素材-网络安全解决方案

网络安全重点图书信利半导体公司内网安全解决方案权威安全指导JISHUBU天创半导体公司内部网络安全解决方案目录天创半导体公司内部网络安全解决方案__________________________________2第一章引言______________________________________________________________2第二章网络信息安全概况__________________________________________________3(1）网络安全____________________________________________________________________3(2）网络安全的威胁来自哪些方面？________________________________________________4(3）不安全造成的危害有多大？____________________________________________________4(4）系统的安全应具备那些功能？__________________________________________________5(5）防火墙系统的安全设置问题____________________________________________________6（6）安全隐患___________________________________________________________________7第三章网络安全方案总体设计______________________________________________8（1）安全方案设计原则___________________________________________________________8（2）安全服务、机制与技术_______________________________________________________9（3）网络安全体系结构___________________________________________________________9第四章天创半导体公司安全需求___________________________________________18(1）当前网络现状分析___________________________________________________________18(2)客户需求_____________________________________________________________________19（3）实施目标__________________________________________________________________19第五章产品综述_________________________________________________________19(1）安氏LinkTrustTMCyberWall防火墙______________________________________________19(2）eTrust入侵检测系统_________________________________________________________21（3）KSG邮件过滤网关__________________________________________________________24第六章实施方案_________________________________________________________33（1）优化方案__________________________________________________________________33天创半导体公司内部网络安全解决方案（2）设备安装__________________________________________________________________35（3）规则配置__________________________________________________________________36（4）网络安全管理员培训________________________________________________________36（5）网络安全审核______________________________________________________________36第七章产品类别、报价与售后服务_________________________________________36（1）产品类别__________________________________________________________________36天创半导体公司内部网络安全解决方案目录：第一章引言二十一世纪是信息化世纪，随着Internet的迅猛发展,信息共享的程度进一步提高,数字信息越来越深入的影响着社会生活的各个方面，而网络上的信息安全问题也日益突出。目前政府部门、金融部门、医疗、企事业单位和个人都日益重视这一重要问题。大、中型企业如何保护信息安全和网络安全，最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响，是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。网络的飞速发展推动社会的发展，大批用户借助网络极大地提高了工作效率，创造了一些全新的工作方式，尤其是因特网的出现更给用户带来了巨大的方便。但另一方面，网络，特别是因特网存在着极大的安全隐患。近年来，因特网上的安全事故屡有发生。连入因特网的用户面临诸多的安全风险：拒绝服务、信息泄密、信息篡改、资源盗用、声誉损害等等。类似的风险也存在于其它的互联网络中。这些安全风险的存在阻碍了计算机网络天创半导体公司内部网络安全解决方案的应用与发展。在网络化、信息化的进程不可逆转的形势下，建立安全可靠的网络信息系统是一种必然选择。一个系统的安全性可从三个层次考虑：第一层是存放数据资源的服务器组；第二层是传输数据的网络；第三层是需要访问数据的客户机。对于一个与互联网相连的网络，首先要防止来自外部的恶意攻击，同时还要保证系统内部所有计算机的不受病毒侵扰，能够数据系统正常应用。第二章网络信息安全概况(1）网络安全计算机安全事业始于本世纪60年代末期，由于当时计算机的速度和性能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题就是计算机信息的安全问题。由于计算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。计算机安全的内容应包括两方面：即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。一个系统存在的安全问题可能主要来源于两方面：或者是安全控制机构有故障；或者是系统安全定义有缺陷。天创半导体公司内部网络安全解决方案(2）网络安全的威胁来自哪些方面？由于大型网络系统内运行多种网络协议（TCP/IP,IPX/SPX,NETBEUI），而这些网络协议并非专为安全通讯而设计。所以，网络系统网络可能存在的安全威胁来自以下方面：操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。采用的TCP/IP协议族软件，本身缺乏安全性。未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。(3）不安全造成的危害有多大？根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1,70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部；只有17%的公司愿意报告黑客入侵，其他的由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织损失USD$402,000。入侵的来源：首先是内部心怀不满的员工；其次为黑客；另外还有竞争者。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络天创半导体公司内部网络安全解决方案上的信息，窃取用户的口令、应用数据库中的重要数据；还可以篡改数据库内容，伪造用户身份，信任自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。黑客的威胁见诸报道的已经屡见不鲜，象贵州省城热线、成都艺术节主页等都报道有黑客入侵，他们在主页上发布反动口号，或将主页修改成黄色画面。受到此类攻击对于政府部门，大型企业而言影响是尤为恶劣的。前段时间美国微软公司遭黑客攻击事件就是由于它的内外网隔离存在漏洞，使得黑客成功窃取它的软件源代码等机密资料，严重威胁到企业的声誉。这样的例子举不胜举，网络安全建设已经迫在眉睫了。(4）系统的安全应具备那些功能？与其它安全体系（如保安系统）类似，网络应用系统的安全体系应包含：访问控制通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯主动的加密通讯，可使攻击者不能了解、修改敏感信息。天创半导体公司内部网络安全解决方案认证良好的认证体系可防止攻击者假冒合法用户。备份和恢复良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息使攻击者不能了解系统内的基本情况。(5）防火墙系统的安全设置问题近年来大家如果提到网络信息安全，可能最为熟识的可能就是防火墙系统。它不失为一种在内部网和外部网之间实施的信息安全防范系统，这种计算机网络互联环境下的访问控制技术，通过监测、限制、更改跨越防火墙的数据流，可以有效地对外屏蔽被保护网络的信息，从而对系统结构及其良性运行等实现安全防护。因此，许多管理员认为，计算机网络装上防火墙，就可以“高枕无忧”、“万事大吉”了。其实，这是一种片面的错误认识和十分令人担心的危险想法。因为防火墙并不是万能的，它的技术不可能一劳永逸和真正达到“万无一失”，它的“权力”是有限的，在计算机网络上，它也有“管不着”、“管不了”的地方，或者说也有许多“难言之隐”。A防内不防外。现在在市面上比较流行的防火墙大都是边界防火墙，它们在网络的边界上进行外部网络和内部网络的划分，并进行一定程度的安全防范。而这些防火墙一般只对来自外部网络进行防范。如果入侵者绕过了防火墙或内部攻击者将能在内部网络畅行无阻，肆意攻击。天创半导体公司内部网络安全解决方案B不能防止数据驱动式攻击防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据通过邮寄或拷贝到内部网的主机上并被执行时，就会发生数据驱动式的攻击。C不能防止非法通道的出现防火墙不能防止非法通道的出现，如果在内部网络有人使用猫或其他设备通过其他的方法接入互联网，那么防火墙将不能防止此类问题的出现。D不能