金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

 找回密碼
 注冊

QQ登錄

只需一步,快速開(kāi)始

查看: 2709|回復: 11
打印 上一主題 下一主題

[注意] 某大型企業(yè)局域網(wǎng)安全解決方案

跳轉到指定樓層
1#
mj567597 發(fā)表于 2008-9-24 09:12:51 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式 來(lái)自 中國江蘇蘇州

馬上注冊,結交更多好友,享用更多功能。

您需要 登錄 才可以下載或查看,沒(méi)有帳號?注冊

x
第一章 總則

本方案為某大型局域網(wǎng)網(wǎng)絡(luò )安全解決方案,包括原有網(wǎng)絡(luò )系統分析、安全需求分析、安全目標的確立、安全體系結構的設計、等。本安全解決方案的目標是在不影響某大型企業(yè)局域網(wǎng)當前業(yè)務(wù)的前提下,實(shí)現對他們局域網(wǎng)全面的安全管理。

1.將安全策略、硬件及軟件等方法結合起來(lái),構成一個(gè)統一的防御系統,有效阻止非法用戶(hù)進(jìn)入網(wǎng)絡(luò ),減少網(wǎng)絡(luò )的安全風(fēng)險。
2.定期進(jìn)行漏洞掃描,審計跟蹤,及時(shí)發(fā)現問(wèn)題,解決問(wèn)題。
3.通過(guò)入侵檢測等方式實(shí)現實(shí)時(shí)安全監控,提供快速響應故障的手段,同時(shí)具備很好的安全取證措施。
4.使網(wǎng)絡(luò )管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態(tài),最大限度地減少損失。
5.在工作站、服務(wù)器上安裝相應的防病毒軟件,由中央控制臺統一控制和管理,實(shí)現全網(wǎng)統一防病毒。


第二章 網(wǎng)絡(luò )系統概況

2.1 網(wǎng)絡(luò )概況

這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò )系統,它所聯(lián)接的現有上千個(gè)信息點(diǎn)為在整個(gè)企業(yè)內辦公的各部門(mén)提供了一個(gè)快速、方便的信息交流平臺。不僅如此,通過(guò)專(zhuān)線(xiàn)與Internet的連接,打通了一扇通向外部世界的窗戶(hù),各個(gè)部門(mén)可以直接與互聯(lián)網(wǎng)用戶(hù)進(jìn)行交流、查詢(xún)資料等。通過(guò)公開(kāi)服務(wù)器,企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò )互連方案設計為用戶(hù)提供快速、方便、靈活通信平臺的同時(shí),也為網(wǎng)絡(luò )的安全帶來(lái)了更大的風(fēng)險。因此,在原有網(wǎng)絡(luò )上實(shí)施一套完整、可操作的安全解決方案不僅是可行的,而且是必需的。

2.1.1 網(wǎng)絡(luò )概述

這個(gè)企業(yè)的局域網(wǎng),物理跨度不大,通過(guò)千兆交換機在主干網(wǎng)絡(luò )上提供1000M的獨享帶寬,通過(guò)下級交換機與各部門(mén)的工作站和服務(wù)器連結,并為之提供100M的獨享帶寬。利用與中心交換機連結的Cisco 路由器,所有用戶(hù)可直接訪(fǎng)問(wèn)Internet。

2.1.2 網(wǎng)絡(luò )結構

這個(gè)企業(yè)的局域網(wǎng)按訪(fǎng)問(wèn)區域可以劃分為三個(gè)主要的區域:Internet區域、內部網(wǎng)絡(luò )、公開(kāi)服務(wù)器區域。內部網(wǎng)絡(luò )又可按照所屬的部門(mén)、職能、安全重要程度分為許多子網(wǎng),包括:財務(wù)子網(wǎng)、領(lǐng)導子網(wǎng)、辦公子網(wǎng)、市場(chǎng)部子網(wǎng)、中心服務(wù)器子網(wǎng)等。在安全方案設計中,我們基于安全的重要程度和要保護的對象,可以在Catalyst 型交換機上直接劃分四個(gè)虛擬局域網(wǎng)(VLAN),即:中心服務(wù)器子網(wǎng)、財務(wù)子網(wǎng)、領(lǐng)導子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域,由于財務(wù)子網(wǎng)、領(lǐng)導子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段,因此在中心交換機上將這些網(wǎng)段各自劃分為一個(gè)獨立的廣播域,而將其他的工作站劃分在一個(gè)相同的網(wǎng)段。(圖省略)

2.2 網(wǎng)絡(luò )應用

這個(gè)企業(yè)的局域網(wǎng)可以為用戶(hù)提供如下主要應用:
1.文件共享、辦公自動(dòng)化、WWW服務(wù)、電子郵件服務(wù);
2.文件數據的統一存儲;
3.針對特定的應用在數據庫服務(wù)器上進(jìn)行二次開(kāi)發(fā)(比如財務(wù)系統);
4.提供與Internet的訪(fǎng)問(wèn);
5.通過(guò)公開(kāi)服務(wù)器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等;

2.3 網(wǎng)絡(luò )結構的特點(diǎn)

在分析這個(gè)企業(yè)局域網(wǎng)的安全風(fēng)險時(shí),應考慮到網(wǎng)絡(luò )的如下幾個(gè)特點(diǎn):

1.網(wǎng)絡(luò )與Internet直接連結,因此在進(jìn)行安全方案設計時(shí)要考慮與Internet連結的有關(guān)風(fēng)險,包括可能通過(guò)Internet傳播進(jìn)來(lái)病毒,黑客攻擊,來(lái)自Internet的非授權訪(fǎng)問(wèn)等。
。
2.網(wǎng)絡(luò )中存在公開(kāi)服務(wù)器,由于公開(kāi)服務(wù)器對外必須開(kāi)放部分業(yè)務(wù),因此在進(jìn)行安全方案設計時(shí)應該考慮采用安全服務(wù)器網(wǎng)絡(luò ),避免公開(kāi)服務(wù)器的安全風(fēng)險擴散到內部。
3.內部網(wǎng)絡(luò )中存在許多不同的子網(wǎng),不同的子網(wǎng)有不同的安全性,因此在進(jìn)行安全方案設計時(shí),應考慮將不同功能和安全級別的網(wǎng)絡(luò )分割開(kāi),這可以通過(guò)交換機劃分VLAN來(lái)實(shí)現。
4.網(wǎng)絡(luò )中有二臺應用服務(wù)器,在應用程序開(kāi)發(fā)時(shí)就應考慮加強用戶(hù)登錄驗證,防止非授權的訪(fǎng)問(wèn)。
總而言之,在進(jìn)行網(wǎng)絡(luò )方案設計時(shí),應綜合考慮到這個(gè)企業(yè)局域網(wǎng)的特點(diǎn),根據產(chǎn)品的性能、價(jià)格、潛在的安全風(fēng)險進(jìn)行綜合考慮。

第三章 網(wǎng)絡(luò )系統安全風(fēng)險分析


隨著(zhù)Internet網(wǎng)絡(luò )急劇擴大和上網(wǎng)用戶(hù)迅速增加,風(fēng)險變得更加嚴重和復雜。原來(lái)由單個(gè)計算機安全事故引起的損害可能傳播到其他系統,引起大范圍的癱瘓和損失;另外加上缺乏安全控制機制和對Internet安全政策的認識不足,這些風(fēng)險正日益嚴重。

針對這個(gè)企業(yè)局域網(wǎng)中存在的安全隱患,在進(jìn)行安全方案設計時(shí),下述安全風(fēng)險我們必須要認真考慮,并且要針對面臨的風(fēng)險,采取相應的安全措施。下述風(fēng)險由多種因素引起,與這個(gè)企業(yè)局域網(wǎng)結構和系統的應用、局域網(wǎng)內網(wǎng)絡(luò )服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類(lèi)風(fēng)險因素:

網(wǎng)絡(luò )安全可以從以下三個(gè)方面來(lái)理解:1 網(wǎng)絡(luò )物理是否安全;2 網(wǎng)絡(luò )平臺是否安全;3 系統是否安全;4 應用是否安全;5 管理是否安全。針對每一類(lèi)安全風(fēng)險,結合這個(gè)企業(yè)局域網(wǎng)的實(shí)際情況,我們將具體的分析網(wǎng)絡(luò )的安全風(fēng)險。

3.1物理安全風(fēng)險分析

網(wǎng)絡(luò )的物理安全的風(fēng)險是多種多樣的。
網(wǎng)絡(luò )的物理安全主要是指地震、水災、火災等環(huán)境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線(xiàn)路截獲。以及高可用性的硬件、雙機多冗余的設計、機房環(huán)境及報警系統、安全意識等。它是整個(gè)網(wǎng)絡(luò )系統安全的前提,在這個(gè)企業(yè)區局域網(wǎng)內,由于網(wǎng)絡(luò )的物理跨度不大,,只要制定健全的安全管理制度,做好備份,并且加強網(wǎng)絡(luò )設備和機房的管理,這些風(fēng)險是可以避免的。

3.2網(wǎng)絡(luò )平臺的安全風(fēng)險分析

網(wǎng)絡(luò )結構的安全涉及到網(wǎng)絡(luò )拓撲結構、網(wǎng)絡(luò )路由狀況及網(wǎng)絡(luò )的環(huán)境等。

公開(kāi)服務(wù)器面臨的威脅

這個(gè)企業(yè)局域網(wǎng)內公開(kāi)服務(wù)器區(WWW、EMAIL等服務(wù)器)作為公司的信息發(fā)布平臺,一旦不能運行后者受到攻擊,對企業(yè)的聲譽(yù)影響巨大。同時(shí)公開(kāi)服務(wù)器本身要為外界服務(wù),必須開(kāi)放相應的服務(wù);每天,黑客都在試圖闖入Internet節點(diǎn),這些節點(diǎn)如果不保持警惕,可能連黑客怎么闖入的都不知道,甚至會(huì )成為黑客入侵其他站點(diǎn)的跳板。因此,規模比較大網(wǎng)絡(luò )的管理人員對Internet安全事故做出有效反應變得十分重要。我們有必要將公開(kāi)服務(wù)器、內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )進(jìn)行隔離,避免網(wǎng)絡(luò )結構信息外泄;同時(shí)還要對外網(wǎng)的服務(wù)請求加以過(guò)濾,只允許正常通信的數據包到達相應主機,其他的請求服務(wù)在到達主機之前就應該遭到拒絕。

整個(gè)網(wǎng)絡(luò )結構和路由狀況

安全的應用往往是建立在網(wǎng)絡(luò )系統之上的。網(wǎng)絡(luò )系統的成熟與否直接影響安全系統成功的建設。在這個(gè)企業(yè)局域網(wǎng)絡(luò )系統中,只使用了一臺路由器,用作與Internet連結的邊界路由器,網(wǎng)絡(luò )結構相對簡(jiǎn)單,具體配置時(shí)可以考慮使用靜態(tài)路由,這就大大減少了因網(wǎng)絡(luò )結構和網(wǎng)絡(luò )路由造成的安全風(fēng)險。

3.3系統的安全風(fēng)險分析

所謂系統的安全顯而易見(jiàn)是指整個(gè)局域網(wǎng)網(wǎng)絡(luò )操作系統、網(wǎng)絡(luò )硬件平臺是否可靠且值得信任。

網(wǎng)絡(luò )操作系統、網(wǎng)絡(luò )硬件平臺的可靠性:對于中國來(lái)說(shuō),恐怕沒(méi)有絕對安全的操作系統可以選擇,無(wú)論是Microsoft的Windows NT或者其他任何商用UNIX操作系統,其開(kāi)發(fā)廠(chǎng)商必然有其Back-Door。我們可以這樣講:沒(méi)有完全安全的操作系統。但是,我們可以對現有的操作平臺進(jìn)行安全配置、對操作和訪(fǎng)問(wèn)權限進(jìn)行嚴格控制,提高系統的安全性。因此,不但要選用盡可能可靠的操作系統和硬件平臺。而且,必須加強登錄過(guò)程的認證(特別是在到達服務(wù)器主機之前的認證),確保用戶(hù)的合法性;其次應該嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。

3.4應用的安全風(fēng)險分析

應用系統的安全跟具體的應用有關(guān),它涉及很多方面。應用系統的安全是動(dòng)態(tài)的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。
應用系統的安全動(dòng)態(tài)的、不斷變化的:應用的安全涉及面很廣,以目前Internet上應用最為廣泛的E-mail系統來(lái)說(shuō),其解決方案有幾十種,但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發(fā)現的,因此一套詳盡的測試軟件是相當必須的。但是應用系統是不斷發(fā)展且應用類(lèi)型是不斷增加的,其結果是安全漏洞也是不斷增加且隱藏越來(lái)越深。因此,保證應用系統的安全也是一個(gè)隨網(wǎng)絡(luò )發(fā)展不斷完善的過(guò)程。
應用的安全性涉及到信息、數據的安全性:信息的安全性涉及到:機密信息泄露、未經(jīng)授權的訪(fǎng)問(wèn)、破壞信息完整性、假冒、破壞系統的可用性等。由于這個(gè)企業(yè)局域網(wǎng)跨度不大,絕大部分重要信息都在內部傳遞,因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內部進(jìn)行保密的(比如領(lǐng)導子網(wǎng)、財務(wù)系統傳遞的重要信息)可以考慮在應用級進(jìn)行加密,針對具體的應用直接在應用系統開(kāi)發(fā)時(shí)進(jìn)行加密。
3.5管理的安全風(fēng)險分析

管理是網(wǎng)絡(luò )安全中最重要的部分
管理是網(wǎng)絡(luò )中安全最最重要的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。責權不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來(lái)人員進(jìn)入機房重地,或者員工有意無(wú)意泄漏他們所知道的一些重要信息,而管理上卻沒(méi)有相應制度來(lái)約束。
當網(wǎng)絡(luò )出現攻擊行為或網(wǎng)絡(luò )受到其它一些安全威脅時(shí)(如內部人員的違規操作等),無(wú)法進(jìn)行實(shí)時(shí)的檢測、監控、報告與預警。同時(shí),當事故發(fā)生后,也無(wú)法提供黑客攻擊行為的追蹤線(xiàn)索及破案依據,即缺乏對網(wǎng)絡(luò )的可控性與可審查性。這就要求我們必須對站點(diǎn)的訪(fǎng)問(wèn)活動(dòng)進(jìn)行多層次的記錄,及時(shí)發(fā)現非法入侵行為。
建立全新網(wǎng)絡(luò )安全機制,必須深刻理解網(wǎng)絡(luò )并能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的結合。

3.6黑客攻擊

黑客們的攻擊行動(dòng)是無(wú)時(shí)無(wú)刻不在進(jìn)行的,而且會(huì )利用系統和管理上的一切可能利用的漏洞。公開(kāi)服務(wù)器存在漏洞的一個(gè)典型例證,是黑客可以輕易地騙過(guò)公開(kāi)服務(wù)器軟件,得到Unix的口令文件并將之送回。黑客侵入UNIX服務(wù)器后,有可能修改特權,從普通用戶(hù)變?yōu)楦呒売脩?hù),一旦成功,黑客可以直接進(jìn)入口令文件。黑客還能開(kāi)發(fā)欺騙程序,將其裝入UNIX服務(wù)器中,用以監聽(tīng)登錄會(huì )話(huà)。當它發(fā)現有用戶(hù)登錄時(shí),便開(kāi)始存儲一個(gè)文件,這樣黑客就擁有了他人的帳戶(hù)和口令。這時(shí)為了防止黑客,需要設置公開(kāi)服務(wù)器,使得它不離開(kāi)自己的空間而進(jìn)入另外的目錄。另外,還應設置組特權,不允許任何使用公開(kāi)服務(wù)器的人訪(fǎng)問(wèn)WWW頁(yè)面文件以外的東西。在這個(gè)企業(yè)的局域網(wǎng)內我們可以綜合采用防火墻技術(shù)、Web頁(yè)面保護技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來(lái)保護網(wǎng)絡(luò )內的信息資源,防止黑客攻擊。

3.7通用網(wǎng)關(guān)接口(CGI)漏洞

有一類(lèi)風(fēng)險涉及通用網(wǎng)關(guān)接口(CGI)腳本。許多頁(yè)面文件和指向其他頁(yè)面或站點(diǎn)的超連接。然而有些站點(diǎn)用到這些超連接所指站點(diǎn)尋找特定信息。搜索引擎是通過(guò)CGI腳本執行的方式實(shí)現的。黑客可以修改這些CGI腳本以執行他們的非法任務(wù)。通常,這些CGI腳本只能在這些所指WWW服務(wù)器中尋找,但如果進(jìn)行一些修改,他們就可以在WWW服務(wù)器之外進(jìn)行尋找。要防止這類(lèi)問(wèn)題發(fā)生,應將這些CGI腳本設置為較低級用戶(hù)特權。提高系統的抗破壞能力,提高服務(wù)器備份與恢復能力,提高站點(diǎn)內容的防篡改與自動(dòng)修復能力。

3.8惡意代碼

惡意代碼不限于病毒,還包括蠕蟲(chóng)、特洛伊木馬、邏輯炸彈、和其他未經(jīng)同意的軟件。應該加強對惡意代碼的檢測。



2#
g471008226 發(fā)表于 2008-9-26 14:21:23 | 只看該作者 來(lái)自 中國廣東廣州
我頂
3#
jiangzemin 發(fā)表于 2008-10-8 21:09:22 | 只看該作者 來(lái)自 中國浙江杭州
copied....
4#
mzdbluozeng 發(fā)表于 2008-10-16 17:45:02 | 只看該作者 來(lái)自 中國廣東梅州
學(xué)習 學(xué)習
5#
qingfengedu 發(fā)表于 2009-1-15 19:06:23 | 只看該作者 來(lái)自 中國山東泰安
精典啊
6#
hudaohai 發(fā)表于 2009-2-17 13:43:02 | 只看該作者 來(lái)自 中國湖北潛江
我頂經(jīng)典
7#
78621tuxz 發(fā)表于 2009-2-17 16:41:50 | 只看該作者 來(lái)自 中國北京
夠詳細的···學(xué)習了。
8#
zjdylwj 發(fā)表于 2009-2-20 16:55:14 | 只看該作者 來(lái)自 中國河北石家莊
全面,值得借鑒
9#
fourtimer 發(fā)表于 2009-3-2 08:29:30 | 只看該作者 來(lái)自 中國上海
謝謝樓主分享!
10#
純粹為了你 發(fā)表于 2009-3-10 13:49:40 | 只看該作者 來(lái)自 中國浙江紹興
好東西.但是我的基礎不是很好.很想學(xué)這方面的知識....
11#
星星物語(yǔ) 發(fā)表于 2009-3-21 15:24:28 | 只看該作者 來(lái)自 中國浙江臺州
學(xué)習學(xué)習!
12#
jnaobokj 發(fā)表于 2009-3-24 21:12:25 | 只看該作者 來(lái)自 中國山東菏澤
。。。。。。。。。。。。。。。。。。。!
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規則

快速回復 返回頂部 返回列表
汽车| 柏乡县| 新巴尔虎右旗| 房山区| 星子县| 旺苍县| 靖边县| 鄂温| 江孜县| 水城县| 吴川市| 樟树市| 喀喇沁旗| 贡觉县| 永修县| 青龙| 当涂县| 庆城县| 漳州市| 类乌齐县| 突泉县| 龙南县| 柳江县| 阿瓦提县| 保德县| 镇坪县| 兴义市| 新兴县| 乐陵市| 淮安市| 科尔| 西平县| 论坛| 商河县| 凯里市| 古交市| 南漳县| 贵州省| 青海省| 绥江县| 江北区|