您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 石家庄电信分公司网络安全方案
石家庄电信分公司网络安全方案1.背景介绍1.1.项目总述石家庄电信分公司网络安全系统主要涉及计费网络、OA网络和客服网络设计和布局。需要在一些对外接口处放置防火墙系统,以保障数据和信息在网络上传输的安全。1.2.网络环境总述石家庄电信分公司网络安全系统是非涉密的内部业务工作处理网络,传输、处理、查询工作中非涉密的信息。防火墙系统需要集中在数据中心控制机上面进行管理和审计。1.3.信息安全方案的组成1.3.1.信息安全产品的选型原则石家庄电信分公司网络安全系统是一个要求高可靠性和安全性的网络系统,若干重要的信息在网络传输过程中不可泄露,如果数据被黑客修改或者删除,那么就会严重的影响工作。所以石家庄电信分公司网络安全系统安全产品的选型事关重大,要提到国家战略的高度来衡量,否则一旦被黑客或者敌国攻入,其代价将是不能想象的。石家庄电信分公司网络安全系统网络安全系统方案必须遵循如下原则:全局性原则:安全威胁来自最薄弱的环节,必须从全局出发规划安全系统。石家庄电信分公司网络安全系统安全体系,遵循中心统一规划,局部实施的原则。综合性原则:网络安全不单靠技术措施,必须结合管理,当前我国发生的网络安全问题中,管理问题占相当大的比例,在各地方建立网络安全设施体系的同时必须建立相应的制度和管理体系。均衡性原则:安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。节约性原则:整体方案的设计应该尽可能的不改变原来网络的设备和环境,以免资源的浪费和重复投资。集中性原则:所有的防火墙产品要求在数据中心可以进行集中管理,这样才能保证在数据中心的服务器上可以掌握全局。角色化原则:防火墙产品在管理上面不仅在数据中心可以完全控制外,在地方还需要分配适当的角色使地方可以在自己的权利下修改和查看防火墙策略和审计。目前,很多公开的新闻表明美国国家安全局(NSA)有可能在许多美国大软件公司的产品中安装“后门”,其中包括一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里,不得使用美国的操作系统。作为信息安全的保障,我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品,将安全风险降至最低。在为各安全产品选型时,我们立足国内,同时保证所选产品的先进性及可靠性,并要求通过国家各主要安全测评认证。1.3.2.网络安全现状Internet正在越来越多地融入到社会的各个方面。一方面,随着网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,随着Internet和以电子商务为代表的网络应用的日益发展,Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全,日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。2000年二月,在三天的时间里,黑客使美国数家顶级互联网站-Yahoo!、Amazon、eBay、CNN陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。黑客使用了DDoS(分布式拒绝服务)的攻击手段,用大量无用信息阻塞网站的服务器,使其不能提供正常服务。在随后的不到一个月的时间里,又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。国内网站也未能幸免于难,新浪、当当书店、EC123等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城IT163网站3月6日开始运营,然而仅四天,该商城突遭网上黑客袭击,界面文件全部被删除,各种数据库遭到不同程度的破坏,致使网站无法运作。客观地说,没有任何一个网络能够免受安全的困扰,依据FinancialTimes曾做过的统计,平均每20秒钟就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。1.3.3.典型的黑客攻击黑客们进行网络攻击的目的各种各样,有的是出于政治目的,有的是员工内部破坏,还有的是出于好奇或者满足自己的虚荣心。随着Internet的高速发展,也出现了有明确军事目的的军方黑客组织。在典型的网络攻击中,黑客一般会采取如下的步骤:自我隐藏,黑客使用通过rsh或telnet在以前攻克的主机上跳转、通过错误配置的proxy主机跳转等各种技术来隐藏他们的IP地址,更高级一点的黑客,精通利用电话交换侵入主机。网络侦探和信息收集,在利用Internet开始对目标网络进行攻击前,典型的黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表,通常很容易建立一个主机列表并且开始了解主机之间的联系。黑客在这个阶段使用一些简单的命令来获得外部和内部主机的名称:例如,使用nslookup来执行“lsdomainornetwork”,finger外部主机上的用户等。确认信任的网络组成,一般而言,网络中的主控主机都会受到良好的安全保护,黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的,一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查运行nfsd或mountd的那些主机输出的NFS开始入侵,有时候一些重要目录(例如/etc,/home)能被一个信任主机mount。确认网络组成的弱点,如果一个黑客能建立你的外部和内部主机列表,他就可以用扫描程序(如ADMhack,mscan,nmap等)来扫描一些特定的远程弱点。启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运行,因为’ps’和’netstat’都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后,黑客就会对主机是否易受攻击或安全有一个正确的判断。有效利用网络组成的弱点,当黑客确认了一些被信任的外部主机,并且同时确认了一些在外部主机上的弱点,他们就要尝试攻克主机了。黑客将攻击一个被信任的外部主机,用它作为发动攻击内部网络的据点。要攻击大多数的网络组成,黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序,这样的例子包括易受攻击的Sendmail,IMAP,POP3和诸如statd,mountd,pcnfsd等RPC服务。获得对有弱点的网络组成的访问权,在攻克了一个服务程序后,黑客就要开始清除他在记录文件中所留下的痕迹,然后留下作后门的二进制文件,使其以后可以不被发觉地访问该主机。目前,黑客的主要攻击方式有:欺骗:通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用,例如盗用拨号帐号。窃听:利用以太网广播的特性,使用监听程序来截获通过网络的数据包,对信息进行过滤和分析后得到有用的信息,例如使用sniffer程序窃听用户密码。数据窃取:在信息的共享和传递过程中,对信息进行非法的复制,例如,非法拷贝网站数据库内重要的商业信息,盗取网站用户的个人信息等。数据篡改:在信息的共享和传递过程中,对信息进行非法的修改,例如,删除系统内的重要文件,破坏网站数据库等。拒绝服务:使用大量无意义的服务请求来占用系统的网络带宽、CPU处理能力和IO能力,造成系统瘫痪,无法对外提供服务。典型的例子就是2000年年初黑客对Yahoo等大型网站的攻击。黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严重后果,如果是对军用和政府网络的攻击,还会对国家安全造成严重威胁。1.3.4.网络与信息安全平台的任务网络与信息安全平台的任务就是创建一个完善的安全防护体系,对所有非法网络行为,如越权访问、病毒传播、恶意破坏等等,事前预防、事中报警并阻止,事后能有效的将系统恢复。在上文对黑客行为的描述中,我们可以看出,网络上任何一个安全漏洞都会给黑客以可乘之机。著名的木桶原理(木桶的容量由其最短的木板决定)在网络安全里尤其适用。所以,我们的方案必须是一个完整的网络安全解决方案,对网络安全的每一个环节,都要有仔细的考虑。1.3.5.网络安全解决方案的组成针对前文对黑客入侵的过程的描述,为了更为有效的保证网络安全,方正数码提出了两个理念:立体安全防护体系和安全服务支持。首先网络的安全决不仅仅是一个防火墙,它应是包括入侵测检(IDS)、虚拟专用网(VPN)等功能在内的立体的安全防护体系;其次真正的网络安全一定要配备完善的高质量的安全维护服务,以使安全产品充分发挥出其真正的安全效力。一个好的网络安全解决方案应该由如下几个部分组成:防火墙:对网络攻击的阻隔防火墙是保证网络安全的重要屏障。防火墙根据网络流的来源和访问的目标,对网络流进行限制,允许合法网络流,并禁止非法网络流。防火墙最大的意义在网络边界处提供统一的安全策略,有效的将复杂的网络安全问题简化,大大降低管理成本和潜在风险。在应用防火墙技术时,正确的划分网络边界和制定完善的安全策略是至关重要的。发展到今天,好的防火墙往往集成了其他一些安全功能。比如方正方御防火墙在很好的实现了防火墙功能的同时,也实现了下面所说的入侵检测功能;入侵检测(IDS):对攻击试探的预警当黑客试探攻击时,大多采用一些已知的攻击方法来试探。网络安全漏洞扫描器是“先敌发现”,未雨绸缪。而从另外一个角度考虑问题,“实时监测”,发现黑客攻击的企图,对于网络安全来说也是非常有意义的。甚至由此派生出了P^2DR理论。入侵检测系统通过扫描网络流里的特征字段(网络入侵检测),或者探测系统的异常行为(主机入侵检测),来发觉这类攻击的存在。一旦被发现,则报警并作出相应处理,同时可以根据预定的措施自动反应,比如暂时封掉发起该扫描的IP。需要注意的是,入侵检测系统目前不能,以后也很难,精确的发现黑客的攻击痕迹。事实上,黑客可以将一些广为人知的网络攻击进行一些较为复杂的变形,就能做到没有入侵检测系统能够识别出来。所以,在应用入侵检测系统时,千万不要因为有了入侵检测系统,就不对系统中的安全隐患进行及时补救。安全审计管理安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的事件,如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等,将这些情况真实记录,并能对于严重的违规行为进行阻断。安全审计系统所做的记录如同飞机上的黑匣子,在发生网络犯罪案件时能够提供宝贵的侦破和取证辅助数据,并具有防销毁和篡改的特性。安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息,而安全审计管理的内容是分析和报告从安全审计跟踪中得来的信息。安全审计跟踪将考虑要选择记录什么信息以及在什么条件下记录信息。收集审计跟踪的信息,通过列举被记录的安全事件的类别(例如对安全要求的明显违反或成功操作的完成),能适应各种不同的需要。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威摄作用。防病毒以及特洛伊木马计算机病毒的危害不言而喻,计算机病毒发展到今天,已经和特洛伊木马结合起来,成为黑客的又一利器。微软的原码失窃案,据信,就是一黑客使用特洛伊木马所为。安全策略的实施保证网络安全知识的普及,网络安全策略的严格执行,是网络安全最重要的保障。此外,信息备份是信息安全的最起码的要求。能减少恶意网络攻击或者意外灾害带来的破坏性损失。1.3.6.超高安全要求下的网络保护1.3.6.1.认证与授权认证与授权是一切网络安全的根基所在,尤其在网络安全管理、外部网络访问内部网络(包括拨号)时,要有非常严格的认证与授权机制,防止黑客假冒身份渗透进内部网络。对于内部访问,也要有完善的网络行为审计记录和权限限定,防止由内部人员发起的攻击──70%以上的攻击都是内部人员发起的。我们建议石家庄电信分公司网络安全系统利用基于X.509证书的认证体系(目前最强的认证体系)来进行认证。方正方御防火墙管理也是用X.509证书进行认证的。1.3.6.2.网络隔离网络安全界的一个玩笑就是:要想安全,就不要插上网线。这是一个简单的原理:如果网络是隔离开的,那么网络攻击就失去了其存在的介质,皮之不存,毛将焉附。但对于需要和外界沟通的实际应用系统来说,完全的物理隔离是行不通的。方正数码提出了安全数据通道网络隔离解决方案,在网络连通条件下,通过破坏网络
本文标题:石家庄电信分公司网络安全方案
链接地址:https://www.777doc.com/doc-1266744 .html