【正文】 信息系統(tǒng)安全建設建議 方案 第 25頁 共 53 頁 入侵管理技術(shù)是應急響應體系的核心支撐技術(shù)。入侵檢測系統(tǒng)不僅能抓取網(wǎng)絡中的數(shù)據(jù)流并進行分析，與事件庫中的入侵行為進行模式匹配，從而對入侵行為進行報警，而且能夠進行完備的協(xié)議分析，保證對數(shù)據(jù)流的分析是比較完整的。同時，好的入侵檢測系統(tǒng)還具有異常統(tǒng)計的功能，以降低誤報率，提高工作效率。 隨著入侵檢測技術(shù)的發(fā)展，入侵檢測系統(tǒng)還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。為了提高入侵檢測系統(tǒng)的可用性，提高對應 急響應體系的支持力度，還應加強入侵檢測系統(tǒng)的安全防范及管理功能，提高對全局入侵行為的可視管理。具有良好可視化、可控性、可管理性的新一代入侵檢測系統(tǒng)可稱為入侵管理系統(tǒng)。 ? 入侵驗證 入侵驗證系統(tǒng)根據(jù) 入侵檢測系統(tǒng) 發(fā)現(xiàn)的 網(wǎng)絡信息安全 事件，對被攻擊網(wǎng)絡或主機進行攻擊后果的驗證，并將攻擊后果返回給控制中心，供管理者做決策參考。 ? 與網(wǎng)管系統(tǒng)結(jié)合 安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺將預警事件分級、分類、自動上報給網(wǎng)管系統(tǒng)，供網(wǎng)絡管理員做全局安全事件分析。 ? 可視化 用可視化的方式顯示當前安全態(tài)勢，用不同的顏色和形狀表示關鍵點（ 如外部 IP）。 可根據(jù)需要設置條件，實時顯示 TOP10 事件，包括攻擊源、目標的 MAC 地址、 IP 地址，流量信息；對各種協(xié)議相關事件如 Tel、 SMTP，按需要進行回放。 ? 事件自定義 事件自定義功能，以深層協(xié)議分析為基礎，能夠?qū)崿F(xiàn)： ? 對攻擊特征進行多樣化、靈活定義，可以使 我 公司保證對最新攻擊方法的迅速反應和升級，同時可以協(xié)助用戶直接定義針對其特殊應用的攻擊和威脅。 ? 用戶可以方便地修改協(xié)議端口默認值，滿足用戶保護特殊網(wǎng)絡應用的需要，同時有效防止黑客以變形木馬等方式躲避入侵檢測系統(tǒng)監(jiān)控的攻擊。 ? 用戶可以自定義所 關注的敏感信息，加強內(nèi)外部信息的審查，如商業(yè)機密，反動、黃色、暴力等信息。 ? 用戶可以定義與指定的人、郵件、 IP 地址等有關的行為，實現(xiàn)對重點目標的保護和對重點懷疑對象異常行為的有效監(jiān)控。 ? 策略自定義 信息系統(tǒng)安全建設建議 方案 第 26頁 共 53 頁 入侵檢測系統(tǒng)內(nèi)置檢測策略，可以供用戶選用。同時，入侵檢測系統(tǒng)應允許有經(jīng)驗的用戶根據(jù)網(wǎng)絡中數(shù)據(jù)流的特點，提供靈活的安全策略管理機制，利用系統(tǒng)中的事件定義模板，定制網(wǎng)絡中可疑行為和監(jiān)控對象，定制相應的檢測策略，并對這些行為進行響應，做到重點監(jiān)測、量體裁衣，報告用戶最為關注的事件，充分提高入侵檢測系統(tǒng)的檢測效率，降低誤 報率。 ? 引擎自定義提供不同作用、基于不同環(huán)境的入侵檢測探測引擎。包括基于百兆網(wǎng)的網(wǎng)絡入侵檢測系統(tǒng)引擎、基于千兆網(wǎng)的網(wǎng)絡入侵檢測系統(tǒng)引擎、基于 Windows 平臺的主機入侵檢測系統(tǒng)引擎、基于 AIX、 Solaris 平臺的主機入侵檢測系統(tǒng)引擎等。這些引擎都可以被統(tǒng)一的入侵管理平臺所管理。 . 脆弱性 掃描系統(tǒng)設計 （漏洞掃描） 網(wǎng)絡的應用越來越廣泛，而網(wǎng)絡不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關操作系統(tǒng)、網(wǎng)絡軟件、應用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員 的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴重。 動態(tài)安全的概念是：幫助管理員主動發(fā)現(xiàn)問題。最有效的方法是定期對網(wǎng)絡系統(tǒng)進行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安全性。因此 **集團 網(wǎng)絡系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡漏洞并解決問題的工具，以保證整體網(wǎng)絡系統(tǒng)平臺安全。 漏洞掃描系統(tǒng)包括了網(wǎng)絡模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。該系 統(tǒng)具有強大的漏洞檢測能力和檢測效率，貼切用戶需求的功能定義，靈活多樣的檢測方式，詳盡的漏洞修補方案和友好的報表系統(tǒng)，以及方便的在線升級。 部署方案 對于 網(wǎng)絡信息安全 來說，安全性取決于所有安全措施中最薄弱的環(huán)節(jié)，而上面我們所討論的問題，就是網(wǎng)絡的薄弱之處，也是最容易被黑客利用來侵入系統(tǒng)，給我們造成損失的環(huán)節(jié)。所以在網(wǎng)絡 中心 部署 一 套 我 公司的 天鏡脆弱性掃描與管理系統(tǒng) 協(xié)同入侵檢測系統(tǒng)對網(wǎng)絡系統(tǒng)提供防護。 信息系統(tǒng)安全建設建議 方案 第 27頁 共 53 頁 系統(tǒng)功能 ? 可以動態(tài)地分析目標系統(tǒng)的安全脆弱性 根據(jù)不同的對象類型，自動尋找匹配的掃描策略進行下一步的分析 掃描。 ? 靈活的策略配置 可按照特定的需求配置多種掃描策略和掃描參數(shù)，實現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。 ? 多種形式、人性化的掃描報表 可根據(jù)用戶的不同需求提供不同層次的報告，并提供安全補丁供應商的熱連接，快速及時的修補漏洞。 ? 實用的模擬攻擊工具 ? 合理的結(jié)構(gòu)化設計、模塊的繼承性，使得系統(tǒng)具有很大的可擴展空間 ? 全自動、大規(guī)模的掃描任務 ? 支持 windows 域環(huán)境 ? 多線程掃描 保證掃描任務的高效性和穩(wěn)定性； ? 定時掃描機制 保證充分利用網(wǎng)絡空閑間隙進行 網(wǎng)絡信息安全 狀況評估； ? 豐富的漏洞檢查列表 ? 分級 、靈活的預定義報告 ? 合理的結(jié)構(gòu)化設計 ? 遠程在線升級 ? 詳盡的安全解決方案 ? 幫助用戶在了解 網(wǎng)絡信息安全 狀況的情況下得到詳盡可行的解決措施。 系統(tǒng)作用 通過在 **集團 網(wǎng)絡系統(tǒng)進行安全漏洞檢測和分析，我們可以做到： ? 對 **集團 網(wǎng)絡重要服務器和 PC 機進行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當、疏忽或操作系統(tǒng)本身存在的漏洞 (這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡上懷有惡意的人竊信息系統(tǒng)安全建設建議 方案 第 28頁 共 53 頁 取，甚著造成系統(tǒng)本身的崩潰 )，生成詳細的可視化報告，同時向管理人員給出相應的解決辦法及安全建議。 ? 對 **集團 網(wǎng)絡系統(tǒng)網(wǎng)絡邊界組件、基礎組件和其他系統(tǒng)進 行漏洞掃描，檢查系統(tǒng)的潛在問題，發(fā)現(xiàn)操作系統(tǒng)存在的漏洞和安全隱患。 ? 漏洞掃描系統(tǒng)對網(wǎng)絡及各種系統(tǒng)進行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報告，使管理員能夠隨時了解網(wǎng)絡系統(tǒng)當前存在的漏洞并及時采取相應的措施進行修補。 ? 通過漏洞掃描的結(jié)果，對系統(tǒng)進行加固和優(yōu)化。 . 網(wǎng)絡信息安全 審計系統(tǒng)設計 來自網(wǎng)絡的安全威脅日益增多，很多威脅并不是以網(wǎng)絡入侵的形式進行的，這些威脅事件多數(shù)是來自于內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些 網(wǎng)絡信息安全 事件的審計要求， 網(wǎng)絡信息安全 審計 系統(tǒng)正是在這樣的安全審計需求下產(chǎn)生的。 網(wǎng)絡信息安全 審計通常要求專門細致的協(xié)議分析技術(shù)，完整的跟蹤能力，和數(shù)據(jù)查詢過程回放功能。 對于互聯(lián)網(wǎng)內(nèi)容的管理和控制，歸根到底是對訪問者的管理和控制。一個好的互聯(lián)網(wǎng)內(nèi)容管理產(chǎn)品，要能做到基于用戶的、細化、量化的訪問策略定制?；ヂ?lián)網(wǎng)訪問主要包括Web訪問和基于 Inter的一些應用程序的使用。 Web訪問是指通過 URL地址訪問 Web內(nèi)容，相應的控制手段主要有內(nèi)容實時過濾、預分類列表方式等。除了 Web內(nèi)容，一些基于 Inter的應用程序，包括常用的即時通訊工具、 P2P 文件共享下載、在線游戲、流媒體播放和股票系統(tǒng)等，也需要加以控制。越來越多的問題滋生于此，通過聊天、文件下載、網(wǎng)絡游戲或其他程序的應用，導致的安全風險、生產(chǎn)力下降、帶寬濫用、法律風險等問題層出不窮。 具備 合理 的定位和管理措施，清晰直觀的監(jiān)控記錄和靈活多樣的數(shù)據(jù)統(tǒng)計報表， 是互聯(lián)網(wǎng)訪問控制 審計 類產(chǎn)品的一項重要功能。支持對訪問事件 (訪問者、訪問時間、訪問內(nèi)容、響應動作 )的實時監(jiān)控記錄，自定義查找訪問者、內(nèi)容的記錄、根據(jù)記錄生成直觀的統(tǒng)計數(shù)據(jù)等。幫助企業(yè)發(fā)現(xiàn)互聯(lián)網(wǎng)訪問趨勢，了解企業(yè)互聯(lián)網(wǎng)的使用情況。 在專網(wǎng)服務器區(qū) ，面對繁多的業(yè)務系統(tǒng)，有充分的必要性對網(wǎng)絡的使用者、設備登錄維護者應用安全審計進行跟蹤。審計是記錄用戶使用計算機網(wǎng)絡系統(tǒng)進行所有活動的過程，它信息系統(tǒng)安全建設建議 方案 第 29頁 共 53 頁 是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。審計信息對于確定是否有網(wǎng)絡攻擊的情況，對于確定問題的起因和攻擊發(fā)起處非常重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)，為網(wǎng)絡犯罪行為及泄密行為提供取證基礎。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計 跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。 部署方案 為了進一步加強 **集團 網(wǎng)絡信息安全 的健壯性及事后分析的可行性，并滿足信息安全監(jiān)控的目的，針對 **集團 網(wǎng)絡基礎建設的實際情況，我們建議： ? 在外網(wǎng)出口處 部署一臺 我 公司的 天玥 網(wǎng)絡信息安全 審計系統(tǒng) （互聯(lián)網(wǎng)型） 探測引擎 ，實現(xiàn) 對 外網(wǎng)出口處 各種數(shù)據(jù)流的檢測監(jiān)控，對于非法的互聯(lián)網(wǎng)訪問行為進行審計和阻斷。 ? 在核心業(yè)務服務器區(qū)的出口處 部署一臺 我 公司的 天玥 網(wǎng)絡信息安全 審計系統(tǒng) （業(yè)務網(wǎng)型） 探測引擎，實現(xiàn)對 WWW、 FTP、 E_mail、 OA、數(shù)據(jù)庫等應用服務 器的訪問或非法攻擊進行數(shù)據(jù)分析并保存，以便事后取證和分析。 系統(tǒng)功能 采用網(wǎng)絡旁路監(jiān)聽技術(shù)，不改變網(wǎng)絡結(jié)構(gòu)，不影響用戶網(wǎng)絡流量和性能，不會成為用戶的網(wǎng)絡故障點而導致網(wǎng)絡癱瘓；專用系統(tǒng)設計，安裝簡便，穩(wěn)定可靠。 業(yè)務網(wǎng)型： ? 對數(shù)據(jù)庫、 Tel 、 FTP等登錄的操作進行詳細的審計和實時監(jiān)控 ? 對 HTTP、 NETBIO、 SMTP、 POP3等應用層協(xié)議進行審計監(jiān)控 ? 對 FTP、 Tel、數(shù)據(jù)庫操作、應用（業(yè)務）系統(tǒng)等進行命令級的審計和訪問控制 ? 對非正常網(wǎng)絡行為進行審計 信息系統(tǒng)安全建設建議 方案 第 30頁 共 53 頁 互聯(lián)網(wǎng)型： ? 記錄全面的互聯(lián)網(wǎng)訪問信息 ? 屏蔽各類不良網(wǎng)站 ? 控制互聯(lián)網(wǎng)絡行為 ? 審計 MAIL 信息 ? 過濾不良信息 . 內(nèi)網(wǎng) 安全 管理系統(tǒng)設計 （終端管理） 一直以來，安全防御理念局限在常規(guī)的網(wǎng)關級別（防火墻等）、網(wǎng)絡邊界（漏洞掃描、安全審計、防病毒、 IDS）等方面的防御，重要的安全設施大致集中于機房、網(wǎng)絡入口處，在這些設備的嚴密監(jiān)控下，來自網(wǎng)絡外部的安全威脅大大減小。但是在實際情況下，來自網(wǎng)絡內(nèi)部的安全威脅卻是多數(shù)網(wǎng)絡管理人員真正需要面對的問題。據(jù)統(tǒng)計結(jié)果表明， 80%的安全事件來自與網(wǎng)絡內(nèi)部，而只有 20%的安全事件來自于外部。目前網(wǎng)絡管理工作量最大的部是客戶 端安全部分，對網(wǎng)絡的正常運轉(zhuǎn)威脅最大的也同樣是客戶端安全。由于大型網(wǎng)絡一般結(jié)構(gòu)較為復雜，用戶使用水平參差 不齊，而網(wǎng)絡管理人員編制有限，往往難以面對數(shù)量重大的客戶端事件， 例如： ? 缺少有效手段對客戶端聯(lián)網(wǎng)行為進行監(jiān)控，對客戶端違規(guī)聯(lián)網(wǎng)的現(xiàn)象及時發(fā)現(xiàn)，及時阻斷。 ? 如何安全、方便的將非安全計算機阻斷出網(wǎng) ? 如何對補丁進行自動分發(fā)部署和補丁控制。 ? 如何按照既定策略統(tǒng)一配置客戶端端口策略、注冊表策略等客戶端安全策略。 ? 如何監(jiān)控網(wǎng)絡中的防病毒軟件安裝情況，準確有效的定位網(wǎng)絡中病毒的引入點，快速、安全的切斷安全事件發(fā)生點和相 關網(wǎng)絡。 ? 如何對硬件資產(chǎn)進行自動發(fā)現(xiàn)識別，有效進行網(wǎng)絡資源管理和設備資產(chǎn)管理，在提高工作精度的同時減少網(wǎng)絡管理人員的工作量。 ? 如何對網(wǎng)絡中的軟件狀態(tài)信息進行有效的查詢和管理； ? 如何實現(xiàn)客戶端安裝軟件自動識別控制，尤其是掌握網(wǎng)絡內(nèi)新安裝的軟件，以及時發(fā)現(xiàn)隱患。 ? 如何對軟件進行分發(fā)安裝，以大幅度減少網(wǎng)管的工作量。 信息系統(tǒng)安全建設建議 方案 第 31頁 共 53 頁 ? 如何對網(wǎng)絡客戶端進行有效工作狀態(tài)監(jiān)控，監(jiān)督使用人員規(guī)范操作電腦。 ? 如何構(gòu)架功能強大的網(wǎng)絡客戶端綜合安全報警平臺。 ? 如何有效監(jiān)控客戶端的運維信息，以便網(wǎng)管了解網(wǎng)絡中的客戶端是否已超負荷運轉(zhuǎn)，是否需要升級 。 ? 如何有效地監(jiān)控客戶端的 USB 拷貝、打印的行為。 ? 如何有效地實現(xiàn)客戶端文件的備份存儲。 事實表 明，只有解決網(wǎng)絡內(nèi)部的安全問題，才可以排除網(wǎng)絡中最大的安全隱患 。 部署方案 策略服務器 策略服務器用于配置管理客戶端安全策略，分發(fā)策略給客戶端代理及策略網(wǎng)關，分