遼寧電視台網路系統安全
規劃方案
瀋陽榮信華科技****
二00五年五月
一、遼寧電視台當前網路與應用現狀分析3
二、遼寧電視台網路安全改造規劃7
三、遼寧電視台網路管理解決方案17
四、landesk客戶端管理解決方案24
(一)landesk管理套件主要功能及技術介紹25
1.1資產管理26
1.2 軟體分發28
1.3 遠端幫助31
1.4軟體許可監控32
1.5作業系統部署及配置遷移33
1.6補丁管理器34
(二)landesk管理套件的管理目標40
五、遼寧電視台現有伺服器安全改進分析42
六、遼寧電視台資料庫安全分析47
七、遼寧電視台網路系統改造所需裝置配置及實施規劃49
一、遼寧電視台當前網路現狀分析
遼寧電視台經過多年it建設,當前已經建立了規模化的計算機網路應用系統。網路中執行著新聞採編播系統、節目生產管理系統、固定資產管理系統、廣告管理系統、電子圖書館系統等各多種應用系統。在網路裝置方面,現有核心交換機passport 8610兩台,作分核心層交換裝置進行相互負載分擔及冗餘備份,其下通過雙鏈路連線各樓層交換機baystack 450-24t,實現鏈路冗餘備份。
其主要的網路裝置有nortel passport 8610核心交換機兩台,樓層交換機nortel baystack 450-24t三十臺左右,天融信防火牆 ngfw 4000,綠盟 nids,福信科技的非法外聯檢測系統等裝置,當前網路結構如下:
內部網採用vlan方式進行邏輯分割,採用天融信防火牆進行內外網的隔離。並且部署了入侵檢測,網路防病毒體系。建立了覆蓋各部門的計算機應用資訊系統。
經我公司對遼寧電視台網路應用系統的全面分析,結合半年來我公司對遼寧電視台it系統執行維護的經驗總結,遼寧電視台當前的網路應用系統,還存在許多不足之處,主要表現在以下幾個方面:
1. 網路整體安全效能不夠
網路內時常由於蠕蟲病毒爆發,造成網路阻塞,正常應用時斷時續。伺服器時而受到網路攻擊,曾經造成ftp伺服器的檔案丟失。
2. 網路的可管理性較差
遼寧電視台現有客戶端計算機800臺左右,計算機中心在客戶端計算機的日常維護中,需花費大量的人力與時間進行客戶機的日常維護管理工作。雖然在網路內部署了瑞星網路版防毒軟體,但由於當前計算機中心管理人員無法對客戶端機器進行全面控制,大量客戶端機器不安裝防毒軟體或曾經安裝但現在解除安裝或停用,計算機中心人員無法對客戶端計算機進行管理性控制,瑞星網路版防毒軟體未能起到應有的作用,造成蠕蟲病毒交叉感染、嚴重氾濫,嚴重影響了網路的正常應用。
同時,由於計算機裝置的更新和變化,對台內的計算機裝置的管理和統計經常處於一種無序及手工統計的狀態,當裝置更新頻繁時,原本的裝置管理記錄往往由於管理的滯後和對實際情況的掌握程度不夠無法及時更新,從而造成裝置管理的混亂;安全漏洞與日俱增,原有的手工安裝和分發公升級檔案包和補丁需要更多的人力資源,還會造成時間的遲滯,影響企業的執行效率,給企業帶來損失。非合法辦公軟體及其他軟體的使用,不但造成了生產效率的低下,也給企業的形象造成了極差的影響。
根據我公司在以往的網路維護當中,蠕蟲病毒爆發時,對遼寧電視台網路資料流量的取樣分析,下圖為某一客戶機在某一時刻向網路傳送資料報的情況。
在蠕蟲病毒爆發時,類似此台客戶機向網路內頻發大量資料報的機器數量很多,造成網路阻塞,正常應用時斷時續。發生此種情況為目前由於計算機中心對客戶機的控制能力較弱而引起,為改善此種情況的發生,首要問題是加強計算機中心對全部客戶機與整個網路系統的監視與控制能力。
3. 現有伺服器安全有待進一步提高
現在台內的伺服器應用主要有ftp伺服器、mail伺服器、web伺服器以及dns伺服器。在這裡我首先針對伺服器裝置所存在的問題、隱患進行分析:
1、現在的機房管理制度還不夠完善。一些非技術人員可以隨意進出機房,有可能導致伺服器端的直接故障。
2、現行機房規劃不夠完善。伺服器分布散亂,沒有固定標示,而且部分服務暫由pc機承擔, 導致服務的穩定性受到影響。
3、部分裝置老化。導致伺服器的效率低下,甚至已經影響到了伺服器的正常應用。
4、現行伺服器中,存在一些與伺服器應用無關的軟體、服務、協議,他們的存在會降低伺服器的安全性。
5、現行伺服器中,密碼口令規律性太強,且較容易被人掌握,需要進一步規範。
6、資料備份策略不完善。導致在資料受損時,不能及時挽回損失。
7、各個伺服器許可權劃分不規範,沒能仔細劃分使用者許可權。
8、各個伺服器在初始安裝以及使用過程**現問題,存在安全漏洞。
二、 遼寧電視台網路安全改造規劃
為改善遼寧電視台網路系統的整體安全效能,使遼寧電視台的網路系統應用水平進一步提高,需對遼寧電視台的網路系統進行全面的安全改造。
通過在企業中實施全面、有效、合理的安全措施將達到以下目標:
1、保護企業運營網的業務不間斷的正常運作。包括構成網路系統的所有設施、系統、以及系統所處理的資料(資訊)。
2、企業中的重要資訊在可控的範圍內傳播,即有效的控制資訊傳播的範圍,防止重要資訊洩露給企業外部的組織或人員,如當前的或潛在的競爭對手。
3、以有限的代價,提高企業為其客戶提供優於競爭對手的服務的能力,以獲得競爭優勢。
根據遼寧電視台網路系統的特點,對其網路安全策略的制定力圖達到乙個整體性的設計考慮。
由於網路資訊保安是乙個系統工程,任何乙個環節的安全漏洞都可能帶來全系統的不安全。因此為保證系統的全面安全,我們在網路系統中從系統多個層面入手,採用了多種有效的安全措施來實現網路系統安全。
網路安全結構模型
為簡化網路結構複雜度,方便問題的分析,我們將網路結構圖簡化為網路結構模組框架圖。簡化後的系統網路結構模組框架圖如下:
在上圖中,我們將使用者網路分為幾個模組:應用伺服器群、使用者工作站、內網裝置、邊界路由器(或防火牆)等,其中內網裝置包括內部各種網路交換機等。在遼寧電視台的網路環境中,伺服器主要為兩台sun 3500作為應用伺服器, ftp、www、dns等pc伺服器。
此伺服器部分應為網路安全的重點區域。
網路的安全是乙個動態的概念。網路的動態安全模型能夠提供給使用者更完整、更合理的安全機制,全網動態安全體系可由下面的公式概括:
網路安全=風險分析+制定策略+防禦系統+實時監測+實時響應+災難恢復
即:網路的安全是乙個「appdrr」的動態安全模型,如圖所示。
上圖的安全模型為網路建立了四道防線:安全保護是網路的第一道防線,能夠阻止對網路的入侵和危害;安全監測是網路的第二道防線,可以及時發現入侵和破壞;實時響應是網路的第三道防線,當攻擊發生時維持網路「打不垮」;恢復是第四道防線,使網路在遭受攻擊後能以最快的速度「起死回生」,最大程度上降低安全事件帶來的損失。
從安全體系的可實施、動態性角度,動態安全體系的設計充分考慮到風險評估、安全策略的制定、防禦系統、監控與檢測、響應與恢復等各個方面,並且考慮到各個部分之間的動態關係與依賴性。
進行風險評估和提出安全需求是制定網路安全策略的依據。風險分析(又稱風險評估、風險管理),是指確定網路資產的安全威脅和脆弱性、並估計可能由此造成的損失或影響的過程。風險分析有兩種基本方法:
定性分析和定量分析。在制定網路安全策略的時候,我們要從全域性進行考慮,基於風險分析的結果進行決策。採取科學的風險分析方法對公司的網路進行風險分析是非常關鍵的。
在確認了有關的安全要求的前提下,下一步應是制定及實施安全策略,來保證把風險控制在可接受的範圍之內。安全策略的制定,依據相關的國內外標準或行業標準進行設計。安全策略的制定,針對遼寧電視台的網路應用、安全環境、安全目標而量身定製,選擇合適的安全體系規劃網路的安全。
安全策略制定後,在與使用者技術人員進行充分的溝通確認後,進行全網安全策略的實施。包括在交換機上設定訪問控制列表(traffic filter), 防火牆策略的調整、入侵檢測ids策略的調整等。
經過我公司對遼寧電視台當前網路安全系統的充分分析論證,提出的網路安全整體規劃結構如下:
下面,基於網路安全系統中各個方面,分析系統的安全風險並提出安全規劃建議。
(一)內網伺服器區域
內網伺服器區域的當前網路連線情況如下所示:
小型機sun 3500及所有pc伺服器都直接連在核心交換機passport 8610上,網內的所有客戶機都可不限許可權的對伺服器進行訪問。伺服器區域與內網客戶機沒有進行安全隔離,存在較大的安全隱患。內網蠕蟲病毒爆發,也同時對伺服器區域造成較大的安全威脅。
我們建議對伺服器區域進行安全隔離,規劃後的網路結構如下:
內網區域訪問伺服器需經過防火牆認證控制,同時,由於防病毒閘道器的隔離,內網的病毒也無法感染伺服器區域,極大的提高了伺服器區域的安全性。當前,遼寧電視台內的其他部門還有應用伺服器放置在本部門內,沒有在計算機中心統一管理。經網路安全改造後,由於伺服器區域安全效能的極大提高,此部分伺服器可統一放置於計算機中心的伺服器區域,提高了訪問的安全性,同時方便統一管理,對以前伺服器的正常應用不會造成任何影響。
(二)dmz區域
原dmz區域的網路連線情況如下所示:
防火牆連線只在主核心交換機上,其dmz介面連線dmz區域交換機,伺服器連線在dmz交換機上。
規劃後的網路結構如下:
採用兩台防火牆進行熱備配置,分別連線兩台核心交換機。裝置及鏈路都進行了冗餘配置,提高了網路的健壯性。
(三)internet連線
當前連線情況:
防火牆經外網交換機接入internet。此區域當前存在一定的安全隱患:首先,防火牆作為企業接入internet的出口,占有及其重要的作用,一旦此防火牆出現故障或防火牆與主交換機連線鏈路出現問題,都會造成全台與internet失去連線;其次,當前的防火牆無法對進入網路的病毒進行有效的攔截。
XX公司網路安全解決方案
目錄1.公司網路安全現狀及需求 1 2.目前重點需要解決的問題 1 3.解決方案 3 3.1.ssl vpn安全解決方案 3 3.2.文件安全管理系統安全解決方案 5 3.3.終端管理系統安全解決方案 8 1.公司網路安全現狀及需求 xx公司是面向xx領域的公司,公司與下屬各個單位有很深的業務關係,...
天融信網路安全准入解決方案
安全挑戰 計算機終端是使用者辦公和處理業務最重要的工具,對計算機終端的准入管理,可以有效地提高辦公效率 減少資訊保安隱患 提公升網路安全,從而為使用者創造更多的業務價值。但目前,大部分終端處於鬆散化的管理,主要存在以下問題 接入終端的身份認證,是否為合法使用者接入 工作計算機終端的狀態問題如下 作業...
網路安全整體解決方案設計
目錄第1章需求分析 4 1.1實施背景 4 1.2 網路安全需求 4 1.2.1 防範非法使用者非法訪問 4 1.2.2 防範合法使用者非授權訪問 4 1.2.3 防範假冒合法使用者非法訪問 4 1.2 應用安全需求 4 第2章設計原則 5 2.1 先進性與成熟性 5 2.2實用性與經濟性 5 2....