【正文】 的，而所有的攻擊都可以歸納為基于對 TCP/IP 的 OSI 數(shù)據(jù)通信模型的某一層或多層的攻擊，因此第一個最直接的想法就是斷開 TCP/IP 的 OSI 數(shù)據(jù)模型的所有層，就可以消除目前 TCP/IP 網(wǎng)絡存在的攻擊，這就是中網(wǎng)物理隔離網(wǎng)閘 XGAP實現(xiàn)網(wǎng)絡隔離的基礎。 信息的機密性 ――― 信息不泄露給非授權的用戶、實體或過程，或供其利用的特性。避免公用網(wǎng)絡上大量自由傳輸?shù)男畔⑹Э亍? 北京富力通能源軟件技術有限公司 第 9 頁 共 75 頁 我公司的安全解決方案在 整體安全評估與安全規(guī)劃 的基礎上，針對客戶的具體系統(tǒng)，在尊重客戶的基礎并與客充分協(xié)商的基礎上，制定詳細的安全工程方案。這和系統(tǒng)集成好像構成了一個矛盾，事實上卻不是。防火墻僅僅是一個訪問控制、內(nèi)外隔離的安全設備，在底層包過濾，對付超大 ICMP 包、 IP 偽裝、碎片攻擊，端口控制等方面的確有著不可替代的作用，但它在應用層的控制和檢測能力是很有限的。 四 . 讓員工了解電子郵件附件的安全風險。企業(yè)可以選擇多種技術――從殺毒軟件包到專用的網(wǎng)絡安全硬件（例如防火墻和入侵檢測系統(tǒng)），來為網(wǎng)絡的所有部分提供保護。犯罪分子可以利用不同的方法來阻截數(shù)據(jù)。 訪問攻 擊 。一個惡意破壞程序可能只會損壞一個文件，也可能損壞大部分計算機系統(tǒng)。當網(wǎng)絡上的一臺計算機被感染時，網(wǎng)絡上的其他計算機就非常有可能感染到這種病毒。其他一些則只是通過訪問私人的信息（例如財務數(shù)據(jù)，同事之間的一封浪漫的電子郵件，或者某個同事的工資）來滿足他們個人的好奇心。企業(yè)還面臨著在員 工從互聯(lián)網(wǎng)下載文件（例如PowerPoint 演示文件）時感染病毒的風險。一些業(yè)余水平的黑客只會在網(wǎng)上尋找黑客工具，再在不了解這些工具的工作方式和它們的后果的情況下使用這些工具。事實上，大多數(shù) 網(wǎng)絡安全專家都認為，大部分網(wǎng)絡攻擊都是由存在漏洞的企業(yè)的內(nèi)部員工所發(fā)起的。政府不僅認識到了互聯(lián)網(wǎng)的重要性，也認識到，世界的很大一部分經(jīng)濟產(chǎn)值都依賴于互聯(lián)網(wǎng)。因此，企業(yè)必須制定安全策略，采取保護措施，這些措施不僅要非常有效，而且也要讓客戶能感覺到它的有效性。越來越多的通信都通過電子郵件進行；移動員工、遠程辦公人員和分支機構都利用互聯(lián)網(wǎng)來從遠程連接他們的企業(yè)網(wǎng)絡；而在互聯(lián)網(wǎng)上通過 WWW 方式完成的商業(yè)貿(mào)易現(xiàn)在已經(jīng)成為企業(yè)收入的重要組成部分。 北京富力通能源軟件技術有限公司 第 1 頁 共 75 頁 網(wǎng)絡安全 整體設計建議書 2022 年 2 月 北京富力通能源技術有限公司 北京富力通能源軟件技術有限公司 第 2 頁 共 75 頁 第一章 網(wǎng)絡安全概述 隨著公共互聯(lián)網(wǎng)、電子商務、個人計算機和計算機網(wǎng)絡的蓬勃發(fā)展，如果不對它們進行妥善的保護，它們將越來越容易受到具有破壞性的攻擊的危害。 盡管互聯(lián)網(wǎng)已經(jīng)轉(zhuǎn)變，并大大改進了我們開展業(yè)務的方式，但是這個龐大的網(wǎng)絡及其相關的技術為不斷增長 的安全威脅提供了可乘之機，因而企業(yè)必須學會保護自己免受這些威脅的危害。企業(yè)必須能夠以適當?shù)姆绞较蚬娬f明，他們打算怎樣保護他們的客戶。但是他們同時也意識到，敞開世界經(jīng)濟的基礎設施可能會導致犯罪分子的惡意使用，從而帶來嚴重的經(jīng)濟損失。這些員工通常會出于惡作劇、惡意或者過失，設法損害他們自己公司的網(wǎng)絡并銷毀數(shù)據(jù)。 （ 2） 沒有警惕性的員工 當員工關注于他們 自己的工作時，他們常常會忽略以下標準的網(wǎng)絡安全準則。令人吃驚的是，企業(yè)還必須警惕人為錯誤。在這樣的行為中，有些可能相對來說沒有什么害處，但是有些行為（例如事 先查看私人的財務、醫(yī)療或者人力資源數(shù)據(jù)）則要嚴重得多，可能會傷害別人的聲譽，導致公司遭受經(jīng)濟損失。 （ 2） 特洛伊木馬程序 特洛伊木馬程序，或者簡稱特洛伊，是破壞性代碼的傳輸工具。 （ 4） 攻擊 目前已經(jīng)出現(xiàn)了各種類型的 網(wǎng)絡攻擊，它們通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務（ DoS）攻擊。用于發(fā)現(xiàn)身份認證服務、文件傳輸協(xié)議（ FTP）功能等網(wǎng)絡領域的漏洞，以訪問電子郵件帳號、數(shù)據(jù)庫和其他保密信息。例如IP 偽裝方法，即通過使用數(shù)據(jù)接收者的 IP 地址，偽裝成數(shù)據(jù)傳輸中的經(jīng)過授權的一方。 北京富力通能源軟件技術有限公司 第 7 頁 共 75 頁 與一個建筑物一樣，網(wǎng)絡也需要多層保護才能真正安全。 五 . 實施一個完整的、全面的網(wǎng)絡安全解決方案。比如利用 Unicode 漏洞和MS SQL Server 遠程控制等就可輕松穿透防火墻實施攻擊。最小化原則實際上降低了系統(tǒng)負荷、提高了應用系統(tǒng)的性能，增強了安全性，而問題在于大多數(shù)集成商不具備專業(yè)安全設計和防范能力。 以下是我公司整體解決方案框圖 : : 網(wǎng)絡安全的最終目標是：在計算機信息系統(tǒng)提供的信息處理功能的范圍內(nèi)，進行信息保護和提供有效的信息服務。 隨著網(wǎng)絡安全等級的提高，網(wǎng)絡使用的便利性將不可避免地隨之下降，而安全維護成本將急劇升高，因此，在考慮網(wǎng)絡信息的安全問題時，應該合理地選擇網(wǎng)絡安全等級，盲目地提高安全強度反而容易使系統(tǒng)因使用不便、效 率低和維護困難而失去使用價值。 北京富力通能源軟件技術有限公司 第 12 頁 共 75 頁 第三章 網(wǎng)絡安全產(chǎn)品技術 1．物理隔離 產(chǎn)品 技術 分析 物理隔離技術 的引申 —— 安全網(wǎng)閘 在防火墻的發(fā)展過程中，人們最終意識到防火墻在安全方面的局限性。下面以中網(wǎng)的物理隔離網(wǎng)閘 XGap 為例，具體的探討有以下幾點內(nèi)容。并不是沒有人眼看得見的東西連接，就是物理層的斷開。 從技術上來定義，一個物理層上的斷開，應該是 “ 不能基于一個物理層的連接，來完成一個 OSI 模型中的數(shù)據(jù)鏈路的建立 ” 。 二、網(wǎng)絡數(shù)據(jù)鏈路層的斷開 數(shù)據(jù)鏈路是在物理層上建立一個可以進行數(shù)據(jù)通信的數(shù)據(jù)鏈路，是一個通信協(xié)議的概念。因此，沒有數(shù)據(jù)鏈路的傳輸數(shù)據(jù)是沒有可靠性保證的。 五、網(wǎng)絡會話層的斷開 會話層的斷開實際上是斷開一個應用會話的連接，消除了交互式的應用會話。每一層的斷開，盡管降低了其他層被攻擊的概率，但并沒有從理論上排除其他層的攻擊。但隨著網(wǎng) 絡攻擊手法的日趨成熟與多樣化，單純使用防火墻的策略已無法滿足需要高度安全的企業(yè)環(huán)境，對于所謂拒絕服務 (Denial of Service， DoS)及分布式拒絕服務 (Distributed Denial of Service， DDoS)的網(wǎng)絡攻擊等，防火墻更是難以阻擋。 2. 入侵檢測系統(tǒng) IDS 須與防火墻做其搭配，通知防火墻改變設定，保護網(wǎng)絡。 ? 具有雙向檢測防御功能，內(nèi)部網(wǎng)絡與外部網(wǎng)絡攻擊入侵行為均可做到檢測防御。如此一來，可能會錯失包含在數(shù)據(jù)包中的某些攻擊信息。在此，將介紹 DoS及 DDoS，以及 DeMaster如何檢測防御這些攻擊事件。上面紀錄著聯(lián)機雙方的地址，服務端口，以及目前的狀態(tài)。 攻擊者 攻擊者 客戶端 控制程序 .......... 客戶端 控制程序 客戶端 控制程序 客戶端 控制程序 傀儡程序 傀儡程序 傀儡程序 傀儡程序 傀儡程序 受害網(wǎng) 絡網(wǎng)關 受害 主機 客戶端 服務端（受害 主機） SYN_SENT LISTEN SYN_RCVD 假造來源的SYN 其它無辜的機器 SYN+ACK 北京富力通能源軟件技術有限公司 第 20 頁 共 75 頁 圖三： TFN 攻擊示意圖。而標準模式的選取也來自學術研究的成果，可符合大部分環(huán)境的狀況。但是這樣往往距離攻擊發(fā)起，已經(jīng)有一段不短的時間了。 北京富力通能源軟件技術有限公司 第 24 頁 共 75 頁 被動式入侵檢測系統(tǒng) 主動式入侵檢測防御系統(tǒng) 圖十 :將被動式 IDS與主動式 IDP的配置 DeMaster是一套入侵檢測防御系統(tǒng)，其可針對網(wǎng)絡上進出的所有數(shù)據(jù)包內(nèi)容進行比對分析，于第一時間檢測出有問題的入侵攻擊數(shù)據(jù)包，并依事前定義的反應策略，對這些有問題的數(shù)據(jù)包采取適當?shù)姆粗菩袆?，以確保所要保護的網(wǎng)絡內(nèi)部及服務器主機的安全。 功能名稱 描述 在 線實時網(wǎng)絡攻擊監(jiān)測 提供網(wǎng)絡攻擊事件的實時監(jiān)控臺，并依攻擊事件的威脅程度作分類監(jiān)控。用戶可再從這些報表內(nèi)再點選進入察看更細步的分析。圖十七，顯示 DeMaster所記錄的系統(tǒng)事件表列情形。此特性與病毒防制相似。有了這些更新的機制與策略，可使用戶得到最安全的網(wǎng) 絡保護措施。 系統(tǒng)平臺 DeMaster是采用軟硬件集成的整體解決方案所開發(fā)出來的網(wǎng)絡入侵檢測防御系統(tǒng)。 用戶現(xiàn)在在電信部門租用的幀中繼（ Frame Relay）與 ATM 等數(shù)據(jù)網(wǎng)絡提供固定虛擬線路（ PVCPermanent Virtual Circuit）來連接需要通訊的單位，所有的權限掌握在別人的手中。 北京富力通能源軟件技術有限公司 第 33 頁 共 75 頁 越來越多的用戶認識到，隨著 Inter 和電子商務的蓬勃發(fā)展，經(jīng)濟全球化的最佳途徑是發(fā)展基于 Inter 的商務應用。 Decryption）、密鑰管理技術（ Key Management）、使用者與設備身份認證技術（ Authentication）。第三層隧道協(xié)議有 VTP、 IPSec 等。在非面向連接的公用 IP 網(wǎng)絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在網(wǎng)絡優(yōu)化方面，構建 VPN 的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。 VPN 管理的目標為：減小網(wǎng)絡風險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。 2. 華為 的 VPN 解決方案 華為 的 VPN 解決方案包括 AccessVPN、 IntraVPN、 ExtraVPN 及結合防火墻的 VPN解決方案。但是，單個安全技術或者安全產(chǎn)品的功能和性能都有其局限性，只能滿足系統(tǒng)與網(wǎng)絡特定的安全需求。 外緊內(nèi)松 是一般局域網(wǎng)絡的特點，一道嚴密防守的防火墻其內(nèi)部的網(wǎng)絡也有可能是一片混亂。 防火墻不能防止內(nèi)部的泄密行為。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。 那我們?nèi)绾芜x購專業(yè)的網(wǎng)絡隱患掃描系統(tǒng)呢？一般來講它必須具備以下幾個標準： 是否通過國家的各種認證 目前國家對安全產(chǎn)品進行認證工作的權威部門包括公安部信息安全產(chǎn)品測評中心、國家信息安全產(chǎn)品測評中心、解放軍安全產(chǎn)品測評中心、國家保密局測評認證中心 。因為現(xiàn)在不再有沒有劃分 VLAN 的單一 網(wǎng)絡存在；掃描器發(fā)出的數(shù)據(jù)包有些會被路由器、防火墻過濾，降低掃描的準確性。 網(wǎng)絡漏洞掃描器通過遠程檢測目標主機 TCP/IP 不同端口的服務，記錄目標給予的應答，來搜集目標主機上的各種信息，然后與系統(tǒng)的漏洞庫進行匹配，如果滿足匹配條件，則認為安全漏洞存在；或者通過模擬黑客的攻擊手法對目標主機進行攻擊，如果模擬攻擊成功，則認為安全漏洞存在。自動判斷所處理目標的系統(tǒng)類型并自動匹配相應的掃描模版。 “飛狐 網(wǎng)絡安全掃描系統(tǒng) ”由飛狐掃描、補丁掃描和 NASL 掃描三大部分掃描功能組成，它引入安全登錄機制，防暴力破解。 網(wǎng)絡漏洞掃描系統(tǒng)發(fā)展迅速，產(chǎn)品種類繁多，且各具特點，在功能和性能上存在著一定的差異。防火墻、防病毒、入侵檢測、漏洞掃描分別屬于 PDR 和 P2DR 模型中的防護和檢測環(huán)節(jié)。比如 RJiTop網(wǎng)絡隱患掃描系統(tǒng)每周一次，漏洞數(shù)量達 1502 之多（截止到 2022 年 7 月 9 日）。然而，由于 NIDS 本身的局限性， 網(wǎng)絡黑客利用 碎片攻擊 、會話拼接、拒絕服務攻擊等手段 躲 避或者越過網(wǎng)絡入侵檢測系統(tǒng) (Network Intrusion Detection System,NIDS)的新技術，勝利的天平正在向 他們 傾斜。 防火墻不能防止本身安全漏洞的威脅。另外，防火墻內(nèi)部各主機間的攻擊行為，防火墻也只能如旁觀者一樣冷視而愛莫能助。 首先，讓我們來看看現(xiàn)階段網(wǎng)絡上使用最多的安全設備防火墻和入侵檢測。 北京富力通能源軟件技術有限公司 第 36 頁 共 75 頁 因為 Quidway 系 列路由器支持各種 VPN 技術，包括隧道技術、 IPsec、密鑰交換技術、防火墻技術、 QoS 與配置管理等，并可繼續(xù)發(fā)展，支持越來越多的先進技術，所以為用戶提供了很好的選擇和性價比。 VPN 解決方案 1. Cisco 的 VPN 解決方案 Cisco 公司與路由器集成的 VPN 解決方案是一種較為常見的基于硬件的構建策略。 QoS 通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生 。企業(yè)必須確保其 VPN 上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法 用戶對網(wǎng)絡資源或私有信息的訪問。 加解密技術是數(shù)據(jù)通信中一項較成熟的技術， VPN 可直接利用現(xiàn)有技術。隧道是由隧道協(xié)議形成的，分為第