【文章內(nèi)容簡介】 ，與每日的備份互不干擾，獨(dú)立進(jìn)行。網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 8 ~. 防病毒、防黑客、防間諜系統(tǒng)方案設(shè)計(jì). 防病毒系統(tǒng). 概述病毒伴隨著計(jì)算機(jī)系統(tǒng)一起發(fā)展了十幾年，目前其形態(tài)和入侵途徑已發(fā)生了巨大的變化。目前幾乎每天都有新的病毒出現(xiàn)在 Inter 上，并且由于其借助Inter 上的信息往來，所以傳播速度極快。隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，病毒也變得越來越復(fù)雜和高級(jí)。據(jù) 2022 年新華網(wǎng)調(diào)查結(jié)果顯示，計(jì)算機(jī)病毒發(fā)作造成損失的比例為 62%。瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、網(wǎng)絡(luò)無法使用、密碼被盜是計(jì)算機(jī)病毒造成的主要破壞后果?；谝陨线@些情況，為了企業(yè)的財(cái)產(chǎn)免受損失，大多數(shù)企業(yè)都需要選擇多層的病毒防衛(wèi)體系，所謂多層病毒防衛(wèi)體系，是指在企業(yè)的每個(gè)臺(tái)式機(jī)上要安裝臺(tái)式機(jī)的反病毒軟件，在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件，在INTERNET 網(wǎng)關(guān)上要安裝基于 INTERNET 同關(guān)的反病毒軟件，因?yàn)閷?duì)企業(yè)來說，防止病毒的攻擊并不是某一個(gè)管理員的責(zé)任，而是每一個(gè)員工的責(zé)任，每一個(gè)員工都要做到個(gè)人使用的臺(tái)式機(jī)上不受病毒的感染，從而保證整個(gè)企業(yè)網(wǎng)不受病毒的感染。. 病毒威脅分析目前絕大多數(shù)病毒傳播的途徑是網(wǎng)絡(luò)。對(duì)于一個(gè)網(wǎng)絡(luò)系統(tǒng)而言，針對(duì)病毒的入侵渠道和病毒集散地進(jìn)行防護(hù)是最有效的防治策略。因此，對(duì)于每一個(gè)病毒可能的入口，部署相應(yīng)的防病毒軟件，實(shí)時(shí)檢測(cè)其中是否有病毒，是構(gòu)建一個(gè)完整有效防病毒體系的關(guān)鍵。? 來自系統(tǒng)外部（Inter 或外網(wǎng)）的病毒入侵：這是目前病毒進(jìn)入最多的途，耗費(fèi)資源最少的措施。可以使進(jìn)入內(nèi)部系統(tǒng)的病毒數(shù)量大為減少。但很明顯，它只能阻擋進(jìn)出內(nèi)部系網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 9 ~統(tǒng)病毒的入侵。? 網(wǎng)絡(luò)郵件/群件系統(tǒng)：如果網(wǎng)絡(luò)內(nèi)采用了自己的郵件 /群件系統(tǒng)實(shí)施辦公和信息自動(dòng)化，那么一旦有某個(gè)用戶感染了病毒，通過郵件方式該病毒將以幾何級(jí)數(shù)在網(wǎng)絡(luò)內(nèi)迅速傳播，并且很容易導(dǎo)致郵件系統(tǒng)負(fù)荷過大而癱瘓。因此在郵件系統(tǒng)上部署防病毒也顯得尤為重要。? 文件服務(wù)器：文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務(wù)器大大提高了資源的重復(fù)利用率，并且能對(duì)信息進(jìn)行長期有效的存儲(chǔ)和保護(hù)。但是一旦服務(wù)器本身感染了病毒，就會(huì)對(duì)所有的訪問者構(gòu)成威脅。因此文件服務(wù)器也需要設(shè)置防病毒保護(hù)。? 最終用戶：病毒最后的入侵途徑就是最終的桌面用戶。由于網(wǎng)絡(luò)共享的便利性，某個(gè)感染病毒的桌面機(jī)可能隨時(shí)會(huì)感染其它的機(jī)器，或是被種上了黑客程序而向外傳送機(jī)密文件。因此在網(wǎng)絡(luò)內(nèi)對(duì)所有的客戶機(jī)進(jìn)行防毒控制也是非常重要的。. 解決方案建議我們建議采用業(yè)界和行業(yè)認(rèn)可技術(shù)性能優(yōu)異的卡巴斯基網(wǎng)絡(luò)防病毒體系部署解決。巴斯基為俄羅斯產(chǎn)品，獲得所有世界頂級(jí)權(quán)威認(rèn)證。是微軟的金牌認(rèn)證伙伴。其內(nèi)核被許多國內(nèi)外軟件開發(fā)商使用，如：Microworld、Deerfield、Borderware……世界上第一例計(jì)算機(jī)病毒就是被卡巴斯基發(fā)現(xiàn)的，相應(yīng)的第一個(gè)殺毒引擎也是卡巴斯 基開發(fā)的。獨(dú)有全球頂尖的掃描引擎技術(shù)?？ò退够捎玫囊媸牵骸暗诙鷨l(fā)式掃描 器” ，是最先進(jìn)的掃描引擎。之所以稱為“啟發(fā)式”，是因?yàn)樗梢栽诓桓虏《編?的前提下，發(fā)現(xiàn)未知病毒，例證：愛蟲、Bagle 惡意木馬程序等。網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 10 ~ 該系統(tǒng)的部署可滿足系統(tǒng)安全以下主要需求：? 簡易的安裝和配置操作Inter 訪問的穩(wěn)定性、安全性十分重要。防毒產(chǎn)品的安裝和設(shè)置應(yīng)盡量簡易，充分考慮系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對(duì)現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響。? 可管理性企業(yè)日益重視其 IT 環(huán)境的總體擁有成本（ TCO）。在有限的人力資源情況下，IT 管理員的工作是非常復(fù)雜和繁忙的，要管理好防病毒系統(tǒng)的安裝、升級(jí)、配置和工作報(bào)告是一個(gè)非常繁瑣的事，因此產(chǎn)品本身應(yīng)帶有集成的、易用的管理工具，管理員可以從一個(gè)集中管理控制臺(tái)對(duì)整個(gè)防毒系統(tǒng)進(jìn)行監(jiān)控管理和維護(hù)。? 軟件的可升級(jí)性可升級(jí)能力是衡量防病毒系統(tǒng)是否具有生命力的重要指標(biāo)。防毒軟件的特點(diǎn)是隨著各類新病毒的出現(xiàn)而必須盡快進(jìn)行更新和升級(jí)，其中包括病毒定義、網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 11 ~產(chǎn)品組件的更新。? 系統(tǒng)的可擴(kuò)展性在信息時(shí)代，企業(yè)的信息系統(tǒng)都處于飛速膨脹的過程之中。防病毒系統(tǒng)也應(yīng)適應(yīng)企業(yè)的發(fā)展趨勢(shì)，自身具有較大的可擴(kuò)展能力。充分保護(hù)用戶的現(xiàn)有投資，適應(yīng)計(jì)算機(jī)系統(tǒng)發(fā)展的需要。? 降低系統(tǒng)總體成本在讓客戶在獲得優(yōu)質(zhì)的防病毒服務(wù)的同時(shí)，能夠盡量減少所需增加的費(fèi)用支出。? 強(qiáng)大的病毒清除能力如果選用的防病毒軟件病毒清除能力較弱，在病毒爆發(fā)的情況下，管理員會(huì)為了徹底清除網(wǎng)絡(luò)中的病毒而疲于奔命，即使采用病毒專用清除工具，這樣在較長時(shí)間內(nèi)網(wǎng)羅中病毒會(huì)一直存在。采用世界最先進(jìn)的清除病毒能力較強(qiáng)的防毒產(chǎn)品，可確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒、黑客軟件防護(hù)能力。同時(shí)也降低了管理人員的工作量和防病毒產(chǎn)品的維護(hù)成本。? 優(yōu)秀的產(chǎn)品性能選用產(chǎn)品應(yīng)具備對(duì)多種文件格式、多層壓縮文件的病毒檢測(cè)。對(duì)包括各種宏病毒、變體病毒和黑客程序等已知病毒具有最佳的病毒檢測(cè)率，對(duì)未知病毒亦有良好的檢測(cè)能力。在提高病毒檢測(cè)力的同時(shí)，對(duì)檢測(cè)出的病毒也有很高的清除能力，依靠程序本身就可徹底清除感染文件的病毒，減輕管理人員對(duì)中毒事件的介入，把更多的精力放在構(gòu)建完整的病毒防護(hù)體系和管理工作上。? 新病毒的快速響應(yīng)在全球范圍內(nèi)每周產(chǎn)生大約 2022 只以上新病毒的情況下，每周的病毒庫更新使用戶在病毒出現(xiàn)后和下次更新前，會(huì)存在感染病毒而防病毒軟件根本無法識(shí)別的風(fēng)險(xiǎn)。而每天兩次病毒數(shù)據(jù)庫的更新，緊急情況下 45 分鐘的全球用戶更新，確保在任何新病毒出現(xiàn)的情況下通過快速高效的防病毒更新機(jī)制，使所有用戶得到最大程度的防病毒保護(hù)。因此對(duì)于整個(gè)網(wǎng)絡(luò)而言，需要采取綜合的防護(hù)措施，構(gòu)筑全方位的安全保護(hù)系統(tǒng)，才能得到真正有效的防病毒安全。網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 12 ~. 防黑客攻擊. 黑客攻擊方式黑客能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊的主要原因是網(wǎng)絡(luò)系統(tǒng)的缺陷與漏洞。黑客常用的攻擊方式有：? 網(wǎng)絡(luò)監(jiān)聽，網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵是將網(wǎng)卡設(shè)置為混雜模式的狀態(tài)。常用的監(jiān)聽工具有 Sniffit、Windump ，防范監(jiān)聽的辦法之一是加密? 端口掃描，利用常用的掃描工具如 SATAN、NSS、Strobe 、Superscan和 Ping 命令、 Tracert 命令等人工方式對(duì)系統(tǒng)開放的端口進(jìn)行掃描? 口令破解，一般的口令破解方式是從存放許多常用的口令的數(shù)據(jù)庫中，逐一地取出口令進(jìn)行嘗試；另一種做法是設(shè)法偷走系統(tǒng)的口令文件，如Email 欺騙，然后用口令破解工具破譯這些經(jīng)過加密的口令? IP 欺騙，通常是用編寫的程序?qū)崿F(xiàn)偽造某臺(tái)主機(jī)的 IP 地址，被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任? 拒絕服務(wù)攻擊簡稱 DoS。這種攻擊行動(dòng)使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)? 緩沖區(qū)溢出(又稱堆棧溢出)攻擊是最常用的黑客技術(shù)之一。這主要是因?yàn)?C 語言不檢查緩沖區(qū)的邊界。在某些情況下，如果用戶輸入的數(shù)據(jù)長度超過應(yīng)用程序給定的緩沖區(qū)，就會(huì)覆蓋其他數(shù)據(jù)區(qū)。就是通常說的“堆棧溢出或緩沖溢出拒絕服務(wù)攻擊”網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 13 ~. 解決方案建議. 網(wǎng)絡(luò)邊界安全隔離我們對(duì) XXXX 公司電子商務(wù)平臺(tái)網(wǎng)絡(luò)劃分為企業(yè)網(wǎng)與互聯(lián)網(wǎng)之間的邊界和服務(wù)器區(qū)與局域網(wǎng)之間的邊界，利用網(wǎng)絡(luò)隔離設(shè)備如防火墻或安全網(wǎng)關(guān)設(shè)備分別進(jìn)行隔離保護(hù)，提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。配置策略建議：? 公網(wǎng)接口：配置ACL訪問控制、ASPF （基于應(yīng)用層的報(bào)文過濾）、深度業(yè)務(wù)監(jiān)控等多種功能。本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動(dòng)發(fā)起的TCP連接，即如果報(bào)文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報(bào)文，則允許其通過防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，其他報(bào)文被禁止；? 園區(qū)內(nèi)部通過NAT訪問Inter：首先需要確認(rèn)訪問Inter的流量，然后對(duì)這些流量的地址進(jìn)行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請(qǐng)到的公網(wǎng)地址。本策略保證內(nèi)部網(wǎng)絡(luò)安全的訪問Inter；? Inter用戶訪問園區(qū)內(nèi)部公共服務(wù)器：在園區(qū)出口配置NAT Server，將一個(gè)公網(wǎng)的地址與內(nèi)部服務(wù)器地址關(guān)聯(lián)起來。Inter用戶向公網(wǎng)地址發(fā)起連接，在防火墻的公網(wǎng)接口上將該報(bào)文IP目的地轉(zhuǎn)換為內(nèi)部服務(wù)器地址，即可以到達(dá)內(nèi)部公共服務(wù)器的訪問目的。在公網(wǎng)接口上啟用nat server，提供WWW/MAIL等服務(wù)；? 設(shè)備流量鏡像配置：將防火墻內(nèi)網(wǎng)接口上的進(jìn)出流量在交換機(jī)上鏡像到接有流量監(jiān)控軟件PC的內(nèi)部端口上進(jìn)行流量查看、統(tǒng)計(jì)和管理控制。本策略是為了有限的帶寬被合理的利用，保證服務(wù)器能正常的為外部客戶提供服務(wù). 漏洞掃描系統(tǒng)除利用防火墻控制對(duì)網(wǎng)絡(luò)的入侵外，還需要針對(duì)主機(jī)系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機(jī)漏洞掃描可以主動(dòng)發(fā)網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 14 ~現(xiàn)主機(jī)系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng)管理員對(duì)該缺陷和漏洞進(jìn)行修補(bǔ)或堵塞。對(duì)于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購標(biāo)準(zhǔn)產(chǎn)品問題的，應(yīng)及時(shí)升級(jí)換代或安裝補(bǔ)丁程序；屬委托開發(fā)的產(chǎn)品問題的，應(yīng)與開發(fā)商協(xié)商修改程序或安裝補(bǔ)丁程序；屬于系統(tǒng)配置出現(xiàn)的問題，應(yīng)建議系統(tǒng)管理員修改配置參數(shù)，或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢(shì)的必要輔助手段，對(duì)使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求?？紤]到漏洞掃描能檢測(cè)出防火墻策略配置中的問題，能與入侵檢測(cè)形成很好的互補(bǔ)關(guān)系：漏洞掃描與評(píng)估系統(tǒng)使系統(tǒng)管理員在事前掌握主動(dòng)地位，在攻擊事件發(fā)生前找出并關(guān)閉安全漏洞；而入侵檢測(cè)系統(tǒng)則對(duì)系統(tǒng)進(jìn)行監(jiān)測(cè)以期在系統(tǒng)被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測(cè)在安全保護(hù)方面不但有共同的安全目標(biāo)，而且關(guān)系密切。本方案建議的漏洞掃描系統(tǒng)必須既能掃描路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備，也可掃描 Windows、常用 Unix 和Linux 操作系統(tǒng)，以及應(yīng)用系統(tǒng)主機(jī)、對(duì)外服務(wù)主機(jī)（WEB、EMAIL）等。. 入侵檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵的技術(shù)。它以探測(cè)與控制為技術(shù)本質(zhì)，起著主動(dòng)防御的作用，是網(wǎng)絡(luò)安全中極其重要的部分。入侵檢測(cè)功能是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的實(shí)時(shí)保護(hù)。通過入侵檢測(cè)系統(tǒng)的實(shí)施，可實(shí)現(xiàn)如下安全防護(hù)：網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 15 ~（1）檢測(cè)黑客入侵的方法和手段從網(wǎng)絡(luò)中搜集到網(wǎng)絡(luò)行為的信息后，通過分析其中的各種攻擊特征，可以全面快速地識(shí)別各種網(wǎng)絡(luò)攻擊，如：掃描探測(cè)攻擊、口令猜測(cè)攻擊、緩沖區(qū)溢出攻擊、郵件炸彈攻擊、拒絕服務(wù)攻擊、瀏覽器攻擊等，并對(duì)攻擊行為采取相應(yīng)的防范措施。（2）監(jiān)控內(nèi)部人員的誤操作、資源濫用和惡意行為網(wǎng)絡(luò) IDS 記錄網(wǎng)絡(luò)行為的屬性、特征、來源和目標(biāo)，并能在控制臺(tái)的監(jiān)控視圖上顯示實(shí)時(shí)活動(dòng)的 TCP 連接和正在訪問的 URL。網(wǎng)絡(luò) IDS 會(huì)對(duì)網(wǎng)絡(luò)中不正常的通信連接做出反應(yīng)，從而保證所有網(wǎng)絡(luò)通信的合法性；任何不符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)數(shù)據(jù)都會(huì)被網(wǎng)絡(luò) IDS 探測(cè)到并報(bào)警。網(wǎng)絡(luò) IDS 可以根據(jù)用戶需要定義各種需檢測(cè)的安全事件，例如對(duì)特定目標(biāo)主機(jī)的訪問的檢測(cè)、對(duì)數(shù)據(jù)傳輸中包含的特定內(nèi)容的檢測(cè)。這樣可以及時(shí)發(fā)現(xiàn)違反安全規(guī)定的誤操作、資源濫用和惡意行為。網(wǎng)絡(luò) IDS 可以監(jiān)控的誤操作、資源濫用和惡意行為有：? 對(duì)重要服務(wù)器的過于頻繁的訪問，致使系統(tǒng)效率下降；? 非授權(quán)用戶對(duì)重要服務(wù)器的多次登錄請(qǐng)求；