0X01 前言
近年来,随着信息化建设、办公自动化建设的发展,安全问题层出不穷的现象不得不引起高度重视,如wannacry勒索病毒。而且安全的大环境显得越来越紧迫,随着各种软件安全漏洞的不断被发现,黑客的技术实力提升,企业更加迫切的要求信息网络具有更高的安全防范体系。因此,网络安全建设的加快变得尤其重要。
0X02 网络安全现状及需求分析
1) 安全部署现状
该项目的网络环境主要分为两大部分,生产网与办公网。生产网入口就是多任务传输平台,紧接着是防火墙,但防火墙并未做安全区域划分,之后通过防火墙的流量进入交换机再传送给2960X路由器,经过无线wifi,使得生产网中的办公电子设备可以正常传输、接收数据。而另一部分的办公网,则通过接入互联网,先经过上网行为管理的配置再将流量分发给交换机路由器,通过无线wifi使得智能设备如电脑、ipad、打印机能够正常联网。拓扑结构如下:
2)主要存在的信息安全隐患
1、没有在防火墙进出口的地方做安全域的划分和隔离。
2、没有采用相关的访问控制产品及控制技术,没有相关网络安全产品来防范来自不安全网络
或不信任域的非法访问和非授权访问,使端口面临安全风险。
3、DHCP面临欺骗的风险。
4、没有配置入侵检测的防御系统,使应用层面临巨大的风险。
5.对于有远程访问业务的需求没有提供相关远程VPN接入技术。
3)网络安全需求
通过以上对该项目网络安全现状的分析,我们提出了以下几点对该项目建设网络环境的安全需求:
1. 采用相关的访问控制产品及控制技术,防范来自不安全网络或不信任域的非法访问和非授权访问。
2. 采用安全检测技术,实时检查进出网络的数据流,动态防范各种来自内外网络的恶意攻击。
3. 采用加密设备、应用加密、认证技术防范信息在网络传输过程中被非法窃取而造成的信息泄露,并通过认证技术保证数据的完整性、真实性、可靠性。
4. 采用网络安全评估系统,定期或不定期对网络系统或操作系统进行安全扫描,评估网络系统及橾作系统的安全等级,并分析提出补救措施.
5. 采用数据备份及灾难恢复技术,对总部的主要服务器文件进行数据备份, 形成一个开放、智能和从成的自动存储和备份恢复环境。
6. 选择技术雄厚、服务及时周到的网络安全专业公司,做好网络安全检测、评估、漏洞修补、救援等服务,保证网络的长期安全。
7. 加强防火墙的建设。
0X03 总结
这篇内容是学校的一个大作业,要求提供完整的安全技术方案,总的内容写下来有近2万字,本文摘取最开始的一部分作为记录。其中在写的过程中,通过查阅资料在选择一些安全产品比如用哪款防火墙更合适这类问题的时候让我意识到一个做安全要注意的点,就是技术落地的产品,如果你问我哪款webshell工具准确率高,我能很快告诉你,但在做这个作业的过程中,当我去参考一些实际案列,涉及考虑业务域、承载数据量等等因素时,哪家的产品更适合这个网络架构我突然就愣住了,然后就觉得这篇作业一定要记录下来,它会成为我部分学习的动力。