网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　设想这样一种情况：网络中有台机器，被连接到网络上，出于一些原因，需要让一些管理或维护人员这台机器上的资源。然而，你并不愿意那些未经授权的人员或者其他未经授权的第三方访问系统，来访问这台机器。典型的做法之一就是使用防火墙或者某种认证系统来防止未经授权的访问。

　　但是，在一些情况下，简单的使用防火墙或者认证系统也可以被攻破。入侵检测就是这样以种技术，它会对未经授权的连接企图作出反应，甚至可以抵御以部分可能的入侵。

　　入侵检测可以分为两大类，

　　基于网络的系统：这种入侵检测放置于网络之上，靠近被检测的系统，它们监测网络流量并判断是否正常。

　　基于主机的系统：这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。

　　基于网络的入侵检测，基于网络的入侵检测是指监测整个网络流量的系统，一块网卡就可能会有两种用途：普通模式：受数据包里面所包含的MAC地址决定，数据被发送到目的主机;混杂模式(Promiscuous mode)：所有可以被监测到的信息均被主机接收。网卡可以在普通模式和混杂模式之间进行切换，同样，使用操作系统的低级功能可以完成这种变换。基于网络的入侵检测一般是需要把网卡设置成混杂模式，同时，在交换机内，一个端口所接收的数据并不是一定会转发到另一个端口，所以，在这种情况下，为了能够达到监听所有通信信息，有可能需要在网关上设置镜像端口。

　　当数据包抵达目的主机后，防火墙和网络监控已经无能为力了，但是还有一个办法可以进行一些防护，那就是“基于主机的入侵检测”。基于主机的入侵检测又可以分成两大类：网络监测，这种监测对抵达主机的数据进行分析并试图确认哪些是潜在的威胁，任何连接都可能是潜在的入侵者所为，请注意，这点与基于网络的入侵检测不同，因为它仅仅对已经抵达主机的数据进行监测，而后者则是对网络上的流量进行监控。如此一来就不需要把网卡设置成混杂模式了;主机监测，任何入侵企图(或者成功的入侵)都会在监测文件、文件系统、登录记录或其他主机上的文件中留下痕迹，系统管理员们可以从这些文件中找到相关痕迹。

　　漏洞扫描系统

　　主要功能是实现对网络上的计算机系统进行扫描，检查系统的潜在问题，发现由于安全管理配置不当、疏忽或操作系统本身存在的漏洞(这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取，甚至造成系统本身的崩溃)，向管理员按照漏洞对系统的危险级别报告检查出的漏洞名称及其详细描述，并同时对发现的漏洞给出了解决办法。

　　防病毒系统

　　目前，xxx银行网络在一些地区使用了网络防病毒产品，但没有达到统一规划，统一配置，统一管理。各防病毒系统没有相互协作工作，不能形成规模效应。

　　用户认证系统

　　身份认证服务是帮助系统识别用户的身份，决定并控制他们在网络上能干什么工作(授权)。

　　在xxx银行网络信息系统中实现对用户的身份鉴别，实现信息的保密性、完整性、真实性和抗抵赖性等保护，采用当今流行的高强度安全策略——我国自主知识产权的PKI技术为基础的数字证书技术。应用系统可以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录系统的用户的真实身份，进行数字签名和验证签名，采用数字签名技术解决抗抵赖性和数据完整性的的问题，利用安全系统提供的加密算法，解决信息的保密性问题。

　　xxx银行网络安全解决方案

　　安全系统设计是一个综合的系统工程，其复杂性丝毫不亚于设计一个庞大的应用系统。xxx银行网络的安全设计，需要考虑涉及到的所有软硬件产品环节，总体安全往往取决于所有环节中的最薄弱环节，或者说如果有一个环节出了问题，总体安全就得不到保障，这也就是所谓的水桶效应。一个由一根根木条钉成的水桶，它的盛水量是由其最短的那根木条决定的。这个道理对安全设计和网络防黑同样适用。

　　在对xxx银行网络的现状以及需求进行认真研究后，上海宝信软件股份有限公司提出如下解决方案：

　　系统总体结构

　　共5页。

　　系统功能设计

　　整个系统需要提供的应用功能如下图所示：

　　应用系统功能图