企业网络安全整体解决方案

1、规划安全的网络拓扑结构

网络分段是合理网络结构的重要的一部分，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式：

物理分段通常是指将网络从物理层和数据链路层（ISO/OSI 模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。

逻辑分段则是指将整个系统在网络层（ISO/OSI 模型中的第三层）上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备 （含软件、硬件） 的安全机制来控制各子网间的访问。

在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。

1、防火墙

2、入侵检测

3、内容安全

4、邮件过滤/监控

5、网络防病毒

6、身份验证

7、漏洞扫描

8、上网行为管理

9、日志审计

2、防火墙

2.1防火墙的基本准则

（1）过滤不安全服务

基于这个准则，防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放，对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。这是一种非常有效实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才能允许用户使用。

（２）过滤非法用户和访问特殊站点

基于这个准则，防火墙应先允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种更为灵活的应用环境，网络管理员可以针对不同的服务面向不同的用户开放，也就是能自由地设置各个用户的不同访问权限。
 

2.2防火墙在网络系统中的作用

防火墙能有效地防止外来的入侵，它在网络系统中的作用是：

     控制进出网络的信息流向和信息包，提供使用和流量的日志和审计；

     隐藏内部IP地址及网络结构的细节；

     提供VPN功能；网络地址转换（NAT）；

     用户认证（Authentication）：只允许有授权的访问；

     地址限定：限制站点的访问，过滤不需要的站点。

 

3、主机安全

主机系统是网络通信的重要组成部分，是关键业务和关键信息的主要承载体。对主机系统的保护成为客户网络安全防御中的重中之重。多数的网络攻击和入侵目标是网络中的主机系统中的业务信息。本建议书中的主机系统是指客户网络系统中用以提供各类业务的主机。

结合深圳道为科技丰富的网络安全经验，本建议书认为经过安全加固配置的主机操作系统构成了保护主机系统的基础。通常缺省安装配置下的主机网络操作系统面临着来自网络和内部恶意用户的收集信息攻击、猜测口令攻击、拒绝服务攻击、（远程和本地）缓冲区溢出攻击等巨大威胁，缺省配置下的操作系统服务无法有效识别系统中的特洛异木马程序和入侵者安装的黑客后门程序等，无法准确记录和定位攻击和入侵者的“足迹”。

深圳道为科技能够提供强大的、高度专业化主机系统加固配置服务。主机系统加固配置安全服务覆盖了安装系统补丁、系统服务和帐号的安全化、安全配置系统内核参数、配置访问控制策略、集中式的日志审计、关键文件完整性检测等。
 

推荐安全服务：

—— 系统加固、优化安全服务

—— 安全培训服务

4、安全风险评估

4.1 风险评估技术

风险评估（Vulnerability Assessment）是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。风险评估技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上面的风险漏洞，而后者则是通过网络远程探测其它主机的安全风险漏洞。深圳道为科技开创了风险评估技术新的领域，即基于数据库的风险评估技术，使风险评估内容更加完善。
 

4.2 安全风险评估服务

依靠雄厚的技术力量和业界最优秀的安全风险评估产品为用户提供广受赞誉的漏洞评估服务，该服务为用户提供：

1)     关键信息系统广泛深度的漏洞探测。

2)     测评系统弱口令，系统配置缺陷，系统潜在危险操作等等。

3)     对发现漏洞及可能造成的风险给出详细，按危险等级排序的详细总结报告。

4)     给出系统风险修正措施以及系统安全指导性架构，安全专家提供安全意识，知识培训。

深圳道为科技的漏洞评估服务通过可回溯，螺旋循环进行的三步过程组成。利用新开思公司的专门技术以及最可靠、最先进的自动化安全评估工具，通过新开思公司富有经验的网络安全专家的全面监控和测评，对用户关键网络系统给出准确的安全风险评估。

 

5、入侵监控和防御——入侵检测技术

大多数传统入侵检测系统（IDS）采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下，该产品都要寻找“攻击标志”，即一种代表恶意或可疑意图攻击的模式。当IDS在网络中寻找这些模式时，它是基于网络的。而当IDS在记录文件中寻找攻击标志时，它是基于主机的。每种方法都有其优势和劣势，两种方法互为补充。 一种真正有效的入侵检测系统应将二者结合。 本节讨论了基于主机和基于网络入侵检测技术的不同之处，以说明如何将这二种方式融合在一起，以提供更加有效的入侵检测和保护措施。
 

5.1基于网络的入侵检测

基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志：

— 模式、表达式或字节匹配

— 频率或穿越阀值

— 低级事件的相关性

— 规统学意义上的非常规现象检测

一旦检测到了攻击行为，IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异，但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。
 

5.2基于主机的入侵检测

现在的基于主机的入侵检测系统也是对付网络攻击的,它结合了一种有力的工具， 以理解以前的攻击形式，并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录，但自动化程度大大提高，并发展了精密的可迅速做出响应的检测技术。通常，基于主机的IDS可监探系统、事件和 Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时，IDS将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。
 

5.3将基于网络和主机的入侵检测

基于网络和基于主机的IDS方案都有各自特有的优点，并且互为补充。因此，下一代的IDS必须包括集成的主机和网络组件。将这两项技术结合，必将大幅度提高网络对攻击和错误使用的抵抗力，使安全策略的实施更加有效，并使设置选项更加灵活。

有些事件只能用网络方法检测到，另外一些只能用主机方式检测到，有一些则需要二者共同发挥作用，才能检测到。

 

6、访问控制

根据客户网络系统网络的结构，制定详细的网络资源访问控制策略，以及管理落实制度是安全防御的一个重要内容。制定网络访问控制的原则是细致全面、实用有效。细致全面不会给攻击入侵者留下可以利用的空间；实用有效方便落实和管理。过于简单不能实现有效保护，过于繁杂的访问规则由于难于管理落实同样会流于形式，不能实现有效保护。

深圳道为科技拥有丰富的企业网络的安全管理经验，并由此出发为客户网络系统安全解决方案设计细致全面、实用有效的网络访问控制体系。
 

6.1路由器（交换机）

是实现网络资源访问控制的基本手段。接入层路由器和网管系统、办公系统的交换机是实现网络资源访问控制的主要位置。按照制定的客户网络系统安全策略配置访问控制列表（ACL）可以实现有效的基于IP地址的访问控制。
 

6.2防火墙

可以实现比路由器（交换机）更加细化的访问控制，合理配置的防火墙是保证访问控制策略的有力手段。防火墙可以实现基于IP地址、域名和用户身份等的访问控制。具体细节详见“防火墙”一节。
 

6.3主机（UNIX类主机和Windows FORTIer）

主机本身的资源访问控制手段是整个访问控制体系的最后堡垒。

推荐安全服务：

—— 安全培训服务

—— 安全策略制定服务

7、日志和审计

合理设计日志和审计体系能够提供有效的入侵检测和事后追查机制，是整个安全解决方案中的重要组成部分。当前应用中的主要网络操作系统（包括主要路由器、交换机、WINDOWS NT操作系统等）都能够提供基本的日志记录功能，用于记录用户和进程对于重要文件的更改和对网络资源的访问等。通常的操作系统日志体系失败的重要原因是日志系统的设计和审查没有充分考虑网络安全的特性，导致日志记录不够细致、没有考虑日志系统的备份、日志被入侵者篡改，而失去对入侵和攻击者的定位和追查功能。

在透彻考察客户网络系统实际运行的安全需求后，深圳道为科技充分利用操作系统本身具备的日志和审查能力，在安全方案中设计了实用有效的集中日志体系。作为入侵监控和防御系统（详见“入侵监控和防御”一节）的重要补充。

推荐安全服务：

服务器防病毒
邮件防病毒
网关防病毒

—— 安全策略制定服务

8、防病毒

桌面端防病毒

网络防病毒

管理中心

道为科技长期以来在反病毒领域辛勤耕耘，目前已成为深圳最大的防病毒方安提供商，能够为客户的网络系统定制完善的病毒防治体系，提供全方位、多层次的、整体的网络防病毒解决方案。

8.1在网络结构方面：

  从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护，尤其是对电子邮件的防病毒，具有最全面的解决方案

     在系统平台支持方面：对各种操作系统提供全面的支持，如：Windows、Unix、Linux等。

8.2在防病毒技术方面：

  采用各种先进的反病毒技术，尤其在对付未知病毒和多态病毒方面，采用了各种先进的技术对其进行查杀,不仅能查、杀各种未知病毒，还能修复被病毒感染的文件。

  在防病毒软件和防病毒策略管理方面：网络防病毒解决方案企业网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。

  在病毒定义码和扫描引擎升级方面：采用模块化升级方式。

  在技术支持和服务方面：专门的人员对用户出现的问题和新病毒提供快速及时的响应，并能迅速提供相应的解决方案。
 

推荐安全服务：

—— 网络系统防病毒咨询、策略制定服务

—— 网络系统防病毒安装服务

—— 网络系统、服务器查杀病毒服务