【正文】 方案總體設(shè)計(jì) （ 1）安全方案設(shè)計(jì)原則 在對(duì)這個(gè)企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則： 綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。而且安全策略越多，造成拒絕服務(wù)的可能性就越大。 B 不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。 A 防內(nèi)不防外。它不失為一種在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施的信息安全防范系統(tǒng)，這種計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)環(huán)境下的訪問(wèn)控制技術(shù)，通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對(duì)外屏蔽被保護(hù)網(wǎng)絡(luò)的信息，從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性運(yùn)行等實(shí)現(xiàn)安全防護(hù)。 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 備份和恢復(fù) 良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。 檢查安全漏洞 通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效。 受到此類攻擊對(duì)于政府部門，大型企業(yè)而言影響是尤為惡 劣的。無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)帶來(lái)不可估量的損失。超過(guò) 50%的安全威脅來(lái)自內(nèi)部；只有 17%的公司愿意報(bào)告黑客入侵，其他的由于擔(dān)心負(fù)面影響而未聲張。未能對(duì)來(lái)自 Inter 的電子郵件挾帶的病毒及 Web 瀏覽可能存在的惡意 Java/ActiveX 控件進(jìn)行有效控制。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過(guò)檢驗(yàn)。 (2）網(wǎng)絡(luò)安全的威脅來(lái)自哪些方面？ 由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行多種網(wǎng)絡(luò)協(xié)議（ TCP/IP, IPX/SPX, NETBEUI），而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計(jì)。 計(jì)算機(jī)安全的內(nèi)容應(yīng)包括兩方面：即物理安全和邏輯安全。進(jìn)入 80 年代后，計(jì)算機(jī)的性能得到了成百上千倍的提高，應(yīng)用的范圍也在不斷擴(kuò)大，計(jì)算機(jī)已遍及世界各個(gè)角落。在網(wǎng)絡(luò)化、信息化的進(jìn)程不可逆轉(zhuǎn)的形勢(shì)下，建立安全可靠的網(wǎng)絡(luò)信息系統(tǒng)是一種必然選擇。近年來(lái)，因特網(wǎng)上的安全事故屢有發(fā)生。目前政府部門、金融部門、醫(yī)療、企事業(yè)單位和個(gè)人都日益重視這一重要問(wèn)題。大、中型企業(yè)如何保護(hù)信息安全和網(wǎng)絡(luò)安全，最大限度的減少或避免因信息泄密、破壞等安全問(wèn)題所造成的經(jīng)濟(jì)損失及對(duì)企業(yè)形象的影響，是擺在我們面前亟需妥善解決的一項(xiàng)具有重大戰(zhàn)略意義的課題。連入因特網(wǎng)的用戶面臨諸多的安全風(fēng)險(xiǎn)：拒絕服務(wù)、信息泄密、信息篡改、資源盜用、聲譽(yù)損害等等。 一個(gè)系統(tǒng)的安全性可從三個(gè)層次考慮： 第一層是存放數(shù)據(jù)資源的服務(wù)器組； 第二層是傳輸數(shù)據(jù)的網(wǎng)絡(luò)； 第三層是需要訪問(wèn)數(shù)據(jù)的客戶機(jī)。并且，人們利用通信網(wǎng)絡(luò)把孤立的單機(jī)系統(tǒng)連接起來(lái)，相互通信和共享資源。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。所以，網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)可能存在的安全威脅來(lái)自以下方面： 操作 系統(tǒng)的安全性。 來(lái)自內(nèi)部網(wǎng)用戶的安全威脅。 應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失 。 59%的損失可以定量估算。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、 應(yīng)用 數(shù)據(jù)庫(kù) 中 的 重要數(shù)據(jù) ；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶身份， 信任 自己的簽名。前段時(shí)間美國(guó)微軟公司遭黑客攻擊事件就是由于它的內(nèi)外網(wǎng)隔離存在漏洞，使得黑客成功竊取它的軟件源代碼等機(jī)密資料，嚴(yán)重威脅到企業(yè)的聲譽(yù)。 攻擊監(jiān)控 通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的 攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）。 多層防御 攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。因此，許多管理員認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)裝上防火墻，就可以“高枕無(wú)憂”、“萬(wàn)事大吉 ”了。 現(xiàn)在在市面上比較流行的防火墻大都是邊界防火墻，它們?cè)诰W(wǎng)絡(luò)的邊界上進(jìn)行外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的劃分，并進(jìn)行一定程度的安全防范。當(dāng)有些表面看起來(lái)無(wú)害的數(shù)據(jù)通過(guò)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。 E 防火墻自身漏洞 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 防火墻同樣是一種運(yùn)行在硬件上的軟件產(chǎn)品（不管是硬件防火墻還是軟件防火墻），而軟件就一定不可避免的出現(xiàn)一些問(wèn)題，也會(huì)帶來(lái)安全問(wèn)題。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體 系結(jié)構(gòu)。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（包括初步或詳細(xì)設(shè)計(jì)）及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容光煥發(fā)及措施，實(shí) 際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 容易，且花費(fèi)也小得多。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。應(yīng)當(dāng)指出，同一安全機(jī)制有時(shí)也可以用于實(shí)現(xiàn)不同的安全服務(wù)。 在網(wǎng)絡(luò)的安全方面，主要考慮兩個(gè)大的層次，一是整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)成熟化，主要是優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，二是整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。成熟的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有開放性、標(biāo)準(zhǔn)化、可靠性、先進(jìn)性和 實(shí)用性，并且應(yīng)該有結(jié)構(gòu)化的設(shè)計(jì)，充分利用現(xiàn)有資源，具有運(yùn)營(yíng)管理的簡(jiǎn)便性，完善的安全保障體系。 配備相應(yīng)的安全設(shè)備 在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。由于這種防火墻安裝在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上，因此也對(duì)被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。這樣，就能防止影響一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播。如何及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)？如何最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全？最有效的方法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。它不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng)，還能看出系統(tǒng)正被怎樣地使用。 因此，除使用一般的網(wǎng)管軟件和系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前較為成熟的網(wǎng)絡(luò) 監(jiān)天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 控設(shè)備或?qū)崟r(shí)入侵檢測(cè)設(shè)備，以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷，從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。 B 檢測(cè)病毒技術(shù)：它是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等。主要面向 MAIL 、 Web 服務(wù)器，以及辦公網(wǎng)段的 PC 服務(wù)器和 PC 機(jī)等。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，也在入侵者非授權(quán)訪問(wèn)或?qū)W(wǎng)絡(luò)攻擊 及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同時(shí)亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。熱備份的 優(yōu)點(diǎn)是投資大，但調(diào)用快，使用方便，在系統(tǒng)恢復(fù)中需要反復(fù)調(diào)試時(shí)更顯優(yōu)勢(shì)。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略： 對(duì)操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對(duì) Inter 公開；關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。這必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別使在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 安全管理 為了保護(hù)網(wǎng)絡(luò)的安全性，除 了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。 安全管理規(guī)范 面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣 加強(qiáng)網(wǎng)絡(luò)安全管理規(guī)范的建立，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題，所以應(yīng)引起各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。具體的活動(dòng)有： 訪問(wèn)控制使用證件的發(fā)放與回收； 信息處理系統(tǒng)使用的媒介發(fā)放與回收； 處理保密信息 ； 硬件和軟件的維護(hù)； 系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改； 重要程序和數(shù)據(jù)的刪除和銷毀等； 任期有限原則：一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。 計(jì)算機(jī)操作與計(jì)算機(jī)編程； 機(jī)密資料的接收和傳送； 安全管理和系統(tǒng)管理； 應(yīng)用程序和系統(tǒng)程序的編制； 訪問(wèn)證件的管理與其它工作； 計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。 制訂完備的系統(tǒng)維護(hù)制度 對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。 網(wǎng)絡(luò)管理 管理員可以在管理機(jī)器上對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)上的防病毒軟件、入侵檢測(cè)探測(cè)器進(jìn)行綜合管理，同時(shí)利用安全分析軟件可以從不同角度對(duì)所有的設(shè)備、天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 服務(wù)器、工作站進(jìn)行安全掃描，分析他們的安全漏洞，并采取相應(yīng)的措施。 第四章 天創(chuàng) 半導(dǎo)體公司安全需求 (1）當(dāng)前網(wǎng)絡(luò)現(xiàn)狀分析 當(dāng)前 天創(chuàng) 公司已經(jīng)實(shí)施了 INTERNET 入口的防火墻隔離， MAIL 服務(wù)器通過(guò) DMZ 區(qū)與內(nèi)網(wǎng)隔離，但由于單位的網(wǎng)絡(luò)需要擴(kuò)展問(wèn)題，存在著防火墻端口不夠用的情況，且對(duì)于采用低性能的防火墻于網(wǎng)絡(luò)將造成很大的網(wǎng)絡(luò)通信瓶頸，為此我們決定使用六端口的千兆型防火墻來(lái)解決這個(gè)問(wèn)題。例如，我為某位員工開 80 端口讓其能上網(wǎng)，他能正常瀏覽網(wǎng)頁(yè)，但不能下載某些特定格式的文件，如： *.mp3,*.rm。 （ 3）實(shí)施目標(biāo) 啟用防火墻的 VPN 功能通過(guò) PPTP 對(duì)網(wǎng)絡(luò)進(jìn)行 VPN 服務(wù)與管理；在防火墻處啟用 URL過(guò)濾，禁止員工訪問(wèn)（下載） *.mp *.rm 文件；通過(guò)相關(guān)的包過(guò)濾規(guī)則 防止員工在內(nèi)網(wǎng)使用特定的工具進(jìn)行文件傳輸；配置過(guò)濾網(wǎng)關(guān)的郵件處理規(guī)則對(duì)客戶端進(jìn)行相應(yīng)的管理，達(dá)到優(yōu)化 MAIL 服務(wù)的效果。利用安氏安全實(shí)驗(yàn)室申請(qǐng)專利 LinkTrust Polling 技術(shù)，提升防火墻的吞吐速度，達(dá)到內(nèi)核級(jí)安全代理機(jī)制，是國(guó)內(nèi)唯一在線速狀態(tài)下工作的最新一代防火墻。 SmartProtector 的主要功能為： 基于協(xié)議分析和攻擊特征分析技術(shù)， 檢測(cè) 并阻斷 防火墻無(wú)法防止的攻擊 ，與 防火墻 互動(dòng)修改相應(yīng)的防火墻規(guī)則 ， 同時(shí)通過(guò)控制臺(tái)報(bào)警。 用戶 還 可以隨時(shí)從 安氏站點(diǎn) （ ） 下載 最新的攻擊特征 。用戶在購(gòu)買 LinkTrustTM CyberWall 時(shí)可以選擇是否增加 SmartProtector 功能 ”。每個(gè)檢測(cè)到的攻擊，將會(huì)通過(guò)日志告警與郵件告警方式通知管理員，同時(shí)為 SmartProtector 定制了專門的審計(jì)日志數(shù)據(jù)結(jié)構(gòu)包含：攻擊時(shí)間、源地址、目的地址、源端口、目的端口、攻擊名稱。通過(guò)以上措施，網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)軟件可以幫助用戶深入了解整體安全性以及網(wǎng)絡(luò)內(nèi)部的運(yùn)行情況 (例如，它可以給出違反策略的數(shù)量及其來(lái)源的詳細(xì)統(tǒng)計(jì)報(bào)表。新的和升級(jí)的病毒特征文件可以從冠群金辰站點(diǎn)獲得。黑客常常在沒(méi)有察覺(jué)的情況下被抓獲，因?yàn)樗麄儾恢浪麄円恢笔艿矫芮斜O(jiān)視。 網(wǎng)絡(luò)使用日志 網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)軟件使網(wǎng)絡(luò)管理員可以跟蹤最終用戶，應(yīng)用程序等對(duì)網(wǎng)絡(luò)的使用情況。網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)軟件還包含一個(gè)中央事件數(shù)據(jù)庫(kù)、附加報(bào)表以及一個(gè)分布式的內(nèi)容查看器。通過(guò)在不同網(wǎng)段 (本地或遠(yuǎn)程 )上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)代理，管理員可以根據(jù)收集的綜合信息查看警告并生成報(bào)表。軟件安裝完畢并指定一個(gè)存檔位置后，用戶定義一個(gè)可以在檔案文件中記錄任務(wù)數(shù)據(jù)的規(guī)則。 支持環(huán)境 服務(wù)器 /PC 網(wǎng)絡(luò) Windows 95/98 Windows NT/20xx TCP/IP 網(wǎng) （ 3） KSG 郵件過(guò)濾網(wǎng)關(guān) 赤霄過(guò)濾網(wǎng)關(guān)（ KILL Shield Gateway）是冠群金辰公司新一代網(wǎng)絡(luò)過(guò)濾專用設(shè)備，能夠同時(shí)在網(wǎng)絡(luò)層、傳輸層、應(yīng)用層對(duì)病毒、蠕蟲、垃圾郵件、非法內(nèi)容分別進(jìn)行過(guò)濾。 KILL Shield 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 Gateway 獨(dú)有的抗蠕蟲攻擊技術(shù)（ AntiWorm）能夠全方位 抵御所有已知蠕蟲病毒的攻擊和傳播，可以阻斷后門程序、 DoS/DDoS 等動(dòng)態(tài)入侵攻擊行為。而且即使用戶更換了新的代理和郵件服務(wù)器，也無(wú)需改變 KILL Shield Gateway，保護(hù)了用戶的已有投資。用戶基本不需要修改其它網(wǎng)絡(luò)設(shè)備的配置。 透明模式接入 采用透明模式時(shí)， 無(wú)須改變 用戶網(wǎng)絡(luò)環(huán)境中的所有 網(wǎng)絡(luò)設(shè)備（包括主機(jī)、路由器等）和所有計(jì)算機(jī)的配置 (包括 IP 地址和網(wǎng)關(guān) )，只須將 KILL Shield Gateway 串聯(lián)到需重點(diǎn)保護(hù)的網(wǎng)絡(luò)中，例如，要保護(hù)郵件服務(wù)器，可將 KILL Sheild Gateway 連在用戶郵件服務(wù)器之前；要 保護(hù)內(nèi)部網(wǎng)的主機(jī)，可把 KSG 部署在主交換機(jī)和路由器（防火墻）之間，從而大大 增強(qiáng)網(wǎng)絡(luò)的安全性。其中 DMZ 區(qū)中為重要的服務(wù)器，如 FTP 服務(wù)器， Web 服務(wù)器，郵件服務(wù)器等。 從用戶的角度看， 使用 KILL Shield Gateway