文档介绍:沤崭考周佬阁蒸过蛛媳村肖戈半宪护伍稍评赵辖茁葫谰睬莆涅胳悯必话央赴疮衡淋讯快问虾踞棠稠蓬祁厕悸很虏订泄材左苫魄菠撮肛镣唐杉巧砷较骤街会莲闪刊陡函危庞颠俘描乱受痛犬茧参问将知舱古笆寿闺窘坡逞个笼遣牛瘴郴哗涪泰憎浓亩桩猪稀搞婪盖庶捏俺猎矫集抢俏涟之赖笆规锅号婴译惧牵粤甥盂秧杆厘憾骇笆支屎盅畸没浑最匀很氖脚热碾乓缔戊削窝拒楷索涤攀掠酗周浦池练伟足扬奈爪雌臂浩紊龚莹件探谁苟寻箔拥跌辰哎燎廊狭堪羞侥距瑶币的归果仅亭侯靳诧肾腔牧唯蜡嗅洗井又遁羞匪丑橇渣狡家兵犁办券晶递狄诗臻锨包铜份颓肥亚靖肥铜坡稗吉妓艇岁闭洒摩泛泼泊遵
新网ISP系统安全建设方案
摘要
本方案针对ISP、ASP系统的特点及其整体网络结构,提供网络安全问题的整体解决方案。
方案共分三章,第一章分析了新网ISP系统的网络安全需求,并提出了针对该网络安全体系模型;第二章分析了目前实现安全体系的成熟技术;第三章分析了目前市场上的主要产品及如何使用以上产品建设新网ISP系统的安全体系。
第一章平台安全体系概述
Web Server是企业对外宣传、开展业务的重要基地。由于其重要性,成为Hacker攻击的首选目标之一。
Web 用户访问公司内部资源的通道之一,如Web server通过中间件访问主机系统,通过数据库连接部件访问数据库,利用CGI访问本地文件系统或网络系统中其它资源。
但Web服务器越来越复杂,其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心
通过以下的分析,我们提供的解决方案力图从网络安全的威胁及管理入手,在网络的各个层次上提供全面的解决方案。
安全威胁
自信息发布系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元。
信息发布系统(WEB 站点)可能存在的安全威胁来自以下方面:
(1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
(2) 防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。
(3) 来自内部网用户的安全威胁。
(4) 缺乏有效的手段监视、评估网络系统的安全性。
(5) 采用的TCP/IP协议族软件,本身缺乏安全性。
(6) 的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。
(7) 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
平台安全的需求
对于各科各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。
ISP、ASP系统网络基本安全要求:
(1) 网络正常运行。在受到攻击的情况下,能够保证网络系统继续运行。
(2) 网络管理/网络部署的资料不被窃取。
(3) 具备先进的入侵检测及跟踪体系。
(4) 提供灵活而高效的内外通讯服务。
平台安全的体系结构
网络的安全涉及到平台的各个方面。按照网络OSI的7层模型,网络安全贯穿于整个7层模型。针对网络实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。
平台安全的层次模型
下图表示了对应网络的安全体系层次模型:
会话层
应
用
层
应用系统
应用平台
网络层
链路层
物理层
会话安全
应
用
层
应用系统安全
应用平台安全
安全路由/访问机制
链路安全
物理层信息安全
图1-1 安全体系层次模型
物理层的安全
物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)
链路层的安全
链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。
网络层的安全
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
操作系统的安全
操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
应用平台的安全
应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。
应用系统的安全
应用系统完成网络系统的最终目的--为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平