版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
網(wǎng)絡(luò)安全建設(shè)方案2016年7月1.前言21.1。方案涉及范圍21。2。方案參考標(biāo)準(zhǔn)31.3。方案設(shè)計原則42。安全需求分析52。1.符合等級保護的安全需求52。1.1。等級保護框架設(shè)計52.1.2。相應(yīng)等級的安全技術(shù)要求62。2。自身安全防護的安全需求62.2.1。物理層安全需求62。2.2。網(wǎng)絡(luò)層安全需求72.2.3。系統(tǒng)層安全需求82。2。4.應(yīng)用層安全需求93.網(wǎng)絡(luò)安全建設(shè)內(nèi)容93.1。邊界隔離措施103.1。1.下一代防火墻10TOC\o"1-5"\h\z3.1。2.入侵防御系統(tǒng)123。1.3。流量控制系統(tǒng)123。1.4.流量清洗系統(tǒng)143.2.應(yīng)用安全措施143。2.1。WEB應(yīng)用防火墻143。2。2.上網(wǎng)行為管理系統(tǒng)153.2。3.內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng)163.3。安全運維措施163。3.1.堡壘機163.3.2。漏洞掃描系統(tǒng)173。3。3.網(wǎng)站監(jiān)控預(yù)警平臺173.3.4。網(wǎng)絡(luò)防病毒系統(tǒng)183.3。5.網(wǎng)絡(luò)審計系統(tǒng)181.前言1.1.方案涉及范方案設(shè)計中的防護重點是學(xué)校中心機房的服務(wù)器區(qū)域,這些服務(wù)器承載了學(xué)校內(nèi)部的所有業(yè)務(wù)系統(tǒng),因此是需要重點防護的信息資產(chǎn)。學(xué)校目前采取了數(shù)據(jù)大集中的模式,將所有的業(yè)務(wù)數(shù)據(jù)集中在中心機房,數(shù)據(jù)大集中模式將導(dǎo)致數(shù)據(jù)中心的安全風(fēng)險也很集中,因此必須對中心機房服務(wù)器區(qū)域進行重點防護。第第#頁共19頁第第8頁共19頁的合法用戶)被允許正常訪問的一定的信息,但他同時通過一些手段越權(quán)訪問了別人不允許他訪問的信息,因此而造成他人的信息泄密。所以,還得加密訪問控制的機制,對服務(wù)及訪問權(quán)限進行嚴(yán)格控制。防范假冒合法用戶的非法訪問從管理上及實際需求上是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源。那么,入侵者便會在用戶下班或關(guān)機的情況下,假冒合法用戶的IP地址或用戶名等資源進行非法訪問。因此,必需從訪問控制上做到防止假冒而進行的非法訪問。入侵防御需求防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴(yán)格控制(允許、禁止、報警).但網(wǎng)絡(luò)配置了防火墻卻不一定安全,防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊。因為網(wǎng)絡(luò)安全是整體的,動態(tài)的,不是單一產(chǎn)品能夠完全實現(xiàn),所以確保網(wǎng)絡(luò)更加安全必須配備入侵檢測和響應(yīng)系統(tǒng),對透過防火墻的攻擊進行檢測并做相應(yīng)反應(yīng)(記錄、報警、阻斷).2.2.3.系統(tǒng)層安全需求安全漏洞檢測和修補需求網(wǎng)絡(luò)系統(tǒng)存在安全漏洞(如安全配置不嚴(yán)密等)和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過一些程序來探測網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞,然后通過發(fā)現(xiàn)的安全漏洞,采取相就技術(shù)進行攻擊,因此,必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測網(wǎng)絡(luò)中存在的安全漏洞,并采用相應(yīng)的措施填補系統(tǒng)漏洞,對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進行安全配置.安全加固需求對關(guān)鍵的服務(wù)器主機系統(tǒng)進行安全加固,提供用戶認(rèn)證、訪問控制和審計,嚴(yán)格控制用戶對服務(wù)器系統(tǒng)的訪問,禁止黑客利用系統(tǒng)的開口隱患和安全管理功能的不足之處進行非法訪問,避免內(nèi)部用戶的濫用。2.2.4.應(yīng)用層安全需求防病毒需求針對防病毒危害性極大并且傳播極為迅速的特點,必須配備涵蓋客戶端、服務(wù)器、郵件系統(tǒng)、互聯(lián)網(wǎng)網(wǎng)關(guān)的整套防病毒體系,實現(xiàn)全網(wǎng)的病毒安全防護,徹底切斷病毒繁殖和傳播的途徑。防垃圾郵件需求必須采用有效的手段防范互聯(lián)網(wǎng)垃圾郵件進入網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器系統(tǒng),干擾正常業(yè)務(wù)通信。身份認(rèn)證需求必須采用必要的用戶身份認(rèn)證和授權(quán)管理機制,對網(wǎng)絡(luò)用戶身份的真實性、合法性進行集中的控制。數(shù)據(jù)安全需求對重要的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)應(yīng)提供可靠的備份和恢復(fù)機制,防止因非法攻擊或意外事件造成數(shù)據(jù)的破壞或丟失;3.網(wǎng)絡(luò)安全建設(shè)內(nèi)容建議在本期項目的建設(shè)中,重點從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、管理安全的角度出發(fā),進行建設(shè),同時在本期項目成功建設(shè)的基礎(chǔ)上,再進一步向物理安全、組織體系、運行體系方面進行擴展,實現(xiàn)全面的安全策略.具體的實施方案可參考下圖表示:圖3.1學(xué)校網(wǎng)絡(luò)安全拓?fù)涫疽鈭D在本方案中,在互聯(lián)網(wǎng)接入邊界處部署防火墻系統(tǒng),形成層次化的訪問控制和區(qū)域隔離。特別針對服務(wù)器區(qū)域,利用安全邊界接入平臺技術(shù)加強訪問控制力度,有效保障重要的應(yīng)用系統(tǒng)不受到非法的訪問。此外,在服務(wù)器接入邊界處部署入侵防御系統(tǒng),一方面有效抵抗拒絕服務(wù)、掃描、惡意代碼、木馬、蠕蟲等網(wǎng)絡(luò)攻擊行為,降低來自互聯(lián)網(wǎng)和校園內(nèi)部的威脅與風(fēng)險。在防火墻邊界隔離的基礎(chǔ)上,部署入侵防御系統(tǒng)可以進行深度的檢測與防護,提升系統(tǒng)的檢測力度。同時,還在互聯(lián)網(wǎng)接入邊界處部署流量控制系統(tǒng),根據(jù)應(yīng)用和用戶進行帶寬的分配與監(jiān)控。在WEB網(wǎng)站前端部署一臺WEB應(yīng)用防火墻,防范來自互聯(lián)網(wǎng)對WEB網(wǎng)站的攻擊行為。在互聯(lián)網(wǎng)接入邊界處部署上網(wǎng)行為管理系統(tǒng),規(guī)范辦公區(qū)人員的互聯(lián)網(wǎng)行為,保障核心業(yè)務(wù)系統(tǒng)的流量帶寬。同時,還在互聯(lián)網(wǎng)接入邊界處部署流量清洗系統(tǒng),對網(wǎng)絡(luò)中的異常流量進行分析和清洗,保障有限帶寬的合理化利用。在內(nèi)網(wǎng)署一套安全準(zhǔn)入控制系統(tǒng),加強網(wǎng)絡(luò)安全管理及內(nèi)部PC的安全管理。部署堡壘機來對管理員和第三方維護人員進行設(shè)備維護時進行審計管理。部署漏洞掃描系統(tǒng)對全網(wǎng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端進行檢測,發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞,并采用相應(yīng)的措施填補系統(tǒng)漏洞。參考圖3。1,針對學(xué)校數(shù)據(jù)中心,采取的主要防護措施包括:3.1.邊界隔離措施3.1.1.下一代防火墻防火墻是近年發(fā)展起來的重要安全技術(shù),其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通信,根據(jù)用戶設(shè)定的安全規(guī)則,在保護內(nèi)部網(wǎng)絡(luò)安全的前提下,提供內(nèi)外網(wǎng)絡(luò)通信,起到安全域劃分、訪問控制、NAT轉(zhuǎn)換和殺毒、漏洞檢測等防護的作用,同時該防火墻還作為VPN網(wǎng)關(guān)為移動辦公BYOD人員提供遠(yuǎn)程安全連接。通過使用防火墻過濾不安全的服務(wù),提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險,提供對系統(tǒng)的訪問控制;阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。防火墻屬于一種被動的安全防御工具。設(shè)立防火墻的目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊,防火墻的主要功能包括以下幾個方面:1.防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全性,降低受攻擊的風(fēng)險;2.防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實施.防火墻集成所有安全軟件(如口令、加密、認(rèn)證、審計等),比分散管理更經(jīng)濟;3.防火墻強化安全認(rèn)證和監(jiān)控審計.因為所有進出網(wǎng)絡(luò)的數(shù)據(jù)流都必須通過防火墻,防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務(wù);4.防火墻能阻止內(nèi)部信息泄漏。防火墻實際意義上也是一個隔離器,即能防外,又能防止內(nèi)部未經(jīng)授權(quán)用戶對外網(wǎng)的訪問。防火墻設(shè)備的部署,可實現(xiàn)以下功能:1.通過防火墻連接,隔離安全區(qū)域通過對訪問請求的審核,我們隔離了內(nèi)部網(wǎng)絡(luò)同外部網(wǎng)絡(luò)連接,可以達到保護脆弱的服務(wù)、控制對內(nèi)部的訪問、記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。在有不安全網(wǎng)絡(luò)接入時,全部通信都受到防火墻的監(jiān)控,通過防護墻的策略可以設(shè)置成相應(yīng)的保護級別,以保證系統(tǒng)的安全性。2.過濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù)防火墻是一種網(wǎng)關(guān)型的設(shè)備,各個區(qū)域之間的通信,可以通過防火墻的添加,如果在其上添加一些策略,就可以過濾掉部分無用的信息,在網(wǎng)絡(luò)中只能傳輸必要的應(yīng)用數(shù)據(jù)。3.利用防火墻的帶寬控制功能,調(diào)整鏈路的帶寬利用防火墻是一種網(wǎng)關(guān)型的設(shè)備,而且防火墻具有帶寬控制的特性,可以依據(jù)應(yīng)用來限制流量,來調(diào)整鏈路的帶寬.實現(xiàn)每個用戶、服務(wù)器的帶寬控制,提高鏈路帶寬利用的效率.4.通過防火墻的保護,隱蔽內(nèi)部網(wǎng)絡(luò)信息,提高系統(tǒng)的安全性使得各個內(nèi)網(wǎng)區(qū)不受到黑客的攻擊,黑客無法通過防火墻進行掃描、攻擊等非法動作??煞乐购诳屯ㄟ^外部網(wǎng)對重要服務(wù)器的TCP/UDP的端口非法掃描,消除系統(tǒng)安全的隱患??煞乐构粽咄ㄟ^外部網(wǎng)對重要服務(wù)器的源路由攻擊、IP碎片包攻擊、DNS/RIP/ICMP攻擊、SYN攻擊、拒絕服務(wù)等多種攻擊。防火墻還具有一定的入侵檢測功能,當(dāng)發(fā)現(xiàn)有繞過防火墻攻擊重要服務(wù)器時,防火墻將自動報警并根據(jù)策略進行響應(yīng)。5.強大的應(yīng)用層控制防火墻提供應(yīng)用級透明代理,可以對高層應(yīng)用(HTTP、FTP、SMTP、POP3、NNTP)做了更詳細(xì)控制,女口HTTP命令(GET,POST,HEAD)及URL,FTP命令(GEI,PUT)及文件控制。這對于提高網(wǎng)絡(luò)中的應(yīng)用服務(wù)器的安全非常有意義。入侵防御系統(tǒng)剛才提到防火墻實現(xiàn)的是不同安全域之間的訪問控制和管理,而入侵防御系統(tǒng)實現(xiàn)的是對整個內(nèi)網(wǎng)的訪問控制、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報文完整性分析等功能,并提供更高的性能、更細(xì)的安全控制粒度、更深的內(nèi)容攻擊防御、更大的功能擴展空間、更豐富的服務(wù)和協(xié)議支持,為網(wǎng)絡(luò)提供完整的立體式網(wǎng)絡(luò)安全防護。入侵防御系統(tǒng)是在線部署在網(wǎng)絡(luò)中,提供主動的、實時的防護,具備對2到7層網(wǎng)絡(luò)的線速、深度檢測能力,同時配合以精心研究、及時更新的攻擊特征庫,即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)中的病毒、攻擊與濫用行為,也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理,從而達到對網(wǎng)絡(luò)架構(gòu)防護、網(wǎng)絡(luò)性能保護和核心應(yīng)用防護。流量控制系統(tǒng)隨著互聯(lián)網(wǎng)的逐步發(fā)展,網(wǎng)上用戶和業(yè)務(wù)流量在不斷增長,除傳統(tǒng)數(shù)據(jù)業(yè)務(wù)外,網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、P2P下載等新型網(wǎng)絡(luò)應(yīng)用使得骨干網(wǎng)絡(luò)中話音、視頻、點到點下載流量在呈幾何基數(shù)級膨脹趨勢。今天的互聯(lián)網(wǎng)用戶中,沒有聽說或使用過Skype、QQ、MSN、BT、Emule、PPLive等應(yīng)用的恐怕已經(jīng)是極少數(shù)。網(wǎng)絡(luò)應(yīng)用繁榮的同時,網(wǎng)絡(luò)管理的難度也隨之增加。傳統(tǒng)的網(wǎng)絡(luò)設(shè)備由于無法識別應(yīng)用層的流量信息,致使應(yīng)用級別的管控不到位,網(wǎng)絡(luò)管理的灰色地帶不斷增加.主要表現(xiàn)在:網(wǎng)絡(luò)透明度降低:無法獲知網(wǎng)上的各種應(yīng)用及用戶準(zhǔn)確分布情況,無法針對不同用戶、不同應(yīng)用設(shè)置差異化的管理策略;網(wǎng)絡(luò)資源濫用嚴(yán)重,難以進行有效控制管理:如,觀看在線視頻(網(wǎng)絡(luò)電視、在線影視)、利用各種下載工具下載喜歡的音樂/影視等;致使網(wǎng)絡(luò)鏈路經(jīng)常處于流量飽和的狀態(tài),無法滿足日益增長的應(yīng)用需求;關(guān)鍵用戶、關(guān)鍵應(yīng)用的服務(wù)質(zhì)量難以得到有效保障:網(wǎng)絡(luò)應(yīng)用流量種類、數(shù)量不斷增多,無序化的競爭經(jīng)常導(dǎo)致關(guān)鍵用戶、關(guān)鍵應(yīng)用的服務(wù)體驗的降低;網(wǎng)絡(luò)安全性降低:由于網(wǎng)絡(luò)的無序化管理,內(nèi)部人員對網(wǎng)絡(luò)應(yīng)用的濫用,大量蠕蟲病毒、DDOS攻擊趁虛而入,這些以消耗網(wǎng)絡(luò)資源為目的的流量類攻擊發(fā)展迅猛,卻沒有有效的防范、控制手段,造成網(wǎng)絡(luò)擁塞,甚至網(wǎng)絡(luò)癱瘓,為網(wǎng)絡(luò)安全帶來了重大的隱患;另外,現(xiàn)有網(wǎng)絡(luò)設(shè)備無法實現(xiàn)應(yīng)用級別管控還會給各類不同用戶帶來其它一些嚴(yán)重問題,例如:對于企業(yè)網(wǎng)絡(luò):用戶網(wǎng)絡(luò)行為監(jiān)管困難,既便制定了內(nèi)部網(wǎng)絡(luò)管理條例,員工的上網(wǎng)行為也難以進行有效的管理.例如,在工作時間炒股票(大智慧、通花順、錢龍等)、玩網(wǎng)絡(luò)游戲(傳奇、魔獸、聯(lián)眾、反恐精英等)、用MSN、QQ等即時通訊工具進行與工作無關(guān)的聊天等,這不僅會影響工作效率,也會給網(wǎng)絡(luò)管理帶來巨大隱患;對于電信運營商網(wǎng)絡(luò):對應(yīng)用管控的缺失,造成非法VoIP、P2P應(yīng)用、在線視頻應(yīng)用的泛濫,一方面,其占有了大量的網(wǎng)絡(luò)資源,帶來了擴容壓力;另一方面,其也對運營商的主營業(yè)務(wù)(傳統(tǒng)的語音業(yè)務(wù)、新興的IPTV業(yè)務(wù)等)收入造成了巨大的影響。對于今天的網(wǎng)絡(luò)管理者而言,如何深度感知網(wǎng)絡(luò)應(yīng)用,通過適當(dāng)?shù)膸捁芾砑夹g(shù)來解決帶寬增長與業(yè)務(wù)收益、網(wǎng)絡(luò)擴容與用戶體驗之間的不對稱關(guān)系,實現(xiàn)對用戶和業(yè)務(wù)的分級化識別管理,和基于用戶和用戶業(yè)務(wù)流量的管理和增值顯得尤為重要。在這種背景下,流量控制系統(tǒng)就能夠很好的解決上述網(wǎng)絡(luò)面臨的問題,它通過高速數(shù)據(jù)內(nèi)容檢測、數(shù)據(jù)流狀態(tài)監(jiān)測、IP隧道和微碼固件等方法,在對網(wǎng)絡(luò)應(yīng)用深度解析的基礎(chǔ)上,實現(xiàn)了2?7層的應(yīng)用識別分類、流量屬性分析、流量策略管理、分類統(tǒng)計報告以及狀態(tài)預(yù)警等多種功能。流控為提高網(wǎng)絡(luò)透明度,實施網(wǎng)絡(luò)應(yīng)用服務(wù)管理以及拓展網(wǎng)絡(luò)增值業(yè)務(wù)提供了有效和可靠的硬件平臺,在對網(wǎng)絡(luò)流量進行精確識別分析進而達到控制的目的的同時,鞏固和加強了網(wǎng)絡(luò)的安全管理。3.1.4.流量清洗系統(tǒng)隨著各種業(yè)務(wù)對Internet依賴程度的日益加強,DDoS攻擊所帶來的損失也愈加嚴(yán)重。包括運營商、企業(yè)及政府機構(gòu)的各種用戶時刻都受到了DDoS攻擊的威脅,而未來更加強大的攻擊工具的出現(xiàn),為日后發(fā)動數(shù)量更多、破壞力更強的DDoS攻擊帶來可能。正是由于DDoS攻擊非常難于防御,以及其危害嚴(yán)重,所以如何有效的應(yīng)對DDoS攻擊就成為Internet使用者所需面對的嚴(yán)峻挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備或者傳統(tǒng)的邊界安全設(shè)備,諸如防火墻、入侵檢測系統(tǒng),作為整體安全策略中不可缺少的重要模塊,都不能有效的提供針對DDoS攻擊完善的防御能力。面對這類給Internet可用性帶來極大損害的攻擊,必須采用專門的設(shè)備,對攻擊進行有效檢測及阻斷,進而遏制這類不斷增長的、復(fù)雜的且極具欺騙性的攻擊形式.因此,對骨干設(shè)備的防護也是整個網(wǎng)絡(luò)環(huán)境的關(guān)鍵,建議在互聯(lián)網(wǎng)接入處部署專業(yè)的DDoS防護產(chǎn)品,保障用戶網(wǎng)絡(luò)可用性。應(yīng)用安全措施3.2.1.WEB應(yīng)用防火墻隨著信息技術(shù)的不斷發(fā)展,互聯(lián)網(wǎng)已經(jīng)成為信息傳播、流通、交換及存儲的重要手段.信息高速公路的興建使人類完全突破了傳統(tǒng)的信息獲取方式,存儲在計算機中的資料都在逐漸增加,對信息的保護比以往更加重要也更加困難。由于Internet是個開放的網(wǎng)絡(luò),網(wǎng)站發(fā)布的信息一天二十四小時都在被查詢、閱讀、下載或轉(zhuǎn)載。網(wǎng)站內(nèi)容復(fù)制容易,轉(zhuǎn)載速度快,學(xué)校WEB站點網(wǎng)頁如果被篡改,后果難以預(yù)料,篡改網(wǎng)頁將會被迅速、廣泛傳播,從而直接危害網(wǎng)站的利益。尤其是網(wǎng)站上發(fā)布的重要新聞、重大方針政策以及法規(guī)等,一旦被黑客篡改,將嚴(yán)重影響政府形象,甚至造成重大的政治經(jīng)濟損失和惡劣的社會影響。WEB服務(wù)器前端部署WEB應(yīng)用防火墻,可以提高相關(guān)WEB站點的安全性。當(dāng)出現(xiàn)黑客攻擊或工作人員某些操作失誤,WEB應(yīng)用防火墻能夠?qū)崟r恢復(fù)網(wǎng)站文件,保證網(wǎng)站的連續(xù)正常運行;同時還能夠記錄篡改事件的相關(guān)資料,從而為安全部門提供調(diào)查的線索和證據(jù)。WEB應(yīng)用防火墻具備實時、低耗等性能指標(biāo),既能夠保證篡改頁面的立即恢復(fù),又能保證網(wǎng)站的正常服務(wù)性能不受影響.WEB應(yīng)用防火墻支持全透明部署模式,全面支持HTTPS協(xié)議,在提供WEB應(yīng)用實時深度防御的同時實現(xiàn)WEB應(yīng)用加速及敏感信息泄露防護,能夠解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問題,特別是解決目前所面臨的各類網(wǎng)站安全問題,如:注入攻擊、跨站腳本攻擊(釣魚攻擊)、惡意編碼(網(wǎng)頁木馬)、緩沖區(qū)溢出、信息泄露、應(yīng)用層DOS/DDOS攻擊等等。3.2.2.上網(wǎng)行為管理系統(tǒng)隨著信息化建設(shè)的開展,工作和生活對于互聯(lián)網(wǎng)的依賴性越來越強.在學(xué)校職工利用互聯(lián)網(wǎng)獲得更多更及時地資源的時候,一些網(wǎng)絡(luò)性能方面和應(yīng)用方面的問題被暴露了出來,大量的P2P等非關(guān)鍵應(yīng)用無情地吞噬著網(wǎng)絡(luò)有限的帶寬資源,使得網(wǎng)絡(luò)管理人員頭痛不已。在沒有對P2P流量進行策略管理的時間段內(nèi),P2P等非關(guān)鍵應(yīng)用的流量幾乎占用了60-70%的網(wǎng)絡(luò)帶寬,關(guān)鍵性應(yīng)用如OA、Email、WEB網(wǎng)站等卻得不到保障,會嚴(yán)重影響了機關(guān)網(wǎng)絡(luò)的健康發(fā)展。通過在互聯(lián)網(wǎng)出口處部署一臺上網(wǎng)行為管理系統(tǒng),對互聯(lián)網(wǎng)資源做一個合理的流量控制,抑制P2P的濫用,并保障關(guān)鍵應(yīng)用的帶寬,大幅度提高訪問互聯(lián)網(wǎng)的速度,有效提升帶寬利用率。上網(wǎng)行為管理系統(tǒng)提供了強大的網(wǎng)頁過濾功能,屏蔽對非法網(wǎng)站的訪問;提供基于時間、用戶、應(yīng)用的精細(xì)管理策略,控制職工在上班時間玩網(wǎng)絡(luò)游戲、炒股、觀看在線視頻,以及無節(jié)制的網(wǎng)絡(luò)聊天,從而保障工作效率;提供對電子郵件、即時通訊、論壇發(fā)帖等途徑的外發(fā)信息進行監(jiān)控審計,避免機密信息泄露或發(fā)表反動言論等.3.2.3.內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng)學(xué)校業(yè)務(wù)種類越來越多,重要性越來越突出。所以辦公計算機的系統(tǒng)安全以及日常的運行維護顯的尤為重要,如果出現(xiàn)安全漏洞或安全事故,將會嚴(yán)重影響整體業(yè)務(wù)運行安全。由于學(xué)校信息化程度較高,終端點數(shù)較多,對IT軟硬件的資產(chǎn)管理及故障維護靠人工施行難度較大,且效率低下,迫切需要通過技術(shù)手段規(guī)范人員入網(wǎng)及日常終端使用行為.為加強網(wǎng)絡(luò)安全管理及加強內(nèi)部PC的安全管理,建議在內(nèi)網(wǎng)部署一套安全準(zhǔn)入控制系統(tǒng),這套系統(tǒng)將重點解決以下問題:>用戶入網(wǎng)身份證書認(rèn)證化>入網(wǎng)終端登記注冊認(rèn)證化>違規(guī)終端不準(zhǔn)入網(wǎng)、入網(wǎng)終端必合規(guī)>安全檢查一目了然、智能傻瓜式修復(fù)>用戶權(quán)限的細(xì)粒度分派及管理>全網(wǎng)終端軟硬件資產(chǎn)合理、實時、有序管理>終端系統(tǒng)補丁、殺毒軟件、應(yīng)用程序等有效統(tǒng)一管理安全準(zhǔn)入控制系統(tǒng)可以對所有的入網(wǎng)設(shè)備進行身份認(rèn)證,包括MAC地址、IP地址、基于用戶名和密碼的身份、接入設(shè)備端口、所在VLAN等信息,還支持U-KEY、支持智能卡、數(shù)字證書認(rèn)證、LDAP、無縫結(jié)合域管理。保證接入設(shè)備為合法終端。安全運維措施3.3.1.堡壘機隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進步,業(yè)務(wù)應(yīng)用、辦公系統(tǒng)不斷推出和投入運行,信息系統(tǒng)在政府機構(gòu)運營中全面滲透。學(xué)校信息系統(tǒng)使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運行關(guān)鍵業(yè)務(wù)。由于設(shè)備和服務(wù)器眾多,系統(tǒng)管理員壓力太大等因素,越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生,另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限,闖入內(nèi)部網(wǎng)絡(luò),造成不可估量的損失。如何提高系統(tǒng)運維管理水平,跟蹤服務(wù)器上用戶的操作行為,防止黑客的入侵和破壞,提供控制和審計依據(jù),降低運維成本,滿足相關(guān)標(biāo)準(zhǔn)要求,越來越成為管理員關(guān)心的問題。通過部署堡壘機,該設(shè)備扮演著看門者的職責(zé),所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過。因此它能夠攔截非法訪問和惡意攻擊,對不合法命令進行阻斷、過濾掉所有對目標(biāo)設(shè)備的非法訪問行為。并能夠?qū)⑺械妮敵鲂畔⑷坑涗浵聛恚痪邆鋵徲嫽胤殴δ?,能夠模擬用戶的在線操作過程,豐富和完善了網(wǎng)絡(luò)的內(nèi)控審計功能.因此,堡壘機能夠極大的保護內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性,使得內(nèi)部網(wǎng)絡(luò)管理更加合理化和專業(yè)化.3.3.2.漏洞掃描系統(tǒng)在內(nèi)網(wǎng)服務(wù)器區(qū)部署一臺漏洞掃描系統(tǒng)。其主要用于分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié),給出詳細(xì)的檢測報告,并針對檢測到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補措施和安全建議。漏洞掃描系統(tǒng)通過模擬黑客的進攻方法,對被檢系統(tǒng)進行攻擊性的安全漏洞和隱患掃描,提交風(fēng)險評估報告,并提供相應(yīng)的整改措施.先于黑客發(fā)現(xiàn)并彌補漏洞,防患于未然。預(yù)防性的安全檢查最大限度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患,配合行之有效的整改措施,可以將網(wǎng)絡(luò)系統(tǒng)的運行風(fēng)險降至最低。3.3.3.網(wǎng)站監(jiān)控預(yù)警平臺由于針對Web系統(tǒng)的網(wǎng)絡(luò)訪問控制措施被廣泛采用,且一般只開放HTTP等必要的服務(wù)端口,因此黑客已經(jīng)難以通過傳統(tǒng)網(wǎng)絡(luò)層攻擊方式(查找并攻擊操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞)攻擊網(wǎng)站。然而,Web應(yīng)用程序漏洞的存在更加普遍,隨著Web應(yīng)用技術(shù)的深入普及,Web應(yīng)用程序漏洞發(fā)掘和攻擊速度越來越塊,基于Web漏洞的攻擊更容易被利用,已經(jīng)成為黑客首選。據(jù)統(tǒng)計,現(xiàn)在對網(wǎng)站成功的攻擊中,超過7成都是基于Web應(yīng)用層,而非網(wǎng)絡(luò)層。前不久OWASP(OpenWebApplicationSecurityProject)機構(gòu)發(fā)布了最新的《OWASPTop10ApplicationSecurityRisks》,SQL注入和XSS攻擊(CrossSiteScripting,跨站腳本攻擊)仍舊排名前兩
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 14.1《故都的秋》課件 2024-2025學(xué)年統(tǒng)編版高中語文必修上冊-1
- 2025屆山東省高密市高考語文全真模擬密押卷含解析
- 11《反對黨八股》課件 2024-2025學(xué)年統(tǒng)編版高中語文必修上冊
- 廣東深圳平湖外國語學(xué)校2025屆高考英語考前最后一卷預(yù)測卷含解析
- 《設(shè)備油的基礎(chǔ)》課件
- 重慶市第十一中學(xué)2025屆高考數(shù)學(xué)三模試卷含解析
- 現(xiàn)代學(xué)徒制課題:中國特色學(xué)徒制理論內(nèi)涵、育人模式與實踐路徑的國際比較研究(研究思路模板、技術(shù)路線圖)
- 專題04 完形填空20篇(原卷版)-2024-2025學(xué)年七年級英語上學(xué)期期末名校真題進階練(深圳專用)
- 遼寧省鐵嶺高中2025屆高三下學(xué)期一??荚囌Z文試題含解析
- 重慶市銅梁中學(xué)2025屆高三下學(xué)期第五次調(diào)研考試語文試題含解析
- 注塑換模作業(yè)指導(dǎo)書
- 國家住宅裝飾裝修工程施工規(guī)范標(biāo)準(zhǔn)
- 光伏清洗機器人項目可行性研究報告寫作范文
- 四柱液壓壓力機系統(tǒng)設(shè)計說明書(共17頁)
- 冷凍結(jié)晶技術(shù)+膜過濾組合工藝處理硫酸鈉廢水的優(yōu)越性
- 廣西中藥飲片項目建議書(范文模板)
- 上海中級口譯口試部分歷年真題集錦(含答案)
- 《高一家長會物理教師代表發(fā)言稿5篇》
- 揮發(fā)性有機物治理技術(shù)(1)匯編
- 污水工藝設(shè)計計算書
- 整式的加減化簡求值專項練習(xí)100題經(jīng)典實用
評論
0/150
提交評論