网络安全
长春嘉诚信息技术股份有限公司网络安全整体解决方案介绍

    在信息化社会中,网络信息系统在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强,各种各样完备的网络信息系统,使得秘密信息和财富高度集中于计算机中。另一方面,这些网络信息系统都依靠计算机网络接收和处理信息,实现其相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式,成为当今社会发展的一个主题。
    然而,伴随着网络信息产业发展而产生的互联网和网络信息的安全问题,也已成为热点问题。各种网络系统以及有关软件硬件系统的缺陷、各种系统管理方面的漏洞,带来了许多安全上的隐患,出现了许多严重的网络安全问题。目前,全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升,安全问题日益严重。采取适当的安全技术成为保障网络系统正常运转的必要条件。
    一、网络面临的安全威胁
    安全威胁是最终造成安全事件的主要因素之一,它是依据业务信息系统的存在而客观存在,是一个不可消灭的事务。客户信息网络可能面临的安全威胁主要有:
    ♦合法用户的威胁:是指拥有合法授权的用户因在系统管理方面的错误或疏忽造成系统破坏的可能性,它包括滥用授权、错误操造、操作行为抵赖等威胁。
    ♦非法用户的威胁:是指非授权用户或低权限用户越权对系统造成破坏的可能性,包括内部员工的越权访问、外部攻击者的恶意入侵、数据的窃听和破坏、恶意代码的破坏、物理破坏等威胁。
    ♦系统组件的威胁:是指信息系统的硬件或软件发生意外故障的可能性,包括系统设备意外故障、通信中断、软件意外失效等威胁。
    ♦物理环境的威胁:是指由于环境因素造成系统破坏的可能性,包括电源中断、灾难等威胁。
    具体请参见下表:
威胁类别
简单描述
操作错误
合法用户因工作失误或疏忽造成系统破坏
滥用授权
合法用户利用自己的权限故意破坏系统
行为抵赖
合法用户对自己操作行为否认
身份假冒
非法用户冒充合法用户进行操作
密码分析
非法用户对系统密码分析成功
安全漏洞
非法用户利用系统漏洞侵入或破坏系统
拒绝服务
非法用户利用拒绝服务手段攻击系统
恶意代码
病毒、特洛伊木马、蠕虫、逻辑炸弹等感染系统
窃听数据
非法用户通过窃听等手段盗取系统重要数据
物理破坏
非法用户利用各种手段对系统资产进行物理破坏
社会工程
非法用户利用社交等手段获取系统重要信息
意外故障
系统的组件发生意外故障
通信中断
数据通信传输过程中发生意外中断
电源中断
电源发生意外中断
灾难
火灾、水灾、雷击、鼠害、地震等破坏系统


















    二、网络安全需求分析
    通过对客户网络结构、面临的安全威胁的分析,再加上黑客入侵、网络病毒等安全问题的日益严重。客户网络安全问题的解决势在必行。针对不同的安全问题必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。我们认为客户网络的安全需求主要集中在以下几个方面。
    ♦保护网络系统的可用性;
    ♦保护网络系统服务的连续性;
    ♦防范网络资源的非法访问及非授权访问 防范入侵者的恶意攻击与破坏;
    ♦保护客户信息通过网上传输过程中的机密性、完整性;
    ♦防范病毒的侵害;
    ♦实现网络的安全管理。
    三、网络安全解决方案
    根据网络系统的特点,依据上面所做的威胁分析和需求分析,结合嘉诚公司在业界的成功经验,我们提出如下一些网络安全的解决方案。
    1.防火墙
    将防火墙部署在路由器与受保护的内部网络之间,作为数据包进/出的唯一通道。运行中的防火墙,通过严格的访问限制,控制进出网络的数据包。同时、通过设置DMZ实现政府对外网站及信箱与外部畅通的访问。
    2.数据加密及传输安全
    通过VPN技术,提高客户的子网间的信息(如电子公文,Mail…)传输过程中的保密性和安全性。
    3.入侵检测系统:
    入侵检测系统能够有效地防止各种类型的攻击,中心数据库放置在DMZ区,通过在网络中不同的位置放置比如内网、DMZ区网络引擎,可与中心数据库进行通讯,获得安全策略,存储警报信息,并针对入侵启动相应的动作。管理员可在网络中的多个位置访问网络引擎,对入侵检测系统进行监控和管理。
    4.入侵防御系统:
    入侵防御系统能够基于先进的体系架构和深度协议分析技术,结合协议异常检测、状态检测、关联分析等手段,针对蠕虫、间谍软件、病毒、垃圾邮件、DoS攻击、网络资源滥用等危害网络安全的行为,采取主动防御措施,实时阻断网络流量中的恶意攻击,确保信息网络的运行安全。 
    5.网站的恢复与实时恢复
    采用网页防篡改产品对政府对外网站信息的实时监控及数据恢复,防止恶意破坏政府机关对外形象的发生。
    6.网络防病毒
    采用防病毒网关产品实现在病毒进入内部网络之前予以杀灭,与传统的在病毒进入终端系统以后再利用软件进行查杀的方案相比较,网关防毒方案更具主动性和前瞻性,也更具有针对性。但是,终端桌面的防病毒软件是必不可少的,一来可以减少网关防毒墙的设备压力,二来可以防止移动介质直接接触终端桌面的病毒威胁。
    7.业务安全审计
    通过部署业务审计系统,对业务环境下的网络操作行为进行细粒度审计。通过制定符合业务网的审计策略,对符合策略的网络操作行为进行解析、分析、记录、汇报,以帮助用户事前规划预防,事中实时监控、违规行为响应,事后合规报告、事故追踪回放,帮助用户加强内外部网络行为监管、避免核心资产(数据库、网络服务器等)损失、保障业务系统的正常运营。
    8.上网行为管理
    对客户上网行为的全面管理。可控制下载流量、防止内网泄密、防范法规风险。可实现上网行为记录、电子邮件内容(附件内容)、聊天内容、论坛帖子等内容记录。
    9.服务器内核加固系统
    保护客户主要应用服务器的操作系统内核安全,即使是管理员也无法破坏操作系统。
    10.日志审计系统
    可以把客户所有IT设备海量日志收集起来,有效分析出网络安全问题所在,提供第一手IT系统运行状况报告。
    11.内网安全管理软件
    统一管理客户内网计算机,漏洞补丁统一下发,阻止非我公司计算机接入公司网络,防止计算机资料通过U盘、光盘等途径泄漏。
    12.综合安全管理平台
    部署综合安全管理系统,通过对计算环境的各类网络节点进行统一管理和监控,包括网络设备,安全设备和主机设备,首先保证网络和系统的整体安全运行,及时发现网络和系统主机的故障和性能瓶颈;其次通过获取安全信息的基础数据,通过对这些基础数据的协同分析得到计算环境的安全状况,依据安全状况提出安全决策;安全决策通过对网络节点的控制来实施安全策略;在智能引擎的支持下实现持续的监控、分析、决策循环。