【正文】 Protection（保護）保護通常是通過采用一些傳統(tǒng)的成熟的信息安全技術(shù)及方法來實現(xiàn)的，主要有防火墻、授權(quán)、加密、認證等方法。根據(jù)三元論的指導，方正信息安全公司為XX信息網(wǎng)提供的信息安全完全解決方案就是要建立一個一致的信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。如傳出至關(guān)重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。l 當其他人員通過共享資源得到你共享的文件，當打開執(zhí)行時，病毒就感染他的機器；或者你通過電子郵件進行通信時，受病毒感染的文件附件會很自然地傳播到網(wǎng)絡(luò)中的其它主機，結(jié)果可想而知。當你執(zhí)行該文件時，病毒將其自身拷貝到計算機內(nèi)存中。數(shù)據(jù)信息的安全風險分析數(shù)據(jù)安全對XX信息網(wǎng)來說是至關(guān)重要的，在網(wǎng)上傳輸?shù)臄?shù)據(jù)可能存在保密性質(zhì)，而出于網(wǎng)絡(luò)本身的自由、廣泛等特性，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取和篡改。資源共享XX信息網(wǎng)系統(tǒng)內(nèi)部自動化辦公系統(tǒng)。所有的這些設(shè)備、軟件系統(tǒng)都或多或少地存在著各種各樣的“后門”和漏洞，這些都是重大的安全隱患。每天黑客都在試圖闖入Internet節(jié)點，如果不保持警惕，很容易被入侵，甚至連黑客怎么闖入都不知道，而且該系統(tǒng)還可能成為黑客入侵其他網(wǎng)絡(luò)系統(tǒng)的跳板。具體可以概括為：在XX信息網(wǎng)中，保證非授權(quán)用戶不能訪問任何一臺服務(wù)器、路由器、交換機或防火墻等網(wǎng)絡(luò)設(shè)備。 XX信息網(wǎng)安全需求分析根據(jù)我們分析XX信息網(wǎng)信息系統(tǒng)的安全風險，主要由三部分內(nèi)容組成，第一是環(huán)境的威脅，第二是系統(tǒng)自身的脆弱性，第三是安全破壞的影響力。216。同時，公司又充分運用方正的品牌、技術(shù)、渠道優(yōu)勢，整合國內(nèi)外資源，不斷為廣大用戶提供最好的信息安全的解決方案與應(yīng)用服務(wù)。方正信息安全技術(shù)有限公司擁有雄厚的研發(fā)力量和網(wǎng)絡(luò)安全經(jīng)驗，依托北京大學研究所和北大方正研究院的研發(fā)力量，并以極大的信心和飽滿的熱情，在XX信息網(wǎng)絡(luò)安全方案初步設(shè)想的基礎(chǔ)上，根據(jù)XX信息管理網(wǎng)絡(luò)安全的特點和需求，本著切合實際、保護投資、著眼未來、分步建設(shè)的原則，提出了針對XX信息網(wǎng)安全需求的解決方案。同時行業(yè)和行業(yè)之間也存在比較大的差異，比如軍隊行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)和政府行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)差別就很大。尤其對于政府和軍隊而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。一些國內(nèi)用戶對網(wǎng)絡(luò)安全的認識存在一些誤區(qū)：把網(wǎng)絡(luò)安全幾乎全部依賴于所安裝的防火墻系統(tǒng)和防病毒軟件，認為只要安裝了這些設(shè)備，網(wǎng)絡(luò)就安全了；他們沒有認識到網(wǎng)絡(luò)安全是動態(tài)的、整體的，不可能僅靠單一安全產(chǎn)品就能實現(xiàn)。行業(yè)用戶的網(wǎng)絡(luò)一般比較復(fù)雜，網(wǎng)絡(luò)節(jié)點繁多，而且行業(yè)用戶網(wǎng)絡(luò)上面?zhèn)鬏數(shù)臄?shù)據(jù)大部分為涉秘信息，因此網(wǎng)絡(luò)信息安全的設(shè)計必須非常的完善和全面。方正信息安全技術(shù)有限公司是北大方正集團的全資子公司，是專注于信息安全和網(wǎng)絡(luò)管理解決方案的研發(fā)、生產(chǎn)、銷售、服務(wù)、咨詢的專業(yè)廠商。方正信息安全已經(jīng)在政府、公安、銀行、證券、保險、電信、教育、電力、能源、交通等各個行業(yè)擁有眾多用戶群。 主機系統(tǒng)：配置一臺UNIX服務(wù)器作為數(shù)據(jù)庫服務(wù)器，在其上運行數(shù)據(jù)庫系統(tǒng)軟件，主要提供數(shù)據(jù)存儲服務(wù)，配置一臺UNIX服務(wù)器作為應(yīng)用服務(wù)器，在其上運行中間件系統(tǒng)軟件，主要處理專網(wǎng)業(yè)務(wù)，并響應(yīng)前端WEB接入請求及對后臺數(shù)據(jù)庫中數(shù)據(jù)進行調(diào)用。只有三方面的綜合作用，才會構(gòu)成實際的安全風險。 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（相對于本地局域網(wǎng)以外的網(wǎng)絡(luò)），考慮采用硬件防火墻設(shè)備進行邏輯隔離，控制來自內(nèi)外網(wǎng)絡(luò)的用戶對重要業(yè)務(wù)系統(tǒng)的訪問。影響所及，還可能涉及許多其它安全敏感領(lǐng)域，如網(wǎng)絡(luò)傳輸中的數(shù)據(jù)被黑客篡改和刪除，其后果將不堪設(shè)想。一旦被利用并攻擊，將帶來不可估量的損失，如前段時間網(wǎng)絡(luò)上流傳非常兇猛的“沖擊波”病毒，就是一個以微軟公司W(wǎng)indows系列操作系統(tǒng)的一個漏洞為基礎(chǔ)的破壞性、傳染性都很強的蠕蟲病毒。因為缺少必要的訪問控制策略。黑客或一些不法份子會通過一些手段，設(shè)法在線路上獲得傳輸?shù)臄?shù)據(jù)信息，造成信息的泄密。l 病毒將自身拷貝到計算機內(nèi)存后，它將等待你來運行機器上的其他程序。因此，XX信息網(wǎng)網(wǎng)絡(luò)中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴散，傳播到網(wǎng)絡(luò)上的所有主機，有些病毒會在你的系統(tǒng)中自動打包一些文件自動從發(fā)件箱中發(fā)出。這些都將給網(wǎng)絡(luò)造成極大的安全風險。立體安全防護體系為了更為有效的保證政府、企業(yè)、行業(yè)信息化網(wǎng)絡(luò)和電子政務(wù)、電子商務(wù)應(yīng)用的安全，方正信息安全公司提出了兩個理念：立體安全防護體系和安全服務(wù)支撐體系。通過防火墻監(jiān)視限制進出網(wǎng)絡(luò)的數(shù)據(jù)包，可以防范外對內(nèi)及內(nèi)對外的非法訪問，提高了網(wǎng)絡(luò)的防護能力，當然需要根據(jù)安全策略制定合理的防火墻策略；也可以利用上網(wǎng)行為控制審計的方法來增加系統(tǒng)的安全性等等。 XX信息網(wǎng)安全系統(tǒng)設(shè)計的原則和目標結(jié)合XX信息網(wǎng)內(nèi)部網(wǎng)絡(luò)的實際情況，針對目前計算機網(wǎng)絡(luò)硬件安全設(shè)備的總體設(shè)計和實施，方正集團依據(jù)國家有關(guān)信息安全政策、法規(guī)，根據(jù)XX信息網(wǎng)工作實際需要和我國政府工作信息化建設(shè)的實際情況，使之達到安全、可靠運行、節(jié)儉使用，便于工作和管理維護，符合國家有關(guān)規(guī)定信息安全系統(tǒng)的設(shè)計和實現(xiàn)應(yīng)遵循如下原則：252。252。252。作為信息安全的保障，我們在安全產(chǎn)品選型時強烈建議使用國內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品，將安全風險降至最低。通過采取對進出網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)測、分析、過濾或計量等方式，以包過濾、地址轉(zhuǎn)換、包狀態(tài)檢測、應(yīng)用代理、流量計費或帶寬控制等技術(shù)，來實現(xiàn)對Internet出口處的統(tǒng)一、有效的管理。針對上面的安全層次，依據(jù)我們的安全系統(tǒng)設(shè)計原則，并結(jié)合XX網(wǎng)絡(luò)系統(tǒng)的實際情況和需求，采用一系列產(chǎn)品搭建安全防范體系，通過安全技術(shù)和管理手段，使安全產(chǎn)品充分發(fā)揮其安全保護的作用。對于網(wǎng)絡(luò)XX與Internet網(wǎng)連接出口來說，是XX M接口，我們本著合理投資，充分應(yīng)用的原則，從實用性的角度配置使用方正FS XX百兆防火墻。由于優(yōu)良的性能、完善的功能和特有的黑區(qū)設(shè)計，我們推薦方正信息安全的方正FS XX百兆防火墻，用于限制外部網(wǎng)絡(luò)對數(shù)據(jù)中心內(nèi)網(wǎng)資源（含公網(wǎng)服務(wù)器區(qū)）的非法訪問，保護數(shù)據(jù)中心內(nèi)網(wǎng)上的各種信息資源。方正FS XX防火墻的DMZ口接公眾網(wǎng)服務(wù)器區(qū)的交換機，形成對DMZ區(qū)的保護?！?內(nèi)部網(wǎng)絡(luò)：內(nèi)部網(wǎng)絡(luò)（內(nèi)部局域網(wǎng)）到外部網(wǎng)絡(luò)（Internet）也要進行嚴格的限制?！?被動防御和主動防御被動防御是指通過防火墻預(yù)置策略和防御閥值實施靜態(tài)防護，F(xiàn)SXX防火墻通過其深層的狀態(tài)檢測技術(shù)和內(nèi)建防御策略可以有效防止多種攻擊，如ICMP 重定向、IP 來源路由、DOSamp。而借助防火墻的多映射功能，可以將對外的同一地址映射為內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域不同服務(wù)的不同端口?！?防火墻選型防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)施，它對維護內(nèi)部網(wǎng)絡(luò)的安全起著重要的作用。它盡可能地減少由于添加了安全設(shè)備而給網(wǎng)絡(luò)速度造成影響。訪問控制是防火墻系統(tǒng)的基本功能，防火墻會檢查向 Intranet 發(fā)送的信息包，只有經(jīng)過驗證的信息包才能進入許可的服務(wù)或用戶網(wǎng)絡(luò)，而所有未經(jīng)驗證的信息包都會受到阻擋。也就是說，如果要保護的主機與防火墻直接相連，可以將此機器的 IP 與其物理網(wǎng)卡地址捆綁，這樣其他內(nèi)部機器就不可能盜用這個IP地址通過防火墻。252。(a)WEB安全功能：252。(b)Dos形態(tài)的攻擊、入侵檢測或Blocking功能、Fragmentation，SYN flooding等抗攻擊能力。有助于防止受到來自外部網(wǎng)絡(luò)、虛擬專用網(wǎng)絡(luò) (VPN)、網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)入侵檢測系統(tǒng) (NIDS) 的破壞。這使用戶可以通過安全策略控制傳輸/接收的信息包。日志管理員（Log Manager）可以利用Log Viewer查閱日志。它可以實時防止入侵、萬一檢測到有人從外部非法入侵或網(wǎng)絡(luò)設(shè)備出現(xiàn)故障、可以通過遠程管理功能從遠程位置進行修復(fù)。 252。252。同時，記錄受到攻擊的過程，為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來源提供基本數(shù)據(jù)。如果采用其他的防火墻和網(wǎng)絡(luò)入侵檢測系統(tǒng)，就需要三個網(wǎng)絡(luò)入侵檢測引擎，將大大提高用戶的成本。l 事件和規(guī)則應(yīng)可進行升級方正入侵檢測系統(tǒng)可以提供實時的在線升級。l 可自定義報表格式的報表瀏覽工具方正入侵檢測系統(tǒng)提供不同形式的可視化報表圖形界面，方便查看和打印報表。強大的引擎入侵檢測系統(tǒng)應(yīng)該提供穩(wěn)定的性能。方正入侵檢測系統(tǒng)把網(wǎng)絡(luò)攻擊行為分成七個類別，分別是拒絕服務(wù)攻擊、收集信息攻擊、協(xié)議弱點攻擊、服務(wù)攻擊、WebCGI攻擊、后門攻擊和用戶自定義類型。當在遠程終端通過IE登錄到方正入侵檢測系統(tǒng)服務(wù)器上時，服務(wù)器會允許終端下載OCX來進行終端和服務(wù)器之間的通訊。方便的界面方正入侵檢測系統(tǒng)給用戶提供方便的標準Windows風格的界面。方正入侵檢測系統(tǒng)還可以把規(guī)則設(shè)置信息、檢測信息和詳細的網(wǎng)絡(luò)信息導入到微軟的Excel軟件中。熊貓衛(wèi)士安全網(wǎng)關(guān)（PAGD）可以對所有進入網(wǎng)絡(luò)的常用協(xié)議進行掃描，它的專業(yè)功能是總體上抵御所有類型的安全威脅及重點防護特殊的病毒，其病毒防護功能還得到了基于內(nèi)容過濾技術(shù)的主動防護功能的完善。同時，當企業(yè)的網(wǎng)絡(luò)帶寬由于業(yè)務(wù)的需要進行擴容時，利用負載均衡功能，企業(yè)只需添置額外的熊貓衛(wèi)士安全網(wǎng)關(guān)，使新添的熊貓衛(wèi)士安全網(wǎng)關(guān)與原有的設(shè)備協(xié)同工作，便可滿足企業(yè)網(wǎng)絡(luò)擴容后的需求。也可以根據(jù)發(fā)件人的地址生成地址白名單和黑名單，這些地址清單可以被從掃描中排除或發(fā)自這些地址的郵件被定義為垃圾郵件。每日自動更新的特性也使得熊貓衛(wèi)士安全網(wǎng)關(guān)的更新維護量幾乎為零，可達到“即插即忘”的水平。一旦對郵件和網(wǎng)頁的訪問得到控制，那么無論是何處的訪問都可以杜絕病毒的威脅。缺省地，管理控制臺只在內(nèi)部網(wǎng)絡(luò)可訪問，但是也可以添加公共IP地址用于遠程管理。如果存在新的可更新元素，熊貓衛(wèi)士安全網(wǎng)關(guān)會通知管理員，建議管理員也可以通過點擊更新管理頁面中的Update Now按鈕進行更新，而不必等到下一次設(shè)定好的自動更新的時間。216。通過它來完成包括全網(wǎng)的客戶端分發(fā)、病毒庫更新、防病毒策略定制、病毒日志監(jiān)控、病毒查殺等管理任務(wù)，實現(xiàn)對全網(wǎng)防病毒的集中管理。由于ClientShield采用了瘦客戶端技術(shù)，因此它可占用較小的系統(tǒng)資源，而同時為客戶端計算機提供強大的病毒防護能力。10． Sendmail防病毒軟件XX信息中心網(wǎng)絡(luò)中的Sendmail服務(wù)器計算機將按照管理服務(wù)器的指令從倉儲服務(wù)器獲得防病毒軟件SendmailSecure，以及及時自動的按照管理服務(wù)器的指令從倉儲服務(wù)器更新病毒庫和升級防病毒軟件。12． Postfix防病毒軟件XX信息中心網(wǎng)絡(luò)中的Postfix服務(wù)器計算機將按照管理服務(wù)器的指令從倉儲服務(wù)器獲得客戶端的防病毒軟件PostfixSecure，以及及時自動的按照管理服務(wù)器的指令從倉儲服務(wù)器更新病毒庫和升級防病毒軟件。5． Exchange服務(wù)器防病毒軟件XX信息中心網(wǎng)絡(luò)中的Exchange服務(wù)器計算機將按照管理服務(wù)器的指令從倉儲服務(wù)器獲得防病毒軟件ExchangeSecure，以及及時自動的按照管理服務(wù)器的指令從倉儲服務(wù)器更新病毒庫和升級防病毒軟件。兩臺倉儲服務(wù)器將為全網(wǎng)的客戶端提供防病毒軟件和病毒庫的分發(fā)和更新，并接受管理服務(wù)器的管理。216。同時，它擁有一個實時的警告系統(tǒng)，可以在發(fā)生事件后，實時地通知管理員，以便讓管理員及時地了解到網(wǎng)關(guān)處的病毒防護情況。熊貓衛(wèi)士安全網(wǎng)關(guān)的許可證和序列號，指出服務(wù)的類型和期限。3) 熊貓衛(wèi)士安全網(wǎng)關(guān)中的網(wǎng)頁過濾模塊允許管理員控制企業(yè)網(wǎng)絡(luò)資源的使用，并且阻止非法，色情或暴力網(wǎng)頁內(nèi)容進入公司，從而避免了由它們引起的網(wǎng)絡(luò)性能降低，并且不可能再被員工外發(fā)或轉(zhuǎn)發(fā)的話，有礙公司形象。同時還提供復(fù)雜的病毒，垃圾郵件和內(nèi)容過濾的報告，以及自定義警告和通知。6． 網(wǎng)頁過濾網(wǎng)頁過濾模塊允許網(wǎng)絡(luò)管理員控制企業(yè)網(wǎng)絡(luò)資源的使用，并且阻止非法，色情或暴力網(wǎng)頁內(nèi)容進入公司，該模塊掃描通過HTTP訪問的URL，并且阻斷訪問那些被未被授權(quán)的內(nèi)容，使管理員知道哪些內(nèi)容用戶正在訪問。另外，熊貓衛(wèi)士安全網(wǎng)關(guān)的負載均衡是全自動的，無需額外的配置和維護工作量，無需重新配置企業(yè)的網(wǎng)絡(luò)設(shè)置，對網(wǎng)絡(luò)的客戶和服務(wù)完全透明。熊貓衛(wèi)士安全網(wǎng)關(guān)向管理員發(fā)送預(yù)警信息。性能：l 方正入侵檢測系統(tǒng)的誤報率小于3%。方正入侵檢測系統(tǒng)可以實時檢測當前網(wǎng)絡(luò)連接的服務(wù)器和客戶端IP地址、這些連接的傳輸數(shù)據(jù)、連接起始和結(jié)束時間、DNS、Whois、操作系統(tǒng)信息等等。為了保證遠程終端和方正入侵檢測系統(tǒng)服務(wù)器之間通訊的安全性，方正入侵檢測系統(tǒng)在進行通訊傳輸時使用SSL協(xié)議。而且，對于應(yīng)用（類似FTP或Telnet）的易攻擊性的標志也可以在方正入侵檢測系統(tǒng)中設(shè)置，同時針對WebCGI的攻擊方法也可以被加入方正入侵檢測系統(tǒng)。方正入侵檢測系統(tǒng)高效地分配使用內(nèi)存，保證在高負荷網(wǎng)絡(luò)流量的情況下系統(tǒng)工作良好。支持各種圖形和報表報告。l 具有事后處理功能，包括回應(yīng)測試、路由跟蹤、遠程登錄方正入侵檢測系統(tǒng)具有事后處理功能，包括回應(yīng)測試、路由跟蹤、遠程登錄。 用戶的需求指標與功能響應(yīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)l 能夠提供流量至少1000M的網(wǎng)絡(luò)入侵檢測系統(tǒng)l 基于網(wǎng)絡(luò)檢測技術(shù)，實時采樣方正入侵檢測系統(tǒng)是一個網(wǎng)絡(luò)入侵檢測系統(tǒng)，用來檢測、報警、識別和阻止那些在實時環(huán)境下沒有被防火墻發(fā)現(xiàn)的不必須的活動、闖入和內(nèi)部信息溢出。本方案的設(shè)計目標之二：通過在XXXX信息中心網(wǎng)絡(luò)公網(wǎng)服務(wù)器區(qū)的服務(wù)器上安裝主機入侵檢測系統(tǒng)，對計算機網(wǎng)絡(luò)或計算機系統(tǒng)的運行進行監(jiān)控，從中發(fā)現(xiàn)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。如果主系統(tǒng)出現(xiàn)故障、備用系統(tǒng)可以接管工作、保證操作不中斷。安全策略以表格形式存儲、這樣便于修改和管理。FOUND SecuwayCenter 2000的功能如下：252。252。所有通過 BZ 端口接收的信息包都會被發(fā)送到入侵檢測系統(tǒng) (IDS) 中以便進行統(tǒng)計分析?！狶AN TO LAN虛擬專用網(wǎng)絡(luò)（VPN）——Intranet/Extranet/遠存取VPN（方正FS XX防火墻Center 2000）——IPsec、L2TP隧道。NAT技術(shù)是將一個地址轉(zhuǎn)換為另外