|
• 前言
网络技术的飞速发展在提高了各行各业的劳动、生产效率,为人们日常的工作、生活和学习带来了极大的方便的同时,也给人们带来了无尽的挑战。网络所面临的病毒、黑客威胁在与日俱增,一套系统的网络安全解决方案成为保证各行各业网络健康发展的迫切需要。
赞华 公司 网络安全系统解决方案很好地 满足 了这个 需求 : 通过与国际顶级网络、安全厂商( Cisco 、 ISS )和国内知名网络安全公司(北信源)的精诚合作,为用户提供最适合的网络安全系统解决方案。
• 赞华与合作伙伴
赞华与 ISS(Internet Security System)
ISS 有限公司作为大型企业和世界各国政府值得信赖的网络安全产品与服务提供商,创建与 1994 年,并在纳斯达克上市交易( ISSX ),其公司总部位于 Atalanta Ga 。 ISS 公司因其 IDS/IPS 产品而著名,据调查显示,其 2003 年在全球 IDS 市场的占有率超过 50% ,其全球客户目前已超过 11000 家。
赞华公司作为 ISS 的金牌合作伙伴,全面代理 ISS 的全线安全产品,即 Proventia A 、 Proventia G 、 Proventia M 系列入侵检测 / 防御硬件产品、对其硬件产品进行集中管理的软件 SiteProtector 、及其各种用途的漏洞扫描( Scanner )产品。
赞华与 CISCO
作为 Cisco 银牌代理商,赞华公司除全面代理 Cisco 传统的强项产品路由和交换设备外,同时还通过了 Cisco 的 VPN Security 、 IP Telephony 专业化认证,获得了全面代理其安全系列产品资质,主要包括 PIX 防火墙、 IDS 系列硬件产品及模块化产品、 VPN 系列产品等。
赞华与北信源
北信源公司成立于 1992 年,是国内最早成立的专业反病毒厂商之一。其产品获得多项专利,获得公安部颁发的安全产品销售许可证,同时经过严格测试获得军用产品认证许可。其网络产品已形成自己的品牌,“北信源”、“ VRV ”都是国内信息安全知名品牌,在国家各大部委、金融、电信等行业拥有众多用户。
赞华公司作为北信源的友好合作伙伴,全面代理其网络安全产品,特别是其内网安全管理系统。
• 网络安全系统解决方案 网络安全是一项长期的、动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描、以及安全管理等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。
赞华公司所提出的《网络安全系统解决方案》将重点针对一些普遍性问题和所应采用的相应安全技术及相关产品、及赞华公司提供的专业服务作简要介绍,主要内容包括:
☆ 防病毒技术,建立全面的网络防病毒体系;
☆ 防火墙技术,控制访问权限,实现网络安全集中管理;
☆ 入侵检测技术保护主机资源,防止内、外网攻击;
☆ 安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;
☆ 内网安全管理系统,实现内网安全可靠的运行;
☆ VPN 技术,确保信息完整地、保密地传输的技术保障
☆ 应用网络安全紧急响应体系,防范安全突发事件;
☆ 网络安全高级服务
• 防病毒方面: 随着 Internet 的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力:当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于 Internet 上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。红色代码、尼姆达、求职信、 SQL Slammer 、冲击波、震荡波等病毒的相继出现触动了信息网络脆弱的安全神经,更使部分信息网络用户一度陷入通讯瘫痪的尴尬局面 ……
基于以上情况,我们认为系统可能会受到来自于多方面的病毒威胁,为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台 PC 机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。
考虑到病毒在网络中存储、传播、感染的方式各异、途径多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施 " 层层设防、集中控制、以防为主、防杀结合 " 的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。
VRV 是北信源安全软件公司在中国推出的本土化产品,它为网络每个层面提供防病毒保护,通过病毒在网络中存储、传播、感染的各种方式和途径进行分析,提供桌面应用、服务器系统、邮件系统、群件服务器、 Internet 网关级别的全面防毒保护。这种全方位的、多层次的防毒系统配置,能使政府、企业网络免遭所有病毒的入侵和危害。
• 应用防火墙技术,控制访问权限,实现网络安全集中管理 防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。
在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。防火墙可以完成以下具体任务:
- 通过源地址过滤,拒绝外部非法 IP 地址,有效的避免了外部网络上与业务无关的主机的越权访问;
- 防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降低到最小限度,使黑客无机可乘;
- 同样,防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络的有限 IP 地址,保证外部网络只能访问内部网络中的必要资源,与业务无关的操作将被拒绝;
- 由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为;
- 另外,由于安装了防火墙后,网络的安全策略由防火墙集中管理,因此,黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的,而直接攻击防火墙几乎是不可能的。
- 防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客攻击失去目标。
• 应用入侵检测技术保护网络与主机资源,防止内外网攻击
应用防火墙技术,经过细致的系统配置,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。但是,仅仅使用防火墙、网络安全还远远不够。因为:
( 1 )入侵者可能寻找到防火墙背后敞开的后门;
( 2 )入侵者可能就在防火墙内;
( 3 )由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
IDS/IPS (入侵检测 / 防御系统)是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击,其次是因为它能够缩短黑客入侵的时间。
鉴于以上的考虑,赞华公司选择全球市场占有率最高的 IDS/IPS 产品, ISS 公司的 Proventia 全系列产品作为网络入侵检测工具。
如在需要保护的主机网段上安装了 ISS 入侵检测系统,可以实时监视各种对主机的访问请求,并及时将信息反馈给控制台,这样全网任何一台主机受到攻击时系统都可以及时发现。
ISS 网络入侵检测系统具备如下特点:
( 1 )可精确判断入侵事件
ISS 网络入侵检测系统有一个完整的黑客攻击信息库,其中存放着各种黑客攻击行为的特征数据。每当用户在网络上操作时, ISS 网络入侵检测系统就将用户的操作与信息库中的数据进行匹配,一旦发现吻合,就认为此项操作为黑客攻击行为,阻断并报警。由于信息库的内容会不断升级,因此可以保证新的黑客攻击方法也能被及时发现。
( 2 )可判断应用层的入侵事件
与防火墙不同, ISS 网络入侵检测系统是通过分析数据包的内容来识别黑客入侵行为的。因此, ISS 网络入侵检测系统可以判断出应用层的入侵事件。这样就极大的提高了判别黑客攻击行为的准确程度。
( 3 )对入侵可以立即进行反应
ISS 网络入侵检测系统以进程的方式运行在监控机上,为网络系统提供实时的黑客攻击侦测保护。一旦发现黑客攻击行为, ISS 网络入侵检测系统可以立即做出相应。响应的方法有多种形式,其中包括:报警(如屏幕显示报警、声音报警)、必要时关闭服务直至切断链路。与此同时, ISS 网络入侵检测系统会对攻击的过程进行详细记录,为以后的调查取证工作提供线索。
( 4 )全方位的监控与保护
防火墙只能隔离来自本网段以外的攻击行为,而 ISS 网络入侵检测系统监控的是所有网络的操作,因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为。这样就有效的解决了来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全威胁。
• 应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估与安全加固 安全扫描技术是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。
通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
安全扫描工具源于黑客在入侵网络系统时所采用的工具,商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
Proventia Scanner 是一套由 ISS 公司一群富有实际经验的安全专家开发的用于网络安全扫描的软件工具。它提供了综合的审计功能,能够及时发现网络环境中的安全漏洞,保证网络安全的完整性,并能有效评估企业内部网络、服务器、防火墙、路由器中可被黑客利用的网络薄弱环节。
Proventia Scanner 产品包括 Internet Scanner 、 Wireless Scanner 、 System Scanner 、 Database Scanner 系列, Proventia 网络安全分析评估系统可产生内容丰富的报表,做到了 100% 的简单易用。它可以发现大众化的安全漏洞和非大众化的漏洞,不但可以利用系统预制的上千种方案进行网络探测,而且还允许用户用自己定制的数据包检测网络,使用非常灵活。
• 内网安全管理系统,实现内网安全可靠的运行 常规安全防御理念局限在传统安全级别(防火墙、防病毒、入侵检测、漏洞扫描、安全审计)方面的防御,并且重要的安全设施大都集中与机房、网络入口处,在这些安全技术的综合防御下,来自外部网络的安全威胁大大减小。但是,多数网络管理人员所抱怨的问题是:繁杂而具备高威胁性的安全问题,往往大都来自网络内部资源,这无论对大型构架网络、还是中、小型企业网络,均是如此。
事实表明,解决了网络内部资源的安全问题,其效果接近于排除了一半的安全隐患,因此,内部网络安全必须作为系统的安全管理的一个重要组成部分来对待。
今年五一期间“震荡波”病毒爆发后,很多部委、企业单位所面临的 6 大突出问题是:
• 如何进行补丁自动分发部署和补丁控制(微软公司 SUS/SMS 存在功能不足);
• 如何进行外来笔记本电脑随意接入控制;
• 如何防范网络物理隔离漏洞;
• 如何对未安装最新防毒软件的终端进行统计、远程强制安装;
• 如何对感染病毒计算机快速定位,并强制其断开网络连接;
• 如何有效进行网络 IP 设备资源管理;
赞华公司违规联网监控系列 - 内网安全管理系统全面提供针对上述问题的解决方案。
• VPN 技术,确保信息完整地、保密地传输的技术保障 IP 虚拟专用网( IP-VPN )是指因特网服务提供商 (ISP) 可以提供的以 IP 骨干网为基础的一系列服务。一个最终用户采用 IP-VPN 的服务,就可以在多个地点之间传送 IP 数据包,同时得到一定程度的服务质量保证和安全保证,就像自己的内部网一样。访问国际互联网也使这种服务的一部分。赞华公司的 IP-VPN 解决方案扩充了 INTERNET 的能力,同时其提供的增值服务也可以丰富 IP-VPN 的应用。包括加密服务,不同形式的数据优先处理以及主机代管、协同工作和多媒体服务等基于服务器的应用。数据优先处理可以允许最终用户对网络资源得到比传统的广域网更好的控制。在资源比较缺乏的时候(低带宽链路),那些重要的和对延迟敏感的数据包可以得到特别的对待,而其他低优先级的数据包则被限制在剩余的带宽内。
从经济的角度上说,赞华公司的 IP-VPN 解决方案除了给用户组网节省了大量的费用,同时也带来其他好处,包括缩短建设周期以及维护的时间,并且可以很快的完成在多点之间的移动、增加和改动。赞华公司的 IP-VPN 解决方案十分灵活多样,包括两种基于拨号的,两种基于专线的,可以满足不同的用户需求。
解决方案 1
由用户端建立的拨号 IP-VPN
首先,远程客户拨号进入一个本地接入点( POP )。然后运行一个支持 IPSec 的客户端软件,与公司内联网中的一台 PIX 防火墙建立一条加密的隧道,这样就可以安全地访问防火墙内的主机了。
优势:访问服务器不参与 IP-VPN ,客户可以同时访问互联网和内联网。
限制:客户端软件必须是指定的支持 IPSec 的产品
隧道对于 ISP 是完全透明的,用户无法得到 ISP 的增值服务。
IP 地址由 ISP 分配,不能采用内部地址。
解决方案 2
由访问服务器建立的拨号 IP-VPN
采用 AS5X00 访问服务器( NAS ),通过 L2F 或 L2TP 协议,由 NAS 建立一条安全隧道到的内联网网关,该网关负责身份认证和 IP 地址分配,远程客户就像直接联到内联网一样。
优势:远程用户端不需要特别的软件。
ISP 可以提供高档次的拨号 IP-VPN 服务。
IP 地址可以采用的内联网的内部地址,不占用 ISP 的地址空间。
限制:该方式不适合在国际互联网上采用
解决方案 3
IPSec IP 隧道的专线 IP-VPN
任何两台支持 IPSec 的设备之间都可以建立一条加密隧道,支持 IPSec 的设备包括运行 IPSec 软件的客户机、路由器、防火墙和服务器。
优势:方便、快捷,无需改变 ISP 的网络
安全、可靠、性能高
ISP 可以对隧道提供高级的 IP 服务
解决方案 4 (推荐)
GRE IP 隧道的专线 IP-VPN
GRE 隧道是基于 RFC1701 和 RFC1702 的标准 IP-VPN 方案。它的做法是将 IP 数据包加上 GRE 头,封装在 IP 数据包内。在路由器看来 GRE 隧道是一个点到点端口,它可以被加密。 ISP 可以对 GRE 隧道提供 QoS 服务,但这个隧道的两端必须在同一个 ISP 的网络内。推荐用户采用此方式。
优势:用户自己定义内部的 IP 地址
ISP 可以提供针对应用层的 IP QoS 服务。
与媒体无关, CISCO IOS 都支持
限制:只能在一个 ISP 网络内
• 应用网络安全紧急响应体系,防范安全突发事件 网络安全作为一项动态工程,意味着她的安全程度会随着时间的变化而发生改变。在信息技术日新月异的今天,昔日固若金汤的网络安全策略,总难免会随着时间的推进和环境的变化,而变得不堪一击。因此,我们需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
紧急响应的目标
( 1 )故障定位及排除
目前依靠广域网的响应时间过长,而一般的网络系统涉及到系统、设备、应用等多个层面,因此如何将性能或故障等方面的问题准确定位在涉及到(线路、设备、服务器、操作系统、电子邮件)的具体位置,是本响应体系提供的基本功能。
( 2 )预防问题
通过在广域网上对网络设备和网络流量的实施监控和分析,预防问题的发生,在系统出现性能抖动时,就能及时发现,并建议系统管理员采用及时的处理。
( 3 )优化性能
通过对线路和其他系统进行透视化管理,利用管理系统提供的专家功能对系统的性能进行优化。
( 4 )提供整体网络运行的健康以及趋势分析。
对网络系统整体的运行情况做出长期的健康和趋势报告,分析系统的使用情况,对新系统的规划做出精确的基础。
• 网络安全高级服务 赞华公司的网络安全服务主要内容包括网络安全策略的制定、网络安全管理方面的咨询服务。
一)网络安全策略的制定
网络安全策略的制定主要包括以下方面的内容:网络安全目标的确定、资产确定、威胁评估、风险评估、安全策略的制定。
网络安全的目标确定主要包括以下步骤:
• 确定要保护的是什么;
• 决定尽力保护它免于什么威胁;
• 决定威胁的可能性;
• 以一种经济的方法实现保护资产的目的;
• 不断地检查这些步骤,每当发现一个弱点就进行改进。
资产确定主要包括以下内容:
• 网络设备;
• 网络操作信息,如设备上的路由表、 ACL 等;
• 无形的网络资源,如带宽、速度等
• 信息和连接在网络上的信息源,如数据库和信息服务器;
• 终端主机;
• 在任意给定时刻通过网络的信息;
• 当可通过他们对网络资源的使用而可识别的用户隐私等等。
威胁评估、风险评估
威胁评估、风险评估的主要目的是确定存在的威胁以及评估这种威胁发生的可能性,以便采取有效措施确保数据的保密性、完整性和可用性。
安全策略的制定
安全策略的制定主要包含以下三方面的内容:
• 阐明要保护的资产以及要保护它的原因;
• 规定由谁提供这种保护;
• 为解释和解决任何后来可能出现的冲突打下基础。
二)网络安全管理
俗话说,三分技术,七分管理,在网络安全的问题上,这种说法同样适用,而且这一观点也正逐渐被业内的大多数人士所认同。但网络安全管理应该从何入手,管理那些方面,这是让许多用户挠头的事情。为了让用户实现有效的网络安全管理,赞华公司向广大用户提供网络安全管理咨询服务,主要内容包括:补丁管理、事件管理、漏洞管理、身份管理。
|
