移动企业网络安全整体解决方案报告书1.doc

网络安全整体解决方案第一部分 网络安全概述第一章 网络安全体系的基本认识 自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.5万亿美元一）安全威胁 由于企业网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计所以，企业网络可能存在的安全威胁来自以下方面： (1) 操作系统的安全性目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC (2) 防火墙的安全性防火墙产品自身是否安全，是否设置错误，需要经过检验 (3) 来自内部网用户的安全威胁 (4) 缺乏有效的手段监视、评估网络系统的安全性 (5) 采用的TCP/IP协议族软件，本身缺乏安全性 (6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制 (7) 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。

二）网络安全的需求1、企业网络的基本安全需求 满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是建设企业网络系统安全的重要原则 企业网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求 对于各科各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题2、业务系统的安全需求　　　　　　　与普通网络应用不同的是，业务系统是企业应用的核心对于业务系统应该具有最高的网络安全措施企业网络应保障：l 访问控制，确保业务系统不被非法访问l 数据安全，保证数据库软硬件系统的整体安全性和可靠性l 入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据l 来自网络内部其他系统的破坏，或误操作造成的安全隐患3、Internet服务网络的安全需求Internet服务网络分为两个部分：提供网络用户对Internet的访问：提供Internet对网内服务的访问网络内客户对Internet的访问，有可能带来某些类型的网络安全。

如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作网络安全需求是保护网络不受破坏，确保网络服务的可用性，作为信息网络之间的互联的边界安全应作为主要安全需求：² 需要保证信息网络之间安全互联，能够实现网络安全隔离；² 对于专有应用的安全服务；² 必要的信息交互的可信任性；² 能够提供对于主流网络应用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能够实现安全应用；² 同时信息网络公共资源能够对开放用户提供安全访问；² 能够防范包括：ü 利用Http应用，通过Java Applet、ActiveX以及Java Script形式；ü 利用Ftp应用，通过文件传输形式；ü 利用SMTP应用，通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于信息网络的侵害；² 对网络安全事件的审计；² 对于网络安全状态的量化评估；² 对网络安全状态的实时监控；其次，对于信息网络内部同样存在安全需求，包括：² 信息网络中的各单位网络之间建立连接控制手段；² 能够满足信息网络内的授权用户对相关专用网络资源访问；² 同时对于远程访问用户增强安全管理；² 加强对于整个信息网络资源和人员的安全管理与培训。

三） 网络安全与网络性能和功能的关系 通常，系统安全与性能和功能是一对矛盾的关系如果某个系统不向外界提供任何服务（断开），外界是不可能构成安全威胁的但是，企业接入国际互连网络，提供网上商店和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生构建网络安全系统，一方面由于要进行认证、加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用全方位的安全体系：与其它安全体系（如保安系统）类似，企业应用系统的安全休系应包含：访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。

加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息认证：良好的认证体系可防止攻击者假冒合法用户备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标隐藏内部信息，使攻击者不能了解系统内的基本情况设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务四）网络安全的管理因素 网络安全可以采用多种技术来增强和执行但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识安全威胁主要利用以下途径：l 系统实现存在的漏洞l 系统安全体系的缺陷l 使用人员的安全意识薄弱l 管理制度的薄弱良好的网络管理有助于增强系统的安全性：l 及时发现系统安全的漏洞l 审查系统安全体系l 加强对使用人员的安全知识教育l 建立完善的系统管理制度如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说就至关重要了安全管理主要包括两个方面：l 内部安全管理：主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。

内部安全管理主要采取行政手段和技术手段相结合的方法l 网络安全管理：在网络层设置路由器、防火墙、安全检测系统后，必须保证路由器和防火墙的ACL设置正确，其配置不允许被随便修改网络层的安全管理可以通过防火墙、安全检测、网络病毒防治以及网管等一些网络层的管理工具来实现第二章 网络安全技术概述基于以上的分析，企业网络系统涉及到各方面的网络安全问题，我们认为整个企业的安全体系必须集成多种安全技术实现如虚拟网技术、防火墙技术，入侵监控技术、安全漏洞扫描技术、病毒防护技术、加密技术、认证和数字签名技术等下面就以上技术加以详细阐述：一. 虚拟网技术 虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）交换技术将传统的基于广播的局域网技术发展为面向连接的技术因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点因此、防止了大部分基于网络监听的入侵手段通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点但是，虚拟网技术也带来了新的安全问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。

基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置基于MAC的VLAN不能防止MAC欺骗攻击 以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题 但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击因此，VLAN的划分最好基于交换机端口但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN网络层通讯可以跨越路由器，因此攻击可以从远方发起IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等二. 防火墙枝术 防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯1、使用Firewall的益处保护脆弱的服务 通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

控制对系统的访问 Firewall可以提供对系统的访问控制如允许从外部访问某些主机，同时禁止访问另外的主机例如，Firewall允许外部访问特定的Mail Server和Web Server集中的安全管理 Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件外部用户也只需要经过—次认证即可访问内部网增强的保密性 使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS记录和统计网络利用数据以及非法使用数据 Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测策略执行 Firewall提供了制定和执行网络安全策略的手段未设置Firewall时，网络安全取决于每台主机的用户2、 设置Firewall的要素网络策略 影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。

服务访问策略 服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等） 服务访问策略必须是可行的和合理的可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务Firewall设计策略 Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许通常采用第二种类型的设计策略3、 Firewall的基本分类包过滤 IP包过滤： √ 源IP地址； √ 目的IP地址； √ TCP/UDP。