网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

网络安全类型

  运行系统安全,即保证信息处理和传输系统的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。
  网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。
  网络上信息传播安全,即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。
  网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。

网络安全特征

  网络安全应具有以下四个方面的特征:
  保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
  完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
  可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
  可控性:对信息的传播及内容具有控制能力。

安全产品分类

  1、物理安全
  针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放绝密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对存有重要数据库且有实时性服务要求的服务器必须采用UPS不间断稳压电源,且数据库服务器采用双机热备份,数据迁移等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。
  2、系统安全
  对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用权限进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。
  应用系统安全上,主要考虑身份鉴别和审计跟踪记录。这必须加强登录过程的身份认证,通过设置复杂些的口令,确保用户使用的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。我们认为采用的入侵检测系统可以对进出网络的所有访问进行很好的监测、响应并作记录。
  3、防火墙
  防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的隔离,达到有效的控制对网络访问的作用。
  3.1省中心与各下级机构的隔离与访问控制
  防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;
  防火墙可以针对协议、端口号、时间、流量等条件实现安全的访问控制。
  防火墙具有很强的记录日志的功能,可以对您所要求的策略来记录所有不安全的访问行为。
  3.2公开服务器与内部其它子网的隔离与访问控制
  利用防火墙可以做到单向访问控制的功能,仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器,而公开服务器不可以主动发起对内部网络的访问,这样,假如公开服务器造受攻击,内部网由于有防火墙的保护,依然是安全的。
  4、加密
  目前,网络运营商所开展的×××业务类型一般有以下三种:
  1.拨号×××业务(VPDN)2.专线×××业务3.MPLS的×××业务
  移动互连网络×××业务应能为用户提供拨号×××、专线×××服务,并应考虑MPLS×××业务的支持与实现。
  ×××业务一般由以下几部分组成:
  (1)业务承载网络(2)业务管理中心(3)接入系统(4)用户系统
  我们认为实现电信级的加密传输功能用支持×××的路由设备实现是现阶段最可行的办法。
  5、安全评估系统
  网络系统存在安全漏洞(如安全配置不严密等)、操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。并且,随着网络的升级或新增应用服务,网络或许会出现新的安全漏洞。因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并且要经常使用,对扫描结果进行分析审计,及时采取相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。
  6、入侵检测系统
  在许多人看来,有了防火墙,网络就安全了,就可以高枕无忧了。其实,这是一种错误的认识,防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但它是静态的,而网络安全是动态的、整体的,黑客的攻击方法有无数,防火墙不是万能的,不可能完全防止这些有意或无意的攻击。必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。入侵检测系统和防火墙配合使用,这样可以实现多重防护,构成一个整体的、完善的网络安全保护系统。
  7、防病毒系统
  针对防病毒危害性极大并且传播极为迅速,必须配备从服务器到单机的整套防病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护。并且由于新病毒的出现比较快,所以要求防病毒系统的病毒代码库的更新周期必须比较短。
  8、数据备份系统
  安全不是绝对的,没有哪种产品的可以做到百分之百的安全,但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份,通过网络备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上,并把磁带与机房隔离保存于安全位置。如果遇到系统来重受损时,可以利用灾难恢复系统进行快速恢复。
  9、安全管理体制
  安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现。因些必须在电信部门系统内根据自身的应用与安全需求,制定安全管理制度并严格按执行,并通过安全知识及法律常识的培训,加强整体员工的自身安全意识及防范外部入侵的安全技术。

安全目标

  通过以上对网络安全风险分析及需求分析,再根据需求配备相应安全设备,采用上述方案,我们认为一个电信网络应该达到如下的安全目标:
  建立一套完整可行的网络安全与网络管理策略并加强培训,提高整体人员的安全意识及反黑技术。
  利用防火墙实现内外网或不信任域之间的隔离与访问控制并作日志;
  通过防火墙的一次性口令认证机制,实现远程用户对内部网访问的细粒度访问控制;
  通过入侵检测系统全面监视进出网络的所有访问行为,及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日志;
  通过网络及系统的安全扫描系统检测网络安全漏洞,减少可能被黑客利用的不安全因素;
  利用全网的防病毒系统软件,保证网络和主机不被病毒的侵害;
  备份与灾难恢复---强化系统备份,实现系统快速恢复;
TDS网络安全产品
  网络安全产品TDS是由安天实验室推出的一款多维度智能主机安全检查系统,它是针对内网计算机进
  行全面的安全保密检查及精准的安全等级判定的软件系统,并有着强有力的内网安全检测分析能力和修复
  能力。具有操作简单、检查全面、快速分级、检查日志、例外排除等诸多特点,TDS主机安检系统解决了
  扫描过程漫长、排查隐患不合理、问题定位不精确、扫描缺乏深度、安全结论模糊等一系列业内技术难题
  。目前已申请了数十项专利技术,是堪当重任的风险评估、等保评估与系统全网安全隐患检查工具。
  快捷的检测操作
  TDS软件界面操作简易,入手快速,常规检测只需一键即可快速完成,大大提高检测人员检测效率与
  时间,节省检测人员熟悉软件的多余培训成本,节省企业在定级检查中的时间车标和人力成本。
  高性能的检测能力
  TDS检测通过提取Windows关键机制,包括系统服务、注册表、启动进程;挖掘Windows的安全模型,
  包括访问控制、特权和审计;检查系统内部结构,包括检查与进程、线程和作业相关的敏感行为;分析
  Windows虚拟内存和物理内存;诊断Windows文件系统访问问题,驱动程序、引导问题等多种系统深度信息
  ,为检测结论提供了更加可靠可信的结论。
  多维度的检测角度
  TDS能提取近百个检测点分析,具有漏洞扫描探测、操作系统信息采集与分析、日志分析、木马检查
  、安全攻击仿真、网络协议分析、系统性能压力、渗透测试、安全配置检查、进程查看分析、数据恢复取
  证(涉密定制)、网络行为分析等多个维度评判计算机安全性能的能力,评判结果全面实用
  灵活的检测设置
  TDS支持检测模块开关与检测点开关,可以根据检测环境灵活配置应需检测方案。
  自动生成标准检测报告
  TDS能够根据测评结果自动生成测评报告,无须再次人工制作输入大量表单信息。所有报告均自动保
  存,可以随时通过日志调取查阅。
  应用丰富服务用户
  在TDS的服务模式上,安天实验室博取众长推陈出新,推出了面向用户的产品研发、工程、生产、集
  成和支持一体化的服务模式。用户的直接获益就是只需面对单一厂商单一接口,简化管理流程,降低应用
  成本。此外针对用户在特色行业检查和定制检查方面的特定需求,安天实验室还特别提供检测点高级定制
  服务,以及指定专门的高级软件开发工程师负责支持应用的移植优化工作。

ASM网络安全产品

  盈高科技网络安全产品ASM是一款基于最先进的第三代准入控制技术的纯硬件产品,秉承“不改变网络、不装客户端”的特性,为您解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范,满足等级保护对网络边界、主机保护的相应要求,同时提供更高效的、智能式的网络防护功能。
  落实管理规范
  ASM 针对不同的行业,提供了一套具有行业特性的规范模版,并以此模版为依据,通过系统,落实在管理手段上;
  全网风险掌控
  ASM 通过对全网设备的安检及修复情况进行汇总分析,提供一目了然的管理界面;
  实名控制接入
  对内部及外来设备接入的管理,通过采用基于第三代的网络准入控制技术,无需安装客户端,不改动网络,实现实名制,进行统一的注册管理和友好引导;
  多种安全检查
  ASM将管理规范落实到系统安检中,对经过注册后准许入网的设备,需通过ASM的规范检查,满足入网要求;
  一键式修复
  ASM能对不合规的设备进行一键式修复,面对大量电脑知识一般的终端用户,使修复工作傻瓜化,轻松化;
  IP/MAC绑定
  ASM能通过简单有效的方式,对IP/MAC进行有效的绑定管理;
  智能式补丁
  ASM的补丁分发系统是目前最简单、有效补丁检测、修复系统,有四个特点:
  1)无需客户端,通过IE浏览器即可实现打补丁
  2)5秒内检测,采用优化过的引擎“基于安全策略可配置引擎”(国家科技部创新基金编号-09C26223301274)
  3)专业的补丁分析团队,为客户提供专业测评过的补丁分级安装策略,确保补丁一定有效
  4)一键傻瓜式修复,前端使用人员无需干涉
  有别于传统模式
  ASM有别于一般的管理系统,不改变网络,无需安装客户端,大大降低维护量;经过大量客户应用实践,取得上佳口碑。