【正文】 ..... 14 XX企業(yè)安全需求 ...................................................................................................................................... 14 防病毒體系需求 ............................................................................................................................... 14 強(qiáng)制性網(wǎng)管軟件需求 ...................................................................................................................... 15 防火墻需求 ........................................................................................................................................ 15 過(guò)濾網(wǎng)關(guān)需求 .................................................................................................................................... 16 入侵檢測(cè)需求 .................................................................................................................................... 16 漏洞掃描需求 .................................................................................................................................... 16 安裝需求 ............................................................................................................................................ 16 第四章 信息網(wǎng)絡(luò)的安全方案設(shè)計(jì) .................................................................................................................. 17 安全管理 ...................................................................................................................................................... 17 安全防護(hù) ...................................................................................................................................................... 17 安全監(jiān)測(cè) ...................................................................................................................................................... 17 病毒防護(hù) ...................................................................................................................................................... 18 安全服務(wù) ...................................................................................................................................................... 18 第五章 XX 企業(yè)網(wǎng)絡(luò)安全項(xiàng)目解決方案 ...................................................................................................... 19 XX企業(yè)防火墻解決方案 ......................................................................................................................... 19 XX 企業(yè)防火墻的部署 ..................................................................................................................... 19 XX 企業(yè)防火墻的作用 ..................................................................................................................... 23 XX企業(yè)入侵檢測(cè)方案 ............................................................................................................................. 24 XX企業(yè)漏洞掃描解決方案 ..................................................................................................................... 26 XX企業(yè) 防病毒解決方案 ......................................................................................................................... 27 網(wǎng)絡(luò)版防病毒解決方案 .................................................................................................................. 27 網(wǎng)關(guān)防病毒解決方案 ...................................................................................................................... 28 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 II 總機(jī)： 01082611122 網(wǎng)址： XX企業(yè)安全管理系統(tǒng)解決方案 ............................................................................................................ 29 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 3 總機(jī)： 01082611122 網(wǎng)址： 第一章 前言 背景 隨著近年來(lái)網(wǎng)絡(luò)安全事件不斷地發(fā)生，安全問(wèn)題也已成為 IT 業(yè)的一個(gè)熱點(diǎn)，安全問(wèn)題對(duì)于 XX 企業(yè)的發(fā)展也越來(lái)越重要 。對(duì)這些違反規(guī)定的機(jī)器要有相應(yīng)的日志，并可以進(jìn)行阻斷； 對(duì)本公司內(nèi)的生產(chǎn)子網(wǎng)要做好安全隔離，即使 XX 企業(yè)主干網(wǎng)上有病毒在傳播但不能傳到該子網(wǎng)中去，該子網(wǎng)只保留一些必要的數(shù)據(jù)通訊端口與主干網(wǎng)絡(luò)通訊，其他端口必須屏蔽掉。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 6 總機(jī)： 01082611122 網(wǎng)址： ● 綜合治理 XX 企業(yè)信息系統(tǒng)的安全建設(shè)是一個(gè)系統(tǒng)工程，信息網(wǎng)絡(luò)的安全同樣也絕不僅僅是一個(gè)技術(shù)問(wèn)題，各 種安全技術(shù)應(yīng)該與運(yùn)行管理。 信息網(wǎng)絡(luò)安全體系結(jié)構(gòu) 安全服務(wù)取自于國(guó)際標(biāo)準(zhǔn)化組織制訂的安全體系結(jié)構(gòu)模型 ISO7498，我們?cè)?ISO7498 的基礎(chǔ)上增加了審計(jì)功能和可用性服務(wù)。在開(kāi)放式應(yīng)用環(huán)境中，主體與客體的雙向認(rèn)證非常重要。 ● 應(yīng)用系統(tǒng)安全，為某種或多種應(yīng)用提供用戶認(rèn)證、數(shù)據(jù)保密性、完整性以及授權(quán)與訪問(wèn)控制服務(wù)等。 網(wǎng)絡(luò)安全是一個(gè)體系工程，如果把 XX 企業(yè) 網(wǎng)絡(luò)信息系統(tǒng)劃一個(gè)邊界的話，未來(lái)在廣域網(wǎng)建好之后 可能發(fā)生的安全威脅會(huì)來(lái)自各個(gè)方向、各個(gè)層面。 ? 入侵者通過(guò)網(wǎng)絡(luò)監(jiān) 聽(tīng)等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。據(jù)權(quán)威數(shù)據(jù)表明，有 97％的攻擊是來(lái)自內(nèi)部攻擊和內(nèi)外勾結(jié)的攻擊，而且內(nèi)部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來(lái)自于 外部網(wǎng)絡(luò) 的攻擊，造成的后果也嚴(yán)重的多。 ? 非法訪問(wèn)的危害 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 13 總機(jī)： 01082611122 網(wǎng)址： XX 企業(yè) 集團(tuán) 的網(wǎng)絡(luò)是 一個(gè)多應(yīng)用多連接的系統(tǒng)，雖然目前已經(jīng)存在一些常用的訪問(wèn)控制手段：所有用戶 在訪問(wèn)服務(wù)器時(shí)都必須輸入正確的用戶名和口令等， 但是這樣的網(wǎng)絡(luò)結(jié)構(gòu)利用傳統(tǒng)的網(wǎng)絡(luò)管理措施難以實(shí)現(xiàn)有效的訪問(wèn)控制。 系統(tǒng)的安全風(fēng)險(xiǎn)分析 ? 如果沒(méi)有漏洞掃描和安全評(píng)估機(jī)制，將不能及時(shí)地填補(bǔ)網(wǎng)絡(luò)漏洞 所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。 ? 網(wǎng)絡(luò)帶寬 – 高速傳播和具有網(wǎng)絡(luò)攻擊能力的病毒，能占用有限的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)癱瘓。 需求建議： XX 企業(yè)集團(tuán)信息網(wǎng)需要對(duì)全網(wǎng)所有設(shè)備和終端用戶進(jìn)行管理。對(duì)分支機(jī)構(gòu)建議采用 VPN網(wǎng)關(guān)建立隧道。究竟解決以上問(wèn)題呢？我們認(rèn)為專業(yè)的事情要交給專業(yè)的人來(lái)做。通過(guò)此設(shè)備除了進(jìn)行訪問(wèn)控制而且還與遠(yuǎn)端的分支機(jī)構(gòu)建立隧道，在遠(yuǎn)端北京分公司和北京庫(kù)房也配置了天融信的 VPN 網(wǎng)關(guān)。經(jīng)過(guò)在 XX 企業(yè) 的測(cè)試，天融信的防火墻能夠穩(wěn)定應(yīng)用在 此網(wǎng)絡(luò)結(jié)構(gòu)下。 這也滿足了標(biāo)書中要求的真正橋接的模式。通過(guò)在防火墻上配置規(guī)則，禁止 TCP/IP 數(shù)據(jù)包中的源路由選項(xiàng)，防止源路由攻擊 ； 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 24 總機(jī)： 01082611122 網(wǎng)址： ? 防止 IP 碎片攻擊： IP 碎片攻擊是指黑客把一個(gè)攻擊數(shù)據(jù)包分成多個(gè)數(shù)據(jù)據(jù)包，從而隱藏了該數(shù)據(jù)包的攻擊特征。一旦入侵被檢測(cè)到，會(huì)引發(fā)某種響應(yīng)（如斷開(kāi)攻擊者連接、通知操作員、自動(dòng)停止或減輕攻擊、跟蹤攻擊來(lái)源或適當(dāng)?shù)胤垂簦?。入侵檢測(cè)系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對(duì)攻擊者進(jìn)行懲罰，有助于上述目標(biāo)的實(shí)現(xiàn)，并對(duì)那些試圖違反安全策略的人造成威懾。首先是對(duì)系統(tǒng)或網(wǎng)絡(luò)的探測(cè)和分析，如果一個(gè)系統(tǒng)沒(méi)有配置入侵檢測(cè)，攻擊者可以自由的進(jìn)行探測(cè)而不被發(fā)現(xiàn)，這 樣很容易找到最佳攻入點(diǎn)?！?知情權(quán)是網(wǎng)絡(luò)安全的關(guān)鍵 ”，這使得入侵檢測(cè)成為其它許多安全手段，如 安全網(wǎng)管系統(tǒng)的基礎(chǔ)。我們?cè)?XX 企業(yè)網(wǎng)絡(luò)安全的項(xiàng)目中配置一臺(tái)榕基漏洞掃描系統(tǒng)。 網(wǎng)絡(luò)防病毒產(chǎn)品是一個(gè)比較基礎(chǔ)而且成熟的安全產(chǎn)品，在本方案沒(méi)有網(wǎng)絡(luò)版防病毒進(jìn)行過(guò)多描述，我們推薦 趨勢(shì)科技的網(wǎng)絡(luò)版防病毒系統(tǒng)， 覆蓋 XX 企業(yè)1000 個(gè)計(jì)算機(jī)節(jié)點(diǎn)和 30 多臺(tái)服務(wù)器 。 內(nèi)嵌的內(nèi)容過(guò)濾功能 ? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)支持 對(duì)數(shù)據(jù)內(nèi)容進(jìn)行檢查，可以采用關(guān)鍵字過(guò)濾， URL 過(guò)濾等方式來(lái)阻止非法數(shù)據(jù)進(jìn)入企業(yè)網(wǎng)絡(luò)，同時(shí)也支持對(duì) Java 等小程序進(jìn)行 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 29 總機(jī)： 01082611122 網(wǎng)址： 過(guò)濾等，防止可能的惡意代碼進(jìn)入企業(yè)網(wǎng)絡(luò)。具體在XX 企業(yè)集團(tuán)與 Inter 接口處部署天融信防病毒過(guò)濾網(wǎng)關(guān) NGFGE XX 企業(yè)安全管理系統(tǒng)解決方案 XX企業(yè)集團(tuán)網(wǎng)絡(luò)安全管理平臺(tái)建議采用北信源的內(nèi)網(wǎng)安全管理系統(tǒng)和北信源網(wǎng)絡(luò)運(yùn)行安全保障系統(tǒng)兩個(gè)產(chǎn)品的模塊組合成 XX 企業(yè)的網(wǎng)絡(luò)安全管理平臺(tái)。北信源經(jīng)過(guò)多年努力，開(kāi)發(fā)出了獨(dú)有的技術(shù)，可不用第三方廠商提供相關(guān)上報(bào)數(shù)據(jù)或接口，直接獲取其安全系統(tǒng)報(bào)警和統(tǒng)計(jì)數(shù)據(jù)，并對(duì)其進(jìn)行匯總，按照安全策略的需要進(jìn)行取舍；此技術(shù)的使用可大大減少相互間的協(xié)調(diào)工作，提高工作效率，同時(shí)減少工作的復(fù)雜程度。 關(guān)鍵終端管理系統(tǒng) 網(wǎng)絡(luò)終端包括個(gè)人主機(jī)，數(shù)據(jù)庫(kù)服務(wù)器，郵件服務(wù)器等，是網(wǎng)絡(luò)中的最基本的節(jié)點(diǎn)，支撐著網(wǎng)絡(luò)各項(xiàng)功能的正常運(yùn)行。 ? 路由器管理 ：對(duì)路由器的 CPU、內(nèi)存使用情況、接口流量情況進(jìn)行記錄匯總和