【文章內(nèi)容簡介】 口服務又恰恰可能存在致命的安全漏洞，這無疑會給該系統(tǒng)帶來嚴重的安全威脅，從而也給系統(tǒng)所在的網(wǎng)絡帶來很大的安全威脅。 第 15章 信息安全解決方案 3. 由于人員的技術(shù)水平的局限性以及經(jīng)驗的不足，可能會出現(xiàn)各種意想不到的操作失誤，勢必會對系統(tǒng)或者網(wǎng)絡的安 4. 據(jù)統(tǒng)計，有 70%的網(wǎng)絡攻擊來自于網(wǎng)絡的內(nèi)部。對于網(wǎng)絡內(nèi)部的安全防范會明顯地弱于對于網(wǎng)絡外部的安全防范，而且由于內(nèi)部人員對于內(nèi)部網(wǎng)絡的熟悉程度一般是很高的，因此，由網(wǎng)絡內(nèi)部發(fā)起的攻擊也就必然更容易成功， 一旦攻擊成功，其強烈的攻擊目的也就必然促成了更為隱蔽和嚴重的網(wǎng)絡破壞。 第 15章 信息安全解決方案 5. 在網(wǎng)絡環(huán)境下，網(wǎng)絡病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計算機病毒的共性外，還具有一些新的特點，網(wǎng)絡病毒的這些新的特點都會對網(wǎng)絡與應用造成極大 第 15章 信息安全解決方案 根據(jù)網(wǎng)絡系統(tǒng)的實際安全需求，結(jié)合網(wǎng)絡安全體系模型， 1. 建議在網(wǎng)絡的各個入口處部署防火墻，對進入企業(yè)網(wǎng)絡系統(tǒng)的網(wǎng)絡用戶進行訪問控制，主要實現(xiàn)如下防護功能 : (1) 對網(wǎng)絡用戶進行身份驗證，保證網(wǎng)絡用戶的合法性 。 (2) 能夠屏蔽流行的攻擊手段 。 (3) 對遠程訪問的用戶提供通信線路的加密連接 。 (4) 第 15章 信息安全解決方案 2. VPN 防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡的安全政策控制 (允許、拒絕、監(jiān)測 )出入網(wǎng)絡的信息流。防火墻可以確定哪些內(nèi)部服務允許外部訪問，哪些外人被許可訪問所允許的內(nèi)部服務，哪些外部服務可由內(nèi)部人員訪問。 并且防火墻本身具有較強的抗攻擊能力，它是提供信息 第 15章 信息安全解決方案 同時網(wǎng)絡通信要對用戶“透明”，部署帶 VPN功能的防火墻，可以同時實現(xiàn) “虛擬”和“專用”的安全特性，充分利用已有公共網(wǎng)絡基礎設施的高效性。 VPNIPSec L2F、 L2TP、 PPTP、 MPPE、 SSL等。其中互聯(lián)網(wǎng)絡層的安全標準是 IPSec，事實證明，基于 IPSec技術(shù)構(gòu)建的VPN 第 15章 信息安全解決方案 3. 在傳統(tǒng)的網(wǎng)絡安全概念里，似乎配置了防火墻就標志著網(wǎng)絡的安全，其實不然，防火墻僅僅是部署在網(wǎng)絡邊界的安全設備，它的作用是防止外部的非法入侵，僅僅相當于計算機網(wǎng)絡的第一道防線。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡。另外，據(jù)統(tǒng)計，有 70％以上的攻擊事件來自內(nèi)部網(wǎng)絡，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。入侵檢測系統(tǒng) (IDS)可以彌補防火墻的不足，為網(wǎng)絡安全提供實時的入侵檢測及采取相應的防護手段，如記錄證據(jù)用 第 15章 信息安全解決方案 入侵檢測系統(tǒng)是實時的網(wǎng)絡違規(guī)自動識別和響應系統(tǒng)。它運行于有敏感數(shù)據(jù)需要保護的網(wǎng)絡上，通過實時監(jiān)聽網(wǎng)絡數(shù)據(jù)流，識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應。 該系統(tǒng)可安裝于防火墻前后，可以對攻擊防火墻本身的數(shù)據(jù)流進行響應，同時可以對穿透防火墻的數(shù)據(jù)流進行響應。 第 15章 信息安全解決方案 在被保護的局域網(wǎng)中，入侵檢測設備應安裝于易受到攻擊的服務器或防火墻附近。 這些保護措施主要是為了監(jiān)控經(jīng)過出口及對重點服務器進行訪問的數(shù)據(jù)流。入侵檢測報警日志的功能是對所有對網(wǎng) 絡系統(tǒng)有可能造成危害的數(shù)據(jù)流進行報警及響應。由于網(wǎng)絡攻擊大多來自于網(wǎng)絡的出口位置，因此入侵檢測在此處將承擔實時監(jiān)測大量出入整個網(wǎng)絡的具有破壞性的數(shù)據(jù)流的任務。這些數(shù)據(jù)流引起的報警日志，可作為系統(tǒng)受到網(wǎng)絡攻擊的主 入侵檢測、防火墻和漏洞掃描聯(lián)動體系示意圖如圖 1541所示。 第 15章 信息安全解決方案 圖 1541 入侵檢測、防火墻和漏洞掃描聯(lián)動體系示意圖 第 15章 信息安全解決方案 4. 網(wǎng)絡的應用越來越廣泛，而網(wǎng)絡不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關操作系統(tǒng)、網(wǎng)絡軟件、應用軟件的安全漏洞被公布，利用這些漏洞可以很容易地破壞乃至完全地控制系統(tǒng) 。另外，由于管理員的疏忽或者技術(shù)水平的限制所造成的配置漏洞也是廣泛存在的，這對于 第 15章 信息安全解決方案 動態(tài)安全的概念是幫助管理員主動發(fā)現(xiàn)問題。最有效的方法是定期對網(wǎng)絡系統(tǒng)進行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安全性。因此企業(yè)網(wǎng)絡系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡漏洞并解 第 15章 信息安全解決方案 在企業(yè)網(wǎng)絡系統(tǒng)網(wǎng)絡漏洞掃描系統(tǒng)配置中，我們建議采用啟明星辰公司的“天鏡”網(wǎng)絡漏洞掃描系統(tǒng)。天鏡網(wǎng)絡漏洞掃描系統(tǒng)包括了網(wǎng)絡模擬攻擊、漏洞檢測、報告服務進程、提取對象信息、評測風險、提供安全建議和改進措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能地消除安全隱患。該系統(tǒng)具有強大的漏洞檢測能力和檢測效率、 貼切用戶需求的功能定義、靈活多樣的檢測方式、詳盡的漏洞修補方 第 15章 信息安全解決方案 通過在企業(yè)網(wǎng)絡系統(tǒng)網(wǎng)絡進行自動的安全漏洞檢測和分 析，我們可以做到以下幾點 : (1) 對企業(yè)網(wǎng)絡系統(tǒng)網(wǎng)絡重要服務器和 PC進行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當、疏忽或操作系統(tǒng)本身存在的漏洞 (這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡上懷有惡意的人竊取，甚至造成系統(tǒng)本身的崩潰 )，生成詳細的可視化報告，同 (2) 對企業(yè)網(wǎng)絡系統(tǒng)網(wǎng)絡邊界組件、基礎組件和其他系統(tǒng)進行漏洞掃描，檢查系統(tǒng)的潛在問題，發(fā)現(xiàn)操作系統(tǒng)存在 第 15章 信息安全解決方案 (3) 漏洞掃描系統(tǒng)對網(wǎng)絡及各種系統(tǒng)進行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報告，使管理員能夠隨時了解網(wǎng)絡系統(tǒng)當前存在的漏洞并及時采取相應的措施進行修補。 (4) 在核心交換機上接入一臺裝有漏洞掃描系統(tǒng)軟件的 PC或筆記本電腦，直接輸入目標主機的 IP地址，對其系統(tǒng)的漏洞 第 15章 信息安全解決方案 5. 一般計算機的病毒有超過 20%是通過網(wǎng)絡下載文檔時感染的，另外有 26%是經(jīng)電子郵件的附加文檔感染的，這就需要一套方便、易用的病毒掃描器，使企業(yè)的計算機環(huán)境免受 建議采用三層防病毒部署體系來實現(xiàn)對企業(yè)網(wǎng)絡的病毒 第 15章 信息安全解決方案 1) Email 在企業(yè)網(wǎng)絡系統(tǒng)建成之后，網(wǎng)絡成了病毒傳播的主要途徑。如果在某網(wǎng)絡上有一個用戶不小心擴散了一個被病毒感染的文檔，其結(jié)果將可能是毀滅性的。為了阻止這些“可疑的候選文件”，需要對電子郵件進行嚴格的審查。事實上，嵌入 Word文檔中的宏病毒通常通過網(wǎng)絡發(fā)送至未察覺的用戶。 防病毒軟件需要對這一易受攻擊的區(qū)域進行保護，對所有通過網(wǎng)關出入的電子郵件進行掃描，一旦檢測到病毒，能夠自 動將該文件隔離并向系統(tǒng)管理員發(fā)