AngellPR防火墻企業(yè)級解決方案措施.doc

AngellPRO防火墻企業(yè)級解決方案企業(yè)網(wǎng)絡(luò)安全解決方案 企業(yè)網(wǎng)的建設(shè)成功為企業(yè)信息化打下了基礎(chǔ)，為企業(yè)的生產(chǎn)經(jīng)營的開展提供了高效的信息傳輸手段。在網(wǎng)絡(luò)信息資源日益豐富的同時(shí)，對信息的安全保密性提出了更高的要求。由于歷史和技術(shù)等原因，在企業(yè)網(wǎng)的建設(shè)中，比較少或基本上沒有考慮安全等因素。在安全性方面，比較突出的表現(xiàn)在以下幾個(gè)方面：身份認(rèn)證和資源訪問控制、數(shù)據(jù)的安全傳輸、郵件的加解密和一些特殊的安全防范等問題。 一 企業(yè)網(wǎng)絡(luò)安全解決思路 設(shè)計(jì)、服務(wù)提供依據(jù)采用 P2DR 模型。 通過信息安全表述模型 P 2 DR 模型的分析，我們可以對需要建設(shè)的整體解決方案有一個(gè)完整的概念。確定 Policy 策略、 Protection 防護(hù)、 Detection 檢測和 Response 響應(yīng)四個(gè)方面的安全需求。 P 2 DR 模型闡述了一個(gè)提供 724 不間斷安全管理和保障的產(chǎn)品和服務(wù)的全部綜合套件以及全面安全解決方案。 P 2 DR 方案是一個(gè)超前的安全模型。它的指導(dǎo)思想比傳統(tǒng)安全方案 ( 傳統(tǒng)安全在本質(zhì)上是靜態(tài)的，如防火墻和加固驗(yàn)證等 ) 有突破性提高。 Policy 策略、 Protection 防護(hù)、 Detection 檢測和 Response 響應(yīng)組成的完整模型體系，可以描述和解釋任何信息安全問題。 P2DR 安全模型的特點(diǎn)就是動(dòng)態(tài)性和基于時(shí)間的特性，可以說對信息安全的“相對性”給予了更好地描述：雖然沒有 100% 的安全，但是模型為進(jìn)一步解決信息安全技術(shù)問題提供了有益的方法和方向。 由 P 2 DR 的數(shù)學(xué)模型我們得到結(jié)論：安全的目標(biāo)實(shí)際上就是盡可能的增大保護(hù)時(shí)間，盡量減少檢測時(shí)間和響應(yīng)時(shí)間。 按照 P 2 DR 模型，信息安全方案可以最大限度地保護(hù)信息不受諸多威脅的侵犯，目的是確保商務(wù)連續(xù)性，將商務(wù)損失和風(fēng)險(xiǎn)降低到最小程度，將投資回報(bào)和商業(yè)機(jī)會(huì)提高到最大程度。 Policy （安全策略 ） 由于安全策略是 P 2 DR 安全模型的核心，所以要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全模型，必須首先制定企業(yè)的安全策略，所有的防護(hù)、檢測、響應(yīng)都是依據(jù)安全策略實(shí)施的，企業(yè)安全策略為安全管理提供管理方向和支持手段。 對于一個(gè)策略體系的建立包括：安全策略的制訂、安全策略的評估、安全策略的執(zhí)行等。 Protection （保護(hù)） 保護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實(shí)現(xiàn)的，主要有防火墻、加密、認(rèn)證等方法。通過防火墻監(jiān)視限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，可以防范外對內(nèi)及內(nèi)對外的非法訪問，提高了網(wǎng)絡(luò)的防護(hù)能力，當(dāng)然需要根據(jù)安全策略制定合理的防火墻策略；也可以利用 SecureID 這種一次性口令的方法來增加系統(tǒng)的安全性等等。 Detection （檢測） 在 P 2 DR 模型，檢測是非常重要的一個(gè)環(huán)節(jié)，檢測是動(dòng)態(tài)響應(yīng)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)作出有效的響應(yīng)。 在我們采用了一系列靜態(tài)安全措施后，比如設(shè)置了防火墻、進(jìn)行身份驗(yàn)證、采用了加密算法等等，我們是否就能認(rèn)為我們的網(wǎng)絡(luò)是安全的呢？應(yīng)該如何來評估網(wǎng)絡(luò)的安全性？實(shí)際上網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)是實(shí)時(shí)存在的，所以我們檢測的對象應(yīng)該主要針對構(gòu)成安全風(fēng)險(xiǎn)的兩個(gè)部分：系統(tǒng)自身的脆弱性及外部威脅。檢測的內(nèi)容主要包括網(wǎng)絡(luò)和系統(tǒng)漏洞掃描、入侵檢測以及病毒掃描等等。 Response （響應(yīng)） 緊急響應(yīng)在安全系統(tǒng)中占有最重要得地位，是解決安全潛在性最有效的辦法。在檢測到安全漏洞和安全事件之后必須及時(shí)做出正確的響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。從某種意義上講，安全問題就是要解決緊急響應(yīng)和異常處理問題。要解決好緊急響應(yīng)問題，就要制訂好緊急響應(yīng)的方案，做好緊急響應(yīng)方案中的一切準(zhǔn)備工作。 二 安全系統(tǒng)設(shè)計(jì)模型 安全建設(shè)過程是一個(gè)系統(tǒng)化過程。因此，安全建設(shè)的初期考慮中必須站在全局，而不是局部的角度來設(shè)計(jì)組織的安全規(guī)劃。 按照 ISO17799 的標(biāo)準(zhǔn)，我們可以將其濃縮為以下圖示。該標(biāo)準(zhǔn)涉及了安全建設(shè)中需要考慮的各個(gè)方面，對組織的安全建設(shè)具有非常全面的指導(dǎo)作用。 安全建設(shè)參考模型 以上模型中所包含的概念如下： 物理和環(huán)境安全：物理和環(huán)境安全是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為破壞所造成損失的過程和規(guī)范。 鏈路和操作安全：鏈路安全主要解決網(wǎng)絡(luò)系統(tǒng)中，鏈路級點(diǎn)對點(diǎn)公用信道上的安全。操作安全主要解決人為操作失誤所造成的損失。 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全只要面對信息傳輸過程中由于傳輸協(xié)議、網(wǎng)絡(luò)設(shè)備配置、傳輸加密等引起的安全問題。 設(shè)備安全：設(shè)備安全主要解決由于自然磨損、疲勞失效等引起的設(shè)備老化、介質(zhì)損壞等問題。 應(yīng)用安全：應(yīng)用安全主要解決應(yīng)用系統(tǒng)的安全問題，這些問題主要是應(yīng)用系統(tǒng)本身的程序設(shè)計(jì)問題造成或者由于應(yīng)用系統(tǒng)引發(fā)的其他問題。 數(shù)據(jù)安全：數(shù)據(jù)是企業(yè)存在和發(fā)展的基礎(chǔ)。數(shù)據(jù)安全主要解決數(shù)據(jù)在存儲和傳輸過程中的安全問題。 系統(tǒng)安全：系統(tǒng)安全主要解決操作系統(tǒng)的安全問題。 人員安全：人員安全主要解決由于內(nèi)部人員的離職、無意泄漏、警惕性降低、水平不足或者故意報(bào)復(fù)等造成的損失。 安全策略和管理：安全策略和管理是組織根據(jù)自身的業(yè)務(wù)和安全需求制定的用于為信息安全提供管理方向和支持手段的指導(dǎo)性規(guī)范。 安全服務(wù)：安全服務(wù)是組織的 IT 部門或者專業(yè)的安全服務(wù)提供者提供給組織的安全培訓(xùn)、響應(yīng)、指導(dǎo)、分析等工作。 標(biāo)準(zhǔn)：標(biāo)準(zhǔn)是組織實(shí)現(xiàn)任何 IT 建設(shè)、安全保障等必須遵循的國家級或國際化的規(guī)范。 盡管我們在具體實(shí)現(xiàn)的時(shí)候，會(huì)針對不同情況對以上的方面有所側(cè)重。但是，安全建設(shè)參考模型的建立將幫助組織更加全面地考慮自己所需要面對的安全問題。 三 企業(yè)網(wǎng)安全實(shí)現(xiàn)目標(biāo) 技術(shù)先進(jìn)性和成熟性 設(shè)計(jì)立足先進(jìn)技術(shù)，相對成熟可靠，符合網(wǎng)絡(luò)發(fā)展的方向，以適應(yīng)大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。 系統(tǒng)可靠性和穩(wěn)定性 網(wǎng)絡(luò)大量傳輸?shù)氖侵匾臄?shù)據(jù)，企業(yè)網(wǎng)的安全建設(shè)結(jié)果應(yīng)嚴(yán)格注意如何保證網(wǎng)絡(luò)系統(tǒng)的可靠性和運(yùn)行的穩(wěn)定性，其中包括： 網(wǎng)絡(luò)結(jié)構(gòu)的可靠性和穩(wěn)定性。 在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)上，力求簡潔，符合網(wǎng)絡(luò)發(fā)展的方向。 設(shè)備的高可靠 選用的網(wǎng)絡(luò)設(shè)備應(yīng)具有很好的容錯(cuò)特性及熱備份能力等。 網(wǎng)絡(luò)系統(tǒng)與應(yīng)用系統(tǒng)接口的可靠性。 選用的網(wǎng)絡(luò)系統(tǒng)的接口與應(yīng)用系統(tǒng)接口兼容并可靠。 選用的網(wǎng)絡(luò)設(shè)備必須符合國際標(biāo)準(zhǔn)。 系統(tǒng)的開放和互聯(lián) 在網(wǎng)絡(luò)設(shè)計(jì)過程考慮到與其它系統(tǒng)或網(wǎng)絡(luò)的互聯(lián)，因此，網(wǎng)絡(luò)系統(tǒng)應(yīng)支持多協(xié)議、兼容各種拓?fù)浣Y(jié)構(gòu)、互連性好，只有這樣才能夠?qū)崿F(xiàn)與現(xiàn)有的和未來的網(wǎng)絡(luò)系統(tǒng)互聯(lián)。 易于管理 在整個(gè)網(wǎng)絡(luò)中，連入網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備和終端設(shè)備多、分布廣、網(wǎng)絡(luò)運(yùn)行情況復(fù)雜，網(wǎng)絡(luò)設(shè)備應(yīng)該具