【正文】 ....................................................... 35 . 安全服務(wù)和應(yīng)急響應(yīng) .................................................................................... 36 . 通告服務(wù) ................................................................................................. 36 . 掃描服務(wù) ................................................................................................. 36 . 加固服務(wù) ................................................................................................. 37 . 監(jiān)控服務(wù) ................................................................................................. 37 . 應(yīng)急響應(yīng)服務(wù) ......................................................................................... 38 . 應(yīng)急響應(yīng)體系 ......................................................................................... 38 13. 產(chǎn)品清單 ........................................................................................................... 39 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 4 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 1. 概述 網(wǎng)絡(luò) 的飛速發(fā)展以及企業(yè)對(duì)計(jì)算機(jī)的依賴性逐漸增強(qiáng)，隨之而來(lái)的網(wǎng)絡(luò)信息安全問(wèn)題日益突出。網(wǎng)絡(luò)防黑客、防病 毒等安全問(wèn)題也必須引起相關(guān)企業(yè)、各事業(yè)機(jī)關(guān)的重視。 2. 威脅分析 威脅就是將會(huì)對(duì)資產(chǎn)造成不利影響的潛在的事件或行為，包括自然的、故意的以及偶然的情況。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 5 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 比如，入侵者同樣可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng)（ Cisco 的 IOS）漏洞或者配置漏洞，實(shí)現(xiàn)對(duì)其控制。 相對(duì)邊界網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，熟知操作系統(tǒng)的人員的范圍要廣的多，而且在網(wǎng)絡(luò)上，很容易就能找到許多針對(duì)各種操作系統(tǒng)的漏洞的詳細(xì)描述，所以，針對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)的入侵攻擊在網(wǎng)絡(luò)絡(luò)中也是最多最常見的。對(duì)于網(wǎng)絡(luò)內(nèi)部的安全防范會(huì)明顯的弱于對(duì)于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對(duì)于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，所以，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功，因此一旦攻擊成功，其強(qiáng)烈的攻擊目的也就必然促使了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。 ? 難于徹底清除 智能化的網(wǎng)絡(luò)病毒既可以像傳統(tǒng)病毒一下感染服務(wù)器或客戶端主機(jī)的應(yīng)用文件系統(tǒng)，也兼具網(wǎng)絡(luò)黑客技術(shù)的特點(diǎn)，通過(guò)各種途徑破壞服務(wù)器或客戶機(jī)的重要數(shù)據(jù)，通過(guò)電子郵件系統(tǒng)散播惡意代碼，設(shè)置系統(tǒng)后門，竊取系統(tǒng)的重要數(shù)據(jù)與機(jī)密信息等。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。 ? 專業(yè)性 攻擊技術(shù)和防御技術(shù)是網(wǎng)絡(luò)安全的一對(duì)矛盾體，兩種技術(shù)從不同角度不斷地對(duì)系統(tǒng)的安全提出了挑戰(zhàn)，只有掌握了這兩種技術(shù)才能對(duì)系統(tǒng)的安全有全面的認(rèn)識(shí)，才能提供有效的安全技術(shù)、產(chǎn)品、服務(wù)，這就需要從事安全的公司擁有大量專業(yè)技術(shù)人才，并能長(zhǎng)期的進(jìn)行技術(shù)研究、積累，從而全面、系統(tǒng)、深入的為用戶提供服務(wù)。如圖 1 所示。 從安全體系的實(shí)施的動(dòng)態(tài)性角度， XXX 網(wǎng)絡(luò)系統(tǒng)動(dòng)態(tài)安全管理公式的設(shè)計(jì)充分考慮到了風(fēng)險(xiǎn)評(píng)估、安全策略的制定、防御系統(tǒng)、監(jiān)控與檢測(cè)、響應(yīng)與恢復(fù)等各個(gè)方面，并且考慮到各個(gè)部 分之間的動(dòng)態(tài)關(guān)系與依賴性。我們協(xié)助制訂業(yè)務(wù)網(wǎng)絡(luò)安全策略的時(shí)候，是從全局進(jìn)行考慮，基于風(fēng)險(xiǎn)分析的結(jié)果進(jìn)行決策，建議究竟是加大投入，采取更強(qiáng)有力的保護(hù)措施，還是可以容忍一些小的風(fēng)險(xiǎn)存在而不采取措施。安全防御系統(tǒng)搭建得完善與否，直接決定了 XXX 網(wǎng)絡(luò)系統(tǒng)的安全程度，無(wú)論哪個(gè)層面上的安全措施不到位，都可能是很大的安全隱患，都有可能XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 10 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 造成業(yè)務(wù)網(wǎng)絡(luò)中的后門。 5. 風(fēng)險(xiǎn)評(píng)估（建議） 通過(guò)風(fēng)險(xiǎn)評(píng)估可以進(jìn)一步深入的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)實(shí)際的安全威脅和薄弱環(huán)節(jié)，為網(wǎng)絡(luò)、安全解決方案提供很好的依據(jù)，此處僅為建議，貴方可根據(jù)自身網(wǎng)絡(luò)情況進(jìn)行取舍。 （ 2） 通過(guò)技術(shù)性檢測(cè)評(píng)估獲得 XXX 網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層存在的網(wǎng)絡(luò)安全漏洞報(bào)告。 . 入侵檢測(cè) 建議在 XXX 的網(wǎng)絡(luò)入口處及核心網(wǎng)段部署啟明星辰的天闐入侵檢測(cè)系統(tǒng)，實(shí)時(shí)檢測(cè)進(jìn)出的數(shù)據(jù)和訪問(wèn)連接。 . 漏洞掃描 建議在 XXX 內(nèi)部署啟明星辰天鏡漏洞掃描系統(tǒng)，定期對(duì)內(nèi)部的系統(tǒng)進(jìn)行漏洞檢查，發(fā)現(xiàn)漏洞及時(shí)彌補(bǔ)。 (3) 客戶端防病毒系統(tǒng) 確保 XXX 員工辦公 PC 不受病毒攻擊。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 ? 控制對(duì)系統(tǒng)的訪問(wèn)。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 14 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 ? 集中的安全管理。 ? 增強(qiáng)保密性。 策略執(zhí)行。 即可對(duì)從總廠到設(shè)計(jì)部的雙向網(wǎng)絡(luò)數(shù)據(jù)通訊有一個(gè)安全防范，從而最大化的保障了業(yè)務(wù)網(wǎng)絡(luò)的安全性。 入侵檢測(cè)系統(tǒng) (IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。該系統(tǒng)可安裝于防火墻前后，可以對(duì)攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時(shí)可以對(duì)穿透防火墻進(jìn)行攻擊的數(shù)據(jù)流進(jìn)行響應(yīng)。由于網(wǎng)絡(luò)攻擊大多來(lái)自于網(wǎng)絡(luò)的出口位置，入侵檢測(cè)在此處將承擔(dān)實(shí)時(shí)監(jiān)測(cè)大量出入整個(gè)網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。 對(duì) XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)核心業(yè)務(wù)服務(wù)器的數(shù)據(jù)流量進(jìn)行監(jiān)測(cè)，防止入侵者的蓄意破壞和篡改。 對(duì)關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。因此， 以入侵檢測(cè)系統(tǒng)為核心的動(dòng)態(tài)防御體系，可以實(shí)現(xiàn)入侵檢測(cè)和防火墻、入侵檢測(cè)和漏洞掃描等防護(hù)系統(tǒng)的聯(lián)動(dòng)。所以，建議使用入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)方式，來(lái)實(shí)現(xiàn)整體防護(hù)。 . 基于天闐入侵檢測(cè)系統(tǒng)的應(yīng)急響應(yīng) 如何用好入侵檢測(cè)系統(tǒng)以發(fā)揮其在網(wǎng)絡(luò)安全體系中的重要作用，一直是業(yè)內(nèi)較為困擾的問(wèn)題，我公司通過(guò)多年的 IDS 研發(fā)技術(shù)積累以及眾多大規(guī)模 IDS 項(xiàng)目的部署經(jīng)驗(yàn)，推出天闐入侵檢測(cè)系統(tǒng)與應(yīng)急響應(yīng)體系相結(jié)合的方式來(lái)解決 IDS的實(shí)際應(yīng) 用的問(wèn)題。具有這幾項(xiàng)技術(shù)的支撐是具有龐大的知識(shí)庫(kù)，能夠進(jìn)行入侵管理。 對(duì)于較大規(guī)模的入侵檢測(cè)系統(tǒng)部署，由于一種攻擊從一個(gè)區(qū)域向其它區(qū)域滲透會(huì)有一定的延時(shí)，在這段延時(shí)期間內(nèi)，入侵檢測(cè)系統(tǒng)有義務(wù)將這種警報(bào)發(fā)布到尚未受攻擊的區(qū)域中，以起到及時(shí)防范的作用。這與網(wǎng)絡(luò)規(guī)模是相關(guān)的。各級(jí)控制中心一方面要管理本地的探測(cè)器，另一方面作為上級(jí) IDS 的子控，或者作為下級(jí) IDS 的上一級(jí)控制，起到“上傳下達(dá)”的作用。這種連接可以是多層次的。 天闐不僅 能發(fā)現(xiàn)局域網(wǎng)上發(fā)生的入侵事件，而且可以據(jù)此對(duì)整個(gè)網(wǎng)絡(luò)做出有針對(duì)性的全局預(yù)警。 (3) 內(nèi)容異常分析 基于異常的檢測(cè)技術(shù)可以發(fā)現(xiàn)可疑的網(wǎng)絡(luò)行為，能夠?qū)ξ粗墓舴绞桨l(fā)出預(yù)警信號(hào)，是對(duì)其他方法的有利補(bǔ)充。 (6) 綜合審計(jì) 安全審計(jì)和分析功能有效地分析冗長(zhǎng)的復(fù)雜的日志統(tǒng)計(jì)報(bào)表，令管理員一目了然、明察秋毫。 IDS 與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等安全產(chǎn)品均可實(shí)現(xiàn)聯(lián)動(dòng)，這些聯(lián)動(dòng)本身就是應(yīng)急響應(yīng)的一個(gè)組成部分，使得以前相互獨(dú)立、需要在不同的時(shí)間段內(nèi)完成的入侵檢測(cè)和應(yīng)急響應(yīng)兩個(gè)階段有機(jī)地融為一體。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 24 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 隨著入侵檢測(cè)技術(shù)的發(fā)展 ， IDS 還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進(jìn)行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。 (10) 安網(wǎng)結(jié)合 安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺(tái)將預(yù)警事件分級(jí)、分類、自動(dòng)上報(bào)給網(wǎng)管系統(tǒng)，供網(wǎng)絡(luò) 管理員做全局安全事件分析。 (13) 自定義 包括三個(gè)層次的客戶“自定義”功能：入侵事件的自定義，報(bào)警策略的自定義，探測(cè) 引擎的自定義。 ? 用戶可以定義與指定的人、郵件、 IP 地址等 有關(guān)的行為，實(shí)現(xiàn)對(duì)重點(diǎn)目標(biāo)的保護(hù)和對(duì)重點(diǎn)懷疑對(duì)象異常行為的有效監(jiān)控。包括基于百兆網(wǎng)的網(wǎng)絡(luò)IDS 引擎、基于千兆網(wǎng)的網(wǎng)絡(luò) IDS 引 擎、基于 Windows 平臺(tái)的主機(jī) IDS 引擎、基于 Solaris 平臺(tái)的主機(jī) IDS 引擎，等。最有效的方法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析， 及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞，保證系統(tǒng)的安全性。該系統(tǒng)具有強(qiáng)大的漏洞檢測(cè)能力和檢測(cè)效率，貼切用戶需求的功能定義，靈活多樣的檢測(cè)方式，詳盡的漏洞修補(bǔ)方案和友好的報(bào)表系統(tǒng)，以及方便的在線升級(jí)。 通過(guò)漏洞掃描的結(jié)果，對(duì)系統(tǒng)進(jìn)行加固和優(yōu)化。 ? 多種形式、人性化的掃描報(bào)表 系統(tǒng)對(duì)于被檢測(cè)主機(jī)的漏洞危險(xiǎn)級(jí)別利用紅、黃、綠分別對(duì)高、中、低風(fēng)險(xiǎn)進(jìn)行標(biāo)示，同時(shí)對(duì)于被選中的主機(jī)檢測(cè)信息進(jìn)行突出顯示，方便管理員的查詢管理全面詳細(xì)的分析報(bào)告能力；可根據(jù)用戶的不同需求提供不 同層次的報(bào)告，并提供安全補(bǔ)丁供應(yīng)商的熱連接，快速及時(shí)的修補(bǔ)漏洞。需要一 套具有方便、易用的病毒掃描器，使企業(yè)的計(jì)算機(jī)環(huán)境免受病毒和其它惡意代碼的攻擊。通過(guò)尋找新病毒發(fā)作的典型活動(dòng)來(lái)查詢新的攻擊。 總而言之，通過(guò)全方位的、多層次的防毒系統(tǒng)配置，使 XXX 絡(luò)免遭所有病毒的入侵和危害。事實(shí)上，嵌入 Word 文檔中的宏病毒通常通過(guò)網(wǎng)絡(luò)發(fā)送至未察覺(jué)的用戶。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 30 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 一般來(lái)說(shuō)，基于郵件系統(tǒng)的病毒發(fā)作主要是從客戶端開始，同時(shí)這種病毒感染的對(duì)象主要是基于 Windows 平臺(tái)的主機(jī)和服務(wù)器，對(duì)其它平臺(tái)沒(méi)有感染能力。 如果服務(wù)器被感染，其感染文件將成為病毒感染的源頭，它們會(huì)迅速?gòu)淖烂娓腥景l(fā)展到整個(gè)網(wǎng)絡(luò)的病毒爆發(fā)。一旦檢測(cè)到病毒，該感染文件將被清除、隔離或刪除。為了確保檢測(cè)和清除經(jīng)訪問(wèn)入口所進(jìn)入的普通和新發(fā)現(xiàn)的病毒，桌面系統(tǒng)都需要安裝防病毒軟件。病毒響應(yīng)計(jì)劃的主要目的是利用每種可能的方法來(lái)徹底清除所有的病毒。 11. VPN 虛擬專用網(wǎng)絡(luò)（ VPN）允許一個(gè)單位基于公 共網(wǎng)絡(luò)基礎(chǔ)設(shè)施構(gòu)建自己的“專用網(wǎng)絡(luò)”，并通過(guò)控制對(duì)該網(wǎng)絡(luò)的訪問(wèn)來(lái)建立對(duì)等的連接。其中互聯(lián)網(wǎng)絡(luò)層的安全標(biāo)準(zhǔn)是 IPSec，事實(shí)證明，基于 IPSec 技術(shù)構(gòu)建的 VPN 是應(yīng)用最廣、安全特性最完備的實(shí)