22年8月5日.pptVIP

高能所网络安全设施 高能所网络安全中存在的问题 每天遭受上万次以上来自“黑客”或“病毒”程序的攻击，一些攻击造成网络变慢 我所现有的网络安全监视系统难以对数量如此庞大的攻击行为进行全面、具体的分析 高能所过于“开放”和“宽松”的网络应用环境是容易遭受攻击的主要原因 所内网络中的服务器系统存在安全漏洞，不能保证所有管理员都具备安全管理技术水平 计算中心对全所网络及用户的控制能力较弱 防火墙结构的改进 网络用户访问Internet有以下几种方式 受限用户类型： 仅在所内网络上工作，禁止访问Internet，并关闭网络流量记帐。 一般用户类型： 访问Internet时仅允许由内向外主动连接，并隐藏自己的IP地址。 有对外合作的用户： 由于对外有工作合作等原因，需要从所外的计算机登录（或主动连接）到所内的计算机。这类计算机必须移到计算中心，并放置在网络② 。 防火墙结构的改进 通过对网络结构和防火墙规则的调整，可抵御来自所外网络的90%以上的攻击行为。 在有效攻击的数量减少情况下，可使现有的网络安全监视系统更有效地发挥作用，更主动地发现黑客源计算机，以便采取措施。 在防火墙上进行网络通讯流量统计，并实时地监视异常通讯，必要时阻断通讯，。 对阻塞网络带宽式的攻击行为能够自动检测攻击源计算机地址，并立即在防火墙上封堵。 对防火墙规则的调整，本着尽量不影响用户工作需要的原则进行，但用户在网络使用方式上可能会有一些转变和适应，希望给予理解 为便于网络安全管理和联系，需要所内每一个网络用户提供自己的详细资料以及联络方式 防火墙系统调整后，高能所的网络安全性相对有了提高，但不是绝对的安全，仍然需要对用户计算机系统进行安全维护 所有安全相关的信息（安全软件、安全知识、病毒预告等）可在查阅 网络调整时间安排 8月16日开始： 用户申报自己的用户类型（一般用户、受限用户，或有对外合作的用户）； 对于“有对外合作”类型的用户，可以申请将他们需要从所外访问的计算机移到计算中心。 8月23日开始： 按用户申报的类型设置防火墙安全规则； 对于没有进行申报的用户，按 “受限用户”类型处理。 9月1日开始： 所有需要从所外访问的计算机必须移到“网络②” ； 针对这些计算机的应用特点制定相应的安全策略。 请用户配合工作 请用户尽快申报自己的用户类型，申报办法：请各部门指定一负责人统计本部门的所有计算机用户类型，并以电子文档形式递交到计算中心。递交方式： E-mail： sec@ 电话确认：6027 网上查询： 可在网上查看“申报”是否被正确接受 网址为： 文档格式： 用文件名表示类型（一般用户、受限用户、有对外合作的用户） 文件内容是IP地址列表（按由小到大排序），每个IP地址独占一行 对于“有对外合作”类型的用户，请与计算中心协商，并于8月底前将需要被外部网络访问的计算机移到计算中心 协助计算中心统计收集网络用户资料，建立高能所网络用户信息数据库 结 束 * * 2002年8月15日 高能所网络防火墙系统调整 (方案介绍) “防病毒”系统服务器 网络安全监视系统 “黑客”取证系统 高能所内部网络 Internet 共享式集线器 路由器 网络漏洞扫描软件（安全评估系统） IDS入侵检测软件 防火墙 中心交换机 ? 在中心交换机上设置多组安全规则，类似集成了多个防火墙 一室 九室 二室 Internet 路由器 防火墙 （分层次防火墙结构特点） 中心交换机 过滤黄色网站 对高能所整个所内网络实现安全策略 对内部网络进一步实现安全隔离 Internet 网络① 一般用户， 受限用户 网络② 有对外合 作的用户 网络①的计算机不能被所外网络访问，但可以主动向外访问Internet和网络② 网络②的计算机可与Internet相互访问，但不可以主动连接网络① 防火墙 防火墙结构的改进 网络 ③ 公用网络 服务器 网络③与网络②类似，但仅用来连接高能所的公用网络服务器组 （对所内网络按应用特点分为几类） 中心交换机 Internet 路由器 防火墙 （防火墙网络布线结构） 集线器 路由器 公用电话网 Switch集线器 Switch集线器 双防毒墙 网络监视设备 允许被从所外访问的服务器 公用服务器组 (MAIL、 FTP、 WINS/辅DNS、 对内WWW、安 全网站（SEC)、 防病毒服务器) (28/27) (60/27) (28/26) 高能所内网 (/26) (92/27) 公用服务器组 (主DNS、对外 WWW服务器) 防火墙结构的改进 （预期目标和效果） 防火墙结构的改进 （注意事项）