房地产企业信息安全系统Word文档格式.docx
- 文档编号:17342612
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:17
- 大小:86.60KB
房地产企业信息安全系统Word文档格式.docx
《房地产企业信息安全系统Word文档格式.docx》由会员分享,可在线阅读,更多相关《房地产企业信息安全系统Word文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
其中该方案包含有六个子系统:
区域边界子系统、网络通信安全子系统、安全审计子系统、安全管理子系统、计算机节点子系统、数据安全子系统。
在项目中,重点分析研究了与信息安全相关的各种技术(防火墙技术、VPN技术、VLAN技术等)。
在项目的设计阶段通过对分析用户需求,制定设计目标,设计出相应系统的解决方案。
到部署实施阶段,通过研究方案的部署策略,对方案的实施步骤进行设计,对方案的实现进行详尽的描述,并对项目实施后给企业网络带来的好处进行了简要的说明。
在该项目方案中,采用访问控制技术、入侵防护技术和状态检测技术在企业网络边界实现多层次的防护;
通过采用应用虚拟化结合AD
域的技术实现企业的终端安全和数据安全,实现对终端用户的统一管理;
采用IPSec
VPN和SSLVPN技术来保护远程用户访问本地服务器过程中的数据安全性;
采用数据备份和异地异地灾备技术来提高数据的高可用性、高可靠性以及在本地数据出现故障时,其可以通过灾备技术实现备份数据中心接替本地数据中心工作。
第一部分:
1.1概述虽然在网络中信息安全问题很多,但是随着信息安全技术的发展,特别是防火墙技术、入侵检测技术、访问控制技术、数据加密技术、VPN等技术的发展,现在已经可以把网络信息安全问题造成的损失降低到最小程度。
1.2.1防火墙技术防火墙是所有安全工具中最重要的一个组成部分,它在内部信任网络和其他任何的
非信任的网络上提供了不同的规则进行判断和验证,确定是否允许该类型的信息流通过。
其作用是防止不希望的、未授权的通信进出被保护的网络,迫使企业强化自己的网
络安全政策。
防火墙是通过提高认证功能和对网络加密来限制网络信息的暴露。
通过对所能进来的流量进行检查以限制从外部发动的攻击,同时具有强大的日志记录功能便于事后的分析。
很多时候,企业设立防火墙以建立DMZ(非军事区),一个在受保护的
网段和另一个未受保护的网络之间的网段。
它提供了一个在危险的因特网和企业努力保护的内部网的信息之间的缓冲区域。
通常DMZ由两个防火墙组成,DMZ中通常包含
于WEB服务器、邮件服务器和DNS服务器,它们处于受攻击的一线,最需要进行保
护。
许多DMZ还有IDSsensor(入侵检测系统传感器)监听有恶意的、可疑的行为。
防火墙实现访问控制的尺度依赖于它的体系结构及其所能实现的技术。
防火墙根据防范的方式和侧重点的不同可分为多种类型,总体归纳为包过滤、应用代理和状态检测三大类。
(1)包过滤防火墙
包过滤技术是第一代防火墙使用的技术,它工作在OSI参考模型的网络层,它处理
网络上基于Packet-by-Packet流量。
采用包过滤技术的设备能够允许或阻止IP地址及端
口,典型的实施方法是通过标准的路由器。
包过滤将会检查以下一些信息:
源IP地址目标IP地址源端口目标端口数据包类型
优点是不用改动客户机和主机上的应用程序,因为其工
作在网络层,与应用层无关。
该防火墙技术的缺点是出了包头信息外不检查包内;
据以过滤判别的只有网络层的有限信息,因而各种安全要求不可能充分满足;
在许多过滤器中,过滤规则的数目是有限制的,而且随着规则数目的增加,性能会受到很大的影响。
1.应用代理防火墙
应用代理防火墙作用在应用层,分别单独与客户端和服务器建立连接,彻底将内网和外网的直接通信隔断。
由于所有通信都必须经过应用层代理软件转发,在任何时候访问者都不能与服务器建立直接的TCP连接,防火墙对应用数据进行过滤保证应用
层的协议会话过程符合安全策略要求,因此安全性相对较好。
防火墙在应用层能够提供强大的数据包内容过滤的功能,主要包括:
阻塞URL地址、关键字过滤、防止特洛
伊木马的传输、防止邮件缓存溢出、阻止JavaActiveX和JavaScript等不安全内
容的传输。
2.状态检测防火墙
状态检测技术,也成为状态分组过滤,是一个过滤和代理服务器的组合,是继“包
过滤”技术和“应用代理”技术后发展起来的防火墙技术。
这项技术更安全并且提供了更多的功能性,因为链接不但应用一个ACL,也记录进一个状态表。
一个连接建立
后,所有的绘画数据都要与状态表相比较。
如果绘画数据与状态表中这个链接的信息不匹配,这个连接就会被丢弃。
(2)虚拟专用网技术
VPN(VirtualPrivateNetwork)是利用公共网络来构建虚拟专用或私用网络,渐层虚拟专用网或虚拟专网,可以被认为是一种公共网络中隔离出来的网络。
它提供一种公共网络安全地对企业内部专用网络进行远程访问的连接方式。
与普通网络连接一样,VPN
也由客户机、传输介质和服务器三部分组成,不同的是VPN连接使用隧道作为传输通
道,这个隧道建立的公共网络或专用网络基础上的。
目前VPN主要采用隧道技术和安全技术来保证传输安全。
建立隧道有两种主要的
方式:
客户启动或客户透明。
目前VPN隧道协议有点对点PPTP协议、L2TP协议、IPSec
协议、SSL协议和SOCKSv5协议等。
VPN中的安全技术通常由加密、身份鉴别和密钥交换与管理技术组成。
常见的VPN是基于IPSec协议VPN和基于SSL协议的VPN,
即IPSecVPN和SSLVPN
(3)PPTP协议
端对端隧道协议(PPTP是WindowsNT4.0中首先提供支持的隧道协议。
PPTP是对
端对端协议(PPP)的一种扩展,它采用了PPP所提供的身份验证、压缩与加密机制。
PPTP能够随TCP/IP协议一起自动进行安装。
PPTP与Microsoft端对端加密(MPPE)
技术提供了用以对保密数据进行封装与加密的首要VPN服务。
一个PPP帧将通过通用路由圭寸装(GenericRoutingEncapsulation,GRE)报头和IP报头进行封装。
IP报头中提供了与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。
MPPE将通过由MS-CHAPMS-CHAPv2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密。
为对PPP帧所包含的有效数据进行加密,虚拟专用网络客户端必须使用MS-CHAPMS-CHAPv2或EAP-TLS身份验证协议。
PPTP将利用底层PPP加密功能并直接对原先经过加密的PPP帧进行封装。
(4)L2TP协议
第二层隧道协议(L2TP)是一种Internet工程任务组(IETF标准隧道协议。
与
PPTP不同,Windows2000所支持的L2TP协议并非利用MPPE对PPP帧进行加密。
L2TP依靠Internet协议安全性(IPSec)技术提供加密服务。
L2TP与IPSec的结合产物称为
L2TP/IPSecVPN客户端与VPN服务器都必须支持L2TP和IPSecL2TP将随同路由
与远程访问服务一起自动进行安装。
L2TP/IPSec提供了针对保密数据进行封装与加密的首要VPN服务。
在IPSec数据包基础上所进行的L2TP封装由两个层次组成;
L2TP封装:
PPP帧(IP或IPX数据包)将通过L2TP报头和UDP报头进行封装。
IPSec封装:
上述封装后所得到的L2TP报文将通过IPSec封锁安全性有效载荷
(ESP报头、用以提供消息完整性与身份验证的IPSec身份验证报尾以及IP包头再次
进行封装。
IP报头中将提供与VPN客户端和VPN服务器相对应的源IP地址和目标IP
地址。
IPSec加密机制将通过由IPSec身份验证过程所生成的加密密钥对L2TP报文进
行加密。
1.2.3访问控制技术
网络访问控制技术是网络安全防范和保护的主要核心策略,它的主要任务是保护网络资源不被非法使用和访问。
访问控制是策略和机制的集合,它允许对限定资源的授权访问。
它也保护资源,防止那些无权访问资源的用户的恶意访问或偶然访问。
然而,它无法阻止被授权组织的故意破坏。
访问控制包括三个要素:
即主体、客体和控制策略。
主要的访问控制技术有三种:
(1)自主访问控制技术(DAC)
自主访问控制技术是目前计算机系统中实现最多的访问控制机制,它是在确认主体身份以及它们所属组的基础上对访问进行限定的一种方法。
它是多用户环境下最常用的一种访问控制技术,在目前流行的UNIX类主体操作系统中被普遍采用。
其基本思想是:
允许某个主题显示地指定其他主体对该主题所拥有的信息资源是否可以访问以及可执行的访问类型。
(2)强制访问控制技术(MAC)
强制访问控制(MAC)最早出现在Multics系统中。
MAC的基本思想是:
每个主
题都有既定的安全属性,主体对客体是否能执行特定的操作取决于两者安全属性关系。
MAC访问控制模块性和DAC访问控制模型属于传统的访问控制模型,在实现上,MAC和DAC通常为每个用户赋予对客体的访问权限规则集,考虑到管理的方便,在这一过程中还经常具有相同只能的用户为组,然后为每个组分配许可权。
(3)基于角色的访问控制技术(RBAC)
基于角色的访问控制(RBAC是实现面向企业的安全策略的一种有效的访问控制方式,具有灵活性、方便性和安全性的特点,目前在大型数据库系统的权限管理中得到普遍应用。
目前,在路由器、防火墙等网络设备上使用的ACL(访问控制列表)属于自主访
问控制技术。
访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
1.2.4入侵检测和保护技术
1.2.4.1入侵检测技术入侵检测是一种主动保护自己免受攻击的网络安全技术。
作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全能力,提高了信息安全技术基础结构的完整性。
1.2.4.2入侵防护技术随着网络入侵事件的不断增加和黑客攻击技术水平的不断提高,对安全技术提出了新的挑战。
防火墙技术和IDS自身具有的缺陷阻止了它们进一步的发展。
如防火墙不能阻止内部网络的攻击。
对于网络中的各种病毒也没有很好的防护措施;
IDS只能检测入
侵而不能适时地阻止攻击,而且IDS具有较高的漏报和误报率。
IPS提供主动、实时的防护及阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。
1.2.5虚拟局域网技术
VLAN又称虚拟局域网,是由位于不同物理局域网段的设备组成。
虽然VLAN所
连接的设备来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样。
VLAN中网络用户通过LAN交换机通信,一个VLAN中的成员看不到另一个VLAN中的成员。
同一个VLAN中的所有成员共同拥有一个VLANID,组成一个虚拟局域网络。
同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包,但收不到其他VLAN中成员发来的广播包。
不同的VLAN成员之间不可直接通信,需要通过路由器、三层交换机等路由设备支持才能通信,而同一VLAN中的成员通过交换机
可以直接通信,不需要路由支持。
VLAN提供的主要功能有:
提高管理效率、控制广播数据、增强网络的安全性、实现虚拟工作组。
1.2.6数据加密技术数据加密技术是密码学的核心,其原理是使用加密算法将明文转换成密文,阻止为
授权用户理解原始数据,从而保证数据的机密性。
从明文变为密文的过程称为加密,由密文还原成明文的过程称为解密,加密和解密的规则称为密码算法。
在加密和解密过程中,由加密者和解密者使用的加解密可变参数叫做密钥。
密钥是一串将被插入算法的随机比特,要使两个实体能偶通过加密进行通信,他们必须使用相同的算法,而且在许多时候必须使用相同的密钥。
在某些加密方法中,接收者和发送者使用相同的密钥,而且在其他的加密方法中,必须使用不同的密钥来加密和解密。
1.2.6.1对称密钥加密在一个使用对称密码的密码系统中,发送和接收的双方都使用同一密钥来加密和解
密信息。
对称密钥之所以也称为秘密密钥是因为这种类型的加密方法依赖每一个使用者都恰当地保护密钥,不让它泄密。
如果这种类型的密钥落入攻击者手中,那么攻击者就能解密任何一个截获的、使用这个密钥加密的消息。
对称密钥加密算法主要有DES
3DES和AES等。
对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。
例如对于具有n个用户的网络,需要n(n-1)/2个密钥,在用户群不是很大的情况下,对称加密系统是
有效的。
但是对于大型网络,当用户群很大,分布很广时,密钥的分配和保存就成了大问题。
对称加密算法的另一个缺点是不能实现数据签名。
1.2.6.2非对称密钥加密
对称密码系统中,在实体之间使用单个秘密密钥;
而在公共密钥系统中,两个实体中的每一个都有各自的密钥,也就是非对称密钥。
这两个不同的非对称密钥是数学相关的。
如果消息被其中一个加密,就需要另一个来解密。
非对称密钥加密,又称公钥加密。
它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,即公钥;
另一个由用户自己秘密保存,即私钥。
信息发送者用公钥去加密,而信息接收者则用私钥去解密。
非对称密钥加密算法主要有RSADSA和ECC等。
第二部分:
房地产企业信息安全系统的设计
2.1系统整体设计思想
根据强制访问控制的总体流程,可将项目企业安全应用系统分为六个子系统:
区域边界
子系统、网络通信安全子系统、安全审计子系统、安全管理子系统、数据安全子系统和计算机节点子系统。
项目企业信息安全应用平台基本结构如图。
申
-
VI卜
2.2各子系统的主要功能如下:
a)节点子系统
节点子系统通过在操作系统核心层、系统层设置以强制访问控制为主体的系统安全机制,形成防护层,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性,为典型应用支持子系统的正常运行和免遭恶意破坏提供支持和保障。
b)典型应用支撑子系统
典型应用支撑子系统是系统安全保护环境中为应用系统提供安全支撑服务的接口。
通过接口平台使应用系统的主客体与保护环境的主客体相对应,达到访问控制策略实现的一致性。
c)区域边界子系统网络边界子系统通过对进入和流出安全保护环境的信息进行安全检查,确保不会有违反系统安全策略的信息流经过边界。
d)通信网络子系统通信网络子系统通过对通信数据包的保密性和完整性的保护,确保其在传输过程中不会被非授权窃听和船该,以保证数据在传输过程中的安全。
e)安全管理子系统
安全管理子系统是系统的安全控制中枢,主要实现标记管理、授权管理及策略管理等。
安全管理子系统通过制定相应的系统安全策略,并要求节点子系统、区域边界子系统和通信网络子系统强制执行,从而实现对整个信息系统的集中管理。
f)审计子系统
审计子系统是系统的监督中枢。
安全审计员通过制定审计策略,并要求节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统强制执行,实现对整个信息系统的行为审计,确保用户无法抵赖违反系统安全策略的行为,同时为应急处理提供依据。
第三部分:
3.1区域边界子系统设计
3.1.1网络边界保护设计网络边界保护是为了保护整个网络的出入口,该位置现有四条线路,其中专线两条、
ADSL两条。
为充分利用这四条线路带宽,需将线路连入到两台RadwareLinkproof线
路负载均衡设备上,该设备上支持Prosximity的专利路由技术,可确保同时为入站和出战流量选择路径、基于应用实施动态负载均衡和应用带宽管理,从而增强用户体验并且加快响应速度。
LinkProof提供高级应用感知全路径状态监控模块,可以确保24/7全天候地对交易进行全路径处理。
区域边界子系统
节点边界
网络边界
节点防吠堵
惑竜代码防范
入復检测模扶
i审计于暮统
区域边界子系统总体结构
3.1.2网络交换设计
在网络中每一台接入层交换机设置不同的VLAN并启动OSPF协议,将每个部门
设置为一个独立区域,每个区域都有自己特定的标识号,每一个独立区域不受其他区域的干扰,核心交换机只负责计算机分发独立区域之间的链路状态信息。
考虑到网络中某一条链路状态发生变化时,会引起整个网络中每个节点都重新计算一遍自己的路由表,这样既浪费资源与时间,又会影响路由协议的性能,因此,当网络中的某条链路状态发生变化时,此链路所在域中的三层交换机重新计算本域路由表,而其它域中三层交换机只需修改其路由表中的相应条目,无须重新计算整个路由表,极大地提高网络交换速度。
采用第三层网络交换技术搭建的网络平台能有效地缩小病毒、蠕虫、木马和ARP等对
全网络进行广播风暴的攻击范围,把广播风暴主动地隔离在每个区域根节点的网络设备端口上,并即时关闭发起广播风暴攻击的端口,避免网络瘫痪。
企业中的数据传输分为两部分:
企业内部传输和企业外部传输。
多数企业对内部传
输并不是很重视,企业对数据传输的安全性侧重于外部的传输上。
对于信息化程度较高的企
业,内部传输采用的企业内部即时通讯工具进行,由于企业即时通讯工具的服务器
在企业内部,数据的存放和传输是较为安全的,如果在Intranet中传输的话,在公网线
路上传输就需要企业内部VPN的支持,在这段线路上面传输数据是在加密通道中传送。
为了能让企业数据绝对的安全,除采用VPN技术外,桌面虚拟化的技术的应用给企业
内部数据的传输和存放更加安全。
桌面虚拟化技术是终端用户通过在终端电脑上接收终端服务器上的镜像桌面,用户在终端电脑上进行所有的操作,终端电脑与终端服务器之间的线路中传输的是终端用户键盘和鼠标的操作指令,其所有数据都一直在终端服务器内部进行运行和存放。
计釆彙接口
审哺爭件
-:
:
旦环境
顼目企立逬辛审汁条铳二ft:
就程
内网安全是网络安全中的重要组成部分,70%的网络安全事件集中在内网,所以加强
内网安全是企业信息化建设的重点。
房地产企业网络的内网安全主要包含两个部分:
终端安全和安全审计。
其中终端安全是将桌面终端设备的安全放在首位,同时需要进行终端准入控制、终端防护软件,并实现企业桌面的虚拟化,从而逐步实现企业桌面标准化;
内网安全审计是包括:
外设防护、防止外设接入、用户的集中管理、软件补丁的分发、端口流量控制与监控、故障定位、行为管理与审计。
实现内网的安全审计部分,需要在内网部署一套网关型或服务器型的内网安全审计系统,并通过部署一套网络版防病毒系统。
3.3.1安全审计
百汁倍晾誉耳身色监剧
安全审计是采用自动记录终端电脑所有操作行为的日志方式,其中包括上网行为、运
行状态、补丁安装、端口I/O操作、文件拷贝和资产变更等,这些日志为日后进行信息
审计提供依据。
在房地产企业中对用户进行的安全审计主要集中在用户上网行为、IM通讯、收发邮件、URL过滤等多方面,其中IM通讯和收发邮件的审计最为重要。
安全管理子系统对信息系统中的终端节点、边界控制、网络传输安全实施集中管理,包括管理用户和平台身份、标识主/客体安全等级和范畴、制定自主访问控制策略、等
级改变策略、可信接入策略、系统可信预期列表等,为企业信息系统的安全提供了基础保障。
3.341
1、网络防病毒
采用“Symantec网络防病毒系统+360安全卫士”来保护用户桌面和应用的安全,
其中使用Symantec防病毒软件的网络版本对用户终端防病毒和防攻击,使用Nod32的
服务器版对应用服务器主机进行安全加固;
采用360安全卫士进行操作系统补丁安装和
漏洞检查,以及检测和防护木马。
在内网服务器上安装Nod32服务器端软件,在每台
终端上统一安装Symantec防病毒软件客户端,实行统一部署、集中防护和管理,同时在每台电脑上安装360安全卫士防护软件,实施拦截和查杀木马程序,并进行操作系统补丁自动安装,提高终端系统的安全防护能力,防病毒能力,有效的保护内网安全和用户信息。
2、移动存储设备自动检测系统
病毒通过移动存储介质交叉感染是造成病毒大面积传播的重要途径,为此在内外网所有电脑上安装一套移动存储介质自动检测系统,对USB端口进行实时监控,一旦移
动存储介质接入计算机,该系统立即调用本地防病毒软件对移动存储介质进行病毒检测,发现病毒后立即进行隔离,有效地防止外部介质上的病毒感染计算机,杜绝存储介质病毒交叉感染。
3.5.1外网与内网数据交换设计
基于目前网络信息安全严峻的形式,信息泄密的主要途径是移动存储介质“摆渡”,
即移动存储介质在内/外网交叉使用,为了杜绝此类现象发生,又不影响内外网数据交换,提高网络信息安全,最有效的措施是内外网通过只读关盘进行数据交换,杜绝在内外网数据交换过程中交换介质被植入特种木马,造成信息备非法窃取,引起信息泄密。
在企业内部网进行数据交换时,通常采用企业内部信息沟通工具进行传输,企业内部终端设备都进行了防外设处理,不允许外接任何外部设备,如果需要进行内外网数据交换,通常需要在测试机上进行查杀病毒、木马后,且执行没异常的情况下,才能将数据进行交换。
361数据安全子系统的设计
在保证业务连续性应考虑两个方面:
一是计划内的停机、如备份、通信链路、等造成的计划停机;
另一个方面是非计划的中断,如电源、灾难升级等引起的灾难性备份。
集团网络中的灾备中心放在国内的其他城市,灾备中心与主数据中心之间采用专线互联,两端的存储设备分别是存储阵列柜。
在备份中心配置相同结构的磁盘阵列,两个阵列通过转换器和FC相连,并利用VERITASVolumeReplicator进行异步备份,两点间的数据备份时间设置为晚上12点进行复制。
整个系统的设备虽然很多,但不论是主机
系统、存储设备,还是C
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 房地产企业 信息 安全 系统