1、,網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)體系 與安全防護(hù)系統(tǒng)解決方案,內(nèi)容概要,局域網(wǎng)系統(tǒng)概述 信息安全體系結(jié)構(gòu) 網(wǎng)絡(luò)信息系統(tǒng)安全需求 構(gòu)建網(wǎng)絡(luò)系統(tǒng)安全的相關(guān)技術(shù)及產(chǎn)品 典型企業(yè)網(wǎng)絡(luò)安全解決方案 小結(jié),局域網(wǎng)系統(tǒng)概述,組網(wǎng)技術(shù) 交換式以太網(wǎng) 通過路由器外接Internet 局域網(wǎng)之間可以通過VPN技術(shù)互聯(lián) 功能 內(nèi)部網(wǎng)絡(luò)應(yīng)用共享 共享Internet接入 對(duì)外提供的服務(wù), Web, Email等,局域網(wǎng)系統(tǒng)概述,典型的例子 校園網(wǎng) 企業(yè)網(wǎng) 政務(wù)網(wǎng) 行業(yè)專網(wǎng) 電信、金融、鐵路、公安等,信息安全體系結(jié)構(gòu),20世紀(jì)80年代中期,基于計(jì)算機(jī)保密模型(BellLapadula模型)的基礎(chǔ)上的 “可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則

2、”(TCSEC) 20世紀(jì)90年代初，英、法、德、荷四國針對(duì)TCSEC準(zhǔn)則只考慮保密性的局限，聯(lián)合提出了包括保密性、完整性、可用性概念的“信息技術(shù)安全評(píng)價(jià)準(zhǔn)則”(ITSEC) 20世紀(jì)90年代末六國七方(美國國家安全局和國家技術(shù)標(biāo)準(zhǔn)研究所、加、英、法、德、荷)共同提出了“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則”(CC for ITSEC) CC標(biāo)準(zhǔn)綜合了國際上已有的評(píng)測準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)的精華，給出了框架和原則要求。,信息安全體系結(jié)構(gòu),CC標(biāo)準(zhǔn)適用于信息系統(tǒng)的安全性設(shè)計(jì) 安全操作系統(tǒng) 安全數(shù)據(jù)庫 安全Web應(yīng)用 網(wǎng)絡(luò)設(shè)備自身安全 一般C/S應(yīng)用系統(tǒng),網(wǎng)絡(luò)信息系統(tǒng)安全,CC標(biāo)準(zhǔn)適用于信息系統(tǒng)安全性設(shè)計(jì)，并不針對(duì)網(wǎng)

3、絡(luò)信息系統(tǒng)的安全需求： 統(tǒng)一的身份管理與運(yùn)維安全管控 網(wǎng)絡(luò)攻擊的檢測與防護(hù) 網(wǎng)絡(luò)安全脆弱性分析、風(fēng)險(xiǎn)評(píng)估 信息的安全傳輸 網(wǎng)絡(luò)安全域劃分與網(wǎng)絡(luò)隔離,信息安全體系結(jié)構(gòu),網(wǎng)絡(luò)信息系統(tǒng)的安全體系架構(gòu)設(shè)計(jì) 架構(gòu)復(fù)雜，安全架構(gòu)與網(wǎng)絡(luò)信息系統(tǒng)架構(gòu)交叉融合 架構(gòu)可裁剪、可擴(kuò)展，根據(jù)安全需求和信息系統(tǒng)自身架構(gòu)部署 運(yùn)行時(shí)物理安全 運(yùn)維安全管控 網(wǎng)絡(luò)攻擊的檢測與防護(hù) 網(wǎng)絡(luò)安全脆弱性分析、風(fēng)險(xiǎn)評(píng)估 信息的安全傳輸 網(wǎng)絡(luò)安全域劃分與網(wǎng)絡(luò)隔離,網(wǎng)絡(luò)信息系統(tǒng)的安全需求,物理安全需求 重要信息可能會(huì)通過電磁輻射或線路干擾而被泄漏，因此需要對(duì)存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì) 機(jī)房設(shè)計(jì) 構(gòu)建屏蔽室、采用輻射干擾機(jī)等，以防止電

4、磁輻射泄漏機(jī)密信息。 此外，還可對(duì)重要的設(shè)備和系統(tǒng)進(jìn)行備份。,網(wǎng)絡(luò)信息系統(tǒng)的安全需求,訪問控制的運(yùn)維管控 統(tǒng)一的身份管理 統(tǒng)一的認(rèn)證管理 集中的授權(quán)管理 集中的訪問控制 集中的運(yùn)維審計(jì),網(wǎng)絡(luò)信息系統(tǒng)的安全需求,加密傳輸是網(wǎng)絡(luò)安全的重要手段之一。信息的泄漏很多都是在鏈路上被搭線竊取的，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對(duì)方，造成數(shù)據(jù)的真實(shí)性、完整性得不到保證。 完整性 機(jī)密性 信道的認(rèn)證性與不可否認(rèn)性,網(wǎng)絡(luò)信息系統(tǒng)的安全需求,網(wǎng)絡(luò)攻擊防護(hù)體系 網(wǎng)絡(luò)內(nèi)部或外部發(fā)起的網(wǎng)絡(luò)攻擊檢測 網(wǎng)絡(luò)攻擊抑制、阻斷 攻擊事件的統(tǒng)一管理 基于P2DR防護(hù)模型的防御體系 IDS、IPS 防火墻 安全事件、安全

5、策略管理,網(wǎng)絡(luò)信息系統(tǒng)的安全需求,安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)需求 網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)存在安全漏洞(如安全配置不嚴(yán)密等)等是使黑客等入侵者的攻擊屢屢得手的重要因素。入侵者通常都是通過一些程序來探測網(wǎng)絡(luò)中系統(tǒng)存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相應(yīng)的技術(shù)進(jìn)行攻擊。 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估 網(wǎng)絡(luò)安全掃描系統(tǒng) 對(duì)目標(biāo)網(wǎng)絡(luò)中的工作站、服務(wù)器、數(shù)據(jù)庫等各種系統(tǒng)以及路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查,網(wǎng)絡(luò)信息系統(tǒng)的安全需求,系統(tǒng)病毒防護(hù) 病毒的危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。 必須配備從服務(wù)器到單機(jī)的整套防病毒軟件，防止病毒

6、入侵主機(jī)并擴(kuò)散到全網(wǎng)，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)，以確保整個(gè)單位的業(yè)務(wù)數(shù)據(jù)不受到病毒的破壞，日常工作不受病毒的侵?jǐn)_。 系統(tǒng)補(bǔ)丁的統(tǒng)一管理,網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,解決網(wǎng)絡(luò)信息安全問題的主要途徑 內(nèi)控：建立集中的身份管理，實(shí)現(xiàn)統(tǒng)一訪問控制和審計(jì)，實(shí)現(xiàn)CC標(biāo)準(zhǔn)在網(wǎng)絡(luò)空間的擴(kuò)展實(shí)現(xiàn) 靜態(tài)防護(hù)：適用VPN、網(wǎng)絡(luò)隔離、防火墻等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全架構(gòu) 事前的機(jī)制：通過漏洞掃描，發(fā)現(xiàn)系統(tǒng)脆弱性并采取系統(tǒng)加固措施 動(dòng)態(tài)防護(hù)架構(gòu)：建立網(wǎng)絡(luò)攻擊檢測防護(hù)體系 信息安全保護(hù): 用SSL/SSH實(shí)現(xiàn)網(wǎng)路傳輸加密， 電子信封等技術(shù)實(shí)現(xiàn)數(shù)據(jù)機(jī)密性、完整性、認(rèn)證性保護(hù),網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,相關(guān)的網(wǎng)絡(luò)安全技術(shù)產(chǎn)品 PKI/CA，公共數(shù)字

7、證書服務(wù)體系 VPN，虛擬專用網(wǎng) IDM，聯(lián)合身份管理、認(rèn)證系統(tǒng) IT Audit，IT系統(tǒng)審計(jì)產(chǎn)品 Firewall，防火墻 IDS，SOC，入侵檢測系統(tǒng)，安全事件管理平臺(tái) 網(wǎng)絡(luò)、系統(tǒng)掃描器 文件加密系統(tǒng) 遠(yuǎn)程桌面系統(tǒng),網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,PKI/CA，公共數(shù)字證書服務(wù)體系 以密碼理論為基礎(chǔ) 統(tǒng)一的證書頒發(fā)管理機(jī)構(gòu)CA 網(wǎng)絡(luò)系統(tǒng)內(nèi)通信主體持有自己的合法證書 證書用來在作身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)簽名，實(shí)現(xiàn)數(shù)據(jù)機(jī)密性、完整性、不可否認(rèn)性的保護(hù) 通過在網(wǎng)絡(luò)系統(tǒng)部署PKI，可實(shí)現(xiàn)統(tǒng)一的身份管理和通信安全保護(hù),網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,VPN，虛擬專用網(wǎng) 基礎(chǔ)：身份認(rèn)證、密碼理論 功能：通過認(rèn)證、加密、數(shù)據(jù)

8、封裝技術(shù)實(shí)現(xiàn)公網(wǎng)上傳輸私網(wǎng)機(jī)密數(shù)據(jù) 應(yīng)用：跨區(qū)域建設(shè)大型企業(yè)網(wǎng)、專網(wǎng)，實(shí)現(xiàn)遠(yuǎn)程安全接入 部署模式：MPLS VPN，IPSec， SSL，SSH,網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,IDM，聯(lián)合身份管理、認(rèn)證系統(tǒng) 聯(lián)合身份管理的必要性 基礎(chǔ)：PKI證書服務(wù), 集中身份認(rèn)證服務(wù)，集中接入管理，集中審計(jì)（，account, authorization, authentication, audit） 特點(diǎn)：實(shí)現(xiàn)體系龐大，實(shí)現(xiàn)復(fù)雜，帶來網(wǎng)絡(luò)運(yùn)營維護(hù)模式的根本變化,網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,IT Audit，IT系統(tǒng)審計(jì)產(chǎn)品 必要性：審計(jì)是一種事后機(jī)制，作為安全事故分析、責(zé)任追究或免責(zé)的手段 技術(shù)基礎(chǔ)：網(wǎng)絡(luò)數(shù)據(jù)還原、事件收集

9、、分析（人工智能） 產(chǎn)品分類： 日志收集與管理系統(tǒng) 網(wǎng)絡(luò)審計(jì),網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,Firewall，防火墻 實(shí)質(zhì)：部署于網(wǎng)絡(luò)邊界，執(zhí)行安全規(guī)則控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)。 技術(shù)基礎(chǔ)： 包過濾技術(shù) 應(yīng)用網(wǎng)關(guān)技術(shù) 狀態(tài)檢測 其他功能 、網(wǎng)關(guān)、負(fù)載均衡,網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,IDS，SOC，入侵檢測系統(tǒng)，安全事件管理平臺(tái) 功能：檢測、發(fā)現(xiàn)、評(píng)估、管理網(wǎng)絡(luò)攻擊事件，與其他網(wǎng)絡(luò)安全設(shè)備，如防火墻、IPS、掃描器，構(gòu)成網(wǎng)絡(luò)安全防御體系 技術(shù)基礎(chǔ)：數(shù)據(jù)收集、攻擊模式識(shí)別、事件關(guān)聯(lián)分析 類型：、 的數(shù)據(jù)來源：IDS、防火墻、掃描器等，執(zhí)行安全事件分析管理,網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,網(wǎng)絡(luò)、系統(tǒng)掃描器 功能：發(fā)現(xiàn)網(wǎng)絡(luò)上存活主機(jī)、

10、開啟的應(yīng)用服務(wù)、存在的系統(tǒng)漏洞、系統(tǒng)脆弱性（如：口令）、掛馬網(wǎng)站等 技術(shù)基礎(chǔ)：協(xié)議分析、滲透性測試 負(fù)面效果：可作為網(wǎng)絡(luò)攻擊平臺(tái),網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,其它安全設(shè)備 上網(wǎng)行為管理 網(wǎng)絡(luò)行為分析 防水墻 網(wǎng)閘設(shè)備 ,網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品,其它安全設(shè)備 文件加密系統(tǒng)：用電子信封技術(shù) 桌面發(fā)布系統(tǒng)：將桌面應(yīng)用發(fā)布為遠(yuǎn)程服務(wù) 避免客戶端保存數(shù)據(jù) 便于監(jiān)管、審計(jì) 有利于企業(yè)知識(shí)產(chǎn)權(quán)保護(hù) 代表性產(chǎn)品：CITRIX,典型企業(yè)網(wǎng)絡(luò)安全解決方案,問題：對(duì)于已經(jīng)建設(shè)運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)，如何構(gòu)建系統(tǒng)安全防護(hù)解決方案？ 系統(tǒng)的安全威脅是什么？ 確立系統(tǒng)安全目標(biāo) 安全技術(shù)體系的構(gòu)建 安全策略的設(shè)置 系統(tǒng)的維護(hù),典型企業(yè)網(wǎng)絡(luò)

11、安全解決方案,分析系統(tǒng)的安全威脅 邊界網(wǎng)絡(luò)設(shè)備安全威脅(1) 入侵者通過控制邊界網(wǎng)絡(luò)設(shè)備進(jìn)一步了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用網(wǎng)絡(luò)滲透搜集信息，為擴(kuò)大網(wǎng)絡(luò)入侵范圍奠定基礎(chǔ)。比如，入侵者可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng)(Cisco的IOS)漏洞或者配置漏洞，實(shí)現(xiàn)對(duì)其控制。 (2) 通過各種手段對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施拒絕服務(wù)攻擊，使網(wǎng)絡(luò)設(shè)備癱瘓，從而造成網(wǎng)絡(luò)通信的癱瘓。,典型企業(yè)網(wǎng)絡(luò)安全解決方案,分析系統(tǒng)的安全威脅 信息基礎(chǔ)安全平臺(tái)威脅信息基礎(chǔ)平臺(tái)主要是指支撐各種應(yīng)用與業(yè)務(wù)運(yùn)行的各種操作系統(tǒng)。操作系統(tǒng)主要有Windows系列與UNIX系統(tǒng)。相對(duì)邊界網(wǎng)絡(luò)設(shè)備來說，熟知操作系統(tǒng)的人員的范圍要廣得多，而且在網(wǎng)絡(luò)上，很容易就能找

12、到許多針對(duì)各種操作系統(tǒng)的漏洞的詳細(xì)描述，所以，針對(duì)操作系統(tǒng)和數(shù)據(jù)庫的入侵攻擊在網(wǎng)絡(luò)中也是最常見的。,典型企業(yè)網(wǎng)絡(luò)安全解決方案,分析系統(tǒng)的安全威脅 內(nèi)部網(wǎng)絡(luò)的失誤操作行為 由于人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足，可能會(huì)出現(xiàn)各種意想不到的操作失誤，勢必會(huì)對(duì)系統(tǒng)或者網(wǎng)絡(luò)的安全產(chǎn)生較大的影響。 源自內(nèi)部網(wǎng)絡(luò)的惡意攻擊與破壞據(jù)統(tǒng)計(jì)，有70%的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)的內(nèi)部。對(duì)于網(wǎng)絡(luò)內(nèi)部的安全防范會(huì)明顯地弱于對(duì)于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對(duì)于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，因此，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功， 一旦攻擊成功，其強(qiáng)烈的攻擊目的也就必然促成了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。,典型企業(yè)

13、網(wǎng)絡(luò)安全解決方案,分析系統(tǒng)的安全威脅 網(wǎng)絡(luò)病毒威脅在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)，網(wǎng)絡(luò)病毒的這些新的特點(diǎn)都會(huì)對(duì)網(wǎng)絡(luò)與應(yīng)用造成極大的威脅。,典型企業(yè)網(wǎng)絡(luò)安全解決方案 安全技術(shù)體系的構(gòu)建,建立全網(wǎng)的身份管理、訪問控制體系 部署統(tǒng)一身份認(rèn)證、授權(quán)、訪問控制 對(duì)網(wǎng)絡(luò)用戶進(jìn)行統(tǒng)一的帳號(hào)管理 對(duì)網(wǎng)絡(luò)用戶進(jìn)行統(tǒng)一身份驗(yàn)證，保證網(wǎng)絡(luò)用戶的合法性 集中的授權(quán)管理 集中的訪問控制,典型企業(yè)網(wǎng)絡(luò)安全解決方案 安全技術(shù)體系的構(gòu)建,建立全網(wǎng)的綜合審計(jì)體系 網(wǎng)絡(luò)審計(jì) 通過堡壘主機(jī)的集中接入審計(jì) 集中日志收集與審計(jì)分析 與系統(tǒng)配合構(gòu)成綜合的運(yùn)維管控

14、體系,典型企業(yè)網(wǎng)絡(luò)安全解決方案 安全技術(shù)體系的構(gòu)建,在局域網(wǎng)入口處部署防火墻系統(tǒng)（支持） 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流。 防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外人被許可訪問所允許的內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問。 防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。,典型企業(yè)網(wǎng)絡(luò)安全解決方案 安全技術(shù)體系的構(gòu)建,部署連接局域網(wǎng)分支和移動(dòng)用戶 局域網(wǎng)之間可采用 移動(dòng)用戶登錄采用 認(rèn)證納入統(tǒng)一身份認(rèn)證系統(tǒng),典型企業(yè)

15、網(wǎng)絡(luò)安全解決方案安全技術(shù)體系的構(gòu)建,部署入侵檢測系統(tǒng)、安全事件管理中心 防火墻是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，相當(dāng)于計(jì)算機(jī)網(wǎng)絡(luò)的第一道防線。 入侵檢測系統(tǒng)（）一般部署在局域網(wǎng)內(nèi)部，可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。 安全事件管理中心收集全網(wǎng)安全事件，集中管理，通過關(guān)聯(lián)分析，強(qiáng)化安全設(shè)備協(xié)同，為安全策略評(píng)估提供依據(jù)。,典型企業(yè)網(wǎng)絡(luò)安全解決方案安全技術(shù)體系的構(gòu)建,部署漏洞掃描系統(tǒng) 操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件存在安全漏洞，利用這些漏洞可以很容易地破壞乃至完全地控制系統(tǒng);利用應(yīng)用系統(tǒng)的脆弱性的攻擊是主要攻擊形式；由于管理員的

16、疏忽或者技術(shù)水平的限制所造成的配置漏洞也是廣泛存在的，這對(duì)于系統(tǒng)的威脅同樣很嚴(yán)重。 部署漏洞掃描系統(tǒng)，檢測網(wǎng)絡(luò)內(nèi)部的脆弱性，可以為系統(tǒng)安全防護(hù)建設(shè)提供評(píng)估手段 本質(zhì)上是一種必要的事前機(jī)制,典型企業(yè)網(wǎng)絡(luò)安全解決方案安全技術(shù)體系的構(gòu)建,部署漏洞掃描系統(tǒng)的安全防護(hù)效果 對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)重要服務(wù)器和PC進(jìn)行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞(這些漏洞會(huì)使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚至造成系統(tǒng)本身的崩潰)，生成詳細(xì)的可視化報(bào)告，同時(shí)向管理人員提出相應(yīng)的解決辦法及安全建議。 對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界組件、基礎(chǔ)組件和其他系統(tǒng)進(jìn)行漏洞掃描，檢查系統(tǒng)的潛在問題，發(fā)現(xiàn)

17、操作系統(tǒng)存在的漏洞和安全隱患。 漏洞掃描系統(tǒng)對(duì)網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報(bào)告，使管理員能夠隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時(shí)采取相應(yīng)的措施進(jìn)行修補(bǔ)。 通過漏洞掃描的結(jié)果，對(duì)系統(tǒng)進(jìn)行加固和優(yōu)化,入侵檢測、防火墻和漏洞掃描聯(lián)動(dòng)體系示意圖,典型企業(yè)網(wǎng)絡(luò)安全解決方案安全技術(shù)體系的構(gòu)建,部署網(wǎng)絡(luò)防病毒系統(tǒng) 一般計(jì)算機(jī)的病毒有超過20%是通過網(wǎng)絡(luò)下載文檔時(shí)感染的，另外有26%是經(jīng)電子郵件的附加文檔感染的，這就需要一套方便、易用的病毒掃描器，使企業(yè)的計(jì)算機(jī)環(huán)境免受病毒和其他惡意代碼的攻擊。 建議采用三層防病毒部署體系來實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的病毒防護(hù)。 E-mail

18、網(wǎng)關(guān)防病毒系統(tǒng) 服務(wù)器病毒系統(tǒng) 桌面防病毒系統(tǒng),大型企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)部署示意圖,典型企業(yè)網(wǎng)絡(luò)安全解決方案安全技術(shù)體系的構(gòu)建,該防御體系由漏洞掃描與入侵檢測聯(lián)動(dòng)系統(tǒng)、入侵檢測與防火墻的聯(lián)動(dòng)系統(tǒng)及防病毒系統(tǒng)組成。 用戶主動(dòng)防范攻擊行為，尤其是防范從單位內(nèi)部發(fā)起的攻擊。對(duì)在企業(yè)內(nèi)網(wǎng)發(fā)起的攻擊和攻破了防火墻的黑客攻擊行為，可以依靠入侵檢測系統(tǒng)阻斷和發(fā)現(xiàn)攻擊的行為，同時(shí)通過與防火墻的互動(dòng)，自動(dòng)修改策略設(shè)置上的漏洞，阻擋攻擊的繼續(xù)進(jìn)入。 本方案在交換機(jī)上連入入侵檢測系統(tǒng)，并將其與交換機(jī)相連的端口設(shè)置為鏡像端口，由IDS傳感器對(duì)防火墻的內(nèi)口、關(guān)鍵服務(wù)器進(jìn)行監(jiān)聽，并進(jìn)行分析、報(bào)警和響應(yīng); 在入侵檢測的控制臺(tái)上觀察檢測結(jié)果，并形成報(bào)表打印輸出。,典型企業(yè)網(wǎng)絡(luò)安全解決方案安全技術(shù)體系的構(gòu)建,在實(shí)現(xiàn)防火墻和入侵檢測系統(tǒng)的聯(lián)動(dòng)后，防火墻“訪問控制策略”會(huì)動(dòng)態(tài)地添加阻斷的策略。 “漏洞掃描系統(tǒng)”是一種網(wǎng)絡(luò)維護(hù)人員使用的安全分析工具，主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的漏洞，修改防火墻和入侵檢測系統(tǒng)中不適當(dāng)?shù)脑O(shè)置，防患于未然。,典型企業(yè)網(wǎng)絡(luò)安全解決方案安全技術(shù)體系的構(gòu)建,防火墻主要起到對(duì)外防止黑客入侵，對(duì)內(nèi)進(jìn)行訪問控制和授權(quán)員工從外網(wǎng)安全接入的作用，在這里主要發(fā)揮防火墻和