《网络安全整体解决方案》由会员分享,可在线阅读,更多相关《网络安全整体解决方案(11页珍藏版)》请在金锄头文库上搜索。
1、广播电视厅办公大楼计算机网络网络安全整体解决方案计算机网络的安全概述一、概述?计算机安全事业始于本世纪60年代。当时,计算机系统的脆弱性已日益为美国政府和私营的一些机构所认识。但是,由于当时计算机的速度和性能较落后,使用的范围也不广,再加上美国政府把它当作敏感问题而施加控制,因此,有关计算机安全的研究一直局限在比较小的范围内。进入80年代后,计算机的性能得到了成百上千倍的提高,应用的范围也在不断扩大,计算机已遍及世界各个角落。并且,人们利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但是,随之而来并日益严峻的问题是计算机信息的安全问题。人们在这方面所做的研究与计算机性能和应用的飞速发
2、展不相适应,因此,它已成为未来信息技术中的主要问题之一。由于计算机信息有共享和易扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部;入侵的来源首先是内部心怀不满的员工,其次为黑客,另外是竞争者等。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。黑客威胁的报到如今已经屡见不鲜了,国内外甚至美国国防部的计算机网络也
3、都常被黑客们光顾。国内由于计算机及网络的普及较低,加知黑客们的攻击技术和手段都相应较为落后,因此,前几年计算机安全问题暴露得不是太明显,但随着计算机的飞速发展、普及、攻击技术和手段的不断提高,对我们本就十分脆弱的系统带来了严重的威胁。据调查,国内考虑并实施完整安全措施的机构寥寥无几,很多机构仅仅简陋的用了一点点安全策略或根本无任何安全防范。我们不能总是亡羊补牢。在计算机网络和系统安全问题中,常有的攻击手段和方式有:利用系统管理的漏洞直接进入系统;利用操作系统和应用系统的漏洞进行攻击;进行网络窃听,获取用户信息及更改网络数据;伪造用户身份、否认自己的签名;传输释放病毒和如Java/ActiveX
4、控件来对系统进行有效控制;IP欺骗;摧毁网络节点;消耗主机资源致使主机瘫痪和死机等等。二、计算机网络系统安全问题?由于大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX、NETBEUA等),而这些网络协议并非专为安全通讯设计。因此,网络系统可能存在的安全威胁主要来自以下方面:操作系统的安全性:目前流行的许多操作系统均存在网络安全漏洞,如:UNIX服务器、NT服务器及Wndows桌面PC等。来自内部网用户的安全威胁。缺乏有效的手段监视和评估网络系统的安全性。采用TCP/IP协议族软件,本身缺乏安全性。未能对来自外部的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/Active控件
5、等进行有效控制。应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。防火墙的安全性,防火墙自身是否安全,是否设置错误,需要经过检验。从网络协议体系来看,网络系统安全则可从物理层、链路层、网络层、操作系统、应用平台、应用系统几方面来分别讨论。物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击如干扰等。链路层的网络安全需要保证通过网络链路的数据不被窃听。网络层的安全需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免被拦截或监听。操作系统安全要求保证用户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用
6、进行审计。应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。应用系统完成网络系统的最终目的为用户服务,应用系统的安全与系统设计和实现关系密切。因此,对于网络系统安全问题需解决好如下问题:在中心的局域网中如何在网络层实现安全性?如何控制远程用户访问的安全性?在广域网上的数据传输实现安全加密传输和用户的认证?在连接外部网络时,如何保证系统的安全性?如何在整个网络中防止病毒的入侵,包括Internet、服务器、工作站和电子邮件等各个部分?如何防止黑客的入侵?即使黑客入侵,如何降
7、低系统的损失?系统软件如何保证其系统安全?应用系统如何保证其系统安全?如何保证电子邮件系统的安全性?如何主动的检查和查找网络系统的安全漏洞,并及时的防范和解决?如何评估系统的整体安全性?如何规划整个网络的安全系统方案?三、解决网络安全问题的一些技术和方法?划分网段、局域网交换技术和VLAN实现:划分网段、局域网交换技术和VLAN实现主要解决局域网络的安全问题。由于局域网是广播型网络,因此,若在广播域中进行监听,就可以对信息包进行分析,那么本广播域的信息传递都会暴露无遗。划分网段,其本质就是限制广播域,将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。其方式可分为物理分段和逻辑分段两
8、种。物理分段通常是将网络从物理层和数据链路层上分开网段,各网段相互间无法进行直接通讯;逻辑分段是指将整个系统在网络层上进行分段。局域网交换和VLAN技术将传统的基于广播的局域网技术发展为面向连接的技术,从广播网络转变为点到点的通讯,除非设置监听口,信息交换也不会存在监听和篡改等问题。但是,用了局域网交换和VLAN技术仍然有一定的安全问题:如局域网设备成为了新的攻击对象、基于网络广播原理的入侵监测技术在交换网络中的运用问题、基于MAC的VLAN不能防止MAC欺骗攻击等。加密技术、数字签名和认证、VPN技术:加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全,而是通过
9、对网络数据的加密来保障网络的安全可靠性,因而这一类安全保障技术的基石是适用的数据加密技术极其在分布式系统中的应用。防火墙防火墙通常是网络互连中的第一道屏障。防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。如今的防火墙功能越来越强大,从应用上分为包过滤和代理服务器两类;从实现上分为软件防火墙和硬件防火墙两类,通过防火墙能解决如下问题:保护脆弱服务:通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。女口,防火墙可以禁止NIS、NFS、TELNET服务通过,同时可以拒绝源路由和ICMP
10、重定向封包。控制对系统的访问:防火墙可以提供对系统的访问控制。如允许从外部访问某些主机同时禁止访问某些主机。集中的安全管理:防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设定安全策略。增强的保密性:使用防火墙可以阻止攻击者攻击网络系统的有用信息,如Finger、DNS等。记录和统计网络利用数据以及非法使用数据:防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,并且,防火墙可以提供统计数据来判断可能的攻击和探测。策略执行:防火墙提供了制定和执行网络安全策略的手段,未设置防火墙时,网络安全仅取决于每台主机的用
11、户。防火墙还提供许多的流量控制、防攻击检测等手段,直接将攻击挡在外面,充分的保障了网络安全入侵检测技术利用防火墙技术,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。但是,仅仅利用防火墙,网络安全还远远不够:入侵者可寻找防火墙背后可能敞开的后门、入侵者可能就在防火墙内等等。入侵检测系统是新型的网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,实时入侵检测的能力重要点在于它能够对付来自内部的攻击,能够阻止hacker的入侵。入侵检测系统常分为基于主机和网络两类。网络安全扫描技术网络安全扫描技术可对网络系统的安全作预先的检测,查找安全漏洞,提供解决方案等。除上述技术和方法外,
12、对于网络系统还需解决好病毒、系统软件、应用软件方面的安全问题。总之对于网络系统的安全,需做好网络系统的安全评估方案,综合利用安全扫描技术、防火墙、安全监听系统、加密技术、防病毒软件等来互相配合,加强管理,综合提高网络的安全性。McAfeeTotalVirusDefense(TVD)综合的企业反病毒安全与管理方案1、概述及组成保护当今各种网络免受愈演愈烈的计算机病毒威胁已不是一件简单的事情。目前已知的计算机病毒超过20,000种,并且每月发现的新病毒超过300种,即每天都有10余种新病毒出现。研究表明,病毒比其他安全威胁造成的经济损失都大的多。因此迫切需要单一、集中的解决方案。NAI是全球反病毒
13、解决方案的领导者,它提供了一套现成的解决方案,即McAfeeTotalVirusDefense套件(简称TVD或全无敌)。作为全面管理和维护网络安全方案的重要组件,TVD在一个集中控制的软件包里为您提供一套反病毒解决方案,使企业范围的防病毒管理成为现实。具体说,TVD可以在每个进入点抵御病毒和恶意小程序的入侵,保护网络中的PC机、服务器和Internet网关。同时它也是一个功能强大的管理工具,可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制。TVD的目标是:从桌面到整个企业系统,优化系统性能、解决及预防问题、处理管理事物和执行正常的管理工作、保护公司
14、资产免受攻击和危害、降低企业成本并提高用户和企业生产率。2、功能与特点最广泛的多级进入点保护随着分布式网络计算、文档驻留宏、群件等新技术的出现以及Internet的广泛采用,网络的脆弱性成倍增加,保护计算机网络已不再是简单的在客户机上安装桌面病毒扫描程序就可以解决的问题了,建立一套完善多级的病毒防护系统非常必要。TVD提供了桌面、服务器和Internet网关的单一集成的防病毒系统,对所有潜在的病毒进入点实行全面保护。TVD由三种安全产品套件组成:(1).VirusScanSecuritySuite(VSS)套件,提供对所有桌面客户机的多平台保护。(2).NetshieldSecuritySui
15、te(Nss)套件,保护所有文件、应用程序和群件服务器。(3).InternetSecuritySuite(ISS)套件,在网关上锁住病毒和有敌意的Java、ActiveX程序。100的病毒检测率包括多达15,000种的病毒样本特征库加上获奖产品Hunter扫描引擎使得TVD及其组件在VSUM、VirusBulletin、SecureComputing、NCSA等多所独立测试机构的重复检测中获得100%测试率,启发式技术迅速检测新病毒。3、强有力的服务与研究支持NAI的VERT(防病毒快速反应小组)拥有分布在六大洲的近百名病毒研究人员,为用户提供全天候专业服务与支持。当新病毒出现时,web上每
16、小时(敏感期每10分钟)都会更新该病毒特征文件,让用户及时将其清除。4、市场领导者TVD是世界上应用最广泛的防病毒和安全软件,全球3千万用户,包括在财富前100名80的公司,比其他所有解决方案的用户还多。5、完善的企业级管理能力中央控制台集中配置与管理模式,使您的企业更加高效,更易管理。6、独特的病毒更新技术当更新信息从实验室发布时,NAI惊人的企业“推送”(SecureCast)技术立即将其送达系统管理员。通过自动更新(AutoUpdate),桌面PC和服务器按计划从指定的中央服务器上提取更新信息使自己保持为更新状态。管理员也可使用“中央控制台”(NetToolsConsole)将软件升级版和更新信息迅速传递到企业内部的所有客户机及服务器。7、MCAfeeTVD系列产品结构及功能
