【文章內(nèi)容簡介】 做法看似日志信息十分完善 ， 但每天進出防火墻的數(shù)據(jù)有上百萬甚至更多，所 以，只有采集到最關鍵的日志才是真正有用的日志。一般而言， 系統(tǒng)的告警信息是有必要記錄的，對于流量信息進行選擇，把影響網(wǎng)絡安全有關的流 量信息保存下來。 計算機網(wǎng)絡安 全方案設計并實現(xiàn) 1. 桌面安全系統(tǒng) 用戶的重要信息都是以文件的形式存儲在磁盤上，使用戶可以方便地存取、修改、分 發(fā)。這樣可以提高辦公的效率，但同時也造成用戶的信息易受到攻擊，造成泄密。特 別是對于移動辦公的情況更是如此。因此，需要對移動用戶的文件及文件夾進行本地 安全管理，防止文件泄密等安全隱患。 本設計方案采用清華紫光公司出品的紫光 S鎖產(chǎn)品， “ 紫光 S鎖 ” 是清華紫光“桌 面計算機信息安全保護系統(tǒng) ” 的商品名稱。紫光 S 鎖 的內(nèi)部集成了包括中央處理器 (CPU)、加密運算協(xié)處理器 （ CAU)、只讀存儲器 （ ROM)，隨機存儲器 （ RAM)、 電可擦除可編程只讀存儲器 （ E2PROM)等，以及固化在 ROM 內(nèi)部的芯片操作系統(tǒng) COS (Chip Operating System)、硬件 ID 號、各種密鑰和加密算法等。紫光 S鎖采用 了通過中國人民銀行認證的 SmartCOS， 其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的 篡改，防止非法軟件對 S鎖進行操作。 2. 病毒防護系統(tǒng) 基于單位目前網(wǎng)絡的現(xiàn)狀，在網(wǎng)絡中添加一臺服務器，用于安裝 IMSS。 (1)郵 件防毒。米用趨勢科技的 ScanMail for Notes。 該產(chǎn)品可以和 Domino 的群件 服務器無縫相結合并內(nèi)嵌到 Notes 的數(shù)據(jù)庫中，可防止病毒入侵到 LotueNotes的數(shù)據(jù) 庫及電子郵件，實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒?？赏ㄟ^任何Notes 工作站或 Web 界面遠程控管防 毒管理工作， 并提供實時監(jiān)控病毒流量的活動記錄報 告。 ScanMail是 Notes Domino Server使用率最高的防病毒軟件。 (2) 服務器防毒。采用趨勢科技的 ServerProtect。 該產(chǎn)品的最大特點是內(nèi)含集中管 理的概念，防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的 影響，另一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署，管理和更新。 (3) 客戶端防毒。采用趨勢科技的 OfficeScan。 該產(chǎn)品作為網(wǎng)絡版的客戶端防毒系 統(tǒng)， 使管理者通 過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防 毒模塊進行更新。其最大特點是擁有靈活的產(chǎn)品集中部署方式，不受 Windows 域管 理模式的約束，除支持 SMS， 登錄域腳本，共享安裝以外，還支持純 Web 的部署方 式。 (4) 集中控管 TVCS。 管理員可以通過此工具在整個企業(yè)范圍內(nèi)進行配置、監(jiān)視和 維護趨勢科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務器的防病 毒產(chǎn)品狀態(tài)。無論運行于何種平臺和位置， TVCS 在整個網(wǎng)絡中總起一個單一管理控 制臺作用。簡便的安裝和分發(fā)代理部署，網(wǎng)絡的分析和病 毒統(tǒng)計功能以及自動下載病 毒代碼文件和病毒爆發(fā)警報，給管理帶來極大的便利。 3. 動態(tài)口令身份認證系統(tǒng) 動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎上，結合生成動態(tài)口令的特點，加以精 心修改，通過十次以上的非線性迭代運算，完成時間參數(shù)與密鑰充分的混合擴散。在 此基礎上，采用先進的身份認證及加解密流程、先進的密鑰管理方式，從整體上保證 了系統(tǒng)的安全性。 4. 訪問控制 “ 防火墻 ” 單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡部分構成，在控制不可信連接、分 辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構成了對網(wǎng)絡安全 的重要 隱患。本設計方案選用四臺網(wǎng)御防火墻，分別配置在高性能服務器和三個重要部門的 局域網(wǎng)出入口，實現(xiàn)這些重要部門的訪問控制。 通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防 火墻，通過防火墻將網(wǎng)絡內(nèi)部不同部門的網(wǎng)絡或關鍵服務器劃分為不同的網(wǎng)段，彼此 隔離。這樣不僅保護了單位網(wǎng)絡服務器，使其不受來自內(nèi)部的攻擊，也保護了各部門 網(wǎng)絡和數(shù)據(jù)服務器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡的攻擊。如果有人闖進您的一 個部門，或者如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進一步擴大。 5. 信息加密、信息 完整性校驗 為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的安全 通道，通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有 性。 SJW22網(wǎng)絡密碼機系統(tǒng)組成 網(wǎng)絡密碼機（硬件 ） ：是一個基于專用內(nèi)核，具有自主版權的高級通信保護控制系 統(tǒng)。 本地管理器（軟件 ） ：是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡或串口方式 的網(wǎng)絡密碼機本地管理系統(tǒng)軟件。 中心管理器（軟件 ） ：是一個安裝于中心管理平臺 （ Windows系統(tǒng)）上的對全網(wǎng)的 密碼機設備進行統(tǒng)一管理的系統(tǒng)軟件。 系統(tǒng) 根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設可采取 “ 加密 ” 、 “ 外防”、“內(nèi) 審 ” 相結合的方法， “ 內(nèi)審 ” 是對系統(tǒng)內(nèi)部進行監(jiān)視、審查，識別系統(tǒng)是否正在受到攻 擊以及內(nèi)部機密信息是否泄密，以解決內(nèi)層安全。 安全審計系統(tǒng)能幫助用戶對安全網(wǎng)的安全進行實時監(jiān)控，及時發(fā)現(xiàn)整個網(wǎng)絡上的 動態(tài)，發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為，忠實記錄網(wǎng)絡上發(fā)生的一切，提供取證手段。作為 網(wǎng)絡安全十分重要的一種手段，安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相 關行為有關的信息。 在安全網(wǎng)中使用的安全審計系統(tǒng)應實現(xiàn)如下功能：安全審計自動響應 、安全審計 數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。 本設計方案選用 “ 漢邦軟科 ” 的安全審計系統(tǒng)作為安全審計工具。 漢邦安全審計系統(tǒng)是針對目前網(wǎng)絡發(fā)展現(xiàn)狀及存在的安全問題，面向企事業(yè)的網(wǎng) 絡管理人員而設計的一套網(wǎng)絡安全產(chǎn)品，是一個分布在整個安全網(wǎng)范圍內(nèi)的網(wǎng)絡安全 監(jiān)視監(jiān)測、控制系統(tǒng)。 (1)安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構成。主機傳感器安 裝在要監(jiān)視的目標主機上，其監(jiān)視目標主機的人機界面操作、監(jiān)控 RAS 連接、監(jiān)控 網(wǎng)絡連接情況及共享資源的使用情況。安全監(jiān)控中 心是管理平臺和監(jiān)控平臺，網(wǎng)絡管 理員通過安全監(jiān)控中心為主機傳感器設定監(jiān)控規(guī)則，同時獲得監(jiān)控結果、報警信息以 及日志的審計。主要功能有文件保護審計和主機信息審計。 ①文件保護審計：文件保護安裝在審計中心，可有效的對被審計主機端的文件進 行管理規(guī)則設置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記 錄日志、提供報警等功能。以及對文件保護進行用戶管理。 ②主機信息審計 :對網(wǎng)絡內(nèi)公共資源中，所有主機進行審計，可以審計到主機的 機器名、當前用戶、操作系統(tǒng)類型、 IP地址信息。 (2)資源監(jiān)控系統(tǒng)主要有四類 功能。①監(jiān)視屏幕 :在用戶指定的時間段內(nèi)，系統(tǒng)自 動每隔數(shù)秒或數(shù)分截獲一次屏幕 。用戶實時控制屏幕截獲的開始和結束。 3防火墻的配置 像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火 墻的初始配置基本類似，所以在此僅以 Cisco PIX防火墻為例進行介紹。 防火墻的初始配置也是通過控制端口 （ Console)與 PC 機 （ 通常是便于移動的筆 記本電腦）的串口連接，再通過 Windows 系統(tǒng)自帶的 超級終端 （ HyperTerminal)程 序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法 防火墻除了以上所說的通過控制端口 （ Console)進行初始配置外，也可以通過 tel 和 Tffp 配置方式進行高級配置，但 Tel 配置方式都是在命令方式中配置，難 度較大，而 Tffp方式需要專用的 Tffp服務器軟件，但配置界面比較友好。 防火墻與路由器一樣也有 四種用戶配置模式，即：普通模式 （ Unprivileged mode)、 特權模式 （ Privileged Mode)、配置模式 （ Configuration Mode)和端口模式 （ Interface Mode)， 進入這四種用戶模式的命令也與路由器一樣： 普通用戶模式無需特別命令，啟動后即進入； 進入特權用戶模式的命令為 enable； 進入配置模式的命令為 config terminal； 而進入端口模式的命令為 interface ether ()。不過因為防火墻的端口沒有路由器 那么復雜，所以通常 把端口模式歸為配置模式，統(tǒng)稱為 全局配置模式 。 防火墻的具體配置步驟如下： 1. 將防火墻的 Console 端口用一條防火墻自帶的串行電纜連接到筆記本電腦的 一個空余串口上，參見圖 1。 2. 打開 PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機。 3. 運行筆記本電腦 Windows 系統(tǒng)中的超級終端 （ HyperTerminal)程序 （ 通常在 ” 附件 程序組中）。對超級終端的配置與交