信息系統(tǒng)安全整體解決設(shè)計方案

1、信息系統(tǒng)安全整體解決設(shè)計方案安全系統(tǒng)整體解決方案設(shè)計 第一章企業(yè)網(wǎng)絡(luò)的現(xiàn)狀描述 (3)1.1 企業(yè)網(wǎng)絡(luò)的現(xiàn)狀描述 (3)第二章企業(yè)網(wǎng)絡(luò)的漏洞分析 (4)2.1 物理安全 (4)2.2 主機安全 (4)2.3 外部安全 (4)2.4 內(nèi)部安全 (5)(5)2.5 內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全 第三章企業(yè)網(wǎng)絡(luò)安全整體解決方案設(shè)計 (5)3.1 企業(yè)網(wǎng)絡(luò)的設(shè)計目標(biāo) (5)3.2 企業(yè)網(wǎng)絡(luò)的設(shè)計原則 (6)3.3 物理安全解決方案 (6)3.4 主機安全解決方案 (7)3.5 網(wǎng)絡(luò)安全解決方案 (7)第四章方案的驗證及調(diào)試 (8)第五章總結(jié) (9)參考資料 錯誤！未定義書簽。企業(yè)網(wǎng)絡(luò)整體解決方

2、案設(shè)計 第一章企業(yè)網(wǎng)絡(luò)的現(xiàn)狀描述 1.1企業(yè)網(wǎng)絡(luò)的現(xiàn)狀描述 網(wǎng)絡(luò)拓撲圖以 Internet 發(fā)展為代表的全球性信息化浪潮日益深刻，信息 網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛， 應(yīng)用層次正在深入， 應(yīng)用領(lǐng) 域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展,以往一直保持獨立的大型機和中 -高端開放式系統(tǒng) (Unix 和 NT )部 分迅速融合成為一個異構(gòu)企業(yè)部分。以往安全系統(tǒng)的設(shè)計是采用被動防護模式， 針對系統(tǒng)出現(xiàn)的 各種情況采取相應(yīng)的防護措施， 當(dāng)新的應(yīng)用系統(tǒng)被采納以后、 或 者發(fā)現(xiàn)了新的系統(tǒng)漏洞， 使系統(tǒng)在實際運行中遭受攻擊， 系統(tǒng)管 理員再根據(jù)情況采取相應(yīng)的補救措施。 這種以應(yīng)用處理為核心的

3、安全防護方案使系統(tǒng)管理人員忙于處理不同系統(tǒng)產(chǎn)生的各種故 障。人力資源浪費很大，而且往往是在系統(tǒng)破壞造成以后才進行處理， 防護效果不理想， 也很難對網(wǎng)絡(luò)的整體 防護做出規(guī)劃和評估。安全的漏洞往往存在于系統(tǒng)中最薄弱的環(huán)節(jié)， 郵件系統(tǒng)、 網(wǎng) 謝謝你的觀賞關(guān)無一不直接威脅著企業(yè)網(wǎng)絡(luò)的正常運行 ;中小企業(yè)需要防止網(wǎng) 絡(luò)系統(tǒng)遭到非法入侵、 未經(jīng)授權(quán)的存取或破壞可能造成的數(shù)據(jù)丟 失、系統(tǒng)崩潰等問題， 而這些都不是單一的防病毒軟件外加服務(wù) 器就能夠解決的。 因此無論是網(wǎng)絡(luò)安全的現(xiàn)狀， 還是中小企業(yè)自 身都向廣大安全廠商提出了更高的要求。第二章企業(yè)網(wǎng)絡(luò)的漏洞分析2.1 物理安全網(wǎng)絡(luò)的物理安全的風(fēng)險是多種多樣的。

4、網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電 源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線 路截獲。以及高可用性的硬件、雙機多冗余的設(shè)計、機房環(huán)境及 報警系統(tǒng)、安全意識等。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個 企業(yè)區(qū)局域網(wǎng)內(nèi)， 由于網(wǎng)絡(luò)的物理跨度不大， 只要制定健全的安 全管理制度，做好備份，并且加強網(wǎng)絡(luò)設(shè)備和機房的管理，防止 非法進入計算機控制室和各種盜竊， 破壞活動的發(fā)生， 這些風(fēng)險 是可以避免的。2.2 主機安全對于中國來說， 恐怕沒有絕對安全的操作系統(tǒng)可以選擇， 無 論是 Microsoft 的 Windows NT 或者其他任何商用 UNIX 操作系 統(tǒng)，其開發(fā)廠商

5、必然有其 Back-Door 。我們可以這樣講：沒有完 全安全的操作系統(tǒng)。 但是，我們可以對現(xiàn)有的操作平臺進行安全 配置、對操作和訪問權(quán)限進行嚴(yán)格控制，提高系統(tǒng)的安全性。因 此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須 加強登錄過程的認(rèn)證， 特別是在到達服務(wù)器主機之前的認(rèn)證， 確 保用戶的合法性； 其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限， 將其完 成的操作限制在最小的范圍內(nèi)。與日常生活當(dāng)中一樣， 企業(yè)主機也存在著各種各樣的安全問 題。使用者的使用權(quán)限不同， 企業(yè)主機所付與的管理權(quán)限也不一 樣，同一臺主機對不同的人有著不同的使用范圍。同時，企業(yè)主 機也會受到來自病毒， 黑客等的襲擊， 企業(yè)

6、主機對此也必須做好 預(yù)防。在安裝應(yīng)用程序的時候，還得注意它的合法權(quán)限，以防止 它所攜帶的一些無用的插件或者木馬病毒來影響主機的運行和 正常工作，甚至盜取企業(yè)機密。2.3 外部安全拒絕服務(wù)攻擊。 值得注意的是， 當(dāng)前運行商受到的拒絕服務(wù) 攻擊的威脅正在變得越來越緊迫。 對拒絕服務(wù)攻擊的解決方案也 越來越受到國際上先進電信提供商的關(guān)注。 對大規(guī)模拒絕服務(wù)攻 擊能夠阻止、 減輕、 躲避的能力是標(biāo)志著一個電信企業(yè)可以向客 戶承諾更為健壯、 具有更高可用性的服務(wù)， 也是真?zhèn)€企業(yè)的網(wǎng)絡(luò) 安全水平進入一個新境界的重要標(biāo)志。外部入侵。 這里是通常所說的黑客威脅。 從前面幾年時間的 網(wǎng)絡(luò)安全管理經(jīng)驗和滲透測試結(jié)

7、果來看， 當(dāng)前大多數(shù)電信網(wǎng)絡(luò)設(shè) 備和服務(wù)都存在著被入侵的痕跡， 甚至各種后門。 這些是對網(wǎng)絡(luò) 自主運行的控制權(quán)的巨大威脅， 使得客戶在重要和關(guān)鍵應(yīng)用場合 沒有信心，損失業(yè)務(wù)，甚至造成災(zāi)難性后果。病毒。病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。 前段時間美國國防 部和全年北京某部內(nèi)部網(wǎng)遭受的大規(guī)模病毒爆發(fā)都使得整個內(nèi)部辦公和業(yè)務(wù)癱瘓數(shù)個小時， 而MS Blaster及Nimda和Code Red 的爆發(fā)更是具有深遠的影響， 促使人們不得不在網(wǎng)絡(luò)的各個環(huán)節(jié) 考慮對于各種病毒的檢測防治。 對病毒的徹底防御重要性毋庸置 疑。2.4 內(nèi)部安全最新調(diào)查顯示， 在受調(diào)查的企業(yè)中 60%以上的員工利用網(wǎng)絡(luò) 處理私人事務(wù)。

8、對網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦 網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員 工可以通過網(wǎng)絡(luò)泄漏企業(yè)機密，從而導(dǎo)致企業(yè)數(shù)千萬美金的損 失。不滿的內(nèi)部員工可能在 WWW 站點上開些小玩笑，甚至破 壞。不論如何， 他們最熟悉服務(wù)器、 小程序、 腳本和系統(tǒng)的弱點。 對于已經(jīng)離職的不滿員工， 可以通過定期改變口令和刪除系統(tǒng)記 錄以減少這類風(fēng)險。 但還有心懷不滿的在職員工， 這些員工比已 經(jīng)離開的員工能造成更大的損失， 例如他們可以傳出至關(guān)重要的 信息、泄露安全重要信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。2.5 內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間如果在沒有采取

9、一定的安全防護措 施，內(nèi)部網(wǎng)絡(luò)容易遭到來自外網(wǎng)的攻擊。包括來自 internet 上的 風(fēng)險和下級單位的風(fēng)險。內(nèi)部局網(wǎng)不同部門或用戶之間如果沒有采用相應(yīng)一些訪問 控制，也可能造成信息泄漏或非法攻擊。據(jù)調(diào)查統(tǒng)計，已發(fā)生的 網(wǎng)絡(luò)安全事件中， 70%的攻擊是來自內(nèi)部。因此內(nèi)部網(wǎng)的安全風(fēng)險更嚴(yán)重。內(nèi)部員工對自身企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉，自已 攻擊或泄露重要信息內(nèi)外勾結(jié)， 都將可能成為導(dǎo)致系統(tǒng)受攻擊的 最致命安全威脅。隨著企業(yè)的發(fā)展壯大及移動辦公的普及， 逐漸形成了企業(yè)總 部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎 么處理總部與分支機構(gòu)、 移動辦公人員的信息共享安全， 既要保 證信息的及時共享， 又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程 中不得不考慮的問題。 各地機構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接 影響企業(yè)的高效運作第三章企業(yè)網(wǎng)絡(luò)安全整體解決方案設(shè)計3.1 企業(yè)網(wǎng)絡(luò)的設(shè)計目標(biāo)企業(yè)網(wǎng)絡(luò)安全的設(shè)計目標(biāo)與其他網(wǎng)絡(luò)安全的設(shè)計目標(biāo)一致， 包括：保密性，完整性等面向數(shù)據(jù)的安全及可用性，可控性，可 審查性等面向用戶的安全。面向用戶的安全即網(wǎng)絡(luò)安全又包含： 鑒別，授權(quán)，訪問控制，抗否認(rèn)性和可服務(wù)性，以及在于內(nèi)容的 個人隱私， 知識產(chǎn)權(quán)等的保護。 企業(yè)網(wǎng)絡(luò)的安全即指該網(wǎng)絡(luò)系統(tǒng) 的硬件，軟件及其系統(tǒng)中的數(shù)據(jù)的安全。 網(wǎng)絡(luò)信息的傳輸， 存儲， 處理和使用都要求