XXXXX公司 網絡安全建設建議方案(一)

2014-12-16 22:06:00
dxt001
原創
1529
摘要:多年以來,點線通一直秉承的是顧問式銷售模式,從不采用抄襲方案,所有方案均由公司資深售前工程師或網絡架構師與用戶溝通后進行設計和編寫。歡迎來電咨詢,獲取專業建議和為您定制的方案。

1.前言


以Internet為代表的全球性信息化浪潮日益深刻,信息網絡技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的如行政部門業務系統、金融業務系統、企業商務系統等。伴隨網絡的普及,安全日益成為影響網絡效能的重要問題,而基于TCP/IP協議的網絡所具有的開放性、自由性在增加應用自由度的同時,對安全提出了更高的要求。如何使信息網絡系統不受黑客、競爭對手和間諜的入侵,已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。

Z局****公司是主要從事山地物探工程技術服務的專業化公司,隸屬于A集團公司Z局,公司機關設在四川省成都市***街。公司下設A事業部、B事業部、C研究中心、D分公司,形成了立足成都,輻射全國的***隊伍。

為了保證整個公司的信息交流、數據共享,公司網絡也隨即延伸到各地。IT業務系統的擴大, 網絡安全的問題就越來越凸現出來。本規劃就是針對****公司已經建成和即將建立的網絡系統,充分考慮網絡系統的擴展性和整體性,就網絡安全問題提出安全總體規劃。


2.目標原則

2.1        建設目標

本次項目主要針對****公司整個網絡,從安全的角度進行總體的設計規劃,通過本項目的建設,重點實現以下的內容:

l嚴格控制網絡內各種訪問,確保合法訪問的正常進行,杜絕非法及越權訪問;

l有效預防、發現、處理異常的網絡訪問,確保****公司網絡正常訪問活動;

l能夠及時發現網絡中存在的安全隱患,便于****公司的網絡管理人員能夠及時給予加固和消除的處理;

l能預防、發現、處理計算機病毒;

l對公司的合法用戶進行授權,并對發起訪問的用戶進行身份鑒別,確保****公司重要的信息資產被合法、授權地訪問;

l確保****公司網絡內重要的文件、數據被合法授權地獲取或修改;

l確保****公司內重要地文件、數據能夠有效地備份及恢復,提高****公司網絡的可用性;

l能夠對信息系統內所發生的與安全有關的事件記錄與審計;

l合理的安全體系架構和管理措施;

l實現網絡系統安全系統的集中管理;

l有較強的擴展性。

2.2        設計原則

網絡系統安全是一個復雜的系統工程,它與網絡規模、結構、通信協議、應用業務程序的功能和實現方式密切相關,一個好的安全設計應該結合現有網絡和業務特點并充分考慮發展需求。針對****公司網絡的實際情況,建議整體安全體系的建設應遵照國家相關要求,在系統建設的過程中,遵循以下的建設原則:

(1)需求、風險、代價平衡分析的原則:

對任一網絡來說,絕對安全難以達到,也不一定必要。對一個網絡要進行實際分析,對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。保護成本、被保護信息的價值必須平衡。

(2)綜合性、整體性原則:

運用系統工程的觀點、方法,分析網絡的安全問題,并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡包括個人、設備、軟件、數據等環節。它們在網絡安全中的地位和影響作用,只有從系統綜合的整體角度去看待和分析,才可能獲得有效、可行的措施。

(3)一致性原則:

這主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網絡的安全需求相一致。

(4)易操作性原則:

安全措施要由人來完成。如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次,采用的措施不能影響系統正常運行。

(5)適應性、靈活性原則

安全措施必須能隨著網絡性能及安全需求的變化而變化,要容易適應、容易修改。

(6)多重保護原則

任何安全保護措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充。當一層保護被攻破時,其它層保護仍可保護信息的安全。

(7)遵循國家有關計算機信息系統安全標準和規定

 在安全技術和安全產品的選擇上參照國家對應的政策和規定,在不與國家有關計算機信息系統安全標準和規定沖突的前提下建立網絡安全體系。 

(8)盡量不影響系統處理性能、網絡性能和拓撲結構

(9)充分利用原有設備資源

對于系統中原來部署的網絡安全設備用充分考慮在新環境下的利用,通過調整老設備的部署位置、規則配置,對網絡安全進一步提高,同時降低安全建設的投資。 

2.3        參考標準

n ISO15408 / GB/T 18336信息技術安全技術信息技術安全性評估準則,第一部分簡介和一般模型;

n ISO15408 / GB/T 18336信息技術安全技術信息技術安全性評估準則,第二部分安全功能要求;

n ISO15408 / GB/T 18336信息技術安全技術信息技術安全性評估準則,第三部分安全保證要求;

國家973信息與網絡安全體系研究G1999035801課題組IATF《信息技術保障技術框架》。


3.安全風險分析

****公司網絡系統的建設,給****公司辦公帶來了極大的便利。同時我們也看到,系統的建設帶來了許多安全風險,****公司網絡下聯很多分公司,必然會受到來自外部或內部的各種攻擊,包括各種攻擊攻擊、信息竊取、病毒入侵和傳播等行為。針對****公司網絡平臺,要保證網絡的整體安全,就必須從分析攻擊的方式入手。攻擊行為一般包括偵聽、截獲、竊取、破譯等被動攻擊和修改、偽造、破壞、冒充、病毒擴散等主動攻擊。針對主動和被動攻擊,通過對****公司平臺的網絡結構和應用系統分析,我們認為,****公司網絡面臨的安全威脅包括:

3.1.網絡層安全風險

網絡層是網絡入侵者進攻信息系統的渠道和通路。許多安全問題都集中體現在網絡的安全方面。大型網絡系統內運行的TPC/IP協議并非專為安全通訊而設計,所以網絡系統存在大量安全隱患和威脅。網絡入侵者一般采用預攻擊探測、竊聽等搜集信息,然后利用IP欺騙、重放或重演、拒絕服務攻擊(SYN FLOOD,PING FLOOD等)、分布式拒絕服務攻擊、篡改、堆棧溢出等手段進行攻擊。

3.1.1.網絡設備存在的安全威脅

在網絡中的重要的安全設備如路由器、三層交換機等有可能存在著以下的安全威脅:(以最常用的路由器為例)

? 路由器缺省情況下只使用簡單的口令驗證用戶的身份,并且遠程TELNET登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護能力。

? 路由器口令的弱點是沒有計數器功能的,所有每個人都可以不限數的嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。

? 每個管理員都可能使用相同的口令,因此,路由器對于誰曾經作過什么修改,系統沒有跟蹤審計能力。

? 路由器實現的動態路由協議存在著一定的安全漏洞,有可能被惡意的攻擊者利用來破壞網絡的路由設置,達到破壞網絡或為攻擊作準備。

? 針對路由器的拒絕服務攻擊或分布式拒絕服務攻擊。

? 發布假路由,路由欺騙,導致整個網絡的路由混亂。

3.1.2.網絡訪問的合理性

網絡的訪問策略是不是合理,訪問是不是有序,訪問的目標資源是否受控等問題,都會直接影響到****公司網絡平臺的穩定與安全。如果存在網絡內訪問混亂,外來人員也很容易接入網絡,地址被隨意使用等問題,將導致網絡難以管理,網絡工作效率下將,無法部署安全設備、對攻擊者也無法進行追蹤審計。

對于****公司網絡平臺來講,嚴格地控制專網內終端設備的操作及使用是非常必要的,例如,一位撥號用戶將會使在網絡邊界的防火墻設備的所有安全策略形同虛設。

3.1.3.TCP/IP協議的弱點

TCP/IP協議是當前互聯網的主流通信協議,已成為網絡通信和應用的實際標準。然而,基于數據流設計的TCP/IP協議自身存在著許多安全漏洞,在Internet發展的早期,由于應用范圍和技術原因,沒有引起重視。但這些安全漏洞正日益成為黑客們的攻擊點。在****公司網上數據傳遞、文件共享等活動中,對TCP/IP網絡服務的任一環節的攻擊,都有可能威脅到用戶機密,都可能使重要的信息,比如重要數據、重要的口令在傳遞過程中遭到竊聽和篡改。因此,針對網絡層安全協議的攻擊將給網絡帶來嚴重的后果。

3.2.信息的存儲安全

信息的存儲安全包括兩層含義:一是信息訪問的可控性,即只有被授權的、安全級別與數據機密性要求一致的用戶才被允許訪問相應的數據。而所有未經授權的用戶,如黑客、未被授權的內部用戶,則不能對信息有任何的操作,包括讀取、刪除、復制等。二是信息內容的隱密性,未經授權的人,即使采用各種手段獲得了數據的訪問權,也無法理解實際的信息內容。這主要通過數據庫加密或各種文件加密來實現。

3.3.傳輸安全的風險

****公司員工需要經常在外地出差,并且需要隨時在差旅途中訪問公司內部的數據。如何保護這些遠程用戶和移動用戶的安全已經成為公司整個網絡安全體系的重要環節。遠程用戶和移動用戶的計算機游離于企業核心網絡安全邊界之外,當這些主機連接到Internet時,極易遭到黑客的攻擊,從而導致數據被竊取、破壞或直接刪除,致使遠程用戶無法正常工作;所以必須保障遠程用戶連接到企業內部網絡時的安全。目前比較成熟的加密技術包括SSL、基于IPSec協議的VPN技術等。

3.4.系統層安全風險

系統層的安全威脅主要從操作系統平臺的安全威脅進行分析:

操作系統安全也稱主機安全,由于操作系統的代碼龐大,從而不同程度上都存在一些安全漏洞。一些廣泛應用的操作系統,如Unix,WindowNT/2000,其安全漏洞更是廣為流傳。另一方面,系統管理員或使用人員對復雜的操作系統和其自身的安全機制了解不夠,配置不當也會造成的安全隱患。操作系統自身的脆弱性將直接影響業務應用系統的安全。

操作系統的安全是****公司網絡平臺數據安全的基礎。各種操作系統之上的應用要想獲得運行的高可靠性和信息的完整性、機密性、可用性和可控性,必須依賴于操作系統提供的系統軟件基礎,任何脫離操作系統的應用軟件的安全性都是不可能的。下面我們將從幾種常用的操作系統的進行分析其安全性:

3.4.1.Windows系統

3.4.2.Windows NT/2000/XP的安全問題

WindowsNT/2000/XP操作系統由于其簡單明了的圖形化操作界面,以及逐漸提高的系統穩定性等因素,正逐步成為政府、企業網絡系統主要的網絡操作系統,并且在企業辦公網絡中占有重要地位。Windows NT/2000/XP系統的安全水平取決于管理員在安裝過程、補丁安裝過程、應用服務配置過程中的安全修養和實際考慮。缺省安裝的WINDOWS NT/2000/XP操作系統的安全問題非常嚴重,它們通常會出現下述安全問題:


?   沒有安裝最新的 Service Pack.

?   沒有關閉不必要的系統服務

?   最新的 SERVICE PACK 沒有解決的安全漏洞

?   缺省安裝的服務程序帶來的各種安全問題

?   系統注冊表屬性安全問題

?   文件系統屬性安全問題

?   缺省帳號安全問題

?   文件共享方面的安全問題

?   其它方面的各種安全問題


3.4.3. Windows 9x 的安全問題

     當前 WINDOWS 9X 操作系統是辦公網絡、網絡管理和監視等的重要組成部分。借助 WINDOWS 95/98 系統中存在的漏洞,攻擊和入侵者可以直接竊取用戶口令、竊取重要數據文件、安裝木馬程序、采用逐漸參透方法入侵其它主機等。一方面,企業人員習慣使用 WINDOWS 9X 系統進行日常的電子通信、文件編輯、資源共享、文件打印、登錄其它主機、瀏覽網頁等;另一方面, WINDOWS 9X 系統的安全問題容易受到忽視而導致安全管理方面的松懈。因此,由此導致的網絡安全威脅不容忽視。 WINDOWS 9X 系統通常存在的安全問題包括以下方面:

?   WINDOWS 9X 系統經常出現的拒絕服務攻擊漏洞

?   IE 瀏覽器出現的各種安全問題

?   WINDOWS 資源共享導致的安全問題

?   電子郵件攜帶的病毒和木馬程序

?   IRC ICQ OICQ 等網絡聯絡工具帶來的安全問題

?   WINDOWS 9X 系統中存在的其它安全問題

3.4.4 . Unix 系統

UNIX 類服務器和工作站由于其出色的穩定性和高性能而成為 **** 公司網絡系統常采用的操作系統,當前承擔著 **** 公司應用的的關鍵任務。缺省安裝的 UNIX 操作系統(以 HP UNIX 為例)會存在以下安全問題:

?   FINGER (泄露系統信息)

?   各類 RPC (存在大量的遠程緩沖區溢出、泄露系統信息)

?   SENDMAIL (許多安全漏洞、垃圾郵件轉發等)

?   NAMED (遠程緩沖區溢出、拒絕服務攻擊等)

?   SNMP (泄露系統信息)

?   操作系統內核中的網絡參數存在許多安全隱患( IP 轉發、堆棧參數等)

?   存在各種緩沖區溢出漏洞

?   存在其它方面的安全問題

3.5. 應用層安全風險

應用安全是指用戶在網絡上的應用系統的安全,包括 OA 平臺、各種應用系統、 WEB FTP 、郵件系統、 DNS 等網絡基本服務、業務系統、辦公自動化系統、公文交換系統等。應用層安全的解決目前往往依賴于網絡層、操作系統、數據庫的安全,由于應用系統復雜多樣,沒有特定的安全技術能夠完全解決一些特殊應用系統的安全問題。但一些通用的應用程序,如 Web Server 程序, FTP 服務程序, E-mail 服務程序,瀏覽器, MS Office 辦公軟件等這些應用程序自身的安全漏洞和由于配置不當造成的安全漏洞會導致整個網絡的安全性下降。

3.5.1. Web 服務器安全風險

?   服務器崩潰,各種 WEB 應用服務停止

?   WEB 服務腳本的安全漏洞,遠程溢出 (.Printer 漏洞 )

?   通過 WEB 服務獲取系統的超級用戶特權

?   WEB 頁面被惡意刪改

?   通過 WEB 服務上傳木馬等非法后門程序,以達到對整個服務器的控制

?   WEB 服務器的數據源被非法入侵,用戶的一些私有信息被竊

?   利用 WEB 服務器作為跳板,進而攻擊內部的重要數據庫服務器

?   拒絕服務攻擊或分布式拒絕服務攻擊

?   針對 IIS 攻擊的工具,如 IIS Crash

?   各種網絡病毒的侵襲,如 Nimda,Redcode II

?   惡意的 JavaApplet,Active X 攻擊等

?   WEB 服務的某些目錄可寫

?   CGI-BIN 目錄未授權可寫,采用默認設置,一些系統程序沒有刪除

3.5. 2. FTP 服務器安全風險

?   匿名登錄,非法訪問未授權資源

?   FTP 不同版本存在的安全漏洞

?   拒絕服務

?   FTP 暴力破解

?   惡意用戶名與密碼的猜測

?   FTP 權限可寫

?   用戶上傳惡意代碼,含毒文件等

3.5.3. E-mail 服務器安全風險

?   郵件病毒

?   郵件炸彈

?   惡意代碼

?   拒絕服務

?   垃圾郵件

?   郵件服務軟件本身的漏洞

3.5.4. 應用系統安全風險

?   源程序中存在的 BUG

?   源程序中出于程序調試的方便,人為設置許多“后門”

?   應用系統自身很弱的身份認證

?   應用系統的用戶名和口令以明文方式被傳遞,容易截獲

?   各種可執行文件成為病毒的直接攻擊對象

3.5.5. 數據庫安全風險

**** 公司許多關鍵的業務系統運行在數據庫平臺上,如果數據庫安全無法保證,其上的應用系統也會被非法訪問或破壞。數據庫安全隱患集中在:

?   系統認證:口令強度不夠,過期帳號,登錄攻擊等

?   系統授權:帳號權限不當,登錄時間超時等

?   系統完整性:特洛伊木馬,審核配置,補丁和修正程序等

?   數據丟失,操作日志被刪除

?   沒有采用數據冗余備份

?   數據庫系統自身的 BUG

?   沒有打最新的數據庫系統的補丁

?   選擇了不安全的默認配置

4. 用戶分析

4.1. 安全需求分析

通過對 **** 公司網絡的脆弱性和風險的分析,可以看到,網絡的安全建設目前還比較簡單,存在著較多的安全隱患,綜合安全風險分析,我們認為 **** 公司網絡主要存在以下五個方面的安全需求:

4.1.1. 邊界防護的需求

通過邊界保護,可以有效規避大部分網絡層安全威脅,并降低系統層安全威脅對 **** 公司網絡的影響,通過嚴格規范 **** 公司網絡內的數據傳輸及應用,防范不同網絡區域之間的非法訪問和攻擊,確保 **** 公司網絡各個區域的有序訪問。一般來說邊界防護采用的主要技術包括防火墻技術,入侵檢測技術等。

4.1.1.1. 防火墻 技術

防火墻是實現網絡邏輯隔離的首選技術,防火墻一般利用 IP TCP 包的頭信息對進出被保護網絡的 IP 包信息進行過濾,能根據用戶的安全政策來控制(允許、拒絕、監測)出入網絡的信息流。同時可實現網絡地址轉換( NAT )、審記與實時告警等功能。由于防火墻安裝在被保護網絡與路由器之間的通道上,因此也對被保護網絡和外部網絡起到隔離作用。

防火墻可以通過包過濾,進行基于地址的粗粒度訪問控制,同時,還可以通過口令認證對用戶身份進行鑒別,既而實現基于用戶的細粒度訪問控制。

防火墻在網絡入口點檢查網絡通信,屏蔽非法侵入,其安全作用體現于:

?   有效地控制進出不同網絡區域的訪問;

?   控制進出不同網絡區域的信息流向和信息包;

?   提供使用和流量的日志和審計;

?   隱藏內部 IP 地址及網絡結構的細節。

正確地配置和使用防火墻。防火墻功能正確實施的關鍵是其安全策略的配置和管理。


針對 **** 公司網絡的具體情況和行業特點,我們得到的防火墻的需求包括以下幾個方面:

l   訪問控制

防火墻必須能夠實現網絡邊界的隔離,具有基于狀態檢測的包過濾功能,能夠實現針對源地址、目的地址、網絡協議、服務、時間、帶寬等的訪問控制,能夠實現網絡層的內容過濾,支持網絡地址轉換等功能。

l   高可靠性

由于防火墻是網絡中的重要設備,意外的宕機都會造成網絡的癱瘓,因此防火墻必須是運行穩定,故障率低的系統,并且要求能夠實現雙機的熱備份,實現不間斷的服務。

l   日志和審計

要求防火墻能夠對重要關鍵資源的使用情況應進行有效的監控,防火墻系統應有較強的日志處理能力和日志分析能力,能夠實現日志的分級管理、自動報表、自動報警功能,同時希望支持第三方的日志軟件,實現功能的定制。

l   身份認證

防火墻本身必須支持身份認證的功能,在簡單的地方可以實現防火墻本身自帶數據庫的身份認證,在大型的情況下,可以支持與如 RADIUS 等認證服務器的結合使用。

l   集中管理

**** 公司網絡平臺是一個大型的網絡,防火墻分布在網絡的各處,所以防火墻產品必須支持集中的管理,安全管理員可以在一個地點實現對防火墻的集中管理,策略配置,日志審計等等。

l   高安全性

作為安全設備,防火墻本身必須具有高安全性,本身沒有安全漏洞,不開放不必要的服務,可以抵抗各種類型的攻擊。

l   高性能

作為網絡的接入設備,防火墻必須具有高性能,不影響原有網絡的正常運行。

l   可擴展性

系統的建設必須考慮到未來發展的需要,系統必須具有良好的可擴展性和良好的可升級性。

l   易實現性

系統的安裝、配置與管理盡可能的簡潔,安裝便捷、配置靈活、操作簡單。

4.1.1.2. 入侵檢測 技術



利用防火墻技術,經過仔細的配置,通常能夠在內外部之間提供安全的網絡保護,降低了網絡安全風險,但是入侵者可尋找防火墻背后可能敞開的后門,或者入侵者也可能就在防火墻內。

網絡入侵檢測系統( IDS )位于有敏感數據需要保護的網絡上,通過實時偵聽網絡數據流,尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規行為和未授權的網絡訪問時,網絡監控系統能夠根據系統安全策略做出反應,包括實時報警、事件登錄,或執行用戶自定義的安全策略等。

入侵檢測系統可以部署在網絡中的核心,我們建議在中心交換機部署入侵檢測探測器,在內網部署監視器,通過探測器監視并記錄該網段上的所有操作,有效防止非法操作和惡意攻擊。同時,網絡監視器還可以形象地重現操作的過程,可幫助安全管理員發現網絡安全的隱患。


需要說明的是,入侵檢測系統( IDS )是對防火墻的非常有必要的附加而不僅僅是簡單的補充。

適當配置的防火墻可以將非預期的信息屏蔽在外,然而防火墻為提供一些級別獲取權的通道可能被偽裝的攻擊者所利用。

FTP (獲得 FTP ROOT );合法的服務通道,如 UNICODE 攻擊, SQL Server 空口令攻擊等;這些攻擊都能獲得系統的超級用戶的權限。防火墻不能制止這種類型的攻擊,而入侵檢測( IDS 卻能夠制止,它能夠檢測并終止這種類型的攻擊行為。

同時,入侵檢測系統能夠與防火墻聯動工作,當入侵檢測系統偵聽到網絡中的異常行為時,及時通知防火墻加以阻斷,更好的保障系統的邊界安全。

針對 **** 公司網絡的具體情況和行業特點,我們得到的入侵檢測的需求包括以下幾個方面:

l   入侵檢測要求

能夠對攻擊行為進行檢測,是對入侵檢測設備的核心需求,要求可以檢測的種類包括:異常行為檢測(包括針對各種服務器的攻擊等)、可移動存儲設備檢測、撥號上網檢測等等。

l   性能要求

由于邊界網絡的入侵檢測需要監視的數據量相對較大,對性能的要求可以大大的減少 IDS 的漏報率和誤報率,性能上要求入侵檢測設備可以處理的最大網絡流量在百兆網絡環境中不低于 90M ,千兆網絡環境中不低于 850M

l   自身安全性要求

作為網絡安全設備,入侵檢測系統必須具有很高的安全性,配置文件需要加密保存,管理臺和探測器之間的通訊必須采用加密的方式,探測器要可以去除協議棧,并且能夠抵抗各種攻擊。

l   日志審計要求

系統能對入侵警報信息分類過濾、進行統計或生成報表。對客戶端、服務器端的不同地址和不同服務協議的流量分析。可以選擇不同的時間間隔生成報表,反映用戶在一定時期內受到的攻擊類型、嚴重程度、發生頻率、攻擊來源等信息,使管理員隨時對網絡安全狀況有正確的了解。可以根據管理員的選擇,定制不同形式的報表。

l   實時響應要求

當入侵檢測報警系統發現網絡入侵和內部的違規操作時,將針對預先設置的規則,對事件進行實時應急響應。根據不同級別的入侵行為能做出不同方式告警,用以提醒管理人員及時發現問題,并采取有效措施,控制事態發展。報警信息要分為不同的級別:對有入侵動機的行為向用戶顯示提示信息、對嚴重的違規現象實行警告通知、對極其危險的攻擊可通過網管或者互動防火墻進行及時阻斷、以及向安全管理中心報告。另外,必須在基于規則和相應的報警條件下,對不恰當的網絡流量進行攔截。

l   服務要求

入侵檢測系統必須提供全面的服務,入侵特征庫的升級必須要及時,并且要提供對入侵檢測報表的分析幫助。

4.1.1.3. 過濾網關技術

傳統的防病毒解決方案主要是基于單機或服務器的方式,是一種被動的解決方案。每當出現新的病毒,管理員往往會發現他們分身乏術,需要確保網絡中的每臺 PC 機、筆記本和服務器等都升級到了最新的病毒庫。這種做法往往存在很多問題:

?   用戶通常不是很清楚這些防病毒軟件的選項,可能會沒有選擇正確的選項,容易造成網絡中存在沒有受到保護的節點。

?   由于防病毒軟件易造成整個計算機系統的性能下降,用戶可能會在病毒泛濫前已經關閉防病毒軟件,相關調查表明這類用戶不在少數。一旦病毒泛濫,網絡中只要存在任何一個沒有采用正確防毒措施的電腦,都可能感染網絡病毒,進而造成整個網絡的癱瘓。

過濾網關技術是傳統網絡防病毒的有力補充,通過在網關部位部署過濾網關,能夠起到以下的作用:

?   阻斷病毒于網絡入口處,保證內部安全。網關防御可以部署在網絡的入口,通過掃描進入網絡的數據,確保進入網絡的數據是安全的,從而可以阻斷病毒于網絡入口處,保證內部網絡的安全。

?   基于內容的攻擊越來越普遍,網絡的高速發展也使病毒傳播越來越容易。采用網關防御方案,通過掃描網絡中傳輸的數據,主動地發現網絡病毒,從而阻止網絡病毒的傳播,并為網絡管理員提供主動的網絡病毒報告,提供更豐富的網絡信息支持。

?   公司間的網上往來越來越頻繁,可能導致更加頻繁的病毒攻擊,電子郵件已成為常用的交流手段之一。網關防御方案是目前解決病毒攻擊和垃圾郵件攻擊的最佳手段之一。

針對 **** 公司網絡系統,對于過濾網關的需求主要包括以下幾個方面:

?   支持透明接入

采用的過濾網關應該采用即插即用的部署方式,在接入網絡時不需要改動現有網絡的任何設置。一旦部署的位置被確定(參考部署選項),只需要連接上網線,開啟電源就可以進行掃描。方便 **** 公司網絡網絡管理人員的使用;

?   支持高速掃描

對于 **** 公司網絡來講,系統的可用性和安全性是同樣重要的,這就要求部署的過濾網關必須支持高速掃描,不會造成帶寬的瓶徑;

?   多協議支持

部署的過濾網關應該支持多種協議,對于 **** 公司網絡,要求過濾網關必須支持常見的 SMTP POP3 HTTP FTP IMAP 。管理員還可以針對每個協議設置高級選項,包括:清除病毒、刪除文件、隔離病毒或是記錄日志的方式來處理病毒。而且還可以在相應的協議中設置一些附加功能,如對關鍵字的過濾,對特定文件類型的掃描和過濾等功能。

?   易于管理

過濾網關必須具有良好的易用性,便于 **** 公司網絡網絡管理員進行管理,管理員可以從遠程有效地對其進行管理,并且可以將相應的病毒日志、流量日志以及系統日志發送到管理員預先配置的郵箱。

?   詳細的報告

過濾網關必須提供詳細的報告,能夠按照 **** 公司網絡網絡管理員配置的參數查詢相關的數據生成報表。

?   過濾垃圾郵件

過濾網關除了過濾病毒以外,還能夠支持垃圾郵件的過濾。保證 **** 公司網絡網絡不受垃圾郵件的干擾。

4.2. 系統加固的需求

一般來講,安全的威脅主要來自于系統的弱點,針對 XX 省政府平臺網絡中存在的安全隱患,很容易成為內部用戶或外部非法入侵者進行攻擊的對象,因此,有必要對其進行分析,發現存在的隱患或弱點后進行修補。同時還要設法提高整體網絡的抗病毒能力,確保 XX 省政府平臺不受到病毒的侵害,從而降低系統層、應用層的安全威脅。一般來說系統加固采用的主要技術包括安全掃描技術和防病毒技術。

4.2.1. 安全掃描技術

安全掃描系統是現階段最先進的系統安全評估技術,該系統能夠測試和評價系統的安全性,并及時發現安全漏洞。

漏洞檢測和安全風險評估技術,因其可預知主體受攻擊的可能性,并具體指出將要發生的行為和產生的后果,而受到網絡安全業界的重視。這一技術的應用可幫助識別檢測對象的系統資源,分析這一資源被攻擊的可能指數,了解支撐系統本身的脆弱性,評估所有存在的安全風險。


   XXXXX公司 網絡安全建設建議方案(二) 待續...

發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富