您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 移动集团网络安全整体项目解决方案
网络安全整体解决方案第一部分网络安全概述第一章网络安全体系的基本认识自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.5万亿美元。(一)安全威胁由于企业网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。所以,企业网络可能存在的安全威胁来自以下方面:(1)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。(2)防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。(3)来自内部网用户的安全威胁。(4)缺乏有效的手段监视、评估网络系统的安全性。(5)采用的TCP/IP协议族软件,本身缺乏安全性。(6)未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。(7)应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。(二)网络安全的需求1、企业网络的基本安全需求满足基本的安全要求,是该网络成功运行的必要条件,在此基础上提供强有力的安全保障,是建设企业网络系统安全的重要原则。企业网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是企业网络的基本安全需求。对于各科各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。2、业务系统的安全需求与普通网络应用不同的是,业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施。企业网络应保障:访问控制,确保业务系统不被非法访问。数据安全,保证数据库软硬件系统的整体安全性和可靠性。入侵检测,对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据。来自网络内部其他系统的破坏,或误操作造成的安全隐患。3、Internet服务网络的安全需求Internet服务网络分为两个部分:提供网络用户对Internet的访问:提供Internet对网内服务的访问。网络内客户对Internet的访问,有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此,需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。网络安全需求是保护网络不受破坏,确保网络服务的可用性,作为信息网络之间的互联的边界安全应作为主要安全需求:需要保证信息网络之间安全互联,能够实现网络安全隔离;对于专有应用的安全服务;必要的信息交互的可信任性;能够提供对于主流网络应用(如、Mail、Ftp、Oicq和NetMeeting等)良好支持,并能够实现安全应用;同时信息网络公共资源能够对开放用户提供安全访问;能够防范包括:利用Http应用,通过JavaApplet、ActiveX以及JavaScript形式;利用Ftp应用,通过文件传输形式;利用SMTP应用,通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于信息网络的侵害;对网络安全事件的审计;对于网络安全状态的量化评估;对网络安全状态的实时监控;其次,对于信息网络内部同样存在安全需求,包括:信息网络中的各单位网络之间建立连接控制手段;能够满足信息网络内的授权用户对相关专用网络资源访问;同时对于远程访问用户增强安全管理;加强对于整个信息网络资源和人员的安全管理与培训。(三)网络安全与网络性能和功能的关系通常,系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。但是,企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下,提供灵活的网络服务通道。采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。全方位的安全体系:与其它安全体系(如保安系统)类似,企业应用系统的安全休系应包含:访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。认证:良好的认证体系可防止攻击者假冒合法用户。备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。隐藏内部信息,使攻击者不能了解系统内的基本情况。设立安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。(四)网络安全的管理因素网络安全可以采用多种技术来增强和执行。但是,很多安全威胁来源于管理上的松懈及对安全威胁的认识。安全威胁主要利用以下途径:系统实现存在的漏洞。系统安全体系的缺陷。使用人员的安全意识薄弱。管理制度的薄弱。良好的网络管理有助于增强系统的安全性:及时发现系统安全的漏洞。审查系统安全体系。加强对使用人员的安全知识教育。建立完善的系统管理制度。如前所述,能否制定一个统一的安全策略,在全网范围内实现统一的安全管理,对于信息网来说就至关重要了。安全管理主要包括两个方面:内部安全管理:主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。网络安全管理:在网络层设置路由器、防火墙、安全检测系统后,必须保证路由器和防火墙的ACL设置正确,其配置不允许被随便修改。网络层的安全管理可以通过防火墙、安全检测、网络病毒防治以及网管等一些网络层的管理工具来实现。第二章网络安全技术概述基于以上的分析,企业网络系统涉及到各方面的网络安全问题,我们认为整个企业的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术,入侵监控技术、安全漏洞扫描技术、病毒防护技术、加密技术、认证和数字签名技术等。下面就以上技术加以详细阐述:一.虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IPsweep,teardrop,sync-flood,IPspoofing攻击等。二.防火墙枝术防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。1、使用Firewall的益处保护脆弱的服务通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的MailServer和WebServer。集中的安全管理Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。增强的保密性使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。记录和统计网络利用数据以及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。2、设置Firewall的要素网络策略影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。服务访问策略服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。Firewall设计策略Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。通常采用第二种类型的设计策略。3、Firewall的基本分类包过滤IP包过滤:√源IP地址;√目的IP地址;√TCP/UDP源端口;√TCP/UDP目的端口。包过滤路由器存在许多弱点:√包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性(手工测试除外)。一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来。√实际运行中,经常会发生规则例外,即要求允许通常情况下禁止的访问通过。但是,规则例外使包过滤规则过于复杂而难以管理。例如,定义规则-禁止所有到达(Inbound)的端口23连接(telnet),如果某些系统需要直接Telnet连接,此时必须为内部网的每个系统分别定义一条规则。√某些包过滤路由器不支持TCP/UDP源端口过滤,可能使过滤规则集更加复杂,并在过滤模式中打开了安全漏洞。如SMTP连接源端口是随机产生的(1023),此时如果允许双向的SMTP连接,在不支持源端口过滤的路由器上必须定义一条规则:允许所有1023端口的双向连接。此时用户通过重新映射端口,可以绕过过滤路由器。√对许多RPC(RemouteProcedureCall服务进行包过滤非常困难。由于RPC的Listen口是在主机启动后随机地分配的,要禁止RPC服务,通常需要禁止所有的UDP(绝大多数RPC使用UDP)
本文标题:移动集团网络安全整体项目解决方案
链接地址:https://www.777doc.com/doc-6516773 .html