美國安泰成發(fā)網(wǎng)絡(luò)安全解決方案

1999211998Internet482000僅圣誕節(jié)就突破3億美元的銷售額,比預(yù)計(jì)的全年20億還多。美國對1998199860%,199640688%。而被主5%1998年5CIA“信12961998Internet侵入競選對手的網(wǎng)站竊取信息,在東南亞經(jīng)濟(jì)危機(jī)中散布謠言,偽造世界熱點(diǎn)地區(qū)的現(xiàn)場照片,煽動民族糾紛等等,已引起各國政府的高度重視。由117萬劇增到210萬,另一方面,同一時(shí)期內(nèi)外電對在我國發(fā)生的Internet19976級階段,又面臨著發(fā)達(dá)國家信息優(yōu)勢的壓力,要在信息化進(jìn)程中趨利避害,從一開始就做好信息安全工作十分重要。這是這項(xiàng)工作難度也非常大,經(jīng)常遇到十分困難的選擇,甚至非難。人們對于“該不該”和“能不能”抓好信息安全也尚有不同的看法。我們應(yīng)當(dāng)充分相信我國的制度優(yōu)越性和人民的現(xiàn)在，InternetWWWEXECL，但由于不重視業(yè)務(wù)人員認(rèn)為系統(tǒng)管理只要有計(jì)算機(jī)人員就可以了，不建立規(guī)范、有效的管許多企業(yè)的系統(tǒng)管理員只會“玩”PC認(rèn)為系統(tǒng)管理工作只是輔助性工作，不能為企業(yè)創(chuàng)造直接效益，可使管理效果大打折扣。保護(hù),這固然是對的,但這個(gè)觀念是在二十多年前主機(jī)時(shí)代形成的。當(dāng)時(shí)向單機(jī)、面向數(shù)據(jù)的。八十年代進(jìn)入了微機(jī)和局域網(wǎng)時(shí)代,計(jì)算機(jī)已從專單、對稱,所以既要依靠技術(shù)措施保護(hù),還要制定人人必須遵守的規(guī)定。因此,這個(gè)時(shí)代的信息安全是面向網(wǎng)管、面向規(guī)約的。九十年代進(jìn)入了互聯(lián)網(wǎng)時(shí)代,每個(gè)用戶有都可以聯(lián)接、使用乃至控制散布在世界上各個(gè)角落的Internet變化。人、網(wǎng)、環(huán)境相結(jié)合,形成了一個(gè)復(fù)雜的巨系統(tǒng)。通過網(wǎng)上的協(xié)同和交流,人的智能和計(jì)算機(jī)快速運(yùn)行的能力匯集并融合起來,創(chuàng)造了新的社會生產(chǎn)力,豐富著大量應(yīng)用(電子商務(wù),網(wǎng)上購物等等)和滿足著人們的“于主導(dǎo)地位,而系統(tǒng)的資源(包括硬軟件、通訊網(wǎng)、數(shù)據(jù)、信息內(nèi)容等)則是客體,它是為主體即“人”服務(wù)的,與此相適應(yīng),信息安全的主體也是“人”(包括用戶、團(tuán)體、社會和國家),其目的主要是保證主體對信息資源的控制。可以這樣說:面向數(shù)據(jù)的安全概念是前述的保密性、完整性和可獲性,而面向使用者的安全概念則是鑒別、授權(quán)、訪問控制、抗否認(rèn)性和可服務(wù)性以及在于內(nèi)容的個(gè)人隱私、知識產(chǎn)權(quán)等的保護(hù)。這兩者結(jié)合就是信息安全體系結(jié)構(gòu)中的安全服務(wù)功能),而這些安全問題又要依靠密碼、數(shù)字簽名、身份驗(yàn)證技術(shù)、防火墻、安全審計(jì)、災(zāi)難恢復(fù)、防病毒、防黑客入侵等安全機(jī)制(措施)加以解決。其中密碼技術(shù)和管理是信息安全的核心,安全標(biāo)準(zhǔn)和系統(tǒng)評估是信息安全的基礎(chǔ)。息安全的總和。信息安全的完整內(nèi)涵是和信息安全的方法論相匹配的,信息安全系統(tǒng)是一個(gè)多維、多因素、多層次、多目標(biāo)的系統(tǒng)。因此,有必要要素的內(nèi)部矛盾,例如:*在威脅分析中的環(huán)境災(zāi)害與人員失誤、無意疏忽風(fēng)險(xiǎn)管理的綜合方法:立足于盡量減少風(fēng)險(xiǎn),實(shí)行資產(chǎn)評估,風(fēng)險(xiǎn)估算,重點(diǎn)選擇,綜合平衡,政策制定,系統(tǒng)實(shí)施,審計(jì)監(jiān)管等的全過程和安全評估的綜合方法:面向設(shè)計(jì)過程,強(qiáng)調(diào)系統(tǒng)總體評價(jià)。在評估標(biāo)標(biāo)準(zhǔn)、管理、指導(dǎo)、監(jiān)控、法規(guī)、培訓(xùn)和工具技術(shù)的有機(jī)總和。這需要在不同層面上面向目標(biāo),用定性與定量相結(jié)合、技術(shù)措施與專家經(jīng)驗(yàn)相結(jié)合的綜合集成方法加以解決。對信息內(nèi)容的管理則要從源頭、傳遞、網(wǎng)關(guān)、服務(wù)網(wǎng)站和用戶層面進(jìn)行綜合治理。以創(chuàng)新精神跟上網(wǎng)絡(luò)和安全技術(shù)的新發(fā)展我們處在網(wǎng)絡(luò)調(diào)整發(fā)展和科技突飛猛進(jìn)的時(shí)代,信息安全技術(shù)是具有是自主創(chuàng)新并不排斥吸取國外的先進(jìn)技術(shù)相反,只有密切跟蹤國際信息安全技術(shù)的新進(jìn)民才能知已進(jìn)的彈性模式轉(zhuǎn)化,強(qiáng)調(diào)可測量的方法體系,形成所謂“有適應(yīng)能力的風(fēng)十年前,信息安全系統(tǒng)構(gòu)建理念是“自上而下”即頂層設(shè)計(jì)。從結(jié)合”,然后再在網(wǎng)絡(luò)的確定范圍內(nèi)從全局上規(guī)劃,構(gòu)成安全體系。系統(tǒng)安全不能作到一勞永逸,需要動態(tài)的構(gòu)建模型。量個(gè)多元化的應(yīng)用環(huán)境,而且日新月異。因此現(xiàn)實(shí)的解決辦法是“分而治“從我做起”或者分層分步實(shí)施。這在相當(dāng)一段時(shí)間內(nèi),是推動網(wǎng)絡(luò)發(fā)展、激勵安全應(yīng)用的現(xiàn)實(shí)途IPv6在國家范圍的網(wǎng)絡(luò)建設(shè)方面,國家電信事業(yè)迅速發(fā)展,取得了巨大的成但是,國家通信網(wǎng)絡(luò)的交換機(jī)及其通信設(shè)備有相當(dāng)一部分由于沒有經(jīng)過安全檢測,安全問題沒有保證,這是由于安全檢測工作的建設(shè)滯后造成也多采用開放式的操作系統(tǒng),安全級別都很低,也沒有附加安全措施。這些,應(yīng)當(dāng)說對信息系統(tǒng)的安全性還是重視的,但苦于沒有好的解決問題的方案和安全建設(shè)經(jīng)費(fèi)不足,行業(yè)系統(tǒng)安全問題還是相當(dāng)嚴(yán)重的,計(jì)算機(jī)系統(tǒng)也多采用開放式系統(tǒng)網(wǎng)絡(luò)多路出口,對信息系統(tǒng)安全沒有概念,完全沒有安全措施,在金融領(lǐng)域UNIX。在系統(tǒng)采購時(shí),有是微機(jī)網(wǎng)絡(luò)系統(tǒng),已經(jīng)出現(xiàn)內(nèi)外黑客的攻擊,應(yīng)當(dāng)說問題已經(jīng)相當(dāng)嚴(yán)重。在產(chǎn)業(yè)發(fā)展決策方面,當(dāng)然改革開放以來取得巨大成績,在行業(yè)規(guī)劃方面一度存在輕系統(tǒng)重應(yīng)用的發(fā)展思路,對目前出現(xiàn)的信息系統(tǒng)安全問題,因?yàn)閱慰科髽I(yè)發(fā)展系統(tǒng)軟件是不可能在較短的時(shí)間內(nèi)取得地位的,要在系統(tǒng)軟件領(lǐng)域占有一席之地應(yīng)當(dāng)成為國策,標(biāo)準(zhǔn)化工作,要啟動信息系統(tǒng)安全建設(shè)的內(nèi)需,要明確信息系統(tǒng)安全建設(shè)的統(tǒng)的安全問題,是信息系統(tǒng)的核心技術(shù),沒有系統(tǒng)的安全就沒有信息的安息系統(tǒng)安全管理部門信息系統(tǒng)產(chǎn)品的認(rèn)證和檢測工作剛剛開始,任重而道Java、XActive網(wǎng)絡(luò)信息安全需求可以歸結(jié)為以下幾類1、網(wǎng)絡(luò)設(shè)備種類繁多——當(dāng)前使用的有各種各樣的網(wǎng)絡(luò)設(shè)備,從WindowsNTUNIXWeb服務(wù)器,每種設(shè)備均有其獨(dú)特的安Internet訪問方式可能會使安全策略的設(shè)立復(fù)雜化;硬件設(shè)備和操作系統(tǒng),實(shí)施新的應(yīng)用程序和Web服務(wù)器時(shí),安全配置也有不盡相1、從企業(yè)外部進(jìn)行評估:考察企業(yè)計(jì)算機(jī)基礎(chǔ)設(shè)施中的防火墻2、從企業(yè)內(nèi)部進(jìn)行評估:考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī)3、從應(yīng)用系統(tǒng)進(jìn)行評估:（TEMPEST技術(shù)是物理安全策略的一個(gè)主要問題。6個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合，用特殊用戶（即系統(tǒng)管理員（Supervisor；（Read（Write；（Create；（Erase；修改權(quán)限（Modify；文件查找權(quán)限（FileScan；存取控制權(quán)限（AccessControl；su時(shí)才允許進(jìn)入根帳域信息服務(wù)。但是，F(xiàn)TPHTTP是使用最普遍的服務(wù)。它們還有潛力泄露出Internet服務(wù)一樣，F(xiàn)TP一直是（而且仍是）易于被濫用的。值FTP站點(diǎn)。FTPFTP站點(diǎn)成為“麻FTP站點(diǎn)。通過某些其它方法，發(fā)送者通知它們的同伙文件可以使用。FTP用戶FTPFTP用戶所做的事。因此，F(xiàn)TP用戶可以訪問，用戶的訪問者也可以訪問。一般說來，F(xiàn)TP用戶不是用戶的系統(tǒng)中已經(jīng)有的。因此，用戶要建立用戶。無論如何要保證將外殼設(shè)置為真正外殼以外的東西。這一步驟防止FTPftp下。這個(gè)預(yù)防措施防FTP755（讀和執(zhí)行，/usr/lib/libsock-et.so/1拷貝到~ftp/usr/lib~ftp/usr/lib555，mknod手工建立它們。然而，讓系統(tǒng)為用戶工作會更加容易。SCO文檔說cpio,copy（cp）很管用。NFS刪除網(wǎng)關(guān)的所有多余程序（遠(yuǎn)程登錄、rlogin、FTP等等過去我們往往把信息安全局限于通信保密,局限于對信息加密功能要求,其實(shí)網(wǎng)絡(luò)信息安全牽涉到方方面面的問題,是一個(gè)極其復(fù)雜的系統(tǒng)工程。從簡化的角度來看,要實(shí)施一個(gè)完整的網(wǎng)絡(luò)與信息安全體系,至少應(yīng)包括三類措施,并且三者措施,如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲通信、身份認(rèn)證、授權(quán)等。只有技術(shù)措施并不能保證百分之百的安全。三是審計(jì)和管理措施,該方面措施同時(shí)包含了技術(shù)與社會措施。其主要措施有:實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、提供實(shí)時(shí)改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等,以防患于未然。第二部分為增強(qiáng)的用戶認(rèn)證,用戶認(rèn)證在網(wǎng)絡(luò)和信息的安全中屬于技術(shù)措施的第一道大門,最后防線為審計(jì)和數(shù)據(jù)備份,不加強(qiáng)這道大門的建設(shè),整個(gè)安全體用戶持有的證件,如大門鑰匙、門卡等等用戶知道的信息,如密碼用戶特有的特征,第四部分是加密。在上述的安全體系結(jié)構(gòu)中,認(rèn)證——識別用戶身份,提供訪問許可一致性——保證數(shù)據(jù)不被非法篡改隱密性——保護(hù)數(shù)據(jù)不被非法用戶查看鑰匙的管理,包括數(shù)據(jù)加密鑰匙、私人證書、私密等的保證分發(fā)措施建立權(quán)威鑰匙分發(fā)機(jī)構(gòu)保證數(shù)據(jù)完整性技術(shù)數(shù)據(jù)加密傳輸?shù)谖宀糠譃閷徲?jì)和監(jiān)控,確切說,還應(yīng)包括數(shù)據(jù)備份,這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題,這部分可以提供問題的再現(xiàn)、責(zé)任追查、重要數(shù)據(jù)復(fù)原等保障。為了實(shí)施上面提出的安全體系,NetScreenNetScreen-10&NetScreen-提供多種認(rèn)證和授權(quán)方法,對流入企業(yè)內(nèi)部的網(wǎng)絡(luò)信息流實(shí)施內(nèi)部檢查,URL目前一個(gè)企業(yè)網(wǎng)絡(luò)可能會有多個(gè)連通外界的出口,ISP的專線、撥號實(shí)施一個(gè)企業(yè)一種安全策略,實(shí)施移動方式的報(bào)警功能,E-mail、SNMP這種情況非常普遍，ISPICP，INTERNETINTERNET，INTERNETIPIPIPIP（SourceIPAddressSpoofingAttacks）IPIP對付殘片攻擊（TinyFragment斷位移植（FragmentOffset）1IP（如應(yīng)用層也不希望內(nèi)部的用戶無限制的使用或?yàn)E用INTERNET。采用代理服務(wù)器，可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來，內(nèi)部的用戶需要驗(yàn)證和授權(quán)之后才可以去訪問電路級網(wǎng)關(guān)又稱線路級網(wǎng)關(guān)，它工作在會話層。它在兩主機(jī)收次建立TELNET、FTPRADIUS、智能RPC（遠(yuǎn)程過程調(diào)用）UDP（用戶數(shù)據(jù)包）端口信息，而包過濾和代理服務(wù)則45M（T3。IPEXTRANETVPNAPIInternet(VPN)，VPNInternet，企業(yè)有得又有失，比如專用線路的高可靠性及安全性就是InternetVPN圍繞下屬辦事處，VPNVPNLANLANVPN這些地方有問題，網(wǎng)絡(luò)設(shè)計(jì)人員就要考慮采用更嚴(yán)格的安全措施。例如，VPNVPNVPNVPNVPNVPNT1(1.554Mbps),VPN基于軟件的VPN可能提供更多的靈活性。許多產(chǎn)品允許根據(jù)地址或協(xié)議打VPNVPNVPNVPN（DMZIPXSNAIPIPVPNIpsecIETF(InternetEngineeringTaskForce)TCP/IPVPN盡管大部分VPN可保留自己的認(rèn)證數(shù)據(jù)庫，但網(wǎng)管員也希望借助于現(xiàn)有的證用戶：遠(yuǎn)程認(rèn)證撥入用戶服務(wù)器（Radius）或終端訪問控制器訪問系統(tǒng)VPNVPN注意，測試小組中一定要包括各種技術(shù)工種的員工，這一點(diǎn)對于保證VPNVPN。VPNVPNVPNDMZ證，他們只需同另一臺VPN服務(wù)器連接起來，這一臺服務(wù)器應(yīng)位于第二個(gè)DMZDMZVPN（NATInternetVPN（DHCPDECAltavistaVPNVPNDMZ網(wǎng)絡(luò)管理員應(yīng)該注意，網(wǎng)絡(luò)中中有一個(gè)千萬不能被篡改的地方是專用網(wǎng)絡(luò)的域名系統(tǒng)（DNS）IPDNSInternetVPNVPN對VPN進(jìn)行配置時(shí)，網(wǎng)管員要為一系列因素設(shè)定參數(shù)，包括密鑰長度、主要與次要認(rèn)證服務(wù)器及相關(guān)的共享秘密資源、連接和超時(shí)設(shè)置、證書核查VPN網(wǎng)管員還要讓認(rèn)證和授權(quán)程序協(xié)調(diào)起來。兩者聽起來差不多，但有些微妙且重要的差別。認(rèn)證是要證明遠(yuǎn)程用戶是她或他聲稱的身份（要證明的則相反，即服務(wù)器可信。授權(quán)是要確定遠(yuǎn)程用戶有權(quán)訪問何種網(wǎng)絡(luò)資VPNInternetVPNVPN認(rèn)識到管理VPN的人不應(yīng)該只是那些安裝和配置的人，最終用戶也需要接受InternetVPNVPN4、NetScreenRobertThomasSunNetScreen公司，任公司總裁。成到一起，創(chuàng)造新的業(yè)界性能紀(jì)錄。NetScreen創(chuàng)建新的體系結(jié)構(gòu)并已取得了專（IpsecNetScreen科技公司已經(jīng)為業(yè)界在虛擬專用網(wǎng)領(lǐng)域設(shè)立了新的安全解決系SequoiaCapital投資贊助。Sequoia是一家領(lǐng)先的風(fēng)險(xiǎn)投資公1974350家公司提供了最初的風(fēng)險(xiǎn)投資基金，3ComCiscoOracleSymantecYahoo公NetScreen50多名員工公司在全美的主要城市都設(shè)有辦事NetScreenNetScreen-100KeyLabs（VPN性能的產(chǎn)品。NetScreen保證這一點(diǎn)。199889月，NetScreen-10和NetScreen-100ICSA國際計(jì)算機(jī)安全協(xié)會)的防火墻認(rèn)證。19989月，NetScreenVPN遠(yuǎn)程存取客戶端軟件。199810月，NetScreenNetScreen-1000的產(chǎn)品。這VPN功能的產(chǎn)品。伴。HPHP提供集成解決系統(tǒng)，并在增強(qiáng)用戶的Internet上的應(yīng)用。NetScreenHP選中的二家防火墻廠家的一家，而且是唯一一家基于硬件的產(chǎn)品。199812NetScreen產(chǎn)10000NetScreen產(chǎn)品。目前，NetScreen有NetScreen-10用于10MB傳輸?shù)木W(wǎng)絡(luò)。NetScreen-100用于100MB傳輸?shù)木W(wǎng)絡(luò)。NetScreen-100端口是自適應(yīng)的端10MB100MB的網(wǎng)絡(luò)。NetScreen-1000不久將要面市，它將為那些大型企業(yè)和網(wǎng)絡(luò)主干的供應(yīng)NetScreen-5目前正在測試階段。它的大小類似一個(gè)CDROM。它是為NetScreenVPNVPNNetScreenASIC芯片提供存取策略的功能。該功能以硬件方式實(shí)現(xiàn)，它比軟件防火墻有著無可比擬的速度優(yōu)勢。CPU可專門負(fù)責(zé)管理數(shù)據(jù)功能。NetScreenPC平臺的防火墻的需管理多個(gè)部件所引起的性能NetScreen提供了多功能和高安全性能的無縫連接，NetScreen-1000,NetScreen-100NetScreen-101000M、100M10M的傳輸性能。NetScreen-1000VPN和流量管理于一身的防火墻產(chǎn)品。同樣，NetScreen-100是業(yè)界最快的防火墻，另外，NetScreen自動調(diào)整10M100M自適應(yīng)。因?yàn)槭腔谟布脑O(shè)計(jì)，NetScreen是唯一一家安全解決系統(tǒng)的提供商，E3的線路。的系統(tǒng)設(shè)計(jì)保證了它的高性能，ASIC芯片可以獨(dú)自處理并過濾包。先進(jìn)的多總NetScreen內(nèi)，支持創(chuàng)紀(jì)錄的并行連接用戶數(shù)。NetScreen-1000TCP/IP并NetScreen-1004370個(gè)連接，（32個(gè)客戶），領(lǐng)先于它的最接近的競爭對手。根據(jù)獨(dú)立的測試機(jī)構(gòu)，KeyLab的測試報(bào)告，NetScreen－10032000個(gè)并發(fā)用戶連接，NetScreen-1016000個(gè)并發(fā)連接。所有產(chǎn)品都5000個(gè)存取策略，并提供簡單易用的過濾界面。NetScreen全功能防火墻包括了包過濾、代理服務(wù)器和動態(tài)線路級過濾器。Ipsec協(xié)議兼容。絡(luò)密鑰交換（IKEISAKMPIP，DES，TripleDES。并且還支持（PKI，可以自VPN。NetScreen-1000VPNNetScreen-1000有著更高的吞吐量，更廣泛的安全性和更低的價(jià)位。NetScreenNetScreenIPNetScreen網(wǎng)絡(luò)界NetScreenVPN，即使有些產(chǎn)品可以在透明模式下工作，但它們也不VPN。ASICNetScreenIP地址和端口號。它通常由路由器來實(shí)現(xiàn)。但它TCP的連接后，就留下了可使黑客劫持端口號的漏洞。TCPNetScreen也可提供網(wǎng)絡(luò)層的URL過濾，并在不久的將來實(shí)現(xiàn)病毒掃NetScreenNetScreenMD5ESPIPSec2000個(gè)用戶或者設(shè)置一個(gè)Radius服務(wù)器來存儲用戶認(rèn)證的信息。NetScreen產(chǎn)品可連接信任端口（Trusted）（Untrusted）然webInternetping(不信任端口（untrusted）1.60ping的)NetScreenconsole端口，使用命令行方式進(jìn)行管理。如一個(gè)調(diào)制解調(diào)器。Console口的訪問也可因?yàn)榘踩蛟O(shè)置為取消。NetScreen產(chǎn)品也可以通過telnet來管理。Telnet和WebVPNserverIP時(shí)很方便對于大型網(wǎng)NetScreensnmp的集中式管理，通過網(wǎng)絡(luò)管理軟件，的管理不僅如此，為安全起見，NetScreen可以關(guān)閉遠(yuǎn)程的管理方式，而只使用．具有線速帶