【正文】 網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰， 破壞服務(wù)器信息，造成巨大的直接和間接的經(jīng)濟(jì) 損失。 ? 傳播的形式復(fù)雜多樣 計(jì)算機(jī)病毒在網(wǎng)絡(luò)上一般是通過“工作站 服務(wù)器 工作站”的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣，通過網(wǎng)絡(luò)共享、服務(wù)漏洞、電子郵件等多種方式進(jìn)行傳播。 . 來自內(nèi)部的安全威脅分析 . 內(nèi)部網(wǎng)絡(luò)的失誤操作行為 由于人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足，可能會出現(xiàn)各種意想不到的操作失誤，勢必對系統(tǒng)或者網(wǎng)絡(luò)的安全產(chǎn)生較大的影響。 . 信息基礎(chǔ)安全平臺威脅 信息基礎(chǔ)平臺主要是指支撐各種應(yīng)用與業(yè)務(wù)運(yùn)行的各種操作系統(tǒng)。可以說威脅是不可避免的，我們必須采取有效的措施，降低各種情況造成的威脅。 本項(xiàng)目具體的網(wǎng)絡(luò)安全目標(biāo)即： 建立一個(gè)安全屏障，保護(hù)用戶不受來自網(wǎng)絡(luò)開放所帶來的網(wǎng)絡(luò)安全和通信數(shù)據(jù)的安全受到非法破壞。據(jù)美國 FBI 統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá) 75 億美元，而全球平均每 20 秒鐘就發(fā)生一起 網(wǎng)絡(luò) 計(jì)算機(jī)侵入事件。在我國，每年因黑客入侵、計(jì)算機(jī)病毒的破壞給企業(yè)造成的損失令人觸目驚心。 對內(nèi)是要建立一個(gè)安全堡壘，控制網(wǎng)絡(luò)內(nèi)部用戶非授權(quán)通信和進(jìn)行的一些有意的、無意的破壞活動(dòng)，保證網(wǎng)絡(luò)平臺和應(yīng)用系統(tǒng)平臺的正常運(yùn)行。 . 來自外部的安全威脅分析 . 邊界網(wǎng)絡(luò)設(shè)備安全威脅 邊界網(wǎng)絡(luò)設(shè)備面臨的威脅主要有以下兩點(diǎn)： 第一：入侵者通過控制邊界網(wǎng)絡(luò)設(shè)備，進(jìn)一步了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用網(wǎng)絡(luò)滲透搜集信息，為擴(kuò)大網(wǎng)絡(luò)入侵范圍奠定基礎(chǔ)。操作系統(tǒng)主要有 Winnt、 Win2k， Win98,*NIX。 . 源自內(nèi)部網(wǎng)絡(luò)的惡意攻擊與破壞 據(jù)統(tǒng)計(jì)，有 70%的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)的內(nèi)部。 ? 病毒的智能化程序越來越高 網(wǎng)絡(luò)病毒可以利用系統(tǒng)的漏洞進(jìn)行傳播或攻擊；在攜帶特洛伊木馬程序進(jìn)行對系統(tǒng)進(jìn)行遠(yuǎn)程破壞與控制；自身就有木馬功能，為系統(tǒng)開后門；散播拒絕服務(wù)攻擊點(diǎn)，對目標(biāo)采取分 布式拒絕服務(wù)攻擊等等。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 7 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 3. 安全建設(shè)原則 ? 網(wǎng)絡(luò)安全產(chǎn)品符合網(wǎng)絡(luò)安全的國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)； ? 對安全產(chǎn)品要采取硬、軟結(jié)合的方針； ? 網(wǎng)絡(luò)安全產(chǎn)品的部署不能成為網(wǎng)絡(luò)運(yùn)行的瓶頸； ? 網(wǎng)絡(luò)安全能覆蓋整個(gè)網(wǎng)絡(luò)； ? 完整性 網(wǎng)絡(luò)安全建設(shè)必需保證整個(gè)防御體系的完整性。所選用的安全產(chǎn)品必須及時(shí)地、不斷地改進(jìn)和完善，及時(shí)進(jìn)行技術(shù)和設(shè)備的升級換代，只有這樣才能保證系統(tǒng)的安全性。針對“全網(wǎng)安全”的要求，網(wǎng)絡(luò)安全體系涉及的各個(gè)環(huán)節(jié)包括：網(wǎng)絡(luò)安全策略指導(dǎo)、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范、網(wǎng)絡(luò)安全防范技術(shù)、網(wǎng)絡(luò)安全管理保障、網(wǎng)絡(luò)安全服務(wù)支持體系等幾部分。 XXX 網(wǎng)絡(luò)系統(tǒng)的動(dòng)態(tài)安全管理公式可由下面公式概括： 網(wǎng)絡(luò)安全策略安全標(biāo)準(zhǔn)規(guī)范體系安全管理保障體系安全技術(shù)防范體系安全服務(wù)支持體系圖 1 網(wǎng)絡(luò)安全的環(huán)節(jié)安全標(biāo)準(zhǔn)規(guī)范體系安全管理保障體系安全技術(shù)防范體系圖XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 9 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 XXX 網(wǎng)絡(luò)系統(tǒng)安全 = 風(fēng)險(xiǎn)分析 + 制訂策略 + 系統(tǒng)防護(hù) + 實(shí)時(shí)監(jiān)測 + 實(shí)時(shí)響應(yīng) + 恢復(fù) 即：網(wǎng)絡(luò)安全是一個(gè)“ AP2DR2”的動(dòng)態(tài)安全公式，如圖 2 所示。風(fēng)險(xiǎn)分析有兩種基本方法：定性分析和定量分析。我們認(rèn)為 XXX 網(wǎng)絡(luò)系統(tǒng)安全防御系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。根據(jù)檢測和響應(yīng)的結(jié)果，可以發(fā) 現(xiàn)防御系統(tǒng)中的薄弱環(huán)節(jié)，或者安全策略中的漏洞，進(jìn)一步進(jìn)行風(fēng)險(xiǎn)分析，修改安全策略，根據(jù)技術(shù)的發(fā)展和業(yè)務(wù)的變化，逐步完善安全策略，加強(qiáng)業(yè)務(wù)網(wǎng)安全措施。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 11 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 . 風(fēng)險(xiǎn)評估內(nèi)容 （ 1） 采集本地信息系統(tǒng)信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備、各種安全管理、安全控制、人員、安全策略、應(yīng)用系統(tǒng)等方面的信息，并進(jìn)行相應(yīng)的分析。 . 訪問控制 建議在網(wǎng)絡(luò)的各個(gè)入口處部署川大能士防火墻，對進(jìn)入 XXX 網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)用戶進(jìn) 行訪問控制，主要實(shí)現(xiàn)如下防護(hù)功能： (1) 對網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證，保證網(wǎng)絡(luò)用戶的合法性； (2) 能夠屏蔽流行的攻擊手段； (3) 對遠(yuǎn)程訪問的用戶提供通信線路的加密連接； (4) 能提供完整的日志和審記功能。 (3) 對未知的一些攻擊手段進(jìn)行報(bào)警。 (2) 服務(wù)器防病毒系統(tǒng) 確保應(yīng)用服務(wù)器不被病毒感染。并且防火墻本身具有較強(qiáng)的抗攻擊能力。例如， Firewall 可以禁止 NIS、 NFS 服務(wù)通過，F(xiàn)irewall 同時(shí)可以拒絕源路由和 ICMP 重定向封包。例如， Firewall 允許外部訪問特定的 Mail Server 和 Web Server。外部用戶也只需要經(jīng)過防火墻的 — 次認(rèn)證即可訪問內(nèi) 部網(wǎng)。 Firewall 可以記錄和統(tǒng)計(jì)通過Firewall 的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且， Firewall 可以提供統(tǒng)計(jì)數(shù)據(jù)，來判斷可能的攻擊和探測。 . 應(yīng)用部署方案 XXX 防火墻系統(tǒng)應(yīng)用部署圖 建議在 XXX 總廠與設(shè)計(jì)部之間部署川大能士 防火墻。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡(luò)；另外，據(jù)統(tǒng)計(jì)有 70％以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時(shí)，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。入侵檢測報(bào)警日志的功能是通過對所有對網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。 通過使用入侵檢測系統(tǒng)，我們可以做到： 對 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)測，防止黑客的入侵。 實(shí)時(shí)對檢測到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻聯(lián)動(dòng)。同時(shí)由于單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補(bǔ)，可以提高系統(tǒng)對安全事件響應(yīng)的準(zhǔn)確性和全面性，使防護(hù)體系由靜態(tài)到動(dòng)態(tài)，由平面到立體，不僅增強(qiáng)了入侵檢測系統(tǒng)的響應(yīng)能力，降低了入侵檢測的誤報(bào)率，充分發(fā)揮了入侵檢測的作用，同時(shí)提升了防火墻的機(jī)動(dòng)性和實(shí)時(shí)反應(yīng)能力。防火墻作為網(wǎng)絡(luò)系統(tǒng)的專用的安全防護(hù)工具，其防護(hù)能力與入侵檢測產(chǎn)品的響應(yīng)能力可以相互補(bǔ)充。 同時(shí)，通過獲得 Scanner 系統(tǒng)的掃描結(jié)果，可動(dòng)態(tài)修改 IDS 系統(tǒng)的檢測策略，使 IDS 系統(tǒng)的事件報(bào)警更加準(zhǔn)確，提高 IDS 系統(tǒng)的運(yùn)行效率。 其中，技術(shù)包括四個(gè)方面：檢測發(fā)現(xiàn)、事件分析、事件報(bào)警、事件處理，這是一個(gè)安全事件的發(fā)現(xiàn)和處理流程。 (1) 全局預(yù)警 建立全局預(yù)警體系，做到一點(diǎn)發(fā)現(xiàn)，全網(wǎng)皆知并及時(shí)響應(yīng)。全網(wǎng)范圍內(nèi) IDS 的分布式部署可能是不同城市、不同地區(qū)、甚至不同省份的分布。為了有效管理眾多的分布式探測器，三級組織檢測發(fā)現(xiàn)響應(yīng)流程處理規(guī)范事件分析 事件報(bào)警 事件處理入侵管理知識庫XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 22 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 結(jié)構(gòu)或者更多級結(jié)構(gòu)的分級控制功能是必須的。 ? 集中管理 在整個(gè)網(wǎng)絡(luò)的安全管理中心，有一個(gè)總控制中心，它連接分控制中心、網(wǎng)絡(luò)探測引擎和主機(jī)探測引擎。 IDS 的集中管理能力對于應(yīng)急響應(yīng)具有極其重要的影響，因?yàn)樗沟?IDS 更適合在大型網(wǎng)絡(luò)中實(shí)施。 (2) 異常流量分析 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量，進(jìn)行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計(jì)；產(chǎn)生例如提供點(diǎn)對點(diǎn)數(shù)據(jù)流量及流量排名的詳細(xì)圖表；定義流量異常的閥值，對異常流量進(jìn)行實(shí)時(shí) 報(bào)警。 (5) 網(wǎng)絡(luò)病毒分析 針對當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進(jìn)行預(yù)警，包括 Nimda 蠕蟲、 Sql slammer蠕蟲等。 天闐強(qiáng)調(diào)實(shí)現(xiàn)以入侵檢測為核心的安全防御體系。同時(shí)，好的 IDS 還具有異常統(tǒng)計(jì)的功能，以降低誤報(bào)率，提高工作效率。 (9) 入侵驗(yàn)證 入侵驗(yàn)證系統(tǒng)根據(jù) IDS 發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件，對被攻擊網(wǎng)絡(luò)或主機(jī)進(jìn)行攻擊后果的驗(yàn)證，并將攻擊后果返回給控制中心，供管理者做決策參考。 可根據(jù)需要設(shè)置條件，實(shí)時(shí)顯示 TOP10 事件，包括攻擊源、目標(biāo)的 MAC地址、 IP 地址，流量信息；對各種協(xié)議相關(guān)事件如 Tel、 SMTP，按需要進(jìn)行回放。 ? 用戶可以自定義所關(guān)注的敏感信息，加強(qiáng)內(nèi)外部信息的審查，如商業(yè)機(jī)密，反動(dòng)、黃色、暴力等信息。 ? 引擎自定義 提供不同作用、基于不同環(huán)境的入侵檢測探測引擎。 動(dòng)態(tài)安全的概念是： 幫助管理員主動(dòng)發(fā)現(xiàn)問題 。 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測，報(bào)告服務(wù)進(jìn)程，提取對象信息，以及評測風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。 漏洞掃描系統(tǒng)對網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報(bào)告，使管理員能夠隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時(shí)采取相應(yīng)的措施進(jìn)行修補(bǔ)。 ? 靈活的策略配置 系統(tǒng)內(nèi)置 強(qiáng) 、 中 、 弱 三種掃描策略，用戶也可以根據(jù)需要自定義掃描策略并進(jìn)行儲存，就用戶所關(guān)心的項(xiàng)目進(jìn)行重點(diǎn)檢測；可按照特定的需求配置多種掃描策略和掃描參數(shù)，實(shí)現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。 10. 防病毒系統(tǒng) XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 29 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 一般電腦感染病毒的來源有超過 20%是通過網(wǎng)絡(luò)下載文檔感染，另外有 26%是經(jīng)電子郵件的附加文檔所感染。 在病毒發(fā)作之前即可自動(dòng)阻止其發(fā)作。 (3) 客戶端防病毒系統(tǒng) 確保 XXX 員工辦公 PC 不受病毒攻擊。為了阻止這些“可疑的候選文件”，需要對電子郵件進(jìn)行嚴(yán)格審查。它同時(shí)對內(nèi)容進(jìn)行過濾以阻止病毒欺騙，創(chuàng)建歷史記錄以跟蹤每個(gè)檢測到的病毒起源。 形成郵件系統(tǒng)外部的殺 病毒系統(tǒng)，對進(jìn)出郵件服務(wù)器的電子郵件及其附件進(jìn)行實(shí)時(shí)掃描與監(jiān)控，以防止病毒進(jìn)入郵件服務(wù)器系統(tǒng)，以及郵件病毒散播到客戶端。能夠?qū)Ψ?wù)器接收和發(fā)送的被病 毒感染的文件以及已經(jīng)存在于其它服務(wù)器的病毒進(jìn)行檢測。根據(jù)統(tǒng)計(jì)， 50%以上的病毒是通過軟盤進(jìn)入系統(tǒng)，因此對桌面系統(tǒng)的病毒應(yīng)嚴(yán)加防范。 當(dāng)發(fā)現(xiàn)病毒已進(jìn)入時(shí)，正是采取病毒響應(yīng)計(jì)劃的時(shí)候。這正如刪除病毒一樣重要，因?yàn)樵谒斜桓腥镜南到y(tǒng)中，有 90%的系統(tǒng)會在三個(gè)月內(nèi)以同樣或相似的方式再次被感染。 VPN 實(shí)現(xiàn)的協(xié)議有： IPSec、 L2F、 L2TP、 PPTP、 MPPE、 SSL 等 。 能士 SVPN 系統(tǒng)支持政府機(jī)關(guān) /企業(yè)在公用通信網(wǎng)絡(luò)中構(gòu)建自主、安全的虛擬XXX 網(wǎng)絡(luò)安全 建議方案 。 XXXVPN 應(yīng)用部署圖 能士 SVPN 系統(tǒng)專門用于構(gòu)建網(wǎng)絡(luò)安全專用平臺，在基于 IPSec 的 VPN 提供隧道加密機(jī)制的基礎(chǔ)之上，進(jìn)一步引入了設(shè)備認(rèn)證、訪問控制、主動(dòng)審計(jì)、入侵檢測、基于策略統(tǒng)一的安全服務(wù)控制機(jī)制、 VPN 隧道流區(qū)分服務(wù)機(jī)制；對安全域進(jìn)行劃分，按分域、分級管理的思想，高效地提供區(qū)域間虛擬連接的鑒別、機(jī)密性、完整性、源驗(yàn)證能力等安全機(jī)制。 VPN“虛擬”的含義在于它沒有專用的物理網(wǎng)絡(luò)，而只是在邏輯上共享物理線路，