제1장 일반원칙
본 계획은 대규모 근거리통신망을 위한 네트워크 보안 솔루션으로, 원본 네트워크 시스템 분석, 보안 요구사항 분석, 보안 구축 등을 포함한다. 목표 및 보안 아키텍처 설계에 대해 알아보겠습니다. 이 보안 솔루션의 목표는 현재 비즈니스에 영향을 주지 않고 대기업 LAN의 포괄적인 보안 관리를 달성하는 것입니다.
1. 보안 정책, 하드웨어 및 소프트웨어 방법을 결합하여 불법 사용자가 네트워크에 진입하는 것을 효과적으로 방지하고 네트워크 보안 위험을 줄일 수 있는 통합 방어 시스템을 구성합니다.
2. 정기적으로 취약점 검사 및 감사 추적을 수행하여 적시에 문제를 발견하고 해결합니다.
3. 침입 탐지 및 기타 방법을 통해 실시간 보안 모니터링을 달성하고, 장애에 신속하게 대응할 수 있는 수단을 제공하며, 우수한 보안 증거 수집 조치를 마련합니다.
4. 네트워크 관리자가 손상된 파일이나 애플리케이션을 신속하게 재구성할 수 있도록 합니다. 시스템을 손상 전 상태로 복원하고 손실을 최소화합니다.
5. 워크스테이션과 서버에 해당 바이러스 백신 소프트웨어를 설치하고 중앙 콘솔을 통해 중앙에서 제어 및 관리하여 전체 네트워크에 대한 통합 바이러스 백신을 구현합니다.
제2장 네트워크 시스템 개요
2.1 네트워크 개요
이 기업의 LAN은 비교적 밀집된 정보 지점을 갖춘 기가비트 LAN 시스템입니다. 기존 수천 개의 정보 지점은 기업 전체에서 근무하는 다양한 부서에 빠르고 편리한 정보 교환 플랫폼을 제공합니다. 뿐만 아니라 인터넷 전용선 연결로 인해 외부 세계로의 창이 열렸고, 다양한 부서가 인터넷 사용자와 직접 소통하고 정보 조회 등을 할 수 있게 됐다. 공용 서버를 통해 기업은 정보를 직접 게시하거나 외부 세계에 이메일을 보낼 수 있습니다. 고속 스위칭 기술과 유연한 네트워크 상호 연결 솔루션 설계의 채택은 사용자에게 빠르고 편리하며 유연한 통신 플랫폼을 제공할 뿐만 아니라 네트워크 보안에 더 큰 위험을 가져옵니다. 따라서 레거시 네트워크에 완전한 운영 보안 솔루션을 구현하는 것은 가능할 뿐만 아니라 필요합니다.
2.1.1 네트워크 개요
이 기업의 LAN은 물리적 범위가 작습니다. 기가비트 스위치를 통해 백본 네트워크에 1000M 전용 대역폭을 제공하고 더 낮은 스위치를 통해 다양한 부서와 통신합니다. -레벨 스위치는 워크스테이션과 서버가 연결되어 100M 전용 대역폭을 제공합니다. 중앙 스위치에 연결된 Cisco 라우터를 사용하면 모든 사용자가 인터넷에 직접 액세스할 수 있습니다.
2.1.2 네트워크 구조
이 기업의 LAN은 액세스 영역에 따라 인터넷 영역, 내부 네트워크 및 공용 서버 영역의 세 가지 주요 영역으로 나눌 수 있습니다. 내부 네트워크는 부서, 기능 및 보안 중요도에 따라 금융 서브넷, 리더십 서브넷, 사무실 서브넷, 마케팅 부서 서브넷, 중앙 서버 서브넷 등을 포함하여 여러 서브넷으로 나눌 수 있습니다. 보안 솔루션 설계에서는 보안의 중요성과 보호 대상 개체를 기반으로 Catalyst 스위치에서 4개의 가상 LAN(VLAN), 즉 중앙 서버 서브넷, 금융 서브넷, 리더십 서브넷 등을 직접 나눌 수 있습니다. .서브넷. 서로 다른 LAN은 서로 다른 브로드캐스트 도메인에 속합니다. 금융 서브넷, 리더십 서브넷 및 중앙 서버 서브넷은 중요한 네트워크 세그먼트이므로 이러한 네트워크 세그먼트는 중앙 스위치에서 독립적인 브로드캐스트 도메인으로 나누어지고 다른 워크스테이션은 동일한 네트워크 세그먼트에 있습니다. .
(그림 생략)
2.2 네트워크 애플리케이션
이 기업의 LAN은 사용자에게 다음과 같은 주요 애플리케이션을 제공할 수 있습니다:
1. 파일 공유, 사무 자동화, WWW 서비스, 이메일 서비스
2. 파일 데이터의 통합 저장;
3. 특정 애플리케이션(예: 금융 시스템)을 위한 데이터베이스 서버에서 2차 개발을 수행합니다.
4. 인터넷 접속을 제공합니다.
5. 공용 서버를 통해 기업 정보 게시, 이메일 전송 등을 수행합니다.
2.3 네트워크 구조의 특성
본 기업 LAN의 보안 위험을 분석할 때 다음과 같은 네트워크 특성을 고려해야 합니다. 특징:
1. 네트워크는 인터넷과 직접 연결되어 있으므로 보안 솔루션을 설계할 때 인터넷을 통한 바이러스 확산 가능성, 해커 공격 가능성 등 인터넷 연결과 관련된 위험을 고려해야 합니다. 인터넷에서 무단 액세스가 가능합니다.
.
2. 네트워크에는 공용 서버가 있으므로 일부 서비스를 외부에 공개해야 하므로 보안 위험을 방지하기 위해 보안 솔루션을 설계할 때 보안 서버 네트워크의 사용을 고려해야 합니다. 공용 서버가 내부적으로 확산되는 것을 방지합니다.
3. 내부 네트워크에는 다양한 서브넷이 있으며, 서브넷마다 보안이 다릅니다. 따라서 보안 솔루션을 설계할 때는 기능과 보안 수준이 다른 네트워크를 분리하는 것을 고려해야 합니다. 스위치를 통해 VLAN을 분할합니다.
4. 네트워크에는 두 개의 애플리케이션 서버가 있습니다. 애플리케이션을 개발할 때 무단 액세스를 방지하기 위해 사용자 로그인 인증을 강화하는 것을 고려해야 합니다.
간단히 말하면, 네트워크 솔루션을 설계할 때는 제품의 성능, 가격, 잠재적인 보안 위험 등을 토대로 기업용 LAN의 특성을 고려해야 합니다.
제3장 네트워크 시스템 보안 위험 분석
인터넷 네트워크의 급속한 확장과 인터넷 사용자의 급격한 증가로 인해 위험은 더욱 심각하고 복잡해지고 있습니다. 단일 컴퓨터 보안 사고로 인한 원래 피해는 다른 시스템으로 확산되어 광범위한 마비 및 손실을 초래할 수 있습니다. 또한 보안 제어 메커니즘이 부족하고 인터넷 보안 정책에 대한 이해가 부족하여 이러한 위험이 점점 더 심각해지고 있습니다.
이 기업 LAN에 존재하는 보안 위험을 고려하여 보안 솔루션을 설계할 때 우리는 다음과 같은 보안 위험을 심각하게 고려하고 직면한 위험에 따라 상응하는 보안 조치를 취해야 합니다. 다음 위험은 기업의 LAN 구조 및 시스템 응용 프로그램, LAN 내 네트워크 서버의 신뢰성 및 기타 요인과 밀접하게 관련된 다양한 요인에 의해 발생합니다. 이러한 위험 요소 중 일부는 다음과 같습니다.
사이버 보안은 다음 세 가지 측면에서 이해할 수 있습니다. 1. 네트워크가 물리적으로 안전한지 여부 2. 네트워크 플랫폼이 안전한지 여부 4. 애플리케이션이 안전한지 여부 5. 관리가 안전한지. 각 보안 위험 유형에 대해 기업 LAN의 실제 상황과 결합하여 네트워크 보안 위험을 구체적으로 분석합니다.
3.1 물리적 보안 위험 분석
네트워크 물리적 보안의 위험은 다양합니다.
네트워크의 물리적 보안은 주로 지진, 홍수, 화재 등의 환경적 사고, 사람의 조작 오류나 장비 도난, 회선 차단 등을 의미합니다. 고가용성 하드웨어, 이중 머신 다중 이중화 설계, 전산실 환경 및 경보 시스템, 보안 인식 등은 물론입니다. 이는 전체 네트워크 시스템의 보안을 위한 전제 조건입니다. 이 엔터프라이즈 영역 LAN에서는 네트워크의 물리적 범위가 작기 때문에 건전한 보안 관리 시스템이 구축되고 백업이 이루어지며 네트워크 장비가 관리됩니다. 컴퓨터실이 강화되면 이러한 위험을 피할 수 있습니다.
3.2 네트워크 플랫폼의 보안 위험 분석
네트워크 구조의 보안에는 네트워크 토폴로지, 네트워크 라우팅 상태 및 네트워크 환경이 포함됩니다.
공용 서버가 직면한 위협
기업 LAN의 공용 서버 영역(WWW, EMAIL 및 기타 서버)은 회사의 정보 게시 플랫폼 역할을 하며 일단 실행될 수 없습니다. 공격을 받으면 기업의 평판에 큰 영향을 미칠 것입니다.
동시에 공용 서버 자체는 외부 세계에 서비스를 제공해야 하며 매일 해커가 인터넷 노드에 침입하려고 시도하고 있습니다. 이러한 노드가 경계하지 않으면 해커가 어떻게 침입했는지조차 알 수 없습니다. 다른 인터넷 노드를 침입하는 해커가 될 수도 있습니다. 따라서 상대적으로 규모가 큰 네트워크를 운영하는 관리자들이 인터넷 보안 사고에 효과적으로 대응하는 것이 매우 중요해집니다. 네트워크 구조 정보 유출을 방지하기 위해 공용 서버, 내부 네트워크 및 외부 네트워크를 격리하는 동시에 정상적인 통신 데이터 패킷만 도달할 수 있도록 외부 네트워크의 서비스 요청을 필터링해야 합니다. 해당 호스트 및 기타 요청 서비스는 호스트가 도착할 때까지 수신되지 않습니다.
전체 네트워크 구조 및 라우팅 상태
보안 애플리케이션은 네트워크 시스템에 구축되는 경우가 많습니다. 네트워크 시스템의 성숙도는 보안 시스템의 성공적인 구축에 직접적인 영향을 미칩니다. 이 기업용 LAN 시스템에서는 하나의 라우터만 인터넷에 연결하기 위한 경계 라우터로 사용됩니다. 네트워크 구조는 비교적 간단하며 특정 구성 중에 정적 라우팅을 고려할 수 있으므로 네트워크 구조 및 네트워크로 인해 발생하는 문제가 크게 줄어듭니다. 라우팅. 보안 위험.
3.3 시스템 보안 위험 분석
소위 시스템 보안은 분명히 전체 LAN 네트워크 운영 체제와 네트워크 하드웨어 플랫폼이 안정적이고 신뢰할 수 있는지 여부를 나타냅니다.
네트워크 운영 체제 및 네트워크 하드웨어 플랫폼의 신뢰성: 중국의 경우 Microsoft의 Windows NT이든 다른 상용 UNIX 운영 체제이든 개발자가 선택할 수 있는 절대적으로 안전한 운영 체제는 없습니다. 백도어가 있어야 합니다. 이렇게 표현해 보겠습니다. 완전히 안전한 운영 체제는 없습니다. 하지만 기존 운영 플랫폼을 안전하게 구성하고 운영 및 접근권한을 엄격하게 통제하며 시스템 보안을 강화할 수 있습니다. 따라서 운영 체제와 하드웨어 플랫폼은 최대한 안정적이어야 합니다. 또한 사용자의 적법성을 보장하기 위해 로그인 프로세스의 인증을 강화해야 합니다(특히 서버 호스트에 도달하기 전 인증). 둘째, 로그인 작업 권한을 엄격하게 제한해야 하며 사용자가 완료하는 작업은 최소 범위로 제한됩니다.
3.4 애플리케이션 보안 위험 분석
애플리케이션 시스템의 보안은 특정 애플리케이션과 관련되며 다양한 측면을 포함합니다. 애플리케이션 시스템의 보안은 역동적이고 끊임없이 변화합니다. 애플리케이션 보안에는 정보 보안도 포함되며, 여기에는 다양한 측면이 포함됩니다.
애플리케이션 시스템의 보안은 역동적이고 끊임없이 변화합니다. 애플리케이션 보안은 현재 인터넷에서 가장 널리 사용되는 이메일 시스템을 예로 들면 광범위한 영역을 포괄합니다. 내부 코딩 및 시스템 컴파일러로 인해 발생하는 버그는 누구도 발견하는 경우가 거의 없으므로 상세한 테스트 소프트웨어 세트가 필요합니다. 그러나 애플리케이션 시스템은 지속적으로 발전하고 애플리케이션 유형도 지속적으로 증가하고 있으며, 이에 따라 보안 취약점도 증가하고 있으며, 그 취약점도 점점 더 깊어지고 있습니다. 따라서 응용 시스템의 보안을 보장하는 것 역시 네트워크가 발전함에 따라 지속적인 개선을 이루는 과정입니다.
애플리케이션 보안에는 정보 및 데이터 보안이 포함됩니다. 정보 보안에는 기밀 정보 유출, 무단 액세스, 정보 무결성 파괴, 위조, 시스템 가용성 파괴 등이 포함됩니다. 이러한 기업용 LAN의 범위는 작기 때문에 대부분의 중요한 정보는 내부적으로 전송되므로 정보의 기밀성과 무결성이 보장될 수 있습니다. 내부적으로 기밀로 유지해야 하는 특히 중요한 정보(예: 리더십 서브넷 및 금융 시스템에서 전송되는 중요한 정보)의 경우 애플리케이션 수준에서 암호화하는 것을 고려하고 특정 애플리케이션에 대한 애플리케이션 시스템 개발 중에 직접 암호화할 수 있습니다.
3.5 관리의 보안 위험 분석
관리는 네트워크 보안의 가장 중요한 부분입니다.
관리는 네트워크 보안의 가장 중요한 부분입니다. 불분명한 책임과 권한, 혼란스러운 경영, 불완전한 안전관리시스템, 운용성 부족 등은 경영안전 리스크를 초래할 수 있습니다. 불분명한 책임과 권리, 혼란스러운 경영으로 인해 일부 직원이나 관리자가 현지 직원이 아닌 직원이나 외부인까지 마음대로 전산실에 들여보내거나, 직원이 의도적이든 비의도적이든 자신이 알고 있는 중요한 정보를 유출했지만 이에 상응하는 관리 시스템이 없습니다. 그것을 억제하십시오.
네트워크에 공격이 발생하거나 네트워크가 다른 보안 위협(내부자에 의한 불법행위 등)에 노출된 경우 실시간 탐지, 모니터링, 보고, 조기경보가 불가능하다. .
동시에, 사고가 발생했을 때 해커 공격에 대한 추적 단서와 사건 해결을 위한 증거를 제공하는 것이 불가능합니다. 즉, 네트워크에 대한 통제성과 검토성이 부족합니다. 이를 위해서는 사이트 액세스 활동에 대한 다단계 기록을 수행하고 적시에 불법 침입을 감지해야 합니다.
새로운 네트워크 보안 메커니즘을 구축하려면 네트워크에 대한 깊은 이해와 직접적인 솔루션을 제공할 수 있어야 합니다. 따라서 가장 실현 가능한 접근 방식은 관리 시스템과 관리 솔루션의 결합입니다.
3.6 해커 공격
해커는 항상 공격을 수행하며 시스템과 관리에서 가능한 모든 취약점을 악용합니다. 공용 서버의 취약점에 대한 일반적인 예는 해커가 쉽게 공용 서버 소프트웨어를 속이고 Unix 비밀번호 파일을 획득하여 다시 보낼 수 있다는 것입니다. 해커가 UNIX 서버에 침입한 후 일반 사용자에서 고급 사용자로 권한을 수정할 수 있습니다. 성공하면 해커는 직접 비밀번호 파일에 접근할 수 있습니다. 해커는 사기성 프로그램을 개발하고 이를 UNIX 서버에 설치하여 로그인 세션을 모니터링할 수도 있습니다. 사용자가 로그인한 것을 보면 해커가 다른 사람의 계정과 비밀번호를 알 수 있도록 파일을 저장하기 시작합니다. 이때, 해커를 방지하기 위해서는 공용 서버가 자체 공간을 떠나 다른 디렉터리로 들어가지 않도록 설정해야 한다. 또한 공용 서버를 사용하는 사람은 누구나 WWW 페이지 파일 이외의 항목에 액세스할 수 없도록 그룹 권한을 설정해야 합니다. 이 기업의 LAN에서는 방화벽 기술, 웹 페이지 보호 기술, 침입 탐지 기술, 보안 평가 기술을 종합적으로 활용하여 네트워크의 정보 자원을 보호하고 해커 공격을 방지할 수 있습니다.
3.7 공통 게이트웨이 인터페이스(CGI) 취약점
한 가지 위험 유형은 공통 게이트웨이 인터페이스(CGI) 스크립트와 관련됩니다. 많은 페이지 파일과 다른 페이지나 사이트에 대한 하이퍼링크. 그러나 일부 사이트에서는 이러한 하이퍼링크를 사용하여 특정 정보를 찾는 사이트를 참조합니다. 검색 엔진은 CGI 스크립트 실행을 통해 구현됩니다. 해커는 이러한 CGI 스크립트를 수정하여 불법적인 작업을 수행할 수 있습니다. 일반적으로 이러한 CGI 스크립트는 참조된 WWW 서버 내에서만 볼 수 있지만 일부 수정하면 WWW 서버 외부도 볼 수 있습니다. 이러한 유형의 문제가 발생하지 않도록 하려면 이러한 CGI 스크립트를 낮은 사용자 권한으로 설정해야 합니다. 시스템의 파괴 방지 기능을 향상시키고, 서버 백업 및 복구 기능을 향상시키며, 사이트 콘텐츠의 변조 방지 및 자동 복구 기능을 향상시킵니다.
3.8 악성 코드
악성 코드에는 바이러스에 국한되지 않고 웜, 트로이 목마, 논리 폭탄, 기타 승인되지 않은 소프트웨어도 포함됩니다. 악성코드 탐지를 강화해야 한다.
3.9 바이러스 공격
컴퓨터 바이러스는 항상 컴퓨터 보안에 큰 위협이 되어 왔습니다. 전자 메일과 같은 인터넷을 통해 확산될 수 있는 새로운 바이러스는 이러한 위협의 수준을 높입니다. 바이러스의 감염 유형과 방식도 증가하고 있으며, 국제 공간의 바이러스 총 수는 수만 개 이상에 이르렀습니다. 물론 문서를 보거나 이미지를 탐색하거나 웹에서 양식을 작성할 때 바이러스 감염을 걱정할 필요는 없습니다. 그러나 실행 파일을 다운로드할 때나 출처를 알 수 없는 이메일 파일을 받을 때는 특히 주의가 필요합니다. 그렇지 않으면 시스템에 심각한 손상을 초래할 수 있습니다. 고전적인 "CIH" 바이러스는 끔찍한 예입니다.
3.10 불만족스러운 내부 직원
불만족한 내부 직원은 농담을 하거나 심지어 WWW 사이트를 방해할 수도 있습니다. 그럼에도 불구하고 그들은 서버, 애플릿, 스크립트 및 시스템 취약점에 가장 익숙합니다. 불만을 품고 사직한 직원의 경우 정기적으로 비밀번호를 변경하고 시스템 기록을 삭제하면 이러한 위험을 줄일 수 있습니다. 그러나 퇴사한 직원보다 더 큰 피해를 입힐 수 있는 불만을 품은 현직 직원도 있습니다. 예를 들어, 중요한 정보를 유출하거나, 보안에 중요한 정보를 유출하거나, 실수로 데이터베이스에 들어가거나, 데이터를 삭제하는 등의 일이 발생할 수 있습니다.
3.11 네트워크 공격 방법
현재 네트워크에 대한 공격 방법은 주로 다음과 같다고 일반적으로 알려져 있습니다.
무단 액세스: 사전 동의 없이 네트워크 또는 컴퓨터를 사용하는 것 시스템 접근 제어 메커니즘을 의도적으로 회피하거나, 네트워크 장비 및 자원을 비정상적으로 사용하거나, 무단으로 권한을 확장하거나, 무단으로 정보에 접근하는 경우에는 무단 접근으로 간주됩니다. 이는 주로 사칭, 신원 공격, 불법 작업을 수행하기 위해 네트워크 시스템에 침입하는 불법 사용자, 무단 방식으로 작업하는 합법적인 사용자 등의 형태를 취합니다.
정보 유출 또는 손실: 의도적 또는 비의도적으로 유출되거나 손실되는 것을 의미합니다. 일반적으로 전송 중에 정보가 손실되거나 유출됩니다(예: 전자기 누출 또는 전선 도청을 사용하는 '해커'). 다른 방법으로 가로챌 수 있거나, 정보 흐름, 트래픽, 통신 빈도, 길이 등의 매개 변수를 분석하여 유용한 정보(예: 사용자 비밀번호, 계정 번호 및 기타 중요한 정보)를 파생할 수 있습니다. 중간. 민감한 정보 등을 훔치기 위해 숨겨진 터널을 구축합니다.
데이터 무결성 파괴: 불법적인 수단으로 데이터를 사용할 권리를 훔치고, 공격자에게 유익한 응답을 얻기 위해 특정 중요한 정보를 삭제, 수정, 삽입 또는 재전송하여 악의적으로 데이터를 추가 또는 수정하거나 방해합니다. 사용자의 정상적인 사용으로.
서비스 거부 공격: 네트워크 서비스 시스템을 지속적으로 방해하고, 정상적인 동작 프로세스를 변경하며, 관련 없는 프로그램을 실행하고, 시스템 응답 속도를 늦추거나 마비시켜 일반 사용자의 이용에 영향을 미치고, 심지어는 시스템을 마비시키는 공격이다. 합법적인 사용자는 제외되며, 컴퓨터 네트워크 시스템에 진입할 수 없거나 해당 서비스를 받을 수 없습니다.
네트워크를 이용해 바이러스 확산: 네트워크를 통해 확산되는 컴퓨터 바이러스는 독립형 시스템보다 훨씬 더 파괴적이며 사용자가 이를 예방하기가 어렵습니다.
4장 보안 요구 사항 및 보안 목표
4.1 보안 요구 사항 분석
기업 근거리 통신망 구조, 애플리케이션 및 보안 위협에 대한 이전 분석을 통해 우리는 그 보안 이슈는 주로 서버 보안, 해커 및 바이러스 차단, 중요 네트워크 세그먼트 보호, 관리 보안에 집중되어 있음을 알 수 있다. 따라서 우리는 보안 위험을 제거하기 위해 상응하는 보안 조치를 취해야 하며 그 중 다음을 수행해야 합니다.
서버의 보안 보호를 노출
해커가 외부에서 공격하는 것을 방지
침입 감지 및 모니터링
정보 감사 및 기록
바이러스 보호
데이터 보안 보호
데이터 백업 및 복구
p>
네트워크 보안 관리
본 기업 근거리 통신망 시스템의 실제 상황을 토대로 위의 보안 문제를 해결하는 방법을 고려할 때 시스템은 다음 요구 사항을 충족해야 합니다.
1. 시스템 보안을 대폭 개선합니다(사용성 및 제어 가능성에 중점).
2. 네트워크의 원래 성능 특성을 유지합니다. 즉, 네트워크 프로토콜 및 전송에 대한 투명성이 우수합니다. , 투명하게 액세스할 수 있으며 네트워크 설정을 변경할 필요가 없습니다.
3. 추가 작업을 추가하거나 추가하지 않고도 자동 관리가 용이합니다.
4 . 원래 네트워크 토폴로지에 영향을 주지 않는 동시에 시스템 및 시스템 기능의 확장을 촉진하십시오.
5. 보안 및 기밀 유지 시스템은 가격 대비 성능이 좋습니다. 시간 투자가 가능하고 오랫동안 사용할 수 있습니다.
6. 보안 제품은 합법성을 가지며 관련 국가 관리 부서에서 인정 또는 인증합니다.
7.
4.2 네트워크 보안 정책
보안 정책은 특정 환경에서 일정 수준의 보안 보호를 보장하기 위해 따라야 하는 규칙을 말합니다. 보안 정책 모델에는 보안 환경 구축을 위한 세 가지 중요한 구성 요소가 포함됩니다.
존엄한 법: 보안의 초석은 사회적 법률, 규정 및 수단입니다. 이 부분은 일련의 보안 관리를 설정하는 데 사용됩니다. 표준과 방법. 즉, 정보보안과 관련된 법규를 제정함으로써 불법적인 세력들이 법에 의해 겁을 먹고 감히 경솔하게 행동하지 못하게 될 것이다.
첨단 기술: 고급 보안 기술은 정보 보안의 기본 보장입니다. 사용자는 직면한 위협에 대한 위험 평가를 수행하고 필요한 보안 서비스 유형을 결정한 후 해당 보안 메커니즘을 선택한 다음 고급 보안을 통합합니다. 기술.
엄격한 관리: 각 네트워크 사용자 기관, 기업 및 단위는 적절한 정보 보안 관리 방법을 수립하고 내부 관리를 강화하며 감사 및 추적 시스템을 구축하고 전반적인 정보 보안 인식을 향상시켜야 합니다.
4.3 시스템 보안 목표
위의 분석을 바탕으로 우리는 이 LAN 네트워크 시스템의 보안이 다음 목표를 달성해야 한다고 믿습니다.
완전한 보안 목표를 설정합니다. 실현 가능한 네트워크 보안 및 네트워크 관리 전략
외부 네트워크와의 직접적인 통신을 방지하기 위해 내부 네트워크, 공용 서버 네트워크 및 외부 네트워크를 효과적으로 격리
각 호스트 및 서버에 대한 보안 보호 대책 수립 홈페이지의 시스템 보안을 확보
온라인 서비스 요청 내용을 호스트에 도달하기 전에 불법적인 접근이 거부되도록 통제
합법적인 사용자의 접근 인증 강화 및 통제 사용자의 접근 권한을 최소한으로
공공 서버에 대한 접근에 대한 종합적인 모니터링, 위험한 작업 및 해커 공격에 대한 적시 탐지 및 거부
다양한 접근에 대한 감사를 강화하고 기록 네트워크에 대한 액세스를 자세히 설명하고, 서버의 액세스 동작을 공개하고, 완전한 시스템 로그를 작성합니다.
백업 및 재해 복구 - 시스템 백업을 강화하고 신속한 시스템 복구를 달성합니다.
네트워크를 강화합니다. 보안 관리 및 모든 시스템 직원의 안전 향상 네트워크 보안 인식 및 예방 기술
5장 네트워크 보안 솔루션 전체 설계
5.1 보안 솔루션 설계 원칙
이 엔터프라이즈 LAN 네트워크 시스템을 위한 보안 솔루션을 설계할 때 계획할 때 다음 원칙을 따라야 합니다.
포괄적이고 전체적인 원칙: 시스템 엔지니어링 관점과 방법을 적용하여 네트워크 보안과 특정 조치를 분석합니다. 보안 조치에는 주로 행정적 및 법적 수단, 다양한 관리 시스템(인사 검토, 작업 프로세스, 유지 관리 보증 시스템 등) 및 전문적 조치(식별 기술, 접근 제어, 비밀번호, 저방사선, 내결함성, 안티 바이러스 및 보안 조치)가 포함됩니다. 보안성이 높은 제품을 사용하시기 바랍니다.) 더 나은 보안 조치는 다양한 방법을 적절하고 포괄적으로 적용한 결과인 경우가 많습니다. 개인, 장치, 소프트웨어, 데이터 등을 포함하는 컴퓨터 네트워크입니다. 효과적이고 실행 가능한 조치를 달성하기 위해서는 네트워크에서 이러한 링크의 상태와 영향을 포괄적인 시스템의 관점에서만 보고 분석할 수 있습니다. 즉, 컴퓨터 네트워크 보안은 전반적인 보안 원칙을 준수해야 하며, 규정된 보안 정책에 따라 합리적인 네트워크 보안 아키텍처를 개발해야 합니다.
수요, 위험, 비용의 균형을 이루는 원칙: 어떤 네트워크에서나 절대적인 보안은 달성하기 어렵고 반드시 필요한 것은 아닙니다. 네트워크에 대한 실제 연구(작업, 성능, 구조, 신뢰성, 유지 관리 가능성 등 포함)를 수행하고, 네트워크가 직면할 수 있는 위협과 발생할 수 있는 위험에 대한 정성적, 정량적 분석을 수행한 후 사양과 대책을 수립합니다. 이 시스템의 보안 정책.
일관성 원칙: 일관성 원칙은 주로 네트워크 보안 문제가 전체 네트워크의 작업 주기(또는 수명 주기)와 동시에 존재해야 하며, 공식화된 보안 아키텍처가 네트워크의 보안 요구 사항과 일치해야 함을 의미합니다. . 보안 네트워크 시스템 설계(예비 또는 세부 설계 포함) 및 구현 계획, 네트워크 검증, 수용, 운영 등에 보안 내용과 대책이 있어야 합니다. 실제로 네트워크 구축 초기에는 네트워크 보안 대책을 고려해야 합니다. 네트워크가 구축된 후에 보안 조치를 고려하는 것이 더 쉽고 훨씬 저렴할 뿐만 아니라
작동 용이성의 원칙: 안전 조치는 사람이 완료해야 합니다. 조치가 너무 복잡하고 사람에 대한 요구 사항이 너무 높으면 보안 자체가 저하됩니다. 둘째, 조치의 채택은 시스템의 정상적인 작동에 영향을 미칠 수 없습니다.
단계적 구현 원칙: 네트워크 시스템과 그 응용 프로그램의 광범위한 확장으로 인해 네트워크 규모가 확장되고 응용 프로그램이 증가함에 따라 네트워크 취약성은 계속해서 증가할 것입니다. 네트워크 보안 문제를 완전히 해결하는 것은 비현실적입니다. 동시에, 정보 보안 조치를 구현하려면 상당한 비용이 필요합니다. 따라서 단계별로 구현하면 네트워크 시스템 및 정보 보안의 기본 요구 사항을 충족할 수 있으며 비용도 절감할 수 있습니다.
여러 보호 원칙: 어떤 보안 조치도 절대적으로 안전하지 않으며 위반될 수 있습니다. 그러나 다중 보호 시스템을 구축하면 각 보호 계층이 서로 보완됩니다. 한 보호 계층이 침해되더라도 다른 보호 계층은 여전히 정보 보안을 보호할 수 있습니다.
평가 가능성 원칙: 보안 설계를 사전 평가하고 네트워크의 보안을 검증하는 방법은 관련 국가 네트워크 정보 보안 평가 및 인증 기관의 평가를 통해 달성되어야 합니다.
5.2 보안 서비스, 메커니즘 및 기술
보안 서비스: 보안 서비스에는 주로 제어 서비스, 객체 인증 서비스, 신뢰성 서비스 등이 포함됩니다.
보안 메커니즘 : 접근 제어 메커니즘, 인증 메커니즘 등
보안 기술: 방화벽 기술, 식별 기술, 감사 모니터링 기술, 바이러스 방지 기술 등 안전한 개방형 환경에서 사용자는 다양한 보안을 사용할 수 있습니다. 응용 프로그램. 보안 애플리케이션은 일부 보안 서비스에 의해 구현되며, 보안 서비스는 다양한 보안 메커니즘 또는 보안 기술에 의해 구현됩니다. 동일한 보안 메커니즘이 때때로 다른 보안 서비스를 구현하는 데 사용될 수 있다는 점에 유의해야 합니다.
6장 네트워크 보안 아키텍처
네트워크에 대한 포괄적인 이해를 통해 보안 정책의 요구 사항, 위험 분석 결과 및 전체 보안 목표에 따라 네트워크, 전체 네트워크 측정은 시스템을 기반으로 해야 합니다. 구체적인 보안 통제 시스템은 물리적 보안, 네트워크 보안, 시스템 보안, 정보 보안, 애플리케이션 보안 및 보안 관리 등의 측면으로 구성됩니다.
6.1 물리적 보안
컴퓨터 정보 시스템 보장 각종 장비의 물리적 보안은 컴퓨터정보시스템 전체의 보안을 위한 전제조건이다. 물리적 보안은 지진, 홍수, 화재, 인적오류, 기타 각종 환경사고로부터 컴퓨터 네트워크 장비, 시설, 기타 매체를 보호하는 것이다. 컴퓨터 범죄. 이는 주로 세 가지 측면을 포함합니다:
환경 보안: 지역 보호 및 재해 보호와 같은 시스템이 위치한 환경의 보안 보호(국가 표준 GB50173-93 "전자 컴퓨터실 설계 코드" 참조) , 국가 표준 GB2887-89 "컴퓨팅 스테이션 사이트에 대한 기술 조건", GB9361-88 "컴퓨팅 스테이션 사이트에 대한 안전 요구 사항"
장비 보안: 주로 장비 도난 방지, 파손 방지, 전자기 방지를 포함합니다. 정보 방사 누출, 회선 차단 방지, 전자 간섭 방지 및 전원 보호 등
미디어 보안: 미디어 데이터 보안 및 미디어 자체 보안 포함
네트워크 보안 측면에서 고려해야 할 두 가지 주요 수준이 있습니다. 하나는 전체 네트워크 구조의 성숙도이며, 두 번째는 전체 네트워크 시스템의 보안입니다. p>6.2.1 네트워크 구조
보안 시스템은 네트워크 시스템을 기반으로 구축됩니다. 네트워크 구조의 보안은 전체 보안 측면에서 성공적인 보안 시스템 구축의 기초입니다. 네트워크 구조, 네트워크 구조, 시스템 및 라우팅의 최적화를 고려해야 합니다.
네트워크 구조의 구축은 상황, 원격 네트워킹 방법, 통신과 같은 환경, 장치 구성 및 애플리케이션 요소를 고려해야 합니다. 볼륨 예측, 네트워크 유지 관리, 네트워크 애플리케이션 및 비즈니스 포지셔닝 등 성숙한 네트워크 구조는 개방적이고 표준화되고 신뢰할 수 있으며 고급화되고 실용적이어야 하며 구조화된 설계를 갖추고 기존 자원을 최대한 활용하며 운영이 단순해야 합니다. 네트워크 구조는 유지 관리에 도움이 되는 계층화된 아키텍처를 채택하고 있으며, 이는 더 높은 수준의 보안 제어 및 비즈니스 개발에 도움이 됩니다.
네트워크 구조 최적화는 주로 사용됩니다. 네트워크 토폴로지의 계정 중복 링크, 방화벽 설정 및 침입 감지 실시간 모니터링
6.2.2 네트워크 시스템 보안
6.2.
액세스 제어
액세스 제어는 다음 측면을 통해 달성할 수 있습니다.
1. 엄격한 관리 시스템 개발: 공식화할 수 있는 대응: "사용자 권한" 시행규칙', '비밀번호 및 계정관리 규정', '권한관리시스템'
2. 내부망과 외부망 사이에 해당 보안장비를 갖추어야 한다. , 격리 및 통제를 위한 방화벽을 설정한다. 내부 및 외부 네트워크는 내부 네트워크 보안을 보호하기 위한 가장 중요하고 효과적이며 경제적인 조치 중 하나입니다. 방화벽은 서로 다른 네트워크 또는 네트워크 보안 도메인 간의 유일한 정보 입구 및 출구로 설정됩니다. 패킷 필터링 방화벽은 일반적으로 IP 및 TCP 패킷의 헤더 정보를 사용하여 보호 대상 네트워크에 들어오고 나가는 IP 패킷 정보를 필터링하며, 기업의 보안 정책에 따라 제어(허용, 거부)할 수 있습니다. 네트워크 주소 변환(NAT), 감사, 실시간 경보 등의 기능을 구현할 수도 있습니다. 이 방화벽은 보호되는 네트워크와 라우터 사이의 채널에 설치되므로 보호되는 네트워크도 모니터링합니다. 네트워크입니다. 외부 네트워크와 격리되어 있습니다.
방화벽에는 다음과 같은 5가지 기본 기능이 있습니다. 네트워크에 들어오고 나가는 데이터 필터링, 방화벽을 통과하는 특정 금지된 서비스 기록 차단, 네트워크 공격 감지 및 경고.
6.2.2.2 인트라넷에서 다양한 네트워크 보안 도메인의 격리 및 액세스 제어
여기서 VLAN 기술은 주로 내부 서브넷의 물리적 격리를 달성하는 데 사용됩니다. 스위치에서 VLAN을 분할하면 전체 네트워크를 여러 개의 서로 다른 브로드캐스트 도메인으로 분할하여 하나의 내부 네트워크 세그먼트와 다른 세그먼트 사이를 물리적으로 격리할 수 있습니다. 이렇게 하면 하나의 네트워크 세그먼트에 영향을 미치는 문제가 전체 네트워크에 전파되는 것을 방지할 수 있습니다. 일부 네트워크의 경우 일부 LAN의 한 세그먼트가 다른 세그먼트보다 더 신뢰되거나 한 세그먼트가 다른 세그먼트보다 더 민감한 경우도 있습니다. 신뢰할 수 있는 네트워크 세그먼트와 신뢰할 수 없는 네트워크 세그먼트를 서로 다른 VLAN 세그먼트로 나누어 로컬 네트워크 보안 문제가 글로벌 네트워크에 미치는 영향을 제한할 수 있습니다.
6.2.2.3 네트워크 보안 탐지
네트워크 시스템의 보안은 네트워크 시스템의 가장 취약한 링크에 달려 있습니다. 네트워크 시스템에서 가장 약한 링크를 적시에 감지하는 방법은 무엇입니까? 네트워크 시스템의 보안을 극대화하는 방법은 무엇입니까? 가장 효과적인 방법은 정기적으로 네트워크 시스템의 보안 분석을 수행하여 기존의 약점과 허점을 신속하게 발견하고 수정하는 것입니다.
네트워크 보안 탐지 도구는 일반적으로 네트워크 보안 평가 및 분석 소프트웨어입니다. 이 도구의 기능은 실용적인 방법을 사용하여 네트워크 시스템을 검사 및 분석하고 시스템의 약점과 허점을 확인 및 보고하며 해결 방법을 권장하는 것입니다. 조치 및 보안 전략을 통해 네트워크 보안을 강화합니다. 탐지 도구에는 다음과 같은 기능이 있어야 합니다.
네트워크 모니터링, 분석 및 자동 대응 기능이 있어야 합니다.
잦은 문제의 근본 원인을 찾아냅니다.
필요한 주기를 설정합니다. 이 프로세스를 통해 숨겨진 위험이 항상 수정되고 다양한 네트워크 보안 위험이 제어됩니다.
취약점 분석 및 대응
구성 분석 및 대응
취약점 상황 분석 및 대응
인증 및 동향 분석
다음 측면에 구체적으로 반영됩니다.
방화벽이 올바르게 구성되어 있습니다.
내부 및 외부 웹 사이트의 보안 취약점이 최소한으로 줄어듭니다.
강력한 공격 저항력을 갖춘 네트워크 시스템
E_MIAL 서버, WEB 서버, 애플리케이션 서버 등 다양한 서버 운영체제를 통해 해커의 공격 가능성을 최소화
네트워크 접속에 효과적으로 대응 , 보호가 중요 응용 시스템(예: 금융 시스템)의 데이터 보안은 해커 공격 및 내부 오작동으로부터 보호됩니다.
6.2.2.4 감사 및 모니터링
감사는 모든 내용을 기록하는 것입니다. 컴퓨터 네트워크 시스템을 사용하는 사용자 활동은 보안을 향상시키는 중요한 도구입니다. 이는 누가 시스템에 액세스했는지뿐만 아니라 시스템이 어떻게 사용되고 있는지도 식별합니다. 사이버 공격이 있는지 판단하기 위해서는 문제와 공격의 원인을 파악하는 감사 정보가 중요합니다. 동시에 시스템 이벤트를 기록하면 문제를 보다 신속하고 체계적으로 식별할 수 있으며, 이는 이후 단계의 사고 처리에 중요한 기반이 됩니다. 또한 보안 이벤트의 지속적인 수집, 축적 및 분석을 통해 특정 사이트 또는 사용자에 대해 선택적으로 감사 추적을 수행하여 발견되었거나 가능한 파괴적인 행위에 대한 강력한 증거를 제공합니다.
따라서 일반적인 네트워크 관리 소프트웨어와 시스템 모니터링 및 관리 시스템을 사용하는 것 외에도 현재 더 성숙한 네트워크 모니터링 장비 또는 실시간 침입 탐지 장비를 사용하여 일반적인 작업에 대한 실시간 검사를 수행해야 합니다. 모든 수준의 근거리 통신망 안팎에서 네트워크상의 공격과 범죄를 방지하기 위해 모니터링, 경보 및 차단합니다.
6.2.2.5 네트워크 안티 바이러스
컴퓨터 바이러스는 네트워크 환경에서 헤아릴 수 없는 위협과 파괴력을 갖고 있으므로 컴퓨터 바이러스 예방은 네트워크 보안 구축에 있어 중요한 단계입니다. .
네트워크 안티 바이러스 기술에는 바이러스 예방, 바이러스 탐지, 치료의 세 가지 기술이 포함됩니다.
1. 바이러스 예방 기술: 자체 거주자를 통해 시스템에 대한 통제권을 우선적으로 획득합니다. 시스템 메모리, 시스템에 바이러스가 있는지 모니터링하고 확인한 다음 컴퓨터 바이러스가 컴퓨터 시스템에 유입되어 시스템을 손상시키는 것을 방지합니다. 이러한 기술에는 암호화된 실행 프로그램, 부트 섹터 보호 및 시스템 모니터링이 포함됩니다.