|
 |
|
 |
 首页 >> 解决方案 >> 编辑推荐方案 |
|
|
| 天府热线一期弱电系统工程解决方案 [编辑推荐方案] |
| 北京冠群金辰软件有限公司 |
| 2005-10-12 11:07:00 文/ |
|
在动态中寻求安全
应用环境的变化和安全意识的提高,使得对安全技术和解决方案的要求也提高了,越来越多的企业已经认识到,由于环境的高度复杂性,传统的以块为单位的、趋于静态的安全系统已经远远不能满足当今的安全需求。天府热线数据中心作为国内著名的从事国际(内)域名注册、虚拟主机、托管服务器等IT专业服务的企业,充分认识到了这点,最后它们在其一期弱电系统工程中,采用了冠群金辰的方案。该方案的最大特点就是将系统安全---一个周而复始、螺旋上升的过程,通过对企业系统访问控制、风险评估、安全策略制定、安全架构制定、安全策略架构的实施、雇员的培训以及事后的安全审计等方面结合起来统筹规划,从而将安全性提高到一个前所未有的阶段。本文将对该方案做一个简要的介绍。
需求分析
由于天府热线业务的特殊性,对系统的安全性提出了更高的要求,首先是系统必须随时保持最大限度的安全性,以保护其用户的利益,;其次是由于其用户的复杂性和对信息的敏感性,因此就要求对各自的权限进行适当的屏蔽;第三是数据中心的管理任务非常繁重,涉及到的管理人员也很多,因此就必须尽量避免来自内部的恶意破坏,还必须减少因为人员流动而造成的安全断层;最后,由于数据中心处于一个信息枢纽的地位,就必须面对瞬息万变的动态环境,过去那种事后“打补丁”的做法显然已经不适应这种需求了,必须寻求从根本上解决问题的方案。
安全策略与设计原则
冠群金辰针对天府热线的上述情况,在其解决方案中加强了对管理人员的角色区分和对用户使用权限的分层,并强调了系统作为一个动态整体的特色。它们将天府热线数据中心系统涉及的各类人员,划分如下角色:决策专家、安全管理员、审计员、口令管理员、安全值班员、系统管理员、用户,安全管理员、审计员、口令管理员、系统管理员等角色会相互制约,避免出现单一的“超级”用户。在安全建设的初期,冠群金辰提供的产品实施和专业服务人员可以与客户高级安全技术人员共同完成对系统的规划、安全规则制定、安全策略实施等工作。同时把工作的方法和经验传递给客户的技术人员。在日后系统变化、策略改变时客户就可以自己规划、实施了。同时,在用户方面,还提供了包括用户口令规则,用户级别划分和资产级别划分的措施。最后,该方案还将企业系统访问控制、风险评估、安全策略制定、安全架构制定、安全策略架构的实施、雇员的培训、事后的安全审计等方面结合起来统筹规划,形成一个包括管理、预防、检测和评估(如下图一)为一体的安全系统,这样就能对可能会出现的新问题、IT系统的结构变化、应用系统的变化等作出即时的反应,从而形成一个动态的、周而复始的过程。
图一
总结起来,该方案包括了如下的网络安全设计原则,从而确保了从根本上而不是被动的解决安全问题:网络信息系统安全与保密的“木桶原则”,该方案坚持“木桶的最大容积取决于最短的一块木板”,安全机制和安全服务设计的首要目的是防止最常用的攻击手段,因此应提高整个系统的“安全最低点”的安全性能;网络信息安全系统的“整体性原则”,提供安全防护、监测和应急恢复,以便在网络发生被攻击、破坏事件的情况下,必须尽可能快地恢复网络信息中心的服务,减少损失;信息安全系统的“有效性与实用性”原则,即如何在确保安全性的基础上,把安全处理的运算量减小或分摊,减少用户记忆、存储工作和安全服务器的存储量、计算量;信息安全系统的“安全性评价”原则即实用安全性与用户需求和应用环境紧密相关,根据不同的应用环境采取相应的安全措施;信息安全系统的“动态化”原则,即整个系统内尽可能引入更多的可变因素,并具有良好的扩展性,由于用户在不断增加,网络规模在不断扩大,网络技术本身的发展变化也很快,而安全措施是防范性的、持续不断的,所以制定的安全措施必须不断适应网络发展和环境的变化;设计为本原则,安全与保密系统的设计应与网络设计相结合,即在网络进行总体设计时考虑安全系统的设计,二者合二为一;有的放矢、各取所需原则,既在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同,把有限的经费花在刀刃上。
方案介绍
整个方案包括网络安全防护、系统级安全防护、应用级防护、数据级安全防护、防护控制防护等几大块:
一 网络级安全防护
主要是从网络层进行安全防护,包括如下几个方面:
一是网络访问控制。在“天府热线”数据中心系统网络与外界连接处进行网络访问控制,正确区分外部网络用户的身份,区分其是进行查询,修改还是管理维护,提供基于用户的访问规则,针对不同的用户和用户的不同存取要求授予其不同权限,禁止非法用户进入天府热线系统。
二是网络地址翻译。通过使用网络地址翻译技术,让IP数据包的源地址和目的地址以及TCP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部细节,防止外部黑客利用IP探测技术发现内部网络结构和服务器真实地址,进行攻击。系统安全管理应该在网络与外界接口处实现数据包的网络地址翻译。
三是可疑网络活动的检测。如对ActiveX、 Java、JavaScript、VBScript的WEB页面、电子邮件的附件、带宏的Office文档等经常可能带有计算机病毒以及特络伊木马、BO等黑客工具的文件或程序进行检测,隔离未知应用,建立安全资源区域。
四是网络入侵防御。通过监视内部关键的网段,扫描网络上的所有数据,检测服务拒绝型袭击、可疑活动、怀恶意的applets、病毒等各种网络进攻手段,及时报告管理人员并防止这些攻击手段到达目标主机,可以对如下入侵手段进行有效的控制:碎片处理(包重组)、探测与不同数据的交叉、接受SYN包中的数据、ID测试支持、Sweep attack 、TCP包重叠、确定入侵的新模型、缓冲区溢出、匹配应用冲突反馈。
二 系统级安全防护
一是使用系统弱点扫描,能够定期扫描操作系统以及数据库系统的安全漏洞以及错误配置。提示管理员进行正确配置。
二是加强操作系统用户认证授权管理,限制用户口令规则和长度,禁止用户使用简单口令;强制用户定期修改口令。
三是按照登录时间、地点和登录方式限制用户的登录请求。
四是增强访问控制管理,包括:对文件的访问控制除提供读(Read),写(Write),执行(Execute)权限外,还应该有建立(Create),搜索(Search),删除(Delete),更改(Update),控制(Control)等权限以满足复杂安全环境的需求
五是WEB服务器的专门保护,包括了监控/阻塞具体用户组、地址、域访问特定的Web站点、URL或内部服务器的功能。
六是网络病毒的防护。因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地企业在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒可能入侵的缺口。
·IT产品报价大全 |
|
|
|
|
[第一页] 1 2 [下一页] [最后一页]
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
