《重庆住房基金管理中心安全系统设计方案》由会员分享,可在线阅读,更多相关《重庆住房基金管理中心安全系统设计方案(36页珍藏版)》请在金锄头文库上搜索。
1、目录目录1. 概述 .32. 公司介绍 .43. 信息安全技术介绍 .53.1.信息安全的定义 .53.2.安全的层次 .53.3.安全的目标 .53.4.系统的安全威胁 .53.5.网络安全技术 .73.6.网络隔离 .83.7.通信安全技术 .93.8.客户机安全防护 .104. 天网防火墙简介 .114.1.什么叫防火墙? .114.2.防火墙的用途 .114.3.天网防火墙的目标 .114.4.天网防火墙的特点 .114.4.1. 强大的数据加密技术.114.4.2. 智能的内容过滤系统.124.4.3. 创新的体系结构.144.5.其他特点 .14众达迅通技术有限公司 : (+86-
2、20-)第 2 页5. 需求分析 .156. 方案设计 .166.1.总体设计 .166.2.方案说明 .167. 成功案例 .187.1.天网防火墙典型用户名录 .187.2.天网防火墙成功案例选登 .197.2.1. 中央电视台网络安全改造工程.197.2.2. 人民日报网络安全工程.197.2.3. 南方航空公司网络平台安全改造计划.197.2.4. 广东省邮电管理局 网络工程.197.2.5. 广州市电信局个人主页项目.197.2.6. 珠海邮政局网上邮局工程.197.2.7. 2.15 广东省邮政局 183 网上支付系统.19众达迅通技术有限公司 : (+86-20-)第 3 页1
3、.1. 概述概述随着网络应用的日益广泛,各种大型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流,提供各种网上的信息服务,但这些网络用户中,不乏竞争对手和恶意破坏者,这些人可能会不断地寻找系统内部网络上的漏洞,企图潜入内部网络。一旦网络被人攻破,机密的数据、资料可能会被盗取、网络可能会被破坏,给系统带来难以预测的损失。因此,防火墙便成为网络安全必不可少的产品,天网防火墙在系统网络与外部网络用户之间建起了一道安全的屏障,从而有效地抵御外来攻击,防止不法分子的入侵。众达迅通技术有限公司 : (+86-20-)第 4 页2.2. 公司介绍公司介绍广州市众达迅通技术有限公司是一家集科研、生产
4、、经营于一体的高科 技产业公司,隶属于广东省科委技术转移中心,主要从事互联网技术及网络 产品的研究开发和生产,为全国的行业用户和广大的上网用户提供网络应用 的软、硬件产品、解决方案以及全方位的专业技术服务。公司成立于 1998 年,以网络安全产品“天网防火墙”闻名遐尔。“天网防火墙”是我国首个达到国际一流水平、获得国家公安部、国家安全部认证的软硬件一体化网络安全产品,性能及技术指标达到甚至超过世界同类产品水平。公司还独立开发出天网负载分担服务器(SkyNet LB Server)、天网虚拟专网交换机 ( SkyNet VPN Switch)等网络应用硬件系统。在开发出国内第一套拥有自主知识产权
5、、基于Unix 系统的 Internet 应用开发平台的基础上,陆续开发了人民日报网络版新闻发布系统、天网实时聊天系统、天网虚拟主 机系统等一系列的网络应用软件产品。公司利用雄厚的技术力量、完善的研发系统,以及丰富的实践经验,为国内的用户提供全面、高效的网络安全服务,从而改善了国内高水平网络安 全服务的相对空白的局面。公司的规模不断扩大,目众达迅通技术有限公司 : (+86-20-)第 5 页前已在南京等地设立了 分支机构,客户遍布全国各地,为全国用户的信息安全服务提供了重要的保障。作为一家网络安全的专业公司,为中央电视台、人民日报社、广州视窗、 21CN、南方航空公司等大型单位的网络安全建设
6、提供了有力的支持,并获得 普遍好评。“不断创新,共同发展” 。凝聚大批优秀技术人才的广州市众达迅通技 术有限公司将以振兴中华民族的 IT 业为己任,努力为中国的网络发展及信息 安全建设做出贡献! 众达迅通技术有限公司 : (+86-20-)第 6 页众达迅通技术有限公司 : (+86-20-)第 7 页3.3. 信息安全技术介绍信息安全技术介绍3.1.3.1. 信息安全的定义信息安全的定义要做好网络安全工作,首先要了解的是信息安全的定义,对信息系统安全,计算机安全的定义有多种:国际标准化委员会(ISO International Standards Organization)的定义是:“为数据
7、处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。 ”美国国防部国家计算机安全中心(NCSC DoD)的定义是:“要讨论计算机安全首先必须讨论对安全需求的陈述,。一般说来,安全的系统会利用一些专门的安全特性来控制对信息的访问,只有经过适当授权的人,或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。 ”我国公安部计算机管理监察司的定义是: “计算机安全是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和认为有害因素的威胁和危害” 。3.2.3.2. 安全的层次安全的层次网络系统的安全包括如下两个层次的含义:网络系统的
8、数据与信息的安全与保密 众达迅通技术有限公司 : (+86-20-)第 8 页网络系统自身的安全3.3.3.3. 安全的目标安全的目标网络系统安全的最终目标是要保证数据和信息的安全性。网络自身的安全是为数据和信息安全服务的。网络系统的安全性主要体现在以下几个方面:机密性:防止数据被未经授权地泄露 数据完整性:防止未经授权地对数据进行修改或删除 行为完整性:保证数据服务和控制的连续性3.4.3.4. 系统的安全威胁系统的安全威胁常见的安全危险是指通过技术手段对网络系统进行攻,攻击手法有一般性攻击、渗透性攻击与拒绝服务攻击。 一一般般性性攻攻击击一般性攻击主要利用用户或管理人员的疏忽、利用网络协议
9、或主机操作系统的漏洞、利用共享传输通道的便利,对系统进行直接入侵的攻击方法。下面是一些典型的攻击方法:口令入侵搜集用户帐户资料; 如果能够获得口令文件,可对口令文件进行解密; 众达迅通技术有限公司 : (+86-20-)第 9 页如果用户的口令缺乏安全性,可能被轻易地被“字典攻击”猜到用户的口令; 如果入侵者可以获得用户的口令,则可以冒用此用户的名义对系统进行进一步的破坏和攻击。脆弱的基于主机认证机制在 Internet 和 Intranet 上广泛使用的 TCP/IP 协议中,一些 TCP和 UDP 服务采用的是基于主机认证方式,而非基于用户认证的方式。入侵者可以利用这种脆弱的机制进行攻击:
10、IPIP SpoofingSpoofing:攻击者侦测出一台被信任主机,在该主机停机(或遭到拒绝服务攻击)之后,冒充该机。可以使用 IP 源路由方法,假扮成被信任的主机,许多 UNIX 主机和路由器均设置成支持源路由封包。 信任主机的扩散攻击:信任主机的扩散攻击:利用主机之间的信任关系,在攻破某一台主机后,可以更加方便地攻击和它有信任关系的主机。 协议攻击Internet 使用的通讯协议在设计时,并没有充分考虑到网络安全问题。而且 TCP/IP 协议是完全公开的,再加上很多 UNIX 系统的内部结构包括源代码都公开,导致入侵者可以利用网络和操作系统的漏洞进行攻击。众达迅通技术有限公司 : (+
11、86-20-)第 10 页人为的配置失误网络和主机的安全设置都比较复杂,管理者很容易在配置中出现失误。如果用户没有进行合适的配置,入侵者就可以轻易的进入。比如,缺省帐户的口令没有更改等等。如果系统管理人员没有对网络和操作系统的漏洞及时打补丁(patch) 。入侵者就可以利用这些公开的漏洞,侵入系统。窃听和监视由于在网络的共享信道上,用明文传输的敏感数据,这些信息很可能被窃听和监视。一旦,入侵者监听到用户传输的口令,就可以入侵到系统中了。新的安全挑战随着 Internet 技术的急剧发展,如 WWW、Java、ActiveX 等技术的大量使用,新的安全问题也不断涌现。一些新的服务未经过严格的安全测试就可能开始使用。象 CERT、FIRST 这样的计算机安全紧急反映组织不断发布新的攻击事件和新的漏洞;各个主机和网络厂商不断公布自己的补丁;象2600 这样的的黑客组织和黑客站点不断出现新的攻击手法。所有这些,都对我们的安全工作提出了挑战。众达迅通技术有限公司 : (+86-20-)第 11 页渗渗透透性性攻攻击击渗透性攻击一定要通过一些特殊的计算机程序,通过将这些程序象补丁(patch)一样加载在主机上之后,通过程序自身去不断获得系统的控制权,达到破坏系统安全的目的。特洛伊木马特洛伊木马是这样一种程序,它在正常功能的程序中,隐藏的了非授权的代码。如果正常程序在系统中运行,那
