(2)鏈路老化或被有意或者無意的破壞;
(3)因電磁輻射造成信息泄露����;
(4)地震��、火災���、水災等自然災害�。
經(jīng)過分析��,辦公區(qū)內設備被盜���、被毀壞的可能性很小�。在家屬區(qū)�����,我們選擇了有防盜門的樓門作為樓的主節(jié)點。其次����,為防止計算機系統(tǒng)通過無線電輻射泄露秘密信息,我們采用家屬樓通過可屏蔽光纖直接進辦公樓主機房���,避免網(wǎng)絡骨干線路上數(shù)據(jù)傳輸時可能造成的電磁泄露.
2�、網(wǎng)絡層安全風險分析
根據(jù)新的網(wǎng)絡安全建設要適應未來在高速寬帶ip網(wǎng)上傳輸數(shù)據(jù)����、語音、視頻于一體的多媒體綜合業(yè)務���,網(wǎng)絡系統(tǒng)的網(wǎng)絡層中會存在一定的安全風險�,如數(shù)據(jù)傳輸���、網(wǎng)絡邊界�����、網(wǎng)絡設備以及網(wǎng)絡服務等所引發(fā)的安全風險�����。
(1)數(shù)據(jù)傳輸風險分析
這里提到的數(shù)據(jù)傳輸�����,包括兩部分:
數(shù)據(jù)在辦公區(qū)內之間傳輸���;
數(shù)據(jù)在辦公區(qū)與家屬區(qū)之間傳輸。
無論以上哪種情況����,數(shù)據(jù)在傳輸過程中,如果不采取保護措施���,就有可能被竊聽����、篡改和破壞�����,如采用搭線竊聽��、在交換機或集線器上連接一個竊聽設備等。這樣���,保障通過 internet傳遞的數(shù)據(jù)的機密性���,完整性就無從談起。
(2)網(wǎng)絡邊界風險分析
在實際情況中����,如果在網(wǎng)絡邊界上沒有強有力的控制,則其外部黑客就可以隨意出入企業(yè)總部及各個分支機構的網(wǎng)絡系統(tǒng)�,從而獲取各種數(shù)據(jù)和信息,那么����,泄露問題就無法避免.
(3)網(wǎng)絡設備風險分析
由于在辦公區(qū)和家屬區(qū)網(wǎng)絡系統(tǒng)中使用大量的網(wǎng)絡設備,這些設備自身的安全性也是要考慮的問題之一�,它直接關系到各種網(wǎng)絡應用能否正常、高效地運轉.
路由器設備的路由信息可能泄露���,攻擊者可以根據(jù)路由信息把數(shù)據(jù)流向改為別的目標主機���,用戶以為發(fā)送正確的數(shù)據(jù)就落到了攻擊者手里;交換機和路由器設備存在如果配置不當或者配置信息改動���,也會引起信息的泄露.網(wǎng)絡癱瘓等后果��。
(4)網(wǎng)絡服務風險分析
在辦公區(qū)網(wǎng)絡系統(tǒng)上�,有大量的網(wǎng)絡服務存在,如oa服務����、web服務、郵件服務�����、數(shù)據(jù)庫服務等����。針對這些服務的各種攻擊可能造成的破壞.最常見的就是拒絕服務攻擊dos����。其通過不停地向這些網(wǎng)絡設備及服務器發(fā)送大量的數(shù)據(jù)包.造成網(wǎng)絡的癱瘓,嚴重影響網(wǎng)絡的運行����。
從某種程度上可以說,dos攻擊永遠不會消失���。而且從技術上來講��,其利用的是tcp/ip協(xié)議自身的缺陷���。 dos技術嚴格地說只是一種破壞網(wǎng)絡服務的技術方式�����,具體的實現(xiàn)多種多樣���,但都有一個共同點,就是其根本目的是使受害主機或網(wǎng)絡失去及時接受處理外界請求����,或無法及時回應外界請求。
3��、系統(tǒng)層安全風險分析
系統(tǒng)層的安全風險分析主要針對局域網(wǎng)內使用的操作系統(tǒng)�����、數(shù)據(jù)庫系統(tǒng)以及相關商用產(chǎn)品的安全漏洞和病毒威脅進行分析����。
同時病毒也是系統(tǒng)安全的主要威脅����,現(xiàn)在的病毒�,大多利用了操作系統(tǒng)本身的漏洞,并通過網(wǎng)絡迅速傳播���。所有這些都造成了整個網(wǎng)絡系統(tǒng)安全的脆弱性����。
4����、應用層安全風險分析
在整個網(wǎng)絡系統(tǒng)環(huán)境中存在著大量的應用服務���,如web服務�����、郵件服務����、oa服務��、數(shù)據(jù)庫服務等。對于這些服務�,不可避免地存在安全漏洞。這些漏洞可能是服務系統(tǒng)自身所有的.也可以是配置管理不當造成的����。
5、電子郵件系統(tǒng)風險分析
在局域網(wǎng)中��,用戶與外界進行數(shù)據(jù)交換最常用的方式就是通過電子郵件��,同時����,通過電子郵件大規(guī)模傳播,散布病毒及黑客程序也成為可能.
用戶進行電子郵件發(fā)送和接收肘可能存在被黑客跟蹤或收到一些惡意程序(如特洛伊木馬.蠕蟲等)���、病毒程序等�����,這里的黑客���,有可能就是局域網(wǎng)內的某個用戶,有意或出于好奇使用黑客軟件對郵件用戶進行攻擊�。由于許多用戶安全意識比較淡薄����,對一些來歷不明的郵件��,沒有警惕性���,給入侵者提供機會����。通過郵件���,可以迅速把這些破壞性的程序在局域網(wǎng)系統(tǒng)中傳播�,給系統(tǒng)帶來不安全因素�����。
6��、管理層安全風險分析
責權不明����,管理混亂�,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險���。
當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其他一些安全威脅時 (如內部人員的違規(guī)操作等),要進行實時的檢測��、監(jiān)控�����。報告與預警����。同時,當事故發(fā)生后���,能夠提供黑客攻擊行為的追蹤線索及破案依據(jù)���。將管理制度和管理解決方案相結合,并輔之以相應的安全管理工具��。
三����,網(wǎng)絡安全措施
我們采取了以下幾個方面解決措施:
(1)制定合理的安全管理制度和策略,確保不因管理上的漏洞造成網(wǎng)絡運行的安全問題�;
(2)采用專用的網(wǎng)絡加密機和主機數(shù)據(jù)加密設備����,建立安全保密系統(tǒng)�����,對數(shù)據(jù)的傳輸�����、存儲進行加解密處理��,實現(xiàn)數(shù)據(jù)傳輸�����。處理�����、存儲過程中的機密性����,完整性和可用性���;
(3)更換成有4個以太端口的東方龍馬wlmb-5007x防火墻系統(tǒng)���,將辦公區(qū)與家屬區(qū)和dmz區(qū)隔離開���,并對進出的所有數(shù)據(jù)進行柱查和訪問控制:
(4)在辦公區(qū)端口處增加鷹眼網(wǎng)絡入侵檢測系統(tǒng),避免辦公區(qū)網(wǎng)絡中重要網(wǎng)段遭到攻擊和破壞�;
(5)采用新的瑞星企業(yè)級網(wǎng)絡版防病毒系統(tǒng),避免整個網(wǎng)絡遭到病毒的破壞;
(6)采用主頁防篡改系統(tǒng)�����,避免辦公外網(wǎng)中的web站點被破壞����;
(7)采用全網(wǎng)統(tǒng)一的安全管理平臺系統(tǒng),對網(wǎng)絡中涉及的各種安全工具和系統(tǒng)進行集中統(tǒng)一的管理���。
我們這個網(wǎng)絡所面臨的安全問題是有共性的���,我們的體會是應該從實際出發(fā),認真分析自身的安全需求�����,面對林林總總的安全產(chǎn)品和解決方案選擇適用的安全產(chǎn)品和方案,才能達到事半功倍的效果����。
