网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的*作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保您信息网络的安全性。

　　此份《网络安全整体解决方案》将重点针对一些普遍性问题和所应采用的相应安全技术及相关产品作简要介绍，主要内容包括：

　　★应用防病毒技术，建立全面的网络防病毒体系；
　　★应用防火墙技术，控制访问权限，实现网络安全集中管理；
　　★应用入侵检测技术保护主机资源，防止内外网攻击；
　　★应用安全漏洞扫描技术主动探测网络安全漏洞，进行定期网络安全评估与安全加固；
　　★应用网站实时监控与恢复系统，实现网站安全可靠的运行；
　　★应用网络安全紧急响应体系，防范安全突发事件。

　　防病毒方面：应用防病毒技术，建立全面的网络防病毒体系

　　随着Internet的不断发展，信息技术已成为促进经济发展、社会进步的巨大推动力：当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点，这就使保证信息的安全变得格外重要。而2001年却是不平凡的一年，是计算机病毒疯狂肆虐的一年，红色代码病毒、尼姆达病毒、求职病毒触动了信息网络脆弱的安全神经，更使部分信息网络用户一度陷入通讯瘫痪的尴尬局面……

　　基于以上情况，我们认为系统可能会受到来自于多方面的病毒威胁，为了免受病毒所造成的损失，建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系，是指在每台PC机上安装单机版反病毒软件，在服务器上安装基于服务器的反病毒软件，在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个企业网不受病毒的感染。

　　考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样，故相应地在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。
　　
　　防黑客方面：

　　网络安全体系的构建不但要依靠合理的安全策略和有效的管理，同样要依靠好的安全产品。目前，市场上有许多网络安全产品，防火墙的网络入侵检测系统构筑一个强大的黑客防范解决方案，它能够满足各种规模企业的需求，确保您的网络更安全。防火墙的强大访问控制功能与抗攻击功能的结合，共同构筑网络安全大门，保护您的网络免受黑客、非法访问的侵扰，以及其他无孔不入的数据安全威胁。网络入侵检测系统则以其全面的入侵检测手法规则库和实时准确的报警/阻断功能，成为网络安全的实时监控卫士，成为网络管理人员最佳安全管理助手。

　　应用防火墙技术，控制访问权限，实现网络安全集中管理

　　防火墙技术是近年发展起来的重要网络安全技术，其主要作用是在网络入口处检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯。

　　在网络出口处安装防火墙后，内部网络与外部网络进行了有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全有了很大的提高。防火墙可以完成以下具体任务：

　　－通过源地址过滤，拒绝外部非法IP地址，有效的避免了外部网络上与业务无关的主机的越权访问；
　　－防火墙可以只保留有用的服务，将其他不需要的服务关闭，这样做可以将系统受攻击的可能性降低到最小限度，使黑客无机可乘；
　　－同样，防火墙可以制定访问策略，只有被授权的外部主机可以访问内部网络的有限IP地址，保证外部网络只能访问内部网络中的必要资源，与业务无关的*作将被拒绝；
　　－由于外部网络对内部网络的所有访问都要经过防火墙，所以防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细的记录，通过分析可以得出可疑的攻击行为；
　　－另外，由于安装了防火墙后，网络的安全策略由防火墙集中管理，因此，黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的，而直接攻击防火墙几乎是不可能的。
　　－防火墙可以进行地址转换工作，使外部网络用户不能看到内部网络的结构，使黑客攻击失去目标。

　　应用入侵检测技术保护网络与主机资源，防止内外网攻击

　　应用防火墙技术，经过细致的系统配置，通常能够在内外网之间提供安全的网络保护，降低网络的安全风险。但是，仅仅使用防火墙、网络安全还远远不够。因为：
　　（1）入侵者可能寻找到防火墙背后敞开的后门；
　　（2）入侵者可能就在防火墙内；
　　（3）由于性能的限制，防火墙通常不能提供实时的入侵检测能力。

　　入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击，其次是因为它能够缩短黑客入侵的时间。

　　如在需要保护的主机网段上安装了入侵检测系统，可以实时监视各种对主机的访问请求，并及时将信息反馈给控制台，这样全网任何一台主机受到攻击时系统都可以及时发现。网络入侵检测系统’具备如下特点：
　　（1）可精确判断入侵事件网络入侵检测系统有一个完整的黑客攻击信息库，其中存放着各种黑客攻击行为的特征数据。每当用户在网络上*作时，网络入侵检测系统就将用户的*作与信息库中的数据进行匹配，一旦发现吻合，就认为此项*作为黑客攻击行为，阻断并报警。由于信息库的内容会不断升级，因此可以保证新的黑客攻击方法也能被及时发现。
　　（2）可判断应用层的入侵事件与防火墙不同，网络入侵检测系统是通过分析数据包的内容来识别黑客入侵行为的。因此，网络入侵检测系统可以判断出应用层的入侵事件。这样就极大的提高了判别黑客攻击行为的准确程度。
　　（3）对入侵可以立即进行反应网络入侵检测系统以进程的方式运行在监控机上，为网络系统提供实时的黑客攻击侦测保护。一旦发现黑客攻击行为，网络入侵检测系统可以立即做出相应。响应的方法有多种形式，其中包括：报警（如屏幕显示报警、声音报警）、必要时关闭服务直至切断链路。与此同时，网络入侵检测系统会对攻击的过程进行详细记录，为以后的调查取证工作提供线索。
　　（4）全方位的监控与保护防火墙只能隔离来自本网段以外的攻击行为，而网络入侵检测系统监控的是所有网络的*作，因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为。这样就有效的解决了来自防火墙后由于用户误*作或内部人员恶意攻击所带来的安全威胁。
　　（5）针对不同*作系统特点

　　网络上运行着各种应用程序，服务器的*作系统平台也是多种多样。网络入侵检测系统可根据系统平台的不同而进行有针对性的检验，从而提高了工作效率及侦测的准确性。网络系统安装了网络入侵检测系统后，有效的解决了来自网络安全四个层面上的非法攻击问题。它的使用既可以避免来自外部网络的恶意攻击，同时也可以加强内部网络的安全管理，保证主机资源不受来自内部网络的安全威胁，防范住了防火墙后面的安全漏洞。

　　应用安全扫描技术主动探测网络安全漏洞，进行网络安全评估与安全加固

　　安全扫描技术是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。

　　通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。

　　安全扫描工具源于黑客在入侵网络系统时所采用的工具，商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。

　　网络安全分析评估系统是一套由一群富有实际经验的安全专家开发的用于网络安全扫描的软件工具。它提供了综合的审计功能，能够及时发现网络环境中的安全漏洞，保证网络安全的完整性，并能有效评估企业内部网络、服务器、防火墙、路由器中可被黑客利用的网络薄弱环节。

　　网络安全分析评估系统可产生丰富的报表：HTML、TEXT、QRP，做到了100%的简单易用。它可以发现大众化的安全漏洞和非大众化的漏洞，不但可以利用系统预制的上千种方案进行网络探测，而且还允许用户用自己定制的数据包检测网络，使用非常灵活。网络安全分析评估系统可以Spoofing和攻击模拟，并可被用来检查各种混合配置。

　　应用网站实时监控与恢复系统，实现网站安全可靠的运行

　　Web服务系统是个让外界了解您的窗口，它的正常运行将关系到您的形象。由于网站服务器系统在安全检测中存在严重的安全漏洞，也是黑客入侵的极大目标，故我们推荐使用网站监控与自动恢复系统，保护您网站服务器的安全。

　　网站监控与自动恢复系统’采用几乎无法伪造的数字签名算法（MD5），对备份文件进行加密及排序处理，可同机监控，也可异机监控；并采用相互授权认证措施，由服务器对连接上来的客户端进行身份验证，确定其访问权限，然后再由客户端对服务器进行身份确认，使得未经授权的用户无法登录使用该系统；对Web静态文件和重要的系统文件进行双机备份和监控，即使web服务器瘫痪也能在数分钟内将之全面恢复；网站监控与恢复系统’对Web网站管理员是透明的，管理员可以通过ftp客户端程序上载文件，而几乎感觉不到监控系统的存在，ftp客户端使远程用户可以在不中断实时监控的情况下进行安全的文件上传，全面保障系统的安全和正常运行。

　　应用网络安全紧急响应体系，防范安全突发事件

　　网络安全作为一项动态工程，意味着她的安全程度会随着时间的变化而发生改变。在信息技术日新月异的今天，昔日固若金汤的网络安全策略，总难免会随着时间的推进和环境的变化，而变得不堪一击。因此，我们需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略，并及时组建网络安全紧急响应体系，专人负责，防范安全突发事件。紧急响应的目标

　　（1）故障定位及排除
　　目前依靠广域网的响应时间过长，而一般的网络系统涉及到系统、设备、应用等多个层面，因此如何将性能或故障等方面的问题准确定位在涉及到（线路、设备、服务器、*作系统、电子邮件）的具体位置，是本响应体系提供的基本功能。
　　（2）预防问题
　　通过在广域网上对网络设备和网络流量的实施监控和分析，预防问题的发生，在系统出现性能抖动时，就能及时发现，并建议系统管理员采用及时的处理。
　　（3）优化性能
　　通过对线路和其他系统进行透视化管理，利用管理系统提供的专家功能对系统的性能进行优化。
　　（4）提供整体网络运行的健康以及趋势分析。
　　对网络系统整体的运行情况作出长期的健康和趋势报告，分析系统的使用情况，对新系统的规划作出精确的基础。

　　网络安全技术

　　（一）防火墙和安全网关
　　防火墙：
　　产品结构：
　　硬件防火墙
　　软件防火墙
　　防火墙集成其他安全功能：VPN、IDS、AV等
　　解决问题：重点信息资产访问控制ACL
　　安全网关：专门用于解决利用公共通信基础设施构造网络平台的安全问题，尽可能提供互联网络（即IP）层的所有安全特性，在安全管理的约束下，兼顾系统资源，构筑一个网络安全平台。

　　（二）入侵检测系统
　　产品结构：基于事件库
　　网络入侵检测：千兆入侵检测、百兆入侵检测、部门级入侵检测系统；
　　主机入侵检测系统：支持UNIX系统、支持NT 系统。
　　解决问题：网络黑客攻击。

　　（三）漏洞扫描
　　产品结构：基于漏洞库，信息系统评估工具之一。
　　功能齐全的扫描系统应对整个网络设备（fw router switch server pc ……）及应用系统的基本件（database……）进行扫描，并提供解决问题的措施。
　　解决问题：对信息系统进行评估，决定其安全程度。
　
　　（四）VPN
　　产品结构：VPN集中器和VPN终端，基于信息加密，与其它网络设备配套使用。
　　解决问题：组织内远距离信息传输

　　（五）物理隔离技术
　　应用范围：政府网、电子政务
　　解决问题：内/外网信息交换
　　常用技术：
　　1、物理隔离交换机 2、物理隔离卡 3、物理隔离转发器 4、网络安全隔离网闸 VIGAP

　　（六）主机保护系统
　　对重点主机，进行保护，做到专机专用。
　
　　（七）网站保护系统
　　对政府、企业的网站WEB进行保护，遭到攻击时，尽快恢复。

　　（八）CA认证系统
　　基于信息加密技术，进行身份认证。
　　组成：CA管理系统、CA客户端及加密卡。
　　解决问题：信息传输时，身份认证。
　　ekey(usb)
　　ikey(usb) 　igate(ipw)
　
　　（九）防病毒系统
　　产品结构：基于病毒库
　　单机版 网络版 客户端
　　服务器 　邮件服务器
　　与其它部件配合使用 　解决问题：查杀病毒

　　（十）非法外联监控系统
　　主要是检测监控隔离网络内的非法拨号上网。
　　(十一)internet 内容过滤和邮件收发控制
　　网络安全技术特点
　　相对性
　　综合性：涉及管理及技术多个层面
　　网络安全产品的单一性
　　动态性：技术跟进和维护支持的重要性
　　管理难度大
　　黑盒性
　　信息安全解决方案现状
　　安全防护功能分散于多种产品中
　　未能采用整合式的手段以把保护整个网络
　　欠缺完整的信息安全管理能力
　　今日信息安全解决方案结果
　　缺乏效率
　　需要大量人力执行部署与配置
　　无法洞察信息安全计划与成效
　　无法有效对抗混合式威胁
　　想了解整个企业目前信息安全现况十分困难
　　成效不彰
　　信息安全危机的减轻未如预期
　　丧失客戶与市场的信任
　　整体拥有成本过高
　　网络安全技术的互*作
　　如防火墙、入侵检测、漏洞扫描之间的联动。

　　企业级网络安全整体解决方案

　　北京清华得实网络安全整体解决方案