【正文】 ...............................................................................32 威脅事件收集顯示 .........................................................................................32 攻擊檢測(cè)能力 .................................................................................................33 系統(tǒng)升級(jí)能力 .................................................................................................33 日志報(bào)表 .........................................................................................................3441 典型網(wǎng)絡(luò)風(fēng)險(xiǎn)分析通過(guò)對(duì)大量企業(yè)網(wǎng)絡(luò)的安全現(xiàn)狀和已有安全控制措施進(jìn)行深入分析，我們發(fā)現(xiàn)很多企業(yè)網(wǎng)絡(luò)中仍然存在著大量的安全隱患和風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)對(duì)企業(yè)網(wǎng)絡(luò)的正常運(yùn)行和業(yè)務(wù)的正常開展構(gòu)成嚴(yán)重威脅，主要表現(xiàn)在： 病毒、蠕蟲泛濫目前，企業(yè)網(wǎng)絡(luò)面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點(diǎn)，即使再先進(jìn)的防病毒軟件、入侵檢測(cè)技術(shù)也不能獨(dú)立有效的完成安全防護(hù)，特別是對(duì)新類型新變種的防護(hù)技術(shù)總要相對(duì)落后于新病毒、新蠕蟲的入侵。病毒、蠕蟲很容易通過(guò)各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護(hù)措施的漏洞外，最大的威脅卻是來(lái)自于網(wǎng)絡(luò)用戶的各種危險(xiǎn)的應(yīng)用：不安裝殺毒軟件；安裝殺毒軟件但未能及時(shí)升級(jí)；網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后未進(jìn)行各種有效防護(hù)措施就直接連接到危險(xiǎn)的開放網(wǎng)絡(luò)環(huán)境中，特別是 INTERNET；移動(dòng)用戶計(jì)算機(jī)連接到各種情況不明網(wǎng)絡(luò)環(huán)境后，在沒有采取任何措施情況下又連入企業(yè)網(wǎng)絡(luò)；終端用戶在使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)時(shí)都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)信息基礎(chǔ)設(shè)施、企業(yè)業(yè)務(wù)帶來(lái)無(wú)法估量的損失。 操作系統(tǒng)和應(yīng)用軟件漏洞隱患企業(yè)網(wǎng)絡(luò)多由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應(yīng)用軟件不勝繁雜，每一個(gè)軟件系統(tǒng)都有不可避免的潛在的或已知的軟件漏洞，每天軟件開發(fā)者都在生產(chǎn)漏洞，每時(shí)每刻都可能有軟件漏洞被發(fā)現(xiàn)被利用。無(wú)論哪一部分的漏洞被利用，都會(huì)給企業(yè)帶來(lái)危害，輕者危及個(gè)別設(shè)備，重者漏洞成為5攻擊整個(gè)企業(yè)網(wǎng)絡(luò)的跳板，危及整個(gè)企業(yè)網(wǎng)絡(luò)安全，即使安全防護(hù)已經(jīng)很完備的企業(yè)網(wǎng)絡(luò)也會(huì)由于一個(gè)聯(lián)網(wǎng)用戶個(gè)人終端 PC 機(jī)存在漏洞而喪失其整體安全防護(hù)能力。在與在與黑客的速度競(jìng)賽中，企業(yè)用戶正處在越來(lái)越被動(dòng)的地位，針對(duì)這些漏洞的補(bǔ)丁從補(bǔ)丁程序開發(fā)、測(cè)試、驗(yàn)證、再到最終的部署可能需要幾天甚至幾十天時(shí)間， 而黑客攻擊的速度卻越來(lái)越快, 例如著名的 CodeRed 蠕蟲擴(kuò)散到全球用了 12 個(gè)小時(shí)；而 SQL SLAMMER 感染全世界 90%有漏洞的機(jī)器則只用了 10 分鐘； 系統(tǒng)安全配置薄弱一個(gè)安全的網(wǎng)絡(luò)應(yīng)該執(zhí)行良好的安全配置策略，例如，賬號(hào)策略、審核策略、口令策略、匿名訪問(wèn)限制、建立撥號(hào)連接限制策略等等。這些安全配置的正確應(yīng)用對(duì)于各種軟件系統(tǒng)自身的安全防護(hù)的增強(qiáng)具有重要作用，但在實(shí)際的網(wǎng)絡(luò)環(huán)境中，這些安全配置卻被忽視，尤其是那些網(wǎng)絡(luò)的終端用戶，從而導(dǎo)致軟件系統(tǒng)的安全配置“軟肋” ，有時(shí)可能將嚴(yán)重的配置漏洞完全暴露給整個(gè)外部，使黑客可以長(zhǎng)驅(qū)直入。6 各種 DoS 和 DDoS 攻擊的帶來(lái)的威脅除了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在漏洞和缺陷，而可能遭受攻擊外，現(xiàn)在IT 部門還會(huì)拒絕服務(wù)攻擊（ DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS 和 DDOS 攻擊可以被分為兩類：一種是利用網(wǎng)絡(luò)協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點(diǎn)來(lái)進(jìn)行攻擊，與漏洞攻擊相似。這類供給典型的例子如Teardrop、Land、KoD 和 Winnuke；對(duì)第一種 DOS 攻擊可以通過(guò)打補(bǔ)丁的方法來(lái)防御，但對(duì)付第二種攻擊就沒那么簡(jiǎn)單了，另一類 DOS 和 DDOS 利用看似合理的海量服務(wù)請(qǐng)求來(lái)耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。DOS 和 DDOS 攻擊會(huì)耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計(jì)算機(jī)網(wǎng)絡(luò)的正常業(yè)務(wù)無(wú)法進(jìn)行，嚴(yán)重?fù)p害企業(yè)的聲譽(yù)并造成極大的經(jīng)濟(jì)損失，據(jù) 2021 美國(guó) CSI/FBI 的計(jì)算機(jī)犯罪和安全調(diào)研分析， DOS 和 DDOS 攻擊已成為對(duì)企業(yè)損害最大的犯罪行為，超出其他各種犯罪類型兩倍。 與工作無(wú)關(guān)的網(wǎng)絡(luò)行為權(quán)威調(diào)查機(jī)構(gòu) IDC 的統(tǒng)計(jì)表明：30％～40％的工作時(shí)間內(nèi)發(fā)生的企業(yè)員工網(wǎng)絡(luò)訪問(wèn)行為是與業(yè)務(wù)無(wú)關(guān)的，比如游戲、聊天、視頻、P2P 下載等等；另一項(xiàng)調(diào)查表明：1/3 的員工曾在上班時(shí)間玩電腦游戲；Emule、BT 等 P2P 應(yīng)用和 MSN、 等即時(shí)通信軟件在很多網(wǎng)絡(luò)中被不加控制的使用，使大量寶貴的帶寬資源被業(yè)務(wù)無(wú)關(guān)流量消耗。這些行為無(wú)疑會(huì)浪費(fèi)網(wǎng)絡(luò)資源、降低勞動(dòng)生產(chǎn)率、增加企業(yè)運(yùn)營(yíng)成本支出，并有可能因?yàn)椴涣嫉木W(wǎng)絡(luò)訪問(wèn)行為導(dǎo)致企業(yè)信息系統(tǒng)被入侵和機(jī)密資料被竊，引起法律責(zé)任和訴訟風(fēng)險(xiǎn)。72 安全產(chǎn)品及解決方案效能分析 傳統(tǒng)安全技術(shù)的薄弱之處當(dāng)前隨著網(wǎng)絡(luò)軟硬件技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息安全問(wèn)題日益嚴(yán)重，新的安全威脅不斷涌現(xiàn)，如蠕蟲病毒肆意泛濫、系統(tǒng)漏洞層出不窮、漏洞利用(vulnerability exploit)的時(shí)間日益縮短,甚至可能出現(xiàn)零日攻擊(zeroday exploit),同時(shí)很多入侵和攻擊由網(wǎng)絡(luò)層逐漸向應(yīng)用層發(fā)展,給檢測(cè)和識(shí)別這些威脅帶來(lái)了困難。面臨諸多安全問(wèn)題，傳統(tǒng)的安全產(chǎn)品和解決方案顯示出其薄弱和不足之處。 防火墻絕大多數(shù)人在談到網(wǎng)絡(luò)安全時(shí)，首先會(huì)想到“防火墻”。防火墻目前已經(jīng)得到了廣泛的部署，用戶一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無(wú)法滿足企業(yè)的安全需要。傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個(gè)方面： ? 防火墻作為訪問(wèn)控制設(shè)備，無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對(duì) WEB 服務(wù)的 Code Red 蠕蟲等。 ? 有些主動(dòng)或被動(dòng)的攻擊行為是來(lái)自防火墻內(nèi)部的，防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。 入侵檢測(cè)入侵檢測(cè)系統(tǒng) IDS（ Intrusion Detection System）是近幾年來(lái)發(fā)展起來(lái)的一類安全產(chǎn)品，它通過(guò)檢測(cè)、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。它彌補(bǔ)了防火墻的某些缺陷，但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，IDS 受到新的挑戰(zhàn)： 8? IDS 旁路在網(wǎng)絡(luò)上，當(dāng)它檢測(cè)出黑客入侵攻擊時(shí)，攻擊已到達(dá)目標(biāo)造成損失。IDS 無(wú)法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS 無(wú)能為力。 ? 蠕蟲、病毒、DDoS 攻擊、垃圾郵件等混合威脅越來(lái)越多，傳播速度加快，留給人們響應(yīng)的時(shí)間越來(lái)越短，使用戶來(lái)不及對(duì)入侵做出響應(yīng)，往往造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS 無(wú)法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外。 補(bǔ)丁管理補(bǔ)丁管理是重要的主動(dòng)防御手段，但補(bǔ)丁管理同時(shí)也存在一些局限性，例如： 對(duì)于某些操作系統(tǒng)，將不再能夠獲得廠商提供的支持。例如微軟宣布將從2021 年 7 月 11 日開始停止為多個(gè)老版本的 Windows 操作系統(tǒng)提供技術(shù)支持，這意味著全球?qū)⒂谐^(guò) 7000 萬(wàn)名 Windows 用戶面臨網(wǎng)絡(luò)攻擊和惡意代碼的危險(xiǎn)，因?yàn)樗麄儫o(wú)法繼續(xù)從微軟獲得安全更新。補(bǔ)丁從漏洞發(fā)現(xiàn)、操作系統(tǒng)開發(fā)補(bǔ)丁、測(cè)試補(bǔ)丁、發(fā)布補(bǔ)丁到用戶接收補(bǔ)丁、局部更新測(cè)試補(bǔ)丁到大范圍更新補(bǔ)丁需要一定的時(shí)間周期，即所謂空窗期，在空窗期內(nèi)用戶的系統(tǒng)漏洞無(wú)法得到有效的防御，而惡意的程序和代碼有可能利用這段時(shí)間對(duì)系統(tǒng)造成破壞；某些系統(tǒng)和應(yīng)用由于自身的原因（如非授權(quán)軟件、程序沖突等等）不適合打補(bǔ)丁，這樣自身即使存在漏洞，也無(wú)法得到修復(fù)；針對(duì)以上技術(shù)和產(chǎn)品面對(duì)新的安全威脅所暴露出來(lái)的薄弱之處,作為有效的整體安全體系的重要組成和有效補(bǔ)充,入侵防御系統(tǒng) IPS（Intrusion Prevention System）作為新一代安全防護(hù)產(chǎn)品應(yīng)運(yùn)而生。 入侵防御系統(tǒng)簡(jiǎn)介基于目前網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻，入侵防御系統(tǒng) IPS（Intrusion Prevention System）作為新一代安全防護(hù)產(chǎn)品應(yīng)運(yùn)而生。 入侵防御系統(tǒng)/IPS 提供一種主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)旨在對(duì)常規(guī)網(wǎng)絡(luò)9流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè)，阻止入侵活動(dòng)，預(yù)先對(duì)攻擊性的流量進(jìn)行自動(dòng)攔截，使它們無(wú)法造成損失，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后發(fā)出警報(bào)。IPS 是通過(guò)直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即 IPS 接收到外部數(shù)據(jù)流量時(shí)，如果檢測(cè)到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。 從 IPS 的工作原理來(lái)看，IPS 有幾個(gè)主要的特點(diǎn)： ? 為企業(yè)網(wǎng)絡(luò)提供虛擬補(bǔ)丁IPS 預(yù)先、自動(dòng)攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、DDoS 等惡意流量，使攻擊無(wú)法到達(dá)目的主機(jī)，這樣即使沒有及時(shí)安裝最新的安全補(bǔ)丁，企業(yè)網(wǎng)絡(luò)仍然不會(huì)受到損失。IPS 給企業(yè)提供了時(shí)間緩沖，在廠商就新漏洞提供補(bǔ)丁和更新之前確保企業(yè)的安全。 ? 提供流量?jī)艋壳捌髽I(yè)網(wǎng)絡(luò)遭受到越來(lái)越多的流量消耗類型的攻擊方式，比如蠕蟲。病毒造成網(wǎng)絡(luò)癱瘓、 BT,電驢等 P2P 下載造成網(wǎng)絡(luò)帶寬資源嚴(yán)重占用等。IPS 過(guò)濾正常流量中的惡意流量，為網(wǎng)絡(luò)加速，還企業(yè)一個(gè)干凈、可用的網(wǎng)絡(luò)環(huán)境。? 提供反間諜能力 企業(yè)機(jī)密數(shù)據(jù)被竊取，個(gè)人信息甚至銀行賬戶被盜，令許多企業(yè)和個(gè)人蒙受重大損失。IPS 可以發(fā)現(xiàn)并阻斷間諜軟件的活動(dòng)，保護(hù)企業(yè)機(jī)密。 總的來(lái)說(shuō),入侵防御系統(tǒng) IPS 的設(shè)計(jì)側(cè)重訪問(wèn)控制，注重主動(dòng)防御，而不僅僅是檢測(cè)和日志記錄，解決了入侵檢測(cè)系統(tǒng) IDS 的不足，為企業(yè)提供了一個(gè)全新的網(wǎng)絡(luò)安全保護(hù)解決方案。 3 領(lǐng)信信息安全保障解決方案介紹 領(lǐng)信信息安全保障體系“信息安全是一條鏈，其強(qiáng)度取決于鏈上最弱的一環(huán)(著名安全專家 Bruce Schneier 語(yǔ))” 這句話深刻闡明了整體安全的重要性。為了建設(shè)一個(gè)有效的安全10防御體系，就要從保護(hù)、檢測(cè)、響應(yīng)等多個(gè)環(huán)節(jié)以及網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊界、終端環(huán)境等多個(gè)層次全面考慮，綜合防范，這樣才能提高網(wǎng)絡(luò)整體的信息安全保障能力，保證安全體系中不存在薄弱的環(huán)節(jié)。安氏領(lǐng)信基于對(duì)信息安全的深刻理解，以及多年的安全領(lǐng)域建設(shè)經(jīng)驗(yàn)，總結(jié)提煉出安氏獨(dú)有的信息安全保障體系框架模型，該安全體系從保障對(duì)象、安全需求、能力來(lái)源三個(gè)維度深刻揭示了信息安全保障的內(nèi)涵：保障對(duì)象是信息安全建設(shè)要保護(hù)的目標(biāo)，分成多個(gè)安全防御領(lǐng)域，包括： 網(wǎng)絡(luò)基礎(chǔ)設(shè)施，網(wǎng)絡(luò)邊界，局域計(jì)算環(huán)境，支持性基礎(chǔ)設(shè)施；安全需求包括信息的機(jī)密性，完整性，可用性，可控性，不可否認(rèn)性等需求；信息的機(jī)密性，完整性，可用性，可控性，不可否認(rèn)性需求是信息安全的基本屬性，所有的安全技術(shù)和安全產(chǎn)品從本質(zhì)來(lái)說(shuō)都是為了滿足被保護(hù)對(duì)象的上述安全需求；為了有效的滿足保障對(duì)象的安全需求，需要從人員，技術(shù)，管理等方面提供安全保障能力；技術(shù)層面的安全保障能力源于業(yè)界所采用的各種安全產(chǎn)品和技術(shù), 包括訪問(wèn)控制、入侵