【文章內(nèi)容簡(jiǎn)介】 列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)的安全政策控制 (允許、拒絕、監(jiān)測(cè) )出入網(wǎng)絡(luò)的信息流。防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，哪些外人被許可訪問(wèn)所允許的內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問(wèn)。 并且防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息 第 15章 信息安全解決方案 同時(shí)網(wǎng)絡(luò)通信要對(duì)用戶“透明”，部署帶 VPN功能的防火墻，可以同時(shí)實(shí)現(xiàn) “虛擬”和“專用”的安全特性，充分利用已有公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的高效性。 VPNIPSec L2F、 L2TP、 PPTP、 MPPE、 SSL等。其中互聯(lián)網(wǎng)絡(luò)層的安全標(biāo)準(zhǔn)是 IPSec，事實(shí)證明，基于 IPSec技術(shù)構(gòu)建的VPN 第 15章 信息安全解決方案 3. 在傳統(tǒng)的網(wǎng)絡(luò)安全概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實(shí)不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計(jì)算機(jī)網(wǎng)絡(luò)的第一道防線。雖然通過(guò)防火墻可以隔離大部分的外部攻擊，但是仍然會(huì)有小部分攻擊通過(guò)正常的訪問(wèn)的漏洞滲透到內(nèi)部網(wǎng)絡(luò)。另外，據(jù)統(tǒng)計(jì)，有 70％以上的攻擊事件來(lái)自內(nèi)部網(wǎng)絡(luò)，也就是說(shuō)內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。入侵檢測(cè)系統(tǒng) (IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用 第 15章 信息安全解決方案 入侵檢測(cè)系統(tǒng)是實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。它運(yùn)行于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試時(shí)，入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。 該系統(tǒng)可安裝于防火墻前后，可以對(duì)攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時(shí)可以對(duì)穿透防火墻的數(shù)據(jù)流進(jìn)行響應(yīng)。 第 15章 信息安全解決方案 在被保護(hù)的局域網(wǎng)中，入侵檢測(cè)設(shè)備應(yīng)安裝于易受到攻擊的服務(wù)器或防火墻附近。 這些保護(hù)措施主要是為了監(jiān)控經(jīng)過(guò)出口及對(duì)重點(diǎn)服務(wù)器進(jìn)行訪問(wèn)的數(shù)據(jù)流。入侵檢測(cè)報(bào)警日志的功能是對(duì)所有對(duì)網(wǎng) 絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。由于網(wǎng)絡(luò)攻擊大多來(lái)自于網(wǎng)絡(luò)的出口位置，因此入侵檢測(cè)在此處將承擔(dān)實(shí)時(shí)監(jiān)測(cè)大量出入整個(gè)網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流的任務(wù)。這些數(shù)據(jù)流引起的報(bào)警日志，可作為系統(tǒng)受到網(wǎng)絡(luò)攻擊的主 入侵檢測(cè)、防火墻和漏洞掃描聯(lián)動(dòng)體系示意圖如圖 1541所示。 第 15章 信息安全解決方案 圖 1541 入侵檢測(cè)、防火墻和漏洞掃描聯(lián)動(dòng)體系示意圖 第 15章 信息安全解決方案 4. 網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，而網(wǎng)絡(luò)不可避免的安全問(wèn)題也就越來(lái)越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易地破壞乃至完全地控制系統(tǒng) 。另外，由于管理員的疏忽或者技術(shù)水平的限制所造成的配置漏洞也是廣泛存在的，這對(duì)于 第 15章 信息安全解決方案 動(dòng)態(tài)安全的概念是幫助管理員主動(dòng)發(fā)現(xiàn)問(wèn)題。最有效的方法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞，保證系統(tǒng)的安全性。因此企業(yè)網(wǎng)絡(luò)系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解 第 15章 信息安全解決方案 在企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)配置中，我們建議采用啟明星辰公司的“天鏡”網(wǎng)絡(luò)漏洞掃描系統(tǒng)。天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)包括了網(wǎng)絡(luò)模擬攻擊、漏洞檢測(cè)、報(bào)告服務(wù)進(jìn)程、提取對(duì)象信息、評(píng)測(cè)風(fēng)險(xiǎn)、提供安全建議和改進(jìn)措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能地消除安全隱患。該系統(tǒng)具有強(qiáng)大的漏洞檢測(cè)能力和檢測(cè)效率、 貼切用戶需求的功能定義、靈活多樣的檢測(cè)方式、詳盡的漏洞修補(bǔ)方 第 15章 信息安全解決方案 通過(guò)在企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分 析，我們可以做到以下幾點(diǎn) : (1) 對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)重要服務(wù)器和 PC進(jìn)行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞 (這些漏洞會(huì)使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚至造成系統(tǒng)本身的崩潰 )，生成詳細(xì)的可視化報(bào)告，同 (2) 對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界組件、基礎(chǔ)組件和其他系統(tǒng)進(jìn)行漏洞掃描，檢查系統(tǒng)的潛在問(wèn)題，發(fā)現(xiàn)操作系統(tǒng)存在 第 15章 信息安全解決方案 (3) 漏洞掃描系統(tǒng)對(duì)網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測(cè)，并向安全管理員提供系統(tǒng)最新的漏洞報(bào)告，使管理員能夠隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時(shí)采取相應(yīng)的措施進(jìn)行修補(bǔ)。 (4) 在核心交換機(jī)上接入一臺(tái)裝有漏洞掃描系統(tǒng)軟件的 PC或筆記本電腦，直接輸入目標(biāo)主機(jī)的 IP地址，對(duì)其系統(tǒng)的漏洞 第 15章 信息安全解決方案 5. 一般計(jì)算機(jī)的病毒有超過(guò) 20%是通過(guò)網(wǎng)絡(luò)下載文檔時(shí)感染的，另外有 26%是經(jīng)電子郵件的附加文檔感染的，這就需要一套方便、易用的病毒掃描器，使企業(yè)的計(jì)算機(jī)環(huán)境免受 建議采用三層防病毒部署體系來(lái)實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的病毒 第 15章 信息安全解決方案 1) Email 在企業(yè)網(wǎng)絡(luò)系統(tǒng)建成之后，網(wǎng)絡(luò)成了病毒傳播的主要途徑。如果在某網(wǎng)絡(luò)上有一個(gè)用戶不小心擴(kuò)散了一個(gè)被病毒感染的文檔，其結(jié)果將可能是毀滅性的。為了阻止這些“可疑的候選文件”，需要對(duì)電子郵件進(jìn)行嚴(yán)格的審查。事實(shí)上，嵌入 Word文檔中的宏病毒通常通過(guò)網(wǎng)絡(luò)發(fā)送至未察覺的用戶。 防病毒軟件需要對(duì)這一易受攻擊的區(qū)域進(jìn)行保護(hù)，對(duì)所有通過(guò)網(wǎng)關(guān)出入的電子郵件進(jìn)行掃描，一旦檢測(cè)到病毒，能夠自 動(dòng)將該文件隔離并向系統(tǒng)管理員發(fā)出警告。它同時(shí)對(duì)內(nèi)容進(jìn)行過(guò)濾 (以阻止病毒欺騙 )和創(chuàng)建歷史記錄 (以跟蹤每個(gè)檢測(cè)到的病毒起源 ) 第 15章 信息安全解決方案 一般來(lái)說(shuō)，基于郵件系統(tǒng)的病毒發(fā)作主要是從客戶端開始的，同時(shí)這種病毒感染的對(duì)象主要是基于 Windows平臺(tái)的主機(jī)和服務(wù)器，對(duì)其他平臺(tái)沒有感染能力，所以，我們主要 第 15章 信息安全解決方案 2) 如果服務(wù)器被感染，其感染文件將成為病毒感染的源頭，它們會(huì)迅速?gòu)淖烂娓腥景l(fā)展到整個(gè)網(wǎng)絡(luò)的病毒爆發(fā)。因此，基于服務(wù)器的病毒保護(hù)是 XXX網(wǎng)絡(luò)系統(tǒng)的重點(diǎn)之一。所以，建議對(duì)在各個(gè)局域網(wǎng)的交換區(qū)與局域網(wǎng)內(nèi)部網(wǎng)段上的服務(wù)器進(jìn)行特別的保護(hù)，將病毒掃描技術(shù)和服務(wù)器的管理能力結(jié)合在一起 (用于 Novell NetWare、 Microsoft NT和 UNIX服務(wù)器 )，對(duì)服務(wù)器接收和發(fā)送的被病毒感染的文件以及已經(jīng)存在于其他服務(wù)器的病毒進(jìn)行檢測(cè)。一旦檢測(cè)到病毒，立刻將該感染 第 15章 信息安全解決方案 3) 在 XXX網(wǎng)絡(luò)系統(tǒng)中有大量的個(gè)人用戶，桌面系統(tǒng)和遠(yuǎn)程PC是主要的病毒感染源。根據(jù)統(tǒng)計(jì)， 50%以上的病毒是通過(guò)軟盤進(jìn)入系統(tǒng)的，因此對(duì)桌面系統(tǒng)的病毒應(yīng)嚴(yán)加防范。為了確保檢測(cè)和清除經(jīng)訪問(wèn)入口所進(jìn)入的普通和新發(fā)現(xiàn)的病毒，桌面系統(tǒng)都需要安裝防病毒軟件。另外，這種防病毒軟件要能夠?qū)㈦[藏于電子郵件附件中的病毒在對(duì)其他用戶造成感染 第 15章 信息安全解決方案 當(dāng)發(fā)現(xiàn)病毒已進(jìn)入時(shí)，正是采取病毒響應(yīng)計(jì)劃的時(shí)候。病毒響應(yīng)計(jì)劃的主要目的是利用每種可能的方法來(lái)徹底清除所有的病毒。如果有足夠的備份，不會(huì)丟失太多數(shù)據(jù)，就應(yīng)考慮徹底刪掉感染系統(tǒng)中的所有數(shù)據(jù)，再重新配置。下一步就需要分析病毒是如何進(jìn)來(lái)的以及要干些什么，這項(xiàng)工作和刪除病毒一樣重要，因?yàn)樵谒斜桓腥镜南到y(tǒng)中，有 90%的 第 15章 信息安全解決方案 通過(guò)對(duì)網(wǎng)絡(luò)整體進(jìn)行系統(tǒng)分析，并考慮目前網(wǎng)上運(yùn)行的業(yè)務(wù)需求，本方案對(duì)原有網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面的安全加強(qiáng)，主要實(shí)現(xiàn)以下目的 : (1) 保障現(xiàn)有的關(guān)鍵應(yīng)用長(zhǎng)期、可靠地運(yùn)行，避免病毒 (2) 防止內(nèi)、外部人員的非法訪問(wèn)，特別是要對(duì)內(nèi)部人 (3) 確保網(wǎng)絡(luò)平臺(tái)上數(shù)據(jù)交換的安全性，杜絕內(nèi)、外部 第 15章 信息安全解決方案 (4