问题一 如何确保网络100%安全?
简单答曰:不可能。现有的安全解决方案仅提供风险管理,这意味着尽量减少网络漏洞和风险。最好的办法就是改进预防方法,并且选择最适合自己网络的解决方案。网络面临三种漏洞:策略、配置和技术漏洞。如果对网络所许可的或禁止的知之甚少,就会出现策略漏洞。而且,配置漏洞很容易发生,此外,操作系统及缓冲器溢出等技术漏洞也是重大隐患。切记:良好的安全策略和实施只是预防行动,而不是补救方法。
问题二 从哪儿开始着手做安全?
网络安全好比守护办公大楼或是住房,你会先给门上一道锁,将不速之客拒之门外,防火墙就是网络上的一把锁,它控制着访问网络的权限,只允许特许用户进出网络。当然,守护大楼不仅仅是给门上锁,网络安全也不仅仅是在网络周边设置防火墙,为了最有效地满足网络安全需求,还需要其它技术,如用户验证、虚拟专用网和入侵检测。
问题三 如何确保只有授权用户才能访问?
生活中,我们通首先过在门口识别来者身份,才允许用户可以入内。在网络上,你可以利用所谓的AAA服务器实现这功能,这种服务器能够进行验证、授权及登记,换句话说,它能查明用户身份、允许访问的网络部分及已经访问的部分。
问题四 如何建立安全的远程访问通道?
利用IPsec可实现安全的远程访问。IPsec被用于确保通信双方是特许用户或设备,它确保没人在通信线路上窃听及没人能够改变途中通信信号也很有必要。IPsec提供了三种技术以帮助实现这功能。即验证报头、封装安全载荷和因特网密钥交换(IKE)。
问题五 如何确保员工远程访问的安全?
利用IPsec,你同样可以在远程办公人员的PC与总部之间建立一条安全隧道。这可以通过在总部对客户机进行全面的管理与配置,从而使这种解决方案既简单又经济。而有些VPN利用多块加密加速板卡,最多能够应付1万条100Mbps的连接。
问题六 如何面对入侵者?
防火墙、验证和加密只能尽量防止入侵者进入网络。入侵者可能来自内部,在设计网络安全时,一定要留意可能存在的内部威胁。为解决此问题,既要防患未然又要迅速反应。防患于未然需要为网络清除所有漏洞,以免被人利用。利用入侵检测系统的漏洞扫描器可以做到这点。
问题七 如何既不添人手又加强网络安全?
为了避免增添人手,就要从基于设备的管理或基于多个设备的管理改为基于策略的管理。基于设备的管理需要为设备进行逐个管理及配置,这非常费时、费力,还容易出错。基于策略的管理方法要灵巧得多。它使你可以通过策略管理器集中管理策略(譬如允许指定的一组用户利用Http访问因特网),然后策略管理器会生产所有必要的配置文件,并对所有设备进行配置,而与数量或位置无关。这种管理可以合理配置有限资源、减少错误、确保网络一致性、减少时间和成本。
问题八 有了防火墙、IDS和VPN就安全了吗?
部署这些解决方案能够降低出现漏洞的风险,但网络上只有这些保护还不够,充分利用防火墙、IDS等提供的信息至关重要,监控及分析这类信息也非常关键。此外,教育对安全也很关键。还有,具有了解网络的正常运行状态、如何保护网络安全及如何寻求帮助的能力也很重要。
问题九 采用端到端解决方案是否更好?
购置这种产品肯定是比较好的做法:能彼此通信,从一个中央位置就能便于管理。采用众多不同产品会使管理工作非常困难、费钱及费时。部署由承诺有互操作性的多家厂商提供的不同安全技术拼凑而成的方案不是办法。对组织来说,理想情形就是利用最佳产品组合,组成端到端安全解决方案。