【文章內(nèi)容簡介】 ：使用大量無意義的服務(wù)請求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、 CPU 處理能力和 IO 能力，造成系統(tǒng)癱瘓，無法對外提供服務(wù)。典型的例子就是 2021 年年初黑客對 Yahoo 等大型網(wǎng)站的攻擊。 黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，如果是對軍用和政府網(wǎng)絡(luò)的攻擊，還會對國家安全造成嚴(yán)重威脅。 . 網(wǎng)絡(luò)與信息安全平臺的任務(wù) 網(wǎng)絡(luò)與信息安全平臺的任務(wù)就是創(chuàng)建一個完善的安全防護體系，對所有非法網(wǎng)絡(luò)行為，如越權(quán)訪問、病毒傳播、惡意破壞等等，做到事前預(yù)防、事中報警并阻止，事后能有效的將系統(tǒng)恢復(fù)。 在上文對黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個安全漏洞都會給黑客以可乘之機。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)安全里尤其適用。所以，我們的方案必須是一個完整的網(wǎng)絡(luò)安全解決方案，對網(wǎng)絡(luò)安全的每一個環(huán)節(jié)，都要有仔細(xì)的考慮。 . 網(wǎng)絡(luò)安全解決方案的組成 針對前文對黑客入侵的過程的描述，為了更為有效的保證網(wǎng)絡(luò)安全，方正數(shù)碼提出了兩個理念： 立體安全防護體系 和 安全服務(wù)支持 。首先網(wǎng)絡(luò)的安全決不僅僅是 一個防火墻，它應(yīng)是包括入侵測檢（ IDS）、防病毒等功能在內(nèi)的立體的安全防護體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。 一個好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個部分組成： ? 防火墻 ： 對網(wǎng)絡(luò)攻擊的阻隔 防火墻是保證網(wǎng)絡(luò)安全的重要屏障。防火墻根據(jù)網(wǎng)絡(luò)流的來源和訪問的目標(biāo)，對網(wǎng)絡(luò)流進行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。防火墻最大的意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效的將復(fù)雜的網(wǎng)絡(luò)安全問題簡化，大大降低管理成本和潛在風(fēng)險。在應(yīng)用防火墻技術(shù)時，正確的劃分 網(wǎng)絡(luò)邊界和制定完 善的安全策略是至關(guān)重要的。 發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。比如方正方御防火墻在很好的實現(xiàn)了防火墻功能的同時，也實現(xiàn)了下面所說的入侵檢測功能； ? 入侵檢測（ IDS）：對攻擊試探的預(yù)警 當(dāng)黑客試探攻擊時，大多采用一些已知的攻擊方法來試探。網(wǎng)絡(luò)安全漏洞掃描器是“先敵發(fā)現(xiàn)”，未雨綢繆。而從另外一個角度考慮問題，“實時監(jiān)測”，發(fā)現(xiàn)黑客攻擊的企圖，對于網(wǎng)絡(luò)安全來說也是非常有意義的。甚至由此派生出了P^2DR 理論。 入侵檢測系統(tǒng)通過掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測），或者探測系統(tǒng)的 異常行為（主機入侵檢測），來發(fā)覺這類攻擊的存在。一旦被發(fā)現(xiàn)，則報警并作出相應(yīng)處理，同時可以根據(jù)預(yù)定的措施自動反應(yīng)，比如暫時封掉發(fā)起該掃描的 IP。 需要注意的是，入侵檢測系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。事實上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進行一些較為復(fù)雜的變形，就能做到?jīng)]有入侵檢測系統(tǒng)能夠識別出來。所以，在應(yīng)用入侵檢測系統(tǒng)時，千萬不要因為有了入侵檢測系統(tǒng)，就不對系統(tǒng)中的安全隱患進行及時補救。 ? 安全審計管理 安全審計系統(tǒng)必須實時監(jiān)測網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵 、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實記錄，并能對于嚴(yán)重的違規(guī)行為進行阻斷。安全審計系統(tǒng)所做的記錄如同飛機上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。 安全審計跟蹤機制的內(nèi)容是在安全審計跟蹤中記錄有關(guān)安全的信息，而安全審計管理的內(nèi)容是分析和報告從安全審計跟蹤中得來的信息。安全審計跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。 收集審計跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對安全要求的明顯違反或成功操作的完成），能適應(yīng)各 種不同的需要。已知安全審計的存在可對某些潛在的侵犯安全的攻擊源起到威攝作用。 ? 防病毒以及特洛伊木馬 計算機病毒的危害不言而喻，計算機病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來，成為黑客的又一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。 ? 安全策略的實施保證 網(wǎng)絡(luò)安全知識的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。 此外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡(luò)攻擊或者意外災(zāi)害帶來的破壞性損失。 . 超高安全要求下的網(wǎng)絡(luò)保護 對于 華能電力網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)中心 安全而言，安全性需求就更 加的高，屬于超高安全要求下的網(wǎng)絡(luò)保護范圍，因此需要在這些地方使用 2 臺防火墻進行雙機熱備，以保證數(shù)據(jù)穩(wěn)定傳輸。 . 認(rèn)證與授權(quán) 認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)（包括撥號）時，要有非常嚴(yán)格的認(rèn)證與授權(quán)機制，防止黑客假冒身份滲透進內(nèi)部網(wǎng)絡(luò)。 對于內(nèi)部訪問，也要有完善的網(wǎng)絡(luò)行為審計記錄和權(quán)限限定，防止由內(nèi)部人員發(fā)起的攻擊── 70%以上的攻擊都是內(nèi)部人員發(fā)起的。 我們建議 華能電力網(wǎng)絡(luò)安全系統(tǒng) 利用基于 證書的認(rèn)證體系（目前最強的認(rèn)證體系）來進行認(rèn)證。 方正方御防火墻管理 也是用 證書進行認(rèn)證的。 . 網(wǎng)絡(luò)隔離 網(wǎng)絡(luò)安全界的一個玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個簡單的原理：如果網(wǎng)絡(luò)是隔離開的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。 但對于需要和外界溝通的實際應(yīng)用系統(tǒng)來說，完全的物理隔離是行不通的。 方正數(shù)碼提出了 安全數(shù)據(jù)通道 網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過破壞網(wǎng)絡(luò)攻擊得以進行的另外兩個重要條件： ? 從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接 ? 將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò) 從而確保 華能電力網(wǎng)絡(luò)安全系統(tǒng)的安全 。 . 實施保證 華能電力網(wǎng)絡(luò)安全系統(tǒng) 牽涉網(wǎng)點眾多，網(wǎng)絡(luò) 結(jié)構(gòu)復(fù)雜。要保護這樣一個繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機制，一方面要能讓 華能電力網(wǎng)絡(luò)安全系統(tǒng) 網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。 方正方御防火墻采用基于 Windows GUI 的用戶界面進行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個控制機對多臺方正方御防火墻進行集中式的管理。 方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級權(quán)限機制，分為管理員，策略員和審計員。管理員負(fù)責(zé)防火墻的開關(guān) 及日常維護，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機制，這樣他們共同地負(fù)責(zé)起一個安全的管理平臺。事實上，方御防火墻是通過該標(biāo)準(zhǔn)認(rèn)證的第一個包過濾防火墻。 另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強制執(zhí)行的實施域分組授權(quán)機制，尤其適合于 華能電力網(wǎng)絡(luò)安全系統(tǒng) 這樣的大型網(wǎng)絡(luò)。 2. 安全架構(gòu)分析與設(shè)計 邏輯上， 華能電力網(wǎng)絡(luò)安全系統(tǒng)將劃分為三個區(qū)域：數(shù)據(jù)中心、局域網(wǎng)用戶和外網(wǎng)。 其中每一個局域網(wǎng)節(jié)點劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個網(wǎng)段，網(wǎng)段之間設(shè)置安全隔離區(qū)。每一個網(wǎng)段必須 能夠構(gòu)成一個獨立的、完整的、安全的、可靠的系統(tǒng)。 . 網(wǎng)絡(luò)整體結(jié)構(gòu) 華能電力網(wǎng)絡(luò)安全系統(tǒng) 需要涉及若干電力部門，各地方的網(wǎng)絡(luò)通過專用網(wǎng)連接起來，網(wǎng)絡(luò)安全通過防火墻設(shè)備和入侵檢測設(shè)備實現(xiàn)。 網(wǎng)絡(luò)整體結(jié)構(gòu)如下圖所示： SiSi財務(wù)服務(wù)器 部門服務(wù)器 OA服務(wù)器網(wǎng)管服務(wù)器安全產(chǎn)品控制臺SiSiSiSiSiSi入侵檢測系統(tǒng)DDN/FR廣域網(wǎng)連接各分公司和電廠SiSiSiSi防病毒域服務(wù)器主服務(wù)器IBM 8265IBM 8265IBM 8277IBM 8277IBM 8277IBM 8277IBM 8277IBM 2216 網(wǎng)絡(luò)整體結(jié)構(gòu)示意圖 . 集中管理和分級管理 由于 華能電力網(wǎng)絡(luò)安全系統(tǒng) 涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進行審計管理，日志查詢等操作。而用戶的權(quán)限機制分配必須通過網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。 需要集中管理的網(wǎng)絡(luò)設(shè)備包括 防火墻設(shè)備、入侵檢測設(shè)備和防病毒軟件。在華能電力網(wǎng)絡(luò)安全系統(tǒng) 網(wǎng)絡(luò)管理中心需要對各公司，電廠的網(wǎng)絡(luò)安全設(shè)備進行集中管理。 分析 華能電力網(wǎng)絡(luò)安全系統(tǒng) 的特點和需求，方正方御防火墻的集中管理功能和權(quán)限管理機制完全可以滿足這些需求。 方正方御防火墻采用基于 Windows GUI 的用戶界面進行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個控制機對多臺方正方御防火墻進行集中式的管理。 方正方御防火墻采用了三級權(quán)限機制，分為管理員，策略員和審計員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護，策略員負(fù)責(zé)配置防火墻的包過濾和入 侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機制。這樣他們共同的負(fù)責(zé)起一個安全的管理平臺。 華能電力網(wǎng)絡(luò)安全系統(tǒng) 的集中管理圖如下所示： DDN/FR地方公司地方電廠數(shù)據(jù)中心網(wǎng)絡(luò)控制機入侵檢測系統(tǒng)入侵檢測系統(tǒng)入侵檢測系統(tǒng) 網(wǎng)絡(luò)安全產(chǎn)品集中管理示意圖 . 華能電力網(wǎng)絡(luò)安全系統(tǒng) 管理中心網(wǎng)絡(luò) 華能電力網(wǎng)絡(luò)安全系統(tǒng) 管理中心除了需要提供信息服務(wù)外，還需要對各公司和電廠的網(wǎng)絡(luò)設(shè)備進行集中管理，因此網(wǎng)絡(luò)的安全性和可靠性尤其的重要。 內(nèi)部區(qū)放置控制服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、系統(tǒng)管理服務(wù)器等設(shè)備。 華能電力網(wǎng)絡(luò)安全系統(tǒng) 管理中心的網(wǎng)管工作站負(fù)責(zé)對給 地方公司和電廠的 所有的安全產(chǎn)品進行集中管理和權(quán)利分配任務(wù)。而且安全產(chǎn)品的審計工作也都是在網(wǎng)管中心進行統(tǒng)計和備份。 . 各地方公司和電廠網(wǎng)絡(luò)設(shè)計 各地方公司和電廠的網(wǎng)絡(luò)結(jié)構(gòu)節(jié)點也同樣劃分為內(nèi)部操作（控制）區(qū)、公開信息區(qū)兩個網(wǎng)段。對于這些網(wǎng)絡(luò)我們建議使用如下方案： PSTNDDN/FR財務(wù)服務(wù)器 部門服務(wù)器 OA服務(wù)器防病毒域服務(wù)器入侵檢測系統(tǒng) 地方公司和電廠網(wǎng)絡(luò)示意圖 . 和 Inter 相連的外部網(wǎng)絡(luò)設(shè)計 由于華能電力網(wǎng)絡(luò)安全系統(tǒng)的內(nèi)網(wǎng)和外網(wǎng)是物理隔離的，因此保障了內(nèi)部網(wǎng)絡(luò)的安全同時，還需要對外部網(wǎng)絡(luò)進行適當(dāng)?shù)陌踩雷o。 對于外網(wǎng)我們建 議使用如下方案： 入侵檢測系統(tǒng)InterPSTN 外部網(wǎng)絡(luò)示意圖 3. 產(chǎn)品選型 . 防火墻的選型 我們采用方正最新型方正方御防火墻。方正方御防火墻是一個很優(yōu)秀的防火墻，同時它集成強大的入侵檢測功能。方正方御防火墻是國內(nèi)第一個通過公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證標(biāo)準(zhǔn)的包過濾級防火墻產(chǎn)品，同時通過了中國人民解放軍安全測評認(rèn)證中心、國家保密局和中國國家信息安全測評認(rèn)證中心的嚴(yán)格認(rèn)證。 . 方正數(shù)碼公司簡介 作為方正集團互聯(lián)網(wǎng)戰(zhàn)略的實施者，方正數(shù)碼將自身定位于電子商務(wù)的“賦能者”，其業(yè)務(wù)涉及互 聯(lián)網(wǎng)與電子商務(wù)的技術(shù)研究應(yīng)用與系統(tǒng)集成、網(wǎng)絡(luò)市場營銷服務(wù)、空間信息應(yīng)用、無線互聯(lián)以及電子商務(wù)的咨詢服務(wù)等方向，以幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)的運營者在互聯(lián)網(wǎng)時代健康成功的發(fā)展為己任。 要給電子商務(wù)運營者賦能，先要給安全賦能。方正數(shù)碼首先推出的就是方正方御互聯(lián)網(wǎng)安全解決方案。方正方御是在經(jīng)過一年多的大量投入和深入的研究