对于网络建设者和维护者来说,实现网络安全的第一要务是明确网络业务定位、所提供的服务类型和服务对象,以此为基础,进一步分析系统安全需求,评估当前的安全风险程度,然后制定相应的安全策略,选择适当的安全技术,实施安全工程。图1所示的是网络安全的整体解决方案(中科网威安全技术有限公司提供),由此我们可对安全设计略见一斑。
由于业务多种多样,服务类型各具特色,所以企业安全需求千差万别,相应的安全策略也迥然不同。但是采用的安全技术基本相同。下面,我们以技术为主,以需求和策略分析为辅,详细说明安全网络的建设。
根据我国企业对网络的依赖性、对数据的保密程度以及资金分配等现实情况,有些企业当前对安全防护要求不是很严格,而且整体投资能力有限,对实施完整的安全方案有一定困难,我们将这类用户定义为不完整安全类用户。还有一些企业资金雄厚,安全意识强,对安全防护要求高,有能力完成一步到位的安全建设,我们将这类用户定义为完整安全类用户。安全防范需要通过安全技术、安全产品集成及安全管理来实现,单靠安装一个安全产品做不到真正意义上的网络安全。企业用户应该与专业的安全解决方案、产品技术提供商通力合作,设计长远的发展规划,共同完成安全系统的建设。特别需要注意的是,企业用户应该对产品与技术有所了解,这样在选择安全方案、构建系统、与厂商合作和对付安全问题时才能做到“心知肚明”。
鉴于以上对2种用户的分类,我们把安全系统分为2期工程进行建设。
一期工程“垒砖筑墙”
实施安全解决方案有5个关键技术点,它们是防毒、控制访问、加密与认证、漏洞扫描和入侵检测。对于不完整安全类用户,虽然暂时无法全面开展安全建设,但应该顺应未来需要,以满足现状为基础,分批分步的进行安全建设。通常,在初期建设中,采用防毒和防火墙技术抵御外来攻击是必不可少的手段。
一、 病毒防护:将病毒扼杀在摇篮中
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,防范病毒是实现网络安全非常重要的一项工作,采用反病毒技术可以有效防地范病毒。反病毒技术包括预防、检测和攻杀3项功能,一般防毒软件均采用此技术。
通常,我们把网络防毒软件划分为客户端防毒、服务器端防毒、群件防毒和internet防毒4大类。客户端防毒侧重单机防毒,国内外产品在可靠性方面已不相上下。防止外部病毒入侵,不同厂家在技术上没有太大的区别,但从性价比上看,vrv的防毒软件更出色一些;从对资源的占用率来看,kill的软件略小一些,稳定性较好。基于群件的应用越来越广泛,对群件包的扫描需求也越来越迫切,各厂商都推出了相应的群件防毒产品。internet防毒包括对电子邮件和ftp文件中的病毒防护,以及active x和java等恶意程序攻击的抵制。kill的产品在这方面做得不错。事实上,国内产品对邮件病毒查杀很有效,但对java恶意程序进攻的反击还比不上国外产品。
美国网络联盟公司(nai)为用户提供一套网络安全总体解决方案net tools,它建立在2个集成的、可缩放的套件net tools secure和net tools manager之上。其中net tools secure包括mcafee active virus defense和pgp total network security。mcafee active virus defense是对包括对客户机、服务器和internet网关在内的防病毒多级处理方案,其内含的virusscan可检测目前已知病毒,能杀灭多于15000种病毒;webscanx可防止用户在进行internet信息下载时恶意javat active程序对台式机的破坏;netshield可保护文件、应用程序和群件服务器; groupshield用于lotus notes/domino和microsoft exchange在服务器水平扫描,清除受感染文件,有效防止其散布; webshield则可在internet网关阻截病毒和有恶意的应用程序。
北京赛门铁克信息技术有限公司(symantec)面向客户端的产品有norton internet security、norton personal firewall和norton antivirus。norton internet security可使用户pc机不受黑客、病毒及其他网络安全威胁,还可保护用户个人信息的隐私权,并过滤网络广告网页,加速下载的时间。norton personal firewall可掌握用户pc机所有进出的联机动态,并警告用户可能产生的可疑状况,以阻挡黑客入侵,还能防止应用程序未经用户同意在网络上传递个人信息。norton antivirus的自动防护功能可防止潜伏在电子邮件附件中的病毒及其他恶意internet代码的侵害。