网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。
为了加深您对网络安全的了解,福建省海峡信息技术有限公司特精心整理此份《网络安全整体解决方案(范例)》,供您参考。希望我们的一片真心能为您提供更多的帮助。
我们所提出的此份《网络安全整体解决方案》将重点针对一些普遍性问题和所应采用的相应安全技术及相关产品作简要介绍,主要内容包括:
★应用防病毒技术,建立全面的网络防病毒体系;
★应用防火墙技术,控制访问权限,实现网络安全集中管理;
★应用入侵检测技术保护主机资源,防止内外网攻击;
★应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;
★应用网站实时监控与恢复系统,实现网站安全可靠的运行;
★应用网络安全紧急响应体系,防范安全突发事件。
防病毒方面:应用防病毒技术,建立全面的网络防病毒体系
随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力:当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。而2001年却是不平凡的一年,是计算机病毒疯狂肆虐的一年,红色代码病毒、尼姆达病毒、求职病毒触动了信息网络脆弱的安全神经,更使部分信息网络用户一度陷入通讯瘫痪的尴尬局面……
基于以上情况,我们认为系统可能会受到来自于多方面的病毒威胁,为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台PC机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。
考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。
熊猫卫士是Panda软件公司在中国推出的本土化产品,包括单机及网络版本,该版本融合了本土的关键技术及大量的本土病毒特征代码,是一个结合最新技术的完全本土化的革命性的强大产品,该产品的主要优势及性能如下:
1、更优化:付一个平台的价格,免费赠送其他平台产品,提供Internet的全面防毒功能及提供对各邮件系统的支持;
2、更全面:监控所有病毒入口: Internet、Email、光盘、软盘、网络等所有病毒入口并对宏病毒、特洛伊木马、黑客程序或有害软件全面进行实时监控;
3、更快速:每日更新病毒特征文件,全球每日达100种病毒;
全球24小时技术支持、国内12小时技术支持;
任何新病毒全球24小时,国内36小时绞杀;
4、更强大:全面结合国内外病毒样本库,查杀能力直达黑客程序及有害软件;
查杀10种以上压缩文件,及多重压缩文件;
在单机版本中无缝结合Internet的防病毒能力;
4、更智能:无须手工干预的全自动每日智能更新、升级;
预置的智能病毒扫描及启发式扫描能自动工作;
6、更全面:全面支持各平台:Win9x、Win3x、Dos、OS/2、NT Workstation、Windows 2000、Microsoft Proxy Server、Firewall、Lotus Notes/Domino Servers,是目前唯一在Winsock层上查杀病毒的反病毒软件,全面支持FTP、HTTP、SMTP、POP3、NNTP及MS-Exchange、Outlook Express、Outlook邮件系统;
7、更紧密:与Windows 98/2000/Me完全集成,深入操作系统内核, 对各种文件只需点击鼠标右键即可扫描;
8、更方便:完全解放网络管理员,首度采用ZAS(Zero Administration Security)技术,能通过网上任一台工作站在几分钟内完成对整个网络的软件分发、安装;
9、更灵活:可以选择自动、立即、计划、Internet等多种扫描方式;
可以选择智能更新、升级或手动下载升级文件或程序;
10、更经济:最低的系统占用率:内存及硬盘占用率是同类产品中最低的,对网络系统的数据实时流量几乎没有任何影响。
防黑客方面:
网络安全体系的构建不但要依靠合理的安全策略和有效的管理,同样要依靠好的安全产品。目前,市场上有许多网络安全产品,相比之下,福建省海峡信息技术有限公司自主研发的“黑盾”网络安全系列产品,无论在技术性能上,还是在售后服务等多方面都处于明显的优势,其良好的性价比更是被用户所称道。
“黑盾”防火墙与“黑盾”网络入侵检测系统能共同构筑一个强大的黑客防范解决方案,它能够满足各种规模企业的需求,确保您的网络更安全。“黑盾”防火墙的强大访问控制功能与抗攻击功能的结合,共同构筑网络安全大门,保护您的网络免受黑客、非法访问的侵扰,以及其他无孔不入的数据安全威胁。“黑盾”网络入侵检测系统则以其全面的入侵检测手法规则库和实时准确的报警/阻断功能,成为网络安全的实时监控卫士,成为网络管理人员最佳安全管理助手。
网络拓扑图:
应用防火墙技术,控制访问权限,实现网络安全集中管理
防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。
在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。防火墙可以完成以下具体任务:
-通过源地址过滤,拒绝外部非法IP地址,有效的避免了外部网络上与业务无关的主机的越权访问;
-防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降低到最小限度,使黑客无机可乘;
-同样,防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络的有限IP地址,保证外部网络只能访问内部网络中的必要资源,与业务无关的操作将被拒绝;
-由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为;
-另外,由于安装了防火墙后,网络的安全策略由防火墙集中管理,因此,黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的,而直接攻击防火墙几乎是不可能的。
-防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客攻击失去目标。
应用入侵检测技术保护网络与主机资源,防止内外网攻击
应用防火墙技术,经过细致的系统配置,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。但是,仅仅使用防火墙、网络安全还远远不够。因为:
(1)入侵者可能寻找到防火墙背后敞开的后门;
(2)入侵者可能就在防火墙内;
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击,其次是因为它能够缩短黑客入侵的时间。
鉴于以上的考虑,福建省海峡信息技术有限公司研制了入侵检测经典产品-《“黑盾”网络入侵检测系统》作为网络入侵检测工具。
如在需要保护的主机网段上安装了黑盾入侵检测系统,可以实时监视各种对主机的访问请求,并及时将信息反馈给控制台,这样全网任何一台主机受到攻击时系统都可以及时发现。
‘“黑盾”网络入侵检测系统’具备如下特点:
(1)可精确判断入侵事件
‘“黑盾” 网络入侵检测系统’有一个完整的黑客攻击信息库,其中存放着各种黑客攻击行为的特征数据。每当用户在网络上操作时,‘“黑盾”网络入侵检测系统’就将用户的操作与信息库中的数据进行匹配,一旦发现吻合,就认为此项操作为黑客攻击行为,阻断并报警。由于信息库的内容会不断升级,因此可以保证新的黑客攻击方法也能被及时发现。
(2)可判断应用层的入侵事件
与防火墙不同,‘“黑盾”网络入侵检测系统’是通过分析数据包的内容来识别黑客入侵行为的。因此,‘“黑盾”网络入侵检测系统’可以判断出应用层的入侵事件。这样就极大的提高了判别黑客攻击行为的准确程度。
(3)对入侵可以立即进行反应
‘“黑盾” 网络入侵检测系统’以进程的方式运行在监控机上,为网络系统提供实时的黑客攻击侦测保护。一旦发现黑客攻击行为,‘“黑盾”网络入侵检测系统’可以立即做出相应。响应的方法有多种形式,其中包括:报警(如屏幕显示报警、声音报警)、必要时关闭服务直至切断链路。与此同时,‘“黑盾”网络入侵检测系统’会对攻击的过程进行详细记录,为以后的调查取证工作提供线索。
(4)全方位的监控与保护
防火墙只能隔离来自本网段以外的攻击行为,而‘“黑盾”网络入侵检测系统’监控的是所有
