【正文】 部分涉足比較早的企業(yè)和服務(wù)商已經(jīng)有了比較成功的實(shí)施案例。在行政層面部分內(nèi)容，如信息系統(tǒng)安全策略設(shè)計(jì)、詳細(xì)的安全策略制訂等可以通過外部專業(yè)的安全咨詢公司進(jìn)行咨詢，然后結(jié)合企業(yè)的信息安全建設(shè)來制訂。 網(wǎng)絡(luò)、系統(tǒng)操作和管理178。 商業(yè)軟件的購買和維護(hù)178。 安全事件監(jiān)測(cè)和響應(yīng)178。v 信息安全政策總則主要是確定公司信息安全總體原則，明確今后的安全目標(biāo)，有組織、有計(jì)劃的為信息安全建設(shè)給出總體方向，是其它政策和標(biāo)準(zhǔn)的依據(jù)。在技術(shù)方面通過專業(yè)的網(wǎng)絡(luò)綜合管理系統(tǒng)來建立一個(gè)基本安全管理中心的技術(shù)平臺(tái)。 身份認(rèn)證 安全管理解決方案在第2章的安全管理的風(fēng)險(xiǎn)及需求分析中，我們主要從技術(shù)層面和行政層面兩個(gè)方面來進(jìn)行了闡述。v 審計(jì)分析提供系統(tǒng)日志、認(rèn)證日志、報(bào)警日志等等多種水晶報(bào)表格式的統(tǒng)計(jì)分析報(bào)告，為管理員提供安全分析依據(jù)。167。167。v 應(yīng)用監(jiān)管通過多種方式對(duì)計(jì)算機(jī)終端應(yīng)用狀況和用戶行為進(jìn)行監(jiān)控管理。167。 終端網(wǎng)絡(luò)訪問控制通過IP地址、IP/TCP/UDP/ICMP/IGMP協(xié)議、服務(wù)端口等控制，防止遭受外來黑客攻擊，并且防止內(nèi)部終端對(duì)外（或內(nèi)部網(wǎng)絡(luò)其它終端）發(fā)起攻擊。 資產(chǎn)識(shí)別對(duì)非法終端、設(shè)備資產(chǎn)的真實(shí)性識(shí)別可通過綁定IP、MAC、用戶的方式實(shí)現(xiàn)。167。167。167。支持分布式部署，能夠適用于大規(guī)模網(wǎng)絡(luò)環(huán)境的應(yīng)用。接受保護(hù)和管理的終端節(jié)點(diǎn)會(huì)產(chǎn)生各種安全審計(jì)信息，可集中傳輸并存放到日志審計(jì)數(shù)據(jù)庫，管理控制臺(tái)可以訪問和管理審計(jì)信息并進(jìn)行統(tǒng)計(jì)分析。KSMS提供靈活的部署能力，具有良好的擴(kuò)展性。KSMS面向企業(yè)級(jí)用戶，它部署在網(wǎng)絡(luò)中每一臺(tái)計(jì)算機(jī)終端，實(shí)現(xiàn)對(duì)終端的全面保護(hù)，并且強(qiáng)調(diào)對(duì)網(wǎng)絡(luò)終端的統(tǒng)一控制管理。安全和管理的完善結(jié)合，正是終端管理系統(tǒng)設(shè)計(jì)的重要思想。在應(yīng)用程序?qū)用?，?yán)格限定用戶在指定電腦上的合法行為和禁止行為，保證了用戶只能在合法范圍內(nèi)正常使用電腦，避免了用戶對(duì)資源的濫用，也避免了由此造成的維護(hù)成本升高。策略層次如下圖所示：v 多層面、全方位保護(hù)系統(tǒng)的保護(hù)覆蓋了“系統(tǒng)內(nèi)核 系統(tǒng)設(shè)備 應(yīng)用程序”三個(gè)層面，提供了全方位的保護(hù)。管理員可根據(jù)組織機(jī)構(gòu)劃分管理權(quán)限，不同的管理者具有不同的權(quán)限和管轄范圍，支持系統(tǒng)清晰的職權(quán)劃分。終端安全是我們整體解決方案里不可或缺的部分，因?yàn)榻K端安全是我們?nèi)粘０踩ぷ魇亲钪匾彩切枰P(guān)注最多的部分。 基于通用標(biāo)準(zhǔn)的技術(shù)：優(yōu)化網(wǎng)絡(luò)內(nèi)的防病毒更新速度。 無可比擬的集中式部署：能不受地域限制，對(duì)企業(yè)組織中所有的工作站進(jìn)行客戶端分發(fā)和集中管理。 安全政策定義：通過建立安全政策來控制計(jì)算機(jī)上運(yùn)行的程序可執(zhí)行的操作，使網(wǎng)管人員能對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)所有的計(jì)算機(jī)進(jìn)行整體控制管理、定義并干預(yù)正當(dāng)?shù)募氨唤沟牟僮鳌Ｄ茉诘谝粫r(shí)間保護(hù)系統(tǒng)內(nèi)的緩沖區(qū)溢出漏洞不會(huì)被惡意代碼利用作為攻擊的手段，即使還沒有任何針對(duì)該漏洞的資料和補(bǔ)丁程序。入侵防護(hù)企業(yè)版主要特性包括：178。 產(chǎn)品選型及功能描述NOD32企業(yè)級(jí)防病毒安全套裝是一個(gè)高性能和穩(wěn)定的防病毒解決方案，它方便了對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)配置和更新，這些計(jì)算機(jī)包括：工作站，文件服務(wù)器，Exchange和Domino郵件服務(wù)器，SMTP網(wǎng)關(guān)和邊界服務(wù)器。防毒服務(wù)器全面控制防毒代理的運(yùn)行、升級(jí)和刪除等權(quán)限。系統(tǒng)必須明確地規(guī)定保護(hù)的級(jí)別和所需采取的對(duì)策，并制定系統(tǒng)的防病毒策略和部署多層防御戰(zhàn)略，服務(wù)器防病毒、個(gè)人桌面計(jì)算機(jī)防病毒以及所有防病毒產(chǎn)品的統(tǒng)一管理，不要讓網(wǎng)絡(luò)系統(tǒng)中存在“木桶效應(yīng)”。部署時(shí)考慮到企業(yè)現(xiàn)有的計(jì)算環(huán)境及應(yīng)用平臺(tái)，是否與需求資源相匹配；178。 全面性：實(shí)施網(wǎng)絡(luò)防毒系統(tǒng)時(shí)，應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)內(nèi)所有可能作為病毒寄居、傳播及受感染的計(jì)算機(jī)進(jìn)行有效防護(hù)。 企業(yè)防病毒系統(tǒng)目前公司網(wǎng)絡(luò)系統(tǒng)中并沒有一套完整的防病毒策略和技術(shù)方案，工作站安裝的防病毒軟件各種各樣，甚至有些服務(wù)器與工作站沒有安裝防病毒軟件，部分工作上使用的防病毒軟件病毒特征代碼沒有及時(shí)更新，沒有對(duì)防病毒軟件進(jìn)行統(tǒng)一的管理。在此我們通過以下三種手段來完成基于終端的安全管理：178。傳統(tǒng)上，我們通過漏洞掃描發(fā)現(xiàn)系統(tǒng)缺陷；在主機(jī)設(shè)備，通過主機(jī)加固加強(qiáng)主機(jī)防護(hù)能力，通過防病毒、反間諜軟件預(yù)防惡意代碼等。這樣攻擊者就無法訪問運(yùn)行IDS安全工作站，也就無法對(duì)IDS進(jìn)行直接攻擊。比如用戶需要在發(fā)現(xiàn)某種特定類型的攻擊方式的時(shí)候啟動(dòng)一段自己編寫的程序以完成某項(xiàng)功能的時(shí)候，就可以利用IDS提供的接口靈活而方便地進(jìn)行配置完成。為了跟蹤最新的入侵方式和網(wǎng)絡(luò)漏洞，IDS提供大容量的入侵特征庫以及方便的升級(jí)方式，每一個(gè)漏洞都提供了詳細(xì)的說明和解決方法，并且給出了相關(guān)的Bugtraq、CVE以及CAI等國際標(biāo)準(zhǔn)的編號(hào)。 對(duì)“入侵檢測(cè)系統(tǒng)”的使用和使用人員的管理一定要有專門的制度。178。 檢測(cè)和發(fā)現(xiàn)針對(duì)系統(tǒng)中的網(wǎng)絡(luò)攻擊行為，如DoS攻擊。 資源濫用：內(nèi)部人員訪問不當(dāng)站點(diǎn)、玩網(wǎng)絡(luò)游戲，浪費(fèi)網(wǎng)絡(luò)資源，使正常的服務(wù)和數(shù)據(jù)通信得不到保障。 拒絕服務(wù)攻擊（DoS）：通過消耗網(wǎng)絡(luò)帶寬資源或網(wǎng)絡(luò)設(shè)備處理能力資源，使正常的服務(wù)和數(shù)據(jù)通信對(duì)網(wǎng)絡(luò)的傳輸質(zhì)量要求得不到滿足。因此，采用基于IPSec的站點(diǎn)到站點(diǎn)的VPN接入是比較理想的接入方式。SSL VPN是基于應(yīng)用的VPN，基于應(yīng)用層上的連接意味著（和IPSec VPN 比較），SSL VPN 更容易提供細(xì)粒度遠(yuǎn)程訪問（即可以對(duì)用戶的權(quán)限和可以訪問的資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，這是IPSec VPN難以做到的）。SSL VPN通信運(yùn)行在TCP/ UDP協(xié)議上，具有穿越防火墻的能力。雖然這需要在企業(yè)防火墻后面增添硬件，但企業(yè)只要管理一種設(shè)備，不必維護(hù)、升級(jí)及配置客戶軟件。SSL連接也更穩(wěn)定，據(jù)Infonetics最近發(fā)表的報(bào)告表明， SSL將不斷獲得吸引力。SSL VPN將是Web應(yīng)用熱潮的直接受益者，它被認(rèn)為是實(shí)現(xiàn)遠(yuǎn)程安全訪問Web應(yīng)用的最佳手段。在設(shè)計(jì)上，IPSec VPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。IPSec是網(wǎng)絡(luò)層的VPN技術(shù)，表示它獨(dú)立于應(yīng)用程序。VPN建在互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)架構(gòu)上，通過“隧道”協(xié)議，在發(fā)端加密數(shù)據(jù)、在收端解密數(shù)據(jù)，以保證數(shù)據(jù)的私密性。在總部與分支之間的互連，一般要求將分支機(jī)構(gòu)的網(wǎng)絡(luò)接入到總部網(wǎng)絡(luò)。 實(shí)時(shí)系統(tǒng)監(jiān)控 安全網(wǎng)關(guān)提供網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)病毒行為及網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)控。 每日自動(dòng)病毒更新 可以每日自動(dòng)病毒更新，意味著安全網(wǎng)關(guān)始終可以防護(hù)所有最新病毒。 內(nèi)容過濾 內(nèi)容過濾防止未知病毒及蠕蟲進(jìn)入企業(yè)網(wǎng)絡(luò)，大幅減少整體網(wǎng)絡(luò)資源占用及帶寬，防止可能的惡意代碼進(jìn)入到企業(yè)網(wǎng)絡(luò)。 易于安裝及配置 按照即插即用的設(shè)計(jì)思路，能夠非常簡(jiǎn)便地安裝在企業(yè)網(wǎng)絡(luò)中，不需要重新配置或重新路由Internet流量。178。v 功能及優(yōu)勢(shì)：178。安全網(wǎng)關(guān)的硬件及軟件性能經(jīng)過特殊優(yōu)化處理，能夠同時(shí)掃描6種網(wǎng)絡(luò)協(xié)議，并且完全對(duì)企業(yè)網(wǎng)絡(luò)透明。178?？梢远x不受歡迎內(nèi)容目錄，授權(quán)和非授權(quán)網(wǎng)頁。 防病毒模塊能夠掃描最常用的6種協(xié)議，阻止未知病毒和計(jì)算機(jī)蠕蟲進(jìn)入公司網(wǎng)絡(luò)178。 產(chǎn)品選型及功能描述安全網(wǎng)關(guān)的目標(biāo)是在網(wǎng)絡(luò)邊界或Internet網(wǎng)關(guān)處提供全面的病毒防護(hù)，而該病毒防護(hù)設(shè)備是即插即用的，不需要改變?nèi)魏蜪nternet設(shè)置，并對(duì)所有應(yīng)用及服務(wù)透明。通過配置“安全網(wǎng)關(guān)”，我們可以實(shí)現(xiàn)：178。在過去一段時(shí)間內(nèi)所發(fā)生的幾起影響較大的計(jì)算機(jī)病毒事件中，以Internet為主要傳播途徑的病毒占大多數(shù)，如Nimda、Code Red等，、Swen、沖擊波、振蕩波等等。我們可以根據(jù)業(yè)務(wù)模式及具體網(wǎng)絡(luò)結(jié)構(gòu)方式，不僅僅在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，同時(shí)在內(nèi)部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間和各子業(yè)務(wù)系統(tǒng)之間，考慮采用防火墻設(shè)備進(jìn)行邏輯隔離，控制來自內(nèi)外網(wǎng)絡(luò)的用戶對(duì)重要業(yè)務(wù)系統(tǒng)的訪問。 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)，與防火墻內(nèi)置的IDS功能共同組建一個(gè)多級(jí)網(wǎng)絡(luò)檢測(cè)體系。 防止源地址欺騙，使得外部黑客不可能將自身偽裝成系統(tǒng)內(nèi)部人員，而對(duì)網(wǎng)絡(luò)發(fā)起攻擊；178。 病毒感染針對(duì)以上的風(fēng)險(xiǎn)分析及需求的總結(jié)，我們建議在網(wǎng)絡(luò)邊界處設(shè)置防火墻系統(tǒng)、安全網(wǎng)關(guān)及遠(yuǎn)程訪問系統(tǒng)等來完善公司的邊界網(wǎng)絡(luò)安全保護(hù)。針對(duì)公司網(wǎng)絡(luò)系統(tǒng)，來自外部互聯(lián)網(wǎng)的非安全行為和因素包括：178。 邊界安全解決方案在第2章的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及需求分析中，我們主要從外部網(wǎng)絡(luò)連接及內(nèi)部網(wǎng)絡(luò)運(yùn)行之間進(jìn)行了風(fēng)險(xiǎn)的分析。 應(yīng)用安全解決方案；178。第1章 信息安全解決方案設(shè)計(jì)在第2章里，我們分別從網(wǎng)絡(luò)、應(yīng)用、終端及管理四個(gè)方面對(duì)公司的信息系統(tǒng)安全建設(shè)進(jìn)行了風(fēng)險(xiǎn)及需求的分析。 內(nèi)網(wǎng)安全解決方案；178。下面我們分別針對(duì)這5個(gè)安全解決方案進(jìn)行詳細(xì)的描述。就公司網(wǎng)絡(luò)系統(tǒng)來講，網(wǎng)絡(luò)邊界安全負(fù)責(zé)保護(hù)和檢測(cè)進(jìn)出網(wǎng)絡(luò)流量；另一方面，對(duì)網(wǎng)絡(luò)中一些重要的子系統(tǒng)，其邊界安全考慮的是進(jìn)出系統(tǒng)網(wǎng)絡(luò)流量的保護(hù)和控制。 黑客攻擊178。 為防火墻配置適當(dāng)?shù)木W(wǎng)絡(luò)訪問規(guī)則，可以防止來自外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)的未經(jīng)授權(quán)訪問；178。 提供用戶認(rèn)證機(jī)制，使網(wǎng)絡(luò)訪問規(guī)則和用戶直接聯(lián)系起來，安全更為有效和針對(duì)性；178。其內(nèi)置的入侵檢測(cè)系統(tǒng)，可以自動(dòng)識(shí)別黑客的入侵，并對(duì)其采取確切的響應(yīng)措施，有效保護(hù)網(wǎng)絡(luò)的安全，同時(shí)使防火墻系統(tǒng)具備無可匹敵的安全穩(wěn)定性。其中利用電子郵件傳播病毒是最直接的方式，統(tǒng)計(jì)顯示郵件傳播方式占全部病毒傳播的90%以上。經(jīng)過上述風(fēng)險(xiǎn)及需求的分析，在Internet接入處對(duì)病毒、垃圾郵件及惡意代碼進(jìn)行控制，是實(shí)現(xiàn)接入安全的最佳方案。 通過SMTP認(rèn)證保證郵件服務(wù)器不會(huì)被黑客當(dāng)作攻擊別人的跳板等。v 主要模塊178。 內(nèi)容過濾模塊網(wǎng)頁過濾模塊允許管理員限制因特網(wǎng)訪問。 易于使用：安全網(wǎng)關(guān)是目前世面上最易于安裝及使用的硬件網(wǎng)關(guān)產(chǎn)品，作為網(wǎng)絡(luò)信息傳遞的橋梁而非需要重新路由網(wǎng)絡(luò)流量。 表現(xiàn)性能：安全網(wǎng)關(guān)的最大性能是可以取得完全掃描及病毒防護(hù)。并可支持到百兆。 性能高度優(yōu)化的垃圾郵件防護(hù) 整合最新硬件及軟件技術(shù)，提供超乎尋常的優(yōu)異性能，能夠在一個(gè)小時(shí)內(nèi)掃描上萬封郵件，完全對(duì)企業(yè)網(wǎng)絡(luò)透明。178。 保護(hù)所有廣泛使用的網(wǎng)絡(luò)協(xié)議 保護(hù)所有可能的Internet相關(guān)威脅，完全掃描所有常用Internet協(xié)議，包括: HTTP, FTP, SMTP, POP3, IMAP, NNTP. 178。178。 178。 公司與合作伙伴之間的遠(yuǎn)程訪問及互連。 分支與總部的連接目前，由于VPN（虛擬專網(wǎng)）比租用專線更加便宜、靈活，所以有越來越多的公司采用VPN，連接在家工作和出差在外的員工，以及替代連接分公司和合作伙伴的標(biāo)準(zhǔn)廣域網(wǎng)。現(xiàn)在大多數(shù)遠(yuǎn)程安全訪問解決方案是采用IPSec VPN方式，應(yīng)用最廣泛的組網(wǎng)結(jié)構(gòu)是在站點(diǎn)到站點(diǎn)的VPN組網(wǎng)方式。并且，每個(gè)傳輸必然對(duì)應(yīng)到VPN網(wǎng)關(guān)之后的相關(guān)服務(wù)器上。 應(yīng)用系統(tǒng)的遠(yuǎn)程訪問信息技術(shù)發(fā)展到現(xiàn)在，Web成為標(biāo)準(zhǔn)平臺(tái)已勢(shì)不可擋，越來越多的企業(yè)開始將ERP、CRM、SCM移植到Web上。安裝了這類軟件或硬件，使用者基本上就不需要IT部門的支持了，只要從其PC機(jī)上的瀏覽器向公司網(wǎng)注冊(cè)即可。用戶通過與因特網(wǎng)連接的任何設(shè)備實(shí)現(xiàn)連接，并借助于SSL隧道獲得安全訪問。SSL VPN可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上。鑒于IPSec客戶機(jī)存在的問題，IPSec VPN實(shí)際上只適用于易于管理的或者位置固定的設(shè)備。 總部與分支機(jī)構(gòu)之間的需要通過現(xiàn)有的Internet進(jìn)行互連，