XX公司XX网络安全评估报告
目录
XX公司XX网络安全评估报告... 1
评估依据的标准... 1
第一章 物理与环境层评估(12%)... 2
项目1: 电源评估... 2
项目2: 线缆评估... 3
项目3: 物理环境评估... 3
第二章 网络层评估(46%)... 4
项目1: 网络架构... 5
项目2: 访问控制... 6
项目3: 边界整合与防护... 8
项目4: 网络设备可靠性... 9
项目5: 网络设备的告警机制... 10
项目6: 安全产品部署与策略... 10
第三章 评估总结... 11
估依据的标准
XX公司信息安全帐号、口令及权限管理办法
XX及网管DCN网络设备帐号与口令管理细则
ISO/IEC17799:2000 信息技术-信息安全管理实施细则
ISO/IEC 15408 信息技术—安全技术—信息技术安全评估准则
ISO 7498-2 安全体系结构
第一章 物理与环境层评估(12%)
项目1: 电源评估
n 评估对象:供应电源及设备中的电源模块
n 评估手段:现场查看,工程资料查看
n 安全因素:电源供给是否双路,机架及设备接地是否良好,电源模块容量是否充足等
n 评估结果:各项评估点全部满足。满分8分,评估得分8分。
项目2: 线缆评估
n 评估对象:机架内部走线及架间走线
n 评估手段:现场查看
n 安全因素:走线是否合理,线缆是否完好
n 评估结果:各项评估点全部满足。满分2分,评估得分2分。
项目3: 温湿度评估
n 评估对象:机架内部
n 评估手段:现场查看、资料查询
n 安全因素:温度、湿度是否会超标
n 评估结果:各项评估点全部满足。满分2分,评估得分2分。
第二章 网络层评估(46%)
XX公司XX网络的核心设备主要在交通巷机房,接入设备分布在枢纽楼机房和海东、格尔木两个地市机房,相关设备均在本次评估范围之内,评估对象为现网运行的网络架构、组网情况、网络设备的冗余度、网络安全状况。
XX公司XX网络拓扑图
如上图所示,从网络整体拓扑图看,XX公司XX采用双星形结构,网络架构层次分明,核心路由交换设备有设备冗余。地市XX以2M链路汇接至省公司M20、省网业务以FE、155M POS链路分别汇接至省公司的Cisco4003和M20。出口流量经M20、M40以155M POS链路接入北京和西安,其中西安链路为主,北京链路为辅。
项目1: 网络架构
n 评估对象:业务系统内部网络(交通巷、枢纽楼机房和地市XX网络设备,包括汇接层及核心层交换机)
n 评估手段:现场查看物理连接、检查数据配置、工程资料检查
n 评估目的:达到内部网络结构清晰、层次分明,并且在架构上满足冗余备份要求;
n 评估结果:在3个地方出现单链路隐患。满分14分,评估分11分。
n 现状描述
XX公司XX是互联网的一部分,在网络架构上分网络接入、汇聚、核心三层,结构分明,层次清晰。骨干网采用两套核心设备备份、骨干网汇接链路冗余,但省网业务汇聚设备NE80与核心M20之间、认证计费应用防火墙与核心交换4003之间、地市公司2948GL3与7507之间存在单链路隐患。XX目前承载多种业务,GPRS,专线接入,综合接入及部分省网业务等。防火墙存在于认证计费业务系统与XX接口处,应业务系统而存在。所以就XX而言,无核心防火墙概念。
项目2: 访问控制
n 评估对象:业务系统内部网络(交通巷、枢纽楼机房及地市机房XX数据网络)
n 评估手段:现场查看物理连接、检查数据配置、工程资料检查
n 评估结果:各项评估点全部满足。满分8分,评估得分8分。
n 现状描述
在XX应用系统接入交换机上划分VLAN,使各个不同的应用系统之间相对独立,同时减小了内部网络的广播域,从而减小了网络风暴及一些基于广播传送的病毒的传播的可能性,内部网络架构从最里层提高了网络的安全性。核心交换机起三层路由,由于端口未作ACL限制。在VLAN间不使用ACL进行隔离可被视为可接受风险。
项目3: 边界整合与防护
n 评估对象:业务系统内部网络(交通巷、枢纽楼机房XX数据网络)与外部网络接口
n 评估手段:现场查看物理连接、检查数据配置、工程资料检查
n 评估目的:达到边界清晰,合理控制各边界接口的访问
n 评估结果:边界链路可靠性不满足。满分7分,评估得分6分
n 现状描述
XX作为互联网,承载了多种移动业务。在XX与省网各业务系统之间,在业务侧均采用了防火墙设备进行有效的访问控制。
项目4: 网络设备可靠性
n 评估对象:业务系统内部网络设备的安全性
n 评估手段:现场查看物理设备、检查数据配置、工程资料检查
n 评估目的:确保在单个网络设备或链路出现故障时,流量均控制在正常负荷中
n 评估结果:3个地方存在单链路隐患。满分7分,评估得分6分。
项目5: 网络设备的告警机制
n 评估对象:业务系统内部网络(交通巷、枢纽楼机房XX网络)设备
n 评估手段:现场查看物理连接、检查数据配置、工程资料检查
n 评估目的:确保重要设备具备有效的告警机制
n 评估结果:各项评估点全部满足,满分6分,评估得分6分
n 现状描述
目前,一旦网络设备故障,告警可以实时发现并准确定位。
第三章 评估总结
本次评估主要针对XX公司XX各项涉及网络安全的指标进行检查,评估对象为现网运行环境、网络架构的安全性。评估参照XX公司网络安全评估标准进行,对现网的安全状况进行全方位的诊断。
XX公司XX网经过多次扩容改造和网络安全项目的实施,在电源供电、设备布线、系统架构、访问控制、告警监控、故障恢复等多方面满足XX以及承载业务的高可靠性、高可用性要求,但是存在某些重要系统/网络的单链路隐患。
根据上面的评估项目对系统进行全面检查,满分58分,评估实际得分53分,存在的安全风险如下:
1、省网各个业务系统位于枢纽楼的业务网络均通过汇聚设备NE80与XX网络建立,目前NE80与M20之间通过1条155M POS链路连接,一旦发生故障可能会影响相关业务系统数据的传输。
2、认证计费应用系统防火墙设备与XX的核心交换4003之间存在单点隐患。一旦发生故障,则会导致宽带小区认证计费系统不正常,影响用户上网。
3、海东和格尔木的2948GL3与7507之间存在单链路隐患。一旦发生中断,则会导致当地节点的XX网络中断。
第二篇:校园网络安全评估报告-
20XX年校园网络
安全评估报告
计算机应用技术系
09网络技术班 **
指导老师 **
前言
经过半年的网络安全课程学习,王薇老师教给我们很多很多网络安全的知识和应用,让我们的技能得到了很大的提升。根据所学的知识和查询网络所得的数据,我对校园网络安全做了如下评估和报告。
随着Internet的普及,校园网已成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段,它是以现代化的网络及计算机技术为手段,形成将校园内所有服务器、工作站、局域网及相关设施高速联接起来,使各种基于计算机网络的教学方法、管理方法及文化宣传得以广泛应用并能和外部互联网沟通的硬件和软件平台。
随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等屡屡曝光,在高校网络建设的过程中,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,而如何有效地加以管理和维护,是校园网得以有效、安全运行的关键。
校园网网络的安全十分重要,它承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理。本文从网络安全的各个方面,详细分析了威胁校园网网络安全的各种因素,提出了若干可行的安全管理的策略,从设备资源和技术角度上做了深入的探讨。
封面 1
实例摘要
某校园网由三个物理区域:教学办公大楼、图书馆大楼、学生教工宿舍构成。在整个网络中,各信息点按功能又划分为行政办公、电子网络教室、中心管理机房、普通教室等不同区域,各区域与互联网连接的目的也是不一样的,对特定区域,与互联网连接将受到一定限制。校园网采用千兆到楼,百兆到桌面的全交换网络系统,覆盖东西两院、艺术附中以及各个家属区,共计光纤链路40余条,交换机250余台,网络信息点一万多个。整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证计费管理软件、网络版杀毒软件。核心采用锐捷RG-6810E高性能三层管理交换机,汇聚采用锐捷三层交换机,接入桌面采用锐捷21系列。现有的WEB服务器,“一卡通”数字系统,OA办公管理系统,教务管理系统,图书管理系统,流媒体服务器,网络杀毒服务器,为全院教学科研、管理和生活等方面提供了良好的Internet应用服务。校园主接入主干网如下:
图1 校园网接入主干图
校园网承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理,它的安全状况直接影响着学校的教学、科 研、行政管理、对外交流等活动。在网络建成的初期,安全问题可能还不突出.随着应用的深入.校园网上各种数据会急剧增加、访问增多.潜在的安全缺陷和漏洞、恶意的攻击等造成的问题开始频繁出现。
校园网受到的攻击以及安全方面的缺陷主要有: (1)有害信息的传播
校园网与Internet融为一体,师生都可以通过校园网络在自己的机器上进人Internet。目前Internet上充斥各种海量信据息,散布违犯四项基本原则、有关色情、暴力、三俗内容的文章、网页、网站比较多。这些有毒的信息违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非 常大。
(2)病毒破坏
通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接人广域网后。为外面病毒进入学校大开方便之门,下载的程序和电子邮件都可能带有病毒。而且网络病毒的变异速度快,攻击机理复杂,必须不断更新病毒库。
(3)恶意入侵
学校涉及的机密不是很多,来自外部的非法访问的可能性要少一些.关键是内部的非法访问。一些学生可能会通过非 正常的手段获得习题的答案,使正常的教学练习失去意义。更有甚者.有的学生可能在考前获得考试内容,严重地破坏了学校的管理秩序或者破坏教务系统.恶意更改成绩,扰乱教学工作程序。
(4)恶意破坏
对计算机硬件系统和软件系统的恶意破坏,这包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、工作站等,它们分布在整个校园内,不可能24小时专人看管, 以避免故意的或非故意的某些破坏。会造成校园网络全部或部分瘫痪。
另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面:对学校网站的主页面进行修改,破坏学校的形象:向服务器发送大量信息使整个网络陷于瘫痪;利用学校的邮件服务器转发各种非法的信息等。
(5)口令入侵
用户非法获得口令入侵,破坏网络。
一、课程设计目的意义
了解计算机网络工程设计的一般过程,明确计算机网络设计的基本原则;通过网络设备的配置,能了解网络安全管理与维护设置的功能,掌握网络设备的配置方法和配置操作。通过对校园网的调研,能了解网络安全管理与维护在校园中的具体应用,并在现有条件下进行简单的模拟。
了解网络安全管理与维护在校园网中的应用情况,制定一个应用方案,在现有实验设备的基础上来实现这个方案。
本次课程设计让我们有了一个既动手又动脑,独立实践的机会,将理论和实际有机的结合起来,锻炼了我们分析、解决实际问题的能力。通过从了解设备功能、掌握设计原理到应用原理,利用设备解决实际问题这样一个循序渐进的过程,培养自己理论与实践相结合的能力。
二、需求分析
在校园网的网络安全管理及维护中,设计方案应从以下几个方面进行需求分析:
1、虚拟网
虚拟网主要作用和目的是:解决主干网内网络站点的增加、删除、移动等操作,方便网络的维护和管理。可以建立不受地理位置限制的,覆盖整个校园的相互具有一定独立性的网络或者逻辑子网,即虚拟网。利用虚拟网可以有效的管理和限制不同子网之间的访问,各部门可以各自占用一个独立的虚拟网,整个虚拟网是可升级的、可扩展的。根据校园网的实际需求,各类人员可以在相应逻辑子网内开展工作。网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。
2、管理与维护
校园主干网是覆盖整个园区的网络,其组成结构相当复杂,而科技的进步和教育形势的发展又要求校园网具有延伸性和扩展性。随着网络复杂度的增加,给网络管理带来成级数增加的管理工作量。网络管理要求解决的问题包括:
(1)虚拟网管理、分配。目前的虚拟网主要基于局域网交换端口,如果一个部门扩展新的入网地点,新的扩展将改变交换机端口设置。网络管理借助相应的管理软件来解决该问题。
(2)对所有网络设备端口的监视和管理。对所有网络设备的远地配置和控制,包括网络设备端口的开放和关闭,整个网络的故障检测,故障自动报警功能,整个网络性能的统计和分析报告,甚至收费。按照这些网络管理的需求,应采用基于GUI(图形用户界面)的网络管理软件来实现。
3、网络安全
校园网络安全主要有以下要求:各个部门访问网络的控制,各单位之间在未经授权的情况下,不能相互访问。内部网中要建立防火墙,即禁止外部用户未经许可访问内部的数据,或者内部用户未经许可访问外部数据。
对安全问题主要有以下考虑:校园网应该是一个开放的系统,它不像政府或商业公司的网络一样具有极高的安全保密性;但校园网应该安全的,它应具备抵御恶意攻击的能力,一些科研成果也不是对任何人都开放的。利用虚拟网技术和防火墙技术可以较为合理地解决安全与开放的问题。
在校园网的网络安全管理及维护中,建立单机版反病毒防御体系,设立防火墙保护和网络入侵侦测系统对防止病毒和黑客入侵,提供防范、检测手段和对攻击作出反应,采取自动抗击措施,对保证网络安全及维护是很有必要的。
(1)防火墙技术
为整个网络筑起一道高墙,将黑客及未授权的用户拒于门外。
(2)建立网络入侵侦测系统
在MIS系统中防止人为的恶意攻击或误操作导致系统的损坏或瘫痪的主要防御方法,是在网络中安装网络入侵侦测系统(IDS)。系统可以实时监控网段的流量,发现有攻击特征的行为后,立即报警,并且可以阻断该会话,阻止入侵行为的进一步发生。局域网划分虚网(VLAN)后,入侵侦测系统(IDS)应分别检测各自的应用网段
4、反病毒防御
由于基层的网络与局域网通过光纤连接在一起,各个应用系统在它们之间有信息传递,为了保证在信息传递过程中局域网不被感染病毒,防止病毒蔓延,应在基层网络和局域网有业务关系的单机上安装反病毒软件。这样即使局域网周边的网络中有病毒存在,也能够在进入局域网之前被查杀,要求程序定时进行扫描,既保证了重点网络的安全,又降低了校园网在防病毒方面的投资。
三、方案设计
1、设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
(1)大幅度地提高系统的安全性和保密性;
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
(6)安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
(7)分步实施原则:分级管理 分步实施。
2、安全策略
采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。采用各种安全技术,构筑防御系统,主要有:
(1)防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2)2NAT技术:隐藏内部网络信息。
(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的信道在公共网络上创建一个安全的私有连接。它通过安全的数据信道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。
(6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。建立分层管理和各级安全管理中心。
3、安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。
4、拓扑结构图
图2 校园网网络拓扑结构图
四、方案的实施
1、在管理方面
网络中的关键设备应放置于可靠的机房,并有健全的管理制度和措施;加强安全检查,定期对网络和系统进行扫描、检查和巡视;培养师生的安全意识,加强口令管理,限制用户采用容易破怿的口令; 保持对国际上先进安全技术的跟踪。学习和研究,及时进行技术升级。
2、在技术方面
(1) 通过VLAN技术,控制网络流量,提供网络效率,防止网络侦听(sniffer);
(2) 不同的VLAN,可以根据功能区域的不同,设定不同的安全级别;对于重要网络设备和管理系统,应设置最高的安全级别;
(3) 对于向外提供信息服务的重要服务器,关闭不需要开放的服务端口,限制用户的操作权限,防止非法操作;
(4) 采用访问控制表进行访问限制,过滤不正当的访问和恶意攻击;
(5) 通过防病毒软件和适当的个人电脑网络设置,建立桌面级的系统安全;
(6) 校园网可以通过DHCP服务器,实现动态地址分配与认证,实现对内信息内容的访问控制。
3、定期做好备份工作
系统管理员需要定期备份服务器上的重要系统文件。比如操作系统盘,做备份存档。文件资料等可以用RAID方式进行每周备份。这样一旦服务器出现故障,可以损失降的很小。
4、定期做好网络杀毒工作
在校园网中,重要的数据往往保存在整个中心结点的服务器上,这也是病毒攻击的首要目标。为了保护这些数据,网络管理员必须在网络服务器上设置全面的保护措施。因此,网络防病毒软件安装在服务器工作站和邮件系统上。这样病毒扫描的任务是网络上所有的工作站共同承担的,这样可以在工作站的日常工作中加入病毒扫描任务,网络版杀毒软件一般都支持定时的升级,全网杀毒等功能,很好地帮助了网络人员 。
五、结束语
校园网络的安全问题,不仅是设备,技术的问题,更是管理的问题。对于校园网络的管理人员来讲,一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,而且更需要制定一套完整的规章制度来规范上网人员的行为。
校园网的安全及相应的管理策略是一个需要长期关注的实用研究课题。在校园网的使用实践的过程中,牢固树立安全意识、不断采用新技术、完善管理规章制度才能有效地保证校园网正常、安全地运行。在具体的工作中,可以根据人力、财力、物力的资源情况,在一定的安全目标预期下,进行适当组织,综合制定一个行之有效的最佳方案,保证校园网稳定可靠运行。
附录一:参考文献
[1] 张公忠.现代网络技术教程(第二版).北京:电子工业出版社,2004.1
[2] 王竹林.校园网组建与管理.北京:清华大学出版社,2002.2
[3] 孔旭影.网络工程基础.北京:电子工业出版社 2003.1
[4] 余小鹏.网络工程规划与设计.北京:清华大学出版社 2007.3
[5] 实用网络技术配置指南(初级篇).锐捷网络大学,2005.2