【正文】 ，還會(huì)對(duì)國(guó)家安全造成嚴(yán)重威脅。. 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)就是創(chuàng)建一個(gè)完善的安全防護(hù)體系，對(duì)所有非法網(wǎng)絡(luò)行為，如越權(quán)訪問、病毒傳播、惡意破壞等等，做到事前預(yù)防、事中報(bào)警并阻止，事后能有效的將系統(tǒng)恢復(fù)。在上文對(duì)黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個(gè)安全漏洞都會(huì)給黑客以可乘之機(jī)。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)安全里尤其適用。所以，我們的方案必須是一個(gè)完整的網(wǎng)絡(luò)安全解決方案，對(duì)網(wǎng)絡(luò)安全的每一個(gè)環(huán)節(jié)，都要有仔細(xì)的考慮。. 網(wǎng)絡(luò)安全解決方案的組成針對(duì)前文對(duì)黑客入侵的過程的描述，為了更為有效的保證網(wǎng)絡(luò)安全，方正數(shù)碼提出了兩個(gè)理念：立體安全防護(hù)體系和安全服務(wù)支持。首先網(wǎng)絡(luò)的安全決不僅僅是一個(gè)防火墻，它應(yīng)是包括入侵測(cè)檢（IDS）、虛擬專用網(wǎng)（VPN）等功能在內(nèi)的立體的安全防護(hù)體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護(hù)服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。一個(gè)好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個(gè)部分組成：l 防火墻：對(duì)網(wǎng)絡(luò)攻擊的阻隔防火墻是保證網(wǎng)絡(luò)安全的重要屏障。防火墻根據(jù)網(wǎng)絡(luò)流的來源和訪問的目標(biāo)，對(duì)網(wǎng)絡(luò)流進(jìn)行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。防火墻最大的意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效的將復(fù)雜的網(wǎng)絡(luò)安全問題簡(jiǎn)化，大大降低管理成本和潛在風(fēng)險(xiǎn)。在應(yīng)用防火墻技術(shù)時(shí)，正確的劃分網(wǎng)絡(luò)邊界和制定完善的安全策略是至關(guān)重要的。發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。比如方正方御防火墻在很好的實(shí)現(xiàn)了防火墻功能的同時(shí)，也實(shí)現(xiàn)了下面所說的入侵檢測(cè)功能；l 入侵檢測(cè)（IDS）：對(duì)攻擊試探的預(yù)警當(dāng)黑客試探攻擊時(shí)，大多采用一些已知的攻擊方法來試探。網(wǎng)絡(luò)安全漏洞掃描器是“先敵發(fā)現(xiàn)”，未雨綢繆。而從另外一個(gè)角度考慮問題，“實(shí)時(shí)監(jiān)測(cè)”，發(fā)現(xiàn)黑客攻擊的企圖，對(duì)于網(wǎng)絡(luò)安全來說也是非常有意義的。甚至由此派生出了P^2DR理論。入侵檢測(cè)系統(tǒng)通過掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測(cè)），或者探測(cè)系統(tǒng)的異常行為（主機(jī)入侵檢測(cè)），來發(fā)覺這類攻擊的存在。一旦被發(fā)現(xiàn)，則報(bào)警并作出相應(yīng)處理，同時(shí)可以根據(jù)預(yù)定的措施自動(dòng)反應(yīng)，比如暫時(shí)封掉發(fā)起該掃描的IP。需要注意的是，入侵檢測(cè)系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。事實(shí)上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的變形，就能做到?jīng)]有入侵檢測(cè)系統(tǒng)能夠識(shí)別出來。所以，在應(yīng)用入侵檢測(cè)系統(tǒng)時(shí)，千萬不要因?yàn)橛辛巳肭謾z測(cè)系統(tǒng)，就不對(duì)系統(tǒng)中的安全隱患進(jìn)行及時(shí)補(bǔ)救。l 安全審計(jì)管理安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實(shí)記錄，并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。安全審計(jì)系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。安全審計(jì)跟蹤機(jī)制的內(nèi)容是在安全審計(jì)跟蹤中記錄有關(guān)安全的信息，而安全審計(jì)管理的內(nèi)容是分析和報(bào)告從安全審計(jì)跟蹤中得來的信息。安全審計(jì)跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。收集審計(jì)跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對(duì)安全要求的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。已知安全審計(jì)的存在可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。l 虛擬專用網(wǎng)（VPN）：遠(yuǎn)程傳輸?shù)陌踩玍PN技術(shù)在把分散在各處的服務(wù)器群連成了一個(gè)整體，形成了一個(gè)虛擬的專用網(wǎng)絡(luò)。通過VPN的加密通道，數(shù)據(jù)被加密后傳輸，保證了遠(yuǎn)程數(shù)據(jù)傳輸?shù)陌踩浴Ｊ褂肰PN可以象管理本地服務(wù)器一樣去安全的管理遠(yuǎn)程的服務(wù)器。VPN帶來的最大好處是確保安全性的同時(shí)，復(fù)用物理信道，降低使用成本。l 防病毒以及特洛伊木馬計(jì)算機(jī)病毒的危害不言而喻，計(jì)算機(jī)病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來，成為黑客的又一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。l 安全策略的實(shí)施保證網(wǎng)絡(luò)安全知識(shí)的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。此外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡(luò)攻擊或者意外災(zāi)害帶來的破壞性損失。. 超高安全要求下的網(wǎng)絡(luò)保護(hù)對(duì)于藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)中心安全而言，安全性需求就更加的高，屬于超高安全要求下的網(wǎng)絡(luò)保護(hù)范圍，因此需要在這些地方使用2臺(tái)防火墻進(jìn)行雙機(jī)熱備，以保證數(shù)據(jù)穩(wěn)定傳輸。. 認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)（包括撥號(hào)）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。對(duì)于內(nèi)部訪問，也要有完善的網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定，防止由內(nèi)部人員發(fā)起的攻擊──70%以上的攻擊都是內(nèi)部人員發(fā)起的。（目前最強(qiáng)的認(rèn)證體系）來進(jìn)行認(rèn)證。. 網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界的一個(gè)玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個(gè)簡(jiǎn)單的原理：如果網(wǎng)絡(luò)是隔離開的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。但對(duì)于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來說，完全的物理隔離是行不通的。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過破壞網(wǎng)絡(luò)攻擊得以進(jìn)行的另外兩個(gè)重要條件：178。 從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接178。 將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò)從而確保藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)的安全。. 實(shí)施保證藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。要保護(hù)這樣一個(gè)繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機(jī)制，一方面要能讓藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。方正方御防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻符合國(guó)家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制，這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。事實(shí)上，方御防火墻是通過該標(biāo)準(zhǔn)認(rèn)證的第一個(gè)包過濾防火墻。另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)這樣的大型網(wǎng)絡(luò)。2. 安全架構(gòu)分析與設(shè)計(jì)邏輯上，藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)將劃分為兩個(gè)區(qū)域：數(shù)據(jù)中心、局域網(wǎng)用戶。其中每一個(gè)局域網(wǎng)節(jié)點(diǎn)劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個(gè)網(wǎng)段，網(wǎng)段之間設(shè)置安全隔離區(qū)。每一個(gè)網(wǎng)段必須能夠構(gòu)成一個(gè)獨(dú)立的、完整的、安全的、可靠的系統(tǒng)。. 網(wǎng)絡(luò)整體結(jié)構(gòu)藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)需要涉及若干政府部門，各地方的網(wǎng)絡(luò)通過Frame Relay連接起來（一條ISDN作為備份線路）。網(wǎng)絡(luò)整體結(jié)構(gòu)如下圖所示：. 集中管理和分級(jí)管理由于藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進(jìn)行審計(jì)管理，日志查詢等操作。而用戶的權(quán)限機(jī)制分配必須通過網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備。在藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)管理中心需要對(duì)各省局的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。分析藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)的特點(diǎn)和需求，方正方御防火墻的集中管理功能和權(quán)限管理機(jī)制完全可以滿足這些需求。方正方御防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。可以通過一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。這樣他們共同的負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)的集中管理圖如下所示：. 藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)管理中心網(wǎng)絡(luò)藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)管理中心除了需要提供信息服務(wù)外，還需要對(duì)各區(qū)及委、辦、局的網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理，因此網(wǎng)絡(luò)的安全性和可靠性尤其的重要。內(nèi)部區(qū)放置控制服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、Lotus服務(wù)器和系統(tǒng)管理服務(wù)器等設(shè)備，公開信息區(qū)放置對(duì)外的信息發(fā)布系統(tǒng)，包括WEB服務(wù)器、Mail服務(wù)器，F(xiàn)TP服務(wù)器等設(shè)備等。出于穩(wěn)定性的考慮，防火墻使用雙機(jī)熱備的方式，以保證網(wǎng)絡(luò)的不間斷性。藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)管理中心網(wǎng)絡(luò)圖如下：. 各省局的安全網(wǎng)絡(luò)各省局的網(wǎng)絡(luò)結(jié)構(gòu)節(jié)點(diǎn)也同樣劃分為內(nèi)部操作（控制）區(qū)、公開信息區(qū)兩個(gè)網(wǎng)段。對(duì)于這些網(wǎng)絡(luò)我們建議使用如下方案：3. 可擴(kuò)充性分析由于本方案只考慮了藥監(jiān)局一期的網(wǎng)絡(luò)安全系統(tǒng)，因此在設(shè)計(jì)的時(shí)候還需要考慮二期和三期工程的擴(kuò)充性。一期工程將在各省局15－16個(gè)點(diǎn)進(jìn)行實(shí)施，因此二期和三期工程將完全實(shí)施全國(guó)47個(gè)點(diǎn)。我們建議在二期和三期工程中考慮布置入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、VPN系統(tǒng)和進(jìn)一步完善防火墻產(chǎn)品。. 擴(kuò)充后的中央總局網(wǎng)絡(luò)中心二期和三期工程中中央總局網(wǎng)絡(luò)需要布置上入侵檢測(cè)系統(tǒng)，如下圖所示：. 擴(kuò)充后的省局網(wǎng)絡(luò)地方省局網(wǎng)絡(luò)由于有連接到Internet部分，因此后期工程中必須考慮到這部分的安全，因此擴(kuò)充后的省局網(wǎng)絡(luò)如下所示：4. 產(chǎn)品選型. 防火墻與入侵檢測(cè)的選型我們采用方正最新型方正方御防火墻。方正方御防火墻是一個(gè)很優(yōu)秀的防火墻，同時(shí)它集成強(qiáng)大的入侵檢測(cè)功能。方正方御防火墻是國(guó)內(nèi)第一個(gè)通過公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證標(biāo)準(zhǔn)的包過濾級(jí)防火墻產(chǎn)品，同時(shí)通過了中國(guó)人民解放軍安全測(cè)評(píng)認(rèn)證中心、中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心和國(guó)家保密局的嚴(yán)格認(rèn)證。. 方正數(shù)碼公司簡(jiǎn)介作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略的實(shí)施者，方正數(shù)碼將自身定位于電子商務(wù)的“賦能者”，其業(yè)務(wù)涉及互聯(lián)網(wǎng)