【为保护隐私,公司原名用XX代替。内容涉及企业网络安全防护,***检测,×××加密、数据安全、用户认证等企业信息安全案例,供参考】
XX企业信息安全综合解决方案设计
一. 引言
随着全球信息化及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业越来越多,并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络***、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成了企业信息化建设中一个永恒的话题。
目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络***的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢?
二. XX企业需求分析
该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过×××连接到企业内网,或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。
1. 外部网络的安全威胁
企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,***者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被***或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的***者的***。
2.内部局域网的安全威胁
据调查在已有的网络安全***事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括:误用和滥用关键、敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。
3.网络设备的安全隐患
网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备可用但安全性不佳。
二、操作系统的安全风险分析
所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
目前的操作系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些后门和安全漏洞都将存在重大安全隐患。系统的安全程度跟安全配置及系统的应用有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般***技术的人都可能***得手。如果进行安全配置,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么***者要成功进入内部网是不容易的,这需要相当高的技术水平及相当长时间。
三、应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
文件服务器的安全风险:办公网络应用通常是共享网络资源。可能存在着员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
数据库服务器的安全风险:内网服务区部署着大量的服务器作为数据库服务器,在其上运行数据库系统软件,主要提供数据存储服务。数据库服务器的安全风险包括:非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到***等。数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复,也是需要考虑的安全问题。
病毒侵害的安全风险:网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息的安全风险:数据安全对企业来说尤其重要,数据在公网线路上传输,很难保证在传输过程中不被非法窃取、篡改。现今很多先进技术,***或一些企业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息,也就造成的泄密。
四、管理的安全分析
管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络***必须的部分。责权不明,管理混上乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术下功夫外,还得依靠安全管理来实现。
三. XX企业方案设计
该企业信息安全防护方案和策略主要由以下各部分组成:
1.Internet安全接入
采用PIX515作为外部边缘防火墙,其内部用户登录互联网时经过NetEye防火墙,再由PIX映射到互联网。PIX与NetEye之间形成了DMZ区,需要提供互联网服务的邮件服务器、Web 服务器等防止在该DMZ区内。该防火墙安全策略如下:
(1) 从Internet上只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口;
(2) 从Internet和DMZ区不能访问内部网任何资源;
(3) 从Internet访问内部网资源只能通过×××系统进行。
为了防止病毒从Internet进入内部网,该企业在DMZ区部署了网关防病毒系统。采用Symantec Web Security 3.0防病毒系统,对来自互联网的网页内容和附件等信息设定了合理的过滤规则,阻断来自互联网的各种病毒。
2.防火墙访问控制;
PIX防火墙提供PAT服务,配置IPSec加密协议实现×××拨号连接以及端到端×××连接,并通过扩展ACL对进出防火墙的流量进行严格的端口服务控制。
NetEye防火墙处于内部网络与DMZ区之间,它允许内网所有主机能够访问DMZ区,但DMZ区进入内网的流量则进行严格的过滤
3.用户认证系统;
用户认证系统主要用于解决电话拨号和×××接入的安全问题,它是从完善系统用户认证、访问控制和使用审计方面的功能来增强系统的安全性。
采用思科的ACS用户认证系统。在主域服务器上安装Radius服务器,在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。拨号用户和×××用户身份认证在Radius服务器上进行,用户账号集中在主域服务器上开设。系统中设置了严格的用户访问策略和口令策略,强制用户定期更改口令。同时配置了一台×××日志服务器,记录所有×××用户的访问,而拨号用户的访问则记录在Radius服务器中,作为系统审计的依据。系统管理员可以根据需要制定用户身份认证策略。
4.***检测系统;
在系统中关键的部位安装基于网络的***检测系统,可以使得系统管理员能够实时监控网络中发生的安全事件,并能及时做出响应。
根据该企业网络应用的情况,可在互联网流量汇聚的交换机处部署一套CA eTrust Intrusion Detection,它可实时监控内部网中发生的安全事件,使得管理员及时做出反应,并可记录内部用户对Internet的访问,管理者可审计Internet接入平台是否被滥用。当冲击波病毒爆发时,该系统能够显示出哪些主机感染了病毒而不停地向其他网络主机发出广播包。
企业的网络管理员可以根据实际应用环境对IDS进行详细配置,并在实践中根据需要随时调整配置参数。
5,网络防病毒系统;
该企业全面地布置防病毒系统,包括客户机、文件服务器、邮件服务器和OA服务器。
该企业采用McAfee TVD防病毒系统保护客户机和文件服务器的安全,客户机每天定时从McAfee服务器通过FTP方式下载并安装最新的病毒代码库。
该企业电子邮件系统运行在Domino平台上,采用了McAfee针对Domino数据库的病毒过滤模块,对发送和接手的邮件附件进行病毒扫描和隔离。
6.×××加密系统;
该企业通过PIX防火墙建立了基于IPSec国际标准协议的虚拟专网×××,采用3DEC加密算法实现了信息在互联网上的安全传输。
×××系统主要用于该企业移动办公的员工提供互联网访问企业内网OA系统,同时为企业内网ERP用户访问大股东集团公司的SAP系统提供×××加密连接。
7.网络设备及服务器加固;
该企业网络管理员定期对各种网络设备和主机进行安全性扫描和***测试,及时发现漏洞并采取补救措施。
安全性扫描主要是利用一些扫描工具,包括Retina、X-Scan、SuperScan、LanGuard等,模拟***的方法和手段,以匿名身份接入网络,对网络设备和主机进行扫描并进行分析,目的是发现系统存在的各种漏洞。
进行***测试时,网络管理员预先假设***者来自用户内部网,该***者在内部网以匿名身份接入网络,起初不具备进入任何系统的权限。通过利用扫描阶段发现的系统中的安全漏洞,以***使用的手段对系统进行模拟***,最大限度地得到系统的控制权。例如,利用Unix系统的/bin/login ,无需任何身份验证即可远程非法登录漏洞以及priocntl系统调用漏洞,通过缓冲溢出进入系统后进行权限提升,即可获得Root权限。
根据安全扫描和***测试的结果,网络管理员即可有针对性地进行系统加固,具体加固措施包括:
(1) 关闭不必要的网络端口;
(2)视网络应用情况禁用ICMP、SNMP等协议;
(3) 安装最新系统安全补丁;
(4) 采用SSH而不是Telnet进行远程登录;
(5) 调整本地安全策略,禁用不需要的系统缺省服务;
(6) 启用系统安全审计日志。
以上措施主要用于防范系统中的非法扫描、利用系统漏洞进行缓冲区溢出***、拒绝服务***、非法远程登录等******行为。
8.桌面电脑安全管理系统;
该企业采用LANDesk安全管理套件系统来加强对桌面电脑的安全管理。该系统主要具有如下功能:
补丁管理 补丁管理是LAN-Desk系统的主要功能之一,主要用于修复桌面电脑系统漏洞,避免蠕虫病毒、******和***程序等。
LANDesk补丁管理器能够高效地实现安全补丁管理。补丁程序能够从全球统一的补丁管理服务器自动下载,并自动分发到每台桌面电脑,无需IT人员干预。补丁程序在分发安装前,都经过本地服务器的测试,从而确保补丁自身的安全性,避免损坏用户系统。
由于LANDesk采用全自动补丁分发方式,大大减轻了管理员的负荷,而更重要的是能够及时发现操作系统的漏洞并第一时间自动进行修补,从而有效地保护OA用户的电脑免受破坏。
间谍软件检测 基于LAN-Desk随时更新的集中化安全管理核心数据库,该系统能够自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛伊***和其他恶意程序的已知威胁。
安全威胁分析 LANDesk提供自动的威胁分析功能,它能够自动检测桌面电脑的配置风险,包括共享、口令、浏览器等安全问题,并自动进行修补或提出修改建议。
应用程序阻止 用户随意安装的游戏等应用程序可能导致系统紊乱、冲突,影响正常办公。LANDesk提供的应用程序管理功能可以通过远程执行指令,阻止有关应用程序的运行。
设备访问控制 LANDesk通过硬件级别的管理功能,可以对用户电脑的硬件采用适当的访问控制策略,限制对网络、驱动器、通信端口、USB和无线频道的访问,防止关键数据丢失和未授权访问。
IT资产管理 对该企业所有上网电脑进行在线管理。该系统能够自动扫描在线电脑的配置信息,包括硬件配置、软件配置的详细信息,如生产厂家、型号、产品序列号、组件参数、IP地址、操作系统类型、应用程序安装情况等等,并可进行分类、根据需要形成不同报表。
9. 数据备份系统
该企业采用HP 1/8磁带自动装载机对企业数据进行备份,该磁带库可以同时装载9盒磁带,能够根据预先定义好的备份策略自动装载磁带,自动执行定义好的备份策略,压缩后最大存储容量为640GB。备份软件采用Legato NetWorker网络备份管理系统。该系统运行稳定,备份和恢复效果较好。
10. 网络安全制度建设及人员安全意识教育
该企业主要开展以下工作:
(1)开展计算机安全意识教育和培训,如不要随意到网上下载软件、不要打开不明邮件附件等等,并加强计算机安全检查,以此提高最终用户对计算机安全的重视程度。
(2)为总部及各分支机构的系统管理员提供信息系统安全方面的专业培训,提高处理计算机系统安全问题的能力。
(3)制定《信息系统安全管理规定》等制度,并纳入企业ISO文件体系,定期宣贯,并通过计算机应用知识考试等方式加以推广执行。
转载于:https://blog.51cto.com/minshao/919795
694
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
