网络与数据安全整体解决方案
一、概述
以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。
以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。
将分散系统整合成一个异构网络系统,数据存储系统整合成网络数据中心,通过存储局域网的形式对系统的各种应用提供数据支持。随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心,为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。基于联动联防和网络集中管理、监控技术,将所有网络安全和数据安全产品有机的结合在一起,在漏洞预防、攻击处理、破坏修复三方面给用户提供整体的解决方案,能够极大地提高系统防护效果,降低网络管理的风险和复杂性。整体防护主要包括以下产品:
数据访问控制系统: ·防火墙——对不同安全域之间信息交换进行访问控制·防病毒——对计算机病毒进行检测、查杀和系统修复·入侵检测——对网络进行监测,提供对网络攻击的实时保护,是防火墙的合理补充·漏洞扫描——对网络安全性通过扫描进行分析评估·VPN加密——对网络数据进行封包和加密,使公网上传输私有数据,达到私有网络的安全级别·物理隔离——内部网不得直接或间接地连接公共网,满足高度数据安全要求数据安全处理系统:
·数据存储——基于RAID的存储技术防止系统硬件故障·双机容错——提供系统应用级的故障处理,适用于高可靠性需求·数据备份——基于时间对文件和数据库级别的系统故障提供解决方案·灾难恢复——对整个主机系统提供保障和系统的快速故障修复能力
二、网络风险分析
典型网络拓扑图如图2.1:
图2.1典型网络结构
网络访问一般要经过以下几个步骤:
·客户端提交访问请求· 服务器响应服务请求· 客户机与服务器建立网络连接·服务器向数据库提交数据访问事务· 数据库反馈数据库信息给服务器·服务器转发信息给客户端软件在网络访问的各个过程中都存在着相应的风险隐患,具体表现为:
·非法访问请求:非法用户冒充合法用户提交访问请求,用户向未经授权服务提交访问请求
·应用服务漏洞:操作系统和应用软件或多或少的都存在着相应的系统漏洞,黑客可以通过系统漏洞远程攻击、控制计算机(例如IIS的服务溢出等)
·远程控制、发送病毒等恶意代码并应用:非法用户通过系统漏洞在公用服务器上安装木马程序并启动监听服务,通过远程连接登录并控制系统,为进一步向内部网络攻击提供了跳板。计算机病毒也可以通过电子邮件等正常应用将恶意代码传送给系统内部用户,使内部网络交叉感染产生故障。
·跳板攻击、病毒传染源:非法用户通过远程控制公用服务器,可以以此作为跳板,通过网络侦听收集内部网络的拓扑情况,对网络内部的计算机和数据进行破坏。受感染的计算机还会成为系统内部的感染源,病毒以服务器为基点,向内部网络进行破坏和交叉感染,造成系统无法正常运行、网络带宽被大量占用、重要数据遭到破坏,内部保密信息泄露。
·存储介质损坏、人员误操作:网络集中化使整个系统数据存储容量以及处理速度得到飞速发展,数据对整个网络正常运行影响越来越大,如果由于存储介质的损坏造成数据丢失则损失难以估量。新的应用技术层出不穷,信息存储容量几何级增长,使人员误操作的可能性大大增加。
三、整体方案设计系统整体防护方案拓扑图如图2.2:
图2.2 系统整体防护方案拓扑图系统说明:
针对网络内部各环节存在的安全风险和隐患,整体防护方案在网络各个节点采用相应的防护产品,形成全方位、立体的防护体系。基于标准通讯协议上的联动联防技术将各种安全防护有机地结合在一起,针对网络入侵自动采取智能化的防护措施。采用网络管理软件(CA UNICENTER等)对网络防护进行统一的监控和报警处理。产品具体配置如下:
在不同的网络入口处(路由器后面)放置防火墙,对所有进出网络的服务请求和数据交换进行控制,根据用户需求只开放授权用户和限定服务的访问,并对网络的各种攻击行为进行防御,拒敌于系统之外。
在防火墙上配置VPN产品,给内、外部保密信息的传送提供一条加密隧道,使公网数据传输达到私网安全防护等级。
在防火墙后面配置入侵检测系统,通过虚拟应答判断网络攻击的来源和方式。与防火墙结合联动联防技术,对网络攻击行为的检测结果传送给防火墙,自动修改防火墙防护配置,将非法网络连接切断。
在网络内部放置漏洞扫描系统,定期到互联网更新操作系统和应用服务的漏洞数据库。对网络内部主机进行扫描,得到相应的内部主机漏洞报告。根据报告对内部主机系统漏洞进行修复,增强内部主机自身的健壮性和对网络攻击的防护等级。
在内部网络的所有主机上安装网络防病毒软件,防止隐藏在正常文件交换中的计算机病毒进入内部系统。网络防病毒最重要的是对邮件交换系统、文件共享系统和内部信息系统的防护,切断病毒在内部网络传播的途径,防止病毒在内部网络的蔓延和大范围破坏。
在内部网的计算机上安装网络隔离卡,将计算机分为物理隔离的内部和外部两套网络系统,将不安全的外部访问隔离在内部网络之外,内、外网的访问之间没有直接和间接的连接,达到安全防护的最高等级。
根据网络的应用水平和具体需求,在内部业务系统选择磁盘阵列直连、网络附加存储或存储局域网三种不同的数据存储模式。在满足物理存储介质故障的在线修复和实时报警的基础上,还能够为数据存储容量和访问速度的扩充提供强大的支持能力和安全、灵活的配置方式。
对于系统实时访问要求比较高的内部核心业务系统配置双机容错系统。根据激活主机的故障原因,可以通过“心跳线”自动的选择“接管”和“托管”的方式进行系统切换,基于“共用磁盘”的数据管理方式可以保证系统切换的数据完整性和系统可靠性。
在内部的文件系统和数据库系统配置数据备份系统,提供系统使用中的实时/定时、在线、自动、增量、远程备份,灵活的配置方案可以满足内部网络系统不同的安全需求。磁盘阵列、光盘塔、磁带库/机不同的存取介质能够提供用户不同性价比的数据备份解决方案。
对内部业务系统的重要主机配置灾难恢复系统,当主机发生故障时,提供对整个主机系统(软件和数据)快速的系统恢复能力。
在网络内部配置网络集中管理软件,对整个网络的防护系统进行集中监控和管理,提高对整个网络设备使用状况的管理能力和故障的快速反应能力。
四、整体防护方案的特点和效果评估
采用集中管理、统一监控的整体防护解决方案,能够极大的提高内部网络对网络攻击的防范能力和数据故障的处理能力,降低了网络管理的复杂性,提高了整个网络的可用性和稳定性。具体表现在以下方面:
·漏洞扫描和防病毒系统增强了各个网络节点自身系统的稳定性和抗攻击能力· 防火墙作为网络系统的屏障极大地降低了内部系统遭受网络攻击的可能性·入侵检测与防火墙采用联动联防提高了系统自动对网络攻击的识别和防御能力·网络隔离系统将内部核心业务系统与外部网络物理隔离,降低了网络风险·磁盘阵列和双机容错提高了主机系统对软硬件故障的自动修复能力·网络存储方案将系统应用与数据读写分离,提高了系统的处理速度,节省了网络带宽· 数据备份和灾难恢复降低了由于数据丢失造成的网络风险,提高了系统管理员排除故障的速度和效果·系统主干的所有防护设备都采用了冗余设计,防止了单点失效产生的故障隐患·采用网络管理工具使系统管理员对整个网络的运行状况一目了然,使网络管理更加简单、方便
整个安全防护系统的效果评估作为一个整体的安全防护系统,方案设计中对于攻击行为的每一个步骤都有相应的产品进行防御,并且系统管理员可以通过网络管理软件掌握内部所有的安全隐患和攻击企图,根据具体情况采取灵活的处理措施,从而达到最大的防护效果。图2.3是防护系统对一个完整的网络攻击及防护方法的演示效果图:
更多内容请看PCdog.com--Sniffer安全技术 安全方案 路由安全配置专题
