【正文】 的，而所有的攻擊都可以歸納為基于對 TCP/IP 的 OSI 數(shù)據(jù)通信模型的某一層或多層的攻擊，因此第一個最直接的想法就是斷開 TCP/IP 的 OSI 數(shù)據(jù)模型的所有層，就可以消除目前 TCP/IP 網(wǎng)絡(luò)存在的攻擊，這就是中網(wǎng)物理隔離網(wǎng)閘 XGAP實(shí)現(xiàn)網(wǎng)絡(luò)隔離的基礎(chǔ)。 信息的機(jī)密性 ――― 信息不泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э亍? 北京富力通能源軟件技術(shù)有限公司 第 9 頁 共 75 頁 我公司的安全解決方案在 整體安全評估與安全規(guī)劃 的基礎(chǔ)上，針對客戶的具體系統(tǒng)，在尊重客戶的基礎(chǔ)并與客充分協(xié)商的基礎(chǔ)上，制定詳細(xì)的安全工程方案。這和系統(tǒng)集成好像構(gòu)成了一個矛盾，事實(shí)上卻不是。防火墻僅僅是一個訪問控制、內(nèi)外隔離的安全設(shè)備，在底層包過濾，對付超大 ICMP 包、 IP 偽裝、碎片攻擊，端口控制等方面的確有著不可替代的作用，但它在應(yīng)用層的控制和檢測能力是很有限的。 四 . 讓員工了解電子郵件附件的安全風(fēng)險。企業(yè)可以選擇多種技術(shù)――從殺毒軟件包到專用的網(wǎng)絡(luò)安全硬件（例如防火墻和入侵檢測系統(tǒng)），來為網(wǎng)絡(luò)的所有部分提供保護(hù)。犯罪分子可以利用不同的方法來阻截數(shù)據(jù)。 訪問攻 擊 。一個惡意破壞程序可能只會損壞一個文件，也可能損壞大部分計(jì)算機(jī)系統(tǒng)。當(dāng)網(wǎng)絡(luò)上的一臺計(jì)算機(jī)被感染時，網(wǎng)絡(luò)上的其他計(jì)算機(jī)就非常有可能感染到這種病毒。其他一些則只是通過訪問私人的信息（例如財務(wù)數(shù)據(jù)，同事之間的一封浪漫的電子郵件，或者某個同事的工資）來滿足他們個人的好奇心。企業(yè)還面臨著在員 工從互聯(lián)網(wǎng)下載文件（例如PowerPoint 演示文件）時感染病毒的風(fēng)險。一些業(yè)余水平的黑客只會在網(wǎng)上尋找黑客工具，再在不了解這些工具的工作方式和它們的后果的情況下使用這些工具。事實(shí)上，大多數(shù) 網(wǎng)絡(luò)安全專家都認(rèn)為，大部分網(wǎng)絡(luò)攻擊都是由存在漏洞的企業(yè)的內(nèi)部員工所發(fā)起的。政府不僅認(rèn)識到了互聯(lián)網(wǎng)的重要性，也認(rèn)識到，世界的很大一部分經(jīng)濟(jì)產(chǎn)值都依賴于互聯(lián)網(wǎng)。因此，企業(yè)必須制定安全策略，采取保護(hù)措施，這些措施不僅要非常有效，而且也要讓客戶能感覺到它的有效性。越來越多的通信都通過電子郵件進(jìn)行；移動員工、遠(yuǎn)程辦公人員和分支機(jī)構(gòu)都利用互聯(lián)網(wǎng)來從遠(yuǎn)程連接他們的企業(yè)網(wǎng)絡(luò)；而在互聯(lián)網(wǎng)上通過 WWW 方式完成的商業(yè)貿(mào)易現(xiàn)在已經(jīng)成為企業(yè)收入的重要組成部分。 北京富力通能源軟件技術(shù)有限公司 第 1 頁 共 75 頁 網(wǎng)絡(luò)安全 整體設(shè)計(jì)建議書 2022 年 2 月 北京富力通能源技術(shù)有限公司 北京富力通能源軟件技術(shù)有限公司 第 2 頁 共 75 頁 第一章 網(wǎng)絡(luò)安全概述 隨著公共互聯(lián)網(wǎng)、電子商務(wù)、個人計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的蓬勃發(fā)展，如果不對它們進(jìn)行妥善的保護(hù)，它們將越來越容易受到具有破壞性的攻擊的危害。 盡管互聯(lián)網(wǎng)已經(jīng)轉(zhuǎn)變，并大大改進(jìn)了我們開展業(yè)務(wù)的方式，但是這個龐大的網(wǎng)絡(luò)及其相關(guān)的技術(shù)為不斷增長 的安全威脅提供了可乘之機(jī)，因而企業(yè)必須學(xué)會保護(hù)自己免受這些威脅的危害。企業(yè)必須能夠以適當(dāng)?shù)姆绞较蚬娬f明，他們打算怎樣保護(hù)他們的客戶。但是他們同時也意識到，敞開世界經(jīng)濟(jì)的基礎(chǔ)設(shè)施可能會導(dǎo)致犯罪分子的惡意使用，從而帶來嚴(yán)重的經(jīng)濟(jì)損失。這些員工通常會出于惡作劇、惡意或者過失，設(shè)法損害他們自己公司的網(wǎng)絡(luò)并銷毀數(shù)據(jù)。 （ 2） 沒有警惕性的員工 當(dāng)員工關(guān)注于他們 自己的工作時，他們常常會忽略以下標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全準(zhǔn)則。令人吃驚的是，企業(yè)還必須警惕人為錯誤。在這樣的行為中，有些可能相對來說沒有什么害處，但是有些行為（例如事 先查看私人的財務(wù)、醫(yī)療或者人力資源數(shù)據(jù)）則要嚴(yán)重得多，可能會傷害別人的聲譽(yù)，導(dǎo)致公司遭受經(jīng)濟(jì)損失。 （ 2） 特洛伊木馬程序 特洛伊木馬程序，或者簡稱特洛伊，是破壞性代碼的傳輸工具。 （ 4） 攻擊 目前已經(jīng)出現(xiàn)了各種類型的 網(wǎng)絡(luò)攻擊，它們通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務(wù)（ DoS）攻擊。用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議（ FTP）功能等網(wǎng)絡(luò)領(lǐng)域的漏洞，以訪問電子郵件帳號、數(shù)據(jù)庫和其他保密信息。例如IP 偽裝方法，即通過使用數(shù)據(jù)接收者的 IP 地址，偽裝成數(shù)據(jù)傳輸中的經(jīng)過授權(quán)的一方。 北京富力通能源軟件技術(shù)有限公司 第 7 頁 共 75 頁 與一個建筑物一樣，網(wǎng)絡(luò)也需要多層保護(hù)才能真正安全。 五 . 實(shí)施一個完整的、全面的網(wǎng)絡(luò)安全解決方案。比如利用 Unicode 漏洞和MS SQL Server 遠(yuǎn)程控制等就可輕松穿透防火墻實(shí)施攻擊。最小化原則實(shí)際上降低了系統(tǒng)負(fù)荷、提高了應(yīng)用系統(tǒng)的性能，增強(qiáng)了安全性，而問題在于大多數(shù)集成商不具備專業(yè)安全設(shè)計(jì)和防范能力。 以下是我公司整體解決方案框圖 : : 網(wǎng)絡(luò)安全的最終目標(biāo)是：在計(jì)算機(jī)信息系統(tǒng)提供的信息處理功能的范圍內(nèi)，進(jìn)行信息保護(hù)和提供有效的信息服務(wù)。 隨著網(wǎng)絡(luò)安全等級的提高，網(wǎng)絡(luò)使用的便利性將不可避免地隨之下降，而安全維護(hù)成本將急劇升高，因此，在考慮網(wǎng)絡(luò)信息的安全問題時，應(yīng)該合理地選擇網(wǎng)絡(luò)安全等級，盲目地提高安全強(qiáng)度反而容易使系統(tǒng)因使用不便、效 率低和維護(hù)困難而失去使用價值。 北京富力通能源軟件技術(shù)有限公司 第 12 頁 共 75 頁 第三章 網(wǎng)絡(luò)安全產(chǎn)品技術(shù) 1．物理隔離 產(chǎn)品 技術(shù) 分析 物理隔離技術(shù) 的引申 —— 安全網(wǎng)閘 在防火墻的發(fā)展過程中，人們最終意識到防火墻在安全方面的局限性。下面以中網(wǎng)的物理隔離網(wǎng)閘 XGap 為例，具體的探討有以下幾點(diǎn)內(nèi)容。并不是沒有人眼看得見的東西連接，就是物理層的斷開。 從技術(shù)上來定義，一個物理層上的斷開，應(yīng)該是 “ 不能基于一個物理層的連接，來完成一個 OSI 模型中的數(shù)據(jù)鏈路的建立 ” 。 二、網(wǎng)絡(luò)數(shù)據(jù)鏈路層的斷開 數(shù)據(jù)鏈路是在物理層上建立一個可以進(jìn)行數(shù)據(jù)通信的數(shù)據(jù)鏈路，是一個通信協(xié)議的概念。因此，沒有數(shù)據(jù)鏈路的傳輸數(shù)據(jù)是沒有可靠性保證的。 五、網(wǎng)絡(luò)會話層的斷開 會話層的斷開實(shí)際上是斷開一個應(yīng)用會話的連接，消除了交互式的應(yīng)用會話。每一層的斷開，盡管降低了其他層被攻擊的概率，但并沒有從理論上排除其他層的攻擊。但隨著網(wǎng) 絡(luò)攻擊手法的日趨成熟與多樣化，單純使用防火墻的策略已無法滿足需要高度安全的企業(yè)環(huán)境，對于所謂拒絕服務(wù) (Denial of Service， DoS)及分布式拒絕服務(wù) (Distributed Denial of Service， DDoS)的網(wǎng)絡(luò)攻擊等，防火墻更是難以阻擋。 2. 入侵檢測系統(tǒng) IDS 須與防火墻做其搭配，通知防火墻改變設(shè)定，保護(hù)網(wǎng)絡(luò)。 ? 具有雙向檢測防御功能，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)攻擊入侵行為均可做到檢測防御。如此一來，可能會錯失包含在數(shù)據(jù)包中的某些攻擊信息。在此，將介紹 DoS及 DDoS，以及 DeMaster如何檢測防御這些攻擊事件。上面紀(jì)錄著聯(lián)機(jī)雙方的地址，服務(wù)端口，以及目前的狀態(tài)。 攻擊者 攻擊者 客戶端 控制程序 .......... 客戶端 控制程序 客戶端 控制程序 客戶端 控制程序 傀儡程序 傀儡程序 傀儡程序 傀儡程序 傀儡程序 受害網(wǎng) 絡(luò)網(wǎng)關(guān) 受害 主機(jī) 客戶端 服務(wù)端（受害 主機(jī)） SYN_SENT LISTEN SYN_RCVD 假造來源的SYN 其它無辜的機(jī)器 SYN+ACK 北京富力通能源軟件技術(shù)有限公司 第 20 頁 共 75 頁 圖三： TFN 攻擊示意圖。而標(biāo)準(zhǔn)模式的選取也來自學(xué)術(shù)研究的成果，可符合大部分環(huán)境的狀況。但是這樣往往距離攻擊發(fā)起，已經(jīng)有一段不短的時間了。 北京富力通能源軟件技術(shù)有限公司 第 24 頁 共 75 頁 被動式入侵檢測系統(tǒng) 主動式入侵檢測防御系統(tǒng) 圖十 :將被動式 IDS與主動式 IDP的配置 DeMaster是一套入侵檢測防御系統(tǒng)，其可針對網(wǎng)絡(luò)上進(jìn)出的所有數(shù)據(jù)包內(nèi)容進(jìn)行比對分析，于第一時間檢測出有問題的入侵攻擊數(shù)據(jù)包，并依事前定義的反應(yīng)策略，對這些有問題的數(shù)據(jù)包采取適當(dāng)?shù)姆粗菩袆樱源_保所要保護(hù)的網(wǎng)絡(luò)內(nèi)部及服務(wù)器主機(jī)的安全。 功能名稱 描述 在 線實(shí)時網(wǎng)絡(luò)攻擊監(jiān)測 提供網(wǎng)絡(luò)攻擊事件的實(shí)時監(jiān)控臺，并依攻擊事件的威脅程度作分類監(jiān)控。用戶可再從這些報表內(nèi)再點(diǎn)選進(jìn)入察看更細(xì)步的分析。圖十七，顯示 DeMaster所記錄的系統(tǒng)事件表列情形。此特性與病毒防制相似。有了這些更新的機(jī)制與策略，可使用戶得到最安全的網(wǎng) 絡(luò)保護(hù)措施。 系統(tǒng)平臺 DeMaster是采用軟硬件集成的整體解決方案所開發(fā)出來的網(wǎng)絡(luò)入侵檢測防御系統(tǒng)。 用戶現(xiàn)在在電信部門租用的幀中繼（ Frame Relay）與 ATM 等數(shù)據(jù)網(wǎng)絡(luò)提供固定虛擬線路（ PVCPermanent Virtual Circuit）來連接需要通訊的單位，所有的權(quán)限掌握在別人的手中。 北京富力通能源軟件技術(shù)有限公司 第 33 頁 共 75 頁 越來越多的用戶認(rèn)識到，隨著 Inter 和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟(jì)全球化的最佳途徑是發(fā)展基于 Inter 的商務(wù)應(yīng)用。 Decryption）、密鑰管理技術(shù)（ Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication）。第三層隧道協(xié)議有 VTP、 IPSec 等。在非面向連接的公用 IP 網(wǎng)絡(luò)上建立一個邏輯的、點(diǎn)對點(diǎn)的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建 VPN 的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。 VPN 管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。 2. 華為 的 VPN 解決方案 華為 的 VPN 解決方案包括 AccessVPN、 IntraVPN、 ExtraVPN 及結(jié)合防火墻的 VPN解決方案。但是，單個安全技術(shù)或者安全產(chǎn)品的功能和性能都有其局限性，只能滿足系統(tǒng)與網(wǎng)絡(luò)特定的安全需求。 外緊內(nèi)松 是一般局域網(wǎng)絡(luò)的特點(diǎn)，一道嚴(yán)密防守的防火墻其內(nèi)部的網(wǎng)絡(luò)也有可能是一片混亂。 防火墻不能防止內(nèi)部的泄密行為。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。 那我們?nèi)绾芜x購專業(yè)的網(wǎng)絡(luò)隱患掃描系統(tǒng)呢？一般來講它必須具備以下幾個標(biāo)準(zhǔn)： 是否通過國家的各種認(rèn)證 目前國家對安全產(chǎn)品進(jìn)行認(rèn)證工作的權(quán)威部門包括公安部信息安全產(chǎn)品測評中心、國家信息安全產(chǎn)品測評中心、解放軍安全產(chǎn)品測評中心、國家保密局測評認(rèn)證中心 。因?yàn)楝F(xiàn)在不再有沒有劃分 VLAN 的單一 網(wǎng)絡(luò)存在；掃描器發(fā)出的數(shù)據(jù)包有些會被路由器、防火墻過濾，降低掃描的準(zhǔn)確性。 網(wǎng)絡(luò)漏洞掃描器通過遠(yuǎn)程檢測目標(biāo)主機(jī) TCP/IP 不同端口的服務(wù)，記錄目標(biāo)給予的應(yīng)答，來搜集目標(biāo)主機(jī)上的各種信息，然后與系統(tǒng)的漏洞庫進(jìn)行匹配，如果滿足匹配條件，則認(rèn)為安全漏洞存在；或者通過模擬黑客的攻擊手法對目標(biāo)主機(jī)進(jìn)行攻擊，如果模擬攻擊成功，則認(rèn)為安全漏洞存在。自動判斷所處理目標(biāo)的系統(tǒng)類型并自動匹配相應(yīng)的掃描模版。 “飛狐 網(wǎng)絡(luò)安全掃描系統(tǒng) ”由飛狐掃描、補(bǔ)丁掃描和 NASL 掃描三大部分掃描功能組成，它引入安全登錄機(jī)制，防暴力破解。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)發(fā)展迅速，產(chǎn)品種類繁多，且各具特點(diǎn)，在功能和性能上存在著一定的差異。防火墻、防病毒、入侵檢測、漏洞掃描分別屬于 PDR 和 P2DR 模型中的防護(hù)和檢測環(huán)節(jié)。比如 RJiTop網(wǎng)絡(luò)隱患掃描系統(tǒng)每周一次，漏洞數(shù)量達(dá) 1502 之多（截止到 2022 年 7 月 9 日）。然而，由于 NIDS 本身的局限性， 網(wǎng)絡(luò)黑客利用 碎片攻擊 、會話拼接、拒絕服務(wù)攻擊等手段 躲 避或者越過網(wǎng)絡(luò)入侵檢測系統(tǒng) (Network Intrusion Detection System,NIDS)的新技術(shù)，勝利的天平正在向 他們 傾斜。 防火墻不能防止本身安全漏洞的威脅。另外，防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也只能如旁觀者一樣冷視而愛莫能助。 首先，讓我們來看看現(xiàn)階段網(wǎng)絡(luò)上使用最多的安全設(shè)備防火墻和入侵檢測。 北京富力通能源軟件技術(shù)有限公司 第 36 頁 共 75 頁 因?yàn)?Quidway 系 列路由器支持各種 VPN 技術(shù)，包括隧道技術(shù)、 IPsec、密鑰交換技術(shù)、防火墻技術(shù)、 QoS 與配置管理等，并可繼續(xù)發(fā)展，支持越來越多的先進(jìn)技術(shù)，所以為用戶提供了很好的選擇和性價比。 VPN 解決方案 1. Cisco 的 VPN 解決方案 Cisco 公司與路由器集成的 VPN 解決方案是一種較為常見的基于硬件的構(gòu)建策略。 QoS 通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生 。企業(yè)必須確保其 VPN 上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法 用戶對網(wǎng)絡(luò)資源或私有信息的訪問。 加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)， VPN 可直接利用現(xiàn)有技術(shù)。隧道是由隧道協(xié)議形成的，分為第