菠萝视频app

信息安全系統您所在的位置:首頁>解決方案
信息安全系統

一、網絡信息安全問題概述

    隨著互聯網發展和IT技術的普及,網絡和IT已經日漸深入到日常生活和工作當中,社會信息化和信息網絡化,突破了應用信息在時間和空間上的障礙,使信息的價值不斷提高。但是與此同時,網頁篡改、計算機病毒、系統非法入侵、數據泄密、網站欺騙、服務癱瘓、漏洞非法利用等信息安全事件時有發生。目前,許多企事業單位的業務依賴于信息系統安全運行,信息安全重要性日益凸顯。信息已經成爲各企事業單位中重要資源,也是一種重要的“無形財富”,在未來競爭中誰獲取信息優勢,誰就掌握了競爭的主動權。信息安全已成爲影響國家安全、經濟發展、社會穩定、個人利害的重大關鍵問題。 

二、安全風險分析 

    我们按照国际上流行的安全隐患分析思想,采取对系统分层的方法,从物理层、网络层、系统层、应用层和管理层等五个层次来分析其可能的安全隐患。我们在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的安全整体解決方案。

1.物理層安全風險分析
    1)物理安全应从如下几个方面来考虑:
    2)设备被盗、被毁坏 ;
    3)链路老化或被有意或者无意的破坏 ;
    4)计算机硬件故障 ;
    5)设备意外故障停电 ;
    6)地震、火灾、水灾等自然灾害 ;
    7)链路冗余性;
    8)内部网络与Internet之间的物理隔离性。

2.網絡層安全風險分析
    我們認爲在網絡層面,前面臨的風險有以下幾點:
1) 缺乏有效的訪問控制機制:
  內部用戶存在越權訪問、修改甚至破壞重要信息的可能性;
  有可能遭到來自外部網絡的非法訪問和惡意攻擊:一些網站和數據庫是可以被外部訪問的,這些都有可能成爲攻擊對象。
2) 缺乏實時、全局的網絡信息監控機制:
  對網絡設備和關鍵主機的運行狀態缺乏實時的監控:一旦某個點出現問題,往往會花費大量人工時間在查找出問題的網絡上;
  對來自內、外部網絡中的攻擊信息不能做到實時記錄和報警:如果沒有建立主動的安全防範意識,我們往往是在事後才知道發生了什麽事情。
3) 重要的網絡設備缺乏冗余,很容易出現單點故障:
  網絡內很多關鍵設備缺乏冗余特征,例如防火牆、路由器和交換機。一旦其中的一台設備出現問題,整個網絡都會中斷。

3.系統層安全風險分析 
    操作系统存在不安全因素将是黑客攻击得手的关键因素。黑客攻击某网络系统一般都是通过攻击软件扫描该网络系统中主机是否存在安全漏洞,并通过可利用的安全漏洞进行攻击或控制这台主机为以后进一步攻击打下基础。
針對系統層,存在的安全風險有:
1) 網絡中存在大量的Windows系列客戶端和服務器,還有大量的路由器和交換機需要全面及時的修改缺省配置,進行安全配置和補丁升級工作;
2) 缺乏一個有效的系統風險評估和主機加固機制,單純靠網絡管理員進行手工評估有很大的局限性;
3) 缺乏一個及時的安全通告機制:我們無法准確及時的跟蹤各種系統補丁或安全告警的發布,當危險發生時,我們大部分人還一無所知。
  再安全的網絡設備離不開人的管理,再好的安全策略最終要靠人來實現,因此管理是整個網絡安全中最爲重要的一環,尤其是對于一個比較龐大和複雜的網絡,更是如此。因此我們有必要認真的分析管理所帶來的安全風險,並采取相應的安全措施

4.應用層安全風險分析 
    应用层侧重于从网络的应用层面来考虑风险因素,应从以下几个方面分析:
1)   身份認證風險
2)   安全審計功能缺乏
3)   應用軟件的本身的漏洞
4)   病毒的傳播
5)   數據庫的安全性
6)   重要信息缺乏備份機制
5. 管理層安全風險

    再安全的網絡設備離不開人的管理,再好的安全策略最終要靠人來實現,因此管理是整個網絡安全中最爲重要的一環,尤其是對于一個比較龐大和複雜的網絡,更是如此。因此我們有必要認真的分析管理所帶來的安全風險,並采取相應的安全措施。 
    当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的结合。

三、解決方案

1.方案拓撲

2.物理层解決方案
1)制定完善的機房、設備管理規範;
2)加強設備安全性,主要包括:
     a)设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰; 
     b)关键服务器冗余; 
     c)提高全員安全意識;

3.网络层解決方案
1)在網絡邊界部署訪問控制設備-防火牆,並需要實施相應的訪問控制策略。
2)根據對外提供信息查詢等服務的要求,爲了控制對關鍵服務器的授權訪問控制,建議把各種服務器集合起來劃分爲一個專門的服務器區域,並在服務器區前面部署防火牆,設置訪問控制策略來保護對它們的訪問。
3)在防火牆後面部署防毒牆設備,提供網關層次的防毒能力。
4)在網關處部署入侵防禦設備,可以實時檢測到來自對互聯網和對服務器區內服務器的各種攻擊,同時實時做出各種預先定義的響應,力求作到在黑客造成破壞之前發現問題,解決問題。

4.系统层解決方案 
1)采用漏洞分析技術來對網絡進行漏洞掃描,發現網絡各點存在的問題,作到主動發現網絡漏洞。 
2)針對重要服務器的操作系統、網絡應用程序進行加固,提高自身的健壯性、安全性。主機加固應涉及系統補丁、系統服務和帳號的安全化、安全配置系統內核參數、配置訪問控制策略、集中式的日志審計、關鍵文件完整性檢查等多各方面。  
3)針對服務器區的服務器,還應考慮額外的安全配置,包括:抗拒絕服務攻擊能力、日志審計的嚴密性、關鍵數據冗余性。  

5.应用层解決方案 
1)跟據網絡應用安全等級建立一套完備的身份認證體系,從簡單的用戶名口令到複雜的IC卡、數字證書等,最終建立一個跨平台跨應用的,用戶只需要進行一次身份認證的體系。 
2)結合網絡的信息數據的重要性,數據備份和故障恢複應該是重點考慮的方面。 
3)目前病毒是網絡中最常見、威脅最大的安全來源,建立一個全方位的病毒防範系統是網絡安全體系建設的重要任務。根據網絡結構和計算機分布情況,病毒防範系統的安裝實施要求爲:能夠配置成分布式運行和集中管理,由防病毒代理和防病毒服務器端、和病毒集中控管中心組成。在防病毒服務器端能夠交互式地操作防病毒客戶端進行病毒掃描和清殺,設定病毒防範策略。能夠從多層次進行病毒防範,第一層工作站、第二層服務器、第三層網關都能有相應的防毒軟件提供完整的、全面的防病毒保護。 

6.管理层解決方案
1)面對網絡安全的脆弱性,除在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡的安全管理,制定安全管理制度。
2)網絡安全管理,主要針對路由器、交換機、防火牆、入侵檢測系統等網絡設備進行管理;
3)應用安全管理,主要對網絡安全體系的應用安全系統進行管理,如用戶認證系統的管理、病毒防範系統的管理、用戶應用系統管理。

地址:吉林省长春市朝阳区大兴路778号 版权所有:菠萝视频app下载 ICP备案编号:吉ICP备10003329号技術支持: