网络信息安全保障方案样本Word格式.docx
《网络信息安全保障方案样本Word格式.docx》由会员分享,可在线阅读,更多相关《网络信息安全保障方案样本Word格式.docx(34页珍藏版)》请在冰点文库上搜索。
2.1.3系统安全风险分析
系统安全通常分为系统级软件比如操作系统、数据库等安全漏洞、病毒防治。
1、系统软件安全漏洞
系统级软件比如操作系统、数据库等总是存在着这么那样安全漏洞,包含已发觉或未发觉安全漏洞。
2、病毒侵害
计算机病毒一直是困扰每一个计算机用户关键问题,一旦计算机程序被感染了病毒,它就有可能破坏掉用户工作中关键信息。
网络使病毒传输速度极大加紧,企业内部网络和Internet相连,这意味着天天可能受到来自世界各地新病毒攻击。
2.1.4应用安全风险分析
基于B/S模式业务系统因为身份认证、数据传输、访问控制、授权、口令等存在安全隐患,从而对整个系统造成安全威胁。
2.1.5数据安全风险分析
在系统中存放相关键数据。
这些数据如被非法复制、篡改、删除,或是因多种天灾人祸丢失,将威胁到数据保密性、完整性和一致性。
2.2网络系统安全设计
针对上面提到种种安全风险,对系统安全进行设计。
2.2.1设备安全
设备安全在这里关键指控制对交换机等网络设备访问,包含物理访问和登录访问两种。
针对访问两种方法采取以下方法:
对基础设施采取防火、防盗、防静电、防潮方法。
系统主机应采取双机热备(主备/互备)方法,组成集群系统;
系统关键通信设备应考虑冗余备份;
要求利用系统监控工具,实时监控系统中多种设备和网络运行状态,立即发觉故障或故障苗头,立即采取方法,排除故障,保障系统平稳运行。
2.2.2网络安全
为保障网络安全,在网络上要采取以下方法:
●设置防火墙。
防火墙作为内部网络和外部公共网络之间第一道屏障,通常见在企业网和Internet等公众网之间连接点处,防护来自外部攻击,并过滤掉不安全服务请求和非法用户进入;
●在内部系统Web服务器到应用服务器之间设置防火墙,预防来自内部攻击和破坏,确保系统安全;
●进行入侵检测。
对计算机网络和计算机系统关键结点信息进行搜集分析,检测其中是否有违反安全策略事件发生或攻击迹象,并通知系统安全管理员。
●采取对应技术和手段,确保网络安全。
对传输数据进行加密,保障数据传输安全
●预防网页篡改;
利用防护工具预防黑客篡改或非法破坏网页,确保网站网页安全。
针对预防网页篡改,推荐使用InforGuard。
InforGuard关键提供文件监控保护功效,确保文件系统安全,预防被非法修改。
InforGuard适适用于网站网页文件安全保护,处理了网站被非法修改问题,是一套安全、高效、简单、易用网页保护系统;
采取数字证书技术实现InforGuard用户管理,加强了对Web站点目录ftp用户和口令保护,预防了ftp口令泄漏造成安全隐患;
经过用户操作日志提供对网页文件更新过程全程监控。
从而确保了网站网页文件绝对安全。
●定时进行安全检验,查补安全漏洞,采取漏洞扫描软件对内部服务器浏览器和全部网络设备进行漏洞扫描,立即填补各类安全漏洞。
2.2.3系统安全
应用安全处理往往依靠于网络层、操作系统、数据库安全,所以对系统级软件安全防范突显其关键性;
因为病毒经过Internet网,能够在极短时间内传到Internet各个角落,而病毒对系统稳定性和数据安全性威胁众所周知,所以对病毒预防是一项十分关键工作;
同时对部分专用服务器尤其防护也是我们确保系统良好运行前提。
下面就从系统漏洞防护、病毒防护和专用服务器防护等方面来叙述安全防范方法。
●系统安全漏洞防护:
经过系统扫描工具,定时检验系统中和安全相关软件、资源、各厂商安全“补丁包”情况,发觉问题立即汇报并给出处理提议。
●病毒防护:
在内网和外网中分别设置网络防病毒软件控制中心,安装网络版防病毒控制台,在服务器系统和网络内主机均安装防病毒软件用户端。
管理员负责天天检验有没有新病毒库更新,并对防病毒服务器上防病毒软件进行立即更新。
然后再由防病毒服务器将最新病毒库文件下发到各联网机器上,实现全网统一、立即防病毒软件更新,预防因为少数内部用户疏忽,感染病毒,造成病毒在全网传输。
●专用服务器专门保护:
针对关键、最常受到攻击应用系统实施尤其保护。
对WEB服务器保护对Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内安全政策进行明确计划。
对E-mail服务程序、浏览器,采取正确配置和立即下载安全补丁实现。
2.2.4应用安全
针对人为操作造成风险,必需从系统应用层进行防范,所以应用系统在建设时需考虑系统安全性。
具体包含以下多个方面:
●访问控制:
操作系统用户管理、权限管理;
限制用户口令规则和长度,严禁用户使用简单口令,强制用户定时修改口令;
根据登录时间、登录方法限制用户登录请求;
加强文件访问控制管理,依据访问用户范围,设置文件读、写、实施权限;
对关键资料设置被访问时间和日期。
●权限控制和管理:
根据单位、部门、职务、工作性质等对用户进行分类,不一样用户给予不一样权限、能够访问不一样系统、能够操作不一样功效模块;
应用系统权限实施分级管理,每个系统管理员自己定义各类用户对该系统资源可访问内容。
●身份验证:
经过采取口令识别、数字认证方法,来确保用户登录身份和其真实身份相符,确保数据安全性、完整性、可靠性和交易不可抵赖性、增强用户、商家、企业等对网上交易信心。
●数据加密存放:
关联及关键数据加密存放,提取数据库中表间关联数据或关键数据信息,采取HASH算法,生成一加密字段,存放在数据表中,确保数据库中关联数据一致性、完整性,预防关键数据非法篡改。
●日志记载:
数据库日志:
使得系统发生故障后能提供数据动态恢复或向前恢复等功效,确保数据可靠性和一致性。
应用系统日志:
经过统计应用系统中操作日志,经过事后审计功效为未来分析提供数据分析源,确保业务可追溯性。
2.2.5数据安全
业务数据是业务系统运行关键元素,也是企业中宝贵资源。
这些数据如被非法复制、篡改、删除,或是因系统瓦解及多种天灾人祸丢失,将威胁到数据保密性、完整性和一致性。
由此造成损失将是巨大。
为了确保数据安全,通常做法是对数据进行备份。
数据备份处理方案大致能够分为两种:
数据级备份和系统级备份。
数据级备份是指对存放在磁盘阵列、磁带库等设备上数据备份。
系统级备份关键是指对服务器系统、数据库系统等系统备份。
对于数据库系统备份,有两种方法能够选择:
第一个是采取数据库本身备份功效,其优点是不需要追加额外投资,缺点是这种备份方法是手工进行,备份效率较低,而且在备份时需要关闭数据库,即需要shutdown数据库实例。
第二种方法是采取专业备份工具,这种方法能够实现在线备份方法,即在备份过程中不需Shutdown数据库实例。
同时,在备份过程中,经过追踪数据块变动统计来实现增量备份,缩短备份窗口。
在保持数据库online前提下,这种方法还能够充足确保数据库OLTP联机事务处理性能。
数据库数据量庞大,能够经过同时驱动多个磁带驱动器来确保数据库备份效率。
经过这种方法,能够在夜间非工作时段内完成全备份,并在相对更短时间段内完成日增量备份。
在上述数据备份环境中,能够对操作系统及应用程序环境实现动态即时在线快速备份,即在不影响用户和应用程序运行前提下,备份系统动态数据,同时能够将传统文件系统备份速度成倍提升。
在前面服务器平台设计中,我们为每台服务器全部配置了两块硬盘,经过磁盘镜像(RAID1)技术实现系统冗余备份,能够极大提升服务器系统安全性。
确保数据安全,对数据进行备份。
2.3系统网络安全设计
2.3.1防火墙系统
2.3.1.1防火墙基础类型
实现防火墙技术关键包含四类:
包过滤防火墙、电路网关防火墙、应用层防火墙和动态包过滤防火墙。
其各自特点以下:
包过滤防火墙:
包过滤防火墙技术关键经过分析网络传输层数据,并经过预先定义规则对数据包转发或丢弃。
其检验信息为网络层、传输层和传输方向等报头信息,经典包过滤关键利用下面控制信息:
数据包抵达物理网络接口
数据包源网络层地址
数据包目标网络层地址
传输层协议类型
传输层源端口
传输层目标端口
包过滤防火墙有以下优异性:
包过滤防火墙通常性能高,因为她们实施评定比较少而且通常能够用硬件完成。
能够简单地经过严禁特定外部网络和内部网络连接来保护整个网络。
包过滤防火墙对用户端是透明,全部工作全部在防火墙中完成。
结合NAT(网络地址转换功效,能够将内部网络从外部网络中屏蔽起来。
包过滤防火墙含有以下缺点:
包过滤防火墙不能识别上层信息,所以,同应用层防火墙和电路网关防火墙相比,其安全性较低。
包过滤防火墙不是基于连接状态,所以,它不保留会话连接信息或上层应用信息。
包过滤只利用了数据包中有限信息。
包过滤不提供增值服务,如HTTPCache,URL过滤等。
电路网关防火墙
电路网关防火墙是一个基于连接状态防火墙技术,它能确定、证实一个数据包是两个传输层之间连接请求、两个传输层之间已建连接中数据包或两个传输层之间虚电路。
电路网关防火墙检验每一个连接建立过程来确保连接正当性,和利用一个正当连接信息表(包含状态和序列号)来检验数据包正确性。
当一个连接关闭时,这个连接信息表就被关闭。
电路网关级防火墙关键应用下列状态信息:
一个唯一会话识别用于跟踪处理。
连接状态,包含:
握手、建立和关闭。
序列号信息。
源网络地址。
目标网络地址。
数据包抵达物理网络接口。
数据包离开物理网络接口。
电路网关级防火墙含有以下优点:
电路网关防火墙通常性能高,因为她们实施评定比较少。
电路应用网关含有以下缺点:
电路应用网关不能限制TCP之外其它协议集。
电路应用网关防火墙不能进行严格高层应用检验。
应用层防火墙
应用层防火墙检验全部数据包、连接状态信息和序列号,同时还能验证应用层特定安全控制,包含:
用户名,口令等。
大多数应用层防火墙包含一个特定服务程序和代理服务,代理是一个面向特定应用流量管理程序,如HTTP、FTP等,能提供增强访问控制、细节检验和审记统计等信息。
每一个应用代理通常由两部分组成,代理服务器和代理用户,相对于提议连接用户端来说,代理服务器充当一个最终服务器。
代理用户端替换实际用户应用同外部服务器进行数据交换。
应用层防火墙含有以下优点:
代理服务能完全了解和实施上层协议。
如HTTP、FTP等。
代理服务维护全部应用状态信息,包含:
部分通讯层状态信息、全部应用层状态信息和部分会话信息。
代理服务能处理和利用数据包。
代理服务不许可外部服务器和内部主机之间直接通讯,可有效隐含内部网络信息。
代理服务能提供增值特征,包含:
HTTPCache、URL过滤和用户认证等。
代理服务能很好产生审记统计,许可管理员监控企图违反网络安全策略行为。
应用层防火墙含有以下缺点:
代理服务需要替换防火墙服务器原来网络堆栈。
因为代理服务要监听服务端口,所以,在防火墙服务器上不能提供一样服务。
代理服务对数据包需要处理两次,所以,性能比较差。
通常,对于不一样应用,需要对每一个服务提供一个代理服务程序。
应用级防火墙不能提供UDP、TCP和其它协议代理功效。
代理服务通常需要修改用户应用程序端或应用配置。
代理服务通常依靠操作系统提供设备驱动,所以,一个操作系统或应用Bug全部有可能造成代理服务轻易受到攻击。
代理服务常常会碰到数次登录情况。
动态包过滤防火墙
动态包过滤防火墙类似电路网关防火墙,但它提供了对面向非连接传输层协议,如UDP支持。
其同电路网关有相同优缺点。
2.3.1.2常见攻击方法
了解常见攻击方法能够愈加好制订安全防范方法,常见攻击方法包含以下多个:
被动监听:
这种攻击方法是攻击者利用网络监听或分析工具,直接窃获用户报文信息,从而取得用户/口令信息,这时,攻击者就能够以正当用户身份对应用进行破坏。
地址欺骗:
在这种方法中,攻击者伪装成一个信任主机IP地址,对系统进行破坏。
端口扫描:
这是一个主动攻击方法,攻击者不停扫描安全控制点上等候连接监听端口,一旦发觉,攻击者就集中精力对端口上应用提议攻击。
否认服务:
这种攻击方法又细分为两种:
即洪水连接和报文注入,洪水连接是向目标主机发出大量原地址非法TCP连接,这么,目标主机就一直处于等候状态,最终因为资源耗尽而死机。
报文注入就是在正当连接报文中插入攻击者发出数据包,从而对目标主机进行攻击。
应用层攻击:
这种攻击方法是利用应用软件缺点,从而取得对系统访问权利。
特洛伊木马:
在这种攻击方法中,攻击者让用户运行一个用户误认为是一个正当程序攻击程序,从而寄生在用户系统中,为以后攻击埋下伏笔。
这种攻击方法最常见应用就是在WEB服务嵌入JavaApplet、Active-X等控件,使用户在浏览网页时,不知不觉中被寄生了攻击程序。
2.3.1.3常见攻击对策
下面我们对上面所述攻击方法提出自己防范方法。
在共享式以太网结构中,一个主机发送数据会发送到一个网段上每主机数据包被监听是不可避免。
而交换式网络依据目标地址选择发送端口,所以,尽可能连接桌面工作站到交换机端口会避免数据包被监听。
对于同各个分支机构按Extranet方法连接采取IPSec技术对IP数据包加密,该加密算法对数据加密采取DES算法,其DES密钥是动态产生,连接双方加密密钥是经过RAS算法传送,所以,含有很高安全性。
对于Internet个人用户访问,数据被监听是不可避免,所以,对这种攻击防范是合理设定用户权限。
对这种攻击防范采取扩展访问过滤列表方法,通常从其它网段进来数据包,假如其源地址不是来自该网段正当地址,就抛弃该数据包。
对这种攻击防范采取扩展访问列表方法,拒绝非授权网络访问特定网络服务。
对于洪水连接攻击我们采取TCP拦截技术,对一个主机访问限制在一个可接收范围内,对于超出可按多个设定方法丢弃连接。
对于报文注入,CiscoPIX防火墙产品是一个基于状态包过滤产品,本身能很好防范报文注入攻击。
改善、替换含有安全漏洞应用服务器。
对于这种攻击方法,首先应该教育企业职员不要运行不明起源程序,避免内部主机被攻破,一旦内部主机被攻破,攻击者就能够以被攻破主机为落脚点,对内部全部主机进行攻击。
对JavaApplet和Active-X防范采取职员教育方法,教育职员不要访问不明站点,尽可能在浏览器中关闭JavaApplet和Active-X功效。
2.3.2VPN路由器
●采取CiscoRouter进行IP数据包过滤,安全VLAN子网划分
●作为VPN配置路由使用,可方便进行安全访问划分
●结合PIX防火墙、NetRanger入侵检测系统和NetSonar安全扫描程序三者配合,最大程度地确保了企业VPN可靠性和安全性
2.3.3IDS入侵检测
入侵检测(eTrustIntrusionDetection简称eID)提供了全方面网络保护功效,其内置主动防御功效能够预防破坏发生。
这种高性能且使用方便处理方案在单一软件包中提供了最广泛监视、入侵和攻击探测、非法URL探测和阻塞、警告、统计和实时响应。
●网络访问控制
入侵检测(eTrustIntrusionDetection)使用基础规则定义能够访问特定网络资源用户,从而确保只对网络资源进行授权访问。
●高级反病毒引擎
能够探测包含计算机病毒网络流量病毒扫描引擎。
它能够预防用户在不知情情况下下载受病毒感染文件。
从CAweb站点能够得到最新和更新后病毒特征码。
●全方面攻击模式库
入侵检测eID能够自动探测来自网络流量攻击模式(即使是正在进行中攻击)。
定时更新攻击模式库-能够从CAweb站点取得-能够确保入侵检测保持最新。
●包检测技术
入侵检测eID在隐蔽模式下工作,攻击者是觉察不到。
因为黑客不知道她们正在被监视,所以通常在未觉察情况下被捕捉。
●URL阻塞
管理员能够指定不许可用户访问URL,从而预防了非工作性Web冲浪。
●内容扫描
管理员经过入侵检测eID能够定义策略对内容进行检验。
这能够预防在没有授权情况下经过电子邮件或Web发送敏感数据。
●网络使用情况统计
入侵检测eID许可网络管理员跟踪最终用户、应用程序等网络使用情况。
它有利于改善网络策略计划和提供正确网络收费。
●集中化监控
网络管理员能够从当地或远程监控运行入侵检测(eTrustIntrusionDetection)一个或多个站,在不一样网络段(当地或远程)上安装了受中央站控制入侵检测(eTrustIntrusionDetection)代理后,管理员能够依据搜集到合并信息查看报警和生成汇报。
●远程管理
远程用户能够使用TCP/IP或调制解调器连接访问运行入侵检测(eTrustIntrusionDetection)站。
在连接后,依据入侵检测(eTrustIntrusionDetection)管理员定义权限,用户能够查看和监控入侵检测(eTrustIntrusionDetection)数据、更改规则和创建汇报。
●入侵统计和分析
入侵检测(eTrustIntrusionDetection)为捕捉信息和进行分析提供了全方面系统功效。
在安装软件并指定归档地点后,用户能够定义在档案中统计会话规则。
然后用户能够经过浏览器过滤、排序和查看归档信息,并创建具体汇报。
入侵检测eID代表了最新一代企业网络保护技术,含有前所未有访问控制、用户透明性、高性能、灵活性、适应性及易用性等。
它提供给企业一个易于布署网络保护方案。
2.3.4CA认证和SSL加密
2.3.4.1CA作用
●数字证书能为你做什么:
个人数字证书是网友进入二十一世纪必需品。
网上证券少不了它;
网上缴款不能没有它;
进入全球著名网站,更不得没有它。
它简单易懂、安装轻易,它比“卡”还要关键,是您身份表征,网络新贵识别证。
现今不管X、Y、Z世代,您皮夹中最少必备四五张卡(提款卡、万事达卡、威士卡、会员卡、金卡、普卡、电话卡、保健卡...),因为现在是“卡”时代。
而在网际路上,您假如没有数字证书,不管您外表多young、多炫,多酷,依旧是寸步难行。
因为“一证在手,走遍天下”时代已经到来。
CA为了愈加好地满足用户需要,给用户提供更大便利,设计开发通用证书系统使得一证多用成为可能。
●数字证书和电子商务关系
电子商务正以不可逆转之势席卷全球各行各业,但世界各地也面临着共同阻碍——电子商务安全问题,必需要采取优异安全技术对网上数据、信息发送方、接收方进行身份确定,以确保各方信息传输安全性、完整性、可靠性和交易不可抵赖性。
以数字证书为关键身份认证、数字署名、数字信封等数字加密技术是现在通用可行安全问题处理方案。
数字安全证书建立了一套严密身份认证系统,能够确保电子商务安全性。
●信息保密性
交易中商务信息全部有保密要求.如信用卡帐号和用户名被人知悉,就可能被盗用,订货和付款信息被竞争对手得悉,就可能丧失商机。
所以在电子商务信息传输中通常全部有加密要求。
●交易者身份确实定性
网上交易双方很可能素昧平生,相隔千里。
要使交易成功首先要能确定对方身份,对商家要考虑用户端不能是骗子,而用户也会担心网上商店不是一个玩弄欺诈黑店.所以能方便而可靠地确定对方身份是交易前提。
对于为用户或用户开展服务银行、信用卡企业和销售商店,为了做到安全、保密、可靠地开展服务活动,全部要进行身份认证工作。
对相关销售商店来说,她们对用户所用信用卡号码是不知道,商店只能把信用卡确实定工作完全交给银行来完成。
银行和信用卡企业能够采取多种保密和识别方法,确定用户身份是否正当,同时还要预防发生拒付款问题和确定订货和订货收据信息等。
●不可否认性
因为商情千变万化,交易一旦达成是不能被否认。
不然肯定会损害一方利益.比如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单实际时间,甚至否认收到订单事实,则订货方就会蒙受损失。
所以电子交易通信过程各个步骤全部必需是不可否认。
●不可修改性
交易文件是不可被修改,如上例所举订购黄金。
供货单位在收到订单后,发觉金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会所以而蒙受损失。
所以电子交易文件也要能做到不可修改,以保障交易严厉和公正。
2.3.4.2CA系统介绍
大家在感叹电子商务巨大潜力同时,不得不冷静地思索,在人和人不见面计算机互联网上进行交易和作业时,怎么才能确保交易公正性和安全性,确保交易方身份真实性。
国际上已经有比较成熟安全处理方案,那就是建立安全证书体系结构。
数字安全证书提供了一个在网上验证身份方法。
安全证书体制关键采取了公开密钥体制,其它还包含对称密钥加密、数字署名、数字信封等技术。
我们能够使用数字证书,经过利用对称和非对称密码体制等密码技术建立起一套严密身份认证系统,从而确保:
信息除发送方和接收方外不被其它人窃取;
信息在传输过程中不被篡改;
发送方能够经过数字证书来确定接收方身份;
发送方对于自己信息不能抵赖。
系统特征
●高强度加密和认证
UniversalCA采取基于RSA加密算法公钥体系加密和认证,能够生成512、768、1024位三种不一样密钥长度证书,确确保书安全性和可靠性。
多个生成证书方法
由用户请求文件生成证书。
在服务器端由
升级会员 