网络信息安全建设实例

日期: 2008-02-11 来源:TechTarget中国

  以一个有两个分公司的集团性质的公司(分公司通过VPN方式与集团公司本部连接)建设信息安全网络为例,其网络拓扑图如图1所示。


 
  图1 网络信息安全建设实例

  案例中不讨论分公司的网络信息安全性,集团公司在网络信息安全方面采取的措施有:

  • 制定并执行了完善的网络信息安全管理制度。
  • 中心机房UPS电源、防静电、防盗、防水、防鼠。
  • 路由器VPN认证,日志记录,流量记录,Telnet认证,NAT,部分高危端口关闭;路由器与Internet连接的网卡关闭ICMP和Telnet。
  • 综合性防火墙,防毒、入侵监测与网络监察审计系统联动;防火墙只开启必须的端口,如WWW、SMTP、POP3、DNS、Telnet、SNMP等。
  • 核心交换机支持VLAN间访问许可的灵活定义。
  • 接入级交换机支持IP地址与MAC地址的绑定,支持基于端口号的ACL。
  • 整个网络按部门和系统用户群划分为多个VLAN,VLAN间部分允许互相访问,部分不允许互相访问。
  • 网络管理软件记录了所有可以管理的网络设备的流量,记录了这些网络设备的日志信息。
  • 装有Symantec网络企业版杀毒软件,该杀毒软件要求部署到网络内所有计算机上,杀毒软件带有防火墙和入侵检测功能。
  • 计算机操作系统升级问题采用微软的SUS(免费软件)实现。
  • 网络监察审计系统旁路接入核心交换机,与防火墙联动,有防入侵的功能,主要用于记录谁在什么时候与Internet的哪个IP地址有连接。
  • 数据库采用同一机房的另一台服务器来备份。
  • 对每台可以远程管理的网络设备,每天记录一次CPU利用率、内存利用率、连续运行时间。对路由器还记录ICMP拒绝包数量、Telnet拒绝包数量、L2tp VPN用户以及路由器上的防火墙拒绝包的比例。对防火墙还记录匹配的Telnet、ICMP、WWW、SMTP、POP3、DNS、FTP等匹配次数,记录其他高危端口号如135、139等的匹配次数。对接入级交换机还记录高危端口如冲击波病毒、震荡波病毒、常见木马程序等的ACL匹配次数。这些记录对网络设备和网络的正常运行有预警的作用。
  • 每天查看网络设备的日志信息,找出可能会出现网络故障的预警信息,以及出现了的网络故障的信息。
  • 每天查看杀毒软件服务器日志信息,及时掌握网络病毒情况。
  • 每天查看网络监察审计系统日志信息,及时掌握内外网联接的情况。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 三大变革 新版《IDC资讯大全》重装上阵

    三网融合试点首批12座城市公布以来,据深圳市试点方案预计,三年内三网融合相关产业规模将达到3000亿元,IDC产业将迎来新的发展机遇和获得更多的关注。

  • 企业理念:浅谈计算机网络安全六大指标

    通俗地说,网络信息安全与保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全与保密的目标主要表现在以下几个方面。

  • 面对企业网络安全压力 CIO有诀窍

    对于大多数企业而言,网络安全并不是他们的核心竞争力;但作为一个信息化的企业,在日常的在线商务过程中,网络信息安全却是不容忽视的。

  • 网络信息安全建设指导原则

    网络信息安全的建设没有统一的定式,受许多因素的影响。本文中作者根据多年来建设网络信息安全的经验,提出下列一些指导性原则。