| 出版日期:2002-11-25 总期号:1171 本年期号:88 |
|
 |
瑞星构建健康的企业网
防病毒+防火墙+IDS 某石油企业拥有全国最大的企业网之一、由一个一级网和22个二级网、30000多台终端组成,而且每一个二级网都有多个三级交换网。网络层次多、结构复杂、应用繁多,涉及网络管理的人员、责任单位情况不一。要制定一个企业范围内统一管理、有效运作的网络安全解决方案绝非易事。 某石油企业网安全需求分析 该石油网络目前从内部至Internet并没有做相关的安全措施,特别是核心区和互联区都存在较大的安全隐患,病毒泛滥、黑客攻击、信息丢失、服务被拒绝等,一旦发生任何一事对企业的网络而言都是致命性的。作为该石油企业的信息安全顾问,瑞星从网络安全的整体理念出发,针对该石油网络的结构及特点确定了以下几个必须考虑的安全防护要点: 网络病毒的防范 在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通讯和电子邮件的感染上来。其传播速度极快、破坏力更强。据统计一个新病毒从一台计算机出发仅六个小时就能感染全球互联网机器。网络一旦被病毒侵入而发作,将会对重要数据的安全、网络环境的正常运行带来严重的危害。所以防止计算机病毒是计算机网络安全工作的重要环节。 网络安全隔离 为了各行业间、部门之间加强业务联系以及信息化建设都需要网络和网络之间互联,交流信息、信息共享等措施,给企事业单位的工作带来极大的便利,同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以网络之间进行有效的安全隔离是必须的。 网络监控措施 网间隔离起边缘区保护作用,无法防备内部不满者攻击行为。往往内部来的攻击比外部攻击更具有致命性。在不影响网络正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。从网络监控中得到统计信息来确定网络安全规范及安全风险评估。 
智能升级方式 上图和左图中虚线部分智能升级路线,瑞星采用自行研制的断点续传技术下载升级包,智能分析原文件和更新文件之间的差异,避免重复下载,使升级速度快而可靠。 网络安全漏洞 该石油企业网络拥有WWW、邮件、域、视频等服务器,还有重要的数据库服务器,对于非专业人员来说,无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞,因此需要借助漏洞扫描工具定期扫描,及时发现问题,及时解决,消除此安全隐患。 四点编织安全的网 针对以上若干个防范目标,瑞星为该石油企业确定了以下四个网络安全防护体系: 1. 使用瑞星杀毒软件网络版,该产品具备全网杀毒的设计理念,可以做到全面彻底的网络保护,不给病毒留下任何安全死角,任何生存空间。 2. 使用瑞星企业级防火墙,进行安全隔离,保护内网安全,防止来自外部的恶意破坏,同时加强内网的访问控制管理。 3. 使用瑞星入侵检测系统,实时进行有效的网络监控,调整网络资源分配,及时发现不正常数据包,并根据安全策略原则进行处理,并以互动方式提供给防火墙,更改防火墙应用策略,确保网络系统的安全。 
瑞星杀毒网络版结构 4. 使用瑞星漏洞扫描工具,定期对网络和主机进行扫描,定期做风险评估,及时发现漏洞,及时解决。 网络防毒方案 该石油企业的所有机器通过局域网进行通讯。而现在很多网络病毒可以通过局域网进行传播,其传播速度快,破坏能力强。其简单的单机版杀毒软件无法胜任整个网络病毒有效防范,人力、物力需要大量的工作。如一台机器感染病毒,很短时间就能感染整个网络。而网络版则可以有效地控制病毒在局域网内的二次传播。 系统中心是整个瑞星网络防病毒系统的信息管理和病毒防护的自动控制核心。它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息。同时,根据控制台的设置,实现对整个防护系统的自动控制。系统中心还负责保障其他子系统间的正常通讯。 服务器端是专门为网络服务器设计的防病毒子系统。它承担着对当前服务器上病毒的实时监控、检测和清除任务,同时自动向系统中心报告病毒监测情况。 客户端是专门为网络工作站(客户机)设计的防病毒子系统。它承担着对当前工作站上病毒的实时监控、检测和清除任务,同时自动向瑞星系统中心报告病毒监测情况。 控制台是为网络管理员专门设计的,是整个瑞星网络防病毒系统设置、使用、控制和升级的集中管理平台。它集中管理网络上所有已安装过瑞星网络版服务器端或客户端的计算机,远程控制各计算机的查毒、杀毒、时实监控和升级,同时实现对系统中心的管理。 瑞星杀毒软件网络版采用分布式体系,结构清晰明了,管理维护方便。在网络中任何一台安装了瑞星管理员控制台的计算机上,可实现对整个网络上所有计算机的集中管理,清楚地掌握整个网络环境中各个节点的病毒监测状态,既方便了维护人员,又最大程度地减少了整个网络中的安全漏洞。 防火墙实施方案 根据该石油网络整体安全考虑,采用两台瑞星防火墙安排在互连区,即Internet与企业内网的接口处和业务网与企业内网的接口处。配置方案如下: 一防火墙对业务网与企业内网进行隔离,另一防火墙对Internet与企业内网之间进行隔离,其中WWW,域名等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。 防火墙设置原则如下所示: 1.建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问。 2.火墙1的DMZ区访问控制,则只打开服务必须的HTTP、FTP、SMTP、POP3以及所需的其他服务。防范外部来的拒绝服务攻击。 3.办公网用户进行流量控制,进行时间安全规则变化策略,控制内网用户访问外网时间。 4.防火墙设置IP地址MAC地址绑定,防目IP地址期骗。 5.定期查看防火墙访问日志。 6.对防火墙的管理员权限严格控制。 入侵检测系统方案 瑞星入侵检测RIDS-100运行在专门的工作站上,对网络入侵进行检测和响应。时刻监视着网络中发生的每次连接,并将其忠实地记录到数据库中,供管理员查询和分析。 RIDS-100将内外网之间的连接情况实时地捕获下来,并以动态图形方式展现出来,使管理员能够时刻掌握当前内外网之间正在进行的连接和访问情况。它还实时分析出不同应用协议的网络流速,并以曲线图的形式展示最近两小时的流速变化,为网络管理和故障诊断提供了强有力的工具。 RIDS-100可以提供强大的网络统计功能,它可以从多个层面详细地统计和记录内外网的连接和流量情况,并可根据管理员的要求生成各种形式的统计分析报表。 RIDS-100实时捕获内外网之间传输的所有数据,运用协议分析和模式匹配方法,可以有效地识别各种网络攻击和异常现象,如拒绝服务攻击,非授权访问尝试,预攻击探测等;当攻击发生时,可根据管理员的配置以多种方式发出实时报警,如通知管理员主机、发送Email、通知防火墙等。对于严重的网络入侵事件,也可由入侵检测引擎直接发出阻断信号切断发生攻击的连接。 服 务 一 统 瑞星公司不仅为该石油企业提供了全面的解决方案,一流的产品技术,更为用户提供了强大的售后服务体系。24小时反病毒专家紧急救援,可以在第一时间出现在现场,并解决难题;瑞星技术工程师还为企业内部的网络管理人员及普通员工提供了专业的反病毒和产品的培训,通过专业的培训使其内部员工对反病毒的意识和产品的使用达到一个全新的层次;7x24小时不间断免费8008106010热线,无论在什么时候遇到问题都可以得到瑞星工程师的技术响应。瑞星这一系列的售后服务措施,使用户在使用当中感觉亲切踏实。 |
||||||||||||||||||||||||||||
