【正文】 當(dāng)一個(gè)網(wǎng)絡(luò)分布于不同的地理位置的時(shí)候，管理員僅僅需要在每一個(gè)位置安裝相應(yīng)的檢測(cè)引 擎，就能夠集中在中央管理臺(tái)進(jìn)行管理策略的定義、分發(fā)以及入侵庫(kù)的升級(jí)等工作。能夠通過電子郵件、尋呼、 NT 事件日志、消息框、 SNMP Trap、打印機(jī)等等預(yù)定義的功能進(jìn)行告警，用戶還能夠通過提供的接口方便地自定義保警方式，如通過短消息報(bào)警。 強(qiáng)大的報(bào)表能力：預(yù)置上百種報(bào)表模版，提供類似于網(wǎng)絡(luò)入侵?jǐn)?shù)量統(tǒng)計(jì)、入侵類型統(tǒng)計(jì)、入侵源統(tǒng)計(jì)以及傳播網(wǎng)絡(luò)病毒的前幾名以及每種行為的詳細(xì)報(bào)表分析等內(nèi)容。 入侵記錄和分析：為收集入侵信息并歸納入庫(kù)分析提供了一套完整有效的機(jī)制。采用專用的數(shù)據(jù)處理機(jī)制讓其即使在高流量下也能夠準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。 強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)能力。管理員能夠隨時(shí)利用干將入侵檢測(cè)系統(tǒng)提供的正則表達(dá)式對(duì)最新出現(xiàn)的攻擊方式進(jìn)行特征定義和方法，非常方便和靈活。能夠有效發(fā)現(xiàn)和阻攔碎片攻擊和 IDS 入侵攻擊。 CA eTrust 入侵檢測(cè)系統(tǒng) GJMIDSB 強(qiáng)大的網(wǎng)絡(luò)訪問控制功能：干將入侵檢測(cè)系統(tǒng)采用了一套規(guī)則庫(kù)來定義什么用戶能夠訪問什么網(wǎng)絡(luò)資源，確定僅有授權(quán)的用戶才能夠訪問網(wǎng)絡(luò)資源。赤霄過濾網(wǎng)關(guān)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬的保護(hù)。赤霄過濾網(wǎng)關(guān)實(shí)時(shí)過濾蠕蟲、病毒、垃圾郵件，阻止它們進(jìn)入到用戶的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理員的記錄日志并發(fā)出報(bào)警，幫助管理員及時(shí)了解安全事件，掌握安全狀態(tài)。赤霄過濾網(wǎng)關(guān)采用多種技術(shù)對(duì)垃圾郵件進(jìn)行過濾。赤霄過濾網(wǎng)關(guān)具有卓越的病毒查殺能力，能夠?qū)Χ喾N應(yīng)用協(xié)議（ SMTP、 HTTP、 POP FTP等）所傳遞的數(shù)據(jù)進(jìn)行病毒過濾，其反病毒引擎獲得了 ICSA（國(guó)際計(jì)算機(jī)安全協(xié)會(huì)）實(shí)驗(yàn)室的查殺病毒認(rèn)證，能夠 100%地檢測(cè)出目前“流行病毒名單”上的病毒。 （ 5）網(wǎng)絡(luò)安全審核 對(duì)防火墻、入侵檢測(cè)系統(tǒng)、郵件過濾系統(tǒng)的各種規(guī)則設(shè)置結(jié)果進(jìn)行審核確保系統(tǒng)當(dāng)前的安全性。防火墻同樣是使用安氏的 LinkTrust CyberWall200SP/006。這里需要將交換機(jī)①的某個(gè)端口設(shè)置監(jiān)聽狀態(tài)，并使用該端口聯(lián)入侵檢測(cè)系統(tǒng)。 可檢查偽裝郵件 KILL Shield Gateway 可檢查發(fā)件人偽裝，即提供的發(fā)件認(rèn)證信息正確，但發(fā)件人郵件地址和提供的認(rèn)證信息不相符合的情況。 支持 SMTP 認(rèn)證 為防止垃圾郵件泛濫等濫用郵件系統(tǒng)的行為，許多郵件系統(tǒng)在接受用戶的發(fā)信請(qǐng)求前，要求對(duì)用戶的身份作認(rèn)證，即 SMTP 認(rèn)證。 資源自適應(yīng)控制 發(fā)生郵件風(fēng)暴或大量 HTTP 并發(fā)鏈接時(shí)，赤霄過濾網(wǎng)關(guān)會(huì)檢測(cè)系統(tǒng)資源的消耗情況。根據(jù)管理員定義的更新頻率與策略，通過 HTTP 或 FTP 協(xié)議自動(dòng)更新特征碼，確保始終使用最新的特征碼進(jìn)行檢查，以免受各種新病毒、蠕蟲的侵害。支持百兆和千兆網(wǎng)絡(luò)環(huán)境。支持靈活的過濾策略 —依據(jù) IP 地址過濾；依據(jù)郵件地址過濾；基于 HELO 標(biāo)志過濾；限制郵件的大?。幌拗仆秽]件的發(fā)件數(shù)量；對(duì)附件文件類型和文件名過濾；根據(jù)郵件主題、發(fā)件人、收件人、正文及附件關(guān)鍵字進(jìn)行過濾；對(duì)郵件頭、郵件體進(jìn)行關(guān)鍵字過濾；支持域名過濾；自動(dòng)禁止郵件服務(wù)的 Open relay 功能；智能識(shí)別垃圾文本等。 垃圾郵件過濾 赤霄過濾網(wǎng)關(guān)采用多種技術(shù)過濾垃圾郵件，實(shí)現(xiàn)對(duì)垃圾郵件的綜合防范。 POP3 client KSG POP3 過濾模塊 POP3 服務(wù)器 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 病毒過濾 全面實(shí)現(xiàn)對(duì)普通病毒（如 CIH）、郵件病毒（如求職信、美麗殺手、 Mydoom）、木馬活動(dòng)、惡意網(wǎng)頁(yè)代碼的過濾。由于蠕蟲能夠從網(wǎng)絡(luò)上發(fā)起動(dòng)態(tài)攻擊，因而防范難度非常大。采用透明模式時(shí)，用戶不需要修改任何網(wǎng)絡(luò)結(jié)構(gòu)，安裝工作更加簡(jiǎn)單。 KILL Shield Gateway 的功能特點(diǎn) 友好的系統(tǒng)管理界面 對(duì)郵件系統(tǒng)的管理采用 B/S 方式，供 HTTPS、 SSH 等方式的安全管理。 要使用 POP3 過濾功能，郵件客戶端需作相應(yīng)更改，假設(shè)過濾網(wǎng)關(guān)名為 ，則郵件客戶端需做的更改示例如下： 收件服務(wù)器 帳戶名 啟用 POP3 過濾前 username 啟用 POP3 過濾后 即，在郵件客戶端將 POP3 服務(wù)器改為指向 KILL Shield Gateway，但同時(shí)在賬號(hào)后面加入 原 pop3 郵件服務(wù)器名 ，告知 KILL Shield Gateway 去哪個(gè)服務(wù)器接收郵件。 POP3 過濾模塊工作原理 KILL Shield Gateway 可以作為一個(gè) POP3 代理，進(jìn)行 POP3 流量的過濾。這種方式同樣具有很好的伸縮性和擴(kuò)展性。 KILL Shield Gateway 代理模塊典型應(yīng)用的邏輯示意圖如下： KILL Shield Gateway 代理模塊的過濾就是利用前面講到的原理， KILL Shield Gateway 的主機(jī)本身就是一個(gè)代理服務(wù)器，首先將接收的遠(yuǎn)程服務(wù)器的數(shù)據(jù)保存在自己的硬盤上，在傳送給客戶端前先進(jìn)行病毒掃描。一般情況下，當(dāng)用戶的本地機(jī)與因特網(wǎng)連接時(shí)，通過本地機(jī)的客戶程序如 IE 瀏覽器發(fā)出請(qǐng)求，遠(yuǎn)端的服務(wù)器在接到請(qǐng)求之后響應(yīng)請(qǐng)求并提供相應(yīng)的服務(wù)。在使用中， KILL Shield Gateway 本身就是一個(gè)完整的 MTA（郵件傳輸單元），我們賦予它最高的優(yōu)先級(jí)，這樣所有的郵件將先發(fā)到 KILL Shield Gateway，進(jìn)行過濾處理后，再由它通過 SMTP 協(xié)議傳給 MX 郵件服務(wù)器。下面根據(jù) KILL Shield Gateway 的三大功能模塊：SMTP 過濾、代理過濾和 POP3 過濾，分別講述采用非透明模式接入到網(wǎng)絡(luò)中時(shí)，每個(gè)模塊的工作原理，由此了解該如何將產(chǎn)品連接到網(wǎng)絡(luò)中。對(duì) DMZ 區(qū)，主要作用是攔截從外部發(fā)向服務(wù)器的攻擊數(shù)據(jù)，確保了公司重要服務(wù)器的安全。 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 一般企業(yè)網(wǎng)絡(luò)通過防火墻，劃分為內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū)，連接到 Inter。下面分別介紹其工作原理。 KILL Shield Gateway 主要使用透明（ Bridge 模式）接入用戶網(wǎng)絡(luò)。 KILL Shield Gateway 在企業(yè)網(wǎng)絡(luò)的邊緣，而不是在用戶的郵件和代理服務(wù)器上，進(jìn)行過濾工作，確保了原有系統(tǒng)的穩(wěn)定性，并在效率方面遠(yuǎn)遠(yuǎn)高于在服務(wù)器本機(jī)上安裝過濾軟件的方式。 KILL Shield Gateway 做為先進(jìn)的新型網(wǎng)關(guān)過濾設(shè)備，除了具有一般網(wǎng)關(guān)過濾設(shè)備的功能外，它的突出特點(diǎn)是可以實(shí)現(xiàn)蠕蟲過濾（過濾靜態(tài)蠕蟲擴(kuò)散、阻斷蠕蟲動(dòng)態(tài)攻擊）。它提供給企業(yè)一個(gè)易于部署的網(wǎng)絡(luò)保護(hù)方案，可以在不會(huì)導(dǎo)致任何失敗的情況下加以實(shí)施。 入侵日志及分析 網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)軟件提供了一個(gè)綜合系統(tǒng)來捕捉信息并進(jìn)行分析。 集中監(jiān)視 網(wǎng)絡(luò)管理員可以在本地或遠(yuǎn)程集中監(jiān)控運(yùn)行網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)軟件的一臺(tái)或多臺(tái)工作站。這包括從一個(gè)遠(yuǎn)程或中央位置的穩(wěn)定控制臺(tái)監(jiān)視和響應(yīng)企業(yè)范圍內(nèi)的事件。這種方式防止了未經(jīng)授權(quán)就通過 Email 或 web 發(fā)送敏感數(shù)據(jù)等情況的發(fā)生。 信息包嗅探技術(shù) 網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)軟件以秘密方式運(yùn)行，使攻擊者無法感知到。它可以防止用戶下載被病毒感染的文件。 網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)軟件還可以大大減少管理和保障網(wǎng)絡(luò)安全所需的培訓(xùn)時(shí)間。通過一個(gè)基于 WEB的友好、簡(jiǎn)潔明了的用戶界面，安全管理員不僅可以配置該 SmartProtector 的攻擊特征模板，還可以通過提供的鏈接，了解到更多關(guān)于攻擊的資料以及如何配置相應(yīng)的系統(tǒng)設(shè)備來防御攻擊 ”。但流探測(cè)器 SmartProtector 不能取代專門的入侵檢測(cè)系統(tǒng)，它以不犧牲防火墻和 VPN 的性能為前提，檢測(cè)并響應(yīng)“嚴(yán)重的”攻擊手法，配合防火墻以及專門的 IDS 系統(tǒng) ，為企業(yè)提供更加強(qiáng)大的天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 防護(hù)體系。用戶還可以自定義檢測(cè)策略模板，緊密結(jié)合特有安全的領(lǐng)信操作系統(tǒng) LTOS，擁有超負(fù)載保護(hù)能力。 領(lǐng)信防火墻的特色包括：狀態(tài)檢測(cè)包過濾技術(shù)；多種服務(wù)的內(nèi)核級(jí)安全代理；全面的網(wǎng)絡(luò)地址翻譯（ NAT）； IPsec VPN 和撥號(hào) VPN；高可靠性（ HA）；支持流量管理；內(nèi)容安全過濾；多種用戶認(rèn)證方案；完整日志、審計(jì)，告警和統(tǒng)計(jì)模塊； 抗 DOS 攻擊能力（支持 SYN Proxy）；內(nèi)嵌入侵檢測(cè)能力；支持多個(gè) ISP 接入的負(fù)載均衡解決方案；支持詭異木馬的抵御；對(duì) ICMP攻擊免疫，基于時(shí)間的對(duì)象訪問控制；支持按策略與 IDS 協(xié)作。 領(lǐng)信防火墻采用專門設(shè)計(jì)的安全操作系統(tǒng) LTOS 和專用搭載平臺(tái)，提供高度可靠性和可用性。時(shí)間及規(guī)則可由用戶在防火墻上設(shè)置的。 B 需要能監(jiān)控員工的上網(wǎng)數(shù)據(jù) 。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺(tái)。建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整響應(yīng)的授權(quán)。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理 制訂嚴(yán)格的操作規(guī)程 操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠(chéng)可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。當(dāng)然，還需要建立高效的管理平臺(tái)。對(duì)應(yīng)用安全，主要考慮確定不同服務(wù)的應(yīng)用軟件并緊密注視其 Bug ；對(duì)掃描軟件不斷升級(jí)。 應(yīng)用安全 在應(yīng)用安全上，主要考慮通信的授權(quán)，傳輸?shù)募用芎蛯徲?jì)記錄。 系統(tǒng)安全 系統(tǒng)的安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺(tái)的可靠性。“冷備份”是指“不在線”的備份，下載的備份存放到安全的存儲(chǔ)媒介中，而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，在系統(tǒng)恢復(fù)時(shí)重新安裝，有一部分原始的數(shù)據(jù)長(zhǎng)期保存并作為查詢使用。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有：場(chǎng)點(diǎn)內(nèi)高速度、大容量自動(dòng)的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；場(chǎng)點(diǎn)外的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；對(duì)系統(tǒng)設(shè)備的備份。 所選的防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制 （如防病毒軟件等）。另外，通過對(duì)安全事件的不斷收集與積累并且加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以便對(duì)發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。 漏洞分析和響應(yīng) 配置分析和響應(yīng) 漏洞形勢(shì)分析和響應(yīng) 認(rèn)證和趨勢(shì)分析 具體體現(xiàn)在以下方面： 防火墻得到合理配置 內(nèi)外 WEB 站點(diǎn)的安全漏洞減為最低 網(wǎng)絡(luò)體系達(dá)到強(qiáng)壯的耐攻擊性 各種服務(wù)器操作系統(tǒng)，如 E_MIAL 服務(wù)器、 WEB 服務(wù)器、應(yīng)用服務(wù)器、將受黑客攻擊的可能降為最低 對(duì)網(wǎng)絡(luò)訪問做出有效響應(yīng)，保護(hù)重要應(yīng)用系統(tǒng)（如財(cái)務(wù)系統(tǒng)）數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害 審計(jì)與監(jiān)控 審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程，它是提高安全性的重要工具。 網(wǎng)絡(luò)安全檢測(cè) 網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。通過在交換機(jī)上劃分 VLAN可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播域，實(shí)現(xiàn)內(nèi)部一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的物理隔離。同時(shí)可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）、審記與實(shí)時(shí)告警等功能。 網(wǎng)絡(luò)系統(tǒng)安全 訪問控制及內(nèi)外網(wǎng)的隔離 訪問控制 訪問控制可以通過如下幾個(gè)方面來實(shí)現(xiàn)：制訂嚴(yán)格的管理制度 :可制定的相應(yīng)：《用戶授權(quán)實(shí)施細(xì)則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》。 網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮環(huán)境、設(shè)備配置與應(yīng)用情況、遠(yuǎn)程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素。 它主要包括三個(gè)方面： 環(huán)境安全 對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國(guó)家標(biāo)準(zhǔn) GB50173－ 93《電天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo) GB2887－ 89《計(jì)算站場(chǎng)地技術(shù)條件》、 GB9361－ 88《計(jì)算站場(chǎng)地安全要求》 設(shè)備安全 主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、 抗電磁干擾及電源保護(hù)等； 媒體安全 包括媒體數(shù)據(jù)的安全及媒體本身的安全。安全應(yīng)用由一些安全服務(wù)來實(shí)現(xiàn)；而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來實(shí)現(xiàn)的。 多重保護(hù) 原則：任何安全措施都不是絕對(duì)安全的，都可能被攻破。 分步實(shí)施原則：由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。 一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。 第三章 網(wǎng)絡(luò)安全