网络安全设备技术要求
附件2017年公司网络安全一期建设工程网络安全设备品牌、性能及参数要求
备注:1、所有管理内核、应用软件要求提供1年免费升级、质保、售后服务 2、所有设备及软件提供上架安装、配置及使用培训服务
3、硬件6年质保需提供厂家授权的6年质保承诺书。
网络安全设计方案87894
1.1 某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统
某市政府中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
(完整版)公司内部网络安全和设备管理制度
公司内部网络安全和设备管理制度 1、网络安全管理制度 (1)计算机网络系统的建设和应用,应遵守国家有关计算机管理 规定参照执行; (2)计算机网络系统实行安全等级保护和用户使用权限控制;安 全等级和用户使用网络系统以及用户口令密码的分配、设置由系统管理员负责制定和实施; (3)计算机中心机房应当符合国家相关标准与规定; (4)在计算机网络系统设施附近实施的维修、改造及其他活动, 必须提前通知技术部门做好有关数据备份,不得危害计算机网络系 统的安全。 (5)计算机网络系统的使用科室和个人,都必须遵守计算机安全 使用规则,以及有关的操作规程和规定制度。对计算机网络系统中发生的问题,有关使用科室负责人应立即向信息中心技术人员报告;(6)对计算机病毒和危害网络系统安全的其他有害数据信息的防 范工作,由信息中心负责处理,其他人员不得擅自处理; (7)所有HIS系统工作站杜绝接入互联网或与院内其他局域网直 接连接。 2、网络安全管理规则 (1)网络系统的安全管理包括系统数据安全管理和网络设备设施 安全管理; (2)网络系统应有专人负责管理和维护,建立健全计算机网络系 统各种管理制度和日常工作制度,如:值班制度、维护制度、数据库备份制度、工作移交制度、登记制度、设备管理制度等,以确保工作有序进行,网络运行安全稳定; (3)设立系统管理员,负责注册用户,设置口令,授予权限,对 网络和系统进行监控。重点对系统软件进行调试,并协调实施。同时,负责对系统设备进行常规检测和维护,保证设备处于良好功能状态; (4)设立数据库管理员,负责用户的应用程序管理、数据库维护 及日常数据备份。每三个月必须进行一次数据库备份,每天进行一次日志备份,数据和文档及时归档,备份光盘由专人负责登记、保管; (5)对服务器必须采取严格的保密防护措施,防止非法用户侵 入。系统的保密设备及密码、密钥、技术资料等必须指定专人保管,服务器中任何数据严禁擅自拷贝或者借用; (6)系统应有切实可行的可靠性措施,关键设备需有备件,出现 故障应能够及时恢复,确保系统不间断运行; (7)所有进入网络使用的U盘,必须经过严格杀毒处理,对造成 “病毒”蔓延的有关人员,应严格按照有关条款给予行政和经济处 罚; (8)网络系统所有设备的配置、安装、调试必须指定专人负责, 其他人员不得随意拆卸和移动; (9)所有上网操作人员必须严格遵守计算机及其相关设备的操作 规程,禁止无关人员在工作站上进行系统操作;
信息安全管理制度-网络安全设备配置规范v1
网络安全设备配置规范 网络安全设备配置规范
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
网络安全设计方案完整版
网络安全设计方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来 2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
网络安全设备主要性能要求和技术指标要求部分汇总
1网络安全设备主要性能要求和技术指标要求 1.1防火墙 用于控制专网、业务内网和业务外网,控制专网、业务内网部署在XX干线公司、穿黄现地管理处(备调中心),每个节点各2台;业务外网部署在XX干线公司1台,共计9台。要求如下: 1.2入侵检测系统(IDS) 根据系统组建需要,控制专网、业务内网、业务外网均部署入侵检测系统(IDS),共需6套。 (1)控制专网:部署在XX干线公司及穿黄现地管理处(备调中心),每个节点各1套,共2套; (2)业务内网:部署在XX干线公司及穿黄现地管理处(备调中心),每个
节点各2套,共4套; 1.2.1 产品规格及性能指标要求 (1)支持10/100/1000BASE-SX/1000BASE-T以太网接口,千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块); (2)能监控的最大TCP并发连接数不小于120万; (3)能监控的最大HTTP并发连接数不小于80万; (4)连续工作时间(平均无故障时间)大于8万小时; (5)吞吐量不小于2Gbps。 (6)控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。 1.2.2 部署和管理功能要求 (1)传感器应采用预定制的软硬件一体化平台; (2)入侵检测系统管理软件采用多层体系结构; (3)组件支持高可用性配置结构,支持事件收集器一级的双机热备; (4)各组件支持集中式部署和大型分布式部署; (5)大规模分布式部署支持策略的派发,即上级可将策略强制派发到下级,以确保整个系统的检测签名的一致性; (6)可以在控制台上显示并管理所有组件,并且所有组件之间的通讯均采用加密的方式; (7)支持以拓扑图形式显示组件之间的连接方式; (8)支持多个控制台同时管理,控制台对各组件的管理能力有明确的权限区别; (9)支持组件的自动发现; (10)支持NAT方式下的组件部署; (11)支持IPv6下一代通信网络协议的部署和检测。 1.2.3 检测能力要求
网络安全管理方案
网络安全管理方案 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
网络安全管理 一、集团网络安全 网络安全分析: 1.物理安全 网络的物理安全是整个集团网络系统安全的前提。物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。 2.网络结构的安全 网络拓扑结构设计也直接影响到网络系统的安全性。在设计网络时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。 3.系统的安全 系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前没有完全安全的操作系统,所以必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 4.应用系统的安全
应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面,例如:E-mail等。 5.管理的安全 管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 二、集团安全技术手段 1.物理措施:对集团网络所有关键网络设备及服务器,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施,确保设备能安全高效的运行。 2.访问控制:对集团网络中所有用户访问网络资源的权限进行严格的认证和控制。进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等。 3.数据加密:对集团所有重要数据进行加密,保障信息被人截获后不能读懂其含义。并对客户端安装网络防病毒系统。 4.网络隔离:对集团研发中心进行网络隔离,严格控管与集团内网及intel网的访问,确保数据不会流失到外网。 5.防火墙技术:防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。 6.上网行为管理:控制和管理集团所有终端对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
网络安全设计方案.doc
目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来
2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即, 可用性:授权实体有权访问数据 机密性:信息不暴露给未授权实体或进程 完整性:保证数据不被未授权修改 可控性:控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏 针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:(1)内部窃密和破坏 由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。 (2)搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。 (3)假冒 这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。 (4)完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/
网络安全操作规程
网络安全操作规程 1.目的 为加强公司计算机设备及网络,系统数据,研发数据,源代码,信息安全的管理,确保计算机及公司网络系统正常可靠地运行,保证各部门日常工作的顺利开展,特制定计算机网络及信息安全管理规程。 2.范围 适用于本公司各部门的计算机,网络设备,办公设备(以下简称IT设备)和数据,信息安全的管理。 3.职责 3.1公司内IT设备维护,系统管理,信息安全管理,网络管理由IT部门统一安排执行管理。 3.2使用者对分配给其使用的IT设备安全和完整性负责,部门负责人对本部门IT设备的安全和完整性负责。部门负责人对部门网络及信息安全负责。 3.3各个部门配合本规定的实施。 4.操作规程 4.1 计算机与网络管理程序 4.1.1 IT设备的领用、采购,回收,维修,更换流程 (1)各部门新增招聘计划时,必须提前15天到行政部备案,如果库存的IT设备无法满足申请部门的需求或者库存无货时,就转采购申请。需采购的IT设备必须经IT人员确认配置后方可交由采购部采购。采购回来的设备由物资部交由仓库管理员签收后入库。 (2)新入职人员必须接受计算机网络及信息安全管理规程培训,培训合格后才可以申请IT设备。 (3)库存IT设备的申领申请人填写IT需求申请表,经IT人员确认核实相关配置。在库存有货的情况下由申请人经各级领导逐级审批,凭审批后的申请表到仓库领取。库存无货转采购流程。 (4)回收后的IT设备数据处理为保障公司信息数据安全,对于需要归还的IT设备,使用部门归还前自行备份IT设备数据,归还前清空数据。需归还的设备由归还人员填写归还申请表经IT人员检测配置无误后,由归还人员将IT设备搬到仓库指定地点。由仓库管理员清点入库签收。 (5)IT设备的维修IT设备的报修由申请人直接向IT人员提出,不产生费用且过保的维修事项由IT人员直接维修,对于保修期内的设备由采购人员联系供应商维修。经评估对于可能产生费用且过保的设备维修,由申请人填写IT设备需求申请表,经逐级审批后,方可由IT人员联系供应商进行维修。 (6)IT设备的更换必须由当事人提出书面申请(IT需求申请表),经IT人员对原有IT 设备配置检查记录后,由申请人凭(经各级领导逐级审批后的)申请表到仓库管理员处领取更换。原有IT设备回收按照第4.1.1(4)执行。 (7)离职员工离职前必须到IT人员处登记,由IT人员对其IT设备配置完整性进行检查,注销个人账户信息等,经确认IT设备完好无损,账户信息完全注销后方可办理其他离职手续。如有it设备损坏的情形将根据实际情况进行登记,由财务人员进行扣款处理后方可办理离职手续。离职员工的IT设备回收按照第4.1.1(4)执行。 (8)计算机设备调换必须到it人员处登记信息。IT设备调换前双方自行备份并清空数据。IT人员做好IT资产变更信息。
信息安全管理制度网络安全设备配置规范
网络安全设备配置规范 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭、、、等,以及使用而不是远程 管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许到公网服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击? 5.防火墙是否阻断下述欺骗、私有(1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255)
网络安全设计方案一
网络安全设计方案 2009-03-27 23:02:39 标签: IDC网络系统安全实施方案 1 吉通上海 IDC网络安全功能需求 1.1 吉通上海公司对于网络安全和系统可靠性的总体设想 (1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整性。要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作为一个系统工程来考虑。 网络系统可靠性:为减少单点失效,要分析交换机和路由器应采用负荷或流量分担方式,对服务器、计费服务器和DB服务器,WWW服务器,分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。 对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。网络安全应包含:数据安全; 预防病毒; 网络安全层; 操作系统安全; 安全系统等; (2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个方面: l 对路由器、服务器等的配置要求充分考虑安全因素 l 制定妥善的安全管理政策,例如口令管理、用户帐号管理等。l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。 l 制定对黑客入侵的防范策略。 l 对不同的业务设立不同的安全级别。 (3)卖方可提出自己建议的网络安全方案。 1.2 整体需求 l 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。 l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。 l 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级,培训,入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。 l 安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能兼容并有效整合。 l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。
企业网络安全方案设计
企业网络安全方案设计
企业网络安全方案设计 摘要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。 关键词:信息安全、企业网络安全、安全防护 一、引言 随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题: (1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
常见网络安全设备
Web应用防火墙(WAF) 为什么需要WAF? WAF(web application firewall)的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗,并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。 什么是WAF? WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对HTTP访问的Web程序保护。 WAF部署在Web应用程序前面,在用户请求到达Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。 通过检查HTTP流量,可以防止源自Web应用程序的安全漏洞(如SQL注入,跨站脚本(XSS),文件包含和安全配置错误)的攻击。 与传统防火墙的区别 WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的安全门。 WAF不是全能的 WAF不是一个最终的安全解决方案,而是它们要与其他网络周边安全解决方案(如网络防火墙和入侵防御系统)一起使用,以提供全面的防御策略。 入侵检测系统(IDS) 什么是IDS? IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
跟防火墙的比较 假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。 部署位置选择 因此,对IDS的部署唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。 因此,IDS在交换式网络中的位置一般选择在: 尽可能靠近攻击源; 这些位置通常是: 服务器区域的交换机上; Internet接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上 防火墙和IDS可以分开操作,IDS是个临控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置! 主要组成部分 事件产生器,从计算环境中获得事件,并向系统的其他部分提供此事件; 事件分析器,分析数据; 响应单元,发出警报或采取主动反应措施; 事件数据库,存放各种数据。 主要任务 主要任务包括: 监视、分析用户及系统活动; 审计系统构造和弱点;
网络安全设计
某企业一个安全具有纵深防御体系统设计 (一)企业网络现状及面临的风险 1. 企业网络的现状与未来 2.十大安全风险 (二)企业对网络安全的需求 1. 企业网络安全需求分析 2. UTM(统一威胁管理)更能满足企业的网络安全需求 (三)设计理念及设计 1. 整体网络安全系统架构 2.信息保障与深层防御战略 ●主机及其计算环境安全 ●安全操作系统 ●安全使能应用程序 ●网络传输设施 ●保护网络设施的相关技术 ●网络边界 ●支撑性基础设施 (四)设计总结
企业网络现状及面临的风险 企业网络的现状与未来 当今中小企业与大企业一样,都广泛使用信息技术,特别是网络技术,以不断提高企业的竞争力。企业信息设施在提高企业效益的同时,也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业,关于中小企业网络安全的相关报导也一直层不穷,给中小企业所造成的损失不可估量。由于涉及企业形象的问题,所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。中小企业所面临的安全问题主要有以下几个方面: 1.外网安全——骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。 2.内网安全——最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密。 3.内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 十大安全风险,具体如下: 1 邮件附件打开邮件附件的工作人员可能会将蠕虫或病毒释放到企业网络中,病毒的一种新的进化意味着它们甚至无需用户双击它们就可以自行传播。 2 VPN隧道弱点一名悄悄潜入VPN的黑客可以自由、方便地进入网络。 3 混合攻击蠕虫和病毒正变得越来越复杂,一个蠕虫或病毒可以自我执行攻击一个以上的平台。 4 声东击西的战术黑客可能攻击一家目标公司的多台服务器,然后当安全管理人员忙于扑灭这场“大火”时,他们溜进来,攻击网络的其他部分。 5 从网站上下载工作人员常常在工作场所滥用Internet接入,下载游戏、电影和音乐,这种作法不仅消耗了宝贵的带宽,而且为攻击打开了大门。 6 添加到网络中的供应链和合作伙伴网络管理员可能会批准一家合作伙伴公司访问网络,然后在任务结束时,忘记关闭这个接入点。这种情况也会发生在离开公司的雇员身上。
信息安全管理制度-网络安全设备配置规范1.doc
信息安全管理制度-网络安全设备配置规范 1 网络安全设备配置规范 XXX 2011年1月 网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp 等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更?
1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试) 1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为:
?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 – 192.168.255.255) ?保留地址(224.0.0.0)
网络安全管理制度汇编
网络安全管理制度中国科学院沈阳应用生态研究所
前言 网络安全是保障中国科学院沈阳应用生态研究所(以下简称沈阳生态所)信息系统安全运行的基础。为保障沈阳生态所信息系统的安全、稳定运行,特制定本规范。 本制度由信息中心提出。 本制度由信息中心归口。 本制度起草部门:信息中心。 本制度主要起草人:岳倩 本制度起草日期:2015/12/05
网络安全管理制度 1范围 本制度适用于沈阳生态所信息系统网络安全管理工作。 2组织及职责 ●系统管理员职责 ?恪守职业道德,严守企业秘密,熟悉国家安全生产法以及有关信息安全管理的相关规程; ?负责网络安全设备的安全策略部署、配置及变更管理、内网运行情况、更新和维护等日常工作; ?对数据网络实行分级授权管理,按照岗位职责授予不同的管理级别和权限; ?密切注意最新网络攻击行为的发生、发展情况,关注和追踪业界公布的攻击事件; ?密切关注信息系统安全隐患,及时变更信息安全策略或升级安全设备。 ●信息安全管理员职责 ?恪守职业道德,严守企业秘密,熟悉国家安全生产法以及有关信息安全管理的相关规程; ?每周对系统管理员的登录和操作记录进行审计; ?对系统管理员部署的安全策略、配置和变更内容进行审计; ?密切注意最新漏洞的发生、发展情况,关注和追踪业界公布的漏洞疫情。 3管理员账号和权限管理 3.1管理员账号
系统管理员和信息安全管理员的用户账号应分开设置,其他人员不得设置账户。在安全设备上建立用户账号,需要经过本级信息部门安全主管的审批并保留审批记录。 3.2系统管理员权限 系统管理员具有设置、修改安全设备策略配置,以及读取和分析检测数据的权限。 3.3信息安全管理员权限 信息安全管理员具有读取安全设备日志信息,以及检查安全设备策略配置内容的权限。 3.4管理员身份鉴别 管理员身份鉴别可以采用口令方式。应为用户级和特权级模式设置口令,不能使用缺省口令,确保用户级和特权级模式口令不同。安全设备口令长度应采用8位以上,由非纯数字或字母组成,并保证每季度至少更换一次。 安全设备的身份鉴别,必要时可以采用数字证书方式。 4策略和部署管理 4.1制定安全策略 系统管理员应依据沈阳生态所管理系统信息安全规划,结合实际需求,制定、配置具体网络安全设备的安全策略,并且进行规范化和文档化;安全设备的策略文档应妥善保存。 对关键的安全设备要采用双机热备或冷备的方式进行部署以减小系统运行的风险。 4.2安全设备统一部署 安全设备部署应依据沈阳生态所管理系统的信息安全规划统一部署,保证安全设备的可用性。安全设备部署的具体实施须经信息管理部门的审批并保留审批记录。 4.3安全网关类设备部署
信息安全管理制度-网络安全设备配置规范v1
网络安全设备配置规范
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp 等,以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
3《中国石化网络安全设备管理规范》(信系[2007]17号)
3《中国石化网络安全设备管理规范》(信系[2007]17号).txt30生命的美丽,永远展现在她的进取之中;就像大树的美丽,是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽,是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽,是展现在它波涛汹涌一泻千里的奔流中。本文由CAPFyn贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 中国石化网络安全设备管理规范网络安全设备管理规范管理 V 1.1 2007 年 5 月 16 日 - 1 - 目 1 2 3 4 录 目的…… - 4 目的范围…… - 4 范围术语…… - 4 术语管理员职责…… - 4 4.1 4.2 系统管理员职责……- 4 信息安全管理员职责……- 5 - 5 管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号……- 5 系统管理员权限……- 5 信息安全管理员权限……- 6 管理员身份鉴别……- 6 - 6 策略和部署管理…… - 6 6.1 6.2 制定安全策略……- 6 安全设备统一部署……- 6 - 6.2.1 6.2.2 6.2.3 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3 安全网关类设备部署…… - 6 入侵检测类设备部署…… - 7 漏洞扫描设备部署……- 7 - 配置和变更管理…… - 7 配置和变更授权……- 7 防火墙设备配置……- 7 VPN 设备配置……- 8 代理服务器设备配置……- 8 IP 加密机设备配置……- 9 入侵检测设备配置……- 9 漏洞扫描设备配置……- 9 运行维护管理…… - 10 安全设备的检测和维护…… - 10 安全设备的监视和记录…… - 10 安全设备配置备份和恢复…… - 10 安全设备的审计…… - 10 安全事件处理和报告…… - 11 漏洞扫描设备的专项要求…… - 11 安全设备的维修…… - 11 安全数据管理…… - 12 安全设备的数据…… - 12 检测获得数据的管理…… - 12 审计获得数据的管理…… - 12 - - 2 - 9.4 9.5 10 11 配置数据管理…… - 12 存储空间管理…… - 12 设备选型管理…… - 13 附则…… - 13 - - 3 - 1 目的 中国石化信息系统已覆盖全国范围的下属企业,成为中国石化系统生产、经营和管理提供信息化手段的根本,网络安全设备是保障中国石化信息系统安全运行的基础。为保障中国石化信息系统的安全、稳定运行,特制定本规范。 2 范围 本规范适用于中国石化股份公司统一建设的计算机网络内所有网络安全设备的管理和运行。集团公司及集团公司所属部门和单位参照本规范执行。本规范中所指网络安全设备包括各种安全网关类设备(防火墙、VPN、代理服务器、IP 加密机等)、入侵检测类设备、漏洞扫描类设备等。