网络安全这个话题被提上企业的日程还是最近几年的事情,尽管如此,它在企业整体安全中却占据着重要位置。而由于企业网络安全会涉及到企业网络的各个方面,所以出现了防火墙、入侵检测(IDS)、防病毒和网络漏洞扫描等产品。这就造成了企业在选择网络安全产品的时候往往会比较迷惑,因为各个产品价格不一样,而不同企业之间的安全需求也不同,如何用最低的成本获得最大效益,找到性价比最高的产品组合成为摆在企业网络安全建设面前的一道难题。
我们暂且将企业比做一间房子,那么我们如何保护自己的房子就是企业的网络安全建设。
首先我们会想到在房子外面垒一道高墙,在企业网络安全中这道高墙就好比防火墙。防火墙主要是利用网络访问控制技术,在某个机构的内部网络和不安全的网络边界设置控制手段,阻止外部对内部网络信息资源的非法访问,同时也可以使用防火墙阻止企业重要信息从公司网络上被非法输出,通过限制与网络或某一特定区域的通信,以达到防止非法用户入侵网络的目的。防火墙是一种被动防御的防护技术,由于它假设了网络的边界和服务,因此对内部的非法访问很难控制,就好像用高墙将房子包围起来,但是在高墙以内的非法访问和攻击却丝毫办法也没有,因此,防火墙比较适合相对独立的网络,网络服务相对集中的单一网络。
实时监测产品也就是我们经常说的入侵检测产品。所谓"入侵检测"就是通过从计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,以发现网络或系统中是否有正在违反安全策略的行为或者正遭到黑客、病毒等袭击的迹象。实时监测主要通过以下几种活动来完成:监视、分析用户及系统活动;对系统的配置和已经知道的系统漏洞和弱点进行监测;识别与已知的攻击模式相符合的活动;对异常的活动模式进行统计分析;评估重要系统和数据文件的完整性;对操作系统进行跟踪管理,并识别用户违反安全策略的行为。还有一些实时监测软件能够自动安装厂商提供的补丁软件并且自动记录入侵者的信息,不过对于一些通过正常途径的威胁访问实时监测产品并不能报警。实时监测产品主要是对整个系统进行监控,和院子中的看门狗的作用差不多,发现异常情况需要报告给主人,这样才知道来的人是客还是贼,或者只是大风吹倒了什么东西。所以实时监测产品能够起到很好的监督、收集异常信息的作用,但是发现问题后该如何解决,就需要用到防病毒等产品了。
防病毒产品大体上可以分为硬件和软件两大类,如:防病毒网关和杀毒软件。防病毒网关一般说来是安装在两个网络或者多个网络之间,在网络边缘检测病毒、蠕虫的硬件防病毒产品,一般情况下安装在内部网和外部网、公网之间,或者安装在单位的网络和外部合作伙伴的网络之间。网关工作深入到应用层,可以实时快速地监测流经网关任意一种方向的数据流,如果发现了病毒就拦截并且清除同时记录病毒日志和向管理员提交报告,然后将无病毒的数据流转发到目的地。而杀毒软件就是专门检测网络或者系统中隐藏的病毒或者具有安全威胁的程序等的软件产品,它主要是在已经发生病毒侵害并且已经造成损失并为人们所发现的情况下才会工作,这个时候只能亡羊补牢了。
网络漏洞扫描系统则是一款在网络安全事件发生前先检查运行的网络系统中存在的漏洞并且提供相应的解决方案的产品。RJ-iTop榕基网络漏洞扫描系统侧重的时间段在发生安全事故前这一阶段,通过模拟黑客攻击的方式,对被检系统进行安全漏洞和隐患扫描,提交风险评估报告,并提供相应的整改措施,最适宜定期和不定期的预防性安全检查,能最大限度地暴露网络中存在的安全隐患。无论是黑客还是病毒入侵系统最主要的就是利用网络系统中存在的安全漏洞,而有数据显示,新发现的安全漏洞每年都以成倍的速度增长,入侵者经常是在企业发现安全漏洞之前进行攻击的。在这样的情况下,入侵者和企业之间就好像在打一场速度战一样,如果企业能够通过隐患扫描工具率先发现网络系统中漏洞,并且采取相应的应对措施,就可以将病毒侵害化解于无形之中。榕基软件的RJ-iTop榕基网络漏洞扫描系统的漏洞库完全基于国际CVE标准,企业可以通过本地或者网络升级随时保持与国际最新标准漏洞库同步,榕基软件提供的漏洞更新数量是平均每周5-10个。
可见,虽然网络安全产品种类繁多,但是根据产品的特点和企业对安全的要求的级别来综合考虑,在重点的数据中心和涉及商业秘密的系统中心区别对待,综合各个产品的优点,就可以构建出性价比较高的网络安全屏障。
网络安全产品选购前的分析测试
1、 选择企业电脑的数量
A 2-10台
A 10-30台
B 30-250台
2、 是否有专门的计算机维护人员
A 无
B 有专门的网管或承担网管职责的人,但没有专门的 IT 部门
C 有专门的 IT 部门
3、选购网络安全产品主要目的
A 防电脑病毒,防网络阻塞、系统瘫痪、信息传输中断、数据丢失
B 防杀毒、防入侵、防垃圾邮件
C 防病毒、防垃圾邮件、防止非法入侵、身份识别与访问控制、反端口扫描、数据备份和恢复、防止无线数据拦截
4、对产品的价格
A 价格便宜,功能不要求太复杂
B 具有一定性价比的产品
C 价格不是采购的考虑因数,关键在于产品的功能
5、对产品的功能要求
A 具备基本防杀毒功能
B 便于集中管理、能实现自动监控
C 除满足基本功能外,可提供全方位的权限保护
6、对产品的维护要求
A 升级简单方便
B 整合度高、易于维护
C 性能要稳定可靠
选A得1分,选B得2分,选C得3分
6分-11分:此类企业主要为起始和初级中小企业,规模比较小,电脑数量少,对于这类企业来说简单的杀毒软件就能满足他们对于网络安全的防护需要。
推荐产品组合:企业版杀毒软件
12分-17分:此类企业多为中等需求中小企业,通过局域网与因特网连接,这类企业在采购网络安全产品的时候既要考虑到产品性能又要兼顾到价格,同时他们的需求也是多样性,可以通过不同的网络安全产品搭配来满足具体的需求。
推荐产品组合:企业版防毒软件,防火墙,入侵检测(IDS),网络漏洞扫描等产品
18分:此类企业多为高级中小企业,企业有信息管理系统,使用多种业务集成的企业及综合应用管理软件,如 ERP 、 CRM 、 SCM 等类型的管理软件。企业正处于发展壮大期,信息系统正发挥着重要作用,这些企业中的绝大多数已经或正在计划使用网络安全产品。此类中小企业会和大企业一样,遇到相类似的安全问题,混合性攻击、网络钓鱼等安全威胁时时存在。因此他们对产品功能的要求不会比大企业少,只不过在产品性能上要低于大型行业用户。
推荐产品组合:企业网络安全整体解决方案
安全产品导购之防毒软件篇
如果企业规模小,对网络安全的要求也不高,那么花大价钱添置高级网络安全设备显然是不明知的,此类企业只要配备上一般的企业级防毒软件既可满足他们对于网络安全的需求。
推荐产品:
趋势科技中小企业安全软件包网络与邮件安全版
Trend Micro Client/Server/Messaging Suite for Small and Medium Business (以下简称中小企业防毒超值包) 是一套整合防毒与垃圾邮件防制的解决方案,专为网络工作站、服务器、Microsoft Exchange 邮件服务器所设计。只要一次安装的程序,不但可以扫瞄并清除公司网络内的病毒,还能帮企业阻挡垃圾邮件的散播,在Exchange 使用者看到这些垃圾邮件之前,就予以清除。此外,集中管理的功能,能够让IT资源发挥最大效用,将企业级的保护整合在一套中小企业解决方案中。
冠群金辰KILL 安全胄甲防病毒系统
KILL安全胄甲(企业版)是冠群金辰公司推出的企业级网络防病毒系统,支持在各种主流的系统平台上实现全面防病毒保护,其病毒检测能力通过了全球18家权威机构认证。 KILL安全胄甲采用无缝集成的双引擎技术,实时监视系统活动,全面查杀各种形式的病毒,提供灵活多样的病毒修复和处理方法,其病毒检测处理技术处于业界领先地位。
KILL安全胄甲(企业版)采用网络化防病毒管理。客户端实时检测处理计算机病毒,无需人工干预,也支持手工方式扫描病毒。服务器定义防病毒策略、监控客户端状态、进行报警和日志处理、实现特征码升级和分发。
产品优势:广泛的系统平台支持;双引擎扫描技术;卓越的病毒查杀能力认证;分布广泛的病毒监测网;资源占用率低;自身安全保障
产品功能:全面查杀病毒;实时监控、按需扫描;集中网络管理;客户端零管理;多种安装方式;报表分析;自动增量升级;在线更新
其他推荐产品:金山毒霸企业版,瑞星杀毒企业版
安全产品导购之防火墙篇
随着企业网络应用的日益普及,中小企业对于网络的依赖性也越来越强,许多重要的数据和文件也开始在网上传输和应用,因此中小企业对于数据的安全性将会越来越重视。而近来各种病毒的爆发以及黑客攻击的频繁出现,更是给网络防护本就薄弱的中小企业敲响了警钟。一些非法侵入他人系统、窃取机密、破坏系统等恶性行为也悄然而至,如果不采取必要的安全措施加以自我保护,后果不堪设想。面对这些潜在的威胁,单纯靠防毒软件已经不能满足企业的安全需求
从中小企业的特点来看,中小企业防火墙必须具备以下一些特点:
1、价格仍然是中小企业在选择防火墙时所考虑的首要因素,因此适合于中小企业经济承受能力的合理的市场价格方能为其所接受。
2、中小企业虽然规模较小,但其对于产品功能多样性的需求并不亚于大型企业。而且中小企业往往希望"少花钱,多办事",因此具有丰富功能的产品往往能赢得中小企业用户的青睐。
3、中小企业由于资金及人力所限,不可能设置专业的IT安全管理技术人员,因此产品必须易于安装,同时尽量做到免管理、免维护。
4、中小企业大多属快速成长型企业,发展速度很快,需求的变化也很快。因此产品的扩展性对于中小企业未来的网络安全应用就显得十分重要。
推荐产品:
Check Point Embedded NGX 6.0
Safe@Office 500是基于全新的Check Point Embedded NGX 6.0,这个先进安全软件平台以Check Point领先市场的 Firewall-1® 与 VPN-1®为基础,由SofaWare Technologies把它调整至适合嵌入式设备使用。统一威胁管理(UTM)安全配置是一种分层式网络安全硬件解决方案,它整合了多种功能,包括网络防火墙、网络入侵防御和防病毒网关。
Check Point Embedded NGX 6.0状态病毒防御保护功能,能配合高吞吐量网络使用的防病毒扫描功能,可为电子邮件、web、文档下载或任何其它用户定义的端口提供防病毒保护。它会经常更新,确保办公室网络能抵御新涌现的电脑病毒与"网页仿冒"(phlishing)攻击。先进的网络监控与解决问题工具使用户通过使用内置流量监控及数据捕捉工具来控制及监控接收及发出的信息流,确保办公室的宽带连接维持高效的使用率。而全面的VPN功能让小型企业能为远程上班族及出差员工提供远程访问,从而提高其生产力。此外,也可通过低成本的宽带连接为各个远端分支单位提供连接。
Juniper SA700:
Juniper 网络公司于2005年8月全新推出Secure Access 700 (SA 700) SSL VPN产品以支持企业 Infranet 架构。该产品的推出为中小企业部署到公司网络的远程访问提供经济高效的安全方法。
SA 700使用安全套接层(SSL)提供加密传输,通过Web浏览器便可实现即时远程访问。无客户端架构消除了在每个设备上安装、配置并维护客户端软件的高昂成本,与传统VPN解决方案相比,大幅度降低了总拥有成本。SSL还帮助消除了传统远程接入产品中常见的网络地址转换(NAT)和防火墙穿过问题,允许远程用户从家庭或酒店等外部网络随时安全地接入公司的网络。
SA 700的标准配置包含Juniper网络公司Network Connect接入方法,通过轻量级的跨平台动态下载创建安全的网络层连接。SA 700还可升级,以包含Juniper核心无客户端接入方法,进而允许从任何PC连接到基于Web的应用、文件、XML 和 Flash内容。构建在Juniper市场领先的Instant Virtual Extranet (IVE)平台上,Secure Access 700系列提供企业增强AAA (验证、授权和审计)、全面的端点防御、以及通过CyberTrust严格审计和ICSA实验室认证的核心安全架构。
安全产品导购之解决方案篇
如果企业对安全需求高,可以考虑采用一系列解决方案来满足企业安全需求。厂商为企业提供的解决方案从企业的需求出发,从成本,软件、产品,服务各方面来实现客户对网络安全的需求。
STONESOFT解决方案
对于中小企业而言,业务应用对IT设施的需求是旺盛且迅猛增长的。业务类型不因企业的规模较小而产生缺失,且更希望有强有力IT 架构设施以助业务发展之力。但是,中小企业往往在IT设备投资预算方面尴尬,在众多需求与相应费用之间徘徊。没有一个应用需求是不迫切的,但是将每个需求都对应产品却是远超预算的。基于Stonesoft多ISP支持的能力, 我们可以快速的在多个ISP之间进行负载均衡, 大大提高Internet连接的性能和可用性.对于日益增多的恶意站点,恶意脚本和威胁,我们可以利用stonesoft CIS的能力结合其他合作伙伴的产品组合成完整的安全解决方案,为中小企业打造一个高性能,低价格的绿色网络环境.
面对客户需求,芬兰安全整体方案提供商StoneSoft给出了相应解决方案,通过集安全审核、流量控制、多链路负载均衡、服务器负载均衡、IPS、多层检测等多项功能为一体的集成化设备,用户可自由设计组合适合需求的企业网络,在业务流程的每一个环节,StoneGate安全流量设备都考虑到可能出现的单点故障并且用专利技术来消除隐患,并实现功能与预算的最优组合,在不牺牲功能点的同时,完成企业网络设计的目标。具体产品型号SG250及500系列均可满足不同中小企业的要求。
赛门铁克安全解决方案:
适用于中小型企业的赛门铁克安全解决方案包括:
1. Symantec Client Security 2.0 集成客户端安全软件,它可以保护企业免受病毒和黑客攻击;
2. Symantec AntiVirus 9.0 防病毒软件可以保护台式机和服务器免受病毒攻击;
3. Symantec Gateway Security 300系列网关防火墙设备,为中小企业提供多功能网关防火墙保护。
在安全保障方面,防火墙或安全网关必不可少,而如IDS、IPS和防病毒软件等技术则可以帮助检测各种威胁,防止这些威胁进入网络并造成严重的破坏。为进一步保护专用网络,企业通常会部署各种防病毒工具防范各种网络病毒、蠕虫、特洛伊木马和其它威胁。
如果可以将防火墙安全、互联网冗余、安全无线连接、安全VPN、IDS、IPS和防病毒功能集中在一个解决方案之中,使它们无缝协作,不仅可以降低购买成本,而且还消除了维护一个过度复杂的多设备解决方案的长期费用。专为小型企业设计的SGS 300系列就是这样一种易于使用的集成网络安全解决方案,它不仅具有上述的各种功能,同时还能够提供只有企业级安全网关才能够提供的强大处理能力和高级功能。这些紧密集成的功能可实现互操作保护,而且只需要少量的附加许可证费用。
除了集成的多种功能可以减少管理支出和成本的优势外,塞门铁克还充分考虑小型企业的成长性和灵活性,所有300系列都内置了赛门铁克的LiveUpdate技术,这一技术能够自动保持设备固件的更新。除此之外,300系列还有不以牺牲性能为代价。简单易用的管理与支持。可靠的灵活连接方式等优点。