USDP产品安全解决方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

USDP产品安全解决方案

XX市星系数据资讯XX

2002年6月目录1引言3

2网络安全3

2.1网络规划3

2.2防火墙3

2.3VPN 4

3系统安全6

3.1核心策略分层安全防护6

3.2操作系统的安全配置7

3.3数据库系统的安全配置7

3.4应用服务器的安全配置7

3.5实时入侵检测8

3.6安全漏洞评估系统8

3.7病毒防护8

4数据安全9

4.1存储安全9

4.2传输安全9

4.3容灾系统10

5应用安全13

5.1用户安全14

5.2数据安全14

5.3功能安全14

6管理安全14

6.1内部管理安全15

6.2外部管理安全15

7结论15

1引言

对于一个企业来说,安全在信息化管理系统的实施中是至关重要的。有时,一个关键数据的丢失,可能会造成企业很多业务的中止,或给其生产带来一系列的麻烦,所以,企业信息系统的安全性成为企业实施信息化管理系统的首要考虑因素。一般来说,安全主要包括以下两个方面,第一是本身非人为的安全性,这主要包括雷电,地震或服务器本身摔坏或其它因素使某些硬件和软件造成不可修复性损坏,这部分的安全措施主要是对数据进行及时备份。第二个安全方面是企业本身的信息系统要做到防病毒,防黑客或非合法用户的访问。通常来讲,第二个环节是重中之重,因为黑客,病毒攻击的可能性随时会存在。

XX星系的USDP产品在设计之初,就以安全,适用,灵活为设计原则。在安全方面,USDP采取了多层安全结构体系(分为网络安全、系统安全、数据安全、应用安全、管理安全),从根本上解决了企业信息化的安全隐患,使信息系统可以24*7的安全稳定地运行。多层安全结构体系是紧密联系的,从技术和业务两个方面上来保证系统的安全。

2网络安全

USDP产品采用B/S体系结构,所以在保证产品安全时,首先要保证网络系统的安全,在网络安全方面,我们采用了如下解决方案:网络规划、VPN、防火墙等。

2.1网络规划

一个成功的安全的网络系统设计,要先从网络规划开始,因为网络的拓扑结构是和安全性息息相关的,如果网络的设计有问题,那么对整个系统构成不仅仅是性能上的问题,更有可能在安全上引起隐患。XX星系可以根据客户的实际情况,为客户设计出合理,经济的安全网络方案。

2.2防火墙

所谓“防火墙”,就是一种将内网和外网分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网

络,防止他们更改、拷贝、毁坏你的重要信息。它相当于一个阀门,一个过滤器或者说国家的海关、边防检查站,负责审查经过的数据和信息,根据设定的规则处理不同的情况。由此可见,建立一个安全的防火墙系统并不仅仅取决于购买了什么牌子的设备,更重要的是在于使用者是否了解本企业网络的情况、掌握用户的实际需求并正确地付诸实施。

一般的安全来说:防火墙是必不可少的,因为内部服务主机不能完全暴露在外网上,因

为再主流的操作系统和应用软件,其中安全问题也屡见不鲜,例如最常见的缓冲区溢出漏洞存在于各种Unix,Linux和Window系统操作系统中,还有一些常用软件的漏洞,如IIS的安全漏洞,wu-ftp的漏洞,所以说防火墙是保证系统安全的首要考虑因素。

目前防火墙主要有三类:建立在通用操作系统上的软件防火墙、具有安全操作系统的软硬件结合的防火墙和基于专用安全操作系统的硬件防火墙。代表产品有Check Point、东大阿派Neteye、Linux下的IPChains、Cisco的PIX等等。目前的防火墙从结构上讲,可分为两种:

1.用网关结构。内部网络<—>代理网关(Proxy Gateway)<—>Internet。

2.路由器加过滤器结构。内部网络<—>过滤器(Filter)<—>路由器(Router)<—>Internet。

总的来讲,应用网关结构的防火墙系统在安全控制的粒度上更加细致,多数基于软件系统,用户界面更加友好,管理控制较为方便;路由器加过滤器结构的防火墙系统多数基于硬件或软硬件结合,速度比较快,但是一般仅控制到第三层和第四层协议,不能细致区分各种不同业务;有一部分防火墙结合了包过滤和应用网关两种功能,形成复合型防火墙。具体使用防火墙则应该根据本企业实际情况加以选择。

下面我就用一个实际例子讲解建立安全防火墙系统的过程。网络结构拓扑图

所有的内部网络用户通过两个路由器连接防火墙,防火墙作为本网络的唯一出口连接到Internet。内部网络有两个网段:192。168。1。0 /255。255。255。0和192。168。2。0 /255。255。255。0。

一般来说,防火墙起以下几个作用:

1.障内部网络安全,禁止外部用户连接到内部网络。

2.要求具备防IP地址欺骗能力。

3.要求具备防止IP地址盗用功能,保证特权用户的IP不受侵害。

4.要求对可以访问Internet的用户进行限制,仅允许特定用户的IP地址可以访问外部网络。

5.隐蔽内部网络结构

6.过滤掉一些不允许出入的包,一般来说,只允许对业务有关的数据在端口上出入,并且能阻止某些病毒的特征串出入组建防火墙的关键在于对用户需求的掌握和对工具的熟练的运用和实施上面。因为防火墙把内外网隔离起来后,当我们要维护或远程备份等工作时,我们就面要使用下面的VPN技术来把公司或各分公司的内网和服务主机安全地联系在一起。

2.3VPN

VPN技术是指在公共的网络平台上传输用户私有的数据,实现方式是在公网如Internet 上搭建隧道,从而使在互联网上传输私有数据得到保证。这种技术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网便宜。

目前与企业相关的VPN隧道协议分三种:点到点隧道协议PPTP,第二层隧道协议L2TP,网络层隧道协议IPSec。

1.点到点隧道协议-PPTP。PPTP协议在一个已存在的IP连接上封装PPP会话,只要网络层是连通的,就可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,

相关文档
最新文档