信息系统安全整体解决方案2579

《安全系统整体解决方案设计》第一章企业网络的现状描述 3 5第三章企业网络安全整体解决方案设计 5 企业网络整体解决方案设计业网络的现状描述业网络的现状描述et扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大，而且往往是在系统破坏造成以后才进行处理，防护效果不理想，也很难对网络的整体防护做出规划和评估。络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题，而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状，还是中小企业自身都向广大安全厂商提出了更高的要求。网络的物理安全的风险是多种多样的。扰；线路截获。以及高可用性的硬件、双机多冗余的设计、可以避免的。台。而且，必须加强登录过程的认证，特别是在到达服务器主机之前的认证，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。企业主机所付与的管理权限也不一样，同一台主机对不同的人有着不同的使用范围。同时，序的时候，还得注意它的合法权限，以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作，甚至盗取企业机密。紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务，也是真个企业的网络安全水平进入一个新境界的重要标志。试结果来看，当前大多数电信网络设备和服务都存在着被入侵的痕迹，甚至各种后门。这些rNimdaCodeRed的爆发更是具有深远的影响，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治。对病毒的彻底防御重要性毋庸置疑。最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。不论如何，他们最熟悉造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。内部网络与外部网络间如果在没有采取一定的安全防护措施，内部网络容易遭到来自外内部局网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作计业网络的设计目标信息的传输，存储，处理和使用都要求处于安全的状态。程，或供其使用的特性。完整性：指信息未经授权不能被修改，不被破坏，不被插入，不延迟，不乱序和不丢失的特性。对网络信息安全进行攻击其最终目的就是破坏信息的完整性。可企业网络的设计原则在对这个企业局域网网络系统安全方案设计、规划时，应遵循以下原则：综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。规定的安全策略制定出合理的网络安全体系结构。对一个网络进行实际、额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络系统的安全策略。期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包络建设好后再考虑安全措施，不但容易，且花费也小得多。亦可节省费用开支。互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。有关网络信息安全测评认证机构的评估来实现。理安全解决方案设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁电源保护等。媒体安全：包括媒体数据的安全及媒体本身的安全。主机安全解决方案用户的密码不会被他人所猜测到。2.及时更新主机系统，防止因系统漏洞而遭到黑客或病毒的攻击。4.安装并及时升级杀毒软件以避免来自病毒的苦恼5.安装防火墙可以有效的防止黑客的攻击.5网络安全解决方案在内部网络中，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制局部网络安全问题对全局网络造成的影响。域网的形式对系统的各种应用提供数据支持。随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心，为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。基于联动联防和网络集中管理、监控技术，将所有网络安全和数据安全产品有机的结合在一起，在漏洞预降低网络管理的风险和复杂性。整体防护主要包括以下方面：数据访问控制系统:·防火墙——对不同安全域之间信息交换进行访问控制。·防病毒——对计算机病毒进行检测、查杀和系统修复。·入侵检测——对网络进行监测,提供对网络攻击的实时保护,是防火墙的合理补充。·漏洞扫描——对网络安全性通过扫描进行分析评估。数据安全处理系统：·数据备份——基于时间对文件和数据库级别的系统故障提供解决方案。·灾难恢复——对整个主机系统提供保障和系统的快速故障修复能力。下图是防护系统对一个完整的网络攻击及防护方法的演示效果图：调试·漏洞扫描和防病毒系统增强了各个网络节点自身系统的稳定性和抗攻击能力。·防火墙作为网络系统的屏障极大地降低了内部系统遭受网络攻击的可能性。·入侵检测与防火墙采用联动联防提高了系统自动对网络攻击的识别和防御能力。·网络隔离系统将内部核心业务系统与外部网络物理隔离，降低了网络风险。·磁盘阵列和双机容错提高了主机系统对软硬件故障的自动修复能力。·数据备份和灾难恢复降低了由于数据丢失造成的网络风险，提高了系