网络安全解决方案三剑客

1、漏洞的危害
从互联网兴起至今，利用漏洞攻击的网络安全事件不断，并且呈日趋严重的态势。每年全球因漏洞导致的经济损失巨大并且在逐年增加，漏洞已经成为危害互联网的罪魁祸首之一，也成了万众瞩目的焦点。人们也在一次次承受蠕虫爆发、病毒、木马以及恶意代码的危害之后，在不断地寻求着漏洞的解决之道，不断尝试将由漏洞带来的风险降到最低，虽然也取得了一定成效，但是利用漏洞的攻击也在逐渐表现为多种不同的危害形式并且出现了新的攻击趋势。
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。安全漏洞有很多种分类方式，按照漏洞宿主不同，可以分为三大类：第一类是由于操作系统本身设计缺陷带来的安全漏洞，这类漏洞将被运行在该系统上的应用程序所继承；第二类是应用软件程序的安全漏洞；第三类是应用服务协议的安全漏洞。近年来，针对应用软件程序和应用服务协议安全漏洞的攻击越来越多，同时利用病毒、木马技术进行网络盗窃和诈骗的网络犯罪活动呈快速上升趋势，产生了大范围的危害，由此造成的经济损失也是越发巨大。
针对Web应用安全漏洞的攻击也在逐渐成为主流的攻击方式。利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等，黑客能够得到Web服务器的控制权限，从而轻易篡改网页内容或者窃取重要内部数据，甚至在网页中植入恶意代码（俗称“网页挂马”），使得更多网站访问者受到侵害。 
漏洞的危害越来越严重，发展的趋势也日益严峻。归根结底，产生这些问题的原因是系统漏洞的存在并被攻击者恶意利用。软件由于在设计初期考虑不周导致的问题仍然没有得到很好的解决，人们依然用着“亡羊补牢”的方法来度过每一次攻击，利用漏洞的攻击成为人们心中永远的痛。
2、黑客入侵的危害
网络信息系统所面临的安全问题越来越复杂，安全威胁正在飞速增长，基于应用的新型威胁，如隐藏在HTTP等基础协议之上的应用层攻击问题、木马后门、间谍软件、僵尸网络、DDoS攻击等，极大地困扰着用户，给单位的信息网络造成严重的破坏，严重影响了信息化的进一步发展。
随着网络的发展，网络应用不断丰富以及Web 2.0应用快速向业务环境渗透，大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容，应用层面临的恶意威胁越来越多。
应用层攻击
安全威胁向应用化、深层化转变，隐藏在应用中的攻击增多，越来越多的基于应用的攻击行为出现了，网络攻击也开始转向应用层。据Gartner统计：目前75%攻击转移到应用层。
恶意文件攻击
系统运维者一般只关心操作系统、网络设备的安全问题，而很少在意文件的漏洞。近年来，通过恶意文件开展攻击比较普遍。将攻击代码埋设在Word、Excel、PDF及Flash等正常格式文件中，这类文件隐蔽性高、欺骗性强，只要用户访问这类文件，个人电脑就有遭到劫持的危险，从而威胁系统和网络的安全。
异常行为攻击
对于传统的攻击行为，我们仅需关注恶意程序的样本提取并做分析，便可以掌握攻击者的动机及传播渠道，但对于以APT为代表的异常行为攻击以点概面的安全检测手段已显得不合时宜。这类攻击伪装成正常流量，没有特别大的数据包，地址和内容也没有可疑的不相配，所以一般不会触发警报。即利用合法身份掩护，实施非法行为。同时通过加密通道外传数据，面对这类攻击威胁，我们应当有一套更完善、更主动、更智能的安全防御体系。
IPS设备可以实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。
3、运维审计
随着信息技术的日新月异和网络信息系统应用的发展，网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展，政府、企业用户的网络应用也逐渐增多。
信息安全是一个动态的过程，在为自身业务提供高效的网络运营平台同时，日趋复杂的ＩＴ业务系统与不同背景业务用户的行为也给网络带来潜在的威胁，如内部业务数据、重要敏感文件通过电子邮件、数据库访问、远程终端访问(TELNET、FTP等)等方式被篡改、泄露和窃取；访问非法网站、发布非法言论等违规上网行为泛滥；严重破坏政府、企业的信息系统安全。如何对业务系统访问和网络行为进行有效的监控，已经成为政府、企业重点关注的问题。
运维审计的作用
随着业务系统访问、网络应用行为日益频繁，我们可能经常遇到如下情况：
内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全；
企业重要业务数据库，被员工或系统维护人员篡改牟利、外泄，给企业造成巨大的经济损失；
等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计；
萨班斯(SOX)法案。在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计。
根据调查数据显示，大多数企业虽然已经采用一定的网络安全手段（如防火墙、入侵检测、漏洞扫描等）和管理措施，但是上述安全事件发生后，却仍然无法进行及时告警响应、准确定位事件源头，给企业带来极大的困扰和严重的信息安全隐患。
如何有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是企业迫切需要解决的问题。
审计的必要性
随着日益增长的互联网安全风险，安全问题的复杂性日益加大，综合FBI和CSI对484家企业的调查及中国国家计算机网络应急协调中心CNCERT/CC的调查结果显示大约76%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的损失，而这些威胁绝大部分与内部各种网络访问行为有关。
防火墙、入侵检测等传统网络安全手段，可实现对网络异常行为的管理和监测，如网络连接和访问的合法性进行控制、监测网络攻击事件等，但是不能监控网络内容和已经授权的正常内部网络访问行为，因此对正常网络访问行为导致的信息泄密事件，也难以实现针对内容、行为的监控管理及安全事件的追查取证。因此，迫切需要一种安全手段对上述问题进行有效监控和管理。安全审计正是在这样的背景下产生。对于任何一个安全体系来说，审计追查手段都是必不可少。
安全审计系统是在一个特定的企事业单位的网络环境下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄露、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。