【正文】 絡系統(tǒng)的安全性取決于網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。 所選的防毒軟件應該構造全網(wǎng)統(tǒng)一的防病毒體系。“冷備份”是指“不在線”的備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡沒有直接聯(lián)系，在系統(tǒng)恢復時重新安裝，有一部分原始的數(shù)據(jù)長期保存并作為查詢使用。 應用安全 在應用安全上，主要考慮通信的授權，傳輸?shù)募用芎蛯徲嬘涗洝．斎?，還需要建立高效的管理平臺。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應當分開。建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整響應的授權。 B 需要能監(jiān)控員工的上網(wǎng)數(shù)據(jù) 。 領信防火墻采用專門設計的安全操作系統(tǒng) LTOS 和專用搭載平臺，提供高度可靠性和可用性。用戶還可以自定義檢測策略模板，緊密結合特有安全的領信操作系統(tǒng) LTOS，擁有超負載保護能力。通過一個基于 WEB的友好、簡潔明了的用戶界面，安全管理員不僅可以配置該 SmartProtector 的攻擊特征模板，還可以通過提供的鏈接，了解到更多關于攻擊的資料以及如何配置相應的系統(tǒng)設備來防御攻擊 ”。它可以防止用戶下載被病毒感染的文件。這種方式防止了未經(jīng)授權就通過 Email 或 web 發(fā)送敏感數(shù)據(jù)等情況的發(fā)生。 集中監(jiān)視 網(wǎng)絡管理員可以在本地或遠程集中監(jiān)控運行網(wǎng)絡入侵檢測 (eTrust Intrusion Detection)軟件的一臺或多臺工作站。它提供給企業(yè)一個易于部署的網(wǎng)絡保護方案，可以在不會導致任何失敗的情況下加以實施。 KILL Shield Gateway 在企業(yè)網(wǎng)絡的邊緣，而不是在用戶的郵件和代理服務器上，進行過濾工作，確保了原有系統(tǒng)的穩(wěn)定性，并在效率方面遠遠高于在服務器本機上安裝過濾軟件的方式。下面分別介紹其工作原理。對 DMZ 區(qū)，主要作用是攔截從外部發(fā)向服務器的攻擊數(shù)據(jù)，確保了公司重要服務器的安全。在使用中， KILL Shield Gateway 本身就是一個完整的 MTA（郵件傳輸單元），我們賦予它最高的優(yōu)先級，這樣所有的郵件將先發(fā)到 KILL Shield Gateway，進行過濾處理后，再由它通過 SMTP 協(xié)議傳給 MX 郵件服務器。 KILL Shield Gateway 代理模塊典型應用的邏輯示意圖如下： KILL Shield Gateway 代理模塊的過濾就是利用前面講到的原理， KILL Shield Gateway 的主機本身就是一個代理服務器，首先將接收的遠程服務器的數(shù)據(jù)保存在自己的硬盤上，在傳送給客戶端前先進行病毒掃描。 POP3 過濾模塊工作原理 KILL Shield Gateway 可以作為一個 POP3 代理，進行 POP3 流量的過濾。 KILL Shield Gateway 的功能特點 友好的系統(tǒng)管理界面 對郵件系統(tǒng)的管理采用 B/S 方式，供 HTTPS、 SSH 等方式的安全管理。由于蠕蟲能夠從網(wǎng)絡上發(fā)起動態(tài)攻擊，因而防范難度非常大。 垃圾郵件過濾 赤霄過濾網(wǎng)關采用多種技術過濾垃圾郵件，實現(xiàn)對垃圾郵件的綜合防范。支持百兆和千兆網(wǎng)絡環(huán)境。 資源自適應控制 發(fā)生郵件風暴或大量 HTTP 并發(fā)鏈接時，赤霄過濾網(wǎng)關會檢測系統(tǒng)資源的消耗情況。 可檢查偽裝郵件 KILL Shield Gateway 可檢查發(fā)件人偽裝，即提供的發(fā)件認證信息正確，但發(fā)件人郵件地址和提供的認證信息不相符合的情況。防火墻同樣是使用安氏的 LinkTrust CyberWall200SP/006。赤霄過濾網(wǎng)關具有卓越的病毒查殺能力，能夠對多種應用協(xié)議（ SMTP、 HTTP、 POP FTP等）所傳遞的數(shù)據(jù)進行病毒過濾，其反病毒引擎獲得了 ICSA（國際計算機安全協(xié)會）實驗室的查殺病毒認證，能夠 100%地檢測出目前“流行病毒名單”上的病毒。赤霄過濾網(wǎng)關實時過濾蠕蟲、病毒、垃圾郵件，阻止它們進入到用戶的網(wǎng)絡，并可根據(jù)系統(tǒng)安全管理員的記錄日志并發(fā)出報警，幫助管理員及時了解安全事件，掌握安全狀態(tài)。 CA eTrust 入侵檢測系統(tǒng) GJMIDSB 強大的網(wǎng)絡訪問控制功能：干將入侵檢測系統(tǒng)采用了一套規(guī)則庫來定義什么用戶能夠訪問什么網(wǎng)絡資源，確定僅有授權的用戶才能夠訪問網(wǎng)絡資源。管理員能夠隨時利用干將入侵檢測系統(tǒng)提供的正則表達式對最新出現(xiàn)的攻擊方式進行特征定義和方法，非常方便和靈活。采用專用的數(shù)據(jù)處理機制讓其即使在高流量下也能夠準確發(fā)現(xiàn)網(wǎng)絡入侵行為。 強大的報表能力：預置上百種報表模版，提供類似于網(wǎng)絡入侵數(shù)量統(tǒng)計、入侵類型統(tǒng)計、入侵源統(tǒng)計以及傳播網(wǎng)絡病毒的前幾名以及每種行為的詳細報表分析等內(nèi)容。當一個網(wǎng)絡分布于不同的地理位置的時候，管理員僅僅需要在每一個位置安裝相應的檢測引 擎，就能夠集中在中央管理臺進行管理策略的定義、分發(fā)以及入侵庫的升級等工作。能夠通過電子郵件、尋呼、 NT 事件日志、消息框、 SNMP Trap、打印機等等預定義的功能進行告警，用戶還能夠通過提供的接口方便地自定義保警方式，如通過短消息報警。 入侵記錄和分析：為收集入侵信息并歸納入庫分析提供了一套完整有效的機制。 強大的網(wǎng)絡安全設備聯(lián)動能力。能夠有效發(fā)現(xiàn)和阻攔碎片攻擊和 IDS 入侵攻擊。赤霄過濾網(wǎng)關可以實現(xiàn)對網(wǎng)絡帶寬的保護。赤霄過濾網(wǎng)關采用多種技術對垃圾郵件進行過濾。 （ 5）網(wǎng)絡安全審核 對防火墻、入侵檢測系統(tǒng)、郵件過濾系統(tǒng)的各種規(guī)則設置結果進行審核確保系統(tǒng)當前的安全性。這里需要將交換機①的某個端口設置監(jiān)聽狀態(tài)，并使用該端口聯(lián)入侵檢測系統(tǒng)。 支持 SMTP 認證 為防止垃圾郵件泛濫等濫用郵件系統(tǒng)的行為，許多郵件系統(tǒng)在接受用戶的發(fā)信請求前，要求對用戶的身份作認證，即 SMTP 認證。根據(jù)管理員定義的更新頻率與策略，通過 HTTP 或 FTP 協(xié)議自動更新特征碼，確保始終使用最新的特征碼進行檢查，以免受各種新病毒、蠕蟲的侵害。支持靈活的過濾策略 —依據(jù) IP 地址過濾；依據(jù)郵件地址過濾；基于 HELO 標志過濾；限制郵件的大??；限制同一郵件的發(fā)件數(shù)量；對附件文件類型和文件名過濾；根據(jù)郵件主題、發(fā)件人、收件人、正文及附件關鍵字進行過濾；對郵件頭、郵件體進行關鍵字過濾；支持域名過濾；自動禁止郵件服務的 Open relay 功能；智能識別垃圾文本等。 POP3 client KSG POP3 過濾模塊 POP3 服務器 天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 病毒過濾 全面實現(xiàn)對普通病毒（如 CIH）、郵件病毒（如求職信、美麗殺手、 Mydoom）、木馬活動、惡意網(wǎng)頁代碼的過濾。采用透明模式時，用戶不需要修改任何網(wǎng)絡結構，安裝工作更加簡單。 要使用 POP3 過濾功能，郵件客戶端需作相應更改，假設過濾網(wǎng)關名為 ，則郵件客戶端需做的更改示例如下： 收件服務器 帳戶名 啟用 POP3 過濾前 username 啟用 POP3 過濾后 即，在郵件客戶端將 POP3 服務器改為指向 KILL Shield Gateway，但同時在賬號后面加入 原 pop3 郵件服務器名 ，告知 KILL Shield Gateway 去哪個服務器接收郵件。這種方式同樣具有很好的伸縮性和擴展性。一般情況下，當用戶的本地機與因特網(wǎng)連接時，通過本地機的客戶程序如 IE 瀏覽器發(fā)出請求，遠端的服務器在接到請求之后響應請求并提供相應的服務。下面根據(jù) KILL Shield Gateway 的三大功能模塊：SMTP 過濾、代理過濾和 POP3 過濾，分別講述采用非透明模式接入到網(wǎng)絡中時，每個模塊的工作原理，由此了解該如何將產(chǎn)品連接到網(wǎng)絡中。 天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 一般企業(yè)網(wǎng)絡通過防火墻，劃分為內(nèi)部網(wǎng)絡和 DMZ 區(qū)，連接到 Inter。 KILL Shield Gateway 主要使用透明（ Bridge 模式）接入用戶網(wǎng)絡。 KILL Shield Gateway 做為先進的新型網(wǎng)關過濾設備，除了具有一般網(wǎng)關過濾設備的功能外，它的突出特點是可以實現(xiàn)蠕蟲過濾（過濾靜態(tài)蠕蟲擴散、阻斷蠕蟲動態(tài)攻擊）。 入侵日志及分析 網(wǎng)絡入侵檢測 (eTrust Intrusion Detection)軟件提供了一個綜合系統(tǒng)來捕捉信息并進行分析。這包括從一個遠程或中央位置的穩(wěn)定控制臺監(jiān)視和響應企業(yè)范圍內(nèi)的事件。 信息包嗅探技術 網(wǎng)絡入侵檢測 (eTrust Intrusion Detection)軟件以秘密方式運行，使攻擊者無法感知到。 網(wǎng)絡入侵檢測 (eTrust Intrusion Detection)軟件還可以大大減少管理和保障網(wǎng)絡安全所需的培訓時間。但流探測器 SmartProtector 不能取代專門的入侵檢測系統(tǒng)，它以不犧牲防火墻和 VPN 的性能為前提，檢測并響應“嚴重的”攻擊手法，配合防火墻以及專門的 IDS 系統(tǒng) ，為企業(yè)提供更加強大的天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 防護體系。 領信防火墻的特色包括：狀態(tài)檢測包過濾技術；多種服務的內(nèi)核級安全代理；全面的網(wǎng)絡地址翻譯（ NAT）； IPsec VPN 和撥號 VPN；高可靠性（ HA）；支持流量管理；內(nèi)容安全過濾；多種用戶認證方案；完整日志、審計，告警和統(tǒng)計模塊； 抗 DOS 攻擊能力（支持 SYN Proxy）；內(nèi)嵌入侵檢測能力；支持多個 ISP 接入的負載均衡解決方案；支持詭異木馬的抵御；對 ICMP攻擊免疫，基于時間的對象訪問控制；支持按策略與 IDS 協(xié)作。時間及規(guī)則可由用戶在防火墻上設置的。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺。出入管理可采用證件識別或安裝自動識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記管理 制訂嚴格的操作規(guī)程 操作規(guī)程要根據(jù)職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍。這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障。對應用安全，主要考慮確定不同服務的應用軟件并緊密注視其 Bug ；對掃描軟件不斷升級。 系統(tǒng)安全 系統(tǒng)的安全主要是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網(wǎng)絡硬件平臺的可靠性。根據(jù)系統(tǒng)安全需求可選擇的備份機制有：場點內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復；場點外的數(shù)據(jù)存儲、備份與恢復；對系統(tǒng)設備的備份。這類技術有，加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制 （如防病毒軟件等）。 漏洞分析和響應 配置分析和響應 漏洞形勢分析和響應 認證和趨勢分析 具體體現(xiàn)在以下方面： 防火墻得到合理配置 內(nèi)外 WEB 站點的安全漏洞減為最低 網(wǎng)絡體系達到強壯的耐攻擊性 各種服務器操作系統(tǒng)，如 E_MIAL 服務器、 WEB 服務器、應用服務器、將受黑客攻擊的可能降為最低 對網(wǎng)絡訪問做出有效響應，保護重要應用系統(tǒng)（如財務系統(tǒng)）數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害 審計與監(jiān)控 審計是記錄用戶使用計算機網(wǎng)絡系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。通過在交換機上劃分 VLAN可以將整個網(wǎng)絡劃分為幾個不同的廣播域，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離。 網(wǎng)絡系統(tǒng)安全 訪問控制及內(nèi)外網(wǎng)的隔離 訪問控制 訪問控制可以通過如下幾個方面來實現(xiàn)：制訂嚴格的管理制度 :可制定的相應：《用戶授權實施細則》、《口令字及帳戶管理規(guī)范》、《權限管理制度》。 它主要包括三個方面： 環(huán)境安全 對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護；（參見國家標準 GB50173－ 93《電天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 子計算機機房設計規(guī)范》、國標 GB2887－ 89《計算站場地技術條件》、 GB9361－ 88《計算站場地安全要求》 設備安全 主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、 抗電磁干擾及電源保護等； 媒體安全 包括媒體數(shù)據(jù)的安全及媒體本身的安全。 多重保護 原則：任何安全措施都不是絕對安全的，都可能被攻破。 一致性原則：一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網(wǎng)絡的安全需求相一致。 第三章 網(wǎng)絡安全方案總體設計 （ 1）安全方案設計原則 在對這個企業(yè)局域網(wǎng)網(wǎng)絡系統(tǒng)安全方案設計、規(guī)劃時，應遵循以下原則： 綜合性、整體性原則：應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。 B 不能防止數(shù)據(jù)驅動式攻擊 防火墻不能防止數(shù)據(jù)驅動式的攻擊。它不失為一種在內(nèi)部網(wǎng)和外部網(wǎng)之間實施的信息安全防范系統(tǒng)，這種計算機網(wǎng)絡互聯(lián)環(huán)境下的訪問控制技術，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對外屏蔽被保護網(wǎng)絡的信息，從而對系統(tǒng)結構及其良性運行等實現(xiàn)安全防護。