高慶芳

【摘 要】當(dāng)前在全球范圍內(nèi)，計(jì)算機(jī)病毒進(jìn)入網(wǎng)絡(luò)時(shí)代后無(wú)孔不入，互聯(lián)網(wǎng)安全威脅問(wèn)題愈演愈烈。網(wǎng)絡(luò)安全將面臨服務(wù)器端的變形 、客制化加殼技術(shù)、特定應(yīng)用的“點(diǎn)殺”技術(shù)、季節(jié)性的流行網(wǎng)站攻擊、“眾包”模式新的五大威脅。單一的安全防護(hù)技術(shù)并不足以構(gòu)筑一個(gè)安全的網(wǎng)絡(luò)安全體系，多種技術(shù)的綜合應(yīng)用才能夠控制安全風(fēng)險(xiǎn)。

【關(guān)鍵詞】信息；病毒；網(wǎng)絡(luò)攻擊；安全

0 引言

當(dāng)前在全球范圍內(nèi)，計(jì)算機(jī)病毒進(jìn)入網(wǎng)絡(luò)時(shí)代后無(wú)孔不入，互聯(lián)網(wǎng)安全威脅問(wèn)題愈演愈烈。各種病毒、木馬等惡意程序變種速度快，傳播范圍小，且更加隱蔽，目的性更強(qiáng)，已經(jīng)成為了當(dāng)前病毒的主旋律。網(wǎng)絡(luò)安全將面臨服務(wù)器端的變形 、客制化加殼技術(shù)、特定應(yīng)用的“點(diǎn)殺”技術(shù)、季節(jié)性的流行網(wǎng)站攻擊、“眾包”模式新的五大威脅。在網(wǎng)絡(luò)安全的實(shí)際應(yīng)用中，單一的安全防護(hù)技術(shù)并不足以構(gòu)筑一個(gè)安全的網(wǎng)絡(luò)安全體系，多種技術(shù)的綜合應(yīng)用才能夠?qū)踩L(fēng)險(xiǎn)控制在盡量小的范圍內(nèi)。合理部署傳統(tǒng)防火墻、ips入侵防御系統(tǒng)、防毒墻、上網(wǎng)行為管理器、桌面殺毒軟件，融合各種安全技術(shù)，防范于未然。

1 傳統(tǒng)防火墻

一般而言，安全防范體系具體實(shí)施的第一項(xiàng)內(nèi)容就是在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑一道防線，以抵御來(lái)自外部的絕大多數(shù)攻擊，完成這項(xiàng)任務(wù)的網(wǎng)絡(luò)邊防產(chǎn)品我們稱其為防火墻。類似于建筑大廈中用于防止火災(zāi)蔓延的隔斷墻，Internet 防火墻是一個(gè)或一組實(shí)施訪問(wèn)控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡(luò)（相當(dāng)于內(nèi)部網(wǎng)絡(luò)）和不可信任網(wǎng)絡(luò)（相當(dāng)于外部網(wǎng)絡(luò)）之間的訪問(wèn)通道，以防止外部網(wǎng)絡(luò)的危險(xiǎn)蔓延到內(nèi)部網(wǎng)絡(luò)上。防火墻是一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。其功能：在互聯(lián)網(wǎng)接口處提供安全保護(hù)措施，防止外部入侵；對(duì)服務(wù)器進(jìn)行保護(hù)，不僅防止來(lái)自互聯(lián)網(wǎng)的攻擊，也可以防止內(nèi)部員工利用內(nèi)網(wǎng)對(duì)服務(wù)器進(jìn)行攻擊；構(gòu)建VPN，解決總部和分支機(jī)構(gòu)間的互聯(lián)互通和移動(dòng)辦公需求，合作伙伴、在家辦公的員工、出差在外的員工可以在企業(yè)之外訪問(wèn)公司的內(nèi)部網(wǎng)絡(luò)資源；通過(guò)安全檢查，過(guò)濾包含非法內(nèi)容的網(wǎng)頁(yè)，郵件，F(xiàn)TP；帶寬管理，確保即使在網(wǎng)絡(luò)出現(xiàn)擁堵時(shí)；重要部門也能夠快速、便捷、順暢、優(yōu)先上網(wǎng)；對(duì)員工上網(wǎng)進(jìn)行管理，防止他們?cè)谏习鄷r(shí)間利用網(wǎng)絡(luò)做與工作無(wú)關(guān)的事，而且控制策略多種多樣；控制策略可以做到基于人而不是基于電腦；控制策略還可以基于時(shí)間。在某個(gè)時(shí)間段以外就不能上網(wǎng)；可以限制每臺(tái)主機(jī)，每個(gè)網(wǎng)段的并發(fā)連接數(shù)。

2 IPS入侵防御系統(tǒng)

近年來(lái)企業(yè)所面臨的安全問(wèn)題越來(lái)越復(fù)雜，安全威脅正在飛速增長(zhǎng)，尤其混合威脅的風(fēng)險(xiǎn)，如黑客攻擊、蠕蟲(chóng)病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)、DDoS 、攻擊、垃圾郵件、網(wǎng)絡(luò)資源濫用（P2P 下載、IM 即時(shí)通訊、網(wǎng)游、視頻）等，極大地困擾著用戶，給企業(yè)的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞?；谀壳熬W(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻，入侵保護(hù)系統(tǒng)IPS（Intrusion Prevention System）作為新一代安全防護(hù)產(chǎn)品應(yīng)運(yùn)而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品提供主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。IPS 是通過(guò)直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即IPS 接收到外部數(shù)據(jù)流量時(shí)，如果檢測(cè)到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。

此系統(tǒng)適于部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高單位的網(wǎng)絡(luò)出口處。

3 防毒墻

傳統(tǒng)的計(jì)算機(jī)病毒防范是在需要保護(hù)的計(jì)算機(jī)內(nèi)部建立反病毒系統(tǒng)，隨著網(wǎng)絡(luò)病毒的日益嚴(yán)重和各種網(wǎng)絡(luò)威脅的侵害，如何更好、有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)是當(dāng)前安全廠家、企業(yè)用戶都在關(guān)心的問(wèn)題。從企業(yè)角度而言，如果能將病毒在通過(guò)服務(wù)器或公司內(nèi)部網(wǎng)關(guān)之前予以過(guò)濾，將是防病毒最有效的方法。防毒墻就滿足了這一要求。

防毒墻是集成了強(qiáng)大的網(wǎng)絡(luò)防殺病毒機(jī)制 網(wǎng)絡(luò)層狀態(tài)包過(guò)濾、敏感信息的加密傳輸和詳盡靈活的日志審計(jì)等多種安全技術(shù)于一身的硬件平臺(tái)。防毒墻在毀滅性病毒和蠕蟲(chóng)病毒進(jìn)入網(wǎng)絡(luò)前即在網(wǎng)絡(luò)邊緣進(jìn)行全面掃描，防毒墻可用于獨(dú)立式邊緣病毒掃描結(jié)構(gòu)，同時(shí)，它也可以作為企業(yè)整體網(wǎng)絡(luò)防病毒的一個(gè)組成部分，建立網(wǎng)絡(luò)邊緣（網(wǎng)關(guān)）、客戶端和服務(wù)器三層病毒掃描架構(gòu)的立體網(wǎng)絡(luò)防病毒體系，是一個(gè)網(wǎng)絡(luò)一體安全解決方案的網(wǎng)絡(luò)安全產(chǎn)品。

防毒墻適用于各種復(fù)雜的網(wǎng)絡(luò)拓?fù)洵h(huán)境，可以根據(jù)用戶的不同需要，具備針對(duì)HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力，同時(shí)通過(guò)實(shí)施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系，不但可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯，同時(shí)可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用。防毒墻從完整意義上解決了企業(yè)網(wǎng)絡(luò)防護(hù)和網(wǎng)絡(luò)邊緣殺毒的問(wèn)題。

此設(shè)備適合部署在單位網(wǎng)絡(luò)邊緣 提供進(jìn)出整個(gè)網(wǎng)絡(luò)的病毒查殺。

4 桌面殺毒管理

在客戶端安裝LANDesk進(jìn)行監(jiān)控，Landesk管理軟件和安全套件為L(zhǎng)andesk的旗艦產(chǎn)品，能幫助我們簡(jiǎn)單方便的通過(guò)單一控制臺(tái)和單一數(shù)據(jù)庫(kù)全面主動(dòng)的了解、管理、更新和保護(hù)所有桌面電腦、服務(wù)器、以及各種各樣的移動(dòng)設(shè)備。并且可以允許我們通過(guò)單一控制臺(tái)同時(shí)使用Landesk資產(chǎn)管理器、Landesk系統(tǒng)管理器、Landesk應(yīng)用程序虛擬化、Landesk企業(yè)版防病毒軟件以及主機(jī)入侵防護(hù)系統(tǒng)等各種其它可選的產(chǎn)品功能。同時(shí)還能與Landesk流程管理器和Landesk服務(wù)器管理器集成使用。

Landesk管理軟件可以幫助我們?cè)敿?xì)統(tǒng)計(jì)的所有終端軟硬件的信息，及時(shí)掌握全網(wǎng)IT軟硬件資源的每一個(gè)細(xì)節(jié)；使我們迅速方便的解決終端的故障，提高對(duì)可疑事件的定位精度和響應(yīng)速度；可以有效的降低故障的出現(xiàn)頻率，減輕I我們的工作強(qiáng)度，降低IT維護(hù)的成本；可以幫助我們限制終端的軟件非法使用及操作；可以幫助我們解決一些應(yīng)用軟件之間的相互沖突問(wèn)題，降低維護(hù)軟件的復(fù)雜性；可以幫助我們解決現(xiàn)有應(yīng)用軟件對(duì)操作系統(tǒng)的依賴性，減少軟件升級(jí)帶來(lái)的成本增加。

5 上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理系統(tǒng)從網(wǎng)頁(yè)過(guò)濾、帶寬管理，流量控制、信息外發(fā)監(jiān)控（對(duì)Email、Webmail、BBS、IM等信息傳遞渠道的監(jiān)控能力）等方面對(duì)上網(wǎng)的人員進(jìn)行管理。以達(dá)到健康、干凈的網(wǎng)絡(luò)?？梢越咕W(wǎng)絡(luò)發(fā)帖和網(wǎng)頁(yè)登陸郵箱，保護(hù)企業(yè)的內(nèi)部資料及知識(shí)產(chǎn)權(quán)。能過(guò)濾網(wǎng)址的關(guān)鍵字和文件后綴名，限制用戶下載某些類型的文件（例如EXE、BT種子文件等），減少病毒來(lái)源，提高網(wǎng)絡(luò)速度和工作效率。1.聊天及P2P軟件過(guò)濾：可以管制QQ＼MSN＼飛信＼SKYPE等聊天工具，允許例外的QQ號(hào)碼正常使用；有效限制BT＼迅雷＼PPLIVE＼電驢等P2P軟件、及炒股軟件，，防止帶寬被濫用。2.上網(wǎng)時(shí)間控制：可以對(duì)內(nèi)網(wǎng)用戶進(jìn)行上網(wǎng)時(shí)間控制，合理安排各部門成員的上網(wǎng)時(shí)間?？稍O(shè)置每周上網(wǎng)時(shí)間，也能設(shè)置每天的上網(wǎng)時(shí)段。這個(gè)功能對(duì)于實(shí)現(xiàn)上網(wǎng)計(jì)費(fèi)的需求極具擴(kuò)展價(jià)值。3.郵件管理與監(jiān)控：對(duì)用戶使用郵件客戶端（例如OUTLOOK、FAXMAIL等）通過(guò)POP3/SMTP協(xié)議收發(fā)郵件時(shí)，進(jìn)行收發(fā)郵件的鏡像和監(jiān)控。4.分組管理：通過(guò)IP 地址組來(lái)規(guī)劃局域網(wǎng)的組織結(jié)構(gòu)，好的規(guī)劃會(huì)使整個(gè)網(wǎng)絡(luò)架構(gòu)井然有序。為不同部門或級(jí)別的用戶分配不同的上網(wǎng)權(quán)限，并有效降低您的維護(hù)量。

6 Windows系統(tǒng)安全加固

使用Windows update安裝最新補(bǔ)丁；更改密碼長(zhǎng)度最小值、密碼最長(zhǎng)存留期、密碼最短存留期、帳號(hào)鎖定計(jì)數(shù)器、帳戶鎖定時(shí)間、帳戶鎖定閥值，保障帳號(hào)以及口令的安全；卸載不需要的服務(wù)；將暫時(shí)不需要開(kāi)放的服務(wù)停止；限制特定執(zhí)行文件的權(quán)限；設(shè)置主機(jī)審核策略；調(diào)整事件日志的大小、覆蓋策略；禁止匿名用戶連接；刪除主機(jī)管理共享；限制Guest用戶權(quán)限。

7 結(jié)束語(yǔ)

隨著科學(xué)技術(shù)的發(fā)展，計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到我們工作中的每一個(gè)角落，各網(wǎng)絡(luò)系統(tǒng)必須建立一個(gè)較為完整的集主動(dòng)式入侵防御、防病毒、認(rèn)證和訪問(wèn)控制于一體的、針對(duì)內(nèi)部終端防御、外部安全威脅傳播以及數(shù)據(jù)的安全傳輸?shù)陌踩w系。

【參考文獻(xiàn)】

[1]周學(xué)廣，等.信息安全學(xué)[M].北京機(jī)械工業(yè)出版社，2003，3.

[2]高傳善，錢松榮，毛迪林.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)[M].高等教育出版社，2007，1.

[3]馮元.計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M].北京科學(xué)出版社，2003，10.

[責(zé)任編輯：楊玉潔]