【正文】 .............................................................. 15 三． PGP 安裝平臺要求 ............................................................................................... 16 第五章 系統(tǒng)與網絡風險評估及漏洞掃描解決方案 .......................................................... 18 安全掃描工具的分類 ............................................................................................. 18 網絡安全掃描的主要性能 ...................................................................................... 18 網絡安全掃描系統(tǒng)具體部署方案 ............................................................................ 19 4． 4 輔助措施――誘捕網絡的建設 ............................................................................ 22 第六章 整體防病毒部署與管理解決方案 ........................................................................ 24 一、防病毒軟件的部署 ............................................................................................... 24 二、防病毒系統(tǒng)的管理 ............................................................................................... 27 1．病毒特征代碼和引擎的更新和升級 ..................................................................... 28 2．配置和集中管理 ................................................................................................. 29 3. 任務調度和執(zhí)行 ................................................................................................ 29 第七章 網絡性能監(jiān)控及故 障排除 ................................................................................. 31 配置要求： ................................................................................................................. 32 第八章 相關產品介紹 .................................................................................................... 33 一、 NAI GAUNTLET 防火墻 ......................................................................................... 34 1．自適應代理技術 ................................................................................................. 34 2． Gauntlet 防火墻的特點 .................................................................................... 35 泉州電信公司網絡安全解決方案 3 二、 PGP 加密與公用密鑰設備管理套件 ...................................................................... 35 三． CYBERCOP SCANNER 安全漏洞掃描器 .................................................................... 39 四、 CYBERCOP MONITOR 網絡入侵監(jiān)測工具 .............................................................. 40 五、 MCAFEE ACTIVE VIRUS DEFENSE 防病毒套件 .......................................................... 40 系統(tǒng)升級安全保障 ................................................................................................... 41 動態(tài)的防病毒系統(tǒng) ................................................................................................... 41 多平臺支持 ............................................................................................................. 41 防病毒軟件的部署 ................................................................................................... 41 六、管理控制臺 EPO(EPOLICY ORCHESTRATOR)............................................................. 42 七、分布式 SNIFFER 系統(tǒng) ............................................................................................ 43 分布式 SNIFFER 系統(tǒng)的用途： ..................................................................................... 44 便攜式 SNIFFER（ PORTABLE SNIFFER） ......................................................................... 45 使用 SNIFFER 網絡分析儀的好處 .................................................................................. 45 NAI 公司簡介 ............................................................................................................... 33 泉州電信公司網絡安全解決方案 4 第一章 網絡信息安全體系概述 一．網絡安全的總體目標 保密性：保證非授權操作不能獲取保護信息或計算機資源。 完整性：保證非授權操作不能修改數據。而且感染方式也由主要從軟盤介質感染轉到了從網絡服務器或 Inter 感染。 5）管理上引起的安全性 再好的安全產品，再好的安全策略，若無嚴格的管理制度，則一切形同虛設。 (2) 防止網絡病毒的侵襲 泉州 電信公司內部用戶之間形成了一個不小的用戶群，它們也可能有意無意引進了病毒或有被壞性的程序，因為無論是介質傳播還是網絡傳播等都有可能引入病毒。加之泉州電信公司網絡連接點多面廣，客觀上為黑客的入侵提供了較多的切入點。 泉州電信公司網絡安全解決方案 6 第二章 網絡安全系統(tǒng)的總體規(guī)劃 一．安全體系結構 網絡安全體系結構主要考慮安全對象和安全機制，安全對象主要有網絡安全、系統(tǒng)安全、數據庫安全、信息安全、設備安全、信息介質安全和計算機病毒防治等，其安全體系結構如圖所示： 二．設計原則 在進行 計算機網絡安全設計、規(guī)劃時，應遵循以下原則： （ 1） 需求、風險、代價平衡分析的原則 對任一網絡來說，絕對安全難以達到，也不一定必要。一個較好的安全措施往往是多種方法適當綜合的應用結果 。實際上，在網絡建設之初就考慮網絡安全對策，比等網絡建設好后再考慮，不但容易，而且花費也少得多。 （ 6）多重保護原則 任何安全保護措施都不是絕對安全的，都可能被攻破。通過 漏洞掃描能夠發(fā)現(xiàn)網絡系統(tǒng)一些潛在的安全隱患，及時采取相應的措施；通過病毒防護體系可以保護系統(tǒng)免受病毒的攻擊；通過數據加密可以保證網絡中傳輸數據不被竊取、篡改和破壞；通過設置防火墻系統(tǒng)可以限制對關鍵資源的存取方式；通過網絡監(jiān)測可以發(fā)現(xiàn)、分析并阻塞黑客行為。 ? 防止來自網絡內部的其它破壞或誤操作造成的安全隱患。網絡漏洞掃描產品可以幫助網絡管理員去評價操作系統(tǒng)的身份識別及存取控制等策略配置的安全性，以提高操作系統(tǒng)的安全運行級別；檢測防火墻的策略規(guī)則配置的合理性及防火墻系統(tǒng)本身的安全性，以進一步發(fā)揮防火墻的隔離作用。所謂多層病毒防衛(wèi)體系，是指在每個臺式機上要安裝臺式機的反病毒軟 件，在服務器上要安裝基于服務器的反病毒軟件，在網關上要安裝基于網關的反病毒軟件，因為防止病毒的攻擊是每個員工的責任，人人都要做到自己使用的臺式機上不受病毒的感染，從而保證整個企業(yè)網不受病毒的感染。 （ 2）服務器的防病毒系統(tǒng) 如果服務器被感染，其感染文件將成為病毒感染的源頭，它們會迅速從桌面感染發(fā)展到整個網絡的病毒爆發(fā)。 其具體的功能有： Netshield： 全球領先的服務器防病毒解決方案。透過管理控制臺可直接在任何服務器 或工作站上進行遠程管理。 C． 預防問題 通過在廣域網上對網絡設備和網絡流量的實施監(jiān)控和分析，預防問題的發(fā)生 ，在系統(tǒng)出現(xiàn)性能抖動時，就能及時發(fā)現(xiàn)，并建議系統(tǒng)管理員采用及時的處理。 4．輔助手段， NAI Cybercop Sting 的部署 在用戶服務子網內的一臺單獨 NT server 上加裝，可以虛擬一個局域網絡，當中可以虛擬出 NT server， Solaris， CISCO 路 由器，當黑客無論來自內部或外部使用掃描器探測網絡時，就會發(fā)現(xiàn)這些設備，就會攻擊這些系統(tǒng)，而這些設備是虛擬的，因而不會被攻破，黑客的行為就會被記錄在案，作為法律的依據。 ? 采用自適應代理技術，可提供包過濾防火墻的高速度。 ? 信息隱藏，應用網關為外部連接提供代理。 ? 節(jié)省費用，第三方的認證設備 (軟件或硬件 )只需安裝在應用網關上。防火墻能夠記錄所有的網絡連接和連接企圖，日志能夠顯示出源地址、目的地址、時間和所用的協(xié)議，而且防火墻能夠預先設定一個緊急情況的觸發(fā)條件，條件發(fā)生時，防火墻會發(fā)出一個警報給安全維護人員或網絡管理系統(tǒng)。不能阻斷外部互聯(lián)網用戶的泉州電信公司網絡安全解決方案 11 惡意訪問和攻擊，同時暴露泉州電信公司內部的網絡結構，不能阻斷內部網絡用戶中有黑客傾向的員工對內部網絡內的關鍵服務器 97server 與資費主機系統(tǒng)與資費主機系統(tǒng)的惡意訪問或越權訪問以及對該關鍵服務器的攻 擊；公司只有有限的公網 IP 地址，不能使公司員工同時上網，不能隱藏內部網絡結構，不能拒絕非授權的訪問，如果有單獨的對外公布的機器，同樣不能得到有效的保護，不能對外僅公布 HTTP、 SMTP、 POP DNS 等服務，同時不能對FTP 等其它額外的服務做出禁止，不能對 HTTP 服務本身做出進一步限制。 我們下面看一下泉州電信安裝防火墻之前的拓撲圖。 因泉州電信整個網絡架構在高速網絡上，普通防火墻不能提供接口，我們建議在高速網絡處使用 NAI 公司針對千兆網絡而設計的千兆級防火墻 PGP 1000 eppliance ： – 4 440 MHz Sun Sparc processors – 4 GB RAM – 1 VPN Cryptographic accelerator – 2 Gigabit Ether Adapters – 1 4 port 10/100 Ether Adapter – 1 built in Ether port – 3 N+1 Redundant Power Supplies 四、 GauntLet 防火墻的部署