论分布式网络的信息安全性分析(3)

　　(1)防火墙技术与产品
　　防火墙在技术上已经相对成熟，也有许多国内外产品可供选择，但需要注意一定要选择支持三网段的防火墙。
　　在一般的网络结构中，防火墙是设置在接入Internet的路由器后端，将网络划分为三个区域，即三个网段，如上所述。通过合理地配置防火墙过滤规则，满足下列需求：
　　·公网用户只能访问管理局外网的内容，不可能进一步访问管理局的内网部分。
　　·远程客户(下属机构)只能访问管理局专网防火墙的非军事化区的各个应用服务器和数据库进行访问：
　　·内部网络的客户端访问本网段的应用服务器，如需访问专网和外网中的各个应用服务器；
　　防火墙的功能就是提供网络层访问控制，所以其配置准确严密与否至关重要，只要配置正确，关闭不需要的服务端口，就可以基本实现网络层的安全。
　　(2)网络VPN技术与产品
　　对于大型分布式的企业，其中最重要的和最普遍的应用是数据库应用，而且是分布式的。数据库的分布式复制操作是自动的，是服务器到服务器的数据传输过程。对数据库复制的安全保护目前最实用的技术是网络VPN。
　　VPN产品一般具有如下基本功能：
　　·IP层认证和加密：
　　·IP包过滤：
　　·密钥管理。
　　VPN产品可以基于公共的lP网络环境进行组网，使用户感觉在公网上独占信道，也就是隧道的概念。在产品形态上是专有硬件，嵌入式操作系统，专用加密算法。在性能上，可以允许上千对VPN通道，网络加密速度在10Mbps以上。有的VPN产品将防火墙功能结合在一起，形成安全网关。在分布式数据库环境中，按点到点方式安装VPN产品，保证数据库复制过程的数据加密传输。
　　(3)入侵检测技术与产品
　　随着Internet应用的不断普及，黑客入侵事件也呈上升趋势，在安装防火墙和划分三网段安全结构后，降低了这种风险，但没有彻底消除。因为防火墙只是被动的防止攻击，不能预警攻击。
　　入侵检测系统可分为两类：基于主机和基于网络。基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
　　(4)漏洞扫描与产品
　　网络系统的安全性取决于网络系统最薄弱的环节，任何疏忽都可能引入不安全因素，最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的脆弱点，保证系统的安全。
　　风险评估(Vulnerability Assessment)是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。风险评估技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上面的风险漏洞，而后者则是通过网络远程探测其它主机的安全风险漏洞。基于主机的产品包括：AXENT公司的ESM，ISS公司的System Scanner等，基于网络的产品包括ISS公司的InternetScanner、AXENT公司的NetRecon、NAI公司的CyberCops Scanner等。