“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄漏”。

----國(guó)際標(biāo)準(zhǔn)化組織（ISO）

從“信息化高速公路”到“數(shù)字地球”，信息化浪潮席卷全球。Internet的迅猛發(fā)展不僅帶動(dòng)了信息產(chǎn)業(yè)和國(guó)民經(jīng)濟(jì)地快速增長(zhǎng)，也為企業(yè)的發(fā)展帶來了勃勃生機(jī)。

以Internet 為代表的信息技術(shù)的發(fā)展不僅直接牽動(dòng)了企業(yè)科技的創(chuàng)新和生產(chǎn)力的提高，也逐漸成為提高企業(yè)競(jìng)爭(zhēng)力的重要力量。

企業(yè)通過Internet 可以把遍布世界各地的資源互聯(lián)互享，但因?yàn)槠溟_放性，在Internet 上傳輸?shù)男畔⒃诎踩陨喜豢杀苊獾貢?huì)面臨很多危險(xiǎn)。當(dāng)越來越多的企業(yè)把自己的商務(wù)活動(dòng)放到網(wǎng)絡(luò)上后，針對(duì)網(wǎng)絡(luò)系統(tǒng)的各種非法入侵、病毒等活動(dòng)也隨之增多。

而我們面臨的這些信息安全問題的解決，主要還是依賴于現(xiàn)代信息理論與技術(shù)手段；依賴于安全體系結(jié)構(gòu)和網(wǎng)絡(luò)安全通信協(xié)議等技術(shù)；依賴借助于此產(chǎn)生的各種硬件的或軟件的安全產(chǎn)品。這樣，這些安全產(chǎn)品就成為大家解決安全問題的現(xiàn)實(shí)選擇。

中國(guó)網(wǎng)絡(luò)安全現(xiàn)狀分析

中國(guó)國(guó)內(nèi)企業(yè)和政府機(jī)構(gòu)都希望能具有競(jìng)爭(zhēng)力并提高生產(chǎn)效率，這就必須對(duì)市場(chǎng)需求作出及時(shí)有力的響應(yīng)，從而引發(fā)了依賴互聯(lián)網(wǎng)來獲取、共享信息的趨勢(shì)，這樣才能進(jìn)一步提高生產(chǎn)效率進(jìn)而推動(dòng)未來增長(zhǎng)。

然而，有網(wǎng)絡(luò)的地方就有安全的問題。過去的網(wǎng)絡(luò)大多是封閉式的，因而比較容易確保其安全性，簡(jiǎn)單的安全性設(shè)備就足以承擔(dān)其任務(wù)。然而，當(dāng)今的網(wǎng)絡(luò)已經(jīng)發(fā)生了變化，確保網(wǎng)絡(luò)的安全性和可用性已經(jīng)成為更加復(fù)雜而且必需的任務(wù)。用戶每一次連接到網(wǎng)絡(luò)上，原有的安全狀況就會(huì)發(fā)生變化。所以，很多企業(yè)頻繁地成為網(wǎng)絡(luò)犯罪的犧牲品。因?yàn)楫?dāng)今網(wǎng)絡(luò)業(yè)務(wù)的復(fù)雜性，依靠早期的簡(jiǎn)單安全設(shè)備已經(jīng)對(duì)這些安全問題無能為力了。

主要網(wǎng)絡(luò)安全問題及其危害

1）網(wǎng)絡(luò)網(wǎng)絡(luò)攻擊在迅速地增多

網(wǎng)絡(luò)攻擊通常利用網(wǎng)絡(luò)某些內(nèi)在特點(diǎn)，進(jìn)行非授權(quán)的訪問、竊取密碼、拒絕服務(wù)等等。

考慮到業(yè)務(wù)的損失和生產(chǎn)效率的下降，以及排除故障和修復(fù)損壞設(shè)備所導(dǎo)致的額外開支等方面，對(duì)網(wǎng)絡(luò)安全的破壞可能是毀滅性的。此外，嚴(yán)重的網(wǎng)絡(luò)安全問題還可能導(dǎo)致企業(yè)的公眾形象的破壞、法律上的責(zé)任乃至客戶信心的喪失，并進(jìn)而造成的成本損失將是無法估量的。

2）病毒郵件攻擊的影響日益激烈

病毒、蠕蟲和毫無必要的大量電子郵件利用互聯(lián)網(wǎng)通信資源來傳播，引發(fā)網(wǎng)絡(luò)環(huán)境中的傳輸中斷。根據(jù)調(diào)查，87％以上的病毒通過電子郵件進(jìn)入企業(yè)！保密數(shù)據(jù)和交易秘密的丟失、員工對(duì)電子郵件系統(tǒng)的不當(dāng)使用已使許多公司不得不承擔(dān)法律責(zé)任，并損害了許多公司的聲譽(yù)。

今天，越來越多的公司都在尋求一種主動(dòng)解決方案來減少信息服務(wù)的中斷時(shí)間并避免病毒侵入期間造成業(yè)務(wù)損失。

3）對(duì)網(wǎng)絡(luò)資源的不合理使用

開放式接入還可以無限制地訪問大量惡意、有攻擊性的及有爭(zhēng)議的內(nèi)容，以及與工作無關(guān)的材料。據(jù)IDC統(tǒng)計(jì)，有30%~40%的Internet訪問是與工作無關(guān)的，甚至有的是去訪問色情站點(diǎn)。人均每天使用兩到三個(gè)小時(shí)工作時(shí)間用于收發(fā)個(gè)人郵件,瀏覽娛樂網(wǎng)站以及在聊天室打發(fā)時(shí)間。

因此，許多機(jī)構(gòu)必須確定如何在允許員工無阻礙地訪問互聯(lián)網(wǎng)上大量有用信息的同時(shí)限制對(duì)不當(dāng)內(nèi)容的訪問。

中國(guó)中小型企業(yè)客戶分析

中國(guó)國(guó)內(nèi)目前的中小型單位因?yàn)槿肆唾Y金上的局限，需要的網(wǎng)絡(luò)安全產(chǎn)品不僅僅是簡(jiǎn)單的安裝，更重要的是要有針對(duì)復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案，如：網(wǎng)絡(luò)安全、

病毒檢測(cè)、網(wǎng)站過濾等等。其著眼點(diǎn)在于：國(guó)內(nèi)外領(lǐng)先的廠商產(chǎn)品；具備處理突發(fā)事件的能力；能夠?qū)崟r(shí)監(jiān)控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。

思科安全設(shè)計(jì)藍(lán)圖（SAFE）

SAFE是思科公司安全解決方案的藍(lán)圖，該設(shè)計(jì)藍(lán)圖主要針對(duì)企業(yè)網(wǎng)絡(luò)的功能，可為客戶安全網(wǎng)絡(luò)的設(shè)計(jì)、實(shí)施和維護(hù)提供端到端的安全性戰(zhàn)略。

該藍(lán)圖能夠模塊化地設(shè)計(jì)、部署網(wǎng)絡(luò)安全解決方案，并結(jié)合思科合作伙伴產(chǎn)品，為用戶提供一體化的全面解決方案。這樣，就可以將市場(chǎng)領(lǐng)先的安全產(chǎn)品、成熟可靠的安全策略和單一平臺(tái)的管理與客戶現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施結(jié)合起來，提供全面的網(wǎng)絡(luò)保護(hù)：

提供高效的投資保護(hù)，而不必丟棄現(xiàn)有網(wǎng)絡(luò)設(shè)備；

模塊化部署，可逐步實(shí)現(xiàn)深度分層防御；

與合作伙伴良好的互操作性；

24x7 全球技術(shù)支持；

安全性市場(chǎng)的領(lǐng)導(dǎo)者；

易于管理。

思科中小企業(yè)網(wǎng)絡(luò)安全解決方案

針對(duì)中國(guó)中小企業(yè)客戶的實(shí)際情況，結(jié)合思科先進(jìn)的SAFE藍(lán)圖設(shè)計(jì)理念，思科公司專門推出了“網(wǎng)絡(luò)健康 應(yīng)用健康 精神健康”中小型企業(yè)網(wǎng)絡(luò)安全解決方案：

1）精簡(jiǎn)版：CiscoSecure PIX 501

下面是針對(duì)SOHO型網(wǎng)絡(luò)的一種安全解決方案，該方案適用于10人以下的網(wǎng)絡(luò)應(yīng)用，通過Cisco Secure PIX 501防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離。

用戶特點(diǎn)：

網(wǎng)絡(luò)用戶數(shù)較少，通常在10人以下；

用戶有聯(lián)網(wǎng)的需求，但網(wǎng)絡(luò)中數(shù)據(jù)吞吐流量不大；

由于資金所限，通常采用ISDN或ADSL寬帶上網(wǎng)，以降低鏈路費(fèi)用；

需要采用性價(jià)比較高的防火墻產(chǎn)品保障內(nèi)部網(wǎng)絡(luò)的安全。

方案示意圖：

精簡(jiǎn)版

方案特點(diǎn)：

該方案可以為SOHO型網(wǎng)絡(luò)提供企業(yè)級(jí)的網(wǎng)絡(luò)安全性；

在一臺(tái)設(shè)備內(nèi)提供豐富的安全服務(wù)，包括狀態(tài)防火墻、入侵檢測(cè)等；

可以實(shí)現(xiàn)NAT和DHCP功能，保障內(nèi)部合法用戶的聯(lián)網(wǎng)需求；

支持PPPOE，滿足小型用戶通過寬帶按需上網(wǎng)的要求；

內(nèi)置圖形化Web管理界面，簡(jiǎn)單并易于管理；

可平滑升級(jí)，具有良好的擴(kuò)展性。

Cisco Secure PIX 501是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網(wǎng)絡(luò)安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協(xié)議。該產(chǎn)品安裝在一個(gè)WAN路由器和內(nèi)部網(wǎng)絡(luò)之間，提供了基于自適應(yīng)安全算法（ASA）的高級(jí)狀態(tài)訪問控制。能夠根據(jù)分組起始點(diǎn)和目的地址、TCP序列號(hào)、端口號(hào)和其它TCP分組標(biāo)志跟蹤單個(gè)連接。分組只有在與來自網(wǎng)絡(luò)內(nèi)部的某個(gè)有效會(huì)話相關(guān)聯(lián)時(shí)才會(huì)被允許通過防火墻。這使得機(jī)構(gòu)的內(nèi)部和授權(quán)外部用戶能夠進(jìn)行透明訪問，同時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)免受未授權(quán)訪問。PIX防火墻的另一個(gè)安全特性是非UNIX嵌入的操作系統(tǒng)。這種專有的控制軟件消除了通用操作系統(tǒng)的缺陷，提供了驚人的性能。

2）標(biāo)準(zhǔn)版：Cisco Secure PIX 501+TrendMicro25用戶+Websense25用戶

下面是針對(duì)小型企業(yè)網(wǎng)絡(luò)的一種安全解決方案，該方案適用于10-25個(gè)用戶的網(wǎng)絡(luò)應(yīng)用，通過Cisco Secure PIX 501防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離，并采用集成的思科合作伙伴產(chǎn)品實(shí)現(xiàn)網(wǎng)絡(luò)病毒檢測(cè)和網(wǎng)站過濾的功能。

用戶特點(diǎn)：

有一定數(shù)量的網(wǎng)絡(luò)用戶，通常在10—25個(gè)用戶左右；

用戶有聯(lián)網(wǎng)的需求，且有一定的網(wǎng)絡(luò)數(shù)據(jù)吞吐流量；

通常采用ADSL寬帶或較低速率專線上網(wǎng)，以降低鏈路費(fèi)用；

為保障網(wǎng)絡(luò)安全，降低維護(hù)費(fèi)用，除需要布置防火墻產(chǎn)品以外，還有防護(hù)網(wǎng)絡(luò)病毒、限制對(duì)互聯(lián)網(wǎng)帶寬的不合理使用等需求；

在保障上述需求的前提下，盡量節(jié)約采購(gòu)的費(fèi)用。

方案示意圖：

標(biāo)準(zhǔn)版

方案特點(diǎn)：

該方案可以為小型網(wǎng)絡(luò)提供企業(yè)級(jí)的一體化網(wǎng)絡(luò)安全；

通過一個(gè)緊湊的、整合的解決方案提供強(qiáng)大的安全功能；

可以實(shí)現(xiàn)NAT和DHCP功能，保障內(nèi)部合法用戶的聯(lián)網(wǎng)需求；

內(nèi)置圖形化Web管理界面，簡(jiǎn)單并易于管理；

可以和合作伙伴的產(chǎn)品無縫地結(jié)合起來，完成深層次的網(wǎng)絡(luò)安全性管理，如：防止網(wǎng)絡(luò)病毒的入侵，阻止員工訪問非授權(quán)的網(wǎng)站等功能。

Cisco Secure PIX 501是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網(wǎng)絡(luò)安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協(xié)議。該產(chǎn)品安裝在一個(gè)WAN路由器和內(nèi)部網(wǎng)絡(luò)之間，提供了基于自適應(yīng)安全算法（ASA）的高級(jí)狀態(tài)訪問控制。能夠根據(jù)分組起始點(diǎn)和目的地址、TCP序列號(hào)、端口號(hào)和其它TCP分組標(biāo)志跟蹤單個(gè)連接。分組只有在與來自網(wǎng)絡(luò)內(nèi)部的某個(gè)有效會(huì)話相關(guān)聯(lián)時(shí)才會(huì)被允許通過防火墻。這使得機(jī)構(gòu)的內(nèi)部和授權(quán)外部用戶能夠進(jìn)行透明訪問，同時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)免受未授權(quán)訪問。PIX防火墻的另一個(gè)安全特性是非UNIX嵌入的操作系統(tǒng)。這種專有的控制軟件消除了通用操作系統(tǒng)的缺陷，提供了驚人的性能。

3）豪華版：Cisco Secure PIX 506E+TrendMicro50用戶+Websense50用戶

下面是針對(duì)中型企業(yè)網(wǎng)絡(luò)的一種安全解決方案，該方案適用于25--50個(gè)用戶左右的網(wǎng)絡(luò)應(yīng)用，通過Cisco Secure PIX 506E防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離，并采用集成的思科合作伙伴產(chǎn)品實(shí)現(xiàn)網(wǎng)絡(luò)病毒檢測(cè)和網(wǎng)站過濾的功能。

用戶特點(diǎn)：

有一定數(shù)量的網(wǎng)絡(luò)用戶，通常在25—50個(gè)用戶左右；

用戶有聯(lián)網(wǎng)的需求，且有較大的網(wǎng)絡(luò)數(shù)據(jù)吞吐流量；

通常采用較高速率的專線連接Internet；

有清晰的網(wǎng)絡(luò)分層體系結(jié)構(gòu)；

為保障網(wǎng)絡(luò)安全，除需要布署防火墻產(chǎn)品以外，還有防護(hù)網(wǎng)絡(luò)病毒、限制對(duì)互聯(lián)網(wǎng)帶寬的不合理使用等需求；

對(duì)防火墻產(chǎn)品性能有較高要求。

方案示意圖：

豪華版

方案特點(diǎn)：

該方案可以為中型網(wǎng)絡(luò)提供企業(yè)級(jí)的一體化網(wǎng)絡(luò)安全；

通過一個(gè)經(jīng)濟(jì)有效的、高性能的解決方案提供豐富的安全功能和強(qiáng)大的管理功能；

可以實(shí)現(xiàn)NAT和DHCP功能，保障內(nèi)部合法用戶的聯(lián)網(wǎng)需求；

內(nèi)置圖形化Web管理界面，簡(jiǎn)單并易于管理；

可以和合作伙伴的產(chǎn)品無縫地結(jié)合起來，完成深層次的網(wǎng)絡(luò)安全性管理，如：防止網(wǎng)絡(luò)病毒的入侵，阻止員工訪問非授權(quán)的網(wǎng)站等功能。

Cisco Secure PIX 506E是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網(wǎng)絡(luò)安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協(xié)議。該產(chǎn)品安裝在一個(gè)WAN路由器和內(nèi)部網(wǎng)絡(luò)之間，提供了基于自適應(yīng)安全算法（ASA）的高級(jí)狀態(tài)訪問控制。能夠根據(jù)分組起始點(diǎn)和目的地址、TCP序列號(hào)、端口號(hào)和其它TCP分組標(biāo)志跟蹤單個(gè)連接。分組只有在與來自網(wǎng)絡(luò)內(nèi)部的某個(gè)有效會(huì)話相關(guān)聯(lián)時(shí)才會(huì)被允許通過防火墻。這使得機(jī)構(gòu)的內(nèi)部和授權(quán)外部用戶能夠進(jìn)行透明訪問，同時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)免受未授權(quán)訪問。PIX防火墻的另一個(gè)安全特性是非UNIX嵌入的操作系統(tǒng)。這種專有的控制軟件消除了通用操作系統(tǒng)的缺陷，提供了驚人的性能。

上述三個(gè)解決方案是思科公司針對(duì)目前最常見的網(wǎng)絡(luò)安全、病毒檢測(cè)、網(wǎng)站過濾等安全問題提出的一體化的有效解決方案，通過和合作伙伴的緊密結(jié)合，為客戶提供一套模塊化的捆綁產(chǎn)品 ，切實(shí)解決現(xiàn)有中小型企業(yè)用戶的實(shí)際需求。

思科Cisco Secure PIX500系列防火墻是網(wǎng)絡(luò)基礎(chǔ)設(shè)施內(nèi)部的實(shí)施強(qiáng)化用戶安全性策略并限制對(duì)網(wǎng)絡(luò)資源訪問的專用硬件產(chǎn)品。其功能是檢查數(shù)據(jù)包和會(huì)話過程，針對(duì)各種不同應(yīng)用、地址或用戶類型而設(shè)定的具體參數(shù)來分析和控制進(jìn)入或離開的數(shù)據(jù)包。通過PIX的部署，可以保護(hù)用戶公開的Internet 服務(wù)器，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流，為內(nèi)部用戶提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等各種功能，從而為用戶提供針對(duì)基于網(wǎng)絡(luò)的攻擊保護(hù)，并可預(yù)防和消除造成帶寬擁擠的分布式拒絕服務(wù)攻擊（DDOS）。

趨勢(shì)科技公司（TrendMicro）開發(fā)的產(chǎn)品是一種針對(duì)SMTP網(wǎng)關(guān)、基于策略的高性能反病毒和內(nèi)容安全解決方案，它集成了病毒保護(hù)的內(nèi)容過濾功能，這就是說憑借此產(chǎn)品，您可管理電子郵件內(nèi)容過濾并提供控制，且防止病毒和電子郵件中的其它惡意代碼產(chǎn)生影響。保護(hù)企業(yè)信息處理系統(tǒng)免遭來自互聯(lián)網(wǎng)的電子郵件病毒的損害，并防止復(fù)制或非業(yè)務(wù)內(nèi)容的傳輸。

Websense公司開發(fā)的Websense Enterprise是一種員工互聯(lián)網(wǎng)管理系統(tǒng),可以為Cisco PIX 防火墻提供集成化互聯(lián)網(wǎng)過濾，幫助網(wǎng)絡(luò)管理員有效地監(jiān)控管理和報(bào)告內(nèi)部網(wǎng)到互聯(lián)網(wǎng)接入的網(wǎng)絡(luò)流量。網(wǎng)絡(luò)管理員可以指定限制機(jī)構(gòu)內(nèi)互聯(lián)網(wǎng)使用的策略。Websense Enterprise隨后根據(jù)預(yù)定義策略過濾網(wǎng)絡(luò)活動(dòng)、監(jiān)控并報(bào)告有關(guān)活動(dòng)的信息。將Websense主URL數(shù)據(jù)庫(kù)與Cisco PIX防火墻共用時(shí)，可創(chuàng)建靈活、高性能的內(nèi)容過濾策略。互聯(lián)網(wǎng)請(qǐng)求發(fā)送至Cisco PIX防火墻，然后是防火墻的Websense進(jìn)行詢問，以確定應(yīng)該許可還是阻止此請(qǐng)求。同時(shí)，Cisco PIX防火墻將原始請(qǐng)求發(fā)至互聯(lián)網(wǎng)。因?yàn)樵谑盏絹碜訵ebsense的確認(rèn)前就將請(qǐng)求發(fā)至互聯(lián)網(wǎng)，故Cisco PIX防火墻不會(huì)減緩授權(quán)企業(yè)接入。在將站點(diǎn)返回請(qǐng)求用戶前需Websense確認(rèn)，這可以防止未授權(quán)接入。

【編輯推薦】

1. 中小企業(yè)部署數(shù)據(jù)加密解決方案的最佳做法
2. 中小企業(yè)購(gòu)買UTM設(shè)備需要考慮的十大問題