【正文】 墻解決方案 ......................................................................................................................... 19 XX 企業(yè)防火墻的部署 ..................................................................................................................... 19 XX 企業(yè)防火墻的作用 ..................................................................................................................... 23 XX企業(yè)入侵檢測方案 ............................................................................................................................. 24 XX企業(yè)漏洞掃描解決方案 ..................................................................................................................... 26 XX企業(yè) 防病毒解決方案 ......................................................................................................................... 27 網絡版防病毒解決方案 .................................................................................................................. 27 網關防病毒解決方案 ...................................................................................................................... 28 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 II 總機： 01082611122 網址： XX企業(yè)安全管理系統(tǒng)解決方案 ............................................................................................................ 29 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 3 總機： 01082611122 網址： 第一章 前言 背景 隨著近年來網絡安全事件不斷地發(fā)生，安全問題也已成為 IT 業(yè)的一個熱點，安全問題對于 XX 企業(yè)的發(fā)展也越來越重要 。隨著信息技術的迅猛發(fā)展， XX 企業(yè)集團領導充分認識到網絡安全建設的重要性，為了更好的開展生產、科研工作，決 定對現(xiàn)有信息系統(tǒng)進行網絡安全技術改造。對這些違反規(guī)定的機器要有相應的日志，并可以進行阻斷； 對本公司內的生產子網要做好安全隔離，即使 XX 企業(yè)主干網上有病毒在傳播但不能傳到該子網中去，該子網只保留一些必要的數(shù)據通訊端口與主干網絡通訊，其他端口必須屏蔽掉。 XX 企業(yè)信息安全保障系統(tǒng)所提供的各種安全服務，涉及到各個層次、多個實體和各種安全技術，只有有效的安全管理才能保證這些安全控制機制真正有效地發(fā)揮作用； ● 合理折衷 在 XX 企業(yè)信息安全保障系統(tǒng)的建設過程中，單純考慮安全而不惜一切代價是不合理的。 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 6 總機： 01082611122 網址： ● 綜合治理 XX 企業(yè)信息系統(tǒng)的安全建設是一個系統(tǒng)工程，信息網絡的安全同樣也絕不僅僅是一個技術問題，各 種安全技術應該與運行管理。 在信息網絡安全體系結構的研究表明，想要從一個角度得出整個信息系統(tǒng)完整的安全模型是很困難的。 信息網絡安全體系結構 安全服務取自于國際標準化組織制訂的安全體系結構模型 ISO7498，我們在 ISO7498 的基礎上增加了審計功能和可用性服務。安全管理涉及兩方面的內容：各種安全技術的管理和安全管理制度。在開放式應用環(huán)境中，主體與客體的雙向認證非常重要。 協(xié)議層次模型 安全實體單元 在工程實施階段，各種安全服務、各協(xié)議的安全機制最終要落實到物理實體單元。 ● 應用系統(tǒng)安全，為某種或多種應用提供用戶認證、數(shù)據保密性、完整性以及授權與訪問控制服務等。安全技術的管理包括安全服務的激活和關閉、安全相關參數(shù)的分發(fā)與更新、安全相關事件的收集與告警等。 網絡安全是一個體系工程，如果把 XX 企業(yè) 網絡信息系統(tǒng)劃一個邊界的話，未來在廣域網建好之后 可能發(fā)生的安全威脅會來自各個方向、各個層面。整個網絡擁有 100M 的因特網出口。 ? 入侵者通過網絡監(jiān) 聽等先進手段獲得內部網用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息。 來自內部網絡的安全威脅 ? 核心交換機如果沒有訪問控制，就不能抵御日益嚴重的網絡攻擊 XX 企業(yè) 內部系統(tǒng) 基本是一個三層互聯(lián)的網絡， 核心交換機 的設計如果可以 實現(xiàn)內部網絡之間的訪問控制。據權威數(shù)據表明，有 97％的攻擊是來自內部攻擊和內外勾結的攻擊，而且內部攻擊成功的概率要遠遠高于來自于 外部網絡 的攻擊，造成的后果也嚴重的多。 ? 服務器區(qū)的安全威脅，缺少入侵監(jiān)測設備 XX 企業(yè) 的內部服務器組存有很多重要的數(shù)據，這些數(shù)據是 不能丟失或損壞的 ，因此一定要對這些服務器進行重點保護，防止這些數(shù)據被篡改和竊取。 ? 非法訪問的危害 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 13 總機： 01082611122 網址： XX 企業(yè) 集團 的網絡是 一個多應用多連接的系統(tǒng)，雖然目前已經存在一些常用的訪問控制手段：所有用戶 在訪問服務器時都必須輸入正確的用戶名和口令等， 但是這樣的網絡結構利用傳統(tǒng)的網絡管理措施難以實現(xiàn)有效的訪問控制。 這樣就能夠通過仿冒合法用戶或通過其他黑客工具對客戶端甚至關鍵的數(shù)據庫服務器進行非 法通信和數(shù)據訪問，這將給 XX 企業(yè) 集團帶來嚴重的危害。 系統(tǒng)的安全風險分析 ? 如果沒有漏洞掃描和安全評估機制，將不能及時地填補網絡漏洞 所謂系統(tǒng)安全通常是指網絡操作系統(tǒng)、應用系統(tǒng)的安全。但是從實際應用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應用面有很大關系，操作系統(tǒng)如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人 都可能入侵得手。 ? 網絡帶寬 – 高速傳播和具有網絡攻擊能力的病毒，能占用有限的網絡帶寬，導致網絡癱瘓。如今的網絡攻擊和網絡漏洞日益嚴重，它需要網絡 管理人員具有快速的響應機制。 需求建議： XX 企業(yè)集團信息網需要對全網所有設備和終端用戶進行管理。該環(huán)節(jié)主要依靠一些相關的技術手段來實現(xiàn)。對分支機構建議采用 VPN網關建立隧道。對網絡的邊界及接入點進行病毒的監(jiān)控。究竟解決以上問題呢？我們認為專業(yè)的事情要交給專業(yè)的人來做。 信息化 的前提就是建立起完善的信息保障體系，防火墻在信息保障體系中對網絡行為進行有效訪問控制，對保證網絡訪問行為的有序性起到了至關重要的作用，防火墻體系的建立直接關系到了系統(tǒng)能否正常運行，體系是否完善 ；關系到了系統(tǒng)是否能夠 對非法訪問進行有效的防范。通過此設備除了進行訪問控制而且還與遠端的分支機構建立隧道，在遠端北京分公司和北京庫房也配置了天融信的 VPN 網關。屆時，可以通過防火墻 系統(tǒng)開放 ERP 系統(tǒng)的許可訪問權限，其他不相關地訪問用戶則被嚴格禁止。經過在 XX 企業(yè) 的測試，天融信的防火墻能夠穩(wěn)定應用在 此網絡結構下。 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 22 總機： 01082611122 網址： Solaris 服務器切換的原理是這樣的，每個網卡各有自己的真實 IP 地址，兩個網卡還虛擬出一個 ip， 此虛擬 IP 對外提供服務，如果服務器通過 PING 檢測每個網卡的真實 ip 地址，如果不通，此網卡就變?yōu)?down，另一網卡為 up 狀態(tài)。 這也滿足了標書中要求的真正橋接的模式。 防火墻通過控制、檢測與報警機制，防止 DOS 黑客攻擊。通過在防火墻上配置規(guī)則，禁止 TCP/IP 數(shù)據包中的源路由選項，防止源路由攻擊 ； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 24 總機： 01082611122 網址： ? 防止 IP 碎片攻擊： IP 碎片攻擊是指黑客把一個攻擊數(shù)據包分成多個數(shù)據據包，從而隱藏了該數(shù)據包的攻擊特征。 在基于 TCP/IP 的網絡中，普遍存在遭受攻擊的風險。一旦入侵被檢測到，會引發(fā)某種響應（如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來源或適當?shù)胤垂簦? 入侵檢測是防火墻 等其它安全措施 的補充，幫助系統(tǒng)對付網絡攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。入侵檢測系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對攻擊者進行懲罰，有助于上述目標的實現(xiàn)，并對那些試圖違反安全策略的人造成威懾。 ? 正常工作可能需要開啟網絡服務，而這些協(xié)議是具有漏洞，容易被攻擊的。首先是對系統(tǒng)或網絡的探測和分析，如果一個系統(tǒng)沒有配置入侵檢測，攻擊者可以自由的進行探測而不被發(fā)現(xiàn)，這 樣很容易找到最佳攻入點。 （ 5） 在入侵檢測運行了一段時間后，系統(tǒng)使用模式和檢測問題變得明顯，這會使系統(tǒng)的安全設計與管理的問題暴露出來，在還沒有造成損失的時候進行糾正?！?知情權是網絡安全的關鍵 ”，這使得入侵檢測成為其它許多安全手段，如 安全網管系統(tǒng)的基礎。基于以上原因，應安裝系統(tǒng)漏洞掃描軟件，幫助管理員及時發(fā)現(xiàn)系統(tǒng)中的安全漏洞和 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 27 總機： 01082611122 網址： 安全隱患，并提供安全決策分析、安全補救建議和措施，減少系統(tǒng)安全風險。我們在 XX 企業(yè)網絡安全的項目中配置一臺榕基漏洞掃描系統(tǒng)。對無法清除病毒的感染文件進行隔離； ? 查病毒的效率。 網絡防病毒產品是一個比較基礎而且成熟的安全產品，在本方案沒有網絡版防病毒進行過多描述，我們推薦 趨勢科技的網絡版防病毒系統(tǒng)， 覆蓋 XX 企業(yè)1000 個計算機節(jié)點和 30 多臺服務器 。 即插即用的透明接入方式 ? 網 絡衛(wèi)士過濾網關采用即插即用的思路設計，以透明網橋方式部署在企業(yè)網絡中，無需改變企業(yè)內部的網絡配置，從而使安裝工作變得非常簡單。 內嵌的內容過濾功能 ? 網絡衛(wèi)士過濾網關支持 對數(shù)據內容進行檢查，可以采用關鍵字過濾， URL 過濾等方式來阻止非法數(shù)據進入企業(yè)網絡，同時也支持對 Java 等小程序進行 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 29 總機： 01082611122 網址： 過濾等，防止可能的惡意代碼進入企業(yè)網絡。 友好的管理界面 ? 網絡衛(wèi)士過濾網關采用基于 Web 的管理界面，用戶只需打開瀏覽器，就可以方便地通過 HTTPS 協(xié)議對過濾網關進行有效管理。具體在XX 企業(yè)集團與 Inter 接口處部署天融信防病毒過濾網關 NGFGE XX 企業(yè)安全管理系統(tǒng)解決方案 XX企業(yè)集團網絡安全管理平臺建議采用北信源的內網安全管理系統(tǒng)和北信源網絡運行安全保障系統(tǒng)兩個產品的模塊組合成 XX 企業(yè)的網絡安全管理平臺。 事件集中報警處理中心匯總所有安全平臺上的組件事件報警并將報警按組件種類、事件報警級別分類，同時支持短信、聲音、郵件、圖形等報警。北信源經過多年努力，開發(fā)出了獨有的技術，可不用第三方廠商提供相關上報數(shù)據或接口，直接獲取其安全系統(tǒng)報警和統(tǒng)計數(shù)據，并對其進行匯總，按照安全策略的需要進行取舍；此技術的使用可大大減少相互間的協(xié)調工作，提高工作效率，同時減少工作的復雜程度。 數(shù)據流分析模塊 網絡數(shù)據流分析模塊通過對網絡中的數(shù)據包進行偵聽和統(tǒng)計，可協(xié)助網管對網絡中出現(xiàn)的安全事件進行協(xié)議級數(shù)據包分析，支持功能完善的安全過濾器，它可過濾出某 IP、端口以致數(shù)據包進行分析；網絡數(shù)據流分析器同時可自動進行實時網絡數(shù)據流跟蹤，發(fā)現(xiàn)定義事件立即報警。 關鍵終端管理系統(tǒng) 網絡終端包括個人主機，數(shù)據庫服務器，郵件服務器等，是網絡中的最基本的節(jié)點，支撐著網絡各項功能的正常運行。 通過安全管理平臺 還 可有效的實現(xiàn)全網的安全管理 ，發(fā)現(xiàn)快速定位網絡中的薄弱點（包括設備和人員），并可 針對人員進行安全管理和培訓，增強人員的安全防范意識 ，減少如 由于用戶安全意識不強導致 的安全 隱患。 ? 路由器管理 ：對路由器的 CPU、內存使用情況、接口流量情況進行記錄匯總和分析。 ? 設備入網管理： 移動設備（筆記本電腦等）和新增設備未經過安全過濾和檢查違規(guī)接入內部