多级分布式网络系统安全建设经典案例
趋势
网络技术的发展正在改变人们的生活,但在人们享受其带来的巨大的进步与利益同时,潜伏着的巨大的安全威胁也随之而来。
在我国,随着金字工程、政府网、电子商务、电子政务、军事信息化等国家信息化建设的发展,网络已经成为了国家的重要基础设施,而这些关键行业的信息化建设也不可避免的面临着信息安全威胁的挑战。
需求
某公司是国有大型企业,下属14个分公司及190多个分支机构。在信息化迅速发展的形势下,该公司正在积极地进行网络信息系统的建设,计划建设一个包含总公司、分公司和分支机构直属库的多级计算机网络系统。该系统划分为总公司主控中心为一级网络结构,分公司网络管理系统为二级网络结构和分支机构网络管理系统为三级网络结构。在其系统的设计中,对系统的高可靠性、可用性、性能和互联都做了充分的考虑。
目前网络已经完成了总公司的核心网络主控中心建设及分公司与总公司内部广域网建设,总公司和各分公司之间采用DDN或拨号等方式进行互连。
由于该公司计算机网络系统的内容涉及国家安全,某些数据属机密,在网络安全的考虑上,必须完整而细致。为了进一步提高网络安全性,达到建设一个完整、安全和高效的信息系统的目标,网络安全问题已经成为了急需解决的问题。因此,该公司决定搭建一套专门的网络和信息安全管理系统。经过慎重的调研与筛选,鉴于在整体网络安全领域的领先地位,成熟的产品与丰富的实施及服务经验,最终选择了北京冠群金辰软件有限公司作为此次的解决方案提供及实施厂商。
把脉
在信息安全管理系统搭建之前,考虑到该公司目前已经在网络安全设计上采取了一些比较初步的措施,并且顾及到其进行整体网络建设的步骤与保护投资等问题,冠群金辰首先对其网络中的存在安全问题及隐患进行了细致的分析,以保证提供方案的针对性与高效性: 首先,该公司现在的业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落。
在这样一个分布式应用的环境中,公司的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好-忘了上锁或不很牢固,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。
其次,目前某公司的网络主要采用TCP/IP作为网络通讯协议,主要服务器为Windows NT操作系统。
众所周知,TCP/IP是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。
实际上,从TCP/IP的网络层,人们很难区分合法信息流和入侵数据,DoS(Denial of Services,拒绝服务)就是其中明显的例子。
再次,在某公司中存在着多种应用,包括WWW、邮件系统、数据库系统等等。这些系统都存一些安全问题。从应用系统(软件)情况看,目前大多数业务系统,使用单机处理财务、统计、人事和文档等工作。近期将应用统计、财务、人事等独立的小型数据库软件。利用HTTP服务器的一些漏洞,特别是在大量使用服务器脚本的系统上,利用这些可执行的脚本程序,入侵者可以很容易的获得系统的控制权。同时,该公司的数据库系统也存在很多安全问题。
如何保证和加强数据库系统的安全性和保密性对于此公司的正常、安全运行至关重要。
此外,虽然某公司当前也对安全问题也做了一定的考虑,并设计了防火墙系统,但是鉴于当前IT系统安全性的严重状况,这些考虑还是比较朴素和初步的,并没有形成一套完整的防护体系。
设计
根据该公司网络系统中存在的安全需求,冠群金辰软件公司针对其网络系统架构的特点,提出了构建从边界防护、传输层防护,到核心主机防护的深层防御体系的解决方案,以确保其网络系统的安全。根据其建设进度安排,首期将主要部署网络防病毒体系。
经过了解,该公司的网络系统是建立在总公司、分公司、各直属库等基础上的多级分布式网络系统,其网络构成包括UnixNT服务器、邮件服务器、Windows95/98等联网客户机等。 因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,因此在构建企业网络防病毒系统时,可以通过KILL建立完整的防病毒体系,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略。根据其网络结构,冠群金辰公司将其病毒防护体系的部署重点分为了以下几个方面:PC机防护、实时保护文件/数据库服务器、实时防护邮件服务器、实时Internet网关的防护、在关键网段部署入侵检测系统、保护核心数据安全。具体的架构及产品在网络中的部署分布如下:
多级分布式网络系统安全建设经典案例
上一篇:网吧抗攻击安全解决方案
下一篇:国都证券广域网动态VPN备份案例
