网络安全方案评比

‘壹’ 网络安全的解决方案!急,满意再给100!

谈对网络安全的认识

近几年来，网络越来越深入人心，它是人们工作、学习、生活的便捷工具和丰富资源。但是，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。作为学校，如何建立比较安全的校园网络体系，值得我们关注研究。

建立校园网络安全体系，主要依赖三个方面：一是威严的法律；二是先进的技术；三是严格的管理。

从技术角度看，目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由、网络防病毒等，这些技术对防止非法入侵系统起到了一定的防御作用。代理及防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。

网络现状

我校是一所市一级中学，目前有两所网络教室、200多台教学办公电脑，校园网一期工程为全校教教学教研建立了计算机信息网络，实现了校园内计算机联网，信息资源共享并通过中国公用Internet网（CHINANET）与Internet互连，校园网结构是：校园内建筑物之间的连接选用多模光纤，以网管中心为中心，辐射向其他建筑物，楼内水平线缆采用超五类非屏双绞线缆。3Com 4900交换机作为核心交换机；二级交换机为3Com 3300。

安全隐患

当时，校园网络存在的安全隐患和漏洞有：

1、校园网通过CHINANET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

2、校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

3、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。我校的网络服务器安装的操作系统有Windows2000 Server，其普遍性和可操作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞，这些都对原有网络安全构成威胁。

4、随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。

措施及解决方案

根据我校校园网的结构特点及面临的安全隐患，我们决定采用下面一些安全方案和措施。

一、安全代理部署

在Internet与校园网内网之间部署一台安全代理（ISA），并具防火墙等功能，形成内外网之间的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在安全代理，与内、外网间进行隔离。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在安全代理设置上可以按照以下原则配置来提高网络安全性：

1、据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“关闭一切，只开有用”的原则。

2、安全代理配置成过滤掉以内部网络地址进入Internet的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

3、安全代理上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

4、定期查看安全代理访问日志，及时发现攻击行为和不良上网记录，并保留日志90天。

5、允许通过配置网卡对安全代理设置，提高安全代理管理安全性。

二、入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警，使得学校管理员能够及时采取应对措施。

三、漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。

四、诺顿网络版杀毒产品部署

在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

1、在学校网络中心配置一台高效的Windows2000服务器安装一个诺顿软件网络版的系统中心，负责管理200多个主机网点的计算机。

2、在各行政、教学单位等200多台主机上分别安装诺顿杀毒软件网络版的客户端。

3、安装完诺顿杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

4、网管中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到诺顿网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它200多个主机网点的客户端与服务器端，并自动对诺顿杀毒软件网络版进行更新，使全校的防毒病毒库始终处于最新的状态。

五、划分内部虚拟专网（VLAN），针对内部有效VLAN设置合法地址池，针对不同VLAN开放相应端口，阻止广播风暴发生。

六、实时升级Windows2000 Server、IE等各软件补丁，减少漏洞；实行个人办公电脑实名制。

七、安全管理

常言说：“三分技术，七分管理”，安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式，制定详细的安全管理制度，如机房管理制度、病毒防范制度、上网规定等，同时要注意物理安全，防止设备器材的暴力损坏，防火、防雷、防潮、防尘、防盗等，并采取切实有效的措施保证制度的执行。

近几年，通过对以上措施的逐步实施，我校校园网络能鸲安全正常运行，为学校教育教学工作的顺利开展提供了有力辅助，并渐入佳境。

‘贰’ 网络安全有哪些方面，有什么解决的方案吗

网络安全方面，基本上是包括六个方面，首先就是企业安全制度，这是奠定安全的基石；第二点就是数据安全方面，主要是防灾备份机制；第三点就是有关于传输安全，这一部分就是有关路由热备份、NAT、ACL等；第四点就是服务器安全，主要是包括冗余、DMZ区域等；第五点就是防火墙安全，这部分基本上都知道一些，主要是靠硬件或者软件来实现；第六点就是有关于防病毒的安全了。要说解决方案，F5在这方面是值得信赖的，根据F5分析，由于服务运营商使用更加平面化且更为开放的体系架构部署基于 IP 的 LTE 网络，因此从本质上说，这些网络更易遭受安全威胁，并且威胁的数量和种类也在不断增加。LTE 演进分组核心网 (EPC) 以及信令和订户信息未得到良好的保护，不能很好地抵御来自网络访问点外部的攻击。因操作问题或来自恶意攻击可能会造成的信令风暴不断涌现，这也同样令人棘手。漫游协议和第三方内容提供商会添加外部网络连接，从而让情况变得更加复杂。所以，F5则是采用整合的 Diameter 信令平台提供了实现安全性的战略方法，该平台优化了信令网络并可抵御信令安全威胁。

‘叁’ 网络安全技术措施

最佳的解决方案

1.安装瑞星杀毒或卡巴斯基等杀毒软件，实时清除电脑木马病毒；

2.安装个人硬件防火墙，简单使用，实时监控且能100%防御黑客攻击，又不会影响电脑出现卡机等现象。

目前此类产品中阿尔叙个人硬件防火墙做比较专业，价格还算能接受

在设置一个网络时，无论它是一个局域网（LAN）、虚拟LAN（VLAN）还是广域网（WAN），在刚开始时设置最基本的安全策略非常重要。安全策略是一些根据安全需求，以电子化的方式设计和存储的规则，用于控制访问权限等领域。当然，安全策略也包括一个企业所执行的书面的或者口头的规定。另外，企业必须决定由谁来实施和管理这些策略，以及怎样通知员工这些规则。安全策略、设备和多设备管理的作用相当于一个中央安全控制室，安全人员在其中监控建筑物或者园区的安全，进行巡逻或者发出警报。那什么是安全策略呢？所实施的策略应当控制谁可以访问网络的哪个部分，以及如何防止未经授权的用户进入访问受限的领域。例如，通常只有人力资源部门的成员有权查看员工的薪资历史。密码通常可以防止员工进入受限的领域。一些基本的书面策略，例如警告员工不要在工作场所张贴他们的密码等，通常可以预先防止安全漏洞。可以访问网络的某些部分的客户或者供应商也必须受到策略的适当管理。谁又能来实施管理安全策略呢？制定策略和维护网络及其安全的个人或者群体必须有权访问网络的每个部分。而且，网络策略管理部门应当获得极为可靠，拥有所需要的技术能力的人员。如前所述，大部分网络安全漏洞都来自于内部，所以这个负责人或者群体必须确保其本身不是一个潜在的威胁。一旦被任命，网络管理人员就可以利用复杂的软件工具，来帮助他们通过基于浏览器的界面，制定、分配、实施和审核安全策略。你想怎样向员工传达这个策略呢？如果相关各方都不知道和了解规则，那规则实际上没有任何用处。为传达现有的策略、策略的更改、新的策略以及对于即将到来的病毒或者攻击的安全警报制定有效的机制是非常重要的。

‘肆’ 网络安全解决方案

方案分为安全技术部分和安全管理部分。
安全技术部分：
1.物理安全
需要建设独立的计算机机房，满足防水、防火、防静电等要求。机房设置门禁和视频监控。
2.网络安全
采用防火墙进行安全区域分割，把公司网络分为服务器区和办公区。设置不同的安全规则以防范黑客攻击。采用上网行为管理产品对网络行为和流量进行管控。
3.系统安全
采用终端安全管理系统，对客户端进行管控，重点管控网络行为、补丁升级和软件分发等。对服务器进行安全加固，保障服务器安全。
4.应用安全
对Web电子商务服务器进行漏洞扫描和加固，防范SQL注入等应用攻击，必要时采用Web防护系统（Web防火墙、防篡改）。对数据库的操作行为进行审计。
5.数据安全
对数据库和关键系统进行定期备份，并做好应急措施。
安全管理部分
首先要建立网络安全负责制，由公司主要领导挂帅。建立机房安全管理制度，服务器安全运维制度，计算机终端安全使用规范，与员工签订网络安全协议，提供员工网络安全意识。

‘伍’ 网络安全问题及其解决方案

【热心相助】
推荐：清华大学出版社《网络安全实用技术》贾铁军教授主编，第12章网络安全解决方案。
可以参考、借鉴、修改、完善！
祝福您好运！大吉大利、万事如意！

‘陆’ 什么是网络安全如何评价一个网络系统的安全性

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络的安全是指通过采用各种技术和管理措施，使网络系
统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。

如何评价一个网络系统的安全性?
目的就是让你的电脑网络与数据更安全

1：针对电脑网络与各种帐号密码，提供系统加固保护。
此方案可应对增长快速的病毒感染与黑客攻击，减少各种帐号密码被盗的风险。
（所需步骤：安装杀毒软件与网络防火墙、配置系统用户权限、安装最新系统与软件漏洞补丁、关闭不需要的服务与删除多余软件、其它必要设置等）。

2：针对各种数据、帐号密码与电脑网络，提供全面的数据加密、系统加固保护。
此方案可应对电脑被盗、丢失、黑客攻击、感染病毒等情况的重要数据不泄漏、各种帐号密码的安全。
（所需步骤：配置EFS文件加密系统、备份加密密钥、对数据进行加密配置、安装杀毒软件与网络防火墙、配置系统用户权限、安装最新系统与软件漏洞补丁、关闭不需要的服务与删除多余软件、其它必要设置等）。

‘柒’ 如何评估网络安全风险并在此基础之上提出所采用的技术方案

首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？
其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？
第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？
第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？
最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？
风险评估的主要任务包括：
识别评估对象面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策

‘捌’ 网络安全防护的安全方案

人们有时候会忘记安全的根本，只是去追求某些耀人眼目的新技术，结果却发现最终一无所得。而在如今的经济环境下，有限的安全预算也容不得你置企业风险最高的区域于不顾而去追求什么新技术。当然，这些高风险区域并非对所有人都相同，而且会时常发生变化。不良分子总是会充分利用这些高风险区域实施攻击，而我们今天所看到的一些很流行的攻击也早已不是我们几年前所看到的攻击类型了。写作本文的目的，就是要看一看有哪些安全解决方案可以覆盖到目前最广的区域，可以防御各种新型威胁的。从很多方面来看，这些解决方案都是些不假思索就能想到的办法，但是你却会惊讶地发现，有如此多的企业(无论是大企业还是小企业)却并没有将它们安放在应该放置的地方。很多时候它们只是一种摆设而已。
下面给出的5大基本安全方案，如果结合得当，将能够有效地制止针对企业的数据、网络和用户的攻击，会比当今市场上任何5种安全技术的结合都要好。尽管市场上还有其他很多非常有用的安全解决方案，但如果要选出5个最有效和现成可用的方案，那么我的选择还是这5项：
防火墙
这块十多年来网络防御的基石，如今对于稳固的基础安全来说，仍然十分需要。如果没有防火墙屏蔽有害的流量，那么企业保护自己网络资产的工作就会成倍增加。防火墙必须部署在企业的外部边界上，但是它也可以安置在企业网络的内部，保护各网络段的数据安全。在企业内部部署防火墙还是一种相对新鲜但却很好的实践。之所以会出现这种实践，主要是因为可以区分可信任流量和有害流量的任何有形的、可靠的网络边界正在消失的缘故。旧有的所谓清晰的互联网边界的概念在现代网络中已不复存在。最新的变化是，防火墙正变得越来越智能，颗粒度也更细，能够在数据流中进行定义。如今，防火墙基于应用类型甚至应用的某个功能来控制数据流已很平常。举例来说，防火墙可以根据来电号码屏蔽一个SIP语音呼叫。
安全路由器
(FW、IPS、QoS、VPN)——路由器在大多数网络中几乎到处都有。按照惯例，它们只是被用来作为监控流量的交通警察而已。但是现代的路由器能够做的事情比这多多了。路由器具备了完备的安全功能，有时候甚至要比防火墙的功能还全。今天的大多数路由器都具备了健壮的防火墙功能，还有一些有用的IDS/IPS功能，健壮的QoS和流量管理工具，当然还有很强大的VPN数据加密功能。这样的功能列表还可以列出很多。现代的路由器完全有能力为你的网络增加安全性。而利用现代的VPN技术，它可以相当简单地为企业WAN上的所有数据流进行加密，却不必为此增加人手。有些人还可充分利用到它的一些非典型用途，比如防火墙功能和IPS功能。打开路由器，你就能看到安全状况改善了很多。
无线WPA2
这5大方案中最省事的一种。如果你还没有采用WPA2无线安全，那就请把你现在的安全方案停掉，做个计划准备上WPA2吧。其他众多的无线安全方法都不够安全，数分钟之内就能被破解。所以请从今天开始就改用带AES加密的WPA2吧。
邮件安全
我们都知道邮件是最易受攻击的对象。病毒、恶意软件和蠕虫都喜欢利用邮件作为其传播渠道。邮件还是我们最容易泄露敏感数据的渠道。除了安全威胁和数据丢失之外，我们在邮件中还会遭遇到没完没了的垃圾邮件！
Web安全
今天，来自80端口和443端口的威胁比任何其他威胁都要迅猛。有鉴于基于Web的攻击越来越复杂化，所以企业就必须部署一个健壮的Web安全解决方案。多年来，我们一直在使用简单的URL过滤，这种办法的确是Web安全的一项核心内容。但是Web安全还远不止URL过滤这么简单，它还需要有注入AV扫描、恶意软件扫描、IP信誉识别、动态URL分类技巧和数据泄密防范等功能。攻击者们正在以惊人的速度侵袭着很多高知名度的网站，假如我们只依靠URL黑白名单来过滤的话，那我们可能就只剩下白名单的URL可供访问了。任何Web安全解决方案都必须能够动态地扫描Web流量，以便决定该流量是否合法。在此处所列举的5大安全解决方案中，Web安全是处在安全技术发展最前沿的，也是需要花钱最多的。而其他解决方案则大多数已经相当成熟。Web安全应尽快去掉虚饰，回归真实，方能抵挡住黑客们发起的攻击。

‘玖’ 08年世界杀毒软件排行

金奖：BitDefender

BitDefender 杀毒软件是来自罗马尼亚的老牌杀毒软件，它将为你的计算机提供最大的保护，具有功能强大的反病毒引擎以及互联网过滤技术，为你提供即时信息保护功能，通过回答几个简单的问题，你就可以方便的进行安装，并且支持在线升级。 它包括：1. 永久的防病毒保护；2. 后台扫描与网络防火墙；3. 保密控制；4. 自动快速升级模块；5. 创建计划任务；6. 病毒隔离区。

银奖：Kaspersky

Kaspersky （卡巴斯基）杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。卡巴斯基杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒！提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻段、完全检验、E-mail 通路和防火墙。它支持几乎是所有的普通操作系统。卡巴斯基控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和 IT 出版机构的证书，确认了卡巴斯基具有汇集行业最高水准的突出品质。

铜奖：ESET Nod32

国外很权威的防病毒软件评测给了 NOD32 很高的分数，在全球共获得超过 40 多个奖项，包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等，更加是全球唯一通过 46 次 VB 100% 测试的防毒软件，高据众产品之榜首！产品线很长，从 DOS、Windows 9x/Me、Windows NT/XP/2000，到Novell Netware Server、Linux、BSD 等，都有提供。可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度效果都令人满意。

对于杀毒软件的横评在国内始终处于一种尴尬的地位，因为里面除了包含数据的测试结果之外也必然会有一些主观的印象评价，而给分标准的不同往往也会让最后的评价结果产生不同，其实这种现象不光在杀毒软件中会有，在一切的产品横向评测中都会有何种情况发生，而这是就会让原本就带有一定倾向性的读者感到结果的不公或是给了一些枪手“喷粪”的机会，在这里我们要表明一个态度，那就是我们的横评一定都是力求公正与全面的。介于这些问题再加之读者一项对海外的专业机构评选比较认可，所以今天我们也是本着满足读者的意愿，以及认真像别人学习的态度，大家来一起看看由Toptenreviews带来的2008年知名杀软排行榜吧。

第一名：BitDefender

下载：http://www.skycn.com/soft/42012.html

得分：4分（满分）

BitDefender杀毒软件是来自罗马尼亚的老牌杀毒软件，二十四万超大病毒库，它将为你的计算机提供最大的保护，具有功能强大的反病毒引擎以及互联网过滤技术，为你提供即时信息保护功能，通过回答几个简单的问题，你就可以方便的进行安装，并且支持在线升级。

它包括：1. 永久的防病毒保护；2. 后台扫描与网络防火墙；3. 保密控制；4. 自动快速升级模块；5. 创建计划任务；6. 病毒隔离区。

第二名：Kaspersky

下载：http://www.skycn.com/soft/22713.html

得分：4分（满分）

Kaspersky （卡巴斯基）杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。卡巴斯基杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒！提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻段、完全检验、E-mail 通路和防火墙。它支持几乎是所有的普通操作系统。

卡巴斯基控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和 IT 出版机构的证书，确认了卡巴斯基具有汇集行业最高水准的突出品质。

第三名：ESET Nod32

下载：http://www.skycn.com/soft/39709.html

得分：3.5

国外很权威的防病毒软件评测给了 NOD32 很高的分数，在全球共获得超过 40 多个奖项，包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等，更加是全球唯一通过 26 次 VB 100% 测试的防毒软件，高据众产品之榜首！

它的产品线很长，从 DOS、Windows 9x/Me、Windows NT/XP/2000，到Novell Netware Server、Linux、BSD 等，都有提供。可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度效果都令人满意。

第四名：Trend Micro Antivirus

第五名：F-Secure Anti-Virus

第六名：McAfee VirusScan

第七名：Norton AntiVirus

第八名：AVG Anti-Virus

第九名：CA Antivirus

第十名：Norman Virus Control