網(wǎng)絡(luò)安全整體項目解決方案

1、.專業(yè)整理.專業(yè)整理.學(xué)習(xí)幫手學(xué)習(xí)幫手企業(yè)網(wǎng)絡(luò)安全整體解決方案計算機(jī)網(wǎng)絡(luò)的安全概述一、概述計算機(jī)安全事業(yè)始于本世紀(jì)60年代。當(dāng)時，計算機(jī)系統(tǒng)的脆弱性已日益為 美國政府和私營的一些機(jī)構(gòu)所認(rèn)識。但是，由于當(dāng)時計算機(jī)的速度和性能較落 后，使用的范圍也不廣，再加上美國政府把它當(dāng)作敏感問題而施加控制，因 此，有關(guān)計算機(jī)安全的研究一直局限在比較小的范圍內(nèi)。進(jìn)入80年代后，計算機(jī)的性能得到了成百上千倍的提高，應(yīng)用的范圍也在 不斷擴(kuò)大，計算機(jī)已遍及世界各個角落。并且，人們利用通信網(wǎng)絡(luò)把孤立的單 機(jī)系統(tǒng)連接起來，相互通信和共享資源。但是，隨之而來并日益嚴(yán)峻的問題是 計算機(jī)信息的安全問題。人們在這方面所做的研究與

2、計算機(jī)性能和應(yīng)用的飛速 發(fā)展不相適應(yīng)，因此，它已成為未來信息技術(shù)中的主要問題之一。由于計算機(jī)信息有共享和易擴(kuò)散等特性，它在處理、存儲、傳輸和使用上有 著嚴(yán)重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡 改、冒充和破壞，還有可能受到計算機(jī)病毒的感染。國內(nèi)由于計算機(jī)及網(wǎng)絡(luò)的普及較低，加知黑客們的攻擊技術(shù)和手段都相應(yīng) 較為落后，因此，前幾年計算機(jī)安全問題暴露得不是太明顯，但隨著計算機(jī)的 飛速發(fā)展、普及、攻擊技術(shù)和手段的不斷提高，對我們本就十分脆弱的系統(tǒng)帶來了嚴(yán)重的威脅。據(jù)調(diào)查，國內(nèi)考慮并實施完整安全措施的機(jī)構(gòu)寥寥無幾，很 多機(jī)構(gòu)僅僅簡陋的用了 一點點安全策略或根本無任何安全防范。我

3、們不能總是 亡羊補(bǔ)牢。在計算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全問題中，常有的攻擊手段和方式有：利用系統(tǒng)管 理的漏洞直接進(jìn)入系統(tǒng)；利用操作系統(tǒng)和 應(yīng)用系統(tǒng)的漏 洞進(jìn)行攻擊；進(jìn)行網(wǎng)絡(luò) 竊聽，獲取用戶信息及更改網(wǎng)絡(luò)數(shù)據(jù)；偽造用戶身份、否認(rèn)自己的簽名；傳輸 釋放病毒和如Java/ActiveX控件來對系統(tǒng)進(jìn)行有效控制；IP欺騙；摧毀網(wǎng)絡(luò)節(jié) 點；消耗主機(jī)資源致使主機(jī)癱瘓和死機(jī)等等。二、計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問題由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運行多種網(wǎng)絡(luò)協(xié)議（TCP/IP、IPX/SPX、NETBEUA 等），而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊設(shè)計。因此，網(wǎng)絡(luò)系統(tǒng)可能存在的安 全威脅主要來自以下方面：操作系統(tǒng)的安全性：目前流行的許多操作系統(tǒng)均

4、存在網(wǎng)絡(luò)安全漏洞，如：UN IX服務(wù)器、NT服務(wù) 器及Win dows桌面PC等。來自內(nèi)部網(wǎng)用戶的安全威脅。缺乏有效的手段監(jiān)視和評估網(wǎng)絡(luò)系統(tǒng)的安全性。采用TC P/1 P協(xié)議族軟件，本身缺乏安全性。未能對來自外部的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意 Ja va/ A cti ve控件等進(jìn)行有效控制。應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較 少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失。防火墻的安全性，防火墻自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢驗。從網(wǎng)絡(luò)協(xié)議體系來看，網(wǎng)絡(luò)系統(tǒng)安全則可從物理層、鏈路層、網(wǎng)絡(luò)層、操作 系統(tǒng)、應(yīng)用平臺、應(yīng)用系統(tǒng)幾方面來分別討論。物理層信

5、息安全，主要防止物理通路的損壞、物理通路的竊聽、對物理通路 的攻擊如干擾等。鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路的數(shù)據(jù)不被竊聽。網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的用戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路 由正確，避免被攔截或監(jiān)聽。操作系統(tǒng)安全要求保證用戶 資料、操作系統(tǒng)訪問控制的安全，同時能夠?qū)?該操作系統(tǒng)上的應(yīng)用進(jìn)行審計。應(yīng)用平臺指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器、電子 郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺的系統(tǒng)非常復(fù)雜，通常采用多種技 術(shù)（如SSL等）來增強(qiáng)應(yīng)用平臺的安全性。應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的一為用戶服務(wù)，應(yīng)用系統(tǒng)的安全與系統(tǒng) 設(shè)計和實現(xiàn)關(guān)系密切。因此，對于網(wǎng)絡(luò)系統(tǒng)安

6、全問題需解決好如下問題：在中心的局域網(wǎng)中如何在網(wǎng)絡(luò)層實現(xiàn)安全性？如何控制遠(yuǎn)程用戶訪問的安 全性？在廣域網(wǎng)上的數(shù)據(jù)傳輸實現(xiàn)安全加密傳輸和用戶的認(rèn)證？在連接外部網(wǎng)絡(luò)時，如何保證系統(tǒng)的安全性？如何在整個網(wǎng)絡(luò)中防止病毒的入侵，包括In ter net、服務(wù)器、工作站和電子 郵件等各個部分？如何防止黑客的入侵？即使黑客入侵，如何降低系統(tǒng)的損失？系統(tǒng)軟件如何保證其系統(tǒng)安全？應(yīng)用系統(tǒng)如何保證其系統(tǒng)安全？如何保證電子郵件系統(tǒng)的安全性？如何主動的檢查和查找網(wǎng)絡(luò)系統(tǒng)的安全漏洞，并及時的防范和解決？如何評估系統(tǒng)的整體安全性？如何規(guī)劃整個網(wǎng)絡(luò)的安全系統(tǒng)方案？三、解決網(wǎng)絡(luò)安全問題的一些技術(shù)和方法劃分網(wǎng)段、局域網(wǎng)交換技術(shù)

7、和VLAN實現(xiàn)：劃分網(wǎng)段、局域網(wǎng)交換技術(shù)和VLAN實現(xiàn)主要解決局域網(wǎng)絡(luò)的安全問題。由于局域網(wǎng)是廣播型網(wǎng)絡(luò)，因此，若在廣播域中進(jìn)行監(jiān)聽，就可以對信息包 進(jìn)行分析，那么本廣播域的信息傳遞都會暴露無遺。劃分網(wǎng)段，其本質(zhì)就是限制廣播域，將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而 達(dá)到限制用戶非法訪問的目的。其方式可分為物理分段和邏輯分段兩種。物理 分段通常是將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分開網(wǎng)段，各網(wǎng)段相互間無法進(jìn)行 直接通訊；邏輯分段是指將整個系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。局域網(wǎng)交換和VLAN技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的 技術(shù)，從廣播網(wǎng)絡(luò)轉(zhuǎn)變?yōu)辄c到點的通訊，除非設(shè)置監(jiān)聽口，信息交換也不會存 在監(jiān)

8、聽和篡改等問題。加密技術(shù)、數(shù)字簽名和認(rèn)證、VPN技術(shù)：加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)路徑的安全性來實 現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，因 而這一類安全保障技術(shù)的基石是適用的數(shù)據(jù)加密技術(shù)極其在分布式系統(tǒng)中的應(yīng) 用。防火墻：防火墻通常是網(wǎng)絡(luò)互連中的第一道屏障。防火墻是近年發(fā)展起來的重要安 全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在 保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。如今的防火墻功能越來越強(qiáng) 大，從應(yīng)用上分為包過濾和代理服務(wù)器兩類；從實現(xiàn)上分為軟件防火墻和硬件 防火墻兩類，通過防火墻能解決如下問題：保護(hù)脆弱服務(wù)：

9、通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主 機(jī)的風(fēng)險。如，防火墻可以禁止NIS、NFS、TELNET服務(wù)通過，同時可以拒絕源 路由和ICMP重定向封包?？刂茖ο到y(tǒng)的訪問：防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)同時禁止 訪問某些主機(jī)。集中的安全管理：防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以 運用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)定安全策略。增強(qiáng)的保密性：使用防火墻可以阻止攻擊者攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Fi ng er、DNS等。 入侵檢測技術(shù)：利用防火墻技術(shù)，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò) 的安全

10、風(fēng)險。但是，僅僅利用防火墻，網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠：入侵者可尋找防 火墻背后可能敞開的后門、入侵者可能就在防火墻內(nèi)等等。入侵檢測系統(tǒng)是新型的網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取 相應(yīng)的防護(hù)手段，實時入侵檢測的能力重要點在于它能夠?qū)Ω秮碜詢?nèi)部的攻 擊，能夠阻止hacker的入侵。入侵檢測系統(tǒng)常分為基于主機(jī)和網(wǎng)絡(luò)兩類。網(wǎng)絡(luò)安全掃描技術(shù)：網(wǎng)絡(luò)安全掃描技術(shù)可對網(wǎng)絡(luò)系統(tǒng)的安全作預(yù)先的檢測，查找安全漏洞，提 供解決方案等。除上述技術(shù)和方法外，對于網(wǎng)絡(luò)系統(tǒng)還需解決好病毒、系統(tǒng)軟件、應(yīng)用軟件 方面的安全問題?？傊畬τ诰W(wǎng)絡(luò)系統(tǒng)的安全，需做好網(wǎng)絡(luò)系統(tǒng)的安全評估方案，綜合利用安 全掃描技術(shù)、防火墻、安全監(jiān)聽系統(tǒng)

11、、加密技術(shù)、防病毒軟件等來互相配合，加強(qiáng)管理，綜合提高網(wǎng)絡(luò)的安全性。企業(yè)網(wǎng)絡(luò)反病毒安全與管理方案1、強(qiáng)有力的服務(wù)與研究支持N AI的V ERT (防病毒快速反應(yīng)小組)擁有分布在六大洲的近百名病毒研究人 員，為用戶提供全天候?qū)I(yè)服務(wù)與支持。當(dāng)新病毒出現(xiàn)時，Web上每小時(敏 感期每1 0分鐘)都會更新該病毒特征文件，讓用戶及時將其清除。2、市場領(lǐng)導(dǎo)者TVD是世界上應(yīng)用最廣泛的防病毒和安全軟件，全球3千萬用戶，包括在財 富前100名80 %的公司，比其他所有解決方案的用戶還多。3、完善的企業(yè)級管理能力中央控制臺集中配置與管理模式，使您的企業(yè)更加高效，更易管理。4、獨特的病毒更新技術(shù)當(dāng)更新信息從實驗

12、室發(fā)布時，NAI驚人的企業(yè) 推送”(Secu reCast)技術(shù)立 即將其送達(dá)系統(tǒng)管理員。通過自動更新(AutoUpdate)，桌面PC和服務(wù)器按計 劃從指定的中央服務(wù)器上提取更新信息使自己保持為更新狀態(tài)。管理員也可使 用中央控制臺”(Net Tools Con sole )將軟件升級版和更新信息迅速傳遞到企 業(yè)內(nèi)部的所有客戶機(jī)及服務(wù)器。5、M cAfee TVD系列產(chǎn)品結(jié)構(gòu)及功能描述桌面保護(hù)產(chǎn)品：VirusSca n Se c u ri ty Suite (VSS)簡述在防病毒策略的注意力大部分集中在保護(hù)服務(wù)器和網(wǎng)關(guān)上的同時，NAI注意 到5 0 %的病毒仍是通過軟盤進(jìn)入企業(yè)網(wǎng)絡(luò)的。V i

13、ru sSca n Security Suite (VSS) 為所有的桌面計算機(jī)提供所能獲得的、最為全面的跨平臺病毒保護(hù)。VSS還集 成了一些功能強(qiáng)大的輔助技術(shù)，可以自動地保護(hù)系統(tǒng)免于崩潰和數(shù)據(jù)的意外丟 失。組成VSS套件由以下產(chǎn)品構(gòu)成：V i r u sSca nVirusScan是全球桌面病毒保護(hù)領(lǐng)域內(nèi)的領(lǐng)先產(chǎn)品，可以殺滅超過1 5 , 0 0 0 種的病毒。支持 DOS、 Win do ws3. x、 Win dows95/98、 Win do ws NT、 M aci ntosh OS/2。其主要功能為：掃描所有子系統(tǒng)區(qū)域（包括軟盤、引導(dǎo)區(qū)、文件分配表和區(qū)分表、文件夾、文 件和壓縮文件

14、）以提供廣泛的安全保護(hù)。精確清除文件、文件引導(dǎo)區(qū)、分區(qū)表和內(nèi)存中的病毒。實時掃描技術(shù)可在磁盤訪問、文件復(fù)制、文件創(chuàng)建、文件重命名、程序執(zhí)行、 系統(tǒng)啟動和關(guān)閉時捕獲病毒。按需掃描可由用戶自主選擇，掃描位于文件、驅(qū)動器和軟盤內(nèi)的已知病毒。Web ScanXWeb Sca nX的目的在于保護(hù)惡意Java和Act iveX小程序?qū)W(wǎng)絡(luò)用戶的損害， 除了檢測和阻止毒通過In te r n et下載的途徑傳播之外，We b Sca nX還有以下功 能：阻止黑客利用Java、ActiveX小程序攻擊、損壞和竊取用戶的系統(tǒng)或資源。 檢測和防止通過電子郵件貼件發(fā)送給用戶的病毒（檢測率達(dá)到100 % ）,包括檢

15、測Word和Excel中的宏病毒。根據(jù)用戶需求，拒絕某些特定Web站點的訪問。Web Sca n X可以和目前最流行的瀏覽器如N e t sca p e 3. x、4. x ; IE3. x、4. x兼容， 具有友好的用戶圖形界面和自動更新病毒樣本文件的功能。PC Medic通過防止操作系統(tǒng)和應(yīng)用程序崩潰使用戶免于浪費寶貴的時間和丟失珍貴的數(shù)據(jù)，防止用戶級的崩潰，可以使員工保持更高的效率并減少不必要的電話 咨詢求助次數(shù)。I nter net Security Suite (ISS) 網(wǎng)關(guān)保 護(hù)套件概述據(jù)國際計算機(jī)安全委員會(ICSA)統(tǒng)計，去年企業(yè)用戶感染的病毒中，有超 過2 0 %的病毒與從

16、I n t e r n e t上下載文件有關(guān)。此外還有26 %的病毒是通過電子 郵件附件進(jìn)入企業(yè)網(wǎng)絡(luò)的。I n ter n et大大加快了病毒在世界范圍內(nèi)的傳播速度 并使很多公司陷于癱瘓。組成I n t e r n e t Security Suite 在I n t e r net 網(wǎng)關(guān)上對任何一個可能 的病毒進(jìn)入點 提供全面的病毒保護(hù)。它主要由以下產(chǎn)品組成：WebShield SMTP該產(chǎn)品掃描所有入站和出站的電子郵件?；贘ava的控制臺，可從任一 NT 服務(wù)器或工作站上執(zhí)行全部操作。Web Sca n X惡意的Ja va和 Act iveX程序可以迅速的影響到很多用戶，造成用戶硬盤格 式化或盜取Web站點上的數(shù)據(jù)，而編寫惡意程序的人卻不需要太高超的技巧。 Web Sca n X的出現(xiàn)，彌補(bǔ)了這一漏洞，它提供了對客戶端的電子郵件、Java和 Act i veX的全面保護(hù)。致謝這次的大作業(yè)已經(jīng)快要結(jié)束了,想想設(shè)計過程中出現(xiàn)的問題，同學(xué)老師給予自己的幫助，都覺的這次的大作業(yè)已經(jīng)快要結(jié)束了很開心，再大的困難也難不倒我。這使我有了一個很大的進(jìn)步。在此，我表示由衷的感謝，沒有他很開心，再大的困難也難不倒我。這使我有了一個很大的進(jìn)步。在此，我表示由衷的感謝，沒