網路安全設計
⑴ 求一份網路安全設計方案的案例分析
呵呵,這個是作業吧?
⑵ 網路安全方案設計流程主要有哪些步驟
首先強調網路安全的重要性 立足自己的產品 如果是防病毒當然就是強調病毒木馬的危害 如果是安全網關 則著重於攻擊或黑客帶來的隱患
其次是分析對方的拓撲圖 這是最關鍵的 除了清楚的讓客戶認識到自己網路中的隱患外 還能告訴對方需要在什麼地方做改動
之後就是介紹自己的產品 或者公司資質等等
最後可以舉出一些成功案例還有售後服務之類
當然 不能忘記報價
⑶ 計算機網路安全設計!!!!
計算機網路安全存在的問題
影響計算機網路安全的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有。
(一)計算機病毒:面臨名目繁多的計算機病毒威脅計算機病毒將導致計算機系統癱瘓,程序和數據嚴重破壞,使網路的效率和作用大大降低,使許多功能無法使用或不敢使用。層出不窮的各種各樣的計算機病毒活躍在各個網路的每個角落,如近幾年的「沖擊波」、「震盪波」、「熊貓燒香病毒」給我們的正常工作已經造成過嚴重威脅。
(二)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
(三)人為的惡意攻擊:這是計算機網路所面臨的最大威脅,以各種方式有選擇地破壞信息的有效性和完整性。還有就是網路偵查,它是在不影響網路正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害,並導致機密數據的泄漏。
(四)網路軟體的缺陷和漏洞:網路軟體不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外,軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦「後門」洞開,其造成的後果將不堪設想。
(五)物理安全問題。物理安全是指在物理介質層次上對存貯和傳輸的信息安全保護。如通信光纜、電纜、電話線、區域網等有可能遭到破壞,引起計算機網路的癱瘓。
二、計算機網路的安全策略
(一)加強安全制度的建立和落實工作。一定要根據本單位的實際情況和所採用的技術條件,參照有關的法規、條例和其他單位的版本,制定出切實可行又比較全面的各類安全管理制度。主要有:操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和資料庫安全管理制度、計算機網路安全管理制度、軟體安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。制度的建立切不能流於形式,重要的是落實和監督。另外,要強化工作人員的安全教育和法制教育,真正認識到計算機網路系統安全的重要性和解決這一問題的長期性、艱巨性及復雜性。只有依靠人的安全意識和主觀能動性,才能不斷地發現新的問題,不斷地找出解決問題的對策。
(二)物理安全策略。對於傳輸線路及設備進行必要的保護,物理安全策略的目的是保護計算機系統、網路伺服器等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境。
(三)訪問與控制策略。訪問控制是網路安全防範和保護的主要策略,它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網路安全最重要的核心策略之一。
1.入網訪問控制。入網訪問控制為網路訪問提供了第一層訪問控制。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。
2.網路的許可權控制。網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。
3.屬性安全控制。當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力網路的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改、顯示等。
4.網路伺服器安全控制。網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
5.防火牆控制。防火牆是一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下;(1)包過濾防火牆:包過濾防火牆設置在網路層,可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型、協議源埠號、協議目的埠號等。當一個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。(2)代理防火牆:它由代理伺服器和過濾路由器組成,它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連,並對數據進行嚴格選擇,然後將篩選過的數據傳送給代理伺服器。(3)雙穴主機防火牆:該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡,分別連接不同的網路。雙穴主機從一個網路收集數據,並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據,從而保護了內部網路不被非法訪問。
(四)信息加密技術。對數據進行加密,通常是利用密碼技術實現的。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。在信息傳送特別是遠距離傳送這個環節,密碼技術是可以採取的唯一切實可行的安全技術,能有效的保護信息傳輸的安全。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。
隨著計算機技術和通信技術的發展,計算機網路將日益成為重要信息交換手段,滲透到社會生活的各個領域,採取強有力的安全策略,保障網路的安全性。
⑷ 安全設計方案
網路系統安全
網路信息系統的安全技術體系通常是在安全策略指導下合理配置和部署:網路隔離與訪問控制、入侵檢測與響應、漏洞掃描、防病毒、數據加密、身份認證、安全監控與審計等技術設備,並且在各個設備或系統之間,能夠實現系統功能互補和協調動作。
網路系統安全具備的功能及配置原則
1.網路隔離與訪問控制。通過對特定網段、服務進行物理和邏輯隔離,並建立訪問控制機制,將絕大多數攻擊阻止在網路和服務的邊界以外。
2.漏洞發現與堵塞。通過對網路和運行系統安全漏洞的周期檢查,發現可能被攻擊所利用的漏洞,並利用補丁或從管理上堵塞漏洞。
3.入侵檢測與響應。通過對特定網路(段)、服務建立的入侵檢測與響應體系,實時檢測出攻擊傾向和行為,並採取相應的行動(如斷開網路連接和服務、記錄攻擊過程、加強審計等)。
4.加密保護。主動的加密通信,可使攻擊者不能了解、修改敏感信息(如VPN方式)或數據加密通信方式;對保密或敏感數據進行加密存儲,可防止竊取或丟失。
5.備份和恢復。良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務。
6.監控與審計。在辦公網路和主要業務網路內配置集中管理、分布式控制的監控與審計系統。一方面以計算機終端為單元強化桌面計算的內外安全控制與日誌記錄;另一方面通過集中管理方式對內部所有計算機終端的安全態勢予以掌控。
邊界安全解決方案
在利用公共網路與外部進行連接的「內」外網路邊界處使用防火牆,為「內部」網路(段)與「外部」網路(段)劃定安全邊界。在網路內部進行各種連接的地方使用帶防火牆功能的VPN設備,在進行「內」外網路(段)的隔離的同時建立網路(段)之間的安全通道。
1.防火牆應具備如下功能:
使用NAT把DMZ區的伺服器和內部埠影射到Firewall的對外埠;
允許Internet公網用戶訪問到DMZ區的應用服務:http、ftp、smtp、dns等;
允許DMZ區內的工作站與應用伺服器訪問Internet公網;
允許內部用戶訪問DMZ的應用服務:http、ftp、smtp、dns、pop3、https;
允許內部網用戶通過代理訪問Internet公網;
禁止Internet公網用戶進入內部網路和非法訪問DMZ區應用伺服器;
禁止DMZ區的公開伺服器訪問內部網路;
防止來自Internet的DOS一類的攻擊;
能接受入侵檢測的聯動要求,可實現對實時入侵的策略響應;
對所保護的主機的常用應用通信協議(http、ftp、telnet、smtp)能夠替換伺服器的Banner信息,防止惡意用戶信息刺探;
提供日誌報表的自動生成功能,便於事件的分析;
提供實時的網路狀態監控功能,能夠實時的查看網路通信行為的連接狀態(當前有那些連接、正在連接的IP、正在關閉的連接等信息),通信數據流量。提供連接查詢和動態圖表顯示。
防火牆自身必須是有防黑客攻擊的保護能力。
2.帶防火牆功能的VPN設備是在防火牆基本功能(隔離和訪問控制)基礎上,通過功能擴展,同時具有在IP層構建端到端的具有加密選項功能的ESP隧道能力,這類設備也有SVPN的,主要用於通過外部網路(公共通信基礎網路)將兩個或兩個以上「內部」區域網安全地連接起來,一般要求SVPN應具有一下功能:
防火牆基本功能,主要包括:IP包過慮、應用代理、提供DMZ埠和NAT功能等(有些功能描述與上相同);
具有對連接兩端的實體鑒別認證能力;
支持移動用戶遠程的安全接入;
支持IPESP隧道內傳輸數據的完整性和機密性保護;
提供系統內密鑰管理功能;
SVPN設備自身具有防黑客攻擊以及網上設備認證的能力。
入侵檢測與響應方案
在網路邊界配置入侵檢測設備,不僅是對防火牆功能的必要補充,而且可與防火牆一起構建網路邊界的防禦體系。通過入侵檢測設備對網路行為和流量的特徵分析,可以檢測出侵害「內部」網路或對外泄漏的網路行為和流量,與防火牆形成某種協調關系的互動,從而在「內部」網與外部網的邊界處形成保護體系。
入侵檢測系統的基本功能如下:
通過檢測引擎對各種應用協議,操作系統,網路交換的數據進行分析,檢測出網路入侵事件和可疑操作行為。
對自身的資料庫進行自動維護,無需人工干預,並且不對網路的正常運行造成任何干擾。
採取多種報警方式實時報警、音響報警,信息記錄到資料庫,提供電子郵件報警、SysLog報警、SNMPTrap報警、Windows日誌報警、Windows消息報警信息,並按照預設策略,根據提供的報警信息切斷攻擊連接。
與防火牆建立協調聯動,運行自定義的多種響應方式,及時阻隔或消除異常行為。
全面查看網路中發生的所有應用和連接,完整的顯示當前網路連接狀態。
可對網路中的攻擊事件,訪問記錄進行適時查詢,並可根據查詢結果輸出圖文報表,能讓管理人員方便的提取信息。
入侵檢測系統猶如攝像頭、監視器,在可疑行為發生前有預警,在攻擊行為發生時有報警,在攻擊事件發生後能記錄,做到事前、事中、事後有據可查。
漏洞掃描方案
除利用入侵檢測設備檢測對網路的入侵和異常流量外,還需要針對主機系統的漏洞採取檢查和發現措施。目前常用的方法是配置漏洞掃描設備。主機漏洞掃描可以主動發現主機系統中存在的系統缺陷和可能的安全漏洞,並提醒系統管理員對該缺陷和漏洞進行修補或堵塞。
對於漏洞掃描的結果,一般可以按掃描提示信息和建議,屬外購標准產品問題的,應及時升級換代或安裝補丁程序;屬委託開發的產品問題的,應與開發商協議修改程序或安裝補丁程序;屬於系統配置出現的問題,應建議系統管理員修改配置參數,或視情況關閉或卸載引發安全漏洞的程序模塊或功能模塊。
漏洞掃描功能是協助安全管理、掌握網路安全態勢的必要輔助,對使用這一工具的安全管理員或系統管理員有較高的技術素質要求。
考慮到漏洞掃描能檢測出防火牆策略配置中的問題,能與入侵檢測形成很好的互補關系:漏洞掃描與評估系統使系統管理員在事前掌握主動地位,在攻擊事件發生前找出並關閉安全漏洞;而入侵檢測系統則對系統進行監測以期在系統被破壞之前阻止攻擊得逞。因此,漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標,而且關系密切。本方案建議采購將入侵檢測、管理控制中心與漏洞掃描一體化集成的產品,不但可以簡化管理,而且便於漏洞掃描、入侵檢測和防火牆之間的協調動作。
網路防病毒方案
網路防病毒產品較為成熟,且有幾種主流產品。本方案建議,網路防病毒系統應具備下列功能:
網路&單機防護—提供個人或家庭用戶病毒防護;
文件及存儲伺服器防護—提供伺服器病毒防護;
郵件伺服器防護—提供LotusNotes,MicrosoftExchange等病毒防護;
網關防護—在SMTP,HTTP,和FTPservergateway阻擋計算機病毒;
集中管理—為企業網路的防毒策略,提供了強大的集中控管能力。
關於安全設備之間的功能互補與協調運行
各種網路安全設備(防火牆、入侵檢測、漏洞掃描、防病毒產品等),都有自己獨特的安全探測與安全保護能力,但又有基於自身主要功能的擴展能力和與其它安全功能的對接能力或延續能力。因此,在安全設備選型和配置時,盡可能考慮到相關安全設備的功能互補與協調運行,對於提高網路平台的整體安全性具有重要意義。
防火牆是目前廣泛用於隔離網路(段)邊界並實施進/出信息流控制的大眾型網路安全產品之一。作為不同網路(段)之間的邏輯隔離設備,防火牆將內部可信區域與外部危險區域有效隔離,將網路的安全策略制定和信息流動集中管理控制,為網路邊界提供保護,是抵禦入侵控制內外非法連接的。
但防火牆具有局限性。這種局限性並不說明防火牆功能有失缺,而且由於本身只應該承擔這樣的職能。因為防火牆是配置在網路連接邊界的通道處的,這就決定了它的基本職能只應提供靜態防禦,其規則都必須事先設置,對於實時的攻擊或異常的行為不能做出實時反應。這些控制規則只能是粗顆粒的,對一些協議細節無法做到完全解析。而且,防火牆無法自動調整策略設置以阻斷正在進行的攻擊,也無法防範基於協議的攻擊。
為了彌補防火牆在實際應用中存在的局限,防火牆廠商主動提出了協調互動思想即聯動問題。防火牆聯動即將其它安全設備(組件)(例如IDS)探測或處理的結果通過介面引入系統內調整防火牆的安全策略,增強防火牆的訪問控制能力和范圍,提高整體安全水平。
目前,防火牆形成聯動的主要有以下幾種方式:
1.與入侵檢測實現聯動
目前,實現入侵檢測和防火牆之間的聯動有兩種方式。一種是實現緊密結合,即把入侵檢測系統嵌入到防火牆中,即入侵檢測系統的數據來源不再來源於抓包,而是流經防火牆的數據流。但由於入侵檢測系統本身也是一個很龐大的系統,從目前的軟硬體處理能力來看,這種聯動難於達到預期效果。第二種方式是通過開放介面來實現聯動,即防火牆或者入侵檢測系統開放一個介面供對方調用,按照一定的協議進行通信、警報和傳輸,這種方式比較靈活,不影響防火牆和入侵檢測系統的性能。
防火牆與入侵檢測系統聯動,可以對網路進行動靜結合的保護,對網路行為進行細顆粒的檢查,並對網路內外兩個部分都進行可靠管理。【網路安全設計方案3篇】網路安全設計方案3篇。
2.與防病毒實現聯動
防火牆處於內外網路信息流的必經之地,在網關一級對病毒進行查殺是網路防病毒的理想措施。目前已有一些廠商的防火牆可以與病毒防治軟體進行聯動,通過提供API定義非同步介面,將數據包轉發到裝載了網關病毒防護軟體的伺服器上進行檢查,但這種聯動由於性能影響,目前並不適宜部署在網路邊界處。
3.與日誌處理間實現聯動
防火牆與日誌處理之間的聯動,目前國內廠商做的不多。比較有代表性的是CheckPoint的防火牆,它提供兩個API:LEA(LogExportAPI)和ELA(EventLoggingAPI),允許第三方訪問日誌數據。報表和事件分析採用LEAAPI,而安全與事件整合採用ELAAPI。防火牆產品利用這個介面與其他日誌伺服器合作,將大量的日誌處理工作由專門的服務設備完成,提高了專業化程度。
內部網路監控與審計方案
上面的安全措施配置解決了網路邊界的隔離與保護,網路與主機的健康(防病毒)運行,以及用戶訪問網路資源的身份認證和授權問題。
然而,縣衛生局網路內部各辦公網路、業務網路的運行秩序的維護,網路操作行為的監督,各種違規、違法行為的取證和責任認定,以及對操作系統漏洞引發的安全事件的監視和控制等問題,則是必須予以解決的問題。因此有必要在各種內部辦公網路、業務網內部部署集中管理、分布式控制的監控與審計系統。這種系統通過在區域網(子網)內的管理中心安裝管理器,在各台主機(PC機)中安裝的代理軟體形成一個監控與審計(虛擬網路)系統,通過對代理軟體的策略配置,使得每台工作主機(PC機)按照辦公或業務操作規范進行操作,並對可能經過主機外圍介面(USB口、串/並口、軟硬碟介面等)引入的非法入侵(包括病毒、木馬等),或非法外連和外泄的行為予以阻斷和記錄;同時管理器通過網路還能及時收集各主機上的安全狀態信息並下達控制命令,形成「事前預警、事中控制和事後審計」的監控鏈。
監控與審計系統應具有下列功能:
管理器自動識別區域網內所有被監控對象之間的網路拓撲關系,並採用圖形化顯示,包括被監控主機的狀態(如在線、離線)等;
支持對包含有多個子網的區域網進行全面監控;
系統對被監控對象的USB移動存儲設備、光碟機、軟碟機等外設的使用以及利用這些設備進行文件操作等非授權行為進行實時監視、控制和審計;
系統對被監控對象的串/並口等介面的活動狀態進行實時監視、控制和審計;
系統對進出被監控對象的網路通信(www,ftp,pop,smtp)數據包進行實時攔截、分析、處理和審計,對telnet通信數據包進行攔截;
系統可根據策略規定,禁止被監控對象進行撥號(普通modem撥號、ADSL撥號、社區寬頻撥號)連接,同時提供審計;
系統對被監控對象運行的所有進程進行實時監視和審計;
系統支持群組管理,管理員可以根據被監控對象的屬性特徵,將其劃分成不同的安全組,對每個組制定不同的安全策略,所有組的成員都根據該策略執行監控功能;
支持多角色管理,系統將管理員和審計員的角色分離,各司其職;
強審計能力,系統具有管理員操作審計、被監控對象發送的事件審計等功能;
系統自身有極強的安全性,能抗欺騙、篡改、偽造、嗅探、重放等攻擊。
⑸ 如何設計網路安全
網路安全對沒用的人沒計安全,對求助的人不能現只。
⑹ 網路安全設計方案包括什麼內容
回答你的問題可以寫一本書了。
首先要有安全需求分析,然後根據各個資產估值內,然後評估各容種風險發生的概率,最後根據組織的安全需求提供技術實施方法,最後表述實施安全方案以後的效果和未來願景。
一個方案大概就這幾大塊了,給中國移動提交的安全方案也就是類似這種格式。
⑺ 網路安全畢業設計
淺談計算機網路和網路安全 [網路] 03-04摘 要: 介紹了計算機網路和網路安全的概念,對於互聯網的安全問題提出了解決方案,認為實現網路安全措施的一種重要手段就是防火牆技術,因而重點介 紹了防火牆種類和防火牆技術的實現。 Summary : Have introce the computer network and concept of the ...
http://www.56doc.com/computer/network/3863.html 計算機網路安全的現狀及對策(網路安全問題) [網路] 02-26摘 要 21世紀全世界的計算機都將通過Internet聯到一起,網路安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網路社會的時候,我國將建立起一套完整 ...
http://www.56doc.com/computer/network/3819.html 計算機網路安全漏洞及防範措施 [網路] 07-16【摘 要】: 介紹了計算機網路和網路安全的概念,對於互聯網的安全問題提出了解決方案,認為實現網路安全措施的一種重要手段就是防火牆技術,因而重點介紹了防火牆種類和防火牆技術的實現。 關鍵詞: 計算機網路; 安全; 防火牆; 攻擊 Discuss the online ...
http://www.56doc.com/computer/network/1204.html 網路安全-Web的入侵防禦系統的設計與實現 [網路] 07-16摘 要 Web伺服器往往得不到傳統防禦方式的有效保護,使其成為整個網路環境中安全最薄弱的地方。緩沖區溢出、SQL注入、基於腳本的DDos、盜鏈和跨站等攻擊行為對Web伺服器的安全和穩定造成極大的威脅,而目前缺少有效的防禦和保護的方式。本課題中首先調研了當 ...
http://www.56doc.com/computer/network/1178.html
⑻ 如何設計網路安全方案呢
對於一名從事網路安全的人來說,網路必須有一個整體、動態的安全概念。總內的來說,就是要在容整個項目中,有一種總體把握的能力,不能只關注自己熟悉的某一領域,而對其他領域毫不關心,甚至不理解,這樣寫不出一份好的安全方案。因為寫出來的方案,就是要針對用戶所遇到的問題,運用產品和技術解決問題。設計人員只有對安全技術了解的很深,對產品線了解的很深,寫出來的方案才能接近用戶的要求。