滤 Firewall 应支持对交通 可疑活动的日志记录 如果 Firewall 需要通用的操作系统 必须保证使用的操作系统安装了 所有己知的安全漏洞 Patch Firewall 的设计应该是可理解和管理的 Firewall 依赖的操作系统应及时地升级以弥补安全漏洞 5 5 选择防火墙的要点 选择防火墙的要点 1 安全性 即是否通过了严格的入侵测试 2 抗攻击能力 对典型攻击的防御能力 3 性能 是否能够提供足够的网络吞吐能力 4 自我完备能力 自身的安全性 Fail close 5 可管理能力 是否支持 SNMP 网管 6 VPN 支持 7 认证和加密特性 8 服务的类型和原理 9 网络地址转换能力 三三 病毒防护技术病毒防护技术 病毒历来是信息系统安全的主要问题之一 由于网络的广泛互联 病毒的 传播途径和速度大大加快 我们将病毒的途径分为 提供您高质量的系统集成类方案与资料 系统集成方案大全 1 通过 FTP 电子邮件传播 2 通过软盘 光盘 磁带传播 3 通过 Web 游览传播 主要是恶意的 Java 控件网站 4 通过群件系统传播 病毒防护的主要技术如下 1 阻止病毒的传播 在防火墙 代理服务器 SMTP 服务器 网络服务器 群件服务器上安装病 毒过滤软件 在桌面 PC 安装病毒监控软件 2 检查和清除病毒 使用防病毒软件检查和清除病毒 3 病毒数据库的升级 病毒数据库应不断更新 并下发到桌面系统 4 在防火墙 代理服务器及 PC 上安装 Java 及 ActiveX 控制扫描软件 禁止未经许可的控件下载和安装 四四 入侵检测技术入侵检测技术 利用防火墙技术 经过仔细的配置 通常能够在内外网之间提供安全的网 络保护 降低了网络安全风险 但是 仅仅使用防火墙 网络安全还远远不够 1 入侵者可寻找防火墙背后可能敞开的后门 2 入侵者可能就在防火墙内 3 由于性能的限制 防火焰通常不能提供实时的入侵检测能力 入侵检测系统是近年出现的新型网络安全技术 目的是提供实时的入侵检 测及采取相应的防护手段 如记录证据用于跟踪和恢复 断开网络连接等 实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击 其次 它能够缩短 hacker 入侵的时间 入侵检测系统可分为两类 提供您高质量的系统集成类方案与资料 系统集成方案大全 基于主机 基于网络 基于主机的入侵检测系统用于保护关键应用的服务器 实时监视可疑的连 接 系统日志检查 非法访问的闯入等 并且提供对典型应用的监视如 Web 服 务器应用 基于网络的入侵检测系统用于实时监控网络关键路径的信息 其基本模型 如下图示 图图 2 12 1 入侵检测系统的基本模型入侵检测系统的基本模型 上述模型由四个部分组成 上述模型由四个部分组成 1 Passive protocol Analyzer 网络数据包的协议分析器 将结果送给 模式匹配部分并根据需要保存 2 Pattern Matching Signature Analysis 根据协议分析器的结果匹配 Ethernet i e store contents of connection disk i e close connection Countermeasu re C Box i e detection of phf string in session Pattern Matching Signature Analysis Storage D Box i e TCP Stream reconstruction Passive Protocol Analysis 提供您高质量的系统集成类方案与资料 系统集成方案大全 入侵特征 结果传送给 Countermeasure 部分 3 countermeasure 执行规定的动作 4 Storage 保存分析结果及相关数据 基于主机的安全监控系统具备如下特点 基于主机的安全监控系统具备如下特点 1 精确 可以精确地判断入侵事件 2 高级 可以判断应用层的入侵事件 3 对入侵时间立即进行反应 4 针对不同操作系统特点 5 占用主机宝贵资源 基于网络的安全监控系统具备如下特点 基于网络的安全监控系统具备如下特点 1 能够监视经过本网段的任何活动 2 实时网络监视 3 监视粒度更细致 4 精确度较差 5 防入侵欺骗的能力较差 6 交换网络环境难于配置 基于主机及网络的入侵监控系统通常均可配置为分布式模式 基于主机及网络的入侵监控系统通常均可配置为分布式模式 1 在需要监视的服务器上安装监视模块 agent 分别向管理服务器报告 及上传证据 提供跨平台的入侵监视解决方案 2 在需要监视的网络路径上 放置监视模块 sensor 分别向管理服务器 报告及上传证据 提供跨网络的入侵监视解决方案 选择入侵监视系统的要点是 选择入侵监视系统的要点是 1 协议分析及检测能力 2 解码效率 速度 3 自身安全的完备性 4 精确度及完整度 防欺骗能力 5 模式更新速度 提供您高质量的系统集成类方案与资料 系统集成方案大全 五五 安全扫描技术安全扫描技术 网络安全技术中 另一类重要技术为安全扫描技术 安全扫描技术与防火 墙 安全监控系统互相配合能够提供很高安全性的网络 安全扫描工具源于 Hacker 在入侵网络系统时采用的工具 商品化的安全扫 描工具为网络安全漏洞的发现提供了强大的支持 安全扫描工具通常也分为基于服务器和基于网络的扫描器 基于服务器的扫描器主要扫描服务器相关的安全漏洞 如 password 文件 目录和文件权限 共享文件系统 敏感服务 软件 系统漏洞等 并给出相应 的解决办法建议 通常与相应的服务器操作系统紧密相关 基于网络的安全扫描主要扫描设定网络内的服务器 路由器 网桥 变换 机 访问服务器 防火墙等设备的安全漏洞 并可设定模拟攻击 以测试系统 的防御能力 通常该类扫描器限制使用范围 IP 地址或路由器跳数 网络安全 扫描的主要性能应该考虑以下方面 1 速度 在网络内进行安全扫描非常耗时 2 网络拓扑 通过 GUI 的图形界面 可迭择一步或某些区域的设备 3 能够发现的漏洞数量 4 是否支持可定制的攻击方法 通常提供强大的工具构造特定的攻击方 法 因为网络内服务器及其它设备对相同协议的实现存在差别 所以预 制的扫描方法肯定不能满足客户的需求 5 报告 扫描器应该能够给出清楚的安全漏洞报告 6 更新周期 提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特 性升级 并给出相应的改进建议 安全扫描器不能实时监视网络上的入侵 但是能够测试和评价系统的安全 性 并及时发现安全漏洞 六六 认证和数宇签名技术认证和数宇签名技术 认证技术主要解决网络通讯过程中通讯双方的身份认可 数字签名作为身 提供您高质量的系统集成类方案与资料 系统集成方案大全 份认证技术中的一种具体技术 同时数字签名还可用于通信过程中的不可抵赖 要求的实现 认证技术将应用到企业网络中的以下方面 认证技术将应用到企业网络中的以下方面 1 路由器认证 路由器和交换机之间的认证 2 操作系统认证 操作系统对用户的认证 3 网管系统对网管设备之间的认证 4 VPN 网关设备之间的认证 5 拨号访问服务器与客户间的认证 6 应用服务器 如 Web Server 与客户的认证 7 电子邮件通讯双方的认证 数字签名技术主要用于 数字签名技术主要用于 1 基于 PKI 认证体系的认证过程 2 基于 PKI 的电子邮件及交易 通过 Web 进行的交易 的不可抵赖记录 认证过程通常涉及到加密和密钥交换 通常 加密可使用对称加密 不对 称加密及两种加密方法的混合 UserName PasswordUserName Password 认证认证 该种认证方式是最常用的一种认证方式 用于操作系统登录 telnet rlogin 等 但由于此种认证方式过程不加密 即 password 容易被监 听和解密 使用摘要算法的认证使用摘要算法的认证 Radius 拨号认证协议 路由协议 OSPF SNMP Security Protocol 等均 使用共享的 Security Key 加上摘要算法 MD5 进行认证 由于摘要算法是一 个不可逆的过程 因此 在认证过程中 由摘要信息不能计算出共享的 security key 敏感信息不在网络上传输 市场上主要采用的摘要算法有 MD5 和 SHA 1 基于基于 PKIPKI 的认证的认证 使用公开密钥体系进行认证和加密 该种方法安全程度较高 综合采用了 摘要算法 不对称加密 对称加密 数字签名等技术 很好地将安全性和高效 提供您高质量的系统集成类方案与资料 系统集成方案大全 率结合起来 后面描述了基于 PKI 认证的基本原理 这种认证方法目前应用在 电子邮件 应用服务器访问 客户认证 防火墙验证等领域 该种认证方法安全程度很高 但是涉及到比较繁重的证书管理任务 七七 VPNVPN 技术技术 1 1 企业对企业对 VPNVPN 技术的需求技术的需求 企业总部和各分支机构之间采用 internet 网络进行连接 由于 internet 是公用网络 因此 必须保证其安全性 我们将利用公共网络实现的私用网络 称为虚拟私用网 VPN 因为 VPN 利用了公共网络 所以其最大的弱点在于缺乏足够的安全性 企 业网络接入到 internet 暴露出两个主要危险 来自 internet 的未经授权的对企业内部网的存取 当企业通过 INTERNET 进行通讯时 信息可能受到窃听和非法修改 完整的集成化的企业范围的 VPN 安全解决方案 提供在 INTERNET 上安全的 双向通讯 以及透明的加密方案以保证数据的完整性和保密性 企业网络的全面安全要求保证 保密 通讯过程不被窃听 通讯主体真实性确认 网络上的计算机不被假冒 2 2 数字签名 数字签名 数字签名作为验证发送者身份和消息完整性的根据 公共密钥系统 如 RSA 基 于私有 公共密钥对 作为验证发送者身份和消息完整性的根据 CA 使用私有 密钥计算其数字签名 利用 CA 提供的公共密钥 任何人均可验证签名的真实性 伪造数字签名从计算能力上是不可行的 并且 如果消息随数字签名一同发送 对消息的任何修改在验证数字签名 时都将会被发现 通讯双方通过 Diffie Hellman 密钥系统安全地获取共享的保密密钥 并使 用该密钥对消息加密 Diffie Hellman 密钥由 CA 进行验证 提供您高质量的系统集成类方案与资料 系统集成方案大全 类 型技 术用 途 基本会话密钥 DES 加密通讯 加密密钥 Deff Hellman 生成会话密钥 认证密钥 RSA 验证加密密钥 表 1 加密模式使用的密钥技术 基于此种加密模式 需要管理的密钥数目与通讯者的数量为线性关系 而 其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比 3 3 IPSECIPSEC IPSec 作为在 IP v4 及 IP v6 上的加密通讯框架 已为大多数厂商所支持 预计在 1998 年将确定为 IETF 标准 是 VPN 实现的 Internet 标准 IPSec 主要提供 IP 网络层上的加密通讯能力 该标准为每个 IP 包增加了 新的包头格式 Authentication Header AH 及 encapsualting security payload ESP IPsec 使用 ISAKMP Oakley 及 SKIP 进行密钥交换 管理及加密 通讯协商 Security Association Ipsec 包含两个部分 1 IP security Protocol proper 定义 Ipsec 报文格式 2 ISAKMP Oakley 负责加密通讯协商 Ipsec 提供了两种加密通讯手段 Ipsec Tunnel 整个 IP 封装在 Ipsec 报文 提供 Ipsec gateway 之间的通 讯 Ipsec transport 对 IP 包内的数据进行加密 使用原来的源地址和目的 地址 提供您高质量的系统集成类方案与资料 系统集成方案大全 Ipsec Tunnel 不要求修改已配备好的设备和应用 网络黑客户不能看到实 际的的通讯源地址和目的地址 并且能够提供专用网络通过 Internet 加密传输 的通道 因此 绝大多数均使用该模式 ISAKMP Oakley 使用 X 509 数字证书 因此 使 VPN 能够容易地扩大到企 业级 易于管理 在为远程拨号服务的 Client 端 也能够实现 Ipsec 的客户端 为拨号用户 提供加密网络通讯 由于 Ipsec 即将成为 Internet 标准 因此不同厂家提供的防火墙 VPN 产 品可以实现互通 八八 应用系统的安全技术应用系统的安全技术 由于应用系统的复杂性 有关应用平台的安全问题是整个安全体系中最复 杂的部分 下面的几个部分列出了在 Internet Intranet 中主要的应用平台服 务的安全问题及相关技术 1 1 域名服务 域名服务 Internet 域名服务为 Internet Intranet 应用提供了极大的灵活性 几乎 所有的网络应用均利用域名服务 但是 域名服务通常为 hacker 提供了入侵网络的有用信息 如服务器的 IP 操作系统信息 推导出可能的网络结构等 同时 新发现的针对 BIND NDS 实现的安全漏洞也开始发现 而绝大多数的 域名系统均存在类似的问题 如由于 DNS 查询使用无连接的 UDP 协议 利用可 预测的查询 ID 可欺骗域名服务器给出错误的主机名 IP 对应关系 因此 在利用域名服务时 应该注意到以上的安全问题 主要的措施有 1 内部网和外部网使用不同的域名服务器 隐藏内部网络信息 2 域名服务器及域名查找应用安装相应的安全补丁 3 对付 Denial of Service 攻击 应设计备份域名服务器 2 2 WebWeb ServerServer 应用安全应用安全 提供您高质量的系统集成类方案与资料 系统集成方案大全 Web Server 是企业对外宣传 开展业务的重要基地 由于其重要性 成为 Hacker 攻击的首选目标之一 Web Server 经常成为 Internet 用户访问公司内部资源的通道之一 如 Web server 通过中间件访问主机系统 通过数据库连接部件访问数据库 利用 CGI 访问本地文件系统或网络系统中其它资源 但 Web 服务器越来越复杂 其被发现的安全漏洞越来越多 为了防止 Web 服务器成为攻击的牺牲品或成为进入内部网络的跳板 我们需要给予更多的关 心 1 Web 服务器置于防火墙保护之下 2 在 Web 服务器上安装实时安全监控软件 3 在通往 Web 服务器的网络路径上安装基于网络的实时入侵监控系统 4 经常审查 Web 服务器配置情况及运行日志 5 运行新的应用前 先进行安全测试 如新的 CGI 应用 6 认证过程采用加密通讯或使用 X 509 证书模式 7 小心设置 Web 服务器的访问控制表 3 3 电子邮件系统安全电子邮件系统安全 电子邮件系统也是网络与外部必须开放的服务系统 由于电子邮件系统的 复杂性 其被发现的安全漏洞非常多 并且危害很大 加强电子邮件系统的安全性 通常有如下办法 1 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转 站 或利用防火墙的电子邮件中转功能 所有出入的电子邮件均通过该 中转站中转 2 同样为该服务器安装实施监控系统 3 该邮件服务器作为专门的应用服务器 不运行任何其它业务 切断与内 部网的通讯 4 升级到最新的安全版本 4 4 操作系统安全操作系统安全 市场上几乎所有的操作系统均已发现有安全漏洞 并且越流行的操作系统 提供您高质量的系统集成类方案与资料 系统集成方案大全 发现的问题越多 对操作系统的安全 除了不断地增加安全补丁外 还需要 1 检查系统设置 敏感数据的存放方式 访问控制 口令选择 更新 2 基于系统的安全监控系统 提供您高质量的系统集成类方案与资料 系统集成方案大全 第二部分第二部分 XXXXXX 责任有限公司安全方案责任有限公司安全方案 第一章第一章 网络安全需求分析网络安全需求分析 一 一 当前网络状况当前网络状况 服务器 工作站工作站 服务器 工作站工作站 I IN NT TE ER RN NE ET T S Sw wi it tc ch h F Fi ir re ew wa al ll l 网网管管计计算算机机 路由器 提供您高质量的系统集成类方案与资料 系统集成方案大全 二 安全需求分析二 安全需求分析 网络安全总体安全需求是建立在 对网络安全层次分析基础上确定的 依 据网络安全分层理论 根据 ISO 七层网络协议 在不同层次上 相应的安全需 求和安全目标的实现手段各不相同 主要是针对在不同层次上安全技术实现而 定 对于以 TCP IP 为主的 XXX 责任有限公司网来说 安全层次是与 TCP IP 网络 层次相对应的 针对 XXX 责任有限公司网的实际情况 我们将安全需求层次归 纳为网络层和应用层安全两个技术层次 同时将在每层涉及的安全管理部分单 独作为分析内容 具体描述如下 网络层需求分析网络层需求分析 网络层安全需求是保护网络不受攻击 确保网络服务的可用性 首先 作为 XXX 责任有限公司网络同 Internet 的互联的边界安全应作为网 络层的主要安全需求 需要保证 XXX 责任有限公司网络与 Internet 安全互联 能够实现网络 的安全隔离 必要的信息交互的可信任性 要保证 XXX 责任有限公司网络不能够被 Internet 访问 同时 XXX 责任有限公司网络公共资源能够对开放用户提供安全访问能力 能够防范来自 Internet 的包括 利用 Http 应用 通过 Java Applet ActiveX 以及 Java Script 形式 利用 Ftp 应用 通过文件传输形式 提供您高质量的系统集成类方案与资料 系统集成方案大全 利用 SMTP 应用 通过对邮件分析及利用附件所造成的信息泄漏 和有害信息对于 XXX 责任有限公司网络的侵害 对网络安全事件的审计 对于网络安全状态的量化评估 对网络安全状态的实时监控 防范来自 Internet 的网络入侵和攻击行为的发生 并能够做到 对网络入侵和攻击的实时鉴别 对网络入侵和攻击的预警 对网络入侵和攻击的阻断与记录 其次 对于 XXX 责任有限公司网络内部同样存在网络层的安全需求 包 括 XXX 责任有限公司网络与下级分支机构网络之间建立连接控制手段 对 集团网络网提供高于网络边界更高的安全保护 应用层需求分析应用层需求分析 建设 XXX 责任有限公司网的目的是实现信息共享 资源共享 因此 必须 解决 XXX 责任有限公司网在应用层的安全 应用层安全主要与企业的管理机制和业务系统的应用模式相关 管理机制 决定了应用模式 应用模式决定了安全需求 因此 在这里主要针对各局域网内的应用的安全进行讨论 并就建设全网 范围内的应用系统提出我们的一些建议 应用层的安全需求是针对用户和网络应用资源的 主要包括 合法用户可以以指定的方式访问指定的信息 合法用户不能以任何方式访问不允许其访问的信息 非法用户不能访问任何信息 用户对任何信息的访问都有记录 要解决的安全问题主要包括 非法用户利用应用系统的后门或漏洞 强行进入系统 用户身份假冒 非法用户利用合法用户的用户名 破译用户密码 然后 提供您高质量的系统集成类方案与资料 系统集成方案大全 假冒合法用户身份 访问系统资源 非授权访问 非法用户或者合法用户访问在其权限之外的系统资源 数据窃取 攻击者利用网络窃听工具窃取经由网络传输的数据包 数据篡改 攻击者篡改网络上传输的数据包 数据重放攻击 攻击者抓获网络上传输的数据包 再发送到目的地 抵赖 信息发送方或接收方抵赖曾经发送过或接收到了信息 一般来说 各应用系统 如 Notes 数据库 Web Server 自身也都有一些 安全机制 传统的应用系统安全性也主要依靠系统自身的安全机制来保证 其 主要优点是与系统结合紧密 但也存在很明显的缺点 开发量大 据统计 传统的应用系统开发中 安全体系的设计和开发约 占开发量的三分之一 当应用系统需要在广域网运行时 随着安全需 求的增加 其开发量占的比重会更大 安全强度参差不齐 有些应用系统的安全机制很弱 如数据库系统 只 提供根据用户名 口令的认证 而且用户名 口令是在网络上明文传输 的 很容易被窃听到 有些应用系统有很强的安全机制 如 Notes 但 由于设计 开发人员对其安全体系的理解程度以及投入的工作量 也 可能使不同的应用系统的安全强度会相去甚远 安全没有保障 目前很多应用系统设计 开发人员的第一概念是系统能 够运行 而不是系统能够安全运行 因此在系统设计 开发时对安全 考虑很少 甚至为了简单或赶进度而有意削弱安全机制 维护复杂 每个应用系统的安全机制各不相同 导致很多重复性工作 如建立用户帐号等 系统管理员必须熟悉每个应用系统独特的安全 机制 工作量成倍增加 用户使用不方便 用户使用不同的应用系统时 都必须做相应的身份认 证 且有些系统需要在访问不同资源时分别做授权 如 IIS Web Server 是在用户访问不同的页面时输入不同的口令 口令正确才允许 访问 当用户需要访问多个应用系统时 会有很多用户名 口令需要 记忆 有可能就取几个相同的简单口令 从而降低了系统的安全性 提供您高质量的系统集成类方案与资料 系统集成方案大全 综上 我们建议在建设 XXX 责任有限公司网应用系统时 采用具有以下功能的 商品化的应用层安全产品作为安全应用平台 安全应用平台必须能够为各种应用系统提供统一的入口控制 而且只有 通过了安全应用平台的身份认证和访问授权以后 才可能访问某个具 体的应用系统 安全应用平台自身的安全机制必须是系统的 健壮的 以免因为各种应 用系统安全机制参差不齐而导致系统不安全的现象出现 安全应用平台必须可以无缝集成第三方应用系统 如 Notes 数据库 Web Server 等的安全机制 安全应用平台可以集中对各种第三方应用系统进行安全管理 包括用户 注册 用户身份认证 资源目录管理 访问授权以及审计记录 以减 少重复劳动 减轻系统管理人员的工作负担 安全应用平台具有可伸缩性 并且安全可靠 安全管理需求分析安全管理需求分析 如前所述 能否制定一个统一的安全策略 在全网范围内实现统一的安全 管理 对于 XXX 责任有限公司网来说就至关重要了 安全管理主要包括三个方面 内部安全管理 主要是建立内部安全管理制度 如机房管理制度 设备 管理制度 安全系统管理制度 病毒防范制度 操作安全管理制度 安全事件应急制度等 并采取切实有效的措施保证制度的执行 内部 安全管理主要采取行政手段和技术手段相结合的方法 网络安全管理 在网络层设置路由器 防火墙 安全检测系统后 必须 保证路由器和防火墙的 ACL 设置正确 其配置不允许被随便修改 网 络层的安全管理可以通过网管 防火墙 安全检测等一些网络层的管 理工具来实现 应用安全管理 应用系统的安全管理是一件很复杂的事情 由于各个应 用系统的安全机制不一样 因此需要通过建立统一的应用安全平台来 提供您高质量的系统集成类方案与资料 系统集成方案大全 管理 包括建立建立统一的用户库 统一维护资源目录 统一授权等 第二章第二章 安全解决方案分析安全解决方案分析 一一 网络配置结构图网络配置结构图 总体结构示意图总体结构示意图 服