企業(yè)信息安全綜合解決方案設(shè)計(jì)

要求有具體的問題，比方，信息系統(tǒng)安全〔硬件，場(chǎng)地，軟件，病毒，木馬，〕，網(wǎng)絡(luò)安全〔網(wǎng)絡(luò)入侵，效勞器/客戶端的連通性，vpn的安全問題〕，人員安全〔身份識(shí)別，分權(quán)訪問，人員治理〕，電子商務(wù)安全〔密鑰，PKI〕，或者其它！【為保護(hù)隱私，公司原名用XX代替。內(nèi)容涉及企業(yè)網(wǎng)絡(luò)安全防護(hù)，入侵檢測(cè)，VPN加密、數(shù)據(jù)安全、用戶認(rèn)證等企業(yè)信息安全案例，供參考】XX企業(yè)信息安全綜合解決方案設(shè)計(jì)一．引言隨著全球信息化及寬帶網(wǎng)絡(luò)建設(shè)的飛速進(jìn)展響，全部信息承受明文傳輸，導(dǎo)致互聯(lián)網(wǎng)的安全性問題日益嚴(yán)峻，非法訪問、網(wǎng)絡(luò)攻擊、信利用信息安全技術(shù)來確保網(wǎng)絡(luò)的安全問題恒的話題?！靶茇垷恪?、“灰鴿子”等病毒就造成了這樣的后果。由于安全事故給企業(yè)造成不必要的損失呢？二．XX企業(yè)需求分析該企業(yè)目前已建成掩蓋整個(gè)企業(yè)的網(wǎng)絡(luò)平臺(tái)Cisco以企業(yè)所在地為中心與數(shù)個(gè)城市通過1M使用ADSL、CDMA登錄互聯(lián)網(wǎng)后通過VPN連接到企業(yè)內(nèi)網(wǎng)，或者通過PSTN撥號(hào)連接。在SAP的ERP系統(tǒng)、電子郵件系統(tǒng)、網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)、VoIP語音系統(tǒng)、企業(yè)Web網(wǎng)站，以及FHS自動(dòng)加油系統(tǒng)接口、互聯(lián)網(wǎng)接入、網(wǎng)上銀行等數(shù)字化應(yīng)用，對(duì)企業(yè)的日常辦公和經(jīng)營治理起到重要的支撐作用。外部網(wǎng)絡(luò)的安全威逼密信息。假設(shè)內(nèi)部網(wǎng)絡(luò)的一臺(tái)電腦安全受損〔被攻擊或者被病毒感染，就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的很多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)。假設(shè)系統(tǒng)內(nèi)部局域網(wǎng)與系統(tǒng)外部網(wǎng)絡(luò)間沒有實(shí)行肯定的安全防護(hù)措施到來自外網(wǎng)一些不懷好意的入侵者的攻擊。內(nèi)部局域網(wǎng)的安全威逼據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊大事中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵害。來自機(jī)構(gòu)內(nèi)部局域部不懷好意的員工通過各種方式盜取他人涉密信息傳播出去。網(wǎng)絡(luò)設(shè)備的安全隱患網(wǎng)絡(luò)設(shè)備中包含路由器、交換機(jī)、防火墻等，它們的設(shè)置比較簡(jiǎn)單正確理解而使這些設(shè)備可用但安全性不佳。二、操作系統(tǒng)的安全風(fēng)險(xiǎn)分析所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少用不著的效勞模塊，開放了很多不必開放的端口，其中可能隱含了安全風(fēng)險(xiǎn)。目前的操作系統(tǒng)無論是Windows還是UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必定有其Back-Door間。三、應(yīng)用的安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)。其他員工竊取并傳播出去造成泄密，由于缺少必要的訪問掌握策略。的訪問、通過口令猜測(cè)獲得系統(tǒng)治理員權(quán)限、數(shù)據(jù)庫效勞器本身存在漏洞簡(jiǎn)潔受到攻擊等?！灿布栴}或軟件崩潰病毒侵害的安全風(fēng)險(xiǎn)：網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的安全因素。手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息，也就造成的泄密。四、治理的安全分析治理方面的安全隱患包括：內(nèi)部治理人員或員工圖便利省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡(jiǎn)潔，導(dǎo)致很簡(jiǎn)潔破解。責(zé)任不清，使用一樣的用戶名、口令，導(dǎo)致權(quán)播給外人帶來信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險(xiǎn)。權(quán)不明，治理混上亂、安全治理制度不健全及缺乏可操作性等都可能引起治理安全的風(fēng)險(xiǎn)。即除了從技術(shù)下功夫外，還得依靠安全治理來實(shí)現(xiàn)。三．XX該企業(yè)信息安全防護(hù)方案和策略主要由以下各局部組成:1.Internet安全接入承受PIX515作為外部邊緣防火墻，其內(nèi)部用戶登錄互聯(lián)網(wǎng)時(shí)經(jīng)過NetEye防火墻，再PIX映射到互聯(lián)網(wǎng)。PIXNetEye之間形成了DMZ區(qū)，需要供給互聯(lián)網(wǎng)效勞的郵件效勞器、Web效勞器等防止在該DMZ區(qū)內(nèi)。該防火墻安全策略如下:Internet上只能訪問到DMZ內(nèi)Web8025端口;InternetDMZ區(qū)不能訪問內(nèi)部網(wǎng)任何資源;Internet訪問內(nèi)部網(wǎng)資源只能通過VPN系統(tǒng)進(jìn)展。為了防止病毒從Internet進(jìn)入內(nèi)部網(wǎng)，該企業(yè)在DMZ區(qū)部署了網(wǎng)關(guān)防病毒系統(tǒng)。承受SymantecWebSecurity3.0防病毒系統(tǒng)，對(duì)來自互聯(lián)網(wǎng)的網(wǎng)頁內(nèi)容和附件等信息設(shè)定了合理的過濾規(guī)章，阻斷來自互聯(lián)網(wǎng)的各種病毒。防火墻訪問掌握;PIX防火墻供給PAT效勞，配置IPSec加密協(xié)議實(shí)現(xiàn)VPN撥號(hào)連接以及端到端VPN連接，并通過擴(kuò)展ACL對(duì)進(jìn)出防火墻的流量進(jìn)展嚴(yán)格的端口效勞掌握。NetEye防火墻處于內(nèi)部網(wǎng)絡(luò)與DMZDMZDMZ區(qū)進(jìn)入內(nèi)網(wǎng)的流量則進(jìn)展嚴(yán)格的過濾用戶認(rèn)證系統(tǒng);用戶認(rèn)證系統(tǒng)主要用于解決撥號(hào)和VPN接入的安全問題，它是從完善系統(tǒng)用戶認(rèn)證、訪問掌握和使用審計(jì)方面的功能來增加系統(tǒng)的安全性。承受思科的ACS用戶認(rèn)證系統(tǒng)。在主域效勞器上安裝Radius效勞器，在Cisco撥號(hào)路由器和PIX防火墻上配置了RadiusVPN用戶身份認(rèn)證在Radius效勞器上強(qiáng)制用戶定期更改口令。同時(shí)配置了一臺(tái)VPN日志效勞器，記錄全部VPN用戶的訪問，而撥號(hào)用戶的訪問則記錄在Radius效勞器中，作為系統(tǒng)審計(jì)的依據(jù)。系統(tǒng)治理員可以依據(jù)需要制定用戶身份認(rèn)證策略。入侵檢測(cè)系統(tǒng);在系統(tǒng)中關(guān)鍵的部位安裝基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)中發(fā)生的安全大事，并能準(zhǔn)時(shí)做出響應(yīng)。依據(jù)該企業(yè)網(wǎng)絡(luò)應(yīng)用的狀況，可在互聯(lián)網(wǎng)流量會(huì)聚的交換機(jī)處部署一套CAeTrustIntrusionDetection，它可實(shí)時(shí)監(jiān)控內(nèi)部網(wǎng)中發(fā)生的安全大事，使得治理員準(zhǔn)時(shí)做出反響，并可記錄內(nèi)部用戶對(duì)Internet的訪問，治理者可審計(jì)Internet波病毒爆發(fā)時(shí)，該系統(tǒng)能夠顯示出哪些主機(jī)感染了病毒而不停地向其他網(wǎng)絡(luò)主機(jī)發(fā)出播送包。企業(yè)的網(wǎng)絡(luò)治理員可以依據(jù)實(shí)際應(yīng)用環(huán)境對(duì)IDS進(jìn)展具體配置，并在實(shí)踐中依據(jù)需要隨時(shí)調(diào)整配置參數(shù)。5，網(wǎng)絡(luò)防病毒系統(tǒng);該企業(yè)全面地布置防病毒系統(tǒng)，包括客戶機(jī)、文件效勞器、郵件效勞器和OA效勞器。該企業(yè)承受McAfeeTVD防病毒系統(tǒng)保護(hù)客戶機(jī)和文件效勞器的安全，客戶機(jī)每天定時(shí)McAfee效勞器通過FTP方式下載并安裝最的病毒代碼庫。該企業(yè)電子郵件系統(tǒng)運(yùn)行在DominoMcAfee針對(duì)Domino數(shù)據(jù)庫的病毒過濾模塊，對(duì)發(fā)送和接手的郵件附件進(jìn)展病毒掃描和隔離。VPN加密系統(tǒng);該企業(yè)通過PIX防火墻建立了基于IPSec國際標(biāo)準(zhǔn)協(xié)議的虛擬專網(wǎng)VPN，承受3DEC加密算法實(shí)現(xiàn)了信息在互聯(lián)網(wǎng)上的安全傳輸。VPN系統(tǒng)主要用于該企業(yè)移動(dòng)辦公的員工供給互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)OA系統(tǒng)，同時(shí)為企業(yè)內(nèi)網(wǎng)ERP用戶訪問大股東集團(tuán)公司的SAP系統(tǒng)供給VPN加密連接。網(wǎng)絡(luò)設(shè)備及效勞器加固;該企業(yè)網(wǎng)絡(luò)治理員定期對(duì)各種網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)展安全性掃描和滲透測(cè)試洞并實(shí)行補(bǔ)救措施。安全性掃描主要是利用一些掃描工具，包括Retina、X-Scan、SuperScan、LanGuard目的是覺察系統(tǒng)存在的各種漏洞。洞，以黑客使用的手段對(duì)系統(tǒng)進(jìn)展模擬攻擊，最大限度地得到系統(tǒng)的掌握權(quán)。例如，利用Unix系統(tǒng)的/bin/login無需任何身份驗(yàn)證即可遠(yuǎn)程非法登錄漏洞以及priocntl系統(tǒng)調(diào)用漏洞，通過緩沖溢出進(jìn)入系統(tǒng)后進(jìn)展權(quán)限提升，即可獲得Root權(quán)限。施包括:關(guān)閉不必要的網(wǎng)絡(luò)端口;視網(wǎng)絡(luò)應(yīng)用狀況禁用ICMP、SNMP等協(xié)議;安裝最系統(tǒng)安全補(bǔ)丁;SSH而不是Telnet進(jìn)展遠(yuǎn)程登錄;調(diào)整本地安全策略，禁用不需要的系統(tǒng)缺省效勞;啟用系統(tǒng)安全審計(jì)日志。攻擊、非法遠(yuǎn)程登錄等黑客攻擊行為。桌面電腦安全治理系統(tǒng);該企業(yè)承受LANDesk有如下功能:補(bǔ)丁治理是LAN-Desk系統(tǒng)的主要功能之一，主要用于修復(fù)桌面電腦系統(tǒng)漏洞，避開蠕蟲病毒、黑客攻擊和木馬程序等。LANDesk補(bǔ)丁治理器能夠高效地實(shí)現(xiàn)安全補(bǔ)丁治理。補(bǔ)丁程序能夠從全球統(tǒng)一的補(bǔ)丁治理效勞器自動(dòng)下載，并自動(dòng)分發(fā)到每臺(tái)桌面電腦，無需IT人員干預(yù)。補(bǔ)丁程序在分發(fā)安裝前，都經(jīng)過本地效勞器的測(cè)試，從而確保補(bǔ)丁自身的安全性，避開損壞用戶系統(tǒng)。由于LANDesk承受全自動(dòng)補(bǔ)丁分發(fā)方式，大大減輕了治理員的負(fù)荷，而更重要的是能夠OA用戶的電腦免受破壞。間諜軟件檢測(cè)基于LAN-Desk隨時(shí)更的集中化安全治理核心數(shù)據(jù)庫，該系統(tǒng)能夠自動(dòng)。安全威逼分析LANDesk供給自動(dòng)的威逼分析功能，它能夠自動(dòng)檢測(cè)桌面電腦的配置風(fēng)險(xiǎn)，包括共享、口令、掃瞄器等安全問題，并自動(dòng)進(jìn)展修補(bǔ)或提出修改建議。LANDesk供給的應(yīng)用程序治理功能可以通過遠(yuǎn)程執(zhí)行指令，阻擋有關(guān)應(yīng)用程序的運(yùn)行。設(shè)備訪問掌握LANDesk問掌握策略，限制對(duì)網(wǎng)絡(luò)、驅(qū)動(dòng)器、通信端口、USB和無線頻道的訪問，防止關(guān)鍵數(shù)據(jù)喪失和未授權(quán)訪問。IT資產(chǎn)治理對(duì)該企業(yè)全部上網(wǎng)電腦進(jìn)展在線治理。該系統(tǒng)能夠自動(dòng)掃描在線電腦的配置IP地址、操作系統(tǒng)類型、應(yīng)用程序安裝狀況等等，并可進(jìn)展分類、依據(jù)需要形成不同報(bào)表。數(shù)據(jù)備份系統(tǒng)該企業(yè)承受HP1/8磁帶自動(dòng)裝載機(jī)對(duì)企業(yè)數(shù)據(jù)進(jìn)展備份，該磁帶庫可以同時(shí)裝載9盒磁大存儲(chǔ)容量為640GBLegatoNetWorker定，備份和恢