电力电子技术

天府热线一期弱电系统工程解决方案

时间:2012-06-10 13:12:08   作者:电工学习网   来源:www.zhjwpx.com   阅读:156   评论:0
内容摘要:在动态中寻求安全  应用环境的变化和安全意识的提高,使得对安全技术和解决方案的要求也提高了,越来越多的企业已经认识到,由于环境的高度复杂性,传统的以块为单位的、趋于静态的安全系统已经远远不能满足当今的安全需求。天府热线数据中心作为国内著名的从事国际(内)姑注册、虚拟主机、托管服...
在动态中寻求安全

  应用环境的变化和安全意识的提高,使得对安全技术和解决方案的要求也提高了,越来越多的企业已经认识到,由于环境的高度复杂性,传统的以块为单位的、趋于静态的安全系统已经远远不能满足当今的安全需求。天府热线数据中心作为国内著名的从事国际(内)域名注册、虚拟主机、托管服务器等IT专业服务的企业,充分认识到了这点,最后它们在其一期弱电系统工程中,采用了冠群金辰的方案。该方案的最大特点就是将系统安全---一个周而复始、螺旋上升的过程,通过对企业系统访问控制、风险评估、安全策略制定、安全架构制定、安全策略架构的实施、雇员的培训以及事后的安全审计等方面结合起来统筹规划,从而将安全性提高到一个前所未有的阶段。本文将对该方案做一个简要的介绍。

需求分析

  由于天府热线业务的特殊性,对系统的安全性提出了更高的要求,首先是系统必须随时保持最大限度的安全性,以保护其用户的利益,;其次是由于其用户的复杂性和对信息的敏感性,因此就要求对各自的权限进行适当的屏蔽;第三是数据中心的管理任务非常繁重,涉及到的管理人员也《啵因此就必须尽量避免来自内部的恶意破坏,还必须减少因为人员流动而造成的安全断层;最后,由于数据中心处于一个信息枢纽的地位,就必须面对瞬息万变的动态环境,过去那种事后“打补丁”的做法显然已经不适应这种需求了,必须寻求从根本上解决问题的方案。

安全策略与设计原则

  冠群金辰针对天府热线的上述情况,在其解决方案中加强了对管理人员的角色区分和对用户使用权限的分层,并强调了系统作为一个动态整体的特色。它们将天府热线数据中心系统涉及的各类人员,划分如下角色:决策专家、安全管理员、审计员、口令管理员、安全值班员、系统管理员、用户,安全管理员、审计员、口令管理员、系统管理员等角色会相互制约,避免出现单一的“超级”用户。在安全建设的初期,冠群金辰提供的产品实施和专业服务人员可以与客户高级安全技术人员共同撼啥韵低车墓婊、安全规则制定、安全策略实施等工作。同时把工作的方法和经验传递给客户的技术人员。在日后系统变化、策略改变时客户就可以自己规划、实施了。同时,在用户方面,还提供了包括用户口令规则,用户级别划分和资产级别划分的措施。最后,该方案还将企业系统访问褐啤⒎缦掌拦馈安全策略制定、安全架构制定、安全策略架构的实施、雇员的培训、事后的安全审计等方面结合起来统筹规划,形成一个包括管理、预防、检测和评估(如下图一)为一体的安全系统,这样就能对可能会出现的新问题、IT系统的结构变化、应用系统的变化等作出即时的反应捍佣形成一个动态的、周而复始的过程。
  图一

  总结起来,该方案包括了如下的网络安全设计原则,从而确保了从根本上而不是被动的解决安全问题:网络信息系统安全与保密的“木桶原则”,该方案坚持“木桶的最大容积取决于最短的一块木板”,安全机制和安全服务设计的首要目的是防止最常用的攻击手段,因此应提高整个系统的“安全最低点”的安全性能;网络信息安全系统的“整体性原则”,提供安全防护、监测和应急恢复,以便在网络发生被攻击、破坏事件的情况下,必须尽可能快地恢复网络信息中心的服务,减少损失;信息安全系统的“有效性与实用性”原则,即如何在确保安全性的基础上,把安全处理的运算量减小或分摊,减少用户记忆、存储工作和安全服务器的存储量、计算量;信息安全系统的“安全性评价”原则即实用安全性与用户需睾陀τ没肪辰裘芟喙兀根据不同的应用环境采取相应的安全措施;信息安全系统的“动态化”原则,即整个系统内尽可能引入更多的可变因素,并具有良好的扩展性,由于用户在不断增加,网络规模在不断扩大,网络技术本身的发展变化也很快,而安全措施是防范性的、持续不氐模所以制定的安全措施必须不断适应网络发展和环境的变化;设计为本原则,安全与保密系统的设计应与网络设计相结合,即在网络进行总体设计时考虑安全系统的设计,二者合二为一;有的放矢、各取所需原则,既在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络赝乘要求的安全侧重点各不相同,把有限的经费花在刀刃上。

方案介绍

  整个方案包括网络安全防护、系统级安全防护、应用级防护、数据级安全防护、防护控制防护等几大块:

  一 网络级安全防护

  主要是从网络层进行安全防护,包括如下几个方面:

  一是网络访问控制。在“天府热线”数据中心系统网络与外界连接处进行网络访问控制,正

 

确区分外部网络用户的身份,区分其是进行查询,修改还是管理维护,提供基于用户的访问规则,针对不同的用户和用户的不同存取要求授予其不同权限,禁止非法用户进入天府热线系统。

  二是网络地址翻译。通过使用网络地址翻译技术,让IP数据包的源地址和目的地址以及TCP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部细节,防止外部黑客利用IP探测技术发现内部网络结构和服务器真实地址,进行攻击。系统安全管理应该在网络与外界接口处实现数据包的网络地址翻译。

 肴是可疑网络活动的检测。如对ActiveX、 Java、javascript、VBScript的WEB页面、电子邮件的附件、带宏的Office文档等经常可能带有计算机病毒以及特络伊木马、BO等黑客工具的文件或程序进行检测,隔离未知应用,建立安全资源区域。

  四是网络入侵防御。通过监视内部关键的网段,扫描网络上的所有数据,检测服务拒绝型袭击、可疑活动、怀恶意的applets、病毒等各种网络进攻手段,及时报告管理人员并防止这些攻击手段到达目标主机,可以对如下入侵手段进行有效的控制:碎片处理(包重组)、探测与不同数据的交叉、接受SYN包中的数据↖D测试支持、Sweep attack 、TCP包重叠、确定入侵的新模型、缓冲区溢出、匹配应用冲突反馈。

  二 系统级安全防护

  一是使用系统弱点扫描,能够定期扫描操作系统以及数据库系统的安全漏洞以及错误配置。提示管理员ㄐ姓确配置。

  二是加强操作系统用户认证授权管理,限制用户口令规则和长度,禁止用户使用简单口令;强制用户定期修改口令。

  三是按照登录时间、地点和登录方式限制用户的登录请求。

  四是增强访问控制管理,ɡǎ憾晕募的访问控制除提供读(Read),写(Write),执行(Execute)权限外,还应该有建立(Create),搜索(Search),删除(Delete),更改(Update),控制(Control)等权限以满足复杂安全环境的需求

  五是WEB服务器的专门保护,包括了监控/阻塞具体用户组、地址、域访问特定的Web站点、URL或内部服务器的功能。

  六是网络病毒的防护。因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地企业在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒可能入侵的缺口。
三 应用级安全保护

  一是实施单一登录机制.

  二是实施嵋坏挠没Ш湍柯脊芾砘制,包括允许用户在单一的界面中管理不同系统的用户和目录结构,可以同时在多个不同的操作系统平台上创建、修改和删除用户,提供跨平台的用户策略一致性管理;实施基于策略的管理以确保系统安全;减少IT管理人员管理目录和用户的时间和精力;隐藏不同操嵯低车牟钜臁

  四 数据级安全防护

  在“天府热线”IDC系统中,网管人员从网管网段到MAIL和WEB、数据库等业务网段的数据和编辑制作中心的编辑人员对WEB网站的媒体更新数据在传输的过程中,有可能遭受来自黑客的修改与破坏,所以我们建议通过建立数字证书和加密系统来保证数据传输过程中的真实性、完整性、隐私性。

  五 访问控制防护

  一是入网访问控制,分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。

  二是网络的权限控制,主要是根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。

  三是目录级安全控制,对目录和文件的访问权限被分为八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找笙蓿‵ile Scan)、存取控制权限(Access Control)。

  四是属性安全控制,能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件

 

、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。

  五是网络服务器安全控制,网络服务器的安全控制包括可以设置口令锁定服务器控制台,<防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

  六是网络监测和锁定控制,网络管理员可用以对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字<声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定

方案部署产品

  通过部署有关安全管理产品、制定相关管理管理规范,可以实现全方位的安全防护。但是,完整安全体系中的许多部分都是与系统的总体设计策略和业务联系在一起的。如单一登录的部署需要改变所有最终用户原来对系统的操作模式。而且,整个系统安全的建设是复杂而漫长的过程。因此,在系统建设的初,不可能一步到位的实现所有的安全管理功能。

  在天府热线数据中心一期弱电系统中,根据数据中心初期的安全防护要求,系统中首先部署网络入侵检测、主机入侵检测、安全扫描产品,在最关键的部位保护最关键的资源。

  在第三层下门的网络安全区域,部署冠群金辰的入侵检测,进行黑客入侵的检测和网络不良行为的监控。基于网络的入侵检测产品,可以监听并分析通过该局域网的信息,发现潜在的攻击。

  在IDC的网管服务器上安装冠群金辰公司的服务器核心防护,通过加固Unix、Windows NT操作系统自身的安全性,提高操作系统的防护能力。虽然可以在IDC的网管服务器上安装H-IDS,提供基于主机的实时入侵检测和响应,以满足此服务器的安全需求。但H-IDS只针对入侵检测进行监控及响应,但它并不能解决操作系统自身的安全漏洞和安全隐患。而冠群金辰公司的eTrust Access Control在操作系统的安全功能之上提供了一个安全保护层。通过从操作系统核心层截取文件访问控制,加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。

  据天府热线方面反映,此方案实施后该中心对各种潜在安全问题的反应能力明显提高,而且管理的效率也提高了不少,这样他们可以将更多的时间用于为用户提供更完善的服务;而从长远看该方案卓越的性价比也因此增色不少。

标签:弱小  安全  系统工程  专业服务  动态  
相关评论
珠海金湾三灶红旗平沙 电工考证|电工上岗证|电工复审|中级电工|高级电工|电工技师|高级技师培训
电工QQ交流群:115785049  电工培训黄老师QQ:2219024660粤ICP备11001230号