【文章內(nèi)容簡介】 （由于斷電或設(shè)備故障造成長時間的系統(tǒng)癱瘓） ；? ● 病毒泛濫，對網(wǎng)絡(luò)上的主機、網(wǎng)絡(luò)設(shè)備正常工作的影響；河南省煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)建議方案12? ● 對存在漏洞的系統(tǒng)的入侵，造成泄密或系統(tǒng)崩潰；? ● 涉密信息被竊取（通過線路竊取，非法訪問竊取等） ；? ● 重要數(shù)據(jù)丟失（沒有及時備用數(shù)據(jù)，沒有異地或堅固設(shè)施存放存儲介質(zhì)） ；? ● 抵賴和篡改數(shù)據(jù)，破壞完整性；? ● 安全保密制度不健全，造成出現(xiàn)信息安全問題后，責任不清。● 網(wǎng)絡(luò)相互間未經(jīng)授權(quán)的訪問。 網(wǎng)絡(luò)安全解決方案通過以上分析可以看到，網(wǎng)絡(luò)的安全建設(shè)首要解決的是面臨的安全隱患，本章結(jié)合安全威脅并根據(jù)河南省煤炭廳煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)的特點，從網(wǎng)絡(luò)安全的角度，我們利用防火墻、VPN、防病毒軟件來構(gòu)筑河南省煤炭廳煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)的信息安全“長城” 。 防火墻系統(tǒng)設(shè)計根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)、安全風險和安全需求，建議采用防火墻設(shè)備進行邊界隔離和訪問控制，制定嚴格的訪問策略，限制未經(jīng)過許可的訪問，從而確保河南省煤炭廳煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)的邊界以及各安全區(qū)域的安全。通常我們在設(shè)計防火墻部署方案的時候，主要根據(jù)網(wǎng)絡(luò)的主體結(jié)構(gòu)，和網(wǎng)絡(luò)中不同的應用系統(tǒng)，將網(wǎng)絡(luò)從邏輯上劃分為多個安全域，每個安全域都承擔不同的工作，完成不同的任務(wù)。防火墻則被部署在安全域之間，根據(jù)預先制定的安全策略，控制哪些數(shù)據(jù)流可以穿越防火墻，而哪些數(shù)據(jù)流被阻擋在防火墻之外。這里體現(xiàn)出兩個關(guān)鍵因素，一是安全域的劃分，利用防火墻形成安全域之間的邏輯隔離，二是安全策略的指定，利用防火墻進行有效的訪問控制,最終形成如圖所示的部署方式：河南省煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)建議方案13拓撲圖說明:省局是連接 Inter唯一的出口,我們在連接外網(wǎng)的 Cisco 3640路由器與連接內(nèi)網(wǎng)的 Cisco 6506核心交換機之間放置一臺帶 VPN 功能的防火墻將(Power V404 VPN),將省局重要的數(shù)據(jù)庫服務(wù)器、WEB 服務(wù)器、FTP 服務(wù)器、郵件服務(wù)器等進行集中，邏輯上相成一個單獨的安全區(qū)域一級數(shù)據(jù)中心，利用防火墻，控制并限制對服務(wù)器的訪問。聯(lián)想 Power V404 VPN防火墻有 4個 10/100M以太網(wǎng)口。我們將其中一個 10/100M以太網(wǎng)口與 Cisco 3640路由器以太網(wǎng)口相連,以雙工方式工作,速率為 200M, 這個端口作為外部網(wǎng)端口使用；一個 10/100M以太網(wǎng)口與 Cisco 6506核心交換機 100M以太網(wǎng)口相連,以雙工方式工作,速率為 200M,這個端口作為內(nèi)部網(wǎng)端口使用；剩余的端口可以與服務(wù)器相連，構(gòu)成一個或多個 DMZ區(qū)，也可以預留。本項目中因服務(wù)器較多，我們將在Cisco 6506核心交換機上劃分一個 VLAN作為 DMZ區(qū)。所有移動用戶安裝 VPN客戶端，通過密碼驗證，可以通過 Inter防問內(nèi)部網(wǎng)絡(luò)。河南省煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)建議方案14針對河南省煤炭廳煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)，通過防火墻設(shè)備主要解決的問題包括：防止非法的訪問與數(shù)據(jù)包：一般來講，黑客總是利用高端口發(fā)送數(shù)據(jù)包，從而進行攻擊行為，那么我們只需要封閉這些端口，或者一些沒有用處的協(xié)議（比如 ICMP協(xié)議） ，就能夠有效的防范黑客的攻擊，特別是針對外部用戶，由于在網(wǎng)絡(luò)內(nèi)部有多種應用，我們必須確保只有相應的服務(wù)數(shù)據(jù)才能經(jīng)過防火墻，而其他的訪問均被禁止，從而保護服務(wù)器的安全，進而還可防范外部網(wǎng)的黑客利用服務(wù)器為跳板，發(fā)起對網(wǎng)絡(luò)內(nèi)部其他“信息資產(chǎn)”的攻擊或竊??；用戶進行身份的鑒別：用戶在接入內(nèi)部網(wǎng)絡(luò)時，必須提供足夠的身份證明信息（比如用戶名、口令、證書等） ，使得防火墻能夠正常鑒別出移動用戶的真實身份，從而能夠根據(jù)移動用戶的不同身份，給予不同的訪問權(quán)限或訪問范圍；防止地址欺騙：一方面，來自外部網(wǎng)的訪問者會將自己的 IP地址偽裝成內(nèi)部地址，從而饒過防火墻發(fā)起對內(nèi)網(wǎng)的攻擊；另一方面，內(nèi)部用戶通過修改自己的地址，而獲得更高的訪問權(quán)限；這些行為都會給網(wǎng)絡(luò)形成安全威脅，那么防火墻通過 MAC地址綁定技術(shù)、源地址識別等技術(shù)，能夠識別出這些地址欺騙行為，從而更有效的執(zhí)行訪問控制策略；有效隱藏內(nèi)部真實地址：一方面，在內(nèi)部網(wǎng)與外部網(wǎng)之間，通過防火墻設(shè)備進行正向地址轉(zhuǎn)換，內(nèi)部的辦公用機在訪問外部網(wǎng)的過程中，均經(jīng)過地址轉(zhuǎn)換，將內(nèi)部辦公用機的地址轉(zhuǎn)換為防火墻上預設(shè)置的外部網(wǎng)地址；另一方面，針對主頁服務(wù)器，進行反向地址轉(zhuǎn)換，將主頁服務(wù)器地址配置為內(nèi)部地址，并且建立防火墻上預設(shè)置的外部網(wǎng)地址與主頁服務(wù)器的內(nèi)部地址之間的轉(zhuǎn)換關(guān)系；這樣，外部網(wǎng)上用戶看到的只是防火墻的地址，而無法知道內(nèi)部網(wǎng)的真實地址分配情況，從而有效地隱藏內(nèi)部真實地址，使外部網(wǎng)上的黑客無法直接發(fā)起對內(nèi)網(wǎng)的攻擊。有效抵抗黑客攻擊行為：防火墻設(shè)備能夠識別并防范對網(wǎng)絡(luò)和主機的掃描攻擊、異常網(wǎng)絡(luò)協(xié)議攻擊、IP 欺騙攻擊、源 IP攻擊、IP 碎片攻擊、DoS/DDoS 攻擊等。 防病毒解決方案設(shè)計定義保護范圍河南省煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)建議方案15病毒防護的范圍應該包括所有潛在感染源，包括：出口網(wǎng)關(guān)、郵件系統(tǒng)、服務(wù)器、個人主機。服務(wù)器和個人主機主要包括：PC 服務(wù)器和個人主機等 Windows系列主機。目前，病毒的主要危害對象是 Windows系列操作系統(tǒng)。因此，我們建議：防病毒系統(tǒng)中服務(wù)器、個人主機的控制范圍主要是針對 Windows系列操作系統(tǒng)的主機，對于 UNIX系列主機，不建議安裝防病毒系統(tǒng)。其原因主要是因為：.對于 UNIX系統(tǒng)，病毒技術(shù)發(fā)展較為緩慢，目前 UNIX病毒主要是蠕蟲，蠕蟲病毒傳播的方式本身就帶有黑客攻擊性質(zhì)，如：XC 蠕蟲，采用 tel緩存溢出的方式對 BSD系統(tǒng)進行感染，因此，蠕蟲病毒的防范完全可以通過 IDS、防火墻以及漏洞評估系統(tǒng)的綜合利用得以實現(xiàn)。定義管理方式建立防病毒系統(tǒng)的集中管理平臺。通過管理控制臺，實現(xiàn)全網(wǎng)防病毒系統(tǒng)的安裝、配置、管理和監(jiān)控。加強防病毒系統(tǒng)的管理效果，節(jié)約人力資源，提高管理效率。防病毒體系由一個防病毒監(jiān)控中心及相應的客戶端、郵件、群件、網(wǎng)關(guān)、文件及各業(yè)務(wù)系統(tǒng)服務(wù)器的防病毒功能組件組成，并建立相應的防病毒域。各級防病毒域通過監(jiān)控中心和專網(wǎng)互聯(lián)，監(jiān)控中心組成自上而下的樹狀網(wǎng)絡(luò)。各級監(jiān)控中心互相協(xié)同，執(zhí)行全網(wǎng)的防病毒的監(jiān)控管理、引擎升級，病毒代碼更新、策略配置、告警報告、任務(wù)調(diào)度等功能。定義病毒庫升級方式防病毒軟件必須具備最強大的查毒和殺毒功能。就目前來看，防病毒軟件查毒和殺毒的功能差異主要體現(xiàn)在病毒庫的升級速度上，因此，防病毒系統(tǒng)必須具有快速統(tǒng)一的升級能力。同時，為了保證系統(tǒng)自身的安全性，防病毒系統(tǒng)必須建立統(tǒng)一的升級機制，以進行全系統(tǒng)的升級。 工作站防病毒系統(tǒng)設(shè)計工作站直接面對用戶，由于用戶通常具有主機系統(tǒng)的直接控制權(quán)，可以對防病毒軟件直接操作，因此，它也是防病毒系統(tǒng)中最難控制的范圍。工作站防病毒系統(tǒng)建設(shè)的另一個難點是軟件的安裝，由于工作站物理位置分散，數(shù)目眾多，必須要有一套高效的軟件分發(fā)體系。河南省煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)建議方案16企業(yè)級工作站防病毒軟件一般為兩層構(gòu)架，即：中心服務(wù)器和客戶端軟件。中心服務(wù)器單獨安裝，性能要求較高；客戶端軟件安裝在被保護工作站上。工作站防病毒系統(tǒng)應該具有如下特點：? 系統(tǒng)軟件集中安裝功能；? 系統(tǒng)的集中監(jiān)控和管理；? 軟件集中升級功能；? 集中日志管理功能；? 優(yōu)秀的病毒查、殺能力；? 實時病毒檢測保護功能。工作站防病毒系統(tǒng)只是企業(yè)病毒防護體系中的一部分，因此，它必須能夠提供對企業(yè)集中管理平臺的接口，實現(xiàn)整體監(jiān)控。 服務(wù)器防病毒系統(tǒng)設(shè)計服務(wù)器防病毒系統(tǒng)必須重視集中的管理、監(jiān)控和升級，提高管理效率。同時，因為服務(wù)器往往運行重要的應用服務(wù)，因此，必須注意防病毒軟件對服務(wù)器性能、功能以及穩(wěn)定性的影響。企業(yè)級的服務(wù)器防病毒軟件往往采用 CLIENT/SERVER構(gòu)架，通過控制臺對用戶端（Agent 軟件安裝在被保護服務(wù)器上，以管理員權(quán)限運行）進行管理，這種方式往往不利于服務(wù)器自身的安全。因此，服務(wù)器防病毒軟件必須提供一套有效的安全保障措施。綜上所述，服務(wù)器防病毒軟件應該具有如下功能：? 集中管理、監(jiān)控和升級功能；? 防病毒系統(tǒng)運行效率高；? 防病毒系統(tǒng)穩(wěn)定性好；? 防病毒系統(tǒng)能夠提供好的安全性，保障服務(wù)器的安全。同樣，它必須能夠提供對集中管理平臺的接口，實現(xiàn)整體監(jiān)控。河南省煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)建議方案17 防病毒產(chǎn)品選型我們推薦使用全球頂尖的防病毒企業(yè)趨勢科技（Trend Micro）提供的 Trend Micro企業(yè)防病毒系統(tǒng)。TrendMicro 首先提出了企業(yè)級病毒防護的概念，并開發(fā)了世界上第一套防病毒系統(tǒng)集中控制軟件――TMCM（TrendMicro Control Mangement） ，非常適用于河南省煤炭廳煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)這樣的大型廣域網(wǎng)。 防病毒產(chǎn)品部署1)工作站的防護采用 OfficeScan作為河南省煤炭廳煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)工作站的防護軟件。OfficeScan采用基于 Cli/Server構(gòu)架的集中管理體系。OfficeScan Server擔負集中管理功能，所有被保護的客戶端只需要安裝 Client軟件。Server 和 Client之間采用HTTP協(xié)議進行通信。2)服務(wù)器防護配置 Server Protect服務(wù)器防病毒軟件對文件服務(wù)器進行防護。Server Protect采用三層構(gòu)架，不僅利于集中管理，同時也提供了整個系統(tǒng)的安全性。Server Protect 的三個部分為：Information Server ，主要提供系統(tǒng)的集中管理功能； Console 管理界面，通常和 Information Server安裝在同一臺主機上； Normal Server ，安裝在被保護文件服務(wù)器上。Normal Server和 Information Server之間采用 RPC協(xié)議進行通信；Console 和Information Server采用 TCP/IP進行通信。配置方案：在省局一級數(shù)據(jù)中心內(nèi)配置一臺 IBM X235 服務(wù)器，負責整個系統(tǒng)的服務(wù)器防病毒系統(tǒng)管理。3)TMCM的配置TMCM是世界上第一套防病毒系統(tǒng)集中管理軟件。通過 TMCM可以管理所有 Trend Micro的防病毒產(chǎn)品。它采用了 Client/Server的構(gòu)架。Server 負擔管理功能，Client河南省煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)建議方案18負責信息傳送。Server 和 Client之間通過 Trend Micro開發(fā)的加密 HTTP協(xié)議進行通信。配置方案：在省局安裝 TMCM Server，其它系統(tǒng)上安裝 Client軟件。注意：由于 TMCM Server不具有防病毒功能，因此，安裝 TMCM Server的主機需要安裝 Server Protect防病毒軟件。系統(tǒng)配置說明系統(tǒng)的結(jié)構(gòu)敘述如下：? 把 TMCM Server和 Office Scan Server以及 Server Protect Information Server放置在安全管理中心，建立防病毒系統(tǒng)集中控制臺；? 在 Office Scan Server和 Server Protect Information Server上安裝TMCM Agent，由 TMCM統(tǒng)一管理；? 在 OA系統(tǒng)內(nèi)配置病毒防火墻以及郵件防病毒系統(tǒng)，并安裝 TMCM Agent，由TMCM Server進行集中管理；? 在 XXXX內(nèi)部用戶工作站上安裝 Office Scan Agent，由 Office Scan Server管理；? 在系統(tǒng)內(nèi) Windows系列服務(wù)器上安裝 Server Protect Agent，由控制臺進行管理。防病毒系統(tǒng)的集中管理河南省煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)建議方案19圖 551 網(wǎng)絡(luò)防病毒體系示意圖1)所有防毒軟件的升級、防毒策略的制定，可以通過趨勢科技中央管理服務(wù)器TMCM輕松實現(xiàn)，一方面保證所有防毒軟件得到及時更新，另一方面保證全網(wǎng)絡(luò)范圍內(nèi)的整體防毒策略一致；2)通過 TMCM單一節(jié)點監(jiān)控全網(wǎng)絡(luò)范圍內(nèi)的服務(wù)器運行狀態(tài)，收集病毒活動情況生成統(tǒng)一的病毒報告日志，便于系統(tǒng)管理人員即時對病毒發(fā)現(xiàn)情況進行掌握，制定更加有效的網(wǎng)絡(luò)平臺安全使用策略；3)在統(tǒng)一管理的同時，建立多層次的防病毒管理體制，能夠靈活地設(shè)定權(quán)限，為不同層次、不同權(quán)限的管理員提供不同的管理工具，相互之間不出現(xiàn)沖突；上級管理員對下級管理員的操作具有監(jiān)管的能力；河南省煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)建議方案204)對系統(tǒng)內(nèi)計算機網(wǎng)絡(luò)中進出的電子郵件進行全面防毒掃描，發(fā)現(xiàn)病毒即時進行處理，并且給出系統(tǒng)管理員及時的通知信息；5) 在各級應用系統(tǒng)部署相應的防病毒產(chǎn)品，實時掃描各系統(tǒng)中的數(shù)據(jù)變動，確保不受病毒侵害。 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計為了對河南省煤炭廳煤礦瓦斯監(jiān)測監(jiān)控網(wǎng)絡(luò)系統(tǒng)中的路由器、交換機、防火墻等設(shè)備進行管理，本方案的網(wǎng)絡(luò)管理軟件采用 Cisco的網(wǎng)絡(luò)管理產(chǎn)品 Cisco Works2022網(wǎng)絡(luò)管理系統(tǒng)，它提供所有的網(wǎng)絡(luò)管理支持，可在同一界面下對全網(wǎng)所有的設(shè)備進行統(tǒng)一的監(jiān)控、配置與管理，包括全網(wǎng)的 VLAN劃分，所有設(shè)備配置文件的集中存儲，安全性策略的實施等，從而保證了網(wǎng)絡(luò)的正常運行，利用它還可實現(xiàn)遠程維護、遠程管理、遠程監(jiān)控等功能。其功能部件包括：? Cisco Works2022 網(wǎng)絡(luò)管理組，資源管理器主要部件包括：庫存管理器、設(shè)備配置管理器、軟件版本管理器、可用性管理器、Syslog 分析器、 Cisco 管理連接。? Cisco Works2022 網(wǎng)絡(luò)管理組包括：網(wǎng)絡(luò)拓撲發(fā)現(xiàn)和顯示業(yè)務(wù)、VLAN 供應和