【正文】 – 病毒造成的間接損失可能更大，病毒造成的事故對(duì)企業(yè)的影響是直接導(dǎo)致企業(yè)信息資產(chǎn)損失，可能影響生產(chǎn)運(yùn)營(yíng)。18 / 34需求建議：對(duì)于 XX 企業(yè)集團(tuán)信息網(wǎng)目前尚無(wú)任何網(wǎng)絡(luò)安全監(jiān)測(cè)措施，對(duì)于發(fā)生的網(wǎng)絡(luò)安全問(wèn)題需要有效的監(jiān)測(cè)手段；對(duì)于全網(wǎng)的風(fēng)險(xiǎn)評(píng)估需要建立相應(yīng)的評(píng)估制度；對(duì)于系統(tǒng)加固和漏洞修補(bǔ)需要固定的工作流程和漏洞發(fā)現(xiàn)和加固計(jì)劃。拓?fù)浣Y(jié)構(gòu)如下圖所示：20 / 3421 / 34由于 XX 企業(yè)集團(tuán) ERP 系統(tǒng)承載著企業(yè)大量的重要數(shù)據(jù)信息，因此必須通過(guò)防火墻的訪問(wèn)控制過(guò)濾技術(shù)對(duì)非授權(quán)的用戶進(jìn)行嚴(yán)格地控制和防護(hù)。煉鋼大高爐生產(chǎn)子網(wǎng)配置天融信單模千兆防火墻 NGFW4000UF。但是，存在著一些防火墻等其它安全設(shè)備所不能防范的安全威脅，這就需要入侵檢測(cè)系統(tǒng)提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等，來(lái)保護(hù) XX 企業(yè)集團(tuán)局域網(wǎng)的安全。（4） 入侵檢測(cè)證實(shí)并且詳細(xì)記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡(luò)安全管理方案時(shí)，通常需要證實(shí)網(wǎng)絡(luò)很可能或者正在受到攻擊。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問(wèn)題。防蠕蟲攻擊? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)可以實(shí)時(shí)檢測(cè)到日益泛濫的蠕蟲攻擊，并對(duì)其進(jìn)行實(shí)時(shí)阻斷，從而有效防止企業(yè)網(wǎng)絡(luò)因遭受蠕蟲攻擊而陷于癱瘓。同時(shí)，所有這些系統(tǒng)也可通過(guò)預(yù)留的數(shù)據(jù)接口31 / 34接收其上報(bào)信息，并將相關(guān)信息上報(bào)至網(wǎng)絡(luò)應(yīng)用監(jiān)控系統(tǒng)，由其對(duì)相關(guān)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)統(tǒng)一監(jiān)控。? 報(bào)警管理：對(duì)網(wǎng)絡(luò)中的所有報(bào)警予以分類、匯總、分級(jí)，并統(tǒng)一報(bào)警，統(tǒng)一管理,報(bào)警信息上報(bào)至集中報(bào)警中心。? 網(wǎng)絡(luò)資源管理：對(duì)聯(lián)網(wǎng)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行登記、管理，平臺(tái)掃描器自動(dòng)對(duì)客戶端 IP 地址、主機(jī)名、MAC 地址、系統(tǒng)環(huán)境、端口情況等匯報(bào)給管理器,可充分了解網(wǎng)絡(luò)內(nèi)各種動(dòng)態(tài)和靜態(tài)資源的狀況，服務(wù)器及其他主機(jī)設(shè)備的使用狀況等；一旦發(fā)現(xiàn)異常變動(dòng)，將立即報(bào)警，同時(shí)具備信息統(tǒng)計(jì)、分類匯總、查詢、按條件篩選功能。集中報(bào)警處理中心還承擔(dān)上下級(jí)報(bào)警，從而傳遞職能實(shí)現(xiàn)重要事件及時(shí)報(bào)警及向上級(jí)匯報(bào)，為將來(lái)的網(wǎng)絡(luò)擴(kuò)展做好了準(zhǔn)備。 全面的協(xié)議保護(hù)? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)對(duì) SMTP、POPIMAPHTTP 和 FTP 等應(yīng)用協(xié)議進(jìn)行病毒掃描和過(guò)濾，有效地防止可能的病毒威脅。它包括了網(wǎng)絡(luò)漏洞檢測(cè)，報(bào)告服務(wù)進(jìn)程，提取對(duì)象信息，以及評(píng)測(cè)風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等多項(xiàng)功能，全面幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。? 在進(jìn)行系統(tǒng)訪問(wèn)控制機(jī)制設(shè)置時(shí)可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權(quán)限的錯(cuò)誤操作。有效的入侵檢測(cè)系統(tǒng)可以同時(shí)檢測(cè)內(nèi)部和外部威脅。如果斷掉交換機(jī)與防火墻之間的連線，對(duì)于防火墻和服務(wù)器的連接狀態(tài)依然正常，所以服務(wù)器沒(méi)有相應(yīng)的收斂算法能檢測(cè)到這種狀態(tài)的變化，不能相應(yīng)的切換。以上這些專網(wǎng)和生產(chǎn)子網(wǎng)他們和 XX 企業(yè)集團(tuán)內(nèi)網(wǎng)之間都需要進(jìn)行訪問(wèn)控制。防護(hù)還包括對(duì)線路高可用性、網(wǎng)絡(luò)病毒防護(hù)、數(shù)據(jù)容災(zāi)防護(hù)等方面。14 / 34 病毒對(duì) XX 企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)的安全威脅? 外部 –XX 企業(yè)與 Inter 有直接通道，會(huì)受到來(lái)自專網(wǎng)以HTTP、SMTP、FTP 等數(shù)據(jù)流為載體的潛在病毒的威脅。? 網(wǎng)絡(luò)節(jié)點(diǎn)變化的隱患在 XX 企業(yè)集團(tuán)網(wǎng)絡(luò)系統(tǒng)中，預(yù)留了一些空節(jié)點(diǎn)以備人員擴(kuò)充時(shí)使用，若有非法人員利用這些節(jié)點(diǎn)接入后，就可以直接連入 XX 企業(yè)集團(tuán)的網(wǎng)絡(luò)中，并且能與網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)服務(wù)器物理連接。 XX 企業(yè)內(nèi)部網(wǎng)絡(luò)與 Inter 如果不采取安全防護(hù)措施，這樣內(nèi)部網(wǎng)絡(luò)很容易遭到來(lái)自于 Inter 中可能的入侵者的攻擊?！?端系統(tǒng)安全，主要保護(hù)網(wǎng)絡(luò)環(huán)境下端系統(tǒng)的自身的安全。該模型由安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個(gè)層面描述，且在每個(gè)層面上，都包含安全管理的內(nèi)容。實(shí)施是在網(wǎng)絡(luò)現(xiàn)有應(yīng)用基礎(chǔ)上的改造，對(duì)網(wǎng)絡(luò)整體的安全加固，所以在上新的系統(tǒng)時(shí)不能影響原有系統(tǒng)應(yīng)用的整體性能?！?有效管理沒(méi)有有效的安全管理（如防火墻監(jiān)控、審計(jì)日志的分析等等） ，各種安全機(jī)制的有效性很難保證。安全管理涉及到所有協(xié)議層次、所有單元的安全服務(wù)和安全機(jī)制的管理。安全管理的內(nèi)容可以分成安全技術(shù)管理和安兮管理制度兩部分。? 在分支機(jī)構(gòu)與總部的 VPN 網(wǎng)關(guān)建立隧道以后，如果分支機(jī)構(gòu)的計(jì)算機(jī)遭到病毒或黑客的入侵，同樣將會(huì)對(duì) XX 企業(yè)的內(nèi)網(wǎng)造成安全威脅。如某臺(tái)非法主機(jī)在經(jīng)過(guò)相關(guān)的配置后就可以與網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)服務(wù)器和其他客戶端主機(jī)進(jìn)行 TCP/IP 通信。 安全服務(wù)體系不健全的威脅一個(gè)網(wǎng)絡(luò)的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護(hù)的。 病毒防護(hù)環(huán)節(jié)分析：? 主要針對(duì)全網(wǎng) 1000 多臺(tái)主機(jī)和 30 多臺(tái)服務(wù)器進(jìn)行病毒防護(hù)。若嚴(yán)格地采取物理隔離措施，固然可以做到系統(tǒng)的訪問(wèn)控制絕對(duì)安全，但是對(duì)于通過(guò)間接的物理訪問(wèn)而造成的病毒危害則很難防范（病毒庫(kù)很難及時(shí)升級(jí)） ，而且對(duì)整個(gè)信息系統(tǒng)的自動(dòng)化和工作效率不能有效地保證。 XX 企業(yè)防火墻的作用? 防火墻對(duì)內(nèi)網(wǎng)用戶一經(jīng)授權(quán)便能夠采用任何現(xiàn)有的或新出現(xiàn)的網(wǎng)絡(luò)技術(shù)訪問(wèn) Inter 獲取所需要的信息和服務(wù)；? 防火墻可以防范各種網(wǎng)絡(luò)攻擊，能夠查找到攻擊的來(lái)源和類型，能夠?qū)@些攻擊進(jìn)行反應(yīng)；? 對(duì)網(wǎng)絡(luò)訪問(wèn)接入點(diǎn)的保護(hù)應(yīng)該對(duì)相關(guān)組件與網(wǎng)絡(luò)的性能造成盡可能少的影響；? 抗 DOS/DDOS 攻擊：拒絕服務(wù)攻擊（DOS） 、分布式拒絕服務(wù)攻擊（DDOS）就是攻擊者過(guò)多的占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無(wú)法享有服務(wù)或沒(méi)有資源可用。建議在核心交換機(jī)上對(duì) Inter 的接口和未來(lái)的應(yīng)用服務(wù)器的接口做流量映射，配置天融信網(wǎng)絡(luò)衛(wèi)士的入侵檢測(cè) NGIDSUF。此外，攻擊的頻率和特征有助于選擇保護(hù)網(wǎng)絡(luò)免受相應(yīng)攻擊的安全手段。 網(wǎng)絡(luò)版防病毒解決方案根據(jù) XX 企業(yè)集團(tuán)網(wǎng)絡(luò)結(jié)構(gòu)和辦公系統(tǒng)計(jì)算機(jī)分布情況，病毒防范系統(tǒng)的安裝實(shí)施要求為：? 具備實(shí)時(shí)防護(hù)、計(jì)劃掃描和手動(dòng)掃描的功能；? 具備對(duì)各種常用格式的壓縮文件、包括多重壓縮文件的掃描功能；? 感染源和感染文件的隔離功能，提供對(duì)病毒感染源的網(wǎng)絡(luò)連接阻斷和隔離功能，并且記錄感染源的用戶信息。自動(dòng)在線升級(jí)? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)可以按照管理員設(shè)定的更新策略自動(dòng)連接到天融信公司的升級(jí)服務(wù)器，升級(jí)最新的病毒庫(kù)，保證企業(yè)網(wǎng)絡(luò)得到最有效的保護(hù)。對(duì)于防火墻、IDS 或漏洞掃描等網(wǎng)絡(luò)安全產(chǎn)品，獲取報(bào)警信息后，可在安全管理平臺(tái)直接對(duì)其進(jìn)行控制，也可通過(guò)其控制定期升級(jí)攻擊特征庫(kù)、升級(jí)安全系統(tǒng)等。? 關(guān)鍵設(shè)備性能管理及故障管理：通過(guò)對(duì)關(guān)鍵設(shè)備的性能分析及監(jiān)控，及時(shí)發(fā)現(xiàn)問(wèn)題的根源，迅速定位故障點(diǎn)，根據(jù)知識(shí)庫(kù)提供操作方法或應(yīng)急流程，提供各種比較便捷的報(bào)警方式。系統(tǒng)主要功能：32 / 34? 網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)及資產(chǎn)管理：資產(chǎn)管理包括能發(fā)現(xiàn)連接于網(wǎng)上的所有設(shè)備，能以圖形方式顯示網(wǎng)絡(luò)結(jié)構(gòu)；對(duì)網(wǎng)絡(luò)內(nèi)的聯(lián)網(wǎng)計(jì)算機(jī)數(shù)量及其情況精確統(tǒng)計(jì)；對(duì)網(wǎng)絡(luò)內(nèi)的ＩＰ地址分配狀況精確統(tǒng)計(jì)；以 WEB 日志方式查看用戶信息、設(shè)備信息、IP 分配情況、網(wǎng)絡(luò)主機(jī)運(yùn)行進(jìn)程和報(bào)警信息。同時(shí)，報(bào)警中心自動(dòng)把各種報(bào)警信息匯總成為3個(gè)高、中、低三個(gè)等級(jí)，顯示各類發(fā)生事件的名稱和發(fā)生事件設(shè)備名稱、ip、mac等信息，以便第一時(shí)間發(fā)現(xiàn)報(bào)警源頭和類型，發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)危害最大的報(bào)警信息，以最快速度妥善處理事件，從而在最大程度上增強(qiáng)系統(tǒng)管理員對(duì)于網(wǎng)絡(luò)突發(fā)事件的快速反應(yīng)能力。一旦部署完成，網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)就開始對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行病毒防護(hù)，保障網(wǎng)絡(luò)不受病毒侵害。系統(tǒng)漏洞掃描軟件應(yīng)能掃描操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)的安全漏洞。? 用戶和管理員在配置和使用系統(tǒng)時(shí)可能犯錯(cuò)誤。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。 如果不支持生成樹協(xié)議，又要避免環(huán)路出現(xiàn)，普通的防火墻會(huì)采用如下圖所示的連接方法（以一臺(tái)服務(wù)器舉例） ，每?jī)蓚€(gè)端口劃分一個(gè)廣播域，一臺(tái)防火墻要?jiǎng)澐謨蓚€(gè)廣播域。在 XX 企業(yè)集團(tuán)網(wǎng)絡(luò)系統(tǒng)中我們建立防火墻子系統(tǒng)的主要目標(biāo):邏輯隔離 XX企業(yè)集團(tuán)系統(tǒng)內(nèi)網(wǎng)與 Inter；保護(hù)兩臺(tái)重要的 ERP 服務(wù)器；對(duì)棒材和煉鋼生產(chǎn)子網(wǎng)進(jìn)行防護(hù)；對(duì)煉鋼大高爐生產(chǎn)子網(wǎng)進(jìn)行防護(hù)；對(duì)礦業(yè)公司和二化子網(wǎng)進(jìn)行防護(hù)；對(duì)電話站專網(wǎng)進(jìn)行防護(hù)。訪問(wèn)控制主要依靠防火墻技術(shù)、劃分 Vlan 技術(shù)身份認(rèn)證技術(shù)等方式來(lái)實(shí)現(xiàn)；? 保密性、可用性、不可抵賴性：主要包括一些信息保密手段，例如使用VPN 技術(shù)、采用加密軟件、或者應(yīng)用 CA 證書保證數(shù)據(jù)的安全防護(hù)等。如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。在該網(wǎng)絡(luò)結(jié)構(gòu)中，各重要的服務(wù)器和主機(jī)都將是通過(guò)核心交換機(jī)直接與其他子網(wǎng)連接的，并且這些服務(wù)器區(qū)的邊界如果沒(méi)有任何訪問(wèn)控制產(chǎn)品和監(jiān)控設(shè)備，內(nèi)部人員對(duì)這些服務(wù)器可以很容易實(shí)施攻擊。Internet EMAIL轉(zhuǎn)發(fā)服務(wù)器Proxy AAACisco3640防火墻pix 2950123500G24小型機(jī) SUNFIRE4800Catalyst6506Catalyst6506Catalyst4006Catalyst40062950G242950G242950G48生產(chǎn)子網(wǎng)12950G24295012 295012VPN及移動(dòng)上網(wǎng)卡3550G12T終端服務(wù)器計(jì)量服務(wù)器Email服務(wù)器3548G2m數(shù)字電路三個(gè)分廠生產(chǎn)子網(wǎng)2下面主要針對(duì) XX 企業(yè)的信息系統(tǒng)，列出可能面臨的主要安全威脅為：11 / 34 內(nèi)部網(wǎng)絡(luò)與 Inter 互聯(lián)的安全威脅? 與 Inter 相連，如果沒(méi)有邊界防護(hù)將是危險(xiǎn)的。如圖所示，從實(shí)體單元角度來(lái)看，安全體系結(jié)構(gòu)可以分成以下層次：● 物理環(huán)境安全。借鑒美國(guó)國(guó)防部 DISSP 計(jì)劃中的安全框架，我們提出了適合 XX 企業(yè)信息系統(tǒng)的安全體系結(jié)構(gòu)模型。 項(xiàng)目概述本次信息安全項(xiàng)目包括 XX 企業(yè)集團(tuán)下屬企業(yè)、附屬機(jī)構(gòu)和分支機(jī)構(gòu)的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)所需的相關(guān)設(shè)備、軟件以及方案詳細(xì)設(shè)計(jì)、系統(tǒng)集成、管理制度的建立、培訓(xùn)、技術(shù)支持與服務(wù)等內(nèi)容。XX 企業(yè)信息安全保障系統(tǒng)所提供的各種安全服務(wù)，涉及到各個(gè)層次、多個(gè)實(shí)體和各種安全技術(shù)，只有有效的安全管理才能保證這些安全控制機(jī)制真正有效地發(fā)揮作用；● 合理折衷在 XX 企業(yè)信息安全保障系統(tǒng)的建設(shè)過(guò)程中，單純考慮安全而不惜一切代價(jià)