【文章內(nèi)容簡介】 口服務(wù)又恰恰可能存在致命的安全漏洞，這無疑會給該系統(tǒng)帶來嚴(yán)重的安全威脅，從而也給系統(tǒng)所在的網(wǎng)絡(luò)帶來很大的安全威脅。 第 15章 信息安全解決方案 3. 由于人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足，可能會出現(xiàn)各種意想不到的操作失誤，勢必會對系統(tǒng)或者網(wǎng)絡(luò)的安 4. 據(jù)統(tǒng)計(jì)，有 70%的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)的內(nèi)部。對于網(wǎng)絡(luò)內(nèi)部的安全防范會明顯地弱于對于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，因此，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功， 一旦攻擊成功，其強(qiáng)烈的攻擊目的也就必然促成了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。 第 15章 信息安全解決方案 5. 在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)，網(wǎng)絡(luò)病毒的這些新的特點(diǎn)都會對網(wǎng)絡(luò)與應(yīng)用造成極大 第 15章 信息安全解決方案 根據(jù)網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全需求，結(jié)合網(wǎng)絡(luò)安全體系模型， 1. 建議在網(wǎng)絡(luò)的各個(gè)入口處部署防火墻，對進(jìn)入企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)用戶進(jìn)行訪問控制，主要實(shí)現(xiàn)如下防護(hù)功能 : (1) 對網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證，保證網(wǎng)絡(luò)用戶的合法性 。 (2) 能夠屏蔽流行的攻擊手段 。 (3) 對遠(yuǎn)程訪問的用戶提供通信線路的加密連接 。 (4) 第 15章 信息安全解決方案 2. VPN 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)的安全政策控制 (允許、拒絕、監(jiān)測 )出入網(wǎng)絡(luò)的信息流。防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外人被許可訪問所允許的內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問。 并且防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息 第 15章 信息安全解決方案 同時(shí)網(wǎng)絡(luò)通信要對用戶“透明”，部署帶 VPN功能的防火墻，可以同時(shí)實(shí)現(xiàn) “虛擬”和“專用”的安全特性，充分利用已有公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的高效性。 VPNIPSec L2F、 L2TP、 PPTP、 MPPE、 SSL等。其中互聯(lián)網(wǎng)絡(luò)層的安全標(biāo)準(zhǔn)是 IPSec，事實(shí)證明，基于 IPSec技術(shù)構(gòu)建的VPN 第 15章 信息安全解決方案 3. 在傳統(tǒng)的網(wǎng)絡(luò)安全概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實(shí)不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計(jì)算機(jī)網(wǎng)絡(luò)的第一道防線。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡(luò)。另外，據(jù)統(tǒng)計(jì)，有 70％以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。入侵檢測系統(tǒng) (IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用 第 15章 信息安全解決方案 入侵檢測系統(tǒng)是實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)自動(dòng)識別和響應(yīng)系統(tǒng)。它運(yùn)行于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時(shí)，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。 該系統(tǒng)可安裝于防火墻前后，可以對攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時(shí)可以對穿透防火墻的數(shù)據(jù)流進(jìn)行響應(yīng)。 第 15章 信息安全解決方案 在被保護(hù)的局域網(wǎng)中，入侵檢測設(shè)備應(yīng)安裝于易受到攻擊的服務(wù)器或防火墻附近。 這些保護(hù)措施主要是為了監(jiān)控經(jīng)過出口及對重點(diǎn)服務(wù)器進(jìn)行訪問的數(shù)據(jù)流。入侵檢測報(bào)警日志的功能是對所有對網(wǎng) 絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，因此入侵檢測在此處將承擔(dān)實(shí)時(shí)監(jiān)測大量出入整個(gè)網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流的任務(wù)。這些數(shù)據(jù)流引起的報(bào)警日志，可作為系統(tǒng)受到網(wǎng)絡(luò)攻擊的主 入侵檢測、防火墻和漏洞掃描聯(lián)動(dòng)體系示意圖如圖 1541所示。 第 15章 信息安全解決方案 圖 1541 入侵檢測、防火墻和漏洞掃描聯(lián)動(dòng)體系示意圖 第 15章 信息安全解決方案 4. 網(wǎng)絡(luò)的應(yīng)用越來越廣泛，而網(wǎng)絡(luò)不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易地破壞乃至完全地控制系統(tǒng) 。另外，由于管理員的疏忽或者技術(shù)水平的限制所造成的配置漏洞也是廣泛存在的，這對于 第 15章 信息安全解決方案 動(dòng)態(tài)安全的概念是幫助管理員主動(dòng)發(fā)現(xiàn)問題。最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞，保證系統(tǒng)的安全性。因此企業(yè)網(wǎng)絡(luò)系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解 第 15章 信息安全解決方案 在企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)配置中，我們建議采用啟明星辰公司的“天鏡”網(wǎng)絡(luò)漏洞掃描系統(tǒng)。天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)包括了網(wǎng)絡(luò)模擬攻擊、漏洞檢測、報(bào)告服務(wù)進(jìn)程、提取對象信息、評測風(fēng)險(xiǎn)、提供安全建議和改進(jìn)措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能地消除安全隱患。該系統(tǒng)具有強(qiáng)大的漏洞檢測能力和檢測效率、 貼切用戶需求的功能定義、靈活多樣的檢測方式、詳盡的漏洞修補(bǔ)方 第 15章 信息安全解決方案 通過在企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)進(jìn)行自動(dòng)的安全漏洞檢測和分 析，我們可以做到以下幾點(diǎn) : (1) 對企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)重要服務(wù)器和 PC進(jìn)行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞 (這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚至造成系統(tǒng)本身的崩潰 )，生成詳細(xì)的可視化報(bào)告，同 (2) 對企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界組件、基礎(chǔ)組件和其他系統(tǒng)進(jìn)行漏洞掃描，檢查系統(tǒng)的潛在問題，發(fā)現(xiàn)操作系統(tǒng)存在 第 15章 信息安全解決方案 (3) 漏洞掃描系統(tǒng)對網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報(bào)告，使管理員能夠隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時(shí)采取相應(yīng)的措施進(jìn)行修補(bǔ)。 (4) 在核心交換機(jī)上接入一臺裝有漏洞掃描系統(tǒng)軟件的 PC或筆記本電腦，直接輸入目標(biāo)主機(jī)的 IP地址，對其系統(tǒng)的漏洞 第 15章 信息安全解決方案 5. 一般計(jì)算機(jī)的病毒有超過 20%是通過網(wǎng)絡(luò)下載文檔時(shí)感染的，另外有 26%是經(jīng)電子郵件的附加文檔感染的，這就需要一套方便、易用的病毒掃描器，使企業(yè)的計(jì)算機(jī)環(huán)境免受 建議采用三層防病毒部署體系來實(shí)現(xiàn)對企業(yè)網(wǎng)絡(luò)的病毒 第 15章 信息安全解決方案 1) Email 在企業(yè)網(wǎng)絡(luò)系統(tǒng)建成之后，網(wǎng)絡(luò)成了病毒傳播的主要途徑。如果在某網(wǎng)絡(luò)上有一個(gè)用戶不小心擴(kuò)散了一個(gè)被病毒感染的文檔，其結(jié)果將可能是毀滅性的。為了阻止這些“可疑的候選文件”，需要對電子郵件進(jìn)行嚴(yán)格的審查。事實(shí)上，嵌入 Word文檔中的宏病毒通常通過網(wǎng)絡(luò)發(fā)送至未察覺的用戶。 防病毒軟件需要對這一易受攻擊的區(qū)域進(jìn)行保護(hù)，對所有通過網(wǎng)關(guān)出入的電子郵件進(jìn)行掃描，一旦檢測到病毒，能夠自 動(dòng)將該文件隔離并向系統(tǒng)管理員發(fā)