大幅度地提高系统的安全性(重点是可用性和可控性);
保持局域网原有的能特点,即对局域网的协议和传输具有很好的透明性,能透明接入,无需更改局域网设置。
2、目标
局域网系统安全应该实现以下目标:
建立一套完整可行的局域网安全与局域网管理策略将内部局域网、公开服务器局域网和外网进行有效隔离,避免与外部局域网的直接通信建立网站各主机和服务器的安全保护措施,保证他们的系统安全对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝加强合法用户的访问认证,同时将用户的访问权限控制在最低限度全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为加强对各种访问的审计工作,详细记录对局域网、公开服务器的访问行为,形成完整的系统日志备份与灾难恢复——强化系统备份,实现系统快速恢复加强局域网安全管理,提高系统全体人员的局域网安全意识和防范技术。
四、网络安全方案总体设计
1、安全方案设计原则
对企业局域网局域网系统安全方案设计、规划时,应遵循以下原则:(1)、综合性、整体性原则:
应用系统工程的观点、方法,分析局域网的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。
(2)、需求、风险、代价平衡的原则:
对任一局域网,绝对安全难以达到,也不一定是必要的。对一个局
第 7 页 (共 12 页)
域网进行实际额研究,并对局域网面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
2、安全服务、机制与技术
安全服务:安全服务主要有:控制服务、对象认证服务、可靠性服务等。安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
五、网络安全体系结构
通过对局域网的全面了解,按照安全策略的要求、风险分析的结果及整个局域网的安全目标,整个局域网措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、局域网安全、系统安全、信息安全、应用安全和安全管理。
1、物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机局域网设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
2、网络结构
安全系统是建立在局域网系统之上的,局域网结构的安全是安全系统成功建立的基础。在整个局域网结构的安全方面,主要考虑局域网结构、系统和路由的优化。
局域网结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、局域网维护管理、局域网应用与业务定位等因素。
第 8 页 (共 12 页)
成熟的局域网结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。局域网结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。
3、系统安全
(1)、访问控制及内外网的隔离 ------防火墙的应用
配备相应的安全设备:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同局域网或局域网安全域之间信息的唯一出入口。
防火墙,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。
包过滤(Packet filtering)型
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数安全要求。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有
第 9 页 (共 12 页)
效地过滤如UDP、RPC(远程过程调用)一类的协议。
应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
防火墙主要的种类是包过滤型,包过滤防火墙一般利用IP和TCP包的头信息对进出被保护局域网的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入局域网的信息流。同时可实现局域网地址转换(NAT)、审记与实时告警等功能。由于这种防火墙安装在被保护局域网与路由器之间的通道上,因此也对被保护局域网和外部局域网起到隔离作用。
(2)、内部网不同局域网安全域的隔离及访问控制
在这里,主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个局域网划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个局域网传播。 (3)、局域网安全检测
局域网系统的安全性取决于局域网系统中最薄弱的环节。如何及时发现局域网系统中最薄弱的环节?如何最大限度地保证局域网系统的安全?最有效的方法是定期对局域网系统进行安全性分析,及时发现并修正存在的弱点和漏洞。
因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的局域网监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对局域网的攻击与犯罪行为。
第 10 页 (共 12 页)
相关推荐:
loading