从前面的分析我们不难看出,网络安全需要系统化的建设,任何一点疏漏都将引发信息丢失或数据被破坏等,作为企业用户,应该怎样构建一个完善的网络安全系统呢?
对于网络建设者和维护者来说,实现网络安全的第一要务是明确网络业务定位、所提供的服务类型和服务对象,以此为基础,进一步分析系统安全需求,评估当前的安全风险程度,然后制定相应的安全策略,选择适当的安全技术,实施安全工程。图1所示的是网络安全的整体解决方案(中科网威安全技术有限公司提供),由此我们可对安全设计略见一斑。
由于业务多种多样,服务类型各具特色,所以企业安全需求千差万别,相应的安全策略也迥然不同。但是采用的安全技术基本相同。下面,我们以技术为主,以需求和策略分析为辅,详细说明安全网络的建设。
根据我国企业对网络的依赖性、对数据的保密程度以及资金分配等现实情况,有些企业当前对安全防护要求不是很严格,而且整体投资能力有限,对实施完整的安全方案有一定困难,我们将这类用户定义为不完整安全类用户。还有一些企业资金雄厚,安全意识强,对安全防护要求高,有能力完成一步到位的安全建设,我们将这类用户定义为完整安全类用户。安全防范需要通过安全技术、安全产品集成及安全管理来实现,单靠安装一个安全产品做不到真正意义上的网络安全。企业用户应该与专业的安全解决方案、产品技术提供商通力合作,设计长远的发展规划,共同完成安全系统的建设。特别需要注意的是,企业用户应该对产品与技术有所了解,这样在选择安全方案、构建系统、与厂商合作和对付安全问题时才能做到“心知肚明”。
鉴于以上对2种用户的分类,我们把安全系统分为2期工程进行建设。
一期工程“垒砖筑墙”
实施安全解决方案有5个关键技术点,它们是防毒、控制访问、加密与认证、漏洞扫描和入侵检测。对于不完整安全类用户,虽然暂时无法全面开展安全建设,但应该顺应未来需要,以满足现状为基础,分批分步的进行安全建设。通常,在初期建设中,采用防毒和防火墙技术抵御外来攻击是必不可少的手段。
一、 病毒防护:将病毒扼杀在摇篮中
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,防范病毒是实现网络安全非常重要的一项工作,采用反病毒技术可以有效防地范病毒。反病毒技术包括预防、检测和攻杀3项功能,一般防毒软件均采用此技术。
通常,我们把网络防毒软件划分为客户端防毒、服务器端防毒、群件防毒和internet防毒4大类。客户端防毒侧重单机防毒,国内外产品在可靠性方面已不相上下。防止外部病毒入侵,不同厂家在技术上没有太大的区别,但从性价比上看,vrv的防毒软件更出色一些;从对资源的占用率来看,kill的软件略小一些,稳定性较好。基于群件的应用越来越广泛,对群件包的扫描需求也越来越迫切,各厂商都推出了相应的群件防毒产品。internet防毒包括对电子邮件和ftp文件中的病毒防护,以及active x和java等恶意程序攻击的抵制。kill的产品在这方面做得不错。事实上,国内产品对邮件病毒查杀很有效,但对java恶意程序进攻的反击还比不上国外产品。
美国网络联盟公司(nai)为用户提供一套网络安全总体解决方案net tools,它建立在2个集成的、可缩放的套件net tools secure和net tools manager之上。其中net tools secure包括mcafee active virus defense和pgp total network security。mcafee active virus defense是对包括对客户机、服务器和internet网关在内的防病毒多级处理方案,其内含的virusscan可检测目前已知病毒,能杀灭多于15000种病毒;webscanx可防止用户在进行internet信息下载时恶意javat active程序对台式机的破坏;netshield可保护文件、应用程序和群件服务器; groupshield用于lotus notes/domino和microsoft exchange在服务器水平扫描,清除受感染文件,有效防止其散布; webshield则可在internet网关阻截病毒和有恶意的应用程序。
北京赛门铁克信息技术有限公司(symantec)面向客户端的产品有norton internet security、norton personal firewall和norton antivirus。norton internet security可使用户pc机不受黑客、病毒及其他网络安全威胁,还可保护用户个人信息的隐私权,并过滤网络广告网页,加速下载的时间。norton personal firewall可掌握用户pc机所有进出的联机动态,并警告用户可能产生的可疑状况,以阻挡黑客入侵,还能防止应用程序未经用户同意在网络上传递个人信息。norton antivirus的自动防护功能可防止潜伏在电子邮件附件中的病毒及其他恶意internet代码的侵害。
冠群金辰软件有限公司面向企业级用户的反病毒产品有kill for windows nt server、kill for netware、kill client agent、kill for lotus notes和kill for unix/linux。其中,kill for windows nt server可为企业的文件服务器提供实时、自动化的病毒防护。kill for netware通过实时病毒监控、病毒扫描引擎和压缩文件检测等病毒防护手段,阻止各类病毒进入网络系统。kill client agent是kill网络版产品的客户端部分,与kill for windows nt server等服务器端产品一起,构建了client/server方式的网络反病毒体系。kill for lotus notes可以实时扫描进出notes邮件服务器的所有邮件。kill for unix/linux通过病毒扫描引擎和灵活的检测方式,可检测及清除各种文件型病毒、特洛伊木马、蠕虫病毒及宏病毒,可对电子邮件数据库进行扫描,确保邮件安全。
现已成为安氏互联网安全系统(中国)有限公司全资子公司的乐亿阳趋势公司,为推动网络防毒运动,在近期推出“买安全软件,送捷达轿车”活动,强力推荐其网络工作站防毒产品officescan v3.5。它是一款适用于企业局域网的反病毒软件,具有集中的病毒事件报告、自动更新和基于web的远程管理功能。另外,其文件服务器防毒软件serverprotect可以有效地防范病毒对服务器的侵害。还有电子邮件防毒软件scanmail,可阻止病毒、恶意代码、敏感内容和垃圾邮件通过microsoft exchange、lotus notes、cc:mail和microsoft mail等进行传播。
对于防毒软件的选择,用户应该根据自己的使用条件和应用环境,选择服务及信誉好的厂商和经销商。特别需要指出的是,能防能杀是反病毒产品的基本功能,而特征病毒码采集和更新是关键,每个厂商都有病毒监测网,病毒样本采集是否全面与及时关系到防杀病毒数量的多少,选择产品时对此一定要严加考察。
二、防火墙技术:抵挡黑客的第一道门
根据功能、保密水平和安全水平的不同将网络分段进行隔离,可有效提高整个网络的安全性。当前主要的网络分段方式有路由器、虚拟局域网和防火墙,其中防火墙的应用较为广泛。
鉴于网络安全水平和可信任关系,防火墙将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户和数据包隔断,达到保护高安全等级的子网、阻止墙外黑客的攻击及限制入侵蔓延等目的。然而,防火墙并非万能的,它在很多方面存在弱点,比如无法防止来自防火墙内侧的攻击,而防御各种已识别类型攻击有赖于正确的配置,防御各种最新的攻击类型取决于防火墙知识库更新的速度和相应配置更新的速度等。
通常,人们将防火墙分为2类: 包过滤和应用级防火墙。包过滤型防火墙检查的范围涉及网络层、传输层和会话层,过滤匹配的原则可以包括源地址、目的地址、传输协议和目的端口等,也可以根据tcp序列号、tcp连接的握手序列(如syn和ack)的逻辑分析等进行判断,能够有效地抵御类似ip spoofing和syn等类型的攻击。路由器通过配置其中的访问控制列表可以作为包过滤防火墙使用,但是过多的控制列表会严重降低路由器的性能。所以在业务量较大的场合,我们需要将路由和包过滤2种功能分开,也就是说有必要单独购买专门防火墙产品。
应用级防火墙能够检查进出的数据包,透视应用层协议,与既定的安全策略进行比较。该类型防火墙能够进行更加细化、复杂的安全访问控制。根据是否允许两侧通信主机直接建立链路,应用级防火墙又可以分为网关和代理2种。前者允许两侧建立直接连接,而且依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包。后者通过特定的代理程序在两侧主机间复制传递数据,不允许建立直接连接。目前在市场上流行的防火墙大多属于应用级防火墙。
各种防火墙的安全性能不尽相同,下面我们对一些有代表性的产品进行介绍。
思科系统(中国)网络技术有限公司(cisco)的secure pix 防火墙能够提供全面的防火墙保护,可建立使用 ipsec 标准的虚拟专网(vpn)连接,并能在内部网和 internet、extranet 或 intranet 链路之间执行安全访问。该产品包括4种型号: secure pix 525(供企业和服务供应商使用) 、secure pix 520(面向大型企业机构和复杂的高端流量环境)、secure pix 515(面向中小型公司和远程办事处部署)和secure pix 506(面向高端小型办公室/家庭办公室机构)。它们易于安装,性能稳定,都拥有内置的ipsec加密,允许站点到站点或远程vpn的部署。除能够由pix configuration manager 管理之外,secure pix 防火墙也可以由 secure policy manager 集中管理,后者能够管理多达500个secure pix 防火墙、部署集成化软件和安装站点到站点的vpn。
netscreen公司的硬件防火墙具有独特的asic设计及获得专利的系统体系结构,其4种模式配置适用于现存的网络结构。netscreen防火墙具有存取控制和拒绝攻击等功能,前者可指定ip地址,进行
