收藏
下载资源 加入VIP免费专享

企业网络安全建议书.docx

上传人:牧羊曲112 文档编号:5007957 上传时间:2023-05-29 格式:DOCX 页数:15 大小:117.18KB
返回 下载 相关 举报
企业网络安全建议书.docx_第1页
第1页 / 共15页
企业网络安全建议书.docx_第2页
第2页 / 共15页
企业网络安全建议书.docx_第3页
第3页 / 共15页
企业网络安全建议书.docx_第4页
第4页 / 共15页
企业网络安全建议书.docx_第5页
第5页 / 共15页
亲,该文档总共15页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《企业网络安全建议书.docx》由会员分享,可在线阅读,更多相关《企业网络安全建议书.docx(15页珍藏版)》请在三一办公上搜索。

1、企业网络安全体系于规划随着互联网的飞速发展,网络的结构变的也越来越复杂,各种操作系统及 应用系统也越来越庞大,相对应的问题也就日益增多,而互联网的许多协议在 设计当初并没有过多的考虑后期的安全性因此企业网络安全防护体系设计显 的更为重要。对您耐心浏览此文,表示感谢。通过对网络结构的了解,网络也会面临同样的威胁,所以我们在知道网络 功防基础上应该构筑企业网络安全体系,要从两个方面着手:一是采用一定的 技术;二是不断改进管理方法。从技术角度看,目前常用的安全手段有内外网隔离技术、加密技术、身份 认证、访问控制、准入、流控、病毒防范、数据备份、安全路由等,普遍运用 于企业网安全建设中。核心交网络安全

2、部署图Internet二专线外部企业IPSEC/S&LVPNIPS:入信昉御系绕NAC:网络准入控制UTI:宣全网关安全宙计内岗路由嚣防火培i安全管理区域J安全区I ,,更安全区域业务服务器群教据畚珍脂努署移动用户/ iSP2经端PC机亲毒较件告 F *各链路接入器厂商底冠两房:面祥上网行为n注:网络安全部署图1.1企业网络安全规范在企业网的需求来讲,企业的网络安全是指利用各种网络监控和管理技术 措施,对网络系统的硬件、软件及系统中的数据资源和其他应用实施保护,使 其不会因为一些不利因素而遭到破坏,从而保证网络系统连续、安全、可靠地 运行。企业网络分为内网和互联网两部分,技术上采用虚拟网管理。

3、一般用户不 提供与internet直接相连,需要直接连接的用户应向企业网管理者提出申请, 获准后由网络中心分配IP地址并提供相应的入网软硬件,具有直接连接权限 的用户应与企业网管中心签定保密协议书,并自觉接受网络安全员的检查。网络中心负责网络设备的运行管理,信息中心负责网络资源,用户帐户肯 安全管理,系统管理员口令绝对保密,根据用户需求严格控制,合理分配用户 权限。网络用户口令应经常更新,防杀病毒软件本身无毒,向用户开放的终端 应禁止使用软驱和光驱,以杜绝病毒的传播。对不同操作人员,不同信息的内 容需按等级分设口令。单位信息系统采用客户/服务器结构,数据由网络信息中心及网络管理部门 进行定期备

4、份,对备份后的数据应有专人保管,确保发生意外情况时能及时恢 复系统运行,加强监督管理工作,使用过程中的重要信息记录要保存到事故文 件中,以便掌握使用情况,发生可疑现象,及时追查安全事故责任。1.2安全方案建议1.2.1企业网络状况分析(1)资源分布和应用服务体系企业网络可向网络用户提供:域名服务(DNS),电子邮件服务(E-mail),远 程登录(telnet),文件传输服务ftp),BBS,电子新闻,WWW以及信息收集, 存储,交换,检索等服务。(2)网络结构的划分整个网络是由各网络中心,和内网络通过各种通信方式互联而成的,所有网络 可归纳为由连接子网、公共子网、服务子网、内网四个部分组成。

5、这四部分组 成一个独立单位的局域网,然后通过广域连接与其他网络连接。1.2.2网络安全目标为了增加网络安全性,必须对信息资源加以保护,对服务资源加以控制肯 管理。(1)信息资源a:公众信息;即不需要访问控制。b:内部信息;即需要身份验证以及根据根据身份进行访问控制。C:敏感信息;即需要验证身份和传输加密。(2)服务资源包括:内部服务资源、公众服务资源内部服务资源:面向已知客户,管理和控制内部用户对信息资源的访问。公众服务资源:面向匿名客户,防止和抵御外来的攻击。1.3企业网络安全技术的应用1.3.1网络攻击的概念企业网的网络攻击主要来自internet中,所以对网络的攻击可以分为两种基本的 类

6、型,即服务攻击与非服务攻击。还有就是通过一些U盘等介质直接带入内网。(1)服务攻击指对为网络提供某种服务的服务器发起攻击,遭成该网络的“拒绝服务”使 网络工作部正常。拒绝服务攻击将会带来消耗带宽、消耗计算资源、使系统和 应用崩溃等后果,它是阻止针对某种服务的合法使用者访问他有权的服务。(2)非服务攻击非服务攻击是针对网络层等低层协议进行的,攻击者可能使用各种方法对 网络通信设备发起攻击,使得网络通信设备工作严重阻塞或瘫痪,导致一个局 域网或更多的网布能正常工作。与服务攻击相比,非服务攻击与特定服务无关, 它彳主彳主利用协议或操作系统实现协议时的漏洞来达到目的。(3)非授权访问非授权访问是指存储

7、在联网计算机中的信息或服务被未授权的网络用户 非法使用,或者被授权用户越权滥用。网络的非法用户可以通过猜测用户口令,窃取口令的办法,或者设法绕过 网络安全认证系统来冒充合法用户,非法查看、下载、修改、删除未授权访问 的信息,以及使用未授权的网络服务。访问授权一般是由计算机操作系统、数 据库管理系统、应用软件与网络操作系统和防火墙来共同保障,通常采用的方 法是用户访问权限设置、用户口令加密、用户身份认证、数据加密与结点地址 过滤等。1.3.2建立网络安全模型通信双方在网络上传输信息时,需要先在发送和接收方之间建立一条逻辑通 道。为了在开放的网络环境中安全地传输信息,需要对信息提供安全机制和安 全

8、服务。信息的安全传输包括两个基本部分:(1)对发送的信息进行安全转换(如信息加密)实现信息的保密性。或者附 加一些特征信息,以便进行发送方身份验证。(2)发送和接收双方共享的某些信息(如加密密钥)这些信息除了对可信任 的第三方外,对于其他用户是保密的。为了信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负 责向通信双方秘密信息,并在双方发生争议时进行仲裁。设计一个网络安全方 案时,需要完成以下四个基本任务:(1)设计一个算法,执行安全相关的转换;(2)生成该算法的秘密信息(如密钥)(3)研制秘密信息的分发与共享的方法;(4)设定两个责任者使用的协议,利用算法和秘密信息取得安全服务。1

9、.3.3防火墙技术防火墙是在网络之间通过执行控制策略来保护网络的系统,它包括硬件和软 件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。防火墙 的功能包括:(1)检查所有从外部网络进入内部网络流出到外部网络的数据包。(2)执行安全策略,限制所有不符合安全策略要求的数据包通过。(3)具有防攻击能力,保证自身的安全性。防火墙是一个由软件与硬件组成的系统。由于不同内网的安全策略与防护 目的不同,防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤 路由器或应用网关、应用代理服务器都可以作为防火墙使用。1.3.4入侵检测技术入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统

10、。它 的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来 自内部的非法授权行为,并采取相应的防护手段。它的基本功能包括:(1)监控、分析用户和系统的行为。(2)检查系统的配置和漏洞。(3)评估重要的系统和数据文件的完整性。(4)对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。(5)对操作系统进行审计、跟踪管理,识别违反授权的用户活动。1.3.5网络安全评估网络安全评估系统是一种集网络安全检测、风险评估、修复、统计分析和 网络安全风险集中控制管理功能于一体的网络安全设备。通过扫描某个网络内 的主机,再进行智能分析,得到该网络的安全状况分析图表,以及每个机器的 详细的安

11、全登记评估图表。从本质来讲评估技术就是一种检测技术。网络安全评估分析技术可以分为 基于应用和基于网络的两种评估分析技术。(1)基于应用的技术采用被动、非破坏的办法检测应用软件包的设置,发现 安全漏洞。(2)基于网络的技术采用积极的、非破坏的办法来检验系统是否有可能被攻 击。1.4企业安全隐患当下,企业网络主要存在的安全隐患和漏洞有:(1)企业网通过与Internet相连,在享受Internet方便快捷的同时,也面临着 遭遇攻击的风险。(2)企业网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用 模式都比较了解,因此来自内部的安全威胁更大一些。而现在,黑客攻击工具 在网上十分常见,一般人

12、员并不需要很复杂的知识就能用,所以存在很大的危 险。(3) 目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。大部分的 网络服务器安装的操作系统有 WindowsNT/Windows2000/200& Unix、Linux 等,这些系统安全风险级别不同,例如WINNT/WIN2000/2003的普遍性和可 操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS的 漏洞;Unix由于其技术的复杂性导致高级黑客对其进行攻击:自身安全漏洞(RIP路由转移等)、服务安全漏洞、Unix自身的病毒等等,这些都对原有网 络安全构成威胁。(4) 随着企业内计算机应用的大范围普及,接入企业网节

13、点日渐增多,而这 些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢 失、数据损坏、网络被攻击、系统瘫痪等严重后果。由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全体系 显得尤其重要。1.5企业网主动防御体系企业网的安全威胁既有来自内部的,也有来自外网的。在设计企业网网络 安全系统时,首先要了解单位的需要和目标,制定安全策略,需要注意的是, 网络上的业务目标、安全策略与安全设计之间的关系是一体的。因此网络安全 防范体系应该是动态变化的,在完成安全防范体系的设计后,必须不断适应安 全环境的变化,以保证网络安全防范体系的良性发展,确保它的有效性和先进 性。美国国际

14、互联网安全系统公司(ISS )提出的P 2 D R模型是指:策略(P o l i c y )、防护(P r o t e c t i o n 检测(D e t e c t i o n )和响应(R e s p o n s e )。P 2 D R模型强调防护、检测和响应等环节的动态循环过程,通过这种过程达 到保持网络系统的相对安全。所以P 2 D R模型是“整体的、动态的”的安全 循环,在安全策略整体的控制下指导下保证信息系统的安全。P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动 态安全模型的雏形。P2DR模型包括四个主要部分:Policy(安全策略)、 Protection

15、(防护)、Detection(检测)和Response(响应)。P2DR模型是在整体的 安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认 证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统 的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。 防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下 保证信息系统的安全。该理论的最基本原理就是认为,信息安全相关的所有活动,不管是攻击行 为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡 量一个体系的安全性和安全能力。作为一个防护体系,当入侵者要发起攻击时,

16、 每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时 间此;在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费 时间一检测时间Dt;在检测到入侵后,系统会做出应有的响应动作,这也要 花费时间一响应时间Rt。P2DR模型就可以用一些典型的数学公式来表达安全的要求:(1)公式 1: Pt Dt + Rt。Pt代表系统为了保护安全目标设置各种保护后的防护时间;或者理解为在 这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。Dt代表从 入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。Rt代表从 发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常

17、状态的时间。 那么,针对于需要保护的安全目标,如果上述数学公式满足防护时间大于检测 时间加上响应时间,也就是在入侵者危害安全目标之前就能被检测到并及时处 理。(2)公式 2: Et = Dt + Rt,如果 Pt = 0。公式的前提是假设防护时间为0oDt代表从入侵者破坏了安全目标系统开 始,系统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始,系 统能够做出足够的响应,将系统调整到正常状态的时间。比如,对Veb Server 被破坏的页面进行恢复。那么,Dt与Rt的和就是该安全目标系统的暴露时间 Et。针对于需要保护的安全目标,如果Et越小系统就越安全。通过上面两个公式的描述,实际

18、上给出了安全一个全新的定义:“及时的 检测和响应就是安全”,“及时的检测和恢复就是安全”。而且,这样的定义为 安全问题的解决给出了明确的方向:提高系统的防护时间Pt,降低检测时间 Dt和响应时间Rt。1.5.2企业网络安全防范体系安全模型中的安全策略、防护、检测、响应始终贯穿着安全技术和安全管 理两个方面的重要内容,企业网络安全防范体系构建是以安全策略为核心,防 护,检测和响应为实施方法,并通过安全培训加强所有人员的安全意识,完善 安全体系安全单元环境。针对以上企业网网络安全体系应用以下安全技术来实现:(1)配置防火墙和入侵检测系统在企业网的进口处架设了防火墙和网络入侵检测系统。防火墙作为一种

19、将 内外网隔离的技术,普遍运用于企业网安全建设中。防火墙可以有效地隔离 内网与外网,保护企业内网络免遭非法的侵入。网络安全检测工具是一个网 络安全性评估分析软件,不时的扫描分析网络系统,网络管理员根据检测的 报告系统分析存在的弱点和漏洞,及时采取补救措施,以达到增强网络安全性 的目的。基于网络的入侵检测系统,对监视网段中的各种数据包进行特征分析, 会根据产品中配置规则情况录取是否发出警报或直接切断网络连接。(2)采用V L A N技术按企业各部门拥有不同的应用业务以及不同的安全级别,有限制非法访问 可以运用V L A N技术。如使用三层交换机基于端口划分技术将网络分段并进 行隔离,实现访问控制

20、。(3)安装杀毒软件在整个企业网中只要有可能感染和传播病毒的地方都采取相应的防病毒 手段,安装相适应的防杀毒软件,有效地防止病毒在企业网上感染、传播和发 作。对防病毒软件要有效、快速地升级病毒定义码和扫描引擎。网络的安全管 理是一个长期的、动态的过程。本网络系统的安全性还存在不少问题,比如说 防止网络攻击方面,尽管使用了入侵检测系统和防火墙的联动技术,但是, 目前的入侵检测系统对未知的攻击检测能力较弱,且存在误报率太高的缺点。 这些问题有待我们作进一步的探讨和改进,不断的分阶段完善安全防范体系。(4)制定内网、外网的安全策略安全策略是赋予了组织机构技术人员或信息资产使用权的人员必须履行 的准则

21、的正规陈述它是一个成功的网络安全体系的基础与核心。业务需求和风 险分析是安全策略的主要制定依据。企业网络的安全策略是依据企业网的业务 需求描述了企业网近期安全目标和长期安全目标,以及安全风险评估分析,不 同安全评估标准中保护对象的安全等级方面也不同。对内网用户我们可以设置准入,非法外链和对U 口的控制等策略对内网的 安全等级提高。外网用户对页面访问,关键字,应用,流量等进行有效的控制和审计日志 等达到对外网用户的安全等级提高。(5)数据备份数据备份有多种实现形式,从不同的角度可以对备份进行不同的分类:从 备份模式来看,可以分为物理备份和逻辑备份;从备份策略来看,可以分为完 全备份、增量备份和差

22、异备份;根据备份服务器在备份过程中是否可以接收用 户响应和数据更新,又可以分为离线备份和在线备份。1.5.3完善安全制度与管理安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防 范体系中人的因素。网络系统的安全性不只是技术方面的问题,如果日常管理 上没有相应规章制度来管理约束,再先进的软件技术硬件设备对网络系统的 安全来说也是不安全的。一个有效的安全防范体系应该是以安全策略为核心, 以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策 略的管理,安全策略为安全管理提供管理方向,安全技术是辅助安全管理的 措施。当网络出现攻击行为或其它一些安全威胁时,无法进行实时的检

23、测、监 控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索, 即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫 描器提前识别弱点区域,入侵检测系统监控和响应安全事件,必须对站点的访 问活动进行多层次的记录,及时发现非法入侵行为。安全管理主要是对安全策略的一系列实施操作,这些操作是构建网络安全 体系必不可少的。没有完善的安全管理体系,很难保证网络系统的安全。必须 制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实 有效的措施保证制度的执行。单位网络安全防范体系建立以后,单位的网络控 制中心负责网络设备的运行管理,信息中心负责网络资源的安全管理

24、。规定系 统管理员要进行日常的网络安全管理,实时地、动态地监控网络运行情况,每 日必须检查服务器的日志,对重要的数据服务器,每日必须进行异地数据备份。 同时管理员的密码必须达到一定的长度并且建议每周修改一次。管理员需及时 对操作系统打补丁和防病毒软件包的升级,不断完善和优化网络安全防范体 系。1.6其他网络安全解决方案网络安全技术是解决企业网安全问题的基础,我们在对企业安全分析时综 合采用了防火墙、入侵检测、病毒防范、上网控制审计、内容过滤和安全评价 等技术,提出了一些安全解决方案,以增强企业网络的安全覆盖范围和程度。巩固安全策略利用防火墙将内部网络、对外服务器网络和外网进行有效隔离,避免与外

25、 部网络直接通信;(2) 利用防火墙建立网络各主机和对外服务器的安全保护措施,保证系统安 全,全面监视对公开服务器的访问,及时发现和阻止非法操作。(3) 利用上网行为对网上服务请求内容进行控制,使非法访问在到达主机前被 拒绝;利用上网行为加强合法用户的访问认证,同时在不影响用户正常访问的 基础上将用户的访问流量控制在最低限度内,同时对各个点上进行审计和记 录,形成一个完善的审计体系,在策略之后建立第二条防线,网络行为监控系 统进行网络活动实时监控和内容过滤。(4) 在本网络和子网,利用入侵检测系统,监测对内,对外服务器的访问,对 服务请求内容进行控制,使非法访问在到达主机前被阻断;在本网内部署

26、网络隐患扫描系统,定期对整个网络的安全状况进行评估, 及时弥补出现的漏洞,(6)实现全网同步杀毒、全网远程操作,全网远程报警,管理简单高效。集中 式管理,分布式控制,全网查杀,自动升级,确保企业信息安全。在本网络和子网,利用内网终端管理软件,对内网的所有用户实现检测网 络隔离度及准入,防止移动设备非法接入和各种形式的非法外联操倡包括内 网用户不经过防火墙等网络边界防护直接联入外网),对违规设备进行网络连 接阻断,提供网络资源的分配管理、安全事件源(病毒、木马等)的定位、安 全事件点阻断等。对终端进行24小时的系统补丁安装。(8加强网络安全管理,提高企业网系统全体人员的网络安全意识和防范技术。结

27、束语互联网的各种安全威胁时刻影响着企业网的运行和管理,加强企业网的安 全管理是当前重要任务。企业网是信息系统的核心,必须建立有效的网络安全 防范体系保证网络应用的安全。本文主要以当前网络安全存在的威胁和可能面 临的攻击,和提高网络管理人员工作效率和办公人员的工作效率,设计了并实 现网络攻击的防御措施,和加强办公人员的工作效率,并以研究成果为依据提 出了一种以安全策略为核心,防护、检测和响应为手段的一种企业网安全防范 体系来保证企业网络安全的一个实用的解决方案。当前,如何确保计算机网络的安全性是任何一个网络的设计者和管理者都 极为关心的热点。由于因特网协议的开放性,使得计算机网络的接入变得十分

28、容易。正是在这样得背景下,能够威胁到计算机网络安全的因素就非常多。所 以,研究和开发了各种安全技术和手段,努力构建一种可靠的计算机网络安全 系统。这种安全系统的构建实际上就是针对已经出现的各种威胁(或者是能够 预见的潜在威胁),采用相应的安全策略与安全技术解除这些威胁对网络的破 坏的过程。当然,随着计算机网络的扩大,威胁网络安全因素的变化使得这个 过程是一个动态的过程。计算机网络安全问题实质上也是网络安全对抗的过 程。但也涉及了企业网络内部的管理问题,制度问题,业务问题等等;所以任 何计算机网络安全体系一定不是可以一劳永逸地防范任何攻击的人们力图建 立的只能是一个动态的网络安全防护系统。它是一

29、个动态加静态的防御是被 动加主动的防御,甚至是抗击,是计算机网络管理技术加计算机网络安全技术 的完整安全观念。企业面临着一系列的安全问题,受到来自外部和内部的攻击如病毒困扰, 非授权访问等)。目前国内许多企业存在分散办公的状况,各区间通信的安全 连接还存在问题。但一般的企业安全方案存在安全手段单一的问题,大多只是 简单地采用防火墙等有限措施来保护网络安全。而这些措施彳主彳主存在很大的局 限性,它们不能覆盖实现整个企业安全的各个层次、各个方位,这样的网络系 统就存在很多的安全隐患。比如缺乏强健的认证、授权和访问控制等,彳主彳主使 破坏者有机可乘;管理员无法了解网络的漏洞和可能发生的攻击。传统的被动 式抵御方式只能等待入侵者的攻击,而缺乏主动防范的功能:对于已经或正在 发生的攻击缺乏有效的追查手段;对从网络进入的病毒等无法控制等,除此以 外大多用户安全意识都很淡薄,这些都是我们需要注意和解决的安全问题。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号