【正文】 墻l 網(wǎng)絡病毒防護采用網(wǎng)絡防病毒系統(tǒng)l 廣域網(wǎng)接入部分的入侵檢測采用入侵檢測系統(tǒng)l 系統(tǒng)漏洞分析采用漏洞分析設備l 定期安全審計主要包括兩部分：內(nèi)容審計和網(wǎng)絡通信審計l 重要數(shù)據(jù)的備份l 重要信息點的防電磁泄露l 網(wǎng)絡安全結構的可伸縮性包括安全設備的可伸縮性，即能根據(jù)用戶的需要隨時進行規(guī)模、功能擴展l 網(wǎng)絡防雷 網(wǎng)絡安全 作為XXX企業(yè)應用業(yè)務系統(tǒng)的承載平臺，網(wǎng)絡系統(tǒng)的安全顯得尤為重要。由于許多重要的信息都通過網(wǎng)絡進行交換， 網(wǎng)絡傳輸由于XXX企業(yè)中心內(nèi)部網(wǎng)絡存在兩套網(wǎng)絡系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡，主要運行的是內(nèi)部辦公、業(yè)務系統(tǒng)等；另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機構網(wǎng)絡相連。通過公共線路建立跨越INTERNET的企業(yè)集團內(nèi)部局域網(wǎng)，并通過網(wǎng)絡進行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護，如果不采取相應的安全措施，易受到來自網(wǎng)絡上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴重的后果。由于現(xiàn)在越來越多的政府、金融機構、企業(yè)等用戶采用VPN技術來構建它們的跨越公共網(wǎng)絡的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對網(wǎng)絡傳輸安全部分推薦采用VPN設備來構建內(nèi)聯(lián)網(wǎng)。可在每級管理域內(nèi)設置一套VPN設備，由VPN設備實現(xiàn)網(wǎng)絡傳輸?shù)募用鼙Ｗo。根據(jù)XXX企業(yè)三級網(wǎng)絡結構，VPN設置如下圖所示：圖41三級 VPN設置拓撲圖每一級的設置及管理方法相同。即在每一級的中心網(wǎng)絡安裝一臺VPN設備和一臺VPN認證服務器（VPNCA），在所屬的直屬單位的網(wǎng)絡接入處安裝一臺VPN設備，由上級的VPN認證服務器通過網(wǎng)絡對下一級的VPN設備進行集中統(tǒng)一的網(wǎng)絡化管理?？蛇_到以下幾個目的：l 網(wǎng)絡傳輸數(shù)據(jù)保護；由安裝在網(wǎng)絡上的VPN設備實現(xiàn)各內(nèi)部網(wǎng)絡之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸l 網(wǎng)絡隔離保護；與INTERNET進行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問l 集中統(tǒng)一管理，提高網(wǎng)絡安全性；l 降低成本（設備成本和維護成本）；其中，在各級中心網(wǎng)絡的VPN設備設置如下圖：圖42 中心網(wǎng)絡VPN設置圖由一臺VPN管理機對CA、中心VPN設備、分支機構VPN設備進行統(tǒng)一網(wǎng)絡管理。將對外服務器放置于VPN設備的DMZ口與內(nèi)部網(wǎng)絡進行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問、記錄日志。這樣即使服務器被攻破，內(nèi)部網(wǎng)絡仍然安全。下級單位的VPN設備放置如下圖所示：圖43 下級單位VPN設置圖從圖44可知，下屬機構的VPN設備放置于內(nèi)部網(wǎng)絡與路由器之間，其配置、管理由上級機構通過網(wǎng)絡實現(xiàn)，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網(wǎng)絡設備，其維護、管理需要相應的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構的維護成本和對專業(yè)技術人員的要求，這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。由于網(wǎng)絡安全的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對安全設備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因為某個設備的設置不當，而使整個網(wǎng)絡出現(xiàn)重大的安全隱患。而用戶的技術人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象；同時，每個維護人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡中斷。所以，在安全設備的選擇上應當選擇可以進行網(wǎng)絡化集中管理的設備，這樣，由少量的專業(yè)人員對主要安全設備進行管理、配置，提高整體網(wǎng)絡的安全性和穩(wěn)定性。 訪問控制由于XXX企業(yè)廣域網(wǎng)網(wǎng)絡部分通過公共網(wǎng)絡建立，其在網(wǎng)絡上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網(wǎng)絡的訪問控制最成熟的是采用防火墻技術來實現(xiàn)的，本方案中選擇帶防火墻功能的VPN設備來實現(xiàn)網(wǎng)絡安全隔離，可滿足以下幾個方面的要求：l 控制外部合法用戶對內(nèi)部網(wǎng)絡的網(wǎng)絡訪問；l 控制外部合法用戶對服務器的訪問；l 禁止外部非法用戶對內(nèi)部網(wǎng)絡的訪問；l 控制內(nèi)部用戶對外部網(wǎng)絡的網(wǎng)絡；l 阻止外部用戶對內(nèi)部的網(wǎng)絡攻擊；l 防止內(nèi)部主機的IP欺騙；l 對外隱藏內(nèi)部IP地址和網(wǎng)絡拓撲結構；l 網(wǎng)絡監(jiān)控；l 網(wǎng)絡日志審計；詳細配置拓撲圖見圖4圖4圖43。由于采用防火墻、VPN技術融為一體的安全設備，并采取網(wǎng)絡化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：l 管理、維護簡單、方便；l 安全性高（可有效降低在安全設備使用上的配置漏洞）；l 硬件成本和維護成本低；l 網(wǎng)絡運行的穩(wěn)定性更高由于是采用一體化設備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設備而言，其穩(wěn)定性更高，故障率更低。 入侵檢測網(wǎng)絡安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡安全是個整體的，必須配相應的安全產(chǎn)品。作為必要的補充，入侵檢測系統(tǒng)（IDS）可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預見的攻擊手段的信息代碼對進出網(wǎng)絡的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應（阻斷、報警、發(fā)送Email）。從而防止針對網(wǎng)絡的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器（網(wǎng)絡引擎）?？刂婆_用作制定及管理所有探測器（網(wǎng)絡引擎）。探測器（網(wǎng)絡引擎）用作監(jiān)聽進出網(wǎng)絡的訪問行為，根據(jù)控制臺的指令執(zhí)行相應行為。由于探測器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應用不會對網(wǎng)絡系統(tǒng)性能造成多大影響。入侵檢測系統(tǒng)的設置如下圖： 從上圖可知，入侵檢測儀在網(wǎng)絡接如上與VPN設備并接使用。入侵檢測儀在使用上是獨立網(wǎng)絡使用的，網(wǎng)絡數(shù)據(jù)全部通過VPN設備，而入侵檢測設備在網(wǎng)絡上進行疹聽，監(jiān)控網(wǎng)絡狀況，一旦發(fā)現(xiàn)攻擊行為將通過報警、通知VPN設備中斷網(wǎng)絡（即IDS與VPN聯(lián)動功能）等方式進行控制（即安全設備自適應機制），最后將攻擊行為進行日志記錄以供以后審查。 漏洞掃描作為一個完善的通用安全系統(tǒng)，應當包含完善的安全措施，定期的安全評估及安全分析同樣相當重要。由于網(wǎng)絡安全系統(tǒng)在建立后并不是長期保持很高的安全性，而是隨著時間的推移和技術的發(fā)展而不斷下降的，同時，在使用過程中會出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設的補充，采取相應的措施也是必然。本方案中，采用漏洞掃描設備對網(wǎng)絡系統(tǒng)進行定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡漏洞、應用程序漏洞、操作系統(tǒng)漏洞等進行探測、掃描，發(fā)現(xiàn)相應的漏洞并告警，自動提出解決措施，或參考意見，提醒網(wǎng)絡安全管理員作好相應調整。 其它對復雜或有特殊要求的網(wǎng)絡環(huán)境，在采取安全措施上應當特殊考慮，增加新的安全措施。 應用系統(tǒng)安全 系統(tǒng)平臺安全XXX企業(yè)各級網(wǎng)絡系統(tǒng)平臺安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺是建立在國外產(chǎn)品的基礎上，因而存在很大的安全隱患。XXX企業(yè)網(wǎng)絡系統(tǒng)在主要的應用服務平臺中采用國內(nèi)自主開發(fā)的安全操作系統(tǒng)，針對通用OS的安全問題，對操作系統(tǒng)平臺的登錄方式