【正文】 ....................................................... 35 . 安全服務(wù)和應(yīng)急響應(yīng) .................................................................................... 36 . 通告服務(wù) ................................................................................................. 36 . 掃描服務(wù) ................................................................................................. 36 . 加固服務(wù) ................................................................................................. 37 . 監(jiān)控服務(wù) ................................................................................................. 37 . 應(yīng)急響應(yīng)服務(wù) ......................................................................................... 38 . 應(yīng)急響應(yīng)體系 ......................................................................................... 38 13. 產(chǎn)品清單 ........................................................................................................... 39 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 4 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 1. 概述 網(wǎng)絡(luò) 的飛速發(fā)展以及企業(yè)對計算機的依賴性逐漸增強，隨之而來的網(wǎng)絡(luò)信息安全問題日益突出。網(wǎng)絡(luò)防黑客、防病 毒等安全問題也必須引起相關(guān)企業(yè)、各事業(yè)機關(guān)的重視。 2. 威脅分析 威脅就是將會對資產(chǎn)造成不利影響的潛在的事件或行為，包括自然的、故意的以及偶然的情況。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 5 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 比如，入侵者同樣可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng)（ Cisco 的 IOS）漏洞或者配置漏洞，實現(xiàn)對其控制。 相對邊界網(wǎng)絡(luò)設(shè)備來說，熟知操作系統(tǒng)的人員的范圍要廣的多，而且在網(wǎng)絡(luò)上，很容易就能找到許多針對各種操作系統(tǒng)的漏洞的詳細描述，所以，針對操作系統(tǒng)和數(shù)據(jù)庫的入侵攻擊在網(wǎng)絡(luò)絡(luò)中也是最多最常見的。對于網(wǎng)絡(luò)內(nèi)部的安全防范會明顯的弱于對于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，所以，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功，因此一旦攻擊成功，其強烈的攻擊目的也就必然促使了更為隱蔽和嚴重的網(wǎng)絡(luò)破壞。 ? 難于徹底清除 智能化的網(wǎng)絡(luò)病毒既可以像傳統(tǒng)病毒一下感染服務(wù)器或客戶端主機的應(yīng)用文件系統(tǒng)，也兼具網(wǎng)絡(luò)黑客技術(shù)的特點，通過各種途徑破壞服務(wù)器或客戶機的重要數(shù)據(jù)，通過電子郵件系統(tǒng)散播惡意代碼，設(shè)置系統(tǒng)后門，竊取系統(tǒng)的重要數(shù)據(jù)與機密信息等。一個較好的安全措施往往是多種方法適當綜合的應(yīng)用結(jié)果。 ? 專業(yè)性 攻擊技術(shù)和防御技術(shù)是網(wǎng)絡(luò)安全的一對矛盾體，兩種技術(shù)從不同角度不斷地對系統(tǒng)的安全提出了挑戰(zhàn)，只有掌握了這兩種技術(shù)才能對系統(tǒng)的安全有全面的認識，才能提供有效的安全技術(shù)、產(chǎn)品、服務(wù)，這就需要從事安全的公司擁有大量專業(yè)技術(shù)人才，并能長期的進行技術(shù)研究、積累，從而全面、系統(tǒng)、深入的為用戶提供服務(wù)。如圖 1 所示。 從安全體系的實施的動態(tài)性角度， XXX 網(wǎng)絡(luò)系統(tǒng)動態(tài)安全管理公式的設(shè)計充分考慮到了風險評估、安全策略的制定、防御系統(tǒng)、監(jiān)控與檢測、響應(yīng)與恢復等各個方面，并且考慮到各個部 分之間的動態(tài)關(guān)系與依賴性。我們協(xié)助制訂業(yè)務(wù)網(wǎng)絡(luò)安全策略的時候，是從全局進行考慮，基于風險分析的結(jié)果進行決策，建議究竟是加大投入，采取更強有力的保護措施，還是可以容忍一些小的風險存在而不采取措施。安全防御系統(tǒng)搭建得完善與否，直接決定了 XXX 網(wǎng)絡(luò)系統(tǒng)的安全程度，無論哪個層面上的安全措施不到位，都可能是很大的安全隱患，都有可能XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 10 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 造成業(yè)務(wù)網(wǎng)絡(luò)中的后門。 5. 風險評估（建議） 通過風險評估可以進一步深入的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)實際的安全威脅和薄弱環(huán)節(jié)，為網(wǎng)絡(luò)、安全解決方案提供很好的依據(jù)，此處僅為建議，貴方可根據(jù)自身網(wǎng)絡(luò)情況進行取舍。 （ 2） 通過技術(shù)性檢測評估獲得 XXX 網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層存在的網(wǎng)絡(luò)安全漏洞報告。 . 入侵檢測 建議在 XXX 的網(wǎng)絡(luò)入口處及核心網(wǎng)段部署啟明星辰的天闐入侵檢測系統(tǒng)，實時檢測進出的數(shù)據(jù)和訪問連接。 . 漏洞掃描 建議在 XXX 內(nèi)部署啟明星辰天鏡漏洞掃描系統(tǒng)，定期對內(nèi)部的系統(tǒng)進行漏洞檢查，發(fā)現(xiàn)漏洞及時彌補。 (3) 客戶端防病毒系統(tǒng) 確保 XXX 員工辦公 PC 不受病毒攻擊。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 ? 控制對系統(tǒng)的訪問。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 14 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 ? 集中的安全管理。 ? 增強保密性。 策略執(zhí)行。 即可對從總廠到設(shè)計部的雙向網(wǎng)絡(luò)數(shù)據(jù)通訊有一個安全防范，從而最大化的保障了業(yè)務(wù)網(wǎng)絡(luò)的安全性。 入侵檢測系統(tǒng) (IDS)可以彌補防火墻的不足，為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤、恢復、斷開網(wǎng)絡(luò)連接等。該系統(tǒng)可安裝于防火墻前后，可以對攻擊防火墻本身的數(shù)據(jù)流進行響應(yīng)，同時可以對穿透防火墻進行攻擊的數(shù)據(jù)流進行響應(yīng)。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，入侵檢測在此處將承擔實時監(jiān)測大量出入整個網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。 對 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)核心業(yè)務(wù)服務(wù)器的數(shù)據(jù)流量進行監(jiān)測，防止入侵者的蓄意破壞和篡改。 對關(guān)鍵正常事件及異常行為記錄日志，進行審計跟蹤管理。因此， 以入侵檢測系統(tǒng)為核心的動態(tài)防御體系，可以實現(xiàn)入侵檢測和防火墻、入侵檢測和漏洞掃描等防護系統(tǒng)的聯(lián)動。所以，建議使用入侵檢測系統(tǒng)與防火墻聯(lián)動方式，來實現(xiàn)整體防護。 . 基于天闐入侵檢測系統(tǒng)的應(yīng)急響應(yīng) 如何用好入侵檢測系統(tǒng)以發(fā)揮其在網(wǎng)絡(luò)安全體系中的重要作用，一直是業(yè)內(nèi)較為困擾的問題，我公司通過多年的 IDS 研發(fā)技術(shù)積累以及眾多大規(guī)模 IDS 項目的部署經(jīng)驗，推出天闐入侵檢測系統(tǒng)與應(yīng)急響應(yīng)體系相結(jié)合的方式來解決 IDS的實際應(yīng) 用的問題。具有這幾項技術(shù)的支撐是具有龐大的知識庫，能夠進行入侵管理。 對于較大規(guī)模的入侵檢測系統(tǒng)部署，由于一種攻擊從一個區(qū)域向其它區(qū)域滲透會有一定的延時，在這段延時期間內(nèi)，入侵檢測系統(tǒng)有義務(wù)將這種警報發(fā)布到尚未受攻擊的區(qū)域中，以起到及時防范的作用。這與網(wǎng)絡(luò)規(guī)模是相關(guān)的。各級控制中心一方面要管理本地的探測器，另一方面作為上級 IDS 的子控，或者作為下級 IDS 的上一級控制，起到“上傳下達”的作用。這種連接可以是多層次的。 天闐不僅 能發(fā)現(xiàn)局域網(wǎng)上發(fā)生的入侵事件，而且可以據(jù)此對整個網(wǎng)絡(luò)做出有針對性的全局預警。 (3) 內(nèi)容異常分析 基于異常的檢測技術(shù)可以發(fā)現(xiàn)可疑的網(wǎng)絡(luò)行為，能夠?qū)ξ粗墓舴绞桨l(fā)出預警信號，是對其他方法的有利補充。 (6) 綜合審計 安全審計和分析功能有效地分析冗長的復雜的日志統(tǒng)計報表，令管理員一目了然、明察秋毫。 IDS 與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等安全產(chǎn)品均可實現(xiàn)聯(lián)動，這些聯(lián)動本身就是應(yīng)急響應(yīng)的一個組成部分，使得以前相互獨立、需要在不同的時間段內(nèi)完成的入侵檢測和應(yīng)急響應(yīng)兩個階段有機地融為一體。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 24 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 隨著入侵檢測技術(shù)的發(fā)展 ， IDS 還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。 (10) 安網(wǎng)結(jié)合 安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺將預警事件分級、分類、自動上報給網(wǎng)管系統(tǒng)，供網(wǎng)絡(luò) 管理員做全局安全事件分析。 (13) 自定義 包括三個層次的客戶“自定義”功能：入侵事件的自定義，報警策略的自定義，探測 引擎的自定義。 ? 用戶可以定義與指定的人、郵件、 IP 地址等 有關(guān)的行為，實現(xiàn)對重點目標的保護和對重點懷疑對象異常行為的有效監(jiān)控。包括基于百兆網(wǎng)的網(wǎng)絡(luò)IDS 引擎、基于千兆網(wǎng)的網(wǎng)絡(luò) IDS 引 擎、基于 Windows 平臺的主機 IDS 引擎、基于 Solaris 平臺的主機 IDS 引擎，等。最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析， 及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安全性。該系統(tǒng)具有強大的漏洞檢測能力和檢測效率，貼切用戶需求的功能定義，靈活多樣的檢測方式，詳盡的漏洞修補方案和友好的報表系統(tǒng)，以及方便的在線升級。 通過漏洞掃描的結(jié)果，對系統(tǒng)進行加固和優(yōu)化。 ? 多種形式、人性化的掃描報表 系統(tǒng)對于被檢測主機的漏洞危險級別利用紅、黃、綠分別對高、中、低風險進行標示，同時對于被選中的主機檢測信息進行突出顯示，方便管理員的查詢管理全面詳細的分析報告能力；可根據(jù)用戶的不同需求提供不 同層次的報告，并提供安全補丁供應(yīng)商的熱連接，快速及時的修補漏洞。需要一 套具有方便、易用的病毒掃描器，使企業(yè)的計算機環(huán)境免受病毒和其它惡意代碼的攻擊。通過尋找新病毒發(fā)作的典型活動來查詢新的攻擊。 總而言之，通過全方位的、多層次的防毒系統(tǒng)配置，使 XXX 絡(luò)免遭所有病毒的入侵和危害。事實上，嵌入 Word 文檔中的宏病毒通常通過網(wǎng)絡(luò)發(fā)送至未察覺的用戶。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 30 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 一般來說，基于郵件系統(tǒng)的病毒發(fā)作主要是從客戶端開始，同時這種病毒感染的對象主要是基于 Windows 平臺的主機和服務(wù)器，對其它平臺沒有感染能力。 如果服務(wù)器被感染，其感染文件將成為病毒感染的源頭，它們會迅速從桌面感染發(fā)展到整個網(wǎng)絡(luò)的病毒爆發(fā)。一旦檢測到病毒，該感染文件將被清除、隔離或刪除。為了確保檢測和清除經(jīng)訪問入口所進入的普通和新發(fā)現(xiàn)的病毒，桌面系統(tǒng)都需要安裝防病毒軟件。病毒響應(yīng)計劃的主要目的是利用每種可能的方法來徹底清除所有的病毒。 11. VPN 虛擬專用網(wǎng)絡(luò)（ VPN）允許一個單位基于公 共網(wǎng)絡(luò)基礎(chǔ)設(shè)施構(gòu)建自己的“專用網(wǎng)絡(luò)”，并通過控制對該網(wǎng)絡(luò)的訪問來建立對等的連接。其中互聯(lián)網(wǎng)絡(luò)層的安全標準是 IPSec，事實證明，基于 IPSec 技術(shù)構(gòu)建的 VPN 是應(yīng)用最廣、安全特性最完備的實