引论:我们为您整理了13篇网站防护解决方案范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
# yum install -y mod_ssl (默认yum安装httpd是没有安装该模块的,安装后自动生产/etc/httpd/conf.d/ssl.conf文件)
2.3 证书设计
使用命令产生一个自签名的证书。首先,生成2048位的加密私钥。
# openssl genrsa -out ca.key 2048
[root@300second certs]# make server.csr(建立服务器密钥)
建立服务器证书
#openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365
#chmod 400 server.*(修改权限为400,只有拥有者可读的权限)
把创建的证书文件复制到对应目录
# cp server.crt /etc/pki/tls/certs/
# cp server.key /etc/pki/tls/private/
# cp server.csr /etc/pki/tls/private/
3 方案实施
3.1设置SSL配置Apache支持https
# vim /etc/httpd/conf.d/ssl.conf(修改SSL的设置文件,制定站点https访问时的相关信息)
# vim /etc/httpd/conf/httpd.conf (配置网站支持https)
NameVirtualHost *:443
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/private/server.key
ServerAdmin
DocumentRoot /var/www/html/
ServerName
3.2设置Apache在系统启动中运行
#chkconfig C-levels 235 httpd on(设置apache服务开机立即启动)
#/etc/init.d/httpd start 或service httpd start(启动服务)
3.3强制Apache Web服务器始终使用HTTPS
如果由于某种原因,公司需要站点的Web服务器仅使用HTTPS,服务器需要将所有HTTP请求(端口80)重定向到HTTPS(端口443)。
1)强制网站使用HTTPS访问,需要在虚拟主机中添加如下语句:
# vim /etc/httpd/conf/httpd.conf
ServerName :80
Redirect permanent / https://
2)强制虚拟主机使用HTTPS,需要在虚拟主机中添加如下语句:
# vim /etc/httpd/conf/httpd.conf
ServerName
Redirect permanent / https:///
3)重启服务#service httpd restart 或#/etc/init.d/httpd restart
总之,站点存在用户注册登录、购买支付等交互时,HTTPS访问是大家一直推崇的访问方式,可以提供服务器的安全性。另外,服务器SSL证书也可根据自己需求去选择各种不同的SSL证书。
篇2
在信息化迅猛发展的今天,金融网络化、电子化已经是不可抗拒的大势,许多银行已经在网络开设了重要应用。而相应的,各种木马、病毒、钓鱼、僵尸网络等安全威胁也接踵而来。据国家互联网应急中心的统计数据显示,2012年,中国内地共有近3.5万家网站被黑客挂马、篡改,仿造银行业务网站的钓鱼网站层出不穷。这些被篡改和挂马网站只是信息安全冰山上的小小一角,通过标准的漏洞扫描工具检测就会发现,超过90%的Web应用程序存在安全漏洞,国内绝大部分银行网站都存在或多或少的安全问题。这些安全问题不仅会给银行带来巨大的经营风险,导致难以估量的经济损失,而且会严重影响银行形象,妨碍电子银行和网上银行工作的正常开展,造成危害更大的社会影响。
为了应对这些安全问题,网站安全需求也在不断的变化和增长。传统的安全防护方案是由用户购买并部署反病毒软件、防火墙、入侵检测等一系列安全设备,不仅成本高昂,对于运营、配置、维护也有着较高的要求,而安全防护的木桶理论又决定了一旦某个环节有所疏漏,整个安全防护体系都会功亏一篑。
传统网站安全解决方案的缺点有:成本高昂、部署麻烦、维护困难,存在带宽瓶颈,串接设备若发生故障影响整个网络。
2.研究内容
本文的主要研究内容包括如何利用先进的云计算[1-2]技术,为用户提供一站式的安全解决方案,在线事务处理系统在“零部署”、“零维护”的情况下,防止诸如XSS、SQL注入、木马、零日攻击、僵尸网络等各种网站安全问题。同时,研究如何采用跨运营商智能调度、页面优化、页面缓存等技术,进一步提升访问速度,降低故障率,从而整体提升用户体验。
3.系统实现
传统的安全都是一种保镖式的安全,随着用户安全意识的逐步提升,诸如防火墙、入侵检测系统等安全设备已经得到了广泛的部署,在这种环境下,攻击者总是会想方设法绕过安全设备去攻击最终的目标。而蓝盾网站安全云平台(CloudFence)提供的最大的变化就是利用云安全[3]的理念,从保镖变成了替身,是思想理念上的变化,将安全以服务的方式提供给用户。
CloudFence以分布式计算为基础云架构[4],采用跨运营商的多线智能解析调度,用户只需将网站的DNS切换到云平台,云平台会通过DNS智能解析调度将单点Web资源动态负载至银行各网点的云端节点,用户访问流量被引导至最近的云端节点,高性能的云端节点可以承载高并发的用户请求流量,并且通过对请求的动态内容优化压缩,静态内容分布缓存,为用户提供高质量的CDN服务,加速用户的访问速度。
目前的网站加速技术主要采用squid和nginx,现在有许多大型的门户网站如 SINA 都采用 squid 反向技术来加速网站的访问速度,可将不同的 URL 请求分发到后台不同的 Web 服务器上,同时互联网用户只能看到反向服务器的地址,加强了网站的访问安全。
从最新的技术来看, Nginx已经具备Squid所拥有的Web缓存加速功能、清除指定URL缓存的功能。同时,通过对多核CPU的利用,Nginx在加速速度上已经超过Squid。另外,在后端服务器故障转移、安全性、易用性上,Nginx也有了更多的提升,故采用Nginx来实现CDN服务。
CloudFenc的网络架构主要由两大部分组成,分为中心和边缘两部分,中心指CloudFence系统中的智能DNS系统,它主要负责全局负载均衡和请求的重定向。边缘主要指分布在各地的CloudFence节点,CloudFence节点是内容分发的载体,主要由安全防护、Web优化、Cache和负载均衡器等组成。
CloudFence云平台节点采用蓝盾安全扫描系统进行远程扫描Web服务器存在的Web漏洞,支持检测SQL注入、跨站脚本攻击、恶意文件上传等多种Web漏洞,并将扫描结果以报表的形式清晰直观地提交给网站维护人员,及时对已知缺陷进行修补。
蓝盾安全扫描系统是集网络扫描、主机扫描和数据库扫描三大扫描技术为一体的集成扫描工具。它适用于对不同规模的Internet/Intranet环境下的各种网络设备、主机系统、数据库系统和应用程序等进行安全扫描、安全评估,并提出相应的安全防护解决方案,帮助使用者了解自己网络的安全风险变化趋势,从而有效降低网络的总体风险,保护关键业务和数据。
该系统不但具有丰富、完善的漏洞库,还能模拟黑客攻击行为,对目标网络进行深层渗透性检测。由于采用了智能端口服务识别、弱口令检测、防火墙穿透等先进技术,该系统能够检测到一般扫描器检测不到的网络缺陷,并以直观的方式报告给使用者。
蓝盾安全扫描系统由扫描主机控制台和客户端两个部分组成。客户端运行用户界面模块,是用户与系统的人机交互界面,包括监控界面和管理界面;扫描主机控制台运行扫描主控软件,扫描主控软件由系统初始化模块、扫描策略定制模块、报表生成模块、漏洞数据库维护模块、扫描引擎、任务调度模块、漏洞检测模块和用户管理模块等组成;目标主机是扫描模块直接从扫描主机上通过网络进行扫描的对象。
云平台管理中心通过统计各节点的访问点击情况,可以为IT部门管理人员和领导提供一份详尽的在线事务处理系统的数据统计报表,使运营者更加了解网站的访问情况和安全状态,为网站优化和服务改进提供数据参考。访问数据统计分析包括:某一时段正常访问数,搜索引擎收录情况,各地区SQL、XSS攻击次数,用户各地分布情况,页面点击排名等。
4.结论
本文利用云计算为企业网站提供了一种一站式的安全解决方案,设计了一种网站安全防护系统CloudFence。该网站安全防护系统能有效抵御木马、XSS、SQL注入、零日志攻击、僵尸网络等恶性攻击。用户只需要登录CloudFence网站注册,进行域名等简单配置,通过审核后就可以让网站处在CloudFence云平台实时保护中,无需装载任何软件,无需部署任何硬件,也无须自己维护,极大减少了用户的使用和维护成本。同时CloudFence综合采用跨地域、跨运营商智能调度、页面优化、页面缓存等技术,能够进一步提升网站访问速度,降低故障率,从而整体提升网站的用户体验。
参考文献:
[1] 陈全,邓倩妮. 云计算及其关键技术[J].计算机应用,2009, 29(9): 2562 -2567
篇3
Web应用安全隐患在于Web应用程序在开发阶段留下的安全隐患能被攻击者利用。这主要是因为Web应用发展过于迅速,开发者更多考虑的是如何快速提供服务,从而忽略了之前在传统软件工程开发中的安全问题。因此,Web上的很多应用都没有经过传统软件开发所必须完成的细致检查和完整处理过程。
针对这种情况,WebGuard-WAF集成了业界领先的Web应用检测技术,可检测出Web应用自身的脆弱性,诸如SQL注入、跨站脚本(XSS)等页面漏洞,为解决根本问题提供技术依据。
智恒WAF应用安全网关防护系统对HTTP数据流进行分析,应用了先进的多维防护体系,对Web应用攻击进行深入的研究,固化了一套针对Web应用防护的专用特征规则库,实现了对当前国内主要的Web应用攻击手段的有效防护机制,可应对黑客传统攻击(如缓冲区溢出、CGI扫描、遍历目录、OS命令注入等)以及新型SQL注入和跨站脚本等攻击。
篇4
该系统可与所有电子邮件应用程序兼容,可以快速处理您的电子邮件,延迟时间不到1秒钟。此外,McAfee还为需要监控内部电子邮件安全性的用户提供了电子邮件服务器防护功能,操作简便,可迅速提供保护。
用户若要实现终极反间谍功能,可将 McAfee Total Protection for Small Business与桌面间谍软件清除工具如McAfee Anti-Spyware Enterprise组合使用。Anti-Spyware可选的Web 过滤模块提供反间谍软件的第二级保护,可防止员工访问带有间谍软件和广告软件的网站。
篇5
Web Site Safety Prevention Tips
WANG Zhao-lin
(Office of Human Resources and Social Security of Anhui Province Information Center,Hefei 230061,China)
Abstract: Whether corporate website or personal Web site,Website security is a very important aspect,Because site security problems may cause your Web site credibility, flow, profit, and even political influence。Web sites were brought by black hung horses,Website content has been tampered,The proliferation of viruses, user information leakage problems can bring to the site of catastrophe,Web site security testing and security maintenance is a very important work。Experience in security work through a Web site here, divided into several parts to talk about website security construction and management practices。In practical work, ensure that the site’s normal application.
Key words: website; safe; check; guard; maintain
笔者常常收到上级部门的《关于加强网站安全防护的通知》和网络与信息安全情况通报,使得我们对网站安全认识进一步提高,对一般网站的安全隐患进行了认真细致的分析,积极研究整改措施,并对网站进行了全面监测,保证了网站的安全运行。
1网站安全防范做法
1.1认真组织系统自查
1)充分认识加强网络安全管理工作的重要性
领导要高度重视,组织相关部门认真学习《网站安全的工作方案》,要求通过全面的安全检查,及时掌握网站的安全现状和面临的威胁,认真查找隐患,堵塞安全漏洞,完善安全措施,保障网站安全、稳定、高效运行。
2)对照检查内容,逐条进行检查
在规定的时间内,我院按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,从网站内容、网站安全体系和管理制度三个方面对网站进行了自查。
3)网站运行和内容方面。
①网站服务器安全。指派专人负责网站的日常运行与维护,确保网站正常运行。②不断完善网上服务功能,并安排专人对数据进行核查,确保数据准确性。③在网站内容方面,明确相关责任人对相应栏目的内容更新,及时各类网站信息。四是安排多人上班时间读网,发现错链、断链现象及时纠正。
4)安全防范措施方面。①网站已配备了硬件防火墙,有一定的防攻击、防病毒等硬件防护措施。②通过与有关技术支持商合作,加强网站的安全防护能力。③利用热备份和后台密码分级管理等手段,提高数据安全性。
5)管理制度方面。①建立了网上信息审核和保密审核制度,凡上传网站的信息,须经领导审查签字后方可。②与有关技术支持商明确了各方的职责与分工,并建全落实服务器管理、网站管理数据管理等各项规章制度。③投入必须服务经费,保证网站的安全和顺利运行。
1.2网站硬件防护策略
网站系统网络拓扑结构如图1。
图1
1)前端安全设备型号。防火墙:联想网御PV1408、IPS:联想网御IPS 630、网络防篡改:中软华泰
2)服务器信息。应用服务器:IBM X3850、操作系统:Windows 2008 standard 64bit、数据库服务器:IBM X3850、操作系统:RHAS 5.4
3)网站系统的前端安全设备有防火墙和入侵防护设备以及网络防篡改设备,可提供对网站的日常安全的保护功能。同时,应用方面数据库和应用程序分离,数据库不提供对外服务可降低安全的隐患。
1.3加强网站安全设备使用
网站部署在两台服务器上,一台存放服务,一台存放数据库,采用双机互相备份的方式及时的备份数据。整个大的网络环境内部署了一想网御PV1428防火墙和一想网御IPS630,并且针对门户网站还专门配置了中软华泰的网站防护系统,可以实现“网站防病毒”、“网站防篡改”、“网站防入侵”的目的。
主要功能如下:
1)执行程序可信度量。通过可信度量技术,对系统中要启动的执行程序进行真实性和完整性度量,禁止不符合预期的程序启动。通过上述机制,实现了网站服务器对于病毒、木马、攻击程序等恶意代码自免疫,弥补了杀毒软件的滞后性问题。
2)程序安装控制。控制程序安装行为,禁止非法的程序安装行为。
3)可信代码防篡改。对于信任程序的实时保护,禁止任何的破坏和非法修改行为。
4)网页防篡改保护。在系统底层利用文件过滤驱动技术,实时监控受保护的WEB目录,实施严格的强制访问控制,禁止对受保护的WEB目录进行任何非法操作,从源头上杜绝网页非法篡改行为的发生。
5)重要资源写保护控制。对存放在服务器中的重要数据进行实时防篡改保护,禁止非法的篡改行为。
6)防SQL注入攻击。过滤含有SQL注入关键字的数据包,从而起到防SQL注入的效果。
7)防跨站脚本攻击。过滤含有跨站脚本关键字的数据包,从而起到防跨站脚本攻击的效果。
8)抗黑客扫描:阻止恶意攻击者的扫描行为,保护服务器的敏感信息。
9)SSL终止:终止SSL安全连接,对数据流进行解码,检查明文格式是否含有恶意的流量。
网站工作人员定期对服务器系统进行漏洞扫描、安装补丁、系统升级,每个月做一次独立的网站数据备份,确保门户网站安全畅通运行。
1.4注重网站漏洞修复
经常更新系统软件,堵塞系统漏洞;比如:JBoss中间件漏洞修复;针对检测的安全隐患,我们认真分析了出现安全隐患的原因,并积极进行了整改,具体的修复方案及措施如下:
1)JBoss中间件存在非授权访问漏洞。
解决方案:我们采取的解决方案是在jboss目录下的server/default/deploy/jmx-console.war/WEB-INF/web.xml文件中增加了httpmethod>HEAD以降低威胁。
2)JBoss中间件的status页面可匿名访问。
解决方案:注销了/ROOT.war/WEB-INF/web.xml文件下的
3)JBoss中间件的web-console页面可匿名访问。
解决方案:
(1)找到jboss目录下的/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml,去掉security-domain>java:/ jaas/web-console的注释。
(2)找到jboss目录下的
/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml ,去掉部分的注释。
(3)修改jobss目录下的server/default/conf/login-config.xml,设置登录web-console的用户名和角色。
(4)CVS Web Repository开发工具信息泄露。
解决方案:删除了CVS Web Repository开发工具的文件。
在今后的工作中,我们将更加重视网站安全工作,严格贯彻落实上级有关文件精神,积极采取有力措施,进一步做好网站安全工作。
1.5加强内部数据的管理及监督
网站内部数据关系到用户的个人基本信息,不管是什么类型的网站都拥有用户,还有相应的程序员、技术员、管理员、编辑员等等,而加强对这些人员的管理管理,对网站的数据保护至关重要;作为简单有效的安全措施,口令一直是身份管理普遍采用的方式。网络接入、电子邮件和Web服务使口令得到了广泛的应用,口令的安全问题开始被人们关注。我们知道,口令的安全与它的长度和复杂度息息相关,越长越复杂的口令越不容易被黑客破解,但是这样的口令却难于记忆。通过建立密码、口令管理制度来保证安全;1)对于要求设定密码和口令的用户,由用户方指定负责人与系统管理员商定密码及口令,由系统管理员登记并请用户负责人确认(签字或电话通知),之后系统管理员设定密码及口令,并保存用户档案。2)当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向网络服务管理部门提交申请单,有部门负责人或系统管理员核实后,履行规定的手续,并对用户档案做更新记载。3)如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。要加强网站数据和相关用户行为的审计,确保数据不丢失、不泄露,确保用户口令保密、行为安全可靠。
篇6
该公司部署了防弹式的防御体系来应对典型的互联网攻击,如:病毒、木马、蠕虫以及间谍软件等。他们从总经销商那里购买安全技术的使用权限,这样,企业就拥有了安全公司提供的软件以及升级服务。因此,公司的网络环境感觉上非常安全,IT部门的人员也可以高枕无忧了。但是对于公司的安全美梦很快变成了噩梦――
由于员工违法使用iPod音乐播放系统和P2P,公司的网络性能被大大削弱。同时下载音乐、视频以及一些软件也给公司带来了违反著作权的法律问题。
企业的知识产权会因为员工的不当操作或不道德的行为通过邮件泄露出去。
肆意的使用即时消息会使公司陷入员工服从性的危险之中。
有时,一个有赌博习惯的员工会持续在线玩赌博游戏,可那时他手头上还有一项紧要任务没有完成,同时对于网络上不良信息的访问还会给企业带来法律诉讼。公司无法施行那些可接受的网络使用政策,因此公司就无法保证员工的生产力,无法保护网络资源被滥用,或者其它与网络滥用相关企业威胁。
B公司:移动办公的风险
该公司采取了进一步的安全防护。在严格的政策支持下,公司增加了强劲的安全保护来控制包括:P2P、即时消息系统、网络音乐系统以及网页在内的内容。问题就这样解决了么?其实问题远远不止如此。
公司的员工经常会在公司以外的其它地方办公,如在客户端、家里、酒店、列车或是机场,凡是能够提供网络连接的地方。当员工不在公司内部使用网络时,他会不经意的将恶意软件下载到自己的笔记本电脑中(这些软件正是公司的在竭尽全力抵御的),然后把这些恶意软件带到公司,任其肆意传播。同时像U盘这类移存储设备也会在公司的严密监视散播新的威胁。
C公司:复杂的威胁
该公司做足了工作,并宣称他们拥有能够抵御包括面向移动办公人员和离线工作人员在在内的各种威胁的防御体系。只要这些设施不需要费时费力的去管理和维护,那么该公司的网络保护设施令许多其他公司都羡慕不已。实际上,这些解决方案只有部分得到了执行,需要把现有的IT资源发挥到极致。
由于最初的部署存在太多漏洞,负担繁重的IT人员无法满足企业对于公司政策、风险控制以符合性的个性化需求。
技术支持的呼声很高而附加咨询服务却很昂贵。
IT财力人力的短缺影响IT更新步伐,企业耗费大量时间金钱仍不能获得有效安全防护。
眼前的互联网安全防护明显是不够的。要避免商业风险,企业必须要能了解和处理安全防护方面的所有问题,还必须与互联网安全防护领域的伙伴建立合作关系。
获得全面经济高效的安全防护
先进专业的防护技术和功能不言而喻是有效安全防护的根本因素。而今,企业所面临的是使用多个攻击媒介的混和型威胁,这就要求企业要有最好对策,安全防护好从网关到桌面以及两者间每个易受攻击环节。而这还仅是全方位经济高效互联网安全防护的冰山一角。
每个企业的业务范围都不一样,安全防护需求也不同。一般而言,一个互联网安全防护解决方案是否有效关键看以下六方面因素:对关键易受攻击环节的安全防护;对主要管理环节的安全防护;前摄防护;部署的灵活性;个性化策略和控制功能;基于需要的最佳价值。
关键易受攻击环节的安全防护
由于现今的混和型威胁可采用不同的形式,通过各种互联网渠道进行传播,这就要求企业在Web、电子邮件、移动设备和桌面客户端都做好相应一致的安全防护。而以上这些媒介都应该共享同一个公共的互联网威胁数据库,这样无论病毒是通过电子邮件、Webmail、可移动存储设备还是公共无线上网据点(public hotspot)来传播,都可被识别出来。
多层式安全防护为防护威胁提供了更多保证:通过推断等技术识别和过滤先前未
知威胁从而不断补充已知威胁数据库;结合使用安全防护技术和人工分析来识别和阻止新型威胁;通过特定企业和特定行业的定义来补充标准威胁定义;以及通过加密技术和智能化内容过滤技术结合使用有效阻止数据丢失。无论企业所面对的是哪类风险,多层式解决方案为企业提供最高水平的保护。
主要管理环节的安全防护
基于每个企业的IT架构、基础设施和安全目标的不同,安全防护可分别在服务器、客户端及整个网络当中(作为一种按需服务)中部署。企业应评估其关键所在进行部署,最理想的当然是同时在三个地方都部署安全防护。这样,无论威胁是以何种方式或从哪里进入企业网络环境,企业都能消除这些威胁。甚至未连接到网络的远程用户也能通过客户端或按需应用模式得到有效保护。
提高安全防护水平
前摄防护
快速演变的互联网威胁要求我们时时保持警惕、采用专家分析并且不断更新防护措施。识别和防护新型威胁的最好方式是结合使用世界级技术、专家意见及全天候全球性自动更新安全防护的基础投施。在多数情况下,这提供的是一种服务,一种在威胁造成破坏之前检测威胁、提出警告和消除威胁的服务。
部署的灵活性
部署安全防护解决方案可选择软件、硬件或按需解决方案(On-demand solutions),这使得企业能选择到最合乎其特定需要的解决方案。大型企业常要求一个具有广泛功能及粒度策略控制的软件解决方案,而小型企业则可能更喜欢具有立竿见影简易性和高性能的硬件解决方案。
按需解决方案则可提供企业级互联网安全防护,能用于所有类型的企业:拥有多个分支机构或众多远程工作员工的企业,可采用这种技术来帮助那些在公司总部以外工作的员工管理他们的e-mail和web的安全需求;对于那些没有相应基础设施来主管基于服务器解决方案的企业以及那些只是部署这项功能作为整体IT策略一部分的企业也可采用这种技术。
个性化策略和控制功能
要全面避免不适当使用恶意软件及未遵从行业规范和法规情况发生,企业应根据自身特定环境、业务需要和潜在风险定制策略,并灵活控制策略的定义和执行。同时企业所采用的解决方案应允许企业内不同用户和群体采用不同规则以反映其工作职务和网络访问权限。
通过执行这些策略,IT管理员和企业管理人员能通过全面报表功能和可视来管理和监控员工对互联网的使用、对行业规范和法规需求的遵从,还能根据开展业务的需求及时调整防护措施和安全战略。
潜在价值
在挑选互联网安全防护提供商时,企业不可只考虑供应商销售额,应多方面考虑挑选一个值得信赖合作伙伴。一个可信赖合作伙伴应拥有互联网安全防护的成功记录和全方位海量最佳(best-of-breed)技术,能为客户提供其所需经验结晶、丰富资源和持续创新从而遥遥屹立于安全防护领域的领先位置。此提供商还要能通过及时了解每个客户的需求,提供一个单一来源解决方案来满足客户的需求,同时提供实时支持和更新以随时确保解决方案的最大有效性。
其所提供的解决方案的拥有、管理和长期支持还必须是经济高效,以便安全防护方面费用能在企业的IT预算之内,而不至于更成为企业研究解决方案的另一个问题。
安全防护的实际运作
回顾上文对于三类企业的探讨,我们可以看出这些关键要素在一个有效的互联网安全防护策略中起了怎样的作用。
A类企业首先定制好符合其策略和优先级的互联网安全防护解决方案,接着使用健全报表功能来很好控制企业所面临的商业风险。
彻底关闭点对点网络和podcasts的不适当使用,释放重要网络资源并消除版权侵权的风险。
每个电子邮件都针对企业所有知识产权的关键字和特定内容的进行扫描,真正做到万无一失。
即时通信和上网冲浪得到完全控制,可帮助行业规范和法规得到很好遵从。
与工作无关的网站或不安全的网站会被禁止,由此网络赌徒再也不能使用公司的资源,只能利用其私人时间进行游玩。
B类企业拓展了全方位的安全防护。无论是从家里还是从酒店,无论是通过一个无线上网据点、客户端网络还是无线互联网服务提供商(ISP),公司员工都可重新连接到公司网络,而移动PC上威胁都会被拦截下来,无法进入企业环境。可移动存储设备也得到同等有效的安全保护。
C类企业选择按需服务而不是软件或硬件解决方案,可在不超出企业预算前提下得到有效安全防护。它还能保持对一个网络或网关解决方案的有效控制和策略管理,且有值得信赖业领导提供商提供全面支持和丰富资源作为后盾来保证解决方案的快速实施和低运行时间。
提高防护功能
SurfControl提供的同类最佳互联网防护解决方案和技术已长期成为威胁防护领域的标准。SurfControl解决方案经设计可为任一网络环境提供安全防护,现在还可根据客户的特定需求进行部署,不仅可虑及每个关键易受攻击环节,还可虑及web、电子邮件和客户端安全防护的各种因素。
其实时推断技术更是得到了全球多个威胁分析专家组全天候支援,可识别和应对新型威胁,包括各种形式的恶意软件、零日威胁(zero day threats)和快速演变的混和型威胁。
篇7
林育民表示,2008年恶意代码数量创造了历史高峰,成长速度也破了历史纪录,平均每个月发现2亿4千5百万个恶意程序。根据赛门铁克的统计,在数据丢失方面,教育行业以27%的比例占据榜首;而在身份窃取方面,金融行业以29%名列第一。
传统利用系统漏洞的攻击手法仍屡见不鲜,比如最近爆发的Downadup/Conficker 蠕虫利用的是已知的MS-RPC 漏洞(MS08-067),这也说明了所有可能影响操作系统的已漏洞,需要持续保持警惕。
如今,网页式攻击已成为最主流的攻击手法,黑客已经将攻击目标转移到网页浏览器、ActiveX 控件、浏览器插件、多媒体、文档查看器和其他第三方应用程序上。只要用户访问某个受到攻击的网页,其中某个应用程序中的一个漏洞就可能让用户的系统毫无防御能力并遭到攻击。
保护企业重要信息不被恶意窃取和破坏,已经成为当前商界和IT安全业界所面临的最大挑战之一。如今Web风险、漏洞与终端不安全造成的安全问题比以往任何时候都更加突出。
林育民表示,目前基于漏洞特徵的入侵防御是一种有效的方法,因为一个漏洞定义不仅能防御一种恶意代码威胁,而且可防御数百种甚至数千种恶意代码威胁。因为这种防御会查找漏洞特点和行为,所以可防御多种威胁,甚至可防御未知的恶意代码。
记者了解到,很多终端用户并没有意识到自己是否修补了系统漏洞,信息丢失了也不知道。要应对当前面对的各种复杂、隐蔽而且有目标的攻击,企业不能再单纯依靠传统的防病毒和反间谍软件解决方案。毕竟防病毒软件、反间谍软件和其它基于特征的防护方法都是相对滞后的解决方案,在前几年还能保护终端用户或者企业的重要资源,现如今已不能满足安全需要。企业目前需要主动的端点安全方法,来防御零日攻击乃至未知威胁。
主动式端点防御
究竟如何才能构建真正的安全可靠的IT架构?如何才能保障信息不被窃取?林育民认为,随着威胁技术的不断发展,当前条件下仅仅利用某一种防御技术已经很难真正抵御威胁,用户需要的是层次化的端点安全方法,实施不仅能够防御各级威胁,而且可提供互操作性、无缝实施和集中管理的全面解决方案。
只有构建了纵深化的、全面的多点防御,才能使企业信息安全得到保障。既能够有效地针对各种级别的威胁保护企业,又能提供无缝的互操作性以简化管理并降低总体拥有成本。
众多的信息泄露事件,导致企业日益重视端点安全,虽然目前有许多产品可以提供一定程度的防护,但它们往往无法提供全面防护。许多技术仅在一种操作系统上工作,其它技术缺少与防火墙、设备控制和入侵防御等其它基本端点安全技术互操作的功能。
篇8
网络钓鱼攻击通常是电子邮件钓鱼,然后骗取受害者点击恶意链接,最后使用恶意的漏洞Payload攻击受害者计算机。换句话说,如果一个员工误点击恶意链接,可能被黑客盗取账户信息,或者电脑被人种上木马,导致企业内网因此沦陷,业务数据和敏感信息也会陷入巨大风险之中。目前,反安全领域中最有效的网络钓鱼攻击就是鱼叉式网络钓鱼,该攻击可以侵入所有的防御层。据统计,约92%的数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。
1 鱼叉式网络钓鱼攻击
对于鱼叉式钓鱼攻击,锁定特定目标的攻击,被正式攻击效果很好,可以打败经验丰富的安全专家,因为,这些攻击都来自准备充分,对你的业务很了解的专业攻击者,他们知道你的公司业务,知道你现在所从事的项目,还有你关注的利益,和兴趣,这种攻击比简单的金融偷盗,带来的危害更严重,也更持久。
首先,攻击者会选择一个受害者,比如。然后,攻击者利用动态DNS服务和虚拟服务器来类似的网站。以下就是一个名称相似的网站,攻击是基于假设用户不会注意到URL中的细微变化。
接下来,攻击者会利用Automation Anywhere或Ion等抓取工具或数据采集工具来复制网站中的内容。现在,攻击者就拥有了一个名为的相似网站。下一步攻击者要做的就是将受害用户吸引到虚假网站,以便获取受害者输入的凭证。接下来,攻击者要做的就是利用Foca和Maltego等指纹识别工具采集尽可能多的电子邮件地址。
现在,攻击者要做的就是等待使用合法Contoso凭证的用户登录到虚假网站,以便他们进行采集,攻击者采集到凭证之后,攻击就结束了。
2 鱼叉式网络钓鱼防御措施
1)防网络钓鱼技术
作为网络安全行业的一个重要领域,防网络钓鱼产品和服务在很久之前就已经面市。现在的杀毒软件通常都包括防网络钓鱼功能,而且多数浏览器都自动配备了Google Safe Browsing功能,这样的整合可以提供中等水平的网络钓鱼防护措施,但却远不能帮助企业应对复杂攻击。
防网络钓鱼解决方案可以集成到Web浏览器或以单机方式运行,这两种方法采用了相似的方法来检测网络钓鱼攻击。
2)SSL站点搜索保护
由于多数用户认为有效的SSL证书可以实现更好的安全保障,因此,利用SSL证书的网络钓鱼攻击尤其危险。有些防网络钓鱼产品能够检索超过五百万的SSL证书,以便查找伪造证书。
3)DNS搜索保护
利用这一防护方法,看似与合法网站相似的域名就可以记录到代码仓库。软件每天都会监控DNS注册,以发现特定的警报模式,也可以在通用TLD和.com、.net、.free.fr等注册点探查潜在域名。
4)域名信誉
所有的防网络钓鱼厂商都会收集有关URL黑名单的情报。他们利用信誉分析技术对域名信誉和列入黑名单的一级域名(TLDs)等数据信息进行分析。有些网站可以免费为用户提供此类信息,http:///就是其中之一。从这些服务中得到的信息也可以从邮件拦截列表和上报站点中获取。
这种方法的缺点就是,多数的攻击者会利用‘用后即丢弃’技术获得域名,用于恶意URL,但是时间很短。因此可以躲过URL黑名单和信息分析技术的分析检测。
5)针对注册商和托管服务供应商的网络钓鱼提示
注册商、托管服务供应商和互联网服务提供商(ISP)能够持续追踪IP地址、名称服务器和域名查询服务器。他们的防钓鱼软件不断更新,并根据上述信息为用户提供警报。
6)工具栏
目前,各种不同的工具栏都可以安装在当前最流行的浏览器中。这些工具栏会持续监控URL检索,并向软件发送报告,以便匹配基于规则的策略。
7)安全培训防御网络钓鱼攻击最重要也最有效的方式就是进行员工安全教育,提高他们对社会工程攻击的认知。提供长期且持续的教育和培训:创建指导方针及公司策略及程序,以保护个人和公司设备上的敏感数据。定期评估内部调查团队,进行实践演练,确保用户拥有有效对抗网络威胁的必要技能。
说到底,用户是最终的安全决定者。安全的好坏最终取决于用户能否以鉴定的眼光阅读所有邮件和警报,并判断信息或链接是否安全。只要决策权在用户手中,网络钓鱼攻击的成功率就会居高不下,这也正是防网络钓鱼行业能够保持持续增长的原因。企业还将继续寻求更多更好的解决方案,保持强大的安全态势:部署多层端点安全防护、网络安全防护、加密、强大有效身份的验证和采取拥有高信誉的技术,帮助用户及时发现入侵信号并做出快速响应,增强企业团队的安全防范能力。
参考文献:
篇9
徐松泉表示,P2P下载对网络传输质量的要求并不高,但在线视频应用却要求网络传输的高质量。当前,美国、日本等国家已经实现了真正意义上的高带宽和低时延,能够充分保障在线视频观看的流畅。从我国的网络基础设施来看,虽然目前还无法支持60%~70%这样高比率的带宽占用,但运营商为了满足人们对于互联网应用的新需求也在积极备战。未来,大多数的互联网应用都将与视频相关,所以运营商看重的将不仅仅是带宽,他们会越来越看重数据传输的质量,并会越来越迫切地需要解决数据传输的时延问题。
不单是通信行业,交通、医疗、环保、金融等与人们生活紧密相关的行业,今天都在面临相同的挑战。以平安城市为例,徐松泉说,一个城市可能有几十万甚至上百万的监控摄像头,通过这些摄像头采集到的海量视频数据被传输到指挥监控中心,工作人员正是依据这些数据,进行分析并做出及时响应和反馈的。另外,中国目前在建的很多云计算中心、IDC等,都存在相同的问题和需求。这反映出,未来的互联网数据将以实时数据,特别是实时的视频数据为主。
新趋势赋予“万兆”的新使命
篇10
实际上,Storm攻击确立了一种趋势,很多垃圾邮件都是通过被Storm感染的机构传播的。业内专家估算,至少7%的连接到互联网的计算机成为可以发送电子邮件的“僵尸”。编写威胁程序的人不断寻找提高成功率的新方法,而通过合法网站传播恶意软件无疑是一种非常有效的方法。
Storm攻击往往会联合一些技术含量较高的恶意软件技术,创建一个高度复杂的攻击平台。Storm将不同的技术整合成一个更大的系统,更难于追踪,并且行动快速、动力十足。作为混合性威胁,它使用电子邮件和Web进行双重攻击。
恶意的僵尸网站通过自身已有的P2P网络实现自我繁殖,进行彼此协调,来创建包含被感染的登录网页的垃圾邮件,再通过电子邮件进行传播。从僵尸网络到网站系统已经形成一个可重复利用并能够实现自我防御的智能恶意软件传播平台。
就在3月初,数百个合法网站都被用作生产僵尸的改道枢纽,但简单的URL过滤系统根本无法单独检测出针对合法网站的威胁。实际上,目前越来越多的黑客组织开始利用URL邮件进行木马和僵尸攻击。
根据《2008年互联网安全趋势》报告的统计,即使企业部署了URL过滤来对个人Web使用行为进行控制和报告,这些数据库也不足以避免恶意软件下载到企业网络中。因为这类过滤器的安全分类保存机制不能实时对新感染的Web对象进行扫描。因此,仅靠反应式的安全清单来防御垃圾邮件的URL攻击根本无济于事。
IP技术追查根源
现有的、传统的URL过滤解决方案效果不好,原因在于主要依靠人工分类技术。遭到感染的网站隐藏在许多良性网站类别(包括金融、娱乐和新闻网站)的背后,因此使得基于传统分类的URL过滤效果不佳。
随着恶意僵尸网站的增加,IronPort公司的威胁管控中心(Threat Operations Center)发现,包含无法得到签名的新恶意软件的URL数量显著增加,而企业尚未获得有效的解决方案。
IronPort中国区总经理吴若松表示:“这些僵尸网络的智能化程度令人吃惊。单一的僵尸网络能够滋生出数以千计的含有恶意软件的僵尸网站,它们在任何地方都很活跃,活跃时间从几分钟到几小时不等。唯一有效的防御办法就是Web名誉服务,这种服务能够检测潜在的欺诈手法并预先地将它们过滤出来。”
事实上,Web名誉服务的核心技术是一种基于IP进行的垃圾邮件防护手段,众多安全企业纷纷建立了自己的数据库体系和信誉评级系统,并借此完成垃圾邮件防护、病毒防护、信息丢失防护、邮件加密等诸多功能。
篇11
安全情况分析
河南工商行政管理部门的网络结构比较复杂,省级作为核心网,其下属部门又划分为多个子网。在河南工商行政管理部门的网络中,信息系统的应用也比较复杂,涉及众多应用服务器、数据库服务器、普通计算机和各种网络设备。根据初步统计,河南工商行政管理部门内部网络中大约有数万台终端。
河南工商行政管理部门内部核心网络的管理涉及众多服务器和客户端的管理以及多部门、多系统之间的协调,如果不对这些设备、系统加以控制,那么病毒可能引发相当严重的安全问题。病毒一旦发作,给河南工商行政管理部门带来的损失将是不可估量的。如果在信息被破坏后再进行杀毒等工作,那么已经造成的各种损失也将难以挽回。
因此,为了保障整个网络的安全,河南工商行政管理部门的网络应该采用省级集中管理、各部门及各市级分级管理的方式。在网络计算机病毒的防范上,应以“主动防御+传统杀毒”相结合的方式,配合网关防毒墙,形成立体防毒体系。河南工商行政管理部门应在病毒可能传播的各个渠道中都设置监控,再结合定时病毒扫描和自动更新,这样才能保证整个网络系统的安全。
河南工商行政管理部门的网络与下级单位的网络相连,其上运行着包括Web、FTP、电子邮件、DNS等各种应用。在保障应用系统的安全性方面,河南工商行政管理部门主要考虑的是应用系统与系统层和网络层的安全服务无缝连接。黑客往往会抓住一些应用服务的缺陷或弱点进行攻击。比如,黑客通常会针对错误的Web目录结构、CGI脚本缺陷、Web服务器应用程序缺陷、作为索引的Web页、有缺陷的浏览器进行攻击,有时甚至会利用Oracle、 SAP、 Peoplesoft 缺省账户进行攻击。
解决方案
上述分析表明,工商信息网络需要使用专门的安全产品,在网关处进行病毒防护,同时在入侵检测、内容过滤、本地主机病毒监控等各方面进行全方位、立体化的保护。因此,河南工商行政管理部门使用了瑞星防毒墙,并与原有的瑞星网络版杀毒软件进行联动,在工商行政管理部门的网络中构筑了综合立体安全防护体系。这种安全防护体系具有很高的性价比。
篇12
针对大型零售商的黄金条律
1. 评估商业风险:什么因素会给企业带来最大的风险值?数据泄露?网站涂改?服务质量下降?服务宕机?这个基础判断会帮助您了解各种最坏的可能。
2. 评估你的“敌人”:竞争对手希望打压同行的业务,出于经济目的罪犯时时在寻找容易上钩的对象。知名企业、或者影视和出版业那些涉及版权的产业很容易成为黑客主义团伙的目标,并随时都有可能遭受匿名攻击。
3. 部署DDoS防护方案:持续增长的DDoS攻击已经成为当前不可忽视的网络威胁力量。因为DDoS攻击而导致的宕机不仅会让企业蒙受经济损失,还会严重影响企业声誉。一些服务供应商提供Network DDoS防护,但是企业需要对战应用DDoS。购买先进的安全工具和获取安全专业知识是维持业务健康的关键步骤。
4. 感知用户行为:部署网络行为分析(Network Behavioral Analysis ,NBA)工具准确监测用户正在发送和接收哪些类型的信息,以及向谁发送。设置访问权限策略,以保护关键信息(如团队表、队员体能以及设备设计等)的安全。
5. 部署覆盖全网安全系统的管理工具: 通过这样一个管理工具来关联所有安全事件日志。攻击者已经变得诡计多端,他们会使用包含多重工具的混合攻击来探测、攻击和滥用您的系统资源。您必须监控网络中所有的可疑活动。
6. 思考边界安全:缓解当今的网络和应用攻击不能再依赖传统的网络安全防护产品。IPS解决方案和DoS攻击缓解解决方案依靠统计原理,只是针对已知威胁起作用的单点安全解决方案,而对付新兴的网络威胁则需要采用将传统安全工具与网络行为分析工具相结合的整体安全解决方案。
针对中小零售商的黄金条律
1. 维护实时更新系统:包括现行所有的软件补丁和更新。较小的商业机构需要在其系统中安装通用软件的最新版本。
2. 部署覆盖全网安全系统的管理工具:如上所述,在一个集中平台关联所有安全工具的事件日志。包含攻击者会使用多重工具的混合攻击来探测、攻击和滥用您的系统资源,您必须监控网络中所有的可疑活动。
3. 分隔内部和外部的应用服务器:电子商务应用是安全防护的重中之重。千万不要将邮件服务器与其部署在同一网段,因为邮件服务器会为黑客提供另一条访问和控制内部数据的渠道。
4. 教育客户:对于老客户,企业向其确保所有的宣传材料将从其所熟悉的邮件地址发送,而且企业须在其发送物中注明公司绝对不会以任何形式要求用户提供个人信息。
5. 遵从法规性也不能确保长久的安全:法规性遵从也许能帮助商家免遭某次安全攻击的侵害,但是我们主要目标是保护企业不被下一波攻击击溃。采用遵从工具来创建最佳实践模式,帮助企业保持长期的安全性。
针对购物者的黄金条律
1. 多一些理智:如果单笔交易看上去过于优惠而让人难以置信,那么它绝对有问题。
2. 多一些怀疑:收到一封促销邮件后,别着急去点击其中的链接。上网查看该商家的网站并且确认促销商品和活动真实存在。如果没有查询到,那么这封邮件就有可能是个骗局。
篇13
1概述
互联网技术给我们带来很大的方便,同时也带来了许多的网络安全隐患,诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。为了确保计算机网络信息安全,特别是计算机数据安全,目前已经采用了诸如服务器、通道控制机制、防火墙技术、入侵检测之类的技术来防护计算机网络信息安全管理,即便如此,仍然存在着很多的问题,严重危害了社会安全。计算机网络信息管理工作面临着巨大的挑战,如何在计算机网络这个大环境之下,确保其安全运行,完善安全防护策略,已经成为了相关工作人员最亟待解决的问题之一。
2计算机网络信息管理工作中的安全问题分析
计算机网络的共享性、开放性的特性给互联网用户带来了较为便捷的信息服务,但是也使得计算机网络出现了一些安全问题。在开展计算机网络信息管理工作时,应该将管理工作的重点放在网络信息的和访问方面,确保计算机网络系统免受干扰和非法攻击。
2.1安全指标分析
(1)保密性
通过加密技术,能够使得计算机网络系统自动筛选掉那些没有经过授权的终端操作用户的访问请求,只能够允许那些已经授权的用户来利用和访问计算机网络信息数据。
(2)授权性
用户授权的大小与其能够在计算机网络系统中能够利用和访问的范围息息相关,我们一般都是采取策略标签或者控制列表的形式来进行访问,这样做的目的就在于能够有效确保计算机网络系统授权的正确性和合理性。
(3)完整性
可以通过散列函数或者加密的方法来防治非法信息进入计算机网络信息系统,以此来确保所储存数据的完整性。
(4)可用性
在计算机网络信息系统的设计环节,应该要确保信息资源具有可用性,在突然遇到攻击的时候,能够及时使得各类信息资源恢复到正常运行的状态。
(5)认证性
为了确保权限所有者和权限提供者都是同一用户,目前应用较为广泛的计算机网络信息系统认证方式一般有两种,分别是数据源认证和实体性认证两种,这两种方式都能够得到在当前技术条件支持。
2.2计算机网络信息管理中的安全性问题
大量的实践证明,计算机网络信息管理中存在的安全性问题主要有两种类型,第一种主要针对计算机网络信息管理工作的可用性和完整性,属于信息安全监测问题;第二种主要针对计算机网络信息管理工作的抗抵赖性、认证性、授权性、保密性,属于信息访问控制问题。
(1)信息安全监测
有效地实施信息安全监测工作,可以在最大程度上有效消除网络系统脆弱性与网络信息资源开放性二者之间的矛盾,能够使得网络信息安全的管理人员及时发现安全隐患源,及时预警处理遭受攻击的对象,然后再确保计算机网络信息系统中的关键数据能够得以恢复。
(2)信息访问控制问题
整个计算机网络信息管理的核心和基础就是信息访问控制问题。信息资源使用方和拥有方在网络信息通信的过程都应该有一定的访问控制要求。换而言之,整个网络信息安全防护的对象应该放在资源信息的和个人信息的储存。
3如何有效加强计算机网络信息安全防护
(1)高度重视,完善制度
根据单位环境与特点制定、完善相关管理制度。如计算机应用管理规范、保密信息管理规定、定期安全检查与上报等制度。成立领导小组和工作专班,完善《计算机安全管理制度》、《网络安全应急预案》和《计算机安全保密管理规定》等制度,为规范管理夯实了基础。同时,明确责任,强化监督。严格按照保密规定,明确涉密信息录入及流程,定期进行安全保密检查,及时消除保密隐患,对检查中发现的问题,提出整改时限和具体要求,确保工作不出差错。此外,加强培训,广泛宣传。有针对性组织开展计算机操作系统和应用软件、网络知识、数据传输安全和病毒防护等基本技能培训,利用每周学习日集中收看网络信息安全知识讲座,使信息安全意识深入人心。
(2)合理配置,注重防范
第一,加强病毒防护。单位中心机房服务器和各基层单位工作端均部署防毒、杀毒软件,并及时在线升级。严格区分访问内、外网客户端,对机房设备实行双人双查,定期做好网络维护及各项数据备份工作,对重要数据实时备份,异地储存。同时,严格病毒扫描。针对网络传输、邮件附件或移动介质的方式接收的文件,有可能携带病毒的情况,要求接收它们之前使用杀毒软件进行病毒扫描。第二,加强强弱电保护。在所有服务器和网络设备接入端安装弱电防雷设备,在所有弱电机房安装强电防雷保护器,保障雷雨季节主要设备的安全运行。第三,加强应急管理。建立应急管理机制,完善应急事件出现时的事件上报、初步处理、查实处理、责任追究等措施,并定期开展进行预演,确保事件发生时能够从容应对。第四,加强“两个隔离”管理。即内、外网物理彻底隔离和通过防火墙进行“边界隔离”,通过隔离实现有效防护外来攻击,防止内、外网串联。第五,严格移动存储介质应用管理。对单位所有的移动存储介质进行登记,要求使用人员严格执行《移动存储介质管理制度》,杜绝外来病毒的入侵和泄密事件的发生。同时,严格安全密码管理。所有工作用机设置开机密码,且密码长度不得少于8位,定期更换密码。第六,严格使用桌面安全防护系统。每台内网计算机都安装了桌面安全防护系统,实现了对计算机设备软、硬件变动情况的适时监控。第七,严格数据备份管理。除了信息中心对全局数据定期备份外,要求个人对重要数据也定期备份,把备份数据保存在安全介质上。
(3)坚持以信息安全等级保护工作为核心
把等级保护的相关政策和技术标准与自身的安全需求深度融合,采取一系列有效措施,使等级保护制度在全局得到有效落实,有效的保障业务信息系统安全。
第一,领导高度重视,组织保障有力。单位领导应该高度重视信息化和信息安全工作,成立专门的信息中心,具体负责等级保护相关工作,统筹全局的信息安全工作。建立可靠的信息安全基础设施,重点强化第二级信息系统的合规建设,加强了信息系统的运维管理,对重要信息系统建立了灾难备份及应急预案,有效提高了系统的安全防护水平。
第二,完善措施,保障经费。一是认真组织开展信息系统定级备案工作。二是组织开展信息系统等级测评和安全建设整改。三是开展了信息安全检查活动。对信息安全、等级保护落实情况进行了检查。
第三,建立完善各项安全保护技术措施和管理制度,有效保障重要信息系统安全。一是对网络和系统进行安全区域划分。按照《信息系统安全等级保护基本要求》,提出了“纵向分层、水平分区、区内细分”的网络安全区域划分原则,对网络进行了认真梳理、合理规划、有效调整。二是持续推进病毒治理和桌面安全管理。三是加强制度建设和信息安全管理。本着“预防为主,建章立制,加强管理,重在治本”的原则,坚持管理与技术并重的原则,对信息安全工作的有效开展起到了很好的指导和规范作用。
(4)采用专业性解决方案保护网络信息安全
大型的单位,如政府、高校、大型企业由于网络信息资源庞大,可以采用专业性解决方案来保护网络信息安全,诸如锐捷网络门户网站保护解决方案。锐捷网络门户网站保护解决方案能提供从网络层、应用层到Web层的全面防护;其中防火墙、IDS分别提供网络层和应用层防护,ACE对Web服务提供带宽保障;而方案的主体产品锐捷WebGuard(WG)进行Web攻击防御,方案能给客户带来的价值:
防网页篡改、挂马
许多大型的单位作为公共信息提供者,网页被篡改、挂马将造成不良社会影响,降低单位声誉。目前客户常用的防火墙、IDS/ IPS、网页防篡改,无法解决通过80端口、无特征库、针对动态页面的Web攻击。WebGuard DDSE深度解码检测引擎有效防御SQL注入、跨站脚本等。
高性能,一站式保护各院系网站
对于大型单位客户,往往拥有众多部门,而并非所有大型单位都将各部门网站统一管理。各部门网站技术运维能力相对较弱,经常成为攻击重点。WebGuard利用高性能多核架构,提供并行处理。支持在网络出口部署,一站式保护各部门网站。
“零配置”运行,简化部署
WebGuard针对用户,集成默认配置模板,支持“零配置”运行。一旦上线,即可防护绝大多数攻击。后续用户可以根据网络情况,进行优化策略。避免同类产品常见繁琐配置,毋须客户具备专业的安全技能,即可拥有良好的体验。
满足合规性检查要求
继08年北京奥运、09年国庆60周年后,10年上海世博会、广州亚运会先后举行。在重大活动前后,各级主管单位和公安部门,纷纷发文,要求针对网站安全采取措施。WebGuard恰好能很好的满足合规性检查的需求,帮助用户顺利通过检查。
4结束语
新时期的计算机网络信息管理工作正向着系统化、集成化、多元化的方向发展,但是网络信息安全问题日益突出,值得我们大力关注,有效加强计算机网络信息安全防护是极为重要的,具有较大的经济价值和社会效益。
参考文献:
[1]段盛.企业计算机网络信息管理系统可靠性探讨[J].湖南农业大学学报:自然科学版,2000(26):134-136.
[2]李晓琴.张卓容.医院计算机网络信息管理的设计与应用[J].医疗装备,2003.(16):109-113.
[3]李晓红.妇幼保健信息计算机网络管理系统的建立与应用[J].中国妇幼保健,2010(25):156-158.
[4]罗宏俭.计算机网络信息技术在公路建设项目管理中的应用[J].交通科技,2009.(1):120-125.
