【正文】 ..............................................................................26 防火墻子系統(tǒng)規(guī)劃 ...........................................................................................................27 入侵檢測子系統(tǒng)規(guī)劃 .......................................................................................................30 安全隔離子系統(tǒng)規(guī)劃 .......................................................................................................36 病毒防護(hù)規(guī)劃 ...................................................................................................................40 安全產(chǎn)品選型 ..........................................................................................................................42 防火墻產(chǎn)品選型 ...............................................................................................................42 入侵檢測產(chǎn)品選型 ...........................................................................................................44 安全隔離產(chǎn)品選型 ...........................................................................................................47 病毒防護(hù)產(chǎn)品選型 ...........................................................................................................48 SAV 主要功能、特點(diǎn) ...................................................................................................................48 建立防病毒系統(tǒng)主要考慮內(nèi)容 ...................................................................................................51 MCAFEE 公司防病毒產(chǎn)品介紹 ........................................................................................................51 主要功能： .......................................................................................................................52 集中管理的防病毒管理體系 .......................................................................................................54 防病毒管理系統(tǒng)的主要特點(diǎn)及功能 ...........................................................................................54 強(qiáng)大的廣域網(wǎng)管理能力 ...............................................................................................................54 防病毒軟件的管理： ...................................................................................................................56 配置和集中管理 ..............................................................................................................................56 任務(wù)調(diào)度和執(zhí)行 ..............................................................................................................................57 病毒自動更新和升級 ......................................................................................................................57 小結(jié) ..................................................................................................................................................59 產(chǎn)品清單 ...........................................................................................................................60 1 網(wǎng)絡(luò)安全方案摘要 網(wǎng)絡(luò)安全方案描述 眾所周知，網(wǎng)絡(luò)為人們提 供了極大的便利。 拒絕服務(wù)攻擊 —— 攻擊者的目的是阻止合法用戶對資源的訪問。網(wǎng)絡(luò)安全包括兩層內(nèi)容：其一是網(wǎng)絡(luò)資源的安全性，其二是數(shù)據(jù)交換的安全性。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計(jì)算機(jī)系統(tǒng)通過無線電輻射泄露秘密信息等。 網(wǎng)絡(luò)安全不僅來自外部網(wǎng)絡(luò)，同樣存在于內(nèi)部網(wǎng)，而且來自內(nèi)部的攻擊更嚴(yán)重、更難防范。 管理層安全－ 再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實(shí)現(xiàn)，因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個(gè)比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。在物理層次的安全主要依靠物理線路的可靠保障、維護(hù)等措施防護(hù)，對于不同安 全級別網(wǎng)絡(luò)區(qū)域，可以采用網(wǎng)閘設(shè)備實(shí)現(xiàn)信息擺渡，同樣網(wǎng)閘設(shè)備也可以使攻擊者無法通過系統(tǒng)漏洞攻擊受保護(hù)的服務(wù)器。 安全防御是通過防火墻來進(jìn)行安全訪問控制，防火墻是在內(nèi)部可信任設(shè)施和外部非信任網(wǎng)絡(luò)之間的屏障，防火墻 的設(shè)計(jì)的原則是：只信任內(nèi)部網(wǎng)絡(luò)，對一切來自外部 /去往外部的流量進(jìn)行監(jiān)控。 此外，應(yīng)用邏輯層的另一個(gè)主要作用是與數(shù)據(jù)層交換數(shù)據(jù)。其次，信任模式已被發(fā)現(xiàn)，并找到了一個(gè)被目標(biāo)主機(jī)信任的主機(jī)。一旦口令泄密路由器將失去所有的保護(hù)能力。一般來講，網(wǎng)絡(luò)服務(wù)器所面臨的安全問題包括： ? 維護(hù)存儲在服務(wù)器上信息的機(jī)密性。由于使用地方政務(wù)網(wǎng)這樣的第三方不可信任網(wǎng)絡(luò)，攻擊者能夠通過線路偵聽等方式，獲取傳輸?shù)男畔?nèi)容，造成信息泄露；或通過開放 環(huán)境中的路由或交換設(shè)備，非法截取通信信息； ? 篡改、刪減傳輸信息：攻擊者在得到報(bào)文內(nèi)容后，即可對報(bào)文內(nèi)容進(jìn)行修改，造成收信者的錯(cuò)誤理解。具體而言，軟件是安裝在服務(wù)器、工作站等硬件之上的，所以軟件資產(chǎn)的安全威脅和脆弱性也就必然要包括這些硬件所受的技術(shù)故障、人員錯(cuò)誤以及物理和環(huán)境的威脅和脆弱性。缺省安裝的 UNIX 操作系統(tǒng)（以 HP UNIX 為例）會存在以下安全漏洞： ? FINGER（泄露系統(tǒng)信息） ? 各類 RPC（存在大量的遠(yuǎn)程緩沖區(qū)溢出、泄露系統(tǒng)信息） ? SENDMAIL（許多安全漏洞、垃圾郵件轉(zhuǎn)發(fā)等） ? NAMED（遠(yuǎn)程緩沖區(qū)溢出、拒絕服務(wù)攻擊等） ? SNMP（泄露系統(tǒng)信息） ? 操作系統(tǒng)內(nèi)核中的網(wǎng)絡(luò)參數(shù)存在許多安全隱患（ IP 轉(zhuǎn)發(fā)、堆棧參數(shù)等） ? 存在各種緩沖區(qū)溢出漏洞 ? 存在其它方面的安全漏洞 微軟操作系統(tǒng)安全漏洞 Windows NT/2020/XP 的安全漏洞 Windows NT/2020/XP 操作系統(tǒng)由于其簡單明了的圖形化操作界面，以及逐漸提高的系統(tǒng)穩(wěn)定性等因素，正逐步成為主要的網(wǎng)絡(luò)操作系統(tǒng)，并且在 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 中占有重要地位。數(shù)據(jù)完整性和合法存取會受到很多方面的安全威脅，包括對數(shù)據(jù)庫中信息的竊取、篡改和破壞，計(jì)算機(jī)病毒、特洛伊木馬等對數(shù)據(jù)庫系統(tǒng)的滲透、攻擊，系統(tǒng)后門以及本身的安全缺陷等。 ? 蓄意的侵犯或敵意的攻擊。 ? 信息的非正常的擴(kuò)散 —— 泄密。 網(wǎng)絡(luò)邊界防護(hù)邏輯示意圖 根據(jù) 榆林市政府應(yīng)急中心 的具體情況，并結(jié)合用戶的需求，在本技術(shù)方案中，我們將在互聯(lián)網(wǎng)和 榆林市政府應(yīng)急中心 網(wǎng)絡(luò)之間采取邏輯隔離技術(shù)，即使用防火墻和入侵檢測系統(tǒng)；而在榆林市政府應(yīng)急中心辦公 內(nèi)網(wǎng)和 涉密內(nèi)網(wǎng) 之間采用物理隔離技術(shù)，即采用安全隔離網(wǎng)閘來實(shí)現(xiàn)榆林市政府應(yīng)急中心 網(wǎng)絡(luò)和 榆林市政府應(yīng)急中心 數(shù) 據(jù)中心之間的安全數(shù)據(jù)交換。 ? 日志記錄與審計(jì) 當(dāng)防火墻系統(tǒng)被配置為工作在不同安全域之間的關(guān)鍵節(jié)點(diǎn)時(shí)，防火墻系統(tǒng)就能夠?qū)Σ煌踩蛑g的訪問請求做出日志記錄。 ? 身份認(rèn)證 防火墻本身必須支持身份認(rèn)證的功能，在簡單的地方可以實(shí)現(xiàn)防火墻本身自帶數(shù)據(jù)庫的身份認(rèn)證，在大型的情況下，可以支持與 RADIUS 等認(rèn)證服務(wù)器的結(jié)合使用。當(dāng)外網(wǎng)需要向內(nèi)網(wǎng)傳遞數(shù)據(jù)時(shí)（反之也亦然），數(shù)據(jù)首先被傳遞到外網(wǎng)主機(jī)模塊，然后在系統(tǒng)內(nèi)被送往安全通道；安全通道采用“信息擺渡”技術(shù)，使信息能夠從外網(wǎng)主機(jī)模塊“擺渡”到和內(nèi)網(wǎng)主機(jī)模塊，進(jìn)一步被傳遞到內(nèi)網(wǎng)。 入侵檢測 需求 利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了 網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)，但是入侵者可尋找防火墻背后可能敞開的后門，或者入侵者也可能就在防火墻內(nèi)。防 火墻在進(jìn)行邊界防護(hù)方面，其局限性主要體現(xiàn)在以下幾個(gè)方面： ? 防火墻無法探測及完全防御流行的拒絕服務(wù)攻擊 (DoS/DDoS)及尼姆達(dá) (Nimda)病毒等的攻擊。 ? 日志審計(jì)要求 系統(tǒng)能對入侵警報(bào)信息分類過濾、進(jìn)行統(tǒng)計(jì)或生成報(bào)表。 ? 服務(wù)要求 入侵檢測系統(tǒng)必須提供全面的服務(wù)，入侵特征庫的升級必須要及時(shí)，并且要提供對入侵檢測報(bào)表的分析幫助。 計(jì)算機(jī)病毒對主機(jī) /服務(wù)器同樣會造成極大的破壞，尤其是 Windows 2020 和 NT 服務(wù)器更容易感染病毒，病毒感染方式的多樣性、攻擊方式的復(fù)雜性和網(wǎng)絡(luò)交叉?zhèn)鞑サ奶匦远际怪鳈C(jī) /服務(wù)器時(shí)刻都面臨安全威脅。這種網(wǎng)關(guān)的一個(gè)例子就是通常所說的防火墻。 防火墻安全解決方案 安全域劃分的原則 榆林市政府應(yīng)急中心 系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)安全域的設(shè)計(jì)主要遵循以下設(shè)計(jì)原則： （ 1） 明確網(wǎng)絡(luò)資源 事實(shí)上我們不能確定誰會來攻擊系統(tǒng)，所以在制訂安全策略 和框架 之初應(yīng)當(dāng)充分了解 部門的內(nèi)部構(gòu)架，了解要保護(hù)什么，需要什么樣的訪問，以及如何協(xié)調(diào)所有的網(wǎng)絡(luò)資源和訪問。 （ 6） 實(shí)現(xiàn)深層次的安全 對系統(tǒng)的任何改動都可能會影響安全，因此系統(tǒng)管理員、程序員和用戶需要充分考慮變動將會造成的附帶影響。 入侵檢測子系統(tǒng)規(guī)劃 設(shè)計(jì)目標(biāo) 入侵檢測系統(tǒng)是控制黑客最有效的手段之一，包括監(jiān)測和預(yù)警兩大功能，它也是對防火墻功能的合理補(bǔ)充，是防范網(wǎng)絡(luò)攻擊的又一道防線。即能夠自動響應(yīng)網(wǎng)絡(luò)安全事件，包 括控制臺報(bào)警；記錄網(wǎng)絡(luò)安全事件的詳細(xì)信息，并提示系統(tǒng)安全管理員采取一定的安全措施；實(shí)時(shí)阻斷連接； 支持多對多的控制臺與探測器連接方式； 支持手動在線、離線升級、自定義自動升級等升級方式； 1檢測速率不小于 1000M； 1能夠與防火墻形成聯(lián)動； 選型建議 根據(jù)專網(wǎng)安全需求及設(shè)計(jì)方案，我們推薦使用基于網(wǎng)絡(luò)的入侵檢測及響應(yīng)系統(tǒng)（ NIDS）。 ? 多 個(gè)控制臺 和多 個(gè)探測器的 連接 。有效降低了漏報(bào)誤報(bào)率，提供了高可用性的告警信息。 ? 支持 PUMA 協(xié)議，具有高擴(kuò)展性。對系 統(tǒng)自身的安全規(guī)則，可以根據(jù)需要修改告警級別，響應(yīng)方式等內(nèi)容。提供備份文件信息記錄和顯示功能，防止備份文件的丟失。 支持主動（ Active）和被動（ Passive）連接模式，在跨網(wǎng)段和跨防火墻的復(fù)雜網(wǎng)絡(luò)中靈活部署。 最初的解 決方案很簡單，通過人為的干預(yù)來實(shí)現(xiàn)。要求高的用戶還會在數(shù)據(jù)轉(zhuǎn)移到目標(biāo)網(wǎng)絡(luò)前將其進(jìn)行殺毒處理。 安全隔離子系統(tǒng)規(guī)劃 在信息化的建設(shè)過程中，為