整體的安全方案分成技術方案、服務方案以及支持方案三部分。
一、技術解決方案
安全產品是網絡安全的基石,通過在網絡中安裝一定的安全設備,能夠使得網絡的結構更加清晰,安全性得到顯著增強;同時能夠有效降低安全管理的難度,提高安全管理的有效性。
下面介紹在局域網中增加的安全設備的安裝位置以及他們的作用。
1、防火牆
安裝位置:局域網與路由器之間;WWW服務器與託管機房局域網之間;
局域網防火牆作用:
(1) 實現單向訪問,允許局域網用戶訪問INTERNET資源,但是嚴格限制INTERNET用戶對局域網資源的訪問;
(2) 通過防火牆,將整個局域網劃分INTERNET,DMZ區,內網訪問區這三個邏輯上分開的區域,有利於對整個網絡進行管理;
(3)局域網所有工作站和服務器處於防火牆地整體防護之下,只要通過防火牆設置的修改,就能有限絕大部分防止來自INTERNET上的攻擊,網絡管理員只需要關注DMZ區對外提供服務的相關應用的安全漏洞;
(4)通過防火牆的過濾規則,實現端口級控制,限制局域網用戶對INTERNET的訪問;
(5)進行流量控制,確保重要業務對流量的要求;
(6)通過過濾規則,以時間爲控制要素,限制大流量網絡應用在上班時間的使用。
託管機房防火牆的作用:
(7) 通過防火牆的過濾規則,限制INTERNET用戶對WWW服務器的訪問,將訪問權限控制在最小的限度,在這種情況下,網絡管理員可以忽略服務器系統的安全漏洞,只需要關注WWW應用服務軟件的安全漏洞;
(8)通過過濾規則,對遠程更新的時間、來源(通過IP地址)進行限制。
2、入侵檢測
安裝位置:局域網DMZ區以及託管機房服務器區;
IDS的作用:
(1) 作爲旁路設備,監控網絡中的信息,統計並記錄網絡中的異常主機以及異常連接;
(2)中斷異常連接;
(3)通過聯動機制,向防火牆發送指令,在限定的時間內對特定的IP地址實施封堵。
3、網絡防病毒軟件控制中心以及客戶端軟件
安裝位置:局域網防病毒服務器以及各個終端
防病毒服務器作用:
(1) 作爲防病毒軟件的控制中心,及時通過INTERNET更新病毒庫,並強制局域網中已開機的終端及時更新病毒庫軟件;
(2)記錄各個終端的病毒庫升級情況;
(3)記錄局域網中計算機病毒出現的時間、類型以及後續處理措施。
防病毒客戶端軟件的作用:
(4) 對本機的內存、文件的讀寫進行監控,根據預定的處理方法處理帶毒文件;
(5) 監控郵件收發軟件,根據預定處理方法處理帶毒郵件;
4、郵件防病毒服務器
安裝位置:郵件服務器與防火牆之間
郵件防病毒軟件:對來自INTERNTE的電子郵件進行檢測,根據預先設定的處理方法處理帶毒郵件。郵件防病毒軟件的監控範圍包括所有來自INTERNET的電子郵件以及所屬附件(對於壓縮文件同樣也進行檢測)
5、反垃圾郵件系統
安裝位置:同郵件防病毒軟件,如果軟硬件條件允許的話,建議安裝在同一臺服務器上。
反垃圾郵件系統作用:
(1) 拒絕轉發來自INTERNET的垃圾郵件;
(2) 拒絕轉發來自局域網用戶的垃圾郵件並將發垃圾郵件的局域網
用戶的IP地址通過電子郵件等方式通報網管;
(3) 記錄發垃圾郵件的終端地址;
(4) 通過電子郵件等方式通知網管垃圾郵件的處理情況。
6、動態口令認證系統
安裝位置:服務器端安裝在WWW服務器(以及其他需要進行口令加強的敏感服務器),客戶端配置給網頁更新人員(或者服務器授權訪問用戶);
動態口令認證系統的作用:
通過定期修改密碼,確保密碼的不可猜測性。
7、網絡管理軟件
安裝位置:局域網中。
網絡管理軟件的作用:
(1) 收集局域網中所有資源的硬件信息;
(2) 收集局域網中所有終端和服務器的操作系統、系統補丁等軟件信息;
(3) 收集交換機等網絡設備的工作狀況等信息;
(4) 判斷局域網用戶是否使用了MODEM等非法網絡設備與INTERNET連接;
(5) 顯示實時網絡連接情況;
(6) 如果交換機等核心網絡設備出現異常,及時向網管中心報警;
8、QOS流量管理
安裝位置:如果是專門的產品安裝在路由器和防火牆之間;部分防火牆本身就有QOS帶寬管理模塊。
QOS流量管理的作用:
(1) 通過IP地址,爲重要用戶分配足夠的帶寬;
(2) 通過端口,爲重要的應用分配足夠的帶寬資源;
(3) 限制非業務流量的帶寬;
(4) 在資源閒置時期,允許其他人員使用資源,一旦重要用戶或者重要應用需要使用帶寬,則確保它們能夠至少使用分配給他們的帶寬資源。
9、重要終端個人防護軟件
安裝位置:重要終端
個人防護軟件的作用:
(1) 保護個人終端不受攻擊;
(2) 不允許任何主機(包括局域網主機)非授權訪問重要終端資源;
(3) 防止局域網感染病毒主機通過攻擊的方式感染重要終端。
10、頁面防篡改系統
安裝位置:WWW服務器
頁面防篡改系統的作用:
(1) 定期比對發佈頁面文件與備份文件,一旦發現不匹配,用備份文件替換髮布文件;
(2) 通過特殊的認證機制,允許授權用戶修改頁面文件;
(3) 能夠對數據庫文件進行比對。
二、安全服務解決方案
在安全服務方案中,採用不同的安全服務,定期對網絡進行檢測、改進,以達到動態增進網絡安全性,最大限度發揮安全設備作用的目的。安全服務分爲以下幾類:
1、網絡拓撲分析
服務對象:整個網絡
服務週期:半年一次
服務內容:(1)根據網絡的實際情況,繪製網絡拓撲圖;(2)分析網絡中存在的安全缺陷並提出整改建議意見。
服務作用:針對網絡的整體情況,進行總體、框架性分析。一方面,通過網絡拓撲分析,能夠形成網絡整體拓撲圖,爲網絡規劃、網絡日常管理等管理行爲提供必要的技術資料;另一方面,通過整體的安全性分析,能夠找出網絡設計上的安全缺陷,找到各種網絡設備在協同工作中可能產生的安全問題。
2、中心機房管理制度制訂以及修改
服務對象:中心機房
服務週期:半年一次
服務內容:協助用戶制訂並修改機房管理制度。制度內容涉及人員進出機房的登記制度、設備進出機房的登記制度、設備配置修改的登記制度等。
服務作用:嚴格控制中心機房的人員進出、設備進出並及時登記設備的配置更新情況,有助於網絡核心設備的監控,確保網絡的正常運行。
3、操作系統補丁升級
服務對象:服務器、工作站、終端
服務週期:不定期
服務內容:(1) 一旦出現重大安全補丁,及時更新所有相關係統;(2)出現大型補丁(如微軟的SP),及時更新所有相關係統;
服務作用:通過及時、有效的補丁升級,能夠有效防止局域網主機和服務器相互之間的攻擊,降低現代網絡蠕蟲病毒對網絡的整體影響,增加網絡帶寬的有效利用率。
4、防病毒軟件病毒庫定期升級
服務對象:防病毒服務器、安裝防病毒客戶端的終端
服務週期:每週一次
服務內藎?1) 防病毒服務器通過INTERNET更新病毒庫;(2)防病毒服務器強制所有在線客戶端更新病毒庫;
服務作用:通過不斷升級病毒庫確保防病毒軟件能夠及時發現新的病毒。
5、服務器定期掃描、加固
服務對象:服務器
服務週期:半年一次
服務內容:使用專用的掃描工具,在用戶網絡管理人員的配合,對主要的服務器進行掃描。
服務作用:(1) 找出對應服務器操作系統中存在的系統漏洞;(2) 找出服務器對應應用服務中存在的系統漏洞;(3) 找出安全強度較低的用戶名和用戶密碼。
6 、防火牆日誌備份、分析
服務對象:防火牆設備
服務週期:一週一次
服務內容:導出防火牆日誌並進行分析。
服務作用:通過流量簡圖找出流量異常的時間段,通過檢查流量較大的主機,找出局域網中的異常主機。
7、入侵檢測等安全設備日誌備份
服務對象:入侵檢測等安全設備
服務週期:一週一次
服務內容:備份安全設備日誌。
服務作用:防止日誌過大導致檢索、分析的難度,另一方面也有利於事後的檢查。
8、服務器日誌備份
服務對象:主要服務器(如WWW服務器、文件服務器等)
服務週期:一週一次
服務內容:備份服務器訪問日誌
服務作用: 防止日誌過大導致檢索、分析的難度,另一方面也有利於事後的檢查。
9、白客滲透
服務對象:對INTERBET提供服務的服務器
服務週期:半年一次
服務內容:服務商在用戶指定的時間段內,通過INTERNET,使用各種工具在不破壞應用的前提下攻擊服務器,最終提供檢測報告。
服務作用:先於黑客進行探測性攻擊以檢測系統漏洞。根據最終檢測報告進一步增強系統的安全性
10、設備備份系統
服務對象:骨幹交換機、路由器等網絡骨幹設備
服務週期:實時
服務內容:根據用戶的網絡情況,提供骨幹交換機、路由器等核心網絡設備的備份。備份設備可以在段時間內替代網絡中實際使用的設備。
服務作用:一旦核心設備出現故障,使用備件替換以減少網絡故障時間。
11、信息備份系統
服務對象:所有重要信息
服務週期:根據網絡情況定完全備份和增量備份的時間
服務內容:定期備份電子信息
服務作用:防止核心服務器崩潰導致網絡應用癱瘓。
12、定期總體安全分析報告
服務對象:整個網絡
服務週期:半年一次
服務內容:綜合網絡拓撲報告、各種安全設備日誌、服務器日誌等信息,對網絡進行總體安全綜合性分析,分析內容包括網絡安全現狀、網絡安全隱患分析,並提出改進建議意見。
服務作用:提供綜合性、全面的安全報告,針對全網絡進行安全性討論,爲全面提高網絡的安全性提供技術資料。
以上是服務解決方案,衆所周知,安全產品一般是共性的產品,通過安全服務,能夠配製出適合本網絡的安全設備,使得安全產品在特定的網絡中發揮最大的效能,使得各種設備協同工作,增強網絡的安全性和可用性。
當然,在網絡中,不安全是絕對的,即使採取種種措施,網絡也可能遭到應用某種原因無法正常運作,這時候,就需要有及時有效的技術支持,使得網絡在儘可能短的時間內恢復正常。下面將提出技術支持解決方案。
三、技術支持解決方案
技術支持是整個安全方案的重要補充。其主要作用是在用戶網絡發生重要安全事件後,通過及時、高效的安全服務,達到儘快恢復網絡應用的目的。技術支持主要包括以下幾方面:
1、故障排除
支持範圍:
(1) 用戶無法訪問網絡(如局域網用戶無法訪問INTERNET);
(2)應用服務無法訪問(如不能對外提供WWW服務);
(3)網絡訪問異常(如訪問速度慢)。
作用:一旦網絡出現異常,爲用戶提供及時、有效的網絡服務。在最短的時間內恢復網絡應用。
2、災難恢復
支持範圍:設備遇到物理損害網絡網絡應用異常。
作用:通過備品備件,快速恢復網絡硬件環境;通過備份文件的復原,儘快恢復網絡的電子資源;由此可在最短的時間內恢復整個網絡應用。
3、查找攻擊源
支持範圍: 網絡管理員發現網絡遭到攻擊,並需要確定攻擊來源。
作用: 通過日誌文件等信息,確定攻擊的來源,爲進一步採取措施提供依據。
4、實時檢索日誌文件
支持範圍: 遭到實時的攻擊(如DOS,SYN FLOODING等),需要及時瞭解攻擊源以及攻擊強度。
作用:通過實時檢索日誌文件,可以當時存在的針對本網絡的攻擊並查找出攻擊源。如果攻擊強度超出網絡能夠承受的範圍,可採取進一步措施進行防範。
5、即時查殺病毒
支持範圍: 由不可確定的因素導致網絡中出現計算機病毒。
作用:即使網絡中出現病毒,通過及時有效的技術支持,在最短的時間內查處感染病毒的主機並即時查殺病毒,恢復網絡應用。
6、即時網絡監控
支持範圍: 網絡出現異常,但應用基本正常。
作用:通過網絡監控,近可能發現網絡中存在的前期網絡故障,在故障擴大化以前及時進行防治。
以上是技術支持解決方案,技術支持是安全服務的重要補充部分,即使在完善的安全體系下,也存在不可預測的因素導致網絡故障,此時,需要及時、有效的技術支持服務,在儘可能短的時間內恢復網絡的正常運行。
綜上所述,局域網的安全由三大部分組成,涵蓋設備、技術、制度、管理、服務等各個部分。
四、分佈實施建議意見
網絡安全涉及面相當廣,同時進行建設的可行性較差,因此,建議按照以下方式進行分階段實施。
1、第一階段
(1)技術方面,採用防火牆、網絡防病毒軟件、頁面防篡改系統來建立一個結構上較完善的網絡系統。
(2)服務方面,進行網絡拓撲分析、建立中心機房管理制度、建立操作系統以及防病毒軟件定期升級機制、對重要服務器的訪問日誌進行備份,通過這些服務,增強網絡的抗干擾性。
(3)支持方面,要求服務商提供故障排除服務,以提高網絡的可靠性,降低網絡故障對網絡的整體影響。
2、第二階段
在第一階段安全建設的基礎上,進一步增加網絡安全設備,採納新的安全服務和技術支持來增強網絡的可用性。
(1)技術方面,採用入侵檢測、郵件防病毒軟件、動態口令認證系統、並在重要客戶端安裝個人版防護軟件。
(2)服務方面,對服務器進行定期掃描與加固、對防火牆日誌進行備份與分析、對入侵檢測設備的日誌進行備份、建立設備備份系統以及文件備份系統。
(3)支持方面,要求服務商提供災難恢復、實時日誌檢索、實時查殺病毒、實時網絡監控等技術支持。
3、第三階段
在這一階段,採取的措施以進一步提高網絡效率爲主。
(1)技術方面,採用反垃圾郵件系統、網絡管理軟件、QOS流量管理軟件。
(2)服務方面,採用白客滲透測試,要求服務商定期提供整體安全分析報告。
(3)支持方面,要求能夠實時或者時候查找攻擊源。
以上針對用戶網絡分別從三個方面提出了安全解決方案,並按照實施的緊迫性分成三個階段來實現,但是實際針對某個用戶,對於安全的要求可能各不相同,具體網絡情況也可能有很大的差異,因此建議用戶根據實際情況建立網絡安全建設的時間表。
另外,隨着新技術、新產品的不斷湧現,網絡技術的不斷髮展,對於網絡安全的要求不斷提高,在實際實施過程中採取的措施完全可能超越本文中提及的產品、服務、支持,這也是安全建設的最基本原則:不斷改進,不斷增強,安全無止境。