一：以实用为原则

　　最近国内出了一系列网络安全事件，主要的目标都是网站，从中我们可以看出，目前我国网络环境还存在脆弱性。我们作为国内专业网络信息安全公司，给用户方案的建议是，尽量使用简单、实用的方案构建安全体系，一切以实用为原则。

　　　　针对网站架构，网站安全问题主要分为以下四个方面：服务器安全、边界安全、Internet和Extranet上的安全。在攻击行为发生前，做到防患于未然是预防措施的关键，防火墙系统是网站安全的第一道防线，它可以过滤并阻挡许多攻击行为的发生。中科网威的“长城”防火墙结合了包过滤和代理服务两种主要的防火墙技术，从网络层到应用层都提供了完善的防护机制。NAT功能，能够隐藏局域网内部的网络拓扑，并解决IP资源不足的问题;身份认证系统，使授权用户能够安全地使用防火墙提供的服务;DMZ功能，可对公用服务器进行保护;完善的日志管理和报警机制，为管理员提供了有效的监控手段，防止非法入侵的发生。

　　　　有了防火墙，仅仅是防范措施的第一步，仍需要其它手段与措施的配合。网络安全扫描及漏洞检测系统的工作原理是，把自己当作一名黑客，来探测网络上每台主机乃至路由器的各种漏洞，若发现问题，可以给出报告，并针对性给出修补措施和安全建议，它是从网络上对各种节点设备进行扫描的软件;系统安全扫描评估软件，是通过Manager/Agent形式从系统里面来扫描系统漏洞及不安全设置的软件等薄弱环节，发现问题提出警告并给出修补建议和安全措施。

　　　　中科网威“火眼”网络安全评估系统(Net_Scanner)主要用于评估用户整个网络系统的安全状况，考察系统的安全性。现有火眼For Windows与火眼For Linux两个版本。中科网威“天眼”网络入侵侦测系统(N_IDS)是专门针对网络遭受非法入侵等问题而设计的产品,它可通过网络嗅探引擎和安全服务中心对网络内流动的数据包进行获取和分析处理，发现网络攻击行为或者不符合用户自定义策略的操作，及时报警并阻断其攻击，从而实时地进行入侵防御。中科网威网络安全扫描、漏洞检测系统和系统安全扫描评估软件双剑合壁，一个从外，一个从内非常详细地扫描网络和系统内部漏洞。它们都有非常强大的报表功能，能将网络和系统漏洞一一列表，并且给出最佳解决方法。这两项产品均通过了国家信息安全测评中心和解放军信息安全认证中心的认证。

　　　　 　　动态口令系统将系统的口令变成动态的，用户每次登录系统的口令都不同，这样可以防止口令被非法窃取;UNIX策略管理系统、Unix资源管理系统能将UNIX系统变得更加安全可靠;而PKI是一个提供用户认证和防止传输数据被非法修改的系统架构;邮件过滤器是一个基于强大的过滤功能的邮件系统过滤器，它可以挡住很多基于邮件的进攻;VPN技术的实施使信息在通过网络的传输过程中更加安全可靠。 　　

　　　　所有这些措施，均可增强网站安全防范和抗攻击破坏的能力，增强网站的安全性能，做到防患于未然。

　　二：迅速反应

　　在网站安全防护措施中，强大的攻击发生前的预防系统，可以起到挡住外部绝大多数攻击，并限制攻击者活动范围的作用。但黑客一旦突破防御，这些措施便显得无能为力了。因此，在黑客攻击发生过程中的安全防范措施，主要靠实时监控与预警阻断系统发挥作用。 　　

　　　　基于系统事件的强大的闯入者警告系统，是通过Manger/Agent形式深入系统内部，实时检测黑客进攻的安全工具。实时监控、阻断响应系统是一个放置在网上(一般放置在核心交换机位置)，通过抓取网络上所有流经的信息数据包，动态分析出哪些是黑客对系统做出的进攻，并立即做出反应。 　

　　　　实时监控、阻断响应系统和闯入警告系统两个实时动态的防黑客组合，既可防外，也可防内。一般说来，入侵检测的两大信息源是网络传输数据和系统审计数据。实时监控、阻断响应系统的信息源是网络传输数据，通过监视和分析网络上传输的数据包来发现入侵;闯入警告系统的信息源是系统审计数据，通过分析系统审计日志中大量的跟踪用户活动的细节记录来发现入侵，分别在网络级和系统级共同探测黑客的攻击并及时做出反应和阻断，可以通过email，给系统管理员传呼文件记录，断掉进程，封锁账户等方式来防止黑客进行更深一步的破坏。两者是不可或缺的，例如闯入警告系统可以轻松地发现登录失败、文件存取失败、用户权限增加或获得超级权限、放置特洛依木马等基于操作系统的事件，实时监控、阻断响应系统不能识别;而像死亡之Ping、DDOS、SYN洪流攻击等基于网络级的攻击并不出现在系统审记日志中，闯入警告系统不能发现，而实时监控、阻断响应系统可以轻松识别。系统级的闯入警告系统可以检查出网络级的实时监控、阻断响应系统查不出的攻击，反之亦然。 　　

　　　　网站信息监控与自动恢复系统可在网站信息受到篡改或破坏时，自动恢复并记录信息被非法改动的时间及相关信息情况。中科网威“磐石” 网站监控与恢复系统是Netpower全产品家族中专门针对Web服务器网页安全问题而设计的一款产品。它实现了对Web文件内容的实时监控，一旦发现被非法篡改，可及时报警并自动恢复，同时形成监控和恢复日志，并提供友好的用户界面以便用户查看、使用。“磐石” 网站监控与恢复系统主要有实时监控、实时显示最新监控信息、自动恢复被篡改的网页、日志查看、远程监控、多用户管理等功能，同时，其高效高速准确的监控、占用系统资源小、方便实用、方便的日志分析、远程监控的便利、多用户上传数据的管理等特色也获得了用户的首肯。

　　三：如何亡羊补牢

　　尽管我们已经采取了一系列事前、事中的安全防护及应急措施，但任何网络和网站都不能保证万无一失，一旦发生问题其损失将难以预料。所以，做为亡羊补牢的恢复手段，在攻击事件发生后尽快恢复系统的正常运行，并找出发生攻击事件问题的原因，将损失降至最低，是研究攻击发生后应对措施的主要目的。 　

　　　　防火墙、日志取证系统、闯入警告系统和实时监控、阻断响应系统都提供详细的数据记录功能，可以对所有误操作的危险动作和蓄意攻击行为保留详尽的记录，而且记录在一台专用的安全主机上，这样可以在黑客攻击后通过这些记录来分析黑客的进入方式，弥补相关漏洞，防止再次攻击，并可进行黑客追踪和查找责任人。 　　

　　　　闯入警告系统及基于文件级的信息实时监控与恢复系统还有一个更出色的特点，可通过MD5数字签名技术，在线监视系统重要资源文件(譬如Password文件、系统文件)不被修改或植入特洛依木马，一旦被修改，及时发现并通知管理员，这样就能防止很多黑客留后门，或进一步获得超级用户权限。实时监控、阻断响应系统更能动态监视系统的Web server、FTP Server、DNS，路由器访问控制表不被其他人改变，一旦改变将及时通知系统管理员。日志取证系统、跟踪反击系统能对用户所做的每一步操作进行跟踪，它是个强大的事后分析工具。 　　

　　　　备份系统是防止由于黑客攻击导致数据丢失而影响整个数据中心的防范措施和办法，最好将关键数据的副本保存在这些灾害影响不到的地方。防止数据丢失最安全的方法包括：维护欠余数据(如带奇偶检验的磁盘分块);执行定期数据备份及快速恢复系统能将攻击所造成的损失降至最低限度等。

　　　　由上述分析我们可以看出：网络安全并不是有了网络安全产品就能解决的。一个安全的网站防护体系，不能仅靠堆砌安全产品的方式营造，也不能仅凭一个好的防火墙，或是其它安全产品，更重要的是要有一套合适的安全体系和合理的安全产品组合，并根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略，这才是解决问题的关键。针对这种情况，中科网威根据用户需要推出了中科网威安全服务(Netpower Security Services，简称NPSS)工程。 NPSS是一项综合服务，它是基于用户的需求保障用户网络的安全性，对用户网络安全事件进行快速响应，并为用户提供企业级安全策略和措施。中科网威在安全领域深具造诣，拥有经验丰富的安全技术专家，有能力对网络安全状态进行评估，找出企业网络的安全缺陷，实施安全审计和操作，将来自一线的经验变成用户所需要的快速服务，从而保障大型和重要网络环境的网络安全，有效地减少企业由于安全问题引起的不可估量的损失。用户可以不再为其网络的安全担忧，将其全部精力投入到企业的发展中。