网络安全基本部署.docxVIP

网络平安基本部署 网络平安概述 随着计算机技术和网络技术的进展，网络成为信息高速大路，人们利用网络来猎取和发 布信息，处理和共享数据，随之而来的网络信息平安问题日益突出，网络协议本身的缺陷、计算机软件的平安漏洞，对网络平安的忽视给计算机网络系统带来极大的风险。实际上，安 全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。据美国 FBI 统计， 美国每年因网络平安问题所造成的经济损失高达75 亿美元，而全球平均每 20 秒钟就发生一起 Internet 计算机侵入大事。网络防黑客、防病毒等平安问题已经引起各企业和事业机关的重视。网络平安系统面临的平安问题主要有以下几大类： 网络黑客的入侵 计算机病毒四处泛滥 内部人员有意或无意的非法信息访问和操作 网络环境下的身份冒充 公共网络传输中的数据被窃取或修改 此外，由于网络规模的不断扩大，简单性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络管理也逐步成为网络技术进展中一个极为关键的任务，对网络的进展产生很大的影响，成为现代信息网络中最重要的问题之一。假如没有一个高效的网络管理系统对网络进行管理，就很难向宽敞用户供应令人满足的服务。因此，找到一种使网络运作更高效，更有用，更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求。虽然其重要性已在各方面得到体现，并为越来越多的人所生疏，可迄今为止，在网络管理领域里仍有很多漏洞和亟待完善的问题存在。 网络平安系统的基本需求 将网络所掩盖的计算机全部安装防病毒软件，并加装入侵检测和漏洞扫描系统，将网络系统进行多层防护；另一方面还要进一步加强网络平安服务管理体系，以全面提高系统平安指数。 让我们分析一下多层防护策略如何发挥作用。 假如网络中的入侵检测系统失效，防火墙、漏洞扫描和防病毒软件还会起作用。配置合 理的防火墙能够在入侵检测系统发觉之前阻挡最一般的攻击。平安漏洞评估能够发觉漏洞并 挂念清除这些漏洞。假如一个系统没有平安漏洞，即使一个攻击没有被发觉，那么这样的攻 击也不会成功。即使入侵检测系统没有发觉已知病毒，防火墙没能够阻挡病毒，平安漏洞检 测没有清除病毒传播途径，防病毒软件同样能够侦测这些病毒。所以，在使用了多层平安防 护措施以后，企图入侵信息系统的黑客要付出成数倍的代价才有可能达到入侵目的。这时， 信息系统的平安系数得到了大大的提升。 依据大型网络及应用系统的目前实际需求，其平安管理体系由以下部分组成： 防火墙：主要针对来源于外部的攻击，隔离内外网，建立一个内部网和外部网之间的平安屏障，实施全网平安策略； 病毒防护系统：从桌面、服务器到 Internet/Intranet 网关的多级立体防病毒体系， 使病毒无处藏身和进行破坏； 平安漏洞扫描：随时对网络系统的各个环节包括操作系统到防火墙等各个环节供应牢靠的平安分析结果，并供应网络平安性分析报告等，以改善平安措施，加强防卫； 网络检测分析：对网络中的数据进行包捕获、解包分析、流量监测、发觉及解决故障、专家系统建议以优化网络系统； 将以上网络平安产品结合起来，加上特地定制的平安策略和配置管理手段等，就构成了企业信息网络的基本平安管理体系。通过以上的集成平安策略的实施，才可以有效地抵挡来源于网络内部、外部的各种非法访问及病毒威逼。 而今的业界，将漏洞扫描与入侵检测互联互动、搭配使用的技术趋势已渐成气候，而现今大多数网络仅有防火墙，漏洞扫描与入侵检测都还没有部署，这会使内部用户完全处在了防火墙的盲区，网络对他们而言是没有防范的，即是担忧全的。外来用户一旦发觉了防火墙的漏洞，那么整个网络对他们也是通行无阻的。漏洞扫描与入侵检测对网络平安是必不行少的。要想有效的防范各种网络威逼，就必需全面的部署网络平安产品，任何层面的防范都不能少。 网络防火墙系统 防火墙对网络的平安起到了肯定的爱护作用，但并非万无一失。在应用防火墙时应注 意如下几点： 正确选用、合理配置防火墙格外不简洁防火墙作为网络平安的一种防护手段，有多种 实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：a.风险分析； b.需求分析；c.确立平安政策；d.选择精确的防护手段，并使之与平安政策保持全都。然而， 多数防火墙的设立没有或很少进行充分的风险分析和需求分析，而只是依据不很完备的平安 政策选择了一种好像能“满足”需要的防火墙，这样的防火墙能否“防火”还是个问题。 需要正确评估防火墙的失效状态 评价防火墙性能如何及能否起到平安防护作用，不仅要看它工作是否正常，能否阻挡或捕获到恶意攻击和非法访问的蛛丝马迹，而且要看到一旦防火墙被攻破，它的状态如 何? 按级别来分，它应有这样四种状态：a.未受损害能够连续正常工作；b.关闭并重新启动， 同时恢复到正常工作状态； c.关闭并禁止全部的数据通行