【文章內容簡介】 產品，可以實時顯示Top10攻擊者、Top10被攻擊者、Top10攻擊事件等統(tǒng)計報表，更可以顯示24小時連續(xù)變化的事件發(fā)生統(tǒng)計曲線圖。借助于可視化的實時報表功能，用戶可以輕松實現全網威脅分析。3入侵防御產品的作用在基于TCP/IP的網絡中，普遍存在遭受攻擊的風險。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。有效的入侵防御系統(tǒng)可以同時檢測內部和外部威脅。入侵防御系統(tǒng)的目的是檢測惡意和非預期的數據和行為（如變更數據、惡意執(zhí)行、允許非預期資源訪問的請求和非預期使用服務）。一旦入侵被檢測到，會引發(fā)某種響應（如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來源或適當地反攻擊）。利用防火墻技術，經過精心的配置，通常能夠在內外網之間提供安全的網絡保護，降低網絡安全風險。但是，存在著一些防火墻等其它安全設備所不能防范的安全威脅，這就需要入侵防御系統(tǒng)提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等，來保護電子政務局域網的安全。入侵防御是防火墻等其它安全措施的補充，幫助系統(tǒng)對付網絡攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統(tǒng)中的流量中收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵防御被認為是防火墻之后的第二道安全閘門，對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時檢測。除了入侵防御技術能夠保障系統(tǒng)安全之外，下面幾點也是使用入侵防御的原因：（1）計算機安全管理的基本目標是規(guī)范單個用戶的行為以保護信息系統(tǒng)免受安全問題的困擾。入侵檢測系統(tǒng)可以發(fā)現已有的威脅，并對攻擊者進行懲罰，有助于上述目標的實現，并對那些試圖違反安全策略的人造成威懾。（2）入侵防御可以檢測其它安全手段無法防止的問題。攻擊者使用越來越容易得到的攻擊技術，能夠對大量系統(tǒng)進行非授權的訪問，尤其是連接到電子政務局域網的系統(tǒng)，而當這些系統(tǒng)具有已知漏洞的時候這種攻擊更容易發(fā)生。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的：l 很多系統(tǒng)的操作系統(tǒng)不能得到及時的更新l 有的系統(tǒng)雖然可以及時得到補丁程序，但是管理員沒有時間或者資源進行系統(tǒng)更新，這個問題很普遍，特別是在那些具有大量主機或多種類型的軟硬件的環(huán)境中。l 正常工作可能需要開啟網絡服務，而這些協(xié)議是具有漏洞，容易被攻擊的。l 用戶和管理員在配置和使用系統(tǒng)時可能犯錯誤。l 在進行系統(tǒng)訪問控制機制設置時可能產生矛盾，而這將造成合法用戶逾越他們權限的錯誤操作。（3）當黑客攻擊一個系統(tǒng)時，他們總是按照一定的步驟進行。首先是對系統(tǒng)或網絡的探測和分析，如果一個系統(tǒng)沒有配置入侵防御，攻擊者可以自由的進行探測而不被發(fā)現，這樣很容易找到最佳攻入點。如果同樣的系統(tǒng)配置了入侵防御，則會對攻擊者的行動帶來一定難度，它可以識別可疑探測行為，阻止攻擊者對目標系統(tǒng)的訪問，或者對安全人員報警以便采取響應措施阻止攻擊者的下一步行動。（4）入侵防御證實并且詳細記錄內部和外部的威脅，在制定網絡安全管理方案時，通常需要證實網絡很可能或者正在受到攻擊。此外，攻擊的頻率和特征有助于選擇保護網絡免受相應攻擊的安全手段。（5）在入侵防御運行了一段時間后，系統(tǒng)使用模式和檢測問題變得明顯，這會使系統(tǒng)的安全設計與管理的問題暴露出來，在還沒有造成損失的時候進行糾正。（6）即使當入侵防御不能阻止攻擊時，它仍可以收集該攻擊的可信的詳細信息進行事件處理和恢復，此外，這些信息在某些情況下可以作為犯罪的佐證。4入侵防御產品部署我們建議在XX單位辦公網與財務網接入處部署一臺天融信百兆入侵防御系統(tǒng)，主要監(jiān)控不同區(qū)域和財務網服務器的安全狀況。, 互聯(lián)網與XX單位辦公網連接線路上。5入侵防御策略配置1）配置事件庫升級配置入侵防御系統(tǒng)進行定期的事件庫升級。2）配置服務器區(qū)網絡的全局預警策略入侵防御系統(tǒng)將發(fā)現的針對XX單位財務網絡的入侵事件進行整理，并建立戰(zhàn)略級全局預警事件庫，進而可以據此對XX單位網絡做出有針對性的全局預警。3）配置XX單位網絡特有的異常事件集策略修改或定義XX單位網絡特有的事件，動態(tài)生成XX單位網絡自己的事件庫，提高入侵防御系統(tǒng)對XX單位網絡應用的適應性和事件檢測的準確性。4）配置XX單位網絡異常流量分析策略根據實時監(jiān)控XX單位網絡流量，進行網絡流量的分類分析和統(tǒng)計情況，定義XX單位網絡流量異常的閥值，對異常流量進行實時報警。5）配置XX單位網絡內容異常分析策略配置內容異常分析策略對XX單位網絡所設定的異常報警內容進行多方位的定點跟蹤和顯示，對異常內容進行實時報警。6）配置XX單位網絡安全報表策略根據XX單位網絡中所需要的事件記錄內容，建立報表模板。按照XX單位網絡中的需求選擇報表類型，定制相應的報表。7）配置XX單位網絡蠕蟲分析策略XX單位網絡中心針對當前流行的網絡蠕蟲和病毒進行配置網絡蠕蟲策略，包括Nimda蠕蟲、Sql slammer蠕蟲等。9）配置XX單位網絡入侵防御管理策略針對XX單位網絡不同安全等級的入侵事件進行不同的響應方式。包括記錄，報警，阻斷。10）配置日志輸出策略配置將日志輸出到綜合審計系統(tǒng)上的策略六．防病毒網關系統(tǒng)1XX單位網絡防毒需求分析和產品選型通過對XX單位網絡的網絡環(huán)境和主要網絡業(yè)務狀況進行分析，我們認為計算機病毒是威脅系統(tǒng)正常運行的一個重要因素。當前的病毒發(fā)展呈現出復合型威脅態(tài)勢，傳播方式多樣化、速度極快，在網絡中極易形成交叉感染的狀況，同時計算機病毒的危害也不再只限于破壞文件和本機，它甚至可以發(fā)動網絡攻擊，導致網絡設備和服務器崩潰。一旦病毒爆發(fā)，肯定會給網絡系統(tǒng)帶來很大損失。針對混合型安全威脅攻擊，還需要加強邊界防毒的防范過濾，這樣才能更有效的保證系統(tǒng)的安全性、網絡的可用性。我們建議在XX單位財務網絡與XX單位辦公網，XX單位辦公網與互聯(lián)網接入處部署天融信防病毒網關，工作在互聯(lián)網與XX單位辦公網，XX單位辦公網與財務網絡的接入口處。防病網關可以進行病毒特征碼升級。通過配置防病毒網關，我們可以實現： l 保證所有通過郵件/HTTP/FTP等方式進入外網辦公網網絡及用戶系統(tǒng)前都會通過防病毒模塊查殺毒。2防病毒網關產品組成防病毒網關主要是處理網絡中數據，對數據進行分析過濾，防止病毒代碼從設備中穿過滲透到內部網絡。同時防止蠕蟲的攻擊，和垃圾郵件對正常辦公的干擾。WEB方式管理主要是通過遠程登陸防火墻，對防病毒網關進行配置和管理。用戶可以遠程地管理硬件設備，對要處理的主要網絡協(xié)議進行設置，設置相應協(xié)議中的方便管理員的操作和管理。同時用戶可以通過WEB方式查詢相應的日志和生成所要的報表。3防病毒網關產品部署在本方案中將在XX單位辦公網絡與財務處網絡接入處部署天融信百兆防病毒網關，XX單位辦公網絡與互聯(lián)網接入處部署天融信千兆防病毒網關,對來自互聯(lián)網的數據及財務網絡區(qū)以外的數據，進行病毒檢測，針對SMTP、POPFTP、HTTP等協(xié)議的數據流進行病毒掃描，從而提供網關層次的防毒能力。天融信防病毒網關的部署,實現了真正的即插即用，不需要改動現有網絡的任何設置。部署的位置被確定，只需要為防病毒網關連接上網線，開啟電源開關就可以進行掃描。管理IP地址就是防病毒網關管理IP地址。安裝向導會指導管理員進行基本的設置，非常簡單易懂。4防病毒網關產品功能天融信防病毒網關處理所有主要的網絡協(xié)議，它能處理以下協(xié)議：SMTP、POPHTTP、FTP和IMAP。管理員還可以針對每個協(xié)議設置高級選項，例如：可以選擇清除病毒、刪除文件、隔離病毒或是記錄日志的方式來處理病毒。而且還可以在相應的協(xié)議中設置一些附加功能的設置，如對關鍵字的過濾設置，對文件類型的掃描設置等。七 系統(tǒng)層安全設計1系統(tǒng)層安全目標l 操作系統(tǒng)：保障操作系統(tǒng)平臺的安全和正常運行，為應用系統(tǒng)提供及時多樣的服務；l 數據庫：保證數據庫不受到惡意侵害或未經授權的存取與修改。l 應用系統(tǒng)：能提供有效的訪問控制和身份驗證手段，保證應用平臺的持續(xù)、可靠的提供服務。2操作系統(tǒng)安全要求操作系統(tǒng)是所有計算機終端、工作站和服務器等正常運行的基礎，操作系統(tǒng)的安全十分重要。目前的商用操作系統(tǒng)主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows/3x、Windows 95/9Windows NT Workstation/Server、Windows 2000/200OS/NOVELL Netware等。這些操作系統(tǒng)大部分獲得了美國政府的C2級安全性認證。但是針對操作系統(tǒng)應用環(huán)境對安全要求的不同，公司網絡對操作系統(tǒng)的不同適用范圍作如下要求：在XX單位網絡中關鍵的服務器群和工作站（如數據庫服務器、WWW服務器、代理服務器、Email服務器、病毒服務器、DHCP主域服務器、備份服務器和網管工作站）應該采用服務器版本的操作系統(tǒng)。典型的有：SUN Solaris、HP Unix、Windows NT Server、Windows 2000 /2003Server。網管終端、辦公終端可以采用通用圖形窗口操作系統(tǒng)，如Windows NT Workstation/Server、Windows 2000等。3操作系統(tǒng)安全管理操作系統(tǒng)因為設計和版本的問題，存在許多的安全漏洞；同時因為在使用中安全設置不當，也會增加安全漏洞，帶來安全隱患。在沒有其它更高安全級別的商用操作系統(tǒng)可供選擇的情況下，安全關鍵在于操作系統(tǒng)的安全管理。為了加強操作系統(tǒng)的安全管理，要從物理安全、登錄安全、用戶安全、文件系統(tǒng)和打印機安全、注冊表安全、RAS安全、數據安全、各應用系統(tǒng)安全等方面制定強化安全的措施。加強物理安全管理，系統(tǒng)要有能力限制對I/O設備（軟驅、打印設備）的訪問。例如：l 如果沒有必要，建議去掉或鎖死軟盤驅動器，禁止DOS或其他操作系統(tǒng)訪問NTFS分區(qū)；l 在服務器上設置系統(tǒng)啟動口令，設置BIOS禁用軟盤引導系統(tǒng)； l 不創(chuàng)建任何DOS分區(qū)； l 保證機房的物理安全。l 下載安裝最新的操作系統(tǒng)及其它應用軟件的安全和升級補丁。如用最新的Service Pack（SP6）升級Windows NT Server 4。0，包括所有補丁程序和后來發(fā)表的很多安全補丁程序。l 掌握并使用操作系統(tǒng)提供的安全功能，關閉不必要的服務和端口，專用主機只開專用功能。例如：運行網管、數據庫重要進程的主機上不應該運行如sendmail這種bug比較多的程序。網管網段路由器中的訪問控制應該限制在最小限度，與系統(tǒng)集成商研究清楚各進程必需的進程端口號，關閉不必要的端口。l Windows NT缺省安裝未禁用Guest賬號，并且給Everyone（每個人）工作組授予“完全控制”權限，沒有實施口令策略等，都給網絡的安全留下了漏洞。要加強服務器的安全，必須根據需要設置這些功能。l 控制授權用戶的訪問，實行“用戶權限最小化” 配置原則，將用戶以“組”的方式進行管理。例如：“用戶權限最小化” 配置。域里配置適當的NTFS訪問控制可以增強網絡的安全。取消或更改缺省情況下的Everyone組的：“完全控制”權限，要始終設置用戶所能允許的最小的文件夾和文件的訪問權限。另外，不要共享任何一個FAT卷。l 避免給用戶定義特定的訪問控制。將用戶以“組”的方式進行管理是一個用戶管理的有效方法。如果一個用戶在公司里的角色變了，很難跟蹤并更改他的訪問權。最明智的作法就是為每個用戶指定一個工作組，為工作組指定文件、文件夾訪問權。如果要收回或更改某個用戶的訪問權，只要把該用戶從工作組中刪除或指定另一個工作組。l 實施賬號及口令策略。配置口令策略，設置賬號鎖定。主要原則有：登錄名稱中字符不要重復或循環(huán)；至少包含兩個字母字符和一個非字母字符；至少有6個字符長度；不是用戶的姓名，不是相關人物、著名人物的姓名，不是用戶的生日和電話號碼及其他容易猜測的字符組合等；要求用戶定期更改口令；給系統(tǒng)的默認用戶特別是Administrator、Root改名，禁用Guest賬號；不要使用無口令的賬號，否則會給安全留下隱患；設置賬號鎖定，建議設置嘗試注冊三次后鎖定賬號，在合適的鎖定時間后被鎖定的賬號自動打開，或者只有管理員才能打開，用戶恢復正常。l 控制遠程訪問服務。遠程訪問是黑客攻擊系統(tǒng)的常用手段，應在系統(tǒng)中集成強認證系統(tǒng)，如交換加密用戶ID和口令數據，使用專用的挑戰(zhàn)響應協(xié)議（Challenge / Response Protocol），確保不會多次出現相同的認證數據，阻止內部黑客捕捉網絡信息包。同時，如條件允許，應該使用回叫安全機制，并盡量采用數據加密技術，保證數據安全。l 啟用登錄工作站和登錄時間限制。如果每個用戶只有一個PC，并且只允許工作時間登錄，可以把每個用戶的賬號限制在自己的PC上，且在工作時間內使用，從而保護網絡數據的安全。l 啟動審查功能。為防止未經授權的訪問，應該啟用安全審查功能，以便在事件查看器安全日志中記錄未經授權的訪問企圖，以便盡早發(fā)現安全漏洞。但要結合