【正文】 全漏洞，對計算機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)進(jìn)行干擾和破壞，獲取系統(tǒng)的控制權(quán)、竊取系統(tǒng)文件、阻止系統(tǒng)的正常服務(wù)。基于 UDP 連北京安盟信息技術(shù)有限公司 —— 解決方案 31 接的數(shù)據(jù)包，則需要管理員根據(jù) NISD 報警日志提供的數(shù)據(jù)手工配置路由器或防火墻阻斷。對網(wǎng)絡(luò)流量影響平均低于3%，符合國際工業(yè)標(biāo)準(zhǔn)。網(wǎng)絡(luò)流量取決于安全控制中心與探測器間的信息流量和能識別攻擊與安全事件的次數(shù)以及日志量?？刂婆_可管理所 有探測器，將探測器發(fā)送來的報警信息和日志信息記入數(shù)據(jù)庫，總控全網(wǎng)安全狀況。 (5) 綜合 以上 4 種方法進(jìn)行監(jiān)控其特點是可提高偵測性能，但會產(chǎn)生非常復(fù)雜的網(wǎng)絡(luò)安全方案，嚴(yán)重影響網(wǎng)絡(luò)的效率，而且目前還沒有一個統(tǒng)一的業(yè)界標(biāo)準(zhǔn)。這種技術(shù)不依據(jù)歷史數(shù)據(jù)，系統(tǒng)開銷小，可以準(zhǔn)確地確定受攻擊的部位，受到攻擊的系統(tǒng)容易恢復(fù)；其缺點在于實時性較差，對目標(biāo)的檢驗數(shù)依賴較大。由于這種技術(shù)可 以更準(zhǔn)確地監(jiān)控用戶某一應(yīng)用的行為，所以這種技術(shù)在日益流行的電子商務(wù)中也越來越受到注意，其缺點在于有可能降低技術(shù)本身的安全。 (MIB 庫所一般隨設(shè)備提供 ) /防御 入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全系統(tǒng)的一個重要組成部分，它不但可以實現(xiàn)復(fù)雜煩 瑣的信息系統(tǒng)安全管理，而且還可以從目標(biāo)信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息，分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號和網(wǎng)絡(luò)系統(tǒng)中的漏洞 ,有時還能實時地北京安盟信息技術(shù)有限公司 —— 解決方案 29 對攻擊作出反應(yīng)。其作用為： ? 預(yù)測網(wǎng)絡(luò)和主機(jī)資源的需求，例如網(wǎng)關(guān)流量和服務(wù)器磁盤空間等。命令行功能可以維護(hù)數(shù)據(jù)倉庫。 （ 4）生成和使用 MIB 表達(dá)式 MIB 表達(dá)式是 MIB 對象的數(shù)學(xué)公式，它令您可以比單獨的 MIB 對象中得到有關(guān)網(wǎng)絡(luò)運行的更有意義的信息。還可以通過設(shè)定一個時間間隔進(jìn)行查詢，采集多個事件，并顯示結(jié)果的圖形。 Thresholds 配置 NNM，自動地采集您所選擇的 SNMPMIB 對象（設(shè)定特定的采集時間、建立設(shè)備的閾值監(jiān)視、以及控制 Alarm Browser 上所顯示的結(jié)果）。您可以配置其它動作顯示在網(wǎng)絡(luò)管理系統(tǒng)的菜單中。 Event Configuration 功能：可以定制事件，例如修改 MIB 生成的錯誤信息的標(biāo)準(zhǔn)措詞，令錯誤信息更加清楚明了。當(dāng)發(fā)生設(shè)備和連接故障時，系統(tǒng)將產(chǎn)生大量事件，而一個關(guān)聯(lián)的事件流中只顯示最有意義的警報，可以更快更簡單地識別網(wǎng)絡(luò)的故障。 清單中的每一個警報都顯示了以下的信息： Ack 一個檢查標(biāo)記，指示該警報是否被確認(rèn)。 ? 以多種方法動態(tài)地過濾警報清單，令信息變得更加有用。 拓?fù)渥詣由? N N M 管理平臺逐級發(fā)現(xiàn)拓?fù)渫ㄟ^ M IB 參數(shù)查詢、統(tǒng)計流量設(shè)備端口流量報警 服務(wù)器端口流量報警流量響應(yīng)故障響應(yīng)流量閥值設(shè)定網(wǎng)絡(luò)管理策略響應(yīng)策略日志審計 網(wǎng)絡(luò)管理系統(tǒng)可自動發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點、自動產(chǎn)生網(wǎng)絡(luò)拓?fù)鋱D，支持 DHCP 動態(tài)北京安盟信息技術(shù)有限公司 —— 解決方案 26 分配 IP 網(wǎng)段的自動發(fā)現(xiàn)。 7)統(tǒng)一事件處理 ? 具有事件統(tǒng)一報警處理機(jī)制，完整的事件管理：捕捉各種管理模塊產(chǎn)生的管理事件，并能捕獲操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序產(chǎn)生的日志； ? 具有事件分類、 過濾功能、自動處理能力，需要提供多種報警機(jī)制； ? 提供基于規(guī)則的分析能力，并提供使用簡單的規(guī)則定制工具； ? 具有分布式的智能處理能力； ? 具有事件統(tǒng)計分析、報表功能； ? 提供現(xiàn)成可用的處理規(guī)則，降低實施難度和工作量； ? 支持和第三方管理平臺的事件管理集成性； ? 可以定義事件處理策略和規(guī)則； ? 必須能夠集成所有管理應(yīng)用的事件。 4)軟件分發(fā) 軟件分發(fā)系統(tǒng)功能應(yīng)可以使系統(tǒng)管理員集中控制 本轄區(qū) IT 環(huán)境中應(yīng)用程序、數(shù)據(jù)文件的分發(fā)、安裝、卸載和更新。 1)管理平臺 ? 系統(tǒng)管理體系需要建立在具有先進(jìn)架構(gòu)和技術(shù)的管理平臺之上，管理平臺具有優(yōu)秀的集成性、擴(kuò)展性和伸縮性； ? 管理平臺應(yīng)具有管理信息安全的保障機(jī)制，以確保管理信息在網(wǎng)絡(luò)上傳遞上的安全性和高效性（如管理員 ID 和口令的加密）； ? 系統(tǒng)管理集成在統(tǒng)一的分布式管理平臺上，管理平臺應(yīng)采用面向?qū)ο蠹夹g(shù)，為管理應(yīng)用提供公共服務(wù)（如策略文件的分發(fā)）； ? 系統(tǒng)管理軟 件需要保證在被管理設(shè)備上不占用過多的系統(tǒng)資源 ( 如硬盤空間、內(nèi)存等 )； ? 由于系統(tǒng)管理解決方案采用分布式體系結(jié)構(gòu)，以實現(xiàn)分層管理，因此應(yīng)努力減少網(wǎng)絡(luò)帶寬資源的占用； ? 系統(tǒng)管理解決方案能夠定義多級管理員，完成授權(quán)的不同管理任務(wù)，杜絕超級用戶，而且能夠限制管理員的管理桌面，登錄節(jié)點，管理權(quán)限； 北京安盟信息技術(shù)有限公司 —— 解決方案 22 ? 管理服務(wù)器應(yīng)支持 windows20xx 或 UNIX 平臺。 ? 提高溯源、定位能力。 解決方法： 多級行為監(jiān)控的配置策略可由上級監(jiān)控中心統(tǒng)一管理（配置規(guī)則）下級監(jiān)控中心的運行策略，下級監(jiān)控中心可將高風(fēng)險級別事件上傳至上級監(jiān)控中心，提高全網(wǎng) 監(jiān)控能力，加強(qiáng)協(xié)助分析能力。 要建立一個安全的內(nèi) 部網(wǎng)，一個完整的解決方案必須從多方面入手。單一的保護(hù)機(jī)制不能形成整體抗打擊能力，需要檢測來為響應(yīng)創(chuàng)造條件，有效與充分地響應(yīng)安全事件，將大大減少對保護(hù)和恢復(fù)的依賴；恢復(fù)能力僅是數(shù)據(jù)損失后的最后保障機(jī)制。 入侵者必須通過多層次的防御屏障。 “網(wǎng)絡(luò)安全管理平臺”通過統(tǒng)一的報警與響應(yīng)平臺作為各種層面技術(shù)的信息采集接口，把管理制度、規(guī)范與技術(shù)應(yīng)用有機(jī)地結(jié)合起來，既可以用制度指導(dǎo)技術(shù)應(yīng)用，又可以在技術(shù)應(yīng)用的積累中完善制度；使安全管理體系形成一個良性的動態(tài)循 環(huán)。 ? 安全技術(shù)管理 通過安全管理平臺集中管理各種網(wǎng)絡(luò)安全技術(shù)，將各種安全技術(shù)的報警信息、日志信息集中到安全管理平臺上，安全管理平臺對這些信息進(jìn)行分析和審計，為策略和制度的合理定制奠定基礎(chǔ)。它隨時監(jiān)督著規(guī)劃 ?應(yīng)用 ?審計這個安全系統(tǒng)運行過程的實施情況，管理者可根據(jù)安全系統(tǒng)在運行階段取得的實際經(jīng)驗，不斷完善安全管理制度，使其趨于合理。 從 事件發(fā)展的時間周期上看，安全體系分為三部分配合運做，以達(dá)到最終的協(xié)調(diào)統(tǒng)一。 網(wǎng)絡(luò)安全管理目標(biāo)體系是一個經(jīng)由規(guī)劃 ?應(yīng)用 ?審計 ?規(guī)劃的動態(tài)實現(xiàn)過程，上述的所有安全策略和方法只是完成了初期安全規(guī)劃。三是驗證釣魚網(wǎng)站證書，防止用戶名密碼被盜。 ? 早期攻擊預(yù)警 收集 并 解析位于公網(wǎng)出口處探測器發(fā)來的信息，監(jiān)控外部用戶對內(nèi)網(wǎng)終端 的訪問，并可對外部攻擊行為作出早期預(yù)警，以提高防御系統(tǒng)的反應(yīng)時效。 安全體系的建設(shè)是循序漸進(jìn)的過程，基礎(chǔ)安全管理平臺建設(shè)一般通過以下5個方面集成安全技術(shù)。在應(yīng)用層也是實施數(shù)據(jù)加密，訪問控制的理想位置。 傳輸層的安全防護(hù)：傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用。 網(wǎng)絡(luò)層和安全防護(hù)：網(wǎng)絡(luò)層的安全防護(hù)是面向 IP包的。 整體框架示意如下： 安全管理體系框架標(biāo)準(zhǔn)化發(fā)展目標(biāo)持續(xù)性接口網(wǎng)管安全應(yīng)用制度、規(guī)范 已經(jīng)或?qū)⒁捎玫陌踩夹g(shù)與內(nèi)部網(wǎng)絡(luò)安全技術(shù)使用統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，確?？梢愿鞣N技術(shù)應(yīng)用可納入統(tǒng)一管理平臺，以便在整體安全策略指導(dǎo)下，最大限度的發(fā)揮安全技術(shù)的防御能力。也就是說要根據(jù)網(wǎng)絡(luò)的變化不斷調(diào)整應(yīng)對措施，結(jié)合我們提供的網(wǎng)絡(luò)服務(wù)與安全技術(shù)服務(wù)，適應(yīng)新的網(wǎng)絡(luò)環(huán)境及安全需求。采用先進(jìn)的網(wǎng)絡(luò)工程學(xué)原理，確保實用有效，并提供完整的技術(shù)文檔資料； 3）需求、風(fēng)險、代價平衡的原則 進(jìn)行實際研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定安全策略； 4）綜合性、整體性原則 一個較好的安全管理措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。 網(wǎng)絡(luò)安全管理的需求是變化的。隨著網(wǎng)絡(luò)規(guī)模的增長以及對訪問安全要求的提高，一般需要一臺安全服務(wù)器為所有的撥號用戶提供集中的安全數(shù)據(jù)庫，用戶無需在每臺訪問路由器上增加更改撥號用戶安全信息，從而有助于實現(xiàn)統(tǒng)一的訪問控制策 略 。 （ 2）需要進(jìn)一步分析的內(nèi)容 ? 評定資產(chǎn)價值 ? 根據(jù)不同的關(guān)鍵程度等級劃分?jǐn)?shù)據(jù)級別 ? 有形資產(chǎn) /無形資產(chǎn) ? 明確對資產(chǎn)的潛在威脅和資產(chǎn)受此威脅攻擊的可能性 ? 威脅是任何對網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成損害的個人 、對象或事件 ? 脆弱性是網(wǎng)絡(luò)系統(tǒng)存在的可能被威脅利用的缺陷 ? 分析受到威脅后造成的影響 ? 影響是一旦遭到威脅后，對 XX 市工商局 造成直接的損失和潛在的影響。 內(nèi)部服務(wù)區(qū) 安全風(fēng)險需求 操作系統(tǒng) 弱點 、漏洞 現(xiàn)狀： 使用 OS 廠商補丁 建議： 通過安全評估技術(shù)加固操作系統(tǒng) 網(wǎng)絡(luò)攻擊防范 現(xiàn)狀： 暫無技術(shù)手段 建議： 通過入侵檢測技術(shù)監(jiān)控網(wǎng)絡(luò)攻擊 病毒防范 現(xiàn)狀： 使用桌面防病毒系統(tǒng) 建議： 通過具備集中管理能力的網(wǎng)絡(luò)防病毒系統(tǒng)，加強(qiáng)全網(wǎng)病毒防殺能力。具體劃分如下： 內(nèi)部網(wǎng)絡(luò) 內(nèi)部辦公區(qū) 各樓層 PC機(jī) 、縣區(qū)局工商所 PC 機(jī) 內(nèi)部服務(wù)區(qū) 內(nèi)網(wǎng)服務(wù)器（文件服務(wù)器、打印服務(wù)器等） 重點業(yè)務(wù)區(qū) OA 系統(tǒng)服務(wù)器（數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器）； 各區(qū)域安全管理需求 : 區(qū)域名稱 安全管理需求 技術(shù)情況 重點業(yè)務(wù)區(qū) 安全風(fēng)險需求 操作系統(tǒng) 弱點 、漏洞 現(xiàn)狀： 使用 OS 廠商補丁 建議： 通過安全評估技術(shù)加固操作系統(tǒng) 網(wǎng)絡(luò)攻擊防范 現(xiàn)狀： 暫無技術(shù)手段 建議： 通過入侵檢測技術(shù)監(jiān)控網(wǎng)絡(luò)攻擊； 通過安全隔離系統(tǒng)實現(xiàn)隔離控制 訪問權(quán)限識別 現(xiàn)狀： 使用 OS 提供的口令認(rèn)證 建議： 通過 CA認(rèn)證技術(shù)加強(qiáng)控制 病毒防范 現(xiàn)狀： 使用桌面防病毒系統(tǒng) 建議： 通過具備集中管理能力的網(wǎng)絡(luò)防病毒系統(tǒng)，加強(qiáng)全網(wǎng)病毒防殺能力。 安全需求分析 網(wǎng)絡(luò) 安全 管理體系的目標(biāo)應(yīng)符合 五個基本 安全 要素 :機(jī)密性、完整性、可用性、可控性與可審查性。），信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。但還有心懷不滿的在職員工，這些員工比已經(jīng)離開的員工能造成更大的損失，例如他們可以傳出至關(guān)重要的信息、泄露安全重要信息、錯誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù) 、制造傳播一些有政治影響的或 荒誕淫穢內(nèi)容的信息 等等。典型的 “CIH” 病毒就是一可怕的例子。 （ 9）病毒的攻擊 計算機(jī)病毒一直是計算機(jī)安全的主要威脅。要防止這類問題發(fā)生，應(yīng)將這些 CGI 腳本設(shè)置為 較低級用戶特權(quán)。然而有些站點用到這些超 鏈 接所指站點尋找特定信息。另外，還應(yīng)設(shè)置組特權(quán)，不允許任何使用公開服務(wù)器的人訪問 WWW 頁面文件以外的東西。黑客侵入服務(wù)器后，有可能修改特權(quán)，從普通用戶變?yōu)楦呒売脩?，一旦成功，黑客可以直接進(jìn)入口令文件。這就要求我們必須對站點的訪問活動進(jìn)行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。但是應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的，其結(jié)果是安全漏洞也是不斷增加且隱藏越來 越深。 （ 4）應(yīng)用的安全風(fēng)險分析 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。我們可以這樣講：沒有完全安全的操作系統(tǒng)。因此， XX 市工商局 網(wǎng)絡(luò)的管理人員對各種 安全事故做出有效反應(yīng)變得十分重要。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，在 XX市工商局 局域網(wǎng)內(nèi)，由于 各子 網(wǎng)絡(luò) 間 的物理跨度 是通過電信運營商實現(xiàn)的 ，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險是可以避免的。下面列出部分這類風(fēng)險因素： 網(wǎng)絡(luò)安全可以從以下三個方面來理解： 1 網(wǎng)絡(luò)物理是否安全； 2 網(wǎng)絡(luò)平臺是否安全； 3 系統(tǒng)是否安全； 4 應(yīng)用是否安全； 5 管理是否安全。 面臨的風(fēng)險 隨著網(wǎng)絡(luò) 的 急劇擴(kuò)大和 網(wǎng)絡(luò) 用戶迅速增加，風(fēng)險變得更加嚴(yán)重和復(fù)雜。 其中日常辦公網(wǎng)絡(luò)通過防火墻連接 Inter，經(jīng)常會有病毒、木馬等有害信息進(jìn)入辦公網(wǎng)絡(luò)。 XX 市工商局 從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的，所涉及信息均帶有機(jī)密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計算機(jī)病毒等。為此，改造 XX市工商局 的計算機(jī)網(wǎng)絡(luò)已勢在必行。 2 項目定義 項目名稱： XX 市工商局 網(wǎng)絡(luò)安全建設(shè) 本項目的提出者： XX 市工商局信息中心 規(guī)劃范圍： ? XX 市工商局 局域網(wǎng) ? 建設(shè)安全管理體系，結(jié)合網(wǎng)絡(luò)管理提出基礎(chǔ)安全保護(hù)方法與未來擴(kuò)展框架 ? 整體考慮應(yīng)用擴(kuò)展，建設(shè)綜合數(shù)據(jù)交換平臺 3 環(huán)境描述 XX市工商局 計算機(jī) 網(wǎng)絡(luò)是 由安全需求級別 較 高的業(yè)務(wù)網(wǎng)絡(luò)和日常辦公網(wǎng)絡(luò)組成組成，并且辦公網(wǎng)通過防火墻與 Inter 聯(lián)接。 保護(hù)辦公網(wǎng)的安全，盡量避免病毒、木馬 等有害信息對辦公網(wǎng)造成嚴(yán)重的破壞。下述風(fēng)險由多種