企業網站安全解決方案
企業網站作為對外宣傳企業,對內增強企業凝聚力的陣地,采用了甘肅電信互聯港灣提供虛擬服務器,國際一級域名,對網站實現互聯網后臺管理。網站主要安全解決方案由虛擬主機提供商中國電信甘肅互聯港灣進行管理。
一、網站可能有的安全隱患
部署安全方案前,校園網絡存在的安全隱患和漏洞有:
1.企業網站通過虛擬主機與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
2.企業網站內部管理也存在很大的安全隱患。由于內部用戶對網絡的結構和應用模式都比較了解,因此來自內部的安全威脅會更大一些。
3.目前虛擬主機使用的操作系統存在安全漏洞,對網絡安全構成了威脅。虛擬服務器安裝的操作系統是Windows NT/2000, Windows NT/2000的普遍性和可操作性使它成為最不安全的系統:自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒的溫床等。
4.隨著企業內部計算機應用的大范圍普及,接入互聯網的節點數日益增多,而這些節點大部分都沒有采取安全防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。
由此可見,構筑具有必要的信息安全防護體系、建立一套有效的網絡安全機制顯得尤其重要。
解決方案
根據企業網站的結構特點及面臨的安全隱患,虛擬服務器提供商采用了北京瑞星公司設計的網絡安全體系方案。該方案確定了以下幾個必須考慮的安全防護要點:網絡安全隔離、網絡監控措施、網絡安全漏洞、網絡病毒的防范。
1.防火墻的部署
在Internet與企業網站之間部署了一臺瑞星RFW-100防火墻,在企業網站之間建立一道牢固的安全屏障。
在防火墻設置上我們按照以下原則配置來提高網絡安全性:
(1)根據校園網安全策略和安全目標,規劃設置正確的安全過濾規則,規則審核IP數據包的內容,嚴格禁止來自外網的對企業網站的不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則。
(2)配置防火墻,過濾掉以內部網絡地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊。
(3)在防火墻上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。
(4)定期查看防火墻訪問日志,及時發現攻擊行為和不良的上網記錄。
(5)允許通過配置網卡對防火墻設置,提高防火墻管理的安全性。
2.入侵檢測系統的部署
入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。強大的、完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足。根據企業網站的特點,采用瑞星入侵檢測系統RIDS-100。將RIDS-100入侵檢測引擎接入Cisco Catalyst 8540中心交換機上,對來自外部網的各種行為進行實時檢測。RIDS-100入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特征庫,使用模式匹配和智能分析的方法檢測網絡上發生的入侵行為和異常現象,并在數據庫中記錄有關事件,作為網絡管理員事后分析的依據;如果情況嚴重,RIDS-100可以發出實時報警,網絡管理員能夠及時采取應對措施。
3.漏洞掃描系統
采用先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查,并根據檢查結果向系統管理員提供周密、可靠的安全性分析報告。
4.瑞星網絡版殺毒產品的部署
為了實現在整個局域網內杜絕病毒的感染、傳播和發作,在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒等多種功能。
(1)在虛擬服務順的Windows 2000服務器上安裝瑞星殺毒軟件網絡版的系統中心,負責管理1200多個主機網點。
(2)在各分支機構分別安裝瑞星殺毒軟件網絡版的客戶端。
(3)安裝完瑞星殺毒軟件網絡版后,在管理員控制臺對網絡中所有客戶端進行定時查殺毒的設置,保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒。
(4)虛擬主機提供商負責整個企業網站的殺毒軟件升級工作。為了安全和管理的方便,由網絡中心的系統中心定期地、自動地到瑞星網站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發到其他1200多個主機網點的客戶端與服務器端,并自動對瑞星殺毒軟件網絡版進行更新。同時,因為只有網絡中心才有Internet出口,便于整個網絡的統一管理。
5.安全管理
常言說:“三分技術,七分管理”。安全管理是保證網絡安全的基礎,安全技術是配合安全管理的輔助措施。我們建立了一套企業網絡安全管理模式,制定了詳細的安全管理制度。對于網站的后臺管理,我們在論壇中采用了關鍵安過濾技術,防范違反規定的言論。并采取切實有效的措施,保證了制度的執行。
