【正文】 傳統(tǒng)的情況下，在安全事件發(fā)生后，網(wǎng)管一般通過(guò)交換機(jī)、路由器或防火墻可以進(jìn)行封堵，但設(shè)置復(fù)雜，操作風(fēng)險(xiǎn)大，而且絕大多數(shù)普通交換機(jī)并沒(méi)有被設(shè)置成 SNMP 可管理模式，因此不能夠方便地進(jìn)行隔離操作，本系統(tǒng)解決了這一難題；33 / 34? 病毒源確定：在大規(guī)模病毒（安全）事件發(fā)生后，可確定病毒黑客事件源頭、找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，做到事后分析和加強(qiáng)安全預(yù)警；? 數(shù)據(jù)庫(kù)監(jiān)控：對(duì)數(shù)據(jù)庫(kù)的系統(tǒng)信息進(jìn)行監(jiān)控，如數(shù)據(jù)庫(kù)大小、數(shù)據(jù)庫(kù)連接個(gè)數(shù)、數(shù)據(jù)庫(kù)鎖個(gè)數(shù)；? 任務(wù)分發(fā)管理：對(duì)所有可管理區(qū)域，能夠進(jìn)行軟件分發(fā)、消息通知、控制執(zhí)行腳本管理；? 補(bǔ)丁分發(fā)管理：能夠采取多種策略進(jìn)行補(bǔ)丁分發(fā)，支持對(duì)微軟外第三方軟件分發(fā)管理；? 提供補(bǔ)丁自動(dòng)檢測(cè)：提供補(bǔ)丁自動(dòng)檢測(cè)頁(yè)面，用戶可以通過(guò)訪問(wèn)補(bǔ)丁自動(dòng)檢測(cè)頁(yè)面，發(fā)現(xiàn)系統(tǒng)存在漏洞；? 日志紀(jì)錄、分析管理：建立安全日志數(shù)據(jù)庫(kù)，并對(duì)報(bào)警信息分類和過(guò)濾，以備用戶查詢報(bào)警。? 報(bào)警管理：對(duì)網(wǎng)絡(luò)中的所有報(bào)警予以分類、匯總、分級(jí)，并統(tǒng)一報(bào)警，統(tǒng)一管理,報(bào)警信息上報(bào)至集中報(bào)警中心。? 網(wǎng)絡(luò)資源管理：對(duì)聯(lián)網(wǎng)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行登記、管理，平臺(tái)掃描器自動(dòng)對(duì)客戶端 IP 地址、主機(jī)名、MAC 地址、系統(tǒng)環(huán)境、端口情況等匯報(bào)給管理器,可充分了解網(wǎng)絡(luò)內(nèi)各種動(dòng)態(tài)和靜態(tài)資源的狀況，服務(wù)器及其他主機(jī)設(shè)備的使用狀況等；一旦發(fā)現(xiàn)異常變動(dòng)，將立即報(bào)警，同時(shí)具備信息統(tǒng)計(jì)、分類匯總、查詢、按條件篩選功能。由于網(wǎng)絡(luò)中的終端眾多，且重要性不一，如果對(duì)于所有終端的資源占用情況，進(jìn)程、軟件使用狀況等進(jìn)行監(jiān)控會(huì)造成工作過(guò)分復(fù)雜，且對(duì)于全網(wǎng)的工作流保護(hù)意義不大，所以在實(shí)際中，只應(yīng)對(duì)網(wǎng)絡(luò)中的服務(wù)器和關(guān)鍵的計(jì)算機(jī)進(jìn)行重點(diǎn)監(jiān)控。統(tǒng)計(jì)信息統(tǒng)計(jì)各個(gè)網(wǎng)絡(luò)中的流量，對(duì)網(wǎng)絡(luò)資源的消耗等等。同時(shí)，所有這些系統(tǒng)也可通過(guò)預(yù)留的數(shù)據(jù)接口31 / 34接收其上報(bào)信息，并將相關(guān)信息上報(bào)至網(wǎng)絡(luò)應(yīng)用監(jiān)控系統(tǒng)，由其對(duì)相關(guān)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)統(tǒng)一監(jiān)控。集中報(bào)警處理中心還承擔(dān)上下級(jí)報(bào)警，從而傳遞職能實(shí)現(xiàn)重要事件及時(shí)報(bào)警及向上級(jí)匯報(bào)，為將來(lái)的網(wǎng)絡(luò)擴(kuò)展做好了準(zhǔn)備。集中報(bào)警中心集中報(bào)警中心在同一控制平臺(tái)實(shí)現(xiàn)對(duì)各個(gè)安全和網(wǎng)絡(luò)設(shè)備及其他設(shè)備的集30 / 34中報(bào)警管理，它可以增強(qiáng)企業(yè)內(nèi)部網(wǎng)對(duì)相關(guān)報(bào)警信息的處理效率和快速反應(yīng)能力，使報(bào)警信息可及時(shí)、妥善的得到有效處理，使相關(guān)損失減少到最低點(diǎn)。強(qiáng)大的監(jiān)控功能? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)提供強(qiáng)大的監(jiān)控功能，可以監(jiān)控過(guò)濾網(wǎng)關(guān)系統(tǒng)資源、網(wǎng)絡(luò)流量、當(dāng)前會(huì)話數(shù)、當(dāng)前病毒掃描信息等，極大地方便管理員對(duì)過(guò)濾網(wǎng)關(guān)進(jìn)行監(jiān)控。防蠕蟲(chóng)攻擊? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)可以實(shí)時(shí)檢測(cè)到日益泛濫的蠕蟲(chóng)攻擊，并對(duì)其進(jìn)行實(shí)時(shí)阻斷，從而有效防止企業(yè)網(wǎng)絡(luò)因遭受蠕蟲(chóng)攻擊而陷于癱瘓。 全面的協(xié)議保護(hù)? 網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)對(duì) SMTP、POPIMAPHTTP 和 FTP 等應(yīng)用協(xié)議進(jìn)行病毒掃描和過(guò)濾，有效地防止可能的病毒威脅。網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)實(shí)時(shí)檢查進(jìn)入企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)流，當(dāng)網(wǎng)關(guān)檢測(cè)到病毒時(shí)，它會(huì)根據(jù)相應(yīng)的策略來(lái)處理病毒和染毒文件，保護(hù)企業(yè)內(nèi)部的服務(wù)器和工作站設(shè)備。對(duì)于關(guān)鍵的服務(wù)器具有實(shí)時(shí)的病毒活動(dòng)參數(shù)監(jiān)控方法；? 防病毒策略的配置管理，防病毒策略的統(tǒng)一配置管理，能根據(jù)不同的防病毒需求分別制定和實(shí)施不同的防病毒策略。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問(wèn)題。它包括了網(wǎng)絡(luò)漏洞檢測(cè)，報(bào)告服務(wù)進(jìn)程，提取對(duì)象信息，以及評(píng)測(cè)風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等多項(xiàng)功能，全面幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。同時(shí)我們也注意到，許多安全侵害并不是由于系統(tǒng)產(chǎn)品本身存在安全弱點(diǎn)，而是由于系統(tǒng)沒(méi)有正確地安裝使用或安全規(guī)則沒(méi)有建立并執(zhí)行?？傊肭謾z測(cè)的根本意義在于發(fā)現(xiàn)網(wǎng)絡(luò)中的異常。（4） 入侵檢測(cè)證實(shí)并且詳細(xì)記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡(luò)安全管理方案時(shí)，通常需要證實(shí)網(wǎng)絡(luò)很可能或者正在受到攻擊。? 在進(jìn)行系統(tǒng)訪問(wèn)控制機(jī)制設(shè)置時(shí)可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權(quán)限的錯(cuò)誤操作。攻擊者使用越來(lái)越容易得到的攻擊技術(shù)，能夠?qū)Υ罅肯到y(tǒng)進(jìn)行非授權(quán)的訪問(wèn)，尤其是連接到XX 企業(yè)集團(tuán)局域網(wǎng)的系統(tǒng)，而當(dāng)這些系統(tǒng)具有已知漏洞的時(shí)候這種攻擊更容易發(fā)生。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)檢測(cè)。但是，存在著一些防火墻等其它安全設(shè)備所不能防范的安全威脅，這就需要入侵檢測(cè)系統(tǒng)提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等，來(lái)保護(hù) XX 企業(yè)集團(tuán)局域網(wǎng)的安全。有效的入侵檢測(cè)系統(tǒng)可以同時(shí)檢測(cè)內(nèi)部和外部威脅。通過(guò)在防火墻上設(shè)置規(guī)則，禁止 ICMP/IGMP 數(shù)據(jù)包的通過(guò)防火墻，保證系統(tǒng)的安全；? 阻止 ActiveX、Java、Javascript 等侵入：防火墻能夠從 HTTP 頁(yè)面剝離 ActiveX、JavaApplet 等小程序及從 Script、PHP 和 ASP 等代碼檢測(cè)出危險(xiǎn)的代碼，也能夠過(guò)濾用戶上載的 CGI、ASP 等程序；? 其他阻止的攻擊：通過(guò)在防火墻上的 URL 過(guò)濾可以防止一些來(lái)自于系統(tǒng)漏洞的攻擊（例如：通過(guò)配置規(guī)則禁止訪問(wèn)../winnt/system32/?/可以防止 WINDOW NT/2022 的 UNICODE 漏洞以及其他 CGI 漏洞攻擊：/Cgibin/phf、cgibin/、_vti_pvt/、cfdocs/expeval/ 等） 、和一些病毒的攻擊（例如：禁止 可以防止紅色代碼的攻擊） ；? 提供實(shí)時(shí)監(jiān)控、審計(jì)和告警：通過(guò)防火墻提供對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)攻擊和危險(xiǎn)代碼時(shí)，防火墻提供告警功能； XX 企業(yè)入侵檢測(cè)方案保護(hù)邊界安全的有效的監(jiān)視機(jī)制包括：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（IDS）、脆弱性掃描（安全服務(wù)）、病毒檢測(cè)等。通過(guò)防火墻上設(shè)置規(guī)則：如果發(fā)現(xiàn)外部有某臺(tái)計(jì)算機(jī)在單位時(shí)間內(nèi)與內(nèi)部某臺(tái)服務(wù)器或者主機(jī)建立多個(gè)連接，便認(rèn)為是掃描行為，并截?cái)噙@個(gè)連接。煉鋼大高爐生產(chǎn)子網(wǎng)配置天融信單模千兆防火墻 NGFW4000UF。如果斷掉交換機(jī)與防火墻之間的連線，對(duì)于防火墻和服務(wù)器的連接狀態(tài)依然正常，所以服務(wù)器沒(méi)有相應(yīng)的收斂算法能檢測(cè)到這種狀態(tài)的變化，不能相應(yīng)的切換。如上圖所示，XX 企業(yè)集團(tuán)的核心網(wǎng)絡(luò)是典型的二層備份方案，中心兩臺(tái) Catalyst6509 核心交換機(jī)，之間啟用 Trunk 和 FEC 協(xié)議，下連的交換機(jī)通過(guò)雙鏈路分別連接兩臺(tái)核心交換機(jī)，通過(guò)生成樹(shù)協(xié)議實(shí)現(xiàn)備份。建議在兩臺(tái) SUN 服務(wù)器和核心交換之間部署防火墻，具體的連接方式如下圖所示：兩臺(tái) SUN 的服務(wù)器做 CLUSTER，共映射兩個(gè)浮動(dòng) IP，分別是應(yīng)用和數(shù)據(jù)庫(kù)，兩臺(tái) SUN 的服務(wù)器互為備份。拓?fù)浣Y(jié)構(gòu)如下圖所示：20 / 3421 / 34由于 XX 企業(yè)集團(tuán) ERP 系統(tǒng)承載著企業(yè)大量的重要數(shù)據(jù)信息，因此必須通過(guò)防火墻的訪問(wèn)控制過(guò)濾技術(shù)對(duì)非授權(quán)的用戶進(jìn)行嚴(yán)格地控制和防護(hù)。以上這些專網(wǎng)和生產(chǎn)子網(wǎng)他們和 XX 企業(yè)集團(tuán)內(nèi)網(wǎng)之間都需要進(jìn)行訪問(wèn)控制。19 / 34第五章 XX 企業(yè)網(wǎng)絡(luò)安全項(xiàng)目解決方案 XX 企業(yè)防火墻解決方案 XX 企業(yè)防火墻的部署根據(jù) XX 企業(yè)集團(tuán)系統(tǒng)的安全現(xiàn)狀和風(fēng)險(xiǎn)分析，我們?cè)谠摼W(wǎng)中建立防火墻子系統(tǒng)。在網(wǎng)關(guān)處建議配置防病毒網(wǎng)關(guān)。18 / 34需求建議：對(duì)于 XX 企業(yè)集團(tuán)信息網(wǎng)目前尚無(wú)任何網(wǎng)絡(luò)安全監(jiān)測(cè)措施，對(duì)于發(fā)生的網(wǎng)絡(luò)安全問(wèn)題需要有效的監(jiān)測(cè)手段；對(duì)于全網(wǎng)的風(fēng)險(xiǎn)評(píng)估需要建立相應(yīng)的評(píng)估制度；對(duì)于系統(tǒng)加固和漏洞修補(bǔ)需要固定的工作流程和漏洞發(fā)現(xiàn)和加固計(jì)劃。防護(hù)還包括對(duì)線路高可用性、網(wǎng)絡(luò)病毒防護(hù)、數(shù)據(jù)容災(zāi)防護(hù)等方面。另外建議應(yīng)用強(qiáng)制性的網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備和客戶端進(jìn)行管理。同時(shí)，眾多品牌的安全產(chǎn)品采購(gòu)，也將對(duì) XX 企業(yè)的網(wǎng)絡(luò)的維護(hù)帶來(lái)不便。? 間接損失 – 病毒造成的間接損失可能更大，病毒造成的事故對(duì)企業(yè)的影響是直接導(dǎo)致企業(yè)信息資產(chǎn)損失，可能影響生產(chǎn)運(yùn)營(yíng)。14 / 34 病毒對(duì) XX 企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)的安全威脅? 外部 –XX 企業(yè)與 Inter 有直接通道，會(huì)受到來(lái)自專網(wǎng)以HTTP、SMTP、FTP 等數(shù)據(jù)流為載體的潛在病毒的威脅。而且系統(tǒng)本身必定存在安全漏洞。但網(wǎng)絡(luò)管理員并沒(méi)有一個(gè)有效方法來(lái)監(jiān)控這些應(yīng)用的使用，然而多數(shù)的木馬程序都是以注入內(nèi)存的方式來(lái)調(diào)用一些非法應(yīng)用與黑客通信的。但是與外部網(wǎng)絡(luò)的攻擊者相比，內(nèi)部攻擊者對(duì)網(wǎng)絡(luò)結(jié)構(gòu)了解的更加細(xì)致，而且更容易竊取用戶登錄所需資料，所以非法訪問(wèn)更易成功。? 網(wǎng)絡(luò)節(jié)點(diǎn)變化的隱患在 XX 企業(yè)集團(tuán)網(wǎng)絡(luò)系統(tǒng)中，預(yù)留了一些空節(jié)點(diǎn)以備人員擴(kuò)充時(shí)使用，若有非法人員利用這些節(jié)點(diǎn)接入后，就可以直接連入 XX 企業(yè)集團(tuán)的網(wǎng)絡(luò)中，并且能與網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)服務(wù)器物理連接。具體表現(xiàn)在：首先是XX 企業(yè)內(nèi)部任何區(qū)域的安全級(jí)別都要低于兩臺(tái)重要的 ERP 服務(wù)器，也是就其他的網(wǎng)段和區(qū)域都會(huì)對(duì)兩臺(tái) ERP 服務(wù)器造成威脅；其次是棒材和煉鋼生產(chǎn)子網(wǎng)；煉鋼大高爐生產(chǎn)子網(wǎng)；礦業(yè)公司和二化子網(wǎng)；電話站專網(wǎng)?，F(xiàn)在的黑客攻擊工具在網(wǎng)絡(luò)上泛濫成災(zāi)，任何一個(gè)稍微有點(diǎn)計(jì)算機(jī)操作能力的人員都可以利用這些工12 / 34具進(jìn)行攻擊。? 分支機(jī)構(gòu)通過(guò) Inter 與總公司進(jìn)行通訊的安全威脅? 在 Inter 上傳輸?shù)墓緝?nèi)部數(shù)據(jù)，會(huì)面臨被讀取，被篡改，被冒名的安全威脅，所以需要對(duì)數(shù)據(jù)的源發(fā)性、數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性進(jìn)行驗(yàn)證。 XX 企業(yè)內(nèi)部網(wǎng)絡(luò)與 Inter 如果不采取安全防護(hù)措施，這樣內(nèi)部網(wǎng)絡(luò)很容易遭到來(lái)自于 Inter 中可能的入侵者的攻擊。到目前為止，共有終端用戶 1000 余個(gè)，其中包含各種服務(wù)器 30 臺(tái)。但是網(wǎng)絡(luò)協(xié)議本身的缺陷、計(jì)算機(jī)軟件的安全漏洞，對(duì)網(wǎng)絡(luò)安全的忽視給計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)帶來(lái)極大的風(fēng)險(xiǎn)。安全管理是各項(xiàng)安全措施能夠有效發(fā)揮作用的重要保證?！?端系統(tǒng)安全，主要保護(hù)網(wǎng)絡(luò)環(huán)境下端系統(tǒng)的自身的安全。 協(xié)議層次安全模型從網(wǎng)絡(luò)體系結(jié)構(gòu)的協(xié)議層次角度考察安全體系結(jié)構(gòu)，我們得到了網(wǎng)絡(luò)安全8 / 34的協(xié)議層次模型，如圖所示，圖中實(shí)現(xiàn)上述安全服務(wù)的各種安全機(jī)制，并給出了它們?cè)趨f(xié)議層次中的位置。這五種服務(wù)并不是相互獨(dú)立的，而且不同的應(yīng)用環(huán)境有不同的程度的要求，我們?cè)趫D中給出了主要安全服務(wù)之間的邏輯關(guān)系。7 / 34系統(tǒng)單元給出了信息網(wǎng)絡(luò)系統(tǒng)的組成。該模型由安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個(gè)層面描述，且在每個(gè)層面上，都包含安全管理的內(nèi)容。 信息安全體系結(jié)構(gòu)分析XX 企業(yè)信息系統(tǒng)對(duì)安全的需求是任何一種單元安全技術(shù)都