網路安全設計方案

2021-12-25 06:10:59 字數 4502 閱讀 7581

窗體頂端

(1)網路要求有充分的安全措施,以保障網路服務的可用性和網路資訊的完整性。要把網路安全層,資訊伺服器安全層,資料庫安全層,資訊傳輸安全層作為乙個系統工程來考慮。

網路系統可靠性:為減少單點失效,要分析交換機和路由器應採用負荷或流量分擔方式,對伺服器、計費伺服器和db伺服器,www伺服器,分別採用的策略。說明對伺服器硬體、作業系統及應用軟體的安全執行保障、故障自動檢測/報警/排除的措施。

對業務系統可靠性,要求滿足實現對硬體的冗餘設計和對軟體可靠性的分析。

網路安全應包含:資料安全;

預防病毒;

網路安全層;

作業系統安全;

安全系統等;

(2)要求賣方提出完善的系統安全政策及其實施方案,其中至少覆蓋以下幾個方面:

l 對路由器、伺服器等的配置要求充分考慮安全因素

l 制定妥善的安全管理政策,例如口令管理、使用者帳號管理等。

l 在系統中安裝、設定安全工具。要求賣方詳細列出所提供的安全工具清單及說明。

l 制定對黑客入侵的防範策略。

l 對不同的業務設立不同的安全級別。

(3)賣方可提出自己建議的網路安全方案。

1.2 整體需求

l 安全解決方案應具有防火牆,入侵檢測,安全掃瞄三項基本功能。

l 針對idc網路管理部分和idc服務部分應提出不同的安全級別解決方案。

l 所有的idc安全產品要求廠家穩定的服務保障和技術支援隊伍。服務包括產品的定時公升級,培訓,入侵檢測,安全掃瞄系統報告分析以及對安全事故的快速響應。

l 安全產品應能與整合商方案的網管產品,路由,交換等網路裝置功能相容並有效整合。

l 所有的安全產品應具有公安部的銷售許可和國家資訊化辦公室的安全認證。

l 所有安全產品要求介面友好,易於安裝,配置和管理,並有詳盡的技術文件。

l 所有安全產品要求自身高度安全性和穩定性。

l 安全產品要求功能模組配置靈活,並具有良好的可擴充套件性。

1.3 防火牆部分的功能需求

l 網路特性:防火牆所能保護的網路型別應包括乙太網、快速乙太網、(千兆乙太網、atm、令牌環及fddi可選)。支援的最大lan介面數:軟、硬體防火牆應能提供至少4個埠。

l 伺服器平台:軟體防火牆所執行的作業系統平台應包括solaris2.5/2.6、linux、win nt4.0(hp-ux、ibm-aix、win 2000可選)。

l 加密特性:應提供加密功能,最好為基於硬體的加密。

l 認證型別:應具有乙個或多個認證方案,如radius、kerberos、tacacs/tacacs+、 口令方式、數字證書等。

l 訪問控制:包過濾防火牆應支援基於協議、埠、日期、源/目的ip和mac位址過濾;過濾規則應易於理解,易於編輯修改;同時應具備一致性檢測機制,防止衝突;在傳輸層、應用層(http、ftp、telnet、snmp、stmp、pop)提供**支援;支援網路位址轉換(nat)。

l 防禦功能:支援病毒掃瞄,提供內容過濾,能防禦ping of death,tcp syn floods及其它型別dos攻擊。

l 安全特性:支援**和跟蹤icmp協議(icmp **);提供入侵實時警告;提供實時入侵防範;識別/記錄/防止企圖進行ip位址欺騙。

l 管理功能:支援本地管理、遠端管理和集中管理;支援snmp監視和配置;負載均衡特性;支援容錯技術,如雙機熱備份、故障恢復,雙電源備份等。

l 記錄和報表功能:防火牆應該提供日誌資訊管理和儲存方法;防火牆應具有日誌的自動分析和掃瞄功能;防火牆應提供告警機制,在檢測到入侵網路以及裝置運轉異常情況時,通過告警來通知管理員採取必要的措施,包括e-mail、呼機、手機等;提供簡要報表(按照使用者id或ip 位址提供報表分類列印); 提供實時統計。

2 惠普公司在吉通上海idc中的網路安全管理的設計思想

2.1 網路資訊保安設計宗旨

惠普公司在為客戶idc專案的資訊保安提供建設和服務的宗旨可以表述為:

l 依據最新、最先進的國際資訊保安標準

l 採用國際上最先進的安全技術和安全產品

l 參照國際標準iso9000系列質量保證體系來規範惠普公司提供的資訊保安產品和服務

l 嚴格遵守中華人民共和國相關的法律和法規

2.2 網路資訊保安的目標

網路安全的最終目標是保護網路上資訊資源的安全,資訊保安具有以下特徵:

l 保密性:確保只有經過授權的人才能訪問資訊;

l 完整性:保護資訊和資訊的處理方法準確而完整;

l 可用性:確保經過授權的使用者在需要時可以訪問資訊並使用相關資訊資產。

資訊保安是通過實施一整套適當的控制措施實現的。控制措施包括策略、實踐、步驟、組織結構和軟體功能。必須建立起一整套的控制措施,確保滿足組織特定的安全目標。

2.3 網路資訊保安要素

惠普公司的資訊保安理念突出地表現在三個方面--安全策略、管理和技術。

l 安全策略--包括各種策略、法律法規、規章制度、技術標準、管理標準等,是資訊保安的最核心問題,是整個資訊保安建設的依據;

l 安全管理--主要是人員、組織和流程的管理,是實現資訊保安的落實手段;

l 安全技術--包含工具、產品和服務等,是實現資訊保安的有力保證。

根據上述三個方面,惠普公司可以為客戶提供的資訊保安完全解決方案不僅僅包含各種安全產品和技術,更重要的就是要建立乙個一致的資訊保安體系,也就是建立安全策略體系、安全管理體系和安全技術體系。

2.4 網路資訊保安標準與規範

在安全方案設計過程和方案的實施中,惠普公司將遵循和參照最新的、最權威的、最具有代表性的資訊保安標準。這些安全標準包括:

l iso/iec 17799 information technology–code of practice for information security management

l iso/iec 13335 information technology– guidelines for the management of it security

l iso/iec 15408 information technology– security techniques – evaluation criteria for it security

l 我國的國家標準gb、國家軍用標準gjb、公共安全行業標準ga、行業標準sj等標準作為本專案的參考標準。

2.5 網路資訊保安週期

任何網路的安全過程都是乙個不斷重複改進的迴圈過程,它主要包含風險管理、安全策略、方案設計、安全要素實施。這也是惠普公司倡導的網路資訊保安週期。

l 風險評估管理:對企業網路中的資產、威脅、漏洞等內容進行評估,獲取安全風險的客觀資料;

l 安全策略:指導企業進行安全行為的規範,明確資訊保安的尺度;

l 方案設計:參照風險評估結果,依據安全策略及網路實際的業務狀況,進行安全方案設計;

l 安全要素實施:包括方案設計中的安全產品及安全服務各項要素的有效執行。

l 安全管理與維護:按照安全策略以及安全方案進行日常的安全管理與維護,包括變更管理、事件管理、風險管理和配置管理。

l 安全意識培養:幫助企業培訓員工樹立必要的安全觀念。

3 吉通上海idc資訊系統安全產品解決方案

3.1 層次性安全需求分析和設計

網路安全方案必須架構在科學的安全體系和安全框架之上。安全框架是安全方案設計和分析的基礎。為了系統地描述和分析安全問題,本節將從系統層次結構的角度展開,分析吉通idc各個層次可能存在的安全漏洞和安全風險,並提出解決方案。

3.2 層次模型描述

針對吉通idc的情況,結合《吉通上海idc技術需求書》的要求,惠普公司把吉通上海idc的資訊系統安全劃分為六個層次,環境和硬體、網路層、作業系統、資料庫層、應用層及操作層。

3.2.1 環境和硬體

為保護計算機裝置、設施(含網路)以及其它**免遭**、水災、火災、有害氣體和其它環境事故(如電磁汙染等)破壞,應採取適當的保護措施、過程。詳細內容請參照機房建設部分的建議書。

3.2.2 網路層安全

3.2.2.1安全的網路拓撲結構

網路層是網路入侵者進攻資訊系統的渠道和通路。許多安全問題都集中體現在網路的安全方面。由於大型網路系統內執行的tpc/ip協議並非專為安全通訊而設計,所以網路系統存在大量安全隱患和威脅。

網路入侵者一般採用預攻擊探測、竊聽等蒐集資訊,然後利用 ip欺騙、重放或重演、拒絕服務攻擊(syn flood,ping flood等)、分布式拒絕服務攻擊、篡改、堆疊溢位等手段進行攻擊。

保證網路安全的首要問題就是要合理劃分網段,利用網路中間裝置的安全機制控制各網路間的訪問。在對吉通idc網路設計時,惠普公司已經考慮了網段的劃分的安全性問題。其中網路具體的拓撲結構好要根據吉通idc所提供的服務和客戶的具體要求做出最終設計。

3.2.2.2 網路掃瞄技術

解決網路層安全問題,首先要清楚網路中存在哪些安全隱患、脆弱點。面對大型網路的複雜性和不斷變化的情況,依靠網路管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現實的。解決的方案是,尋找一種能尋找網路安全漏洞、評估並提出修改建議的網路安全掃瞄工具。

解決方案:iss網路掃瞄器internet scanner

配置方法:在上海idc中使用一台高配置的膝上型電腦安裝internet scanner,定期對本idc進行全面的網路安全評估, 包括所有重要的伺服器、防火牆、路由裝置等。掃瞄的時間間隔請參照安全策略的要求。

公司網路安全設計方案

天津電子資訊職業技術學院 暨國家示範性軟體職業技術學院 實訓報告 實訓題目 網路安全管理 華城公司網路安全管理方案 姓名系別 專業班級 指導教師 實訓時間 2012年 6 月 4 日至 2012年 6 月 15 日 第一章需求分析 1.1 公司目標的需求 1.2 公司網路安全需求 1.3 需求分析 ...

企業網路安全綜合設計方案

企業網路安全 綜合設計方案 四川川大能士資訊保安 2002年3月 目錄1 企業網路分析 4 2 網路威脅 風險分析 5 2.1內部竊密和破壞 5 2.2 搭線 網路 竊聽 5 2.3 假冒 5 2.4 完整性破壞 5 2.5 其它網路的攻擊 5 2.6 管理及操作人員缺乏安全知識 6 2.7 雷擊 ...

《網路安全與防護》教學設計方案

網路安全與防護 課程設計 課程名稱 網路安全與防護 學時數 56學時 開課物件 計算機網路技術專業 開課單位 計算機網路技術教研室 二 一八年九月二十一日修訂 一 課程性質 網路安全與防護 是計算機網路技術專業學生的專業必修課。本課程旨在培養學生的網路安全需求分析能力 網路安全規劃設計能力 網路安全...