




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、标准方案示范文本 | Excellent Model Text 资料编码:CYKJ-FW-381编号:_保护信息安全的方案编辑:_日期:_单位:_保护信息安全的方案用户指南:该方案资料适用于在初步调查时,根据预定的行动方针和思路,制定具备可行性的计划,对从计划所需要的条件和各阶段的结果进行分析总结,提出有效的方法和经验。对以后形成类似的事项的应对经验。可通过修改使用,也可以直接沿用本模板进行快速编辑。某市政府中心网络安全方案设计1.1安全系统建设目标本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以
2、及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险;2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护;3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制;其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。1.1.1 防火墙系统设计方案
3、防火墙对服务器的安全保护网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击
4、。 防火墙对内部非法用户的防范网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高
5、。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用"黑客"工具造成严重破坏。1.1.2入侵检测系统利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安
6、全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就在防火墙内。网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方,如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域,可以单独各部署一套网络监控系统(管理器+探测引擎),也可以在每个需要保护的地方单独部署一个探测引擎,在全网使用一个管理器
7、,这种方式便于进行集中管理。在内部应用网络中的重要网段,使用网络探测引擎,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,网络监视器还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。需要说明的是,IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。按照现阶段的网络及系统环境划分不同的网络安全风险区域,xxx市政府本期网络安全系统项目的需求为:区域 部署安全产品内网 连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆防火墙;在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器;在主干交换机上安装
8、NetHawk网络安全监控与审计系统;在内部工作站上安装趋势防毒墙网络版防病毒软件;在各服务器上安装趋势防毒墙服务器版防病毒软件。DMZ区 在服务器上安装趋势防毒墙服务器版防病毒软件;安装一台InterScanVirusWall防病毒网关;安装百兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控与审计系统。安全监控与备份中心 安装FW3010-5000千兆防火墙,安装RJ-iTOP榕基网络安全漏洞扫描器;安装眼镜蛇入侵检测系统控制台和百兆探测器;安装趋势防毒墙服务器版管理服务器,趋势防毒墙网络版管理服务器,对各防病毒软件进行集中管理。1.2防火墙安全系统技术方案某市政府局域网是应用的中心,
9、存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。所有的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到主干交换机上。由于工作站分布较广且全部连接,对中心的服务器及应用构成了极大的威胁,尤其是可能通过广域网上的工作站直接攻击服务器。因此,必须将中心与广域网进行隔离防护。考虑到效率,数据主要在主干交换机上流通,通过防火墙流入流出的流量不会超过百兆,因此使用百兆防火墙就完全可以满足要求。如下图,我们在中心机房的DMZ服务区上安装两台互为冗余备份的海信FW3010PF-4000百兆防火墙,DMZ口通过交换机与WWW/FTP、
10、DNS/MAIL服务器连接。同时,安装一台Fw3010PF-5000千兆防火墙,将安全与备份中心与其他区域逻辑隔离开来通过安装防火墙,实现下列的安全目标:1) 利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信;2) 利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;3) 利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝;4) 利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;5) 利用防火墙全面监视对服务器的访问,及
11、时发现和阻止非法操作;6) 利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线;7) 根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。1.3入侵检测系统技术方案如下图所示,我们建议在局域网中心交换机安装一台海信眼镜蛇入侵检测系统千兆探测器,DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器,用以实时检测局域网用户和外网用户对主机的访问,在安全监控与备份中心安装一台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统控制台,由系统控制台进行统一的管理(统一事件库升级、统一安全防护策略、统一上报日志生成报表)。其中,海信眼镜蛇网络入侵检测系统还
12、可以与海信FW3010PF防火墙进行联动,一旦发现由外部发起的攻击行为,将向防火墙发送通知报文,由防火墙来阻断连接,实现动态的安全防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有:海信FW3010PF防火墙,支持OPSEC协议的防火墙。通过使用入侵检测系统,我们可以做到:1) 对网络边界点的数据进行检测,防止黑客的入侵; 2) 对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改; 3) 监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作; 4) 对用户的非正常活动进行统计分析,发现入侵行为的规律; 5) 实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动; 6) 对关键正常事件及异常行为记录日志,进行审计跟踪管理。通过使用海信眼镜蛇入侵检测系统可以容易的完成对以下的攻击识别:网络信息收集、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年福建省厦门市集美区杏东中学英语七下期中统考模拟试题含答案
- 体育健康海南试题及答案
- 2025年人才资源策划优化协同协议
- 2025年姐妹公司策划合作发展协议
- 2025年交通运输领域视频监控施工安全协议
- 2025年专利代理协议书模板(非职务)
- 内部审计与风险防控的协同效应
- 监管变化带来的挑战与应对
- 2025年建筑工程门窗供应协议书
- 2025年特岗教师教育理论基础精准模拟试卷(2025版)
- 湖南出版中南传媒招聘笔试真题2023
- 工作任务清单模板
- DB37 5155-2019 公共建筑节能设计标准
- 管道工程焊接工艺评定方案
- 华东理工大学《专业外语(制药工程)》2023-2024学年第一学期期末试卷
- 结构力学A(一)知到智慧树章节测试课后答案2024年秋中南大学
- 2024版《绿色建筑技术》课件完整版
- 习惯性违章行为汇编
- 车载手机支架市场发展现状调查及供需格局分析预测报告
- 美睫美甲培训协议
- 《大学生创业导论》期末考试复习题库(含答案)
评论
0/150
提交评论