【文章內(nèi)容簡介】 ，與每日的備份互不干擾，獨立進行。網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 8 ~. 防病毒、防黑客、防間諜系統(tǒng)方案設(shè)計. 防病毒系統(tǒng). 概述病毒伴隨著計算機系統(tǒng)一起發(fā)展了十幾年，目前其形態(tài)和入侵途徑已發(fā)生了巨大的變化。目前幾乎每天都有新的病毒出現(xiàn)在 Inter 上，并且由于其借助Inter 上的信息往來，所以傳播速度極快。隨著計算機技術(shù)的不斷發(fā)展，病毒也變得越來越復(fù)雜和高級。據(jù) 2022 年新華網(wǎng)調(diào)查結(jié)果顯示，計算機病毒發(fā)作造成損失的比例為 62%。瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、網(wǎng)絡(luò)無法使用、密碼被盜是計算機病毒造成的主要破壞后果?；谝陨线@些情況，為了企業(yè)的財產(chǎn)免受損失，大多數(shù)企業(yè)都需要選擇多層的病毒防衛(wèi)體系，所謂多層病毒防衛(wèi)體系，是指在企業(yè)的每個臺式機上要安裝臺式機的反病毒軟件，在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件，在INTERNET 網(wǎng)關(guān)上要安裝基于 INTERNET 同關(guān)的反病毒軟件，因為對企業(yè)來說，防止病毒的攻擊并不是某一個管理員的責(zé)任，而是每一個員工的責(zé)任，每一個員工都要做到個人使用的臺式機上不受病毒的感染，從而保證整個企業(yè)網(wǎng)不受病毒的感染。. 病毒威脅分析目前絕大多數(shù)病毒傳播的途徑是網(wǎng)絡(luò)。對于一個網(wǎng)絡(luò)系統(tǒng)而言，針對病毒的入侵渠道和病毒集散地進行防護是最有效的防治策略。因此，對于每一個病毒可能的入口，部署相應(yīng)的防病毒軟件，實時檢測其中是否有病毒，是構(gòu)建一個完整有效防病毒體系的關(guān)鍵。? 來自系統(tǒng)外部（Inter 或外網(wǎng)）的病毒入侵：這是目前病毒進入最多的途，耗費資源最少的措施?？梢允惯M入內(nèi)部系統(tǒng)的病毒數(shù)量大為減少。但很明顯，它只能阻擋進出內(nèi)部系網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 9 ~統(tǒng)病毒的入侵。? 網(wǎng)絡(luò)郵件/群件系統(tǒng)：如果網(wǎng)絡(luò)內(nèi)采用了自己的郵件 /群件系統(tǒng)實施辦公和信息自動化，那么一旦有某個用戶感染了病毒，通過郵件方式該病毒將以幾何級數(shù)在網(wǎng)絡(luò)內(nèi)迅速傳播，并且很容易導(dǎo)致郵件系統(tǒng)負荷過大而癱瘓。因此在郵件系統(tǒng)上部署防病毒也顯得尤為重要。? 文件服務(wù)器：文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務(wù)器大大提高了資源的重復(fù)利用率，并且能對信息進行長期有效的存儲和保護。但是一旦服務(wù)器本身感染了病毒，就會對所有的訪問者構(gòu)成威脅。因此文件服務(wù)器也需要設(shè)置防病毒保護。? 最終用戶：病毒最后的入侵途徑就是最終的桌面用戶。由于網(wǎng)絡(luò)共享的便利性，某個感染病毒的桌面機可能隨時會感染其它的機器，或是被種上了黑客程序而向外傳送機密文件。因此在網(wǎng)絡(luò)內(nèi)對所有的客戶機進行防毒控制也是非常重要的。. 解決方案建議我們建議采用業(yè)界和行業(yè)認可技術(shù)性能優(yōu)異的卡巴斯基網(wǎng)絡(luò)防病毒體系部署解決。巴斯基為俄羅斯產(chǎn)品，獲得所有世界頂級權(quán)威認證。是微軟的金牌認證伙伴。其內(nèi)核被許多國內(nèi)外軟件開發(fā)商使用，如：Microworld、Deerfield、Borderware……世界上第一例計算機病毒就是被卡巴斯基發(fā)現(xiàn)的，相應(yīng)的第一個殺毒引擎也是卡巴斯 基開發(fā)的。獨有全球頂尖的掃描引擎技術(shù)。卡巴斯基采用的引擎是：“第二代啟發(fā)式掃描 器” ，是最先進的掃描引擎。之所以稱為“啟發(fā)式”，是因為它可以在不更新病毒庫 的前提下，發(fā)現(xiàn)未知病毒，例證：愛蟲、Bagle 惡意木馬程序等。網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 10 ~ 該系統(tǒng)的部署可滿足系統(tǒng)安全以下主要需求：? 簡易的安裝和配置操作Inter 訪問的穩(wěn)定性、安全性十分重要。防毒產(chǎn)品的安裝和設(shè)置應(yīng)盡量簡易，充分考慮系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對現(xiàn)有系統(tǒng)運行產(chǎn)生不良影響。? 可管理性企業(yè)日益重視其 IT 環(huán)境的總體擁有成本（ TCO）。在有限的人力資源情況下，IT 管理員的工作是非常復(fù)雜和繁忙的，要管理好防病毒系統(tǒng)的安裝、升級、配置和工作報告是一個非常繁瑣的事，因此產(chǎn)品本身應(yīng)帶有集成的、易用的管理工具，管理員可以從一個集中管理控制臺對整個防毒系統(tǒng)進行監(jiān)控管理和維護。? 軟件的可升級性可升級能力是衡量防病毒系統(tǒng)是否具有生命力的重要指標。防毒軟件的特點是隨著各類新病毒的出現(xiàn)而必須盡快進行更新和升級，其中包括病毒定義、網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 11 ~產(chǎn)品組件的更新。? 系統(tǒng)的可擴展性在信息時代，企業(yè)的信息系統(tǒng)都處于飛速膨脹的過程之中。防病毒系統(tǒng)也應(yīng)適應(yīng)企業(yè)的發(fā)展趨勢，自身具有較大的可擴展能力。充分保護用戶的現(xiàn)有投資，適應(yīng)計算機系統(tǒng)發(fā)展的需要。? 降低系統(tǒng)總體成本在讓客戶在獲得優(yōu)質(zhì)的防病毒服務(wù)的同時，能夠盡量減少所需增加的費用支出。? 強大的病毒清除能力如果選用的防病毒軟件病毒清除能力較弱，在病毒爆發(fā)的情況下，管理員會為了徹底清除網(wǎng)絡(luò)中的病毒而疲于奔命，即使采用病毒專用清除工具，這樣在較長時間內(nèi)網(wǎng)羅中病毒會一直存在。采用世界最先進的清除病毒能力較強的防毒產(chǎn)品，可確保計算機網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒、黑客軟件防護能力。同時也降低了管理人員的工作量和防病毒產(chǎn)品的維護成本。? 優(yōu)秀的產(chǎn)品性能選用產(chǎn)品應(yīng)具備對多種文件格式、多層壓縮文件的病毒檢測。對包括各種宏病毒、變體病毒和黑客程序等已知病毒具有最佳的病毒檢測率，對未知病毒亦有良好的檢測能力。在提高病毒檢測力的同時，對檢測出的病毒也有很高的清除能力，依靠程序本身就可徹底清除感染文件的病毒，減輕管理人員對中毒事件的介入，把更多的精力放在構(gòu)建完整的病毒防護體系和管理工作上。? 新病毒的快速響應(yīng)在全球范圍內(nèi)每周產(chǎn)生大約 2022 只以上新病毒的情況下，每周的病毒庫更新使用戶在病毒出現(xiàn)后和下次更新前，會存在感染病毒而防病毒軟件根本無法識別的風(fēng)險。而每天兩次病毒數(shù)據(jù)庫的更新，緊急情況下 45 分鐘的全球用戶更新，確保在任何新病毒出現(xiàn)的情況下通過快速高效的防病毒更新機制，使所有用戶得到最大程度的防病毒保護。因此對于整個網(wǎng)絡(luò)而言，需要采取綜合的防護措施，構(gòu)筑全方位的安全保護系統(tǒng)，才能得到真正有效的防病毒安全。網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 12 ~. 防黑客攻擊. 黑客攻擊方式黑客能夠?qū)W(wǎng)絡(luò)進行攻擊的主要原因是網(wǎng)絡(luò)系統(tǒng)的缺陷與漏洞。黑客常用的攻擊方式有：? 網(wǎng)絡(luò)監(jiān)聽，網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵是將網(wǎng)卡設(shè)置為混雜模式的狀態(tài)。常用的監(jiān)聽工具有 Sniffit、Windump ，防范監(jiān)聽的辦法之一是加密? 端口掃描，利用常用的掃描工具如 SATAN、NSS、Strobe 、Superscan和 Ping 命令、 Tracert 命令等人工方式對系統(tǒng)開放的端口進行掃描? 口令破解，一般的口令破解方式是從存放許多常用的口令的數(shù)據(jù)庫中，逐一地取出口令進行嘗試；另一種做法是設(shè)法偷走系統(tǒng)的口令文件，如Email 欺騙，然后用口令破解工具破譯這些經(jīng)過加密的口令? IP 欺騙，通常是用編寫的程序?qū)崿F(xiàn)偽造某臺主機的 IP 地址，被偽造的主機往往具有某種特權(quán)或者被另外的主機所信任? 拒絕服務(wù)攻擊簡稱 DoS。這種攻擊行動使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)? 緩沖區(qū)溢出(又稱堆棧溢出)攻擊是最常用的黑客技術(shù)之一。這主要是因為 C 語言不檢查緩沖區(qū)的邊界。在某些情況下，如果用戶輸入的數(shù)據(jù)長度超過應(yīng)用程序給定的緩沖區(qū)，就會覆蓋其他數(shù)據(jù)區(qū)。就是通常說的“堆棧溢出或緩沖溢出拒絕服務(wù)攻擊”網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 13 ~. 解決方案建議. 網(wǎng)絡(luò)邊界安全隔離我們對 XXXX 公司電子商務(wù)平臺網(wǎng)絡(luò)劃分為企業(yè)網(wǎng)與互聯(lián)網(wǎng)之間的邊界和服務(wù)器區(qū)與局域網(wǎng)之間的邊界，利用網(wǎng)絡(luò)隔離設(shè)備如防火墻或安全網(wǎng)關(guān)設(shè)備分別進行隔離保護，提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。配置策略建議：? 公網(wǎng)接口：配置ACL訪問控制、ASPF （基于應(yīng)用層的報文過濾）、深度業(yè)務(wù)監(jiān)控等多種功能。本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動發(fā)起的TCP連接，即如果報文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報文，則允許其通過防火墻進入內(nèi)部網(wǎng)絡(luò)，其他報文被禁止；? 園區(qū)內(nèi)部通過NAT訪問Inter：首先需要確認訪問Inter的流量，然后對這些流量的地址進行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請到的公網(wǎng)地址。本策略保證內(nèi)部網(wǎng)絡(luò)安全的訪問Inter；? Inter用戶訪問園區(qū)內(nèi)部公共服務(wù)器：在園區(qū)出口配置NAT Server，將一個公網(wǎng)的地址與內(nèi)部服務(wù)器地址關(guān)聯(lián)起來。Inter用戶向公網(wǎng)地址發(fā)起連接，在防火墻的公網(wǎng)接口上將該報文IP目的地轉(zhuǎn)換為內(nèi)部服務(wù)器地址，即可以到達內(nèi)部公共服務(wù)器的訪問目的。在公網(wǎng)接口上啟用nat server，提供WWW/MAIL等服務(wù)；? 設(shè)備流量鏡像配置：將防火墻內(nèi)網(wǎng)接口上的進出流量在交換機上鏡像到接有流量監(jiān)控軟件PC的內(nèi)部端口上進行流量查看、統(tǒng)計和管理控制。本策略是為了有限的帶寬被合理的利用，保證服務(wù)器能正常的為外部客戶提供服務(wù). 漏洞掃描系統(tǒng)除利用防火墻控制對網(wǎng)絡(luò)的入侵外，還需要針對主機系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機漏洞掃描可以主動發(fā)網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 14 ~現(xiàn)主機系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng)管理員對該缺陷和漏洞進行修補或堵塞。對于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購標準產(chǎn)品問題的，應(yīng)及時升級換代或安裝補丁程序；屬委托開發(fā)的產(chǎn)品問題的，應(yīng)與開發(fā)商協(xié)商修改程序或安裝補丁程序；屬于系統(tǒng)配置出現(xiàn)的問題，應(yīng)建議系統(tǒng)管理員修改配置參數(shù)，或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢的必要輔助手段，對使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求?？紤]到漏洞掃描能檢測出防火墻策略配置中的問題，能與入侵檢測形成很好的互補關(guān)系：漏洞掃描與評估系統(tǒng)使系統(tǒng)管理員在事前掌握主動地位，在攻擊事件發(fā)生前找出并關(guān)閉安全漏洞；而入侵檢測系統(tǒng)則對系統(tǒng)進行監(jiān)測以期在系統(tǒng)被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標，而且關(guān)系密切。本方案建議的漏洞掃描系統(tǒng)必須既能掃描路由器、交換機、防火墻等網(wǎng)絡(luò)設(shè)備，也可掃描 Windows、常用 Unix 和Linux 操作系統(tǒng)，以及應(yīng)用系統(tǒng)主機、對外服務(wù)主機（WEB、EMAIL）等。. 入侵檢測系統(tǒng)入侵檢測技術(shù)是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵的技術(shù)。它以探測與控制為技術(shù)本質(zhì)，起著主動防御的作用，是網(wǎng)絡(luò)安全中極其重要的部分。入侵檢測功能是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對整個網(wǎng)絡(luò)系統(tǒng)的實時保護。通過入侵檢測系統(tǒng)的實施，可實現(xiàn)如下安全防護：網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 15 ~（1）檢測黑客入侵的方法和手段從網(wǎng)絡(luò)中搜集到網(wǎng)絡(luò)行為的信息后，通過分析其中的各種攻擊特征，可以全面快速地識別各種網(wǎng)絡(luò)攻擊，如：掃描探測攻擊、口令猜測攻擊、緩沖區(qū)溢出攻擊、郵件炸彈攻擊、拒絕服務(wù)攻擊、瀏覽器攻擊等，并對攻擊行為采取相應(yīng)的防范措施。（2）監(jiān)控內(nèi)部人員的誤操作、資源濫用和惡意行為網(wǎng)絡(luò) IDS 記錄網(wǎng)絡(luò)行為的屬性、特征、來源和目標，并能在控制臺的監(jiān)控視圖上顯示實時活動的 TCP 連接和正在訪問的 URL。網(wǎng)絡(luò) IDS 會對網(wǎng)絡(luò)中不正常的通信連接做出反應(yīng)，從而保證所有網(wǎng)絡(luò)通信的合法性；任何不符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)數(shù)據(jù)都會被網(wǎng)絡(luò) IDS 探測到并報警。網(wǎng)絡(luò) IDS 可以根據(jù)用戶需要定義各種需檢測的安全事件，例如對特定目標主機的訪問的檢測、對數(shù)據(jù)傳輸中包含的特定內(nèi)容的檢測。這樣可以及時發(fā)現(xiàn)違反安全規(guī)定的誤操作、資源濫用和惡意行為。網(wǎng)絡(luò) IDS 可以監(jiān)控的誤操作、資源濫用和惡意行為有：? 對重要服務(wù)器的過于頻繁的訪問，致使系統(tǒng)效率下降；? 非授權(quán)用戶對重要服務(wù)器的多次登錄請求；