许华光  

基础安全防护系统是整个安全解决方案的关键，是网络系统安全体系建设的重要组成部分，其建设包括有防火墙、入侵检测、漏洞扫描、安全审计、病毒防治等。

防火墙

防火墙主要利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，根据在其上配置的安全策略来控制（允许、拒绝、监测）出入网络的信息流。同时实现网络地址转换（NAT）、审计和实时报警功能。

1．防火墙工作模式

防火墙主要工作在交换和路由两种模式下：

（1）交换模式：3个网络接口构成一个以太网交换机，本身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一个互通的物理网络。

（2）路由模式：防火墙本身构成3个网络间的路由器，3个网络接口分别具有不同的IP地址。三个不同网络中的主机可通过该防火墙的路由功能进行通信。

2．防火墙的布置

网络防火墙主要是在局域网的出入口处和网络内部不同安全域之间进行布置，也即在不同的网络安全域的边界，实现不同安全域之间的逻辑隔离、访问控制及审计。可分为网络边界防火墙和网络内部防火墙两种类型。由于防火墙所处的位置不同，因而在选型和配置上会有所差别，包括防火墙接口速率，防火墙接口数，防火墙的工作模式等配置策略等。

入侵监测系统

入侵监测系统基于网络和系统的实时安全监控，运行于敏感数据需要保护的网络上，对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志，可弥补防火墙的不足。

入侵监测系统有多种形式，如基于主机系统的入侵监测系统、基于数据库的入侵监测系统和基于网络的入侵监测系统等。应用较多的是采用基于网络的入侵监测系统。

在实际部署时，主要在网络系统中易受到攻击的网络边界网段和内部关键服务器所处网段布置探测引擎，也即布置在边界防火墙和内部网主干交换机附近，以检测关键部位的数据流，防范非法访问行为，并对非法网络行为的审计、监控及安全监控。对于配置在防火墙附近入侵监测系统，需配置防火墙的联动以进行动态防护。入侵监测系统由控制中心和探测引擎（网络、主机）组成，在网络管理区部署控制台，用于集中管理和监控网络环境中的探测引擎。

漏洞扫描系统

漏洞扫描系统是一种系统安全评估技术，可以测试和评价系统的安全性，并及时发现安全漏洞。具体包括网络模拟攻击、漏洞检测、报告服务进程，以及评测风险，提供安全建议和改进措施等功能。

在网络系统中安装一套网络安全漏洞扫描系统，定期或不定期对一些关键设备和系统（网络、操作系统、主干交换机、路由器、重要服务器、防火墙和应用程序）进行漏洞扫描，对这些设备的安全情况进行评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。

防病毒系统

为了防止病毒在内部网络传播，防止病毒对内部的重要信息和网络造成破坏，并确定感染的来源与类型，在网络中部署病毒防护系统，采用网络集中防病毒和分散防病毒两种方式。

在防病毒系统的部署时，集中对病毒软件库中的防病毒软件组件进行配置，通过对网络中的病毒扫描集中控制，建立各种定时任务，统一集中触发，然后由各被管理机器运行，同时可对日志文件的各种格式进行控制。在管理服务器上建立集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告，所有病毒扫描状态信息都可由控制台得到。

安全审计

在利用防火墙、IDS等安全产品本身的审计功能，以及操作系统的审计功能的同时，在网络系统中还可考虑配置跨平台的综合审计系统，实现对网络系统的全方位集中安全审计。系统能在有策略配置的指导下实时或定时采集各信息系统产生的数据，并进行有效的转换和整合，以满足系统安全管理员的安全数据挖掘需求。

由于信息应用的发展和信息技术的日新月异，安全需求的不断变化，新的安全问题不断产生，原来建设的防护系统可能不满足新形势下的安全需求，这些都决定了信息安全是一个动态过程，需要定期对信息网络安全状况进行评估，改进安全方案，调整安全策略。信息安全是一个伴随着信息化应用发展而发展的永恒课题。

摘自《中国劳动保障报》2004.6.17