“為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄漏”。

----國際標準化組織（ISO）

從“信息化高速公路”到“數字地球”，信息化浪潮席卷全球。Internet的迅猛發展不僅帶動了信息產業和國民經濟地快速增長，也為企業的發展帶來了勃勃生機。

以Internet 為代表的信息技術的發展不僅直接牽動了企業科技的創新和生產力的提高，也逐漸成為提高企業競爭力的重要力量。

企業通過Internet 可以把遍布世界各地的資源互聯互享，但因為其開放性，在Internet 上傳輸的信息在安全性上不可避免地會面臨很多危險。當越來越多的企業把自己的商務活動放到網絡上后，針對網絡系統的各種非法入侵、病毒等活動也隨之增多。

而我們面臨的這些信息安全問題的解決，主要還是依賴于現代信息理論與技術手段；依賴于安全體系結構和網絡安全通信協議等技術；依賴借助于此產生的各種硬件的或軟件的安全產品。這樣，這些安全產品就成為大家解決安全問題的現實選擇。

中國網絡安全現狀分析

中國國內企業和政府機構都希望能具有競爭力并提高生產效率，這就必須對市場需求作出及時有力的響應，從而引發了依賴互聯網來獲取、共享信息的趨勢，這樣才能進一步提高生產效率進而推動未來增長。

然而，有網絡的地方就有安全的問題。過去的網絡大多是封閉式的，因而比較容易確保其安全性，簡單的安全性設備就足以承擔其任務。然而，當今的網絡已經發生了變化，確保網絡的安全性和可用性已經成為更加復雜而且必需的任務。用戶每一次連接到網絡上，原有的安全狀況就會發生變化。所以，很多企業頻繁地成為網絡犯罪的犧牲品。因為當今網絡業務的復雜性，依靠早期的簡單安全設備已經對這些安全問題無能為力了。

主要網絡安全問題及其危害

1）網絡網絡攻擊在迅速地增多

網絡攻擊通常利用網絡某些內在特點，進行非授權的訪問、竊取密碼、拒絕服務等等。

考慮到業務的損失和生產效率的下降，以及排除故障和修復損壞設備所導致的額外開支等方面，對網絡安全的破壞可能是毀滅性的。此外，嚴重的網絡安全問題還可能導致企業的公眾形象的破壞、法律上的責任乃至客戶信心的喪失，并進而造成的成本損失將是無法估量的。

2）病毒郵件攻擊的影響日益激烈

病毒、蠕蟲和毫無必要的大量電子郵件利用互聯網通信資源來傳播，引發網絡環境中的傳輸中斷。根據調查，87％以上的病毒通過電子郵件進入企業！保密數據和交易秘密的丟失、員工對電子郵件系統的不當使用已使許多公司不得不承擔法律責任，并損害了許多公司的聲譽。

今天，越來越多的公司都在尋求一種主動解決方案來減少信息服務的中斷時間并避免病毒侵入期間造成業務損失。

3）對網絡資源的不合理使用

開放式接入還可以無限制地訪問大量惡意、有攻擊性的及有爭議的內容，以及與工作無關的材料。據IDC統計，有30%~40%的Internet訪問是與工作無關的，甚至有的是去訪問色情站點。人均每天使用兩到三個小時工作時間用于收發個人郵件,瀏覽娛樂網站以及在聊天室打發時間。

因此，許多機構必須確定如何在允許員工無阻礙地訪問互聯網上大量有用信息的同時限制對不當內容的訪問。

中國中小型企業客戶分析

中國國內目前的中小型單位因為人力和資金上的局限，需要的網絡安全產品不僅僅是簡單的安裝，更重要的是要有針對復雜網絡應用的一體化解決方案，如：網絡安全、

病毒檢測、網站過濾等等。其著眼點在于：國內外領先的廠商產品；具備處理突發事件的能力；能夠實時監控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。

思科安全設計藍圖（SAFE）

SAFE是思科公司安全解決方案的藍圖，該設計藍圖主要針對企業網絡的功能，可為客戶安全網絡的設計、實施和維護提供端到端的安全性戰略。

該藍圖能夠模塊化地設計、部署網絡安全解決方案，并結合思科合作伙伴產品，為用戶提供一體化的全面解決方案。這樣，就可以將市場領先的安全產品、成熟可靠的安全策略和單一平臺的管理與客戶現有網絡基礎設施結合起來，提供全面的網絡保護：

提供高效的投資保護，而不必丟棄現有網絡設備；

模塊化部署，可逐步實現深度分層防御；

與合作伙伴良好的互操作性；

24x7 全球技術支持；

安全性市場的領導者；

易于管理。

思科中小企業網絡安全解決方案

針對中國中小企業客戶的實際情況，結合思科先進的SAFE藍圖設計理念，思科公司專門推出了“網絡健康 應用健康 精神健康”中小型企業網絡安全解決方案：

1）精簡版：CiscoSecure PIX 501

下面是針對SOHO型網絡的一種安全解決方案，該方案適用于10人以下的網絡應用，通過Cisco Secure PIX 501防火墻實現內外網絡的安全隔離。

用戶特點：

網絡用戶數較少，通常在10人以下；

用戶有聯網的需求，但網絡中數據吞吐流量不大；

由于資金所限，通常采用ISDN或ADSL寬帶上網，以降低鏈路費用；

需要采用性價比較高的防火墻產品保障內部網絡的安全。

方案示意圖：

精簡版

方案特點：

該方案可以為SOHO型網絡提供企業級的網絡安全性；

在一臺設備內提供豐富的安全服務，包括狀態防火墻、入侵檢測等；

可以實現NAT和DHCP功能，保障內部合法用戶的聯網需求；

支持PPPOE，滿足小型用戶通過寬帶按需上網的要求；

內置圖形化Web管理界面，簡單并易于管理；

可平滑升級，具有良好的擴展性。

Cisco Secure PIX 501是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協議。該產品安裝在一個WAN路由器和內部網絡之間，提供了基于自適應安全算法（ASA）的高級狀態訪問控制。能夠根據分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網絡內部的某個有效會話相關聯時才會被允許通過防火墻。這使得機構的內部和授權外部用戶能夠進行透明訪問，同時保護內部網絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統。這種專有的控制軟件消除了通用操作系統的缺陷，提供了驚人的性能。

#p#

2）標準版：Cisco Secure PIX 501+TrendMicro25用戶+Websense25用戶

下面是針對小型企業網絡的一種安全解決方案，該方案適用于10-25個用戶的網絡應用，通過Cisco Secure PIX 501防火墻實現內外網絡的安全隔離，并采用集成的思科合作伙伴產品實現網絡病毒檢測和網站過濾的功能。

用戶特點：

有一定數量的網絡用戶，通常在10—25個用戶左右；

用戶有聯網的需求，且有一定的網絡數據吞吐流量；

通常采用ADSL寬帶或較低速率專線上網，以降低鏈路費用；

為保障網絡安全，降低維護費用，除需要布置防火墻產品以外，還有防護網絡病毒、限制對互聯網帶寬的不合理使用等需求；

在保障上述需求的前提下，盡量節約采購的費用。

方案示意圖：

標準版

方案特點：

該方案可以為小型網絡提供企業級的一體化網絡安全；

通過一個緊湊的、整合的解決方案提供強大的安全功能；

可以實現NAT和DHCP功能，保障內部合法用戶的聯網需求；

內置圖形化Web管理界面，簡單并易于管理；

可以和合作伙伴的產品無縫地結合起來，完成深層次的網絡安全性管理，如：防止網絡病毒的入侵，阻止員工訪問非授權的網站等功能。

Cisco Secure PIX 501是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協議。該產品安裝在一個WAN路由器和內部網絡之間，提供了基于自適應安全算法（ASA）的高級狀態訪問控制。能夠根據分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網絡內部的某個有效會話相關聯時才會被允許通過防火墻。這使得機構的內部和授權外部用戶能夠進行透明訪問，同時保護內部網絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統。這種專有的控制軟件消除了通用操作系統的缺陷，提供了驚人的性能。

3）豪華版：Cisco Secure PIX 506E+TrendMicro50用戶+Websense50用戶

下面是針對中型企業網絡的一種安全解決方案，該方案適用于25--50個用戶左右的網絡應用，通過Cisco Secure PIX 506E防火墻實現內外網絡的安全隔離，并采用集成的思科合作伙伴產品實現網絡病毒檢測和網站過濾的功能。

用戶特點：

有一定數量的網絡用戶，通常在25—50個用戶左右；

用戶有聯網的需求，且有較大的網絡數據吞吐流量；

通常采用較高速率的專線連接Internet；

有清晰的網絡分層體系結構；

為保障網絡安全，除需要布署防火墻產品以外，還有防護網絡病毒、限制對互聯網帶寬的不合理使用等需求；

對防火墻產品性能有較高要求。

方案示意圖：

豪華版

方案特點：

該方案可以為中型網絡提供企業級的一體化網絡安全；

通過一個經濟有效的、高性能的解決方案提供豐富的安全功能和強大的管理功能；

可以實現NAT和DHCP功能，保障內部合法用戶的聯網需求；

內置圖形化Web管理界面，簡單并易于管理；

可以和合作伙伴的產品無縫地結合起來，完成深層次的網絡安全性管理，如：防止網絡病毒的入侵，阻止員工訪問非授權的網站等功能。

Cisco Secure PIX 506E是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協議。該產品安裝在一個WAN路由器和內部網絡之間，提供了基于自適應安全算法（ASA）的高級狀態訪問控制。能夠根據分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網絡內部的某個有效會話相關聯時才會被允許通過防火墻。這使得機構的內部和授權外部用戶能夠進行透明訪問，同時保護內部網絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統。這種專有的控制軟件消除了通用操作系統的缺陷，提供了驚人的性能。

上述三個解決方案是思科公司針對目前最常見的網絡安全、病毒檢測、網站過濾等安全問題提出的一體化的有效解決方案，通過和合作伙伴的緊密結合，為客戶提供一套模塊化的捆綁產品 ，切實解決現有中小型企業用戶的實際需求。

思科Cisco Secure PIX500系列防火墻是網絡基礎設施內部的實施強化用戶安全性策略并限制對網絡資源訪問的專用硬件產品。其功能是檢查數據包和會話過程，針對各種不同應用、地址或用戶類型而設定的具體參數來分析和控制進入或離開的數據包。通過PIX的部署，可以保護用戶公開的Internet 服務器，限制外部網絡到內部網絡的數據流，為內部用戶提供網絡地址轉換（NAT）等各種功能，從而為用戶提供針對基于網絡的攻擊保護，并可預防和消除造成帶寬擁擠的分布式拒絕服務攻擊（DDOS）。

趨勢科技公司（TrendMicro）開發的產品是一種針對SMTP網關、基于策略的高性能反病毒和內容安全解決方案，它集成了病毒保護的內容過濾功能，這就是說憑借此產品，您可管理電子郵件內容過濾并提供控制，且防止病毒和電子郵件中的其它惡意代碼產生影響。保護企業信息處理系統免遭來自互聯網的電子郵件病毒的損害，并防止復制或非業務內容的傳輸。

Websense公司開發的Websense Enterprise是一種員工互聯網管理系統,可以為Cisco PIX 防火墻提供集成化互聯網過濾，幫助網絡管理員有效地監控管理和報告內部網到互聯網接入的網絡流量。網絡管理員可以指定限制機構內互聯網使用的策略。Websense Enterprise隨后根據預定義策略過濾網絡活動、監控并報告有關活動的信息。將Websense主URL數據庫與Cisco PIX防火墻共用時，可創建靈活、高性能的內容過濾策略。互聯網請求發送至Cisco PIX防火墻，然后是防火墻的Websense進行詢問，以確定應該許可還是阻止此請求。同時，Cisco PIX防火墻將原始請求發至互聯網。因為在收到來自Websense的確認前就將請求發至互聯網，故Cisco PIX防火墻不會減緩授權企業接入。在將站點返回請求用戶前需Websense確認，這可以防止未授權接入。

【編輯推薦】

1. 中小企業部署數據加密解決方案的最佳做法
2. 中小企業購買UTM設備需要考慮的十大問題