网络安全整体解决方案.doc

企业网络安全整体解决方案 计算机网络的安全概述 一、概述 计算机安全事业始于本世纪60年代。当时，计算机系统的脆弱性已日益为美国政府和私营的一些机构所认识。但是，由于当时计算机的速度和性能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。 进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题是计算机信息的安全问题。人们在这方面所做的研究与计算机性能和应用的飞速发展不相适应，因此，它已成为未来信息技术中的主要问题之一。 由于计算机信息有共享和易扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。 国内由于计算机及网络的普及较低，加知黑客们的攻击技术和手段都相应较为落后，因此，前几年计算机安全问题暴露得不是太明显，但随着计算机的飞速发展、普及、攻击技术和手段的不断提高，对我们本就十分脆弱的系统带来了严重的威胁。据调查，国内考虑并实施完整安全措施的机构寥寥无几，很多机构仅仅简陋的用了一点点安全策略或根本无任何安全防范。我们不能总是亡羊补牢。 在计算机网络和系统安全问题中，常有的攻击手段和方式有：利用系统管理的漏洞直接进入系统；利用操作系统和应用系统的漏洞进行攻击；进行网络窃听，获取用户信息及更改网络数据；伪造用户身份、否认自己的签名；传输释放病毒和如Java/ActiveX控件来对系统进行有效控制；IP欺骗；摧毁网络节点；消耗主机资源致使主机瘫痪和死机等等。 二、计算机网络系统安全问题 由于大型网络系统内运行多种网络协议（TCP/IP、IPX/SPX、NETBEUA等），而这些网络协议并非专为安全通讯设计。因此，网络系统可能存在的安全威胁主要来自以下方面: 操作系统的安全性: 目前流行的许多操作系统均存在网络安全漏洞，如：UNIX服务器、NT服务器及Windows桌面PC等。 来自内部网用户的安全威胁。 缺乏有效的手段监视和评估网络系统的安全性。 采用TCP/IP协议族软件，本身缺乏安全性。 未能对来自外部的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/Active控件等进行有效控制。 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。 防火墙的安全性，防火墙自身是否安全，是否设置错误，需要经过检验。 从网络协议体系来看，网络系统安全则可从物理层、链路层、网络层、操作系统、应用平台、应用系统几方面来分别讨论。 物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击如干扰等。 链路层的网络安全需要保证通过网络链路的数据不被窃听。 网络层的安全需要保证网络只给授权的用户使用授权的服务，保证网络路由正确，避免被拦截或监听。 操作系统安全要求保证用户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。 应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。 应用系统完成网络系统的最终目的—为用户服务，应用系统的安全与系统设计和实现关系密切。 因此，对于网络系统安全问题需解决好如下问题： 在中心的局域网中如何在网络层实现安全性？如何控制远程用户访问的安全性？ 在广域网上的数据传输实现安全加密传输和用户的认证？ 在连接外部网络时，如何保证系统的安全性？ 如何在整个网络中防止病毒的入侵，包括Internet、服务器、工作站和电子邮件等各个部分？ 如何防止黑客的入侵？即使黑客入侵，如何降低系统的损失？ 系统软件如何保证其系统安全？ 应用系统如何保证其系统安全？ 如何保证电子邮件系统的安全性？ 如何主动的检查和查找网络系统的安全漏洞，并及时的防范和解决？ 如何评估系统的整体安全性？ 如何规划整个网络的安全系统方案？ 　 三、解决网络安全问题的一些技术和方法 划分网段、局域网交换技术和VLAN实现: 划分网段、局域网交换技术和VLAN实现主要解决局域网络的安全问题。 由于局域网是广播型网络，因此，若在广播域中进行监听，就可以对信息包进行分析，那么本广播域的信息传递都会暴露无遗。 划分网段，其本质就是限制广播域，将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。其方式可分为物理分段和逻辑分段两种。物理分段通常是将网络从物理层和数据链路层上分开网段，各网段相