“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄漏”。

----國際標準化組織（ISO）

從“信息化高速公路”到“數(shù)字地球”，信息化浪潮席卷全球。Internet的迅猛發(fā)展不僅帶動了信息產業(yè)和國民經濟地快速增長，也為企業(yè)的發(fā)展帶來了勃勃生機。

以Internet 為代表的信息技術的發(fā)展不僅直接牽動了企業(yè)科技的創(chuàng)新和生產力的提高，也逐漸成為提高企業(yè)競爭力的重要力量。

企業(yè)通過Internet 可以把遍布世界各地的資源互聯(lián)互享，但因為其開放性，在Internet 上傳輸?shù)男畔⒃诎踩陨喜豢杀苊獾貢媾R很多危險。當越來越多的企業(yè)把自己的商務活動放到網(wǎng)絡上后，針對網(wǎng)絡系統(tǒng)的各種非法入侵、病毒等活動也隨之增多。

而我們面臨的這些信息安全問題的解決，主要還是依賴于現(xiàn)代信息理論與技術手段；依賴于安全體系結構和網(wǎng)絡安全通信協(xié)議等技術；依賴借助于此產生的各種硬件的或軟件的安全產品。這樣，這些安全產品就成為大家解決安全問題的現(xiàn)實選擇。

中國網(wǎng)絡安全現(xiàn)狀分析

中國國內企業(yè)和政府機構都希望能具有競爭力并提高生產效率，這就必須對市場需求作出及時有力的響應，從而引發(fā)了依賴互聯(lián)網(wǎng)來獲取、共享信息的趨勢，這樣才能進一步提高生產效率進而推動未來增長。

然而，有網(wǎng)絡的地方就有安全的問題。過去的網(wǎng)絡大多是封閉式的，因而比較容易確保其安全性，簡單的安全性設備就足以承擔其任務。然而，當今的網(wǎng)絡已經發(fā)生了變化，確保網(wǎng)絡的安全性和可用性已經成為更加復雜而且必需的任務。用戶每一次連接到網(wǎng)絡上，原有的安全狀況就會發(fā)生變化。所以，很多企業(yè)頻繁地成為網(wǎng)絡犯罪的犧牲品。因為當今網(wǎng)絡業(yè)務的復雜性，依靠早期的簡單安全設備已經對這些安全問題無能為力了。

主要網(wǎng)絡安全問題及其危害

1）網(wǎng)絡網(wǎng)絡攻擊在迅速地增多

網(wǎng)絡攻擊通常利用網(wǎng)絡某些內在特點，進行非授權的訪問、竊取密碼、拒絕服務等等。

考慮到業(yè)務的損失和生產效率的下降，以及排除故障和修復損壞設備所導致的額外開支等方面，對網(wǎng)絡安全的破壞可能是毀滅性的。此外，嚴重的網(wǎng)絡安全問題還可能導致企業(yè)的公眾形象的破壞、法律上的責任乃至客戶信心的喪失，并進而造成的成本損失將是無法估量的。

2）病毒郵件攻擊的影響日益激烈

病毒、蠕蟲和毫無必要的大量電子郵件利用互聯(lián)網(wǎng)通信資源來傳播，引發(fā)網(wǎng)絡環(huán)境中的傳輸中斷。根據(jù)調查，87％以上的病毒通過電子郵件進入企業(yè)！保密數(shù)據(jù)和交易秘密的丟失、員工對電子郵件系統(tǒng)的不當使用已使許多公司不得不承擔法律責任，并損害了許多公司的聲譽。

今天，越來越多的公司都在尋求一種主動解決方案來減少信息服務的中斷時間并避免病毒侵入期間造成業(yè)務損失。

3）對網(wǎng)絡資源的不合理使用

開放式接入還可以無限制地訪問大量惡意、有攻擊性的及有爭議的內容，以及與工作無關的材料。據(jù)IDC統(tǒng)計，有30%~40%的Internet訪問是與工作無關的，甚至有的是去訪問色情站點。人均每天使用兩到三個小時工作時間用于收發(fā)個人郵件,瀏覽娛樂網(wǎng)站以及在聊天室打發(fā)時間。

因此，許多機構必須確定如何在允許員工無阻礙地訪問互聯(lián)網(wǎng)上大量有用信息的同時限制對不當內容的訪問。

中國中小型企業(yè)客戶分析

中國國內目前的中小型單位因為人力和資金上的局限，需要的網(wǎng)絡安全產品不僅僅是簡單的安裝，更重要的是要有針對復雜網(wǎng)絡應用的一體化解決方案，如：網(wǎng)絡安全、

病毒檢測、網(wǎng)站過濾等等。其著眼點在于：國內外領先的廠商產品；具備處理突發(fā)事件的能力；能夠實時監(jiān)控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。

思科安全設計藍圖（SAFE）

SAFE是思科公司安全解決方案的藍圖，該設計藍圖主要針對企業(yè)網(wǎng)絡的功能，可為客戶安全網(wǎng)絡的設計、實施和維護提供端到端的安全性戰(zhàn)略。

該藍圖能夠模塊化地設計、部署網(wǎng)絡安全解決方案，并結合思科合作伙伴產品，為用戶提供一體化的全面解決方案。這樣，就可以將市場領先的安全產品、成熟可靠的安全策略和單一平臺的管理與客戶現(xiàn)有網(wǎng)絡基礎設施結合起來，提供全面的網(wǎng)絡保護：

提供高效的投資保護，而不必丟棄現(xiàn)有網(wǎng)絡設備；

模塊化部署，可逐步實現(xiàn)深度分層防御；

與合作伙伴良好的互操作性；

24x7 全球技術支持；

安全性市場的領導者；

易于管理。

思科中小企業(yè)網(wǎng)絡安全解決方案

針對中國中小企業(yè)客戶的實際情況，結合思科先進的SAFE藍圖設計理念，思科公司專門推出了“網(wǎng)絡健康 應用健康 精神健康”中小型企業(yè)網(wǎng)絡安全解決方案：

1）精簡版：CiscoSecure PIX 501

下面是針對SOHO型網(wǎng)絡的一種安全解決方案，該方案適用于10人以下的網(wǎng)絡應用，通過Cisco Secure PIX 501防火墻實現(xiàn)內外網(wǎng)絡的安全隔離。

用戶特點：

網(wǎng)絡用戶數(shù)較少，通常在10人以下；

用戶有聯(lián)網(wǎng)的需求，但網(wǎng)絡中數(shù)據(jù)吞吐流量不大；

由于資金所限，通常采用ISDN或ADSL寬帶上網(wǎng)，以降低鏈路費用；

需要采用性價比較高的防火墻產品保障內部網(wǎng)絡的安全。

方案示意圖：

精簡版

方案特點：

該方案可以為SOHO型網(wǎng)絡提供企業(yè)級的網(wǎng)絡安全性；

在一臺設備內提供豐富的安全服務，包括狀態(tài)防火墻、入侵檢測等；

可以實現(xiàn)NAT和DHCP功能，保障內部合法用戶的聯(lián)網(wǎng)需求；

支持PPPOE，滿足小型用戶通過寬帶按需上網(wǎng)的要求；

內置圖形化Web管理界面，簡單并易于管理；

可平滑升級，具有良好的擴展性。

Cisco Secure PIX 501是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網(wǎng)絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協(xié)議。該產品安裝在一個WAN路由器和內部網(wǎng)絡之間，提供了基于自適應安全算法（ASA）的高級狀態(tài)訪問控制。能夠根據(jù)分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網(wǎng)絡內部的某個有效會話相關聯(lián)時才會被允許通過防火墻。這使得機構的內部和授權外部用戶能夠進行透明訪問，同時保護內部網(wǎng)絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統(tǒng)。這種專有的控制軟件消除了通用操作系統(tǒng)的缺陷，提供了驚人的性能。

2）標準版：Cisco Secure PIX 501+TrendMicro25用戶+Websense25用戶

下面是針對小型企業(yè)網(wǎng)絡的一種安全解決方案，該方案適用于10-25個用戶的網(wǎng)絡應用，通過Cisco Secure PIX 501防火墻實現(xiàn)內外網(wǎng)絡的安全隔離，并采用集成的思科合作伙伴產品實現(xiàn)網(wǎng)絡病毒檢測和網(wǎng)站過濾的功能。

用戶特點：

有一定數(shù)量的網(wǎng)絡用戶，通常在10—25個用戶左右；

用戶有聯(lián)網(wǎng)的需求，且有一定的網(wǎng)絡數(shù)據(jù)吞吐流量；

通常采用ADSL寬帶或較低速率專線上網(wǎng)，以降低鏈路費用；

為保障網(wǎng)絡安全，降低維護費用，除需要布置防火墻產品以外，還有防護網(wǎng)絡病毒、限制對互聯(lián)網(wǎng)帶寬的不合理使用等需求；

在保障上述需求的前提下，盡量節(jié)約采購的費用。

方案示意圖：

標準版

方案特點：

該方案可以為小型網(wǎng)絡提供企業(yè)級的一體化網(wǎng)絡安全；

通過一個緊湊的、整合的解決方案提供強大的安全功能；

可以實現(xiàn)NAT和DHCP功能，保障內部合法用戶的聯(lián)網(wǎng)需求；

內置圖形化Web管理界面，簡單并易于管理；

可以和合作伙伴的產品無縫地結合起來，完成深層次的網(wǎng)絡安全性管理，如：防止網(wǎng)絡病毒的入侵，阻止員工訪問非授權的網(wǎng)站等功能。

Cisco Secure PIX 501是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網(wǎng)絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協(xié)議。該產品安裝在一個WAN路由器和內部網(wǎng)絡之間，提供了基于自適應安全算法（ASA）的高級狀態(tài)訪問控制。能夠根據(jù)分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網(wǎng)絡內部的某個有效會話相關聯(lián)時才會被允許通過防火墻。這使得機構的內部和授權外部用戶能夠進行透明訪問，同時保護內部網(wǎng)絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統(tǒng)。這種專有的控制軟件消除了通用操作系統(tǒng)的缺陷，提供了驚人的性能。

3）豪華版：Cisco Secure PIX 506E+TrendMicro50用戶+Websense50用戶

下面是針對中型企業(yè)網(wǎng)絡的一種安全解決方案，該方案適用于25--50個用戶左右的網(wǎng)絡應用，通過Cisco Secure PIX 506E防火墻實現(xiàn)內外網(wǎng)絡的安全隔離，并采用集成的思科合作伙伴產品實現(xiàn)網(wǎng)絡病毒檢測和網(wǎng)站過濾的功能。

用戶特點：

有一定數(shù)量的網(wǎng)絡用戶，通常在25—50個用戶左右；

用戶有聯(lián)網(wǎng)的需求，且有較大的網(wǎng)絡數(shù)據(jù)吞吐流量；

通常采用較高速率的專線連接Internet；

有清晰的網(wǎng)絡分層體系結構；

為保障網(wǎng)絡安全，除需要布署防火墻產品以外，還有防護網(wǎng)絡病毒、限制對互聯(lián)網(wǎng)帶寬的不合理使用等需求；

對防火墻產品性能有較高要求。

方案示意圖：

豪華版

方案特點：

該方案可以為中型網(wǎng)絡提供企業(yè)級的一體化網(wǎng)絡安全；

通過一個經濟有效的、高性能的解決方案提供豐富的安全功能和強大的管理功能；

可以實現(xiàn)NAT和DHCP功能，保障內部合法用戶的聯(lián)網(wǎng)需求；

內置圖形化Web管理界面，簡單并易于管理；

可以和合作伙伴的產品無縫地結合起來，完成深層次的網(wǎng)絡安全性管理，如：防止網(wǎng)絡病毒的入侵，阻止員工訪問非授權的網(wǎng)站等功能。

Cisco Secure PIX 506E是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網(wǎng)絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協(xié)議。該產品安裝在一個WAN路由器和內部網(wǎng)絡之間，提供了基于自適應安全算法（ASA）的高級狀態(tài)訪問控制。能夠根據(jù)分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網(wǎng)絡內部的某個有效會話相關聯(lián)時才會被允許通過防火墻。這使得機構的內部和授權外部用戶能夠進行透明訪問，同時保護內部網(wǎng)絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統(tǒng)。這種專有的控制軟件消除了通用操作系統(tǒng)的缺陷，提供了驚人的性能。

上述三個解決方案是思科公司針對目前最常見的網(wǎng)絡安全、病毒檢測、網(wǎng)站過濾等安全問題提出的一體化的有效解決方案，通過和合作伙伴的緊密結合，為客戶提供一套模塊化的捆綁產品 ，切實解決現(xiàn)有中小型企業(yè)用戶的實際需求。

思科Cisco Secure PIX500系列防火墻是網(wǎng)絡基礎設施內部的實施強化用戶安全性策略并限制對網(wǎng)絡資源訪問的專用硬件產品。其功能是檢查數(shù)據(jù)包和會話過程，針對各種不同應用、地址或用戶類型而設定的具體參數(shù)來分析和控制進入或離開的數(shù)據(jù)包。通過PIX的部署，可以保護用戶公開的Internet 服務器，限制外部網(wǎng)絡到內部網(wǎng)絡的數(shù)據(jù)流，為內部用戶提供網(wǎng)絡地址轉換（NAT）等各種功能，從而為用戶提供針對基于網(wǎng)絡的攻擊保護，并可預防和消除造成帶寬擁擠的分布式拒絕服務攻擊（DDOS）。

趨勢科技公司（TrendMicro）開發(fā)的產品是一種針對SMTP網(wǎng)關、基于策略的高性能反病毒和內容安全解決方案，它集成了病毒保護的內容過濾功能，這就是說憑借此產品，您可管理電子郵件內容過濾并提供控制，且防止病毒和電子郵件中的其它惡意代碼產生影響。保護企業(yè)信息處理系統(tǒng)免遭來自互聯(lián)網(wǎng)的電子郵件病毒的損害，并防止復制或非業(yè)務內容的傳輸。

Websense公司開發(fā)的Websense Enterprise是一種員工互聯(lián)網(wǎng)管理系統(tǒng),可以為Cisco PIX 防火墻提供集成化互聯(lián)網(wǎng)過濾，幫助網(wǎng)絡管理員有效地監(jiān)控管理和報告內部網(wǎng)到互聯(lián)網(wǎng)接入的網(wǎng)絡流量。網(wǎng)絡管理員可以指定限制機構內互聯(lián)網(wǎng)使用的策略。Websense Enterprise隨后根據(jù)預定義策略過濾網(wǎng)絡活動、監(jiān)控并報告有關活動的信息。將Websense主URL數(shù)據(jù)庫與Cisco PIX防火墻共用時，可創(chuàng)建靈活、高性能的內容過濾策略?；ヂ?lián)網(wǎng)請求發(fā)送至Cisco PIX防火墻，然后是防火墻的Websense進行詢問，以確定應該許可還是阻止此請求。同時，Cisco PIX防火墻將原始請求發(fā)至互聯(lián)網(wǎng)。因為在收到來自Websense的確認前就將請求發(fā)至互聯(lián)網(wǎng)，故Cisco PIX防火墻不會減緩授權企業(yè)接入。在將站點返回請求用戶前需Websense確認，這可以防止未授權接入。

【編輯推薦】

1. 中小企業(yè)部署數(shù)據(jù)加密解決方案的最佳做法
2. 中小企業(yè)購買UTM設備需要考慮的十大問題