【正文】 國(guó)每年因網(wǎng)絡(luò)信息安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全球平均每20秒鐘就發(fā)生一起網(wǎng)絡(luò)計(jì)算機(jī)侵入事件。根據(jù)**集團(tuán)網(wǎng)絡(luò)信息系統(tǒng)的安全現(xiàn)狀和基本安全構(gòu)想，設(shè)計(jì)了以下網(wǎng)絡(luò)信息安全建議方案，以此來(lái)保障**集團(tuán)網(wǎng)絡(luò)信息系統(tǒng)的有效運(yùn)維和信息資源的安全性、可用性和完整性（CIA屬性）。主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；l 主機(jī)、可管理的網(wǎng)絡(luò)設(shè)備等包含可設(shè)置的“軟件”的資產(chǎn)的安全弱點(diǎn)（這些弱點(diǎn)的原因可能是軟件缺陷，也可能是配置不當(dāng)或者人員使用不當(dāng)）；l 保存在數(shù)據(jù)介質(zhì)中的業(yè)務(wù)數(shù)據(jù)、數(shù)字化的業(yè)務(wù)相關(guān)信息與知識(shí)的安全弱點(diǎn)。 區(qū)域邊界/外部連接的被動(dòng)攻擊威脅截取末受保護(hù)的網(wǎng)絡(luò)信息；流量分析攻擊；遠(yuǎn)程接入連接。 對(duì)信息系統(tǒng)及數(shù)據(jù)主動(dòng)攻擊威脅試圖阻斷或攻破保護(hù)機(jī)制(內(nèi)網(wǎng)或外網(wǎng))；偷竊或篡改信息；利用社會(huì)工程攻擊欺騙合法用戶(如匿名詢問(wèn)合法用戶賬號(hào))；偽裝成合法用戶和服務(wù)器進(jìn)行攻擊；IP地址欺騙攻擊；拒絕服務(wù)攻擊；利用協(xié)議和基礎(chǔ)設(shè)施的安全漏洞進(jìn)行攻擊；利用遠(yuǎn)程接入用戶對(duì)內(nèi)網(wǎng)進(jìn)行攻擊；建立非授權(quán)的網(wǎng)絡(luò)連接；監(jiān)測(cè)遠(yuǎn)程用戶鏈路、修改傳輸數(shù)據(jù)；解讀未加密或弱加密的傳輸信息；惡意代碼和病毒攻擊。1. 傳播的形式復(fù)雜多樣計(jì)算機(jī)病毒在網(wǎng)絡(luò)上一般是通過(guò)“工作站服務(wù)器工作站”的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣，通過(guò)網(wǎng)絡(luò)共享、服務(wù)漏洞、電子郵件等多種方式進(jìn)行傳播。 多數(shù)業(yè)務(wù)網(wǎng)段間僅采用VLAN隔離，存在較大風(fēng)險(xiǎn)；216。 安全需求分析根據(jù)**集團(tuán)信息系統(tǒng)的現(xiàn)狀以及風(fēng)險(xiǎn)分析，我們認(rèn)為**集團(tuán)信息系統(tǒng)應(yīng)著重解決如下安全需求：. 邊界訪問(wèn)控制需求分析 **集團(tuán)信息系統(tǒng)的邊界之內(nèi)包含多個(gè)局域網(wǎng)以及計(jì)算資源組件。. 防病毒需求分析防病毒必須立足于系統(tǒng)全網(wǎng)的角度，除了在終端部署放病毒產(chǎn)品控制病毒對(duì)終端的破壞，更應(yīng)該在網(wǎng)絡(luò)中部署安全產(chǎn)品，控制病毒的傳播。一方面可能會(huì)導(dǎo)致本機(jī)機(jī)密資料的泄漏，另一方面會(huì)導(dǎo)致一些網(wǎng)絡(luò)服務(wù)的中止。 病毒的實(shí)時(shí)檢測(cè)更困難眾所周知，對(duì)待病毒應(yīng)以預(yù)防為主，如果發(fā)生了病毒感染，往往就已經(jīng)造成了不可挽回的損失，因此對(duì)網(wǎng)上傳輸?shù)奈募M(jìn)行實(shí)時(shí)病毒檢測(cè)成了亟待解決的重要問(wèn)題。對(duì)于**集團(tuán)業(yè)務(wù)、辦公信息等敏感內(nèi)容，將帶來(lái)較大的危害性。. 反垃圾郵件的需求郵件應(yīng)用是互聯(lián)網(wǎng)上最基本的網(wǎng)絡(luò)應(yīng)用，但由于互聯(lián)網(wǎng)的開(kāi)放性，垃圾郵件的問(wèn)題也同樣突出，并日漸成為用戶的夢(mèng)魘。不能管理內(nèi)部PC通過(guò)這些接口上網(wǎng)，就類似在防火墻的城堡下，存在很多沒(méi)有安全警衛(wèi)的后門、小道，內(nèi)部?jī)?nèi)部網(wǎng)絡(luò)的安全性無(wú)法保障。但隨著終端的邊界化，只有站在網(wǎng)關(guān)的視點(diǎn)來(lái)看待終端安全，才能確保內(nèi)網(wǎng)的真正安全。216。216。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級(jí)、使用的對(duì)象、面對(duì)的威脅和風(fēng)險(xiǎn)各不相同。4. 中心服務(wù)域：所有的業(yè)務(wù)生產(chǎn)系統(tǒng)的服務(wù)器都放置在這個(gè)區(qū)域。中心辦公域：合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。防垃圾郵件：防止郵件炸彈攻擊，對(duì)垃圾郵件進(jìn)行過(guò)濾，提升工作效率。抗拒絕服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。上網(wǎng)行為管理：對(duì)IM應(yīng)用進(jìn)行管理和控制，對(duì)P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。天清漢馬USG一體化安全網(wǎng)關(guān)采用了一體化的設(shè)計(jì)方案，在一個(gè)產(chǎn)品中協(xié)調(diào)統(tǒng)一地實(shí)現(xiàn)了接入安全需要考慮的方方面面，采用天清漢馬USG一體化安全網(wǎng)關(guān)，可以從整體上解決了接入安全的問(wèn)題。 文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫(kù)總計(jì)＞16萬(wàn)，并提供動(dòng)態(tài)更新178。 豐富的手段：支持IPSec VPN、SSL VPN、L2TP和GRE178。 網(wǎng)絡(luò)游戲控制：對(duì)常見(jiàn)網(wǎng)絡(luò)游戲如魔獸世界、征途、游戲大廳、聯(lián)眾游戲大廳等的阻斷178。 報(bào)表貼近需求：根據(jù)用戶具體需求，定制報(bào)表內(nèi)容、定制報(bào)名名稱、定制企業(yè)LOGO，并可形成多種格式的報(bào)表文件。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試時(shí)，入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。入侵檢測(cè)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。 系統(tǒng)功能通過(guò)使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，我們可以做到：l 全面的入侵檢測(cè)入侵檢測(cè)能力取決于兩個(gè)方面的技術(shù)：攻擊特征分析技術(shù)和入侵檢測(cè)支撐技術(shù)。防火墻作為網(wǎng)絡(luò)系統(tǒng)的專用的安全防護(hù)工具，其防護(hù)能力與入侵檢測(cè)產(chǎn)品的響應(yīng)能力可以相互補(bǔ)充。具有這幾項(xiàng)技術(shù)的支撐是具有龐大的知識(shí)庫(kù)，能夠進(jìn)行入侵管理。入侵檢測(cè)系統(tǒng)與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等安全產(chǎn)品均可實(shí)現(xiàn)聯(lián)動(dòng)，這些聯(lián)動(dòng)本身就是應(yīng)急響應(yīng)的一個(gè)組成部分，使得以前相互獨(dú)立、需要在不同的時(shí)間段內(nèi)完成的入侵檢測(cè)和應(yīng)急響應(yīng)兩個(gè)階段有機(jī)地融為一體。l 與網(wǎng)管系統(tǒng)結(jié)合安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺(tái)將預(yù)警事件分級(jí)、分類、自動(dòng)上報(bào)給網(wǎng)管系統(tǒng)，供網(wǎng)絡(luò)管理員做全局安全事件分析。 用戶可以自定義所關(guān)注的敏感信息，加強(qiáng)內(nèi)外部信息的審查，如商業(yè)機(jī)密，反動(dòng)、黃色、暴力等信息。. 脆弱性掃描系統(tǒng)設(shè)計(jì)（漏洞掃描）網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，而網(wǎng)絡(luò)不可避免的安全問(wèn)題也就越來(lái)越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對(duì)于系統(tǒng)的威脅同樣很嚴(yán)重。 系統(tǒng)功能n 可以動(dòng)態(tài)地分析目標(biāo)系統(tǒng)的安全脆弱性根據(jù)不同的對(duì)象類型，自動(dòng)尋找匹配的掃描策略進(jìn)行下一步的分析掃描。. 網(wǎng)絡(luò)信息安全審計(jì)系統(tǒng)設(shè)計(jì)來(lái)自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進(jìn)行的，這些威脅事件多數(shù)是來(lái)自于內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對(duì)這些網(wǎng)絡(luò)信息安全事件的審計(jì)要求，網(wǎng)絡(luò)信息安全審計(jì)系統(tǒng)正是在這樣的安全審計(jì)需求下產(chǎn)生的。具備合理的定位和管理措施，清晰直觀的監(jiān)控記錄和靈活多樣的數(shù)據(jù)統(tǒng)計(jì)報(bào)表，是互聯(lián)網(wǎng)訪問(wèn)控制審計(jì)類產(chǎn)品的一項(xiàng)重要功能。另外，通過(guò)對(duì)安全事件的不斷收集與積累并且加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以便對(duì)發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。據(jù)統(tǒng)計(jì)結(jié)果表明，80%的安全事件來(lái)自與網(wǎng)絡(luò)內(nèi)部，而只有20%的安全事件來(lái)自于外部。l 如何對(duì)軟件進(jìn)行分發(fā)安裝，以大幅度減少網(wǎng)管的工作量。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理和審計(jì)系統(tǒng)支持分布式多服務(wù)器架構(gòu)，集中管理全球范圍內(nèi)的任意多個(gè)策略服務(wù)器，分布式多服務(wù)器架構(gòu)使天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理和審計(jì)系統(tǒng)具有優(yōu)秀的容錯(cuò)性、可伸縮性。 各種軟件自動(dòng)分發(fā)功能，腳本定制開(kāi)發(fā)； 大型網(wǎng)絡(luò)系統(tǒng)中區(qū)域結(jié)構(gòu)復(fù)雜，不能明確劃分管理責(zé)任范圍，進(jìn)行多用戶管理； 網(wǎng)絡(luò)中計(jì)算機(jī)設(shè)備硬件設(shè)備繁多，不能做到精確統(tǒng)計(jì)，實(shí)現(xiàn)節(jié)點(diǎn)桌面控制；1 控制用戶隨意使用各種USB移動(dòng)設(shè)備而導(dǎo)致的機(jī)密文件外漏。SMC：安全運(yùn)營(yíng)中心，安全運(yùn)營(yíng)中心以B/S/D三層架構(gòu)實(shí)現(xiàn)監(jiān)控、管理、響應(yīng)、報(bào)表等功能；DAC：數(shù)據(jù)分析中心，其以后臺(tái)服務(wù)方式實(shí)現(xiàn)綜合分析、關(guān)聯(lián)分析、資產(chǎn)發(fā)現(xiàn)、脆弱性信息采集分析等數(shù)據(jù)分析處理功能；VSIMS：安全信息管理系統(tǒng)，它完成了安全信息的采集、過(guò)濾、聚并、入庫(kù)等功能。清晰展示業(yè)務(wù)域與資產(chǎn)的關(guān)系詳細(xì)請(qǐng)參考“業(yè)務(wù)域管理”中相關(guān)內(nèi)容。圖10. 工單管理 多種關(guān)聯(lián)分析方法漏洞關(guān)聯(lián)分析漏洞關(guān)聯(lián)的目的在于要識(shí)別出假肯定警報(bào)，同時(shí)為那些尚未確定是否為假肯定或假警報(bào)的事件分配一個(gè)置信等級(jí)。提供了跟HP OpenView網(wǎng)管系統(tǒng)接口，從網(wǎng)管系統(tǒng)獲取事件信息、資產(chǎn)狀態(tài)信息和網(wǎng)絡(luò)拓樸信息，傳遞給資產(chǎn)管理模塊。處置預(yù)案管理分別為病毒木馬、系統(tǒng)狀態(tài)、掃描探測(cè)、拒絕服務(wù)、規(guī)避、認(rèn)證授權(quán)、應(yīng)用漏洞和非授權(quán)訪問(wèn)等8種處置預(yù)案。我公司服務(wù)支持中心的組織結(jié)構(gòu)如下圖所示：“服務(wù)支持中心”是由公司最高領(lǐng)導(dǎo)層直接領(lǐng)導(dǎo)的一個(gè)獨(dú)立部門，服務(wù)總監(jiān)、秘書、值班人員等專職人員，以及實(shí)施人員、研發(fā)中心的研究/開(kāi)發(fā)工程師和攻防實(shí)驗(yàn)室技術(shù)人員、技術(shù)支持部的安全技術(shù)專家組成了服務(wù)支持隊(duì)伍。技術(shù)后援人員：由研發(fā)中心的研究/開(kāi)發(fā)工程師、攻防實(shí)驗(yàn)室人員和技術(shù)支持部的安全技術(shù)專家共同組成，負(fù)責(zé)“中心”的各項(xiàng)技術(shù)服務(wù)工作。在保修期內(nèi)發(fā)現(xiàn)本項(xiàng)目硬件產(chǎn)品無(wú)法正常使用，可以向我提出維修要求。加入“信息快遞與通告”服務(wù)，您將及時(shí)準(zhǔn)確地獲得第一手的網(wǎng)絡(luò)信息安全信息和適合您網(wǎng)絡(luò)環(huán)境的安全建議。. 相關(guān)培訓(xùn)CISP（注冊(cè)信息安全專家）培訓(xùn)CISP（包括CISE和CISO）培訓(xùn)培訓(xùn)人數(shù)2人培訓(xùn)時(shí)間系統(tǒng)驗(yàn)收并上線運(yùn)行之后培訓(xùn)天數(shù)11天課程深度高級(jí)培訓(xùn)地點(diǎn)日期課 程 內(nèi) 容授課教師 第1天上午信息安全管理體系下午安全標(biāo)準(zhǔn)、物理安全第2天上午Windows安全配置與管理下午風(fēng)險(xiǎn)評(píng)估第3天上午信息安全保障體系下午信息安全模型第4天上午Unix安全配置和管理下午業(yè)務(wù)連續(xù)性計(jì)劃/災(zāi)難備份與恢復(fù)第5天上午防火墻技術(shù)下午入侵檢測(cè)技術(shù)第6天上午密碼學(xué)技術(shù)下午密碼學(xué)應(yīng)用—PKI、CA與VPN第7天全天休息第8天上午安全攻防和演示下午惡意代碼、安全編程第9天上午應(yīng)急響應(yīng)下午安全工程、法律法規(guī)第10天上午數(shù)據(jù)庫(kù)安全下午測(cè)評(píng)認(rèn)證技術(shù)、考前輔導(dǎo)第11天考試50。 支持時(shí)間 正常工作時(shí)間段 ：國(guó)家法定正常上班時(shí)間：周一至周五 9:0017:30 非正常工作時(shí)間段 ：國(guó)家法定非正常上班時(shí)間：周一至周五 9:0017:30 之外的時(shí)間 國(guó)家法定節(jié)假日 ：國(guó)家法定節(jié)假日：周末（雙休）、五一、十一、春節(jié) . 產(chǎn)品故障級(jí)別及解決時(shí)限 產(chǎn)品故障解決時(shí)限表 產(chǎn)品故障級(jí)別解決時(shí)限承諾及人員安排第一級(jí)：重大的系統(tǒng)故障 124 小時(shí)內(nèi)服務(wù)主管、技術(shù)專項(xiàng)工程師第二級(jí)：嚴(yán)重的系統(tǒng)故障136 小時(shí)內(nèi)服務(wù)主管、技術(shù)專項(xiàng)工程師第三級(jí)：一般系統(tǒng)故障148 小時(shí)內(nèi)技術(shù)專項(xiàng)工程師第四級(jí)：某些功能不會(huì)使用或操作問(wèn)題17 天編寫說(shuō)明書，或遠(yuǎn)程指導(dǎo)第五級(jí)：增加新功能13 個(gè)月或不能提供雙方協(xié)商注：解決時(shí)限將視用戶距離我公司支持機(jī)構(gòu)遠(yuǎn)近而略有差別。 事件庫(kù)更新服務(wù)服務(wù)方式：Email網(wǎng)站下載光盤速遞最新的事件升級(jí)及時(shí)通知人服務(wù)周期：平均兩周一次；在有重大危害事件的情況下，電話或通知即時(shí)更新。我公司一向重視對(duì)產(chǎn)品的本地化的技術(shù)支持和服務(wù)，目前已經(jīng)在北京、上海、武漢、杭州、南京、深圳、廣州、福州、濟(jì)南、成都、沈陽(yáng)、西安、鄭州等地成立了分公司和辦事處，并建有本地化的技術(shù)支持中心，負(fù)責(zé)本地及周邊地區(qū)的技術(shù)支持。事務(wù)秘書：負(fù)責(zé)編制值班日程表及通知值班人員。 售后服務(wù)與培訓(xùn) . 售后服務(wù) 技術(shù)支持隊(duì)伍我公司的安全工程部是一個(gè)有著大型安全項(xiàng)目（包括大型涉密項(xiàng)目）實(shí)施經(jīng)驗(yàn)的團(tuán)隊(duì)，目前有三十多人的售后施工人員。如下圖所示：圖13. 資產(chǎn)拓?fù)涮峁┝烁鶰apInfo地理信息系統(tǒng)的接口，可以將資產(chǎn)域的地理信息應(yīng)用在綜合顯示模塊中。詳細(xì)請(qǐng)參考“漏洞關(guān)聯(lián)分析”中相關(guān)內(nèi)容。通過(guò)事件監(jiān)控模塊監(jiān)控網(wǎng)絡(luò)各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件日志信息等，及時(shí)發(fā)現(xiàn)已經(jīng)發(fā)生和正在發(fā)生的安全事件，通過(guò)響應(yīng)管理模塊采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行，實(shí)時(shí)將其結(jié)果輸入綜合分析決策支持與預(yù)警平臺(tái)。安全運(yùn)營(yíng)中心按照三層軟件架構(gòu)體系設(shè)計(jì)，如下圖所示：圖3. 泰合信息安全運(yùn)營(yíng)中心三層體系結(jié)構(gòu)通過(guò)部署和實(shí)施泰合安全運(yùn)營(yíng)中心可以達(dá)到和實(shí)現(xiàn)如下效果： 面向業(yè)務(wù)的資產(chǎn)與風(fēng)險(xiǎn)管理是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估的基礎(chǔ)，域的分類是抗?jié)B透的防護(hù)方式，是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依據(jù)，而域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，防止影響的擴(kuò)散，因此，域管理的好壞直接影響到系統(tǒng)安全評(píng)估與監(jiān)控性能的好壞，并直接影響到監(jiān)管系統(tǒng)的健壯性。 準(zhǔn)入控制網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入動(dòng)態(tài)VLAN外來(lái)電腦管理資產(chǎn)管理軟件分發(fā)補(bǔ)丁管理外設(shè)管理移動(dòng)存儲(chǔ)設(shè)備管理終端審計(jì)進(jìn)程管理HOD遠(yuǎn)程桌面終端快速定位216。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理和審計(jì)系統(tǒng)客戶端是模塊化的組件，支持多種模塊化的組件，以滿足用戶以一個(gè)客戶端完成多種安全或管理的需求。l 如何構(gòu)架功能強(qiáng)大的網(wǎng)絡(luò)客戶端綜合安全報(bào)警平臺(tái)。由于大型網(wǎng)絡(luò)一般結(jié)構(gòu)較為復(fù)雜，用戶使用水平參差不齊，而網(wǎng)絡(luò)管理人員編制有限，往往難以面對(duì)數(shù)量重大的客戶端事件，例如：l 缺少有效手段對(duì)客戶端聯(lián)網(wǎng)行為進(jìn)行監(jiān)控，對(duì)客戶端違規(guī)聯(lián)網(wǎng)的現(xiàn)象