【正文】 種設(shè)備，不必維護(hù)、升級(jí)及配置客戶軟件。SSL VPN將遠(yuǎn)程安全接入延伸到IPSec VPN擴(kuò)展不到的地方，使更多的員工，在更多的地方，使用更多的設(shè)備，安全訪問(wèn)企業(yè)網(wǎng)絡(luò)資源，同時(shí)降低了部署和支持費(fèi)用。SSL VPN正在成為遠(yuǎn)程接入的事實(shí)標(biāo)準(zhǔn)。SSL VPN可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上。SSL VPN通信運(yùn)行在TCP/ UDP協(xié)議上，具有穿越防火墻的能力。這種能力使SSL VPN能夠從一家用戶網(wǎng)絡(luò)的代理防火墻背后安全訪問(wèn)另一家用戶網(wǎng)絡(luò)中的資源。IPSec VPN通常不能支持復(fù)雜的網(wǎng)絡(luò)，這是因?yàn)樗鼈冃枰朔┰椒阑饓?、IP地址沖突等困難。鑒于IPSec客戶機(jī)存在的問(wèn)題，IPSec VPN實(shí)際上只適用于易于管理的或者位置固定的設(shè)備。SSL VPN是基于應(yīng)用的VPN，基于應(yīng)用層上的連接意味著（和IPSec VPN 比較），SSL VPN 更容易提供細(xì)粒度遠(yuǎn)程訪問(wèn)（即可以對(duì)用戶的權(quán)限和可以訪問(wèn)的資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，這是IPSec VPN難以做到的）。IPSec VPN和SSL VPN 將在網(wǎng)絡(luò)組網(wǎng)中發(fā)揮各自的優(yōu)勢(shì)。在公司的遠(yuǎn)程訪問(wèn)安全中，由于分別存在著這兩種情況，因此我們建議在方案中采用IPSec 和SSL VPN相結(jié)合的部署方式：178。 總部與分支機(jī)構(gòu)之間的需要通過(guò)現(xiàn)有的Internet進(jìn)行互連，提供分支機(jī)構(gòu)對(duì)總部網(wǎng)絡(luò)的訪問(wèn)。因此，采用基于IPSec的站點(diǎn)到站點(diǎn)的VPN接入是比較理想的接入方式。178。 出差用戶及遠(yuǎn)程移動(dòng)用戶訪問(wèn)公司內(nèi)部應(yīng)用、及合作伙伴訪問(wèn)某些特定的業(yè)務(wù)應(yīng)用系統(tǒng)，采用SSL VPN方式更能有效的滿足應(yīng)用的需求。 產(chǎn)品選型及功能說(shuō)明（根據(jù)具體的產(chǎn)品功能描述） 入侵檢測(cè)系統(tǒng)根據(jù)之前的安全風(fēng)險(xiǎn)與安全需求分析，在公司網(wǎng)絡(luò)中，由于直接接入Internet及內(nèi)部網(wǎng)絡(luò)用戶眾多，可能面臨的風(fēng)險(xiǎn)及威脅有：178。 拒絕服務(wù)攻擊（DoS）：通過(guò)消耗網(wǎng)絡(luò)帶寬資源或網(wǎng)絡(luò)設(shè)備處理能力資源，使正常的服務(wù)和數(shù)據(jù)通信對(duì)網(wǎng)絡(luò)的傳輸質(zhì)量要求得不到滿足。尼姆達(dá)（Nimda）病毒沖擊波（Blaster, Nachi）病毒就是非常典型例子。178。 信息竊聽(tīng)178。 資源濫用：內(nèi)部人員訪問(wèn)不當(dāng)站點(diǎn)、玩網(wǎng)絡(luò)游戲，浪費(fèi)網(wǎng)絡(luò)資源，使正常的服務(wù)和數(shù)據(jù)通信得不到保障。178。 管理失控：通過(guò)竊取網(wǎng)絡(luò)設(shè)備的管理權(quán)而使網(wǎng)絡(luò)失去安全性因此，我們?cè)诜桨钢薪ㄗh在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)來(lái)入侵及濫用行為進(jìn)行檢測(cè)及審計(jì)。通過(guò)在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)，可以在安全保障上做到：178。 檢測(cè)和發(fā)現(xiàn)針對(duì)系統(tǒng)中的網(wǎng)絡(luò)攻擊行為，如DoS攻擊。對(duì)這些攻擊行為可以采取記錄、報(bào)警、主動(dòng)阻斷等動(dòng)作，以便事后分析和行為追蹤。178。 通過(guò)定義禁止訪問(wèn)網(wǎng)站，限制內(nèi)部人員對(duì)不良站點(diǎn)的訪問(wèn)。178。 對(duì)一些惡意網(wǎng)絡(luò)訪問(wèn)行為可以先記錄，后回放，通過(guò)這種真實(shí)地再現(xiàn)方式更精確的了解攻擊意圖和模式，為未來(lái)更有效地的防范類似攻擊提供經(jīng)驗(yàn)178。 “入侵檢測(cè)系統(tǒng)” 可以提供強(qiáng)大的網(wǎng)絡(luò)行為審計(jì)能力，讓網(wǎng)絡(luò)安全管理員跟蹤用戶（包括黑客）、應(yīng)用程序等對(duì)網(wǎng)絡(luò)的使用情況，幫助他們改進(jìn)網(wǎng)絡(luò)規(guī)劃。178。 對(duì)“入侵檢測(cè)系統(tǒng)”的使用和使用人員的管理一定要有專門的制度。IDS最主要的功能是對(duì)網(wǎng)絡(luò)入侵行為的檢測(cè)，它包括普通入侵探測(cè)和服務(wù)拒絕型攻擊探測(cè)引擎，可以自動(dòng)識(shí)別各種入侵模式，在對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析時(shí)與這些模式進(jìn)行匹配，一旦發(fā)現(xiàn)某些入侵的企圖，就會(huì)進(jìn)行報(bào)警。IDS也支持基于網(wǎng)絡(luò)異常狀況的檢測(cè)方式。IDS具有強(qiáng)大的碎片重組功能，能夠抵御各種高級(jí)的入侵方式。為了跟蹤最新的入侵方式和網(wǎng)絡(luò)漏洞，IDS提供大容量的入侵特征庫(kù)以及方便的升級(jí)方式，每一個(gè)漏洞都提供了詳細(xì)的說(shuō)明和解決方法，并且給出了相關(guān)的Bugtraq、CVE以及CAI等國(guó)際標(biāo)準(zhǔn)的編號(hào)。IDS能夠基于時(shí)間、地點(diǎn)、用戶賬戶以及協(xié)議類型、攻擊類型等等制定安全策略。通過(guò)對(duì)安全策略的調(diào)整，用戶能夠很方便地將IDS自定義成為符合自己組織需要的入侵檢測(cè)系統(tǒng)。而且，通過(guò)IDS提供的正則表達(dá)式，用戶能夠方便地對(duì)入侵特征庫(kù)進(jìn)行擴(kuò)充，添加需要的入侵特征，并且能夠?qū)θ肭值捻憫?yīng)過(guò)程進(jìn)行自定義。比如用戶需要在發(fā)現(xiàn)某種特定類型的攻擊方式的時(shí)候啟動(dòng)一段自己編寫的程序以完成某項(xiàng)功能的時(shí)候，就可以利用IDS提供的接口靈活而方便地進(jìn)行配置完成。在抵御拒絕服務(wù)攻擊的功能上，IDS不僅僅能夠進(jìn)行攻擊的報(bào)警，而且能夠主動(dòng)切斷攻擊。由此產(chǎn)生的大量日志能夠通過(guò)IDS具備的強(qiáng)大的工作區(qū)切換功能進(jìn)行存儲(chǔ)和轉(zhuǎn)發(fā)，大大提高了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)本身的抗攻擊能力。為了進(jìn)一步提高IDS的抗攻擊能力，IDS還支持Stealth模式的配置，就是無(wú)IP設(shè)置。這樣攻擊者就無(wú)法訪問(wèn)運(yùn)行IDS安全工作站，也就無(wú)法對(duì)IDS進(jìn)行直接攻擊。 產(chǎn)品部署說(shuō)明（根據(jù)具體的網(wǎng)絡(luò)情況描述） 產(chǎn)品選型及功能描述（根據(jù)具體的產(chǎn)品描述） 內(nèi)網(wǎng)安全解決方案面對(duì)網(wǎng)絡(luò)信息安全的各種風(fēng)險(xiǎn)，我們?cè)谶吔缂熬W(wǎng)關(guān)處的安全解決方案解決了許多安全問(wèn)題。例如：在網(wǎng)絡(luò)邊界，通過(guò)防火墻對(duì)網(wǎng)絡(luò)連接和訪問(wèn)的合法性進(jìn)行控制，通過(guò)網(wǎng)關(guān)過(guò)濾設(shè)備對(duì)數(shù)據(jù)流非法內(nèi)容進(jìn)行控制；在網(wǎng)絡(luò)傳輸上，通過(guò)入侵檢測(cè)監(jiān)視黑客攻擊和非法網(wǎng)絡(luò)活動(dòng)等。但針對(duì)于內(nèi)部網(wǎng)絡(luò)我們?nèi)匀幻媾R著諸多的安全問(wèn)題。傳統(tǒng)上，我們通過(guò)漏洞掃描發(fā)現(xiàn)系統(tǒng)缺陷；在主機(jī)設(shè)備，通過(guò)主機(jī)加固加強(qiáng)主機(jī)防護(hù)能力，通過(guò)防病毒、反間諜軟件預(yù)防惡意代碼等。然而隨著網(wǎng)絡(luò)的發(fā)展，病毒及惡意代碼本身的技術(shù)越來(lái)越先進(jìn)，其防護(hù)也越來(lái)越復(fù)雜。而且隨著計(jì)算機(jī)技術(shù)及應(yīng)用的普及，桌面用戶的行為也越來(lái)越超出網(wǎng)管員的管理能力范疇。因此，在考慮內(nèi)部網(wǎng)絡(luò)安全時(shí)，如果有效的管理網(wǎng)絡(luò)及終端將是我們考慮的主要問(wèn)題。在此我們通過(guò)以下三種手段來(lái)完成基于終端的安全管理：178。 通過(guò)部署網(wǎng)絡(luò)防病毒系統(tǒng)來(lái)完善企業(yè)整體防病毒及惡意威脅的能力；178。 通過(guò)漏洞掃描或風(fēng)險(xiǎn)評(píng)估工具來(lái)發(fā)展漏洞、脆弱性及威脅，并通過(guò)補(bǔ)丁分發(fā)系統(tǒng)對(duì)漏洞及脆弱性進(jìn)行及時(shí)的矯正及補(bǔ)充；178。 通過(guò)終端安全管理系統(tǒng)對(duì)桌面設(shè)備及用戶進(jìn)行安全管理及規(guī)范，有效保證終端的安全。 企業(yè)防病毒系統(tǒng)目前公司網(wǎng)絡(luò)系統(tǒng)中并沒(méi)有一套完整的防病毒策略和技術(shù)方案，工作站安裝的防病毒軟件各種各樣，甚至有些服務(wù)器與工作站沒(méi)有安裝防病毒軟件，部分工作上使用的防病毒軟件病毒特征代碼沒(méi)有及時(shí)更新，沒(méi)有對(duì)防病毒軟件進(jìn)行統(tǒng)一的管理。鑒于防病毒的重要性和資源服務(wù)器系統(tǒng)網(wǎng)絡(luò)的當(dāng)前狀況，需要建立一套完整的防病毒系統(tǒng)，把病毒對(duì)網(wǎng)絡(luò)的威脅降到最低。目前企業(yè)整體防病毒解決方案均已比較成熟。在此我們針對(duì)傳統(tǒng)企業(yè)防病毒系統(tǒng)部署強(qiáng)調(diào)以下幾點(diǎn)：178。 全面性：實(shí)施網(wǎng)絡(luò)防毒系統(tǒng)時(shí)，應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)內(nèi)所有可能作為病毒寄居、傳播及受感染的計(jì)算機(jī)進(jìn)行有效防護(hù)。避免有“遺忘的角落”造成病毒傳播的源泉；178。 功能及易用性：一方面需要對(duì)各種病毒進(jìn)行有效殺、防；另一方面，也要強(qiáng)調(diào)網(wǎng)絡(luò)防毒在實(shí)施、操作，維護(hù)和管理中的簡(jiǎn)潔、方便和高效，最大限度地減輕使用人員和維護(hù)人員的工作量；178。 資源占用：防毒系統(tǒng)和企業(yè)現(xiàn)行計(jì)算機(jī)系統(tǒng)的兼容性、防毒軟件的運(yùn)行效率及占用資源等是企業(yè)防病毒系統(tǒng)必須考慮的問(wèn)題。部署時(shí)考慮到企業(yè)現(xiàn)有的計(jì)算環(huán)境及應(yīng)用平臺(tái)，是否與需求資源相匹配；178。 管理體系：為了保證防病毒系統(tǒng)的一致性、完整性和自升級(jí)能力，還必須要有一個(gè)完善的病毒防護(hù)管理體系，負(fù)責(zé)病毒軟件的自動(dòng)分發(fā)、自動(dòng)升級(jí)、集中配置和管理、統(tǒng)一事件和告警處理、保證整個(gè)企業(yè)范圍內(nèi)病毒防護(hù)體系的一致性和完整性。178。 防病毒策略：這個(gè)是企業(yè)防病毒系統(tǒng)最容易被忽略的地方。系統(tǒng)必須明確地規(guī)定保護(hù)的級(jí)別和所需采取的對(duì)策，并制定系統(tǒng)的防病毒策略和部署多層防御戰(zhàn)略，服務(wù)器防病毒、個(gè)人桌面計(jì)算機(jī)防病毒以及所有防病毒產(chǎn)品的統(tǒng)一管理，不要讓網(wǎng)絡(luò)系統(tǒng)中存在“木桶效應(yīng)”。一個(gè)良好的防病毒解決方案需要做到“層層防護(hù)，處處設(shè)防”，全方位多層次部署防病毒體系。我們?yōu)楣揪W(wǎng)絡(luò)中提供一個(gè)穩(wěn)定高效、技術(shù)一流、方便管理、服務(wù)周全的病毒防護(hù)解決方案，滿足網(wǎng)絡(luò)系統(tǒng)對(duì)病毒防護(hù)系統(tǒng)設(shè)計(jì)的業(yè)務(wù)需求，確保網(wǎng)絡(luò)系統(tǒng)能有效抵御各種病毒和惡意程序的攻擊。在公司網(wǎng)絡(luò)中建立病毒防護(hù)管理服務(wù)器，所有的防毒對(duì)象（工作站和服務(wù)器）均采用安裝代理的方式來(lái)實(shí)現(xiàn)集中控管。防毒服務(wù)器全面控制防毒代理的運(yùn)行、升級(jí)和刪除等權(quán)限?？梢酝ㄟ^(guò)防毒服務(wù)器自動(dòng)分發(fā)防毒策略和防病毒升級(jí)特征庫(kù)，而整個(gè)防毒體系只需要網(wǎng)管與網(wǎng)絡(luò)安全管理中心的防毒服務(wù)器去Internet自動(dòng)獲取病毒庫(kù)升級(jí)就可以自動(dòng)完成全網(wǎng)的升級(jí)工作。極大地提高了防毒工作的效率。并且這種二層架構(gòu)的網(wǎng)絡(luò)防毒體系具有很好的擴(kuò)展性。 產(chǎn)品選型及功能描述NOD32企業(yè)級(jí)防病毒安全套裝是一個(gè)高性能和穩(wěn)定的防病毒解決方案，它方便了對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)配置和更新，這些計(jì)算機(jī)包括：工作站，文件服務(wù)器，Exchange和Domino郵件服務(wù)器，SMTP網(wǎng)關(guān)和邊界服務(wù)器。它不僅抵御病毒，蠕蟲(chóng)和特洛依木馬，還防護(hù)新的英特網(wǎng)攻擊，如垃圾郵件，間諜程序，撥號(hào)器，黑客工具和惡作劇，以及針對(duì)系統(tǒng)漏洞，并提供保護(hù)阻止安全冒險(xiǎn)。入侵防護(hù)采用了新一代的防護(hù)技術(shù)，它比傳統(tǒng)的檢測(cè)系統(tǒng)更加智能化，能在第一時(shí)間發(fā)現(xiàn)新的威脅，并阻斷企圖越過(guò)傳統(tǒng)防病毒軟件的未知病毒的攻擊，不管該未知病毒是以下列何種方式傳播：外圍設(shè)備、局域網(wǎng)共享資源、電子郵件Email、互聯(lián)網(wǎng)。入侵防護(hù)是市場(chǎng)上唯一一款集已知和未知威脅防護(hù)于一身的入侵防護(hù)軟件，能最大程度地抵御病毒、木馬、蠕蟲(chóng)等網(wǎng)絡(luò)威脅。入侵防護(hù)企業(yè)版主要特性包括：178。 發(fā)現(xiàn)并清除未知病毒：結(jié)合了多種惡意代碼程序的檢測(cè)及阻斷技術(shù)，能有效發(fā)現(xiàn)并清除未知病毒。178。 緩沖區(qū)溢出防護(hù)：不僅能抵御已知的安全漏洞攻擊，而且能防護(hù)未知的攻擊。能在第一時(shí)間保護(hù)系統(tǒng)內(nèi)的緩沖區(qū)溢出漏洞不會(huì)被惡意代碼利用作為攻擊的手段，即使還沒(méi)有任何針對(duì)該漏洞的資料和補(bǔ)丁程序。178。 防護(hù)性的阻斷感染：可以在網(wǎng)絡(luò)層防止病毒和蠕蟲(chóng)在企業(yè)網(wǎng)絡(luò)中傳播。178。 安全政策定義：通過(guò)建立安全政策來(lái)控制計(jì)算機(jī)上運(yùn)行的程序可執(zhí)行的操作，使網(wǎng)管人員能對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)所有的計(jì)算機(jī)進(jìn)行整體控制管理、定義并干預(yù)正當(dāng)?shù)募氨唤沟牟僮鳌?78。 新一代的防護(hù)技術(shù)，能抵御所有類型的互聯(lián)網(wǎng)威脅：包括病毒、木馬、蠕蟲(chóng)等。178。 無(wú)可比擬的集中式部署：能不受地域限制，對(duì)企業(yè)組織中所有的工作站進(jìn)行客戶端分發(fā)和集中管理。178。 占用資源最小化：是在低帶寬環(huán)境下保護(hù)筆記本電腦的理想方案。178。 基于通用標(biāo)準(zhǔn)的技術(shù)：優(yōu)化網(wǎng)絡(luò)內(nèi)的防病毒更新速度。178。 友好直觀的用戶界面：避免混淆和誤操作。 終端安全管理在第2章里我們針對(duì)終端的安全進(jìn)行了詳細(xì)風(fēng)險(xiǎn)及需求的分析。終端安全是我們整體解決方案里不可或缺的部分，因?yàn)榻K端安全是我們?nèi)粘０踩ぷ魇亲钪匾彩切枰P(guān)注最多的部分。因此相應(yīng)的終端安全的解決方案必須做到：v 統(tǒng)一、靈活的安全策略所有的安全管理都是通過(guò)策略集的定制和分發(fā)來(lái)完成的，支持集中的安全管理，便于整個(gè)系統(tǒng)的統(tǒng)一管理。安全策略分為用戶策略和全局策略兩類。一般情況下，用戶終端工作在網(wǎng)絡(luò)環(huán)境下，接受在線環(huán)境下用戶策略的控制；對(duì)于移動(dòng)辦公的筆記本電腦等移動(dòng)終端，接受脫機(jī)情況下全局策略的保護(hù)。管理員可根據(jù)組織機(jī)構(gòu)劃分管理權(quán)限，不同的管理者具有不同的權(quán)限和管轄范圍，支持系統(tǒng)清晰的職權(quán)劃分。安全策略可以分組分類，不同的策略組所起的控制作用和使用范圍也不同。為了簡(jiǎn)化策略的管理，我們將用戶按照角色來(lái)管理；對(duì)不同的角色實(shí)施不同的安全策略。策略涉及多個(gè)層次：物理和環(huán)境、鏈路和操作