1、项目背景
xxx集团计算机网络是一个局域网互连的庞大而复杂的网络结构,网络连接复杂而多样,网络应用相当丰富,应该说是一个成功的网络设计与应用样板。然而在网络设计和开发 初期,受当时软硬件技术、经济投资、政策引导等环境影响,对网络系统的安全和保密措施及实现的技术手段没有作系统的考虑,从而使网络安全受到了极大的威胁。随着国家有关部门相继出台了一系列关于加强计算机网络信息系统安全的法规,以及xxx集团计算机系统的建设发展和普及应用,使得加强网络安全和信息保密工作变得越来越重要,在这种背景下,海信数码公司根据xxx集团的需求,提出了xxx集团计算机网络安全解决方案。
2、网络概况
xxx集团暴露在公网上的主机是WWW服务器、Mail服务器、代理服务器(MS Proxy),有自己内部的DNS服务器和内部WWW服务器。家庭用户通过拨号和闭路电视网络登录内部网,访问Internet和收发Email。
各xxx局域网通过微波、光纤与总部连接。整个网络有唯一出口连接Internet。公司网络系统的出口方式是,以2兆专线接入方式与xxx电信局联接,并接入国际互联网。
通过几年来的网络系统建设和应用开发,目前已经形成了xxx区企业局域网络联接/应用服务、国际互联网(Internet)接入/应用服务和电子邮件服务业务体系。
xxx区计算机网络系统(以下简称网络)硬件平台选用BAY公司的交换机设备、CISCO公司的路由器设备、HP公司的服务器;软件平台采用Windows—NT为网络操作系统和ORACLE数据库,构成带有虚拟功能的快速交换(10M/100M)以太网。
||||||公司机关网络中心由各楼宇内的综合布线系统、网络设备平台和软件平台等构成高速交换以太网。公司机关的主楼、经营楼和信息楼均设置一间交换机房及交换设备,三个楼宇之间以光纤做环形连接,以实现楼宇之间的数据交换和系统的资源共享,并以此构成网络系统的汇结中心。
公司和各xxx区之间的网络连接结构采用星型拓扑结构。对内通过微波2兆数据传输口和10兆光纤与公司各xxx区联接,对外统一通过网络中心至xxx的2兆专线与国际互联网联接。
3、系统分析
随着企业信息化的深入发展和电子商务应用与xxx区宽带网的起步建设,xxx区联网单位飞速增长,依赖于计算机管理和借助于xxx区计算机网络系统运行环境的单位部门和业务体系会越来越多。因此,xxx区计算机网络系统势必需要进一步发展建设和完善健壮。同时,xxx区计算机网络系统将会势必担负更为广泛的、更为重要的、更为繁重的任务和职责。所以,该系统就越发需要一套完备高效可靠的技术措施和技术手段,确保系统的安全正常运行。
xxx区计算机网络系统在设计和初期开发建设时期,其安全防范还没有提到议事日程上来,没有相应的安全防护技术和手段,系统是一个对内对外不加任何防卫侵入攻击破坏的裸网。到中期,业务技术管理部门根据社会和企业网络应用实际情况,意识到这一问题的重要,购买了一套防病毒放火墙软件。但是,限于当时的技术和设备以及应用冲突的影响,无法投入正常使用。而切,从当前实际情况和技术进步趋势来看,仅仅靠该软件和用户端的查杀病毒软件,是无法满足系统安全防范需要的。
目前系统存在的主要安全隐患有:
系统范围比较庞大、路由结构比较复杂、xxx区联接方式较多,容易产生技术漏洞和薄弱环节;
没有设置防止外部黑客攻击(对服务器、网站、网页等)的物理和技术隔离;
没有设置防止内外部病毒侵入、传播的动态检测、实时监控、杀灭报告等软硬件技术措施;
系统的信息传输通道没有加密措施,容易被截获,造成信息泄密;
||||||系统的交换机、服务器等网络核心设备,由于资金投入所限,均无应急备用考虑,数据库、数据信息、软件、用户注册信息、访问日志等尚未建立自动备份体系,一旦发生设备损坏或软件数据损坏,很难及时恢复系统正常工作;
系统的办公上网和职工拨号上网体系没有进行物理路由和防火墙隔离,仅仅依靠技术设置逻辑划隔,极易对办公体系的安全形成威胁;
由于网络系统内部IP地址实行动态分配,加之上网用户身份确认与用户网卡MAC地址不对应,如果用户发生网络违法或破坏安全行为,网络管理技术人员很难提出准确的技术依据,配合安全和公安部门进行查处;
对网络内部的广播风暴的隔离程度和范围还有待于进步提高。
由于以上原因,系统曾经发生病毒侵入、网页遭受攻击、局部广播风暴影响整个系统的事件。
4、安全体系
4.1 对服务器的安全保护
目前,xxx集团网络中存在许多服务器。除了信息中心的WWW服务器、Mail服务器、DNS服务器、代理服务器之外,其他单位(如机关大楼、公司营业楼)和所有xxx区子网都设有各种服务器。这些服务器必须进行安全保护。通过修改网络操作系统内核的相关参数,增强操作系统内核抵抗各种攻击的自身能力。并根据我方长期的的安全集成经验,决定推荐CA公司的eTrust Access Control系统,分割可能造成安全问题的超级管理员的权限,甚至取消传统意义上的超级管理员。
4.2 对内部非法用户的防范
从统计数字来看,50%以上的攻击来自于网络内部,而从网络外部发起的攻击次数远比内部的攻击次数要小,成功的可能性要小。因此,如何加强对兖矿内部用户的安全管理,是确保整个网络安全的关键。对内部用户的安全管理分以下几个方面:
用户身份认证:确信该用户是本网络中的注册用户;
用户权限管理:给用户授权,使其仅拥有与其身份相对应的使用权限。例如,是否允许上网。
||||||4.3 病毒防护
从所了解的情况来看,xxx网络还没有有效的病毒防护措施。如何建立一套有效的病毒防护体系,也是xxx集团网络考虑的问题。
4.4 入侵检测和告警
对于攻击的实时检测和告警是网络安全中的重要环节。它是在安全事件发生之前,就可以及时预警和采取相应措施制止攻击的有效工具。xxx集团网络也应该具备这种防护能力。
4.5 安全审计与日志信息的安全保护
安全审计就是通过对安全日志进行分析,力求查找“黑客”的踪迹,以便发现“黑客”,并找到相关的证据。
由此可见,对日志信息的安全保护也是至关重要的。
4.6 安全设备的双机热备份
为了保证网络安全、不间断地运行,必须考虑双机热备份的问题。
4.7 网络内部特殊用户的保密通信
根据xxx集团信息中心的建议和我们的理解,各子网中都有一些特殊的主机。这些主机之间的通信需要与其他主机隔离,使得普通主机无法访问此类特殊主机,而这些主机之间可以正常通信。
4.8 集团信息中心与各xxx区之间的保密通信
为了防止“黑客”通过窃听和搭线等攻击手段获取网上传输的有价值的信息,集团信息中心与各xxx区子网之间的通信链路需要加密保护。
4.9 数据库的安全保护
xxx集团网络信息中心、各部门、各xxx区子网中都有一些数据库,其中存放着许多机密信息。对这些数据库服务器,必须加以保护。
4.10 日常漏洞扫描和安全检查
作为日常安全管理和维护的需要,xxx集团信息中心应该具备一些安全工具,对网络做必要的安全检查和扫描,以便发现漏洞和安全缺陷,并对其进行修补。
||||||4.11 对WEB页面的保护
网页保护系统是这样的一种网络安全软件,它实时监控WEB站点,当WEB站点上的文件受到破坏时,能迅速恢复被破坏的文件,并及时提交报告给系统管理员,从而保护WEB站点的数据安全。
5、方案实施
在xxx集团网络中心部署防火墙,入侵检测系统,WEB页面保护系统和网络防病毒系统,保障整个网络的安全性。
图 错误!未定义样式。?错误!未定义书签。
