【正文】 企業(yè)網(wǎng)絡(luò)的安全需求 ? 企業(yè)網(wǎng)絡(luò)進(jìn)出口控制（ IP過(guò)濾）； ? 解決企業(yè)網(wǎng)絡(luò)本身內(nèi)部的安全，如果解決了各個(gè)企業(yè)網(wǎng)的安全，那么企業(yè)互聯(lián)的安全只需解決鏈路層的通訊加密。 ? 我們都知道，信息在社會(huì)生活中非常重要，如果信息在安全方面稍微有點(diǎn)漏洞，就有可能被 “ 黑客 ” 利用，搗毀數(shù)據(jù)及網(wǎng)絡(luò)，對(duì)人民的正常生活、社會(huì)的正常運(yùn)作造成不同程度的影響，同時(shí)給企事業(yè)單位會(huì)帶來(lái)經(jīng)濟(jì)損失。近期而言，新運(yùn)營(yíng)商的日標(biāo)就是要之初的建造世紀(jì) IP 基礎(chǔ)設(shè)施，而對(duì)老運(yùn)營(yíng)商而言，其目標(biāo)將是改造現(xiàn)有的網(wǎng)絡(luò)，使之成為適應(yīng)或比較適應(yīng) IP 業(yè)務(wù)的網(wǎng)絡(luò) . 語(yǔ)音 ,數(shù)據(jù) ,圖象 IP技術(shù) 電話 網(wǎng)絡(luò)安全在企業(yè)業(yè)務(wù)中的作用 ? 建造企業(yè)信息化基礎(chǔ)設(shè)施的原則是什么？是迅速、準(zhǔn)確、智能、安全、可靠、可控和經(jīng)濟(jì)。 ? 經(jīng)歷了 100 多年的發(fā)展，信息產(chǎn)業(yè)的格局正在發(fā)生歷史性變革。那就是要為電話建立一個(gè)能夠提供全球性服務(wù)的網(wǎng)絡(luò)，該網(wǎng)絡(luò)應(yīng)具有迅速、準(zhǔn)確、智能、安全、可靠、可控和經(jīng)濟(jì)的特點(diǎn)。 ? 使用基于 IP 的技術(shù)、應(yīng)用和服務(wù)層出不窮，因此重建 IP 網(wǎng)絡(luò)基礎(chǔ)設(shè)施成為一種潮流、這也將成為整個(gè)通信重建的第一步。所以，在新生的互聯(lián)網(wǎng)時(shí)代中，網(wǎng)絡(luò)安全是企業(yè)業(yè)務(wù)所面臨的一個(gè)嚴(yán)峻考驗(yàn)。事實(shí)上，權(quán)威數(shù)據(jù)表明，來(lái)自于內(nèi)部的攻擊，其成功的可能性要遠(yuǎn)遠(yuǎn)大于來(lái)自于Inter的攻擊，而且內(nèi)部攻擊的目標(biāo)主要是獲取企業(yè)的機(jī)密信息，如各種圖紙、重要的數(shù)據(jù)等，其損失要遠(yuǎn)遠(yuǎn)高于系統(tǒng)破壞。各網(wǎng)之間通過(guò)防火墻或虛擬網(wǎng)段進(jìn)行分割和訪問(wèn)權(quán)限的控制。 ? 安全檢測(cè)和報(bào)警、防殺病毒，實(shí)時(shí)對(duì)公開(kāi)網(wǎng)絡(luò)和公開(kāi)服務(wù)器進(jìn)行安全掃描和檢測(cè)，及時(shí)發(fā)現(xiàn)不安全因素，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行報(bào)警。 ? 需要采用網(wǎng)絡(luò)防病毒機(jī)制來(lái)防止網(wǎng)絡(luò)病毒的攻擊和蔓延。其安全性主要在用戶和服務(wù)器間的雙向身份認(rèn)證以及信息和服務(wù)資源的訪問(wèn)控制，具有審計(jì)和記錄機(jī)制，確保防止拒絕和防抵賴的防否認(rèn)機(jī)制。將內(nèi)部使用的各種應(yīng)用服務(wù)器統(tǒng)統(tǒng)放在內(nèi)網(wǎng) ,將各種危險(xiǎn)的服務(wù)器屏蔽在外網(wǎng) 。 常見(jiàn)的攻擊與威協(xié) ? 黑客 ? 病毒 ? 特洛伊木馬 ? 后門 ? 拒絕服務(wù) ? 指令操作 ? 工具軟件 ? 編程 攻擊者與攻擊活動(dòng) ? 黑客 ? 不滿的內(nèi)部人員 (據(jù)大量統(tǒng)計(jì)表明占 80%,應(yīng)引超重視 ) ? 罪犯與商業(yè)間諜 (這是最危險(xiǎn)的一類應(yīng)時(shí)刻警惕 ) ? 執(zhí)行進(jìn)程 ? 獲取數(shù)據(jù) ? 修改數(shù)據(jù) ? 暴露信息 ? 獲取超級(jí)用戶權(quán)限或特定權(quán)限 ? 發(fā)動(dòng)拒絕服務(wù)攻擊 攻擊手法舉例 ? 弱口令 ? 網(wǎng)絡(luò)監(jiān)聽(tīng) 監(jiān)聽(tīng)工具 (如 Snifft NetXRay 管理員 /黑客 ) 以太網(wǎng) FDDI Tcp/IP ? 緩沖區(qū)溢出 passwd(uidsuid) ? 惡意破壞的代碼 :病毒 ? Web欺騙 ? 利用程序錯(cuò)誤的攻擊 淚滴 (Teardrop)攻擊 網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品 ? 防火墻 (包過(guò)濾 ,應(yīng)用代理 ,狀態(tài)監(jiān)測(cè) ) ? 入侵檢測(cè) ? 漏洞掃描 ,安全評(píng)估 ? 3A ? 密碼機(jī) /卡 VPN ? 物理隔離 ? 取證 信息偽裝 ? 安全管理平臺(tái) ? 密碼技術(shù) ? 帶寬 /高性能 (算法與硬件技術(shù) ) ? 人工智能 /數(shù)據(jù)挖掘 /輔助決策 ? 系統(tǒng) 工程 (規(guī)化與布置 ) 案例之一 威協(xié)分析 對(duì)公司和企業(yè)的網(wǎng)絡(luò)應(yīng)用而言，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要來(lái)自兩個(gè)方面： ? 來(lái)自 Inter的攻擊與破壞：由于 OA辦公網(wǎng)直接接入Inter，將面臨來(lái)自 Inter的網(wǎng)絡(luò)入侵、黑客攻擊和病毒傳播。利用現(xiàn)有的 L3/L2交換機(jī)，設(shè)置 VLAN： ? VLAN1—— 包括所有的 Windows桌面 PC，以及不需要特殊防護(hù)的 NT服務(wù)器 ? VLAN2—— 需要實(shí)施保護(hù)的 NT、 UNIX服務(wù)器，本身需要訪問(wèn) OMCSub與 BillingSub，或?yàn)?VLAN1內(nèi)的桌面 PC提供代理訪問(wèn) OMCSub與 BillingSub的UNIX工作站，應(yīng)歸入 VLAN2。 ? 設(shè)置高性能防火墻，連接兩臺(tái)中心交換機(jī)（ SSR86001和 SSR86002），提供 VLAN1與 VLAN2的網(wǎng)絡(luò)層訪問(wèn)控制。 ? 結(jié)合防火墻配置安全監(jiān)測(cè)軟件，實(shí)時(shí)監(jiān)測(cè)并阻斷網(wǎng)絡(luò)上的攻擊事件的發(fā)生。 包括網(wǎng)絡(luò)安全領(lǐng)導(dǎo)體系 、 技術(shù)指導(dǎo)體系和管理體系 。網(wǎng)絡(luò)信息安全保密的實(shí)現(xiàn)，管理措施和技術(shù)手段兩者不能偏廢，缺一不可。 （ 3）、完善管理體制，加強(qiáng)管理的策略 管理體制是安全保密措施的重要組成部分，在網(wǎng)絡(luò)安全保密產(chǎn)品尚沒(méi)全面發(fā)揮作用的情況下，制定完善的管理措施十分必要。安全可靠、嚴(yán)密穩(wěn)固的網(wǎng)絡(luò)安全保密系統(tǒng)與高效、靈活的網(wǎng)絡(luò)服務(wù)常常是一對(duì)矛盾。 包括安全監(jiān)測(cè)預(yù)警 、 審計(jì)跟蹤 、 病毒防治 、 信息備份與恢復(fù) 、CA與密鑰的管理等 . （ 1）、安全認(rèn)證管理 安全認(rèn)證管理是由安全認(rèn)證系統(tǒng)支持的，安全認(rèn)證系統(tǒng)是網(wǎng)絡(luò)安全的重要服務(wù)和網(wǎng)絡(luò)安全機(jī)制的重要組成部分。網(wǎng)絡(luò)密碼管理是由密鑰管理中心、各分中心以及網(wǎng)絡(luò)各類密碼設(shè)備組成。 網(wǎng)絡(luò)安全監(jiān)測(cè)是網(wǎng)絡(luò)安全管理的重要內(nèi)容 ， 是不斷完善網(wǎng)絡(luò)安全的必要措施 。驗(yàn)證還包括實(shí)體鑒別。根據(jù)訪問(wèn)者的身份和有關(guān)信息，決定實(shí)體的訪問(wèn)權(quán)限。 主要的安全技術(shù)和安全產(chǎn)品有防火墻 、 VPN、 信道加密 、 網(wǎng)絡(luò)隔離器等 。防火墻分為多種類型，主要可分為包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻。 VPN是一種技術(shù)或設(shè)備。 VPN的具體實(shí)施：可以在路由器上增加 VPN功能，可以在服務(wù)器或防火墻上實(shí)現(xiàn) VPN， VPN網(wǎng)關(guān)設(shè)備。 （ 3）、信道密碼機(jī) 6． 安全基礎(chǔ) ? 網(wǎng)絡(luò)信息安全的基礎(chǔ) ， 首先是網(wǎng)絡(luò)信息處理平臺(tái)的安全 ， 包括安全操作系統(tǒng) ， 安全服務(wù)器 、 安全數(shù)據(jù)庫(kù)等 。 Servers Untrusted Networks amp。另外，漏洞掃描系統(tǒng)執(zhí)行預(yù)定的或事件驅(qū)動(dòng)的網(wǎng)絡(luò)探測(cè)， 包括對(duì)網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、 Web服務(wù)器、防火墻和應(yīng)用程序 的檢測(cè)，從而識(shí)別能被入侵者利用來(lái)非法進(jìn)入網(wǎng)絡(luò)的漏洞。它完成下列工作： 入侵行為的檢測(cè) ,記錄和統(tǒng)計(jì)會(huì)話（ session）的相關(guān)數(shù)據(jù) , 給管理功能模塊發(fā) 送鎖定會(huì)話 ,告警和提示信息根據(jù)管理功能模塊的要求，對(duì)相關(guān)事件做出反映 管理功能模塊實(shí)現(xiàn)以下功能： 顯示入侵警告信息 ,顯示會(huì)話數(shù)據(jù)信息，并且根據(jù)預(yù)先定義的時(shí)間間隔手動(dòng)或 自動(dòng)地予以更新根據(jù)引擎模塊的需要，顯示會(huì)話日志對(duì)引擎模塊的工作模式 進(jìn)行配置（根據(jù)用戶權(quán)限） 可以有一個(gè)管理模塊和多個(gè)引擎模塊 . 入侵檢測(cè)系統(tǒng)對(duì)入侵者的反應(yīng) sss