網絡安全規劃方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全規劃方案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全規劃方案范文第1篇
1、網絡現狀
揚州Z校擁有多個互聯網出口線路,分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境,網絡核心區是思科7609的雙核心交換機組,確保了Z校校園骨干網絡的可用性與高冗余性;數據中心是由直連在核心交換機上的眾多服務器組成;終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外,還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模,校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。
2、安全威脅分析
目前,Z校網絡安全保障能力雖然初具規模,但是,在信息安全建設方面仍然面臨諸多的問題,如,網絡中缺乏網管與安管系統、對網絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態,風險管理全憑感覺等等,以上種種問題表明,Z校需要對網絡安全進行一次全面的規劃,以便在今后的網絡安全工作中,建立一套有序、高效和完善的網絡安全體系。
2.1安全設備現狀
Z校部署的網絡安全防護設備較少。在校區的互聯網出口處,部署了一臺山石防火墻,在WEB服務器群前面部署了一臺WEB應用防火墻。
2.2外部網絡安全威脅
互聯網出現的網絡威脅種類繁多,外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的,對內網中的各種網絡設備發起攻擊,網絡中雖然有一些基礎的防護,但是,黑客們只要找到漏洞,就會利用內網用戶作跳板進行攻擊,最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。
2.3內部網絡安全威脅
內部惡意入侵的主體是學生,還有一些網絡安全意識薄弱的教職工。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件,照成網絡堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩定性,提高網絡的服務能力為出發點,Z校在安全改造實施中,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網絡出口與CERNET、Internet互聯,選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源,提升網絡訪問速度,最大化保障校園網內部用戶的網絡使用滿意度,同時又要合理節約鏈路成本,均衡使用各互聯網出口鏈路,是網絡安全建設的首要需求。2)實現關鍵設備的冗余性:互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備,均以NAT模式或者路由模式部署,承載了整個校園網的業務處理,任何一個設備出現問題將直接導致業務不能夠連續運行,無任何備份措施,只能替換或者跳過出故障的設備,且只能以手工方式完成切換,無論從響應的及時性,還是從保障業務連續性的角度,都存在很大的延遲,為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設備數量較多,需要對所有安全設備進行統一日志收集、查詢工作,傳統單臺操作單臺部署的方式運維效率低下,所以需要專業集中監控、配置、管理的安全設備,統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。
4、解決方案
網絡安全建設是一個長期的項目,不可能一蹴而就,一步到位,網絡安全過程建設中,在利用學校原有設備的基礎上,在資金、技術成熟的條件下,逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。
4.1短期網絡建設規劃
4.1.1短期部署規劃以安全區域的劃分為設計主線,從安全的角度分析各業務系統可能存在的安全隱患,根據應用系統的特點和安全評估是數據,劃分不同安全等級的區域[3]。通過安全區域的劃分,明確網絡邊界,形成清晰、簡潔的網絡架構,實現各業務系統之間嚴格的訪問安全互聯,有效的實現網絡之間,各業務系統之間的隔離和訪問控制。本次短期網絡建設,把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2,從圖2可以看出,出口區域,互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設備,實現雙機冗余部署。同理,原城市熱點認證網關和行為管理設備需要再各補充一臺,組成雙機冗余方案。安全管理區域根據學校預算,部署幾臺安全設備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設備(IDS),實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量,防止在出現攻擊后無數據可查;再部署一臺漏洞掃描設備,對網絡內部的設備進行漏洞掃描,找出存在的安全漏洞,根據漏洞掃描報告與安全預警通告,制定安全加固實施方案,以保證各系統功能的正常性和堅固性;最后,部署一臺安全審計設備(SAS),實時監控網絡環境中的網絡行為、通信內容,實現對網絡信息數據的監控。服務器集群區域,除了原有的WEB防火墻外,再部署一臺入侵防護設備(IPS),攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機[4]。
4.2長期網絡建設規劃
網絡安全的防護是動態的、整體的,病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域,不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統,需要建立一套全方位的,從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前,網絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程,建立一個科學的安全體系和模型,再根據安全體系和模型來分析網絡中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手,建立統一的安全保障體系。組織體系著眼于人員的組織架構,包括崗位設置、人員錄用、離崗、考核等[5];技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等;管理體系側重于制度的梳理,包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎,以管理體系為保障,以技術體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系,全方位、多層次滿足安全需求。
5、結語
從整個信息化安全體系來說,安全是技術與管理的一個有機整體,僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題,是從設備到人,從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題,每一個環節,都是邁向網絡安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網絡安全建設和改造有參考價值。
參考文獻:
[1]王霞.數字化校園中網絡與信息安全問題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網絡安全防護系統設計與實現[D].成都:電子科技大學,2011.11:2-3
[3]徐奇.校園網的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學,2009.5:1-4
[4]張旭輝.某民辦高校網絡信息安全方案的設計與實現[D].西安:西安電子科技大學,2015.10:16-17
[5]陳堅.高校校園網網絡安全問題分析及解決方案設計[D]長春:長春工業大學,2016.3:23-31
網絡安全規劃方案范文第2篇
關鍵詞:電信;網絡安全;技術防護
從20世紀90年代至今,我國電信行業取得了跨越式發展,電信固定網和移動網的規模均居世界第一,網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面,和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作,是一項重要的工作。筆者結合工作實際,就電信網絡安全及防護工作做了一些思考。
1 電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2 電信網絡安全面臨的形勢及問題
2.1 互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2 新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3 運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4 相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3 電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1 發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2 網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3 網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4 主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5 系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
參考文獻
網絡安全規劃方案范文第3篇
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
網絡安全規劃方案范文第4篇
關鍵詞:企業局域網;安全風險;分析;方案設計規劃;討論
中圖分類號:TP393.1
建立企業風險意識,做好網絡安全防范預測,成為了企業風險管理中的一項重要內容。防火墻、漏洞掃描、防病毒、入侵檢測等維護網絡安全的軟件,有效地提高網絡信息的安全性。隨著網絡與信息技術應用的范圍不斷擴大,各種形式的服務被展開,各種的網絡安全問題也隨之出現了。為了確保企業局域網信息能夠在網絡上進行有效傳播,并且免受網絡黑客的攻擊,可以加筑安全屏障在企業的局域信息網。為了維護局域網絡信息系統的安全性,采用防火墻技術與入侵檢測系統相結合的防護技術,使網絡的安全防御能力大大地提高了,實現了維護網絡系統的安全運營。對企業的局域網絡系統進行風險分析,并根據實際的需要進行合理地規劃設計,是非常必要的。
1 企業局域網系統安全風險分析
企業局域網系統普遍存在的安全風險包括有網絡安全的物理風險和網絡平臺的安全風險。
1.1 網絡安全的物理風險
網絡安全的物理風險一般是建立網絡的硬件設施很容易出現故障。除了一些自然因素,如火災、水災、地震等所造成的故障之外,主要還是諸如由于不當操作而造成的設備損壞或者是設備丟失以及線路被劫等等的人為因素影響。對于性能較高的硬件配置,主要體現在雙機設計、報警系統、機房的內部環境的安全性上。
1.2 網絡平臺的安全風險
網絡平臺的安全風險主要體現服務器的風險和整體結構與路由的風險。
(1)服務器風險。作為企業信息的平臺,局域網的服務器一旦受到攻擊,就容易導致整個網絡的癱瘓。網絡管理人員就有其需要對網絡節點提高警惕,因為這里是黑客試圖闖入的關鍵。
(2)網絡的整體結構與路由風險。企業局域網絡系統的建立是非常簡單的,只要一臺路由器,加之一些輔助設備,就可以將局域網絡系統建立起來。因此,很容易出現安全問題。
2 網絡安全的總體設計原則
2.1 網絡安全設計方案需要遵循的原則
(1)綜合規劃原則。計算機的網絡結構主要包括數據、軟件、設備等等,那么,在對網絡工程系統進行安全設計的時候,就需要從整體角度出發對設計方案進行制定,并根據專業的需要分析、修改。
從管理的角度來看,網絡安全的設計上,要符合有關的法律法規已經相應的管理制度;在專業技術上,采取多種方法向融合的措施,以獲得最可行、最有效的方案。
(2)平衡一致的原則。使用局域網絡,其可以帶來諸多的便利的同時,用戶也要承擔了一定的風險。通過對網絡的實際功能進行研究,在設計安全策略之前,要對網絡的結構、性能等進行必要的分析,使其與網絡安全的需求保持一致。不但可以提高網絡的運行效率,而且還會降低資金投入成本。
(3)多重保護,分步實施。為了防止系統在黑客的攻擊下,受到破壞。建立起多重保護網絡的系統,可以加大安全防護系數,以各層保護之間的互補,實現保護系統信息的安全。
鑒于網絡系統實際應用范圍的不斷擴展,網絡規模也在不斷加大,這就導致網絡更加脆弱。網絡安全問題不能一次性的解決,并且在使用安全措施時,需要支出一定的費用,針對這一問題,可以采用分步實施的凡是來滿足網絡安全的需求,也能夠盡量節省開支。
2.2 安全技術、服務、機制
(1)安全技術。在開放的環境下,用戶可以使用病毒預防技術、防火墻技術等等。
(2)安全服務、機制。安全服務中,除了包括可靠服務、認證對象服務之外,必要的控制服務也是非常很總要的。相應地,也將認證機制以及控制訪問機制建立了起來。
3 企業局域網系統安全設計規劃
建立防火墻和入侵檢測系統,成為了企業局域網絡系統安全設計的規劃方案。
3.1 防火墻技術
應用防火墻,可以保證信息安全。防火墻技術的功能就是阻攔一些不被允許的垃圾信息,因為這些信息容易對網絡造成干擾,有效組織可以避免出現信息上的濫竽充數。可見,防火墻的目的就是對網絡之間的通信進行控制。
防火墻其實就是一種軟件或者是硬件設備的組合,將其安裝在企業信息網絡與Internet之間,可以在網絡信息相互傳送的過程中實現保護系統安全的作用。在兩個信任程度不同的網絡之間安裝適當的防火墻,可以防止重要的信息資源被非法存取和訪問。
3.2 入侵檢測系統
防火墻的作用是采用強制的方式,攔截不符合局域網絡要求的信息。那么,在企業的局域網絡信息系統中安裝入侵檢測系統,不但可以實現防火墻的黑客堵截功能,而且,還會對局域網絡內部的攻擊性信息進行監督。對于沒有被授權瀏覽的信息,依然會采取相應的干擾措施。
入侵檢測系統與防火墻相比,更具有優越性。作為一種動態的安全技術,其可以對計算機網絡以及計算機系統中風險系數比較高的關鍵點信息進行收集,并對這些信息進行技術分析和檢測。通過對于檢測記錄進行匯總,就可以從中判斷出一些信息所呈現出來的違反安全策略的行為。此時,入侵檢測系統就會啟動報警系統,同時阻撓不良信息的侵入。
3.3 建立入侵檢測系統與防火墻相結合的安全防護體系
將防火墻系統和入侵檢測系統充分地結合起來,可以達到加強網絡安全系統防護墻的作用。
具體操作上,首先要安裝防火墻系統,以使外部的入侵信息被過濾在局域網之外,從而達到基本的防護作用,此為企業局域網絡防止黑客入侵的第一道防線。之后,將入侵檢測系統進行安裝,形成防止黑客入侵的第二道防線。一旦有不良信息闖過防火墻,遇到了入侵檢測系統后,就會降低對信息網絡干擾力。而入侵檢測系統可以對黑客進行有效檢測,并啟動報警系統。這樣安裝系統防御設備,既可以降低保護局域網系統的風險系數,也可以將其工作負載降低。
3.4 防火墻系統和入侵檢測系統的組合安裝方式
防火墻系統和入侵檢測系統的組合安裝方式包括有兩種,一種是將入侵檢測系統嵌入到防火墻中;另一種是將防火墻或者入侵檢測系統開放一個接口,將兩者進行外部連接。
采用入侵檢測系統嵌入的方式,其數據并不是來源于數據包,而是流經防火墻的數據流;使用接口進行外部聯結的方式,則具有靈活性的優勢。很顯然,兩者不是簡單的疊加,而是技術性的組合。
4 總結
綜上所述,網絡信息的安全問題已經成為一種社會問題,如果不及時將局域網系統產生的安全問題分析。解決,那么對企業來說將是巨大的威脅。由于網絡安全一直處在不斷變化與動態發展的過程中,因此我們要及時掌握網絡變化的第一手資料,對現階段存在的各類病毒全面了解,以便制定出有效的防范措施,將網絡風險問題降到最低。
參考文獻:
[1]張麗肖,劉勁松,李超,柴文磊,李清霞.企業局域網系統安全的風險分析及設計規劃探討[J].信息與電腦(理論版),2011,16(08):218-221.
[2]劉亞麗,鄧高峰,郝卓,俞能海.企業局域網ARP攻擊原理分析及防御措施[J].計算機安全,2011,23(07):264-266.
網絡安全規劃方案范文第5篇
結合我校實際,本專業培養具有較扎實的數理和計算機科學理論基礎,掌握網絡工程中近代通信網絡的基本理論及網絡工程的實用技術,了解網絡協議體系、網絡互聯技術,具備網絡規劃、設計與實現以及網絡程序設計開發能力,能從事網絡工程設計與管理、網絡應用開發、網絡安全與維護等工作,具有網絡軟件開發和較強網絡工程實踐能力的“復合型”高級技術人才。學生畢業后適合在政府部門、大中型企業、高等院校、部隊、研究機構、金融保險業、獨資與合資等生產、建設、管理、服務第一線單位從事科研、開發、應用、管理工作以及計算機網絡軟硬件開發、系統集成、網絡的設計、應用、維護和管理工作。
網絡工程專業人才培養體系的構建
打通了信息類6門主干課程,本著“寬口徑、重基礎”的原則,打通了數字電子技術、模擬電子技術、電路分析基礎、微機原理與接口技術、計算機網絡、C語言程序設計六門主干專業課程。同時考慮到本專業同時具有計算機和通信的特點,在學科基礎課程中還增設了《離散數學》和《現代通信技術》兩門相關的專業的理論課程,以加強學生的理論基礎。此外,在選修課程設置方面,考慮到與《網絡工程》專業對應的碩士點是在計算機學科,為滿足部分同學考研的需要,將《計算機組成原理》和《編譯原理》等課程列為選修課,以方便學生應考。
對于網絡工程專業,劃分專業方向,針對性的開設相關課程,進行特色培養是目前普遍采用的方法[1,3]。根據我校的實際,確定了網絡工程設計、網絡應用開發、網絡安全與維護三個基本方向。除我院的有關實驗室外,我校的網絡中心能為網絡工程設計和網絡安全與維護方向的人才培養提供相應的指導與實踐環境。2.2.1網絡工程設計主要能從事網絡工程的規劃與設計,為突出人才培養的特色,結合架設網絡工程的實際需要,加強實用性,開設了《組網工程》、《TCP/IP協議體系》、《網絡設計與規劃》《通信防護技術》,《網絡綜合布線》,《無線網絡技術》等實用性較強的課程。
隨著網絡的普及,各種基于網絡的應用程序越來越受到歡迎,需要大量的網絡應用開發人才。本方案中除了開設了《web技術》、《網絡通信編程技術》、《Java應用程序開發》等基礎課程外,還增設了《中小型機應用及開發》、《移動編程技術》、《嵌入式系統》、《網絡數據庫編程》等特色課程,涉及到網絡應用程序開發的幾個主要方面。人們對網絡的安全問題越來越重視,網絡安全與維護方面的人才具有較大的市場需求。為滿足此方面人才的需要,開設了《網絡安全技術》、《網絡管理與維護技術》、《網絡故障分析》、《反病毒與防火墻技術》、《入侵檢測技術》等課程。網絡工程專業與其它專業有一個很大的不同,與網絡工程相關的計算機水平認證考試有許多,為提高學生的就業競爭力,除了在課程教學內容方面增加與水平認證相關的教學內容外,在實踐環節設置中還引入了以水平認證為導向的教學實踐模式。即結合各種水平認證,有針對性的安排實習內容,以便為考取相關證書服務。
