您现在的位置:首页 > 解决方案 > 信息安全
信息安全:

一、网络管理方案

1.网络结构拓扑图的管理

我们采用HP OpenView Network Node Manager(简称NNM)管理整个网络结构拓扑图。根据题目的需求和NNM的特点,本方案最好采用分布式NNM,在公司总部网管中心安装NNM企业版(无限节点版本),作为采集和管理中心,它负责管理分公司网管中心和两级之间的网络连接;在各分支机构的局域网服务器上安装NNM标准版,作为管理各分支机构局域网网络资源的区域管理中心。具体方案如图1所示。

2.网络设备的管理

针对该方案中存在着如3Com、Cisco、Lucent、Nortel等公司的网络设备,为了从公司总部网管中心管理到位于总部或分公司局域网内这些网络设备,可在这些设备所处局域网的网管中心或公司总部网管中心的NNM上集成这些设备的网管软件,例如要在公司总部管理上海分公司局域网内Cisco路由器,可在北京公司总部的网管中心安装Cisco Works,通过广域网来管理到Cisco路由器的每一个端口。

3.远程管理

HP OpenView NNM现在能够通过Java Base的Web界面灵活访问网络拓扑及网管数据,实现了在Web网的任何地点进行数据管理的能力。

有关HP OpenView Network Node Manager的介绍,请见《附录1:HP OpenView Network Node Manager》。

二、防病毒的安全解决方案

NAI作为全球反病毒解决方案的领导者,提供的McAfee TVD套件,就是一个综合的企业反病毒安全与管理方案。具体到本系统,采用如下方案:

1. 多层保护

(1)服务器的保护

如果服务器感染病毒,其被感染的服务器文件会成为病毒感染的源头,迅速从桌面发展到整个网络病毒爆发,尤其像Exchange、Lotus Notes这样的群件会加速病毒传播的速度。因此需要能高效、实时地检测来自于服务器的病毒感染文件,以免它在整个网络中的扩散;同时可以按需要选择立刻或定时检测、扫描驻留在文件服务器中的病毒。

在公司总部和各分公司局域网中所有的服务器上安装TVD的NetShield,在群件服务器上安装TVD的GroupShield。

(2)网关的保护

随着Internet的普及,越来越多的企业用户被感染病毒,这些病毒都和从Internet上下载文件有关,例如以电子邮件附件方式进入企业网络,所以,反病毒软件应能在网关上封住病毒,扫描所有入站、出站的电子邮件,能够为HTTP、FTP等多个Internet协议在内的通信提供病毒保护,同时扫描有恶意的Java和ActiveX小程序。

TVD的WebShield安装在网关上实现上述功能。

(3)桌面的保护

企业在把防病毒策略放在保护服务器和网关的同时,还要注意到50%的病毒仍通过软盘进入企业网络。所以要在所有桌面机上安装桌面防病毒软件,实现桌面保护功能。

McAfee VirusScan是一个优秀的杀毒软件,它能够扫描包括引导区、文件分配表、分区表、软盘、文件夹、压缩文件在内的所有系统区域;并具有先进的实时扫描技术在磁盘访问、文件复制、程序执行、系统启动和关闭时捕获病毒,提供桌面的在线保护;同时还能够防止恶意Java、ActiveX小程序对网络用户的损害,防止病毒通过Internet下载。

2. 企业级管理

McAfee TVD拥有一个功能强大的管理工具,可以从控制中心管理企业范围内的反病毒安全机制,具有集中管理、分发和警告的功能。管理员可以使用控制台将软件升级版和更新信息迅速传至企业内部的所有客户机和服务器上;或者可制订计划,使PC、服务器自动从指定的中央服务器提取更新信息使自己保持为最新。

三、Internet互连安全解决方案

在大型网络系统与Internet互连的第一道屏障就是防火墙。防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。

防火墙总体上分为包过滤和代理服务器两大类型。我们将通常所说的应用级网关和代理服务器统称为代理服务器。

1.包过滤路由器存在的弱点

包过滤即IP包过滤,虽简单方便,但包过滤路由器存在许多弱点:

(1)包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性(手工测试除外)。一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来。

(2)实际运行中,经常会发生规则例外,即要求允许通常情况下禁止的访问通过。但是,规则例外使包过滤规则过于复杂而难以管理。例如,定义规则—禁止所有到达(Inbound)的端口23连接(telnet),如果某些系统需要直接Telnet连接,此时必须为内部网的每个系统分别定义一条规则。

(3)某些包过滤路由器不支持TCP/UDP源端口过滤,可能使过滤规则集更加复杂,并在过滤模式中打开了安全漏洞。如SMTP连接源端口是随机产生的(>1023),此时如果允许双向的SMTP连接,在不支持源端口过滤的路由器上必须定义一条规则:允许所有>1023端口的双向连接。此时用户通过重新映射端口,可以绕过过滤路由器。

(4)对许多RPC(Remote Procedure Call)服务进行包过滤非常困难。由于RPC的Listen口是在主机启动后随机分配的,要禁止RPC服务,通常需要禁止所有的UDP(绝大多数RPC使用UDP),如此可能需要允许的DNS连接就会被禁止。

2.应用网关的优点

为了解决包过滤路由器的弱点,防火墙要求使用软件应用来过滤和传送服务连接(如Telnet和Ftp)。这样的应用称为代理服务,运行代理服务的主机被称为应用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高的安全性和更大的灵活性。

应用网关的优点是:

·比包过滤路由器更高的安全性;

·提供对协议的过滤,如可以禁止FTP连接的Put命令;

·信息隐藏,应用网关为外部连接提供代理;

·健壮的认证和日志;

·节省费用,第三方的认证设备(软件或硬件)只需安装在应用网关上;

·简化和灵活的过滤规则,路由器只需简单地通过到达应用网关的包并拒绝其余的包通过。

因此,应用网关防火墙的安全特性远比包过滤型的防火墙高。

3.防火墙的部署

根据网络系统的安全需要,可以在如下位置部署防火墙:

(1)局域网内的VLAN之间控制信息流向时;

(2)Intranet与Internet之间连接时;

(3)在本系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,(通过公网ChinaPac, ChinaDDN, Frame Relay等连接)在总部和各分支机构连接时采用防火墙隔离,并利用GVPN构成虚拟专网。

(4)总部的局域网和分支机构的局域网是通过Internet连接,需要各自安装防火墙,并利用Gauntlet GVPN组成虚拟专网。

(5)在远程用户拨号访问时,加入虚拟专网。

有关NAI公司的Gaultlet的介绍,请见《附录3:Gauntlet的特点和优点》。

四、防黑客的安全解决方案

1.防火墙存在的安全漏洞

利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够,这是因为:

·入侵者可寻找防火墙背后可能敞开的后门;

·入侵者可能就在防火墙内;

·由于性能的限制,防火墙通常不能提供实时的入侵检测能力。

2.入侵检测系统

入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先它能够对付来自内部网络的攻击,其次它能够阻止黑客的入侵。

入侵检测系统可分为两类:

·基于主机:用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用;

·基于网络:用于实时监控网络关键路径的信息。

3.采用CyberCop提供防黑客安全

CyberCop Intrusion Protection是设计用于保护企业系统与网络设备的各个方面免受不断增长的复杂恶意威胁的专用产品。

申请试用的客户,爱瑞科软件工程师将与您联系,帮助您在单位安装试用版本,并为您讲解各个功能模块的作用,试用工作交办流程。

您的单位:
*
*
您的电话:
联系人QQ:
*
留    言:
验 证 码:
看不清楚
版权所有:贵州爱瑞科网络有限公司2005-2014,标志、版面设计及内容严禁抄袭,保留一切权利 黔ICP备14000583号-1 回到旧版
增值电信业务许可证编号:黔B2-20050030 软件企业认证编号:R-2009-0001 电话及传真:0851-85812355 85813255 服务热线:4009012005

贵公网安备 52010302000067号