【正文】 SSL VPN 將在網(wǎng)絡組網(wǎng)中發(fā)揮各自的優(yōu)勢。這種能力使SSL VPN能夠從一家用戶網(wǎng)絡的代理防火墻背后安全訪問另一家用戶網(wǎng)絡中的資源。SSL VPN將遠程安全接入延伸到IPSec VPN擴展不到的地方，使更多的員工，在更多的地方，使用更多的設備，安全訪問企業(yè)網(wǎng)絡資源，同時降低了部署和支持費用。到2006年，74%的移動員工將依賴VPN（比2004年增加15%），預計增長率主要來自SSL，這種IPSec以外的方案避開了部署及管理必要客戶軟件的復雜性和人力需求。很多情況下，如采用SSL VPN的能夠就是降低成本。這類VPN的真正價值在于，它們盡量提高IP環(huán)境的安全性。IPSec以自己的封包封裝原始IP信息，因此可隱藏所有應用協(xié)議的信息。如在企業(yè)分部與企業(yè)總部之間，及企業(yè)員工與企業(yè)核心數(shù)據(jù)之間，都可建立起端到端的邏輯隧道(Tunnel)，所謂“隧道”是指其中所傳遞的數(shù)據(jù)都經(jīng)過特殊包裝和加密處理，從而能與同一物理鏈路中其它數(shù)據(jù)區(qū)別開來，避免被不法用戶所竊取，只有在隧道的始末兩端才可能添加和去除這些特殊包裝以得到真實的數(shù)據(jù)。而與合作伙伴的互連一般情況下合作伙伴訪問企業(yè)固定的某些應用系統(tǒng)。 遠程訪問安全根據(jù)前面的風險及需求分析可知，公司在通過Internet互連及遠程訪問方面，主要存在著以下兩種類型：178。 178。 178。一旦安裝完成，就開始不知疲倦地掃描所有網(wǎng)絡流量，保障網(wǎng)絡的100％安全。 拓展性及負載均衡 由于安全網(wǎng)關的高度可拓展性，安全網(wǎng)關適合中到大型企業(yè)，能夠根據(jù)網(wǎng)絡通訊流量調(diào)節(jié)掃描能力。 性能高度優(yōu)化的病毒防護 整合最新硬件及軟件技術，提供超乎尋常的優(yōu)異性能，能夠在一個小時內(nèi)掃描上萬封郵件，完全對企業(yè)網(wǎng)絡透明。 178。 安全：安全網(wǎng)關掃描6種網(wǎng)絡協(xié)議，而其他硬件網(wǎng)關產(chǎn)品僅能夠掃描2到4種網(wǎng)絡協(xié)議。允許管理員控制公司網(wǎng)絡資源，并且阻斷非法，黃色或暴力網(wǎng)站內(nèi)容，或只是不受歡迎內(nèi)容進入公司。 防垃圾模塊安全網(wǎng)關通過其反垃圾郵件模塊檢查進入公司的所有郵件。通過全面阻截已知及未知病毒和防垃圾郵件功能和內(nèi)容過濾功能達到針對企業(yè)網(wǎng)絡環(huán)境的全面防護。 保證所有主要的Internet協(xié)議的安全，包括HTTP、FTP、SMTP、POP3等信息在進入內(nèi)部網(wǎng)絡前由安全網(wǎng)關進行查殺毒；178。同時，由于病毒的泛濫，垃圾郵件也越來越成為大家頭痛的問題。 防火墻技術部署說明（根據(jù)具體的網(wǎng)絡情況描述） 產(chǎn)品選型及功能介紹（根據(jù)具體產(chǎn)品描述） 安全網(wǎng)關由于考慮到公司與互聯(lián)網(wǎng)（Internet）進行連接，所以我們建議在系統(tǒng)網(wǎng)絡與Internet接入處配置“安全網(wǎng)關”，部署位置靈活，可放置在接入路由器與防火墻之間，也可部署在防火墻與內(nèi)部網(wǎng)絡之間。目前新型狀態(tài)檢測的防火墻有效的解決并改善了傳統(tǒng)防火墻產(chǎn)品在性能及功能上存在的缺陷，狀態(tài)檢測防火墻具有更高的安全性、系統(tǒng)穩(wěn)定性、更加顯著的功能特性和優(yōu)異的網(wǎng)絡性能，同時具有廣泛的適應能力。 通過對網(wǎng)絡流量的流量模式進行整型和服務質量保證措施，保證網(wǎng)絡應用的可用性和可靠性；178。 防火墻系統(tǒng)為在公司網(wǎng)絡與外界網(wǎng)絡連接處保障安全，我們建議配置防火墻系統(tǒng)。 未經(jīng)授權的網(wǎng)絡訪問178。邊界安全解決方案就是針對與外部網(wǎng)絡連接處的安全方面。 安全管理解決方案；178。同時根據(jù)第3章的安全方案設計原則，我們將公司網(wǎng)絡安全建設分為以下幾個方面進行了詳細的方案設計：178。 邊界安全解決方案；178。 安全服務解決方案。網(wǎng)絡是用戶業(yè)務和數(shù)據(jù)通信的紐帶、橋梁，網(wǎng)絡的主要功能就是為用戶業(yè)務和數(shù)據(jù)通信提供可靠的、滿足傳輸服務質量的傳輸通道。 身份（網(wǎng)絡地址）欺騙178。將防火墻放置在網(wǎng)絡聯(lián)結處，這樣可以通過以下方式保護網(wǎng)絡：178。 可以根據(jù)時間定義防火墻的安全規(guī)則，滿足網(wǎng)絡在不同時間有不同安全需求的現(xiàn)實需要；178。在不損失網(wǎng)絡性能的同時，能夠實現(xiàn)網(wǎng)絡安全策略的準確制定與執(zhí)行，同時有效地抵御來自非可信任網(wǎng)絡的攻擊，并具有對防火墻系統(tǒng)安全性能的診斷功能。隨著互聯(lián)網(wǎng)的飛速發(fā)展和應用，計算機病毒已將互聯(lián)網(wǎng)作為其一種主要的傳播途徑。根據(jù)國際領導的市場調(diào)查機構Radicati Group統(tǒng)計，目前所有的郵件中，超過50％是垃圾郵件，也就是說每天在國際上有超過150億封垃圾郵件被發(fā)送出去，使各類企業(yè)每年遭受到200億美元以上由于勞動生產(chǎn)率下降及技術支出帶來的損失，到2007年垃圾郵件數(shù)量將上升到驚人的2萬億封一年。 過濾所有來自互聯(lián)網(wǎng)的垃圾郵件；178。安全網(wǎng)關是一款高度可配置及提供負載均衡的產(chǎn)品，為從中型到大型企業(yè)提供全面解決方案，并對網(wǎng)絡流量透明。信息被掃描并且被劃分成垃圾或非垃圾，在未被請求的郵件到達用戶信箱之前進行阻斷或修改這些信息的主題178?？梢越IP用戶列表，這些用戶不需應用上述限制v 主要特點：178。在安全網(wǎng)關安裝在企業(yè)邊界上時，它實時掃描所有收入及發(fā)出郵件及其他的網(wǎng)絡傳輸信息，并且具有防垃圾郵件功能和內(nèi)容過濾功能 178。 擴展性：安全網(wǎng)關專門針對自動負載均衡設計，使增加掃描的速度及增加網(wǎng)絡防護可以隨時達到。178。負載均衡是完全自動的，允許工作負載量能夠自動在不同工作單元間進行均衡，良好地保障了產(chǎn)品的可拓展性及對企業(yè)邊界的全面防護。 178。 遠程管理 可以通過一個簡潔、啟發(fā)式的WEB管理控制臺遠程管理，讓企業(yè)網(wǎng)絡管理員通過企業(yè)內(nèi)部任何一臺電腦管理該產(chǎn)品。 詳細報告及可客戶化的報警安全網(wǎng)關提供完整的掃描報告，并可以客戶化在企業(yè)內(nèi)部網(wǎng)絡的病毒報警機制。 公司總部與分支機構之間的遠程訪問及互連；178。同時，遠程應用中還存在著一種情況，即用戶出差或移動狀態(tài)中需要在遠程訪問安全方面，我們分別針對這兩類應用類型設計了相應的VPN遠程訪問系統(tǒng)。在通過公共網(wǎng)絡(如Internet)傳遞業(yè)務數(shù)據(jù)時，這項技術尤為必要。一旦IPSec建立加密隧道后，就可以實現(xiàn)各種類型的一對多的連接，如Web、電子郵件、文件傳輸、VoIP等連接。IPSec VPN的誘人之處包括，它采用了集中式安全和策略管理部件，從而大大緩解了維護需求。雖然購買軟件或硬件的費用不一定便宜，但部署SSL VPN很便宜。最終用戶避免了攜帶電腦，通過與因特網(wǎng)連接的任何設備就能獲得訪問，SSL更容易滿足用戶對移動連接的需求。SSL VPN正在成為遠程接入的事實標準。IPSec VPN通常不能支持復雜的網(wǎng)絡，這是因為它們需要克服穿越防火墻、IP地址沖突等困難。在公司的遠程訪問安全中，由于分別存在著這兩種情況，因此我們建議在方案中采用IPSec 和SSL VPN相結合的部署方式：178。 出差用戶及遠程移動用戶訪問公司內(nèi)部應用、及合作伙伴訪問某些特定的業(yè)務應用系統(tǒng)，采用SSL VPN方式更能有效的滿足應用的需求。178。 管理失控：通過竊取網(wǎng)絡設備的管理權而使網(wǎng)絡失去安全性因此，我們在方案中建議在網(wǎng)絡中部署入侵檢測系統(tǒng)來入侵及濫用行為進行檢測及審計。178。 “入侵檢測系統(tǒng)” 可以提供強大的網(wǎng)絡行為審計能力，讓網(wǎng)絡安全管理員跟蹤用戶（包括黑客）、應用程序等對網(wǎng)絡的使用情況，幫助他們改進網(wǎng)絡規(guī)劃。IDS也支持基于網(wǎng)絡異常狀況的檢測方式。通過對安全策略的調(diào)整，用戶能夠很方便地將IDS自定義成為符合自己組織需要的入侵檢測系統(tǒng)。由此產(chǎn)生的大量日志能夠通過IDS具備的強大的工作區(qū)切換功能進行存儲和轉發(fā)，大大提高了網(wǎng)絡入侵檢測系統(tǒng)本身的抗攻擊能力。例如：在網(wǎng)絡邊界，通過防火墻對網(wǎng)絡連接和訪問的合法性進行控制，通過網(wǎng)關過濾設備對數(shù)據(jù)流非法內(nèi)容進行控制；在網(wǎng)絡傳輸上，通過入侵檢測監(jiān)視黑客攻擊和非法網(wǎng)絡活動等。而且隨著計算機技術及應用的普及，桌面用戶的行為也越來越超出網(wǎng)管員的管理能力范疇。 通過漏洞掃描或風險評估工具來發(fā)展漏洞、脆弱性及威脅，并通過補丁分發(fā)系統(tǒng)對漏洞及脆弱性進行及時的矯正及補充；178。目前企業(yè)整體防病毒解決方案均已比較成熟。 功能及易用性：一方面需要對各種病毒進行有效殺、防；另一方面，也要強調(diào)網(wǎng)絡防毒在實施、操作，維護和管理中的簡潔、方便和高效，最大限度地減輕使用人員和維護人員的工作量；178。178。我們?yōu)楣揪W(wǎng)絡中提供一個穩(wěn)定高效、技術一流、方便管理、服務周全的病毒防護解決方案，滿足網(wǎng)絡系統(tǒng)對病毒防護系統(tǒng)設計的業(yè)務需求，確保網(wǎng)絡系統(tǒng)能有效抵御各種病毒和惡意程序的攻擊。極大地提高了防毒工作的效率。入侵防護采用了新一代的防護技術，它比傳統(tǒng)的檢測系統(tǒng)更加智能化，能在第一時間發(fā)現(xiàn)新的威脅，并阻斷企圖越過傳統(tǒng)防病毒軟件的未知病毒的攻擊，不管該未知病毒是以下列何種方式傳播：外圍設備、局域網(wǎng)共享資源、電子郵件Email、互聯(lián)網(wǎng)。178。 防護性的阻斷感染：可以在網(wǎng)絡層防止病毒和蠕蟲在企業(yè)網(wǎng)絡中傳播。 新一代的防護技術，能抵御所有類型的互聯(lián)網(wǎng)威脅：包括病毒、木馬、蠕蟲等。 占用資源最小化：是在低帶寬環(huán)境下保護筆記本電腦的理想方案。 友好直觀的用戶界面：避免混淆和誤操作。安全策略分為用戶策略和全局策略兩類。為了簡化策略的管理，我們將用戶按照角色來管理；對不同的角色實施不同的安全策略。終端用戶勿需具備專業(yè)安全知識便可將自己的計算機終端加固到專家級程度，從而將精力關注于核心業(yè)務。這樣就避免了大量誤報給管理員帶來的工作量。提供了對終端生命周期管理（ELM）策略的全面技術支撐，涵蓋了資產(chǎn)管理、終端保護、應用監(jiān)管、審計分析等功能模塊。 系統(tǒng)體系和結構由三個部分組成：策略服務器（KPS）、管理控制臺（KMC）、安全客戶端（KSA）。其中，日志和審計數(shù)據(jù)庫可采用獨立服務器，也可安裝部署在管理控制臺。 策略服務器策略服務器保存并分發(fā)安全策略。 管理控制臺KSMS管理控制臺實現(xiàn)系統(tǒng)的集中管理控制。KSA部署在需要保護的用戶PC和服務器上，保護計算機終端安全使用、約束用戶操作行為，系統(tǒng)將各種安全信息和日志傳遞到控制臺供管理員統(tǒng)一分析處理。167。提供基于按組織劃分的用戶角色的管理，管理員可在線查詢用戶終端操作系統(tǒng)、進程、設備情況、性能狀態(tài)等多種信息?；A架構保護主要包括：終端網(wǎng)絡訪問控制、惡意程序綜合防范；資產(chǎn)保護主要包括：設備使用限制、數(shù)據(jù)文件保護。 惡意程序綜合防范采取多種方式綜合防范惡意程序破壞。 167。 非法外聯(lián)控制通過網(wǎng)絡設備限制、網(wǎng)絡程序/連接控制等手段，限制終端非法外聯(lián)，對員工隨意訪問外部網(wǎng)絡的行為進行管理，同時避免從不安全網(wǎng)絡引入安全風險。167。167。 應用安全解決方案在第2章里，我們對應用安全的風險及需求進行了詳細的分析與定義。在公司的安全管理解決方案中，我們先從技術和行政這兩個層面對的安全管理進行一個基本設計，先建立一個基礎的安全管理平臺，然而我們會進一步如何建立有效的安全管理體系（SOC），實現(xiàn)可管理的安全進行初步的論述。由于公司的信息系統(tǒng)建設是分步進行的，網(wǎng)絡設備、應用系統(tǒng)以及安全設備、用戶平臺等具有多樣性，因此對管理平臺或系統(tǒng)的要求也比較高，必須采用專業(yè)的網(wǎng)絡綜合管理系統(tǒng)，對網(wǎng)絡中的所有設備以及系統(tǒng)平臺都能夠統(tǒng)一集中管理，獲取所有設備的工作狀態(tài)和網(wǎng)絡負載狀態(tài)，同時可以看到網(wǎng)絡活動的日志信息，用它來對網(wǎng)絡狀態(tài)進行分析，提供更有效的安全策略，同時網(wǎng)管系統(tǒng)能夠監(jiān)測客戶端系統(tǒng)狀態(tài)，能夠接管客戶端系統(tǒng)，當網(wǎng)絡中的么一用戶系統(tǒng)出現(xiàn)問題而自己卻無法診斷，這時可以通過網(wǎng)管系統(tǒng)進行遠程接管，來協(xié)助用戶解決問題。v 信息安全策略主要是明確公司內(nèi)部所有用戶、所有應用的明確的安全細則