《图书馆网络安全整体解决方案》由会员分享,可在线阅读,更多相关《图书馆网络安全整体解决方案(78页珍藏版)》请在金锄头文库上搜索。
1、图书馆网络安全整体解决方案2020年4月19日XXX图书馆网络安全整体解决方案上海恒驰信息技术有限公司-6-10目录1 企业面临的威胁 错误!未定义书签。1.1 边界安全 错误!未定义书签。1.1.1网关接入安全 错误!未定义书签。1.1.2边界防病毒错误!未定义书签。1.2 桌面安全 错误!未定义书签。1.3网络安全应用管理 错误!未定义书签。2 整体解决方案 错误!未定义书签。2.1客户现有网络现状 错误!未定义书签。2.2 客户网络现状分析 错误!未定义书签。2.3客户问题整体解决方案 错误!未定义书签。3 部署的产品错误!未定义书签。3.1 Hillstone公司 错误!未定义书签。3
2、.1.1面向应用的局性能防火墙需求 错误!未定义书签。3.1.2网络安全设计的基本原则 错误!未定义书签。3.1.3技术先进性和实用性原则 错误!未定义书签。3.1.4高可靠性原则 错误!未定义书签。3.1.5易于扩展和升级的原则 错误!未定义书签。3.1.6管理和维护的方便性错误!未定义书签。3.1.7网络安全方案设计 错误!未定义书签。3.1.8方案才苗述 错误!未定义书签。3.2 McAfee安全内容网管错误!未定义书签。3.2.1安全内容管理(SCMD系统概述 错误!未定义书签。3.2.2 SCM的主要功能错误!未定义书签。3.2.3 McAfee SCM功育E歹U表 错误!未定义书签
3、。3.3瑞星网络版防病毒软件 错误!未定义书签。3.3.1瑞星网络防病毒解决方案设计 错误!未定义书签。3.3.2方案设计目标 错误!未定义书签。3.3.3瑞星防病毒解决方案 错误!未定义书签。3.3.4瑞星王要优势 错误!未定义书签。3.4网络应用安全管理软件 错误!未定义书签。3.4.1方案概述 错误!未定义书签。3.4.2黄金甲产品组成:错误!未定义书签。3.4.3网络现状和安全需求分析 错误!未定义书签。3.4.4黄金甲建议的方案错误!未定义书签。3.4.5此方案能够解决的内网安全问题: .错误!未定义书签。3.4.6方案实施建议错误!未定义书签。3.4.7系统中心实施建议错误!未定义
4、书签。3.4.8客户端部署建议 错误!未定义书签。3.4.9选择功能需求错误!未定义书签。1企业面临的威胁随着网络时代日新月异的发展,计算机病毒的传播和蔓延亦不断升级,从宏病毒、特洛伊木马到千变万化、不断完善”的蠕虫和间谍程序,病毒和间谍软件已给无数个人和企业用户带来了 不可估量的损失。纵观病毒的发展史,90年代初,绝大多数病毒的传播途径是磁盘,因而这一时期的病毒破坏力大多局限于某个 区域的范围,传播的速度也相对较慢。然而,当今病毒传播的方 式已经完全改变,利用网络技术,以网络为载体频繁爆发的蠕虫 病毒、游戏木马、邮件病毒、QQ病毒、MSN病毒、黑客程序、间谍软件等网络新病毒,已经颠覆了传统的
5、病毒概念。一个源白 中国的病毒可在 24小时内散播至全球,若遇上类似 Nimda之类 的多重渠道感染的黑客型病毒,1-5分钟就可遍及全球。当前,网络安全最主要的威胁依然来白于计算机病毒的攻击。互联网的广 泛应用使计算机病毒没有了国界,中国约有90%的计算机遭受过计算机病毒的攻击。互联网是病毒发作的最大载体,据国外统计资料,当前世界流行的计算机病毒的前10位是:VBS_KALAMAR.A,蠕虫病毒,经过邮件进行传播; TROJ_PRETTY_PARK需虫病毒,经过电子邮件传播;TROJ_SKA在英特网上传播的蠕虫程序,也称作“Happy99; VBS_LOVELETTER互联网传播的病毒,其可寻
6、找本地驱动器和映射驱动器,并在所有的目录和子目录中搜索能够感染的目标;PE_CIH恶 性病毒,当其发作条件成熟时将破坏硬盘数据,同时 有可能破坏 BIOS程序;W97M_MELISSA.W,将白身作为附件白动 发给邮件地址列表中前50个地址;TROJ_MTX.A同时具有病毒、蠕虫和后门程序特点的程序;TROJ_QAZ.A具有蠕虫和后门 程序的特点;W97M_ETHAN.A,宏病毒,使 Word的宏防护和确 认转换功能失效; O97M_TRISTAT宏病毒,交叉感染 MS Word、 MSPowerPoint等。在这10种病毒中,经过网络主动传播的病毒占了7种,另外2种宏病毒能够感染人们编辑的文
7、档,然后经过收发邮件进行传 播,PE_CIH能够经过介质、网络下载进行传播,可见互联网是病 毒发作的最大载体。计算机病毒的发作特点及趋势 从当前流行的病毒种类能够看出当前计算机病毒的疫情特点及趋势。(1) 高频度。 至今的病毒疫情发作的频率高,几乎每个月都有新的病毒疫情出现。据报道造成较大影响的计算机病毒达到百余种之多。而且恶性病毒的比例大,病毒对计算机用户的危害大大增大。(2) 传播速度快,危害性极大。由于病毒主要经过网络传播,因此,一种新病毒出现后,能够迅速经过国际互联网传播到世界各地。如 爱虫”病毒在一、两天内便迅速传播到世界的主要 计算机网络。 爱虫”、美丽杀”以及CIH等病毒曾给世界
8、计算机信 息系统和网络带 来灾难性的破坏,有的造成网络拥塞,甚至瘫 痪;有的造成重要数据丢失;有的造成计算机内储存的机密信息被窃取;甚至有的计算机信息系统和网络被人控制。(3) 病毒制作技术新,变种多。与传统的计算机病毒不同的 是,许多新病毒是利用当前最新的编程语言与编程技术实现,易于修改以产生新的变种。例如爱虫”病毒是用VBScript语言编写的,只要经过 Windows下白带的编辑软件修改病毒代码中的一部 分,就能轻而易举地制造病毒变种,以躲避反病毒软件的追击。(4) 诱惑性。现在的计算机病毒充分利用人们的好奇心理。 如前一阵肆虐一时的 裸凄”、库尔尼科娃”病毒的流行。(5) 病毒形式多样
9、化,难于根治。病毒呈现多样化的趋势。病毒分析显示,虽然新病毒不断产生,但较早的病毒发作仍很普遍并有所发展。另外,新的病毒更善于伪装,如主题会在传播中 改变,许多病毒会伪装成常见程序,用来麻痹计算机用户。(6) 具有病毒、蠕虫和后门(黑客)程序的功能。计算机病毒的编制技术随着网络技术的普及和发展也在不断提高和变化。过去病毒最大的特点是能够复制白身给其它的程序。现在,计算机病毒具有了蠕虫的特点,能够利用网络进行传播;同时,有些病毒还具有了黑客程序的功能,一旦侵入计算机系统后,病毒控制者能够从入侵的系统中窃取信息,远程控制这些系统,呈现出 计算机病毒功能的多样化。随着全球经济运行对互联网的依赖,企业
10、同时也面对着日趋升 温的病毒和黑客的侵扰,越来越多的企业考虑经过构建网络安全 系统从整体上对企业的网络实行更为有效的多重防护。ICSA的数据表明,99%的病毒都是经过 SMTP或HTTP进入用户的计算机 的,全球因此造成的经济损失达到了129亿美元。客户作为一个成熟的企业,其信息安全问题必须加以重视,如计 算机病毒、敏感信息的泄露、黑客的侵扰、网络资源的非法使用 以及垃圾邮件的泛滥等,都将对企业正常的运营构成威胁。因 此,为保证企业信息的安全以及网络系统的健康,我们有必要在 客户的网络当中构建完善的防病毒系统,从系统和网络两个方面 有效的抵御病毒和各类恶意软件。如果要评选20世纪90年代以来最
11、有影响力的事物,毫无疑 问我们会选择互联网。互联网的发展让我们始料不及,她改变了 人们的交流方式甚至工作习惯。如果从企业经营的角度来思考, 网络带来的正面好处是企业竞争力的提升,有效率的信息传递和 与客户沟通的方便。可是,不容否认的是,互联网如果使用不 当,会对公司对企业产生极大的负面影响。我们经常听到公司老 板的抱怨: 花钱买电脑、装宽带。本想凭此提高员工工作效率。 但却因此发觉员工上班期间常有滥用网络现象,如上班时间利用网络聊天、看新闻、经过互联网把公司敏感信息轻易传播出去:诸如此类问题,令企业的管理者叫苦不迭。因此我们不得不承认:互联网是一把双面刀”,一方面,它使得企业具有更强的竞争力、
12、沟通力、适应力;另一方面,对互联网使用不当完全有可能给企业白身带来很大的伤害。如何对互联网行为进行有效的管理和利用,使 Internet网真正为企业的生产和经营活动服 务,相信是很多公司企业管理者越来越重视的问题。如何应对互联网带来的负面作用?难道是拒绝使用?这恐怕是不可能的,网络已经成为绝大部分公司企业的必要工作手段,害怕互联网的负面影响而隔离于互联世界之外无异于闭关白守”。那么,在使用互联网的前提下,怎样使公司企业的网络资源更好地发挥作用就摆在了所有公司企业管理者的面前了。我们要解决的问题:如何保证员工的上网行为是合理的、有效的?如何限制员工滥用企业的网络资源?如何合理分配利用企业的上网带
13、宽?如何避免员工经过邮件或互联网泄漏企业的保密信息?如何阻止外部人员对公司内部网络的攻击行为?如何更好的管理网络应用?如何做好内网的安全管理?等等1.1边界安全1.1.1 网关接入安全根据企业网络应用系统的现状以及未来系统的结构发展,我 们认为着重考虑企业的B/S结构应用特点,是防火墙系统技术指标设计的主要依据。众所周知,防火墙作为网络设备,对网络性能影响最为主要 的是两个参数指标,一个是防火墙的TCP连接处理能力(并发会话处理数),另一个是防火墙对网络数据流量的吞吐能力(带宽 参数)。B/S结构的应用系统虽然具有管理简单,客户端开发、使用和 维护的成本很低的优点,可是在网络上B/S结构应用系
14、统将会给网络带来巨大的网络流动数据处理压力,而且是并发的。具体来 说,B/S结构的应用系统在网络上使用,会给网络防火墙带来数倍 甚至数十倍于 C/S结构应用系统的并发 TCP会话数量,而且这些 会话绝大部分是包长很短的垃圾” IP包。而这些垃圾包必然对网络设备的负载有着极大影响。随着Internet的不断普及,新的网络应用层出不穷,而且对于网络带宽的占用日益增高,如网络视频、网络游戏、BT下载等。企业网络中运行着大量的关键应用,这些关键应用很多都要 求极低的网络延迟,而网络中大量的娱乐应用不断吞占着有限的 网络带宽,严重影响着关键应用的使用。同时安全和速度始终是 两个对立面的事物。追求更高的网
15、络安全是需要以牺牲网络通讯 速度为代价的,而追求更高的网络通讯速度则需要降低网络安全 标准。在当前依赖于网络应用的时代,能够做到应用层的安全检 测以及安全防护功能是所有安全厂商的目标。由于应用层的检测 需要进行深度的数据包解析,而使用传统网络平台所带来的网络 延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实 现。经过对各类防火墙的比较分析,我们认为当前面向B/S结构应用、高性能的硬件防火墙是最为明智的选择。Hillstone SA防火墙系列产品能够为客户网络边界安全带来很好 的防护,可防止各种攻击行为,具有多种VPN接入功能(IpSecvpn,SSLvpn等),具有很强功能的 QoS功能,可针对IP和端口, 以及应用对内部用户进行管理,新一代的硬件架构是稳定性和性 能完全能满足各大中型企业,企
