【正文】 不同策略管理不同的終端用戶設(shè)備或終端用戶設(shè)備組； 能夠及時覺知誰在攻擊或在探測網(wǎng)絡(luò)，并及時阻 斷攻擊以及非法探測并有詳細(xì)的日志，在發(fā)生外部入侵進(jìn)來時，必須及時報警并發(fā)郵件到管理人員郵箱，并提供相應(yīng)的策略； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 4 總機(jī)： 01082611122 網(wǎng)址： 對公司內(nèi)網(wǎng)的安全能夠做到：誰在用非法手段掃描、攻擊服務(wù)器或別人的機(jī)器，誰私自改 IP 地址，新的機(jī)器接入內(nèi)網(wǎng)或非法上外網(wǎng)，不能隨便安裝、卸載軟件等等。 ● 有效管理 沒有有效的安全管理（如防火墻監(jiān)控、審計日志的分析等等），各種安全機(jī)制的有效性很難保證。各級網(wǎng)絡(luò)管理中心負(fù)責(zé)網(wǎng)絡(luò)的安全可靠運(yùn)行，為應(yīng)用信息系統(tǒng)提供安全可靠的網(wǎng)絡(luò)服務(wù)，各級信息中心負(fù)責(zé)計算機(jī)系統(tǒng)和應(yīng)用系統(tǒng)的安全管理。安全方案的設(shè)計必須以科學(xué)的安全體系結(jié)構(gòu)模型為依據(jù)，才能保障整個安全體系的完備性、合理性。該模型在整體上表現(xiàn)為一個三線立體框架結(jié)構(gòu)。 安全管理涉及到所有協(xié)議層次、所有單元的安全服務(wù)和安全機(jī)制的管理。 各種安全服務(wù)之間的邏輯關(guān)系 在不同的協(xié)議層次，實體都有主體和客體（或資源）之分：在網(wǎng)絡(luò)層，對主體和資源的識別以主機(jī)或協(xié)議端口為粒度，認(rèn)證服務(wù)主要指主機(jī)地址的認(rèn)證，網(wǎng)絡(luò)層的訪問控制主要指防火墻等過濾機(jī)制；在應(yīng)用系統(tǒng)中，主體的識別以用戶為粒度，客體是業(yè)務(wù)信息資源，認(rèn)證是指用戶身份認(rèn)證和應(yīng)用服務(wù)的認(rèn)證，訪問控制的粒度可以具體到某種操作，如對數(shù)據(jù)項的 追加、修改和刪除。該模型與 OSI 體系結(jié)構(gòu)一致。 ● 網(wǎng)絡(luò)通信安全，一則保障網(wǎng)絡(luò)自身的安全可靠運(yùn)行，保證網(wǎng)絡(luò)的可用性；二則為業(yè)務(wù)數(shù)據(jù)提供完整性、保密性的安全服務(wù)。安全管理的內(nèi)容可以分成安全技術(shù)管理和安兮管理制度兩部分。實際上，安全漏洞廣泛存在于網(wǎng)絡(luò)數(shù)據(jù)鏈路、網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng) 用系統(tǒng)中。網(wǎng)絡(luò)設(shè)備基本采用 CISCO 系列產(chǎn)品，主干網(wǎng)絡(luò)交換機(jī)近 100 臺。如： ? 入侵者通過 Sniffer 等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò) IP 地址、應(yīng)用操作系統(tǒng)的類型、開放哪些 TCP 端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。 ? 在分支機(jī)構(gòu)與總部的 VPN 網(wǎng)關(guān)建立隧道以后，如果分支機(jī)構(gòu)的計算機(jī)遭到病毒或黑客的入侵，同樣將會對 XX 企業(yè)的內(nèi)網(wǎng)造成安全威脅。同時，由于內(nèi)部人員比較熟悉系統(tǒng)的情況，其攻擊行為更容易取得成功。這些專網(wǎng)之間都需要進(jìn)行訪問控制。此時，該人員就可以非常方便地通過一些非法的工具和手段來隨意攻擊網(wǎng)絡(luò)上的數(shù)據(jù)庫服務(wù)器和其他客戶端主機(jī)、盜取網(wǎng)絡(luò)上的一些關(guān)鍵數(shù)據(jù)以及獲取當(dāng)前比較詳細(xì)的 XX企業(yè) 集團(tuán)整體網(wǎng)絡(luò)情況為以后更致命的攻擊做好準(zhǔn)備，然而網(wǎng)絡(luò)管理員并沒有一個有效的方法來實時了解網(wǎng)絡(luò)中各節(jié)點的情況，控制這些網(wǎng)絡(luò)節(jié)點的變化，因此給整個 XX 企業(yè) 集團(tuán)的網(wǎng)絡(luò)系統(tǒng)造成極大的威脅。如 某臺非法主機(jī)在經(jīng)過相關(guān)的配置后就可以與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器和其他客戶端主機(jī)進(jìn)行 TCP/IP 通信 。若此時有一臺開發(fā)客戶端主機(jī)中了木馬程序，在正常訪問服務(wù)器的過程中就可能通過這一非法應(yīng)用程序?qū)⒃L問服務(wù)器的賬號、口令以及訪問方式都泄露給黑客，黑客就能通過獲取的信息堂而皇之地登錄到該應(yīng)用服務(wù)器上，并能在該服務(wù)器上也啟動一些非法的應(yīng)用服務(wù)，幫助黑客 完全地控制服務(wù)器。這些 后門 或安全漏洞都將存在重大安全隱患。 ? 內(nèi)部 – 局域網(wǎng)中的工作站及文件服務(wù)器都會受到病毒的感染，病毒的攻擊方式多種多樣，有通過局域網(wǎng)傳播、傳統(tǒng)介質(zhì) (光盤、軟盤 、 USB硬盤 等 )傳播等等，一旦受到感染，便 會迅速傳播，會給日常的工作和生產(chǎn)帶來極大的威脅。 安全服務(wù)體系不健全的威脅 一個網(wǎng)絡(luò)的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護(hù)的。 XX 企業(yè)安全需求 防病毒體系需求 ? 自動安裝客戶端軟件； ? 自動更新、分發(fā)客戶端軟件及病毒庫； ? 網(wǎng)絡(luò)中布置了多少臺機(jī)器，還有多少臺未安裝防病毒軟件； ? 客戶端軟件、病毒庫版本是否為最新，病毒防護(hù)或發(fā)作信息； ? 客戶端軟件不允許隨意卸載； ? 網(wǎng)絡(luò)中那些病毒在傳播； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 15 總機(jī)： 01082611122 網(wǎng)址： 強(qiáng)制性網(wǎng)管軟件需求 ? 網(wǎng)絡(luò)上有哪些交換機(jī)，有 哪些計算機(jī)； ? 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，交換機(jī)如何互聯(lián)，每臺交換機(jī)接了那些終端； ? 網(wǎng)絡(luò)性能管理、流量管理、故障管理、日志管理； ? 資產(chǎn)信息收集與管理 ； ? 管理制度制訂、落實； ? 客戶端軟件不允許隨意卸載； ? 遠(yuǎn)程管理與控制； ? 軟件分發(fā)； ? 操作系統(tǒng)補(bǔ)丁分發(fā)、安裝； ? 管理中心； ? 網(wǎng)絡(luò)設(shè)備的軟件升級（ IOS 升級至最高版本）； 防火墻需求 ? 支持雙機(jī)熱備份功能，切換時間不超過 3 秒； ? 因特網(wǎng)出口（現(xiàn)狀： 100M），支持 VPN 功能，能夠與 VPN 網(wǎng)關(guān)協(xié)調(diào)一致工作，移動用戶能夠利用操作系統(tǒng)自帶的 VPN 連接、通過 cisco 公司ACS 3000 驗 證用戶進(jìn)入公司內(nèi)網(wǎng)； ? 北京分公司（現(xiàn)狀： Adsl），利用 VPN 網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立 VPN 連接進(jìn)入公司內(nèi)網(wǎng)； ? 北京庫房 (現(xiàn)狀：華為路由器， 128K DDN) ，利用 VPN 網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立 VPN 連接進(jìn)入公司內(nèi)網(wǎng)； ? 兩臺 ERP 小型機(jī)（每臺小型機(jī)配置：雙千兆短波多模光纖網(wǎng)卡，防火墻采用橋接模式） ? 棒材生產(chǎn)子網(wǎng)、煉鋼生產(chǎn)子網(wǎng)（百兆） ? 煉鋼大高爐生產(chǎn)子網(wǎng)（千兆長波單模光纖） ? 礦業(yè)公司 (2 條 2M 數(shù)字電路，連入電話站交換機(jī) )、二化 (1 條 2M 數(shù)字電路，連入電話站交換機(jī) ) ? 電話站專網(wǎng) 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 16 總機(jī)： 01082611122 網(wǎng)址： 過濾網(wǎng)關(guān)需求 因特 網(wǎng)（現(xiàn)狀： 100M）入口，必須至少支持 4 種 Inter 協(xié)議： SMTP、POP HTTP、 FTP，并具有日志以及日志分析功能； 入侵檢測需求 內(nèi)網(wǎng)關(guān)鍵區(qū)域及因特網(wǎng)（現(xiàn)狀： 100M）出口，具有安全審計功能； 漏洞掃描需求 定期掛接到網(wǎng)絡(luò)中，對當(dāng)前網(wǎng)絡(luò)上的重點服務(wù)器（如 WEB 服務(wù)器、郵件服務(wù)器、 DNS 服務(wù)器、主域服務(wù)器等）以及主機(jī)進(jìn)行一次掃描，得到當(dāng)前系統(tǒng)中存在的各種安全漏洞，并 有 針對性地提出補(bǔ)救措施 報告； 安裝需求 所有安全產(chǎn)品布置在項目附帶的機(jī)柜內(nèi)，并且在機(jī)柜內(nèi)配置 2 臺 32 口 自動多電腦切換器 ，配置相應(yīng)的 鍵盤、光電鼠標(biāo)、顯示器及線纜； 安全設(shè)備要有管理口，便于管理，降低安全產(chǎn)品本身的安全威脅，要有分權(quán)管理，管理與審計權(quán)限分開； 要保證系統(tǒng)服務(wù)器、 生產(chǎn)專網(wǎng)的 高可用性、抗攻擊性； 制定詳細(xì)的實施計劃，明確雙方責(zé)任，專業(yè)技術(shù)工程師、制度管理師按照實施計劃布置實施符合 XX 企業(yè)管理需求的安全策略、制定符合 XX 企業(yè)管理需求的制度體系； 各個系統(tǒng)協(xié)調(diào)一致工作，不能出現(xiàn)軟件或硬件沖突； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 17 總機(jī)： 01082611122 網(wǎng)址： 第四章 信息網(wǎng)絡(luò)的安全方案設(shè)計 安全管理 環(huán)節(jié)分析： ? 主要是指 XX 企業(yè)集團(tuán) 要設(shè)備管理、人員管理、策略管理等； ? 目前 XX 企業(yè)集團(tuán) 尚無一套完善的網(wǎng)絡(luò)安 全管理體系， 我們要建立 通過一定的國際標(biāo)準(zhǔn)來建立建設(shè)管理體系。 安全防護(hù) 環(huán)節(jié)分析 : ? 該環(huán)節(jié)的包括訪問控制、保密性、完整性、可用性、不可否認(rèn)性。 需求建議 : 安全保護(hù)圍很廣涉及的技術(shù)也較多，對于 XX 企業(yè)集團(tuán)信息網(wǎng)目前最需要的防護(hù)手段是對全網(wǎng)的防護(hù)，使用防火墻、防病毒技術(shù)和入侵檢測，在此基礎(chǔ)上建議加強(qiáng)對 XX企業(yè)集團(tuán)數(shù)據(jù)中心信息網(wǎng)的防護(hù)體系建設(shè)。 病毒防護(hù) 環(huán)節(jié)分析： ? 主要 針對全網(wǎng) 1000 多臺主機(jī)和 30 多臺服務(wù)器進(jìn)行病毒防護(hù)。 安全服務(wù) 環(huán)節(jié)分析： ? 一個優(yōu)秀的網(wǎng)絡(luò)安全系統(tǒng)的建立不僅僅依靠網(wǎng)絡(luò)安全設(shè)備和相關(guān)安全手段，如何去建設(shè)網(wǎng)絡(luò)安全系統(tǒng)？如何去使用網(wǎng)絡(luò)安全系統(tǒng)？以及出現(xiàn)安全問題如何去應(yīng)對？是一般網(wǎng)使用者非常關(guān)心的問題。有關(guān)建立防火墻子系統(tǒng)的目標(biāo)、功能、位置、在下文中進(jìn)行詳細(xì)說明。我們建議在 XX 企業(yè)集團(tuán)內(nèi)網(wǎng)和 Inter 接入設(shè)備之間配置一臺天融信網(wǎng)絡(luò)衛(wèi)士千兆防火墻 NGFW4000UFVPN(E)，作為訪問控制設(shè)備。若嚴(yán)格地采取物理隔離措施，固然可以做到系統(tǒng)的訪問控制絕對安全，但是對于通過間接的物理訪問而造成的病毒危害則很難防范（病毒庫很難及時升級），而且對整個信息系統(tǒng)的自動化和工作效率不能有效地保證。我們建議在 SUN 服務(wù)器和核心交換之間加入天融信的千兆防火墻 NGFW4000UF，同時設(shè)定規(guī)則，只允許特定的 ERP 應(yīng)用到達(dá) SUN服務(wù)器。 Solaris 服務(wù)器也是通過 兩 塊網(wǎng)卡連接兩臺核心交換機(jī) ， 物理上，一塊網(wǎng)卡是 up，另一塊處于 down 狀態(tài)。對于天融信的防火墻由于支持 Spanning Tree 的算法 ，上圖就可以變成下 圖的連接方法： 區(qū)別 表現(xiàn)在支持 Spanning Tree 的算法 的防火墻可以把四個端口配置成一個廣播域， 此時 防火墻到交換機(jī)之間的切換通過生成樹協(xié)議來實現(xiàn)，服務(wù)器到防火墻之間的切換通過 Solaris 服務(wù)器雙網(wǎng)卡自身的機(jī)制來切換。 XX企業(yè)防火墻的作用 ? 防火墻對內(nèi)網(wǎng) 用戶一經(jīng)授權(quán)便能夠采用任何現(xiàn)有的或新出現(xiàn)的網(wǎng)絡(luò)技術(shù)訪問 Inter 獲取 所需要的信息和服務(wù)； ? 防火墻 可以防范各種網(wǎng)絡(luò)攻擊，能夠查找到攻擊的來源和類型，能夠?qū)@些攻擊進(jìn)行反應(yīng)； ? 對網(wǎng)絡(luò)訪問接入點的保護(hù)應(yīng)該對相關(guān)組件與網(wǎng)絡(luò)的性能造成盡可能少的影響； ? 抗 DOS/DDOS 攻擊：拒絕服務(wù)攻擊（ DOS）、分布式拒絕服務(wù)攻擊（ DDOS）就是攻擊者過多的占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。從而防止入侵者的掃描行為，把入侵行為扼殺在最初階段 ； ? 防止源路由攻擊：源路由攻擊是指黑客抓到數(shù)據(jù)包后改變數(shù)據(jù)包中的路由選項，把數(shù)據(jù)包路由到它可以控制的一臺路由器上，進(jìn)行路由欺騙或者得到該數(shù)據(jù)包的返回信息。首先我們建議在網(wǎng)絡(luò)出口處和重要網(wǎng)段部署天融信千兆入侵檢測 NGIDSUF。入侵檢測系統(tǒng)的目的是檢測惡意和非預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許 非預(yù)期資源訪問的請求和非預(yù)期使用服務(wù)）。 建議在核心交換機(jī)上對 Inter 的接口和未來的應(yīng)用服務(wù)器的接口做流量映 射，配置天融信網(wǎng)絡(luò)衛(wèi)士的入侵檢測 NGIDSUF。 除了入侵檢測技術(shù)能夠保障系統(tǒng)安全之外，下面幾點也是使用 入侵檢測的原因： （ 1） 計算機(jī)安全管理的基本目標(biāo)是規(guī)范單個用戶的行為以保護(hù)信息系統(tǒng)免受安全問題的困擾。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的： ? 很多系統(tǒng)的操作系統(tǒng) 不能得到及時的更新 ? 有的系統(tǒng)雖然可以及時得到補(bǔ)丁程序，但是管理員沒有時間或者資源進(jìn)行系統(tǒng)更新，這個問題很普遍，特別是在那些具有大量主機(jī)或多種類型的軟硬件的環(huán)境中。 （ 3） 當(dāng) 黑客 攻擊一個系統(tǒng)時，他們總是按照一定的步驟進(jìn)行。此外，攻擊的頻率和特征有助于選擇保護(hù)網(wǎng)絡(luò)免受相應(yīng)攻擊的安全手段。管理人員需要了解網(wǎng)絡(luò)中正在發(fā)生的各種活動，需要在攻擊到來之前發(fā)現(xiàn)攻擊行為，需要識別異常行為，需要有效的工具進(jìn)行針對攻擊行為以及異常的實時和事后分析。甚至在一個正確的系統(tǒng)配置中，某些設(shè)置也可能被意外或故意的改動。該系統(tǒng)具有強(qiáng)大的漏洞檢測能力和檢測效率，貼切用戶需求的功能定義，靈活多樣的檢測方式，詳盡的漏洞修補(bǔ)方案和友好的掃描系統(tǒng)報告系統(tǒng)，以及方便的在線升級功能。 網(wǎng)絡(luò)版防病毒解決方案 根據(jù) XX 企業(yè)集團(tuán) 網(wǎng)絡(luò)結(jié)構(gòu)和辦公系統(tǒng)計算機(jī)分布情況，病毒防范系統(tǒng) 的安裝實施要求為： ? 具備實時防護(hù)、計劃掃描和手動掃描的功能； ? 具備對各種常用格式的壓縮文件、包括多重壓縮文件的掃描功能； ? 感染源和感染文件的隔離功能，提供對病毒感染源的網(wǎng)絡(luò)連接阻斷和隔離功能，并且記錄感染源的用戶信息。防病毒管理軟件具有分組（域）管理客戶端防病毒策略和調(diào)度相關(guān)任務(wù)執(zhí)行的能力； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 28 總機(jī)： 01082611122 網(wǎng)址： ? 能夠從多層次進(jìn)行病毒防范，從服務(wù)器到客戶機(jī)都能有相應(yīng)的防毒軟件提供完整的、全面的防病毒保護(hù)。 產(chǎn)品特點： 實時 病毒過濾 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)對通過網(wǎng)關(guān)設(shè)備的數(shù)據(jù)流進(jìn)行 實時 檢測，過濾數(shù)據(jù)流中的 病毒、蠕蟲 和 垃圾郵件 等 ，阻止它們進(jìn)入 企業(yè) 網(wǎng)絡(luò)。 高性能 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān) 構(gòu)建在高性能的硬件平 臺上 ，采用高效 的掃描 算法，最大限度地提高過濾效率 ，提供優(yōu)異的處理性能。 自動在線升級 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)可以按照管理員設(shè)定的更新策略自動連接到天融信公司的升級服務(wù)器，升級最新的病 毒庫，保證企業(yè)網(wǎng)絡(luò)得到最有效的保護(hù)。 在本方案中，防 病毒部分建議在趨勢網(wǎng)絡(luò)版防病毒的基礎(chǔ)上配置防病毒網(wǎng)關(guān)。通過對各類