網絡安全基本任務?1 網絡安全概述随着計算機技術和網絡技術的發展，網絡成為信息高速公路，人們利用網絡來獲取和發布信息，處理和共享數據，随之而來的網絡信息安全問題日益突出，網絡協議本身的缺陷、計算機軟件的安全漏洞，對網絡安全的忽視給計算機網絡系統帶來極大的風險實際上，安全漏洞廣泛存在于網絡數據鍊路、網絡設備、主機操作系統和應用系統中據美國FBI統計，美國每年因網絡安全問題所造成的經濟損失高達75億美元，而全球平均每20秒鐘就發生一起Internet計算機侵入事件網絡防黑客、防病毒等安全問題已經引起各企業和事業機關的重視網絡安全系統面臨的安全問題主要有以下幾大類：，我來為大家科普一下關于網絡安全基本任務?以下内容希望對你有幫助!

網絡安全基本任務

1 網絡安全概述

随着計算機技術和網絡技術的發展，網絡成為信息高速公路，人們利用網絡來獲取和發布信息，處理和共享數據，随之而來的網絡信息安全問題日益突出，網絡協議本身的缺陷、計算機軟件的安全漏洞，對網絡安全的忽視給計算機網絡系統帶來極大的風險。實際上，安全漏洞廣泛存在于網絡數據鍊路、網絡設備、主機操作系統和應用系統中。據美國FBI統計，美國每年因網絡安全問題所造成的經濟損失高達75億美元，而全球平均每20秒鐘就發生一起Internet計算機侵入事件。網絡防黑客、防病毒等安全問題已經引起各企業和事業機關的重視。網絡安全系統面臨的安全問題主要有以下幾大類：

網絡黑客的入侵

計算機病毒四處泛濫

内部人員有意或無意的非法信息訪問和操作

網絡環境下的身份冒充

公共網絡傳輸中的數據被竊取或修改

此外，由于網絡規模的不斷擴大，複雜性不斷增加，異構性不斷提高，用戶對網絡性能要求的不斷提高，網絡管理也逐步成為網絡技術發展中一個極為關鍵的任務，對網絡的發展産生很大的影響，成為現代信息網絡中最重要的問題之一。如果沒有一個高效的網絡管理系統對網絡進行管理，就很難向廣大用戶提供令人滿意的服務。因此，找到一種使網絡運作更高效，更實用，更低廉的解決方案已成為每一個企業領導人和網絡管理人員的迫切要求。雖然其重要性已在各方面得到體現，并為越來越多的人所認識，可迄今為止，在網絡管理領域裡仍有許多漏洞和亟待完善的問題存在。

2 網絡安全系統的基本需求

将網絡所覆蓋的計算機全部安裝防病毒軟件，并加裝入侵檢測和漏洞掃描系統，将網絡系統進行多層防護；另一方面還要進一步加強網絡安全服務管理體系，以全面提高系統安全指數。

讓我們分析一下多層防護策略如何發揮作用。

如果網絡中的入侵檢測系統失效，防火牆、漏洞掃描和防病毒軟件還會起作用。配置合理的防火牆能夠在入侵檢測系統發現之前阻止最普通的攻擊。安全漏洞評估能夠發現漏洞并幫助清除這些漏洞。如果一個系統沒有安全漏洞，即使一個攻擊沒有被發現，那麼這樣的攻擊也不會成功。即使入侵檢測系統沒有發現已知病毒，防火牆沒能夠阻止病毒，安全漏洞檢測沒有清除病毒傳播途徑，防病毒軟件同樣能夠偵測這些病毒。所以，在使用了多層安全防護措施以後，企圖入侵信息系統的黑客要付出成數倍的代價才有可能達到入侵目的。這時，信息系統的安全系數得到了大大的提升。

根據大型網絡及應用系統的目前實際需求，其安全管理體系由以下部分組成：

◇ 防火牆：主要針對來源于外部的攻擊，隔離内外網，建立一個内部網和外部網之間的安全屏障，實施全網安全策略；

◇ 病毒防護系統：從桌面、服務器到Internet/Intranet網關的多級立體防病毒體系，使病毒無處藏身和進行破壞；

◇ 安全漏洞掃描：随時對網絡系統的各個環節包括操作系統到防火牆等各個環節提供可靠的安全分析結果，并提供網絡安全性分析報告等，以改善安全措施，加強防衛；

◇ 網絡檢測分析：對網絡中的數據進行包捕捉、解包分析、流量監測、發現及解決故障、專家系統建議以優化網絡系統；

将以上網絡安全産品結合起來，加上專門定制的安全策略和配置管理手段等，就構成了企業信息網絡的基本安全管理體系。通過以上的集成安全策略的實施，才可以有效地抵禦來源于網絡内部、外部的各種非法訪問及病毒威脅。

而今的業界，将漏洞掃描與入侵檢測互聯互動、搭配使用的技術趨勢已漸成氣候，而現今大多數網絡僅有防火牆，漏洞掃描與入侵檢測都還沒有部署，這會使内部用戶完全處在了防火牆的盲區，網絡對他們而言是沒有防範的，即是不安全的。外來用戶一旦發現了防火牆的漏洞，那麼整個網絡對他們也是通行無阻的。漏洞掃描與入侵檢測對網絡安全是必不可少的。要想有效的防範各種網絡威脅，就必須全面的部署網絡安全産品，任何層面的防範都不能少。

3.1 網絡防火牆系統

防火牆對網絡的安全起到了一定的保護作用，但并非萬無一失。在應用防火牆時應注意如下幾點：

1.正确選用、合理配置防火牆非常不容易防火牆作為網絡安全的一種防護手段，有多種實現方式。建立合理的防護系統，配置有效的防火牆應遵循這樣四個基本步驟：a.風險分析；b.需求分析；c.确立安全政策；d.選擇準确的防護手段，并使之與安全政策保持一緻。然而，多數防火牆的設立沒有或很少進行充分的風險分析和需求分析，而隻是根據不很完備的安全政策選擇了一種似乎能“滿足”需要的防火牆，這樣的防火牆能否“防火”還是個問題。

2.需要正确評估防火牆的失效狀态

評價防火牆性能如何及能否起到安全防護作用，不僅要看它工作是否正常，能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬迹，而且要看到一旦防火牆被攻破，它的狀态如何? 按級别來分，它應有這樣四種狀态：a.未受傷害能夠繼續正常工作；b.關閉并重新啟動，同時恢複到正常工作狀态；c.關閉并禁止所有的數據通行；d.關閉并允許所有的數據通行。 前兩種狀态比較理想，而第四種最不安全。但是許多防火牆由于沒有條件進行失效狀态測試和驗證，無法确定其失效狀态等級，因此網絡必然存在安全隐患。

3.防火牆必須進行動态維護

防火牆安裝和投入使用後，并非萬事大吉。要想充分發揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯系，時刻注視商家的動态。因為商家一旦發現其産品存在安全漏洞，就會盡快發布補救(Patch) 産品，此時應盡快确認真僞(防止特洛伊木馬等病毒)，并對防火牆軟件進行更新。

4.目前很難對防火牆進行測試驗證

防火牆能否起到防護作用，最根本、最有效的證明方法是對其進行測試，甚至站在“黑客”的角度采用各種手段對防火牆進行攻擊。

5.非法攻擊防火牆的基本“招數”

a.通常情況下，有效的攻擊都是從相關的子網進行的。因為這些網址得到了 防火牆的信賴，雖說成功與否尚取決于機遇等其他因素，但對攻擊者而言很值得一試。

b.破壞防火牆的另一種方式是攻擊與幹擾相結合。也就是在攻擊期間使防火牆始終處于繁忙的狀态。防火牆過分的繁忙有時會導緻它忘記履行安全防護的職能，處于失效狀态。

c.需要特别注意的是，防火牆也可能被内部攻擊。因為安裝了防火牆後，随意訪問被嚴格禁止了， 這樣内部人員無法在閑暇的時間通過Telnet浏覽郵件或使用FTP向外發送信息，個别人會對防火牆不滿進而可能攻擊它、破壞它，期望回到從前的狀态。這裡，攻擊的目标常常是防火牆或防火牆運行的操作系統，因此不僅涉及網絡安全，還涉及主機安全問題。

以上分析表明，防火牆的安全防護性能依賴的因素很多。防火牆并非萬能，它最多隻能防護經過其本身的非法訪問和攻擊，而對不經防火牆的訪問和攻擊則無能為力。從技術來講，繞過防火牆進入網絡并非不可能。目前大多數防火牆都是基于路由器的數據包分組過濾類型，社會上存在各種網絡外部或網絡内部攻擊防火牆的技術手段。

3.2 網絡入侵檢測系統

在傳統的網絡安全概念裡，似乎配置了防火牆就标志着網絡的安全，其實不然，從上面的分析可以看出，防火牆僅僅是部署在網絡邊界的安全設備，它的作用是防止外部的非法入侵，僅僅相當于計算機網絡的第一道防線。雖然通過防火牆可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到内部網絡；另外，據統計有70%以上的攻擊事件來自内部網絡，也就是說内部人員作案，而這恰恰是防火牆的盲區，而當今大部分網絡系統卻正是處在這種情況下運行的。入侵檢測系統(IDS)可以彌補防火牆的不足，為網絡安全提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤、恢複、斷開網絡連接等。

入侵檢測系統是實時的網絡違規自動識别和響應系統。它運行于敏感數據需要保護的網絡上，通過實時監聽網絡數據流，識别，記錄入侵和破壞性代碼流，尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問嘗試時，網絡信息安全檢測系統預警系統能夠根據系統安全策略做出反應。該系統可安裝于防火牆前後，可以對攻擊防火牆本身的數據流進行響應，同時可以對穿透防火牆進行攻擊的數據流進行響應。在被保護的局域網中，入侵檢測設備應安裝于易受到攻擊的服務器或防火牆附近。這些保護措施主要是為了監控經過出口及對重點服務器進行訪問的數據流。入侵檢測報警日志的功能是通過對所有對網絡系統有可能造成危害的數據流進行報警及響應。由于網絡攻擊大多來自于網絡的出口位置，入侵檢測在此處将承擔實時監測大量出入整個網絡的具有破壞性的數據流。這些數據流引起的報警日志，是作為受到網絡攻擊的主要證據。

3.3 漏洞掃描系統

網絡的應用越來越廣泛，而網絡不可避免的安全問題也就越來越突出，如今，每天都有數十種有關操作系統、網絡軟件、應用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統；另外，由于管理員的疏忽或者技術水平的限制造成的配置漏洞也是廣泛存在的，這對于系統的威脅同樣很嚴重。

動态安全的概念是：幫助管理員主動發現問題。最有效的方法是定期對網絡系統進行安全性分析，及時發現并修正存在的弱點和漏洞，保證系統的安全性。因此所有的網絡系統需要一套幫助管理員監控網絡通信數據流、發現網絡漏洞并解決問題的工具，以保證整體網

絡系統平台安全。

3.4 動态防禦與響應

随着網絡脆弱性的改變和威脅攻擊技術的發展，使網絡安全變成了一個動态的過程，靜止不變的産品根本無法适應網絡安全的需要。同時由于單一的安全産品對安全問題的發現處理控制等能力各有優劣，因此不同安全産品之間的安全互補，可以提高系統對安全事件響應的準确性和全面性，使防護體系由靜态到動态，由平面到立體，不僅增強了入侵檢測系統的響應能力，降低了入侵檢測的誤報率，充分發揮了入侵檢測的作用，同時提升了防火牆的機動性和實時反應能力。因此，入侵檢測系統的動态防禦應實現入侵檢測和防火牆、入侵檢測和漏洞掃描的聯動。

與防火牆聯動

入侵檢測系統可以進行簡單的針對TCP連接的阻斷，對于網絡上的錯綜複雜的攻擊事件，入侵檢測系統的防護效果還是不夠全面。防火牆作為網絡系統的專用的安全防護工具，其防護能力較入侵檢測産品，要全面和有效。所以，建議使用入侵檢測系統與防火牆聯動方式，來實現對目标網絡的整體防護。

當入侵檢測系統檢測到此攻擊事件時，會實時的傳送一個防護策略給防火牆，由防火牆實現實時的入侵阻斷。在入侵檢測系統中部署的入侵檢測設備可以同網絡系統中的防火牆通過互聯協議實現聯動。當入侵檢測設備檢測到入侵行為後可以直接由防火牆實施切斷攻擊行動。

與漏洞掃描系統聯動

入侵檢測在發現攻擊行為的同時，發出指令通知漏洞掃描系統，對被攻擊目标機或攻擊源進行掃描，來确認攻擊源的存在和被攻擊機系統存在的漏洞，以做到主動防禦。

同時，通過獲得掃描結果，使IDS系統的事件報警更加準确，提高IDS系統的運行效率。同時，也讓管理員動态了解了網絡系統内服務器的安全狀況，為制定入侵檢測系統策略提供依據。

3.5 網絡防病毒系統

網絡防病毒系統是在原有單機防病毒基礎上發展而來。目前，優秀的網絡防病毒系統應該能夠在各個層面上對病毒進行檢測和清除。

在當前網絡系統中由于涉及大量桌面操作交互，我們建議采用兩層防病毒體系來實現對網絡系統的病毒防護。

Mail網關防病毒系統部署

服務器防病毒部署

客戶端防病毒部署

另外，對于網絡内部手提電腦的防病毒問題，由于手提電腦不經常聯入網絡，因此在它沒有連接到網絡的時候，無法向管理員進行實時報警，也不能将染毒的相關信息馬上上報到管理服務器上，但是當手提電腦安裝防病毒軟件的客戶端，重新聯入網絡時，會将尚未上報的染毒的相關信息彙總上報到管理服務器上，因此，管理員總是能得到相關消息。

以上三類防病毒産品的選擇上，要遵循同一廠商産品的原則，以方便管理員的管理。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!