3 网络信息系统安全产品解决方案



3.1 层次性安全需求分析和设计
    网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题,本节将从系统层次结构的角度展开,分析网络信息系统各个层次可能存在的安全漏洞和安全风险,并提出解决方案。

3.2 层次模型描述
    结合网络工程的要求,普天信诺公司把网络工程的信息系统安全划分为五个层次,环境和硬件、网络层、操作系统、应用层及操作层。

3.2.1 环境和硬件
    为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施、过程。详细内容请参照机房建设部分的建议书。

3.2.2 网络层安全

3.2.2.1 安全的网络拓扑结构
    网络层是网络入侵者进攻信息系统和病毒进入的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用 IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
    保证网络安全的首要问题就是要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。

3.2.2.2 网络扫描技术
    解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的;因为每年公司全网络需要两到三次安全漏洞扫描而去购买一套网络安全扫描工具,也不实用。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议方案的网络安全扫描服务。由安全漏洞扫描服务公司资深网络安全工程师与本公司网络安全管理员每年两到三次网络安全扫描评估做出一个详细方案。通过购买网络安全扫描服务,即可以节约客户网络安全的开资,也可以减轻网络管理员的维护负担。

 3.2.2.3 防火墙技术
    防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,目的是为了保障“可信任的”网络安全并且维护“可信任的”网络与“不可信任的”网络之间通讯的方便。防火墙被设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
    防火墙是保护网络内部安全的第一道防护,防火墙有如下益处:
  →保护脆弱的服务--通过过滤不安全的服务,防火墙可以极大地提高
    网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS、
    NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。
  →控制对系统的访问--防火墙可以提供对系统的访问控制。如允许从
    外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许
    外部访问特定的Mail Server和Web Server。
  →集中的安全管理--防火墙对网络实现集中的安全管理,在防火墙定
    义的安全规则可以运行于整个内部网络系统,而无须在内部网每台
    机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不
    需要在每台机器上分别安装特定的认证软件。外部用户也只需要经
    过一次认证即可访问内部网。
  →增强的保密性--使用防火墙可以阻止攻击者获取攻击网络系统的有
    用信息,如Figer和DNS。
  →记录和统计网络--利用数据以及非法使用数据防火墙可以记录和统
    计通过防火墙的网络通讯,提供关于网络使用的统计数据,并且,
    防火墙可以提供统计数据,来判断可能的攻击和探测。

3.2.2.4 网络实时入侵检测技术
    防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应,就要依靠基于网络的实时入侵监测技术。监控网络上的数据流,从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。
    入侵检测系统对计算机网络进行自主地,实时地攻击检测与响应。使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。入侵检测系统在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的防护体系。

3.2.2.5 防病毒体系
    您的网络防病毒系统将从以下几个方面健全和完善防病毒系统:
  →Internet入口的防病毒系统。
  →各Windows服务器的防病毒系统。
  →各种操作系统的桌面防病毒软件。
  →防病毒系统的管理和监控。
  →Windows 操作系统上的Web主页保护系统。
  →Linux服务器的防病毒系统。
  →Windows操作系统的桌面防火墙软件。

3.2.3 操作系统层安全
    操作系统安全也称主机安全,由于现代操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如Unix,Window NT,其安全漏洞更是广为流传。另一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。

3.2.3.1 系统漏洞扫描技术
    为了加强主机的安全,还应采用基于操作系统的漏洞扫描技术。针对重要服务器定期进行安全系统漏洞评估,实时系统补丁修复等。
  →解决方案:系统漏洞评估
  →配置方法:参见“网络扫描技术”。

3.2.4 安全管理层(人,组织)
    层次系统安全架构的最顶层就是针对进行操作、维护和使用的内部人员。人员有各种层次,对人员的管理和安全制度的制订是否有效,将影响由这一层次所引发的安全问题。除按业务划分的组织结构以外,必须成立专门安全组织结构。这个安全组织应当由各级行政负责人、安全技术负责人、业务负责人及负责具体实施的安全技术人员组成。

 

 

 
 
网络安全功能需求
网络安全管理的设计思想
网络安全解决方案
网络安全产品解决方案图

 
 
杀毒软件系列
卡巴斯基反病毒软件
   
防火墙系列
FortiGate防火墙
NetScreen防火墙
 
入侵检测系统
卡巴斯基多功能网关
   
内网安全管理系统
北信源内网管理软件
网康上网行为控制系统