林業(yè)廳整體安全解決方案

xx省林業(yè)廳二○一一年七月

目 錄第一章 前言 3 政府網(wǎng)絡(luò)安全背景 3政府網(wǎng)絡(luò)安全現(xiàn)狀及挑戰(zhàn) 3政府網(wǎng)絡(luò)安全的前進(jìn)之路 4 國(guó)家關(guān)于網(wǎng)絡(luò)信息安全的政策 4國(guó)家信息安全的形勢(shì) 5近年國(guó)內(nèi)政府秘密受攻擊的案例 6 林業(yè)廳網(wǎng)絡(luò)安全建設(shè)意義和必要性 8建設(shè)意義 8建設(shè)必要性 9第二章政府網(wǎng)絡(luò)安全建設(shè)目標(biāo)及內(nèi)容 102.1指導(dǎo)思想 10建設(shè)目標(biāo) 11政府網(wǎng)安全的應(yīng)用需求 11第三章林業(yè)廳整體網(wǎng)絡(luò)安全方案 11林業(yè)廳政府網(wǎng)整體安全建設(shè)的需求及意義 11安全信息化政府網(wǎng)的意義 12 政府網(wǎng)絡(luò)安全的意義 13林業(yè)廳整體網(wǎng)絡(luò)安全 15．政府網(wǎng)出口統(tǒng)一審計(jì)控制 16．政府網(wǎng)內(nèi)部安全攻擊監(jiān)控和防御 17．政府網(wǎng)郵件應(yīng)用安全防護(hù) 錯(cuò)誤！未定義書(shū)簽。．政府網(wǎng)服務(wù)器安全防護(hù) 19第四章 林業(yè)廳整體網(wǎng)絡(luò)安全建議選型方案 23 信息安全建議的政府網(wǎng)方案 23網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則 23各層次的安全解決方案 32 信息安全政府網(wǎng)推薦方案 46強(qiáng)化應(yīng)用安全解決郵件系統(tǒng) 錯(cuò)誤！未定義書(shū)簽。綜合管理平臺(tái)解決眾多品牌不同設(shè)備的管理 51第五單 林業(yè)廳二套方案設(shè)備簡(jiǎn)述 53 整體網(wǎng)絡(luò)安全建議方案 53 整體網(wǎng)絡(luò)安全備選建議方案 53

第一章 前言 政府網(wǎng)絡(luò)安全背景政府網(wǎng)絡(luò)安全現(xiàn)狀及挑戰(zhàn)經(jīng)過(guò)多年以來(lái)信息化工程的建設(shè)，政府中信息化的應(yīng)用也越來(lái)越高，并取得了突飛猛進(jìn)的發(fā)展。但是在成績(jī)的背后，存在的安全問(wèn)題也很突出。當(dāng)今網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開(kāi)放性和易受攻擊性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。人們?cè)谙硎艿礁鞣N生活便利和溝通便捷的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也日漸突出、形勢(shì)日益嚴(yán)峻。網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長(zhǎng)，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序，嚴(yán)重?fù)p害了網(wǎng)民的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)重危害了學(xué)生的身心健康。網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國(guó)共同關(guān)注的焦點(diǎn)，近期在我國(guó)政府中的國(guó)家秘密及信息安全也是特別受到國(guó)家相關(guān)部門(mén)的重視。另外，雖然各政府信息化建設(shè)過(guò)程中基礎(chǔ)網(wǎng)絡(luò)已初具規(guī)模，實(shí)現(xiàn)了網(wǎng)絡(luò)的基本覆蓋和聯(lián)通，以及信息化應(yīng)用服務(wù)于政府的研發(fā)和生產(chǎn)，但是網(wǎng)絡(luò)的管理問(wèn)題也很?chē)?yán)重。據(jù)統(tǒng)計(jì)，超過(guò)70%-90%的流量是非核心業(yè)務(wù)的流量。政府員工的BT下載、聊天、游戲等網(wǎng)絡(luò)行為對(duì)于政府正常運(yùn)行的研發(fā)、辦公和管理等業(yè)務(wù)的開(kāi)展造成了比較大的負(fù)面影響，如政府中的遠(yuǎn)程溝通、視頻會(huì)議系統(tǒng)等實(shí)時(shí)和高帶寬業(yè)務(wù)得不到足夠的資源和帶寬保障。同時(shí)，政府網(wǎng)絡(luò)沒(méi)有標(biāo)準(zhǔn)化的、成熟的安全解決方案，目前大多數(shù)的政府是通過(guò)防火墻及核心的交換機(jī)、路由器上配置的ACL作為安全保障措施，但實(shí)際上無(wú)法真正抵御病毒和攻擊，基礎(chǔ)網(wǎng)絡(luò)的服務(wù)質(zhì)量無(wú)法保證。如何保證基礎(chǔ)網(wǎng)絡(luò)暢通無(wú)阻及安全可靠，保障政府各項(xiàng)業(yè)務(wù)的正常開(kāi)展是政府必須面對(duì)和解決的突出的難題。1.1.2政府網(wǎng)絡(luò)安全的前進(jìn)之路面對(duì)問(wèn)題和挑戰(zhàn)，結(jié)合國(guó)家“十一五”振興規(guī)劃，各級(jí)政府部門(mén)也紛紛制定了各自的“十一五”信息化發(fā)展戰(zhàn)略。而信息化發(fā)展的前提就是先要建立成起安全穩(wěn)定、防范管理、審計(jì)控制的整體網(wǎng)絡(luò)安全體系?！笆晃濉毙畔⒒?guī)劃的基本內(nèi)容如下：完善網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，實(shí)現(xiàn)隨時(shí)隨地的上網(wǎng)，整體網(wǎng)絡(luò)高速暢通、安全可信、穩(wěn)定可靠、審計(jì)管理、防范控制；完善數(shù)據(jù)共享基礎(chǔ)平臺(tái)的建設(shè)，包括統(tǒng)一的信息資源庫(kù)、統(tǒng)一的電子身份認(rèn)證系統(tǒng)的建設(shè)；完善和創(chuàng)新網(wǎng)絡(luò)服務(wù)平臺(tái)。國(guó)家關(guān)于網(wǎng)絡(luò)信息安全的政策從互聯(lián)網(wǎng)“誕生”至今，全球網(wǎng)民數(shù)量已接近7億。在國(guó)際刑法界列舉的現(xiàn)代社會(huì)新型犯罪排行榜上，計(jì)算機(jī)犯罪和網(wǎng)絡(luò)侵權(quán)已名列榜首。無(wú)論是數(shù)量、手段，還是性質(zhì)、規(guī)模，都出乎人們的意料。據(jù)有關(guān)方面統(tǒng)計(jì)，目前美國(guó)每年由于網(wǎng)絡(luò)安全問(wèn)題而遭受的經(jīng)濟(jì)損失超過(guò)170億美元，德國(guó)、英國(guó)也均在10億美元以上，法國(guó)為100億法郎，日本、新加坡問(wèn)題也很?chē)?yán)重。比經(jīng)濟(jì)損失更為嚴(yán)重的是，人們將逐漸對(duì)全球網(wǎng)絡(luò)的安全失去信心。網(wǎng)絡(luò)問(wèn)題不斷，人們還怎么敢使用它？一旦不用網(wǎng)絡(luò)，再好的網(wǎng)絡(luò)服務(wù)也維持不下去。特別是全球互聯(lián)網(wǎng)規(guī)模在不斷擴(kuò)大、技術(shù)含量不斷提高，這些都要求有一個(gè)高可靠性、高質(zhì)量的網(wǎng)絡(luò)來(lái)承載，支撐由此帶來(lái)的網(wǎng)絡(luò)流量、管理控制、交換傳輸?shù)膹?fù)雜變化，這些都對(duì)全球網(wǎng)絡(luò)的安全提出了新的更高要求。我國(guó)從早就意識(shí)到這方面的情況，并且在1994年開(kāi)始就相繼頒布了相關(guān)的法律法規(guī)，我國(guó)保密局等相關(guān)部門(mén)也十分重視這方面的建設(shè)要求在國(guó)家保密局的網(wǎng)站也有明確指示。《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》；《中國(guó)教育和科研計(jì)算機(jī)網(wǎng)管理辦法(試行)》《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》；《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》公安部33號(hào)令；《國(guó)務(wù)院信息辦關(guān)于中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》；《國(guó)家保密局關(guān)于計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》；《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字[2004]66號(hào)）》《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》公安部82號(hào)令；《信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）》1.2.1近年來(lái)，網(wǎng)絡(luò)病毒泛濫、安全事件頻頻發(fā)生可以說(shuō)是一個(gè)總趨勢(shì)。拿2005年上半年為例，據(jù)CNCERT/CC統(tǒng)計(jì)，從2005年1月1日到2005年6月30日，全球共新增蠕蟲(chóng)、木馬、病毒等惡意代碼11851種，是前一年同期增長(zhǎng)數(shù)量的1.2倍。自2005年起，安全將會(huì)越來(lái)越成為我們網(wǎng)絡(luò)穩(wěn)定可靠運(yùn)營(yíng)的一個(gè)保障。根據(jù)美國(guó)FBI的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)170億美元。從IDC網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來(lái)看，網(wǎng)絡(luò)的安全威脅主要來(lái)自三個(gè)方面：第一、網(wǎng)絡(luò)的惡意破壞者，也就是我們所說(shuō)的黑客，造成的正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)/數(shù)據(jù)的破壞；第二、無(wú)辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴(kuò)散、木馬的傳播；第三、就是別有用心的間諜人員，通過(guò)竊取他人身份進(jìn)行越權(quán)數(shù)據(jù)訪(fǎng)問(wèn)，以及偷取機(jī)密的或者他人的私密信息。其中，由于內(nèi)部人員而造成的網(wǎng)絡(luò)安全問(wèn)題占到了70%。面臨著更嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。越來(lái)越多的報(bào)道表明由商業(yè)秘密而帶來(lái)和商業(yè)利益使政府網(wǎng)絡(luò)已逐漸成為黑客的攻擊重點(diǎn)。這一方面是由于網(wǎng)絡(luò)病毒、黑客工具的泛濫，用戶(hù)安全意識(shí)的淡薄，而另一方面，政府員工——對(duì)新鮮事物有著好奇心。有關(guān)數(shù)字顯示，目前政府網(wǎng)遭受的惡意攻擊，90%來(lái)自政府網(wǎng)絡(luò)內(nèi)部，如何保障政府網(wǎng)絡(luò)的安全成為政府網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問(wèn)題。1.2.2今天上半年國(guó)內(nèi)國(guó)家秘密上半年,在北京市保密局盤(pán)處的泄密事件中，網(wǎng)上涉嫌泄密占到相當(dāng)高的比例，為近年來(lái)所少見(jiàn)。案例一：社會(huì)同站登載涉密內(nèi)容1、某門(mén)戶(hù)網(wǎng)站下屬的房地產(chǎn)專(zhuān)業(yè)網(wǎng)站登載《公安部關(guān)于xx的通知》，涉嫌泄密。在該剛站上查到的上述涉密信息，是注冊(cè)名為“米糕”(化名)的用戶(hù)在某論壇上發(fā)的帖子。2、“似曾相識(shí)雁歸來(lái)”網(wǎng)站(化名)登載《x日記》一文，涉嫌泄密。經(jīng)對(duì)該網(wǎng)站調(diào)查，確認(rèn)該信息是一名網(wǎng)友在論壇上發(fā)布的。3、北京市互聯(lián)網(wǎng)宣傳管理辦公室在“紅心網(wǎng)”(化名)上發(fā)現(xiàn)一網(wǎng)民以發(fā)帖子的方式，介紹其參及購(gòu)買(mǎi)某敏感器材的“幕后故事”，涉嫌泄密。案例二：登載內(nèi)容及工作范圍有關(guān)，但涉及國(guó)家秘密上互聯(lián)網(wǎng)“中華x網(wǎng)”、“中x網(wǎng)”刊登《經(jīng)濟(jì)工作中國(guó)家秘密及其密級(jí)具體范圍的拋定》，涉嫌泄密。這是北京市保密局對(duì)互聯(lián)網(wǎng)進(jìn)行檢查時(shí)發(fā)現(xiàn)的。事后，市保密局分別向這兩家網(wǎng)站發(fā)送了《責(zé)令刪除互聯(lián)網(wǎng)站涉密信息通知書(shū)》，責(zé)成網(wǎng)站對(duì)上述信息進(jìn)行徹底刪除。據(jù)兩網(wǎng)站整改報(bào)告，信息是兩家網(wǎng)站互相轉(zhuǎn)載的。對(duì)此，市保密局要求網(wǎng)站引以為戒，加強(qiáng)對(duì)員工保密教育，強(qiáng)化各項(xiàng)管理，杜絕類(lèi)似事件再次發(fā)生。案例三：匯編文件上網(wǎng)涉嫌泄密北京某信息網(wǎng)登載對(duì)敏感項(xiàng)日進(jìn)行檢查的道知，涉嫌泄密。經(jīng)查，內(nèi)容摘自某部門(mén)2001年編輯出版的《xx行業(yè)管理法規(guī)文件匯編》書(shū)。該書(shū)收集了全國(guó)人大、國(guó)務(wù)院以及相關(guān)部委，北京市人大、市政府等出臺(tái)的法律、法規(guī)及規(guī)范性文件，目的是為了滿(mǎn)足行政執(zhí)法人員對(duì)有關(guān)法律法規(guī)的學(xué)習(xí)，是一本參考工具書(shū)。但此書(shū)在未經(jīng)該部門(mén)保密辦審核、市保密局審定的情況下，將前述涉及國(guó)家秘密內(nèi)容的文件編輯并出版，嚴(yán)重違反丁有關(guān)保密規(guī)定。該書(shū)共印刷5000冊(cè)，已發(fā)放2000余冊(cè)，剩余部分已在2003年單位搬家時(shí)集中銷(xiāo)毀。案例四：涉密文件上互聯(lián)網(wǎng)1、北京市保密局發(fā)現(xiàn)“大華網(wǎng)”(化名)蹙裁中央領(lǐng)導(dǎo)同志在某項(xiàng)工作座談會(huì)上的講話(huà)，涉嫌泄密。2、北京市保密局發(fā)現(xiàn)北京市大學(xué)網(wǎng)站登載中央有關(guān)部門(mén)關(guān)于某工程建設(shè)的意見(jiàn)，涉嫌泄密。3、北京市保密局發(fā)現(xiàn)某區(qū)小學(xué)網(wǎng)站登載某項(xiàng)建沒(méi)規(guī)劃綱要，涉嫌泄密。據(jù)該網(wǎng)站前網(wǎng)管員回憶，該文是從互聯(lián)網(wǎng)上發(fā)現(xiàn)并下載的，下載的目的是便于他人學(xué)習(xí)掌握有關(guān)精神。4、北京市保密局發(fā)現(xiàn)某政府公眾信息網(wǎng)登載中央兩辦關(guān)丁加強(qiáng)某項(xiàng)資源開(kāi)發(fā)的意見(jiàn)，涉賺泄密。1.2第一，保密工作部門(mén)加大了落實(shí)職能?chē)?yán)格監(jiān)管的力度。今年上半年，北京市保密局加大了對(duì)網(wǎng)絡(luò)的監(jiān)管力度，從中發(fā)現(xiàn)了不少問(wèn)題，反映出我州信息化步伐加快后，保密管理相劃滯后的問(wèn)題。當(dāng)然網(wǎng)上泄密事什的驟然增多，并不代表這些泄密事件都是今年出現(xiàn)的，其中有些涉密信息是前些年就登載在網(wǎng)上，屬于陳年舊案，只是今年上半年才發(fā)現(xiàn)而已。第二，上述涉嫌泄密事件突出反映出一些涉密單位基礎(chǔ)保密管理工作不到位，一些基本的工作機(jī)制或缺失，或執(zhí)行不力，結(jié)果造成不應(yīng)有的泄密。比如，保密教育是增強(qiáng)保密意識(shí)的有效力式，基本的涉密信息上網(wǎng)審批制度，對(duì)涉密信息起到有山的保護(hù)作用。再如，對(duì)控制國(guó)家秘密知悉范圍的規(guī)定，不但要在源頭上控制國(guó)家秘密不被外泄的基本要求；更要嚴(yán)格履行好國(guó)家秘密傳遞中的登記制度，有利于涉密單位的日常保密管理，也有利于臨管部門(mén)在查處事件過(guò)程中取證，便于工作的開(kāi)展。但在查處泄密事什過(guò)程中，保密工作部門(mén)發(fā)現(xiàn)，發(fā)生泄密的涉密單位存在保密管理制度缺失，或雖有保密制度但執(zhí)行不力等問(wèn)題，這不能不引起監(jiān)管部門(mén)和其他涉密單位的極大警覺(jué)，必須進(jìn)一步加強(qiáng)制度建設(shè)和執(zhí)行的力度，把管理國(guó)家秘密的工作落實(shí)、做到位。第三，這里面反映出幾個(gè)問(wèn)題，一是保密工柞部門(mén)技術(shù)手段上的不足，限制了對(duì)涉嫌泄密事件的進(jìn)一步調(diào)查取證。二是相關(guān)法律法規(guī)的缺失使保密工作部門(mén)無(wú)法規(guī)范社會(huì)網(wǎng)站的保密管理，有效促使其在制度上保證不登載涉密信息，進(jìn)而加大對(duì)社會(huì)網(wǎng)站這一泄密“黑洞”的制約力度。三是保密壯治觀念淡薄。當(dāng)新奇的政治、軍事、社會(huì)等內(nèi)容上傳到網(wǎng)站時(shí)，出于獵奇搶發(fā)新聞的動(dòng)機(jī)，網(wǎng)站不加甄別地采用(有些無(wú)法甄別，多數(shù)還是能看出是涉密信息)，是造成社會(huì)網(wǎng)站頻頻發(fā)生泄密事件的根本原因之一，反映出網(wǎng)站管理方保密意識(shí)淡薄。林業(yè)廳網(wǎng)絡(luò)安全建設(shè)意義和必要性建設(shè)意義林業(yè)廳網(wǎng)絡(luò)是由重要政府職能部門(mén)的網(wǎng)絡(luò)之一。林業(yè)廳其主要職責(zé)是：（一）貫徹執(zhí)行國(guó)家關(guān)于森林生態(tài)環(huán)境建設(shè)、森林資源保護(hù)和國(guó)土綠化的方針、政策和法律、法規(guī)，研究擬定地方性林業(yè)法規(guī)、規(guī)章并監(jiān)督實(shí)施。（二）研究擬定全省林業(yè)發(fā)展戰(zhàn)略、中長(zhǎng)期發(fā)展規(guī)劃和年度計(jì)劃并監(jiān)督實(shí)施；管理省級(jí)林業(yè)資金；監(jiān)督全省林業(yè)資金的管理和使用。（三）組織開(kāi)展植樹(shù)造林和封山育林以及國(guó)土種草（不包括農(nóng)田種草、牧場(chǎng)種草）工作；組織、指導(dǎo)以植樹(shù)種草等生物措施防治水土流失和防沙治沙工作；指導(dǎo)全省國(guó)有林業(yè)局、國(guó)有林場(chǎng)（苗圃）、林業(yè)工作站及集體林場(chǎng)的建設(shè)和管理；組織指導(dǎo)全省森林病蟲(chóng)鼠害防治工作和森林植物檢疫工作。（四）負(fù)責(zé)全省森林資源的管理；負(fù)責(zé)派駐森林資源監(jiān)督機(jī)構(gòu)的管理；組織全省森林資源調(diào)查、動(dòng)態(tài)監(jiān)督和統(tǒng)計(jì)；審核、監(jiān)督森林資源的使用；組織編制森林采伐限額并監(jiān)督執(zhí)行；負(fù)責(zé)林木憑證采伐、運(yùn)輸；組織指導(dǎo)林地（含生態(tài)草地、蘆葦用地）、林權(quán)管理并依法對(duì)應(yīng)由國(guó)家和省政府批準(zhǔn)的林地征用、占用進(jìn)行初審。（五）組織、指導(dǎo)陸生野生動(dòng)植物資源的保護(hù)和合理開(kāi)發(fā)利用；組織指導(dǎo)全省森林和陸生野生動(dòng)物類(lèi)型自然保護(hù)區(qū)的建設(shè)和管理；組織、協(xié)調(diào)全省濕地保護(hù)管理工作。（六）組織協(xié)調(diào)、指導(dǎo)監(jiān)督全省森林防火工作；協(xié)調(diào)全省林業(yè)公、檢、法工作及隊(duì)伍建設(shè)工作。（七）制定全省林業(yè)科技發(fā)展規(guī)劃，組織安排重大科研項(xiàng)目，負(fù)責(zé)新技術(shù)、新成果開(kāi)發(fā)、推廣和應(yīng)用；提供科技信息服務(wù)；負(fù)責(zé)全省林產(chǎn)品許可證發(fā)放和管理。（八）研究提出林業(yè)發(fā)展的經(jīng)濟(jì)調(diào)節(jié)意見(jiàn)；監(jiān)管?chē)?guó)有林業(yè)資產(chǎn)，審批重點(diǎn)林業(yè)建設(shè)項(xiàng)目。（九）指導(dǎo)各類(lèi)商品林（包括用材林、經(jīng)濟(jì)林、薪炭林、藥用林等）和風(fēng)景林的培育。（十）承辦省政府交辦的其他事項(xiàng)等。林業(yè)廳領(lǐng)導(dǎo)歷來(lái)重視本部門(mén)的信息化建設(shè)，林業(yè)廳的各種網(wǎng)絡(luò)是實(shí)現(xiàn)政府信息化最重要的基礎(chǔ)設(shè)施。展望未來(lái)，信息化的發(fā)展是政府高速發(fā)展必不可少的條件之一，而實(shí)現(xiàn)的基礎(chǔ)就是計(jì)算機(jī)網(wǎng)絡(luò)的安全。林業(yè)廳網(wǎng)絡(luò)包括：涉密網(wǎng)、內(nèi)部網(wǎng)(業(yè)務(wù)網(wǎng))、外部網(wǎng)(公開(kāi)網(wǎng)站等)三個(gè)部分。建設(shè)必要性林業(yè)廳網(wǎng)絡(luò)信息安全建設(shè)是一個(gè)全面系統(tǒng)的工程，而針對(duì)國(guó)家政策及省部委的要求信息化發(fā)展要走一條“安全管理、和諧建設(shè)、穩(wěn)定快速發(fā)展”的道路。而從網(wǎng)絡(luò)安全建設(shè)管理方面主要突出二方面的必要性：一、林業(yè)廳在員工上網(wǎng)管理及安全的必要性政府網(wǎng)絡(luò)及互聯(lián)網(wǎng)相連不但是加強(qiáng)的政府對(duì)外的宣傳，同時(shí)可能成為黑客關(guān)注和攻擊的目標(biāo)。而政府員工內(nèi)部上網(wǎng)形為由于其自身信息化水平及網(wǎng)絡(luò)安全意識(shí)等原因有可能造成政府網(wǎng)絡(luò)安全的隱患，這對(duì)政府信息化的健康成長(zhǎng)是十分危險(xiǎn)的。二、網(wǎng)絡(luò)出口管理及審計(jì)的必要性互聯(lián)網(wǎng)時(shí)代的到來(lái)，使政府的辦公、管理活動(dòng)越來(lái)越依賴(lài)于網(wǎng)絡(luò)，在信息網(wǎng)絡(luò)的使用，在給政府帶來(lái)更廣泛的交流空間的同時(shí)，也帶來(lái)了巨大的負(fù)面影響，如果管理不當(dāng)，甚至可能出現(xiàn)在資源重大浪費(fèi)的同時(shí)，管理效率下降的惡果。請(qǐng)看以下的一些統(tǒng)計(jì)數(shù)據(jù)（由互聯(lián)網(wǎng)統(tǒng)計(jì)中心做出）。在政府有60%-70%的上網(wǎng)訪(fǎng)問(wèn)活動(dòng)及工作無(wú)關(guān)70%的無(wú)關(guān)方面的訪(fǎng)問(wèn)都是發(fā)生在上午9點(diǎn)-下午5點(diǎn)的時(shí)間視頻、音頻等流媒體的使用從現(xiàn)在到2009年將增長(zhǎng)二倍全國(guó)60%以上的政府建立了上網(wǎng)行為監(jiān)管全國(guó)40%以上的政府對(duì)網(wǎng)絡(luò)出口進(jìn)行了有效流量管理 第二章政府網(wǎng)絡(luò)安全建設(shè)目標(biāo)及內(nèi)容2.1指導(dǎo)思想按國(guó)家公安部、國(guó)家保密局、國(guó)家密碼辦等關(guān)于2007全年全面開(kāi)展全國(guó)信息安全等級(jí)化保護(hù)的要求有規(guī)定。國(guó)家要求各級(jí)部委及下屬單位、各級(jí)政府對(duì)所涉及的信息安全的信息系統(tǒng)進(jìn)行定級(jí)備案和等級(jí)劃分和評(píng)估。而根據(jù)這方面的國(guó)家指示和要求，林業(yè)廳在此次網(wǎng)絡(luò)安全的指導(dǎo)思想主要在下面幾個(gè)方面進(jìn)行注意：物理安全；網(wǎng)絡(luò)安全；主機(jī)安全；應(yīng)用安全；數(shù)據(jù)安全林業(yè)廳此次政府網(wǎng)整體安全建設(shè)的指導(dǎo)思想和原則是：適應(yīng)廠情，詳細(xì)規(guī)劃，論證合理，逐步發(fā)展，保持先進(jìn)。建成一個(gè)具有一定規(guī)模容量，技術(shù)先進(jìn)、功能齊全、、安全可靠、審計(jì)管理、全面控制，適應(yīng)全方位、多層次需求的現(xiàn)代化的安全網(wǎng)絡(luò)。設(shè)計(jì)簡(jiǎn)單、結(jié)構(gòu)靈活、可塑性好，便于更新調(diào)整和擴(kuò)展升級(jí)。2.2建設(shè)目標(biāo)政府網(wǎng)安全的應(yīng)用需求政府網(wǎng)平臺(tái)建設(shè)均采取“總體規(guī)劃、方案論證、分步實(shí)施”的方式積極推進(jìn)政府信息化進(jìn)程。根據(jù)各政府的特點(diǎn)制定信息化建設(shè)數(shù)據(jù)標(biāo)準(zhǔn)，建立了結(jié)構(gòu)合理的安全數(shù)字化政府平臺(tái)，實(shí)施了政府網(wǎng)絡(luò)平臺(tái)及政府資源中心、綜合管理系統(tǒng)、辦公信息管理系統(tǒng)、電子郵件系統(tǒng)及郵件網(wǎng)關(guān)等。信息化應(yīng)用取得明顯成效，顯著提升了政府辦公及管理水平。合理使用互聯(lián)網(wǎng)資料、充分保障內(nèi)網(wǎng)辦公安全、嚴(yán)格管理控制專(zhuān)網(wǎng)使用將是政府網(wǎng)絡(luò)安全的最需要考慮的方面。第三章林業(yè)廳整體網(wǎng)絡(luò)安全方案3.1林業(yè)廳政府網(wǎng)整體安全建設(shè)的需求及意義林業(yè)廳網(wǎng)絡(luò)包括涉密網(wǎng)、內(nèi)部網(wǎng)(業(yè)務(wù)網(wǎng))、外部網(wǎng)(公開(kāi)網(wǎng)站等)三個(gè)部分。其中，政務(wù)內(nèi)網(wǎng)、外網(wǎng)承載著財(cái)政、審計(jì)等功能?？偟墓?jié)點(diǎn)有數(shù)百臺(tái)，設(shè)備眾多。而涉密網(wǎng)中存儲(chǔ)著政務(wù)中的各種機(jī)要文件，如全省相關(guān)行業(yè)的核心經(jīng)濟(jì)數(shù)據(jù)、省重要干部信息、中央下發(fā)的涉密工作文件等。林業(yè)廳在信息安全方面也作了大量工作，出于安全的考慮，已經(jīng)將網(wǎng)絡(luò)中的涉密網(wǎng)及政務(wù)內(nèi)、外網(wǎng)進(jìn)行了物理隔離。兩個(gè)網(wǎng)絡(luò)的數(shù)據(jù)不能相互通信。而涉密網(wǎng)也及因特網(wǎng)隔離，保證了涉密數(shù)據(jù)不外泄。然而在日常工作中，涉密網(wǎng)中的某個(gè)職員想在因特網(wǎng)上進(jìn)行數(shù)據(jù)查詢(xún)，考慮到去政務(wù)外網(wǎng)中查詢(xún)不太方便，該職員就在涉密網(wǎng)終端上通過(guò)連接政務(wù)外網(wǎng)網(wǎng)線(xiàn)的方式，訪(fǎng)問(wèn)了因特網(wǎng)。該職員在因特網(wǎng)上瀏覽網(wǎng)頁(yè)時(shí)，訪(fǎng)問(wèn)了某個(gè)論壇，而這個(gè)論壇正好被黑客攻擊了，網(wǎng)頁(yè)上被掛了利用“網(wǎng)頁(yè)木馬生成器”打包進(jìn)去的灰鴿子變種病毒。黑客利用“自動(dòng)下載程序技術(shù)”，讓該職員在未察覺(jué)的情況下可能會(huì)被種植了木馬。隨著國(guó)家政府上網(wǎng)工程的不斷開(kāi)展，我國(guó)計(jì)算機(jī)及網(wǎng)絡(luò)泄密案件也在逐年增加。據(jù)報(bào)道，在上年的一起網(wǎng)絡(luò)間諜案調(diào)查中，有關(guān)部門(mén)從政府某部門(mén)的內(nèi)部電腦網(wǎng)絡(luò)發(fā)行了非法外聯(lián)的情況，并在許多內(nèi)部電腦中檢測(cè)出了不少特制的木馬程序，檢測(cè)結(jié)果表明，所有入侵木馬的連接都指向境外的特定間諜機(jī)構(gòu)。專(zhuān)業(yè)部門(mén)進(jìn)行檢測(cè)時(shí)，測(cè)出的木馬很多還正在下載、外傳資料，專(zhuān)業(yè)人員當(dāng)即采取措施，制止了進(jìn)一步的危害。3安全信息化政府網(wǎng)的意義政府信息化應(yīng)該是以IP通信平臺(tái)為基礎(chǔ),實(shí)現(xiàn)環(huán)境(特別是重點(diǎn)、敏感區(qū)域的視頻監(jiān)控)、資源（網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源）、到活動(dòng)（網(wǎng)絡(luò)的開(kāi)放架構(gòu)對(duì)定制業(yè)務(wù)的支持）的全部數(shù)字化，利用標(biāo)準(zhǔn)的ITOIP解決方案，以IP技術(shù)為標(biāo)準(zhǔn)技術(shù)，利用SOA開(kāi)放架構(gòu)實(shí)現(xiàn)對(duì)整體IT平臺(tái)的統(tǒng)一集成支撐并保障其在網(wǎng)絡(luò)中的信息安全可靠。建設(shè)安全可靠的政府網(wǎng)絡(luò)平臺(tái) 具備網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化能力——政府網(wǎng)的整體架構(gòu)具備更有效的容災(zāi)能力，以應(yīng)對(duì)故障節(jié)點(diǎn)、故障鏈路、路由震蕩所帶來(lái)對(duì)業(yè)務(wù)的影響；而隨著政府核心網(wǎng)的普及，應(yīng)用對(duì)帶寬新的要求，政府網(wǎng)需要具備網(wǎng)絡(luò)千兆到匯聚的升級(jí)能力、以及關(guān)鍵業(yè)務(wù)千兆到桌面的能力； 具備網(wǎng)絡(luò)業(yè)務(wù)拓展能力——政府業(yè)務(wù)可平滑向下一代網(wǎng)絡(luò)遷移，向IPv6遷移兼容現(xiàn)有政府組網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，保護(hù)投資；政府業(yè)務(wù)可以隨時(shí)隨地使用，政府業(yè)務(wù)可以基于移動(dòng)漫游環(huán)境，移動(dòng)漫游環(huán)境無(wú)需管理者手工干預(yù) 具備安全滲透防御能力——政府網(wǎng)出口具備攻擊、非法業(yè)務(wù)的隔離、控制，具備在線(xiàn)主動(dòng)抵御的能力；政府核心網(wǎng)絡(luò)自身集成安全防御能力，縮小攻擊、病毒在政府影響范圍；用戶(hù)接入網(wǎng)絡(luò)屏蔽用戶(hù)非法操作，隔離網(wǎng)絡(luò)攻擊3.1.2 政府網(wǎng)絡(luò)安全面對(duì)全球性的信息技術(shù)發(fā)展環(huán)境，中國(guó)的政府部門(mén)一直在加強(qiáng)信息化建設(shè)的步伐。自十幾年前政府網(wǎng)建設(shè)啟動(dòng)至今，目前100%的省市級(jí)政府建立了政府網(wǎng)。目前政府信息系統(tǒng)已由基礎(chǔ)網(wǎng)絡(luò)建設(shè)向內(nèi)容建設(shè)邁進(jìn)，管理、增值、合作等越來(lái)越多的應(yīng)用在政府網(wǎng)絡(luò)上運(yùn)行。隨著信息系統(tǒng)的廣泛使用，信息的安全、可靠、服務(wù)的連續(xù)運(yùn)行變得越來(lái)越重要，任何的停機(jī)會(huì)讓我們無(wú)所適從，迫使我們不得不考慮信息系統(tǒng)的整體安全性建設(shè)。其存在以下安全風(fēng)險(xiǎn)和其脆弱性：政府信息網(wǎng)平臺(tái)比較開(kāi)放，終端數(shù)量龐大，非常容易受到來(lái)自CERNET本身的安全威脅，例如網(wǎng)絡(luò)蠕蟲(chóng)傳播、安全攻擊，垃圾郵件泛濫等等。此外，政府網(wǎng)終端沒(méi)有統(tǒng)一的管理，每臺(tái)機(jī)器上的操作系統(tǒng)安全漏洞補(bǔ)丁不能及時(shí)更新。這些威脅都會(huì)嚴(yán)重影響政府網(wǎng)絡(luò)的正常使用。政府在聯(lián)系網(wǎng)使用過(guò)程中的數(shù)據(jù)需要采取嚴(yán)格的安全保護(hù)措施。對(duì)這部分網(wǎng)絡(luò)的訪(fǎng)問(wèn)并不一定完全是政府內(nèi)部的人員，同時(shí)還會(huì)有相關(guān)的政府以外的人員。必須要對(duì)該網(wǎng)段的訪(fǎng)問(wèn)進(jìn)行嚴(yán)格的監(jiān)控和控制措施，以保障其信息的完整性。政府網(wǎng)的管理結(jié)構(gòu)相對(duì)簡(jiǎn)單，沒(méi)有系統(tǒng)的安全管理和安全事件監(jiān)控機(jī)制。一旦遇到網(wǎng)絡(luò)蠕蟲(chóng)傳播、垃圾郵件擁塞、安全攻擊等緊急情況，沒(méi)有相應(yīng)的處理流程。而且，如果只是通過(guò)被動(dòng)的事后響應(yīng)，政府投入的IT資源回報(bào)無(wú)法最大化，總是在事倍功半的惡性循環(huán)之中。通過(guò)上述總結(jié)分析可以看出，政府網(wǎng)的安全防護(hù)必須是多層次的，全方位的。根據(jù)政府網(wǎng)的實(shí)際情況，設(shè)計(jì)了完整、先進(jìn)的政府網(wǎng)主動(dòng)安全防護(hù)體系也是十分必要的。3.1.3 政府網(wǎng)絡(luò)涉密通常出現(xiàn)的隱患 非法外聯(lián)的威脅 現(xiàn)在，一些安全性較高的內(nèi)部網(wǎng)絡(luò)(如政府部門(mén)、軍事部門(mén)的網(wǎng)絡(luò))常常及外部網(wǎng)絡(luò)(如Internet)實(shí)施物理隔離，以確保其網(wǎng)絡(luò)的安全性。物理隔離確保了外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間不存在任何可能的物理鏈路，因此這種安全手段對(duì)付外部攻擊是十分高效的。但是，假如這樣的網(wǎng)絡(luò)中有某個(gè)主機(jī)通過(guò)撥號(hào)或其他形式私自接入外部網(wǎng)絡(luò)，這種物理隔離就會(huì)被破壞。黑客極可能通過(guò)該主機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò)，進(jìn)而通過(guò)嗅探、破解密碼等方式對(duì)內(nèi)部的關(guān)鍵信息或敏感數(shù)據(jù)進(jìn)行收集，或以該主機(jī)為“跳板”對(duì)內(nèi)部網(wǎng)絡(luò)的其他主機(jī)進(jìn)行攻擊。一直以來(lái)，安全防御理念局限在常規(guī)的網(wǎng)關(guān)級(jí)別(防火墻等)、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計(jì)、防病毒、IDS)等方面的防御，重要的安全設(shè)施大致集中于機(jī)房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。于是，來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅成了多數(shù)網(wǎng)絡(luò)管理人員真正需要面對(duì)的問(wèn)題。在實(shí)施物理隔離的工作中，工作量最大的部分來(lái)自客戶(hù)端的安全管理部分，對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)威脅最大的也同樣是客戶(hù)端安全管理。我們知道，內(nèi)網(wǎng)的客戶(hù)端構(gòu)成了內(nèi)網(wǎng)90%以上的組成，當(dāng)之無(wú)愧地成為內(nèi)網(wǎng)安全的重中之重。實(shí)踐證明，單純的物理隔離手段還不足以完全將內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，對(duì)內(nèi)網(wǎng)客戶(hù)端機(jī)器使用、管理還存在眾多安全隱患，特別是非法外聯(lián)的隱患?！胺欠ㄍ饴?lián)”主要表現(xiàn)為內(nèi)網(wǎng)客戶(hù)端機(jī)器內(nèi)外網(wǎng)線(xiàn)交叉錯(cuò)接;內(nèi)網(wǎng)客戶(hù)端機(jī)器使用撥號(hào)、無(wú)線(xiàn)網(wǎng)卡、雙網(wǎng)卡等方式接入外網(wǎng);方便攜帶的筆記本電腦按入內(nèi)部網(wǎng)絡(luò)使用，事后又接入外部網(wǎng)絡(luò)使用。這些人為故意或無(wú)意的疏忽，在內(nèi)網(wǎng)及外網(wǎng)間開(kāi)出了新的連接通道，外部的黑客攻擊或者病毒就能夠繞過(guò)內(nèi)、外網(wǎng)之間的防護(hù)屏障，順利侵入非法外聯(lián)的計(jì)算機(jī)，盜竊內(nèi)網(wǎng)的敏感信息和機(jī)密數(shù)據(jù)，甚至利用該機(jī)作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務(wù)器，導(dǎo)致整個(gè)內(nèi)網(wǎng)工作癱瘓。木馬入侵靜悄悄內(nèi)部終端非法外聯(lián)到外部網(wǎng)絡(luò)后，常碰到各種安全威脅，如病毒、木馬、非授權(quán)訪(fǎng)問(wèn)、數(shù)據(jù)竊聽(tīng)、暴力破解等。其中木馬是目前威脅比較廣、威脅后果比較嚴(yán)重、常導(dǎo)致涉密信息泄漏的一種威脅。木馬具有高度的隱蔽性，入侵后用戶(hù)毫無(wú)察覺(jué)，這也給黑客盜取用戶(hù)私人信息提供了“有利”條件。黑客往往通過(guò)郵件、IM工具以及網(wǎng)頁(yè)掛馬等方式將木馬植入用戶(hù)電腦，進(jìn)而獲得用戶(hù)電腦的控制權(quán)，對(duì)用戶(hù)電腦內(nèi)的私人信息為所欲為。調(diào)查表明，木馬入侵的重要的途徑是涉密網(wǎng)絡(luò)終端不遵守保密管理辦法，例如非法接入到外部網(wǎng)絡(luò)，移動(dòng)介質(zhì)和非移動(dòng)介質(zhì)混用等情況，境外間諜部門(mén)專(zhuān)門(mén)設(shè)計(jì)了各種各樣的木馬，并且搜集了我國(guó)大量保密單位工作人員的個(gè)人網(wǎng)址或在許多站點(diǎn)網(wǎng)頁(yè)掛馬，只要這些人當(dāng)中有非法連接到互聯(lián)網(wǎng)，擺渡木馬就有可能悄悄植入內(nèi)部網(wǎng)絡(luò)終端，立刻感染內(nèi)網(wǎng)，把保密資料傳輸?shù)焦粽咧付ǖ胤?，從而?shí)現(xiàn)保密信息的竊取?？梢钥闯觯诒Ｃ軆?nèi)網(wǎng)的安全建設(shè)中，非法外聯(lián)和木馬攻擊是兩大突出問(wèn)題，需要在安全措施上提供完成全面的應(yīng)對(duì)手段。3.2林業(yè)廳整體網(wǎng)絡(luò)安全分析通過(guò)前面所述林業(yè)廳信息安全需求及意義總結(jié)分析可以看出，林業(yè)廳政府網(wǎng)的安全防護(hù)必須是多層次的，全方位的。根據(jù)政府網(wǎng)的實(shí)際情況，設(shè)計(jì)了完整、先進(jìn)的政府網(wǎng)主動(dòng)安全防護(hù)體系，它主要包括：－政府網(wǎng)絡(luò)出口統(tǒng)一審計(jì)控制－政府網(wǎng)絡(luò)內(nèi)部安全監(jiān)控和防御－政府網(wǎng)絡(luò)內(nèi)部重要服務(wù)器、應(yīng)用防護(hù)－政府網(wǎng)絡(luò)內(nèi)部終端安全防護(hù)－政府網(wǎng)絡(luò)出口流量的管理及控制政府網(wǎng)信息安全管理體系3.2.1．林業(yè)廳網(wǎng)絡(luò)出口統(tǒng)一審計(jì)控制當(dāng)今信息安全廠家比較多，根據(jù)財(cái)政部制定的《自主創(chuàng)新產(chǎn)品政府首購(gòu)和訂購(gòu)管理辦法》和《政府采購(gòu)進(jìn)口產(chǎn)品管理辦法》近日開(kāi)始實(shí)施。特別是國(guó)家公安部及國(guó)家保密局從2007全面開(kāi)展的等級(jí)化保護(hù)及分級(jí)化保護(hù)等要求。我們建議在信息安全產(chǎn)品中還應(yīng)該以國(guó)內(nèi)產(chǎn)品為主。聯(lián)想網(wǎng)御、啟明星辰、任子行等都是國(guó)內(nèi)在信息安全領(lǐng)域的著名制造廠家。它們采用了多種先進(jìn)的安全技術(shù)，對(duì)進(jìn)、出政府網(wǎng)的數(shù)據(jù)包進(jìn)行檢查、處理和控制。它可以滿(mǎn)足政府網(wǎng)抵御混合型威脅的需要。作為業(yè)界最全面的統(tǒng)一威脅和審計(jì)管理設(shè)備，它將全封包檢查防火墻、基于協(xié)議異常和基于特征的入侵防御及入侵檢測(cè)引擎技術(shù)無(wú)縫地集成在一起。在政府網(wǎng)出口的地方，我們還可以利用建立出DMZ區(qū)域，放入一些對(duì)應(yīng)的服務(wù)器，如WEB服務(wù)器，EMAIL服務(wù)器等。為了避免政府出口的單點(diǎn)故障，可以部署兩臺(tái)或多臺(tái)設(shè)備。這些設(shè)備可以同時(shí)執(zhí)行負(fù)載均衡和高可用性責(zé)任。以上方案的效果可以使管理員靈活控制來(lái)自CERNET的通訊流量，阻止各種政府外來(lái)黑客攻擊和病毒、蠕蟲(chóng)以及垃圾郵件；對(duì)DMZ區(qū)和政府內(nèi)部網(wǎng)絡(luò)區(qū)別看待，使用不同的安全訪(fǎng)問(wèn)控制規(guī)則。除了在政府網(wǎng)出口部署統(tǒng)一威脅管理方案，還可以在政府外網(wǎng)的網(wǎng)段之間部署。設(shè)置適合本網(wǎng)段的安全訪(fǎng)問(wèn)控制規(guī)則及安全攻擊檢測(cè)規(guī)則，保護(hù)信息以合法的方式被訪(fǎng)問(wèn)。對(duì)于政府網(wǎng)的其它網(wǎng)段，可視情況部署同樣的方案。利用防火墻部署在政府網(wǎng)出口和內(nèi)部重要網(wǎng)段；利用網(wǎng)絡(luò)安全審計(jì)部署在政府網(wǎng)出口和內(nèi)部重要網(wǎng)段，作為政府網(wǎng)絡(luò)中的網(wǎng)絡(luò)審計(jì)及上網(wǎng)形為審計(jì)等方面。特點(diǎn)如下：全面記錄網(wǎng)絡(luò)訪(fǎng)問(wèn)信息強(qiáng)大高效的防泄密功能即時(shí)通訊、股票軟件、游戲控制豐富的網(wǎng)站分類(lèi)控制強(qiáng)大的日志查詢(xún)及分析靈活直觀的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略特別是應(yīng)具有用旁路模式完全不會(huì)影響任何網(wǎng)絡(luò)速度和網(wǎng)絡(luò)上的應(yīng)用。3.2.2．政府自從2003年沖擊波病毒發(fā)作以來(lái)，安全問(wèn)題已經(jīng)成為所有政府和個(gè)人用戶(hù)最為關(guān)注的問(wèn)題。長(zhǎng)期以來(lái)，IT管理人員都把保證系統(tǒng)的安全作為其關(guān)注的焦點(diǎn)，并實(shí)施了豐富的解決方案。但是實(shí)施的效果并不是非常理想。除了因?yàn)橛绊懻W(wǎng)絡(luò)安全的因素比較復(fù)雜，要保證從網(wǎng)絡(luò)，設(shè)備，系統(tǒng)到應(yīng)用層的整體安全之外，更重要的一點(diǎn)是因?yàn)橐酝陌踩鉀Q方案大多是構(gòu)建政府網(wǎng)絡(luò)邊界的安全屏障，而且往往針對(duì)某種特定的安全防護(hù)技術(shù)，針對(duì)內(nèi)部的和全面的攻擊方式缺乏前瞻性的預(yù)防。統(tǒng)計(jì)表明，安全威脅大部分來(lái)自于內(nèi)部的攻擊，而攻擊產(chǎn)生的原因除了少量來(lái)自?xún)?nèi)部蓄意的惡意攻擊之外，往往是由于用戶(hù)對(duì)設(shè)備和應(yīng)用使用的不規(guī)范性，用戶(hù)系統(tǒng)本身的安全級(jí)別不高造成的。所面臨嚴(yán)重的安全威脅現(xiàn)實(shí)要求，只有對(duì)用戶(hù)的安全行為進(jìn)行規(guī)范，對(duì)終端平臺(tái)的安全性進(jìn)行整體管理，才可以便被動(dòng)防御為主動(dòng)預(yù)防，消滅安全威脅的主要來(lái)源和傳播途徑。在這里就必須引入配置安全管理的概念。所謂的配置安全管理，是指使用安全管理工具，通過(guò)收集設(shè)備終端安全相關(guān)的細(xì)粒度信息和監(jiān)控用戶(hù)的安全行為，并通過(guò)遠(yuǎn)程操作迅速應(yīng)對(duì)安全威脅來(lái)實(shí)現(xiàn)對(duì)終端系統(tǒng)安全的全面監(jiān)控和保障。我政府由于現(xiàn)有網(wǎng)絡(luò)安全設(shè)備不足這方面也是一樣困惑和防礙網(wǎng)絡(luò)大規(guī)模發(fā)展的因素之一。只單單依靠現(xiàn)有技術(shù)人員的手工操作已經(jīng)無(wú)法適應(yīng)我政府高速發(fā)展的信息化建設(shè)要求，也無(wú)法滿(mǎn)足政府對(duì)于信息安全的渴求。該產(chǎn)品應(yīng)該具有配置管理和安全管理集成的解決方案。部署在政府網(wǎng)具備如下特點(diǎn)：產(chǎn)品架構(gòu)和通訊機(jī)制：安全套件包括主動(dòng)的補(bǔ)丁管理，網(wǎng)絡(luò)連接控制，間諜軟件查殺，安全威脅分析，應(yīng)用阻止/禁用，自定義漏洞等功能。這些功能的高效和準(zhǔn)確實(shí)現(xiàn)基于安全套件統(tǒng)一的后臺(tái)架構(gòu)和通訊機(jī)制。網(wǎng)絡(luò)連接控制器：通過(guò)網(wǎng)絡(luò)連接和I/O設(shè)備來(lái)監(jiān)控和限制對(duì)受管設(shè)備的訪(fǎng)問(wèn)?？梢詫?duì)允許設(shè)備連接的網(wǎng)絡(luò)IP地址進(jìn)行限制，也可以對(duì)那些允許訪(fǎng)問(wèn)設(shè)備數(shù)據(jù)的設(shè)備（如端口、調(diào)制解調(diào)器、驅(qū)動(dòng)器、USB端口和無(wú)線(xiàn)連接）的使用進(jìn)行限制。信任訪(fǎng)問(wèn)可以為整個(gè)政府網(wǎng)絡(luò)提高終端的符合性安全：通過(guò)在安全和修補(bǔ)程序管理工具中配置自定義的符合性安全策略，對(duì)于試圖訪(fǎng)問(wèn)政府網(wǎng)絡(luò)的設(shè)備，強(qiáng)制性地通過(guò)驗(yàn)證過(guò)程保證這些安全策略的符合性。自動(dòng)的廠家安全更新。來(lái)自廠家安全響應(yīng)中心的定期、快速響應(yīng)安全更新可提供頂尖的安全保護(hù)和最新的安全上下文信息，包括利用和漏洞信息、事件說(shuō)明以及用于防御不斷增多的威脅的事件細(xì)化規(guī)則。這些操作大大減少了政府管理員的維護(hù)工作量。3.2.4．政府網(wǎng)服務(wù)器安全防護(hù)內(nèi)網(wǎng)危機(jī)往往在一般的網(wǎng)絡(luò)拓?fù)渲校瑑?nèi)網(wǎng)的保護(hù)措施僅僅只有漏洞掃描，那么漏洞掃描所起到的作用只能是檢測(cè)到未補(bǔ)丁、或安裝了某些有漏洞的軟件的機(jī)器，而且相對(duì)來(lái)說(shuō)漏洞掃描的策略庫(kù)是比較滯后的，必須是非常普及的漏洞才能檢測(cè)得到，對(duì)新的或未知的漏洞沒(méi)有任何作用，而且有一定誤報(bào)率非常高，使管理員無(wú)法準(zhǔn)確判斷漏洞是否真的存在，延誤了修補(bǔ)工作的進(jìn)度。而且VLAN之間所運(yùn)行的服務(wù)如：Web、數(shù)據(jù)庫(kù)和FTP服務(wù)等，而這一類(lèi)服務(wù)的認(rèn)證方式在傳輸過(guò)程是均是采用明文，如在其中一臺(tái)機(jī)器上進(jìn)行ARP欺騙將及Sniffer，那么內(nèi)網(wǎng)中所有敏感的用戶(hù)以及口令將全部被截獲。并可造成內(nèi)網(wǎng)的拒絕服務(wù)。脆弱的二級(jí)操作系統(tǒng)往往服務(wù)器除安裝補(bǔ)丁以及一些手工加固以后，沒(méi)有對(duì)系統(tǒng)本身保護(hù)的產(chǎn)品和措施，那么如果采用來(lái)自應(yīng)用層的攻擊，且進(jìn)行包重組技術(shù)，完全有可能擾過(guò)IDS，由于是應(yīng)用層攻擊，防火墻無(wú)法控制，那么這種攻擊行為可以直接順利進(jìn)入內(nèi)網(wǎng)任何一臺(tái)服務(wù)器，而對(duì)于殺毒軟件來(lái)說(shuō)，攻擊者只需要稍微對(duì)攻擊的特征代碼進(jìn)行修改，就可輕松逃避殺毒軟件。我們可以說(shuō)只要通過(guò)防火墻，操作系統(tǒng)將成為沒(méi)有任何防御攻擊能力的傀儡。系統(tǒng)內(nèi)核安全設(shè)計(jì)在內(nèi)網(wǎng)服務(wù)器上安裝服務(wù)器安全加固系統(tǒng)，將服務(wù)器安全透明提升到三級(jí)標(biāo)準(zhǔn)，這樣可以預(yù)防為知的漏洞攻擊、病毒以及攻擊手法，即使攻擊者能夠突破防火墻、IDS、漏洞掃描，也不能夠?qū)Ψ?wù)器造成任何威脅，并在Web服務(wù)器上安裝Web衛(wèi)士，避免了Web應(yīng)用攻擊手法，保證了Web服務(wù)器以及數(shù)據(jù)庫(kù)的安全。常見(jiàn)的操作系統(tǒng)有WINDOWS，LINUX/UNIX，UNIX等，那么系統(tǒng)層的安全一般由廠商來(lái)控制，商用系統(tǒng)普通用戶(hù)無(wú)法對(duì)系統(tǒng)內(nèi)核進(jìn)行修改，而目前所有操作系統(tǒng)通過(guò)手工配置僅能達(dá)到等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)（自主訪(fǎng)問(wèn)控制），也就是說(shuō)一旦超級(jí)管理員權(quán)限被攻擊者或病毒獲取，那么系統(tǒng)無(wú)其他防護(hù)措施。那么在系統(tǒng)層的安全隱患主要有：系統(tǒng)內(nèi)核漏洞、緩沖區(qū)溢出、系統(tǒng)自帶的服務(wù)漏洞、以及非可信的訪(fǎng)問(wèn)。因?yàn)闊o(wú)論是病毒和黑客攻擊行為的發(fā)生，前提必須有一個(gè)生存環(huán)境：文件、進(jìn)程、服務(wù)、權(quán)限、網(wǎng)絡(luò)、注冊(cè)表（僅WINDOWS）。那么只要控制生存環(huán)境，那么可以說(shuō)對(duì)二級(jí)以下的安全隱患會(huì)產(chǎn)生免疫。及傳統(tǒng)的防火墻、入侵檢測(cè)系統(tǒng)等基于網(wǎng)絡(luò)防護(hù)的安全產(chǎn)品不同，能夠很好地滿(mǎn)足現(xiàn)有各種復(fù)雜的網(wǎng)絡(luò)環(huán)境的應(yīng)用需求，并已達(dá)到了國(guó)家等級(jí)保護(hù)三級(jí)技術(shù)要求。為用戶(hù)的網(wǎng)絡(luò)服務(wù)器構(gòu)造一個(gè)可信的運(yùn)營(yíng)平臺(tái)。安全功能強(qiáng)制的訪(fǎng)問(wèn)控制功能：內(nèi)核級(jí)實(shí)現(xiàn)文件強(qiáng)制訪(fǎng)問(wèn)控制、注冊(cè)表強(qiáng)制訪(fǎng)問(wèn)控制、進(jìn)程強(qiáng)制訪(fǎng)問(wèn)控制，服務(wù)強(qiáng)制訪(fǎng)問(wèn)控制。安全審計(jì)功能：文件的完整性檢測(cè)、服務(wù)的完整性檢測(cè)，WEB請(qǐng)求監(jiān)測(cè)過(guò)濾。系統(tǒng)自身的保護(hù)功能：保護(hù)系統(tǒng)自身進(jìn)程不被異常終止、偽造、信息注入。安全等級(jí)提供國(guó)家第三級(jí)安全等級(jí)標(biāo)準(zhǔn)的安全功能?？刹僮餍酝耆嫒軼indows2000/2003系統(tǒng)，專(zhuān)業(yè)的、人性化的操作界面，運(yùn)行開(kāi)銷(xiāo)小，不會(huì)引起能察覺(jué)的系統(tǒng)延時(shí)，對(duì)用戶(hù)透明。

第四章 林業(yè)廳整體網(wǎng)絡(luò)安全建議方案根據(jù)林業(yè)廳的實(shí)際情況和網(wǎng)絡(luò)日益發(fā)展的需求。我們將采用二套整體網(wǎng)安全解決方案（一套建議、一套可選），以便領(lǐng)導(dǎo)進(jìn)行參考。同時(shí)也將根據(jù)不同規(guī)格的方案列出相應(yīng)具體功能和優(yōu)勢(shì)。4.1 信息安全建議的政府網(wǎng)方案 根據(jù)政府網(wǎng)的各種需求及發(fā)展，前面所述已經(jīng)十分明顯。為什么我們建議在網(wǎng)絡(luò)擴(kuò)展及信息化政府下要優(yōu)先考慮信息安全呢？ 其它原因比較簡(jiǎn)單：信息安全無(wú)論是在任何情況下都是信息發(fā)展的最重要因素之一。信息安全體系的建立是林業(yè)廳在現(xiàn)在網(wǎng)絡(luò)情況下最急需的，也就是說(shuō)在沒(méi)有擴(kuò)容和改造的前提下，也應(yīng)該先將建立網(wǎng)絡(luò)安全方面的工作。信息安全體系的建立是國(guó)家法律法規(guī)上的要求、公安部及教育部推行的等級(jí)化保護(hù)、以及信息化不斷發(fā)展的需求下所決定的。4網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則安全方案建議充分理解我院需求的前提下，綜合考慮了多方面的因素，符合如下的設(shè)計(jì)原則：1.綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專(zhuān)業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。2.需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性及定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。3.一致性原則一致性原則主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)及整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須及網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（包括初步或詳細(xì)設(shè)計(jì)）及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容及措施，實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開(kāi)始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也小得多。4.易操作性原則安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。5.分步實(shí)施原則由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此統(tǒng)一規(guī)劃、分步實(shí)施，即可滿(mǎn)足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開(kāi)支。6.可擴(kuò)展性原則由于網(wǎng)絡(luò)安全是動(dòng)態(tài)的，雖然現(xiàn)在的方案解決了目前安全，但是隨著時(shí)間的變化，原有的網(wǎng)絡(luò)安全解決方案可能滿(mǎn)足不了其需求，這時(shí)就需要對(duì)原有的網(wǎng)絡(luò)解決方案進(jìn)行升級(jí)，所以現(xiàn)有的網(wǎng)絡(luò)解決方案應(yīng)該是具有可擴(kuò)展性。7.先進(jìn)性原則林業(yè)廳網(wǎng)絡(luò)系統(tǒng)其網(wǎng)絡(luò)安全的建設(shè)更是代表了整個(gè)林業(yè)廳的網(wǎng)絡(luò)安全技術(shù)水平，所以林業(yè)廳網(wǎng)絡(luò)系統(tǒng)的安全必須是有一個(gè)先進(jìn)水平的安全。具體的技術(shù)和技術(shù)方案應(yīng)保證整個(gè)系統(tǒng)具有的技術(shù)先進(jìn)性。8.合理規(guī)劃,分步實(shí)施原則一個(gè)完整的網(wǎng)絡(luò)安全解決方案不可能在很短的時(shí)間全部實(shí)施完成，需要對(duì)整個(gè)安全建設(shè)過(guò)程進(jìn)行合理的規(guī)劃。9.保障安全系統(tǒng)自身的安全原則網(wǎng)絡(luò)安全系統(tǒng)是保護(hù)整個(gè)網(wǎng)絡(luò)的重要部分，如果網(wǎng)絡(luò)安全系統(tǒng)本身被攻破，那么整個(gè)網(wǎng)絡(luò)就自然被攻破了，所以安全系統(tǒng)本身的安全也是必須是林業(yè)廳網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全所必須考慮的。10.投入產(chǎn)出比原則結(jié)合林業(yè)廳網(wǎng)絡(luò)系統(tǒng)自身的網(wǎng)絡(luò)結(jié)構(gòu)和已經(jīng)使用部分了的安全產(chǎn)品設(shè)計(jì)一個(gè)完整的安全解決方案，讓用戶(hù)用最小的投資獲取最大的回報(bào)，避免重復(fù)性投資。上面的幾點(diǎn)是本安全方案建議的考慮，希望通過(guò)下面提到的良好的產(chǎn)品性能和方案設(shè)計(jì)，再加上供應(yīng)商提供的良好服務(wù)，為我院的整體網(wǎng)絡(luò)安全建設(shè)提供有利的保障。安全需求分析泄密及信息安全事件是由一系列事件構(gòu)成的，包括內(nèi)網(wǎng)非法外聯(lián)、木馬通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)、木馬感染主機(jī)、泄密、發(fā)現(xiàn)泄密事件等階段。要防止泄密事件的發(fā)生，就要阻斷木馬傳播、主動(dòng)預(yù)防、檢測(cè)和清除木馬，形成一個(gè)縱深的防御體系。對(duì)邊界防護(hù)的需求木馬都是由外部網(wǎng)絡(luò)傳入內(nèi)部網(wǎng)絡(luò)的，必須在邊界處進(jìn)行有效的控制，防止惡意行為的發(fā)生，實(shí)現(xiàn)拒敵于國(guó)門(mén)之外。針對(duì)邊界防護(hù)，需要考慮加強(qiáng)防護(hù)的方面有：內(nèi)網(wǎng)和外網(wǎng)間的邊界防護(hù)在條件允許的情況下，實(shí)現(xiàn)保密內(nèi)網(wǎng)及外網(wǎng)的物理隔離，從而將攻擊者、攻擊途徑徹底隔斷。即使在部分單位，內(nèi)網(wǎng)、外網(wǎng)有交換數(shù)據(jù)的需求，也必須部署安全隔離和信息交換系統(tǒng)，從而實(shí)現(xiàn)單向信息交換，即只允許外網(wǎng)數(shù)據(jù)傳輸?shù)絻?nèi)網(wǎng)，禁止內(nèi)網(wǎng)信息流出到外網(wǎng)。對(duì)核心內(nèi)部服務(wù)器的邊界防護(hù)內(nèi)網(wǎng)中常包括核心服務(wù)器群、內(nèi)網(wǎng)終端兩大部分，核心服務(wù)器保存著大部分保密信息。為避免內(nèi)網(wǎng)終端非法外聯(lián)、竊密者非法獲取核心服務(wù)器上的保密數(shù)據(jù)，就要實(shí)現(xiàn)核心服務(wù)器及內(nèi)網(wǎng)終端間的邊界防護(hù)。感染木馬時(shí)，核心服務(wù)器的邊界安全網(wǎng)關(guān)能夠阻止終端的越權(quán)訪(fǎng)問(wèn)，并檢查是否含有木馬，然后進(jìn)行清除。但在實(shí)現(xiàn)網(wǎng)關(guān)的封堵、查殺木馬的同時(shí)，要防止對(duì)系統(tǒng)帶寬資源的嚴(yán)重?fù)p耗。防止不安全的在線(xiàn)非法外聯(lián)內(nèi)網(wǎng)及外網(wǎng)的連接點(diǎn)必須做到可管、可控，必須有效監(jiān)控內(nèi)網(wǎng)是否存在違規(guī)撥號(hào)行為、無(wú)線(xiàn)上網(wǎng)行為、搭線(xiàn)上網(wǎng)行為，避免內(nèi)用戶(hù)采取私自撥號(hào)等方式的訪(fǎng)問(wèn)互聯(lián)網(wǎng)而造成的安全風(fēng)險(xiǎn)。防止離線(xiàn)非法外聯(lián)或不安全的接入行為要限制終端設(shè)備，如PC機(jī)、筆記本，直接接入并訪(fǎng)問(wèn)內(nèi)網(wǎng)區(qū)域，對(duì)于不符合安全條件的設(shè)備(比如沒(méi)有安裝防病毒軟件，操作系統(tǒng)沒(méi)有及時(shí)升級(jí)補(bǔ)丁，沒(méi)有獲得合法分配的IP地址或離線(xiàn)外聯(lián)過(guò))，則必須禁止進(jìn)入。對(duì)主機(jī)安全的需求內(nèi)網(wǎng)終端非法外聯(lián)后木馬入侵的目的都是最終的主機(jī)。主機(jī)的防護(hù)必須全面、及時(shí)。木馬病毒的查殺和檢測(cè)能力的需求由于內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量很多，要確保網(wǎng)絡(luò)中所有計(jì)算機(jī)都安裝防木馬軟件，并實(shí)施實(shí)施統(tǒng)一的防木馬策略。防木馬軟件至少應(yīng)能掃描內(nèi)存、驅(qū)動(dòng)器、目錄、文件和LotusNotes數(shù)據(jù)庫(kù)和郵件系統(tǒng);具備良好的檢測(cè)和清除能力;支持網(wǎng)絡(luò)遠(yuǎn)程自動(dòng)安裝功能和自動(dòng)升級(jí)功能。系統(tǒng)自身安全防護(hù)的需求木馬在主機(jī)中的隱藏、執(zhí)行和攻擊最后都是體現(xiàn)在操作系統(tǒng)層面。要確保操作系統(tǒng)及時(shí)升級(jí)，防止漏洞被木馬和病毒利用。在及時(shí)升級(jí)操作系統(tǒng)的基礎(chǔ)上，要實(shí)時(shí)對(duì)計(jì)算機(jī)進(jìn)程、訪(fǎng)問(wèn)端口的進(jìn)行監(jiān)控，以及時(shí)發(fā)現(xiàn)異常及木馬;同時(shí)要有注冊(cè)表防護(hù)手段，保障木馬不能修改系統(tǒng)信息，從而使木馬不能隱藏及自動(dòng)運(yùn)行。移動(dòng)存儲(chǔ)介質(zhì)控制的需求木馬傳播重要一個(gè)渠道是移動(dòng)存儲(chǔ)介質(zhì)。主機(jī)系統(tǒng)要在移動(dòng)介質(zhì)接入系統(tǒng)時(shí)立即截獲該事件，然后根據(jù)策略或者拒絕接入，或者立即對(duì)移動(dòng)介質(zhì)進(jìn)行掃描，以阻斷移動(dòng)介質(zhì)病毒的自動(dòng)運(yùn)行及傳播。安全審計(jì)的需求系統(tǒng)的日志記錄了系統(tǒng)的工作情況，也反應(yīng)了工作人員的操作行為。審計(jì)關(guān)鍵主機(jī)的訪(fǎng)問(wèn)行為，可判斷內(nèi)部人員是否有違規(guī)的行為;同時(shí)，還可以實(shí)時(shí)發(fā)現(xiàn)木馬的行蹤，并找出深層次的安全威脅。對(duì)安全管理的需求為防止泄密事件的發(fā)生，除了加強(qiáng)安全技術(shù)的管控外，也要加強(qiáng)安全管理。首先，要引入第三方安全服務(wù)，定期查看關(guān)鍵計(jì)算機(jī)設(shè)備的狀態(tài)，以發(fā)現(xiàn)及解決計(jì)算機(jī)中的木馬;其次，要建立應(yīng)急響應(yīng)機(jī)制，使得在泄密事件發(fā)生后，能及時(shí)定位及隔離涉及的主機(jī)，使安全事件能夠追查到責(zé)任人。1、邊界防護(hù)的措施

1)防火墻技術(shù)

防火墻是實(shí)現(xiàn)內(nèi)網(wǎng)終端及內(nèi)網(wǎng)核心服務(wù)器隔離的基本手段。防火墻通常位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域間的唯一連接處，根據(jù)組織的業(yè)務(wù)特點(diǎn)、管理制度所制定的安全策略，運(yùn)用包過(guò)濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實(shí)現(xiàn)對(duì)出入核心服務(wù)器網(wǎng)絡(luò)的信息流進(jìn)行全面的控制(允許通過(guò)、拒絕通過(guò)、過(guò)程監(jiān)測(cè))，控制類(lèi)別包括IP地址、TCP/UDP端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個(gè)方面，從而實(shí)現(xiàn)對(duì)不良網(wǎng)站的封堵。

但是，傳統(tǒng)單一的防火墻無(wú)法有效對(duì)抗更隱蔽的攻擊行為，如欺騙攻擊、木馬攻擊等，因此，有必要在這些邊界采取防護(hù)能力更強(qiáng)的技術(shù)。

2)防病毒網(wǎng)關(guān)技術(shù)

隨著網(wǎng)絡(luò)的飛速發(fā)展，單機(jī)版的防病毒軟件面臨著集中管理、智能更新等多方面的問(wèn)題，無(wú)法對(duì)木馬、蠕蟲(chóng)、郵件性病毒進(jìn)行全網(wǎng)整體的防護(hù)，已經(jīng)不能滿(mǎn)足復(fù)雜應(yīng)用環(huán)境，所以，構(gòu)建整體病毒防護(hù)體系已成為必然。完整的防毒體系包括：

網(wǎng)關(guān)級(jí)防病毒——部署在網(wǎng)絡(luò)入口處，對(duì)木馬、病毒、蠕蟲(chóng)和垃圾郵件進(jìn)行有效過(guò)濾;

服務(wù)器防病毒——服務(wù)器為資源共享和信息交換提供了便利條件，但同時(shí)也給病毒的傳播和擴(kuò)散以可乘之機(jī);

桌面級(jí)防病毒——在客戶(hù)端安裝，將病毒在本地清除而不至于擴(kuò)散到其他主機(jī)或服務(wù)器;

病毒管理中心——能實(shí)現(xiàn)防病毒軟件的集中管理和分發(fā)、病毒庫(kù)分發(fā)、病毒事件集中審計(jì)等。

在不及外網(wǎng)連接的內(nèi)部保密網(wǎng)中，可將防病毒網(wǎng)關(guān)部署在核心服務(wù)器區(qū)和終端區(qū)之間，通過(guò)網(wǎng)關(guān)把病毒拒于核心服務(wù)器區(qū)網(wǎng)絡(luò)之外。

在及外網(wǎng)連接的內(nèi)部保密網(wǎng)中，可將防病毒網(wǎng)關(guān)部署在外網(wǎng)和內(nèi)網(wǎng)連接邊界中之間，通過(guò)網(wǎng)關(guān)把病毒拒于內(nèi)部保密網(wǎng)絡(luò)之外。這要求網(wǎng)關(guān)防毒產(chǎn)品部署簡(jiǎn)便、能承受防病毒網(wǎng)關(guān)的數(shù)據(jù)流量、能檢測(cè)并清除病毒。

3)終端防護(hù)系統(tǒng)

為了防止不安全的在線(xiàn)非法外聯(lián)、離線(xiàn)非法外聯(lián)或不安全的接入行為，必須把終端防護(hù)系統(tǒng)及其它網(wǎng)關(guān)防護(hù)技術(shù)結(jié)合起來(lái)。

通過(guò)終端防護(hù)系統(tǒng)的統(tǒng)一策略配置的主機(jī)防火墻和主機(jī)IDS，能實(shí)現(xiàn)對(duì)桌面系統(tǒng)的網(wǎng)絡(luò)安全檢測(cè)和防護(hù)，當(dāng)IDS檢測(cè)到威脅后，能及主機(jī)防火墻進(jìn)行聯(lián)動(dòng)，自動(dòng)阻斷外部攻擊行為。

通過(guò)終端防護(hù)系統(tǒng)，可對(duì)桌面系統(tǒng)的遠(yuǎn)程撥號(hào)行為、無(wú)線(xiàn)上網(wǎng)行為、搭線(xiàn)上網(wǎng)行為進(jìn)行控制，發(fā)現(xiàn)存在違規(guī)外聯(lián)的主機(jī)，給出報(bào)警，通過(guò)防火墻切斷該主機(jī)及網(wǎng)絡(luò)的連接，避免導(dǎo)致內(nèi)網(wǎng)遭到更大的破壞。

通過(guò)終端防護(hù)系統(tǒng)的安全狀態(tài)檢測(cè)策略，可監(jiān)測(cè)進(jìn)入內(nèi)網(wǎng)的終端設(shè)備，對(duì)于不符合安全條件的設(shè)備，可不允許其接入內(nèi)網(wǎng)。

4)網(wǎng)閘技術(shù)

在安全性要求很高，但又有內(nèi)部網(wǎng)絡(luò)和外網(wǎng)數(shù)據(jù)交換的情況下，必須采取網(wǎng)閘技術(shù)，以實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的單向安全隔離和數(shù)據(jù)交換。

2、主機(jī)安全的防護(hù)

1)桌面木馬及病毒查殺技術(shù)

在一個(gè)整體病毒防護(hù)方案中，桌面級(jí)防病毒是重要的支點(diǎn)。對(duì)木馬的防范，除了通常的桌面防病毒產(chǎn)品外，還有一些專(zhuān)門(mén)的木馬查殺產(chǎn)品，象瑞星卡卡、360安全衛(wèi)士等。桌面查殺產(chǎn)品擁有查殺流行木馬、清理惡評(píng)及系統(tǒng)插件、管理應(yīng)用軟件、系統(tǒng)實(shí)時(shí)保護(hù)，修復(fù)系統(tǒng)漏洞等數(shù)個(gè)強(qiáng)勁功能，同時(shí)還提供系統(tǒng)全面診斷，彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能，并且提供對(duì)系統(tǒng)的全面診斷報(bào)告，方便用戶(hù)及時(shí)定位問(wèn)題所在，為用戶(hù)提供全方位的系統(tǒng)桌面保護(hù)。

2)終端防護(hù)技術(shù)

終端管理系統(tǒng)是對(duì)局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)行為進(jìn)行全面監(jiān)管，檢測(cè)并保障桌面系統(tǒng)的安全產(chǎn)品。系統(tǒng)一般共分四大模塊：桌面行為監(jiān)管、桌面系統(tǒng)監(jiān)管、系統(tǒng)資源管理，通過(guò)統(tǒng)一定制、下發(fā)安全策略并強(qiáng)制執(zhí)行的機(jī)制，實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)部桌面系統(tǒng)的管理和維護(hù)，能有效保障桌面系統(tǒng)及機(jī)密數(shù)據(jù)的安全。

終端管理系統(tǒng)自動(dòng)檢測(cè)桌面系統(tǒng)的安全狀態(tài)，能針對(duì)桌面系統(tǒng)的補(bǔ)丁自動(dòng)檢測(cè)、下發(fā)和安裝，修復(fù)存在的安全漏洞，防止漏洞被木馬和病毒利用。

終端管理系統(tǒng)監(jiān)管桌面行為，對(duì)桌面系統(tǒng)上撥號(hào)行為、打印行為、外存使用行為、文件操作行為的監(jiān)控，通過(guò)策略定制限制主機(jī)是否允許使用外存設(shè)備，確保機(jī)密數(shù)據(jù)的安全，避免了內(nèi)部保密數(shù)據(jù)的泄漏。

終端管理系統(tǒng)桌面監(jiān)管系統(tǒng)，解決了難以及時(shí)、準(zhǔn)確掌控桌面系統(tǒng)基礎(chǔ)信息的問(wèn)題，規(guī)范了客戶(hù)端操作行為，提高了桌面系統(tǒng)的安全等級(jí)。

通過(guò)系統(tǒng)監(jiān)管模塊管理員能夠遠(yuǎn)程查看桌面系統(tǒng)當(dāng)前的詳細(xì)信息，包括：已安裝軟件、已安裝硬件、進(jìn)程、端口、CPU、磁盤(pán)、內(nèi)存等，及時(shí)發(fā)現(xiàn)異常。

終端管理系統(tǒng)為管理員提供了Agent管理、IP管理等功能，能對(duì)網(wǎng)絡(luò)內(nèi)的Agent進(jìn)行有效管理，避免IP地址混亂、非法接入、木馬運(yùn)行等情況。

終端管理系統(tǒng)在對(duì)收集的事件進(jìn)行詳盡的分析和統(tǒng)計(jì)的基礎(chǔ)上，支持豐富的報(bào)表功能，實(shí)現(xiàn)了分析結(jié)果的可視化。為幫助網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)中的情況進(jìn)行深度挖掘分析，系統(tǒng)提供了多種報(bào)表模板，支持管理員從不同方面進(jìn)行網(wǎng)絡(luò)事件和用戶(hù)行為的可視化分析，滿(mǎn)足了安全審計(jì)的需求。

3、安全管理

1)安全審計(jì)系統(tǒng)

安全審計(jì)既是發(fā)現(xiàn)安全問(wèn)題的重要手段，也是管理內(nèi)部人員行為的威懾手段。如果不計(jì)劃部署安全管理平臺(tái)，就一定要安裝安全審計(jì)系統(tǒng)。推薦通過(guò)引入集中日志審計(jì)的技術(shù)手段，對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一的安全審計(jì)，及時(shí)自動(dòng)分析系統(tǒng)安全事件，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。

2)安全管理平臺(tái)系統(tǒng)

在內(nèi)部部署了防病毒等一系列安全設(shè)備后，可以在一定程度上提高安全防御水平，降低發(fā)生泄密事件的概率。但同時(shí)也要加強(qiáng)安全管理，引入安全管理平臺(tái)。

信息安全管理平臺(tái)，能實(shí)時(shí)對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)的安全狀況進(jìn)行統(tǒng)一監(jiān)控、采集安全事件和日志信息、進(jìn)行整合和關(guān)聯(lián)分析、評(píng)估安全風(fēng)險(xiǎn)、審計(jì)用戶(hù)行為、產(chǎn)生安全事故和告警、生成安全報(bào)告并及時(shí)進(jìn)行應(yīng)急響應(yīng)，確保相關(guān)系統(tǒng)的業(yè)務(wù)持續(xù)運(yùn)行，協(xié)助管理人員排除安全隱患和安全故障，同時(shí)為相關(guān)部門(mén)的信息安全審計(jì)和考核提供技術(shù)手段和依據(jù)，實(shí)現(xiàn)全網(wǎng)的安全集中監(jiān)控、審計(jì)和應(yīng)急響應(yīng)，全面提升保密內(nèi)網(wǎng)的信息安全保障能力。

對(duì)于內(nèi)網(wǎng)泄密事件而言，安全管理平臺(tái)可以對(duì)關(guān)鍵主機(jī)的訪(fǎng)問(wèn)行為進(jìn)行記錄，一方面形成威懾，另一方面方便事后取證;安全管理平臺(tái)還可以找出系統(tǒng)內(nèi)感染木馬病毒的機(jī)器。

3)定期巡檢服務(wù)

定期巡檢服務(wù)是一種第三方安全服務(wù)，可以定期查看并發(fā)現(xiàn)系統(tǒng)的安全漏洞，檢測(cè)關(guān)鍵計(jì)算機(jī)設(shè)備的狀態(tài)，發(fā)現(xiàn)并定位計(jì)算機(jī)中已經(jīng)感染的木馬，防止木馬的泄密等破壞行為發(fā)生。4.1.3各層次的安全解決方案網(wǎng)絡(luò)層安全解決方案防火墻技術(shù)防火墻是實(shí)現(xiàn)內(nèi)網(wǎng)終端及內(nèi)網(wǎng)核心服務(wù)器隔離的基本手段。防火墻通常位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域間的唯一連接處，根據(jù)組織的業(yè)務(wù)特點(diǎn)、管理制度所制定的安全策略，運(yùn)用包過(guò)濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實(shí)現(xiàn)對(duì)出入核心服務(wù)器網(wǎng)絡(luò)的信息流進(jìn)行全面的控制(允許通過(guò)、拒絕通過(guò)、過(guò)程監(jiān)測(cè))，控制類(lèi)別包括IP地址、TCP/UDP端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個(gè)方面，從而實(shí)現(xiàn)對(duì)不良網(wǎng)站的封堵。但是，傳統(tǒng)單一的防火墻無(wú)法有效對(duì)抗更隱蔽的攻擊行為，如欺騙攻擊、木馬攻擊等，因此，有必要在這些邊界采取防護(hù)能力更強(qiáng)的技術(shù)。我們建議采用聯(lián)想網(wǎng)御的多功能防火墻。，其特點(diǎn)如下：具有多種必要的網(wǎng)絡(luò)安全功能，集成了防火墻、基于URL的內(nèi)容過(guò)濾、以及符合IPSec標(biāo)準(zhǔn)的VPN技術(shù)。可以在一臺(tái)設(shè)備上實(shí)現(xiàn)對(duì)政府網(wǎng)的統(tǒng)一威脅管理。具有獨(dú)到之處在于采用“最佳適配”規(guī)則系統(tǒng)。管理員可以按任意順序創(chuàng)建訪(fǎng)問(wèn)控制規(guī)則（順序無(wú)關(guān)），防火墻會(huì)自動(dòng)按照最安全的策略選擇并解釋執(zhí)行規(guī)則。大大減少了信息管理員的管理成本，易于維護(hù)使用。政府網(wǎng)的信息平臺(tái)相對(duì)開(kāi)放，多數(shù)具有較強(qiáng)破壞力的復(fù)雜攻擊是對(duì)應(yīng)用數(shù)據(jù)流的攻擊，而不是僅僅在IP層，所以對(duì)應(yīng)用數(shù)據(jù)和協(xié)議命令的控制是非常必要的。聯(lián)想網(wǎng)御系列使用智能安全代理，對(duì)IP應(yīng)用（例如，SQL*NET）獨(dú)立控制，保證只有合法的協(xié)議命令和數(shù)據(jù)才能通過(guò)。例如聯(lián)想網(wǎng)御系列防火墻可以抵制SMTP后門(mén)命令和FTP、SMTP和HTTP數(shù)據(jù)流中存在的緩沖區(qū)溢出攻擊。聯(lián)想網(wǎng)御提供集中式管理，通過(guò)集中的日志記錄、警報(bào)、報(bào)告和策略配置簡(jiǎn)化網(wǎng)絡(luò)安全的管理。同時(shí)聯(lián)想網(wǎng)御具有集成的高可用性和負(fù)載均衡選件，能夠滿(mǎn)足任何規(guī)模的政府網(wǎng)的性能要求。入侵檢測(cè)防護(hù)技術(shù)建議自從1990年開(kāi)始在網(wǎng)絡(luò)中引入防火墻以來(lái)，網(wǎng)絡(luò)安全解決方案已經(jīng)定型成為以防火墻為主的方案。這種方案的特點(diǎn)就是：將網(wǎng)絡(luò)劃分成不同安全等級(jí)的網(wǎng)段，在網(wǎng)絡(luò)邊界放置防火墻，進(jìn)行網(wǎng)段隔離和訪(fǎng)問(wèn)控制。即使后來(lái)出現(xiàn)了針對(duì)應(yīng)用層威脅的入侵檢測(cè)技術(shù)，也無(wú)法動(dòng)搖防火墻在網(wǎng)絡(luò)安全方案中的核心地位。防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊，顯得無(wú)能為力。動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，就要依靠基于網(wǎng)絡(luò)的實(shí)時(shí)的入侵防護(hù)技術(shù)。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測(cè)出攻擊的行為并給及響應(yīng)和處理。實(shí)時(shí)入侵防護(hù)技術(shù)還能檢測(cè)到繞過(guò)防火墻的攻擊。通過(guò)分析最近兩年來(lái)的網(wǎng)絡(luò)安全發(fā)展形勢(shì)，可以看出傳統(tǒng)的單一防火墻方案已經(jīng)無(wú)法滿(mǎn)足政府用戶(hù)的應(yīng)用安全需求了。從安全的發(fā)展來(lái)看，至少有三點(diǎn)值得反思：第一，大部分的威脅來(lái)自網(wǎng)絡(luò)內(nèi)部。隨著很多政府加速筆記本電腦的普及，移動(dòng)辦公得到了發(fā)展，越來(lái)越多的計(jì)算機(jī)終端在政府的內(nèi)網(wǎng)和外網(wǎng)之間漫游，這樣很容易造成網(wǎng)絡(luò)威脅從外網(wǎng)進(jìn)入內(nèi)網(wǎng)，從而在內(nèi)網(wǎng)進(jìn)行傳播。另外，由于VPN技術(shù)的普及，使得政府內(nèi)網(wǎng)無(wú)限擴(kuò)展，從而變相加大了安全威脅進(jìn)入內(nèi)網(wǎng)的機(jī)會(huì)。第二，基于Web的攻擊成為主流。各種蠕蟲(chóng)、病毒、應(yīng)用層攻擊技術(shù)頻頻發(fā)作，混合攻擊的出現(xiàn)令傳統(tǒng)的安全防御變得困難重重。目前來(lái)看，大量的混合攻擊主要威脅政府的核心服務(wù)器和應(yīng)用，給用戶(hù)帶來(lái)了重大損失。一些對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行的DDoS攻擊，造成基礎(chǔ)設(shè)施癱瘓。此外，一些P2P應(yīng)用，如BT、電驢，以及一些IM應(yīng)用，如QQ、MSN，對(duì)政府的網(wǎng)絡(luò)帶寬提出了挑戰(zhàn)。統(tǒng)計(jì)表明，這種及業(yè)務(wù)無(wú)關(guān)的網(wǎng)絡(luò)流量對(duì)政府網(wǎng)絡(luò)的核心性能造成了威脅。事實(shí)上，此類(lèi)應(yīng)用都是基于第七層的，而普通的三、四層防火墻顯然無(wú)能為力。第三，安全及網(wǎng)絡(luò)結(jié)合。目前，越來(lái)越多的病毒和蠕蟲(chóng)是基于網(wǎng)絡(luò)來(lái)傳播的，有了網(wǎng)絡(luò)這個(gè)介質(zhì)，威脅的傳播速度大大加快。比如著名的SQLSlammer攻擊，10分鐘內(nèi)就感染了全球90%的有漏洞的計(jì)算機(jī)。不難看出，如果網(wǎng)絡(luò)對(duì)于這些威脅不能識(shí)別，不能在其傳播擴(kuò)散的通道上進(jìn)行阻截，純粹依靠人工手動(dòng)的打補(bǔ)丁、升級(jí)防病毒軟件和在防火墻上設(shè)置ACL，根本無(wú)法抑制這些蠕蟲(chóng)病毒的大規(guī)模泛濫。在這種應(yīng)用安全的需求之下，基于網(wǎng)絡(luò)的Web主動(dòng)防御技術(shù)應(yīng)運(yùn)而生。其中，入侵檢測(cè)防御系統(tǒng)IDS/IPS就是這樣技術(shù)的代表。可以說(shuō)，IDS/IPS的出現(xiàn)就是應(yīng)用拉動(dòng)技術(shù)發(fā)展的一個(gè)例證：當(dāng)前越來(lái)越多的政府，其IT部門(mén)急需保護(hù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施，并確保應(yīng)用中的應(yīng)用安全。入侵檢測(cè)防御系統(tǒng)IDS/IPS對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主地，實(shí)時(shí)地攻擊檢測(cè)及響應(yīng)。這種領(lǐng)先產(chǎn)品對(duì)網(wǎng)絡(luò)安全輪回監(jiān)控，使用戶(hù)可以在系統(tǒng)被破壞之前自主地中斷并響應(yīng)安全漏洞和誤操作。實(shí)時(shí)監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。它對(duì)安全威脅的自主響應(yīng)為用戶(hù)提供了最大限度的安全保障。入侵檢測(cè)防御系統(tǒng)IDS/IPS在檢測(cè)到網(wǎng)絡(luò)入侵后，除了可以及時(shí)報(bào)警以及切斷攻擊行為之外，還可以進(jìn)行動(dòng)態(tài)地的防護(hù)策略，成為一個(gè)動(dòng)態(tài)的智能的防護(hù)體系。我們建議采用聯(lián)想網(wǎng)御的IDS設(shè)備使用效果及解決問(wèn)題：通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)；防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用；實(shí)時(shí)檢測(cè)及阻斷功能很有可能出現(xiàn)網(wǎng)絡(luò)攻擊形為；防止目前流行的蠕蟲(chóng)、病毒、間諜軟件、垃圾郵件、DDoS和黑客攻擊，包括未知的攻擊形式；阻止來(lái)自外部或內(nèi)部的蠕蟲(chóng)、病毒和黑客等的威脅，確保政府信息資產(chǎn)的安全；阻止間諜軟件的威脅，保護(hù)我院機(jī)密；阻止網(wǎng)內(nèi)因?yàn)楦鞣NIM即時(shí)通訊軟件、網(wǎng)絡(luò)在線(xiàn)游戲、P2P下載、在線(xiàn)視頻導(dǎo)致的政府網(wǎng)絡(luò)資源濫用而影響正常工作，凈化流量，為網(wǎng)絡(luò)加速；阻止P2P應(yīng)用可能導(dǎo)致的重要機(jī)密信息泄漏和可能引發(fā)的及版權(quán)相關(guān)的法律問(wèn)題；實(shí)時(shí)保障網(wǎng)絡(luò)系統(tǒng)7x24不間斷運(yùn)行，提高整體的網(wǎng)絡(luò)安全水平。強(qiáng)大的功能聯(lián)想網(wǎng)御IDS入侵防護(hù)系統(tǒng)先進(jìn)的入侵檢測(cè)/防御技術(shù)包括：狀態(tài)檢測(cè)內(nèi)容重組通信協(xié)議檢測(cè)應(yīng)用協(xié)議檢測(cè)內(nèi)容檢測(cè)高可靠性（HA）在高可用性群集中的每臺(tái)聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)加強(qiáng)了整體的安全性策略并擁有相同的配置設(shè)置。一個(gè)HA群集最多可以添加32臺(tái)設(shè)備。HA群集中的每臺(tái)設(shè)備必須是相同的型號(hào)并運(yùn)行相同的固件鏡像。聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)高可用性支持冗余鏈接及冗余設(shè)備。管理功能圖形管理：支持WebUI圖形配置CLI管理：支持命令行接口遠(yuǎn)程管理：支持SSH、Telnet遠(yuǎn)程命令行管理，支持HTTPS的遠(yuǎn)程圖形管理配置向?qū)В禾峁┛焖倥渲孟驅(qū)０逭Z(yǔ)言：提供中文、英文等多語(yǔ)言支持日志：支持圖形化報(bào)表，支持日志關(guān)鍵字搜索、支持日志分類(lèi)監(jiān)控：支持SNMP，支持VPN監(jiān)控，報(bào)警：通過(guò)E-mail發(fā)送病毒、攻擊報(bào)警應(yīng)用層安全解決方案針對(duì)服務(wù)器防病毒安全技術(shù)建議病毒是系統(tǒng)中最常見(jiàn)、威脅最大的安全來(lái)源，建立一個(gè)全方位的病毒防范系統(tǒng)是林業(yè)廳網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)建設(shè)的重要任務(wù)。隨著網(wǎng)絡(luò)的飛速發(fā)展，單機(jī)版的防病毒軟件面臨著集中管理、智能更新等多方面的問(wèn)題，無(wú)法對(duì)木馬、蠕蟲(chóng)、郵件性病毒進(jìn)行全網(wǎng)整體的防護(hù)，已經(jīng)不能滿(mǎn)足復(fù)雜應(yīng)用環(huán)境，所以，構(gòu)建整體病毒防護(hù)體系已成為必然。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問(wèn)題，根據(jù)林業(yè)廳的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和計(jì)算機(jī)分布情況，病毒防范系統(tǒng)的安裝實(shí)施要求為：能夠配置成分布式運(yùn)行和集中管理，由防病毒代理和防病毒服務(wù)器端組成。針對(duì)現(xiàn)有林業(yè)廳防病毒需求，防病毒客戶(hù)端安裝在系統(tǒng)的關(guān)鍵主機(jī)中，如機(jī)房的服務(wù)器、工作站和網(wǎng)管終端。在防病毒服務(wù)器能夠交互式地操作防病毒客戶(hù)端進(jìn)行病毒掃描和清殺，設(shè)定病毒防范策略。能夠從多層次進(jìn)行病毒防范，第一層工作站、第二層服務(wù)器、第三層網(wǎng)關(guān)都能有相應(yīng)的防毒軟件提供完整的、全面的防病毒保護(hù)。用戶(hù)盡管普遍使用了防病毒、單機(jī)防火墻產(chǎn)品，但是它們的安全系統(tǒng)還是存在漏洞。這種局面主要是因?yàn)楝F(xiàn)在信息化的發(fā)展更加多樣化、復(fù)雜化、智能化的混合威脅，過(guò)去傳統(tǒng)單一防護(hù)產(chǎn)品是不能完全保障安全的，對(duì)于關(guān)鍵業(yè)務(wù)計(jì)算機(jī)，只有采取多項(xiàng)安全技術(shù)集成的整體解決方案才能抵御威脅入侵，減少損失。因此，易安裝、易升級(jí)具有較高性?xún)r(jià)比的整體解決方案是首選產(chǎn)品。我們建議采用聯(lián)想網(wǎng)御的防毒墻結(jié)合原有的防病毒軟件進(jìn)行防病毒體系的支撐。審計(jì)檢測(cè)安全技術(shù)建議審計(jì)檢測(cè)系統(tǒng)對(duì)分析“可能的攻擊行為”非常有用。舉例來(lái)說(shuō)，有時(shí)候它除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外，還能分辨出入侵者干了什么事：他們運(yùn)行了什么程序、打開(kāi)了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。入侵檢測(cè)系統(tǒng)由于安裝網(wǎng)絡(luò)上，所以對(duì)網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有影響。推薦產(chǎn)品和服務(wù)——任天行系統(tǒng)認(rèn)證審計(jì)系統(tǒng)來(lái)解決相關(guān)的管理問(wèn)題和安全問(wèn)題，為林業(yè)廳網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵業(yè)務(wù)系統(tǒng)提供一個(gè)用戶(hù)身份及認(rèn)證、應(yīng)用操作審計(jì)及訪(fǎng)問(wèn)控制的管理平臺(tái)，對(duì)系統(tǒng)中關(guān)鍵人員、核心操作進(jìn)行集中的管理和控制。對(duì)網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計(jì)并形成審計(jì)報(bào)表，直觀地顯示出用戶(hù)所關(guān)心的關(guān)鍵環(huán)節(jié)的實(shí)際情況；系統(tǒng)管理員可以根據(jù)審計(jì)報(bào)表的內(nèi)容，對(duì)系統(tǒng)的安全狀況、運(yùn)行狀況做出相應(yīng)的評(píng)估結(jié)果；如果評(píng)估的結(jié)果是系統(tǒng)面臨比較大的安全風(fēng)險(xiǎn)，則可以及時(shí)地采取相應(yīng)的措施來(lái)規(guī)避風(fēng)險(xiǎn)。也是公安網(wǎng)監(jiān)部門(mén)所推薦的產(chǎn)品應(yīng)用效果：完善的、可不斷更新的不良站點(diǎn)庫(kù)，禁止在校人員訪(fǎng)問(wèn)不良站點(diǎn)；個(gè)性化的策略控制師生的上網(wǎng)行為，提高學(xué)生，教師的工作學(xué)習(xí)效率全面的上網(wǎng)內(nèi)容審計(jì)詳細(xì)記錄的上網(wǎng)行為專(zhuān)業(yè)，全面的流量分析和統(tǒng)計(jì)報(bào)表，幫助行政管理完善的功能特點(diǎn)：有效的互聯(lián)網(wǎng)管理針對(duì)互聯(lián)網(wǎng)濫用所造成的不良影響，系統(tǒng)提供了一系列貼近用戶(hù)的管理功能。如針對(duì)互聯(lián)網(wǎng)工作效率的殺手，即時(shí)聊天工具（QQ、MSN、YahooMessenger、網(wǎng)易泡泡、Skype等）的使用管理，不良站點(diǎn)、娛樂(lè)休閑、新聞等及工作無(wú)關(guān)站點(diǎn)的訪(fǎng)問(wèn)管理；針對(duì)外發(fā)信息的通用途徑，電子郵件，Webmail，F(xiàn)TP等的審計(jì)記錄；針對(duì)帶寬流量濫用，各種P2P（BT，電驢等）下載工具的使用控制，音視頻等文件的下載的管理；為了使管理人員能直觀了解互聯(lián)網(wǎng)的使用情況，提供了靈活的日志檢索和豐富的報(bào)表。這些功能有效地幫助各種組織提升互聯(lián)網(wǎng)的使用效率。安全可靠使用最小化的、經(jīng)過(guò)裁減的LINUX內(nèi)核作為系統(tǒng)運(yùn)行平臺(tái)，使得系統(tǒng)的不穩(wěn)定性及不安全性減至最少；采用特有的文件系統(tǒng)，使設(shè)備能抵御突然掉電造成的損害。同時(shí)采用多種加密及防護(hù)措施，以及多種系統(tǒng)管理權(quán)限的實(shí)現(xiàn)，數(shù)據(jù)備份等，保障系統(tǒng)本身信息的安全。加密的數(shù)據(jù)通道 系統(tǒng)使用SSL加密技術(shù)來(lái)確保系統(tǒng)在各個(gè)工作環(huán)節(jié)中所有的傳輸數(shù)據(jù)的安全性。這主要在三個(gè)方面：一、用戶(hù)登陸管理界面時(shí)，我們使用SSL技術(shù)為用戶(hù)建立一條加密通道,保證用戶(hù)帳號(hào)，口令不被竊聽(tīng)；二、在任天行及網(wǎng)絡(luò)安全中心平臺(tái)進(jìn)行通信連接時(shí)，采用SSL強(qiáng)加密算法對(duì)傳輸數(shù)據(jù)進(jìn)行加密，確保傳輸數(shù)據(jù)在傳輸過(guò)程中不會(huì)被竊聽(tīng)、篡改或者偽造；防暴力攻擊為了防止黑客采用暴力方法猜測(cè)用戶(hù)賬號(hào)和密碼，我們采用圖形校驗(yàn)碼驗(yàn)證，且當(dāng)連續(xù)3次嘗試登陸失敗，系統(tǒng)自動(dòng)鎖住一段時(shí)間的方法阻止暴力攻擊。隱藏自身的IP地址系統(tǒng)的所有探測(cè)端口均屏蔽了自身的IP地址，使攻擊者無(wú)法通過(guò)探測(cè)端口對(duì)任天行網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行掃描和攻擊，確保系統(tǒng)自身的安全性。高效的系統(tǒng)權(quán)限管理系統(tǒng)提供usbkey，指定權(quán)限的管理員必須通過(guò)usbkey才能訪(fǎng)問(wèn)特定權(quán)限的功能模塊，否則無(wú)法訪(fǎng)問(wèn)指定的功能模塊。從而避免了公司、政府敏感信息在非授權(quán)人員中泄露，避免系統(tǒng)受到非授權(quán)人員的操作等。簡(jiǎn)單易用跟傳統(tǒng)的應(yīng)用軟件采用C/S（服務(wù)端/客戶(hù)端）結(jié)構(gòu)所不同的是，系統(tǒng)采用B/S模式的結(jié)構(gòu)，用戶(hù)的管理操作全部通過(guò)瀏覽器方式完成，而這種B/S模式的用戶(hù)界面存在以下優(yōu)點(diǎn)：對(duì)用戶(hù)環(huán)境沒(méi)有任何特殊要求，無(wú)須用戶(hù)為滿(mǎn)足產(chǎn)品使用進(jìn)行任何環(huán)境的改變，也無(wú)須安裝客戶(hù)端軟件；B/S結(jié)構(gòu)模式的數(shù)據(jù)處理過(guò)程全部在服務(wù)器端完成，不會(huì)增加管理主機(jī)系統(tǒng)負(fù)載。用戶(hù)界面設(shè)計(jì)風(fēng)格簡(jiǎn)潔樸素，操作習(xí)慣充分考慮可用性，幫助簡(jiǎn)明易懂。性能卓越在對(duì)Linux的系統(tǒng)內(nèi)核進(jìn)行充分剖析的基礎(chǔ)上，在操作系統(tǒng)級(jí)對(duì)系統(tǒng)各支撐引擎進(jìn)行了修改和全面優(yōu)化，并且對(duì)硬件的驅(qū)動(dòng)程序進(jìn)行了改造，大大提高了系統(tǒng)的數(shù)據(jù)捕獲和處理能力，使系統(tǒng)在高數(shù)據(jù)帶寬下的性能，比采用Windows和Linux系統(tǒng)下流行開(kāi)源代碼完成數(shù)據(jù)不獲的網(wǎng)絡(luò)內(nèi)容分析產(chǎn)品性能高出一倍以上。同時(shí)系統(tǒng)采用了專(zhuān)用高效的協(xié)議還原分析技術(shù)，大大提高了協(xié)議分析和還原效率，是真正的百兆和千兆內(nèi)容審計(jì)系統(tǒng)，在國(guó)內(nèi)外處于領(lǐng)先水平。適用各種網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)的數(shù)據(jù)采集有基于旁路監(jiān)聽(tīng)、基于網(wǎng)關(guān)、或在監(jiān)控制機(jī)器中安裝AGENT三種方式。其中基于網(wǎng)關(guān)的設(shè)備需要改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)，且接入設(shè)備會(huì)成為整個(gè)網(wǎng)絡(luò)的單點(diǎn)故障點(diǎn)，如果一旦設(shè)備發(fā)生異常，則影響整個(gè)網(wǎng)絡(luò)的使用，這對(duì)于政府中需要使用互聯(lián)網(wǎng)的關(guān)鍵業(yè)務(wù)會(huì)有災(zāi)難性地影響。而在監(jiān)控制機(jī)器中安裝AGENT的方法也會(huì)增加被監(jiān)控主機(jī)的穩(wěn)定性，并且會(huì)占用一定的要器資源，減慢被監(jiān)控機(jī)器的運(yùn)行速度，同時(shí)布署升級(jí)等的維護(hù)工作量也很大?；谂月繁O(jiān)聽(tīng)的技術(shù)，安裝后完全不影響原有的網(wǎng)絡(luò)運(yùn)行，也不會(huì)成為單點(diǎn)故障，而且布署極為方便，只要簡(jiǎn)單地安裝在網(wǎng)絡(luò)口的交換機(jī)鏡象口或是共享HUB上。適用于以ADSL拔號(hào)、專(zhuān)線(xiàn)、城域網(wǎng)等各種上網(wǎng)方式。相關(guān)產(chǎn)品的對(duì)比：產(chǎn)品對(duì)比項(xiàng)任天行網(wǎng)絡(luò)安全管理系統(tǒng)網(wǎng)關(guān)型產(chǎn)品（企智通、招商卓爾、深信服）其他旁路型產(chǎn)品（中科新業(yè)等）接入方式旁路接入，不會(huì)給政府網(wǎng)絡(luò)造成任何影響網(wǎng)關(guān)型，大流量下將造成性能瓶頸，出故障時(shí)引起網(wǎng)絡(luò)中斷旁路接入，不會(huì)給政府網(wǎng)絡(luò)造成任何影響包處理方式使用自主開(kāi)發(fā)優(yōu)化網(wǎng)卡驅(qū)動(dòng)和捕包引擎，繞過(guò)libpcap的性能瓶頸，性能和穩(wěn)定性高于同類(lèi)產(chǎn)品底層使用免費(fèi)開(kāi)源的開(kāi)發(fā)庫(kù)libpcap，性能存在瓶頸，穩(wěn)定性有隱患，不具備修改能力底層使用免費(fèi)開(kāi)源的開(kāi)發(fā)庫(kù)libpcap，性能存在瓶頸，穩(wěn)定性有隱患，不具備修改能力多網(wǎng)卡捕包能力全線(xiàn)型號(hào)均支持雙網(wǎng)卡/多網(wǎng)卡捕包沒(méi)有2000用戶(hù)數(shù)以上的產(chǎn)品才支持雙網(wǎng)卡捕包，且無(wú)法支持多于兩塊網(wǎng)卡捕包穩(wěn)定性把操作系統(tǒng)本身不必要的功能全部關(guān)掉，負(fù)荷少；使用專(zhuān)業(yè)嵌入式數(shù)據(jù)庫(kù)，斷電等非正常關(guān)機(jī)不會(huì)引起系統(tǒng)故障，運(yùn)行穩(wěn)定UTM集成產(chǎn)品，開(kāi)了防火墻等多項(xiàng)功能，有的產(chǎn)品甚至集安全審計(jì)、防火墻、過(guò)濾郵件等于一身，嚴(yán)重影響性能的穩(wěn)定性照搬操作系統(tǒng)默認(rèn)配置，使用關(guān)系型數(shù)據(jù)庫(kù)，斷電等非正常關(guān)機(jī)引起文件系統(tǒng)故障的概率較大，穩(wěn)定性有較大隱患安全性用戶(hù)登錄使用的是SSL加密通道，并且無(wú)外網(wǎng)IP，只有內(nèi)網(wǎng)IP，使安全性得到最大的保障無(wú)加密通道，用戶(hù)登錄為明文傳輸，管理帳號(hào)的密碼非常容易泄漏，有外網(wǎng)IP，易受攻擊，安全隱患較大無(wú)加密通道，用戶(hù)登錄為明文傳輸，管理帳號(hào)的密碼非常容易泄漏，安全隱患較大用戶(hù)數(shù)量級(jí)可支持100-20000范圍的用戶(hù)數(shù)最多支持上千用戶(hù)數(shù)，當(dāng)用戶(hù)數(shù)量及達(dá)到萬(wàn)級(jí)后，性能瓶頸嚴(yán)重支持?jǐn)?shù)千用戶(hù)，當(dāng)用戶(hù)數(shù)量及達(dá)到萬(wàn)級(jí)后，性能瓶頸開(kāi)始放大研發(fā)力量7年專(zhuān)業(yè)經(jīng)驗(yàn)，專(zhuān)業(yè)人才超過(guò)150人以上，能為您做到更好的服務(wù)。從業(yè)時(shí)間短，專(zhuān)業(yè)技術(shù)人員少?gòu)臉I(yè)3年，專(zhuān)業(yè)人員50人以?xún)?nèi)安全擴(kuò)展具備自主算法的USB加密物理鑰匙，對(duì)敏感數(shù)據(jù)的保護(hù)更加安全沒(méi)有沒(méi)有多代理服務(wù)器支持可支持局域網(wǎng)內(nèi)多個(gè)不同類(lèi)型代理服務(wù)器并存的情況最多只能支持一個(gè)代理服務(wù)器，或者是一類(lèi)的代理服務(wù)器最多只能支持一個(gè)代理服務(wù)器，或者是一類(lèi)的代理服務(wù)器HTTP協(xié)議POST應(yīng)用分析可擴(kuò)展的特征匹配算法，支持國(guó)內(nèi)外大多數(shù)POST應(yīng)用的還原，覆蓋面廣，包括webmail，webbbs，webchat，網(wǎng)頁(yè)登錄等應(yīng)用類(lèi)型的完全內(nèi)容審計(jì)，正文附件的還原準(zhǔn)確率很高采用逐個(gè)分析的方法，覆蓋面狹窄，分析不準(zhǔn)確，只能大概得到日志，命中率低，對(duì)附件的還原準(zhǔn)確率低采用逐個(gè)分析的方法，覆蓋面狹窄，分析不準(zhǔn)確，只能大概得到日志，命中率低，對(duì)附件的還原準(zhǔn)確率低及認(rèn)證系統(tǒng)的結(jié)合可在不改動(dòng)用戶(hù)本身的上網(wǎng)認(rèn)證體系情況下，及各類(lèi)認(rèn)證系統(tǒng)無(wú)縫結(jié)合，包括MS-AD域、LDAP、HTTPproxybasic-auth，無(wú)盤(pán)終端的Cookie認(rèn)證等多種認(rèn)證方式必須放棄用戶(hù)原有的認(rèn)證體系，只能結(jié)合MS-AD域、LDAP等認(rèn)證服務(wù)器使用產(chǎn)品自身的身份認(rèn)證體系，無(wú)盤(pán)終端的上網(wǎng)日志無(wú)法定位到認(rèn)證用戶(hù)必須放棄用戶(hù)原有的認(rèn)證體系，只能結(jié)合MS-AD域、LDAP等認(rèn)證服務(wù)器使用產(chǎn)品自身的身份認(rèn)證體系，無(wú)盤(pán)終端的上網(wǎng)日志無(wú)法定位到認(rèn)證用戶(hù)審計(jì)報(bào)警支持針對(duì)特定條件的上網(wǎng)審計(jì)和報(bào)警功能，報(bào)警手段豐富，實(shí)時(shí)性強(qiáng)，包括頁(yè)面提示報(bào)警、郵件報(bào)警、短信報(bào)警（需購(gòu)置短信貓）等支持報(bào)警，報(bào)警手段單調(diào)，實(shí)時(shí)性差，最多只有頁(yè)面顯示、郵件報(bào)警。支持報(bào)警，報(bào)警手段單調(diào)，實(shí)時(shí)性差，最多只有頁(yè)面顯示、郵件報(bào)警。集中控管使用多年應(yīng)用的成熟通訊體系實(shí)現(xiàn)對(duì)多臺(tái)任天行系統(tǒng)進(jìn)行統(tǒng)一管理、控制和統(tǒng)計(jì)，B/S架構(gòu)，無(wú)需在管理用戶(hù)的計(jì)算機(jī)上安裝軟件，使用快捷方便部分提供集中管理功能，但是基本都使用C/S架構(gòu)，需要在管理用戶(hù)的計(jì)算機(jī)上安裝客戶(hù)端軟件，沒(méi)有可移動(dòng)性，使用繁瑣部分提供集中管理功能針對(duì)網(wǎng)絡(luò)帶寬技術(shù)建議隨著互聯(lián)網(wǎng)的普及，用戶(hù)對(duì)網(wǎng)絡(luò)的依賴(lài)越來(lái)越深，同時(shí)網(wǎng)絡(luò)給用戶(hù)帶來(lái)的煩惱也日益嚴(yán)重，總結(jié)起來(lái)，困擾用戶(hù)的主要問(wèn)題有以下幾個(gè)：帶寬不夠用主干互聯(lián)網(wǎng)雖然年年升級(jí)，但仍然不能滿(mǎn)足用戶(hù)日益增長(zhǎng)的需求。很多政府用戶(hù)和運(yùn)營(yíng)商長(zhǎng)期面臨帶寬的煩惱：申請(qǐng)充足的帶寬投入太多，帶寬少了又不夠用。造成用戶(hù)帶寬擁塞的原因很多，出口帶寬永遠(yuǎn)低于桌面帶寬是最根本的原因，其次，網(wǎng)絡(luò)應(yīng)用的迅猛發(fā)展是導(dǎo)致帶寬不夠用的主要原因，尤其是最近幾年出現(xiàn)的P2P軟件和網(wǎng)絡(luò)病毒，極大的消耗了有限的網(wǎng)絡(luò)資源。對(duì)于那些P2P軟件的使用者來(lái)說(shuō)，下載一個(gè)文件花5個(gè)小時(shí)或者10個(gè)小時(shí)差別并不大，但是對(duì)于其他瀏覽網(wǎng)頁(yè)的用戶(hù)，訪(fǎng)問(wèn)一個(gè)網(wǎng)頁(yè)需要5秒鐘還是10秒鐘還是有很大區(qū)別的。同樣，如果某個(gè)用戶(hù)急需下載一個(gè)幾兆大小的文件或者電子郵件，他也會(huì)很在乎當(dāng)前的網(wǎng)絡(luò)速度，而此時(shí)的網(wǎng)絡(luò)帶寬也許正在被某些P2P軟件或者其他一些網(wǎng)絡(luò)資源消耗較多的用戶(hù)占用。因此，解決帶寬擁塞的關(guān)鍵問(wèn)題是如何能夠?qū)捄侠淼姆峙涞矫總€(gè)桌面用戶(hù)，當(dāng)網(wǎng)絡(luò)資源緊張的時(shí)候限制那些使用量大的用戶(hù)，保障那些使用量小的用戶(hù)，反之，當(dāng)網(wǎng)絡(luò)資源有較大空閑時(shí)則取消這些限制，讓每個(gè)用戶(hù)都能進(jìn)行高速下載，有效利用租用的線(xiàn)路。網(wǎng)絡(luò)安全問(wèn)題困擾目前，多數(shù)用戶(hù)的桌面操作系統(tǒng)都是Windows家族產(chǎn)品，單一化的桌面環(huán)境導(dǎo)致了基于Windows系統(tǒng)的網(wǎng)絡(luò)病毒大規(guī)模流行。多數(shù)病毒都是通過(guò)網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，這些病毒為了傳播經(jīng)常針對(duì)相鄰網(wǎng)段進(jìn)行大規(guī)模的掃描，而病毒的垃圾請(qǐng)求往往會(huì)消耗大量的網(wǎng)絡(luò)帶寬，同時(shí)可能耗盡出口路由器的NAT會(huì)話(huà)資源，致使網(wǎng)絡(luò)的管理者誤以為是帶寬資源不夠?qū)е戮W(wǎng)絡(luò)的擁塞。傳統(tǒng)的防火墻設(shè)備、IDS和IPS設(shè)備只能進(jìn)行簡(jiǎn)單的攔截和過(guò)濾，針對(duì)那些已知的病毒和攻擊有一定的效果，但病毒和攻擊日新月異，面對(duì)新的網(wǎng)絡(luò)攻擊，它們則變得束手無(wú)策。網(wǎng)絡(luò)攻擊導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷網(wǎng)絡(luò)服務(wù)是多數(shù)ICP生存的基礎(chǔ)，DoS/DDoS攻擊制造了大量的無(wú)效訪(fǎng)問(wèn)或者垃圾訪(fǎng)問(wèn)，嚴(yán)重影響了正常的網(wǎng)絡(luò)服務(wù)，導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷，甚至導(dǎo)致整個(gè)運(yùn)營(yíng)網(wǎng)絡(luò)癱瘓。由于DoS/DDoS工具可以輕易從網(wǎng)上獲取，這類(lèi)攻擊也日益泛濫。很多內(nèi)容服務(wù)提供商都沒(méi)有防護(hù)工具，遇到這類(lèi)攻擊他們只能采取一些簡(jiǎn)單的防護(hù)措施，面對(duì)大量的網(wǎng)絡(luò)攻擊數(shù)據(jù)流，這些防護(hù)措施顯得十分脆弱。推薦產(chǎn)品和服務(wù)——深信服系列產(chǎn)品深信服系列產(chǎn)品，率先采用深層內(nèi)容分析（DeepInspection）、深層速率控制（DeeperRateControl）和智能會(huì)話(huà)管理等一系列業(yè)內(nèi)領(lǐng)先技術(shù)，為這些問(wèn)題的解決帶來(lái)曙光。使用效果及使用意義深層內(nèi)容分析技術(shù)—保證網(wǎng)絡(luò)帶寬的