系列增值服务--网络安全服务(security service) 随着互联网的日益普及,人们对互联网的依赖也越来越强,网络已经成为人们生活中不可缺少的一个部分。但是,internet是一个面向大众的开放系统,对于信息的保密和系统的安全考虑得并不完备,加上计算机网络技术的飞速发展,互联网上的攻击与破坏事件不胜枚举。计算机黑客犯罪已经渗入到政府机关、军事部门、商业、企业等单位,如果不加以保护的话,则往往造成巨大的经济损失。cernet在我国最早开展网络安全方面的研究与应用,拥有全国最优秀的网络安全专家,并于1999年在全国第一个建立起了具有国际领先水平的紧急响应机制和响应机构ccert,使赛尔网络能够快速反应和解决突发情况和问题。赛尔网络北京数据中心根据用户需求,能向用户提供包括防火墙服务、入侵检测及日志分析服务、安全评估与检测服务以及涉及系统安全的配置、代理维护、培训、软件支持、vpn接入支持、ip sec支持等其他安全pg麻将胡了模拟器链接的技术支持服务。 一、 防火墙服务
服务项目:独享防火墙、共享防火墙、软件防火墙。 a) 独享防火墙
功能描述:采用100m级别、具有国际领先水平的硬件防火墙,用户可订制策略,实现对服务器的有力保护。 技术分析:用户根据自身服务器的负载需求,如果选择了100m级别的独享防火墙,可以获得在赛尔idc经过实际测试吞吐量带到80m/s的硬件防火墙保护。用户可以使用dmz区域连接自己的web服务器及其它对外服务器以获得深层次的保护,也可以采用透明模式在不改变现有服务器ip地址分布的前提下同样实现对主机的保护。独享防火墙具有良好的可控性和专一性,用户完全根据自身需要可随时调节防火墙的策略规则,这里包括防火墙内容过滤系统提供的针对应用层“包含字”的过滤设定以及世界专门的病毒库升级中心提供的病毒特征代码升级。 经济分析:适用于大客户或者多主机用户,方便自主的管理方式有利于提高安全性能同时独享防火墙可以保障多服务器的访问带宽不被他人负载所影响。 b) 共享防火墙
功能描述:采用共享100m级别、具有国际领先水平的硬件防火墙,用户可享受公共安全策略并免于投入精力来维护防火墙本身的设置工作。 技术分析:由idc统一设置公共防火墙安全策略,对共享客户统一保护。用户不必熟悉此防火墙的设置和需要定制的规则,通常这些设置由idc专门的技术人员完成,用户也不必担心防火墙的升级和过滤特征库的更新,这些同样会由idc定期不定期的及时完成。如果用户需要对自己的服务器设置特别的安全策略,在不影响其他用户正常使用的前提下,可以由用户和idc协商,定制可满足特殊需求的策略。 经济分析:适用于多数主机托管客户和虚拟主机客户,相对低廉价格和硬件防火墙保护品质的融合具有其他方案难以达到的性能价格比。 c) 软件防火墙
功能描述:通过运行在系统内部的防火墙软件完成对系统的类似防火墙的保护。 技术分析:提供简单的端口保护,协议保护(无法区分子协议号),能过滤多数蠕虫、病毒,能识别部分拒绝服务攻击。 经济分析:适用于服务器负载不大,主机系统安全保护全面的中小型站点,由于防火墙自身的性质,需要管理人员长期维护此防火墙并及时省级。 二、入侵检测及日志分析服务
服务项目:独立硬件入侵检测、软件入侵检测、防火墙日志服务 a) 独立硬件入侵检测系统(ids)
功能描述:即时的入侵检测系统,可以过滤各种攻击性质代码,发现入侵行为并联动防火墙予以阻拦。 技术分析:使用多种过滤技术,最大限度保证服务器网络资源不受到ids干扰,同时完成对访问主机和主机主动访问的所有数据报文进行分析,一旦发现可疑代码、病毒、安全入侵行为便可及时通知防火墙,在网络层予以阻拦。按照策略,ids会自动要求恢复一些被禁止的逻辑访问路径。同时建立完整的日至记明原因和经过。对于攻击频繁的网络地址段,ids会根据策略拒绝更多的访问以确保相对重要的服务器免受攻击。 经济分析:大型用户和多主机用户中含有计费、结算、客户信息相关服务器的首选,良好的安全保障性能和及时全面的安全日志报告有利于系统维护人员随时掌握服务器安全状态,并把难以避免的损失降低到最小。 b) 软件入侵检测系统
功能描述:使用运行在服务器上的保护软件以达到检测非法访问、抵御攻击、记录攻击日志、动态拒绝入侵者ip的目的,实现了对主机廉价但有效的入侵检测功能。 技术分析:软件可以自动拼接数据包以发现隐蔽的攻击代码;模糊判断功能可抵御部分针对未知漏洞的攻击;可扩充升级的入侵代码库随时保持高可靠性;对异常访问自主分析,根据策略自动实施访问控制;进程保护和验证机制确保后门、木马程序无法驻留(限windows系统);实现简单防火墙功能记录完整安全日志;对系统资源、网络性能消耗极少。 经济分析:相当经济实用的保护手段之一,可完成硬件ids的大部分份功能,但相对难以在系统安全状况极差的条件下良好工作。通常可用于中小型站点。 c) 防火墙日志记录
功能描述:使用专项服务器接收从防火墙实时导出的日志记录,可作为安全维护方案的基本依据。 技术分析:使用标准的日志服务器,支持odbc,可以对采集的访问日志进行分析、统计,有助于安全策略部署和服务器性能分配。针对最常用的web、ftp、mail等服务,使用专门的软件进行日至分析,过滤出含有攻击性质的访问记录,统计各种攻击类型、各个攻击源地址的分布。 经济分析:任何类型的站点都可以相当连接地由此获得日至报告,是需要定期分析访问状况的站点不错的选择。 三、安全评估与检测服务
服务项目:系统安全隐患分析、安全状态检测、系统“强壮性能”评估(flood抵抗) a) 系统安全隐患分析服务
功能描述:通过在线扫描,漏洞探测等手段初步分析系统安全性能,并提供测试结果报告。 技术分析:在线扫描是当今流行的一种安全评估方法,它的特点是简单、高速、对系统没有任何伤害。虽然检测的准确性不能有100%的可信度,但是通常可以暴露问题的可能性。随着安全技术的不断更新,我们的在线扫描系统会逐步升级以适应最流行的各种检测方式。针对最新的漏洞列表。我们会定制扫描策略,以探测用户是否存在受影响的系统。测试报告将采用电子形式交付客户以供评价分析使用。 经济分析:防患于未然的价值是不可估量的,而想做到这步所需要的是预知自身的安全问题和相应的补救措施,安全检测服务使用无损探测方式在站点没有受到任何攻击之前便可提出预警,它可以适用于多数面对公众服务的站点。 b) 系统安全状态检测服务
功能描述: 对服务系统的全面安全检测。 技术分析:深入系统配置状态,协议反应状态以及匿名访问所涉及的脚本、程序的安全性问题。及时发现存在于用户登陆、数据库访问、远程执行本地程序等方面的安全缺陷。检查当前系统是否存在不正常的backdoor程序、脚本;检察系统文件操作权限设置,以减少安全隐患。 c) 系统“强壮性能”评估(flood抵抗)服务
功能描述:系统强壮性评估,主要测试稳定性和系统运行状态 技术分析:构造各种可能导致服务失效的数据包或帧,以测试用户主机抵抗flood等攻击的能力。可以通过得出的报告使用户构架新的防御策略和调整系统在协议处理上的参数。 四、其他安全pg麻将胡了模拟器链接的技术支持服务
具体项目有:服务系统安全的配置、系统安全代理维护、网络安全培训、相关软件支持、vpn接入支持、ip sec支持等。 a) 服务系统安全配置服务
功能描述:基于用户操作系统本身的安全策略对其进行合理的设置和调配,以达到服务系统可以抵御绝大部分入侵攻击行为。 技术分析:基于操作系统的安全配置主要集中在以下方面:文件访问控制列表、目录控制权限和可执行权限设置、账户安全策略、端口安全策略、服务安全策略、补丁程序、tcp/ip协议实现参数修订等工作。同时,用户有必要特别的注意服务器上所运行的用于web服务的脚本代码的安全性以确保不出现远程执行本地命令的漏洞。 经济分析:普通的托管用户均可采用此方式来带到系统的基本安全,如果不希望使用防火墙等保护系统,系统本身的安全设置便体现出重要的价值。 b) 系统安全代理维护服务
功能描述:赛尔网络北京数据中心凭借权威的专家队伍和顶级的专业服务,为托管客户提供全托式的网络安全代理维护服务,让用户节省更多的运维成本,让用户把更多的经历用在核心业务之上,是用户省力、省钱、省时的服务选择。 技术分析:可以将远程管理等管理方式依旧保留,但添加新的委托管理方式。新的管理方式可以减少用户在服务器系统安全问题上的精力投入 经济分析:最节省人力的维护方式,却可以达到不亚于防火墙的工作效果。 c) 网络安全培训服务
功能描述:以互动交流的形式探讨网络安全问题在实际应用中的实现。培训内容包括:网络安全基本概念、安全技术、安全产品、安全管理制度、安全隐患成因、攻击防御实验演示、安全评估与检测等。 d) 相关软件支持
功能描述:当用户在配置主机的过程中涉及到任何有碍于服务器正常工作的问题时,可以要求idc人员协助完成。 技术分析:远程管理服务、脚本解释服务、数据库系统、杀毒软件、访问统计系统等等都是服务器经常需要使用的,如果用户在配置过程中出现问题或者不方便亲自配置时,可以委托赛尔idc专人协助配置,并保证基本功能的可用性。 e) vpn接入支持
功能描述:为了彻底隔绝外界网络对服务器的非法访问,使用vpn可以建立网管人员到服务器的安全路径以确保远程管理、内容更新工作的安全性。 技术分析:设置服务器只接受某个特定ip或者ip段的关于重要管理端口和不公开端口的访问,而任何人要想获得这样的ip必须首先拨入vpn服务器来建立一条“隧道”。网络管理员可以在任何地点使用任何isp的上网接入服务(需要提供对internet的访问),并在此基础上拨入idc内部用于管理的vpn服务器,当根据您的账号信息使得“隧道”建立成功,您将获得可以管理您的服务器的访问权,而且,您在管理您的服务器时,所有的数据都是经过可靠加密传送的,这无疑使得您的管理行为处在完全保密安全的“隧道”中。即便您管理时所在的网络是公用的、可侦听的也不会造成网络中传送密码等重要信息的失窃。 f) ip sec支持 (限windwos 平台)
功能描述:ip sec作为新一代的安全保障方式已经被运用到越来越广泛的领域中。他设置方便、不需要第三方商业软件、工作效率高(对系统性能消耗极少)、安全保障功能强使其成为逐渐流行的系统安全化手段。当你希望是用这样的方式对您的系统实施保护,idc可以提供相关的实施支持。 技术分析:windows 2000 的ipsec 加密功能作为新兴的通讯保护方式,可广泛的使用在internet的各级应用中。internet 密钥交换 (ike) 使用加密技术保护安全协商,tcp/ip ipsec 组件 使用加密技术保护应用程序数据包。ipsec 策略允许选择强加密算法 3des,该算法使用比 des 更长的密钥来获更高的安全性。该策略可被指派了该策略的所有计算机接收。但是,基于 windows 2000 的计算机必须安装“高级加密包”才能执行 3des 算法。如果计算机收到 3des 设置,但没有安装“高级加密包”,就会将加密策略中的 3des 设置设为稍弱一些的 des 算法。ip sec通常可以被定义在需要特殊保护的端口和相应的协议上,用户甚至可以使用kerberos方式对特殊的通讯进行加密,以确保管理层次的高度安全。
| 
