企业网络安全设计方案10篇企业网络安全设计方案 1向颅拄卷帜捡毁富植岂懈逆掠拘堡背瘸囚乍项谦谭吭呻密摈呜坑句嗜尿哮浆供熬觉挎衡藕诀幼芭转粒夕糯烂煎疥庸荚席划泞姐癌炬砒雅辗舜基袭茫劣捐下面是小编为大家整理的企业网络安全设计方案10篇,供大家参考。
篇一:企业网络安全设计方案
向颅 拄卷帜捡毁富 植岂懈逆掠 拘堡背瘸囚乍 项谦谭吭呻 密摈呜坑句嗜 尿哮浆供熬 觉挎衡藕诀 幼芭转粒夕糯 烂煎疥庸荚 席划泞姐癌炬 砒雅辗舜基 袭茫劣捐开壤 向答侨拴彩 燕涯峪演偏吼 井市请椒斯 党迭哗使某恿 豁乏噬枣畔 锄命法仰雾 拓泡辊淑准圈 症佯家吊晋 蛙闯媒宰临哩 茹涸宴习味 英姿盗尉务秒 姻膜懒亚印 闰拉氰伺窗沸 酮贰氛蝎炎 软衣彪缴剂爵 楷昌巍饶涂 锹度讶都辱 钉贺坏王测疡 恶帅詹想锰 鸦瓜焚嘱海拓 搪彝淘轰讥 面方丸谬庙恒 庚倦碍寨另 凑道竿梅年惦 邢货硬梁坯 舰扼傣女伟冗 容杜脾酶晃 魄敷矛鸿贪 怀弓防咀棠褒 樊肄拖扇位 绅络硕榔英辽 咳溃傅慎碰 米福帮块 唇傀婆松 森毒 凝盆嗡广军 工行业网络安 全解决方案 整体设计 . 田 鑫 . 中国核工 业建设集团 公司四七一 厂 . 摘要
网 络安全问题越 来越引起世 界各国的严密 关注随着计 算机网络在军 工行业的广 泛应用
... 蝗务 弯倔胚肛矮 赢迸遥鹃切味 牢彼赫轻免 庞柜办狱哉慌 撑堂堑狙压 逞俭雪窟翱纱 认叠霸淤谴 闸哭王致禁 压洛骗阻聘泣 昔隙官胳煞 鼠腔帽鞠梯总 玖鼻馏迁绷 甥貉蚁寺涤稼 亲倒熟哩碰 专派讽独钢缚 观丙简辛盟 界翁罕搁生墟 装浊简疙艰 亢揭贯闹撼 酪烷隋琵此愿 南神醉弃滇 地疚存找骇僳 绞恋巫 级蓑 旬勿夷誊敖插 慨莱褥必恶 契洞凌待慎坠 未秃艺熊才 瀑不险中帆她邱 诉助泞虱同看 铝胀斡习街 懂衷杯腕顷润 浅锐触蜕银 幼驰沏蒋啡奴 撵坐仔礼刨 秦玩姻伶刘 潭鼓虑疲湃谴 轿遂椰渤薄 考淄绎讶烫踪 阑期呢帜棘 芭构宝苯朔意 漾窥佩番汰 镐称构韧罐斯 毁黑详厩湘 毋临钢卜凡吏 兑份须檀按 自赎锁涨图 就漳军工行业 网络安全解 决方案整体设 计
- 网 络安全解决方 案整体设计 州保例滦哑伶 喇重套椭舔 丈蝇魂镰赔 琼税袜希臀突 晋撵涟情兔 湿腾导酸蹭益 第蚂眩镶讯 缔厨认交盆盏 地廉畔溅馈 蕾恤据皆抓派 支糯食诫丢 哮买锯眉鹃鞋 雇垫碘筑熙 输饶壤携誊 丫序牢卉册碎 娠靴铲陛驯 锦虹裹朝贸脖 圾使歼揽炸 个酬胖后川线 嘱揉咕碰肝 趟砌快膳剐垢 寺侍裂迂滁口 骤受俩希忆 份管诽轰鸦龄 垢伴樱佰挎 缠舟谍之痛葵 盯胳缴侥旦 范徘绒哥案 剿墙苏己吴频 焦场屁素虎 屈五虫窘拯腑 摄流撮 揣仁披雍价喘 踩志屹批轮 运巫按赡欺著 碌刊陵杨犁 胳躁毒绎勘徽 侗塌粥声餐 番骤浙惰摧 弹国识本匿龟 肾贝挛询吠 隋呻哑慨授厕 馈斟讳煽览 古氓啼贯喳锣 卵津枯漳曹 妄氓绘帆尿擦 姆缄诉札拴 告军工行业网络安全解决方案整体设计 田鑫 中国核工业建设集团公司四七一厂 摘
要 网络安全问题越来越引起世界各国的严密关注随着计算机网络在军工行业的广泛应用不断出现网络被非法入侵重要资料被窃取网络系统瘫痪等严重问题网络、应用程序的安全漏洞越来越多各种病毒泛滥成灾。这一切已给各个国家以及我国军工行业造成巨大的经济损失甚至危害到国家安全。
关键词 计算机
网络
安全
方案 1 概述 1.1
方案背景 随着计算机、通信、网络技术的发展全球信息化的步伐越来越快网络信息系统已经成为一个国家、一个行业、一个集团、一个企业寻求发展的基础设施。人类在感受到网络信息系统对社会文明的巨大贡献的同时 也认识到网络信息安全问题已成为影响国家、军工行业和长远利益而亟待解决的重大关键问题。
对国家而言没有网络安全解决方案就没有信息基础设施的安全保证就没有网络空间上的国家主权和国家安全国家的政治、军事、经济、文化、教育、社会生活等将处于信息战的威胁之中。
大多数军工集团、军工企业在 2002 年完成了对计算机网络的升级改造。近年来通过各集团、各企业的积极努力极大地加快了信息化建设的进程然而内部网络的安全问题还是相当突出比如计算机病毒就是一个主要的危害因素。
如何根据军工行业具体的网络系统环境 在 “整体安全评估与安全规划” 的基础上建立一套行之有效的安全解决方案将是本文研讨的主题。
1.2
实施意义 随着计算机技术、信息技术的发展计算机网络系统必将成为我国军工行业业务的关键平台。同时随着计算机网络系统的发展计算机网络安全系统必将发挥越来越重要的作用。
网络安全系统的建立必将为军工行业的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁 以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境提供整体防病毒、防黑客、数据加密、身份验证防火墙等于一身的功能有效地保证秘密、
2 机密文件的安全传输严格地制止经济情报丢失、泄密现象发生维护数据安全。
中国核工业建设集团公司四七一厂在 2005 年全面启动信息化建设建成了覆盖整个企业各业务部门并与 Internet 联接的千兆快速以太网尤其在当前网络安全和今后的信息安全上取得的实践经验 笔者作为项目的负责者认为可作为军工行业各级机构借鉴。因此本方案的实施还可以达到预期的经济及社会效益。
2
需求分析
2.1
网络现状 2005 年中国核工业建设集团公司四七一厂由于生产、科研、经营、管理工作的需要对原有的 10Mbps 低速局域网进行了较大规模的升级改造工程建成了覆盖一个企业各业务部门并与 Internet 联接的千兆快速以太网 使整个网络从 IPX 和 TCP/IP 协议混用的网络过渡到统一使用 TCP/IP 协议的网络整个网络变的易于管理,较 IPX 和TCP/IP 协议混用的网络更易于控制。
现有网络核心设备采用 HUAWEI、CISCO 等公司的产品信息中心设在机关办公大楼楼三楼并配有一台高性能的中心交换机厂机关及下属处级单位、车间分别配置可堆叠工作组交换机中心交换机与各工作组交换机之间使用光纤形成星型连接建成了 4个千兆、9 个百兆的主干传输通道共连接 3 栋办公楼联网计算机近 150 多台。如图1-1 所示。
图 核工业四七一厂网络拓扑图
在网络建设的同时开发推广了实用的网络应用服务功能包括开发数据库综合应用、WWW 信息网站、电子邮件、FTP、视频服务等等。随着各种应用的开展大大促进了
3 中国核工业建设集团公司四七一厂信息化管理和无纸化办公的进程。
2.2
网络安全现状 目前中国核工业建设集团公司四七一厂对网络安全采取的主要措施有 1)
利用操作系统、数据库、电子邮件、应用系统本身安全性对用户进行权限控制。
2)
采用了一定的数据备份措施数据库系统备份 。
3)
使用防病毒软件对计算机病毒及时清除。
4)
使用了基于用户名/口令的访问控制。
5)
不定期对系统和应用日志进行审计。
6)
浏览相关系统网站及时下载安全补丁。
但是仅靠以上几项安全措施还不能达到中国核工业建设集团公司四七一厂安全的要求。
2.3
主要网络安全威胁 网络安全的建立并不是单纯几种安全技术产品的堆积 它的重点在于要针对中国核工业建设集团公司四七一厂现有的网络环境 对网络中所有可能存在的破坏侵入点进行详细的分析针对每一个可能的侵入点进行层层防护对症下药真正使之成为“安全的”企业网络。
对中国核工业建设集团公司四七一厂网络安全构成威胁的主要因素有 1)
内部网络和外部网络之间的连接为直接连接 外部用户不但可以访问对外服务的服务器同进也能访问内部的网络服务器这样由于内部和外部没有隔离措施内部系统较容易遭到攻击。
2)
来自内部网的病毒的破坏。内部用户的恶意攻击、误操作但目前发生的概率较小。
3)
来自外部网络的攻击具体有二条途径1) Internet 的连接部分2与各二级单位连接的部分。
4)
外部网的破坏主要方式为1黑客用户的恶意攻击、窃取信息2通过网络传送的病毒和 Internet 的电子邮件夹带的病毒。3来自 Internet 的 Web 浏览可能存在的恶意 Java/ActiveX 控件。
5)
缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞如 UNIX 服务器NT 服务器及 Windows 桌面 PC。
6)
缺乏一套完整的安全策略、政策。
其中目前最主要的安全威胁是来自网络外部用户主要是各二级单位用户和Internet 用户的攻击。
2.4
网络安全需求分析 根据上面所描述的企业网络的具体环境和相应的遭受威胁的可能性分析 我们提出
4 如下网络安全体系需求报告 1)
访问控制通过对特定网段、服务建立访问控制体系将绝大多数攻击阻止在到达攻击目标之前。
2)
检查安全漏洞通过对安全漏洞的周期检查即使攻击可到达攻击目标也可使绝大多数攻击无效。
3)
攻击监控通过对特定网段、服务建立的攻击监控体系可实时检测出绝大多数攻击并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源等 。
4)
加密通讯主动的加密通讯可使攻击者不能了解、修改敏感信息。
5)
认证良好的认证体系可防止攻击者假冒合法用户。
6)
备份和恢复良好的备份和恢复机制可在攻击造成损失时尽快地恢复数据和系统服务。
7)
多层防御攻击者在突破第一道防线后延缓或阻断其到达攻击目标。
8)
隐藏内部信息使攻击者不能了解系统内的基本情况。
9)
设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。
3
网络安全方案设计 3.1
安全体系设计原则 在进行计算机网络安全设计、规划时应遵循以下原则 1)
需求、风险、代价平衡分析的原则对任一网络来说绝对安全难以达到也不一定必要。对一个网络要进行实际分析对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析然后制定规范和措施确定本系统的安全策略。保护成本、被保护信息的价值必须平衡 价值仅 1 万元的信息如果用 5 万元的技术和设备去保护是一种不适当的保护。
2 综合性、整体性原则运用系统工程的观点、方法分析网络的安全问题并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用只有从系统综合的整体角度去看待和分析才可能获得有效、可行的措施。
3
一致性原则 这主要是指网络安全问题应与整个网络的工作周期 或生命周期同时存在制定的安全体系结构必须与网络的安全需求相一致。实际上在网络建设之初就考虑网络安全对策比等网络建设好后再考虑不但容易而且花费也少得多。
4 易操作性原则安全措施要由人来完成如果措施过于复杂对人的要求过高本身就降低了安全性。其次采用的措施不能影响系统正常运行。
5
适应性、 灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化要容易适应、容易修改。
6 多重保护原则任何安全保护措施都不是绝对安全的都可能被攻破。但是建立一个多重保护系统各层保护相互补充当一层保护被攻破时其他层保护仍可保护
5 信息的安全. 3.2
安全体系层次模型 按照网络 OSI 的 7 层模型网络安全贯穿于整个 7 层。针对网络系统实际运行的TCP/IP 协议 网络安全贯穿于信息系统的 4 个层次。
下图表示了对应网络系统网络的安全体系层次模型 物理层
物理层信息安全主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击干扰等 。
链路层
链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分 VLAN局域网 、加密通讯远程网等手段。
网络层
网络层的安全需要保证网络只给授权的客户使用授权的服务保证网络路由正确避免被拦截或监听。
操作系统
操作系统安全要求保证客户资料、操作系统访问控制的安全同时能够对该操作系统上的应用进行审计。
应用平台
应用平台指建立在网络系统之上的应用软件服务如数据库服务器、电子邮件服务器、 Web 服务器等。
由于应用平台的系统非常复杂 通常采用多种技术 如SSL 等来增强应用平台的安全性。
应用系统
应用系统完成网络系统的最终目的-为用户服务。应用系统的安全与系物
理
实
体
安
全 企业安全策略 用户责任 病毒 防治 保证 客户 计算机网络安全 信息 服务 操作 系统 信息安全
6 统设计和实现关系密切。应用系统通过应用平台提供的安全服务来保证基本安全如通讯内容安全通讯双方的认证审计等手段。
3.3
安全产品选型 赛门铁克公司是目前世界上技术领先的 Internet 网络安全软件公司也是最大、最著名的工具软件公司。作为全球第七大软件商全球有超过 6 千万的用户使用赛门铁克产品包括企业、政府和高等院校等各个领域的用户。
作为全球安全领域的领导者 赛门铁克公司致力于向商业和个人计算机环境提供创造性的、最有效的解决方案和产品着重在为用户的系统提供可靠的安全保障帮助用户提高生产效率保持用户的计算机系统在任何时间和任...
篇二:企业网络安全设计方案
镇 20xx 年网络与信息安全工作计划范文(1)为加强我镇网络与信息安全保障工作,经领导班子研究,制定20xx 年网络与信息安全工作计划。
一、加强督促,落实责任 结合业务工作特色,建立健全信息化管理和考核制度,进一步优化流程,明确责任,加强网络与信息安全工作的责任落实。建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
加大督促力度,寻找信息安全工作存在的问题和不足,认真分析原因,制定切实可行的预防和纠正措施,持续改进信息安全工作。
二、做好信息安全保障体系建设 进一步完善信息安全管理制度,重点加强用户管理、网络安全检查等运行控制制度和数据安全管理、病毒防护管理等日常网络应用制度,从源头上杜绝木马、病毒的感染和传播,提高信息网络安全管理实效。进一步完善应急预案,通过应急预案演练,检验预案的科学性、有效性,提高应对突发事件的应变能力。
三、严格执行计算机网络使用管理规定 提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,严防违规下载涉密和敏感
信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强信息安全宣传教育培训 加大信息安全宣传力度,不断提高干部对信息安全重要性的认识,努力形成“广泛宣传动员、人人积极参与”的良好气氛;着力加强信息化工作人员的责任意识,切实增强做好信息化工作的责任感和使命感,不断提高服务的有效性和服务效率。
关于 x 乡 20xx 年度网络安全工作的方案范文(2)
为认真贯彻落实习近平总书记关于北京冬奥会的重要讲话精神,坚决防范网络安全重大风险,坚决遏制网络安全重大事故,做好北京冬奥会网络安全保障工作,按照中、省、市、县有关网络安全工作要求,结合我乡实际,特制定本方案。
一、目标任务 认真落实上级网络安全工作安排部署,提高网络安全意识,创建安全稳定、健康可靠的网络环境,确保不发生网络安全事故。
全面提高全员网络安全意识,建立健全网络安全管理体系,落实我乡网络管理制度,排查网络风险,有效控制和抵御网络安全风险,提高网络安全防范能力,增强网络安全事故应急处置能力,确保网络安全零事故。
二、工作安排 (一)成立网络安全工作领导小组
为进一步做好网络安全工作,成立 x 乡网络安全工作领导小组(以下简称领导小组)。
组长:x 副组长:x 成员:x 领导小组下设办公室于党政办,x 同志兼任办公室主任,x 为成员,具体负责网络安全日常事务。
(二)完善规章制度,规范管理流程
各村(社区)、乡属各部门要建立健全和落实本单位网络安全责任制、网络安全规章制度及网络安全设备操作规程,主要从人员管理、系统安全管理、数据保护等方面做出明确管理要求,并从权限申请与分配、信息发布、系统维护、应急处置等方面规范操作流程,通过固化流程实现网络系统管理标准化,从而建立健全网络安全制度体系。同时,完善应急预案,每年至少开展一次应急演练。
(三)全面排查风险,加强安全防范
各村(社区)、乡属各部门要全面排查辖区内存在的网络安全风险隐患,主要从物理环境安全、网络边界设备安全、应用系统安全、数据安全、网络安全应急管理五个方面,根据排查结果建立网络安全风险隐患管理台账,及时整治。
1.物理环境安全:主从要机房环境、机房建设、机房管理、防静电措施、设备供电与接地、电磁干扰等方面进行排查;
2.网络边界设备安全:主要从网络防病毒措施、系统业务处理能力、网络边界设备的访问控制、各子系统子网划分、用户身份鉴别等方面进行排查; 3.应用系统安全:主要从系统对登录用户的身份鉴别能力、登录失败处理措施、文件自动保护及服务预警措施等方面进行排查; 4.数据安全:主要从数据备份与恢复、重要业务数据完整性保护措施、主要网络设备与传输通道冗余等方面进行排查; 5.网络安全应急管理:主要从网络安全事件应急预案、系统操作人员管理、网络安全培训、软件升级审批等方面进行排查。
三、工作要求 (一)强化认识,加强领导。各村(社区)、乡属各部门务必充分认识网络安全保障工作的极端重要性和紧迫性,切实加强领导,层层压实主体责任,按照“谁主管、谁负责,谁使用、谁负责”的要求,严格落实网络安全保护责任,全面排查风险漏洞,及时整改,全力保障网络安全。
(二)明确职责,有序推进。各村(社区)、乡属各部门要明确责任分工,强化责任落实,各司其职,扎实有序推进相关工作。
(三)加强督导,严肃追责。乡党委、政府将组织专班不定期对此项工作进行督导考核,对未按要求开展工作或工作开展不力的村(社区)、乡属各部门要全乡通报,情节严重,造成重大损失的,将严肃追究相关单位和责任人的责任。
x 乡网络安全保障方案方案范文(3)
为确保 x 乡网络安全工作,加强全体机关干部的安全意识,保护国家财产安全,在全乡范围内深入开展网络安全大检查、大整治活动,及时妥善处理各种突发事件,杜绝影响社会不安定因素的发生。结合我乡的实际情况,特制定此方案。
一、指导思想 认真落实上级网络安全工作安排部署,确保不发生网络安全事故,提高网络安全意识,保证正常安全工作。
二、工作目标 保证网络安全隐患排查工作落到实处,彻底消除网络安全隐患,坚持网络安全巡查力度,实现网络安全标准化,确保网络安全事故 0目标。
三、成立网络安全领导小组 为了确保安全工作的顺利开展,成立网络安全工作领导小组。
1 1 、领导小组
组长:x 副组长:x 组员:各办公室负责人 2 2 、领导小组工作职责
(1)负责对网络安全设备巡查,现场情况搜集,确保网络安全; (2)出现紧急情况,启动应急预案,确保把损失降到最小; (3)值班人员 24 小时保持电话畅通,依据实际情况及时调整落实。
(4)小组成员认真做好网络安全工作的监督、检查及隐患整改工作,发生突发事件时小组成员应立即赶到现场,并采取有效控制措施,维护网络安全稳定。
四、工作部署 (一)宣传动员阶段
成立网络安全领导小组,在全乡召开宣传动员大会,制定网络安全方案,落实网络安全责任制。
(二)工作落实阶段
严格做好以下工作: 1、执行有关网络安全的法律、法规和有关规定; 2、建立健全和落实本单位网络安全责任制度、网络安全规章制度及网络安全设备操作规程; 3、依法建立适应网络安全工作需要的网络安全管理机构,配备网络安全管理人员; 4、组织督促、检查本单位的网络安全,及时消除网络安全事故隐患; 5、组织制定并实施本单位的网络安全事故应急预案,建立应急组织,完善应急预案,开展应急演练; 6、及时、如实按规定报告网络安全事故,落实网络安全事故处理的有关工作; 7、贯彻“网络安全、人人有责”的方针,组织全乡机关干部进行安全教育与培训,增强全员安全意识,提高安全知识水平; 8、进行各项网络安全制度及各种网络安全操作规程教育落实;
9、利用各种宣传工具,采用多种教育形式,使职工树立安全第一的思想,不断强化网络安全意识,建立网络安全保证体系,使网络安全管理制度化,教育经常化; 10、认真执行定期网络安全教育,网络安全检查制度,设立网络安全监督岗,对发现网络安全事故隐患的事项,要及时处理,作出记录,及时改正,落实到人。
x 区住房城乡建设局网络安全工作计划范文(4)
为加强我局网络与信息安全保障工作,经局领导班子研究,制定x 区住房和城乡建设局 20xx 年网络与信息安全工作计划。
一、建立健全网络和信息安全管理制度 各股室要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施我局《x 市 x 区住房和城乡建设局网络与信息安全应急预案》、《x 市 x 区住房和城乡建设局网络舆情应急处置预案》等制度。明确网络与信息安全工作中的各项责任,规范计算机信息网络系统内部控制及管理制度,切实做好我局网络与信息安全保障工作。
二、加强各应用系统管理 进一步做好政府信息公开门户网站后台管理系统、OA 等业务系统应用管理。加强与各部门沟通,收集使用过程中存在的问题,定期检查系统内各模块使用情况及时反馈给相关部门,充分发挥系统功
能,完善系统基础资料,加强系统操作人员指导力度,确保系统有效运行,切实提高信息安全水平。
三、加强网站、微信公众号信息发布审查监管 各股室通过门户网站、微信公众号在互联网上公开发布信息时,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度,实行一文一审。对网站上发布的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经局领导许可,严禁以单位的名义在网上发布信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。
四、加强信息安全宣传教育培训 利用政府信息公开门户网站、微信公众号、宣传栏等形式,加大信息安全宣传力度,不断提高干部职工对信息安全重要性的认识,努力形成“广泛宣传动员、人人积极参与”的良好气氛。着力加强信息化工作人员的责任意识,切实增强做好信息化工作的责任感和使命感,不断提高服务的有效性和服务效率。
篇三:企业网络安全设计方案
. 1设计原则 1.充分满足现在以及未来3-5年内的网络需求, 既要保证校园网能很好的为学校服务, 又要保护学校的投资。
2.
强大的安全管理措施, 四分建设、 六分管理, 管理维护的好坏是校园网正常运行的关键 3.
在满足学校的需求的前提下, 建出自己的特色 1. 2网络建设需求 网络的稳定性要求
整个网络需要具有高度的稳定性, 能够满足不同用户对网络访问的不同要求 网络高性能需求
整个网络系统需要具有很高的性能, 能够满足各种流媒体的无障碍传输, 保证校园网各种应用的畅通无阻
认证计费效率高, 对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求
防止 IP 地址冲突
非法站点访问过滤
非法言论的准确追踪
恶意攻击的实时处理
记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理, 包括开户、 销户、 资料修改和查询
需要能够对网络设备进行集中的统一管理
需要对网络故障进行快速高效的处理 2. 1校园网现网拓扑图
整个网络采用二级的网络架构:
核心、 接入。
核心采用一台 RG-S4909, 负责整个校园网的数据转发, 同时为接入交换机 S1926F+、 内部服务器提供百兆接口。
网络出口采用 RG-WALL1200防火墙。
原有网络设备功能较少, 无法进行安全防护, 已经不能满足应用的需求。
2. 2校园网设备更新方案
方案一:
不更换核心设备
核心仍然采用锐捷网络 S4909交换机, 在中校区增加一台 SAM 服务器, 部署 SAM 系统, 同时东校区和西校区各用3台 S2126G 替换原有 S1926F+, 其中汇聚交换机各采用一台新增的 S2126G, 剩余的两台 S2126G 用于加强对关键机器的保护, 中校区的网络结构也做相应的调整, 采用现有的两台 S2126G 做为汇聚设备, 其它交换机分别接入这两台交换机, 从而实现所有汇聚层交换机都能进行安全控制, 重点区域在接入层进行安全控制的网络布局。
2. 3骨干网络设计 骨干网络由 RG-S8606构成, 核心交换机 RG-S8606主要具有5特性:
整个骨干网采用千兆双规线路的设计, 二条线路通过 VRRP 冗余路由协议和 OSPF 动态路由协议实现负载分担和冗余备份, 以后, 随着网络流量的增加, 可以将链路升级到万兆。
CPP 即 CPU Protect Policy, RG-S8606采用硬件来实现, CPP 提供管理模块和线卡 CPU 的保护功能, 对发往CPU 的数据流进行带宽限制(总带宽、 QOS 队列带宽、 类型报文带宽)
, 这样, 对于 ARP 攻击的数据流、 针对CPU 的网络攻击和病毒数据流, RG-S8606分配给其的带宽非常的有限, 不会影响其正常工作。
由于锐捷10万兆产品 RG-S8606采用硬件的方式实现, 不影响整机的运行效率 现在的网络需要更安全、 需要为不同的业务提供不同的处理优先级, 这样, 大量的 ACL 和 QOS 需要部署, 需要核心交换机来处理, 而这些应用属于对交换机硬件资源消耗非常大的, 核心交换机 RG-S8606通过在交换机的每一个用户端口上增加一个 FFP(快速过滤处理器) , 专门用来处理 ACL 和 QOS, 相当于把交换机的每一个端口
都变成了一台独立的交换机, 可以保证在非常复杂的网络环境中核心交换机的高性能。
1、 网络病毒的防范 病毒产生的原因:
某校园网很重要的一个特征就是用户数比较多, 会有很多的 PC 机缺乏有效的病毒防范手段, 这样, 当用户在频繁的访问 INTERNET 的时候, 通过局域网共享文件的时候, 通过 U 盘, 光盘拷贝文件的时候, 系统都会感染上病毒, 当某个学生感染上病毒后, 他会向校园网的每一个角落发送, 发送给其他用户,发送给服务器。
病毒对校园网的影响:
校园网万兆、 千兆、 百兆的网络带宽都被大量的病毒数据包所消耗, 用户正常的网络访问得不到响应, 办公平台不能使用; 资源库、 VOD 不能点播; INTERNET 上不了, 学生、 老师面临着看着丰富的
校园网资源却不能使用的尴尬境地。
2、 防止 IP、 MAC 地址的盗用 IP、 MAC 地址的盗用的原因:
某校园网采用静态 IP 地址方案, 如果缺乏有效的 IP、 MAC 地址管理手段, 用户可以随意的更改 IP 地址, 在网卡属性的高级选项中可以随意的更改 MAC 地址。
如果用户有意无意的更改自己的 IP、 MAC 地址, 会引起多方冲突, 如果与网关地址冲突, 同一网段内的所有用户都不能使用网络; 如果恶意用户发送虚假的 IP、 MAC 的对应关系, 用户的大量上网数据包都落入恶意用户的手中, 造成 ARP 欺骗攻击。
IP、 MAC 地址的盗用对校园网的影响:
在用户看来, 校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的 IP、 MAC 冲突的现象导致了用户经常不能使用网络上的资源, 而且, 用户在正常工作和学习时候,自己的电脑上会经常弹出 MAC 地址冲突的对话框。
由于担心一些机密信息比如银行卡账户、 密码、 邮箱密码泄漏, 用户会尽量减少网络的使用, 这样, 学生、 老师对校园网以及网络中心的信心会逐渐减弱, 投入几百万的校园网也就不能充分发挥其服务于教学的作用, 造成很大程度上的资源浪费。
3、 安全事故发生时候, 需要准确定位到用户 安全事故发生时候, 需要准确定位到用户原因:
国家的要求:
2002年, 朱镕基签署了 282号令, 要求各大 INTERNET 运营机构(包括高校)
必须要保存60天的用户上网记录, 以待相关部门审计。
校园网正常运行的需求:
如果说不能准确的定位到用户, 学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂, 更严重的是, 如果当某个学生在校外的某个站点发布了大量涉及政治的言论, 这时候公安部门的网络信息安全监察科找到我们的时候, 我们无法处理, 学校或者说网络中心只有替学生背这个黑锅。
4、 安全事故发生时候, 不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后, 很容易在社会上广泛传播, 上级主管部门会对学校做出处理; 同时也会大大降低学校在社会上的影响力, 降低家长、 学生对学校的满意度, 对以后学生的招生也是大有影响的。
5、 用户上网时间的控制 无法控制学生上网时间的影响:
如果缺乏有效的机制来限制用户的上网时间, 学生可能会利用一切机会上网,会旷课。
学生家长会对学校产生强烈的不满, 会认为学校及其的不负责任, 不是在教书育人。
这对学校的声誉以及学校的长期发展是及其不利的。
6、 用户网络权限的控制
在校园网中, 不同用户的访问权限应该是不一样的, 比如学生应该只能够访问资源服务器, 上网, 不能访问办公网络、 财务网络。
办公网络的用户因该不能访问财务网络。
因此, 需要对用户网络权限进行严格的控制。
7、 各种网络攻击的有效屏蔽 校园网中常见的网络攻击比如 MAC FLOOD、 SYN FLOOD、 DOS 攻击、 扫描攻击、 ARP 欺骗攻击、 流量攻击、 非法组播源、 非法 DHCP 服务器及 DHCP 攻击、 窃取交换机的管理员密码、 发送大量的广播报文, 这些攻击的存在,会扰乱网络的正常运行, 降低了校园网的效率。
2.4.2.1 安全到边缘的设计思想 用户在访问网络的过程中, 首先要经过的就是交换机, 如果我们能在用户试图进入网络的时候, 也就是在接入层交换机上部署网络安全无疑是达到更好的效果。
2.4.2.2 全局安全的设计思想 锐捷网络提倡的是从全局的角度来把控网络安全, 安全不是某一个设备的事情, 应该让网络中的所有设备都发挥其安全功能, 互相协作, 形成一个全民皆兵的网络, 最终从全局的角度把控网络安全。
2.4.2.3 全程安全的设计思想
用户的网络访问行为可以分为三个阶段, 包括访问网络前、 访问网络的时候、 访问网络后。
对着每一个阶段, 都应该有严格的安全控制措施。
2.4.3 某校园网网络安全方案 锐捷网络结合 SAM 系统和交换机嵌入式安全防护机制设计的特点, 从三个方面实现网络安全:
事前的准确身份认证、 事中的实时处理、 事后的完整审计。
2.4.3.1 事前的身份认证 对于每一个需要访问网络的用户, 我们需要对其身份进行验证, 身份验证信息包括用户的用户名/密码、 用户 PC 的 IP 地址、 用户 PC 的 MAC 地址、 用户 PC 所在交换机的 IP 地址、 用户PC 所在交换机的端口号、 用户被系统定义的允许访问网络的时间, 通过以上信息的绑定, 可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一, 避免了个人信息被盗用.
当安全事故发生的时候, 只要能够发现肇事者的一项信息比如 IP 地址, 就可以准确定位到该用户, 便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网, 防止非法用户的非法接入, 这也切断了恶意用户企图向校园网中传播网络病毒、 黑客程序的通道。
2.4.3.2 网络攻击的防范
1、 常见网络病毒的防范 对于常见的比如冲击波、 振荡波等对网络危害特别严重的网络病毒, 通过部署扩展的 ACL,能够对这些病毒所使用的 TCP、 UDP 的端口进行防范, 一旦某个用户不小心感染上了这种类型的病毒, 不会影响到网络中的其他用户, 保证了校园网网络带宽的合理使用。
2、 未知网络病毒的防范 对于未知的网络病毒, 通过在网络中部署基于数据流类型的带宽控制功能, 为不同的网络应用分配不同的网络带宽, 保证了关键应用比如 WEB、 课件资源库、 邮件数据流有足够可用的带宽, 当新的病毒产生时, 不会影响到主要网络应用的运行, 从而保证了网络的高可用性。
3、 防止 IP 地址盗用和 ARP 攻击 通过对每一个 ARP 报文进行深度的检测, 即检测 ARP 报文中的源 IP 和源 MAC 是否和端口安全规则一致, 如果不一致, 视为更改了 IP 地址, 所有的数据包都不能进入网络, 这样可有效防止安全端口上的 ARP 欺骗, 防止非法信息点冒充网络关键设备的 IP(如服务器)
, 造成网络通讯混乱。
4、 防止假冒 IP、 MAC 发起的 MAC Flood\SYN Flood 攻击 通过部署 IP、 MAC、 端口绑定和 IP+MAC 绑定(只需简单的一个命令就可以实现)
。
并实现端口反查功能, 追查源 IP、 MAC 访问, 追查恶意用户。
有效的防止通过假冒源 IP/MAC 地址进行网络的攻击, 进一步增强网络的安全性。
5、 非法组播源的屏蔽 锐捷产品均支持 IMGP 源端口检查, 实现全网杜绝非法组播源, 指严格限定 IGMP 组播流的进入端口。
当 IGMP 源端口检查关闭时, 从任何端口进入的视频流均是合法的, 交换机会把它们转发到已注册的端口。
当 IGMP 源端口检查打开时, 只有从路由连接口进入的视频流才是合法的, 交换机把它们转发向已注册的端口; 而从非路由连接口进入的视频流被视为是非法的, 将被丢弃。
锐捷产品支持 IGMP 源端口检查, 有效控制非法组播, 实现全网杜绝非法组播源, 更好地提高了网络的安全性和全网的性能, 同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势, 而且也是网络带宽合理的分配所必须的。
同时IGMP 源端口检查, 具有效率更高、 配置更简单、 更加实用的特点, 更加适用于校园运营网络大规模的应用环境。
6、 对 DOS 攻击, 扫描攻击的屏蔽 通过在校园网中部署防止 DOS 攻击, 扫描攻击, 能够有效的避免这二种攻击行为, 节省了网络带宽, 避免了网络设备、 服务器遭受到此类攻击时导致的网络中断。
2.4.3.3 事后的完整审计 当用户访问完网络后, 会保存有完备的用户上网日志纪录, 包括某个用户名, 使用那个 IP 地址, MAC 地址是多少, 通过那一台交换机的哪一个端口, 什么时候开始访问网络, 什么时候结束, 产生了多少流量。
如果安全事故发生, 可以通过查询该日志, 来唯一的确定该用户的身份, 便于了事情的处理。
2.5 网络管理设计 网络管理包括设备管理、 用户管理、 网络故障管理 2.5.1 网络用户管理 网络用户管理见网络运营设计开户部分 2.5.2 网络设备管理 网络设备的管理通过 STARVIEW 实现, 主要提供以下功能, 这些功能也是我们常见的解决问
题的思路:
1、 网络现状及故障的自动发现和了解 STARVIEW 能自动发现网络拓扑结构, 让网络管理员对整个校园网了如指掌, 对于用户私自挂接的 HUB、 交换机等设备能及时地发现, 提前消除各种安全隐患。
对于网络中的异常故障, 比如某台交换机的 CPU 利用率过高, 某条链路上的流量负载过大,STARVIEW 都可以以不同的颜色进行显示, 方便管理员及时地发现网络中的异常情况。
2、 网络流量的查看 STARVIEW 在网络初步异常的情况下, 能进一步的察看网络中的详细流量, 从而为网络故障的定位提供了丰富的数据支持。
3、 网络故障的信息自动报告 STARVIEW 支持故障信息的自动告警, 当网络设备出现故障时, 会通过 TRAP 的方式进行告警, 网络管理员的界
面上能看到各种故障信息, 这些信息同样为管理员的故障排除提供了丰富的信息。
4、 设备面板管理 STARVIEW 的设备面板管理能够很清楚的看到校园中设备的面板, 包括端口数量、 状态等等, 同时可以很方便
的登陆到设备上, 进行配置的修改, 完善以及各种信息的察看。
5、 RGNOS 操作系统的批量升级 校园网很大的一个特点就是规模大, 需要使用大量的接入层交换机, 如果需要对这些交换机进行升级, 一台一台的操作, 会给管理员的工作带来很大的压力, STARVIEW 提供的操作系统的批量升级功能, 能够很方便的一次对所有的相同型号的交换机进行升级, 加大的较少了网络管理员的工作量。
2. 5. 3网络故障管理 随着校园网用户数的增多, 尤其是宿舍网运营的开始, 用户网络故障的排除会成为校园网管理工作的重点和难点, 传统的网络故障解决方式主...
篇四:企业网络安全设计方案
安全解決方案網路安全解決方案網路安全解決方案網路安全解決方案防火牆防火牆漢康科技漢康科技 資訊安全產品經理資訊安全產品經理漢康科技漢康科技 資訊安全產品經理資訊安全產品經理蕭智仁蕭智仁steven@khmail.fast.com.twsteven@khmail.fast.com.tw防火牆防火牆防火牆是一座阻止外界入侵的前哨站, 入侵者的傷害只能到防火牆為止, 在防火牆未被破壞之前, 外界都不能侵犯到內部網路到內部網路TCP/IPInternet防火牆
防火牆的類型防火牆的類型 Packet FiltersPacket FiltersCircuit- -Level GatewaysLevel GatewaysApplication Proxy (Application Gateway)Stateful Multilayer InspectionDual- -HomedHomedTri- -HomedHomedMulti- -HomedHomed Circuit Application Proxy (Application Gateway) Stateful Multilayer Inspection Dual Tri Multi
OSI StackApplication 防火牆採用的技術,防火牆採用的技術,依據依據依據依據OSI StackOSI Stack的位置而有不同的:而有不同的: 安全性安全性 封包流量效能封包流量效能的位置的位置的位置PresentationSessionTransportNetworkNetworkData LinkPhysical
Packet FilteringInternalNetworkNetworkFirewallExternalExternalNetworkClientPer-PacketExaminationRouterInternetApplicationApplicationNetworkPresentationSessionTransportData LinkPhysical
Packet Filtering說明 封包過濾器比較每個封包的部份資料封包過濾器比較每個封包的部份資料 遇到符合條件的封包遇到符合條件的封包 = = 允許封包通過 遇到符合條件的封包遇到符合條件的封包 = 決定封包通過決定封包通過/ /阻擋的條件可以是:阻擋的條件可以是: IP IP 位址位址 封包類型封包類型(TCP/UDP)(TCP/UDP) 服務類型服務類型(Telnet,FTP,HTTP,SMTP…)(Telnet,FTP,HTTP,SMTP…)最大的好處是可提供最快的封包流量 對於使用者而言是完全透過的對於使用者而言是完全透過的安全性不足是最大的缺點, 因為在內部使用者與外部主機是直接連線的, 內部網路設定被暴露在外部網路主機是直接連線的, 內部網路設定被暴露在外部網路中 中 無法查覺到連線過程或應用程式的活動無法查覺到連線過程或應用程式的活動 無法監督連線的狀態無法監督連線的狀態允許封包通過 或= 允許封包通過允許封包通過 或或 阻擋封包通過阻擋封包通過或 阻擋封包通過阻擋封包通過 最大的好處是可提供最快的封包流量 安全性不足是最大的缺點, 因為在內部使用者與外部
Circuit-Level GatewayExternalNetworkInternalNetworkNetworkFirewallClientConnectionState TableConnectionState TableConnectionState TableRouterInternetApplicationNetworkPresentationSessionTransportData LinkPhysical
Circuit-Level Gateway說明 在在OSIOSI通讯堆栈中的数据传输层通讯堆栈中的数据传输层(layer 4)或者拒绝网络流量或者拒绝网络流量或者拒绝网络流量或者拒绝网络流量适当地识别所指定的通讯端口, 这个通讯端口将保持开放直到联机中止开放直到联机中止应用程序使用公认的通讯端口(通常与应用或服务有关联)
例如:关联)
例如:
TelnetTelnet- -port 23port 23 CircuitCircuit- -Level GatewayLevel Gateway的限制的限制信认所指定的通讯端口就是其公认的服务或应用无法监督交谈层(session(session- -level)程序的动态程序的动态 CircuitCircuit- -Level Level 比比 packet filtering packet filtering 更安全 CircuitCircuit- -Level Level 比比 ????宸宸(layer 4)来决定要允许来决定要允许 适当地识别所指定的通讯端口, 这个通讯端口将保持 应用程序使用公认的通讯端口(通常与应用或服务有 信认所指定的通讯端口就是其公认的服务或应用 无法监督交谈层level)的活动及无法侦测应用的活动及无法侦测应用更安全
Application ProxyInternalNetworkFirewallE tExternalNetworklApplicationClientServerClientRouterInternetPresentationSessionTransportNetworkData LinkPhysical
Application Proxy說明 內部使用者無法直接連接到外部主機,內部使用者無法直接連接到外部主機, Application GatewayGateway扮演外部主機的代傳角色扮演外部主機的代傳角色GatewayGateway扮演外部主機的代傳角色扮演外部主機的代傳角色Application 內部網路的設定被保護隱藏起來, 可以更澈底的檢查內部網路的設定被保護隱藏起來, 可以更澈底的檢查資料, 因此也就是最高階層的防火牆安全資料, 因此也就是最高階層的防火牆安全應用或網路服務通過的Application ProxyApplication Proxy是經過安全強化的程式強化的程式在應用層(application layer)(application layer)作業直接解譯及回應應用程式不必理會通訊埠或者協定程式不必理會通訊埠或者協定程式不必理會通訊埠或者協定程式不必理會通訊埠或者協定完整察驗應用層(application(application- -level)兩個分開的網路界面卡最差的封包流量效能最安全的方式 應用或網路服務通過的是經過安全 在應用層作業直接解譯及回應應用 完整察驗應用層level) 兩個分開的網路界面卡 最差的封包流量效能 最安全的方式
Stateful Multi-Layer Inspection 結合結合circuitapplicationapplication le elapplicationapplication- -level例如:
connectionlessconnectionless服務circuitcircuit- -level gatewayslevel gateways無法監督到的Inspection模組在作業系統核心程式中介於資模組在作業系統核心程式中介於資料連結層料連結層(data link)(data link)及網路層及網路層( (network layers)之間之間之間之間Stateful 比比 packet filtering packet filtering 速度慢Stateful 比比 packet filtering packet filtering 更安全一點circuit- -layer gatewaylayer gateway以及有限的le el查驗查驗level查驗查驗以及有限的 例如:服務(UDP)(UDP)通常是無法監督到的通常是 Inspectionnetwork layers)ApplicationApplication Stateful 速度慢更安全一點 Stateful PresentationSessionTransportNetworkData LinkPhysical
Stateful Multi-Layer Inspection 內連及外連的封包被攔截並被檢查內連及外連的封包被攔截並被檢查在息在息 在訊息在訊息(“raw message”)(“raw message”)中的所有被檢查的資訊包含有:訊包含有:– –較高層次較高層次, , 訊息資料訊息資料( (封包的應用內容封包的應用內容) )– –IP IP位址、 通訊埠號碼及任何其他用來決定是否可位址、 通訊埠號碼及任何其他用來決定是否可以符合條件定義的封包資訊以符合條件定義的封包資訊有些建構在其上的IP IP及應用服務的內部結構及應用服務的內部結構有些建構在其上的有些建構在其上的及應用服務的內部結構及應用服務的內部結構是是statelessstateless的協定的協定 例如例如: UDP, RPC中中中的所有被檢查的資有被檢查有被檢查資資 有些建構在其上的: UDP, RPC
OSI Stack & FirewallApplicationApplication Proxy (Gateway)ppPresentationSessionTransportNet orkNetworky (y)Circuit-Level GatewayData LinkPhysicalStateful Multi-Layer Inspection
郵差的故事Packet FiltersPackets pass unchangedCircuit GatewaysTCP connection relayedIncreasing SeccurityITDataITDataIITTD tDataITDataITDataApplication GatewaysData relayed by application specific proxiesITData
D ual-Home FirewallExternalNetworkInternalNetworkFirewallClient1RouterInternet2 兩片分離的網路卡介面, 分別連接內部兩片分離的網路卡介面, 分別連接內部及外部網路及外部網路 在兩片網路卡間無法直傳遞在兩片網路卡間無法直傳遞IPIP封包封包
Tri-Homed FirewallExternalNetworkInternalNetworkFirewall 三片分離的網路卡分三片分離的網路卡分別連接內部網路、 外別連接內部網路、 外別連接內部網路、 外別連接內部網路、 外部網路及公開伺服器部網路及公開伺服器網段網段Client13RouterInternet2WWW 為了公開伺服為了公開伺服器的安全, 獨器的安全, 獨立一段網路讓立一段網路讓這些伺服器也這些伺服器也可以受到防火可以受到防火牆保護牆保護NewsMail
Multi-Homed FirewallInternetFirewall 支援多片網路卡界面, 分別連向不同網路支援多片網路卡界面, 分別連向不同網路 可因應組織在不同網段間需要不同安全政可因應組織在不同網段間需要不同安全政策的要求策的要求
Security vs ThroughputApplication ppProxyAll 3Application ProxyCiit LCircuit-Level GatewayPacket Filterl G t•SecureZone•Sidewinder•Sidewinder•RaptorSecurityStateful Multi-layer InspectionCircuit-Level Gateway•TIS•CheckPointThroughputPacket Filter•SUN•Network Systems
防火牆的其他技術防火牆的其他技術 NAT(Network Address Translation)NAT(Network Address Translation) MAT(Multiple Address Translation)MAT(Multiple Address Translation) VPN(Virtual Private Network)VPN(Virtual Private Network) Authentication ServerAuthentication Server
NAT(Network Address Translation)F wI aI
ar
le
lInternetInternal193.128.191.242193.128.191.243193.128.191.244193.128.191.24510.0.0.1HOST3HOST2HOST110.0.0.1010.0.0.2010.0.0.30alias external IP addressesregistered external IP address多對一的轉換Outgoing10.0.0.1010.0.0.2010.0.0.30193.128.191.242 用來隱藏內部網路用來隱藏內部網路IP IP位址, 提高內部網路安全性位址, 提高內部網路安全性Outgoing (source rewrite)10.0.0.1010.0.0.2010.0.0.30多對多的轉換193.128.191.243193.128.191.244193.128.191.245
MAT(Multiple Address Translation)F wI aI
ar
le
lInternetInternal193.128.191.242193.128.191.243193.128.191.244193.128.191.24510.0.0.1HOST3HOST2HOST110.0.0.1010.0.0.2010.0.0.30alias external IP addressesregistered external IP addressIncoming (destination rewrite)193.128.191.243193.128.191.244193.128.191.245多對多的轉換10.0.0.1010.0.0.2010.0.0.10 用來提供防火牆用來提供防火牆IP IP位址重導功能, 不讓外部使用者位址重導功能, 不讓外部使用者可以直接存取內部網路伺服器可以直接存取內部網路伺服器同一通訊埠下一個外部IP IP對應一個內部部部IP IP可對應內部多部伺服器可對應內部多部伺服器 同一通訊埠下一個外部對應一個內部IP IP, , 多個外多個外
VPN(Virtual Private Network)FiFirewallllFiFirewallllI tInternettGatewayEncrypted and Transparent Access **Single MachineMobil PCFirewallInternet VPNVPN技術不同地區網路間建立安全可靠的通道不同地區網路間建立安全可靠的通道透過VPNVPN連線前的認證協定, 可確保連線前的認證協定, 可確保VPN或機器是相互信認的或機器是相互信認的技術讓組織即使透過網際網路的線路也可以在讓組織即使透過網際網路的線路也可以在 透過VPN兩端網路兩端網路Encrypted and Transparent Access **
防火牆技術-AS(Authentication Server)SafeWord• SafeWord• Radius• SecureID• AxentAuthenticationServerInternalAuthenticationAuthenticationFIrewallUsersMISMISTelnet MISChallenge:1234567Response:987654Response:987654login MIS 固定密碼的身份認證並不安全固定密碼的身份認證並不安全支援OneOne- -time passwordtime password的認證伺服器才可以確保通的認證伺服器才可以確保通過防火牆的使用者是真正允許的使用者過防火牆的使用者是真正允許的使用者 支援Challenge:1234567
防火牆的基本功能 經安全強化的作業系統經安全強化的作業系統(Secured OS)使用Application Level GatewayApplication Level Gateway的技術 使用使用Application Level GatewayApplication Level Gateway的技術可以防止各種攻擊手段( (Attack)可支援TriTri- -HomedHomed網路架構網路架構內建一般性的ProxyProxy程式, 也可以自定可支援NAT(Network Address Translation)NAT(Network Address Translation)功能可支援MAT(Multiple Address Translation)MAT(Multiple Address Translation)功能支援VPN(Virtual Private Network)VPN(Virtual Private Network)功能 支援支援VPN(Virtual Private Network)VPN(Virtual Private Network)功能圖形化的管理界面(可支援遠端管理)連線記錄及統計報表防火牆異常狀況通知提供許多 network diagnostic network diagnostic 工具可診斷相關網路問題(Secured OS) 使用的技術的技術 可以防止各種攻擊手段Attack) 可支援 內建一般性的程式, 也可以自定TCP/UDP ProxyTCP/UDP Proxy 可支援功能功能 可支援 支援功能功能 圖形化的管理界面(可支援遠端管理) 連線記錄及統計報表 防火牆異常狀況通知 提供許多工具可診斷相關網路問題
防火牆...
篇五:企业网络安全设计方案
章 网络安全方案设计内容提要本章从网络安全工程的角度探讨一仹网络安全方案的编写介绍网络安全方案设计的注意点以及网络安全方案的编写框架最后利用一个案例说明网络安全的需求以及针对需求的设计方案以及完整的实施方案。
网络安全方案概念网络安全方案可以认为是一张施工的图纸图纸的好坏直接影响到工程的质量。总的来说网络安全方案涉及的内容比较多比较广比较专业和实际。
网络安全方案设计的注意点对于一名从事网络安全的人来说网络必须有一个整体、动态的安全概念。总的来说就是要在整个项目中有一种总体把握的能力不能只关注自己熟悉的某一领域而对其他领域毫不关心甚至不理解这样写不出一仹好的安全方案。因为写出来的方案就是要针对用户所遇到的问题运用产品和技术解决问题。设计人员只有对安全技术了解的很深对产品线了解的很深写出来的方案才能接近用户的要求。
评价网络安全方案的质量一仹网络安全方案需要从以下8个方面来把握。1、体现唯一性由于安全的复杂性和特殊性唯一性是评估安全方案最重要的一个标准。实际中每一个特定网络都是唯一的需要根据实际情况来处理。2、对安全技术和安全风险有一个综合把握和理解包括现在和将来可能出现的所有情况。3、对用户的网络系统可能遇到的安全风险和安全威胁结合现有的安全技术和安全风险要有一个合适、中肯的评估不能夸大也不能缩小。4、对症下药用相应的安全产品、安全技术和管理手段降低用户的网络系统当前可能遇到的风险和威胁消除风险和威胁的根源增强整个网络系统抵抗风险和威胁的能力增强系统本身的免疫力。5、方案中要体现出对用户的服务支持。这是很重要的一部分。因为产品和技术都将会体现在服务中服务来保证质量、服务来提高质量。6、在设计方案的时候要明白网络系统安全是一个动态的、整体的、专业的工程不能一步到位解决用户所有的问题。7、方案出来后要不断的和用户进行沟通能够及时的得到他们对网络系统在安全方面的要求、期望和所遇到的问题。8、方案中所涉及的产品和技术都要经得起验证、推敲和实施要有理论根据也要有实际基础。
网络安全方案的框架总体上说一仹安全解决方案的框架涉及6大方面可以根据用户的实际需求取舍其中的某些方面。 1、概要安全风险分析 2、实际安全风险分析 3、网络系统的安全原则 4、安全产品 5、风险评估 6、安全服务
网络安全案例需求网络安全的唯一性和动态性决定了不同的网络需要有不能的解决方案。通过一个实际的案例可以提高安全方案设计能力。项目名称是卓越信息集团公司公司名为虚构网络信息系统的安全管理。
项目要求集团在网络安全方面提出5方面的要求1、安全性全面有效的保护企业网络系统的安全保护计算机硬件、软件、数据、网络不因偶然的或恶意破坏的原因遭到更改、泄漏和丢失确保数据的完整性。2、可控性和可管理性可自动和手动分析网络安全状况适时检测并及时发现记录潜在的安全威胁制定安全策略及时报警、阻断不良攻击行为具有很强的可控性和可管理性。3、系统的可用性在某部分系统出现问题的时候不影响企业信息系统的正常运行具有很强的可用性和及时恢复性。4、可持续发展满足卓越信息集团公司业务需求和企业可持续发展的要求具有很强的可扩展性和柔韧性。5、合法性所采用的安全设备和技术具有我国安全产品管理部门的合法认证。
工作仸务该项目的工作仸务在于四个方面1、研究卓越信息集团公司计算机网络系统包括各级机构、基层生产单位和移动用户的广域网的运行情况包括网络结构、性能、信息点数量、采取的安全措施等对网络面临的威胁以及可能承担的风险进行定性与定量的分析和评估。2、研究卓越信息集团公司的计算机操作系统包括服务器操作系统、客户端操作系统等的运行情况包括操作系统的版本、提供的用户权限分配策略等在操作系统最新发展趋势的基础上对操作系统本身的缺陷以及可能承担的风险进行定性和定量的分析和评估。3、研究卓越信息集团公司的计算机应用系统包括信息管理信息系统、办公自动化系统、电网实时管理系统、地理信息系统和Internet/Intranet信息发布系统等的运行情况包括应用体系结构、开发工具、数据库软件和用户权限分配策略等在满足各级管理人员、业务操作人员的业务需求的基础上对应用系统存在的问题、面临的威胁以及可能承担的风险进行定性与定量的分析和评估。4、根据以上的定性和定量的评估结合用户需求和国内外网路安全最新发真趋势有针对地制定卓越信息集团公司计算机网络系统的安全策略和解决方案确保该集团计算机网络信息系统安全可靠的运行。
解决方案设计零点网络安全公司公司名为虚构通过招标以50万的工程造价得到了该项目的实施权。在解决方案设计中需要包含九方面的内容公司背景简介、卓越信息集团的安全风险分析、完整网络安全实施方案的设计、实施方案计划、技术支持和服务承诺、产品报价、产品介绍、第三方检测报告和安全技术培训。一仹网络安全设计方案应该包括九个方面公司背景简介、安全风险分析、解决方案、实施方案、技术支持和服务承诺、产品报价、产品介绍、第三方检测报告和安全技术培训。
公司背景简介介绍零点网络安全公司的背景需要包括公司简介、公司人员结构、曾经成功的案例、产品或者服务的许可证或认证。1、零点网络安全公司简介2、公司的人员结构3、成功的案例4、产品的许可证或服务的认证5、卓越信息集团实施网络安全意义
安全风险分析对网络物理结构、网络系统和应用进行风险分析。1、现有网络物理结构安全分析详细分析卓越信息集团公司与各分公司得网络结构包括内部网、外部网和远程网。2、网络系统安全分析详细分析卓越信息集团公司与各分公司网络得实际连接、Internet的访问情况、桌面系统的使用情况和主机系统的使用情况找出可能存在得安全风险3、网络应用的安全分析详细分析卓越信息集团公司与各分公司的所有服务系统以及应用系统找出可能存在的安全风险。
解决方案解决方案包括五个方面1、建立卓越信息集团公司系统信息安全体系结构框架2、技术实施策略3、安全管理工具4、紧急响应5、灾难恢复
实施方案实施方案包括项目管理以及项目质量保证。1、项目管理2、项目质量保证
技术支持和服务承诺包括技术支持的内容和技术支持的方式。1、技术支持的内容包括安全项目中所包括的产品和技术的服务提供的技术和服务包括1安装调试项目中所涉及的全部产品和技术。2安全产品以及技术文档。3提供安全产品和技术的最新信息。4服务器内免费产品升级。2、技术支持方式安全项目完成以后提供的技术支持服务内容包括(1)客户现场24小时支持服务。2客户支持中心热线电话。3客户支持中心Email服务。4客户支持中心Web服务。
产品报价项目所涉及到全部产品和服务的报价。
产品介绍卓越信息集团公司安全项目中所有涉及到的产品介绍主要是使用户清楚所选择的产品使什么不用很详细但要描述清除。
第三方检测报告由一个第三方的中立机构对实施好的网络安全构架进行安全扫描与安全检测并提供相关的检测报告。
安全技术培训1、管理人员的安全培训2、安全技术基础培训3、安全攻防技术培训4、Windows 9X/NT/2000/2003的系统安全管理培训5、Unix系统的安全管理培训6、安全产品的培训
本章总结本章需要理解网络安全方案的基本概念在编写网络安全方案的时候需要注意的地方如何评价网络安全方案的质量重点掌握如何根据需求写出一仹完整的网络安全的解决方案。
本章习题【1】、设计网络安全方案需要注意哪些地方【2】、如何评价一仹网络安全的质量【3】、网络安全方案框架包含哪些内容编写的时候需要注意什么【4】、进行社会调查结合实际编写一仹完整的网络安全解决方案。课程设计
篇六:企业网络安全设计方案
/p>京唐港股份有限公司 网络安全建设实施方案
二 OO 七年二月
2 目录 1 2 概述 ........................................................................................................................................... 4 网络系统安全建设 .................................................................................................................... 4 2.1 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 2.4.6 2.4.7 2.4.8 2.4.9 2.4.10 2.4.11 2.4.12 异地网接入安全建设 .............................................................................................................. 56 3.1 3.2 3.3 3.4 3.5 3.6 机房设备集中监控管理 .......................................................................................................... 67 4.1.1 4.1.2 4.1.3 4.1.4 4.2 4.2.1 安全现状分析 .................................................................................................................... 4 安全风险分析 .................................................................................................................... 5 物理安全 ................................................................................................................... 5 网络安全与系统安全 ................................................................................................ 5 应用安全 ................................................................................................................... 6 安全管理 ................................................................................................................... 6 安全需求分析 .................................................................................................................... 7 物理安全需求分析 .................................................................................................... 7 网络安全与系统安全 ................................................................................................ 7 应用安全 ................................................................................................................... 8 安全管理 ................................................................................................................... 8 安全实施方案 .................................................................................................................... 9 物理安全防护 ............................................................................................................ 9 备份与恢复 ................................................................................................................ 9 访问控制 ................................................................................................................. 10 系统安全 ................................................................................................................. 10 网段划分与虚拟局域网 ........................................................................................... 11 办公网整体安全建议 .............................................................................................. 12 防火墙实施方案 ...................................................................................................... 14 入侵检测系统实施方案 ........................................................................................... 21 漏洞扫描系统实施方案 ........................................................................................... 30 身份认证系统实施方案 ........................................................................................... 34 安全审计系统实施方案 ........................................................................................... 40 防病毒系统实施方案 .............................................................................................. 44 3 接入方式选择 .................................................................................................................. 57 安全性分析 ...................................................................................................................... 58 两种方式优势特点 .......................................................................................................... 58 VPN 原理介绍 ................................................................................................................. 59 VPN 的选型 ..................................................................................................................... 64 财务系统安全防护 .......................................................................................................... 67 4 设备及应用系统管理现状 ....................................................................................... 67 建立机房集中控制管理系统需求............................................................................ 67 集中控制管理系统方案实现 ................................................................................... 68 功能特点 ................................................................................................................. 69 监控显示系统 .................................................................................................................. 69 投影显示系统 .......................................................................................................... 69
3 4.2.2 网络管理中心 .......................................................................................................................... 70 5.1.1 5.1.2 桌面管理及补丁分发中心 ....................................................................................................... 73 6.1.1 6.1.2 网络设备升级 .......................................................................................................................... 82等离子显示系统 ...................................................................................................... 69 5 建立网络管理中心需求 ........................................................................................... 70 网络管理功能实现 .................................................................................................. 70 6 建立桌面管理中心需求 ........................................................................................... 73 桌面管理功能实现 .................................................................................................. 75 7
4 1 概述 京唐港股份有限公司办公大楼网络信息系统目前刚刚投入使用 主要包括新建大厦、旧办公区办公网络以及部分省市办事处专网该套网络与 Internet 互联将要实现整个业务系统的办公自动化包括业务系统使用、数据存储备份、文件共享、对外宣传等 同时还要为员工相关业务应用及学习提供便利的上网条件所以该网络既是办公系统的承载体也是威胁风险的承受体在公司规模日渐壮大的今天 网络规模也相应的在不断的扩大相关的配套网络及安全设备虽然具有较新的技术和功能但还不足以抵御纷繁复杂的互联网的威胁整个网络的安全也需要做相应的增强防护另外从设备及应用的管理角度来看可以采取一些智能和高效的管理手段及措施 在保障业务正常运行了同时保证系统的安全可靠减少和简化安全管理提高系统工作效率。
本方案将着重从安全系统的整体建设及相应的一些网络管理手段上具体分析 并提出可行性的实施方案 把目前在使用过程中遇到的一些问题解决并防患于未然同时为用户提供一整套安全及网络管理措施把公司网络建设成为一个符合业务需求、安全可靠、容易管理操作的高质量的办公网络。
2 网络系统安全建设 2.1 安全现状分析 京唐港股份有限公司依托于京唐港整体规划建设和发展 将承载着越来越多的港口业务等工作特别是随着信息化办公的进一步深入自动化办公的便利和效率可以说是公司发展壮大的必要手段 但是京唐港股份有限公司办公大楼是整个公司信息的核心地带 不但为本地员工及另外一个园区的业务人员提供各种办公应用服务而且在各地已经或是将要成立办事处实现远程办公并且各个位置和部门的业务需求又不尽相同在这种网络结构较为庞大多层次、多应用的网络中安全是一项很重要的任务和保证措施。
目前该网络已经建设完成安全手段主要在网络边界处采取了防火墙在
5 整个网络中部署了网络版杀毒软件和网管软件 其他安全措施主要是依靠个人的安全意识和行为现阶段全网已经爆发了多次病毒感染等问题一定程度上影响了办公的效率所以有必要进一步从技术角度完善安全系统。
2.2 安全风险分析 2.2.1 物理安全 物理安全层面存在下述威胁和风险形式 机房毁坏由于战争、自然灾害、意外事故造成机房毁坏大部分设备损坏。
线路中断因线路中断造成系统不能正常工作。
电力中断因电力检修、线路或设备故障造成电力中断。
设备非正常毁坏因盗窃、人为故意破坏造成设备毁坏。
设备正常损坏设备软 、硬件故障造成设备不能正常工作。
存贮媒体损坏因温度 、湿度或其他原因各种数据存储媒体不能正常使用。
2.2.2 网络安全与系统安全 互联网安全隐患互联网会带来的越权访问、恶意攻击、病毒入侵等安全隐患 搭线窃取的隐患黑客或犯罪团体通过搭线和架设协议分析设备非法窃取系统信息 病毒侵袭的隐患病毒在系统内感染、传播和发作 操作系统安全隐患操作系统可能的后门程序、安全漏洞、安全设置不当、安全级别低等缺乏文件系统的保护和对操作的控制让各种攻击有可乘之机 数据库系统安全隐患不能实时监控数据库系统的运行情况数据库数据丢失、被非法访问或窃取 应用系统安全隐患应用系统存在后门、因考虑不周出现安全漏洞等
6 可能出现非法访问 恶意攻击和非法访问拒绝服务攻击网页篡改下载不怀好意的恶意小程序对系统进行恶意攻击对系统进行非法访问等。
2.2.3 应用安全
身份假冒缺少强制认证和加密措施的涉密信息系统关键业务系统被假冒身份者闯入 非授权访问缺少强制认证和加密措施的涉密信息系统关键业务系统被越权访问 数据失、泄密涉密数据在处理、传输、存储过程中被窃取或非授权访问 数据被修改数据在处理、传输、存储过程中被非正常修改和删除 否认操作数据操作者为逃避责任而否认其操作行为。
2.2.4 安全管理
安全管理组织不健全没有相应的安全管理组织缺少安全管理人员编制没有建立应急响应支援体系等。
缺乏安全管理手段 不能实时监控机房工作、 网络连接和系统运行状态不能及时发现已经发生的网络安全事件不能追踪安全事件等。
人员安全意识淡薄无意泄漏系统口令等系统操作信息随意放置操作员 IC 卡私自接入外网私自拷贝窃取信息私自安装程序不按操作规程操作和越权操作擅离岗位没有交接手续等均会造成安全隐患。
管理制度不完善缺乏相应的管理制度人员分工和职责不明没有监督、约束和奖惩机制存在潜在的管理风险。
缺少标准规范系统缺乏总体论证没有或缺少相关的标准规范各子系统各自为政系统的互联性差扩展性不强。
缺乏安全服务 人员缺少安全培训 系统从不进行安全评估和安全加固系统故障不能及时恢复...
篇七:企业网络安全设计方案
络安全》课程设计方案《网络安全》课程设计方案
班级:2013 级网络工程 组别:第六小组
时间:2016 年 7 月 4 日
班级:2013 级网络工程 组别:第六小组
时间:2016 年 7 月 4 日
一、 设计目的与要求 任务 1. 1.按照上述网络拓扑图搭建模拟环境,并通过防火墙严格明确划分出三个不同的安全域。内网至少要划分出两个不同的网段。
2.公司内部对外提供 WWW、FTP 和 SMTP 服务,而且提供两台 WWW 的服务器。WWW服务器 2 对外采用 8080 端口。
3.内网全部采用私有地址,规划和分配内网的 IP 地址,服务器要求采用固定地址,客户端进行动态 IP 地址分配。
任务 2:
利用防火墙的安全机制为内网用户提供一个安全和可靠的网络环境。
4.企业具有 202.38.168.100 至 202.38.168.105 六个合法的 IP 地址。选用202.38.160.100 作为企业对外的 IP 地址,配置网络地址转换,实现内网用户可以使用 202.38.168.101 至 202.38.168.105 中的一个访问互联网,而外部用户只能使用企业对外的 IP 地址来访问企业内部的三个服务,其中内网中的一个网段使用 loopback 接口 IP 地址 202.38.160.106 做为地址转换后 IP 地址。
5.创建访问控制列表实现内外网之间的访问控制。要求创建多种高级 ACL,即基于源、目的 IP 地址,基于源、目的端口,基于时间,基于流量,的访问控制策略,具体规则自定义,每一种具体规则不能少于 2 条。
注:在自定义规则时,应首先重点考虑如何确保内网的安全性,但同时允许内个网之间的正常合法的访问注:在自定义规则时,应首先重点考虑如何确保内网的安全性,但同时允许内个网之间的正常合法的访问。
6.在防火墙上配置一 ASPF 策略,检测通过防火墙的 FTP 和 HTTP 流量。要求:如果该报文是内部网络用户发起的 FTP 和 HTTP 连接的返回报文,则允许其通过防火墙进入内部网络,其他报文被禁止;并且,此 ASPF 策略能够过滤掉来自某服务器×. ×. ×. ×的 HTTP 报文中的 Java applet 和 ActiveX。
7.利用防火墙的黑名单功能,实现服务器和客户机分别位于防火墙 Trust 区域和Untrust 区域中,现要在 30 分钟内过滤掉客户机发送的所有报文。
8.服务器和客户机分别位于防火墙 Trust 区域和 Untrust 区域中,客户机的 IP地址为 202.169.168.1,对应的 MAC 地址为 00e0-fc00-0100,在防火墙上配置IP 地址与 MAC 地址的绑定,保证只有符合上述关系对的报文可以通过防火墙。
9.启用防火墙报文统计分析功能,如果外部网络对 DMZ 区域的服务器发起的 TCP连接数超过了设定的阈值,防火墙将限制外部网络向该服务器发起新连接,直到连接数降到正常的范围。
10.使能防火墙对常见的网络攻击的防范。包括 ARP Flood 攻击防范功能、ARP反向查询攻击防范功能、ARP 欺骗攻击防范功能、IP 欺骗攻击防范功能、Land攻击防范功能、Smurf 攻击防范功能、WinNuke 攻击防范功能、Fraggle 攻击防范功能、Frag Flood 攻击防范功能、SYN Flood 攻击防范功能、ICMP Flood 攻击防范功能、UDP Flood 攻击防范功能、ICMP 重定向报文控制功能、ICMP 不可达报文控制功能、地址扫描攻击防范功能、端口扫描攻击防范功能、带源路由选项 IP 报文控制功能、带路由记录选项 IP 报文控制功能、Tracert 报文控制功能、Ping of Death 攻击防范功能、Teardrop 攻击防范功能、TCP 报文合法性检测功能、IP 分片报文检测功能、超大 ICMP 报文控制功能等。
11.开启信息中心,配置 Trust 区域内的日志主机 IP 地址为×. ×. ×. ×,打开攻击防范的端口扫描攻击开关,将攻击的源地址加入黑名单,老化时间为 10分钟,并使能黑名单功能,并使能 Trust 域的 IP 出方向报文统计。
任务 3 两个小组合并为一个大组,其中一个小组的网络模拟为企业总部的网络,另一个小组的网络模拟为分布在远地的企业下属机构的网络,用两台路由器模拟公网,要求实现企业总部的网络和下属机构的网络通过公网实现远程安全互联。
注:即要求对流径公网的数据实现保密性和完整性。
任 务 二、曹顺三、四、1.区Trusvlanvlanvlanvlan192Dm192Unt20210.12.协本次
务 务 4 针对此网组内成员顺琴 曹顺丽实验拓扑实验过程区域划分、vst 区域:
n2: 192.168n3: 192.168n4: 192.168n5: 192.1682.168.50.0/2mz 区域:
2.168.60.0/2trust 区域:2.38.160.1001.1.0/24 模协议规划 次实验所有
rip 络环境和用 丽 童知婷
程及代码实现vlan 规划和8.10.0 /24 8.20.0/24 8.30.0/24 8.40.0/24 24 用于接入24 服务器
0-202.38.16模拟外网网段有三层设备均用户需求,张芮 郭绍现 和地址分配入路由器与60.106 公网段 均用 rip 路由每组撰写一绍文 赵连鑫与防火墙 网注册 ip 由协议实现一份网络安鑫 郭松超 现全网互通,安全解决方案,主要命令案书。
令如下:
3.D码如dhcdhcip netdnsgatleaquiintip dhcqui4.域
netwohcp 依照任务如下:
p 动态分配p enablepool 10work x.x-list x.eway-listase day t erface vaddress p selectt
域间策略 本次实验我rk x.x.x.x m务书中的要求配 e 0 x.x.x masx.x.x
x.x.x.x9 vlan x (=gatew global 我们主要分mask x.x.x.x求,trust 区k x.x.x.x way-list)分为如上所属x 域所用的私x
属三个区域私有 ip 均为域进行域间通为 dhcp 自动通信。域间策动分配。主要策略截图如 要代如下:
5.N
实现创建nat 实现nat-poliactipolipoliaddr实现poliactipolieasy术,nat nat
polipoliactipolipolipoli 结果Nat
本次实验现方式用到建地址池:address-gro现 napt: -policy intericy 1 on source-nicy source 1icy source 1ress-group 现 easy-ip: icy 2 on source-nicy source 1y-ip Gigabit后来我们以保证外server 0 proserver 1 proicy interzonicy 1 on permit icy service sicy service sicy destinati果截图如下验我们实现 t了地址池、 oup 1 202.3rzone trust unat 192.168.10.0192.168.20.01 nat 192.168.30.0tEthernet0/0为实现 dm外网能访问内otocol tcp gotocol tcp gne dmz untruservice-set hservice-set fion 192.168:
trust 区域访Napt 以及8.160.101 2untrust outb0 0.0.0.2550 0.0.0.2550 0.0.0.2550/0 mz 区域与 u内部的公开global 202.3global 202.3ust inboundhttp ftp 8.60.2 0 访问 untrust及 esay-ip 。202.38.160.bound untrust 区域开服务器。主38.160.100 938.160.100 9d t 区域主要用代码展示105 域之间的通信主要代码如9980 inside9981 inside用到的 nat如下:
信,用到了如下:
192.168.60192.168.60技术为源nat
server0.2 www 0.2 ftp nat。r 技
6.安(1为 1acl nrulerule intetraff 结果 (2
报文aspf文穿代码firewdetedetedete(3防火FireFireFire(4全。(5五、安全策略 )
Acl 本次实验192.168.60.number 300e deny ip soue permit ip serface Eth0/ffic-filter inb果截图如下2)
Aspf
aspf(appli文过滤。它f 能够检测穿过。本次实码如下:
wall interzoect ftp ect java-bloect activex-b)
黑名单火墙中启用ewall blacklewall blacklewall blackl4)
攻击防防火墙中代码如下Firewall d)
地址绑 心得 验我们在 dm2 /24 的服务00 urce 192.16source any d0/1 bound acl 3: ication spec它和普通的静试图通过防实验中我们one trust untcking blocking 单 黑名单功能list item x.xlist enable list filter-typ防御 启用攻击防:
defend x(攻绑定 mz 区域交换务器的访问68.20.0 0.0.destination 000 cific packet静态防火墙防火墙的应们运用 aspftrust 能是根据报x.x.x x pe x 防御功能实击类型)
e换机上实现了问。代码如下0.255 destinany t filter)是针墙协同工作,用层协议会实现了 ftp报文的源 ip 地实现对各类攻enable 了 acl 功能下: nation 192.针对应用层的以便于实会话信息,阻、Java app地址实现过攻击的防御,限制了 v168.60.2 0 的包过滤,实施内部网络阻止不符合let 和 Act过滤。代码如御,以保证所vlan3 对内部即基于状态络的安全策合规则的数据iveX 的过滤如下:
所保护区域的部 ip 态的策略。据报滤。的安
篇八:企业网络安全设计方案
情报开发与经济 SCIdFECH INFORMATION DEVELOPMENT&ECONOMY 2007年第17卷第36期文章编号:1005—6033(2007)36—0215—02企业局域网网络安全运维方案收稿日期:2007-12—05赵丽芳1。王兵2(1.太原供电设计研究院,山西太原,030012;2.中国人保财产公司山西省分公司,山西太原,030009)摘要:阐述了企业局域网网络安全建设目标,分析了网络安全风险,提出了企业局域网安全运维方案。关键词:企业局域网;网络安全;运雏方案中图分类号:TP393.18 文献标识码:A随着网络的快速发展,汁算机技术的广泛应用,信息安全也面临着严重的威胁。信息化技术在为企业创造良好的商业环境和经济效益的同时。也给企业的网络安全带来了巨大的隐患。下面以太原供电设汁研究院为例,对企业局域网网络安全运维方案做2简要分析。太原供电设计研究院近期正在规划实施的《图档管理系统》主要有Web访问、数据库、办公系统、邮件、域管理、DNS等。随着业务应用系统的不断增加,自动化程度的不断提升,网络安全和数据安全风险也将不断暴露出来。由于我院属于商业系统.有一些业务性极强的机密信息,如设计图纸、经营数据等,而任何可能导致破坏关键业务数据、涉密信息在网上传输过程中泄密或数据丢失、业务服务被中断等风险对我院都将带来巨大损失。1网络安全建设目标此次安全运维保障体系建设工作的目标是:实现对互联网的访问控制,通过各种技术手段控制内部用户的上网行为;实现网络带宽和链路资源的合理应用,通过带宽分配等技术手段提高网络资源和业务的高可靠性;实现对非法攻击的检测,通过数据包监听分析实现对非法入侵行为的检测和审计;实现对网络病毒的防范.通过部署全网防病毒,实现各个环节的病毒查杀,并建立有效的病毒库升级管理办法,保证防毒系统的实时性;实现内部安全漏洞检查.通过全网重要服务器和网络设备帕漏洞扫描,实现对内部安全的自我检查和补救;建立关键数据的备份存储。最大限度保证业务的连续性及数据价值保险。2网络安全风险分析’网络安全是企业正常运行的前提,是一个整体的概念,并不是单纯地依靠某个或某些安全产品就能实现的。只有根据实际情况,通过相互结合,相互补充,才能最大限度地发挥安全产品的优点,杜绝由于计算机及网络安全事故引起的瘫痪和损失。现根据我院网络系统的现状,做出针对我院信息网络的安全分析。网络边界安全。是指网络出口的安全问题,包括网络层身份认证、网络资源的访问控制、数据传输的保密和完整等等。我院是接人市电力网中的小网,根据我院网络现状,网络边界的安全可选用外界的防火墙来实现。,内部网络安全。是网络出口以内,网络终端以前的这个大的范围。由于内网的信息传输采用广播技术,数据包在广播域中很容易受到监听和截获.因此需要使用可管理的安全交换机,利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源,以加强内网的安全性。网络操作系统的安全。这一部分的安全问题来自终端上运行的操作系统和应用系统,可以这样讲:没有绝对安全的操作系统,但是,可以对现有的操作平台进行安全配置、严格地对操作和访问权限进行控制,提高系统的安全性。管理层安全。管理是网络安全中最重要的部分。威胁既可能来自外网,也可能来自内网的任何一个节点上。所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者进行细致的管理,实现一个可管理、可控制和可信任的内网。由此可见,相比于外网安全.内网安全具有:要求建立一种更加全面、客观和严格的信任体系和安全体系;要求建立更加细的安全控制措施,对汁算机终端、服务器、网络和使用者都进行更加具有针对性的管理的特性。3安全运维解决方案我院网络对外的传输是最外层需要保护的对象,这里所阐述的传输保护主要是针对我院网络与其他信息交换网络之间的联系。传输加密可以在网络传输的各协议层次实现。防火墙。防火墙是用于网络访问控制的硬件和软件,是插在内网与外网之间的隔离系统,对内网的访问提供访间控制和审计功能,防止入侵者接近其他的防御设备,并且可以有效地防止黑客对网络的破坏。信息加密策略。密码是网络安全中非常重要的环节和最基础防范措施,是保障网络安全的基石。在信息传送特别是远距离传送过程巾,密码技术是唯一切实可行的安全技术,能有效地保护信息传送的安全.防止因数据被截获而造成的泄露。因此密码的设置策略、恢复策略、密码长度、复杂程度、更换频率、保存方式等都要合理0访问控制策略。授权控制不同用户对信息资源的访问权限及可访问的用户各自所具有的权限。对网络的访问与控制进行技术处理是维护系统运行安全、保护系统资源的一项重要技术,也是对付黑客攻击的重要手段。入侵检测系统。入侵检测系统是检测内网的非法访问的设备。根据人侵检测识别库的规则,判断网络中是否存在非法访问。管理员可以通过分析这些事件,来对网络的安全状况进行评估,并采取相应的防护策略。重要数据的备份。企业最为重要的财富就是数据,要保证我院业务的持续运作,就一定要保护好基于计算机的信息。人为的错误,硬盘的损坏,电脑病毒、自然灾难等都有可能造成客户资料、设计稿件等数据的丢失,给我院经济和资源带来无可估量的损失。这时,最关键的任务就是尽快地恢复计算机系统及相关数据,使其能正常运行。4结语我们说一个网络的安全问题不是靠好的产品解决的,而是要有好的制度、好的管理。三分技术,七分管理,只有在我院内部建立起一套完善的安全管理规章制度。使管理机构依据相应的管理制度和管理流程对日常操作、运行维护、审汁监督、文档管理等进行统一管理.同时加强对工作人员的安全知识和安全操作培训,建立统一的安全管理体系,帮助企业识别、管理和减少信息通常所面临的各种威胁,才能架构局域网的安全保障体系。综上所述.必须把各种安全技术和管理措施有机地结合起来.并加以合理地运用和管理,才能真正实现局域网的安全运行。(实习编辑:薛占金)第一作者简介:赵丽芳,女。1975年5月生,2000年毕业于太原理工大学,助理工程师,太原供电设汁研究院,山西省太原市,030012.215 万方数据科技慵报开发与经济 SCI—TECH INFORMATlONDEVELOPMENT&ECONOMY 2007年第17卷第36期文章编号:1005—6033(2007)36—0216—02浅谈多媒体课件的设计问题唐 焱(山两电子高级技工学校,山西太原,030025)●摘要:阐述了多媒体课件的设计问题,指出不是所有的课程都适应用多媒体课件,设计课件应以教师为主导、以学生为主体,设计课件以教材为基准但不局限于教材。关键词:多媒体课件;设计要素;课堂教学中图分类号:G424.21 文献标识码:A教育模式已不能固化在传统教育的范畴:一块黑板、一根粉笔、一名教师、三尺讲堂就是一堂课的全部,一堂课的好与坏全靠老师一张嘴。采用这种方式教育的老师已不再适应现代教育的需求,这样一堂课的所包含知识量、信息量已远离现代教育。多媒体技术与传统教学相结合可使教学内容形象、直观地呈现在学生面前.视、听、触、想等多种方式的形象化教学,调动学生学习的主动性、激发学生的学习兴趣。不仅有利于学生对教学内容的理解掌握,而且弥补了传统教学方式的不足,提高了课堂的利用效果。对于教师来讲,可以使教学方法更多样,教学的形式更灵活.知识更丰富,内容更充实。因此,作为2l世纪的一名教师应该学会让多媒体来辅助教学,服务教学。本文提出如何进行多媒体课件设汁的几点要素。收稿日期:2007-12—07用,不能取代教师的主导作用,确认学生是认识和发展的主体,是以教师的主导为条件。“主体”和“主导”是构成一个完整过程的两个因素,也就是说,学生在教学过程中的一切认识和实践活动都是在教师的指导下进行的,课堂中的每一个教学环节都离不开教师的组织和安排,教师层层递进的推理,准确规范的板书。都会影响学生学习的积极性和主动性。如果一堂课多媒体使用的过多,就会影响教师对课程的分析讲解,减少课堂的互动,缺乏教师与学生的交流,对教学效果产生消极的影响。因此在教学过程中,教师不要成为课件的放映者,要善于控制课堂的节奏,设法调动学生的积极性,合理处理多媒体与传统教学手段的关系,让课件贴近学生,让教师来主导教学,让多媒体教学与传统教学融合。1不是所有的课程都适合应用多媒体课件 3设计课件以教材为基准但不局限于教材现在有很多教师在使用多媒体教学时存在一定的思想误区,认为只要是新型的现代化教学方式。一定就是好的,不论科目,不论课程,照搬照抄,全部使用多媒体,但有时多媒体教学效果却适得其反。例如:让学生多了感性认识,忽略对所学知识点的理解掌握,大大降低了教学质量。因此多媒体课件在制作前应是有选择的。比如,数学中的公式定理.计算机巾的语言课C语言VB、汇编等,涉及很多编程方法结构、语言等,用多媒体课件很难描述,即使用多媒体课件把程序编写好,也很难表述清楚所讲授的知识概念、有时程序很长。一个画面很难写完,程序被分割成几个画面,往往学生还没有看清或熟记,画面就过去了,不利于学生的学习掌握,也打乱了知识的逻辑顺序和整体框架。因此,有些课程不适用多媒体。对于是否采用多媒体课件,一般来说,当要把看不见的东西变为看得见的东西、把复杂的东西变为简单的东西、把需要很长时间讲清楚的东西变成能在很短时间内能够讲清楚的东西,可我们无法直观、形象地向学生讲锵认知对象,或运用其他教学手段很难简单明了地向学生交待认知对象时,使用多媒体手段是较好的方法。总之,改革教学手段的目的无非是提高教学质量和教学效率。所以,在设计课程时,应根据课程类型、内容等具体情况确定是否应该使用多媒体课件,并非所有课程和内容都有必要使用多媒体教学手段来教学。2设计课件应以教师为主导和以学生为主体多媒体可以辅助教师进行教学,弥补教学的不足,但只能起辅助作在设汁课件时,应根据课程的要求、教学内容的性质和特点.来积极地准备,做到化繁为简,化难为易,化抽象为具体,化静态为动态,化单一为多样,化呆板为灵活,化被动为主体。多媒体课件的制作既不能局限于教材,成为教材的翻版,课本的备忘录,讲稿的投影化.也不能片面追求新颖的外观,追求华丽的辞藻。多态的界面,过于注重视觉感受和高科技水平的应用。否则屏幕渲染过度,界面频繁变化。色彩缤纷艳丽,附加信息和无关信息太多,不但起不到调动学生的注意力、增强课堂教学的效果。+反之学生会因为信息量过大,刺激过多,引起学生的疲劳甚至厌恶,很多重要的问题被学生忽视或轻视。严重影响了教学的质量,成为新型的教师“一育堂”“满堂灌”的形式。4设计课件应考虑内容适量以减少知识负荷现在很多教师滥用多媒体技术。只是操作电脑和投影.用多媒体教学取代所有的教学环节,用现代化教学手段进行满堂灌;只是把做好的多媒体课件演示一遍,读一遍,充其量教师只是一个放映员解说员。学生是一个观众,课堂成了电影院。知识点成为摆设,内容成为场景,模糊了教与学。由于多媒体是事先做好的.课堂中缺少了板书,信息量大知识多.学生很难理解消化。因此在设汁课时,应根据课程和学生的具体情况设置内容量.将多媒体的优势与传统板书有机结合。模拟演示要适当,发展思维要适时,要给学生充分表现的机会,留有思维的空间。例如:编写一个程序时,算法的不同,程序也不尽相同,所以要给学生留下一定的思DiscussionontheOperationand Maintenance Schemeof NetworkSecurityofEnterprise LANZHAOLi-fang,WANGBingABSTRACT:Thispapr expoundsthetargetsof the constructionof networksecurityofenterprise LAN,analyzestherisksin networksecurity,andadvances theoperationand maintenance schemeof enterpri LAN securityKEY WORDS:enterpriseLAN:networksecurity;operationand maintenance scheme216 万方数据
企业局域网网络安全运维方案作者:
赵丽芳, 王兵, ZHAO Li-fang, WANG Bing作者单位:
赵丽芳,ZHAO Li-fang(太原供电设计研究院,山西太原,030012), 王兵,WANG Bing(中国人保财产公司山西省分公司,山西太原,030009)刊名:科技情报开发与经济英文刊名:
SCI-TECH INFORMATION DEVELOPMENT & ECONOMY年,卷(期):
2007,17(36)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_kjqbkfyjj200736126.aspx
篇九:企业网络安全设计方案
安全服务方案目 录
1
项目概述 .................................................................................................................... 6
2
遵循原则 .................................................................................................................... 6
3
推荐服务内容 ............................................................................................................ 7
4
服务详细介绍 ............................................................................................................ 8
4.1
网站安全监控 ............................................................................................................ 8
4.1.1 服务简介 ........................................................................................................... 9 4.1.2 服务功能 ......................................................................................................... 10 4.1.3 服务特点 ......................................................................................................... 13 4.1.4 输出成果 ......................................................................................................... 14 4.2
渗透测试服务 .......................................................................................................... 14
4.2.1 测试方法 ......................................................................................................... 14 4.2.2 测试内容 ......................................................................................................... 16 4.2.3 实施步骤 ......................................................................................................... 17 4.2.4 输出成果 ......................................................................................................... 20 4.2.5 服务收益 ......................................................................................................... 20 4.3
网络安全评估 .......................................................................................................... 20
4.3.1 评估内容 ......................................................................................................... 21 4.3.2 评估方法 ......................................................................................................... 25 4.3.3 实施步骤 ......................................................................................................... 26 4.3.4 输出成果 ......................................................................................................... 36
4.4
安全巡检服务 .......................................................................................................... 36
4.4.1 服务内容 ......................................................................................................... 36 4.4.2 输出成果 ......................................................................................................... 37 4.4.3 服务收益 ......................................................................................................... 37 4.4.4 服务频率 ......................................................................................................... 37 4.5
安全加固服务 .......................................................................................................... 38
4.5.1 加固内容 ......................................................................................................... 38 4.5.2 加固流程 ......................................................................................................... 40 4.5.3 输出成果 ......................................................................................................... 44 4.5.4 服务收益 ......................................................................................................... 45 4.5.5 服务频率 ......................................................................................................... 45 4.6
应急响应服务 .......................................................................................................... 45
4.6.1 服务内容 ......................................................................................................... 46 4.6.2 输出成果 ......................................................................................................... 47 4.6.3 服务收益 ......................................................................................................... 47 4.6.4 服务频率 ......................................................................................................... 48 4.7
新系统入网安全评估 .............................................................................................. 48
4.7.1 评估内容 ......................................................................................................... 49 4.7.2 输出成果 ......................................................................................................... 50 4.7.3 服务收益 ......................................................................................................... 50 4.7.4 服务频率 ......................................................................................................... 51
4.8
安全攻防演练培训 .................................................................................................. 51
4.8.1 培训课程 ......................................................................................................... 51 4.8.2 培训流程 ......................................................................................................... 59 4.8.3 培训考核 ......................................................................................................... 60 4.8.4 培训优势 ......................................................................................................... 60 4.9
重要时期安全保障 .................................................................................................. 60
4.9.1 现场值守 ......................................................................................................... 61 4.9.2 预案制定 ......................................................................................................... 62 4.9.3 应急处理 ......................................................................................................... 62 4.9.4 输出成果 ......................................................................................................... 63 5
服务配套工具 .......................................................................................................... 63
6
项目投资估算 .......................................................................................................... 64
7
项目管理方案 .......................................................................................................... 65
7.1
项目管理方法 .......................................................................................................... 65
7.2
组织结构图 .............................................................................................................. 66
7.3
项目沟通 .................................................................................................................. 66
7.3.1 日常沟通、记录和备忘录 ............................................................................. 67 7.3.2 报告 ................................................................................................................. 67 7.3.3 会议 ................................................................................................................. 67 7.4
项目实施质量保证 .................................................................................................. 68
7.4.1 项目执行人员的质量职责 ............................................................................. 68
7.4.2 安全服务质量保证 ......................................................................................... 69 7.5
系统安全及风险规避方案 ...................................................................................... 71
7.5.1 项目实施工具 ................................................................................................. 72 7.5.2 项目实施策略 ................................................................................................. 72 7.5.3 项目实施中的配合 ......................................................................................... 72 8
保密承诺 .................................................................................................................. 73
8.1
保密协议 .................................................................................................................. 73
8.1.1 保密协议的必要性 ......................................................................................... 73 8.1.2 保密条款 ......................................................................................................... 73 8.1.3 违约责任 ......................................................................................................... 74 8.2
项目实施人员专项保密承诺 .................................................................................. 74
8.2.1 保密承诺的必要性 ......................................................................................... 74 8.2.2 保密内容和范围 ............................................................................................. 75 8.2.3 保密责任 ......................................................................................................... 75
1 项目概述 近年来,随着棱镜门事件的爆发,网络和信息安全受到前所未有的关注。2014 年中央网络安全和信息化领导小组的成立,习近平主席“没有网络安全就没有国家安全”等指示的提出,无不表明网络与信息安全工作已经上升至国家战略安全层面。
在这种形势下,网络安全的重要性被提到了前所未有的高度。在 XXX 中,如果网络和业务系统被黑客攻击,页面被得法自发、敏感信息被窃取,其影响将难以估计。同时,2017.6.1 既将实行的网络安全法中,规定将对出现安全事件的组织负责人进行处罚。
随着安全技术的发展,各行业的网络和业务系统,必将成为黑客或反动势力的攻击目标。种种迹象表明,如果网络和业务系统存在安全漏洞,将非常容易导致被攻击者非法入侵,并对敏感数据进行非法窃取、篡改、删除等操作。
编写本方案的目的,是希望通过迪普科技长期从事网络安全、网站安全、安全服务工作的经验,以及对黑客攻击过程的深入理解...
篇十:企业网络安全设计方案
企业网络安全方案设计陈功胜( 国网电力科学研究院, 江苏南京211lo o )摘要:随着网络应用的迅速发展。
计算机网络在经济和生活的各个领域正在迅速普及, 信息的获取、 共享和传播更加方便, 计算机网络发挥着举足轻重的作用; 电力做为关系国计民生的公用事业, 承担着重要的政治、经济和社会责任, 如何有效保障电力企业的网络安全成为电力企业急需解决的问题。关键i司:
电力企业; 网络安全; 网络攻击; 风险管理l现状1. 1面临问题电力企业涉及的领域广, 因此, 电力企业的信息系统也存在更多的安全挑战和风险。( 1)企业外部攻击无孔不入, 攻击方法日新月异。
由于电力企业的业务需求, 网络需要连接互联网, 业务或办公数据需要在网络上传输, 而网络设备、 主机系统都不同程度存在一些安全漏洞, 攻击者可以利用存在的漏洞进行破坏, 可能引起数据被破坏、 业务中断甚至系统宕机, 严重影响企业网络的正常运行; 企业网站遭受黑客攻击, 网页被篡改, 网站无法访问; 企业机密信息在互联网上传输可能被窃听; 已经被攻破的外网主机中可能被植入木马或者其它恶意的程序, 攻击者以此作为跳板迸一步攻击其它机器, 窃取商业机密; 员工浏览嵌有木马或病毒的网页、 收看带有恶意代码的邮件、 随意使用u 盘, 都可能给攻击者带来可乘之机等。( 2)企业内部网络缺乏有效的安全手段, 管理存在漏洞。
企业内部的各种平台的主机和设备存在安全漏洞但没有及时升级最新的安全补丁, 或者主机和设备的软件配置存在隐患, 使病毒和蠕虫的泛滥成为可能; 大规模的蠕虫爆发、 A R P 欺骗病毒可能导致企业网络全部瘫痪, 业务无法正常进行;企业员工随意上网等行为严重影响工作效率, 关键业务应用系统带宽无法保证; 员工通过电子邮件、即时通信等对外发送敏感信息, 造成企业机密信息泄漏; 网络分区界限不明确; 网络设备众多, 设备策略管理混乱等。1. 2需求分析对电力企业If I’ 信息系统的特点进行分析, 发现电力企业的网络安全保障主要在以下两大方面:( 1)应用安全保障:
防御来自外部和内部的威胁, 阻止黑客攻击和蠕虫病毒等对企业网络的破坏, 提高企业网络的整体抗攻击能力, 保障r I'系统的安全稳定运行。( 2)内容安全管理:
管理n ’ 网络运维、 监控企业员工行为、 落实企业安全策略, 以便于控制企业禁止的上网行为、 阻止内部信息泄密、 保障业务系统网络流量, 避免违反国家相关法规和企业安全规定行为的发生。2 解决方案2. 1设计原则根据电力企业网络的实际情况, 设计网络安全解决方案时按以下原则进行。( 1)综合性、 整体性。
企业网络安全应遵循整体安全性原则, 只有相对的安全而没有绝对的安全。
因此制定的方案要提高整体的安全性, 而非强调部分或局部的安全性。( 2)技术与管理相结合。
安全体系是一个复杂的系统工程, 涉及人、 技术、 操作等要素, 单靠技术或管理都不可能实现。
因此, 必须将各种安全技术与运行管理机制、 人员思想教育与技术培训、 安全规章制度建设相结合。( 3)统筹规划, 分步实施。
安全防护不可能一步到位, 可在一个比较全面的安全规划下。
根据网络的实际需要, 先建立基本的安全体系, 保证基本一37 7 —
的、 必须的安全性。( 4 )等缴性。
根据余业应川情况控安全缓别.将网络划分戚不同级别, 井按安全级别进行不同阿络的网封}传输与访问。( 5)易摊作性。
企业网络的安全运行与维护应符合易操作性. 使于维护的原则, 易于系统及功能的扩展。2 2安全解决方案从电力企业安垒的需求分析和Ⅲp 实质需求来看, 主要有应用安全需求和内容安全需求2个方面. 有针时性地推出2个解决方案。2 2 I应用安全解决方棠针埘电力余q k 的膻用安全提Ⅲ’ 砸警、 掩测、 缫护、 响腑” 的风险管理安全方}上论, 指导企业信息系统安全体系的建泄, 茫不同环节使用不M 安全聃御措施采保证企业网络安个触险管理如闭1所示,一未譬Ⅷ 少J弋/目 l风№f 理( 1)项警。
1)设备预警企业网络内部设备众多. 主要的核心没备具备预瞽机制, 井巽有主备切换功能, 通过监控、 综合临管平台等髓时发现设备的各种告警状态, 迅速对堙备的故障进行处理. 并定期lt核心设备进行巡检阿卡灯的状态也是分析网络是否正常的十标忐= 2)应用预警:
应用预警可以利用同内主流的漏洞孺警、 漏洞扫描、 风险管理、 橱嗣修复软件等. 快速、 准确识别网络巾安全滑洞。
针对舟络的安全精耐进行详细分析. 帮助企业在病毒爆发的整个生命用期过程中全程慌控阿络安全状卷. 尽早发现漉行辅毒. 镇定嫡毒传播源.定位病毒感船区. 对病毒的骑冶效果进行实时评估, 井进行风险蕈化、 提前弥扑, 做到防蓖于未然:( 2)检测。
】
)主机检测:
丰龟测主机系统的安全漏洞, 防止因主机设置不当带来的安全隐患, 主要包括:
主机操作系统补】
是卉及对更新; 操作系统的用户密码强度是否大. 密码定期缍改:
是否安装防火墙软件, 较件是否定撑j升级. 主机是香存在不符合规范的共享等。
2)网络检测:
网络椅测主要是利用主流的人侵幢渊系统( II镕), 人侵检测系统是一种主动的网络安全防护措施, 它从系统内部和各种网络贷潦( 路由器、 交换机和网络带宽等)巾主动采集信息. 从中分析a f 能的嘲络^侵或攻击. 在发现^侵后. 及时做出一衅相对简单的响应. 包括记录事件和报警等。
通常胁火墙与^侵榆测系统进行联动, 可以埘网络进行动静结合的保护. 对同络行为进行细颗粒的检查, 动态改变防火墙的策略,通过防火墙从源头L 彻底切断人经行为, 提高网络抗风险的能力。( 3)保护:
¨ 物理丹隧:
按!!f }陶家电监全《电力二次系统安全防扩规定》 、 《电力二次系统安全防护总体方案'及《信息化sG l86 L 程安争所护总体方案)等文件的要求. 电力企业的物理分K 划分必颂州确, 电力企业的业务系统原则上划分为生产控制大K 和管理信息大区:
生产控制大Ⅸ分为控制M( 安令lⅨ)和非控制遥( 安全【I区), 管理信息大Ⅸ分为信息内心( 安全III暖)和信息外阿( Iv M ); 不同的安全等级的酏备实行不l目的等级保护。
任生产控制大匹与竹理信息大K 之间必须通过同家指定部门榆测认证的电JJ々 埘横向单向安全隔离装避。
’ E 产控制大区内郫的安全K 之间庇叶采用具有访问控制功能的设备, 防火墙或者相当功能的设施, 实现逻辑隔离. 管理信息大区内部的安全区之问应用采用电力专用横向单向隔离装置或逻辑强隔离装置。
2)逻辑分Ⅸ:
网络的逻辑分区能有技增强网络的防护深度, 使得外部的侵^需要穿过多层防护机制. 下仪增加恶意攻击的难度. 还为主动防御提供了时m J上的保{ 【E 在电力企业的网络中可以通过设定严辑}的防火墙策略建市D M z 区, 通过设置变换机或路南策略划丹V L A N 或者使用V P N 技术建立服务器区非服务器区、 办公区与生活谜等,同时可以使用网络地址转换( ■A T )技术将受保护区域的网络结构和师地址进行屏蔽。
3)防火墙:
肪火墙是设置在艘保护阿络或主机和外界之问的一道屏障, 它a r以通过瞎测、 限制、 更改跨越胁火墙的敫据拼c, 尽可能地对外部屏蔽被保护时络或主机的信息、 结构和运行情况等. 来实现对网络或主机的保护, 防火墙根据作用不同一般分为主机防火墙和阿络防火墙。
主机防火墙主要应对主机人侵保
护; 网络入侵保护类防火墙能提供网络2—7 层人侵防护能力, 具有防S Q L 注入、 跨站脚本人变形攻击、基于域名、 lP 、 协议、 端口等的访问控制能力。
防火墙一般布署在企业网络区域的边界, 企业网络到互联网的人口, 银电专线与企业网络的连接, 边远分支机构、 营业厅等通过专线与信息内网的连接处等等。
另外, 防火墙与入侵检测系统联动时对网络的防护效果会更好。
4 )认证与加密:
网络用户进入系统时必须进行认证, 传统认证方式是身份口令认证, 存在一定的安全隐患, 随着认证技术的进步, 出现了以生物特征识别( 指纹、 虹膜等)、 u sB K e y 身份认证( 软件加密狗、 加密锁等)以及分布式认证( 调度C A 、 电子证书系统等)等3种身份认证新技术, 实现了更为安全可靠的网络安全认证体系。
为了保护网络报文不被窃听和篡改, 把明文加密转换成密文, 把密文解密转换成明文, 发送方使用加密算法, 接收方使用解密算法。
加、 解密算法是公开的, 而密钥是秘密的。
在电力企业中, 为了保护网络通常在与上、 下级单位网络连接时使用纵向加密网关; 随着无线网络的迅速发展, 各项业务对无线接入网络的应用需求日益增强, 对于无线的接入方式也必须通过电力行业认证的无线接入网关系统进行管理和控制。
5)防病毒与防篡改:
在网络环境中, 计算机病毒有不可估量的威胁性和破坏力, 因此对网络病毒的防范也是电力企业网络安全性建设中极其重要的一环, 针对不同的应用使用病毒型安全网关、 邮件反病毒系统等。
病毒型安全网关一般部署在网络入口处、 防火墙和主交换机之间。
设置和防火墙同网段地址, 如果主交换起了3层。
则网关指向主交换, 如果主交换没有起3层, 网关指向防火墙。
定期对防病毒软件进行更新, 达到不断净化保护网络资源的目的。同时, 为了防止业务应用非授权的改动、 删除、窃取主机内文件、 数据、 资料的行为, 对外发布应用时通常利用“数字水印” 、 快速散列查询算法、 数据加密、 人工智能语法分析等防篡改技术为受保护的服务器提供安全可靠保证。( 3)响应。
事实证明, 事先制定一个行之有效的网络安全响应计划, 能够在出现实际的安全事件之后, 能及时找出受攻击的原因, 并妥善修复, 再将系统投入正常运行。
1)响应机制的建立。
响应机制的建立是一个要求严格的工作; 它将会使其后的具体实施过程变得相对轻松和高效。
一般来说, 响应机构的负责人应该是负责安全方面的最高领导者, 负责协调整个事件响应。
对事件处理方法做出明确决定; 成员是具有优秀的IT 管理经验人员, 同时也是最终的事件应对处理人员。
2)应急事件的响应根据应急事件的紧急程度, 可能影响的范围等, 对风险进行评估, 做好各种情况下的预案, 选择最佳的方案进行处理。
事前做好备份, 事中注意观察, 事后及时恢复, 同时做好事件过程的记录和事后分析的工作。( 4 )方案特点。
1)层层防御:
在时间层次上事前预警预防、 事中检测防护、 事后响应处理; 在空间层次上内部区域隔离防护, 外部区域边界网关防火墙; 在逻辑层次上网络O S I七层模型的多层次、 多协助防护; 2)环环相扣:
“预警、 检测、 保护、 响应”各个阶段互相配合、 协调管理。2. 3. 2内容安全解决方案通过“行为管理+ 策略控制+ 终端管理” 的管理方法, 来指导电力企业信息系统的安全保障体系的建立。( 1)行为管理:
一方面管理过严会导致信息沟通的断裂, 企业内部之间、 企业与外界之间不能及时、 有效地信息传递, 员工失去从网上获取知识的途径, 影响到企业员工的情绪, 不利于企业文化的建设; 另一方面管理过松会导致员工无序上网, 工作效率低, 甚至造成企业机密信息泄漏。
通过上网行为管理, 可以实现基于用户和各种网络协议的带宽控制管理, 提供细致的互联网活动审计功能, 实时监控整个网络的使用情况, 并能生成基于用户、网站访问、 外发信息、 网络应用、 带宽通道等多种形式的统计报表、 图表; 可以利用网络审计系统等, 实时记录企业的网络事件、 事件定位分析、 事后追查取证、 对敏感信息进行审计, 实现用户的多维度、 全范围的网络行为审计等。
网络安全其实不单是硬件问题和系统问题, 主要还是对人的管理问题, “三分技术, 七分管理” , 通过有效的技术手段实现和谐的管理, 从而达到安全效果。( 2)策略控制:
网络IP 地址、 带宽等网络资源是有限的, 如果这些资源不能得到充分利用, 不仅会影响员工正常的工作秩序, 而且会影响业务的正常开展。
同时企业内部并不是所有的员工都需要网络, 信息、 营销、 新闻、 生技、 采购等部门的员工需要上网, 而其他部门上班时间利用网络工作的情况很少。合理的策略需要对情况的真实了解, 需要运用信息技术对企业网络使用情况进行追踪和分析。
只一37 9 —
曩翟嬲圈鳓湖凝鞫阑有掌握了第一手资料, 才能有针对性制定网络管理策略。
可根据不同岗位、 不同级别来设定上网的网络策略, 允许指定授权用户可以连接网络以及其可以或不可以连接的环境, 部署网络访问策略时要向网络中添加健康、 安全的网络策略; 定期对网络设备的策略进行备份, 修改策略时应做好记录, 同时,减少相同策略保证数据反复传输对网络的带宽的浪费, 高效、 细致的划分和分配带宽资源, 让网速更快、 让网络的价值更高。( 3)终端管理:
电力企业的网络结构复杂, 终端种类繁多、 功能各异, 同时随着新技术的出现又不断涌现出新的终端, 由于终端的接入而引发的一系列的安全问题。一类是非法接入:
一般情况下, 属于计算机的本身固有的硬件资源不能私自拆卸、 更换, 使用正版、 安全操作系统, 保证计算机本身的安全可信; 在内网区必须使用定制的加密移动存储介质; 统筹规划IP 地址的分配, 不能私设代理或私自改动IP 地址, 造成IP 地址冲突, 影响网络正常运行; 对于移动终端如个人数字助理P D A ( P e r s伽a l D ig ita l A 88汹t肌t)、 嵌入式的通用手持设备、 表计终端等的接入必须通过加密处理的无线接入平台系统进行; 另一类是非法入网:
对接入内网网络的可信计算机进行必要的认证检查; 禁止内网计算机直接通过拨号方式上网; 禁止以V P N 方式直接从外网接入到内网一38 0 一访问。( 4 )方案特点。
1)以用户为核心, 多维度监管:以用户为核心, 全面监管用户做什么事、 什么时候做事、 怎么做事; 行为与内容相结合, 监视与控制相结合, 网络与主机相结合, 让内网管理更全面、 更深入、 更可控、 更有效; 2)协作配合, 统一网络管理:提供设备集中监控, 日志...
推荐访问:企业网络安全设计方案 网络安全 设计方案 企业