1、網絡安全解決方案網絡安全是一項動態的、 整體的系統工程， 從技術上來說， 網絡安全由安全 的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通 信加密、災難恢復、 安全掃描等多個安全組件組成， 一個單獨的組件是無法確保 信息網絡的安全性。此處重點針對一些普遍性問題和所應采用的相應安全技術， 主要包括： 建立 全面的網絡防病毒體系；防火墻技術，控制訪問權限，實現網絡安全集中管理； 應用入侵檢測技術保護主機資源， 防止內外網攻擊； 應用安全漏洞掃描技術主動 探測網絡安全漏洞， 進行定期網絡安全評估與安全加固； 應用網站實時監控與恢 復系統，實現網站安全可靠的運行； 應用網絡安全緊

2、急響應體系， 防范安全突發 事件。1應用防病毒技術，建立全面的網絡防病毒體系隨著 Internet 的不斷發展，信息技術已成為促進經濟發展、社會進步的巨 大推動力。不管是存儲在工作站中、服務器里還是流通于 Internet 上的信息都 已轉變成為一個關系事業成敗關鍵的策略點， 這就使保證信息的安全變得格外重 要。1）采用多層的病毒防衛體系。 網絡系統可能會受到來自于多方面的病毒威脅，為了免受病毒所造成的損 失，建議采用多層的病毒防衛體系。所謂的多層病毒防衛體系，是指在每臺 PC 機上安裝單機版反病毒軟件， 在服務器上安裝基于服務器的反病毒軟件， 在網關 上安裝基于網關的反病毒軟件。 因為防止病

3、毒的攻擊是每個員工的責任， 人人都 要做到自己使用的臺式機上不受病毒的感染， 從而保證整個企業網不受病毒的感 染。考慮到病毒在網絡中存儲、 傳播、 感染的方式各異且途徑多種多樣， 故相應 地在構建網絡防病毒系統時，應利用全方位的企業防毒產品，實施 層層設防、集中控制、以防為主、防殺結合 的策略。具體而言，就是針對網絡中所有可能 的病毒攻擊設置對應的防毒軟件， 通過全方位、 多層次的防毒系統配置， 使網絡 沒有薄弱 環節成為病毒入侵的缺口。2）選擇合適的防病毒產品考慮防病毒產品的性能如下：價格：產品功能全面，價格合理，提供 Internet 的全面防毒功能及提供對 各郵件系統的支持。全面：監控所

4、有病毒入口： Internet 、Email 、光盤、軟盤、網絡等所有病 毒入口并對宏病毒、特洛伊木馬、黑客程序或有害軟件全面進行實時監控。快速：及時更新病毒特征文件， 全球每日達 100 種病毒，有快速的技術支持。 強大：全面結合國內外病毒樣本庫， 查殺能力直達黑客程序及有害軟件； 能 夠查殺多種壓縮文件及多重壓縮文件。智能：無須手工干預的全自動每日智能更新、 升級， 智能病毒掃描及啟發式 掃描能自動工作。兼容：支持各平臺： Win9x、Win3x、 Dos、OS/2、NT Workstation 、Windows 2000、Microsoft Proxy Server 、 Firewall

5、 、Lotus Notes/Domino Servers ，全 面支持 FTP、HTTP、SMTP、POP3、NNTP及 MS- Exchange、Outlook Express、Outlook 郵件系統。緊密：與 Windows 2000/XP 緊密結合，深入操作系統內核，對各種文件鼠標 操作方便。方便：完全解放網絡管理員， 能通過網上任一臺工作站完成對整個網絡的軟 件分發、安裝。靈活：可以選擇自動、立即、計劃、 Internet 等多種掃描方式，可以選擇 智能更新、升級或手動下載升級文件或程序。經濟：系統占用率低，對網絡系統的數據實時流量沒有影響。2黑客防范 網絡安全體系的構建不但要依靠合

6、理的安全策略和有效的管理， 同樣要依靠 好的安全產品。 目前，市場上有許多網絡安全產品， 在技術性能上和售后服務等 多方面都要處于明顯的優勢，有良好的性價比。防火墻與網絡入侵檢測系統能共同構筑一個強大的黑客防范解決方案。 防火 墻的強大訪問控制功能與抗攻擊功能的結合， 共同構筑網絡安全大門， 保護網絡 免受黑客、 非法訪問的侵擾， 以及其他無孔不入的數據安全威脅。 網絡入侵檢測 系統則以其全面的入侵檢測手法規則庫和實時準確的報警 / 阻斷功能，成為網絡 安全的實時監控衛士，成為網絡管理人員最佳安全管理助手。1）應用防火墻技術，控制訪問權限，實現網絡安全集中管理 防火墻技術是近年發展起來的重要網

7、絡安全技術， 其主要作用是在網絡入口 處檢查網絡通訊， 根據客戶設定的安全規則， 在保護內部網絡安全的前提下， 保 障內外網絡通訊。在網絡出口處安裝防火墻后， 內部網絡與外部網絡進行了有效的隔離， 所有 來自外部網絡的訪問請求都要通過防火墻的檢查， 內部網絡的安全有了很大的提 高。選擇防火墻應可以完成以下具體任務： 通過源地址過濾，拒絕外部非法 IP 地址，有效的避免了外部網絡上與業務 無關的主機的越權訪問；防火墻可以只保留有用的服務， 將其他不需要的服務關閉， 這樣做可以將系 統受攻擊的可能性降低到最小限度，使黑客無機可乘；同樣，防火墻可以制定訪問策略， 只有被授權的外部主機可以訪問內部網絡

8、 的有限 IP 地址，保證外部網絡只能訪問內部網絡中的必要資源，與業務無關的 操作將被拒絕；由于外部網絡對內部網絡的所有訪問都要經過防火墻， 所以防火墻可以全面 監視外部網絡對內部網絡的訪問活動， 并進行詳細的記錄， 通過分析可以得出可 疑的攻擊行為；另外，由于安裝了防火墻后，網絡的安全策略由防火墻集中管理，因此，黑 客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的， 而 直接攻擊防火墻幾乎是不可能的。防火墻可以進行地址轉換工作，使外部網絡用戶不能看到內部網絡的結構， 使黑客攻擊失去目標。2）應用入侵檢測技術保護網絡與主機資源，防止內外網攻擊 應用防火墻技術， 經過細致的系統

9、配置， 通常能夠在內外網之間提供安全的 網絡保護，降低網絡的安全風險。 但是，僅僅使用防火墻、 網絡安全還遠遠不夠。 因為：1）入侵者可能尋找到防火墻背后敞開的后門；（2）入侵者可能就在防火墻內；（3）由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。 入侵檢測系統是近年出現的新型網絡安全技術， 目的是提供實時的入侵檢測 及采取相應的防護手段， 如記錄證據用于跟蹤和恢復、 斷開網絡連接等。 實時入 侵檢測能力之所以重要是因為它能夠對付來自內外網絡的攻擊， 其次是因為它能 夠縮短黑客入侵的時間。如在需要保護的主機網段上安裝了黑盾入侵檢測系統， 可以實時監視各種對 主機的訪問請求， 并及時將信

10、息反饋給控制臺， 這樣全網任何一臺主機受到攻擊 時系統都可以及時發現。網絡入侵檢測系統應具備如下特點：（1）可精確判斷入侵事件網絡入侵檢測系統具備黑客攻擊信息庫， 其中存放著各種黑客攻擊行為的特 征數據。每當用戶在網絡上操作時， 網絡入侵檢測系統就將用戶的操作與信息庫 中的數據進行匹配， 一旦發現吻合， 就認為此項操作為黑客攻擊行為， 阻斷并報 警。由于信息庫的內容會不斷升級，因此可以保證新的黑客攻擊方法 也能被及 時發現。（2）可判斷應用層的入侵事件 與防火墻不同，網絡入侵檢測系統是通過分析數據包的內容來識別黑客入侵 行為的。因此， 網絡入侵檢測系統可以判斷出應用層的入侵事件。 這樣就極大的

11、 提高了判別黑客攻擊行為的準確程度。（3）對入侵可以立即進行反應 網絡入侵檢測系統以進程的方式運行在監控機上， 為網絡系統提供實時的黑 客攻擊偵測保護。一旦發現黑客攻擊行為， 網絡入侵檢測系統可以立即做出相應。 響應的方法有多種形式，其中包括：報警（如屏幕顯示報警、聲音報警） 、必要 時關閉服務直至切斷鏈路。 與此同時，網絡入侵檢測系統會對攻擊的過程進行詳 細記錄，為以后的調查取證工作提供線索。（4）全方位的監控與保護防火墻只能隔離來自本網段以外的攻擊行為， 而網絡入侵檢測系統監控的是 所有網絡的操作， 因此它可以識別來自本網段內、 其他網段以及外部網絡的全部 攻擊行為。這樣就有效的解決了來自

12、防火墻后由于用戶誤操作或內部人員惡意攻 擊所帶來的安全威脅。（5）針對不同操作系統特點網絡上運行著各種應用程序， 服務器的操作系統平臺也是多種多樣。 網絡入 侵檢測系統可根據系統平臺的不同而進行有針對性的檢驗， 從而提高了工作效率 及偵測的準確性。網絡系統安裝了網絡入侵檢測系統后， 有效的解決了來自網絡安全四個層面 上的非法攻擊問題。 它的使用既可以避免來自外部網絡的惡意攻擊， 同時也可以 加強內部網絡的安全管理， 保證主機資源不受來自內部網絡的安全威脅， 防范住 了防火墻后面的安全漏洞。3應用安全掃描技術主動探測網絡安全漏洞，進行網絡安全評估 安全掃描技術是又一類重要的網絡安全技術。 安全掃

13、描技術與防火墻、 入侵 檢測系統互相配合，能夠有效提高網絡的安全性。通過對網絡的掃描，網絡管理員可以了解網絡的安全配置和運行的應用服 務，及時發現安全漏洞， 客觀評估網絡風險等級。 網絡管理員可以根據掃描的結 果更正網絡安全漏洞和系統中的錯誤配置， 在黑客攻擊前進行防范。 如果說防火 墻和網絡監控系統是被動的防御手段，那么安全掃描就是一種主動的防范措施， 可以有效避免黑客攻擊行為，做到防患于未然。安全掃描工具源于黑客在入侵網絡系統時所采用的工具， 商品化的安全掃描 工具為網絡安全漏洞的發現提供了強大的支持。選擇“網絡安全分析評估系統” 是一套用于網絡安全掃描的軟件工具。 它提 供了綜合的審計功

14、能， 能夠及時發現網絡環境中的安全漏洞， 保證網絡安全的完 整性，并能有效評估企業內部網絡、服務器、防火墻、路由器中可被黑客利用的 網絡薄弱環節。網絡安全分析評估系統，可產生豐富的報表： HTML、TEXT、QRP，簡單易用。 它可以發現大眾化的安全漏洞和非大眾化的漏洞， 不但可以利用系統預制的上千 種方案進行網絡探測，而且還允許用戶用自己定制的數據包檢測網絡。4應用網站實時監控與恢復系統，實現網站安全可靠的運行Web服務系統是個讓外界了解您的窗口，它的正常運行將關系到您的形象。由于網站服務器系統在安全檢測中存在嚴重的安全漏洞， 也是黑客入侵的極大目 標，故網站監控與自動恢復系統，保護網站服務

15、器的安全。“網站監控與自動恢復系統” 采用數字簽名算法， 對備份文件進行加密及排 序處理，可同機監控，也可異機監控；并采用相互授權認證措施，由服務器對連 接上來的客戶端進行身份驗證， 確定其訪問權限， 然后再由客戶端對服務器進行 身份確認， 使得未經授權的用戶無法登錄使用該系統； 對 Web靜態文件和重要的 系統文件進行雙機備份和監控， 即使 web服務器癱瘓也能在數分鐘內將之全面恢 復；“網站監控與恢復系統”對 Web網站管理員是透明的，管理員可以通過 ftp 客戶端程序上載文件，而幾乎感覺不到監控系統的存在， ftp 客戶端使遠程用戶 可以在不中斷實時監控的情況下進行安全的文件上傳， 全面保障系統的安全和正 常運行。5應用網絡安全緊急響應體系，防范安全突發事件 網絡安全作為一項動態工程， 意味著她的安全程度會隨著時間的變化而發生 改變。在信息技術日新月異的今天， 昔日固若金湯的網絡安全策略， 總難免會隨 著時間的推進和環境的變化， 而變得不堪一擊。 因此， 我們需要隨著時間和網絡 環境的變化或技術的發展而不斷調整自身的安全策略， 并及時組建網絡安全緊急 響應體系，專人負責，防范安全突發事件。緊急響應的目標（1）故障定位及排除目前依靠廣域網的響應時間過長， 而一般的網絡系統涉及到系統、 設備、應 用等多個層面，因此如何將性能或故障等方面的問題準