资源描述
企业信息安全解决方案,近年来,垃圾邮件日益蔓延,企业网页不时遭到黑客篡改攻击,计算机病毒泛滥成灾,网络信息系统中的各种犯罪活动已经严重危害着社会的发展和企业的安全,给全球的企业造成了巨大的损失。计算机网络犯罪案件急剧上升,已经成为普遍的国际性问题。形形色色的安全问题不仅给企业带来了巨额的经济损失,也严重阻碍了我国的信息化进程。,企业信息安全隐患1、外来的攻击大部分外来攻击可分为三类:闯入、拒绝服务、信息窃取。闯入最常见的攻击就是闯入,他们闯进计算机里,就向普通合法用户一样使用你的电脑。闯入的手段是比较多的,常见的类型是,利用社会工程学攻击(如:你打个电话给ISP,说你是某个用户,为了做某些工作,要求立即改变密码)。比如一种最简单的方式是猜测用户名的密码,在有些情况下这是比较容易的,有许多一般用户并不太重视自己的密码,或嫌麻烦怕忘记密码而将密码取的容易猜测到,还有一种方法,是搜索整个系统,发现软件,硬件的漏洞(BUG)或配置错误,以获得系统的进入权。,拒绝服务这是一种将对方机器的功能或服务给以远程摧毁或中断的攻击方式,拒绝服务(Denialofservices)攻击的手段也是多种多样的,最早出现的大概是叫“邮包炸弹”,即攻击者用一个程序不断地向被攻击者的邮箱发出大量邮件同时还匿藏自己的地址信息,以至于邮件使用者几乎无法处理。甚至导致邮件服务系统因为大量的服务进程而崩溃。而被袭击者也无法确认谁是攻击者。另一些攻击手段是利用软件本身的设计漏洞进行远程攻击,其中比较著名的是微软的OOB(OutOfBond)漏洞,只要对着运行95或NT的139口发出一个不合法的包,就会导致操作系统轻则断掉网络连接,重则彻底死机或重启。,信息窃取有一些攻击手段允许攻击者即使不操作被攻击的电脑系统也能得到想要的数据。比较典型的是用网络嗅查器(Sniffer)监听网络中的包信息,从中发现有用的信息,如:用户名,密码,甚至付款信息等。Sniffer的工作有点象现实社会里装电话窃听装置一样。在共享式网络环境里,Sniffer是很可怕的,它可以监听大量的网络信息。,2、来自企业内部的威胁随着各行各业信息化建设的推进,内部泄密已经成为威胁企业信息安全的最大隐患。FBI和CSI对484家公司的信息安全作了调查,结果发现:有超过85%的安全威胁来自企业内部有16%来自内部未授权的存取有14%专利信息被窃取有12%内部人员的财务欺骗有11%资料或网络的破坏中国国内80的网站存在安全隐患,20的网站有严重安全问题,信息安全解决方案的市场需求为了解除内外因素对企业造成的信息安全危机,把由其带来的经济损失降到最低,配备一个适合企业自身且行之有效的网络安全方案就显得迫在眉睫了。仅仅是单纯的网络安全产品已经不能满足企业的网络安全防护需求。企业用户的整体需求要求网络安全产品必须向综合方向发展,那么技术也就必须要朝融合的方向发展。用户需要能够系统地完善和保障自己的网络安全。网络安全解决方案市场的出现和发展,既是用户需求带动的结果,也是网络安全领域向全方位、纵深化、专业化方向发展的结果。,中小型企业网络安全市场潜力巨大赛迪顾问认为:2005年及未来五年,中国网络安全产品市场用户需求空间很大,市场前景广阔,尤其是中小型企业用户的IT应用已经逐渐完善,他们的网络安全防护意识也已经形成,另外网络安全服务市场也基本尚未开发。赛迪顾问建议,政府应当积极为网络安全产业创造优良的发展环境。用户应当进一步加强网络安全防范意识,并采取有效手段切实提高防范能力。厂商则应当规范竞争秩序,在合作竞争中寻求整个安全产业链的发展出路;厂商还要正确引导用户的需求,通过提高自身技术和服务创新能力来提升竞争力,从而树立良好的品牌形象并获得持续发展。,网络安全因素影响网络安全的方面有物理安全、网络隔离技术、加密与认证、网络安全漏洞扫描、网络反病毒、网络入侵检测和最小化原则等多种因素,它们是设计信息安全方案所必须考虑的,是制定信息安全方案的策略和技术实现的基础。(1)物理安全物理安全的目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏、和搭线窃听攻击。验证用户的身份和权限,防止越权操作;确保网络设备有一个良好的电磁兼容环境,建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动等。此外,抑制和防止电磁泄漏也是物理安全的主要问题,往往采用屏蔽措施和伪噪声技术来解决。(2)网络隔离技术根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离,对整个网络的安全性有很多好处。可以实现更为细化的安全控制体系,将攻击和入侵造成的威胁分别限制在较小的子网内,提高网络的整体安全水平。路由器、虚拟局域网VLAN、防火墙是当前主要的网络分段手段。,(3)加密与认证信息加密的目的是保护网内的数据、文件、密码和控制信息,保护网络会话的完整性。对称密码的特点是有很强的保密强度且运算速度快,但其必需通过安全的途径传送,因此密钥管理至关重要。公钥密码的优点是可以适应网络的开放性要求,且方便密钥管理,尤其可实现方便的数字签名和验证,但其算法复杂,加密数据速率较低。,(4)网络安全漏洞扫描安全扫描是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、路由器、交换机、数据库等各种对象。然后根据扫描结果向系统管理员提交安全性分析报告,为提高网络安全整体水平产生重要依据。,(5)网络反病毒在传统的企业安全方案中,考虑网络安全因素的时候往往只重视网络系统,而忽视了反病毒的重要性,尽管后来购买了反病毒软件,但因为在设计时没有考虑反病毒策略,结果导致反病毒效果大打折扣。事实上,随着新技术的发展,病毒的概念在逐渐的发生演变,已经从过去单纯的对引导区和系统文件感染发展到了可通过网络自动传播,并且有的不再以系统文件为宿主,而直接寄生在操作系统之上,网页、Email、共享目录等都成了网络病毒传播的途径,就近年来发生的安全事件来看,多半都是网络型病毒造成的,因此,反病毒技术也由扫描查杀发展到了到实时监控,并且针对特殊的应用服务还出现了相应的防毒系统,如:网关型病毒防火墙,邮件反病毒系统等。,(6)网络入侵检测网络入侵检测的目的主要是监控主机和网络系统上发生的一切事件,一旦发现有攻击的迹象或其它不正常现象就采取截断、报警等方式进行处理并通知管理员,同时详细记录有关的事件日志,以备分析取证。它的实时监控和反应大大增强了网络系统的安全性。入侵检测系统一般分为主机型和网络型,前者监控宿主机系统上的攻击特征,后者监控网络上有符合入侵特征的数据包,当前的入侵检测系统大多都可以与防火墙和反病毒软件连动,从而更有效地阻断黑客或病毒的入侵。,(7)最小化原则从网络安全的角度考虑问题,打开的服务越多,可能出现的安全问题就会越多。“最小化原则”指的是网络中账号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。在没有明确的安全策略的网络环境中,网络管理员通过简单关闭不必要或者不了解的网络服务、删除主机间的信任关系、及时删除不必要的账号等手段也可以将入侵危险降低一半以上。,安全方案的设计和实现安全方案的好坏直接关系着企业的信息安全能否真正得到解决,一个不合适的方案不仅浪费了企业宝贵的财力、物力和人力,而且还无法达到保护企业信息资源的效果,而一个好的安全方案,则能够用合适的投入带来最佳的安全回报,所以说,安全方案的设计是至关重要的。企业要了解一定的安全知识,具备一定的辨识力,必要的情况下可以聘请专业安全咨询公司做监理来完成安全方案的设计和实现。,(1)安全需求分析机房、主机环境、网络设备和通信线路对安全的需求Internet接入服务器的安全需求内部网用户安全访问Internet的安全需求对内网用户访问Internet的监控及带宽控制的需求内部网服务器和外部网站系统的安全需求电子邮件系统的安全需求内外网网络数据传输安全的需求计算机病毒防范的需求用户身份鉴别和认证的安全需求数据保密存储的需求,(2)制定安全策略安全策略在安全方案中起着统领全局的重要作用,对于网络的建设者和运营者而言,实现安全的第一要务是明确本网的业务定位、提供的服务类型和提供服务的对象。企业的安全策略的制定应该在充分的考察和研究以后,至少要对下面的内容进行限定:物理安全策略访问控制策略开放的网络服务及运行级别策略网络拓扑、隔离手段、依赖和信任关系机房设备和数据的物理安全及保障网络管理职能的分割与责任分担用户的权利分级和责任攻击和入侵应急处理流程和灾难恢复计划密码安全网络安全管理操作系统及应用和安全产品的更新策略系统安全配置策略,(3)安全产品和安全服务安全产品主要有:网络安全类:扫描器、防火墙、入侵检测系统、网站恢复系统等反病毒类:涉及服务器、网关、邮件、专用系统等的反病毒系统商用密码类:虚拟私有网、公共密钥体系、密钥管理系统、加密机等身份认证类:动态口令、智能卡、证书、指纹、虹膜等安全服务主要有:安全需求分析安全策略制定系统漏洞审计系统安全加固系统漏洞修补渗透攻击测试数据库安全管理与加固安全产品配置紧急事件响应网络安全培训,典型的企业信息安全解决方案,(1)网络应用概述该企业的网络系统是典型的Intranet系统,总部的主网络系统通过DDN专线与Internet相连,运行有网站服务器系统、邮件服务器系统和Intranet服务器及内部服务器,分别用于发布公司的网站、构建公司的Email系统及实现本地和远程网络化办公,其中总部的主网络系统和分支机构的子网络系统的数据通信是通过Internet公网来完成的,此外,公司的研发中心等重要部门设置在总部。,(2)安全需求分析为确保公司的整个网络系统能够安全稳定的运行,需要对重要服务器、重要子网进行安全保护,对传输的数据进行加密,用户的身份进行鉴别等,主要必须解决以下方面的安全问题:服务器系统的安全:包括网站服务器、邮件服务器、Intranet服务器和内部服务器等。公司总部和分支机构的内部网安全:以防备来自Internet的攻击,如:病毒、木马和黑客等。用户的身份认定:包括公司员工、网站访客和网络会员等。数据传输安全:包括总部与分支机构之间、内部网用户到服务器、移动用户和家庭用户到服务器等。保护重要部门:如研发中心有公司产品源代码等重要的资料。,(3)安全策略制定物理安全策略:如机房环境、门禁系统、设备锁、数据备份、CMOS安全设置等。访问控制策略:为公司总部内部网与Internet网之间、公司总部与分支机构之间、Internet用户与公司网络之间等需要进行互连的网络制定访问控制规则。安全配置及更新策略:对操作系统、应用系统、安全产品等进行升级更新、设置用户访问权限及信任关系等。管理员和用户策略:制定机房出入管理制度、实行安全责任制等。安全管理策略:安全规则设置、安全审计、日志分析、漏洞检测及修补等。密码安全策略:密码复杂度、密码更改周期、密码有效期等。紧急事件策略:针对攻击和入侵可能导致的结果制定应急处理流程和灾难恢复计划。,(4)产品选择及部署使用安全产品是贯彻安全策略的有效手段,能够解决大多数的安全问题。往往需要把安全产品与安全管理和服务有机地结合起来,才能达到较高的安全水平。交换机:划分VLAN进行子网隔离、抵抗嗅探类程序和提高网络传输效率。防火墙:解决内外网隔离及服务器安全防范等问题,主要部署在网络的Internet接点和重要部门的子网与其它内部子网之间,其中个人防火墙系统安装在客户端。虚拟私有网:解决网络间数据传输的安全保密,主要部署需要安全保密的线路两端的节点处,如:防火墙和客户端。身份认证:解决用户身份鉴定问题,主要部署在专用认证服务器或需要认证的服务器系统中。反病毒:防范病毒、木马、蠕虫等有害程序的感染与传播,主要部署在服务器系统和客户机系统。入侵检测系统:安全监控和黑客入侵实时报警拦截,主要部署在需要保护的服务器主机和需要保护的子网。,(5)安全教育培训在安全方案里面,安全教育也是比较重要的一个环节,安全教育能使得掌握基本的安全知识,有利于安全意识的提高,能够及时制止或避免有可能发生的安全事件,能够使安全产品更好地发挥其作用,也方便了安全管理和服务的实施。一般来说,主要是针对一般网络用户和网络管理员及信息主管等对象实施安全培训,内容至少要包含以下一些方面:基本网络知识OSI七层网络模型及TCP/IP协议计算机病毒及防治常见网络入侵手段的分析与防范操作系统及其应用的安全设置安全产品的安装和配置企业网络系统的安全管理和维护数据备份与恢复,3、网络信息安全解决方案的业界动态2005年6月,在由计算机世界方案评析实验室(CCWSolutionAnalysisLab)主办的2005年优秀信息安全应用解决方案评选中,有14家参选者脱颖而出,获得优秀信息安全解决方案奖。它们是:赛门铁克、联想网御、上海安纵、saftnetchina、美讯智、中联绿盟、冠群电脑、(中国)冠群金辰、anaynetworks、网新易尚、中创软件、东软软件、天融信、华勤通信。,计算机世界方案评析实验室(CCWSolutionAnalysisLab)是国内知名解决方案评估实验室,此次安全解决方案评选历经1个月时间的筹备,共收集安全解决方案30多个。经过国家信息中心首席工程师/主任宁家骏、国家信息安全评测认证中心总工程师陈晓桦、国家电力调度通信中心总工程师辛耀中等专家团成员的综合评选下,根据计算机世界方案评析实验室专门为信息安全方案横向评估制定的40多项评估指标体系,对不同厂商的解决方案从需求把握、行业知识、设计思路、产品功能特性等方面进行了全方位的衡量。根据量化评分规则,对整体解决方案进行综合评定。,赛门铁克(Symantec)企业网络防病毒解决方案,赛门铁克成立于1982年,是互联网安全技术的全球领导厂商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案,旗下的诺顿品牌是个人安全产品全球零售市场的领导者,在行业中屡获奖项。2005年,它推出了一个全方位、多层次的、整体的网络防病毒解决方案。方案中涉及的防病毒产品有:,网络结构方面:Symantec从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护,尤其是对电子邮件的防病毒,Symantec具有最全面的解决方案,包括市场上流行的所有邮件系统以及其他的基于Unix平台下的邮件系统。在系统平台支持方面:Symantec对各种操作系统提供全面的支持,如:IBMAIX,Linux,AS/400,OS/390,SUNSolaris,Dos,Windows/3x,Windows95/98,WindowsNTWorkstation/Server,Windows2000,OS/2,NOVELLNetware,Macintosh等。,在防病毒技术方面:Symantec采用各种先进的反病毒技术,尤其在对付未知病毒和多态病毒方面,采用了各种先进的技术对其进行查杀,如:启发式侦测技术(BloodhundTM),神经网络技术,打击技术(Striker32)和防宏病毒技术(MVP)等,因此NAV产品不仅能查、杀各种未知病毒,还能修复被病毒感染的文件。在防病毒软件和防病毒策略管理方面:通过赛门铁克的SSC(SymantecSystemCenter)赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。,在病毒定义码和扫描引擎升级方面:采用模块化(NAVEX)的升级方式,也就是说,用户每次升级都包括最新的病毒定义码和扫描引擎,而且各种NAV产品采用的是同一套病毒定义码和扫描引擎,方便用户病毒定义码和扫描引擎的升级,同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机。在技术支持和服务方面:Symantec有专门的人员和机构对用户出现的问题和新病毒提供快速及时的响应,并能迅速提供相应的解决方案。,联想网御的“等级化安全体系”业务策略联想网御公司是国内领先的信息安全服务与产品提供商。2005年5月11日,联想网御在北京发布了2005财年的业务策略,将以“等级化安全体系”为核心全面展开。这是国内第一家安全厂商在对国家等级保护相关政策(27号文件和66号文件)及客户应用需求做了深入的理论研究和实践探索的基础上,配合国家安全建设的步骤,率先将该理论作为业务的战略思想。充分显示了联想网御在安全理念、方案、产品、技术的前瞻性和实践积累上已遥遥领先国内其他厂商。长期以来,绝大多数企业并不清楚怎么建设安全系统才是经济合理的,既有在投资时吝惜了一部分钱却造成日后严重信息安全损失的案例,也有“投资千万元保护百万元资产”的事情,而且还不在少数。等级化安全体系对于解决安全建设中的相关问题是一种行之有效的方法,能帮助客户做到心中有数、建设有序、控制有力。”,“等级化安全体系”旨在根据不同用户在不同阶段的需求、业务特性及应用重点,根据“定级管理要求建设方案”三步走的原则,利用等级化与体系化相结合的安全体系设计方法,在遵循国家等级保护制度的同时,将等级化安全理念融会到产品、方案及应用中,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。联想网御还分别针对行业大客户以及中小型客户量身定做了等级化安全体系方案和等级保护方案,并阐述了如何以网御精品构建等级化安全体系,包括联想网御产品研发战略的等级化思路、多NP万兆级防火墙等级化服务平台、SOC安全管理等级化平台等。可谓从方案、产品、技术角度将该方法体系落到了实处。,上海安纵的可变基础平台XSTF现在信息安全需要集成这个概念已经普遍为人所认识。然而目前的安全集成还处在初级阶段,往往只是产品的叠加,相互间缺乏标准的通信接口,更为重要的是,还不能与应用紧密地结合起来。因此,用户迫切需要一个完整的、与应用紧密相关的并且是容易部署、管理和应用的安全解决方案。,上海安纵信息科技有限公司研究开发的“XSTF”是一个具有高度标准化、良好扩展性,并与应用紧密结合的可变安全基础平台,将各种“针对特定环境或者特殊用途的安全技术和产品”与“对它们的应用、整合、管理”分离开,从而屏蔽底层安全技术细节,使用户可参与定制与自身业务应用相关的安全系统。同时由于平台的开放性,使系统可以快速整合第三方安全产品,大大提高系统的安全防护能力。用户可以用这个平台对业务应用环境的安全需求建模,选择不同安全组件,统一管理和部署,从而快速有效地定制符合自身应用需求的安全解决方案。整个安全系统是一个“X”模型,而XSTF平台就是其中的汇聚点。向上,它提供针对业务应用的安全系统建模方法和工具,以实现个性化定制的需求。对下,提供安全中间件封装工具和相应技术规范,可以快速将不同类型的安全产品和技术封装成平台可用的安全中间件,从而纳入整个安全系统。,冠群金辰中小企业信息安全解决方案据国家经贸委统计,中国各类中小企业数量超过1000万家;在国民经济中,60%的总产值来自于中小企业,并为社会提供了70%以上的就业机会。随着信息技术与网络应用的普及,越来越多中小企业业务对于信息技术的依赖程度较之以往有了显著的提高。然而,中小企业在加快自身信息化建设步伐的同时,由于将更多的精力集中到了各种业务应用的开展上,再加之受限于资金、技术、人员以及安全意识等多方面因素,造成了大多数中小企业在信息安全建设方面的相对滞后。随着病毒的网络化与黑客攻击手段的丰富与先进,防毒、反黑已经成为了中小企业信息安全建设所面临的重要课题。,从一个信息安全产品乃至解决方案的发展历程来看,了解用户的期望,是最基础的一步:首先,从中小型企业普遍缺乏资金的角度来看,信息安全厂商提供的产品或方案需要具备高度的可用性、针对性、以及经济性,也就是我们常说的物美价廉;其次,要保证解决方案的易用性,以弥补中小企业在专业技术人员方面的匮乏;再次,要保证方案和产品在防毒反黑方面有强大的功能,能够确实起到保护信息系统正常运转,保障业务持续开展的效果。,但是,在这些用户关心的问题中,最关键的还是产品或解决方案的性能。真正的信息安全保障,不仅仅是单纯的信息保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。,冠群金辰所推崇的深层防御战略正体现了信息保障的核心思想。深层防御战略的含义是多方面的,它试图全面覆盖一个层次化的、多样性的安全保障框架。深层防御战略的核心目标就是在攻击者成功地破坏了某个保护机制的情况下,其它保护机制依然能够提供附加的保护。在深层防御战略(DefenseinDepth)中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者不可或缺;从技术上讲深层防御战略体现为在包括主机、网络、系统边界和支撑性基础设施等多个网络环节之中如何实现预警、保护、检测、反应和恢复(WPDRR)这五个安全内容。,基于对信息安全保障这一安全概念的准确理解,冠群金辰从为用户提供完善的信息安全保障的角度出发,提出了3S理念,即:SecuritySolution(安全解决方案)、SecurityApplication(安全应用)和SecurityService(安全服务)。从最早的防计算机病毒领域全面转型到提供整体的信息安全解决方案。在这个转型过程中,秉承深层防御战略的安全思想,不断对自己的整体安全解决方案进行充实。到目前已经逐步形成三大系列七大产品:主机系列安全产品:龙渊主机核心防护、泰阿KILL安全胄甲;网络传输设施系列安全产品:轩辕防火墙、干将/莫邪入侵检测系统、承影漏洞扫描器;网络边界系列产品:轩辕防火墙、赤霄网关过滤系统、纯均虚拟专用网,冠群金辰中小型企业信息安全解决方案针对中小企业的当前最重要的反黑、防毒的主要信息安全任务,冠群金辰还提出了一套层次化和多样性的针对性解决方案:防毒篇:针对计算机病毒的网络化趋势,根据病毒的传播来源方式,从三个层次上对病毒进行检测和查杀:边界:赤霄网关过滤系统对HTTP、FTP、SMTP应用进行病毒查杀为防止计算机病毒通过用户上网浏览、下载或发送电子邮件等方式传入到用户网络中,应该采用网关防病毒机制。网关集中防毒的好处是防毒效率高,设计、实现和维护都比较简单。,网络:干将/莫邪入侵检测系统对网络病毒进行检测和定位对网络中流动的病毒进行检测和定位是另外一种很重要的手段。网络中没有安装有效杀毒工具的站点或者感染上未知病毒的站点很可能会迅速破坏整个网络的可用性或感染网络中的机器,由于这类站点一般都不会主动发出病毒报警,因此及时、迅速、准确地对它们进行检测和定位对有效的预防和杀除病毒很有帮助,同时它也起到一种有效的病毒预警作用。主机:泰阿KILL安全胄甲对主机病毒进行查杀对于已经入侵到主机的病毒,杀毒工具自然是最有效的安全手段了,但是从管理上讲,为有效地检测和控制病毒,应该采用网络杀毒工具。网络杀毒工具的管理有效性体现为几个方面:杀毒策略统一集中配置,自动并且是强制升级方式;集中病毒报警。通过这种集中管理方式可以做到:减少对客户端人员的技术和技能要求;全网策略集中同一,保证了防杀病毒的有效性和实时性。,反黑篇:同样,对于黑客攻击我们也可以从三个层次上进行检测和预防:边界:轩辕防火墙阻断非法攻击进入网络在边界通过防火墙、物理隔离设备将攻击阻挡在网络外部,对于远程访问可以通过VPN方式提供安全的信息传输通道,防止黑客窃取信息或非法进入用户网络。网络:干将/莫邪入侵检测系统对网络攻击进行检测,并作出反应承影漏洞扫描器对网络进行评估,减少安全脆弱性对网络中的流量进行检测,查找正在发生或将要发生的网络攻击,并及时采取反应措施,比如报警、阻断、记录等。在防止威胁的同时,还可以主动去发现并减少用户系统的安全脆弱性,通过安全脆弱性评估工具可以实现这一点。,主机:龙渊主机核心防护提高关键服务器操作系统的安全级别对于用户业务来讲,主机是基础的承载平台,所有应用、数据都驻留在主机上,因此主机的安全是用户业务安全的最后堡垒,也是最重要的一环。主机的安全包括主机操作系统的安全、数据库系统的安全以及应用系统的安全,其中操作系统的安全又是所有安全的基础。在主机上要采取各种可能安全措施(比如安全配置、权限分离、防止缓冲区溢出攻击等)来减少自身的安全脆弱性、通过加密保证信息的保密性和完整性、通过完善的日志和审计功能对攻击行为进行记录和追踪、通过备份等应急机制来实现系统的安全恢复。,冠群金辰相关产品简介龙渊服务器核心防护(eTrustAccessControl)基于操作系统级的安全保护,可有效地将商用操作系统提升到B1级,是基于主机的防火墙、其具备的高强能力的缓冲区溢出攻击防范,完备的审计功能,集中分布式管理等特点都使其适应用户关键业务服务器的安全加固,从而全面保护关键业务数据和应用。干将/莫邪入侵检测系统(eTrustIntrusionDetection)入侵检测系统eTrustIntrusionDetection能监控网络流量、实时检测可疑的网络活动和入侵攻击,它还可同路由器、防火墙等设备实现联动、协调各种安全保护措施,使其最大程度地发挥整体安全的作用,,泰阿KILL安全胄甲KILL安全胄甲是全中文的网络防病毒产品,具有领先的反病毒技术和强大的集中管理功能,尤其适应计算机病毒网络化趋势。结合冠群金辰的eID、KILL过滤网关、KILL安全胄甲可为企业网络提供全方位、立体化的防病毒保护。赤霄KILL邮件过滤网关(KILLMailShieldGateway)KILL邮件过滤网是一个集中检测带毒邮件的独立硬件系统,它与用户的邮件系统类型无关,并支持SMTP认证。邮于KILL邮件过滤网关的物理旁路性和冗余性,它确保了邮件系统的高性能、高可靠性和高兼容性,可有效地防范计算机病毒越来越多地通过邮件方式传播的途径。,承影网络漏洞扫描器(Scanner)承影网络漏洞扫描器是适合于企业安全漏洞扫描工具,用来检查网络环境下各种网络系统与设备的安全缺陷和弱点,并生成漏洞诊断报告和安全建议,帮助管理员巩固企业的信息系统安全。轩辕防火墙(FireWall)轩辕防火墙是集多种功能于一体的高性能硬件防火墙,是提供百兆和千兆级性能,支持NAT、透明模式等多种工作方式,除了具有状态检测、用户认证、NAT/PAT、虚拟防火墙、透明代理等功能特点外,还具有丰富的防火墙增值功能,其简便的管理方式,极佳的性能价格比使得轩辕防火墙适用于各类型企业及政府机关的网络边界保护。,纯均虚拟专用网(eTrustVPN)虚拟专用网eTrustVPN可使企业个人和企业部门通过因特网、拨号接入网络等公众网络设施实现与企业内部网安全可靠的连接,如同本地连接一样。它提供点对点、点对网络、网络对网络等多种工作方式。,绿盟科技信息安全解决方案,中小企业的信息安全建设可以根据各自的条件采用不同的策略。绿盟科技针对中小企业信息安全的特点制定出三种中小企业安全方案。,经济型(适用于主机数100用户以下)防护措施访问控制系统+防病毒:最基本的安全措施:防火墙系统与网络防病毒系统,通常可以抵挡住70%的攻击行为;入侵检测系统:网络入侵检测系统可以帮助用户动态发现内部和外部的入侵企图,及时阻断,也便于查找攻击破坏源,缩短响应时间,降低攻击损失程度;定期脆弱性评估、维护服务:简单而有必要的的安全服务内容能发现更多的安全隐患;做到提前预知与防护;,标准型(适用于主机数100-300用户)访问控制系统+防病毒(含垃圾邮件防护模块):最基本的安全措施,通常已经建设但需要增加必要的模块;如防垃圾邮件模块;入侵检测系统+风险评估系统(64地址用户即可):根据实际情况可进行分布式部署入侵检测系统与中心节点的风险评估系统,建立动态、实时、周期性防护体系;日常咨询服务+紧急响应:必要的安全咨询服务于紧急响应来解决日常安全问题和突发安全事件,是中小企业中对实时性要求较高的企业不可缺少的一部分;,增强型(适用于主机数300-800用户)咨询服务+整体风险评估便于进行全方位的安全架构设计;发现更多的未知安全隐患;访问控制系统(含VPN模块)+防病毒(含垃圾邮件防护模块)充分考虑系统的可扩展性,保护用户投资;分布式入侵检测系统(或多网段检测)+风险评估系统(一个C类地址即可)可进行分布式部署发现多个网段的异常信息流与内部关键字信息定制;建立定期严格的安全评估策略;,专用抗拒绝服务系统保护用户实时发布系统和对外网站系统的电子商务平台等,便于提升服务质量;日常咨询+紧急响应便于处理日常问题或突发事件的产生;安全制度+安全培训必要的安全管理措施与安全基础培训能增强整体安全水准,提高安全意识;,下面我们通过一个简单的案例来了解一下信息网络安全建设的实例:国内一知名电子设备制造企业,有员工1000人左右,内部主机总数约400台。整个网络采用分层的单出口结构,接入层采用一台CISCO设备,通过一条至电信部门的10M专线与广域网相连。主要应用为内部办公、网站发布、邮件系统、财务办公、部分电子商务以及客户关系管理系统、人事管理系统等。,企业总部设在广州,在南京有一分支机构。网络曾经过多次改造扩建,目前初具规模,设备主要采用CISCO设备,服务器系统大多数采用Windows系列,提供服务的服务器目前有5台,正打算扩展部分服务系统;此外还有内部服务器系统,主要做用户文件管理与共享;内部网络各子网分布在不同的楼层,在交换设备上作了VLAN的划分,各子网间不允许互访。财务网络采用独立网段,与其它子网逻辑隔离;不允许进行外部访问,只可以通过电话线路拨号上网。分支机构和部分出差移动办公人员通过电话拨号上网与内部网络通过邮件进行信息传递。,该企业由于内部网上病毒危害较大,采购了一套国外网络防病毒系统;网络管理人员对服务器系统大约2个月左右进行升级一次,此外在路由设备上作了基本的地址转换等访问控制规则设置。实际情况是仅采取以上措施仍然没有达到预期效果,发生了多起严重的安全事件:蠕虫爆发造成了网络阻塞;垃圾邮件占用了邮件服务器过多的空间;web服务时常中断,在采用监听工具查找时,发现了经常被外部扫描窥探的痕迹;内部员工在上班时间利用网络做大流量文件传输,严重占用了网络带宽资源,经常会影响到正常的业务信息查询等工作;此外还有内部员工出于好奇作一些尝试性的攻击破坏,使得内部服务器区的服务器经常性的需要进行备份恢复处理等等。为此,该公司信息管理人员深感安全防护已经成为迫在眉睫的工作。,绿盟科技在对网络实际情况进行了详细的分析之后决定为其选择“增强型方案”,在方案设计时主要遵循以下几个重要原则:统一性与整体性原则一个完整网络系统的各个环节,包括设备、软件、数据、人员等,在网络安全中的地位和影响作用,只有从系统整体的角度去看待、分析,才可能得到有效、可行的安全措施。因此,整体安全保障体系建设应遵循统一性、整体性原则,便于今后系统的扩展。技术与管理相结合原则信息网络系统是一个相对复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。,动态防护原则要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。积极防御原则消极防御只能是被动挨打,所以应在技术和管理上创建一个灵活机动、适应性强的安全保障体系,做到积极防御。多重保护原则任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。,分阶段实施原则要根据实际安全需求情况,以及建设内容的重要程度和建设成本等,实行分阶段建设的原则,做到安全体系的建设既能够满足现阶段相当一段时间内安全的需要,又能够充分利用有限的资金和资源。,在经过整体分析后,整体安全需求及解决方法描述如下:边界安全服务器以及内部网络和外部网络连接处的入口,保证服务器区以及内部资源不被非法访问;在防火墙系统中设VPN模块,防止各种非授权访问,也满足了分支机构的访问和移动办公的安全访问需要;对于财务网络还设置了代理服务器多重保护;抗拒绝服务不仅仅能对内部各服务器系统进行抗拒绝服务保护,还能够对防火墙系统进行防护;设置专业防拒绝服务的专用黑洞系统;,入侵检测对于分布环境下重要网段的攻击检测,发现来源于内部或外部的攻击,进行记录和阻断;也便于发现网络内部的异常信息流,如访问非法网站、内部异常扫描、非主流业务的大流量传输等;对于蠕虫大规模爆发时即可以查出源地址,便于及时进行处理;利用基于网络的分布式入侵检测技术,在服务器区以及在内部网络各子网接入部分部署入侵检测系统;在后期建设中随着网络规模的扩大,在各子网中也可以部署入侵检测系统,并且采用同一控制台进行集中统一管理;安全检查保证动态网络在变化时的风险检测,同时评估安全风险变化和安全工程的作用;部署专业级风险评估系统,周期性对网络内部进行评估检测,提供专家级补救建议;,安全服务保证网络遇到各种突发安全事件时能得到妥善处理;在日常维护中提供专家级咨询服务;并有利于提高整体安全意识等,满足动态性安全需要;在进行安全项目实施前作一次脆弱性安全评估,确定整体安全策略;提供一年内安全咨询、紧急响应、安全通告、专业安全培训、安全制度的更新完善;,建设后,建设前,项目所采取的安全系统考虑到了现阶段的需求,并充分考虑到今后的扩展性,整个安全系统的投入仅占信息网络整体建设的8%。网络管理人员和各类业务人员参加培训之后对安全体系的认识有了显著的提高,出台了各种安全制度,完善了安全策略措施,该企业的领导对信息化的进一步建设也表示出了从未有过的信心。,蓝盾企业网络安全解决方案,主要功能特点1.软、硬件一体化的结构防火墙对于用户来说,只是一个类似路由器的硬件设备,整体系统采用黑盒设计,防火墙系统与硬件紧密结合,发挥硬件最高效能,减少由于操作系统问题而产生网络漏洞的可能,提高系统自身安全性。2.独特的第四网络接口(对内服务器群)蓝盾防火墙防内版拥有四个网络接口,专门开辟了第四区间对内服务区,将原来安装在内部网络中一些重要的服务器集中联入本区域,此区域与第三区域不同。对于第三区域,内网、外网都能访问;对于第四区域,只开放给内网某一部分IP访问,外网无法访问。这样构成的系统,既可“防外”又可“防内”,彻底解决了一般防火墙只能“防外”不能“防内”的不足。,3.NAT方式节省网络地址资源对于一个小型网络来说,申请的IP地址不会太多,如果网络中的每一台设备都需要一个IP地址,会造成IP地址的严重不足。蓝盾防火墙提供的网络地址转换(NetworkAddressTranslation)功能不仅可以隐藏内部网络地址信息,使外界无直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中上公用Internet地址和私有地址的内部网用户顺利的访问Internet的信息资源,不但不会造成任何网络应用的阻碍,同时还可以节省大量的网络地址资源。,4.高性能的系统核心现在商业操作平台如Win98、NT、UNIX、LINUX存在着不少漏洞,不断被黑客在互联网上公开、传播,作为攻击的目标。蓝盾安全小组从底层做起,自行开发出一套防火墙专用安全平台,对与流量关系密切的模块进行优化处理,做到高安全性、高稳定性和高效率。本系统核心专门为TCP/IP及Firewall而设计,能大大提升系统性能。例如IPChecksum部分由汇编语言编写,比同类系统性能提高20%-60%。5.灵活的WWW端口控制通过系统的8887端口,可进入WWW设置管理界面,进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性,避免其它人员打开8887端口,猜测密码,我们在系统内核中增加了一个端口控制层,通过BDKEY控制软件,可自由打开或关闭8887端口。,6.提供第三区域除了内部网络界面和外部网络界面,系统还增加一个网络界面,让管理员灵活应用。如建立DMZ(DemilitarizedZone),在其中放置代理服务器或公共应用服务器。7.支持多种标准服务目前,能够支持哪些传输标准是评价一个防火墙系统的重要指标之一,蓝盾防火墙系统支持95种通信协议和730种应用服务,包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。用户不必担心使用了防火墙后出现某些服务失效的副作用。,8.美观易用的界面系统设有基于WWW的管理界面,管理员可以通过由HTML、Javaapplet组成的图形界面对系统进行管理。把复杂繁多的系统功能设置变为直观易用的WWW界面,大大降低了对网络管理员的高要求,提高了系统的易用性。9.物理断开功能系统具有独特的物理断开功能,在每个网络接口中都内置有物理开关模块。在某些特殊情况下,网络管理员可以通过网络对其强行断开,立即中止该接口数据传输。,功能模块1.智能防御模块系统自动统计、分析通过防火墙的各种连接数据,探测出攻击者,立即断开与该主机的任何连接,并采取将其IP地址列入黑名单等措施,保护内网所有主机的安全。2.自动反扫描模块扫描是黑客攻击的前奏,攻击前,黑客一般会先扫描一下目标主机打开的服务端口,然后再进行针对性攻击。本系统在内核设计中引入自动反扫描机制,以最快的速度发现扫描器,即时断开其连接,并将该IP地址列入黑名单,在一定时间(约10分钟)内,该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。,3.双向网络地址转换模块内部网络用户一般没有合法的InternetIP地址(RegisteredIPAddress),不能直接对外部网络进行访问,这可以通过网络地址转换系统得到完满的解决。当用户需要对外访问时,蓝盾防火墙系统将会从IP池中的IP动态分配给用户,使用户得到合法的IP地址与外部访问。端口地址转换(PortAddressTranslation)可以扩展公司可使用的InternetIP,用户的访问将会映射到IP池中IP的一个端口上去,这使每个合法InternetIP可以映射六万多个内部网主机,并发访问为16384条。如果企业希望内部网络中的服务器可以让Internet用户访问的话,可以利用反向NAT(R-NAT)或反向PAT(R-PAT)系统,为内部网络服务器作静态地址和端口映射,这样Internet用户就可以通过本防火墙系统直接访问该服务器了。,我们的网络地址转换系统支持九十多种通信协议(包括IGMP、ICMP、TCP、UDP等)和七百多种TCP/UDP服务,其中主要包括:常用服务:HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP、GOPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等。数据库服务:OracleSQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等,用户可以通过防火墙进行数据库操作。,多媒体流:ProgressiveNetworksRealAudio、XingTechnologiesStreamworks、WhitePinesCuSeeMe、VocalTecInternetPhone、VDOnetVDOLive、MicrosoftNetShow、VxtremeWebTheater2等。支持H.323应用,包括IntelInternetVideoPhone、MicrosoftNetmeeting等。NetBios、RPC:MicrosoftNetwork可以通过本防火墙系统进行通信。同时支持RemoteProcedureCall。使用Windows、WindowsNT的网络系统也可以采用本系统作为保护企业数据的防火墙。如果用户有需要,可以自己定义所需的服务。通过NAT和PAT的结合,巧妙的建立了连接Intranet和Internet的桥梁,蓝盾防火墙系统将守护着这栋桥梁。,4.WWW端口控制模块通过防火墙的8887端口,可进入防火墙的设置管理界面,进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性,避免其它人员打开8887端口,猜测密码,我们在系统的内核中增加了一个端口控制层,通过BDKEY控制软件,可自由打开或关闭8887端口,并达到如下目标:1、只有用户名/密码验证正确的管理人员,才能使用BDKEY软件。2、通过BDKEY向防火墙发送启动端口(8887)控制命令后,防火墙会自动绑定管理员主机IP,只有该IP才可以进入8887端口。3、防火墙会自动验证管理员在BDKEY中填写的主机IP地址。4、管理人员设置完毕后,可关闭8887端口。,5.物理断开模块本系统的三个网络硬件接口中,都内置一个物理开关模块,通过设置,可断开任一网络接口的联接,即时中止该网络接口的任何通信,这样,在某些特殊环境下,可进一步提高系统的安全性。6.MAC绑定模块为了防止IP欺骗、地址伪装,本系统提供“MAC绑定”功能。它可以将IP地址和网卡的硬件地址绑定起来,主要用于绑定一些重要的管理员IP和授权IP。7.实时报警和纪录安全分析模块本系统提供实时报警功能,对于端口扫描和其它网络攻击,纪录系统会即时发出警报,提醒管理人员。本系统可以对每一条访问进行纪录,纪录方式包括简要纪录、详细记录、发出警告、记费纪录(包括来源、目的地、流量、连接时间、次数等)。,系统提供对任何可疑的行为作出实时的告警提示,告警可疑通过可闻可见的的方式发出,也可以通过Email发出信息、发出SNMP告警到网管系统,或者激活一些用户定义的告警方式等等。系统提供的统计系统,是体现系统纪录价值的重要功能。统计功能包括记费统计、使用情况统计、URL访问统计等等。统计结果可以直接通过WWW管理界面输出,或通过网络输出到第三方计费系统。,金山网络信息安全整体解决方案,随着信息化进程的不断加速,来自快速增长的网络威胁无疑成为了企业信息安全的巨大隐患。由于企业自身业务的需要及网络的庞大复杂性,由网络攻击、黑客入侵、病毒传播等造成的网络堵塞、系统崩溃、数据损毁、机密外泄等事件,对企业来说极易产生灾难性的后果。企业内部网络一般存在如下需求:抵御内外部网络的计算机病毒防止非法访问造成的信息泄密确保各个分支机构的通讯安全企业整体的网络安全成本控制防范来自外部网络的攻击和入侵防止由内部人员引起的内部威胁杜绝垃圾邮件对网络资源的占用保护内部重要的服务器及网络资源,针对这种安全需求,金山做出典型的网络安全整体解决方案:,从网络的边界防护到网络中的分布式防护,金山信息安全产品为企业级网络层层设防把关,不仅能够有效防御来自网络之外的安全威胁,亦能有效遏制网络内部威胁,做到安全管理内外兼备。网内防护金山毒霸网络版金山毒霸网络版采用了业界主流的B/S开发模式,由管理中心、系统中心、升级服务、服务防毒模块、客户机防毒模块共同组成全网反病毒体系。能够有效拦截和清除目前泛滥的各种网络病毒,并提供强大的管理功能和全网漏洞统一扫描修复功能,真正使企业反病毒工作变的轻松高效:,您可以在总部的IT中心实现对总部、分支部门、派出机构、办事处等网络的反病毒集中统一管理基于WEB的控制台将使您在任何一台联网的终端实施全局操控,真正实现了管理“无处不在”快速智能的升级体系将自动更新您的反病毒体系,多种安装部署方式能够最大限度贴和网络需求结合反黑的“全网漏洞扫描”使您能够彻底杜绝利用漏洞传播和攻击的病毒威胁。强大的病毒防杀能力和可靠的实时检测将成为安全的坚实后盾多途径报警将使您能在第一时间获取病毒疫情报告,快速制定应对策略,金山毒霸中小企业版金山毒霸中小企业版是一套专为中小型企业级网络环境设计的反病毒解决方案,它采用业界主流的B/S开发模式,由系统中心(拥有基于Web的控制台)、客户端、服务器端形成了全网反病毒体系,能够为企事业单位网络范围内的桌面系统和网络服务器提供可伸缩、跨平台的全面病毒防护:金山毒霸中小企业版率先推出采用了全网智能漏洞修复技术,它支持管理员通过控制台统一扫描网络内计算机的各种安全漏洞,并作针对性修复。整个修复过程对普通用户完全透明,且不会因用户登录权限而受到限制。率先实现的全天候全网主动实时功能让安全永远领先一步分步式的防毒节点结合跨多平台的防毒技术使网络防毒不留盲点,基于Web的中央管理控制、多途径部署方式(Web安装、登录脚本安装、远程安装、光盘安装)让体系的管理控制与部署更加高效便捷多途径报警机制、图形化的安全日志信息保证快速应对病毒疫情,合理制定安全策略“简”“繁”随意切换的客户端界面充分照顾到普通桌面用户多种使用需求。金山防水墙金山防水墙系统采用集成化网络安全防卫思想,遵循P2DR安全模型,应用集成防卫的理论与技术,采用分布式的体系结构,通过安全策略的设计及集中的安全控制管理平台,提供一套功能强大的安全管理控制系统;在降低网络安全管理成本的同时,能有效的保护网络和主机系统的安全,防止内部的信息泄漏。,网关防护金山防火墙金山防火墙高度集成了防火墙、ASICVPN、入侵检测、带宽管理、防拒绝服务网关、多媒体通信安全、认证授权、内容安全控制、ADSL/ISDN接入安全、高可用性配置能力等众多安全角色,提供高度安全、可信和健壮的安全解决方案,真正实现了单一设备对网络的多重防护。金山防毒墙金山防毒墙采用专有易管理的安全操作平台,集成了高效稳定的金山毒霸反病毒引擎,通过对多种协议的支持,处理来自外部网络的病毒、垃圾邮件和网络入侵行为,同时还具有防火墙、VPN、入侵检测及阻断等多种安全服务,是一款UTM产品的杰出代表。金山防毒墙利用的深度检测技术,保证了金山防毒墙能够在网络的各个层面对网络资源和数据实施全面防护。,邮件防护金山毒霸安全邮件网关金山毒霸安全邮件网关将病毒防御、反垃圾邮件、内容审查以及抗攻击能力无缝地整合到一个解决方案中:作为保证电子邮件本身安全和电子邮件系统稳定的一道防线,杜绝来自Internet的病毒、垃圾邮件、非法内容邮件等进出企业内部邮件系统的可能性。,构建在拥有自主产权的杀毒引擎、垃圾邮件检测引擎以及内容审查之上,支持多种操作系统,适用于任何采用了SMTP协议的邮件系统。能够在病毒程序、垃圾邮件和不良信息进入您的内部邮件系统之前,便对其进行遏制、阻截。有效阻止机密的泄漏,避免网络带宽的损耗,节省邮件系统存储空间;大幅地提高邮件系统的稳定性和工作效率,保护企业的商机和声誉。,题目:校园信息安全解决方案企业信息安全解决方案医院信息安全解决方案电信部门信息安全解决方案电子政务信息安全解决方案金融证券业信息安全解决方案,应用概述安全需求分析安全策略制定产品选择与部署安全管理与服务,
展开阅读全文