• 习近平春节前夕赴四川看望慰问各族干部群众(1) 2019-09-16
  • 李克强:我国科技创新由跟跑为主转向更多领域并跑、领跑 2019-09-15
  • 回复@看着就想笑:不然小萌们不得瞎折腾啊?哪有那么多资源可供浪费? 2019-09-15
  • 中共一大会址纪念馆中那个装满母爱的书包 2019-09-08
  • 候选企业:东方证券股份有限公司 2019-09-03
  • 劳动者能不能炒老板的鱿鱼?答案是不能 2019-09-03
  • 辽宁舰舰体生锈失去战斗力?专家给出服役年限 2019-09-02
  • 搂住所言延退对于企业和零活就业者或专家型科技工作者而言很恰当,可是对于公务员这一群体来说延退可能导致利益固化行政僵化,这是普罗大众不能够容忍的。 2019-09-02
  • 晋城:八项重点打好水污染防治攻坚战 2019-08-29
  • 金融科技的下一个风口 2019-08-29
  • 白玉兰奖何冰获最佳男主角奖 马伊琍获最佳女主角奖 2019-08-28
  • 一句嘱咐 涡阳一对父子接力守墓74载 只求烈士不孤单 2019-08-28
  • 水乡“大花园”迎来投资热 2019-08-27
  • 调解员自创“平安小剧本” 2019-08-27
  • 蚌埠市龙子湖区纪委监委严防“四风”问题反弹 2019-08-17
  • 福建11选五预测任选3: XXXXX公司 网络安全建设建议方案(一)

    2014-12-16 22:06:00
    dxt001
    原创
    1226
    摘要:多年以来,点线通一直秉承的是顾问式销售模式,从不采用抄袭方案,所有方案均由公司资深售前工程师或网络架构师与用户沟通后进行设计和编写?;队吹缱裳?,获取专业建议和为您定制的方案。

    1.前言

    福建体彩31选7开奖走势 www.gqks.net

    以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而基于TCP/IP协议的网络所具有的开放性、自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客、竞争对手和间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

    Z局****公司是主要从事山地物探工程技术服务的专业化公司,隶属于A集团公司Z局,公司机关设在四川省成都市***街。公司下设A事业部、B事业部、C研究中心、D分公司,形成了立足成都,辐射全国的***队伍。

    为了保证整个公司的信息交流、数据共享,公司网络也随即延伸到各地。IT业务系统的扩大, 网络安全的问题就越来越凸现出来。本规划就是针对****公司已经建成和即将建立的网络系统,充分考虑网络系统的扩展性和整体性,就网络安全问题提出安全总体规划。


    2.目标原则

    2.1        建设目标

    本次项目主要针对****公司整个网络,从安全的角度进行总体的设计规划,通过本项目的建设,重点实现以下的内容:

    l严格控制网络内各种访问,确保合法访问的正常进行,杜绝非法及越权访问;

    l有效预防、发现、处理异常的网络访问,确保****公司网络正常访问活动;

    l能够及时发现网络中存在的安全隐患,便于****公司的网络管理人员能够及时给予加固和消除的处理;

    l能预防、发现、处理计算机病毒;

    l对公司的合法用户进行授权,并对发起访问的用户进行身份鉴别,确保****公司重要的信息资产被合法、授权地访问;

    l确保****公司网络内重要的文件、数据被合法授权地获取或修改;

    l确保****公司内重要地文件、数据能够有效地备份及恢复,提高****公司网络的可用性;

    l能够对信息系统内所发生的与安全有关的事件记录与审计;

    l合理的安全体系架构和管理措施;

    l实现网络系统安全系统的集中管理;

    l有较强的扩展性。

    2.2        设计原则

    网络系统安全是一个复杂的系统工程,它与网络规模、结构、通信协议、应用业务程序的功能和实现方式密切相关,一个好的安全设计应该结合现有网络和业务特点并充分考虑发展需求。针对****公司网络的实际情况,建议整体安全体系的建设应遵照国家相关要求,在系统建设的过程中,遵循以下的建设原则:

    (1)需求、风险、代价平衡分析的原则:

    对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。?;こ杀?、被?;ば畔⒌募壑当匦肫胶?。

    (2)综合性、整体性原则:

    运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。

    (3)一致性原则:

    这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。

    (4)易操作性原则:

    安全措施要由人来完成。如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。

    (5)适应性、灵活性原则

    安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。

    (6)多重?;ぴ?

    任何安全?;ご胧┒疾皇蔷园踩?,都可能被攻破。但是建立一个多重?;は低?,各层?;は嗷ゲ钩?。当一层?;け还テ剖?,其它层?;と钥杀;ば畔⒌陌踩?。

    (7)遵循国家有关计算机信息系统安全标准和规定

     在安全技术和安全产品的选择上参照国家对应的政策和规定,在不与国家有关计算机信息系统安全标准和规定冲突的前提下建立网络安全体系。 

    (8)尽量不影响系统处理性能、网络性能和拓扑结构

    (9)充分利用原有设备资源

    对于系统中原来部署的网络安全设备用充分考虑在新环境下的利用,通过调整老设备的部署位置、规则配置,对网络安全进一步提高,同时降低安全建设的投资。 

    2.3        参考标准

    n ISO15408 / GB/T 18336信息技术安全技术信息技术安全性评估准则,第一部分简介和一般模型;

    n ISO15408 / GB/T 18336信息技术安全技术信息技术安全性评估准则,第二部分安全功能要求;

    n ISO15408 / GB/T 18336信息技术安全技术信息技术安全性评估准则,第三部分安全保证要求;

    国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》。


    3.安全风险分析

    ****公司网络系统的建设,给****公司办公带来了极大的便利。同时我们也看到,系统的建设带来了许多安全风险,****公司网络下联很多分公司,必然会受到来自外部或内部的各种攻击,包括各种攻击攻击、信息窃取、病毒入侵和传播等行为。针对****公司网络平台,要保证网络的整体安全,就必须从分析攻击的方式入手。攻击行为一般包括侦听、截获、窃取、破译等被动攻击和修改、伪造、破坏、冒充、病毒扩散等主动攻击。针对主动和被动攻击,通过对****公司平台的网络结构和应用系统分析,我们认为,****公司网络面临的安全威胁包括:

    3.1.网络层安全风险

    网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。

    3.1.1.网络设备存在的安全威胁

    在网络中的重要的安全设备如路由器、三层交换机等有可能存在着以下的安全威胁:(以最常用的路由器为例)

    ? 路由器缺省情况下只使用简单的口令验证用户的身份,并且远程TELNET登录时以明文传输口令。一旦口令泄密路由器将失去所有的?;つ芰?。

    ? 路由器口令的弱点是没有计数器功能的,所有每个人都可以不限数的尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。

    ? 每个管理员都可能使用相同的口令,因此,路由器对于谁曾经作过什么修改,系统没有跟踪审计能力。

    ? 路由器实现的动态路由协议存在着一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备。

    ? 针对路由器的拒绝服务攻击或分布式拒绝服务攻击。

    ? 发布假路由,路由欺骗,导致整个网络的路由混乱。

    3.1.2.网络访问的合理性

    网络的访问策略是不是合理,访问是不是有序,访问的目标资源是否受控等问题,都会直接影响到****公司网络平台的稳定与安全。如果存在网络内访问混乱,外来人员也很容易接入网络,地址被随意使用等问题,将导致网络难以管理,网络工作效率下将,无法部署安全设备、对攻击者也无法进行追踪审计。

    对于****公司网络平台来讲,严格地控制专网内终端设备的操作及使用是非常必要的,例如,一位拨号用户将会使在网络边界的防火墙设备的所有安全策略形同虚设。

    3.1.3.TCP/IP协议的弱点

    TCP/IP协议是当前互联网的主流通信协议,已成为网络通信和应用的实际标准。然而,基于数据流设计的TCP/IP协议自身存在着许多安全漏洞,在Internet发展的早期,由于应用范围和技术原因,没有引起重视。但这些安全漏洞正日益成为黑客们的攻击点。在****公司网上数据传递、文件共享等活动中,对TCP/IP网络服务的任一环节的攻击,都有可能威胁到用户机密,都可能使重要的信息,比如重要数据、重要的口令在传递过程中遭到窃听和篡改。因此,针对网络层安全协议的攻击将给网络带来严重的后果。

    3.2.信息的存储安全

    信息的存储安全包括两层含义:一是信息访问的可控性,即只有被授权的、安全级别与数据机密性要求一致的用户才被允许访问相应的数据。而所有未经授权的用户,如黑客、未被授权的内部用户,则不能对信息有任何的操作,包括读取、删除、复制等。二是信息内容的隐密性,未经授权的人,即使采用各种手段获得了数据的访问权,也无法理解实际的信息内容。这主要通过数据库加密或各种文件加密来实现。

    3.3.传输安全的风险

    ****公司员工需要经常在外地出差,并且需要随时在差旅途中访问公司内部的数据。如何?;ふ庑┰冻逃没Ш鸵贫没У陌踩丫晌菊鐾绨踩逑档闹匾方?。远程用户和移动用户的计算机游离于企业核心网络安全边界之外,当这些主机连接到Internet时,极易遭到黑客的攻击,从而导致数据被窃取、破坏或直接删除,致使远程用户无法正常工作;所以必须保障远程用户连接到企业内部网络时的安全。目前比较成熟的加密技术包括SSL、基于IPSec协议的VPN技术等。

    3.4.系统层安全风险

    系统层的安全威胁主要从操作系统平台的安全威胁进行分析:

    操作系统安全也称主机安全,由于操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如Unix,WindowNT/2000,其安全漏洞更是广为流传。另一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。操作系统自身的脆弱性将直接影响业务应用系统的安全。

    操作系统的安全是****公司网络平台数据安全的基础。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性,必须依赖于操作系统提供的系统软件基础,任何脱离操作系统的应用软件的安全性都是不可能的。下面我们将从几种常用的操作系统的进行分析其安全性:

    3.4.1.Windows系统

    3.4.2.Windows NT/2000/XP的安全问题

    WindowsNT/2000/XP操作系统由于其简单明了的图形化操作界面,以及逐渐提高的系统稳定性等因素,正逐步成为政府、企业网络系统主要的网络操作系统,并且在企业办公网络中占有重要地位。Windows NT/2000/XP系统的安全水平取决于管理员在安装过程、补丁安装过程、应用服务配置过程中的安全修养和实际考虑。缺省安装的WINDOWS NT/2000/XP操作系统的安全问题非常严重,它们通?;岢鱿窒率霭踩侍猓?


    ?   没有安装最新的 Service Pack.

    ?   没有关闭不必要的系统服务

    ?   最新的 SERVICE PACK 没有解决的安全漏洞

    ?   缺省安装的服务程序带来的各种安全问题

    ?   系统注册表属性安全问题

    ?   文件系统属性安全问题

    ?   缺省帐号安全问题

    ?   文件共享方面的安全问题

    ?   其它方面的各种安全问题


    3.4.3. Windows 9x 的安全问题

         当前 WINDOWS 9X 操作系统是办公网络、网络管理和监视等的重要组成部分。借助 WINDOWS 95/98 系统中存在的漏洞,攻击和入侵者可以直接窃取用户口令、窃取重要数据文件、安装木马程序、采用逐渐参透方法入侵其它主机等。一方面,企业人员习惯使用 WINDOWS 9X 系统进行日常的电子通信、文件编辑、资源共享、文件打印、登录其它主机、浏览网页等;另一方面, WINDOWS 9X 系统的安全问题容易受到忽视而导致安全管理方面的松懈。因此,由此导致的网络安全威胁不容忽视。 WINDOWS 9X 系统通常存在的安全问题包括以下方面:

    ?   WINDOWS 9X 系统经常出现的拒绝服务攻击漏洞

    ?   IE 浏览器出现的各种安全问题

    ?   WINDOWS 资源共享导致的安全问题

    ?   电子邮件携带的病毒和木马程序

    ?   IRC 、 ICQ 、 OICQ 等网络联络工具带来的安全问题

    ?   WINDOWS 9X 系统中存在的其它安全问题

    3.4.4 . Unix 系统

    UNIX 类服务器和工作站由于其出色的稳定性和高性能而成为 **** 公司网络系统常采用的操作系统,当前承担着 **** 公司应用的的关键任务。缺省安装的 UNIX 操作系统(以 HP UNIX 为例)会存在以下安全问题:

    ?   FINGER (泄露系统信息)

    ?   各类 RPC (存在大量的远程缓冲区溢出、泄露系统信息)

    ?   SENDMAIL (许多安全漏洞、垃圾邮件转发等)

    ?   NAMED (远程缓冲区溢出、拒绝服务攻击等)

    ?   SNMP (泄露系统信息)

    ?   操作系统内核中的网络参数存在许多安全隐患( IP 转发、堆栈参数等)

    ?   存在各种缓冲区溢出漏洞

    ?   存在其它方面的安全问题

    3.5. 应用层安全风险

    应用安全是指用户在网络上的应用系统的安全,包括 OA 平台、各种应用系统、 WEB 、 FTP 、邮件系统、 DNS 等网络基本服务、业务系统、办公自动化系统、公文交换系统等。应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。但一些通用的应用程序,如 Web Server 程序, FTP 服务程序, E-mail 服务程序,浏览器, MS Office 办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。

    3.5.1. Web 服务器安全风险

    ?   服务器崩溃,各种 WEB 应用服务停止

    ?   WEB 服务脚本的安全漏洞,远程溢出 (.Printer 漏洞 )

    ?   通过 WEB 服务获取系统的超级用户特权

    ?   WEB 页面被恶意删改

    ?   通过 WEB 服务上传木马等非法后门程序,以达到对整个服务器的控制

    ?   WEB 服务器的数据源被非法入侵,用户的一些私有信息被窃

    ?   利用 WEB 服务器作为跳板,进而攻击内部的重要数据库服务器

    ?   拒绝服务攻击或分布式拒绝服务攻击

    ?   针对 IIS 攻击的工具,如 IIS Crash

    ?   各种网络病毒的侵袭,如 Nimda,Redcode II

    ?   恶意的 JavaApplet,Active X 攻击等

    ?   WEB 服务的某些目录可写

    ?   CGI-BIN 目录未授权可写,采用默认设置,一些系统程序没有删除

    3.5. 2. FTP 服务器安全风险

    ?   匿名登录,非法访问未授权资源

    ?   FTP 不同版本存在的安全漏洞

    ?   拒绝服务

    ?   FTP 暴力破解

    ?   恶意用户名与密码的猜测

    ?   FTP 权限可写

    ?   用户上传恶意代码,含毒文件等

    3.5.3. E-mail 服务器安全风险

    ?   邮件病毒

    ?   邮件炸弹

    ?   恶意代码

    ?   拒绝服务

    ?   垃圾邮件

    ?   邮件服务软件本身的漏洞

    3.5.4. 应用系统安全风险

    ?   源程序中存在的 BUG

    ?   源程序中出于程序调试的方便,人为设置许多“后门”

    ?   应用系统自身很弱的身份认证

    ?   应用系统的用户名和口令以明文方式被传递,容易截获

    ?   各种可执行文件成为病毒的直接攻击对象

    3.5.5. 数据库安全风险

    **** 公司许多关键的业务系统运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在:

    ?   系统认证:口令强度不够,过期帐号,登录攻击等

    ?   系统授权:帐号权限不当,登录时间超时等

    ?   系统完整性:特洛伊木马,审核配置,补丁和修正程序等

    ?   数据丢失,操作日志被删除

    ?   没有采用数据冗余备份

    ?   数据库系统自身的 BUG

    ?   没有打最新的数据库系统的补丁

    ?   选择了不安全的默认配置

    4. 用户分析

    4.1. 安全需求分析

    通过对 **** 公司网络的脆弱性和风险的分析,可以看到,网络的安全建设目前还比较简单,存在着较多的安全隐患,综合安全风险分析,我们认为 **** 公司网络主要存在以下五个方面的安全需求:

    4.1.1. 边界防护的需求

    通过边界?;?,可以有效规避大部分网络层安全威胁,并降低系统层安全威胁对 **** 公司网络的影响,通过严格规范 **** 公司网络内的数据传输及应用,防范不同网络区域之间的非法访问和攻击,确保 **** 公司网络各个区域的有序访问。一般来说边界防护采用的主要技术包括防火墙技术,入侵检测技术等。

    4.1.1.1. 防火墙 技术

    防火墙是实现网络逻辑隔离的首选技术,防火墙一般利用 IP TCP 包的头信息对进出被?;ね绲?/span> IP 包信息进行过滤,能根据用户的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换( NAT )、审记与实时告警等功能。由于防火墙安装在被?;ね缬肼酚善髦涞耐ǖ郎?,因此也对被?;ね绾屯獠客缙鸬礁衾胱饔?。

    防火墙可以通过包过滤,进行基于地址的粗粒度访问控制,同时,还可以通过口令认证对用户身份进行鉴别,既而实现基于用户的细粒度访问控制。

    防火墙在网络入口点检查网络通信,屏蔽非法侵入,其安全作用体现于:

    ?   有效地控制进出不同网络区域的访问;

    ?   控制进出不同网络区域的信息流向和信息包;

    ?   提供使用和流量的日志和审计;

    ?   隐藏内部 IP 地址及网络结构的细节。

    正确地配置和使用防火墙。防火墙功能正确实施的关键是其安全策略的配置和管理。


    针对 **** 公司网络的具体情况和行业特点,我们得到的防火墙的需求包括以下几个方面:

    l   访问控制

    防火墙必须能够实现网络边界的隔离,具有基于状态检测的包过滤功能,能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制,能够实现网络层的内容过滤,支持网络地址转换等功能。

    l   高可靠性

    由于防火墙是网络中的重要设备,意外的宕机都会造成网络的瘫痪,因此防火墙必须是运行稳定,故障率低的系统,并且要求能够实现双机的热备份,实现不间断的服务。

    l   日志和审计

    要求防火墙能够对重要关键资源的使用情况应进行有效的监控,防火墙系统应有较强的日志处理能力和日志分析能力,能够实现日志的分级管理、自动报表、自动报警功能,同时希望支持第三方的日志软件,实现功能的定制。

    l   身份认证

    防火墙本身必须支持身份认证的功能,在简单的地方可以实现防火墙本身自带数据库的身份认证,在大型的情况下,可以支持与如 RADIUS 等认证服务器的结合使用。

    l   集中管理

    **** 公司网络平台是一个大型的网络,防火墙分布在网络的各处,所以防火墙产品必须支持集中的管理,安全管理员可以在一个地点实现对防火墙的集中管理,策略配置,日志审计等等。

    l   高安全性

    作为安全设备,防火墙本身必须具有高安全性,本身没有安全漏洞,不开放不必要的服务,可以抵抗各种类型的攻击。

    l   高性能

    作为网络的接入设备,防火墙必须具有高性能,不影响原有网络的正常运行。

    l   可扩展性

    系统的建设必须考虑到未来发展的需要,系统必须具有良好的可扩展性和良好的可升级性。

    l   易实现性

    系统的安装、配置与管理尽可能的简洁,安装便捷、配置灵活、操作简单。

    4.1.1.2. 入侵检测 技术



    利用防火墙技术,经过仔细的配置,通常能够在内外部之间提供安全的网络?;?,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。

    网络入侵检测系统( IDS )位于有敏感数据需要?;さ耐缟?,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。

    入侵检测系统可以部署在网络中的核心,我们建议在中心交换机部署入侵检测探测器,在内网部署监视器,通过探测器监视并记录该网段上的所有操作,有效防止非法操作和恶意攻击。同时,网络监视器还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。


    需要说明的是,入侵检测系统( IDS )是对防火墙的非常有必要的附加而不仅仅是简单的补充。

    适当配置的防火墙可以将非预期的信息屏蔽在外,然而防火墙为提供一些级别获取权的通道可能被伪装的攻击者所利用。

    FTP (获得 FTP ROOT );合法的服务通道,如 UNICODE 攻击, SQL Server 空口令攻击等;这些攻击都能获得系统的超级用户的权限。防火墙不能制止这种类型的攻击,而入侵检测( IDS 却能够制止,它能够检测并终止这种类型的攻击行为。

    同时,入侵检测系统能够与防火墙联动工作,当入侵检测系统侦听到网络中的异常行为时,及时通知防火墙加以阻断,更好的保障系统的边界安全。

    针对 **** 公司网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面:

    l   入侵检测要求

    能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测、拨号上网检测等等。

    l   性能要求

    由于边界网络的入侵检测需要监视的数据量相对较大,对性能的要求可以大大的减少 IDS 的漏报率和误报率,性能上要求入侵检测设备可以处理的最大网络流量在百兆网络环境中不低于 90M ,千兆网络环境中不低于 850M 。

    l   自身安全性要求

    作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。

    l   日志审计要求

    系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析??梢匝≡癫煌氖奔浼涓羯杀ū?,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解??梢愿莨芾碓钡难≡?,定制不同形式的报表。

    l   实时响应要求

    当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。

    l   服务要求

    入侵检测系统必须提供全面的服务,入侵特征库的升级必须要及时,并且要提供对入侵检测报表的分析帮助。

    4.1.1.3. 过滤网关技术

    传统的防病毒解决方案主要是基于单机或服务器的方式,是一种被动的解决方案。每当出现新的病毒,管理员往往会发现他们分身乏术,需要确保网络中的每台 PC 机、笔记本和服务器等都升级到了最新的病毒库。这种做法往往存在很多问题:

    ?   用户通常不是很清楚这些防病毒软件的选项,可能会没有选择正确的选项,容易造成网络中存在没有受到?;さ慕诘?。

    ?   由于防病毒软件易造成整个计算机系统的性能下降,用户可能会在病毒泛滥前已经关闭防病毒软件,相关调查表明这类用户不在少数。一旦病毒泛滥,网络中只要存在任何一个没有采用正确防毒措施的电脑,都可能感染网络病毒,进而造成整个网络的瘫痪。

    过滤网关技术是传统网络防病毒的有力补充,通过在网关部位部署过滤网关,能够起到以下的作用:

    ?   阻断病毒于网络入口处,保证内部安全。网关防御可以部署在网络的入口,通过扫描进入网络的数据,确保进入网络的数据是安全的,从而可以阻断病毒于网络入口处,保证内部网络的安全。

    ?   基于内容的攻击越来越普遍,网络的高速发展也使病毒传播越来越容易。采用网关防御方案,通过扫描网络中传输的数据,主动地发现网络病毒,从而阻止网络病毒的传播,并为网络管理员提供主动的网络病毒报告,提供更丰富的网络信息支持。

    ?   公司间的网上往来越来越频繁,可能导致更加频繁的病毒攻击,电子邮件已成为常用的交流手段之一。网关防御方案是目前解决病毒攻击和垃圾邮件攻击的最佳手段之一。

    针对 **** 公司网络系统,对于过滤网关的需求主要包括以下几个方面:

    ?   支持透明接入

    采用的过滤网关应该采用即插即用的部署方式,在接入网络时不需要改动现有网络的任何设置。一旦部署的位置被确定(参考部署选项),只需要连接上网线,开启电源就可以进行扫描。方便 **** 公司网络网络管理人员的使用;

    ?   支持高速扫描

    对于 **** 公司网络来讲,系统的可用性和安全性是同样重要的,这就要求部署的过滤网关必须支持高速扫描,不会造成带宽的瓶径;

    ?   多协议支持

    部署的过滤网关应该支持多种协议,对于 **** 公司网络,要求过滤网关必须支持常见的 SMTP 、 POP3 、 HTTP 、 FTP IMAP 。管理员还可以针对每个协议设置高级选项,包括:清除病毒、删除文件、隔离病毒或是记录日志的方式来处理病毒。而且还可以在相应的协议中设置一些附加功能,如对关键字的过滤,对特定文件类型的扫描和过滤等功能。

    ?   易于管理

    过滤网关必须具有良好的易用性,便于 **** 公司网络网络管理员进行管理,管理员可以从远程有效地对其进行管理,并且可以将相应的病毒日志、流量日志以及系统日志发送到管理员预先配置的邮箱。

    ?   详细的报告

    过滤网关必须提供详细的报告,能够按照 **** 公司网络网络管理员配置的参数查询相关的数据生成报表。

    ?   过滤垃圾邮件

    过滤网关除了过滤病毒以外,还能够支持垃圾邮件的过滤。保证 **** 公司网络网络不受垃圾邮件的干扰。

    4.2. 系统加固的需求

    一般来讲,安全的威胁主要来自于系统的弱点,针对 XX 省政府平台网络中存在的安全隐患,很容易成为内部用户或外部非法入侵者进行攻击的对象,因此,有必要对其进行分析,发现存在的隐患或弱点后进行修补。同时还要设法提高整体网络的抗病毒能力,确保 XX 省政府平台不受到病毒的侵害,从而降低系统层、应用层的安全威胁。一般来说系统加固采用的主要技术包括安全扫描技术和防病毒技术。

    4.2.1. 安全扫描技术

    安全扫描系统是现阶段最先进的系统安全评估技术,该系统能够测试和评价系统的安全性,并及时发现安全漏洞。

    漏洞检测和安全风险评估技术,因其可预知主体受攻击的可能性,并具体指出将要发生的行为和产生的后果,而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源,分析这一资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。


       XXXXX公司 网络安全建设建议方案(二) 待续...

    发表评论
    评论通过审核后显示。
    文章分类
    联系我们
    联系人: 牟经理
    电话: 028-85666248
    传真: 028-85666248-8008
    Email: business@www.gqks.net
    QQ: 489323802
    地址: 成都市二环路西一段80号金科双楠天都2号楼
  • 习近平春节前夕赴四川看望慰问各族干部群众(1) 2019-09-16
  • 李克强:我国科技创新由跟跑为主转向更多领域并跑、领跑 2019-09-15
  • 回复@看着就想笑:不然小萌们不得瞎折腾啊?哪有那么多资源可供浪费? 2019-09-15
  • 中共一大会址纪念馆中那个装满母爱的书包 2019-09-08
  • 候选企业:东方证券股份有限公司 2019-09-03
  • 劳动者能不能炒老板的鱿鱼?答案是不能 2019-09-03
  • 辽宁舰舰体生锈失去战斗力?专家给出服役年限 2019-09-02
  • 搂住所言延退对于企业和零活就业者或专家型科技工作者而言很恰当,可是对于公务员这一群体来说延退可能导致利益固化行政僵化,这是普罗大众不能够容忍的。 2019-09-02
  • 晋城:八项重点打好水污染防治攻坚战 2019-08-29
  • 金融科技的下一个风口 2019-08-29
  • 白玉兰奖何冰获最佳男主角奖 马伊琍获最佳女主角奖 2019-08-28
  • 一句嘱咐 涡阳一对父子接力守墓74载 只求烈士不孤单 2019-08-28
  • 水乡“大花园”迎来投资热 2019-08-27
  • 调解员自创“平安小剧本” 2019-08-27
  • 蚌埠市龙子湖区纪委监委严防“四风”问题反弹 2019-08-17
  • 福利彩票投注站也没有人员工资 黑龙江快乐10分开奖结果 辽宁11选5时时彩开奖结果走势图 广东彩票 上一期福彩中奖号码 胜负彩任选9场预测 精准一头一尾中特1 中国竞彩网胜平负 特码走势图 河南11选5网上投注 四川时时彩走势图开奖 彩友多微信彩票店 欢乐升级炒地皮怀旧版 即时比分 江西快三专家推荐号码