【正文】 種系統(tǒng)都有可能被病毒襲擊或成為病毒的傳播 途徑，所以必須對(duì)這些系統(tǒng)實(shí)行全面統(tǒng)一的防病毒保護(hù)，才能真正杜絕病毒在企業(yè)網(wǎng)中的傳播。 在計(jì)算機(jī)網(wǎng)絡(luò)還很不發(fā)達(dá)的時(shí)代，計(jì)算機(jī)病毒主要靠被感 染的軟盤傳播，病毒類型也只有引導(dǎo)區(qū)型、文件型兩種。 目前，計(jì)算機(jī)病毒的種類與傳播媒介日益繁多，病毒更主要是通過網(wǎng)絡(luò)共享文件、電子郵件及 Inter/Intra 進(jìn)行傳播。通過協(xié)同可以進(jìn)一步加強(qiáng)整個(gè)受保護(hù)網(wǎng)絡(luò)的安全性。資源訪問仲裁將用戶與權(quán)限分離，方便了用戶權(quán)限管理，最大限度地減少用戶對(duì)系統(tǒng)維護(hù)的工作量。方便管 理員及時(shí)掌控和調(diào)節(jié)安全策略。它能夠有效的解決用戶合法 IP 地址不足的問題，同時(shí)隱藏用戶內(nèi)部網(wǎng)絡(luò)的拓樸結(jié)構(gòu)，起到保護(hù)用戶內(nèi)部網(wǎng)絡(luò)的作用。因此，機(jī)密網(wǎng)絡(luò)的數(shù)據(jù)通信的加密算法是不公開的。 實(shí)現(xiàn)真正的應(yīng)用級(jí)安全。提供從鏈路層到應(yīng)用層的多級(jí)安全控制。 南大蘇富特硬件防火墻采用獨(dú)有的 ASIC 集成電路設(shè)計(jì)，不同 于常見的基于 Unix 等操作系統(tǒng)的軟硬件防火墻；具有良好的安全性和高性能。 可以檢測(cè) RPC(Remote Procedure Call)和 UDP（ User Datagram Protocol）之類的端口信息。同時(shí)網(wǎng)絡(luò)管理員可以完全控制提供那些服務(wù)，因?yàn)闆]有特定服務(wù)的代理就表示該服務(wù)不提供。假如允許用戶注冊(cè)到防火墻系統(tǒng)中，防火墻系統(tǒng)的安全就會(huì)受到威脅，因?yàn)槿肭终呖赡軙?huì)在暗地里進(jìn)行某些損害防火墻有效性 的 動(dòng)作。這種控制最好在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來完成。該數(shù)據(jù)包括了一些隱藏的指令，能夠讓主機(jī)修改訪問控制和與安全有關(guān)的文件，使得入侵者能夠獲得對(duì)系統(tǒng)的訪問權(quán)。除了花費(fèi)時(shí)間去規(guī)劃過濾器和配 置路由器之外，實(shí)現(xiàn)包過濾幾乎不再需要費(fèi)用（或極少的費(fèi)用），因?yàn)檫@些特點(diǎn)都包含在標(biāo)準(zhǔn)的路由器軟件中。它能從數(shù)據(jù)鏈層、 IP 層、 TCP 層到應(yīng)用層都施加安全控制，且能直接進(jìn)行網(wǎng)卡操作，對(duì)出入的數(shù)據(jù)進(jìn)行透明加密、解密。 防火墻概述 1. 技術(shù)概述 防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。 防火墻 需求分析 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的單位內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間（如單位內(nèi)部不同部門之間）的一系列部件的組合。構(gòu)建安全管理平臺(tái)從技術(shù)上如，組成安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件。對(duì)有經(jīng)常交換信息需求的用戶，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。 網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) NAT 方式節(jié)省網(wǎng)絡(luò)地址資源 南大蘇富特 SoftWall 防火墻提供的網(wǎng)絡(luò)地址轉(zhuǎn)換（ Network Address Translation）功能不僅可以隱藏內(nèi)部網(wǎng)路地址信息，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備，同時(shí)，它還幫助網(wǎng)絡(luò)可以超越地址的限制，合理地安排網(wǎng)絡(luò)中的公有 Inter 地址和私有 IP 地址的使用。 入侵檢測(cè) 利用防火墻并經(jīng)過嚴(yán)格配置，可以阻止各種不安全訪問通過防火墻，從而降低安全風(fēng)險(xiǎn)。還 有就是加強(qiáng)登錄身份認(rèn)證。顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。隨著今后應(yīng)用的種類和復(fù)雜程度的增加，再在原來基礎(chǔ)防護(hù)體系之上，建立增強(qiáng)的安全防護(hù)體系。 可評(píng)價(jià)性原則 如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國(guó)家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng) 絡(luò)安全體系結(jié)構(gòu)。 防范病毒的侵害 健全的人的安全意識(shí)可以通過安 全常識(shí)培訓(xùn)來提高?，F(xiàn)在的病毒有 55,000 多種，加之每個(gè)月新產(chǎn)生的 300 多種病毒，因此保護(hù)有價(jià)值的數(shù)據(jù)不受病毒的攻擊已迫在眉睫。既然合法用戶可以訪問資源。但對(duì)于用戶名及口令的保護(hù)方式，對(duì) 有攻出擊目的的人而言，根本就不是一種障礙。 鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計(jì)方案 第 9 頁(yè) 共 38 頁(yè) 鄭州蘇富特軟件有限公司 第二章 網(wǎng)絡(luò)安全需求及安全目標(biāo) 通過對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，再加上黑客、病毒等安全威脅日益嚴(yán)重。在不經(jīng)意間，存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。 資源共享 在當(dāng)前國(guó)內(nèi)的企業(yè)辦公系統(tǒng)中，為便于工作和節(jié)約成本，辦公網(wǎng)絡(luò)應(yīng)用通 常存在著各種各樣的共享網(wǎng)絡(luò)資源，比如文件共享、打印機(jī)共享等。這些 后門 或安全漏洞都是企業(yè)信息系統(tǒng)的重大安全隱患。情況嚴(yán)重的，將有可能影響到導(dǎo)致企業(yè)的日常運(yùn)作和企業(yè)的商業(yè)信譽(yù)；影響所及，還可能涉及法 律、金融等安全敏感領(lǐng)域。 電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失； 蘇富特防火墻支持多網(wǎng)絡(luò)操作系統(tǒng)、多種配置，通過公安部公共信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的檢測(cè)，獲得公安部公共信息網(wǎng)絡(luò)監(jiān)察局頒發(fā)的銷售許可證，并獲得江蘇省保密局的推薦，被列入國(guó)家保密設(shè)備清單。 南大蘇富特軟件股份有限公司依托計(jì)算機(jī)軟件新技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室和南京大學(xué)計(jì)算機(jī)系自行研制開發(fā)的防火墻系列產(chǎn)品和其他信息安全產(chǎn)品，采用國(guó)際最先進(jìn)的代理技術(shù)、包過濾技術(shù)、入侵檢測(cè)技術(shù)、虛擬專用網(wǎng)技術(shù)，提供完善的網(wǎng)絡(luò)安全解決方案。 由于水災(zāi)、火災(zāi)、雷擊、粉塵、靜電等突發(fā)性事故和環(huán)境污染造成網(wǎng)絡(luò)設(shè)施工作停滯 假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損（被攻擊或者被病毒感染），就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。而且多數(shù)被大規(guī)模使用的系統(tǒng)本身都會(huì)存在一定的安全漏洞。這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。 雖然大多數(shù)的企業(yè)都會(huì)有一定的管理制度，但在實(shí)際工作中我們發(fā)現(xiàn)，很多企業(yè)的機(jī)房重地卻是任何人都可以進(jìn)進(jìn)出出，來去自由。即除了從技術(shù)上下功夫外，還得依靠安全管理來實(shí)現(xiàn)。在沒有任何防范措施的情況下，網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全，如用戶名及口令字這些簡(jiǎn)單的控制。 防范假冒合法用戶非法訪問 從管理上及實(shí)際需求上是要求合法用戶可正常訪問被許可的資源。保護(hù)今天各種網(wǎng)絡(luò)免遭不 斷增長(zhǎng)的計(jì)算機(jī)病毒和惡意代碼的威脅決非一項(xiàng)簡(jiǎn)單的工作。 安全管理體制 無論任何先進(jìn)的設(shè)備和技術(shù)，只有通過人的操作才可以得到效果的體現(xiàn)，同時(shí)，制度的執(zhí)行也需要人的遵守。 保護(hù) 河南省檢查院 信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性 不同的安全措施其代價(jià)、效果對(duì)不同網(wǎng)絡(luò)并不完全相同。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層仍可保護(hù)信息的安全。具體而言，我們可以先對(duì)網(wǎng)絡(luò)做一個(gè)比較全面的安全體系規(guī)劃，然后， 根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況，先建立一個(gè)基礎(chǔ)的安全防護(hù)體系，保證基本的、應(yīng)有的安全性。 媒體安全 包括媒體數(shù)據(jù)的安全及媒體本身的安全。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng)，可以關(guān)閉服務(wù)器上如 HTTP、 FTP、 TELNET、RLOGIN 等服務(wù)。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制。由于探測(cè)器采取的是監(jiān)聽不是過濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因?yàn)槭韬龆谂c 工作人員 間交換信息時(shí)泄漏重要信息。 構(gòu)建安全管理平臺(tái) 構(gòu)建安全管理平臺(tái)將會(huì)降低很多因?yàn)闊o意的人為因素而造成的風(fēng)險(xiǎn)。 ? 在全網(wǎng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，包括桌面 PC、服務(wù)器、 Email 服務(wù)器； 實(shí)施方案： 河南省檢查院 網(wǎng)絡(luò)安裝防病毒服務(wù)器防毒系統(tǒng)，所有計(jì)算機(jī)安裝殺毒 Client 端。即使內(nèi)網(wǎng)沒有連接到 Inter 上，它也需要建立內(nèi)部的安全策略來管理用戶對(duì)部分網(wǎng)絡(luò)的訪問并對(duì)敏感或秘密數(shù)據(jù)提供保護(hù)。 蘇富特 SoftWall 防火墻既不是單純的代理防火墻，又不是純粹的包過濾。 包過濾技術(shù)的優(yōu)點(diǎn) 已部署的防火墻系統(tǒng)多數(shù)只使用了包過濾器路由器。我們已經(jīng)知道數(shù)據(jù)驅(qū)動(dòng)式攻擊從表面上來看是由路由器轉(zhuǎn)發(fā)到內(nèi)部主機(jī)上沒有害處的數(shù)據(jù)。例如，網(wǎng)絡(luò)管理員可能需要在應(yīng)用層過濾信息以便將訪問限制在可用的 FTP 或 Tel 命令的子集之內(nèi)，或者阻塞郵件的進(jìn)入及特定話題的新聞進(jìn)入。允許用戶訪問代理服務(wù)是很重要的，但是用戶是絕對(duì)不允許注冊(cè)到應(yīng)用層網(wǎng)關(guān)中的。應(yīng)用層網(wǎng)關(guān)能夠讓網(wǎng)絡(luò)管理員對(duì)服務(wù)進(jìn)行全面的控制，因?yàn)榇響?yīng)用限制了命令集并決定那些內(nèi)部主機(jī)可以被該服務(wù)訪問。 它的運(yùn)作原理如下圖所示： 鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計(jì)方案 第 23 頁(yè) 共 38 頁(yè) 鄭州蘇富特軟件有限公司 狀態(tài)檢測(cè)的優(yōu)點(diǎn)： 檢測(cè)模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。 選型產(chǎn)品介紹 在此次方案設(shè)計(jì)中，按照 河南省檢查院 網(wǎng)絡(luò)的需求和具體網(wǎng)絡(luò)安全規(guī)劃需要，我們?cè)?河南省檢查院 內(nèi)外網(wǎng)接口處選用了南大蘇富特的硬件防火墻（ SOFTWALL4000）。 蘇富特防火墻功能 蘇富特防火墻是含有報(bào) 文過濾和應(yīng)用代理的混合型防火墻。在資源訪問仲裁器的支持下，可提供強(qiáng)大的基于角色的訪問控制。雖然從理論上來講，只知道加密算法而不知道密鑰是不可能從密文得到明文的，但是利用國(guó)家級(jí)的破譯力量還是可能的。 地址翻譯 蘇富特防火墻提供靈活的雙向地址翻譯功能， 主要包括地址轉(zhuǎn)換和端口重定向功能。 對(duì)系統(tǒng)運(yùn)行狀態(tài)變化的審計(jì)，為防火墻管理員提供系統(tǒng)運(yùn)行狀態(tài)情況的清晰視圖。因?yàn)橐粋€(gè)系統(tǒng)中角色的權(quán)限變化較少，用戶的角色變化相對(duì)較多。便于升級(jí)； 8. 提供與相關(guān)安全產(chǎn)品（如 IDS， SNMP 等）協(xié)同工作的標(biāo)準(zhǔn)編程接口?，F(xiàn)在的病毒有 55,000 多種，加之每個(gè)月新產(chǎn)生的 300 多種病毒，因此保護(hù)有價(jià)值的數(shù)據(jù)不受病毒的攻擊已迫在眉睫。反病毒技術(shù)包括檢測(cè)病毒和殺病毒兩方面，而病毒的清除都是以有效的病毒探測(cè)為基礎(chǔ)的。很多情況下，出于對(duì)成本、網(wǎng)絡(luò)綜合性能和與外界交流通暢等方面的考慮，這些網(wǎng)絡(luò)層次并不總是同處于一個(gè)系統(tǒng)平臺(tái)上，網(wǎng)絡(luò)層一般是基于 Unix 平臺(tái)，而服務(wù)器也許是 Linux、 Windows NT 或 NetWare 平臺(tái)，客戶機(jī)又可能是 Windows 9x 或 Linux 平臺(tái)。所以 諾頓 提出了“預(yù)防為主，防殺結(jié)合”的理念。公司由此不斷壯大，并逐步確立了以計(jì)算機(jī)網(wǎng)絡(luò)安全軟件為核心技術(shù)的發(fā)展思路，制定出創(chuàng)立“南大蘇富特”品牌、成為中國(guó)知名計(jì)算機(jī)網(wǎng)絡(luò)安全整體解決方案供應(yīng)商的戰(zhàn)略目標(biāo)。 鄭州 公司簡(jiǎn)介 鄭州蘇富特軟件有限公司 成立于 2020 年 8 月 15 日，經(jīng)鄭州市工商局注鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計(jì)方案 第 33 頁(yè) 共 38 頁(yè) 鄭州蘇富特軟件有限公司 冊(cè)， 注冊(cè)資金 100 萬元。 為加快公司的發(fā)展步伐，提高蘇富特在國(guó)內(nèi)外的知名度和影響力，公司積極運(yùn)作海外上市計(jì)劃。 對(duì)于經(jīng)常通過筆記本訪問的內(nèi)部網(wǎng)的用戶，安裝 防病毒客戶端軟件 。 在網(wǎng)絡(luò)外部：主要考慮防止病毒從外部網(wǎng)絡(luò)進(jìn)入網(wǎng)內(nèi)部，也就是說防止病毒通過Inter 和 Email 的形式感染內(nèi)部網(wǎng)絡(luò)。面對(duì)如此復(fù)雜的病毒傳播模式和種類繁多的病毒，只具備單一功能的防病毒軟件已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足要求。 對(duì)于 河南省檢查院 網(wǎng)絡(luò)中，一個(gè)具有多種平臺(tái)、多個(gè)重要而且復(fù)雜的應(yīng)用、網(wǎng)絡(luò)開放程度較大的計(jì)算機(jī)網(wǎng)絡(luò)， 全面部署防病毒系統(tǒng)，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面的保護(hù)，從服務(wù)器到桌面，從 Inter 網(wǎng)絡(luò)到普通軟盤 ，非常重要。對(duì) DMZ 區(qū)和內(nèi)部網(wǎng)絡(luò)區(qū)進(jìn)行信任關(guān)系設(shè)置，使內(nèi)部網(wǎng)絡(luò)區(qū)可以訪問 DMZ 區(qū)，而 DMZ鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計(jì)方案 第 29 頁(yè) 共 38 頁(yè) 鄭州蘇富特軟件有限公司 區(qū)不能訪問內(nèi)部網(wǎng)絡(luò)中的任何機(jī)器，防止網(wǎng)絡(luò)攻擊者以外服務(wù)器為跳板攻擊內(nèi)部 網(wǎng)絡(luò)的機(jī)器，在不影響對(duì)外服務(wù)的前提下保證了內(nèi)部網(wǎng)絡(luò)的安全性。能有效防止黑客對(duì)操作系統(tǒng)和防火墻本身進(jìn)行攻擊，防止黑客繞過防火墻安全策略而攻擊內(nèi)部網(wǎng)絡(luò)； 4. 通過對(duì) IP 協(xié)議棧的改造和采用優(yōu)化的算法，狀態(tài)包過濾模塊能夠提供高效率的過濾處理，對(duì)網(wǎng)絡(luò)正常使用基本沒有影響； 5. 采用基于角色的訪問控制策略。 蘇富特防火墻提供的計(jì)費(fèi)功能，能夠根據(jù)用戶實(shí)際需求進(jìn)行不同條件的統(tǒng)計(jì)計(jì)費(fèi)功能，并能夠讓用戶根據(jù)實(shí)際情況進(jìn)行計(jì)費(fèi)的調(diào)整。 日志審計(jì) 基于狀態(tài)包過濾模塊、各應(yīng)用代理模塊和主控模塊的日志審計(jì)功能，可以對(duì)通過防火墻的所有信息內(nèi)容進(jìn)行記錄分析，幫助用戶對(duì)網(wǎng)絡(luò)應(yīng)用情況進(jìn)行分析管理。 管理權(quán)限分離 防火墻設(shè)立安全員，審計(jì)員，系統(tǒng)管理員。 使用與蘇富特資源訪問仲裁器結(jié)合的方式，還可以提 供對(duì)局域網(wǎng)資源的基于角色的訪問控制。主要包括： ? 采用獨(dú)有的， IP 攻擊檢測(cè) —— 規(guī)則過濾 —— 狀態(tài) 檢查三級(jí)過濾機(jī)制 ，提供優(yōu)越的安全性。它們不僅僅檢測(cè)“ to”或“ from”的地鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計(jì)方案 第 24 頁(yè) 共 38 頁(yè) 鄭州蘇富特軟件有限公司 址，而且也不要求每個(gè)被訪問的應(yīng)用都有代理。 配置非常復(fù)雜，而且會(huì)降低網(wǎng)絡(luò)的速度。