《长沙网络安全需求(1)》由会员分享,可在线阅读,更多相关《长沙网络安全需求(1)(12页珍藏版)》请在金锄头文库上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页1网络安全背景随着计算机技术、信息技术的发展,计算机网络系统已成为电信企业各项业务的关键承载平台。另一方面,随着国际互联网的迅猛发展、计算机技术开放性的不断提高、人们对计算机知识认识的进一步加深、企业信息平台的向纵深扩展,计算机网络安全问题已广泛引起社会的注意,日益成为不可忽视的问题;而一个企业计算机网络安全休系的建立、健全也势在必行。 长沙电信网络安全系统的建立,必将为长沙电信的业务信息系统、缴费系统、97工程等重要业务信息管理系统提供一个安全的环境和完整平台。通过以下软、硬件安全技术、加强企业管理方案综合建立起
2、的网络安全系统,可以极大地解决来自网络外部及内部对企业生产网络安全造成的各种威胁,从而形成一个更加安全、健康的业务系统和办公环境。网络安全整体解决方案提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能,有效地保证秘密、机密文件的安全传输,严格地防止经济损失、泄密现象发生,避免重大经济损失。2长沙电信网络现状和计算机安全隐患2.1网络、安全现状长沙电信的网络结构较复杂。现我局计算机网络为九六年建成,经过寻呼、移动分家时没有进行任何改造;目前电信公司共有PC机二千多台,服务器70多台;营业网点数量多,地理位置较分散,覆盖面广(含长沙市、长沙县、望城县、浏阳县、宁乡县)连接方式多样;内
3、部网络连接 Internet出口、方式较多且难以控制;内部网络上承载电信公司内部所的重要应用系统:包括计费系统,网管监控系统,大97系统,企业网,缴费系统,资源管理系统等等;广大员工的注意力集中在如何充分使用、利用它,而安全意识方面则较淡薄,相应的管理规则、规范严重匮乏,急待完善。2.2 网络全貌图12.5 客户端现状1、机器品种繁多,公司员工对计算机的认识日益深化,存在员工在工作用机上随意重装自己喜欢的操作系统,造成操作系统混乱。共计如下:windows 95、 windows 98、windows me、windows NT4、windows NT6、windows 2000 个人版、wi
4、ndows 2000服务器版、windows XP甚至lunix等。每一个版本的操作系统都有自己的漏洞和补丁,如此多的版本在维护上带来了极大的不便,在计算机安全上带来一定的隐患。2、公司员工存在使用过程中私自更改机器名,IP地址,造成机器名混乱、IP地址冲突的现象时有发生。3、存在私自在生产、办公用机上安装软件,而软件来源不明,给网络安全带来了隐患。4、存在私自改造公司网络布线结构,且同时在办公用机上安装两块网卡,既连企业生产网又连通公网,未通知专业维护单位,造成维护困难。2.6存在安全隐患由于长沙电信信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由Intranet扩展
5、到Internet。内部网络通ADSL、ISDN、以太网等直接与外部网络相连,对整个生产网络安全构成了巨大的威胁。 具体分析,对长沙电信网络及计算机系统安全构成威胁的主要因素有:1) 应用及管理、系统平台复杂,管理困难,存在大量的安全隐患。2) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统极为容易遭到攻击。 3) 来自外部及内部网的病毒的破坏,来自Internet的Web浏览可能存在的恶意Java/ActiveX控件。病毒发作情况难以得到监控,存在大范围系统瘫痪风险。4) 缺乏有效的手
6、段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。管理成本极高,减低了工作效率。5) 缺乏一套完整的管理和安全策略、政策,相当多用户安全意识匮乏。6) 与竞争对手共享资源(如联通),潜在安全风险极高。7) 上网资源管理、客户端工作用机使用管理混乱,存在多点高危安全隐患。8) 计算机环境的缺陷可能引发安全问题;公司中心主机房环境的消防安全检测设施,长时间未经确认其可用性,存在一定隐患。9) 各重要计算机系统及数据的常规备份恢复方案,目前都处于人工管理阶段,缺乏必要的自动备份支持设备。10) 目前电信分公司没有明
7、确的异地容灾方案,如出现灾难性的系统损坏,完全没有恢复的可能性。11) 远程拔号访问缺少必要的安全认证机制,存在安全性问题。3长沙电信网络安全需求分析网络安全设计是一个综合的系统工程,其复杂性丝毫不亚于设计一个庞大的应用系统。长沙电信信息网的安全设计,需要考虑涉及到承载的所有软硬件产品及处理环节,而总体安全往往取决于所有环节中的最薄弱环节,如果有一个环节出了问题,总体安全就得不到保障;具体就以下几个方面来分析。物理安全:在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等等。网络结构安全:通过层次设计和分段设计能够更好的实现网络之间的访问控制,结构设计需要对网络地址资源分配、路由协
8、议选择等方面进行合理规划。通常应该要求网络集成商在网络设计时对结构安全加以考虑,并在运营维护过程中不断改进和完善。网络安全:对重要网段加以保护。通过防火墙做接入点的安全;通过扫描软件对网络范围内的所有提供网络服务的设备进行漏洞扫描和修补;通过基于网络的入侵检测系统动态的保护重要网段。系统安全:对网上运行的所有重要服务器加以保护,并从自身实施一定的安全措施。通过操作系统升级和打安全补丁减少系统漏洞;通过扫描软件对服务器进行漏洞扫描和修补;通过安装基于主机的入侵检测系统来保护重要的服务器。数据库安全:通过专业的数据库扫描软件检测数据库系统存在的安全漏洞并进行修补,保护关键应用系统存放在数据库中的数
9、据。应用系统和数据的安全:对于应用系统的安全,一方面可以借助扫描工具对软件安装的主机进行评估,另一方面对应用系统所占用的网络服务、用户权限和资源使用情况进行分析,找出可能存在的安全问题。对于数据的安全,通过使用防病毒产品进行全方位的数据扫描服务,保证整个生产网处于安全无毒的环境。网络安全是个长期的过程,不仅需要有好的规划设计,还要有良好的安全策略、及时的安全评估和完善的安全管理体系,综合运用各种安全工具,方能保证系统处于最佳安全状态。4网络安全的解决方案分析4.1网络与服务器安全设计和调整在进行安全规划时,网络自身的安全考虑往往容易被忽视,结果成为被黑客利用的“短木条”。实际上,很多攻击我们可
10、以通过良好的网络设计和配置加以避免和消除。网络结构设计和具体配置按照如下的建议做出调整: 尽快与寻呼、移动网络从物理上完全分离,并禁止私自更改机器名、IP地址。 物理安全的保护主要网络设备和各种业务服务器的安全(包括确认防火、防盗,自动烟雾检测系统的工作正常)。 毁灭性灾难发生时的异地容灾(从节约资金的角度,现主要考虑数据磁带的异地备份)。 内部网络结构层次分明,便于网络隔离和安全规划。 网络结构具备高可靠性和高可用性(关键设备的负载均衡与功能互备)。 应用系统按其重要性分段,重要系统在条件许可时尽量集中放置,以便集中实施安全策略。维护人员的桌面机所在网段应与重要网段逻辑上隔离。 重要数据所在
11、服务器使用防火墙进行隔离 针对桌面平台现状,制定规范化方案。良好的网络结构设计和配置,能够消除网络结构不合理带来的安全隐患,也能够使得我们更好地实施更高层次的安全规划。4.2防火墙的保护网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(ACL),可以将其用作一个“预过滤器”,筛分不要的信息流,路由器的ACL只能作为防火墙系统的一个重要补充,对于复杂的安全控制,只能通过防火墙系统来实现。因目前INTERNET网的发展,企业不访问公网,已属不可能,且片面的自封闭政策也直接阻碍了电信业务在网上的发展,大势所趋是无法
12、回避的,重要的是有足够的安全措施及防范体系。在本次的安全建设中,我们提出如下的建议:在长沙节点接入97骨干,数据中心接入网络处架设防火墙,确认防火设备的可用性。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击等等。通过制定相应的安全策略,防火墙允许合法访问,拒绝所有无关的服务和非法入侵。目前主流的防火墙产品均采用状态检测技术,与其它技术相比,基于状态检测技术的防火墙在提供更多功能的同时提供了更好的性能。4.3安全评估系统现阶段电信公司网络内服务器数量多,各种操作系统复杂,利用人工检查系统的安全漏洞已经不可能为系统正常运行提供足够的安全保证。
13、我们只能利用各种安全方面的软件和硬件辅助系统管理员来了解网络和服务器当前的安全状况,并针对性的解决存在的安全问题,进而为企业的整体安全决策提供可靠依据。运用安全漏洞扫描产品能够较全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况,找出存在的安全漏洞并给出修补建议(如ISS)。网络扫描器产品:可以扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括NT/2000工作站/服务器、各种UNIX工作站/服务器、防火墙、路由器/交换机等等,通过模拟黑客攻击手法,扫描目标对象存在的安全漏洞,与黑客攻击不同的是不做任何破坏活动。在进行扫描时,可以从不同的网络位置对
14、网络设备进行扫描,例如在防火墙的内侧和外侧的扫描效果不同,内侧扫描的结果真实、准确,外侧扫描可以用来检测防火墙或网络的耐攻击程度。另外也可以根据不同的扫描对象选择或定制不同的策略,如针对防火墙、UNIX服务器、NT服务器、Internet(WWW、DNS、MAIL)服务器、路由器交换机等等,扫描结束后生成详细的安全评估报告。(如Internet Scanner产品扫描的漏洞类型高达900多种,是业界较好的网络扫描器产品。)系统扫描器产品:利用此类产品可对97工程重要服务器的操作系统定期进行安全漏洞扫描和风险评估。在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。在重要的服务器上安装其的
15、代理软件(代理软件支持NT/2000和各种UNIX操作系统),在网管中心的一台NT工作站上安装其控制台。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的安全风险,包括缺少的安全补丁、词典中可猜中的口令、不适当的用户权限、不正确的系统登录权限、操作系统内部是否有黑客程序驻留、不安全的服务配置等等。扫描结果可生成各级漏洞报告,可根据报告中详述的内容修改操作系统中不安全的配置。扫描器代理的安全策略可以通过系统扫描器控制台进行集中管理和配置。系统扫描带来了更强有力的针对基于主机的漏洞评估技术,它把快速的分析与可靠的建议结合起来,从而保护服务器上的应用程序、数据免受盗用、破坏或误操作。同时
16、可以制定一个系统基线,制定计划和规则,让系统扫描器在没有任何监管的情况下自动运行,一旦发现漏洞立即报警。系统扫描器所实行的所有规则定义在每个代理的知识库里,它允许用户自己定义一个适合相应平台的规则,同时还允许进行特殊定义,当网络不通时代理也可以进行工作。(如System Scanner产品)数据库扫描器产品:可针对数据库管理系统的风险评估检测工具,可以利用它建立数据库的安全规则,通过运用审核程序来提供有关安全风险和位置的简明报告。利用Database Scanner定期地通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全面评估数据库存在的认证、授权、完整性方面的问题。应支持的企业现有的数据库类型有:MS SQL Server、Oracle和Sybase。不同的数据库类
