【正文】 ? 路由器管理 ：對(duì)路由器的 CPU、內(nèi)存使用情況、接口流量情況進(jìn)行記錄匯總和分析。北信源經(jīng)過(guò)多年努力，開(kāi)發(fā)出了獨(dú)有的技術(shù)，可不用第三方廠商提供相關(guān)上報(bào)數(shù)據(jù)或接口，直接獲取其安全系統(tǒng)報(bào)警和統(tǒng)計(jì)數(shù)據(jù)，并對(duì)其進(jìn)行匯總，按照安全策略的需要進(jìn)行取舍；此技術(shù)的使用可大大減少相互間的協(xié)調(diào)工作，提高工作效率，同時(shí)減少工作的復(fù)雜程度。 內(nèi)嵌的內(nèi)容過(guò)濾功能 ? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)支持 對(duì)數(shù)據(jù)內(nèi)容進(jìn)行檢查，可以采用關(guān)鍵字過(guò)濾， URL 過(guò)濾等方式來(lái)阻止非法數(shù)據(jù)進(jìn)入企業(yè)網(wǎng)絡(luò)，同時(shí)也支持對(duì) Java 等小程序進(jìn)行 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 29 總機(jī)： 01082611122 網(wǎng)址： 過(guò)濾等，防止可能的惡意代碼進(jìn)入企業(yè)網(wǎng)絡(luò)。我們?cè)?XX 企業(yè)網(wǎng)絡(luò)安全的項(xiàng)目中配置一臺(tái)榕基漏洞掃描系統(tǒng)。首先是對(duì)系統(tǒng)或網(wǎng)絡(luò)的探測(cè)和分析，如果一個(gè)系統(tǒng)沒(méi)有配置入侵檢測(cè)，攻擊者可以自由的進(jìn)行探測(cè)而不被發(fā)現(xiàn)，這 樣很容易找到最佳攻入點(diǎn)。一旦入侵被檢測(cè)到，會(huì)引發(fā)某種響應(yīng)（如斷開(kāi)攻擊者連接、通知操作員、自動(dòng)停止或減輕攻擊、跟蹤攻擊來(lái)源或適當(dāng)?shù)胤垂簦?這也滿足了標(biāo)書(shū)中要求的真正橋接的模式。通過(guò)此設(shè)備除了進(jìn)行訪問(wèn)控制而且還與遠(yuǎn)端的分支機(jī)構(gòu)建立隧道，在遠(yuǎn)端北京分公司和北京庫(kù)房也配置了天融信的 VPN 網(wǎng)關(guān)。對(duì)分支機(jī)構(gòu)建議采用 VPN網(wǎng)關(guān)建立隧道。 ? 網(wǎng)絡(luò)帶寬 – 高速傳播和具有網(wǎng)絡(luò)攻擊能力的病毒，能占用有限的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)癱瘓。 ? 非法訪問(wèn)的危害 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 13 總機(jī)： 01082611122 網(wǎng)址： XX 企業(yè) 集團(tuán) 的網(wǎng)絡(luò)是 一個(gè)多應(yīng)用多連接的系統(tǒng)，雖然目前已經(jīng)存在一些常用的訪問(wèn)控制手段：所有用戶 在訪問(wèn)服務(wù)器時(shí)都必須輸入正確的用戶名和口令等， 但是這樣的網(wǎng)絡(luò)結(jié)構(gòu)利用傳統(tǒng)的網(wǎng)絡(luò)管理措施難以實(shí)現(xiàn)有效的訪問(wèn)控制。 ? 入侵者通過(guò)網(wǎng)絡(luò)監(jiān) 聽(tīng)等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。 ● 應(yīng)用系統(tǒng)安全，為某種或多種應(yīng)用提供用戶認(rèn)證、數(shù)據(jù)保密性、完整性以及授權(quán)與訪問(wèn)控制服務(wù)等。 信息網(wǎng)絡(luò)安全體系結(jié)構(gòu) 安全服務(wù)取自于國(guó)際標(biāo)準(zhǔn)化組織制訂的安全體系結(jié)構(gòu)模型 ISO7498，我們?cè)?ISO7498 的基礎(chǔ)上增加了審計(jì)功能和可用性服務(wù)。對(duì)這些違反規(guī)定的機(jī)器要有相應(yīng)的日志，并可以進(jìn)行阻斷； 對(duì)本公司內(nèi)的生產(chǎn)子網(wǎng)要做好安全隔離，即使 XX 企業(yè)主干網(wǎng)上有病毒在傳播但不能傳到該子網(wǎng)中去，該子網(wǎng)只保留一些必要的數(shù)據(jù)通訊端口與主干網(wǎng)絡(luò)通訊，其他端口必須屏蔽掉。 評(píng)估網(wǎng)絡(luò)及主要的服務(wù)器、明確應(yīng)用存在哪 些漏洞及其補(bǔ)救措施， 當(dāng)前發(fā)現(xiàn)的所有漏洞得到彌補(bǔ)，不能彌補(bǔ)的 要 有應(yīng)急措施預(yù)案 ； 各種系統(tǒng)具備完善的日志及審計(jì)功能，可以追溯安全事件，可以按照不同的方式出具各種報(bào)表； 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 5 總機(jī)： 01082611122 網(wǎng)址： 第二章 XX 企業(yè)信息網(wǎng)絡(luò)的整體安全體系設(shè)計(jì) 信息安全體系設(shè)計(jì)原則 XX 企業(yè)信息安全保障系統(tǒng)涉及到整個(gè)工程的各個(gè)層次，網(wǎng)絡(luò)和信息安全方案的設(shè)計(jì)遵循以下原則： ● 整體安全 XX 企業(yè)信息安全保障系統(tǒng)的是一個(gè)復(fù)雜的安全系統(tǒng)工程，對(duì)安全的需求是任何一種單元技術(shù)都無(wú)法解決的。 協(xié)議層次的劃分參照 TCP／ IP 協(xié)議的分層模型。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 9 總機(jī)： 01082611122 網(wǎng)址： 系統(tǒng)單元安全模型 其中，安全政策是制定安全方案和各項(xiàng)管理制度的依據(jù)，安全政策是有一定的生命周期的，一般要經(jīng)歷風(fēng)險(xiǎn)分析、安全政策制定、安全方案和管理制度的實(shí)施、安全審計(jì)和后評(píng)估、四 個(gè)階段。 ? 惡意攻擊 ： 入侵者通過(guò)發(fā)送大量 PING 包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓 ? 在 Inter 上爆發(fā)網(wǎng)絡(luò)蠕蟲(chóng)病毒的時(shí)候，如果內(nèi)網(wǎng)的邊界處沒(méi)有訪問(wèn)控制設(shè)備對(duì)蠕蟲(chóng)病毒在第一時(shí)間進(jìn)行隔離，那么蠕蟲(chóng)的攻擊將會(huì)對(duì)網(wǎng)絡(luò)造成致命的影響。 對(duì)于網(wǎng)絡(luò)中沒(méi)有訪問(wèn)其他網(wǎng)段主機(jī)權(quán)限的用戶來(lái)說(shuō)，當(dāng)要對(duì)其他網(wǎng)段上主機(jī)發(fā)動(dòng)攻擊時(shí)， 其 情況類似于外部網(wǎng)絡(luò)的攻擊。 CodeRed，沖擊波以及 Mydoom 就是典型導(dǎo)致網(wǎng)絡(luò)癱瘓的病毒，能導(dǎo)致網(wǎng)絡(luò)交換機(jī)、路由器、服務(wù)器嚴(yán)重過(guò)載癱瘓。 安全監(jiān)測(cè) 環(huán)節(jié)分析 : ? 主要是指實(shí)時(shí)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、系統(tǒng)加 固、漏洞修補(bǔ)等； ? 實(shí)時(shí)檢測(cè)主要依靠入侵檢測(cè)系統(tǒng)、風(fēng)險(xiǎn)評(píng)估依靠于脆弱性分析軟件，系統(tǒng)加固和漏洞修補(bǔ)要求網(wǎng)絡(luò)管理人員能夠隨時(shí)跟蹤各種操作系統(tǒng)和應(yīng) 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 18 總機(jī)： 01082611122 網(wǎng)址： 用系統(tǒng)漏洞情況及時(shí)采取必要的措施。對(duì)于 XX 企 業(yè)移動(dòng)的用戶建議在單臺(tái)計(jì)算機(jī)或筆記本上安裝天融信 VPN 客戶端軟件，同樣可以與總部的 NGFW4000UFVPN(E)建立隧道，實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 23 總機(jī)： 01082611122 網(wǎng)址： 棒材和煉鋼生產(chǎn)子網(wǎng) 建議配置兩臺(tái) 天融信網(wǎng)絡(luò)衛(wèi) 士百兆防火墻NGFW4000T、 礦業(yè)公司和二化子網(wǎng) 建議配置一臺(tái)天融信網(wǎng)絡(luò)衛(wèi)士百兆防火墻NGFW4000T、 電話站專網(wǎng) 建議配置一臺(tái)天融信網(wǎng)絡(luò)衛(wèi)士百兆防火墻NGFW4000T 。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 25 總機(jī)： 01082611122 網(wǎng)址： 利用防火墻技術(shù)，經(jīng)過(guò) 精心 的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。如果同樣的系統(tǒng)配置了入侵檢測(cè)，則會(huì)對(duì)攻擊者的行動(dòng)帶來(lái)一定難度，它可以識(shí)別可疑探測(cè)行為，阻止攻擊者對(duì)目標(biāo)系統(tǒng)的訪問(wèn)，或者對(duì)安全人員報(bào)警以便采取響應(yīng)措施阻止攻擊者的下一步行動(dòng)。 XX 企業(yè)防病毒解決方案 病毒是系統(tǒng)中最常見(jiàn)、威脅最大的安全來(lái)源，建立一個(gè)全方位的病毒防范系統(tǒng)是 XX 企業(yè)集團(tuán) 安全體系建設(shè)的重要任務(wù)。 防垃圾郵件功能 ? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)采用業(yè)界領(lǐng)先的黑名單技術(shù)實(shí)時(shí)檢測(cè)垃圾郵件并阻止其進(jìn)入企業(yè)網(wǎng)絡(luò)，為企業(yè)節(jié)省寶貴的帶寬。 網(wǎng)絡(luò)中具體可能有大量的網(wǎng)絡(luò)系統(tǒng)應(yīng)用，以保障網(wǎng)絡(luò)功能的實(shí)現(xiàn)，例如文件檢索系統(tǒng)，視頻點(diǎn)播系統(tǒng)、郵件服務(wù)器系統(tǒng)等，一般情況下，這些系統(tǒng)中的報(bào)警信息也可通過(guò)此技術(shù)獲取。 ? 安全管理： 對(duì)網(wǎng)絡(luò)上的各種設(shè)備的安全信息進(jìn)行收集、整理，對(duì)網(wǎng)絡(luò)的安全現(xiàn)狀進(jìn)行綜合分析、顯示，防止數(shù)據(jù)的內(nèi)部非法訪問(wèn)及泄漏，管理違規(guī)聯(lián)網(wǎng)、非法入侵、非法訪問(wèn)等安全問(wèn)題。 ? 個(gè)性化監(jiān)控 ：對(duì)支持 SNMP、 WMI 的設(shè)備可根據(jù)自定義數(shù)據(jù)信息進(jìn)行數(shù)據(jù)匯總和監(jiān)視。 安全報(bào)警處置中心的報(bào)警方式： 1. 聲音報(bào)警 2. 網(wǎng)頁(yè)發(fā)布 3. 電子郵件報(bào)警 4. 電話報(bào)警 5. 發(fā)送廣播消息 6. 其它報(bào)警 安全集中匯總分析模塊 隨著人們對(duì)于網(wǎng)絡(luò)安全的 重視，網(wǎng)絡(luò)中的安全系統(tǒng)復(fù)雜程度和數(shù)量不斷增加，其管理的復(fù)雜程度和難度也越來(lái)越大。 高性能 ? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān) 構(gòu)建在高性能的硬件平 臺(tái)上 ，采用高效 的掃描 算法，最大限度地提高過(guò)濾效率 ，提供優(yōu)異的處理性能。該系統(tǒng)具有強(qiáng)大的漏洞檢測(cè)能力和檢測(cè)效率，貼切用戶需求的功能定義，靈活多樣的檢測(cè)方式，詳盡的漏洞修補(bǔ)方案和友好的掃描系統(tǒng)報(bào)告系統(tǒng)，以及方便的在線升級(jí)功能。 （ 3） 當(dāng) 黑客 攻擊一個(gè)系統(tǒng)時(shí)，他們總是按照一定的步驟進(jìn)行。入侵檢測(cè)系統(tǒng)的目的是檢測(cè)惡意和非預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許 非預(yù)期資源訪問(wèn)的請(qǐng)求和非預(yù)期使用服務(wù)）。對(duì)于天融信的防火墻由于支持 Spanning Tree 的算法 ，上圖就可以變成下 圖的連接方法： 區(qū)別 表現(xiàn)在支持 Spanning Tree 的算法 的防火墻可以把四個(gè)端口配置成一個(gè)廣播域， 此時(shí) 防火墻到交換機(jī)之間的切換通過(guò)生成樹(shù)協(xié)議來(lái)實(shí)現(xiàn)，服務(wù)器到防火墻之間的切換通過(guò) Solaris 服務(wù)器雙網(wǎng)卡自身的機(jī)制來(lái)切換。我們建議在 XX 企業(yè)集團(tuán)內(nèi)網(wǎng)和 Inter 接入設(shè)備之間配置一臺(tái)天融信網(wǎng)絡(luò)衛(wèi)士千兆防火墻 NGFW4000UFVPN(E)，作為訪問(wèn)控制設(shè)備。 需求建議 : 安全保護(hù)圍很廣涉及的技術(shù)也較多，對(duì)于 XX 企業(yè)集團(tuán)信息網(wǎng)目前最需要的防護(hù)手段是對(duì)全網(wǎng)的防護(hù)，使用防火墻、防病毒技術(shù)和入侵檢測(cè)，在此基礎(chǔ)上建議加強(qiáng)對(duì) XX企業(yè)集團(tuán)數(shù)據(jù)中心信息網(wǎng)的防護(hù)體系建設(shè)。 ? 內(nèi)部 – 局域網(wǎng)中的工作站及文件服務(wù)器都會(huì)受到病毒的感染，病毒的攻擊方式多種多樣，有通過(guò)局域網(wǎng)傳播、傳統(tǒng)介質(zhì) (光盤(pán)、軟盤(pán) 、 USB硬盤(pán) 等 )傳播等等，一旦受到感染，便 會(huì)迅速傳播，會(huì)給日常的工作和生產(chǎn)帶來(lái)極大的威脅。此時(shí)，該人員就可以非常方便地通過(guò)一些非法的工具和手段來(lái)隨意攻擊網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)服務(wù)器和其他客戶端主機(jī)、盜取網(wǎng)絡(luò)上的一些關(guān)鍵數(shù)據(jù)以及獲取當(dāng)前比較詳細(xì)的 XX企業(yè) 集團(tuán)整體網(wǎng)絡(luò)情況為以后更致命的攻擊做好準(zhǔn)備，然而網(wǎng)絡(luò)管理員并沒(méi)有一個(gè)有效的方法來(lái)實(shí)時(shí)了解網(wǎng)絡(luò)中各節(jié)點(diǎn)的情況，控制這些網(wǎng)絡(luò)節(jié)點(diǎn)的變化，因此給整個(gè) XX 企業(yè) 集團(tuán)的網(wǎng)絡(luò)系統(tǒng)造成極大的威脅。如： ? 入侵者通過(guò) Sniffer 等嗅探程序來(lái)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò) IP 地址、應(yīng)用操作系統(tǒng)的類型、開(kāi)放哪些 TCP 端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過(guò)相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。 ● 網(wǎng)絡(luò)通信安全，一則保障網(wǎng)絡(luò)自身的安全可靠運(yùn)行，保證網(wǎng)絡(luò)的可用性；二則為業(yè)務(wù)數(shù)據(jù)提供完整性、保密性的安全服務(wù)。該模型在整體上表現(xiàn)為一個(gè)三線立體框架結(jié)構(gòu)。 建立整體網(wǎng)絡(luò)安全體系； 建設(shè)整體的防病毒體系，保證網(wǎng)絡(luò)病毒不會(huì)由公司主干網(wǎng)傳入專網(wǎng)，保證遠(yuǎn)程 VPN 網(wǎng)絡(luò)或用戶的病毒不會(huì)傳入公司主干網(wǎng)； 對(duì)于 INTERNET 上新 病毒 的反應(yīng)、處理速度，比 如當(dāng)時(shí)“震蕩波”病毒，要在“黃金響應(yīng)”時(shí)間內(nèi)通知如何防范和相應(yīng)補(bǔ)丁，在沒(méi)有擴(kuò)散到大范圍及時(shí) 發(fā)現(xiàn)病毒；如果內(nèi)網(wǎng)存在病毒，能夠?qū)ζ涠ㄎ唬涝谀膫€(gè)機(jī)器上，是哪種病毒，能夠清除并有相應(yīng)的日志； 保證系統(tǒng)服務(wù)器、 生產(chǎn)專網(wǎng) 、電話站專網(wǎng) 的 高可用性、抗攻擊性； 能夠查詢誰(shuí)在什么時(shí)間、什么地點(diǎn)、用什么方式訪問(wèn)了什么網(wǎng)絡(luò)資源，上了什么網(wǎng)站，要有分用戶、分時(shí)間段、分服務(wù)類別的詳細(xì)清單及統(tǒng)計(jì)報(bào)表； 強(qiáng)制性管理終端用戶設(shè)備，并按照統(tǒng)一規(guī)劃的不同策略管理不同的終端用戶設(shè)備或終端用戶設(shè)備組； 能夠及時(shí)覺(jué)知誰(shuí)在攻擊或在探測(cè)網(wǎng)絡(luò)，并及時(shí)阻 斷攻擊以及非法探測(cè)并有詳細(xì)的日志，在發(fā)生外部入侵進(jìn)來(lái)時(shí)，必須及時(shí)報(bào)警并發(fā)郵件到管理人員郵箱，并提供相應(yīng)的策略； 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 4 總機(jī)： 01082611122 網(wǎng)址： 對(duì)公司內(nèi)網(wǎng)的安全能夠做到：誰(shuí)在用非法手段掃描、攻擊服務(wù)器或別人的機(jī)器，誰(shuí)私自改 IP 地址，新的機(jī)器接入內(nèi)網(wǎng)或非法上外網(wǎng)，不能隨便安裝、卸載軟件等等。必須從一個(gè)完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個(gè)環(huán)節(jié)，綜合使用各層次的 各種安全手段，為信息網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供全方位安全服務(wù)。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 7 總機(jī)： 01082611122 網(wǎng)址： 系統(tǒng)單元給出了信息網(wǎng)絡(luò)系統(tǒng)的組成。 安全管理是各項(xiàng)安全措施能夠有效發(fā)揮作用的重要保證。 ? 分支機(jī)構(gòu)通過(guò) Inter 與總公司進(jìn)行通訊的安全威脅 ? 在 Inter 上傳輸?shù)墓緝?nèi)部數(shù)據(jù)，會(huì)面臨被讀取，被篡改，被冒名的安全威脅，所以 需要對(duì)數(shù) 據(jù)的源發(fā)性、數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性進(jìn)行驗(yàn)證。但是與外部網(wǎng)絡(luò)的攻擊者相比，內(nèi)部攻擊者對(duì)網(wǎng)絡(luò)結(jié)構(gòu)了解的更加細(xì)致，而且更容易竊取用戶登錄所需資料，所以非法訪問(wèn)更易成功。 ? 間接損失 – 病毒造成的間接損失可能更大，病毒造成的事故對(duì)企業(yè)的影響是直接導(dǎo)致企業(yè)信息資產(chǎn)損失，可能影響生產(chǎn)運(yùn)營(yíng)。 需求建議： 對(duì)于 XX 企業(yè)集團(tuán) 信息網(wǎng) 目前 尚無(wú)任何網(wǎng)絡(luò)安全監(jiān)測(cè)措施，對(duì)于發(fā)生的網(wǎng)絡(luò)安全問(wèn)題 需要有效 的監(jiān)測(cè)手段；對(duì)于全網(wǎng)的風(fēng)險(xiǎn)評(píng)估 需要 建立相應(yīng)的評(píng)估制度；對(duì)于系統(tǒng)加固和漏洞修補(bǔ) 需要 固定的工作流程和漏洞發(fā)現(xiàn)和加固計(jì)劃。拓?fù)浣Y(jié)構(gòu)如下圖所示： 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 20 總機(jī)： 01082611122 網(wǎng)址： 由于 XX 企業(yè)集團(tuán) ERP 系統(tǒng)承載著企業(yè)大量的重要數(shù)據(jù)信息，因此必須通過(guò) 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 21 總機(jī)： 01082611122 網(wǎng)址： 防火墻的訪問(wèn)控制過(guò)濾技術(shù)對(duì)非授權(quán)的用戶進(jìn)行嚴(yán)格地控制和防護(hù)。 煉 鋼 大 高 爐 生 產(chǎn) 子 網(wǎng) 配 置 天 融 信 單 模 千 兆 防 火 墻NGFW4000UF。但是， 存在著一些防火墻等其它安全設(shè)備所不能防范的安全威脅，這就需要 入侵檢測(cè)系統(tǒng)提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等 ，來(lái)保護(hù) XX 企業(yè)集團(tuán)局域網(wǎng)的安全 。 （ 4） 入侵檢測(cè)證實(shí)并且詳細(xì)記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡(luò)安全 管理 方案時(shí)，通常需要證實(shí)網(wǎng)絡(luò)很可能或