网络安全系统方案

2009-10-22 14:29:07 76人查看 【字号： 大 中 小】【背景色

】

概述

网络系统的安全包括较多方面内容，通常可以划分为网络系统安全和信息安全两方面。 网络系统安全主要包含以下内容：

•网络本身的安全性，包括线路、设备的备份，恢复应急等 •局域网、子网安全（逻辑隔离和物理隔离等） •系统（主机、服务器）安全 •访问控制（防火墙、带宽控制等） •系统安全检测 •网络安全检测 •入侵检测（监控） •审计分析 •防病毒

信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。 信息传输安全（动态安全） •数据加密 •数据完整性 •鉴别防抵赖

信息存储安全（静态安全） •数据库安全 •终端安全 •信息的防泄密 信息内容审计 •用户鉴别授权

针对以上分析，结合企业网建设的实际需求，我们将从网络系统安全、系统安全性、数据存储安全、防病毒、系统电源保护等多方面给出企业网的安全建议。 内部网络安全

在网络结构设计之初就要考虑相应的安全问题。从物理结构来说，在综合布线系统上，建议采用冗余的布线方式，避免单点故障的发生；在网络设备配置上，相对安全的设计方案是从中心交换设备到接入设备均采用热备份冗余方式，保证网络的正常运行，但从用户的资金投入方面考虑，建议综合布线方案铺设冗余备份，网络设备可以选用具有较高稳定性的设备，如有可能，在关键节点采用设备热备份的方式。 逻辑隔离和物理隔离 逻辑隔离

主要通过防火墙和交换机的逻辑划分功能来实现隔离，并通过访问控制来实现各隔离单元之间的访问的限制。

在本方案中，将采用逻辑隔离和物理隔离。 物理隔离

两个网络之间在物理上绝对隔离，不但内网信息不会泄露到外网，来自外网的病毒与黑客攻击也无法侵入内网。

具体实现方式有两种：

一、隔离卡在双布线环境下的应用 二、隔离卡在单布线环境下的应用 外部网络安全

我们在本方案中，采用如下的外部网络连接方式，以确保网络系统的安全性。 防火墙

防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。 防火墙分为网络层的防火墙和基于应用层的防火墙。 用户验证、授权和记账

对于外部用户通过VPN虚拟拨号技术访问内部网络，必须通过严格的用户验证、授权和记账措施。 为了在网络中使用统一的用户管理策略，通常使用验证服务器的方法。验证服务器与网络接入设备（如拨号接入服务器、防火墙以及代理服务器）之间通过验证协议进行信息交换。目前IETF的标准为RADIUS（拨号用户远程验证服务）协议，此外有些设备还支持TACACS+协议。 常用的防火墙品牌有CISCO，H3C，JUNIPER ，天融信等。 接入控制与服务系统

在目前网络出口上如何保证特定应用的传输质量是一个比较显著的问题，因此，在某些应用的传输上应该做一定的质量保证也就是接入控制和服务系统。 系统结构 入侵检测系统

随着网络的发展，来自黑客的攻击对网络的威胁越来越大建立严密的入侵检测体系是网络安全的一个重要方面。在这里仍然推荐使用方正科技科学系研发的“狙击手”入侵检测系统，介绍如下：

入侵检测系统是实时检测网络数据包，汇总各类信息，提供攻击分析统计报告，并能采取一定防御措施的全方位网络安全检测与防御系统。

整个“狙击手”入侵检测系统由探测Sensor与控制中心组成。 防病毒

计算机病毒是一种在计算机系统间传播，进行破坏系统或消耗计算机资源的代码。在80年代，Internet蠕虫病毒出现，并在Internet中迅速蔓延从而造成数十亿美元的损失后，网络系统病毒的防治成为网络安全的一个重要部分。

常用的网络版杀毒软件有瑞星，麦咖啡，卡巴斯基，等。 系统安全

系统安全关键在于主机、服务器的操作系统安全，一个系统的安全首先要从操作系统底层上保证，一方面要根据用户的实际需要选择安全级别较高的操作系统；另一方面系统的安全是相对的，不同的操作系统不断的被发现，所以要时刻关注安全方面的信息，注意升级自己的操作系统，避免发生黑客利用已知漏洞对系统进行攻击，并经常对数据和系统进行备份。 数据备份

对于企业网而言，信息存储的安全对系统的运行而言相当重要，这需要使用数据备份技术来保证。 作为数据备份最常采用的方法是主要采用主机内置或外置的磁带机对数据进行冷备份，这种方式在数据量不大，操作系统种类单一，服务器数量有限的情况下，不失为一种既经济又简明的备份手段。

但随着计算机规模的扩大，数据量几何级的增长以及分布式网络环境的兴起，企业将越来越多的业务分布在不同的机器、不同的操作平台上，这种单机的人工冷备份方式越来越不适应当今分布式网络环境。 网络数据备份

为满足目前的应用，用于网络分布式环境下的数据存储管理系统逐渐成为目前大型数据备份的主要手段。

集群技术

在上述章节中对于系统安全做和很多防范，但是，为了确保系统运行的万无一失，设备的双机备份是非常必要的保障手段。通俗的说，集群是这样一种技术：它至少将两个系统连到一起，使两台服务器能够像一台机器那样工作或者看起来好像一台机器。采用集群系统通常是为了提高系统的稳定性和网络中心的数据处理能力及服务能力。自80年代初以来，各种形式的集群技术纷纷涌现。因为集群能够提供高可用性和可伸缩性，所以，它迅速成为企业和ISP计算的支柱。