《酒店网络安全解决方案-(网络拓扑及设计)》由会员分享,可在线阅读,更多相关《酒店网络安全解决方案-(网络拓扑及设计)(37页珍藏版)》请在金锄头文库上搜索。
1、* 酒店网络安全建议书目录第一部分 简述 .2第一章 概述.2第二部分 技术方案.3第一章 信息安全风险分析.3第二章安全需求与目标.4第三章 全面的信息络安全体系设计.4第四章 *酒店安全网络设计.7第五章 防病毒产品设计方案.121.1.网络防病毒产品推荐- 14 -第六章 内网管理产品设计方案2.整体方案建议- 16 -2.1.整体防病毒体系建议- 16 -2.1.1.防病毒体系设计思路- 16 -2.1.2.产品部署建议- 16 -2.1.3.服务器防护- 16 -2.1.4.客户机防护- 18 -2.1.5.网络层防病毒- 20 -2、部署实施方案- 22 -(一)控制功能:细致的访
2、问控制功能,有效管理用户上网- 26 -(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏- 27 -(三)报表功能:强大的数据报表中心,提供直观的上网数据统计- 27 -(四)带宽及流量管理功能:强大的QOS功能及流量分析- 28 -(五)负载均衡和高可用性- 28 -(六)丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等- 28 -(一)深度的内容检测技术及在线网关监控技术及时封堵P2P、IM软件- 29 -(二)流量控制管理- 29 -(三)邮件的延迟审计(专利技术)- 30 -(四)独有的网络访问准入规则(专利技术)- 30 -(五)WEB认证技术-
3、30 -(六)高度集成,部署灵活- 31 -第七章 整体网络应用拓扑图.32第八章 *酒店安全服务 - 33第九章 产品报价.36第一部分 简述 第一章 概述在当今的信息时代,互联网已经成为很多人生活中不可分割的一部分。人们越来越习惯于利用互联网进行相互沟通和商务活动。人们希望在任何地方、任何时候都可以通过网络方便、快速地获得所需要的信息,对于那些经常出门在外的人,如果在暂住的酒店中能够随时访问互联网,对他们无疑将有着巨大的吸引力。为此,在酒店这个人员流动性非常大的公共场所为客人提供上网服务已成为现代酒店发展的必然趋势,这也是酒店提高自身服务水平的重要标志。通常酒店的网络有两部分:办公网络和客
4、房网络,为节约成本往往两个网络通过一条Internet出口连接互联网,酒店网络管理员希望充分保障办公网络的安全,不受外部网络攻击及客房网络可能出现的病毒影响;客房用户上网随意性较大,需要带宽管理措施来限制占用带宽过高的用户,并保障办公网络的网速正常。酒店用户流动性很大,随身携带的移动电脑中经常带有病毒,一旦爆发将影响整个网络的正常,例如常见的ARP地址欺骗病毒,当中毒电脑冒充网关地址时,整个网络的客户端都将受此影响而无法访问互联网,因此急需有效的防内部攻击措施来保障网络正常。针对*酒店计算机网络系统网络现状,我们从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全方面对*酒店计算机网络
5、系统络系统进行风险分析。基于以上的需求分析,我们将重点考虑:保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范入侵者的恶意攻击与破坏,保护信息通过网上传输过程中的机密性、完整性,防范计算机病毒的侵害,实现系统快速恢复,实现网络的安全管理,建立相应的远程安全管理通道和管理平台,建立一套完整可行的网络安全与网络管理策略。我们相信本建议书中的设计能较好地满足贵单位网络系统的需求,并希望与贵公司有关领导及具体负责人进一步进行深入的讨论。我们有决心积极参加贵单位此次网络安全建设项目,有信心圆满完成贵单位的网络安全建设工程。第二部分 技术方案第一章 信息安全风险分析随
6、着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。下面列出部分这类新风险因素:信息安全可以从以下几个方面来理解:1)网络物理是否安全;2)网络结构是否安全;3)系统是否安全;4)应用是否安全;5)管理是否安全。1. 网络物理安全:地震、火灾、雷电等2. 网络安全:线路故障,路由、交换机设备损坏等3. 系统安全:应用服务器、操作系统、数据库故障等4. 应用安全:黑客攻击、非法入侵、病毒、恶意程序、应用软件故障、数
7、据丢失泄密、帐号密码丢失、软件漏洞等5. 管理安全:内部攻击、误操作、设备的破坏、恶意行为等第二章 安全需求与安全目标 针对信息系统所面临的安全分析,通过可能造系统安全的五个部分,如何进行有效的防范,需从五方面进行:1. 针对管理级安全:须建立一套完整可行的信息安全管理制度,通过有效的系统管理工具,实现系统的安全运行管理与维护;2. 针对应用级安全:须加强网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,通过一系列信息安全软硬件设备建设安全防护体系;3. 针对系统级安全:须加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当
8、发生故障时,能及时的提供备用系统和恢复;4. 针对网络级安全:须保证网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;5. 针对物理级安全:须保证数据的安全和系统的及时恢复,加强数据的远程异地备份和系统的异地容灾。第三章 全面的信息络安全体系设计要建立一套全面的信息安全系统,就要从自身的应用状况分析,分析可能存在安全漏洞,从重要性、紧迫性出发,逐一提供建设参考。首先:区分内外网,加强内部网络的安全防护:找到网络的对外接口(互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络),在对外网络的接口处安装防火墙系统,通过防火墙实现内外网的隔离,保证内部网络的安全
9、。通过防火墙实现访问控制,控制内部用户的上网行为;通过防火墙验证访问内部的用户身份、访问权限等;通过入侵防护检测访问者的访问行为;因为数据在网络上的传输都是明文的,为了保证数据传输的安全性须对数据进行加密,可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。目前,大部分防火墙的功能差异并不太大,性能成为选择防火墙的主要指标,市场上的防火墙根据架构的不同,可分为三大类:ASIC芯片、NP架构、传统的X86架构,ASIC芯片级的防火墙把大部分处理通过芯片来完成,不再占用CPU资源,具有更好的处理性能。第二:建立多层次、全方面的防病毒系统1、 根据病毒寄存的环境,在所有服务器和客户机上安装网
10、络版防毒系统2、 根据病毒传播的途径,在网关处安装网关防毒网关,在浏览网页、下载资料、收发邮件时进行有效的病毒防护3、 在内部交换层,通过硬件的网络防毒墙对网络中的数据包进行检测,有效的进行网络层病毒、蠕虫、恶意攻击行为的防护,保护内部网络的稳定与畅通。单机的问题并不能对网络造成严重的问题,网络中断或瘫痪造成的损失是巨大的第三:加强核心网络、核心应用的安全防护核心网络、服务器群是一个网络的中心部分,应更加注重安全的防范,为了防止来自外部和内部的攻击,应在核心服务器群前安装防火墙及入侵防护系统。重点加强核心系统的安全防护;对操作系统及应用系统的漏洞及时的安装补丁为防止核心系统的运行出现固障,应对
11、核心系统所在的网络线路进行冗余设计,并对交换机、路由器设备进行双路冗余。同时,把安装重要应用系统的服务器进行双机热备所有数据通过磁盘阵列或磁带机进行存储、备份对于网站系统,可以通过主页防篡改系统、防DOS攻击系统加强对网站的防护第四:加强数据备份数据资源是一个单位的最为重要资源,一但数据丢失所造成的损失是无法弥补的.因此必须加对数据的保存和备份。现在一般常用的数据保存方式都是通过磁盘阵列来完成,但是,磁盘阵列的稳定性是不能保证的。一般情况,可以通过磁带机对磁盘阵列的数据进行再次备份也可以通过另一台磁盘阵列进行数据的相互备份通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用服务系统进
12、行备份,并提供相应用恢复方案为防止地震、火灾、雷电等自然灾害,须将重要数据在异地进行备份,如果系统的运行不能中断,就需要在异地进行系统的容灾第五:加强应用系统的安全防护对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤对于应用系统必须加强用户身份认证,通过身份认证控制用户的使用权限。身份认证可以通过应用系统中的用户管理系统实现,也可以通过专业的身份认证系统,考虑到终端用户对帐号、密码的管理能力较差,建议可采用第三方生物识别设备实现终端用户的帐号、密码的管理。第六:加强网络管理信息系统的安全只靠以上的安全设备是不能解决问题的,三分技术七分管理,必须加强对信息系统设备的管理以及用户应用的管理。可以通
13、过网络管理软件配合完成,使信息系统管理人员对信息系统的运行状况一目了然。网络管理系统应该具备和实现1、 获取全网拓扑结构图,在网络线路、基础联接层面了解网络系统的运行状况2、 监控路由器、交换机、防火墙等网络设备的运行情况,监测控制网络流量,及时提供报警,并能方便的对网络设备进行系统配置和管理,3、 监控服务器、主机、磁盘阵列的运行状况、网络流量、资源占用等,及时提供报警,并能方便的对主机设备进行配置和管理4、 监控应用系统的运行状况,对用户进行访问控制、记录访问及操作日志5、 管理网络中的所有终端设资源,方便进行远程的管理和操作控制6、 监测及控制终端用户对电脑软硬件资源的使用、应用程序的使
14、用、上网行为等操作行为7、 实现系统补丁管理、补丁分发,对操作系统、应用系统进行及时的补丁更新8、 限制不安全的设备的接入以上为网络管理系统所须具备的功能,缺一不可,建议在选择产品时,作为重要的参考依据。第七:漏洞扫描、安全评估仅管如上所述,我们己经采取了众多的安全措施,但是,我们的信息系统是一个不断建设完善的系统,在系统的不断建设过程,仍然会出现一些新的安全漏洞,安全系统的是否部署到位,我们的信息系统是否仍然存在安全隐患,作为信息系统的管理人员仍然需要进行定期的安全检查。漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具,我们可以通过专用的漏洞扫描系统对网络设备、服务器、应用系统、网络终端进行全面的检测,通过模拟黑客的进攻方法,对被检系统进行攻击性的安全漏洞和隐患扫描,提交风险评估报告,并提供相应的整改措施。找出网络中存在的漏洞,防患于未然。第八:安全管理及培训1、 制定并实施信息安全制度2、 加强网络安全意识的教育和培养3、 加强网络安全知识的培训4、 定期进行终端安全产品的应用操作指导第四章 *酒店安全网络设计一、 *酒店需求分析自200
