林業(yè)廳整體安全解決方案

xx省林業(yè)廳二○一一年七月

目 錄第一章 前言 31.1 政府網(wǎng)絡(luò)平安背景 3政府網(wǎng)絡(luò)平安現(xiàn)狀與挑戰(zhàn) 3政府網(wǎng)絡(luò)平安的前進(jìn)之路 41.2 國家關(guān)于網(wǎng)絡(luò)信息平安的政策 4國家信息平安的形勢 5近年國內(nèi)政府隱私受攻擊的案例 61.3 林業(yè)廳網(wǎng)絡(luò)平安建設(shè)意義和必要性 8建設(shè)意義 8建設(shè)必要性 9其次章政府網(wǎng)絡(luò)平安建設(shè)目標(biāo)及內(nèi)容 102.1指導(dǎo)思想 102.2建設(shè)目標(biāo) 11政府網(wǎng)平安的應(yīng)用需求 11第三章林業(yè)廳整體網(wǎng)絡(luò)平安方案 113.1林業(yè)廳政府網(wǎng)整體平安建設(shè)的需求及意義 11平安信息化政府網(wǎng)的意義 12 政府網(wǎng)絡(luò)平安的意義 133.2林業(yè)廳整體網(wǎng)絡(luò)平安 15．政府網(wǎng)出口統(tǒng)一審計(jì)限制 16．政府網(wǎng)內(nèi)部平安攻擊監(jiān)控和防衛(wèi) 17．政府網(wǎng)郵件應(yīng)用平安防護(hù) 錯(cuò)誤！未定義書簽。．政府網(wǎng)服務(wù)器平安防護(hù) 19第四章 林業(yè)廳整體網(wǎng)絡(luò)平安建議選型方案 234.1 信息平安建議的政府網(wǎng)方案 23網(wǎng)絡(luò)平安方案的設(shè)計(jì)原則 23各層次的平安解決方案 324.2 信息平安政府網(wǎng)舉薦方案 46強(qiáng)化應(yīng)用平安解決郵件系統(tǒng) 錯(cuò)誤！未定義書簽。綜合管理平臺(tái)解決眾多品牌不同設(shè)備的管理 51第五單 林業(yè)廳二套方案設(shè)備簡述 535.1 整體網(wǎng)絡(luò)平安建議方案 535.2 整體網(wǎng)絡(luò)平安備選建議方案 53

第一章 前言1.1 政府網(wǎng)絡(luò)平安背景政府網(wǎng)絡(luò)平安現(xiàn)狀與挑戰(zhàn)經(jīng)過多年以來信息化工程的建設(shè)，政府中信息化的應(yīng)用也越來越高，并取得了突飛猛進(jìn)的發(fā)展。但是在成果的背后，存在的平安問題也很突出。當(dāng)今網(wǎng)絡(luò)環(huán)境的困難性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，確定了網(wǎng)絡(luò)平安威逼的客觀存在。人們在享受到各種生活便利和溝通便捷的同時(shí)，網(wǎng)絡(luò)平安問題也日漸突出、形勢日益嚴(yán)峻。網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等快速增長，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、巧取豪奪、竊密等案件逐年上升，嚴(yán)峻影響了網(wǎng)絡(luò)的正常秩序，嚴(yán)峻損害了網(wǎng)民的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)峻危害了學(xué)生的身心健康。網(wǎng)絡(luò)系統(tǒng)的平安性和牢靠性正在成為世界各國共同關(guān)注的焦點(diǎn)，近期在我國政府中的國家隱私及信息平安也是特殊受到國家相關(guān)部門的重視。另外，雖然各政府信息化建設(shè)過程中基礎(chǔ)網(wǎng)絡(luò)已初具規(guī)模，實(shí)現(xiàn)了網(wǎng)絡(luò)的基本覆蓋和聯(lián)通，以及信息化應(yīng)用服務(wù)于政府的研發(fā)和生產(chǎn)，但是網(wǎng)絡(luò)的管理問題也很嚴(yán)峻。據(jù)統(tǒng)計(jì)，超過70%-90%的流量是非核心業(yè)務(wù)的流量。政府員工的BT下載、閑聊、嬉戲等網(wǎng)絡(luò)行為對于政府正常運(yùn)行的研發(fā)、辦公和管理等業(yè)務(wù)的開展造成了比較大的負(fù)面影響，如政府中的遠(yuǎn)程溝通、視頻會(huì)議系統(tǒng)等實(shí)時(shí)和高帶寬業(yè)務(wù)得不到足夠的資源和帶寬保障。同時(shí)，政府網(wǎng)絡(luò)沒有標(biāo)準(zhǔn)化的、成熟的平安解決方案，目前大多數(shù)的政府是通過防火墻與核心的交換機(jī)、路由器上配置的ACL作為平安保障措施，但事實(shí)上無法真正抵擋病毒和攻擊，基礎(chǔ)網(wǎng)絡(luò)的服務(wù)質(zhì)量無法保證。如何保證基礎(chǔ)網(wǎng)絡(luò)暢通無阻與平安牢靠，保障政府各項(xiàng)業(yè)務(wù)的正常開展是政府必需面對和解決的突出的難題。1.1.2政府網(wǎng)絡(luò)平安的前進(jìn)之路面對問題和挑戰(zhàn)，結(jié)合國家“十一五”振興規(guī)劃，各級政府部門也紛紛制定了各自的“十一五”信息化發(fā)展戰(zhàn)略。而信息化發(fā)展的前提就是先要建立成起平安穩(wěn)定、防范管理、審計(jì)限制的整體網(wǎng)絡(luò)平安體系?！笆晃濉毙畔⒒?guī)劃的基本內(nèi)容如下：完善網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，實(shí)現(xiàn)隨時(shí)隨地的上網(wǎng)，整體網(wǎng)絡(luò)高速暢通、平安可信、穩(wěn)定牢靠、審計(jì)管理、防范限制；完善數(shù)據(jù)共享基礎(chǔ)平臺(tái)的建設(shè)，包括統(tǒng)一的信息資源庫、統(tǒng)一的電子身份認(rèn)證系統(tǒng)的建設(shè)；完善和創(chuàng)新網(wǎng)絡(luò)服務(wù)平臺(tái)。國家關(guān)于網(wǎng)絡(luò)信息平安的政策從互聯(lián)網(wǎng)“誕生”至今，全球網(wǎng)民數(shù)量已接近7億。在國際刑法界列舉的現(xiàn)代社會(huì)新型犯罪排行榜上，計(jì)算機(jī)犯罪和網(wǎng)絡(luò)侵權(quán)已名列榜首。無論是數(shù)量、手段，還是性質(zhì)、規(guī)模，都出乎人們的意料。據(jù)有關(guān)方面統(tǒng)計(jì)，目前美國每年由于網(wǎng)絡(luò)平安問題而遭遇的經(jīng)濟(jì)損失超過170億美元，德國、英國也均在10億美元以上，法國為100億法郎，日本、新加坡問題也很嚴(yán)峻。比經(jīng)濟(jì)損失更為嚴(yán)峻的是，人們將漸漸對全球網(wǎng)絡(luò)的平安失去信念。網(wǎng)絡(luò)問題不斷，人們還怎么敢運(yùn)用它？一旦不用網(wǎng)絡(luò)，再好的網(wǎng)絡(luò)服務(wù)也維持不下去。特殊是全球互聯(lián)網(wǎng)規(guī)模在不斷擴(kuò)大、技術(shù)含量不斷提高，這些都要求有一個(gè)高牢靠性、高質(zhì)量的網(wǎng)絡(luò)來承載，支撐由此帶來的網(wǎng)絡(luò)流量、管理限制、交換傳輸?shù)睦щy變更，這些都對全球網(wǎng)絡(luò)的平安提出了新的更高要求。我國從早就意識到這方面的狀況，并且在1994年起先就相繼頒布了相關(guān)的法律法規(guī)，我國保密局等相關(guān)部門也特別重視這方面的建設(shè)要求在國家保密局的網(wǎng)站也有明確指示。《中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安愛護(hù)條例》；《中國教化和科研計(jì)算機(jī)網(wǎng)管理方法(試行)》《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》；《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)平安愛護(hù)管理方法》公安部33號令；《國務(wù)院信息辦關(guān)于中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施方法》；《國家保密局關(guān)于計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)保密管理規(guī)定》；《關(guān)于信息平安等級愛護(hù)工作的實(shí)施看法（公通字[2004]66號）》《互聯(lián)網(wǎng)平安愛護(hù)技術(shù)措施規(guī)定》公安部82號令；《信息平安等級愛護(hù)管理方法（公通字[2007]43號）》1.2.1國家信息近年來，網(wǎng)絡(luò)病毒泛濫、平安事務(wù)頻頻發(fā)生可以說是一個(gè)總趨勢。拿2005年上半年為例，據(jù)CNCERT/CC統(tǒng)計(jì)，從2005年1月1日到2005年6月30日，全球共新增蠕蟲、木馬、病毒等惡意代碼11851種，是前一年同期增長數(shù)量的1.2倍。自2005年起，平安將會(huì)越來越成為我們網(wǎng)絡(luò)穩(wěn)定牢靠運(yùn)營的一個(gè)保障。依據(jù)美國FBI的調(diào)查，美國每年因?yàn)榫W(wǎng)絡(luò)平安造成的經(jīng)濟(jì)損失超過170億美元。從IDC網(wǎng)絡(luò)平安調(diào)查數(shù)據(jù)來看，網(wǎng)絡(luò)的平安威逼主要來自三個(gè)方面：第一、網(wǎng)絡(luò)的惡意破壞者，也就是我們所說的黑客，造成的正常網(wǎng)絡(luò)服務(wù)的不行用、系統(tǒng)/數(shù)據(jù)的破壞；其次、無辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的擴(kuò)散擴(kuò)散、木馬的傳播；第三、就是別有專心的間諜人員，通過竊取他人身份進(jìn)行越權(quán)數(shù)據(jù)訪問，以及偷取機(jī)密的或者他人的私密信息。其中，由于內(nèi)部人員而造成的網(wǎng)絡(luò)平安問題占到了70%。面臨著更嚴(yán)峻的網(wǎng)絡(luò)平安形勢。越來越多的報(bào)道表明由商業(yè)隱私而帶來和商業(yè)利益使政府網(wǎng)絡(luò)已漸漸成為黑客的攻擊重點(diǎn)。這一方面是由于網(wǎng)絡(luò)病毒、黑客工具的泛濫，用戶平安意識的淡薄，而另一方面，政府員工——對簇新事物有著新穎 心。有關(guān)數(shù)字顯示，目前政府網(wǎng)遭遇的惡意攻擊，90%來自政府網(wǎng)絡(luò)內(nèi)部，如何保障政府網(wǎng)絡(luò)的平安成為政府網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問題。1.2.2今日上半年國內(nèi)國家隱私上半年,在北京市保密局盤處的泄密事務(wù)中，網(wǎng)上涉嫌泄密占到相當(dāng)高的比例，為近年來所少見。案例一：社會(huì)同站登載涉密內(nèi)容1、某門戶網(wǎng)站下屬的房地產(chǎn)專業(yè)網(wǎng)站登載《公安部關(guān)于xx的通知》，涉嫌泄密。在該剛站上查到的上述涉密信息，是注冊名為“米糕”(化名)的用戶在某論壇上發(fā)的帖子。2、“似曾相識雁歸來”網(wǎng)站(化名)登載《x日記》一文，涉嫌泄密。經(jīng)對該網(wǎng)站調(diào)查，確認(rèn)該信息是一名網(wǎng)友在論壇上發(fā)布的。3、北京市互聯(lián)網(wǎng)宣揚(yáng)管理辦公室在“紅心網(wǎng)”(化名)上發(fā)覺一網(wǎng)民以發(fā)帖子的方式，介紹其參加購買某敏感器材的“幕后故事”，涉嫌泄密。案例二：登載內(nèi)容與工作范圍有關(guān)，但涉及國家隱私上互聯(lián)網(wǎng)“中華x網(wǎng)”、“中x網(wǎng)”刊登《經(jīng)濟(jì)工作中國家隱私及其密級具體范圍的拋定》，涉嫌泄密。這是北京市保密局對互聯(lián)網(wǎng)進(jìn)行檢查時(shí)發(fā)覺的。事后，市保密局分別向這兩家網(wǎng)站發(fā)送了《責(zé)令刪除互聯(lián)網(wǎng)站涉密信息通知書》，責(zé)成網(wǎng)站對上述信息進(jìn)行徹底刪除。據(jù)兩網(wǎng)站整改報(bào)告，信息是兩家網(wǎng)站相互轉(zhuǎn)載的。對此，市保密局要求網(wǎng)站引以為戒，加強(qiáng)對員工保密教化，強(qiáng)化各項(xiàng)管理，杜絕類似事務(wù)再次發(fā)生。案例三：匯編文件上網(wǎng)涉嫌泄密北京某信息網(wǎng)登載對敏感項(xiàng)日進(jìn)行檢查的道知，涉嫌泄密。經(jīng)查，內(nèi)容摘自某部門2001年編輯出版的《xx行業(yè)管理法規(guī)文件匯編》書。該書收集了全國人大、國務(wù)院以及相關(guān)部委，北京市人大、市政府等出臺(tái)的法律、法規(guī)及規(guī)范性文件，目的是為了滿意行政執(zhí)法人員對有關(guān)法律法規(guī)的學(xué)習(xí)，是一本參考工具書。但此書在未經(jīng)該部門保密辦審核、市保密局審定的狀況下，將前述涉及國家隱私內(nèi)容的文件編輯并出版，嚴(yán)峻違反丁有關(guān)保密規(guī)定。該書共印刷5000冊，已發(fā)放2000余冊，剩余部分已在2003年單位搬家時(shí)集中銷毀。案例四：涉密文件上互聯(lián)網(wǎng)1、北京市保密局發(fā)覺“大華網(wǎng)”(化名)蹙裁中心領(lǐng)導(dǎo)同志在某項(xiàng)工作座談會(huì)上的講話，涉嫌泄密。2、北京市保密局發(fā)覺北京市高校網(wǎng)站登載中心有關(guān)部門關(guān)于某工程建設(shè)的看法，涉嫌泄密。3、北京市保密局發(fā)覺某區(qū)小學(xué)網(wǎng)站登載某項(xiàng)建沒規(guī)劃綱要，涉嫌泄密。據(jù)該網(wǎng)站前網(wǎng)管員回憶，該文是從互聯(lián)網(wǎng)上發(fā)覺并下載的，下載的目的是便于他人學(xué)習(xí)駕馭有關(guān)精神。4、北京市保密局發(fā)覺某政府公眾信息網(wǎng)登載中心兩辦關(guān)丁加強(qiáng)某項(xiàng)資源開發(fā)的看法，涉賺泄密。1.第一，保密工作部門加大了落實(shí)職能嚴(yán)格監(jiān)管的力度。今年上半年，北京市保密局加大了對網(wǎng)絡(luò)的監(jiān)管力度，從中發(fā)覺了不少問題，反映出我州信息化步伐加快后，保密管理相劃滯后的問題。當(dāng)然網(wǎng)上泄密事什的隧然增多，并不代表這些泄密事務(wù)都是今年出現(xiàn)的，其中有些涉密信息是前些年就登載在網(wǎng)上，屬于陳年舊案，只是今年上半年才發(fā)覺而已。其次，上述涉嫌泄密事務(wù)突出反映出一些涉密單位基礎(chǔ)保密管理工作不到位，一些基本的工作機(jī)制或缺失，或執(zhí)行不力，結(jié)果造成不應(yīng)有的泄密。比如，保密教化是增強(qiáng)保密意識的有效力式，基本的涉密信息上網(wǎng)審批制度，對涉密信息起到有山的愛護(hù)作用。再如，對限制國家隱私知悉范圍的規(guī)定，不但要在源頭上限制國家隱私不被外泄的基本要求；更要嚴(yán)格履行好國家隱私傳遞中的登記制度，有利于涉密單位的日常保密管理，也有利于臨管部門在查處事務(wù)過程中取證，便于工作的開展。但在查處泄密事什過程中，保密工作部門發(fā)覺，發(fā)生泄密的涉密單位存在保密管理制度缺失，或雖有保密制度但執(zhí)行不力等問題，這不能不引起監(jiān)管部門和其他涉密單位的極大警覺，必需進(jìn)一步加強(qiáng)制度建設(shè)和執(zhí)行的力度，把管理國家隱私的工作落實(shí)、做到位。第三，這里面反映出幾個(gè)問題，一是保密工柞部門技術(shù)手段上的不足，限制了對涉嫌泄密事務(wù)的進(jìn)一步調(diào)查取證。二是相關(guān)法律法規(guī)的缺失使保密工作部門無法規(guī)范社會(huì)網(wǎng)站的保密管理，有效促使其在制度上保證不登載涉密信息，進(jìn)而加大對社會(huì)網(wǎng)站這一泄密“黑洞”的制約力度。三是保密壯治觀念淡薄。當(dāng)新穎 的政治、軍事、社會(huì)等內(nèi)容上傳到網(wǎng)站時(shí)，出于獵奇搶發(fā)新聞的動(dòng)機(jī)，網(wǎng)站不加甄別地采納(有些無法甄別，多數(shù)還是能看出是涉密信息)，是造成社會(huì)網(wǎng)站頻頻發(fā)生泄密事務(wù)的根本緣由之一，反映出網(wǎng)站管理方保密意識淡薄。林業(yè)廳網(wǎng)絡(luò)平安建設(shè)意義和必要性建設(shè)意義林業(yè)廳網(wǎng)絡(luò)是由重要政府職能部門的網(wǎng)絡(luò)之一。林業(yè)廳其主要職責(zé)是：（一）貫徹執(zhí)行國家關(guān)于森林生態(tài)環(huán)境建設(shè)、森林資源愛護(hù)和國土綠化的方針、政策和法律、法規(guī)，探討擬定地方性林業(yè)法規(guī)、規(guī)章并監(jiān)督實(shí)施。（二）探討擬定全省林業(yè)發(fā)展戰(zhàn)略、中長期發(fā)展規(guī)劃和年度支配并監(jiān)督實(shí)施；管理省級林業(yè)資金；監(jiān)督全省林業(yè)資金的管理和運(yùn)用。（三）組織開展植樹造林和封山育林以及國土種草（不包括農(nóng)田種草、牧場種草）工作；組織、指導(dǎo)以植樹種草等生物措施防治水土流失和防沙治沙工作；指導(dǎo)全省國有林業(yè)局、國有林場（苗圃）、林業(yè)工作站及集體林場的建設(shè)和管理；組織指導(dǎo)全省森林病蟲鼠害防治工作和森林植物檢疫工作。（四）負(fù)責(zé)全省森林資源的管理；負(fù)責(zé)派駐森林資源監(jiān)督機(jī)構(gòu)的管理；組織全省森林資源調(diào)查、動(dòng)態(tài)監(jiān)督和統(tǒng)計(jì)；審核、監(jiān)督森林資源的運(yùn)用；組織編制森林采伐限額并監(jiān)督執(zhí)行；負(fù)責(zé)林木憑證采伐、運(yùn)輸；組織指導(dǎo)林地（含生態(tài)草地、蘆葦用地）、林權(quán)管理并依法對應(yīng)由國家和省政府批準(zhǔn)的林地征用、占用進(jìn)行初審。（五）組織、指導(dǎo)陸生野生動(dòng)植物資源的愛護(hù)和合理開發(fā)利用；組織指導(dǎo)全省森林和陸生野生動(dòng)物類型自然愛護(hù)區(qū)的建設(shè)和管理；組織、協(xié)調(diào)全省濕地愛護(hù)管理工作。（六）組織協(xié)調(diào)、指導(dǎo)監(jiān)督全省森林防火工作；協(xié)調(diào)全省林業(yè)公、檢、法工作及隊(duì)伍建設(shè)工作。（七）制定全省林業(yè)科技發(fā)展規(guī)劃，組織支配重大科研項(xiàng)目，負(fù)責(zé)新技術(shù)、新成果開發(fā)、推廣和應(yīng)用；供應(yīng)科技信息服務(wù)；負(fù)責(zé)全省林產(chǎn)品許可證發(fā)放和管理。（八）探討提出林業(yè)發(fā)展的經(jīng)濟(jì)調(diào)整看法；監(jiān)管國有林業(yè)資產(chǎn)，審批重點(diǎn)林業(yè)建設(shè)項(xiàng)目。（九）指導(dǎo)各類商品林（包括用材林、經(jīng)濟(jì)林、薪炭林、藥用林等）和風(fēng)景林的培育。（十）承辦省政府交辦的其他事項(xiàng)等。林業(yè)廳領(lǐng)導(dǎo)歷來重視本部門的信息化建設(shè)，林業(yè)廳的各種網(wǎng)絡(luò)是實(shí)現(xiàn)政府信息化最重要的基礎(chǔ)設(shè)施。展望將來，信息化的發(fā)展是政府高速發(fā)展必不行少的條件之一，而實(shí)現(xiàn)的基礎(chǔ)就是計(jì)算機(jī)網(wǎng)絡(luò)的平安。林業(yè)廳網(wǎng)絡(luò)包括：涉密網(wǎng)、內(nèi)部網(wǎng)(業(yè)務(wù)網(wǎng))、外部網(wǎng)(公開網(wǎng)站等)三個(gè)部分。建設(shè)必要性林業(yè)廳網(wǎng)絡(luò)信息平安建設(shè)是一個(gè)全面系統(tǒng)的工程，而針對國家政策及省部委的要求信息化發(fā)展要走一條“平安管理、和諧建設(shè)、穩(wěn)定快速發(fā)展”的道路。而從網(wǎng)絡(luò)平安建設(shè)管理方面主要突出二方面的必要性：一、林業(yè)廳在員工上網(wǎng)管理及平安的必要性政府網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連不但是加強(qiáng)的政府對外的宣揚(yáng)，同時(shí)可能成為黑客關(guān)注和攻擊的目標(biāo)。而政府員工內(nèi)部上網(wǎng)形為由于其自身信息化水平及網(wǎng)絡(luò)平安意識等緣由有可能造成政府網(wǎng)絡(luò)平安的隱患，這對政府信息化的健康成長是特別危急的。二、網(wǎng)絡(luò)出口管理及審計(jì)的必要性互聯(lián)網(wǎng)時(shí)代的到來，使政府的辦公、管理活動(dòng)越來越依靠于網(wǎng)絡(luò)，在信息網(wǎng)絡(luò)的運(yùn)用，在給政府帶來更廣泛的溝通空間的同時(shí)，也帶來了巨大的負(fù)面影響，假如管理不當(dāng)，甚至可能出現(xiàn)在資源重大奢侈的同時(shí)，管理效率下降的惡果。請看以下的一些統(tǒng)計(jì)數(shù)據(jù)（由互聯(lián)網(wǎng)統(tǒng)計(jì)中心做出）。在政府有60%-70%的上網(wǎng)訪問活動(dòng)與工作無關(guān)70%的無關(guān)方面的訪問都是發(fā)生在上午9點(diǎn)-下午5點(diǎn)的時(shí)間視頻、音頻等流媒體的運(yùn)用從現(xiàn)在到2009年將增長二倍全國60%以上的政府建立了上網(wǎng)行為監(jiān)管全國40%以上的政府對網(wǎng)絡(luò)出口進(jìn)行了有效流量管理 其次章政府網(wǎng)絡(luò)平安建設(shè)目標(biāo)及內(nèi)容2.1指導(dǎo)思想按國家公安部、國家保密局、國家密碼辦等關(guān)于2007全年全面開展全國信息平安等級化愛護(hù)的要求有規(guī)定。國家要求各級部委及下屬單位、各級政府對所涉及的信息平安的信息系統(tǒng)進(jìn)行定級備案和等級劃分和評估。而依據(jù)這方面的國家指示和要求，林業(yè)廳在此次網(wǎng)絡(luò)平安的指導(dǎo)思想主要在下面幾個(gè)方面進(jìn)行留意：物理平安；網(wǎng)絡(luò)平安；主機(jī)平安；應(yīng)用平安；數(shù)據(jù)平安林業(yè)廳此次政府網(wǎng)整體平安建設(shè)的指導(dǎo)思想和原則是：適應(yīng)廠情，具體規(guī)劃，論證合理，逐步發(fā)展，保持先進(jìn)。建成一個(gè)具有確定規(guī)模容量，技術(shù)先進(jìn)、功能齊全、、平安牢靠、審計(jì)管理、全面限制，適應(yīng)全方位、多層次需求的現(xiàn)代化的平安網(wǎng)絡(luò)。設(shè)計(jì)簡潔、結(jié)構(gòu)敏捷、可塑性好，便于更新調(diào)整和擴(kuò)展升級。2.2建設(shè)目標(biāo)政府網(wǎng)平安的應(yīng)用需求政府網(wǎng)平臺(tái)建設(shè)均實(shí)行“總體規(guī)劃、方案論證、分步實(shí)施”的方式主動(dòng)推動(dòng)政府信息化進(jìn)程。依據(jù)各政府的特點(diǎn)制定信息化建設(shè)數(shù)據(jù)標(biāo)準(zhǔn)，建立了結(jié)構(gòu)合理的平安數(shù)字化政府平臺(tái)，實(shí)施了政府網(wǎng)絡(luò)平臺(tái)及政府資源中心、綜合管理系統(tǒng)、辦公信息管理系統(tǒng)、電子郵件系統(tǒng)及郵件網(wǎng)關(guān)等。信息化應(yīng)用取得明顯成效，顯著提升了政府辦公及管理水平。合理運(yùn)用互聯(lián)網(wǎng)資料、充分保障內(nèi)網(wǎng)辦公允安、嚴(yán)格管理限制專網(wǎng)運(yùn)用將是政府網(wǎng)絡(luò)平安的最須要考慮的方面。第三章林業(yè)廳整體網(wǎng)絡(luò)平安方案3.1林業(yè)廳政府網(wǎng)整體平安建設(shè)的需求及意義林業(yè)廳網(wǎng)絡(luò)包括涉密網(wǎng)、內(nèi)部網(wǎng)(業(yè)務(wù)網(wǎng))、外部網(wǎng)(公開網(wǎng)站等)三個(gè)部分。其中，政務(wù)內(nèi)網(wǎng)、外網(wǎng)承載著財(cái)政、審計(jì)等功能?？偟墓?jié)點(diǎn)有數(shù)百臺(tái)，設(shè)備眾多。而涉密網(wǎng)中存儲(chǔ)著政務(wù)中的各種機(jī)要文件，如全省相關(guān)行業(yè)的核心經(jīng)濟(jì)數(shù)據(jù)、省重要干部信息、中心下發(fā)的涉密工作文件等。林業(yè)廳在信息平安方面也作了大量工作，出于平安的考慮，已經(jīng)將網(wǎng)絡(luò)中的涉密網(wǎng)與政務(wù)內(nèi)、外網(wǎng)進(jìn)行了物理隔離。兩個(gè)網(wǎng)絡(luò)的數(shù)據(jù)不能相互通信。而涉密網(wǎng)也與因特網(wǎng)隔離，保證了涉密數(shù)據(jù)不外泄。然而在日常工作中，涉密網(wǎng)中的某個(gè)職員想在因特網(wǎng)上進(jìn)行數(shù)據(jù)查詢，考慮到去政務(wù)外網(wǎng)中查詢不太便利，該職員就在涉密網(wǎng)終端上通過連接政務(wù)外網(wǎng)網(wǎng)線的方式，訪問了因特網(wǎng)。該職員在因特網(wǎng)上閱讀網(wǎng)頁時(shí)，訪問了某個(gè)論壇，而這個(gè)論壇正好被黑客攻擊了，網(wǎng)頁上被掛了利用“網(wǎng)頁木馬生成器”打包進(jìn)去的灰鴿子變種病毒。黑客利用“自動(dòng)下載程序技術(shù)”，讓該職員在未察覺的狀況下可能會(huì)被種植了木馬。隨著國家政府上網(wǎng)工程的不斷開展，我國計(jì)算機(jī)及網(wǎng)絡(luò)泄密案件也在逐年增加。據(jù)報(bào)道，在上年的一起網(wǎng)絡(luò)間諜案調(diào)查中，有關(guān)部門從政府某部門的內(nèi)部電腦網(wǎng)絡(luò)發(fā)行了非法外聯(lián)的狀況，并在很多內(nèi)部電腦中檢測出了不少特制的木馬程序，檢測結(jié)果表明，全部入侵木馬的連接都指向境外的特定間諜機(jī)構(gòu)。專業(yè)部門進(jìn)行檢測時(shí)，測出的木馬很多還正在下載、外傳資料，專業(yè)人員當(dāng)即實(shí)行措施，制止了進(jìn)一步的危害。3.1.1平安信息化政府網(wǎng)的意義政府信息化應(yīng)當(dāng)是以IP通信平臺(tái)為基礎(chǔ),實(shí)現(xiàn)環(huán)境(特殊是重點(diǎn)、敏感區(qū)域的視頻監(jiān)控)、資源（網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源）、到活動(dòng)（網(wǎng)絡(luò)的開放架構(gòu)對定制業(yè)務(wù)的支持）的全部數(shù)字化，利用標(biāo)準(zhǔn)的ITOIP解決方案，以IP技術(shù)為標(biāo)準(zhǔn)技術(shù)，利用SOA開放架構(gòu)實(shí)現(xiàn)對整體IT平臺(tái)的統(tǒng)一集成支撐并保障其在網(wǎng)絡(luò)中的信息平安牢靠。建設(shè)平安牢靠的政府網(wǎng)絡(luò)平臺(tái) 具備網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化實(shí)力——政府網(wǎng)的整體架構(gòu)具備更有效的容災(zāi)實(shí)力，以應(yīng)對故障節(jié)點(diǎn)、故障鏈路、路由震蕩所帶來對業(yè)務(wù)的影響；而隨著政府核心網(wǎng)的普及，應(yīng)用對帶寬新的要求，政府網(wǎng)須要具備網(wǎng)絡(luò)千兆到匯聚的升級實(shí)力、以及關(guān)鍵業(yè)務(wù)千兆到桌面的實(shí)力； 具備網(wǎng)絡(luò)業(yè)務(wù)拓展實(shí)力——政府業(yè)務(wù)可平滑向下一代網(wǎng)絡(luò)遷移，向IPv6遷移兼容現(xiàn)有政府組網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，愛護(hù)投資；政府業(yè)務(wù)可以隨時(shí)隨地運(yùn)用，政府業(yè)務(wù)可以基于移動(dòng)漫游環(huán)境，移動(dòng)漫游環(huán)境無需管理者手工干預(yù) 具備平安滲透防衛(wèi)實(shí)力——政府網(wǎng)出口具備攻擊、非法業(yè)務(wù)的隔離、限制，具備在線主動(dòng)抵擋的實(shí)力；政府核心網(wǎng)絡(luò)自身集成平安防衛(wèi)實(shí)力，縮小攻擊、病毒在政府影響范圍；用戶接入網(wǎng)絡(luò)屏蔽用戶非法操作，隔離網(wǎng)絡(luò)攻擊3.1.2 政府網(wǎng)絡(luò)平安面對全球性的信息技術(shù)發(fā)展環(huán)境，中國的政府部門始終在加強(qiáng)信息化建設(shè)的步伐。自十幾年前政府網(wǎng)建設(shè)啟動(dòng)至今，目前100%的省市級政府建立了政府網(wǎng)。目前政府信息系統(tǒng)已由基礎(chǔ)網(wǎng)絡(luò)建設(shè)向內(nèi)容建設(shè)邁進(jìn)，管理、增值、合作等越來越多的應(yīng)用在政府網(wǎng)絡(luò)上運(yùn)行。隨著信息系統(tǒng)的廣泛運(yùn)用，信息的平安、牢靠、服務(wù)的連續(xù)運(yùn)行變得越來越重要，任何的停機(jī)會(huì)讓我們無所適從，迫使我們不得不考慮信息系統(tǒng)的整體平安性建設(shè)。其存在以下平安風(fēng)險(xiǎn)和其脆弱性：政府信息網(wǎng)平臺(tái)比較開放，終端數(shù)量浩大，特別簡潔受到來自CERNET本身的平安威逼，例如網(wǎng)絡(luò)蠕蟲傳播、平安攻擊，垃圾郵件泛濫等等。此外，政府網(wǎng)終端沒有統(tǒng)一的管理，每臺(tái)機(jī)器上的操作系統(tǒng)平安漏洞補(bǔ)丁不能剛好更新。這些威逼都會(huì)嚴(yán)峻影響政府網(wǎng)絡(luò)的正常運(yùn)用。政府在聯(lián)系網(wǎng)運(yùn)用過程中的數(shù)據(jù)須要實(shí)行嚴(yán)格的平安愛護(hù)措施。對這部分網(wǎng)絡(luò)的訪問并不確定完全是政府內(nèi)部的人員，同時(shí)還會(huì)有相關(guān)的政府以外的人員。必須要對該網(wǎng)段的訪問進(jìn)行嚴(yán)格的監(jiān)控和限制措施，以保障其信息的完整性。政府網(wǎng)的管理結(jié)構(gòu)相對簡潔，沒有系統(tǒng)的平安管理和平安事務(wù)監(jiān)控機(jī)制。一旦遇到網(wǎng)絡(luò)蠕蟲傳播、垃圾郵件擁塞、平安攻擊等緊急狀況，沒有相應(yīng)的處理流程。而且，假如只是通過被動(dòng)的事后響應(yīng)，政府投入的IT資源回報(bào)無法最大化，總是在事倍功半的惡性循環(huán)之中。通過上述總結(jié)分析可以看出，政府網(wǎng)的平安防護(hù)必需是多層次的，全方位的。依據(jù)政府網(wǎng)的實(shí)際狀況，設(shè)計(jì)了完整、先進(jìn)的政府網(wǎng)主動(dòng)平安防護(hù)體系也是特別必要的。3.1.3 政府網(wǎng)絡(luò)涉密通常出現(xiàn)的隱患 非法外聯(lián)的威逼 現(xiàn)在，一些平安性較高的內(nèi)部網(wǎng)絡(luò)(如政府部門、軍事部門的網(wǎng)絡(luò))常常與外部網(wǎng)絡(luò)(如Internet)實(shí)施物理隔離，以確保其網(wǎng)絡(luò)的平安性。物理隔離確保了外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間不存在任何可能的物理鏈路，因此這種平安手段應(yīng)付外部攻擊是特別高效的。但是，假如這樣的網(wǎng)絡(luò)中有某個(gè)主機(jī)通過撥號或其他形式私自接入外部網(wǎng)絡(luò)，這種物理隔離就會(huì)被破壞。黑客極可能通過該主機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò)，進(jìn)而通過嗅探、破解密碼等方式對內(nèi)部的關(guān)鍵信息或敏感數(shù)據(jù)進(jìn)行收集，或以該主機(jī)為“跳板”對內(nèi)部網(wǎng)絡(luò)的其他主機(jī)進(jìn)行攻擊。始終以來，平安防衛(wèi)理念局限在常規(guī)的網(wǎng)關(guān)級別(防火墻等)、網(wǎng)絡(luò)邊界(漏洞掃描、平安審計(jì)、防病毒、IDS)等方面的防衛(wèi)，重要的平安設(shè)施大致集中于機(jī)房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的平安威逼大大減小。于是，來自網(wǎng)絡(luò)內(nèi)部的平安威逼成了多數(shù)網(wǎng)絡(luò)管理人員真正須要面對的問題。在實(shí)施物理隔離的工作中，工作量最大的部分來自客戶端的平安管理部分，對網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)威逼最大的也同樣是客戶端平安管理。我們知道，內(nèi)網(wǎng)的客戶端構(gòu)成了內(nèi)網(wǎng)90%以上的組成，當(dāng)之無愧地成為內(nèi)網(wǎng)平安的重中之重。實(shí)踐證明，單純的物理隔離手段還不足以完全將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開來，對內(nèi)網(wǎng)客戶端機(jī)器運(yùn)用、管理還存在眾多平安隱患，特殊是非法外聯(lián)的隱患。“非法外聯(lián)”主要表現(xiàn)為內(nèi)網(wǎng)客戶端機(jī)器內(nèi)外網(wǎng)線交叉錯(cuò)接;內(nèi)網(wǎng)客戶端機(jī)器運(yùn)用撥號、無線網(wǎng)卡、雙網(wǎng)卡等方式接入外網(wǎng);便利攜帶的筆記本電腦按入內(nèi)部網(wǎng)絡(luò)運(yùn)用，事后又接入外部網(wǎng)絡(luò)運(yùn)用。這些人為有意或無意的疏忽，在內(nèi)網(wǎng)與外網(wǎng)間開出了新的連接通道，外部的黑客攻擊或者病毒就能夠繞過內(nèi)、外網(wǎng)之間的防護(hù)屏障，順當(dāng)侵入非法外聯(lián)的計(jì)算機(jī)，盜竊內(nèi)網(wǎng)的敏感信息和機(jī)密數(shù)據(jù)，甚至利用該機(jī)作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務(wù)器，導(dǎo)致整個(gè)內(nèi)網(wǎng)工作癱瘓。木馬入侵靜靜靜內(nèi)部終端非法外聯(lián)到外部網(wǎng)絡(luò)后，常遇到各種平安威逼，如病毒、木馬、非授權(quán)訪問、數(shù)據(jù)竊聽、暴力破解等。其中木馬是目前威逼比較廣、威逼后果比較嚴(yán)峻、常導(dǎo)致涉密信息泄漏的一種威逼。木馬具有高度的隱藏性，入侵后用戶毫無察覺，這也給黑客盜取用戶私人信息供應(yīng)了“有利”條件。黑客往往通過郵件、IM工具以及網(wǎng)頁掛馬等方式將木馬植入用戶電腦，進(jìn)而獲得用戶電腦的限制權(quán)，對用戶電腦內(nèi)的私人信息為所欲為。調(diào)查表明，木馬入侵的重要的途徑是涉密網(wǎng)絡(luò)終端不遵守保密管理方法，例如非法接入到外部網(wǎng)絡(luò)，移動(dòng)介質(zhì)和非移動(dòng)介質(zhì)混用等狀況，境外間諜部門特地設(shè)計(jì)了各種各樣的木馬，并且搜集了我國大量保密單位工作人員的個(gè)人網(wǎng)址或在很多站點(diǎn)網(wǎng)頁掛馬，只要這些人當(dāng)中有非法連接到互聯(lián)網(wǎng)，擺渡木馬就有可能靜靜植入內(nèi)部網(wǎng)絡(luò)終端，馬上感染內(nèi)網(wǎng)，把保密資料傳輸?shù)焦粽咧付ǖ胤剑瑥亩鴮?shí)現(xiàn)保密信息的竊取?？梢钥闯?，在保密內(nèi)網(wǎng)的平安建設(shè)中，非法外聯(lián)和木馬攻擊是兩大突出問題，須要在平安措施上供應(yīng)完成全面的應(yīng)對手段。3.2林業(yè)廳整體網(wǎng)絡(luò)平安分析通過前面所述林業(yè)廳信息平安需求及意義總結(jié)分析可以看出，林業(yè)廳政府網(wǎng)的平安防護(hù)必需是多層次的，全方位的。依據(jù)政府網(wǎng)的實(shí)際狀況，設(shè)計(jì)了完整、先進(jìn)的政府網(wǎng)主動(dòng)平安防護(hù)體系，它主要包括：－政府網(wǎng)絡(luò)出口統(tǒng)一審計(jì)限制－政府網(wǎng)絡(luò)內(nèi)部平安監(jiān)控和防衛(wèi)－政府網(wǎng)絡(luò)內(nèi)部重要服務(wù)器、應(yīng)用防護(hù)－政府網(wǎng)絡(luò)內(nèi)部終端平安防護(hù)－政府網(wǎng)絡(luò)出口流量的管理及限制政府網(wǎng)信息平安管理體系3.2.1．林業(yè)廳網(wǎng)絡(luò)出口統(tǒng)一審計(jì)限制當(dāng)今信息平安廠家比較多，依據(jù)財(cái)政部制定的《自主創(chuàng)新產(chǎn)品政府首購和訂購管理方法》和《政府選購 進(jìn)口產(chǎn)品管理方法》近日起先實(shí)施。特殊是國家公安部及國家保密局從2007全面開展的等級化愛護(hù)及分級化愛護(hù)等要求。我們建議在信息平安產(chǎn)品中還應(yīng)當(dāng)以國內(nèi)產(chǎn)品為主。聯(lián)想網(wǎng)御、啟明星辰、任子行等都是國內(nèi)在信息平安領(lǐng)域的聞名制造廠家。它們采納了多種先進(jìn)的平安技術(shù)，對進(jìn)、出政府網(wǎng)的數(shù)據(jù)包進(jìn)行檢查、處理和限制。它可以滿意政府網(wǎng)抵擋混合型威逼的須要。作為業(yè)界最全面的統(tǒng)一威逼和審計(jì)管理設(shè)備，它將全封包檢查防火墻、基于協(xié)議異樣和基于特征的入侵防衛(wèi)及入侵檢測引擎技術(shù)無縫地集成在一起。在政府網(wǎng)出口的地方，我們還可以利用建立出DMZ區(qū)域，放入一些對應(yīng)的服務(wù)器，如WEB服務(wù)器，EMAIL服務(wù)器等。為了避開政府出口的單點(diǎn)故障，可以部署兩臺(tái)或多臺(tái)設(shè)備。這些設(shè)備可以同時(shí)執(zhí)行負(fù)載均衡和高可用性責(zé)任。以上方案的效果可以使管理員敏捷限制來自CERNET的通訊流量，阻擋各種政府外來黑客攻擊和病毒、蠕蟲以及垃圾郵件；對DMZ區(qū)和政府內(nèi)部網(wǎng)絡(luò)區(qū)分看待，運(yùn)用不同的平安訪問限制規(guī)則。除了在政府網(wǎng)出口部署統(tǒng)一威逼管理方案，還可以在政府外網(wǎng)的網(wǎng)段之間部署。設(shè)置適合本網(wǎng)段的平安訪問限制規(guī)則及平安攻擊檢測規(guī)則，愛護(hù)信息以合法的方式被訪問。對于政府網(wǎng)的其它網(wǎng)段，可視狀況部署同樣的方案。利用防火墻部署在政府網(wǎng)出口和內(nèi)部重要網(wǎng)段；利用網(wǎng)絡(luò)平安審計(jì)部署在政府網(wǎng)出口和內(nèi)部重要網(wǎng)段，作為政府網(wǎng)絡(luò)中的網(wǎng)絡(luò)審計(jì)及上網(wǎng)形為審計(jì)等方面。特點(diǎn)如下：全面記錄網(wǎng)絡(luò)訪問信息強(qiáng)大高效的防泄密功能即時(shí)通訊、股票軟件、嬉戲限制豐富的網(wǎng)站分類限制強(qiáng)大的日志查詢與分析敏捷直觀的網(wǎng)絡(luò)訪問限制策略特殊是應(yīng)具有用旁路模式完全不會(huì)影響任何網(wǎng)絡(luò)速度和網(wǎng)絡(luò)上的應(yīng)用。 3.2.2．政府自從2003年沖擊波病毒發(fā)作以來，平安問題已經(jīng)成為全部政府和個(gè)人用戶最為關(guān)注的問題。長期以來，IT管理人員都把保證系統(tǒng)的平安作為其關(guān)注的焦點(diǎn)，并實(shí)施了豐富的解決方案。但是實(shí)施的效果并不是特別志向。除了因?yàn)橛绊懻W(wǎng)絡(luò)平安的因素比較困難，要保證從網(wǎng)絡(luò)，設(shè)備，系統(tǒng)到應(yīng)用層的整體平安之外，更重要的一點(diǎn)是因?yàn)橐酝钠桨步鉀Q方案大多是構(gòu)建政府網(wǎng)絡(luò)邊界的平安屏障，而且往往針對某種特定的平安防護(hù)技術(shù)，針對內(nèi)部的和全面的攻擊方式缺乏前瞻性的預(yù)防。統(tǒng)計(jì)表明，平安威逼大部分來自于內(nèi)部的攻擊，而攻擊產(chǎn)生的緣由除了少量來自內(nèi)部蓄意的惡意攻擊之外，往往是由于用戶對設(shè)備和應(yīng)用運(yùn)用的不規(guī)范性，用戶系統(tǒng)本身的平安級別不高造成的。所面臨嚴(yán)峻的平安威逼現(xiàn)實(shí)要求，只有對用戶的平安行為進(jìn)行規(guī)范，對終端平臺(tái)的平安性進(jìn)行整體管理，才可以便被動(dòng)防衛(wèi)為主動(dòng)預(yù)防，殲滅平安威逼的主要來源和傳播途徑。在這里就必需引入配置平安管理的概念。所謂的配置平安管理，是指運(yùn)用平安管理工具，通過收集設(shè)備終端平安相關(guān)的細(xì)粒度信息和監(jiān)控用戶的平安行為，并通過遠(yuǎn)程操作快速應(yīng)對平安威逼來實(shí)現(xiàn)對終端系統(tǒng)平安的全面監(jiān)控和保障。我政府由于現(xiàn)有網(wǎng)絡(luò)平安設(shè)備不足這方面也是一樣困惑和防礙網(wǎng)絡(luò)大規(guī)模發(fā)展的因素之一。只單單依靠現(xiàn)有技術(shù)人員的手工操作已經(jīng)無法適應(yīng)我政府高速發(fā)展的信息化建設(shè)要求，也無法滿意政府對于信息平安的渴求。該產(chǎn)品應(yīng)當(dāng)具有配置管理和平安管理集成的解決方案。部署在政府網(wǎng)具備如下特點(diǎn)：產(chǎn)品架構(gòu)和通訊機(jī)制：平安套件包括主動(dòng)的補(bǔ)丁管理，網(wǎng)絡(luò)連接限制，間諜軟件查殺，平安威逼分析，應(yīng)用阻擋/禁用，自定義漏洞等功能。這些功能的高效和精的確現(xiàn)基于平安套件統(tǒng)一的后臺(tái)架構(gòu)和通訊機(jī)制。網(wǎng)絡(luò)連接限制器：通過網(wǎng)絡(luò)連接和I/O設(shè)備來監(jiān)控和限制對受管設(shè)備的訪問。可以對允許設(shè)備連接的網(wǎng)絡(luò)IP地址進(jìn)行限制，也可以對那些允許訪問設(shè)備數(shù)據(jù)的設(shè)備（如端口、調(diào)制解調(diào)器、驅(qū)動(dòng)器、USB端口和無線連接）的運(yùn)用進(jìn)行限制。信任訪問可以為整個(gè)政府網(wǎng)絡(luò)提高終端的符合性平安：通過在平安和修補(bǔ)程序管理工具中配置自定義的符合性平安策略，對于試圖訪問政府網(wǎng)絡(luò)的設(shè)備，強(qiáng)制性地通過驗(yàn)證過程保證這些平安策略的符合性。自動(dòng)的廠家平安更新。來自廠家平安響應(yīng)中心的定期、快速響應(yīng)平安更新可供應(yīng)頂尖的平安愛護(hù)和最新的平安上下文信息，包括利用和漏洞信息、事務(wù)說明以及用于防衛(wèi)不斷增多的威逼的事務(wù)細(xì)化規(guī)則。這些操作大大削減了政府管理員的維護(hù)工作量。3.2.4．政府網(wǎng)服務(wù)器平安防護(hù)內(nèi)網(wǎng)危機(jī)往往在一般的網(wǎng)絡(luò)拓?fù)渲?，?nèi)網(wǎng)的愛護(hù)措施僅僅只有漏洞掃描，那么漏洞掃描所起到的作用只能是檢測到未補(bǔ)丁、或安裝了某些有漏洞的軟件的機(jī)器，而且相對來說漏洞掃描的策略庫是比較滯后的，必需是特別普及的漏洞才能檢測得到，對新的或未知的漏洞沒有任何作用，而且有確定誤報(bào)率特別高，使管理員無法精確推斷漏洞是否真的存在，延誤了修補(bǔ)工作的進(jìn)度。而且VLAN之間所運(yùn)行的服務(wù)如：Web、數(shù)據(jù)庫和FTP服務(wù)等，而這一類服務(wù)的認(rèn)證方式在傳輸過程是均是采納明文，如在其中一臺(tái)機(jī)器上進(jìn)行ARP欺瞞將及Sniffer，那么內(nèi)網(wǎng)中全部敏感的用戶以及口令將全部被截獲。并可造成內(nèi)網(wǎng)的拒絕服務(wù)。脆弱的二級操作系統(tǒng)往往服務(wù)器除安裝補(bǔ)丁以及一些手工加固以后，沒有對系統(tǒng)本身愛護(hù)的產(chǎn)品和措施，那么假如采納來自應(yīng)用層的攻擊，且進(jìn)行包重組技術(shù)，完全有可能擾過IDS，由于是應(yīng)用層攻擊，防火墻無法限制，那么這種攻擊行為可以干脆順當(dāng)進(jìn)入內(nèi)網(wǎng)任何一臺(tái)服務(wù)器，而對于殺毒軟件來說，攻擊者只須要略微對攻擊的特征代碼進(jìn)行修改，就可輕松躲避殺毒軟件。我們可以說只要通過防火墻，操作系統(tǒng)將成為沒有任何防衛(wèi)攻擊實(shí)力的傀儡。系統(tǒng)內(nèi)核平安設(shè)計(jì)在內(nèi)網(wǎng)服務(wù)器上安裝服務(wù)器平安加固系統(tǒng)，將服務(wù)器平安透亮提升到三級標(biāo)準(zhǔn)，這樣可以預(yù)防為知的漏洞攻擊、病毒以及攻擊手法，即使攻擊者能夠突破防火墻、IDS、漏洞掃描，也不能夠?qū)Ψ?wù)器造成任何威逼，并在Web服務(wù)器上安裝Web衛(wèi)士，避開了Web應(yīng)用攻擊手法，保證了Web服務(wù)器以及數(shù)據(jù)庫的平安。常見的操作系統(tǒng)有WINDOWS，LINUX/UNIX，UNIX等，那么系統(tǒng)層的平安一般由廠商來限制，商用系統(tǒng)一般用戶無法對系統(tǒng)內(nèi)核進(jìn)行修改，而目前全部操作系統(tǒng)通過手工配置僅能達(dá)到等級愛護(hù)二級標(biāo)準(zhǔn)（自主訪問限制），也就是說一旦超級管理員權(quán)限被攻擊者或病毒獲得，那么系統(tǒng)無其他防護(hù)措施。那么在系統(tǒng)層的平安隱患主要有：系統(tǒng)內(nèi)核漏洞、緩沖區(qū)溢出、系統(tǒng)自帶的服務(wù)漏洞、以及非可信的訪問。因?yàn)闊o論是病毒和黑客攻擊行為的發(fā)生，前提必需有一個(gè)生存環(huán)境：文件、進(jìn)程、服務(wù)、權(quán)限、網(wǎng)絡(luò)、注冊表（僅WINDOWS）。那么只要限制生存環(huán)境，那么可以說對二級以下的平安隱患會(huì)產(chǎn)生免疫。與傳統(tǒng)的防火墻、入侵檢測系統(tǒng)等基于網(wǎng)絡(luò)防護(hù)的平安產(chǎn)品不同，能夠很好地滿意現(xiàn)有各種困難的網(wǎng)絡(luò)環(huán)境的應(yīng)用需求，并已達(dá)到了國家等級愛護(hù)三級技術(shù)要求。為用戶的網(wǎng)絡(luò)服務(wù)器構(gòu)造一個(gè)可信的運(yùn)營平臺(tái)。 平安功能強(qiáng)制的訪問限制功能：內(nèi)核級實(shí)現(xiàn)文件強(qiáng)制訪問限制、注冊表強(qiáng)制訪問限制、進(jìn)程強(qiáng)制訪問限制，服務(wù)強(qiáng)制訪問限制。平安審計(jì)功能：文件的完整性檢測、服務(wù)的完整性檢測，WEB懇求監(jiān)測過濾。系統(tǒng)自身的愛護(hù)功能：愛護(hù)系統(tǒng)自身進(jìn)程不被異樣終止、偽造、信息注入。平安等級供應(yīng)國家第三級平安等級標(biāo)準(zhǔn)的平安功能?？刹僮餍酝耆嫒軼indows2000/2003系統(tǒng)，專業(yè)的、人性化的操作界面，運(yùn)行開銷小，不會(huì)引起能察覺的系統(tǒng)延時(shí)，對用戶透亮。

第四章 林業(yè)廳整體網(wǎng)絡(luò)平安建議方案依據(jù)林業(yè)廳的實(shí)際狀況和網(wǎng)絡(luò)日益發(fā)展的需求。我們將采納二套整體網(wǎng)平安解決方案（一套建議、一套可選），以便領(lǐng)導(dǎo)進(jìn)行參考。同時(shí)也將依據(jù)不同規(guī)格的方案列出相應(yīng)具體功能和優(yōu)勢。4.1 信息平安建議的政府網(wǎng)方案 依據(jù)政府網(wǎng)的各種需求及發(fā)展，前面所述已經(jīng)特別明顯。為什么我們建議在網(wǎng)絡(luò)擴(kuò)展及信息化政府下要優(yōu)先考慮信息平安呢？ 其它緣由比較簡潔：信息平安無論是在任何狀況下都是信息發(fā)展的最重要因素之一。信息平安體系的建立是林業(yè)廳在現(xiàn)在網(wǎng)絡(luò)狀況下最急需的，也就是說在沒有擴(kuò)容和改造的前提下，也應(yīng)當(dāng)先將建立網(wǎng)絡(luò)平安方面的工作。信息平安體系的建立是國家法律法規(guī)上的要求、公安部及教化部推行的等級化愛護(hù)、以及信息化不斷發(fā)展的需求下所確定的。4.1.1網(wǎng)絡(luò)平安方案的設(shè)計(jì)原則平安方案建議充分理解我院需求的前提下，綜合考慮了多方面的因素，符合如下的設(shè)計(jì)原則：1.綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的平安及具體措施。平安措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識別技術(shù)、存取限制、密碼、低輻射、容錯(cuò)、防病毒、采納高平安產(chǎn)品等）。一個(gè)較好的平安措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)平安應(yīng)遵循整體平安性原則，依據(jù)規(guī)定的平安策略制定出合理的網(wǎng)絡(luò)平安體系結(jié)構(gòu)。2.需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對任一網(wǎng)絡(luò)，確定平安難以達(dá)到，也不確定是必要的。對一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際探討（包括任務(wù)、性能、結(jié)構(gòu)、牢靠性、可維護(hù)性等），并對網(wǎng)絡(luò)面臨的威逼及可能擔(dān)當(dāng)?shù)娘L(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的平安策略。3.一樣性原則一樣性原則主要是指網(wǎng)絡(luò)平安問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的平安體系結(jié)構(gòu)必需與網(wǎng)絡(luò)的平安需求相一樣。平安的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（包括初步或具體設(shè)計(jì)）及實(shí)施支配、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有平安的內(nèi)容及措施，事實(shí)上，在網(wǎng)絡(luò)建設(shè)的起先就考慮網(wǎng)絡(luò)平安對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮平安措施，不但簡潔，且花費(fèi)也小得多。4.易操作性原則平安措施須要人為去完成，假如措施過于困難，對人的要求過高，本身就降低了平安性。其次，措施的采納不能影響系統(tǒng)的正常運(yùn)行。5.分步實(shí)施原則由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣袤，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)平安問題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息平安措施需相當(dāng)?shù)馁M(fèi)用支出。因此統(tǒng)一規(guī)劃、分步實(shí)施，即可滿意網(wǎng)絡(luò)系統(tǒng)及信息平安的基本需求，亦可節(jié)約費(fèi)用開支。6.可擴(kuò)展性原則由于網(wǎng)絡(luò)平安是動(dòng)態(tài)的，雖然現(xiàn)在的方案解決了目前平安，但是隨著時(shí)間的變更，原有的網(wǎng)絡(luò)平安解決方案可能滿意不了其需求，這時(shí)就須要對原有的網(wǎng)絡(luò)解決方案進(jìn)行升級，所以現(xiàn)有的網(wǎng)絡(luò)解決方案應(yīng)當(dāng)是具有可擴(kuò)展性。7.先進(jìn)性原則林業(yè)廳網(wǎng)絡(luò)系統(tǒng)其網(wǎng)絡(luò)平安的建設(shè)更是代表了整個(gè)林業(yè)廳的網(wǎng)絡(luò)平安技術(shù)水平，所以林業(yè)廳網(wǎng)絡(luò)系統(tǒng)的平安必需是有一個(gè)先進(jìn)水平的平安。具體的技術(shù)和技術(shù)方案應(yīng)保證整個(gè)系統(tǒng)具有的技術(shù)先進(jìn)性。8.合理規(guī)劃,分步實(shí)施原則一個(gè)完整的網(wǎng)絡(luò)平安解決方案不行能在很短的時(shí)間全部實(shí)施完成，須要對整個(gè)平安建設(shè)過程進(jìn)行合理的規(guī)劃。9.保障平安系統(tǒng)自身的平安原則網(wǎng)絡(luò)平安系統(tǒng)是愛護(hù)整個(gè)網(wǎng)絡(luò)的重要部分，假如網(wǎng)絡(luò)平安系統(tǒng)本身被攻破，那么整個(gè)網(wǎng)絡(luò)就自然被攻破了，所以平安系統(tǒng)本身的平安也是必需是林業(yè)廳網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)平安所必需考慮的。10.投入產(chǎn)出比原則結(jié)合林業(yè)廳網(wǎng)絡(luò)系統(tǒng)自身的網(wǎng)絡(luò)結(jié)構(gòu)和已經(jīng)運(yùn)用部分了的平安產(chǎn)品設(shè)計(jì)一個(gè)完整的平安解決方案，讓用戶用最小的投資獲得最大的回報(bào)，避開重復(fù)性投資。上面的幾點(diǎn)是本平安方案建議的考慮，希望通過下面提到的良好的產(chǎn)品性能和方案設(shè)計(jì)，再加上供應(yīng)商供應(yīng)的良好服務(wù)，為我院的整體網(wǎng)絡(luò)平安建設(shè)供應(yīng)有利的保障。平安需求分析泄密及信息平安事務(wù)是由一系列事務(wù)構(gòu)成的，包括內(nèi)網(wǎng)非法外聯(lián)、木馬通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)、木馬感染主機(jī)、泄密、發(fā)覺泄密事務(wù)等階段。要防止泄密事務(wù)的發(fā)生，就要阻斷木馬傳播、主動(dòng)預(yù)防、檢測和清除木馬，形成一個(gè)縱深的防衛(wèi)體系。對邊界防護(hù)的需求木馬都是由外部網(wǎng)絡(luò)傳入內(nèi)部網(wǎng)絡(luò)的，必需在邊界處進(jìn)行有效的限制，防止惡意行為的發(fā)生，實(shí)現(xiàn)拒敵于國門之外。針對邊界防護(hù)，須要考慮加強(qiáng)防護(hù)的方面有：內(nèi)網(wǎng)和外網(wǎng)間的邊界防護(hù)在條件允許的狀況下，實(shí)現(xiàn)保密內(nèi)網(wǎng)與外網(wǎng)的物理隔離，從而將攻擊者、攻擊途徑徹底隔斷。即使在部分單位，內(nèi)網(wǎng)、外網(wǎng)有交換數(shù)據(jù)的需求，也必需部署平安隔離和信息交換系統(tǒng)，從而實(shí)現(xiàn)單向信息交換，即只允許外網(wǎng)數(shù)據(jù)傳輸?shù)絻?nèi)網(wǎng)，禁止內(nèi)網(wǎng)信息流出到外網(wǎng)。對核心內(nèi)部服務(wù)器的邊界防護(hù)內(nèi)網(wǎng)中常包括核心服務(wù)器群、內(nèi)網(wǎng)終端兩大部分，核心服務(wù)器保存著大部分保密信息。為避開內(nèi)網(wǎng)終端非法外聯(lián)、竊密者非法獲得核心服務(wù)器上的保密數(shù)據(jù)，就要實(shí)現(xiàn)核心服務(wù)器與內(nèi)網(wǎng)終端間的邊界防護(hù)。感染木馬時(shí)，核心服務(wù)器的邊界平安網(wǎng)關(guān)能夠阻擋終端的越權(quán)訪問，并檢查是否含有木馬，然后進(jìn)行清除。但在實(shí)現(xiàn)網(wǎng)關(guān)的封堵、查殺木馬的同時(shí)，要防止對系統(tǒng)帶寬資源的嚴(yán)峻損耗。防止擔(dān)心全的在線非法外聯(lián)內(nèi)網(wǎng)與外網(wǎng)的連接點(diǎn)必需做到可管、可控，必需有效監(jiān)控內(nèi)網(wǎng)是否存在違規(guī)撥號行為、無線上網(wǎng)行為、搭線上網(wǎng)行為，避開內(nèi)用戶實(shí)行私自撥號等方式的訪問互聯(lián)網(wǎng)而造成的平安風(fēng)險(xiǎn)。防止離線非法外聯(lián)或擔(dān)心全的接入行為要限制終端設(shè)備，如PC機(jī)、筆記本，干脆接入并訪問內(nèi)網(wǎng)區(qū)域，對于不符合平安條件的設(shè)備(比如沒有安裝防病毒軟件，操作系統(tǒng)沒有剛好升級補(bǔ)丁，沒有獲得合法安排的IP地址或離線外聯(lián)過)，則必需禁止進(jìn)入。對主機(jī)平安的需求內(nèi)網(wǎng)終端非法外聯(lián)后木馬入侵的目的都是最終的主機(jī)。主機(jī)的防護(hù)必需全面、剛好。木馬病毒的查殺和檢測實(shí)力的需求由于內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量很多，要確保網(wǎng)絡(luò)中全部計(jì)算機(jī)都安裝防木馬軟件，并實(shí)施實(shí)施統(tǒng)一的防木馬策略。防木馬軟件至少應(yīng)能掃描內(nèi)存、驅(qū)動(dòng)器、目錄、文件和LotusNotes數(shù)據(jù)庫和郵件系統(tǒng);具備良好的檢測和清除實(shí)力;支持網(wǎng)絡(luò)遠(yuǎn)程自動(dòng)安裝功能和自動(dòng)升級功能。系統(tǒng)自身平安防護(hù)的需求木馬在主機(jī)中的隱藏、執(zhí)行和攻擊最終都是體現(xiàn)在操作系統(tǒng)層面。要確保操作系統(tǒng)剛好升級，防止漏洞被木馬和病毒利用。在剛好升級操作系統(tǒng)的基礎(chǔ)上，要實(shí)時(shí)對計(jì)算機(jī)進(jìn)程、訪問端口的進(jìn)行監(jiān)控，以剛好發(fā)覺異樣與木馬;同時(shí)要有注冊表防護(hù)手段，保障木馬不能修改系統(tǒng)信息，從而使木馬不能隱藏與自動(dòng)運(yùn)行。移動(dòng)存儲(chǔ)介質(zhì)限制的需求木馬傳播重要一個(gè)渠道是移動(dòng)存儲(chǔ)介質(zhì)。主機(jī)系統(tǒng)要在移動(dòng)介質(zhì)接入系統(tǒng)時(shí)馬上截獲該事務(wù)，然后依據(jù)策略或者拒絕接入，或者馬上對移動(dòng)介質(zhì)進(jìn)行掃描，以阻斷移動(dòng)介質(zhì)病毒的自動(dòng)運(yùn)行與傳播。平安審計(jì)的需求系統(tǒng)的日志記錄了系統(tǒng)的工作狀況，也反應(yīng)了工作人員的操作行為。審計(jì)關(guān)鍵主機(jī)的訪問行為，可推斷內(nèi)部人員是否有違規(guī)的行為;同時(shí)，還可以實(shí)時(shí)發(fā)覺木馬的行蹤，并找出深層次的平安威逼。對平安管理的需求為防止泄密事務(wù)的發(fā)生，除了加強(qiáng)平安技術(shù)的管控外，也要加強(qiáng)平安管理。首先，要引入第三方平安服務(wù)，定期查看關(guān)鍵計(jì)算機(jī)設(shè)備的狀態(tài)，以發(fā)覺與解決計(jì)算機(jī)中的木馬;其次，要建立應(yīng)急響應(yīng)機(jī)制，使得在泄密事務(wù)發(fā)生后，能剛好定位與隔離涉及的主機(jī)，使平安事務(wù)能夠追查到責(zé)任人。1、邊界防護(hù)的措施

1)防火墻技術(shù)

防火墻是實(shí)現(xiàn)內(nèi)網(wǎng)終端與內(nèi)網(wǎng)核心服務(wù)器隔離的基本手段。防火墻通常位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域間的唯一連接處，依據(jù)組織的業(yè)務(wù)特點(diǎn)、管理制度所制定的安全策略，運(yùn)用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實(shí)現(xiàn)對出入核心服務(wù)器網(wǎng)絡(luò)的信息流進(jìn)行全面的限制(允許通過、拒絕通過、過程監(jiān)測)，限制類別包括IP地址、TCP/UDP端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個(gè)方面，從而實(shí)現(xiàn)對不良網(wǎng)站的封堵。

但是，傳統(tǒng)單一的防火墻無法有效對抗更隱藏的攻擊行為，如欺瞞攻擊、木馬攻擊等，因此，有必要在這些邊界實(shí)行防護(hù)實(shí)力更強(qiáng)的技術(shù)。

2)防病毒網(wǎng)關(guān)技術(shù)

隨著網(wǎng)絡(luò)的飛速發(fā)展，單機(jī)版的防病毒軟件面臨著集中管理、智能更新等多方面的問題，無法對木馬、蠕蟲、郵件性病毒進(jìn)行全網(wǎng)整體的防護(hù)，已經(jīng)不能滿意困難應(yīng)用環(huán)境，所以，構(gòu)建整體病毒防護(hù)體系已成為必定。完整的防毒體系包括：

網(wǎng)關(guān)級防病毒——部署在網(wǎng)絡(luò)入口處，對木馬、病毒、蠕蟲和垃圾郵件進(jìn)行有效過濾;

服務(wù)器防病毒——服務(wù)器為資源共享和信息交換供應(yīng)了便利條件，但同時(shí)也給病毒的傳播和擴(kuò)散以可乘之機(jī);

桌面級防病毒——在客戶端安裝，將病毒在本地清除而不至于擴(kuò)散到其他主機(jī)或服務(wù)器;

病毒管理中心——能實(shí)現(xiàn)防病毒軟件的集中管理和分發(fā)、病毒庫分發(fā)、病毒事務(wù)集中審計(jì)等。

在不與外網(wǎng)連接的內(nèi)部保密網(wǎng)中，可將防病毒網(wǎng)關(guān)部署在核心服務(wù)器區(qū)和終端區(qū)之間，通過網(wǎng)關(guān)把病毒拒于核心服務(wù)器區(qū)網(wǎng)絡(luò)之外。

在與外網(wǎng)連接的內(nèi)部保密網(wǎng)中，可將防病毒網(wǎng)關(guān)部署在外網(wǎng)和內(nèi)網(wǎng)連接邊界中之間，通過網(wǎng)關(guān)把病毒拒于內(nèi)部保密網(wǎng)絡(luò)之外。這要求網(wǎng)關(guān)防毒產(chǎn)品部署簡便、能承受防病毒網(wǎng)關(guān)的數(shù)據(jù)流量、能檢測并清除病毒。

3)終端防護(hù)系統(tǒng)

為了防止擔(dān)心全的在線非法外聯(lián)、離線非法外聯(lián)或擔(dān)心全的接入行為，必需把終端防護(hù)系統(tǒng)與其它網(wǎng)關(guān)防護(hù)技術(shù)結(jié)合起來。

通過終端防護(hù)系統(tǒng)的統(tǒng)一策略配置的主機(jī)防火墻和主機(jī)IDS，能實(shí)現(xiàn)對桌面系統(tǒng)的網(wǎng)絡(luò)平安檢測和防護(hù)，當(dāng)IDS檢測到威逼后，能與主機(jī)防火墻進(jìn)行聯(lián)動(dòng)，自動(dòng)阻斷外部攻擊行為。

通過終端防護(hù)系統(tǒng)，可對桌面系統(tǒng)的遠(yuǎn)程撥號行為、無線上網(wǎng)行為、搭線上網(wǎng)行為進(jìn)行限制，發(fā)覺存在違規(guī)外聯(lián)的主機(jī)，給出報(bào)警，通過防火墻切斷該主機(jī)與網(wǎng)絡(luò)的連接，避開導(dǎo)致內(nèi)網(wǎng)遭到更大的破壞。

通過終端防護(hù)系統(tǒng)的平安狀態(tài)檢測策略，可監(jiān)測進(jìn)入內(nèi)網(wǎng)的終端設(shè)備，對于不符合平安條件的設(shè)備，可不允許其接入內(nèi)網(wǎng)。

4)網(wǎng)閘技術(shù)

在平安性要求很高，但又有內(nèi)部網(wǎng)絡(luò)和外網(wǎng)數(shù)據(jù)交換的狀況下，必需實(shí)行網(wǎng)閘技術(shù)，以實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的單向平安隔離和數(shù)據(jù)交換。

2、主機(jī)平安的防護(hù)

1)桌面木馬與病毒查殺技術(shù)

在一個(gè)整體病毒防護(hù)方案中，桌面級防病毒是重要的支點(diǎn)。對木馬的防范，除了通常的桌面防病毒產(chǎn)品外，還有一些特地的木馬查殺產(chǎn)品，象瑞星卡卡、360平安衛(wèi)士等。桌面查殺產(chǎn)品擁有查殺流行木馬、清理惡評及系統(tǒng)插件、管理應(yīng)用軟件、系統(tǒng)實(shí)時(shí)愛護(hù)，修復(fù)系統(tǒng)漏洞等數(shù)個(gè)強(qiáng)勁功能，同時(shí)還供應(yīng)系統(tǒng)全面診斷，彈出插件免疫，清理運(yùn)用痕跡以及系統(tǒng)還原等特定協(xié)助功能，并且供應(yīng)對系統(tǒng)的全面診斷報(bào)告，便利用戶剛好定位問題所在，為用戶供應(yīng)全方位的系統(tǒng)桌面愛護(hù)。

2)終端防護(hù)技術(shù)

終端管理系統(tǒng)是對局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)行為進(jìn)行全面監(jiān)管，檢測并保障桌面系統(tǒng)的平安產(chǎn)品。系統(tǒng)一般共分四大模塊：桌面行為監(jiān)管、桌面系統(tǒng)監(jiān)管、系統(tǒng)資源管理，通過統(tǒng)確定制、下發(fā)平安策略并強(qiáng)制執(zhí)行的機(jī)制，實(shí)現(xiàn)對局域網(wǎng)內(nèi)部桌面系統(tǒng)的管理和維護(hù)，能有效保障桌面系統(tǒng)及機(jī)密數(shù)據(jù)的平安。

終端管理系統(tǒng)自動(dòng)檢測桌面系統(tǒng)的平安狀態(tài)，能針對桌面系統(tǒng)的補(bǔ)丁自動(dòng)檢測、下發(fā)和安裝，修復(fù)存在的平安漏洞，防止漏洞被木馬和病毒利用。

終端管理系統(tǒng)監(jiān)管桌面行為，對桌面系統(tǒng)上撥號行為、打印行為、外存運(yùn)用行為、文件操作行為的監(jiān)控，通過策略定制限制主機(jī)是否允許運(yùn)用外存設(shè)備，確保機(jī)密數(shù)據(jù)的平安，避開了內(nèi)部保密數(shù)據(jù)的泄漏。

終端管理系統(tǒng)桌面監(jiān)管系統(tǒng)，解決了難以剛好、精確掌控桌面系統(tǒng)基礎(chǔ)信息的問題，規(guī)范了客戶端操作行為，提高了桌面系統(tǒng)的平安等級。

通過系統(tǒng)監(jiān)管模塊管理員能夠遠(yuǎn)程查看桌面系統(tǒng)當(dāng)前的具體信息，包括：已安裝軟件、已安裝硬件、進(jìn)程、端口、CPU、磁盤、內(nèi)存等，剛好發(fā)覺異樣。

終端管理系統(tǒng)為管理員供應(yīng)了Agent管理、IP管理等功能，能對網(wǎng)絡(luò)內(nèi)的Agent進(jìn)行有效管理，避開IP地址混亂、非法接入、木馬運(yùn)行等狀況。

終端管理系統(tǒng)在對收集的事務(wù)進(jìn)行詳盡的分析和統(tǒng)計(jì)的基礎(chǔ)上，支持豐富的報(bào)表功能，實(shí)現(xiàn)了分析結(jié)果的可視化。為幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中的狀況進(jìn)行深度挖掘分析，系統(tǒng)供應(yīng)了多種報(bào)表模板，支持管理員從不同方面進(jìn)行網(wǎng)絡(luò)事務(wù)和用戶行為的可視化分析，滿意了平安審計(jì)的需求。

3、平安管理

1)平安審計(jì)系統(tǒng)

平安審計(jì)既是發(fā)覺平安問題的重要手段，也是管理內(nèi)部人員行為的威懾手段。假如擔(dān)心排部署平安管理平臺(tái)，就確定要安裝平安審計(jì)系統(tǒng)。舉薦通過引入集中日志審計(jì)的技術(shù)手段，對網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、平安設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一的平安審計(jì)，剛好自動(dòng)分析系統(tǒng)平安事務(wù)，實(shí)現(xiàn)系統(tǒng)平安運(yùn)行管理。

2)平安管理平臺(tái)系統(tǒng)

在內(nèi)部部署了防病毒等一系列平安設(shè)備后，可以在確定程度上提高平安防衛(wèi)水平，降低發(fā)生泄密事務(wù)的概率。但同時(shí)也要加強(qiáng)平安管理，引入平安管理平臺(tái)。

信息平安管理平臺(tái)，能實(shí)時(shí)對網(wǎng)絡(luò)設(shè)備、服務(wù)器、平安設(shè)備、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)的平安狀況進(jìn)行統(tǒng)一監(jiān)控、采集平安事務(wù)和日志信息、進(jìn)行整合和關(guān)聯(lián)分析、評估平安風(fēng)險(xiǎn)、審計(jì)用戶行為、產(chǎn)生平安事故和告警、生成平安報(bào)告并剛好進(jìn)行應(yīng)急響應(yīng)，確保相關(guān)系統(tǒng)的業(yè)務(wù)持續(xù)運(yùn)行，幫助管理人員解除平安隱患和平安故障，同時(shí)為相關(guān)部門的信息平安審計(jì)和考核供應(yīng)技術(shù)手段和依據(jù)，實(shí)現(xiàn)全網(wǎng)的平安集中監(jiān)控、審計(jì)和應(yīng)急響應(yīng)，全面提升保密內(nèi)網(wǎng)的信息平安保障實(shí)力。

對于內(nèi)網(wǎng)泄密事務(wù)而言，平安管理平臺(tái)可以對關(guān)鍵主機(jī)的訪問行為進(jìn)行記錄，一方面形成威懾，另一方面便利事后取證;平安管理平臺(tái)還可以找出系統(tǒng)內(nèi)感染木馬病毒的機(jī)器。

3)定期巡檢服務(wù)

定期巡檢服務(wù)是一種第三方平安服務(wù)，可以定期查看并發(fā)覺系統(tǒng)的平安漏洞，檢測關(guān)鍵計(jì)算機(jī)設(shè)備的狀態(tài)，發(fā)覺并定位計(jì)算機(jī)中已經(jīng)感染的木馬，防止木馬的泄密等破壞行為發(fā)生。4.1.3各層次的平安解決方案網(wǎng)絡(luò)層平安解決方案防火墻技術(shù)防火墻是實(shí)現(xiàn)內(nèi)網(wǎng)終端與內(nèi)網(wǎng)核心服務(wù)器隔離的基本手段。防火墻通常位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域間的唯一連接處，依據(jù)組織的業(yè)務(wù)特點(diǎn)、管理制度所制定的安全策略，運(yùn)用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實(shí)現(xiàn)對出入核心服務(wù)器網(wǎng)絡(luò)的信息流進(jìn)行全面的限制(允許通過、拒絕通過、過程監(jiān)測)，限制類別包括IP地址、TCP/UDP端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個(gè)方面，從而實(shí)現(xiàn)對不良網(wǎng)站的封堵。但是，傳統(tǒng)單一的防火墻無法有效對抗更隱藏的攻擊行為，如欺瞞攻擊、木馬攻擊等，因此，有必要在這些邊界實(shí)行防護(hù)實(shí)力更強(qiáng)的技術(shù)。我們建議采納聯(lián)想網(wǎng)御的多功能防火墻。，其特點(diǎn)如下：具有多種必要的網(wǎng)絡(luò)平安功能，集成了防火墻、基于URL的內(nèi)容過濾、以及符合IPSec標(biāo)準(zhǔn)的VPN技術(shù)?？梢栽谝慌_(tái)設(shè)備上實(shí)現(xiàn)對政府網(wǎng)的統(tǒng)一威逼管理。具有獨(dú)到之處在于采納“最佳適配”規(guī)則系統(tǒng)。管理員可以按隨意依次創(chuàng)建訪問限制規(guī)則（依次無關(guān)），防火墻會(huì)自動(dòng)依據(jù)最平安的策略選擇并說明執(zhí)行規(guī)則。大大削減了信息管理員的管理成本，易于維護(hù)運(yùn)用。政府網(wǎng)的信息平臺(tái)相對開放，多數(shù)具有較強(qiáng)破壞力的困難攻擊是對應(yīng)用數(shù)據(jù)流的攻擊，而不是僅僅在IP層，所以對應(yīng)用數(shù)據(jù)和協(xié)議吩咐的限制是特別必要的。聯(lián)想網(wǎng)御系列運(yùn)用智能平安代理，對IP應(yīng)用（例如FTP，SMTP，SQL*NET）獨(dú)立限制，保證只有合法的協(xié)議吩咐和數(shù)據(jù)才能通過。例如聯(lián)想網(wǎng)御系列防火墻可以抵制SMTP后門吩咐和FTP、SMTP和HTTP數(shù)據(jù)流中存在的緩沖區(qū)溢出攻擊。聯(lián)想網(wǎng)御供應(yīng)集中式管理，通過集中的日志記錄、警報(bào)、報(bào)告和策略配置簡化網(wǎng)絡(luò)平安的管理。同時(shí)聯(lián)想網(wǎng)御具有集成的高可用性和負(fù)載均衡選件，能夠滿意任何規(guī)模的政府網(wǎng)的性能要求。入侵檢測防護(hù)技術(shù)建議自從1990年起先在網(wǎng)絡(luò)中引入防火墻以來，網(wǎng)絡(luò)平安解決方案已經(jīng)定型成為以防火墻為主的方案。這種方案的特點(diǎn)就是：將網(wǎng)絡(luò)劃分成不同平安等級的網(wǎng)段，在網(wǎng)絡(luò)邊界放置防火墻，進(jìn)行網(wǎng)段隔離和訪問限制。即使后來出現(xiàn)了針對應(yīng)用層威逼的入侵檢測技術(shù)，也無法動(dòng)搖防火墻在網(wǎng)絡(luò)平安方案中的核心地位。防火墻雖然能抵擋網(wǎng)絡(luò)外部平安威逼，但對網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊，顯得無能為力。動(dòng)態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出剛好的響應(yīng)，就要依靠基于網(wǎng)絡(luò)的實(shí)時(shí)的入侵防護(hù)技術(shù)。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測出攻擊的行為并給與響應(yīng)和處理。實(shí)時(shí)入侵防護(hù)技術(shù)還能檢測到繞過防火墻的攻擊。通過分析最近兩年來的網(wǎng)絡(luò)平安發(fā)展形勢，可以看出傳統(tǒng)的單一防火墻方案已經(jīng)無法滿意政府用戶的應(yīng)用平安需求了。從平安的發(fā)展來看，至少有三點(diǎn)值得反思：第一，大部分的威逼來自網(wǎng)絡(luò)內(nèi)部。隨著很多政府加速筆記本電腦的普及，移動(dòng)辦公得到了發(fā)展，越來越多的計(jì)算機(jī)終端在政府的內(nèi)網(wǎng)和外網(wǎng)之間漫游，這樣很簡潔造成網(wǎng)絡(luò)威逼從外網(wǎng)進(jìn)入內(nèi)網(wǎng)，從而在內(nèi)網(wǎng)進(jìn)行傳播。另外，由于VPN技術(shù)的普及，使得政府內(nèi)網(wǎng)無限擴(kuò)展，從而變相加大了平安威逼進(jìn)入內(nèi)網(wǎng)的機(jī)會(huì)。其次，基于Web的攻擊成為主流。各種蠕蟲、病毒、應(yīng)用層攻擊技術(shù)頻頻發(fā)作，混合攻擊的出現(xiàn)令傳統(tǒng)的平安防衛(wèi)變得困難重重。目前來看，大量的混合攻擊主要威逼政府的核心服務(wù)器和應(yīng)用，給用戶帶來了重大損失。一些對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行的DDoS攻擊，造成基礎(chǔ)設(shè)施癱瘓。此外，一些P2P應(yīng)用，如BT、電驢，以及一些IM應(yīng)用，如QQ、MSN，對政府的網(wǎng)絡(luò)帶寬提出了挑戰(zhàn)。統(tǒng)計(jì)表明，這種與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)流量對政府網(wǎng)絡(luò)的核心性能造成了威逼。事實(shí)上，此類應(yīng)用都是基于第七層的，而一般的三、四層防火墻明顯無能為力。第三，平安與網(wǎng)絡(luò)結(jié)合。目前，越來越多的病毒和蠕蟲是基于網(wǎng)絡(luò)來傳播的，有了網(wǎng)絡(luò)這個(gè)介質(zhì)，威逼的傳播速度大大加快。比如聞名的SQLSlammer攻擊，10分鐘內(nèi)就感染了全球90%的有漏洞的計(jì)算機(jī)。不難看出，假如網(wǎng)絡(luò)對于這些威逼不能識別，不能在其傳播擴(kuò)散的通道上進(jìn)行阻截，純粹依靠人工手動(dòng)的打補(bǔ)丁、升級防病毒軟件和在防火墻上設(shè)置ACL，根本無法抑制這些蠕蟲病毒的大規(guī)模泛濫。在這種應(yīng)用平安的需求之下，基于網(wǎng)絡(luò)的Web主動(dòng)防衛(wèi)技術(shù)應(yīng)運(yùn)而生。其中，入侵檢測防衛(wèi)系統(tǒng)IDS/IPS就是這樣技術(shù)的代表?？梢哉f，IDS/IPS的出現(xiàn)就是應(yīng)用拉動(dòng)技術(shù)發(fā)展的一個(gè)例證：當(dāng)前越來越多的政府，其IT部門急需愛護(hù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施，并確保應(yīng)用中的應(yīng)用平安。入侵檢測防衛(wèi)系統(tǒng)IDS/IPS對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主地，實(shí)時(shí)地攻擊檢測與響應(yīng)。這種領(lǐng)先產(chǎn)品對網(wǎng)絡(luò)平安輪回監(jiān)控，運(yùn)用戶可以在系統(tǒng)被破壞之前自主地中斷并響應(yīng)平安漏洞和誤操作。實(shí)時(shí)監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。它對平安威逼的自主響應(yīng)為用戶供應(yīng)了最大限度的平安保障。入侵檢測防衛(wèi)系統(tǒng)IDS/IPS在檢測到網(wǎng)絡(luò)入侵后，除了可以剛好報(bào)警以及切斷攻擊行為之外，還可以進(jìn)行動(dòng)態(tài)地的防護(hù)策略，成為一個(gè)動(dòng)態(tài)的智能的防護(hù)體系。我們建議采納聯(lián)想網(wǎng)御的IDS設(shè)備運(yùn)用效果及解決問題：通過檢測流經(jīng)的網(wǎng)絡(luò)流量，供應(yīng)對網(wǎng)絡(luò)系統(tǒng)的平安愛護(hù)；防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。入侵防護(hù)能夠愛護(hù)服務(wù)器的平安弱點(diǎn)不被不法分子所利用；實(shí)時(shí)檢測與阻斷功能很有可能出現(xiàn)網(wǎng)絡(luò)攻擊形為；防止目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS和黑客攻擊，包括未知的攻擊形式；阻擋來自外部或內(nèi)部的蠕蟲、病毒和黑客等的威逼，確保政府信息資產(chǎn)的平安；阻擋間諜軟件的威逼，愛護(hù)我院機(jī)密；阻擋網(wǎng)內(nèi)因?yàn)楦鞣NIM即時(shí)通訊軟件、網(wǎng)絡(luò)在線嬉戲、P2P下載、在線視頻導(dǎo)致的政府網(wǎng)絡(luò)資源濫用而影響正常工作，凈化流量，為網(wǎng)絡(luò)加速；阻擋P2P應(yīng)用可能導(dǎo)致的重要機(jī)密信息泄漏和可能引發(fā)的與版權(quán)相關(guān)的法律問題；實(shí)時(shí)保障網(wǎng)絡(luò)系統(tǒng)7x24不間斷運(yùn)行，提高整體的網(wǎng)絡(luò)平安水平。強(qiáng)大的功能聯(lián)想網(wǎng)御IDS入侵防護(hù)系統(tǒng)先進(jìn)的入侵檢測/防衛(wèi)技術(shù)包括：狀態(tài)檢測內(nèi)容重組通信協(xié)議檢測應(yīng)用協(xié)議檢測內(nèi)容檢測高牢靠性（HA）在高可用性群集中的每臺(tái)聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)加強(qiáng)了整體的平安性策略并擁有相同的配置設(shè)置。一個(gè)HA群集最多可以添加32臺(tái)設(shè)備。HA群集中的每臺(tái)設(shè)備必需是相同的型號并運(yùn)行相同的固件鏡像。聯(lián)想網(wǎng)御IPS入侵防護(hù)系統(tǒng)高可用性支持冗余鏈接與冗余設(shè)備。管理功能圖形管理：支持WebUI圖形配置CLI管理：支持吩咐行接口遠(yuǎn)程管理：支持SSH、Telnet遠(yuǎn)程吩咐行管理，支持HTTPS的遠(yuǎn)程圖形管理配置向?qū)В汗?yīng)快速配置向?qū)０逭Z言：供應(yīng)中文、英文等多語言支持日志：支持圖形化報(bào)表，支持日志關(guān)鍵字搜尋、支持日志分類監(jiān)控：支持SNMP，支持VPN監(jiān)控，報(bào)警：通過E-mail發(fā)送病毒、攻擊報(bào)警應(yīng)用層平安解決方案針對服務(wù)器防病毒平安技術(shù)建議病毒是系統(tǒng)中最常見、威逼最大的平安來源，建立一個(gè)全方位的病毒防范系統(tǒng)是林業(yè)廳網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)建設(shè)的重要任務(wù)。隨著網(wǎng)絡(luò)的飛速發(fā)展，單機(jī)版的防病毒軟件面臨著集中管理、智能更新等多方面的問題，無法對木馬、蠕蟲、郵件性病毒進(jìn)行全網(wǎng)整體的防護(hù)，已經(jīng)不能滿意困難應(yīng)用環(huán)境，所以，構(gòu)建整體病毒防護(hù)體系已成為必定。目前主要采納病毒防范系統(tǒng)解決病毒查找、清殺問題，依據(jù)林業(yè)廳的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和計(jì)算機(jī)分布狀況，病毒防范系統(tǒng)的安裝實(shí)施要求為：能夠配置成分布式運(yùn)行和集中管理，由防病毒代理和防病毒服務(wù)器端組成。針對現(xiàn)有林業(yè)廳防病毒需求，防病毒客戶端安裝在系統(tǒng)的關(guān)鍵主機(jī)中，如機(jī)房的服務(wù)器、工作站和網(wǎng)管終端。在防病毒服務(wù)器能夠交互式地操作防病毒客戶端進(jìn)行病毒掃描和清殺，設(shè)定病毒防范策略。能夠從多層次進(jìn)行病毒防范，第一層工作站、其次層服務(wù)器、第三層網(wǎng)關(guān)都能有相應(yīng)的防毒軟件供應(yīng)完整的、全面的防病毒愛護(hù)。用戶盡管普遍運(yùn)用了防病毒、單機(jī)防火墻產(chǎn)品，但是它們的平安系統(tǒng)還是存在漏洞。這種局面主要是因?yàn)楝F(xiàn)在信息化的發(fā)展更加多樣化、困難化、智能化的混合威逼，過去傳統(tǒng)單一防護(hù)產(chǎn)品是不能完全保障平安的，對于關(guān)鍵業(yè)務(wù)計(jì)算機(jī)，只有實(shí)行多項(xiàng)平安技術(shù)集成的整體解決方案才能抵擋威逼入侵，削減損失。因此，易安裝、易升級具有較高性價(jià)比的整體解決方案是首選產(chǎn)品。我們建議采納聯(lián)想網(wǎng)御的防毒墻結(jié)合原有的防病毒軟件進(jìn)行防病毒體系的支撐。審計(jì)檢測平安技術(shù)建議審計(jì)檢測系統(tǒng)對分析“可能的攻擊行為”特別有用。舉例來說，有時(shí)候它除了指出入侵者試圖執(zhí)行一些“危急的吩咐”之外，還能辨別出入侵者干了什么事：他們運(yùn)行了什么程序、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。入侵檢測系統(tǒng)由于安裝網(wǎng)絡(luò)上，所以對網(wǎng)絡(luò)結(jié)構(gòu)沒有影響。舉薦產(chǎn)品和服務(wù)——任天行系統(tǒng)認(rèn)證審計(jì)系統(tǒng)來解決相關(guān)的管理問題和平安問題，為林業(yè)廳網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵業(yè)務(wù)系統(tǒng)供應(yīng)一個(gè)用戶身份及認(rèn)證、應(yīng)用操作審計(jì)及訪問限制的管理平臺(tái)，對系統(tǒng)中關(guān)鍵人員、核心操作進(jìn)行集中的管理和限制。對網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計(jì)并形成審計(jì)報(bào)表，直觀地顯示出用戶所關(guān)切的關(guān)鍵環(huán)節(jié)的實(shí)際狀況；系統(tǒng)管理員可以依據(jù)審計(jì)報(bào)表的內(nèi)容，對系統(tǒng)的平安狀況、運(yùn)行狀況做出相應(yīng)的評估結(jié)果；假如評估的結(jié)果是系統(tǒng)面臨比較大的平安風(fēng)險(xiǎn)，則可以剛好地實(shí)行相應(yīng)的措施來規(guī)避風(fēng)險(xiǎn)。也是公安網(wǎng)監(jiān)部門所舉薦的產(chǎn)品應(yīng)用效果：完善的、可不斷更新的不良站點(diǎn)庫，禁止在校人員訪問不良站點(diǎn)；特性化的策略限制師生的上網(wǎng)行為，提高學(xué)生，老師的工作學(xué)習(xí)效率全面的上網(wǎng)內(nèi)容審計(jì)具體記錄的上網(wǎng)行為專業(yè)，全面的流量分析和統(tǒng)計(jì)報(bào)表，幫助行政管理完善的功能特點(diǎn)：有效的互聯(lián)網(wǎng)管理針對互聯(lián)網(wǎng)濫用所造成的不良影響，系統(tǒng)供應(yīng)了一系列貼近用戶的管理功能。如針對互聯(lián)網(wǎng)工作效率的殺手，即時(shí)閑聊工具（QQ、MSN、YahooMessenger、網(wǎng)易泡泡、Skype等）的運(yùn)用管理，不良站點(diǎn)、消遣休閑、新聞等與工作無關(guān)站點(diǎn)的訪問管理；針對外發(fā)信息的通用途徑，電子郵件，Webmail，F(xiàn)TP等的審計(jì)記錄；針對帶寬流量濫用，各種P2P（BT，電驢等）下載工具的運(yùn)用限制，音視頻等文件的下載的管理；為了使管理人員能直觀了解互聯(lián)網(wǎng)的運(yùn)用狀況，供應(yīng)了敏捷的日志檢索和豐富的報(bào)表。這些功能有效地幫助各種組織提升互聯(lián)網(wǎng)的運(yùn)用效率。平安牢靠運(yùn)用最小化的、經(jīng)過裁減的LINUX內(nèi)核作為系統(tǒng)運(yùn)行平臺(tái)，使得系統(tǒng)的不穩(wěn)定性與擔(dān)心全性減至最少；采納特有的文件系統(tǒng)，使設(shè)備能抵擋突然掉電造成的損害。同時(shí)采納多種加密與防護(hù)措施，以及多種系統(tǒng)管理權(quán)限的實(shí)現(xiàn)，數(shù)據(jù)備份等，保障系統(tǒng)本身信息的平安。加密的數(shù)據(jù)通道 系統(tǒng)運(yùn)用SSL加密技術(shù)來確保系統(tǒng)在各個(gè)工作環(huán)節(jié)中全部的傳輸數(shù)據(jù)的平安性。這主要在三個(gè)方面：一、用戶登陸管理界面時(shí)，我們運(yùn)用SSL技術(shù)為用戶建立一條加密通道,保證用戶帳號，口令不被竊聽；二、在任天行與網(wǎng)絡(luò)平安中心平臺(tái)進(jìn)行通信連接時(shí)，采納SSL強(qiáng)加密算法對傳輸數(shù)據(jù)進(jìn)行加密，確保傳輸數(shù)據(jù)在傳輸過程中不會(huì)被竊聽、篡改或者偽造；防暴力攻擊為了防止黑客采納暴力方法揣測用戶賬號和密碼，我們采納圖形校驗(yàn)碼驗(yàn)證，且當(dāng)連續(xù)3次嘗試登陸失敗，系統(tǒng)自動(dòng)鎖住一段時(shí)間的方法阻擋暴力攻擊。隱藏自身的IP地址系統(tǒng)的全部探測端口均屏蔽了自身的IP地址，使攻擊者無法通過探測端口對任天行網(wǎng)絡(luò)平安管理系統(tǒng)進(jìn)行掃描和攻擊，確保系統(tǒng)自身的平安性。高效的系統(tǒng)權(quán)限管理系統(tǒng)供應(yīng)usbkey，指定權(quán)限的管理員必需通過usbkey才能訪問特定權(quán)限的功能模塊，否則無法訪問指定的功能模塊。從而避開了公司、政府敏感信息在非授權(quán)人員中泄露，避開系統(tǒng)受到非授權(quán)人員的操作等。簡潔易用跟傳統(tǒng)的應(yīng)用軟件采納C/S（服務(wù)端/客戶端）結(jié)構(gòu)所不同的是，系統(tǒng)采納B/S模式的結(jié)構(gòu)，用戶的管理操作全部通過閱讀器方式完成，而這種B/S模式的用戶界面存在以下優(yōu)點(diǎn)：對用戶環(huán)境沒有任何特殊要求，無須用戶為滿意產(chǎn)品運(yùn)用進(jìn)行任何環(huán)境的變更，也無須安裝客戶端軟件；B/S結(jié)構(gòu)模式的數(shù)據(jù)處理過程全部在服務(wù)器端完成，不會(huì)增加管理主機(jī)系統(tǒng)負(fù)載。用戶界面設(shè)計(jì)風(fēng)格簡潔樸實(shí)，操作習(xí)慣充分考慮可用性，幫助簡明易懂。性能卓越在對Linux的系統(tǒng)內(nèi)核進(jìn)行充分剖析的基礎(chǔ)上，在操作系統(tǒng)級對系統(tǒng)各支撐引擎進(jìn)行了修改和全面優(yōu)化，并且對硬件的驅(qū)動(dòng)程序進(jìn)行了改造，大大提高了系統(tǒng)的數(shù)據(jù)捕獲和處理實(shí)力，使系統(tǒng)在高數(shù)據(jù)帶寬下的性能，比采納Windows和Linux系統(tǒng)下流行開源代碼完成數(shù)據(jù)不獲的網(wǎng)絡(luò)內(nèi)容分析產(chǎn)品性能高出一倍以上。同時(shí)系統(tǒng)采納了專用高效的協(xié)議還原分析技術(shù)，大大提高了協(xié)議分析和還原效率，是真正的百兆和千兆內(nèi)容審計(jì)系統(tǒng)，在國內(nèi)外處于領(lǐng)先水平。適用各種網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)的數(shù)據(jù)采集有基于旁路監(jiān)聽、基于網(wǎng)關(guān)、或在監(jiān)限制機(jī)器中安裝AGENT三種方式。其中基于網(wǎng)關(guān)的設(shè)備須要變更原有網(wǎng)絡(luò)結(jié)構(gòu)，且接入設(shè)備會(huì)成為整個(gè)網(wǎng)絡(luò)的單點(diǎn)故障點(diǎn)，假如一旦設(shè)備發(fā)生異樣，則影響整個(gè)網(wǎng)絡(luò)的運(yùn)用，這對于政府中須要運(yùn)用互聯(lián)網(wǎng)的關(guān)鍵業(yè)務(wù)會(huì)有災(zāi)難性地影響。而在監(jiān)限制機(jī)器中安裝AGENT的方法也會(huì)增加被監(jiān)控主機(jī)的穩(wěn)定性，并且會(huì)占用確定的要器資源，減慢被監(jiān)控機(jī)器的運(yùn)行速度，同時(shí)布署升級等的維護(hù)工作量也很大?；谂月繁O(jiān)聽的技術(shù)，安裝后完全不影響原有的網(wǎng)絡(luò)運(yùn)行，也不會(huì)成為單點(diǎn)故障，而且布署極為便利，只要簡潔地安裝在網(wǎng)絡(luò)口的交換機(jī)鏡象口或是共享HUB上。適用于以ADSL拔號、專線、城域網(wǎng)等各種上網(wǎng)方式。相關(guān)產(chǎn)品的對比：產(chǎn)品對比項(xiàng)任天行網(wǎng)絡(luò)平安管理系統(tǒng)網(wǎng)關(guān)型產(chǎn)品（企智通、招商卓爾、深信服）其他旁路型產(chǎn)品（中科新業(yè)等）接入方式旁路接入，不會(huì)給政府網(wǎng)絡(luò)造成任何影響網(wǎng)關(guān)型，大流量下將造成性能瓶頸，出故障時(shí)引起網(wǎng)絡(luò)中斷旁路接入，不會(huì)給政府網(wǎng)絡(luò)造成任何影響包處理方式運(yùn)用自主開發(fā)優(yōu)化網(wǎng)卡驅(qū)動(dòng)和捕包引擎，繞過libpcap的性能瓶頸，性能和穩(wěn)定性高于同類產(chǎn)品底層運(yùn)用免費(fèi)開源的開發(fā)庫libpcap，性能存在瓶頸，穩(wěn)定性有隱患，不具備修改實(shí)力底層運(yùn)用免費(fèi)開源的開發(fā)庫libpcap，性能存在瓶頸，穩(wěn)定性有隱患，不具備修改實(shí)力多網(wǎng)卡捕包實(shí)力全線型號均支持雙網(wǎng)卡/多網(wǎng)卡捕包沒有2000用戶數(shù)以上的產(chǎn)品才支持雙網(wǎng)卡捕包，且無法支持多于兩塊網(wǎng)卡捕包穩(wěn)定性把操作系統(tǒng)本身不必要的功能全部關(guān)掉，負(fù)荷少；運(yùn)用專業(yè)嵌入式數(shù)據(jù)庫，斷電等非正常關(guān)機(jī)不會(huì)引起系統(tǒng)故障，運(yùn)行穩(wěn)定UTM集成產(chǎn)品，開了防火墻等多項(xiàng)功能，有的產(chǎn)品甚至集平安審計(jì)、防火墻、過濾郵件等于一身，嚴(yán)峻影響性能的穩(wěn)定性照搬操作系統(tǒng)默認(rèn)配置，運(yùn)用關(guān)系型數(shù)據(jù)庫，斷電等非正常關(guān)機(jī)引起文件系統(tǒng)故障的概率較大，穩(wěn)定性有較大隱患平安性用戶登錄運(yùn)用的是SSL加密通道，并且無外網(wǎng)IP，只有內(nèi)網(wǎng)IP，使平安性得到最大的保障無加密通道，用戶登錄為明文傳輸，管理帳號的密碼特別簡潔泄漏，有外網(wǎng)IP，易受攻擊，平安隱患較大無加密通道，用戶登錄為明文傳輸，管理帳號的密碼特別簡潔泄漏，平安隱患較大用戶數(shù)量級可支持100-20000范圍的用戶數(shù)最多支持上千用戶數(shù)，當(dāng)用戶數(shù)量及達(dá)到萬級后，性能瓶頸嚴(yán)峻支持?jǐn)?shù)千用戶，當(dāng)用戶數(shù)量及達(dá)到萬級后，性能瓶頸起先放大研發(fā)力氣7年專業(yè)閱歷，專業(yè)人才超過150人以上，能為您做到更好的服務(wù)。從業(yè)時(shí)間短，專業(yè)技術(shù)人員少從業(yè)3年，專業(yè)人員50人以內(nèi)平安擴(kuò)展具備自主算法的USB加密物理鑰匙，對敏感數(shù)據(jù)的愛護(hù)更加平安沒有沒有多代理服務(wù)器支持可支持局域網(wǎng)內(nèi)多個(gè)不同類型代理服務(wù)器并存的狀況最多只能支持一個(gè)代理服務(wù)器，或者是一類的代理服務(wù)器最多只能支持一個(gè)代理服務(wù)器，或者是一類的代理服務(wù)器HTTP協(xié)議POST應(yīng)用分析可擴(kuò)展的特征匹配算法，支持國內(nèi)外大多數(shù)POST應(yīng)用的還原，覆蓋面廣，包括webmail，webbbs，webchat，網(wǎng)頁登錄等應(yīng)用類型的完全內(nèi)容審計(jì)，正文附件的還原精確率很高采納逐個(gè)分析的方法，覆蓋面狹窄，分析不精確，只能或許得到日志，命中率低，對附件的還原精確率低采納逐個(gè)分析的方法，覆蓋面狹窄，分析不精確，只能或許得到日志，命中率低，對附件的還原精確率低與認(rèn)證系統(tǒng)的結(jié)合可在不改動(dòng)用戶本身的上網(wǎng)認(rèn)證體系狀況下，與各類認(rèn)證系統(tǒng)無縫結(jié)合，包括MS-AD域、LDAP、HTTPproxybasic-auth，無盤終端的Cookie認(rèn)證等多種認(rèn)證方式必需放棄用戶原有的認(rèn)證體系，只能結(jié)合MS-AD域、LDAP等認(rèn)證服務(wù)器運(yùn)用產(chǎn)品自身的身份認(rèn)證體系，無盤終端的上網(wǎng)日志無法定位到認(rèn)證用戶必需放棄用戶原有的認(rèn)證體系，只能結(jié)合MS-AD域、LDAP等認(rèn)證服務(wù)器運(yùn)用產(chǎn)品自身的身份認(rèn)證體系，無盤終端的上網(wǎng)日志無法定位到認(rèn)證用戶審計(jì)報(bào)警支持針對特定條件的上網(wǎng)審計(jì)和報(bào)警功能，報(bào)警手段豐富，實(shí)時(shí)性強(qiáng)，包括頁面提示報(bào)警、郵件報(bào)警、短信報(bào)警（需購置短信貓）等支持報(bào)警，報(bào)警手段單調(diào)，實(shí)時(shí)性差，最多只有頁面顯示、郵件報(bào)警。支持報(bào)警，報(bào)警手段單調(diào)，實(shí)時(shí)性差，最多只有頁面顯示、郵件報(bào)警。集中控管運(yùn)用多年應(yīng)用的成熟通訊體系實(shí)現(xiàn)對多臺(tái)任天行系統(tǒng)進(jìn)行統(tǒng)一管理、限制和統(tǒng)計(jì)，B/S架構(gòu)，無需在管理用戶的計(jì)算機(jī)上安裝軟件，運(yùn)用快捷便利部分供應(yīng)集中管理功能，但是基本都運(yùn)用C/S架構(gòu)，須要在管理用戶的計(jì)算機(jī)上安裝客戶端軟件，沒有可移動(dòng)性，運(yùn)用繁瑣部分供應(yīng)集中管理功能針對網(wǎng)絡(luò)帶寬技術(shù)建議隨著互聯(lián)網(wǎng)的普及，用戶對網(wǎng)絡(luò)的依靠越來越深，同時(shí)網(wǎng)絡(luò)給用戶帶來的苦惱也日益嚴(yán)峻，總結(jié)起來，