網(wǎng)絡安全解決方案報告書

1、網(wǎng)絡平安解決方案網(wǎng)絡平安是一項動態(tài)的、整體的系統(tǒng)工程，從技術上來說，網(wǎng)絡平安由平安 的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通 信加密、災難恢復、平安掃描等多個平安組件組成，一個單獨的組件是無法確保 信息網(wǎng)絡的平安性。此處重點針對一些普遍性問題和所應采用的相應平安技術，主要包括：建立全面的網(wǎng)絡防病毒體系；防火墻技術，控制訪問權限，實現(xiàn)網(wǎng)絡平安集中管理； 應用入侵檢測技術保護主機資源，防止外網(wǎng)攻擊；應用平安漏洞掃描技術主動探 測網(wǎng)絡平安漏洞，進展定期網(wǎng)絡平安評估與平安加固；應用實時監(jiān)控與恢復系統(tǒng)， 實現(xiàn)平安可靠的運行；應用網(wǎng)絡平安緊急響應體系，防平安突發(fā)事件。1 應用

2、防病毒技術，建立全面的網(wǎng)絡防病毒體系隨著In ternet的不斷開展，信息技術已成為促進經(jīng)濟開展、社會進步的巨大 推動力。不管是存儲在工作站中、效勞器里還是流通于In ternet上的信息都已轉變成為一個關系事業(yè)成敗關鍵的策略點，這就使保證信息的平安變得格外重要。1采用多層的病毒防衛(wèi)體系。網(wǎng)絡系統(tǒng)可能會受到來自于多方面的病毒威脅，為了免受病毒所造成的損 失，建議采用多層的病毒防衛(wèi)體系。所謂的多層病毒防衛(wèi)體系，是指在每臺PC機上安裝單機版反病毒軟件，在效勞器上安裝基于效勞器的反病毒軟件， 在網(wǎng)關 上安裝基于網(wǎng)關的反病毒軟件。因為防止病毒的攻擊是每個員工的責任， 人人都 要做到自己使用的臺式機上不

3、受病毒的感染， 從而保證整個企業(yè)網(wǎng)不受病毒的感 染?？紤]到病毒在網(wǎng)絡中存儲、傳播、感染的方式各異且途徑多種多樣，故相應 地在構建網(wǎng)絡防病毒系統(tǒng)時，應利用全方位的企業(yè)防毒產(chǎn)品，實施"層層設防、集中控制、以防為主、防殺結合"的策略。具體而言，就是針對網(wǎng)絡中所有可能 的病毒攻擊設置對應的防毒軟件， 通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡 沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。2選擇適宜的防病毒產(chǎn)品考慮防病毒產(chǎn)品的性能如下：價格：產(chǎn)品功能全面，價格合理，提供In ternet的全面防毒功能及提供對各系統(tǒng)的支持全面：監(jiān)控所有病毒入口：In ternet、Email、光盤、軟盤、網(wǎng)絡等所有

4、病毒入口并對宏病毒、特洛伊木馬、黑客程序或有害軟件全面進展實時監(jiān)控?？焖伲杭皶r更新病毒特征文件，全球每日達100種病毒，有快速的技術支持。強大：全面結合國外病毒樣本庫，查殺能力直達黑客程序及有害軟件；能夠查殺多種壓縮文件及多重壓縮文件。智能：無須手工干預的全自動每日智能更新、升級，智能病毒掃描及啟發(fā)式掃描能自開工作。兼容：支持各平臺： Win9x、Win3x、Dos、OS/2 NT Workstation、Windows 2000、Microsoft Proxy Server、Firewall、Lotus Notes/Domino Servers,全面支持 FTR HTTP SMTP POP3

5、 NNTP及 MS- Exchange Outlook Express Outlook 系 統(tǒng)。嚴密：與Windows 2000/XP嚴密結合，深入操作系統(tǒng)核，對各種文件鼠標操 作方便。方便：完全解放網(wǎng)絡管理員，能通過網(wǎng)上任一臺工作站完成對整個網(wǎng)絡的軟 件分發(fā)、安裝。靈活：可以選擇自動、立即、方案、In ternet等多種掃描方式，可以選擇智 能更新、升級或手動下載升級文件或程序。經(jīng)濟：系統(tǒng)占用率低，對網(wǎng)絡系統(tǒng)的數(shù)據(jù)實時流量沒有影響。2 黑客防網(wǎng)絡平安體系的構建不但要依靠合理的平安策略和有效的管理， 同樣要依靠 好的平安產(chǎn)品。目前，市場上有許多網(wǎng)絡平安產(chǎn)品，在技術性能上和售后效勞等 多方面都要

6、處于明顯的優(yōu)勢，有良好的性價比。防火墻與網(wǎng)絡入侵檢測系統(tǒng)能共同構筑一個強大的黑客防解決方案。 防火墻 的強大訪問控制功能與抗攻擊功能的結合， 共同構筑網(wǎng)絡平安大門，保護網(wǎng)絡免 受黑客、非法訪問的侵擾，以及其他無孔不入的數(shù)據(jù)平安威脅。 網(wǎng)絡入侵檢測系 統(tǒng)那么以其全面的入侵檢測手法規(guī)那么庫和實時準確的報警 /阻斷功能，成為網(wǎng) 絡平安的實時監(jiān)控衛(wèi)士，成為網(wǎng)絡管理人員最正確平安管理助手。1應用防火墻技術，控制訪問權限，實現(xiàn)網(wǎng)絡平安集中管理防火墻技術是近年開展起來的重要網(wǎng)絡平安技術， 其主要作用是在網(wǎng)絡入口 處檢查網(wǎng)絡通訊，根據(jù)客戶設定的平安規(guī)那么，在保護部網(wǎng)絡平安的前提下，保 障外網(wǎng)絡通訊。在網(wǎng)絡出口

7、處安裝防火墻后，部網(wǎng)絡與外部網(wǎng)絡進展了有效的隔離， 所有來 自外部網(wǎng)絡的訪問請求都要通過防火墻的檢查，部網(wǎng)絡的平安有了很大的提高。選擇防火墻應可以完成以下具體任務：通過源地址過濾，拒絕外部非法IP地址，有效的防止了外部網(wǎng)絡上與業(yè)務 無關的主機的越權訪問；防火墻可以只保存有用的效勞，將其他不需要的效勞關閉，這樣做可以將系 統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機可乘；同樣，防火墻可以制定訪問策略，只有被授權的外部主機可以訪問部網(wǎng)絡的 有限IP地址，保證外部網(wǎng)絡只能訪問部網(wǎng)絡中的必要資源，與業(yè)務無關的操作 將被拒絕；由于外部網(wǎng)絡對部網(wǎng)絡的所有訪問都要經(jīng)過防火墻， 所以防火墻可以全面監(jiān) 視外部網(wǎng)絡

8、對部網(wǎng)絡的訪問活動，并進展詳細的記錄，通過分析可以得出可疑的 攻擊行為；另外，由于安裝了防火墻后，網(wǎng)絡的平安策略由防火墻集中管理，因此，黑 客無法通過更改某一臺主機的平安策略來到達控制其他資源訪問權限的目的，而直接攻擊防火墻幾乎是不可能的。防火墻可以進展地址轉換工作，使外部網(wǎng)絡用戶不能看到部網(wǎng)絡的構造， 使 黑客攻擊失去目標。2應用入侵檢測技術保護網(wǎng)絡與主機資源，防止外網(wǎng)攻擊應用防火墻技術，經(jīng)過細致的系統(tǒng)配置，通常能夠在外網(wǎng)之間提供平安的網(wǎng) 絡保護，降低網(wǎng)絡的平安風險。但是，僅僅使用防火墻、網(wǎng)絡平安還遠遠不夠。 因為：1入侵者可能尋找到防火墻背后敞開的后門；2入侵者可能就在防火墻；3由于性能的

9、限制，防火墻通常不能提供實時的入侵檢測能力。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡平安技術，目的是提供實時的入侵檢測 及采取相應的防護手段，如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡連接等。實時入 侵檢測能力之所以重要是因為它能夠對付來自外網(wǎng)絡的攻擊， 其次是因為它能夠 縮短黑客入侵的時間。如在需要保護的主機網(wǎng)段上安裝了黑盾入侵檢測系統(tǒng)，可以實時監(jiān)視各種對 主機的訪問請求，并及時將信息反響給控制臺，這樣全網(wǎng)任何一臺主機受到攻擊 時系統(tǒng)都可以及時發(fā)現(xiàn)。網(wǎng)絡入侵檢測系統(tǒng)應具備如下特點：1可準確判斷入侵事件網(wǎng)絡入侵檢測系統(tǒng)具備黑客攻擊信息庫，其中存放著各種黑客攻擊行為的特 征數(shù)據(jù)。每當用戶在網(wǎng)絡上操作時，網(wǎng)絡入侵

10、檢測系統(tǒng)就將用戶的操作與信息庫 中的數(shù)據(jù)進展匹配，一旦發(fā)現(xiàn)吻合，就認為此項操作為黑客攻擊行為， 阻斷并報 警。由于信息庫的容會不斷升級，因此可以保證新的黑客攻擊方法也能被及時發(fā)現(xiàn)。2可判斷應用層的入侵事件與防火墻不同，網(wǎng)絡入侵檢測系統(tǒng)是通過分析數(shù)據(jù)包的容來識別黑客入侵行 為的。因此，網(wǎng)絡入侵檢測系統(tǒng)可以判斷出應用層的入侵事件。 這樣就極大的提 高了判別黑客攻擊行為的準確程度。3對入侵可以立即進展反響網(wǎng)絡入侵檢測系統(tǒng)以進程的方式運行在監(jiān)控機上， 為網(wǎng)絡系統(tǒng)提供實時的黑 客攻擊偵測保護。一旦發(fā)現(xiàn)黑客攻擊行為，網(wǎng)絡入侵檢測系統(tǒng)可以立即做出相應。 響應的方法有多種形式，其中包括：報警如屏幕顯示報警、聲

11、音報警、必要時關閉效勞直至切斷鏈路。與此同時，網(wǎng)絡入侵檢測系統(tǒng)會對攻擊的過程進展詳 細記錄，為以后的調查取證工作提供線索。4全方位的監(jiān)控與保護防火墻只能隔離來自本網(wǎng)段以外的攻擊行為， 而網(wǎng)絡入侵檢測系統(tǒng)監(jiān)控的是 所有網(wǎng)絡的操作，因此它可以識別來自本網(wǎng)段、其他網(wǎng)段以及外部網(wǎng)絡的全部攻 擊行為。這樣就有效的解決了來自防火墻后由于用戶誤操作或部人員惡意攻擊所 帶來的平安威脅。5針對不同操作系統(tǒng)特點網(wǎng)絡上運行著各種應用程序，效勞器的操作系統(tǒng)平臺也是多種多樣。 網(wǎng)絡入 侵檢測系統(tǒng)可根據(jù)系統(tǒng)平臺的不同而進展有針對性的檢驗，從而提高了工作效率 及偵測的準確性。網(wǎng)絡系統(tǒng)安裝了網(wǎng)絡入侵檢測系統(tǒng)后，有效的解決了來

12、自網(wǎng)絡平安四個層面 上的非法攻擊問題。它的使用既可以防止來自外部網(wǎng)絡的惡意攻擊，同時也可以加強部網(wǎng)絡的平安管理，保證主機資源不受來自部網(wǎng)絡的平安威脅， 防住了防火 墻后面的平安漏洞。3 應用平安掃描技術主動探測網(wǎng)絡平安漏洞，進展網(wǎng)絡平安評估平安掃描技術是又一類重要的網(wǎng)絡平安技術。平安掃描技術與防火墻、入侵 檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡的平安性。通過對網(wǎng)絡的掃描，網(wǎng)絡管理員可以了解網(wǎng)絡的平安配置和運行的應用效 勞，及時發(fā)現(xiàn)平安漏洞，客觀評估網(wǎng)絡風險等級。網(wǎng)絡管理員可以根據(jù)掃描的結 果更正網(wǎng)絡平安漏洞和系統(tǒng)中的錯誤配置， 在黑客攻擊前進展防。如果說防火墻 和網(wǎng)絡監(jiān)控系統(tǒng)是被動的防御手段， 那

13、么平安掃描就是一種主動的防措施， 可以 有效防止黑客攻擊行為，做到防患于未然。平安掃描工具源于黑客在入侵網(wǎng)絡系統(tǒng)時所采用的工具，商品化的平安掃描 工具為網(wǎng)絡平安漏洞的發(fā)現(xiàn)提供了強大的支持。選擇“網(wǎng)絡平安分析評估系統(tǒng)是一套用于網(wǎng)絡平安掃描的軟件工具。它提供了綜合的審計功能，能夠及時發(fā)現(xiàn)網(wǎng)絡環(huán)境中的平安漏洞， 保證網(wǎng)絡平安的完 整性，并能有效評估企業(yè)部網(wǎng)絡、效勞器、防火墻、路由器中可被黑客利用的網(wǎng) 絡薄弱環(huán)節(jié)。網(wǎng)絡平安分析評估系統(tǒng)，可產(chǎn)生豐富的報表：HTML、TEXT QRP,簡單易用。 它可以發(fā)現(xiàn)群眾化的平安漏洞和非群眾化的漏洞， 不但可以利用系統(tǒng)預制的上千 種方案進展網(wǎng)絡探測，而且還允許用戶用

14、自己定制的數(shù)據(jù)包檢測網(wǎng)絡。4 應用實時監(jiān)控與恢復系統(tǒng)，實現(xiàn)平安可靠的運行Web效勞系統(tǒng)是個讓外界了解您的窗口，它的正常運行將關系到您的形象。 由于效勞器系統(tǒng)在平安檢測中存在嚴重的平安漏洞，也是黑客入侵的極大目標， 故監(jiān)控與自動恢復系統(tǒng)，保護效勞器的平安?！氨O(jiān)控與自動恢復系統(tǒng)采用數(shù)字簽名算法， 對備份文件進展加密及排序處 理，可同機監(jiān)控，也可異機監(jiān)控；并采用相互授權認證措施，由效勞器對連接上 來的客戶端進展身份驗證，確定其訪問權限，然后再由客戶端對效勞器進展身份 確認，使得未經(jīng)授權的用戶無法登錄使用該系統(tǒng)；對 Web靜態(tài)文件和重要的系 統(tǒng)文件進展雙機備份和監(jiān)控，即使web效勞器癱瘓也能在數(shù)分鐘將

15、之全面恢復； “監(jiān)控與恢復系統(tǒng)對 Web管理員是透明的，管理員可以通過ftp客戶端程序上 載文件，而幾乎感覺不到監(jiān)控系統(tǒng)的存在，ftp客戶端使遠程用戶可以在不中斷 實時監(jiān)控的情況下進展平安的文件上傳，全面保障系統(tǒng)的平安和正常運行。5應用網(wǎng)絡平安緊急響應體系，防平安突發(fā)事件網(wǎng)絡平安作為一項動態(tài)工程，意味著她的平安程度會隨著時間的變化而發(fā)生 改變。在信息技術日新月異的今天，昔日固假設金湯的網(wǎng)絡平安策略，總難免會 隨著時間的推進和環(huán)境的變化，而變得不堪一擊。因此，我們需要隨著時間和網(wǎng) 絡環(huán)境的變化或技術的開展而不斷調整自身的平安策略，并及時組建網(wǎng)絡平安緊急響應體系，專人負責，防平安突發(fā)事件。緊急響應的目標1故障定位及排除目前依靠廣域網(wǎng)的響應時間過長，而一般的網(wǎng)絡系統(tǒng)涉及到系統(tǒng)、 設備、應 用等多個層面，因此如何將性能或故障等方面