【正文】 入侵檢測系統(tǒng)通過掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測），或者探測系統(tǒng)的異常行為（主機(jī)入侵檢測），來發(fā)覺這類攻擊的存在。一旦被發(fā)現(xiàn)，則報(bào)警并作出相應(yīng)處理，同時(shí)可以根據(jù)預(yù)定的措施自動(dòng)反應(yīng)，比如暫時(shí)封掉發(fā)起該掃描的 IP。 需要注意的是，入侵檢測系統(tǒng)目前不能，以后 也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。事實(shí)上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的變形，就能做到?jīng)]有入侵檢測系統(tǒng)能夠識(shí)別出來。所以，在應(yīng)用入侵檢測系統(tǒng)時(shí)，千萬不要因?yàn)橛辛巳肭謾z測系統(tǒng)，就不對(duì)系統(tǒng)中的安全隱患進(jìn)行及時(shí)補(bǔ)救。 ? 安全審計(jì)管理 安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實(shí)記錄，并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。安全審計(jì)系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證 輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。 安全審計(jì)跟蹤機(jī)制的內(nèi)容是在安全審計(jì)跟蹤中記錄有關(guān)安全的信息，而安全審計(jì)管理的內(nèi)容是分析和報(bào)告從安全審計(jì)跟蹤中得來的信息。安全審計(jì)跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。 收集審計(jì)跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對(duì)安全要求的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。已知安全審計(jì)的存在可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。 ? 防病毒以及特洛伊木馬 計(jì)算機(jī)病毒的危害不言而喻，計(jì)算機(jī)病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來，成為黑客的又 一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。 ? 安全策略的實(shí)施保證 網(wǎng)絡(luò)安全知識(shí)的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。 此外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡(luò)攻擊或者意外 災(zāi)害帶來的破壞性損失。 . 超高安全要求下的網(wǎng)絡(luò)保護(hù) . 認(rèn)證與授權(quán) 認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)（包括撥號(hào)）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。 對(duì)于內(nèi)部訪問，也要有完善的網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定，防止由內(nèi)部人員發(fā)起的 攻擊── 70%以上的攻擊都是內(nèi)部人員發(fā)起的。 我們建議 XXX 電信分公司網(wǎng)絡(luò)安全系統(tǒng) 利用基于 證書的認(rèn)證體系（目前最強(qiáng)的認(rèn)證體系）來進(jìn)行認(rèn)證。 方正方御防火墻管理也是用 證書進(jìn)行認(rèn)證的。 . 網(wǎng)絡(luò)隔離 網(wǎng)絡(luò)安全界的一個(gè)玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個(gè)簡單的原理：如果網(wǎng)絡(luò)是隔離開的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。 但對(duì)于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來說，完全的物理隔離是行不通的。 方正數(shù)碼提出了 安全數(shù)據(jù)通道 網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過破壞網(wǎng)絡(luò)攻擊得以進(jìn) 行的另外兩個(gè)重要條件： ? 從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接 ? 將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò) 從而確保 XXX 電信分公司網(wǎng)絡(luò)安全系統(tǒng)的安全 。 . 實(shí)施保證 XXX 電信分公司網(wǎng)絡(luò)安全系統(tǒng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。要保護(hù)這樣一個(gè)繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供 統(tǒng)一的集中的靈活的管理機(jī)制，一方面要能讓 XXX 電信分公司網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。 方正方御防火墻采用基于 Windows GUI 的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管 理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。 方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制，這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。事實(shí)上，方御防火墻是通過該標(biāo)準(zhǔn)認(rèn)證的第一個(gè)包過濾防火墻。 另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于 XXX 電信分公司網(wǎng)絡(luò)安全系統(tǒng)這樣的網(wǎng)絡(luò)。 2. 安全 架構(gòu)分析與設(shè)計(jì) . 網(wǎng)絡(luò)結(jié)構(gòu)部分一 網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示： 網(wǎng)絡(luò)結(jié)構(gòu)部分一 這部分網(wǎng)絡(luò)主要目的防護(hù)內(nèi)部的小型機(jī)網(wǎng)絡(luò)和財(cái)務(wù)服務(wù)器，詳細(xì)分析如下： 1. 在兩臺(tái) 5000 上面通過交換技術(shù)放置防火墻，可以保證了內(nèi)部計(jì)費(fèi)服務(wù)器系統(tǒng)的網(wǎng)絡(luò)安全。考慮以后的擴(kuò)展性，建議使用方御專業(yè)級(jí)防火墻。 2. 財(cái)務(wù)服務(wù)器和 5000 連接，因此其中放置一臺(tái)防火墻，可以保障合法的訪問，由于這種情況可以使用方御橋式防火墻。 3. 由于撥號(hào)服務(wù)器上面配置了認(rèn)證模塊，因此為了保障二級(jí)訪問的可靠性，可以以后考慮在認(rèn)證后面放置防火墻。 . 網(wǎng)絡(luò)結(jié)構(gòu)部分二 這部分主要防護(hù) OA 系統(tǒng)和客服系統(tǒng)，網(wǎng)絡(luò)結(jié)構(gòu)圖如下所示： S w i t c hPSTN1 號(hào)樓O A 2 號(hào)樓O A主樓O A 主樓O A 主樓客服應(yīng)用服務(wù)器CTI/CCS/IVR服務(wù)器OA服務(wù)器數(shù)據(jù)庫服務(wù)器CTI/CCS/IVR服務(wù)器應(yīng)用服務(wù)器語音/傳真服務(wù)器短信息服務(wù)器3 號(hào)樓O A客戶 網(wǎng)絡(luò)結(jié)構(gòu)示意圖二 防火墻在中心三層交換機(jī)前面進(jìn)行放置，可以有效的包含后面所以的服務(wù)器，包括應(yīng)用服務(wù)器、 OA 服務(wù)器、數(shù)據(jù)庫服務(wù)器、 CTI/CCS/IVR 服務(wù)器、短信息服務(wù)器和語音 /傳真服務(wù)器。 . 集中管理和分級(jí)管理 由于 XXX 電信分公司網(wǎng)絡(luò)安全系統(tǒng) 涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進(jìn)行審計(jì)管理，日志查詢等操作。而用戶的權(quán)限機(jī)制分配必須通過網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。 需要集中管理的網(wǎng) 絡(luò)設(shè)備包括防火墻設(shè)備。在 XXX 電信分公司網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)管理中心需要對(duì)各地方的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。 分析 XXX 電信分公司網(wǎng)絡(luò)安全系統(tǒng) 的特點(diǎn)和需求，方正方御防火墻的集中管理功能和權(quán)限管理機(jī)制完全可以滿足這些需求。 方正方御防火墻采用基于 Windows GUI 的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。可以通過一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。 方正方御防火墻采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測 規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。這樣他們共同的負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。 XXX 電信分公司網(wǎng)絡(luò)安全系統(tǒng)的集中管理圖如下所示： 網(wǎng)絡(luò)網(wǎng)絡(luò)控制中心網(wǎng)絡(luò)控制機(jī) 防火墻集中管理示意圖 3. 產(chǎn)品選型 . 防火墻與入侵檢測的選型 我們采用方正最新型方正方御防火墻。方正方御防火墻是一個(gè)很優(yōu)秀的防火墻，同時(shí)它集成強(qiáng)大的入侵檢測功能。方正方御防火墻是國內(nèi)第一個(gè)通過公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證標(biāo)準(zhǔn)的包過濾級(jí)防火墻產(chǎn)品，同時(shí)通過了中國人民解放軍安全測評(píng)認(rèn)證中心和中國國家信息安全測評(píng) 認(rèn)證中心的嚴(yán)格認(rèn)證。 . 方正數(shù)碼公司簡介 作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略的實(shí)施者，方正數(shù)碼將自身定位于電子商務(wù)的“賦能者”，其業(yè)務(wù)涉及互聯(lián)網(wǎng)與電子商務(wù)的技術(shù)研究應(yīng)用與系統(tǒng)集成、網(wǎng)絡(luò)市場營銷服務(wù)、空間信息應(yīng)用、無線互聯(lián)以及電子商務(wù)的咨詢服務(wù)等方向，以幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)的運(yùn)營者在互聯(lián)網(wǎng)時(shí)代健康成功的發(fā)展為己任。 要給電子商務(wù)運(yùn)營者賦能，先要給安全賦能。方正數(shù)碼首先推出的就是方正方御互聯(lián)網(wǎng)安全解決方案。方正方御是在經(jīng)過一年多的大量投入和深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決 方案。它是一套整體的集群平臺(tái)，可以解決互聯(lián)網(wǎng)運(yùn)營商最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問題。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計(jì)劃項(xiàng)目之一。另外，還得到了國家 ”863”計(jì)劃的支持。 在立身自主開發(fā)外，方正數(shù)碼還與眾多國際知名的安全公司保持著良好的合作關(guān)系，并集成了國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi) Inter 的安全建設(shè)保駕護(hù)航。 . 產(chǎn)品概述 方御防火墻是方正方御中的主要安全產(chǎn)品之一。由于防火墻技術(shù)的針對(duì)性很 強(qiáng)，它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障之一。方御防火墻 是通過對(duì)國外防火墻產(chǎn)品的綜合分析，針對(duì)我們國家的具體應(yīng)用環(huán)境，結(jié)合國內(nèi)外防火墻領(lǐng)域里的最新發(fā)展，在面向 IDC 和中小企業(yè)的 FireBridge 防火墻的基礎(chǔ)上，提出的一種具有強(qiáng)大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運(yùn)用的安全可靠的專用防火墻系統(tǒng)。 方正方御防火墻不僅僅是一個(gè)包過濾的防火墻，而且包括了大量的實(shí)用模塊，可以為用戶提供多方面的服務(wù)。 方御防火墻保護(hù)如下模塊： 包過濾防火墻輕型/復(fù)雜 IDS雙向 NAT流量控制Proxy雙機(jī)熱備流量統(tǒng)計(jì)審計(jì)功能集中管理 . 系統(tǒng)特點(diǎn) 一體化的硬件設(shè)計(jì) 方正方御防火墻采用了一體化的硬件 設(shè)計(jì)，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時(shí)也提高了系統(tǒng)的安全性 。 雙機(jī)熱備份 通過雙機(jī)熱備份，本系統(tǒng)提供可靠的容錯(cuò) /熱待機(jī)功能。備份防火墻服務(wù)器中存有主防火墻服務(wù)器的設(shè)置鏡像，當(dāng)主防火墻因?yàn)?某些原因不能正常運(yùn)作，備份服務(wù)器可以在12 秒鐘內(nèi)取代主服務(wù)器運(yùn)作，充分保證整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)作的穩(wěn)定性。 完善的訪問控制 方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵 檢測規(guī)則，審