企業(yè)網(wǎng)絡(luò)安全分析.doc

1、企業(yè)網(wǎng)絡(luò)安全分析2 網(wǎng)絡(luò)威逼、風(fēng)險(xiǎn)分析針對(duì) XXX 企業(yè)現(xiàn)時(shí)期網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合 XX X 企業(yè)今后進(jìn)行的網(wǎng)絡(luò)化應(yīng)用范疇的拓展考慮， XXX 企業(yè)網(wǎng)要緊的安全威 逼和安全漏洞包括以方面：2.1 內(nèi)部竊密和破壞由于 XXX 企業(yè)網(wǎng)絡(luò)上同時(shí)接入了其它部門的網(wǎng)絡(luò)系統(tǒng)， 因此容易 顯現(xiàn)其它部門不懷好意的人員 （或外部非法人員利用其它部門的運(yùn)算機(jī) ）通 過(guò)網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并進(jìn)一步竊取和破壞其中的重要信息 （如領(lǐng)導(dǎo)的網(wǎng)絡(luò) 帳號(hào)和口令、重要文件等 ），因此這種風(fēng)險(xiǎn)是必須采取措施進(jìn)行防范的。2.2 搭線 （網(wǎng)絡(luò)）竊聽 這種威逼是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者能夠采納如 Sniffer 等網(wǎng)絡(luò)協(xié)議

2、分析工具，在 INTERNET 網(wǎng)絡(luò)安全的薄弱處進(jìn)入 INTERNET ，并專門容易 地在信息傳輸過(guò)程中獵取所有信息 （專門是敏銳信息 ）的內(nèi)容。對(duì) XXX 企業(yè) 網(wǎng)絡(luò)系統(tǒng)來(lái)講，由于存在跨過(guò) INTERNET 的內(nèi)部通信 （與上級(jí)、下級(jí) ）這種 威逼等級(jí)是相當(dāng)高的，因此也是本方案考慮的重點(diǎn)。2.3 假冒這種威逼既可能來(lái)自 XXX 企業(yè)網(wǎng)內(nèi)部用戶，也可能來(lái)自 INTERNET 內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者假裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊 者可能通過(guò)冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)治理員，從而獲得用 戶名/口令等敏銳信息，進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶 通過(guò)假冒的方式獵取其不

3、能閱讀的隱秘信息。2.4 完整性破壞 這種威逼要緊指信息在傳輸過(guò)程中或者儲(chǔ)備期間被篡改或修改，使得 信息/數(shù)據(jù)失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面阻礙。 由于 XXX 企業(yè)網(wǎng)內(nèi)有許多重要信息， 因此那些不懷好意的用戶和非法用戶 就會(huì)通過(guò)網(wǎng)絡(luò)對(duì)沒有采取安全措施的服務(wù)器上的重要文件進(jìn)行修改或傳達(dá) 一些虛假信息，從而阻礙工作的正常進(jìn)行。2.5 其它網(wǎng)絡(luò)的攻擊XXX 企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到 INTERNET 上的，如此就有可能會(huì)遭到 I NTERNET 上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊， 如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、 竊取敏 銳信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)峻降低或癱瘓等。 因此這也是

4、需要采取相應(yīng)的安全措施進(jìn)行防范。2.6 治理及操作人員缺乏安全知識(shí) 由于信息和網(wǎng)絡(luò)技術(shù)進(jìn)展迅猛，信息的應(yīng)用和安全技術(shù)相對(duì)滯后， 用戶在引入和采納安全設(shè)備和系統(tǒng)時(shí)，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對(duì) 信息安全的重要性與技術(shù)認(rèn)識(shí)不足，專門容易使安全設(shè)備 /系統(tǒng)成為擺設(shè)， 不能使其發(fā)揮正確的作用。如本來(lái)對(duì)某些通信和操作需要限制，為了方便， 設(shè)置成全開放狀態(tài)等等，從而顯現(xiàn)網(wǎng)絡(luò)漏洞。由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對(duì)操作治理人員的培訓(xùn)顯得 尤為重要。如此，使安全設(shè)備能夠盡量發(fā)揮其作用，幸免使用上的漏洞。2.7 雷擊 由于網(wǎng)絡(luò)系統(tǒng)中涉及專門多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些差不 多上通過(guò)通信電纜進(jìn)行傳輸，

5、因此極易受到雷擊，造成連鎖反應(yīng)，使整個(gè) 網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)峻后果。因此，為幸免遭受感應(yīng)雷擊的危害 和靜電干擾、電磁輻射干擾等引起的瞬時(shí)電壓浪涌電壓的損壞，有必要對(duì) 整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。注：部分描述地點(diǎn)需要進(jìn)行調(diào)整，請(qǐng)按照用戶實(shí)際情形敘述。3 安全系統(tǒng)建設(shè)原則XXX 企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)原則為：系統(tǒng)性原則XXX 企業(yè)網(wǎng)絡(luò)系統(tǒng)整個(gè)安全系統(tǒng)的建設(shè)要有系統(tǒng)性和適應(yīng)性，不因網(wǎng) 絡(luò)和應(yīng)用技術(shù)的進(jìn)展、信息系統(tǒng)攻防技術(shù)的深化和演變、系統(tǒng)升級(jí)和配置 的變化，而導(dǎo)致在系統(tǒng)的整個(gè)生命期內(nèi)的安全愛護(hù)能力和抗御風(fēng)險(xiǎn)的能力 降低。2）技術(shù)先進(jìn)性原則XXX 企業(yè)網(wǎng)絡(luò)系統(tǒng)整個(gè)安全系統(tǒng)的設(shè)計(jì)采納先進(jìn)的安全體

6、系進(jìn)行結(jié)構(gòu) 性設(shè)計(jì)，選用先進(jìn)、成熟的安全技術(shù)和設(shè)備，實(shí)施中采納先進(jìn)可靠的工藝 和技術(shù)，提升系統(tǒng)運(yùn)行的可靠性和穩(wěn)固性。治理可控性原則系統(tǒng)的所有安全設(shè)備 （治理、愛護(hù)和配置 ）都應(yīng)自主可控 ;系統(tǒng)安全設(shè)備 的采購(gòu)必須有嚴(yán)格的手續(xù) ;安全設(shè)備必須有相應(yīng)機(jī)構(gòu)的認(rèn)證或許可標(biāo)記 ;安 全設(shè)備供應(yīng)商應(yīng)具備相應(yīng)資質(zhì)并可信。安全系統(tǒng)實(shí)施方案的設(shè)計(jì)和施工單位應(yīng)具備相應(yīng)資質(zhì)并可信。適度安全性原則 系統(tǒng)安全方案應(yīng)充分考慮愛護(hù)對(duì)象的價(jià)值與愛護(hù)成本之間的平穩(wěn)性， 在承諾的風(fēng)險(xiǎn)范疇內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作 性，幸免超出用戶所能明白得的范疇，變得專門難執(zhí)行或無(wú)法執(zhí)行。5） 技術(shù)與治理相結(jié)合原則XXX

7、企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，它包括產(chǎn)品、過(guò) 程和人的因素，因此它的安全解決方案，必須在考慮技術(shù)解決方案的同時(shí) 充分考慮治理、法律、法規(guī)方面的制約和調(diào)控作用。單靠技術(shù)或單靠治理 都不可能真正解決安全咨詢題的，必須堅(jiān)持技術(shù)和治理相結(jié)合的原則。測(cè)評(píng)認(rèn)證原則XXX 企業(yè)網(wǎng)絡(luò)系統(tǒng)作為重要的政務(wù)系統(tǒng)，其系統(tǒng)的安全方案和工程設(shè) 計(jì)必須通過(guò)國(guó)家有關(guān)部門的評(píng)審，采納的安全產(chǎn)品和保密設(shè)備需通過(guò)國(guó)家 主治理部門的認(rèn)可。系統(tǒng)可伸縮性原則XXX 企業(yè)網(wǎng)絡(luò)系統(tǒng)將隨著網(wǎng)絡(luò)和應(yīng)用技術(shù)的進(jìn)展而發(fā)生變化，同時(shí)信 息安全技術(shù)也在進(jìn)展，因此安全系統(tǒng)的建設(shè)必須考慮系統(tǒng)可升級(jí)性和可伸 縮性。重要和關(guān)鍵的安全設(shè)備不因網(wǎng)絡(luò)變化

8、或更換而廢棄。4 網(wǎng)絡(luò)安全總體設(shè)計(jì) 一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安 全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全治理等，而一個(gè)安全系統(tǒng)的安全等級(jí)，又 是按照木桶原理來(lái)實(shí)現(xiàn)的。 按照 XXX 企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、 廣域網(wǎng)結(jié)構(gòu)、 和三級(jí)網(wǎng)絡(luò)治理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn)，本方案要緊從以下幾個(gè)方面進(jìn)行 安全設(shè)計(jì)：網(wǎng)絡(luò)系統(tǒng)安全 ;應(yīng)用系統(tǒng)安全 ;物理安全 ;安全治理 ;4.1 安全設(shè)計(jì)總體考慮按照 XXX 企業(yè)網(wǎng)絡(luò)現(xiàn)狀及進(jìn)展趨勢(shì)， 要緊安全措施從以下幾個(gè)方面進(jìn) 行考慮：網(wǎng)絡(luò)傳輸愛護(hù)要緊是數(shù)據(jù)加密愛護(hù)要緊網(wǎng)絡(luò)安全隔離通用措施是采納防火墻網(wǎng)絡(luò)病毒防護(hù)采納網(wǎng)絡(luò)防病毒系統(tǒng)廣域網(wǎng)接入部分的入侵檢測(cè)采納

9、入侵檢測(cè)系統(tǒng)系統(tǒng)漏洞分析采納漏洞分析設(shè)備定期安全審計(jì)要緊包括兩部分：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)l 重要數(shù)據(jù)的備份l 重要信息點(diǎn)的防電磁泄露l 網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性包括安全設(shè)備的可伸縮性，即能按照用戶的需要隨時(shí)進(jìn)行規(guī)模、功能 擴(kuò)展l 網(wǎng)絡(luò)防雷4.2 網(wǎng)絡(luò)安全作為XXX企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺(tái)，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重 要。由于許多重要的信息都通過(guò)網(wǎng)絡(luò)進(jìn)行交換，421網(wǎng)絡(luò)傳輸由于XXX企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部 網(wǎng)絡(luò)，要緊運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等；另一套是與INTERNET相連, 通過(guò)ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。通過(guò)公共 線路建立跨過(guò)INTE

10、RNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交 換、信息共享。而INTERNET本身就缺乏有效的安全愛護(hù)，如果不采取相 應(yīng)的安全措施，易受到來(lái)自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密 或非法篡改，產(chǎn)生嚴(yán)峻的后果。由于現(xiàn)在越來(lái)越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶米納VPN技術(shù)來(lái)構(gòu)建它們的跨過(guò)公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對(duì)網(wǎng)絡(luò)傳輸安 全部分舉薦采納VPN設(shè)備來(lái)構(gòu)建內(nèi)聯(lián)網(wǎng)。可在每級(jí)治理域內(nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用軔圩o(hù)。按照 XXX企業(yè)三級(jí)網(wǎng)絡(luò)一圾VT昭里城YPNCAVPNift#iiiuriiciTBs5 歹SVShttemeiCVHl- - - - - ti

11、 as=sSS z 內(nèi) smlntfirnet三袋円罰崗54三終網(wǎng)卻催古a aajR ”總?cè)忢?yè)那陽(yáng)站 三圾円罰眉塔結(jié)構(gòu)，VPN設(shè)置如下圖所示:圖4-1三級(jí)VPN設(shè)置拓?fù)鋱D每一級(jí)的設(shè)置及治理方法相同。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證服務(wù)器(VPN-CA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安 裝一臺(tái)VPN設(shè)備，由上級(jí)的VPN認(rèn)證服務(wù)器通過(guò)網(wǎng)絡(luò)對(duì)下一級(jí)的 VPN設(shè) 備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化治理可達(dá)到以下幾個(gè)目的：l網(wǎng)絡(luò)傳輸數(shù)據(jù)愛護(hù)；護(hù),M憶l網(wǎng)絡(luò)隔離愛護(hù)呼與 INTERNETI集史統(tǒng)一治理,轉(zhuǎn)低成本(設(shè)備成本和愛護(hù)成本裝在網(wǎng)絡(luò)上的吾VPN設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密愛 密或

12、隧道的方式進(jìn)行傳輸其中,隔離，操縱內(nèi)網(wǎng)與internet*的相互訪咨詢 提升網(wǎng)絡(luò)安全性；-各級(jí)中心網(wǎng)絡(luò)的 VPN設(shè)備設(shè)置如下圖：圖4-2中1 vpx 管 Km心網(wǎng)絡(luò)VPN設(shè)置圖由一臺(tái)VPN治理機(jī)對(duì)CA、中心VPN設(shè)備、分支機(jī)構(gòu)VPN設(shè)備進(jìn)行 統(tǒng)一網(wǎng)絡(luò)治理。將對(duì)外服務(wù)器放置于 VPN設(shè)備的DMZ 口與內(nèi)部網(wǎng)絡(luò)進(jìn)行 隔離，禁止外網(wǎng)直截了當(dāng)訪咨詢內(nèi)網(wǎng)，操縱內(nèi)網(wǎng)的對(duì)外訪咨詢、記錄日志。 如此即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍舊安全。圖4-3下級(jí)單位VPN設(shè)置圖從圖4-4可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間, 其配置、治理由上級(jí)機(jī)構(gòu)通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的治理， 僅需要檢查是否通電

13、即可。由于安全設(shè)備屬于專門的網(wǎng)絡(luò)設(shè)備，其愛護(hù)、 治理需要相應(yīng)的專業(yè)人員，而采取這種治理方式以后，就能夠降低下屬機(jī) 構(gòu)的愛護(hù)成本和對(duì)專業(yè)技術(shù)人員的要求，這對(duì)有著龐大下屬、分支機(jī)構(gòu)的 單位來(lái)講將是一筆不小的費(fèi)用。由于網(wǎng)絡(luò)安全的是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，而不 是僅僅采納高檔的安全產(chǎn)品就能解決，因此對(duì)安全設(shè)備的治理就顯得尤為 重要。由于一樣的安全產(chǎn)品在治理上是各自治理，因而專門容易因?yàn)槟硞€(gè) 設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)顯現(xiàn)重大的安全隱患。而用戶的技術(shù)人員 往往不可能差不多上專業(yè)的，因此，容易顯現(xiàn)上述現(xiàn)象 ;同時(shí)，每個(gè)愛護(hù)人 員的水平也有差異，容易顯現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。因此，在

14、安 全設(shè)備的選擇上應(yīng)當(dāng)選擇能夠進(jìn)行網(wǎng)絡(luò)化集中治理的設(shè)備，如此，由少量 的專業(yè)人員對(duì)要緊安全設(shè)備進(jìn)行治理、配置，提升整體網(wǎng)絡(luò)的安全性和穩(wěn) 固性。4.2.2 訪咨詢操縱由于 XXX 企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過(guò)公共網(wǎng)絡(luò)建立， 其在網(wǎng)絡(luò)上必定會(huì) 受到來(lái)自 INTERNET 上許多非法用戶的攻擊和訪咨詢，如試圖進(jìn)入網(wǎng)絡(luò)系 統(tǒng)、竊取敏銳信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)峻降低 或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。通常，對(duì)網(wǎng)絡(luò)的訪 咨詢操縱最成熟的是采納防火墻技術(shù)來(lái)實(shí)現(xiàn)的，本方案中選擇帶防火墻功 能的 VPN 設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求：l 操縱外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪咨詢 ;l 操縱外部合法用戶對(duì)服務(wù)器的訪咨詢 ;l 禁止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪咨詢 ;l 操縱內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò) ;l 阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊 ;l 防止內(nèi)部主機(jī)的 IP 欺詐 ;l 對(duì)外隱藏內(nèi)部 IP 地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) ;l 網(wǎng)絡(luò)監(jiān)控 ;l 網(wǎng)絡(luò)日志審計(jì) ;詳細(xì)配置拓?fù)鋱D見圖 4-1、圖 4-2、圖 4-3。由于采納防火墻、 VPN 技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng) 一治理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：l 治理、愛護(hù)簡(jiǎn)單、方便 ;l安全性高（可有效降低在安全設(shè)備使用上的配置漏洞）;l硬件成本和愛護(hù)成本低；I網(wǎng)絡(luò)運(yùn)行的穩(wěn)固性更