高庆芳
【摘 要】当前在全球范围内,计算机病毒进入网络时代后无孔不入,互联网安全威胁问题愈演愈烈。网络安全将面临服务器端的变形 、客制化加壳技术、特定应用的“点杀”技术、季节性的流行网站攻击、“众包”模式新的五大威胁。单一的安全防护技术并不足以构筑一个安全的网络安全体系,多种技术的综合应用才能够控制安全风险。
【关键词】信息;病毒;网络攻击;安全
0 引言
当前在全球范围内,计算机病毒进入网络时代后无孔不入,互联网安全威胁问题愈演愈烈。各种病毒、木马等恶意程序变种速度快,传播范围小,且更加隐蔽,目的性更强,已经成为了当前病毒的主旋律。网络安全将面临服务器端的变形 、客制化加壳技术、特定应用的“点杀”技术、季节性的流行网站攻击、“众包”模式新的五大威胁。在网络安全的实际应用中,单一的安全防护技术并不足以构筑一个安全的网络安全体系,多种技术的综合应用才能够将安全风险控制在尽量小的范围内。合理部署传统防火墙、ips入侵防御系统、防毒墙、上网行为管理器、桌面杀毒软件,融合各种安全技术,防范于未然。
1 传统防火墙
一般而言,安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线,以抵御来自外部的绝大多数攻击,完成这项任务的网络边防产品我们称其为防火墙。类似于建筑大厦中用于防止火灾蔓延的隔断墙,Internet 防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。其功能:在互联网接口处提供安全保护措施,防止外部入侵;对服务器进行保护,不仅防止来自互联网的攻击,也可以防止内部员工利用内网对服务器进行攻击;构建VPN,解决总部和分支机构间的互联互通和移动办公需求,合作伙伴、在家办公的员工、出差在外的员工可以在企业之外访问公司的内部网络资源;通过安全检查,过滤包含非法内容的网页,邮件,FTP;带宽管理,确保即使在网络出现拥堵时;重要部门也能够快速、便捷、顺畅、优先上网;对员工上网进行管理,防止他们在上班时间利用网络做与工作无关的事,而且控制策略多种多样;控制策略可以做到基于人而不是基于电脑;控制策略还可以基于时间。在某个时间段以外就不能上网;可以限制每台主机,每个网段的并发连接数。
2 IPS入侵防御系统
近年来企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS 、攻击、垃圾邮件、网络资源滥用(P2P 下载、IM 即时通讯、网游、视频)等,极大地困扰着用户,给企业的信息网络造成严重的破坏。基于目前网络安全形势的严峻,入侵保护系统IPS(Intrusion Prevention System)作为新一代安全防护产品应运而生。网络入侵防御系统作为一种在线部署的产品提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS 是通过直接串联到网络链路中而实现这一功能的,即IPS 接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
此系统适于部署在具有重要业务系统或内部网络安全性、保密性较高单位的网络出口处。
3 防毒墙
传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统,随着网络病毒的日益严重和各种网络威胁的侵害,如何更好、有效地保护企业内部网络是当前安全厂家、企业用户都在关心的问题。从企业角度而言,如果能将病毒在通过服务器或公司内部网关之前予以过滤,将是防病毒最有效的方法。防毒墙就满足了这一要求。
防毒墙是集成了强大的网络防杀病毒机制 网络层状态包过滤、敏感信息的加密传输和详尽灵活的日志审计等多种安全技术于一身的硬件平台。防毒墙在毁灭性病毒和蠕虫病毒进入网络前即在网络边缘进行全面扫描,防毒墙可用于独立式边缘病毒扫描结构,同时,它也可以作为企业整体网络防病毒的一个组成部分,建立网络边缘(网关)、客户端和服务器三层病毒扫描架构的立体网络防病毒体系,是一个网络一体安全解决方案的网络安全产品。
防毒墙适用于各种复杂的网络拓扑环境,可以根据用户的不同需要,具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。防毒墙从完整意义上解决了企业网络防护和网络边缘杀毒的问题。
此设备适合部署在单位网络边缘 提供进出整个网络的病毒查杀。
4 桌面杀毒管理
在客户端安装LANDesk进行监控,Landesk管理软件和安全套件为Landesk的旗舰产品,能帮助我们简单方便的通过单一控制台和单一数据库全面主动的了解、管理、更新和保护所有桌面电脑、服务器、以及各种各样的移动设备。并且可以允许我们通过单一控制台同时使用Landesk资产管理器、Landesk系统管理器、Landesk应用程序虚拟化、Landesk企业版防病毒软件以及主机入侵防护系统等各种其它可选的产品功能。同时还能与Landesk流程管理器和Landesk服务器管理器集成使用。
Landesk管理软件可以帮助我们详细统计的所有终端软硬件的信息,及时掌握全网IT软硬件资源的每一个细节;使我们迅速方便的解决终端的故障,提高对可疑事件的定位精度和响应速度;可以有效的降低故障的出现频率,减轻I我们的工作强度,降低IT维护的成本;可以帮助我们限制终端的软件非法使用及操作;可以帮助我们解决一些应用软件之间的相互冲突问题,降低维护软件的复杂性;可以帮助我们解决现有应用软件对操作系统的依赖性,减少软件升级带来的成本增加。
5 上网行为管理系统
上网行为管理系统从网页过滤、带宽管理,流量控制、信息外发监控(对Email、Webmail、BBS、IM等信息传递渠道的监控能力)等方面对上网的人员进行管理。以达到健康、干净的网络。可以禁止网络发帖和网页登陆邮箱,保护企业的内部资料及知识产权。能过滤网址的关键字和文件后缀名,限制用户下载某些类型的文件(例如EXE、BT种子文件等),减少病毒来源,提高网络速度和工作效率。1.聊天及P2P软件过滤:可以管制QQ\MSN\飞信\SKYPE等聊天工具,允许例外的QQ号码正常使用;有效限制BT\迅雷\PPLIVE\电驴等P2P软件、及炒股软件,,防止带宽被滥用。2.上网时间控制:可以对内网用户进行上网时间控制,合理安排各部门成员的上网时间。可设置每周上网时间,也能设置每天的上网时段。这个功能对于实现上网计费的需求极具扩展价值。3.邮件管理与监控:对用户使用邮件客户端(例如OUTLOOK、FAXMAIL等)通过POP3/SMTP协议收发邮件时,进行收发邮件的镜像和监控。4.分组管理:通过IP 地址组来规划局域网的组织结构,好的规划会使整个网络架构井然有序。为不同部门或级别的用户分配不同的上网权限,并有效降低您的维护量。
6 Windows系统安全加固
使用Windows update安装最新补丁;更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;卸载不需要的服务;将暂时不需要开放的服务停止;限制特定执行文件的权限;设置主机审核策略;调整事件日志的大小、覆盖策略;禁止匿名用户连接;删除主机管理共享;限制Guest用户权限。
7 结束语
随着科学技术的发展,计算机技术、网络技术已经渗透到我们工作中的每一个角落,各网络系统必须建立一个较为完整的集主动式入侵防御、防病毒、认证和访问控制于一体的、针对内部终端防御、外部安全威胁传播以及数据的安全传输的安全体系。
【参考文献】
[1]周学广,等.信息安全学[M].北京机械工业出版社,2003,3.
[2]高传善,钱松荣,毛迪林.数据通信与计算机网络[M].高等教育出版社,2007,1.
[3]冯元.计算机网络安全基础[M].北京科学出版社,2003,10.
[责任编辑:杨玉洁]