【正文】 墻解決方案 ......................................................................................................................... 19 XX 企業(yè)防火墻的部署 ..................................................................................................................... 19 XX 企業(yè)防火墻的作用 ..................................................................................................................... 23 XX企業(yè)入侵檢測(cè)方案 ............................................................................................................................. 24 XX企業(yè)漏洞掃描解決方案 ..................................................................................................................... 26 XX企業(yè) 防病毒解決方案 ......................................................................................................................... 27 網(wǎng)絡(luò)版防病毒解決方案 .................................................................................................................. 27 網(wǎng)關(guān)防病毒解決方案 ...................................................................................................................... 28 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 II 總機(jī)： 01082611122 網(wǎng)址： XX企業(yè)安全管理系統(tǒng)解決方案 ............................................................................................................ 29 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 3 總機(jī)： 01082611122 網(wǎng)址： 第一章 前言 背景 隨著近年來(lái)網(wǎng)絡(luò)安全事件不斷地發(fā)生，安全問(wèn)題也已成為 IT 業(yè)的一個(gè)熱點(diǎn)，安全問(wèn)題對(duì)于 XX 企業(yè)的發(fā)展也越來(lái)越重要 。隨著信息技術(shù)的迅猛發(fā)展， XX 企業(yè)集團(tuán)領(lǐng)導(dǎo)充分認(rèn)識(shí)到網(wǎng)絡(luò)安全建設(shè)的重要性，為了更好的開(kāi)展生產(chǎn)、科研工作，決 定對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全技術(shù)改造。對(duì)這些違反規(guī)定的機(jī)器要有相應(yīng)的日志，并可以進(jìn)行阻斷； 對(duì)本公司內(nèi)的生產(chǎn)子網(wǎng)要做好安全隔離，即使 XX 企業(yè)主干網(wǎng)上有病毒在傳播但不能傳到該子網(wǎng)中去，該子網(wǎng)只保留一些必要的數(shù)據(jù)通訊端口與主干網(wǎng)絡(luò)通訊，其他端口必須屏蔽掉。 XX 企業(yè)信息安全保障系統(tǒng)所提供的各種安全服務(wù)，涉及到各個(gè)層次、多個(gè)實(shí)體和各種安全技術(shù)，只有有效的安全管理才能保證這些安全控制機(jī)制真正有效地發(fā)揮作用； ● 合理折衷 在 XX 企業(yè)信息安全保障系統(tǒng)的建設(shè)過(guò)程中，單純考慮安全而不惜一切代價(jià)是不合理的。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 6 總機(jī)： 01082611122 網(wǎng)址： ● 綜合治理 XX 企業(yè)信息系統(tǒng)的安全建設(shè)是一個(gè)系統(tǒng)工程，信息網(wǎng)絡(luò)的安全同樣也絕不僅僅是一個(gè)技術(shù)問(wèn)題，各 種安全技術(shù)應(yīng)該與運(yùn)行管理。 在信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)的研究表明，想要從一個(gè)角度得出整個(gè)信息系統(tǒng)完整的安全模型是很困難的。 信息網(wǎng)絡(luò)安全體系結(jié)構(gòu) 安全服務(wù)取自于國(guó)際標(biāo)準(zhǔn)化組織制訂的安全體系結(jié)構(gòu)模型 ISO7498，我們?cè)?ISO7498 的基礎(chǔ)上增加了審計(jì)功能和可用性服務(wù)。安全管理涉及兩方面的內(nèi)容：各種安全技術(shù)的管理和安全管理制度。在開(kāi)放式應(yīng)用環(huán)境中，主體與客體的雙向認(rèn)證非常重要。 協(xié)議層次模型 安全實(shí)體單元 在工程實(shí)施階段，各種安全服務(wù)、各協(xié)議的安全機(jī)制最終要落實(shí)到物理實(shí)體單元。 ● 應(yīng)用系統(tǒng)安全，為某種或多種應(yīng)用提供用戶認(rèn)證、數(shù)據(jù)保密性、完整性以及授權(quán)與訪問(wèn)控制服務(wù)等。安全技術(shù)的管理包括安全服務(wù)的激活和關(guān)閉、安全相關(guān)參數(shù)的分發(fā)與更新、安全相關(guān)事件的收集與告警等。 網(wǎng)絡(luò)安全是一個(gè)體系工程，如果把 XX 企業(yè) 網(wǎng)絡(luò)信息系統(tǒng)劃一個(gè)邊界的話，未來(lái)在廣域網(wǎng)建好之后 可能發(fā)生的安全威脅會(huì)來(lái)自各個(gè)方向、各個(gè)層面。整個(gè)網(wǎng)絡(luò)擁有 100M 的因特網(wǎng)出口。 ? 入侵者通過(guò)網(wǎng)絡(luò)監(jiān) 聽(tīng)等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。 來(lái)自內(nèi)部網(wǎng)絡(luò)的安全威脅 ? 核心交換機(jī)如果沒(méi)有訪問(wèn)控制，就不能抵御日益嚴(yán)重的網(wǎng)絡(luò)攻擊 XX 企業(yè) 內(nèi)部系統(tǒng) 基本是一個(gè)三層互聯(lián)的網(wǎng)絡(luò)， 核心交換機(jī) 的設(shè)計(jì)如果可以 實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)控制。據(jù)權(quán)威數(shù)據(jù)表明，有 97％的攻擊是來(lái)自內(nèi)部攻擊和內(nèi)外勾結(jié)的攻擊，而且內(nèi)部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來(lái)自于 外部網(wǎng)絡(luò) 的攻擊，造成的后果也嚴(yán)重的多。 ? 服務(wù)器區(qū)的安全威脅，缺少入侵監(jiān)測(cè)設(shè)備 XX 企業(yè) 的內(nèi)部服務(wù)器組存有很多重要的數(shù)據(jù)，這些數(shù)據(jù)是 不能丟失或損壞的 ，因此一定要對(duì)這些服務(wù)器進(jìn)行重點(diǎn)保護(hù)，防止這些數(shù)據(jù)被篡改和竊取。 ? 非法訪問(wèn)的危害 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 13 總機(jī)： 01082611122 網(wǎng)址： XX 企業(yè) 集團(tuán) 的網(wǎng)絡(luò)是 一個(gè)多應(yīng)用多連接的系統(tǒng)，雖然目前已經(jīng)存在一些常用的訪問(wèn)控制手段：所有用戶 在訪問(wèn)服務(wù)器時(shí)都必須輸入正確的用戶名和口令等， 但是這樣的網(wǎng)絡(luò)結(jié)構(gòu)利用傳統(tǒng)的網(wǎng)絡(luò)管理措施難以實(shí)現(xiàn)有效的訪問(wèn)控制。 這樣就能夠通過(guò)仿冒合法用戶或通過(guò)其他黑客工具對(duì)客戶端甚至關(guān)鍵的數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行非 法通信和數(shù)據(jù)訪問(wèn)，這將給 XX 企業(yè) 集團(tuán)帶來(lái)嚴(yán)重的危害。 系統(tǒng)的安全風(fēng)險(xiǎn)分析 ? 如果沒(méi)有漏洞掃描和安全評(píng)估機(jī)制，將不能及時(shí)地填補(bǔ)網(wǎng)絡(luò)漏洞 所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人 都可能入侵得手。 ? 網(wǎng)絡(luò)帶寬 – 高速傳播和具有網(wǎng)絡(luò)攻擊能力的病毒，能占用有限的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)癱瘓。如今的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)漏洞日益嚴(yán)重，它需要網(wǎng)絡(luò) 管理人員具有快速的響應(yīng)機(jī)制。 需求建議： XX 企業(yè)集團(tuán)信息網(wǎng)需要對(duì)全網(wǎng)所有設(shè)備和終端用戶進(jìn)行管理。該環(huán)節(jié)主要依靠一些相關(guān)的技術(shù)手段來(lái)實(shí)現(xiàn)。對(duì)分支機(jī)構(gòu)建議采用 VPN網(wǎng)關(guān)建立隧道。對(duì)網(wǎng)絡(luò)的邊界及接入點(diǎn)進(jìn)行病毒的監(jiān)控。究竟解決以上問(wèn)題呢？我們認(rèn)為專業(yè)的事情要交給專業(yè)的人來(lái)做。 信息化 的前提就是建立起完善的信息保障體系，防火墻在信息保障體系中對(duì)網(wǎng)絡(luò)行為進(jìn)行有效訪問(wèn)控制，對(duì)保證網(wǎng)絡(luò)訪問(wèn)行為的有序性起到了至關(guān)重要的作用，防火墻體系的建立直接關(guān)系到了系統(tǒng)能否正常運(yùn)行，體系是否完善 ；關(guān)系到了系統(tǒng)是否能夠 對(duì)非法訪問(wèn)進(jìn)行有效的防范。通過(guò)此設(shè)備除了進(jìn)行訪問(wèn)控制而且還與遠(yuǎn)端的分支機(jī)構(gòu)建立隧道，在遠(yuǎn)端北京分公司和北京庫(kù)房也配置了天融信的 VPN 網(wǎng)關(guān)。屆時(shí)，可以通過(guò)防火墻 系統(tǒng)開(kāi)放 ERP 系統(tǒng)的許可訪問(wèn)權(quán)限，其他不相關(guān)地訪問(wèn)用戶則被嚴(yán)格禁止。經(jīng)過(guò)在 XX 企業(yè) 的測(cè)試，天融信的防火墻能夠穩(wěn)定應(yīng)用在 此網(wǎng)絡(luò)結(jié)構(gòu)下。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 22 總機(jī)： 01082611122 網(wǎng)址： Solaris 服務(wù)器切換的原理是這樣的，每個(gè)網(wǎng)卡各有自己的真實(shí) IP 地址，兩個(gè)網(wǎng)卡還虛擬出一個(gè) ip， 此虛擬 IP 對(duì)外提供服務(wù)，如果服務(wù)器通過(guò) PING 檢測(cè)每個(gè)網(wǎng)卡的真實(shí) ip 地址，如果不通，此網(wǎng)卡就變?yōu)?down，另一網(wǎng)卡為 up 狀態(tài)。 這也滿足了標(biāo)書中要求的真正橋接的模式。 防火墻通過(guò)控制、檢測(cè)與報(bào)警機(jī)制，防止 DOS 黑客攻擊。通過(guò)在防火墻上配置規(guī)則，禁止 TCP/IP 數(shù)據(jù)包中的源路由選項(xiàng)，防止源路由攻擊 ； 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 24 總機(jī)： 01082611122 網(wǎng)址： ? 防止 IP 碎片攻擊： IP 碎片攻擊是指黑客把一個(gè)攻擊數(shù)據(jù)包分成多個(gè)數(shù)據(jù)據(jù)包，從而隱藏了該數(shù)據(jù)包的攻擊特征。 在基于 TCP/IP 的網(wǎng)絡(luò)中，普遍存在遭受攻擊的風(fēng)險(xiǎn)。一旦入侵被檢測(cè)到，會(huì)引發(fā)某種響應(yīng)（如斷開(kāi)攻擊者連接、通知操作員、自動(dòng)停止或減輕攻擊、跟蹤攻擊來(lái)源或適當(dāng)?shù)胤垂簦? 入侵檢測(cè)是防火墻 等其它安全措施 的補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對(duì)攻擊者進(jìn)行懲罰，有助于上述目標(biāo)的實(shí)現(xiàn)，并對(duì)那些試圖違反安全策略的人造成威懾。 ? 正常工作可能需要開(kāi)啟網(wǎng)絡(luò)服務(wù)，而這些協(xié)議是具有漏洞，容易被攻擊的。首先是對(duì)系統(tǒng)或網(wǎng)絡(luò)的探測(cè)和分析，如果一個(gè)系統(tǒng)沒(méi)有配置入侵檢測(cè)，攻擊者可以自由的進(jìn)行探測(cè)而不被發(fā)現(xiàn)，這 樣很容易找到最佳攻入點(diǎn)。 （ 5） 在入侵檢測(cè)運(yùn)行了一段時(shí)間后，系統(tǒng)使用模式和檢測(cè)問(wèn)題變得明顯，這會(huì)使系統(tǒng)的安全設(shè)計(jì)與管理的問(wèn)題暴露出來(lái)，在還沒(méi)有造成損失的時(shí)候進(jìn)行糾正。“ 知情權(quán)是網(wǎng)絡(luò)安全的關(guān)鍵 ”，這使得入侵檢測(cè)成為其它許多安全手段，如 安全網(wǎng)管系統(tǒng)的基礎(chǔ)?；谝陨显?，應(yīng)安裝系統(tǒng)漏洞掃描軟件，幫助管理員及時(shí)發(fā)現(xiàn)系統(tǒng)中的安全漏洞和 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 27 總機(jī)： 01082611122 網(wǎng)址： 安全隱患，并提供安全決策分析、安全補(bǔ)救建議和措施，減少系統(tǒng)安全風(fēng)險(xiǎn)。我們?cè)?XX 企業(yè)網(wǎng)絡(luò)安全的項(xiàng)目中配置一臺(tái)榕基漏洞掃描系統(tǒng)。對(duì)無(wú)法清除病毒的感染文件進(jìn)行隔離； ? 查病毒的效率。 網(wǎng)絡(luò)防病毒產(chǎn)品是一個(gè)比較基礎(chǔ)而且成熟的安全產(chǎn)品，在本方案沒(méi)有網(wǎng)絡(luò)版防病毒進(jìn)行過(guò)多描述，我們推薦 趨勢(shì)科技的網(wǎng)絡(luò)版防病毒系統(tǒng)， 覆蓋 XX 企業(yè)1000 個(gè)計(jì)算機(jī)節(jié)點(diǎn)和 30 多臺(tái)服務(wù)器 。 即插即用的透明接入方式 ? 網(wǎng) 絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)采用即插即用的思路設(shè)計(jì)，以透明網(wǎng)橋方式部署在企業(yè)網(wǎng)絡(luò)中，無(wú)需改變企業(yè)內(nèi)部的網(wǎng)絡(luò)配置，從而使安裝工作變得非常簡(jiǎn)單。 內(nèi)嵌的內(nèi)容過(guò)濾功能 ? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)支持 對(duì)數(shù)據(jù)內(nèi)容進(jìn)行檢查，可以采用關(guān)鍵字過(guò)濾， URL 過(guò)濾等方式來(lái)阻止非法數(shù)據(jù)進(jìn)入企業(yè)網(wǎng)絡(luò)，同時(shí)也支持對(duì) Java 等小程序進(jìn)行 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 29 總機(jī)： 01082611122 網(wǎng)址： 過(guò)濾等，防止可能的惡意代碼進(jìn)入企業(yè)網(wǎng)絡(luò)。 友好的管理界面 ? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)采用基于 Web 的管理界面，用戶只需打開(kāi)瀏覽器，就可以方便地通過(guò) HTTPS 協(xié)議對(duì)過(guò)濾網(wǎng)關(guān)進(jìn)行有效管理。具體在XX 企業(yè)集團(tuán)與 Inter 接口處部署天融信防病毒過(guò)濾網(wǎng)關(guān) NGFGE XX 企業(yè)安全管理系統(tǒng)解決方案 XX企業(yè)集團(tuán)網(wǎng)絡(luò)安全管理平臺(tái)建議采用北信源的內(nèi)網(wǎng)安全管理系統(tǒng)和北信源網(wǎng)絡(luò)運(yùn)行安全保障系統(tǒng)兩個(gè)產(chǎn)品的模塊組合成 XX 企業(yè)的網(wǎng)絡(luò)安全管理平臺(tái)。 事件集中報(bào)警處理中心匯總所有安全平臺(tái)上的組件事件報(bào)警并將報(bào)警按組件種類、事件報(bào)警級(jí)別分類，同時(shí)支持短信、聲音、郵件、圖形等報(bào)警。北信源經(jīng)過(guò)多年努力，開(kāi)發(fā)出了獨(dú)有的技術(shù)，可不用第三方廠商提供相關(guān)上報(bào)數(shù)據(jù)或接口，直接獲取其安全系統(tǒng)報(bào)警和統(tǒng)計(jì)數(shù)據(jù)，并對(duì)其進(jìn)行匯總，按照安全策略的需要進(jìn)行取舍；此技術(shù)的使用可大大減少相互間的協(xié)調(diào)工作，提高工作效率，同時(shí)減少工作的復(fù)雜程度。 數(shù)據(jù)流分析模塊 網(wǎng)絡(luò)數(shù)據(jù)流分析模塊通過(guò)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行偵聽(tīng)和統(tǒng)計(jì)，可協(xié)助網(wǎng)管對(duì)網(wǎng)絡(luò)中出現(xiàn)的安全事件進(jìn)行協(xié)議級(jí)數(shù)據(jù)包分析，支持功能完善的安全過(guò)濾器，它可過(guò)濾出某 IP、端口以致數(shù)據(jù)包進(jìn)行分析；網(wǎng)絡(luò)數(shù)據(jù)流分析器同時(shí)可自動(dòng)進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流跟蹤，發(fā)現(xiàn)定義事件立即報(bào)警。 關(guān)鍵終端管理系統(tǒng) 網(wǎng)絡(luò)終端包括個(gè)人主機(jī)，數(shù)據(jù)庫(kù)服務(wù)器，郵件服務(wù)器等，是網(wǎng)絡(luò)中的最基本的節(jié)點(diǎn)，支撐著網(wǎng)絡(luò)各項(xiàng)功能的正常運(yùn)行。 通過(guò)安全管理平臺(tái) 還 可有效的實(shí)現(xiàn)全網(wǎng)的安全管理 ，發(fā)現(xiàn)快速定位網(wǎng)絡(luò)中的薄弱點(diǎn)（包括設(shè)備和人員），并可 針對(duì)人員進(jìn)行安全管理和培訓(xùn)，增強(qiáng)人員的安全防范意識(shí) ，減少如 由于用戶安全意識(shí)不強(qiáng)導(dǎo)致 的安全 隱患。 ? 路由器管理 ：對(duì)路由器的 CPU、內(nèi)存使用情況、接口流量情況進(jìn)行記錄匯總和分析。 ? 設(shè)備入網(wǎng)管理： 移動(dòng)設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過(guò)安全過(guò)濾和檢查違規(guī)接入內(nèi)部