《企业信息安全综合解决专项方案设计.doc》由会员分享,可在线阅读,更多相关《企业信息安全综合解决专项方案设计.doc(7页珍藏版)》请在金锄头文库上搜索。
1、要求有具体问题,比如,信息系统安全(硬件,场地,软件,病毒,木马,),网络安全(网络入侵,服务器/用户端连通性,vpn安全问题),人员安全(身份识别,分权访问,人员管理),电子商务安全(密钥,PKI),或其它! 【为保护隐私,企业原名用XX替换。内容包含企业网络安全防护,入侵检测,VPN加密、数据安全、用户认证等企业信息安全案例,供参考】 XX企业信息安全综合处理方案设计一 引言 伴随全球信息化及宽带网络建设飞速发展,含有跨区域远程办公及内部信息平台远程共享企业越来越多,而且这种企业运行模式也逐步成为现代企业主流需求。企业总部和各地分企业、办事处和出差职员需要实时地进行信息传输和资源共享等,企
2、业之间业务来往越来越多地依靠于网络。不过因为互联网开放性和通信协议原始设计不足影响,全部信息采取明文传输,造成互联网安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给企业正常运行带来安全隐患,甚至造成不可估量损失。所以必需利用信息安全技术来确保网络安全问题,这就使得网络安全成了企业信息化建设中一个永恒话题。 现在企业信息化安全威胁关键来自以下多个方面:一是来自网络攻击威胁,会造成我们服务器或工作站瘫痪。二是来自信息窃取威胁,造成我们商业机密泄漏,内部服务器被非法访问,破坏传输信息完整性或被直接假冒。三是来自公共网络中计算机病毒威胁,造成服务器或工作站被计算机病毒感染,而使系统瓦解或
3、陷入瘫痪,甚至造成网络瘫痪。如前段时间在互联网上流行“熊猫烧香”、“灰鸽子”等病毒就造成了这么后果。那么怎样构建一个全方面企业网络安全防护体系,以确保企业信息网络和数据安全,避免因为安全事故给企业造成无须要损失呢?二 XX企业需求分析 该企业现在已建成覆盖整个企业网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心和数个城市经过1M帧中继专线实现点对点连接,其它城市和移动用户使用ADSL、CDMA登录互联网后经过VPN连接到企业内网,或经过PSTN拨号连接。在企业网络平台上运行着办公自动化系统、SAPERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站
4、,和FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业日常办公和经营管理起到关键支撑作用。 1. 外部网络安全威胁 企业网络和外网有互连。基于网络系统范围大、函盖面广,内部网络将面临愈加严重安全威胁,入侵者天天全部在试图闯进网络节点。网络系统中办公系统及职员主机上全部有涉密信息。假如内部网络一台电脑安全受损(被攻击或被病毒感染),就会同时影响在同一网络上很多其它系统。透过网络传输,还会影响到和本系统网络有连接外单位网络。 假如系统内部局域网和系统外部网络间没有采取一定安全防护方法,内部网络轻易遭到来自外网部分不怀好意入侵者攻击。 2.内部局域网安全威胁 据调查在已经有网络安全攻击
5、事件中约70%是来自内部网络侵犯。来自机构内部局域网威胁包含:误用和滥用关键、敏感数据;内部人员有意泄漏内部网络网络结构;内部不怀好意职员经过多种方法盗取她人涉密信息传输出去。3.网络设备安全隐患 网络设备中包含路由器、交换机、防火墙等,它们设置比较复杂,可能因为疏忽或不正确了解而使这些设备可用但安全性不佳。二、操作系统安全风险分析 所谓系统安全通常是指操作系统安全。操作系统安装以正常工作为目标,通常极少考虑其安全性,所以安装通常全部是以缺省选项进行设置。从安全角度考虑,其表现为装了很多用不着服务模块,开放了很多无须开放端口,其中可能隐含了安全风险。 现在操作系统不管是Windows还是UNI
6、X操作系统和其它厂商开发应用系统,其开发厂商肯定有其Back-Door。而且系统本身肯定存在安全漏洞。这些后门和安全漏洞全部将存在重大安全隐患。系统安全程度跟安全配置及系统应用有很大关系,操作系统假如没有采取对应安全配置,则其是漏洞百出,掌握通常攻击技术人全部可能入侵得手。假如进行安全配置,填补安全漏洞,关闭部分不常见服务,严禁开放部分不常见而又比较敏感端口等,那么入侵者要成功进入内部网是不轻易,这需要相当高技术水平及相当长时间。三、应用安全风险分析 应用系统安全包含很多方面。应用系统是动态、不停改变。应用安全性也是动态。这就需要我们对不一样应用,检测安全漏洞,采取对应安全方法,降低应用安全风
7、险。 文件服务器安全风险:办公网络应用通常是共享网络资源。可能存在着职员有意、无意把硬盘中关键信息目录共享,长久暴露在网络邻居上,可能被外部人员轻易偷取或被内部其它职员窃取并传输出去造成泄密,因为缺乏必需访问控制策略。 数据库服务器安全风险:内网服务区布署着大量服务器作为数据库服务器,在其上运行数据库系统软件,关键提供数据存放服务。数据库服务器安全风险包含:非授权用户访问、经过口令猜测取得系统管理员权限、数据库服务器本身存在漏洞轻易受到攻击等。数据库中数据因为意外(硬件问题或软件瓦解)而造成不可恢复,也是需要考虑安全问题。 病毒侵害安全风险:网络是病毒传输最好、最快路径之一。病毒程序能够经过网
8、上下载、电子邮件、使用盗版光盘或软盘、人为投放等传输路径潜入内部网。所以,病毒危害不能够轻视。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短时间内快速扩散,传输到网络上全部主机,可能造成信息泄漏、文件丢失、机器死机等不安全原因。 数据信息安全风险:数据安全对企业来说尤其关键,数据在公网线路上传输,极难确保在传输过程中不被非法窃取、篡改。现今很多优异技术,黑客或部分企业间谍会经过部分手段,设法在线路上做些手脚,取得在网上传输数据信息,也就造成泄密。四、管理安全分析 管理方面安全隐患包含:内部管理人员或职员图方便省事,不设置用户口令,或设置口令过短和过于简单,造成很轻易破解。责任不清,
9、使用相同用户名、口令,造成权限管理混乱,信息泄密。把内部网络结构、管理员用户名及口令和系统部分关键信息传输给外人带来信息泄漏风险。内部不满职员有可能造成极大安全风险。 管理是网络中安全得到确保关键组成部分,是预防来自内部网络入侵必需部分。责权不明,管理混上乱、安全管理制度不健全及缺乏可操作性等全部可能引发管理安全风险。即除了从技术下功夫外,还得依靠安全管理来实现。三 XX企业方案设计 该企业信息安全防护方案和策略关键由以下各部分组成:1.Internet安全接入 采取PIX515作为外部边缘防火墙,其内部用户登录互联网时经过NetEye防火墙,再由PIX映射到互联网。PIX和NetEye之间形
10、成了DMZ区,需要提供互联网服务邮件服务器、Web 服务器等预防在该DMZ区内。该防火墙安全策略以下: (1) 从Internet上只能访问到DMZ内Web服务器80端口和邮件服务器25端口; (2) 从Internet和DMZ区不能访问内部网任何资源; (3) 从Internet访问内部网资源只能经过VPN系统进行。 为了预防病毒从Internet进入内部网,该企业在DMZ区布署了网关防病毒系统。采取Symantec Web Security 3.0防病毒系统,对来自互联网网页内容和附件等信息设定了合理过滤规则,阻断来自互联网多种病毒。2.防火墙访问控制; PIX防火墙提供PAT服务,配置I
11、PSec加密协议实现VPN拨号连接和端到端VPN连接,并经过扩展ACL对进出防火墙流量进行严格端口服务控制。 NetEye防火墙处于内部网络和DMZ区之间,它许可内网全部主机能够访问DMZ区,但DMZ区进入内网流量则进行严格过滤3.用户认证系统; 用户认证系统关键用于处理电话拨号和VPN接入安全问题,它是从完善系统用户认证、访问控制和使用审计方面功效来增强系统安全性。采取思科ACS用户认证系统。在主域服务器上安装Radius服务器,在Cisco拨号路由器和PIX防火墙上配置了Radius用户端。拨号用户和VPN用户身份认证在Radius服务器上进行,用户账号集中在主域服务器上开设。系统中设置了
12、严格用户访问策略和口令策略,强制用户定时更改口令。同时配置了一台VPN日志服务器,统计全部VPN用户访问,而拨号用户访问则统计在Radius服务器中,作为系统审计依据。系统管理员能够依据需要制订用户身份认证策略。4.入侵检测系统; 在系统中关键部位安装基于网络入侵检测系统,能够使得系统管理员能够实时监控网络中发生安全事件,并能立即做出响应。 依据该企业网络应用情况,可在互联网流量汇聚交换机处布署一套CA eTrust Intrusion Detection,它可实时监控内部网中发生安全事件,使得管理员立即做出反应,并可统计内部用户对Internet访问,管理者可审计Internet接入平台是否
13、被滥用。当冲击波病毒爆发时,该系统能够显示出哪些主机感染了病毒而不停地向其它网络主机发出广播包。 企业网络管理员能够依据实际应用环境对IDS进行具体配置,并在实践中依据需要随时调整配置参数。5,网络防病毒系统; 该企业全方面地部署防病毒系统,包含用户机、文件服务器、邮件服务器和OA服务器。 该企业采取McAfee TVD防病毒系统保护用户机和文件服务器安全,用户机天天定时从McAfee服务器经过FTP方法下载并安装最新病毒代码库。 该企业电子邮件系统运行在Domino平台上,采取了McAfee针对Domino数据库病毒过滤模块,对发送和接手邮件附件进行病毒扫描和隔离。6.VPN加密系统; 该企
14、业经过PIX防火墙建立了基于IPSec国际标准协议虚拟专网VPN,采取3DEC加密算法实现了信息在互联网上安全传输。 VPN系统关键用于该企业移动办公职员提供互联网访问企业内网OA系统,同时为企业内网ERP用户访问大股东集团企业SAP系统提供VPN加密连接。 7.网络设备及服务器加固; 该企业网络管理员定时对多种网络设备和主机进行安全性扫描和渗透测试,立即发觉漏洞并采取补救方法。 安全性扫描关键是利用部分扫描工具,包含Retina、X-Scan、SuperScan、LanGuard等,模拟黑客方法和手段,以匿名身份接入网络,对网络设备和主机进行扫描并进行分析,目标是发觉系统存在多种漏洞。 进行
15、渗透测试时,网络管理员预先假设攻击者来自用户内部网,该攻击者在内部网以匿名身份接入网络,起初不含有进入任何系统权限。经过利用扫描阶段发觉系统中安全漏洞,以黑客使用手段对系统进行模拟攻击,最大程度地得到系统控制权。比如,利用Unix系统/bin/login ,无需任何身份验证即可远程非法登录漏洞和priocntl系统调用漏洞,经过缓冲溢出进入系统后进行权限提升,即可取得Root权限。 依据安全扫描和渗透测试结果,网络管理员即可有针对性地进行系统加固,具体加固方法包含: (1) 关闭无须要网络端口; (2)视网络应用情况禁用ICMP、SNMP等协议; (3) 安装最新系统安全补丁; (4) 采取SSH而不是Telnet进行远程登录; (5) 调整当地安全策略,禁用不需要系统缺省服务; (6) 启用系统安全审计日志。 以上方法关键用于防范系统中非法扫描、利用系统漏洞进行缓冲区溢出攻击、拒绝服务攻击、非法远程登录等黑客攻击行为。8.桌面电脑安全管理系统; 该企业采取LANDesk安全管理套件系统来加强对桌面电脑安全管理。该系统关键含有以下功效: 补丁管理是LAN-Desk系统关键功效之一,关键用于修复桌面电脑系统漏洞,避免蠕虫病毒、黑客攻击和木马
