SlideShare a Scribd company logo

军工行业网络安全解决方案整体设计

Download as DOC, PDF
gb ku
gb ku
TechnologyEducation
1 of 12
军工行业网络安全解决方案整体设计 田鑫 中国核工业建设集团公司四七一厂 摘 要 网络安全问题越来越引起世界各国的严密关注,随着计算机网络在军工行业的广泛应 用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的 安全漏洞越来越多;各种病毒泛滥成灾。这一切,已给各个国家以及我国军工行业造成巨大的经 济损失,甚至危害到国家安全。 关键词 计算机 网络 安全 方案 1 概述 1.1 方案背景 随着计算机、通信、网络技术的发展,全球信息化的步伐越来越快,网络信息系统 已经成为一个国家、一个行业、一个集团、 一个企业寻求发展的基础设施。 人类在感受到 网络信息系统对社会文明的巨大贡献的同时,也认识到网络信息安全问题已成为影响 国家、军工行业和长远利益而亟待解决的重大关键问题。 对国家而言,没有网络安全解决方案,就没有信息基础设施的安全保证,就没有 网络空间上的国家主权和国家安全,国家的政治、 军事、经济、文化、教育、社会生活等将 处于信息战的威胁之中。 大多数军工集团、军工企业在 2002 年完成了对计算机网络的升级改造。 近年来通过 各集团、各企业的积极努力,极大地加快了信息化建设的进程;然而,内部网络的安全 问题还是相当突出,比如计算机病毒就是一个主要的危害因素。 如何根据军工行业具体的网络系统环境,在“整体安全评估与安 全规划”的基础 上,建立一套行之有效的安全解决方案,将是本文研讨的主题。 1.2 实施意义 随着计算机技术、信息技术的发展,计算机网络系统必将成为我国军工行业业务的 关键平台。同时,随着计算机网络系统的发展,计算机网络安全系统必将发挥越来越重 要的作用。 网络安全系统的建立,必将为军工行业的业务信息系统、行政管理、信息交流提供 一个安全的环境和完整平台。通过先进技术建立起的网络安全系统,可以从根本上解决 来自网络外部及内部对网络安全造成的各种威胁,以最优秀的网络安全整体解决方案 1
为基础形成一个更加完善的业务系统和办公自动化系统。 利用高性能的网络安全环境, 提供整体防病毒、防黑客、 数据加密、 身份验证防火墙等于一身的功能,有效地保证秘密、 机密文件的安全传输,严格地制止经济情报丢失、泄密现象发生,维护数据安全。 中国核工业建设集团公司四七一厂在 2005 年全面启动信息化建设,建成了覆盖整 个企业各业务部门并与 Internet 联接的千兆快速以太网,尤其在当前网络安全和今后 的信息安全上取得的实践经验,笔者作为项目的负责者认为可作为军工行业各级机构 借鉴。因此,本方案的实施还可以达到预期的经济及社会效益。 2 需求分析 2.1 网络现状 2005 年,中国核工业建设集团公司四七一厂由于生产、 科研、经营、管理工作的需要, 对原有的 10Mbps 低速局域网进行了较大规模的升级改造工程,建成了覆盖一个企业各 业务部门并与 Internet 联接的千兆快速以太网;使整个网络从 IPX 和 TCP/IP 协议混用 的网络过渡到统一使用 TCP/IP 协议的网络,整个网络变的易于管理,较 IPX 和 TCP/IP 协议混用的网络更易于控制。 现有网络核心设备采用 HUAWEI、CISCO 等公司的产品,信息中心设在机关办公大楼 楼三楼,并配有一台高性能的中心交换机;厂机关及下属处级单位、车间分别配置可堆 叠工作组交换机,中心交换机与各工作组交换机之间使用光纤形成星型连接,建成了 4 个千兆、9 个百兆的主干传输通道,共连接 3 栋办公楼,联网计算机近 150 多台。如图 1-1 所示。 2
图1-1 核工业四七一厂网络拓扑图 在网络建设的同时,开发推广了实用的网络应用服务功能,包括开发数据库综合 应用、 信息网站、 WWW 电子邮件、FTP、视频服务等等。随着各种应用的开展,大大促进了中 国核工业建设集团公司四七一厂信息化管理和无纸化办公的进程。 2.2 网络安全现状 目前,中国核工业建设集团公司四七一厂对网络安全采取的主要措施有: 1) 利用操作系统、数据库、电子邮件、应用系统本身安全性,对用户进行权限控 制。 2) 采用了一定的数据备份措施(数据库系统备份)。 3) 使用防病毒软件对计算机病毒及时清除。 4) 使用了基于用户名/口令的访问控制。 5) 不定期对系统和应用日志进行审计。 6) 浏览相关系统网站,及时下载安全补丁。 但是,仅靠以上几项安全措施,还不能达到 中国核工业建设集团公司四七一厂安 全的要求。 2.3 主要网络安全威胁 网络安全的建立并不是单纯几种安全技术产品的堆积,它的重点在于要针对中国 核工业建设集团公司四七一厂现有的网络环境,对网络中所有可能存在的破坏侵入点 进行详细的分析,针对每一个可能的侵入点进行层层防护,对症下药,真正使之成为 “安全的”企业网络。 对中国核工业建设集团公司四七一厂网络安全构成威胁的主要因素有: 1) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服 务的服务器,同进也能访问内部的网络服务器,这样,由于内部和外部没有隔离措施 , 内部系统较容易遭到攻击。 2) 来自内部网的病毒的破坏。内部用户的恶意攻击、误操作,但目前发生的概率 较小。 3) 来自外部网络的攻击,具体有二条途径:1) Internet 的连接部分;2)与各 二级单位连接的部分。 4) 外部网的破坏主要方式为:1)黑客用户的恶意攻击、窃取信息;2)通过网络 传送的病毒和 Internet 的电子邮件夹带的病毒。3)来自 Internet 的 Web 浏览可能存在 的恶意 Java/ActiveX 控件。 5) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操 作系统均存在网络安全漏洞,如 UNIX 服务器,NT 服务器及 Windows 桌面 PC。 3
6) 缺乏一套完整的安全策略、政策。 其中,目前最主要的安全威胁是来自网络外部用户(主要是各二级单位用户和 Internet 用户)的攻击。 2.4 网络安全需求分析 根据上面所描述的企业网络的具体环境和相应的遭受威胁的可能性分析,我们提 出如下网络安全体系需求报告: 1) 访问控制:通过对特定网段、服务建立访问控制体系,将绝大多数攻击阻止在 到达攻击目标之前。 2) 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也 可使绝大多数攻击无效。 3) 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多 数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 4) 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。 5) 认证:良好的认证体系可防止攻击者假冒合法用户。 6) 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数 据和系统服务。 7) 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 8) 隐藏内部信息:使攻击者不能了解系统内的基本情况。 9) 设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服 务。 3 网络安全方案设计 3.1 安全体系设计原则 在进行计算机网络安全设计、规划时应遵循以下原则: 1) 需求、风险、代价平衡分析的原则:对任一网络来说,绝对安全难以达到,也 不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定 性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被 保护信息的价值必须平衡,价值仅 1 万元的信息如果用 5 万元的技术和设备去保护是一 种不适当的保护。 2) 综合性、整体性原则:运用系统工程的观点、方法,分析网络的安全问题,并 制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机 网络包括个人、 设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从 系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。 4
3) 一致性原则:这主要是指网络安全问题应与整个网络的工作周期(或生命周 期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。 实际上,在网络建 设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得 多。 4) 易操作性原则:安全措施要由人来完成,如果措施过于复杂,对人的要求过 高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。 5) 适应性、灵活性原则:安全措施必须能随着网络性能及安全需求的变化而变化, 要容易适应、容易修改。 6) 多重保护原则:任何安全保护措施都不是绝对安全的,都可能被攻破。但是建 立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其他层保护仍可保 护信息的安全. 3.2 安全体系层次模型 按照网络 OSI 的 7 层模型,网络安全贯穿于整个 7 层。针对网络系统实际运行的 TCP/IP 协议,网络安全贯穿于信息系统的 4 个层次。下图表示了对应网络系统网络的安 全体系层次模型: 物理层 物理层信息安全,主要防止物理通路的损坏、 物理通路的窃听、对物理通 路的攻击(干扰等)。 链路层 链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采 用划分 VLAN(局域网)、加密通讯(远程网)等手段。 网络层 网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络 路由正确,避免被拦截或监听。 企业安全策略 用户责任 计算机网络安全 保证 病毒 客户 防治 信息 操作 服务 系统 信息安全 5
物 理 实 体 安 全 操作系统 操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能 够对该操作系统上的应用进行审计。 应用平台 应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、 电子邮件服务器、 Web 服务器等。由于应用平台的系统非常复杂,通常采用多种技术 (如 SSL 等)来增强应用平台的安全性。 应用系统 应用系统完成网络系统的最终目的-为用户服务。应用系统的安全与系 统设计和实现关系密切。应用系统通过应用平台提供的安全服务来保证基本安全,如通 讯内容安全,通讯双方的认证,审计等手段。 3.3 安全产品选型 赛门铁克公司是目前世界上技术领先的 Internet 网络安全软件公司,也是最大、最 著名的工具软件公司。作为全球第七大软件商,全球有超过 6 千万的用户使用赛门铁克 产品,包括企业、政府和高等院校等各个领域的用户。 作为全球安全领域的领导者,赛门铁克公司致力于向商业和个人计算机环境提供 创造性的、 最有效的解决方案和产品,着重在为用户的系统提供可靠的安全保障,帮助 用户提高生产效率,保持用户的计算机系统在任何时间和任何地点,以最佳性能安全 可靠地运行。 赛门铁克公司主要以计算机系统内容安全、 漏洞检测与风险评估、 入侵扫描 软件和系统支持与恢复软件的研究发展著称。 Symantec 提供全方位、多层次的、整体的网络安全解决方案。 1) 在网络结构方面:Symantec 从第一层工作站、第二层服务器、第三层电子邮件 服务器到第四层防火墙都有相应的防毒软件提供完整的、 全面的防病毒保护,尤其是对 电子邮件的防病毒,Symantec 具有最全面的解决方案,包括市场上流行的所有邮件系 统如:IBM Lotus Notes/Domino(on AIXAS/400、 OS/390、SUN Solalis、 、 Exchang NT) MS Server 以及其他的基于 Unix 平台下的邮件系统。 2) 在系统平台支持方面: Symantec 对各种操作系统提供全面的支持,如: IBM AIX , Linux,AS/400,OS/390,SUNSolaris , Dos , Windows/3x , Windows95/98 , Windows NT Workstation/Server,Windows 2000,OS/2,NOVELL Netware,Macintosh 等。 3) 在防病毒技术方面:Symantec 采用各种先进的反病毒技术,尤其在对付未知病 毒和多态病毒方面,采用了各种先进的技术对其进行查杀,如:启发式侦测技术 (Bloodhund TM),神经网络技术,打击技术(Striker32)和防宏病毒技术(MVP)等, 6
因此 NAV 产品不仅能查、杀各种未知病毒,还能修复被病毒感染的文件。 4) 在防病毒软件和防病毒策略管理方面:通过赛门铁克的 SSC(Symantec System Center)赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、 集中的、 智能的、 自 动化的、强制执行的有效管理方式。 5) 在病毒定义码和扫描引擎升级方面:采用模块化( NAVEX)的升级方式,也就 是说,用户每次升级都包括最新的病毒定义码和扫描引擎,而且各种 NAV 产品采用的 是同一套病毒定义码和扫描引擎,方便用户病毒定义码和扫描引擎的升级,同时计算 机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机。 6) 在技术支持和服务方面:Symantec 有专门的人员和机构对用户出现的问题和新 病毒提供快速及时的响应,并能迅速提供相应的解决方案。 7) Symantec 对新出现的病毒具有最快的响应速度:Symantec 在全球有 4 个防病毒 研究中心(SARC),同时于 2000 年在中国成立第五个防病毒研究中心,在 SARC 有 专门的系统每时每刻主动在 Internet 上搜索病毒,同时把搜索来的病毒样本自动送到数 字 免 疫 系 统 中 进 行 分 析 , 产 生 响 应 的 解 决 方 案 , 在 经 过 SARC 的 验 证 后 公 布 在 Symantec 的网站上。 4 规章制度 “三分技术七分管理”是信息网络安全业界人士的共识。只有把安全管理和网络安 全技术同步运用于信息网络安全建设中,才可以构筑完善的信息网络安全保障体系。 4.1 网络基础设施管理 网络基础设施包括:挂接在计算机网络上的服务器、 交换机、线缆、客户机、系统软 件等。 4.1.1 服务器的管理 1) 在服务器上进行系统配置参数更改时,必须先将原配置参数记录下来,然后 再进行更改。 2) 需要对文件改动或删除时,要先进行备份,然后执行操作,以避免出现因误删 而导致服务终止的情况发现。 3) 严禁往服务器上备份不可靠的软件和数据,以保证在用的数据和软件不受病毒 和其他破坏程序的攻击。 4) 对于网络服务的启动和终止,必须严格按照标准的规范和步骤进行。 关闭网络 服务器必须等待所有数据正常保存、服务全部终止后方可进行。 5) 网络服务器上系统软件和应用服务软件的升级,要根据需求确定,升级操作 严格按照说明进行。 7
6) 对网络交换机进行的任何配置、更改必须先进行配置信息的备份,然后执行操 作,以保证不出现影响用户正常使用的情况出现。 4.1.2 网络线缆的管理 1) 任何人对网络线缆不得随意破坏。 2) 破坏线缆当事人将负责赔偿一切相关损失。 3) 线缆出现问题后由维护人员及时解决,并填写维护记录。 4.1.3 网络客户机的管理 1) 网络客户机在移动后必须由信息中心技术服务室指派专门的人员删除原有的 IP 地址和邮箱,并根据客户机调整方案重新配置 IP 地址和邮箱。 2) 对于更换客户机的人员也必须将原有客户机的 IP 地址和邮箱删除并在新机上建 立与原有客户机相同的 IP 地址和邮箱。 4.1.4 系统软件的管理 1) 系统软件的升级首先填写申请报告,经主管人员审核批准后,由网络管理人员 负责实施,升级完成后必须提交相关技术文档。 2) 系统运行参数的调整必须由网络管理人员进行,并填写更改记录。 4.2 数据库管理 1) 中心数据库系统必须使用中国核工业建设集团公司四七一厂统一要求的 SQL SERVER 数据库; 2) 应用系统需要表空间,需填写《数据库表空间申请表》; 3) 开发人员在使用中,不得随意更改权限,需向数据库管理人员提交申请报告, 由数据库管理人员根据实际情况统一授权; 4) 应用系统正式投入运行后,需通知数据库管理员,以便做好系统的备份工作。 未通知而造成数据丢失的,由该系统人员负责; 5) 应用系统正式投入运行后,不能在该系统用户下存放垃圾表,一旦发现,数据 库管理员有权在不做任何通知的情况下进行删除。 4.3 WWW 信息发布 4.3.1 部门网页的申请与管理 1) 部门需要建立网站时,首先向信息中心提出申请; 2) 信息中心网络管理人员审查后建立相关环境,并通知用户; 3) 部门主页的内容遵循第一消息原则,其他部门可做链接转载,严禁同一信息重 复存储浪费空间。 4.3.2 个人主页申请与管理 8
1) 个人主页的申请需要通过信息中心审查; 2) 主页的发布内容必须遵守《计算机系统保密工作管理细则》及其国家相应的互联 网络法规; 3) 对于违反规定的个人主页,信息中心有权在不作通知的情况下先停止其服务, 然后再与相关个人联系。 4.3.3 用户权限的申请与管理 1) 用户提出权限要求,以所在单位核准后报信息中心审查; 2) 信息中心根据实际情况赋予用户相应权限。 4.3.4 账号与密码管理 1) 网络账号和密码的管理必须确保安全,密码采用数字与字母组合方式,长度不 得小于七位。 2) 网络账号和密码作为绝密信息进行存储和传输,严禁将用户信息泄漏给第三方。 3) 用户密码丢失后,若要恢复,必须到信息中心向网络管理员提供身份证明后, 才能给予恢复,并记录在案。 4.4 电子邮件服务 1) 电子邮件服务器配置严格按照中国核工业建设集团公司四七一厂统一的邮件服 务器名配置标准进行配置。 2) 用户申请邮箱,必须填写《计算机网络用户申请表》报信息中心; 3) 信息中心网络管理员对用户的申请进行审核,合乎要求的给建立帐号,并通 知用户; 4) 原则上不限制用户邮件空间的使用量,不允许用户使用邮件进行不利于网络 正常运转的操作,如在邮箱中存储大的文件以及备份,也不得故意产生垃圾邮件。 5) 发送邮件不得附带带毒软件或程序,附件不得大于 5MB; 6) 尽量减少邮件群发方式分发信息。 4.5 FTP 文件存储 1) 用户必须填报 《计算机网络用户申请表》,在申请表中必须按《计算机信息系统 保密工作管理细则》严格指定密级; 2) 网络管理员进行审核,合乎要求的建立帐号,分配空间,并通知用户; 3) 不得向服务器上传垃圾文件; 4) FTP 用户只能获得读、写、浏览权限。 9
4.6 网络应用系统开发 1) 开发基于网络的应用系统,要有利于网络的运行和安全。 2) 网络应用系统提交运行前要进行安全性、完善性测试并进行性能优化; 3) 信息存储统一使用 SQL SERVER,不得使用其他类型库。 4) 数据库信息的发布,必须通过指定用户进行,该类用户对数据库信息只有读 取的权限; 5) 任何站点或进程对信息库的访问都必须使用同一缓冲池进行,禁止打开多用 户连接或多缓冲池连接,造成服务器过载。 4.7 信息资源备份、病毒防治、信息的保密 1) 为了保证存储在网络服务器上信息资源的安全,需要对这些资源进行备份。备 份工作由信息中心网络管理人员执行。 2) 备份方式及周期:备份磁带上必须标注备份内容,备份种类(日备份、月备份、 年备份)、备份日期、操作人等内容。 3) 系统备份操作系统每次更改前后的完全备份; 4) 数据库每次调参前后的完全备份; 5) 在进行升级、 调参操作后,新系统或新配置正常运行一个月以上,并已经拥有 新的备份时才能将老的备份清除。 6) 数据备份:日备份,每天下午 21:30 对数据进行增量备份、对修改过的应用 软件进行备份,日备份以周为周期循环进行;月备份,每月 10 号对数据和应用软件进 行完全备份,月备份以年度为周期循环进行;年备份,每年元月 15 日对系统、 数据、应 用程序进行完全备份,必要情况下可以以双备份方式进行,年度备份必须形成历史记 录,年度备份磁带内容不得删除,作为历史记录保存。 7) 将在线监测杀毒软件加载至每台个人计算机,并启动实时监视器。对在线监 测杀毒软件的病毒数据库更新包,由网络管理员或维护人员下载至厂内服务器上,各 单位计算机管理员负责下载并对本单位每台计算机病毒数据库进行更新。 8) 用户需要定期进行杀毒操作,杀毒时间和人员安排由各单位负责计算机管理 的人员自主安排执行。 9) 需要增加服务器端共享软件的用户,必须填表注册,经信息中心研究同意后, 由网络管理员将其安装至服务器端。 10) 为了尽可能减少病毒的破坏,用户应定期作好自己单机的重要数据备份工 作,对于财务部门的专用服务器数据,由该部门的计算机管理人员负责备份。 全厂网络 服务器的数据,由信息中心网络管理员或维护人员负责。 11) 服务器端原有的系统数据库文件和可执行文件的存放位置分开,网络上只 10
提供可执行文件下载,不允许直接在网络上安装。 12) 必须严格按照 WEB 应用服务器、文件服务器、数据库服务器分开的方式运转。 13) 网络服务中文件需要上传的必须提出申请,经核准并确定上传文件无病毒 后方允许上传存放。不得有意将带毒文件上传或分发他人,导致病毒扩散。 14) 各单位如果发现无法杀除的病毒,必须及时反映给信息中心,以便尽快研 究解决,无法解决的,将样本发送相应杀毒软件制作公司求助。 15) 各单位计算机管理人员和使用人员有义务及时报告最新病毒信息,以便全 厂防范。 16) 财务部门的专用服务器数据被病毒感染或破坏,由该处室兼职管理人员负责, 信息中心网络管理室和相应的技术人员提供技术支持。 4.8 监督考核 考核指标与奖惩办法 1) 网络值班时间内不在岗记问题点一个,如出现问题记重大问题点一个。 2) 未按时进行备份或备份标识不明确引起后果的,以及未作或丢失备份而导致数 据丢失的,对当事人记问题点一个,引起重大后果和影响的,记重大问题点一个。 3) 网络服务器不得出现病毒破坏事件,如出现记重大问题点一个。 4) 个人计算机的月病毒发生不得多于一次,如多于一次记相关人员问题点一个。 5) 如果出现由于相关人员未履行职责而引起的病毒破坏事件,要对相关人员追究 责任。个人未按要求进行备份或杀毒而出现数据丢失或文件被子病毒破坏的,由本人负 责,并记问题点一个。 6) 如果发现在信息网页上发布了不符合规定的内容根据后果轻重记问题点或重大 问题点一个。 7) 电子邮件发送大的邮件垃圾记当事人问题点一个。 8) 网络应用开发不遵守标准者,勒令当事人整改并记问题点一个。 5 结束语 在提到网络安全的全面解决方案时,很多人会认为:在服务器前加一个防火墙就 解决了网络安全问题,这其实是一种很狭隘的安全思路。防火墙仅仅是一个访问控制、 内外隔离的安全设备,在底层包过虑,对会超大 ICMP(信报控制协议)包、IP 伪装, 碎片攻击,端口控制等方面的确有着不可替代的作用,但它在应用层的控制和检测能 力是很有限的。比如利用 Unicode 漏洞和 MS SQL Server 远程控制等就可轻松穿透防火 墙实施攻击。因此,缺乏一套整体安全解决方案的网络系统,其安全是肯定没有保障的。 一套网络安全的整体解决方案涉及很多方面,包括设置好密码策略、 设置安全日志 11
策略以及安全管理制度等等。 由于系统本身是不安全的,其不安全性主要体现在没有进行安全地安装配置、 设置 用户及目录的权限不当、没有建立适当的安全策略等。例如:没有打安全补丁、安装时为 了方便使用简单口令而后来又不更改、没有进行适当的目录和文件权限设置、没有进行 适当的用户权限设置、打开了过多的不必要的服务、没有对自己的应用系统进行安全检 测等等。 另外,安全和管理是分不开的。即便有好的安全设备和系统,没有一套好的安全管 理方法并贯彻实施,安全就是空谈。值得注意的是这里强调的不仅要有安全管理方法, 而且还要贯彻实施。安全管理的目的在于两点:一是最大程度地保护网络,使得其安全 地运行,再就是一旦发生黑客事件后能最大程度地挽回损失。所以建立定期的安全检测、 口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度是非常必 要的。 参考文献 [1] 刘其奇,赵翠霞.企业网络安全性机制建立.计算机工程, 2000 年第 12 期, p126-127 [2]吴功宜,吴英.计算机网络教程.—3 版.北京:电子工业出版社,2003 [3]戚文静,刘学.网络安全原理与应用.中国水利水电出版社,2005 12

Recommended

網路安全管理
網路安全管理網路安全管理
網路安全管理Hsuan-Chih Wang
 
網路管理基本觀念
網路管理基本觀念網路管理基本觀念
網路管理基本觀念Hsuan-Chih Wang
 
防火牆原理架構和種類介紹
防火牆原理架構和種類介紹防火牆原理架構和種類介紹
防火牆原理架構和種類介紹james0417
 
網路規劃與設計
網路規劃與設計網路規劃與設計
網路規劃與設計Hsuan-Chih Wang
 
資訊安全基本素養教育訓練
資訊安全基本素養教育訓練資訊安全基本素養教育訓練
資訊安全基本素養教育訓練睦勻 巴
 
滕达斐
滕达斐滕达斐
滕达斐ITband
 
ClouDoc intro_chn_20170308
ClouDoc intro_chn_20170308ClouDoc intro_chn_20170308
ClouDoc intro_chn_20170308sang yoo
 
White paper ahn lab trusguard utm
White paper ahn lab trusguard utmWhite paper ahn lab trusguard utm
White paper ahn lab trusguard utmahnlabchina
 

Recommended

網路安全管理
網路安全管理網路安全管理
網路安全管理Hsuan-Chih Wang
 
網路管理基本觀念
網路管理基本觀念網路管理基本觀念
網路管理基本觀念Hsuan-Chih Wang
 
防火牆原理架構和種類介紹
防火牆原理架構和種類介紹防火牆原理架構和種類介紹
防火牆原理架構和種類介紹james0417
 
網路規劃與設計
網路規劃與設計網路規劃與設計
網路規劃與設計Hsuan-Chih Wang
 
資訊安全基本素養教育訓練
資訊安全基本素養教育訓練資訊安全基本素養教育訓練
資訊安全基本素養教育訓練睦勻 巴
 
滕达斐
滕达斐滕达斐
滕达斐ITband
 
ClouDoc intro_chn_20170308
ClouDoc intro_chn_20170308ClouDoc intro_chn_20170308
ClouDoc intro_chn_20170308sang yoo
 
White paper ahn lab trusguard utm
White paper ahn lab trusguard utmWhite paper ahn lab trusguard utm
White paper ahn lab trusguard utmahnlabchina
 
DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23
DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23
DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23Jun LI
 
工业网络安全风险可视化探讨
工业网络安全风险可视化探讨工业网络安全风险可视化探讨
工业网络安全风险可视化探讨Onward Security
 
可攜式設備及儲存媒體的安全管理
可攜式設備及儲存媒體的安全管理可攜式設備及儲存媒體的安全管理
可攜式設備及儲存媒體的安全管理masacoicst
 
分会场一端对端的安全从外至内对抗威胁
分会场一端对端的安全从外至内对抗威胁分会场一端对端的安全从外至内对抗威胁
分会场一端对端的安全从外至内对抗威胁ITband
 
網路安全防護
網路安全防護網路安全防護
網路安全防護Hsuan-Chih Wang
 
中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议Yunchao (Kevin) Wang
 
Brochure ahn lab trusguard utm
Brochure ahn lab trusguard utmBrochure ahn lab trusguard utm
Brochure ahn lab trusguard utmahnlabchina
 
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)Wales Chen
 
Unisys Security Insights Infographic: China
Unisys Security Insights Infographic: ChinaUnisys Security Insights Infographic: China
Unisys Security Insights Infographic: ChinaUnisys Corporation
 
計概報告
計概報告計概報告
計概報告劭維 張
 
20170427行政院資通安全處:「資通安全管理法」草案
20170427行政院資通安全處:「資通安全管理法」草案20170427行政院資通安全處:「資通安全管理法」草案
20170427行政院資通安全處:「資通安全管理法」草案R.O.C.Executive Yuan
 
数据库系统防黑客入侵技术综述
数据库系统防黑客入侵技术综述数据库系统防黑客入侵技术综述
数据库系统防黑客入侵技术综述wensheng wei
 
China internet report___2-in-Chinese
China internet report___2-in-ChineseChina internet report___2-in-Chinese
China internet report___2-in-ChineseBeyond FireWall
 
Cyberoam人員識別管理新世代防毒牆(正式版)
Cyberoam人員識別管理新世代防毒牆(正式版)Cyberoam人員識別管理新世代防毒牆(正式版)
Cyberoam人員識別管理新世代防毒牆(正式版)道成資訊股份有限公司
 
Solution ahn lab scm(4100+1100)-education
Solution ahn lab scm(4100+1100)-educationSolution ahn lab scm(4100+1100)-education
Solution ahn lab scm(4100+1100)-educationahnlabchina
 
From Principle to Practice
From Principle to PracticeFrom Principle to Practice
From Principle to PracticeJordan Pan
 
做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石Onward Security
 
数据库系统安全防入侵技术综述
数据库系统安全防入侵技术综述数据库系统安全防入侵技术综述
数据库系统安全防入侵技术综述wensheng wei
 
Symantec Endpoint Protection 12.1
Symantec Endpoint Protection 12.1Symantec Endpoint Protection 12.1
Symantec Endpoint Protection 12.1零壹科技股份有限公司
 
云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会ITband
 
make easy
make easymake easy
make easyrd8126
 
金融行业的存储备份解决方案
金融行业的存储备份解决方案金融行业的存储备份解决方案
金融行业的存储备份解决方案gb ku
 

More Related Content

What's hot

DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23
DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23
DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23Jun LI
 
工业网络安全风险可视化探讨
工业网络安全风险可视化探讨工业网络安全风险可视化探讨
工业网络安全风险可视化探讨Onward Security
 
可攜式設備及儲存媒體的安全管理
可攜式設備及儲存媒體的安全管理可攜式設備及儲存媒體的安全管理
可攜式設備及儲存媒體的安全管理masacoicst
 
分会场一端对端的安全从外至内对抗威胁
分会场一端对端的安全从外至内对抗威胁分会场一端对端的安全从外至内对抗威胁
分会场一端对端的安全从外至内对抗威胁ITband
 
中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议Yunchao (Kevin) Wang
 
Brochure ahn lab trusguard utm
Brochure ahn lab trusguard utmBrochure ahn lab trusguard utm
Brochure ahn lab trusguard utmahnlabchina
 
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)Wales Chen
 
Unisys Security Insights Infographic: China
Unisys Security Insights Infographic: ChinaUnisys Security Insights Infographic: China
Unisys Security Insights Infographic: ChinaUnisys Corporation
 
20170427行政院資通安全處:「資通安全管理法」草案
20170427行政院資通安全處:「資通安全管理法」草案20170427行政院資通安全處:「資通安全管理法」草案
20170427行政院資通安全處:「資通安全管理法」草案R.O.C.Executive Yuan
 
数据库系统防黑客入侵技术综述
数据库系统防黑客入侵技术综述数据库系统防黑客入侵技术综述
数据库系统防黑客入侵技术综述wensheng wei
 
China internet report___2-in-Chinese
China internet report___2-in-ChineseChina internet report___2-in-Chinese
China internet report___2-in-ChineseBeyond FireWall
 
Cyberoam人員識別管理新世代防毒牆(正式版)
Cyberoam人員識別管理新世代防毒牆(正式版)Cyberoam人員識別管理新世代防毒牆(正式版)
Cyberoam人員識別管理新世代防毒牆(正式版)道成資訊股份有限公司
 
Solution ahn lab scm(4100+1100)-education
Solution ahn lab scm(4100+1100)-educationSolution ahn lab scm(4100+1100)-education
Solution ahn lab scm(4100+1100)-educationahnlabchina
 
From Principle to Practice
From Principle to PracticeFrom Principle to Practice
From Principle to PracticeJordan Pan
 
做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石Onward Security
 
数据库系统安全防入侵技术综述
数据库系统安全防入侵技术综述数据库系统安全防入侵技术综述
数据库系统安全防入侵技术综述wensheng wei
 
云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会ITband
 

What's hot (20)

DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23
DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23
DC010企业网络安全能力的叠加演进(Evolution of Enterprise Security Capabilities)2017-12-23
 
工业网络安全风险可视化探讨
工业网络安全风险可视化探讨工业网络安全风险可视化探讨
工业网络安全风险可视化探讨
 
可攜式設備及儲存媒體的安全管理
可攜式設備及儲存媒體的安全管理可攜式設備及儲存媒體的安全管理
可攜式設備及儲存媒體的安全管理
 
分会场一端对端的安全从外至内对抗威胁
分会场一端对端的安全从外至内对抗威胁分会场一端对端的安全从外至内对抗威胁
分会场一端对端的安全从外至内对抗威胁
 
網路安全防護
網路安全防護網路安全防護
網路安全防護
 
中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议
 
Brochure ahn lab trusguard utm
Brochure ahn lab trusguard utmBrochure ahn lab trusguard utm
Brochure ahn lab trusguard utm
 
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
 
Unisys Security Insights Infographic: China
Unisys Security Insights Infographic: ChinaUnisys Security Insights Infographic: China
Unisys Security Insights Infographic: China
 
計概報告
計概報告計概報告
計概報告
 
20170427行政院資通安全處:「資通安全管理法」草案
20170427行政院資通安全處:「資通安全管理法」草案20170427行政院資通安全處:「資通安全管理法」草案
20170427行政院資通安全處:「資通安全管理法」草案
 
数据库系统防黑客入侵技术综述
数据库系统防黑客入侵技术综述数据库系统防黑客入侵技术综述
数据库系统防黑客入侵技术综述
 
China internet report___2-in-Chinese
China internet report___2-in-ChineseChina internet report___2-in-Chinese
China internet report___2-in-Chinese
 
Cyberoam人員識別管理新世代防毒牆(正式版)
Cyberoam人員識別管理新世代防毒牆(正式版)Cyberoam人員識別管理新世代防毒牆(正式版)
Cyberoam人員識別管理新世代防毒牆(正式版)
 
Solution ahn lab scm(4100+1100)-education
Solution ahn lab scm(4100+1100)-educationSolution ahn lab scm(4100+1100)-education
Solution ahn lab scm(4100+1100)-education
 
From Principle to Practice
From Principle to PracticeFrom Principle to Practice
From Principle to Practice
 
做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石
 
数据库系统安全防入侵技术综述
数据库系统安全防入侵技术综述数据库系统安全防入侵技术综述
数据库系统安全防入侵技术综述
 
Symantec Endpoint Protection 12.1
Symantec Endpoint Protection 12.1Symantec Endpoint Protection 12.1
Symantec Endpoint Protection 12.1
 
云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会
 

Viewers also liked

make easy
make easymake easy
make easyrd8126
 
金融行业的存储备份解决方案
金融行业的存储备份解决方案金融行业的存储备份解决方案
金融行业的存储备份解决方案gb ku
 
Sales Performance
Sales PerformanceSales Performance
Sales Performancejamiesim
 
Business Intelligence
Business IntelligenceBusiness Intelligence
Business Intelligencejamiesim
 
vadjh f
vadjh fvadjh f
vadjh fJildy
 
Taklimat agel final
Taklimat agel finalTaklimat agel final
Taklimat agel finalrd8126
 

Viewers also liked (7)

make easy
make easymake easy
make easy
 
金融行业的存储备份解决方案
金融行业的存储备份解决方案金融行业的存储备份解决方案
金融行业的存储备份解决方案
 
Sales Performance
Sales PerformanceSales Performance
Sales Performance
 
Business Intelligence
Business IntelligenceBusiness Intelligence
Business Intelligence
 
vadjh f
vadjh fvadjh f
vadjh f
 
Taklimat agel final
Taklimat agel finalTaklimat agel final
Taklimat agel final
 
Agel
AgelAgel
Agel
 

Similar to 军工行业网络安全解决方案整体设计

云计算可信评估方法研究
云计算可信评估方法研究云计算可信评估方法研究
云计算可信评估方法研究iamafan
 
Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場
Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場 Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場
Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場 Bill Hagestad II
 
信息利用规程
信息利用规程信息利用规程
信息利用规程eriko51
 
White paper ahnlab scm
White paper ahnlab scmWhite paper ahnlab scm
White paper ahnlab scmahnlabchina
 
White paper apc4.0
White paper apc4.0White paper apc4.0
White paper apc4.0ahnlabchina
 
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)组网与网络管理技术(第四章)
组网与网络管理技术(第四章)telab
 
Solution apc 4.0
Solution apc 4.0Solution apc 4.0
Solution apc 4.0ahnlabchina
 
淡江 – 961資訊安全作業 Soc 資安監控中心系統 第06組
淡江 – 961資訊安全作業 Soc 資安監控中心系統 第06組淡江 – 961資訊安全作業 Soc 資安監控中心系統 第06組
淡江 – 961資訊安全作業 Soc 資安監控中心系統 第06組阿狗 郭
 
SolarWinds Network Solution Guide
SolarWinds Network Solution GuideSolarWinds Network Solution Guide
SolarWinds Network Solution GuideAndrew Wong
 
组网实践
组网实践组网实践
组网实践telab
 
Internet System Security Overview
Internet System Security OverviewInternet System Security Overview
Internet System Security OverviewChinaNetCloud
 
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引liu sheng
 
漏洞的进化(CNCERT/CC CNVD)
漏洞的进化(CNCERT/CC CNVD)漏洞的进化(CNCERT/CC CNVD)
漏洞的进化(CNCERT/CC CNVD)Jordan Pan
 
Web应用安全:过去,现在,未来(Public Ver)
Web应用安全:过去,现在,未来(Public Ver)Web应用安全:过去,现在,未来(Public Ver)
Web应用安全:过去,现在,未来(Public Ver)ph4nt0m
 
中国西部信息中心介绍
中国西部信息中心介绍中国西部信息中心介绍
中国西部信息中心介绍yaoyao yang
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...Wales Chen
 
22
2222
2242qu
 
Построение гиперболического параболоида
Построение гиперболического параболоидаПостроение гиперболического параболоида
Построение гиперболического параболоидаbekkermankn
 

Similar to 军工行业网络安全解决方案整体设计 (20)

云计算可信评估方法研究
云计算可信评估方法研究云计算可信评估方法研究
云计算可信评估方法研究
 
Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場
Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場 Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場
Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場
 
信息利用规程
信息利用规程信息利用规程
信息利用规程
 
08
0808
08
 
White paper ahnlab scm
White paper ahnlab scmWhite paper ahnlab scm
White paper ahnlab scm
 
White paper apc4.0
White paper apc4.0White paper apc4.0
White paper apc4.0
 
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)组网与网络管理技术(第四章)
组网与网络管理技术(第四章)
 
Solution apc 4.0
Solution apc 4.0Solution apc 4.0
Solution apc 4.0
 
淡江 – 961資訊安全作業 Soc 資安監控中心系統 第06組
淡江 – 961資訊安全作業 Soc 資安監控中心系統 第06組淡江 – 961資訊安全作業 Soc 資安監控中心系統 第06組
淡江 – 961資訊安全作業 Soc 資安監控中心系統 第06組
 
SolarWinds Network Solution Guide
SolarWinds Network Solution GuideSolarWinds Network Solution Guide
SolarWinds Network Solution Guide
 
Mocha Bsm
Mocha BsmMocha Bsm
Mocha Bsm
 
组网实践
组网实践组网实践
组网实践
 
Internet System Security Overview
Internet System Security OverviewInternet System Security Overview
Internet System Security Overview
 
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
 
漏洞的进化(CNCERT/CC CNVD)
漏洞的进化(CNCERT/CC CNVD)漏洞的进化(CNCERT/CC CNVD)
漏洞的进化(CNCERT/CC CNVD)
 
Web应用安全:过去,现在,未来(Public Ver)
Web应用安全:过去,现在,未来(Public Ver)Web应用安全:过去,现在,未来(Public Ver)
Web应用安全:过去,现在,未来(Public Ver)
 
中国西部信息中心介绍
中国西部信息中心介绍中国西部信息中心介绍
中国西部信息中心介绍
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
 
22
2222
22
 
Построение гиперболического параболоида
Построение гиперболического параболоидаПостроение гиперболического параболоида
Построение гиперболического параболоида
 

军工行业网络安全解决方案整体设计

  • 1. 军工行业网络安全解决方案整体设计 田鑫 中国核工业建设集团公司四七一厂 摘 要 网络安全问题越来越引起世界各国的严密关注,随着计算机网络在军工行业的广泛应 用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的 安全漏洞越来越多;各种病毒泛滥成灾。这一切,已给各个国家以及我国军工行业造成巨大的经 济损失,甚至危害到国家安全。 关键词 计算机 网络 安全 方案 1 概述 1.1 方案背景 随着计算机、通信、网络技术的发展,全球信息化的步伐越来越快,网络信息系统 已经成为一个国家、一个行业、一个集团、 一个企业寻求发展的基础设施。 人类在感受到 网络信息系统对社会文明的巨大贡献的同时,也认识到网络信息安全问题已成为影响 国家、军工行业和长远利益而亟待解决的重大关键问题。 对国家而言,没有网络安全解决方案,就没有信息基础设施的安全保证,就没有 网络空间上的国家主权和国家安全,国家的政治、 军事、经济、文化、教育、社会生活等将 处于信息战的威胁之中。 大多数军工集团、军工企业在 2002 年完成了对计算机网络的升级改造。 近年来通过 各集团、各企业的积极努力,极大地加快了信息化建设的进程;然而,内部网络的安全 问题还是相当突出,比如计算机病毒就是一个主要的危害因素。 如何根据军工行业具体的网络系统环境,在“整体安全评估与安 全规划”的基础 上,建立一套行之有效的安全解决方案,将是本文研讨的主题。 1.2 实施意义 随着计算机技术、信息技术的发展,计算机网络系统必将成为我国军工行业业务的 关键平台。同时,随着计算机网络系统的发展,计算机网络安全系统必将发挥越来越重 要的作用。 网络安全系统的建立,必将为军工行业的业务信息系统、行政管理、信息交流提供 一个安全的环境和完整平台。通过先进技术建立起的网络安全系统,可以从根本上解决 来自网络外部及内部对网络安全造成的各种威胁,以最优秀的网络安全整体解决方案 1
  • 2. 为基础形成一个更加完善的业务系统和办公自动化系统。 利用高性能的网络安全环境, 提供整体防病毒、防黑客、 数据加密、 身份验证防火墙等于一身的功能,有效地保证秘密、 机密文件的安全传输,严格地制止经济情报丢失、泄密现象发生,维护数据安全。 中国核工业建设集团公司四七一厂在 2005 年全面启动信息化建设,建成了覆盖整 个企业各业务部门并与 Internet 联接的千兆快速以太网,尤其在当前网络安全和今后 的信息安全上取得的实践经验,笔者作为项目的负责者认为可作为军工行业各级机构 借鉴。因此,本方案的实施还可以达到预期的经济及社会效益。 2 需求分析 2.1 网络现状 2005 年,中国核工业建设集团公司四七一厂由于生产、 科研、经营、管理工作的需要, 对原有的 10Mbps 低速局域网进行了较大规模的升级改造工程,建成了覆盖一个企业各 业务部门并与 Internet 联接的千兆快速以太网;使整个网络从 IPX 和 TCP/IP 协议混用 的网络过渡到统一使用 TCP/IP 协议的网络,整个网络变的易于管理,较 IPX 和 TCP/IP 协议混用的网络更易于控制。 现有网络核心设备采用 HUAWEI、CISCO 等公司的产品,信息中心设在机关办公大楼 楼三楼,并配有一台高性能的中心交换机;厂机关及下属处级单位、车间分别配置可堆 叠工作组交换机,中心交换机与各工作组交换机之间使用光纤形成星型连接,建成了 4 个千兆、9 个百兆的主干传输通道,共连接 3 栋办公楼,联网计算机近 150 多台。如图 1-1 所示。 2
  • 3. 图1-1 核工业四七一厂网络拓扑图 在网络建设的同时,开发推广了实用的网络应用服务功能,包括开发数据库综合 应用、 信息网站、 WWW 电子邮件、FTP、视频服务等等。随着各种应用的开展,大大促进了中 国核工业建设集团公司四七一厂信息化管理和无纸化办公的进程。 2.2 网络安全现状 目前,中国核工业建设集团公司四七一厂对网络安全采取的主要措施有: 1) 利用操作系统、数据库、电子邮件、应用系统本身安全性,对用户进行权限控 制。 2) 采用了一定的数据备份措施(数据库系统备份)。 3) 使用防病毒软件对计算机病毒及时清除。 4) 使用了基于用户名/口令的访问控制。 5) 不定期对系统和应用日志进行审计。 6) 浏览相关系统网站,及时下载安全补丁。 但是,仅靠以上几项安全措施,还不能达到 中国核工业建设集团公司四七一厂安 全的要求。 2.3 主要网络安全威胁 网络安全的建立并不是单纯几种安全技术产品的堆积,它的重点在于要针对中国 核工业建设集团公司四七一厂现有的网络环境,对网络中所有可能存在的破坏侵入点 进行详细的分析,针对每一个可能的侵入点进行层层防护,对症下药,真正使之成为 “安全的”企业网络。 对中国核工业建设集团公司四七一厂网络安全构成威胁的主要因素有: 1) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服 务的服务器,同进也能访问内部的网络服务器,这样,由于内部和外部没有隔离措施 , 内部系统较容易遭到攻击。 2) 来自内部网的病毒的破坏。内部用户的恶意攻击、误操作,但目前发生的概率 较小。 3) 来自外部网络的攻击,具体有二条途径:1) Internet 的连接部分;2)与各 二级单位连接的部分。 4) 外部网的破坏主要方式为:1)黑客用户的恶意攻击、窃取信息;2)通过网络 传送的病毒和 Internet 的电子邮件夹带的病毒。3)来自 Internet 的 Web 浏览可能存在 的恶意 Java/ActiveX 控件。 5) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操 作系统均存在网络安全漏洞,如 UNIX 服务器,NT 服务器及 Windows 桌面 PC。 3
  • 4. 6) 缺乏一套完整的安全策略、政策。 其中,目前最主要的安全威胁是来自网络外部用户(主要是各二级单位用户和 Internet 用户)的攻击。 2.4 网络安全需求分析 根据上面所描述的企业网络的具体环境和相应的遭受威胁的可能性分析,我们提 出如下网络安全体系需求报告: 1) 访问控制:通过对特定网段、服务建立访问控制体系,将绝大多数攻击阻止在 到达攻击目标之前。 2) 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也 可使绝大多数攻击无效。 3) 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多 数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 4) 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。 5) 认证:良好的认证体系可防止攻击者假冒合法用户。 6) 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数 据和系统服务。 7) 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 8) 隐藏内部信息:使攻击者不能了解系统内的基本情况。 9) 设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服 务。 3 网络安全方案设计 3.1 安全体系设计原则 在进行计算机网络安全设计、规划时应遵循以下原则: 1) 需求、风险、代价平衡分析的原则:对任一网络来说,绝对安全难以达到,也 不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定 性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被 保护信息的价值必须平衡,价值仅 1 万元的信息如果用 5 万元的技术和设备去保护是一 种不适当的保护。 2) 综合性、整体性原则:运用系统工程的观点、方法,分析网络的安全问题,并 制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机 网络包括个人、 设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从 系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。 4
  • 5. 3) 一致性原则:这主要是指网络安全问题应与整个网络的工作周期(或生命周 期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。 实际上,在网络建 设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得 多。 4) 易操作性原则:安全措施要由人来完成,如果措施过于复杂,对人的要求过 高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。 5) 适应性、灵活性原则:安全措施必须能随着网络性能及安全需求的变化而变化, 要容易适应、容易修改。 6) 多重保护原则:任何安全保护措施都不是绝对安全的,都可能被攻破。但是建 立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其他层保护仍可保 护信息的安全. 3.2 安全体系层次模型 按照网络 OSI 的 7 层模型,网络安全贯穿于整个 7 层。针对网络系统实际运行的 TCP/IP 协议,网络安全贯穿于信息系统的 4 个层次。下图表示了对应网络系统网络的安 全体系层次模型: 物理层 物理层信息安全,主要防止物理通路的损坏、 物理通路的窃听、对物理通 路的攻击(干扰等)。 链路层 链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采 用划分 VLAN(局域网)、加密通讯(远程网)等手段。 网络层 网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络 路由正确,避免被拦截或监听。 企业安全策略 用户责任 计算机网络安全 保证 病毒 客户 防治 信息 操作 服务 系统 信息安全 5
  • 6. 理 实 体 安 全 操作系统 操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能 够对该操作系统上的应用进行审计。 应用平台 应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、 电子邮件服务器、 Web 服务器等。由于应用平台的系统非常复杂,通常采用多种技术 (如 SSL 等)来增强应用平台的安全性。 应用系统 应用系统完成网络系统的最终目的-为用户服务。应用系统的安全与系 统设计和实现关系密切。应用系统通过应用平台提供的安全服务来保证基本安全,如通 讯内容安全,通讯双方的认证,审计等手段。 3.3 安全产品选型 赛门铁克公司是目前世界上技术领先的 Internet 网络安全软件公司,也是最大、最 著名的工具软件公司。作为全球第七大软件商,全球有超过 6 千万的用户使用赛门铁克 产品,包括企业、政府和高等院校等各个领域的用户。 作为全球安全领域的领导者,赛门铁克公司致力于向商业和个人计算机环境提供 创造性的、 最有效的解决方案和产品,着重在为用户的系统提供可靠的安全保障,帮助 用户提高生产效率,保持用户的计算机系统在任何时间和任何地点,以最佳性能安全 可靠地运行。 赛门铁克公司主要以计算机系统内容安全、 漏洞检测与风险评估、 入侵扫描 软件和系统支持与恢复软件的研究发展著称。 Symantec 提供全方位、多层次的、整体的网络安全解决方案。 1) 在网络结构方面:Symantec 从第一层工作站、第二层服务器、第三层电子邮件 服务器到第四层防火墙都有相应的防毒软件提供完整的、 全面的防病毒保护,尤其是对 电子邮件的防病毒,Symantec 具有最全面的解决方案,包括市场上流行的所有邮件系 统如:IBM Lotus Notes/Domino(on AIXAS/400、 OS/390、SUN Solalis、 、 Exchang NT) MS Server 以及其他的基于 Unix 平台下的邮件系统。 2) 在系统平台支持方面: Symantec 对各种操作系统提供全面的支持,如: IBM AIX , Linux,AS/400,OS/390,SUNSolaris , Dos , Windows/3x , Windows95/98 , Windows NT Workstation/Server,Windows 2000,OS/2,NOVELL Netware,Macintosh 等。 3) 在防病毒技术方面:Symantec 采用各种先进的反病毒技术,尤其在对付未知病 毒和多态病毒方面,采用了各种先进的技术对其进行查杀,如:启发式侦测技术 (Bloodhund TM),神经网络技术,打击技术(Striker32)和防宏病毒技术(MVP)等, 6
  • 7. 因此 NAV 产品不仅能查、杀各种未知病毒,还能修复被病毒感染的文件。 4) 在防病毒软件和防病毒策略管理方面:通过赛门铁克的 SSC(Symantec System Center)赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、 集中的、 智能的、 自 动化的、强制执行的有效管理方式。 5) 在病毒定义码和扫描引擎升级方面:采用模块化( NAVEX)的升级方式,也就 是说,用户每次升级都包括最新的病毒定义码和扫描引擎,而且各种 NAV 产品采用的 是同一套病毒定义码和扫描引擎,方便用户病毒定义码和扫描引擎的升级,同时计算 机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机。 6) 在技术支持和服务方面:Symantec 有专门的人员和机构对用户出现的问题和新 病毒提供快速及时的响应,并能迅速提供相应的解决方案。 7) Symantec 对新出现的病毒具有最快的响应速度:Symantec 在全球有 4 个防病毒 研究中心(SARC),同时于 2000 年在中国成立第五个防病毒研究中心,在 SARC 有 专门的系统每时每刻主动在 Internet 上搜索病毒,同时把搜索来的病毒样本自动送到数 字 免 疫 系 统 中 进 行 分 析 , 产 生 响 应 的 解 决 方 案 , 在 经 过 SARC 的 验 证 后 公 布 在 Symantec 的网站上。 4 规章制度 “三分技术七分管理”是信息网络安全业界人士的共识。只有把安全管理和网络安 全技术同步运用于信息网络安全建设中,才可以构筑完善的信息网络安全保障体系。 4.1 网络基础设施管理 网络基础设施包括:挂接在计算机网络上的服务器、 交换机、线缆、客户机、系统软 件等。 4.1.1 服务器的管理 1) 在服务器上进行系统配置参数更改时,必须先将原配置参数记录下来,然后 再进行更改。 2) 需要对文件改动或删除时,要先进行备份,然后执行操作,以避免出现因误删 而导致服务终止的情况发现。 3) 严禁往服务器上备份不可靠的软件和数据,以保证在用的数据和软件不受病毒 和其他破坏程序的攻击。 4) 对于网络服务的启动和终止,必须严格按照标准的规范和步骤进行。 关闭网络 服务器必须等待所有数据正常保存、服务全部终止后方可进行。 5) 网络服务器上系统软件和应用服务软件的升级,要根据需求确定,升级操作 严格按照说明进行。 7
  • 8. 6) 对网络交换机进行的任何配置、更改必须先进行配置信息的备份,然后执行操 作,以保证不出现影响用户正常使用的情况出现。 4.1.2 网络线缆的管理 1) 任何人对网络线缆不得随意破坏。 2) 破坏线缆当事人将负责赔偿一切相关损失。 3) 线缆出现问题后由维护人员及时解决,并填写维护记录。 4.1.3 网络客户机的管理 1) 网络客户机在移动后必须由信息中心技术服务室指派专门的人员删除原有的 IP 地址和邮箱,并根据客户机调整方案重新配置 IP 地址和邮箱。 2) 对于更换客户机的人员也必须将原有客户机的 IP 地址和邮箱删除并在新机上建 立与原有客户机相同的 IP 地址和邮箱。 4.1.4 系统软件的管理 1) 系统软件的升级首先填写申请报告,经主管人员审核批准后,由网络管理人员 负责实施,升级完成后必须提交相关技术文档。 2) 系统运行参数的调整必须由网络管理人员进行,并填写更改记录。 4.2 数据库管理 1) 中心数据库系统必须使用中国核工业建设集团公司四七一厂统一要求的 SQL SERVER 数据库; 2) 应用系统需要表空间,需填写《数据库表空间申请表》; 3) 开发人员在使用中,不得随意更改权限,需向数据库管理人员提交申请报告, 由数据库管理人员根据实际情况统一授权; 4) 应用系统正式投入运行后,需通知数据库管理员,以便做好系统的备份工作。 未通知而造成数据丢失的,由该系统人员负责; 5) 应用系统正式投入运行后,不能在该系统用户下存放垃圾表,一旦发现,数据 库管理员有权在不做任何通知的情况下进行删除。 4.3 WWW 信息发布 4.3.1 部门网页的申请与管理 1) 部门需要建立网站时,首先向信息中心提出申请; 2) 信息中心网络管理人员审查后建立相关环境,并通知用户; 3) 部门主页的内容遵循第一消息原则,其他部门可做链接转载,严禁同一信息重 复存储浪费空间。 4.3.2 个人主页申请与管理 8
  • 9. 1) 个人主页的申请需要通过信息中心审查; 2) 主页的发布内容必须遵守《计算机系统保密工作管理细则》及其国家相应的互联 网络法规; 3) 对于违反规定的个人主页,信息中心有权在不作通知的情况下先停止其服务, 然后再与相关个人联系。 4.3.3 用户权限的申请与管理 1) 用户提出权限要求,以所在单位核准后报信息中心审查; 2) 信息中心根据实际情况赋予用户相应权限。 4.3.4 账号与密码管理 1) 网络账号和密码的管理必须确保安全,密码采用数字与字母组合方式,长度不 得小于七位。 2) 网络账号和密码作为绝密信息进行存储和传输,严禁将用户信息泄漏给第三方。 3) 用户密码丢失后,若要恢复,必须到信息中心向网络管理员提供身份证明后, 才能给予恢复,并记录在案。 4.4 电子邮件服务 1) 电子邮件服务器配置严格按照中国核工业建设集团公司四七一厂统一的邮件服 务器名配置标准进行配置。 2) 用户申请邮箱,必须填写《计算机网络用户申请表》报信息中心; 3) 信息中心网络管理员对用户的申请进行审核,合乎要求的给建立帐号,并通 知用户; 4) 原则上不限制用户邮件空间的使用量,不允许用户使用邮件进行不利于网络 正常运转的操作,如在邮箱中存储大的文件以及备份,也不得故意产生垃圾邮件。 5) 发送邮件不得附带带毒软件或程序,附件不得大于 5MB; 6) 尽量减少邮件群发方式分发信息。 4.5 FTP 文件存储 1) 用户必须填报 《计算机网络用户申请表》,在申请表中必须按《计算机信息系统 保密工作管理细则》严格指定密级; 2) 网络管理员进行审核,合乎要求的建立帐号,分配空间,并通知用户; 3) 不得向服务器上传垃圾文件; 4) FTP 用户只能获得读、写、浏览权限。 9
  • 10. 4.6 网络应用系统开发 1) 开发基于网络的应用系统,要有利于网络的运行和安全。 2) 网络应用系统提交运行前要进行安全性、完善性测试并进行性能优化; 3) 信息存储统一使用 SQL SERVER,不得使用其他类型库。 4) 数据库信息的发布,必须通过指定用户进行,该类用户对数据库信息只有读 取的权限; 5) 任何站点或进程对信息库的访问都必须使用同一缓冲池进行,禁止打开多用 户连接或多缓冲池连接,造成服务器过载。 4.7 信息资源备份、病毒防治、信息的保密 1) 为了保证存储在网络服务器上信息资源的安全,需要对这些资源进行备份。备 份工作由信息中心网络管理人员执行。 2) 备份方式及周期:备份磁带上必须标注备份内容,备份种类(日备份、月备份、 年备份)、备份日期、操作人等内容。 3) 系统备份操作系统每次更改前后的完全备份; 4) 数据库每次调参前后的完全备份; 5) 在进行升级、 调参操作后,新系统或新配置正常运行一个月以上,并已经拥有 新的备份时才能将老的备份清除。 6) 数据备份:日备份,每天下午 21:30 对数据进行增量备份、对修改过的应用 软件进行备份,日备份以周为周期循环进行;月备份,每月 10 号对数据和应用软件进 行完全备份,月备份以年度为周期循环进行;年备份,每年元月 15 日对系统、 数据、应 用程序进行完全备份,必要情况下可以以双备份方式进行,年度备份必须形成历史记 录,年度备份磁带内容不得删除,作为历史记录保存。 7) 将在线监测杀毒软件加载至每台个人计算机,并启动实时监视器。对在线监 测杀毒软件的病毒数据库更新包,由网络管理员或维护人员下载至厂内服务器上,各 单位计算机管理员负责下载并对本单位每台计算机病毒数据库进行更新。 8) 用户需要定期进行杀毒操作,杀毒时间和人员安排由各单位负责计算机管理 的人员自主安排执行。 9) 需要增加服务器端共享软件的用户,必须填表注册,经信息中心研究同意后, 由网络管理员将其安装至服务器端。 10) 为了尽可能减少病毒的破坏,用户应定期作好自己单机的重要数据备份工 作,对于财务部门的专用服务器数据,由该部门的计算机管理人员负责备份。 全厂网络 服务器的数据,由信息中心网络管理员或维护人员负责。 11) 服务器端原有的系统数据库文件和可执行文件的存放位置分开,网络上只 10
  • 11. 提供可执行文件下载,不允许直接在网络上安装。 12) 必须严格按照 WEB 应用服务器、文件服务器、数据库服务器分开的方式运转。 13) 网络服务中文件需要上传的必须提出申请,经核准并确定上传文件无病毒 后方允许上传存放。不得有意将带毒文件上传或分发他人,导致病毒扩散。 14) 各单位如果发现无法杀除的病毒,必须及时反映给信息中心,以便尽快研 究解决,无法解决的,将样本发送相应杀毒软件制作公司求助。 15) 各单位计算机管理人员和使用人员有义务及时报告最新病毒信息,以便全 厂防范。 16) 财务部门的专用服务器数据被病毒感染或破坏,由该处室兼职管理人员负责, 信息中心网络管理室和相应的技术人员提供技术支持。 4.8 监督考核 考核指标与奖惩办法 1) 网络值班时间内不在岗记问题点一个,如出现问题记重大问题点一个。 2) 未按时进行备份或备份标识不明确引起后果的,以及未作或丢失备份而导致数 据丢失的,对当事人记问题点一个,引起重大后果和影响的,记重大问题点一个。 3) 网络服务器不得出现病毒破坏事件,如出现记重大问题点一个。 4) 个人计算机的月病毒发生不得多于一次,如多于一次记相关人员问题点一个。 5) 如果出现由于相关人员未履行职责而引起的病毒破坏事件,要对相关人员追究 责任。个人未按要求进行备份或杀毒而出现数据丢失或文件被子病毒破坏的,由本人负 责,并记问题点一个。 6) 如果发现在信息网页上发布了不符合规定的内容根据后果轻重记问题点或重大 问题点一个。 7) 电子邮件发送大的邮件垃圾记当事人问题点一个。 8) 网络应用开发不遵守标准者,勒令当事人整改并记问题点一个。 5 结束语 在提到网络安全的全面解决方案时,很多人会认为:在服务器前加一个防火墙就 解决了网络安全问题,这其实是一种很狭隘的安全思路。防火墙仅仅是一个访问控制、 内外隔离的安全设备,在底层包过虑,对会超大 ICMP(信报控制协议)包、IP 伪装, 碎片攻击,端口控制等方面的确有着不可替代的作用,但它在应用层的控制和检测能 力是很有限的。比如利用 Unicode 漏洞和 MS SQL Server 远程控制等就可轻松穿透防火 墙实施攻击。因此,缺乏一套整体安全解决方案的网络系统,其安全是肯定没有保障的。 一套网络安全的整体解决方案涉及很多方面,包括设置好密码策略、 设置安全日志 11
  • 12. 策略以及安全管理制度等等。 由于系统本身是不安全的,其不安全性主要体现在没有进行安全地安装配置、 设置 用户及目录的权限不当、没有建立适当的安全策略等。例如:没有打安全补丁、安装时为 了方便使用简单口令而后来又不更改、没有进行适当的目录和文件权限设置、没有进行 适当的用户权限设置、打开了过多的不必要的服务、没有对自己的应用系统进行安全检 测等等。 另外,安全和管理是分不开的。即便有好的安全设备和系统,没有一套好的安全管 理方法并贯彻实施,安全就是空谈。值得注意的是这里强调的不仅要有安全管理方法, 而且还要贯彻实施。安全管理的目的在于两点:一是最大程度地保护网络,使得其安全 地运行,再就是一旦发生黑客事件后能最大程度地挽回损失。所以建立定期的安全检测、 口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度是非常必 要的。 参考文献 [1] 刘其奇,赵翠霞.企业网络安全性机制建立.计算机工程, 2000 年第 12 期, p126-127 [2]吴功宜,吴英.计算机网络教程.—3 版.北京:电子工业出版社,2003 [3]戚文静,刘学.网络安全原理与应用.中国水利水电出版社,2005 12