还剩7页未读,继续阅读
文本内容:
局域网平安在大型企业中的解决方案电脑资料本方案为大型局域网网络平安解决方案,包括原有网络系统分析、平安需求分析、平安目标确实立、平安体系结构的设计、等,
1.将平安策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的平安风险
2.定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题
3.通过入侵检测等方式实现实时平安监控,提供快速应故障的手段,同时具备很好的平安取证措施
4.使网络管理者能够很快重新组织被破坏了的文件或应用使系统重新恢复到破坏前的状态,最大限度地减少损失
5.在工作站、效劳器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒第二章网络系统概况
2.1网络概况这个企业的局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台不仅如此,通过专线与Inter的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等通过公开效劳器,企业可以直接对外信息或者发送电子邮件高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的平安带来了更大的风险因此,在原有网络上实施一套完整、可操作的平安解决方案不仅是可行的,而且是必需的
2.
1.1网络概述这个企业的局域网,物理跨度不大,通过千兆交换机在主干网络上提供1000M的独享带宽,通过下级交换机与各部门的工作站和效劳器连结,并为之提供100M的独享带宽利用与中心交换机连结的Cisco路由器,所有用户可直接访问Inter
2.
1.2网络结构这个企业的局域网按访问区域可以划分为三个主要的区域Inter区域、内部网络、公开效劳器区域内部网络又可按照所属的部门、职能、平安重要程度分为许多子网,包括财务子网、领导子网、办公子网、市场部子网、中心效劳器子网等在平安方案设计中,我们基于平安的重要程度和要保护的对象,可以在Catalyst型交换机上直接划分四个虚拟局域网(VLAN),即中心效劳器子网、财务子网、领导子网、其他子网不同的局域网分属不同的播送域,由于财务子网、领导子网、中心效劳器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的播送域,而将其他的工作站划分在一个相同的网段(图省略)
2.2网络应用这个企业的局域网可以为用户提供如下主要应用1.文件共享、办公自动化、效劳、电子邮件效劳;2.文件数据的统一存储;3.针对特定的应用在数据库效劳器上进行二次开发比方财务系统;4.提供与Inter的访问;5.通过公开效劳器对外企业信息、发送电子邮件等;
2.3网络结构的特点在分析这个企业局域网的平安风险时,应考虑到网络的如下几个特点
1.网络与Inter直接连结,因此在进行平安方案设计时要考虑与Inter连结的有关风险,包括可能通过Inter传播进来病毒,攻击,Inter的非授权访问等
2.网络中存在公开效劳器,由于公开效劳器对外必须开放局部业务,因此在进行平安方案设计时应该考虑采用平安效劳器网络,防止公开效劳器的平安风险扩散到内部
3.内部网络中存在许多不同的子网,不同的子网有不同的平安性,因此在进行平安方案设计时,应考虑将不同功能和平安级别的网络分割开,这可以通过交换机划分VLAN来实现
4.网络中有二台应用效劳器,在应用程序开发时就应考虑加强用户验证,防止非授权的访问总而言之,在进行网络方案设计时,应综合考虑到这个企业局域网的特点,根据产品的性能、价格、潜在的平安风险进行综合考虑第三章网络系统平安风险分析随着Inter网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂原来由单个计算机平安事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏平安控制机制和对Inter平安政策的认识缺乏,这些风险正日益严重针对这个企业局域网中存在的平安隐患,在进行平安方案设计时,下述平安风险我们必须要认真考虑,并且要针对面临的风险,采取相应的平安措施下述风险由多种因素引起,与这个企业局域网结构和系统的应用、局域网内网络效劳器的可靠性等因素密切相关下面列出局部这类风险因素网络平安可以从以下三个方面来理解1网络物理是否平安;2网络平台是否平安;3系统是否平安;4应用是否平安;5管理是否平安针对每一类平安风险,结合这个企业局域网的实际情况,我们将具体的分析网络的平安风险
3.1物理平安风险分析网络的物理平安的风险是多种多样的网络的物理平安主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、平安意识等它是整个网络系统平安的前提,在这个企业区局域网内,由于网络的物理跨度不大,,只要制定健全的平安管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以防止的
3.2网络平台的平安风险分析网络结构的平安涉及到网络拓扑结构、网络路由状况及网络的环境等公开效劳器面临的威胁这个企业局域网内公开效劳器区(、EMAIL等效劳器)作为公司的信息平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大同时公开效劳器本身要为外界效劳,必须开放相应的效劳;每天,都在试图闯入Inter节点,这些节点如果不保持警惕,可能连怎么闯入的都不知道,甚至会成为入侵其他站点的跳板因此,规模比拟大网络的管理人员对Inter平安事故做出有效反响变得十分重要我们有必要将公开效劳器、内部网络与外部网络进行隔离,防止网络结构信息外泄;同时还要对外网的效劳请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求效劳在到达主机之前就应该遭到拒绝整个网络结构和路由状况平安的应用往往是建立在网络系统之上的,
3.3系统的平安风险分析所谓系统的平安显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任网络操作系统、网络硬件平台的可靠性对于中国来说,恐怕没有绝对平安的操作系统可以选择,无论是Microsoft的WindowsNT或者其他任何商用Unix操作系统,其开发厂商必然有其Back-Door我们可以这样讲没有完全平安的操作系统但是,我们可以对现有的操作平台进行平安配置、对操作和访问权限进行严格控制,提高系统的平安性因此,不但要选用尽可能可靠的操作系统和硬件平台而且,必须加强过程的认证(特别是在到达效劳器主机之前的认证),确保用户的合法性;其次应该严格限制者的操作权限,将其完成的操作限制在最小的范围内
3.4应用的平安风险分析应用系统的平安跟具体的应用有关,它涉及很多方面应用系统的平安是动态的、不断变化的应用的平安性也涉及到信息的平安性,它包括很多方面应用系统的平安动态的、不断变化的应用的平安涉及面很广,以目前Inter上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是相当必须的但是应用系统是不断开展且应用类型是不断增加的,其结果是平安漏洞也是不断增加且隐藏越来越深因此,保证应用系统的平安也是一个随网络开展不断完善的过程应用的平安性涉及到信息、数据的平安性信息的平安性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等由于这个企业局域网跨度不大,绝大局部重要信息都在内部传递,因此信息的机密性和完整性是可以保证的对于有些特别重要的信息需要对内部进行保密的(比方领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密
3.5管理的平安风险分析管理是网络平安中最重要的局部管理是网络中平安最最重要的局部责权不明,管理、平安管理制度不健全及缺乏可操作性等都可能引起管理平安的风险责权不明,管理,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束当网络出现攻击行为或网络受到其它一些平安威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、与预警同时,当事故发生后,也无法提供攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为建立全新网络平安机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合
3.6攻击们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞公开效劳器存在漏洞的一个典型例证,是可以轻易地骗过公开效劳器软件,得到Unix的口令文件并将之送回侵入UNIX效劳器后,有可能修改特权,从普通用户变为高级用户,一旦成功,可以直接进入口令文件还能开发欺骗程序,将其装入UNIX效劳器中,用以监听会话当它发现有用户时,便开始存储一个文件,这样就拥有了他人的帐户和口令这时为了防止,需要设置公开效劳器,使得它不离开自己的空间而进入另外的目录另外,还应设置组特权,不允许任何使用公开效劳器的人访问页面文件以外的东西在这个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、平安评估技术来保护网络内的信息资源,防止攻击
3.7通用网关接口(CGI)漏洞有一类风险涉及通用网关接口(CGI)脚本许多页面文件和指向其他页面或站点的超连接然而有些站点用到这些超连接所指站点寻找特定信息搜索引擎是通过CGI脚本执行的方式实现的可以修改这些CGI脚本以执行他们的非法任务通常,这些CGI脚本只能在这些所指效劳器中寻找,但如果进行一些修改,他们就可以在效劳器之外进行寻找要防止这类问题发生,应将这些CGI脚本设置为较低级用户特权提高系统的抗破坏能力,提高效劳器备份与恢复能力,提高站点内容的防篡改与自动修复能力
3.8恶意代码恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件应该加强对恶意代码的检测
3.9病毒的攻击计算机病毒一直是计算机平安的主要威胁能在Inter上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多当然,查看文档、浏览图像或在Web上填表都不用担忧病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否那么很容易使系统导致严重的破坏典型的“CIH”病毒就是一可怕的例子
3.10不满的内部员工不满的内部员工可能在站点上开些小玩笑,甚至破坏不管如何,他们最熟悉效劳器、小程序、脚本和系统的弱点对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露平安重要信息、错误地进入数据库、删除数据等等
3.11网络的攻击手段一般认为,目前对网络的攻击手段主要表现在非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息它主要有以下几种形式假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等信息泄漏或丧失指敏感数据在有意或无意中被泄漏出去或丧失,它通常包括,信息在传输中丧失或泄漏(如们利用电磁泄漏或搭线等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息),信息在存储介质中丧失或泄漏,通过建立隐蔽隧道等窃取敏感信息等破坏数据完整性以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用拒绝效劳攻击它不断对网络效劳系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的效劳利用网络传播病毒通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范小结本方案理论性较强,可行性有待大家共同探讨有问题请论坛提出...模板内容仅供参考 。