网络安全解决方案

网络安全解决方案

网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保信息网络的安全性。

此处重点针对一些普遍性问题和所应采用的相应安全技术，主要包括：建立全面的网络防病毒体系；防火墙技术，控制访问权限，实现网络安全集中管理；应用入侵检测技术保护主机资源，防止内外网攻击；应用安全漏洞扫描技术主动探测网络安全漏洞，进行定期网络安全评估与安全加固；应用网站实时监控与恢复系统，实现网站安全可靠的运行；应用网络安全紧急响应体系，防范安全突发事件。

1．应用防病毒技术，建立全面的网络防病毒体系

随着Internet的不断发展，信息技术已成为促进经济发展、社会进步的巨大推动力。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点，这就使保证信息的安全变得格外重要。

1）采用多层的病毒防卫体系。

网络系统可能会受到来自于多方面的病毒威胁，为了免受病毒所造成的损失，建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系，是指在每台PC 机上安装单机版反病毒软件，在服务器上安装基于服务器的反病毒软件，在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个企业网不受病毒的感染。

考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样，故相应地在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。

2）选择合适的防病毒产品

考虑防病毒产品的性能如下：

价格：产品功能全面，价格合理，提供Internet的全面防毒功能及提供对各邮件系统的支持。

全面：监控所有病毒入口： Internet、Email、光盘、软盘、网络等所有病毒入口并对宏病毒、特洛伊木马、黑客程序或有害软件全面进行实时监控。

快速：及时更新病毒特征文件，全球每日达100种病毒，有快速的技术支持。

强大：全面结合国内外病毒样本库，查杀能力直达黑客程序及有害软件；能够查杀多种压缩文件及多重压缩文件。

智能：无须手工干预的全自动每日智能更新、升级，智能病毒扫描及启发式扫描能自动工作。

兼容：支持各平台：Win9x、Win3x、Dos、OS/2、NT Workstation、Windows 2000、Microsoft Proxy Server、Firewall、Lotus Notes/Domino Servers，全面支持FTP、HTTP、SMTP、POP3、NNTP及MS- Exchange、Outlook Express、Outlook 邮件系统。

紧密：与Windows 2000/XP紧密结合，深入操作系统内核，对各种文件鼠标操作方便。

方便：完全解放网络管理员，能通过网上任一台工作站完成对整个网络的软件分发、安装。

灵活：可以选择自动、立即、计划、Internet等多种扫描方式，可以选择智能更新、升级或手动下载升级文件或程序。

经济：系统占用率低，对网络系统的数据实时流量没有影响。

2．黑客防范

网络安全体系的构建不但要依靠合理的安全策略和有效的管理，同样要依靠好的安全产品。目前，市场上有许多网络安全产品，在技术性能上和售后服务等多方面都要处于明显的优势，有良好的性价比。

防火墙与网络入侵检测系统能共同构筑一个强大的黑客防范解决方案。防火墙的强大访问控制功能与抗攻击功能的结合，共同构筑网络安全大门，保护网络免受黑客、非法访问的侵扰，以及其他无孔不入的数据安全威胁。网络入侵检测系统则以其全面的入侵检测手法规则库和实时准确的报警/阻断功能，成为网络

安全的实时监控卫士，成为网络管理人员最佳安全管理助手。

1）应用防火墙技术，控制访问权限，实现网络安全集中管理

防火墙技术是近年发展起来的重要网络安全技术，其主要作用是在网络入口处检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯。

在网络出口处安装防火墙后，内部网络与外部网络进行了有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全有了很大的提高。

选择防火墙应可以完成以下具体任务：

通过源地址过滤，拒绝外部非法IP地址，有效的避免了外部网络上与业务无关的主机的越权访问；

防火墙可以只保留有用的服务，将其他不需要的服务关闭，这样做可以将系统受攻击的可能性降低到最小限度，使黑客无机可乘；

同样，防火墙可以制定访问策略，只有被授权的外部主机可以访问内部网络的有限IP地址，保证外部网络只能访问内部网络中的必要资源，与业务无关的操作将被拒绝；

由于外部网络对内部网络的所有访问都要经过防火墙，所以防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细的记录，通过分析可以得出可疑的攻击行为；

另外，由于安装了防火墙后，网络的安全策略由防火墙集中管理，因此，黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的，而直接攻击防火墙几乎是不可能的。

防火墙可以进行地址转换工作，使外部网络用户不能看到内部网络的结构，使黑客攻击失去目标。

2）应用入侵检测技术保护网络与主机资源，防止内外网攻击

应用防火墙技术，经过细致的系统配置，通常能够在内外网之间提供安全的网络保护，降低网络的安全风险。但是，仅仅使用防火墙、网络安全还远远不够。因为：

（1）入侵者可能寻找到防火墙背后敞开的后门；