网络安全评估方案书

网络安全评估方案书

1.项目需求

随着信息时代的到来,企业业务的运作越来越依赖于互联网,互联网给我们带来快捷,方便,高效服务的同时也带来了巨大的安全隐患,在当今的一个巨大的互联网系统中存在着各种病毒木马,以及各式各样的黑客攻击,一旦这些攻击渗入到我们公司的网络,那我们内网的数据就会透明的摆放在黑客的手中,我们的商业机密将极有可能被我们的竞争对手掌握,那样一来对企业来说将是一项巨大的损失。毫不夸张的说一个企业的网络构架是否安全,决定着企业能否在激烈的竞争中立于不败之地。

但从目前的情况来看,很多企业似乎并没有重视网络安全的建设,导致诸多企业被攻击,造成巨大的损失。

为此我们要从根本上更新观念,注重网络安全项目的建设,着手对现有的网络安全构架进行评估,并做出合理的,有效的网络安全实施方案,这对企业网络安全建设尤为重要。

2.项目方案

2.1.实现目的

要想对企业现有的网络构架做出合理的,高效的网络安全解决方案,我们要从以下几点进行评估:

Ø         在企业的边界是否有安全设备保证进出网络访问的安全,检测攻击行为

Ø         在企业的数据中心是否有安全设备保护对服务器的访问安全

Ø         企业的各种账户口令是否安全

Ø         企业的数据中心是否有灾难备份机制

Ø         企业的无线局域网络是否有较强的安全机制来保护无线网路的安全

Ø         企业内网客户端是否有较强的安全保障机制提高客户端的安全性

Ø         对企业内网是否有完善的监测机制,实时监测内网行为是否正常

下面给出一个比较安全的网路安全构架的拓扑结构图:

2.2.系统方案设计

2.2.1.常见的攻击行为

Ø         阻断用户访问

这种攻击通常发生在大型网站和热门网站。20##年初,百度遇到的就是典型的“阻断用户访问”型攻击,黑客替换了百度的域名解析记录,使用户无法访问搜索服务器。此次攻击持续时间长达几个小时,造成的损失无法估量。

能造成“阻断用户访问”效果的攻击手段,除了“域名劫持”之外,更普遍的手段是DDOS攻击(Distributed Denial of Service,分布式拒绝服务攻击)。黑客控制位于全球的成千上万台机器,同时向攻击目标发起连接请求,这些请求在瞬间超过了服务器能够处理的极限,导致其它用户无法访问这些网站。

DDOS攻击技术含量比较低,即使技术不高的人只要花钱购买肉鸡,从网上下载工具就可以进行,因此在所有针对企业的攻击中,此类攻击占据了很大的比例。而且这一类攻击普通网民可以感受到,很容易被媒体报道,通常会引起业界的关注。

Ø         在网站植入病毒和木马

攻击企业网站,并在服务器上植入恶意代码,是另一种应用广泛的黑客攻击形式。根据瑞星“云安全”系统提供的结果,20##年,国内有250120个网站被植入了病毒或者木马(以域名计算)。教育科研网站、网游相关网站和政府网站,是最容易被攻击植入木马的三个领域,分别占总体数量的27%、17%和13%。

Ø         将域名劫持到恶意网站

“域名劫持”也是企业用户经常遇到的一种攻击方式,通常表现为“网民输入一个网站的网址,打开的却是另一个网站”。这种现象可以分为以下多种情况:

①黑客通过病毒修改了用户客户端电脑的HOST列表,使一个正确的域名对应了错误的IP地址。

②用户所在的局域网,比如小区宽带、校园网、公司局域网等被ARP病毒感染,病毒劫持了局域网内的HTTP请求。

③网站所在的服务器机房遇到了ARP攻击。

④黑客通过技术手段,篡改了域名注册商管理的服务器。

Ø         内部账号和密码外泄

由于网络管理员通常管理多个密码,有的管理员会把密码记在纸上,贴在办公室里;或者使用自己的生日、电话号码等常见数字;或者有的管理员会使用密码管理工具,保存在自己的个人PC上,这些行为都很容易被黑客攻击并窃取,取得密码后会进行下一步的操作。

Ø         内网关键信息外泄

黑客在对一个企业进行攻击前,通常会对其进行长时间的观察和探测,例如:企业内网使用了哪些软硬件产品、版本型号、各自存在的漏洞;人员布置方面的信息,如多久对服务器进行一次例行检查、具体的安全管理规范是怎样的。

有的黑客甚至会关注“一旦发生安全事故,网络管理员的的责任追究”等具体细节。因为有的企业规定了严苛的安全管理制度,管理员一旦发现安全事故,会倾向于掩盖,而不是追查,这样就给黑客的进一步入侵带来方便。

2.2.2.评估项目

Ø         在企业的边界是否有安全设备保证进出网络访问的安全,检测攻击行为

在企业网络边缘我们很有必要部署一台防火墙或入侵监测系统或入侵放御系统,实现对进出网络的连接进行分析,过滤数据包,查看是否有潜在的攻击威胁,一旦监测到有攻击威胁将进行处理,并向网络管理员报告,同时实时的记录到日志服务器中。

Ø         在企业的数据中心是否有安全设备保护对服务器的访问安全

对于企业而言,数据中心服务器上的各种数是整个公司的灵魂,如果服务器被恶意攻击导致无法正常提供服务,或者数据被窃取或被篡改,那么对企业将带来巨大的损失。在数据中心的边界加一台防火墙,对访问服务器的用户身份进行验证,拒绝非授权的用户访问服务器,这将极大的提高访问服务器的安全性,

Ø         企业的各种账户口令是否安全

对企业的而言,为了验证合法用户往往需要通过账户口令的形式来实现,用户输入正确的用户名和密码提交验证,如果验证通过之后方能访问服务器,获取相关的服务。

一般而言企业的END USER有如下账户和口令:

1)       登陆计算机账户和口令,有两种情况:

n         对于工作组模式,为本地账户和口令,需要到本地计算机的SAM数据库中进行验证

n         对于域环境,为域账户和口令,需要将户和口令发送到DC进行验证

2)       远程办公用户使用的VPN账户和密码

n         邮箱账户和密码

n         访问File server用户名和密码

等,诸如此类的用户名和密码很多,但是都有一个共同的特点,那就是这些账户名和密码都是静态的,一旦这密码被泄露或被采取任何手段窃取,那么任何人都将可以使用该账户和密码访问服务器,获取相关的服务,这是相当危险的,因为这种情况大部分会发生在企业的内网。

虽然有些公司会采取策略来确保密码的复杂度,并且定时的更换密码,这种方法虽然可以在一定程度上提高账户和密码的安全性,但是给用户带来了极大的负担,用户不得不花费很大的精力去记忆这些账户和密码,有些用户甚至因为频繁的更换密码后,不记得正确的用户名和密码而造成无法正常的访问服务器,影响工作,更有甚者为防止忘记用户名和密码而直接将用户名和密码写在纸上,然后贴在电脑或者显示器上,这其实并没起到真正保护用户名和密码的目的。

为了解决账户和口令的安全性问题,我们最佳的解决方案是使用动态口令身份认证技术,我们会为每个用户发一个动态口令卡,该口令卡将会在一定的时间内(通常是一分钟)随机产生一个口令,此口令将和用户名一起发送到动态口令验证系统服务器上进行验证,只有验证通过的情况下才能被授权访问。这样一来即使密码被其他的人获取,也没办法通过验证,因为口令是随机且定期变换的。

Ø         企业的数据中心是否有灾难备份机制

一旦数据中心的服务器出现问题,那么其上的数据将会有丢失的危险,给服务器上的数据采取灾难备份机制将是极佳的选择。

通常情况下有以下几种灾难备份机制:

n         本地备份

n         异地备份

Ø       企业的无线局域网络是否有较强的安全机制来保护无线网路的安全

对企业而言,无线网络已不可缺少,但是有时也会存在一些安全的隐患,比如,无线加密机制不够好的情况下,无线密码将会很容易被破解掉,一旦入侵者或者非授权用户连入企业内网,将会在相当大的程度上威胁内网数据的安全性。

为此需要确保无线设备采取强大的,安全的加密机制,保证无线网络连接的安全。就目前而言,WAP2这种加密算法是很好的选择。

Ø         企业内网客户端是否有较强的安全保障机制提高客户端的安全性

客户端机器作为内网的主要成员,它的安全性变得很重要,我们要为客户端机器安装杀毒软件,同时在数据的出口限制访问一些不安全的网站,确保客户端机器的安全性。

通常较为强大的杀毒软件主要有:

n         卡巴斯基杀毒软件

n         麦咖啡杀毒软件

n         诺顿杀毒软件

等。

Ø         对企业内网是否有完善的监测机制,实时监测内网行为是否正常

对于管理员,我们要有一种监测机制,比如说部署流量监控软件,上网行为分析软件等等类似的软件来检测客户端机器的上网行为是否异常,这样可以快速,有效的监测到异常情况并能快速的做出反应,保证企业内网的安全。

2.3.系统产品选型及技术资料

2.3.1.企业网络边界和数据中心安全设备选型技术资料

Ø         设备选型

在企业网络的边界我我们可以部署一功能强,性能好,稳定性佳的CISCO ASA 5500系列防火墙设备来保护进出连接的安全性,CISCO ASA 5500系列防火墙是模块化设计,针对不同的应用它提供如下的模块化设计:

a)         CISCO ASA 5500防火墙板

b)        CISCO ASA 5500 VPN 板

c)        CISCO ASA 5500 IPS 板

d)        CISCO ASA 5500 内容安全板

设备的技术资料

 

第二篇:网络信息安全规划方案

网络信息安全规划方案

制作人:XXX

日期:20##年4月5日

目录

1. 网络信息安全概述..................................................................... 3

   网络信息安全的概念........................................................... 3

   网络信息安全风险分析....................................................... 3

2. 需求分析....................................................................................... 4

   现有网络拓扑图.................................................................... 4

   规划需求................................................................................ 4

3. 解决方案...................................................................................... 5

   防火墙方案............................................................................ 5

   上网行为管理方案................................................................ 6

   三层交换机方案.................................................................... 6

   域控管理方案........................................................................ 7

   企业杀毒方案....................................................................... 11

   数据文件备份方案.............................................................. 15

4. 设备清单...................................................................................... 16

5. 实施计划...................................................................................... 16

Ø  1. 网络信息安全概述

  网络信息安全的概念

        网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶    然或是恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务    不中断。

        网络信息安全从广义来说,凡是设计到网络上信息的保密性、完整性、可用性        真实性和可控性的相关安全都属于网络信息安全范畴;从网络运行和管理者角度说,   网络信息安全是避免企业网络信息出现病毒、非法读取、拒绝服务、网络资源非法    占用和非法控制等威胁,制止和防御网络黑客的攻击,保障网络正常运行;从社会 和意识形态来讲,企业访问网络中不健康的内容,反社会的稳定及人类发展的言论    等,属于国家明文禁止的,必须对其进行管控。

 网络信息安全风险分析

    企业局域网是一个信息点较多的百兆或千兆局域网络系统,它所连接的上百个信息点为企业内部各部门办公提供了一个快速方便的信息交流平台,以及与互联网通讯、沟通、交流的开放式平台。企业局域网存在以下安全风险:

l   局域网与Internet之间的相互访问,没有专有设备对其进、出数据包进行分析、筛选及过滤,存在大量的垃圾数据包,造成网络拥堵及瘫痪。

l   内部应用服务器发布到公网中使用,在Internet外部环境下,存在被不法分子攻击、入侵及篡改企业安全数据信息。

l   企业内部终端在无约束条件下,随意访问、下载网络上的资源,其中大量的网络资源没有经过安全验证,可能带有病毒、以及资源版权纠纷等问题。

l   企业内部网络环境在没有做流控管理的情况下,造成一部分人占用大部分网络资源,而其他人无法使用网络资源正常办公,不利于企业所有人员使用网络资源正常办公。

l   企业内部终端在无行为管理情况下,若访问带有宗教信仰、反人类、反政治等网站,以及个人发布不恰当的言论等,企业需承担网络提供者的连带责任。

l   企业内部终端电脑无管控情况下,用户私自安装、卸载未经批准的软件,私自拷贝企业机密文件,篡改电脑信息,给企业带来经济损失等等。

l   企业内部终端无杀毒软件防护,在网络开放时代,易于感染钓鱼、勒索等病毒。且企业局域网处于一个网络环境下,病毒可扩散到全公司电脑。

l   企业中重要数据文件的保护与备份机制,数据文件存在被内部人员私自删除、病毒入侵干扰以及天灾造成的数据损坏及丢失。

Ø  2. 需求分析

  现有网络拓扑图

  规划需求

l   加强Internet对企业内部应用服务器的访问,通过服务访问规则策略、验证工具、包过滤和应用网关等管控,从而保证内部网免受外部非法用户及病毒的入侵。

l   建立总部与工厂之间的安全、加密的虚拟专用网互相访问认证机制。

l   针对用户使用网络访问Internet资源的管控,建立安全、合法的访问规则以及流控的管理,让所有用户正常使用网络办公。

l   内部网络的vlan的划分,避免局部广播风暴造成的整体网络瘫痪。

l   加强对用户电脑账户密码的管理以及共享文件夹的分级权限管理,限制用户私自安装、卸载软件,修改注册表、IP,U盘使用权限管理。

l   建立企业杀毒管理方案,通过局域网定时批量更新计算机病毒库,保障所有电脑及数据免受病毒侵犯。

l   对公司服务器上各部门重要的数据文件,尤其是研发的设计、专利文件,进行异地备份。

Ø  3. 解决方案

  防火墙方案

    目前总部ISP接入带宽为上行8M,下行200M拨号光纤,工厂两条ISP接入,一条为上下对等10M城域网(含公网静态IP),另一条为上行8M,下行为200M拨号光纤,两地通过IPSEC VPN虚拟专用隧道互相通讯。且总部有外贸、电商、市场、营销等对网络资源要求较高的部门。建议采用集成具备防火墙、IPSEC VPN、SSL VPN、防病毒、IPS入侵检测、双ISP接入等多种安全引擎功能的防火墙。针对防火墙做如下规则防护:

l   启用IPS入侵检测,监视网络及网络设备不正常或不安全的网络传输行为及时中断、调整或隔离。

l   IDS对异常、入侵行为等深层次侵略的数据进行检测和预警,中断外部异常连接。

l   内部Trust对访问外部Untrust的数据包,根据TCP、UDP、dns或是端口号的服务规则进行策略管控。

l   内部服务器端口映射出公网地址,针对外部Untrust对该服务器的公网地址访问,根据服务规则、端口号等进行安全准入判断。

l   通过防火墙IPSEC VPN功能,建立总部与工厂之间的虚拟安全专用隧道,规范两地间电脑只能访问对方的服务器网段,禁止其他电脑之间互相访问。

 上网行为管理方案

    上网行为管理设备具有流控管理、访问控制管理、入侵检测管理、安全审计管理等功能。防范非法用户非法访问、防范合法用户非授权访问,节省网络资源的流失,保障用户合理合法的访问外部资源信息。相关规范如下:

l   根据ISP提供商提供的带宽资源,合理规范流控设置,如每用户限制最大上行2M,下行4M,保障了用户均分网络资源,正常办公。

l   对准入终端绑定IP与MAC地址,禁止非法终端准入。

l   对不同部门不用应用制定不同的访问授权,如人事部访问招聘、社保等政企网站;电商部访问购物、电商网站;财务部访问网银等网站授权。

l   禁止所有用户使用除公司指定之外的网盘,防止公司数据文件外泄。

l   禁止所有用户使用公司指定之外的邮件系统,防止公司数据文件外泄。

l   禁止所有用户利用公司网络资源访问娱乐影音、游戏、代理木马、宗教信仰等网站。

l   对所有准入用户实行安全审计、日志记录功能。

 三层交换机方案

    出于安全和管理方便的考虑,主要为了减小广播风暴造成的影响访问,必须将大型局域网按功能或地域等因素划分成多个小局域网,三层交换机vlan功能将大型的局域网划分成多个广播域,降低了广播风暴的危害,同时又保证了整个网络之间不同vlan之间的互相通信。

l   根据目前公司的网络架构,在不变更服务器IP地址的前提下,将vlan规划如下表:

l   规划后网络架构拓扑图:

  域控管理方案

    AD域控主要作用是权限集中化管理、资源同步共享优化。控制用户登录权限,保障内网信息安全,安全性高;有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等;对软件及其他共享可以集中发布,减少管理的工作量。

l   OU单位组织、用户账号密码(账号为“部门代码+四位数流水号”,默认Domain User权限,无法安装、卸载软件)及用户账号对共享文件的权限(分别为“只读”、“编辑”、“完全控制”权限)规划。

l   组策略的建立

l   DHCP服务自动分发IP地址(IP与MAC地址绑定,防止外部电脑接入获得IP地址)

  企业杀毒方案

        目前我公司现有局域网办公电脑230 左右,系统有win 7 旗舰版、win 10企业版、    等等,系统漏洞补丁包更新不完善,且办公电脑U 盘  为开放状态。办公电脑采用的  360 杀毒软件为一款免费的个人杀毒软件,病毒库更新需要联网更新或每台逐步手动  离线更新。公司杀毒软件通过Internet更新病毒库时占用大量的网络资源,且夹带太多  的附属产品,如360安全卫士、360软件管家、360浏览器等等,占用电脑硬件资源。   针对这些问题通过NOD32企业杀毒软件解决。

l   安装包较小,安装快速,配置导入,无需每台手动设置。

l   界面简洁,具有常用防护及个人防火墙

l   病毒库更新计划

l   密码保护,防止私自卸载

l   邮件客户端集成,防止病毒垃圾邮件

l   局域网IIS 服务器更新病毒库

  数据文件备份方案

    数据文件安全是一个企业中非常重要的课题,数据备份的任务与意义就在于,当灾难发生后,通过备份的数据完整、快速、 简捷、可靠地恢复原有系统。备份的方式又很多,其中最普通的为从一个硬盘拷贝到另一个硬盘中,或是通过脚本定时将文件拷贝到其他电脑上。但这些方式都是只是将数据文件存放在局域网的另一台电脑上,依然不可避免的是病毒感染、物理机或是硬盘故障等等因素造成的损失。针对此,传统企业选择磁带机备份的方式,每周通过完整备份、每天的差异备份等多种备份机制将数据文件备份到磁带上,从而有效的完成了异地备份方案,保障了数据的安全性。

Ø  4. 设备清单

Ø  5. 实施计划

相关推荐