浅谈建立防火墙主动性网络安全防护体系.doc

浅谈建立防火墙的主动性网络安全防护体系 　　【摘要】防火墙和其它反病毒类软件都是很好的安全产品，但是要让医院整个网络体系具有最高级别的安全等级，还需要具有一定的主动性。每天我们都会留意各种黑客攻击、病毒和蠕虫入侵等消息，不过当看到这些消息时，也许系统已经受到了攻击，在本文中将向大家阐述一种具有主动性的网络安全模式，通过这种模式就算再发现新病毒，也不用担心医院的整个网络系统的安全性 【关键词】防火墙;网络安全;主动性 类似于防火墙或者反病毒类软件，都是属于被动型或者说是反应型安全措施。在攻击到来时，这类软件都会产生相应的对抗动作，它们可以作为整个安全体系的一部分，但是，还需要建立一种具有主动性的网络安全模式，防护任何未知的攻击，保护医院的网络安全 １．实现主动性网络安全防护体系的四项安全措施 在实现一个具有主动性的网络安全架构前，需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面：防火墙、VPN、反病毒软件，以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包，但是它并不能识别入侵，而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的，而且面对黑客攻击，基本没有什么反抗能力。同样，入侵检测系统也是一个纯粹的受激反应系统，在入侵发生后才会有所动作。[1] 虽然这四项基本的安全措施对医院信息化来说至关重要，但是实际上，一个医院也许花费了上百万购买和建立的防火墙、VPN、反病毒软件以及IDS系统，但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞，它可以被黑客利用，用来攻击网络、窃取信息，并使网络瘫痪。据2004 E-Crime Survey(2004 电子犯罪调查)显示，90%的网络安全问题都是由于CVE引起的。这就更加需要一种具有主动性的网络安全模式来综合管理这四项基本安全措施 2.四项安全措施的综合管理具体实施的步骤 具有主动性的网络安全模式是对上述四项安全措施的综合管理。在这种系统中，使用漏洞管理系统来防止CVE带来的入侵则是整个系统最重要的部分，下面介绍具体实施步骤： 2.1实现主动性的网络安全模式 作为医院的信息化技术人员，要保护医院的网络首先需要开发一套安全策略，并强迫所有科室人员遵守这一规则。同时，需要屏蔽所有的移动设备，并开启无线网络的加密功能以增强网络的安全级别。为无线路由器打好补丁并确保防火墙可以正常工作是非常重要的。之后检查系统漏洞，如果发现漏洞就立即用补丁或其它方法将其保护起来，这样可以防止黑客利用这些漏洞窃取医院的资料和导致网络瘫痪。[2] 2.2开发一个安全策略 良好的网络环境总是以一个能够起到作用的安全策略为开始实现的。基本的规则包括从指导操作员如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。执行一个共同的安全策略也就意味着向具有主动性安全网络迈出了第一步 2.3减少对安全策略的破坏 不论是有线网络，还是笔记本或者无线设备，都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件，同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等，它们都是网络安全漏洞的根源。因此，你必须强制所有的终端安装反病毒软件，并开启Windows XP内建的防火墙，或者安装商业级的桌面防火墙软件，同时卸载点对点共享程序以及聊天软件 2.4封锁移动设备 对于医院的网络来说，最大的威胁可能就是来自那些随处移动的笔记本或其它移动终端，它们具有网络的接入权限，可以随时接入医院的网络。但是正因为它们具有移动特性，可以随着操作员迁移到其它不安全的网络并暴露在黑客的攻击之下，当这些笔记本电脑再次回到医院的网络环境时，就成了最大的安全隐患 据Forrester Research调查，到2005年，世界总共将有3500万移动设备用户，而到2010年，这个数字将增加到150亿。这些数字让我们了解这将是医院网络安全所面临的巨大考验。任何一个系统都有可能由于未经验证的用户访问而被感染。通过安全策略，可以让网络针对无线终端具有更多的审核，比如快速检测到无线终端的接入，然后验证这些终端是否符合安全策略，是否是经过认证的用户，是否有明显的系统漏洞等 2.5设置防火墙 虽然防火墙并没有特别强的安全主动性，但是它可以很好的完成自己该做的那份工作。防火墙要设置智能化的规则，以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口，因此需要为防火墙建