网络安全整体解决方案报告书.docx

1、网络安全整体解决方案报告书广播电视厅办公大楼计算机网络网络安全整体解决方案计算机网络的安全概述一、概述 计算机安全事业始于本世纪60年代。当时，计算机系统的脆弱性已日益为美国政府和私营的一些机构所认识。但是，由于当时计算机的速度和性能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。 进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题是计算机信息的安全问题。人们在这方面所做的研

2、究与计算机性能和应用的飞速发展不相适应，因此，它已成为未来信息技术中的主要问题之一。 由于计算机信息有共享和易扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。 根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部；入侵的来源首先是内部心怀不满的员工，其次为黑客，另外是竞争者等。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。黑客威胁的报到如今已经屡见不鲜了，国

3、内外甚至美国国防部的计算机网络也都常被黑客们光顾。 国内由于计算机及网络的普及较低，加知黑客们的攻击技术和手段都相应较为落后，因此，前几年计算机安全问题暴露得不是太明显，但随着计算机的飞速发展、普及、攻击技术和手段的不断提高，对我们本就十分脆弱的系统带来了严重的威胁。据调查，国内考虑并实施完整安全措施的机构寥寥无几，很多机构仅仅简陋的用了一点点安全策略或根本无任何安全防范。我们不能总是亡羊补牢。 在计算机网络和系统安全问题中，常有的攻击手段和方式有：利用系统管理的漏洞直接进入系统；利用操作系统和应用系统的漏洞进行攻击；进行网络窃听，获取用户信息及更改网络数据；伪造用户身份、否认自己的签名；传输

4、释放病毒和如Java/ActiveX控件来对系统进行有效控制；IP欺骗；摧毁网络节点；消耗主机资源致使主机瘫痪和死机等等。二、计算机网络系统安全问题 由于大型网络系统内运行多种网络协议（TCP/IP、IPX/SPX、NETBEUA等），而这些网络协议并非专为安全通讯设计。因此，网络系统可能存在的安全威胁主要来自以下方面：操作系统的安全性：目前流行的许多操作系统均存在网络安全漏洞，如：UNIX服务器、NT服务器及Windows桌面PC等。 来自内部网用户的安全威胁。 缺乏有效的手段监视和评估网络系统的安全性。 采用TCP/IP协议族软件，本身缺乏安全性。 未能对来自外部的电子邮件挟带的病毒及We

5、b浏览可能存在的恶意Java/Active控件等进行有效控制。 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。 防火墙的安全性，防火墙自身是否安全，是否设置错误，需要经过检验。 从网络协议体系来看，网络系统安全则可从物理层、链路层、网络层、操作系统、应用平台、应用系统几方面来分别讨论。 物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击如干扰等。 链路层的网络安全需要保证通过网络链路的数据不被窃听。 网络层的安全需要保证网络只给授权的用户使用授权的服务，保证网络路由正确，避免被拦截或监听。 操作系统安全要求保证用

6、户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。 应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。 应用系统完成网络系统的最终目的为用户服务，应用系统的安全与系统设计和实现关系密切。 因此，对于网络系统安全问题需解决好如下问题：在中心的局域网中如何在网络层实现安全性？如何控制远程用户访问的安全性？ 在广域网上的数据传输实现安全加密传输和用户的认证？ 在连接外部网络时，如何保证系统的安全性？ 如何在整个网络中防止病毒的入侵，包括Internet、服务

7、器、工作站和电子邮件等各个部分？ 如何防止黑客的入侵？即使黑客入侵，如何降低系统的损失？ 系统软件如何保证其系统安全？ 应用系统如何保证其系统安全？ 如何保证电子邮件系统的安全性？ 如何主动的检查和查找网络系统的安全漏洞，并及时的防范和解决？ 如何评估系统的整体安全性？ 如何规划整个网络的安全系统方案？ 三、解决网络安全问题的一些技术和方法 划分网段、局域网交换技术和VLAN实现： 划分网段、局域网交换技术和VLAN实现主要解决局域网络的安全问题。 由于局域网是广播型网络，因此，若在广播域中进行监听，就可以对信息包进行分析，那么本广播域的信息传递都会暴露无遗。 划分网段，其本质就是限制广播域，

8、将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。其方式可分为物理分段和逻辑分段两种。物理分段通常是将网络从物理层和数据链路层上分开网段，各网段相互间无法进行直接通讯；逻辑分段是指将整个系统在网络层上进行分段。 局域网交换和VLAN技术将传统的基于广播的局域网技术发展为面向连接的技术，从广播网络转变为点到点的通讯，除非设置监听口，信息交换也不会存在监听和篡改等问题。 但是，用了局域网交换和VLAN技术仍然有一定的安全问题：如局域网设备成为了新的攻击对象、基于网络广播原理的入侵监测技术在交换网络中的运用问题、基于MAC的VLAN不能防止MAC欺骗攻击等。加密技术、数字签名和认证、VP

9、N技术： 加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性，因而这一类安全保障技术的基石是适用的数据加密技术极其在分布式系统中的应用。防火墙 防火墙通常是网络互连中的第一道屏障。防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。如今的防火墙功能越来越强大，从应用上分为包过滤和代理服务器两类；从实现上分为软件防火墙和硬件防火墙两类，通过防火墙能解决如下问题：保护脆弱服务：通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子

10、网中主机的风险。如，防火墙可以禁止NIS、NFS、TELNET服务通过，同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问：防火墙可以提供对系统的访问控制。如允许从外部访问某些主机同时禁止访问某些主机。集中的安全管理：防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设定安全策略。 增强的保密性：使用防火墙可以阻止攻击者攻击网络系统的有用信息，如Finger、DNS等。 记录和统计网络利用数据以及非法使用数据：防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据，并且，防火墙可以提供统计数据来判断可能的攻击

11、和探测。策略执行：防火墙提供了制定和执行网络安全策略的手段，未设置防火墙时，网络安全仅取决于每台主机的用户。 防火墙还提供许多的流量控制、防攻击检测等手段，直接将攻击挡在外面，充分的保障了网络安全入侵检测技术 利用防火墙技术，通常能够在内外网之间提供安全的网络保护，降低网络的安全风险。但是，仅仅利用防火墙，网络安全还远远不够：入侵者可寻找防火墙背后可能敞开的后门、入侵者可能就在防火墙内等等。 入侵检测系统是新型的网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，实时入侵检测的能力重要点在于它能够对付来自内部的攻击，能够阻止hacker的入侵。入侵检测系统常分为基于主机和网络两类。网络

12、安全扫描技术 网络安全扫描技术可对网络系统的安全作预先的检测，查找安全漏洞，提供解决方案等。 除上述技术和方法外，对于网络系统还需解决好病毒、系统软件、应用软件方面的安全问题。 总之对于网络系统的安全，需做好网络系统的安全评估方案，综合利用安全扫描技术、防火墙、安全监听系统、加密技术、防病毒软件等来互相配合，加强管理，综合提高网络的安全性。McAfee Total Virus Defense (TVD)综合的企业反病毒安全与管理方案1、概述及组成 保护当今各种网络免受愈演愈烈的计算机病毒威胁已不是一件简单的事情。目前已知的计算机病毒超过20,000种，并且每月发现的新病毒超过300种，即每天都

13、有10余种新病毒出现。研究表明，病毒比其他安全威胁造成的经济损失都大的多。因此迫切需要单一、集中的解决方案。 NAI是全球反病毒解决方案的领导者，它提供了一套现成的解决方案，即McAfee Total Virus Defense 套件（简称TVD或全无敌）。作为全面管理和维护网络安全方案的重要组件，TVD在一个集中控制的软件包里为您提供一套反病毒解决方案，使企业范围的防病毒管理成为现实。具体说，TVD可以在每个进入点抵御病毒和恶意小程序的入侵，保护网络中的PC机、服务器和Internet网关。同时它也是一个功能强大的管理工具，可以自动进行文件更新，使管理和服务作业合理化，并可用来从控制中心管理

14、企业范围的反病毒安全机制。TVD的目标是：从桌面到整个企业系统，优化系统性能、解决及预防问题、处理管理事物和执行正常的管理工作、保护公司资产免受攻击和危害、降低企业成本并提高用户和企业生产率。2、功能与特点 最广泛的多级进入点保护 随着分布式网络计算、文档驻留宏、群件等新技术的出现以及Internet 的广泛采用，网络的脆弱性成倍增加，保护计算机网络已不再是简单的在客户机上安装桌面病毒扫描程序就可以解决的问题了，建立一套完善多级的病毒防护系统非常必要。TVD提供了桌面、服务器和Internet网关的单一集成的防病毒系统 ，对所有潜在的病毒进入点实行全面保护。TVD由三种安全产品套件组成：（1）

15、.VirusScan Security Suite (VSS) 套件，提供对所有桌面客户机的多平台保护。（2）.Netshield Security Suite (Nss)套件，保护所有文件、应用程序和群件服务器。（3）.Internet Security Suite (ISS) 套件，在网关上锁住病毒和有敌意的Java、ActiveX程序。100的病毒检测率 包括多达15，000种的病毒样本特征库加上获奖产品Hunter扫描引擎使得TVD及其组件在VSUM、 Virus Bulletin 、Secure Computing 、NCSA等多所独立测试机构的重复检测中获得100测试率，启发式技术

16、迅速检测新病毒。3、强有力的服务与研究支持 NAI的VERT（防病毒快速反应小组）拥有分布在六大洲的近百名病毒研究人员，为用户提供全天候专业服务与支持。当新病毒出现时，Web上每小时（敏感期每10分钟）都会更新该病毒特征文件，让用户及时将其清除。4、市场领导者 TVD是世界上应用最广泛的防病毒和安全软件，全球3千万用户，包括在财富前100名80的公司，比其他所有解决方案的用户还多。5、完善的企业级管理能力中央控制台集中配置与管理模式，使您的企业更加高效，更易管理。6、独特的病毒更新技术 当更新信息从实验室发布时，NAI惊人的企业“推送”（SecureCast）技术立即将其送达系统管理员。通过自

17、动更新（AutoUpdate），桌面PC和服务器按计划从指定的中央服务器上提取更新信息使自己保持为更新状态。管理员也可使用“中央控制台”（Net Tools Console）将软件升级版和更新信息迅速传递到企业内部的所有客户机及服务器。7、McAfee TVD系列产品结构及功能描述桌面保护产品：VirusScan Security Suite(VSS) 简述 在防病毒策略的注意力大部分集中在保护服务器和网关上的同时，NAI注意到50的病毒仍是通过软盘进入企业网络的。VirusScan Security Suite (VSS)为所有的桌面计算机提供所能获得的、最为全面的跨平台病毒保护。VSS还集

18、成了一些功能强大的辅助技术，可以自动地保护系统免于崩溃和数据的意外丢失。组成VSS套件由以下产品构成：VirusScanVirusScan是全球桌面病毒保护领域内的领先产品，可以杀灭超过15，000种的病毒。支持DOS、Windows3.x、Windows95/98、Windows NT、Macintosh OS/2。其主要功能为：扫描所有子系统区域（包括软盘、引导区、文件分配表和区分表、文件夹、文件和压缩文件）以提供广泛的安全保护。 精确清除文件、文件引导区、分区表和内存中的病毒。 实时扫描技术可在磁盘访问、文件复制、文件创建、文件重命名、程序执行、系统启动和关闭时捕获病毒。 按需扫描可由用

19、户自主选择，扫描位于文件、驱动器和软盘内的已知病毒。WebScanXWebScanX的目的在于保护恶意Java和ActiveX小程序对网络用户的损害，除了检测和阻止毒通过Internet下载的途径传播之外，WebScanX还有以下功能：阻止黑客利用Java、ActiveX小程序攻击、损坏和窃取用户的系统或资源。 检测和防止通过电子邮件贴件发送给用户的病毒（检测率达到100），包括检测Word和Excel中的宏病毒。 根据用户需求，拒绝某些特定Web站点的访问。 WebScanX可以和目前最流行的浏览器如Netscape 3.x、4.x；IE3.x、4.x兼容，具有友好的用户图形界面和自动更新病

20、毒样本文件的功能。PC Medic通过防止操作系统和应用程序崩溃使用户免于浪费宝贵的时间和丢失珍贵的数据，防止用户级的崩溃，可以使员工保持更高的效率并减少不必要的电话咨询求助次数。PGP MedicPGP加密技术是业内默认的工业标准，全球用户超过四百万，用户对PGP加密算法的信赖程度超过任何其它解决方案。PGP File使用户轻松地保护机密信息，极大的增强了数据安全性。Quick Backup该产品曾以其优良性能获PC Magazine的Editors choice奖。Quick Backup直观的拖放界面通过鼓励定期用户防止丢失珍贵的终端数据和资源。SecureCast和Net Tools

21、Console独特的SecureCast推送技术每天自动向系统管理员发送更新过的病毒保护程序，以防御每月新发现的300多种病毒。Net Tools Console具有集中管理、分发和警告功能，与SceureCast紧密配合，完成对终端用户软件及信息的自动更新与升级。NetShield Security Suite (NSS) 服务器保护套件 简述 ： 一台桌面PC感染病毒会造成一些麻烦，但若是一台服务器感染病毒，损失就会多几倍以上。被感染的服务器文件成为病毒感染的源头，会迅速从桌面发展到整个网络的病毒爆发，尤其象Microsoft Exchange 或Lotus Notes这样的群件更会加快病

22、毒的传播速度。网络病毒感染造成的员工劳动损失、数据丢失带来的成本增加以及清除病毒感染需要的费用是惊人的。因此，提供基于服务器的病毒保护已成为当务之急。 NAI作为企业网络安全专家的首选公司，提供了基于全球领先的反病毒技术的NSS套件。它从一个直观的控制台保护整个企业的文件、应用程序和群件服务器。NSS支持NT、Netware、UNIX 、Lotus Notes、Microsoft Exchange等多种服务器的保护，可以方便地从本地服务器或工作站监测、配置和执行远程服务。集中化管理可以实现对警告传送的控制、问题票卷的生成和活动日志的自主选择。组成： NSS套件提供了所能获得的最为全面的基于服务

23、器的病毒防护，单个的许可协议就可以保证获得对所有服务器平台的完善保护。它主要由以下几部分组成。Netshield 高效、实时的检测发送给或来自于服务器的病毒感染文件，以避免它在整个网络中扩散。同时可以按需要选择立刻或定时检测，扫描贮留在文件服务器中的病毒。一旦发现，则根据管理员的需求，记录日志、删除、隔离或摈弃在防火墙以外。NetShield支持NT、Netware、UNIX、Solaris、AIX、NCR等多种平台，具有管理简便（本地监控）、检测率优异、自动保护、响应快速的特点。GroupShield 基于Microsoft Exchange 和 Lotus Notes 群件服务器的防病毒保

24、护解决方案。同Netshield 一样，GroupShield 提供了强大的管理功能，控制所有文件、应用程序并执行远程服务、安装与配置。强大的集中警告功能可以通过电子邮件、打印机、寻呼机、DMI警告或网络消息，传送各种上下文相关的病毒警告给消息的寄件人、收件人和系统管理员。利用可选的SNMP警告功能，可以自动地在流行的桌面帮助应用程序生成问题票卷。一旦发现病毒，可以在本地或远程的事件日志里记录活动日志，或将它们保存在专门的病毒日志中。SecureCast 与Net Tools Console 集中管理与快速有效的分发、警告功能、可快速地更新病毒特征文件，实现软件的自动升级。Internet S

25、ecurity Suite (ISS) 网关保护套件概述 据国际计算机安全委员会（ICSA）统计，去年企业用户感染的病毒中，有超过20的病毒与从Internet上下载文件有关。此外还有26的病毒是通过电子邮件附件进入企业网络的。Internet大大加快了病毒在世界范围内的传播速度并使很多公司陷于瘫痪。组成 Internet Security Suite 在Internet 网关上对任何一个可能的病毒进入点提供全面的病毒保护。它主要由以下产品组成：WebShield SMTP 该产品扫描所有入站和出站的电子邮件。基于Java的控制台，可从任一NT服务器或工作站上执行全部操作。WebShield

26、Proxy 该产品为HTTP、FTP等多个Internet协议在内的通信提供病毒保护，同时扫描有恶意的Java和 ActiveX 小程序。Webshield Proxy 和 Windows NT 上的 Microsoft Proxy Server 或 Solaris 上的 Netscape Proxy Server 一起运行，通过一个可从任何一个标准的 Web 浏览器操作的HTML控制台对其进行远程管理。WebScanX 恶意的Java和 ActiveX 程序可以迅速的影响到很多用户，造成用户硬盘格式化或盗取Web 站点上的数据，而编写恶意程序的人却不需要太高超的技巧。WebScanX的出现，

27、弥补了这一漏洞，它提供了对客户端的电子邮件、Java和 ActiveX的全面保护。SecureCast和 Net Tools Console 自动将病毒更新信息发送给系统管理员，并提供集中的管理、分发和警告功能。东大阿尔派防火墙NetEye系统防火墙NetEye系统简介 防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的内部网络环境。由于防火墙技术的针对性很强，它已成为实现Internet网络安全的重要保障之一。具有信息分析功能的防火墙系统NetEye是基于我国的实际情况开发的，除了实现传统的包过滤功能外，还可以对网上流动的信息进行过滤、分析和控制。NetEye系统是基于数据链路层

28、进行设计的，具有透明性好和安全度高等特点，内嵌了一个IP过滤器，并具有信息记录、信息分析、网络连接实时监控等功能，它是一个适合中国国情的防火墙系统，在安全思想和技术设计都处于领先水平。NetEye硬件配置 NetEye在硬件上采用一个可选显示器的PC机，并在其上插了三块以太网卡，在软件上自行开发出更安全的专用于防火墙的操作系统，NetEye的三块网卡均无IP地址，可实现两路透明的桥接过滤功能，因此它相当于一个黑盒子，用户无法检测到它的存在，同时NetEye又是一个具有硬件加密功能的设备，可实现安全的私有网络SVPN； NetEye 防火墙系统的硬件设备由监控主机和管理主机构成。系统特点本系统具

29、有高度的安全性和透明性 本系统是基于网络的低层-数据链路层进行设计的，采用无IP的工作方式，用户感觉不到该防火墙系统的存在，系统具有很好的隐蔽性，从而也降低了黑客的攻击，增强了防火墙系统自身的安全性。本系统的所有部分均有源码，保证了源码级的安全性及防火墙本身的可论证性和可鉴定性。内嵌IP过滤器 本系统内嵌IP过滤器， IP过滤器可以根据IP包的源或目标IP地址、TCP或UDP端口等信息进行过滤，系统提供了方便、灵活、图形化的过滤规则管理工具，能够对冲突规则进行自动检测，从而很好地保障了IP过滤的效率。详尽的网络数据跟踪、信息分析 通过对网络协议http、smtp、ftp、telnet、rlog

30、in等的分析，本系统能够任意捕取WWW、EMAIL、FTP、BBS等网络数据，并且辅以有力的查找规则，使得网络信息跟踪变得得心应手。本系统提供了信息实时检查和信息事后分析两种工作方式，实时的关键字检查更是捕捉网络数据于瞬间。网络实时监控 系统提供了对当前网络连接的实时监控功能，可以及时地发现可疑的连接，及时弥补网络系统的漏洞或进行责任追究。友好的网络管理界面 友好的界面使管理和维护更简单、更形象。智能化的规则处理保障了系统运行的正确性和高效性。减少了人为不安全性。 NetEye系统功能介绍IP 过滤器的管理1) 过滤规则处理 NetEye是具有信息分析功能的防火墙系统，提供了基于IP包的包过滤

31、功能，它是通过过滤规则来实现的。对过滤规则的管理是包过滤型防火墙的一个很重要的部分，NetEye系统提供了图形化的规则管理工具，使得过滤规则的管理工作更加简单、方便。对过滤规则的管理是以文件方式维护的，即多个规则组成一个文件。用户可以根据实际环境的需要建立新的规则文件，修改或删除已有的规则文件。 规则维护提供了对每个规则文件中的规则的维护功能，可以在规则文件中增加新规则、修改或删除已有规则。另外，可以对规则文件中的规则进行归类查找，可以按需要调整规则的先后顺序。NetEye系统为用户提供了矛盾规则和冲突规则的自动检测功能，从而保证了过滤规则制定的准确性，减少了人为的不安全因素，间接地提高了IP

32、过滤器的过滤效率。2) IP过滤器配置 用户可以按照实际情况的需要方便、灵活的配置IP过滤器：如过滤主机收到IP包时，发现规则表内没有适用于它的过滤规则，过滤主机可以采取允许或拒绝其通过。这可由系统的缺省配置文件进行设定。缺省配置文件还包括如何记录IP过滤的日志，可选择记录允许或拒绝通过的情况等。信息检查功能 传统的基于包过滤的防火墙都是基于IP包的源地址、目的地址和端口号等内容进行过滤，一般没有对IP包的信息内容进行过滤的，这就限制了包过滤的应用范围。NetEye防火墙系统在通常的基于IP包的地址、端口等内容的过滤基础上又提供了基于信息内容的过滤，即对信息内容的检查功能。这是NetEye系统与传统防火墙一个显著不同之处。 NetE