當前位置:首頁 » 安全設置 » 歐宇公司網路安全與管理方案設計
擴展閱讀
手機打水印專用軟體 2022-12-07 21:23:32
12123網路異常1020 2022-12-07 21:20:50

歐宇公司網路安全與管理方案設計

發布時間: 2022-11-23 00:40:36

『壹』 假設某公司網路管理員規劃把公司的C類網劃分成5個子網,請你為該管理員

具體劃分如下實例

ip子網劃分實例
子網劃分有兩種方式,按主機數,如下面的例子,另一種方法是按網路數
不管哪一種方法都離不開經典公式2N-2>=n
如果按主機劃分:N為0的個數,n為主機數
如果按網路劃分:N為1的個數,n為網路數

實例:

把一個大網縮小為若干小網,叫子網,而要把一個或幾個小網擴大為一個大網,叫超網,後者一般應用於電信等其它領域,我們不作討論。
劃分IP子網,有利於我們搞好系統維護,合理配置系統資源,減少資源浪費,但我們有很多初入此道的網管們對怎樣做好這一項必修課心中沒底,這里,我們就一個實例來講講子網劃分的具體方法,希望對廣大朋友有所幫助。
我們先假定一個環境,一個小小的公司中,目前有5個部門A至E,其中:A部門有10台PC(Host,主機),B部門20台,C部門30台,D部門15台,E部門20台,然後CIO分配了一個總的網段192.168.2.0/24給你,作為ADMIN,你的任務是為每個部門劃分單獨的網段,你該怎樣做呢?
實際上,這就是一個很典型的IP子網劃分的問題,其中,192.168.2.0/24是一個C類網段,24是表示子網掩碼中1的個數是24個,這是255.255.255.0的另外一種表示方法,每一個255表示一個二進制的8個1,最後一個0表示二進制的8個0,在計算機語言中以二進製表示為11111111 11111111 11111111 00000000,0表示可容納的主機的個數。要劃分子網,必須制定每一個子網的掩碼規劃,換句話說,就是要確定每一個子網能容納的最多的主機數,即0的個數,顯然,應該以這幾個部門中擁有主機數量最多的為准,在本例中,C部門有30台主機,那麼我們在操作中可以套用這樣一個經典公式:
2N-2=Hosts 2N-2=30 N=5
N代表掩碼中0的個數,5個零則意味著二進制掩碼為11100000,即十進制的224.加上前面24個1,1 的總數為27個。
該掩碼十進製表示為:255.255.255.224/27;
確定掩碼規則以後,就要確認每一個子網的具體地址段。
以下讓我們從A部門開始,一步一步DIY,其餘B—E部門的操作可參照進行。
第一步:確定A部門的網路ID
網路ID,即本部門所在的網段,是由IP地址與掩碼作「與運算」的結果。「與運算」是一種邏輯演算法,其規則是:1與1為1;0與0 、0與1、1與0的結果均為0。
已知:當前的IP地址192.168.2.0的最後一位是0,二進製表示為00000000;而我們已經算出的掩碼255.255.255.224的最後一位是224,二進製表示為11100000。
下面讓我們來做一個與運算。要注意,由於掩碼的後五位為0,那麼IP地址只有前三位參加運算,而後五位僅僅列出,不參加運算。
⑴個子網
0 0 0 0 0 0 0 0
與 1 1 1 0 0 0 0 0
0 0 0 0 0 0 0 0 (十進制:0)
⑵個子網
0 0 1 0 0 0 0 0
與 1 1 1 0 0 0 0 0
0 0 1 0 0 0 0 0 (十進制:32)
(3)個子網
0 1 0 0 0 0 0 0
與 1 1 1 0 0 0 0 0
0 1 0 0 0 0 0 0 (十進制:64)
..........

如果讀者不懂的話,可以參看如下

這里已經計算出了N=5有5個0,那麼還剩3個1,按2n-2=6,這里應劃分為6個子網

子 二進制 二進制主機 十進制主機 可容納的 子網 廣播
網 子網號 號范圍 號范圍 主機數 地址 地址

1 001 00000--11111 .32-.63 30 .32 .63
2 010 00000--11111 .64--.95 30 .64 .95
3 011 00000--11111 .96--.127 30 .96 .127
4 100 00000--11111 .128--.159 30 .128 .159
5 101 00000--11111 .160--.191 30 .160 .191
6 110 00000--11111 .192--.223 30 .192 .223

這里子網地址與廣播地址是不可用,如1號子網,實際可用地址為:202.113.33--202.113.26.62
簡單說就是 可用地址為: 網路地址+1----廣播地址-1 在這個范圍內

這樣就得到了A部門的網路ID為192.168.2.32/27,依此類推,根據主機數最多為30個的原則,B部門為192.168.2.64/27,C部門為192.168.2.96/27等等。
第二步,確定A部門的地址范圍。
細心的朋友可能會發現,如果A部門的網路ID從32開始、並且主機數為30的時候,似乎B部門的ID應該是從62開始才對,為什麼B部門的ID為64呢?這是因為,根據區域網規范,網路中必須要有兩個保留地址作為網路專用,一個叫網路回環地址,代表網路本身,其地址全為0;一個叫廣播地址,專用於主機進行數據廣播。其地址全為1,這兩個地址是不得被主機佔用或分配的,在本例中,A部門網路地址全為0時(只是後面5位!),二進製表示為00100000,
其十進制值為32;當網路地址全為1時,二進製表示為00111111,十進制值為63;由此可見:192.168.2.32僅僅是A部門網路的本網地址(即網路ID),而192.168.2.63為A部門網路的廣播地址。現在再看看前面提到的公式?之所以要減一個2,就是要減去不能被分配和佔用的這兩個地址。所以,A部門實際上可分配給每個主機的地址范圍為192.168.2.33 - 192.168.2.62,掩碼均為255.255.255.224;所以,B部門的網路ID是從64起算的,與運算的圖示如下:
0 1 0 0 0 0 0 0
與 1 1 1 0 0 0 0 0
0 1 0 0 0 0 0 0 (十進制:64)

顯然,192.168.2.64是B部門網路的本網地址,並且不難算出,192.168.2.95是B部門網路的廣播地址,B部門實際上可分配給每個主機的地址范圍為192.168.2.65 - 192.168.2.94,同理可參照計算出C-E部門的地址范圍。

於是,你圓滿的完成了任務,可CIO還想考驗一下你的能力,又提出了兩個問題:
1、 公司各部門現有條件下的網路可擴展性怎樣?
2、 公司目前可支持的子網數到底有多大?
不要緊張,這些紙老虎都是一捅就破的。第一個問題,所謂可擴展性,其實就是說在目前網路規劃的條件下,各部門所能增加的主機數量,還不明白嗎?就是有效的主機數減去現有主機數的值,對A部門而言,30-10=20,那麼,A部門還能增加20台主機,當然C部門就無法再增加了。
對第二個問題,我們仍然要用到那個熟悉的經典公式:
2N-2>=n可支持的子網數 23-2=6
這里的N表示掩碼中借位的個數,掩碼從CIO給定的的24位(24個1)變成了27位(27個1),「借用」了三位,所以N用3代換(至於為什麼要減2,各位朋友可以自己思考一下),結果為6,表示一共可以劃分6個子網,而當前只有5個部門,已劃分了5個子網,還可以再增加一個部門,再劃一個子網。
到此,CIO交辦的任務全部完成,等著提職加薪吧!

事情「似乎」完滿解決了,可能朋友們還有覺得本例中有那麼一些說不清的地方……..
如果C部門的主機數不是剛好30台,而是31,33等無法整除的數,怎麼辦?其實,在計算的時候,用常規演算法如果出現了小數等無法除盡的時候,只需要把小數收上來就行了,注意,不是四捨五入,比如結果為5.3或5.2時,必須收整,使N為6,目的是為了讓子網可容納的主機只多不少,這樣才能最大限度的保證網路ID的正確。
使朋友們困惑的可能還有一個非技術性問題,好像是由一個事先的網路規劃來決定單位內部門的組成,而不是由單位本身的機構數量來決定可購買的主機數量?正是這樣,在網路化程度已很高的國外,一家公司,尤其是IT公司,在籌建之初,為了合理配置系統資源,減少資源浪費,必須是網路規劃先行,然後根據該規劃結合其它要求來配置部門資源,而國內由於網路開發時間短,應用層次相對較低,再加上傳統的管理模式是以人定崗,以人定事,於是以人定機(電腦)也是順理成章的事。這是題外話了。

===========================================================================

『貳』 網路安全方案設計流程主要有哪些步驟

首先強調網路安全的重要性 立足自己的產品 如果是防病毒當然就是強調病毒木馬的危害 如果是安全網關 則著重於攻擊或黑客帶來的隱患
其次是分析對方的拓撲圖 這是最關鍵的 除了清楚的讓客戶認識到自己網路中的隱患外 還能告訴對方需要在什麼地方做改動
之後就是介紹自己的產品 或者公司資質等等
最後可以舉出一些成功案例還有售後服務之類
當然 不能忘記報價

『叄』 急:網路與信息安全保障措施如何

可以先分析目前的現狀,哪些做的好哪些需要完善,然後對完善的重點寫。
可以從管理措施和技術措施兩大部分寫。
管理可以從組織機構、管理制度、監督檢查措施等方面寫。
技術從物理層、網路層、系統層、應用層、數據層等方面一一描述。
另外,還可以補充應急方面的措施,比如說應急預案、預案演練等。估計應該也差不多了。

『肆』 網路安全管理制度

區域網的構建

網路安全概述

網路安全的定義

什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:

未授權的使用者訪問信息

未授權而試圖破壞或更改信息

這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。

在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。

電信行業的具體網路應用(結合典型案例)

電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:

網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。

IP路由協議的優化。

IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。

帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。

穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。

從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。

骨幹層網路承載能力

骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。

骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。

可靠性和自愈能力

包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。

鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。

模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。

設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。

路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。

擁塞控制與服務質量保障

擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。

業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。

接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。

隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。

先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。

資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。

埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。

網路的擴展能力

網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。

交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。

骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。

網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。

與其他網路的互聯

保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。

通信協議的支持

以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。

支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。

支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。

支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。

網路管理與安全體系

支持整個網路系統各種網路設備的統一網路管理。

支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。

支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。

網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。

對網管、認證計費等網段保證足夠的安全性。

IP增值業務的支持

技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。

傳送時延

帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。

RAS (Reliability, Availability, Serviceability)

RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。

虛擬專用網(VPN)

虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。

服務質量保證

通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。

根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。

網路安全風險分析

瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:

1、物理安全風險分析

我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:

地震、水災、火災等環境事故造成整個系統毀滅

電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失

電磁輻射可能造成數據信息被竊取或偷閱

不能保證幾個不同機密程度網路的物理隔離

2、網路安全風險分析

內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。

內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。

3、系統的安全風險分析

所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。

4、應用的安全風險分析

應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。

4.1 公開伺服器應用

電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。

4.2 病毒傳播

網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。

4.3信息存儲

由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。

4.4 管理的安全風險分析

管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。

建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。

安全需求分析

1、物理安全需求

針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。

2、系統安全需求

對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。

應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。

3、防火牆需求

防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。

3.1省中心與各下級機構的隔離與訪問控制

防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;

防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。

防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。

3.2公開伺服器與內部其它子網的隔離與訪問控制

利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。

4、加密需求

目前,網路運營商所開展的VPN業務類型一般有以下三種:

1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務

移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。

VPN業務一般由以下幾部分組成:

(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統

我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。

5、安全評估系統需求

網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。

6、入侵檢測系統需求

在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。

7、防病毒系統需求

針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。

8、數據備份系統

安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。

9、安全管理體制需求

安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。

安全目標

通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:

建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。

利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;

通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;

通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;

通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;

利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;

備份與災難恢復---強化系統備份,實現系統快速恢復;

通過安全服務提高整個網路系統的安全性。

『伍』 如何設計網路安全方案呢

對於一名從事網路安全的人來說,網路必須有一個整體、動態的安全概念。總的來說,就是要在整個項目中,有一種總體把握的能力,不能只關注自己熟悉的某一領域,而對其他領域毫不關心,甚至不理解,這樣寫不出一份好的安全方案。因為寫出來的方案,就是要針對用戶所遇到的問題,運用產品和技術解決問題。設計人員只有對安全技術了解的很深,對產品線了解的很深,寫出來的方案才能接近用戶的要求。

『陸』 網路方案設計過程主要分哪幾個步驟

步驟如下:

1,需求調研

2,需求分析

3,概要設計

4,詳細設計

設計方案內容包括:網路拓撲、IP地址規劃、網路設備選型等等。

(6)歐宇公司網路安全與管理方案設計擴展閱讀:

網路工程設計原則

網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡,並排定其在方案設計中的優先順序,對網路工程設計和實施將具有指導意義。

1,實用、好用與夠用性原則

計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時,其價格卻在逐年或逐季下降,不可能也沒必要實現所謂「一步到位」。所以,網路方案設計中應採用成熟可靠的技術和設備,充分體現「夠用」、「好用」、「實用」建網原則,切不可用「今天」的錢,買「明、後天」才可用得上的設備。
2,開放性原則

網路系統應採用開放的標准和技術,資源系統建設要採用國家標准,有些還要遵循國際標准(如:財務管理系統、電子商務系統)。其目的包括兩個方面:第一,有利於網路工程系統的後期擴充;第二,有利於與外部網路互連互通,切不可「閉門造車」形成信息化孤島。

3,可靠性原則

無論是企業還是事業,也無論網路規模大小,網路系統的可靠性是一個工程的生命線。比如,一個網路系統中的關鍵設備和應用系統,偶爾出現的死鎖,對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此,應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。

4, 安全性原則

網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全,在方案設計時,應考慮用戶方在網路安全方面可投入的資金,建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施;網路信息中心對外的伺服器要與對內的伺服器隔離。

5, 先進性原則

網路系統應採用國際先進、主流、成熟的技術。比如,區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時),選用多層交換技術,支持多層幹道傳輸、生成樹等協議。

6,易用性原則

網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備,比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統,以方便用戶管理、配置網路系統。

7,可擴展性原則

網路總體設計不僅要考慮到近期目標,也要為網路的進一步發展留有擴展的餘地,因此要選用主流產品和技術。若有可能,最好選用同一品牌的產品,或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。

『柒』 如何構建網路安全(以中型網路公司為例)

企業網路安全管理方案
大致包括: 1) 企業網路安全漏洞分析評估2) 網路更新的拓撲圖、網路安全產品采購與報價3) 管理制度制定、員工安全教育與安全知識培訓計劃4) 安全建設方案5) 網管設備選擇與網路管理軟體應用6) 網路維護與數據災難備份計劃7) 企業防火牆應用管理與策略8) 企業網路病毒防護9) 防內部攻擊方案10) 企業VPN設計
網路安全要從兩方面來入手
第一、管理層面。包括各種網路安全規章制度的建立、實施以及監督
第二、技術層面。包括各種安全設備實施,安全技術措施應用等
按照你的描述 首先我提醒你一點
安全是要花錢的 如果不想花錢就你現有的這些設備
我認為應該從以下幾點入手
一、制定並實施網路安全管理制度 包括伺服器以及個人主機安全管理、包括個級別許可權管理等等
二、制定並實施網路安全日常工作程序,包括監測上網行為、包括入侵監測
三、從技術層面上,你那裡估計是一根專線接入後用交換機或者無線路由器DHCP分配IP地址供大家上網,這樣的話你做不到上網行為管理,你需要一台防火牆進行包過濾以及日誌記錄 或者作一台代理伺服器進行上網行為管理並進行日誌記錄。
四、區域網內計算機系統管理 包括操作系統防病毒 更新補丁等工作 堡壘往往是從內部攻破 內部計算機中毒主動向外發送數據,造成泄密 這已經是很常見的事情 所以做好主機防護很重要。
當然 如果您有錢 黑洞系統 入侵監測 漏洞掃描 多級防火牆 審計系統都可以招呼
最後提醒一點 那就是 沒有絕對的安全 安全都是相對的
你需要什麼級別的安全 就配套做什麼級別的安全措施
管理永遠大於技術 技術只是輔助手段

『捌』 企業網路安全解決方案論文

企業基於網路的計算機應用也在迅速增加,基於網路信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,研究解決網路安全問題的方案顯得及其重要。下面是我帶來的關於企業網路安全解決方案論文的內容,歡迎閱讀參考!

企業網路安全解決方案論文篇1

淺談中小企業網路安全整體解決方案

摘要:隨著企業內部網路的日益龐大及與外部網路聯系的逐漸增多,一個安全可信的企業網路安全系統顯得十分重要。區域網企業信息安全系統是為了防範企業中計算機數據信息泄密而建立的一種管理系統,旨在對區域網中的信息安全提供一種實用、可靠的管理方案。

關鍵詞:網路安全 防病毒 防火牆 入侵檢測

一、網路安全的含義

網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網路安全所要研究的領域。網路安全,通常定義為網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。

二、中小企業網路安全方案的基本設計原則

(一)綜合性、整體性原則。應用系統工程的觀點、 方法 ,分析網路的安全及具體 措施 。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網路安全體系結構。

(二)需求、風險、代價平衡的原則。對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。

(三)分步實施原則。由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需要,亦可節省費用開支。

三、中小企業網路安全方案的具體設計

網路安全是一項動態的、整體的系統工程,從技術上來說,網路安全由安全的 操作系統 、應用系統、防病毒、防火牆、入侵檢測、網路監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保您信息網路的安全性。

該方案主要包括以下幾個方面:

(一)防病毒方面:應用防病毒技術,建立全面的網路防病毒體系。隨著Internet的不斷發展,信息技術已成為促進經濟發展、社會進步的巨大推動力:當今社會高度的計算機化信息資源對任何人無論在任何時候、任何地方都變得極有價值。不管是存儲在工作站中、伺服器里還是流通於Internet上的信息都已轉變成為一個關系事業成敗關鍵的策略點,這就使保證信息的安全變得格外重要。

(二)應用防火牆技術,控制訪問許可權,實現網路安全集中管理。防火牆技術是今年發展起來的重要網路安全技術,其主要作用是在網路入口處檢查網路通訊,根據客戶設定的安全規則,在保護內部網路安全的前提下,保障內外網路通訊。在網路出口處安裝防火牆後,內部網路與外部網路進行了有效的隔離,所有來自外部網路的訪問請求都要通過防火牆的檢查,內部網路的安全有了很大的提高。

防火牆可以完成以下具體任務:通過源地址過濾,拒絕外部非法IP地址,有效的避免了外部網路上與業務無關的主機的越權訪問;防火牆可以只保留有用的服務,將其他不需要的服務關閉,這樣可以將系統受攻擊的可能性降低到最小限度,使黑客無機可乘。

隨著網路的廣泛應用和普及,網路入侵行為、病毒破壞、垃圾郵件的處理和普遍存在的安全話題也成了人們日趨關注的焦點。防火牆作為網路邊界的第一道防線,由最初的路由器設備配置訪問策略進行安全防護,到形成專業獨立的產品,已經充斥了整個網路世界。在網路安全領域,隨著黑客應用技術的不斷「傻瓜化」,入侵檢測系統IDS的地位正在逐漸增加。一個網路中,只有有效實施了IDS,才能敏銳地察覺攻擊者的侵犯行為,才能防患於未然。

參考文獻:

[1]陳家琪.計算機網路安全.上海理工大學,電子教材,2005

[2]胡建斌.網路與信息安全概論.北京大學網路與信息安全研究室,電子教材,2005

企業網路安全解決方案論文篇2

淺談網路安全技術與企業網路安全解決方案

網路由於其系統方面漏洞導致的安全問題是企業的一大困擾,如何消除辦企業網路的安全隱患成為 企業管理 中的的一大難題。各種網路安全技術的出現為企業的網路信息安全帶來重要保障,為企業的發展奠定堅實的基礎。

1 網路安全技術

1.1 防火牆技術

防火牆技術主要作用是實現了網路之間訪問的有效控制,對外部不明身份的對象採取隔離的方式禁止其進入企業內部網路,從而實現對企業信息的保護。

如果將公司比作人,公司防盜系統就如同人的皮膚一樣,是阻擋外部異物的第一道屏障,其他一切防盜系統都是建立在防火牆的基礎上。現在最常用也最管用的防盜系統就是防火牆,防火牆又可以細分為代理服務防火牆和包過濾技術防火牆。代理服務防火牆的作用一般是在雙方進行電子商務交易時,作為中間人的角色,履行監督職責。包過濾技術防火牆就像是一個篩子,會選擇性的讓數據信息通過或隔離。

1.2 加密技術

加密技術是企業常用保護數據信息的一種便捷技術,主要是利用一些加密程序對企業一些重要的數據進行保護,避免被不法分子盜取利用。常用的加密方法主要有數據加密方法以及基於公鑰的加密演算法。數據加密方法主要是對重要的數據通過一定的規律進行變換,改變其原有特徵,讓外部人員無法直接觀察其本質含義,這種加密技術具有簡便性和有效性,但是存在一定的風險,一旦加密規律被別人知道後就很容易將其解除。基於公鑰的加密演算法指的是由對應的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。這種加密方法具有較強的隱蔽性,外部人員如果想得到數據信息只有得到相關的只有得到唯一的私有密匙,因此具有較強的保密性。

1.3 身份鑒定技術

身份鑒定技術就是根據具體的特徵對個人進行識別,根據識別的結果來判斷識別對象是否符合具體條件,再由系統判斷是否對來人開放許可權。這種方式對於冒名頂替者十分有效,比如指紋或者後虹膜, 一般情況下只有本人才有許可權進行某些專屬操作,也難以被模擬,安全性能比較可靠。這樣的技術一般應用在企業高度機密信息的保密過程中,具有較強的實用性。

2 企業網路安全體系解決方案

2.1 控制網路訪問

對網路訪問的控制是保障企業網路安全的重要手段,通過設置各種許可權避免企業信息外流,保證企業在激烈的市場競爭中具有一定的競爭力。企業的網路設置按照面向對象的方式進行設置,針對個體對象按照網路協議進行訪問許可權設置,將網路進行細分,根據不同的功能對企業內部的工作人員進行許可權管理。企業辦公人員需要使用到的功能給予開通,其他與其工作不相關的內容即取消其訪問許可權。另外對於一些重要信息設置防寫或讀保護,從根本上保障企業機密信息的安全。另外對網路的訪問控制可以分時段進行,例如某文件只可以在相應日期的一段時間內打開。

企業網路設計過程中應該考慮到網路安全問題,因此在實際設計過程中應該對各種網路設備、網路系統等進行安全管理,例如對各種設備的介面以及設備間的信息傳送方式進行科學管理,在保證其基本功能的基礎上消除其他功能,利用當前安全性較高的網路系統,消除網路安全的脆弱性。

企業經營過程中由於業務需求常需要通過遠端連線設備連接企業內部網路,遠程連接過程中脆弱的網路系統極容易成為別人攻擊的對象,因此在企業網路系統中應該加入安全性能較高的遠程訪問設備,提高遠程網路訪問的安全性。同時對網路系統重新設置,對登入身份信息進行加密處理,保證企業內部人員在操作過程中信息不被外人竊取,在數據傳輸過程中通過相應的 網路技術 對傳輸的數據審核,避免信息通過其他 渠道 外泄,提高信息傳輸的安全性。

2.2 網路的安全傳輸

電子商務時代的供應鏈建立在網路技術的基礎上,供應鏈的各種信息都在企業內部網路以及與供應商之間的網路上進行傳遞,信息在傳遞過程中容易被不法分子盜取,給企業造成重大經濟損失。為了避免信息被竊取,企業可以建設完善的網路系統,通過防火牆技術將身份無法識別的隔離在企業網路之外,保證企業信息在安全的網路環境下進行傳輸。另外可以通過相應的加密技術對傳輸的信息進行加密處理,技術一些黑客解除企業的防火牆,竊取到的信息也是難以理解的加密數據,加密過後的信息常常以亂碼的形式存在。從理論上而言,加密的信息仍舊有被解除的可能性,但現行的數據加密方式都是利用復雜的密匙處理過的,即使是最先進的密碼解除技術也要花費相當長的時間,等到數據被解除後該信息已經失去其時效性,成為一條無用的信息,對企業而言沒有任何影響。

2.3 網路攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業網路,並從中找到漏洞進入企業內部網路,對企業信息進行竊取或更改。為避免惡意網路攻擊,企業可以引進入侵檢測系統,並將其與控制網路訪問結合起來,對企業信息實行雙重保護。根據企業的網路結構,將入侵檢測系統滲入到企業網路內部的各個環節,尤其是重要部門的機密信息需要重點監控。利用防火牆技術實現企業網路的第一道保護屏障,再配以檢測技術以及相關加密技術,防火記錄用戶的身份信息,遇到無法識別的身份信息即將數據傳輸給管理員。後續的入侵檢測技術將徹底阻擋黑客的攻擊,並對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經過加密的數據,難以從中得到有效信息。通過這些網路安全技術的配合,全方位消除來自網路黑客的攻擊,保障企業網路安全。

3 結束語

隨著電子商務時代的到來,網路技術將會在未來一段時間內在企業的運轉中發揮難以取代的作用,企業網路安全也將長期伴隨企業經營管理,因此必須對企業網路實行動態管理,保證網路安全的先進性,為企業的發展建立安全的網路環境。

>>>下一頁更多精彩的「企

『玖』 設計網路安全方案時需要注意哪些地方

一份網路安全方案需要從以下8個方面來把握。
(1)體現唯一性,由於安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標准。實際中,每一個特定網路都是唯一的,需要根據實際情況來處理。
(2)對安全技術和安全風險有一個綜合把握和理解,包括可能出現的所有情況。
(3)對用戶的網路系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一個合適、中肯的評估,不能誇大,也不能縮小。
(4)對症下葯,用相應的安全產品、安全技術和管理手段,降低用戶的網路系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網路系統抵抗風險和威脅的能力,增強系統本身的免疫力。
(5)方案中要體現出對用戶的服務支持。
(6)在設計方案的時候,要明白網路系統安全是一個動態的、整體的、專業的工程,不能一步到位解決用戶所有的問題。
(7)方案出來後,要不斷的和用戶進行溝通,能夠及時的得到他們對網路系統在安全方面的要求、期望和所遇到的問題。
(8)方案中所涉及的產品和技術,都要經得起驗證、推敲和實施,要有理論根據,也要有實際基礎。

『拾』 求企業區域網管理方案 ~!!!!高手進

第一章 總則

本方案為大型區域網網路安全解決方案,包括網路系統分析、安全需求分析、安全目標的確立、安全體系結構的設計等。本安全解決方案的目標是在不影響區域網當前業務的前提下,實現對區域網全面的安全管理。

1.將安全策略、硬體及軟體等方法結合起來,構成一個統一的防禦系統,有效阻止非法用戶進入網路,減少網路的安全風險。

2.定期進行漏洞掃描,審計跟蹤,及時發現問題,解決問題。

3.通過入侵檢測等方式實現實時安全監控,提供快速響應故障的手段,同時具備很好的安全取證措施。

4.使網路管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態,最大限度地減少損失。

5.在工作站、伺服器上安裝相應的防病毒軟體,由中央控制台統一控制和管理,實現全網統一防病毒。

第二章 網路系統概況

2.1 網路概況

常見大型企業區域網是一個信息點較為密集的千兆區域網絡系統,它所聯接的現有上千個信息點為在整個企業內辦公的各部門提供了一個快速、方便的信息交流平台。不僅如此,通過專線與Internet的連接,打通了一扇通向外部世界的窗戶,各個部門可以直接與互聯網用戶進行交流、查詢資料等。通過公開伺服器,企業可以直接對外發布信息或者發送電子郵件。高速交換技術的採用、靈活的網路互連方案設計為用戶提供快速、方便、靈活通信平台的同時,也為網路的安全帶來了更大的風險。因此,在原有網路上實施一套完整、可操作的安全解決方案不僅是可行的,而且是必需的。

2.1.1 網路概述

企業區域網通過千兆交換機在主幹網路上提供1000M的獨享帶寬,通過二級交換機與各部門的工作站和伺服器連接,並為之提供100M的獨享帶寬。利用與中心交換機連接的路由器,所有用戶可直接訪問Internet。

2.1.2 網路結構

常見大型企業的區域網按訪問區域可以劃分為三個主要的區域:Internet區域、內部網路、公開伺服器區域。內部網路又可按照所屬的部門、職能、安全重要程度分為許多子網,包括:財務子網、領導子網、辦公子網、市場部子網、中心伺服器子網等。在安全方案設計中,基於安全的重要程度和要保護的對象,可以在核心交換機上直接劃分四個虛擬區域網(VLAN),即:中心伺服器子網、財務子網、領導子網、其他子網。不同的區域網分屬不同的廣播域,由於財務子網、領導子網、中心伺服器子網屬於重要網段,因此在中心交換機上將這些網段各自劃分為一個獨立的廣播域,而將其他的工作站劃分在一個相同的網段。

2.2 網路應用

企業區域網一般會提供如下主要應用:

1.文件共享、辦公自動化、WWW服務、電子郵件服務;

2.文件數據的統一存儲;

3.針對特定的應用在資料庫伺服器上進行二次開發(比如財務系統);

4.提供與Internet的訪問;

5.通過公開伺服器對外發布企業信息、發送電子郵件等;

2.3 網路結構的特點

在分析企業區域網的安全風險時,應考慮到網路的如下幾個特點:

1.網路與Internet直接連接,因此在進行安全方案設計時要考慮與Internet連接的有關風險,包括可能通過Internet傳播進來病毒,黑客攻擊,來自Internet的非授權訪問等。

2.網路中存在公開伺服器,由於公開伺服器對外必須開放部分業務,因此在進行安全方案設計時應該考慮採用安全伺服器網路,避免公開伺服器的安全風險擴散到內部。

3.內部網路中存在許多不同的子網,不同的子網有不同的安全性,因此在進行安全方案設計時,應考慮將不同功能和安全級別的網路分割開,這可以通過交換機劃分VLAN來實現。

4.網路中的應用伺服器,在應用程序開發時就應考慮加強用戶登錄驗證,防止非授權的訪問。

總而言之,在進行網路方案設計時,應綜合考慮到企業區域網的特點,根據產品的性能、價格、潛在的安全風險進行綜合考慮。

第三章 網路系統安全風險分析

隨著Internet網路急劇擴大和上網用戶迅速增加,風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統,引起大范圍的癱瘓和損失;另外加上缺乏安全控制機制和對Internet安全政策的認識不足,這些風險正日益嚴重。

針對企業區域網中存在的安全隱患,在進行安全方案設計時,下述安全風險我們必須要認真考慮,並且要針對面臨的風險,採取相應的安全措施。下述風險由多種因素引起,與企業區域網結構和系統的應用、區域網內網路伺服器的可靠性等因素密切相關。下面列出部分這類風險因素:

網路安全可以從以下五個方面來理解:1 網路物理是否安全;2 網路平台是否安全;3 系統是否安全;4 應用是否安全;5 管理是否安全。針對每一類安全風險,結合企業區域網的實際情況,具體分析網路的安全風險。

3.1 物理安全風險分析

網路的物理安全的風險是多種多樣的。網路的物理安全主要是指地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬體、雙機多冗餘的設計、機房環境及報警系統、安全意識等。它是整個網路系統安全的前提,在企業區區域網內,由於網路的物理跨度不大,,只要制定健全的安全管理制度,做好備份,並且加強網路設備和機房的管理,這些風險是可以避免的。

3.2 網路平台的安全風險分析

網路結構的安全涉及到網路拓撲結構、網路路由狀況及網路的環境等。

3.2.1 公開伺服器面臨的威脅

企業區域網內公開伺服器區(WWW、EMAIL等伺服器)作為公司的信息發布平台,一旦不能運行或者受到攻擊,對企業的聲譽影響巨大。同時公開伺服器本身要為外界服務,必須開放相應的服務;每天,黑客都在試圖闖入Internet節點,這些節點如果不保持警惕,可能連黑客怎麼闖入的都不知道,甚至會成為黑客入侵其他站點的跳板。因此,規模比較大網路的管理人員對Internet安全事故做出有效反應變得十分重要。我們有必要將公開伺服器、內部網路與外部網路進行隔離,避免網路結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其他的請求服務在到達主機之前就應該遭到拒絕。

3.2.2 整個網路結構和路由狀況

安全的應用往往是建立在網路系統之上的。網路系統的成熟與否直接影響安全系統成功的建設。企業區域網絡系統中,一般只有一個Internet出口,使用一台路由器,作為與Internet連接的邊界路由器,網路結構相對簡單,具體配置時可以考慮使用靜態路由,這就大大減少了因網路結構和網路路由造成的安全風險。

3.3 系統的安全風險分析

所謂系統的安全顯而易見是指整個區域網網路操作系統、網路硬體平台是否可靠且值得信任。

網路操作系統、網路硬體平台的可靠性:對於中國來說,恐怕沒有絕對安全的操作系統可以選擇,無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統,其開發廠商必然有其Back-Door。我們可以這樣講:沒有完全安全的操作系統。但是,我們可以對現有的操作平台進行安全配置、對操作和訪問許可權進行嚴格控制,提高系統的安全性。因此,不但要選用盡可能可靠的操作系統和硬體平台。而且,必須加強登錄過程的認證(特別是在到達伺服器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。

3.4 應用的安全風險分析

應用系統的安全跟具體的應用有關,它涉及很多方面。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。以目前Internet上應用最為廣泛的E-mail系統來說,其解決方案有幾十種,但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發現的,因此一套詳盡的測試軟體是相當必須的。但是應用系統是不斷發展且應用類型是不斷增加的,其結果是安全漏洞也是不斷增加且隱藏越來越深。因此,保證應用系統的安全也是一個隨網路發展不斷完善的過程。

應用的安全性涉及到信息、數據的安全性。信息的安全性涉及到:機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。由於企業區域網跨度不大,絕大部分重要信息都在內部傳遞,因此信息的機密性和完整性是可以保證的。對於有些特別重要的信息需要對內部進行保密的(比如領導子網、財務系統傳遞的重要信息)可以考慮在應用級進行加密,針對具體的應用直接在應用系統開發時進行加密。

3.5 管理的安全風險分析

管理是網路中安全最最重要的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。

當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。

建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的結合。

3.6 黑客攻擊

黑客們的攻擊行動是無時無刻不在進行的,而且會利用系統和管理上的一切可能利用的漏洞。公開伺服器存在漏洞的一個典型例證,是黑客可以輕易地騙過公開伺服器軟體,得到Unix的口令文件並將之送回。黑客侵入UNIX伺服器後,有可能修改特權,從普通用戶變為高級用戶,一旦成功,黑客可以直接進入口令文件。黑客還能開發欺騙程序,將其裝入UNIX伺服器中,用以監聽登錄會話。當它發現有用戶登錄時,便開始存儲一個文件,這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客,需要設置公開伺服器,使得它不離開自己的空間而進入另外的目錄。另外,還應設置組特權,不允許任何使用公開伺服器的人訪問WWW頁面文件以外的東西。在企業的區域網內我們可以綜合採用防火牆技術、Web頁面保護技術、入侵檢測技術、安全評估技術來保護網路內的信息資源,防止黑客攻擊。

3.7 通用網關介面(CGI)漏洞

有一類風險涉及通用網關介面(CGI)腳本。許多頁面文件和指向其他頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過CGI腳本執行的方式實現的。黑客可以修改這些CGI腳本以執行他們的非法任務。通常,這些CGI腳本只能在這些所指WWW伺服器中尋找,但如果進行一些修改,他們就可以在WWW伺服器之外進行尋找。要防止這類問題發生,應將這些CGI腳本設置為較低級用戶特權。提高系統的抗破壞能力,提高伺服器備份與恢復能力,提高站點內容的防篡改與自動修復能力。

3.8 惡意代碼

惡意代碼不限於病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經同意的軟體。應該加強對惡意代碼的檢測。

3.9 病毒的攻擊

計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒,例如通過E-Mail傳播的病毒,增加了這種威脅的程度。病毒的種類和傳染方式也在增加,國際空間的病毒總數已達上萬甚至更多。當然,查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染,然而,下載可執行文件和接收來歷不明的E-Mail文件需要特別警惕,否則很容易使系統導致嚴重的破壞。典型的「CIH」病毒就是一可怕的例子。

3.10 不滿的內部員工

不滿的內部員工可能在WWW站點上開些小玩笑,甚至破壞。不論如何,他們最熟悉伺服器、小程序、腳本和系統的弱點。對於已經離職的不滿員工,可以通過定期改變口令和刪除系統記錄以減少這類風險。但還有心懷不滿的在職員工,這些員工比已經離開的員工能造成更大的損失,例如他們可以傳出至關重要的信息、泄露安全重要信息、錯誤地進入資料庫、刪除數據等等。

3.11 網路的攻擊手段

一般認為,目前對網路的攻擊手段主要表現在:

非授權訪問:沒有預先經過同意,就使用網路或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網路設備及資源進行非正常使用,或擅自擴大許可權,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。

信息泄漏或丟失:指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如"黑客"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、帳號等重要信息。),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。

破壞數據完整性:以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。

拒絕服務攻擊:它不斷對網路服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網路系統或不能得到相應的服務。

利用網路傳播病毒:通過網路傳播計算機病毒,其破壞性大大高於單機系統,而且用戶很難防範。

第四章 安全需求與安全目標

4.1 安全需求分析

通過對企業區域網絡結構、應用及安全威脅分析,可以看出其安全問題主要集中在對伺服器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此,我們必須採取相應的安全措施杜絕安全隱患,其中應該做到:

Ø 公開伺服器的安全保護

Ø 防止黑客從外部攻擊

Ø 入侵檢測與監控

Ø 信息審計與記錄

Ø 病毒防護

Ø 數據安全保護

Ø 數據備份與恢復

Ø 網路的安全管理

針對企業區域網絡系統的實際情況,在系統考慮如何解決上述安全問題的設計時應滿足如下要求:

1.大幅度地提高系統的安全性(重點是可用性和可控性);

2.保持網路原有的能特點,即對網路的協議和傳輸具有很好的透明性,能透明接入,無需更改網路設置;

3.易於操作、維護,並便於自動化管理,而不增加或少增加附加操作;

4.盡量不影響原網路拓撲結構,同時便於系統及系統功能的擴展;

5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;

6.安全產品具有合法性,及經過國家有關管理部門的認可或認證;

7.分布實施。

4.2 網路安全策略

安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。該安全策略模型包括了建立安全環境的三個重要組成部分,即:

威嚴的法律:安全的基石是社會法律、法規、與手段,這部分用於建立一套安全管理標准和方法。即通過建立與信息安全相關的法律、法規,使非法分子懾於法律,不敢輕舉妄動。

先進的技術:先進的安全技術是信息安全的根本保障,用戶對自身面臨的威脅進行風險評估,決定其需要的安全服務種類,選擇相應的安全機制,然後集成先進的安全技術。

嚴格的管理:各網路使用機構、企業和單位應建立相宜的信息安全管理辦法,加強內部管理,建立審計和跟蹤體系,提高整體信息安全意識。

4.3 系統安全目標

基於以上的分析,我們認為這個區域網網路系統安全應該實現以下目標:

Ø 建立一套完整可行的網路安全與網路管理策略

Ø 將內部網路、公開伺服器網路和外網進行有效隔離,避免與外部網路的直接通信

Ø 建立網站各主機和伺服器的安全保護措施,保證他們的系統安全

Ø 對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕

Ø 加強合法用戶的訪問認證,同時將用戶的訪問許可權控制在最低限度

Ø 全面監視對公開伺服器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為

Ø 加強對各種訪問的審計工作,詳細記錄對網路、公開伺服器的訪問行為,形成完整的系統日誌

Ø 備份與災難恢復——強化系統備份,實現系統快速恢復

Ø 加強網路安全管理,提高系統全體人員的網路安全意識和防範技術

第五章 網路安全方案總體設計

5.1 安全方案設計原則

在對這個企業區域網網路系統安全方案設計、規劃時,應遵循以下原則:

綜合性、整體性原則:應用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網路安全體系結構。

需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。

一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容及措施,實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。

易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。

分步實施原則:由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需求,亦可節省費用開支。

多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。

可評價性原則:如何預先評價一個安全設計並驗證其網路的安全性,這需要通過國家有關網路信息安全測評認證機構的評估來實現。

5.2 安全服務、機制與技術

安全服務:主要有控制服務、對象認證服務、可靠性服務等;

安全機制:訪問控制機制、認證機制等;

安全技術:防火牆技術、鑒別技術、審計監控技術、病毒防治技術等;在安全的開放環境中,用戶可以使用各種安全應用。安全應用由一些安全服務來實現;而安全服務又是由各種安全機制或安全技術來實現的。應當指出,同一安全機制有時也可以用於實現不同的安全服務。

第六章 網路安全體系結構

通過對網路的全面了解,按照安全策略的要求、風險分析的結果及整個網路的安全目標,整個網路措施應按系統體系建立。具體的安全控制系統由以下幾個方面組成:物理安全、網路安全、系統安全、信息安全、應用安全和安全管理

6.1 物理安全

保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提,物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面:

環境安全:對系統所在環境的安全保護,如區域保護和災難保護;(參見國家標准GB50173-93《電子計算機機房設計規范》、國標GB2887-89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》

設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;

媒體安全:包括媒體數據的安全及媒體本身的安全。

在網路的安全方面,主要考慮兩個大的層次,一是整個網路結構成熟化,主要是優化網路結構,二是整個網路系統的安全。

6.1.1 網路結構

安全系統是建立在網路系統之上的,網路結構的安全是安全系統成功建立的基礎。在整個網路結構的安全方面,主要考慮網路結構、系統和路由的優化。

網路結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網路維護管理、網路應用與業務定位等因素。成熟的網路結構應具有開放性、標准化、可靠性、先進性和實用性,並且應該有結構化的設計,充分利用現有資源,具有運營管理的簡便性,完善的安全保障體系。網路結構採用分層的體系結構,利於維護管理,利於更高的安全控制和業務發展。

網路結構的優化,在網路拓撲上主要考慮到冗餘鏈路;防火牆的設置和入侵檢測的實時監控等。

6.1.2 網路系統安全

6.1.2.1 訪問控制及內外網的隔離

訪問控制可以通過如下幾個方面來實現:

1.制訂嚴格的管理制度:可制定的相應:《用戶授權實施細則》、《口令字及帳戶管理規范》、《許可權管理制度》。
2.配備相應的安全設備:在內部網與外部網之間,設置防火牆實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火牆設置在不同網路或網路安全域之間信息的唯一出入口。

防火牆主要的種類是包過濾型,包過濾防火牆一般利用IP和TCP包的頭信息對進出被保護網路的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網路的信息流。同時可實現網路地址轉換(NAT)、審記與實時告警等功能。由於這種防火牆安裝在被保護網路與路由器之間的通道上,因此也對被保護網路和外部網路起到隔離作用。

防火牆具有以下五大基本功能:過濾進、出網路的數據;管理進、出網路的訪問行為;封堵某些禁止的業務;記錄通過防火牆的信息內容和活動;對網路攻擊的檢測和告警。

6.1.2.2 內部網不同網路安全域的隔離及訪問控制

在這里,主要利用VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網路劃分為幾個不同的廣播域,實現內部一個網段與另一個網段的物理隔離。這樣,就能防止影響一個網段的問題穿過整個網路傳播。針對某些網路,在某些情況下,它的一些區域網的某個網段比另一個網段更受信任,或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內,就可以限制局部網路安全問題對全局網路造成的影響。

6.1.2.3 網路安全檢測

網路系統的安全性取決於網路系統中最薄弱的環節。如何及時發現網路系統中最薄弱的環節?如何最大限度地保證網路系統的安全?最有效的方法是定期對網路系統進行安全性分析,及時發現並修正存在的弱點和漏洞。

網路安全檢測工具通常是一個網路安全性評估分析軟體,其功能是用實踐性的方法掃描分析網路系統,檢查報告系統存在的弱點和漏洞,建議補救措施和安全策略,達到增強網路安全性的目的。檢測工具應具備以下功能:

Ø 具備網路監控、分析和自動響應功能

Ø 找出經常發生問題的根源所在;

Ø 建立必要的循環過程確保隱患時刻被糾正;控制各種網路安全危險。

Ø 漏洞分析和響應

Ø 配置分析和響應

Ø 漏洞形勢分析和響應

Ø 認證和趨勢分析

具體體現在以下方面:

Ø 防火牆得到合理配置

Ø 內外WEB站點的安全漏洞減為最低

Ø 網路體系達到強壯的耐攻擊性

Ø 各種伺服器操作系統,如E_MIAL伺服器、WEB伺服器、應用伺服器、,將受黑客攻擊的可能降為最低

Ø 對網路訪問做出有效響應,保護重要應用系統(如財務系統)數據安全不受黑客攻擊和內部人 員誤操作的侵害

6.1.2.4 審計與監控

審計是記錄用戶使用計算機網路系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能看出系統正被怎樣地使用。對於確定是否有網路攻擊的情況,審計信息對於去定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,並且它是後面階段事故處理的重要依據。另外,通過對安全事件的不斷收集與積累並且加以分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,以便對發現或可能產生的破壞性行為提供有力的證據。

因此,除使用一般的網管軟體和系統監控管理系統外,還應使用目前較為成熟的網路監控設備或實時入侵檢測設備,以便對進出各級區域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網路的攻擊與犯罪行為。

6.1.2.5 網路防病毒

由於在網路環境下,計算機病毒有不可估量的威脅性和破壞力,計算機