【正文】 因素引起，與這個(gè)局域網(wǎng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。以及高可用性的硬件、雙機(jī)多冗余的設(shè)計(jì)、機(jī)房環(huán) 境及報(bào)警系統(tǒng)、安全意識(shí)等。 雖然 公開(kāi)服務(wù)器本身 不 為外界 提供 服務(wù)， 但是員工的誤操作以及病毒的感染也會(huì)對(duì)它們?cè)斐捎绊懮踔猎斐善茐?。 網(wǎng)絡(luò)操作系 統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)的可靠性：對(duì)于中國(guó)來(lái)說(shuō)，恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是 Microsoft 的 Windows 20xx 或者其他任何商用UNIX 操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其 BackDoor。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶(hù)的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限 制在最小的范圍內(nèi)。 應(yīng)用系統(tǒng) 的 安全 狀況在 動(dòng)態(tài) 地、 不斷 地 變化 ， 應(yīng)用的安全涉及面很廣，以目前 Inter 上應(yīng)用最為廣泛的 Email 系統(tǒng)來(lái)說(shuō)，其解決方案有幾十種，但其系統(tǒng)內(nèi)部的編碼甚至編譯器導(dǎo)致的 BUG 是很少有人能夠發(fā)現(xiàn)的，因此一套詳盡的測(cè)試軟件是相當(dāng)必須的。 （ 5）管理的安全風(fēng)險(xiǎn)分析 管理是網(wǎng)絡(luò)中安全最重要的部分。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線(xiàn)索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。公開(kāi)服務(wù)器存在漏洞 的一個(gè)典型例證，是黑客可以輕易地騙過(guò)公開(kāi)服務(wù)器軟件，得到 服務(wù)器 的口令文件并將之送回。這時(shí)為了防止黑客，需要設(shè)置公開(kāi)服務(wù)器，使得它不離開(kāi)自己的空間而進(jìn)入另外的目錄。許多頁(yè)面文件和指向其他頁(yè)北京安盟信息技術(shù)有限公司 —— 解決方案 8 面或站點(diǎn)的超 鏈 接。通常，這些 CGI 腳本只能在這些所指 WWW 服務(wù)器中尋找，但如果進(jìn)行一些修改，他們就可以在 WWW 服務(wù)器之外進(jìn)行尋找。應(yīng)該加強(qiáng)對(duì)惡意代碼的檢測(cè)。當(dāng)然，查看文檔、瀏覽圖像或在 Web 上填表都不用擔(dān)心病毒感染，然而，下 載可執(zhí)行文件和接收來(lái)歷不明的 EMail 文件需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重的破壞。對(duì)于已經(jīng)離職的不滿(mǎn)員工，可以通過(guò)定期改變口令和刪除系統(tǒng)記錄以減少這類(lèi)風(fēng)險(xiǎn)。 北京安盟信息技術(shù)有限公司 —— 解決方案 9 信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如 黑客 們利用電磁泄漏或搭線(xiàn)竊聽(tīng)等方式可截獲機(jī)密 信息，或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如用戶(hù)口令、帳號(hào)等重要信息。 利用網(wǎng)絡(luò)傳播病毒：通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶(hù)很難防范。 （ 1）網(wǎng)絡(luò)安全需求 明 確需要保護(hù)什么？用什么樣的機(jī)制保護(hù)？如何協(xié)調(diào)？ 資產(chǎn)分類(lèi) 保護(hù)對(duì)象 硬件 工作站、個(gè)人計(jì)算機(jī)、打印機(jī)、路由器、交換機(jī)、調(diào)制解調(diào)器、OA、 DB 服務(wù)器 、 工作站、防火墻 軟件 應(yīng)用系統(tǒng)、診斷程序、操作系統(tǒng)和通信程序等 數(shù)據(jù) 在線(xiàn)保存和離線(xiàn)歸檔的數(shù)據(jù)、備份、注冊(cè)記錄、數(shù)據(jù)庫(kù)以及通信介質(zhì)上傳輸?shù)臄?shù)據(jù) 人員 用戶(hù)、管理員和硬件維護(hù)人員 文檔 軟件程序、內(nèi)部硬件和軟件的評(píng)價(jià)、系統(tǒng)以及本地程序 北京安盟信息技術(shù)有限公司 —— 解決方案 10 為了對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行基本的分析，按照提供的服務(wù)性質(zhì)我們把網(wǎng)絡(luò)系統(tǒng)劃分為內(nèi)部辦公區(qū)、內(nèi)部服務(wù)區(qū)、重點(diǎn)業(yè)務(wù)區(qū)。 建議： 通過(guò)安全管理審計(jì)系統(tǒng)與網(wǎng)絡(luò)管理系統(tǒng)配合加強(qiáng)管理。 內(nèi)部辦公區(qū) 病毒防范 現(xiàn)狀： 使用桌面防病毒系統(tǒng) 建議： 通過(guò)具備集中管理能力的網(wǎng)絡(luò)防病毒系統(tǒng)，加強(qiáng)全網(wǎng)病毒防殺能力。 ? 性能成本（可用性、效率） ? 經(jīng)濟(jì)成本：實(shí)施和管理安全程序的花費(fèi)必須與潛在利益進(jìn)行比較 北京安盟信息技術(shù)有限公司 —— 解決方案 12 有三種對(duì)策性問(wèn)題的解決有助于內(nèi)部網(wǎng)或內(nèi)部用戶(hù)的安全防范 1） 內(nèi)部互訪 如何控 制網(wǎng)絡(luò)不同部門(mén)之間的互相訪問(wèn)； 2） 管理維護(hù) 如何對(duì)不斷變更的用戶(hù)進(jìn)行有效的管理； 3） 安全認(rèn)證 如何加強(qiáng)遠(yuǎn)程撥號(hào)用戶(hù)的安全認(rèn)證管理 ； 在網(wǎng)絡(luò)規(guī)模較小，只有少數(shù)的訪問(wèn)服務(wù)器提供遠(yuǎn)程訪問(wèn)時(shí)，一般采用訪問(wèn)服務(wù)器的本地安全數(shù)據(jù)來(lái)提供安全認(rèn)證。同時(shí)，以網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、科學(xué)審計(jì)為依托構(gòu)建多層次立體綜合安全框架，形成以保障 市政府 核心業(yè)務(wù)安全為重點(diǎn)，各系統(tǒng)穩(wěn)定運(yùn)行為基礎(chǔ)的網(wǎng)絡(luò)安全管理體系。 建設(shè)原則 為達(dá)成全網(wǎng)信息化建設(shè)的規(guī)劃目標(biāo)，在規(guī)劃設(shè)計(jì)中除遵循保障的業(yè)務(wù)運(yùn)行效率，以及具有良好的可擴(kuò)展性能這兩個(gè)基本原則外，還遵循以下原則： 1）實(shí)用性原則 充分考慮已有資源（軟硬件及網(wǎng)絡(luò)設(shè)備）的合理利用，做好新舊系統(tǒng)平穩(wěn)過(guò)渡，避免出現(xiàn)不必要的浪費(fèi)； 2）先進(jìn)性原則 北京安盟信息技術(shù)有限公司 —— 解決方案 13 使網(wǎng)絡(luò)安全系統(tǒng)在技術(shù)上達(dá)到同行業(yè)國(guó)內(nèi)領(lǐng)先水平和二十一世紀(jì)國(guó)際先進(jìn)水平，是本系 統(tǒng)追求的總體目標(biāo)。主要產(chǎn)品應(yīng)具備簡(jiǎn)單、方便、友好的全中文用戶(hù)界面，使用戶(hù)易于理解、易學(xué)、易操作； 6）動(dòng)態(tài)實(shí)施管理原則 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用與安全性也會(huì)不斷變化，一勞永逸地解決網(wǎng)絡(luò)應(yīng)用與安全問(wèn)題是不現(xiàn)實(shí)的。 北京安盟信息技術(shù)有限公司 —— 解決方案 14 長(zhǎng)遠(yuǎn)網(wǎng)絡(luò)安全體系建設(shè)包含以下要點(diǎn)： （ 1）廣域網(wǎng)安全技術(shù)集成 VPN 技術(shù)、安全路由技術(shù)、認(rèn)證技術(shù) （ 2）局域網(wǎng)安全技術(shù)集成 訪問(wèn)控制、入侵檢測(cè)、隔離網(wǎng)閘、評(píng)估等 （ 3）綜合審計(jì)技術(shù) 以上所有安全技術(shù)與網(wǎng)管技術(shù)、應(yīng)用系統(tǒng)之間的協(xié)調(diào)管理。它對(duì)所有用戶(hù)數(shù)據(jù)一起加密，用戶(hù)數(shù)據(jù)通過(guò)通信線(xiàn)路送到另一節(jié)點(diǎn)后解密。在網(wǎng)絡(luò)層也可實(shí)施相應(yīng)的入侵檢測(cè)。在應(yīng)用層北京安盟信息技術(shù)有限公司 —— 解決方案 15 可以實(shí)施強(qiáng)大的基于用戶(hù)的身份認(rèn)證。應(yīng)用層的安全防護(hù)是面向用戶(hù)和應(yīng)用程序的，因此可以實(shí)施細(xì)粒度的安全控制。其主要任務(wù)描述如下 : ? 檢測(cè)惡意行為 通過(guò)時(shí)實(shí)監(jiān)控 、 解析網(wǎng)絡(luò)數(shù)據(jù)流，及時(shí)發(fā)現(xiàn)針對(duì)服務(wù)器及其它網(wǎng)絡(luò)終端設(shè)備的惡意行為，并做出反應(yīng)。二是檢查客戶(hù)端是否安裝了符合規(guī)定的操作系統(tǒng)、殺毒軟件、防火墻程序等，不符合規(guī)定的不允許訪問(wèn)外網(wǎng)，以防帶入不安全因素北京安盟信息技術(shù)有限公司 —— 解決方案 16 到內(nèi)網(wǎng)。五是可以記錄下所有的網(wǎng)絡(luò)行為訪問(wèn)記錄，比如外發(fā)消息，監(jiān)控用戶(hù)網(wǎng)訪問(wèn)過(guò)的網(wǎng)址和試圖訪問(wèn)的網(wǎng)址等，在內(nèi)部人員上網(wǎng)前進(jìn)行認(rèn)證，明確責(zé)任。整個(gè)安全體系將依照上述過(guò)程不斷循環(huán)往復(fù)，進(jìn)而不斷完善成熟。 （ 4）管理制度也是不可忽視的因素 在我們的安全體系設(shè)計(jì)思想中，安全管理制度應(yīng)發(fā)揮不 可替代的作用。 ? 網(wǎng)絡(luò)安全技術(shù)應(yīng)用 通過(guò)網(wǎng)絡(luò)安全技術(shù)解決網(wǎng)絡(luò)及系統(tǒng)運(yùn)行中存在的安全風(fēng)險(xiǎn)，利用防火墻系統(tǒng)增強(qiáng)內(nèi)外網(wǎng)之間的訪問(wèn)控制能力，利用入侵檢測(cè)技術(shù)監(jiān)控全網(wǎng)的訪問(wèn)行為，利用安全評(píng)估技術(shù)增強(qiáng)系統(tǒng)的抗攻擊能力，利用防病毒技術(shù)增強(qiáng)網(wǎng)絡(luò)系統(tǒng)防范病毒能力。以網(wǎng)絡(luò)安全管理平臺(tái)為核心形成安全集中管理體系，不但可以實(shí)現(xiàn)各種技術(shù)的無(wú)縫集成，而且能夠形成面向決策的智能化體系。在防御體系中，為入侵者設(shè)置了層層屏障。 安全技術(shù)的通用部署策略： 北京安盟信息技術(shù)有限公司 —— 解決方案 19 多種安全技術(shù)（保護(hù)、檢測(cè) 、響應(yīng)、恢復(fù)）之間存在著一定的因果和依存關(guān)系，形成一個(gè)整體。對(duì)網(wǎng)絡(luò)特征與信息傳遞動(dòng)作特征的分析總結(jié)，可以幫助管理者掌控自己網(wǎng)絡(luò)系統(tǒng)每一個(gè)應(yīng)用的技術(shù)細(xì)節(jié)，透徹理解網(wǎng)絡(luò)協(xié)議的內(nèi)涵，為改進(jìn)網(wǎng)絡(luò)安全體系積累技術(shù)依據(jù)。 ? 人員因素：網(wǎng)絡(luò)中安全事件過(guò)多或需要根據(jù)需求分析不同層次的網(wǎng)絡(luò)行為時(shí)，因?yàn)槿罩玖窟^(guò)大、策略配置的不完整以及人的精力畢竟有限等因素，監(jiān)控中心過(guò)少將不可避免地導(dǎo)致片面性及響應(yīng)時(shí)效不足等情況出現(xiàn)。 ? 安全事件的響應(yīng)靈活，避免造成在主干網(wǎng)上實(shí)施阻斷時(shí)對(duì)網(wǎng)絡(luò)應(yīng)用產(chǎn)生影響。 避免因分析規(guī)則過(guò)細(xì)導(dǎo)致的監(jiān)控中心數(shù)據(jù)過(guò)大，降低分析和響應(yīng)能力，影響行為分析的運(yùn)行。 3)服務(wù)器系統(tǒng)監(jiān)控管理 ? 提供對(duì)被監(jiān)控服務(wù)器的重要特定資源進(jìn)行實(shí)時(shí)監(jiān)控； ? 服務(wù)器系統(tǒng)資源監(jiān)控的參數(shù)配置靈活、簡(jiǎn)便，并且能定制增加新的監(jiān)控器； ? 可以根據(jù)不同情況設(shè)置 不同報(bào)警級(jí)別、預(yù)警閥值，在系統(tǒng)出現(xiàn)臨界狀北京安盟信息技術(shù)有限公司 —— 解決方案 23 態(tài)，系統(tǒng)能自動(dòng)報(bào)警、自動(dòng)響應(yīng)和根據(jù)設(shè)置自動(dòng)處理； ? 系統(tǒng)監(jiān)控應(yīng)支持對(duì)歷史數(shù)據(jù)的查看、分析和統(tǒng)計(jì)，并能生成性能監(jiān)控歷史分析圖和預(yù)測(cè)分析； ? 提供集中式的基于策略的管理方式，在一臺(tái)機(jī)器上就可以對(duì)整個(gè)網(wǎng)絡(luò)中的所有服務(wù)器進(jìn)行遠(yuǎn)程監(jiān)控和設(shè)置，可以集中定義、控制監(jiān)控內(nèi)容的配置、下發(fā)； ? 支持對(duì)服務(wù)器的日志進(jìn)行監(jiān)控管理； ? 提供在線(xiàn)和非在線(xiàn)的監(jiān)控系統(tǒng)運(yùn)行性能，如 NT 的內(nèi)存使用，進(jìn)程運(yùn)轉(zhuǎn)，文件系統(tǒng)利用，用戶(hù)登錄，應(yīng)用運(yùn)行，數(shù)據(jù)庫(kù)參數(shù)。其功能應(yīng)包括： ? 在統(tǒng)一的主控臺(tái)集中進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)備份，備份操作可定時(shí)自動(dòng)進(jìn)行； ? 支持 Windows20xx Server 平臺(tái)； ? 支持全備份、增量備份、歸檔等多種備份方式，并且針對(duì)不同的備份方式提供不同的備份策略； ? 提供災(zāi)難備份管理； ? 能支持?jǐn)?shù)據(jù)庫(kù)的 Online 在線(xiàn)備份，如 Oracle， SQL 數(shù)據(jù)庫(kù)； ? 能提供對(duì)存儲(chǔ)介質(zhì)的管理，如支持電子標(biāo)簽等； ? 支持磁帶內(nèi)部標(biāo)簽，杜絕因誤操作而引起的數(shù)據(jù)丟失； ? 能支持對(duì)裸設(shè)備的備份 /恢復(fù)； ? 能提供全面的報(bào)表以反映數(shù)據(jù)存儲(chǔ)的情況。 9)支持管理 ? 為管理信息提供決策分析支持； ? 提供對(duì)網(wǎng)絡(luò)管理、服務(wù)器管理、故障管理、資產(chǎn)管理、軟件分發(fā)管理的統(tǒng)計(jì)分析指導(dǎo)，并自動(dòng)根據(jù)新的數(shù)據(jù)生成報(bào)告； ? 提供客戶(hù)化支持，能夠增加自定義的分析項(xiàng)目； ? 分析結(jié)果以圖表方式表現(xiàn)，并可以按照機(jī)器類(lèi)型、地址、時(shí)間進(jìn)行查詢(xún)，對(duì)分析結(jié)果能夠逐層深入；報(bào)表可以生成 HTML 文件，進(jìn)行公布。 ? 確認(rèn)造成警報(bào)的故障正在被處理。 ? 指出特定事件中需要執(zhí)行的額外動(dòng)作。事件關(guān)聯(lián)功能可以明顯地減少顯示在北京安盟信息技術(shù)有限公司 —— 解決方案 27 報(bào)警欄中的冗余事件的數(shù)量，并提高事件的價(jià)值?？梢赃M(jìn)行查詢(xún)、判斷遠(yuǎn)程設(shè)備的狀態(tài)、配置和有效資源。 ? 執(zhí)行批處理文件或者可執(zhí)行文件的其它動(dòng)作。 ? Data Collection amp。 （ 2）流量查詢(xún) 查詢(xún) MIB 對(duì)象，或者通過(guò)鍵入 IP 地址查詢(xún)指定的網(wǎng)絡(luò)設(shè)備的相關(guān)事件北京安盟信息技術(shù)有限公司 —— 解決方案 28 (instanaces)，可以查看所選節(jié)點(diǎn)上的實(shí)時(shí) MIB 數(shù)值；從而取得和分析該設(shè)備流量。例如，一個(gè)主要硬盤(pán)上的閾值，或端口流量閥值等。 （ 5）歷史數(shù)據(jù)分析 網(wǎng)絡(luò)管理系統(tǒng)的數(shù)據(jù)倉(cāng)庫(kù)是提供的一個(gè)關(guān)系型數(shù)據(jù)庫(kù) (RDBMS)。通過(guò) Data Warehouse 功能可以從數(shù)據(jù)倉(cāng)庫(kù)中輸出數(shù)據(jù)，用于其它的統(tǒng)計(jì)分析程序或者管理工具。 （ 6）對(duì)設(shè)備支持 網(wǎng)絡(luò)管理系統(tǒng)可對(duì)所有支持 SNMP的 設(shè)備進(jìn)行管理，在網(wǎng)絡(luò)管理系統(tǒng)中 Load相應(yīng)設(shè)備的 MIB 庫(kù)，使其支持該設(shè)備。 入侵檢測(cè)技術(shù)可分為五種： (1) 基于應(yīng)用的監(jiān)控技術(shù) 主要特征是使用監(jiān)控傳感器在應(yīng)用層收集信息。 (3) 基于目標(biāo)的監(jiān)控技術(shù) 主要特征是針對(duì)專(zhuān)有系統(tǒng)屬性、文件屬性、敏感數(shù)據(jù)、攻擊進(jìn)程結(jié)果進(jìn)行監(jiān)控。此外，該技術(shù)對(duì)高速網(wǎng)絡(luò)不是特別有效。探測(cè)器分布于需要保護(hù)的網(wǎng)段上，實(shí)時(shí)捕捉惡意網(wǎng)絡(luò)行為，監(jiān)控所在網(wǎng)段安全狀況。 ? 工作方式 入侵檢測(cè)系統(tǒng)以監(jiān)聽(tīng)方式工作，是完全透明方式，對(duì)網(wǎng)絡(luò)通訊不附加任何延時(shí)，不會(huì)影響網(wǎng)絡(luò)傳輸。 一般情況下，入侵檢測(cè)系統(tǒng)不會(huì)增加網(wǎng)絡(luò)流量。 基于 TCP 連接的數(shù)據(jù)包， NISD 可根據(jù)安全策略進(jìn)行自動(dòng)阻斷。 識(shí)別的攻擊類(lèi)型 入侵檢測(cè)系統(tǒng)系統(tǒng)中內(nèi)含入侵方法庫(kù)，包括了 1000 多種入侵方法，并且還將通過(guò)不斷跟蹤網(wǎng)絡(luò)入侵技術(shù)的發(fā)展，繼續(xù)擴(kuò)充入侵方法庫(kù)，以識(shí)別新的入侵特征。 入侵檢測(cè)系統(tǒng)內(nèi)置已知網(wǎng)絡(luò)攻擊模式數(shù)據(jù)庫(kù)，能夠根 據(jù)網(wǎng)絡(luò)數(shù)據(jù)流和網(wǎng)絡(luò)通訊會(huì)話(huà)軌跡，尋找網(wǎng)絡(luò)攻擊模式