【正文】 35 . 安全運(yùn)營中心 .................................................... 35 平臺(tái)軟件架構(gòu) ................................................ 36 面向業(yè)務(wù)的資產(chǎn)與風(fēng)險(xiǎn)管理 .................................... 37 安全事件和漏洞監(jiān)控 .......................................... 39 多種響應(yīng)方式 ................................................ 40 多種關(guān)聯(lián)分析方法 ............................................ 41 狀態(tài)監(jiān)控 .................................................... 41 拓?fù)渑c GIS 展示 .............................................. 42 豐富的知識(shí)庫 ................................................ 44 售后服務(wù)與培訓(xùn) ...................................................... 45 . 售后服務(wù) ........................................................ 45 技術(shù)支持隊(duì)伍 ................................................ 45 組織結(jié)構(gòu) .................................................... 46 服務(wù)流程 .................................................... 48 . 產(chǎn)品相關(guān)的服務(wù)支持 .............................................. 48 保修服務(wù) .................................................... 48 事件庫更新服務(wù) .............................................. 49 軟件版本升級(jí)服務(wù) ............................................ 49 軟件介質(zhì)保換服務(wù) ............................................ 49 . 技術(shù)支持 ........................................................ 50 問題解答 .................................................... 50 信息快遞與通告 .............................................. 50 支持時(shí)間 .................................................... 51 . 產(chǎn)品故障級(jí)別及解決時(shí)限 .......................................... 51 產(chǎn)品故障級(jí)別劃分說明 ........................................ 51 . 相關(guān)培訓(xùn) ........................................................ 52 安全產(chǎn)品清單 ........................................ 錯(cuò)誤 !未定義書簽。 本項(xiàng)目具體的 網(wǎng)絡(luò)信息安全 目標(biāo)即： ? 建立一個(gè)安全屏障，保護(hù) **集團(tuán) 的網(wǎng)絡(luò)信息系統(tǒng) 不受來自網(wǎng)絡(luò)開放所帶來的 網(wǎng)絡(luò)信息安全 問題的影響，和通信數(shù)據(jù) 安全的非法破壞。 ? 人的脆弱性：人的安全意識(shí)不足導(dǎo)致的各種被攻擊可能，如接受未知數(shù)據(jù)，設(shè)置弱口令等。 計(jì)算環(huán)境的被動(dòng)攻擊威脅 獲取鑒別信息和控制信息；獲取明文或解密弱密文實(shí) 施重放攻擊。 計(jì)算環(huán)境的主動(dòng)攻擊威脅 引入病毒攻擊；引入惡意代碼攻擊；冒充 超級(jí)用戶或其他合法用戶；拒絕服務(wù)和數(shù)據(jù)的篡改；偽裝成合法用戶和服務(wù)器進(jìn)行攻擊；利用配置漏洞進(jìn)行攻擊；利用系統(tǒng)脆弱性 (操作系統(tǒng)安全脆弱性、數(shù)據(jù)庫安全脆弱性 )實(shí)施攻擊；利用服務(wù)器的安全脆弱性進(jìn)行攻擊；利用應(yīng)用系統(tǒng)安全脆弱性進(jìn)行攻擊。 2. 病毒的智能化程序越來越高 網(wǎng)絡(luò)病毒可以利用系統(tǒng)的漏洞進(jìn)行傳播或攻擊；在攜帶特洛伊木馬程序進(jìn)行 對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程破壞與控制；自身就有木馬功能，為系統(tǒng)開后門；散播拒絕服務(wù)攻擊點(diǎn)，對(duì)目標(biāo)采取分布式拒絕服務(wù)攻擊等等。邊界環(huán)境是比較復(fù)雜的。 目前病毒的發(fā)展主要呈現(xiàn)以下幾個(gè)趨勢(shì)，通過了解這些背景情況，將有助于了解防病毒體系的技術(shù)要求。而蠕蟲病毒則會(huì)搶占有限的網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)堵塞。 因此部署網(wǎng)關(guān)防病毒產(chǎn)品，控制病毒的傳播至關(guān)重要。 信息系統(tǒng)安全建設(shè)建議 方案 第 12頁 共 53 頁 因此需要在信息傳輸兩端部署具有 VPN 能力的設(shè)備或者軟件保證傳輸安全。垃圾郵件的危害不僅在于要占用用戶大量的時(shí)間去對(duì)郵件進(jìn)行篩選、處理，還因?yàn)槔]件本身還是病毒、木馬等威脅傳播的重要途徑，會(huì)對(duì)用戶的終端和業(yè)務(wù)網(wǎng)絡(luò)造成危害。 信息系統(tǒng)安全建設(shè)建議 方案 第 13頁 共 53 頁 其次，在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，終端具有固定的辦公位置，內(nèi)部網(wǎng)絡(luò)相對(duì)是靜態(tài)的。 要使得網(wǎng)關(guān)和終端能夠完美融合，真正的起到縱深防御，遙相呼應(yīng)，需要在網(wǎng)關(guān)產(chǎn)品上整合終端安全策略，在網(wǎng)關(guān)產(chǎn)品上對(duì)內(nèi)網(wǎng)終端進(jìn)行統(tǒng)一的安全管理。 信息系統(tǒng)安全建設(shè)建議 方案 第 14頁 共 53 頁 ? 動(dòng)態(tài)發(fā)展原則 安全防范體系的建設(shè)不是一個(gè)一勞永逸的工作，而是一 個(gè)長(zhǎng)期不斷完善的過程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整而 不斷 升級(jí)發(fā)展。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級(jí)、使用的對(duì)象、面對(duì)的威脅和風(fēng)險(xiǎn)各不相同。 4. 中心服務(wù)域 ：所有的業(yè)務(wù)生產(chǎn)系統(tǒng)的服務(wù)器都放置在這個(gè)區(qū)域。 中心辦公域： 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 防垃圾郵件：防止郵件炸彈攻擊，對(duì)垃圾郵件進(jìn)行過濾，提升工作效率。 抗拒絕服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 上網(wǎng)行為管理：對(duì) IM 應(yīng)用進(jìn)行管理和控制，對(duì) P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。 天清漢馬 USG 一體化安全網(wǎng)關(guān)采用了一體化的設(shè)計(jì)方案，在一個(gè)產(chǎn)品中協(xié)調(diào)統(tǒng)一地實(shí)現(xiàn)了接入安全需要考慮的方方面面，采用天清漢馬 USG 一體化安全網(wǎng)關(guān)，可以從整體上解決了接入安全的問題。 入侵檢測(cè)系統(tǒng)是實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。 入侵檢測(cè)系統(tǒng)是一種動(dòng)態(tài) 網(wǎng)絡(luò)信息安全 技術(shù)，它能夠發(fā)現(xiàn)入侵者實(shí)時(shí)攻擊行為，并對(duì)其進(jìn)行響應(yīng)。 5. 實(shí)時(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻聯(lián)動(dòng)。 入侵檢測(cè)和防火墻、入侵檢測(cè)和漏洞掃 描聯(lián)動(dòng)體系示意圖如下： 入侵檢測(cè)系統(tǒng)與防火墻的聯(lián)動(dòng) 信息系統(tǒng)安全建設(shè)建議 方案 第 23頁 共 53 頁 ? 入侵檢測(cè)系統(tǒng)可以進(jìn)行針對(duì) TCP 連接的阻斷。 入侵檢測(cè)系統(tǒng)的應(yīng)急響應(yīng)體系的架構(gòu)如下圖示。 ? 網(wǎng)絡(luò)病毒分析 針對(duì)當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進(jìn)行預(yù)警，包括 Nimda 蠕蟲、 Sql slammer 蠕蟲等。具有良好可視化、可控性、可管理性的新一代入侵檢測(cè)系統(tǒng)可稱為入侵管理系統(tǒng)。 ? 用戶可以定義與指定的人、郵件、 IP 地址等有關(guān)的行為，實(shí)現(xiàn)對(duì)重點(diǎn)目標(biāo)的保護(hù)和對(duì)重點(diǎn)懷疑對(duì)象異常行為的有效監(jiān)控。最有效的方法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞，保證系統(tǒng)的安全性。 ? 多種形式、人性化的掃描報(bào)表 可根據(jù)用戶的不同需求提供不同層次的報(bào)告，并提供安全補(bǔ)丁供應(yīng)商的熱連接，快速及時(shí)的修補(bǔ)漏洞。 對(duì)于互聯(lián)網(wǎng)內(nèi)容的管理和控制，歸根到底是對(duì)訪問者的管理和控制。幫助企業(yè)發(fā)現(xiàn)互聯(lián)網(wǎng)訪問趨勢(shì)，了解企業(yè)互聯(lián)網(wǎng)的使用情況。 ? 在核心業(yè)務(wù)服務(wù)器區(qū)的出口處 部署一臺(tái) 我 公司的 天玥 網(wǎng)絡(luò)信息安全 審計(jì)系統(tǒng) （業(yè)務(wù)網(wǎng)型） 探測(cè)引擎，實(shí)現(xiàn)對(duì) WWW、 FTP、 E_mail、 OA、數(shù)據(jù)庫等應(yīng)用服務(wù) 器的訪問或非法攻擊進(jìn)行數(shù)據(jù)分析并保存，以便事后取證和分析。 ? 如何按照既定策略統(tǒng)一配置客戶端端口策略、注冊(cè)表策略等客戶端安全策略。 ? 如何有效地監(jiān)控客戶端的 USB 拷貝、打印的行為。 ? 如何構(gòu)架功能強(qiáng)大的網(wǎng)絡(luò)客戶端綜合安全報(bào)警平臺(tái)。由于大型網(wǎng)絡(luò)一般結(jié)構(gòu)較為復(fù)雜，用戶使用水平參差 不齊，而網(wǎng)絡(luò)管理人員編制有限，往往難以面對(duì)數(shù)量重大的客戶端事件， 例如： ? 缺少有效手段對(duì)客戶端聯(lián)網(wǎng)行為進(jìn)行監(jiān)控，對(duì)客戶端違規(guī)聯(lián)網(wǎng)的現(xiàn)象及時(shí)發(fā)現(xiàn)，及時(shí)阻斷。另外，通過對(duì)安全事件的不斷收集與積累并且加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì) 跟蹤，以便對(duì)發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。 具備 合理 的定位和管理措施，清晰直觀的監(jiān)控記錄和靈活多樣的數(shù)據(jù)統(tǒng)計(jì)報(bào)表， 是互聯(lián)網(wǎng)訪問控制 審計(jì) 類產(chǎn)品的一項(xiàng)重要功能。 . 網(wǎng)絡(luò)信息安全 審計(jì)系統(tǒng)設(shè)計(jì) 來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進(jìn)行的，這些威脅事件多數(shù)是來自于內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對(duì)這些 網(wǎng)絡(luò)信息安全 事件的審計(jì)要求， 網(wǎng)絡(luò)信息安全 審計(jì) 系統(tǒng)正是在這樣的安全審計(jì)需求下產(chǎn)生的。 信息系統(tǒng)安全建設(shè)建議 方案 第 27頁 共 53 頁 系統(tǒng)功能 ? 可以動(dòng)態(tài)地分析目標(biāo)系統(tǒng)的安全脆弱性 根據(jù)不同的對(duì)象類型，自動(dòng)尋找匹配的掃描策略進(jìn)行下一步的分析 掃描。 . 脆弱性 掃描系統(tǒng)設(shè)計(jì) （漏洞掃描） 網(wǎng)絡(luò)的應(yīng)用越來越廣泛，而網(wǎng)絡(luò)不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員 的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對(duì)于系統(tǒng)的威脅同樣很嚴(yán)重。 ? 用戶可以方便地修改協(xié)議端口默認(rèn)值，滿足用戶保護(hù)特殊網(wǎng)絡(luò)應(yīng)用的需要，同時(shí)有效防止黑客以變形木馬等方式躲避入侵檢測(cè)系統(tǒng)監(jiān)控的攻擊。 隨著入侵檢測(cè)技術(shù)的發(fā)展，入侵檢測(cè)系統(tǒng)還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進(jìn)行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。同時(shí)，采用“多目標(biāo)跟蹤鎖定”功能，對(duì)用戶所設(shè)定的異常報(bào)警內(nèi)容進(jìn)行多方位的定點(diǎn)跟蹤和 顯示，“凸出”用戶所關(guān)心的信息。 同時(shí)，通過獲得漏洞掃描系統(tǒng)的掃描結(jié)果，可動(dòng)態(tài)修改入侵檢測(cè)系統(tǒng)的檢測(cè)策略，使入侵檢測(cè)系統(tǒng)的事件報(bào)警更加準(zhǔn)確，提高入侵檢測(cè)系統(tǒng)的運(yùn)行效率。同時(shí)由于單一的安全產(chǎn)品對(duì)安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補(bǔ)，可以提高系統(tǒng)對(duì)安全事件響應(yīng)的準(zhǔn)確性和全面性，使防護(hù)體系由靜態(tài)到動(dòng)態(tài)，由平面到立體，不僅增強(qiáng)了入侵檢測(cè)系統(tǒng)的響應(yīng)能力，降低了入侵檢測(cè)的誤報(bào)率，充分發(fā)揮了入侵檢測(cè)的作用，同時(shí)提升了防火墻的機(jī)動(dòng)性和實(shí)時(shí)反應(yīng)能力。 3. 監(jiān)視 **集團(tuán) 網(wǎng)絡(luò)內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，入侵檢測(cè)在此處將承擔(dān)實(shí)時(shí)監(jiān)測(cè)大量出入整個(gè)網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會(huì)有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡(luò)；另外，據(jù)統(tǒng)計(jì)有 70％ 以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防 火墻的盲區(qū)。 系統(tǒng)功能 天清漢馬 USG 一體化安全網(wǎng)關(guān) 采用 高性能 的 硬件 架構(gòu)和 一體化的軟件設(shè)計(jì) ，集 防火墻、VPN、入侵防御（ IPS）、防病毒、外聯(lián)控制、抗拒絕服務(wù)攻擊（ AntiDoS） 、 內(nèi)容過濾、反垃圾郵件 、 NetFlow 等多種安全技術(shù)于一身， 同時(shí) 全面支持 QoS、高可用性（ HA） 、日志審計(jì)等功能 ， 為 網(wǎng)絡(luò)邊界提供 了全面實(shí)時(shí)的安全 防護(hù) 。通過控制文件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。 防入侵：檢測(cè)來自外部的入侵行為并予以阻斷。 內(nèi)容過濾：對(duì)基于標(biāo)準(zhǔn)協(xié)議的內(nèi)容進(jìn)行過濾，防止色情、非法信息的下載與傳播。 抗拒絕服務(wù)攻擊：根據(jù) 網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 2. 中心辦公域 ：總部工作人員辦公用網(wǎng)絡(luò)。同時(shí)由于一臺(tái) UTM 設(shè)備即可實(shí)現(xiàn) 較為 完整的邊界安全解決方案，將大大降低用戶采購成本和維護(hù)成本。 ? 安全目標(biāo)與效率、投入之間的 平衡原則 要綜