企业内网安全现状及存在问题
在现代企业信息化建设中,网络架构和规模会根据企业自身的业务需求在不断变化着。在基础网络架构建设完成的同时,各种应用系统业也开始进行搭建,网络架构和应用系统是密不可分的。当有涉及到整个企业规模的项目启动时,都必须对现有的网络系统和应用系统进行分析。在保证公司业务正常运行的前提下,进行项目分析和评估,为企业内网防病毒策略架构的设计提供可靠的设计依据。在进行企业内网防病毒策略的整体设计时,还有最重要的一个环节就是要对企业现有的病毒防治现状进行分析,统计企业中正在使用的防病毒软件种类,分析这些软件产品的使用效果;统计网络中存在的病毒类型,评估企业面临的风险程度;找到病毒的来源,找出策略设计的着重点。
1.1内网网络系统现状分析
公司有一座主办公楼,以其为核心,围绕它分布着一些较小的办公楼和功能区域。公司的基本网络应用需求是:。1、实现部门间办公文件、报表等数据的共享,办公室内部各种打印设备共享。2、提供内部电子邮件服务。3、采用专线接入方式,租用当地邮电部门的线路,满足整个网络内部用户的Internet需求。
1.1.1网络拓扑
主办公楼内拥有一个中心机房,放置着核心路由器和一些应用服务器。在其余的办公楼内有设备间,摆放着端口扩展设备。主交换设备、端口扩展设备、服务器和客户计算机通过通讯介质连接构成了一个办公局域网。办公局域网内采用星型结构,整体结构为扩展型星型结构。如图1.1。
1.1.2地址的分配
公司采用的是动态地址DHCP的分配方式,给每个网段分配了一个口地址池,对于每个地址范围内有特殊需要的机器,将它的IP地址进行保留,不予自动分配。由于服务器需要经常被访问,它们的IP地址是固定的。
1.1.3内网网络管理系统
为了加强对部门的网络管理,实施了网络管理系统,实施的产品为linkManager-40-B-250N网络安全管理软件。网管软件的功能如下:
(1)可以自动发现网络上的重要节点(防火墙、交换机、路由器),支持多种网络结构网络;支持SNMP、ROMN、CDP等管理协议,并提供基于这些协议的管理视图;
(2)以图形方式显示所有网络节点的工作状态,能够根据实际网络拓扑结构的变化自动更新网络结构图;
(3)支持多种方式的事件报警;
(4)具备多级过滤功能,对节点、拓扑、地圈进行过滤;
(5)具备分权管理,支持多级管理员的操作:
(6)支持对节点、端口进行配置;
(7)进行设各和链路负载、可用性、可靠性及网络的可利用率统计;
(8)提供中文化报表。
该管理系统在使用过程中可以有效地监控网络主干设备的各种性能参数(例如:网络的通断时间、设备端口数据流量大小、设备的使用率等),但是不能在应用层级别对数据流量进行分析,不能实现协议分析。
1.2内网应用系统现状分析
1.2.1电子邮件系统
为了提高办公效率。创建了公司内部的办公邮件系统。该邮件系统包括企业电子邮件和日历、业务关键型即时消息传递以及快速应用程序开发和实施环境。它的主要功能如下:
(1)特别标出收件有助于实现更高效的收件箱管理;
(2)邮件备忘录中的邮件线索允许用户方便地查看每个电子邮件的邮件线索;
(3)自动保存功能可以自动保存文档,防止内容丢失;
(4)郎时消息传递会话能保存为邮件:
(5)在收件箱和"全部文档"视图中按主题排序。#p#
公司内部许多业务流程的运作都离不开办公邮件系统,例如:消息发布、文档传送、日程提醒等。公司选用的是基于PC服务器架构的版本,软件界面如图1.2。
近几年来,邮件系统在使用过程中发现逐渐开始出现太量的垃圾邮件以及携带病毒的邮件,它们给整个内网网络环境带来相当大的安全风险。
1.2.2桌面视频会议系统
公司在日常工作中需要召开许多会议,而办公楼内会议室数量有限,因此产生供需矛盾。为了解决这个问题,在企业内部实施了桌面视频会议系统,选用的产品为WebEx。用户可以通过网页访问的形式,召开桌面视频会议。该系统可以提供密码保护,仅限受邀人员加入会议,保证网络会议始终保持私密性、可靠性、安全性,在一定程度上可以放心进行内容敏感的机密会议。视频数据的稳定传输对网络带宽的稳定性要求较高,如果出现由于病毒引起的网络流量激增,则会影响传输质量。另外如果密码被黑客软件所记录,则会给公司带来安全隐患。如图1.3。
1.2.3企业财务管理系统
根据企业的要求,企业财务管理系统使用B/S结构,选择Microsoft公司的SQLServer数据库作为应用软件系统运行的数据库服务平台;选择高配置的PC服务器运行Windows.2000操作系统:采用千兆以太网作为系统运行的网络平台。企业财务管理系统的开发工具主要利用Microsoft公司的Visual.Studio.Net,利用C#语言,结合ASP.NET,JavaScript,VbScript等技术来完成企业财务管理系统开发。企业财务管理系统是企业应该重点保护的对象。如果保护不当,就会遭病毒入侵,造成数据丢失,财务管理系统瘫痪,直接影响企业的生产,会给企业带来巨大损失。
1.2.4人力赍源管理系统
企业选用明基逐鹿人力资源管理系统,此系统是基于.net技术架构设计的多层B/S结构,他具各以下特点:集中化管理和维护,客户端的免安装和零维护,极大的降低了企业的维护成本。开放的、可扩展的应用明基逐鹿人力资源管理系统为企业提供的是一个企业信息化平台,支持企业的可持续发展。在产品设计上充分考虑系统的开放性和可扩展性。支持各种导入导出功能。采用基于框架的组件化设计,当出现新的业务时,只需填加新的业务组件即可。EJB中间件具有动态负载均衡能力,完全支持硬件系统性能升级与数量扩充,通过增加服务器,利用服务器集群问的负载均衡,可以满足并发访问用户数的增长。
1.2.5企业办公管理软件
北京格瑞莱软件开发有限公司开发的OA企业办公管理软件.基于Internet平台的OA办公自动化系统。该软件主要针对企业单位内部的管理流程,设计而成的一套方便、稳定、实用的办公自动化软件。其友好的界面、严谨的管理结构,充分担当起了机构中各个管理层的各项工作.不仅是企业单位员工工作中的优秀助手,同时更是帮助有关领导做出英明决策的左右手。它使最复杂、繁琐的办公室事务变得自动化、流程化、数字化,大大提高了公司各部门的工作效率,逐步实现无纸化办公,降低办公成本。
1.3企业防毒状况
1.3.1现有防病毒软件类型
调查时发现使用的防病毒软件产品品牌繁多,有国内的、也有国外的,主要品牌为江民、趋势、瑞星、熊猫等;在公司所有办公机构中防病毒软件使用率也各不相同。在普查中还发现己经使用的防病毒软件类型主要为单机版,并没有形成真正意义的防病毒软件体系。
1.3.2网络中存在的病毒类型
网络管理部门对于计算机的每一次维护都会填写一张表格,上面有计算机保修的原因、故障现象、维护人等信息,录入到专门的数据库中,便于对管理人员日常管理和调配,可以根据事件类型、时间等字段查看记录。每个月可以对数据库中的数据进行统计,显示维护中排除的计算机故障数量,并对其进行分类。从计算机病毒清除的历史记录中可以看到公司网络中存在的病毒类型主要有以下几种:(1)引导型;(2)宏病毒;(3)文件型病毒;.(4)蠕虫病毒;.(5)即时通讯病毒。除此之外,木马软件、还有一些恶意代码和程序也对公司的内网造成影响。#p#
1.3.3计算机病毒来源
从维护记录中可以看出公司内部计算机第一大传统来源为电子邮件,公司邮件系统出于业务需要,会和外部邮件服务器进行邮件传送,很多用户在接收外部邮件后没有对附件进行病毒查杀即直接打开,造成病毒感染。随着科技发展,U盘的成本在不断下降,而容量在不断上涨,U盘的使用率大大增加,成为第二大病毒来源。内部使用即时通讯软件QQ、MSN的使用率非常高,成为第三大病毒来源。公司基本实现办公计算机化,计算机访问互联网率达到了100%。目前一些网站出于不同的目的,在网页代码和下载软件中放入了病毒,用户计算机在访问时由于浏览器的安全设置不完善,出现浏览器主页被更改、设置选项被锁定等现象,因而逐步成为了企业第四大病毒来源,并且随着时间的推移,有发展成为第一病毒来源的趋势。
1.4内网安全存在的问题
(1)防火墙的安全策略低,网络病毒很容易绕过防火墙攻击核心网络交换设备,导致整个网络瘫痪。
(2)核心交换机没有划分VLAN,企业内网广播风暴的风险极高。
(3)地址采用动态分配,外部电脑很容易接入公司内部网络进行病毒传播和恶意破坏。IP地址采用动态分配,只是分配了地址池,会造成网络广播风暴,只要网络内有一台电脑感染ARP病毒就会造成整个内网的瘫痪。
(4)管理软件不能很好的对内网感染病毒的机器进行很好隔离,监控。
(5)使用邮件管理系统,没有统一规划的防毒策略,很容易出现大量的垃圾邮件以及携带病毒的邮件。
(6)使用的桌面视频会议系统,在公司内网感染病毒后很容造成网络阻塞,影响会议效果。
(7)没有使用统一的网络杀毒软件,很难对内网形成有效的防护,很容易造成网络瘫痪。
(8)网络病毒往往通过系统漏洞进行攻击,对每台终端的系统漏洞没有一个统一管理。
网络病毒知识
2.1什么是网络病毒
网络病毒是一种新型病毒,它的传播媒介不再是移动式载体,而是网络通道。这种病毒的传染能力更强,破坏力更大。据国家信息安全办公室与公安部共同进行的我国首次电脑病毒疫情网上调查报告显示,只有27%的电脑用户未感染过病毒;在感染病毒的用户中,感染病毒3次以上的用户竟高达59%。同时网络调查也显示出,利用电子邮件和通过网络进行病毒传播的比例逐年增加,网络病毒已成为网络的头号危害。网络病毒的源头:一种是来自文件下载。用户浏览的或是通过FTP服务器下载的文件中可能存在病毒。而共享软件和各种可执行的文件,如格式化的介绍性文件(formatted presentation)已经成为病毒传播的重要途径。并且,Internet上还出现了Java和Active X形式的恶意小程序。另一种来自于电子邮件。大多数的Internet邮件系统提供了在网络问传送附带格式化文档邮件的功能。只要简单地敲敲键盘,邮件就可以发给一个或一组收信人。因此,受病毒感染的文档或文件就可能通过网关和邮件服务器涌入企业网络。
2.2网络病毒的分类
(1)目前流行的网络病毒从类型上分主要有木马病毒和蠕虫病毒。木马病毒实际上是一种后门程序,他常常潜伏在操作系统中监视用户的各种操作,窃取用户QQ,游戏和网上银行的帐号和密码。蠕虫病毒是网络病毒中技术比较先进的一种病毒,他可以通过多种方式进行传播,更厉害的是利用操作系统和应用程序的漏洞主动进行攻击。每种蠕虫都包含一个扫描功能模块负责探测存在漏洞的主机,在网络中扫描到存在该漏洞的计算机后就马上传播出去。这点也使得蠕虫病毒危害性非常大,可以说网络中一台计算机感染了蠕虫病毒可以在一分钟内将网络中所有存在该漏洞的计算机进行感染。由于蠕虫发送大量传播数据包,所以被蠕虫感染了的网络速度非常缓慢,被蠕虫感染了的计算机也会因为CPU和内存占用过高而接近死机状态。
(2)按照网络病毒的传播途径划分的话又分为邮件型病毒和漏洞性病毒。前者是通过电子邮件进行传播的,病毒将自身隐藏在邮件的附件中并伪造虚假信息欺骗用户打开该附件从而感染病毒,当然有的邮件性病毒利用的是浏览器的漏洞来实现。这时用户即使没有打开邮件中的病毒附件而仅仅浏览了邮件内容,由于浏览器存在漏洞也会让病毒趁虚而入。漏洞型病毒则更加可怕,众所周知目前应用最广泛的是WINDOwS操作系统,而WINDOWS系统漏洞非常多,每隔一段时间微软都会发布安全补丁弥补漏洞。因此即使你没有运行非法软件没有打开邮件浏览只要你连接到网络中,漏洞型病毒就会利用操作系统的漏洞进入你的计算机,例如2004年风靡的冲击波和震荡波病毒就是漏洞型病毒的一种,他们造成全世界网络计算机的瘫痪,造成了巨大的经济损失。
(3)间谍软件是一种恶意程序,能够附着在共享文件、可执行图像以及各种可执行文件当中,当用户点击、运行感染恶意程序的文件的时候趁机潜入用户的系统。它能记录用户的上网过程,盗取用户的用户名和密码及其他隐私信息。这种软件一旦被安装,连杀毒软件也不能查杀,往往很难彻底清除,有时还会严重影响计算机系统的性能。
(4)网络钓鱼陷阱
①发送电子邮件,以虚假信息引诱用户中圈套诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
②冒网上银行、网上证券网站,恶意程序通常是指带有攻击意图所编写的一段程序网络在发展病毒也在发展,现在的病毒已经不是传统意义上的单一病毒了,往往一个病毒载体身兼数职,自身就是文件型,木马型,漏洞型和邮件型的混合体。这样的病毒危、害性更大,查杀起来更困难。#p#
2.3计算机网络病毒传播方式及其特点
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站,无盘工作站和远程工作站)。计算机病毒一般首先通过有盘工作站到软盘和硬盘进入网络,然后开始在网上的传播。具体地说,其传播方式有:病毒直接从有盘站拷贝到服务器中;病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中;如果远程工作站被病毒侵入,病毒也可以通过通讯中数据交换进入网络服务器中。局域网(LAN)中文就是"局部区域网络"的简称,英文全称是"Local Area Network",它主要是指在小范围内由服务器和多台电脑组成的工作组互联网络,属于计算机网络应用的一个分支。由于通过服务器把网内每一台电脑连接,因此局域网内的信息的传输速率比较高,同样也给病毒传播提供了有效的通道,通常病毒在局域网内通过下面几种途径相互传播:
(1)由于局域网很大的一部分用处是在共享资源方面,而正是由于共享资源的"数据开放性",造就了病毒感染的直接性。
(2)由于有些服务器属于低端服务器或者干脆是由普通PC改制而成,在性能上不是很强,因此各电脑在通过服务器和外界数据传输时,一旦服务器感染外界病毒,所有要经过服务器的数据也会被顺带感染,进而造成整个网络感染病毒的情况。
(3)局域网最大的特点就是网内计算机的数据快速、便易的传递,如果其中一台计算机感染病毒,任何与该电脑数据传递都必会感染病毒。
(4)如果局域网中其中一台电脑感染病毒,又通服务器来进行信息传递,就会感染服务器,现在局域网中任何一台通过服务器信息传递的电脑,就会感染病毒。
(5)网络使用者对病毒的安全意识不强,因此会造成经常性的病毒感染。由以上病毒在网络上传播方式可见,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有一些新的特点:
(1)感染速度快。在单机环境下,病毒只能通过存贮介质从一台计算机带到另一台,而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定,针对一台典型的PC网络在正常使用情况,只要有一台工作站有病毒,就可在几十分钟内将网上的数百台计算机全部感染。
(2)扩散面广。由于病毒在网络中扩散非常快,扩敖范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外。
(3)传播的形式复杂多样。计算机病毒在网络上一般是通过"工作站服务器工作站"的途径进行传播的,但传播的形式复杂多样。
(4)难于彻底清除。单机上的计算机病毒有时可通过删除带毒文件。低级格式化硬盘等措施将病毒彻底清除,而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行病毒杀除,并不能解决病毒对网络的危害。
(5)破坏性大。网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使多年工作毁于一旦。
2.4网络病毒的防治
2.4.1基于服务器的防治技术
网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。
2.4.2网络病毒防治必须考虑安装病毒防治软件
(1)安装的病毒防治软件应具备四个特性:
①集成性:所有的保护措施必须在逻辑上是统一的和相互配合的。
②单点管理:作为一个集成的解决方案,最基本的一条是必须有一个安全管理的聚焦点。
③自动化:系统需要有能自动更新病毒特征码数据库和其它相关信息的功能。
④多层分布:这个解决方案应该是多层次的,适当的防毒部件在适当的位置分发出去,最大限度地发挥作用,而又不会影响网络负担。防毒软件应该安装在服务器工作站和邮件系统上。
(2)病毒防治软件安装位置:
工作站是病毒进入网络的主要途径,所以应该在工作站上安装防病毒软件。这种做法是比较合理的。因为病毒扫描的任务是由网络上所有工作站共同承担的,这使得每台工作站承担的任务都很轻松,如果每台工作站都安装最新防毒软件,这样就可以在工作站的日常工作中加入病毒扫描的任务,性能可能会有少许下降,但无需增添新的设备。邮件服务器是防病毒软件的第二个着眼点。邮件是重要的病毒来源。邮件在发往其目的地前,首先进入邮件服务器并被存放在邮箱内,所以在这里安装防病毒软件是十分有效的。假设工作站与邮件服务器的数量比是100:1,那么这种做法显而易见节省费用。备份服务器是用来保存重要数据的。如果备份服务器也崩溃了,那么整个系统也就彻底瘫痪了。备份服务器中受破坏的文件将不能被重新恢复使用,甚至会反过来感染系统。避免备份服务器被病毒感染是保护网络安全的重要组成部分,因此好的防病毒软件必须能够解决这个冲突,它能与备份系统相配合,提供无病毒的实时备分和恢复。#p#
网络中任何存放文件和数据库的地方都可能出问题,因此需要保护好这些地方。文件服务器中存放企业重要的数据。在Internet服务器上安装防病毒软件是头等重要的,上载和下载的文件不带有病毒对你和你客户的网络都是非常重要的。
(3)防病毒软件的布署和管理
防毒软件布署的实际操作一般包括以下步骤:
①制定计划:了解在你所管理的网络上存放的是什么类型的数据和信息。调查:选择一种能满足你的要求并且具备尽量多的前面所提到的各种功能的防病毒软件。
②测试:在小范围内安装和测试所选择的防病毒软件,确保其工作正常并且与现有的网络系统和应用软件相兼容。
③下载病毒特征码数据库更新文件,在测试范围内进行升级,彻底理解这种防病毒系统的重要方面。
④系统安装:在测试得到满意结果后,就可以将此种防病毒软件安装在整个网络范围内。
(4)常用防病毒软件
目前流行的几个国产反病毒软件几乎占有了80%以上的国内市场,其中江民KV300、信源VRV、金辰KILL、瑞星RAV等四个产品更是颇具影响。近几年国外产品陆续进入中国,如NAI、ISS、CA等。
2.4.3基于系统漏洞防治
系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取您电脑中的重要资料和信息,甚至破坏您的系统。及时为系统漏洞进行补丁管理可有效防止网络病毒的攻击。
第三章 内网防毒策略需求
3.1企业内网防毒策略需求
(1)客户需求
计算机维护人员在处理计算机病毒时,客户提出很多需求,难以将所有需求都一起实现。例如:a、感觉杀毒软件杀毒效果不明显,想要尽快更换别的品牌杀毒软件;b、杀毒软件在查杀病毒时耗用时间过长,能否通过升级软件版本和硬件性能来缩短查杀时间;c、能否更好的实现软件界面的人性化,可以对界面进行更换;d、病毒代码更新速度能否快一些;e、能否在一台计算机上安装多种杀毒软件来提高防病毒能力。f、能否对指定目录进行查杀,其它目录不用扫描了。
(2)客户端的管理需求
近些年来,随着公司业务和规模的扩张,陆续引进新的人员。所有人员使用的计算机的配置、安装的操作系统都并不完全相同,如何对这些客户端进行有效的管理,形成一个防病毒管理体系,统一实施、统一防范成为一个非常值得关注的问题。
(3)共享目录需求
公司在运营中,会产生数据,当然也会有数据分享的需求。前面提到的邮件系统和企业及时通信系统QQ、MSN,可以用来传输文件,进行数据分享。但是对于多个文件拷贝传输、大数据量的拷贝传输则不太适用了,因此在实际应用中,公司员工还是习惯使用操作系统中提供的目录共享的功能,可以满足数据分享的要求。但是在使用共享目录的同时,也给计算机病毒防治带来的新的问题,那就是用户在设置共享目录时,并没有对通过网络访问目录的用户设置权限,很多系统默认设置中用户可以完全控制目录,对目录中的文件拥有读写权限,因而为病毒感染提供了温床。用专门的安全扫描工具对公司内部进行扫描,就会发现存在该安全隐患的计算机数量惊人。
(4)统一级需求
病毒软件会按照默认设置或使用户的自定义设置对计算机中的病毒文件进行扫描,扫描时需要参照软件中的病毒定义代码。当有新的病毒出现时,防病毒厂商会及时更新并提供新的病毒定义代码供用户下载来提供对新病毒的防范能力,如果不能及时升级病毒定义库,那防病毒软件也就失去应有的防护能力。原有的防病毒软件种类繁多、相应厂商提供的病毒定义代码升级的周期并不一样,难以对所有病毒软件统一升级,这就造成防病毒客户端防护能力的参差不齐,造成短板效应。另外对于所使用单机版防病毒的升级,由于客户端数量太多,也不可能让维护人员逐台定期进行检查,只能依靠用户升级,由于客户端数量太多,也不可能让维护人员逐台定期进行检查,只能依靠用户自觉地从互联网上定期升级病毒定义代码。
(5)漏洞管理需求
一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在利用操作系统或者应用程序漏洞进行攻击是黑客最常用的手段之一。攻击者首先通过扫描工具扫描目标系统,发现系统中可能存在的漏洞,然后利用针对该漏洞的攻击工具实施攻击。这种攻击模式简单易行,危害极大。与此同时基于漏洞进行感染的病毒传播速度极快来不及防范,随着安全技术的不断发展,从一个漏洞发现到攻击代码实现,到蠕虫病毒产生,几年前可能是几个月甚至半年多,而现在几周甚至一天就可以完成。消除漏洞的根本办法就是安装补丁,因此补丁管理也就需要有很强的及时性,如果补丁管理工作晚于攻击程序,那么企业就有可能被攻击,造成机密信息泄漏。
在一个较大的局域网中,机器配置档次高低各异;操作系统分门别类;系统软件于差万别等问题,网络管理员要想同时对这几百台甚至上千台终端设备及时快速地打上新的补丁程序,几乎是不可能的。要保障每一个补丁在安装后正常运行,不对整个网络系统造成其它破坏和隐患,更是完全不可想象的。#p#
3.2内网防毒技术需求
(1)主机防火墙需求
通过主机防火墙,一方面,可以阻断来自外部的入侵,防止外来入侵给终端计算机带来危害;另一方面,也可以对终端计算机的网络访问行为进行控制,防止内网用户对网络资源的滥用行为,如BT下载导致网络带宽过渡占用。
(2)ARP欺骗阻断需求
对于非授权计算机和不安全的计算机可以采用ARP欺骗的方式,用虚假的MAC地址刷新目标计算机的ARP缓存,导致该计算机无法与内网其它设备通讯,达到阻止其访问网络资源的目的。
(3)与交换机联动阻断需求
更进一步的技术则是通过与交换机的联动,自动判断接入计算机的交换机接口,如果发现接入计算机未经过授权或者安全性较差,则通过交换机禁用该计算机所在的端口彻底阻断计算机的接入。
(4)通过对终端计算机运行的进程进行监控,可以发现用户正在运行的程序。可以通过进程黑名单的方式限制用户运行某些程序,例如游戏、攻击工具、视频播放器、MP3播放器等,从而限制用户利用计算机进行与工作无关的操作。
(5)病毒检测、主机保护、强制认证、完整性检查、内容访问控制等需求,解决这些问题,内网防毒水平将提升到一个新的高度。
(6)上网控制
通过对终端计算机的上网控制,可以限定终端计算机的网站访问、网络聊天和BT下载行为,使得终端计算机的用户行为得到有效控制,既可避免用户滥用网络资源,又能降低随意浏览互联网带来的内网安全隐患。
(7)病毒预警机制
病毒传播方式主要是通过网络来进行传播的。所们应在网络环境下,主动发现通过网络传播意病毒代码。并对传播恶意病毒代码的源头进行处对恶意病毒代码的种类进行收集、分析和统计。借助网络病毒事件预警,掌握病毒疫情分布情况。为信息主管机关提供准确的病毒疫情,从而保证病毒防治具有针对性、科学性,减少盲目性。
【编辑推荐】