网络安全体系设计论证的主要方法

① 何构建网络环境下的计算机信息安全体系，1500字以上

“凡事预则立，不预则废”。网络安全的重要前提就是要充分具有网络安全意识，并形成相应的网络安全策略。首先要明确网络安全策略重在管理。俗话说：“三分技术，七分管理”，因此，必须加强网络的安全管理，确定安全管理等级和安全管理范围，制订和完善有关的规章制度（如网络操作使用规程、人员出入机房管理制度及网络系统的维护和开发管理制度等）。其次，要清楚做好网络安全策略必须从制定以下两种核心策略着手：物理安全策略。制定物理安全策略的目的是保护网络服务器、交换机、路由器、打印机、工作站等众多硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境，抑制和防止电磁泄漏；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏计算机设备活动的发生。抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，另一类是对辐射的防护。后者又分为两种，一是采用各种电磁屏蔽措施，二是干扰的防护措施；访问控制策略。之所以制定访问控制策略，因为它是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。需要强调的是，各种安全策略必须相互配合才能真正起到保证网络安全的作用。
网络环境下的具体安全防范策略
安全策略是成功的网络安全体系的基础与核心。安全策略描述了校园数据中心的安全目标（包括近期目标和长期目标），能够承受的安全风险，保护对象的安全优先级等方面的内容。安全技术常见的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范等。这些工具和技术手段是网络安全体系中直观的部分，缺少任何一种都会有巨大的危险，因为，网络入侵防范是个整体概念。但校园数据中心往往经费有限，不能全部部署，这时就需要我们在安全策略的指导下，分步实施。需要说明的是，虽然是单元安全产品，但在网络安全体系中它们并不是简单地堆砌，而是要合理部署，互联互动，形成有机的整体。安全管理贯穿整个安全防范体系，是安全防范体系的核心。代表了安全防范体系中人的因素。安全不是简单的技术问题，不落实到管理，再好的技术、设备也是徒劳的。一个有效的安全防范体系应该是以安全策略为核心，以安全技术为支撑，以安全管理为落实。安全管理不仅包括行政意义上的安全管理，更主要的是对安全技术和安全策略的管理。安全培训最终用户的安全意识是信息系统是否安全的决定因素，因此对校园数据中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。
建立网络入侵检测系统
义为：试图破坏信息系统的完整性、机密性或可信性的任何网络活动的集合。网络入侵分为三种类型：外部攻击、内部攻击和特权滥用。入侵检测（Intrusion Detection）就是检测任何企图损害系统完整性、机密性或可信性的行为的一种网络安全技术，它通过对运行系统的状态和活动的监视，找出异常或误用的行为，根据所定义的安全策略，分析出非授权的网络访问和恶意的行为，迅速发现入侵行为和企图，为入侵防范提供有效的手段。入侵检测在系统后台不问断的运行，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，通过对系统或网络日志的分析，获得系统或网络目前的安全状况，查看网络中是否有违反安全策略的行为和遭到袭击的痕迹，当检测到非法或值得怀疑的行为时，及时报告给系统或网络管理员，并自动采取措施。入侵检测作为一种提高网络安全性的新方法，被认为是防火墙的合理补充，它能帮助系统在不影响网络性能的情况下对网络进行检测，从而提供对付网络攻击操作的实时性保护，扩展了系统管理员的安全管理能力，（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。其作为保证现代计算机系统安全的重要手段，在整个网络系统安全保障体系中具有不可替代的地位。
入侵检测系统检查的数据源主要有两大类，一类是网络数据，一类是系统数据。具体说来，这些都通过入侵检测系统执行以下任务来实现：（1）监视、分析用户及系统活动；（2）系统构造和弱点的审计；（3）评估重要系统和数据文件的完整性；（4）异常行为模式的统计分析；（5）识别反映已知进攻的活动模式并向相关人士报警；（6）操作系统日志管理，并识别用户违反安全策略的行为。
建立网络系统备份与灾难恢复体系
对数据进行备份是为了保证数据的一致性和完整性，消除系统使用者和操作者的后顾之忧。不同的应用环境要求不同的解决方案，但一个完善的备份系统一般要满足以下的原则：备份软件要与操作系统完全兼容；选用的备份软件，要支持各种操作系统、数据库和典型应用；在进行备份的时候，要进行事务跟踪，以确保备份系统中的所有文件；在设计备份时，要考虑到提高数据备份的速度；能提供定时的自动备份；备份数据存放在远离数据中心的地方。备份不仅是数据的保护，其最终目的是为了在系统遇到人为或自然灾难时，能够通过备份内容对系统进行有效的灾难恢复。第一类是全盘恢复，一般应用在服务器发生意外灾难，导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等情况，也称为系统恢复。第二类是个别文件恢复，还有一种值得一提的是重定向恢复。为了防备数据丢失，我们需要做好详细的灾难恢复计划，同时还要定期进行灾难演练。此外，选了先进的备份硬件后，我们决不能忽略备份软件的选择，因为只有优秀的备份件才能充分发挥硬件的先进功能，保证快速、有效的数据备份和恢复。
最后，需要强调的是网络安全防范一定要持之以恒。网络安全保障体系的建立并非一劳永逸，随着网络的扩展，黑客攻击手段的发展，安全防范需求也会日新月异。值得注意的是，由于网络安全保障体系本身存在的固有弱点，在遭受攻击时会导致“木桶原理”效应，即最微弱的安全漏洞都可能引发整个网络系统的崩溃。因此，必须进行可持续的安全规划与防范，才能避免更多问题的出现。

② 网络安全主要包括哪些方面的内容

网络安全主要包含四个方面。

（1）系统安全

系统安全是指在系统生命周期内应用系统安全工程和系统安全管理方法，辨识系统中的隐患，并采取有效的控制措施使其危险性最小，从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。系统安全是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系，是系统工程与安全工程结合的完美体现。系统安全的基本原则就是在一个新系统的构思阶段就必须考虑其安全性的问题，制定并执行安全工作规划（系统安全活动），属于事前分析和预先的防护，与传统的事后分析并积累事故经验的思路截然不同。系统安全活动贯穿于生命整个系统生命周期，直到系统报废为止。

（2）网络信息安全

主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

（3）信息传播安全

主要是保护信息传播过程中的安全。现在互联网被广泛应用，微信、QQ、支付宝的使用，都是在传播信息，保证传播过程中的信息安全，可以很大程度上避免网民信息泄露。

（4）信息内容安全

信息内容安全包括五个方面，即寄生系统的机密性、真实性、完整性、未经授权的复制和安全性。和网络信息安全比较类似，防止信息呗窃取、更改、泄露等。

③ 网络安全防范体系有哪些设计原则

根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则： 1．网络信息安全的木桶原则 网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。 2．网络信息安全的整体性原则 要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。 3．安全性评价与平衡原则 对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。 4．标准化与一致性原则 系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。 5．技术与管理相结合原则 安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 6．统筹规划，分步实施原则 由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。 7．等级性原则 等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 8．动态发展原则 要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。 9．易操作性原则 首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

④ 计算机网络安全体系结构包括什么

计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的。

对于一个系统而言，首先要以硬件电路等物理设备为载体，然后才能运 行载体上的功能程序。通过使用路由器、集线器、交换机、网线等网络设备，用户可以搭建自己所需要的通信网络，对于小范围的无线局域网而言，人们可以使用这 些设备搭建用户需要的通信网络，最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵，这种防护措施可以作为一种通信协议保护。

计算机网络安全广泛采用WPA2加密协议实现协议加密，用户只有通过使用密匙才能对路由器进行访问，通常可以讲驱动程序看作为操作系统的一部分，经过注册表注册后，相应的网络 通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护，不能被更改、泄露和破坏，能够使整个网络得到可持续的稳定运 行，信息能够完整的传送，并得到很好的保密。因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。

(4)网络安全体系设计论证的主要方法扩展阅读

计算机安全的启示：

1、按先进国家的经验，考虑不安全因素，网络接口设备选用本国的，不使用外国货。

2、网络安全设施使用国产品。

3、自行开发。

网络的拓扑结构：重要的是确定信息安全边界

1、一般结构：外部区、公共服务区、内部区。

2、考虑国家利益的结构：外部区、公共服务区、内部区及稽查系统和代理服务器定位。

3、重点考虑拨号上网的安全问题：远程访问服务器，放置在什么位置上，能满足安全的需求。

⑤ 怎样为信息系统构建安全防护体系

1、结构化及纵深防御保护框架
系统在框架设计时应从一个完整的安全体系结构出发，综合考虑信息网络的各个环节，综合使用不同层次的不同安全手段，为核心业务系统的安全提供全方位的管理和服务。
在信息系统建设初期，考虑系统框架设计的时候要基于结构化保护思想，覆盖整体网络、区域边界、计算环境的关键保护设备和保护部件本身，并在这些保护部件的基础上系统性地建立安全框架。使得计算环境中的应用系统和数据不仅获得外围保护设备的防护，而且其计算环境内的操作系统、数据库自身也具备相应的安全防护能力。同时要明确定义所有访问路径中各关键保护设备及安全部件间接口，以及各个接口的安全协议和参数，这将保证主体访问客体时，经过网络和边界访问应用的路径的关键环节，都受到框架中关键保护部件的有效控制。
在进行框架设计时可依据IATF（信息保护技术框架）深度防护战略的思想进行设计，IATF模型从深度防护战略出发，强调人、技术和操作三个要素，基于纵深防御架构构建安全域及边界保护设施，以实施外层保护内层、各层协同的保护策略。该框架使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。在攻击者成功地破坏了某个保护机制的情况下，其它保护机制仍能够提供附加的保护。
在安全保障体系的设计过程中，必须对核心业务系统的各层边界进行全面分析和纵深防御体系及策略设计，在边界间采用安全强隔离措施，为核心业务系统建立一个在网络层和应用层同时具备较大纵深的防御层次结构，从而有效抵御外部通过网络层和应用层发动的入侵行为。
2、全生命周期的闭环安全设计
在进行信息系统的安全保障体系建设工作时，除设计完善的安全保障技术体系外，还必须设计建立完整的信息安全管理体系、常态化测评体系、集中运维服务体系以及应急和恢复体系，为核心信息系统提供全生命周期的安全服务。
在项目开展的全过程中，还应该遵循SSE-CMM（信息安全工程能力成熟度模型）所确定的评价安全工程实施综合框架，它提供了度量与改善安全工程学科应用情况的方法，也就是说，对合格的安全工程实施者的可信性，是建立在对基于一个工程组的安全实施与过程的成熟性评估之上的。SSE-CMM将安全工程划分为三个基本的过程域：风险、工程、保证。风险过程识别所开发的产品或系统的危险性，并对这些危险性进行优先级排序。针对危险性所面临的问题，工程过程要与其他工程一起来确定和实施解决方案。由安全保证过程来建立对最终实施的解决方案的信任，并向顾客转达这种安全信任。因此，在安全工程实施过程中，严格按照SSE-CMM体系来指导实施流程，将有效地提高安全系统、安全产品和安全工程服务的质量和可用性。
3、信息系统的分域保护机制
对信息系统进行安全保护设计时，并不是对整个系统进行同一级别的保护，应针对业务的关键程度或安全级别进行重点的保护，而安全域划分是进行按等级保护的重要步骤。
控制大型网络的安全的一种方法就是把网络划分成单独的逻辑网络域，如内部服务网络域、外部服务网络域及生产网络域，每一个网络域由所定义的安全边界来保护，这种边界的实施可通过在相连的两个网络之间的安全网关来控制其间访问和信息流。网关要经过配置，以过滤两个区域之间的通信量，并根据访问控制方针来堵塞未授权访问。
根据信息系统实际情况划分不同的区域边界，重点关注从互联网→外部网络→内部网络→生产网络，以及以应用系统为单元的从终端→服务器→应用→中间件→数据库→存储的纵向各区域的安全边界，综合采用可信安全域设计，从而做到纵深的区域边界安全防护措施。
实现结构化的网络管理控制要求的可行方法就是进行区域边界的划分和管理。在这种情况下，应考虑在网络边界和内部引入控制措施，来隔离信息服务组、用户和信息系统，并对不同安全保护需求的系统实施纵深保护。
一般来说核心业务系统必然要与其它信息系统进行交互。因此，应根据防护的关键保护部件的级别和业务特征，对有相同的安全保护需求、相同的安全访问控制和边界控制策略的业务系统根据管理现状划分成不同的安全域，对不同等级的安全域采用对应级别的防护措施。根据域间的访问关系和信任关系，设计域间访问策略和边界防护策略，对于进入高等级域的信息根据结构化保护要求进行数据规划，对于进入低等级域的信息进行审计和转换。
4、融入可信计算技术
可信计算技术是近几年发展起来的一种基于硬件的计算机安全技术，其通过建立信任链传递机制，使得计算机系统一直在受保护的环境中运行，有效地保护了计算机中存储数据的安全性，并防止了恶意软件对计算机的攻击。在信息系统安全保障体系设计时，可以考虑融入可信计算技术，除重视安全保障设备提供的安全防护能力外，核心业务系统安全保障体系的设计将强调安全保障设备的可靠性和关键保护部件自身安全性，为核心业务系统建立可信赖的运行环境。
以可信安全技术为主线，实现关键业务计算环境关键保护部件自身的安全性。依托纵深防御架构应用可信与可信计算技术（含密码技术）、可信操作系统、安全数据库，确保系统本身安全机制和关键防护部件可信赖。在可信计算技术中，密码技术是核心，采用我国自主研发的密码算法和引擎，通过TCM模块，来构建可信计算的密码支撑技术，最终形成有效的防御恶意攻击手段。通过系统硬件执行相对基础和底层的安全功能，能保证一些软件层的非法访问和恶意操作无法完成，可信计算技术的应用可以为建设安全体系提供更加完善的底层基础设施，并为核心业务系统提供更强有力的安全保障。
5、细化安全保护策略与保障措施
在核心业务系统不同区域边界之间基本都以部署防火墙为鲜明特点，强化网络安全策略，根据策略控制进出网络的信息，防止内部信息外泄和抵御外部攻击。
在区域边界处部署防火墙等逻辑隔离设备实施访问控制，设置除因数据访问而允许的规则外，其他全部默认拒绝，并根据会话状态信息（如包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用）对数据流进行控制；对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；自动终止非活跃会话连接；限制网络最大流量及网络连接数，防止DOS等攻击行为；使用IP与MAC绑定技术，防范地址欺骗等攻击行为；使用路由器、防火墙、认证网关等边界设备，配置拨号访问控制列表对系统资源实现单个用户的允许或拒绝访问，并限制拨号访问权限的用户数量。
在核心业务系统内网的核心交换边界部署网络入侵检测系统，对网络边界处入侵和攻击行为进行检测，并在最重要的区域和易于发生入侵行为的网络边界进行网络行为监控，在核心交换机上部署双路监听端口IDS系统，IDS监听端口类型需要和核心交换机对端的端口类型保持一致。在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。
在区域边界处部署防病毒网关，对进出网络的数据进行扫描，可以把病毒拦截在外部，减少病毒渗入内网造成危害的可能。防病毒网关是软硬件结合的设备，通常部署在防火墙和中心交换机之间，可以在病毒进入网络时对它进行扫描和查杀。防病毒网关可以采用全透明方式，适用于各种复杂的网络环境，通过多层过滤、深度内容分析、关联等技术策略，对网络数据进行高效过滤处理，可以提升网络环境的安全状况。防病毒网关需要具备以下特性：
（1）防病毒、防木马以及针对操作系统、应用程序漏洞进行的攻击。
（2）防蠕虫攻击，防病毒网关根据自有的安全策略可以拦截蠕虫的动态攻击，防止蠕虫爆发后对网络造成的阻塞。
（3）过滤垃圾邮件功能，防病毒过滤网关通过检查邮件服务器的地址来过滤垃圾邮件。防病毒网关通过黑名单数据库以及启发式扫描的数据库，对每封邮件进行判断并且识别，提高了对垃圾邮件的检测力度，实现了垃圾邮件网关的功能。
边界设备等作为区域边界的基础平台，其安全性至关重要。由于边界设备存在安全隐患（如：安装、配置不符合安全需求；参数配置错误；账户/口令问题；权限控制问题；安全漏洞没有及时修补；应用服务和应用程序滥用等）被利用而导致的安全事件往往是最经常出现的安全问题，所以对这些基础设施定期地进行安全评估、安全加固与安全审计，对增强区域边界的安全性有着重要的意义。
6、常态化的安全运维
信息系统的安全不仅依赖于增加和完善相应的安全措施，而且在安全体系建设完成之后，需要通过相应的安全体系运行保障手段，诸如定期的评估、检查加固、应急响应机制及持续改进措施，以确保安全体系的持续有效性。
（1）定期进行信息安全等级保护测评。根据国家要求，信息系统建设完成后，运营、使用单位或者其主管部门应当选择具有信息安全测评资质的单位，依据相关标准定期对信息系统开展信息安全等级保护测评。通过测评可以判定信息系统的安全状态是否符合等级保护相应等级的安全要求，是否达到了与其安全等级相适应的安全防护能力。通过对信息系统等级符合性检验，最终使系统达到等级保护的相关要求，降低信息安全风险事件的发生概率。
（2）定期进行安全检查及整改。确定安全检查对象，主要包括关键服务器、操作系统、网络设备、安全设备、主要通信线路和客户端等，通过全面的安全检查，对影响系统、业务安全性的关键要素进行分析，发现存在的问题，并及时进行整改。
（3）对于互联网系统或与互联网连接的系统，定期进行渗透测试。渗透测试是一种信息系统进行安全检测的方法，是从攻击者的角度来对信息系统的安全防护能力进行安全检测的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显、直观的结果来反映出系统的安全现状。
（4）定期进行安全教育培训。技术培训主要是提高员工的安全意识和安全技能，使之能够符合相关信息安全工作岗位的能力要求，全面提高自身整体的信息安全水平。针对不同层次、不同职责、不同岗位的员工，进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练，确保信息安全策略、规章制度和技术规范的顺利执行，从而最大限度地降低和消除安全风险。

⑥ 网络的问题急用!!!!!!!!!

中小企业整体网络安全解决方案解析
信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力，使企业能在信息资讯时代脱颖而出。
企业利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性，使得企业的信息安全问题日益严重。
外部安全

随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。

内部安全

最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。

内部网络之间、内外网络之间的连接安全

随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。

1. 中小企业的网络情况分析

中小企业由于规模大小、行业差异、工作方式及管理方式的不同有着不同的网络拓扑机构。网络情况有以下几种。

集中型:

中小企业网络一般只在总部设立完善的网络布局。采取专线接入、ADSL接入或多条线路接入等网络接入方式，一般网络中的终端总数在几十到几百台不等。网络中有的划分了子网，并部署了与核心业务相关的服务器，如数据库、邮件服务器、文档资料库、甚至ERP服务器等。

分散型:

采取多分支机构办公及移动办公方式，各分支机构均有网络部署，数量不多。大的分支采取专线接入，一般分支采取ADSL接入方式。主要是通过VPN访问公司主机设备及资料库，通过邮件或内部网进行业务沟通交流。

综合型:

集中型与分散型的综合。

综合型企业网络简图

2. 网络安全设计原则

网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。

体系化设计原则

通过分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。

全局综合性设计原则

从中小企业的实际情况看，单纯依靠一种安全措施，并不能解决全部的安全问题。建议考虑到各种安全措施的使用，使用一个具有相当高度、可扩展性强的安全解决方案及产品。

可行性、可靠性及安全性

可行性是安全方案的根本，它将直接影响到网络通信平台的畅通，可靠性是安全系统和网络通信平台正常运行的保证，而安全性是设计安全系统的最终目的。

3. 整体网络安全系统架构

安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。

整体安全系统架构

随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。如图2所示，这种多层次的安全体系不仅要求在网络边界设置防火墙/VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。

1. 整体安全防护体系

基于以上的规划和分析，建议中小企业企业网络安全系统按照系统的实现目的，采用一种整合型高可靠性安全网关来实现以下系统功能:

防火墙系统

VPN系统

入侵检测系统

网络行为监控系统

垃圾邮件过滤系统

病毒扫描系统

带宽管理系统

无线接入系统

2.方案建议内容

2.1. 整体网络安全方案

通过如上的需求分析，我们建议采用如下的整体网络安全方案。网络安全平台的设计由以下部分构成:

 防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。

 VPN系统:对远程办公人员及分支机构提供方便的IPSec VPN接入，保护数据传输过程中的安全，实现用户对服务器系统的受控访问。

 入侵检测系统:采用入侵检测设备，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应。

 网络行为监控系统:对网络内的上网行为进行规范，并监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，阻止不正当文件的下载。

 病毒防护系统:强化病毒防护系统的应用策略和管理策略，增强病毒防护有效性。

 垃圾邮件过滤系统:过滤邮件，阻止垃圾邮件及病毒邮件的入侵。

 移动用户管理系统:对内部笔记本电脑在外出后，接入内部网进行安全控制，确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。

 带宽控制系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准，定位网络流量的基线，及时发现网络是否出现异常流量并控制带宽。

总体安全结构如图:

网络安全规划图

本建议书推荐采用法国LanGate®产品方案。LanGate® UTM统一安全网关能完全满足本方案的全部安全需求。LanGate® UTM安全网关是在专用安全平台上集成了防火墙、VPN、入侵检测、网络行为监控、防病毒网关、垃圾邮件过滤、带宽管理、无线安全接入等功能于一身的新一代全面安全防护系统。

LanGate® UTM产品介绍

3.1. 产品概括

LanGate 是基于专用芯片及专业网络安全平台的新一代整体网络安全硬件产品。基于专业的网络安全平台， LanGate 能够在不影响网络性能情况下检测有害的病毒、蠕虫及其他网络上的安全威胁，并且提供了高性价比、高可用性和强大的解决方案来检测、阻止攻击，防止不正常使用和改善网络应用的服务可靠性。

高度模块化、高度可扩展性的集成化LanGate网络产品在安全平台的基础上通过各个可扩展的功能模块为企业提供超强的安全保护服务，以防御外部及内部的网络攻击入。此产品在安全平台上集成各种功能应用模块和性能模块。应用模块添加功能，例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾邮件过滤引擎。这种安全模块化架构可使新的安全服务在网络新病毒、新威胁肆虐时及时进行在线升级挽救网络，而无需进行资金及资源的再投入。轻松安装、轻松升级的LanGate产品简化了网络拓扑结构，降低了与从多个产品供应商处找寻、安装和维护多种安全服务相关的成本。

3.2. 主要功能

基于网络的防病毒

LanGate 是网关级的安全设备，它不同于单纯的防病毒产品。LanGate 在网关上做 HTTP、SMTP、POP 和 IMAP的病毒扫描，并且可以通过策略控制流经不同网络方向的病毒扫描或阻断，其应用的灵活性和安全性将消除企业不必要的顾虑。LanGate的防病毒引擎同时是可在线升级的，可以实时更新病毒库。

基于用户策略的安全管理

整个网络安全服务策略可以基于用户进行管理，相比传统的基于 IP的管理方式，提供了更大的灵活性。

 防火墙功能

LanGate 系列产品防火墙都是基于状态检测技术的，保护企业的计算机网络免遭来自 Internet 的攻击。防火墙通过“外->内”、“内->外”、“内->内”(子网或虚拟子网之间)的接口设置，提供了全面的安全控制策略。

 VPN功能

LanGate支持IPSec、PPTP及L2TP的VPN 网络传输隧道。LAN Gate VPN 的特性包括以下几点:

 支持 IPSec 安全隧道模式

 支持基于策略的 VPN 通信

 硬件加速加密 IPSec、DES、3DES

 X509 证书和PSK论证

 集成 CA

 MD5 及 SHA认证和数据完整性

 自动 IKE 和手工密钥交换

 SSH IPSEC 客户端软件, 支持动态地址访问，支持 IKE

 通过第三方操作系统支持的 PPTP 建立 VPN 连接

 通过第三方操作系统支持的 L2TP建立 VPN 连接

 支持NAT穿越

 IPSec 和 PPTP

 支持无线连接

 星状结构

 内容过滤功能

LanGate 的内容过滤不同于传统的基于主机系统结构内容处理产品。LanGate设备是网关级的内容过滤，是基于专用芯片硬件技术实现的。LanGate 专用芯片内容处理器包括功能强大的特征扫描引擎，能使很大范围类型的内容与成千上万种关键词或其它模式的特征相匹配。具有根据关键字、URL或脚本语言等不同类型内容的过滤，还提供了免屏蔽列表和组合关键词过滤的功能。同时，LanGate 还能对邮件、聊天工具进行过滤及屏蔽。

入侵检测功能

LanGate 内置的网络入侵检测系统(IDS)是一种实时网络入侵检测传感器，它能对外界各种可疑的网络活动进行识别及采取行动。IDS使用攻击特征库来识别过千种的网络攻击。同时LanGate将每次攻击记录到系统日志里，并根据设置发送报警邮件或短信给网络管理员。

垃圾邮件过滤防毒功能 包括:

 对 SMTP服务器的 IP进行黑白名单的识别

 垃圾邮件指纹识别

 实时黑名单技术

 对所有的邮件信息病毒扫描

 带宽控制(QoS)

LanGate为网络管理者提供了监测和管理网络带宽的手段，可以按照用户的需求对带宽进行控制，以防止带宽资源的不正常消耗，从而使网络在不同的应用中合理分配带宽，保证重要服务的正常运行。带宽管理可自定义优先级，确保对于流量要求苛刻的企业，最大限度的满足网络管理的需求。

 系统报表和系统自动警告

LanGate系统内置详细直观的报表，对网络安全进行全方位的实时统计,用户可以自定义阀值，所有超过阀值的事件将自动通知管理管理人员，通知方式有 Email 及短信方式(需结合短信网关使用)。

 多链路双向负载均衡

提供了进出流量的多链路负载均衡，支持自动检测和屏蔽故障多出口链路，同时还支持多种静态和动态算法智能均衡多个ISP链路的流量。支持多链路动态冗余，流量比率和智能切换;支持基于每条链路限制流量大小;支持多种DNS解析和规划方式，适合各种用户网络环境;支持防火墙负载均衡。

3.2. LanGate产品优势

 提供完整的网络保护。

 提供高可靠的网络行为监控。

 保持网络性能的基础下，消除病毒和蠕虫的威胁。

 基于专用的硬件体系，提供了高性能和高可靠性。

 用户策略提供了灵活的网络分段和策略控制能力。

 提供了HA高可用端口，保证零中断服务。

 强大的系统报表和系统自动警告功能。

 多种管理方式:SSH、SNMP、WEB。基于WEB(GUI)的配置界面提供了中/英文语言支持。

3.3. LANGATE公司简介

总部位于法国的LANGATE集团公司，创立于1998年，致力于统一网络安全方案及产品的研发，早期作为专业IT安全技术研发机构，专门从事IT综合型网络安全设备及方案的研究。如今，LANGATE已经成为欧洲众多UTM、防火墙、VPN品牌的OEM厂商及专业研发合作伙伴，并在IT安全技术方面领先同行，为全球各地区用户提供高效安全的网络综合治理方案及产品。

专利的LanGate® UTM在专用高效安全硬件平台上集成了Firewall(防火墙)、VPN(虚拟专用网络)、Content Filtering(内容过滤，又称上网行为监管)、IPS(Intruction Prevention System，即入侵检测系统)、QoS(Quality of Services，即流量管理)、Anti-Spam (反垃圾邮件)、Anti-Virus (防病毒网关)及 Wireless Connectivity (无线接入认证)技术。

LANGATE在全球范围内推广UTM整体网络安全解决方案，销售网络遍及全球30多个国家及地区。LANGATE的产品服务部门遍布各地子公司及各地认可合作伙伴、ISPs、分销渠道、认证VARs、认可SIs，为全球用户提供专业全面的IT安全服务。

⑦ 如何构建网络安全战略体系

网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电，以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁（APT）的犯罪团伙，以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全（例如应用安全和狭义的网络安全）至关重要。

安全应该成为整个企业的首要考虑因素，且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白，所有的系统都是按照一定的安全标准建立起来的，且员工都需要经过适当的培训。例如，所有代码都可能存在漏洞，其中一些漏洞还是关键的安全缺陷。毕竟，开发者也只是普通人而已难免出错。

安全培训

人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码，培训操作人员优先考虑强大的安全状况，培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之，网络安全始于意识。

然而，即便是有强大的网络安全控制措施，所有企业还是难逃遭遇某种网络攻击的威胁。攻击者总是利用最薄弱的环节，但是其实只要通过执行一些基本的安全任务——有时被称为“网络卫生”，很多攻击都是可以轻松防护的。外科医生不洗手决不允许进入手术室。同样地，企业也有责任执行维护网络安全的基本要求，例如保持强大的身份验证实践，以及不将敏感数据存储在可以公开访问的地方。

然而，一个好的网络安全战略需要的却不仅仅是这些基本实践。技术精湛的黑客可以规避大多数的防御措施和攻击面——对于大多数企业而言，攻击者入侵系统的方式或“向量”数正在不断扩张。例如，随着信息和现实世界的日益融合，犯罪分子和国家间谍组织正在威胁物理网络系统的ICA，如汽车、发电厂、医疗设备，甚至你的物联网冰箱。同样地，云计算的普及应用趋势，自带设备办公（BYOD）以及物联网（IoT）的蓬勃发展也带来了新的安全挑战。对于这些系统的安全防御工作变得尤为重要。

网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》（GDPR）这样严格的监管框架还要求赋予新的角色，以确保组织能够满足GDPR和其他法规对于隐私和安全的合规要求。

如此一来，对于网络安全专业人才的需求开始进一步增长，招聘经理们正在努力挑选合适的候选人来填补职位空缺。但是，对于目前这种供求失衡的现状就需要组织能够把重点放在风险最大的领域中。

网络安全类型

网络安全的范围非常广，但其核心领域主要如下所述，对于这些核心领域任何企业都需要予以高度的重视，将其考虑到自身的网络安全战略之中：

1.关键基础设施

关键基础设施包括社会所依赖的物理网络系统，包括电网、净水系统、交通信号灯以及医院系统等。例如，发电厂联网后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查，以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施，在遭遇网络攻击后会对他们自身造成的影响进行评估，然后制定应急计划。

2.网络安全（狭义）

网络安全要求能够防范未经授权的入侵行为以及恶意的内部人员。确保网络安全通常需要权衡利弊。例如，访问控制（如额外登录）对于安全而言可能是必要的，但它同时也会降低生产力。

用于监控网络安全的工具会生成大量的数据，但是由于生成的数据量太多导致经常会忽略有效的告警。为了更好地管理网络安全监控，安全团队越来越多地使用机器学习来标记异常流量，并实时生成威胁警告。

3.云安全

越来越多的企业将数据迁移到云中也会带来新的安全挑战。例如，2017年几乎每周都会报道由于云实例配置不当而导致的数据泄露事件。云服务提供商正在创建新的安全工具，以帮助企业用户能够更好地保护他们的数据，但是需要提醒大家的是：对于网络安全而言，迁移到云端并不是执行尽职调查的灵丹妙药。

4.应用安全

应用程序安全（AppSec），尤其是Web应用程序安全已经成为最薄弱的攻击技术点，但很少有组织能够充分缓解所有的OWASP十大Web漏洞。应用程序安全应该从安全编码实践开始，并通过模糊和渗透测试来增强。

应用程序的快速开发和部署到云端使得DevOps作为一门新兴学科应运而生。DevOps团队通常将业务需求置于安全之上，考虑到威胁的扩散，这个关注点可能会发生变化。

5.物联网（IoT）安全

物联网指的是各种关键和非关键的物理网络系统，例如家用电器、传感器、打印机以及安全摄像头等。物联网设备经常处于不安全的状态，且几乎不提供安全补丁，这样一来不仅会威胁到用户，还会威胁到互联网上的其他人，因为这些设备经常会被恶意行为者用来构建僵尸网络。这为家庭用户和社会带来了独特的安全挑战。

网络威胁类型

常见的网络威胁主要包括以下三类：

保密性攻击

很多网络攻击都是从窃取或复制目标的个人信息开始的，包括各种各样的犯罪攻击活动，如信用卡欺诈、身份盗窃、或盗取比特币钱包。国家间谍也将保密性攻击作为其工作的重要部分，试图获取政治、军事或经济利益方面的机密信息。

完整性攻击

一般来说，完整性攻击是为了破坏、损坏、摧毁信息或系统，以及依赖这些信息或系统的人。完整性攻击可以是微妙的——小范围的篡改和破坏，也可以是灾难性的——大规模的对目标进行破坏。攻击者的范围可以从脚本小子到国家间谍组织。

可用性攻击

阻止目标访问数据是如今勒索软件和拒绝服务（DoS）攻击最常见的形式。勒索软件一般会加密目标设备的数据，并索要赎金进行解密。拒绝服务（DoS）攻击（通常以分布式拒绝服务攻击的形式）向目标发送大量的请求占用网络资源，使网络资源不可用。

这些攻击的实现方式：

1.社会工程学

如果攻击者能够直接从人类身上找到入口，就不能大费周章地入侵计算机设备了。社会工程恶意软件通常用于传播勒索软件，是排名第一的攻击手段（而不是缓冲区溢出、配置错误或高级漏洞利用）。通过社会工程手段能够诱骗最终用户运行木马程序，这些程序通常来自他们信任的和经常访问的网站。持续的用户安全意识培训是对抗此类攻击的最佳措施。

2.网络钓鱼攻击

有时候盗取别人密码最好的方法就是诱骗他们自己提供，这主要取决于网络钓鱼攻击的成功实践。即便是在安全方面训练有素的聪明用户也可能遭受网络钓鱼攻击。这就是双因素身份认证（2FA）成为最佳防护措施的原因——如果没有第二个因素（如硬件安全令牌或用户手机上的软件令牌认证程序），那么盗取到的密码对攻击者而言将毫无意义。

3.未修复的软件

如果攻击者对你发起零日漏洞攻击，你可能很难去责怪企业，但是，如果企业没有安装补丁就好比其没有执行尽职调查。如果漏洞已经披露了几个月甚至几年的时间，而企业仍旧没有安装安全补丁程序，那么就难免会被指控疏忽。所以，记得补丁、补丁、补丁，重要的事说三遍！

4.社交媒体威胁

“Catfishing”一词一般指在网络环境中对自己的情况有所隐瞒，通过精心编造一个优质的网络身份，目的是为了给他人留下深刻印象，尤其是为了吸引某人与其发展恋爱关系。不过，Catfishing可不只适用于约会场景。可信的“马甲”账户能够通过你的LinkedIn网络传播蠕虫。如果有人非常了解你的职业联系方式，并发起与你工作有关的谈话，您会觉得奇怪吗?正所谓“口风不严战舰沉”，希望无论是企业还是国家都应该加强重视社会媒体间谍活动。

5.高级持续性威胁（APT）

其实国家间谍可不只存在于国家以及政府组织之间，企业中也存在此类攻击者。所以，如果有多个APT攻击在你的公司网络上玩起“捉迷藏”的游戏，请不要感到惊讶。如果贵公司从事的是对任何人或任何地区具有持久利益的业务，那么您就需要考虑自己公司的安全状况，以及如何应对复杂的APT攻击了。在科技领域，这种情况尤为显着，这个充斥着各种宝贵知识产权的行业一直令很多犯罪分子和国家间谍垂涎欲滴。

网络安全职业

执行强大的网络安全战略还需要有合适的人选。对于专业网络安全人员的需求从未像现在这样高过，包括C级管理人员和一线安全工程师。虽然公司对于数据保护意识的提升，安全部门领导人已经开始跻身C级管理层和董事会。现在，首席安全官（CSO）或首席信息安全官（CISO）已经成为任何正规组织都必须具备的核心管理职位。

此外，角色也变得更加专业化。通用安全分析师的时代正在走向衰落。如今，渗透测试人员可能会将重点放在应用程序安全、网络安全或是强化网络钓鱼用户的安全防范意识等方面。事件响应也开始普及全天制（724小时）。以下是安全团队中的一些基本角色：

1.首席信息安全官／首席安全官

首席信息安全官是C级管理人员，负责监督一个组织的IT安全部门和其他相关人员的操作行为。此外，首席信息安全官还负责指导和管理战略、运营以及预算，以确保组织的信息资产安全。

2.安全分析师

安全分析师也被称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师。这一角色通常具有以下职责:

计划、实施和升级安全措施和控制措施；

保护数字文件和信息系统免受未经授权的访问、修改或破坏；

维护数据和监控安全访问；

执行内／外部安全审计；

管理网络、入侵检测和防护系统；分析安全违规行为以确定其实现原理及根本原因；

定义、实施和维护企业安全策略；

与外部厂商协调安全计划；

3.安全架构师

一个好的信息安全架构师需要能够跨越业务和技术领域。虽然该角色在行业细节上会有所不同，但它也是一位高级职位，主要负责计划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这就需要安全架构师能够全面了解企业的业务，及其技术和信息需求。

4.安全工程师

安全工程师的工作是保护公司资产免受威胁的第一线。这项工作需要具备强大的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位，其重点在于IT基础设施中的质量控制。这包括设计、构建和防护可扩展的、安全和强大的系统；运营数据中心系统和网络；帮助组织了解先进的网络威胁；并帮助企业制定网络安全战略来保护这些网络。

⑧ 网络安全的关键技术有哪些

一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的：信息态咐尘只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：
执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。
但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

二.防火墙枝术

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络帆禅进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客简歼侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。
2、 设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：
允许任何服务除非被明确禁止；
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、 Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、 建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求：
√ 计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。
√ 增加的需要，如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时，对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因：
√ Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√ 公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。
√ Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1) 安全性：即是否通过了严格的入侵测试。
(2) 抗攻击能力：对典型攻击的防御能力
(3) 性能：是否能够提供足够的网络吞吐能力
(4) 自我完备能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力

三.病毒防护技术

病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。
我们将病毒的途径分为：
(1 ) 通过FTP，电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播，主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下：
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新，并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。

四.入侵检测技术

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类：
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：
上述模型由四个部分组成：
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点：
(1) 精确，可以精确地判断入侵事件。
(2) 高级，可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点：
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式：
(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是：
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度，防欺骗能力。
(5) 模式更新速度。

五.安全扫描技术

网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。

六. 认证和数宇签名技术

认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面：
(1) 路由器认证，路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于：
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。

⑨ 讨论校园网系统的安全性如何保证

校园网网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。
一、网络信息安全系统设计原则

目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，设计时应遵循如下思想：

(1)大幅度地提高系统的安全性和保密性；

(2)保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；

(3)易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

(4)尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；

(5)安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；

(6)安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。

基于上述思想，网络信息安全系统应遵循如下设计原则：

满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。

--第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。

--第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。

--第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。

需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。

可用性原则安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。

分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

二、网络信息安全系统设计步骤

网络安全需求分析

确立合理的目标基线和安全策略

明确准备付出的代价

制定可行的技术方案

工程实施方案(产品的选购与定制)

制定配套的法规、条例和管理办法

本方案主要从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全强度的校园网网络信息安全解决方案。

三、网络安全需求

确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲，校园网网络信息系统需要解决如下安全问题：

局域网LAN内部的安全问题，包括网段的划分以及VLAN的实现

在连接Internet时，如何在网络层实现安全性

应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵

如何实现广域网信息传输的安全保密性

加密系统如何布置，包括建立证书管理中心、应用系统集成加密等

如何实现远程访问的安全性

如何评价网络系统的整体安全性

基于这些安全问题的提出，网络信息系统一般应包括如下安全机制：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。