網(wǎng)絡(luò)安全解決方案

1、網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程，從技術(shù)上來說，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件是無法確保信息網(wǎng)絡(luò)的安全性。此處重點(diǎn)針對一些普遍性問題和所應(yīng)采用的相應(yīng)安全技術(shù)，主要包括：建立全面的網(wǎng)絡(luò)防病毒體系；防火墻技術(shù)，控制訪問權(quán)限，實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理；應(yīng)用入侵檢測技術(shù)保護(hù)主機(jī)資源，防止內(nèi)外網(wǎng)攻擊；應(yīng)用安全漏洞掃描技術(shù)主動(dòng)探測網(wǎng)絡(luò)安全漏洞，進(jìn)行定期網(wǎng)絡(luò)安全評估與安全加固；應(yīng)用網(wǎng)站實(shí)時(shí)監(jiān)控與恢復(fù)系統(tǒng)，實(shí)現(xiàn)網(wǎng)站安全可靠的運(yùn)行；應(yīng)用網(wǎng)絡(luò)安全緊急響應(yīng)體系，防范安全突發(fā)事件。1應(yīng)用防

2、病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系隨著Internet的不斷發(fā)展，信息技術(shù)已成為促進(jìn)經(jīng)濟(jì)發(fā)展、社會(huì)進(jìn)步的巨大推動(dòng)力。不管是存儲在工作站中、服務(wù)器里還是流通于Internet上的信息都已轉(zhuǎn)變成為一個(gè)關(guān)系事業(yè)成敗關(guān)鍵的策略點(diǎn)，這就使保證信息的安全變得格外重要。1）采用多層的病毒防衛(wèi)體系。網(wǎng)絡(luò)系統(tǒng)可能會(huì)受到來自于多方面的病毒威脅，為了免受病毒所造成的損失，建議采用多層的病毒防衛(wèi)體系。所謂的多層病毒防衛(wèi)體系，是指在每臺PC機(jī)上安裝單機(jī)版反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件，在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件。因?yàn)榉乐共《镜墓羰敲總€(gè)員工的責(zé)任，人人都要做到自己使用的臺式機(jī)上不受病毒的感染，從

3、而保證整個(gè)企業(yè)網(wǎng)不受病毒的感染?？紤]到病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式各異且途徑多種多樣，故相應(yīng)地在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實(shí)施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。具體而言，就是針對網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱 環(huán)節(jié)成為病毒入侵的缺口。2）選擇合適的防病毒產(chǎn)品考慮防病毒產(chǎn)品的性能如下：價(jià)格：產(chǎn)品功能全面，價(jià)格合理，提供Internet的全面防毒功能及提供對各郵件系統(tǒng)的支持。全面：監(jiān)控所有病毒入口： Internet、Email、光盤、軟盤、網(wǎng)絡(luò)等所有病毒入口并對宏病毒、特洛伊木馬、黑客程序或有

4、害軟件全面進(jìn)行實(shí)時(shí)監(jiān)控?？焖伲杭皶r(shí)更新病毒特征文件，全球每日達(dá)100種病毒，有快速的技術(shù)支持。強(qiáng)大：全面結(jié)合國內(nèi)外病毒樣本庫，查殺能力直達(dá)黑客程序及有害軟件；能夠查殺多種壓縮文件及多重壓縮文件。智能：無須手工干預(yù)的全自動(dòng)每日智能更新、升級，智能病毒掃描及啟發(fā)式掃描能自動(dòng)工作。兼容：支持各平臺：Win9x、Win3x、Dos、OS/2、NT Workstation、Windows 2000、Microsoft Proxy Server、Firewall、Lotus Notes/Domino Servers，全面支持、SMTP、POP3、NNTP及MS- Exchange、Outlook Expr

5、ess、Outlook郵件系統(tǒng)。緊密：與Windows 2000/XP緊密結(jié)合，深入操作系統(tǒng)內(nèi)核，對各種文件鼠標(biāo)操作方便。方便：完全解放網(wǎng)絡(luò)管理員，能通過網(wǎng)上任一臺工作站完成對整個(gè)網(wǎng)絡(luò)的軟件分發(fā)、安裝。靈活：可以選擇自動(dòng)、立即、計(jì)劃、Internet等多種掃描方式，可以選擇智能更新、升級或手動(dòng)下載升級文件或程序。經(jīng)濟(jì)：系統(tǒng)占用率低，對網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)實(shí)時(shí)流量沒有影響。2黑客防范網(wǎng)絡(luò)安全體系的構(gòu)建不但要依靠合理的安全策略和有效的管理，同樣要依靠好的安全產(chǎn)品。目前，市場上有許多網(wǎng)絡(luò)安全產(chǎn)品，在技術(shù)性能上和售后服務(wù)等多方面都要處于明顯的優(yōu)勢，有良好的性價(jià)比。防火墻與網(wǎng)絡(luò)入侵檢測系統(tǒng)能共同構(gòu)筑一個(gè)強(qiáng)大的

6、黑客防范解決方案。防火墻的強(qiáng)大訪問控制功能與抗攻擊功能的結(jié)合，共同構(gòu)筑網(wǎng)絡(luò)安全大門，保護(hù)網(wǎng)絡(luò)免受黑客、非法訪問的侵?jǐn)_，以及其他無孔不入的數(shù)據(jù)安全威脅。網(wǎng)絡(luò)入侵檢測系統(tǒng)則以其全面的入侵檢測手法規(guī)則庫和實(shí)時(shí)準(zhǔn)確的報(bào)警/阻斷功能，成為網(wǎng)絡(luò)安全的實(shí)時(shí)監(jiān)控衛(wèi)士，成為網(wǎng)絡(luò)管理人員最佳安全管理助手。1）應(yīng)用防火墻技術(shù)，控制訪問權(quán)限，實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理防火墻技術(shù)是近年發(fā)展起來的重要網(wǎng)絡(luò)安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊。在網(wǎng)絡(luò)出口處安裝防火墻后，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行了有效的隔離，所有來自外部網(wǎng)絡(luò)的訪問請求都要通過防火墻的檢查

7、，內(nèi)部網(wǎng)絡(luò)的安全有了很大的提高。選擇防火墻應(yīng)可以完成以下具體任務(wù)：通過源地址過濾，拒絕外部非法IP地址，有效的避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機(jī)的越權(quán)訪問；防火墻可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機(jī)可乘；同樣，防火墻可以制定訪問策略，只有被授權(quán)的外部主機(jī)可以訪問內(nèi)部網(wǎng)絡(luò)的有限IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源，與業(yè)務(wù)無關(guān)的操作將被拒絕；由于外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的所有訪問都要經(jīng)過防火墻，所以防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動(dòng)，并進(jìn)行詳細(xì)的記錄，通過分析可以得出可疑的攻擊行為；另外，由于安裝了防火墻后，網(wǎng)絡(luò)的

8、安全策略由防火墻集中管理，因此，黑客無法通過更改某一臺主機(jī)的安全策略來達(dá)到控制其他資源訪問權(quán)限的目的，而直接攻擊防火墻幾乎是不可能的。防火墻可以進(jìn)行地址轉(zhuǎn)換工作，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客攻擊失去目標(biāo)。2）應(yīng)用入侵檢測技術(shù)保護(hù)網(wǎng)絡(luò)與主機(jī)資源，防止內(nèi)外網(wǎng)攻擊應(yīng)用防火墻技術(shù)，經(jīng)過細(xì)致的系統(tǒng)配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠。因?yàn)椋海?）入侵者可能尋找到防火墻背后敞開的后門；（2）入侵者可能就在防火墻內(nèi)；（3）由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測能力。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是

9、提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測能力之所以重要是因?yàn)樗軌驅(qū)Ω秮碜詢?nèi)外網(wǎng)絡(luò)的攻擊，其次是因?yàn)樗軌蚩s短黑客入侵的時(shí)間。如在需要保護(hù)的主機(jī)網(wǎng)段上安裝了黑盾入侵檢測系統(tǒng)，可以實(shí)時(shí)監(jiān)視各種對主機(jī)的訪問請求，并及時(shí)將信息反饋給控制臺，這樣全網(wǎng)任何一臺主機(jī)受到攻擊時(shí)系統(tǒng)都可以及時(shí)發(fā)現(xiàn)。網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)具備如下特點(diǎn)：（1）可精確判斷入侵事件網(wǎng)絡(luò)入侵檢測系統(tǒng)具備黑客攻擊信息庫，其中存放著各種黑客攻擊行為的特征數(shù)據(jù)。每當(dāng)用戶在網(wǎng)絡(luò)上操作時(shí)，網(wǎng)絡(luò)入侵檢測系統(tǒng)就將用戶的操作與信息庫中的數(shù)據(jù)進(jìn)行匹配，一旦發(fā)現(xiàn)吻合，就認(rèn)為此項(xiàng)操作為黑客攻擊行為，阻斷并報(bào)

10、警。由于信息庫的內(nèi)容會(huì)不斷升級，因此可以保證新的黑客攻擊方法 也能被及時(shí)發(fā)現(xiàn)。（2）可判斷應(yīng)用層的入侵事件與防火墻不同，網(wǎng)絡(luò)入侵檢測系統(tǒng)是通過分析數(shù)據(jù)包的內(nèi)容來識別黑客入侵行為的。因此，網(wǎng)絡(luò)入侵檢測系統(tǒng)可以判斷出應(yīng)用層的入侵事件。這樣就極大的提高了判別黑客攻擊行為的準(zhǔn)確程度。（3）對入侵可以立即進(jìn)行反應(yīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)以進(jìn)程的方式運(yùn)行在監(jiān)控機(jī)上，為網(wǎng)絡(luò)系統(tǒng)提供實(shí)時(shí)的黑客攻擊偵測保護(hù)。一旦發(fā)現(xiàn)黑客攻擊行為，網(wǎng)絡(luò)入侵檢測系統(tǒng)可以立即做出相應(yīng)。響應(yīng)的方法有多種形式，其中包括：報(bào)警（如屏幕顯示報(bào)警、聲音報(bào)警）、必要時(shí)關(guān)閉服務(wù)直至切斷鏈路。與此同時(shí)，網(wǎng)絡(luò)入侵檢測系統(tǒng)會(huì)對攻擊的過程進(jìn)行詳細(xì)記錄，為以后的調(diào)

11、查取證工作提供線索。（4）全方位的監(jiān)控與保護(hù)防火墻只能隔離來自本網(wǎng)段以外的攻擊行為，而網(wǎng)絡(luò)入侵檢測系統(tǒng)監(jiān)控的是所有網(wǎng)絡(luò)的操作，因此它可以識別來自本網(wǎng)段內(nèi)、其他網(wǎng)段以及外部網(wǎng)絡(luò)的全部攻擊行為。這樣就有效的解決了來自防火墻后由于用戶誤操作或內(nèi)部人員惡意攻擊所帶來的安全威脅。（5）針對不同操作系統(tǒng)特點(diǎn)網(wǎng)絡(luò)上運(yùn)行著各種應(yīng)用程序，服務(wù)器的操作系統(tǒng)平臺也是多種多樣。網(wǎng)絡(luò)入侵檢測系統(tǒng)可根據(jù)系統(tǒng)平臺的不同而進(jìn)行有針對性的檢驗(yàn)，從而提高了工作效率及偵測的準(zhǔn)確性。網(wǎng)絡(luò)系統(tǒng)安裝了網(wǎng)絡(luò)入侵檢測系統(tǒng)后，有效的解決了來自網(wǎng)絡(luò)安全四個(gè)層面上的非法攻擊問題。它的使用既可以避免來自外部網(wǎng)絡(luò)的惡意攻擊，同時(shí)也可以加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安

12、全管理，保證主機(jī)資源不受來自內(nèi)部網(wǎng)絡(luò)的安全威脅，防范住了防火墻后面的安全漏洞。3應(yīng)用安全掃描技術(shù)主動(dòng)探測網(wǎng)絡(luò)安全漏洞，進(jìn)行網(wǎng)絡(luò)安全評估安全掃描技術(shù)是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置，在黑客攻擊前進(jìn)行防范。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。安全掃描工具源于黑客在入侵網(wǎng)絡(luò)系統(tǒng)時(shí)所采

13、用的工具，商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強(qiáng)大的支持。選擇“網(wǎng)絡(luò)安全分析評估系統(tǒng)”是一套用于網(wǎng)絡(luò)安全掃描的軟件工具。它提供了綜合的審計(jì)功能，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全漏洞，保證網(wǎng)絡(luò)安全的完整性，并能有效評估企業(yè)內(nèi)部網(wǎng)絡(luò)、服務(wù)器、防火墻、路由器中可被黑客利用的網(wǎng)絡(luò)薄弱環(huán)節(jié)。網(wǎng)絡(luò)安全分析評估系統(tǒng)，可產(chǎn)生豐富的報(bào)表：HTML、TEXT、QRP，簡單易用。它可以發(fā)現(xiàn)大眾化的安全漏洞和非大眾化的漏洞，不但可以利用系統(tǒng)預(yù)制的上千種方案進(jìn)行網(wǎng)絡(luò)探測，而且還允許用戶用自己定制的數(shù)據(jù)包檢測網(wǎng)絡(luò)。4應(yīng)用網(wǎng)站實(shí)時(shí)監(jiān)控與恢復(fù)系統(tǒng)，實(shí)現(xiàn)網(wǎng)站安全可靠的運(yùn)行Web服務(wù)系統(tǒng)是個(gè)讓外界了解您的窗口，它的正常運(yùn)行

14、將關(guān)系到您的形象。由于網(wǎng)站服務(wù)器系統(tǒng)在安全檢測中存在嚴(yán)重的安全漏洞，也是黑客入侵的極大目標(biāo)，故網(wǎng)站監(jiān)控與自動(dòng)恢復(fù)系統(tǒng)，保護(hù)網(wǎng)站服務(wù)器的安全。“網(wǎng)站監(jiān)控與自動(dòng)恢復(fù)系統(tǒng)”采用數(shù)字簽名算法，對備份文件進(jìn)行加密及排序處理，可同機(jī)監(jiān)控，也可異機(jī)監(jiān)控；并采用相互授權(quán)認(rèn)證措施，由服務(wù)器對連接上來的客戶端進(jìn)行身份驗(yàn)證，確定其訪問權(quán)限，然后再由客戶端對服務(wù)器進(jìn)行身份確認(rèn)，使得未經(jīng)授權(quán)的用戶無法登錄使用該系統(tǒng)；對Web靜態(tài)文件和重要的系統(tǒng)文件進(jìn)行雙機(jī)備份和監(jiān)控，即使web服務(wù)器癱瘓也能在數(shù)分鐘內(nèi)將之全面恢復(fù)；“網(wǎng)站監(jiān)控與恢復(fù)系統(tǒng)”對Web網(wǎng)站管理員是透明的，管理員可以通過ftp客戶端程序上載文件，而幾乎感覺不到監(jiān)

15、控系統(tǒng)的存在，ftp客戶端使遠(yuǎn)程用戶可以在不中斷實(shí)時(shí)監(jiān)控的情況下進(jìn)行安全的文件上傳，全面保障系統(tǒng)的安全和正常運(yùn)行。5應(yīng)用網(wǎng)絡(luò)安全緊急響應(yīng)體系，防范安全突發(fā)事件網(wǎng)絡(luò)安全作為一項(xiàng)動(dòng)態(tài)工程，意味著她的安全程度會(huì)隨著時(shí)間的變化而發(fā)生改變。在信息技術(shù)日新月異的今天，昔日固若金湯的網(wǎng)絡(luò)安全策略，總難免會(huì)隨著時(shí)間的推進(jìn)和環(huán)境的變化，而變得不堪一擊。因此，我們需要隨著時(shí)間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時(shí)組建網(wǎng)絡(luò)安全緊急響應(yīng)體系，專人負(fù)責(zé)，防范安全突發(fā)事件。緊急響應(yīng)的目標(biāo)（1）故障定位及排除目前依靠廣域網(wǎng)的響應(yīng)時(shí)間過長，而一般的網(wǎng)絡(luò)系統(tǒng)涉及到系統(tǒng)、設(shè)備、應(yīng)用等多個(gè)層面，因此如何將性能或故障等方面的問題準(zhǔn)確定位在涉及到（線路、設(shè)備、服務(wù)器、操