【正文】 企業(yè)網(wǎng)絡的安全需求 ? 企業(yè)網(wǎng)絡進出口控制（ IP過濾）； ? 解決企業(yè)網(wǎng)絡本身內(nèi)部的安全，如果解決了各個企業(yè)網(wǎng)的安全，那么企業(yè)互聯(lián)的安全只需解決鏈路層的通訊加密。 ? 我們都知道，信息在社會生活中非常重要，如果信息在安全方面稍微有點漏洞，就有可能被 “ 黑客 ” 利用，搗毀數(shù)據(jù)及網(wǎng)絡，對人民的正常生活、社會的正常運作造成不同程度的影響，同時給企事業(yè)單位會帶來經(jīng)濟損失。近期而言，新運營商的日標就是要之初的建造世紀 IP 基礎設施，而對老運營商而言，其目標將是改造現(xiàn)有的網(wǎng)絡，使之成為適應或比較適應 IP 業(yè)務的網(wǎng)絡 . 語音 ,數(shù)據(jù) ,圖象 IP技術 電話 網(wǎng)絡安全在企業(yè)業(yè)務中的作用 ? 建造企業(yè)信息化基礎設施的原則是什么？是迅速、準確、智能、安全、可靠、可控和經(jīng)濟。 ? 經(jīng)歷了 100 多年的發(fā)展，信息產(chǎn)業(yè)的格局正在發(fā)生歷史性變革。那就是要為電話建立一個能夠提供全球性服務的網(wǎng)絡，該網(wǎng)絡應具有迅速、準確、智能、安全、可靠、可控和經(jīng)濟的特點。 ? 使用基于 IP 的技術、應用和服務層出不窮，因此重建 IP 網(wǎng)絡基礎設施成為一種潮流、這也將成為整個通信重建的第一步。所以，在新生的互聯(lián)網(wǎng)時代中，網(wǎng)絡安全是企業(yè)業(yè)務所面臨的一個嚴峻考驗。事實上，權威數(shù)據(jù)表明，來自于內(nèi)部的攻擊，其成功的可能性要遠遠大于來自于Inter的攻擊，而且內(nèi)部攻擊的目標主要是獲取企業(yè)的機密信息，如各種圖紙、重要的數(shù)據(jù)等，其損失要遠遠高于系統(tǒng)破壞。各網(wǎng)之間通過防火墻或虛擬網(wǎng)段進行分割和訪問權限的控制。 ? 安全檢測和報警、防殺病毒，實時對公開網(wǎng)絡和公開服務器進行安全掃描和檢測，及時發(fā)現(xiàn)不安全因素，對網(wǎng)絡攻擊進行報警。 ? 需要采用網(wǎng)絡防病毒機制來防止網(wǎng)絡病毒的攻擊和蔓延。其安全性主要在用戶和服務器間的雙向身份認證以及信息和服務資源的訪問控制，具有審計和記錄機制，確保防止拒絕和防抵賴的防否認機制。將內(nèi)部使用的各種應用服務器統(tǒng)統(tǒng)放在內(nèi)網(wǎng) ,將各種危險的服務器屏蔽在外網(wǎng) 。 常見的攻擊與威協(xié) ? 黑客 ? 病毒 ? 特洛伊木馬 ? 后門 ? 拒絕服務 ? 指令操作 ? 工具軟件 ? 編程 攻擊者與攻擊活動 ? 黑客 ? 不滿的內(nèi)部人員 (據(jù)大量統(tǒng)計表明占 80%,應引超重視 ) ? 罪犯與商業(yè)間諜 (這是最危險的一類應時刻警惕 ) ? 執(zhí)行進程 ? 獲取數(shù)據(jù) ? 修改數(shù)據(jù) ? 暴露信息 ? 獲取超級用戶權限或特定權限 ? 發(fā)動拒絕服務攻擊 攻擊手法舉例 ? 弱口令 ? 網(wǎng)絡監(jiān)聽 監(jiān)聽工具 (如 Snifft NetXRay 管理員 /黑客 ) 以太網(wǎng) FDDI Tcp/IP ? 緩沖區(qū)溢出 passwd(uidsuid) ? 惡意破壞的代碼 :病毒 ? Web欺騙 ? 利用程序錯誤的攻擊 淚滴 (Teardrop)攻擊 網(wǎng)絡安全技術與產(chǎn)品 ? 防火墻 (包過濾 ,應用代理 ,狀態(tài)監(jiān)測 ) ? 入侵檢測 ? 漏洞掃描 ,安全評估 ? 3A ? 密碼機 /卡 VPN ? 物理隔離 ? 取證 信息偽裝 ? 安全管理平臺 ? 密碼技術 ? 帶寬 /高性能 (算法與硬件技術 ) ? 人工智能 /數(shù)據(jù)挖掘 /輔助決策 ? 系統(tǒng) 工程 (規(guī)化與布置 ) 案例之一 威協(xié)分析 對公司和企業(yè)的網(wǎng)絡應用而言，網(wǎng)絡安全風險主要來自兩個方面： ? 來自 Inter的攻擊與破壞：由于 OA辦公網(wǎng)直接接入Inter，將面臨來自 Inter的網(wǎng)絡入侵、黑客攻擊和病毒傳播。利用現(xiàn)有的 L3/L2交換機，設置 VLAN： ? VLAN1—— 包括所有的 Windows桌面 PC，以及不需要特殊防護的 NT服務器 ? VLAN2—— 需要實施保護的 NT、 UNIX服務器，本身需要訪問 OMCSub與 BillingSub，或為 VLAN1內(nèi)的桌面 PC提供代理訪問 OMCSub與 BillingSub的UNIX工作站，應歸入 VLAN2。 ? 設置高性能防火墻，連接兩臺中心交換機（ SSR86001和 SSR86002），提供 VLAN1與 VLAN2的網(wǎng)絡層訪問控制。 ? 結(jié)合防火墻配置安全監(jiān)測軟件，實時監(jiān)測并阻斷網(wǎng)絡上的攻擊事件的發(fā)生。 包括網(wǎng)絡安全領導體系 、 技術指導體系和管理體系 。網(wǎng)絡信息安全保密的實現(xiàn)，管理措施和技術手段兩者不能偏廢，缺一不可。 （ 3）、完善管理體制，加強管理的策略 管理體制是安全保密措施的重要組成部分，在網(wǎng)絡安全保密產(chǎn)品尚沒全面發(fā)揮作用的情況下，制定完善的管理措施十分必要。安全可靠、嚴密穩(wěn)固的網(wǎng)絡安全保密系統(tǒng)與高效、靈活的網(wǎng)絡服務常常是一對矛盾。 包括安全監(jiān)測預警 、 審計跟蹤 、 病毒防治 、 信息備份與恢復 、CA與密鑰的管理等 . （ 1）、安全認證管理 安全認證管理是由安全認證系統(tǒng)支持的，安全認證系統(tǒng)是網(wǎng)絡安全的重要服務和網(wǎng)絡安全機制的重要組成部分。網(wǎng)絡密碼管理是由密鑰管理中心、各分中心以及網(wǎng)絡各類密碼設備組成。 網(wǎng)絡安全監(jiān)測是網(wǎng)絡安全管理的重要內(nèi)容 ， 是不斷完善網(wǎng)絡安全的必要措施 。驗證還包括實體鑒別。根據(jù)訪問者的身份和有關信息，決定實體的訪問權限。 主要的安全技術和安全產(chǎn)品有防火墻 、 VPN、 信道加密 、 網(wǎng)絡隔離器等 。防火墻分為多種類型，主要可分為包過濾防火墻、應用網(wǎng)關防火墻。 VPN是一種技術或設備。 VPN的具體實施：可以在路由器上增加 VPN功能，可以在服務器或防火墻上實現(xiàn) VPN， VPN網(wǎng)關設備。 （ 3）、信道密碼機 6． 安全基礎 ? 網(wǎng)絡信息安全的基礎 ， 首先是網(wǎng)絡信息處理平臺的安全 ， 包括安全操作系統(tǒng) ， 安全服務器 、 安全數(shù)據(jù)庫等 。 Servers Untrusted Networks amp。另外，漏洞掃描系統(tǒng)執(zhí)行預定的或事件驅(qū)動的網(wǎng)絡探測， 包括對網(wǎng)絡通信服務、操作系統(tǒng)、路由器、電子郵件、 Web服務器、防火墻和應用程序 的檢測，從而識別能被入侵者利用來非法進入網(wǎng)絡的漏洞。它完成下列工作： 入侵行為的檢測 ,記錄和統(tǒng)計會話（ session）的相關數(shù)據(jù) , 給管理功能模塊發(fā) 送鎖定會話 ,告警和提示信息根據(jù)管理功能模塊的要求，對相關事件做出反映 管理功能模塊實現(xiàn)以下功能： 顯示入侵警告信息 ,顯示會話數(shù)據(jù)信息，并且根據(jù)預先定義的時間間隔手動或 自動地予以更新根據(jù)引擎模塊的需要，顯示會話日志對引擎模塊的工作模式 進行配置（根據(jù)用戶權限） 可以有一個管理模塊和多個引擎模塊 . 入侵檢測系統(tǒng)對入侵者的反應 sss