移动集团网络安全整体解决方案样本.doc
《移动集团网络安全整体解决方案样本.doc》由会员分享,可在线阅读,更多相关《移动集团网络安全整体解决方案样本.doc(22页珍藏版)》请在咨信网上搜索。
1、网络安全整体处理方案第一部分 网络安全概述第一章 网络安全体系基础认识 自信息系统开始运行以来就存在信息系统安全问题,经过网络远程访问而组成安全威胁成为日益受到严重关注问题。依据美国FBI调查,美国每十二个月因为网络安全造成经济损失超出1.5万亿美元。(一)安全威胁 因为企业网络内运行关键是多个网络协议,而这些网络协议并非专为安全通讯而设计。所以,企业网络可能存在安全威胁来自以下方面: (1) 操作系统安全性。现在流行很多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。 (2) 防火墙安全性。防火墙产品本身是否安全,是否设置错误,需要经过检验。 (3) 来自内
2、部网用户安全威胁。 (4) 缺乏有效手段监视、评定网络系统安全性。 (5) 采取TCP/IP协议族软件,本身缺乏安全性。 (6) 未能对来自Internet电子邮件夹带病毒及Web浏览可能存在Java/ActiveX控件进行有效控制。 (7) 应用服务安全,很多应用服务系统在访问控制及安全通讯方面考虑较少,而且,假如系统设置错误,很轻易造成损失。(二)网络安全需求1、企业网络基础安全需求 满足基础安全要求,是该网络成功运行必需条件,在此基础上提供强有力安全保障,是建设企业网络系统安全关键标准。 企业网络内部布署了众多网络设备、服务器,保护这些设备正常运行,维护关键业务系统安全,是企业网络基础安
3、全需求。 对于各科各样网络攻击,怎样在提供灵活且高效网络通讯及信息服务同时,抵御和发觉网络攻击,而且提供跟踪攻击手段,是本项目需要处理问题。2、业务系统安全需求和一般网络应用不一样是,业务系统是企业应用关键。对于业务系统应该含有最高网络安全方法。企业网络应保障:l 访问控制,确保业务系统不被非法访问。l 数据安全,确保数据库软硬件系统整体安全性和可靠性。l 入侵检测,对于试图破坏业务系统恶意行为能够立即发觉、统计和跟踪,提供非法攻击犯罪证据。l 来自网络内部其它系统破坏,或误操作造成安全隐患。3、Internet服务网络安全需求Internet服务网络分为两个部分:提供网络用户对Interne
4、t访问:提供Internet对网内服务访问。网络内用户对Internet访问,有可能带来一些类型网络安全。如经过电子邮件、FTP引入病毒、危险Java或ActiveX应用等。所以,需要在网络内对上述情况提供集成网络病毒检测、消除等操作。网络安全需求是保护网络不受破坏,确保网络服务可用性,作为信息网络之间互联边界安全应作为关键安全需求: 需要确保信息网络之间安全互联,能够实现网络安全隔离; 对于专有应用安全服务; 必需信息交互可信任性; 能够提供对于主流网络应用(如WWW、Mail、Ftp、Oicq和NetMeeting等)良好支持,并能够实现安全应用; 同时信息网络公共资源能够对开放用户提供安
5、全访问; 能够防范包含: 利用Http应用,经过Java Applet、ActiveX和Java Script形式; 利用Ftp应用,经过文件传输形式; 利用SMTP应用,经过对邮件分析及利用附件所造成信息泄漏和有害信息对于信息网络侵害; 对网络安全事件审计; 对于网络安全状态量化评定; 对网络安全状态实时监控;其次,对于信息网络内部一样存在安全需求,包含: 信息网络中各单位网络之间建立连接控制手段; 能够满足信息网络内授权用户对相关专用网络资源访问; 同时对于远程访问用户增强安全管理; 加强对于整个信息网络资源和人员安全管理和培训。(三) 网络安全和网络性能和功效关系 通常,系统安全和性能和
6、功效是一对矛盾关系。假如某个系统不向外界提供任何服务(断开),外界是不可能组成安全威胁。不过,企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭网络建成了一个开放网络环境,多种安全包含系统级安全问题也随之产生。构建网络安全系统,首先因为要进行认证、加密、监听,分析、统计等工作,由此影响网络效率,而且降低用户应用灵活性;其次也增加了管理费用。不过,来自网络安全威胁是实际存在,尤其是在网络上运行关键业务时,网络安全是首先要处理问题。选择合适技术和产品,制订灵活网络安全策略,在确保网络安全情况下,提供灵活网络服务通道。采取合适安全体系设计和管理计划,能够有效降低网络安全对网络性能
7、影响并降低管理费用。全方位安全体系:和其它安全体系(如保安系统)类似,企业应用系统安全休系应包含:访问控制:经过对特定网段、服务建立访问控制体系,将绝大多数攻击阻止在抵达攻击目标之前。检验安全漏洞:经过对安全漏洞周期检验,即使攻击可抵达攻击目标,也可使绝大多数攻击无效。攻击监控:经过对特定网段、服务建立攻击监控体系,可实时检测出绝大多数攻击,并采取对应行动(如断开网络连接、统计攻击过程、跟踪攻击源等)。加密通讯:主动加密通讯,可使攻击者不能了解、修改敏感信息。认证:良好认证体系可预防攻击者假冒正当用户。备份和恢复:良好备份和恢复机制,可在攻击造成损失时,立即地恢复数据和系统服务。多层防御,攻击
8、者在突破第一道防线后,延缓或阻断其抵达攻击目标。隐藏内部信息,使攻击者不能了解系统内基础情况。设置安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。(四)网络安全管理原因 网络安全能够采取多个技术来增强和实施。不过,很多安全威胁起源于管理上松懈及对安全威胁认识。安全威胁关键利用以下路径:l 系统实现存在漏洞。l 系统安全体系缺点。l 使用人员安全意识微弱。l 管理制度微弱。良好网络管理有利于增强系统安全性:l 立即发觉系统安全漏洞。l 审查系统安全体系。l 加强对使用人员安全知识教育。l 建立完善系统管理制度。如前所述,能否制订一个统一安全策略,在全网范围内实现统一安全管理,
9、对于信息网来说就至关关键了。安全管理关键包含两个方面:l 内部安全管理:关键是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效方法确保制度实施。内部安全管理关键采取行政手段和技术手段相结合方法。l 网络安全管理:在网络层设置路由器、防火墙、安全检测系统后,必需确保路由器和防火墙ACL设置正确,其配置不许可被随便修改。网络层安全管理能够经过防火墙、安全检测、网络病毒防治和网管等部分网络层管理工具来实现。第二章 网络安全技术概述基于以上分析,企业网络系统包含到各方面网络安全问题,我们认为整个企业安全体系必需集成
10、多个安全技术实现。如虚拟网技术、防火墙技术,入侵监控技术、安全漏洞扫描技术、病毒防护技术、加密技术、认证和数字署名技术等。下面就以上技术加以具体叙述:一. 虚拟网技术 虚拟网技术关键基于多年发展局域网交换技术(ATM和以太网交换)。交换技术将传统基于广播局域网技术发展为面向连接技术。所以,网管系统有能力限制局域网通讯范围而无需经过开销很大路由器。由以上运行机制带来网络安全好处是显而易见:信息只抵达应该抵达地点。所以、预防了大部分基于网络监听入侵手段。经过虚拟网设置访问控制,使在虚拟网外网络节点不能直接访问虚拟网内节点。不过,虚拟网技术也带来了新安全问题:实施虚拟网交换设备越来越复杂,从而成为被
11、攻击对象。基于网络广播原理入侵监控技术在高速交换网络内需要特殊设置。基于MACVLAN不能预防MAC欺骗攻击。 以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。 不过,采取基于MACVLAN划分将面临假冒MAC地址攻击。所以,VLAN划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在网段机器均属于相同VLAN。网络层通讯能够跨越路由器,所以攻击能够从远方提议。IP协议族各厂家实现不完善,所以,在网络层发觉安全漏洞相对更多,如IP sweep, teardrop, sync-f
12、lood, IP spoofing攻击等。二. 防火墙枝术 防火墙是多年发展起来关键安全技术,其关键作用是在网络入口点检验网络通讯,依据用户设定安全规则,在保护内部网络安全前提下,提供内外网络通讯。1、使用Firewall益处保护脆弱服务 经过过滤不安全服务,Firewall能够极大地提升网络安全和降低子网中主机风险。比如,Firewall能够严禁NIS、NFS服务经过,Firewall同时能够拒绝源路由和ICMP重定向封包。控制对系统访问 Firewall能够提供对系统访问控制。如许可从外部访问一些主机,同时严禁访问另外主机。比如,Firewall许可外部访问特定Mail Server和We
13、b Server。集中安全管理 Firewall对企业内部网实现集中安全管理,在Firewall定义安全规则能够利用于整个内部网络系统,而无须在内部网每台机器上分别设置安全策略。如在Firewall能够定义不一样认证方法,而不需在每台机器上分别安装特定认证软件。外部用户也只需要经过次认证即可访问内部网。增强保密性 使用Firewall能够阻止攻击者获取攻击网络系统有用信息,如Finger和DNS。统计和统计网络利用数据和非法使用数据 Firewall能够统计和统计经过Firewall网络通讯,提供相关网络使用统计数据,而且,Firewall能够提供统计数据,来判定可能攻击和探测。策略实施 Fi
14、rewall提供了制订和实施网络安全策略手段。未设置Firewall时,网络安全取决于每台主机用户。2、 设置Firewall要素网络策略 影响Firewall系统设计、安装和使用网络策略可分为两级,高级网络策略定义许可和严禁服务和怎样使用服务,低级网络策略描述Firewall怎样限制和过滤在高级策略中定义服务。服务访问策略 服务访问策略集中在Internet访问服务和外部网络访问(如拨入策略、SLIP/PPP连接等)。 服务访问策略必需是可行和合理。可行策略必需在阻止己知网络风险和提供用户服务之间取得平衡。经典服务访问策略是:许可经过增强认证用户在必需情况下从Internet访问一些内部主机
15、和服务;许可内部用户访问指定Internet主机和服务。Firewall设计策略 Firewall设计策略基于特定firewall,定义完成服务访问策略规则。通常有两种基础设计策略:许可任何服务除非被明确严禁;严禁任何服务除非被明确许可。通常采取第二种类型设计策略。3、 Firewall基础分类包过滤 IP包过滤: 源IP地址; 目标IP地址; TCP/UDP源端口; TCP/UDP目标端口。 包过滤路由器存在很多弱点: 包过滤规则难于设置并缺乏已经有测试工具验证规则正确性(手工测试除外)。部分包过滤路由器不提供任何日志能力,直到闯进发生后,危险封包才可能检测出来。 实际运行中,常常会发生规则
16、例外,即要求许可通常情况下严禁访问经过。不过,规则例外使包过滤规则过于复杂而难以管理。比如,定义规则-严禁全部抵达(Inbound)端口23连接(telnet),假如一些系统需要直接Telnet连接,此时必需为内部网每个系统分别定义一条规则。 一些包过滤路由器不支持TCP/UDP源端口过滤,可能使过滤规则集愈加复杂,并在过滤模式中打开了安全漏洞。如SMTP连接源端口是随机产生(1023),此时假如许可双向SMTP连接,在不支持源端口过滤路由器上必需定义一条规则:许可全部1023端口双向连接。此时用户经过重新映射端口,能够绕过过滤路由器。 对很多RPC(Remoute Procedure Cal
17、l服务进行包过滤很困难。因为RPCListen口是在主机开启后随机地分配,要严禁RPC服务,通常需要严禁全部UDP(绝大多数RPC使用UDP),如此可能需要许可DNS连接就会被严禁。应用网关 为了处理包过滤路由器弱点,Firewall要求使用软件应用来过滤和传送服务连接(如Telnet和Ftp)。这么应用称为代理服务,运行代理服务主机被称为应用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高安全性和更大灵活性。 应用网关优点是: 比包过滤路由器更高安全件。 提供对协议过滤,如能够严禁FTP连接Put命令。 信息隐藏,应用网关为外部连接提供代理。 健壮认证和日志。 节省费用
18、,第三方认证设备(软件或硬件)只需安装在应用网关上。 简化和灵活过滤规则,路由器只需简单地经过抵达应用网关包并拒绝其它包经过。 应用网关缺点在于: 新服务需要安装新代理服务器。 有时需要对用户软件进行修改。 可能会降低网络性能。 应用网关可能被攻击。线路级网关线路级网关提供内部网和外部网连接中继,但不提供额外处理和过滤能力。Stateful防火墙 该类防火墙综合了包过滤防火墙及应用网关特征。能够提供比应用网关更多连接特征,不过安全性比较应用网关差。4、 建设Firewall标准 分析安全和服务需求 以下问题有利于分析安全和服务需求: 计划使用哪些Internet服务(如http,ftp,gop
19、her),从何处使用Internet服务(当地网,拨号,远程办公室)。 增加需要,如加密或拔号接入支持。 提供以上服务和访问风险。 提供网络安全控制同时,对系统应用服务牺牲代价。 策略灵活性 Internet相关网络安全策略总来说,应该保持一定灵活性,关键有以下原因: Internet本身发展很快,机构可能需要不停使用Internet提供新服务开展业务。新协议和服务大量涌现带来新安全问题,安全策略必需能反应和处理这些问题。 机构面临风险并非是静态,机构职能转变、网络设置改变全部有可能改变风险。 远程用户认证策略 远程用户不能经过放置于Firewall后未经认证Modem访问系统。 PPP/SL
20、IP连接必需经过Firewall认证。 对远程用户进行认证方法培训。拨入/拨出策略 拨入/拨出能力必需在设计Firewall时进行考虑和集成。 外部拨入用户必需经过Firewall认证。 Information Server策略 公共信息服务器安全必需集成到Firewall中。 必需对公共信息服务器进行严格安全控制,不然将成为系统安全缺口。 为Information server定义折中安全策略许可提供公共服务。 对公共信息服务和商业信息(如email)讲行安全策略区分。 Firewall系统基础特征 Firewall必需支持“严禁任何服务除非被明确许可”设计策略。 Firewall必需支持实
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 移动 集团 网络安全 整体 解决方案 样本
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。