网络安全整体解决方案

企业网络安全整体解决方案计算机网络的安全概述一、 概述计算机安全事业始于本世纪60年代。当时，计算机系统的脆弱性已日益为美国政府和私营的一些机构所认识。但是，由于当时计算机的速度和性能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落.并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源.但是，随之而来并日益严峻的问题是计算机信息的安全问题。人们在这方面所做的研究与计算机性能和应用的飞速发展不相适应，因此，它已成为未来信息技术中的主要问题之一.由于计算机信息有共享和易扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。国内由于计算机及网络的普及较低，加知黑客们的攻击技术和手段都相应较为落后，因此，前几年计算机安全问题暴露得不是太明显，但随着计算机的飞速发展、普及、攻击技术和手段的不断提高，对我们本就十分脆弱的系统带来了严重的威胁.据调查，国内考虑并实施完整安全措施的机构寥寥无几，很多机构仅仅简陋的用了一点点安全策略或根本无任何安全防范。我们不能总是亡羊补牢。在计算机网络和系统安全问题中，常有的攻击手段和方式有：利用系统管理的漏洞直接进入系统；利用操作系统和应用系统的漏洞进行攻击；进行网络窃听，获取用户信息及更改网络数据；伪造用户身份、否认自己的签名；传输释放病毒和如Java/ActiveX控件来对系统进行有效控制；IP欺骗；摧毁网络节点；消耗主机资源致使主机瘫痪和死机等等。二、 计算机网络系统安全问题由于大型网络系统内运行多种网络协议（TCP/IP、IPX/SPX、NETBEUA等），而这些网络协议并非专为安全通讯设计。因此，网络系统可能存在的安全威胁主要来自以下方面：操作系统的安全性：目前流行的许多操作系统均存在网络安全漏洞，如：UNIX服务器、NT服务器及Windows桌面PC等。来自内部网用户的安全威胁。缺乏有效的手段监视和评估网络系统的安全性。采用TCP/IP协议族软件，本身缺乏安全性。未能对来自外部的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/Active控件等进行有效控制.应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。防火墙的安全性，防火墙自身是否安全，是否设置错误，需要经过检验。从网络协议体系来看，网络系统安全则可从物理层、链路层、网络层、操作系统、应用平台、应用系统几方面来分别讨论。物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击如干扰等。链路层的网络安全需要保证通过网络链路的数据不被窃听。网络层的安全需要保证网络只给授权的用户使用授权的服务，保证网络路由正确，避免被拦截或监听.操作系统安全要求保证用户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性.应用系统完成网络系统的最终目的-为用户服务，应用系统的安全与系统设计和实现关系密切。因此，对于网络系统安全问题需解决好如下问题：在中心的局域网中如何在网络层实现安全性？如何控制远程用户访问的安全性？在广域网上的数据传输实现安全加密传输和用户的认证？在连接外部网络时，如何保证系统的安全性？如何在整个网络中防止病毒的入侵，包括Internet、服务器、工作站和电子邮件等各个部分？如何防止黑客的入侵？即使黑客入侵，如何降低系统的损失？系统软件如何保证其系统安全？应用系统如何保证其系统安全？如何保证电子邮件系统的安全性？如何主动的检查和查找网络系统的安全漏洞，并及时的防范和解决？如何评估系统的整体安全性？如何规划整个网络的安全系统方案？三、解决网络安全问题的一些技术和方法划分网段、局域网交换技术和VLAN实现：划分网段、局域网交换技术和VLAN实现主要解决局域网络的安全问题。由于局域网是广播型网络，因此，若在广播域中进行监听，就可以对信息包进行分析，那么本广播域的信息传递都会暴露无遗。划分网段，其本质就是限制广播域，将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。其方式可分为物理分段和逻辑分段两种。物理分段通常是将网络从物理层和数据链路层上分开网段，各网段相互间无法进行直接通讯；逻辑分段是指将整个系统在网络层上进行分段。局域网交换和VLAN技术将传统的基于广播的局域网技术发展为面向连接的技术，从广播网络转变为点到点的通讯，除非设置监听口，信息交换也不会存在监听和篡改等问题。加密技术、数字签名和认证、VPN技术：加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性，因而这一类安全保障技术的基石是适用的数据加密技术极其在分布式系统中的应用。防火墙：防火墙通常是网络互连中的第一道屏障。防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯.如今的防火墙功能越来越强大，从应用上分为包过滤和代理服务器两类；从实现上分为软件防火墙和硬件防火墙两类，通过防火墙能解决如下问题：保护脆弱服务：通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。如，防火墙可以禁止NIS、NFS、TELNET服务通过，同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问：防火墙可以提供对系统的访问控制。如允许从外部访问某些主机同时禁止访问某些主机。集中的安全管理：防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设定安全策略。增强的保密性：使用防火墙可以阻止攻击者攻击网络系统的有用信息，如Finger、DNS等。入侵检测技术：利用防火墙技术，通常能够在内外网之间提供安全的网络保护，降低网络的安全风险。但是，仅仅利用防火墙，网络安全还远远不够：入侵者可寻找防火墙背后可能敞开的后门、入侵者可能就在防火墙内等等。入侵检测系统是新型的网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，实时入侵检测的能力重要点在于它能够对付来自内部的攻击，能够阻止hacker的入侵.入侵检测系统常分为基于主机和网络两类。网络安全扫描技术：网络安全扫描技术可对网络系统的安全作预先的检测，查找安全漏洞，提供解决方案等。除上述技术和方法外，对于网络系统还需解决好病毒、系统软件、应用软件方面的安全问题。总之对于网络系统的安全，需做好网络系统的安全评估方案，综合利用安全扫描技术、防火墙、安全监听系统、加密技术、防病毒软件等来互相配合，加强管理，综合提高网络的安全性。四。企业网络反病毒安全与管理方案1、 强有力的服务与研究支持NAI的VERT(防病毒快速反应小组)拥有分布在六大洲的近百名病毒研究人员，为用户提供全天候专业服务与支持.当新病毒出现时，Web上每小时(敏感期每10分钟)都会更新该病毒特征文件，让用户及时将其清除。2、 市场领导者TVD是世界上应用最广泛的防病毒和安全软件，全球3千万用户，包括在财富前100名80%的公司，比其他所有解决方案的用户还多。3、 完善的企业级管理能力中央控制台集中配置与管理模式，使您的企业更加高效，更易管理。4、 独特的病毒更新技术当更新信息从实验室发布时，NAI惊人的企业“推送”(SecureCast)技术立即将其送达系统管理员。通过自动更新(AutoUpdate)，桌面PC和服务器按计划从指定的中央服务器上提取更新信息使自己保持为更新状态。管理员也可使用“中央控制台”(NetToolsConsole)将软件升级版和更新信息迅速传递到企业内部的所有客户机及服务器。5、 McAfeeTVD系列产品结构及功能描述桌面保护产品：VirusScanSecuritySuite(VSS)简述在防病毒策略的注意力大部分集中在保护服务器和网关上的同时，NAI注意到50%的病毒仍是通过软盘进入企业网络的。VirusScanSecuritySuite（VSS）为所有的桌面计算机提供所能获得的、最为全面的跨平台病毒保护.VSS还集成了一些功能强大的辅助技术，可以自动地保护系统免于崩溃和数据的意外丢失。组成VSS套件由以下产品构成：1。 VirusScanVirusScan是全球桌面病毒保护领域内的领先产品，可以杀灭超过15,000种的病毒。支持DOS、Windows3ox、Windows95/98、WindowsNT、MacintoshOS/2。其主要功能为：扫描所有子系统区域（包括软盘、引导区、文件分配表和区分表、文件夹、文件和压缩文件）以提供广泛的安全保护。精确清除文件、文件引导区、分区表和内存中的病毒.实时扫描技术可在磁盘访问、文件复制、文件创建、文件重命名、程序执行、系统启动和关闭时捕获病毒.按需扫描可由用户自主选择，扫描位于文件、驱动器和软盘内的已知病毒。WebScanXWebScanX的目的在于保护恶意Java和ActiveX小程序对网络用户的损害，除了检测和阻止毒通过Internet下载的途径传播之外，WebScanX还有以下功能：阻止黑客利用Java、ActiveX小程序攻击、损坏和窃取用户的系统或资源.检测和防止通过电子邮件贴件发送给用户的病毒（检测率达到100%）,包括检测Word和Excel中的宏病毒。根据用户需求，拒绝某些特定Web站点的访问。WebScanX可以和目前最流行的浏览器如Netscape3.x>4.x；IE3。x、4。x兼容，具有友好的用户图形界面和自动更新病毒样本文件的功能。3oPCMedic通过防止操作系统和应用程序崩溃使用户免于浪费宝贵的时间和丢失珍贵的数据，防止用户级的崩溃，可以使员工保持更高的效率并减少不必要的电话咨询求助次数。InternetSecuritySuite（ISS）网关保护套件概述据国际计算机安全委员会（ICSA）统计，去年企业用户感染的病毒中，有超过20%的病毒与从Internet上下载文件有关.此外还有26%的病毒是通过电子邮件附件进入企业网络的。Internet大大加快了病毒在世界范围内的传播速度并使很多公司陷于瘫痪。组成InternetSecuritySuite在Internet网关上对任何一个可能的病毒进入点提供全面的病毒保护。它主要由以下产品组成：WebShieldSMTP该产品扫描所有入站和出站的电子邮件.基于Java的控制台，可从任一NT服务器或工作站上执行全部操作。WebScanX恶意的Java和ActiveX程序可以迅速的影响到很多用户，造成用户硬盘格式化或盗取Web站点上的数据，而编写恶意程序的人却不需要太高超的技巧。WebScanX的出现，弥补了这一漏洞，它提供了对客户端的电子邮件、Java和ActiveX的全面保护。五。致谢这次的大作业已经快要结束了，想想设计过程中出现的问题，同学老师给予自己的帮助，都觉的很开心，再大的困难也难不倒我。这使我有了一个很大的进步。在此，我表示由衷的感谢，没有他们的帮助，我将无法顺利完成这次作业.参考文献［1］ 石淑华，池瑞楠.《计算