企業(yè)信息安全綜合解決方案設(shè)計

要求有具體的問題，比方，信息系統(tǒng)安全〔硬件，場地，軟件，病毒，木馬，〕，網(wǎng)絡(luò)安全〔網(wǎng)絡(luò)入侵，效勞器/客戶端的連通性，vpn的安全問題〕，人員安全〔身份識別，分權(quán)訪問，人員治理〕，電子商務(wù)安全〔密鑰，PKI〕，或者其它！【為保護隱私，公司原名用XX代替。內(nèi)容涉及企業(yè)網(wǎng)絡(luò)安全防護，入侵檢測，VPN加密、數(shù)據(jù)安全、用戶認證等企業(yè)信息安全案例，供參考】XX企業(yè)信息安全綜合解決方案設(shè)計一．引言隨著全球信息化及寬帶網(wǎng)絡(luò)建設(shè)的飛速進展響，全部信息承受明文傳輸，導(dǎo)致互聯(lián)網(wǎng)的安全性問題日益嚴峻，非法訪問、網(wǎng)絡(luò)攻擊、信利用信息安全技術(shù)來確保網(wǎng)絡(luò)的安全問題恒的話題?！靶茇垷恪?、“灰鴿子”等病毒就造成了這樣的后果。由于安全事故給企業(yè)造成不必要的損失呢？二．XX企業(yè)需求分析該企業(yè)目前已建成掩蓋整個企業(yè)的網(wǎng)絡(luò)平臺Cisco以企業(yè)所在地為中心與數(shù)個城市通過1M使用ADSL、CDMA登錄互聯(lián)網(wǎng)后通過VPN連接到企業(yè)內(nèi)網(wǎng)，或者通過PSTN撥號連接。在SAP的ERP系統(tǒng)、電子郵件系統(tǒng)、網(wǎng)絡(luò)視頻會議系統(tǒng)、VoIP語音系統(tǒng)、企業(yè)Web網(wǎng)站，以及FHS自動加油系統(tǒng)接口、互聯(lián)網(wǎng)接入、網(wǎng)上銀行等數(shù)字化應(yīng)用，對企業(yè)的日常辦公和經(jīng)營治理起到重要的支撐作用。外部網(wǎng)絡(luò)的安全威逼密信息。假設(shè)內(nèi)部網(wǎng)絡(luò)的一臺電腦安全受損〔被攻擊或者被病毒感染，就會同時影響在同一網(wǎng)絡(luò)上的很多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)。假設(shè)系統(tǒng)內(nèi)部局域網(wǎng)與系統(tǒng)外部網(wǎng)絡(luò)間沒有實行肯定的安全防護措施到來自外網(wǎng)一些不懷好意的入侵者的攻擊。內(nèi)部局域網(wǎng)的安全威逼據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊大事中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵害。來自機構(gòu)內(nèi)部局域部不懷好意的員工通過各種方式盜取他人涉密信息傳播出去。網(wǎng)絡(luò)設(shè)備的安全隱患網(wǎng)絡(luò)設(shè)備中包含路由器、交換機、防火墻等，它們的設(shè)置比較簡單正確理解而使這些設(shè)備可用但安全性不佳。二、操作系統(tǒng)的安全風險分析所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標，一般很少用不著的效勞模塊，開放了很多不必開放的端口，其中可能隱含了安全風險。目前的操作系統(tǒng)無論是Windows還是UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必定有其Back-Door間。三、應(yīng)用的安全風險分析風險。其他員工竊取并傳播出去造成泄密，由于缺少必要的訪問掌握策略。的訪問、通過口令猜測獲得系統(tǒng)治理員權(quán)限、數(shù)據(jù)庫效勞器本身存在漏洞簡潔受到攻擊等?！灿布栴}或軟件崩潰病毒侵害的安全風險：網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的安全因素。手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息，也就造成的泄密。四、治理的安全分析治理方面的安全隱患包括：內(nèi)部治理人員或員工圖便利省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡潔，導(dǎo)致很簡潔破解。責任不清，使用一樣的用戶名、口令，導(dǎo)致權(quán)播給外人帶來信息泄漏風險。內(nèi)部不滿的員工有的可能造成極大的安全風險。權(quán)不明，治理混上亂、安全治理制度不健全及缺乏可操作性等都可能引起治理安全的風險。即除了從技術(shù)下功夫外，還得依靠安全治理來實現(xiàn)。三．XX該企業(yè)信息安全防護方案和策略主要由以下各局部組成:1.Internet安全接入承受PIX515作為外部邊緣防火墻，其內(nèi)部用戶登錄互聯(lián)網(wǎng)時經(jīng)過NetEye防火墻，再PIX映射到互聯(lián)網(wǎng)。PIXNetEye之間形成了DMZ區(qū)，需要供給互聯(lián)網(wǎng)效勞的郵件效勞器、Web效勞器等防止在該DMZ區(qū)內(nèi)。該防火墻安全策略如下:Internet上只能訪問到DMZ內(nèi)Web8025端口;InternetDMZ區(qū)不能訪問內(nèi)部網(wǎng)任何資源;Internet訪問內(nèi)部網(wǎng)資源只能通過VPN系統(tǒng)進展。為了防止病毒從Internet進入內(nèi)部網(wǎng)，該企業(yè)在DMZ區(qū)部署了網(wǎng)關(guān)防病毒系統(tǒng)。承受SymantecWebSecurity3.0防病毒系統(tǒng)，對來自互聯(lián)網(wǎng)的網(wǎng)頁內(nèi)容和附件等信息設(shè)定了合理的過濾規(guī)章，阻斷來自互聯(lián)網(wǎng)的各種病毒。防火墻訪問掌握;PIX防火墻供給PAT效勞，配置IPSec加密協(xié)議實現(xiàn)VPN撥號連接以及端到端VPN連接，并通過擴展ACL對進出防火墻的流量進展嚴格的端口效勞掌握。NetEye防火墻處于內(nèi)部網(wǎng)絡(luò)與DMZDMZDMZ區(qū)進入內(nèi)網(wǎng)的流量則進展嚴格的過濾用戶認證系統(tǒng);用戶認證系統(tǒng)主要用于解決撥號和VPN接入的安全問題，它是從完善系統(tǒng)用戶認證、訪問掌握和使用審計方面的功能來增加系統(tǒng)的安全性。承受思科的ACS用戶認證系統(tǒng)。在主域效勞器上安裝Radius效勞器，在Cisco撥號路由器和PIX防火墻上配置了RadiusVPN用戶身份認證在Radius效勞器上強制用戶定期更改口令。同時配置了一臺VPN日志效勞器，記錄全部VPN用戶的訪問，而撥號用戶的訪問則記錄在Radius效勞器中，作為系統(tǒng)審計的依據(jù)。系統(tǒng)治理員可以依據(jù)需要制定用戶身份認證策略。入侵檢測系統(tǒng);在系統(tǒng)中關(guān)鍵的部位安裝基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)網(wǎng)絡(luò)中發(fā)生的安全大事，并能準時做出響應(yīng)。依據(jù)該企業(yè)網(wǎng)絡(luò)應(yīng)用的狀況，可在互聯(lián)網(wǎng)流量會聚的交換機處部署一套CAeTrustIntrusionDetection，它可實時監(jiān)控內(nèi)部網(wǎng)中發(fā)生的安全大事，使得治理員準時做出反響，并可記錄內(nèi)部用戶對Internet的訪問，治理者可審計Internet波病毒爆發(fā)時，該系統(tǒng)能夠顯示出哪些主機感染了病毒而不停地向其他網(wǎng)絡(luò)主機發(fā)出播送包。企業(yè)的網(wǎng)絡(luò)治理員可以依據(jù)實際應(yīng)用環(huán)境對IDS進展具體配置，并在實踐中依據(jù)需要隨時調(diào)整配置參數(shù)。5，網(wǎng)絡(luò)防病毒系統(tǒng);該企業(yè)全面地布置防病毒系統(tǒng)，包括客戶機、文件效勞器、郵件效勞器和OA效勞器。該企業(yè)承受McAfeeTVD防病毒系統(tǒng)保護客戶機和文件效勞器的安全，客戶機每天定時McAfee效勞器通過FTP方式下載并安裝最的病毒代碼庫。該企業(yè)電子郵件系統(tǒng)運行在DominoMcAfee針對Domino數(shù)據(jù)庫的病毒過濾模塊，對發(fā)送和接手的郵件附件進展病毒掃描和隔離。VPN加密系統(tǒng);該企業(yè)通過PIX防火墻建立了基于IPSec國際標準協(xié)議的虛擬專網(wǎng)VPN，承受3DEC加密算法實現(xiàn)了信息在互聯(lián)網(wǎng)上的安全傳輸。VPN系統(tǒng)主要用于該企業(yè)移動辦公的員工供給互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)OA系統(tǒng)，同時為企業(yè)內(nèi)網(wǎng)ERP用戶訪問大股東集團公司的SAP系統(tǒng)供給VPN加密連接。網(wǎng)絡(luò)設(shè)備及效勞器加固;該企業(yè)網(wǎng)絡(luò)治理員定期對各種網(wǎng)絡(luò)設(shè)備和主機進展安全性掃描和滲透測試洞并實行補救措施。安全性掃描主要是利用一些掃描工具，包括Retina、X-Scan、SuperScan、LanGuard目的是覺察系統(tǒng)存在的各種漏洞。洞，以黑客使用的手段對系統(tǒng)進展模擬攻擊，最大限度地得到系統(tǒng)的掌握權(quán)。例如，利用Unix系統(tǒng)的/bin/login無需任何身份驗證即可遠程非法登錄漏洞以及priocntl系統(tǒng)調(diào)用漏洞，通過緩沖溢出進入系統(tǒng)后進展權(quán)限提升，即可獲得Root權(quán)限。施包括:關(guān)閉不必要的網(wǎng)絡(luò)端口;視網(wǎng)絡(luò)應(yīng)用狀況禁用ICMP、SNMP等協(xié)議;安裝最系統(tǒng)安全補丁;SSH而不是Telnet進展遠程登錄;調(diào)整本地安全策略，禁用不需要的系統(tǒng)缺省效勞;啟用系統(tǒng)安全審計日志。攻擊、非法遠程登錄等黑客攻擊行為。桌面電腦安全治理系統(tǒng);該企業(yè)承受LANDesk有如下功能:補丁治理是LAN-Desk系統(tǒng)的主要功能之一，主要用于修復(fù)桌面電腦系統(tǒng)漏洞，避開蠕蟲病毒、黑客攻擊和木馬程序等。LANDesk補丁治理器能夠高效地實現(xiàn)安全補丁治理。補丁程序能夠從全球統(tǒng)一的補丁治理效勞器自動下載，并自動分發(fā)到每臺桌面電腦，無需IT人員干預(yù)。補丁程序在分發(fā)安裝前，都經(jīng)過本地效勞器的測試，從而確保補丁自身的安全性，避開損壞用戶系統(tǒng)。由于LANDesk承受全自動補丁分發(fā)方式，大大減輕了治理員的負荷，而更重要的是能夠OA用戶的電腦免受破壞。間諜軟件檢測基于LAN-Desk隨時更的集中化安全治理核心數(shù)據(jù)庫，該系統(tǒng)能夠自動。安全威逼分析LANDesk供給自動的威逼分析功能，它能夠自動檢測桌面電腦的配置風險，包括共享、口令、掃瞄器等安全問題，并自動進展修補或提出修改建議。LANDesk供給的應(yīng)用程序治理功能可以通過遠程執(zhí)行指令，阻擋有關(guān)應(yīng)用程序的運行。設(shè)備訪問掌握LANDesk問掌握策略，限制對網(wǎng)絡(luò)、驅(qū)動器、通信端口、USB和無線頻道的訪問，防止關(guān)鍵數(shù)據(jù)喪失和未授權(quán)訪問。IT資產(chǎn)治理對該企業(yè)全部上網(wǎng)電腦進展在線治理。該系統(tǒng)能夠自動掃描在線電腦的配置IP地址、操作系統(tǒng)類型、應(yīng)用程序安裝狀況等等，并可進展分類、依據(jù)需要形成不同報表。數(shù)據(jù)備份系統(tǒng)該企業(yè)承受HP1/8磁帶自動裝載機對企業(yè)數(shù)據(jù)進展備份，該磁帶庫可以同時裝載9盒磁大存儲容量為640GBLegatoNetWorker定，備份和恢