【正文】 應(yīng)兩個階段有機(jī)地融為一體。 隨著入侵檢測技術(shù)的發(fā)展，入侵檢測系統(tǒng)還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進(jìn)行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。 ? 與網(wǎng)管系統(tǒng)結(jié)合 安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺將預(yù)警事件分級、分類、自動上報給網(wǎng)管系統(tǒng)，供網(wǎng)絡(luò)管理員做全局安全事件分析。 ? 用戶可以方便地修改協(xié)議端口默認(rèn)值，滿足用戶保護(hù)特殊網(wǎng)絡(luò)應(yīng)用的需要，同時有效防止黑客以變形木馬等方式躲避入侵檢測系統(tǒng)監(jiān)控的攻擊。同時，入侵檢測系統(tǒng)應(yīng)允許有經(jīng)驗的用戶根據(jù)網(wǎng)絡(luò)中數(shù)據(jù)流的特點，提供靈活的安全策略管理機(jī)制，利用系統(tǒng)中的事件定義模板，定制網(wǎng)絡(luò)中可疑行為和監(jiān)控對象，定制相應(yīng)的檢測策略，并對這些行為進(jìn)行響應(yīng)，做到重點監(jiān)測、量體裁衣，報告用戶最為關(guān)注的事件，充分提高入侵檢測系統(tǒng)的檢測效率，降低誤 報率。 . 脆弱性 掃描系統(tǒng)設(shè)計 （漏洞掃描） 網(wǎng)絡(luò)的應(yīng)用越來越廣泛，而網(wǎng)絡(luò)不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員 的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴(yán)重。 漏洞掃描系統(tǒng)包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測，報告服務(wù)進(jìn)程，提取對象信息，以及評測風(fēng)險，提供安全建議和改進(jìn)措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。 信息系統(tǒng)安全建設(shè)建議 方案 第 27頁 共 53 頁 系統(tǒng)功能 ? 可以動態(tài)地分析目標(biāo)系統(tǒng)的安全脆弱性 根據(jù)不同的對象類型，自動尋找匹配的掃描策略進(jìn)行下一步的分析 掃描。 系統(tǒng)作用 通過在 **集團(tuán) 網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全漏洞檢測和分析，我們可以做到： ? 對 **集團(tuán) 網(wǎng)絡(luò)重要服務(wù)器和 PC 機(jī)進(jìn)行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞 (這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊信息系統(tǒng)安全建設(shè)建議 方案 第 28頁 共 53 頁 取，甚著造成系統(tǒng)本身的崩潰 )，生成詳細(xì)的可視化報告，同時向管理人員給出相應(yīng)的解決辦法及安全建議。 . 網(wǎng)絡(luò)信息安全 審計系統(tǒng)設(shè)計 來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進(jìn)行的，這些威脅事件多數(shù)是來自于內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些 網(wǎng)絡(luò)信息安全 事件的審計要求， 網(wǎng)絡(luò)信息安全 審計 系統(tǒng)正是在這樣的安全審計需求下產(chǎn)生的?；ヂ?lián)網(wǎng)訪問主要包括Web訪問和基于 Inter的一些應(yīng)用程序的使用。 具備 合理 的定位和管理措施，清晰直觀的監(jiān)控記錄和靈活多樣的數(shù)據(jù)統(tǒng)計報表， 是互聯(lián)網(wǎng)訪問控制 審計 類產(chǎn)品的一項重要功能。審計是記錄用戶使用計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程，它信息系統(tǒng)安全建設(shè)建議 方案 第 29頁 共 53 頁 是提高安全性的重要工具。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進(jìn)行審計 跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。 業(yè)務(wù)網(wǎng)型： ? 對數(shù)據(jù)庫、 Tel 、 FTP等登錄的操作進(jìn)行詳細(xì)的審計和實時監(jiān)控 ? 對 HTTP、 NETBIO、 SMTP、 POP3等應(yīng)用層協(xié)議進(jìn)行審計監(jiān)控 ? 對 FTP、 Tel、數(shù)據(jù)庫操作、應(yīng)用（業(yè)務(wù)）系統(tǒng)等進(jìn)行命令級的審計和訪問控制 ? 對非正常網(wǎng)絡(luò)行為進(jìn)行審計 信息系統(tǒng)安全建設(shè)建議 方案 第 30頁 共 53 頁 互聯(lián)網(wǎng)型： ? 記錄全面的互聯(lián)網(wǎng)訪問信息 ? 屏蔽各類不良網(wǎng)站 ? 控制互聯(lián)網(wǎng)絡(luò)行為 ? 審計 MAIL 信息 ? 過濾不良信息 . 內(nèi)網(wǎng) 安全 管理系統(tǒng)設(shè)計 （終端管理） 一直以來，安全防御理念局限在常規(guī)的網(wǎng)關(guān)級別（防火墻等）、網(wǎng)絡(luò)邊界（漏洞掃描、安全審計、防病毒、 IDS）等方面的防御，重要的安全設(shè)施大致集中于機(jī)房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。由于大型網(wǎng)絡(luò)一般結(jié)構(gòu)較為復(fù)雜，用戶使用水平參差 不齊，而網(wǎng)絡(luò)管理人員編制有限，往往難以面對數(shù)量重大的客戶端事件， 例如： ? 缺少有效手段對客戶端聯(lián)網(wǎng)行為進(jìn)行監(jiān)控，對客戶端違規(guī)聯(lián)網(wǎng)的現(xiàn)象及時發(fā)現(xiàn)，及時阻斷。 ? 如何對硬件資產(chǎn)進(jìn)行自動發(fā)現(xiàn)識別，有效進(jìn)行網(wǎng)絡(luò)資源管理和設(shè)備資產(chǎn)管理，在提高工作精度的同時減少網(wǎng)絡(luò)管理人員的工作量。 ? 如何構(gòu)架功能強(qiáng)大的網(wǎng)絡(luò)客戶端綜合安全報警平臺。 事實表 明，只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患 。 ? 如何有效地監(jiān)控客戶端的 USB 拷貝、打印的行為。 ? 如何對軟件進(jìn)行分發(fā)安裝，以大幅度減少網(wǎng)管的工作量。 ? 如何按照既定策略統(tǒng)一配置客戶端端口策略、注冊表策略等客戶端安全策略。據(jù)統(tǒng)計結(jié)果表明， 80%的安全事件來自與網(wǎng)絡(luò)內(nèi)部，而只有 20%的安全事件來自于外部。 ? 在核心業(yè)務(wù)服務(wù)器區(qū)的出口處 部署一臺 我 公司的 天玥 網(wǎng)絡(luò)信息安全 審計系統(tǒng) （業(yè)務(wù)網(wǎng)型） 探測引擎，實現(xiàn)對 WWW、 FTP、 E_mail、 OA、數(shù)據(jù)庫等應(yīng)用服務(wù) 器的訪問或非法攻擊進(jìn)行數(shù)據(jù)分析并保存，以便事后取證和分析。審計信息對于確定是否有網(wǎng)絡(luò)攻擊的情況，對于確定問題的起因和攻擊發(fā)起處非常重要。幫助企業(yè)發(fā)現(xiàn)互聯(lián)網(wǎng)訪問趨勢，了解企業(yè)互聯(lián)網(wǎng)的使用情況。除了 Web內(nèi)容，一些基于 Inter的應(yīng)用程序，包括常用的即時通訊工具、 P2P 文件共享下載、在線游戲、流媒體播放和股票系統(tǒng)等，也需要加以控制。 對于互聯(lián)網(wǎng)內(nèi)容的管理和控制，歸根到底是對訪問者的管理和控制。 ? 漏洞掃描系統(tǒng)對網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報告，使管理員能夠隨時了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時采取相應(yīng)的措施進(jìn)行修補(bǔ)。 ? 多種形式、人性化的掃描報表 可根據(jù)用戶的不同需求提供不同層次的報告，并提供安全補(bǔ)丁供應(yīng)商的熱連接，快速及時的修補(bǔ)漏洞。 部署方案 對于 網(wǎng)絡(luò)信息安全 來說，安全性取決于所有安全措施中最薄弱的環(huán)節(jié)，而上面我們所討論的問題，就是網(wǎng)絡(luò)的薄弱之處，也是最容易被黑客利用來侵入系統(tǒng)，給我們造成損失的環(huán)節(jié)。最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安全性。包括基于百兆網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)引擎、基于千兆網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)引擎、基于 Windows 平臺的主機(jī)入侵檢測系統(tǒng)引擎、基于 AIX、 Solaris 平臺的主機(jī)入侵檢測系統(tǒng)引擎等。 ? 用戶可以定義與指定的人、郵件、 IP 地址等有關(guān)的行為，實現(xiàn)對重點目標(biāo)的保護(hù)和對重點懷疑對象異常行為的有效監(jiān)控。 可根據(jù)需要設(shè)置條件，實時顯示 TOP10 事件，包括攻擊源、目標(biāo)的 MAC 地址、 IP 地址，流量信息；對各種協(xié)議相關(guān)事件如 Tel、 SMTP，按需要進(jìn)行回放。具有良好可視化、可控性、可管理性的新一代入侵檢測系統(tǒng)可稱為入侵管理系統(tǒng)。入侵檢測系統(tǒng)不僅能抓取網(wǎng)絡(luò)中的數(shù)據(jù)流并進(jìn)行分析，與事件庫中的入侵行為進(jìn)行模式匹配，從而對入侵行為進(jìn)行報警，而且能夠進(jìn)行完備的協(xié)議分析，保證對數(shù)據(jù)流的分析是比較完整的。 ? 網(wǎng)絡(luò)病毒分析 針對當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進(jìn)行預(yù)警，包括 Nimda 蠕蟲、 Sql slammer 蠕蟲等。 ? 異常流量分析 實時監(jiān)控網(wǎng)絡(luò)流量，進(jìn)行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計；產(chǎn)生例如提供點對點數(shù)據(jù)流量及流量排名的詳細(xì)圖表；定義流量異常的閥值，對異常流量進(jìn)行實時報警。 入侵檢測系統(tǒng)的應(yīng)急響應(yīng)體系的架構(gòu)如下圖示。當(dāng)入侵檢測檢測到此攻擊事件時，會實時的傳送一個防護(hù)策略給防火墻，由防火墻來執(zhí)行此策略，實現(xiàn)入侵阻斷。 入侵檢測和防火墻、入侵檢測和漏洞掃 描聯(lián)動體系示意圖如下： 入侵檢測系統(tǒng)與防火墻的聯(lián)動 信息系統(tǒng)安全建設(shè)建議 方案 第 23頁 共 53 頁 ? 入侵檢測系統(tǒng)可以進(jìn)行針對 TCP 連接的阻斷。對 **集團(tuán) 網(wǎng)網(wǎng)絡(luò)系統(tǒng)各級網(wǎng)絡(luò)邊界點的數(shù)據(jù)進(jìn)行監(jiān)測，防止黑客的入侵。 5. 實時對檢測到的入侵行為進(jìn)行報警、阻斷，能夠與防火墻聯(lián)動。 部署方案 根據(jù) **集團(tuán) 網(wǎng)絡(luò)的現(xiàn)狀和日后的發(fā)展需要，通過部署 我 公司的 天闐入侵檢測與管理系統(tǒng) 1. 實時分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和訪問連接，及時檢測出混雜在正常數(shù)據(jù)流中的惡意入侵和攻擊，保護(hù)各級網(wǎng)絡(luò)的安全。 入侵檢測系統(tǒng)是一種動態(tài) 網(wǎng)絡(luò)信息安全 技術(shù)，它能夠發(fā)現(xiàn)入侵者實時攻擊行為，并對其進(jìn)行響應(yīng)。在被保護(hù)的局域網(wǎng)中，入侵檢測設(shè)備應(yīng)安裝在主交換機(jī)上 ,這些保護(hù)措施主要是為了監(jiān)控經(jīng)過網(wǎng)絡(luò)出入口及對重點服務(wù)器進(jìn)行訪問的數(shù)據(jù)流。 入侵檢測系統(tǒng)是實時的網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。 方便的集中管理功能 ? 通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設(shè)備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓?fù)滹@示，能夠?qū)Χ嗯_設(shè)備的日志和流量信息進(jìn)行記錄。 天清漢馬 USG 一體化安全網(wǎng)關(guān)采用了一體化的設(shè)計方案，在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實現(xiàn)了接入安全需要考慮的方方面面，采用天清漢馬 USG 一體化安全網(wǎng)關(guān)，可以從整體上解決了接入安全的問題。 病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。 上網(wǎng)行為管理：對 IM 應(yīng)用進(jìn)行管理和控制，對 P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。 抗拒絕服務(wù)攻擊：根 據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 抗拒絕服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 安全審計：對所有與業(yè)務(wù)相關(guān)的 通訊進(jìn)行紀(jì)錄，保證可進(jìn)行事后分析和可追查性檢查。 防垃圾郵件：防止郵件炸彈攻擊，對垃圾郵件進(jìn)行過濾，提升工作效率。 防泄密：監(jiān)控接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問等。 中心辦公域： 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 防入侵：檢測來自外部的入侵行為并予以阻斷。 4. 中心服務(wù)域 ：所有的業(yè)務(wù)生產(chǎn)系統(tǒng)的服務(wù)器都放置在這個區(qū)域。這是實現(xiàn) 大規(guī)模復(fù)雜信息的系統(tǒng)安全等級保護(hù)的有效方法。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級、使用的對象、面對的威脅和風(fēng)險各不相同。根據(jù)對市場 已 有的安全 技術(shù)分析，功能全面、維護(hù)簡單且性價比較高的 UTM 類產(chǎn)品是比較好的選擇。 信息系統(tǒng)安全建設(shè)建議 方案 第 14頁 共 53 頁 ? 動態(tài)發(fā)展原則 安全防范體系的建設(shè)不是一個一勞永逸的工作，而是一 個長期不斷完善的過程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整而 不斷 升級發(fā)展。在安全體系建設(shè)中，我們采取多種安全防御的技術(shù)和措施來保障 **集團(tuán) 的網(wǎng)絡(luò)系統(tǒng)安全運行。 要使得網(wǎng)關(guān)和終端能夠完美融合，真正的起到縱深防御，遙相呼應(yīng)，需要在網(wǎng)關(guān)產(chǎn)品上整合終端安全策略，在網(wǎng)關(guān)產(chǎn)品上對內(nèi)網(wǎng)終端進(jìn)行統(tǒng)一的安全管理。內(nèi)部網(wǎng)絡(luò)的動態(tài)化，需要我們從另外一個視角來看邊界安全問題。 信息系統(tǒng)安全建設(shè)建議 方案 第 13頁 共 53 頁 其次，在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，終端具有固定的辦公位置，內(nèi)部網(wǎng)絡(luò)相對是靜態(tài)的。良好的安全審計能力是分析 **集團(tuán) 信息系統(tǒng)安全狀況的必要條件。垃圾郵件的危害不僅在于要占用用戶大量的時間去對郵件進(jìn)行篩選、處理，還因為垃圾郵件本身還是病毒、木馬等威脅傳播的重要途徑，會對用戶的終端和業(yè)務(wù)網(wǎng)絡(luò)造成危害。 . 上網(wǎng)行為管理的需求 隨著互聯(lián)網(wǎng)的快速發(fā)展，即時通訊、 P2P 下載、網(wǎng)上炒股、在線視頻播放等應(yīng)用也變得日益廣泛。 信息系統(tǒng)安全建設(shè)建議 方案 第 12頁 共 53 頁 因此需要在信息傳輸兩端部署具有 VPN 能力的設(shè)備或者軟件保證傳輸安全。主要需要認(rèn)證的用戶包括應(yīng)用系統(tǒng)用戶、數(shù)據(jù)用戶、操作系統(tǒng)用戶等。 因此部署網(wǎng)關(guān)防病毒產(chǎn)品，控制病毒的傳播至關(guān)重要。 病毒 傳播速度更快，傳播渠道更多 目前上網(wǎng)用戶已不再局限于收發(fā)郵件和網(wǎng)站瀏覽，此時，文件傳輸成為病毒傳播的另一個重要途徑。而蠕蟲病毒則會搶占有限的網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)堵塞。因此，這類病毒傳播速度非常快，只要有一個用戶受到感染，就可以形成一個非常大的傳染面。 目前病毒的發(fā)展主要呈現(xiàn)以下幾個趨勢，通過了解這些背景情況，將有助于了解防病毒體系的技術(shù)要求。 . 入侵 檢測 /防御需求分析 訪問控制系統(tǒng)可以靜態(tài)的實施訪問控制策略，防止一些非法的訪問等。邊界環(huán)境是比較復(fù)雜的。 . 風(fēng)險 由于 網(wǎng)絡(luò)信息安全 是一個系統(tǒng)工程，網(wǎng)絡(luò)上的攻擊行為和方法也急劇增長，造成