《长沙网络安全需求(1).docx》由会员分享,可在线阅读,更多相关《长沙网络安全需求(1).docx(12页珍藏版)》请在三一办公上搜索。
1、1网络安全背景随着计算机技术、信息技术的发展,计算机网络系统已成为电信企业各项业务的关键承载平台。另一方面,随着国际互联网的迅猛发展、计算机技术开放性的不断提高、人们对计算机知识认识的进一步加深、企业信息平台的向纵深扩展,计算机网络安全问题已广泛引起社会的注意,日益成为不可忽视的问题;而一个企业计算机网络安全休系的建立、健全也势在必行。 长沙电信网络安全系统的建立,必将为长沙电信的业务信息系统、缴费系统、97工程等重要业务信息管理系统提供一个安全的环境和完整平台。通过以下软、硬件安全技术、加强企业管理方案综合建立起的网络安全系统,可以极大地解决来自网络外部及内部对企业生产网络安全造成的各种威胁
2、,从而形成一个更加安全、健康的业务系统和办公环境。网络安全整体解决方案提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能,有效地保证秘密、机密文件的安全传输,严格地防止经济损失、泄密现象发生,避免重大经济损失。2长沙电信网络现状和计算机安全隐患2.1网络、安全现状长沙电信的网络结构较复杂。现我局计算机网络为九六年建成,经过寻呼、移动分家时没有进行任何改造;目前电信公司共有PC机二千多台,服务器70多台;营业网点数量多,地理位置较分散,覆盖面广(含长沙市、长沙县、望城县、浏阳县、宁乡县)连接方式多样;内部网络连接 Internet出口、方式较多且难以控制;内部网络上承载电信公司内部
3、所的重要应用系统:包括计费系统,网管监控系统,大97系统,企业网,缴费系统,资源管理系统等等;广大员工的注意力集中在如何充分使用、利用它,而安全意识方面则较淡薄,相应的管理规则、规范严重匮乏,急待完善。2.2 网络全貌图12.5 客户端现状1、机器品种繁多,公司员工对计算机的认识日益深化,存在员工在工作用机上随意重装自己喜欢的操作系统,造成操作系统混乱。共计如下:windows 95、 windows 98、windows me、windows NT4、windows NT6、windows 2000 个人版、windows 2000服务器版、windows XP甚至lunix等。每一个版本的
4、操作系统都有自己的漏洞和补丁,如此多的版本在维护上带来了极大的不便,在计算机安全上带来一定的隐患。2、公司员工存在使用过程中私自更改机器名,IP地址,造成机器名混乱、IP地址冲突的现象时有发生。3、存在私自在生产、办公用机上安装软件,而软件来源不明,给网络安全带来了隐患。4、存在私自改造公司网络布线结构,且同时在办公用机上安装两块网卡,既连企业生产网又连通公网,未通知专业维护单位,造成维护困难。2.6存在安全隐患由于长沙电信信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由Intranet扩展到Internet。内部网络通ADSL、ISDN、以太网等直接与外部网络相连,对
5、整个生产网络安全构成了巨大的威胁。 具体分析,对长沙电信网络及计算机系统安全构成威胁的主要因素有:1) 应用及管理、系统平台复杂,管理困难,存在大量的安全隐患。2) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统极为容易遭到攻击。 3) 来自外部及内部网的病毒的破坏,来自Internet的Web浏览可能存在的恶意Java/ActiveX控件。病毒发作情况难以得到监控,存在大范围系统瘫痪风险。4) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞
6、,如UNIX服务器,NT服务器及Windows桌面PC。管理成本极高,减低了工作效率。5) 缺乏一套完整的管理和安全策略、政策,相当多用户安全意识匮乏。6) 与竞争对手共享资源(如联通),潜在安全风险极高。7) 上网资源管理、客户端工作用机使用管理混乱,存在多点高危安全隐患。8) 计算机环境的缺陷可能引发安全问题;公司中心主机房环境的消防安全检测设施,长时间未经确认其可用性,存在一定隐患。9) 各重要计算机系统及数据的常规备份恢复方案,目前都处于人工管理阶段,缺乏必要的自动备份支持设备。10) 目前电信分公司没有明确的异地容灾方案,如出现灾难性的系统损坏,完全没有恢复的可能性。11) 远程拔号
7、访问缺少必要的安全认证机制,存在安全性问题。3长沙电信网络安全需求分析网络安全设计是一个综合的系统工程,其复杂性丝毫不亚于设计一个庞大的应用系统。长沙电信信息网的安全设计,需要考虑涉及到承载的所有软硬件产品及处理环节,而总体安全往往取决于所有环节中的最薄弱环节,如果有一个环节出了问题,总体安全就得不到保障;具体就以下几个方面来分析。物理安全:在设计时需要考虑门禁、防盗、防火、防尘、防静电、防磁、电源系统等等。网络结构安全:通过层次设计和分段设计能够更好的实现网络之间的访问控制,结构设计需要对网络地址资源分配、路由协议选择等方面进行合理规划。通常应该要求网络集成商在网络设计时对结构安全加以考虑,
8、并在运营维护过程中不断改进和完善。网络安全:对重要网段加以保护。通过防火墙做接入点的安全;通过扫描软件对网络范围内的所有提供网络服务的设备进行漏洞扫描和修补;通过基于网络的入侵检测系统动态的保护重要网段。系统安全:对网上运行的所有重要服务器加以保护,并从自身实施一定的安全措施。通过操作系统升级和打安全补丁减少系统漏洞;通过扫描软件对服务器进行漏洞扫描和修补;通过安装基于主机的入侵检测系统来保护重要的服务器。数据库安全:通过专业的数据库扫描软件检测数据库系统存在的安全漏洞并进行修补,保护关键应用系统存放在数据库中的数据。应用系统和数据的安全:对于应用系统的安全,一方面可以借助扫描工具对软件安装的
9、主机进行评估,另一方面对应用系统所占用的网络服务、用户权限和资源使用情况进行分析,找出可能存在的安全问题。对于数据的安全,通过使用防病毒产品进行全方位的数据扫描服务,保证整个生产网处于安全无毒的环境。网络安全是个长期的过程,不仅需要有好的规划设计,还要有良好的安全策略、及时的安全评估和完善的安全管理体系,综合运用各种安全工具,方能保证系统处于最佳安全状态。4网络安全的解决方案分析4.1网络与服务器安全设计和调整在进行安全规划时,网络自身的安全考虑往往容易被忽视,结果成为被黑客利用的“短木条”。实际上,很多攻击我们可以通过良好的网络设计和配置加以避免和消除。网络结构设计和具体配置按照如下的建议做
10、出调整: 尽快与寻呼、移动网络从物理上完全分离,并禁止私自更改机器名、IP地址。 物理安全的保护主要网络设备和各种业务服务器的安全(包括确认防火、防盗,自动烟雾检测系统的工作正常)。 毁灭性灾难发生时的异地容灾(从节约资金的角度,现主要考虑数据磁带的异地备份)。 内部网络结构层次分明,便于网络隔离和安全规划。 网络结构具备高可靠性和高可用性(关键设备的负载均衡与功能互备)。 应用系统按其重要性分段,重要系统在条件许可时尽量集中放置,以便集中实施安全策略。维护人员的桌面机所在网段应与重要网段逻辑上隔离。 重要数据所在服务器使用防火墙进行隔离 针对桌面平台现状,制定规范化方案。良好的网络结构设计和
11、配置,能够消除网络结构不合理带来的安全隐患,也能够使得我们更好地实施更高层次的安全规划。4.2防火墙的保护网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(ACL),可以将其用作一个“预过滤器”,筛分不要的信息流,路由器的ACL只能作为防火墙系统的一个重要补充,对于复杂的安全控制,只能通过防火墙系统来实现。因目前INTERNET网的发展,企业不访问公网,已属不可能,且片面的自封闭政策也直接阻碍了电信业务在网上的发展,大势所趋是无法回避的,重要的是有足够的安全措施及防范体系。在本次的安全建设中,我们提出如下的建
12、议:在长沙节点接入97骨干,数据中心接入网络处架设防火墙,确认防火设备的可用性。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击等等。通过制定相应的安全策略,防火墙允许合法访问,拒绝所有无关的服务和非法入侵。目前主流的防火墙产品均采用状态检测技术,与其它技术相比,基于状态检测技术的防火墙在提供更多功能的同时提供了更好的性能。4.3安全评估系统现阶段电信公司网络内服务器数量多,各种操作系统复杂,利用人工检查系统的安全漏洞已经不可能为系统正常运行提供足够的安全保证。我们只能利用各种安全方面的软件和硬件辅助系统管理员来了解网络和服务器当前的安全状
13、况,并针对性的解决存在的安全问题,进而为企业的整体安全决策提供可靠依据。运用安全漏洞扫描产品能够较全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况,找出存在的安全漏洞并给出修补建议(如ISS)。网络扫描器产品:可以扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括NT/2000工作站/服务器、各种UNIX工作站/服务器、防火墙、路由器/交换机等等,通过模拟黑客攻击手法,扫描目标对象存在的安全漏洞,与黑客攻击不同的是不做任何破坏活动。在进行扫描时,可以从不同的网络位置对网络设备进行扫描,例如在防火墙的内侧和外侧的扫描效果不同,内侧扫描的结果真实、准
14、确,外侧扫描可以用来检测防火墙或网络的耐攻击程度。另外也可以根据不同的扫描对象选择或定制不同的策略,如针对防火墙、UNIX服务器、NT服务器、Internet(WWW、DNS、MAIL)服务器、路由器交换机等等,扫描结束后生成详细的安全评估报告。(如Internet Scanner产品扫描的漏洞类型高达900多种,是业界较好的网络扫描器产品。)系统扫描器产品:利用此类产品可对97工程重要服务器的操作系统定期进行安全漏洞扫描和风险评估。在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。在重要的服务器上安装其的代理软件(代理软件支持NT/2000和各种UNIX操作系统),在网管中心的一台N
15、T工作站上安装其控制台。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的安全风险,包括缺少的安全补丁、词典中可猜中的口令、不适当的用户权限、不正确的系统登录权限、操作系统内部是否有黑客程序驻留、不安全的服务配置等等。扫描结果可生成各级漏洞报告,可根据报告中详述的内容修改操作系统中不安全的配置。扫描器代理的安全策略可以通过系统扫描器控制台进行集中管理和配置。系统扫描带来了更强有力的针对基于主机的漏洞评估技术,它把快速的分析与可靠的建议结合起来,从而保护服务器上的应用程序、数据免受盗用、破坏或误操作。同时可以制定一个系统基线,制定计划和规则,让系统扫描器在没有任何监管的情况下自动运行
16、,一旦发现漏洞立即报警。系统扫描器所实行的所有规则定义在每个代理的知识库里,它允许用户自己定义一个适合相应平台的规则,同时还允许进行特殊定义,当网络不通时代理也可以进行工作。(如System Scanner产品)数据库扫描器产品:可针对数据库管理系统的风险评估检测工具,可以利用它建立数据库的安全规则,通过运用审核程序来提供有关安全风险和位置的简明报告。利用Database Scanner定期地通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全面评估数据库存在的认证、授权、完整性方面的问题。应支持的企业现有的数据库类型有:MS SQL Server、Oracle和Sybase。不同的
17、数据库类型有相应的数据库扫描器产品。对数据库的扫描同样生成详细的安全评估报告。所有扫描器可以根据扫描的结果为技术人员、部门领导生成不同的安全评估报告,为技术人员的生成报告列举了所有的安全漏洞,分高、中、低三个风险级别,每个漏洞给出了详细的说明并附修补建议,某些漏洞需要打补丁的还给出了下载网址。为管理人员生成的报告给出了汇总信息,使管理者了解整体安全状况,提供决策指导。(如Database Scanner产品)网络扫描器产品、数据库扫描器产品在进行安全扫描时,对网络带宽以及被扫描的机器的资源占用应很少,通常在3%以下;系统扫描器产品的代理软件需安装在被扫描的机器上,在扫描时与系统其它进程共享资源
18、,应扫描时间短,不超过十分钟,并在不扫描时基本不占用资源。网络管理中心要配置一台便携式笔记本电脑安装网络扫描器产品,从不同的网络位置扫描所有重要的应用服务器、交换机路由器、防火墙等设备,该笔记本电脑还可以同时安装系统扫描器产品的Console以及数据库扫描器产品。就长沙电信公司目前规范来讲,安全评估产品的具体配置要求如下:网络扫描器产品全网需要扫描约100台设备。包括相对重要的UNIX服务器工作站、NT服务器、路由器、交换机等等。系统扫描器产品约5套。配置在数据中心重要服务器上。数据库扫描器产品for ORACLE 1套。4.4入侵检测系统适当配置的防火墙虽然可以将非预期的信息屏蔽在外,但防火
19、墙不能检查不经过它的访问请求,比如来自内部的攻击就不能防范,据IDC统计,60%左右的成功的攻击来自于内部,内部如果都使用防火墙就会使得整个系统的维护管理变得异常复杂;防火墙需要开通必须的服务,内部需要收发邮件、需要访问Internet、需要提供WWW和MAIL服务,在提供正常业务的同时也给了入侵者可乘之机,他可以通过邮件或WEB浏览攻进网络,也可以直接攻击WWW和MAIL服务器;防火墙的策略配置复杂,需要考虑各种协议、Inbound和Outbound、地址欺骗、先后顺序、隐藏策略、全局策略、目标对象等众多因素,稍有不慎就会出现防护漏洞;防火墙自身存在漏洞,目前最好的防火墙技术都不可避免的存在
20、这样或那样的问题,这在业界已经是不争的事实。防火墙的保护是必要的,但绝不是仅仅的保护手段,特别是在97网络,应用系统极其重要,能否正常运行直接关系到电信的业务能否正常开展。97需要一种动态和主动的保护机制,时刻检查和解析所有的访问请求和内容,一旦发现可疑的行为,及时作出适当的响应,以保证将系统调整到“最安全”和“风险最低”的状态。这种动态的保护机制就是入侵检测系统。基于主机的入侵检测如安氏实时检测系统代理产品 (RealSecure OS sensor) 对计算机主机操作系统进行自主地,实时地攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上切断可以的用户进程,和各种安全反映。
21、基于网络和基于主机入侵检测的结合如RealSecure Server Sensor产品是一种新型的实时传感器,它是在RealSecure OS Sensor的基础上加入了基于网络入侵检测的部分功能。Server Sensor比较类似于OS Sensor,它包含了 OS Sensor可以监控的所有系统事件,但在此基础上,Server Sensor也能监视网络事件,不过,Server Sensor只监控进出该服务器的通信,而不是整个网段的通信。Server Sensor不仅可以检测到入侵,它也能通过阻塞某些网络包来阻止入侵。RealSecure Workgroup Manager:提供集中统一的管
22、理界面,用来管理各种探测器,收集它们发来的安全事件。在长沙节点和97骨干之间、长沙节点与四个县之间、数据中心接入网络处、PSTN,DDN接入网络处安装基于网络的入侵检测,实时监控流入/流出网络的数据流,解析存在的可疑数据,及时切断连接,并反应给安全管理员,保证内部网络不受到来自外部的攻击。在重要服务器上安装“基于网络和基于主机入侵检测”,实时监控这些服务器的访问请求,检查系统日志,解析可疑访问请求,及时反应给安全管理员,避免服务器受到来自内部和外部的访问攻击。而他们的控制台是统一的,所以只需在网络控制中心添加一台NT WorkStation安装“基于主机的入侵检测”控制台即可对全网所有的探测器
23、进行管理。也可以在每个节点使用管理控制台。就长沙电信公司目前规范来讲,入侵检测系统的具体配置如下:“基于网络和基于主机入侵检测”:长沙节点和97骨干之间、长沙节点与四个县之间、数据中心接入网络处、PSTN,DDN接入网络处,在相应的点上配置,一共大概8套。“基于主机的入侵检测”:数据中心大概有5台重要的服务器,这样需要5套,也可根据需要酌情增加。4.5病毒扫描和防范服务4.5.1群件 / 邮件服务器的病毒防护随着电子邮件应用日益普及,病毒又找到了一条重要的入侵的渠道。根据国际计算机安全协会(ICSA)1998年的报告,因使用电子邮件而中毒的事件已占所有中毒事件的,2000年已达86%。象包括微
24、软在内的几家全球著名企业,先后遭受到来自电子邮件的梅莉莎病毒(Melissa)、蠕虫病毒(EXPLOREZIP)、爱虫病毒(I LOVE YOU)的攻击,致使企业邮件服务器关闭、企业内重要资料丢失。保护邮件服务器免受病毒攻击的重要性应放在相当高的地位。4.5.2桌面客户机的病毒防护网络工作站的防护位于企业防毒体系中的最底层,对企业计算机用户而言,也是最后一道查、杀、清、防病毒的实践层。考虑到网络中的工作站数量少则几十台,多则数百上千台甚至更多。如果需要靠网管人员逐一到每台计算机上安装单机防病毒软件,费时费力,同时难以实施统一的防病毒策略,日后的维护和更新工作也十分繁琐。4.5.3网关处病毒的防
25、护在网关处对病毒进行拦截,是效率最高的病毒防范方式,目的在于在病毒入口的源头进行病毒防范,达到阻止病毒从网关进入内部的作用。4.5.4病毒的中央控制管理一个企业级的病毒系统,最重要的是对病毒的监控可管理,好的病毒防范系统必须具备一个方便的强大的管理系统。4.6规范、统一计算机管理4.6.1统一操作系统版本我公司内有PC机2000多台,操作系统繁多,几乎是在单机上可以使用的操作系统都能在我公司见到。每一种操作系统都有自己漏洞,我们维护人员不可能都找到相应的补丁程序,特别是windows xp是需要注册升级才能使用Patch。并且所开发应用程序并非在所有的操作系统上都能达到最佳的使用效果。希望公司
26、能够统一操作系统版本,配置低的安装windows 95,配置高的安装windows 98,程序需要时建议安装windows 2000服务器版,禁止私自更换操作系统。4.6.2规范软件安装及计算机设备硬件管理不允许在办公用机上私自安装各种非生产用的软件。有的工具软件、有的是游戏,他们的软件来历不明,其中很可能被病毒感染或制作了特诺伊木马,有的软件对系统配置要求很高,严重的影响了系统的性能。希望规范可以安装的工具软件,并统一软件来源堵住危害安全的一个漏洞。非计算机专业维护部门不允许私自拆卸计算机设备。4.6.3网络线路维护不允许由公司统一建设的计算机网络进行私自改造,如确需改造,在改造施工前按规范
27、的施工管理流程,通知公司运行维护部和专业维护部门。4.6.4统一机器识别由于在网络上识别一台机器主要依靠IP地址和机器名,但是目前由于使用人员因为各种原因私自改动机器的IP地址造成IP地址使用混乱。IP地址冲突时有发生,严重的影响了网络的正常运行。要求在全网统一机器识别,责任到部门。4.6.5规划冲突由于我公司有PC 2000多台而省公司分配给我公司的IP地址只有4个C类地址远远不够。因此我们希望公司运行维护部能够与省公司协商是否能够授权我们使用更多的IP地址。4.6.6内部授权及内部计算机安全检查、监督力度加强目前公司内部的人员流动比较频繁,但各员工调离原工作岗位后,其在各业务处理系统中的工号及权限未得到及时的清除,给各业务系统的数据安全带来一定的隐患,建议以中心为单位设立部门系统管理员专管各业务系统授权。
