确区分外部网络用户的身份,区分其是进行查询,修改还是管理维护,提供基于用户的访问规则,针对不同的用户和用户的不同存取要求授予其不同权限,禁止非法用户进入天府热线系统。
二是网络地址翻译。通过使用网络地址翻译技术,让IP数据包的源地址和目的地址以及TCP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部细节,防止外部黑客利用IP探测技术发现内部网络结构和服务器真实地址,进行攻击。系统安全管理应该在网络与外界接口处实现数据包的网络地址翻译。
肴是可疑网络活动的检测。如对ActiveX、 Java、javascript、VBScript的WEB页面、电子邮件的附件、带宏的Office文档等经常可能带有计算机病毒以及特络伊木马、BO等黑客工具的文件或程序进行检测,隔离未知应用,建立安全资源区域。
四是网络入侵防御。通过监视内部关键的网段,扫描网络上的所有数据,检测服务拒绝型袭击、可疑活动、怀恶意的applets、病毒等各种网络进攻手段,及时报告管理人员并防止这些攻击手段到达目标主机,可以对如下入侵手段进行有效的控制:碎片处理(包重组)、探测与不同数据的交叉、接受SYN包中的数据↖D测试支持、Sweep attack 、TCP包重叠、确定入侵的新模型、缓冲区溢出、匹配应用冲突反馈。
二 系统级安全防护
一是使用系统弱点扫描,能够定期扫描操作系统以及数据库系统的安全漏洞以及错误配置。提示管理员ㄐ姓确配置。
二是加强操作系统用户认证授权管理,限制用户口令规则和长度,禁止用户使用简单口令;强制用户定期修改口令。
三是按照登录时间、地点和登录方式限制用户的登录请求。
四是增强访问控制管理,ɡǎ憾晕募的访问控制除提供读(Read),写(Write),执行(Execute)权限外,还应该有建立(Create),搜索(Search),删除(Delete),更改(Update),控制(Control)等权限以满足复杂安全环境的需求
五是WEB服务器的专门保护,包括了监控/阻塞具体用户组、地址、域访问特定的Web站点、URL或内部服务器的功能。
六是网络病毒的防护。因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地企业在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒可能入侵的缺口。
三 应用级安全保护
一是实施单一登录机制.
二是实施嵋坏挠没Ш湍柯脊芾砘制,包括允许用户在单一的界面中管理不同系统的用户和目录结构,可以同时在多个不同的操作系统平台上创建、修改和删除用户,提供跨平台的用户策略一致性管理;实施基于策略的管理以确保系统安全;减少IT管理人员管理目录和用户的时间和精力;隐藏不同操嵯低车牟钜臁
四 数据级安全防护
在“天府热线”IDC系统中,网管人员从网管网段到MAIL和WEB、数据库等业务网段的数据和编辑制作中心的编辑人员对WEB网站的媒体更新数据在传输的过程中,有可能遭受来自黑客的修改与破坏,所以我们建议通过建立数字证书和加密系统来保证数据传输过程中的真实性、完整性、隐私性。
五 访问控制防护
一是入网访问控制,分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
二是网络的权限控制,主要是根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。
三是目录级安全控制,对目录和文件的访问权限被分为八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找笙蓿‵ile Scan)、存取控制权限(Access Control)。
四是属性安全控制,能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件
、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
五是网络服务器安全控制,网络服务器的安全控制包括可以设置口令锁定服务器控制台,<防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
六是网络监测和锁定控制,网络管理员可用以对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字<声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定
方案部署产品
通过部署有关安全管理产品、制定相关管理管理规范,可以实现全方位的安全防护。但是,完整安全体系中的许多部分都是与系统的总体设计策略和业务联系在一起的。如单一登录的部署需要改变所有最终用户原来对系统的操作模式。而且,整个系统安全的建设是复杂而漫长的过程。因此,在系统建设的初,不可能一步到位的实现所有的安全管理功能。
在天府热线数据中心一期弱电系统中,根据数据中心初期的安全防护要求,系统中首先部署网络入侵检测、主机入侵检测、安全扫描产品,在最关键的部位保护最关键的资源。
在第三层下门的网络安全区域,部署冠群金辰的入侵检测,进行黑客入侵的检测和网络不良行为的监控。基于网络的入侵检测产品,可以监听并分析通过该局域网的信息,发现潜在的攻击。
在IDC的网管服务器上安装冠群金辰公司的服务器核心防护,通过加固Unix、Windows NT操作系统自身的安全性,提高操作系统的防护能力。虽然可以在IDC的网管服务器上安装H-IDS,提供基于主机的实时入侵检测和响应,以满足此服务器的安全需求。但H-IDS只针对入侵检测进行监控及响应,但它并不能解决操作系统自身的安全漏洞和安全隐患。而冠群金辰公司的eTrust Access Control在操作系统的安全功能之上提供了一个安全保护层。通过从操作系统核心层截取文件访问控制,加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。
据天府热线方面反映,此方案实施后该中心对各种潜在安全问题的反应能力明显提高,而且管理的效率也提高了不少,这样他们可以将更多的时间用于为用户提供更完善的服务;而从长远看该方案卓越的性价比也因此增色不少。