【正文】 文庫(kù)貢獻(xiàn)者網(wǎng)絡(luò)安全重點(diǎn)圖書信利半導(dǎo)體公司內(nèi)網(wǎng)安全解決方案權(quán)威安全指導(dǎo)目錄天創(chuàng)半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 1第一章 引言 2第二章 網(wǎng)絡(luò)信息安全概況 2(1）網(wǎng)絡(luò)安全 2(2）網(wǎng)絡(luò)安全的威脅來自哪些方面？ 3(3）不安全造成的危害有多大？ 3(4）系統(tǒng)的安全應(yīng)具備那些功能？ 4(5）防火墻系統(tǒng)的安全設(shè)置問題 5（6）安全隱患 5第三章 網(wǎng)絡(luò)安全方案總體設(shè)計(jì) 6（1）安全方案設(shè)計(jì)原則 6（2）安全服務(wù)、機(jī)制與技術(shù) 7（3）網(wǎng)絡(luò)安全體系結(jié)構(gòu) 7第四章 天創(chuàng)半導(dǎo)體公司安全需求 13(1）當(dāng)前網(wǎng)絡(luò)現(xiàn)狀分析 13(2)客戶需求 13（3）實(shí)施目標(biāo) 14第五章 產(chǎn)品綜述 14(1）安氏LinkTrustTM CyberWall防火墻 14(2）eTrust入侵檢測(cè)系統(tǒng) 15（3）KSG郵件過濾網(wǎng)關(guān) 18第六章 實(shí)施方案 24（1）優(yōu)化方案 24（2）設(shè)備安裝 26（3）規(guī)則配置 27（4）網(wǎng)絡(luò)安全管理員培訓(xùn) 27（5）網(wǎng)絡(luò)安全審核 27第七章 產(chǎn)品類別、報(bào)價(jià)與售后服務(wù) 27（1）產(chǎn)品類別 27天創(chuàng)半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案目錄：第一章 引言二十一世紀(jì)是信息化世紀(jì)，隨著Internet的迅猛發(fā)展,信息共享的程度進(jìn)一步提高,數(shù)字信息越來越深入的影響著社會(huì)生活的各個(gè)方面，而網(wǎng)絡(luò)上的信息安全問題也日益突出。目前政府部門、金融部門、醫(yī)療、企事業(yè)單位和個(gè)人都日益重視這一重要問題。大、中型企業(yè)如何保護(hù)信息安全和網(wǎng)絡(luò)安全，最大限度的減少或避免因信息泄密、破壞等安全問題所造成的經(jīng)濟(jì)損失及對(duì)企業(yè)形象的影響，是擺在我們面前亟需妥善解決的一項(xiàng)具有重大戰(zhàn)略意義的課題。網(wǎng)絡(luò)的飛速發(fā)展推動(dòng)社會(huì)的發(fā)展，大批用戶借助網(wǎng)絡(luò)極大地提高了工作效率，創(chuàng)造了一些全新的工作方式，尤其是因特網(wǎng)的出現(xiàn)更給用戶帶來了巨大的方便。但另一方面，網(wǎng)絡(luò)，特別是因特網(wǎng)存在著極大的安全隱患。近年來，因特網(wǎng)上的安全事故屢有發(fā)生。連入因特網(wǎng)的用戶面臨諸多的安全風(fēng)險(xiǎn)：拒絕服務(wù)、信息泄密、信息篡改、資源盜用、聲譽(yù)損害等等。類似的風(fēng)險(xiǎn)也存在于其它的互聯(lián)網(wǎng)絡(luò)中。這些安全風(fēng)險(xiǎn)的存在阻礙了計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用與發(fā)展。在網(wǎng)絡(luò)化、信息化的進(jìn)程不可逆轉(zhuǎn)的形勢(shì)下，建立安全可靠的網(wǎng)絡(luò)信息系統(tǒng)是一種必然選擇。一個(gè)系統(tǒng)的安全性可從三個(gè)層次考慮：第一層是存放數(shù)據(jù)資源的服務(wù)器組；第二層是傳輸數(shù)據(jù)的網(wǎng)絡(luò)；第三層是需要訪問數(shù)據(jù)的客戶機(jī)。對(duì)于一個(gè)與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)，首先要防止來自外部的惡意攻擊，同時(shí)還要保證系統(tǒng)內(nèi)部所有計(jì)算機(jī)的不受病毒侵?jǐn)_，能夠數(shù)據(jù)系統(tǒng)正常應(yīng)用。第二章 網(wǎng)絡(luò)信息安全概況(1）網(wǎng)絡(luò)安全計(jì)算機(jī)安全事業(yè)始于本世紀(jì)60年代末期，由于當(dāng)時(shí)計(jì)算機(jī)的速度和性能較落后，使用的范圍也不廣，再加上美國(guó)政府把它當(dāng)作敏感問題而施加控制，因此，有關(guān)計(jì)算機(jī)安全的研究一直局限在比較小的范圍內(nèi)。進(jìn)入80年代后，計(jì)算機(jī)的性能得到了成百上千倍的提高，應(yīng)用的范圍也在不斷擴(kuò)大，計(jì)算機(jī)已遍及世界各個(gè)角落。并且，人們利用通信網(wǎng)絡(luò)把孤立的單機(jī)系統(tǒng)連接起來，相互通信和共享資源。但是，隨之而來并日益嚴(yán)峻的問題就是計(jì)算機(jī)信息的安全問題。由于計(jì)算機(jī)信息有共享和易于擴(kuò)散等特性，它在處理、存儲(chǔ)、傳輸和使用上有著嚴(yán)重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計(jì)算機(jī)病毒的感染。計(jì)算機(jī)安全的內(nèi)容應(yīng)包括兩方面：即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性。一個(gè)系統(tǒng)存在的安全問題可能主要來源于兩方面：或者是安全控制機(jī)構(gòu)有故障；或者是系統(tǒng)安全定義有缺陷。(2）網(wǎng)絡(luò)安全的威脅來自哪些方面？由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行多種網(wǎng)絡(luò)協(xié)議（TCP/IP, IPX/SPX, NETBEUI），而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計(jì)。所以，網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)可能存在的安全威脅來自以下方面：操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。防火墻的安全性。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過檢驗(yàn)。來自內(nèi)部網(wǎng)用戶的安全威脅。缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性。采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。未能對(duì)來自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進(jìn)行有效控制。應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。(3）不安全造成的危害有多大？根據(jù)美國(guó)FBI的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過1,70億美元。75%的公司報(bào)告財(cái)政損失是由于計(jì)算機(jī)系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內(nèi)部；只有17%的公司愿意報(bào)告黑客入侵，其他的由于擔(dān)心負(fù)面影響而未聲張。59%的損失可以定量估算。平均每個(gè)組織損失USD$402,000。 入侵的來源：首先是內(nèi)部心懷不滿的員工；其次為黑客；另外還有競(jìng)爭(zhēng)者。無論是有意的攻擊，還是無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、應(yīng)用數(shù)據(jù)庫(kù)中的重要數(shù)據(jù)；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶身份，信任自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等等。黑客的威脅見諸報(bào)道的已經(jīng)屢見不鮮，象貴州省城熱線、成都藝術(shù)節(jié)主頁等都報(bào)道有黑客入侵，他們?cè)谥黜撋习l(fā)布反動(dòng)口號(hào)，或?qū)⒅黜撔薷某牲S色畫面。受到此類攻擊對(duì)于政府部門，大型企業(yè)而言影響是尤為惡劣的。前段時(shí)間美國(guó)微軟公司遭黑客攻擊事件就是由于它的內(nèi)外網(wǎng)隔離存在漏洞，使得黑客成功竊取它的軟件源代碼等機(jī)密資料，嚴(yán)重威脅到企業(yè)的聲譽(yù)。這樣的例子舉不勝舉，網(wǎng)絡(luò)安全建設(shè)已經(jīng)迫在眉睫了。(4）系統(tǒng)的安全應(yīng)具備那些功能？與其它安全體系（如保安系統(tǒng)）類似，網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系應(yīng)包含：訪問控制通過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。檢查安全漏洞通過對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。加密通訊主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息。認(rèn)證良好的認(rèn)證體系可防止攻擊者假冒合法用戶。備份和恢復(fù)良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。多層防御攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。隱藏內(nèi)部信息使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。(5）防火墻系統(tǒng)的安全設(shè)置問題近年來大家如果提到網(wǎng)絡(luò)信息安全，可能最為熟識(shí)的可能就是防火墻系統(tǒng)。它不失為一種在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施的信息安全防范系統(tǒng)，這種計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)環(huán)境下的訪問控制技術(shù)，通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對(duì)外屏蔽被保護(hù)網(wǎng)絡(luò)的信息，從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性運(yùn)行等實(shí)現(xiàn)安全防護(hù)。因此，許多管理員認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)裝上防火墻，就可以“高枕無憂”、“萬事大吉 ”了。其實(shí)，這是一種片面的錯(cuò)誤認(rèn)識(shí)和十分令人擔(dān)心的危險(xiǎn)想法。因?yàn)榉阑饓Σ⒉皇侨f能的，它的技術(shù)不可能一勞永逸和真正達(dá)到“萬無一失”，它的“權(quán)力 ”是有限的，在計(jì)算機(jī)網(wǎng)絡(luò)上，它也有“管不著”、“管不了”的地方，或者說也有許多“難言之隱”。A防內(nèi)不防外?，F(xiàn)在在市面上比較流行的防火墻大都是邊界防火墻，它們?cè)诰W(wǎng)絡(luò)的邊界上進(jìn)行外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的劃分，并進(jìn)行一定程度的安全防范。而這些防火墻一般只對(duì)來自外部網(wǎng)絡(luò)進(jìn)行防范。如果入侵者繞過了防火墻或內(nèi)部攻擊者將能在內(nèi)部網(wǎng)絡(luò)暢行無阻，肆意攻擊。B不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看起來無害的數(shù)據(jù)通過郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。C不能防止非法通道的出現(xiàn)防火墻不能防止非法通道的出現(xiàn)，如果在內(nèi)部網(wǎng)絡(luò)有人使用貓或其他設(shè)備通過其他的方法接入互聯(lián)網(wǎng)，那么防火墻將不能防止此類問題的出現(xiàn)。防火墻本身就是一種網(wǎng)絡(luò)設(shè)備，當(dāng)超大流量的數(shù)據(jù)通過它的時(shí)候，它同樣有可能來不及處理各種數(shù)據(jù)而造成拒絕服務(wù)攻擊。而且安全策略越多，造成拒絕服務(wù)的可能性就越大。E防火墻自身漏洞防火墻同樣是一種運(yùn)行在硬件上的軟件產(chǎn)品（不管是硬件防火墻還是軟件防火墻），而軟件就一定不可避免的出現(xiàn)一些問題，也會(huì)帶來安全問題。世界上最出名的各種防火墻本身都出現(xiàn)過安全問題。（6）安全隱患對(duì)于計(jì)算數(shù)據(jù)而言存在眾多的隱患，如病毒的破壞，計(jì)算機(jī)存儲(chǔ)設(shè)備損壞造成的數(shù)據(jù)丟失，人為操作造成的誤刪除，外來及內(nèi)部人員的攻擊等；給企業(yè)數(shù)據(jù)信息安全造成了重大的威脅。第三章 網(wǎng)絡(luò)安全方案總體設(shè)計(jì)（1）安全方案設(shè)計(jì)原則 在對(duì)這個(gè)企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則： 綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則：對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。 一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（包括初步或詳細(xì)設(shè)計(jì)）及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容光煥發(fā)及措施，實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也小得多。 易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。 分步實(shí)施原則：由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開支。 多重保護(hù)原則：任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。 可評(píng)價(jià)性原則：如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國(guó)家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。 （2）安全服務(wù)、機(jī)制與技術(shù) 安全服務(wù)：安全服務(wù)主要有：控制服務(wù)、對(duì)象認(rèn)證服務(wù)、可靠性服務(wù)等； 安全機(jī)制：訪問控制機(jī)制、認(rèn)證機(jī)制等； 安全技術(shù)：防火墻技術(shù)、鑒別技術(shù)、審計(jì)監(jiān)控技術(shù)、病毒防治技術(shù)等；在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。安全應(yīng)用由一些安全服務(wù)來實(shí)現(xiàn)；而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來實(shí)現(xiàn)的。應(yīng)當(dāng)指出，同一安全機(jī)制有時(shí)也可以用于實(shí)現(xiàn)不同的安全服務(wù)。 （3）網(wǎng)絡(luò)安全體系結(jié)構(gòu) 通過對(duì)網(wǎng)絡(luò)的全面了解，按照安全策略的要求、風(fēng)險(xiǎn)分析的結(jié)果及整個(gè)網(wǎng)絡(luò)的安全目標(biāo)，整個(gè)網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個(gè)方面組成：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全、應(yīng)用安全和安全管理 物理安全 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。 它主要包括三個(gè)方面： 環(huán)境安全對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國(guó)家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、