【正文】 .............................................................. 15 三． PGP 安裝平臺要求 ............................................................................................... 16 第五章 系統(tǒng)與網(wǎng)絡風險評估及漏洞掃描解決方案 .......................................................... 18 安全掃描工具的分類 ............................................................................................. 18 網(wǎng)絡安全掃描的主要性能 ...................................................................................... 18 網(wǎng)絡安全掃描系統(tǒng)具體部署方案 ............................................................................ 19 4． 4 輔助措施――誘捕網(wǎng)絡的建設 ............................................................................ 22 第六章 整體防病毒部署與管理解決方案 ........................................................................ 24 一、防病毒軟件的部署 ............................................................................................... 24 二、防病毒系統(tǒng)的管理 ............................................................................................... 27 1．病毒特征代碼和引擎的更新和升級 ..................................................................... 28 2．配置和集中管理 ................................................................................................. 29 3. 任務調(diào)度和執(zhí)行 ................................................................................................ 29 第七章 網(wǎng)絡性能監(jiān)控及故 障排除 ................................................................................. 31 配置要求： ................................................................................................................. 32 第八章 相關(guān)產(chǎn)品介紹 .................................................................................................... 33 一、 NAI GAUNTLET 防火墻 ......................................................................................... 34 1．自適應代理技術(shù) ................................................................................................. 34 2． Gauntlet 防火墻的特點 .................................................................................... 35 泉州電信公司網(wǎng)絡安全解決方案 3 二、 PGP 加密與公用密鑰設備管理套件 ...................................................................... 35 三． CYBERCOP SCANNER 安全漏洞掃描器 .................................................................... 39 四、 CYBERCOP MONITOR 網(wǎng)絡入侵監(jiān)測工具 .............................................................. 40 五、 MCAFEE ACTIVE VIRUS DEFENSE 防病毒套件 .......................................................... 40 系統(tǒng)升級安全保障 ................................................................................................... 41 動態(tài)的防病毒系統(tǒng) ................................................................................................... 41 多平臺支持 ............................................................................................................. 41 防病毒軟件的部署 ................................................................................................... 41 六、管理控制臺 EPO(EPOLICY ORCHESTRATOR)............................................................. 42 七、分布式 SNIFFER 系統(tǒng) ............................................................................................ 43 分布式 SNIFFER 系統(tǒng)的用途： ..................................................................................... 44 便攜式 SNIFFER（ PORTABLE SNIFFER） ......................................................................... 45 使用 SNIFFER 網(wǎng)絡分析儀的好處 .................................................................................. 45 NAI 公司簡介 ............................................................................................................... 33 泉州電信公司網(wǎng)絡安全解決方案 4 第一章 網(wǎng)絡信息安全體系概述 一．網(wǎng)絡安全的總體目標 保密性：保證非授權(quán)操作不能獲取保護信息或計算機資源。 完整性：保證非授權(quán)操作不能修改數(shù)據(jù)。而且感染方式也由主要從軟盤介質(zhì)感染轉(zhuǎn)到了從網(wǎng)絡服務器或 Inter 感染。 5）管理上引起的安全性 再好的安全產(chǎn)品，再好的安全策略，若無嚴格的管理制度，則一切形同虛設。 (2) 防止網(wǎng)絡病毒的侵襲 泉州 電信公司內(nèi)部用戶之間形成了一個不小的用戶群，它們也可能有意無意引進了病毒或有被壞性的程序，因為無論是介質(zhì)傳播還是網(wǎng)絡傳播等都有可能引入病毒。加之泉州電信公司網(wǎng)絡連接點多面廣，客觀上為黑客的入侵提供了較多的切入點。 泉州電信公司網(wǎng)絡安全解決方案 6 第二章 網(wǎng)絡安全系統(tǒng)的總體規(guī)劃 一．安全體系結(jié)構(gòu) 網(wǎng)絡安全體系結(jié)構(gòu)主要考慮安全對象和安全機制，安全對象主要有網(wǎng)絡安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全、設備安全、信息介質(zhì)安全和計算機病毒防治等，其安全體系結(jié)構(gòu)如圖所示： 二．設計原則 在進行 計算機網(wǎng)絡安全設計、規(guī)劃時，應遵循以下原則： （ 1） 需求、風險、代價平衡分析的原則 對任一網(wǎng)絡來說，絕對安全難以達到，也不一定必要。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果 。實際上，在網(wǎng)絡建設之初就考慮網(wǎng)絡安全對策，比等網(wǎng)絡建設好后再考慮，不但容易，而且花費也少得多。 （ 6）多重保護原則 任何安全保護措施都不是絕對安全的，都可能被攻破。通過 漏洞掃描能夠發(fā)現(xiàn)網(wǎng)絡系統(tǒng)一些潛在的安全隱患，及時采取相應的措施；通過病毒防護體系可以保護系統(tǒng)免受病毒的攻擊；通過數(shù)據(jù)加密可以保證網(wǎng)絡中傳輸數(shù)據(jù)不被竊取、篡改和破壞；通過設置防火墻系統(tǒng)可以限制對關(guān)鍵資源的存取方式；通過網(wǎng)絡監(jiān)測可以發(fā)現(xiàn)、分析并阻塞黑客行為。 ? 防止來自網(wǎng)絡內(nèi)部的其它破壞或誤操作造成的安全隱患。網(wǎng)絡漏洞掃描產(chǎn)品可以幫助網(wǎng)絡管理員去評價操作系統(tǒng)的身份識別及存取控制等策略配置的安全性，以提高操作系統(tǒng)的安全運行級別；檢測防火墻的策略規(guī)則配置的合理性及防火墻系統(tǒng)本身的安全性，以進一步發(fā)揮防火墻的隔離作用。所謂多層病毒防衛(wèi)體系，是指在每個臺式機上要安裝臺式機的反病毒軟 件，在服務器上要安裝基于服務器的反病毒軟件，在網(wǎng)關(guān)上要安裝基于網(wǎng)關(guān)的反病毒軟件，因為防止病毒的攻擊是每個員工的責任，人人都要做到自己使用的臺式機上不受病毒的感染，從而保證整個企業(yè)網(wǎng)不受病毒的感染。 （ 2）服務器的防病毒系統(tǒng) 如果服務器被感染，其感染文件將成為病毒感染的源頭，它們會迅速從桌面感染發(fā)展到整個網(wǎng)絡的病毒爆發(fā)。 其具體的功能有： Netshield： 全球領(lǐng)先的服務器防病毒解決方案。透過管理控制臺可直接在任何服務器 或工作站上進行遠程管理。 C． 預防問題 通過在廣域網(wǎng)上對網(wǎng)絡設備和網(wǎng)絡流量的實施監(jiān)控和分析，預防問題的發(fā)生 ，在系統(tǒng)出現(xiàn)性能抖動時，就能及時發(fā)現(xiàn)，并建議系統(tǒng)管理員采用及時的處理。 4．輔助手段， NAI Cybercop Sting 的部署 在用戶服務子網(wǎng)內(nèi)的一臺單獨 NT server 上加裝，可以虛擬一個局域網(wǎng)絡，當中可以虛擬出 NT server， Solaris， CISCO 路 由器，當黑客無論來自內(nèi)部或外部使用掃描器探測網(wǎng)絡時，就會發(fā)現(xiàn)這些設備，就會攻擊這些系統(tǒng)，而這些設備是虛擬的，因而不會被攻破，黑客的行為就會被記錄在案，作為法律的依據(jù)。 ? 采用自適應代理技術(shù)，可提供包過濾防火墻的高速度。 ? 信息隱藏，應用網(wǎng)關(guān)為外部連接提供代理。 ? 節(jié)省費用，第三方的認證設備 (軟件或硬件 )只需安裝在應用網(wǎng)關(guān)上。防火墻能夠記錄所有的網(wǎng)絡連接和連接企圖，日志能夠顯示出源地址、目的地址、時間和所用的協(xié)議，而且防火墻能夠預先設定一個緊急情況的觸發(fā)條件，條件發(fā)生時，防火墻會發(fā)出一個警報給安全維護人員或網(wǎng)絡管理系統(tǒng)。不能阻斷外部互聯(lián)網(wǎng)用戶的泉州電信公司網(wǎng)絡安全解決方案 11 惡意訪問和攻擊，同時暴露泉州電信公司內(nèi)部的網(wǎng)絡結(jié)構(gòu)，不能阻斷內(nèi)部網(wǎng)絡用戶中有黑客傾向的員工對內(nèi)部網(wǎng)絡內(nèi)的關(guān)鍵服務器 97server 與資費主機系統(tǒng)與資費主機系統(tǒng)的惡意訪問或越權(quán)訪問以及對該關(guān)鍵服務器的攻 擊；公司只有有限的公網(wǎng) IP 地址，不能使公司員工同時上網(wǎng)，不能隱藏內(nèi)部網(wǎng)絡結(jié)構(gòu)，不能拒絕非授權(quán)的訪問，如果有單獨的對外公布的機器，同樣不能得到有效的保護，不能對外僅公布 HTTP、 SMTP、 POP DNS 等服務，同時不能對FTP 等其它額外的服務做出禁止，不能對 HTTP 服務本身做出進一步限制。 我們下面看一下泉州電信安裝防火墻之前的拓撲圖。 因泉州電信整個網(wǎng)絡架構(gòu)在高速網(wǎng)絡上，普通防火墻不能提供接口，我們建議在高速網(wǎng)絡處使用 NAI 公司針對千兆網(wǎng)絡而設計的千兆級防火墻 PGP 1000 eppliance ： – 4 440 MHz Sun Sparc processors – 4 GB RAM – 1 VPN Cryptographic accelerator – 2 Gigabit Ether Adapters – 1 4 port 10/100 Ether Adapter – 1 built in Ether port – 3 N+1 Redundant Power Supplies 四、 GauntLet 防火墻的部署