发布时间 : 星期日 文章中小型企业网络安全整体解决方案 - 图文更新完毕开始阅读
北京工业大学通州分校
第二章 中小企业网络系统安全分析
第一节 中小企业网络安全分析
计算机网络所面临的威胁大体上可分为两种:一是对网络中信息的威胁;二是对网络种设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的。也可能是无意的,可能是人为的,也可能是非人为的。可能是外来黑客对网络系统资源的非法使用,也可能是内部不法分子的恶意行为。归结起来,针对网络安全的威胁主要有以下几方面:
一、人为地无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
二、人为地恶意攻击
这是计算机网络所面临的最大威胁,敌手的动机和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击。它以各种方式选择的破坏信息的有效性和完整性;另一类是被动攻击,他是在不影响网络正常工作的情况下,进行截获窃取、破译已获得中药寂寞信息。这两种攻击均可对计算机网络造成极大地危害,并导致机密数据的泄露。
三、网络软件的漏洞和“后门”
网络软件不可能百分之百无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,软件“后门”,都是软件公司的设计人员为了自便而设置的,或黑客闯入计算机为方便在此入侵而设置。软件编程人员设置的后门一般不为外人所知,但一旦“后门”洞开,就为入侵者提供了方便。
四、网络病毒
网络病毒大都市系统漏洞给病毒制造者提供可乘之机。
第二节 网络入侵手段
网络防范的最大敌人是入侵者,为了更好的保护好网络安全,网络通常用以下的步骤和方式达到入侵的目的。
一、信息收集
信息收集是为了了解所要攻击咪表的详细信息,通常黑客利用相关的网络协议或实用程序来收集,如用SNMP协议可用来查看路由器的路由表,了解咪表主机内部拓扑结构的细节,用Trace Route程序可获得达到目标主机所要经过的网络企业网络安全的规划设计与实践数和路由数,用Ping程序可以检测一个制定主机的位置并确定是否达可达到等
二、探测分析系统的安全弱点
在收集到咪表的相关信息后,黑客回探测网络上的每一台主机,以寻求系统安全漏
5
北京工业大学通州分校
洞或安全弱点,黑客一般会实用Telnet.FTP等软件向目标主机申请服务,如果目标主机有应答就说明开放了这些端口的服务。其次使用一些公开的工具软件和Internet安全扫描程序ISS(Internet Security Scanner)、网络安全分析工具SATAN等对整个网络或子网进行扫描,寻求系统的安全漏洞,获取攻击目标的非法访问权。
三、实施攻击
在获得了目标系统的非法访问权以后,黑客一般会实施以下攻击:
(一)试图毁掉入侵痕迹,并在收到攻击的目标系统中建立新的安全漏洞或后门,一边在先前的攻击点被发现后能继续访问搞系统。
(二)在目标系统安装探测软件,如特洛伊木马程序,用来窥探目标系统的活动,继续收集黑客感兴趣的一切信息,如账号与口令等铭感数据。
(三)进一步发现目标系统的信任等级,以展开对整个系统的攻击。
(四)如果黑客在被攻击目标系统上获得了特权访问权,那么他就可以读取邮件,搜索和盗取私人文件,毁坏重要数据一致破坏整个网络系统,那么后果不堪设想。
(五)密码破解,通常采用的攻击方式有字典攻击,假登陆程序,密码探测程序等来获取系统或用户的口令文件。
(六)IP欺骗(Spoofing)与嗅探(Snifing)
欺骗是一种主动的攻击,即将网络上的某台计算机伪装成另一台不同主机,目的是欺骗网络中的其他计算机误将冒名顶替者当做原始的计算机而向其发送数据或容许他修改数据。
(七)系统漏洞
漏洞是指程序在设计、实现和操作上存在错误。由于程序或软件的功能一般都比较复杂,程序员再设计和调试过程中总有考虑欠缺的地方,绝大部分软件在使用过程中都需要不断地改进与完善。 (八)端口扫描
由于计算机与外界通信都必须通过端口才能进行,黑客可以利用一些端口扫描软件如SATAN。或Hacker等对被攻击者的目标计算机端口扫描,查看该机器的那些端口是开放的,由此可以知道与目标计算机能进行那些通信服务。
第三节 网络安全防范体系设计原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服
务等因素,参照SSE--CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国家标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡行等方面,网络完全防范体系在整体设计过程中应遵循以下7项原则:
一、网络安全的木桶原则
网络信息安全的木桶原则是指对信息均衡。全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操
6
北京工业大学通州分校
作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟进攻)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常见的攻击手段,根本的是提高整个系统的“安全最低点”的安全性能。
二、网络信息安全的整体性原则
要求在网络发生被攻击、破坏时间的情况下,必须尽可能的快速回复网络信息中心的服务,减少损失。因此信息安全系统应高包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体存在的各种安全威胁采用的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止队系统进行各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地回复信息,减少供给的破坏程度。
三、安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的使用安全性与用户需求评价与评衡体系。安全体系要正确处理需求、风险与代价的关系。做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户、需求和具体的应用环境,具体取决于系统的规模和范围,系统的性能和西西的重要程度。
四、标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的实际必须遵循一系列的标准,这样才能确保各分系统的一致性,是整个系统安全地互联互通、信息共享。
五、技术与管理相结合原则
安全体系是一个复杂的工程,涉及人,技术,操作等要素。单靠技术或单靠管理都不可能实现。因此必须将各种安全技术与隐性管理机制,人员思想教育与技术培训、安全规章制度建设相结合。
六、统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境,条件,时间变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需求,县建设基本的安全体系,保证基本的,必须的安全性。随这今后随着网络规模的扩大应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防范力度,保证整个网络最根本的安全需求。
7
北京工业大学通州分校
第三章 中小企业网络安全策略分析
网络拓扑结构对整个网络的运行效率、技术性能发挥、可靠性等方面都有着重要的影响,确立网络的拓扑结构是整个网络方案规划设计的基础。其主要包括结构的选择、地理环境分布、传输介质、访问控制等。根据贵公司的实际地理环境,传输距离等因素,也考虑到费用的投入,本方案主要采用倒树型分层拓扑结构。拓扑图设计,见图 3—1
图 3—1网络拓补结构
DNS 53, tcp/udp 域名服务 WWW 80, tcp WWW服务
SMTP/POP3 25/110, tcp 电子邮件 FTP 21/20, tcp 文件传输服务
根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略, 防火墙采取以下配置方案:
类别 项目 IP地址/掩码 说明
Networks Pubic_Network 202.96.151.206/30
Internal_Network 10.232.0.0/20 10.43.10.0/24 外部网络 202.96.151.207/30
202.103.64.58/30
内部网络 192.168.0.0/24
10.0.0.0/24
8