【文章內(nèi)容簡(jiǎn)介】 由于意外(硬件問題或軟件崩潰)而導(dǎo)致不可恢復(fù)，也是需要考慮的安全問題。n 電子郵件系統(tǒng)的安全風(fēng)險(xiǎn)內(nèi)部網(wǎng)用戶可通過拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來不安全因至素。n 病毒侵害的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害第二章**集團(tuán)企業(yè)信息化現(xiàn)狀的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。 管理的安全分析管理方面的安全隱患包括:1. 內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡(jiǎn)單，導(dǎo)致很容易破解。2. 內(nèi)部管理人員或員工責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。3. 內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。4. 機(jī)房重地卻是任何人都可以進(jìn)進(jìn)出出，來去自由。存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。5. 內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險(xiǎn)。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上下功夫外，還得依靠安全管理來實(shí)現(xiàn)。 性能需求由于安全控制的原理和特點(diǎn)，加上了安全的防護(hù)手段之后，多多少少會(huì)對(duì)網(wǎng)絡(luò)和系統(tǒng)帶來性能的影響。因此，我們?cè)谶M(jìn)行安全設(shè)計(jì)和選擇安全產(chǎn)品時(shí)，必須將對(duì)網(wǎng)絡(luò)和系統(tǒng)的性能的影響的考慮放在重要的位置 安全管理策略網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)之一就是構(gòu)成企業(yè)總體信息安全方案的綜合策略。第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 安全管理策略安全管理貫穿在安全的各個(gè)層次實(shí)施。從全局管理角度來看，我們制訂了全局的安全管理策略。從技術(shù)管理角度來看，實(shí)現(xiàn)安全的配置和管理。從人員管理角度來看，實(shí)現(xiàn)統(tǒng)一的用戶角色劃分策略，制定一系列的管理規(guī)范。從資源管理角度來看，實(shí)現(xiàn)資源的統(tǒng)一配置和管理。**集團(tuán)網(wǎng)絡(luò)的安全管理策略是保證網(wǎng)絡(luò)安全的核心。安全管理策略的實(shí)施需要工作人員和領(lǐng)導(dǎo)的支持。一個(gè)良好的安全管理策略應(yīng)包括如下內(nèi)容:l 計(jì)算機(jī)技術(shù)購買指南:該指南中應(yīng)指明哪些安全特征是必須的。該指南可作為企業(yè)購買產(chǎn)品的參考之一。l 隱私政策:制定監(jiān)控電子郵件、記錄鍵盤敲擊及訪問用戶文件的可接受的隱私程度。l 訪問政策:制定用戶、操作人員及管理人員的訪問權(quán)限，用來保護(hù)資產(chǎn)不被盜用。該政策應(yīng)提供外部連接、數(shù)據(jù)通訊、連接設(shè)備到網(wǎng)絡(luò)、增加新軟件到系統(tǒng)等操作指南，同時(shí)也應(yīng)包括通知信息(例如連接后應(yīng)提示合法使用的說明，而不僅僅顯示“歡迎，’)。l 責(zé)任政策:指出用戶、操作人員及管理人員的職責(zé)。該政策應(yīng)包括審計(jì)功能，以及處理安全事件的程序指南(即檢測(cè)到可疑事件發(fā)生后，應(yīng)找誰負(fù)責(zé)等問題的處理步驟)。l 認(rèn)證政策:通過有效的口令政策，在計(jì)算機(jī)之間建立信任關(guān)系。該政策應(yīng)包括遠(yuǎn)程訪問的認(rèn)證指南及認(rèn)證設(shè)備(如一次性口令及生成這些口令的設(shè)備)的使用說明。l 可用性聲明:使用戶對(duì)系統(tǒng)的可用性有所了解。如果系統(tǒng)被入侵，用戶根據(jù)這個(gè)聲明所述，就可以知道系統(tǒng)在多長(zhǎng)時(shí)間內(nèi)可以恢復(fù)。聲明應(yīng)提及冗余及恢復(fù)的解決方法，列出操作時(shí)間及因維護(hù)而造成的停機(jī)時(shí)間，以及網(wǎng)絡(luò)發(fā)生故障時(shí)的負(fù)責(zé)人是誰。l 信息技術(shù)系統(tǒng)及網(wǎng)絡(luò)維護(hù)政策:說明內(nèi)部及外部的維修人員如何處理訪問技術(shù)。該政策其中一項(xiàng)重要說明是講述企業(yè)是否允許進(jìn)行遠(yuǎn)程操作，以及對(duì)這類訪問的控制方法；l 違規(guī)報(bào)告政策:指明哪類違規(guī)行為應(yīng)該報(bào)告(例如個(gè)人隱私及安全、內(nèi)部及外部)以及向誰報(bào)告。輕松的氣氛或采用匿名報(bào)告的方式可以鼓勵(lì)員工報(bào)告違規(guī)行為。該政策還應(yīng)包括企業(yè)發(fā)生安全事故后應(yīng)對(duì)外界詢問的指南，及指明企業(yè)信息的保密程度，即哪些信息不應(yīng)向外界披露。 訪問控制策略訪問控制的目的是控制信息的訪問。訪問控制是對(duì)用戶進(jìn)行文件和數(shù)據(jù)操作權(quán)限的限制，主要防范用戶的越權(quán)訪問。訪問控制策略應(yīng)按照業(yè)務(wù)及安全要求控制信息及業(yè)務(wù)程序的訪問，訪問控制策略應(yīng)包括以下內(nèi)容:l 每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求。l 確認(rèn)所有與業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的信息。l 信息發(fā)布及授權(quán)的策略，例如:安全級(jí)別及原則，以及信息分類的需要。l 不同系統(tǒng)及網(wǎng)絡(luò)之間的訪問控制及信息分類策略的一致性。l 關(guān)于保護(hù)訪問數(shù)據(jù)或服務(wù)的相關(guān)法律或任何合同規(guī)定。l 一般作業(yè)類的標(biāo)準(zhǔn)用戶訪問配置。l 在分布式及互聯(lián)的環(huán)境中，管理所有類別的連接的訪問權(quán)限。網(wǎng)絡(luò)訪問控制用于控制內(nèi)部及外部聯(lián)網(wǎng)服務(wù)的訪問，以確?？梢栽L問網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶不會(huì)破壞這些網(wǎng)絡(luò)服務(wù)的安全。不安全地連接到網(wǎng)絡(luò)服務(wù)會(huì)影響整個(gè)機(jī)構(gòu)的安全，所以，只能讓用戶直接訪問己明確授權(quán)使用的服務(wù)。這種安全控制對(duì)連接敏感或重要業(yè)務(wù)的網(wǎng)絡(luò)，或連接到在高風(fēng)險(xiǎn)地方(例如不在安全管理及控制范圍的公用或外部地方)的用戶尤其重要。**集團(tuán)網(wǎng)絡(luò)應(yīng)根據(jù)信息密級(jí)和信息重要性劃分安全域，在安全域與非安全域之間用安全保密設(shè)備進(jìn)行隔離和訪問控制。在同一安全域中，根據(jù)信息的密級(jí)和信息重要性進(jìn)行分割和訪問控制。通常將**集團(tuán)網(wǎng)絡(luò)重要服務(wù)器所在的子網(wǎng)和重要的工作子網(wǎng)分別劃分為單獨(dú)的安全域。當(dāng)局域與遠(yuǎn)程網(wǎng)絡(luò)連接時(shí)，通常在局域網(wǎng)與遠(yuǎn)程網(wǎng)絡(luò)之間的接口處配置安全保密產(chǎn)品。(如防火墻、保密網(wǎng)關(guān)等)進(jìn)行網(wǎng)絡(luò)邊界安全保護(hù)，第二章**集團(tuán)企業(yè)信息化現(xiàn)狀并采取數(shù)據(jù)加密設(shè)備(如DDN機(jī)密機(jī)、PSTN加密機(jī)等)保證信息遠(yuǎn)程傳輸?shù)陌踩?網(wǎng)絡(luò)安全監(jiān)控與入侵檢測(cè)策略網(wǎng)絡(luò)安全監(jiān)控可以測(cè)試企業(yè)所實(shí)施的安全控制是否有效。同時(shí)，安全監(jiān)控是檢測(cè)系統(tǒng)及網(wǎng)絡(luò)是否有可疑或不正常的通訊的有效辦法。這個(gè)步驟用于檢測(cè)網(wǎng)絡(luò)的潛在漏洞或非授權(quán)行為，同時(shí)，它可以提醒管理人員網(wǎng)絡(luò)現(xiàn)有的安全隱患及應(yīng)采取什么樣的防護(hù)措施。一旦企業(yè)系統(tǒng)發(fā)生安全事故，管理人員應(yīng)依據(jù)監(jiān)控系統(tǒng)所提供的警示，采取必要的步驟，在最短的時(shí)間恢復(fù)系統(tǒng)，以減少企業(yè)的損失。入侵監(jiān)控是對(duì)入侵行為的檢測(cè)和控制。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)，它可在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。我們通過在**集團(tuán)網(wǎng)絡(luò)的關(guān)鍵環(huán)節(jié)放置入侵檢測(cè)產(chǎn)品，它監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的運(yùn)行，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報(bào)警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。同時(shí)，記錄受到攻擊的過程，為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來源提供基本數(shù)據(jù)。并把這些信息集中報(bào)告給數(shù)據(jù)中心的集中管理控制臺(tái)。 漏洞掃描與風(fēng)險(xiǎn)評(píng)估策略從信息安全的角度看，漏洞掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對(duì)象，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，從而為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，漏洞掃描工具具有花費(fèi)低、效果好、見效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)對(duì)立、安裝運(yùn)行簡(jiǎn)單等特點(diǎn)。在功能上，安全掃描工具可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。 計(jì)算機(jī)病毒防治策略由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。我們都知道，網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)大多為W工NDOWS系統(tǒng)，比較容易感染病毒。因此計(jì)算第二章**集團(tuán)企業(yè)信息化現(xiàn)狀機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考慮的重要的環(huán)節(jié)之一。我們從預(yù)防病毒、檢測(cè)病毒和殺毒考慮網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。 安全審計(jì)策略安全審計(jì)有助于對(duì)入侵進(jìn)行評(píng)估，是提高安全性的重要工具。審計(jì)信息對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況發(fā)生，以及確定問題和攻擊源都非常重要。通過對(duì)安全事件的不斷收集與積累并且加以分析，可以為發(fā)現(xiàn)可能的破壞性行為提供有力的證據(jù)。 備份與恢復(fù)策略主要設(shè)備、軟件、數(shù)據(jù)、電源等都應(yīng)有備份，并有技術(shù)措施和組織措施能夠在較短時(shí)間內(nèi)恢復(fù)系統(tǒng)運(yùn)行。如果日常工作對(duì)涉密系統(tǒng)的依賴性特別強(qiáng)，則建立遠(yuǎn)程的應(yīng)急處理和災(zāi)難恢復(fù)中心。我們考慮的備份主要包括數(shù)據(jù)備份、服務(wù)器備份、線路備份等幾個(gè)方面。 實(shí)時(shí)響應(yīng)和恢復(fù)策略我國的許多企業(yè)單位對(duì)防范天災(zāi)人禍有一套成型的體系，對(duì)于網(wǎng)絡(luò)安全的災(zāi)難事件卻通常會(huì)手足無措。為此，制定一套完整、可行的事件救援及災(zāi)難恢復(fù)的計(jì)劃對(duì)于企業(yè)來說是非常重要的。災(zāi)難恢復(fù)的步驟應(yīng)包括測(cè)試救援程序的有效性(是否對(duì)可疑的通訊及事故作出反應(yīng))、在事故發(fā)生后，企業(yè)如何分析事故的發(fā)生過程、程序如何迅速恢復(fù)、如何減少企業(yè)的損失等。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案3 **集團(tuán)企業(yè)信息化及安全整體解決方案 **企業(yè)信息規(guī)劃總體方案 系統(tǒng)設(shè)計(jì)原則及進(jìn)度安排**集團(tuán)的整體網(wǎng)絡(luò)在設(shè)計(jì)中遵循以下原則:l 良好的擴(kuò)展能力:包括業(yè)務(wù)網(wǎng)點(diǎn)的擴(kuò)展、業(yè)務(wù)量和業(yè)務(wù)種類的擴(kuò)展。l 高度的安全性。能防止網(wǎng)絡(luò)的非法訪問，保護(hù)關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄露。使數(shù)據(jù)具有極高的可靠性。l 高度的可靠性，網(wǎng)絡(luò)在連接失敗時(shí)能有遷回路由，并有效地消除單點(diǎn)失效的隱患。l 可升級(jí)性:改造后的網(wǎng)絡(luò)在向更新的技術(shù)升級(jí)時(shí)，能保護(hù)現(xiàn)有的投資。根據(jù)**信息化IT規(guī)劃總體架構(gòu)及**目前IT系統(tǒng)現(xiàn)狀， **集團(tuán)網(wǎng)絡(luò)拓?fù)鋱D以下為**集團(tuán)整體網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D:網(wǎng)絡(luò)拓?fù)鋱D **集團(tuán)整體網(wǎng)絡(luò)概述**集團(tuán)公司網(wǎng)絡(luò)整體從安全、穩(wěn)定、高速和服務(wù)質(zhì)量(QoS)方面考慮，采用CNZ電路與SitetoSiteVPN結(jié)合的方式組網(wǎng)。各分公司通過劃分VPN來實(shí)現(xiàn)與總公司連接。在分公司和省公司都部署相應(yīng)的PE設(shè)備。**集團(tuán)公司網(wǎng)絡(luò)采用雙線路備份，通過采用 CNZMPLSvPN做為與集團(tuán)公司和地市實(shí)業(yè)分公司的首選網(wǎng)絡(luò)連接，采用 InternetVPN做為備用線路連接集團(tuán)公司和地市實(shí)業(yè)分公司。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案服務(wù)器端使用兩塊網(wǎng)卡橋接，對(duì)外使用網(wǎng)絡(luò)橋連接網(wǎng)絡(luò)設(shè)備，首先通過二層交換機(jī)接入到主備用ASA555O防火墻，由防火墻控制所有用戶的訪問權(quán)限，關(guān)閉非使用端口，開啟服務(wù)器所承載以、財(cái)務(wù)、人力應(yīng)用服務(wù)需要使用的端口。在此道防火墻建立D棍區(qū)，連接省電信公司收發(fā)公文的轉(zhuǎn)接器，建立一高于DMZ區(qū)低于內(nèi)網(wǎng)的管理區(qū)，用于管理機(jī)的接入。在內(nèi)網(wǎng)防火墻之外采用兩臺(tái) cisco3750三層交換機(jī)做路由控制，接入本大樓內(nèi)分公司網(wǎng)絡(luò)及實(shí)業(yè)本部網(wǎng)絡(luò)，由其控制訪問服務(wù)器、分公司VPN及外網(wǎng)路由。與地市分公司的 InternetVPN采用 C1scoASA552O防火墻，同時(shí)提供撥號(hào)VPN接入，外網(wǎng)訪問通過燦眼rantenF60O防火墻控制后接入公網(wǎng)網(wǎng)絡(luò)，同時(shí)提供備用撥號(hào)VPN接入。外網(wǎng)WEB服務(wù)器接在 AmarantenF600防火墻DMZ區(qū)，對(duì)外開啟 tep80服務(wù)。 網(wǎng)絡(luò)建設(shè) 中心