防御系统在《北京青年报》网络系统中的应用

网络技术的发展极大地改变了人们的生活，工作模式，网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷，世界各地的信息资源得到了高度的共享。但随着全球互联网的飞速发展，人们的日常生活、国家的正常运作，全球经济一体化、社会信息化、军事信息化等等领域在享受着互联网所带来的便利的同时，也必须面对着脆弱的网络所带来的巨大安全隐患。

用户名称 北京青年报社

用户简介

《北京青年报》是在北京比较有影响力的一家报纸传媒，有着较多的媒体受众，同时有着较为广泛的社会影响力。

由于北京青年报的这种社会影响力，使得她更有可能遭到国内外敌对势力或其它来源的攻击和破坏。一旦《北京青年报》的网络系统受到侵害，将会给《北京青年报》带来巨大的损失和严重，轻者，数据丢失，影响出报时间；重者，失去控制权，传播出虚假或者反面报道，带来重大的政治副面影响。采取措施保证《北京青年报》的网络系统的传输速度和安全性、可靠性是整个网络是否能正常运行的关键，所以其计算机网络安全系统的建设与完善势在必行。

《北京青年报》的核心业务系统是采编系统，保证正常出报是最基本、也是最重要的安全需求。而威胁到正常出版的主要是计算机病毒和黑客攻击这两大因素，所以在进行《北京青年报》的网络安全设计和规划时，主要着重于解决这两个方面的深层安全防御。基于《北京青年报》的网络现状和安全需求分析，冠群金辰主要从主机/服务器和客户PC的环境安全、网络安全、网络边界安全三个方面对其进行了维护。

服务器是用户业务的核心、数据的集中点和业务服务的提供者，因此主机/服务器一般是黑客的重点攻击对象。而在《北京青年报》网络中，存在着几种应用服务器，包括采编服务器、照排中心服务器、网络服务器、WWW/服务器不遭受黑客攻击，或减少黑客攻击的可能性，首先采取了一些基本措施加固主机/服务器的安全，同时在网络中关键业务服务器上再配置冠群金辰软件有限公司的"主机核心防护"（eAC）工具。这足可以提升北京青年报网络中关键服务器如采编服务器的安全等级，使它们从TCSEC标准的C1/C2B1级。

除了黑客以外，病毒也严重威胁着主机/服务器以及客户的PC。计算机病毒无论从传播方式上还是从破坏程度上都越来越网络化，而主机/服务器和分机以及客户的PC都在网络的中保持着密切的联系。只要一台机器上感染了病毒，很快就会感染所有机器。所以在防杀毒的过程中不能再采用传统的单机杀毒方式，而应该采用网络杀毒工具和方法。

所以为保护主机/服务器和客户PC免遭病毒侵害时，《北京青年报》分别配置安装了冠群金辰软件有限公司的"KILL安全胄甲"主机杀毒产品，同时还配置了"KILL 安全胄甲"网络版杀毒软件。"KILL 安全胄甲"网络版杀毒软件耗用系统资源低，杀毒效率高，并采用集中分发式的策略管理和病毒特征码更新，方便大规模的网络病毒防护和杀除。

目前"KILL 安全胄甲"网络版杀毒软件使用非常广泛，产品性能和质量受到广泛的认可，可以说，它是经受过广大的市场考验的。

入侵检测系统与网络漏洞扫描器，让联系更畅通

网络是用户业务和数据通信的纽带、桥梁，网络的主要功能就是为用户业务和数据通信提供可靠的、满足传输服务质量的传输通道。网络设备经常会出现拒绝服务攻击（DOS）、信息窃听、资源滥用、管理失控等安全问题。为此，《北京青年报》内部网络中配备了冠群金辰软件有限公司的"入侵检测系统eID"和"网络漏洞扫描器eGuard Scanner"。

通过在网络中安装eID，可以在安全保障上做到：

a)检测和发现针对《北京青年报》的网络攻击行为，如DOS攻击。对这些攻击行为可以采取记录、报警、主动阻断等动作，以便事后分析和行为追踪；

b)通过定义禁止访问网站，限制内部人员对不良站点的访问；

c)对一些恶意网络访问行为可以先记录，后回放，通过这种真实地再现方式更精确的了解攻击意图和模式，为未来更有效地的防范类似攻击提供经验；

d)检查网络传输中的带毒流量，与KILL安全胄甲、KILL邮件过滤网关共同组成一个层次的防毒体系；

同时eID 还可以提供强大的网络行为审计能力，让网络安全管理员跟踪用户（包括黑客）、应用程序等对网络的使用情况，帮助他们改进网络规划。

而冠群金辰软件有限公司的"网络漏洞扫描器eGuard Scanner"则可以动态地了解《北京青年报》网络系统（包括网络设备、主机和应用）的安全弱点，并通过修补这些安全弱点来尽量减少黑客攻击的可能性。它还可以帮助系统管理员集中了解系统中存在的安全漏洞，提供了一个方法让管理员从黑客的视角去审查企业的网络系统，同时也提供了相应的网络安全漏洞解决方案。

利用安全软件保护网络边界和子系统

如今的黑客和病毒总会想尽一切办法寻找漏洞进行恶意攻击和破坏，主机和网络得到了有利的保障，网络边界很有可能成为攻击的对象。网络边界安全主要负责两方面，一方面负责保护和检测进出报社网络的流量；另一方面，对报社网络一些重要的子系统，比如照排系统，其边界安全考虑的是进出照排系统网络流量的保护和控制。

报社网络边界安全

对于《北京青年报》总体网络来说，来自外部互联网的非安全行为和因素包括：a) 未经授权的网络访问；b) 身份（网络地址）欺骗；c) 黑客攻击；d) 病毒感染。为了保障网络与外界互联网连接处安全，《北京青年报》配置了冠群金辰软件有限公司的"SecuE防火墙" 、"KILL邮件过滤网关"和"虚拟企业专网eVPN"。

1、SecuE网关防火墙是集多种功能于一体的高性能硬件防火墙，提供百兆和千兆级性能，支持NAT、透明模式等多种工作方式，SecuE除了具有状态检测、用户认证、NAT/PAT、虚拟防火墙、透明代理等功能特点外，还具有丰富的防火墙增值功能，如虚拟专用网、流量整型、防病毒、入侵检测、DNS和DHCP服务、WEBCache服务等。 将"SecuE防火墙"放置在报社内网和互联网的联结处，这样可以对网络攻击进行检测，配合内网eID共同组建一个多级网络检测体系。

2、随着互联网的飞速发展和应用，计算机病毒已将互联网作为其一种主要的传播途径。其中利用电子邮件传播病毒是最直接的方式，统计显示邮件传播方式占全部病毒传播的70%以上。在过去一段时间内所发生的几起影响较大的计算机病毒事件中，以email为主要传播途径的病毒占大多数，如Iworm、求职信、欢乐时光等等。北京青年报网络特意配置了"KILL邮件过滤网关"，并放置在邮件服务器所在网络上。

通过配置"KILL邮件过滤网关"，可以实现：

1) 保证所有邮件在进入邮件服务器前都会通过"KILL邮件过滤网关"查杀毒；

2) 过滤来自互联网的垃圾邮件；

3) 通过SMTP认证保证北京青年报的邮件服务器不会被黑客当作攻击别人的跳板；

4)"KILL邮件过滤网关"的物理旁路连接特点使得北京青年报网络不用修改原网络配置，保证网络的可靠性；

KILL邮件过滤网关是一个集中检测带毒邮件的独立硬件系统，它与用户的邮件系统类型无关，并支持SMTP认证。由于KILL邮件过滤网关的物理旁路性和冗余性，它确保了邮件系统的高性能、高可靠性和高兼容性。KILL邮件过滤网关同KILL安全胄甲一样可以自动进行病毒特征码升级。

3、《北京青年报》经常会有一些在家访问报社网络的人员以及出差在外和驻外记者，他们经常要通过互联网访问报社内网的，因此其信息在互联网上的传输安全非常重要。为保障报社特殊人员的网络访问要求，《北京青年报》在报社网络边界配置了冠群金辰软件有限公司的"虚拟企业专网eVPN"。

"虚拟企业专网eVPN"支持128位或56位的加密算法，并获得国内相关安全部门认可，因此其安全保密性程度是绝对满足要求的；其次"虚拟企业专网eVPN"还支持多种方式的用户认证，比如NT域、Novell NDS、SecureID、Windows RADIUS、DCE/Kerberos、X.509v3等等。

通过"虚拟企业专网eVPN"，可以使北京青年报在满足特殊成员的网络访问要求的同时，还可以极大地降低他们的上网成本。

照排系统边界安全

对于报社内部特别需要保护的关键业务应用区域，比如照排系统，《北京青年报》在这个子系统边界配置安装冠群金辰软件有限公司的"eAC主机核心防护"，并打开其主机防火墙功能。这样就安全隔离照排服务器和其他系统网络，防止其他人员对照排系统的未经授权的访问；同时一定程度上隔离来自其它部门的非安全因素，如病毒等。

本方案力图实现北京青年报网络各个层面的安全，充分体现了一个特点，即融安全保护和安全检测于一体、实现层次化和全方位的信息安全保障系统。这让病毒和黑客无懈可击，有力地保证了《北京青年报》的网络安全，使得《北京青年报》能够顺利发行。

未经允许不得转载：DOIT » 防御系统在《北京青年报》网络系统中的应用