网络安全方案样板.docx
- 文档编号:23335444
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:16
- 大小:117.01KB
网络安全方案样板.docx
《网络安全方案样板.docx》由会员分享,可在线阅读,更多相关《网络安全方案样板.docx(16页珍藏版)》请在冰豆网上搜索。
网络安全方案样板
网络安全方案样板
启明星斗信息技术
2003年7月
1概述
计算机和网络技术的飞速开展与普及,各项业务与办公系统越来越依赖计算机系统的平安性。
******作为国度通讯范围的重要机构,维护其网络系统的平安效果关系十分严重。
病毒破坏和黑客攻击是要挟计算机系统平安的两小气面,不只病毒和黑客技术的开展提高一日千里,更令人担忧的是来自网络外部的攻击日益成为网络平安防护范围的重要防护对象。
据美国相关统计数字,70%的攻击来自网络外部。
******外部网络作为全公司办公沟通、文件传送、数据传输的重要渠道,在平安效果十分严峻的情势下,必需及时做好外部网络平安战略的配置和网络平安的全方位防护。
在充沛了解破坏和攻击技术的同时,构建一个可行的进攻系统。
为确保******整个外部办公及数据传输网络的平安性,作为专业的网络平安公司,启明星斗依据******外部网网络平安系统的现状和需求,结合技术和管理,提出了全方位、多层次的网络平安处置方案。
2******外部网络平安需求剖析
******外部网络部署了网络设备、效劳器,承载了少量重要的数据信息。
维护这些设备的正常运转,维护主要业务系统的平安,是******外部网络的基本平安需求。
2.1******外部网络系统现状
2.2******外部网络平安现状
******外部网络运转的主要是多种网络协议,而这些网络协议并非专为平安通讯而设计。
所以,******外部网络能够存在的平安要挟来自以下方面:
(1)缺乏有效的手腕监视、评价网络系统的平安性。
(2)操作系统的平安性。
目前盛行的许多操作系统均存在网络平安破绽,如UNIX效劳器,NT效劳器及Windows桌面PC。
(3)关于网络外部各种设备以及来自Internet的电子邮件夹带的病毒及Web阅读能够存在的Java/ActiveX控件停止有效控制。
(4)来自外部网用户的平安要挟。
针对外部网络的合法操作和恶意攻击,成为网络平安体系的新触点。
(5)针对外部网络用户的IP地址修正监控以及各IP网络流量的统计监控
2.3******外部网络平安需求
依据******外部网络的实践状况,结合******的详细要求,******外部网网络平安需求总结如下:
(1)对公司网络按功用类别划分子网,实施有效的隔离,防范来自外部和外部的攻击。
(2)需求对内网重要通讯的入口点以及外部网络的重要网段的效劳器区配置相应的入侵监测系统〔IDS〕停止实时监控,确保外部网及效劳器的平安。
(3)需对全网停止平安扫描〔Scan〕评价,对外部网的平安水平有一个掌握了解,对所出现的系统与网络效果停止及进的处置与修补。
(4)针对外部网络用户的IP地址修正监控以及各IP网络流量的统计监控。
(5)针对网络系统停止全体的病毒防护。
(6)部署网络平安的管理效劳器、平安管理终端、网络管理终端。
(7)提供DHCP效劳,完成IP地址静态分配。
(8)需完成外部平安战略的合理规划。
3平安战略建议
我们建议******外部网络系统采用以下平安战略:
●建议对外防护为主,外部防护为辅。
●采用可以提供集中管理控制并可停止互动的产品。
由于网络和系统的复杂性,对相应产品的管理控制提出了更高的要求,不但可以停止集中、散布的管理控制,还可以停止分级的管理控制以顺应大规模网络的需求,同时不同平安产品之间应可以停止有效的互动,以提高系统的进攻才干。
●产品在运用上应具有友好的用户界面,并且可以停止相应的客户化任务,运用户在管理、运用、维护上尽量复杂、直观。
●树立层次化的防护体系和管理体系
4平安措施
******外部网络的平安效果是一个系统工程,我们在制定平安网络战略时尽能够地思索到网络中的各个方面,采用TCP/IP协议停止网络通讯的网络,在网络层对计算机通讯停止平安维护是业界盛行的平安处置方法。
通常我们采用以下几项措施:
1、ACL战略控制
在对外路由器上设置过滤规那么,构成第一道防护网。
运用过滤规那么设置功用,作过滤防护,构成******外部网络与专网和Internet之间的第一道防护网;
2、采用VLAN技术。
为了更好的保证******外部网络的平安,我们应依照用户群组和系统资源的访问权限停止平安划分。
在各节点局域网外部可依据各种业务需求或平安级别的不同,运用三层交流机划分VLAN,从而对不同VLAN中的数据停止维护。
3、静态分配IP
经过代理效劳器上设置DHCP来完成IP地址的静态分配。
4入侵检测系统
我们采取入侵检测系统,对******外部网络停止实施监控和中心业务系统效劳器的重点维护,从而降低了网络平安风险,防止入侵者的破坏。
网络入侵检测系统位于有敏感数据需求维护的网络上,经过实时侦听网络数据流,寻觅网络违规形式和未授权的网络访问尝试。
当发现网络违规行为和未授权的网络访问时,网络监控系统可以依据系统平安战略做出反响,包括实时报警、事情登录,或执行用户自定义的平安战略等。
5、网络平安扫描系统
我们采用网络破绽扫描系统对******外部网络停止破绽扫描,他可以测试和评价系统的平安性,并及时发现平安破绽。
网络破绽扫描系统就是这一技术的完成,她包括了网络模拟攻击,破绽检测,报告效劳进程,提取对象信息,以及评测风险,提供平安建议和改良措施等功用,协助用户控制能够发作的平安事情,最大能够的消弭平安隐患。
平安扫描系统具有弱小的破绽检测才干和检测效率,贴切用户需求的功用定义,灵敏多样的检测方式,详尽的破绽修补方案和友好的报表系统,为网络管理人员制定与合理平安防护战略提供依据。
6网络防病毒措施
******外部网络防病毒措施主要包括技术和管理方面,技术上可停止全方位的防病毒维护,在效劳器中装置效劳器端防病毒系统,以提供对病毒的检测、肃清、免疫和对立才干,防止病毒在整个网络外部停止分散。
在客户端的主机也应装置单机防病毒软件,将病毒在本地肃清而不致于分散到其他主机或效劳器,在邮件效劳器上装置邮件防病毒系统。
管理上应制定一整套有关的规章制度,如:
不许运用来历不明的软件或盗版软件,软盘运用前要首先停止消毒等。
只要提高了任务人员的平安看法,并自觉遵守有关规则,才干从基本上防止病毒对网络信息系统的危害。
5平安产品引见
5.1入侵检测
5.1.1入侵检测系统概述
入侵检测系统,是用来实时检测各种攻击,同时实时做出各种预先定义的照应,力图做到在黑客形成破坏之前发现效果,处置效果。
网络入侵检测产品不会占用网络带宽,不会惹起网络和主机功用的下降,同时不驻留在业务主机和效劳器上,不会对原有网络形成额外的平安要挟,此部署方式可实时对效劳器操作系统、运用系统停止监控,并完成集中管理。
5.1.2入侵检测产品选择
我们采用北京启明星斗公司的〝天阗〞黑客入侵检测与预警系统停止网络平安入侵检测。
5.1.2.1产品简介
启明星斗自行研制开发的天阗黑客入侵检测与预警系统是国际第一批在入侵检测方面取得国度公安部销售容许证的网络平安产品,同时天阗还经过了国度保密局、束缚军及国度信息平安测评中心的专门评测。
天阗黑客入侵检测与预警系统是一种在计算机网络上自动、实时的入侵检测和照应系统。
它可以实时监控网络传输,自动检测可疑行为,剖析来自网络外部和外部的入侵信号。
在系统遭到危害前收回正告,实时对攻击做出反响,并提供弥补措施,最大水平地为网络系统提供平安保证。
已成功实施于首都电子商城的网络平安保证工程,海淀数字园区的平安保证工程,沈阳人行等多个网络平安项目,为网络的平安运转提供了有力保证。
5.1.2.2产品优势
天阗黑客入侵检测与预警系统包括两局部:
控制中心和探测引擎。
控制中心是个高功用管理系统,能控制位于本地或远程网段上的多个探测引擎的活动,完成静态剖析,实时监控。
探测引擎为固化硬件产品,静态监视网络上的数据包,停止攻击行为的检测和识别。
与普通IDS产品相比,天阗黑客入侵检测与预警系统在以下方面具有清楚优势产品优势:
1.产品版本成熟,易用性强:
天阗系统经过市场调研的重复停止和研发力气的庞大投入,现已晋级为6.0版本,功用动摇,界面友好。
2.片面的攻击事情处置方式:
针对攻击事情,IDS产品基本均能提供报警、日志纪录、阻断攻击等处置方式。
天阗产品在上述功用的基础上,还可完成与防火墙的互动,以阻断任何合法联接;对MAC地址完成阻断。
3.用户自定义和定制功用:
界面窗口可自行定制;攻击事情可自行定义并参与事情库;平安战略和协议可自行编辑定义下发等功用,为用户的运用带来方便。
是普通IDS产品尚无法完成的重要功用。
4.完备、开放的特征库:
攻击事情库>1200种,同时用户可以自行定义和添加特征库,完成用户端的自主实时更新。
5.优化、初级的管理结构:
普通IDS产品均为散布式结构,单级或二级控制,下级对下级控制台仅能完成报警功用,无法同时满足对不同网段上的实时监测和管理。
天阗产品那么为树形散布式结构,多级控制功用可使天阗控制中心对多级子控停止管理,便于网络平安的同步完成。
同时下级可一致下发战略、事情特征库给下级,保证下发战略的一致性。
6.灵敏方便的兽性化报表:
天阗经过调用日志文件,运用嵌入式报告功用,构成方便、易懂、直观、片面的用户报告,分类列表更有助于用户了解网络各个层面的平安状况。
7.便捷片面的晋级方式:
有晋级模块可直接导入,或停止在线晋级,晋级速度在同类产品中较快。
自动同步晋级,控制中心可以及时将攻击特征晋级包下发到各级探测器,提高对最新攻击事情和行为的同步识别。
8.优秀的系统自身平安性:
独有的硬件引擎,关于平安性作了片面的思索,动摇性好。
控制中心与子控中心以及探测引擎的通讯采用加密方式。
9.天阗与各主流防火墙的联动以及最新完成的和天镜破绽扫描的联动,曾经在国度重点信息化平安保证工程、国度平安部、银行机构等一些大型网络中普遍的运用,其联动才干与效果十分清楚,充沛表达了以天阗IDS为中心筑造的静态进攻体系对平安防护才干的极大提升作用。
6平安产品部署
6.1〞天阗〞部署说明
6.1.1产品部署
为了维护网络出入与拨号用户所带来的平安性,我们作如下部署:
1.中心交流机上接入一台天阗黑客入侵探测引擎:
对浸透过防火墙的攻击与经过PSTN停止信息通讯的数据和用户停止实时的监测。
2.在系统外部配置一台效劳器:
作为〝天阗〞入侵检测系统的控制台,对网络中的探测引擎停止管理与战略分发,以及对事情的监视与报警。
6.1.2功用完成
经过运用天阗可以容易的完成对以下的攻击识别:
网络信息搜集-、网络效劳缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。
●灵敏的配置管理界面
●内置了多种预定义战略,并允许用户添加修正战略
●多种攻击照应方式,同防火墙停止结合举动,阻断任何合法衔接
●开放式事情特征库,任何人都可以自行定义和添加特征事情
●报表剖析系统,可对日志停止预先二次剖析
●网络流量剖析,可以协助剖析网络缺点
●提供固化版本的网络探测器,即插即用,方便装置
●多级分层管理
6.1.3产品配置
☐〝天阗〞黑客入侵检测与预警系统控制中心软件一套〔PCqwr/2000Serve,效劳器配置一台NT4.0/2000Server〕
☐〝天阗〞黑客入侵检测与预警警与阻断,在防火墙后配置一套天阗黑客入侵检测与警预系统,实时时系统探测引擎一台〔硬件〕
对内外部网的访问数据流停止实时监控与报警;同时关于各IP的网络流量停止监控
7售后效劳
7.1效劳宗旨
网络平安是一个静态的进程,网络平安总是处在网络系统攻击和进攻的平衡之中的静态相对平安。
我们的平安效劳宗旨是:
在不时更新、优化现有产品的同时,为客户提供继续、专业、片面和快速的本地化效劳。
网络信息系统平安不只需求静态的工具和产品,而且需求继续跟进的平安效劳。
7.2效劳内容
7.2.1风险剖析
对网络平安的要挟确是存在的,但并不是相对的和确定性的;假设为一种极小概率的事情付出的代价超越能够带来的损失,显然是缺乏取的。
清楚系统环境中的要挟可以协助管理者制定最为经济合算的平安政策,有时甚至发现,容忍能够的损失而不采取措施能够更为经济,这一切的决策基于风险剖析的结果。
风险剖析的概念,是指确定资产的平安要挟和软弱性、并估量能够由此形成的损失或影响的进程。
风险剖析有两种基本方法:
定性剖析和定量剖析。
定量剖析与定性剖析不同之处在于,该方法需求搜集尽能够详细和准确的数值,运用数学和统计方法,以失掉相对的风险值;与防卫措施的投资相比拟,可以直接做出平安措施能否实施的决策。
风险剖析的结果是制定平安政策的重要依据,可以依照资产列表制定相应的平安政策。
当然,平安政策的制定有时需求全局性的思索,而不是完全以资产为线索。
7.2.2产品维护
(1)启明星斗为软件产品提供一年收费维护。
维护项目包括:
软件的更新晋级,在软件临时运转时一旦出现缺点或不动摇状况,迅速停止维护和更新;
(2)软件产品提供临时的更新晋级效劳,同时对较大的产品晋级及时提供培训;
(3)随着******外部业务的变化,可以依据详细业务的要求适当优化、修正原有系统,添加新的功用。
7.2.3测试支持
在系统装置完成后,为******外部提供完整的测试方案,停止片面的测试。
在系统经测试确认配置优化,系统运转正常后,方可停止系统签收。
7.3效劳方式
7.3.1软件晋级
●我公司经过Internet为我公司软件产品及时提供晋级等效劳;
●我公司可以经过其它介质为******外部网络平安提供软件更新;
●我公司可以经过电子邮件为******外部网络平安提供实时的软件更新。
7.3.2热线咨询
平安效果通常是复杂多变的,******外部网络在采用我公司的网络平安方案并平安产品之后,可以经过我公司提供的24小时热线(800-810-6038),向我们的平安专家停止咨询,平安专家将会从维护******外部网络技术可完成的角度为您提供满意的回答。
7.3.3紧急事情处置
在******外部网络发作紧急状况时,启动紧急救援方案,提供平安专家紧急出动效劳,平安专家将到现场,恢复系统正常任务,协助反省入侵来源,提供事故剖析报告和平安建议及效劳,为用户提供及时、片面的平安效果处置方案。
7.3.4
紧急效劳流程
流程说明:
1、在接到网络事情通报后,值班技术效劳人员立刻查询知识信息库,关于能处置的效果告之用户处置方法;
2、假定值班技术效劳人员不能立刻处置效果,须立刻通知值班担任人;
3、在通知值班担任人后,值班担任人将在该类效劳所规则的期限内做出照应,并联络用户停止应急效劳
4、关于不能独立处置的技术效果,将由值班担任人通知研发中心有关专家停止现场技术攻关,直到效果处置。
8培训
为了让客户更好地了解和运用启明星斗公司的平安技术和产品,高效维护网络的平安运转,我公司特为客户提供相应的技术培训。
详细培训内容涵盖:
∙网络平安的法律、法规
∙计算机网络平安基础
∙各个平安子系统的原理、功用及装置、调试、配置和运转维护
∙网络平安战略制定和管理制度的树立
9附件:
成功案例
启明星斗公司针对银行、证券、广电、电信、政府、军队等范围的不同需求特性,曾经构成了具有特征的网络平安行业处置方案,并为行业大客户提供片面的咨询设计和工程项目实施效劳,具有代表性的成功案例包括:
☐国度公安部
2000年6月和公安部第三研讨所等单位共同承当国度计委项目〝计算机信息系统平安维护等级评价认证体系〞;
2000年11月承当公安部〝拨号上网平安系统〞;
☐国度计委
1998年完成国度信息中心〝防火墙测试平台〞研发,并取得普遍好评;
☐国度经贸委
2001年5月〝天蘅安防网络防病毒系统〞被列入2001年国度重点新产品试产方案
☐信息产业部
2000年8月承当并担任实施信息产业部〝网络保证应急照应示范工程〞;
2000年9月承当并实施国度计算机网络与信息平安管理中心〝国度网络平安攻防技术实验室〞;
2000年12月承当国度计算机网络与信息平安管理中心〝平安资源管理平台〞和〝黑客身份认证与反攻击系统〞;
☐国度科技部
2000年4月完成科技部科技创新基金项目〝智能黑客身份认证与监测系统〞
2000年7月承当并担任实施国度863方案信息平安技术应急项目〝网络平安测评工具〞和〝网络静态防病毒系统〞;
2001年3月〝团体防火墙与PC机维护系统〞取得科技部创新基金支持项目;
2001年4月〝智能黑客监测预警系统〞被列入2001年国度级重点火炬方案项目;
☐政府
2000年8月承当并实施〝海淀数字园区〞平安保证系统;
2000年12月承当并实施上海219工程项目西方网、上海市初级人民法院网站监测与自动修复系统;
2001年7月承当并实施上海市纪委网络防病毒系统;
2001年8月承当并实施某大政府中心政务系统网络平安总集成项目;
2001年9月承当并实施上海市社会休息与保证局网站监测与自动修复系统;
☐银行
2000年8月承当一系列商业银行网络平安系统项目;
2000年12月成为中国人民银行唯逐一家防病毒、防黑客及破绽扫描两方面产品都入围的厂商;
2001年3月承当某银行北京分行网络防病毒处置方案;
2001年3月承当人行某分行入侵监测、破绽扫描系统项目;
2001年4月承当人行某分行入侵监测、破绽扫描系统项目;
☐电信
2001年10月承当中国电信IP网网络平安风险评价项目;
☐证券
2000年6月承当并实施〝国信证券网上买卖平安示范工程〞;
2001年8月承当并实施蔚深证券入侵检测和破绽扫描系统;
☐军队
2000年8月束缚军某部网络平安系统和模拟攻击系统;
☐ISP/ICP
2000年5月与首都信息开展签署ASP协议,担任保证首都电子商城网络平安并共同为其客户提供网络平安在线及现场效劳;
2000年7月中科院信息中心查询项目信息平安系统;
2000年7月承当中国社会开展互联网信息平安系统;
☐企业
2001年9月承接华能国电网络平安项目入侵检测与破绽扫描系统;
另外启明星斗公司鼎力展开与各行业系统集成商、产品代理商的严密协作,曾经成功实施的代表案例包括:
2001年8月中国兵器工业新技术推行研讨所网站监测与自动修复系统;
2001年8月浙江嘉兴市行政中心网络平安全体处置方案;
2001年8月华安证券网络防病毒系统;
2001年8月上海浦东新区宣传部网络防病毒系统;
2001年9月上海国度平安局网络入侵检测系统;
2002年3月湖南省政府经济信息中心网络入侵检测系统,破绽扫描系统;
2002年4月湖南省移动通讯公司入侵检测系统、网络防病毒系统,破绽扫描系统;
2002年5月湖南省国税局入侵检测系统;
2002年7月湖南省公安厅入侵检测系统、网络防病毒系统,破绽扫描系统;
2002年7月湖南省地税局入侵检测系统、破绽扫描系统。
2002年8月长沙大学入侵检测系统
2002年9月长沙市地税局入侵检测系统
2002年10月湖南省株洲列车电力机车厂入侵检测
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 方案 样板