安恒信息數(shù)據(jù)安全防“脫庫”解決方案實(shí)用文檔

安恒信息數(shù)據(jù)安全防“脫庫”解決方案1.前言近日不斷有黑客陸續(xù)在互聯(lián)網(wǎng)上公開提供國內(nèi)多家知名網(wǎng)站部分用戶數(shù)據(jù)庫下載，國內(nèi)外媒體頻繁報(bào)道，影響惡劣，引起社會(huì)廣泛關(guān)注。其中涉及到游戲類、社區(qū)類、交友類等網(wǎng)站用戶數(shù)據(jù)正逐步公開，各報(bào)道中也針對系列事件向用戶提出密碼設(shè)置策略等安全建議。注冊用戶數(shù)據(jù)作為網(wǎng)站所有者的核心信息資產(chǎn)，涉及到網(wǎng)站及關(guān)聯(lián)信息系統(tǒng)的實(shí)質(zhì)業(yè)務(wù)，對其保密性的要求強(qiáng)度不言而喻。隨著網(wǎng)站及微博實(shí)名制規(guī)定的陸續(xù)出臺，如果在實(shí)名制的網(wǎng)站出現(xiàn)用戶數(shù)據(jù)泄露事件，將會(huì)產(chǎn)生更惡劣的影響。針對近期部分互聯(lián)網(wǎng)站信息泄露事件，工信部于2021年12月28日發(fā)布通告要求：各互聯(lián)網(wǎng)站要高度重視用戶信息安全工作，把用戶信息保護(hù)作為關(guān)系行業(yè)健康發(fā)展和企業(yè)誠信建設(shè)的重要工作抓好抓實(shí)。發(fā)生用戶信息泄露的網(wǎng)站，要妥善做好善后工作，盡快通過網(wǎng)站公告、電子郵件、、短信等方式向用戶發(fā)出警示，提醒用戶修改在本網(wǎng)站或其他網(wǎng)站使用的相同用戶名和密碼。未發(fā)生用戶信息泄露的網(wǎng)站，要加強(qiáng)安全監(jiān)測，必要時(shí)提醒用戶修改密碼。各互聯(lián)網(wǎng)站要引以為戒，開展全面的安全自查，及時(shí)發(fā)現(xiàn)和修復(fù)安全漏洞。要加強(qiáng)系統(tǒng)安全防護(hù)，落實(shí)相關(guān)網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)，提高系統(tǒng)防入侵、防竊取、防攻擊能力。要采用加密方式存儲(chǔ)用戶信息，保障用戶信息安全。一旦發(fā)生網(wǎng)絡(luò)安全事件，要在開展應(yīng)急處置的同時(shí)，按照規(guī)定向互聯(lián)網(wǎng)行業(yè)主管部門及時(shí)報(bào)告。工信部同時(shí)提醒廣大互聯(lián)網(wǎng)用戶提高信息安全意識，密切關(guān)注相關(guān)網(wǎng)站發(fā)布的公告，并根據(jù)網(wǎng)站安全提示修改密碼。提高密碼的安全強(qiáng)度并定期修改。2.信息泄密的根源2.1.透過現(xiàn)象看本質(zhì)2.1.1.攻擊者因?yàn)槔驿b而走險(xiǎn)攻擊者為什么會(huì)冒著巨大的法律風(fēng)險(xiǎn)去獲取用戶信息？2001年隨著網(wǎng)絡(luò)游戲的興起，虛擬物品和虛擬貨幣的價(jià)值逐步被人們認(rèn)可，網(wǎng)絡(luò)上出現(xiàn)了多種途徑可以將虛擬財(cái)產(chǎn)轉(zhuǎn)化成現(xiàn)實(shí)貨幣，針對游戲賬號攻擊的逐步興起，并發(fā)展成龐大的虛擬資產(chǎn)交易市場；2004年-2007年，相對于通過木馬傳播方式獲得的用戶數(shù)據(jù)，攻擊者采用入侵目標(biāo)信息系統(tǒng)獲得數(shù)據(jù)庫信息，其針對性與攻擊效率都有顯著提高。在巨額利益驅(qū)動(dòng)下，網(wǎng)絡(luò)游戲服務(wù)端成為黑客“拖庫”的主要目標(biāo)。2021年-2021年，國內(nèi)信息安全立法和追蹤手段的得到完善，攻擊者針對中國境內(nèi)網(wǎng)絡(luò)游戲的攻擊日趨收斂。與此同時(shí)殘余攻擊者的操作手法愈加精細(xì)和隱蔽，攻擊目標(biāo)也隨著電子交易系統(tǒng)的發(fā)展擴(kuò)散至的電子商務(wù)、彩票、境外賭博等主題網(wǎng)站，并通過黑色產(chǎn)業(yè)鏈將權(quán)限或數(shù)據(jù)轉(zhuǎn)換成為現(xiàn)實(shí)貨幣。招商加盟類網(wǎng)站也由于其本身數(shù)據(jù)的商業(yè)業(yè)務(wù)價(jià)值，成為攻擊者的“拖庫”的目標(biāo)。2021年，攻防雙方經(jīng)歷了多年的博弈，國內(nèi)網(wǎng)站安全運(yùn)維水平不斷提升，信息安全防御產(chǎn)品的成熟度加強(qiáng)，單純從技術(shù)角度對目標(biāo)系統(tǒng)進(jìn)行滲透攻擊的難度加大，而通過收集分析管理員、用戶信息等一系列被稱作“社會(huì)工程學(xué)”的手段的攻擊效果被廣大攻擊者認(rèn)可。獲得更多的用戶信息數(shù)據(jù)有利于提高攻擊的實(shí)際效率，攻擊者將目標(biāo)指向了擁有大量注冊用戶真實(shí)詳細(xì)信息的社區(qū)及社交網(wǎng)站，并在地下建立起“人肉搜索庫”，預(yù)期實(shí)現(xiàn)：獲知某用戶常用ID或EMAIL，可以直接搜索出其常用密碼或常用密碼密文。2021年12月21日，僅僅是在這一天，攻擊者曾經(jīng)獲取到的部分?jǐn)?shù)據(jù)庫信息內(nèi)容被陸續(xù)地公開了。2.1.2.應(yīng)用層防護(hù)百密而一疏在當(dāng)今信息安全意識、信息安全產(chǎn)品都日益成熟的年代，為何入侵者獲取數(shù)據(jù)依然如入無人之境?很多人認(rèn)為，在網(wǎng)絡(luò)中不斷部署防火墻、IDS、IPS等設(shè)備，可以提高網(wǎng)絡(luò)的安全性。但是為何基于應(yīng)用的攻擊事件以及相應(yīng)的“泄庫事件”仍然不斷發(fā)生?其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范，作用十分有限。我們可以通過下面例子來舉例黑客是如何常規(guī)獲取信息系統(tǒng)的數(shù)據(jù)庫信息的：攻防回合的延續(xù)包括傳統(tǒng)安全設(shè)備使黑客入侵服務(wù)端主機(jī)系統(tǒng)難度加大，而WEB應(yīng)用的登錄入口表明了WEB應(yīng)用程序與用戶數(shù)據(jù)表之間存在關(guān)聯(lián)，通過入侵WEB網(wǎng)站獲得數(shù)據(jù)庫信息成為針對網(wǎng)站數(shù)據(jù)庫攻擊的主要入手點(diǎn)，常見的攻擊步驟如下：一、尋找目標(biāo)網(wǎng)站（或同臺服務(wù)器的其他網(wǎng)站）程序中存在的SQL注入、非法上傳、后臺管理權(quán)限等漏洞；二、通過上述漏洞添加一個(gè)以網(wǎng)頁腳本方式控制網(wǎng)站服務(wù)器的后門，即：WEBSHELL；三、通過已獲得的WEBSHELL提升權(quán)限，獲得對WEB應(yīng)用服務(wù)器主機(jī)操作系統(tǒng)的控制權(quán)，并通過查看網(wǎng)站數(shù)據(jù)庫鏈接文件，獲得數(shù)據(jù)庫的鏈接密碼；四、通過在WEB應(yīng)用服務(wù)器上鏡像數(shù)據(jù)庫連接，將目標(biāo)數(shù)據(jù)庫中所需要的信息導(dǎo)入至攻擊者本地?cái)?shù)據(jù)庫（或直接下載服務(wù)器上可能存在的數(shù)據(jù)庫備份文件）；五、清理服務(wù)器日志，設(shè)置長期后門。目前攻擊者以團(tuán)隊(duì)為單位，無論從工具的制造、攻擊實(shí)施的具體手法都已經(jīng)形成了體系化、趨利化的作業(yè)流程。此例中我們發(fā)現(xiàn)，黑客針對應(yīng)用系統(tǒng)的攻擊已經(jīng)完全無視傳統(tǒng)的網(wǎng)絡(luò)安全，而應(yīng)用安全的建設(shè)恰好能夠彌補(bǔ)網(wǎng)絡(luò)安全的不足，提升了整個(gè)信息系統(tǒng)安全強(qiáng)度，能夠有效地阻止黑客針對性的應(yīng)用層攻擊，降低數(shù)據(jù)信息被泄露的風(fēng)險(xiǎn)2.2.防泄密防好應(yīng)用安全這塊板隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動(dòng)越來越多地依賴于WEB應(yīng)用，在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時(shí)，企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加。主要表現(xiàn)在兩個(gè)層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來進(jìn)行攻擊的黑客工具越來越多、黑客活動(dòng)越來越猖獗,組織性和經(jīng)濟(jì)利益驅(qū)動(dòng)非常明顯。然而與之形成鮮明對比的卻是：現(xiàn)階段的安全解決方案無一例外的把重點(diǎn)放在網(wǎng)絡(luò)安全層面，致使面臨應(yīng)用層攻擊（如：針對WEB應(yīng)用的SQL注入攻擊、跨站腳本攻擊等）發(fā)生時(shí)，傳統(tǒng)的網(wǎng)絡(luò)防火墻、IDS/IPS等安全產(chǎn)品對網(wǎng)站攻擊幾乎不起作用，許多政府和企業(yè)門戶網(wǎng)站成為黑客組織成批傳播木馬的最有效途徑，也將可能成為下一個(gè)被攻擊者所公開的潛在網(wǎng)站數(shù)據(jù)。據(jù)Gartner權(quán)威統(tǒng)計(jì)，目前75%的黑客攻擊發(fā)生在WEB應(yīng)用層，近期層出不窮的安全事件均源于WEB應(yīng)用層防護(hù)不到位所致，應(yīng)用系統(tǒng)漏洞的根源還是來自程序開發(fā)者對網(wǎng)頁程序編制和檢測。未經(jīng)過安全訓(xùn)練的程序員缺乏相關(guān)的網(wǎng)頁安全知識；應(yīng)用部門缺乏良好的編程規(guī)范和代碼檢測機(jī)制等等。解決此類問題必須在WEB應(yīng)用軟件開發(fā)程序上整治，僅僅靠打補(bǔ)丁和安裝防火墻是遠(yuǎn)遠(yuǎn)不夠的。隨著攻擊向應(yīng)用層發(fā)展，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備不能有效的解決目前的安全威脅，企業(yè)如何有效地防止企業(yè)信息泄密，重點(diǎn)在于如何做好應(yīng)用安全。3.防信息泄密的建設(shè)思路信息安全是一項(xiàng)系統(tǒng)工程，包括物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層以及管理方面的內(nèi)容。信息系統(tǒng)的某一層面安全了不能代表信息系統(tǒng)就安全了，需要各方面嚴(yán)格把控和完善結(jié)合，對于企業(yè)防信息泄密工程來講，目前企業(yè)信息系統(tǒng)的物理層、網(wǎng)絡(luò)層等已經(jīng)具備了一定的安全性，在本方案中重點(diǎn)關(guān)注系統(tǒng)安全、應(yīng)用安全以及安全管理水平等方面的內(nèi)容。3.1.系統(tǒng)安全的重要性企業(yè)的信息系統(tǒng)是多種信息資產(chǎn)的龐大組合，包括防火墻、路由交換設(shè)備、主機(jī)等；其所面臨的威脅也就是對系統(tǒng)能夠造成不利影響的一些潛在的事件或者行為，威脅包括自然的、故意的以及偶然的情況。系統(tǒng)安全重點(diǎn)解決操作系統(tǒng)、數(shù)據(jù)庫和服務(wù)器等系統(tǒng)安全級安全問題，以建立一個(gè)安全的系統(tǒng)運(yùn)行平臺，建立有效的網(wǎng)絡(luò)檢測與監(jiān)控機(jī)制，以保護(hù)主機(jī)資源，防止非法訪問和惡意攻擊，及時(shí)發(fā)現(xiàn)系統(tǒng)和數(shù)據(jù)庫的安全漏洞，有效抵抗黑客利用系統(tǒng)的安全缺陷對系統(tǒng)進(jìn)行攻擊，做到防患于未然。3.2.應(yīng)用安全的必要性只有系統(tǒng)安全的建議得到保障，再建設(shè)應(yīng)用安全才能更加有效地降低信息泄露的風(fēng)險(xiǎn)?；贐/S架構(gòu)對外提供服務(wù)的信息系統(tǒng)面臨較大風(fēng)險(xiǎn)也是的應(yīng)用層的攻擊風(fēng)險(xiǎn)。一方面由于WEB應(yīng)用的開放性，隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來的安全漏洞越來越多，而且這些漏洞均是應(yīng)用層或者說是代理層面的安全問題，通過傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法識別，這也是導(dǎo)致大量網(wǎng)站用戶信息泄露的最主要原因之一。另一方面受利益的驅(qū)使，被用來進(jìn)行攻擊的黑客工具越來越多、黑客活動(dòng)越來越猖獗，而且這種攻擊已經(jīng)由簡單的黑盒掃描滲透轉(zhuǎn)向模塊代碼分析，源代碼白盒分析等層面進(jìn)行挖掘漏洞，若應(yīng)用層面得不到有效的安全控制將導(dǎo)致非常嚴(yán)重的后果。

3.2.1.應(yīng)用安全的范疇以B/S常見的對外提供服務(wù)的網(wǎng)站、論壇、業(yè)務(wù)系統(tǒng)等所涉及到的應(yīng)用安全主要由以下幾個(gè)方面構(gòu)成。一、訪問控制：針對用戶及惡意攻擊者訪問信息時(shí)進(jìn)行有效地控制，對于正常請求允許訪問，對于惡意請求應(yīng)及時(shí)進(jìn)行阻止；二、信息保護(hù)：針對于惡意攻擊者進(jìn)行敏感信息訪問時(shí)應(yīng)及時(shí)保護(hù)；三、安全審計(jì)：對業(yè)務(wù)系統(tǒng)的運(yùn)行應(yīng)具備安全審計(jì)功能；四、數(shù)據(jù)庫應(yīng)用安全：應(yīng)針對數(shù)據(jù)庫系統(tǒng)進(jìn)行安全檢查，對數(shù)據(jù)庫的操作行為應(yīng)進(jìn)行安全監(jiān)控。五、軟件容錯(cuò)：應(yīng)用系統(tǒng)及數(shù)據(jù)庫在上線前后及更新時(shí)應(yīng)做好安全性測試，減少系統(tǒng)存在漏洞的可能性，避免有漏洞的系統(tǒng)對外發(fā)布。以上幾方面的內(nèi)容都應(yīng)具有相應(yīng)的技術(shù)手段和管理制度來實(shí)現(xiàn)信息系統(tǒng)的應(yīng)用安全。3.2.2.應(yīng)用安全的時(shí)效性應(yīng)用安全從整個(gè)信息安全的生命周期中是一個(gè)動(dòng)態(tài)的、長期的過程，是從建設(shè)開始，風(fēng)險(xiǎn)評估、安全加固、安全防護(hù)、安全審計(jì)、再評估、再加固的過程。而從實(shí)際應(yīng)用考慮，應(yīng)用安全至少應(yīng)滿足以下要求：一、事前預(yù)警：通過應(yīng)用系統(tǒng)及數(shù)據(jù)庫的風(fēng)險(xiǎn)評估，發(fā)現(xiàn)可能存在的信息泄密點(diǎn)，并進(jìn)行安全加固隨著應(yīng)用系統(tǒng)及數(shù)據(jù)庫的不斷升級，企業(yè)能夠及時(shí)了解并掌握應(yīng)用系統(tǒng)及數(shù)據(jù)庫自身是否存在著安全隱患，盡可能地避免漏洞對外發(fā)布，降低信息受泄密的危害；二、事中防護(hù)：惡意攻擊者對應(yīng)用系統(tǒng)及數(shù)據(jù)庫進(jìn)行攻擊或惡意操作時(shí)，管理人員及系統(tǒng)能夠具有有效地手段阻止惡意行為的發(fā)生，減少信息泄密的發(fā)生次數(shù)，避免對企業(yè)和信息造成影響；三、事后追溯：對于何人何地何時(shí)訪問企業(yè)信息時(shí)能夠具有追溯手段，對發(fā)生的信息泄密事件提供查詢工具，方便維護(hù)人員及管理員進(jìn)行事件跟蹤和定位，并為事件的還原提供有力依據(jù)。3.2.3.應(yīng)用安全的防護(hù)方法傳統(tǒng)網(wǎng)絡(luò)層安全防護(hù)措施和防御體系在安全管理中相當(dāng)重要，但在面臨數(shù)據(jù)被泄露的安全問題中，應(yīng)用安全的防護(hù)能力更加重要。使用安恒信息技術(shù)所提倡的一種基于風(fēng)險(xiǎn)評估模型及“事前+事中+事后”的安全理念的結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護(hù)措施的新型應(yīng)用安全解決方案，將有效降低應(yīng)用安全風(fēng)險(xiǎn)和出現(xiàn)被泄露信息的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估與加固層面威脅一個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)可能來自不同的層面，從網(wǎng)絡(luò)層、系統(tǒng)層到應(yīng)用層，都有可能形成對信息系統(tǒng)直接或間接的威脅。通過風(fēng)險(xiǎn)評估對整個(gè)信息系統(tǒng)進(jìn)行有效地安全評估，發(fā)現(xiàn)信息系統(tǒng)技術(shù)與管理方面存在的威脅。通過專業(yè)安全團(tuán)隊(duì)的加固，減少或降低威脅對系統(tǒng)造成的影響，避免因存在的威脅造成的信息泄密影響。事前安全防范層面當(dāng)前絕大多數(shù)企業(yè)缺少必備的WEB安全和數(shù)據(jù)庫安全的評估工具，使事前的風(fēng)險(xiǎn)評估難以實(shí)施。專業(yè)的安全產(chǎn)品需要有效的安全策略才能發(fā)揮應(yīng)有的功能，而事前的安全評估則顯得尤為重要。企業(yè)業(yè)務(wù)系統(tǒng)最重要的資產(chǎn)集中在WEB應(yīng)用層和數(shù)據(jù)庫系統(tǒng)，因此長期有效的保障企業(yè)業(yè)務(wù)系統(tǒng)的安全，安全運(yùn)維人員應(yīng)有必備的安全評估工具及技術(shù)實(shí)力。事中安全防護(hù)層面安全的信息系統(tǒng)需要涉及物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層方方面面的安全防御措施。目前絕大多數(shù)的企業(yè)基本上把信息系統(tǒng)的相關(guān)主機(jī)托管至IDC機(jī)房，根據(jù)IDC的不同等級分別具備了物理層安全和網(wǎng)絡(luò)層安全。但企業(yè)尚缺少有力的安全防御措施如專業(yè)的遠(yuǎn)程安全接入主機(jī)的VPN，網(wǎng)絡(luò)防火墻，WEB應(yīng)用防火墻等安全設(shè)施，應(yīng)切實(shí)建設(shè)相應(yīng)的安全防御措施，提高系統(tǒng)的抗風(fēng)險(xiǎn)能力。事后安全審計(jì)層面企業(yè)核心數(shù)據(jù)庫存貯有大量的用戶信息，以及大量的有價(jià)值的其它信息資產(chǎn)。如果處理不當(dāng)敏感的數(shù)據(jù)庫信息被竊取將會(huì)導(dǎo)致極大的信譽(yù)危機(jī)，對企業(yè)造成重大影響。本項(xiàng)目中應(yīng)部署專業(yè)的數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)現(xiàn)對數(shù)據(jù)庫訪問的詳細(xì)記錄、監(jiān)測訪問行為的合規(guī)性，針對違規(guī)操作、異常訪問等及時(shí)發(fā)出告警，同時(shí)可通過與應(yīng)用層關(guān)聯(lián)審計(jì)發(fā)現(xiàn)前端的請求與后端的數(shù)據(jù)庫操作關(guān)聯(lián)性，爭取將安全風(fēng)險(xiǎn)控制在最小的范圍之內(nèi)。

4.構(gòu)建防信息泄露的城墻安全服務(wù)與安全產(chǎn)品是相輔相成的，兩者如磚頭和水泥的關(guān)系，一方面，脫離服務(wù)的安全產(chǎn)品無法發(fā)揮其固有的能力，另一方面，脫離產(chǎn)品的服務(wù)效率低下、成本過高。因此，安恒提出“產(chǎn)品服務(wù)化、服務(wù)產(chǎn)品化”的理念，以優(yōu)秀的產(chǎn)品、滿意的服務(wù)為客戶網(wǎng)絡(luò)安全提供保證。防泄密涉及網(wǎng)絡(luò)安全、主機(jī)安全、運(yùn)維安全等方方面面,建設(shè)應(yīng)用安全體系是解決防泄密問題的核心所在。本方案中通過WEB應(yīng)用層面、數(shù)據(jù)庫層面、運(yùn)維操作層面進(jìn)行技術(shù)防范，降低泄密事件的風(fēng)險(xiǎn)。并針對現(xiàn)有系統(tǒng)提出了“事前+事中+事后”的安全防護(hù)方法。安恒公司依據(jù)多年的應(yīng)用與數(shù)據(jù)庫安全經(jīng)驗(yàn)，擁有自己獨(dú)到的針對信息與網(wǎng)絡(luò)安全和信息與網(wǎng)絡(luò)安全服務(wù)的方法論，來建設(shè)應(yīng)用安全體系：

一、加強(qiáng)系統(tǒng)安全體系建設(shè)，減少從系統(tǒng)層發(fā)生信息泄密的發(fā)生：通過對系統(tǒng)層的安全風(fēng)險(xiǎn)評估，發(fā)現(xiàn)系統(tǒng)安全層面存在的安全隱患及問題，并進(jìn)行安全加固；通過部署相應(yīng)的網(wǎng)絡(luò)防火墻進(jìn)行合理的訪問控制及安全域劃分；建立運(yùn)維審計(jì)系統(tǒng)將遠(yuǎn)程運(yùn)維進(jìn)行安全審計(jì)，通過三個(gè)方面的建設(shè)加強(qiáng)系統(tǒng)安全體系建設(shè)。二、建設(shè)應(yīng)用安全體系，提高應(yīng)用層抗攻擊能力，降低信息泄密造成影響：通過對應(yīng)用層的安全風(fēng)險(xiǎn)評估，發(fā)現(xiàn)應(yīng)用安全層面存在的安全隱患及問題，并進(jìn)行安全加固；建立事前預(yù)警機(jī)制，建設(shè)WEB應(yīng)用安全檢測系統(tǒng)和數(shù)據(jù)庫安全檢測系統(tǒng)，對已有業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫進(jìn)行安全檢查，減少信息泄密的發(fā)生；建立事中防護(hù)體系，建設(shè)WEB應(yīng)用防火墻，提高WEB應(yīng)用系統(tǒng)的抗風(fēng)險(xiǎn)能力；建立事后追溯手段，建設(shè)應(yīng)用與數(shù)據(jù)庫安全審計(jì)系統(tǒng)，提高系統(tǒng)運(yùn)行的透明度，對用戶訪問及數(shù)據(jù)庫操作行為進(jìn)行安全審計(jì)。三、提升信息安全管理水平，加強(qiáng)管理制度建，輔以安全培訓(xùn)及應(yīng)急響應(yīng)：建立應(yīng)急響應(yīng)機(jī)制，通過安恒專業(yè)的安全服務(wù)團(tuán)隊(duì)對發(fā)生的安全事件進(jìn)行專業(yè)分析與服務(wù)，幫助用戶快速地對安全事件進(jìn)行響應(yīng)；建立安全培訓(xùn)體系，通過定期專業(yè)安全培訓(xùn)提升企業(yè)的技術(shù)人員安全管理實(shí)力。通過管理制度建設(shè)，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。4.1.加強(qiáng)系統(tǒng)安全體系上文提到了信息系統(tǒng)系統(tǒng)安全的重要性，據(jù)安恒公司的實(shí)際調(diào)研，大部分的企業(yè)都把業(yè)務(wù)系統(tǒng)及服務(wù)器托管至IDC機(jī)房，應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器在網(wǎng)絡(luò)層面和應(yīng)用層面均沒有采取任何的防護(hù)措施，所有服務(wù)器的安全防護(hù)方面屬于在“裸奔”狀態(tài)下運(yùn)行，應(yīng)通過建立風(fēng)險(xiǎn)評估機(jī)制，充分考慮網(wǎng)絡(luò)訪問控制、安全域劃分及運(yùn)維審計(jì)體系等安全管理措施。針對系統(tǒng)層安全進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評估與安全加固，并結(jié)合已有網(wǎng)絡(luò)訪問控制手段加固訪問控制策略；建立建全網(wǎng)絡(luò)訪問控制機(jī)制及安全域劃分，對托管在IDC機(jī)房的所有設(shè)備進(jìn)行安全域劃分，管理與業(yè)務(wù)分離、應(yīng)用與數(shù)據(jù)分離；運(yùn)維審計(jì)，通過對遠(yuǎn)程運(yùn)維進(jìn)行合理有效地監(jiān)控，提升安全運(yùn)維的透明度，對運(yùn)維的操作進(jìn)行監(jiān)控審計(jì)；當(dāng)前系統(tǒng)層安全管理和網(wǎng)絡(luò)安全技術(shù)已經(jīng)非常成熟并得到廣大安全運(yùn)維人員的高度認(rèn)可，因此本文中不再講述這二個(gè)部份的建設(shè)內(nèi)容。系統(tǒng)安全，特別信息安全泄密事件中，有70％以上來自內(nèi)部，其中包括內(nèi)部人員的越權(quán)訪問、濫用、誤操作等，以及訪問控制不嚴(yán)格、設(shè)備自身日志簡單、日趨復(fù)雜的系統(tǒng)、難以定位實(shí)際責(zé)任人、用戶操作難以審計(jì)等因素都可能造成風(fēng)險(xiǎn)。因此，完善的運(yùn)維審計(jì)系統(tǒng)是整個(gè)安全體系中不可缺少的組成部分，目前大多數(shù)企業(yè)對遠(yuǎn)程操作仍沒有特別有效的審計(jì)手段，通過運(yùn)維審計(jì)能夠有效地監(jiān)控遠(yuǎn)程操作協(xié)議，如RDP、SSH、TELNET、FTP等，以減少因遠(yuǎn)程運(yùn)維而發(fā)生的信息泄密的事件。運(yùn)維審計(jì)是一種符合4A(認(rèn)證Authentication、賬號Account、授權(quán)Authorization、審計(jì)Audit)統(tǒng)一安全管理平臺方案并且被加固的高性能抗網(wǎng)絡(luò)攻擊設(shè)備，具備很強(qiáng)安全防范能力，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，能夠攔截非法訪問和惡意攻擊，對不合法命令進(jìn)行阻斷，過濾掉所有對目標(biāo)設(shè)備的非法訪問行為。運(yùn)維審計(jì)應(yīng)能支持Telnet、SSH、FTP、SFTP、RDP、VNC、X11等協(xié)議，支持單點(diǎn)登錄、統(tǒng)一賬戶管理、自定義策略、日志回放、報(bào)表等功能，保證內(nèi)部用戶的操作和行為可控、可視、可管理、可跟蹤、可審計(jì)。系統(tǒng)具備強(qiáng)大的輸入輸出審計(jì)功能，為企事業(yè)內(nèi)部提供完全的審計(jì)信息，通過賬號管理、身份認(rèn)證、資源授權(quán)、實(shí)時(shí)監(jiān)控、操作還原、自定義策略、日志服務(wù)等操作增強(qiáng)審計(jì)信息的安全性。

4.2建立事前預(yù)警機(jī)制針對現(xiàn)有的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫進(jìn)行風(fēng)險(xiǎn)評估與安全加固，應(yīng)用安全評估主要是通過安全漏洞掃描、人工安全檢查、滲透測試等方式對業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、WEB系統(tǒng)的安全性進(jìn)行評估。隨著企業(yè)應(yīng)用系統(tǒng)及數(shù)據(jù)庫的不斷更新升級，原有漏洞的加固或業(yè)務(wù)系統(tǒng)新功能的增加，或多或少都可能產(chǎn)生新的漏洞，企業(yè)應(yīng)具備有效地檢測預(yù)警手段，能夠及時(shí)了解并掌握應(yīng)用系統(tǒng)及數(shù)據(jù)庫自身是否存在著安全隱患，盡可能地避免漏洞對外發(fā)布。通過建立WEB應(yīng)用安全檢測系統(tǒng)和數(shù)據(jù)庫安全檢測系統(tǒng)，發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫的漏洞情況，并對其進(jìn)行安全加固和升級。4.2.1WEB應(yīng)用系統(tǒng)檢測機(jī)制企業(yè)通過建立WEB應(yīng)用安全檢測系統(tǒng)，對更新升級的業(yè)務(wù)系統(tǒng)進(jìn)行上線前的檢測，及時(shí)發(fā)現(xiàn)WEB應(yīng)用的常見技術(shù)弱點(diǎn)，攔截因業(yè)務(wù)系統(tǒng)的更新將漏洞暴露。檢測系統(tǒng)本質(zhì)是一種模擬常見WEB攻擊的非破壞性的工具，在WEB應(yīng)用的開發(fā)、測試、運(yùn)維階段，經(jīng)常作為一種事前的安全檢查用具，來快速高效地，發(fā)現(xiàn)系統(tǒng)可能存在的弱點(diǎn)，系統(tǒng)支持OWASPTOP10檢測，可以幫助用戶充分了解WEB應(yīng)用存在的安全隱患，建立安全可靠的WEB應(yīng)用服務(wù)，改善并提升應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力（如：注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩沖區(qū)溢出等），協(xié)助用戶滿足等級保護(hù)、PCI、內(nèi)控審計(jì)等規(guī)范要求。功能如下圖所示：

數(shù)據(jù)庫檢測機(jī)制企業(yè)通過建立數(shù)據(jù)庫安全檢測系統(tǒng)，發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)所依靠的核心數(shù)據(jù)庫是否存在安全漏洞，如默認(rèn)密碼、弱口令、不安全的配置等。數(shù)據(jù)庫安全檢測系統(tǒng)是專門針對于數(shù)據(jù)庫管理系統(tǒng)的脆弱性檢測而開發(fā)的一種安全工具，主要包含前端程序和掃描引擎兩部分。引擎的功能是訪問要掃描的數(shù)據(jù)庫，執(zhí)行前端提交的掃描請求，并將掃描結(jié)果返回前端。前端功能是與用戶交互，主要功能模塊包含：項(xiàng)目管理、掃描管理、報(bào)表管理、用戶權(quán)限管理、策略管理、日志管理。引擎和前端程序可以分開運(yùn)行，它們之間一般采用自定義的網(wǎng)絡(luò)協(xié)議通信。功能如下圖所示：

4.3建立事中防護(hù)體系安全的信息系統(tǒng)需要涉及物理層、網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層方方面面的安全防御措施，目前企業(yè)的尚缺少有力的應(yīng)用層安全防御措施，應(yīng)切實(shí)建設(shè)相應(yīng)的安全防御措施，提高系統(tǒng)的抗風(fēng)險(xiǎn)能力。當(dāng)前最為高效的解決方法是在WEB應(yīng)用前端部署WEB應(yīng)用防火墻，實(shí)現(xiàn)對WEB應(yīng)用安全防御。本項(xiàng)目中主要的應(yīng)用系統(tǒng)為WEB應(yīng)用尚未部署WEB應(yīng)用防火墻。Web應(yīng)用防火墻（WebApplicationFirewall，簡稱：WAF）是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。主要功能是：檢測、防御并記錄的WEB攻擊、應(yīng)用加速、抗應(yīng)用層DDOS、防篡改等。它是攻擊發(fā)生時(shí)，提升系統(tǒng)防御能力的主要手段，能夠阻擋攻擊者對WEB應(yīng)用程序漏洞的利用，為修復(fù)程序漏洞爭取時(shí)間。在WAF的保護(hù)下，也能夠提升新業(yè)務(wù)系統(tǒng)上線的速度。甚至于，保護(hù)哪些歷史上遺留下來，已經(jīng)找不到開發(fā)者修復(fù)漏洞的歷史遺留WEB應(yīng)用系統(tǒng)。它的一個(gè)常見部署方式如下：透明直連模式不需要給WAF配置IP地址，只要將WAF接入業(yè)務(wù)鏈路，配置好保護(hù)的WEB應(yīng)用服務(wù)器的IP地址及端口，就可以實(shí)現(xiàn)對WEB應(yīng)用業(yè)務(wù)的安全檢測。而部署WAF，不但不會(huì)影響業(yè)務(wù)系統(tǒng)的性能，同時(shí)還能夠提升應(yīng)用交付。4.4建立事后追溯手段企業(yè)核心數(shù)據(jù)庫存貯有大量的用戶信息，以及大量的有價(jià)值的其它信息資產(chǎn)。如果處理不當(dāng)敏感的數(shù)據(jù)庫信息被竊取將會(huì)導(dǎo)致極大的信譽(yù)危機(jī)，對企業(yè)造成重大影響。本項(xiàng)目中應(yīng)部署專業(yè)的數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)現(xiàn)對數(shù)據(jù)庫訪問的詳細(xì)記錄、監(jiān)測訪問行為的合規(guī)性，針對違規(guī)操作、異常訪問等及時(shí)發(fā)出告警，同時(shí)可通過與應(yīng)用層關(guān)聯(lián)審計(jì)發(fā)現(xiàn)前端的請求與后端的數(shù)據(jù)庫操作關(guān)聯(lián)性，爭取將安全風(fēng)險(xiǎn)控制在最小的范圍之內(nèi)。數(shù)據(jù)庫審計(jì)系統(tǒng)是一種檢測、響應(yīng)、記錄并分析對數(shù)據(jù)庫操作的安全管理設(shè)備。通過部署數(shù)據(jù)庫審計(jì)能夠?qū)崿F(xiàn)：對數(shù)據(jù)庫的對象（包括用戶（數(shù)據(jù)庫）、表、字段、視圖、索引、存儲(chǔ)過程、包等）進(jìn)行審計(jì)規(guī)則定制，制定細(xì)粒度的審計(jì)規(guī)則，如精細(xì)到表、字段、具體報(bào)文內(nèi)容的細(xì)粒度審計(jì)規(guī)則，實(shí)現(xiàn)對敏感信息的精細(xì)監(jiān)控；基于IP地址、MAC地址和端口號審計(jì)；根據(jù)SQL執(zhí)行時(shí)間長短、根據(jù)SQL執(zhí)行回應(yīng)以及具體報(bào)文內(nèi)容等設(shè)定規(guī)則等。數(shù)據(jù)庫審計(jì)系統(tǒng)不僅能夠檢測、記錄與回放攻擊者的在任何時(shí)間的操作行為，也應(yīng)當(dāng)能夠展現(xiàn)其已經(jīng)獲取到的信息，讓運(yùn)維和安全人員了解到當(dāng)前造成的損失。如圖所示：對于B/S架構(gòu)的應(yīng)用系統(tǒng)而言，用戶通過WEB應(yīng)用服務(wù)器實(shí)現(xiàn)對數(shù)據(jù)庫的訪問，傳統(tǒng)的數(shù)據(jù)庫審計(jì)系統(tǒng)只能審計(jì)到WEB應(yīng)用服務(wù)器的相關(guān)信息，無法識別是哪個(gè)原始訪問者發(fā)出的請求。而通過關(guān)聯(lián)應(yīng)用層的訪問和數(shù)據(jù)庫層的訪問操作請求，可以追溯到應(yīng)用層的原始訪問者及請求信息（如：操作發(fā)生的URL、客戶端的IP等信息），產(chǎn)品主要根據(jù)時(shí)間片、關(guān)鍵字等要素進(jìn)行信息篩選，以確定符合數(shù)據(jù)庫操作請求的WEB訪問，通過三層審計(jì)更精確地定位事件發(fā)生前后所有層面的訪問及操作請求。如圖所示：4.5提升信息安全管理水平企業(yè)的信息安全管理體系不僅僅做了風(fēng)險(xiǎn)評估、部署了安全產(chǎn)品，就認(rèn)為信息系統(tǒng)安全了，管理與技術(shù)任何一方面存在隱患或漏洞，都可能對企業(yè)的業(yè)務(wù)系統(tǒng)及信息數(shù)據(jù)造成影響，甚至破壞。我們在防信息泄密的過程中不僅需要加強(qiáng)企業(yè)的信息系統(tǒng)安全技術(shù)水平，還應(yīng)在信息安全管理上面進(jìn)行提升。我們輔以應(yīng)急響應(yīng)機(jī)制、安全培訓(xùn)體系以及管理制度的建設(shè)，以幫助企業(yè)在信息系統(tǒng)安全管理方面達(dá)到一定的高度，盡可能地避免安全事件的發(fā)生，減少對企業(yè)形象的影響。附錄：安恒信息簡介杭州安恒信息技術(shù)(DBAPPSecurity)，簡稱“安恒信息”，是業(yè)界領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫安全整體解決方案提供商，專注于應(yīng)用安全前沿趨勢的研究和分析，核心團(tuán)隊(duì)擁有多年應(yīng)用安全和數(shù)據(jù)庫安全的深厚技術(shù)背景以及最佳安全攻防實(shí)踐經(jīng)驗(yàn)，以全球領(lǐng)先具有完全自主知識產(chǎn)權(quán)的專利技術(shù)，致力于為客戶提供應(yīng)用安全、數(shù)據(jù)庫安全、不良網(wǎng)站監(jiān)測、安全管理平臺等整體解決方案。“安恒信息“公司總部位于杭州高新區(qū)，在北京、上海、廣州、深圳、成都、重慶、西安、濟(jì)南、南京、美國硅谷等地都設(shè)有分支機(jī)構(gòu)、遍布全國的代理商體系以及銷售與服務(wù)網(wǎng)絡(luò)能夠?yàn)橛脩籼峁┚珳?zhǔn)、專業(yè)的服務(wù)。公司成立以來安恒人始終以建立民族自主品牌為己任，秉承“精品創(chuàng)新，恒久品質(zhì)”的理念，力爭打造中國信息安全產(chǎn)業(yè)應(yīng)用安全與數(shù)據(jù)庫安全第一品牌。多年來，“安恒信息”以其精湛的技術(shù)，專業(yè)的服務(wù)得到了廣大客戶的青睞，同時(shí)贏得了高度的商業(yè)信譽(yù)。其客戶遍布全國，涉及金融、運(yùn)營商、政府、公安、電力能源、教育、醫(yī)療、稅務(wù)/工商、社保、等保評估/安全服務(wù)機(jī)構(gòu)、電子商務(wù)企業(yè)等眾多行業(yè)。“安恒信息“目前擁有明鑒、明御兩大系列自主研發(fā)產(chǎn)品，是應(yīng)用安全、數(shù)據(jù)庫審計(jì)、不良網(wǎng)站監(jiān)測等領(lǐng)域的市場絕對領(lǐng)導(dǎo)者。其中明鑒?系列應(yīng)用掃描器被公安部三所測評中心等國內(nèi)權(quán)威等級保護(hù)測評機(jī)構(gòu)廣泛使用。未來，“安恒信息“將繼續(xù)秉承誠信和創(chuàng)新精神，繼續(xù)致力于提供具有國際競爭力的自主創(chuàng)新產(chǎn)品和服務(wù)，全面保障客戶應(yīng)用與數(shù)據(jù)庫的安全，為打造世界頂級的產(chǎn)品而不懈努力。作為2021北京奧組委安全產(chǎn)品和服務(wù)提供商，“安恒信息”被奧組委授予“奧運(yùn)信息安全保障杰出貢獻(xiàn)獎(jiǎng)”。在2021年建國60周年全國網(wǎng)站安全大檢查中，公安部和工信部安全中心均選用安恒信息明鑒應(yīng)用弱點(diǎn)掃描作為安全檢查工具并發(fā)揮了重大作用。2021年，“安恒信息”作為上海世博會(huì)安全產(chǎn)品和服務(wù)的提供商，為上海世博會(huì)信息安全保駕護(hù)航。2021年，“安恒信息”作為廣州亞運(yùn)會(huì)安全產(chǎn)品和服務(wù)的提供商，為廣州亞運(yùn)會(huì)信息安全保駕護(hù)航。2021年，“安恒信息”作為深圳大運(yùn)會(huì)安全產(chǎn)品和服務(wù)的提供商，為深圳大運(yùn)會(huì)信息安全保駕護(hù)航。XXXX信息系統(tǒng)安全建設(shè)方案目錄TOC\o”1-4”\h\z\uHYPERLINK\l”_Toc193010454”第1章項(xiàng)目概述5HYPERLINK\l”_Toc193010455”1.1項(xiàng)目背景5第2章信息系統(tǒng)現(xiàn)狀及需求分析7_Toc193010459"網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀7HYPERLINK\l”_Toc193010460"2.1。2信息系統(tǒng)現(xiàn)狀7HYPERLINK\l”_Toc193010461”2。2信息系統(tǒng)安全現(xiàn)狀分析8第3章總體安全目標(biāo)11HYPERLINK\l”_Toc193010463"第4章安全解決方案總體框架124。1網(wǎng)絡(luò)安全12HYPERLINK\l”_Toc193010465”4.2系統(tǒng)安全13_Toc193010467”4.4數(shù)據(jù)安全14第5章安全解決方案詳細(xì)設(shè)計(jì)15HYPERLINK\l”_Toc193010469"5。1網(wǎng)絡(luò)安全建設(shè)16HYPERLINK\l”_Toc193010470"5。1.1防火墻系統(tǒng)設(shè)計(jì)16_Toc193010472”防火墻系統(tǒng)部署方式17防火墻系統(tǒng)部署后達(dá)到的效果19網(wǎng)絡(luò)入侵防御系統(tǒng)部署意義21網(wǎng)絡(luò)入侵防御系統(tǒng)部署方式22網(wǎng)絡(luò)入侵防御系統(tǒng)部署后所達(dá)到的效果23_Toc193010479"病毒過濾網(wǎng)關(guān)系統(tǒng)部署意義25病毒過濾網(wǎng)關(guān)系統(tǒng)部署方式27HYPERLINK\l”_Toc193010481"病毒過濾網(wǎng)關(guān)系統(tǒng)部署后達(dá)到的效果28HYPERLINK\l”_Toc193010482”5。1。4網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)30HYPERLINK\l”_Toc193010483”入侵檢測系統(tǒng)部署意義30HYPERLINK\l”_Toc193010484”入侵檢測系統(tǒng)部署方式31_Toc193010486”VPN系統(tǒng)部署意義335。2系統(tǒng)安全建設(shè)37集中安全審計(jì)系統(tǒng)設(shè)計(jì)37集中安全審計(jì)系統(tǒng)部署意義37集中安全審計(jì)系統(tǒng)部署后達(dá)到的效果39_Toc193010495”終端安全管理系統(tǒng)部署42終端管理系統(tǒng)部署后達(dá)到的效果44HYPERLINK\l”_Toc193010497"5.2。4信息安全管理平臺設(shè)計(jì)47HYPERLINK\l”_Toc193010498”信息安全管理平臺部署意義47_Toc193010500"信息安全管理平臺部署后的效果485。2.5ERP系統(tǒng)服務(wù)器冗余備份機(jī)制設(shè)計(jì)50HYPERLINK\l”_Toc193010502”5.3應(yīng)用安全建設(shè)52_Toc193010504”第6章XXXX信息系統(tǒng)安全建設(shè)管理制度建議55_Toc193010506"6.2策略系列文檔清單57HYPERLINK\l”_Toc193010507”第7章搬遷后網(wǎng)絡(luò)拓?fù)湟?guī)劃61HYPERLINK\l”_Toc193010508”第8章安全解決方案整體實(shí)施效果63，實(shí)現(xiàn)跨越式發(fā)展和可持續(xù)發(fā)展。二、信息化是化工工業(yè)合理利用資源，實(shí)現(xiàn)可持續(xù)發(fā)展的重要途徑中國化工工業(yè)為了提高產(chǎn)品質(zhì)量、減少廢次品、降低成本、合理組織生產(chǎn)、能源綜合利用、清潔化生產(chǎn)、管理流程優(yōu)化、最大限度地滿足客戶個(gè)性化的需求,需要以信息技術(shù)為手段、以管理創(chuàng)新、技術(shù)創(chuàng)新、制度創(chuàng)新為動(dòng)力，改造落后裝備，實(shí)現(xiàn)生產(chǎn)過程自動(dòng)化、管理信息化。信息化為中國化工工業(yè)走新型工業(yè)化道路提供了重要機(jī)遇。特別是在資源開發(fā)和利用中，使用先進(jìn)的信息技術(shù)能夠?qū)崿F(xiàn)優(yōu)化設(shè)計(jì)、制造和管理,通過對各種生產(chǎn)和消費(fèi)過程進(jìn)行數(shù)字化、智能化的實(shí)時(shí)監(jiān)控,大大降低各種資源的消耗。對于中國化工企業(yè)來說，信息化是企業(yè)合理利用資源、降低資源消耗的重要途徑。應(yīng)用信息技術(shù)還可以在化工企業(yè)生產(chǎn)管理諸多方面發(fā)揮促進(jìn)作用。例如：信息化能夠?yàn)槠髽I(yè)實(shí)現(xiàn)全面的、實(shí)時(shí)的、動(dòng)態(tài)的監(jiān)測和管理各種資源提供現(xiàn)代化手段，這些資源包括保證企業(yè)生產(chǎn)安全運(yùn)營的水、電、煤、氣、油以及原材料，能源信息管理系統(tǒng)、環(huán)保污染監(jiān)控系統(tǒng)已經(jīng)在化工企業(yè)得到應(yīng)用；數(shù)據(jù)庫技術(shù)可以對這些資源消耗量進(jìn)行分析預(yù)測并作出預(yù)報(bào)預(yù)警，網(wǎng)絡(luò)和通信技術(shù)可以將位于遠(yuǎn)程數(shù)據(jù)采集點(diǎn)的資源消耗的數(shù)據(jù)實(shí)時(shí)采集到信息系統(tǒng)中，進(jìn)行統(tǒng)計(jì)分析；通過產(chǎn)銷系統(tǒng)和制造執(zhí)行系統(tǒng)的運(yùn)行,保證產(chǎn)品質(zhì)量，減少廢次品,以銷定產(chǎn),以產(chǎn)定料，壓縮庫存，合理資源調(diào)配，避免能源和資源的浪費(fèi)，提高資源／能源的綜合利用率；設(shè)備管理系統(tǒng)能夠?qū)υO(shè)備的檢點(diǎn)維修狀況進(jìn)行動(dòng)態(tài)管理，防止設(shè)備未及時(shí)檢修造成資源的跑冒滴漏現(xiàn)象發(fā)生；智能化儀表將各種資源使用情況準(zhǔn)確記錄下來等等，信息技術(shù)已經(jīng)被廣泛地應(yīng)用于化工企業(yè)的各個(gè)環(huán)節(jié)并將發(fā)揮更大的作用?；て髽I(yè)要積極利用信息技術(shù)在資源、環(huán)境領(lǐng)域的應(yīng)用,推進(jìn)綠色制造和清潔生產(chǎn),合理利用資源，保護(hù)生態(tài)環(huán)境.這是我們在資源、能源缺乏的情況下推動(dòng)化工工業(yè)化進(jìn)程的良好途徑.項(xiàng)目目的本方案依據(jù)與XXXX工程師的交流溝通，將對XXXX網(wǎng)絡(luò)做出系統(tǒng)的全面優(yōu)化設(shè)計(jì).其目的在于構(gòu)建XXXX整體網(wǎng)絡(luò)安全體系架構(gòu)，部署網(wǎng)絡(luò)安全策略,保證XXXX的網(wǎng)絡(luò)安全、系統(tǒng)管理都能有機(jī)整合。信息系統(tǒng)現(xiàn)狀及需求分析信息系統(tǒng)現(xiàn)狀網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀XXXX信息系統(tǒng)現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D如圖1。1所示：圖1.1XXXX信息現(xiàn)有系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D信息系統(tǒng)現(xiàn)狀XXXX網(wǎng)絡(luò)系統(tǒng)目前市區(qū)廠區(qū)網(wǎng)絡(luò)和開發(fā)區(qū)廠區(qū)網(wǎng)絡(luò)組成，兩個(gè)廠區(qū)使用2M專線進(jìn)行互聯(lián)。在開發(fā)區(qū)廠區(qū)網(wǎng)絡(luò)中，接入一條10M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust80防火墻，局域網(wǎng)網(wǎng)絡(luò)使用星形接入方式，使用HP5308XL交換機(jī)作為核心交換節(jié)點(diǎn)，根據(jù)辦公樓、綜合樓、中控樓等在核心交換機(jī)上劃分不同VLAN，還有一臺一卡通服務(wù)器直接接入核心交換機(jī)。在市區(qū)廠區(qū)網(wǎng)絡(luò)中，接入一條100M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust100防火墻,局域網(wǎng)網(wǎng)絡(luò)使用星形接入方式，使用華為6503交換機(jī)作為核心交換節(jié)點(diǎn)，目前網(wǎng)絡(luò)中有財(cái)務(wù)系統(tǒng)服務(wù)器、ERP系統(tǒng)(負(fù)責(zé)單位進(jìn)銷存）服務(wù)器、ERP系統(tǒng)數(shù)據(jù)備份服務(wù)器、文件服務(wù)器（采用共享方式）以及作為對外發(fā)布的FTP服務(wù)器.XXXX共有三百多臺電腦，兩個(gè)廠區(qū)分別采用星形組網(wǎng)方式，使用Vlan來防范網(wǎng)絡(luò)間惡意攻擊與破壞。通過劃分VLAN子網(wǎng)，縮小了廣播域，通過交換機(jī)把關(guān)鍵部門和其他部門或者把所有的部門劃分到不同的VLAN內(nèi)，實(shí)現(xiàn)部門間的邏輯隔離，避免了避免了廣播風(fēng)暴的產(chǎn)生，也可以防范網(wǎng)絡(luò)間惡意攻擊與破壞。提高交換網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定，提高網(wǎng)絡(luò)安全性。信息系統(tǒng)安全現(xiàn)狀分析XXXX信息化建設(shè)從無到有，經(jīng)歷了迅速建立與逐步改善的過程，在隊(duì)伍建設(shè)、信息技術(shù)基礎(chǔ)設(shè)施建設(shè)、應(yīng)用系統(tǒng)的開發(fā)完善等方面取得了顯著成績，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,信息量的增加，網(wǎng)絡(luò)規(guī)模的擴(kuò)大，數(shù)據(jù)量，業(yè)務(wù)量的增加，網(wǎng)絡(luò)安全方面的建設(shè)卻顯得滯后了。并且隨著業(yè)務(wù)的不斷增長和網(wǎng)絡(luò)威脅的不斷增多，XXXX的網(wǎng)絡(luò)已經(jīng)不能滿足在現(xiàn)代高威脅網(wǎng)絡(luò)環(huán)境下的安全需求。現(xiàn)有的系統(tǒng)網(wǎng)絡(luò)缺乏完整的安全防護(hù)體系.目前的設(shè)備很難對用戶的互聯(lián)網(wǎng)訪問進(jìn)行有效的控制，導(dǎo)致網(wǎng)絡(luò)極易感染病毒，網(wǎng)絡(luò)大部分帶寬被與工作無關(guān)的應(yīng)用長期占用，嚴(yán)重影響單位的正常業(yè)務(wù)的運(yùn)行。對互聯(lián)網(wǎng)訪問的內(nèi)容無法實(shí)現(xiàn)有效的控制及審計(jì)。網(wǎng)絡(luò)安全產(chǎn)品如防火墻、入侵檢測、防病毒系統(tǒng)、終端管理、VPN系統(tǒng)等系統(tǒng)應(yīng)用得還比較少，網(wǎng)絡(luò)安全管理體系還未形成。另外針對已經(jīng)部署的產(chǎn)品和系統(tǒng)合理有效的配置使用,使其充分發(fā)揮其安全防護(hù)作用方面，以及在對于突發(fā)性內(nèi)外部惡意攻擊等非常規(guī)的安全事件的快速有效響應(yīng)所需的技術(shù)和管理措施方面，都還需要做進(jìn)一步的工作。根據(jù)充分的調(diào)查研究，XXXX的信息系統(tǒng)安全建設(shè)的需求有以下四個(gè)方面：1、網(wǎng)絡(luò)安全<1〉市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)分別使用各自的互聯(lián)網(wǎng)鏈路，每條互聯(lián)網(wǎng)邊界均部署了一臺防火墻系統(tǒng)。這兩臺防火墻作分別提供XXXX兩個(gè)廠區(qū)的用戶上網(wǎng)和對外發(fā)布應(yīng)用服務(wù)，隨著上網(wǎng)用戶和發(fā)布應(yīng)用服務(wù)的增多，防火墻的負(fù)載將越來越來大，現(xiàn)有防火墻可能成為網(wǎng)絡(luò)瓶頸。<2〉開發(fā)區(qū)廠區(qū)的一卡通服務(wù)器和客戶機(jī)間沒有安全防護(hù)措施,客戶機(jī)對服務(wù)器可以進(jìn)行任何操作。因?yàn)楹芏嗫蛻魴C(jī)可以上網(wǎng)，極易感染木馬、病毒，客戶機(jī)也可能會(huì)感染或攻擊服務(wù)器，影響服務(wù)器應(yīng)用的正常使用，造成難以估計(jì)的損失.因此需要加強(qiáng)用戶對服務(wù)器的訪問控制。同時(shí)市區(qū)廠區(qū)的財(cái)務(wù)系統(tǒng)服務(wù)器、ERP系統(tǒng)服務(wù)器、文件服務(wù)器等應(yīng)用和客戶機(jī)之間也缺乏安全防護(hù)措施.對外發(fā)布供外網(wǎng)用戶使用的FTP服務(wù)器等應(yīng)用也缺乏必要的安全保護(hù)措施。<3〉缺乏異常流量、惡意流量監(jiān)控、審計(jì)和防御機(jī)制,現(xiàn)如今網(wǎng)絡(luò)上存在著大量的不法黑客以及許多異常流量，對異常流量監(jiān)測可以了解當(dāng)前有哪些人通過非法的手段或途徑訪問了我們的系統(tǒng)或網(wǎng)絡(luò),及時(shí)了解網(wǎng)絡(luò)的健康狀態(tài)，通過這些信息可以采取一些相應(yīng)的手段去解決問題，我們在采取法律手段時(shí)也無法提供了依據(jù)和證據(jù)?！?>XXXX駐外辦事處、出差等移動(dòng)用戶需要和總部實(shí)現(xiàn)數(shù)據(jù)共享,目前只能通過設(shè)置地址映射訪問公網(wǎng)IP地址,由于駐外辦事處和移動(dòng)用戶與服務(wù)器之間的數(shù)據(jù)通訊都是通過公網(wǎng)進(jìn)行的,數(shù)據(jù)傳輸時(shí)無法做到數(shù)據(jù)的加密,無法保證通過公網(wǎng)進(jìn)行傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)和敏感信息不被非法竊取、篡改，無法確保通信雙方身份的真實(shí)性無法保證數(shù)據(jù)的傳輸安全。2、系統(tǒng)安全〈1>隨著XXXX網(wǎng)絡(luò)系統(tǒng)規(guī)模的迅速擴(kuò)張，對終端管理系統(tǒng)的需求也隨之增加.一方面，個(gè)人電腦、服務(wù)器和移動(dòng)設(shè)備的數(shù)量正在隨著XXXX網(wǎng)絡(luò)應(yīng)用規(guī)模的不斷擴(kuò)大而快速增加;另一方面，各種應(yīng)用軟件和補(bǔ)丁更新?lián)Q代速度加快，來自企業(yè)內(nèi)、外部的網(wǎng)絡(luò)攻擊也日益猖獗;終端用戶擅裝非法軟件、擅自更改IP地址、擅自變更硬件配置、非法訪問互聯(lián)網(wǎng)、非法內(nèi)聯(lián)等問題的存在，卻沒有一套有效的輔助性管理工具，依然沿用傳統(tǒng)的手工作業(yè)模式,缺乏采用統(tǒng)一策略下發(fā)并強(qiáng)制策略執(zhí)行的機(jī)制，進(jìn)行桌面安全監(jiān)管、行為監(jiān)管、系統(tǒng)監(jiān)管和安全狀態(tài)檢測,實(shí)現(xiàn)對局域網(wǎng)內(nèi)部桌面系統(tǒng)的管理和維護(hù)，能有效保護(hù)用戶系統(tǒng)安全和機(jī)密數(shù)據(jù)安全。〈2〉XXXX網(wǎng)絡(luò)系統(tǒng)中部署眾多的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng),這些系統(tǒng)在工作過程中將有針對性地記錄各種網(wǎng)絡(luò)運(yùn)行日志，這些日志對于監(jiān)控用戶的網(wǎng)絡(luò)安全狀態(tài)，分析安全發(fā)展趨勢，有著重要的意義，是用戶網(wǎng)絡(luò)安全管理的重要依據(jù)。但是，由于各網(wǎng)絡(luò)安全產(chǎn)品一般獨(dú)立工作、各自為戰(zhàn)，產(chǎn)生的安全事件信息也是格式不一,內(nèi)容不同，且數(shù)量巨大，導(dǎo)致安全管理員難于對這些信息進(jìn)行綜合分析，對網(wǎng)絡(luò)中各種安全事件也就無法準(zhǔn)確識別、及時(shí)響應(yīng)，以致直接影響整個(gè)安全防御體系效能的有效發(fā)揮?！?>ERP系統(tǒng)作為XXXX進(jìn)銷存應(yīng)用系統(tǒng)，其數(shù)據(jù)關(guān)系到整個(gè)XXXX業(yè)務(wù)的運(yùn)行，為最大化保證業(yè)務(wù)的連續(xù)性,ERP系統(tǒng)服務(wù)器主機(jī)應(yīng)采取可靠的冗余備份機(jī)制，確保在線業(yè)務(wù)處理和數(shù)據(jù)訪問過程不會(huì)因?yàn)榉?wù)器系統(tǒng)故障而中斷。〈4>在內(nèi)網(wǎng)系統(tǒng)中，還沒有配置一套整體的防病毒體系,對于現(xiàn)的網(wǎng)絡(luò)環(huán)境來說無疑是給病毒的入侵埋下了極大的隱患.〈5〉缺乏信息安全管理平臺，通過信息安全平臺集中同時(shí)實(shí)時(shí)的了解設(shè)備，服務(wù)器的運(yùn)行狀態(tài)和系統(tǒng)資源使用情況，大大提高了運(yùn)維的效率，防止由于管理人員的遺漏造成問題解決的不及時(shí)。網(wǎng)絡(luò)中的各產(chǎn)品之間沒有聯(lián)系，給管理工作帶來了一定的難度,難以發(fā)揮應(yīng)有的整體效果。另外利用目前的管理手段在網(wǎng)絡(luò)審計(jì)、入侵檢測和病毒監(jiān)測等網(wǎng)絡(luò)管理工具的使用過程中，對發(fā)現(xiàn)的違規(guī)操作或感染病毒的計(jì)算機(jī)，不能快速、準(zhǔn)確定位,不能及時(shí)阻斷有害侵襲并快速查出侵襲的設(shè)備和人員。3、應(yīng)用安全<1>目前XXXX文件服務(wù)器采用網(wǎng)上鄰居共享訪問的方式，文件服務(wù)器共享的資源可以被公司所有用戶進(jìn)行查看、下載、編輯、刪除等動(dòng)作,文件服務(wù)器缺乏用戶認(rèn)證機(jī)制,文件服務(wù)器數(shù)據(jù)缺乏安全性、私密性。另外使用網(wǎng)上鄰居共享方式常會(huì)出現(xiàn)客戶系統(tǒng)無法訪問文件服務(wù)器的問題，通過網(wǎng)上鄰居傳輸文件時(shí)使用netbios協(xié)議，然而現(xiàn)在有很多蠕蟲病毒利用netbios協(xié)議的端口掃描網(wǎng)絡(luò)主機(jī)漏洞、傳輸病毒文件，使病毒擴(kuò)散到整個(gè)網(wǎng)絡(luò)，最終導(dǎo)致系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓，業(yè)務(wù)無法正常開展。4、數(shù)據(jù)安全〈1>ERP系統(tǒng)作為XXXX進(jìn)銷存應(yīng)用系統(tǒng)，其數(shù)據(jù)關(guān)系到整個(gè)XXXX業(yè)務(wù)的運(yùn)行，其重要性不言而喻，目前ERP系統(tǒng)數(shù)據(jù)通過網(wǎng)絡(luò)備份到另一臺服務(wù)器上,使用硬盤作為數(shù)據(jù)備份存儲(chǔ)介質(zhì)故障率很高，存在很大的數(shù)據(jù)安全風(fēng)險(xiǎn)。另外財(cái)務(wù)系統(tǒng)也存在數(shù)據(jù)備份的問題?？傮w安全目標(biāo)為了防止互聯(lián)網(wǎng)上的非法訪問、惡意攻擊和病毒傳播等各種安全威脅對XXXX信息系統(tǒng)造成影響，我們將采用一系列安全措施來對XXXX信息系統(tǒng)提供必要的安全保護(hù)，使包含網(wǎng)絡(luò)通訊、操作系統(tǒng)、應(yīng)用平臺和信息數(shù)據(jù)等各個(gè)層面在內(nèi)的整體網(wǎng)絡(luò)信息系統(tǒng)具有抵御各種安全威脅的能力.根據(jù)業(yè)務(wù)系統(tǒng)的特點(diǎn)和需要,我們制訂了如下的總體安全目標(biāo)：1、完整性目標(biāo)防止存放在服務(wù)器和遠(yuǎn)程業(yè)務(wù)終端系統(tǒng)中的信息數(shù)據(jù)被非授權(quán)篡改,保證在遠(yuǎn)程通信過程中信息數(shù)據(jù)從真實(shí)的信源無失真地到達(dá)真實(shí)的信宿。2、可用性目標(biāo)確保網(wǎng)絡(luò)和信息系統(tǒng)連續(xù)有效地運(yùn)轉(zhuǎn),保證合法用戶對系統(tǒng)資源和信息數(shù)據(jù)的使用不會(huì)被不正當(dāng)?shù)鼐芙^。3、保密性目標(biāo)確保在公網(wǎng)上傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)和敏感信息不會(huì)泄漏給任何未經(jīng)授權(quán)的人和實(shí)體，或供其使用。4、真實(shí)性目標(biāo)應(yīng)能對通信中的對等實(shí)體所宣稱的身份的真實(shí)性進(jìn)行鑒別.5、可控性目標(biāo)保證系統(tǒng)資源不被非法訪問及非授權(quán)訪問，并能夠控制信息系統(tǒng)用戶對系統(tǒng)資源的使用方式.6、可審查性目標(biāo)能記錄系統(tǒng)中發(fā)生的全部訪問行為，為出現(xiàn)的安全問題進(jìn)行及時(shí)的告警響應(yīng)并為調(diào)查取證提供依據(jù)和手段。安全解決方案總體框架隨著信息安全研究的深入發(fā)展，各種新的威脅層出不窮,要解決這些新的安全威脅，就需要更完善的安全技術(shù)。技術(shù)保障體系注重信息系統(tǒng)執(zhí)行的安全控制。技術(shù)控制針對未授權(quán)的訪問或誤用提供自動(dòng)保護(hù),發(fā)現(xiàn)違背安全策略的行為，并滿足應(yīng)用程序和數(shù)據(jù)的安全需求.對于XXXX信息系統(tǒng)，主要的安全威脅來自互聯(lián)網(wǎng),包括非法訪問、黑客攻擊、網(wǎng)絡(luò)竊聽和病毒入侵等，根據(jù)信息系統(tǒng)的總體安全目標(biāo)，我們將有針對性地采用適當(dāng)?shù)陌踩Ｕ蠙C(jī)制來確保信息資產(chǎn)的價(jià)值不受侵犯,保證信息資產(chǎn)擁有者面臨最小的安全風(fēng)險(xiǎn)和獲取最大的安全利益,提高整體網(wǎng)絡(luò)信息系統(tǒng)抵御各種安全威脅的能力.整體安全解決方案包括以下幾個(gè)方面的內(nèi)容：網(wǎng)絡(luò)安全邊界隔離和訪問控制在互聯(lián)網(wǎng)邊界采取有效的安全隔離和訪問控制手段，確保進(jìn)出的信息和數(shù)據(jù)都能得到嚴(yán)格的控制和檢測,既要阻止來自公網(wǎng)上外部非法用戶的訪問，也要防止合法用戶的越權(quán)訪問。網(wǎng)絡(luò)邊界入侵防御針對來自公網(wǎng)上的各種復(fù)雜的安全威脅，如非法入侵、DoS/DDoS攻擊、蠕蟲、惡意代碼等,我們將采用專門的安全機(jī)制來對其進(jìn)行有效的檢測和防御，避免服務(wù)器因遭受外界網(wǎng)絡(luò)的惡意攻擊而導(dǎo)致正常的網(wǎng)絡(luò)通訊和業(yè)務(wù)服務(wù)中斷、計(jì)算機(jī)系統(tǒng)崩潰、數(shù)據(jù)泄密或丟失等等，影響業(yè)務(wù)服務(wù)和信息交互的正常進(jìn)行。網(wǎng)絡(luò)邊界病毒防護(hù)為了保護(hù)信息系統(tǒng)免受來自公網(wǎng)上的病毒、蠕蟲、木馬及其他惡意代碼的侵害，我們在互聯(lián)網(wǎng)出口邊界位置不屬實(shí)時(shí)在線的病毒檢測和過濾機(jī)制，對進(jìn)出的各種可能攜帶病毒和惡意代碼的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢測,確保只有干凈的數(shù)據(jù)才能進(jìn)入,同時(shí)也防止互聯(lián)網(wǎng)病毒向各遠(yuǎn)程業(yè)務(wù)終端系統(tǒng)的傳播擴(kuò)散。網(wǎng)絡(luò)通信流量監(jiān)控和異常流量檢測網(wǎng)絡(luò)資源濫用、拒絕服務(wù)攻擊、病毒和蠕蟲的爆發(fā)等,都會(huì)造成網(wǎng)絡(luò)通信流量的異常，因此我們將在互聯(lián)網(wǎng)邊界采用有效的通信流量檢測機(jī)制,以便能夠預(yù)先發(fā)現(xiàn)進(jìn)出的流量異常情況并進(jìn)行分析,及時(shí)制止安全事故的發(fā)生，或在局部安全事故發(fā)生后防止其進(jìn)一步的擴(kuò)散.數(shù)據(jù)通訊過程中的對等實(shí)體認(rèn)證、數(shù)據(jù)傳輸加密和完整性保護(hù)由于移動(dòng)用戶和駐外辦事處與服務(wù)器之間的數(shù)據(jù)通訊都是通過公網(wǎng)進(jìn)行的，因此數(shù)據(jù)通訊安全需求尤為重要.我們將采用適當(dāng)?shù)募用芗夹g(shù)對數(shù)據(jù)進(jìn)行加密傳輸,保證通過公網(wǎng)進(jìn)行傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)和敏感信息不被非法竊取、篡改，確保通信雙方身份的真實(shí)性.系統(tǒng)安全系統(tǒng)脆弱性檢測和安全加固為防止攻擊者利用網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、通用軟件的安全弱點(diǎn)或配置上的漏洞對系統(tǒng)進(jìn)行非法操作或?qū)?shù)據(jù)進(jìn)行非法訪問，我們將定期對系統(tǒng)進(jìn)行安全性檢查和系統(tǒng)加固，包括打補(bǔ)丁、配置優(yōu)化等。系統(tǒng)審計(jì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等均開啟日志和報(bào)警功能,實(shí)時(shí)記錄用戶的訪問行為和所訪問的資源對象以及所執(zhí)行的操作,并提供有效的分析、統(tǒng)計(jì)、告警機(jī)制，一方面可以及時(shí)發(fā)現(xiàn)非法的網(wǎng)絡(luò)和系統(tǒng)訪問行為并通知管理人員進(jìn)行處理,另一方面也為發(fā)生安全事故后的追查和舉證提供重要依據(jù)，此外還可對潛在的用戶非法訪問企圖起到一定的震懾作用。審計(jì)記錄數(shù)據(jù)將采用可靠的方式進(jìn)行存儲(chǔ),保證其可用性、完整性。信息安全管理平臺部署信息安全管理平臺，通過信息安全管理平臺實(shí)時(shí)查看重要設(shè)備，網(wǎng)絡(luò)設(shè)備、主機(jī),服務(wù)器的運(yùn)行情況和系統(tǒng)資源情況。通過管理平臺集中同時(shí)實(shí)時(shí)的了解網(wǎng)絡(luò)設(shè)備、服務(wù)器、的運(yùn)行狀態(tài)，使用情況，大大提高了運(yùn)維的效率,防止由于管理人員的遺漏造成問題解決的不及時(shí).服務(wù)器的冗余備份為最大化保證業(yè)務(wù)的連續(xù)性，我們將對ERP系統(tǒng)服務(wù)器主機(jī)采取可靠的冗余備份機(jī)制,確保在線業(yè)務(wù)處理和數(shù)據(jù)訪問過程不會(huì)因?yàn)榉?wù)器系統(tǒng)故障而中斷。應(yīng)用安全文件服務(wù)器建設(shè)替換原有以網(wǎng)上鄰居網(wǎng)絡(luò)共享文件的部署方式，建設(shè)以FTP服務(wù)器做為XXXX的文件服務(wù)器，加強(qiáng)用戶資源共享的管控。數(shù)據(jù)安全數(shù)據(jù)存儲(chǔ)備份我們將逐步健全信息系統(tǒng)的數(shù)據(jù)備份/恢復(fù)和應(yīng)急處理機(jī)制，確保網(wǎng)絡(luò)信息系統(tǒng)的各種數(shù)據(jù)實(shí)時(shí)備份，當(dāng)數(shù)據(jù)資源在受到侵害破壞損失時(shí)，及時(shí)的啟動(dòng)備份恢復(fù)機(jī)制，可以保證系統(tǒng)的快速恢復(fù)，而不影響整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)轉(zhuǎn).安全解決方案詳細(xì)設(shè)計(jì)前面我們從不同層面分別闡述了在XXXX信息系統(tǒng)中需要采用的各種安全技術(shù)措施,其中部分措施可以通過在現(xiàn)有網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)中進(jìn)行適當(dāng)?shù)陌踩O(shè)置、安全加固來實(shí)現(xiàn)，而有一些措施則需要通過采購一定的專業(yè)安全產(chǎn)品來實(shí)現(xiàn)。我們將在充分利用已有投資的基礎(chǔ)上，結(jié)合當(dāng)前國內(nèi)外最先進(jìn)的安全技術(shù)，適當(dāng)?shù)卦黾右恍I(yè)的安全設(shè)備和軟件,從而為XXXX信息系統(tǒng)構(gòu)建一套由多種安全技術(shù)和多層防護(hù)措施構(gòu)成的整體安全防護(hù)體系，以確保XXXX信息系統(tǒng)安全可靠地運(yùn)行。具體包括：防火墻系統(tǒng)(市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)互聯(lián)網(wǎng)邊界）入侵防御系統(tǒng)(市區(qū)互聯(lián)網(wǎng)邊界)入侵檢測系統(tǒng)（市區(qū)核心交換機(jī)節(jié)點(diǎn)）病毒過濾網(wǎng)關(guān)（市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)互聯(lián)網(wǎng)邊界）網(wǎng)絡(luò)防病毒系統(tǒng)（提供終端病毒防護(hù)）IPSEC+SSLVPN(駐外辦事處和移動(dòng)用戶與市區(qū)互聯(lián)網(wǎng)邊界之間通信認(rèn)證和加密)終端管理系統(tǒng)（提供終端集中管理、策略部署、補(bǔ)丁分發(fā)等)安全審計(jì)系統(tǒng)(提供集中的安全日志審計(jì)）ERP系統(tǒng)服務(wù)器冗余ERP系統(tǒng)、財(cái)務(wù)系統(tǒng)等重要數(shù)據(jù)備份系統(tǒng)文件服務(wù)器建設(shè)信息安全管理平臺建設(shè)以下是對各個(gè)部分的詳細(xì)設(shè)計(jì)。上面我們描述了XXXX網(wǎng)絡(luò)信息安全建設(shè)內(nèi)容,考慮到網(wǎng)絡(luò)安全管理的特殊性和系統(tǒng)的延續(xù)性，因此在系統(tǒng)的規(guī)劃、設(shè)計(jì)、建設(shè)和管理中,我們圍繞XXXX的管理需求，配合開展相關(guān)工作?？紤]到系統(tǒng)建設(shè)的工作量、技術(shù)復(fù)雜程度和投資成本,在時(shí)間許可和考慮各功能要求輕重緩急的前提下，我們建議項(xiàng)目分兩期完成.一期在開發(fā)區(qū)廠區(qū)部署病毒過濾網(wǎng)關(guān)系統(tǒng)、防火墻系統(tǒng)，在市區(qū)廠區(qū)部署病毒過濾網(wǎng)關(guān)系統(tǒng)、多合一網(wǎng)關(guān)系統(tǒng)（包括防火墻、SSLVPN、IPSECVPN功能）、入侵檢測系統(tǒng)，并部署網(wǎng)絡(luò)版防病毒系統(tǒng)、終端管理系統(tǒng)、安全審計(jì)系統(tǒng)、數(shù)據(jù)安全系統(tǒng)、ERP系統(tǒng)冗余服務(wù)器、文件服務(wù)器系統(tǒng)。二期在市區(qū)廠區(qū)部署入侵防御系統(tǒng)，對現(xiàn)有網(wǎng)絡(luò)中的接入層交換機(jī)進(jìn)行改造,并建立信息安全管理平臺。XXXX信息系統(tǒng)改造后系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖1.2所示：圖1.2XXXX信息改造后系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)安全建設(shè)防火墻系統(tǒng)設(shè)計(jì)防火墻系統(tǒng)部署意義防火墻是近年發(fā)展起來的重要安全技術(shù),其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通信,根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信。通過使用Firewall過濾不安全的服務(wù)器,提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)，提供對系統(tǒng)的訪問控制;阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。防火墻屬于一種被動(dòng)的安全防御工具。設(shè)立防火墻的目的就是保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另一個(gè)網(wǎng)絡(luò)的攻擊，防火墻的主要功能包括以下幾個(gè)方面：(1)防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全性，降低受攻擊的風(fēng)險(xiǎn)。（2）防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實(shí)施.防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計(jì)等）,比分散管理更經(jīng)濟(jì)。(3)防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計(jì)。因?yàn)樗羞M(jìn)出網(wǎng)絡(luò)的通信流都通過防火墻，使防火墻也能提供日志記錄、統(tǒng)計(jì)數(shù)據(jù)、報(bào)警處理、審計(jì)跟蹤等服務(wù)。（4）防火墻能阻止內(nèi)部信息泄漏.防火墻實(shí)際意義上也是一個(gè)隔離器，即能防外，又能防止內(nèi)部未經(jīng)授權(quán)用戶對互聯(lián)網(wǎng)的訪問。防火墻系統(tǒng)部署方式在互聯(lián)網(wǎng)邊界設(shè)置防火墻系統(tǒng),負(fù)責(zé)審核進(jìn)出網(wǎng)絡(luò)的訪問請求，確保只有合法的訪問才能通過，從而為服務(wù)器系統(tǒng)建立安全的防御屏障,防范互聯(lián)網(wǎng)黑客攻擊和非法用戶的訪問.目前在市區(qū)廠區(qū)網(wǎng)絡(luò)中，接入一條100M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust100防火墻，在開發(fā)區(qū)廠區(qū)網(wǎng)絡(luò)中，接入一條10M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust80防火墻，現(xiàn)有的兩臺防火墻均為百兆低端設(shè)備，其功能和性能均已無法滿足網(wǎng)絡(luò)規(guī)模和對外應(yīng)用的的不斷發(fā)展,這兩臺防火墻是否正常運(yùn)行將關(guān)系到XXXX所有用戶的上網(wǎng)服務(wù)，以及包括Web、FTP、MAIL等系統(tǒng)對外發(fā)布的應(yīng)用服務(wù)的正常運(yùn)行.故建議在互聯(lián)網(wǎng)出口重新部署一臺防火墻,避免出現(xiàn)網(wǎng)絡(luò)瓶頸提高網(wǎng)絡(luò)的處理性能，使應(yīng)用快速穩(wěn)定的運(yùn)行。由于防火墻隔離的是不同的安全區(qū)域.防火墻采用將內(nèi)部區(qū)域、互聯(lián)網(wǎng)區(qū)域、DMZ區(qū)域分開的方法,在開發(fā)區(qū)廠區(qū)把一卡通服務(wù)器部署到DMZ區(qū)域，在市區(qū)廠區(qū)把財(cái)務(wù)服務(wù)器、ERP系統(tǒng)服務(wù)器、文件服務(wù)器、FTP服務(wù)器等部署到DMZ區(qū)域，防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流。再加上防火墻本身具有較強(qiáng)的抗攻擊能力,能有效地監(jiān)控內(nèi)部網(wǎng)、服務(wù)器區(qū)域和Internet之間的任何活動(dòng),從而為互聯(lián)網(wǎng)邊界安全提供了有力的保證.防火墻部署后系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖1。3所示：圖1.3防火墻部署后系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D具體防火墻部署建議如下：1．正向源地址轉(zhuǎn)換使內(nèi)部網(wǎng)用戶可使用私有IP地址通過防火墻訪問外部網(wǎng)絡(luò)。對外界網(wǎng)絡(luò)用戶來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不知道是來自內(nèi)部網(wǎng)的某個(gè)地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息.反向目的地址轉(zhuǎn)換可使對外提供信息發(fā)布服務(wù)的WEB服務(wù)器、FTP服務(wù)器、Mail服務(wù)器起等系統(tǒng)采用私有IP地址作為真實(shí)地址，外界用戶所訪問到的是被防火墻轉(zhuǎn)換過的目的地址，這樣也能夠有效的隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進(jìn)行保護(hù)。2．限制網(wǎng)上服務(wù)請求內(nèi)容，使非法訪問在到達(dá)主機(jī)前被拒絕。3．加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)將用戶的訪問權(quán)限控制在最低限度。4.為了避免不同區(qū)域的機(jī)器冒用IP地址進(jìn)行越權(quán)訪問,防火墻的所有端口上還應(yīng)啟用IP地址與MAC地址綁定功能。5．全面監(jiān)視網(wǎng)絡(luò)的訪問，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為，并可以和IDS實(shí)現(xiàn)聯(lián)動(dòng)。這不但提高了安全性,而且保證了高性能。6．加強(qiáng)對各種訪問的審計(jì)工作，詳細(xì)記錄對網(wǎng)絡(luò)與主機(jī)的訪問行為,形成完整的系統(tǒng)日志，使管理員可以隨時(shí)審核系統(tǒng)的安全效果、追蹤危險(xiǎn)事件、調(diào)整安全策略。。7.利用應(yīng)用層訪問特征碼對占用過多網(wǎng)絡(luò)資源的常見P2P軟件的流量進(jìn)行限制,同時(shí)支持對單機(jī)或主機(jī)組配置并發(fā)連接數(shù)限制，以及支持對單機(jī)或主機(jī)組配置QOS帶寬限制，從而能更有效利用網(wǎng)絡(luò)資源8、隨著訪問量的不斷增加，只要增加相同的應(yīng)用服務(wù)器,防火墻可以支持一個(gè)服務(wù)器陣列，這個(gè)陣列經(jīng)過防火墻對外表現(xiàn)為單臺的機(jī)器，防火墻將外部來的訪問在這些服務(wù)器之間進(jìn)行均衡，滿足將來應(yīng)用需求。防火墻還具有實(shí)施監(jiān)控、身份驗(yàn)證、高可用性、線路備份、深度過濾等眾多功能。防火墻系統(tǒng)部署后達(dá)到的效果防火墻系統(tǒng)部署后達(dá)到的效果：隔離安全區(qū)域防火墻采用多安全區(qū)域體系，每個(gè)物理接口對應(yīng)一個(gè)獨(dú)立的安全區(qū)域，在不同網(wǎng)絡(luò)區(qū)域之間進(jìn)行互聯(lián)時(shí),全部通信都受到防火墻的監(jiān)控，通過防火墻的安全策略可以將所聯(lián)區(qū)域設(shè)置成相應(yīng)的保護(hù)級別，以保證關(guān)鍵系統(tǒng)的安全。每個(gè)區(qū)域的安全策略只對該區(qū)域有效。每個(gè)區(qū)域可以單獨(dú)設(shè)置自己的默認(rèn)安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域?qū)?yīng)的安全策略。地址轉(zhuǎn)換，對外隱藏內(nèi)部網(wǎng)絡(luò)信息正向源地址轉(zhuǎn)換使內(nèi)部網(wǎng)用戶可使用私有IP地址通過防火墻訪問外部網(wǎng)絡(luò).對外界網(wǎng)絡(luò)用戶來說,訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不知道是來自內(nèi)部網(wǎng)的某個(gè)地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。反向目的地址轉(zhuǎn)換可使對外提供信息發(fā)布服務(wù)的WEB服務(wù)器等采用私有IP地址作為真實(shí)地址，外界用戶所訪問到的是被防火墻轉(zhuǎn)換過的目的地址，這樣也能夠有效的隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進(jìn)行保護(hù)。2到7層的訪問控制防火墻實(shí)現(xiàn)了多級過濾體系，在MAC層提供基于MAC地址的過濾控制能力,同時(shí)支持對各種二層協(xié)議的過濾功能；在網(wǎng)絡(luò)層和傳輸層提供基于狀態(tài)檢測的分組過濾，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及TCP、UDP端口進(jìn)行過濾,并進(jìn)行完整的協(xié)議狀態(tài)分析；在應(yīng)用層通過深度內(nèi)容檢測機(jī)制，可以對高層應(yīng)用協(xié)議命令、訪問路徑、內(nèi)容、訪問的文件資源、關(guān)鍵字、移動(dòng)代碼等實(shí)現(xiàn)內(nèi)容安全控制，這對于提高基于通用Internet服務(wù)的應(yīng)用服務(wù)器的安全性非常有意義；同時(shí)，防火墻還支持第三方認(rèn)證，提供用戶級的認(rèn)證和授權(quán)控制。從而形成了立體的、全面的訪問控制機(jī)制，實(shí)現(xiàn)了全方位的安全控制.防御外界黑客攻擊防火墻自身提供了一定的入侵檢測和防護(hù)功能，能抵御一些常見的網(wǎng)絡(luò)攻擊和DoS/DDoS攻擊,并可以和IDS實(shí)現(xiàn)聯(lián)動(dòng)。這不但提高了安全性，而且保證了高性能。負(fù)載均衡防火墻可以支持一個(gè)服務(wù)器陣列,這個(gè)陣列經(jīng)過防火墻對外表現(xiàn)為單臺的機(jī)器，防火墻將外部來的訪問在這些服務(wù)器之間進(jìn)行均衡.負(fù)載均衡方式包括輪詢（順序選擇地址）、根據(jù)權(quán)重輪詢、最少連接(將連接分配到當(dāng)前連接最少的服務(wù)器）、加權(quán)最少連接(最少連接和權(quán)重相結(jié)合)。日志記錄與審計(jì)一個(gè)安全防護(hù)體系中的審計(jì)系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點(diǎn)的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時(shí)審核系統(tǒng)的安全效果、追蹤危險(xiǎn)事件、調(diào)整安全策略。進(jìn)行信息審計(jì)的前提是必須有足夠的多的日志信息。當(dāng)防火墻系統(tǒng)被配置為工作在不同安全域之間的關(guān)鍵節(jié)點(diǎn)時(shí),防火墻系統(tǒng)就能夠?qū)Σ煌踩蛑g的訪問請求做出日志記錄。防火墻系統(tǒng)提供了強(qiáng)大的日志功能，可對重要關(guān)鍵資源的使用情況進(jìn)行有效的監(jiān)控，實(shí)現(xiàn)日志的分級管理、自動(dòng)報(bào)表、自動(dòng)報(bào)警功能，用戶可以根據(jù)需要對不同的通訊內(nèi)容記錄不同的日志,包括會(huì)話日志（主要描述通訊的時(shí)間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令,執(zhí)行了那些操作）。用戶可以根據(jù)需要記錄不同的日志,從而為日志分析、事后追蹤提供更多的依據(jù)。另外，防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡(luò)使用情況做出統(tǒng)計(jì)。這樣網(wǎng)絡(luò)管理員通過對統(tǒng)計(jì)結(jié)果進(jìn)行分析，掌握網(wǎng)絡(luò)的運(yùn)行狀態(tài)，繼而更加有效的管理整個(gè)網(wǎng)絡(luò)。同時(shí)，產(chǎn)生的日志能夠以多種方式導(dǎo)出，可通過第三方日志管理軟件進(jìn)行統(tǒng)一的管理。網(wǎng)絡(luò)入侵防御系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)入侵防御系統(tǒng)部署意義隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)為我們的工作和生活提供了便利,但同時(shí)網(wǎng)絡(luò)環(huán)境中的各種安全問題，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)、DDoS攻擊、垃圾郵件、網(wǎng)絡(luò)資源濫用（P2P下載、IM即時(shí)通訊、網(wǎng)游）等極大地困擾著用戶,尤其是混合威脅的風(fēng)險(xiǎn),給企業(yè)的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞.能否及時(shí)發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵、保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行已經(jīng)成為各個(gè)企業(yè)所面臨的問題.面對這些問題,傳統(tǒng)的安全產(chǎn)品已經(jīng)無法獨(dú)立應(yīng)對。傳統(tǒng)防火墻作為訪問控制設(shè)備,無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼；無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。入侵檢測系統(tǒng)IDS旁路部署在網(wǎng)絡(luò)上，當(dāng)它檢測出黑客入侵攻擊時(shí)，攻擊可能已到達(dá)目標(biāo)造成損失，無法有效阻斷各種攻擊；入侵檢測系統(tǒng)IDS側(cè)重網(wǎng)絡(luò)監(jiān)控,注重安全審計(jì)，適合對網(wǎng)絡(luò)安全狀態(tài)的了解。而入侵防御系統(tǒng)是在線部署在網(wǎng)絡(luò)中，提供主動(dòng)的、實(shí)時(shí)的防護(hù),具備對2到7層網(wǎng)絡(luò)的線速、深度檢測能力，同時(shí)配合以精心研究、及時(shí)更新的攻擊特征庫，即可以有效檢測并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)中的惡意代碼、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)架構(gòu)防護(hù)、網(wǎng)絡(luò)性能保護(hù)和核心應(yīng)用防護(hù)。入侵防御系統(tǒng)通過加載不同的攻擊規(guī)則庫對流經(jīng)它的網(wǎng)絡(luò)流量進(jìn)行分析過濾，來判斷是否為異常數(shù)據(jù)流量或可疑數(shù)據(jù)流量，并對異常及可疑流量進(jìn)行積極阻斷，同時(shí)向管理員通報(bào)攻擊信息,從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù)。入侵防御系統(tǒng)能夠完全阻斷各種非法攻擊行為，比如利用薄弱點(diǎn)進(jìn)行的直接攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等,安全地保護(hù)內(nèi)部IT資源。入侵防御系統(tǒng)可以提供網(wǎng)絡(luò)架構(gòu)防護(hù)、網(wǎng)絡(luò)性能保護(hù)、核心應(yīng)用防護(hù),通過使用入侵防御系統(tǒng)可提供最強(qiáng)大且最完整的保護(hù)以防御各種形式的網(wǎng)絡(luò)攻擊行為，如：蠕蟲、拒絕服務(wù)攻擊、惡意代碼以及非法的入侵和訪問，為企業(yè)網(wǎng)絡(luò)提供“虛擬補(bǔ)丁"的保護(hù)作用。網(wǎng)絡(luò)入侵防御系統(tǒng)部署方式建議在市區(qū)廠區(qū)互聯(lián)網(wǎng)出口處部署一套網(wǎng)絡(luò)入侵防御系統(tǒng)，通過設(shè)置檢測與阻斷策略對流經(jīng)入侵防御系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行分析過濾,并對異常及可疑流量進(jìn)行積極阻斷，同時(shí)向管理員通報(bào)攻擊信息，從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù).入侵防御系統(tǒng)能夠在第一時(shí)間阻斷各種非法攻擊行為，比如利用網(wǎng)絡(luò)系統(tǒng)薄弱點(diǎn)進(jìn)行的直接攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等.網(wǎng)絡(luò)入侵防御系統(tǒng)作為一個(gè)網(wǎng)關(guān)設(shè)備，可透明嵌入到網(wǎng)絡(luò)出口，即使用兩個(gè)網(wǎng)絡(luò)端口,串接在互聯(lián)網(wǎng)邊界與本地局域網(wǎng)交換機(jī)之間，通過一個(gè)外部網(wǎng)絡(luò)端口接收來自外部網(wǎng)絡(luò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測和過濾，再通過另外一個(gè)內(nèi)部網(wǎng)絡(luò)端口將它傳送到內(nèi)部系統(tǒng)中;只要發(fā)現(xiàn)了有害流量，網(wǎng)絡(luò)入侵防御系統(tǒng)都能立即將其清除,而不會(huì)任其進(jìn)入內(nèi)部網(wǎng)絡(luò)造成侵害。由于在網(wǎng)絡(luò)出口還要進(jìn)行防火墻的部署，可將入侵防御系統(tǒng)串接在防火墻的前端,即互聯(lián)網(wǎng)邊界與防火墻之間，這樣可以在第一時(shí)間發(fā)現(xiàn)惡意的網(wǎng)絡(luò)攻擊行為并進(jìn)行實(shí)時(shí)阻斷，不管攻擊是來非法用戶還是合法用戶。在部署入侵防御系統(tǒng)IPS時(shí),建議先啟用所有過濾策略，動(dòng)作設(shè)置為記錄日志,運(yùn)行一個(gè)星期左右時(shí)間，由設(shè)備廠家技術(shù)人員對一周時(shí)間的日志進(jìn)行審計(jì)，檢查是否存在誤報(bào)或錯(cuò)報(bào)問題，對誤報(bào)和錯(cuò)報(bào)日志進(jìn)行仔細(xì)測試，如該應(yīng)用為正常應(yīng)用，應(yīng)關(guān)閉該過濾策略，避免影響正常應(yīng)用的使用,對惡意流量設(shè)置阻斷、帶寬限制、記錄等動(dòng)作.通過調(diào)整和細(xì)化過濾策略,使網(wǎng)絡(luò)能夠安全穩(wěn)定的運(yùn)行。此外,為了避免因入侵防御設(shè)備的單點(diǎn)故障導(dǎo)致內(nèi)外網(wǎng)絡(luò)通訊中斷，可啟用入侵防御接口的失效開放機(jī)制,當(dāng)出現(xiàn)軟硬件故障和電源故障時(shí),系統(tǒng)能夠自動(dòng)切換到旁路模式以保障網(wǎng)絡(luò)的暢通。入侵防御系統(tǒng)部署后系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖1.4所示：圖1。4入侵防御系統(tǒng)部署后系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)入侵防御系統(tǒng)部署后所達(dá)到的效果網(wǎng)絡(luò)入侵防御系統(tǒng)在分析/跟蹤流量信息的基礎(chǔ)上，在線對流經(jīng)的數(shù)據(jù)報(bào)文進(jìn)行4~7層信息的深度檢測,其部署后的效果為：入侵檢測和防御能力強(qiáng)大的蠕蟲、木馬、后門、間諜軟件、Web攻擊、拒絕服務(wù)、廣告軟件防御能力，根據(jù)用戶需求自行設(shè)置攻擊規(guī)則,對其他有害攻擊行為做檢測和阻斷繁多的垃圾應(yīng)用、流行P2P/IM、熱門游戲、在線視頻、網(wǎng)絡(luò)流媒體的過濾控制能力，對異常流量進(jìn)行分析、阻斷原始包分析功能,對原始包文進(jìn)行捕獲、分析、存儲(chǔ)使用網(wǎng)絡(luò)定位工具如nslookup，traceroute，ping等，方便進(jìn)行網(wǎng)絡(luò)事件診斷主動(dòng)防御機(jī)制網(wǎng)絡(luò)入侵防御系統(tǒng)可以根據(jù)管理員預(yù)先制定的安全策略對流經(jīng)系統(tǒng)的數(shù)據(jù)包進(jìn)行檢測及阻斷,包括：根據(jù)檢測和阻斷策略對于滿足條件的數(shù)據(jù)報(bào)文對包頭和負(fù)載內(nèi)容進(jìn)行過濾，檢測和阻斷網(wǎng)絡(luò)攻擊和惡意代碼.根據(jù)異常流量檢測及阻斷策略，對通過系統(tǒng)每個(gè)物理接口的流量、TCP/UDP/ICMP協(xié)議在一定時(shí)間內(nèi)的流量設(shè)定閥值,并設(shè)定處理措施（檢測、限流或阻斷）。當(dāng)設(shè)定的時(shí)間段內(nèi)通過系統(tǒng)的整體流量超過閥值時(shí)進(jìn)行限流或阻斷。豐富的響應(yīng)方式，實(shí)現(xiàn)主動(dòng)防御和安全預(yù)警，包括:允許異常流量閥值范圍內(nèi)的數(shù)據(jù)通過阻斷異常流量閥值范圍外的數(shù)據(jù)通過檢測到策略中設(shè)置的數(shù)據(jù)后,進(jìn)行報(bào)警限制超出規(guī)則設(shè)定范圍的數(shù)據(jù)記錄被檢測到攻擊的相關(guān)數(shù)據(jù)記錄系統(tǒng)中相關(guān)的操作（登錄、修改等）VIDP實(shí)現(xiàn)精細(xì)化防御智能的VIDP功能，針對不同的網(wǎng)絡(luò)環(huán)境和安全需求,制定不同的防御規(guī)則和響應(yīng)方式，每個(gè)虛擬系統(tǒng)分別執(zhí)行不同的規(guī)則集，實(shí)現(xiàn)面向不同對象、實(shí)現(xiàn)不同策略的智能化入侵防御。高可用性所有接口都支持FOD失效開放機(jī)制，當(dāng)出現(xiàn)軟硬件故障和電源故障時(shí)，系統(tǒng)能夠自動(dòng)切換到旁路模式以保障網(wǎng)絡(luò)的暢通，而且絲毫不影響數(shù)據(jù)傳輸速率;報(bào)表分析統(tǒng)計(jì)功能完善的日志功能,分類記錄了訪問入侵防御系統(tǒng)的所有操作以及與其相關(guān)的一切安全活動(dòng),方便用戶及時(shí)通過分析日志記錄的資料來預(yù)防入侵和追蹤非法行為;多種攻擊檢測、阻斷、報(bào)警等信息的報(bào)表統(tǒng)計(jì)功能，根據(jù)用戶需求生成不同的統(tǒng)計(jì)報(bào)表，并可以利用存儲(chǔ)日志和事件數(shù)據(jù)庫，做出基于入侵/受攻擊主機(jī)、攻擊類型、期間等各種不