E S E T N O D32整体解决方案实现的主要功能 (12)
3.4.2方案特点 (12)
4E S E T N O D32防病毒服务体系 (13)
4.1E S E T N O D32厂商提供售服务 (13)
4.2本地化售后服务………………………………………………………1 4 1 网络安全概述
1.1 什么是网络安全
计算机安全事业始于本世纪60 年代末期,由于当时计算机的速度和性能较落后,使用的范围也不广,再加上美国政府把它当作敏感问题而施加控制,因此,有关计算机安全的研究一直局限在比较小的范围内。进入80 年代后,计算机的性能得到了成百上千倍的提高,应用的范围也在不断扩大,计算机已遍及世界各个角落。并且,人们利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但是,随之而来并日益严峻的问题就是计算机信息的安全问题。
由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。计算机安全的内容应包括两方面:即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。一个系统存在的安全问题可能主要来源于两方面:或者是安全控制机构有故障;或者是系统安全定义有缺陷。
1.2 网络安全的威胁来自哪些方面
由于大型网络系统内运行多种网络协议(TCP/IP,IPX/SPX,NETBEUI),而这些网络协议并非专为安全通讯而设计。所以,网络系统网络可能存在的安全威胁来自以下方面:
操作系统的安全性:目前流行的许多操作系统均存在网络安全漏洞,如UNIX 服务器,NT 服务器及Windows 桌面PC。
采用的TCP/IP 协议族软件,本身缺乏安全性。
防火墙的安全性:防火墙产品自身是否安全,是否设置错误,需要经过检验。来自内
部网用户的安全威胁。
缺乏有效的手段监视、评估网络系统的安全性。
未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX 控件进行有效控制。
应用服务的安全:许多应用服务系统在访问控制及安全通讯方面考虑较少,
并且,如果系统设置错误,很容易造成损失。
1.3 安全体系设计范畴
1.3.1物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;
设备安全:包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电
源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
1.3.2链路安全
链路安全主要解决网络系统中,链路级点对点公用信道上的安全。因此在公共链路上采用一定的安全手段可以保证信息传输的安全,对抗通信链路上的窃听、篡改、重放、流量分析等攻击。
链路加密是解决链路安全的主要手段,而链路加密主要依靠链路加密机(如
DDN 链路加密机)实现。
1.3.3网络安全
网络系统是一个广域网络系统,具有如下特点:
作为专用网络,主要为下属各级部门提供数据库服务、日常办公、管理服务及往来文电信信息的处理、传输与存储等业务。通过与Internet 或国内其它网络互连,可以使工作人员访问、利用国内外各种信息资源,进一步加强国内国际使用,并进一步加强同上级主管部门及地方政府之间的相互联系。基于网络的这些特
点,本方案主要从网络层次考虑,将网络系统网络系统内各局域网边界的安全,可使用防火墙的访问控制功能来完成。同时,如果使用支持多网段划
分的防火墙,可同时实现局域网内部各网段的隔离与访问控制。
网络与其它网络如因特网互连的安全,要使用防火墙来实现二者的隔离与访问控制。同时,建议网络系统的重要主机或服务器的地址使用Internet 保留地址,并有统一的地址和域名分配办法,这样一方面解决合法IP 不足的问题,另一方面,利用Internet 无法对保留地址进行路由的特点,杜绝与Internet 直接互连。
1.3.4信息安全
主要涉及到用户身份鉴别、信息传输的安全、信息存储的安全以及对网络传输信息内容的审计等几方面。
信息传输安全
对于在网络系统内信息传输的安全,根据其实际需求与安全强度的不同,可以有多种解决方案。如链路层加密方案、IP层加密方案、应用层加密解决方案等。
信息存储安全
在网络系统中存储的信息主要包括纯粹的数据信息和各种功能信息两大类。对纯数据信息的安全保护,以数据库信息的保护最为典型。而对各种功能文件的保护,终端安全很重要。为确保这些数据的安全,在网络信息安全系统的设计中必须包括以下内容:
1. 数据备份和恢复工具
2. 数据访问控制措施
3. 用户的身份鉴别与权限控制
4. 数据机密性保护措施,如密文存储
5. 数据完整性保护措施
6. 防止非法软盘拷贝和硬盘启动
7. 防病毒
8. 备份数据的安全保护
9.信息审计
针对网络系统,在系统内容纳了很多敏感或涉密信息。如果这些信息被有意或无意中泄漏出去,将会产生严重的后果。另外由于与Internet 的互连,不可避免地使一些不良信息流入。为防止与追查网上机密信
息的泄漏行为,并防止不良信息的流入,可在网络系统与Internet 的连接处,对进出网络的信息流实施内
容审计。
1.4防病毒系统总体规划
防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、系统漏洞侦测等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。
在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的企业网病毒防护体系。
1.4.1 构建控管中心集中管理架构
保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新,同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被系统管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。
1.4.2 构建全方位、多层次的防毒体系
