【正文】 最新的病 毒庫，保證企業(yè)網(wǎng)絡(luò)得到最有效的保護(hù)。 產(chǎn)品特點(diǎn)： 實(shí)時(shí) 病毒過濾 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)對(duì)通過網(wǎng)關(guān)設(shè)備的數(shù)據(jù)流進(jìn)行 實(shí)時(shí) 檢測(cè)，過濾數(shù)據(jù)流中的 病毒、蠕蟲 和 垃圾郵件 等 ，阻止它們進(jìn)入 企業(yè) 網(wǎng)絡(luò)。 網(wǎng)絡(luò)版防病毒解決方案 根據(jù) XX 企業(yè)集團(tuán) 網(wǎng)絡(luò)結(jié)構(gòu)和辦公系統(tǒng)計(jì)算機(jī)分布情況，病毒防范系統(tǒng) 的安裝實(shí)施要求為： ? 具備實(shí)時(shí)防護(hù)、計(jì)劃掃描和手動(dòng)掃描的功能； ? 具備對(duì)各種常用格式的壓縮文件、包括多重壓縮文件的掃描功能； ? 感染源和感染文件的隔離功能，提供對(duì)病毒感染源的網(wǎng)絡(luò)連接阻斷和隔離功能，并且記錄感染源的用戶信息。甚至在一個(gè)正確的系統(tǒng)配置中，某些設(shè)置也可能被意外或故意的改動(dòng)。此外，攻擊的頻率和特征有助于選擇保護(hù)網(wǎng)絡(luò)免受相應(yīng)攻擊的安全手段。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的： ? 很多系統(tǒng)的操作系統(tǒng) 不能得到及時(shí)的更新 ? 有的系統(tǒng)雖然可以及時(shí)得到補(bǔ)丁程序，但是管理員沒有時(shí)間或者資源進(jìn)行系統(tǒng)更新，這個(gè)問題很普遍，特別是在那些具有大量主機(jī)或多種類型的軟硬件的環(huán)境中。 建議在核心交換機(jī)上對(duì) Inter 的接口和未來的應(yīng)用服務(wù)器的接口做流量映 射，配置天融信網(wǎng)絡(luò)衛(wèi)士的入侵檢測(cè) NGIDSUF。首先我們建議在網(wǎng)絡(luò)出口處和重要網(wǎng)段部署天融信千兆入侵檢測(cè) NGIDSUF。 XX企業(yè)防火墻的作用 ? 防火墻對(duì)內(nèi)網(wǎng) 用戶一經(jīng)授權(quán)便能夠采用任何現(xiàn)有的或新出現(xiàn)的網(wǎng)絡(luò)技術(shù)訪問 Inter 獲取 所需要的信息和服務(wù)； ? 防火墻 可以防范各種網(wǎng)絡(luò)攻擊，能夠查找到攻擊的來源和類型，能夠?qū)@些攻擊進(jìn)行反應(yīng)； ? 對(duì)網(wǎng)絡(luò)訪問接入點(diǎn)的保護(hù)應(yīng)該對(duì)相關(guān)組件與網(wǎng)絡(luò)的性能造成盡可能少的影響； ? 抗 DOS/DDOS 攻擊：拒絕服務(wù)攻擊（ DOS）、分布式拒絕服務(wù)攻擊（ DDOS）就是攻擊者過多的占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。 Solaris 服務(wù)器也是通過 兩 塊網(wǎng)卡連接兩臺(tái)核心交換機(jī) ， 物理上，一塊網(wǎng)卡是 up，另一塊處于 down 狀態(tài)。若嚴(yán)格地采取物理隔離措施，固然可以做到系統(tǒng)的訪問控制絕對(duì)安全，但是對(duì)于通過間接的物理訪問而造成的病毒危害則很難防范（病毒庫很難及時(shí)升級(jí)），而且對(duì)整個(gè)信息系統(tǒng)的自動(dòng)化和工作效率不能有效地保證。有關(guān)建立防火墻子系統(tǒng)的目標(biāo)、功能、位置、在下文中進(jìn)行詳細(xì)說明。 病毒防護(hù) 環(huán)節(jié)分析： ? 主要 針對(duì)全網(wǎng) 1000 多臺(tái)主機(jī)和 30 多臺(tái)服務(wù)器進(jìn)行病毒防護(hù)。 安全防護(hù) 環(huán)節(jié)分析 : ? 該環(huán)節(jié)的包括訪問控制、保密性、完整性、可用性、不可否認(rèn)性。 安全服務(wù)體系不健全的威脅 一個(gè)網(wǎng)絡(luò)的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護(hù)的。這些 后門 或安全漏洞都將存在重大安全隱患。如 某臺(tái)非法主機(jī)在經(jīng)過相關(guān)的配置后就可以與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器和其他客戶端主機(jī)進(jìn)行 TCP/IP 通信 。這些專網(wǎng)之間都需要進(jìn)行訪問控制。 ? 在分支機(jī)構(gòu)與總部的 VPN 網(wǎng)關(guān)建立隧道以后，如果分支機(jī)構(gòu)的計(jì)算機(jī)遭到病毒或黑客的入侵，同樣將會(huì)對(duì) XX 企業(yè)的內(nèi)網(wǎng)造成安全威脅。網(wǎng)絡(luò)設(shè)備基本采用 CISCO 系列產(chǎn)品，主干網(wǎng)絡(luò)交換機(jī)近 100 臺(tái)。安全管理的內(nèi)容可以分成安全技術(shù)管理和安兮管理制度兩部分。該模型與 OSI 體系結(jié)構(gòu)一致。 安全管理涉及到所有協(xié)議層次、所有單元的安全服務(wù)和安全機(jī)制的管理。安全方案的設(shè)計(jì)必須以科學(xué)的安全體系結(jié)構(gòu)模型為依據(jù)，才能保障整個(gè)安全體系的完備性、合理性。 ● 有效管理 沒有有效的安全管理（如防火墻監(jiān)控、審計(jì)日志的分析等等），各種安全機(jī)制的有效性很難保證。 XX 企業(yè)集團(tuán)是國(guó)家重點(diǎn)支持的 520 家工業(yè)企業(yè)大型支柱產(chǎn)業(yè)集團(tuán)之一。 實(shí)施是在網(wǎng)絡(luò)現(xiàn)有應(yīng)用基礎(chǔ)上的改造，對(duì)網(wǎng)絡(luò)整體的安全加固，所以在上新的系統(tǒng)時(shí)不能影響原有系統(tǒng)應(yīng)用的整體性能。 ● 責(zé)權(quán)分明 采用分層、分級(jí)管理的模式：一方面， XX 企業(yè)信息系統(tǒng)可以分為三層：信息網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和應(yīng)用系統(tǒng)；另一方面，網(wǎng)絡(luò)和應(yīng)用系統(tǒng)都有中心、下屬等的分級(jí)結(jié)構(gòu)。該模型由安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個(gè) 層面描述，且在每個(gè)層面上，都包含安全管理的內(nèi)容。這五種服務(wù)并不是相互獨(dú)立的，而且不同的應(yīng)用環(huán)境有不同的程度的要求，我們?cè)趫D中給出了主要安全服務(wù)之間的邏輯關(guān)系。 ● 端系統(tǒng)安全，主要保護(hù)網(wǎng)絡(luò)環(huán)境下端系統(tǒng)的自身的安全。但是網(wǎng)絡(luò)協(xié)議本身的缺陷、計(jì)算機(jī)軟件的安全漏洞，對(duì)網(wǎng)絡(luò)安全的忽視給計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)帶來極大的風(fēng)險(xiǎn)。 XX 企業(yè) 內(nèi)部網(wǎng)絡(luò) 與 Inter 如果不采取 安全防護(hù)措施， 這樣 內(nèi)部網(wǎng)絡(luò)很 容易 遭 到來自 于 Inter 中 可能 的入侵者的攻擊。現(xiàn)在的黑客攻擊工具在網(wǎng)絡(luò)上泛濫成災(zāi)，任何一個(gè)稍微有點(diǎn)計(jì)算機(jī)操作能力的人員都可以利用這些工具進(jìn)行攻 擊。 ? 網(wǎng)絡(luò)節(jié)點(diǎn)變化的隱患 在 XX 企業(yè) 集團(tuán)網(wǎng)絡(luò)系統(tǒng)中，預(yù)留了一些空節(jié)點(diǎn)以備人員擴(kuò)充時(shí)使用，若有非法人員利用這些節(jié)點(diǎn)接入后，就可以 直接連入 XX 企業(yè) 集團(tuán)的網(wǎng)絡(luò)中，并且能與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器物理連接。但網(wǎng)絡(luò)管理員并沒有一個(gè)有效方法來監(jiān)控這些應(yīng)用的使用，然而多數(shù)的木馬程序都是以注入內(nèi)存的方式來調(diào)用一些非法應(yīng)用與黑客通信的。 病毒對(duì) XX 企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)的安全威脅 ? 外部 – XX企業(yè) 與 Inter有直接通道，會(huì)受到來自 專 網(wǎng)以 HTTP、 SMTP、FTP 等數(shù)據(jù)流為載體的潛在病毒的威脅。同時(shí)，眾多品牌的安全產(chǎn)品采購(gòu)，也將對(duì) XX 企業(yè) 的網(wǎng)絡(luò)的維護(hù)帶來不便。防護(hù)還包括對(duì)線路高可用性、網(wǎng)絡(luò)病毒防護(hù)、數(shù)據(jù)容災(zāi)防護(hù)等方面。在網(wǎng)關(guān)處建議配置防病毒網(wǎng)關(guān)。以上這些專網(wǎng)和生產(chǎn)子網(wǎng)他們和 XX 企業(yè)集團(tuán)內(nèi)網(wǎng)之間都需要進(jìn)行訪問控制。建議在兩臺(tái) SUN 服務(wù)器和核心交換之間部署防火墻，具體的連接方式如下圖所示： 兩臺(tái) SUN 的服務(wù)器做 CLUSTER，共映射兩個(gè)浮動(dòng) IP，分別是應(yīng)用和數(shù)據(jù)庫，兩臺(tái) SUN 的服務(wù)器互為備份。 如果斷掉 交換機(jī)與防火墻之間的連線，對(duì)于防火墻和服務(wù)器的連接狀態(tài)依然正常，所以服務(wù)器沒有相應(yīng)的收斂算法能檢測(cè)到這種狀態(tài)的變化，不能相應(yīng)的切換 。通過防火墻上設(shè)置規(guī)則：如果發(fā)現(xiàn)外部有某臺(tái)計(jì)算機(jī)在單位時(shí)間內(nèi)與內(nèi)部某 臺(tái)服務(wù)器或者主機(jī)建立多個(gè)連接，便認(rèn)為是掃描行為， 并截?cái)?這個(gè)連接。 有效的入侵檢測(cè)系統(tǒng)可以同時(shí)檢測(cè)內(nèi)部和外部威脅。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí) 檢測(cè) 。 ? 在 進(jìn)行系統(tǒng)訪問控制機(jī)制設(shè)置 時(shí)可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權(quán)限的錯(cuò)誤操作。 總之，入侵檢測(cè)的根本意義在于發(fā)現(xiàn)網(wǎng)絡(luò)中的異常。它包括了網(wǎng)絡(luò)漏洞檢測(cè)，報(bào)告服務(wù)進(jìn)程，提取對(duì)象信息，以及評(píng)測(cè)風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等多項(xiàng)功能，全面幫助用戶控制可能發(fā) 生的安全事件，最大可能的消除安全隱患。對(duì)于關(guān)鍵的服務(wù)器具有實(shí)時(shí)的病毒活動(dòng)參數(shù)監(jiān)控方法； ? 防病毒策略的配置管理，防病毒策略的統(tǒng)一配置管理，能根據(jù)不同的防病毒需求分別制定和實(shí)施不同的防病毒策略。 全面的協(xié)議保護(hù) ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)對(duì) SMTP、 POP IMAP HTTP 和 FTP 等應(yīng)用協(xié)議進(jìn)行病毒掃描和過濾，有效地防止可能的病毒威脅。 強(qiáng)大的監(jiān)控功能 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)提供強(qiáng)大的監(jiān)控功能，可以監(jiān)控過濾網(wǎng)關(guān)系統(tǒng)資源、網(wǎng)絡(luò)流量、當(dāng)前會(huì)話數(shù)、當(dāng)前病毒掃描信息等，極大地方便管理員對(duì)過濾網(wǎng)關(guān)進(jìn)行監(jiān)控。 集中報(bào)警處理中心還承擔(dān)上下級(jí)報(bào)警，從而傳遞職能實(shí)現(xiàn)重要事件及時(shí)報(bào)警及向上級(jí)匯報(bào)，為將來的網(wǎng)絡(luò)擴(kuò)展做好了準(zhǔn)備。統(tǒng)計(jì)信息統(tǒng)計(jì)各個(gè)網(wǎng)絡(luò)中的流量，對(duì)網(wǎng)絡(luò)資源的消耗等等。 ? 網(wǎng)絡(luò)資源管理 ：對(duì)聯(lián)網(wǎng)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行登記、管理，平臺(tái)掃描器自動(dòng)對(duì)客戶端 IP 地址、主機(jī)名、 MAC 地址、系統(tǒng)環(huán)境、端口情況等匯報(bào)給管理器 ,可充分了解網(wǎng)絡(luò)內(nèi)各種動(dòng)態(tài)和靜態(tài)資源的狀況，服務(wù)器及其他主機(jī)設(shè)備的使用狀況等；一旦發(fā)現(xiàn)異常變動(dòng)，將立 即報(bào)警，同時(shí)具備信息統(tǒng)計(jì)、分類匯總、查詢、按條件篩選功能。傳統(tǒng)的情況下，在安全事件發(fā)生后，網(wǎng)管一般通過交換機(jī)、路由器或防火墻可以進(jìn)行封堵，但設(shè)置復(fù)雜，操作風(fēng)險(xiǎn)大，而且絕大 多數(shù)普通交換機(jī)并沒有被設(shè)置成 SNMP 可管理模式，因此不能夠方便地進(jìn)行隔離操作，本系統(tǒng)解決了這一難題； ? 病毒源確定： 在大規(guī)模病毒（安全）事件發(fā)生后，可確定病毒黑客事件源頭、找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，做到事后分析和加強(qiáng)安全預(yù)警； ? 數(shù)據(jù)庫監(jiān)控： 對(duì)數(shù)據(jù)庫的系統(tǒng)信息進(jìn)行監(jiān)控，如數(shù)據(jù)庫大小、數(shù)據(jù)庫連接個(gè)數(shù)、數(shù)據(jù)庫鎖個(gè)數(shù)； 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 33 總機(jī)： 01082611122 網(wǎng)址： ? 任務(wù)分發(fā)管理： 對(duì)所有可管理區(qū)域，能夠進(jìn)行軟件分發(fā)、消息通知、控制執(zhí)行腳本管理； ? 補(bǔ)丁分發(fā)管理： 能夠采取多種策略進(jìn)行補(bǔ)丁分發(fā)，支持對(duì)微軟外第三方軟件分發(fā)管理； ? 提供補(bǔ)丁自動(dòng)檢測(cè)： 提供補(bǔ)丁自動(dòng)檢測(cè)頁面，用戶可 以通過訪問補(bǔ)丁自動(dòng)檢測(cè)頁面，發(fā)現(xiàn)系統(tǒng)存在漏洞； ? 日志紀(jì)錄、分析管理： 建立安全日志數(shù)據(jù)庫，并對(duì)報(bào)警信息分類和過濾，以備用戶查詢報(bào)警。 ? 報(bào)警管理： 對(duì)網(wǎng)絡(luò)中的所有報(bào)警予以分類、匯總、分級(jí)，并統(tǒng)一報(bào)警，統(tǒng)一管理 ,報(bào)警信息上報(bào)至集中報(bào)警中心。 由于網(wǎng)絡(luò)中的終端眾多， 且重要性不一，如果對(duì)于所有終端的資源占用情況，進(jìn)程、軟件使用狀況等進(jìn)行監(jiān)控會(huì)造成工作過分復(fù)雜，且對(duì)于全網(wǎng)的工作流保護(hù)意義不大，所以在實(shí)際中，只應(yīng)對(duì)網(wǎng)絡(luò)中的服務(wù)器和關(guān)鍵的計(jì)算機(jī)進(jìn)行重點(diǎn)監(jiān)控。同時(shí)，所有這些系統(tǒng)也可通過預(yù)留的數(shù) 據(jù)接口接收其上報(bào)信息，并將相關(guān)信息上報(bào)至網(wǎng)絡(luò)應(yīng)用監(jiān)控系統(tǒng)，由其對(duì)相關(guān)的網(wǎng)絡(luò) 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 31 總機(jī)： 01082611122 網(wǎng)址： 應(yīng)用系統(tǒng)統(tǒng)一監(jiān)控。 集中報(bào)警中心 集中報(bào)警中心在同一控 制平臺(tái)實(shí)現(xiàn)對(duì)各個(gè)安全和網(wǎng)絡(luò)設(shè)備及其他設(shè)備的集 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 30 總機(jī)： 01082611122 網(wǎng)址： 中報(bào)警管理，它可以增強(qiáng)企業(yè)內(nèi)部網(wǎng)對(duì)相關(guān)報(bào)警信息的處理效率和快速反應(yīng)能力，使報(bào)警信息可及時(shí)、妥善的得到有效處理，使相關(guān)損失減少到最低點(diǎn)。 防蠕蟲攻擊 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)可以實(shí)時(shí)檢測(cè)到日益泛濫的蠕蟲攻擊，并對(duì)其進(jìn)行實(shí)時(shí)阻斷，從而有效防止企業(yè)網(wǎng)絡(luò)因遭受蠕蟲攻擊而陷于癱瘓。網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)實(shí)時(shí)檢查進(jìn)入企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)流，當(dāng)網(wǎng)關(guān)檢測(cè)到病毒時(shí)，它會(huì)根據(jù)相應(yīng)的策略來處理病毒和染毒文件，保護(hù)企業(yè)內(nèi)部的服務(wù)器和工作站設(shè)備。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問題。同時(shí)我們也注意到，許多安全侵害并不是由于系統(tǒng)產(chǎn)品本身存在安全弱點(diǎn)，而是由于系統(tǒng)沒有正確地安裝使用或安全規(guī)則沒有建立并執(zhí)行。 （ 4） 入侵檢測(cè)證實(shí)并且詳細(xì)記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡(luò)安全 管理 方案時(shí)，通常需要證實(shí)網(wǎng)絡(luò)很可能或者正在受到攻擊。攻擊者使用越來越容易得到的攻擊技術(shù)，能夠?qū)Υ罅肯到y(tǒng)進(jìn)行非授權(quán)的訪問，尤其是連接到XX 企業(yè)集團(tuán)局域網(wǎng) 的系統(tǒng)，而當(dāng)這些系統(tǒng)具有已知漏洞的時(shí)候這種攻擊更容易發(fā)生。但是， 存在著一些防火墻等其它安全設(shè)備所不能防范的安全威脅，這就需要 入侵檢測(cè)系統(tǒng)提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等 ，來保護(hù) XX 企業(yè)集團(tuán)局域網(wǎng)的安全 。通過在防火墻上設(shè)置規(guī)則，禁止 ICMP/IGMP 數(shù)據(jù)包的通過防火墻，保證系統(tǒng)的安全 ； ? 阻止 ActiveX、 Java、 Javascript 等侵入：防火墻能夠從 HTTP 頁面剝離ActiveX、 JavaApplet 等小程序及從 Script、 PHP 和 ASP 等代碼檢測(cè)出危險(xiǎn)的代碼， 也 能夠過濾用戶上載的 CGI、 ASP 等程序 ； ? 其他阻止的攻擊：通過在防火墻上的 URL 過濾可以防止一些來自于系統(tǒng)漏 洞 的 攻 擊 （ 例 如 ： 通 過 配 置 規(guī) 則 禁 止 訪問 ../winnt/system32/?/可以防止 WINDOW NT/20xx 的 UNICODE漏洞以及其他 CGI 漏洞攻擊： /Cgibin/phf、 cgibin/、_vti_pvt/、 cfdocs/expeval/ 等）、和一些病毒的攻擊（例如：禁止 可以防止紅色代碼的攻擊） ； ? 提供實(shí)時(shí)監(jiān)控、審計(jì)和告警： 通 過 防火墻提供對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)攻擊和危險(xiǎn)代碼時(shí)，防火墻提供告警功能 ； XX 企業(yè)入侵檢測(cè)方案 保護(hù)邊界安全的有效的監(jiān)視機(jī)制包括：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ IDS）、脆弱性掃描（安全服務(wù)）、病毒檢測(cè)等。 煉 鋼 大 高 爐 生 產(chǎn) 子 網(wǎng) 配 置 天 融 信 單 模 千 兆 防 火 墻NGFW4000UF。如上圖所示， XX 企業(yè)集團(tuán) 的核心網(wǎng)絡(luò)是典型的二層備份方案，中心兩臺(tái) Catalyst6509 核心交換機(jī)，之間啟用 Trunk 和 FEC 協(xié)議，下連的交換機(jī)通過雙鏈路分別連接兩臺(tái)核心交換機(jī)，通過生成樹協(xié)議實(shí)現(xiàn)備份。拓?fù)浣Y(jié)構(gòu)如下圖所示： 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 20 總機(jī)： 01082611122 網(wǎng)址： 由于 XX 企業(yè)集團(tuán) ERP 系統(tǒng)承載著企業(yè)大量的重要數(shù)據(jù)信息，因此必須通過 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈