【正文】 集團(tuán)的全資子公司，是專注于信息安全和網(wǎng)絡(luò)管理解決方案的研發(fā)、生產(chǎn)、銷售、服務(wù)、咨詢的專業(yè)廠商。一些國內(nèi)用戶對網(wǎng)絡(luò)安全的認(rèn)識存在一些誤區(qū)：把網(wǎng)絡(luò)安全幾乎全部依賴于所安裝的防火墻系統(tǒng)和防病毒軟件，認(rèn)為只要安裝了這些設(shè)備，網(wǎng)絡(luò)就安全了；他們沒有認(rèn)識到網(wǎng)絡(luò)安全是動(dòng)態(tài)的、整體的，不可能僅靠單一安全產(chǎn)品就能實(shí)現(xiàn)。同時(shí)行業(yè)和行業(yè)之間也存在比較大的差異，比如軍隊(duì)行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)和政府行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)差別就很大。同時(shí)，公司又充分運(yùn)用方正的品牌、技術(shù)、渠道優(yōu)勢，整合國內(nèi)外資源，不斷為廣大用戶提供最好的信息安全的解決方案與應(yīng)用服務(wù)。 XX信息網(wǎng)安全需求分析根據(jù)我們分析XX信息網(wǎng)信息系統(tǒng)的安全風(fēng)險(xiǎn)，主要由三部分內(nèi)容組成，第一是環(huán)境的威脅，第二是系統(tǒng)自身的脆弱性，第三是安全破壞的影響力。每天黑客都在試圖闖入Internet節(jié)點(diǎn)，如果不保持警惕，很容易被入侵，甚至連黑客怎么闖入都不知道，而且該系統(tǒng)還可能成為黑客入侵其他網(wǎng)絡(luò)系統(tǒng)的跳板。資源共享XX信息網(wǎng)系統(tǒng)內(nèi)部自動(dòng)化辦公系統(tǒng)。當(dāng)你執(zhí)行該文件時(shí)，病毒將其自身拷貝到計(jì)算機(jī)內(nèi)存中。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。Protection（保護(hù)）保護(hù)通常是通過采用一些傳統(tǒng)的成熟的信息安全技術(shù)及方法來實(shí)現(xiàn)的，主要有防火墻、授權(quán)、加密、認(rèn)證等方法。 節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變原來網(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。為此德國軍方前些時(shí)候甚至規(guī)定在所有牽涉到機(jī)密的計(jì)算機(jī)里，不得使用美國的操作系統(tǒng)。漏洞檢測和安全評估系統(tǒng)采用先進(jìn)的網(wǎng)絡(luò)掃描技術(shù)對各個(gè)網(wǎng)絡(luò)對象（路由器、防火墻、服務(wù)器、工作站等）進(jìn)行深入的檢測和分析，及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患或漏洞，為系統(tǒng)員提供詳細(xì)全面的第一手安全資料。為了實(shí)現(xiàn)設(shè)計(jì)目標(biāo)，我們在數(shù)據(jù)中心與Internet廣域網(wǎng)接入處部署公網(wǎng)百兆防火墻。對內(nèi)部數(shù)據(jù)庫服務(wù)器、網(wǎng)絡(luò)功能服務(wù)器、業(yè)務(wù)服務(wù)器的訪問做嚴(yán)格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。具體轉(zhuǎn)換方式就是將內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域機(jī)器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址。它不僅可以保護(hù)物理設(shè)備和內(nèi)部安全信息、而且還提供了虛擬專用網(wǎng)絡(luò) (VPN)。IP與MAC地址綁定IP與MAC地址綁定：防止防火墻廣播域內(nèi)，重要主機(jī)的IP 地址不被另一臺機(jī)器盜用。方正FS XX防火墻可以防止內(nèi)部網(wǎng)絡(luò)受到假冒 IP 地址、ICMP 重定向、IP 來源路由、假冒 DNS 和 ICMP 等攻擊。其認(rèn)證方式有：口令、密碼；密鑰令牌（Key Token）。超級管理員可以對整個(gè)系統(tǒng)進(jìn)行存取管理。由于該系統(tǒng)是開放式體系結(jié)構(gòu)、因此它與其它產(chǎn)品兼容、并且可以簡便地進(jìn)行調(diào)整、適應(yīng)迅速變化的網(wǎng)絡(luò)環(huán)境需要。本方案的設(shè)計(jì)目標(biāo)之一：通過在XXXX信息中心網(wǎng)絡(luò)的互聯(lián)網(wǎng)接入處部署網(wǎng)絡(luò)入侵檢測產(chǎn)品，監(jiān)視外部互聯(lián)網(wǎng)、政府內(nèi)網(wǎng)和公網(wǎng)服務(wù)器區(qū)三者之間的網(wǎng)絡(luò)通信，從中發(fā)現(xiàn)網(wǎng)絡(luò)中是否有違反安全策略（包括泄密、反動(dòng)內(nèi)容與站點(diǎn)、黃色內(nèi)容與站點(diǎn)等）的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報(bào)警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。檢測規(guī)則不少于2500種?？梢愿鶕?jù)IP的流量進(jìn)行阻斷，可對IP的流量產(chǎn)生報(bào)警。使用遠(yuǎn)程管理的PC機(jī)推薦安裝微軟的Windows 。方正入侵檢測系統(tǒng)報(bào)表提供不同的報(bào)表種類，可以提供一段時(shí)間內(nèi)基于攻擊方法的報(bào)告。負(fù)載均衡能夠使多個(gè)熊貓衛(wèi)士安全網(wǎng)關(guān)協(xié)同工作，共同為企業(yè)網(wǎng)絡(luò)邊界提供防護(hù)，以滿足較大網(wǎng)絡(luò)數(shù)據(jù)流量的情況。8． 每日自動(dòng)更新熊貓衛(wèi)士安全網(wǎng)關(guān)被設(shè)計(jì)成全自動(dòng)的每日智能更新，包括病毒特征文件和病毒掃描引擎，這使得它的病毒特征文件始終保持最新，以能夠有效的抵御最新的病毒。熊貓衛(wèi)士安全網(wǎng)關(guān)安裝完成之后，用戶可以通過網(wǎng)絡(luò)監(jiān)控的計(jì)算機(jī)，通過Internet Explorer，Netscape Navigator等瀏覽器，從Web控制臺對所有的熊貓防毒網(wǎng)關(guān)熊貓衛(wèi)士安全網(wǎng)關(guān)進(jìn)行遠(yuǎn)程監(jiān)控和管理。 定期檢查系統(tǒng)運(yùn)行狀況。而ClientShield的病毒防護(hù)策略將接受管理服務(wù)器的控制和管理，并會將客戶端的病毒日志及時(shí)地傳送給管理服務(wù)器，供管理服務(wù)器存檔和統(tǒng)計(jì)，以及時(shí)地反映給管理員。13． Linux防病毒軟件對于Linux服務(wù)器自身文件的防護(hù)我們使用CommandlineSecure，設(shè)置自動(dòng)任務(wù)，定期的對Linux計(jì)算機(jī)的特定的文件系統(tǒng)進(jìn)行病毒掃貓，以對其進(jìn)行病毒防護(hù)。同時(shí)，部署兩臺倉儲服務(wù)器將為整個(gè)方病毒系統(tǒng)提供冗余和附在均衡功能。同時(shí)，當(dāng)用戶發(fā)現(xiàn)網(wǎng)絡(luò)中存在可疑的未知病毒時(shí)，可將其發(fā)送給Panda本地的服務(wù)商或方正信息安全有限公司，以便進(jìn)行及時(shí)分析。4) 熊貓衛(wèi)士安全網(wǎng)關(guān)的反垃圾郵件掃描作為其反惡意軟件掃描的補(bǔ)充，檢查由公司用戶按收的電子郵件，從而減少垃圾郵件的產(chǎn)生避免降低網(wǎng)絡(luò)性能。過濾規(guī)則根據(jù)預(yù)定義內(nèi)容目錄和管理員定義的白名單（允許）和黑名單（非授權(quán)）。通過交互式的WEB控制臺，遠(yuǎn)程安全地管理它。在方正入侵檢測系統(tǒng)的檢測界面中，系統(tǒng)顯示攻擊的各種信息，包括攻擊類型的名稱、攻擊的起始和結(jié)束時(shí)間、用戶網(wǎng)絡(luò)被攻擊的次數(shù)、攻擊者的IP地址、被攻擊者的IP地址以及實(shí)時(shí)監(jiān)控的網(wǎng)絡(luò)信息和入侵檢測信息。方正入侵檢測系統(tǒng)非常注重用戶的需求并提供最新的規(guī)則配置來保護(hù)用戶的網(wǎng)絡(luò)。可以基于計(jì)算機(jī)、服務(wù)、時(shí)間、單個(gè)記錄/群體群體出報(bào)告。方正入侵檢測系統(tǒng)使用最新的技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)保持敏銳高效的實(shí)時(shí)監(jiān)視和日志記錄。252。 全面的安全管理方正FS XX防火墻和 SecuwayClient 2000 在以數(shù)據(jù)庫為中心的安全功能方面處于領(lǐng)先地位。如上圖所示，如不使用BZ端口，為了保護(hù)系統(tǒng)，用戶需要三個(gè)入侵檢測（NIDS）系統(tǒng)，即在內(nèi)網(wǎng)（PRIVATE）、外網(wǎng)（PUBLIC）、DMZ三個(gè)部分安裝入侵檢測系統(tǒng)，確保系統(tǒng)的安全，但如有BZ端口（BLACK ZONE PORT），安裝一個(gè)入侵檢測系統(tǒng)可以監(jiān)控內(nèi)網(wǎng)、外網(wǎng)（PUBLIC）、DMZ三個(gè)部分。它有兩個(gè)特點(diǎn)：一是隱藏內(nèi)部網(wǎng)絡(luò)真實(shí)IP，使“黑客”無法直接攻擊內(nèi)部網(wǎng)絡(luò)；二是讓內(nèi)部網(wǎng)絡(luò)使用保留地址，通過NAT代理訪問外網(wǎng)，這對那些IP地址不足的用戶非常有益。 刪除附件文件或SPAM文件和過大的文件252。普通包過濾防火墻使用的過濾規(guī)則集是靜態(tài)的，除非用戶對其進(jìn)行重新配置，否則它的內(nèi)容是固定不變的。復(fù)合型防火墻是在綜合動(dòng)態(tài)包過濾技術(shù)和代理技術(shù)的優(yōu)點(diǎn)的情況下采取的一種更加完善和安全的防火墻技術(shù)?！?IPMAC地址捆綁： IPMAC地址綁定，即在防火墻地址策略中將網(wǎng)絡(luò)中的某臺主機(jī)的IP地址以及賦予該地址的硬件地址捆綁，在防火墻的過濾策略機(jī)制中，該IP地址和其硬件地址被作為統(tǒng)一標(biāo)識，根據(jù)策略設(shè)置防火墻對此地址的會話請求或通過或拒絕或記錄。● 完善的訪問控制規(guī)則控制：通過方正FS XX防火墻提供的基于TCP/IP協(xié)議中各個(gè)環(huán)節(jié)進(jìn)行安全控制，生成完整安全的訪問控制表，這個(gè)表包括：■ 外網(wǎng)（Internet）對內(nèi)部數(shù)據(jù)庫服務(wù)器、網(wǎng)絡(luò)功能服務(wù)器、業(yè)務(wù)服務(wù)器以及DMZ區(qū)服務(wù)器訪問控制。用于XX網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)的相互訪問，以確保可以訪問網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶不會破壞這些網(wǎng)絡(luò)服務(wù)的安全，保證：l 在數(shù)據(jù)中心、遠(yuǎn)程撥號用戶、分支機(jī)構(gòu)或公用網(wǎng)之間要有合適的界面；l 控制用戶訪問信息服務(wù)。關(guān)鍵主機(jī)的安全某些關(guān)鍵主機(jī)承載著XX至關(guān)重要的數(shù)據(jù)信息和業(yè)務(wù)系統(tǒng)，有時(shí)候可能關(guān)系到XX發(fā)展或生死存亡的命運(yùn)。 性價(jià)比原則：整個(gè)系統(tǒng)應(yīng)具有較高的性能價(jià)格比并能夠很好地保護(hù)投資。 綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當(dāng)大的比例，在建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。P2DR2F模型包含6個(gè)主要部分：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測）、Response（響應(yīng)）、Recovery（恢復(fù)）和Forensic（取證）。機(jī)房重地卻是任何人都可以進(jìn)進(jìn)出出，來去自由。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。防火墻的訪問控制功能能夠很好的對使用應(yīng)用服務(wù)的用戶進(jìn)行嚴(yán)格的控制，配合以入侵檢測系統(tǒng)就能安全的保護(hù)XX信息網(wǎng)的各種應(yīng)用系統(tǒng)。網(wǎng)絡(luò)防病毒體系應(yīng)包括：網(wǎng)關(guān)級的病毒防護(hù)、服務(wù)器級的病毒防護(hù)、群件級（主要指郵件系統(tǒng)）的病毒防護(hù)以及個(gè)人主機(jī)級別的病毒防護(hù)，所有的病毒防護(hù)組件均應(yīng)能集中控制，并具備很強(qiáng)的擴(kuò)展能力。216。網(wǎng)絡(luò)與信息安全二者的有機(jī)結(jié)合需要能提供高技術(shù)、高質(zhì)量產(chǎn)品和高水準(zhǔn)安全服務(wù)的公司。它既涉及對外部攻擊的有效防范，又包括制定完善的內(nèi)部安全保障制度；既涉及防病毒攻擊，又涵蓋實(shí)時(shí)檢測、數(shù)據(jù)加密和安全評估等內(nèi)容。因此，網(wǎng)絡(luò)安全解決方案不應(yīng)僅僅提供對于某種安全隱患的防范能力，而是應(yīng)涵蓋對于各種可能造成網(wǎng)絡(luò)安全問題隱患的整體防范能力；同時(shí)，它還應(yīng)該是一種動(dòng)態(tài)的解決方案，能夠隨著網(wǎng)絡(luò)安全需求的增加而不斷改進(jìn)和完善。方正信息安全技術(shù)有限公司（以下簡稱方正信息安全）通過自身的研發(fā)以及與國內(nèi)外著名IT公司的合作，形成了完備的網(wǎng)絡(luò)安全產(chǎn)品線體系和網(wǎng)絡(luò)管理產(chǎn)品線體系，涉及防火墻、防病毒、入侵檢測、虛擬專用網(wǎng)等各個(gè)安全領(lǐng)域和網(wǎng)絡(luò)架構(gòu)管理、桌面管理等網(wǎng)絡(luò)管理領(lǐng)域。 PC服務(wù)器：配置兩臺部門級PC服務(wù)器作為公網(wǎng)及專網(wǎng)的WEB服務(wù)器，提供WEB接入、公網(wǎng)、專網(wǎng)信息的發(fā)布功能，配置一臺PC服務(wù)器作為系統(tǒng)管理服務(wù)器，提供安全、網(wǎng)絡(luò)管理服務(wù)功能，配置一臺PC服務(wù)器作為MAIL服務(wù)器，提供 郵件系統(tǒng)處理和存儲功能。因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足，因?yàn)槠滟囈陨娴腡CP/IP協(xié)議族，缺乏相應(yīng)的安全機(jī)制，而且因特網(wǎng)最初的設(shè)計(jì)考慮是該網(wǎng)不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此他在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。WWW服務(wù)器安全風(fēng)險(xiǎn)l 服務(wù)器崩潰，各種WEB應(yīng)用服務(wù)停止；l WEB服務(wù)腳本的安全漏洞，遠(yuǎn)程溢出(.Printer漏洞)；l 通過WEB服務(wù)服務(wù)獲取系統(tǒng)的超級用戶特權(quán)；l WEB頁面被惡意刪改；l 通過WEB服務(wù)上傳木馬等非法后門程序，以達(dá)到對整個(gè)服務(wù)器的控制；l WEB服務(wù)器的數(shù)據(jù)源，被非法入侵，用戶的一些私有信息被竊；l 利用WEB服務(wù)器作為跳板，進(jìn)而攻擊內(nèi)部的重要數(shù)據(jù)庫服務(wù)器；l 拒絕服務(wù)器攻擊或分布式拒絕服務(wù)攻擊；l 針對IIS攻擊的工具，如IIS Crash；l 各種網(wǎng)絡(luò)病毒的侵襲，如Nimda,Redcode II等；l 惡意的JavaApplet,Active X攻擊等；l WEB 服務(wù)的某些目錄可寫；l CGIBIN目錄未授權(quán)可寫，采用默認(rèn)設(shè)置，一些系統(tǒng)程序沒有刪除。例如：一種簡單的附著在文件上的病毒將遵照以下步驟感染你系統(tǒng)中的文件。存有惡意的入侵者便有機(jī)會得到入侵的條件。防護(hù)、檢測、響應(yīng)、恢復(fù)和取證組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。252。252。重點(diǎn)保護(hù)關(guān)鍵服務(wù)器是非常有實(shí)際意義的安全措施。不安全地連接到網(wǎng)絡(luò)服務(wù)會影響整個(gè)機(jī)構(gòu)的安全，所以，只能讓用戶直接訪問已明確授權(quán)使用的服務(wù)和已明確授權(quán)使用的內(nèi)容。將外部對內(nèi)部（內(nèi)部局域網(wǎng)）、DMZ內(nèi)服務(wù)訪問明確限制，防止非法對內(nèi)部重要系統(tǒng)，特別是業(yè)務(wù)系統(tǒng)的訪問。IPMAC地址綁定作用在于：l 避免用戶隨意更改IP地址。其功能強(qiáng)大，是未來防火墻技術(shù)發(fā)展的一個(gè)主要趨勢。而采用狀態(tài)檢測技術(shù)的防火墻在運(yùn)行過程中一直維護(hù)著一張動(dòng)態(tài)狀態(tài)表，這張表記錄了從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，然后防火墻根據(jù)該表內(nèi)容對返回受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析判斷，這樣，只有響應(yīng)受保護(hù)網(wǎng)絡(luò)請求的數(shù)據(jù)包才被放行。 轉(zhuǎn)換發(fā)送者或收信者的數(shù)據(jù)格式為特別文句。NAT技術(shù)有多種，它們包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換等等。其原理如下圖所示：安全管理252。SecuwayCenter 利用了 Microsoft SQL Server的強(qiáng)大功能、提供了可靠的信息存儲和快速的數(shù)據(jù)檢索。 安全的密鑰存儲為安全起見、驗(yàn)證和加密密鑰被制成 PCI 硬件?？焖僮詣?dòng)的檢測、會話攔截和電腦黑客入侵報(bào)警。可以根據(jù)不同時(shí)間段（月、天、小時(shí)）產(chǎn)生統(tǒng)計(jì)報(bào)表。遠(yuǎn)程管理：如果可以從遠(yuǎn)程終端來管理網(wǎng)絡(luò)安全設(shè)置，整個(gè)系統(tǒng)就會更加的完整和高效。方正入侵檢測系統(tǒng)將提供用戶方便快捷地實(shí)施網(wǎng)絡(luò)安全工作。2． 高性能的病毒防護(hù)由于采用了硬件和軟件特殊的集成技術(shù)，使得熊貓衛(wèi)士安全網(wǎng)關(guān)能夠提供高性能的病毒防護(hù)。熊貓衛(wèi)士安全網(wǎng)關(guān)允許創(chuàng)建VIP用戶列表以使這些用戶不應(yīng)用過濾規(guī)則。可以啟用針對SMTP，POP3和IMAP4的反垃圾郵件掃描，將只對通過上述協(xié)議進(jìn)入的郵件進(jìn)行垃圾郵件掃描。在獲取結(jié)果后，便可通過防病毒系統(tǒng)全網(wǎng)進(jìn)行及時(shí)地更新。3． 工作站防病毒軟件XX信息中心的網(wǎng)絡(luò)中的工作站計(jì)算機(jī)將按照管理服務(wù)器的指令從倉儲服務(wù)器獲得客戶端的防病毒軟件ClientShield，以及及時(shí)自動(dòng)的按照管理服務(wù)器的指令從倉儲服務(wù)器更新病毒庫和升級防病毒軟件。AdminSecure和各個(gè)相應(yīng)防病毒軟件部署完成后，便可部署全網(wǎng)既定的防病毒策略。CleintShield將為客戶端計(jì)算機(jī)提供實(shí)時(shí)監(jiān)控防護(hù)；同時(shí)，用戶也可以自主地利用ClientShield的用戶界面自主地進(jìn)行病毒掃描。建議采取下列維護(hù)措施：216。6) 將來，如果某公司的網(wǎng)絡(luò)進(jìn)行擴(kuò)容，熊貓衛(wèi)士安全網(wǎng)關(guān)就可以方便地進(jìn)行設(shè)備擴(kuò)展，通過負(fù)載均衡進(jìn)行性能提升，并且還可以根據(jù)網(wǎng)絡(luò)實(shí)際流量，調(diào)節(jié)掃描的協(xié)議，避免可能的瓶頸。那些具有潛在危險(xiǎn)的內(nèi)容在進(jìn)入公司內(nèi)部網(wǎng)絡(luò)之前便會被熊貓衛(wèi)士安全網(wǎng)關(guān)攔截，從而減少帶寬占用并且優(yōu)化資源利用。3． 高可擴(kuò)展性和負(fù)載均衡熊貓衛(wèi)士安全網(wǎng)關(guān)具有的負(fù)載均衡功能使得其能夠適用于擁有較高網(wǎng)絡(luò)帶寬的大中型企業(yè)。從用戶的觀點(diǎn)來看，不同類型和強(qiáng)大的報(bào)告功能也是非常重要的。這樣，方正入侵檢測系統(tǒng)就可以提供在遠(yuǎn)程來管理整個(gè)網(wǎng)絡(luò)安全了。l 可對所有屬于黑名單中IP的流量進(jìn)行阻斷、可對所有屬于灰名單中IP的流量產(chǎn)生報(bào)警方正入侵檢測系統(tǒng)可以控制特定的服務(wù)器、客戶端和服務(wù)（協(xié)議），如果需要可以定義規(guī)則阻斷非法連接。l 檢測規(guī)則不少于1600種方正入侵檢測系統(tǒng)提供