【正文】 最新的病 毒庫，保證企業(yè)網(wǎng)絡(luò)得到最有效的保護。 產(chǎn)品特點： 實時 病毒過濾 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)對通過網(wǎng)關(guān)設(shè)備的數(shù)據(jù)流進行 實時 檢測，過濾數(shù)據(jù)流中的 病毒、蠕蟲 和 垃圾郵件 等 ，阻止它們進入 企業(yè) 網(wǎng)絡(luò)。 網(wǎng)絡(luò)版防病毒解決方案 根據(jù) XX 企業(yè)集團 網(wǎng)絡(luò)結(jié)構(gòu)和辦公系統(tǒng)計算機分布情況，病毒防范系統(tǒng) 的安裝實施要求為： ? 具備實時防護、計劃掃描和手動掃描的功能； ? 具備對各種常用格式的壓縮文件、包括多重壓縮文件的掃描功能； ? 感染源和感染文件的隔離功能，提供對病毒感染源的網(wǎng)絡(luò)連接阻斷和隔離功能，并且記錄感染源的用戶信息。甚至在一個正確的系統(tǒng)配置中，某些設(shè)置也可能被意外或故意的改動。此外，攻擊的頻率和特征有助于選擇保護網(wǎng)絡(luò)免受相應(yīng)攻擊的安全手段。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的： ? 很多系統(tǒng)的操作系統(tǒng) 不能得到及時的更新 ? 有的系統(tǒng)雖然可以及時得到補丁程序，但是管理員沒有時間或者資源進行系統(tǒng)更新，這個問題很普遍，特別是在那些具有大量主機或多種類型的軟硬件的環(huán)境中。 建議在核心交換機上對 Inter 的接口和未來的應(yīng)用服務(wù)器的接口做流量映 射，配置天融信網(wǎng)絡(luò)衛(wèi)士的入侵檢測 NGIDSUF。首先我們建議在網(wǎng)絡(luò)出口處和重要網(wǎng)段部署天融信千兆入侵檢測 NGIDSUF。 XX企業(yè)防火墻的作用 ? 防火墻對內(nèi)網(wǎng) 用戶一經(jīng)授權(quán)便能夠采用任何現(xiàn)有的或新出現(xiàn)的網(wǎng)絡(luò)技術(shù)訪問 Inter 獲取 所需要的信息和服務(wù)； ? 防火墻 可以防范各種網(wǎng)絡(luò)攻擊，能夠查找到攻擊的來源和類型，能夠?qū)@些攻擊進行反應(yīng)； ? 對網(wǎng)絡(luò)訪問接入點的保護應(yīng)該對相關(guān)組件與網(wǎng)絡(luò)的性能造成盡可能少的影響； ? 抗 DOS/DDOS 攻擊：拒絕服務(wù)攻擊（ DOS）、分布式拒絕服務(wù)攻擊（ DDOS）就是攻擊者過多的占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。 Solaris 服務(wù)器也是通過 兩 塊網(wǎng)卡連接兩臺核心交換機 ， 物理上，一塊網(wǎng)卡是 up，另一塊處于 down 狀態(tài)。若嚴格地采取物理隔離措施，固然可以做到系統(tǒng)的訪問控制絕對安全，但是對于通過間接的物理訪問而造成的病毒危害則很難防范（病毒庫很難及時升級），而且對整個信息系統(tǒng)的自動化和工作效率不能有效地保證。有關(guān)建立防火墻子系統(tǒng)的目標、功能、位置、在下文中進行詳細說明。 病毒防護 環(huán)節(jié)分析： ? 主要 針對全網(wǎng) 1000 多臺主機和 30 多臺服務(wù)器進行病毒防護。 安全防護 環(huán)節(jié)分析 : ? 該環(huán)節(jié)的包括訪問控制、保密性、完整性、可用性、不可否認性。 安全服務(wù)體系不健全的威脅 一個網(wǎng)絡(luò)的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護的。這些 后門 或安全漏洞都將存在重大安全隱患。如 某臺非法主機在經(jīng)過相關(guān)的配置后就可以與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器和其他客戶端主機進行 TCP/IP 通信 。這些專網(wǎng)之間都需要進行訪問控制。 ? 在分支機構(gòu)與總部的 VPN 網(wǎng)關(guān)建立隧道以后，如果分支機構(gòu)的計算機遭到病毒或黑客的入侵，同樣將會對 XX 企業(yè)的內(nèi)網(wǎng)造成安全威脅。網(wǎng)絡(luò)設(shè)備基本采用 CISCO 系列產(chǎn)品，主干網(wǎng)絡(luò)交換機近 100 臺。安全管理的內(nèi)容可以分成安全技術(shù)管理和安兮管理制度兩部分。該模型與 OSI 體系結(jié)構(gòu)一致。 安全管理涉及到所有協(xié)議層次、所有單元的安全服務(wù)和安全機制的管理。安全方案的設(shè)計必須以科學(xué)的安全體系結(jié)構(gòu)模型為依據(jù)，才能保障整個安全體系的完備性、合理性。 ● 有效管理 沒有有效的安全管理（如防火墻監(jiān)控、審計日志的分析等等），各種安全機制的有效性很難保證。 XX 企業(yè)集團是國家重點支持的 520 家工業(yè)企業(yè)大型支柱產(chǎn)業(yè)集團之一。 實施是在網(wǎng)絡(luò)現(xiàn)有應(yīng)用基礎(chǔ)上的改造，對網(wǎng)絡(luò)整體的安全加固，所以在上新的系統(tǒng)時不能影響原有系統(tǒng)應(yīng)用的整體性能。 ● 責權(quán)分明 采用分層、分級管理的模式：一方面， XX 企業(yè)信息系統(tǒng)可以分為三層：信息網(wǎng)絡(luò)、計算機系統(tǒng)和應(yīng)用系統(tǒng)；另一方面，網(wǎng)絡(luò)和應(yīng)用系統(tǒng)都有中心、下屬等的分級結(jié)構(gòu)。該模型由安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個 層面描述，且在每個層面上，都包含安全管理的內(nèi)容。這五種服務(wù)并不是相互獨立的，而且不同的應(yīng)用環(huán)境有不同的程度的要求，我們在圖中給出了主要安全服務(wù)之間的邏輯關(guān)系。 ● 端系統(tǒng)安全，主要保護網(wǎng)絡(luò)環(huán)境下端系統(tǒng)的自身的安全。但是網(wǎng)絡(luò)協(xié)議本身的缺陷、計算機軟件的安全漏洞，對網(wǎng)絡(luò)安全的忽視給計算機網(wǎng)絡(luò)系統(tǒng)帶來極大的風險。 XX 企業(yè) 內(nèi)部網(wǎng)絡(luò) 與 Inter 如果不采取 安全防護措施， 這樣 內(nèi)部網(wǎng)絡(luò)很 容易 遭 到來自 于 Inter 中 可能 的入侵者的攻擊?，F(xiàn)在的黑客攻擊工具在網(wǎng)絡(luò)上泛濫成災(zāi)，任何一個稍微有點計算機操作能力的人員都可以利用這些工具進行攻 擊。 ? 網(wǎng)絡(luò)節(jié)點變化的隱患 在 XX 企業(yè) 集團網(wǎng)絡(luò)系統(tǒng)中，預(yù)留了一些空節(jié)點以備人員擴充時使用，若有非法人員利用這些節(jié)點接入后，就可以 直接連入 XX 企業(yè) 集團的網(wǎng)絡(luò)中，并且能與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器物理連接。但網(wǎng)絡(luò)管理員并沒有一個有效方法來監(jiān)控這些應(yīng)用的使用，然而多數(shù)的木馬程序都是以注入內(nèi)存的方式來調(diào)用一些非法應(yīng)用與黑客通信的。 病毒對 XX 企業(yè)網(wǎng)絡(luò)安全運營的安全威脅 ? 外部 – XX企業(yè) 與 Inter有直接通道，會受到來自 專 網(wǎng)以 HTTP、 SMTP、FTP 等數(shù)據(jù)流為載體的潛在病毒的威脅。同時，眾多品牌的安全產(chǎn)品采購，也將對 XX 企業(yè) 的網(wǎng)絡(luò)的維護帶來不便。防護還包括對線路高可用性、網(wǎng)絡(luò)病毒防護、數(shù)據(jù)容災(zāi)防護等方面。在網(wǎng)關(guān)處建議配置防病毒網(wǎng)關(guān)。以上這些專網(wǎng)和生產(chǎn)子網(wǎng)他們和 XX 企業(yè)集團內(nèi)網(wǎng)之間都需要進行訪問控制。建議在兩臺 SUN 服務(wù)器和核心交換之間部署防火墻，具體的連接方式如下圖所示： 兩臺 SUN 的服務(wù)器做 CLUSTER，共映射兩個浮動 IP，分別是應(yīng)用和數(shù)據(jù)庫，兩臺 SUN 的服務(wù)器互為備份。 如果斷掉 交換機與防火墻之間的連線，對于防火墻和服務(wù)器的連接狀態(tài)依然正常，所以服務(wù)器沒有相應(yīng)的收斂算法能檢測到這種狀態(tài)的變化，不能相應(yīng)的切換 。通過防火墻上設(shè)置規(guī)則：如果發(fā)現(xiàn)外部有某臺計算機在單位時間內(nèi)與內(nèi)部某 臺服務(wù)器或者主機建立多個連接，便認為是掃描行為， 并截斷 這個連接。 有效的入侵檢測系統(tǒng)可以同時檢測內(nèi)部和外部威脅。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時 檢測 。 ? 在 進行系統(tǒng)訪問控制機制設(shè)置 時可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權(quán)限的錯誤操作。 總之，入侵檢測的根本意義在于發(fā)現(xiàn)網(wǎng)絡(luò)中的異常。它包括了網(wǎng)絡(luò)漏洞檢測，報告服務(wù)進程，提取對象信息，以及評測風險，提供安全建議和改進措施等多項功能，全面幫助用戶控制可能發(fā) 生的安全事件，最大可能的消除安全隱患。對于關(guān)鍵的服務(wù)器具有實時的病毒活動參數(shù)監(jiān)控方法； ? 防病毒策略的配置管理，防病毒策略的統(tǒng)一配置管理，能根據(jù)不同的防病毒需求分別制定和實施不同的防病毒策略。 全面的協(xié)議保護 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)對 SMTP、 POP IMAP HTTP 和 FTP 等應(yīng)用協(xié)議進行病毒掃描和過濾，有效地防止可能的病毒威脅。 強大的監(jiān)控功能 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)提供強大的監(jiān)控功能，可以監(jiān)控過濾網(wǎng)關(guān)系統(tǒng)資源、網(wǎng)絡(luò)流量、當前會話數(shù)、當前病毒掃描信息等，極大地方便管理員對過濾網(wǎng)關(guān)進行監(jiān)控。 集中報警處理中心還承擔上下級報警，從而傳遞職能實現(xiàn)重要事件及時報警及向上級匯報，為將來的網(wǎng)絡(luò)擴展做好了準備。統(tǒng)計信息統(tǒng)計各個網(wǎng)絡(luò)中的流量，對網(wǎng)絡(luò)資源的消耗等等。 ? 網(wǎng)絡(luò)資源管理 ：對聯(lián)網(wǎng)計算機及網(wǎng)絡(luò)設(shè)備進行登記、管理，平臺掃描器自動對客戶端 IP 地址、主機名、 MAC 地址、系統(tǒng)環(huán)境、端口情況等匯報給管理器 ,可充分了解網(wǎng)絡(luò)內(nèi)各種動態(tài)和靜態(tài)資源的狀況，服務(wù)器及其他主機設(shè)備的使用狀況等；一旦發(fā)現(xiàn)異常變動，將立 即報警，同時具備信息統(tǒng)計、分類匯總、查詢、按條件篩選功能。傳統(tǒng)的情況下，在安全事件發(fā)生后，網(wǎng)管一般通過交換機、路由器或防火墻可以進行封堵，但設(shè)置復(fù)雜，操作風險大，而且絕大 多數(shù)普通交換機并沒有被設(shè)置成 SNMP 可管理模式，因此不能夠方便地進行隔離操作，本系統(tǒng)解決了這一難題； ? 病毒源確定： 在大規(guī)模病毒（安全）事件發(fā)生后，可確定病毒黑客事件源頭、找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，做到事后分析和加強安全預(yù)警； ? 數(shù)據(jù)庫監(jiān)控： 對數(shù)據(jù)庫的系統(tǒng)信息進行監(jiān)控，如數(shù)據(jù)庫大小、數(shù)據(jù)庫連接個數(shù)、數(shù)據(jù)庫鎖個數(shù)； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 33 總機： 01082611122 網(wǎng)址： ? 任務(wù)分發(fā)管理： 對所有可管理區(qū)域，能夠進行軟件分發(fā)、消息通知、控制執(zhí)行腳本管理； ? 補丁分發(fā)管理： 能夠采取多種策略進行補丁分發(fā)，支持對微軟外第三方軟件分發(fā)管理； ? 提供補丁自動檢測： 提供補丁自動檢測頁面，用戶可 以通過訪問補丁自動檢測頁面，發(fā)現(xiàn)系統(tǒng)存在漏洞； ? 日志紀錄、分析管理： 建立安全日志數(shù)據(jù)庫，并對報警信息分類和過濾，以備用戶查詢報警。 ? 報警管理： 對網(wǎng)絡(luò)中的所有報警予以分類、匯總、分級，并統(tǒng)一報警，統(tǒng)一管理 ,報警信息上報至集中報警中心。 由于網(wǎng)絡(luò)中的終端眾多， 且重要性不一，如果對于所有終端的資源占用情況，進程、軟件使用狀況等進行監(jiān)控會造成工作過分復(fù)雜，且對于全網(wǎng)的工作流保護意義不大，所以在實際中，只應(yīng)對網(wǎng)絡(luò)中的服務(wù)器和關(guān)鍵的計算機進行重點監(jiān)控。同時，所有這些系統(tǒng)也可通過預(yù)留的數(shù) 據(jù)接口接收其上報信息，并將相關(guān)信息上報至網(wǎng)絡(luò)應(yīng)用監(jiān)控系統(tǒng)，由其對相關(guān)的網(wǎng)絡(luò) 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 31 總機： 01082611122 網(wǎng)址： 應(yīng)用系統(tǒng)統(tǒng)一監(jiān)控。 集中報警中心 集中報警中心在同一控 制平臺實現(xiàn)對各個安全和網(wǎng)絡(luò)設(shè)備及其他設(shè)備的集 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 30 總機： 01082611122 網(wǎng)址： 中報警管理，它可以增強企業(yè)內(nèi)部網(wǎng)對相關(guān)報警信息的處理效率和快速反應(yīng)能力，使報警信息可及時、妥善的得到有效處理，使相關(guān)損失減少到最低點。 防蠕蟲攻擊 ? 網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)可以實時檢測到日益泛濫的蠕蟲攻擊，并對其進行實時阻斷，從而有效防止企業(yè)網(wǎng)絡(luò)因遭受蠕蟲攻擊而陷于癱瘓。網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)實時檢查進入企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)流，當網(wǎng)關(guān)檢測到病毒時，它會根據(jù)相應(yīng)的策略來處理病毒和染毒文件，保護企業(yè)內(nèi)部的服務(wù)器和工作站設(shè)備。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問題。同時我們也注意到，許多安全侵害并不是由于系統(tǒng)產(chǎn)品本身存在安全弱點，而是由于系統(tǒng)沒有正確地安裝使用或安全規(guī)則沒有建立并執(zhí)行。 （ 4） 入侵檢測證實并且詳細記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡(luò)安全 管理 方案時，通常需要證實網(wǎng)絡(luò)很可能或者正在受到攻擊。攻擊者使用越來越容易得到的攻擊技術(shù)，能夠?qū)Υ罅肯到y(tǒng)進行非授權(quán)的訪問，尤其是連接到XX 企業(yè)集團局域網(wǎng) 的系統(tǒng)，而當這些系統(tǒng)具有已知漏洞的時候這種攻擊更容易發(fā)生。但是， 存在著一些防火墻等其它安全設(shè)備所不能防范的安全威脅，這就需要 入侵檢測系統(tǒng)提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等 ，來保護 XX 企業(yè)集團局域網(wǎng)的安全 。通過在防火墻上設(shè)置規(guī)則，禁止 ICMP/IGMP 數(shù)據(jù)包的通過防火墻，保證系統(tǒng)的安全 ； ? 阻止 ActiveX、 Java、 Javascript 等侵入：防火墻能夠從 HTTP 頁面剝離ActiveX、 JavaApplet 等小程序及從 Script、 PHP 和 ASP 等代碼檢測出危險的代碼， 也 能夠過濾用戶上載的 CGI、 ASP 等程序 ； ? 其他阻止的攻擊：通過在防火墻上的 URL 過濾可以防止一些來自于系統(tǒng)漏 洞 的 攻 擊 （ 例 如 ： 通 過 配 置 規(guī) 則 禁 止 訪問 ../winnt/system32/?/可以防止 WINDOW NT/20xx 的 UNICODE漏洞以及其他 CGI 漏洞攻擊： /Cgibin/phf、 cgibin/、_vti_pvt/、 cfdocs/expeval/ 等）、和一些病毒的攻擊（例如：禁止 可以防止紅色代碼的攻擊） ； ? 提供實時監(jiān)控、審計和告警： 通 過 防火墻提供對網(wǎng)絡(luò)的實時監(jiān)控，當發(fā)現(xiàn)攻擊和危險代碼時，防火墻提供告警功能 ； XX 企業(yè)入侵檢測方案 保護邊界安全的有效的監(jiān)視機制包括：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ IDS）、脆弱性掃描（安全服務(wù)）、病毒檢測等。 煉 鋼 大 高 爐 生 產(chǎn) 子 網(wǎng) 配 置 天 融 信 單 模 千 兆 防 火 墻NGFW4000UF。如上圖所示， XX 企業(yè)集團 的核心網(wǎng)絡(luò)是典型的二層備份方案，中心兩臺 Catalyst6509 核心交換機，之間啟用 Trunk 和 FEC 協(xié)議，下連的交換機通過雙鏈路分別連接兩臺核心交換機，通過生成樹協(xié)議實現(xiàn)備份。拓撲結(jié)構(gòu)如下圖所示： 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 20 總機： 01082611122 網(wǎng)址： 由于 XX 企業(yè)集團 ERP 系統(tǒng)承載著企業(yè)大量的重要數(shù)據(jù)信息，因此必須通過 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈