【正文】 越來越大 ,網(wǎng)絡(luò) 的飛速發(fā)展以及企業(yè)對計算機(jī)的依賴性逐漸增強(qiáng)，隨之而來的網(wǎng)絡(luò)信息安全問題日益突出。據(jù)美國FBI 統(tǒng)計，美國每年因網(wǎng)絡(luò)信息安全問題所造成的經(jīng)濟(jì)損失高達(dá) 75 億美元，而全球平均每20 秒鐘就發(fā)生一起 網(wǎng)絡(luò) 計算機(jī)侵入事件。 由于利益的驅(qū)使，針對信息系統(tǒng)的安全威脅越來越多， 為了有效防范和化解風(fēng)險，保證**集團(tuán) 信息系統(tǒng)平穩(wěn)運(yùn)行和業(yè)務(wù)持續(xù)開展，須建立 **集團(tuán) 的信息安全保障體系， 抵御外來和內(nèi)在的信息安全威脅， 提升整體信息安全管理水平和抗風(fēng)險能力， 以增強(qiáng) **集團(tuán) 的信息安全風(fēng)險防范能力。 ? 通過系統(tǒng)的信息安全體系規(guī)劃和建設(shè)，加強(qiáng)內(nèi)部控制和內(nèi)部管理，降低運(yùn)營風(fēng)險，建立高效、統(tǒng)一、運(yùn)轉(zhuǎn)協(xié)調(diào)的管理體制。 . 弱點(diǎn) 資產(chǎn)包括有形資產(chǎn)和無形資產(chǎn)兩部分，相應(yīng)的弱點(diǎn)主要包括： 信息系統(tǒng)安全建設(shè)建議 方案 第 6 頁 共 53 頁 ? 通信基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備、主機(jī)、外圍設(shè)備、存儲設(shè)備、數(shù)據(jù)介質(zhì)等“硬件”的物理安全弱點(diǎn)。 ? 運(yùn)行的脆弱性：監(jiān)控系統(tǒng)的脆弱性，無入侵檢測設(shè)備，響應(yīng)和恢復(fù)機(jī)制的不完善。 被動攻擊產(chǎn)生的威脅 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的被動攻擊威脅 局域網(wǎng) /骨干網(wǎng)線路的竊聽；監(jiān)視沒被保護(hù)的通信線路；破譯弱保護(hù)的通信線路信息；信息流量分析；利用被動攻擊為主動攻擊創(chuàng)造條件以便對網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備進(jìn)行破壞，如截獲用戶的賬號或密碼以便對網(wǎng)絡(luò)設(shè)備進(jìn)行破壞；機(jī)房和處理信息終端的電磁泄露。 信息系統(tǒng)安全建設(shè)建議 方案 第 7 頁 共 53 頁 主動攻擊產(chǎn)生的威脅 對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的主動攻擊威脅 一是可用帶寬的損失攻擊，如網(wǎng)絡(luò)阻塞攻擊、擴(kuò)散攻擊等。三是網(wǎng)絡(luò)管理通信的中斷攻擊，它是通過攻擊網(wǎng)絡(luò)底層設(shè) 備的控制信號來干擾網(wǎng)絡(luò)傳輸?shù)挠脩粜畔?；引入病毒攻擊；引入惡意代碼攻擊。 來自內(nèi)部的安全威脅分析 1. 內(nèi)部網(wǎng)絡(luò)的失誤操作行為 信息系統(tǒng)安全建設(shè)建議 方案 第 8 頁 共 53 頁 由于人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足， 或?qū)?網(wǎng)絡(luò)信息安全 的漫不經(jīng)心或者誤操作可能會出現(xiàn)各種意想不到的 失誤，勢必對系統(tǒng)或者網(wǎng)絡(luò)的安全產(chǎn)生較大的影響。 網(wǎng)絡(luò)病毒威脅 在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計算機(jī)病毒的共性外，還具有一些新的特點(diǎn)，網(wǎng)絡(luò)病毒的這些新的特點(diǎn)都會對網(wǎng)絡(luò)與應(yīng)用造成極大的威脅。病毒要完成這些復(fù)雜的動作，就要對系統(tǒng)進(jìn)行比較復(fù)雜的設(shè)置，對系統(tǒng)的影響也比較大，僅有防病毒軟件很難徹底地從系統(tǒng)上將病毒清除掉。 ? 需要對終端用戶方便地進(jìn)行管理和審計，對用戶進(jìn)行準(zhǔn)入控制。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務(wù)攻擊、SYN Flood 攻擊、 IP 欺騙攻擊等等獲取系統(tǒng)權(quán)限，進(jìn)入系統(tǒng)內(nèi)部。因此系統(tǒng)內(nèi)需要建設(shè)統(tǒng)一的符合國家規(guī)定的安全檢測機(jī)制，實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動的入侵檢測和分析，對非法信息予以過濾，提高系統(tǒng)整體安全性。病毒的傳播可能會具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。木馬病毒的傳播使得病毒在發(fā)作的時候有可能自動聯(lián)絡(luò)病毒的創(chuàng)造者，或者采取 DoS（拒絕服務(wù)）的攻擊。同時，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個具有極強(qiáng)殺傷力的病毒程序。同時，其它的網(wǎng)絡(luò)連接方式如 ICQ、 IRC 也成為了傳播病毒的途徑。也可在某些通過地址轉(zhuǎn)換方式上網(wǎng)的局域網(wǎng)以私有 IP 地址通過安全 IP 通道接入企業(yè)內(nèi)部網(wǎng)。 . 網(wǎng)絡(luò)傳輸安全需求分析 中心與各級機(jī)構(gòu)之間以及移動用戶與信息 中心進(jìn)行業(yè)務(wù)操作過程中，通過租用電信運(yùn)營商線路或者通過 INTERNET 進(jìn)行數(shù)據(jù)業(yè)務(wù)的傳輸，在傳輸過程中，信息將面臨搭線竊聽、電磁信號分析都攻擊手段，通過這些攻擊手段，具有惡意行為的攻擊者可以竊取信息的內(nèi)容。雖然國家 有相關(guān)法律條例禁止這些不良信息，但僅僅依靠行政手段是無法達(dá)到徹底清除的目的。譬如，需要對 P2P 下載進(jìn)行速度限制，禁止網(wǎng)上炒股，等等。 . 安全審計需求 日志審計是信息安全的重要方面，它是實(shí)現(xiàn)安全事件的可追查性、不可否認(rèn)性的重要數(shù)據(jù)環(huán)節(jié)。 首先，隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，終端接入網(wǎng)絡(luò)的方式已經(jīng)不再局限于局域網(wǎng)接口，包括雙網(wǎng)卡， WiFi， CDMA/GPRS 上網(wǎng)卡， Modem 撥號，紅外，藍(lán)牙 ? ，這些接口已經(jīng)成為企業(yè)內(nèi)部網(wǎng)絡(luò)的另一道邊界。一方面，員工的終端可能在多個位置動態(tài)接入內(nèi)部網(wǎng)絡(luò)；另一方面，各種非公終端也可能接入內(nèi)網(wǎng)（包括員工個人 PC，以及合作伙伴，客戶的 PC）。 目前大多數(shù)的終端安全解決方案中，網(wǎng)關(guān)安全和終端安全是孤立 起來考慮的，不能做到有效的協(xié)同。緊密結(jié)合 **集團(tuán) 現(xiàn)有網(wǎng)絡(luò)和應(yīng)用情況，充分保證原有系統(tǒng)和結(jié)構(gòu)的可用性。 ? 安全目標(biāo)與效率、投入之間的 平衡原則 要綜合考慮安全目標(biāo)與效率、投入之間的均衡關(guān)系，確定合適的平衡點(diǎn)，不能為了追求安全而犧牲效率，或投入過大。 . 安全建設(shè)的思路和方法 建議首先采用安全域劃分方法將整個信息系統(tǒng)分成多個安全等級不同的相對獨(dú)立的子系統(tǒng)，既按照業(yè)務(wù)流程的不同層面劃分為不同的安全域針對每個安全域或安全子域來標(biāo)識其中的關(guān)鍵資產(chǎn)，分析所存在的安全隱患和面臨的安全風(fēng)險，然后給出相應(yīng)的保護(hù)措施。同時由于一臺 UTM 設(shè)備即可實(shí)現(xiàn) 較為 完整的邊界安全解決方案，將大大降低用戶采購成本和維護(hù)成本。 按數(shù)據(jù)分類分區(qū)域分等級保護(hù)，就是按數(shù)據(jù)分類進(jìn)行分級，按數(shù)據(jù)分布進(jìn)行區(qū)域劃分，根據(jù)區(qū)域中數(shù)據(jù)的分類確定該區(qū)域的安全風(fēng)險等級。 2. 中心辦公域 ：總部工作人員辦公用網(wǎng)絡(luò)。 6. 二級機(jī)構(gòu)生產(chǎn)域 ：二級 機(jī)構(gòu) 的生產(chǎn)網(wǎng)絡(luò)，每個具體的二級 機(jī) 構(gòu) 生產(chǎn)域形成一個獨(dú)立子安全域。 抗拒絕服務(wù)攻擊：根據(jù) 網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。 內(nèi)容過濾：對基于標(biāo)準(zhǔn)協(xié)議的內(nèi)容進(jìn)行過濾，防止色情、非法信息的下載與傳播。 防入侵：檢測來自外部的入侵行為并予以阻斷。 防入侵：檢測來自外部的入侵行為并予以阻斷。 防入侵：檢測來自外部的入侵行為并予以阻斷。通過控制文件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。 二級機(jī)構(gòu)生產(chǎn)域 合法接入控制：僅允許可信主機(jī)進(jìn)入 辦公域，同時僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 系統(tǒng)功能 天清漢馬 USG 一體化安全網(wǎng)關(guān) 采用 高性能 的 硬件 架構(gòu)和 一體化的軟件設(shè)計 ，集 防火墻、VPN、入侵防御（ IPS）、防病毒、外聯(lián)控制、抗拒絕服務(wù)攻擊（ AntiDoS） 、 內(nèi)容過濾、反垃圾郵件 、 NetFlow 等多種安全技術(shù)于一身， 同時 全面支持 QoS、高可用性（ HA） 、日志審計等功能 ， 為 網(wǎng)絡(luò)邊界提供 了全面實(shí)時的安全 防護(hù) 。 通過 部 署天清漢馬 USG 一體化安全網(wǎng)關(guān) 系統(tǒng)，可以 實(shí)現(xiàn) ： 全面的訪問控制手段 ? 基于出 /入接口、源 /目的 IP 地址、服務(wù)、時間的安全策略，支持 IP 地址過濾、 MAC地址過濾、 IP＋ MAC 綁定、用戶認(rèn)證、流量整形、連接數(shù)控制等 堅固的入侵防御（ IPS）體系 ? 業(yè)界最完善的攻擊特征庫 ，包括 18 大類，超過 2,000 項(xiàng)的入侵攻擊特征，并提供動態(tài)更新 ? 漏洞機(jī)理分析技術(shù) ，精確抵御黑客攻擊、蠕蟲、木馬、后門 ? 應(yīng)用還原重組技術(shù) ，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫 ? 網(wǎng)絡(luò)異常分析技術(shù) ，全面防止拒絕服務(wù)攻擊 業(yè)界領(lǐng)先的網(wǎng)絡(luò)防病毒技術(shù) ? 文件感染 病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫總計＞ 16 萬，并提供動態(tài)更新 信息系統(tǒng)安全建設(shè)建議 方案 第 19頁 共 53 頁 ? 支持 HTTP、 FTP、 IMAP、 POP SMTP 等協(xié)議的病毒查殺 ? 病毒類型根據(jù)危害程度劃分為：流行庫、高危庫、普通庫 實(shí)用的流量監(jiān)控系統(tǒng) NetFlow ? 歷史帶寬使用趨勢分析、帶寬應(yīng)用分布、帶寬使用實(shí)時統(tǒng)計、 IP 流量排名等 多種手段全面清除垃圾郵件 ? 支持黑名單、白名單 ? 支持防郵件炸彈功能，能夠設(shè)定郵件發(fā)送速率的門限值 ? 病毒掃描、附件類型和附件大小過濾、關(guān)鍵字過濾等 ? 支持貝葉斯過濾、可追查性檢查、發(fā)件人認(rèn)證等反垃圾郵件功能 豐富的 VPN特性使組網(wǎng)變得簡單 ? 豐富的手段：支持 IPSec VPN、 SSL VPN、 L2TP 和 GRE ? 靈活的部署： IPSec 全面支持 NAT 穿越，支持 HubSpoken、 FullMesh、 DVPN 等部署； SSL VPN 支持 Web、 Agent、 Tunnel 應(yīng)用方式，支持端到端部署 ? IPSec VPN 支持 DES、 3DES、 AES12 AES19 AES25國密 SCB2 等加密算法，支持 MD SHA 等認(rèn)證算法 精確的抗 DoS攻擊能力 ? 支持對 Jolt Landbase、 ping of death、 syn flag、 Tear drop、 winnuke、 smurf、TCP flag、 ARP 攻擊、 TCP 掃描、 UDP 掃描、 ping 掃描等各種 DOS 攻擊和掃描事件的檢測和防御 ? 采用特征控制和異常控制相結(jié)合的手段，有效保障抗拒絕服務(wù)攻擊的準(zhǔn)確性和全面性 完善的上網(wǎng)行為管理 ? P2P 控制 ：對 eMule、 BitTorrent、 Maze、 Kazaa 等進(jìn)行阻斷、限速； ? IM 控制 ：基于黑白名單的 IM 登錄控制、文件傳輸阻止、查毒；支持主流 IM 軟件如 、 MSN、雅虎通、 Gtalk、 Skype ? 流媒體控制： 對流媒體應(yīng)用進(jìn)行阻斷或限速，支持 Kamun ppfilm 、 PPLive、PPStream、 直播、 TVAnts、沸點(diǎn)網(wǎng)絡(luò)電視、貓撲播霸等 ? 網(wǎng)絡(luò)游戲控制： 對常見網(wǎng)絡(luò)游戲如魔獸世界、征途、 游戲大廳、聯(lián)眾游戲大廳等的阻斷 ? 股票軟件控制： 對常用股票軟件如同花順、大參考、大智慧等的阻斷 信息系統(tǒng)安全建設(shè)建議 方案 第 20頁 共 53 頁 獨(dú)有的內(nèi)網(wǎng)安全管理特性 ? 終端安全部署： 內(nèi)置 我 的天珣內(nèi)網(wǎng)安全服務(wù)器，可以為客戶端部署天珣終端安全軟件； ? 終端準(zhǔn)入控制： 由天珣終端軟件進(jìn)行各種安全性檢查， USG 網(wǎng)關(guān)根據(jù)檢查結(jié)果進(jìn)行準(zhǔn)入控制，杜絕不 安全的終端接入，保障內(nèi)網(wǎng)合規(guī)； ? 終端安全管理： 通過 USG 向終端下發(fā)安全策略，能夠?qū)尤刖W(wǎng)絡(luò)的所有終端進(jìn)行進(jìn)程管理、服務(wù)管理、網(wǎng)絡(luò)應(yīng)用管理和補(bǔ)丁管理。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡(luò)；另外，據(jù)統(tǒng)計有 70％ 以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防 火墻的盲區(qū)。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時，入侵檢測系統(tǒng)能夠信息系統(tǒng)安全建設(shè)建議 方案 第 21頁 共 53 頁 根據(jù)系統(tǒng)安全策略作出反應(yīng)。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，入侵檢測在此處將承擔(dān)實(shí)時監(jiān)測大量出入整個網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。 3. 監(jiān)視 **集團(tuán) 網(wǎng)絡(luò)內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作。 信息系統(tǒng)安全建設(shè)建議 方案 第 22頁 共 53 頁 系統(tǒng)功能 通過使用網(wǎng)絡(luò)入侵檢測系統(tǒng)，我們可以做到： ? 全面的入侵檢測 入侵檢測能力取決于兩個方面的技術(shù)：攻擊特征分析技術(shù)和入侵檢測支撐技術(shù)。同時由于單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補(bǔ)，可以提高系統(tǒng)對安全事件響應(yīng)的準(zhǔn)確性和全面性，使防護(hù)體系由靜態(tài)到動態(tài)，由平面到立體，不僅增強(qiáng)了入侵檢測系統(tǒng)的響應(yīng)能力，降低了入侵檢測的誤報率，充分發(fā)揮了入侵檢測的作用，同時提升了防火墻的機(jī)動性和實(shí)時反應(yīng)能力。防火墻作為網(wǎng)絡(luò)系統(tǒng)的專用的安全防護(hù)工具，其防護(hù)能力與入侵檢測產(chǎn)品的響應(yīng)能力可以相互補(bǔ)充。 同時，通過獲得漏洞掃描系統(tǒng)的掃描結(jié)果，可動態(tài)修改入侵檢測系統(tǒng)的檢測策略，使入侵檢測系統(tǒng)的事件報警更加準(zhǔn)確，提高入侵檢測系統(tǒng)的運(yùn)行效率。具有這幾項(xiàng)技術(shù)的支撐是具有龐大的知識庫，能夠進(jìn)行入侵管理。同時，采用“多目標(biāo)跟蹤鎖定”功能，對用戶所設(shè)定的異常報警內(nèi)容進(jìn)行多方位的定點(diǎn)跟蹤和 顯示，“凸出”用戶所關(guān)心的信息。入侵檢測系統(tǒng)與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等安全產(chǎn)品均可實(shí)現(xiàn)聯(lián)動，這些聯(lián)動本身就是應(yīng)急響應(yīng)的一個組成部分，使得以前相互獨(dú)立、需要 在不同的時間段內(nèi)完成的入侵檢測和應(yīng)急響