还剩13页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
大型企业网络平安解决方案第一章引言错误!未指定书签其次章网络系统概况错误!未指定书签1网络概况错误!未指定书签2网络结构的特点错误!未指定书签第三章网络系统平安风险分析错误!未指定书签1网络平台的平安风险分析错误!未指定书签2系统的平安风险分析错误!未指定书签3应用的平安风险分析错误!未指定书签第四章平安需求及平安H标错误!未指定书签1平安需求分析错误!未指定书签
4.2系统平安目标错误!未指定书签第五章网络平安方案总体设计错误!未指定书签1平安方案设计原则错误!未指定书签2平安服务、机制及技术错误!未指定书签第六章网络平安体系结构错误!未指定书签1网络结构错误!未指定书签
6.2网络系统平安错误!未指定书签
2.1网络平安检测错误!未指定书签
2.2网络防病毒错误!未指定书签
2.3网络备份系统错误!未指定书签
6.3系统平安错误!未指定书签综合性、整体性原则应用系统工程的观点、方法,分析网络的平安及具体措施平安措施主要包括专业措施(识别技术、存取限制、密码、低辐射、容错、防病毒、采纳高平安产品等)一个较好的平安措施往往是多种方法适当综合的应用结果一个计算机网络,包括个人、设备、软件、数据等这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施需求、风险、代价平衡的原则对任一网络,肯定平安难以达到也不肯定是必要的对一个网络进行实际额探讨(包括任务、性能、结构、牢靠性、可维护性等),并对网络面临的威逼及可能担当的风险进行定性及定量相结合的分析,然后制定规范和措施,确定本系统的平安策略一样性原则一样性原则主要是指网络平安问题应及整个网络的工作周期(或生命周期)同时存在,制定的平安体系结构必需及网络的平安需求相一样平安的网络系统设计(包括初步或具体设计)及实施安排、网络验证、验收、运行等,都要有平安的内容光焕发及措施,事实上,在网络建设的起先就考虑网络平安对策,比在网络建设好后再考虑平安措施,不但简洁,且花费也小得多分步实施原则由于网络系统及其应用扩展范围广袤,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加一劳永逸地解决网络平安问题是不现实的同时由于实施信息平安措施需相当的费用支出因此分步实施,即可满意网络系统及信息平安的基本需求,亦可节约费用开支多重爱护原则任何平安措施都不是肯定平安的,都可能被攻破但是建立一个多重爱护系统,各层爱护相互补充,当一层爱护被攻破时,其它层爱护仍可爱护信息的平安
5.2平安服务、机制及技术平安服务平安服务主要有限制服务、对象认证服务、牢靠性服务等;平安机制访问限制机制、认证机制等;平安技术防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在平安的开放环境中,用户可以运用各种平安应用平安应用由一些平安服务来实现;而平安服务又是由各种平安机制或平安技术来实现的应当指出,同一平安机制有时也可以用于实现不同的平安服务第六章网络平安体系结构通过对网络的全面了解,依据平安策略的要求、风险分析的结果及整个网络的平安目标,整个网络措施应按系统体系建立具体的平安限制系统由以下几个方面组成物理平安、网络平安、系统平安、信息平安、应用平安
6.1网络结构平安系统是建立在网络系统之上的,网络结构的平安是平安系统胜利建立的基础在整个网络结构的平安方面,主要考虑网络结构、系统和路由的优化网络结构的建立要考虑环境、设备配置及应用状况、远程联网方式、通信量的估算、网络维护管理、网络应用及业务定位等因素成熟的网络结构应具有开放性、标准化、牢靠性、先进性和好用性,并且应当有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的平安保障体系网络结构采纳分层的体系结构,利于维护管理,利于更高的平安限制和业务发展网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等
6.2网络系统平安
6.
2.1网络平安检测网络平安检测工具通常是一个网络平安性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和平安策略,达到增加网络平安性的目的检测工具应具备以下功能具备网络监控、分析和自动响应功能找出常常发生问题的根源所在;建立必要的循环过程确保隐患时刻被订正;限制各种网络平安危急漏洞分析和响应配置分析和响应漏洞形势分析和响应认证和趋势分析
6.
2.2网络防病毒由于在网络环境下,计算机病毒有不行估量的威逼性和破坏力,一次计算机病毒的防范是网络平安性建设中重要的一环所选的防毒软件应当构造全网统一的防病毒体系主要面对、服务器,以及办公网段的服务器和机等支持对网络、服务器、和工作站的实时病毒监控;能够在中心限制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治状况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对服务器的病毒防治,能够阻挡恶意的或小程序的破坏;支持对电子邮件附件的病毒防治,包括、中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接;供应对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等
6.
2.3网络备份系统备份系统为一个目的而存在尽可能快地全盘复原运行计算机系统所需的数据和系统信息依据系统平安需求可选择的备份机制有场点内高速度、大容量自动的数据存储、备份及复原;场点外的数据存储、备份及复原;对系统设备的备份备份不仅在网络系统硬件故障或人为失误时起到爱护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到爱护作用,同时亦是系统灾难复原的前提之一
6.3系统平安系统的平安主要是指操作系统、应用系统的平安性以及网络硬件平台的牢靠性对于操作系统的平安防范可以实行如下策略对操作系统进行平安配置,提高系统的平安性;系统内部调用不对公开;关键性信息不干脆公开,尽可能采纳平安性高的操作系统应用系统在开发时,采纳规范化的开发过程,尽可能的削减应用系统的漏洞;网络上的服务器和网络设备尽可能不实行同一家的产品;通过专业的平安工具(平安检测系统)定期对网络进行平安评估
6.4应用平安在应用平安上,主要考虑通信的授权,传输的加密和审计记录这必需加强登录过程的认证(特殊使在到达服务器主机之前的认证),确保用户的合法性;其次应当严格限制登录者的操作权限,将其完成的操作限制在最小的范围内另外,在加强主机的管理上,除了上面谈的访问限制和系统漏洞检测外,还可以采纳访问存取限制,对权限进行分割和管理应用平安平台要加强资源书目管理和授权管理、传输加密、审计记录和平安管理对应用平安,主要考虑确定不同服务的应用软件并紧密凝视其;对扫描软件不断升级4应用平安错误!未指定书签第一章引言本方案为某大型局域网网络平安解决方案,包括原有网络系统分析、平安需求分析、平安目标的确立、平安体系结构的设计等本平安解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的平安管理.将平安策略、硬件及软件等方法结合起来,构成一个统一的防卫系统,有效阻挡非法用户进入网络,削减网络的平安风险.定期进行漏洞扫描,刚好发觉问题,解决问题.通过入侵检测等方式实现实时平安监控,供应快速响应故障的手段,同时具备很好的平安取证措施4使网络管理者能够很快重新组织被破坏了的文件或应用使系统重新复原到破坏前的状态,最大限度地削减损失.在工作站、服务器上安装相应的防病毒软件,由中心限制台统一限制和管理,实现全网统一防病毒其次章网络系统概况1网络概况这个企业的局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门供应了一个快速、便利的信息沟通平台不仅如此,通过专线及的连接,打通了一扇通向外部世界的窗户,各个部门可以干脆及互联网用户进行沟通、查询资料等通过公开服务器,企业可以干脆对外发布信息或者发送电子邮件高速交换技术的采纳、敏捷的网络互连方案设计为用户供应快速、便利、敏捷通信平台的同时,也为网络的平安带来了更大的风险因此,在原有网络上实施一套完整、可操作的平安解决方案不仅是可行的,而且是必需的
2.2网络结构的特点在分析这个企业局域网的平安风险时,应考虑到网络的如下几个特点.网络及干脆连结,因此在进行平安方案设计时要考虑及连结的有关风险,包括可能通过传播进来病毒,黑客攻击,来自的非授权访问等.网络中存在公开服务器,由于公开服务器对外必需开放部分业务,因此在进行平安方案设计时应当考虑采纳平安服务器网络,避开公开服务器的平安风险扩散到内部.内部网络中存在很多不同的子网,不同的子网有不同的平安性因此在进行平安方案设计时,应考虑将不同功能和平安级别的网络分割开,这可以通过交换机划分来实现.网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问第三章网络系统平安风险分析随着网络急剧扩大和上网用户快速增加,风险变得更加严峻和困难原来由单个计算机平安事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏平安限制机制和对平安政策的相识不足,这些风险正日益严峻网络平安可以从以下三个方面来理解1网络平台是否平安;2系统是否平安;3应用是否平安;针对每一类平安风险,结合这个企业局域网的实际状况,我们将具体的分析网络的平安风险.1网络平台的平安风险分析网络结构的平安涉及到网络拓扑结构、网络路由状况及网络的环境等公开服务器面临的威逼这个企业局域网内公开服务器区(、等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大同时公开服务器本身要为外界服务,必需开放相应的服务;每天,黑客都在试图闯入节点,这些节点假如不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板因此,规模比较大网络的管理人员对平安事故做出有效反应变得非常重要我们有必要将公开服务器、内部网络及外部网络进行隔离,避开网络结构信息外泄;同时还要对外网的服务恳求加以过滤,只允许正常通信的数据包到达相应主机,其他的恳求服务在到达主机之前就应当遭到拒绝整个网络结构和路由状况平安的应用往往是建立在网络系统之上的网络系统的成熟及否干脆影响平安系统胜利的建设在这个企业局域网络系统中,只运用了一台路由器,用作及连结的边界路由器,网络结构相对简洁,具体配置时可以考虑运用静态路由,这就大大削减了因网络结构和网络路由造成的平安风险2系统的平安风险分析所谓系统的平安自不待言是指整个局域网网络操作系统、网络硬件平台是否牢靠且值得信任网络操作系统、网络硬件平台的牢靠性,我们可以这样讲没有完全平安的操作系统但是,我们可以对现有的操作平台进行平安配置、对操作和访问权限进行严格限制,提高系统的平安性因此,不但要选用完可能牢靠的操作系统和硬件平台而且,必需加强登录过程的认证(特殊是在到达服务器主机之前的认证),确保用户的合法性;其次应当严格限制登录者的操作权限,将其完成的操作限制在最小的范围内
3.3应用的平安风险分析应用系统的平安跟具体的应用有关,它涉及很多方面应用系统的平安是动态的、不断改变的应用的平安性也涉及到信息的平安性,它包括很多方面应用的平安性涉及到信息、数据的平安性信息的平安性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递因此信息的机密性和完整性是可以保证的对于有些特殊重要的信息须要对内部进行保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用干脆在应用系统开发时进行加密第四章平安需求及平安目标
4.1平安需求分析通过前面我们对这个企业局域网络结构、应用及平安威逼分析可以看出其平安问题主要集中在对服务器的平安爱护、防黑客和病毒上因此,我们必需实行相应的平安措施杜绝平安隐患,其中应当做到公开服务器的平安爱护防止黑客从外部攻击入侵检测及监控病毒防护数据平安爱护数据备份及复原针对这个企业局域网络系统的实际状况,在系统考虑如何解决上述平安问题的设计时应满意如下要求.大幅度地提高系统的平安性(重点是可用性和可控性);.保持网络原有的能特点,即对网络的协议和传输具有很好的透亮性,能透亮接入,无需更改网络设置;.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;.平安保密系统具有较好的性能价格比,一次性投资,可以长期运用;.平安产品具有合法性,及经过国家有关管理部门的认可或认证;.分布实施
4.2系统平安目标建立一套完整可行的网络平安及网络管理策略将内部网络、公开服务器网络和外网进行有效隔离,避开及外部网络的干脆通信建立网站各主机和服务器的平安爱护措施,保证他们的系统平安对网上服务恳求内容进行限制,使非法访问在到达主机前被拒绝加强合法用户的访问认证,同时将用户的访问权限限制在最低限度全面监视对公开服务器的访问,刚好发觉和拒绝担心全的操作和黑客攻击行为备份及灾难复原一一强化系统备份,实现系统快速复原第五章网络平安方案总体设计
5.1平安方案设计原则在对这个企业局域网网络系统平安方案设计、规划时,应遵循以卜原则:。