【正文】 N 網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立 VPN 連接進(jìn)入公司內(nèi)網(wǎng)；? 北京庫(kù)房(現(xiàn)狀：華為路由器，128K DDN) ，利用 VPN 網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立 VPN 連接進(jìn)入公司內(nèi)網(wǎng)；? 兩臺(tái) ERP 小型機(jī)（每臺(tái)小型機(jī)配置：雙千兆短波多模光纖網(wǎng)卡，防火墻采用橋接模式）? 棒材生產(chǎn)子網(wǎng)、煉鋼生產(chǎn)子網(wǎng)（百兆）? 煉鋼大高爐生產(chǎn)子網(wǎng)（千兆長(zhǎng)波單模光纖）? 礦業(yè)公司(2 條 2M 數(shù)字電路，連入電話站交換機(jī))、二化(1 條 2M 數(shù)字電路，連入電話站交換機(jī))? 電話站專網(wǎng) 過(guò)濾網(wǎng)關(guān)需求因特網(wǎng)（現(xiàn)狀：100M）入口，必須至少支持 4 種 Inter 協(xié)議：SMTP、POPHTTP、FTP，并具有日志以及日志分析功能； 入侵檢測(cè)需求內(nèi)網(wǎng)關(guān)鍵區(qū)域及因特網(wǎng)（現(xiàn)狀：100M）出口，具有安全審計(jì)功能；16 / 34 漏洞掃描需求定期掛接到網(wǎng)絡(luò)中，對(duì)當(dāng)前網(wǎng)絡(luò)上的重點(diǎn)服務(wù)器（如 WEB 服務(wù)器、郵件服務(wù)器、DNS 服務(wù)器、主域服務(wù)器等）以及主機(jī)進(jìn)行一次掃描，得到當(dāng)前系統(tǒng)中存在的各種安全漏洞，并有針對(duì)性地提出補(bǔ)救措施報(bào)告； 安裝需求所有安全產(chǎn)品布置在項(xiàng)目附帶的機(jī)柜內(nèi)，并且在機(jī)柜內(nèi)配置 2 臺(tái) 32 口自動(dòng)多電腦切換器，配置相應(yīng)的鍵盤、光電鼠標(biāo)、顯示器及線纜；安全設(shè)備要有管理口，便于管理，降低安全產(chǎn)品本身的安全威脅，要有分權(quán)管理，管理與審計(jì)權(quán)限分開(kāi)；要保證系統(tǒng)服務(wù)器、生產(chǎn)專網(wǎng)的高可用性、抗攻擊性；制定詳細(xì)的實(shí)施計(jì)劃，明確雙方責(zé)任，專業(yè)技術(shù)工程師、制度管理師按照實(shí)施計(jì)劃布置實(shí)施符合 XX 企業(yè)管理需求的安全策略、制定符合 XX 企業(yè)管理需求的制度體系；各個(gè)系統(tǒng)協(xié)調(diào)一致工作，不能出現(xiàn)軟件或硬件沖突；17 / 34第四章 信息網(wǎng)絡(luò)的安全方案設(shè)計(jì) 安全管理環(huán)節(jié)分析：? 主要是指 XX 企業(yè)集團(tuán)要設(shè)備管理、人員管理、策略管理等；? 目前 XX 企業(yè)集團(tuán)尚無(wú)一套完善的網(wǎng)絡(luò)安全管理體系，我們要建立通過(guò)一定的國(guó)際標(biāo)準(zhǔn)來(lái)建立建設(shè)管理體系。需求建議:安全保護(hù)圍很廣涉及的技術(shù)也較多，對(duì)于 XX 企業(yè)集團(tuán)信息網(wǎng)目前最需要的防護(hù)手段是對(duì)全網(wǎng)的防護(hù)，使用防火墻、防病毒技術(shù)和入侵檢測(cè)，在此基礎(chǔ)上建議加強(qiáng)對(duì) XX 企業(yè)集團(tuán)數(shù)據(jù)中心信息網(wǎng)的防護(hù)體系建設(shè)。 安全服務(wù)環(huán)節(jié)分析：? 一個(gè)優(yōu)秀的網(wǎng)絡(luò)安全系統(tǒng)的建立不僅僅依靠網(wǎng)絡(luò)安全設(shè)備和相關(guān)安全手段，如何去建設(shè)網(wǎng)絡(luò)安全系統(tǒng)？如何去使用網(wǎng)絡(luò)安全系統(tǒng)？以及出現(xiàn)安全問(wèn)題如何去應(yīng)對(duì)？是一般網(wǎng)使用者非常關(guān)心的問(wèn)題。我們建議在 XX 企業(yè)集團(tuán)內(nèi)網(wǎng)和 Inter 接入設(shè)備之間配置一臺(tái)天融信網(wǎng)絡(luò)衛(wèi)士千兆防火墻 NGFW4000UFVPN(E)，作為訪問(wèn)控制設(shè)備。我們建議在 SUN 服務(wù)器和核心交換之間加入天融信的千兆防火墻 NGFW4000UF，同時(shí)設(shè)定規(guī)則，只允許特定的 ERP 應(yīng)用到達(dá) SUN服務(wù)器。對(duì)于天融信的防火墻由于支持 Spanning Tree 的算法，上圖就可以變成下圖的連接方法： 區(qū)別表現(xiàn)在支持 Spanning Tree 的算法的防火墻可以把四個(gè)端口配置成一個(gè)廣播域，此時(shí)防火墻到交換機(jī)之間的切換通過(guò)生成樹(shù)協(xié)議來(lái)實(shí)現(xiàn)，服務(wù)器到23 / 34防火墻之間的切換通過(guò) Solaris 服務(wù)器雙網(wǎng)卡自身的機(jī)制來(lái)切換。從而防止入侵者的掃描行為，把入侵行為扼殺在最初階段；? 防止源路由攻擊：源路由攻擊是指黑客抓到數(shù)據(jù)包后改變數(shù)據(jù)包中的路由選項(xiàng)，把數(shù)據(jù)包路由到它可以控制的一臺(tái)路由器上，進(jìn)行路由欺騙或者得到該數(shù)據(jù)包的返回信息。入侵檢測(cè)系統(tǒng)的目的是檢測(cè)惡意和非預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許非預(yù)期資源訪問(wèn)的請(qǐng)求和非預(yù)期使用服務(wù)）。除了入侵檢測(cè)技術(shù)能夠保障系統(tǒng)安全之外，下面幾點(diǎn)也是使用入侵檢測(cè)的原因：（1） 計(jì)算機(jī)安全管理的基本目標(biāo)是規(guī)范單個(gè)用戶的行為以保護(hù)信息系統(tǒng)免受安全問(wèn)題的困擾。（3） 當(dāng)黑客攻擊一個(gè)系統(tǒng)時(shí)，他們總是按照一定的步驟進(jìn)行。管理人員需要了解網(wǎng)絡(luò)中正在發(fā)生的各種活動(dòng)，需要在攻擊到來(lái)之前發(fā)現(xiàn)攻擊行為，需要識(shí)別異常行為，需要有效的工具進(jìn)行針對(duì)攻擊行為以及異常的實(shí)時(shí)和事后分析。該系統(tǒng)具有強(qiáng)大的漏洞檢測(cè)能力和檢測(cè)效率，貼切用戶需求的功能定義，靈活多樣的檢測(cè)方式，詳盡的漏洞修補(bǔ)方案和友好的掃描系統(tǒng)報(bào)告系統(tǒng)，以及方便的在線升級(jí)功能。防病毒管理軟件具有分組（域）管理客戶端防病毒策略和調(diào)度相關(guān)任務(wù)執(zhí)行的能力； 28 / 34? 能夠從多層次進(jìn)行病毒防范，從服務(wù)器到客戶機(jī)都能有相應(yīng)的防毒軟件提供完整的、全面的防病毒保護(hù)。高性能? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)構(gòu)建在高性能的硬件平臺(tái)上，采用高效的掃描算法，最大限度地提高過(guò)濾效率，提供優(yōu)異的處理性能。在本方案中，防病毒部分建議在趨勢(shì)網(wǎng)絡(luò)版防病毒的基礎(chǔ)上配置防病毒網(wǎng)關(guān)。安全報(bào)警處置中心的報(bào)警方式：1. 聲音報(bào)警2. 網(wǎng)頁(yè)發(fā)布3. 電子郵件報(bào)警4. 電話報(bào)警5. 發(fā)送廣播消息6. 其它報(bào)警安全集中匯總分析模塊隨著人們對(duì)于網(wǎng)絡(luò)安全的重視，網(wǎng)絡(luò)中的安全系統(tǒng)復(fù)雜程度和數(shù)量不斷增加，其管理的復(fù)雜程度和難度也越來(lái)越大。數(shù)據(jù)分析器分析跟蹤網(wǎng)絡(luò)數(shù)據(jù)流量，對(duì)比數(shù)據(jù)庫(kù)里定義的事件自動(dòng)報(bào)警。? 個(gè)性化監(jiān)控：對(duì)支持 SNMP、WMI 的設(shè)備可根據(jù)自定義數(shù)據(jù)信息進(jìn)行數(shù)據(jù)匯總和監(jiān)視。? 安全管理：對(duì)網(wǎng)絡(luò)上的各種設(shè)備的安全信息進(jìn)行收集、整理，對(duì)網(wǎng)絡(luò)的安全現(xiàn)狀進(jìn)行綜合分析、顯示，防止數(shù)據(jù)的內(nèi)部非法訪問(wèn)及泄漏，管理違規(guī)聯(lián)網(wǎng)、非法入侵、非法訪問(wèn)等安全問(wèn)題。終端管理系統(tǒng)主要可以對(duì)網(wǎng)絡(luò)終端的硬件設(shè)備及使用狀況、聯(lián)網(wǎng)狀況、進(jìn)程使用狀況、軟件系統(tǒng)進(jìn)行監(jiān)控，從而保障網(wǎng)絡(luò)中的終端的安全，解決以上的問(wèn)題。網(wǎng)絡(luò)中具體可能有大量的網(wǎng)絡(luò)系統(tǒng)應(yīng)用，以保障網(wǎng)絡(luò)功能的實(shí)現(xiàn)，例如文件檢索系統(tǒng)，視頻點(diǎn)播系統(tǒng)、郵件服務(wù)器系統(tǒng)等，一般情況下，這些系統(tǒng)中的報(bào)警信息也可通過(guò)此技術(shù)獲取。網(wǎng)絡(luò)安全管理平臺(tái)由五個(gè)子功能模塊組成：集中報(bào)警中心、網(wǎng)絡(luò)管理系統(tǒng)、關(guān)鍵主機(jī)監(jiān)控系統(tǒng)、數(shù)據(jù)流分析模塊、可擴(kuò)展模塊；各子模塊可以互相配合，以維護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)工程的相關(guān)項(xiàng)目正常運(yùn)行。 29 / 34防垃圾郵件功能? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)采用業(yè)界領(lǐng)先的黑名單技術(shù)實(shí)時(shí)檢測(cè)垃圾郵件并阻止其進(jìn)入企業(yè)網(wǎng)絡(luò)，為企業(yè)節(jié)省寶貴的帶寬。 網(wǎng)關(guān)防病毒解決方案天融信網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)作為一個(gè)專門的硬件防病毒設(shè)備，只要安裝在 XX企業(yè)網(wǎng)絡(luò)的入口處，就可以保護(hù)局域網(wǎng)局域網(wǎng)免受各類病毒，木馬的和垃圾郵件的干擾。 XX 企業(yè)防病毒解決方案病毒是系統(tǒng)中最常見(jiàn)、威脅最大的安全來(lái)源，建立一個(gè)全方位的病毒防范系統(tǒng)是 XX 企業(yè)集團(tuán)安全體系建設(shè)的重要任務(wù)。 XX 企業(yè)漏洞掃描解決方案大多數(shù)的操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)存在一定的安全漏洞，需要不斷安裝和升級(jí)安全補(bǔ)丁。如果同樣的系統(tǒng)配置了入侵檢測(cè)，則會(huì)對(duì)攻擊者的行動(dòng)帶來(lái)一定難度，它可以識(shí)別可疑探測(cè)行為，阻止攻擊者對(duì)目標(biāo)系統(tǒng)的訪問(wèn)，或者對(duì)安全人員報(bào)警以便采取響應(yīng)措施阻止攻擊者的下一步行動(dòng)。（2） 入侵檢測(cè)可以檢測(cè)其它安全手段無(wú)法防止的問(wèn)題。利用防火墻技術(shù)，經(jīng)過(guò)精心的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。通過(guò)在防火墻上設(shè)置規(guī)則防火墻在進(jìn)行檢查之前必須將 IP 分片重組為一個(gè) IP 報(bào)文，而且這個(gè)報(bào)文必須具有一個(gè)最小長(zhǎng)度以包含必要的信息以供檢查，從而防止了 IP 碎片攻擊；? 防止 ICMP/IGMP 攻擊：許多拒絕服務(wù)攻擊是通過(guò)發(fā)送大量的 ICMP 數(shù)據(jù)包、IGMP 數(shù)據(jù)包實(shí)現(xiàn)的。棒材和煉鋼生產(chǎn)子網(wǎng)建議配置兩臺(tái)天融信網(wǎng)絡(luò)衛(wèi)士百兆防火墻 NGFW4000T、礦業(yè)公司和二化子網(wǎng)建議配置一臺(tái)天融信網(wǎng)絡(luò)衛(wèi)士百兆防火墻 NGFW4000T、電話站專網(wǎng)建議配置一臺(tái)天融信網(wǎng)絡(luò)衛(wèi)士百兆防火墻 NGFW4000T。其中，最重要的技術(shù)是目前在國(guó)內(nèi)的防火墻當(dāng)中只有天融信支持的 Spanning Tree 的算法。對(duì)于 XX 企業(yè)移動(dòng)的用戶建議在單臺(tái)計(jì)算機(jī)或筆記本上安裝天融信 VPN 客戶端軟件，同樣可以與總部的 NGFW4000UFVPN(E)建立隧道，實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。需求建議：在 XX 企業(yè)集團(tuán)信息網(wǎng)構(gòu)建一個(gè)良好的安全系統(tǒng)的時(shí)候我們要有責(zé)任建議XX 企業(yè)集團(tuán)不要忽略安全公司所提供的前期、中期、后期所需的各種保障服務(wù)。 安全監(jiān)測(cè)環(huán)節(jié)分析:? 主要是指實(shí)時(shí)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、系統(tǒng)加固、漏洞修補(bǔ)等；? 實(shí)時(shí)檢測(cè)主要依靠入侵檢測(cè)系統(tǒng)、風(fēng)險(xiǎn)評(píng)估依靠于脆弱性分析軟件，系統(tǒng)加固和漏洞修補(bǔ)要求網(wǎng)絡(luò)管理人員能夠隨時(shí)跟蹤各種操作系統(tǒng)和應(yīng)用系統(tǒng)漏洞情況及時(shí)采取必要的措施。負(fù)責(zé)管理計(jì)算機(jī)的技術(shù)人員和一般計(jì)算機(jī)使用人員，依靠一定的安全技術(shù)和手段和一些好的管理辦法，制定一些切實(shí)可用的網(wǎng)絡(luò)安全策略，來(lái)建立 XX 企業(yè)集團(tuán)信息網(wǎng)的安全管理體系。CodeRed，沖擊波以及 Mydoom 就是典型導(dǎo)致網(wǎng)絡(luò)癱瘓的病毒，能導(dǎo)致網(wǎng)絡(luò)交換機(jī)、路由器、服務(wù)器嚴(yán)重過(guò)載癱瘓。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是 Windows 還是其它任何商用 UNIX 操作系統(tǒng)以及其它廠商開(kāi)發(fā)的應(yīng)用系統(tǒng)，其開(kāi)發(fā)廠商必然有其 BackDoor。對(duì)于網(wǎng)絡(luò)中沒(méi)有訪問(wèn)其他網(wǎng)段主機(jī)權(quán)限的用戶來(lái)說(shuō)，當(dāng)要對(duì)其他網(wǎng)段上主機(jī)發(fā)動(dòng)攻擊時(shí)，其情況類似于外部網(wǎng)絡(luò)的攻擊。而且 XX 企業(yè)的網(wǎng)絡(luò)很龐大，覆蓋面積廣，內(nèi)部人員復(fù)雜，不同的網(wǎng)絡(luò)區(qū)域?qū)τ趦?nèi)網(wǎng)的應(yīng)用系統(tǒng)都會(huì)構(gòu)成安全威脅。? 惡意攻擊：入侵者通過(guò)發(fā)送大量 PING 包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓? 在 Inter 上爆發(fā)網(wǎng)絡(luò)蠕蟲(chóng)病毒的時(shí)候，如果內(nèi)網(wǎng)的邊界處沒(méi)有訪問(wèn)控制設(shè)備對(duì)蠕蟲(chóng)病毒在第一時(shí)間進(jìn)行隔離，那么蠕蟲(chóng)的攻擊將會(huì)對(duì)網(wǎng)絡(luò)造成致命的影響。 XX 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及威脅分析XX 企業(yè)集團(tuán)現(xiàn)有信息網(wǎng)絡(luò)覆蓋 10 平方公里之內(nèi)的各個(gè)下屬鋼鐵企業(yè)、附屬機(jī)構(gòu)和分布在異地的遠(yuǎn)程分支機(jī)構(gòu)。9 / 34系統(tǒng)單元安全模型其中，安全政策是制定安全方案和各項(xiàng)管理制度的依據(jù)，安全政策是有一定的生命周期的，一般要經(jīng)歷風(fēng)險(xiǎn)分析、安全政策制定、安全方案和管理制度的實(shí)施、安全審計(jì)和后評(píng)估、四個(gè)階段。從這一模型可以得出如下結(jié)論：對(duì)資源的訪問(wèn)控制是安全保密的核心，而對(duì)實(shí)體的（用戶、主機(jī)、服務(wù)）認(rèn)證是訪問(wèn)控制的前提。協(xié)議層次的劃分參照 TCP／IP 協(xié)議的分層模型。機(jī)制、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合，從社會(huì)系統(tǒng)工程的角度綜合考慮。評(píng)估網(wǎng)絡(luò)及主要的服務(wù)器、明確應(yīng)用存在哪些漏洞及其補(bǔ)救措施，當(dāng)前發(fā)現(xiàn)的所有漏洞得到彌補(bǔ)，不能彌補(bǔ)的要有應(yīng)急措施預(yù)案；各種系統(tǒng)具備完