【文章內(nèi)容簡介】 臺 ERP 服務(wù)器造成威脅；其次是棒材和煉鋼生產(chǎn)子網(wǎng)；煉鋼大高爐生產(chǎn)子網(wǎng)；礦業(yè)公司和二化子網(wǎng)；電 話站專網(wǎng)。這些專網(wǎng)之間都需要進行訪問控制。 ? 服務(wù)器區(qū)的安全威脅，缺少入侵監(jiān)測設(shè)備 XX 企業(yè) 的內(nèi)部服務(wù)器組存有很多重要的數(shù)據(jù)，這些數(shù)據(jù)是 不能丟失或損壞的 ，因此一定要對這些服務(wù)器進行重點保護，防止這些數(shù)據(jù)被篡改和竊取。在該網(wǎng)絡(luò)結(jié)構(gòu)中，各重要的服務(wù)器和主機都 將 是通過核心交換機直接與其他子網(wǎng)連接的，并且這些服務(wù)器區(qū)的邊界 如果 沒有任何訪問控制產(chǎn)品和監(jiān)控設(shè)備， 內(nèi)部人員對 這些服務(wù)器可以很容易實施攻擊。 ? 網(wǎng)絡(luò)節(jié)點變化的隱患 在 XX 企業(yè) 集團網(wǎng)絡(luò)系統(tǒng)中，預(yù)留了一些空節(jié)點以備人員擴充時使用，若有非法人員利用這些節(jié)點接入后，就可以 直接連入 XX 企業(yè) 集團的網(wǎng)絡(luò)中，并且能與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器物理連接。此時，該人員就可以非常方便地通過一些非法的工具和手段來隨意攻擊網(wǎng)絡(luò)上的數(shù)據(jù)庫服務(wù)器和其他客戶端主機、盜取網(wǎng)絡(luò)上的一些關(guān)鍵數(shù)據(jù)以及獲取當前比較詳細的 XX企業(yè) 集團整體網(wǎng)絡(luò)情況為以后更致命的攻擊做好準備，然而網(wǎng)絡(luò)管理員并沒有一個有效的方法來實時了解網(wǎng)絡(luò)中各節(jié)點的情況，控制這些網(wǎng)絡(luò)節(jié)點的變化，因此給整個 XX 企業(yè) 集團的網(wǎng)絡(luò)系統(tǒng)造成極大的威脅。 ? 非法訪問的危害 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 13 總機： 01082611122 網(wǎng)址： XX 企業(yè) 集團 的網(wǎng)絡(luò)是 一個多應(yīng)用多連接的系統(tǒng)，雖然目前已經(jīng)存在一些常用的訪問控制手段：所有用戶 在訪問服務(wù)器時都必須輸入正確的用戶名和口令等， 但是這樣的網(wǎng)絡(luò)結(jié)構(gòu)利用傳統(tǒng)的網(wǎng)絡(luò)管理措施難以實現(xiàn)有效的訪問控制。 對于網(wǎng)絡(luò)中沒有訪問其他網(wǎng)段主機權(quán)限的用戶來說，當要對其他網(wǎng)段上主機發(fā)動攻擊時， 其 情況類似于外部網(wǎng)絡(luò)的攻擊。但是與外部網(wǎng)絡(luò)的攻擊者相比，內(nèi)部攻擊者對網(wǎng)絡(luò)結(jié)構(gòu)了解的更加細致，而且更容易竊取用戶登錄所需資料，所以非法訪問更易成功。如 某臺非法主機在經(jīng)過相關(guān)的配置后就可以與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器和其他客戶端主機進行 TCP/IP 通信 。 這樣就能夠通過仿冒合法用戶或通過其他黑客工具對客戶端甚至關(guān)鍵的數(shù)據(jù)庫服務(wù)器進行非 法通信和數(shù)據(jù)訪問，這將給 XX 企業(yè) 集團帶來嚴重的危害。 ? 非法應(yīng)用的威脅 XX 企業(yè) 集團系統(tǒng)中有許多的應(yīng)用在實時地使用著，尤其是數(shù)據(jù)庫和工業(yè)控制的應(yīng)用。但網(wǎng)絡(luò)管理員并沒有一個有效方法來監(jiān)控這些應(yīng)用的使用，然而多數(shù)的木馬程序都是以注入內(nèi)存的方式來調(diào)用一些非法應(yīng)用與黑客通信的。若此時有一臺開發(fā)客戶端主機中了木馬程序，在正常訪問服務(wù)器的過程中就可能通過這一非法應(yīng)用程序?qū)⒃L問服務(wù)器的賬號、口令以及訪問方式都泄露給黑客，黑客就能通過獲取的信息堂而皇之地登錄到該應(yīng)用服務(wù)器上，并能在該服務(wù)器上也啟動一些非法的應(yīng)用服務(wù)，幫助黑客 完全地控制服務(wù)器。 系統(tǒng)的安全風(fēng)險分析 ? 如果沒有漏洞掃描和安全評估機制，將不能及時地填補網(wǎng)絡(luò)漏洞 所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是 Windows 還是其它任何商用 UNIX 操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其 BackDoor。而且系統(tǒng)本身必定存在安全漏洞。這些 后門 或安全漏洞都將存在重大安全隱患。但是從實際應(yīng)用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人 都可能入侵得手。如果進行安全配置，比如，填補安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 14 總機： 01082611122 網(wǎng)址： 又比較敏感的端口等，那么入侵者要成功進行內(nèi)部網(wǎng)是不容易，這需要相當高的技術(shù)水平及相當長時間。 病毒對 XX 企業(yè)網(wǎng)絡(luò)安全運營的安全威脅 ? 外部 – XX企業(yè) 與 Inter有直接通道，會受到來自 專 網(wǎng)以 HTTP、 SMTP、FTP 等數(shù)據(jù)流為載體的潛在病毒的威脅。 ? 內(nèi)部 – 局域網(wǎng)中的工作站及文件服務(wù)器都會受到病毒的感染，病毒的攻擊方式多種多樣，有通過局域網(wǎng)傳播、傳統(tǒng)介質(zhì) (光盤、軟盤 、 USB硬盤 等 )傳播等等，一旦受到感染，便 會迅速傳播，會給日常的工作和生產(chǎn)帶來極大的威脅。 ? 網(wǎng)絡(luò)帶寬 – 高速傳播和具有網(wǎng)絡(luò)攻擊能力的病毒，能占用有限的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)癱瘓。 CodeRed，沖擊波以及 Mydoom 就是典型導(dǎo)致網(wǎng)絡(luò)癱瘓的病毒，能導(dǎo)致網(wǎng)絡(luò)交換機、路由器、服務(wù)器嚴重過載癱瘓。 ? 間接損失 – 病毒造成的間接損失可能更大，病毒造成的事故對企業(yè)的影響是直接導(dǎo)致企業(yè)信息資產(chǎn)損失，可能影響生產(chǎn)運營。 安全服務(wù)體系不健全的威脅 一個網(wǎng)絡(luò)的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護的。如今的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)漏洞日益嚴重，它需要網(wǎng)絡(luò) 管理人員具有快速的響應(yīng)機制。如果沒有一個完善的安全服務(wù)體系，將盡可能多的安全產(chǎn)品統(tǒng)一來維護，面對突如其來的網(wǎng)絡(luò)攻擊， XX 企業(yè) 可能將面臨巨大的損失。同時，眾多品牌的安全產(chǎn)品采購，也將對 XX 企業(yè) 的網(wǎng)絡(luò)的維護帶來不便。 XX 企業(yè)安全需求 防病毒體系需求 ? 自動安裝客戶端軟件； ? 自動更新、分發(fā)客戶端軟件及病毒庫； ? 網(wǎng)絡(luò)中布置了多少臺機器，還有多少臺未安裝防病毒軟件； ? 客戶端軟件、病毒庫版本是否為最新，病毒防護或發(fā)作信息； ? 客戶端軟件不允許隨意卸載； ? 網(wǎng)絡(luò)中那些病毒在傳播； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 15 總機： 01082611122 網(wǎng)址： 強制性網(wǎng)管軟件需求 ? 網(wǎng)絡(luò)上有哪些交換機，有 哪些計算機； ? 網(wǎng)絡(luò)拓撲結(jié)構(gòu)，交換機如何互聯(lián)，每臺交換機接了那些終端； ? 網(wǎng)絡(luò)性能管理、流量管理、故障管理、日志管理； ? 資產(chǎn)信息收集與管理 ； ? 管理制度制訂、落實； ? 客戶端軟件不允許隨意卸載； ? 遠程管理與控制； ? 軟件分發(fā)； ? 操作系統(tǒng)補丁分發(fā)、安裝； ? 管理中心； ? 網(wǎng)絡(luò)設(shè)備的軟件升級（ IOS 升級至最高版本）； 防火墻需求 ? 支持雙機熱備份功能，切換時間不超過 3 秒； ? 因特網(wǎng)出口（現(xiàn)狀： 100M），支持 VPN 功能，能夠與 VPN 網(wǎng)關(guān)協(xié)調(diào)一致工作，移動用戶能夠利用操作系統(tǒng)自帶的 VPN 連接、通過 cisco 公司ACS 3000 驗 證用戶進入公司內(nèi)網(wǎng)； ? 北京分公司（現(xiàn)狀： Adsl），利用 VPN 網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立 VPN 連接進入公司內(nèi)網(wǎng)； ? 北京庫房 (現(xiàn)狀：華為路由器， 128K DDN) ，利用 VPN 網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立 VPN 連接進入公司內(nèi)網(wǎng)； ? 兩臺 ERP 小型機（每臺小型機配置：雙千兆短波多模光纖網(wǎng)卡，防火墻采用橋接模式） ? 棒材生產(chǎn)子網(wǎng)、煉鋼生產(chǎn)子網(wǎng)（百兆） ? 煉鋼大高爐生產(chǎn)子網(wǎng)（千兆長波單模光纖） ? 礦業(yè)公司 (2 條 2M 數(shù)字電路，連入電話站交換機 )、二化 (1 條 2M 數(shù)字電路，連入電話站交換機 ) ? 電話站專網(wǎng) 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 16 總機： 01082611122 網(wǎng)址： 過濾網(wǎng)關(guān)需求 因特 網(wǎng)（現(xiàn)狀： 100M）入口，必須至少支持 4 種 Inter 協(xié)議： SMTP、POP HTTP、 FTP，并具有日志以及日志分析功能； 入侵檢測需求 內(nèi)網(wǎng)關(guān)鍵區(qū)域及因特網(wǎng)（現(xiàn)狀： 100M）出口，具有安全審計功能； 漏洞掃描需求 定期掛接到網(wǎng)絡(luò)中，對當前網(wǎng)絡(luò)上的重點服務(wù)器（如 WEB 服務(wù)器、郵件服務(wù)器、 DNS 服務(wù)器、主域服務(wù)器等）以及主機進行一次掃描，得到當前系統(tǒng)中存在的各種安全漏洞，并 有 針對性地提出補救措施 報告； 安裝需求 所有安全產(chǎn)品布置在項目附帶的機柜內(nèi)，并且在機柜內(nèi)配置 2 臺 32 口 自動多電腦切換器 ，配置相應(yīng)的 鍵盤、光電鼠標、顯示器及線纜； 安全設(shè)備要有管理口，便于管理，降低安全產(chǎn)品本身的安全威脅，要有分權(quán)管理，管理與審計權(quán)限分開； 要保證系統(tǒng)服務(wù)器、 生產(chǎn)專網(wǎng)的 高可用性、抗攻擊性； 制定詳細的實施計劃，明確雙方責(zé)任，專業(yè)技術(shù)工程師、制度管理師按照實施計劃布置實施符合 XX 企業(yè)管理需求的安全策略、制定符合 XX 企業(yè)管理需求的制度體系； 各個系統(tǒng)協(xié)調(diào)一致工作，不能出現(xiàn)軟件或硬件沖突； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 17 總機： 01082611122 網(wǎng)址： 第四章 信息網(wǎng)絡(luò)的安全方案設(shè)計 安全管理 環(huán)節(jié)分析： ? 主要是指 XX 企業(yè)集團 要設(shè)備管理、人員管理、策略管理等； ? 目前 XX 企業(yè)集團 尚無一套完善的網(wǎng)絡(luò)安 全管理體系， 我們要建立 通過一定的國際標準來建立建設(shè)管理體系。 需求建議： XX 企業(yè)集團信息網(wǎng)需要對全網(wǎng)所有設(shè)備和終端用戶進行管理。負責(zé)管理計算機的技術(shù)人員和一般計算機使用人員，依靠一定的安全技術(shù)和手段和一些好的管理辦法，制定一些切實可用的網(wǎng)絡(luò)安全策略，來建立 XX 企業(yè)集團信息網(wǎng)的安全管理體系。另外建議應(yīng)用強制性的網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)設(shè)備和客戶端進行管理。 安全防護 環(huán)節(jié)分析 : ? 該環(huán)節(jié)的包括訪問控制、保密性、完整性、可用性、不可否認性。該環(huán)節(jié)主要依靠一些相關(guān)的技術(shù)手段來實現(xiàn)。訪問控制主要依靠防火墻技術(shù)、劃分 Vlan 技 術(shù)身份認證技術(shù)等方式來實現(xiàn)； ? 保密性、可用性、不可抵賴性：主要包括一些信息保密手段，例如使用VPN 技術(shù)、采用加密軟件、或者應(yīng)用 CA 證書保證數(shù)據(jù)的安全防護等。防護還包括對線路高可用性、網(wǎng)絡(luò)病毒防護、數(shù)據(jù)容災(zāi)防護等方面。 需求建議 : 安全保護圍很廣涉及的技術(shù)也較多，對于 XX 企業(yè)集團信息網(wǎng)目前最需要的防護手段是對全網(wǎng)的防護，使用防火墻、防病毒技術(shù)和入侵檢測，在此基礎(chǔ)上建議加強對 XX企業(yè)集團數(shù)據(jù)中心信息網(wǎng)的防護體系建設(shè)。對分支機構(gòu)建議采用 VPN網(wǎng)關(guān)建立隧道。 安全監(jiān)測 環(huán)節(jié)分析 : ? 主要是指實時監(jiān)測、風(fēng)險評估、系統(tǒng)加 固、漏洞修補等； ? 實時檢測主要依靠入侵檢測系統(tǒng)、風(fēng)險評估依靠于脆弱性分析軟件，系統(tǒng)加固和漏洞修補要求網(wǎng)絡(luò)管理人員能夠隨時跟蹤各種操作系統(tǒng)和應(yīng) 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 18 總機： 01082611122 網(wǎng)址： 用系統(tǒng)漏洞情況及時采取必要的措施。 需求建議： 對于 XX 企業(yè)集團 信息網(wǎng) 目前 尚無任何網(wǎng)絡(luò)安全監(jiān)測措施，對于發(fā)生的網(wǎng)絡(luò)安全問題 需要有效 的監(jiān)測手段；對于全網(wǎng)的風(fēng)險評估 需要 建立相應(yīng)的評估制度；對于系統(tǒng)加固和漏洞修補 需要 固定的工作流程和漏洞發(fā)現(xiàn)和加固計劃。 病毒防護 環(huán)節(jié)分析： ? 主要 針對全網(wǎng) 1000 多臺主機和 30 多臺服務(wù)器進行病毒防護。對網(wǎng)絡(luò)的邊界及接入點進行病毒的監(jiān)控。 需求建 議： 目前 XX 企業(yè)集團急需一套網(wǎng)絡(luò)版的防病毒軟件覆蓋整個網(wǎng)絡(luò)。在網(wǎng)關(guān)處建議配置防病毒網(wǎng)關(guān)。 安全服務(wù) 環(huán)節(jié)分析： ? 一個優(yōu)秀的網(wǎng)絡(luò)安全系統(tǒng)的建立不僅僅依靠網(wǎng)絡(luò)安全設(shè)備和相關(guān)安全手段，如何去建設(shè)網(wǎng)絡(luò)安全系統(tǒng)？如何去使用網(wǎng)絡(luò)安全系統(tǒng)？以及出現(xiàn)安全問題如何去應(yīng)對？是一般網(wǎng)使用者非常關(guān)心的問題。究竟解決以上問題呢？我們認為專業(yè)的事情要交給專業(yè)的人來做。 需求建議： 在 XX 企業(yè)集團 信息網(wǎng)構(gòu)建一個良好的安全系統(tǒng)的時候我們要有責(zé)任 建議XX 企業(yè)集團 不要 忽略 安全公司所提供的前期、中期、后期所需的各種保障服務(wù)。 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 19 總機： 01082611122 網(wǎng)址： 第五章 XX 企業(yè)網(wǎng)絡(luò)安 全項目解決方案 XX 企業(yè)防火墻解決方案 XX企業(yè)防火墻的部署 根據(jù) XX 企業(yè)集團 系統(tǒng)的 安全現(xiàn)狀和風(fēng)險分析 ，我們在該網(wǎng)中建立防火墻子系統(tǒng)。有關(guān)建立防火墻子系統(tǒng)的目標、功能、位置、在下文中進行詳細說明。 信息化 的前提就是建立起完善的信息保障體系，防火墻在信息保障體系中對網(wǎng)絡(luò)行為進行有效訪問控制，對保證網(wǎng)絡(luò)訪問行為的有序性起到了至關(guān)重要的作用，防火墻體系的建立直接關(guān)系到了系統(tǒng)能否正常運行，體系是否完善 ；關(guān)系到了系統(tǒng)是否能夠 對非法訪問進行有效的防范。 在 XX企業(yè)集團網(wǎng)絡(luò) 系統(tǒng)中我們建立防火墻子系統(tǒng)的主要目標 :邏輯隔離 XX企業(yè)集團 系統(tǒng) 內(nèi)網(wǎng)與 Inter；保護兩臺重要的 ERP 服務(wù)器；對棒材和煉鋼生產(chǎn)子網(wǎng)進行防護；對煉鋼大高爐生產(chǎn)子網(wǎng)進行防護；對礦業(yè)公司和二化子網(wǎng)進行防護；對電話站專網(wǎng)進行防護。以上這些專網(wǎng)和生產(chǎn)子網(wǎng)他們和 XX 企業(yè)集團內(nèi)網(wǎng)之間都需要進行訪問控制。我們建議在 XX 企業(yè)集團內(nèi)網(wǎng)和 Inter 接入設(shè)備之間配置一臺天融信網(wǎng)絡(luò)衛(wèi)士千兆防火墻 NGFW4000UFVPN(E)，作為訪問控制設(shè)備。通過此設(shè)備除了進行訪問控制而且還與遠端的分支機構(gòu)建立隧道，在遠端北京分公司和北京庫房也配置了天融信的 VPN 網(wǎng)關(guān)。對于 XX 企 業(yè)移動的用戶建議在單臺計算機或筆記本上安裝天融信 VPN 客戶端軟件，同樣可以與總部的 NGFW4000UF