一、需求分析
1、网络规划
武钢集团运输部的网络拓扑结构是星型快速以太网,采用Cisco的2900做为主交换机,下面使用Switch/Hub做为级联,全部服务器为PC Server,操作系统为微软的NT/2000,且连接在顶级的Cisco交换机上,另外两个独立建筑物,通过光纤模块进行的级联,其它八个车站通电话拨号接入运输部机房的二台3Com RAS1500服务器,二台1500接入服务器共提供16个拨入口,拨入用户通过RAS1500的以太口连接Cisco主交换机,全部联网有计算机200余台,整个网络通过一条光纤与武钢大网连接。由于Internet出口在武钢大网,整个运输部网络可以通过武钢大网接入Internet,但为了安全考虑,运输部通过代理服务器做了限制,只有少许的IP才能上Internet。
运输部网络的IP地址分配采用表态IP,网段号位:A.B.C.x,其中A.B.C.x为保留网段,其中A.B.C.200至A.B.C.2xx为3Com RAS1500接入服务器DHCP专用。
运输部网络中的需要保护的核心服务器为(A.B.C.1)NT 4,该服务即是主域控制器,又提供WWW服务,也是数据库服务器。SQL Server7、DOMINO群件系统、MIS等多个重要系统运行在此服务器。(如下图所示)
2、用户安全需求考虑
目前,武钢运输部的计算机网络软硬件基础建设工作已基本完成,但是还没有采取任何的网络安全保护措施,根据瑞星工程师的实地调研,发现运输部网络面临着很大的危险,众多重要部门的计算机都存在黑客程序、计算机病毒,这样一些重要信息很容易被一些黑客或恶意员工得到,而且下一步武钢运输部的网络要与其它各兄弟单位互联。武钢运输部已经充分认识到安全的重要性,北京瑞星公司通过对武钢运输部网络平台、应用的深入剖析和广泛调研,确定了以下几个需要考虑的安全防护要点:
* 网间隔离
计算机网络的发展就是互联更多的网络,来更利于和各企业及单位通讯。众多企业和个人借助网络平台完成各种工作,因此网络平台或网络服务器也将成为黑客攻击的众矢之的。在利用网络作为通讯的载体的同时,又要保证网络平台相对安全,这是网络互联扣首要考虑的问题。
* 网络病毒的防护
在网络中,计算机病毒的主要传播方式已经从软盘介质感染转到了从网络服务器和互联网邮件感染上来,由于文件共享及邮件传播病毒较之软盘介质传播病毒呈不可预见性、迅速扩散性及日益增多性,使得网络用户单位防不胜防;而网络一旦被病毒侵入并发作,将会对企业数据的安全性和企业自身利益造成严重的危害。因此,有效防止计算机病毒危害,保护好网络资源是计算机网络安全工作的重要环节。
* 网络防范缺乏层次感
在考虑平台整体安全的时候,如果将所有功能区域的安全放在同一水平线上,既浪费了有限的才力、物力、人力,也达不到很好的效果。公司应有选择性的对重要网段重点保护。
* 对系统自身缺陷了解有限
运输部网络中拥有一些重要的服务器供来WWW、FILE、MAIL等服务,对于非安全专业人员来说,很难将每一种系统的缺陷和安全漏洞了解清楚,因此需要借助第三方智能软件帮助用户解决这个安全隐患,并提出相应的安全专家建议。
* 缺少安全监控手段
网间隔离只能起到边界保护的作用,无法抵制网络内部攻击行为。另外攻击行为通常是经过几个步骤逐步实施的,如果能够尽早察觉网络中的可疑操作,防患于未然就能够最大限度的保护网络资源。在网络内部增加安全监控机制可以实现在不影响系统正常运行和不改变系统内核的情况下,完成系统运行情况数据的采集、系统故障预警和告警、部分调整工作的实施并提供分析数据和部分参考解决方案等项功能,做到攻防结合。
* 数据备份和恢复措施不完善
数据是所有应用的核心,网络数据的安全性极为重要,一旦重要的数据被破坏或丢失,会对日常业务造成重大的影响,甚至是难以弥补的损失,运输部的网络主服务器上运行了很多重要数据库,现在没有采取任何数据备份,一旦发生故障,后果是相当严重。
更多内容请看PCdog.com--QQ病毒 病毒/木马/蠕虫 瑞星专题
