【正文】 一樣。關(guān)機時，機器會把病毒從內(nèi)存中刪除，但卻不能將其從被感染的文件中刪除?？赡茉斐尚畔⑿孤⑽募G失、機器死機等不安全因素。內(nèi)部不滿的職員有的可能熟悉服務器、小程序、腳本和系統(tǒng)的弱點。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。安全策略——包括各種策略、法律法規(guī)、規(guī)章制度、技術(shù)標準、管理標準等，是信息安全的最核心問題，是整個信息安全建設(shè)的依據(jù)；安全管理——主要是人員、組織和流程的管理，是實現(xiàn)信息安全的落實手段；安全技術(shù)——包含工具、產(chǎn)品和服務等，是實現(xiàn)信息安全的有力保證。首先網(wǎng)絡(luò)的安全決不僅僅是一個防火墻或者是PKI/CA系統(tǒng)，它應是包括物理隔離、防火墻、入侵測檢（IDS）、安全評估、病毒防護、PKI/CA認證系統(tǒng)、虛擬專用網(wǎng)（VPN）、計算機取證等功能在內(nèi)的立體的安全防護體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護服務，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。Policy(安全策略)要想實施動態(tài)可適應的網(wǎng)絡(luò)安全，必須首先制定企業(yè)的安全策略，所有的防護、檢測、響應都是依據(jù)安全策略實施的，企業(yè)安全策略為安全管理提供管理方向和支持手段。Detection（檢測）檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應的依據(jù)，它也是強制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時作出有效的響應。要解決好緊急響應問題，就要制訂好緊急響應的方案，做好緊急響應方案中的一切準備工作。 通用性原則：系統(tǒng)設(shè)計所選擇的設(shè)備具有一定的通用性，采用標準的技術(shù)、結(jié)構(gòu)、系統(tǒng)組件和用戶接口，支持所有流行的網(wǎng)絡(luò)標準及協(xié)議。 標準化原則：有效的降低用戶安全風險以及成本折中。 集中性原則：所有的安全產(chǎn)品要求在管理中心可以進行集中管理，這樣才能保證在網(wǎng)管中心的服務器上可以掌握全局。 可靠性原則：網(wǎng)絡(luò)中心網(wǎng)絡(luò)不允許有異常情況發(fā)生，因為一旦網(wǎng)絡(luò)發(fā)生異常情況，就會帶來很大的損失。 可擴展性原則：由于網(wǎng)絡(luò)技術(shù)更新比較快，而且針對XX信息網(wǎng)本次安全項目的實際情況，因此整體系統(tǒng)需要有很好的可擴展性和可升級性，主要是為XX信息網(wǎng)以后網(wǎng)絡(luò)安全系統(tǒng)和其他安全系統(tǒng)提供優(yōu)越的條件。 高效性原則：整個系統(tǒng)應具備較高的資源利用率并便于管理和維護。在為各安全產(chǎn)品選型時，我們立足國內(nèi)，同時保證所選產(chǎn)品的先進性及可靠性，并要求通過國家各主要權(quán)威主管機構(gòu)的安全測評認證。圍繞方正信息安全技術(shù)有限公司的立體安全理念，我們以防火墻，防病毒，入侵檢測系統(tǒng)為重點，結(jié)合漏洞檢測和安全評估技術(shù)、訪問控制和安全管理等技術(shù)，主要從網(wǎng)絡(luò)邊界、內(nèi)部重要網(wǎng)段、關(guān)鍵主機等三個方面綜合地為用戶進行防護管理，以使客戶能達到盡量完整的安全防御措施的目的。內(nèi)部網(wǎng)段的安全在XX內(nèi)部局域網(wǎng)中，有的網(wǎng)段（也包括指VLAN、DMZ區(qū)）運行著非常重要的業(yè)務應用，它們對數(shù)據(jù)、系統(tǒng)的安全性和可靠性都很高的要求，所以要與其它的網(wǎng)段進行一定的隔離措施，以防止受到內(nèi)外人員的攻擊或誤操作行為的干擾或破壞；同時，要對網(wǎng)段內(nèi)的活動狀況進行實時的監(jiān)控和記錄。通過對進出主機數(shù)據(jù)包的檢查和過濾及對主機系統(tǒng)活動狀態(tài)、日志事件的監(jiān)測和分析，實時地保護系統(tǒng)和文件數(shù)據(jù)的完整性和可靠性，保證服務器始終處于良好的工作狀態(tài)。我們將XX網(wǎng)絡(luò)系統(tǒng)劃分為：l 網(wǎng)絡(luò)邊界的公網(wǎng)接入?yún)^(qū)；l 內(nèi)部網(wǎng)段；l 公網(wǎng)服務器區(qū)；等三大區(qū)域，并提出綜合的解決方案。通常情況下，網(wǎng)絡(luò)邊界是最薄弱、最容易被攻擊的地方，所以應該最先考慮對該處的防護和管理。方正FS XX百兆防火墻采用芯片級的設(shè)計和專用的操作系統(tǒng)，超越了常規(guī)的工控機模式，杜絕了為人熟知的通用操作系統(tǒng)中安全漏洞，并進行了源代碼級的精簡和改進，舍棄操作系統(tǒng)中一切與防火墻功能無關(guān)的功能模塊，極大地提高了自身的安全性、可靠性和效率，方正FS XX百兆防火墻這樣卓越的性能很好地滿足XX用戶對網(wǎng)絡(luò)設(shè)備的高性能要求。這種安全控制對連接敏感或重要業(yè)務的網(wǎng)絡(luò)，或連接到在高風險地方（例如不在安全管理及控制范圍的公用或外部地方）的用戶尤其重要。由于XX網(wǎng)絡(luò)的核心重點保護的對象之一是為外部服務的公網(wǎng)服務器群，而WEB、Mail等又是容易攻擊的對象，以合理保護為原則，所以將公網(wǎng)服務器群所在的網(wǎng)段接入方正FS XX防火墻的DMZ區(qū)。這臺防火墻對遠程撥號用戶、分支機構(gòu)及公網(wǎng)用戶對數(shù)據(jù)中心網(wǎng)絡(luò)的訪問進行嚴格控制，禁止掉不必要的端口，防止其利用協(xié)議漏洞、IP欺騙等手段對計費業(yè)務網(wǎng)的機密數(shù)據(jù)造成破壞。使WEB、Mail、DNS組成的對外提供服務的服務器與內(nèi)部機密網(wǎng)絡(luò)完全隔離，并且他們可以采用隱藏IP地址的方式來保護自己，以及把不提供服務的端口全部關(guān)掉，這樣就既不影響對外提供服務，也很好的保護了內(nèi)網(wǎng)機密數(shù)據(jù)的安全性，杜絕了黑客有可能通過公網(wǎng)服務器為跳板進入內(nèi)網(wǎng)。利用DMZ的隔離效果，將對外服務的部分服務器（服務器、Email服務器）放置在DMZ區(qū)域，通過配置訪問控制，保護DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)免受攻擊。防止內(nèi)部員工對外網(wǎng)資源的非法訪問。■ DMZ訪問：通常情況下DMZ對外部和內(nèi)部都不能主動進行訪問，除非特殊的應用需要到內(nèi)部網(wǎng)絡(luò)采集數(shù)據(jù)，可以有限地開放部分服務。DDOS、CGI漏洞和 ICMP 等攻擊。l 利用IPMAC地址綁可以為網(wǎng)絡(luò)管理者提供更高級別的管理，如用戶認證等。●全面的日志記錄和審計功能FSXX防火墻具有全面的日志記錄和審計功能，為網(wǎng)絡(luò)管理人員提供非常詳細的日志記錄，F(xiàn)SXX防火墻的日志審計工具Log Viewer可以做到實時化產(chǎn)生報表、圖文、文本等形式，系統(tǒng)支持電子郵件、基于策略的應用層審計、短信發(fā)送、Syslog請求和定向?qū)С?。同時還對上述服務做到有選擇的細節(jié)行為控制，如HTTP 對命令（GET 、OPTION 、PUT 等）和URL 以及腳本類型進行過濾， SMTP 、POP3 對收發(fā)信人和郵件主題關(guān)鍵字進行控制。利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級別區(qū)域間的邊界，并在邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別、和安全審計等功能。綜合考慮xx網(wǎng)絡(luò)安全實際情況，在本方案中我們推薦使用方正FSXX防火墻，放置xx局域網(wǎng)的交換機與路由器之間，可以更加有效保護了xx數(shù)據(jù)安全。硬件式的防火墻可利用更新固件，很容易地提高性能。 ——相對于高性能硬件PC/WORKSTATION更具價格優(yōu)勢。狀態(tài)檢測方正 FSXX防火墻將訪問控制規(guī)則應用于通過防火墻的信息包來過濾信息，同時它還會根據(jù)網(wǎng)絡(luò)情況，使用管理變化會話的狀態(tài)表，從而更有效地過濾信息包。對用戶來說，狀態(tài)檢測不但能提高網(wǎng)絡(luò)的性能，還能增強網(wǎng)絡(luò)的安全性。URL、SMTP、內(nèi)容和電子郵件過濾方正FS XX防火墻可以根據(jù)安全策略，控制對特定站點或應用程序進行訪問。因此對內(nèi)容進行過濾，能有效地提高網(wǎng)絡(luò)的安全性。 過濾MIME形態(tài)?？构裟芰?　抗攻擊能力是網(wǎng)絡(luò)安全的保證，目前，在“黑客”的攻擊行為中，使用最多、最有效的是DDoS攻擊，它造成的結(jié)果是服務器拒絕服務。 防止外來非法入侵。 防止AppletJava，Active X入侵。NAT功能NAT功能使網(wǎng)絡(luò)便于擴展，并提高網(wǎng)絡(luò)安全。VPN功能 　 通過認證加密，管理信息以密文的形式在網(wǎng)絡(luò)中傳輸，有效保護了防火墻的管理信息不被其他人截獲，即使截獲，截獲者也無法讀懂所截獲的密文信息。VPN加密認證的功能如下：——國際兼容的IPSEC。您的需求管理流量 。BZ 端口用于網(wǎng)絡(luò)監(jiān)控。 權(quán)限分級 方正FS系列的防火墻對管理權(quán)限進行了分級，將權(quán)限分為超級管理員和普通管理員兩級。政策管理員（Rule Manager）可以對安全政策及對象做存取設(shè)定。綜合安全管理中心FOUND SecuwayCenter 2000主要是控制并管理整個網(wǎng)絡(luò)的安全設(shè)備和網(wǎng)絡(luò)設(shè)備、以及確定并執(zhí)行安全策略。因此、這樣可以降低公司的網(wǎng)絡(luò)維護成本。252。 安全策略的設(shè)置和傳播該系統(tǒng)為 方正FS XX防火墻和 Secuwaycenter 2000 Client 提供了全面的安全策略、并且可以按照特定的網(wǎng)絡(luò)環(huán)境和安全要求將安全設(shè)置傳播至所有的主機。252。 冗余性FOUND SecuwayCenter 2000可以按照所需的冗余級別進行安裝和配置。入侵檢測系統(tǒng)部署圖（可根據(jù)實際網(wǎng)絡(luò)拓撲更改此圖）入侵檢測系統(tǒng)是對入侵行為的檢測和控制，是實施網(wǎng)絡(luò)安全監(jiān)控與入侵檢測策略的核心手段。并把這些信息集中報告給數(shù)據(jù)中心的集中管理控制臺。本方案的設(shè)計目標之三：使網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻形成策略聯(lián)動。在部署過程中，針對XXXX信息中心的需求，啟動相應的檢測規(guī)則，通過Email、內(nèi)容監(jiān)控、Http監(jiān)控等手段配置對有害站點的監(jiān)控報警。l 提供對特定網(wǎng)段的時實保護，支持高速交換網(wǎng)絡(luò)的監(jiān)控方正入侵檢測系統(tǒng)不僅提供對特定網(wǎng)段的時實保護，支持高速交換網(wǎng)絡(luò)的監(jiān)控，而且還提供對多個網(wǎng)段的實時保護。l 支持國際標準漏洞庫：CVE、BugTraq、Whitehats方正入侵檢測系統(tǒng)支持國際標準漏洞庫：CVE、BugTraq、Whitehats，并在事件描述中給出CVE、BugTraq、Whitehats漏洞庫的參考號。l 支持用戶自定義檢測事件，自定義事件檢測規(guī)則方正入侵檢測系統(tǒng)是基于靈活設(shè)計的原則設(shè)計的，能支持用戶自定義入侵檢測規(guī)則。支持各種不同的打印和輸出格式。l 提供基本的報警響應方式，包括郵件、手機短信、傳呼機、WinPopup、聲音、傳真、系統(tǒng)日志等方正入侵檢測系統(tǒng)提供界面、Email、手機、聲音、系統(tǒng)日志等多種靈活的報警方式。如果入侵檢測系統(tǒng)不能處理網(wǎng)絡(luò)重負荷的情況，網(wǎng)絡(luò)和服務器將在沒有任何的檢測和阻止的情況下完全地暴露在黑客攻擊者面前。 方正入侵檢測系統(tǒng)構(gòu)架方正入侵檢測系統(tǒng)引擎架構(gòu)強大和及時的攻擊標志庫匹配通常，入侵檢測系統(tǒng)是基于攻擊標志的系統(tǒng)或基于異?；顒拥南到y(tǒng)。方正入侵檢測系統(tǒng)分析TCP、IP和ICMP協(xié)議，最新發(fā)現(xiàn)的協(xié)議弱點攻擊標志可以被加入入侵攻擊的檢測庫。方正入侵檢測系統(tǒng)是基于C/S架構(gòu)的，提供基于Web控制管理系統(tǒng)。通過OCX，遠程終端可以分析方正入侵檢測系統(tǒng)的日志并進行規(guī)則配置。方正入侵檢測系統(tǒng)與ESM通訊時支持IAP協(xié)議，包括OPSEC。方正入侵檢測系統(tǒng)不僅像其他的入侵檢測系統(tǒng)一樣提供特定時期內(nèi)的入侵檢測報告，而且能夠反映方正入侵檢測系統(tǒng)所在網(wǎng)絡(luò)的網(wǎng)絡(luò)情況。報告入侵檢測系統(tǒng)的主要功能就是檢測。表格中的信息可以幫助用戶一目了然地理解網(wǎng)絡(luò)安全情況。 防病毒網(wǎng)關(guān)子系統(tǒng)設(shè)計由于熊貓衛(wèi)士安全網(wǎng)關(guān)（PAGD）具有很強的適應性和負載均衡功能，很容易適應企業(yè)的網(wǎng)絡(luò)需求，透明地調(diào)整對網(wǎng)絡(luò)通訊容量的檢測能力。熊貓衛(wèi)士安全網(wǎng)關(guān)在防病毒解決方案應用中，主要特點體現(xiàn)在以下幾個方面：1． 管理簡單，‘即插即忘’與任何企業(yè)網(wǎng)絡(luò)集成簡單，不需要重新配置網(wǎng)絡(luò)通訊。熊貓衛(wèi)士安全網(wǎng)關(guān)的硬件是特制的，其使用的系統(tǒng)是根據(jù)其特殊的硬件特別優(yōu)化的，同時它集成熊貓的高性能的掃描引擎，所有這一切使得熊貓衛(wèi)士安全網(wǎng)關(guān)具有了每小時處理幾萬封郵件的能力，而對網(wǎng)絡(luò)性能的影響卻降至了最低。因此，熊貓衛(wèi)士安全網(wǎng)關(guān)具有極高的可擴展性。通過對以上協(xié)議的保護，熊貓衛(wèi)士安全網(wǎng)關(guān)可以阻斷現(xiàn)有惡意軟件傳播的所有可能途徑，以對客戶端和服務器提供專業(yè)和有效的防護。為了更好調(diào)整分析，反垃圾郵件模塊還是一個不斷學習的功能，這將顯著地減少垃圾郵件的產(chǎn)生。7． 內(nèi)容過濾熊貓衛(wèi)士安全網(wǎng)關(guān)的內(nèi)容過濾功能，可以抵制未知的病毒和蠕蟲進入公司內(nèi)部網(wǎng)絡(luò)。9． 詳細報告和自定義警告熊貓衛(wèi)士安全網(wǎng)關(guān)提供網(wǎng)絡(luò)通訊和防病毒保護活動的統(tǒng)計。該方案的說明如下：（可根據(jù)實際網(wǎng)絡(luò)拓撲更改此圖）1) 由于XX網(wǎng)絡(luò)的規(guī)模較大，如果能在病毒、垃圾郵件等的入口處進行防護將在很大程度上保護了網(wǎng)絡(luò)安全，因此需在網(wǎng)絡(luò)入口處安放熊貓衛(wèi)士安全網(wǎng)關(guān)。從而使內(nèi)部網(wǎng)絡(luò)可以對99％以上的威脅得以控制。5) 熊貓衛(wèi)士安全網(wǎng)關(guān)還能抵御多種漏洞，如IIS WebDAV漏洞，MIME報頭漏洞等，并且由于它在TCP/IP層面進行掃描，所以還能抵御任何SQLSlammer類型的攻擊，從而確保了某公司網(wǎng)絡(luò)中服務器的安全。通過此WEB管理界面，可以查看防病毒實時監(jiān)控，每個協(xié)議的統(tǒng)計和通過計算機建立TCP/IP連接的統(tǒng)計以及定義的IP地址、網(wǎng)關(guān)、DNS服務器、負載均衡，版本和更新，被掃描的協(xié)議，掃描的最大文件數(shù)等。病毒特征碼庫文件的更新每天進行一次。熊貓衛(wèi)士安全網(wǎng)關(guān)PAGD的病毒防護和內(nèi)容過濾都是實時的，它可以對進出網(wǎng)絡(luò)的數(shù)據(jù)進行實時地主動地掃描，以起到防護作用。PAGD提供強大的管理功能，但仍然需要管理員進行維護，才能做大限度的發(fā)揮其效能。 定期檢查系統(tǒng)更新情況。 配合病毒防護系統(tǒng)完善企業(yè)的病毒防護管理制度，達到機制和人制和諧統(tǒng)一。2． 倉儲服務器在XX信息中心的網(wǎng)絡(luò)中利用AdminSecure部署兩臺倉儲服務器（倉儲服務器），其中一臺倉儲服務器位于管理服務器的同一臺計算機上，作為主倉儲服務器，另一臺則安裝與另一臺計算機上，作為從倉儲服務器。ClientShield將為客戶端計算機提供全面的病毒防護，包括對各種惡意代碼和黑客程序的防護。4． Windows和NetWare服務器防病毒軟件XX信息中心網(wǎng)絡(luò)中的Windows和NetWare服務器計算機將按照管理服務器的指令從倉儲服務器獲得防病毒軟件FileSecure，以及及時自動的按照管理服務器的指令從倉儲服務器更新病毒庫和升級防病毒軟件。8． ISA服務器防病毒軟件XX信息中心網(wǎng)絡(luò)中的MS ISA服務器計算機將按照管理服務器的指令從倉儲服務器獲得防病毒軟件ISASecure，以及及時自動的按照管理服務器的指令從倉儲服務器更新病毒庫和升級防病毒軟件。11． Qmail防病毒軟件XX信息中心網(wǎng)絡(luò)中的Qmail服務器計算機將按照管理服務器的指令從倉儲服務器獲得防病毒軟件QmailSecure，以及及時自動的按照管理服務器的指令從倉儲服務器更新病毒庫和升級防病毒軟件。建議按照Error! Reference source