首页 > 资料专栏 > 经营 > 管理专题 > 项目管理 > 吉通公司金桥网网络安全项目建议书(41页).rar

吉通公司金桥网网络安全项目建议书(41页).rar

资料大小:317KB(压缩后)
文档格式:WinRAR
资料语言:中文版/英文版/日文版
解压密码:m448
更新时间:2018/7/26(发布于山东)

类型:积分资料
积分:12分 (VIP无积分限制)
推荐:升级会员

   点此下载 ==>> 点击下载文档


文本描述
吉通公司金桥网全网安全项目建议书
第一章 安全体系的认识
1.1 安全威胁
自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元。

由于企业网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。所以,企业网络可能存在的安全威胁来自以下方面:
(1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。

(2) 防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。

(3) 来自内部网用户的安全威胁。

(4) 缺乏有效的手段监视、评估网络系统的安全性。

(5) 采用的TCP/IP协议族软件,本身缺乏安全性。

(6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。

(7) 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。

1.2 平台安全的需求
1.2.1 网络的基本安全需求
满足基本的安全要求,是该网络成功运行的必要条件,在此基础上提供强有力的安全保障,是建设企业网络系统安全的重要原则。

网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是网络的基本安全需求。

对于各科各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。

1.2.2 业务系统的安全需求
与普通网络应用不同的是,业务系统是应用的核心。对于业务系统应该具有最高的网络安全措施。

企业网络应保障:
访问控调,确保业务系统不被非法访问。

数据安全,保证数据库软硬件系统的整体安全性和可靠性。

入侵检测,对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据。

来自网络内部其他系统的破坏,或误操作造成的安全隐患。

1.2.3 Internet服务平台的安全需求
Internet服务平台分为两个部分:提供网络用户对Internet的访问:提供Internet对网内服务的访问。

网络内客户对Internet的访问,有可能带来某些类型的网络安全隐患。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此,需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。

Internet对网内服务的访问,还会带来更加严重的网络安全隐患。如Telnet、Tlogin等远程服务。因此,需要在网关处,设立严格的监控手段,确保合法用户登录到合法主机,执行合法应用程序。

1.3 平台安全与平台性能和功能的关系
通常,系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。但是,企业接入国际互连网络,提供网上业务和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。

构建平台安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。

但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。

选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下,提供灵活的网络服务通道。

采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。

1.4 平台安全的管理因素
平台安全可以采用多种技术来增强和执行。但是,很多安全威胁来源于管理上的松懈及对安全威胁的认识。

安全威胁主要利用以下途径:
系统实现存在的漏洞。

系统安全体系的缺陷。

使用人员的安全意识薄弱。

管理制度的薄弱。

良好的平台管理有助于增强系统的安全性:
及时发现系统安全的漏洞。

审查系统安全体系。

加强对使用人员的安全知识教育。

建立完善的系统管理制度。

1.5 全方位的安全体系
与其它安全体系(如保安系统)类似,应用系统的安全体系应包含:
访问控制。通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。

检查安全漏洞。通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。

攻击监控。通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。

加密通讯。主动的加密通讯,可使攻击者不能了解、修改敏感信息。

认证。良好的认证体系可防止攻击者假冒合法用户。

备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。

多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。

隐藏内部信息,使攻击者不能了解系统内的基本情况。

设立安全监控中心,