【正文】 絡的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應 (阻斷、報警、發(fā)送 Email)。從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器 (網絡引擎 )?？刂婆_用作制定及管理所有探測器 (網絡引擎 )。探測器 (網絡引擎 )用作監(jiān)聽進出網絡 的訪問行為，根據控制臺的指令執(zhí)行相應行為。由于探測器采取的是監(jiān)聽而不是過濾數據包，因此，入侵檢測系統(tǒng)的應用不會對網絡系統(tǒng)性能造成多大影響。 入侵檢測系統(tǒng)的設置如下圖： 從上圖可知，入侵檢測儀在網絡接如上與 VPN 設備并接使用。入侵檢測儀在使用上是獨立網絡使用的，網絡數據全部通過 VPN 設備， 而入侵檢測設備在網絡上進行疹聽，監(jiān)控網絡狀況，一旦發(fā)現攻擊行為將通過報警、通知 VPN 設備中斷網絡 (即 IDS 與 VPN 聯動功能 )等方式進行控制 (即安全設備自適應機制 )，最后將攻擊行為進行日志記錄以供以后審查。 作為一個完善的通用安全系統(tǒng)，應當包含完善的安全措施，定期的安全評估及安全分析同樣相當重要。由于網絡安全系統(tǒng)在建立后并不是長期保持很高的安全性，而是隨著時間的推移和技術的發(fā)展而不斷下降的，同時，在使用過程中會出現新的安全問題，因此，作為安全系統(tǒng)建設的補充，采取相應的措施也是必然。 本方案中， 采用漏洞掃描設備對網絡系統(tǒng)進行定期掃描，對存在的系統(tǒng)漏洞、網絡漏洞、應用程序漏洞、操作系統(tǒng)漏洞等進行探測、掃描，發(fā)現相應的漏洞并告警，自動提出解決措施，或參考意見，提醒網絡安全管理員作好相應調整。 新疆農業(yè)職業(yè)技術學院 對復雜或有特殊要求的網絡環(huán)境，在采取安全措施上應當特殊考慮，增加新的安全措施。 應用系統(tǒng)安全 系統(tǒng)平臺安全 企業(yè)各級網絡系統(tǒng)平臺安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺是建立在國外產品的基礎上，因而存在很大的安全隱患。 企業(yè)網絡系統(tǒng)在主要的應用服務平臺中采用國內自主 開發(fā)的安全操作系統(tǒng)，針對通用 OS 的安全問題，對操作系統(tǒng)平臺的登錄方式、文件系統(tǒng)、網絡傳輸、安全日志審計、加密算法及算法替換的支持和完整性保護等方面進行安全改造和性能增強。一般用戶運行在 PC 機上的 NT 平臺，在選擇性地用好 NT 安全機制的同時，應加強監(jiān)控管理。 應用平臺安全 企業(yè)網絡系統(tǒng)的應用平臺安全，一方面涉及用戶進入系統(tǒng)的身份鑒別與控制，以及使用網絡資源的權限管理和訪問控制，對安全相關操作進行的審計等。其中的用戶應同時包括各級管理員用戶和各類業(yè)務用戶。另一方面涉及各種數據庫系統(tǒng)、 WWW 服務、 EMAIL 服務、 FTP 和 TELNET 應用中服務器系統(tǒng)自身的安全以及提供服務的安全。在選擇這些應用系統(tǒng)時，應當盡量選擇國內軟件開發(fā)商進行開發(fā)，系統(tǒng)類型也應當盡量采用國內自主開發(fā)的應用系統(tǒng)。 因為病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣，相應地企業(yè)在構建網絡防病毒系統(tǒng)時，應利用全方位的企業(yè)防毒產品，實施“層層設防、集中控制、以防為主、防殺結合”的策略。具體而言，就是針對網絡中所有可能的病毒攻擊設置對應的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網絡沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。本方 案中在選擇殺毒軟件時應當注意幾個方新疆農業(yè)職業(yè)技術學院 面的要求：具有卓越的病毒防治技術、程序內核安全可靠、對付國產和國外病毒能力超群、全中文產品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產品集成度高、高可靠性、可調配系統(tǒng)資源占用率、便捷的網絡化自動升級等優(yōu)點。 病毒對信息系統(tǒng)的正常工作運行產生很大影響，據統(tǒng)計，信息系統(tǒng)的 60%癱瘓是由于感染病毒引起的。 為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求： ● 采用世界最先進的防毒產品與網絡系統(tǒng)的實際需要相結合，確保網絡系統(tǒng)具有最佳的病毒防護能力的情況下綜合成本 最少。 ● 充分考慮網絡的系統(tǒng)數據、文件的安全可靠性，所選產品與現系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對現有系統(tǒng)運行產生不良影響。 ● 應用全球最為先進的“實時監(jiān)控”技術，充分體現趨勢科技“以防為主”的反病毒思想。 ● 所選用產品具備對多種壓縮格式文件的病毒檢測。 ● 所選用產品易于安裝、操作簡便、便于管理和維護，具有友好的用戶界面。 ● 應用經由 ICSA(國際電腦安全協會 )技術認證的掃描引擎，保證對包括各種千面人病毒、變種病毒和黑客程序等具有最佳的病毒偵測率，除對已知病毒具備全面的 偵防能力，對未知病毒亦有良好的偵測能力。強調在 XXX 網絡防毒系統(tǒng)內，實施統(tǒng)一的防病毒策略、集中的防毒管理和維護，最大限度地減輕使用人員和維護人員的工作量。 ● 完全自動化的日常維護，便于進行病毒碼及掃描引擎的更新。 ● 提供良好的售后服務及技術支持。 ● 具有良好的可擴充性，充分保護用戶的現有投資，適應網絡系統(tǒng)的今后發(fā)展需要 ESET 殺毒軟件高級企業(yè)版：針對大型網絡特點專業(yè)設計，擁有網絡版產品新疆農業(yè)職業(yè)技術學院 的所有功能，可以建立超級病毒監(jiān)控管理（系統(tǒng)）中心，其中上級中心不僅可集中管理各個下級系統(tǒng)中心，上級中 心還可直接管理下級中心的任一個防病毒客戶端。 通過建立“集中管理、分布處理”的多級中心防病毒監(jiān)控管理系統(tǒng)，在大型企業(yè)內部的服務器和客戶端同時部署殺毒軟件共同完成對整個網絡的病毒防護工作，為用戶的網絡系統(tǒng)提供全方位防病毒解決方案。 圖 25 大型區(qū)域網絡的監(jiān)控與管理圖 防毒墻： 防毒墻是一款多功能、高性能的產品，它不但能夠在網絡邊緣病毒檢測、攔截和清除的功能，同時，它還是一個高性能的防火墻，通過在總部、分支機構網絡邊緣分別布置不同性能的防毒墻保護總部和分支機構內部網絡和對外服務器不受黑客的攻擊，同時通過 VPN 功能，為分支機構、遠程、移動用戶提供一個安全的遠程連接功能，是大型企業(yè)網絡邊緣安全的首選產品。 網絡安全預警系統(tǒng)：網絡安全預警系統(tǒng)集病毒掃描、入侵檢測和網絡監(jiān)視功能于一身，它能實時捕獲網絡之間傳輸的所有數據，利用內置的病毒和攻擊特征庫，通過使用模式匹配和統(tǒng)計分析的方法 ，可以檢測出網絡上發(fā)生的病毒入侵、違反安全策略的行為和異?，F象，并在數據庫中記錄有關事件，作為事后分析的新疆農業(yè)職業(yè)技術學院 依據。 網絡安全預警系統(tǒng)的目標是：全面，準確，高效，穩(wěn)定，安全，快速。全面是指能檢測已知的各種病毒和攻擊；準確是指檢測的結果準確，誤報率低；高效是指檢測引擎的運行效率高，由于現在的網絡帶寬越來越寬，只有高效的引擎才能在檢測時不丟包；穩(wěn)定是指系統(tǒng)運行穩(wěn)定可靠；安全是指預警系統(tǒng)自身的安全，由于引擎中保存了大量檢測到的敏感信息，因此對其自身的保護是十分重要的；快速是指對新的漏洞和新的攻擊方法反應快，系統(tǒng)升級簡便 。 通過 ESET 殺毒軟件高級企業(yè)版、防毒墻和網絡安全預警共同為大型企業(yè)建立一個統(tǒng)一的防黑、防毒的安全網絡。設計后的安全網絡拓撲圖如下： 圖 26 大型企業(yè)網絡安全實施圖 三、選用產品 ESET 網絡版殺毒軟件高級企業(yè)版 防毒墻 網絡安全預警系統(tǒng) 四、企業(yè)整體解決方案實現的主要功能 1. 安全的 網絡邊緣防護 新疆農業(yè)職業(yè)技術學院 防毒墻可以根據用戶的不同需要，具備針對 HTTP、 FTP、 SMTP 和 POP3協議內容檢查、清除病毒的能力，同時通過實施安全策略可以在網絡環(huán)境中的內外網之間建立一道功能強大的防火墻體系，不但可以保護內部資源不受外部網絡的侵犯，同時可以阻止內部用戶對外部不良資源的濫用。 2. 內部網絡行為監(jiān)控和規(guī)范 網絡安全預警系統(tǒng) SDS1000 對 HTTP、 SMTP、 POP3 和基于 HTTP 協議的其他應用協議具有 100%的記錄能力 ,企業(yè)內部用戶上網信息識別粒度達到每一個 URL 請求和每一個 URL 請求的回應。通過 對網絡內部網絡行為的監(jiān)控可以規(guī)范網絡內部的上網行為，提高工作效率，同時避免企業(yè)內部產生網絡安全隱患。 3. 計算機病毒的監(jiān)控和清除 網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發(fā)的網絡防病毒軟件，通過網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統(tǒng)，并且可以實現防病毒體系的統(tǒng)一、集中管理，實時掌握、了解當前網絡內計算機病毒事件，并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。 4. 強大的日志分析和統(tǒng)計報表能力 對網絡內的安全事件都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機 IP 地址等相關信息。此外，報表系統(tǒng)可以自動生成各種形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網絡上發(fā)生的各種事件，有助于管理人員提高網絡的安全管理。 5. 模塊化的安全組合 本方案中使用的瑞星網絡安全產品分別具有不同的功能，用戶可以根據自身企業(yè)的實際情選擇不同的產品構建不同安全級別的網絡，產品選擇組合方便、靈活，既有獨立性有整體性。 企業(yè)內部存在大量的數據，而這里面又有許多重要的、機密的信息。而整個數據 的安全保護就顯得特別重要，對數據進行定期備份是必不可少的安全措施。在采取數據備份時應該注意以下幾點： 新疆農業(yè)職業(yè)技術學院 ● 存儲介質安全 在選擇存儲介質上應選擇保存時間長，對環(huán)境要求低的存儲產品，并采取多種存儲介質備份。如同時采用硬盤、光盤備份的方式。 ● 數據安全 即數據在備份前是真實數據，沒有經過篡改或含有病毒。 ● 備份過程安全 確保數據在備份時是沒有受到外界任何干擾，包括因異常斷電而使數據備份中斷的或其它情況。 ● 備份數據的保管 對存有備份數據的存儲介質，應保存在安全的地方，防火、防盜及各種災害，并注意保存環(huán)境 (溫 度、濕度等 )的正常。同時對特別重要的備份數據，還應當采取異地備份保管的方式，來確保數據安全。對重要備份數據的異地、多處備份 (避免類似美國 911 事件為各公司產生的影響 ) 作為一個良好的安全系統(tǒng)，安全審計必不可少。 企業(yè)是一個非常龐大的網絡系統(tǒng)，因而對整個網絡 (或重要網絡部分 )運行進行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數據進行分析、比較，找出發(fā)生的網絡安全問題的原因，并可作為以后的法律證據或者為以后的網絡安全調整提供依據。 、鑒別、數字簽名、抗抵賴 企業(yè)網絡系統(tǒng)龐 大，上面存在很多分級的重要信息 ， 同時，由于現在國家正在大力推進電子政務的發(fā)展，網上辦公已經越來越多的被應用到各級政府部門當中，因此，需要對網上用戶的身份、操作權限等進行控制和授權。對不同等級、類型的信息只允許相應級別的人進行審閱 。對網上公文的處理采取數字簽名、抗抵賴等相應的安全措施。 新疆農業(yè)職業(yè)技術學院 企業(yè)網絡系統(tǒng)的物理安全要求是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災和雷擊等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 企業(yè)內部網絡系統(tǒng)具有 兩套網絡，這兩套網絡系統(tǒng)是完全物理隔離的，而企業(yè)內部有部分用戶需要兩個網絡都要接入，這就涉及到兩個網絡之間的相互切換問題。而現在的實際使用是采用手工拔插網線的方式進行切換，這使得使用中非常不方便。因此，本方案建議采用網絡隔離卡的方式來解決網絡切換的問題。 隔離卡工作方式 隔離卡上有兩個網絡接口，一個接內網，一個接外網 。另外還有一個控制口，通過控制口連接一個控制器 (只有火柴盒大小 )，放置于電腦旁邊。同時，在隔離卡上接兩個硬盤，使一個計算機變?yōu)閮蓚€計算機使用，兩個硬盤上分別運行獨立的操作系統(tǒng)。這樣，可通過控制器 進行切換 (簡單的開關，類似電源開關 )，使計算機分別接到兩個網絡上。 企業(yè)網絡的實際情況，需要在 樓層中 安裝隔離卡 。并且做好規(guī)劃 普通的綜合布線系統(tǒng)通常都采用 5 類 UTP 的方式，由于電信號在傳輸時存在電磁場，并隨著信號的改變而改變磁場的強弱，而 UTP 本身沒有任何的屏蔽功能，因此容易被國外間諜機構或不法分子采取電磁波復原的方法竊取重要機密信息，造成嚴重后果。因而對重要信息點的數據傳輸介質應采取相應的安全措施，如使用屏蔽雙絞線等 終端設備尤其是 CRT 顯示器均有程度不同的電磁輻射問題， 但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，因此除要求在訂購設備上盡量選取低輻射產品外，還應根據保護對象分別采取主動式的干擾設備 (如干擾機來破壞對新疆農業(yè)職業(yè)技術學院 信息的偵竊 )，或采用加裝帶屏蔽門窗的屏蔽室。 企業(yè)網絡系統(tǒng)的物理范圍主要是在一棟大樓內，而大樓本身已采取相應的防雷措施，因此，本方案中主要針對網絡系統(tǒng)防雷進行設計，不包括電源防雷 (這一般屬于大樓防雷的部分 )。 不少用戶為防止計算機及其局域網或廣域網遭雷擊，便簡單地在與外部線路連接的調制解調器上安裝避雷器，但由于靜電感應雷、防電磁感應雷主要是 通過供電線路破壞設備的，因此對計算機信息系統(tǒng)的防雷保護首先是合理地加裝電源避雷器，其次是加裝信號線路和天饋線避雷器。如果大樓信息系統(tǒng)的設備配置中有計算機中心機房、程控交換機房及機要設備機房，那么在總電源處要加裝電源避雷器。按照有關標準要求，必須在 0 區(qū)、 1 區(qū)、 2 區(qū)分別加裝避雷器 (0 區(qū)、 1區(qū)、 2 區(qū)是按照雷電出現的強度劃