網(wǎng)絡整體安全解決方案

網(wǎng)絡整體安全解決方案“打造堅如磐石的網(wǎng)絡整體的安全方案分成技術方案、服務方案以及支持方案三部分。一、技術解決方案安全產(chǎn)品是網(wǎng)絡安全的基石，通過在網(wǎng)絡中安裝一定的安全設備，能夠使得網(wǎng)絡的結構更加清晰，安全性得到顯著增強;同時能夠有效降低安全管理的難度，提高安全管理的有效性。下面介紹在局域網(wǎng)中增加的安全設備的安裝位置以及他們的作用。1、防火墻安裝位置：局域網(wǎng)與路由器之間;WWW服務器與托管機房局域網(wǎng)之間；局域網(wǎng)防火墻作用：實現(xiàn)單向訪問，允許局域網(wǎng)用戶訪問INTERNET資源，但是嚴格限制INTERNET用戶對局域網(wǎng)資源的訪問；通過防火墻，將整個局域網(wǎng)劃分INTERNET，DMZ區(qū)，內網(wǎng)訪問區(qū)這三個邏輯上分開的區(qū)域，有利于對整個網(wǎng)絡進行管理；局域網(wǎng)所有工作站和服務器處于防火墻地整體防護之下，只要通過防火墻設置的修改，就能有限絕大部分防止來自INTERNET上的攻擊，網(wǎng)絡管理員只需要關注DMZ區(qū)對外提供服務的相關應用的安全漏洞；通過防火墻的過濾規(guī)則，實現(xiàn)端口級控制，限制局域網(wǎng)用戶對INTERNET的訪問；進行流量控制，確保重要業(yè)務對流量的要求；通過過濾規(guī)則，以時間為控制要素，限制大流量網(wǎng)絡應用在上班時間的使用。托管機房防火墻的作用：通過防火墻的過濾規(guī)則，限制INTERNET用戶對WWW服務器的訪問，將訪問權限控制在最小的限度，在這種情況下，網(wǎng)絡管理員可以忽略服務器系統(tǒng)的安全漏洞，只需要關注WWW應用服務軟件的安全漏洞；通過過濾規(guī)則，對遠程更新的時間、來源(通過IP地址)進行限制。2、入侵檢測安裝位置：局域網(wǎng)DMZ區(qū)以及托管機房服務器區(qū)IDS的作用:作為旁路設備，監(jiān)控網(wǎng)絡中的信息，統(tǒng)計并記錄網(wǎng)絡中的異常主機以及異常連接;中斷異常連接;通過聯(lián)動機制，向防火墻發(fā)送指令，在限定的時間內對特定的IP地址實施封堵。3、網(wǎng)絡防病毒軟件控制中心以及客戶端軟件安裝位置：局域網(wǎng)防病毒服務器以及各個終端防病毒服務器作用:作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強制局域網(wǎng)中已開機的終端及時更新病毒庫軟件；記錄各個終端的病毒庫升級情況;記錄局域網(wǎng)中計算機病毒出現(xiàn)的時間、類型以及后續(xù)處理措施。防病毒客戶端軟件的作用:對本機的內存、文件的讀寫進行監(jiān)控，根據(jù)預定的處理方法處理帶毒文件；監(jiān)控郵件收發(fā)軟件，根據(jù)預定處理方法處理帶毒郵件；4、 郵件防病毒服務器安裝位置：郵件服務器與防火墻之間郵件防病毒軟件：對來自INTERNET的電子郵件進行檢測，根據(jù)預先設定的處理方法處理帶毒郵件。郵件防病毒軟件的監(jiān)控范圍包括所有來自INTERNET的電子郵件以及所屬附件(對于壓縮文件同樣也進行檢測)5、 反垃圾郵件系統(tǒng)安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺服務器上。反垃圾郵件系統(tǒng)作用：拒絕轉發(fā)來自INTERNET的垃圾郵件;拒絕轉發(fā)來自局域網(wǎng)用戶的垃圾郵件并將發(fā)垃圾郵件的局域網(wǎng)用戶的IP地址通過電子郵件等方式通報網(wǎng)管;記錄發(fā)垃圾郵件的終端地址;⑷通過電子郵件等方式通知網(wǎng)管垃圾郵件的處理情況。6、動態(tài)口令認證系統(tǒng)安裝位置：服務器端安裝在WWW服務器(以及其他需要進行口令加強的敏感服務器)，客戶端配置給網(wǎng)頁更新人員(或者服務器授權訪問用戶)；動態(tài)口令認證系統(tǒng)的作用:通過定期修改密碼，確保密碼的不可猜測性。7、網(wǎng)絡管理軟件安裝位置：局域網(wǎng)中。網(wǎng)絡管理軟件的作用:收集局域網(wǎng)中所有資源的硬件信息;收集局域網(wǎng)中所有終端和服務器的操作系統(tǒng)、系統(tǒng)補丁等軟件信息;收集交換機等網(wǎng)絡設備的工作狀況等信息;判斷局域網(wǎng)用戶是否使用了MODEM等非法網(wǎng)絡設備與INTERNET連接;顯示實時網(wǎng)絡連接情況;如果交換機等核心網(wǎng)絡設備出現(xiàn)異常，及時向網(wǎng)管中心報警;8、QOS流量管理安裝位置：如果是專門的產(chǎn)品安裝在路由器和防火墻之間;部分防火墻本身就有QOS帶寬管理模塊。QOS流量管理的作用:通過IP地址，為重要用戶分配足夠的帶寬;通過端口，為重要的應用分配足夠的帶寬資源;⑶限制非業(yè)務流量的帶寬;在資源閑置時期，允許其他人員使用資源，一旦重要用戶或者重要應用需要使用帶寬，則確保它們能夠至少使用分配給他們的帶寬資源。9、重要終端個人防護軟件安裝位置：重要終端個人防護軟件的作用:保護個人終端不受攻擊;不允許任何主機(包括局域網(wǎng)主機)非授權訪問重要終端資源;防止局域網(wǎng)感染病毒主機通過攻擊的方式感染重要終端。10、頁面防篡改系統(tǒng)安裝位置：WWW服務器頁面防篡改系統(tǒng)的作用:定期比對發(fā)布頁面文件與備份文件，一旦發(fā)現(xiàn)不匹配，用備份文件替換發(fā)布文件;通過特殊的認證機制，允許授權用戶修改頁面文件；能夠對數(shù)據(jù)庫文件進行比對。二、安全服務解決方案在安全服務方案中，采用不同的安全服務，定期對網(wǎng)絡進行檢測、改進，以達到動態(tài)增進網(wǎng)絡安全性，最大限度發(fā)揮安全設備作用的目的。安全服務分為以下幾類：1、網(wǎng)絡拓撲分析服務對象：整個網(wǎng)絡服務周期：半年一次服務內容：(1)根據(jù)網(wǎng)絡的實際情況，繪制網(wǎng)絡拓撲圖；(2)分析網(wǎng)絡中存在的安全缺陷并提出整改建議意見。服務作用：針對網(wǎng)絡的整體情況，進行總體、框架性分析。一方面，通過網(wǎng)絡拓撲分析，能夠形成網(wǎng)絡整體拓撲圖，為網(wǎng)絡規(guī)劃、網(wǎng)絡日常管理等管理行為提供必要的技術資料;另一方面，通過整體的安全性分析，能夠找出網(wǎng)絡設計上的安全缺陷，找到各種網(wǎng)絡設備在協(xié)同工作中可能產(chǎn)生的安全問題。2、 中心機房管理制度制訂以及修改服務對象：中心機房服務周期：半年一次服務內容:協(xié)助用戶制訂并修改機房管理制度。制度內容涉及人員進出機房的登記制度、設備進出機房的登記制度、設備配置修改的登記制度等。服務作用：嚴格控制中心機房的人員進出、設備進出并及時登記設備的配置更新情況，有助于網(wǎng)絡核心設備的監(jiān)控，確保網(wǎng)絡的正常運行。3、 操作系統(tǒng)補丁升級服務內容：（1）一旦出現(xiàn)重大安全補丁，及時更新所有相關系統(tǒng)；（2）出現(xiàn)大型補?。ㄈ缥④浀腟P），及時更新所有相關系統(tǒng)；服務作用：通過及時、有效的補丁升級，能夠有效防止局域網(wǎng)主機和服務器相互之間的攻擊，降低現(xiàn)代網(wǎng)絡蠕蟲病毒對網(wǎng)絡的整體影響，增加網(wǎng)絡帶寬的有效利用率。4、 防病毒軟件病毒庫定期升級服務對象：防病毒服務器、安裝防病毒客戶端的終端服務周期：每周一次服務內容：（1）防病毒服務器通過INTERNET更新病毒庫；（2）防病毒服務器強制所有在線客戶端更新病毒庫；服務作用：通過不斷升級病毒庫確保防病毒軟件能夠及時發(fā)現(xiàn)新的病毒。5、 服務器定期掃描、加固服務內容：使用專用的掃描工具，在用戶網(wǎng)絡管理人員的配合，對主要的服務器進行掃描。服務作用：（1）找出對應服務器操作系統(tǒng)中存在的系統(tǒng)漏洞；（2）找出服務器對應應用服務中存在的系統(tǒng)漏洞；（3）找出安全強度較低的用戶名和用戶密碼。6、防火墻日志備份、分析服務對象：防火墻設備服務周期：一周一次服務內容：導出防火墻日志并進行分析。服務作用：通過流量簡圖找出流量異常的時間段，通過檢查流量較大的主機，找出局域網(wǎng)中的異常主機。7、入侵檢測等安全設備日志備份服務對象：入侵檢測等安全設備服務周期：一周一次服務內容：備份安全設備日志。服務作用：防止日志過大導致檢索、分析的難度，另一方面也有利于事后的檢查。8、服務器日志備份服務對象：主要服務器（如WWW服務器、文件服務器等）服務周期：一周一次服務內容：備份服務器訪問日志服務作用：防止日志過大導致檢索、分析的難度，另一方面也有利于事后的檢查。9、白客滲透服務內容：服務商在用戶指定的時間段內，通過INTERNET,使用各種工具在不破壞應用的前提下攻擊服務器，最終提供檢測報告。服務作用：先于黑客進行探測性攻擊以檢測系統(tǒng)漏洞。根據(jù)最終檢測報告進一步增強系統(tǒng)的安全性10、 設備備份系統(tǒng)服務對象：骨干交換機、路由器等網(wǎng)絡骨干設備服務周期：實時服務內容：根據(jù)用戶的網(wǎng)絡情況，提供骨干交換機、路由器等核心網(wǎng)絡設備的備份。備份設備可以在段時間內替代網(wǎng)絡中實際使用的設備。服務作用：一旦核心設備出現(xiàn)故障，使用備件替換以減少網(wǎng)絡故障時間。11、 信息備份系統(tǒng)服務周期：根據(jù)網(wǎng)絡情況定完全備份和增量備份的時間服務內容：定期備份電子信息服務作用：防止核心服務器崩潰導致網(wǎng)絡應用癱瘓。12、定期總體安全分析報告服務對象：整個網(wǎng)絡服務周期：半年一次服務內容：綜合網(wǎng)絡拓撲報告、各種安全設備日志、服務器日志等信息，對網(wǎng)絡進行總體安全綜合性分析，分析內容包括網(wǎng)絡安全現(xiàn)狀、網(wǎng)絡安全隱患分析，并提出改進建議意見。服務作用：提供綜合性、全面的安全報告，針對全網(wǎng)絡進行安全性討論，為全面提高網(wǎng)絡的安全性提供技術資料。以上是服務解決方案，眾所周知，安全產(chǎn)品一般是共性的產(chǎn)品，通過安全服務，能夠配制出適合本網(wǎng)絡的安全設備，使得安全產(chǎn)品在特定的網(wǎng)絡中發(fā)揮最大的效能，使得各種設備協(xié)同工作，增強網(wǎng)絡的安全性和可用性。當然，在網(wǎng)絡中，不安全是絕對的，即使采取種種措施，網(wǎng)絡也可能遭到應用某種原因無法正常運作，這時候，就需要有及時有效的技術支持，使得網(wǎng)絡在盡可能短的時間內恢復正常。下面將提出技術支持解決方案。三、技術支持解決方案技術支持是整個安全方案的重要補充。其主要作用是在用戶網(wǎng)絡發(fā)生重要安全事件后，通過及時、高效的安全服務，達到盡快恢復網(wǎng)絡應用的目的。技術支持主要包括以下幾方面：1、故障排除支持范圍：用戶無法訪問網(wǎng)絡(如局域網(wǎng)用戶無法訪問INTERNET);應用服務無法訪問(如不能對外提供WWW服務)；網(wǎng)絡訪問異常(如訪問速度慢)。作用：一旦網(wǎng)絡出現(xiàn)異常，為用戶提供及時、有效的網(wǎng)絡服務。在最短的時間內恢復網(wǎng)絡應用。2、災難恢復支持范圍：設備遇到物理損害網(wǎng)絡網(wǎng)絡應用異常。作用：通過備品備件，快速恢復網(wǎng)絡硬件環(huán)境;通過備份文件的復原，盡快恢復網(wǎng)絡的電子資源；由此可在最短的時間內恢復整個網(wǎng)絡應用。3、 查找攻擊源支持范圍：網(wǎng)絡管理員發(fā)現(xiàn)網(wǎng)絡遭到攻擊，并需要確定攻擊來源。作用：通過日志文件等信息，確定攻擊的來源，為進一步采取措施提供依據(jù)。4、 實時檢索日志文件支持范圍：遭到實時的攻擊（如DOS，SYNFLOODING等），需要及時了解攻擊源以及攻擊強度。作用：通過實時檢索日志文件，可以當時存在的針對本網(wǎng)絡的攻擊并查找出攻擊源。如果攻擊強度超出網(wǎng)絡能夠承受的范圍，可采取進一步措施進行防范。5、 即時查殺病毒支持范圍：由不可確定的因素導致網(wǎng)絡中出現(xiàn)計算機病毒。作用：即使網(wǎng)絡中出現(xiàn)病毒，通過及時有效的技術支持，在最短的時間內查處感染病毒的主機并即時查殺病毒，恢復網(wǎng)絡應用。6、 即時網(wǎng)絡監(jiān)控支持范圍：網(wǎng)絡出現(xiàn)異常，但應用基本正常。作用：通過網(wǎng)絡監(jiān)控，近可能發(fā)現(xiàn)網(wǎng)絡中存在的前期網(wǎng)絡故障，在故障擴大化以前及時進行防治。以上是技術支持解決方案，技術支持是安全服務的重要補充部分，即使在完善的安全體系下，也存在不可預測的因素導致網(wǎng)絡故障，此時，需要及時、有效的技術支持服務，在盡可能短的時間內恢復網(wǎng)絡的正常運行。綜上所述，局域網(wǎng)的安全由三大部分組成，涵蓋設備、技術、制度、管理、服務等各個部分。四、分布實施建議意見網(wǎng)絡安全涉及面相當廣，同時進行建設的可行性較差，因此，建議按照以下方式進行分階段實施。1、 第一階段技術方面，采用防火墻、網(wǎng)絡防病毒軟件、頁面防篡改系統(tǒng)來建立一個結構上較完善的網(wǎng)絡系統(tǒng)。服務方面，進行網(wǎng)絡拓撲分析、建立中心機房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份，通過這些服務，增強網(wǎng)絡的抗干擾性。支持方面，要求服務商提供故障排除服務，以提高網(wǎng)絡的可靠性，降低網(wǎng)絡故障對網(wǎng)絡的整體影響。2、 第二階段在第一階段安全建設的基礎上，進一步增加網(wǎng)絡安全設備，采納新的安全服務和技術支持來增強網(wǎng)絡的可用性。技術方面，采用入侵檢測、郵件防病毒軟件、動態(tài)口令認證系統(tǒng)、并在重要客戶端安裝個人版防護軟件。服務方面，對服務器進行定期掃描與加固、對防火墻日志進行備份與分析、對入侵檢測設備的日志進行備份、建立設備備份系統(tǒng)以及文件備份系統(tǒng)。支持方面，要求服務商提供災難恢復、實時日志檢索、實時查殺病毒、實時網(wǎng)絡監(jiān)控等技術支持。3、第三階段在這一階段，采取的措施以進一步提高網(wǎng)絡效率為主。技術方面，采用反垃圾郵件系統(tǒng)、網(wǎng)絡管理軟件、QOS流量管理軟件。服務方面，采用