为防止地震、火灾、雷电等自然灾害,须将重要数据在异地进行备份,如果系统的运行不能中断,就需要在异地进行系统的容灾
第五:加强应用系统的安全防护
对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤
对于应用系统必须加强用户身份认证,通过身份认证控制用户的使用权限。身份认证可以通过应用系统中的用户管理系统实现,也可以通过专业的身份认证系统,考虑到终端用户对帐号、密码的管理能力较差,建议可采用第三方生物识别设备实现终端用户的帐号、密码的管理。
第六:加强网络管理
信息系统的安全只靠以上的安全设备是不能解决问题的,三分技术七分管理,必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成,使信息系统管理人员对信息系统的运行状况一目了然。
网络管理系统应该具备和实现
1、 获取全网拓扑结构图,在网络线路、基础联接层面了解网络系统的运行
状况 2、 监控路由器、交换机、防火墙等网络设备的运行情况,监测控制网络流
量,及时提供报警,并能方便的对网络设备进行系统配置和管理, 3、 监控服务器、主机、磁盘阵列的运行状况、网络流量、资源占用等,及
时提供报警,并能方便的对主机设备进行配置和管理 4、 监控应用系统的运行状况,对用户进行访问控制、记录访问及操作日志 5、 管理网络中的所有终端设资源,方便进行远程的管理和操作控制 6、 监测及控制终端用户对电脑软硬件资源的使用、应用程序的使用、上网
行为等操作行为 7、 实现系统补丁管理、补丁分发,对操作系统、应用系统进行及时的补丁
更新 8、 限制不安全的设备的接入
以上为网络管理系统所须具备的功能,缺一不可,建议在选择产品时,作为重要的参考依据。
第七:漏洞扫描、安全评估
仅管如上所述,我们己经采取了众多的安全措施,但是,我们的信息系统是一个不断建设完善的系统,在系统的不断建设过程,仍然会出现一些新的安全漏洞,安全系统的是否部署到位,我们的信息系统是否仍然存在安全隐患,作为信息系统的管理人员仍然需要进行定期的安全检查。 漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具,我们可以通过专用的漏洞扫描系统对网络设备、服务器、应用系统、网络终端
- 5 -
进行全面的检测,通过模拟黑客的进攻方法,对被检系统进行攻击性的安全漏洞和隐患扫描,提交风险评估报告,并提供相应的整改措施。找出网络中存在的漏洞,防患于未然。 第八:安全管理及培训 1、制定并实施信息安全制度 2、加强网络安全意识的教育和培养 3、加强网络安全知识的培训
4、定期进行终端安全产品的应用操作指导
第四章 ***酒店安全网络设计
一、 ***酒店需求分析
自2003年新实行的星级酒店国家标准将提供宽带上网服务列入了宾馆酒店评星的考核内容之一,短时间内星级宾馆酒店客房宽带上网服务将基本普及,不同档次的宾馆酒店的流动人口可以在网络上进行各种各样的网络活动,因此一系列的网络安全问题随即出现:宾馆酒店缺乏单位网络信息备案;缺乏对房客互联网的访问管理;缺乏对出现问题的信息源定位,导致线索跟踪的中断;缺乏对各类站点的分类管理;缺乏对上网信息的收集、统计与分析,导致这部分的公共网络信息管理处于
- 6 -
真空状态。
根据国家规定,提供上网服务场所必须将上网日志保存,并以一定的技术手段进行管理;目前许多宾馆酒店都未有这种技术手段,在网络管理上存在着漏洞,达不到国家的要求。
主要网络安全威胁
由于网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,再加上与Internet的连接,网络用户也已经不单单是内部用户。由于内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁,因此整个网络承受着来自外部、内部、黑客、病毒等各方面威胁。
具体分析,对网络安全构成威胁的主要因素有:
(1) 黑客的攻击、入侵
? 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。
? ?
入侵服务器后,在服务器中增加黄色、反动站点 把服务器当作攻击其它网络(政府、金融)的跳板,攻击其它服务器
把服务器当作检测扫描其它网络及数据处理的工具,造成大量网络流量
?
(2) 病毒的侵害
?
通过网络传送的病毒和Internet的电子邮件夹带的病毒。 来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。
病毒、木马发送大量数据包,造成系统资源的消耗,以至系统停止服务
造成数据丢失,机器、网络系统瘫痪
必须断开网络逐一进行杀毒,增加网络工作量,影响正常工作
?
? ?
(3) 内部的无限制访问
? ? ?
内部用户的恶意攻击、误操作 访问不健康的站点,获取有害信息 工作学习时间无限制上网,游戏、聊天等
- 7 -
(4) 系统存在的漏洞
缺乏一套完整的安全策略、政策,缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。 1、可能带来的严重后果
? ?
系统瘫痪或服务器停止工作造成重大损失
由于病毒的侵害,造成文件丢失/损坏、硬件设备损坏造成重大损失
由于病毒原因,造成系统修复、病毒清理等巨大的工作量 无限增加流量,造成重大经济损失 因服务器危害其它网络,而涉及相关责任 数据泄密、数据丢失
? ? ? ?
2、当前网络问题分析
?
虽然网络中部署了单机防病毒系统,但仍有很多客户机、移动笔记本由于没有安装防病毒系统,这些机器感染病毒后,对网络中发出大量病毒攻击包,造成网络速度下降,甚至网络瘫痪;
?
网络中大多数客户机都是WIN2000\\WINXP系统,由于WIN2000 \\WINXP系统存在大量的系统漏洞,没有能及时升级系统补丁,使得病毒、黑客有了可乘之机;
?
作为网络管理人员,无法及时的了解网络的运行情况,服务器、交换机等网络设备的工作情况,终端系统的操作应用情况等?
3、网络目前需求分析
通过我们对***酒店结构、应用及安全威胁分析,可以看出其安全问题主要集中在对计算机病毒的防护、内网安全的管理上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
? ?
加强病毒的防护,建立全面的防毒体系,防止病毒的攻击 实现计算机网络系统的网络安全管理
针对***酒店系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
- 8 -
? ?
大幅度地提高系统的安全性(重点是可用性和可控性); 保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
?
易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
?
尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
?
安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
二、 安全系统整体设计方案
(一)系统设计原则
本方案的设计遵循并体现了如下设计原则:
?
先进性:
所采用的设备和技术应属世界、国内主流产品,在相关计算机、通信网络及数字视频技术方面处于国际或国内领先或领导地位。
?
一体系化设计原则
本方案从物理层安全、系统层安全、网络层安全、应用层安全、安全管理等层面充分分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。
?
可控性原则
本次方案采取的技术手段达到安全可控的目的,技术解决方案涉及的工程实施应具有可控性;
?
系统性、均衡性、综合性设计原则
从全系统出发,综合考虑各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
?
可靠性、稳定性原则
- 9 -