【正文】 防火墻之后的第二道安全閘門。這些通過以下工作來實(shí)現(xiàn):l 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。l 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。l 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)替。l 異常行為模式的統(tǒng)計(jì)分析。l 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。l 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。對一個(gè)成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。從而達(dá)到對網(wǎng)絡(luò)實(shí)現(xiàn)立體縱深、多層次保護(hù)的目的。實(shí)時(shí)監(jiān)控或最近的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控。實(shí)時(shí)地顯示、監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量并記入日志。每小時(shí)網(wǎng)絡(luò)數(shù)據(jù)流量記入日志，顯示并提供詳細(xì)的信息。本地或遠(yuǎn)程的服務(wù)器服務(wù)的用戶信息。網(wǎng)絡(luò)負(fù)載容量和系統(tǒng)狀態(tài)的實(shí)時(shí)顯示。實(shí)時(shí)檢測、攔截并跟蹤黑客入侵行為檢測、攔截并通過各種方式(手機(jī)短信息、e朋i1，etc)發(fā)布警告信息給系統(tǒng)管理員。支持各種規(guī)則配置保證檢測和阻止黑客入侵。支持追蹤黑客，定位黑客的攻擊位置。信息管理，檢測并阻止訪問非授權(quán)的web站點(diǎn)(色情、娛樂等等)通過關(guān)鍵字的搜尋對e一mail和web一mail信息流出進(jìn)行攔截和記入日志。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案對于千兆網(wǎng)絡(luò)的完善支持。并聯(lián)式被動(dòng)抓包技術(shù)(掃描和抓包)不影響網(wǎng)絡(luò)流量。簡便的安裝和方便的操作(集成了S/W和H/W)。獨(dú)立安裝的系統(tǒng)保證更好地防御安全入侵。遠(yuǎn)程監(jiān)控和集中控制。支持和(IAP)控制中心的通訊交流。檢測/保護(hù)/警告根據(jù)入侵檢測規(guī)則阻斷非法網(wǎng)絡(luò)流量，發(fā)布警告和報(bào)告(通過報(bào)警、e一mail、移動(dòng)電話)給網(wǎng)絡(luò)管理人員。提供黑客的不同信息(目的、黑客行為、攻擊嘗試的數(shù)量、解決辦法、黑客攻擊的起止時(shí)間等等)。提供針對不同的攻擊行為的詳細(xì)信息和對策。提供詳盡的黑客文件來定位黑客位置?？刂菩畔ⅰM(jìn)出的郵件進(jìn)行有效的信息管理(發(fā)送者和接受者)。檢測e一11(信息體和附件)并可以通過關(guān)鍵字的匹配進(jìn)行阻斷(保證保密或機(jī)密信息不泄漏)。記錄Telnet，F(xiàn)tP和遠(yuǎn)程登錄的詳細(xì)信息。管理訪問未授權(quán)的網(wǎng)頁(包括色情、娛樂和股票信息等)的信息。控制和管理硬盤共享功能(對于PC機(jī))。控制特定的服務(wù)器、客戶端和服務(wù)(協(xié)議)，如果需要可以定義規(guī)則阻斷非法連接。提供根據(jù)字符串匹配檢索日志記錄。報(bào)告功能，實(shí)時(shí)或定期的網(wǎng)絡(luò)使用情況的詳細(xì)信息報(bào)告。黑客攻擊信息/檢測信息/保護(hù)信息/阻止信息報(bào)告。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案數(shù)據(jù)交換詳細(xì)信息報(bào)告，包括e一mail(正文/附件)、Web一mail、Telnet、Ftp和遠(yuǎn)程登錄等等。提供阻斷硬盤共享、本地/遠(yuǎn)程用戶不合法信息的報(bào)告。提供各種黑客攻擊行為的報(bào)告。各種不同的打印和輸出格式。各種圖形和報(bào)表報(bào)告。基于計(jì)算機(jī)、服務(wù)、時(shí)間、單個(gè)記錄/群體的報(bào)告。根據(jù)不同時(shí)間段(月、天、小時(shí))產(chǎn)生統(tǒng)計(jì)報(bào)表。設(shè)置統(tǒng)一管理權(quán)限。設(shè)置允許登錄IP地址，保證只有合法IP的特定用戶才能登錄系統(tǒng)。本地客戶機(jī)管理。根據(jù)IP地址管理數(shù)據(jù)流是否合法。攔截規(guī)則設(shè)置。根據(jù)每臺(tái)服務(wù)器情況和每個(gè)服務(wù)(端口)情況設(shè)置攔截端口。日志設(shè)置，網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)監(jiān)控設(shè)置。入侵檢測與防御解決方案利用在線式IPS和旁路式IDS實(shí)現(xiàn)。 安全漏洞掃描和評估安全漏洞掃描產(chǎn)品能夠最全面的評估企業(yè)范圍內(nèi)的所有網(wǎng)絡(luò)服務(wù)、防火墻、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等系統(tǒng)的安全狀況，找出存在的安全漏洞，按照高中底三種風(fēng)險(xiǎn)級別羅列出來，同時(shí)針對每個(gè)漏洞給出修補(bǔ)的辦法。漏洞掃描器的對象是基于TCP協(xié)議的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、路由器交換機(jī)、工作站、網(wǎng)絡(luò)打印機(jī)、防火墻等，通過模擬黑客攻擊手法，探測網(wǎng)絡(luò)設(shè)備存在的弱點(diǎn)，提醒安全管理員，及時(shí)完善安全策略，降低安全風(fēng)險(xiǎn)。只需在**集團(tuán)公司中心機(jī)房配置一臺(tái)機(jī)器上安裝上漏洞掃描器即可對全網(wǎng)所有網(wǎng)絡(luò)設(shè)備及服務(wù)器等進(jìn)行掃描。設(shè)置對昵B服務(wù)器、郵柞服務(wù)器、DNS服務(wù)器、數(shù)據(jù)庫服務(wù)器、等進(jìn)行基于網(wǎng)絡(luò)的掃描。系統(tǒng)掃描器通過對企業(yè)內(nèi)部操作系統(tǒng)安全弱點(diǎn)的全面分析幫助組織管理安全風(fēng)險(xiǎn)。系統(tǒng)掃描比較一個(gè)組織規(guī)定的安全策略和實(shí)際的主機(jī)配置來發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，包括缺少安全補(bǔ)丁、詞典中中可猜中的口令，不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登陸權(quán)限、不安全的服務(wù)配置和代表攻擊的可以行為等等。系統(tǒng)掃描器采用Console/Agent結(jié)構(gòu)，首先需要一臺(tái)Console，在被掃描的機(jī)器上安裝Agent代理，由Console集中管理所有的Agent的掃描服務(wù)。數(shù)據(jù)庫掃描器是針對數(shù)據(jù)庫管理系統(tǒng)的風(fēng)險(xiǎn)評估檢測工具，可以利用它建立數(shù)據(jù)庫的安全規(guī)則，通過運(yùn)用審核程序來提供有關(guān)安全風(fēng)險(xiǎn)和位置的簡明報(bào)告。利用數(shù)據(jù)庫掃描器定期地通過網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫，去檢查數(shù)據(jù)庫特有的安全漏洞，全面評估所有的安全漏洞和認(rèn)證、授權(quán)、完整性方面的問題。數(shù)據(jù)庫掃描器目前支持的數(shù)據(jù)庫類型有 :MSSQLServer、ora。le和Sybase等。只需在一臺(tái)PC上安裝上數(shù)據(jù)庫掃描器即可通過網(wǎng)絡(luò)對數(shù)據(jù)庫實(shí)施安全漏洞檢測。計(jì)劃配置一臺(tái)便攜式筆記本電腦安裝漏洞掃描軟件，從不同的網(wǎng)絡(luò)位置掃描**集團(tuán)中心機(jī)房所有的應(yīng)用服務(wù)器、交換機(jī)路由器、防火墻等聯(lián)網(wǎng)設(shè)備，該筆記本電腦還可以同時(shí)安裝系統(tǒng)掃描器的Console以及數(shù)據(jù)庫掃描器。 防病毒系統(tǒng)通過對病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的各種方式和途徑進(jìn)行分析，結(jié)合當(dāng)代企業(yè)網(wǎng)絡(luò)的特點(diǎn)，在網(wǎng)絡(luò)安全的病毒防護(hù)方面應(yīng)該采用“多級防范，集中管理， 以防為主、防治結(jié)合”的動(dòng)態(tài)防毒策略。在**集團(tuán)網(wǎng)絡(luò)中部署全面的病毒掃描解決方案，從單機(jī)、網(wǎng)絡(luò)到Internet/Intranet網(wǎng)關(guān)全方位多平臺(tái)的防病毒產(chǎn)品，滿足不同用戶對計(jì)算機(jī)從清除病毒到網(wǎng)絡(luò)通訊系統(tǒng)全面防范監(jiān)控的要求。單機(jī)病毒防火墻:適用于未聯(lián)網(wǎng)的單個(gè)windows桌面機(jī)，支持win9winNTWorkstation、 Win2000/XPProfessional等個(gè)人操作系統(tǒng)。服務(wù)器病毒防火墻:文件服務(wù)器是企業(yè)網(wǎng)中最常見的服務(wù)器。以NT服務(wù)器為例，它會(huì)遭受大量引導(dǎo)型病毒、宏病毒、32位Windows病毒以及黑客程序等的攻擊，更為常見的是，由于服務(wù)器為網(wǎng)絡(luò)中所有工作站提供資源共享，因而也成為病毒理想的隱身寄居場所，進(jìn)而將病毒輕易擴(kuò)散到網(wǎng)絡(luò)中的所有工作站上。需要為服務(wù)器提了針對性的防病毒解決方案，支持包括Net，are、NT及AlphaNT為平臺(tái)的多種服務(wù)器的病毒防護(hù)。電子郵件服務(wù)器病毒防火墻:對郵件服務(wù)器進(jìn)行針對性的病毒掃描服務(wù)，使服務(wù)器本身不受病毒感染，同時(shí)防止病毒通過郵件交叉感染。郵件服務(wù)器產(chǎn)品覆蓋 MierosoftExehange、 LotusNotesforNT、AIX、Solaris、HPUX、 IBM5390和05400等。網(wǎng)絡(luò)殺毒服務(wù)器:實(shí)時(shí)的、基于Web的、可集中控管的桌面反病毒解決方案。從管理控制臺(tái)，管理員可配置、更新、掃描、監(jiān)控所有的客戶端的反病毒防護(hù)，降低企業(yè)的整體成本。在病毒爆發(fā)情況下，管理員可將所有的客戶端的病毒碼更新至最新狀態(tài)并進(jìn)行掃描，進(jìn)行整個(gè)企業(yè)的病毒掃描。防毒中央控管系統(tǒng):使用中央控管系統(tǒng)后，網(wǎng)管人員可以使用瀏覽器為應(yīng)用界面，在企業(yè)網(wǎng)內(nèi)部的任意工作站或通過Internet實(shí)現(xiàn)對跨地區(qū)、跨平臺(tái)的企業(yè)防毒系統(tǒng)實(shí)施統(tǒng)一管理和監(jiān)控。隨著近年來尼姆達(dá)、沖擊波等蠕蟲病毒的泛濫，越來越多的病毒通過系統(tǒng)漏洞進(jìn)行主動(dòng)的復(fù)制和傳播，僅僅依靠針對主機(jī)的防病毒軟件并不能完全阻止蠕蟲病毒在網(wǎng)絡(luò)中的擴(kuò)散。而據(jù)ICSA(國際計(jì)算機(jī)安全協(xié)會(huì))的統(tǒng)計(jì)表明，超過90%的病毒是通過網(wǎng)絡(luò)傳播的，因此網(wǎng)關(guān)防病毒是**集團(tuán)網(wǎng)絡(luò)安全建設(shè)的重中之重。我們需要針對**集團(tuán)網(wǎng)絡(luò)的安全需求，對 AmarantenF600的第三章**集團(tuán)企業(yè)信息化及安全整體解決方案防病毒功能進(jìn)行相應(yīng)設(shè)置，便能夠?qū)M(jìn)出**集團(tuán)網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行實(shí)時(shí)病毒過濾，將病毒阻擋在Internet入口之外。 AmarantenF60O的網(wǎng)關(guān)病毒過濾特性還可以有效地防止病毒進(jìn)入內(nèi)網(wǎng)之后利用計(jì)算機(jī)系統(tǒng)漏洞肆意傳播，大量消耗系統(tǒng)資源和網(wǎng)絡(luò)帶寬所造成的DoS/DDoS(拒絕服務(wù)/分布式拒絕服務(wù))攻擊。 終端監(jiān)控與管理內(nèi)網(wǎng)計(jì)算機(jī)如果非法接入互聯(lián)網(wǎng)，就會(huì)使得我們采取的內(nèi)、外網(wǎng)物理隔離、防火墻等多種確保內(nèi)聯(lián)網(wǎng)安全的措施徹底失去功效，相當(dāng)于把整個(gè)內(nèi)部網(wǎng)絡(luò)完全暴露在惡意攻擊者面前，所可能遭受的信息失密、毀損等后果將無法估量。因此我們要在**集團(tuán)內(nèi)網(wǎng)中的PC上部署防非法外聯(lián)軟件。監(jiān)控各類非法外聯(lián)，包括枷dem、ADSL、GPRs、紅外、多網(wǎng)卡(包括無線網(wǎng)卡)，基本涵蓋目前主流的外聯(lián)手段。實(shí)時(shí)發(fā)現(xiàn)非法接入的主機(jī)(可以穿透個(gè)人防火墻)，并能有效阻斷非法接入主機(jī)對局域網(wǎng)絡(luò)的訪問，有效維護(hù)局域網(wǎng)的完整性和安全性。能夠有效監(jiān)控/阻斷客戶端主機(jī)的IP、琳C、掩碼的非法修改操作，有效控制局域網(wǎng)的IP盜用和濫用，同時(shí)也避免了客戶端主機(jī)修改網(wǎng)卡IP后連入Internet的問題。告警方式包括:屏幕報(bào)警、Wind，s消息警告、郵件告警等。系統(tǒng)支持多級管理，適用于大規(guī)模分布式部署，總控可以查看全局的主機(jī)信息、所有報(bào)警信息等，很好的起到資產(chǎn)管理的作用?？蛻舳说倪\(yùn)行平臺(tái)包括Windows9 WindowsMe、 WindowsXP、 Windows2000、Windo， 52003等。客戶端采用后臺(tái)運(yùn)行方式，不容易被用戶察覺。客戶端對自己注冊的服務(wù)進(jìn)行保護(hù)，使服務(wù)不能非法停止、服務(wù)屬性不能非法修改?？蛻舳诉M(jìn)程采用雙進(jìn)程相互守護(hù)的方式保障進(jìn)行正常運(yùn)行?？蛻舳藢Π惭b文件進(jìn)行保護(hù)，使其不被非法刪除、修改。采用分散掃描方式，將探測活動(dòng)主機(jī)的工作分?jǐn)偟礁鱾€(gè)Vlan中的指定引擎，分擔(dān)了控制中心的掃描工作，同時(shí)也使得探測數(shù)據(jù)包控制在Vlan中，從而使得系統(tǒng)掃描對整個(gè)網(wǎng)絡(luò)的帶寬占用有效控制在很小的范圍，不對網(wǎng)絡(luò)正常應(yīng)用帶來任何負(fù)面影響。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案第四章結(jié)束語4 結(jié)束語 論文工作總結(jié)本企業(yè)信息安全解決方案實(shí)現(xiàn)了企業(yè)以互聯(lián)，提供了安全的Site一to一SiteVPN與移動(dòng)辦公VPN接入，針對移動(dòng)辦公提供了 CISCOeasyVPN和 LZTPVPN的同時(shí)安全連接，其中 LZTPVPN為CISCO新增支持功能。由于目前最大的安全隱患都是出在內(nèi)網(wǎng)上，針對企業(yè)外網(wǎng)和內(nèi)網(wǎng)，特別是內(nèi)網(wǎng)提供一攬子解決方案。 本方案不足之處由于**集團(tuán)牽頭、督促各上市省份要在規(guī)定時(shí)間內(nèi)完成每個(gè)企業(yè)信息網(wǎng)絡(luò)建設(shè)。所以本方案從設(shè)計(jì)到實(shí)施才一年多的時(shí)間，主要建設(shè)方向在大局:中心機(jī)房建設(shè)、各子公司VPN接入、各子系統(tǒng)建設(shè)。接下來進(jìn)入網(wǎng)絡(luò)建設(shè)第二階段，會(huì)加強(qiáng)對內(nèi)網(wǎng)的安全建設(shè)上。如桌面安全防護(hù)方面:通過技術(shù)手段解決ARP欺騙問題、U盤病毒傳播、終端電腦隨意接入問題、以及傳統(tǒng)的防病毒軟件無法解決的問題。內(nèi)網(wǎng)資產(chǎn)管理方面:能夠全面了解內(nèi)網(wǎng)硬件以及軟件資產(chǎn)的信息，比如安裝什么類型軟件、電腦配置等，并且可以及時(shí)了解內(nèi)網(wǎng)資產(chǎn)變化情況。系統(tǒng)能夠提供軟件分發(fā)、補(bǔ)丁管理方面的技術(shù)手段，減輕管理人員的工作壓力，提供更加方面快捷手段集中管理所有終端系統(tǒng)。行為管理方面:通過技術(shù)手段解決外設(shè)濫用、明確規(guī)定只用注冊的U盤設(shè)備才允許在企業(yè)范圍內(nèi)使用，防止信息泄密。限制不允許隨意更改網(wǎng)絡(luò)配置信息，比如IP、MAC地址等。另外在上網(wǎng)行為審計(jì)、非法外聯(lián)控制等方面也存在較大的需求。