【正文】 ................. 19 需求分析 ...................................................... 19 防火墻概述 .................................................... 19 選型產(chǎn)品介紹 .................................................. 23 蘇富特防火墻功能 .............................................. 25 蘇富特防火墻特點(diǎn) .............................................. 28 防火墻實(shí)施方案 ................................................ 28 病毒防范 ............................................................ 29 需求分析 ...................................................... 29 技術(shù)分類 ...................................................... 29 整體防病毒體系 ................................................ 30 防病毒產(chǎn)品實(shí)施方案 ............................................ 31 第六章 蘇富特網(wǎng)絡(luò)安全系統(tǒng)的優(yōu)勢 ............................................. 32 南京總公司簡介 ...................................................... 32 鄭州公司簡介 ........................................................ 32 蘇富特安全產(chǎn)品優(yōu)勢 .................................................. 36 第七章 蘇富特公司售后服務(wù)條款 ............................................... 37 第八章 建議產(chǎn)品型號與報價 ................................................... 38 鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計方案 第 4 頁 共 38 頁 鄭州蘇富特軟件有限公司 前 言 隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛，各種大型企業(yè)或單位通過網(wǎng)絡(luò)與用戶及其他相關(guān)行業(yè)系統(tǒng)之間進(jìn)行交 流，提供各種網(wǎng)上的信息服務(wù)，但這些網(wǎng)絡(luò)用戶中，不乏好奇者和惡意破壞者，這些人可能會不斷地尋找系統(tǒng)內(nèi)部網(wǎng)絡(luò)上的漏洞，企圖潛入內(nèi)部網(wǎng)絡(luò)。以下是 河南省檢查院 目前的網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D： 存在問題： 由于貴單位 網(wǎng)絡(luò)中心 處有一些交換機(jī)的性能 不是很高 （有兩個 不可網(wǎng)管 低端的 DLINK 交換機(jī) ，建議在網(wǎng)絡(luò)改造的時候換成可以網(wǎng)管的交換機(jī) ） ， 但下面帶有大量的網(wǎng)絡(luò)終端設(shè)備， 當(dāng) 大量 的 網(wǎng)絡(luò)設(shè)備 全部打開數(shù)據(jù)流量過大時會出現(xiàn)網(wǎng)絡(luò)堵塞的現(xiàn)象。 網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析 正常情況下，我們認(rèn)為，信息系統(tǒng)的不安全因素主要來源于下面 兩個方面： ? 來自與公網(wǎng)互聯(lián)的安全威脅： 基于 Inter 公網(wǎng)的開放性、國際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅。種種因素都將對網(wǎng)絡(luò)安全構(gòu)成很大的威脅。 應(yīng)用安全風(fēng)險分析 應(yīng)用系統(tǒng)的安全涉及很多方面。因此，病毒的危害的不可以輕視的。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險。 安全需求 物理層安全需求 針對重要信息可能通過電磁輻射或線路干擾等泄漏因素考慮，需要對存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計，如構(gòu)建屏蔽室，采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。一般來說，每個成員的主機(jī)系統(tǒng)中，有一部份信息是可以對外開放，而有些信息是要求保密或具有一定的隱私性。入侵者通常都是通過一些程序來探測網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相應(yīng)技術(shù)進(jìn)行攻擊，因此，我們建議在條件成熟時可以配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)定期對信息系統(tǒng)進(jìn)行安全掃描，發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞，并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞，對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進(jìn)行安全配置。 由于操作系統(tǒng)及應(yīng)用程序的多樣性，造就了計算機(jī)病毒機(jī)理的多樣性；隨著網(wǎng)絡(luò) 的發(fā)展，又為計算機(jī)病毒提供了更加簡便快捷的傳播方式。 保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性 安全措施主要包括：行政 法律手段、各種管理制度 (人員審查、工作流程、維護(hù)保障制度等 )以及專業(yè)技術(shù)措施 (訪問控制、 NAT 技術(shù)、認(rèn)證技術(shù)、攻擊檢測技術(shù)、防病毒等 )。 易操作性原則 安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性；鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計方案 第 13 頁 共 38 頁 鄭州蘇富特軟件有限公司 其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)安全的動態(tài)性是指，網(wǎng)絡(luò)安全是隨著環(huán)境、時間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個機(jī)器），原來安全的系統(tǒng)就變的不安全了；在一段時間里安全的系統(tǒng)，時間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因?yàn)楹诳桶l(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了），原來的系統(tǒng)就會變的不安全。 物理安全 保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。 操作系統(tǒng)安全 對于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件（如 Windows NT 下的 LMHOST、 SAM 等）使用權(quán)限進(jìn)行嚴(yán)格限制；加強(qiáng)口令字的使用（增加口令復(fù)雜程度、不要使用與用戶身份有關(guān)的、容易猜測的信息作為口令），并及時給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開。 隔離與訪問控制 嚴(yán)格的管理制度 可制定的制度有：《用戶授權(quán)實(shí)施細(xì)則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管理制度》、《安全責(zé)任制度》等。入侵檢測系統(tǒng)一般包括控制臺和探測器（網(wǎng)絡(luò)引擎）。因此計算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考慮的重要的環(huán)節(jié)之一。如有必要，可以通過網(wǎng)絡(luò)備份系統(tǒng)，對數(shù)據(jù)庫進(jìn)行遠(yuǎn)程備份存儲。蘇富特以 SoftOS+SoftWall 為核心的網(wǎng)絡(luò)安全解決方案，有效的解決客戶的網(wǎng)絡(luò)系統(tǒng)軟件／平臺軟件的安全。內(nèi)部網(wǎng)絡(luò)上不斷增加的用戶需要訪問 Inter 服務(wù)，如 WWW、電子郵件等服務(wù)。但不幸的是，防火墻系統(tǒng)一旦被攻擊者突破或迂回，就不能提供任何的保護(hù)了。包頭信息中包括 IP 源地址、 IP 目標(biāo)地址、內(nèi)裝協(xié)議（ ICP、 UDP、 ICMP、或 IP Tunnel）、TCP/UDP 目標(biāo)端口、 ICMP 消息類型、包的進(jìn)入接口和出接口等，如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)。如果必須支持非常復(fù)雜的過濾，過濾規(guī)則集合會非常的大和復(fù)雜，因 而難于管理和理解。這樣就消耗了 CPU 時間并影響系統(tǒng)的性能。同時，代理編碼可以配置成只支持網(wǎng)絡(luò)管理員認(rèn)為必須的部分功能。 一個 代理 網(wǎng)關(guān)常常被稱做 “ 堡壘主機(jī) ” （ Bastion Host）。比如，透過應(yīng)用層網(wǎng)關(guān) Tel 訪問要求用戶通過兩步而不是一步來建立連接。 5. 地址轉(zhuǎn)換技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換為 Inter 網(wǎng)關(guān)的一個重要功能，它能將內(nèi)部地址和外部地址進(jìn)行轉(zhuǎn)換，以使具備內(nèi)部地址的計算機(jī)能訪問外部 網(wǎng)絡(luò)。狀態(tài)檢測防火墻根據(jù)協(xié)議、端口及源地址、目的地址的具體情況決定數(shù)據(jù)包是否可以通過。 ? IP 攻擊檢測 能夠有效地檢測和抵御洪泛攻擊、分片攻擊、小包攻擊、 TCP 序列號攻擊等常見攻擊行為。 強(qiáng)身份鑒別 針對明文網(wǎng)絡(luò)傳輸和常規(guī)認(rèn)證方式的弱點(diǎn)，蘇富特防火墻采用強(qiáng)身份鑒別。 系統(tǒng)管理員 ：防火墻邏輯上的權(quán)限最高的管理員； 負(fù)責(zé)安全員、審計員的任命；確認(rèn)可對防火墻進(jìn)行管理的遠(yuǎn)程登錄點(diǎn)等；可以監(jiān)視整個防火墻的狀態(tài)，但無直接進(jìn)行鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計方案 第 27 頁 共 38 頁 鄭州蘇富特軟件有限公司 安全策略配置及審計操作的權(quán)限。 蘇富特防火墻可以按照需求以不同的粒度記錄訪問情況和未遂的攻擊企圖，超越權(quán)限訪問資源的企圖等信息。 資源訪問仲裁 鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計方案 第 28 頁 共 38 頁 鄭州蘇富特軟件有限公司 蘇富特資源訪問仲裁器依據(jù)基于角色的訪問控制（ RBAC）理論構(gòu)建。既提供了細(xì)粒度的訪問控制，又能極大地方便用戶的管理； 6. 完善的日志、審計記錄和分析； 7. 采用良好的模塊化設(shè)計。 病毒防范 需求分析 病毒的攻擊是造成網(wǎng)絡(luò)損失的 重 要原因。 由于操作系統(tǒng)及應(yīng)用程序的多樣性，造就了計算機(jī)病毒機(jī)理的多樣性；隨著網(wǎng)絡(luò)的發(fā)展，又為計算機(jī)病毒提供了更加簡便快捷的傳播方式。為了阻止病毒的傳播和擴(kuò)散，網(wǎng)絡(luò)管理者不設(shè)置多級進(jìn)入點(diǎn)的保護(hù)，就無法抗擊快速增長的病毒感染的威脅。同時當(dāng)內(nèi)部人員上網(wǎng)和下載文件時也可能通過HTTP、 FTP 流量把病毒和惡意代碼帶入內(nèi)部網(wǎng)絡(luò)。 鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計方案 第 32 頁 共 38 頁 鄭州蘇富特軟件有限公司 第六章 蘇富特網(wǎng)絡(luò)安全系統(tǒng)的優(yōu)勢 南京 總 公司簡介 江蘇南大蘇富特軟件股份有限公司前身為南大蘇富特軟件有限責(zé)任公司，成立于 1998 年 9 月，由南京大學(xué)及 江蘇省信息化建設(shè)投資有限責(zé)任公司共同投資創(chuàng)立，注冊資金 4000 萬元人民幣。 2020 年 4 月 24 日，公司在香港聯(lián)交所創(chuàng)業(yè)版成功掛牌上市，成為江蘇省首家高校上市公司、首家軟件上市公司和首家香港創(chuàng)業(yè)板上市公司，由此揭開了蘇富特公司發(fā)展的新篇章。 公司借助香港創(chuàng)業(yè)板成功上市的契機(jī)，積極進(jìn)行資本運(yùn)作，努力拓展市場新渠道，致力開拓行業(yè)應(yīng)用領(lǐng)域，目前業(yè)務(wù)范圍已覆蓋北京、上海、浙江、安徽、山東、蘇州、無錫等地，成功的將集團(tuán)化、規(guī)模化的南大蘇富特新形象展現(xiàn)在世人面前。 1999 年，公司在江蘇省各級政府的大力支持下，于年底順利完成增資擴(kuò)股和股份制改造，注冊資本增加到 7000 萬元人民幣，更名為江蘇南大蘇富特軟件股份有限公司。 由于現(xiàn)在的病毒更多的以郵件病毒為主，傳播非?？焖伲绻麄€病毒防治系統(tǒng)設(shè)計時是以殺毒為設(shè)計思想的話，就會出現(xiàn)“殺毒沒有傳播快”的情況，整個系統(tǒng)將為殺毒而疲于奔命，并且無法保證系統(tǒng)的安全性。 整體防病毒體系 河南省檢查院 網(wǎng)絡(luò)包括提供各種信息服務(wù)的服務(wù)器，個人使用的桌面系統(tǒng)以及負(fù)責(zé)與外界網(wǎng)絡(luò)交換數(shù)據(jù)的防火墻等多種系統(tǒng)。 技術(shù)分類 病毒在發(fā)作前是難以發(fā)現(xiàn)的，因此所有的防病毒技術(shù)都是在系統(tǒng)后臺運(yùn)行，先于病毒獲得系統(tǒng)的控制權(quán)，對系統(tǒng)進(jìn)行實(shí)時監(jiān)控，一旦發(fā)現(xiàn)可疑行為，就阻止非法程序的運(yùn)行，利用一些專門的技術(shù)進(jìn)行判別，然后加以清除。保護(hù)今天各種網(wǎng)絡(luò)免遭不斷增長的計算機(jī)病毒和惡意代碼的威脅決非一項(xiàng)簡單的工作。也能很好地適應(yīng)客戶的網(wǎng)絡(luò)環(huán)境的變化。提供了資源定義的界面，用戶可以通過圖形界面設(shè)置、修 改角色的權(quán)限，定義用戶的角色。 安全審計 蘇富特防火墻既提供對網(wǎng)絡(luò)訪問控制情況的審計，也提供對系統(tǒng)運(yùn)行狀態(tài)變化的審計和對防火墻管理員操作行為的審計。 審計員：對包括主管在內(nèi)的防火墻的所有角色的操作進(jìn)行審計，并生成審計報告；對防火墻各模塊的日志進(jìn)行審計、統(tǒng)計及清理，并生成相應(yīng)的報告。 加密通信 蘇富特防火墻實(shí)現(xiàn)了通用的雙密鑰體制的算法和單密鑰體制的各種通用算法。 ? 能夠高度有效地控制 代理用戶對不同站點(diǎn)的訪問； ? 支持用戶身份認(rèn)證和強(qiáng)身份認(rèn)證； ? 能夠?qū)χ付ǖ拿舾袃?nèi)容進(jìn)行快速的檢查過濾，防止敏感信息的非授權(quán)流失； ? 提供到目錄、文件和訪問命令級的資源訪問控制； ? 提供與蘇富特通用資源訪問仲裁器的接口（蘇富特通用資源訪 問仲裁器是基于鄭州一五三醫(yī)院 網(wǎng)絡(luò)安全設(shè)計方案 第 26 頁 共 38 頁 鄭州蘇富特軟件有限公司 角色訪問控制理論開發(fā)的，對對子網(wǎng)內(nèi)資源訪問請求提供是否允許的栽決功能的軟件系統(tǒng)）。 主要技術(shù)特點(diǎn)： 支持透明接入和透明連接 帶有 DMZ 的連接方式 支持遠(yuǎn)程管理 支持分布式的防火墻的統(tǒng)一管理 具有規(guī)則測