前言：中文期刊網(wǎng)精心挑選了小型企業(yè)網(wǎng)絡(luò)安全解決方案范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

小型企業(yè)網(wǎng)絡(luò)安全解決方案范文1

關(guān)鍵詞：linux；iptables；網(wǎng)絡(luò)安全；負(fù)載均衡

中圖分類號：TP316 文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)23-5606-02

Linux System Iptables under in the Application of Network Security

WANG Jian-qiang, YANG Hua, SUN Xue-feng, ZHANG Xiu-yun

(Nanyang Science and Technology Information Center, Nanyang 473000, China)

Abstract: In nanyang information center as an example, in order to strengthen the network security save the network investment for the purpose, completed a Linux system for the platform iptables defense of network security system. This system USES Linux open source stable characteristics, providing a high performance, high security, low cost of network security solutions.

Key words: linux; iptables; network security; load balance

Iptables由Netfilter項目開發(fā)，自2001年1月Linux 2.4內(nèi)核以來，它就成為Linux的一部分了。多年來，iptables已發(fā)展成為一個功能強(qiáng)大的防火墻，它已具備通常只會在專有的商業(yè)防火墻中才能發(fā)現(xiàn)的大多數(shù)功能。例如，iptables提供了全面的協(xié)議狀態(tài)跟蹤、數(shù)據(jù)包的應(yīng)用層檢查、速率限制和一個功能強(qiáng)大的機(jī)制以指定過濾策略。

由于iptables完全免費(fèi)、功能強(qiáng)大、使用靈活、可以對流入和流出的數(shù)據(jù)包進(jìn)行細(xì)化控制，也可以在一臺低配置的機(jī)器上很好的運(yùn)行。所以linux系統(tǒng)下iptables為平臺的網(wǎng)絡(luò)安全解決方案，對于中小型企業(yè)都具有重要的意義。

1 需求分析

網(wǎng)絡(luò)安全是企業(yè)網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個企業(yè)信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險來自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成業(yè)務(wù)網(wǎng)絡(luò)的中斷。因此企業(yè)的網(wǎng)絡(luò)安全在企業(yè)中具有非常重要的作用。

本平臺最突出的特點(diǎn)是網(wǎng)絡(luò)運(yùn)營成本低,比較適合中小型企業(yè)、學(xué)校等。目前，許多企業(yè)網(wǎng)絡(luò)采用電信級別的硬件安全設(shè)備，其昂貴的設(shè)備費(fèi)用、維護(hù)費(fèi)用、設(shè)備更新費(fèi)用成為企業(yè)的重要負(fù)擔(dān)。本方案與以上所比具有以下優(yōu)勢：

1）對企業(yè)現(xiàn)有網(wǎng)絡(luò)沒有影響。

2）節(jié)省昂貴的電信級硬件安全設(shè)備費(fèi)用、維護(hù)費(fèi)用。

3）系統(tǒng)升級管理方便、升級費(fèi)用低廉。

4）對管理員的技術(shù)能力要求不高，系統(tǒng)容易被掌握。

5）本方案的源代碼全部是公開的系統(tǒng)，可以有效的后門等存在的網(wǎng)絡(luò)安全隱患。

6）所有網(wǎng)絡(luò)應(yīng)用放置在內(nèi)網(wǎng)服務(wù)器上，加強(qiáng)網(wǎng)絡(luò)安全性。

2 解決方案

本平臺放置在網(wǎng)絡(luò)出口，平臺分為內(nèi)網(wǎng)和外網(wǎng)。所有的企業(yè)應(yīng)用放置在內(nèi)網(wǎng)服務(wù)器上，所有的上網(wǎng)用戶也分配虛擬ip地址通過服務(wù)器上網(wǎng)。示意圖如圖1。

搭建平臺前準(zhǔn)備，計算機(jī)一臺（需要雙網(wǎng)卡），安裝帶有iptables的linux系統(tǒng)、交換機(jī)2臺、服務(wù)器和終端若干。以我單位的現(xiàn)狀為例：

2.1 內(nèi)部公共服務(wù)（DNS、WEB、Email、ftp、數(shù)據(jù)庫等）的實(shí)現(xiàn)

1）平臺服務(wù)器綁定公共服務(wù)器需要的ip地址

假設(shè)需要綁定多IP的網(wǎng)卡是eth0，在/etc/sysconfig/network-scripts目錄里面創(chuàng)建一個名為ifcfg-eth0:0的文件，

內(nèi)容樣例為:

DEVICE=”eth0:0″

IPADDR=”218.1.1.1″

BROADCAST=”218.1.1.255″

NETMASK=”255.255.255.0″

ONBOOT=”yes”

其中的DEVICE為設(shè)備的名稱，IPADDR為此設(shè)備的IP地址，BROADCAST是廣播地址，NETMASK為子網(wǎng)掩碼，ONBOOT 表示在系統(tǒng)啟動時自動啟動。如果需要再綁定多一個IP地址，只需要把文件名和文件內(nèi)的DEVICE中的eth0:x加一即可。LINUX最多可以支持255個IP別名。

可以把下述命令加在啟動自運(yùn)行文件里面，在Gentoo下是/etc/conf.d/local.start，而某些版本的Linux是/etc/rc.d/rc.local。

ifconfig eth0:1 228.1.1.2 broadcast 218.1.1.255 netmask 255.255.255.0

2）在平臺服務(wù)器上面映射服務(wù)端口

Iptables Ct nat CA POSTROUTING Cs 172.16.1.0/24 Co eht0 Cj SNAT Cto 218.1.1.2

Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 80 Cj DNAT Cto 172.16.1.6

Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 25 Cj DNAT Cto 172.16.1.7

Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 22 Cj DNAT Cto 172.16.1.8

2.2 建立網(wǎng)絡(luò)安全數(shù)據(jù)過濾規(guī)則

在linux命令行下鍵入并加入到/etc/rc.d/rc.local中去

##清空所有規(guī)則

iptables CF

iptables Ct nat CF

##設(shè)定允許通過的端口

iptables -t nat -A PREROUTING -p tcp --dport 21-j ACCEPT -i eth0

小型企業(yè)網(wǎng)絡(luò)安全解決方案范文2

網(wǎng)絡(luò)不僅是一種高深的科技，而且成為人們必不可少的工具。企業(yè)上網(wǎng)大大提高了企業(yè)運(yùn)作效益，降低了企業(yè)成本。應(yīng)該看到，企業(yè)在經(jīng)營發(fā)展過程中，除了內(nèi)部的運(yùn)轉(zhuǎn)管理外，還有大量的外部業(yè)務(wù)活動，包括與合作伙伴，上、下游企業(yè)，客戶甚至競爭對手的各式各樣的業(yè)務(wù)往來。過去這些業(yè)務(wù)活動多半是通過電話、傳真、信件等傳統(tǒng)通信方式輔助進(jìn)行，而在因特網(wǎng)出現(xiàn)后的今天，這些業(yè)務(wù)活動幾乎無一例外地正在轉(zhuǎn)移到因特網(wǎng)上，并且這種轉(zhuǎn)變的速度和程度都是非常驚人的。也就是說，過去傳統(tǒng)意義上的企業(yè)內(nèi)外部經(jīng)營活動包括業(yè)務(wù)信息溝通，訂貨訂單處理，庫存物流管理，客戶服務(wù)，批發(fā)或零售等等已經(jīng)全部可以在因特網(wǎng)上實(shí)現(xiàn)了。所有這些應(yīng)用都可以稱之為企業(yè)上網(wǎng)，又被業(yè)界稱為電子商務(wù)應(yīng)用，它被認(rèn)為是21世紀(jì)企業(yè)的必由之路。

二、行業(yè)分析

（一）企業(yè)上網(wǎng)的緊迫性

對于中國的企業(yè)來說，企業(yè)網(wǎng)的來臨可謂恰逢其時。隨著中國向混合市場經(jīng)濟(jì)的加速發(fā)展，中國各行各業(yè)的公司企業(yè)都在積極準(zhǔn)備迎接國內(nèi)外市場中日益激烈的競爭形勢。這些公司深知：如果想在這個白熱化的市場競爭中獲得成功，就必須最大限度地提高企業(yè)生產(chǎn)力和降低生產(chǎn)成本。因此，各大企業(yè)都迫切需要建立自己的信息技術(shù)基礎(chǔ)設(shè)施，以便將分散在各地的業(yè)務(wù)部門聯(lián)系在一起并加快整個企業(yè)內(nèi)部的信息交流和服務(wù)速度，從而加強(qiáng)自己在市場中的競爭優(yōu)勢。

（二）、企業(yè)上網(wǎng)的需求

企業(yè)網(wǎng)絡(luò)信息系統(tǒng)建設(shè)應(yīng)該以用戶的需求為著眼點(diǎn)。目前，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用水平的逐步提高，企業(yè)用戶的需求，主要體現(xiàn)為：

（1）先進(jìn)性，要求網(wǎng)絡(luò)采用先進(jìn)的技術(shù)，以保證整個企業(yè)網(wǎng)絡(luò)系統(tǒng)在技術(shù)上的先進(jìn)性；

（2）穩(wěn)定性與可靠性，要求網(wǎng)絡(luò)高度穩(wěn)定、可靠，這是網(wǎng)絡(luò)建設(shè)成功的關(guān)鍵，而高度穩(wěn)定、可靠的網(wǎng)絡(luò)系統(tǒng)有利于維護(hù)和管理，可減少網(wǎng)絡(luò)系統(tǒng)的擁有成本；

（3）高性能，要求網(wǎng)絡(luò)系統(tǒng)具有高性能，以滿足計算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行大量關(guān)鍵業(yè)務(wù)（如項目設(shè)計、項目管理、CAD、OA、MIS、ERP及多媒體應(yīng)用等）的需要；

（4）vlan劃分的靈活性，因為網(wǎng)絡(luò)系統(tǒng)站點(diǎn)數(shù)和運(yùn)行的應(yīng)用都在增多，所以要求網(wǎng)絡(luò)平臺具有靈活的虛網(wǎng)（VLAN）劃分能力；

（5）由于網(wǎng)絡(luò)系統(tǒng)可能要傳輸多媒體信息，因此要求網(wǎng)絡(luò)平臺具有良好的服務(wù)質(zhì)量和較小的延遲；

（6）要求網(wǎng)絡(luò)平臺具有良好的易管理性，減少運(yùn)行、維護(hù)及管理成本；

（7）要求選擇具有良好發(fā)展前景的網(wǎng)絡(luò)廠商的產(chǎn)品，這樣才能保證平臺具有良好的售后服務(wù)、投資保護(hù)，更為關(guān)鍵的是能夠保證網(wǎng)絡(luò)系統(tǒng)持久的先進(jìn)性。

三、企業(yè)網(wǎng)絡(luò)主干技術(shù)選擇：

企業(yè)局域網(wǎng)絡(luò)技術(shù)的選擇主要是主干技術(shù)的選擇，現(xiàn)今適合作局域網(wǎng)絡(luò)主干技術(shù)的主要有千兆以太網(wǎng)及ATM兩種。

千兆以太網(wǎng)是網(wǎng)絡(luò)界公認(rèn)的技術(shù)發(fā)展方向之一，它是對成功的10M和100MIEEE802.3以太網(wǎng)標(biāo)準(zhǔn)的擴(kuò)展，仍然沿用以太網(wǎng)IEEE802.3幀格式，全雙工操作和流控制方法。在半雙工模式下，千兆以太網(wǎng)使用同樣的CSMA/CD訪問方法來解決媒體的通信競爭問題，并使用由IEEE802.3小組定義的同樣的管理對象。概括起來，千兆以太網(wǎng)的優(yōu)點(diǎn)在于：網(wǎng)絡(luò)技術(shù)可靠，易于管理，具有可伸縮性，且它相對于ATM的價格水平要低得多；缺點(diǎn)為部分標(biāo)準(zhǔn)不統(tǒng)一。

ATM規(guī)定各種類型的服務(wù)（聲音、圖像、數(shù)據(jù)）信息都由大小固定的53字節(jié)的信元進(jìn)行傳輸。ATM優(yōu)點(diǎn)為：支持線路交換和分組交換；對廣域網(wǎng)和局域網(wǎng)采用相同的技術(shù)；在普通線路上同時傳輸視頻、語音和數(shù)據(jù)；對多種業(yè)務(wù)可保證服務(wù)質(zhì)量，按需分配帶寬。缺點(diǎn)為：管理和維護(hù)復(fù)雜；基于ATM的應(yīng)用較少；ATM產(chǎn)品相對于以太網(wǎng)產(chǎn)品價格昂貴；部分標(biāo)準(zhǔn)不統(tǒng)一。

千兆以太網(wǎng)能與桌面的以太網(wǎng)和快速以太網(wǎng)無縫銜接，因為他們采用的協(xié)議是相同的。ATM網(wǎng)絡(luò)與以太網(wǎng)共存時，需在幀和信元之間進(jìn)行轉(zhuǎn)換。在企業(yè)園區(qū)網(wǎng)，90％的應(yīng)用都是基于以太網(wǎng)或快速以太網(wǎng)的，千兆以太網(wǎng)以其從以太網(wǎng)及快速以太網(wǎng)升級方便、易管理和低廉的價格使ATM舉步維艱，ATM的傳統(tǒng)優(yōu)勢如傳輸多媒體和傳輸?shù)木嚯x長也日漸遜色。千兆以太網(wǎng)支持資源預(yù)留協(xié)議（RSVP）、IEEE802.3、IEEE802.1Q、Irecedence、獨(dú)立組播路由協(xié)議（PIM）、國際互聯(lián)網(wǎng)成組管理協(xié)議（IGMP）等，這就使得千兆以太網(wǎng)傳輸多媒體成為可能，已有廠家的千兆以太網(wǎng)產(chǎn)品傳輸距離超過100公里。因此建議，企業(yè)園區(qū)網(wǎng)在主要傳輸數(shù)據(jù)的情況下，應(yīng)選擇千兆以太網(wǎng)作主干技術(shù)。

四、企業(yè)網(wǎng)絡(luò)構(gòu)架的基本方案

企業(yè)網(wǎng)中大部分是中小企業(yè)，中小型企業(yè)最大的特點(diǎn)是小規(guī)模與高效率的結(jié)合。他們往往不擁有完備的信息技術(shù)部門，但是網(wǎng)絡(luò)應(yīng)用對他們同樣關(guān)鍵。因此，中小企業(yè)需要量身定做的解決方案。面對這一情況，上海廣電應(yīng)確信公司針對不同規(guī)模企業(yè)，推出了一系列解決方案，以幫助中小企業(yè)提升其競爭力。

4．1基本網(wǎng)絡(luò)方案簡述

根據(jù)企業(yè)網(wǎng)站可提供的內(nèi)容和它的實(shí)際應(yīng)用情況，企業(yè)上網(wǎng)可分為兩部分，一部分是實(shí)現(xiàn)各企業(yè)部門內(nèi)部辦公功能的內(nèi)部網(wǎng)，即Intranet。另一部分是各企業(yè)部門網(wǎng)站在Internet上信息與交流的外部網(wǎng)。

一旦企業(yè)建立了Intranet，就可用它來信息、增強(qiáng)企業(yè)的通信能力、建立合作的環(huán)境。有些應(yīng)用很簡單，只是用HTML語言建立內(nèi)部的環(huán)球網(wǎng)服務(wù)器信息；有些應(yīng)用較復(fù)雜，需要連接數(shù)據(jù)庫。下面列出一些Intranet的應(yīng)用： 銷售報告、財務(wù)報告、客戶信息、季度統(tǒng)計、廠商信息、產(chǎn)品信息、市場信息小冊子、產(chǎn)品開發(fā)信息、物資和元部件目錄、倉庫信息、網(wǎng)絡(luò)管理、資產(chǎn)管理、新聞組、電子郵件、培訓(xùn)。

4．2具體方案實(shí)施：

按照網(wǎng)絡(luò)的規(guī)模可具體劃分為以下幾個方案：

（1）小型企業(yè)信息系統(tǒng)方案：通常指在20－30個工作站以內(nèi)的小型辦公室(辦公環(huán)境較集中)網(wǎng)絡(luò)環(huán)境的方案。

（2）中型企業(yè)信息系統(tǒng)方案：即指在30個工作站以上的中型辦公園區(qū)（辦公環(huán)境較分散，距離教遠(yuǎn)）網(wǎng)絡(luò)環(huán)境的方案。

（3）大型企業(yè)信息系統(tǒng)方案：即指在超過幾百個工作站以上的大型辦公園區(qū)并有外地分支機(jī)構(gòu)網(wǎng)絡(luò)環(huán)境的方案。

4.2.1小型企業(yè)信息系統(tǒng)方案

小企業(yè)辦公室網(wǎng)絡(luò)，相對于大、中型企業(yè)網(wǎng)絡(luò)，可以說是麻雀雖小，五臟俱全，同樣有著文件共享、打印共享、電子郵件、財務(wù)管理、庫房管理、Web等大型網(wǎng)絡(luò)所具有的需求。

由于小型企業(yè)網(wǎng)絡(luò)站點(diǎn)數(shù)較少，而且聯(lián)網(wǎng)的站點(diǎn)較集中（例如，在一幢樓內(nèi)）。因此，結(jié)構(gòu)化布線時就可以只采用雙絞線就足夠了，每個站點(diǎn)（計算機(jī)）與集線器或交換機(jī)之間的距離不能超過100米。

方案說明

網(wǎng)絡(luò)配置：中心選用InfiniteSwitch5024機(jī)架型快速以太網(wǎng)交換機(jī)(24口10/100M自適應(yīng)以太網(wǎng)交換機(jī))，采用10/100M自適應(yīng)端口連接服務(wù)器及工作站。針對小型企業(yè)用戶我們推出桌面型硬件安全設(shè)備I1102，嵌入式的硬件安全架構(gòu)，使其性價比很高。簡單配置的防火墻安全規(guī)則，方便客戶應(yīng)用。同時可以作為DHCP服務(wù)器，具有本地路由器功能，支持以太網(wǎng)方式/CABLEMODEM/ADSL等方式接入INTERNET，方便的實(shí)現(xiàn)共享上網(wǎng)。

方案特點(diǎn)：

(1)　性價比高；在方案中，沒有使用很多高端的設(shè)備，但已經(jīng)完全可以滿足小型企業(yè)網(wǎng)絡(luò)的需求。

（2）功能齊全；提供了文件共享、打印共享、電子郵件、電子公告、庫房管理、遠(yuǎn)程辦公、工資管理、財務(wù)分析、采購管理、資金管理、庫存管理、銷售管理等較齊全的功能，很適合于小型企業(yè)網(wǎng)絡(luò)環(huán)境。

（3）安全性高；采用InfiniteSwitch5024智能以太網(wǎng)交換機(jī)交換機(jī)，可以將單一的局域網(wǎng)劃分為多個相對獨(dú)立、互不干擾的VLAN（虛擬子網(wǎng)），可以方便地控制不同部門對某些資源的訪問權(quán)限，并能夠縮小廣播域，減少不必要的帶寬占用，有效提高網(wǎng)絡(luò)的安全性和性能。I1102通過IP過濾提供防火墻功能?？梢詫P地址、端口號、協(xié)議種類等進(jìn)行設(shè)置并加以控制。

5.2.2中型企業(yè)信息系統(tǒng)方案

由于中型企業(yè)辦公環(huán)境較分散，距離教遠(yuǎn)，對網(wǎng)絡(luò)的性能要求較高（數(shù)據(jù)交換的安全性，設(shè)備運(yùn)行的可靠性，網(wǎng)絡(luò)管理的全面性），對網(wǎng)絡(luò)的速度亦有提高。同時，每個網(wǎng)段最長只能100米的有效距離的雙絞線傳輸介質(zhì)已經(jīng)不能滿足中型企業(yè)網(wǎng)絡(luò)的使用需求，有時必須使用多模光纖或單模光纖做為布線時所采用的傳輸線纜，使得有效傳輸距離能夠延伸至2公里（多模光纖）或更遠(yuǎn)（單模光纖）。

方案說明

中心選用InfiniteSwitch5000系列交換機(jī)，根據(jù)用戶數(shù)量及功能要求選用IS5048/5024/5024s .為了保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，在接入Internet時采用上海廣電應(yīng)確信的防火墻I91XX，可以防止來自外部的非法的、惡意的攻擊。

由于中型企業(yè)辦公環(huán)境較分散，距離教遠(yuǎn)，則在中心交換機(jī)上配置100Base-FX或1000Base-LX/SX光纖模塊.企業(yè)內(nèi)部采用SVAI91XX通過DDN、FrameRlay、X.25等廣域網(wǎng)專線接入Internet，提供安全、快捷、簡便的企業(yè)外部網(wǎng)站方案。I91XX適用于中小型企業(yè)用戶，利用CheckPoint軟件及其OEC合作伙伴構(gòu)成頂級配置，為用戶提供一個完整的網(wǎng)絡(luò)安全解決方案。

應(yīng)用二：

方案說明

對于一個中型企業(yè)，如果公司內(nèi)部有較多的部門，位置比較分散，而且相互之間要獨(dú)立的工作，對于用戶的訪問權(quán)限可以限制（如要求劃分vlan）,所有的部門通過公司的網(wǎng)絡(luò)中心的一臺三層交換機(jī)來接入internet，采用SVAHammerHead9300/9500/9800來對進(jìn)行對網(wǎng)絡(luò)的安全進(jìn)行保護(hù)。對于一些移動用戶可以采用無線接入設(shè)備(2020/1011/1001)來連入企業(yè)內(nèi)部網(wǎng)及上INTERNET.

在公司的各個部門中采用的交換機(jī)均支持vlan的劃分，根據(jù)每個部門的規(guī)劃及距離網(wǎng)絡(luò)中心的遠(yuǎn)近采用100MUTP或者100/1000M光纖接入。隨著員工數(shù)的增多，可以利用5024S/5024S 堆疊來擴(kuò)展網(wǎng)絡(luò)，5024S/5024S 最多分別可堆疊至4臺/16臺，因此網(wǎng)絡(luò)有很好的擴(kuò)展性及可管理性。

接入internet可以采用多種方式,通過TN/ISDN/DDN線路等多種方式，用戶可能根據(jù)需要來實(shí)現(xiàn)企業(yè)網(wǎng)接入公用網(wǎng)。

中型企業(yè)方案特點(diǎn)：

（1）較充分發(fā)揮了Internet/Intranet應(yīng)用的特性

除了傳統(tǒng)的文件共享、打印共享等功能外，電子郵件、Web、電子公告、庫房管理、遠(yuǎn)程辦公等功能都是基于Internet/Intranet應(yīng)用實(shí)現(xiàn)的。使得整個網(wǎng)絡(luò)系統(tǒng)充分發(fā)揮了Internet/Intranet應(yīng)用的跨平臺、與硬件無關(guān)、標(biāo)準(zhǔn)統(tǒng)一等特點(diǎn)，使得中小型企業(yè)可以與外界透明地通訊。

（2）維護(hù)小、投入少

中型企業(yè)網(wǎng)絡(luò)系統(tǒng)使用了較少的高端產(chǎn)品，投入少而功能齊。由于使用了Internet/Intranet結(jié)構(gòu)構(gòu)造中小辦公室網(wǎng)絡(luò)系統(tǒng)，使得網(wǎng)絡(luò)結(jié)構(gòu)更加Client/Server化，作為網(wǎng)絡(luò)的管理維護(hù)，只需對Server端進(jìn)行維護(hù)工作，對Client的維護(hù)工作大大減少，所以總體上也就大大減少了維護(hù)工作量，并節(jié)省了投資。

（4）提高工作效率、節(jié)省開支。

在此方案中，提供了電子郵件、電子公告、Web等實(shí)用、快捷的功能，大大提高了企業(yè)的辦公效率。同時提供了網(wǎng)絡(luò)內(nèi)用戶對Internet的透明訪問，使企業(yè)內(nèi)部可以充分利用Internet這個巨大的信息資源，更加提高了企業(yè)的辦公效率和資源利用。

5.2.3大型企業(yè)信息系統(tǒng)方案

大型企業(yè)辦公環(huán)境即指在超過幾百個工作站以上的大型辦公園區(qū)并有外地分支機(jī)構(gòu)網(wǎng)絡(luò)環(huán)境。對網(wǎng)絡(luò)的性能要求很高，同時對網(wǎng)絡(luò)的速 度亦有很高的要求。大型企業(yè)網(wǎng)支持各種網(wǎng)絡(luò)功能，能夠通過廣域網(wǎng)接口實(shí)現(xiàn)Internet接入，建立企業(yè)主頁，為園區(qū)用戶提供E-mail電子郵件、WWW、FTP服務(wù)，同時支持網(wǎng)絡(luò)管理和電子信息的存儲、訪問管理。推薦采用局域網(wǎng)專線接入方式，此方式需要配備接入路由器,防火墻等網(wǎng)絡(luò)設(shè)備，租用電信部門的專線并向CERNET管理部門申請IP地址及注冊域名。接入路由器可以通過DDN專線、FrameRelay等與Internet相連。還可以按照需要組合配置多種WAN廣域網(wǎng)端口模塊，提供寬帶、QoS保證的遠(yuǎn)程多媒體服務(wù)。為了保證企業(yè)網(wǎng)的安全，方案中提供SVAHammerHead9000安全平臺，SVAHammerHead9000系列是業(yè)界唯一模塊化網(wǎng)絡(luò)安全平臺和應(yīng)用系統(tǒng)，在單一的設(shè)備上集成了路由、防火墻、入侵檢測、V、LAN連接和其他安全應(yīng)用，為用戶提供可擴(kuò)容及可靠的網(wǎng)絡(luò)安全整體解決方案。

在布線上，除了采用多?；騿文９饫w之外，甚至還需要從電信部門租用DDN、幀中繼、X.25、ISDN等專線，或者利用無線微波方式進(jìn)行遠(yuǎn)距離連接。

方案說明

在網(wǎng)絡(luò)中心選擇上海廣電應(yīng)確信的InfiniteSwitch7508三層交換機(jī)和5024交換機(jī)。在各分部門或者分公司根據(jù)信息點(diǎn)數(shù)選擇InfiniteSwitch4000/5000系列交換機(jī)。

在網(wǎng)絡(luò)中心的核心層配置的InfiniteSwitch7508G第三層交換機(jī)，可完成高帶寬、大容量網(wǎng)絡(luò)層路由交換功能交換，是一種功能強(qiáng)大的企業(yè)網(wǎng)主干交換機(jī)，使網(wǎng)絡(luò)管理者能方便的監(jiān)督和管理網(wǎng)絡(luò)，同時，又能將主干網(wǎng)帶寬提升到千兆速度，InfiniteSwitch7000/7500系列是可網(wǎng)管的，高端口密度，配置靈活的高性能路由交換機(jī)。提供7個擴(kuò)展插槽，22G交換背板上。網(wǎng)絡(luò)管理員能夠隨時通過任意一個端口配置以上功能，以消除傳統(tǒng)路由器的瓶頸，設(shè)置優(yōu)先級給不同類型的網(wǎng)絡(luò)傳輸及保證某些應(yīng)用的流量帶寬，如視頻傳輸。

InfiniteSwitch7508G提供了廣泛的管理選擇，包括HPOpenView和其他的MP管理系統(tǒng)，或者InfiniteSwitch7508G自己提供的網(wǎng)絡(luò)管理系統(tǒng)。InfiniteSwitch7508G提供到與InfiniteSwitch4000/5000系列以太網(wǎng)交換機(jī)、防火墻和服務(wù)器群（其中包括主域服務(wù)器、備份域服務(wù)器、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、WWW服務(wù)器等）、網(wǎng)管終端的高速連接，重要的服務(wù)器及主干鏈路均可采用千兆模塊進(jìn)行生成樹（aingTree）冗余鏈路連接。

接入層交換機(jī)，在本方案設(shè)計中，為了保證網(wǎng)絡(luò)的高性能，可采用InfiniteSwitch　4000/5000系列智能以太網(wǎng)交換機(jī)，根據(jù)具體實(shí)際需求，接入層交換機(jī)可選用InfiniteSwitch4024/4032/5024/5024s/5048交換機(jī)。

在方案中的防火墻，選用SVAHammerHead9300.HammerHead9300是3插槽機(jī)箱式的安全平臺，用戶可以根據(jù)需求選擇服務(wù)器、交換機(jī)、路由器等模塊。SVAHammerHead9000的多種應(yīng)用模塊能支持Linux,HP/UX,DUNIX,WindowT和Suolaris等系統(tǒng)，它能為用戶提供防火墻保護(hù)、入侵偵測、身份認(rèn)證、安全報告、內(nèi)容安全、高可靠性。SVAHammerHead9000的有多種網(wǎng)絡(luò)模塊，它可支持多種的LAN/WAN互連，包括：Frame、ISDN、ATM、以太網(wǎng)。實(shí)現(xiàn)完整的一體化的網(wǎng)絡(luò)安全解決方案。

方案特點(diǎn)：

1、高性能；網(wǎng)絡(luò)中采用了第三層交換機(jī)，第三層交換不僅擁有高速的交換功能，同時也具有全部的第三層控制功能，可以對流量基于IP地址、IP的協(xié)議類型、以及TCP/UDP的端口進(jìn)行交換控制，從而在提高網(wǎng)絡(luò)處理效率的同時，保障了VLAN之間通訊的安全性。

2、可擴(kuò)展性；網(wǎng)絡(luò)設(shè)計具有層次結(jié)構(gòu)，用戶能靈活地接入到相應(yīng)的層次當(dāng)中。可擴(kuò)展的網(wǎng)絡(luò)接口。

3、靈活性；適當(dāng)?shù)慕LAN，方便地理位置不同的用戶的網(wǎng)絡(luò)連接.

4、安全性；VLAN的建立，可以控制廣播和應(yīng)用的信息流動，從而防止用戶非法在網(wǎng)絡(luò)上截獲其它用戶或它們的資源。HammerHead9000網(wǎng)絡(luò)安全產(chǎn)品保護(hù)企業(yè)內(nèi)部資源，防止外部入侵，控制和監(jiān)督外部用戶對企業(yè)內(nèi)部網(wǎng)的訪問；控制、監(jiān)督和管理企業(yè)內(nèi)部對外部Internet的訪問。

5、層次化、模塊化；本網(wǎng)絡(luò)設(shè)計的特點(diǎn)為層次化、模塊化設(shè)計。

6、優(yōu)良的性價比

六、總結(jié)

小型企業(yè)網(wǎng)絡(luò)安全解決方案范文3

此前，勒索軟件侵害的對象主要是一些有充裕資金的企業(yè)，但近期形勢發(fā)生了一些變化，中小企業(yè)、個人也都成為受災(zāi)群體。隨著智能移動端設(shè)備的廣泛使用，勒索軟件感染的途徑更加多樣化，并且已經(jīng)從傳統(tǒng)的PC端逐漸蔓延到手機(jī)端。在同一個商業(yè)網(wǎng)絡(luò)中，通過被勒索軟件感染的手機(jī)也有可能對網(wǎng)絡(luò)中其他設(shè)備造成不良影響，網(wǎng)絡(luò)中其他設(shè)備也可能遭受勒索軟件感染。

大型企業(yè)或機(jī)構(gòu)中可能有一些專職IT管理人員會處理被勒索軟件感染的設(shè)備，但任何一位IT管理人員都不愿企業(yè)或機(jī)構(gòu)的數(shù)百臺設(shè)備遭受勒索軟件感染。勒索軟件感染會致使關(guān)鍵系統(tǒng)處于離線狀態(tài)，以至于企業(yè)或機(jī)構(gòu)的全部運(yùn)營活動都處于危險境地。很多安全解決方案提供商對此做出分析，運(yùn)用新技術(shù)，推出了一些安全防御解決方案，并且提出了一些可行的安全防御建議，供大眾參考。

持續(xù)跟蹤分析

在近期的一些勒索事件中，盡管大多數(shù)的勒索軟件犯罪組織并沒有特定的攻擊目標(biāo)，但是，賽門鐵克的安全團(tuán)隊發(fā)現(xiàn)，一部分犯罪組織已經(jīng)將攻擊目標(biāo)轉(zhuǎn)向特定企業(yè)，試圖通過破壞企業(yè)的整體運(yùn)營以獲得巨額贖金。在今年年初，一家大型企業(yè)所遭受的精心策劃的勒索軟件攻擊事件正是犯罪組織針對特定企業(yè)發(fā)起攻擊的典型案例。在此類針對企業(yè)的攻擊中，攻擊者像網(wǎng)絡(luò)間諜一樣擁有高級專業(yè)知識，能夠利用包含軟件漏洞和合法軟件的攻擊工具包侵入企業(yè)網(wǎng)絡(luò)。勒索軟件攻擊者與網(wǎng)絡(luò)間諜之間并無區(qū)別，他們都是利用服務(wù)器上尚未修補(bǔ)的漏洞，在企業(yè)網(wǎng)絡(luò)中獲得立足點(diǎn)。通過使用多種公開的黑客工具，網(wǎng)絡(luò)攻擊者能夠看到企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)，并使用未知的勒索軟件變種盡可能多地感染企業(yè)內(nèi)的計算機(jī)。

此前，卡巴斯基也對勒索攻擊事件進(jìn)行過持續(xù)的跟蹤分析?？ò退够l(fā)現(xiàn)，這種勒索軟件感染事件并非僅出現(xiàn)在局部地區(qū)，而是全球性的。因此，卡巴斯基提出了打擊勒索軟件的倡議，表示“打擊這種全球威脅需要國際間合作”。

不斷爆發(fā)的勒索軟件攻擊對企業(yè)造成了相當(dāng)嚴(yán)重的影響，所幸企業(yè)的關(guān)鍵系統(tǒng)和大部分被勒索軟件加密的數(shù)據(jù)可以通過備份恢復(fù)過來。未來，我們可能會看到更多針對資金雄厚的企業(yè)發(fā)起的勒索軟件攻擊，以索要巨額贖金。

令人擔(dān)憂的趨勢

賽門鐵克最新的《勒索軟件與企業(yè)2016》調(diào)查報告中指出，勒索軟件已經(jīng)成為當(dāng)今企業(yè)和消費(fèi)者面臨的最大網(wǎng)絡(luò)安全威脅之一。在2015 年，賽門鐵克共發(fā)現(xiàn)100種新型勒索軟件，創(chuàng)下歷史新高。在被發(fā)現(xiàn)的新型勒索軟件中，大多數(shù)為更危險的“加密勒索軟件”，這類惡意軟件可以通過強(qiáng)效加密鎖定目標(biāo)的文件。

無獨(dú)有偶，卡巴斯基也發(fā)現(xiàn)，最近幾年，勒索軟件正在成為一個非常嚴(yán)重的問題。歐盟執(zhí)法機(jī)關(guān)將其視為一種頭號威脅，約三分之二的歐盟成員國正在對這種形式的惡意軟件攻擊進(jìn)行調(diào)查。

同2014年4月至2015年3月這段時間相比，在2015年4月至2016年3月遭遇所有類型勒索軟件攻擊的用戶總數(shù)增長了17.7%，全球受攻擊用戶從196.7784萬個增長到231.5931萬個；遭遇加密勒索軟件攻擊的用戶數(shù)量增長了5.5倍，從2014年―2015年的13.1111萬個增加到2015年―2016年的71.8536萬個；至少遭遇一次勒索軟件攻擊的用戶占所有遭遇惡意軟件攻擊的用戶總數(shù)的比例增長了0.7個百分點(diǎn)，從2014年―2015年的3.63%增長到2015年―2016年的4.34%；遭遇加密勒索軟件的用戶占所有遭遇勒索軟件攻擊的用戶數(shù)量比例顯著上升，上升了25個百分點(diǎn)，從2014年―2015年的6.6%上升到2015年―2016年間的31.6%；遭遇鎖定軟件（鎖定用戶屏幕的勒索軟件）的用戶數(shù)量下降了13.03%，從2014年―2015年的183.6673萬個減少到2015年―2016年間的159.7395萬個；德國、意大利和美國的用戶遭遇加密勒索軟件的比例最高。

再來看一看遭受勒索軟件感染后，用戶交付贖金的數(shù)額變化情況。賽門鐵克的《勒索軟件與企業(yè)2016》報告中指出，從2015年年末至今，勒索軟件的平均贖金增長超過2倍，從294美元增長至679美元。2016年，一種名為7ev3n-HONE$T的惡意軟件（Trojan.Cryptolocker.AD）要求每臺計算機(jī)支付13個比特幣的贖金，換算約為5083美元（根據(jù)發(fā)現(xiàn)的時間），成為最高的勒索金額。

勒索軟件的影響范圍

根據(jù)賽門鐵克的調(diào)查報告，美國成為感染勒索軟件最嚴(yán)重的國家，占全球的28%。排名前十的國家還包括加拿大、澳大利亞、印度、日本、意大利、英國、德國、荷蘭和馬來西亞。現(xiàn)在，個人消費(fèi)者仍然是勒索軟件的主要攻擊目標(biāo)（57%）。但長期趨勢表明，以企業(yè)為攻擊目標(biāo)的勒索軟件攻擊次數(shù)正在緩慢且穩(wěn)步地增長。

或許有人會提出這樣的問題，為什么目前勒索軟件的主要攻擊目標(biāo)會有57%是個人用戶，而非企業(yè)用戶，攻擊這些目標(biāo)群體真會獲得很多利潤嗎？企業(yè)對于自身信息應(yīng)該更為看重，更應(yīng)該愿意支付贖金，攻擊它們應(yīng)該比攻擊個人用戶更有利可圖。賽門鐵克公司大中華區(qū)首席運(yùn)營官羅少輝表示，不同的黑客發(fā)動攻擊時，所選擇的目標(biāo)不盡相同。有些黑客僅針對個人用戶進(jìn)行攻擊，因為個人用戶的安全意識比較低、防護(hù)措施也比較薄弱，黑客通過簡單的勒索軟件就能夠輕易地實(shí)施攻擊。同時，由于黑客對個人用戶的勒索金額較小，個人用戶為了盡快獲得密鑰會更加傾向于支付贖金。所以，現(xiàn)在的勒索軟件攻擊的對象大部分針對個人用戶。

而針對企業(yè)的攻擊，由于攻擊規(guī)模相對較大，因此黑客需要采用一些專業(yè)攻擊工具，花費(fèi)較多的時間，因此黑客索要的贖金也是相當(dāng)可觀的。“我認(rèn)為，正是由于勒索軟件針對企業(yè)的攻擊數(shù)量上升，企業(yè)才會更加關(guān)注安全防護(hù)，逐步增強(qiáng)安全防御措施?！绷_少輝補(bǔ)充道。

賽門鐵克的《勒索軟件與企業(yè)2016》調(diào)查報告還指出，當(dāng)前受勒索軟件影響較大的行業(yè)為服務(wù)業(yè)（38%）、制造業(yè)（17%）、金融、保險和房地產(chǎn)業(yè)（10%），以及公共管理（10%）。

過去，黑客攻擊的主要方式是通過電子郵件進(jìn)行傳播。但如今，黑客通常不再使用單一手法進(jìn)行攻擊，黑客也會在同一時間，利用電子郵件、社交媒體和短信等多種不同方式隊攻擊目標(biāo)。此外，勒索軟件會出現(xiàn)很多變種。因此，即便用戶對電子郵件保持謹(jǐn)慎，也有可能通過其他途徑感染勒索軟件。正是由于黑客的攻擊方式更加多樣化，賽門鐵克對勒索軟件的攻擊模式和途徑進(jìn)行統(tǒng)一分析與整理還存在一定困難，無法全面對其梳理，繪制一個全面的圖表。

以郵件和URL傳播為主

由于勒索軟件可以通過多種途徑來傳播，因此基于單一層面的防護(hù)機(jī)制都無法有效防范勒索軟件。亞信安全的勒索軟件風(fēng)險研究報告同樣顯示，在綜合部署電子郵件、URL、文件等多層防護(hù)機(jī)制之后，在防護(hù)邊界對于勒索軟件的檢測率可以達(dá)到99%。

亞信安全技術(shù)總經(jīng)理蔡N(yùn)欽指出：“勒索軟件作者會不斷改變程序代碼來繞過過濾程序，并且嘗試通過電子郵件、URL鏈接、文件等多種方式來入侵網(wǎng)絡(luò)。同樣，黑客也開始將惡意軟件目標(biāo)放到服務(wù)器基礎(chǔ)設(shè)施上，與最近攻擊醫(yī)療行業(yè)的‘SAMSAM’雷同，它們無需與 C&C 服務(wù)器聯(lián)系也能加密檔案。簡言之，并沒有萬靈丹來防止這類網(wǎng)絡(luò)威脅，企業(yè)用戶需要盡可能地降低風(fēng)險，并通過多層防護(hù)機(jī)制來進(jìn)行檢查和攔截。”

從亞信安全7月的《勒索軟件風(fēng)險研究報告》中還可以發(fā)現(xiàn)，在過去的10個月中，勒索軟件主要是通過電子郵件、URL、文件這三種方式進(jìn)行傳播。其中，通過電子郵件傳播的勒索軟件數(shù)量出現(xiàn)了較為顯著的增長，占比從不足5%增長到46%，僅次于通過URL傳播的比例（52%）。

據(jù)亞信安全病毒監(jiān)測實(shí)驗室分析：電子郵件與URL是勒索軟件傳播者尤為喜歡的兩種傳播途徑，主要是因為這兩種方式簡單有效，通過大規(guī)模群發(fā)的方式，不僅能夠降低傳播成本，還便于利用社交工程攻擊的方式來吸引更多人點(diǎn)擊。而且，這兩種方式要比很多人想象的更有效果，因為黑客會利用漏洞攻擊套件（Exploit Kit）攻擊操作系統(tǒng)及應(yīng)用程序的漏洞，若用戶電腦沒有更新補(bǔ)丁，只是瀏覽一般網(wǎng)頁就可能會被勒索軟件感染。

對此，賽門鐵克也提出了幾條建議：

1. 新型勒索軟件變體會定期更新，賽門鐵克建議用戶及時更新安全防護(hù)軟件，確保防御能力。

2. 軟件更新通常包含最新發(fā)現(xiàn)的可被勒索軟件利用的安全漏洞補(bǔ)丁，用戶應(yīng)該及時更新操作系統(tǒng)和其它應(yīng)用軟件。

3. 電子郵件是感染勒索軟件的主要途徑之一。賽門鐵克建議用戶及時刪除所收到的任何可疑郵件，特別是包含鏈接或附件的郵件。

4. 謹(jǐn)慎對待任何建議啟用宏查看內(nèi)容的Microsoft Office電子郵件附件。若無法確定電子郵件的來源是否可信，不要啟用宏并立即刪除該郵件。

5. 應(yīng)對勒索軟件攻擊的最有效方式是對重要數(shù)據(jù)進(jìn)行備份。攻擊者通過對重要文件進(jìn)行加密，使受害者無法訪問。如果受害者擁有備份副本，可以在清除感染后立刻恢復(fù)文件。

與此類似，卡巴斯基也提出了一些安全解決方案和建議：

1. 必須進(jìn)行數(shù)據(jù)備份。越早地將備份當(dāng)作是日常使用計算機(jī)時必須做的事，能夠越早地對各種類型的勒索軟件免疫。這與賽門鐵克給出的第五條建議類似。

2. 使用一款可靠的安全解決方案。使用安全解決方案時，不要將高級安全功能關(guān)閉。通常，這些高級功能能夠基于程序的行為檢測最新的勒索軟件。

3. 保持計算機(jī)上的軟件更新。大多數(shù)常用的應(yīng)用程序（Flash、Java、Chrome、Firefox、Internet Explorer、Microsoft Office）和操作系統(tǒng)（例如Windows）都具有自動更新功能。保持自動更新功能開啟，不要忽略這些應(yīng)用程序安裝更新的請求。

4. 當(dāng)心自己從互聯(lián)網(wǎng)上下載的文件，以及通過電子郵件收到的文件。尤其是來自不受信任來源的文件。換句話說，如果你想要下載的是一個mp3文件，但是卻得到了一個擴(kuò)展名為.exe的文件，那這個文件絕對不是音頻文件，而是一個惡意軟件。要確保下載的內(nèi)容沒有問題，最好的辦法是檢查其擴(kuò)展名是否正確，同時要確保其能夠通過反病毒解決方案的掃描。

5. 如果某些原因?qū)е履愕奈募焕账鬈浖用?，并且要求你支付贖金，請不要支付。你付給網(wǎng)絡(luò)罪犯的每一分錢都會增強(qiáng)他們利用這種網(wǎng)絡(luò)犯罪形式獲利的信心，而這些錢會被用來制造新的勒索軟件。

同時，很多安全解決方案提供商，每天都在為對抗勒索軟件這種威脅努力工作。有時候，安全解決方案提供商開發(fā)出一些針對某些特定勒索軟件的解密工具，并且通過同執(zhí)法機(jī)關(guān)合作，它們可以獲取到特定惡意軟件家族的加密密匙，可用幫助遭受勒索軟件加密的用戶來解密被加密的文件。最后一點(diǎn)，制造、傳播，以及索要贖金解密文件等行為，在全球大多數(shù)國家都屬于犯罪行為。如果遭遇攻擊，請向警方報案，以便開始調(diào)查。

健全防御機(jī)制

當(dāng)企業(yè)中的一臺電腦（或智能設(shè)備）感染了勒索軟件后，如果員工將其接入其他商業(yè)或者家庭網(wǎng)絡(luò)中，是否意味著采用該網(wǎng)絡(luò)的相關(guān)設(shè)備也會陷入勒索軟件的威脅之中？對此，羅少輝表示：“部分勒索軟件會經(jīng)由感染的終端擴(kuò)散傳染至局域網(wǎng)和互聯(lián)網(wǎng)上的其他設(shè)備，這主要由勒索軟件的具體行為決定。盡管無法完全確定這種情況的發(fā)生，但采用該網(wǎng)絡(luò)的其他電腦或者智能設(shè)備陷入勒索軟件的威脅的可能性非常高。部分勒索軟件自身會在感染用戶電腦后進(jìn)行擴(kuò)散，從而使相連設(shè)備感染病毒，以此達(dá)到勒索更多贖金的目的。賽門鐵克建議，當(dāng)發(fā)現(xiàn)一臺終端感染勒索軟件后，立刻將該終端與網(wǎng)絡(luò)隔離，減少大范圍感染的幾率?！?/p>

在中國“互聯(lián)網(wǎng)+”時代背景下，每個企業(yè)的發(fā)展都與互聯(lián)網(wǎng)息息相關(guān)，每個企業(yè)都參與云計算或者享受著云服務(wù)。隨著云應(yīng)用的增長，云安全也變得尤為重要。近日，賽門鐵克公司宣布與北京神州云科信息服務(wù)有限公司（以下簡稱云科）開啟全面合作，共同打造企業(yè)云安全管理服務(wù)平臺，應(yīng)對中國市場不斷激增的云和信息安全需求。

如今的安全防護(hù)已經(jīng)從終端防御過渡到云端防御，賽門鐵克是否有更好的架構(gòu)或技術(shù)，能夠從云端或者源頭防控勒索軟件等安全威脅呢？筆者就此詢問了賽門鐵克公司大中華區(qū)總裁威，他表示：“由于客戶的規(guī)模不同，因此采取安全防護(hù)的方法也有所不同。許多機(jī)關(guān)單位、金融機(jī)構(gòu)，或者大型企業(yè)，平時十分重視對于終端安全的維護(hù)，也會配備安全設(shè)備和人員進(jìn)行全方位安全防護(hù)?！蓖a(bǔ)充道：“許多中小型用戶，在IT方面的金錢和人員投入相對較少，一旦遇到惡意程序入侵或發(fā)現(xiàn)漏洞，很難及時實(shí)現(xiàn)終端防護(hù)。因此，中小型企業(yè)便可以將終端安全防御放在云上，借助云供應(yīng)商的服務(wù)實(shí)現(xiàn)終端防護(hù)。云科擁有專業(yè)的安全團(tuán)隊，能夠在云端為中小型企業(yè)提供安全服務(wù)，并對相關(guān)安全策略進(jìn)行調(diào)優(yōu)，以此來為中小企業(yè)提供更好的安全保障。如今，黑客攻擊的手段不斷更新，對于中小企業(yè)來講，如果僅依靠一到兩位安全人員進(jìn)行安全管理，防護(hù)的效果較弱，也更容易受到黑客的攻擊。因此，云安全服務(wù)能夠為中小企業(yè)提供較為完善的安全保障，去彌補(bǔ)中小企業(yè)IT投入不足的問題?！?/p>

在防御策略上，很多安全解決方案提供商都認(rèn)為要構(gòu)建多層防御機(jī)制。賽門鐵克的安全產(chǎn)品及解決方案采取多層防護(hù)，能夠最大限度地降低勒索軟件的感染率。亞信安全提醒企業(yè)用戶，要將勒索軟件治理擺在更重要的位置，并在電子郵件與網(wǎng)頁、終端、網(wǎng)絡(luò)、服務(wù)器等多個層面搭建完整的多層防護(hù)機(jī)制，以保護(hù)企業(yè)信息資產(chǎn)的安全不受侵犯。

賽門鐵克所提供的綜合策略能夠在三個階段抵御勒索軟件的入侵：

1. 預(yù)防：電子郵件安全、入侵防御、下載洞察、瀏覽器保護(hù)、主動防御漏洞攻擊（PEP）。

2. 控制：基于簽名的高級反病毒引擎和具有機(jī)器學(xué)習(xí)的啟發(fā)式技術(shù)，例如SONAR和Sapient。

3. 響應(yīng)：專門的事件響應(yīng)小組可以協(xié)助企業(yè)應(yīng)對勒索軟件攻擊并進(jìn)行恢復(fù)。

亞信安全建議用戶從以下幾個維度入手，構(gòu)建深層次的防御體系：

1. 文件：企業(yè)最好采取3―2―1規(guī)則，對重要文件進(jìn)行備份，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲。此外，亞信安全還推出了針對勒索軟件加密文件的解密工具，可以有效應(yīng)對CryptXXX、TeslaCrypt、SNSLocker、AutoLocky等流行的勒索軟件及其變種的加密行為。

2. 電子郵件和網(wǎng)頁：部署涵蓋惡意軟件掃描和文件風(fēng)險評估、沙箱惡意軟件分析技術(shù)、文件漏洞攻擊碼偵測、網(wǎng)頁信譽(yù)評估技術(shù)在內(nèi)的防護(hù)技術(shù)，偵測并封堵通過電子郵件和網(wǎng)頁進(jìn)行攻擊的勒索軟件。

3. 終端：少部分勒索軟件可能會繞過網(wǎng)絡(luò)/電子郵件防護(hù)，這也是為什么終端安全防護(hù)十分重要的原因，終端防毒系統(tǒng)可以監(jiān)視可疑行為、配置應(yīng)用程序白名單和使用弱點(diǎn)防護(hù)來防止未經(jīng)修補(bǔ)的漏洞被勒索軟件利用。亞信安全防毒墻網(wǎng)絡(luò)版（OfficeScan）的Aegis行為檢測功能可以檢測部分的勒索軟件加密行為，并能夠?qū)ξ粗账鬈浖姆烙鸬椒e極作用。

4. 網(wǎng)絡(luò)：勒索軟件也可能通過其他網(wǎng)絡(luò)協(xié)議進(jìn)入企業(yè)網(wǎng)絡(luò)進(jìn)行散播，因此，企業(yè)最好部署能夠?qū)λ芯W(wǎng)絡(luò)流量、端口和協(xié)議進(jìn)行高級偵測的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，來阻止其滲透和蔓延。

5. 服務(wù)器：通過虛擬補(bǔ)丁防護(hù)方案，來確保任何尚未修補(bǔ)漏洞的服務(wù)器，有效防范“零日攻擊”。

6. 網(wǎng)關(guān)：在網(wǎng)關(guān)層面進(jìn)行有效攔截，是企業(yè)最經(jīng)濟(jì)的防御體系。亞信安全深度威脅安全網(wǎng)關(guān)Deep Edge具有極其簡潔的部署和管理方式，但卻包含了最重要的勒索軟件攻擊抑制能力。其擁有專門針對加密勒索軟件、C&C違規(guī)外聯(lián)及可疑高級惡意程序的監(jiān)控窗口，還改進(jìn)了和亞信安全深度威脅發(fā)現(xiàn)設(shè)備（TDA）及亞信安全深度威脅分析設(shè)備（DDAN）的產(chǎn)品聯(lián)動，能夠通過偵測、分析和攔截功能的融合，建立針對加密勒索軟件攻擊路徑的有效“抑制點(diǎn)”。

支付贖金與部署安全防御措施的性價比探討

從攻防成本的角度來說，中小企業(yè)受到惡意攻擊后，再采取的相應(yīng)安全防護(hù)措施所造成的成本，遠(yuǎn)比贖金價格更高。在這種成本壓力之下，很多中小企業(yè)都會選擇支付贖金。對中小企業(yè)而言，采用整套安全解決方案的成本會不會太高？威認(rèn)為：“攻擊者選擇攻擊目標(biāo)與實(shí)施攻擊的難易程度及贖金回報率有關(guān)。因此，許多黑客會選擇更高級的攻擊手段去攻擊大型企業(yè)，以得到更高的贖金。”