【正文】 事實表 明，只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患 。 ? 如何有效地監(jiān)控客戶端的 USB 拷貝、打印的行為。 ? 如何構(gòu)架功能強大的網(wǎng)絡(luò)客戶端綜合安全報警平臺。 ? 如何對軟件進行分發(fā)安裝，以大幅度減少網(wǎng)管的工作量。 ? 如何對硬件資產(chǎn)進行自動發(fā)現(xiàn)識別，有效進行網(wǎng)絡(luò)資源管理和設(shè)備資產(chǎn)管理，在提高工作精度的同時減少網(wǎng)絡(luò)管理人員的工作量。 ? 如何按照既定策略統(tǒng)一配置客戶端端口策略、注冊表策略等客戶端安全策略。由于大型網(wǎng)絡(luò)一般結(jié)構(gòu)較為復(fù)雜，用戶使用水平參差 不齊，而網(wǎng)絡(luò)管理人員編制有限，往往難以面對數(shù)量重大的客戶端事件， 例如： ? 缺少有效手段對客戶端聯(lián)網(wǎng)行為進行監(jiān)控，對客戶端違規(guī)聯(lián)網(wǎng)的現(xiàn)象及時發(fā)現(xiàn)，及時阻斷。據(jù)統(tǒng)計結(jié)果表明， 80%的安全事件來自與網(wǎng)絡(luò)內(nèi)部，而只有 20%的安全事件來自于外部。 業(yè)務(wù)網(wǎng)型： ? 對數(shù)據(jù)庫、 Tel 、 FTP等登錄的操作進行詳細的審計和實時監(jiān)控 ? 對 HTTP、 NETBIO、 SMTP、 POP3等應(yīng)用層協(xié)議進行審計監(jiān)控 ? 對 FTP、 Tel、數(shù)據(jù)庫操作、應(yīng)用（業(yè)務(wù)）系統(tǒng)等進行命令級的審計和訪問控制 ? 對非正常網(wǎng)絡(luò)行為進行審計 信息系統(tǒng)安全建設(shè)建議 方案 第 30頁 共 53 頁 互聯(lián)網(wǎng)型： ? 記錄全面的互聯(lián)網(wǎng)訪問信息 ? 屏蔽各類不良網(wǎng)站 ? 控制互聯(lián)網(wǎng)絡(luò)行為 ? 審計 MAIL 信息 ? 過濾不良信息 . 內(nèi)網(wǎng) 安全 管理系統(tǒng)設(shè)計 （終端管理） 一直以來，安全防御理念局限在常規(guī)的網(wǎng)關(guān)級別（防火墻等）、網(wǎng)絡(luò)邊界（漏洞掃描、安全審計、防病毒、 IDS）等方面的防御，重要的安全設(shè)施大致集中于機房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。 ? 在核心業(yè)務(wù)服務(wù)器區(qū)的出口處 部署一臺 我 公司的 天玥 網(wǎng)絡(luò)信息安全 審計系統(tǒng) （業(yè)務(wù)網(wǎng)型） 探測引擎，實現(xiàn)對 WWW、 FTP、 E_mail、 OA、數(shù)據(jù)庫等應(yīng)用服務(wù) 器的訪問或非法攻擊進行數(shù)據(jù)分析并保存，以便事后取證和分析。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計 跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。審計信息對于確定是否有網(wǎng)絡(luò)攻擊的情況，對于確定問題的起因和攻擊發(fā)起處非常重要。審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它信息系統(tǒng)安全建設(shè)建議 方案 第 29頁 共 53 頁 是提高安全性的重要工具。幫助企業(yè)發(fā)現(xiàn)互聯(lián)網(wǎng)訪問趨勢，了解企業(yè)互聯(lián)網(wǎng)的使用情況。 具備 合理 的定位和管理措施，清晰直觀的監(jiān)控記錄和靈活多樣的數(shù)據(jù)統(tǒng)計報表， 是互聯(lián)網(wǎng)訪問控制 審計 類產(chǎn)品的一項重要功能。除了 Web內(nèi)容，一些基于 Inter的應(yīng)用程序，包括常用的即時通訊工具、 P2P 文件共享下載、在線游戲、流媒體播放和股票系統(tǒng)等，也需要加以控制。互聯(lián)網(wǎng)訪問主要包括Web訪問和基于 Inter的一些應(yīng)用程序的使用。 對于互聯(lián)網(wǎng)內(nèi)容的管理和控制，歸根到底是對訪問者的管理和控制。 . 網(wǎng)絡(luò)信息安全 審計系統(tǒng)設(shè)計 來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進行的，這些威脅事件多數(shù)是來自于內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些 網(wǎng)絡(luò)信息安全 事件的審計要求， 網(wǎng)絡(luò)信息安全 審計 系統(tǒng)正是在這樣的安全審計需求下產(chǎn)生的。 ? 漏洞掃描系統(tǒng)對網(wǎng)絡(luò)及各種系統(tǒng)進行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報告，使管理員能夠隨時了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時采取相應(yīng)的措施進行修補。 系統(tǒng)作用 通過在 **集團 網(wǎng)絡(luò)系統(tǒng)進行安全漏洞檢測和分析，我們可以做到： ? 對 **集團 網(wǎng)絡(luò)重要服務(wù)器和 PC 機進行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞 (這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊信息系統(tǒng)安全建設(shè)建議 方案 第 28頁 共 53 頁 取，甚著造成系統(tǒng)本身的崩潰 )，生成詳細的可視化報告，同時向管理人員給出相應(yīng)的解決辦法及安全建議。 ? 多種形式、人性化的掃描報表 可根據(jù)用戶的不同需求提供不同層次的報告，并提供安全補丁供應(yīng)商的熱連接，快速及時的修補漏洞。 信息系統(tǒng)安全建設(shè)建議 方案 第 27頁 共 53 頁 系統(tǒng)功能 ? 可以動態(tài)地分析目標(biāo)系統(tǒng)的安全脆弱性 根據(jù)不同的對象類型，自動尋找匹配的掃描策略進行下一步的分析 掃描。 部署方案 對于 網(wǎng)絡(luò)信息安全 來說，安全性取決于所有安全措施中最薄弱的環(huán)節(jié)，而上面我們所討論的問題，就是網(wǎng)絡(luò)的薄弱之處，也是最容易被黑客利用來侵入系統(tǒng)，給我們造成損失的環(huán)節(jié)。 漏洞掃描系統(tǒng)包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測，報告服務(wù)進程，提取對象信息，以及評測風(fēng)險，提供安全建議和改進措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安全性。 . 脆弱性 掃描系統(tǒng)設(shè)計 （漏洞掃描） 網(wǎng)絡(luò)的應(yīng)用越來越廣泛，而網(wǎng)絡(luò)不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員 的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴重。包括基于百兆網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)引擎、基于千兆網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)引擎、基于 Windows 平臺的主機入侵檢測系統(tǒng)引擎、基于 AIX、 Solaris 平臺的主機入侵檢測系統(tǒng)引擎等。同時，入侵檢測系統(tǒng)應(yīng)允許有經(jīng)驗的用戶根據(jù)網(wǎng)絡(luò)中數(shù)據(jù)流的特點，提供靈活的安全策略管理機制，利用系統(tǒng)中的事件定義模板，定制網(wǎng)絡(luò)中可疑行為和監(jiān)控對象，定制相應(yīng)的檢測策略，并對這些行為進行響應(yīng)，做到重點監(jiān)測、量體裁衣，報告用戶最為關(guān)注的事件，充分提高入侵檢測系統(tǒng)的檢測效率，降低誤 報率。 ? 用戶可以定義與指定的人、郵件、 IP 地址等有關(guān)的行為，實現(xiàn)對重點目標(biāo)的保護和對重點懷疑對象異常行為的有效監(jiān)控。 ? 用戶可以方便地修改協(xié)議端口默認值，滿足用戶保護特殊網(wǎng)絡(luò)應(yīng)用的需要，同時有效防止黑客以變形木馬等方式躲避入侵檢測系統(tǒng)監(jiān)控的攻擊。 可根據(jù)需要設(shè)置條件，實時顯示 TOP10 事件，包括攻擊源、目標(biāo)的 MAC 地址、 IP 地址，流量信息；對各種協(xié)議相關(guān)事件如 Tel、 SMTP，按需要進行回放。 ? 與網(wǎng)管系統(tǒng)結(jié)合 安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺將預(yù)警事件分級、分類、自動上報給網(wǎng)管系統(tǒng)，供網(wǎng)絡(luò)管理員做全局安全事件分析。具有良好可視化、可控性、可管理性的新一代入侵檢測系統(tǒng)可稱為入侵管理系統(tǒng)。 隨著入侵檢測技術(shù)的發(fā)展，入侵檢測系統(tǒng)還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。入侵檢測系統(tǒng)不僅能抓取網(wǎng)絡(luò)中的數(shù)據(jù)流并進行分析，與事件庫中的入侵行為進行模式匹配，從而對入侵行為進行報警，而且能夠進行完備的協(xié)議分析，保證對數(shù)據(jù)流的分析是比較完整的。入侵檢測系統(tǒng)與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等安全產(chǎn)品均可實現(xiàn)聯(lián)動，這些聯(lián)動本身就是應(yīng)急響應(yīng)的一個組成部分，使得以前相互獨立、需要 在不同的時間段內(nèi)完成的入侵檢測和應(yīng)急響應(yīng)兩個階段有機地融為一體。 ? 網(wǎng)絡(luò)病毒分析 針對當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進行預(yù)警，包括 Nimda 蠕蟲、 Sql slammer 蠕蟲等。同時，采用“多目標(biāo)跟蹤鎖定”功能，對用戶所設(shè)定的異常報警內(nèi)容進行多方位的定點跟蹤和 顯示，“凸出”用戶所關(guān)心的信息。 ? 異常流量分析 實時監(jiān)控網(wǎng)絡(luò)流量，進行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計；產(chǎn)生例如提供點對點數(shù)據(jù)流量及流量排名的詳細圖表；定義流量異常的閥值，對異常流量進行實時報警。具有這幾項技術(shù)的支撐是具有龐大的知識庫，能夠進行入侵管理。 入侵檢測系統(tǒng)的應(yīng)急響應(yīng)體系的架構(gòu)如下圖示。 同時，通過獲得漏洞掃描系統(tǒng)的掃描結(jié)果，可動態(tài)修改入侵檢測系統(tǒng)的檢測策略，使入侵檢測系統(tǒng)的事件報警更加準(zhǔn)確，提高入侵檢測系統(tǒng)的運行效率。當(dāng)入侵檢測檢測到此攻擊事件時，會實時的傳送一個防護策略給防火墻，由防火墻來執(zhí)行此策略，實現(xiàn)入侵阻斷。防火墻作為網(wǎng)絡(luò)系統(tǒng)的專用的安全防護工具，其防護能力與入侵檢測產(chǎn)品的響應(yīng)能力可以相互補充。 入侵檢測和防火墻、入侵檢測和漏洞掃 描聯(lián)動體系示意圖如下： 入侵檢測系統(tǒng)與防火墻的聯(lián)動 信息系統(tǒng)安全建設(shè)建議 方案 第 23頁 共 53 頁 ? 入侵檢測系統(tǒng)可以進行針對 TCP 連接的阻斷。同時由于單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補，可以提高系統(tǒng)對安全事件響應(yīng)的準(zhǔn)確性和全面性，使防護體系由靜態(tài)到動態(tài)，由平面到立體，不僅增強了入侵檢測系統(tǒng)的響應(yīng)能力，降低了入侵檢測的誤報率，充分發(fā)揮了入侵檢測的作用，同時提升了防火墻的機動性和實時反應(yīng)能力。對 **集團 網(wǎng)網(wǎng)絡(luò)系統(tǒng)各級網(wǎng)絡(luò)邊界點的數(shù)據(jù)進行監(jiān)測，防止黑客的入侵。 信息系統(tǒng)安全建設(shè)建議 方案 第 22頁 共 53 頁 系統(tǒng)功能 通過使用網(wǎng)絡(luò)入侵檢測系統(tǒng)，我們可以做到： ? 全面的入侵檢測 入侵檢測能力取決于兩個方面的技術(shù)：攻擊特征分析技術(shù)和入侵檢測支撐技術(shù)。 5. 實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻聯(lián)動。 3. 監(jiān)視 **集團 網(wǎng)絡(luò)內(nèi)部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作。 部署方案 根據(jù) **集團 網(wǎng)絡(luò)的現(xiàn)狀和日后的發(fā)展需要，通過部署 我 公司的 天闐入侵檢測與管理系統(tǒng) 1. 實時分析進出網(wǎng)絡(luò)的數(shù)據(jù)和訪問連接，及時檢測出混雜在正常數(shù)據(jù)流中的惡意入侵和攻擊，保護各級網(wǎng)絡(luò)的安全。入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別攻擊行為、對異常行為進行統(tǒng)計，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。 入侵檢測系統(tǒng)是一種動態(tài) 網(wǎng)絡(luò)信息安全 技術(shù)，它能夠發(fā)現(xiàn)入侵者實時攻擊行為，并對其進行響應(yīng)。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，入侵檢測在此處將承擔(dān)實時監(jiān)測大量出入整個網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。在被保護的局域網(wǎng)中，入侵檢測設(shè)備應(yīng)安裝在主交換機上 ,這些保護措施主要是為了監(jiān)控經(jīng)過網(wǎng)絡(luò)出入口及對重點服務(wù)器進行訪問的數(shù)據(jù)流。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時，入侵檢測系統(tǒng)能夠信息系統(tǒng)安全建設(shè)建議 方案 第 21頁 共 53 頁 根據(jù)系統(tǒng)安全策略作出反應(yīng)。 入侵檢測系統(tǒng)是實時的網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡(luò)；另外，據(jù)統(tǒng)計有 70％ 以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防 火墻的盲區(qū)。 方便的集中管理功能 ? 通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設(shè)備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓撲顯示，能夠?qū)Χ嗯_設(shè)備的日志和流量信息進行記錄。 通過 部 署天清漢馬 USG 一體化安全網(wǎng)關(guān) 系統(tǒng)，可以 實現(xiàn) ： 全面的訪問控制手段 ? 基于出 /入接口、源 /目的 IP 地址、服務(wù)、時間的安全策略，支持 IP 地址過濾、 MAC地址過濾、 IP＋ MAC 綁定、用戶認證、流量整形、連接數(shù)控制等 堅固的入侵防御（ IPS）體系 ? 業(yè)界最完善的攻擊特征庫 ，包括 18 大類，超過 2,000 項的入侵攻擊特征，并提供動態(tài)更新 ? 漏洞機理分析技術(shù) ，精確抵御黑客攻擊、蠕蟲、木馬、后門 ? 應(yīng)用還原重組技術(shù) ，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫 ? 網(wǎng)絡(luò)異常分析技術(shù) ，全面防止拒絕服務(wù)攻擊 業(yè)界領(lǐng)先的網(wǎng)絡(luò)防病毒技術(shù) ? 文件感染 病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫總計＞ 16 萬，并提供動態(tài)更新 信息系統(tǒng)安全建設(shè)建議 方案 第 19頁 共 53 頁 ? 支持 HTTP、 FTP、 IMAP、 POP SMTP 等協(xié)議的病毒查殺 ? 病毒類型根據(jù)危害程度劃分為：流行庫、高危庫、普通庫 實用的流量監(jiān)控系統(tǒng) NetFlow ? 歷史帶寬使用趨勢分析、帶寬應(yīng)用分布、帶寬使用實時統(tǒng)計、 IP 流量排名等 多種手段全面清除垃圾郵件 ? 支持黑名單、白名單 ? 支持防郵件炸彈功能，能夠設(shè)定郵件發(fā)送速率的門限值 ? 病毒掃描、附件類型和附件大小過濾、關(guān)鍵字過濾等 ? 支持貝葉斯過濾、可追查性檢查、發(fā)件