企業(yè)安全管理解決預案范本

1、60/61企業(yè)安全解決方案模板北京天融信科技有限公司2005年6月目 錄 TOC o 1-3 h z u HYPERLINK l _Toc105860250 第一章 前言 PAGEREF _Toc105860250 h 3 HYPERLINK l _Toc105860251 1.1 背景 PAGEREF _Toc105860251 h 3 HYPERLINK l _Toc105860252 1.2 項目概述 PAGEREF _Toc105860252 h 3 HYPERLINK l _Toc105860253 第二章 XX企業(yè)信息網(wǎng)絡的整體安全體系設計 PAGEREF _Toc10586025

2、3 h 5 HYPERLINK l _Toc105860254 2.1 信息安全體系設計原則 PAGEREF _Toc105860254 h 5 HYPERLINK l _Toc105860255 2.2 信息安全體系結(jié)構(gòu)分析 PAGEREF _Toc105860255 h 6 HYPERLINK l _Toc105860256 2.2.1 安全服務模型 PAGEREF _Toc105860256 h 7 HYPERLINK l _Toc105860257 2.2.2 協(xié)議層次安全模型 PAGEREF _Toc105860257 h 7 HYPERLINK l _Toc105860258 2.

3、2.3 安全實體單元 PAGEREF _Toc105860258 h 8 HYPERLINK l _Toc105860259 第三章 XX企業(yè)信息網(wǎng)絡的安全現(xiàn)狀和需求分析 PAGEREF _Toc105860259 h 10 HYPERLINK l _Toc105860260 3.1 XX企業(yè)網(wǎng)絡安全現(xiàn)狀及威脅分析 PAGEREF _Toc105860260 h 10 HYPERLINK l _Toc105860261 3.1.1 內(nèi)部網(wǎng)絡與Internet互聯(lián)的安全威脅 PAGEREF _Toc105860261 h 11 HYPERLINK l _Toc105860262 3.1.2 來自

4、內(nèi)部網(wǎng)絡的安全威脅 PAGEREF _Toc105860262 h 11 HYPERLINK l _Toc105860263 3.1.3 系統(tǒng)的安全風險分析 PAGEREF _Toc105860263 h 13 HYPERLINK l _Toc105860264 3.1.4 病毒對XX企業(yè)網(wǎng)絡安全運營的安全威脅 PAGEREF _Toc105860264 h 14 HYPERLINK l _Toc105860265 3.1.5 安全服務體系不健全的威脅 PAGEREF _Toc105860265 h 14 HYPERLINK l _Toc105860266 3.2 XX企業(yè)安全需求 PAGER

5、EF _Toc105860266 h 14 HYPERLINK l _Toc105860267 3.2.1 防病毒體系需求 PAGEREF _Toc105860267 h 14 HYPERLINK l _Toc105860268 3.2.2 強制性網(wǎng)管軟件需求 PAGEREF _Toc105860268 h 15 HYPERLINK l _Toc105860269 3.2.3 防火墻需求 PAGEREF _Toc105860269 h 15 HYPERLINK l _Toc105860270 3.2.4 過濾網(wǎng)關需求 PAGEREF _Toc105860270 h 16 HYPERLINK l

6、 _Toc105860271 3.2.5 入侵檢測需求 PAGEREF _Toc105860271 h 16 HYPERLINK l _Toc105860272 3.2.6 漏洞掃描需求 PAGEREF _Toc105860272 h 16 HYPERLINK l _Toc105860273 3.2.7 安裝需求 PAGEREF _Toc105860273 h 16 HYPERLINK l _Toc105860274 第四章 信息網(wǎng)絡的安全方案設計 PAGEREF _Toc105860274 h 17 HYPERLINK l _Toc105860275 4.1 安全管理 PAGEREF _To

7、c105860275 h 17 HYPERLINK l _Toc105860276 4.2 安全防護 PAGEREF _Toc105860276 h 17 HYPERLINK l _Toc105860277 4.3 安全監(jiān)測 PAGEREF _Toc105860277 h 17 HYPERLINK l _Toc105860278 4.4 病毒防護 PAGEREF _Toc105860278 h 18 HYPERLINK l _Toc105860279 4.5 安全服務 PAGEREF _Toc105860279 h 18 HYPERLINK l _Toc105860280 第五章 XX企業(yè)網(wǎng)絡

8、安全項目解決方案 PAGEREF _Toc105860280 h 19 HYPERLINK l _Toc105860281 5.1 XX企業(yè)防火墻解決方案 PAGEREF _Toc105860281 h 19 HYPERLINK l _Toc105860282 5.1.1 XX企業(yè)防火墻的部署 PAGEREF _Toc105860282 h 19 HYPERLINK l _Toc105860283 5.1.2 XX企業(yè)防火墻的作用 PAGEREF _Toc105860283 h 23 HYPERLINK l _Toc105860284 5.2 XX企業(yè)入侵檢測方案 PAGEREF _Toc10

9、5860284 h 24 HYPERLINK l _Toc105860285 5.3 XX企業(yè)漏洞掃描解決方案 PAGEREF _Toc105860285 h 26 HYPERLINK l _Toc105860286 5.4 XX企業(yè)防病毒解決方案 PAGEREF _Toc105860286 h 27 HYPERLINK l _Toc105860287 5.4.1 網(wǎng)絡版防病毒解決方案 PAGEREF _Toc105860287 h 27 HYPERLINK l _Toc105860288 5.4.2 網(wǎng)關防病毒解決方案 PAGEREF _Toc105860288 h 28 HYPERLINK

10、 l _Toc105860289 5.5 XX企業(yè)安全管理系統(tǒng)解決方案 PAGEREF _Toc105860289 h 29前言背景隨著近年來網(wǎng)絡安全事件不斷地發(fā)生，安全問題也已成為IT業(yè)的一個熱點，安全問題對于XX企業(yè)的發(fā)展也越來越重要。安全問題已經(jīng)成為影響XX企業(yè)業(yè)務平臺的穩(wěn)定性和業(yè)務的正常提供的一個問題，所以提升我們XX企業(yè)自身的安全性也已經(jīng)成為XX企業(yè)增強企業(yè)競爭力的重要方面之一。XX企業(yè)集團是國家重點支持的520家工業(yè)企業(yè)大型支柱產(chǎn)業(yè)集團之一。隨著信息技術(shù)的迅猛發(fā)展，XX企業(yè)集團領導充分認識到網(wǎng)絡安全建設的重要性，為了更好的開展生產(chǎn)、科研工作，決定對現(xiàn)有信息系統(tǒng)進行網(wǎng)絡安全技術(shù)改造。

11、項目概述本次信息安全項目包括XX企業(yè)集團下屬企業(yè)、附屬機構(gòu)和分支機構(gòu)的網(wǎng)絡安全系統(tǒng)建設所需的相關設備、軟件以及方案詳細設計、系統(tǒng)集成、管理制度的建立、培訓、技術(shù)支持與服務等內(nèi)容。實施是在網(wǎng)絡現(xiàn)有應用基礎上的改造，對網(wǎng)絡整體的安全加固，所以在上新的系統(tǒng)時不能影響原有系統(tǒng)應用的整體性能。建立整體網(wǎng)絡安全體系；建設整體的防病毒體系，保證網(wǎng)絡病毒不會由公司主干網(wǎng)傳入專網(wǎng)，保證遠程VPN網(wǎng)絡或用戶的病毒不會傳入公司主干網(wǎng)；對于INTERNET上新病毒的反應、處理速度，比如當時“震蕩波”病毒，要在“黃金響應”時間內(nèi)通知如何防范和相應補丁，在沒有擴散到大范圍及時發(fā)現(xiàn)病毒；如果內(nèi)網(wǎng)存在病毒，能夠?qū)ζ涠ㄎ?，知?/p>

12、在哪個機器上，是哪種病毒，能夠清除并有相應的日志；保證系統(tǒng)服務器、生產(chǎn)專網(wǎng)、電話站專網(wǎng)的高可用性、抗攻擊性；能夠查詢誰在什么時間、什么地點、用什么方式訪問了什么網(wǎng)絡資源，上了什么網(wǎng)站，要有分用戶、分時間段、分服務類別的詳細清單及統(tǒng)計報表；強制性管理終端用戶設備，并按照統(tǒng)一規(guī)劃的不同策略管理不同的終端用戶設備或終端用戶設備組；能夠及時覺知誰在攻擊或在探測網(wǎng)絡，并及時阻斷攻擊以及非法探測并有詳細的日志，在發(fā)生外部入侵進來時，必須及時報警并發(fā)郵件到管理人員郵箱，并提供相應的策略；對公司內(nèi)網(wǎng)的安全能夠做到：誰在用非法手段掃描、攻擊服務器或別人的機器，誰私自改IP地址，新的機器接入內(nèi)網(wǎng)或非法上外網(wǎng)，不能

13、隨便安裝、卸載軟件等等。對這些違反規(guī)定的機器要有相應的日志，并可以進行阻斷；對本公司內(nèi)的生產(chǎn)子網(wǎng)要做好安全隔離，即使XX企業(yè)主干網(wǎng)上有病毒在傳播但不能傳到該子網(wǎng)中去，該子網(wǎng)只保留一些必要的數(shù)據(jù)通訊端口與主干網(wǎng)絡通訊，其他端口必須屏蔽掉。評估網(wǎng)絡及主要的服務器、明確應用存在哪些漏洞及其補救措施，當前發(fā)現(xiàn)的所有漏洞得到彌補，不能彌補的要有應急措施預案；各種系統(tǒng)具備完善的日志及審計功能，可以追溯安全事件，可以按照不同的方式出具各種報表；XX企業(yè)信息網(wǎng)絡的整體安全體系設計信息安全體系設計原則XX企業(yè)信息安全保障系統(tǒng)涉及到整個工程的各個層次，網(wǎng)絡和信息安全方案的設計遵循以下原則： 整體安全XX企業(yè)信息安

14、全保障系統(tǒng)的是一個復雜的安全系統(tǒng)工程，對安全的需求是任何一種單元技術(shù)都無法解決的。必須從一個完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡的各種實體和各個環(huán)節(jié)，綜合使用各層次的各種安全手段，為信息網(wǎng)絡和業(yè)務系統(tǒng)提供全方位安全服務。 有效管理沒有有效的安全管理（如防火墻監(jiān)控、審計日志的分析等等），各種安全機制的有效性很難保證。XX企業(yè)信息安全保障系統(tǒng)所提供的各種安全服務，涉及到各個層次、多個實體和各種安全技術(shù)，只有有效的安全管理才能保證這些安全控制機制真正有效地發(fā)揮作用； 合理折衷在XX企業(yè)信息安全保障系統(tǒng)的建設過程中，單純考慮安全而不惜一切代價是不合理的。安全與花費、系統(tǒng)性能、易用性、管理的復雜性都

15、是矛盾的，安全保障體系的設計應該在以上四個方面找到一個合理的折衷點，在可接受的風險范圍內(nèi)，以最小的投資換取最大的安全性，同時不因性能開銷和使用、管理的復雜而影響整個系統(tǒng)高效運行的總體目標。 責權(quán)分明采用分層、分級管理的模式：一方面，XX企業(yè)信息系統(tǒng)可以分為三層：信息網(wǎng)絡、計算機系統(tǒng)和應用系統(tǒng)；另一方面，網(wǎng)絡和應用系統(tǒng)都有中心、下屬等的分級結(jié)構(gòu)。各級網(wǎng)絡管理中心負責網(wǎng)絡的安全可靠運行，為應用信息系統(tǒng)提供安全可靠的網(wǎng)絡服務，各級信息中心負責計算機系統(tǒng)和應用系統(tǒng)的安全管理。 綜合治理XX企業(yè)信息系統(tǒng)的安全建設是一個系統(tǒng)工程，信息網(wǎng)絡的安全同樣也絕不僅僅是一個技術(shù)問題，各種安全技術(shù)應該與運行管理。機制

16、、人員的思想教育與技術(shù)培訓、安全法律法規(guī)建設相結(jié)合，從社會系統(tǒng)工程的角度綜合考慮。信息安全體系結(jié)構(gòu)分析XX企業(yè)信息系統(tǒng)對安全的需求是任何一種單元安全技術(shù)都無法解決的。安全方案的設計必須以科學的安全體系結(jié)構(gòu)模型為依據(jù)，才能保障整個安全體系的完備性、合理性。在信息網(wǎng)絡安全體系結(jié)構(gòu)的研究表明，想要從一個角度得出整個信息系統(tǒng)完整的安全模型是很困難的。借鑒美國國防部DISSP計劃中的安全框架，我們提出了適合XX企業(yè)信息系統(tǒng)的安全體系結(jié)構(gòu)模型。該模型由安全服務、協(xié)議層次和系統(tǒng)單元三個層面描述，且在每個層面上，都包含安全管理的內(nèi)容。該模型在整體上表現(xiàn)為一個三線立體框架結(jié)構(gòu)。信息網(wǎng)絡安全體系結(jié)構(gòu)安全服務取自于

17、國際標準化組織制訂的安全體系結(jié)構(gòu)模型ISO7498，我們在ISO7498的基礎上增加了審計功能和可用性服務。協(xié)議層次的劃分參照TCPIP協(xié)議的分層模型。系統(tǒng)單元給出了信息網(wǎng)絡系統(tǒng)的組成。安全管理涉及到所有協(xié)議層次、所有單元的安全服務和安全機制的管理。安全管理涉及兩方面的內(nèi)容：各種安全技術(shù)的管理和安全管理制度。安全服務模型國際標準化組織所定義的安全體系結(jié)構(gòu)中包括五組重要的安全服務，這些安全服務反映了信息系統(tǒng)的安全需求。這五種服務并不是相互獨立的，而且不同的應用環(huán)境有不同的程度的要求，我們在圖中給出了主要安全服務之間的邏輯關系。各種安全服務之間的邏輯關系在不同的協(xié)議層次，實體都有主體和客體（或資源

18、）之分：在網(wǎng)絡層，對主體和資源的識別以主機或協(xié)議端口為粒度，認證服務主要指主機地址的認證，網(wǎng)絡層的訪問控制主要指防火墻等過濾機制；在應用系統(tǒng)中，主體的識別以用戶為粒度，客體是業(yè)務信息資源，認證是指用戶身份認證和應用服務的認證，訪問控制的粒度可以具體到某種操作，如對數(shù)據(jù)項的追加、修改和刪除。在開放式應用環(huán)境中，主體與客體的雙向認證非常重要。從這一模型可以得出如下結(jié)論：對資源的訪問控制是安全保密的核心，而對實體的（用戶、主機、服務）認證是訪問控制的前提。協(xié)議層次安全模型從網(wǎng)絡體系結(jié)構(gòu)的協(xié)議層次角度考察安全體系結(jié)構(gòu)，我們得到了網(wǎng)絡安全的協(xié)議層次模型，如圖所示，圖中實現(xiàn)上述安全服務的各種安全機制，并給

19、出了它們在協(xié)議層次中的位置。該模型與OSI體系結(jié)構(gòu)一致。協(xié)議層次模型安全實體單元在工程實施階段，各種安全服務、各協(xié)議的安全機制最終要落實到物理實體單元。如圖所示，從實體單元角度來看，安全體系結(jié)構(gòu)可以分成以下層次：物理環(huán)境安全。端系統(tǒng)安全，主要保護網(wǎng)絡環(huán)境下端系統(tǒng)的自身的安全。網(wǎng)絡通信安全，一則保障網(wǎng)絡自身的安全可靠運行，保證網(wǎng)絡的可用性；二則為業(yè)務數(shù)據(jù)提供完整性、保密性的安全服務。應用系統(tǒng)安全，為某種或多種應用提供用戶認證、數(shù)據(jù)保密性、完整性以及授權(quán)與訪問控制服務等。系統(tǒng)單元安全模型其中，安全政策是制定安全方案和各項管理制度的依據(jù)，安全政策是有一定的生命周期的，一般要經(jīng)歷風險分析、安全政策制定

20、、安全方案和管理制度的實施、安全審計和后評估、四個階段。安全管理是各項安全措施能夠有效發(fā)揮作用的重要保證。安全管理的內(nèi)容可以分成安全技術(shù)管理和安兮管理制度兩部分。安全技術(shù)的管理包括安全服務的激活和關閉、安全相關參數(shù)的分發(fā)與更新、安全相關事件的收集與告警等。XX企業(yè)信息網(wǎng)絡的安全現(xiàn)狀和需求分析隨著計算機技術(shù)和網(wǎng)絡技術(shù)的發(fā)展，網(wǎng)絡成為信息高速公路，人們利用網(wǎng)絡來獲取和發(fā)布信息，處理和共享數(shù)據(jù)。但是網(wǎng)絡協(xié)議本身的缺陷、計算機軟件的安全漏洞，對網(wǎng)絡安全的忽視給計算機網(wǎng)絡系統(tǒng)帶來極大的風險。實際上，安全漏洞廣泛存在于網(wǎng)絡數(shù)據(jù)鏈路、網(wǎng)絡設備、主機操作系統(tǒng)和應用系統(tǒng)中。網(wǎng)絡安全是一個體系工程，如果把XX企業(yè)

21、網(wǎng)絡信息系統(tǒng)劃一個邊界的話，未來在廣域網(wǎng)建好之后可能發(fā)生的安全威脅會來自各個方向、各個層面。XX企業(yè)網(wǎng)絡安全現(xiàn)狀及威脅分析XX企業(yè)集團現(xiàn)有信息網(wǎng)絡覆蓋10平方公里之內(nèi)的各個下屬鋼鐵企業(yè)、附屬機構(gòu)和分布在異地的遠程分支機構(gòu)。到目前為止，共有終端用戶1000余個，其中包含各種服務器30臺。網(wǎng)絡設備基本采用CISCO系列產(chǎn)品，主干網(wǎng)絡交換機近100臺。整個網(wǎng)絡擁有100M的因特網(wǎng)出口。InternetInternetE-MAIL轉(zhuǎn)發(fā)服務器Proxy AAACisco3640防火墻pix2950-123500G-24小型機 SUNFIRE4800Catalyst6506Catalyst6506Cata

22、lyst4006Catalyst40062950G-242950G-242950G-48生產(chǎn)子網(wǎng)12950G-242950-12 2950-12VPN及移動上網(wǎng)卡3550G-12T終端服務器計量服務器E-mail服務器3548G2m數(shù)字電路三個分廠生產(chǎn)子網(wǎng)2下面主要針對XX企業(yè)的信息系統(tǒng)，列出可能面臨的主要安全威脅為：內(nèi)部網(wǎng)絡與Internet互聯(lián)的安全威脅與Internet相連，如果沒有邊界防護將是危險的。 XX企業(yè)內(nèi)部網(wǎng)絡與Internet如果不采取安全防護措施，這樣內(nèi)部網(wǎng)絡很容易遭到來自于Internet中可能的入侵者的攻擊。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡及操作系統(tǒng)

23、存在的安全漏洞，如網(wǎng)絡IP地址、應用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序?qū)?nèi)網(wǎng)進行攻擊。入侵者通過網(wǎng)絡監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓在Internet上爆發(fā)網(wǎng)絡蠕蟲病毒的時候，如果內(nèi)網(wǎng)的邊界處沒有訪問控制設備對蠕蟲病毒在第一時間進行隔離，那么蠕蟲的攻擊將會對網(wǎng)絡造成致命的影響。分支機構(gòu)通過Internet與總公司進行通訊的安全威脅在Internet上

24、傳輸?shù)墓緝?nèi)部數(shù)據(jù)，會面臨被讀取，被篡改，被冒名的安全威脅，所以需要對數(shù)據(jù)的源發(fā)性、數(shù)據(jù)的機密性、數(shù)據(jù)的完整性進行驗證。在分支機構(gòu)與總部的VPN網(wǎng)關建立隧道以后，如果分支機構(gòu)的計算機遭到病毒或黑客的入侵，同樣將會對XX企業(yè)的內(nèi)網(wǎng)造成安全威脅。來自內(nèi)部網(wǎng)絡的安全威脅核心交換機如果沒有訪問控制，就不能抵御日益嚴重的網(wǎng)絡攻擊XX企業(yè)內(nèi)部系統(tǒng)基本是一個三層互聯(lián)的網(wǎng)絡，核心交換機的設計如果可以實現(xiàn)內(nèi)部網(wǎng)絡之間的訪問控制。即使在交換機上可以通過配置提供一些安全保證，但是其強度是不足的。現(xiàn)在的黑客攻擊工具在網(wǎng)絡上泛濫成災，任何一個稍微有點計算機操作能力的人員都可以利用這些工具進行攻擊。同時，由于內(nèi)部人員比較

25、熟悉系統(tǒng)的情況，其攻擊行為更容易取得成功。據(jù)權(quán)威數(shù)據(jù)表明，有97的攻擊是來自內(nèi)部攻擊和內(nèi)外勾結(jié)的攻擊，而且內(nèi)部攻擊成功的概率要遠遠高于來自于外部網(wǎng)絡的攻擊，造成的后果也嚴重的多。而且XX企業(yè)的網(wǎng)絡很龐大，覆蓋面積廣，內(nèi)部人員復雜，不同的網(wǎng)絡區(qū)域?qū)τ趦?nèi)網(wǎng)的應用系統(tǒng)都會構(gòu)成安全威脅。具體表現(xiàn)在：首先是XX企業(yè)內(nèi)部任何區(qū)域的安全級別都要低于兩臺重要的ERP服務器，也是就其他的網(wǎng)段和區(qū)域都會對兩臺ERP服務器造成威脅；其次是棒材和煉鋼生產(chǎn)子網(wǎng)；煉鋼大高爐生產(chǎn)子網(wǎng)；礦業(yè)公司和二化子網(wǎng)；電話站專網(wǎng)。這些專網(wǎng)之間都需要進行訪問控制。服務器區(qū)的安全威脅，缺少入侵監(jiān)測設備XX企業(yè)的內(nèi)部服務器組存有很多重要的數(shù)據(jù)

26、，這些數(shù)據(jù)是不能丟失或損壞的，因此一定要對這些服務器進行重點保護，防止這些數(shù)據(jù)被篡改和竊取。在該網(wǎng)絡結(jié)構(gòu)中，各重要的服務器和主機都將是通過核心交換機直接與其他子網(wǎng)連接的，并且這些服務器區(qū)的邊界如果沒有任何訪問控制產(chǎn)品和監(jiān)控設備，內(nèi)部人員對這些服務器可以很容易實施攻擊。網(wǎng)絡節(jié)點變化的隱患在XX企業(yè)集團網(wǎng)絡系統(tǒng)中，預留了一些空節(jié)點以備人員擴充時使用，若有非法人員利用這些節(jié)點接入后，就可以直接連入XX企業(yè)集團的網(wǎng)絡中，并且能與網(wǎng)絡中的數(shù)據(jù)庫服務器物理連接。此時，該人員就可以非常方便地通過一些非法的工具和手段來隨意攻擊網(wǎng)絡上的數(shù)據(jù)庫服務器和其他客戶端主機、盜取網(wǎng)絡上的一些關鍵數(shù)據(jù)以及獲取當前比較詳細的

27、XX企業(yè)集團整體網(wǎng)絡情況為以后更致命的攻擊做好準備，然而網(wǎng)絡管理員并沒有一個有效的方法來實時了解網(wǎng)絡中各節(jié)點的情況，控制這些網(wǎng)絡節(jié)點的變化，因此給整個XX企業(yè)集團的網(wǎng)絡系統(tǒng)造成極大的威脅。非法訪問的危害XX企業(yè)集團的網(wǎng)絡是一個多應用多連接的系統(tǒng)，雖然目前已經(jīng)存在一些常用的訪問控制手段：所有用戶在訪問服務器時都必須輸入正確的用戶名和口令等，但是這樣的網(wǎng)絡結(jié)構(gòu)利用傳統(tǒng)的網(wǎng)絡管理措施難以實現(xiàn)有效的訪問控制。對于網(wǎng)絡中沒有訪問其他網(wǎng)段主機權(quán)限的用戶來說，當要對其他網(wǎng)段上主機發(fā)動攻擊時，其情況類似于外部網(wǎng)絡的攻擊。但是與外部網(wǎng)絡的攻擊者相比，內(nèi)部攻擊者對網(wǎng)絡結(jié)構(gòu)了解的更加細致，而且更容易竊取用戶登錄所需

28、資料，所以非法訪問更易成功。如某臺非法主機在經(jīng)過相關的配置后就可以與網(wǎng)絡中的數(shù)據(jù)庫服務器和其他客戶端主機進行TCP/IP通信。這樣就能夠通過仿冒合法用戶或通過其他黑客工具對客戶端甚至關鍵的數(shù)據(jù)庫服務器進行非法通信和數(shù)據(jù)訪問，這將給XX企業(yè)集團帶來嚴重的危害。非法應用的威脅XX企業(yè)集團系統(tǒng)中有許多的應用在實時地使用著，尤其是數(shù)據(jù)庫和工業(yè)控制的應用。但網(wǎng)絡管理員并沒有一個有效方法來監(jiān)控這些應用的使用，然而多數(shù)的木馬程序都是以注入內(nèi)存的方式來調(diào)用一些非法應用與黑客通信的。若此時有一臺開發(fā)客戶端主機中了木馬程序，在正常訪問服務器的過程中就可能通過這一非法應用程序?qū)⒃L問服務器的賬號、口令以及訪問方式都泄

29、露給黑客，黑客就能通過獲取的信息堂而皇之地登錄到該應用服務器上，并能在該服務器上也啟動一些非法的應用服務，幫助黑客完全地控制服務器。系統(tǒng)的安全風險分析如果沒有漏洞掃描和安全評估機制，將不能及時地填補網(wǎng)絡漏洞所謂系統(tǒng)安全通常是指網(wǎng)絡操作系統(tǒng)、應用系統(tǒng)的安全。目前的操作系統(tǒng)或應用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng)，其開發(fā)廠商必然有其Back-Door。而且系統(tǒng)本身必定存在安全漏洞。這些后門或安全漏洞都將存在重大安全隱患。但是從實際應用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應用面有很大關系，操作系統(tǒng)如果沒有采用相應的安全配置，則其是漏洞百出，掌握

30、一般攻擊技術(shù)的人都可能入侵得手。如果進行安全配置，比如，填補安全漏洞，關閉一些不常用的服務，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進行內(nèi)部網(wǎng)是不容易，這需要相當高的技術(shù)水平及相當長時間。病毒對XX企業(yè)網(wǎng)絡安全運營的安全威脅外部 XX企業(yè)與Internet有直接通道，會受到來自專網(wǎng)以HTTP、SMTP、FTP等數(shù)據(jù)流為載體的潛在病毒的威脅。內(nèi)部 局域網(wǎng)中的工作站及文件服務器都會受到病毒的感染，病毒的攻擊方式多種多樣，有通過局域網(wǎng)傳播、傳統(tǒng)介質(zhì)(光盤、軟盤、USB硬盤等)傳播等等，一旦受到感染，便會迅速傳播，會給日常的工作和生產(chǎn)帶來極大的威脅。網(wǎng)絡帶寬 高速傳播和具有網(wǎng)絡攻擊能力

31、的病毒，能占用有限的網(wǎng)絡帶寬，導致網(wǎng)絡癱瘓。CodeRed，沖擊波以及Mydoom就是典型導致網(wǎng)絡癱瘓的病毒，能導致網(wǎng)絡交換機、路由器、服務器嚴重過載癱瘓。間接損失 病毒造成的間接損失可能更大，病毒造成的事故對企業(yè)的影響是直接導致企業(yè)信息資產(chǎn)損失，可能影響生產(chǎn)運營。安全服務體系不健全的威脅一個網(wǎng)絡的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護的。如今的網(wǎng)絡攻擊和網(wǎng)絡漏洞日益嚴重，它需要網(wǎng)絡管理人員具有快速的響應機制。如果沒有一個完善的安全服務體系，將盡可能多的安全產(chǎn)品統(tǒng)一來維護，面對突如其來的網(wǎng)絡攻擊，XX企業(yè)可能將面臨巨大的損失。同時，眾多品牌的安全產(chǎn)品采購，也將對XX企

32、業(yè)的網(wǎng)絡的維護帶來不便。XX企業(yè)安全需求防病毒體系需求自動安裝客戶端軟件；自動更新、分發(fā)客戶端軟件及病毒庫；網(wǎng)絡中布置了多少臺機器，還有多少臺未安裝防病毒軟件；客戶端軟件、病毒庫版本是否為最新，病毒防護或發(fā)作信息；客戶端軟件不允許隨意卸載；網(wǎng)絡中那些病毒在傳播；強制性網(wǎng)管軟件需求網(wǎng)絡上有哪些交換機，有哪些計算機；網(wǎng)絡拓撲結(jié)構(gòu)，交換機如何互聯(lián)，每臺交換機接了那些終端；網(wǎng)絡性能管理、流量管理、故障管理、日志管理；資產(chǎn)信息收集與管理；管理制度制訂、落實；客戶端軟件不允許隨意卸載；遠程管理與控制；軟件分發(fā)；操作系統(tǒng)補丁分發(fā)、安裝；管理中心；網(wǎng)絡設備的軟件升級（IOS升級至最高版本）；防火墻需求支持雙機

33、熱備份功能，切換時間不超過3秒；因特網(wǎng)出口（現(xiàn)狀：100M），支持VPN功能，能夠與VPN網(wǎng)關協(xié)調(diào)一致工作，移動用戶能夠利用操作系統(tǒng)自帶的VPN連接、通過cisco 公司ACS 3000驗證用戶進入公司內(nèi)網(wǎng)；北京分公司（現(xiàn)狀：Adsl），利用VPN網(wǎng)關與公司因特網(wǎng)出口防火墻建立VPN連接進入公司內(nèi)網(wǎng)；北京庫房(現(xiàn)狀：華為路由器，128K DDN) ，利用VPN網(wǎng)關與公司因特網(wǎng)出口防火墻建立VPN連接進入公司內(nèi)網(wǎng)；兩臺ERP小型機（每臺小型機配置：雙千兆短波多模光纖網(wǎng)卡，防火墻采用橋接模式）棒材生產(chǎn)子網(wǎng)、煉鋼生產(chǎn)子網(wǎng)（百兆）煉鋼大高爐生產(chǎn)子網(wǎng)（千兆長波單模光纖）礦業(yè)公司(2條2M數(shù)字電路，連入電

34、話站交換機)、二化(1條2M數(shù)字電路，連入電話站交換機)電話站專網(wǎng)過濾網(wǎng)關需求因特網(wǎng)（現(xiàn)狀：100M）入口，必須至少支持4種Internet協(xié)議：SMTP、POP3、HTTP、FTP，并具有日志以及日志分析功能；入侵檢測需求內(nèi)網(wǎng)關鍵區(qū)域及因特網(wǎng)（現(xiàn)狀：100M）出口，具有安全審計功能；漏洞掃描需求定期掛接到網(wǎng)絡中，對當前網(wǎng)絡上的重點服務器（如WEB服務器、郵件服務器、DNS服務器、主域服務器等）以及主機進行一次掃描，得到當前系統(tǒng)中存在的各種安全漏洞，并有針對性地提出補救措施報告；安裝需求所有安全產(chǎn)品布置在項目附帶的機柜內(nèi)，并且在機柜內(nèi)配置2臺32口自動多電腦切換器，配置相應的鍵盤、光電鼠標、顯

35、示器及線纜；安全設備要有管理口，便于管理，降低安全產(chǎn)品本身的安全威脅，要有分權(quán)管理，管理與審計權(quán)限分開；要保證系統(tǒng)服務器、生產(chǎn)專網(wǎng)的高可用性、抗攻擊性；制定詳細的實施計劃，明確雙方責任，專業(yè)技術(shù)工程師、制度管理師按照實施計劃布置實施符合XX企業(yè)管理需求的安全策略、制定符合XX企業(yè)管理需求的制度體系；各個系統(tǒng)協(xié)調(diào)一致工作，不能出現(xiàn)軟件或硬件沖突；信息網(wǎng)絡的安全方案設計安全管理環(huán)節(jié)分析：主要是指XX企業(yè)集團要設備管理、人員管理、策略管理等；目前XX企業(yè)集團尚無一套完善的網(wǎng)絡安全管理體系，我們要建立通過一定的國際標準來建立建設管理體系。需求建議：XX企業(yè)集團信息網(wǎng)需要對全網(wǎng)所有設備和終端用戶進行管理

36、。負責管理計算機的技術(shù)人員和一般計算機使用人員，依靠一定的安全技術(shù)和手段和一些好的管理辦法，制定一些切實可用的網(wǎng)絡安全策略，來建立XX企業(yè)集團信息網(wǎng)的安全管理體系。另外建議應用強制性的網(wǎng)管系統(tǒng)對網(wǎng)絡設備和客戶端進行管理。安全防護環(huán)節(jié)分析:該環(huán)節(jié)的包括訪問控制、保密性、完整性、可用性、不可否認性。該環(huán)節(jié)主要依靠一些相關的技術(shù)手段來實現(xiàn)。訪問控制主要依靠防火墻技術(shù)、劃分Vlan技術(shù)身份認證技術(shù)等方式來實現(xiàn)；保密性、可用性、不可抵賴性：主要包括一些信息保密手段，例如使用VPN技術(shù)、采用加密軟件、或者應用CA證書保證數(shù)據(jù)的安全防護等。防護還包括對線路高可用性、網(wǎng)絡病毒防護、數(shù)據(jù)容災防護等方面。需求建議

37、:安全保護圍很廣涉及的技術(shù)也較多，對于XX企業(yè)集團信息網(wǎng)目前最需要的防護手段是對全網(wǎng)的防護，使用防火墻、防病毒技術(shù)和入侵檢測，在此基礎上建議加強對XX企業(yè)集團數(shù)據(jù)中心信息網(wǎng)的防護體系建設。對分支機構(gòu)建議采用VPN網(wǎng)關建立隧道。安全監(jiān)測環(huán)節(jié)分析:主要是指實時監(jiān)測、風險評估、系統(tǒng)加固、漏洞修補等；實時檢測主要依靠入侵檢測系統(tǒng)、風險評估依靠于脆弱性分析軟件，系統(tǒng)加固和漏洞修補要求網(wǎng)絡管理人員能夠隨時跟蹤各種操作系統(tǒng)和應用系統(tǒng)漏洞情況及時采取必要的措施。需求建議：對于XX企業(yè)集團信息網(wǎng)目前尚無任何網(wǎng)絡安全監(jiān)測措施，對于發(fā)生的網(wǎng)絡安全問題需要有效的監(jiān)測手段；對于全網(wǎng)的風險評估需要建立相應的評估制度；對于

38、系統(tǒng)加固和漏洞修補需要固定的工作流程和漏洞發(fā)現(xiàn)和加固計劃。病毒防護環(huán)節(jié)分析：主要針對全網(wǎng)1000多臺主機和30多臺服務器進行病毒防護。對網(wǎng)絡的邊界及接入點進行病毒的監(jiān)控。需求建議：目前XX企業(yè)集團急需一套網(wǎng)絡版的防病毒軟件覆蓋整個網(wǎng)絡。在網(wǎng)關處建議配置防病毒網(wǎng)關。安全服務環(huán)節(jié)分析：一個優(yōu)秀的網(wǎng)絡安全系統(tǒng)的建立不僅僅依靠網(wǎng)絡安全設備和相關安全手段，如何去建設網(wǎng)絡安全系統(tǒng)？如何去使用網(wǎng)絡安全系統(tǒng)？以及出現(xiàn)安全問題如何去應對？是一般網(wǎng)使用者非常關心的問題。究竟解決以上問題呢？我們認為專業(yè)的事情要交給專業(yè)的人來做。需求建議：在XX企業(yè)集團信息網(wǎng)構(gòu)建一個良好的安全系統(tǒng)的時候我們要有責任建議XX企業(yè)集團不

39、要忽略安全公司所提供的前期、中期、后期所需的各種保障服務。XX企業(yè)網(wǎng)絡安全項目解決方案XX企業(yè)防火墻解決方案XX企業(yè)防火墻的部署根據(jù)XX企業(yè)集團系統(tǒng)的安全現(xiàn)狀和風險分析，我們在該網(wǎng)中建立防火墻子系統(tǒng)。有關建立防火墻子系統(tǒng)的目標、功能、位置、在下文中進行詳細說明。信息化的前提就是建立起完善的信息保障體系，防火墻在信息保障體系中對網(wǎng)絡行為進行有效訪問控制，對保證網(wǎng)絡訪問行為的有序性起到了至關重要的作用，防火墻體系的建立直接關系到了系統(tǒng)能否正常運行，體系是否完善；關系到了系統(tǒng)是否能夠?qū)Ψ欠ㄔL問進行有效的防范。在XX企業(yè)集團網(wǎng)絡系統(tǒng)中我們建立防火墻子系統(tǒng)的主要目標:邏輯隔離XX企業(yè)集團系統(tǒng)內(nèi)網(wǎng)與Int

40、ernet；保護兩臺重要的ERP服務器；對棒材和煉鋼生產(chǎn)子網(wǎng)進行防護；對煉鋼大高爐生產(chǎn)子網(wǎng)進行防護；對礦業(yè)公司和二化子網(wǎng)進行防護；對電話站專網(wǎng)進行防護。以上這些專網(wǎng)和生產(chǎn)子網(wǎng)他們和XX企業(yè)集團內(nèi)網(wǎng)之間都需要進行訪問控制。我們建議在XX企業(yè)集團內(nèi)網(wǎng)和Internet接入設備之間配置一臺天融信網(wǎng)絡衛(wèi)士千兆防火墻NGFW4000-UF-VPN(E)，作為訪問控制設備。通過此設備除了進行訪問控制而且還與遠端的分支機構(gòu)建立隧道，在遠端北京分公司和北京庫房也配置了天融信的VPN網(wǎng)關。對于XX企業(yè)移動的用戶建議在單臺計算機或筆記本上安裝天融信VPN客戶端軟件，同樣可以與總部的NGFW4000-UF-VPN(

41、E)建立隧道，實現(xiàn)數(shù)據(jù)的安全傳輸。拓撲結(jié)構(gòu)如下圖所示：由于XX企業(yè)集團ERP系統(tǒng)承載著企業(yè)大量的重要數(shù)據(jù)信息，因此必須通過防火墻的訪問控制過濾技術(shù)對非授權(quán)的用戶進行嚴格地控制和防護。若嚴格地采取物理隔離措施，固然可以做到系統(tǒng)的訪問控制絕對安全，但是對于通過間接的物理訪問而造成的病毒危害則很難防范（病毒庫很難及時升級），而且對整個信息系統(tǒng)的自動化和工作效率不能有效地保證。屆時，可以通過防火墻系統(tǒng)開放ERP系統(tǒng)的許可訪問權(quán)限，其他不相關地訪問用戶則被嚴格禁止。目前XX企業(yè)在整體網(wǎng)絡安全防范的情況下，著重對ERP的服務器進行安全防護。建議在兩臺SUN服務器和核心交換之間部署防火墻，具體的連接方式如下

42、圖所示：兩臺SUN的服務器做CLUSTER，共映射兩個浮動IP，分別是應用和數(shù)據(jù)庫，兩臺SUN的服務器互為備份。我們建議在SUN服務器和核心交換之間加入天融信的千兆防火墻NGFW4000-UF，同時設定規(guī)則，只允許特定的ERP應用到達SUN服務器。經(jīng)過在XX企業(yè)的測試，天融信的防火墻能夠穩(wěn)定應用在此網(wǎng)絡結(jié)構(gòu)下。其中，最重要的技術(shù)是目前在國內(nèi)的防火墻當中只有天融信支持的Spanning Tree的算法。如上圖所示，XX企業(yè)集團的核心網(wǎng)絡是典型的二層備份方案，中心兩臺Catalyst6509核心交換機，之間啟用Trunk和FEC協(xié)議，下連的交換機通過雙鏈路分別連接兩臺核心交換機，通過生成樹協(xié)議實現(xiàn)

43、備份。Solaris服務器也是通過兩塊網(wǎng)卡連接兩臺核心交換機，物理上，一塊網(wǎng)卡是up，另一塊處于down狀態(tài)。Solaris服務器切換的原理是這樣的，每個網(wǎng)卡各有自己的真實IP地址，兩個網(wǎng)卡還虛擬出一個ip，此虛擬IP對外提供服務，如果服務器通過PING檢測每個網(wǎng)卡的真實ip地址，如果不通，此網(wǎng)卡就變?yōu)閐own，另一網(wǎng)卡為up狀態(tài)。 如果不支持生成樹協(xié)議，又要避免環(huán)路出現(xiàn)，普通的防火墻會采用如下圖所示的連接方法（以一臺服務器舉例），每兩個端口劃分一個廣播域，一臺防火墻要劃分兩個廣播域。如果斷掉交換機與防火墻之間的連線，對于防火墻和服務器的連接狀態(tài)依然正常，所以服務器沒有相應的收斂算法能檢測到這

44、種狀態(tài)的變化，不能相應的切換。對于天融信的防火墻由于支持Spanning Tree的算法，上圖就可以變成下圖的連接方法： 區(qū)別表現(xiàn)在支持Spanning Tree的算法的防火墻可以把四個端口配置成一個廣播域，此時防火墻到交換機之間的切換通過生成樹協(xié)議來實現(xiàn)，服務器到防火墻之間的切換通過Solaris服務器雙網(wǎng)卡自身的機制來切換。這也滿足了標書中要求的真正橋接的模式。棒材和煉鋼生產(chǎn)子網(wǎng)建議配置兩臺天融信網(wǎng)絡衛(wèi)士百兆防火墻NGFW4000-T、礦業(yè)公司和二化子網(wǎng)建議配置一臺天融信網(wǎng)絡衛(wèi)士百兆防火墻NGFW4000-T、電話站專網(wǎng)建議配置一臺天融信網(wǎng)絡衛(wèi)士百兆防火墻NGFW4000-T。煉鋼大高爐生

45、產(chǎn)子網(wǎng)配置天融信單模千兆防火墻NGFW4000-UF。XX企業(yè)防火墻的作用防火墻對內(nèi)網(wǎng)用戶一經(jīng)授權(quán)便能夠采用任何現(xiàn)有的或新出現(xiàn)的網(wǎng)絡技術(shù)訪問Internet獲取所需要的信息和服務；防火墻可以防范各種網(wǎng)絡攻擊，能夠查找到攻擊的來源和類型，能夠?qū)@些攻擊進行反應；對網(wǎng)絡訪問接入點的保護應該對相關組件與網(wǎng)絡的性能造成盡可能少的影響；抗DOS/DDOS攻擊：拒絕服務攻擊（DOS）、分布式拒絕服務攻擊（DDOS）就是攻擊者過多的占用共享資源，導致服務器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務或沒有資源可用。防火墻通過控制、檢測與報警機制，防止DOS黑客攻擊。所以通過防火墻上進行規(guī)則設置，規(guī)定防火墻在

46、單位時間內(nèi)接到同一個地址的TCP全連接、半連接的數(shù)量，如果超出這個數(shù)量便認為是DOS/DDOS攻擊，防火墻在設定的時間內(nèi)就不接受來自于這個地址的數(shù)據(jù)包，從而抵御了DOS/DDOS攻擊； 防止入侵者的掃描：大多數(shù)黑客在入侵之前都是通過對攻擊對象進行端口掃描，收集被攻擊對象開放什么端口、什么服務、有何漏洞、哪些用戶的口令弱等信息，然后再展開相應的攻擊。通過防火墻上設置規(guī)則：如果發(fā)現(xiàn)外部有某臺計算機在單位時間內(nèi)與內(nèi)部某臺服務器或者主機建立多個連接，便認為是掃描行為，并截斷這個連接。從而防止入侵者的掃描行為，把入侵行為扼殺在最初階段；防止源路由攻擊：源路由攻擊是指黑客抓到數(shù)據(jù)包后改變數(shù)據(jù)包中的路由選項

47、，把數(shù)據(jù)包路由到它可以控制的一臺路由器上，進行路由欺騙或者得到該數(shù)據(jù)包的返回信息。通過在防火墻上配置規(guī)則，禁止TCP/IP數(shù)據(jù)包中的源路由選項，防止源路由攻擊；防止IP碎片攻擊：IP碎片攻擊是指黑客把一個攻擊數(shù)據(jù)包分成多個數(shù)據(jù)據(jù)包，從而隱藏了該數(shù)據(jù)包的攻擊特征。通過在防火墻上設置規(guī)則防火墻在進行檢查之前必須將IP分片重組為一個IP報文，而且這個報文必須具有一個最小長度以包含必要的信息以供檢查，從而防止了IP碎片攻擊；防止ICMP/IGMP攻擊：許多拒絕服務攻擊是通過發(fā)送大量的ICMP數(shù)據(jù)包、IGMP數(shù)據(jù)包實現(xiàn)的。通過在防火墻上設置規(guī)則，禁止ICMP/IGMP數(shù)據(jù)包的通過防火墻，保證系統(tǒng)的安全；

48、阻止ActiveX、Java、Javascript等侵入：防火墻能夠從HTTP頁面剝離ActiveX、JavaApplet等小程序及從Script、PHP和ASP等代碼檢測出危險的代碼，也能夠過濾用戶上載的CGI、ASP等程序； 其他阻止的攻擊：通過在防火墻上的URL過濾可以防止一些來自于系統(tǒng)漏洞的攻擊（例如：通過配置規(guī)則禁止訪問./winnt/system32/cmd.exe?/可以防止WINDOW NT/2000 的UNICODE漏洞以及其他CGI漏洞攻擊：/Cgi-bin/phf、cgi-bin/count.cig、_vti_pvt/service.pwd、cfdocs/expeval/

49、 openfile.cfm等）、和一些病毒的攻擊（例如：禁止default.ida可以防止紅色代碼的攻擊）； 提供實時監(jiān)控、審計和告警：通過防火墻提供對網(wǎng)絡的實時監(jiān)控，當發(fā)現(xiàn)攻擊和危險代碼時，防火墻提供告警功能；XX企業(yè)入侵檢測方案保護邊界安全的有效的監(jiān)視機制包括：基于網(wǎng)絡的入侵檢測系統(tǒng)（IDS）、脆弱性掃描（安全服務）、病毒檢測等。首先我們建議在網(wǎng)絡出口處和重要網(wǎng)段部署天融信千兆入侵檢測NGIDS-UF。在基于TCP/IP的網(wǎng)絡中，普遍存在遭受攻擊的風險。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。有效的入侵檢測系統(tǒng)可以同時檢測內(nèi)部和外部威脅。入侵檢測系統(tǒng)的目的是檢測惡意和非

50、預期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許非預期資源訪問的請求和非預期使用服務）。一旦入侵被檢測到，會引發(fā)某種響應（如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來源或適當?shù)胤垂簦?。利用防火墻技術(shù)，經(jīng)過精心的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡保護，降低網(wǎng)絡安全風險。但是，存在著一些防火墻等其它安全設備所不能防范的安全威脅，這就需要入侵檢測系統(tǒng)提供實時的入侵檢測及采取相應的防護手段，如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡連接等，來保護XX企業(yè)集團局域網(wǎng)的安全。建議在核心交換機上對Internet的接口和未來的應用服務器的接口做流量映射，配置天融信網(wǎng)絡衛(wèi)士的入侵檢測NGIDS-U

51、F。入侵檢測是防火墻等其它安全措施的補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時檢測。除了入侵檢測技術(shù)能夠保障系統(tǒng)安全之外，下面幾點也是使用入侵檢測的原因：計算機安全管理的基本目標是規(guī)范單個用戶的行為以保護信息系統(tǒng)免受安全問題的困擾。入侵檢測系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對攻擊者進

52、行懲罰，有助于上述目標的實現(xiàn)，并對那些試圖違反安全策略的人造成威懾。入侵檢測可以檢測其它安全手段無法防止的問題。攻擊者使用越來越容易得到的攻擊技術(shù)，能夠?qū)Υ罅肯到y(tǒng)進行非授權(quán)的訪問，尤其是連接到XX企業(yè)集團局域網(wǎng)的系統(tǒng)，而當這些系統(tǒng)具有已知漏洞的時候這種攻擊更容易發(fā)生。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的：很多系統(tǒng)的操作系統(tǒng)不能得到及時的更新有的系統(tǒng)雖然可以及時得到補丁程序，但是管理員沒有時間或者資源進行系統(tǒng)更新，這個問題很普遍，特別是在那些具有大量主機或多種類型的軟硬件的環(huán)境中。正常工作可能需要開啟網(wǎng)絡服務，而這些協(xié)議是具有漏洞，容易被攻擊的。用戶和

53、管理員在配置和使用系統(tǒng)時可能犯錯誤。在進行系統(tǒng)訪問控制機制設置時可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權(quán)限的錯誤操作。當黑客攻擊一個系統(tǒng)時，他們總是按照一定的步驟進行。首先是對系統(tǒng)或網(wǎng)絡的探測和分析，如果一個系統(tǒng)沒有配置入侵檢測，攻擊者可以自由的進行探測而不被發(fā)現(xiàn)，這樣很容易找到最佳攻入點。如果同樣的系統(tǒng)配置了入侵檢測，則會對攻擊者的行動帶來一定難度，它可以識別可疑探測行為，阻止攻擊者對目標系統(tǒng)的訪問，或者對安全人員報警以便采取響應措施阻止攻擊者的下一步行動。入侵檢測證實并且詳細記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡安全管理方案時，通常需要證實網(wǎng)絡很可能或者正在受到攻擊。此外，攻擊的頻率和特征有助

54、于選擇保護網(wǎng)絡免受相應攻擊的安全手段。在入侵檢測運行了一段時間后，系統(tǒng)使用模式和檢測問題變得明顯，這會使系統(tǒng)的安全設計與管理的問題暴露出來，在還沒有造成損失的時候進行糾正。即使當入侵檢測不能阻止攻擊時，它仍可以收集該攻擊的可信的詳細信息進行事件處理和恢復，此外，這些信息在某些情況下可以作為犯罪的佐證?？傊肭謾z測的根本意義在于發(fā)現(xiàn)網(wǎng)絡中的異常。管理人員需要了解網(wǎng)絡中正在發(fā)生的各種活動，需要在攻擊到來之前發(fā)現(xiàn)攻擊行為，需要識別異常行為，需要有效的工具進行針對攻擊行為以及異常的實時和事后分析。“知情權(quán)是網(wǎng)絡安全的關鍵”，這使得入侵檢測成為其它許多安全手段，如安全網(wǎng)管系統(tǒng)的基礎。XX企業(yè)漏洞掃描解

55、決方案大多數(shù)的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)存在一定的安全漏洞，需要不斷安裝和升級安全補丁。同時我們也注意到，許多安全侵害并不是由于系統(tǒng)產(chǎn)品本身存在安全弱點，而是由于系統(tǒng)沒有正確地安裝使用或安全規(guī)則沒有建立并執(zhí)行。甚至在一個正確的系統(tǒng)配置中，某些設置也可能被意外或故意的改動?；谝陨显?，應安裝系統(tǒng)漏洞掃描軟件，幫助管理員及時發(fā)現(xiàn)系統(tǒng)中的安全漏洞和安全隱患，并提供安全決策分析、安全補救建議和措施，減少系統(tǒng)安全風險。系統(tǒng)漏洞掃描軟件應能掃描操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的安全漏洞。它包括了網(wǎng)絡漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等多項功能，全面幫助用戶控制可能發(fā)生的安全

56、事件，最大可能的消除安全隱患。該系統(tǒng)具有強大的漏洞檢測能力和檢測效率，貼切用戶需求的功能定義，靈活多樣的檢測方式，詳盡的漏洞修補方案和友好的掃描系統(tǒng)報告系統(tǒng)，以及方便的在線升級功能。我們在XX企業(yè)網(wǎng)絡安全的項目中配置一臺榕基漏洞掃描系統(tǒng)。XX企業(yè)防病毒解決方案病毒是系統(tǒng)中最常見、威脅最大的安全來源，建立一個全方位的病毒防范系統(tǒng)是XX企業(yè)集團安全體系建設的重要任務。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問題。網(wǎng)絡版防病毒解決方案根據(jù)XX企業(yè)集團網(wǎng)絡結(jié)構(gòu)和辦公系統(tǒng)計算機分布情況，病毒防范系統(tǒng)的安裝實施要求為：具備實時防護、計劃掃描和手動掃描的功能；具備對各種常用格式的壓縮文件、包括多重壓縮文件

57、的掃描功能；感染源和感染文件的隔離功能，提供對病毒感染源的網(wǎng)絡連接阻斷和隔離功能，并且記錄感染源的用戶信息。對無法清除病毒的感染文件進行隔離；查病毒的效率。在性能要求比較高的服務器上能夠?qū)崿F(xiàn)增量方式的查病毒方式，也就是僅僅掃描那些上次掃描過以后有變動的文件；應急恢復功能，提供應急措施，對系統(tǒng)引導區(qū)進行應急恢復；集中監(jiān)控、重點管理的能力，防病毒管理軟件對運行在Windows NT/2000/98/95/ME以及其他平臺防病毒軟件的集中監(jiān)控管理功能。對于關鍵的服務器具有實時的病毒活動參數(shù)監(jiān)控方法；防病毒策略的配置管理，防病毒策略的統(tǒng)一配置管理，能根據(jù)不同的防病毒需求分別制定和實施不同的防病毒策略。

58、防病毒管理軟件具有分組（域）管理客戶端防病毒策略和調(diào)度相關任務執(zhí)行的能力； 能夠從多層次進行病毒防范，從服務器到客戶機都能有相應的防毒軟件提供完整的、全面的防病毒保護。網(wǎng)絡防病毒產(chǎn)品是一個比較基礎而且成熟的安全產(chǎn)品，在本方案沒有網(wǎng)絡版防病毒進行過多描述，我們推薦趨勢科技的網(wǎng)絡版防病毒系統(tǒng)，覆蓋XX企業(yè)1000個計算機節(jié)點和30多臺服務器。網(wǎng)關防病毒解決方案天融信網(wǎng)絡衛(wèi)士過濾網(wǎng)關作為一個專門的硬件防病毒設備，只要安裝在XX企業(yè)網(wǎng)絡的入口處，就可以保護局域網(wǎng)局域網(wǎng)免受各類病毒，木馬的和垃圾郵件的干擾。網(wǎng)絡衛(wèi)士過濾網(wǎng)關實時檢查進入企業(yè)網(wǎng)絡的數(shù)據(jù)流，當網(wǎng)關檢測到病毒時，它會根據(jù)相應的策略來處理病毒和染

59、毒文件，保護企業(yè)內(nèi)部的服務器和工作站設備。產(chǎn)品特點：實時病毒過濾網(wǎng)絡衛(wèi)士過濾網(wǎng)關對通過網(wǎng)關設備的數(shù)據(jù)流進行實時檢測，過濾數(shù)據(jù)流中的病毒、蠕蟲和垃圾郵件等，阻止它們進入企業(yè)網(wǎng)絡。即插即用的透明接入方式網(wǎng)絡衛(wèi)士過濾網(wǎng)關采用即插即用的思路設計，以透明網(wǎng)橋方式部署在企業(yè)網(wǎng)絡中，無需改變企業(yè)內(nèi)部的網(wǎng)絡配置，從而使安裝工作變得非常簡單。一旦部署完成，網(wǎng)絡衛(wèi)士過濾網(wǎng)關就開始對企業(yè)網(wǎng)絡進行病毒防護，保障網(wǎng)絡不受病毒侵害。 全面的協(xié)議保護網(wǎng)絡衛(wèi)士過濾網(wǎng)關對SMTP、POP3、IMAP4、HTTP和FTP等應用協(xié)議進行病毒掃描和過濾，有效地防止可能的病毒威脅。高性能網(wǎng)絡衛(wèi)士過濾網(wǎng)關構(gòu)建在高性能的硬件平臺上，采用高

60、效的掃描算法，最大限度地提高過濾效率，提供優(yōu)異的處理性能。 內(nèi)嵌的內(nèi)容過濾功能網(wǎng)絡衛(wèi)士過濾網(wǎng)關支持對數(shù)據(jù)內(nèi)容進行檢查，可以采用關鍵字過濾，URL過濾等方式來阻止非法數(shù)據(jù)進入企業(yè)網(wǎng)絡，同時也支持對Java等小程序進行過濾等，防止可能的惡意代碼進入企業(yè)網(wǎng)絡。 防垃圾郵件功能網(wǎng)絡衛(wèi)士過濾網(wǎng)關采用業(yè)界領先的黑名單技術(shù)實時檢測垃圾郵件并阻止其進入企業(yè)網(wǎng)絡，為企業(yè)節(jié)省寶貴的帶寬。防蠕蟲攻擊網(wǎng)絡衛(wèi)士過濾網(wǎng)關可以實時檢測到日益泛濫的蠕蟲攻擊，并對其進行實時阻斷，從而有效防止企業(yè)網(wǎng)絡因遭受蠕蟲攻擊而陷于癱瘓。自動在線升級網(wǎng)絡衛(wèi)士過濾網(wǎng)關可以按照管理員設定的更新策略自動連接到天融信公司的升級服務器，升級最新的病毒