【正文】 定時自動啟動掃描引擎進行掃描；提供日志管理，用戶何時訪問 系統(tǒng)，系統(tǒng)都有一個較為全面的記錄；實行賬戶管理設(shè)定不同的用戶有不同的訪問權(quán)限；此外，還對 用戶進行密碼管理。先于黑客發(fā)現(xiàn)并彌補漏洞，防患與未然。 系統(tǒng)管理功能：對本系統(tǒng)的進行系統(tǒng)設(shè)置，用來設(shè)置本機的 IP、 子網(wǎng)掩碼、網(wǎng) 關(guān)設(shè)置 ；定時設(shè)定，設(shè)定指定時間系統(tǒng)自動啟動掃描引擎進行掃描；提供日志管理，用戶何時訪問系統(tǒng)，系統(tǒng)都有一個較為全面的記錄；實行賬戶管理設(shè)定不同的用戶有不同的訪問權(quán)限；此外，還對 用戶進行密碼管理。 漏洞 掃描系統(tǒng)機架式產(chǎn)品可以對不同操作系統(tǒng)下的計算機（在可掃描 IP 范圍內(nèi)）進行漏洞檢測。 8 漏洞掃描產(chǎn)品規(guī)劃方案 漏洞掃描系統(tǒng)的選擇 一個計算機網(wǎng)絡安全漏洞有它多方面的屬性，主要可以用以下幾個方面來概括：漏洞可能造成的直接威脅 、 漏洞的成因 、 漏洞的嚴重性 和 漏洞被利用的方式。 防病毒過濾網(wǎng)關(guān) 的反垃圾郵件技術(shù)按照協(xié)議特征對數(shù)據(jù)包進行分析、重組及解碼，按照安全規(guī)則通過智能 分析對 SMTP 連接、 IP 地址、郵件地址、數(shù)據(jù)內(nèi)容進行處理。 對于網(wǎng)頁瀏覽（ HTTP 協(xié)議）、文件傳輸（ FTP 協(xié)議）、郵件傳輸（ SMTP、 POP3協(xié)議）等病毒，基于專門的病毒引擎進行查殺。近幾年蠕蟲造成的危害越來越大，可以導致系統(tǒng)嚴重損壞和網(wǎng)絡癱瘓。攻擊報告提供識別到的異常流量和各類攻擊的詳細內(nèi)容，包括攻擊特征、異常流量特征等。并提供攻擊報告和建議措施，包括各類攻擊的詳細內(nèi)容和可采取的安全措施。 利用建立的流量基線和流量閥值，當前流量超過閾值或基線時，系統(tǒng)會產(chǎn)生相應的告警信息。 這將面臨來自 Intet 及下屬單位的 安全威脅。 這種方式的優(yōu)勢在于部署簡單，實現(xiàn)容易。 ? 豐富報表：豐富的商務報表能夠更容易的顯示協(xié)同任務的進展，證明 IT 標準的符合度以及計劃您未來的擴充計劃 ? 提高效率：效率意味著自動完成日常任務，并且對人力及 IT 資源產(chǎn)生最小的影 響。 ? 簡單的基礎(chǔ)設(shè)施要求：可以適應但不要求 Active Directory（微軟的活動目錄服務）等復雜 Windows 基礎(chǔ)設(shè)施就可以使用，適合普及推廣的需要。 ? 擴展能力強：可以 和防火墻、隔離網(wǎng)關(guān)等設(shè)施實現(xiàn)連動，從而實現(xiàn)更靈活、更有效的安全域劃分控制和上網(wǎng)行為控制。 補丁系統(tǒng)不僅包括廠商所發(fā)布的補丁，也包括針對漏洞的修補腳本程序和用戶自定義的補丁，修補能力更加 全面。 補丁分發(fā)管理子系統(tǒng) ? 具有完全的國內(nèi)自主知識產(chǎn)權(quán)：補丁分發(fā)管理系統(tǒng)是國內(nèi)自主開發(fā)的網(wǎng)絡安全產(chǎn)品，具有全部的源代碼，擁有完全自主的國內(nèi)知識產(chǎn)權(quán)。 考慮到煙草網(wǎng)絡的規(guī)模和終端計算機的多樣性，客戶端程序必須有良好的兼容性和穩(wěn)定性、較小的系統(tǒng)開銷以減少對系統(tǒng)資源的占用。進入信息年代，互聯(lián)網(wǎng)成為本土企業(yè)與外地公司溝通、交換業(yè)務數(shù)據(jù)及信息的主要渠道。 6） 對外出口處部署防病毒網(wǎng)關(guān)，防范來自互聯(lián)網(wǎng)的各種病毒的侵襲。 12) 安全審計方面，缺乏對核心業(yè)務的合規(guī)性審計。 “技術(shù)體系”方面的不足如下： 1) 在訪問控制方面，缺乏對 用戶終端的訪問活動進行有效限制； 2) 在標識鑒別方面，缺乏 靜態(tài)口令、一次性口令 、 數(shù)字證書 、生物特征或 多種方式相 結(jié)合 的 方法 ； 3) 網(wǎng) 絡訪問控制方面，缺乏 局域網(wǎng)內(nèi)部的不同區(qū)域嚴格劃分； 4) 用戶終端訪問控制方面，缺乏對桌面終端的違規(guī)操作進行監(jiān)測和有效控制 ，無法 防止未經(jīng)授權(quán)的便攜式移動設(shè)備接入本單位網(wǎng)絡系統(tǒng)，也無法防止外單位人員的便攜式移動設(shè)備在未經(jīng)批準的情況下接入本單位網(wǎng)絡系統(tǒng)。但 是， 按照 《煙草行業(yè)計算機網(wǎng)絡和信息安全技術(shù)與管理規(guī)范》（國煙辦【 2020】 17 號）的標準要求以及 “ 國家煙草專賣局煙草經(jīng)濟信息中心”的《煙草行業(yè)信息安全體系建設(shè)指南》的具體指導和要求 ，讓我們深刻感受到目前 某省 煙草 信息安全的建設(shè)仍然存在有不足，重點 表現(xiàn) 在 《煙草行業(yè)信息安全體系建設(shè)指南》 的“技術(shù)體系”方面。 11) 檢測與響應方面，缺乏漏洞掃描工具； 缺乏 對 各種安全 日志 清晰統(tǒng)一的 管理 。 5） 對外 出口處部署網(wǎng)絡流量分析與響應系統(tǒng)，識別各種拒絕服務攻擊與 監(jiān)視和控制本單位網(wǎng)絡對外出口的通信情況 ，并做到流量整形，保證對外出口安全通信。 3 終端 與內(nèi)網(wǎng) 安全管理系統(tǒng)規(guī)劃 在知識型經(jīng)濟之下，企業(yè)信息資產(chǎn)顯得特別重要，能否有效保護專有技術(shù)等內(nèi)部信息，更是企業(yè)成功的關(guān)鍵?？梢宰屇S時了解您企業(yè)的計算機用戶的資源利用情況。這種系統(tǒng)的特性減少了硬件和網(wǎng)絡提升后所帶來的軟件成本上升的壓力。 ? 支持自定義補丁 /腳本：大多數(shù)補丁管理產(chǎn)品僅 僅基于源廠商所發(fā) 布的補丁庫，對于系統(tǒng)配置不當?shù)仍蛩鶎е碌陌踩┒礋o能為力。 ? 網(wǎng)絡負載?。河捎诓恍枰獋鬟f復雜的證書和控制協(xié)議，基于 ARP 的干擾措施只需要很小的網(wǎng)絡負荷就能實現(xiàn)安全接入的控制。比如，防止將 Word 文檔改名偽裝成 MP3 文件躲避審計。 ? 查詢決策：強大的查詢工具使您能快速的分析和了解企業(yè)的 IT 環(huán)境，從而使您能在軟件、硬件有更新或升級需求時作出明智的決定。 ? 部署客戶端可以采用登錄 WEB 頁面下載安裝和電子郵件分發(fā)客戶端相結(jié)合的方法。 同時 某省 煙草廣域網(wǎng)骨干路由器匯聚 著 下屬地市分公司 等單位 的 通訊 。 圖 51 網(wǎng)絡流量分析與響 應系統(tǒng)部署拓撲圖 部署 網(wǎng)絡 流量分析與響應系統(tǒng)的作用： 網(wǎng)絡 流量實時分析 實時檢測因大量數(shù)據(jù)包的泛濫式攻擊造成的網(wǎng)絡流量異常，包括網(wǎng)絡中的DoS/DDoS 攻擊、蠕蟲病毒、大量的垃圾郵件等異常流量。 攻擊檢測 采用數(shù)據(jù)流智能重組，以數(shù)據(jù)流為對象，通過特征檢測、協(xié)議分析相結(jié)合的檢測方法，根據(jù)強大的攻擊特征庫，檢測各種攻擊。 網(wǎng)絡信息審計 強大的網(wǎng)絡信息審計功能，可以全面收集網(wǎng)絡系統(tǒng)信息，詳細 記錄網(wǎng)絡活動 和應用連接的歷史信息。 主要功能 a) 蠕蟲過濾 蠕蟲可以利用電子郵件、文件傳輸?shù)确绞竭M行擴散，也可以利 用系統(tǒng)的漏洞發(fā)起動態(tài)攻擊。 b) 病毒過濾 這里的病毒過濾是指普通病毒（例如 CIH）、郵件病毒（例如求職信、美麗殺手、愛蟲、 Mydoom）、特洛伊木馬、網(wǎng)頁惡意代碼的過濾等。過濾的協(xié)議支持 SMTP、 POP3 協(xié)議。 圖 6－ 1 某省 煙草省公司防病毒網(wǎng)關(guān)規(guī)劃部署方案 7 文檔加密系統(tǒng)的規(guī)劃 文檔加密系統(tǒng) 應能夠在國家煙草專賣局配置的 CA 認證中心的身 份、權(quán)限設(shè)置的基礎(chǔ)上選擇保密局認證的文檔加密系統(tǒng)產(chǎn)品，將 涉及煙草行業(yè)秘密或敏感信息進行加密 ， 保證在局域網(wǎng)中加密傳輸（互聯(lián)網(wǎng)上傳輸還將結(jié)合 VPN 技術(shù)）。 漏洞掃描系統(tǒng)功能 本產(chǎn)品按照計算機信息系統(tǒng)安全的國家標準、相關(guān)行業(yè)標準設(shè)計、編寫、制造。 策略管理功能： 針對不同用戶的需求，對掃描項進行合理的組合，更快、更有效地幫助不同用戶構(gòu)建自己專 用的安全策略。通過模擬黑客的進攻手法 ,對被檢系統(tǒng)進行攻擊性的安全漏洞和隱患掃描，提交風險評估報告， 并提供相應的整改措施。 漏洞掃描系統(tǒng) 預裝了多種常見的策略，您可以根據(jù)不同的安全需求，選取或自定義不同的掃描策略，對相應的網(wǎng)絡設(shè)施進行掃描分析。系統(tǒng)實時的檢測是否當前的時間與設(shè)置中的時間一致。 這樣這些掃描結(jié)果就有可能被其他別有用心的人利用，成為攻擊者信息的來源。 漏洞掃描系統(tǒng) 不僅能發(fā)現(xiàn)系統(tǒng)存在的弱點和漏洞，還能給用戶提出修補這些弱點和漏洞的建議和措施，能給用戶建議保證系統(tǒng)安全的安全策略，最大限度地保證用戶信息系統(tǒng)的安全。 9 綜合運維管理平臺 規(guī)劃 方案 方案 概述 方案設(shè)計原則 在 綜合運維管理建設(shè) 方案設(shè)計中，我們遵循了以下的原則： ? 先進性原則 以成熟的 IT 安全子系統(tǒng)為基礎(chǔ)，提出最新的 綜合 運維管理平臺的概念，將安全管理和安全技術(shù)有效銜接，并根據(jù)客戶需求，與客戶業(yè)務網(wǎng)絡深入結(jié)合，從而保證系統(tǒng)的先進性，以適應未來數(shù)據(jù)發(fā)展的需要。 方案 建設(shè)目標 依托 安全運維管理平臺 為基礎(chǔ) ，融合內(nèi)網(wǎng)綜合管理系統(tǒng)等， 構(gòu)成統(tǒng)一的綜合運維管理平臺。平臺通過驗證和審核安全維護的行為（包括 IT維護人員，信息資產(chǎn)的相關(guān)責任人的行為），防止人員在安全方面的疏忽，強調(diào)每個人都要遵守的安全規(guī)則，確保組織的安全策略得到落實。 運維 管理平臺 管理的資產(chǎn)包括主機設(shè)備、網(wǎng)絡設(shè)備、業(yè)務系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等在內(nèi)所有資產(chǎn)。 通過在每個前端設(shè)備上部署 Agent 實現(xiàn)主機設(shè)備信息的采集。支持 SNMP、 Syslog、日志文件、 ODBC/JDBC 等信息收集方式，并可自定義信息收集條件。 ? 業(yè)務系統(tǒng)模擬測試 對業(yè)務應用系統(tǒng)能進行模擬測試，及時了解業(yè)務應用系統(tǒng)的當前可用性，同時通過模擬用戶測試，及時了解當前業(yè)務應用系統(tǒng)的性能瓶徑，避免業(yè)務應用系統(tǒng)出現(xiàn)重大應用問題。 網(wǎng)絡管理人員通過圖形管理界面能夠直觀的查詢網(wǎng)絡拓撲關(guān)系。其中發(fā)送的內(nèi)容包括數(shù)據(jù)庫進程啟動情況，日常運行日志，表空間的使用情況，數(shù)據(jù)庫 Session 情況，數(shù)據(jù)庫系統(tǒng)設(shè)計的文件存儲空間、系統(tǒng)資源的使用率、配置情況、數(shù)據(jù)庫當前的各種鎖資源情 況、監(jiān)控數(shù)據(jù)庫進程的狀態(tài)、進程所占內(nèi)存空間等。 ? 監(jiān)測系統(tǒng)功能是否正常 通過采集 Agent 的探測實現(xiàn)。 支持 AIX 服務器系 統(tǒng)、 Windows2020/2020 服務器系統(tǒng)、 Windows2020/XP 終端系統(tǒng)、 Linux 系統(tǒng)、 Solaris 服務器系統(tǒng)等。 資產(chǎn)信息管理的 主要功能是對資產(chǎn)的分類管理、資產(chǎn)信息的錄入和導入、資產(chǎn)信息賦值、資產(chǎn)屬性的編輯等功能。 ? 監(jiān)控管理平臺 ：將采集到的原始安全信息根據(jù)策略進行整理、歸類和 統(tǒng)一標準格式化 ， 并結(jié)合信息資產(chǎn)的安全保護等級進行智能化的綜合關(guān) 聯(lián)分析，科學合理的定義 IT 事件的性質(zhì)和處理級別。該平臺以信息資產(chǎn)為核心，以風險管理為主要途徑，通過技術(shù)手段提升網(wǎng)絡安全管理成熟度，建立主動安全防御體系、有效降低安全風險。 ? 技術(shù)和管理相結(jié)合原則 各種安全技術(shù)應該與運行管理機制、人員思想教育與技術(shù)培訓、安全規(guī)章制度建設(shè)相結(jié)合，從社會工程學的角度綜合考慮。 掃描結(jié)束后用戶可以保存生成的掃描結(jié)果，方便用戶 在一段時間后對掃描結(jié)果的查詢和比較，通過比較用戶可以發(fā)現(xiàn)這段時間內(nèi)網(wǎng)絡隱患和漏洞的變化情況，用戶就能根據(jù)這些情況制定出更適合自身的網(wǎng)絡安全管理制度。 在線升級功能 漏洞掃描系統(tǒng) 利用程序內(nèi)置的產(chǎn)品升 級模塊，通過互聯(lián)網(wǎng)絡， 可以隨時隨地通過網(wǎng)絡對漏洞庫、程序、可掃描 IP 和策略進行升級，實現(xiàn)與國際最新標準同步， 保持漏洞掃描系統(tǒng) 的功能的完整性，使您能夠檢測到被保護對象的新的安全隱患， 在黑客發(fā)起攻擊之前幫您堵住漏洞。選擇系統(tǒng)管理下的日志管理，進入日志管理的主查詢窗口。 定時設(shè)定功能 由于要求對主機進行定期的檢測，經(jīng)常的對系統(tǒng)進行網(wǎng)絡安全的評估。在網(wǎng)絡漏洞檢測中， 漏洞掃描系統(tǒng) 將漏洞主要分為下列類別： ? CGI攻擊測試 ? Finger 攻擊測試 ? FTP 測試 ? NIS 測試 ? RPC 測試 ? SMTP 問題測試 ? Windows 測試 ? 端口掃描 ? 防火墻測試 ? 毫無用處的服務 ? 后門測試 ? 拒絕服務 ? 一般測試 ? 遠程獲取 shell ? 遠程獲取根權(quán)限 ? 遠程文件訪問 ? 雜項測試 ? SNMP 測試 漏洞分析功能 利用機架式產(chǎn)品具有強大計算能力，對掃描結(jié)果進行更為詳細的分析，給出滿足各方面需要的報表和圖形，為 您生成一份更為完整的安全分析報告。 在線升級功能： 可以隨時隨地通過網(wǎng)絡對漏洞庫進行升級，實現(xiàn)與國際最新標準同步，在黑客發(fā)起攻擊之前幫您堵住漏洞。網(wǎng)絡隱患掃描系統(tǒng) 作為一種積極主動 的 安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前 可以提供安全防護解決方案 。這種技術(shù)通常采用兩種策略，即被動式策略和主動式策略。 d) 內(nèi)容過濾 防病毒過濾網(wǎng)關(guān) 基于 SBPH/BCR（ Sparse Binary Polynomial Hashing/Bayesian Chain Rule）技術(shù)進行內(nèi)容檢查。 c) 垃圾郵件過濾 垃圾郵件過濾是 防病毒 過濾網(wǎng)關(guān)的一個獨立模塊，采用國際先進技術(shù)，依據(jù)公安部反垃圾郵件技術(shù)標準開發(fā)。在網(wǎng)絡層和傳輸 層過濾蠕蟲利用漏洞的動態(tài)攻擊數(shù)據(jù)，在應用層過濾利用正常協(xié)議（ SMTP、 HTTP、POP FTP 等）傳輸?shù)撵o態(tài)蠕蟲代碼。 6 防病毒網(wǎng)關(guān)的規(guī)劃 在省公司對 Inter 出口處增加一臺防病毒網(wǎng)關(guān)設(shè)備， 加強對 蠕蟲病毒以及垃圾郵件的防御 。 通信行為分析 采用應用層內(nèi)容檢測、協(xié)議解碼分析、行為分析等多種檢測技術(shù)，實現(xiàn)對網(wǎng)絡通信行為的 檢測分析。 流量趨勢預警 實時監(jiān)控、分析網(wǎng)絡的通信流量情況，及時提供關(guān)于流量變化趨勢的報表，顯示網(wǎng)絡運行狀況。 網(wǎng)絡 流量分析與響應系統(tǒng)能夠用于網(wǎng)絡出口流量的監(jiān)控檢測和分析，通過對出口骨干網(wǎng)絡流量信息或系統(tǒng)信息的收集，采用多種方法進行分析、檢測，實時監(jiān)控、檢測骨干網(wǎng)絡中 DoS/DDoS 攻擊、蠕蟲病毒、垃圾郵件及其他網(wǎng)絡異常事件，提取異常特征，并啟動報警和響應系統(tǒng)進行過濾、阻斷和防御。通過防火墻 對跨越安全域邊