《网络安全解决方案培训资料.docx》由会员分享,可在线阅读,更多相关《网络安全解决方案培训资料.docx(40页珍藏版)》请在三一办公上搜索。
1、天创半导体公司内部网络安全解决方案JISHUBU网络安全重点图书信利半导体公司内网安全解决方案权威安全指导目录天创半导体公司内部网络安全解决方案1第一章 引言2第二章 网络信息安全概况2(1)网络安全2(2)网络安全的威胁来自哪些方面?3(3)不安全造成的危害有多大?3(4)系统的安全应具备那些功能?4(5)防火墙系统的安全设置问题5(6)安全隐患5第三章 网络安全方案总体设计6(1)安全方案设计原则6(2)安全服务、机制与技术7(3)网络安全体系结构7第四章 天创半导体公司安全需求13(1)当前网络现状分析13(2)客户需求13(3)实施目标14第五章 产品综述14(1)安氏LinkTrus
2、tTM CyberWall防火墙14(2)eTrust入侵检测系统15(3)KSG邮件过滤网关18第六章 实施方案24(1)优化方案24(2)设备安装26(3)规则配置27(4)网络安全管理员培训27(5)网络安全审核27第七章 产品类别、报价与售后服务27(1)产品类别27天创半导体公司内部网络安全解决方案目录:第一章 引言二十一世纪是信息化世纪,随着Internet的迅猛发展,信息共享的程度进一步提高,数字信息越来越深入的影响着社会生活的各个方面,而网络上的信息安全问题也日益突出。目前政府部门、金融部门、医疗、企事业单位和个人都日益重视这一重要问题。大、中型企业如何保护信息安全和网络安全,
3、最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响,是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。网络的飞速发展推动社会的发展,大批用户借助网络极大地提高了工作效率,创造了一些全新的工作方式,尤其是因特网的出现更给用户带来了巨大的方便。但另一方面,网络,特别是因特网存在着极大的安全隐患。近年来,因特网上的安全事故屡有发生。连入因特网的用户面临诸多的安全风险:拒绝服务、信息泄密、信息篡改、资源盗用、声誉损害等等。类似的风险也存在于其它的互联网络中。这些安全风险的存在阻碍了计算机网络的应用与发展。在网络化、信息化的进程不可逆转的形势下,建立安全可靠的网络信息
4、系统是一种必然选择。一个系统的安全性可从三个层次考虑:第一层是存放数据资源的服务器组;第二层是传输数据的网络;第三层是需要访问数据的客户机。对于一个与互联网相连的网络,首先要防止来自外部的恶意攻击,同时还要保证系统内部所有计算机的不受病毒侵扰,能够数据系统正常应用。第二章 网络信息安全概况(1)网络安全计算机安全事业始于本世纪60年代末期,由于当时计算机的速度和性能较落后,使用的范围也不广,再加上美国政府把它当作敏感问题而施加控制,因此,有关计算机安全的研究一直局限在比较小的范围内。进入80年代后,计算机的性能得到了成百上千倍的提高,应用的范围也在不断扩大,计算机已遍及世界各个角落。并且,人们
5、利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但是,随之而来并日益严峻的问题就是计算机信息的安全问题。由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。计算机安全的内容应包括两方面:即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。一个系统存在的安全问题可能主要来源于两方面:或者是安全控制机构有故障;或者是系统安全定义有缺陷。(2)网络安全的威胁来自哪些方面?由于大型网络系统内运行
6、多种网络协议(TCP/IP, IPX/SPX, NETBEUI),而这些网络协议并非专为安全通讯而设计。所以,网络系统网络可能存在的安全威胁来自以下方面:操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。采用的TCP/IP协议族软件,本身缺乏安全性。未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。应用服务的安全,许多应用服务系统在访
7、问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。(3)不安全造成的危害有多大?根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1,70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部;只有17%的公司愿意报告黑客入侵,其他的由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织损失USD$402,000。 入侵的来源:首先是内部心怀不满的员工;其次为黑客;另外还有竞争者。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息,窃取用户的口令、应用数据库中的重要数据;
8、还可以篡改数据库内容,伪造用户身份,信任自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。黑客的威胁见诸报道的已经屡见不鲜,象贵州省城热线、成都艺术节主页等都报道有黑客入侵,他们在主页上发布反动口号,或将主页修改成黄色画面。受到此类攻击对于政府部门,大型企业而言影响是尤为恶劣的。前段时间美国微软公司遭黑客攻击事件就是由于它的内外网隔离存在漏洞,使得黑客成功窃取它的软件源代码等机密资料,严重威胁到企业的声誉。这样的例子举不胜举,网络安全建设已经迫在眉睫了。(4)系统的安全应具备那些功能?与其它安全体系(如保安系统)类似,网络应用系统的安全体系应包含:访问控制通过对
9、特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。攻击监控通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。加密通讯主动的加密通讯,可使攻击者不能了解、修改敏感信息。认证良好的认证体系可防止攻击者假冒合法用户。备份和恢复良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。多层防御攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。隐藏内部信息使攻击者不能了解系统内的基本情况。(5)防火墙系统的
10、安全设置问题近年来大家如果提到网络信息安全,可能最为熟识的可能就是防火墙系统。它不失为一种在内部网和外部网之间实施的信息安全防范系统,这种计算机网络互联环境下的访问控制技术,通过监测、限制、更改跨越防火墙的数据流,可以有效地对外屏蔽被保护网络的信息,从而对系统结构及其良性运行等实现安全防护。因此,许多管理员认为,计算机网络装上防火墙,就可以“高枕无忧”、“万事大吉 ”了。其实,这是一种片面的错误认识和十分令人担心的危险想法。因为防火墙并不是万能的,它的技术不可能一劳永逸和真正达到“万无一失”,它的“权力 ”是有限的,在计算机网络上,它也有“管不着”、“管不了”的地方,或者说也有许多“难言之隐”
11、。A防内不防外。现在在市面上比较流行的防火墙大都是边界防火墙,它们在网络的边界上进行外部网络和内部网络的划分,并进行一定程度的安全防范。而这些防火墙一般只对来自外部网络进行防范。如果入侵者绕过了防火墙或内部攻击者将能在内部网络畅行无阻,肆意攻击。B不能防止数据驱动式攻击防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据通过邮寄或拷贝到内部网的主机上并被执行时,就会发生数据驱动式的攻击。C不能防止非法通道的出现防火墙不能防止非法通道的出现,如果在内部网络有人使用猫或其他设备通过其他的方法接入互联网,那么防火墙将不能防止此类问题的出现。D不能防止DD.o.S攻击防火墙本身就是一种网络设备,
12、当超大流量的数据通过它的时候,它同样有可能来不及处理各种数据而造成拒绝服务攻击。而且安全策略越多,造成拒绝服务的可能性就越大。E防火墙自身漏洞防火墙同样是一种运行在硬件上的软件产品(不管是硬件防火墙还是软件防火墙),而软件就一定不可避免的出现一些问题,也会带来安全问题。世界上最出名的各种防火墙本身都出现过安全问题。(6)安全隐患对于计算数据而言存在众多的隐患,如病毒的破坏,计算机存储设备损坏造成的数据丢失,人为操作造成的误删除,外来及内部人员的攻击等;给企业数据信息安全造成了重大的威胁。第三章 网络安全方案总体设计(1)安全方案设计原则 在对这个企业局域网网络系统安全方案设计、规划时,应遵循以
13、下原则: 综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。 需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是
14、必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。 一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。 易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,
15、本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。 分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。 多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。 可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。 (2)安全
16、服务、机制与技术 安全服务:安全服务主要有:控制服务、对象认证服务、可靠性服务等; 安全机制:访问控制机制、认证机制等; 安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。 (3)网络安全体系结构 通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理 物理
17、安全 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面: 环境安全对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求 设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等; 媒体安全包括媒体数据的安全及媒体本身的安全。 在网络的安全方面,主要考虑两个大的层次,
18、一是整个网络结构成熟化,主要是优化网络结构,二是整个网络系统的安全。 网络结构 安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。 网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。网络结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。 网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火
19、墙的设置和入侵检测的实时监控等。 网络系统安全 访问控制及内外网的隔离 访问控制 访问控制可以通过如下几个方面来实现:制订严格的管理制度:可制定的相应:用户授权实施细则、口令字及帐户管理规范、权限管理制度。 配备相应的安全设备在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。 防火墙主要的种类是包过滤型,包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NA
20、T)、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。 防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。 内部网不同网络安全域的隔离及访问控制 在这里,主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,
21、或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。 网络安全检测 网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞。 网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。检测工具应具备以下功能:具备网络监控、分析和自动响应功能 找出经常发生问题的根源所在; 建立
22、必要的循环过程确保隐患时刻被纠正;控制各种网络安全危险。漏洞分析和响应配置分析和响应漏洞形势分析和响应认证和趋势分析具体体现在以下方面:防火墙得到合理配置内外WEB站点的安全漏洞减为最低网络体系达到强壮的耐攻击性 各种服务器操作系统,如E_MIAL服务器、WEB服务器、应用服务器、,将受黑客攻击的可能降为最低对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人员误操作的侵害 审计与监控 审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于去定
23、问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。 因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。 网络防病毒 由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。 网络反病毒技术包括预防病毒、检
24、测病毒和消毒三种技术: A预防病毒技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒软件等)。 B检测病毒技术:它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。 C清除病毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。 网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。 所选的防毒软件应该构造全网统一的防
25、病毒体系。主要面向MAIL 、Web服务器,以及办公网段的PC服务器和PC机等。支持对网络、服务器、和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对Internet/ Intranet服务器的病毒防治,能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对
26、该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。 网络备份系统 备份系统为一个目的而存在:尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场点内高速度、大容量自动的数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。 在确定备份的指导思想和备份方案之后,就要选择安全的存储媒介和技术进行数据备份,有“冷备份
27、”和“热备份”两种。热备份是指“在线”的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。“冷备份”是指“不在线”的备份,下载的备份存放到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装,有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大,但调用快,使用方便,在系统恢复中需要反复调试时更显优势。热备份的具体做法是:可以在主机系统开辟一块非工作运行空间,专门存放备份数据,即分区备份;另一种方法是,将数据备份到另一个子系统中,通过主机系统与子系统之间的传输,同样具有速度快
28、和调用方便的特点,但投资比较昂贵。冷备份弥补了热备份的一些不足,二者优势互补,相辅相成,因为冷备份在回避风险中还具有便于保管的特殊优点。 系统安全 系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略: 对操作系统进行安全配置,提高系统的安全性;系统内部调用不对Internet公开;关键性信息不直接公开,尽可能采用安全性高的操作系统。 应用系统在开发时,采用规范化的开发过程,尽可能的减少应用系统的漏洞; 网络上的服务器和网络设备尽可能不采取同一家的产品; 通过专业的安全工具(安全检测系统)定期对网络进行安全评估。 信息安全 在这个企业的局
29、域网内,信息主要在内部传递,因此信息被窃听、篡改的可能性很小,是比较安全的。 应用安全 在应用安全上,主要考虑通信的授权,传输的加密和审计记录。这必须加强登录过程的认证(特别使在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。另外,在加强主机的管理上,除了上面谈的访问控制和系统漏洞检测外,还可以采用访问存取控制,对权限进行分割和管理。应用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。对应用安全,主要考虑确定不同服务的应用软件并紧密注视其Bug ;对扫描软件不断升级。 安全管理 为了保护网络的安全性,除了在网
30、络设计上增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管理规范来实现,另一方面从技术上建立高效的管理平台(包括网络管理和安全管理)。安全管理策略主要有:定义完善的安全管理模型;建立长远的并且可实施的安全策略;彻底贯彻规范的安全防范措施;建立恰当的安全评估尺度,并且进行经常性的规则审核。当然,还需要建立高效的管理平台。 安全管理规范 面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全管理规范的建立,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网
31、络安全所必须考虑的基本问题,所以应引起各计算机网络应用部门领导的重视。 A安全管理原则 网络信息系统的安全管理主要基于三个原则。 多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。具体的活动有: 访问控制使用证件的发放与回收; 信息处理系统使用的媒介发放与回收; 处理保密信息; 硬件和软件的维护; 系统软件的设计、实现和修改; 重要程序和数据的删除和销毁等; 任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有
32、限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。 职责分离原则:在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面每组内的两项信息处理工作应当分开。 计算机操作与计算机编程; 机密资料的接收和传送; 安全管理和系统管理; 应用程序和系统程序的编制; 访问证件的管理与其它工作; 计算机操作与信息处理系统使用媒介的保管等。 B安全管理的实现 信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作是: 根据工作的重要程
33、度,确定该系统的安全等级 根据确定的安全等级,确定安全管理的范围 制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理制订严格的操作规程 操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。 制订完备的系统维护制度 对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。 制订应急措施 要制定系统在紧急情况下,如何尽快恢复的应急措施,使损
34、失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整响应的授权。 网络管理 管理员可以在管理机器上对整个内部网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器进行综合管理,同时利用安全分析软件可以从不同角度对所有的设备、服务器、工作站进行安全扫描,分析他们的安全漏洞,并采取相应的措施。 安全管理 安全管理的主要功能指对安全设备的管理;监视网络危险情况,对危险进行隔离,并把危险控制在最小范围内;身份认证,权限设置;对资源的存取权限的管理;对资源或用户动态的或静态的审计;对违规事件,自动生成报警或生成事件消息;口令管理(如操作员的口令鉴权),对无权操作人员进行控制;密钥管
35、理:对于与密钥相关的服务器,应对其设置密钥生命期、密钥备份等管理功能;冗余备份:为增加网络的安全系数,对于关键的服务器应冗余备份。安全管理应该从管理制度和管理平台技术实现两个方面来实现。安全管理产品尽可能的支持统一的中心控制平台。第四章 天创半导体公司安全需求(1)当前网络现状分析当前天创公司已经实施了INTERNET入口的防火墙隔离,MAIL服务器通过DMZ区与内网隔离,但由于单位的网络需要扩展问题,存在着防火墙端口不够用的情况,且对于采用低性能的防火墙于网络将造成很大的网络通信瓶颈,为此我们决定使用六端口的千兆型防火墙来解决这个问题。从上图可以看到,由于是暴露在DMZ区,所以MAIL服务器
36、在应用层安全问题是没有保证的(垃圾邮件、邮件病毒随时都可以通过防火墙传入MAIL服务器);目前内网的拓扑是采用对外全封闭但对内全开放的格局而工作的,换言之对于内网的攻击是完全没有免疫功能的。(2)客户需求A需要有六个端口,支持VPN。B需要能监控员工的上网数据。例如,我为某位员工开80端口让其能上网,他能正常浏览网页,但不能下载某些特定格式的文件,如:*.mp3,*.rm。C能够防止员工使用P2P软件进行文件传输,能监控员工发送的E-MAIL。D因有MAIL服务器,防火墙能自动侦测到某个IP长时间连接MAIL服务器,而自动禁止此IP一段时间后自动恢复。时间及规则可由用户在防火墙上设置的。(3)
37、实施目标启用防火墙的VPN功能通过PPTP对网络进行VPN服务与管理;在防火墙处启用URL过滤,禁止员工访问(下载)*.mp3、*.rm文件;通过相关的包过滤规则防止员工在内网使用特定的工具进行文件传输;配置过滤网关的邮件处理规则对客户端进行相应的管理,达到优化MAIL服务的效果。第五章 产品综述(1)安氏LinkTrustTM CyberWall防火墙安氏领信防火墙是亚洲最大的信息安全实验室“IS-One Security Lab”成功推出的最新一代防火墙,产品迅速获得国家认证,被中国人民银行评选为金融系统指定防火墙产品之一,并且在第21届世界大学生运动会,上海APEC会议上大显身手。领信防
38、火墙的设计理念从“顶尖技术+人性化”出发,充分考虑防火墙的五大要素:功能、性能、管理能力、易用性和配置,体贴用户的真正安全需求。领信防火墙采用专门设计的安全操作系统LTOS和专用搭载平台,提供高度可靠性和可用性。利用安氏安全实验室申请专利LinkTrust Polling技术,提升防火墙的吞吐速度,达到内核级安全代理机制,是国内唯一在线速状态下工作的最新一代防火墙。安氏安全实验室采用多种先进数据加密算法,最大限度提高VPN吞吐量。领信防火墙具有业界唯一的端口流量镜像功能,实现与世界最先进入侵检测系统互动;并为用户提供友好Web管理界面、命令行管理界面和LCD界面。领信防火墙的特色包括:状态检测
39、包过滤技术;多种服务的内核级安全代理;全面的网络地址翻译(NAT);IPsec VPN和拨号VPN;高可靠性(HA);支持流量管理;内容安全过滤;多种用户认证方案;完整日志、审计,告警和统计模块;抗DOS攻击能力(支持SYN Proxy);内嵌入侵检测能力;支持多个ISP接入的负载均衡解决方案;支持诡异木马的抵御;对ICMP攻击免疫,基于时间的对象访问控制;支持按策略与IDS协作。SmartProtector的主要功能为:基于协议分析和攻击特征分析技术,检测并阻断防火墙无法防止的攻击,与防火墙互动修改相应的防火墙规则,同时通过控制台报警。SmartProtector可以检测包括:拒绝服务、端口
40、扫描、Web IIS、Web Apache、DNS、在内的两百多种攻击。每个攻击特征都符合CVE标准,并且支持在线升级。用户还可以自定义检测策略模板,紧密结合特有安全的领信操作系统LTOS,拥有超负载保护能力。用户还可以随时从安氏站点()下载最新的攻击特征。 关于SmartProtector的推出,安氏公司产品市场总监应向荣强调:“SmartProtector的产生基于两个层面考虑,融合安氏在入侵检测(IDS)技术的多年雄厚积累,为LinkTrustTM CyberWall提供增强功能模块。增加SmartProtector功能的领信防火墙为特定需求用户群提供了业界领先的一站式安全防御系统,特别
41、适合企业上网工程,行业网络广域连接防护等等应用。但流探测器SmartProtector不能取代专门的入侵检测系统,它以不牺牲防火墙和VPN的性能为前提,检测并响应“严重的”攻击手法,配合防火墙以及专门的IDS系统,为企业提供更加强大的防护体系。用户在购买LinkTrustTM CyberWall时可以选择是否增加SmartProtector功能”。“现在安全问题变得越来越复杂,攻击手法层出不穷,而且更新很快,这要求安全管理员作出防范反应越来越迅速,在防火墙上增加入侵检测模块,就是为了增强响应时间,特别是在解决类似“红色代码”,“尼姆达”这类突发性极大的将网络蠕虫、计算机病毒、木马程序合为一体的
42、攻击手法时,将发挥相当大的作用”。安氏公司防火墙产品经理张强进一步解释,“当SmartProtector检测到攻击时,可以阻断并且传递给领信防火墙,修改防火墙的安全规则,同时领信防火墙阻断已经建立的攻击连接。通过一个基于WEB的友好、简洁明了的用户界面,安全管理员不仅可以配置该SmartProtector的攻击特征模板,还可以通过提供的链接,了解到更多关于攻击的资料以及如何配置相应的系统设备来防御攻击”。每个检测到的攻击,将会通过日志告警与邮件告警方式通知管理员,同时为SmartProtector定制了专门的审计日志数据结构包含:攻击时间、源地址、目的地址、源端口、目的端口、攻击名称。(2)e
43、Trust入侵检测系统解决方案网络入侵检测(eTrust Intrusion Detection)网络入侵检测(eTrust Intrusion Detection)解决方案通过自动检测网络数据流中潜在入侵、攻击和滥用方式,提供了先进的网络保护功能。例如,网络入侵检测(eTrust Intrusion Detection)软件可以检测到拒绝服务型攻击,并且在服务器及业务受到影响前按照预先定义的策略采取相应的行动。 网络入侵检测(eTrust Intrusion Detection)软件还可以大大减少管理和保障网络安全所需的培训时间。通过以上措施,网络入侵检测(eTrust Intrusion
44、Detection)软件可以帮助用户深入了解整体安全性以及网络内部的运行情况(例如,它可以给出违反策略的数量及其来源的详细统计报表。)网络访问控制网络入侵检测(eTrust Intrusion Detection)软件以规则为基础,定义哪些用户可以访问网络上的特定资源,保证只有授权用户才可以访问网络资源。高级防病毒引擎病毒扫描引擎可以检测和阻止包含了计算机病毒的网络数据流。它可以防止用户下载被病毒感染的文件。新的和升级的病毒特征文件可以从冠群金辰站点获得。全面的攻击方式库网络入侵检测(eTrust Intrusion Detection)软件可以自动检测网络数据流中的攻击方式,即使正在进行之中
45、的攻击也能检测。定期更新的攻击特征文件可以从冠群金辰站点获得,从而保证了网络入侵检测(eTrust Intrusion Detection)总是最新。信息包嗅探技术网络入侵检测(eTrust Intrusion Detection)软件以秘密方式运行,使攻击者无法感知到。黑客常常在没有察觉的情况下被抓获,因为他们不知道他们一直受到密切监视。URL限制管理员可以指定禁止用户访问的URL,防止毫无效率的网上冲浪。字匹配扫描利用网络入侵检测(eTrust Intrusion Detection)软件,管理员可以定义表明可能会违反策略的字符模式。这种方式防止了未经授权就通过E-mail或web发送敏感
46、数据等情况的发生。网络使用日志网络入侵检测(eTrust Intrusion Detection)软件使网络管理员可以跟踪最终用户,应用程序等对网络的使用情况。它可以帮助改进网络策略的规划,并提供精确的网络控制。 保护企业网络通过在企业内多处位置部署网络入侵检测(eTrust Intrusion Detection)解决方案,用户可以利用其强大的功能来保护整个企业网络。这包括从一个远程或中央位置的稳定控制台监视和响应企业范围内的事件。网络入侵检测(eTrust Intrusion Detection)软件还包含一个中央事件数据库、附加报表以及一个分布式的内容查看器。入侵检测网络入侵检测(eTr
47、ust Intrusion Detection)软件可以提供网络范围内可靠的、分布式实时网络保护。这是通过允许每一个网络入侵检测(eTrust Intrusion Detection)实例全面发挥其功能并单独运行实现的,避免了对网络可用性或响应时间的依赖。集中监视网络管理员可以在本地或远程集中监控运行网络入侵检测(eTrust Intrusion Detection)软件的一台或多台工作站。通过在不同网段(本地或远程)上安装由中央工作站控制的网络入侵检测(eTrust Intrusion Detection)代理,管理员可以根据收集的综合信息查看警告并生成报表。远程管理远程用户可以通过TCP/IP或调制解调器连接访问运行网络入侵检测(eTrust Intrusion Detection)软件的工作站。一旦连接成功,用户就可以按照网络入
