【正文】 8． ISA服務(wù)器防病毒軟件XX信息中心網(wǎng)絡(luò)中的MS ISA服務(wù)器計算機將按照管理服務(wù)器的指令從倉儲服務(wù)器獲得防病毒軟件ISASecure，以及及時自動的按照管理服務(wù)器的指令從倉儲服務(wù)器更新病毒庫和升級防病毒軟件。 配合病毒防護系統(tǒng)完善企業(yè)的病毒防護管理制度，達到機制和人制和諧統(tǒng)一。病毒特征碼庫文件的更新每天進行一次。該方案的說明如下：（可根據(jù)實際網(wǎng)絡(luò)拓?fù)涓拇藞D）1) 由于XX網(wǎng)絡(luò)的規(guī)模較大，如果能在病毒、垃圾郵件等的入口處進行防護將在很大程度上保護了網(wǎng)絡(luò)安全，因此需在網(wǎng)絡(luò)入口處安放熊貓衛(wèi)士安全網(wǎng)關(guān)。通過對以上協(xié)議的保護，熊貓衛(wèi)士安全網(wǎng)關(guān)可以阻斷現(xiàn)有惡意軟件傳播的所有可能途徑，以對客戶端和服務(wù)器提供專業(yè)和有效的防護。 防病毒網(wǎng)關(guān)子系統(tǒng)設(shè)計由于熊貓衛(wèi)士安全網(wǎng)關(guān)（PAGD）具有很強的適應(yīng)性和負(fù)載均衡功能，很容易適應(yīng)企業(yè)的網(wǎng)絡(luò)需求，透明地調(diào)整對網(wǎng)絡(luò)通訊容量的檢測能力。方正入侵檢測系統(tǒng)與ESM通訊時支持IAP協(xié)議，包括OPSEC。 方正入侵檢測系統(tǒng)構(gòu)架方正入侵檢測系統(tǒng)引擎架構(gòu)強大和及時的攻擊標(biāo)志庫匹配通常，入侵檢測系統(tǒng)是基于攻擊標(biāo)志的系統(tǒng)或基于異?；顒拥南到y(tǒng)。l 支持用戶自定義檢測事件，自定義事件檢測規(guī)則方正入侵檢測系統(tǒng)是基于靈活設(shè)計的原則設(shè)計的，能支持用戶自定義入侵檢測規(guī)則。本方案的設(shè)計目標(biāo)之三：使網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻形成策略聯(lián)動。252。綜合安全管理中心FOUND SecuwayCenter 2000主要是控制并管理整個網(wǎng)絡(luò)的安全設(shè)備和網(wǎng)絡(luò)設(shè)備、以及確定并執(zhí)行安全策略。您的需求管理流量 。 防止AppletJava，Active X入侵。因此對內(nèi)容進行過濾，能有效地提高網(wǎng)絡(luò)的安全性。 ——相對于高性能硬件PC/WORKSTATION更具價格優(yōu)勢。同時還對上述服務(wù)做到有選擇的細(xì)節(jié)行為控制，如HTTP 對命令（GET 、OPTION 、PUT 等）和URL 以及腳本類型進行過濾， SMTP 、POP3 對收發(fā)信人和郵件主題關(guān)鍵字進行控制?！?DMZ訪問：通常情況下DMZ對外部和內(nèi)部都不能主動進行訪問，除非特殊的應(yīng)用需要到內(nèi)部網(wǎng)絡(luò)采集數(shù)據(jù)，可以有限地開放部分服務(wù)。這臺防火墻對遠(yuǎn)程撥號用戶、分支機構(gòu)及公網(wǎng)用戶對數(shù)據(jù)中心網(wǎng)絡(luò)的訪問進行嚴(yán)格控制，禁止掉不必要的端口，防止其利用協(xié)議漏洞、IP欺騙等手段對計費業(yè)務(wù)網(wǎng)的機密數(shù)據(jù)造成破壞。通常情況下，網(wǎng)絡(luò)邊界是最薄弱、最容易被攻擊的地方，所以應(yīng)該最先考慮對該處的防護和管理。圍繞方正信息安全技術(shù)有限公司的立體安全理念，我們以防火墻，防病毒，入侵檢測系統(tǒng)為重點，結(jié)合漏洞檢測和安全評估技術(shù)、訪問控制和安全管理等技術(shù)，主要從網(wǎng)絡(luò)邊界、內(nèi)部重要網(wǎng)段、關(guān)鍵主機等三個方面綜合地為用戶進行防護管理，以使客戶能達到盡量完整的安全防御措施的目的。 可靠性原則：網(wǎng)絡(luò)中心網(wǎng)絡(luò)不允許有異常情況發(fā)生，因為一旦網(wǎng)絡(luò)發(fā)生異常情況，就會帶來很大的損失。要解決好緊急響應(yīng)問題，就要制訂好緊急響應(yīng)的方案，做好緊急響應(yīng)方案中的一切準(zhǔn)備工作。安全策略——包括各種策略、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)等，是信息安全的最核心問題，是整個信息安全建設(shè)的依據(jù)；安全管理——主要是人員、組織和流程的管理，是實現(xiàn)信息安全的落實手段；安全技術(shù)——包含工具、產(chǎn)品和服務(wù)等，是實現(xiàn)信息安全的有力保證。關(guān)機時，機器會把病毒從內(nèi)存中刪除，但卻不能將其從被感染的文件中刪除。系統(tǒng)中的BUG，使得黑客可以遠(yuǎn)程對公開服務(wù)器發(fā)出指令，從而導(dǎo)致對系統(tǒng)進行修改和損壞，包括無限制地向服務(wù)器發(fā)出大量指令，以至于服務(wù)器“拒絕服務(wù)”，最終引起整個系統(tǒng)的崩潰。在整個XX信息網(wǎng)系統(tǒng)中，包含的設(shè)備有各種服務(wù)器、路由器/交換機、工作站等。并通過數(shù)字簽名及認(rèn)證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機密性、可靠性及完整性。第二章 XX網(wǎng)絡(luò)系統(tǒng)安全需求分析（此圖需要根據(jù)具體情況更改）XX網(wǎng)絡(luò)拓?fù)涫疽鈭D網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明 （這里需要根據(jù)實際情況具體分析）216。服務(wù)水平的高低，在一定程度上反映了廠商的實力，廠商的安全管理水平也成為阻礙用戶對安全問題認(rèn)識的一個主要方面。2005 方正信息安全技術(shù)有限公司3目 錄第一章 前言 3 概述 3 4 4 4 5 5 5第二章 XX網(wǎng)絡(luò)系統(tǒng)安全需求分析 6 6 XX信息網(wǎng)安全需求分析 7 7 7 8 8 8 9 12第三章XX信息網(wǎng)安全解決方案設(shè)計與組成 13 13 XX信息網(wǎng)安全系統(tǒng)設(shè)計的原則和目標(biāo) 15 16 17 19 19 19 20 21 23 32 3內(nèi)網(wǎng)和公網(wǎng)服務(wù)器區(qū)同時防護 33 用戶的需求指標(biāo)與功能響應(yīng) 33 35 防病毒網(wǎng)關(guān)子系統(tǒng)設(shè)計 38 38 40 41 41 42 42 42 42 45 46 46 47 47 XX信息網(wǎng)現(xiàn)狀和需求分析 47 48 52第四章 售后服務(wù) 59 59 62 第一章 前言 概述隨著我國信息化建設(shè)的快速發(fā)展，各級單位和部門都正在建設(shè)或者已經(jīng)建成自己的信息網(wǎng)絡(luò)，而隨之而來的網(wǎng)絡(luò)安全問題也日益突出。在信息化建設(shè)過程中，國內(nèi)用戶面臨的最大問題就是網(wǎng)絡(luò)安全服務(wù)的缺乏。方正信息安全公司作為國內(nèi)一流的安全產(chǎn)品及服務(wù)提供商，秉承“做中國人自己的安全衛(wèi)士”的宗旨，為各行各業(yè)各層次的用戶提供專業(yè)信息化安全教育認(rèn)證課程。結(jié)合上面XX信息網(wǎng)，主要的網(wǎng)絡(luò)安全風(fēng)險主要體現(xiàn)在如下幾個方面：應(yīng)用服務(wù)安全風(fēng)險、內(nèi)部局域網(wǎng)風(fēng)險、互聯(lián)網(wǎng)風(fēng)險，我們將對XX信息網(wǎng)各個層面存在的安全風(fēng)險進行需求分析：物理設(shè)備是整個XX信息通信網(wǎng)的基礎(chǔ)，物理安全是整個XX信息通信網(wǎng)信息系統(tǒng)安全的前提。對一個網(wǎng)絡(luò)系統(tǒng)而言操作系統(tǒng)或應(yīng)用系統(tǒng)存在不安全因素，將是黑客攻擊得手的關(guān)鍵因素，因黑客攻擊某網(wǎng)絡(luò)系統(tǒng)，一般都是通過攻擊軟件掃描該網(wǎng)絡(luò)系統(tǒng)中主機是否存在安全漏洞，并通過可利用的安全漏洞進行攻擊或控制這臺主機，為以后進一步攻擊打下基礎(chǔ)。由此就可能存在著：同事有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密. 電子郵件為網(wǎng)絡(luò)系統(tǒng)用戶提供電子郵件應(yīng)用。l 當(dāng)你執(zhí)行另外一個程序時，病毒便將其自身附著在內(nèi)存中的文件上。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。Response（響應(yīng)）緊急響應(yīng)在安全系統(tǒng)中占有重要的地位，是解決安全潛在性問題最有效的辦法。252。通過相關(guān)的科學(xué)的設(shè)計原則，本方案能達到：層層設(shè)防，立體防護，策略聯(lián)動，管理為上的目標(biāo)。此網(wǎng)絡(luò)安全解決方案解決了公網(wǎng)接入?yún)^(qū)、公網(wǎng)服務(wù)器區(qū)、內(nèi)網(wǎng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層等不同層面存在的網(wǎng)絡(luò)安全問題。無論是XX網(wǎng)絡(luò)內(nèi)部的用戶，還是XX以外的用戶，只要想訪問WEB、Mail等服務(wù)器，都必須經(jīng)過防火墻的訪問控制。對內(nèi)部員工對外訪問采用NAT方式訪問。●應(yīng)用級的帶寬管理(Qos機制)FSXX防火墻系統(tǒng)為網(wǎng)絡(luò)管理者提供了監(jiān)測和管理網(wǎng)絡(luò)信息流量的手段，可以按照客戶的需求對流量進行控制，通過設(shè)定帶寬分配權(quán)值和流量閾值，以防止帶寬資源的不正常消耗，從而使網(wǎng)絡(luò)在不同的應(yīng)用中合理分配帶寬，保證重要服務(wù)的正常運行。它可以通過網(wǎng)絡(luò)更新，所以比常用操作系統(tǒng)更新容易。此功能既可防止外部網(wǎng)絡(luò)的非法入侵、又可防止內(nèi)部網(wǎng)絡(luò)中出現(xiàn)未經(jīng)授權(quán)的信息。252。——LAN TO LAN虛擬專用網(wǎng)絡(luò)（VPN）——Intranet/Extranet/遠(yuǎn)存取VPN（方正FS XX防火墻Center 2000）——IPsec、L2TP隧道。252。安全策略以表格形式存儲、這樣便于修改和管理。本方案的設(shè)計目標(biāo)之二：通過在XXXX信息中心網(wǎng)絡(luò)公網(wǎng)服務(wù)器區(qū)的服務(wù)器上安裝主機入侵檢測系統(tǒng)，對計算機網(wǎng)絡(luò)或計算機系統(tǒng)的運行進行監(jiān)控，從中發(fā)現(xiàn)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。l 具有事后處理功能，包括回應(yīng)測試、路由跟蹤、遠(yuǎn)程登錄方正入侵檢測系統(tǒng)具有事后處理功能，包括回應(yīng)測試、路由跟蹤、遠(yuǎn)程登錄。方正入侵檢測系統(tǒng)高效地分配使用內(nèi)存，保證在高負(fù)荷網(wǎng)絡(luò)流量的情況下系統(tǒng)工作良好。為了保證遠(yuǎn)程終端和方正入侵檢測系統(tǒng)服務(wù)器之間通訊的安全性，方正入侵檢測系統(tǒng)在進行通訊傳輸時使用SSL協(xié)議。性能：l 方正入侵檢測系統(tǒng)的誤報率小于3%。另外，熊貓衛(wèi)士安全網(wǎng)關(guān)的負(fù)載均衡是全自動的，無需額外的配置和維護工作量，無需重新配置企業(yè)的網(wǎng)絡(luò)設(shè)置，對網(wǎng)絡(luò)的客戶和服務(wù)完全透明。同時還提供復(fù)雜的病毒，垃圾郵件和內(nèi)容過濾的報告，以及自定義警告和通知。熊貓衛(wèi)士安全網(wǎng)關(guān)的許可證和序列號，指出服務(wù)的類型和期限。216。5． Exchange服務(wù)器防病毒軟件XX信息中心網(wǎng)絡(luò)中的Exchange服務(wù)器計算機將按照管理服務(wù)器的指令從倉儲服務(wù)器獲得防病毒軟件ExchangeSecure，以及及時自動的按照管理服務(wù)器的指令從倉儲服務(wù)器更新病毒庫和升級防病毒軟件。10． Sendmail防病毒軟件XX信息中心網(wǎng)絡(luò)中的Sendmail服務(wù)器計算機將按照管理服務(wù)器的指令從倉儲服務(wù)器獲得防病毒軟件SendmailSecure，以及及時自動的按照管理服務(wù)器的指令從倉儲服務(wù)器更新病毒庫和升級防病毒軟件。通過它來完成包括全網(wǎng)的客戶端分發(fā)、病毒庫更新、防病毒策略定制、病毒日志監(jiān)控、病毒查殺等管理任務(wù)，實現(xiàn)對全網(wǎng)防病毒的集中管理。如果存在新的可更新元素，熊貓衛(wèi)士安全網(wǎng)關(guān)會通知管理員，建議管理員也可以通過點擊更新管理頁面中的Update Now按鈕進行更新，而不必等到下一次設(shè)定好的自動更新的時間。一旦對郵件和網(wǎng)頁的訪問得到控制，那么無論是何處的訪問都可以杜絕病毒的威脅。也可以根據(jù)發(fā)件人的地址生成地址白名單和黑名單，這些地址清單可以被從掃描中排除或發(fā)自這些地址的郵件被定義為垃圾郵件。熊貓衛(wèi)士安全網(wǎng)關(guān)（PAGD）可以對所有進入網(wǎng)絡(luò)的常用協(xié)議進行掃描，它的專業(yè)功能是總體上抵御所有類型的安全威脅及重點防護特殊的病毒，其病毒防護功能還得到了基于內(nèi)容過濾技術(shù)的主動防護功能的完善。方便的界面方正入侵檢測系統(tǒng)給用戶提供方便的標(biāo)準(zhǔn)Windows風(fēng)格的界面。方正入侵檢測系統(tǒng)把網(wǎng)絡(luò)攻擊行為分成七個類別，分別是拒絕服務(wù)攻擊、收集信息攻擊、協(xié)議弱點攻擊、服務(wù)攻擊、WebCGI攻擊、后門攻擊和用戶自定義類型。l 可自定義報表格式的報表瀏覽工具方正入侵檢測系統(tǒng)提供不同形式的可視化報表圖形界面，方便查看和打印報表。如果采用其他的防火墻和網(wǎng)絡(luò)入侵檢測系統(tǒng)，就需要三個網(wǎng)絡(luò)入侵檢測引擎，將大大提高用戶的成本。252。它可以實時防止入侵、萬一檢測到有人從外部非法入侵或網(wǎng)絡(luò)設(shè)備出現(xiàn)故障、可以通過遠(yuǎn)程管理功能從遠(yuǎn)程位置進行修復(fù)。這使用戶可以通過安全策略控制傳輸/接收的信息包。(b)Dos形態(tài)的攻擊、入侵檢測或Blocking功能、Fragmentation，SYN flooding等抗攻擊能力。252。訪問控制是防火墻系統(tǒng)的基本功能，防火墻會檢查向 Intranet 發(fā)送的信息包，只有經(jīng)過驗證的信息包才能進入許可的服務(wù)或用戶網(wǎng)絡(luò)，而所有未經(jīng)驗證的信息包都會受到阻擋?！?防火墻選型防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)施，它對維護內(nèi)部網(wǎng)絡(luò)的安全起著重要的作用?！?被動防御和主動防御被動防御是指通過防火墻預(yù)置策略和防御閥值實施靜態(tài)防護，F(xiàn)SXX防火墻通過其深層的狀態(tài)檢測技術(shù)和內(nèi)建防御策略可以有效防止多種攻擊，如ICMP 重定向、IP 來源路由、DOSamp。方正FS XX防火墻的DMZ口接公眾網(wǎng)服務(wù)器區(qū)的交換機，形成對DMZ區(qū)的保護。對于網(wǎng)絡(luò)XX與Internet網(wǎng)連接出口來說，是XX M接口，我們本著合理投資，充分應(yīng)用的原則，從實用性的角度配置使用方正FS XX百兆防火墻。通過采取對進出網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)測、分析、過濾或計量等方式，以包過濾、地址轉(zhuǎn)換、包狀態(tài)檢測、應(yīng)用代理、流量計費或帶寬控制等技術(shù)，來實現(xiàn)對Internet出口處的統(tǒng)一、有效的管理。252。 XX信息網(wǎng)安全系統(tǒng)設(shè)計的原則和目標(biāo)結(jié)合XX信息網(wǎng)內(nèi)部網(wǎng)絡(luò)的實際情況，針對目前計算機網(wǎng)絡(luò)硬件安全設(shè)備的總體設(shè)計和實施，方正集團依據(jù)國家有關(guān)信息安全政策、法規(guī)，根據(jù)XX信息網(wǎng)工作實際需要和我國政府工作信息化建設(shè)的實際情況，使之達到安全、可靠運行、節(jié)儉使用，便于工作和管理維護，符合國家有關(guān)規(guī)定信息安全系統(tǒng)的設(shè)計和實現(xiàn)應(yīng)遵循如下原則：252。立體安全防護體系為了更為有效的保證政府、企業(yè)、行業(yè)信息化網(wǎng)絡(luò)和電子政務(wù)、電子商務(wù)應(yīng)用的安全，方正信息安全公司提出了兩個理念：立體安全防護體系和安全服務(wù)支撐體系。因此，XX信息網(wǎng)網(wǎng)絡(luò)中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴散，傳播到網(wǎng)絡(luò)上的所有主機，有些病毒會在你的系統(tǒng)中自動打包一些文件自動從發(fā)件箱中發(fā)出。黑客或一些不法份子會通過一些手段，設(shè)法在線路上獲得傳輸?shù)臄?shù)據(jù)信息，造成信息的泄密。一旦被利用并攻擊，將帶來不可估量的損失，如前段時間網(wǎng)絡(luò)上流傳非常兇猛的“沖擊波”病毒，就是一個以微軟公司W(wǎng)indows系列操作系統(tǒng)的一個漏洞為基礎(chǔ)的破壞性、傳染性都很強的蠕蟲病毒。 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（相對于本地局域網(wǎng)以外的網(wǎng)絡(luò)），考慮采用硬件防火墻設(shè)備進行邏輯隔離，控制來自內(nèi)外網(wǎng)絡(luò)的用戶對重要業(yè)務(wù)系統(tǒng)的訪問。 主機系統(tǒng)：配置一臺UNIX服務(wù)器作為數(shù)據(jù)庫服務(wù)器，在其上運行數(shù)據(jù)庫系統(tǒng)軟件，主要提供數(shù)據(jù)存儲服務(wù)，配置一臺UNIX服務(wù)器作為應(yīng)用服務(wù)器，在其上運行中間件系統(tǒng)軟件，主要處理專網(wǎng)業(yè)務(wù)，并響應(yīng)前端WEB接入請求及對后臺數(shù)據(jù)庫中數(shù)據(jù)進行調(diào)用。方正信息安全技術(shù)有限公司是北大方正