网络安全整体解决方案分析

addison_lin

网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保您信息网络的安全性。
　　为了加深您对网络安全的了解，福建省海峡信息技术有限公司特精心整理此份《网络安全整体解决方案（范例）》，供您参考。希望我们的一片真心能为您提供更多的帮助。
　　我们所提出的此份《网络安全整体解决方案》将重点针对一些普遍性问题和所应采用的相应安全技术及相关产品作简要介绍，主要内容包括：
★应用防病毒技术，建立全面的网络防病毒体系；
★应用防火墙技术，控制访问权限，实现网络安全集中管理；
★应用入侵检测技术保护主机资源，防止内外网攻击；
★应用安全漏洞扫描技术主动探测网络安全漏洞，进行定期网络安全评估与安全加固；
★应用网站实时监控与恢复系统，实现网站安全可靠的运行；
★应用网络安全紧急响应体系，防范安全突发事件。
防病毒方面：应用防病毒技术，建立全面的网络防病毒体系
　　随着Internet的不断发展，信息技术已成为促进经济发展、社会进步的巨大推动力：当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点，这就使保证信息的安全变得格外重要。而2001年却是不平凡的一年，是计算机病毒疯狂肆虐的一年，红色代码病毒、尼姆达病毒、求职病毒触动了信息网络脆弱的安全神经，更使部分信息网络用户一度陷入通讯瘫痪的尴尬局面……
　　基于以上情况，我们认为系统可能会受到来自于多方面的病毒威胁，为了免受病毒所造成的损失，建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系，是指在每台PC机上安装单机版反病毒软件，在服务器上安装基于服务器的反病毒软件，在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，而保证整个企业网不受病毒的感染。
　　考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样，故相应地在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。
　　 熊猫卫士是Panda软件公司在中国推出的本土化产品，包括单机及网络版本，该版本融合了本土的关键技术及大量的本土病毒特征代码，是一个结合最新技术的完全本土化的革命性的强大产品，该产品的主要优势及性能如下：
1、更优化：付一个平台的价格，免费赠送其他平台产品，提供Internet的全面防毒功能及提供对各邮件系统的支持；
2、更全面：监控所有病毒入口： Internet、Email、光盘、软盘、网络等所有病毒入口并对宏病毒、特洛伊木马、黑客程序或有害软件全面进行实时监控；
3、更快速：每日更新病毒特征文件，全球每日达100种病毒；
　　　　　 全球24小时技术支持、国内12小时技术支持；
　　　　　 任何新病毒全球24小时，国内36小时绞杀；
4、更强大：全面结合国内外病毒样本库，查杀能力直达黑客程序及有害软件；
　　　　　 查杀10种以上压缩文件，及多重压缩文件；
　　　　　 在单机版本中无缝结合Internet的防病毒能力；
4、更智能：无须手工干预的全自动每日智能更新、升级；
　　　　　 预置的智能病毒扫描及启发式扫描能自动工作；
6、更全面：全面支持各平台：Win9x、Win3x、Dos、OS/2、NT Workstation、Windows 2000、Microsoft Proxy Server、Firewall、Lotus Notes/Domino Servers，是目前唯一在Winsock层上查杀病毒的反病毒软件，全面支持FTP、HTTP、SMTP、POP3、NNTP及MS-Exchange、Outlook Express、Outlook邮件系统；
7、更紧密：与Windows 98/2000/Me完全集成，深入操作系统内核， 对各种文件只需点击鼠标右键即可扫描；
8、更方便：完全解放网络管理员，首度采用ZAS（Zero Administration Security）技术，能通过网上任一台工作站在几分钟内完成对整个网络的软件分发、安装；
9、更灵活：可以选择自动、立即、计划、Internet等多种扫描方式；
　　　　　 可以选择智能更新、升级或手动下载升级文件或程序；
10、更经济：最低的系统占用率：内存及硬盘占用率是同类产品中最低的，对网络系统的数据实时流量几乎没有任何影响。
防黑客方面：
　　 网络安全体系的构建不但要依靠合理的安全策略和有效的管理，同样要依靠好的安全产品。目前，市场上有许多网络安全产品，相比之下，福建省海峡信息技术有限公司自主研发的“黑盾”网络安全系列产品，无论在技术性能上，还是在售后服务等多方面都处于明显的优势，其良好的性价比更是被用户所称道。
　　 “黑盾”防火墙与“黑盾”网络入侵检测系统能共同构筑一个强大的黑客防范解决方案，它能够满足各种规模企业的需求，确保您的网络更安全。“黑盾”防火墙的强大访问控制功能与抗攻击功能的结合，共同构筑网络安全大门，保护您的网络免受黑客、非法访问的侵扰，以及其他无孔不入的数据安全威胁。“黑盾”网络入侵检测系统则以其全面的入侵检测手法规则库和实时准确的报警/阻断功能，成为网络安全的实时监控卫士，成为网络管理人员最佳安全管理助手。
　　　　　　

应用防火墙技术，控制访问权限，实现网络安全集中管理
　　 防火墙技术是近年发展起来的重要网络安全技术，其主要作用是在网络入口处检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯。
　　 在网络出口处安装防火墙后，内部网络与外部网络进行了有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全有了很大的提高。防火墙可以完成以下具体任务：
　　 －通过源地址过滤，拒绝外部非法IP地址，有效的避免了外部网络上与业务无关的主机的越权访问；
　　 －防火墙可以只保留有用的服务，将其他不需要的服务关闭，这样做可以将系统受攻击的可能性降低到最小限度，使黑客无机可乘；
　　 －同样，防火墙可以制定访问策略，只有被授权的外部主机可以访问内部网络的有限IP地址，保证外部网络只能访问内部网络中的必要资源，与业务无关的操作将被拒绝；
　　 －由于外部网络对内部网络的所有访问都要经过防火墙，所以防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细的记录，通过分析可以得出可疑的攻击行为；
　　 －另外，由于安装了防火墙后，网络的安全策略由防火墙集中管理，因此，黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的，而直接攻击防火墙几乎是不可能的。
　　 －防火墙可以进行地址转换工作，使外部网络用户不能看到内部网络的结构，使黑客攻击失去目标。

应用入侵检测技术保护网络与主机资源，防止内外网攻击
　　 应用防火墙技术，经过细致的系统配置，通常能够在内外网之间提供安全的网络保护，降低网络的安全风险。但是，仅仅使用防火墙、网络安全还远远不够。因为：
（1）入侵者可能寻找到防火墙背后敞开的后门；
（2）入侵者可能就在防火墙内；
（3）由于性能的限制，防火墙通常不能提供实时的入侵检测能力。
　　 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击，其次是因为它能够缩短黑客入侵的时间。
　　 鉴于以上的考虑，福建省海峡信息技术有限公司研制了入侵检测经典产品-《“黑盾”网络入侵检测系统》作为网络入侵检测工具。
　　 如在需要保护的主机网段上安装了黑盾入侵检测系统，可以实时监视各种对主机的访问请求，并及时将信息反馈给控制台，这样全网任何一台主机受到攻击时系统都可以及时发现。
　　 ‘“黑盾”网络入侵检测系统’具备如下特点：
　　 （1）可精确判断入侵事件
　　 ‘“黑盾” 网络入侵检测系统’有一个完整的黑客攻击信息库，其中存放着各种黑客攻击行为的特征数据。每当用户在网络上操作时，‘“黑盾”网络入侵检测系统’就将用户的操作与信息库中的数据进行匹配，一旦发现吻合，就认为此项操作为黑客攻击行为，阻断并报警。由于信息库的内容会不断升级，因此可以保证新的黑客攻击方法也能被及时发现。
　　 （2）可判断应用层的入侵事件
与防火墙不同，‘“黑盾”网络入侵检测系统’是通过分析数据包的内容来识别黑客入侵行为的。因此，‘“黑盾”网络入侵检测系统’可以判断出应用层的入侵事件。这样就极大的提高了判别黑客攻击行为的准确程度。
　　 （3）对入侵可以立即进行反应
　　 ‘“黑盾” 网络入侵检测系统’以进程的方式运行在监控机上，为网络系统提供实时的黑客攻击侦测保护。一旦发现黑客攻击行为，‘“黑盾”网络入侵检测系统’可以立即做出相应。响应的方法有多种形式，其中包括：报警（如屏幕显示报警、声音报警）、必要时关闭服务直至切断链路。与此同时，‘“黑盾”网络入侵检测系统’会对攻击的过程进行详细记录，为以后的调查取证工作提供线索。
　　 （4）全方位的监控与保护
　　 防火墙只能隔离来自本网段以外的攻击行为，而‘“黑盾”网络入侵检测系统’监控的是所有网络的操作，因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为。这样就有效的解决了来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全威胁。
　　 （5）针对不同操作系统特点
网络上运行着各种应用程序，服务器的操作系统平台也是多种多样。‘“黑盾”网络入侵检测系统’可根据系统平台的不同而进行有针对性的检验，从而提高了工作效率及侦测的准确性。
　　 网络系统安装了‘“黑盾”网络入侵检测系统’后，有效的解决了来自网络安全四个层面上的非法攻击问题。它的使用既可以避免来自外部网络的恶意攻击，同时也可以加强内部网络的安全管理，保证主机资源不受来自内部网络的安全威胁，防范住了防火墙后面的安全漏洞。

应用安全扫描技术主动探测网络安全漏洞，进行网络安全评估与安全加固
　　 安全扫描技术是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。
　　 通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。
　　 安全扫描工具源于黑客在入侵网络系统时所采用的工具，商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
　　 ‘“火眼”网络安全分析评估系统’是一套由中科网威公司一群富有实际经验的安全专家开发的用于网络安全扫描的软件工具。它提供了综合的审计功能，能够及时发现网络环境中的安全漏洞，保证网络安全的完整性，并能有效评估企业内部网络、服务器、防火墙、路由器中可被黑客利用的网络薄弱环节。
　　 ‘“火眼”网络安全分析评估系统’可产生丰富的报表：HTML、TEXT、QRP，做到了100%的简单易用。它可以发现大众化的安全漏洞和非大众化的漏洞，不但可以利用系统预制的上千种方案进行网络探测，而且还允许用户用自己定制的数据包检测网络，使用非常灵活。‘“火眼”网络安全分析评估系统’可以Spoofing和攻击模拟，并可被用来检查各种混合配置。

应用网站实时监控与恢复系统，实现网站安全可靠的运行；
　　Web服务系统是个让外界了解您的窗口，它的正常运行将关系到您的形象。由于网站服务器系统在安全检测中存在严重的安全漏洞，也是黑客入侵的极大目标，故我们推荐使用“磐石”网站监控与自动恢复系统，保护您网站服务器的安全。
　　“磐石”网站监控与自动恢复系统’采用几乎无法伪造的数字签名算法（MD5），对备份文件进行加密及排序处理，可同机监控，也可异机监控；并采用相互授权认证措施，由服务器对连接上来的客户端进行身份验证，确定其访问权限，然后再由客户端对服务器进行身份确认，使得未经授权的用户无法登录使用该系统；对Web静态文件和重要的系统文件进行双机备份和监控，即使web服务器瘫痪也能在数分钟内将之全面恢复；‘“磐石” 网站监控与恢复系统’对Web网站管理员是透明的，管理员可以通过ftp客户端程序上载文件，而几乎感觉不到监控系统的存在，ftp客户端使远程用户可以在不中断实时监控的情况下进行安全的文件上传，全面保障系统的安全和正常运行。

应用网络安全紧急响应体系，防范安全突发事件
　　网络安全作为一项动态工程，意味着她的安全程度会随着时间的变化而发生改变。在信息技术日新月异的今天，昔日固若金汤的网络安全策略，总难免会随着时间的推进和环境的变化，而变得不堪一击。因此，我们需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略，并及时组建网络安全紧急响应体系，专人负责，防范安全突发事件。

紧急响应的目标
（1）故障定位及排除
　　目前依靠广域网的响应时间过长，而一般的网络系统涉及到系统、设备、应用等多个层面，因此如何将性能或故障等方面的问题准确定位在涉及到（线路、设备、服务器、操作系统、电子邮件）的具体位置，是本响应体系提供的基本功能。
（2）预防问题
　　通过在广域网上对网络设备和网络流量的实施监控和分析，预防问题的发生，在系统出现性能抖动时，就能及时发现，并建议系统管理员采用及时的处理。
（3）优化性能
　　通过对线路和其他系统进行透视化管理，利用管理系统提供的专家功能对系统的性能进行优化。
（4）提供整体网络运行的健康以及趋势分析。
　　对网络系统整体的运行情况作出长期的健康和趋势报告，分析系统的使用情况，对新系统的规划作出精确的基础。