企业集团安全解决方案

2004-6-12　发布方：广州红帆　网友评论 0 条　点击进入论坛

    随着计算机技术的发展，网络在现代企业中的应用已变得十分普及。保证企业的网络系统安全，防范来自非法入侵者的攻击，对企业日常办公和业务应用是至关重要的。

    一、某现代企业集团的网络现状
   
    某现代企业集团的网络是一个典型的具有相当规模、跨地域的广域网。通常运行着生产、调度、销售、财务系统及办公系统等企业的重要业务。系统中有关键的数据库服务器，有多个具有大量桌面系统的局域网；有Internet连接出口，有介绍企业形象的web服务器；有拨号服务器提供接入服务，同时有与合作伙伴的外部连接等等。
 
    二、网络安全需求
   
    对于上述的企业，保证网络安全，通常需要以下方面的需求。
    1、保证网络不存在弱点,漏洞与不当的系统配置。
    2、网络系统能阻止来自外部的攻击行为和防止内部职工的违规操作行为。
    3、企业网络系统和外界的网络系统具有安全隔离，以及良好的安全边界。
    4、企业广域网无论是租用电信部门的线路，还是使用Internet网络，保证数据传输过程的安全，防止重要信息泄漏或被修改。
    5、保证企业的重要数据的安全。
    6、保证企业网络系统正常运行。
    7、保证安全系统是可管理的。
 
    三、 企业网络安全解决方案
   
    为了全面满足以上网络安全的需求，我们必须制定统一的安全策略，使用可靠的安全机制与安全技术及管理才能解决。安全不单纯是技术问题，而是策略、技术与管理的有机结合。
   
    1、 保证网络设备的物理安全
    保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为了保证网络系统的物理安全，首先要保证系统所处环境--机房，满足相应的国家标准，同时对重要的网络设备采用UPS不间断稳压电源，对重要的设备如数据库服务器、中心交换机等采用双机热备份，并对信息数据采用适当的数据备份系统，等等。
   
    2、 保证网络的系统安全
    (1) 操作系统安全
    ◆ 及时安装操作系统和服务器软件的最新版本和修补程序。不断会有一些系统的漏洞被发现，通常软件厂商会发布新的版本或补丁程序，以修补安全漏洞，保持使用的版本是最新的可以使安全的威胁最小；
    ◆ 进行必要的安全配置，在系统配置中关闭存在安全隐患的、不需要的服务，比如：FTP，Telnet，finger，login，shell，BOOTP，TFTP等等，这些协议都存在安全隐患。禁止某些r命令，比如：rlogin，rsh等；
    ◆ 加强登录过程的身份认证，设置复杂、不易猜测的登录口令，严密保护帐号口令并经常变更，防止非法用户轻易猜出口令，确保用户使用的合法性，限制未授权的用户对主机的访问；
    ◆ 严格限制系统中关键文件(如UNIX下的/.rhost、etc/host、passwd、shadow、group等)的使用许可权限；
    ◆ 严格控制登录访问者的操作权限，将其完成的操作限制在最小的范围内；
    ◆ 充分利用系统本身的日志功能，对用户的所有访问作记录，定期检查系统安全日志和系统状态，以便及早发现系统中可能出现的非法入侵行为，为管理员的安全决策提供依据，为事后审查提供依据；
    ◆ 还要利用相应的扫描软件对操作系统进行安全性扫描评估、检测其存在的安全漏洞，分析系统的安全性，提出补救措施。
    (2)应用系统安全
    应用系统一般都是针对某些应用而开发的，但由于它的通用性，其所提供的服务并非都是每个具体用户所必需的，因此，对应用系统的安全性，也应该进行安全配置，尽量做到只开放必须使用的服务，而关闭不经常用的协议及协议端口号。还有就是对应用系统的使用要加强用户登录身份认证。确保用户使用的合法性，严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。并充分利用应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。
   
    3、 保证企业的管理安全
    (1) 从管理体制上保证网络安全策略切实可行
    (2) 从管理手段上保证网络安 全策略切实可行
    使用目前世界先进的安全技术和产品
    ◆ 设置对文件、目录、打印机和其他资源的访问权限。这样可以防止某些内部的数据丢失；
    ◆ 加强口令管理（比如设置其生效期、频繁更改口令等）；
    ◆ 在网络用户准备登陆时，应该对其进行严格的身份认证。可以通过此用户所属的主机以及采取基于一次性口令；
    ◆ 的用户验证系统（比如SecurID等），检查进入网络的用户是否合法，防止非法用户进入网络；

    ◆ 通过对网络文件进行严格的访问控制（可以通过操作系统本身的功能和特殊的软件比如CA 的Assess Control等），达到限制用户行为的目的。即用户只有在得到对某个文件的访问授权之后才能访问此文件。
    (3) 从管理成员上保证网络安全策略切实可行
    需要企业网络管理人员不断提高自己的技术水平，使管理能够有效落实下去。
    (4) 从管理支持上保证网络安全策略切实可行
    和国内外大型的安全产品生厂商或者咨询顾问公司建立密切联系是十分必要和重要的。
   
    4、 网络安全产品的选型推荐
    (1)防火墙产品的配置
    作为保护企业内部网免遭外部攻击，最有效的措施就是在分别在企业系统内部网与外部广域网之间放置防火墙，通过设置有效的安全策略，做到对企业内部网的访问控制。不改变原来网络拓扑结构，且保证通讯速度不受较大影响，故推荐配置使用基于状态检测包过滤技术上的流过滤技术的防火墙。
    (2)入侵检测系统的配备
    为了防范来自企业系统内部网络的攻击，及来自外部透过防火墙的攻击，作为防火墙的补充，须在企
    系统内部网各重要网段配备入侵检测系统，通过对网络行为的监视，来识别网络的入侵的行为。
   
    ◆ 在企业网络系统中安装入侵检测系统，可以实现以下功能：
    ◆ 实时监视网络上正在进行通信的数据流，分析网络通讯会话轨迹，反映出内外网的联接状态；
    ◆ 通过内置已知网络攻击模式数据库，能够根据网络数据流和网络通讯的情况，查询网络事件，进行相应的响应；
    ◆ 能够根据所发生的网络安全事件，启用配置好的报警方式，比如Email、声音报警等；
    ◆ 提供网络数据流量统计功能，能够记录网络通信的所有数据包，对统计结果提供数表与图形两种显示结果，为事后分析提供依据；
    ◆ 默认预设了很多的网络安全事件，保障客户基本的安全需要；
    ◆ 提供全面的内容恢复，支持多种常用协议；
    ◆ 提供黑名单快速查看功能，使管理员可以方便地查看需要特别关注的主机的通讯情况；
    ◆ 支持分布式结构，安装于大型网络的各个物理子网中，一台管理器可管理多台服务器，达到分布安装，全网监控，集中管理；
    ◆ 接入方便，不需要改变网络的拓扑结构，对网络通信毫无影响；
    ◆ 基于WINDOWS系统提供一系列的中文图形化管理工具，便于操作和配置，可以为管理员提供面向全网段的网络安全监控、防御和记录，对企业网络系统的安全管理能起到很大的帮助。
    (3)安全扫描产品的配置
    网络安全扫描工具通常提供了一种网络安全性评估分析手段，其功能是用实践性的方法扫描分析网络系统，通过安全扫描分析，就可以得到一份全面的安全报告，针对发现的系统中存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。并获得安全问题的解决方案和实施步骤。 安全扫描系统一般接在中心交换机的任意一个端口上，由此可以来扫描网络中可以到达（可以PING通）的任意网络节点的设备。安全扫描目前业界优秀的产品主要有ISS 公司Scanner产品、安络公司、及启明星辰等公司产品。
    (4) 信息传输加密产品（VPN）的配备
    为了保护数据信息从发起端到接收端传输过程的安全性，在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机，由于网络层加密设备可以实现网关到网关的加密与解密，因此，在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制，保护信息在网络上传输的机密性、真实性、完整性及可靠性。
   
    VPN的特点：
    ◆ 高加密强度的安全隧道，认证通信双方的身份，实现基于应用的访问控制。
    ◆ 有详细的日志和审计记录，对所处理的每一次通信或服务都可以进行详细的记录。
    ◆ 提供穿越防火墙的VPN应用模式，可以以直连的方式把通过认证的数据直接传送到主机的应用程序。
    ◆ 可以与第三方认证产品集成，提供更强的身份认证和访问控制功能。
    (5)备份恢复系统
    企业系统多数采用Client/Server模式，数据库中都存放着许多下属的业务数据，为了保证企业重要业务的连续性和安全性，为各级有数据库的网络系统配备一套备份与灾难恢复系统，该系统能实现数据库的远程存储备份，而且一旦数据库服务器发生故障，利用灾难恢复系统可以实现快速恢复。推荐使用CA/Veritas公司的灾难恢复产品。
    (6)防病毒系统的配备
    企业系统中使用的操作系统有UNIX操作系统及WINDOWS操作系统。为了防止病毒的侵害，根据不同的操作系统类型，配备相应的防病毒系统，比如支持UNIX操作系统的防病毒软件、支持WINDOWS NT或WINDOWS 95/98的防病毒软件。通过这些软件所具有的实时检测功能，达到防范病毒侵害的目的。推荐选用Symantec公司的防病毒系统。

相关案例

• ·黑匣子监控系统[图]
• ·EZ-Lock易锁_文件加密保护系统[图]
• ·东育恒远远程教学资源解决方案[组图]
• ·DCI黑匣子网络安全监控系统[图]
• ·F1JEE ,J2EE业务基础软件和工作流平台[图]

• ·博商零售业网上商店系统解决方案
• ·蓝波物资管理系统——船舶行业软件产品
• ·总体规划下渤船重工管加工分厂的数字化工作
• ·中国舰船研究设计中心PDM系统实施与应用[图]
• ·博商零售业网上商店系统解决方案

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接