《移动企业网络安全整体项目解决方案1》由会员分享,可在线阅读,更多相关《移动企业网络安全整体项目解决方案1(21页珍藏版)》请在金锄头文库上搜索。
1、word网络安全整体解决方案第一局部 网络安全概述第一章 网络安全体系的根本认识 自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.5万亿美元。一安全威胁 由于企业网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。所以,企业网络可能存在的安全威胁来自以下方面: (1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器与Windows桌面PC。 (2) 防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验
2、。 (3) 来自内部网用户的安全威胁。 (4) 缺乏有效的手段监视、评估网络系统的安全性。 (5) 采用的TCP/IP协议族软件,本身缺乏安全性。 (6) 未能对来自Internet的电子夹带的病毒与Web浏览可能存在的Java/ActiveX控件进展有效控制。 (7) 应用服务的安全,许多应用服务系统在访问控制与安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。二网络安全的需求1、企业网络的根本安全需求 满足根本的安全要求,是该网络成功运行的必要条件,在此根底上提供强有力的安全保障,是建设企业网络系统安全的重要原如此。 企业网络内部部署了众多的网络设备、服务器,保护这些设备的正常
3、运行,维护主要业务系统的安全,是企业网络的根本安全需求。 对于各科各样的网络攻击,如何在提供灵活且高效的网络通讯与信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。2、业务系统的安全需求与普通网络应用不同的是,业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施。企业网络应保障:l 访问控制,确保业务系统不被非法访问。l 数据安全,保证数据库软硬件系统的整体安全性和可靠性。l 入侵检测,对于试图破坏业务系统的恶意行为能够与时发现、记录和跟踪,提供非法攻击的犯罪证据。l 来自网络内部其他系统的破坏,或误操作造成的安全隐患。3、Internet服务网络
4、的安全需求Internet服务网络分为两个局部:提供网络用户对Internet的访问:提供Internet对网内服务的访问。网络内客户对Internet的访问,有可能带来某些类型的网络安全。如通过电子、FTP引入病毒、危险的Java或ActiveX应用等。因此,需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。网络安全需求是保护网络不受破坏,确保网络服务的可用性,作为信息网络之间的互联的边界安全应作为主要安全需求: 需要保证信息网络之间安全互联,能够实现网络安全隔离; 对于专有应用的安全服务; 必要的信息交互的可信任性; 能够提供对于主流网络应用如、Mail、Ftp、Oicq和NetM
5、eeting等良好支持,并能够实现安全应用; 同时信息网络公共资源能够对开放用户提供安全访问; 能够防X包括: 利用应用,通过Java Applet、ActiveX以与Java Script形式; 利用Ftp应用,通过文件传输形式; 利用SMTP应用,通过对分析与利用附件所造成的信息泄漏和有害信息对于信息网络的侵害; 对网络安全事件的审计; 对于网络安全状态的量化评估; 对网络安全状态的实时监控;其次,对于信息网络内部同样存在安全需求,包括: 信息网络中的各单位网络之间建立连接控制手段; 能够满足信息网络内的授权用户对相关专用网络资源访问; 同时对于远程访问用户增强安全管理; 加强对于整个信息
6、网络资源和人员的安全管理与培训。三 网络安全与网络性能和功能的关系 通常,系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务断开,外界是不可能构成安全威胁的。但是,企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。构建网络安全系统,一方面由于要进展认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。选择适当的技术和产品,制订灵活的网络安
7、全策略,在保证网络安全的情况下,提供灵活的网络服务通道。采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。全方位的安全体系:与其它安全体系如保安系统类似,企业应用系统的安全休系应包含:访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源等。加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。认证:良
8、好的认证体系可防止攻击者假冒合法用户。备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。隐藏内部信息,使攻击者不能了解系统内的根本情况。设立安全监控中心,为信息系统提供安全体系管理、监控,渠护与紧急情况服务。四网络安全的管理因素 网络安全可以采用多种技术来增强和执行。但是,很多安全威胁来源于管理上的松懈与对安全威胁的认识。安全威胁主要利用以下途径:l 系统实现存在的漏洞。l 系统安全体系的缺陷。l 使用人员的安全意识薄弱。l 管理制度的薄弱。良好的网络管理有助于增强系统的安全性:l 与时发现系统安全的漏
9、洞。l 审查系统安全体系。l 加强对使用人员的安全知识教育。l 建立完善的系统管理制度。如前所述,能否制定一个统一的安全策略,在全网X围内实现统一的安全管理,对于信息网来说就至关重要了。安全管理主要包括两个方面:l 内部安全管理:主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防X制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。l 网络安全管理:在网络层设置路由器、防火墙、安全检测系统后,必须保证路由器和防火墙的ACL设置正确,其配置不允许被随便修改。网络层的安全管理可以通过防火
10、墙、安全检测、网络病毒防治以与网管等一些网络层的管理工具来实现。第二章 网络安全技术概述基于以上的分析,企业网络系统涉与到各方面的网络安全问题,我们认为整个企业的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术,入侵监控技术、安全漏洞扫描技术、病毒防护技术、加密技术、认证和数字签名技术等。下面就以上技术加以详细阐述:一. 虚拟网技术 虚拟网技术主要基于近年开展的局域网交换技术(ATM和以太网交换。交换技术将传统的基于广播的局域网技术开展为面向连接的技术。因此,网管系统有能力限制局域网通讯的X围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到
11、达的地点。因此、防止了大局部基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。 以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入改变问题。 但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端
12、口或每个交换端口所在的网段机器均属于一样的VLAN。网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。二. 防火墙枝术 防火墙是近年开展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规如此,在保护内部网络安全的前提下,提供内外网络通讯。1、使用Firewall的益处保护脆弱的服务 通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如,Firewall可以禁止NIS、N
13、FS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问 Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。集中的安全管理 Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规如此可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过次认证即可访问内部网。增强的某某性 使用Firewall可以
14、阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。记录和统计网络利用数据以与非法使用数据 Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。策略执行 Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。2、 设置Firewall的要素网络策略 影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以与如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务
15、。服务访问策略 服务访问策略集中在Internet访问服务以与外部网络访问如拨入策略、SLIP/PPP连接等。 服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。Firewall设计谋略 Firewall设计谋略基于特定的firewall,定义完成服务访问策略的规如此。通常有两种根本的设计谋略:允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。通常采用第二种类型的设计谋略。3、 Firewall的根本分类包过滤 IP包过滤: 源IP地址; 目的IP地址; TCP/UDP源端口; TCP/UDP目的端口。
