【正文】 BI 統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá) 75 億美元，而全球平均每 20 秒鐘就發(fā)生一起 網(wǎng)絡(luò) 計算機(jī)侵入事件。在我國，每年因黑客入侵、計算機(jī)病毒的破壞給企業(yè)造成的損失令人觸目驚心 。網(wǎng)絡(luò)防黑客、防病毒等安全問題也必須引起相關(guān)企業(yè)、各事業(yè)機(jī)關(guān)的重視。 XXX 網(wǎng)絡(luò)承載著核心應(yīng)用業(yè)務(wù)系統(tǒng)，必須建立一套完善的網(wǎng)絡(luò)安全體系構(gòu)架，才能應(yīng)對網(wǎng)絡(luò)互連互通所帶來的負(fù)面的影響。 本項目具體的網(wǎng)絡(luò)安全目標(biāo)即： 建立一個安全屏障，保護(hù)用戶不受來自網(wǎng)絡(luò)開放所帶來的網(wǎng)絡(luò)安全和通信數(shù)據(jù)的安全受到非法破壞。 對內(nèi)是要建立一個安全堡壘，控制網(wǎng)絡(luò)內(nèi)部用戶非授權(quán)通信和進(jìn)行的一些有意的、無意的破壞活動，保證網(wǎng)絡(luò)平臺和應(yīng)用系統(tǒng)平臺的正常運(yùn)行。 2. 威脅分析 威脅就是將會對資產(chǎn)造成不利影響的潛在的事件或行為，包括自然的、故意的以及 偶然的情況。威脅至少包含以下屬性：動機(jī)（自然威脅除外）、能力、影響方式等。可以說威脅是不可避免的，我們必須采取有效的措施，降低各種情況造成的威脅。 . 來自外部的安全威脅分析 . 邊界網(wǎng)絡(luò)設(shè)備安全威脅 邊界網(wǎng)絡(luò)設(shè)備面臨的威脅主要有以下兩點： 第一：入侵者通過控制邊界網(wǎng)絡(luò)設(shè)備，進(jìn)一步了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用網(wǎng)絡(luò)滲透搜集信息，為擴(kuò)大網(wǎng)絡(luò)入侵范圍奠定基礎(chǔ)。 XXX 網(wǎng)絡(luò)安全建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 5 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 比如，入侵者同樣可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng)（ Cisco 的 IOS）漏洞或者配置漏洞，實現(xiàn)對其控制。 第二：通過各種手段，對網(wǎng)絡(luò)設(shè)備實施拒絕服務(wù)攻擊，使網(wǎng)絡(luò)設(shè)備癱瘓，從而造 成網(wǎng)絡(luò)通信的癱瘓。 . 信息基礎(chǔ)安全平臺威脅 信息基礎(chǔ)平臺主要是指支撐各種應(yīng)用與業(yè)務(wù)運(yùn)行的各種操作系統(tǒng)。操作系統(tǒng)主要有 Winnt、 Win2k， Win98,*NIX。 相對邊界網(wǎng)絡(luò)設(shè)備來說，熟知操作系統(tǒng)的人員的范圍要廣的多，而且在網(wǎng)絡(luò)上，很容易就能找到許多針對各種操作系統(tǒng)的漏洞的詳細(xì)描述，所以，針對操作系統(tǒng)和數(shù)據(jù)庫的入侵攻擊在網(wǎng)絡(luò)絡(luò)中也是最多最常見的。 不管是什么操作系統(tǒng)，只要它運(yùn)行于網(wǎng)絡(luò)上，就必然會有或多或少的端口服務(wù)暴露在網(wǎng)絡(luò)上，而這些端口服務(wù)又恰恰可能存在致命的安全漏洞，這無疑會給該系統(tǒng)帶來嚴(yán)重的安全威脅，從 而也給系統(tǒng)所在的網(wǎng)絡(luò)帶來很大的安全威脅。 . 來自內(nèi)部的安全威脅分析 . 內(nèi)部網(wǎng)絡(luò)的失誤操作行為 由于人員的技術(shù)水平的局限性以及經(jīng)驗的不足，可能會出現(xiàn)各種意想不到的操作失誤，勢必對系統(tǒng)或者網(wǎng)絡(luò)的安全產(chǎn)生較大的影響。 . 源自內(nèi)部網(wǎng)絡(luò)的惡意攻擊與破壞 據(jù)統(tǒng)計，有 70%的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)的內(nèi)部。對于網(wǎng)絡(luò)內(nèi)部的安全防范會明顯的弱于對于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，所以，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功，因此一旦攻擊成功，其強(qiáng)烈的攻擊目的也就必然促使了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。 XXX 網(wǎng)絡(luò)安全建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 6 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 . 網(wǎng)絡(luò)病毒威脅 在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計算機(jī)病毒的共性外，還具有一些新的特點，網(wǎng)絡(luò)病毒的這些新的特點都會對網(wǎng)絡(luò)與應(yīng)用造成極大的威脅。 ? 傳播的形式復(fù)雜多樣 計算機(jī)病毒在網(wǎng)絡(luò)上一般是通過“工作站 服務(wù)器 工作站”的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣，通過網(wǎng)絡(luò)共享、服務(wù)漏洞、電子郵件等多種方式進(jìn)行傳播。 ? 病毒的智能化程序越來越高 網(wǎng)絡(luò)病毒可以利用系統(tǒng)的漏洞進(jìn)行傳播或攻擊；在攜帶特洛伊木馬程序進(jìn)行對系統(tǒng)進(jìn)行遠(yuǎn)程破壞與控制；自身就有木馬功能，為系統(tǒng)開后門；散播拒絕服務(wù)攻 擊點，對目標(biāo)采取分布式拒絕服務(wù)攻擊等等。 ? 難于徹底清除 智能化的網(wǎng)絡(luò)病毒既可以像傳統(tǒng)病毒一下感染服務(wù)器或客戶端主機(jī)的應(yīng)用文件系統(tǒng)，也兼具網(wǎng)絡(luò)黑客技術(shù)的特點，通過各種途徑破壞服務(wù)器或客戶機(jī)的重要數(shù)據(jù)，通過電子郵件系統(tǒng)散播惡意代碼，設(shè)置系統(tǒng)后門，竊取系統(tǒng)的重要數(shù)據(jù)與機(jī)密信息等。病毒要完成這些復(fù)雜的動作，就要對系統(tǒng)進(jìn)行比較復(fù)雜的設(shè)置，對系統(tǒng)的影響也比較大，僅有防病毒軟件很難徹底地從系統(tǒng)上將病毒清除掉。 ? 破壞性大 網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰， 破壞服務(wù)器信息，造成巨大 的直接和間接的經(jīng)濟(jì)損失。 XXX 網(wǎng)絡(luò)安全建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 7 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 3. 安全建設(shè)原則 ? 網(wǎng)絡(luò)安全產(chǎn)品符合網(wǎng)絡(luò)安全的國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)； ? 對安全產(chǎn)品要采取硬、軟結(jié)合的方針； ? 網(wǎng)絡(luò)安全產(chǎn)品的部署不能成為網(wǎng)絡(luò)運(yùn)行的瓶頸； ? 網(wǎng)絡(luò)安全能覆蓋整個網(wǎng)絡(luò)； ? 完整性 網(wǎng)絡(luò)安全建設(shè)必需保證整個防御體系的完整性。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，從安全性的角度考慮需要不同安全產(chǎn)品之間的安全互補(bǔ)，通過這種對照、比較，可以提高系統(tǒng)對安全事件響應(yīng)的準(zhǔn)確性和全面性。 ? 動態(tài)性 隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻 擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)安全變成了一個動態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)安全的需要。所選用的安全產(chǎn)品必須及時地、不斷地改進(jìn)和完善，及時進(jìn)行技術(shù)和設(shè)備的升級換代，只有這樣才能保證系統(tǒng)的安全性。 ? 專業(yè)性 攻擊技術(shù)和防御技術(shù)是網(wǎng)絡(luò)安全的一對矛盾體，兩種技術(shù)從不同角度不斷地對系統(tǒng)的安全提出了挑戰(zhàn)，只有掌握了這兩種技術(shù)才能對系統(tǒng)的安全有全面的認(rèn)識，才能提供有效的安全技術(shù)、產(chǎn)品、服務(wù)，這就需要從事安全的公司擁有大量專業(yè)技術(shù)人才，并能長期的進(jìn)行技術(shù)研究、積累，從而全面、系統(tǒng)、深入的為用戶提供服務(wù)。 ? 易用性 安全措施要 由人來完成，如果措施過于復(fù)雜，對人的要求過高，一般人員難以勝任，有可能降低系統(tǒng)的安全性。 XXX 網(wǎng)絡(luò)安全建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 8 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 4. XXX 安全體系 XXX 網(wǎng)絡(luò)系統(tǒng)的安全體系結(jié)構(gòu)是劃分為若干層次的一種多層次、多方面、立體的安全構(gòu)架。針對“全網(wǎng)安全”的要求，網(wǎng)絡(luò)安全體系涉及的各個環(huán)節(jié)包括：網(wǎng)絡(luò)安全策略指導(dǎo)、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范、網(wǎng)絡(luò)安全防范技術(shù)、網(wǎng)絡(luò)安全管理保障、網(wǎng)絡(luò)安全服務(wù)支持體系等幾部分。如圖 1 所示。 我們認(rèn)為 XXX 網(wǎng)絡(luò)系統(tǒng)的安全是一個動態(tài)的概念。我們已經(jīng)制定和開發(fā)出針對性的一系列安全方案、技術(shù)框架和應(yīng)用工具，并發(fā)展成 為一種有效的網(wǎng)絡(luò)安全解決方案 —— 動態(tài)安全模型，它能夠提供給用戶比較完整、合理的安全機(jī)制。 XXX 網(wǎng)絡(luò)系統(tǒng)的動態(tài)安全管理公式可由下面公式概括： 網(wǎng)絡(luò)安全策略安全標(biāo)準(zhǔn)規(guī)范體系安全管理保障體系安全技術(shù)防范體系安全服務(wù)支持體系圖 1 網(wǎng)絡(luò)安全的環(huán)節(jié)安全標(biāo)準(zhǔn)規(guī)范體系安全管理保障體系安全技術(shù)防范體系圖XXX 網(wǎng)絡(luò)安全建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 9 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 XXX 網(wǎng)絡(luò)系統(tǒng)安全 = 風(fēng)險分析 + 制訂策略 + 系統(tǒng)防護(hù) + 實時監(jiān)測 + 實時響應(yīng) + 恢復(fù) 即：網(wǎng)絡(luò)安全是一個“ AP2DR2”的動態(tài)安全公式，如圖 2 所示。 從安全體系的實施的動態(tài)性角度， XXX 網(wǎng)絡(luò)系統(tǒng)動態(tài)安全管理公式的設(shè)計充分考慮到了風(fēng)險評估、安全策略的制定、防御系統(tǒng)、監(jiān)控與檢測、響應(yīng)與恢復(fù)等各個方面 ，并且考慮到各個部分之間的動態(tài)關(guān)系與依賴性。 安全需求和風(fēng)險評估 是制定 XXX 網(wǎng)絡(luò)系統(tǒng)安全策略的依據(jù)。風(fēng)險分析（又稱風(fēng)險評估、風(fēng)險管理），是指確定網(wǎng)絡(luò)資產(chǎn)的安全威脅和脆弱性、并估計可能由此造成的損失或影響的過程。風(fēng)險分析有兩種基本方法：定性分析和定量分析。我們協(xié)助制訂業(yè)務(wù)網(wǎng)絡(luò)安全策略的時候，是從全局進(jìn)行考慮，基于風(fēng)險分析的結(jié)果進(jìn)行決策，建議究竟是加大投入，采取更強(qiáng)有力的保護(hù)措施，還是可以容忍一些小的風(fēng)險存在而不采取措施。因此，我們采取了科學(xué)的風(fēng)險分析方法對 XXX網(wǎng)絡(luò)系統(tǒng)的安全進(jìn)行風(fēng)險分析，風(fēng)險分析的結(jié)果作為制 定安全策略的重要依據(jù)之一。 根據(jù) 安全策略 的要求，我們協(xié)助選擇相應(yīng)的安全機(jī)制和安全技術(shù)，實施 安全防御系統(tǒng) 、進(jìn)行 監(jiān)控與檢測 。我們認(rèn)為 XXX 網(wǎng)絡(luò)系統(tǒng)安全防御系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。安全防御系統(tǒng)搭建得完善與否，直接決定了 XXX 網(wǎng)絡(luò)系統(tǒng)的安全程度，無論哪個層面上的安全措施不到位，都可能是很大的安全隱患，都有可能XXX 網(wǎng)絡(luò)安全建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 10 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 造成業(yè)務(wù)網(wǎng)絡(luò)中的后門。 響應(yīng)與恢復(fù)系統(tǒng) 是保障 XXX 網(wǎng)絡(luò)系統(tǒng)安全性的重要手段。我們協(xié)助采取檢測手段，制訂緊急事件響應(yīng)的方法與技術(shù)。根據(jù)檢測和 響應(yīng)的結(jié)果，可以發(fā)現(xiàn)防御系統(tǒng)中的薄弱環(huán)節(jié)，或者安全策略中的漏洞，進(jìn)一步進(jìn)行風(fēng)險分析，修改安全策略，根據(jù)技術(shù)的發(fā)展和業(yè)務(wù)的變化，逐步完善安全策略，加強(qiáng)業(yè)務(wù)網(wǎng)安全措施。 5. 風(fēng)險評估（建議） 通過風(fēng)險評估可以進(jìn)一步深入的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)實際的安全威脅和薄弱環(huán)節(jié)，為網(wǎng)絡(luò)、安全解決方案提供很好的依據(jù)，此處僅為建議，貴方可根據(jù)自身網(wǎng)絡(luò)情況進(jìn)行取舍。 . 風(fēng)險評估目的 1. 對 主機(jī)服務(wù)器 進(jìn)行安全評估，對系統(tǒng)的漏洞、服務(wù)配置、權(quán)限配置、是否存在后門等進(jìn)行評估； 2. 對 XXX 網(wǎng)絡(luò)系統(tǒng)應(yīng)用系統(tǒng)進(jìn)行安全評估，確認(rèn)系統(tǒng)的安全防護(hù)能力，安全漏洞等； 3. 評 估 網(wǎng)絡(luò)系統(tǒng) 安全現(xiàn)狀，主要針對網(wǎng)絡(luò)中的交換機(jī)路由器和網(wǎng)絡(luò)通信鏈路進(jìn)行分析評估，找到系統(tǒng)網(wǎng)絡(luò)中容易受到威脅的薄弱環(huán)節(jié)； 4. 對 管理制度和行業(yè)規(guī)范 中是否嚴(yán)格執(zhí)行進(jìn)行評估，確認(rèn)制度和規(guī)范的有效性。 5. 根據(jù)評估結(jié)果，確定 安全需求 、 安全策略 、 安全解決方案 。 XXX 網(wǎng)絡(luò)安全建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 11 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 . 風(fēng)險評估內(nèi)容 （ 1） 采集本地信息系統(tǒng)信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備、各種安全管理、安全控制、人員、安全策略、應(yīng)用系統(tǒng)等方面的信息，并進(jìn)行相應(yīng)的分析。 （ 2） 通過技術(shù)性檢測評估獲得 XXX 網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層存在的網(wǎng)絡(luò)安全漏洞報告。 （ 3） 通過對以上兩種安全風(fēng)險的分析、匯總形成 XXX 網(wǎng) 絡(luò)系統(tǒng)安全風(fēng)險評估報告； （ 4） 根據(jù) XXX 網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀分析報告，提出 XXX 網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全策略和相應(yīng)的網(wǎng)絡(luò)安全解決方案，指導(dǎo)下一步的網(wǎng)絡(luò)安全建