【文章內(nèi)容簡(jiǎn)介】 也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對(duì)主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。（二）訪問控制由于xx廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。通常，對(duì)網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求：1)控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問；2)控制外部合法用戶對(duì)服務(wù)器的訪問；3)禁止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問；4)控制內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò)；5)阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊；6)防止內(nèi)部主機(jī)的IP欺騙；7)對(duì)外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；8)網(wǎng)絡(luò)監(jiān)控；9)網(wǎng)絡(luò)日志審計(jì)。由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：1)管理、維護(hù)簡(jiǎn)單、方便；2)安全性高(可有效降低在安全設(shè)備使用上的配置漏洞)；3)硬件成本和維護(hù)成本低；4)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高。由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。（三）入侵檢測(cè)網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補(bǔ)。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送Email)。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)一般包括控制臺(tái)和探測(cè)器(網(wǎng)絡(luò)引擎)?？刂婆_(tái)用作制定及管理所有探測(cè)器(網(wǎng)絡(luò)引擎)。探測(cè)器(網(wǎng)絡(luò)引擎)用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。由于探測(cè)器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。入侵檢測(cè)系統(tǒng)的設(shè)置如下圖：從上圖可知，入侵檢測(cè)儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過VPN設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動(dòng)功能)等方式進(jìn)行控制(即安全設(shè)備自適應(yīng)機(jī)制)，最后將攻擊行為進(jìn)行日志記錄以供以后審查。（四）漏洞掃描作為一個(gè)完善的通用安全系統(tǒng)，應(yīng)當(dāng)包含完善的安全措施，定期的安全評(píng)估及安全分析同樣相當(dāng)重要。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長(zhǎng)期保持很高的安全性，而是隨著時(shí)間的推移和技術(shù)的發(fā)展而不斷下降的，同時(shí)，在使用過程中會(huì)出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設(shè)的補(bǔ)充，采取相應(yīng)的措施也是必然。本方案中，采用漏洞掃描設(shè)備對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對(duì)存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測(cè)、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動(dòng)提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。（一）系統(tǒng)平臺(tái)安全各級(jí)網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺(tái)是建立在國外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患。企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用服務(wù)平臺(tái)中采用國內(nèi)自主開發(fā)的安全操作系統(tǒng)，針對(duì)通用OS的安全問題，對(duì)操作系統(tǒng)平臺(tái)的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、安全日志審計(jì)、加密算法及算法替換的支持和完整性保護(hù)等方面進(jìn)行安全改造和性能增強(qiáng)。一般用戶運(yùn)行在PC機(jī)上的NT平臺(tái)，在選擇性地用好NT安全機(jī)制的同時(shí)，應(yīng)加強(qiáng)監(jiān)控管理。（二）應(yīng)用平臺(tái)安全企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺(tái)安全，一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，以及使用網(wǎng)絡(luò)資源的權(quán)限管理和訪問控制，對(duì)安全相關(guān)操作進(jìn)行的審計(jì)等。其中的用戶應(yīng)同時(shí)包括各級(jí)管理員用戶和各類業(yè)務(wù)用戶。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、WWW服務(wù)、EMAIL服務(wù)、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全以及提供服務(wù)的安全。對(duì)于xx，在選擇這些應(yīng)用系統(tǒng)時(shí)，應(yīng)當(dāng)盡量選擇國內(nèi)軟件開發(fā)商進(jìn)行開發(fā)，系統(tǒng)類型也應(yīng)當(dāng)盡量采用國內(nèi)自主開發(fā)的應(yīng)用系統(tǒng)。因?yàn)椴《驹诰W(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異且途徑多種多樣，所以我們利用全方位的企業(yè)防毒產(chǎn)品，對(duì)xx采用“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略。具體而言，就是針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對(duì)應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。本方案中在選擇殺毒軟件時(shí)有幾個(gè)方面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、對(duì)付國產(chǎn)和國外病毒能力超群、全中文產(chǎn)品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動(dòng)升級(jí)等優(yōu)點(diǎn)。病毒對(duì)信息系統(tǒng)的正常工作運(yùn)行產(chǎn)生很大影響，據(jù)統(tǒng)計(jì)，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。（一）系統(tǒng)設(shè)計(jì)原則為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求：1)采用世界最先進(jìn)的防毒產(chǎn)品與xx網(wǎng)絡(luò)系統(tǒng)的實(shí)際需要相結(jié)合，確保xx網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒防護(hù)能力的情況下綜合成本最少；2)貫徹“層層設(shè)防，集中控管，以防為主、防治結(jié)合”的企業(yè)防毒策略。在網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)或通道中設(shè)置對(duì)應(yīng)的防病毒軟件，通過這種全方位的、多層次的防毒系統(tǒng)配置，使企業(yè)網(wǎng)絡(luò)免遭所有病毒的入侵和危害；3)充分考慮xx網(wǎng)絡(luò)的系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對(duì)現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響。4)應(yīng)用全球最為先進(jìn)的“實(shí)時(shí)監(jiān)控”技術(shù)，充分體現(xiàn)趨勢(shì)科技“以防為主”的反病毒思想。5)所選用產(chǎn)品具備對(duì)多種壓