【正文】 ? 設(shè)備入網(wǎng)管理： 移動(dòng)設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過(guò)安全過(guò)濾和檢查違規(guī)接入內(nèi)部網(wǎng)絡(luò)。 通過(guò)安全管理平臺(tái) 還 可有效的實(shí)現(xiàn)全網(wǎng)的安全管理 ，發(fā)現(xiàn)快速定位網(wǎng)絡(luò)中的薄弱點(diǎn)（包括設(shè)備和人員），并可 針對(duì)人員進(jìn)行安全管理和培訓(xùn)，增強(qiáng)人員的安全防范意識(shí) ，減少如 由于用戶安全意識(shí)不強(qiáng)導(dǎo)致 的安全 隱患。 數(shù)據(jù)流分析模塊 網(wǎng)絡(luò)數(shù)據(jù)流分析模塊通過(guò)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行偵聽(tīng)和統(tǒng)計(jì)，可協(xié)助網(wǎng)管對(duì)網(wǎng)絡(luò)中出現(xiàn)的安全事件進(jìn)行協(xié)議級(jí)數(shù)據(jù)包分析，支持功能完善的安全過(guò)濾器，它可過(guò)濾出某 IP、端口以致數(shù)據(jù)包進(jìn)行分析；網(wǎng)絡(luò)數(shù)據(jù)流分析器同時(shí)可自動(dòng)進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流跟蹤，發(fā)現(xiàn)定義事件立即報(bào)警。 事件集中報(bào)警處理中心匯總所有安全平臺(tái)上的組件事件報(bào)警并將報(bào)警按組件種類、事件報(bào)警級(jí)別分類，同時(shí)支持短信、聲音、郵件、圖形等報(bào)警。 友好的管理界面 ? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)采用基于 Web 的管理界面，用戶只需打開(kāi)瀏覽器，就可以方便地通過(guò) HTTPS 協(xié)議對(duì)過(guò)濾網(wǎng)關(guān)進(jìn)行有效管理。 即插即用的透明接入方式 ? 網(wǎng) 絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)采用即插即用的思路設(shè)計(jì)，以透明網(wǎng)橋方式部署在企業(yè)網(wǎng)絡(luò)中，無(wú)需改變企業(yè)內(nèi)部的網(wǎng)絡(luò)配置，從而使安裝工作變得非常簡(jiǎn)單。對(duì)無(wú)法清除病毒的感染文件進(jìn)行隔離； ? 查病毒的效率。基于以上原因，應(yīng)安裝系統(tǒng)漏洞掃描軟件，幫助管理員及時(shí)發(fā)現(xiàn)系統(tǒng)中的安全漏洞和 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 27 總機(jī)： 01082611122 網(wǎng)址： 安全隱患，并提供安全決策分析、安全補(bǔ)救建議和措施，減少系統(tǒng)安全風(fēng)險(xiǎn)。 （ 5） 在入侵檢測(cè)運(yùn)行了一段時(shí)間后，系統(tǒng)使用模式和檢測(cè)問(wèn)題變得明顯，這會(huì)使系統(tǒng)的安全設(shè)計(jì)與管理的問(wèn)題暴露出來(lái)，在還沒(méi)有造成損失的時(shí)候進(jìn)行糾正。 ? 正常工作可能需要開(kāi)啟網(wǎng)絡(luò)服務(wù)，而這些協(xié)議是具有漏洞，容易被攻擊的。 入侵檢測(cè)是防火墻 等其它安全措施 的補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 在基于 TCP/IP 的網(wǎng)絡(luò)中，普遍存在遭受攻擊的風(fēng)險(xiǎn)。 防火墻通過(guò)控制、檢測(cè)與報(bào)警機(jī)制，防止 DOS 黑客攻擊。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 22 總機(jī)： 01082611122 網(wǎng)址： Solaris 服務(wù)器切換的原理是這樣的，每個(gè)網(wǎng)卡各有自己的真實(shí) IP 地址，兩個(gè)網(wǎng)卡還虛擬出一個(gè) ip， 此虛擬 IP 對(duì)外提供服務(wù)，如果服務(wù)器通過(guò) PING 檢測(cè)每個(gè)網(wǎng)卡的真實(shí) ip 地址，如果不通，此網(wǎng)卡就變?yōu)?down，另一網(wǎng)卡為 up 狀態(tài)。屆時(shí)，可以通過(guò)防火墻 系統(tǒng)開(kāi)放 ERP 系統(tǒng)的許可訪問(wèn)權(quán)限，其他不相關(guān)地訪問(wèn)用戶則被嚴(yán)格禁止。 信息化 的前提就是建立起完善的信息保障體系，防火墻在信息保障體系中對(duì)網(wǎng)絡(luò)行為進(jìn)行有效訪問(wèn)控制，對(duì)保證網(wǎng)絡(luò)訪問(wèn)行為的有序性起到了至關(guān)重要的作用，防火墻體系的建立直接關(guān)系到了系統(tǒng)能否正常運(yùn)行，體系是否完善 ；關(guān)系到了系統(tǒng)是否能夠 對(duì)非法訪問(wèn)進(jìn)行有效的防范。對(duì)網(wǎng)絡(luò)的邊界及接入點(diǎn)進(jìn)行病毒的監(jiān)控。該環(huán)節(jié)主要依靠一些相關(guān)的技術(shù)手段來(lái)實(shí)現(xiàn)。如今的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)漏洞日益嚴(yán)重，它需要網(wǎng)絡(luò) 管理人員具有快速的響應(yīng)機(jī)制。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人 都可能入侵得手。 這樣就能夠通過(guò)仿冒合法用戶或通過(guò)其他黑客工具對(duì)客戶端甚至關(guān)鍵的數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行非 法通信和數(shù)據(jù)訪問(wèn)，這將給 XX 企業(yè) 集團(tuán)帶來(lái)嚴(yán)重的危害。 ? 服務(wù)器區(qū)的安全威脅，缺少入侵監(jiān)測(cè)設(shè)備 XX 企業(yè) 的內(nèi)部服務(wù)器組存有很多重要的數(shù)據(jù)，這些數(shù)據(jù)是 不能丟失或損壞的 ，因此一定要對(duì)這些服務(wù)器進(jìn)行重點(diǎn)保護(hù)，防止這些數(shù)據(jù)被篡改和竊取。 來(lái)自內(nèi)部網(wǎng)絡(luò)的安全威脅 ? 核心交換機(jī)如果沒(méi)有訪問(wèn)控制，就不能抵御日益嚴(yán)重的網(wǎng)絡(luò)攻擊 XX 企業(yè) 內(nèi)部系統(tǒng) 基本是一個(gè)三層互聯(lián)的網(wǎng)絡(luò)， 核心交換機(jī) 的設(shè)計(jì)如果可以 實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)控制。整個(gè)網(wǎng)絡(luò)擁有 100M 的因特網(wǎng)出口。安全技術(shù)的管理包括安全服務(wù)的激活和關(guān)閉、安全相關(guān)參數(shù)的分發(fā)與更新、安全相關(guān)事件的收集與告警等。 協(xié)議層次模型 安全實(shí)體單元 在工程實(shí)施階段，各種安全服務(wù)、各協(xié)議的安全機(jī)制最終要落實(shí)到物理實(shí)體單元。安全管理涉及兩方面的內(nèi)容：各種安全技術(shù)的管理和安全管理制度。 在信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)的研究表明，想要從一個(gè)角度得出整個(gè)信息系統(tǒng)完整的安全模型是很困難的。 XX 企業(yè)信息安全保障系統(tǒng)所提供的各種安全服務(wù)，涉及到各個(gè)層次、多個(gè)實(shí)體和各種安全技術(shù)，只有有效的安全管理才能保證這些安全控制機(jī)制真正有效地發(fā)揮作用； ● 合理折衷 在 XX 企業(yè)信息安全保障系統(tǒng)的建設(shè)過(guò)程中，單純考慮安全而不惜一切代價(jià)是不合理的。隨著信息技術(shù)的迅猛發(fā)展， XX 企業(yè)集團(tuán)領(lǐng)導(dǎo)充分認(rèn)識(shí)到網(wǎng)絡(luò)安全建設(shè)的重要性，為了更好的開(kāi)展生產(chǎn)、科研工作，決 定對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全技術(shù)改造。 項(xiàng)目概述 本次信息安全項(xiàng)目包括 XX 企業(yè)集團(tuán)下屬企業(yè)、附屬機(jī)構(gòu)和分支機(jī)構(gòu)的網(wǎng)絡(luò)安全系統(tǒng) 建設(shè)所需的相關(guān)設(shè)備、軟件以及方案詳細(xì)設(shè)計(jì)、系統(tǒng)集成、 管理制度的建立、 培訓(xùn)、技術(shù)支持與服務(wù)等內(nèi)容。安全與花費(fèi)、系統(tǒng)性能、易用性、管理的復(fù)雜性都是矛盾的，安全保障體系的設(shè)計(jì)應(yīng)該在以上四個(gè)方面找到一個(gè)合理的折衷點(diǎn)，在 可接受的風(fēng)險(xiǎn)范圍內(nèi)，以最小的投資換取最大的安全性，同時(shí)不因性能開(kāi)銷和使用、管理的復(fù)雜而影響整個(gè)系統(tǒng)高效運(yùn)行的總體目標(biāo)。借鑒美國(guó)國(guó)防部 DISSP 計(jì)劃中的安全框架，我們提出了適合 XX 企業(yè)信息系統(tǒng)的安全體系結(jié)構(gòu)模型。 安全服務(wù)模型 國(guó)際標(biāo)準(zhǔn)化組織所定義的安全體系結(jié)構(gòu)中包括五組重 要的安全服務(wù)，這些安全服務(wù)反映了信息系統(tǒng)的安全需求。如圖所示，從實(shí)體 單元角度來(lái)看，安全體系結(jié)構(gòu)可以分成以下層次： ● 物理環(huán)境安全。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 10 總機(jī)： 01082611122 網(wǎng)址： 第三章 XX 企業(yè)信息網(wǎng)絡(luò)的安全現(xiàn)狀和需求分析 隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)成為信息高速公路，人們利用網(wǎng)絡(luò)來(lái)獲取和發(fā)布信息，處理和共享數(shù)據(jù)。 Inter EMAIL轉(zhuǎn)發(fā)服務(wù)器 Proxy AAA Cisco3640 防火墻 pix 295012 3500G24 小型機(jī) SUNFIRE4800 Catalyst6506 Catalyst6506 Catalyst4006 Catalyst4006 2950G24 2950G24 2950G48 生產(chǎn)子網(wǎng) 1 2950G24 295012 295012 VPN及移動(dòng)上網(wǎng)卡 3550G12T 終端 服務(wù)器 計(jì)量服務(wù)器 Email服務(wù)器 3548G 2m數(shù)字電路 三個(gè)分廠 生產(chǎn)子網(wǎng) 2 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 11 總機(jī)： 01082611122 網(wǎng)址： 下面主要針對(duì) XX 企業(yè) 的信息系統(tǒng) ， 列出 可能面臨的主要安全威脅為： 內(nèi)部網(wǎng)絡(luò)與 Inter 互聯(lián)的安全威脅 ? 與 Inter 相連，如果沒(méi)有邊界防護(hù)將是危險(xiǎn)的。 即使 在交換機(jī)上可以通過(guò)配置提 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 12 總機(jī)： 01082611122 網(wǎng)址： 供一些安全保證，但是其強(qiáng)度是不足的。在該網(wǎng)絡(luò)結(jié)構(gòu)中，各重要的服務(wù)器和主機(jī)都 將 是通過(guò)核心交換機(jī)直接與其他子網(wǎng)連接的，并且這些服務(wù)器區(qū)的邊界 如果 沒(méi)有任何訪問(wèn)控制產(chǎn)品和監(jiān)控設(shè)備， 內(nèi)部人員對(duì) 這些服務(wù)器可以很容易實(shí)施攻擊。 ? 非法應(yīng)用的威脅 XX 企業(yè) 集團(tuán)系統(tǒng)中有許多的應(yīng)用在實(shí)時(shí)地使用著，尤其是數(shù)據(jù)庫(kù)和工業(yè)控制的應(yīng)用。如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開(kāi)放一些不常用而 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 14 總機(jī)： 01082611122 網(wǎng)址： 又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。如果沒(méi)有一個(gè)完善的安全服務(wù)體系，將盡可能多的安全產(chǎn)品統(tǒng)一來(lái)維護(hù)，面對(duì)突如其來(lái)的網(wǎng)絡(luò)攻擊， XX 企業(yè) 可能將面臨巨大的損失。訪問(wèn)控制主要依靠防火墻技術(shù)、劃分 Vlan 技 術(shù)身份認(rèn)證技術(shù)等方式來(lái)實(shí)現(xiàn)； ? 保密性、可用性、不可抵賴性：主要包括一些信息保密手段，例如使用VPN 技術(shù)、采用加密軟件、或者應(yīng)用 CA 證書(shū)保證數(shù)據(jù)的安全防護(hù)等。 需求建 議： 目前 XX 企業(yè)集團(tuán)急需一套網(wǎng)絡(luò)版的防病毒軟件覆蓋整個(gè)網(wǎng)絡(luò)。 在 XX企業(yè)集團(tuán)網(wǎng)絡(luò) 系統(tǒng)中我們建立防火墻子系統(tǒng)的主要目標(biāo) :邏輯隔離 XX企業(yè)集團(tuán) 系統(tǒng) 內(nèi)網(wǎng)與 Inter；保護(hù)兩臺(tái)重要的 ERP 服務(wù)器；對(duì)棒材和煉鋼生產(chǎn)子網(wǎng)進(jìn)行防護(hù)；對(duì)煉鋼大高爐生產(chǎn)子網(wǎng)進(jìn)行防護(hù)；對(duì)礦業(yè)公司和二化子網(wǎng)進(jìn)行防護(hù)；對(duì)電話站專網(wǎng)進(jìn)行防護(hù)。目前 XX企業(yè) 在整體網(wǎng)絡(luò)安全防范的情況下，著重對(duì) ERP 的服務(wù)器進(jìn)行安全防護(hù)。 如果不支持生成樹(shù)協(xié)議，又要避免環(huán)路出現(xiàn)，普通的防火墻會(huì)采用如下圖所示的連接方法（以一臺(tái)服務(wù)器舉例），每?jī)蓚€(gè)端口劃分一個(gè)廣播域，一臺(tái)防火墻要?jiǎng)澐謨蓚€(gè)廣播域。所以通過(guò)防火墻上進(jìn)行規(guī)則設(shè)置，規(guī)定防火墻在單位時(shí)間內(nèi)接到同一個(gè)地址的 TCP 全連接、半連接的數(shù)量，如果超出這個(gè)數(shù)量便認(rèn)為是 DOS/DDOS 攻擊，防火墻在設(shè)定的時(shí)間內(nèi)就不接受來(lái)自于這個(gè)地址的數(shù)據(jù)包，從而抵御了 DOS/DDOS 攻擊 ； ? 防止入侵者的掃描：大多數(shù)黑客在入侵之前都是通過(guò)對(duì)攻擊對(duì)象進(jìn)行端口掃描，收集被攻擊對(duì)象開(kāi)放什么端口、什么服務(wù)、有何漏洞、哪些用戶的口令弱等信息，然后再展開(kāi)相應(yīng)的攻擊。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 26 總機(jī)： 01082611122 網(wǎng)址： ? 用戶和管理員在配置和使用系統(tǒng)時(shí)可能犯錯(cuò)誤。 （ 6） 即使 當(dāng)入侵檢測(cè)不能阻止攻擊時(shí)，它仍可以收集該攻擊的可信的詳細(xì)信息進(jìn)行事件處理和恢復(fù)，此外，這些信息在某些情況下可以作為犯罪的佐證。 系統(tǒng)漏洞掃描軟件應(yīng)能掃描操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)的安全漏洞。在性能要求比較高的服務(wù)器上能夠?qū)崿F(xiàn)增量方式的查病毒方式，也就是僅僅掃描那些上次掃描過(guò)以后有變動(dòng)的文件； ? 應(yīng)急恢復(fù)功能，提供應(yīng)急措施，對(duì)系統(tǒng)引導(dǎo)區(qū)進(jìn)行應(yīng)急恢復(fù)； ? 集中監(jiān)控、重點(diǎn)管理的能力，防病毒管理軟件對(duì)運(yùn)行在 Windows NT/20xx/98/95/ME 以及其他平臺(tái)防病毒軟件的集中監(jiān)控管理功能。一旦部署完成，網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)就開(kāi)始對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行病毒防護(hù)，保障網(wǎng)絡(luò)不受病毒侵害。 完善的日志統(tǒng)計(jì)功能 ? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān) 提供 完整 的 病毒 日志 、訪問(wèn)日志和系統(tǒng)日志等記錄 ， 并可 根據(jù) 日志 數(shù)據(jù)生成 多種格式 的統(tǒng)計(jì) 圖形化統(tǒng)計(jì)報(bào)表 ， 形象直觀， 方便 管理員 的管理工作 。同時(shí)，報(bào)警中心自 動(dòng)把各種報(bào)警信息匯總成為 3個(gè)高、中、低三個(gè)等級(jí)，顯示各類發(fā)生事件的名稱和發(fā)生事件設(shè)備名稱、 ip、 mac等信息，以便第一時(shí)間發(fā)現(xiàn)報(bào)警源頭和類型，發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)危害最大的報(bào)警信息，以最快速度妥善處理事件，從而在最大程度上增強(qiáng)系統(tǒng)管理員對(duì)于網(wǎng)絡(luò)突發(fā)事件的快速反應(yīng)能力。 流量監(jiān) 控包括網(wǎng)絡(luò)中計(jì)算機(jī)的 IP 地址和數(shù)據(jù)流量統(tǒng)計(jì)，同時(shí)顯示網(wǎng)絡(luò)當(dāng)前 IP 的 Top 10流量和 port Top5 流量。 系統(tǒng)主要功能： ? 網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)及資產(chǎn)管理： 資產(chǎn)管理包括能發(fā)現(xiàn)連接于網(wǎng)上的所有設(shè)備，能以圖形方式顯示網(wǎng)絡(luò)結(jié)構(gòu)；對(duì)網(wǎng)絡(luò)內(nèi)的聯(lián)網(wǎng)計(jì)算機(jī)數(shù)量及其情況精確統(tǒng)計(jì)；對(duì)網(wǎng)絡(luò)內(nèi)的ＩＰ地址分配狀況精確統(tǒng)計(jì)；以 WEB 日志方式查看用戶信息、設(shè) 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 32 總機(jī)： 01082611122 網(wǎng)址： 備信息、 IP 分配情況、網(wǎng)絡(luò)主機(jī)運(yùn)行進(jìn)程和報(bào)警信息。未經(jīng)允許擅自接入電腦設(shè)備會(huì)給網(wǎng)絡(luò)帶來(lái)病毒傳播、黑客入侵等不安全因素； ? 問(wèn)題設(shè)備隔離： 網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲(chóng)攻擊等安全問(wèn)題后，可做到安全事件源的實(shí)時(shí)、快速、精確定位、遠(yuǎn)程阻斷隔離操作。 ? 關(guān)鍵設(shè)備性能管理及故障管 理： 通過(guò)對(duì)關(guān)鍵設(shè)備的性能分析及監(jiān)控，及時(shí)發(fā)現(xiàn)問(wèn)題的根源，迅速定位故障點(diǎn)，根據(jù)知識(shí)庫(kù)提供操作方法或應(yīng)急流程，提供各種比較便捷的報(bào)警方式。 網(wǎng)絡(luò)管理模塊 此系統(tǒng)對(duì)各種事件和處理結(jié)果有詳細(xì)的記載并進(jìn)行檔案化管理，作為對(duì)后續(xù)事件分析的參考和可查性的依據(jù)，據(jù)此提出以后網(wǎng)絡(luò)的改進(jìn)措施。 對(duì)于防火墻、 IDS 或漏洞掃描等網(wǎng)絡(luò)安全產(chǎn)品，獲取報(bào)警信息后，可在安全管理平臺(tái)直接對(duì)其進(jìn)行控制，也可通過(guò)其控制定期升級(jí)攻擊特征庫(kù)、升級(jí)安全系統(tǒng)等。通過(guò)對(duì)各類異常情況進(jìn)行集中收集和統(tǒng)一報(bào)警，并收集、匯總和管理網(wǎng)絡(luò)中各相關(guān)安全和應(yīng)用設(shè)備信息的各類相關(guān)信息，并可通過(guò)對(duì)相關(guān)信息的綜合分析，及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行中的安全問(wèn)題和隱患，并提出改進(jìn)措施。 自動(dòng)在線升級(jí) ? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)可以按照管理員設(shè)定的更新策略自動(dòng)連接到天融信公司的升級(jí)服務(wù)器，升級(jí)