网络安全设计方案一
网络安全设计方案
2009-03-27 23:02:39
标签:
IDC网络系统安全实施方案
1 吉通上海 IDC网络安全功能需求
1.1 吉通上海公司对于网络安全和系统可靠性的总体设想
(1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整性。要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作为一个系统工程来考虑。
网络系统可靠性:为减少单点失效,要分析交换机和路由器应采用负荷或流量分担方式,对服务器、计费服务器和DB服务器,WWW服务器,分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。
对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。网络安全应包含:数据安全;
预防病毒;
网络安全层;
操作系统安全;
安全系统等;
(2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个方面:
l 对路由器、服务器等的配置要求充分考虑安全因素
l 制定妥善的安全管理政策,例如口令管理、用户帐号管理等。l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。
l 制定对黑客入侵的防范策略。
l 对不同的业务设立不同的安全级别。
(3)卖方可提出自己建议的网络安全方案。
1.2 整体需求
l 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。
l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。
l 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级,培训,入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。
l 安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能兼容并有效整合。
l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。
l 所有安全产品要求界面友好,易于安装,配置和管理,并有详尽的技术文档。
l 所有安全产品要求自身高度安全性和稳定性。
l 安全产品要求功能模块配置灵活,并具有良好的可扩展性。
1.3 防火墙部分的功能需求
l 网络特性:防火墙所能保护的网络类型应包括以太网、快速以太网、(千兆以太网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数:软、硬件防火墙应能提供至少4个端口。
l 服务器平台:软件防火墙所运行的操作系统平台应包括Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000可选)。
l 加密特性:应提供加密功能,最好为基于硬件的加密。
l 认证类型:应具有一个或多个认证方案,如RADIUS、Kerberos、TACACS/TACACS+、口令方式、数字证书等。
l 访问控制:包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤;过滤规则应易于理解,易于编辑修改;同时应具备一致性检测机制,防止冲突;在传输层、应用层(HTTP、、SNMP、STMP、POP)提供代理支持;支持网络地址转换(NAT)。
l 防御功能:支持病毒扫描,提供内容过滤,能防御Ping of Death,TCP SYN Floods及其它类型DoS攻击。
l 安全特性:支持转发和跟踪ICMP协议(ICMP 代理);提供入侵实时警告;提供实时入侵防范;识别/记录/防止企图进行IP地址欺骗。
l 管理功能:支持本地管理、远程管理和集中管理;支持SNMP 监视和配置;负载均衡特性;支持容错技术,如双机热备份、故障恢复,双电源备份等。
l 记录和报表功能:防火墙应该提供日志信息管理和存储方法;防火墙应具有日志的自动分析和扫描功能;防火墙应提供告警机制,在检测到入侵网络以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,包括E-mail、呼机、手机等;提供简要报表(按照用户ID或IP 地址提供报表分类打印);提供实时统计。
2 惠普公司在吉通上海IDC中的网络安全管理的设计思想
2.1 网络信息安全设计宗旨
惠普公司在为客户IDC项目的信息安全提供建设和服务的宗旨可以表述为:
l 依据最新、最先进的国际信息安全标准
l 采用国际上最先进的安全技术和安全产品
l 参照国际标准ISO9000系列质量保证体系来规范惠普公司提供的信息安全产品和服务
l 严格遵守中华人民共和国相关的法律和法规
2.2 网络信息安全的目标
网络安全的最终目标是保护网络上信息资源的安全,信息安全具有以下特征:
l 保密性:确保只有经过授权的人才能访问信息;
l 完整性:保护信息和信息的处理方法准确而完整;
l 可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。
2.3 网络信息安全要素
惠普公司的信息安全理念突出地表现在三个方面--安全策略、管理和技术。
l 安全策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等,是信息安全的最核心问题,是整个信息安全建设的依据;
l 安全管理--主要是人员、组织和流程的管理,是实现信息安全的落实手段;
l 安全技术--包含工具、产品和服务等,是实现信息安全的有力保证。
根据上述三个方面,惠普公司可以为客户提供的信息安全完全解决方案不仅仅包含各种安全产品和技术,更重要的就是要建立一个一致的信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
2.4 网络信息安全标准与规范
在安全方案设计过程和方案的实施中,惠普公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括:
l ISO/IEC 17799 Information technology–Code of practice for information security management
l ISO/IEC 13335 Information technology–Guidelines for The Management of IT Security
l ISO/IEC 15408 Information technology– Security techniques – Evaluation criteria for IT security
l 我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。
2.5 网络信息安全周期
任何网络的安全过程都是一个不断重复改进的循环过程,它主要包含风险管理、安全策略、方案设计、安全要素实施。这也是惠普公司倡导的网络信息安全周期。l 风险评估管理:对企业网络中的资产、威胁、漏洞等内容进行评估,获取安全风险的客观数据;
l 安全策略:指导企业进行安全行为的规范,明确信息安全的尺度;
l 方案设计:参照风险评估结果,依据安全策略及网络实际的业务状况,进行安全方案设计;
l 安全要素实施:包括方案设计中的安全产品及安全服务各项要素的有效执行。
l 安全管理与维护:按照安全策略以及安全方案进行日常的安全管理与维护,包括变更管理、事件管理、风险管理和配置管理。
l 安全意识培养:帮助企业培训员工树立必要的安全观念。
3 吉通上海IDC信息系统安全产品解决方案
3.1 层次性安全需求分析和设计
网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题,本节将从系统层次结构的角度展开,分析吉通IDC各个层次可能存在的安全漏洞和安全风险,并提出解决方案。
3.2 层次模型描述
针对吉通IDC的情况,结合《吉通上海IDC技术需求书》的要求,惠普公司把吉通上海IDC的信息系统安全划分为六个层次,环境和硬件、网络层、操作系统、数据库层、应用层及操作层。
3.2.1 环境和硬件
为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施、过程。详细内容请参照机房建设部分的建议书。
3.2.2 网络层安全
3.2.2.1安全的网络拓扑结构
网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用 IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
保证网络安全的首要问题就是要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。在对吉通IDC网络设计时,惠普公司已经考虑了网段的划分的安全性问题。其中网络具体的拓扑结构好要根据吉通IDC所提供的服务和客户的具体要求做出最终设计。
3.2.2.2 网络扫描技术
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。
解决方案:ISS网络扫描器Internet Scanner
配置方法:在上海IDC中使用一台高配置的笔记本电脑安装Internet Scanner,定期对本IDC进行全面的网络安全评估,包括所有重要的服务器、防火墙、路由设备等。扫描的时间间隔请参照安全策略的要求。
ISS网络扫描器Internet Scanner是全球网络安全市场的顶尖产品。它通过对网络安全弱点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。网络扫描仪对所有附属在网络中的设备进行扫描,检查它们的弱点,将风险分为高,中,低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。
该产品的时间策略是定时操作,扫描对象是整个网络。它可在一台单机上对已知的网络安全漏洞进行扫描。截止Internet Scanner6.01版本,Internet Scanner 已能对900 种以上的来自通讯、服务、防火墙、WEB应用等的漏洞进行扫描。它采用模拟攻击的手段去检测网络上每一个IP隐藏的漏洞,其扫描对网络不会做任何修改和造成任何危害。
Internet Scanner每次扫描的结果可生成详细报告,报告对扫描到的漏洞按高、中、低三个风险级别分类,每个漏洞的危害及补救办法都有详细说明。用户可根据报告提出的建议修改网络配置,填补漏洞。
可检测漏洞分类表:
Brute Force Password-Guessing
为经常改变的帐号、口令和服务测试其安全性
Daemons
检测UNIX进程(Windows服务)
Network
检测SNMP和路由器及交换设备漏洞
Denial of Service
检测中断操作系统和程序的漏洞,一些检测将暂停相应的服务
NFS/X Windows
检测网络网络文件系统和X-Windows的漏洞
RPC
检测特定的远程过程调用
SMTP/FTP
检测SMTP和FTP的漏洞
Web Server Scan and CGI-Bin
检测Web服务器的文件和程序(如IIS,CGI脚本和HTTP)
NT Users, Groups, and Passwords
检测NT用户,包括用户、口令策略、解锁策略
Browser Policy
检测IE和Netscape浏览器漏洞
Security Zones
检测用于访问互联网安全区域的权限漏洞
Port Scans
检测标准的网络端口和服务
Firewalls
检测防火墙设备,确定安全和协议漏洞
Proxy/DNS
检测代理服务或域名系统的漏洞
IP Spoofing
检测是否计算机接收到可疑信息
Critical NT Issues
包含NT操作系统强壮性安全测试和与其相关的活动
NT Groups/Networking
检测用户组成员资格和NT网络安全漏洞
NetBIOS Misc
检测操作系统版本和补丁包、确认日志存取,列举、显示NetBIOS提供的信息
Shares/DCOM
检测NetBIOS共享和DCOM对象。使用DCOM可以测试注册码、权限和缺省安全级别
NT Registry
包括检测主机注册信息的安全性,保护SNMP子网的密匙
NT Services
包括检测NT正在运行的服务和与之相关安全漏洞
2.2.2.3 防火墙技术
防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击,实现以下基本功能:
·禁止外部用户进入内部网络,访问内部机器;
·保证外部用户可以且只能访问到某些指定的公开信息;
·限制内部用户只能访问到某些特定的Internet资源,如WWW服务、FTP服务、 TELNET服务等;
解决方案:CheckPoint Firewall-1防火墙和Cisco PIX防火墙
防火墙除了部署在IDC的私有网(即网管网段等由IDC负责日常维护的网络部分)以外,还可以根据不同的用户的需求进行防火墙的部署,我们建议对于独享主机和共享主机都进行防火墙的配置,而对于托管的主机可以根据用户的实际情况提供防火墙服务。
无论是虚拟主机还是托管主机,IDC都需要为这些用户提供不同程度的远程维护手段,因此我们也可以采用VPN的技术手段来保证远程维护的安全性,VPN同时也可以满足IDC为某些企业提供远程移动用户和合作企业之间的安全访问的需求。
根据吉通上海IDC的安全要求以及安全产品的配置原则,我们建议使用的产品包括Cisco PIX和CheckPoint Firewall-1在内的两种防火墙,其中:
l Cisco PIX防火墙配置在对网络访问速度要求较高但安全要求相对较低的网站托管区和主机托管区;
l CheckPoint防火墙配置在对网络速度较低但安全要求相对较高的IDC维护网段。
这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品,并在今年4月刚刚结束的安全产品的年度评比中,并列最佳防火墙产品的首位。这里只对CheckPoint的Firewall-1进行说明。
Checkpoint公司是一家专门从事网络安全产品开发的公司,是软件防火墙领域的佼佼者,其旗舰产品CheckPoint Firewall-1在全球软件防火墙产品中位居第一(52%),在亚太地区甚至高达百分之七十以上,远远领先同类产品。在中国电信、银行等行业都有了广泛的应用。
CheckPoint Firewall-1 是一个综合的、模块化的安全套件,它是一个基于策略的解决方案,提供集中管理、访问控制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CheckPoint Firewall-1 套件提供单一的、集中的分布式安全的策略,跨越Unix、 NT、路由器、交换机和其他外围设备,提供大量的API,有150多个解决方案和OEM厂商的支持。CP Firewall-1 由3个交互操作的组件构成:控制组件、加强组件和可选组件。这些组件即可以运行在单机上,也可以部署在跨平台系统上。其中,控制组件包括Firewall-1 管理服务器和图形化的客户端;加强组件包含Firewall-1 检测模块和Firewall-1 防火墙模块;可选组件包括Firewall-1 Encryption Module(主要用于保护VPN)、Firewall-1 Connect Control Module(执行服务器负载平衡)Router Security Module (管理路由器访问控制列表)。
Checkpoint Firewall-1 防火墙的操作在操作系统的核心层进行,而不是在应用程序层,这样可以使系统达到最高性能的扩展和升级。此外Checkpoint Firewall-1 支持基于Web 的多媒体和基于UDP的应用程序,并采用多重验证模板和方法,使网络管理员容易验证客户端、会话和用户对网络的访问。CHECKPOINT防火墙功能要求:
1) 支持透明接入和透明连接,不影响原有网络设计和配置:Check Point FireWall-1是一款软件防火墙,是安装在现有的网关或服务器计算机上,对接入和连接都是透明的,不会影响原有网络设计和配置。
2) 带有DMZ的连接方式:
Check Point FireWall-1可以支持多个网络接口,所以客户可以很容易的按照需要设置DMZ分区。
3) 支持本地和远程管理两种管理方式:
Check Point FireWall-1中的Enterprise Management Console模块功能十分强大,支持本地和远程两种管理方式,减轻了网络管理员对网络的管理负担。
4) 支持命令行和GUI方式的管理与配置:
Check Point FireWall-1中的管理控制台支持命令行和GUI方式的管理与配置;可以在Windows 95/98/NT上安装Windows GUI界面,在Unix操作系统下可以安装 Motif GUI图形用户界面进行管理与配置。
5) 对分布式的防火墙支持集中统一状态管理:
Check Point FireWall-1中的管理控制台支持对分布式防火墙的集中统一状态管理。它可以同时管理多个防火墙模块。
6) 规则测试功能,支持规则一致性测试:
Check Point FireWall-1中的策略编辑器中有一命令,可以对已经配置好的规则进行测试,可以检测其一致性。
7) 透明代理功能:
Check Point FireWall-1支持代理功能,而且功能强大,可以支持本身自带的预定义的超过150多种的常用协议。
8) 地址转换功能,支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换:
Check Point FireWall-1支持NAT地址转换功能,支持Static Mode(静态转换)和 Hide Mode(动态转换) 两种方式;目前不支持IP地址与TCP/UDP端口的转换。
9) 访问控制,包括对HTTP、、TELNET、NNTP等服务类型的访问控制;
Check Point FireWall-1可以通过制定策略来进行访问控制,可以支持超过150 多种的常用协议,并可以自定义各种不常用的协议。
10) 用户级权限控制:
Check Point FireWall-1可以指定用户对象,在其属性中有各种认证方式可供选择,加强了用户级的权限控制。
11) 防止IP地址欺骗功能:
Check Point FireWall-1提供了防止IP地址欺骗的功能,可以在设定防火墙网关的网卡属性时激活该功能。
12) 包过滤,支持IP层以上的所有数据包的过滤:
Check Point FireWall-1中的对象以IP地址或TCP/UDP端口号来识别,所以可以对IP层以上的所有数据包进行过滤。
13) 信息过滤,包括HTTP、、NNTP等协议的信息过滤:
Check Point FireWall-1可以通过OPSEC接口,与第三方厂商的软件或硬件产品无缝结合起来对HTTP、等协议进行信息过滤。
14) 地址绑定功能,实现MAC地址与固定IP地址的绑定,防止IP地址盗用:Check Point FireWall-1目前为止不能实现MAC地址与固定IP地址的绑定。但是可以利用各节点处的路由器来进行MAC地址与固定IP地址的绑定。
15) 抗攻击性要求,包括对防火墙本身和受保护网段的攻击抵抗:
防火墙本身的抗攻击能力与其所运行的操作系统的安全级别有关。操作系统的安全级别越高,防火墙本身的抗攻击的能力也越高。
16) 审计日志功能,支持对日志的统计分析功能:
Check Point FireWall-1中自带有日志功能,可以对符合预定规则的网络流量事先规定的方式进行记录;在Check Point FireWall-1 4.1产品中带有Reporting Module,可以对日志进行分析统计。
17) 实时告警功能,对防火墙本身或受保护网段的非法攻击支持多种告警方式(声光告警、EMAIL告警、日志告警等)以及多种级别的告警:
Check Point FireWall-1的策略中有报警功能,其中包括了E-mail告警,日志告警等多种告警方式。
CheckPoint防火墙技术性能指标:
1) 时延:在每个包大小平均为512字节的情况下,在3DES加密方式下Unix的时延是 1.8msec,NT是1.2msec;在DES加密下Unix的时延是
1.3msec,NT是1msec。
2) 吞吐量:在没有数据加密情况下,不同的操作系统可以分别达到152M~246Mbps;在数据加密情况下,可以达到约55Mbps。
3) 最小规则数:
在防火墙概念中无此提法。按照我们的理解,此概念如果是指策略中的规则数的话,则无限制。
4) 包转发率:10~15Mbps。
5) 最大位转发率:在防火墙概念中无此提法。按照我们的理解,此概念类似吞吐量。
6) 并发连接数:理论上没有限制。
Firewall-1防火墙是一种应用级防火墙,它的监测模块能监测和分析网络通信所有七层协议的内容。
实际上路由器本身就可以实现包过滤防火墙的功能,对吉通上海IDC的各个路由器的配置进行检查和调整。保证整个网络中各个路由器的配置相互一致,并承担包过滤检查的功能。
因为防火墙在核心网上起着安全管理的“警察”的重要作用,它的可靠性往往代表着整个网络的可靠性。如果一台防火墙发生故障,那么所有经过它的网络连接都中断了,防火墙就成为一个“单点故障”,这在一个及其关键的网络环境中是不允许的。
建议方案:
Checkpoint FireWall-1 防火墙产品可以通过两台防火墙之间建立主备份关系而大大增加防火墙的可靠性。Checkpoint FireWall-1是基于先进的“状态检测”(Stateful Inspection)技术的防火墙,它从经过它的网络连接的各个层次抽取信息,以得到每个连接的状态。这些状态存放在一个动态的状态表中,并随着数据的传输而刷新。要在两台防火墙之间切换,必须在这两台防火墙之间共享这些状态信息,以保证切换时最大可能地保留已建立的连接。
利用Qualix Group的QualixHA+ Module for FireWall-1软件可以很好地做到这一点。两台相同配置的FireWall-1防火墙,一台为主防火墙,一台为热备份防火墙。在热备份防火墙上安装QualixHA+,它能自动地监测主防火墙的状态,并在一旦主防火墙故障时迅速地把主防火墙切换到热备份防火墙上,而不需要人工干预。由于QualixHA+能把热备份防火墙的配置设置成与主防火墙一致,所以切换后不会损失任何防火墙功能。而QualixHA+所在的热备份防火墙可以与主备份防火墙共有同一个IP地址,所以切换后也无需修改路由器的设置。
2.2.2.4 网络实时入侵检测技术
防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应,就要依靠基于网络的实时入侵监测技术。监控网络上的数据流,从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。
解决方案: ISS网络入侵检测 RealSecure Network Sensor
配置方法:参见“监控和防御”。
ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻击检测与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。
ISS 网络入侵检测RealSecure Network Sensor在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。
3.2.3 操作系统层安全
操作系统安全也称主机安全,由于现代操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如Unix,Window NT,其安全漏洞更是广为流传。另一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。
3.2.3.1 系统扫描技术
对操作系统这一层次需要功能全面、智能化的检测,以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布,及时下载补丁来进行防范,同时要经常对关键数据和文件进行备份和妥善保存,随时留意系统文件的变化。
解决方案: ISS系统扫描器(System Scanner)
配置方法: System Scanner Console可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。在IDC中各重要服务器(网管工作站、数据采集工作站、计费服务器、网站托管服务器等)内安装
System Scanner Agent。Console管理各个Agent。定期(时间间隔参照安全策略的要求)对重要服务器进行全面的操作系统安全评估。
ISS系统扫描器(System Scanner) 是基于主机的一种领先的安全评估系统。系统扫描器通过对内部网络安全弱点的全面分析,协助企业进行安全风险管理。区别于静态的安全策略,系统扫描工具对主机进行预防潜在安全风险的设置。其中包括易猜出的密码,用户权限,文件系统访问权,服务器设置以及其它含有攻击隐患的可疑点。
该产品的时间策略是定时操作,扫描对象是操作系统。System Scanner包括引擎和控制台两个部分。引擎必须分别装在被扫描的服务器内部,在一台集中的服务器上安装控制台。控制台集中对各引擎管理,引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查,并对操作系统中是否有黑客特征进行检测。其扫描结果同样可生成报告。并对不安全的文件属性生成可执行的修改脚本。3.2.3.2 系统实时入侵探测技术
为了加强主机的安全,还应采用基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事件,从中检测出攻击的可疑特征,并给与响应和处理。
解决方案:ISS网络入侵检测 RealSecure OS Sensor以及Server Sensor
配置方法:参见“监控和防御”。
ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自
主地,实时地攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上可以切断系统用户进程通信,和做出各种安全反应。
ISS实时系统传感器 (RealSecure OS Sensor)还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。3.2.4 数据库层安全
许多关键的业务系统运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在:
·系统认证:口令强度不够,过期帐号,登录攻击等。
·系统授权:帐号权限,登录时间超时等。
·系统完整性:Y2K兼容,特洛伊木马,审核配置,补丁和修正程序等。
解决方案:ISS 数据库扫描器(DataBase Scanner)
配置方法:Database Scanner可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。定期对IDC内的数据库服务器软件进行漏洞评估,并将软件生成的漏洞报告分发给数据库管理员,对数据库系统中的安全问题及时修复。扫描的时间间隔请参照安全策略的要求。
该产品可保护存储在数据库管理系统中的数据的安全。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。ISS 数据库扫描器(DataBase Scanner)是世界上第一个也是目前唯一的一个针对数据库管理系统风险评估的检测工具。
该产品可保护存储在数据库管理系统中的数据的安全。目前ISS是唯一提供数据库安全管理解决方案的厂商。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。
Database Scanner具有灵活的体系结构,允许客户定制数据库安全策略并强制实施,控制数据库的安全。用户在统一网络环境可为不同数据库服务器制定相应的安全策略。一旦制定出安全策略,Database Scanner将全面考察数据库,对安全漏洞级别加以度量的控制,并持续改善数据库的安全状况。
Database Scanner能通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全面评估所有的安全漏洞和认证、授权、完整性方面的问题。Database Scanner漏洞检测的主要范围包括:
· 2000年问题--据环境并报告数据和过程中存在的2000年问题。
·口令,登录和用户--口令长度,检查有登录权限的过去用户,检查用户名的信任度。
·配置--否具有潜在破坏力的功能被允许,并建议是否需要修改配置,如回信,发信,直接修改,登录认证,一些系统启动时存储的过程,报警和预安排的任务, WEB任务,跟踪标识和不同的网络协议。
·安装检查--要客户打补丁及补丁的热链接。
·权限控制--些用户有权限得到存储的过程及何时用户能未授权存取Windows NT文件和数据资源。它还能检查“特洛伊木马”程序的存在。
3.2.5安全管理层(人,组织)
层次系统安全架构的最顶层就是对吉通上海IDC进行操作、维护和使用的内部人员。人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。
除按业务划分的组织结构以外,必须成立专门安全组织结构。这个安全组织应当由各级行政负责人、安全技术负责人、业务负责人及负责具体实施的安全技术人员组成。有关具体的安全管理请参照第4节的信息安全策略解决方案。
3.3 监控和防御
3.3.1 入侵检测技术
大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本节讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这二种方式融合在一起,以提供更加有效的入侵检测和保护措施。
3.3.1.1 基于网络的入侵检测:
基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:
·模式、表达式或字节匹配
·频率或穿越阀值
·低级事件的相关性
·规统学意义上的非常规现象检测
一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。
3.3.1.2 基于主机的入侵检测:
基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。
现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。
3.3.1.3 将基于网络和基于主机的入侵检测结合起来:
基于网络和基于主机的IDS方案都有各自特有的优点,并且互为补充。因此,下一代的IDS必须包括集成的主机和网络组件。将这两项技术结合,必将大幅度提
高网络对攻击和错误使用的抵抗力,使安全策略的实施更加有效,并使设置选项更加灵活。
有些事件只能用网络方法检测到,另外一些只能用主机方式检测到,有一些则需要二者共同发挥作用,才能检测到。
3.3.2 推荐的安全产品—ISS的入侵检测产品RealSecure
ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻击检测与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。
ISS 网络入侵检测(RealSecure Network Sensor)在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。
ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自主地,实时地攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上切断的用户进程,和做出各种安全反应。
ISS实时服务器传感器 (RealSecure Server Sensor)包括了所有的OS Sensor 功能,也具备部分Network Sensor的功能,为灵活的安全配置提供了必要的手段。
RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络引擎和系统传感器进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。
ISS RealSecure是一个完整的,一致的实时入侵监控体系。
ISS Realsecure对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志,并可采取一定的防御和反入侵措施。它能完全满足《吉通上海IDC技术需求书》所提要求:
支持统一的管理平台,可实现集中式的安全监控管理:
①
④
③
②
⑤
RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络 Sensor和系统Sensor进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。在吉通IDC项目中可以利用这一特点,实现对各结点的集中监控管理。例如,从上海IDC的RealSecure Workgroup Manager,对其下其它城市的 IDC 进行统一的Sensor 监控策略配置,Sensor所发现的安全事件将实时地报告给Manager;对各个Sensor安全特征库的升级也可以从Manager统一分发完成。
图RS-1 RealSecure Workgroup Manager的工作界面
①主菜单和工具栏
②监控安全事件的综合窗口
③按安全级别分成高、中、低三个事件窗口
④列出所有被管理的网络Sensor和系统Sensor
⑤对被管理的网络传感器和系统传感器进行配置的弹出窗口
自动识别类型广泛的攻击:
网络Sensor能够识别以下种类的攻击和误用行为:
类型
说明
拒绝服务攻击
通过消耗系统资源使目标主机的部分或全部服务功能丧失。例如,SYN FLOOD 攻击,PING FLOOD攻击,WINNUK攻击等。
分布式拒绝服务攻击
检查分布拒绝服务攻击的主控程序和代理之间的通讯和通讯企图。例如,TFN、Trinoo和Stacheldraht等。
未授权访问攻击
攻击者企图读取、写或执行被保护的资源。如攻击,EMAIL WIZ攻击等。
预攻击探测
攻击者试图从网络中获取用户名、口令等敏感信息。如SATAN扫描、端口扫描、IP HALF扫描等。
可疑行为
非“正常”的网络访问,很可能是需要注意的不安全事件。如IP地址复用,无法识别IP协议的事件。
协议解码
对协议进行解析,帮助管理员发现可能的危险事件。如FTP口令解析,EMAIL 主题解析等。
普通网络事件
识别各种网络协议包的源、目的IP地址,源、目的端口号,协议类型等。
系统Sensor能够监控并识别的攻击类型有:
类型
说明
安全事件
监控NT或Unix系统事件login成功/失败,logout,管理员行为异常,系统重启动等;
监控特殊的系统事件,包括对重要文件的读写、删除行为,系统资源情况异常现象等;
监控Windows环境下的未授权事件,如企图访问未授权文件,访问特权服务,企图改变登录权限等。
对未用端口监控
监控对未提供服务端口的连接企图,这种连接企图应视为可疑行为。例如,对未提供FTP服务的主机尝试FTP连接被认为是可疑的。
远程UNIX Syslog事件
对远程的UNIX主机进行监控。监控用户的login成功/失败,logout,管理员行为异常等;监控的服务包括IMAP2bis,IPOP3,Qpopper,Sendmail和SSH等。
自定义事件
用户自定义的基于系统审计事件的监控
支持按行为特征的入侵检测:
图RS-2 RealSecure Sensor工作过程示意图
如图所示,Realsecure的入侵检测主要是依据用户事先定义的监控策略,将发生的入侵事件与已有的安全事件特征库进行特征匹配,匹配成功,则认为是有威胁事件发生,采取适当的响应动作。
具体分析过程的输入包括:
·用户或者安全管理人员定义的配置规则;
·以及作为事件检测的原始数据。对于Network Sensor来讲原始数据是原始网络包;对于OS Sensor来讲原始数据是操作系统日志项。
具体分析过程的输出包括:
·系统发起的对安全事件的响应过程;
·监控器在收到数据后,将数据和特征库进行对比,如果匹配会发出对应的响应。特征数据库主要来源于ISS的Xforce研究开发小组,而且是目前业界最全面的攻击特征数据库。另外,Network Sensor和System Sensor 都支持用户自定义特征。
· Network Sensor检测过程--安装Realsecure Network Sensor 主机的网络适配卡连接到被监控的网段上。Realsecure将网络适配卡设成promiscuous模式,可收到本地网段上的所有数据流。当一个包符合了当前有效的过滤规则时,会被解码并进行攻击特征识别分析。每个活动的过程都被保持和跟踪,这样跨越了许多包的攻击特征就可以被检测出来。因此,当一个“感兴趣事件”被检测到时,Realsecure会采取合适的动作。
· OS Sensor检测过程--RealSecure OS Sensor在被保护服务器上运行一个进程。每当操作系统产生一个新的日志记录项,操作系统会向OS Sensor发出中断。OS Sensor读取新的日志记录项,与监控特征进行对比,如果匹配会发起适当的响应。由一些特征会涉及多个日志记录项,因此OS Sensor
会同时维护和监控一些用户活动流的状态。
提供对特定网段的实时保护,支持高速交换网络的监控:
对重要网段的保护,如公共服务器群,为了避免来自网络其它边界的入侵,需要在该子网的入口处安装Realsecure Network Sensor,并在各个服务器内配置Realsecure OS Sensor,由集中的Realsecure Workgroup Manager统一管理。能够在检测到入侵事件时,自动执行预定义的动作,包括切断服务、重起服务进程,记录入侵过程信息等:
1. 当一个攻击或事件被检测到,RealSecure可以做出以下几种响应:
·自动终止攻击
·终止用户连接
·禁止用户账号
·重新配置Check Point? Firewall-1?防火墙阻塞攻击的源地址
·向管理控制台发出警告指出事件的发生
·向网络管理平台(off-the-shelf)发出SNMP trap
·记录事件的日志,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据。
·实时观看事件中的原始记录(或者记录下来过后再回放)·向安全管理人员发出提示性的电子邮件
·执行一个用户自定义程序
2. 可以为RealSecure OS Sensor自定义一些特征。OS Sensor 允许用户指定一个关键字或正则表达式,在发现操作系统日志文件项对应特征时,会做出相应的响应。
3. 用户可以为RealSecure Network Sensor自定义连接事件。一个连接事件可以定义为基于 IP的连接,可以对下面信息进行匹配:
·协议
·源IP地址
·目的IP地址
·源端口
·目的端口
4. 一些RealSecure预定以攻击特征可以根据网络的具体情况进行参数调整。比如,有些网络中PointCast下载会引发SYN Flood特征,此时可以通过调整SYN Flood的阀值来减少误报。
5. 用户可以定义RealSecure Network Sensor过滤规则来忽略某些类型的数据流。可以通过指定协议、源IP地址、目的IP地址、源端口、目的端口定义忽略的数据流。对于规则匹配的数据流不进行预定义或用户定义特征分析。通过这种方式,可以将 RealSecure配置得更适合用户的网络。
6. 最后,用户可以建立自己的响应选项。任何可以从命令行发起的动作(如:可执行程序、批处理文件、Shell Script等),都可以作为RealSecure Network Sensor或者OS Sensor对攻击的响应。
支持集中的攻击特征和攻击取证数据库管理:
Realsecure真正实现集中管理,也体现在对攻击特征和攻击事件的数据库管理。
· Realsecure Workgroup Manager运行在MS NT或Win2000平台上,在默认情况下,其管理数据库格式为MS Access文件格式。Realsecure 的数据库接口支持标准的 ODBC,因此可以灵活选择其后台管理数据库类型。·在Realsecure的管理数据库中,有一组数据库表格式,分别用于记录所有最新版本能够识别的攻击特征,及从各个远程的Sensor汇总来的攻击事件的记录。
支持攻击特征信息的集中式发布和攻击取证信息的分布式上载:
Realsecure中包含升级组件X-press Updates,利用这一组件,可以从Workgroup Manager集中分发攻击特征信息。当分布在网络中的各个Sensor监控到攻击事件时,依据Sensor的策略定制,Sensor将执行一系列的动作,包括实时在Workgroup Manager的屏幕上显示,并执行切断连接或重新配置防火墙等动作,为了方便管理员查询并记录犯罪证据,Sensor必须将监控的事件记录到日志中。在Workgroup Manager可以采取手工干预或自动两种方式对Sensor 的日志进行上载和汇总。上传后的日志将统一以数据库形式保存。
提供对监视引擎和检测特征的定期更新服务,更新方式可有多种,包括厂家的直接服务和联网更新操作:
ISS拥有实力雄后的X-Force小组,该小组专门研究和发现新的攻击手段,是业界独一无二的安全小组。作为入侵检测产品,其Sensor和攻击特征库的升级能力直接反映了产品的功能,而ISS的系列安全产品包括Realsecure的升级速度都是其它厂商无法比拟的。ISS承诺对用户的升级服务,详见ISS服务承诺。从产品本身提供的功能看,Realsecure中提供了 X-press Updates,利用这一组件,可以直接从ISS站点下载升级包,并可以从Workgroup Manager集中分发攻击特征信息至所管理的每个Sensor。
网络访问控制:
Realsecure的主要功能用于对恶意入侵事件和误用行为的监控报警。可以根据实际需要,对Sensor进行策略配置,用于特殊的网络访问控制。如可以用Network Sensor对办公环境员工上网浏览Web页面进行限制;可以对某个重要的服务器进行特殊保护,限制某个地址或某个范围的地址段对该服务器指定端口的访问;通过对E-mail主题或内容的特殊字符串的监控,限制某些E-mail的非法传送等等。
可疑网络活动的检测,对带有ActiveX、 Java、JavaScript、VBScript的WEB 页面、电子邮件的附件、带宏的Office文档中的一些可以执行的程序(包括通过SSL协议或者加密传输的可疑目标)进行检测,隔离未知应用,建立安全资源区域:
Realsecure Network Sensor除了对恶意的入侵行为进行识别以外,还能够对可疑的不安全事件报警和阻止,包括对带有ActiveX、Java、JavaScript、VBScript 的WEB页面,可疑的Arp事件,IP地址复用事件等报警。
支持与防火墙的配合监控:
Realsecure与防火墙功能互补:适当配置的防火墙可以将非预期的信息屏蔽在外。然而防火墙为提供一些级别的获取权的通道可能被伪装的攻击者利用。防火墙不能制止这种类型的攻击,RealSecure却能够制止。RealSecure对防火墙后面的网络的信息流监控,能够检测到并终止获取权限的企图。
另外防火墙的错误配置也有可能发生。尽管防火墙的错误配置能够迅速更正,网络内有了RealSecure则能捕获许多溜进来的未预料的信息。即便不选择切断这些连接,RealSecure所发出的警告的数量仍能迅速表明防火墙没有起到作用。
· Realsecure与CheckPoint协同工作:CheckPoint公司通过它提供的OPSEC(Open Platform For Secure Enterprise Connectivity,安全企业连通性开放平台)向第三方提供API,使得其它厂商可以使用这些API 开发能集成到FW-1防火墙中的产品。由于ISS是CheckPoint 的OEM厂商,所以Realsecure能够对FW-1进行安全操作。
· Realsecure重新配置 FW-1有两种响应方式:冻结指定的时间长度和完全关闭。每种响应方式根据需要又细分四种模式:针对源地址操作,针对目的地址操作,针对源和目的同时操作,针对服务操作。
RealSecure Network Sensor可以完全透明:
RealSecure network Sensor可以配置为完全透明的方式。一个RealSecure Network Sensor可以采用Out-of-band方式和管理控制台进行通讯。这种情况需要配置两块网络适配卡:一块网络适配卡用来监控本地网段,另一块用来和控制台通信。由于这种方式使得RealSecure Network Sensor采用了专门的通信通道和控制台通信,会大大加强RealSecure的安全性。
另外,用来监控本地网段的网络适配卡并不需要一个协议栈。因此,RealSecure Network Sensor并不需要一个外部可见的IP地址或者外部可见的IP服务。这样RealSecure Network Sensor可以做到从被监控网络上不可见。
当然,RealSecure Network Sensor需要TCP/IP协议与管理控制台通讯。因此,与管理控制台通讯的接口卡需要IP地址。
Realsecure OS Sensor可疑连接监控:
一个攻击者首先会刺探主机提供了什么服务。“可疑连接监控”使得一个没有服务的端口看起来是活动的,这样入侵者可能会误以为系统开启了某种服务,在刺探中浪费时间而一无所获。这个功能对防范一些自动攻击工具十分有效。
对不存在服务的连接企图或者是一个错误,或者是故意的攻击。OS Sensor将这些连接作为入侵检测判断的数据。持续的对不存在服务的连接企图会产生高风险报警。
安全管理人员可以对这种连接企图设置响应提示。可以设置为法律警告指出入侵是非法的,或者可以设置成欺骗性连接提示(比如,登录提示)。
可疑连接监控的功能能延长攻击者发现可攻击端口的时间,为防护者抓住他争取更多的时间。
支持HP OpenView的RealSecure管理器
支持HP OpenView的RealSecure管理器为使用HP OpenView网络结点管理器的网络管理员提供实时入侵检测。支持HP OpenView的RealSecure管理器提供完全的RealSecure 可适应性网络安全功能,包括:
主导市场的入侵检测和响应--支持HP OpenView的RealSecure管理器在OpenView网络管理框架中提供对企业网中可疑行为的实时监控,如企业网络外部和内部的攻击或内部滥用。
实时警报管理--网络安全行为的连续显示,完整清晰的知识控制,RealSecure 对事件响应的在线帮助,以及对事件的详细信息,包括源和目的、端口、风险级别和其它的信息。
统一的数据管理--入侵事件和RealSecure引擎状态被记录在OpenView 的事件浏览器中。 OpenView地图反映了实时的攻击。颜色编码的符号反映出被攻击结点的攻击名称、级别、每一个攻击进行的次数。
集中配置--RealSecure引擎的配置和策略能够通过OpenView的主控台配置和修改。
安全的通信--OpenView和RealSecure之间控制信息的传输是完全安全的。控制功能有认证、校验和加密,加密算法使用RSA、Certicom Elliptical Curve、或用户自己选择的算法。
管理功能
·引擎控制:启动、停止、暂停、重新启动、ping连接
·实时警报管理:接收、延续、统一、清除
·对事件响应的详在线帮助
·编辑RealSecure引擎的配置
·发送和接收配置到远程RealSecure引擎
·上传和/或清除RealSecure引擎数据库
·启动ISS RealSecure管理器
3.3.3 配置方法
Realsecure是一个真正的集中管理的入侵检测系统。它由一个或多个(可选)管理控制台,即Workgroup Manager,统一、集中管理分布在网络中的Sensor。建议在吉通上海IDC安装一套Workgroup Manager,用于对不同的传感器。RealSecure运行在交换式网络中,有以下三个解决方案:
· RealSecure Network Sensor连接在这个点上。这样就可以防护来自Internet的攻击,而不处理网络的其它部分。
网络安全建设实施方案
京唐港股份有限公司网络安全建设实施方案
目录 1概述 (3) 2网络系统安全建设 (3) 2.1安全现状分析 (3) 2.2安全风险分析 (4) 2.2.1物理安全 (4) 2.2.2网络安全与系统安全 (4) 2.2.3应用安全 (5) 2.2.4安全管理 (5) 2.3安全需求分析 (6) 2.3.1物理安全需求分析 (6) 2.3.2网络安全与系统安全 (7) 2.3.3应用安全 (7) 2.3.4安全管理 (8) 2.4安全实施方案 (8) 2.4.1物理安全防护 (8) 2.4.2备份与恢复 (9) 2.4.3访问控制 (9) 2.4.4系统安全 (9) 2.4.5网段划分与虚拟局域网 (11) 2.4.6办公网整体安全建议 (11) 2.4.7防火墙实施方案 (13) 2.4.8入侵检测系统实施方案 (20) 2.4.9漏洞扫描系统实施方案 (29) 2.4.10身份认证系统实施方案 (33) 2.4.11安全审计系统实施方案 (39) 2.4.12防病毒系统实施方案 (43) 3异地网接入安全建设 (55) 3.1接入方式选择 (56) 3.2安全性分析 (57) 3.3两种方式优势特点 (57) 3.4VPN 原理介绍 (58) 3.5VPN 的选型 (63) 3.6财务系统安全防护 (66) 4机房设备集中监控管理 (66) 4.1.1设备及应用系统管理现状 (66) 4.1.2建立机房集中控制管理系统需求 (66) 4.1.3集中控制管理系统方案实现 (67) 4.1.4功能特点 (68) 4.2监控显示系统 (68) 4.2.1投影显示系统 (68) 4.2.2等离子显示系统 (68)
商业银行网络安全解决方案
Bri ng 安全白皮书 商业银行网络安全解决方案 版本:1.0 北京博睿勤技术发展有限公司 日期:2010/6/22 商业银行网络安全解决方案 目录 1概述 (1) 1.1网络安全概述 (1) 1.2目前网络安全技术 (1) 1.2.1国内网络安全技术 (1) 1.2.2网络安全的理解的误区 (2) 1.2.3网络安全概念 (2) 2商业银行安全需求分析 (3) 2.1商业银行的业务安全分析 (3) 2.1.1公共信息发布 (4)
2.1.2完善安全管理策略 (4) 2.1.3 增加防火墙防护 (7) 2.1.4 配置入侵检测模块 (8) 2.1.5 帐户查询 (8) 2.1.6 身份验证 (9) 2.1.7 数据加密 (11) 2.1.8 网上支付和转账 (12) 2.1.9 数据完整性 (13) 2.1.10 不可否认性 (13) 2.1.11 网络结构安全 (14) 2.1.12 加强访问控制 (14) 2.1.13 安全检测 (15) 2.1.14 网络安全评估 (15) 2.1.15 安全认证 (16) 2.1.16 病毒防护 (16) 3商业银行网络安全解决方案 (16) 3.1 网络管理 (17)
3.1.1 网络行为管理 (17) 3.1.2 灵活的IP 管理与用户管理 (18) 3.1.3 统计报表 (18) 3.2 终端安全防护 (18) 3.2.1 登陆控制 (18) 3.2.2 本地文件加密 (18) 3.2.3 文件粉碎机 (19) 3.2.4 非法外联 (19) 3.2.5 移动存储设备管理 (19) 3.3 桌面安全系统 (19) 3.3.1 定向访问控制 (19) 3.3.2 虚拟安全域管理 (20) 3.3.3 策略优先级管理 (20) 3.3.4 多元化的管理模式 (20) 4商业银行解决方案特性分析 (20) 5银行业成功典型案例 (21)
网络安全体系建设方案(2018)
网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (22)
1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
某银行网络安全规划建议书
XXX银行生产网络安全规划建议书 2006年6月
目录 1项目情况概述 (3) 2网络结构调整与安全域划分 (5) 3XXX银行网络需求分析 (7) 3.1网上银行安全风险和安全需求 (8) 3.2生产业务网络安全风险和安全需求 (9) 4总体安全技术框架建议 (11) 4.1网络层安全建议 (11) 4.2系统层安全建议 (13) 4.3管理层安全建议 (14) 5详细网络架构及产品部署建议 (15) 5.1网上银行安全建议 (15) 5.2省联社生产网安全建议 (17) 5.3地市联社生产网安全建议 (19) 5.4区县联社生产网安全建议 (19) 5.5全行网络防病毒系统建议 (20) 5.6网络安全管理平台建议 (21) 5.6.1部署网络安全管理平台的必要性 (21) 5.6.2网络安全管理平台部署建议 (22) 5.7建立专业的安全服务体系建议 (23) 5.7.1现状调查和风险评估 (24) 5.7.2安全策略制定及方案设计 (24) 5.7.3安全应急响应方案 (25) 6安全规划总结 (28) 7产品配置清单 (29)
1项目情况概述 Xxx银行网络是一个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应用的增加,已经形成了一个横纵联系,错综复杂的网络。从纵向来看,目前XXX银行网络分为四层,第一层为省联社网络,第二层为地市联社网络,第三层为县(区)联社网络,第四层为分理处网络。 从横向来看,省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。而在省中心网上,还包括网上银行、测试子网和MIS子网三个单独的子网。其整个网络的结构示意图如下: 图1.1 XXX银行网络结构示意图 XXX银行网络是一个正在新建的网络,目前业务系统刚刚上线运行,还没有进行信息安全方面的建设。而对于XXX银行网络来说,生产网是网络中最重要的部分,所有的应用也业务系统都部署在生产网上。一旦生产网出现问题,造成的损失和影响将是不可估量的。因此现在急需解决生产网的安全问题。
网络安全建设方案
网络安全建设方案 2016年7月
1. 前言 (3) 1.1. 方案涉及范围 (3) 1.2. 方案参考标准 (3) 1.3. 方案设计原则 (4) 2. 安全需求分析 (5) 2.1. 符合等级保护的安全需求 (6) 2.1.1. 等级保护框架设计 (6) 2.1.2. 相应等级的安全技术要求 (6) 2.2. 自身安全防护的安全需求 (7) 2.2.1. 物理层安全需求 (7) 2.2.2. 网络层安全需求 (7) 2.2.3. 系统层安全需求 (9) 2.2.4. 应用层安全需求 (9) 3. 网络安全建设内容 (10) 3.1. 边界隔离措施 (11) 3.1.1. 下一代防火墙 (11) 3.1.2. 入侵防御系统 (13) 3.1.3. 流量控制系统 (14) 3.1.4. 流量清洗系统 (15) 3.2. 应用安全措施 (16) 3.2.1. WEB应用防火墙 (16) 3.2.2. 上网行为管理系统 (16) 3.2.3. 内网安全准入控制系统 (17) 3.3. 安全运维措施 (18) 3.3.1. 堡垒机 (18) 3.3.2. 漏洞扫描系统 (19) 3.3.3. 网站监控预警平台 (19) 3.3.4. 网络防病毒系统 (21) 3.3.5. 网络审计系统 (22)
1.前言 1.1. 方案涉及范围 方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了学校内部的所有业务系统,因此是需要重点防护的信息资产。 学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房,数据大集中模式将导致数据中心的安全风险也很集中,因此必须对中心机房服务器区域进行重点防护。 方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计,纳入到整体的安全防护体系内。 1.2. 方案参考标准 本方案的主要规划的重点内容是网络安全防护体系,规划的防护对象以学校数据中心为主,规划的参考标准是等级保护,该方案的设计要点就是定级和保障技术的规划,针对教育部和省教育厅对等级保护的相关要求,本方案将主要参考以下的标准进行规划: 方案的建设思想方面,将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知,该文件对计算机信息系统的等级化保护提出了建设要求,是我省今后一段时期内信息安全保障工作的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路。 系统定级方面:参考《信息系统安全等级保护定级指南》,该指南适用于党政机关网络于信息系统,其中涉及国家秘密的网络与信息系统,按照国家有关保密规定执行,其他网络与信息系统定级工作参考本指南进行,本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述,并对网络与信息系统提出了最低安全等级要求,高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。 本方案参考的指南和标准具体见下表:
信息系统网络安全设计方案
内外网安全等级保护建设项目初步设计方案 编制单位:
编制时间:二〇一五年三月
目录 1.信息安全概述 (77) 什么是信息安全? (77) 为什么需要信息安全 (77) 1.1 安全理念 (88) 1.1.1系统生命周期与安全生命周期 (88) 1.1.2 ..........................3S安全体系-以客户价值为中心88 1.1.3关注资产的安全风险 (99) 1.1.4安全统一管理 (1010) 1.1.5安全 = 管理 + 技术 (1010) 1.2 计算机系统安全问题 (1010) 1.2.1 从计算机系统的发展看安全问题 (1111) 1.2.2 从计算机系统的特点看安全问题 (1111) 2.物理安全 (1212) 2.1 设备的安全 (1212) 3.访问控制 (1515) 3.1访问控制的业务需求 (1616) 3.2用户访问的管理 (1616) 3.3用户责任 (1818) 3.4网络访问控制 (2020) 3.5操作系统的访问控制 (2323) 3.6应用系统的访问控制 (2727) 3.7系统访问和使用的监控 (2727)
3.8移动操作及远程办公 (3030) 4.网络与通信安全 (3131) 4.1网络中面临的威胁 (3232) 5.系统安全设计方案............ 错误!未定义书签。错误!未定义书签。 5.1系统安全设计原则........... 错误!未定义书签。错误!未定义书签。 5.2建设目标................... 错误!未定义书签。错误!未定义书签。 5.3总体方案................... 错误!未定义书签。错误!未定义书签。 5.4总体设计思想............... 错误!未定义书签。错误!未定义书签。 5.4.1内网设计原则..... 错误!未定义书签。错误!未定义书签。 5.4.2有步骤、分阶段实现安全建设错误!未定义书签。错误!未定义书签。 5.4.3完整的安全生命周期错误!未定义书签。错误!未定义书签。 5.5网络区域划分与安全隐患.. 错误!未定义书签。错误!未定义书签。 6.0网络安全部署............... 错误!未定义书签。错误!未定义书签。 保护目标.............. 错误!未定义书签。错误!未定义书签。 威胁来源.............. 错误!未定义书签。错误!未定义书签。 安全策略.............. 错误!未定义书签。错误!未定义书签。 6.1防火墙系统................. 错误!未定义书签。错误!未定义书签。 6.1.1防火墙系统的设计思想错误!未定义书签。错误!未定义书签。 6.1.2 防火墙的目的.... 错误!未定义书签。错误!未定义书签。 6.1.3 防火墙的控制能力错误!未定义书签。错误!未定义书签。 6.1.4 防火墙特征...... 错误!未定义书签。错误!未定义书签。 6.1.5 第四代防火墙的抗攻击能力错误!未定义书签。错误!未定义书签。 6.1.6 防火墙产品的选型与推荐错误!未定义书签。错误!未定义书签。
银行网络安全设计
目录 1 银行系统的安全设计 1 1.1 非法访问 (1) 1.2 窃取PIN/密钥等敏感数据 (1) 1.3 假冒终端/操作员 (1) 1.4 截获和篡改传输数据 (1) 1.5 网络系统可能面临病毒的侵袭和扩散的威胁 (1) 1.6 其他安全风险 (1) 2 银行系统的网络拓扑图及说明 (2) 3 银行系统的网络安全部署图及说明 (3) 3.1 敏感数据区的保护 (3) 3.2 通迅线路数据加密 (3) 3.3 防火墙自身的保护 (4) 4 系统的网络设备选型及说明 (5) 4.1 核心层交换机 (5) 4.2 汇聚层交换机 (5) 4.3 接入层交换机 (6) 4.4 路由器 (6) 4.5 服务器 (7) 5 安全配置说明 (8) 5.1 防火墙技术 (8) 5.2 网络防病毒体系 (8) 5.3 网络入侵检测技术 (8) 5.4 网络安全审计技术 (9) 5.5 VPN技术 (9) 总结 (10) 一.银行系统的安全设计
银行网络作为一个金融网络系统,由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,当前银行面临的主要风险和威胁有: 1.1非法访问:银行网络是一个远程互连的金融网络系统。现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;由于整个网络通过公用网络互连同样存在终端进行攻击的可能;另一方面银行开发的很多增值业务、代理业务,存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行,可能造成巨大损失。 1.2窃取PIN/密钥等敏感数据:银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据,软件加密采用的是公开加密算法(DES),因此安全的关键是对加密密钥的保护,而软件加密最大的安全隐患是无法安全保存加密密钥,程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。 1.3假冒终端/操作员:银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量类似安全隐患。现有操作员身份识别唯一,但口令的安全性非常弱因此存在大量操作员假冒的安全风险。 1.4截获和篡改传输数据:银行现有网络系统通过公网传输大量的数据没有加密,由于信息量大且采用的是开放的TCP/IP,现有的许多工具可以很容易的截获、分析甚至修改信息,主机系统很容易成为被攻击对象。 1.5网络系统可能面临病毒的侵袭和扩散的威胁: (1)黑客侵扰类似于网络间谍,但前者没有政治和经济目的,利用自己精通计算机知识,利用他人编程的漏洞,侵入金融信息系统,调阅各种资料,篡改他人的资料,将机密信息在公用网上散发广播等。 (2)计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序,它通过软盘、终端或其它方式进入计算机系统或计算机网络,引起整个系统或网络紊乱,甚至造成瘫痪。 1.6其他安全风险:主要有系统安全(主要有操作系统、数据库的安全配置)以及系统的安全备份等。 二.银行系统的网络拓扑图及说明 随着信息技术的发展,社会的信息化程度提高了,网络银行、电子银行出现了,整个银行业、金融业都依赖于信息系统。交易网络化、系统化、快速化和货币数字经是当前金融业的特点,这对金融信息系统的安全保密性提出了严格的要求。金融信息系统必须保证
网络安全设计方案87894
1.1 某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统
某市政府中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
校园网网络安全设计方案
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。 [关键词] 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating Sys tem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的Sm artCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
网络安全设计方案完整版
网络安全设计方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来 2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
银行互联网出口安全的保障
银行互联网出口安全的保障 通过安全需求分析,本着适度建设的总体原则,Fortinet采用先进的安全技术和相应的安全产品,为某银行提出适合的网络安全解决方案。整个方案包括两部分,第一部分是为以银行总部为基础的互联网及办公网安全建设,第二部分是为以分行为例的业务网安全建设。 本方案在允许员工访问互联网的情况下,有效防范了来自外部和内部的安全威胁,建立一个完整、动态的互联网安全防御体系。 网络组成 该银行的网络由三个独立网络组成,即互联网业务、银行内部办公网和业务网。其中,互联网业务主要以内部员工上网获取信息和网上银行及企业邮件系统为主,办公网以内部OA和内部办公业务系统为主,业务网则以目前银行主营业务和A TM系统为主。 互联网和办公网物理上为同一个网络,通过接入路由器适当访问控制列表区分业务类型。业务网完全与其他两个网络保持物理隔离。整个网络采用星型结构,分别使用独立的专线系统连接各级分行和总行。在网络条件不具备的地区采用接入路由器区分不同的业务系统。同时,银行业务存在大量的外联系统,它们不直接与其他网络连接。 保护内部业务系统的安全是系统安全防护的重要环节。 安全目标 银行网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。而系统安全风险主要体现在网络系统、操作系统和应用系统三个方面。整个系统安全设计应该遵循安全性、整体性、先进性、实用性、可适应性、技术与管理相结合的原则。 该银行系统安全建设的目标是: ◆保护网络系统的可用性 ◆保护网络资源的合法使用性 ◆防范入侵者的恶意攻击与破坏 ◆保护信息通过网上传输的机密性、完整性及不可抵赖性 ◆防范病毒的侵害 ◆防范垃圾邮件对内部邮件系统的侵害 ◆防范来自网络内外的攻击 ◆有效的日志管理为安全运维提供支持 解决方案和安全部署 本方案着重解决如何实现员工访问互联网的安全建设的技术问题。方案的选择首先要保证网络结构的安全,对银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁传播到整个网络系统。 在总行和省行进行安全产品的部署,当地支行通过省行出口访问互联网资源,目前各省行采取的接入方式是专线接入当地ISP或通过ADSL接入互联网。这样的设计既方便集中管理,又能节约建设成本,也符合银行未来的网络整体规划。 该银行总部互联网出口安全产品部署如图所示。 某银行互联网出口安全建设部署拓扑图 安全网关的部署:互联网出口采用两层异构防火墙系统接口,外层防火墙为已经部署的安全设备,内层防火墙系统采用美国Fortinet公司FortiGate防病毒安全网关。所有安全网关均采用双机热备工作方式,即高可用性HA方式,任何一台设备出现问题,备机均可以迅速替换工作,网络仍能正常运转。在内层FortiGate防病毒安全网关上启用相应的安全策略,
XX公司网络安全设计方案
XX公司网络信息系统的安全方案设计书 XX公司网络安全隐患与需求分析 1.1网络现状 公司现有计算机500余台,通过内部网相互连接与外网互联。在内部网络中,各服务部门计算机在同一网段,通过交换机连接。如下图所示: 1.2安全隐患分析 1.2.1应用系统的安全隐患 应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。应用的安全性也是动态的。需要对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等 1.2.2管理的安全隐患 管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,
或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。用户权限设置过大﹑开放不必要的服务端口,或者一般用户因为疏忽,丢失帐号和口令,从而造成非授权访问,以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。 1.2.3操作系统的安全漏洞 计算机操作系统尤其服务器系统是被攻击的重点,如果操作系统因本身遭到攻击,则不仅影响机器本身而且会消耗大量的网络资源,致使整个网络陷入瘫痪。 1.2.4病毒侵害 网络是病毒传播最好、最快的途径之一。一旦有主机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器不能正常运行等。 2.1需求分析 XX公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Internet的安全性,以及网络安全等一些因素。因此本企业的网络安全构架要求如下: 1.根据公司现有的网络设备组网规划; 2.保护网络系统的可用性; 3.保护网络系统服务的连续性; 4.防范网络资源的非法访问及非授权访问; 5.防范入侵者的恶意攻击与破坏; 6.保护企业信息通过网上传输过程中的机密性、完整性; 7.防范病毒的侵害;8.实现网络的安全管理。 通过了解XX公司的虚求与现状,为实现XX网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 (1)构建良好的环境确保企业物理设备的安全 (2)划分VLAN控制内网安全
网络安全设计方案
网络安全设计方案文档编制序号:[KK8UY-LL9IO69-TTO6M3-MTOL89-FTT688]
1.1?某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。
1)?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2)?通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2?防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数
网络安全体系建设方案(2018)
网络安全体系建设方案(2018)编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (1) 2 安全体系设计 (2) 2.1 总体策略 (3) 2.1.1 安全方针 (3) 2.1.2 安全目标 (3) 2.1.3 总体策略 (3) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (4) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (5) 2.3.1 物理安全 (6) 2.3.2 网络安全 (7) 2.3.3 主机安全 (10) 2.4.4 终端安全 (13) 2.4.5 使用安全 (15) 2.4.6 数据安全 (17) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (22) 1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规范及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。
本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx 2 安全体系设计 公司整体安全体系包括安全方针、目标及策略,分为信息安全管理、技术、运行三大体系,通过安全工作管理、统一技术管理、安全运维管理三部分管理工作,实施具体的系统管理、安全管理及审计管理,来达到对计算环境、区域边界、网络通信的安全保障。
网络安全设计方案一
网络安全设计方案 2009-03-27 23:02:39 标签: IDC网络系统安全实施方案 1 吉通上海 IDC网络安全功能需求 1.1 吉通上海公司对于网络安全和系统可靠性的总体设想 (1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整性。要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作为一个系统工程来考虑。 网络系统可靠性:为减少单点失效,要分析交换机和路由器应采用负荷或流量分担方式,对服务器、计费服务器和DB服务器,WWW服务器,分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。 对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。网络安全应包含:数据安全; 预防病毒; 网络安全层; 操作系统安全; 安全系统等; (2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个方面: l 对路由器、服务器等的配置要求充分考虑安全因素 l 制定妥善的安全管理政策,例如口令管理、用户帐号管理等。l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。 l 制定对黑客入侵的防范策略。 l 对不同的业务设立不同的安全级别。 (3)卖方可提出自己建议的网络安全方案。 1.2 整体需求 l 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。 l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。 l 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级,培训,入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。 l 安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能兼容并有效整合。 l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。
网络安全管理中心系统平台建设方案建议
密级: 文档编号: 项目代号: Alphachn网络安全管理中心系统平台建设方案建议 2018年10月
目录 1概述 (5) 2体系架构 (8) 2.1安全运行中心的建设目标 (8) 2.2安全运行中心建设的体系架构 (10) 2.2.1全国soc-省级soc二级架构 (10) 2.2.2基于层次模型的体系结构 (11) 3功能模块 (15) 3.1SOC核心系统 (15) 3.1.1接口层 (15) 3.1.1.1企业数据收集 (15) 3.1.1.2安全数据收集 (15) 3.1.1.3配置中心 (15) 3.1.1.4响应中心 (16) 3.1.2数据分析层 (16) 3.1.2.1资产管理 (16) 3.1.2.2漏洞分析 (16) 3.1.2.3威胁分析 (16) 3.1.2.4风险分析 (17) 3.1.2.5安全信息库 (17) 3.1.2.6任务调度 (18) 3.1.3应用层 (18) 3.1.3.1角色和用户管理 (18) 3.1.3.2风险管理 (19) 3.1.3.3分析查询 (23) 3.1.3.4系统维护 (23) 3.1.3.5安全设备管理 (24) 3.2SOC外部功能模块 (25)
3.2.2企业资产管理 (25) 3.2.3脆弱性管理 (26) 3.2.4事件和日志管理 (26) 3.2.5配置收集 (27) 3.2.6安全产品接口 (27) 3.2.7安全知识系统 (27) 3.2.8工单系统 (28) 3.2.9响应工具及API (31) 4实施方案 (32) 4.1WEB界面定制方案 (32) 4.1.1仪表板组件 (32) 4.1.2资产信息管理组件 (33) 4.1.3异常流量监控组件 (33) 4.1.4安全事件监控管理组件 (34) 4.1.5脆弱性管理组件 (34) 4.1.6安全策略管理组件 (34) 4.1.7安全预警组件 (34) 4.1.8安全响应管理组件 (35) 4.1.9网络安全信息 (35) 4.2二级结构实施方案 (35) 4.3部署方案 (36) 4.3.1全国中心部署方案 (36) 4.3.2江苏省中心部署方案 (36) 4.3.3安全数据采集方案 (37) 4.4其他 (38) 4.4.1安全评价 (38) 4.4.2配置收集和审计方案 (39)
银行外联网络安全解决方案全攻略
随着网络的快速发展,各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,银行外联网络的建设为进一步提高银行业服务手段,促进银企的发展提供了有力的保障,并且势必为银行业的发展带来巨大的经济效益。 然而随着网络应用不断扩大,它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能,因而引发出网络安全性问题。正如我国著名计算机专家沈昌祥院士指出的:"信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点"。二十世纪未,美国一些著名网站、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件,都证明了网络安全的严重性,因此,解决银行外联网络安全问题刻不容缓。 一银行外联网络安全现状 1、银行外联种类 按业务分为: 银行外联业务种类繁多,主要有:证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。 按单位分: 随着外联业务的不断扩大,外联单位也不断增加,主要有:各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。 按线路分: 外联线路主要以专线为主,部分外联业务采用拨号方式,线路类型主要有:幀中继、SDH、DDN、城域网、拨号等。 2、提供外联线路的运营商 根据外联单位的不同需求,有多家运营商提供线路服务,主要有:电信公司、盈通公司、网通公司、视通公司等
中心网络安全制定的实施方案
XXXX网络安全实施方案 为贯彻落实XX局《XXX关于印发XXX系统XXXX网络安全工作的实施方案通知》(XXX【xxx】170号)以及XXXX部有关要求,全力做好XXX系统服务保障XXXX网络安全工作,按照XXX统一部署,XXX特制定专项工作方案如下: 一、成立网络安全工作专班 组长: 副组长: 成员: 二、开展信息系统安全自查 1、以防攻击、防病毒、防篡改、防瘫痪等为重点,深入查找薄弱环节,制定风险漏洞台账,实现“遗留问题清零、可知漏洞清零、严重事件清零”; 2、组织开展新技术新应用新功能前置审查评估,停止部署没有防控能力、存在安全风险的新技术新应用新功能; 3、组织对重要涉密系统开展了专项保密检查; 4、完成缩减互联网入口及办公场所无线接入,对核心系统的核心数据采取分区分域措施,对重要数据的存储、传输进行了加密; 5、关闭或删除了不必要的应用、服务、端口和链接,强化口令和及时修补漏洞,升级系统和应用软件; 6、加强了终端安全管控,部署终端安全管理软件,实现上网行为可追溯。 7、网络安全和运维人员管理,并签订了责任书和保密协议;8、按《网络安全法》法定的日志保存要求,确保日志保存时限不少于6个月; 二、加强网络安全建设 1、各部门需逐级签订网络安全工作责任承诺书。
2、外包服务厂家需签订保密协议。 3、对所有外网信息系统划清职责,明确责任人。 三、开展网络安全宣传 1、召开信息安全讨论会,宣贯网络安全要求。 2、组织一次全体职工的网络安全培训班。 3、LED屏幕等多媒体上开展网络安全知识宣传。 四、建立网络安全队伍、处理机制及预案。 1、建立健全网络安全应急响应机制,健全网络安全应急工作体系,制定完善网络安全事件应急预案,确保应急处置高效有序; 2、完善网络安全监测和信息通报机制,指定专人负责通报,严格执行“零事件”报告制度,坚持做到有情况报情况、无情况报平安,实现及时准确上传下达、全面有效整改处置; 3、组织做好网络安全事件应急准备,落实了24小时实时监测,明确了应急值班岗位人员,落实了7x24小时值班值守制度,做好与专业安全技术机构工作协调,确保必要时能够提供专业支持。XXX期间实行了领导带班制,实行了随时查岗和擅自脱岗追责制; 4、定期组织专业公司对网络安全进行检查,发现并消除新安全漏洞。