企业网络信息安全

1酒店网络信息安全电子科技大学计算机科学与工程学院东莞理工学院软件学院计算机系黄均才2教师概况黄均才：电子科技大学计算机学院信息安全实验室博士东莞理工学院计算机系副教授Email：hjcfanx@yeah.net电话：13267394811QQ:244640589地址：东莞松山湖电子楼4063住酒店防隐私泄露黑客扬言入侵房客信息•著名黑客AdamLaurie表示，他可以在饭店房间内侵入付费电视、房内饮料和电话等系统。•更令人惊骇的是，只要把笔记本电脑与某些最新的饭店电视系统连线，Laurie便可监视其他房客的一举一动。4住酒店防隐私泄露黑客扬言入侵房客信息•他还不能真正监看别人的房间，但他可以借由系统得知其他人在看什么节目、他们的住宿信息、更改房内饮料帐单，并跟着他们一起用饭店的电视上网。若想戏弄其他房客，还可以帮他们退房，或设定一大早的唤醒服务。5住酒店防隐私泄露黑客扬言入侵房客信息•这一切都是起于Laurie所称的“反向安全模式”。他表示:“电视机控制我能看到的内容，大多数的饭店在发送所有内容时，都没有任何控管。”Laurie在30日召开的Defcon安全专家会议中，示范如何用电视侵入饭店系统。6住酒店防隐私泄露黑客扬言入侵房客信息•只要把饭店电视的线路插入一个和笔记本电脑相连的USB电视调频器，Laurie便能骇入控制娱乐节目和其他饭店便利措施的后端系统。他发现许多这类系统都以房间电视的识别信息，为存取信息的依据。因此他只要改变识别信息，就能存取其他房间的纪录。许多现代化的饭店系统会显示帐单、电话和客房服务纪录，并提供视讯退房。7住酒店防隐私泄露黑客扬言入侵房客信息•Laurie发现，饭店电视系统也能让员工登记信息，例如房务员可提报某个房间已经清理完毕。此外，客房服务人员也可借由某些系统输入房间饮料的帐单。这些都是他能入侵控制的部分。Laurie表示:“有时候你可以实际控制实体设备。”在HolidayInn连锁的某家饭店，他发现电视系统竟控制客房饮料柜的电子锁。8住酒店防隐私泄露黑客扬言入侵房客信息•在巴黎的Hilton饭店内，Laurie让入侵程序自动操作，并在电视屏幕前安装一个镜头。他拍下每一个画面，最后得到的信息包括饭店住房率、房客姓名、他们的帐单、拨打外电的地点和停留期间。他在发布会中展示这些画面，但抹去房客的姓名。9住酒店防隐私泄露黑客扬言入侵房客信息•Laurie的方法一开始很简单。他发现付费频道其实随时都在播放，但房间的电视会在房客付费后才锁定特定的频道。如果你随身携带自己的电视–笔记本电脑和USB电视调频器即可–连上线，便可进行入侵行动。10住酒店防隐私泄露黑客扬言入侵房客信息•接下来的步骤愈来愈难，更改电视的识别信息和找到客房服务帐单码都需要一些技巧。这些系统接受电视遥控器输入的代码，因此Laurie随身携带可与笔记本电脑连线的红外线设备。他写了一个向电视发送代码的程序，大约30分钟就能找到相关的代码。11住酒店防隐私泄露黑客扬言入侵房客信息•未来住饭店的隐私风险可能更高。Laurie表示:“(饭店企业)开始提供经由电视输入信用卡号等服务。”此外，某些饭店系统的制造商正在研究增加网络摄影机，让房客利用互联网聊天。12酒店宽带网络发展现状•旅游、商务活动、大型体育比赛等因素带动了酒店业近年来的快速发展。对于现在的星级酒店来说，提供宽带上网己经是基本服务。客户期待着通过酒店宽带网络实现更多的应用：远程办公、召开网络视频会议、享受视频点播、使用酒店特色的信息资源等等。这些需求一方面是对酒店的压力，另一方面也为酒店打开了增值服务的机会之门。13酒店宽带网络发展现状•旅游、商务活动、大型体育比赛等因素带动了酒店业近年来的快速发展。对于现在的星级酒店来说，提供宽带上网己经是基本服务。客户期待着通过酒店宽带网络实现更多的应用：远程办公、召开网络视频会议、享受视频点播、使用酒店特色的信息资源等等。这些需求一方面是对酒店的压力，另一方面也为酒店打开了增值服务的机会之门。14住酒店防隐私泄露黑客扬言入侵房客信息•著名黑客AdamLaurie表示，他可以在饭店房间内侵入付费电视、房内饮料和电话等系统。•更令人惊骇的是，只要把笔记本电脑与某些最新的饭店电视系统连线，Laurie便可监视其他房客的一举一动。15住酒店防隐私泄露黑客扬言入侵房客信息•实际上，除了向客人提供高速上网及各种网上应用之外，网络还为酒店自身带来很多收益，例如：•1）建立酒店网站发布信息，方便客人查询和预订。2）建立E-Mail回访机制，加强酒店与客人的联系。3）运行网上酒店管理系统，提高资源利用率，节省开支。4）建立酒店总部与各分店的网上沟通机制，提高管理效率。16住酒店防隐私泄露黑客扬言入侵房客信息•总之，在网络刚刚出现的时候，酒店并未完全意识到网络的潜在价值，随着信息化渗透到各行各业，酒店面临着大量高端宽带用户，尤其是在承担大型商务活动的时候。在这种情况下，酒店网络建设迎来了大发展的时期。17酒店网络的安全风险•对于酒店网络环境的安全性，有观点认为酒店的网络只要保障酒店自身信息系统安全就足够了，客人在使用酒店网络过程中遭遇病毒攻击或信息泄露与酒店无关。其实此观点过于片面，如今的酒店己经成为众多公司召开会议，进行商务活动的重要场所，为客人提供一个安全的网络通信环境是可以作为一种服务进行运营的，是赢得高端客人信赖的重要手段。因此建立安全的网络环境，会给酒店和客人带来“双赢”。18酒店网络的安全风险•然而当前的情况是：酒店网络为客人和店自身提供的各项应用都面临一些潜在信息安全问题，如下表：19酒店网络的安全风险客人酒店应用信息安全问题应用信息安全问题网页访问感染病毒，流量不均承载酒店管理系统网络隔离，访问控制视频节目点播服务器安金分支到总部远程访问信息加密传输远程视频会议高可靠网络网站宜传服务器高可用性特色信息资源服务服务器安全Email客户回访感染病毒20酒店网络的安全规划•其实酒店所面临的安全问题可以进行简化为数据存在方式的三大形态，即数据的存储、计算和交互。通过保证数据存在三大形态的安全，并实现安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应．将智能的安全融入企业业务流程中，形成开放融合、相互渗透的安全实体，就可以实现网络安全智能化。结合酒店的应用特点，酒店可考虑从以下几方面来完整的规划自身的安全建设。21网络数据交互设备•在关键位置部署专业安全设备•Internet出口部署防火墙进行访问控制并抵御基础攻击•若有较高的安全需求还可部署lPS（人侵防御系统）抵御黑客的各种攻击•面对猖獗的病毒攻击，Internet出口应部署网关式防病毒设备•办公网络出口部署防垃圾邮件设备•移动办公采用SSL、VPN加密设备实现安全、方便的数据访问•与分支机构采用标准IPsec、VPN加密以保证安全•核心交换层或Internet出口部署流量监测系统，监控网络流量变化22网络数据交互设备•网络数据交互设备普遍具有高安全、高可靠、可管理特性•Internet出口部署防火墙进行访问控制并抵御基础攻击•若有较高的安全需求还可部署lPS（人侵防御系统）抵御黑客的各种攻击•面对猖獗的病毒攻击，Internet出口应部署网关式防病毒设备•办公网络出口部署防垃圾邮件设备•移动办公采用SSL、VPN加密设备实现安全、方便的数据访问•与分支机构采用标准IPsec、VPN加密以保证安全•核心交换层或Internet出口部署流量监测系统，监控网络流量变化23网络数据交互设备•接入终端：要求接入终端具备安全接入特性•办公网接入终端PC必须采用足够支撑业务软件的硬件系统和操作系统，并要求相关操作系统能够即使进行漏洞和补丁的更新，配备最新的病毒防护和攻击防护软件保证终端的安全。•针对大规模的终端防护应部署统一终端管理软件如EAD（终端准入防御），监控终端的补丁状态和防病毒软件状态，甚至于黑白软件列表。24网络数据交互设备•业务系统:要求硬件以及软件具有稳定的构架和安全使用机制。•酒店的关键服务器（视频节目、信息资源、网站）需要高稳定性运行，•在业务快速增长的时候，客户体验不能降低•服务器具有保护措施，可以抵御病毒、黑客的攻击•部署国内经过长期使用和检验的酒店管理软件•配合先进的安全使用架构，从而实现对于使用者身份认证、合法用户的管理25•首先，一个酒店的宽带网络大致如下图所示：262728酒店网络的安全规划•另外，大型酒店集团往往在全国各地开设分店，每个分店都有类似上图的网络，同时又和总部的网络互联。•根据这种网络结构，我们可以构造一种酒店宽带信息安全的5步解决方案：29酒店网络的安全规划•另外，大型酒店集团往往在全国各地开设分店，每个分店都有类似上图的网络，同时又和总部的网络互联。•根据这种网络结构，我们可以构造一种酒店宽带信息安全的5步解决方案：30酒店宽带信息安全的5步解决方案•第一步：安全网关•第二步：网络基础设备的安全特性•第三步：服务器安全•第四步：智能安全管理•第五步：安全服务31安全网关•安全网关解决方案是酒店宽带信息安全的核心，选用的产品最好实现了网络隔离、访问控制、防病毒、VPN、流量监控等多功能的集成。32安全网关-防火墙•防火墙：防火墙是安全网关的核心设备，基本功能是保护一个“信任”网络免受“非信任”网络的攻击，但同时还允许两个网络之间可以进行合法（符合安全策略）的通信。这个功能既可以用在出口网关，也可以用于酒店客房网和办公网之间。防火墙还能够识别并限制P2P流量，支持双机状态热备，这些功能也是酒店安全网关所需要的。33安全网关-防火墙34安全网关-ASM•ASM：防病毒安全模块（ASM）可以应用在防火墙之上，部署在网关位置对进出酒店网络的双向数据流进行病毒查杀，依据不断更新的病毒库，ASM可以极大地减少病毒侵入酒店网络的机会。35安全网关-ASM36安全网关-NSM•NSM：网络安全监控模块（NSM）也可以应用在防火墙之上，部署在网关位置为酒店提供一种便捷的安全监控手段，通过对经过网关数据流的实时分析，可以给客人及酒店管理者提供关于网络安全状态的报告。37安全网关-NSM38网络基础设备的安全特性•为了保障网络的安全稳定，网络基础设备需要具有足够的安全特性，可以通过AccessList（访问列表）控制端口和IP地址的数据访问来抑制常见病毒的传播，阻断黑客攻击数据流。也可以通过Vlan划分来限制酒店客房网络的二层区域，使可能出现的二层攻击无法扩散，保证整体网络环境的安全。39网络基础设备的安全特性•为了保障网络的安全稳定，网络基础设备需要具有足够的安全特性，可以通过AccessList（访问列表）控制端口和IP地址的数据访问来抑制常见病毒的传播，阻断黑客攻击数据流。也可以通过Vlan划分来限制酒店客房网络的二层区域，使可能出现的二层攻击无法扩散，保证整体网络环境的安全。40网络基础设备的安全特性-Netstream网流分析•Netstream网流分析：深入网络内部，将原来不可见的网络业务应用流量看的清清楚楚，进而实时的优化网络结构和资源部署，实现面向业务的管理优化.41网络基础设备的安全特性-Netstream网流分析42网络基础设备的安全特性-交换机•核心交换机：在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供业务流分析、基于策略的QOS、可控组播等智能的业务优化手段，从而为企业lT系统构建面向业务的基础网络平台，实现通信整合．数据整合奠定基础。•接入交换机：三层/二层线速智能型可网管以太网交换机，具有千兆上行、可堆叠、完备的安全和Q05控制策略等特点。43网络基础设备的安全特性-ASE•ASE：应用加速引擎（ASE）通过硬件处理实现TCP优化、内容压缩、SSL加速、负载均衡等功能的集成，部署在服务器前端可以分担服务器的大量工作，在服务器访问量急剧增加的情况下，它仍能保证客人的体验效果。44网络基础设备的安全特性-ASE45服务器安全•酒店提供视频节目点播、特色信息资源、网站都需要高可靠的服务器支持。在服务器前端实现网络2-7