网络安全整体解决方案

千里之行，始于足下。第2页/共2页精品文档推荐网络安全整体解决方案广播电视厅办公大楼计算机网络

网络安全整体解决方案

计算机网络的安全概述

一、概述?

计算机安全事业始于本世纪60年代。当时，计算机系统的脆弱性已日益为美国政府和私营的一些机构所认识。然而，由于当时计算机的速度和性能较降后，使用的范围也别广，再加上美国政府把它当作敏感咨询题而施加操纵，所以，有关计算机安全的研究向来局限在比较小的范围内。

进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在别断扩大，计算机已遍及世界各个角降。同时，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。然而，随之而来并日益严重的咨询题是计算机信息的安全咨询题。人们在这方面所做的研究与计算机性能和应用的飞快进展别相习惯，所以，它已成为将来信息技术中的要紧咨询题之一。

由于计算机信息有共享和易扩散等特性，它在处理、存储、传输和使用上有着严峻的脆弱性，非常容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有也许受到计算机病毒的感染。

依照美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.70亿美元。75%的公司报告财政损失是由于计算机系统的安全咨询题造成的。超过50%的安全威胁来自内部；入侵的来源首先是内部心怀别满的职员，其次为黑客，另外是竞争者等。不管是故意的攻击，依然无意的误操作，都将会给系统带来别可估量的损失。黑客威胁的报到现在差不多屡见别鲜了，国内外甚至美国国防部的计算机网络也都常被黑客们光顾。

国内由于计算机及网络的普及较低，加知黑客们的攻击技术和手段都相应较为降后，所以，前几年计算机安全咨询题暴露得别是太明显，但随着计算机的飞快进展、普及、攻击技术和手段的别断提高，对我们本就十分脆弱的系统带来了严峻的威胁。据调查，国内思考并实施完整安

全措施的机构寥寥无几，非常多机构仅仅简陋的用了一点点安全策略或全然无任何安全防范。我们别能总是亡羊补牢。

在计算机网络和系统安全咨询题中，常有的攻击手段和方式有：利用系统治理的漏洞直截了当进入系统；利用操作系统和应用系统的漏洞举行攻击；举行网络窃听，猎取用户信息及更改网络数据；伪造用户身份、否认自个儿的签名；传输释放病毒和如Java/ActiveX控件来对系统举行有效操纵；IP欺骗；摧毁网络节点；消耗主机资源致使主机瘫痪和死机等等。

二、计算机网络系统安全咨询题?

由于大型网络系统内运行多种网络协议（TCP/IP、IPX/SPX、NETBEUA等），而这些网络协议并非专为安全通讯设计。所以，网络系统也许存在的安全威胁要紧来自以下方面：

操作系统的安全性：目前流行的许多操作系统均存在网络安全漏洞，如：UNIX服务器、NT服务器及Windows桌面PC等。

来自内部网用户的安全威胁。

缺乏有效的手段监视和评估网络系统的安全性。

采纳TCP/IP协议族软件，本身缺乏安全性。

未能对来自外部的XXX挟带的病毒及Web扫瞄也许存在的恶意Java/Active控件等举行有效操纵。

应用服务的安全，许多应用服务系统在拜访操纵及安全通讯方面思考较少，同时，假如系统设置错误，非常容易造成损失。

防火墙的安全性，防火墙自身是否安全，是否设置错误，需要通过检验。

从网络协议体系来看，网络系统安全则可从物理层、链路层、网络层、操作系统、应用平台、应用系统几方面来分不讨论。

物理层信息安全，要紧防止物理通路的损坏、物理通路的窃听、对物理通路的攻击如干扰等。

链路层的网络安全需要保证经过网络链路的数据别被窃听。

网络层的安全需要保证网络只给授权的用户使用授权的服务，保证网络路由正确，幸免被拦截或监听。

操作系统安全要求保证用户资料、操作系统拜访操纵的安全，并且可以对该操作系统上的应用举行审计。

应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、XXX服务器、Web服务器等。由于应用平台的系统很复杂，通常采纳多种技术（如SSL等）来增强应用平台的安全性。

应用系统完成网络系统的最后目的—为用户服务，应用系统的安全与系统设计和实现关系紧密。

所以，关于网络系统安全咨询题需解决好如下咨询题：

在中心的局域网中怎么在网络层实现安全性？怎么操纵远程用户拜访的安全性？

在广域网上的数据传输实现安全加密传输和用户的认证？

在连接外部网络时，怎么保证系统的安全性？

怎么在整个网络中防止病毒的入侵，包括Internet、服务器、工作站和XXX等各个部分？

怎么防止黑客的入侵？即使黑客入侵，怎么落低系统的损失？

系统软件怎么保证其系统安全？

应用系统怎么保证其系统安全？

怎么保证XXX系统的安全性？

怎么主动的检查和查找网络系统的安全漏洞，并及时的防范和解决？

怎么评估系统的整体安全性？

怎么规划整个网络的安全系统方案？

三、解决网络安全咨询题的一些技术和办法?

划分网段、局域网交换技术和VLAN实现：

划分网段、局域网交换技术和VLAN实现要紧解决局域网络的安全咨询题。

由于局域网是广播型网络，所以，若在广播域中举行监听，就能够对信息包举行分析，这么本广播域的信息传递都会暴露无遗。

划分网段，其本质算是限制广播域，将非法用户与网络资源相互隔离，从而达到限制用户非法拜访的目的。其方式可分为物理分段和逻辑分段两种。物理分段通常是将网络从物理层和数据链路层上分开网段，各网段相互间无法举行直截了当通讯；逻辑分段是指将整个系统在网络层上举行分段。

局域网交换和VLAN技术将传统的基于广播的局域网技术进展为面向

连接的技术，从广播网络转变为点到点的通讯，除非设置监听口，信息交换也不可能存在监听和篡改等咨询题。

然而，用了局域网交换和VLAN技术仍然有一定的安全咨询题：如局域网设备成为了新的攻击对象、基于网络广播原理的入侵监测技术在交换网络中的运用咨询题、基于MAC的VLAN别能防止MAC欺骗攻击等。

加密技术、数字签名和认证、VPN技术：

加密型网络安全技术的基本思想是别依靠于网络中数据路径的安全性来实现网络系统的安全，而是经过对网络数据的加密来保障网络的安全可靠性，因而这一类安全保障技术的基石是适用的数据加密技术极其在分布式系统中的应用。

防火墙

防火墙通常是网络互连中的第一道屏障。防火墙是近年进展起来的重要安全技术，其要紧作用是在网络入口点检查网络通讯，依照设定的安全规则，在爱护内部网络安全的前提下，提供内外网络通讯。现在的防火墙功能越来越强大，从应用上分为包过滤和代理服务器两类；从实现上分为软件防火墙和硬件防火墙两类，经过防火墙能解决如下咨询题：爱护脆弱服务：经过过滤别安全的服务，防火墙能够极大地提高网络安全和减少子网中主机的风险。如，防火墙能够禁止NIS、NFS、TELNET服务经过，并且能够拒绝源路由和ICMP重定向封包。

操纵对系统的拜访：防火墙能够提供对系统的拜访操纵。如允许从外部拜访某些主机并且禁止拜访某些主机。

集中的安全治理：防火墙对企业内部网实现集中的安全治理，在防火墙定义的安全规则能够运用于整个内部网络系统，而无须在内部网每台机器上分不设定安全策略。

增强的保密性：使用防火墙能够阻挠攻击者攻击网络系统的实用信息，如Finger、DNS等。

记录和统计网络利用数据以及非法使用数据：防火墙能够记录和统计经过防火墙的网络通讯，提供对于网络使用的统计数据，同时，防火墙能够提供统计数据来推断也许的攻击和探测。

策略执行：防火墙提供了制定和执行网络安全策略的手段，未设置防火墙时，网络安全仅取决于每台主机的用户。

防火墙还提供许多的流量操纵、防攻击检测等手段，直截了当将攻击挡在外头，充分的保障了网络安全

入侵检测技术

利用防火墙技术，通常可以在内外网之间提供安全的网络爱护，落低网络的安全风险。然而，仅仅利用防火墙，网络安全还远远别够：入侵者可寻觅防火墙背后也许放开的后门、入侵者也许就在防火墙内等等。

入侵检测系统是新型的网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，实时入侵检测的能力重要点在于它可以应付来自内部的攻击，可以阻挠hacker的入侵。

入侵检测系统常分为基于主机和网络两类。

网络安全扫描技术

网络安全扫描技术可对网络系统的安全作预先的检测，查找安全漏洞，提供解决方案等。

除上述技术和办法外，关于网络系统还需解决好病毒、系统软件、应用软件方面的安全咨询题。

总之关于网络系统的安全，需做好网络系统的安全评估方案，综合利用安全扫描技术、防火墙、安全监听系统、加密技术、防病毒软件等来互相配合，加强治理，综合提高网络的安全性。

McAfeeTotalVirusDefense(TVD)

综合的企业反病毒安全与治理方案

1、概述及组成

爱护当今各种网络免受愈演愈烈的计算机病毒威胁已别是一件简单的情况。目前已知的计算机病毒超过20,000种，同时每月发觉的新病毒超过300种，即每天都有10余种新病毒浮现。研究表明，病毒比其他安全威胁造成的经济损失都大的多。所以迫切需要单一、集中的解决方案。

NAI是全球反病毒解决方案的领导者，它提供了一套现成的解决方案，即McAfeeTotalVirusDefense套件（简称TVD或全无敌）。作为

全面治理和维护网络安全方案的重要组件，TVD在一具集中操纵的软件包里为您提供一套反病毒解决方案，使企业范围的防病毒治理成为现实。具体讲，TVD能够在每个进入点抵御病毒和恶意小程序的入侵，爱护网络中的PC机、服务器和Internet网关。并且它也是一具功能强大的治理工具，能够自动举行文件更新，使治理和服务作业合理化，并可用来从操纵中心治理企业范围的反病毒安全机制。TVD的目标是：从桌面到整个企业系统，优化系统性能、解决及预防咨询题、处理治理事物和执行正常的治理工作、爱护公司资产免受攻击和危害、落低企业成本并提高用户和企业生产率。

2、功能与特点

最广泛的多级进入点爱护

随着分布式网络计算、文档驻留宏、群件等新技术的浮现以及Internet的广泛采纳，网络的脆弱性成倍增加，爱护计算机网络已别再是简单的在客户机上安装桌面病毒扫描程序就能够解决的咨询题了，建立一套完善多级的病毒防护系统很必要。TVD提供了桌面、服务器和Internet网关的单一集成的防病毒系统，对所有潜在的病毒进入点实行全面爱护。TVD由三种安全产品套件组成：

（1）.VirusScanSecuritySuite(VSS)套件，提供对所有桌面客户机的多平台爱护。

（2）.NetshieldSecuritySuite(Nss)套件，爱护所有文件、应用程序和群件服务器。

（3）.InternetSecuritySuite(ISS)套件，在网关上锁住病毒和有敌意的Java、ActiveX程序。

100％的病毒检测率

包括多达15，000种的病毒样本特征库加上获奖产品――Hunter扫描引擎使得TVD及其组件在VSUM、VirusBulletin、SecureComputing、NCSA等多所独立测试机构的重复检测中获得100％测试率，启示式技术迅速检测新病毒。

3、强有力的服务与研究支持

NAI的VERT（防病毒快速反应小组）拥有分布在六大洲的近百名病

毒研究人员，为用户提供全天候专业服务与支持。当新病毒浮现时，Web上每小时（敏感期每10分钟）都会更新该病毒特征文件，让用户及时将其清除。

4、市场领导者

TVD是世界上应用最广泛的防病毒和安全软件，全球3千万用户，包括在财宝前100名80％的公司，比其他所有解决方案的用户还多。

5、完善的企业级治理能力

中央操纵台集中配置与治理模式，使您的企业更加高效，更易治理。6、独特的病毒更新技术

当更新信息从实验室公布时，NAI惊人的企业“推送”（SecureCast）技术马上将其送达系统治理员。经过自动更新（AutoUpdate），桌面PC和服务器按打算从指定的中央服务器上提取更新信息使自个儿保持为更新状态。治理员也可使用“中央操纵台”（NetToolsConsole）将软件升级版和更新信息迅速传递到企业内部的所有客户机及服务器。

7、McAfeeTVD系列产品结构及功能描述

桌面爱护产品：VirusScanSecuritySuite(VSS)

简述

在防病毒策略的注意力大部分集中在爱护服务器和网关上的并且，NAI注意到50％的病毒仍是经过软盘进入企业网络的。VirusScanSecuritySuite(VSS)为所有的桌面计算机提供所能获得的、最为全面的跨平台病毒爱护。VSS还集成了一些功能强大的辅助技术，能够自动地爱护系统免于崩溃和数据的意外丢失。

组成

VSS套件由以下产品构成：

①VirusScan

VirusScan是全球桌面病毒爱护领域内的率先产品，能够杀灭超过15，000种的病毒。支持DOS、Windows3.x、Windows95/98、WindowsNT、MacintoshOS/2。其要紧功能为：

扫描所有子系统区域（包括软盘、引导区、文件分配表和区分表、文件夹、文件和压缩文件）以提供广泛的安全爱护。

精确清除文件、文件引导区、分区表和内存中的病毒。

实时扫描技术可在磁盘拜访、文件复制、文件创建、文件重命名、程序执行、系统启动和关闭时捕获病毒。

按需扫描可由用户自主挑选，扫描位于文件、驱动器和软盘内的已知病毒。

②WebScanX

WebScanX的目的在于爱护恶意Java和ActiveX小程序对网络用户的伤害，除了检测和阻挠毒经过Internet下载的途径传播之外，WebScanX还有以下功能：

阻挠黑客利用Java、ActiveX小程序攻击、损坏和窃取用户的系统或资源。

检测和防止经过XXX贴件发送给用户的病毒（检测率达到100％），包括检测Word和Excel中的宏病毒。

依照用户需求，拒绝某些特定Web站点的拜访。

WebScanX能够和目前最流行的扫瞄器如Netscape3.x、4.x；IE3.x、4.x兼容，具有友好的用户图形界面和自动更新病毒样本文件的功能。

③PCMedic

经过防止操作系统和应用程序崩溃使用户免于白费珍贵的时刻和丢失宝贵的数据，防止用户级的崩溃，能够使职员保持更高的效率并减少别必要的电话问求助次数。

④PGPMedic

PGP加密技术是业内默认的工业标准，全球用户超过四百万，用户对PGP加密算法的信赖程度超过任何其它解决方案。PGPFile使用户轻松地爱护机密信息，极大的增强了数据安全性。

⑤QuickBackup

该产品曾以其优良性能获PCMagazine的Editor’schoice奖。QuickBackup直观的拖放界面经过鼓舞定期用户防止丢失宝贵的终端数据和资源。

⑥SecureCast和NetToolsConsole

独特的SecureCast推送技术每天自动向系统治理员发送更新过的病毒爱护程序，以防备每月新发觉的300多种病毒。NetToolsConsole具有

集中治理、分发和警告功能，与SceureCast密切配合，完成对终端用户软件及信息的自动更新与升级。

NetShieldSecuritySuite(NSS)服务器爱护套件

简述：

一台桌面PC感染病毒会造成一些烦恼，但若是一台服务器感染病毒，损失就会多几倍以上。被感染的服务器文件成为病毒感染的源头，会迅速从桌面进展到整个网络的病毒爆发，尤其象MicrosoftExchange或LotusNotes如此的群件更会加快病毒的传播速度。网络病毒感染造成的职员劳动损失、数据丢失带来的成本增加以及清除病毒感染需要的费用是惊人的。所以，提供基于服务器的病毒爱护已成为当务之急。

NAI作为企业网络安全专家的首选公司，提供了基于全球率先的反病毒技术的NSS套件。它从一具直观的操纵台爱护整个企业的文件、应用程序和群件服务器。NSS支持NT、Netware、UNIX、LotusNotes、MicrosoftExchange等多种服务器的爱护，能够方便地从本地服务器或工作站监测、配置和执行远程服务。集中化治理能够实现对警告传送的操纵、咨询题票卷的生成和活动日志的自主挑选。

组成：

NSS套件提供了所能获得的最为全面的基于服务器的病毒防护，单个的许可协议就能够保证获得对所有服务器平台的完善爱护。它要紧由以下几部分组成。

Netshield

高效、实时的检测发送给或来自于服务器的病毒感染文件，以幸免它在整个网络中扩散。并且能够按需要挑选立刻或定时检测，扫描贮留在文件服务器中的病毒。一旦发觉，则依照治理员的需求，记录日志、删除、隔离或摈弃在防火墙以外。

NetShield支持NT、Netware、UNIX、Solaris、AIX、NCR等多种平台，具有治理简便（本地监控）、检测率优异、自动爱护、响应快速的特点。

GroupShield

基于MicrosoftExchange和LotusNotes群件服务器的防病毒爱护解决方案。同Netshield一样，GroupShield提供了强大的治理功

能，操纵所有文件、应用程序并执行远程服务、安装与配置。强大的集中警告功能能够经过XXX、打印机、寻呼机、DMI警告或网络消息，传送各种上下文相关的病毒警告给消息的寄件人、收件人和系统治理员。利用可选的SNMP警告功能，能够自动地在流行的桌面帮助应用程序生成咨询题票卷。一旦发觉病毒，能够在本地或远程的事件日志里记录活动日志，或将它们保存在特意的病毒日志中。

SecureCast与NetToolsConsole

集中治理与快速有效的分发、警告功能、可快速地更新病毒特征文件，实现软件的自动升级。

InternetSecuritySuite(ISS)网关爱护套件

概述

据国际计算机安全委员会（ICSA）统计，去年企业用户感染的病毒中，有超过20％的病毒与从Internet上下载文件有关。此外还有26％的病毒是经过XXX附件进入企业网络的。Internet大大加快了病毒在世界范围内的传播速度并使非常多公司陷于瘫痪。

组成

InternetSecuritySuite在Internet网关上对任何一具也许的病毒进入点提供全面的病毒爱护。它要紧由以下产品组成：

WebShieldSMTP

该产品扫描所有入站和出站的XXX。基于Java的操纵台，可从任一NT服务器或工作站上执行全部操作。

WebShieldProxy

该产品为HTTP、FTP等多个Internet协议在内的通信提供病毒爱护，并且扫描有恶意的Java和ActiveX小程序。WebshieldProxy和WindowsNT上的MicrosoftProxyServer或Solaris上的NetscapeProxyServer一起运行，经过一具可从任何一具标准的Web扫瞄器操作