《深圳商业银行网上银行系统网络接入安全方案中国安全网》由会员分享,可在线阅读,更多相关《深圳商业银行网上银行系统网络接入安全方案中国安全网(20页珍藏版)》请在金锄头文库上搜索。
1、xxx 公司网络系统安全方案 华强联合计算机工程有限公司华强联合计算机工程有限公司 TelTel0755075532173773217377,32173793217379,32173803217380 FaxFax:0755075533528243352824 xxx 公司网络系统公司网络系统 安全方案安全方案 xxx 公司网络系统安全方案 华强联合计算机工程有限公司华强联合计算机工程有限公司 TelTel0755075532173773217377,32173793217379,32173803217380 FaxFax:0755075533528243352824 目录目录 一 企业网络安
2、全面临的威胁.2 二、防火墙简介.4 1、防火墙的应用4 2防火墙的部署位置:4 3防火墙应该具备以下特点:5 4防火墙应该具有以下功能5 三 XXX 公司网络系统安全需求.5 2.1 安全需求 .5 2.2 安全需求分析5 四 安全解决方案设计.6 4.1 网络服务器机群安全分析 .6 42 重要部门的接入 7 4.3 产品说明8 五 公司简介.11 六 成功案例(截止日期 2000 年 5 月).13 xxx 公司网络系统安全方案 华强联合计算机工程有限公司华强联合计算机工程有限公司 TelTel0755075532173773217377,32173793217379,321738032
3、17380 FaxFax:0755075533528243352824 一一 企业网络安全面临的威胁企业网络安全面临的威胁 在现代社会中,随着计算机运用的普及和计算机网络技术的不断发展,计 算机为整个社会带来了前所未有的变革,信息化成为社会发展的大趋势。现代 生活的快节奏,迅速、及时、准确、有效的信息传递、处理,使得人类社会充 斥了大量以计算机或以计算机处理器为主的系统及网络。系统一体化趋势,使 网络化成为了整个信息社会的核心。与此同时,人们认识到计算机在给现代社 会注入强大生命力同时,不可避免的成为对手攻击的重点对象。攻击与反攻击, 成为信息社会中敌对双方利用互联网为作战平台,展开斗争的重要
4、手段。而我 国信息安全的前景,并不引人乐观。 企业信息安全面临的主要威胁企业信息安全面临的主要威胁 信息安全的威胁主要来自信息网络上的非法操作,其威胁是多种多样的, 并随着时间推移和技术的发展发生着变化,这些威胁既有针对信息运用系统物 理环境的攻击破坏,也有对信息系统软件和信息资源的“软”攻击。主要表现 为:信息泄露、完整性破坏、业务拒绝和非法使用。信息安全的威胁主要来自 五种类型的威胁源:计算机病毒、网络“黑客”和蓄意入侵、内部失窃和反叛、 预置陷阱以及有组织、有预谋的计算机犯罪等。 xxx 公司网络系统安全方案 华强联合计算机工程有限公司华强联合计算机工程有限公司 TelTel075507
5、5532173773217377,32173793217379,32173803217380 FaxFax:0755075533528243352824 1 计算机病毒计算机病毒 计算机病毒是一种能自身繁殖和自动隐藏、自动传输的计算机程序,具有 传染性、潜伏性、隐蔽性和破坏性四大特点,可以通过磁盘、网络、电子邮件 等进行传播,其对计算机上的信息资源、系统运行环境有极大的破坏作用。计 算机病毒的传播是人为的,其传播速度是非常快的,随着网络的不断普及,网 上计算机病毒的入侵已成为威胁信息安全的首要大敌。 2 网络网络“黑客黑客”和蓄意入侵和蓄意入侵 网络黑客是指哪些极具有天赋的计算机程序编程能力和
6、运用其程序能力的 人员,为了某种利益,试图非法进入一些企业的要害部门,获取资料、修改程 序、攻击网络系统,使系统部分或全部崩溃。 3 内部失窃和反叛内部失窃和反叛 信息系统的内部人员由于失误造成敏感信息的外泄,或为利益所驱动而为 竞争对手提供情报服务是信息安全面临的另一种威胁。诸如:物理环境的安全 防范不严,对废弃的载有敏感信息的媒体未进行安全的销毁,或无意中把重要 的信息泄露给其它人员,或为竞争对手收买,出卖重要情报信息或提供攻击的 途径等。这些是造成信息安全威胁的人为因素。 4 预置陷阱预置陷阱 预置陷阱是在信息系统的设计或使用的软硬件中,人为地预设一些陷阱, 以干扰或改变计算机的正常运用
7、,甚至使计算机系统崩溃。信息安全面临的各 种威胁之中,预置陷阱是最危险、最可怕的,也是最难以防范的。 xxx 公司网络系统安全方案 华强联合计算机工程有限公司华强联合计算机工程有限公司 TelTel0755075532173773217377,32173793217379,32173803217380 FaxFax:0755075533528243352824 陷阱一般分为三类:“后门” 、 “病毒”和特定程序。 “后门”又叫“陷阱 门”是软件系统的设计者为了调试系统的需要,预先在软件中设计的一种入口。 这个入口可以让软件设计者或熟悉软件系统并知悉这一入口的人员,通过入口 超越系统保护,进入系
8、统,窃取数据或攻击系统。如美国微软公司开发的“视 窗软件 WIN98”就曾预留有“后门” 。 “病毒”是软件设计人员按一系列特定条 件设计的隐藏在软件工具中的特定程序,遇到条件满足后,就会发作,使计算 机系统出现混乱或陷入瘫痪。特定程序也是隐藏在计算机程序中具有伪装功能 的程序代码,通常用以在设置的系统中执行预置者赋予的特定功能。如“特洛 伊木马” ,这种网上特定程序能够安全隐藏在用户计算机中,把用户的授权指 令等以电子邮件的方式发给程序的设计者。软件陷阱是通过网络或使用软件工 具进行传播,由于其依附的软件载体是用户的使用系统或工具,难以甚至无法 检测,因而危害性更大。 5 有组织的计算机犯罪
9、有组织的计算机犯罪 信息网络在方便人类社会生活的同时也带来了很大的负面影响,反政府组 织、宗教极端组织、犯罪团伙或个人利用网络传播、宣传、搜索违反法律和社 会道德的信息,进行颠覆活动或敲诈勒索;造谣、蛊惑民众,导致社会不稳定, 也给国家安全带来严重的威胁。 信息网络日益普及和完善,企业在各个领域也越来越依赖信息网,同时信 息网络易受攻击的薄弱环节也越发明显,任何国家、组织和个人,都有可能掌 握攻击的方法和技巧,企业的重要信息和重大的战略资源都有可能受到来自信 xxx 公司网络系统安全方案 华强联合计算机工程有限公司华强联合计算机工程有限公司 TelTel07550755321737732173
10、77,32173793217379,32173803217380 FaxFax:0755075533528243352824 息网络上的直接攻击。 二、防火墙简介二、防火墙简介 1 1、防火墙的应用、防火墙的应用 防火墙是在两个网络之间执行控制策略的系统包括硬件和软件目的是不被 非法用户侵入,本质上它遵循的是一种允许或禁止业务来往的网络通信安全机 制也就是提供可控的过滤网络通讯只允许授权的通讯 基于 Internet 体系应用有两大部分:Intranet 和 Extranet。 Intranet 是借助 Internet 的技术和设备在 Internet 上面构造出企业 WWW 网,可放入企业
11、全部 信息;而 Extranet 是在电子商务互相合作的需求下,用 Intranet 间的通道,可 获得其它体系中部分信息,按照一个企业的安全体系可以在以下位置部署防火 墙 2 2防火墙的部署位置:防火墙的部署位置: 局域网内的 VLAN 之间控制信息流向时 Intranet 与 Internet 之间连接时 在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的 局域网看成不安全的系统, (通过公网 ChinaPac ChinaDDN FarmeRelay 等连接) 在总部的局域网和各分支机构连接时,采用防火墙隔离并利用 VPN 构成虚拟 xxx 公司网络系统安全方案 华强联合计算机
12、工程有限公司华强联合计算机工程有限公司 TelTel0755075532173773217377,32173793217379,32173803217380 FaxFax:0755075533528243352824 专网。 总部的局域网和分支机构的局域网是通过 Internet 连接,需要各自安装 防火墙,并利用 VPN 组成虚拟专网 在远程用户拨号访问时加入虚拟专网 3 3防火墙应该具备以下特点:防火墙应该具备以下特点: 广泛的服务支持,通过将动态的、应用层的过滤能力和认证相结合,可 实现 WWW 浏览器、HTTP 服务器、FTP 等 对私有数据的加密支持,保证通过 Internet 进行
13、虚拟私人网络和商务活 动不受损坏 客户端认证只允许指定的用户访问内部网络或选择服务,是企业本地网 与分支机构、商业伙伴和移动用户间安全通信的附加部分 反欺骗、欺骗是从外部获取网络访问权的常用手段,它使数据包好似来 自网络内部 4 4防火墙应该具有以下功能防火墙应该具有以下功能 所有进出网络的通讯流都应通过防火墙 所有穿过防火墙的通讯流都必须有安全策略和计划的确认和授权 理论上说防火墙自身是不能被攻破的 xxx 公司网络系统安全方案 华强联合计算机工程有限公司华强联合计算机工程有限公司 TelTel0755075532173773217377,32173793217379,32173803217
14、380 FaxFax:0755075533528243352824 三三 xxx 公司网络系统安全需求公司网络系统安全需求 2.12.1 安全需求安全需求 xxx 公司网络系统安全目标是为了保证 xxx 公司网络系统及与之连接的内 部生产业务网络系统的安全,同时提供内部办公网络系统到 Internet 的安全接 入,使内部员工能安全访问网上的信息资源。 网络接入安全管理方案需要实现的基本功能要求如下: 具有网络隔离功能和代理服务/地址映射功能; 具有时限、流量、地址、用户、应用、节点等控制管理功能; 具有用户对 Internet 访问目标的监控和记录功能; 具有网络安全通讯功能; 具有实时入侵
15、检测、识别、记录和自动响应功能; 支持流行的各种应用,包括音视频多媒体应用环境; 安全管理策略可由管理人员进行定义、修改; 防火墙对用户和应用应具有透明性,不会明显减低应用系统的效率; 防火墙应具有历史记录、审计和统计、报表功能; 防火墙的安装、维护工作量相对少、难度低; 防火墙本身及所依赖的运行平台价格合理,投资少、见效快。 防火墙支持与其他的安全产品建立 VPN 通道。 xxx 公司网络系统安全方案 华强联合计算机工程有限公司华强联合计算机工程有限公司 TelTel0755075532173773217377,32173793217379,32173803217380 FaxFax:0755075533528243352824 2.22.2 安全需求分析安全需求分析 根据安全需求分析,xxx 公司网络系统安全改造工程完成后,网络应能做 到如下几点: 设置 NAT 模式,能保护内部的网络结构,防止非法用户入侵内部网络, 造成破坏和损失。 对网络带宽速率不能有任何的影响。因 xxx 公司网站提供大量设计图片 和视频服务,防火墙对带宽的质量应有保障。 通过在公司的各部门网络前端设置防火墙,保护其内部资料数据的可靠, 防止内部数据被非法窃取。 设置认证功能
