网络安全设计方案

《网络安全设计方案》由会员分享，可在线阅读，更多相关《网络安全设计方案（40页珍藏版）》请在装配图网上搜索。

1、网络安全设计方案方案一：网络安全设计方案网络系统安全网络信息系统的安全技术体系通常是在安全策略指导下合 理配置和部署：网络隔离与访问控制、入侵检测与响应、漏 洞扫描、防病毒、数据加密、身份认证、安全监控与审计等 技术设备，并且在各个设备或系统之间，能够实现系统功能 互补和协调动作。网络系统安全具备的功能及配置原则1网络隔离与访问控制。通过对特定网段、服务进行物理 和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻止在 网络和服务的边界以外。2漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周 期检查，发现可能被攻击所利用的漏洞，并利用补丁或从管 理上堵塞漏洞。3入侵检测与响应。通过对特定网络（段）

2、、服务建立的入 侵检测与响应体系，实时检测出攻击倾向和行为，并采取相 应的行动（如断开网络连接和服务、记录攻击过程、加强审 计等）。4加密保护。主动的加密通信，可使攻击者不能了解、修 改敏感信息（如 vpn 方式）或数据加密通信方式；对保密或 敏感数据进行加密存储，可防止窃取或丢失。5备份和恢复。良好的备份和恢复机制，可在攻击造成损 失时，尽快地恢复数据和系统服务。6监控与审计。在办公网络和主要业务网络内配置集中管 理、分布式控制的监控与审计系统。一方面以计算机终端为 单元强化桌面计算的内外安全控制与日志记录；另一方面通 过集中管理方式对内部所有计算机终端的安全态势予以掌 控。边界安全解决方案

3、在利用公共网络与外部进行连接的“内”外网络边界处使用 防火墙，为“内部”网络（段）与“外部”网络（段）划定 安全边界。在网络内部进行各种连接的地方使用带防火墙功 能的 vpn 设备，在进行“内”外网络（段）的隔离的同时建 立网络（段）之间的安全通道。1防火墙应具备如下功能：使用 nat 把 dmz 区的服务器和内部端口影射到 firewall 的 对外端口；允许internet公网用户访问到dmz区的应用服务：http、ftp、smtp、dns 等；允许 dmz 区内的工作站与应用服务器访问 internet 公网；允许内部用户访问dmz的应用服务：http、ftp、smtp、dns、 pop

4、3、https；允许内部网用户通过代理访问 internet 公网；禁止 internet 公网用户进入内部网络和非法访问 dmz 区应用服务器；禁止 dmz 区的公开服务器访问内部网络；防止来自 internet 的 dos 一类的攻击；能接受入侵检测的联动要求，可实现对实时入侵的策略响应对所保护的主机的常用应用通信协议（http、ftp、telnet、 smtp）能够替换服务器的banner信息，防止恶意用户信息 刺探；提供日志报表的自动生成功能，便于事件的分析；提供实时的网络状态监控功能，能够实时的查看网络通信行 为的连接状态（当前有那些连接、正在连接的ip、正在关闭 的连接等信息），通

5、信数据流量。提供连接查询和动态图表 显示。防火墙自身必须是有防黑客攻击的保护能力。2带防火墙功能的 vpn 设备是在防火墙基本功能（隔离和 访问控制）基础上，通过功能扩展，同时具有在 ip 层构建 端到端的具有加密选项功能的 esp 隧道能力，这类设备也有 svpn 的，主要用于通过外部网络（公共通信基础网络）将两 个或两个以上“内部”局域网安全地连接起来，一般要求 svpn 应具有一下功能：防火墙基本功能，主要包括： ip 包过虑、应用代理、提供 dmz 端口和 nat 功能等（有些功能描述与上相同）；具有对连接两端的实体鉴别认证能力；支持移动用户远程的安全接入；支持 ipesp 隧道内传输

6、数据的完整性和机密性保护；提供系统内密钥管理功能；svpn 设备自身具有防黑客攻击以及网上设备认证的能力。入侵检测与响应方案 在网络边界配置入侵检测设备，不仅是对防火墙功能的必要 补充，而且可与防火墙一起构建网络边界的防御体系。通过 入侵检测设备对网络行为和流量的特征分析，可以检测出侵 害“内部”网络或对外泄漏的网络行为和流量，与防火墙形 成某种协调关系的互动，从而在“内部”网与外部网的边界 处形成保护体系。入侵检测系统的基本功能如下：通过检测引擎对各种应用协议，操作系统，网络交换的数据 进行分析，检测出网络入侵事件和可疑操作行为。对自身的数据库进行自动维护，无需人工干预，并且不对网 络的正常

7、运行造成任何干扰。采取多种报警方式实时报警、音响报警，信息记录到数据库，提供电子邮件报警、syslog报警、snmptrap报警、windows 日志报警、windows消息报警信息，并按照预设策略，根据 提供的报警信息切断攻击连接。与防火墙建立协调联动，运行自定义的多种响应方式，及时 阻隔或消除异常行为。全面查看网络中发生的所有应用和连接，完整的显示当前网 络连接状态。可对网络中的攻击事件，访问记录进行适时查询，并可根据 查询结果输出图文报表，能让管理人员方便的提取信息。入侵检测系统犹如摄像头、监视器，在可疑行为发生前有预 警，在攻击行为发生时有报警，在攻击事件发生后能记录， 做到事前、事中

8、、事后有据可查。漏洞扫描方案除利用入侵检测设备检测对网络的入侵和异常流量外，还需 要针对主机系统的漏洞采取检查和发现措施。目前常用的方 法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系 统中存在的系统缺陷和可能的安全漏洞，并提醒系统管理员 对该缺陷和漏洞进行修补或堵塞。对于漏洞扫描的结果，一般可以按扫描提示信息和建议，属 外购标准产品问题的，应及时升级换代或安装补丁程序；属 委托开发的产品问题的，应与开发商协议修改程序或安装补 丁程序；属于系统配置出现的问题，应建议系统管理员修改 配置参数，或视情况关闭或卸载引发安全漏洞的程序模块或 功能模块。漏洞扫描功能是协助安全管理、掌握网络安全态势的

9、必要辅 助，对使用这一工具的安全管理员或系统管理员有较高的技 术素质要求。考虑到漏洞扫描能检测出防火墙策略配置中的问题，能与入 侵检测形成很好的互补关系：漏洞扫描与评估系统使系统管 理员在事前掌握主动地位，在攻击事件发生前找出并关闭安 全漏洞；而入侵检测系统则对系统进行监测以期在系统被破 坏之前阻止攻击得逞。因此，漏洞扫描与入侵检测在安全保 护方面不但有共同的安全目标，而且关系密切。本方案建议 采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产 品，不但可以简化管理，而且便于漏洞扫描、入侵检测和防 火墙之间的协调动作。网络防病毒方案网络防病毒产品较为成熟，且有几种主流产品。本方案建议， 网络

10、防病毒系统应具备下列功能：网络&单机防护提供个人或家庭用户病毒防护；文件及存储服务器防护提供服务器病毒防护；邮件服务器防护提供 lotusnotes,microsoftexchange 等 病毒防护；网关防护一在smtp,http,和ftpservergateway阻挡计算机 病毒；集中管理为企业网络的防毒策略，提供了强大的集中控管 能力。关于安全设备之间的功能互补与协调运行各种网络安全设备（防火墙、入侵检测、漏洞扫描、防病毒 产品等），都有自己独特的安全探测与安全保护能力，但又有基于自身主要功能的扩展能力和与其它安全功能的对接 能力或延续能力。因此，在安全设备选型和配置时，尽可能 考虑到相关

11、安全设备的功能互补与协调运行，对于提高网络 平台的整体安全性具有重要意义。防火墙是目前广泛用于隔离网络（段）边界并实施进 /出信 息流控制的大众型网络安全产品之一。作为不同网络（段） 之间的逻辑隔离设备，防火墙将内部可信区域与外部危险区 域有效隔离，将网络的安全策略制定和信息流动集中管理控 制，为网络边界提供保护，是抵御入侵控制内外非法连接的。但防火墙具有局限性。这种局限性并不说明防火墙功能有失 缺，而且由于本身只应该承担这样的职能。因为防火墙是配 置在网络连接边界的通道处的，这就决定了它的基本职能只 应提供静态防御，其规则都必须事先设置，对于实时的攻击 或异常的行为不能做出实时反应。这些控制

12、规则只能是粗颗 粒的，对一些协议细节无法做到完全解析。而且，防火墙无 法自动调整策略设置以阻断正在进行的攻击，也无法防范基 于协议的攻击。为了弥补防火墙在实际应用中存在的局限，防火墙厂商主动 提出了协调互动思想即联动问题。防火墙联动即将其它安全 设备（组件）（例如ids）探测或处理的结果通过接口引入系 统内调整防火墙的安全策略，增强防火墙的访问控制能力和 范围，提高整体安全水平。目前，防火墙形成联动的主要有以下几种方式：1与入侵检测实现联动目前，实现入侵检测和防火墙之间的联动有两种方式。一种 是实现紧密结合，即把入侵检测系统嵌入到防火墙中，即入 侵检测系统的数据然而，县卫生局网络内部各办公网络

13、、业务网络的运行秩序 的维护，网络操作行为的监督，各种违规、违法行为的取证 和责任认定，以及对操作系统漏洞引发的安全事件的监视和 控制等问题，则是必须予以解决的问题。因此有必要在各种 内部办公网络、业务网内部部署集中管理、分布式控制的监 控与审计系统。这种系统通过在局域网（子网）内的管理中 心安装管理器，在各台主机（PC机）中安装的代理软件形成 一个监控与审计（虚拟网络）系统，通过对代理软件的策略 配置，使得每台工作主机（pc机）按照办公或业务操作规范 进行操作，并对可能经过主机外围接口（ usb 口、串/并口、 软硬盘接口等）引入的非法入侵（包括病毒、木马等），或 非法外连和外泄的行为予以阻

14、断和记录；同时管理器通过网 络还能及时收集各主机上的安全状态信息并下达控制命令， 形成“事前预警、事中控制和事后审计”的监控链。监控与审计系统应具有下列功能：管理器自动识别局域网内所有被监控对象之间的网络拓扑 关系，并采用图形化显示，包括被监控主机的状态（如在线、 离线）等；支持对包含有多个子网的局域网进行全面监控； 系统对被监控对象的 usb 移动存储设备、光驱、软驱等外设 的使用以及利用这些设备进行文件操作等非授权行为进行 实时监视、控制和审计；系统对被监控对象的串 /并口等接口的活动状态进行实时监 视、控制和审计；系统对进出被监控对象的网络通信 (www,ftp,pop,smtp) 数

15、据包进行实时拦截、分析、处理和审计，对 telnet 通信数 据包进行拦截；系统可根据策略规定，禁止被监控对象进行拨号(普通 modem 拨号、adsl拨号、社区宽带拨号)连接，同时提供审计；系统对被监控对象运行的所有进程进行实时监视和审计； 系统支持群组管理，管理员可以根据被监控对象的属性特征 将其划分成不同的安全组，对每个组制定不同的安全策略， 所有组的成员都根据该策略执行监控功能；支持多角色管理，系统将管理员和审计员的角色分离，各司 其职；强审计能力，系统具有管理员操作审计、被监控对象发送的 事件审计等功能；系统自身有极强的安全性，能抗欺骗、篡改、伪造、嗅探、重放等攻击。方案二：网络安全

16、设计方案 某市政府中心网络安全方案设计 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案，包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的 前提下，实现对网络的全面安全管理。1) 将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安 全风险；2) 通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护；3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。

17、具体来说，本安全方案能够实现全面网络访问控制，并能够 对重要控制点进行细粒度的访问控制；其次，对于通过对网络的流量进行实时监控，对重要服务器 的运行状况进行全面监控。防火墙系统设计方案防火墙对服务器的安全保护网络中应用的服务器，信息量大、处理能力强，往往是攻击 的主要对象。另外，服务器提供的各种服务本身有可能成为 黑客攻击的突破口，因此，在实施方案时要对服务器的安 全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上提 供对外服务，就会面临着黑客各种方式的攻击，安全级别 很低。因此当安装防火墙后，所有访问服务器的请求都要经 过防火墙安全规则的详细检测。只有访问服务器的请求符合

18、 防火墙安全规则后，才能通过防火墙到达内部服务器。防火 墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防 火墙上的特定服务，从而防止了绝大部分外界攻击。防火墙对内部非法用户的防范网络内部的环境比较复杂，而且各子网的分布地域广阔，网 络用户、设备接入的可控性比较差，因此，内部网络用户的 可靠性并不能得到完全的保证。特别是对于存放敏感数据的 主机的攻击往往发自内部用户，如何对内部用户进行访问控 制和安全防范就显得特别重要。为了保障内部网络运行的可 靠性和安全性，我们必须要对它进行详尽的分析，尽可能防 护到网络的每一节点。对于一般的网络应用，内部用户可以直接接触到网络内部几 乎所有的服务，网络服

19、务器对于内部用户缺乏基本的安全防 范，特别是在内部网络上，大部分的主机没有进行基本的安全防范处理，整个系统的安全性容易受到内部用户攻击的威 胁，安全等级不高。根据国际上流行的处理方法，我们把内 部用户跨网段的访问分为两大类：其一，是内部网络用户之 间的访问，即单机到单机访问。这一层次上的应用主要有用 户共享文件的传输（netbios）应用；其次，是内部网络用户 对内部服务器的访问，这一类应用主要发生在内部用户的业 务处理时。一般内部用户对于网络安全防范的意识不高，如 果内部人员发起攻击，内部网络主机将无法避免地遭到损害 特别是针对于 netbios 文件共享协议，已经有很多的漏洞在 网上公开报

20、道，如果网络主机保护不完善，就可能被内部用 户利用黑客工具造成严重破坏。入侵检测系统利用防火墙技术，经过仔细的配置，通常能够在内外网之间 提供安全的网络保护，降低了网络安全风险，但是入侵者可 寻找防火墙背后可能敞开的后门，入侵者也可能就在防火墙 内。网络入侵检测系统位于有敏感数据需要保护的网络上，通过 实时侦听网络数据流，寻找网络违规模式和未授权的网络访 问尝试。当发现网络违规行为和未授权的网络访问时，网络 监控系统能够根据系统安全策略做出反应，包括实时报警、 事件登录，或执行用户自定义的安全策略等。网络监控系统 可以部署在网络中有安全风险的地方，如局域网出入口、重 点保护主机、远程接入服务器

21、、内部网重点工作站组等。在 重点保护区域，可以单独各部署一套网络监控系统（管理器+ 探测引擎），也可以在每个需要保护的地方单独部署一个探 测引擎，在全网使用一个管理器，这种方式便于进行集中管 理。在内部应用网络中的重要网段，使用网络探测引擎，监视并 记录该网段上的所有操作，在一定程度上防止非法操作和恶 意攻击网络中的重要服务器和主机。同时，网络监视器还可 以形象地重现操作的过程，可帮助安全管理员发现网络安全 的隐患。需要说明的是，ids是对防火墙的非常有必要的附加而不仅 仅是简单的补充。按照现阶段的网络及系统环境划分不同的网络安全风险区域，XXX市政府本期网络安全系统项目的需求为：区域 部署安

22、全产品内网 连接到 internet 的出口处安装两台互为双机热备的海 信 fw3010pf-4000 型百兆防火墙；在主干交换机上安装海信 千兆眼镜蛇入侵检测系统探测器；在主干交换机上安装 nethawk 网络安全监控与审计系统；在内部工作站上安装趋 势防毒墙网络版防病毒软件；在各服务器上安装趋势防毒墙 服务器版防病毒软件。dmz 区 在服务器上安装趋势防毒墙服务器版防病毒软件；安 装一台 interscanviruswall 防病毒网关；安装百兆眼镜蛇入侵检测系统探测 器和 nethawk 网络安全监控与审计系统。安全监控与备份中心 安装 fw3010-5000 千兆防火墙，安装 rj-i

23、top 榕基网络安全漏洞扫描器；安装眼镜蛇入侵检测系 统控制台和百兆探测器；安装趋势防毒墙服务器版管理服务 器，趋势防毒墙网络版管理服务器，对各防病毒软件进行集 中管理。防火墙安全系统技术方案某市政府局域网是应用的中心，存在大量敏感数据和应用， 因此必须设计一个高安全性、高可靠性及高性能的防火墙安 全保护系统，确保数据和应用万无一失。所有的局域网计算机工作站包括终端、广域网路由器、服务 器群都直接汇接到主干交换机上。由于工作站分布较广且全 部连接,对中心的服务器及应用构成了极大的威胁，尤其是 可能通过广域网上的工作站直接攻击服务器。因此，必须将 中心与广域网进行隔离防护。考虑到效率，数据主要在

24、主干 交换机上流通，通过防火墙流入流出的流量不会超过百兆， 因此使用百兆防火墙就完全可以满足要求。如下图，我们在中心机房的 dmz 服务区上安装两台互为冗余 备份的海信fw3010pf-4000百兆防火墙，dmz 口通过交换机 与 www/ftp 、 dns/mail 服务 器连 接。 同时 ， 安 装一 台 fw3010pf-5000 千兆防火墙，将安全与备份中心与其他区域 逻辑隔离开来通过安装防火墙，实现下列的安全目标：1）利用防火墙将内部网络、in terne t外部网络、dmz服务 区、安全监控与备份中心进行有效隔离，避免与外部网络直 接通信；2) 利用防火墙建立网络各终端和服务器的安

25、全保护措施， 保证系统安全；3) 利用防火墙对来自外网的服务请求进行控制，使非法访 问在到达主机前被拒绝；4) 利用防火墙使用ip与mac地址绑定功能，加强终端用户 的访问认证，同时在不影响用户正常访问的基础上将用户的 访问权限控制在最低限度内；5) 利用防火墙全面监视对服务器的访问，及时发现和阻止 非法操作；6) 利用防火墙及服务器上的审计记录，形成一个完善的审 计体系，建立第二条防线；7) 根据需要设置流量控制规则，实现网络流量控制，并设 置基于时间段的访问控制。入侵检测系统技术方案如下图所示，我们建议在局域网中心交换机安装一台海信眼 镜蛇入侵检测系统千兆探测器，dmz区交换机上安装一台海

26、 信眼镜蛇入侵检测系统百兆探测器，用以实时检测局域网用 户和外网用户对主机的访问，在安全监控与备份中心安装一 台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵 检测系统控制台，由系统控制台进行统一的管理(统一事件 库升级、统一安全防护策略、统一上报日志生成报表)。其中，海信眼镜蛇网络入侵检测系统还可以与海信fw3010pf 防火墙进行联动，一旦发现由外部发起的攻击行为，将向防 火墙发送通知报文，由防火墙来阻断连接，实现动态的安全 防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有： 海信fw3010pf防火墙，支持opsec协议的防火墙。通过使用入侵检测系统，我们可以做到：1) 对网络边界点

27、的数据进行检测，防止黑客的入侵； 2) 对 服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改 3) 监视内部用户和系统的运行状况，查找非法用户和合法 用户的越权操作； 4) 对用户的非正常活动进行统计分析， 发现入侵行为的规律； 5) 实时对检测到的入侵行为进行报 警、阻断，能够与防火墙/系统联动； 6) 对关键正常事件 及异常行为记录日志，进行审计跟踪管理。通过使用海信眼镜蛇入侵检测系统可以容易的完成对以下 的攻击识别：网络信息收集、网络服务缺陷攻击、dos&ddos 攻击、缓冲区溢出攻击、web攻击、后门攻击等。网络给某市政府带来巨大便利的同时，也带来了许多挑战， 其中安全问题尤为突出

28、。加上一些人缺乏安全控制机制和对 网络安全政策及防护意识的认识不足，这些风险会日益加重 引起这些风险的原因有多种，其中网络系统结构和系统的应 用等因素尤为重要。主要涉及物理安全、链路安全、网络安 全、系统安全、应用安全及管理安全等方面。通过以上方案 的设计和实施，所有安全隐患就得到了良好的改善。方案三：网络安全设计方案、客户背景集团内联网主要以总部局域网为核心，采用广域网方式与外 地子公司联网。集团广域网采用 mpls-vpn 技术，用来为各 个分公司提供骨干网络平台和 vpn 接入，各个分公司可以在 集团的骨干信息网络系统上建设各自的子系统，确保各类系 统间的相互独立。二、安全威胁某公司属于

29、大型上市公司，在北京，上海、广州等地均有分 公司。公司内部采用无纸化办公，oa系统成熟。每个局域网 连接着该所有部门，所有的数据都从局域网中传递。同时， 各分公司采用 vpn 技术连接公司总部。该单位为了方便，将 相当一部分业务放在了对外开放的网站上，网站也成为了既 是对外形象窗口又是内部办公窗口。由于网络设计部署上的缺陷，该单位局域网在建成后就不断 出现网络拥堵、网速特别慢的情况，同时有些个别机器上的 杀毒软件频频出现病毒报警，网络经常瘫痪，每次时间都持 续几十分钟，网管简直成了救火队员，忙着清除病毒，重装 系统。对外web网站同样也遭到黑客攻击，网页遭到非法篡 改，有些网页甚至成了传播不良

30、信息的平台，不仅影响到网 站的正常运行，而且还对政府形象也造成不良影响。（安全 威胁根据拓扑图分析）从网络安全威胁看，集团网络的威胁 主要包括外部的攻击和入侵、内部的攻击或误用、企业内的 病毒传播，以及安全管理漏洞等信息安全现状：经过分析发 现该公司信息安全基本上是空白，主要有以下问题：公司没有制定信息安全政策，信息管理不健全。 公司在建 内网时与internet的连接没有防火墙。内部网络（同一城 市的各分公司）之间没有任何安全保障为了让网络正常运行根据我国信息安全等级保护管理办法的信息安全要求， 近期公司决定对该网络加强安全防护，解决目前网络出现的 安全问题。三、安全需求从安全性和实用性角度

31、考虑，安全需求主要包括以下几个方面：1、安全管理咨询安全建设应该遵照 7 分管理 3 分技术的原则，通过本次安全 项目，可以发现集团现有安全问题，并且协助建立起完善的 安全管理和安全组织体系。2、集团骨干网络边界安全主要考虑骨干网络中 internet 出口处的安全，以及移动用 户、远程拨号访问用户的安全。3、集团骨干网络服务器安全主要考虑骨干网络中网关服务器和集团内部的服务器，包括 oa、财务、人事、内部web等内部信息系统服务器区和安全 管理服务器区的安全。4、集团内联网统一的病毒防护主要考虑集团内联网中，包括总公司在内的所有公司的病毒 防护。5、统一的增强口令认证系统由于系统管理员需要管

32、理大量的主机和网络设备，如何确保 口令安全称为一个重要的问题。6、统一的安全管理平台通过在集团内联网部署统一的安全管理平台，实现集团总部 对全网安全状况的集中监测、安全策略的统一配置管理、统 计分析各类安全事件、以及处理各种安全突发事件。7、专业安全服务过专业安全服务建立全面的安全策略、管理组织体系及相关 管理制度，全面评估企业网络中的信息资产及其面临的安全 风险情况，在必要的情况下，进行主机加固和网络加固。通 过专业紧急响应服务保证企业在面临紧急事件情况下的处 理能力，降低安全风险。四、方案设计骨干网边界安全集团骨干网共有一个 internet 出口，位置在总部，在int ernet 出口处

33、部署 link trust cyberwall-200f/006 防火 墙一台。在 int erne t 出口处部署一台 link trus t net work defender 领信网络入侵检测系统，通过交换机端口镜像的方式，将进 出int ernet的流量镜像到入侵检测的监听端口，link trustnet work defender可以实时监控网络中的异常流量，防止恶 意入侵。在各个分公司中添加一个dmz区，保证各公司的信息安全, 内部网络（同一城市的各分公司）之间没有任何安全保障骨 干网服务器安全集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括oa、财务、人事、内部

34、web等，以及专为此次项目配置的、用于安全产品管理的服务器的安全。 主 要考虑为在服务器区配置千兆防火墙，实现服务器区与办公 区的隔离，并将内部信息系统服务器区和安全管理服务器区 在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入 侵检测系统，在网络中配置百兆网络入侵检测系统，实现主 机及网络层面的主动防护。漏洞扫描了解自身安全状况，目前面临的安全威胁，存在的安全隐患， 以及定期的了解存在那些安全漏洞，新出现的安全问题等， 都要求信息系统自身和用户作好安全评估。安全评估主要分 成网络安全评估、主机安全评估和数据库安全评估三个层面内联网病毒防护病毒防范是网络安全的一个基本的、重要部分。通过对病

35、毒 传播、感染的各种方式和途径进行分析，结合集团网络的特 点，在网络安全的病毒防护方面应该采用“多级防范，集中 管理，以防为主、防治结合”的动态防毒策略。病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。增强的身份认证系统由于需要管理大量的主机和网络设备，如何确保口令安全也 是一个非常重要的问题。 减小口令危险的最为有效的办法 是采用双因素认证方式。双因素认证机制不仅仅需要用户提 供一个类似于口令或者 pin 的单一识别要素，而且需要第二 个要素，也即用户拥有的，通常是认证令牌，这种双因素认 证方式提供了比可重用的口令可靠得多的用户认证级别。用 户除了知道他的 pin 号码外，还必

36、须拥有一个认证令牌。而 且口令一般是一次性的，这样每次的口令是动态变化的，大 大提高了安全性。统一安全平台的建立通过建立统一的安全管理平台（安全运行管理中心 soc）， 建立起集团的安全风险监控体系，利于从全局的角度发现网 络中存在的安全问题，并及时归并相关人员处理。这里的风 险监控体系包括安全信息库、安全事件收集管理系统、安全 工单系统等，同时开发有效的多种手段实时告警系统，定制高效的安全报表系统。五、网络管理：(1) 故障管理故障管理是网络管理中最基本的功能之一。用户都希望有一 个可靠的计算机网络。当网络中某个组成失效时 ,网络管理 器必须迅速查找到故障并及时排除。通常不大可能迅速隔离 某

37、个故障 ,因为网络故障的产生原因往往相当复杂 ,特别是 当故障是由多个网络组成共同引起的。在此情况下 ,一般先 将网络修复,然后再分析网络故障的原因。分析故障原因对 于防止类似故障的再发生相当重要。网络故障管理包括故障 检测、隔离和纠正三方面,应包括以下典型功能:(1) 故障监测：主动探测或被动接收网络上的各种事件信息， 并识别出其中与网络和系统故障相关的内容，对其中的关键 部分保持跟踪，生成网络故障事件记录。(2) 故障报警：接收故障监测模块传来的报警信息，根据报 警策略驱动不同的报警程序，以报警窗口振铃 (通知一线 网络管理人员)或电子邮件(通知决策管理人员)发出网络严 重故障警报。(3)

38、 故障信息管理：依靠对事件记录的分析，定义网络故障 并生成故障卡片，记录排除故障的步骤和与故障相关的值班 员日志，构造排错行动记录，将事件-故障-日志构成逻辑上 相互关联的整体，以反映故障产生、变化、消除的整个过程 的各个方面。(4) 排错支持工具：向管理人员提供一系列的实时检测工具， 对被管设备的状况进行测试并记录下测试结果以供技术人 员分析和排错；根据已有的徘错经验和管理员对故障状态的 描述给出对徘错行动的提示。(5) 检索分析故障信息：浏阅并且以关键字检索查询故障 管理系统中所有的数据库记录，定期收集故障记录数据，在 此基础上给出被管网络系统、被管线路设备的可靠性参数。 对网络故障的检测

39、依据对网络组成部件状态的监测。不严重 的简单故障通常被记录在 错误日志中,并不作特别处理 ;而 严重一些的故障则需要通知网络管理器 ,即所谓的警报。 一般网络管理器应根据有关信息对警报进行处理 ,排除故障当故障比较复杂时,网络管理 器应能执行一些诊断测试来 辨别故障原因。(2) 计费管理计费管理记录网络资源的使用,目的是控制和监测网络操作 的费用和代价。它对一些公共商业网络尤为重要。它可以估 算出用户使用网络资源可能需要的费用和代价,以及已经使 用的资源。网络管理员还可规定用户可使用的最大费用,从 而控制用户过多占用和使用网络 资源。这也从另一方面提 高了网络的效率。另外,当用户为了一个通信目

40、的需要使用 多个网络中的资源时,计费管理应可计算总计费用。(1) 计费数据采集：计费数据采集是整个计费系统的基础， 但计费数据采集往往受到采集设备硬件与软件的制约，而且 也与进行计费的网络资源有关。 (2)数据管理与数据维护： 计费管理人工交互性很强，虽然有很多数据维护系统自动完 成，但仍然需要人为管理，包括交纳费用的输入、联网单位 信息维护，以及账单样式决定等。(3) 计费政策制定；由于计费政策经常灵活变化，因此实现 用户自由制定输入计费政策尤其重要。这样需要一个制定计 费政策的友好人机界面和完善的实现计费政策的数据模型。(4) 政策比较与决策支持：计费管理应该提供多套计费政策 的数据比较，

41、为政策制订提供决策依据。(5) 数据分析与费用计算：利用采集的网络资源使用数据， 联网用户的详细信息以及计费政策计算网络用户资源的使 用情况，并计算出应交纳的费用。(6) 数据查询：提供给每个网络用户关于自身使用网络资源 情况的详细信息，网络用户根据这些信息可以计算、核对自 己的收费情况。(3) 配置管理配置管理同样相当重要。它初始化网络、并配置网络 ,以使 其提供网络服务。配置管理 是一组对辨别、定义、控制和 监视组成一个通信网络的对象所必要的相关功能 ,目的是为 了实现某个特定功能或使网络性能达到最优。(1) 配置信息的自动获取：在一个大型网络中，需要管理的 设备是比较多的，如果每个设备的

42、配置信息都完全依靠管理 人员的手工输入，工作量是相当大的，而且还存在出错的可 能性。对于不熟悉网络结构的人员来说，这项工作甚至无法 完成因此，一个先进的网络管理系统应该具有配置信息自 动获取功能。即使在管理人员不是很熟悉网络结构和配置状 况的情况下，也能通过有关的技术手段来完成对网络的配置 和管理。在网络设备的配置信息中，根据获取手段大致可以 分为三类：一类是网络管理协议标准的mib中定义的配置信 息(包括snmp；和cmip协议)；二类是不在网络管理协议标 准中有定义，但是对设备运行比较重要的配置信息；三类就 是用于管理的一些辅助信息。(2) 自动配置、自动备份及相关技术：配置信息自动获取功

43、 能相当于从网络设备中“读”信息，相应的，在网络管理应 用中还有大量“写”信息的需求。同样根据设置手段对网络 配置信息进行分类：一类是可以通过网络管理协议标准中定 义的方法(如 snmp 中的 set 服务)进行设置的配置信息；二 类是可以通过自动登录到设备进行配置的信息；三类就是需 要修改的管理性配置信息。(3) 配置一致性检查：在一个大型网络中，由于网络设备众 多，而且由于管理的原因，这些设备很可能不是由同一个管 理人员进行配置的。实际上即使是同一个管理员对设备进 行的配置，也会由于各种原因导致配置一致性问题。因此， 对整个网络的配置情况进行一致性检查是必需的。在网络的 配置中，对网络正常

44、运行影响最大的主要是路由器端口配置 和路由信息配置，因此，要进行、致性检查的也主要是这两 类信息。(4) 用户操作记录功能：配置系统的安全性是整个网络管理 系统安全的核心，因此，必须对用户进行的每一配置操作进 行记录。在配置管理中，需要对用户操作进行记录，并保存 下来。管理人员可以随时查看特定用户在特定时间内进行的 特定配置操作。(4) 性能管理(performance management)性能管理估价系统资源的运行状况及通信效率等系统性能。 其能力包括监视和分析被管网络及其所提供服务的性能机 制。性能分析的结果可能会触发某个诊断测试过程或重新配 置网络以维持网络的性能。性能管理收集分析有关

45、被管网络 当前状况的数据信息,并维持和分析性能日志。一些典型的 功能包括:(1) 性能监控：由用户定义被管对象及其属性。被管对象类 型包括线路和路由器；被管对象属性包括流量、延迟、丢包 率、cpu利用率、温度、内存余量。对于每个被管对象，定 时采集性能数据，自动生成性能报告。(2) 阈值控制：可对每一个被管对象的每一条属性设置阈值， 对于特定被管对象的特定属性，可以针对不同的时间段和性 能指标进行阈值设置。可通过设置阈值检查开关控制阂值检 查和告警，提供相应的阈值管理和溢出告警机制。(3) 性能分桥：对历史数据进行分析，统计和整理，计算性 能指标，对性能状况作出判断，为网络规划提供参考。(4)

46、 可视化的性能报告：对数据进行扫描和处理，生成性能 趋势曲线，以直观的图形反映性能分析的结果。(5) 实时性能监控：提供了一系列实时数据采集；分析和可视化工具，用以对流量、负载、丢包、温度、内存、延迟等 网络设备和线路的性能指标进行实时检测，可任意设置数据 采集间隔。（6）网络对象性能查询：可通过列表或按关键字检索被管网 络对象及其属性的性能记录。（5）安全管理安全性一直是网络的薄弱环节之一 ,而用户对网络安全的要 求又相当高,因此网络安全管理非常重要。网络中主要有以 下几大安全问题:网络数据的私有性（保护网络数据不被侵 入者非法获取）,授权（authentication）（防止侵入者在网络上

47、发送错误信息）,访问控制（控制访问控制（控制对网络资源的访问）。相应的,网络安全管理应包括对授权机制、访问控制 、加密 和加密关键字的管理,另外还要维护和检查安全日志。包括: 网络管理过程中，存储和传输的管理和控制信息对网络的运 行和管理至关重要，一旦泄密、被篡改和伪造，将给网络造 成灾难性的破坏。网络管理本身的安全由以下机制来保证：(1)管理员身份认证，采用基于公开密钥的证书认证机制； 为提高系统效率，对于信任域内(如局域网)的用户，可以使 用简单口令认证。管理信息存储和传输的加密与完整性，web浏览器和网络 管理服务器之间采用安全套接字层(ssl)传输协议，对管理 信息加密传输并保证其完整

48、性；内部存储的机密信息，如登 录口令等，也是经过加密的。(3) 网络管理用户分组管理与访问控制，网络管理系统的用 户(即管理员)按任务的不同分成若干用户组，不同的用户组 中有不同的权限范围，对用户的操作由访问控制检查，保证 用户不能越权使用网络管理系统。(4) 系统日志分析，记录用户所有的操作，使系统的操作和 对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复。网络对象的安全管理有以下功能：（1）网络资源的访问控制，通过管理路由器的访问控制链表， 完成防火墙的管理功能，即从网络层（lp）和传输层（tcp）控 制对网络资源的访问，保护网络内部的设备和应用服务，防 止外来的攻击。（2）告警事件分析，接收网络对象所发出的告警事件，分析 员安全相关的信息（如路由器登录信息、snmp认证失败信息）, 实时地向管理员告警，并提供历史安全事件的检索与分析机 制，及时地发现正在进行的攻击或可疑的攻击迹象。（3）主机系统的安全漏洞检测，实时的监测主机系统的重要 服务（如 www，dns 等）的状态，提供安全监测工具，以搜索 系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。