之一:以实用为原则
最近国内出了一系列网络安全事件,主要的目标都是网站,从中我们可以看出,目前我国网络环境还存在脆弱性。我们作为国内专业网络信息安全公司,给用户方案的建议是,尽量使用简单、实用的方案构建安全体系,一切以实用为原则。
针对网站架构,网站安全问题主要分为以下四个方面:服务器安全、边界安全、Internet和Extranet上的安全。在攻击行为发生前,做到防患于未然是预防措施的关键,防火墙系统是网站安全的第一道防线,它可以过滤并阻挡许多攻击行为的发生。中科网威的“长城”防火墙结合了包过滤和代理服务两种主要的防火墙技术,从网络层到应用层都提供了完善的防护机制。NAT功能,能够隐藏局域网内部的网络拓扑,并解决IP资源不足的问题;身份认证系统,使授权用户能够安全地使用防火墙提供的服务;DMZ功能,可对公用服务器进行保护;完善的日志管理和报警机制,为管理员提供了有效的监控手段,防止非法入侵的发生。
有了防火墙,仅仅是防范措施的第一步,仍需要其它手段与措施的配合。网络安全扫描及漏洞检测系统的工作原理是,把自己当作一名黑客,来探测网络上每台主机乃至路由器的各种漏洞,若发现问题,可以给出报告,并针对性给出修补措施和安全建议,它是从网络上对各种节点设备进行扫描的软件;系统安全扫描评估软件,是通过Manager/Agent形式从系统里面来扫描系统漏洞及不安全设置的软件等薄弱环节,发现问题提出警告并给出修补建议和安全措施。
中科网威“火眼”网络安全评估系统(Net_Scanner)主要用于评估用户整个网络系统的安全状况,考察系统的安全性。现有火眼For Windows与火眼For Linux两个版本。中科网威“天眼”网络入侵侦测系统(N_IDS)是专门针对网络遭受非法入侵等问题而设计的产品,它可通过网络嗅探引擎和安全服务中心对网络内流动的数据包进行获取和分析处理,发现网络攻击行为或者不符合用户自定义策略的操作,及时报警并阻断其攻击,从而实时地进行入侵防御。中科网威网络安全扫描、漏洞检测系统和系统安全扫描评估软件双剑合壁,一个从外,一个从内非常详细地扫描网络和系统内部漏洞。它们都有非常强大的报表功能,能将网络和系统漏洞一一列表,并且给出最佳解决方法。这两项产品均通过了国家信息安全测评中心和解放军信息安全认证中心的认证。
动态口令系统将系统的口令变成动态的,用户每次登录系统的口令都不同,这样可以防止口令被非法窃取;UNIX策略管理系统、Unix资源管理系统能将UNIX系统变得更加安全可靠;而PKI是一个提供用户认证和防止传输数据被非法修改的系统架构;邮件过滤器是一个基于强大的过滤功能的邮件系统过滤器,它可以挡住很多基于邮件的进攻;VPN技术的实施使信息在通过网络的传输过程中更加安全可靠。
所有这些措施,均可增强网站安全防范和抗攻击破坏的能力,增强网站的安全性能,做到防患于未然。
