【正文】 ? 如何有效地實(shí)現(xiàn)客戶端文件的備份存儲(chǔ)。 信息系統(tǒng)安全建設(shè)建議 方案 第 31頁(yè) 共 53 頁(yè) ? 如何對(duì)網(wǎng)絡(luò)客戶端進(jìn)行有效工作狀態(tài)監(jiān)控，監(jiān)督使用人員規(guī)范操作電腦。 ? 如何監(jiān)控網(wǎng)絡(luò)中的防病毒軟件安裝情況，準(zhǔn)確有效的定位網(wǎng)絡(luò)中病毒的引入點(diǎn)，快速、安全的切斷安全事件發(fā)生點(diǎn)和相 關(guān)網(wǎng)絡(luò)。目前網(wǎng)絡(luò)管理工作量最大的部是客戶 端安全部分，對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)威脅最大的也同樣是客戶端安全。 系統(tǒng)功能 采用網(wǎng)絡(luò)旁路監(jiān)聽技術(shù)，不改變網(wǎng)絡(luò)結(jié)構(gòu)，不影響用戶網(wǎng)絡(luò)流量和性能，不會(huì)成為用戶的網(wǎng)絡(luò)故障點(diǎn)而導(dǎo)致網(wǎng)絡(luò)癱瘓；專用系統(tǒng)設(shè)計(jì)，安裝簡(jiǎn)便，穩(wěn)定可靠。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問題，并且它是后面階段事故處理的重要依據(jù)，為網(wǎng)絡(luò)犯罪行為及泄密行為提供取證基礎(chǔ)。 在專網(wǎng)服務(wù)器區(qū) ，面對(duì)繁多的業(yè)務(wù)系統(tǒng)，有充分的必要性對(duì)網(wǎng)絡(luò)的使用者、設(shè)備登錄維護(hù)者應(yīng)用安全審計(jì)進(jìn)行跟蹤。越來(lái)越多的問題滋生于此，通過(guò)聊天、文件下載、網(wǎng)絡(luò)游戲或其他程序的應(yīng)用，導(dǎo)致的安全風(fēng)險(xiǎn)、生產(chǎn)力下降、帶寬濫用、法律風(fēng)險(xiǎn)等問題層出不窮。一個(gè)好的互聯(lián)網(wǎng)內(nèi)容管理產(chǎn)品，要能做到基于用戶的、細(xì)化、量化的訪問策略定制。 ? 通過(guò)漏洞掃描的結(jié)果，對(duì)系統(tǒng)進(jìn)行加固和優(yōu)化。 ? 實(shí)用的模擬攻擊工具 ? 合理的結(jié)構(gòu)化設(shè)計(jì)、模塊的繼承性，使得系統(tǒng)具有很大的可擴(kuò)展空間 ? 全自動(dòng)、大規(guī)模的掃描任務(wù) ? 支持 windows 域環(huán)境 ? 多線程掃描 保證掃描任務(wù)的高效性和穩(wěn)定性； ? 定時(shí)掃描機(jī)制 保證充分利用網(wǎng)絡(luò)空閑間隙進(jìn)行 網(wǎng)絡(luò)信息安全 狀況評(píng)估； ? 豐富的漏洞檢查列表 ? 分級(jí) 、靈活的預(yù)定義報(bào)告 ? 合理的結(jié)構(gòu)化設(shè)計(jì) ? 遠(yuǎn)程在線升級(jí) ? 詳盡的安全解決方案 ? 幫助用戶在了解 網(wǎng)絡(luò)信息安全 狀況的情況下得到詳盡可行的解決措施。所以在網(wǎng)絡(luò) 中心 部署 一 套 我 公司的 天鏡脆弱性掃描與管理系統(tǒng) 協(xié)同入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)提供防護(hù)。因此 **集團(tuán) 網(wǎng)絡(luò)系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的工具，以保證整體網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全。這些引擎都可以被統(tǒng)一的入侵管理平臺(tái)所管理。 ? 策略自定義 信息系統(tǒng)安全建設(shè)建議 方案 第 26頁(yè) 共 53 頁(yè) 入侵檢測(cè)系統(tǒng)內(nèi)置檢測(cè)策略，可以供用戶選用。 ? 事件自定義 事件自定義功能，以深層協(xié)議分析為基礎(chǔ)，能夠?qū)崿F(xiàn)： ? 對(duì)攻擊特征進(jìn)行多樣化、靈活定義，可以使 我 公司保證對(duì)最新攻擊方法的迅速反應(yīng)和升級(jí)，同時(shí)可以協(xié)助用戶直接定義針對(duì)其特殊應(yīng)用的攻擊和威脅。 ? 入侵驗(yàn)證 入侵驗(yàn)證系統(tǒng)根據(jù) 入侵檢測(cè)系統(tǒng) 發(fā)現(xiàn)的 網(wǎng)絡(luò)信息安全 事件，對(duì)被攻擊網(wǎng)絡(luò)或主機(jī)進(jìn)行攻擊后果的驗(yàn)證，并將攻擊后果返回給控制中心，供管理者做決策參考。同時(shí)，好的入侵檢測(cè)系統(tǒng)還具有異常統(tǒng)計(jì)的功能，以降低誤報(bào)率，提高工作效率。 強(qiáng)調(diào)實(shí)現(xiàn)以入侵檢測(cè)為核心的安全防御體系。 ? 內(nèi)容異常分析 基于異常的檢測(cè)技術(shù)可以發(fā)現(xiàn)可疑的網(wǎng)絡(luò)行為，能夠?qū)ξ粗墓舴绞桨l(fā)出預(yù)警信號(hào)，是對(duì)其他方法的有利補(bǔ)充。 I D S 控制中心I D S 引擎（服務(wù)端) 掃描系統(tǒng)( 客戶端)實(shí)時(shí)掃描命令（I D S 事件攻擊特征）定期掃描結(jié)果文件（事件漏洞信息）實(shí)時(shí)事件的有效性實(shí)時(shí)事件的有效性事件與漏洞對(duì)照文件信息系統(tǒng)安全建設(shè)建議 方案 第 24頁(yè) 共 53 頁(yè) 其中，技術(shù)包括 4 個(gè)方面：檢測(cè)發(fā)現(xiàn)、事件分析、事件報(bào)警、事件處理，這是一個(gè)安全事件的 發(fā)現(xiàn)和處理流程。 ? 入侵檢測(cè)系統(tǒng)與漏洞掃描系統(tǒng)的聯(lián)動(dòng) 入侵檢測(cè)在發(fā)現(xiàn)攻擊行為的同時(shí)，發(fā)出指令通知漏洞掃描系 統(tǒng)，對(duì)被攻擊目標(biāo)機(jī)或攻擊源進(jìn)行掃描，來(lái)確認(rèn)攻擊源的存在和被攻擊機(jī)系統(tǒng)存在的漏洞，以作到主動(dòng)防御。 但是，對(duì)于網(wǎng)絡(luò)上的錯(cuò)綜復(fù)雜的攻擊事件，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的防護(hù)效果還是不夠全面。 ? 以入侵檢測(cè)為核心的動(dòng)態(tài)安全體系 隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使 網(wǎng)絡(luò)信息安 全 變成了一個(gè)動(dòng)態(tài)的過(guò)程，靜止不變的產(chǎn)品根本無(wú)法適應(yīng) 網(wǎng)絡(luò)信息安全 的需要。 6. 對(duì)關(guān)鍵正常事 件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。 2. 對(duì) **集團(tuán) 網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)，防止黑客的入侵。從 網(wǎng)絡(luò)信息安全 防護(hù)上講，防火墻技術(shù)給出了一個(gè) 靜態(tài)防護(hù)的概念，而入侵檢測(cè)技術(shù)具有動(dòng)態(tài)防御的意義。入侵檢測(cè)報(bào)警日志的功能是通過(guò)對(duì)所有對(duì)網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。它運(yùn)行于敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。 . 入侵檢測(cè)系統(tǒng) (IDS)設(shè)計(jì) 在傳統(tǒng)的 網(wǎng)絡(luò)信息安全 概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實(shí)不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計(jì)算機(jī)網(wǎng)絡(luò)的第一道防線。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，也不再因?yàn)槎鄠€(gè)產(chǎn)品難于維護(hù)管理而苦惱，天清漢馬 USG 一體化安全網(wǎng)關(guān)是低成本、高效率、易管理的理想解決方案。 安全審計(jì)：對(duì)所有與業(yè)務(wù)相關(guān)的通訊進(jìn)行紀(jì)錄，保證可進(jìn)行事后分析和可追查性檢查。 防垃圾郵件：防止郵件炸彈攻擊，對(duì)垃圾郵件進(jìn)行過(guò)濾，提升工作效率。 防泄密：監(jiān)控接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問等。 二級(jí)機(jī)構(gòu)辦公域： 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 中心服務(wù)域 : 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 中心生產(chǎn)域 : 信息系統(tǒng)安全建設(shè)建議 方案 第 17頁(yè) 共 53 頁(yè) 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。通過(guò)控制文 件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。 防入侵：檢測(cè)來(lái)自外部的入侵行為并予以阻斷。 病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的病毒傳播。 5. 二級(jí)機(jī)構(gòu)辦公域 ：二級(jí) 機(jī)構(gòu) 的辦公網(wǎng)絡(luò)，每個(gè)具體的二級(jí) 機(jī)構(gòu) 辦公域形成一個(gè)獨(dú)立子安全域。 根據(jù) **集團(tuán) 信息系統(tǒng)的特點(diǎn)將整個(gè) **集團(tuán) 信息系統(tǒng)分為如下安全域： 信息系統(tǒng)安全建設(shè)建議 方案 第 15頁(yè) 共 53 頁(yè) 1. 中心接入域 ：包括外聯(lián)區(qū)（與 公網(wǎng) 相連）、內(nèi)聯(lián)區(qū)（與二級(jí)機(jī)構(gòu)相連）、 DMZ 區(qū)（對(duì)外公開服務(wù)器）以及內(nèi)部網(wǎng)中的總部大樓和信息中心的接入部分。 當(dāng)前 **集團(tuán) 網(wǎng)絡(luò)系統(tǒng)是一個(gè)龐大復(fù)雜的系統(tǒng)，在支持業(yè)務(wù)不斷發(fā)展的前提下，如何保證系統(tǒng)的安全性是一個(gè)巨大的挑戰(zhàn)，對(duì)系統(tǒng)進(jìn)行區(qū)域劃分，進(jìn)行層次化、有重點(diǎn)的保護(hù)是有保證系統(tǒng)和信息安全的有效手段。 UTM 產(chǎn)品提供了完整的邊界安全保護(hù)能力，可以有效的實(shí)施訪問控制、入侵檢測(cè)與防護(hù)、防病毒、應(yīng)用層信息過(guò)濾、流量管理、帶寬管理等能力。 ? 節(jié)省投資原則 在滿足上述原則的基礎(chǔ)上，應(yīng)盡量作到節(jié)省設(shè)備采購(gòu)?fù)顿Y，不要形成一種“用價(jià)值 10元的設(shè)備來(lái)保護(hù)價(jià)值 5 元 的資產(chǎn)”的局面。 ? 整體均衡 原則 要 對(duì)信息 系統(tǒng)進(jìn)行 全面均衡 的 保護(hù) ，要 提高整個(gè) 信息 系統(tǒng)的 安全最低點(diǎn) 的安全性能 ，保證各個(gè)層面防護(hù)的均衡 。 信息安全體系建設(shè) . 建設(shè)原則 在設(shè)計(jì)技術(shù)方案時(shí) 遵從以下 原則： ? 實(shí)用性原則 **集團(tuán) 的安全體系建設(shè)將始終遵循“面向應(yīng)用，注重實(shí)效”的指導(dǎo)思想。在內(nèi)網(wǎng)邊界動(dòng)態(tài)變化的過(guò)程中，我們必須在新加入的 PC 這一新的邊界上，進(jìn)行必要的安全檢察，配置必要的安全防護(hù)，才能滿足網(wǎng)絡(luò)安全的需要。然而隨著移動(dòng)終端的 普及（便攜機(jī)銷售超過(guò)臺(tái)式機(jī)），產(chǎn)生了移動(dòng)辦公方式，內(nèi)部網(wǎng)絡(luò)上接入的終端變得動(dòng)態(tài)化。 . 終端成為邊界帶來(lái)新的需求 隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的勢(shì)態(tài)發(fā)現(xiàn)了變化，終端正在成為新的網(wǎng)絡(luò)邊界。 為了凈化網(wǎng)絡(luò)流量，減少垃圾郵件的危害，在 網(wǎng)絡(luò)的邊界處需要部署反垃圾郵件設(shè)備。對(duì)于組織來(lái)說(shuō)，這些應(yīng)用本身不屬于威脅的范疇，但會(huì)影響組織的工作效率，降低組織的生產(chǎn)力，因此需要進(jìn)行合理的控制。 . 內(nèi)容過(guò)濾安全需求分析 互聯(lián)網(wǎng)雖然給用戶帶來(lái)巨大的價(jià)值，但它也是非法信息傳播的溫床，反動(dòng)、色情、暴力等信息在互聯(lián)網(wǎng)上隨處可見，垃圾郵件占據(jù)了大量的合法帶寬和用戶存儲(chǔ)資源。要求對(duì)關(guān)鍵業(yè)務(wù)、關(guān)鍵系統(tǒng)、關(guān)鍵數(shù)據(jù)的訪問采用認(rèn)證鑒別技術(shù)，保證合法用戶訪問合法數(shù)據(jù)。 . 用戶身份認(rèn)證和授權(quán)需求分析 中心與 下級(jí) 機(jī)構(gòu)以及合作伙伴 互聯(lián)過(guò)程中，要向特定的遠(yuǎn)程用戶或主機(jī)提供訪問許可，同時(shí) 中心內(nèi)部業(yè)務(wù)人員在作業(yè)現(xiàn)場(chǎng)或出差在外，需要通過(guò)目前已知的所有上網(wǎng)方式接入到企業(yè)內(nèi)部網(wǎng)。隨著網(wǎng)速的提高，在數(shù)據(jù)傳輸時(shí)間變短的同時(shí)，病毒的傳送時(shí)間會(huì)變得更加微不足道。 制作病毒的方法更簡(jiǎn)單 由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識(shí)越來(lái)越容易獲得。 病毒破壞性更大 信息系統(tǒng)安全建設(shè)建議 方案 第 11頁(yè) 共 53 頁(yè) 計(jì)算機(jī) 病毒不再僅僅以侵占和破壞單機(jī)的資料為目的。 病毒與黑客程序相結(jié)合 隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計(jì)算機(jī)之間的遠(yuǎn)程控制越來(lái)越方便 ，傳輸文件也變得非?？旖?，正因?yàn)槿绱?，病毒與黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機(jī)密資料的丟失。但對(duì)利用合法的訪問手段或其它的攻擊手段（比如，利用內(nèi) 部系統(tǒng)的漏洞等）對(duì)系統(tǒng)入侵和內(nèi)部用戶的入侵等是沒有辦法控制的。如果在邊界沒有一個(gè)可集中控制訪問請(qǐng)求的措施，很容易被惡意攻擊者或其它企圖人員利用這些邊界進(jìn)行非法入侵。 從 **集團(tuán) 的網(wǎng)絡(luò)結(jié)構(gòu)來(lái)看， 目前 所面臨的主要問題 可以 簡(jiǎn)要?dú)w納 為： ? 網(wǎng)段之間邊界不夠清晰，控制力度弱，病毒、攻擊等安全事件容易擴(kuò)散； ? 多數(shù)業(yè)務(wù)網(wǎng)段間僅采用 VLAN 隔離，存在較大風(fēng)險(xiǎn)； ? 終端與重要服務(wù)器處于同一邏輯區(qū)域，重要信息服務(wù)器存在安全風(fēng)險(xiǎn)； ? 邊界復(fù)雜，缺乏對(duì)邊界策略的統(tǒng)一控制； ? 網(wǎng)絡(luò)病毒，木馬利用網(wǎng)絡(luò)大肆傳播； ? 存在 IM/P2P、網(wǎng)絡(luò)游戲等濫用行為，影響工作效率和組織生產(chǎn)力； ? 垃圾郵件防不勝防，成為病毒、木馬傳播的新載體。 3. 難于徹底清除 信息系統(tǒng)安全建設(shè)建議 方案 第 9 頁(yè) 共 53 頁(yè) 智能化的網(wǎng)絡(luò)病毒既可以像傳統(tǒng)病毒一下感染服務(wù)器或客戶端主機(jī)的應(yīng)用文件系統(tǒng)，也兼具網(wǎng)絡(luò)黑客技術(shù)的特點(diǎn)，通過(guò)各種途徑破壞服務(wù)器或客戶機(jī)的重要數(shù)據(jù)，通過(guò)電子郵件系統(tǒng)散播惡意代碼，設(shè)置系統(tǒng)后門，竊取系統(tǒng)的重要數(shù)據(jù)與機(jī)密信息等。 3. 來(lái)自郵件、網(wǎng)頁(yè)、便攜機(jī)、可移動(dòng)存儲(chǔ)設(shè)備的蠕蟲、病毒以及惡意代碼 由于 **集團(tuán) 的核心業(yè)務(wù)系統(tǒng)與辦公用機(jī)處于一個(gè)安全域內(nèi)，一旦某臺(tái)辦公用機(jī)被侵入，整個(gè) **集團(tuán) 的網(wǎng)絡(luò) 、系統(tǒng)及應(yīng)用都會(huì)很快被波及； 4. 自然災(zāi)害、火災(zāi)、水災(zāi)等人力不可抗拒因素。 支持性基礎(chǔ)設(shè)施的主動(dòng)攻擊威脅 對(duì)未加密或弱加密的通信線路的搭線竊聽；用獲取包含錯(cuò)誤信息的證書進(jìn)行偽裝攻擊；拒絕服務(wù)攻擊 (如攻擊目錄服務(wù)等 )；中間攻擊；攻擊 PIN 獲取對(duì)用戶私鑰的訪問、在支持性基礎(chǔ)設(shè)施的組件中引入惡意代碼攻擊、在密鑰分發(fā)期間對(duì)密鑰實(shí)施攻擊、對(duì)PKI 私鑰實(shí)施密碼攻擊、對(duì) 密鑰恢復(fù)后的密鑰進(jìn)行末授權(quán)訪問、在用戶認(rèn)證期間使用戶不能生成失效信息；利用備份信息進(jìn)行攻擊。如對(duì)網(wǎng)絡(luò)運(yùn)行和設(shè)備之間通信的直接攻擊，它企圖切斷網(wǎng)管人員與基礎(chǔ)設(shè)施的設(shè)備之間的通信，比如切斷網(wǎng)管人員與交換機(jī)、路由器之間的通信，使網(wǎng)管人員失去對(duì)它們的控制。 支持性基礎(chǔ)設(shè)施的被動(dòng)攻擊威脅 機(jī)房和處理信息終端的信息電磁泄露；獲取鑒別信息和控制信息?？?以說(shuō)威脅是不可避免的，我們必須采取有效的措施，降低各種情況造成的威脅。 ? 安全技術(shù)的脆弱性：操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全脆弱性，系統(tǒng)配置的安全脆弱性，訪問控制機(jī)制的安全脆弱性，測(cè)評(píng)和認(rèn)證的脆弱性。 本次 **集團(tuán) 網(wǎng)絡(luò)信息安全 建設(shè) 的內(nèi)容就在于保障上述有形及無(wú)形資產(chǎn)。 ? 對(duì)內(nèi)是要建立一個(gè)安全堡壘，控制網(wǎng)絡(luò)內(nèi)部用戶非授權(quán)通信和進(jìn)行的一些有意的、無(wú)意的破壞活動(dòng)，保證網(wǎng)絡(luò) 系統(tǒng)信息 平臺(tái)和應(yīng)用系統(tǒng)平臺(tái)的正常運(yùn)行。 近兩年來(lái)，黑客攻擊、網(wǎng)絡(luò)病毒等等已經(jīng)屢見不鮮，而且一次比 一次破壞力大，對(duì)網(wǎng)絡(luò)信息安全造成的威脅也越來(lái)越大，一旦網(wǎng)絡(luò)存在安全隱患，遭受重大損失在所難免。 信息系統(tǒng)安全建設(shè)建議 方案 第 4 頁(yè) 共 53 頁(yè) 概述 同時(shí)隨著全球化和網(wǎng)絡(luò)化，全球信息化建設(shè)的加快對(duì)我國(guó)的影響