网络安全维护方案(3700字)

来源:m.fanwen118.com时间:2021.2.14

网络安全维护方案

第一部分 网络安全概述

现代计算机系统功能日渐复杂,网络功能日渐强大,正在对社会的各行各业产生巨大深远的影响,但同时由于其开放性特点,使得安全问题越来越突出。 然而,随着人们对计算机网络依赖程度的日渐加深,网络安全也表现得越来越重要。由于网络的互联共享,来自企业内部和全世界各个地方不怀好意的计算机专业人士和黑客都有可能对其实施攻击。我们几乎每天都可以听到黑客对某某企业信息资源进行入侵、篡改和破坏的报道,所以分析和研究黑客入侵技术,研究安全漏洞并修补之,增强网络和信息的安全性能,抵抗黑客入侵破坏,构建一个安全的企业网络系统是非常重要的。

为了应对日益增长的信息安全事件及其相关的资金损失,在过去几年中已经出现了多种信息安全技术,其中包括防火墙、入侵系统检测 (IDS)、虚拟专用网 (VPN) 以及公钥基础结构 (PKI)。对信息安全解决方案的迫切需求已经促成了开发三类可满足一个安全计算环境基本需求的信息安全技术:防火墙(入侵阻止);IDS(入侵检测),及VPN(通过数据加密进行安全通讯)。在过去几年中,这些解决方案的全球市场平均年增长率约为 20%-30%, 且已构成信息安全的基本要素。

自网络问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和黑客(Hackers)对网络的攻击越来越激烈,许多企业遭受破坏的事例不胜枚举。

目前网络存在的漏洞:

l 现有网络系统具有内在安全的脆弱性。

l 对网络的管理思想麻痹,没有重视黑客攻击所造成的严重后果,没有投入必要的人力、财力、物力来加强网络安全性。

l 没有采取正确的安全策略和安全机制。

l 缺乏先进的网络安全技术、工具、手段和产品。

l 缺乏先进的系统恢复、备份技术和工具。

网络攻击

这个领域主要是对网络基础设施的攻击为主(例如,有线、无线、语音、远程接入等)。网络攻击的例子包括:

通过发动"拒绝服务"(DoS)攻击,破坏公司的网络,是网络的合法用户无法正常接入网络。 侵入使用宽带互联网连接的"永远在线"远程工作台位 (例如,通过"后门"入侵),暴露公司的IP,使其面临受到进一步攻击的风险。

在网络上插入一个未经授权的设备,并将其伪装成网络上的一个合法设备。

在公共Web服务器和电子商务服务器上发动入侵攻击。

精心策划并发动病毒攻击,破坏数据和应用。

数据攻击

攻击对在网络上传输的数据 (专用IP、客户记录、员工信息等)、存储在数据服务器上的数据以及在网络上进行存取的各项应用 (电子邮件、Web、ERP、CRM等)。数据攻击的例子包括:

有意破坏在网络上传输的信息,或者无意中窃取以有线或者无线的方式在网络上传输的口令以及其他保密信息。

窃取硬件并访问内嵌在设备上的(如设备MAC地址等)或者存储在设备的硬盘上的保密信息。 用户攻击 攻击对访问网络的用户(IT、终端用户、远程用户等)、用户设备(笔记本电脑、台式电脑等)。用户攻击的例子包括:

盗窃合法网络用户的身份,获取对网络上的保密信息和受保护的资源的访问权。 在用户的设备上发动 DoS 攻击,导致其中断和过载,使用户无法正常运行 。

第二部分 网络安全策略

明确安全防范的重点和对象:

I. 防外,防止外部的非法访问,防止黑客的入侵,保证整个企业内部网络的安全,保证企业的网络通信的畅通。

II. 防内,公司内部可能有一些员工对公司有不满情绪,对企业的网络直接发起攻击,因为他们的计算机直接在企业防火墙的内部,对企业网络内部发起攻击会比外部的黑客入侵有更大的危险性,防火墙无法了解和阻断这些攻击,因此内部网络安全的防范必须给予高度的重视。

III. 重点部门的防范,企业内部一些重点部门(如财务部)由于这些部门存放有公司的一些重要资料,因此必须重点保护。

病毒防治方案:

1. 安装防护工具

安装防毒软件来防范你的电脑被病毒入侵.建议全部机器采用我公司推荐病毒防火墙软件 MCAFEE,病毒库更新快速,覆盖面广。

2. 定期扫描电脑病毒

最少每星期进行一次电脑病毒扫描,而设定扫描时间最好在非繁忙工作时间,例如:放假时间,或午饭时间.

紧记要选择[扫描所有固定磁盘](以MCAFEE为例).不要只选择性地扫描应用文件,因为很多流行的电脑病毒和蠕虫会依附在.EML,.VBS.和.SHS等文件上.

3. 限制员工的存取权限

尽量不要让其他人使用你的电脑系统,因为他们有可能引入有恶意的软件或病毒,感染你的电脑系统.如果必需和他人共用你的电脑系统,你也必须限制第三者对资料夹或硬盘的存取权限.

避免使用共享文件夹(shared folder),若真有此必要,则在共享文件夹设定使用者的名称和密码,这样可限制已被感染的电脑透过共享文件夹感染你的电脑系统.

4. 处理电子邮件的附加文档时要特别小心

不要随便打开来历不明的电子邮件附加文件,一些病毒或蠕虫会假装为节日的祝贺或庆祝语.求职信等等,除非你知道这个文件的内容,请不要执行任何附加文件.

不要散播恶作剧电子邮件,恶作剧的电子邮件通常散布虚假的信息,他们通常里连锁信形式散播病毒消息.

5. 检查外来文件,方可使用

软盘,光碟或从Internet下载(尤其在不知名的网站下载时)的外来文件,需先用防毒软件检查后才能打开或者使用.

6. 即时安装补丁程序

常用的软件,包括操作系统,浏览器和办公室应用程序.需经常安装补丁程序.

留意最新的补丁程序的资讯,关心微软最新推出的补丁程序.启动’’WINDOWS UPDATE”

7. 过滤一切传播病毒或蠕虫的渠道

电子邮件并非传播病毒的或者蠕虫的唯一渠道,其他传播途径,例如:浏览网站或着文件传送(FTP)亦要建立过滤机制阻截病毒或蠕虫.

8. 为系统及资料备份还原做好准备

预先准备一套或以上的还原光盘,并放置在不同而安全的地方,这套备份光盘能帮助你的电脑重新启动及可清除在硬盘上的病毒(先市面上大部分系统安装盘带有DOS杀毒工具),此外,准备一套防毒软件的应急盘,可以用还原时做清除病毒.

将硬盘上的资料(重要数据)备份于另一个硬件,最好一个月替换一次最新的资料.例如:光盘或者服务器上,切勿存放在同一个系统上,就算电脑系统被完全破坏,也有办法恢复你的数据.

9. 其他保护方法

确定你的服务器和个人电脑不会从软驱或光驱启动(BOOT UP),更改BIOS或者CMOS的启动设置为从硬盘启动,这样可以有效的防范引导区类型的病毒.

安装防火墙(firewall),利用放火墙来防范病毒入侵.在没有硬件放火墙的前提下,设定防火墙的对外访问通信的限制,一般防火墙只限制了进入信息的设定.这样才能阻止木马程序的建立对外通信而导致数据丢失.

10.网络知识的培训

通过我们对员工进行基本的网络知识培训,让员工了解网络中常见的使用操作。

典型网络安全拓扑图:

采用这样的网络结构,有益于对服务器与客户机进行集中管理,接入INTERNET,首先由防火墙过滤掉错误或数据包,在防火墙上进行正确的配置

日常维护须知:

不接入INTERNET下,所有机器的系统要GHOST备份;

升级最新病毒库;

设置BIOS登录密码,防止对系统配置有意无意的修改;

定期磁盘碎片整理;

更新系统补丁、各软件补丁,减少安全隐患;

时常备份重要数据(如有条件可用双硬盘+RAID 1 做到万无一失);

关闭不必要的服务,提高系统安全性与运行速度;

关闭默认共享;

不要随意共享整个盘符

如有条件可将重要资料刻录成光盘保存;

将“我的文档”指向除C盘外其他地方

尽可能少安装不必要软件,造成系统臃肿,运行缓慢;

使用U盘传递资料,需将其置于写保护状态,以防止它受到病毒感染;

对需使用的光盘或其他移动存储设备,先杀毒,后使用,做到安全预防;

接入INTERNET情况下,需使用代理服务器软件严格控制一切网络活动,网络防火墙与杀毒软件配合使用,切实更新至最新病毒库,以预防为主。各工作站不能随意打开不明邮件,更不能随意打开附件;下班后,关闭INTERNET连接。对重要文件进行备份。关闭默认共享,在系统登录帐号上,要尽量做到吝啬,只分配所需要之权限。不要在不可靠的渠道下载任何软件。如需使用QQ,在朋友发来的信息有些奇怪时,应反覆确认。

最后,加强对员工的基础知识的培训,切实提高员工的个人安全意识非常重要,据以往经验

来看,往往一个员工看似合理的操作却带来很大的危害(例如,随意打开邮件附件、打开恶意病毒网页),人人多了解些日常安全知识,都能够给企业网络的正常运行添上重要的稳定性。

因此,我们的方案能更好的为贵公司的网络进行规划和管理,确保贵公司网络数据安全与更好的使用网络资源。


第二篇:A市政府网络安全与网站防护解决方案 10100字

《A市政府网络安全与网站防护解决方案》

1 概述

根据CNCERT/CC(国家互联网应急中心)的2月份发布的统计报告,20xx年1月1日至31日,我国大陆地区被篡改网站的数量为3792个,较20xx年12月的1693个增长了124%,其中代号为“<XSA<X”和“BY_TUNCAYOV”的攻击者对大陆网站进行了大量的篡改。我国香港被篡改网站数量为36个,较上月增长了18个,我国台湾地区被篡改网站数量为16个,较上月减小了8个。< p>

如果上面的数据,表达不了网站被攻击的严重性,那么, CNCERT/CC的20xx年7月份的统计报告很说明问题,大约平均每5个政府网站,就有一个网站被黑!而且,近年来,网站被篡改的数目仍然以每年2~3倍的速度在不断递增。

根据这些材料可以知道,网站被篡改、被攻击的数量是非常大的,并且递增的数目也是比较快的。

A市政府网站,在近期被黑客篡改页面的情况多有发生,即影响了政府形象,也给广大市民带来不便。怎样对政府网站进行安全防护,是市政府信息中心所面临的首要任务。 同时,政府现在有300多台计算机上网,虽然有网通、电信宽带接入互联网,但由于各种问题,终端上网速度很多,每天网络中断两、三次,只能重新启动交换机、路由器才能重新上网,但过几个小时,问题会再次出现,单位网络办公的环境也需要改造。

信息中心要求,在不改变现有网站的维护方式的前提下,对网站进行安全防护,防止网站再次被黑;在不改变现有上网设置的情况下,改变整个网络的上网环境、避免再次出现整个网络瘫痪。

经过实地考察,并与信息中心沟通,决定采购两台华硕服务器、一套ISA Server防火墙软件与Windows Server 2003,对现在网络、网站进行改造。其中一台服务器采用华硕TS300-E5,配置2GB内存、单块SATA硬盘、4个集成Broadcom BCM5721 PCI-E千兆网卡;另一台服务器采用华硕TS700-E4,配置16GB内存、1个4核Intel处理器、6块SAS硬盘(其中5块硬盘做RAID5、1块硬盘备用)、集成双千兆网卡、双电源。

2 政府网络现状与用户需求

A市信息中心是正科级全额拨款事业单位,挂靠A市政府办公室,负责全市信息化建设的规划、指导和组织工作,主要承担全市电子政务的建设和管理工作。目前,A市信息中心的内网上接市委、市政府,下联市直80多个部门、10多个乡镇、经济技术开发区。 为方便市领导上互联网的需要,信息中心还向网通、电信各申请了20M互联网带宽,通过双WAN口路由器,实现网通、电信双线路负载平衡。为了方便网上办公和网上审批工作,每个部门都建立了自己的局域网,全市办公内网的微机保有量约2000台以上,A市的信息化应用水平在石家庄市各县市区中一直名列前茅。

目前,A市政府信息化应用水平较高,有办公自动化系统、政府网站、市委网站、各个乡镇、市直机关网站、互联审批、审计系统,这些系统分别运行在机房的多台服务器上。这些服务器,有的是一些品牌机服务器,有些是组装的服务器,配置比较低、没有提供数据的冗余与备份功能,从长远角度来看,存在安全隐患。

从今年开始,政府网站被黑客篡改首页多次,并且修改的次数越来越多、间隔越来越短。每次黑客修改网页后,只能通过备份恢复,有的黑客向网页中嵌入广告代码,信息中心人员只能一个一个网页检查、然后删除这些广告代码,给政府网站对外宣传带来了负面影响,也给信息中心人员的管理人员带来了压力。

同时,随着近几年来,网上办公的兴起,政府楼内接入网络的计算机越来越多,另外,随着职工使用计算机水平的提高,管理难度越来越大。这直接表现为许多人在上班时间聊天、

下载电影、玩游戏,占用了网络带宽,导致上网越来越慢。在每天上网高峰的时期(上午10点半左右、下午3点左右),网络缓慢的几近打不开网页,只能通过重新启动交换机、双WAN口路由器的方式,恢复网络连接。

另外,当每次大规模的病毒爆发时,例如以前的“熊猫烧香”病毒、冲击波病毒、ARP病毒,都会导致整个网络瘫痪。

市政府信息中心对外面临政府网站被黑客攻击、修改页面,对内面临整个单位局域网网络速度缓慢、整个单位办公用计算机经常感染木马、病毒需要重新安装系统等诸多压力,可以说,整个网络安全状态已经到了不得不改的情况。

政府信息中心的需求主要包括以下几个方面:

ü 保护政府网站不被黑客入侵。

ü 解决局域网上网速度慢的问题。

ü 解决整个网络经常感染木马、病毒的问题。

ü 减轻信息中心人员负担。

3 方案设计

在方案设计之前,需要详细的了解现有网络的状况。经过信息中心人员进行介绍,并经过实际考察,画出A市政府现有网络的拓扑图,如图1所示。

图1 A市政府网络拓扑

A市政府各有20M光纤分别接电信、网通(现联通)访问Internet,这两条光纤通过“光纤收发器”转成RJ45网线,接在一个双WAN口的路由器上,用做代理服务器。该双WAN口路由器LAN口接到三层交换机上,三层交换机划分了多个VLAN,每个楼层属于一个VLAN,并且在每个楼层都有一个普通的交换机。政府网站与OA服务器在同一台服务器上,直接接到三层交换机上。在双WAN口路由器上映射了一个外网地址的TCP的80端口到政府网站与OA服务器的IP地址(192.168.1.8),Internet上的用户通过政府网站域名www.xx..cn访问,政府内的人员都是直接使用IP地址192.168.1.8访问政府网站,信息中心工作人员是使用192.168.1.8来访问与维护网站、更新网站内容。

3.1 网站频繁被黑的原因与解决对策

经过分析,发现网站频繁被黑的原因可能如下:

ü 操作系统漏洞:网站服务器的操作系统是Windows 2000 Server,虽然现在Windows Server 2008已经发布,Windows Server 2003应用也很成熟,但由于各种原因,服务器操作系统一直没有升级,另外,也没有及时的更新各种补丁。

ü 数据库漏洞:数据库使用的是SQL Server 2000,同样,也没有打补丁。

ü 网站代码漏洞:政府网站,是由信息中心的人员,在20xx年左右,在网上下载的代码的基础上,修改成的。由于开始的时候,网站被攻击的事情很少发生,所以,信息中心的人员忽视了这方面的情况。这些网站代码中,存在SQL Server注入漏洞、文件上传漏洞、漏洞等,而后台管理密码也是比较简单。

针对网站被黑的原因后,首先提出如下的解决方法:

ü 及时更新操作系统补丁与数据库的补丁。

ü 升级操作系统与数据库:由于Microsoft已经不对Windows 2000与SQL Server提供支持,建议将将Windows 2000 Server升级到Windows Server 2003,将SQL Server 2000升级到SQL Server 2005。

ü 修改网站代码,避免SQL Server注入漏洞、文件上传漏洞与Shell漏洞。

虽然知道需要修改网站代码防止网站被黑,但实际上,政府网站已经使用多年,短期内对政府网站做大的修改不容易实现,只能通过其他的技术手段来保护网站。考虑到政府网站

是在局域网内由信息中心人员维护的特点,决定采用如下的技术措施:

将政府网站分成两个相同的站点,一个站点用于对外发布,供市民、网民通过Internet浏览、查看内容,另一个网站专门用于信息中心人员维护,该网站只能通过内网访问,这两个网站使用同一个数据库。而发布到Internet上的网站,其采用的SQL Server用户名密码只能“浏览”访问网站SQL Server数据库,而用于内网维护的网站,其采用的SQL Server用户对政府网站数据库有“完全控制”的权限。另外,在双WAN口路由器与三层交换机之间,增加一级代理服务器,采用ISA Server做软件防火墙与代理服务器,用ISA Server的“签名”等功能,通过过滤关键字的功能,防止文件上传漏洞、Shell漏洞等。

3.2 内网速度慢的原因与解决方法

对于局域网内,计算机速度慢、网络速度慢、经常感染病毒等问题,简单来说,如果升级计算机的配置、增加出口带宽的速度,是可以解决问题。但是,这些都是不现实的,另外,这也不是解决问题的根本方法,即使用这种方法解决了现在的问题,但过段时间,同样的问题仍然会继续。

在用户现场,经过进一步分析、调查与判断,得到如下的结果:

(1)内存不足导致运行缓慢。

大多数的计算机内存都比较小,主要是256MB内存。而杀毒软件,大多数用户使用的是“瑞星”,不可否认,瑞星杀毒软件占的资源比较大,在现在主流操作系统是Windows XP SP2的情况下,安装瑞星占用的资源相对比较大。在安装了操作系统、瑞星杀毒软件,与常用的办公软件,例如Office、WPS后,系统内存占用的资源已经到了170多MB,在打开网页时,由于现在网页中图片、广告很大,IE浏览器少则会占用30MB、多则占用几百MB甚至上GB的内存,当主机内存不够的情况下,会使用硬盘空间作为交换分区(虚拟内存),这样就造成了计算机速度变慢。

(2)病毒占用系统资源。

许多计算机没有打“补丁”,在浏览一些网页时,感染了木马或蠕虫病毒,有的计算机感染了ARP病毒,所以在计算机启动的时候,这些木马或蠕虫,试图通过网络感染给其他计算机、或者试图连接广告站点,占用了系统资源,这是计算机启动慢、反应慢的最主要原因。

(3)带宽被占拖慢网速。

单位提供4MB带宽,本来是为单位上网(浏览网页)、收发邮件等正常办公使用,但近一两年来,许多用户使用计算机“水平”越来越高,一些员工在工作时间看在线视频,或者玩游戏,使用讯雷或BT下载电影,占用了大量的网络带宽,而双WAN口路由器没有流量监控与流量控制功能。经过实际测试,在看“新华网”的在线视频时,单一视频流就会占用800KB以上的带宽,理论上讲,只要单位中有20个人看新华网的在线视频,就会占用整个20M出口的带宽。这些是导致网络速度变慢的最主要原因。

对上述这些情况,可以通过打补丁、更新杀毒软件等方法解决,主要内容如下:

(1)使用微软免费产品WSUS

使用Microsoft提供的专门用于企业用户的升级服务器-WSUS,统一为网络中的计算机“打”补丁。采用WSUS,将原来每台工作站都需要访问Internet上的微软补丁站点的方法改为直接访问局域网内的WSUS服务器的方式获得补丁,即提高了更新补丁的速度,又节省了出口带宽。例如,Windows XP SP3补丁大约300MB,如果单位中的每台计算机都从Microsoft升级服务器获得补丁并升级,以100台工作站为例计算,需要下载300MB×100=30GB,而采用WSUS,只需要WSUS从Microsoft升级服务器下载300MB补丁,其他工作站直接从WSUS即可获得补丁。

(2)使用ISA Server禁止无序下载、限制每台计算机的并发连接数量

在双WAN口路由器与三层交换机之间,增加ISA Server防火墙与代理服务器,使用ISA

Server,禁止职工在上班时间使用BT、讯雷等软件无限下载软件、视频,并限制每个计算机的并发连接数量。

(3)采用占用资源较小的杀毒软件

网络版杀毒软件太贵,可以购买支持局域网升级的杀毒软件,例如以前的金山毒霸、江民,现在的NOD32、卡巴斯基。考虑到客户端计算机配置比较低,可以选择占用资源比较低的NOD32。这样,改进后的网络拓扑如图2所示。

图2 配置防火墙与升级服务器

3.3 最终方案

在确定了网站防防护、内网安全与改造方案后,对这两个方案进行综合考虑,同时,考虑到原来的网站与OA服务器,已经使用多年,也到了升级的时候,而WSUS与NOD32服务器占用的资源并不是很多,单独放置在新买的服务器中,对服务器的资源是一种浪费。经过多方面分析,我们推荐如下的综合解决方案:

(1)购置一台高配置的、具有磁盘冗余的服务器,采用虚拟化技术,在一台服务器上实现两台虚拟机,其中一台虚拟机放置政府网站与OA网站,另一台虚拟机放置WSUS升级服务器与NOD32服务器。

(2)配置一台多网卡的、安全稳定的服务器,添加在双WAN口路由器与三层交换机之间,安装ISA Server 2006软件,做防火墙与代理服务器。

(3)修改双WAN口路由器的LAN端口地址,改为192.168.200.1,而原来的192.168.250.1用在新的ISA Server服务器接三层交换机的网卡上,ISA Server服务器接双WAN口路由器的网卡设置IP地址192.168.200.2/24。在双WAN口路由器上,设置TCP协议80端口转发给192.168.200.2,再由ISA Server转发到政府网站服务器192.168.1.8。

(4)网络中的所有工作站,配置使用局域网内的WSUS服务器进行补丁的升级,统一卸载以前的杀毒软件,改为统一使用NOD32,并指定从信息中心NOD32服务器进行升级。

(5)在ISA Server上发布政府网站,并对网站进行保护。

(6)迁移网站到虚拟机1中,并将网站分成用于Internet发布的外网网站、用于内网管理的网站。

在方案实施中将详细介绍每一个细节。如图3所示,这是网络最终的拓扑。 图3 A市政府网络安全改造方案拓扑图

3.4 方案特色

由于选择了高配置的华硕服务器,以及使用VMware ESX Server虚拟化产品,以后再需要其他服务器时,不需要再购置新的硬件,只需要在VMware ESX Server中创建新的虚拟机即可以满足应用。在本次方案中,配置的华硕TS-700高配置服务器,可以同时运行8~16台虚拟机,足可以满足现在以及将来一段时间的需求。同时,在采用虚拟化技术后,减少了服务器的购置需求,并减少了服务器在以后运行中的耗电,近一步降低了产品的使用费用,符合绿色环保、节能的需求。

6 方案实施

在硬件、软件到位后,开始对A市政府网络进行改造,在改造的过程中,会中断网络,为了不影响大家工作,建议在休息时间,例如周六或周日。整个网络改造包括网络硬件的安装、调试与服务器的安装调试,大约需要1天的时间。方案的实施步骤如下:

6.1 在双WAN口路由器与三层交换机之间增加ISA Server防火墙

在新购置的华硕TS-500服务器上安装32位的Windows Server 2003企业版与ISA Server 2006标准版,并接在双WAN口路由器与三层交换机之间,相当于在整个网络中,增加一个“软件”防火墙,然后修改配置双WAN口路由器的配置,并转发TCP的80端口到ISA Server,

再由ISA Server转发到政府网站服务器。主要步骤如下:

(1)安装32位的Windows Server 2003企业版,在安装的过程中,将硬盘划分为3个分区。分区按照2:3:2的比例。安装系统后,安装驱动程序。

(2)配置双WAN口路由器,将LAN口的IP地址由192.168.250.1修改为192.168.200.1/24,并转发TCP的80端口到192.168.200.2。并添加到192.168.0.0/18的静态路由,指向192.168.200.2。

(3)将服务器接入网络,其中一块网卡接到双WAN口路由器的LAN口(代替原来接三层交换机的端口),设置这块网卡的名称为“Internet”,设置IP地址为192.168.200.2/28,网关地址为192.168.200.1。设置另一块的地址为192.168.250.1/24(不设置网关地址),将这块网卡连接到三层交换机原来接双WAN口路由器的端口,命名这块网卡为LAN。配置好后,使用命令,检查网络的连接是否正确,无误之后,在命令提示符下键入如下的命令,以增加到192.168.0.0~192.168.63.0/24的路由:

route add –p 192.168.0.0 mask 255.255.192.0 192.168.250.2

(4)安装ISA Server 2006,并将ISA Server 2006安装在第2分区。安装完成后,配置ISA Server 2006,其内网地址是192.168.0.0~192.168.63.0/24、192.168.250.0/24、192.168.200.0/24网段。

(5)配置ISA Server 2006,允许“内网”访问“外网”,此时,局域网内的计算机应该可以访问外网。

二 我国政府网站系统安全解决方案

我国网站的安全题目十分严重,大量网站被黑客入侵和篡改,甚至被植入木马攻击程序,成为黑客的得力工具。利用网站操纵系统的漏洞和WEB服务程序的SQL注入漏洞等,黑客能够得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严峻的则是在网页中植入恶意代码(俗称“网页挂马”),使得更多网站访问者受到侵害。

在CNCERT/CC处理的安全事件中,涉及国外贸易机构的网站建设仿冒类事件,以及海内政府机构和重要信息系统部分的网页篡改类事件的数目最多。中国大陆被篡改网站的数目近年来增长迅猛,仅仅20xx年5月,CNCERT/CC监测到中国大陆被篡改网站总数累积达3854个,较上月增加629个,20xx年1月至5月监测数据表明还在迅速增加。

门户网站风险隐患分析

要寻求一个综合全面的解决方案,首先我们先来看看门户网站存在哪些风险隐患,从已有的数据分析来看门户的网站在所有篡改网站中呈现出几大特点:

从技术角度来看,存在以下几个特点:

1、网上应用的增多,安全隐患(薄弱环节)逐步上升,尤其是代码类安全隐患,这也是遭到攻击的最主要原因;

2、针对门户网站的攻击手段迅速发展,且攻击不易被发现的特点,使得网站攻击成为仅次于排名首位的病毒危害;

从其他角度来看,还存在以下特点:

1、受攻击后影响较大,海内外敌对势力的恶意破坏始终没有终止过,此外,政府门户被攻陷也经常成为黑客攻击夸耀的资本;

2、此外,躲藏在攻击背后的较大的经济利益链驱动,如在政府门户上恶意代码攻击(如,挂马攻击,不轻易被发现),也成为攻击的主要原因;

3、众多门户网站安全防护往往得不到足够的正视,防护意识严峻不足,侥幸心理因素也造成网站安全防护不及时,造成被攻击数目迅速上升;

以上特点中其中,经济利益的驱动发展较为迅速,大量盗取私家银行账号信息和各类网上密码,黑客广撒网的攻击方式对政府网站尤其青睐,贸易性网站因为其经营性特点,对安全防护方面往往投入较大精力,防护方面往往做得相对较好。

网站内容复制轻易,转载速度快,后果难以预料,网页假如被篡改,将直接危害该网站的利益,尤其是门户网站作为政府发布重要新闻、重大方针政策、法规、企业信息等的重要渠道,一旦被黑客篡改,将严峻损害政府的形象,破坏群众对政府部分的信任,后果不堪设想。假如没有坚固的安全体系和有效的事件响应能力,无异于将重要信息暴露于外。由此看来,网络安全题目已成为政府网站建设的一项重要内容。

解决方案部署

部署策略:

1) 全面安全防护:网页保护防篡改系统(具备防SQL注入、跨站脚本等攻击模块)

2) 网页综合威胁检测系统

部署产品:

WebGuard网页防篡改保护系统

WebGurad网页防篡改保护系统采用目前最提高前辈的系统驱动级文件保护技术,基于事件触发式监测机制,高效实现了网页监测与防护功能,彻底杜绝了网站被非法篡改的可能。其机能、灵活性以及安全性远远高于传统类防护技术,支持各类网页格局,占用系统资源极少,低于2%,无需增加额外设备,不改变现有网络架构。该系统还支持网页的自动发布功能和多种远程治理等功能,WebGuard已经成为目前海内政府、各企事业单位网站防篡改保护的首选安全产品。自20xx年推出以来迅速得到一线用户的支持和信赖,于20xx年度获得“网管员最喜爱的网页防护系统”奖,20xx年获得“最值得信赖品牌”奖,并于20xx年4月成功“中心政府采购20xx年协议供货”入围(通用软件组-网络治理类软件-智恒同盟)。该系统在奥运期间及神七发射期间为泛博政府机构成功保驾护航,抵抗住数以千计的黑客攻击。 传统的网页保护技术有基于轮询检测检测技术、内嵌技术、事件触发机制等,大量实践表明,轮询检测技术检测效率较低,对服务器负载以及带宽资源消耗较大,而且不能完全杜绝短时间泛起外部访问到非法篡改后的网站,是第一代网页防篡改技术,在过去带宽资源相对不丰硕,应用系统对系统应用资源较少的情况下使用,但不能实时对网页进行恢复,往往比较滞后;跟着技术发展,网站上运行的各类应用逐渐增多,服务器负载将是网页防篡改技术面对的最大挑战,内嵌技术的应用在一定程度上降低了篡改的几率,但其部署方式较为复杂,加密算法的选择严峻影响到了服务器的负载,而且时常会泛起大量网页外部不可访问的状况,这属于第二代监测技术;基于事件触发机制被大量事实证实是服务器的负载最小的一种检测技术,简朴,成熟,可靠,已经成为目前最主流的检测技术,结合事件触发机制的基于文件过滤驱动级多因子检测技术是第三代全新防篡改技术,通过文件底层驱动技术从根本上解决了文件检测的正确度,以及针对子文件夹的保护,程序后台运行监测程序,一旦发现文件变化,则立刻阻止非法变更企图,效率和安全性都得到了较好的保证,对大中型网站均可以起到很好的保护效果。

网站啄木鸟(WebPecker)-网站整体威胁检测系统

“网站啄木鸟”是北京智恒同盟科技有限公司技术研究团队多年深入研究当前各类流行Web攻击手段(如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等)的经验结晶。该系统是目前海内最早的一款贸易化Web安全检查系统,通过本地检测技术与远程检测技术相结合,对网站进行全面的、深入的、彻底的风险评估,综合性的规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)以及业界最为领先的智能化爬虫技术及SQL注入状态检测技术,使得比拟海内外同类产品智能化程度高,速度快,误报率极低。

经由数百个用户的实践证实,“网站啄木鸟”是Web安全性价比最高的产品,比拟国外

的Web安全扫描产品来说,速度快,具备紧密跟踪海内最新网页木马的快速响应及更新能力;比拟海内的Web安全扫描产品来说,功能多、结果准,该系统是我国等级保护测评以及网站安全保密检查必备软件系统。

网站安全性检测传统的方法往往依赖渗透渗出测试(黑箱、白箱和灰箱测试),这往往局限于测试职员的技术水准高低。目前,大多是采用一系列已知攻击手段进行手工检测,且工作量巨大,因为时间关系以及各类网站系统的复杂性程度不同,通常得不到真正有效的评估,海内能从事此类工作的技术职员往往较少,用户终极得到的评估讲演往往仅是找到几个系统已知漏洞、某个注入点或者跨站脚本攻击漏洞等常规漏洞。因为评估职员的知识面局限性使得整体评估不够全面,且深度不足。网站的应用逐步增多,更新较快,每隔一段时间应做一次全面检测,若采用传统渗透渗出测试方法,花费昂贵,且往往得不到真正意义上的风险讲演。

WebPecker系统具备以下几个功能:

(1)网站木马检测,主要是对网站或网页中是否存在木马检测;

(2)SQL注入检测,主要检测网站是否存在SQL注入漏洞,当发现有注入漏洞时,并进行SQL注入验证;

(3)跨站脚本攻击检测,针对网站中所有网页进行跨站漏洞扫描;

(4)检测网站的治理后门漏洞;

(5)对网站中包含的敏感信息进行扫描,防止重要的信息泄露或非法言论通过网站进行传播;

核心技术上风:

(1)SQL注入网页抓取

WebPecker的网页抓取模块采用广度优先爬虫技术以及网站目录还原技术。广度优先的爬虫技术的不会产生爬虫陷入的题目,网站目录还原技术则去除了无关结果,进步抓取效率。

(2)SQL注入状态扫描技术(非错误检测)

WebPecker不同于传统的针对错误反馈判定是否存在注入漏洞的方式,而采用自主立异的状态检测来判定。所谓状态检测,即:针对某一链接输入不同的参数,通过对网站反馈的结果使用向量比较算法进行比对判定,从而确定该链接是否为注入点,此方法不依靠于特定的数据库类型、设置以及CGI语言的种类,对于注入点检测全面,不会产生漏报现象。而常见的SQL注入扫描产品均不具备此项技术。

(3)注入验证基于注入状态

WebPecker采用状态检测来对数据库的数据进行猜解,不管网站采用什么CGI语言,不管网站是否反馈错误信息,都能进行正常的猜解,而常见的SQL注入扫描产品均不具备此项技术。

更多类似范文
┣ 网络维护协议 2000字
┣ XX公司电脑网络维护服务协议书 3800字
┣ 网络维护协议书 1100字
┣ 网络维护承包协议书 2100字
┣ 更多网络维护合同范本
┗ 搜索类似范文