【正文】 動(dòng)生成功能，便于事件的分析。
　　提供實(shí)時(shí)的網(wǎng)絡(luò)狀態(tài)監(jiān)控功能，能夠?qū)崟r(shí)的查看網(wǎng)絡(luò)通信行為的連接狀態(tài)(當(dāng)前有那些連接、正在連接的IP、正在關(guān)閉的連接等信息)，通信數(shù)據(jù)流量。提供連接查詢和動(dòng)態(tài)圖表顯示。
　　防火墻自身必須是有防黑客攻擊的保護(hù)能力。
　　(隔離和訪問控制)基礎(chǔ)上，通過功能擴(kuò)展，同時(shí)具有在IP層構(gòu)建端到端的具有加密選項(xiàng)功能的ESP隧道能力，這類設(shè)備也有S的，主要用于通過外部網(wǎng)絡(luò)(公共通信基礎(chǔ)網(wǎng)絡(luò))將兩個(gè)或兩個(gè)以上“內(nèi)部”局域網(wǎng)安全地連接起來，一般要求S應(yīng)具有一下功能：
　　防火墻基本功能，主要包括：IP包過慮、應(yīng)用代理、提供DMZ端口和NAT功能等(有些功能描述與上相同)。
　　具有對(duì)連接兩端的實(shí)體鑒別認(rèn)證能力。
　　支持移動(dòng)用戶遠(yuǎn)程的安全接入。
　　支持IPESP隧道內(nèi)傳輸數(shù)據(jù)的完整性和機(jī)密性保護(hù)。
　　提供系統(tǒng)內(nèi)密鑰管理功能。
　　S設(shè)備自身具有防黑客攻擊以及網(wǎng)上設(shè)備認(rèn)證的能力。
　　入侵檢測(cè)與響應(yīng)方案
　　在網(wǎng)絡(luò)邊界配置入侵檢測(cè)設(shè)備，不僅是對(duì)防火墻功能的必要補(bǔ)充，而且可與防火墻一起構(gòu)建網(wǎng)絡(luò)邊界的防御體系。通過入侵檢測(cè)設(shè)備對(duì)網(wǎng)絡(luò)行為和流量的特征分析，可以檢測(cè)出侵害“內(nèi)部”網(wǎng)絡(luò)或?qū)ν庑孤┑木W(wǎng)絡(luò)行為和流量，與防火墻形成某種協(xié)調(diào)關(guān)系的互動(dòng)，從而在“內(nèi)部”網(wǎng)與外部網(wǎng)的邊界處形成保護(hù)體系。
　　入侵檢測(cè)系統(tǒng)的基本功能如下：
　　通過檢測(cè)引擎對(duì)各種應(yīng)用協(xié)議，操作系統(tǒng)，網(wǎng)絡(luò)交換的數(shù)據(jù)進(jìn)行分析，檢測(cè)出網(wǎng)絡(luò)入侵事件和可疑操作行為。
　　對(duì)自身的數(shù)據(jù)庫進(jìn)行自動(dòng)維護(hù)，無需人工干預(yù)，并且不對(duì)網(wǎng)絡(luò)的正常運(yùn)行造成任何干擾。
　　采取多種報(bào)警方式實(shí)時(shí)報(bào)警、音響報(bào)警，信息記錄到數(shù)據(jù)庫，提供電子郵件報(bào)警、SysLog報(bào)警、SNMPTrap報(bào)警、Windows日志報(bào)警、Windows消息報(bào)警信息，并按照預(yù)設(shè)策略，根據(jù)提供的報(bào)警信息切斷攻擊連接。
　　與防火墻建立協(xié)調(diào)聯(lián)動(dòng)，運(yùn)行自定義的多種響應(yīng)方式，及時(shí)阻隔或消除異常行為。
　　全面查看網(wǎng)絡(luò)中發(fā)生的所有應(yīng)用和連接，完整的顯示當(dāng)前網(wǎng)絡(luò)連接狀態(tài)。
　　可對(duì)網(wǎng)絡(luò)中的攻擊事件，訪問記錄進(jìn)行適時(shí)查詢，并可根據(jù)查詢結(jié)果輸出圖文報(bào)表，能讓管理人員方便的提取信息。
　　入侵檢測(cè)系統(tǒng)猶如攝像頭、監(jiān)視器，在可疑行為發(fā)生前有預(yù)警，在攻擊行為發(fā)生時(shí)有報(bào)警，在攻擊事件發(fā)生后能記錄，做到事前、事中、事后有據(jù)可查。
　　漏洞掃描方案
　　除利用入侵檢測(cè)設(shè)備檢測(cè)對(duì)網(wǎng)絡(luò)的入侵和異常流量外，還需要針對(duì)主機(jī)系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機(jī)漏洞掃描可以主動(dòng)發(fā)現(xiàn)主機(jī)系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng)管理員對(duì)該缺陷和漏洞進(jìn)行修補(bǔ)或堵塞。
　　對(duì)于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購標(biāo)準(zhǔn)產(chǎn)品問題的，應(yīng)及時(shí)升級(jí)換代或安裝補(bǔ)丁程序。屬委托開發(fā)的產(chǎn)品問題的，應(yīng)與開發(fā)商協(xié)議修改程序或安裝補(bǔ)丁程序。屬于系統(tǒng)配置出現(xiàn)的問題，應(yīng)建議系統(tǒng)管理員修改配置參數(shù)，或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。
　　漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢(shì)的必要輔助，對(duì)使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求。
　　考慮到漏洞掃描能檢測(cè)出防火墻策略配置中的問題，能與入侵檢測(cè)形成很好的互補(bǔ)關(guān)系：漏洞掃描與評(píng)估系統(tǒng)使系統(tǒng)管理員在事前掌握主動(dòng)地位，在攻擊事件發(fā)生前找出并關(guān)閉安全漏洞。而入侵檢測(cè)系統(tǒng)則對(duì)系統(tǒng)進(jìn)行監(jiān)測(cè)以期在系統(tǒng)被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測(cè)在安全保護(hù)方面不但有共同的安全目標(biāo)，而且關(guān)系密切。本方案建議采購將入侵檢測(cè)、管理控制中心與漏洞掃描一體化集成的產(chǎn)品，不但可以簡(jiǎn)化管理，而且便于漏洞掃描、入侵檢測(cè)和防火墻之間的協(xié)調(diào)動(dòng)作。
　　網(wǎng)絡(luò)防病毒方案
　　網(wǎng)絡(luò)防病毒產(chǎn)品較為成熟，且有幾種主流產(chǎn)品。本方案建議，網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)具備下列功能：
　　網(wǎng)絡(luò)amp。單機(jī)防護(hù)—提供個(gè)人或家庭用戶病毒防護(hù)。
　　文件及存儲(chǔ)服務(wù)器防護(hù)—提供服務(wù)器病毒防護(hù)。
　　郵件服務(wù)器防護(hù)—提供LotusNotes,MicrosoftExchange等病毒防護(hù)。
　　網(wǎng)關(guān)防護(hù)—在SMTP,HTTP,和FTPservergateway阻擋計(jì)算機(jī)病毒。
　　集中管理—為企業(yè)網(wǎng)絡(luò)的防毒策略，提供了強(qiáng)大的集中控管能力。
　　關(guān)于安全設(shè)備之間的功能互補(bǔ)與協(xié)調(diào)運(yùn)行
　　各種網(wǎng)絡(luò)安全設(shè)備(防火墻、入侵檢測(cè)、漏洞掃描、防病毒產(chǎn)品等)，都有自己獨(dú)特的安全探測(cè)與安全保護(hù)能力，但又有基于自身主要功能的擴(kuò)展能力和與其它安全功能的對(duì)接能力或延續(xù)能力。因此，在安全設(shè)備選型和配置時(shí)，盡可能考慮到相關(guān)安全設(shè)備的功能互補(bǔ)與協(xié)調(diào)運(yùn)行，對(duì)于提高網(wǎng)絡(luò)平臺(tái)的整體安全性具有重要意義。
　　防火墻是目前廣泛用于隔離網(wǎng)絡(luò)(段)邊界并實(shí)施進(jìn)/出信息流控制的大眾型網(wǎng)絡(luò)安全產(chǎn)品之一。作為不同網(wǎng)絡(luò)(段)之間的邏輯隔離設(shè)備，防火墻將內(nèi)部可信區(qū)域與外部危險(xiǎn)區(qū)域有效隔離，將網(wǎng)絡(luò)的安全策略制定和信息流動(dòng)集中管理控制，為網(wǎng)絡(luò)邊界提供保護(hù)，是抵御入侵控制內(nèi)外非法連接的。
　　但防火墻具有局限性。這種局限性并不說明防火墻功能有失缺，而且由于本身只應(yīng)該承擔(dān)這樣的職能。因?yàn)榉阑饓κ桥渲迷诰W(wǎng)絡(luò)連接邊界的通道處的，這就決定了它的基本職能只應(yīng)提供靜態(tài)防御，其規(guī)則都必須事先設(shè)置，對(duì)于實(shí)時(shí)的攻擊或異常的行為不能做出實(shí)時(shí)反應(yīng)。這些控制規(guī)則只能是粗顆粒的，對(duì)一些協(xié)議細(xì)節(jié)無法做到完全解析。而且，防火墻無法自動(dòng)調(diào)整策略設(shè)置以阻斷正在進(jìn)行的攻擊，也無法防范基于協(xié)議的攻擊。
　　為了彌補(bǔ)防火墻在實(shí)際應(yīng)用中存在的局限，防火墻廠商主動(dòng)提出了協(xié)調(diào)互動(dòng)思想即聯(lián)動(dòng)問題。防火墻聯(lián)動(dòng)即將其它安全設(shè)備(組件)(例如IDS)探測(cè)或處理的結(jié)果通過接口引入系統(tǒng)內(nèi)調(diào)整防火墻的安全策略，增強(qiáng)防火墻的訪問控制能力和范圍，提高整體安全水平。
　　目前，防火墻形成聯(lián)動(dòng)的主要有以下幾種方式：
　　
　　目前，實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式。一種是實(shí)現(xiàn)緊密結(jié)合，即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中，即入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來源不再來源于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。但由于入侵檢測(cè)系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng)，從目前的軟硬件處理能力來看，這種聯(lián)動(dòng)難于達(dá)到預(yù)期效果。第二種方式是通過開放接口來實(shí)現(xiàn)聯(lián)動(dòng)，即防火墻或者入侵檢測(cè)系統(tǒng)開放一個(gè)接口供對(duì)方調(diào)用，按照一定的協(xié)議進(jìn)行通信、警報(bào)和傳輸，這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。
　　防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)，可以對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)靜結(jié)合的保護(hù)，對(duì)網(wǎng)絡(luò)行為進(jìn)行細(xì)顆粒的檢查，并對(duì)網(wǎng)絡(luò)內(nèi)外兩個(gè)部分都進(jìn)行可靠管理。
　　
　　防火墻處于內(nèi)外網(wǎng)絡(luò)信息流的必經(jīng)之地，在網(wǎng)關(guān)一級(jí)對(duì)病毒進(jìn)行查殺是網(wǎng)絡(luò)防病毒的理想措施。目前已有一些廠商的防火墻可以與病毒防治軟件進(jìn)行聯(lián)動(dòng)，通過提供API定義異步接口，將數(shù)據(jù)包轉(zhuǎn)發(fā)到裝載了網(wǎng)關(guān)病毒防護(hù)軟件的服務(wù)器上進(jìn)行檢查，但這種聯(lián)動(dòng)由于性能影響，目前并不適宜部署在網(wǎng)絡(luò)邊界處。
　　
　　防火墻與日志處理之間的聯(lián)動(dòng)，目前國(guó)內(nèi)廠商做的不多。比較有代表性的是CheckPoint的防火墻，它提供兩個(gè)API：LEA(LogExportAPI)和ELA(EventLoggingAPI)，允許第三方訪問日志數(shù)據(jù)。報(bào)表和事件分析采用LE保護(hù)信息安全的方案PI，而安全與事件整合采用EL保護(hù)信息安全的方案PI。防火墻產(chǎn)品利用這個(gè)接口與其他日志服務(wù)器合作，將大量的日志處理工作由專門的服務(wù)設(shè)備完成，提高了專業(yè)化程度。
　　內(nèi)部網(wǎng)絡(luò)監(jiān)控與審計(jì)方案
　　上面的安全措施配置解決了網(wǎng)絡(luò)邊界的隔離與保護(hù)，網(wǎng)絡(luò)與主機(jī)的健康(防病毒)運(yùn)行，以及用戶訪問網(wǎng)絡(luò)資源的身份認(rèn)證和授權(quán)問題。
　　然而，縣衛(wèi)生局網(wǎng)絡(luò)內(nèi)部各辦公網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)行秩序的維護(hù)，網(wǎng)絡(luò)操作行為的監(jiān)督，各種違規(guī)、違法行為的取證和責(zé)任認(rèn)定，以及對(duì)操作系統(tǒng)漏洞引發(fā)的安全事件的監(jiān)視和控制等問題，則是必須予以解決的問題。因此有必要在各種內(nèi)部辦公網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)內(nèi)部部署集中管理、分布式控制的監(jiān)控與審計(jì)系統(tǒng)。這種系統(tǒng)通過在局域網(wǎng)(子網(wǎng))內(nèi)的管理中心安裝管理器，在各臺(tái)主機(jī)(PC機(jī))中安裝的代理軟件形成一個(gè)監(jiān)控與審計(jì)(虛擬網(wǎng)絡(luò))系統(tǒng)，通過對(duì)代理軟件的策略配置，使得每臺(tái)工作主機(jī)(PC機(jī))按照辦公或業(yè)務(wù)操作規(guī)范進(jìn)行操作，并對(duì)可能經(jīng)過主機(jī)外圍接口(USB口、串/并口、軟硬盤接口等)引入的非法入侵(包括病毒、木馬等)，或非法外連和外泄的行為予以阻斷和記錄。同時(shí)管理器通過網(wǎng)絡(luò)還能及時(shí)收集各主機(jī)上的安全狀態(tài)信息并下達(dá)控制命令，形成“事前預(yù)警、事中控制和事后審計(jì)”的監(jiān)控鏈。
　　監(jiān)控與審計(jì)系統(tǒng)應(yīng)具有下列功能：
　　管理器自動(dòng)識(shí)別局域網(wǎng)內(nèi)所有被監(jiān)控對(duì)象之間的網(wǎng)絡(luò)拓?fù)潢P(guān)系，并采用圖形化顯示，包括被監(jiān)控主機(jī)的狀態(tài)(如在線、離線)等。
　　支持對(duì)包含有多個(gè)子網(wǎng)的局域網(wǎng)進(jìn)行全面監(jiān)控。
　　系統(tǒng)對(duì)被監(jiān)控對(duì)象的USB移動(dòng)存儲(chǔ)設(shè)備、光驅(qū)、軟驅(qū)等外設(shè)的使用以及利用這些設(shè)備進(jìn)行文件操作等非授權(quán)行為進(jìn)行實(shí)時(shí)監(jiān)視、控制和審計(jì)。
　　系統(tǒng)對(duì)被監(jiān)控對(duì)象的串/并口等接口的活動(dòng)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)視、控制和審計(jì)。
　　系統(tǒng)對(duì)進(jìn)出被監(jiān)控對(duì)象的網(wǎng)絡(luò)通信(,ftp,pop,smtp)數(shù)據(jù)包進(jìn)行實(shí)時(shí)攔截、分析、處理和審計(jì)，對(duì)telnet通信數(shù)據(jù)包進(jìn)行攔截。
　　系統(tǒng)可根據(jù)策略規(guī)定，禁止被監(jiān)控對(duì)象進(jìn)行撥號(hào)(普通modem撥號(hào)、ADSL撥號(hào)、社區(qū)寬帶撥號(hào))連接，同時(shí)提供審計(jì)。
　　系統(tǒng)對(duì)被監(jiān)控對(duì)象運(yùn)行的所有進(jìn)程進(jìn)行實(shí)時(shí)監(jiān)視和審計(jì)。
　　系統(tǒng)支持群組管理，管理員可以根據(jù)被監(jiān)控對(duì)象的屬性特征，將其劃分成不同的安全組，對(duì)每個(gè)組制定不同的安全策略，所有組的成員都根據(jù)該策略執(zhí)行監(jiān)控功能。
　　支持多角色管理，系統(tǒng)將管理員和審計(jì)員的角色分離，各司其職。
　　強(qiáng)審計(jì)能力，系統(tǒng)具有管理員操作審計(jì)、被監(jiān)控對(duì)象發(fā)送的事件審計(jì)等功能。
　　系統(tǒng)自身有極強(qiáng)的安全性，能抗欺騙、篡改、偽造、嗅探、重放等攻擊。
39