【文章內(nèi)容簡介】 一些復(fù)雜行為不易通過簡單的特征識別是否屬于攻擊，導(dǎo)致用戶資產(chǎn)未得到充分保護，甚至影響正常業(yè)務(wù)。入侵防御系統(tǒng)融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，不但有效提高了對各種深層攻擊行為的識別能力，而且對攻擊變種、SQL 注入等無法通過特征判斷的攻擊行為也能實現(xiàn)精確阻斷。這標志著入侵防御系統(tǒng)的精確阻斷能力達到國際領(lǐng)先水平。IPS 能實現(xiàn)的精確阻斷精確阻斷溢出攻擊 精確阻斷木馬后門 精確阻斷即時通訊行為精確阻斷 SQL 注入攻擊 精確阻斷間諜軟件 精確阻斷網(wǎng)絡(luò)游戲行為精確阻斷流行蠕蟲攻擊 精確阻斷僵尸程序 精確阻斷異常協(xié)議行為精確阻斷數(shù)據(jù)庫漏洞攻擊 精確阻斷惡意代碼 精確阻斷脆弱口令行為精確阻斷操作系統(tǒng)漏洞攻擊 精確阻斷掃描探測行為 精確阻斷廣告軟件行為在線部署，高效可靠入侵防御系統(tǒng)是以透明方式串行部署于被保護對像的前端，而作為在線深層防御產(chǎn)品，在達到精確阻斷攻擊行為的同時，需要保障正常業(yè)務(wù)高可用性。入侵防御系統(tǒng)通過內(nèi)置硬件 Watchdog 技術(shù)、軟件監(jiān)控進程，對系統(tǒng)異常實時監(jiān)控和處理，實現(xiàn)軟、硬件雙 Bypass 功能。不增加網(wǎng)絡(luò)故障點。在提升效率方面，入侵防御系統(tǒng)采用任務(wù)與虛擬 CPU 綁定的技術(shù)，消除并行處理的等待和切換時間；基于任務(wù)特點合理分配、高效利用硬件資源，根據(jù)分析任務(wù)特征自動選擇最優(yōu)算法，提升匹配效率；實現(xiàn)微秒級時延，滿足電信級業(yè)務(wù)的應(yīng)用。綜合管理，易用、易查入侵防御系統(tǒng)支持向?qū)降牟呗耘渲霉芾?，可根?jù)需求靈活調(diào)整保護策略，達到最佳防御效果；在及時準確發(fā)現(xiàn)各類攻擊的同時，提供多種響應(yīng)方式；此外，還對歷史記錄信息提供細致的查詢分析功能。入侵防御系統(tǒng)綜合管理功能列表管理功能 用戶管理、拓撲管理、配置管理、策略管理等高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 13 ~狀態(tài)監(jiān)控 系統(tǒng)狀態(tài)監(jiān)控、拓撲（通訊）狀態(tài)監(jiān)控等告警響應(yīng) 阻斷鏈接、報警顯示、記錄日志，郵件告警、SNMP TRAP 信息等報表分析 分類報表分析、綜合報表分析、管理報表分析、自定義報表分析等支持在線更新，防御最新威脅隨著攻擊種類日益增加，對最新威脅的防御成為考核入侵防御系統(tǒng)升級能力與廠商及時響應(yīng)能力的一項重要指標。入侵防御系統(tǒng)可通過在線自動升級，增加防御最新威脅的事件特征和分析算法，精確阻斷新的威脅類型。核心服務(wù)器區(qū)承載廣域網(wǎng)全部的重要服務(wù)請求，開放端口較少，主要安全威脅來自于對已開放端口的應(yīng)用層行為攻擊，包括用戶權(quán)限不當(dāng)提升造成的信息泄露、網(wǎng)絡(luò)病毒的傳播與爆發(fā)期的網(wǎng)絡(luò)堵塞以及各類違規(guī)應(yīng)用造成的異常流量。 入侵檢測需求某高等?？茖W(xué)院的服務(wù)器、客戶端主機系統(tǒng)大多為 WIN2K 系統(tǒng)，漏洞較多，很容易被攻擊或入侵。網(wǎng)絡(luò)內(nèi)部沒有監(jiān)控措施，必須實時的對網(wǎng)絡(luò)連接和傳輸?shù)臄?shù)據(jù)進行監(jiān)控，發(fā)現(xiàn)入侵行為馬上報警，或進行阻斷。入侵是對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進行操作,威脅計算機或網(wǎng)絡(luò)的安全機制（包括機密性、完整性、可用性）的行為。入侵可能是來自互聯(lián)網(wǎng)的攻擊者對系統(tǒng)的非法訪問，也可能是系統(tǒng)的授權(quán)用戶對未授權(quán)的內(nèi)容進行非法訪問。入侵技術(shù)和手段是不斷發(fā)展的。從攻擊者的角度說，入侵所需要的技術(shù)是復(fù)雜的，而應(yīng)用的手段往往又表現(xiàn)得非常簡單，如下圖所示。這種特點導(dǎo)致攻擊現(xiàn)象越來越普遍，對網(wǎng)絡(luò)和計算機的威脅也越來越突出。高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 14 ~入侵過程一般可以概括為五個步驟或階段，我們可以就入侵過程的五個階段來分析其應(yīng)用的技術(shù)和手段。需要注意的是，作為具體的攻擊，不一定完全按此五個階段進行。? 信息探測信息探測一般是入侵過程的開始，攻擊者開始對網(wǎng)絡(luò)內(nèi)部或外部進行有意或無意的可攻擊目標的搜尋，主要應(yīng)用的技術(shù)包括：目標路由信息探測、目標主機操作系統(tǒng)探測、端口探測、帳戶信息搜查、應(yīng)用服務(wù)和應(yīng)用軟件信息探測以及目標系統(tǒng)已采取的防御措施查找等等。目前，攻擊者采用的手段主要是掃描工具，如操作系統(tǒng)指紋鑒定工具、端口掃描工具等等。? 攻擊嘗試攻擊者在進行信息探測后，獲取了其需要的相關(guān)信息，也就確定了在其知識范疇內(nèi)比較容易實現(xiàn)的攻擊目標嘗試對象，然后開始對目標主機的技術(shù)或管理漏洞進行深入分析和驗證，這就意味著攻擊嘗試的進行。目前，攻擊者常用的手段主要是漏洞校驗和口令猜解，如：專用的 CGI 漏洞掃描工具、登錄口令破解等等。? 權(quán)限提升攻擊者在進行攻擊嘗試以后，如果成功也就意味著攻擊者從原先沒有權(quán)限高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 15 ~的系統(tǒng)獲取了一個訪問權(quán)限，但這個權(quán)限可能是受限制的，于是攻擊者就會采取各種措施，使得當(dāng)前的權(quán)限得到提升，最理想的就是獲得最高權(quán)限（如Admin 或者 Root 權(quán)限） ，這樣攻擊者才能進行深入攻擊。這個過程就是權(quán)限提升。目前，攻擊者常用的手段主要是通過緩沖區(qū)溢出的攻擊方式。? 深入攻擊攻擊者通過權(quán)限提升后，一般是控制了單臺主機，從而獨立的入侵過程基本完成。但是，攻擊者也會考慮如何將留下的入侵痕跡消除，同時開辟一條新的路徑便于日后再次進行更深入地攻擊，因此，作為深入攻擊的主要技術(shù)手段就有日志更改或替換、木馬植入以及進行跳板攻擊等等。木馬的種類更是多種多樣，近年來，木馬程序結(jié)合病毒的自動傳播來進行入侵植入更是屢見不鮮。? 拒絕服務(wù)如果目標主機的防范措施比較好，前面的攻擊過程可能不起效果。作為部分惡意的攻擊者還會采用拒絕服務(wù)的攻擊方式，模擬正常的業(yè)務(wù)請求來阻塞目標主機對外提供服務(wù)的網(wǎng)絡(luò)帶寬或消耗目標主機的系統(tǒng)資源，使正常的服務(wù)變得非常困難，嚴重的甚至導(dǎo)致目標主機宕機，從而達到攻擊的效果。目前，拒絕服務(wù)工具成為非常流行的攻擊手段，甚至結(jié)合木馬程序發(fā)展成為分布式拒絕服務(wù)攻擊，其攻擊威力更大。網(wǎng)絡(luò)安全是一個動態(tài)的概念,可以用網(wǎng)絡(luò)動態(tài)安全模型來描述，能夠提供給用戶更完整、更合理的安全機制。全網(wǎng)動態(tài)安全體系可由下面的公式概括：網(wǎng)絡(luò)安全(S) = 風(fēng)險分析(A)+ 制定策略(P) + 系統(tǒng)防護(P) + 實時檢測(D) + 實時響應(yīng)(R) + 災(zāi)難恢復(fù)(R)即：網(wǎng)絡(luò)安全是一個“APPDRR”的動態(tài)安全模型。然而，在這個安全模型中，并非各個部分的重要程度都是等同的。在安全策略的指導(dǎo)下，進行必要的高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 16 ~系統(tǒng)防護有積極的意義，但是，無論網(wǎng)絡(luò)防護得多么牢固，依舊不能說“網(wǎng)絡(luò)是安全的” 。因為隨著技術(shù)的發(fā)展，任何防護措施都不能保證網(wǎng)絡(luò)不出現(xiàn)新的安全事件，不被手段高超的人員成功入侵。在攻擊與防御的較量中，實時檢測是處在一個核心的地位。在實時檢測中，入侵檢測系統(tǒng)（（英文簡稱 IDS：Intrusion Detection System）是目前最為主要的一個廣泛應(yīng)用的技術(shù)和管理手段。入侵檢測就是對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程。入侵檢測系統(tǒng)則是從多種計算機系統(tǒng)及網(wǎng)絡(luò)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。它能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)傳輸或主機系統(tǒng)，自動檢測可疑行為，及時發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊從而實時響應(yīng)，并提供了安全事件的詳細說明及恢復(fù)、修補措施。入侵檢測系統(tǒng)還可以與防火墻等其它安全產(chǎn)品緊密結(jié)合，最大程度地為網(wǎng)絡(luò)系統(tǒng)提供安全保障。入侵檢測系統(tǒng)是一種動態(tài)網(wǎng)絡(luò)安全技術(shù)，它能夠發(fā)現(xiàn)入侵者實時攻擊行為，并對其進行響應(yīng)。從網(wǎng)絡(luò)安全防護上講，防火墻技術(shù)給出了一個靜態(tài)防護的概念，而入侵檢測技術(shù)具有動態(tài)防御的意義。入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別攻擊行為、對異常行為進行統(tǒng)計，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。 漏洞掃描需求某高等?？茖W(xué)院網(wǎng)絡(luò)部署應(yīng)用中，不可能保證各個節(jié)點每時每刻都能處在系統(tǒng)漏洞最少的狀態(tài)。必須有專門的漏洞掃描工具協(xié)助管理員定時對整個系統(tǒng)做安全評估。所以，需要對整個系統(tǒng)進行漏洞掃描系統(tǒng)部署。1988 年第一個針對 UNIX 系統(tǒng)的蠕蟲誕生以來，計算機蠕蟲病毒以其快速、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害。尤其是近幾年開始針對廣泛使用的 Windows 操作系統(tǒng)的高危蠕蟲不斷出現(xiàn)，給社會造成了巨大的損失，蠕蟲現(xiàn)在已經(jīng)成為網(wǎng)絡(luò)上最可怕的安全威脅。 “沖擊波” ， “震蕩波”都是利用了微軟Windows 系統(tǒng)的漏洞進行傳播和感染，也就是說他們都依賴于漏洞的存在。產(chǎn)生安全漏洞的主要原因有三點：① 很多軟件在設(shè)計時忽略或者很少考慮安全性問題造成了安全漏洞。高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 17 ~這樣產(chǎn)生的安全漏洞分為兩類：第一類，是由于操作系統(tǒng)本省設(shè)計缺陷帶來的安全漏洞，這類漏洞將被運行在該系統(tǒng)上的應(yīng)用程序所繼承；第二類是應(yīng)用軟件程序的安全漏洞。第二類漏洞更為常見，更需要得到廣泛的關(guān)注。② 保證系統(tǒng)安全不是僅僅使用個別安全工具就能做到的，需要在對網(wǎng)絡(luò)進行總體分析的前提下制定安全策略，并且用一系列的安全軟件來實現(xiàn)一個完整的安全解決方案。③ 保證系統(tǒng)的安全還需要提高人員的安全防范意識，最終做到安全有效的防范。在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中，絕大多數(shù)漏洞存在的原因在于管理員對系統(tǒng)進行了錯誤的配置，或者沒有及時的升級系統(tǒng)軟件到最新的版本。如果及時掌握網(wǎng)絡(luò)中存在漏洞的主機，就能通過安裝補丁程序有效的防范蠕蟲的攻擊和來自網(wǎng)絡(luò)黑客的攻擊。因此就有漏洞掃描技術(shù)和對應(yīng)的技術(shù)工具—掃描軟件。在條件許可的情況下，采用漏洞掃描系統(tǒng)選配的漏洞驗證工具，對一些重要網(wǎng)段、服務(wù)器進行模擬滲透攻擊，對網(wǎng)絡(luò)的現(xiàn)有的安全水平進行比較客觀的評價是檢測遠程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。用于檢查、分析網(wǎng)絡(luò)范圍內(nèi)的設(shè)備、網(wǎng)絡(luò)服務(wù)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)的安全性，從而為提高網(wǎng)絡(luò)安全的等級提供決策的支持。網(wǎng)絡(luò)漏洞掃描基本的原理是通過與目標主機 TCP/IP 端口建立連接并請求某些服務(wù)（如 TELNET、FTP 等） ，記錄目標主機的應(yīng)答，搜集目標主機相關(guān)信息（如匿名用戶是否可以登錄等） ，從而發(fā)現(xiàn)目標主機某些內(nèi)在的安全弱點。漏洞掃描技術(shù)的重要性在于把極為煩瑣的安全檢測，通過程序來自動完成，這不僅減輕管理者的工作，而且縮短了檢測時間，使安全問題問題更早被發(fā)現(xiàn)。大多數(shù)情況下而言，使用自動的漏洞掃描技術(shù)可以快速、深入地對網(wǎng)絡(luò)或目標主機進行安全檢測。系統(tǒng)管理員利用漏洞掃描技術(shù)對局域網(wǎng)絡(luò)、Web 站點、主機操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞進行掃描，可以了解在運行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上存在的可能導(dǎo)致黑客攻擊的安全漏洞，高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 18 ~還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯誤等等。利用安全掃描軟件，可以能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并在網(wǎng)絡(luò)攻擊者掃描和利用之前予以修補，從而提高網(wǎng)絡(luò)的安全性。 點播系統(tǒng)需求某高等專科學(xué)院目前沒有 VOD 課件點播系統(tǒng)。建成后的視頻點播系統(tǒng)可以為全校師生的學(xué)習(xí)、資料保存，內(nèi)容回顧等提供一個良好的管理與發(fā)布平臺，依托校園網(wǎng)網(wǎng)絡(luò)，使教學(xué)資源能夠快速、直觀的提供給每一個師生。7 安全技術(shù)體系設(shè)計 安全技術(shù)體系總體框架設(shè)計在具體的安全建設(shè)中應(yīng)根據(jù)安全目標、網(wǎng)絡(luò)狀況、目前用戶最關(guān)注的安全重點和現(xiàn)有投資規(guī)模選擇當(dāng)前最迫切需要的安全防護機制，用以確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠運行。在前面的章節(jié)中我們已經(jīng)對校園網(wǎng)絡(luò)信息系統(tǒng)結(jié)構(gòu)進行了全面分析并按照等級保護的原則對改造后的網(wǎng)絡(luò)信息系統(tǒng)進行了區(qū)域劃分和各區(qū)域的安全保護級別定義。結(jié)合用戶的實際需要，我們設(shè)計了一套由多種安全技術(shù)和多層防護措施構(gòu)成的安全體系總體技術(shù)框架，希望能幫助校園網(wǎng)絡(luò)有效抵御來自內(nèi)、外網(wǎng)絡(luò)的安全威脅。主要包括：（1）網(wǎng)絡(luò)安全劃分安全域，部署防火墻系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)準入控制系統(tǒng)等；（2）主機安全部署服務(wù)器/客戶端防病毒系統(tǒng)、終端安全管理系統(tǒng)、補丁管理系統(tǒng)等；（3）應(yīng)用安全部署防惡意代碼系統(tǒng)等；（4）管理高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 19 ~部署安全管理平臺，在安全管理平臺的基礎(chǔ)上，建立安全管理中心。 網(wǎng)絡(luò)安全邊界防護 在對整個網(wǎng)絡(luò)進行了安全域劃分和確定安全等級后，我們將對各區(qū)域的邊界采取一定的隔離和控制措施，制定適當(dāng)?shù)陌踩呗?，確保在不同安全等級的區(qū)域之間在根據(jù)業(yè)務(wù)需要進行互聯(lián)互通的同時，避免高等級系統(tǒng)的安全受低等級系統(tǒng)的影響。首先我們將根據(jù)整體網(wǎng)絡(luò)的區(qū)域劃分情況進行 VLAN 的劃分和路由規(guī)劃，對安全等級較高的安全域，在其邊界部署狀態(tài)檢測防火墻提供安全防護，對安全等級較低的安全域的邊界則可以使用策略路由或訪問控制列表來進行控制。具體的安全域邊界隔離機制和訪問控制策略建議如下：在互聯(lián)網(wǎng)邊界采用防火墻提供邊界隔離和訪問控制，對外提供信息服務(wù)的WEB、MAIL 服務(wù)器單獨組成一個 DMZ 區(qū)，允許內(nèi)部用戶訪問互聯(lián)網(wǎng)上的特定應(yīng)用，允許互聯(lián)網(wǎng)主機訪問 DMZ 區(qū)服務(wù)器上開放的服務(wù)，拒絕其他所有訪問；入侵檢測在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，對外界網(wǎng)絡(luò)黑客利用防火墻為合法的用戶訪問而開放的端口穿透防火墻對內(nèi)網(wǎng)發(fā)起的各種高級、復(fù)雜的攻擊行為進行檢測和阻斷。系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別各種網(wǎng)絡(luò)攻擊行為，對檢測到的各種攻擊行為均可直接阻斷并生成日志報告和報警信息。漏洞掃描系統(tǒng)面向全網(wǎng)實時進行漏洞掃描，發(fā)現(xiàn)安全漏洞，彌補漏洞，降低網(wǎng)絡(luò)風(fēng)險級別。 主機安全服務(wù)器和客戶端病毒防護系統(tǒng) 在整個網(wǎng)絡(luò)中的所有服務(wù)器（WINDOWS、LINUX）和客戶端（ WINDOWS）計算機上部署相應(yīng)平臺的網(wǎng)絡(luò)版防病毒軟件，并配置防病毒系統(tǒng)管理中心對所高等?？?