高慶芳

【摘 要】當(dāng)前在全球范圍內(nèi)，計算機病毒進入網(wǎng)絡(luò)時代后無孔不入，互聯(lián)網(wǎng)安全威脅問題愈演愈烈。網(wǎng)絡(luò)安全將面臨服務(wù)器端的變形 、客制化加殼技術(shù)、特定應(yīng)用的“點殺”技術(shù)、季節(jié)性的流行網(wǎng)站攻擊、“眾包”模式新的五大威脅。單一的安全防護技術(shù)并不足以構(gòu)筑一個安全的網(wǎng)絡(luò)安全體系，多種技術(shù)的綜合應(yīng)用才能夠控制安全風(fēng)險。

【關(guān)鍵詞】信息；病毒；網(wǎng)絡(luò)攻擊；安全

0 引言

當(dāng)前在全球范圍內(nèi)，計算機病毒進入網(wǎng)絡(luò)時代后無孔不入，互聯(lián)網(wǎng)安全威脅問題愈演愈烈。各種病毒、木馬等惡意程序變種速度快，傳播范圍小，且更加隱蔽，目的性更強，已經(jīng)成為了當(dāng)前病毒的主旋律。網(wǎng)絡(luò)安全將面臨服務(wù)器端的變形 、客制化加殼技術(shù)、特定應(yīng)用的“點殺”技術(shù)、季節(jié)性的流行網(wǎng)站攻擊、“眾包”模式新的五大威脅。在網(wǎng)絡(luò)安全的實際應(yīng)用中，單一的安全防護技術(shù)并不足以構(gòu)筑一個安全的網(wǎng)絡(luò)安全體系，多種技術(shù)的綜合應(yīng)用才能夠?qū)踩L(fēng)險控制在盡量小的范圍內(nèi)。合理部署傳統(tǒng)防火墻、ips入侵防御系統(tǒng)、防毒墻、上網(wǎng)行為管理器、桌面殺毒軟件，融合各種安全技術(shù)，防范于未然。

1 傳統(tǒng)防火墻

一般而言，安全防范體系具體實施的第一項內(nèi)容就是在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑一道防線，以抵御來自外部的絕大多數(shù)攻擊，完成這項任務(wù)的網(wǎng)絡(luò)邊防產(chǎn)品我們稱其為防火墻。類似于建筑大廈中用于防止火災(zāi)蔓延的隔斷墻，Internet 防火墻是一個或一組實施訪問控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡(luò)（相當(dāng)于內(nèi)部網(wǎng)絡(luò)）和不可信任網(wǎng)絡(luò)（相當(dāng)于外部網(wǎng)絡(luò)）之間的訪問通道，以防止外部網(wǎng)絡(luò)的危險蔓延到內(nèi)部網(wǎng)絡(luò)上。防火墻是一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪用來保護內(nèi)部網(wǎng)絡(luò)。其功能：在互聯(lián)網(wǎng)接口處提供安全保護措施，防止外部入侵；對服務(wù)器進行保護，不僅防止來自互聯(lián)網(wǎng)的攻擊，也可以防止內(nèi)部員工利用內(nèi)網(wǎng)對服務(wù)器進行攻擊；構(gòu)建VPN，解決總部和分支機構(gòu)間的互聯(lián)互通和移動辦公需求，合作伙伴、在家辦公的員工、出差在外的員工可以在企業(yè)之外訪問公司的內(nèi)部網(wǎng)絡(luò)資源；通過安全檢查，過濾包含非法內(nèi)容的網(wǎng)頁，郵件，F(xiàn)TP；帶寬管理，確保即使在網(wǎng)絡(luò)出現(xiàn)擁堵時；重要部門也能夠快速、便捷、順暢、優(yōu)先上網(wǎng)；對員工上網(wǎng)進行管理，防止他們在上班時間利用網(wǎng)絡(luò)做與工作無關(guān)的事，而且控制策略多種多樣；控制策略可以做到基于人而不是基于電腦；控制策略還可以基于時間。在某個時間段以外就不能上網(wǎng)；可以限制每臺主機，每個網(wǎng)段的并發(fā)連接數(shù)。

2 IPS入侵防御系統(tǒng)

近年來企業(yè)所面臨的安全問題越來越復(fù)雜，安全威脅正在飛速增長，尤其混合威脅的風(fēng)險，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)、DDoS 、攻擊、垃圾郵件、網(wǎng)絡(luò)資源濫用（P2P 下載、IM 即時通訊、網(wǎng)游、視頻）等，極大地困擾著用戶，給企業(yè)的信息網(wǎng)絡(luò)造成嚴重的破壞。基于目前網(wǎng)絡(luò)安全形勢的嚴峻，入侵保護系統(tǒng)IPS（Intrusion Prevention System）作為新一代安全防護產(chǎn)品應(yīng)運而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品提供主動的、實時的防護，其設(shè)計目標旨在準確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進行實時阻斷，而不是簡單地在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。IPS 是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實現(xiàn)這一功能的，即IPS 接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內(nèi)部網(wǎng)絡(luò)。

此系統(tǒng)適于部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高單位的網(wǎng)絡(luò)出口處。

3 防毒墻

傳統(tǒng)的計算機病毒防范是在需要保護的計算機內(nèi)部建立反病毒系統(tǒng)，隨著網(wǎng)絡(luò)病毒的日益嚴重和各種網(wǎng)絡(luò)威脅的侵害，如何更好、有效地保護企業(yè)內(nèi)部網(wǎng)絡(luò)是當(dāng)前安全廠家、企業(yè)用戶都在關(guān)心的問題。從企業(yè)角度而言，如果能將病毒在通過服務(wù)器或公司內(nèi)部網(wǎng)關(guān)之前予以過濾，將是防病毒最有效的方法。防毒墻就滿足了這一要求。

防毒墻是集成了強大的網(wǎng)絡(luò)防殺病毒機制 網(wǎng)絡(luò)層狀態(tài)包過濾、敏感信息的加密傳輸和詳盡靈活的日志審計等多種安全技術(shù)于一身的硬件平臺。防毒墻在毀滅性病毒和蠕蟲病毒進入網(wǎng)絡(luò)前即在網(wǎng)絡(luò)邊緣進行全面掃描，防毒墻可用于獨立式邊緣病毒掃描結(jié)構(gòu)，同時，它也可以作為企業(yè)整體網(wǎng)絡(luò)防病毒的一個組成部分，建立網(wǎng)絡(luò)邊緣（網(wǎng)關(guān)）、客戶端和服務(wù)器三層病毒掃描架構(gòu)的立體網(wǎng)絡(luò)防病毒體系，是一個網(wǎng)絡(luò)一體安全解決方案的網(wǎng)絡(luò)安全產(chǎn)品。

防毒墻適用于各種復(fù)雜的網(wǎng)絡(luò)拓撲環(huán)境，可以根據(jù)用戶的不同需要，具備針對HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力，同時通過實施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強大的防火墻體系，不但可以保護內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯，同時可以阻止內(nèi)部用戶對外部不良資源的濫用。防毒墻從完整意義上解決了企業(yè)網(wǎng)絡(luò)防護和網(wǎng)絡(luò)邊緣殺毒的問題。

此設(shè)備適合部署在單位網(wǎng)絡(luò)邊緣 提供進出整個網(wǎng)絡(luò)的病毒查殺。

4 桌面殺毒管理

在客戶端安裝LANDesk進行監(jiān)控，Landesk管理軟件和安全套件為Landesk的旗艦產(chǎn)品，能幫助我們簡單方便的通過單一控制臺和單一數(shù)據(jù)庫全面主動的了解、管理、更新和保護所有桌面電腦、服務(wù)器、以及各種各樣的移動設(shè)備。并且可以允許我們通過單一控制臺同時使用Landesk資產(chǎn)管理器、Landesk系統(tǒng)管理器、Landesk應(yīng)用程序虛擬化、Landesk企業(yè)版防病毒軟件以及主機入侵防護系統(tǒng)等各種其它可選的產(chǎn)品功能。同時還能與Landesk流程管理器和Landesk服務(wù)器管理器集成使用。

Landesk管理軟件可以幫助我們詳細統(tǒng)計的所有終端軟硬件的信息，及時掌握全網(wǎng)IT軟硬件資源的每一個細節(jié)；使我們迅速方便的解決終端的故障，提高對可疑事件的定位精度和響應(yīng)速度；可以有效的降低故障的出現(xiàn)頻率，減輕I我們的工作強度，降低IT維護的成本；可以幫助我們限制終端的軟件非法使用及操作；可以幫助我們解決一些應(yīng)用軟件之間的相互沖突問題，降低維護軟件的復(fù)雜性；可以幫助我們解決現(xiàn)有應(yīng)用軟件對操作系統(tǒng)的依賴性，減少軟件升級帶來的成本增加。

5 上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理系統(tǒng)從網(wǎng)頁過濾、帶寬管理，流量控制、信息外發(fā)監(jiān)控（對Email、Webmail、BBS、IM等信息傳遞渠道的監(jiān)控能力）等方面對上網(wǎng)的人員進行管理。以達到健康、干凈的網(wǎng)絡(luò)?？梢越咕W(wǎng)絡(luò)發(fā)帖和網(wǎng)頁登陸郵箱，保護企業(yè)的內(nèi)部資料及知識產(chǎn)權(quán)。能過濾網(wǎng)址的關(guān)鍵字和文件后綴名，限制用戶下載某些類型的文件（例如EXE、BT種子文件等），減少病毒來源，提高網(wǎng)絡(luò)速度和工作效率。1.聊天及P2P軟件過濾：可以管制QQ＼MSN＼飛信＼SKYPE等聊天工具，允許例外的QQ號碼正常使用；有效限制BT＼迅雷＼PPLIVE＼電驢等P2P軟件、及炒股軟件，，防止帶寬被濫用。2.上網(wǎng)時間控制：可以對內(nèi)網(wǎng)用戶進行上網(wǎng)時間控制，合理安排各部門成員的上網(wǎng)時間?？稍O(shè)置每周上網(wǎng)時間，也能設(shè)置每天的上網(wǎng)時段。這個功能對于實現(xiàn)上網(wǎng)計費的需求極具擴展價值。3.郵件管理與監(jiān)控：對用戶使用郵件客戶端（例如OUTLOOK、FAXMAIL等）通過POP3/SMTP協(xié)議收發(fā)郵件時，進行收發(fā)郵件的鏡像和監(jiān)控。4.分組管理：通過IP 地址組來規(guī)劃局域網(wǎng)的組織結(jié)構(gòu)，好的規(guī)劃會使整個網(wǎng)絡(luò)架構(gòu)井然有序。為不同部門或級別的用戶分配不同的上網(wǎng)權(quán)限，并有效降低您的維護量。

6 Windows系統(tǒng)安全加固

使用Windows update安裝最新補??；更改密碼長度最小值、密碼最長存留期、密碼最短存留期、帳號鎖定計數(shù)器、帳戶鎖定時間、帳戶鎖定閥值，保障帳號以及口令的安全；卸載不需要的服務(wù)；將暫時不需要開放的服務(wù)停止；限制特定執(zhí)行文件的權(quán)限；設(shè)置主機審核策略；調(diào)整事件日志的大小、覆蓋策略；禁止匿名用戶連接；刪除主機管理共享；限制Guest用戶權(quán)限。

7 結(jié)束語

隨著科學(xué)技術(shù)的發(fā)展，計算機技術(shù)、網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到我們工作中的每一個角落，各網(wǎng)絡(luò)系統(tǒng)必須建立一個較為完整的集主動式入侵防御、防病毒、認證和訪問控制于一體的、針對內(nèi)部終端防御、外部安全威脅傳播以及數(shù)據(jù)的安全傳輸?shù)陌踩w系。

【參考文獻】

[1]周學(xué)廣，等.信息安全學(xué)[M].北京機械工業(yè)出版社，2003，3.

[2]高傳善，錢松榮，毛迪林.數(shù)據(jù)通信與計算機網(wǎng)絡(luò)[M].高等教育出版社，2007，1.

[3]馮元.計算機網(wǎng)絡(luò)安全基礎(chǔ)[M].北京科學(xué)出版社，2003，10.

[責(zé)任編輯：楊玉潔]