XX公司安全及网管解决方案.doc
《XX公司安全及网管解决方案.doc》由会员分享,可在线阅读,更多相关《XX公司安全及网管解决方案.doc(31页珍藏版)》请在咨信网上搜索。
1、XX公司安全及网管解决方案 作者: 日期:2 个人收集整理 勿做商业用途XX公司安全及网管解决方案北京兆维晓通科技有限公司2005年11月目 录1 安全概述 3 1.1安全问题的根源- 3 1.2 面临的主要安全挑战- 3 -1.3 安全建设的重要性、迫切性- 4 2 网络现状及需求分析- 5 -2.1 网络现状 5 2。2 安全风险分析- 5 2。2。1 安全隐患和安全威胁分析- 6 2.2.2 风险评估- 7 -2.3 安全需求分析- 8 2.3.1 物理与链路层安全需求 9 -2。3.2 网络层安全需求- 9 -2.3.3 系统层安全需求- 10 2。4 网管系统需求分析- 10 -2。
2、4。1 网络管理需求 10 -2.4.2 系统管理需求 11 2。4.3 实现系统与网络管理一体化 13 -3 设计目标与原则- 13 -3.1 安全设计目标与原则 13 -3.1。1 目标 13 3。1。2 原则- 13 -3。2 网管设计目标与原则- 14 -3。2。1 目标- 14 -3。2.2 原则- 15 4设计方案- 17 5 方案产品介绍 18 -5.1 ISS Proventia A 系列 18 -5。2 桌面机安全防护系统 ISS Desktop Protector 20 5.3 统一安全管理平台ISS RealSecure SiteProtector- 23 5。4 HP
3、OpenView Network Node Manager- 26 1 安全概述1.1安全问题的根源造成众多安全问题的根源是多方面的,而且也涉及信息产业发展的历史现实,主要有以下几个方面:l 信息系统的脆弱性当前的信息系统从技术上来说还是相对脆弱的系统,这些脆弱性体现在以下几个方面:通信和服务层次上的脆弱性、操作系统的漏洞、数据库层次的脆弱性、应用层的脆弱性。ll 网络安全技术相对滞后重视程度不够、缺乏对黑客技术的研究、无法及时追踪与阻止黑客攻击、安全技术的滞后性、专业技术人员的缺乏、人员教育与培训l 整体方案设计中的缺陷l 运行和管理体制上的缺陷1.2 面临的主要安全挑战尽管有众多的专家、用
4、户和厂商长期致力于提高信息系统的安全性,然而由于历史和现状所造成的原因,信息安全是一个任重而道远的长期任务。对于构建信息安全防护体系的人员,尤其是国内的信息安全领域专业人士来说,面临以下的挑战:l 计算机技术及应用的不断发展,安全技术需要不断适应新的计算机和应用技术,因此不存在一劳永逸的安全技术、方案和措施。l 网上犯罪现象猖獗,而具体的犯罪事件不但和技术有关,还与管理,法律,取证规范等方面有关,信息安全研究人士不但面临技术上的挑战,还面临各方面的其他挑战。l 有害信息泛滥,尤其是攻击技术的大范围传播,使得安全防范更为困难.由于互联网本身就是一个对内容开放和自由的环境,所以目前还无法对有害信息
5、进行有效的控制,需要一定的突破性的技术革新才能有所进展。l 网络病毒无处不在,病毒的制造技术越来越高明,制作病毒的方法却越来越简单。而且当前病毒的快速传播特性使得传统的病毒防杀技术已经很难跟上发展需要。l 黑客攻击无孔不入,只要有一个漏洞被突破,都将使其它的安全防御措施形同虚设。1。3 安全建设的重要性、迫切性网络安全问题直接关系到一个国家的政治、军事、经济等领域的安全和稳定。因此,提高对网络安全重要性的认识,增强防范意识,强化防范措施,转变网络安全观念成为网络持续稳定发展的重要保证和前提条件.据调查,目前约有60的企业认为最常面临的安全性威胁,是来自于计算机病毒的攻击,而22%的企业则担心黑
6、客的入侵。随着企业e化的成熟度越来越高,网络安全的重要性也随之增加,目前,已有越来越多的企业开始意识到网络安全的重要性,并加强了在网络安全方面的建设。然而,在人们开始意识到网络安全重要性的同时,在具体实践中却往往走入误区.虽然,很多的企业已具有某种程度的网络安全措施,但却偏重于现成的防毒产品,而非全面性的网络安全解决方案.这就使得在实际的应用中,往往是补了西墙漏东墙,顾此失彼,不能达到很好的网络防护效果。对于企业来说,网络安全建设的投资并不会给企业带来直接的利润,或是直接降低企业的成本支出,因此,在不景气的情况下,企业在对网络安全资金做预算时也会有所迟疑。然而事实上,全球有许多案例都证明了,一
7、旦信息安全遭到入侵,都会直接或间接影响企业的收入,甚至给企业造成巨大的损失。“亡羊可以,但一定要补牢”,可事实上,很多的企业并没有真正做到这一点.网络安全是动态的、长期的,不能说你今天买了防火墙就能确保永远不出问题。2 网络现状及需求分析2。1 网络现状上图是XX公司网络现状。公司拥有总部局域网和五个分支机构的局域网,目前只有防火墙作为网络防护.网络中也没有网络管理系统。2.2 安全风险分析XX公司网络与信息系统是一个跨越地理位置较广的、规模较大的、应用情况复杂的广域网,目前在网络安全基础设施建设方面比较薄弱,同时由于在网络技术与协议的开放性,以及在使用和管理上需要逐步制定一系列的制度和规范的
8、问题,使得网络技术的迅速发展带来了数据安全的新挑战,如何保护重要信息不受黑客和不法分子的入侵,保证通信网络的安全性、可用性、完整性以及保密性等问题摆在我们面前。2。2。1 安全隐患和安全威胁分析根据XX公司网络与信息系统的实际情况分析,对网络中潜在的安全威胁和安全隐患分析如下:1、传输线路信息泄漏:XX公司网络是一个分布式的广域网络系统,网络覆盖的范围广,用户数据量大而且采用的都是通用的协议和平台,因此在网络上的信息和数据容易遭到外部人员的窃听,特别是在通过公共通信网传输的部分。2、非授权访问:有意避开系统访问控制机制,对系统设备及资源进行非正常使用,擅自扩大权限,越权访问信息.3、冒充合法用
9、户:网上“黑客”非法增加节点,使用假冒主机欺骗合法用户及主机;使用假冒的系统控制程序套取或修改使用权限、口令、密钥等信息,然后,利用这些信息进行登录,从而达到欺骗系统,占用合法用户资源的目的。4、破坏数据的完整性:以非法手段窃得对数据的使用权,删除、修改或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用.5、干扰系统的正常运行:不断对服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,严重影响正常用户的使用和工作。6、通过电子邮件、文件共享等传播的病毒,会严重网络病毒问题:目前由于网络蠕虫病毒的泛滥,对网络用户造成了极大的损失;尤其是
10、在网络环境下病毒的传播更加便捷,如影响系统的正常运行。7、来自内部人员的威胁:据IDC统计,2003年来自于内部人员的安全事件占安全事件总数的80%以上。可能是内部员工的计算机与Internet相连,其机器遭到黑客的攻击,黑客再利用它作为跳板,攻击重要的服务器;而且来自于内部员工(或者内外勾结)的破坏行为,往往对整个系统的破坏作用将更大.内部安全威胁包括两个方面:一是内部员工的恶意攻击,由于在网络内部较网络外部更容易直接通过局域网连接到核心服务器等关键设备,尤其是管理员拥有一定的权限可以轻而易举地对内网进行破坏,造成严重后果。另外一方面是由于内部人员的误操作,或者为了贪图方便绕过安全系统等违规
11、的操作从而对网络构成威胁。由此看来,网络内部安全更需要引起重视。8、安全管理比较薄弱:随着网络安全事件的频繁发生,各企业开始纷纷加强投入信息安全方面的建设,越来越多的各项安全技术、产品被广泛的使用,但许多用户在安全管理方面比较薄弱,考虑得比较少。在技术上缺乏完善的安全管理平台,对所有的安全系统进行统一协调的管理,将它们融合为一个整体;而在管理上缺乏良好的安全管理体制和策略,包括制度的不完善、机构混乱、策略不统一等都需要提高,而这些直接导致了整个安全体系的华而不实,造成网络整体安全防御能力的下降,无法真正达到企业的安全要求。从上述安全威胁中可以看出,在XX公司网络中,存在针对信息系统可用性、保密
12、性以及完整性的许多安全问题,因此需要从整体上进行充分的、综合的评估分析,确认系统中最迫切需要解决的安全问题,从而为安全体系的规划以及建设提供明确的指导性建议,并逐步完善信息安全体系的建设,全面保障XX公司网络系统的可靠、稳定的运行。2。2。2 风险评估风险评估就是确认安全风险以及影响大小的过程,一般采用定量以及定性分析方法,确定保护数据的风险等级以及安全措施实施的优先次序。在进行XX公司网络安全风险评估过程中,我们综合考虑了如下因素:l 安全事件可能造成的业务损失,包含由于信息和其他资产的保密性、完整性或可用性损失可能造成的后果;l 当前主要的威胁和漏洞带来的现实安全问题,以及目前实施的控制措
13、施;在整个安全风险评估过程中,根据XX公司网络信息安全系统所保护的范围进行了全方位的分析.根据上述的安全威胁以及安全隐患的分析,在XX公司网络信息系统中,各主要威胁的风险评估如下表所示:序号风险与威胁发生的概率危害程度安全目标1自然灾害和环境事故低中可用性2信息泄漏低(专网)/中低保密性3网络入侵中中可用性、完整性4非授权访问低高完整性5冒充合法用户低中保密性、可用性、完整性6口令使用与破解中中保密性7破坏数据完整性中高完整性8数据丢失低高可用性、完整性9网络病毒传播高中可用性10恶意代码与后门低高可用性、完整性、保密性11破坏系统可用性低高可用性12安全管理缺陷中高可用性、完整性、保密性13
14、不良的内部人员低高可用性、完整性由于安全系统的建设是一个动态的、具有生命周期的系统过程,因此在安全系统建设完成之后,随着技术的发展以及业务的扩展,系统可能会产生新的漏洞、新的安全问题和隐患,因此需要持续不断对系统进行检测、监控以及评估,及时发现系统中存在的新的弱点,并采取相应的技术和管理手段,弥补漏洞,进一步完善安全体系,使得安全系统的建设形成一个良性循环的生命周期过程.2。3 安全需求分析安全需求是通过对安全风险的系统评估确定的,我们在进行安全系统建设过程中将充分考虑实施安全控制措施的支出与安全故障可能造成的业务损失进行权衡考虑。安全需求是建立良好的安全体系的前提条件,我们从XX公司网络系统
15、的实际情况出发,根据对用户网络系统脆弱性以及安全威胁的风险评估,我们把整体的安全需求根据不同的侧重点,从物理与链路层安全、网络层安全和系统层安全等三个方面进行充分的考虑.信息安全保障体系各层次的安全需求具体描述如下:2。3.1 物理与链路层安全需求在XX公司网络安全系统建设中,物理与链路层安全需求阐述如下:1、从数据传输链路安全方面考虑:考虑到大量内部的数据跨过广域网进行传输,可能被它人窃听和破坏,因此对数据的传输的安全具有以下需求:l 信息在传输过程中保持保密性、完整性、可靠性,防篡改,拟采用相关加密技术和产品,对敏感数据的传输进行加密,同时对传输双方的身份加以鉴别,从而达到安全保密性以及完
16、整性的要求。l 关键信息传输的链路必须通过备份链路等方式,保证相关信息的传输不受到人为、物理的其它因素的影响。l 对系统中的关键应用以及关键的网络连接建立相应的安全机制,如建立备份通道,以便在主通道发生故障的情况,及时采用备份通道,最大程度的保障网络的可用性。2。3。2 网络层安全需求网络层是网络入侵者攻击信息系统的渠道和通路,因此许多安全问题都集中体现在网络的安全方面。在XX公司网络网络平台安全体系中,安全需求主要包括以下内容:l 网络安全优化主要是对系统中不同网段的、不同功能要求以及不同的安全等级的区域的划分,同时根据不同的安全级别,针对性的制定各区域之间的访问控制规则。主要是对现有的网络
17、设备加强安全策略配置如访问控制列表,进行严格的访问控制,并对核心网络设备进行相应的安全设置。l 防火墙防火墙是网络层安全领域最成熟、使用最广泛的技术,用于隔离信任网络与不信任网络的有效工具.需要在全省各网络中部署防火墙隔离内外网,设置各级安全屏蔽,将全网在网络上分割为相对独立的子网,免收外来袭击。l 网络入侵防护与相应的安全审计系统建立全网网络入侵防护检测与相应的安全审计系统,及时监测、拦截并记录来自外部和网络其它部分的黑客入侵行为,拒绝服务攻击,违规操作等,并能对相关入侵行为进行多个日志系统的关联分析,排除虚假的报警信息、过滤掉低风险事件,得到最准确的关键安全事件信息。l 网络安全监管与故障
18、处理通过建立网络管理系统,实现对全网关键网络设备的运行状态、链路的情况进行实时监控与管理,及时发现网络故障情况,并采取相应的响应报警机制,马上通知管理人员进行处理,尽量保障网络的可用性。2。3.3 系统层安全需求主机服务器系统是整个应用业务的基础平台设施,因此其安全性会影响到整个应用业务系统能否正常的运营。在安全系统中,系统平台的安全建设主要有: l 主机系统漏洞扫描与加固采用安全扫描技术,对XX系统中关键的主机和服务器进行定期漏洞扫描与评估,针对相关的系统漏洞,自动提出修补的措施,并定期进行相关操作系统的裁剪、修补和加固的工作。l 网络病毒防杀系统建立全网的病毒检测与防范系统,及时检测和控制
19、各种文件、宏和其它网络病毒的传播和破坏,具有集中统一的管理界面,系统具有自动升级,自动数据更新,可管理性等特性。2。4 网管系统需求分析2.4。1 网络管理需求了解包括总部及五个分支机构的网络状况,包括网络设备管理、网络性能管理和网络配置管理.实现远程管理和维护,保证网络的可用性、可靠性和安全性;网络性能管理通过对各种性能指标的监控、调节,确保网络的可靠性和高效率,优化网络质量。为了实现统一的、高效的管理,需要对整个系统内的问题进行综合分析,把网络的事件与系统、数据库、应用的事件统一起来分析,以分析问题的根本原因。网络安全管理应负责对系统网络的使用进行审查,杜绝无权用户对系统网络的使用,保障网
20、络上传络数据资源的安全,保护用户信息在网输的安全。网络拓扑的自动发现。可自动发现网络节点、自动生网络拓扑图,并对网络事件进行处理.如发现某台机器关机或开机或某种特定事件时,发出报警声音;机器何时开机,何时关机,因何故障出现死机;IP地址是否有重复使用;机器所对应的IP地址,主机名及机型等均可在窗口中反映出来。发现过滤,拓扑过滤,图象过滤功能.可以根据自己的需要,选择要发现监控的对象,定制MAP,按一定的共同特征将被管对象进行分组。动态监测网络.自动发现和监控机制能够发现网络节点,检测网络网络连接,生成和保持TCP/IP网络图,通过色彩确定网络设备的运行状态,通过MIB浏览器了解外围设备的工作状
21、况,可通过在被管节点上扩展SNMP子代理,在管理站上装载其MIB的方式对其进行监视。使用预定义的MIB应用或创建MIB查询应用监视网络连接的通信速率,信息流量等.分布式管理.分布式及可伸缩结构可为指定域分配采集器,采集器可向分布在广域网上的一个或多个管理器报告发现设备的情况与设备变化的情况,只有重要的数据才被传往管理器,这样减少了全网的信息流量,从而最大限度地节约网络带宽。文档为个人收集整理,来源于网络本文为互联网收集,请勿用作商业用途2.4.2 系统管理需求对提供集中和分布式管理功能,可使用户积极地监视和管理网络、系统、应用程序以及数据库的所有方面,有相应的监控、管理功能,形成一套统一的网络
22、与系统管理整体解决方案,实现包括配置管理、可用性管理、安全管理、操作管理、应用管理等功能;同时,对于各种事件,有一套完善的收集、告警、处理、分析、自动处理功能,为整个企业网提供统一的、智能的事件处理服务,同时能够提供API接口,能针对重要的应用进行二次开发。性能管理对系统各个组成部分的性能数据进行实时的采集和处理,在此基础上,结合配置管理功能,保证系统的性能正常。能够进行量的定义,设置一定的阀值,当所定义的资源性能超出阀值时应能自动发出告警并触发相应的处理。对操作系统实现的监控功能:CPU利用率,包括系统,用户进程,I/O占用的CPU时间;交换空间(SwapSpace)的使用情况;磁盘阵列系统
23、使用情况.应能对系统中任何日志文件进行监控,管理员可指定监控的信息(关键字),如果出现了指定的信息,应能立即自动执行特定的命令或向特定的管理工作站发送告警信息。应能自动连续收集系统(操作系统,数据库,应用程序)的运行性能信息并对这些信息进行分析处理。为系统管理员提供定期的运行性能分析报表。在整个系统工作效率或功能部分下降时提出告警信息,严重下降时则由故障管理处理.数据库系统是应用系统的基础,应对数据库系统的多种参数进行分析,并可以对这些参数做对照分析。故障管理故障管理功能应能作到实时侦测、收集系统主机的运行状态信息,当侦测到故障信息时,向指定的监控坐席发出告警信息,写入故障日志,向系统管理员信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 公司 安全 网管 解决方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。