《{企业通用培训}网络安全解决方案讲义》由会员分享,可在线阅读,更多相关《{企业通用培训}网络安全解决方案讲义(28页珍藏版)》请在金锄头文库上搜索。
1、企业通用培训网络安全 解决方案讲义 企业通用培训网络安全 解决方案讲义 目录 天创半导体公司内部网络安全解决方案 1天创半导体公司内部网络安全解决方案 1 第一章引言 2第一章引言 2 第二章网络信息安全概况 2第二章网络信息安全概况 2 (1)网络安全 2 (2)网络安全的威胁来自哪些方面?3 (3)不安全造成的危害有多大?3 (4)系统的安全应具备那些功能?4 (5)防火墙系统的安全设置问题 5 (6)安全隐患 5 第三章网络安全方案总体设计 6第三章网络安全方案总体设计 6 (1)安全方案设计原则 6 (2)安全服务、机制与技术 7 (3)网络安全体系结构 7 第四章天创半导体公司安全需
2、求 13第四章天创半导体公司安全需求 13 (1)当前网络现状分析 13 (2)客户需求 13 (3)实施目标 14 第五章产品综述 14第五章产品综述 14 (1)安氏 LinkTrustTMCyberWall 防火墙 14 (2)eTrust 入侵检测系统 15 (3)KSG 邮件过滤网关 18 第六章实施方案 24第六章实施方案 24 (1)优化方案 24 (2)设备安装 26 (3)规则配置 27 (4)网络安全管理员培训 27 (5)网络安全审核 27 第七章产品类别、报价与售后服务 27第七章产品类别、报价与售后服务 27 (1)产品类别 27 天创半导体公司内部网络安全解决方案
3、目录: 第一章引言 二十一世纪是信息化世纪,随着 Internet 的迅猛发展,信息共享的程度进一步提高, 数字信息越来越深入的影响着社会生活的各个方面, 而网络上的信息安全问题也日益突出。 目前政府部门、金融部门、医疗、企事业单位和个人都日益重视这一重要问题。大、中型 企业如何保护信息安全和网络安全,最大限度的减少或避免因信息泄密、破坏等安全问题 所造成的经济损失及对企业形象的影响,是摆在我们面前亟需妥善解决的一项具有重大战 略意义的课题。 网络的飞速发展推动社会的发展,大批用户借助网络极大地提高了工作效率,创造了 一些全新的工作方式,尤其是因特网的出现更给用户带来了巨大的方便。但另一方面,
4、网 络,特别是因特网存在着极大的安全隐患。近年来,因特网上的安全事故屡有发生。连入 因特网的用户面临诸多的安全风险:拒绝服务、信息泄密、信息篡改、资源盗用、声誉损 害等等。类似的风险也存在于其它的互联网络中。这些安全风险的存在阻碍了计算机网络 的应用与发展。在网络化、信息化的进程不可逆转的形势下,建立安全可靠的网络信息系 统是一种必然选择。 一个系统的安全性可从三个层次考虑: 第一层是存放数据资源的服务器组; 第二层是传输数据的网络; 第三层是需要访问数据的客户机。 对于一个与互联网相连的网络,首先要防止来自外部的恶意攻击,同时还要保证系统 内部所有计算机的不受病毒侵扰,能够数据系统正常应用。
5、 第二章网络信息安全概况 (1)网络安全 计算机安全事业始于本世纪 60 年代末期,由于当时计算机的速度和性能较落后,使 用的范围也不广,再加上美国政府把它当作敏感问题而施加控制,因此,有关计算机安全 的研究一直局限在比较小的范围内。进入 80 年代后,计算机的性能得到了成百上千倍的 提高,应用的范围也在不断扩大,计算机已遍及世界各个角落。并且,人们利用通信网络 把孤立的单机系统连接起来,相互通信和共享资源。但是,随之而来并日益严峻的问题就 是计算机信息的安全问题。 由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重 的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露
6、、窃取、篡改、冒充和破坏, 还有可能受到计算机病毒的感染。 计算机安全的内容应包括两方面:即物理安全和逻辑安全。物理安全指系统设备及相 关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。 一个系统存在的安全问题可能主要来源于两方面:或者是安全控制机构有故障;或者是系 统安全定义有缺陷。 (2)网络安全的威胁来自哪些方面? 由于大型网络系统内运行多种网络协议(TCP/IP,IPX/SPX,NETBEUI),而这些网络协 议并非专为安全通讯而设计。所以,网络系统网络可能存在的安全威胁来自以下方面: 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如 UNIX
7、 服务器, NT 服务器及 Windows 桌面 PC。 防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。 来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。 采用的 TCP/IP 协议族软件,本身缺乏安全性。未能对来自 Internet 的电子邮件挟带 的病毒及 Web 浏览可能存在的恶意 Java/ActiveX 控件进行有效控制。 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如 果系统设置错误,很容易造成损失。 (3)不安全造成的危害有多大? 根据美国 FBI 的调查,美国每年因为网络安全造成的经济损失超过 1,70 亿美
8、元。75% 的公司报告财政损失是由于计算机系统的安全问题造成的。超过 50%的安全威胁来自内部; 只有 17%的公司愿意报告黑客入侵,其他的由于担心负面影响而未声张。59%的损失可以定 量估算。平均每个组织损失 USD$402,000。 入侵的来源:首先是内部心怀不满的员工;其次为黑客;另外还有竞争者。无论是有 意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络 上的信息,窃取用户的口令、应用数据库中的重要数据;还可以篡改数据库内容,伪造用 户身份,信任自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放 计算机病毒等等。 黑客的威胁见诸报道的已经屡见
9、不鲜,象贵州省城热线、成都艺术节主页等都报道有 黑客入侵,他们在主页上发布反动口号,或将主页修改成黄色画面。受到此类攻击对于政 府部门,大型企业而言影响是尤为恶劣的。前段时间美国微软公司遭黑客攻击事件就是由 于它的内外网隔离存在漏洞,使得黑客成功窃取它的软件源代码等机密资料,严重威胁到 企业的声誉。这样的例子举不胜举,网络安全建设已经迫在眉睫了。 (4)系统的安全应具备那些功能? 与其它安全体系(如保安系统)类似,网络应用系统的安全体系应包含: 访问控制 通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之 前。 检查安全漏洞 通过对安全漏洞的周期检查,即使攻击可到达攻击
10、目标,也可使绝大多数攻击无效。 攻击监控 通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相 应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 加密通讯 主动的加密通讯,可使攻击者不能了解、修改敏感信息。 认证 良好的认证体系可防止攻击者假冒合法用户。 备份和恢复 良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 多层防御 攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 隐藏内部信息 使攻击者不能了解系统内的基本情况。 (5)防火墙系统的安全设置问题 近年来大家如果提到网络信息安全,可能最为熟识的可能就是防火墙系统。它不失为 一种在内部
11、网和外部网之间实施的信息安全防范系统,这种计算机网络互联环境下的访问 控制技术,通过监测、限制、更改跨越防火墙的数据流,可以有效地对外屏蔽被保护网络 的信息,从而对系统结构及其良性运行等实现安全防护。因此,许多管理员认为,计算机 网络装上防火墙,就可以“高枕无忧”、“万事大吉”了。其实,这是一种片面的错误认 识和十分令人担心的危险想法。因为防火墙并不是万能的,它的技术不可能一劳永逸和真 正达到“万无一失”,它的“权力”是有限的,在计算机网络上,它也有“管不着”、 “管不了”的地方,或者说也有许多“难言之隐”。 A 防内不防外。 现在在市面上比较流行的防火墙大都是边界防火墙,它们在网络的边界上进
12、行外部网 络和内部网络的划分,并进行一定程度的安全防范。而这些防火墙一般只对来自外部网络 进行防范。如果入侵者绕过了防火墙或内部攻击者将能在内部网络畅行无阻,肆意攻击。 B 不能防止数据驱动式攻击 防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据通过邮寄或拷贝到 内部网的主机上并被执行时,就会发生数据驱动式的攻击。 C 不能防止非法通道的出现 防火墙不能防止非法通道的出现,如果在内部网络有人使用猫或其他设备通过其他的 方法接入互联网,那么防火墙将不能防止此类问题的出现。 D 不能防止 DD.o.S 攻击 防火墙本身就是一种网络设备,当超大流量的数据通过它的时候,它同样有可能来不及处理
13、 各种数据而造成拒绝服务攻击。而且安全策略越多,造成拒绝服务的可能性就越大。 E 防火墙自身漏洞 防火墙同样是一种运行在硬件上的软件产品(不管是硬件防火墙还是软件防火墙), 而软件就一定不可避免的出现一些问题,也会带来安全问题。世界上最出名的各种防火墙 本身都出现过安全问题。 (6)安全隐患 对于计算数据而言存在众多的隐患,如病毒的破坏,计算机存储设备损坏造成的数据 丢失,人为操作造成的误删除,外来及内部人员的攻击等;给企业数据信息安全造成了重 大的威胁。 第三章网络安全方案总体设计 (1)安全方案设计原则 在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则: 综合性、整体性原则:
14、应用系统工程的观点、方法,分析网络的安全及具体措施。安全 措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以 及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。 一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设 备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去 看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据 规定的安全策略制定出合理的网络安全体系结构。 需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。 对一个网
15、络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面 临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系 统的安全策略。 一致性原则 : 一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期) 同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括 初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施, 实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但 容易,且花费也小得多。 易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,
16、本身 就降低了安全性。其次,措施的采用不能影响系统的正常运行。 分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增 加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信 息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求, 亦可节省费用开支。 多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保 护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。 可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有 关网络信息安全测评认证机构的评估来实现。 (2)安全服务、机制与技术 安全服务:安全服务主要有:控制服务、对象认证服务、可靠服务等; 安全机制:访问控制机制、认证机制等; 安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环 境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各 种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全 服务。 (
