【文章內容簡介】 ，與每日的備份互不干擾，獨立進行。網絡平臺系統暨信息安全建設整體解決方案建議書~ 8 ~. 防病毒、防黑客、防間諜系統方案設計. 防病毒系統. 概述病毒伴隨著計算機系統一起發(fā)展了十幾年，目前其形態(tài)和入侵途徑已發(fā)生了巨大的變化。目前幾乎每天都有新的病毒出現在 Inter 上，并且由于其借助Inter 上的信息往來，所以傳播速度極快。隨著計算機技術的不斷發(fā)展，病毒也變得越來越復雜和高級。據 2022 年新華網調查結果顯示，計算機病毒發(fā)作造成損失的比例為 62%。瀏覽器配置被修改、數據受損或丟失、系統使用受限、網絡無法使用、密碼被盜是計算機病毒造成的主要破壞后果。基于以上這些情況，為了企業(yè)的財產免受損失，大多數企業(yè)都需要選擇多層的病毒防衛(wèi)體系，所謂多層病毒防衛(wèi)體系，是指在企業(yè)的每個臺式機上要安裝臺式機的反病毒軟件，在服務器上要安裝基于服務器的反病毒軟件，在INTERNET 網關上要安裝基于 INTERNET 同關的反病毒軟件，因為對企業(yè)來說，防止病毒的攻擊并不是某一個管理員的責任，而是每一個員工的責任，每一個員工都要做到個人使用的臺式機上不受病毒的感染，從而保證整個企業(yè)網不受病毒的感染。. 病毒威脅分析目前絕大多數病毒傳播的途徑是網絡。對于一個網絡系統而言，針對病毒的入侵渠道和病毒集散地進行防護是最有效的防治策略。因此，對于每一個病毒可能的入口，部署相應的防病毒軟件，實時檢測其中是否有病毒，是構建一個完整有效防病毒體系的關鍵。? 來自系統外部（Inter 或外網）的病毒入侵：這是目前病毒進入最多的途，耗費資源最少的措施?？梢允惯M入內部系統的病毒數量大為減少。但很明顯，它只能阻擋進出內部系網絡平臺系統暨信息安全建設整體解決方案建議書~ 9 ~統病毒的入侵。? 網絡郵件/群件系統：如果網絡內采用了自己的郵件 /群件系統實施辦公和信息自動化，那么一旦有某個用戶感染了病毒，通過郵件方式該病毒將以幾何級數在網絡內迅速傳播，并且很容易導致郵件系統負荷過大而癱瘓。因此在郵件系統上部署防病毒也顯得尤為重要。? 文件服務器：文件資源共享是網絡提供的基本功能。文件服務器大大提高了資源的重復利用率，并且能對信息進行長期有效的存儲和保護。但是一旦服務器本身感染了病毒，就會對所有的訪問者構成威脅。因此文件服務器也需要設置防病毒保護。? 最終用戶：病毒最后的入侵途徑就是最終的桌面用戶。由于網絡共享的便利性，某個感染病毒的桌面機可能隨時會感染其它的機器，或是被種上了黑客程序而向外傳送機密文件。因此在網絡內對所有的客戶機進行防毒控制也是非常重要的。. 解決方案建議我們建議采用業(yè)界和行業(yè)認可技術性能優(yōu)異的卡巴斯基網絡防病毒體系部署解決。巴斯基為俄羅斯產品，獲得所有世界頂級權威認證。是微軟的金牌認證伙伴。其內核被許多國內外軟件開發(fā)商使用，如：Microworld、Deerfield、Borderware……世界上第一例計算機病毒就是被卡巴斯基發(fā)現的，相應的第一個殺毒引擎也是卡巴斯 基開發(fā)的。獨有全球頂尖的掃描引擎技術?？ò退够捎玫囊媸牵骸暗诙鷨l(fā)式掃描 器” ，是最先進的掃描引擎。之所以稱為“啟發(fā)式”，是因為它可以在不更新病毒庫 的前提下，發(fā)現未知病毒，例證：愛蟲、Bagle 惡意木馬程序等。網絡平臺系統暨信息安全建設整體解決方案建議書~ 10 ~ 該系統的部署可滿足系統安全以下主要需求：? 簡易的安裝和配置操作Inter 訪問的穩(wěn)定性、安全性十分重要。防毒產品的安裝和設置應盡量簡易，充分考慮系統數據、文件的安全可靠性，所選產品與現系統具有良好的一致性和兼容性，以及最低的系統資源占用，保證不對現有系統運行產生不良影響。? 可管理性企業(yè)日益重視其 IT 環(huán)境的總體擁有成本（ TCO）。在有限的人力資源情況下，IT 管理員的工作是非常復雜和繁忙的，要管理好防病毒系統的安裝、升級、配置和工作報告是一個非常繁瑣的事，因此產品本身應帶有集成的、易用的管理工具，管理員可以從一個集中管理控制臺對整個防毒系統進行監(jiān)控管理和維護。? 軟件的可升級性可升級能力是衡量防病毒系統是否具有生命力的重要指標。防毒軟件的特點是隨著各類新病毒的出現而必須盡快進行更新和升級，其中包括病毒定義、網絡平臺系統暨信息安全建設整體解決方案建議書~ 11 ~產品組件的更新。? 系統的可擴展性在信息時代，企業(yè)的信息系統都處于飛速膨脹的過程之中。防病毒系統也應適應企業(yè)的發(fā)展趨勢，自身具有較大的可擴展能力。充分保護用戶的現有投資，適應計算機系統發(fā)展的需要。? 降低系統總體成本在讓客戶在獲得優(yōu)質的防病毒服務的同時，能夠盡量減少所需增加的費用支出。? 強大的病毒清除能力如果選用的防病毒軟件病毒清除能力較弱，在病毒爆發(fā)的情況下，管理員會為了徹底清除網絡中的病毒而疲于奔命，即使采用病毒專用清除工具，這樣在較長時間內網羅中病毒會一直存在。采用世界最先進的清除病毒能力較強的防毒產品，可確保計算機網絡系統具有最佳的病毒、黑客軟件防護能力。同時也降低了管理人員的工作量和防病毒產品的維護成本。? 優(yōu)秀的產品性能選用產品應具備對多種文件格式、多層壓縮文件的病毒檢測。對包括各種宏病毒、變體病毒和黑客程序等已知病毒具有最佳的病毒檢測率，對未知病毒亦有良好的檢測能力。在提高病毒檢測力的同時，對檢測出的病毒也有很高的清除能力，依靠程序本身就可徹底清除感染文件的病毒，減輕管理人員對中毒事件的介入，把更多的精力放在構建完整的病毒防護體系和管理工作上。? 新病毒的快速響應在全球范圍內每周產生大約 2022 只以上新病毒的情況下，每周的病毒庫更新使用戶在病毒出現后和下次更新前，會存在感染病毒而防病毒軟件根本無法識別的風險。而每天兩次病毒數據庫的更新，緊急情況下 45 分鐘的全球用戶更新，確保在任何新病毒出現的情況下通過快速高效的防病毒更新機制，使所有用戶得到最大程度的防病毒保護。因此對于整個網絡而言，需要采取綜合的防護措施，構筑全方位的安全保護系統，才能得到真正有效的防病毒安全。網絡平臺系統暨信息安全建設整體解決方案建議書~ 12 ~. 防黑客攻擊. 黑客攻擊方式黑客能夠對網絡進行攻擊的主要原因是網絡系統的缺陷與漏洞。黑客常用的攻擊方式有：? 網絡監(jiān)聽，網絡監(jiān)聽的關鍵是將網卡設置為混雜模式的狀態(tài)。常用的監(jiān)聽工具有 Sniffit、Windump ，防范監(jiān)聽的辦法之一是加密? 端口掃描，利用常用的掃描工具如 SATAN、NSS、Strobe 、Superscan和 Ping 命令、 Tracert 命令等人工方式對系統開放的端口進行掃描? 口令破解，一般的口令破解方式是從存放許多常用的口令的數據庫中，逐一地取出口令進行嘗試；另一種做法是設法偷走系統的口令文件，如Email 欺騙，然后用口令破解工具破譯這些經過加密的口令? IP 欺騙，通常是用編寫的程序實現偽造某臺主機的 IP 地址，被偽造的主機往往具有某種特權或者被另外的主機所信任? 拒絕服務攻擊簡稱 DoS。這種攻擊行動使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至癱瘓而停止提供正常的網絡服務? 緩沖區(qū)溢出(又稱堆棧溢出)攻擊是最常用的黑客技術之一。這主要是因為 C 語言不檢查緩沖區(qū)的邊界。在某些情況下，如果用戶輸入的數據長度超過應用程序給定的緩沖區(qū)，就會覆蓋其他數據區(qū)。就是通常說的“堆棧溢出或緩沖溢出拒絕服務攻擊”網絡平臺系統暨信息安全建設整體解決方案建議書~ 13 ~. 解決方案建議. 網絡邊界安全隔離我們對 XXXX 公司電子商務平臺網絡劃分為企業(yè)網與互聯網之間的邊界和服務器區(qū)與局域網之間的邊界，利用網絡隔離設備如防火墻或安全網關設備分別進行隔離保護，提供可控的過濾網絡通信，只允許授權的通信。配置策略建議：? 公網接口：配置ACL訪問控制、ASPF （基于應用層的報文過濾）、深度業(yè)務監(jiān)控等多種功能。本策略僅允許從園區(qū)網內部主動發(fā)起的TCP連接，即如果報文是內部網絡用戶發(fā)起的TCP連接的返回報文，則允許其通過防火墻進入內部網絡，其他報文被禁止；? 園區(qū)內部通過NAT訪問Inter：首先需要確認訪問Inter的流量，然后對這些流量的地址進行NAT轉換，其次要設置地址池，即申請到的公網地址。本策略保證內部網絡安全的訪問Inter；? Inter用戶訪問園區(qū)內部公共服務器：在園區(qū)出口配置NAT Server，將一個公網的地址與內部服務器地址關聯起來。Inter用戶向公網地址發(fā)起連接，在防火墻的公網接口上將該報文IP目的地轉換為內部服務器地址，即可以到達內部公共服務器的訪問目的。在公網接口上啟用nat server，提供WWW/MAIL等服務；? 設備流量鏡像配置：將防火墻內網接口上的進出流量在交換機上鏡像到接有流量監(jiān)控軟件PC的內部端口上進行流量查看、統計和管理控制。本策略是為了有限的帶寬被合理的利用，保證服務器能正常的為外部客戶提供服務. 漏洞掃描系統除利用防火墻控制對網絡的入侵外，還需要針對主機系統的漏洞采取檢查和發(fā)現措施。目前常用的方法是配置漏洞掃描設備。主機漏洞掃描可以主動發(fā)網絡平臺系統暨信息安全建設整體解決方案建議書~ 14 ~現主機系統中存在的系統缺陷和可能的安全漏洞，并提醒系統管理員對該缺陷和漏洞進行修補或堵塞。對于漏洞掃描的結果，一般可以按掃描提示信息和建議，屬外購標準產品問題的，應及時升級換代或安裝補丁程序；屬委托開發(fā)的產品問題的，應與開發(fā)商協商修改程序或安裝補丁程序；屬于系統配置出現的問題，應建議系統管理員修改配置參數，或視情況關閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。漏洞掃描功能是協助安全管理、掌握網絡安全態(tài)勢的必要輔助手段，對使用這一工具的安全管理員或系統管理員有較高的技術素質要求?？紤]到漏洞掃描能檢測出防火墻策略配置中的問題，能與入侵檢測形成很好的互補關系：漏洞掃描與評估系統使系統管理員在事前掌握主動地位，在攻擊事件發(fā)生前找出并關閉安全漏洞；而入侵檢測系統則對系統進行監(jiān)測以期在系統被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標，而且關系密切。本方案建議的漏洞掃描系統必須既能掃描路由器、交換機、防火墻等網絡設備，也可掃描 Windows、常用 Unix 和Linux 操作系統，以及應用系統主機、對外服務主機（WEB、EMAIL）等。. 入侵檢測系統入侵檢測技術是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息來有效地發(fā)現來自外部或內部的非法入侵的技術。它以探測與控制為技術本質，起著主動防御的作用，是網絡安全中極其重要的部分。入侵檢測功能是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，查看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對整個網絡系統的實時保護。通過入侵檢測系統的實施，可實現如下安全防護：網絡平臺系統暨信息安全建設整體解決方案建議書~ 15 ~（1）檢測黑客入侵的方法和手段從網絡中搜集到網絡行為的信息后，通過分析其中的各種攻擊特征，可以全面快速地識別各種網絡攻擊，如：掃描探測攻擊、口令猜測攻擊、緩沖區(qū)溢出攻擊、郵件炸彈攻擊、拒絕服務攻擊、瀏覽器攻擊等，并對攻擊行為采取相應的防范措施。（2）監(jiān)控內部人員的誤操作、資源濫用和惡意行為網絡 IDS 記錄網絡行為的屬性、特征、來源和目標，并能在控制臺的監(jiān)控視圖上顯示實時活動的 TCP 連接和正在訪問的 URL。網絡 IDS 會對網絡中不正常的通信連接做出反應，從而保證所有網絡通信的合法性；任何不符合網絡安全策略的網絡數據都會被網絡 IDS 探測到并報警。網絡 IDS 可以根據用戶需要定義各種需檢測的安全事件，例如對特定目標主機的訪問的檢測、對數據傳輸中包含的特定內容的檢測。這樣可以及時發(fā)現違反安全規(guī)定的誤操作、資源濫用和惡意行為。網絡 IDS 可以監(jiān)控的誤操作、資源濫用和惡意行為有：? 對重要服務器的過于頻繁的訪問，致使系統效率下降；? 非授權用戶對重要服務器的多次登錄請求；