【正文】 企業(yè)網(wǎng)絡(luò)的安全需求 ? 企業(yè)網(wǎng)絡(luò)進出口控制（ IP過濾）； ? 解決企業(yè)網(wǎng)絡(luò)本身內(nèi)部的安全，如果解決了各個企業(yè)網(wǎng)的安全，那么企業(yè)互聯(lián)的安全只需解決鏈路層的通訊加密。 ? 我們都知道，信息在社會生活中非常重要，如果信息在安全方面稍微有點漏洞，就有可能被 “ 黑客 ” 利用，搗毀數(shù)據(jù)及網(wǎng)絡(luò)，對人民的正常生活、社會的正常運作造成不同程度的影響，同時給企事業(yè)單位會帶來經(jīng)濟損失。近期而言，新運營商的日標就是要之初的建造世紀 IP 基礎(chǔ)設(shè)施，而對老運營商而言，其目標將是改造現(xiàn)有的網(wǎng)絡(luò)，使之成為適應(yīng)或比較適應(yīng) IP 業(yè)務(wù)的網(wǎng)絡(luò) . 語音 ,數(shù)據(jù) ,圖象 IP技術(shù) 電話 網(wǎng)絡(luò)安全在企業(yè)業(yè)務(wù)中的作用 ? 建造企業(yè)信息化基礎(chǔ)設(shè)施的原則是什么？是迅速、準確、智能、安全、可靠、可控和經(jīng)濟。 ? 經(jīng)歷了 100 多年的發(fā)展，信息產(chǎn)業(yè)的格局正在發(fā)生歷史性變革。那就是要為電話建立一個能夠提供全球性服務(wù)的網(wǎng)絡(luò)，該網(wǎng)絡(luò)應(yīng)具有迅速、準確、智能、安全、可靠、可控和經(jīng)濟的特點。 ? 使用基于 IP 的技術(shù)、應(yīng)用和服務(wù)層出不窮，因此重建 IP 網(wǎng)絡(luò)基礎(chǔ)設(shè)施成為一種潮流、這也將成為整個通信重建的第一步。所以，在新生的互聯(lián)網(wǎng)時代中，網(wǎng)絡(luò)安全是企業(yè)業(yè)務(wù)所面臨的一個嚴峻考驗。事實上，權(quán)威數(shù)據(jù)表明，來自于內(nèi)部的攻擊，其成功的可能性要遠遠大于來自于Inter的攻擊，而且內(nèi)部攻擊的目標主要是獲取企業(yè)的機密信息，如各種圖紙、重要的數(shù)據(jù)等，其損失要遠遠高于系統(tǒng)破壞。各網(wǎng)之間通過防火墻或虛擬網(wǎng)段進行分割和訪問權(quán)限的控制。 ? 安全檢測和報警、防殺病毒，實時對公開網(wǎng)絡(luò)和公開服務(wù)器進行安全掃描和檢測，及時發(fā)現(xiàn)不安全因素，對網(wǎng)絡(luò)攻擊進行報警。 ? 需要采用網(wǎng)絡(luò)防病毒機制來防止網(wǎng)絡(luò)病毒的攻擊和蔓延。其安全性主要在用戶和服務(wù)器間的雙向身份認證以及信息和服務(wù)資源的訪問控制，具有審計和記錄機制，確保防止拒絕和防抵賴的防否認機制。將內(nèi)部使用的各種應(yīng)用服務(wù)器統(tǒng)統(tǒng)放在內(nèi)網(wǎng) ,將各種危險的服務(wù)器屏蔽在外網(wǎng) 。 常見的攻擊與威協(xié) ? 黑客 ? 病毒 ? 特洛伊木馬 ? 后門 ? 拒絕服務(wù) ? 指令操作 ? 工具軟件 ? 編程 攻擊者與攻擊活動 ? 黑客 ? 不滿的內(nèi)部人員 (據(jù)大量統(tǒng)計表明占 80%,應(yīng)引超重視 ) ? 罪犯與商業(yè)間諜 (這是最危險的一類應(yīng)時刻警惕 ) ? 執(zhí)行進程 ? 獲取數(shù)據(jù) ? 修改數(shù)據(jù) ? 暴露信息 ? 獲取超級用戶權(quán)限或特定權(quán)限 ? 發(fā)動拒絕服務(wù)攻擊 攻擊手法舉例 ? 弱口令 ? 網(wǎng)絡(luò)監(jiān)聽 監(jiān)聽工具 (如 Snifft NetXRay 管理員 /黑客 ) 以太網(wǎng) FDDI Tcp/IP ? 緩沖區(qū)溢出 passwd(uidsuid) ? 惡意破壞的代碼 :病毒 ? Web欺騙 ? 利用程序錯誤的攻擊 淚滴 (Teardrop)攻擊 網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品 ? 防火墻 (包過濾 ,應(yīng)用代理 ,狀態(tài)監(jiān)測 ) ? 入侵檢測 ? 漏洞掃描 ,安全評估 ? 3A ? 密碼機 /卡 VPN ? 物理隔離 ? 取證 信息偽裝 ? 安全管理平臺 ? 密碼技術(shù) ? 帶寬 /高性能 (算法與硬件技術(shù) ) ? 人工智能 /數(shù)據(jù)挖掘 /輔助決策 ? 系統(tǒng) 工程 (規(guī)化與布置 ) 案例之一 威協(xié)分析 對公司和企業(yè)的網(wǎng)絡(luò)應(yīng)用而言，網(wǎng)絡(luò)安全風險主要來自兩個方面： ? 來自 Inter的攻擊與破壞：由于 OA辦公網(wǎng)直接接入Inter，將面臨來自 Inter的網(wǎng)絡(luò)入侵、黑客攻擊和病毒傳播。利用現(xiàn)有的 L3/L2交換機，設(shè)置 VLAN： ? VLAN1—— 包括所有的 Windows桌面 PC，以及不需要特殊防護的 NT服務(wù)器 ? VLAN2—— 需要實施保護的 NT、 UNIX服務(wù)器，本身需要訪問 OMCSub與 BillingSub，或為 VLAN1內(nèi)的桌面 PC提供代理訪問 OMCSub與 BillingSub的UNIX工作站，應(yīng)歸入 VLAN2。 ? 設(shè)置高性能防火墻，連接兩臺中心交換機（ SSR86001和 SSR86002），提供 VLAN1與 VLAN2的網(wǎng)絡(luò)層訪問控制。 ? 結(jié)合防火墻配置安全監(jiān)測軟件，實時監(jiān)測并阻斷網(wǎng)絡(luò)上的攻擊事件的發(fā)生。 包括網(wǎng)絡(luò)安全領(lǐng)導(dǎo)體系 、 技術(shù)指導(dǎo)體系和管理體系 。網(wǎng)絡(luò)信息安全保密的實現(xiàn)，管理措施和技術(shù)手段兩者不能偏廢，缺一不可。 （ 3）、完善管理體制，加強管理的策略 管理體制是安全保密措施的重要組成部分，在網(wǎng)絡(luò)安全保密產(chǎn)品尚沒全面發(fā)揮作用的情況下，制定完善的管理措施十分必要。安全可靠、嚴密穩(wěn)固的網(wǎng)絡(luò)安全保密系統(tǒng)與高效、靈活的網(wǎng)絡(luò)服務(wù)常常是一對矛盾。 包括安全監(jiān)測預(yù)警 、 審計跟蹤 、 病毒防治 、 信息備份與恢復(fù) 、CA與密鑰的管理等 . （ 1）、安全認證管理 安全認證管理是由安全認證系統(tǒng)支持的，安全認證系統(tǒng)是網(wǎng)絡(luò)安全的重要服務(wù)和網(wǎng)絡(luò)安全機制的重要組成部分。網(wǎng)絡(luò)密碼管理是由密鑰管理中心、各分中心以及網(wǎng)絡(luò)各類密碼設(shè)備組成。 網(wǎng)絡(luò)安全監(jiān)測是網(wǎng)絡(luò)安全管理的重要內(nèi)容 ， 是不斷完善網(wǎng)絡(luò)安全的必要措施 。驗證還包括實體鑒別。根據(jù)訪問者的身份和有關(guān)信息，決定實體的訪問權(quán)限。 主要的安全技術(shù)和安全產(chǎn)品有防火墻 、 VPN、 信道加密 、 網(wǎng)絡(luò)隔離器等 。防火墻分為多種類型，主要可分為包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻。 VPN是一種技術(shù)或設(shè)備。 VPN的具體實施：可以在路由器上增加 VPN功能，可以在服務(wù)器或防火墻上實現(xiàn) VPN， VPN網(wǎng)關(guān)設(shè)備。 （ 3）、信道密碼機 6． 安全基礎(chǔ) ? 網(wǎng)絡(luò)信息安全的基礎(chǔ) ， 首先是網(wǎng)絡(luò)信息處理平臺的安全 ， 包括安全操作系統(tǒng) ， 安全服務(wù)器 、 安全數(shù)據(jù)庫等 。 Servers Untrusted Networks amp。另外，漏洞掃描系統(tǒng)執(zhí)行預(yù)定的或事件驅(qū)動的網(wǎng)絡(luò)探測， 包括對網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、 Web服務(wù)器、防火墻和應(yīng)用程序 的檢測，從而識別能被入侵者利用來非法進入網(wǎng)絡(luò)的漏洞。它完成下列工作： 入侵行為的檢測 ,記錄和統(tǒng)計會話（ session）的相關(guān)數(shù)據(jù) , 給管理功能模塊發(fā) 送鎖定會話 ,告警和提示信息根據(jù)管理功能模塊的要求，對相關(guān)事件做出反映 管理功能模塊實現(xiàn)以下功能： 顯示入侵警告信息 ,顯示會話數(shù)據(jù)信息，并且根據(jù)預(yù)先定義的時間間隔手動或 自動地予以更新根據(jù)引擎模塊的需要，顯示會話日志對引擎模塊的工作模式 進行配置（根據(jù)用戶權(quán)限） 可以有一個管理模塊和多個引擎模塊 . 入侵檢測系統(tǒng)對入侵者的反應(yīng) sss