【正文】 有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。因此系統(tǒng)內(nèi)需要建設統(tǒng)一的符合國家規(guī)定的安全檢測機制，實現(xiàn)對網(wǎng)絡系統(tǒng)進行自動的入侵檢測和分析，對非法信息予以過濾，提高系統(tǒng)整體安全性。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務攻擊、SYN Flood攻擊、IP欺騙攻擊等等獲取系統(tǒng)權(quán)限，進入系統(tǒng)內(nèi)部。 需要對終端用戶方便地進行管理和審計，對用戶進行準入控制。 網(wǎng)絡病毒，木馬利用網(wǎng)絡大肆傳播；216。 網(wǎng)段之間邊界不夠清晰，控制力度弱，病毒、攻擊等安全事件容易擴散；216。病毒要完成這些復雜的動作，就要對系統(tǒng)進行比較復雜的設置，對系統(tǒng)的影響也比較大，僅有防病毒軟件很難徹底地從系統(tǒng)上將病毒清除掉。 網(wǎng)絡病毒威脅在網(wǎng)絡環(huán)境下，網(wǎng)絡病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計算機病毒的共性外，還具有一些新的特點，網(wǎng)絡病毒的這些新的特點都會對網(wǎng)絡與應用造成極大的威脅。 來自內(nèi)部的安全威脅分析1. 內(nèi)部網(wǎng)絡的失誤操作行為由于人員的技術(shù)水平的局限性以及經(jīng)驗的不足，或?qū)W(wǎng)絡信息安全的漫不經(jīng)心或者誤操作可能會出現(xiàn)各種意想不到的失誤，勢必對系統(tǒng)或者網(wǎng)絡的安全產(chǎn)生較大的影響。三是網(wǎng)絡管理通信的中斷攻擊，它是通過攻擊網(wǎng)絡底層設備的控制信號來干擾網(wǎng)絡傳輸?shù)挠脩粜畔?；引入病毒攻擊；引入惡意代碼攻擊。 主動攻擊產(chǎn)生的威脅 對網(wǎng)絡和基礎設施的主動攻擊威脅一是可用帶寬的損失攻擊，如網(wǎng)絡阻塞攻擊、擴散攻擊等。 被動攻擊產(chǎn)生的威脅 網(wǎng)絡和基礎設施的被動攻擊威脅局域網(wǎng)/骨干網(wǎng)線路的竊聽；監(jiān)視沒被保護的通信線路；破譯弱保護的通信線路信息；信息流量分析；利用被動攻擊為主動攻擊創(chuàng)造條件以便對網(wǎng)絡基礎設施設備進行破壞，如截獲用戶的賬號或密碼以便對網(wǎng)絡設備進行破壞；機房和處理信息終端的電磁泄露。l 運行的脆弱性：監(jiān)控系統(tǒng)的脆弱性，無入侵檢測設備，響應和恢復機制的不完善。. 弱點資產(chǎn)包括有形資產(chǎn)和無形資產(chǎn)兩部分，相應的弱點主要包括：l 通信基礎設施、網(wǎng)絡設備、主機、外圍設備、存儲設備、數(shù)據(jù)介質(zhì)等“硬件”的物理安全弱點。l 通過系統(tǒng)的信息安全體系規(guī)劃和建設，加強內(nèi)部控制和內(nèi)部管理，降低運營風險，建立高效、統(tǒng)一、運轉(zhuǎn)協(xié)調(diào)的管理體制。由于利益的驅(qū)使，針對信息系統(tǒng)的安全威脅越來越多，為了有效防范和化解風險，保證**集團信息系統(tǒng)平穩(wěn)運行和業(yè)務持續(xù)開展，須建立**集團的信息安全保障體系，抵御外來和內(nèi)在的信息安全威脅，提升整體信息安全管理水平和抗風險能力，以增強**集團的信息安全風險防范能力。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡信息安全問題所造成的經(jīng)濟損失高達75億美元，而全球平均每20秒鐘就發(fā)生一起網(wǎng)絡計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞給企業(yè)造成的損失令人觸目驚心。根據(jù)**集團網(wǎng)絡信息系統(tǒng)的安全現(xiàn)狀和基本安全構(gòu)想，設計了以下網(wǎng)絡信息安全建議方案，以此來保障**集團網(wǎng)絡信息系統(tǒng)的有效運維和信息資源的安全性、可用性和完整性（CIA屬性）。 網(wǎng)絡現(xiàn)狀. 網(wǎng)絡現(xiàn)狀**集團已經(jīng)配置了當務之急的網(wǎng)絡系統(tǒng)設備和基本的技術(shù)防范設備，如路由器、交換機、防病毒軟件等，如并制定了較為詳細具體的管理制度，對管理人員也作了細致的分工；系統(tǒng)與外部網(wǎng)絡已經(jīng)實現(xiàn)了邏輯隔離；系統(tǒng)內(nèi)部也劃分了基本的安全域；系統(tǒng)安全策略已基本形成并趨于健全。主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；l 主機、可管理的網(wǎng)絡設備等包含可設置的“軟件”的資產(chǎn)的安全弱點（這些弱點的原因可能是軟件缺陷，也可能是配置不當或者人員使用不當）；l 保存在數(shù)據(jù)介質(zhì)中的業(yè)務數(shù)據(jù)、數(shù)字化的業(yè)務相關(guān)信息與知識的安全弱點。. 威脅威脅就是將會對資產(chǎn)造成不利影響的潛在的事件或行為，包括自然的、故意的以及偶然的情況。 區(qū)域邊界/外部連接的被動攻擊威脅截取末受保護的網(wǎng)絡信息；流量分析攻擊；遠程接入連接。二是網(wǎng)絡管理通訊混亂使網(wǎng)絡基礎設施失去控制的攻擊。 對信息系統(tǒng)及數(shù)據(jù)主動攻擊威脅試圖阻斷或攻破保護機制(內(nèi)網(wǎng)或外網(wǎng))；偷竊或篡改信息；利用社會工程攻擊欺騙合法用戶(如匿名詢問合法用戶賬號)；偽裝成合法用戶和服務器進行攻擊；IP地址欺騙攻擊；拒絕服務攻擊；利用協(xié)議和基礎設施的安全漏洞進行攻擊；利用遠程接入用戶對內(nèi)網(wǎng)進行攻擊；建立非授權(quán)的網(wǎng)絡連接；監(jiān)測遠程用戶鏈路、修改傳輸數(shù)據(jù)；解讀未加密或弱加密的傳輸信息；惡意代碼和病毒攻擊。鑒于現(xiàn)在很多網(wǎng)絡病毒通過郵件方式進行傳播，如果內(nèi)部辦公人員不小心打開某個帶有病毒或“特洛伊木馬”程序的郵件附件，而有部分員工設置的機器密碼不符合密碼設置的安全規(guī)定，或者未及時為主機和PC機打上patch及hotfix，那么**集團網(wǎng)絡系統(tǒng)的穩(wěn)定就受到了極大的威脅；2. 源自內(nèi)部網(wǎng)絡的惡意攻擊與破壞據(jù)統(tǒng)計，有70%的網(wǎng)絡攻擊來自于網(wǎng)絡的內(nèi)部。1. 傳播的形式復雜多樣計算機病毒在網(wǎng)絡上一般是通過“工作站服務器工作站”的途徑進行傳播的，但傳播的形式復雜多樣，通過網(wǎng)絡共享、服務漏洞、電子郵件等多種方式進行傳播。4. 破壞性大網(wǎng)絡上病毒將直接影響網(wǎng)絡的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡崩潰， 破壞服務器信息，造成巨大的直接和間接的經(jīng)濟損失。 多數(shù)業(yè)務網(wǎng)段間僅采用VLAN隔離，存在較大風險；216。 存在IM/P2P、網(wǎng)絡游戲等濫用行為，影響工作效率和組織生產(chǎn)力；216。 安全需求分析根據(jù)**集團信息系統(tǒng)的現(xiàn)狀以及風險分析，我們認為**集團信息系統(tǒng)應著重解決如下安全需求：. 邊界訪問控制需求分析 **集團信息系統(tǒng)的邊界之內(nèi)包含多個局域網(wǎng)以及計算資源組件。所以需要對邊界部署訪問控制系統(tǒng)，有效地監(jiān)控內(nèi)部網(wǎng)和公共網(wǎng)之間的活動，并對數(shù)據(jù)進行過濾與控制，保證內(nèi)部網(wǎng)絡的安全。. 防病毒需求分析防病毒必須立足于系統(tǒng)全網(wǎng)的角度，除了在終端部署放病毒產(chǎn)品控制病毒對終端的破壞，更應該在網(wǎng)絡中部署安全產(chǎn)品，控制病毒的傳播。 蠕蟲病毒更加泛濫其表現(xiàn)形式是郵件病毒會越來越多，這類病毒是由受到感染的計算機自動向用戶的郵件列表內(nèi)的所有人員發(fā)送帶毒文件，往往在郵件當中附帶一些具有欺騙性的話語，由于是熟人發(fā)送的郵件，接受者往往沒有戒心。一方面可能會導致本機機密資料的泄漏，另一方面會導致一些網(wǎng)絡服務的中止。用戶通過網(wǎng)絡甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。 病毒的實時檢測更困難眾所周知，對待病毒應以預防為主，如果發(fā)生了病毒感染，往往就已經(jīng)造成了不可挽回的損失，因此對網(wǎng)上傳輸?shù)奈募M行實時病毒檢測成了亟待解決的重要問題。這些數(shù)據(jù)傳輸中涉及到大量的身份認證，確保機密性和不可抵賴性。對于**集團業(yè)務、辦公信息等敏感內(nèi)容，將帶來較大的危害性。相比而言，技術(shù)手段則更加有效，需要安裝內(nèi)容過濾產(chǎn)品防止非法信息的傳播。. 反垃圾郵件的需求郵件應用是互聯(lián)網(wǎng)上最基本的網(wǎng)絡應用，但由于互聯(lián)網(wǎng)的開放性，垃圾郵件的問題也同樣突出，并日漸成為用戶的夢魘。對于**集團信息系統(tǒng)由于數(shù)據(jù)來源多、數(shù)據(jù)量大、數(shù)據(jù)類型復雜，將面臨大量的攻擊事件。不能管理內(nèi)部PC通過這些接口上網(wǎng)，就類似在防火墻的城堡下，存在很多沒有安全警衛(wèi)的后門、小道，內(nèi)部內(nèi)部網(wǎng)絡的安全性無法保障。隨著用戶PC的不斷接入，內(nèi)部網(wǎng)絡的邊界在不斷擴充。但隨著終端的邊界化，只有站在網(wǎng)關(guān)的視點來看待終端安全，才能確保內(nèi)網(wǎng)的真正安全。緊密結(jié)合**集團現(xiàn)有網(wǎng)絡和應用情況，充分保證原有系統(tǒng)和結(jié)構(gòu)的可用性。216。216。216。根據(jù)對市場已有的安全技術(shù)分析，功能全面、維護簡單且性價比較高的UTM類產(chǎn)品是比較好的選擇。而這些系統(tǒng)的業(yè)務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。這是實現(xiàn)大規(guī)模復雜信息的系統(tǒng)安全等級保護的有效方法。4. 中心服務域：所有的業(yè)務生產(chǎn)系統(tǒng)的服務器都放置在這個區(qū)域。防入侵：檢測來自外部的入侵行為并予以阻斷。中心辦公域：合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業(yè)務需求的主機訪問外部網(wǎng)絡。防泄密：監(jiān)控接入域客戶的非業(yè)務流量，特別是進行文件和信息交換的協(xié)議，比如：電子郵件、FTP、WEB訪問等。防垃圾郵件：防止郵件炸彈攻擊，對垃圾郵件進行過濾，提升工作效率。安全審計：對所有與業(yè)務相關(guān)的通訊進行紀錄，保證可進行事后分析和可追查性檢查?？咕芙^服務攻擊：根據(jù)網(wǎng)絡異常行為判斷出拒絕服務攻擊并予以阻斷。抗拒絕服務攻擊：根據(jù)網(wǎng)絡異常行為判斷出拒絕服務攻擊并予以阻斷。上網(wǎng)行為管理：對IM應用進行管理和控制，對P2P/網(wǎng)絡視頻等行為進行阻斷或者限流，確保帶寬的有效利用。病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。天清漢馬USG一體化安全網(wǎng)關(guān)采用了一體化的設計方案，在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實現(xiàn)了接入安全需要考慮的方方面面，采用天清漢馬USG一體化安全網(wǎng)關(guān)，可以從整體上解決了接入安全的問題。 業(yè)界最完善的攻擊特征庫，包括18大類，超過2,000項的入侵攻擊特征，并提供動態(tài)更新178。 文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫總計＞16萬，并提供動態(tài)更新178。 支持黑名單、白名單178。 豐富的手段：支持IPSec VPN、SSL VPN、L2TP和GRE178。 采用特征控制和異?？刂葡嘟Y(jié)合的手段，有效保障抗拒絕服務攻擊的準確性和全面性l 完善的上網(wǎng)行為管理178。 網(wǎng)絡游戲控制：對常見網(wǎng)絡游戲如魔獸世界、征途、游戲大廳、聯(lián)眾游戲大廳等的阻斷178。 終端安全管理：通過USG向終端下發(fā)安全策略，能夠?qū)尤刖W(wǎng)絡的所有終端進行進程管理、服務管理、網(wǎng)絡應用管理和補丁管理。 報表貼近需求：根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè)LOGO，并可形成多種格式的報表文件。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡；另外，據(jù)統(tǒng)計有70％以上的攻擊事件來自內(nèi)部網(wǎng)絡，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應。由于網(wǎng)絡攻擊大多來自于網(wǎng)絡的出口位置，入侵檢測在此處將承擔實時監(jiān)測大量出入整個網(wǎng)絡的具有破壞性的數(shù)據(jù)流。入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別攻擊行為、對異常行為進行統(tǒng)計，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。3. 監(jiān)視**集團網(wǎng)絡內(nèi)部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作。 系統(tǒng)功能通過使用網(wǎng)絡入侵檢測系統(tǒng)，我們可以做到：l 全面的入侵檢測入侵檢測能力取決于兩個方面的技術(shù)：攻擊特征分析技術(shù)和入侵檢測支撐技術(shù)。同時由于單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補，可以提高系統(tǒng)對安全事件響應的準確性和全面性，使防護體系由靜態(tài)到動態(tài)，由平面到立體，不僅增強了入侵檢測系統(tǒng)的響應能力，降低了入侵檢測的誤報率，充分發(fā)揮了入侵檢測的作用，同時提升了防火墻的機動性和實時反應能力。防火墻作為網(wǎng)絡系統(tǒng)的專用的安全防護工具，其防護能力與入侵檢測產(chǎn)品的響應能力可以相互補充。同時，通過獲得漏洞掃描系統(tǒng)的掃描結(jié)果，可動態(tài)修改入侵檢測系統(tǒng)的檢測策略，使入侵檢測系統(tǒng)的事件報警更加準確，提高入侵檢測系統(tǒng)的運行效率。具有這幾項技術(shù)的支撐是具有龐大的知識庫，能夠進行入侵管理。同時，采用“多目標跟蹤鎖定”功能，對用戶所設定的異常報警內(nèi)容進行多方位的定點跟蹤和顯示，“凸出”用戶所關(guān)心的信息。入侵檢測系統(tǒng)與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡管理系統(tǒng)等安全產(chǎn)品均可實現(xiàn)聯(lián)動，這些聯(lián)動本身就是應急響應的一個組成部分，使得以前相互獨立、需要在不同的時間段內(nèi)完成的入侵檢測和應急響應兩個階段有機地融為一體。隨著入侵檢測技術(shù)的發(fā)展，入侵檢測系統(tǒng)還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。l 與網(wǎng)管系統(tǒng)結(jié)合安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺將預警事件分級、分類、自動上報給網(wǎng)管系統(tǒng)，供網(wǎng)絡管理員做全局安全事件分析。 對攻擊特征進行多樣化、靈活定義，可以使我公司保證對最新攻擊方法的迅速反應和升級，同時可以協(xié)助用戶直接定義針對其特殊應用的攻擊和威脅。 用戶可以自定義所關(guān)注的敏感信息，加強內(nèi)外部信息的審查，如商業(yè)機密，反動、黃色、暴力等信息。同時，入侵檢測系統(tǒng)應允許有經(jīng)驗的用戶根據(jù)網(wǎng)絡中數(shù)據(jù)流的特點，提供靈活的安全策略管理機制，利用系統(tǒng)中的事件定義模板，定制網(wǎng)絡中可疑行為和監(jiān)控對象，定制相應的檢測策略，并對這些行為進行響應，做到重點監(jiān)測、量體裁衣，報告用戶最為關(guān)注的事件，充分提高入侵檢測系統(tǒng)的檢測效率，降低誤報率。. 脆弱性掃描系統(tǒng)設計（漏洞掃描）網(wǎng)絡的應用越來越廣泛，而網(wǎng)絡不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡軟件、應用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴重。漏洞掃描系統(tǒng)包括了網(wǎng)絡模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風