【文章內(nèi)容簡(jiǎn)介】 ：安裝系統(tǒng)補(bǔ)丁程序(Patch) ；采用最新版本的服務(wù)方軟件；設(shè)置系統(tǒng)日志；定期檢查系統(tǒng)安全性； 網(wǎng)絡(luò)安全方案 GSN今天的網(wǎng)絡(luò)安全正遭受嚴(yán)峻挑戰(zhàn)。病毒、外部入侵（黑客）、拒絕服務(wù)攻擊、內(nèi)部的誤用和濫用，以及各種災(zāi)難事故的發(fā)生，時(shí)刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)轉(zhuǎn)和信息安全。但與此同時(shí)，大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺乏真正的全局防護(hù)能力。當(dāng)網(wǎng)絡(luò)受到來(lái)自各方面的攻擊時(shí)，由防毒軟件和防火墻等獨(dú)立安全產(chǎn)品堆砌起來(lái)的措施不僅漏洞百出，還會(huì)處處被動(dòng)挨打?？梢詳嘌裕好鎸?duì)復(fù)雜的安全隱患，這種“各自為戰(zhàn)”的安全系統(tǒng)已徹底失去效力。今天，網(wǎng)絡(luò)安全技術(shù)與各種安全隱患之間進(jìn)行的是一場(chǎng)深入、多層次的戰(zhàn)爭(zhēng)。為了徹底扭轉(zhuǎn)“各自為戰(zhàn)”的被動(dòng)局面，唯有用全局化、智能化的安全體系代替陳舊的安防措施。業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備及解決方案供應(yīng)商銳捷網(wǎng)絡(luò)率先發(fā)布了集自動(dòng)防御（自御）、自動(dòng)修復(fù)（自愈）與自動(dòng)學(xué)習(xí)（自育）等三大自“YU”功能于一體的GSN全局安全網(wǎng)絡(luò)解決方案。GSN強(qiáng)調(diào)“多兵種協(xié)同作戰(zhàn)”，將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。在此基礎(chǔ)上，GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求，同時(shí)也為今后可能發(fā)生的安全威脅做出了準(zhǔn)備。GSN，即 Global Security Network，中文名稱“全局安全網(wǎng)絡(luò)”。GSN通過將用戶入網(wǎng)強(qiáng)制安全、主機(jī)信息收集和健康性檢查、安全事件下的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)處理集成到一個(gè)網(wǎng)絡(luò)安全解決方案中，達(dá)到對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御，網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)，同時(shí)針對(duì)網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為進(jìn)行學(xué)習(xí)，達(dá)到對(duì)未知安全事件的防范。GSN方案由銳捷安全交換機(jī)、銳捷安全管理平臺(tái)、銳捷安全計(jì)費(fèi)管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素組成，能實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng)，使每個(gè)設(shè)備都發(fā)揮安全防護(hù)的作用。GSN由三個(gè)層面組成。（1） 后臺(tái)服務(wù)層面：身份認(rèn)證系統(tǒng)——身份認(rèn)證系統(tǒng)能夠提供嚴(yán)格的用戶接入控制，通過準(zhǔn)確的身份認(rèn)證和物理定位來(lái)確保接入用戶的可靠性。用戶認(rèn)證系統(tǒng)針對(duì)用戶的入網(wǎng)，提供入網(wǎng)控制功能，同時(shí)，認(rèn)證系統(tǒng)還可以實(shí)現(xiàn)用戶帳號(hào)、用戶IP、用戶MAC、設(shè)備IP、設(shè)備端口的靜態(tài)綁定、動(dòng)態(tài)綁定以及自動(dòng)綁定，保證用戶入網(wǎng)身份唯一。安全管理平臺(tái)——安全管理平臺(tái)是安全防御體系的管理與控制中心，是統(tǒng)一安全管理平臺(tái)的核心組成部分。通過安全管理平臺(tái)，可以對(duì)系統(tǒng)內(nèi)的安全設(shè)備與系統(tǒng)安全策略進(jìn)行管理，實(shí)現(xiàn)全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，并能有效的配置和管理全局安全設(shè)備，從而實(shí)現(xiàn)全局安全設(shè)備的集中管理，起到安全網(wǎng)管的作用。通過統(tǒng)一的技術(shù)方法，將系統(tǒng)所有的安全日志、安全事件集中收集管理，實(shí)現(xiàn)集中的日志分析、審計(jì)與報(bào)告。同時(shí)通過集中的分析審計(jì)，發(fā)現(xiàn)潛在的攻擊征兆和安全發(fā)展趨勢(shì)，確保安全事件、事故得到及時(shí)的響應(yīng)和處理。安全修復(fù)系統(tǒng)——安全修復(fù)系統(tǒng)的作用是跟蹤安全漏洞的變化，能夠有效地進(jìn)行系統(tǒng)補(bǔ)丁、病毒特征碼或者用戶指定應(yīng)用程序補(bǔ)丁的管理。針對(duì)不同的安全策略，點(diǎn)到面自動(dòng)強(qiáng)制分發(fā)部署補(bǔ)丁程序。（2） 網(wǎng)絡(luò)層面：安全聯(lián)動(dòng)設(shè)備——安全聯(lián)動(dòng)設(shè)備是校園網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。由安全管理平臺(tái)提供標(biāo)準(zhǔn)的協(xié)議接口，同交換機(jī)、路由器、防火墻、IDS等各類網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)安全聯(lián)動(dòng)。（3） 用戶層面：安全客戶端——安全客戶端是安裝在個(gè)人電腦和服務(wù)器上的端點(diǎn)保護(hù)軟件。安全客戶端負(fù)責(zé)收集不同用戶的安全軟件的狀態(tài)信息，包括對(duì)防病毒軟件信息的收集。同時(shí)安全客戶端可以評(píng)估操作系統(tǒng)的版本、補(bǔ)丁程度等信息，并且把這些信息傳遞到安全管理平臺(tái)，沒有進(jìn)行適當(dāng)升級(jí)的主機(jī)將被隔離到網(wǎng)絡(luò)修復(fù)區(qū)域，從而保障網(wǎng)絡(luò)的安全運(yùn)行。與傳統(tǒng)的解決方案不同，安全客戶端通過對(duì)用戶終端設(shè)備信息的搜集，可預(yù)先識(shí)別和防止用戶對(duì)網(wǎng)絡(luò)的惡意行為，排除潛在的已知和未知的安全風(fēng)險(xiǎn)。GSN的優(yōu)勢(shì)：(1)提供統(tǒng)一、嚴(yán)格的用戶入網(wǎng)身份驗(yàn)證機(jī)制GSN提供了統(tǒng)一的身份管理模式，對(duì)接入內(nèi)網(wǎng)的用戶進(jìn)行身份合法性驗(yàn)證沒有合法身份的用戶被隔離在內(nèi)網(wǎng)之外，無(wú)法登錄訪問網(wǎng)絡(luò)。圖（2）支持對(duì)用戶名、密碼、用戶IP、用戶MAC、交換機(jī)IP及交換機(jī)端口六元素進(jìn)行靈活綁定（3）靈活的用戶訪問權(quán)限管理①不同部門和組織的用戶往往需要約束不同的訪問控制權(quán)限②財(cái)務(wù)部門的數(shù)據(jù)服務(wù)器不允許其它部門訪問③訪客用戶不能訪問所有內(nèi)網(wǎng)資源，但允許訪問外網(wǎng)及內(nèi)網(wǎng)的DNS④GSN提供了靈活的訪問權(quán)限控制功能充分滿足用戶權(quán)限控制的多樣化需求（4）GSN端點(diǎn)防護(hù)體系，檢驗(yàn)終端無(wú)漏洞、病毒、木馬后方能進(jìn)入網(wǎng)絡(luò)（5）與殺毒軟件、IDS等聯(lián)動(dòng)通過對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，再加上黑客、病毒等安全危脅日益嚴(yán)重。網(wǎng)絡(luò)安全問題的解決勢(shì)在必行。針對(duì)不同安全風(fēng)險(xiǎn)必須采用相應(yīng)的安全措施來(lái)解決。使網(wǎng)絡(luò)安全達(dá)到一定的安全目標(biāo)。 需求 物理上安全需求針對(duì)重要信息可能通過電磁輻射或線路干擾等泄漏。需要對(duì)存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。對(duì)重要的設(shè)備進(jìn)行備份；對(duì)重要系統(tǒng)進(jìn)行備份等安全保護(hù)。 訪問控制需求 防范非法用戶非法訪問非法用戶的非法訪問也就是黑客或間諜的攻擊行為。在沒有任何防范措施的情況下，網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全，如用戶名及口令字這些簡(jiǎn)單的控制。但對(duì)于用戶名及口令的保護(hù)方式，對(duì)有攻出擊目的的人而言，根本就不是一種障礙。他們可以通過對(duì)網(wǎng)絡(luò)上信息的監(jiān)聽，得到用戶名及口令或者通過猜測(cè)用戶及口令，這都將不是難事，而且可以說(shuō)只要花費(fèi)很少的時(shí)間。因此，要采取一定的訪問控制手段，防范來(lái)自非法用戶的攻擊，嚴(yán)格控制只在合法用戶才能訪問合法資源。 防范合法用戶非授權(quán)訪問合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源。一般來(lái)說(shuō)，每個(gè)成員的主機(jī)系統(tǒng)中，有一部份信息是可以對(duì)外開放，而有些信息是要求保密或具有一定的隱私性。外部用戶被允許正常訪問的一定的信息，但他同時(shí)通過一些手段越權(quán)訪問了別人不允許他訪問的信息，因此而造成他人的信息泄密。所以，還得加密訪問控制的機(jī)制，對(duì)服務(wù)及訪問僅限過行嚴(yán)格控制。 防范假冒合法用戶非法訪問從管理上及實(shí)際需求上是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源。那么，入侵者便會(huì)在用戶下班或關(guān)機(jī)的情況下，假冒合法用戶的IP地址或用戶名等資源進(jìn)行非法訪問。因此，必需從訪問控制上做到防止假冒而過行的非法訪問。 加密機(jī)需求加密傳輸是網(wǎng)絡(luò)安全重要手段之一。信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對(duì)方，造成數(shù)據(jù)真實(shí)性、完整性得不到保證。如果利用加密設(shè)備對(duì)傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳的數(shù)據(jù)以密文傳輸，因?yàn)閿?shù)據(jù)是密文。所以，即使，在傳輸過程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過先進(jìn)行技術(shù)手段，對(duì)數(shù)據(jù)傳輸過程中的完整性、真實(shí)性進(jìn)行鑒別?？梢员ＷC數(shù)據(jù)的保密性、完整性及可靠性。因此，必需配備加密設(shè)備對(duì)數(shù)據(jù)進(jìn)行傳輸加密。 入侵檢測(cè)系統(tǒng)需求也許有人認(rèn)為，網(wǎng)絡(luò)配了防火墻就安全了，就可以高枕無(wú)憂了。其實(shí)，這是一種錯(cuò)誤的認(rèn)識(shí)，網(wǎng)絡(luò)安全是整體的，動(dòng)態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對(duì)所有的訪問進(jìn)行嚴(yán)格控制（允許、禁止、報(bào)警）。但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊。所以確保網(wǎng)絡(luò)更加安全必須配備入侵檢測(cè)系統(tǒng)，對(duì)透過防火墻的攻擊進(jìn)行檢測(cè)并做相應(yīng)反應(yīng)（記錄、報(bào)警、阻斷）。 安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)需求網(wǎng)絡(luò)系統(tǒng)存在安全漏洞（如安全配置不嚴(yán)密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過一些程來(lái)探測(cè)網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相就技術(shù)進(jìn)行攻擊，因此，必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測(cè)網(wǎng)絡(luò)中存在的安全漏洞，并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞，對(duì)網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進(jìn)行安全配置。 防病毒系統(tǒng)需求針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從客戶端到網(wǎng)關(guān)的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。 安全管理體制健全的人的安全意識(shí)可以通過安全常識(shí)培訓(xùn)來(lái)提高。人的行為的約束只能通過嚴(yán)格的管理體制，并利用法律手段來(lái)實(shí)現(xiàn)。 構(gòu)建CA系統(tǒng)由于網(wǎng)絡(luò)系統(tǒng)必須采用加密措施。而加密系統(tǒng)通常都通過加密密鑰來(lái)實(shí)現(xiàn)，而密鑰的分發(fā)及管理的可靠性卻存在安全問題，構(gòu)建CA系統(tǒng)就是在這個(gè)基礎(chǔ)上提出的。通過信任的第三方來(lái)確保通信雙方互相交換信息。 安全目標(biāo)基于以上的需求分析，我們認(rèn)為網(wǎng)絡(luò)系統(tǒng)可以實(shí)現(xiàn)以下安全目標(biāo)： ?保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性 ?保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性 ?防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問?防范入侵者的惡意攻擊與破壞?保護(hù)校園信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性?防范病毒的侵害?實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。 網(wǎng)絡(luò)安全實(shí)現(xiàn)策略及產(chǎn)品選型原則網(wǎng)絡(luò)安全防范是通過安全技術(shù)、安全產(chǎn)品集成及安全管理來(lái)實(shí)現(xiàn)。其中安全產(chǎn)品的集成便涉及如何選擇網(wǎng)絡(luò)安全產(chǎn)品？在進(jìn)行網(wǎng)絡(luò)安全產(chǎn)品選型時(shí)，應(yīng)該要求網(wǎng)絡(luò)安全產(chǎn)品滿足兩方面的要求：一是安全產(chǎn)品必須符合國(guó)家有關(guān)安全管理部門的政策要求；二是安全產(chǎn)品的功能與性能要求。滿足國(guó)家管理部門的政策性方面要求針對(duì)相關(guān)的安全產(chǎn)品必須查看其是否得到相應(yīng)的許可證，如： ?密碼產(chǎn)品滿足國(guó)家密碼管理委員會(huì)的要求。 ?安全產(chǎn)品獲得國(guó)家公安部頒發(fā)的銷售許可證。 ?安全產(chǎn)品獲得中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心的測(cè)評(píng)認(rèn)證。 ?安全產(chǎn)品獲