网络安全基本部署

网络安全基本部署网络安全概述随着计算机技术和网络技术的发展，网络成为信息高速公路，人们利用网络来获取和发布信息，处理和共享数据，随之而来的网络信息安全问题日益突出，网络协议本身的缺陷、计算机软件的安全漏洞，对网络安全的忽视给计算机网络系统带来极大的风险。实际上，安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet计算机侵入事件。网络防黑客、防病毒等安全问题已经引起各企业和事业机关的重视。网络安全系统面临的安全问题主要有以下几大类：网络黑客的入侵计算机病毒四处泛滥内部人员有意或无意的非法信息访问和操作网络环境下的身份冒充公共网络传输中的数据被窃取或修改此外，由于网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络管理也逐步成为网络技术发展中一个极为关键的任务，对网络的发展产生很大的影响，成为现代信息网络中最重要的问题之一。如果没有一个高效的网络管理系统对网络进行管理，就很难向广大用户提供令人满意的服务。因此，找到一种使网络运作更高效，更实用，更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求。虽然其重要性已在各方面得到体现，并为越来越多的人所认识，可迄今为止，在网络管理领域里仍有许多漏洞和亟待完善的问题存在。网络安全系统的基本需求将网络所覆盖的计算机全部安装防病毒软件，并加装入侵检测和漏洞扫描系统，将网络系统进行多层防护；另一方面还要进一步加强网络安全服务管理体系，以全面提高系统安全指数。让我们分析一下多层防护策略如何发挥作用。如果网络中的入侵检测系统失效，防火墙、漏洞扫描和防病毒软件还会起作用。配置合理的防火墙能够在入侵检测系统发现之前阻止最普通的攻击。安全漏洞评估能够发现漏洞并帮助清除这些漏洞。如果一个系统没有安全漏洞，即使一个攻击没有被发现，那么这样的攻击也不会成功。即使入侵检测系统没有发现已知病毒，防火墙没能够阻止病毒，安全漏洞检测没有清除病毒传播途径，防病毒软件同样能够侦测这些病毒。所以，在使用了多层安全防护措施以后，企图入侵信息系统的黑客要付出成数倍的代价才有可能达到入侵目的。这时，信息系统的安全系数得到了大大的提升。根据大型网络及应用系统的目前实际需求，其安全管理体系由以下部分组成：

防火墙：主要针对来源于外部的攻击，隔离内外网，建立一个内部网和外部网之间的安全屏障，实施全网安全策略；

病毒防护系统：从桌面、服务器到Internet/Intranet网关的多级立体防病毒体系，使病毒无处藏身和进行破坏；

安全漏洞扫描：随时对网络系统的各个环节包括操作系统到防火墙等各个环节提供可靠的安全分析结果，并提供网络安全性分析报告等，以改善安全措施，加强防卫；

网络检测分析：对网络中的数据进行包捕捉、解包分析、流量监测、发现及解决故障、专家系统建议以优化网络系统；将以上网络安全产品结合起来，加上专门定制的安全策略和配置管理手段等，就构成了企业信息网络的基本安全管理体系。通过以上的集成安全策略的实施，才可以有效地抵御来源于网络内部、外部的各种非法访问及病毒威胁。而今的业界，将漏洞扫描与入侵检测互联互动、搭配使用的技术趋势已渐成气候，而现今大多数网络仅有防火墙，漏洞扫描与入侵检测都还没有部署，这会使内部用户完全处在了防火墙的盲区，网络对他们而言是没有防范的，即是不安全的。外来用户一旦发现了防火墙的漏洞，那么整个网络对他们也是通行无阻的。漏洞扫描与入侵检测对网络安全是必不可少的。要想有效的防范各种网络威胁，就必须全面的部署网络安全产品，任何层面的防范都不能少。网络防火墙系统防火墙对网络的安全起到了一定的保护作用，但并非万无一失。在应用防火墙时应注些数据流引起的报警日志，是作为受到网络攻击的主要证据。漏洞扫描系统网络的应用越来越广泛，而网络不可避免的安全问题也就越来越突出，如今，每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布，利用这些漏洞可以很容易的破坏乃至完全的控制系统；另外，由于管理员的疏忽或者技术水平的限制造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。动态安全的概念是：帮助管理员主动发现问题。最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞，保证系统的安全性。因此所有的网络系统需要一套帮助管理员监控网络通信数据流、发现网络漏洞并解决问题的工具，以保证整体网络系统平台安全。动态防御与响应随着网络脆弱性的改变和威胁攻击技术的发展，使网络安全变成了一个动态的过程，静止不变的产品根本无法适应网络安全的需要。同时由于单一的安全产品对安全问题的发现处理控制等能力各有优劣，因此不同安全产品之间的安全互补，可以提高系统对安全事件响应的准确性和全面性，使防护体系由静态到动态，由平面到立体，不仅增强了入侵检测系统的响应能力，降低了入侵检测的误报率，充分发挥了入侵检测的作用，同时提升了防火墙的机动性和实时反应能力。因此，入侵检测系统的动态防御应实现入侵检测和防火墙、入侵检测和漏洞扫描的联动。与防火墙联动入侵检测系统可以进行简单的针对TCP连接的阻断，对于网络上的错综复杂的攻击事件，入侵检测系统的防护效果还是不够全面。防火墙作为网络系统的专用的安全防护工具，其防护能力较入侵检测产品，要全面和有效。所以，建议使用入侵检测系统与防火墙联动方式，来实现对目标网络的整体防护。当入侵检测系统检测到此攻击事件时，会实时的传送一个防护策略给防火墙，由防火墙实现实时的入侵阻断。在入侵检测系统中部署的入侵检测设备可以同网络系统中的防火墙通过互联协议实现联动。当入侵检测设备检测到入侵行为后可以直接由防火墙实施切断攻击行动。与漏洞扫描系统联动入侵检测在发现攻击行为的同时，发出指令通知漏洞扫描系统，对被攻击目标机或攻击源进行扫描，来确认攻击源的存在和被攻击机系统存在的漏洞，以做到主动防御。同时，通过获得扫描结果，使IDS系统的事件报警更加准确，提高IDS系统的运行效率。同时，也让管理员动态了解了网络系统内服务器的安全状况，为制定入侵检测系统策略提供依据。网络防病毒系统网络防病毒系统是在原有单机防病毒基础上发展而来。目前，优秀的网络防病毒系统应该能够在各个层面上对病毒进行检测和清除。在当前网络系统中由于涉及大量桌面操作交互，我们建议采用两层防病毒体系来实现对网络系统的病毒防护。Mail网关防病毒系统部署服务器防病毒部署客户端防病毒部署另外，对于网络内部手提电脑的防病毒问题，由于手提电脑不经常联入网络，因此在它没有连接到网络的