网络安全解决方案(共12页).doc

《网络安全解决方案(共12页).doc》由会员分享，可在线阅读，更多相关《网络安全解决方案(共12页).doc（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上网 络 安 全解决方案济南美讯网络科技有限公司2010年2月4日目录一、 外网用户安全登录通过建设SSL VPN和RSA的 双认证 来实现外网用户能够安全的登录内部系统网络，使用内部系统的相关数据信息。SSL VPN实现了点对网的安全连接， SSLVPN 安全网关使用安全套接层（SSL 协议）提供数据加密，保证数据在公网上传输的安全。由于SSL 协议属于高层安全机制，因而广泛应用于Web 浏览程序和Web 服务器程序。当前几乎所有的标准浏览器中都内置了SSL 协议，因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。1.1. SSL VPN

2、简介 相对于传统的IPSec VPN，SSL能让公司实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术，主要看重的是其接入控制功能。 SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁，目前对SSL VPN公认的三大好处是:l 来自于它的简单性，它不需要配置，可以立即安装、立即生效;l 客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行;l 兼容性好，传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求，不同

3、的终端操作系统需要不同的客户端软件，而SSL VPN则完全没有这样的麻烦。SSLVPN安全特性通常SSL VPN的安全性包含三个层面上的含义：一是客户端接入的安全；二是数据传输安全；三是内部资源的访问安全。l 安全的加密认证、USB KEY双因素认证l 短信认证多重保证l 双向的证书支持，完整的PKI体系l 与第三方认证有效集成l 自建CA中心，减少安全架构成本l 客户端安全扫描，更完备的登陆安全l 自动清除访问记录，实现“零痕迹”访问l 超时退出，防止窥探1.2.RSA双因素身份认证系统简介在网络安全中，身份认证（Authentication）是最基本最重要的环节，即使将授权、保密性、完整性

4、等环节做得很完善，但如果帐号和密码被盗，系统将认为是合法用户，给予相应的访问权限，使系统处于危险状态。一般的认证采用比较复杂的密码或长密码来提高安全性，但是这样一来在输入密码时又容易输入错误，而且容易忘记，如果写在纸面上又容易丢失。而短密码又容易被猜到或暴力破解。RSA提供了完整的身份认证解决方案，特别是RSA SecurID双因素身份认证解决方案（RSA的一种），已成为该领域的事实标准，该解决方案以易于实现、成熟、可靠等特点在信息安全领域赢得广泛信赖。RSA SecurID双因素身份认证解决方案需要每个用户拥有一个认证设备，在企业内部需要认证服务器。认证设备：类似优盘大小认证服务器：标准19

5、U机柜大小一般的RSA认证方法是：认证设备与认证服务器运用相同的RSA算法，每分钟更换一次密码，用户可以通过输入认证设备上显示的密码来登录。RSA SecurID双因素身份认证解决方案的特点是：双重密码，就是每个认证设备都有一个4-8位PIN码（在服务器上定义），输入密码是要PIN+认证设备上显示的密码二合一的。好处就是即使认证设备被盗也不会被入侵者使用。二、内网用户认证准入系统2.1.网络准入系统简介使用桌面准入系统，可确保只有经过授权的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)访问网络资源，以防入侵者的威胁。并且可以保证终端设备的唯一性，不可伪造性。拒绝非法设备进行网络

6、访问。网络准入机制的实现l 当一台机器接入内网时，服务器将检查是否安装Agent(代理模块)。l 没有安装Agent(代理模块)时，服务器检查这台机器的IP/MAC地址。l 如果是NAH例外终端，就可以直接通过动态授权访问内部资源。上图中状态1。l 如果是访客的终端，就划分到访客区，这台机器如果需要访问互联网，需要输入访客密码，通过访客认证才可以访问互联网。上图中状态2l 如果这台机器需要访问内部保密的数据，就会提示安装代理模块。上图中状态3。l 安装过代理模块的机器，需要经过身份认证和终端认证，不合法的将拒绝接入。上图中状态4。l 合法的终端还要通过安全策略的检查，如果不合格，需要进入隔离区

7、进行强制修复，直到安全策略检查合格才可以进行下一步审核。上图中状态5。l 通过安全策略检查的终端通过动态授权才可以访问内部保密的数据。上图中状态6。l 安全策略检查包括安全检查，安全加固，行为审计，异常检测，U盘监控，文档加密等。三、漏洞扫描与信息系统安全评估3.1.漏洞扫描与管理系统简介漏洞是在、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。在漏洞横飞的今天，诞生了漏洞扫描与管理系统，漏洞扫描与管理系统是基于网络的脆弱性分析、评估与管理系统，它遵循 “发现扫描定性修复审核”的全面评估法则。漏洞扫描与管理系统主要功能l 资产发现以及管理漏扫

8、系统能够通过综合运用多种手段（主机存活探测，智能端口检测，操作系统指纹识别等）全面、快速、准确的发现被扫描网络中的存活主机，准确识别其属性，包括主机名称、设备类型、端口情况、操作系统以及开放的服务等，为进一步脆弱性扫描做好准备。l 脆弱式扫描与分析渐进式的扫描方法能够让漏扫系统利用已经发现的资产信息进行针对性扫描，以发现主机上不同应用对象（操作系统和应用软件）的弱点和漏洞，同时保证扫描过程的快速和结果的准确。目前，可检测的漏洞数量已经超过2300种，涵盖了各种常见的网络主机、操作系统、应用系统和数据库系统的安全漏洞。l 脆弱性风险评估总结被扫描资产的保护等级和资产价值，采用参考国家标准制定的风

9、险评估算法，能够对主机、网络的脆弱性风险做出定量和定性的综合评价。l 弱点修复指导每个漏洞都有详细的描述，包括漏洞的说明、影响的系统、平台、危险级别以及标准的CNCVE、CVE、BUGTRAQ等对应关系以及链接信息，并提供修补方案。l 安全策略审核用户可以通过计划任务的定期执行，进行基于主机、网络和弱点的趋势对比分析。另外，漏洞验证功能允许检查用户对扫描到的漏洞进行审核。3.2.信息系统安全评估简介了解组织的管理、网络和系统安全现状；确定可能对资产造成危害的威胁，包括入侵者、罪犯、不满员工、恐怖分子和自然灾害；通过对历史资料和专家的经验确定威胁实施的可能性；对可能受到威胁影响的资产确定其价值、

10、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的；对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；明晰组织的安全需求，指导组织建立安全管理框架，提出安全建议，合理规划未来的安全建设和投入。评估内容和阶段从评估对象这个角度，评估内容要覆盖组织所有节点中的重要信息资产。它包括两个层面的内容：技术层面：评估和分析在网络和主机上存在的安全技术风险，包括网络设备、主机系统、操作系统、数据库、应用系统等软硬件设备。管理层面：从组织的人员、组织结构、管理制度、系统运行保障措施，以及其它运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷。风险评估的步骤：1. 资产识别与赋值 :对组织

11、的各类资产做潜在价值分析，了解其资产利用、维护和管理现状；2. 威胁分析 : 是指对系统或资产的保密性、完整性及可用性构成潜在损害，以致影响系统或资产正常使用及操作的任何事件或行动3. 弱点分析: 识别信息系统在技术层面存在的安全弱点。通过采集本地安全信息，获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息，并进行相应的分析4. 控制分析 ：产生一个总体可能性评价来说明一个潜在弱点在相关威胁环境下被攻击的可能性5. 可能性及影响分析 ：对威胁发生频率的估计，即威胁发生的或然率6. 风险识别 ：挖掘并评估业务系统/资产面临的威胁、挖掘并评估业务

12、系统/资产存在的弱点、进而评估该业务系统/资产的风评估结果一旦风险评估全部结束（威胁源和弱点已经被识别出来，风险也被评估，控制建议也已 经提出），结果被整理为正式文档。根据收集的信息和完成的分析，评估小组创建风险评估报告书，并向组织相关人员陈述本次风险评估结果，提出相应的安全措施建议，利用风险评估管理系统RAMS管理评估结果，使组织充分理解信息系统存在的风险，以尽早采取措施管理不可接受的风险，最终完成风险评估活动。四、济南美讯网络科技有限公司简介济南美讯网络科技有限公司是一家资金和技术实力雄厚的高科技企业，2005年注册成立于充满活力的济南高科技园区,现有员工30余人，专业技术人才20余人。注

13、册资金500万元，现有固定资产总额600余万元，公司近两年发展迅速，先后在北京,青岛等地设立了办事处. 公司以专业的产品供应商和技术服务商为自身定位，不断完善运营体制，逐渐形成集销售、维修、工程安装及服务于一体的一条龙服务体系,为客户提供全面的系统集成服务，并充分利用现代化的系统管理手段，实现了网络规划、软件开发、产品供应、系统集成的创新运营。 美讯公司秉承“专注需求，快速服务”的理念,美讯人齐心协力，发扬团结创新、追求卓越的服务精神，创造了良好的经济和社会效益。提供企业整体解决方案、OA网络智能办公系统解决方案、大中型网络系统设计、咨询、实施、技术支持和维护（X.25、DDN、Frame R

14、elay、Ethernet、FDDI、ATM、Switch LAN、TCP/IP、SNA 等）软件工程管理（开发规范、标准文档、系统测试、系统维护）企业软件系统分析设计、以及应用开发培训等全面服务。 主要业务：美讯机房监控系统网络流量控制设备办公OA协同工作软件网络安全一体化方案提供商思科中国区专业集成商网络控制及管理一体方案供应商专业存储设备供应商神州数码网络产品分销商公司现有业务涉及政府，大型企业，运营商及公安系统，主要涉及软硬件安全产品，大型存储产品，电视电话会议设备，网络设备，传输设备及其他通讯相关产品服务。与联想网域、联想存储、神州数码网络、思科网络、日立存储、EMC存储、IBM存储

15、、SUN公司、中兴通讯、华为通讯，均有广泛合作。2007年全年实现销售收入1400余万元，其中仅存储设备及相关服务就签约400余万元，在大型网络技术服务中实现收入200余万元。济南美讯网络科技有限公司是一家新型的科技服务类IT公司，公司以全新的服务理念，以用户为中心，以自身强大的技术实力和上游厂商的良好合作为基础，将给用户带来优质的产品、增值的服务。美讯公司汇集了IT行业一批优秀的管理及技术精英，拥有CISCO、IBM等高级工程师和专业的施工队伍，承接结构化综合布线系统、城域网、广域网系统设计安装、大型网络系统集成服务！ 美讯公司三大优势：质量保证价格优惠服务及时我们的目标：坚持以技术和服务为企业之根，以行业经验和节约方案为发展之本，为客户提供最优质的产品和服务。专心-专注-专业