第一章 總則
本方案為某大型區域網網路安全解決方案,包括原有網路系統分析、安全需求分析、安全目標的確立、安全體系結構的設計、等。本安全解決方案的目標是在不影響某大型企業區域網當前業務的前提下,實現對他們區域網全面的安全管理。
1.將安全策略、硬體及軟體等方法結合起來,構成乙個統一的防禦系統,有效阻止非法使用者進入網路,減少網路的安全風險。
2.定期進行漏洞掃瞄,審計跟蹤,及時發現問題,解決問題。
3.通過入侵檢測等方式實現實時安全監控,提供快速響應故障的手段,同時具備很好的安全取證措施。
4.使網路管理者能夠很快重新組織被破壞了的檔案或應用。使系統重新恢復到破壞前的狀態,最大限度地減少損失。
5.在工作站、伺服器上安裝相應的防病毒軟體,由**控制台統一控制和管理,實現全網統一防病毒。
第二章 網路系統概況
2.1 網路概況
這個企業的區域網是乙個資訊點較為密集的千兆區域網路系統,它所聯接的現有上千個資訊點為在整個企業內辦公的各部門提供了乙個快速、方便的資訊交流平台。不僅如此,通過專線與internet的連線,打通了一扇通向外部世界的窗戶,各個部門可以直接與網際網路使用者進行交流、查詢資料等。通過公開伺服器,企業可以直接對外發布資訊或者傳送電子郵件。高速交換技術的採用、靈活的網路互連方案設計為使用者提供快速、方便、靈活通訊平台的同時,也為網路的安全帶來了更大的風險。因此,在原有網路上實施一套完整、可操作的安全解決方案不僅是可行的,而且是必需的。
2.1.1 網路概述
這個企業的區域網,物理跨度不大,通過千兆交換機在主幹網路上提供1000m的獨享頻寬,通過下級交換機與各部門的工作站和伺服器鏈結,並為之提供100m的獨享頻寬。利用與中心交換機鏈結的cisco 路由器,所有使用者可直接訪問internet。
2.1.2 網路結構
這個企業的區域網按訪問區域可以劃分為三個主要的區域:internet區域、內部網路、公開伺服器區域。內部網路又可按照所屬的部門、職能、安全重要程度分為許多子網,包括:財務子網、領導子網、辦公子網、市場部子網、中心伺服器子網等。在安全方案設計中,我們基於安全的重要程度和要保護的物件,可以在catalyst 型交換機上直接劃分四個虛擬區域網(vlan),即:中心伺服器子網、財務子網、領導子網、其他子網。不同的區域網分屬不同的廣播域,由於財務子網、領導子網、中心伺服器子網屬於重要網段,因此在中心交換機上將這些網段各自劃分為乙個獨立的廣播域,而將其他的工作站劃分在乙個相同的網段。(圖省略)
2.2 網路應用
這個企業的區域網可以為使用者提供如下主要應用:
1.檔案共享、辦公自動化、www服務、電子郵件服務;
2.檔案資料的統一儲存;
3.針對特定的應用在資料庫伺服器上進行二次開發(比如財務系統);
4.提供與internet的訪問;
5.通過公開伺服器對外發布企業資訊、傳送電子郵件等;
2.3 網路結構的特點
在分析這個企業區域網的安全風險時,應考慮到網路的如下幾個特點:
1.網路與internet直接鏈結,因此在進行安全方案設計時要考慮與internet鏈結的有關風險,包括可能通過internet傳播進來病毒,黑客攻擊,來自internet的非授權訪問等。
2.網路中存在公開伺服器,由於公開伺服器對外必須開放部分業務,因此在進行安全方案設計時應該考慮採用安全伺服器網路,避免公開伺服器的安全風險擴散到內部。
3.內部網路中存在許多不同的子網,不同的子網有不同的安全性,因此在進行安全方案設計時,應考慮將不同功能和安全級別的網路分割開,這可以通過交換機劃分vlan來實現。
4.網路中有二台應用伺服器,在應用程式開發時就應考慮加強使用者登入驗證,防止非授權的訪問。
總而言之,在進行網路方案設計時,應綜合考慮到這個企業區域網的特點,根據產品的效能、**、潛在的安全風險進行綜合考慮。
第三章 網路系統安全風險分析
隨著internet網路急劇擴大和上網使用者迅速增加,風險變得更加嚴重和複雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統,引起大範圍的癱瘓和損失;另外加上缺乏安全控制機制和對internet安全政策的認識不足,這些風險正日益嚴重。
針對這個企業區域網中存在的安全隱患,在進行安全方案設計時,下述安全風險我們必須要認真考慮,並且要針對面臨的風險,採取相應的安全措施。下述風險由多種因素引起,與這個企業區域網結構和系統的應用、區域網內網路伺服器的可靠性等因素密切相關。下面列出部分這類風險因素:
網路安全可以從以下三個方面來理解:1 網路物理是否安全;2 網路平台是否安全;3 系統是否安全;4 應用是否安全;5 管理是否安全。針對每一類安全風險,結合這個企業區域網的實際情況,我們將具體的分析網路的安全風險。
3.1物理安全風險分析
網路的物理安全的風險是多種多樣的。]
網路的物理安全主要是指**、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;裝置被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬體、雙機多冗餘的設計、機房環境及報警系統、安全意識等。它是整個網路系統安全的前提,在這個企業區區域網內,由於網路的物理跨度不大,,只要制定健全的安全管理制度,做好備份,並且加強網路裝置和機房的管理,這些風險是可以避免的。
3.2網路平台的安全風險分析
網路結構的安全涉及到網路拓撲結構、網路路由狀況及網路的環境等。
公開伺服器面臨的威脅
這個企業區域網內公開伺服器區(www、email等伺服器)作為公司的資訊發布平台,一旦不能執行後者受到攻擊,對企業的聲譽影響巨大。同時公開伺服器本身要為外界服務,必須開放相應的服務;每天,黑客都在試圖闖入internet節點,這些節點如果不保持警惕,可能連黑客怎麼闖入的都不知道,甚至會成為黑客入侵其他站點的跳板。因此,規模比較大網路的管理人員對internet安全事故做出有效反應變得十分重要。我們有必要將公開伺服器、內部網路與外部網路進行隔離,避免網路結構資訊外洩;同時還要對外網的服務請求加以過濾,只允許正常通訊的資料報到達相應主機,其他的請求服務在到達主機之前就應該遭到拒絕。
整個網路結構和路由狀況
安全的應用往往是建立在網路系統之上的。網路系統的成熟與否直接影響安全系統成功的建設。在這個企業區域網路系統中,只使用了一台路由器,用作與internet鏈結的邊界路由器,網路結構相對簡單,具體配置時可以考慮使用靜態路由,這就大大減少了因網路結構和網路路由造成的安全風險。
3.3系統的安全風險分析
所謂系統的安全顯而易見是指整個區域網網路作業系統、網路硬體平台是否可靠且值得信任。
網路作業系統、網路硬體平台的可靠性:對於中國來說,恐怕沒有絕對安全的作業系統可以選擇,無論是microsoft的windows nt或者其他任何商用unix作業系統,其開發廠商必然有其back-door。我們可以這樣講:沒有完全安全的作業系統。但是,我們可以對現有的操作平台進行安全配置、對操作和訪問許可權進行嚴格控制,提高系統的安全性。因此,不但要選用盡可能可靠的作業系統和硬體平台。而且,必須加強登入過程的認證(特別是在到達伺服器主機之前的認證),確保使用者的合法性;其次應該嚴格限制登入者的操作許可權,將其完成的操作限制在最小的範圍內。
3.4應用的安全風險分析
應用系統的安全跟具體的應用有關,它涉及很多方面。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到資訊的安全性,它包括很多方面。
應用系統的安全動態的、不斷變化的:應用的安全涉及面很廣,以目前internet上應用最為廣泛的e-mail系統來說,其解決方案有幾十種,但其系統內部的編碼甚至編譯器導致的bug是很少有人能夠發現的,因此一套詳盡的測試軟體是相當必須的。但是應用系統是不斷發展且應用型別是不斷增加的,其結果是安全漏洞也是不斷增加且隱藏越來越深。因此,保證應用系統的安全也是乙個隨網路發展不斷完善的過程。
應用的安全性涉及到資訊、資料的安全性:資訊的安全性涉及到:機密資訊洩露、未經授權的訪問、破壞資訊完整性、假冒、破壞系統的可用性等。由於這個企業區域網跨度不大,絕大部分重要資訊都在內部傳遞,因此資訊的機密性和完整性是可以保證的。對於有些特別重要的資訊需要對內部進行保密的(比如領導子網、財務系統傳遞的重要資訊)可以考慮在應用級進行加密,針對具體的應用直接在應用系統開發時進行加密。
3.5管理的安全風險分析
管理是網路安全中最重要的部分
管理是網路中安全最最重要的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意洩漏他們所知道的一些重要資訊,而管理上卻沒有相應制度來約束。
當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供
企業區域網設計
根據網路的規模,企業的網路可以設計成二層結構或三層結構。1.二層結構的區域網 每個教室部署一台交換機,對教室內的計算機進行連線。教室內的交換機要求介面多,這樣能夠將更多的計算機接入網路,這一級別的稱為接入層交換機。機房中部署一台交換機,該交換機連線學校的伺服器和教室中的交換機,並通過路由器連線到in...
企業無線區域網安全
team pst www.ph4nt0m.org author 雲舒 wustyunshu hotmail.com 一 前言以及版權 網路本來是安全的,自從出現了研究網路安全的人之後,網路就越來越不安全了。希望更多的文章是用來防禦,分析,而不是純粹的攻擊。本文可以任意 但必須保證完整性,且不得私自用...
兩區域網互聯解決方案
解決方法 1.使用雙wan口路由器。兩根adsl距離很近 如果兩根adsl距離很近,有條件的話,可以使用雙wan口的路由器,將兩個adsl都接入路由器的wan口上,路由器連線交換機,從交換機分接到pc。這樣,路由器可以充分利用兩個adsl的頻寬。所有的主機相當於在同一區域網下。3.vpn 適用於距離...