【正文】 能士 SVPN 系統(tǒng)支持政府機關 /企業(yè)在公用通信網絡中構建自主、安全的虛擬XXX 網絡安全建議方案 北京啟明星辰信息技術有限公司 。 XXXVPN 應用部署圖 能士 SVPN 系統(tǒng)專門用于構建網絡安全專用平臺，在基于 IPSec 的 VPN 提供隧道加密機制的基礎之上，進一步引入了設備認證、訪問控制、主動審計、入侵檢測、基于策略統(tǒng)一的安全服務控制機制、 VPN 隧道流區(qū)分服務機制；對安全域進行劃分，按分域、分級管理的思想，高效地提供區(qū)域間虛擬連接的鑒別、機密性、完整性、源驗證能力等安全機 制。 VPN 實現(xiàn)的協(xié)議有： IPSec、 L2F、 L2TP、 PPTP、 MPPE、 SSL 等。 VPN“虛擬”的含義在于它沒有專用的物理網絡，而只是在邏輯上共享物理線路， VPN“專有”的含義在于它使用路由或加密技術將信息流從不安全的公共網絡環(huán)境隔離出來。這正如刪除病毒一樣重要，因為在所有被感染的系統(tǒng)中，有 90%的系統(tǒng)會在三個月內以同樣或相似的方式再次被感染。如果有足夠的備份拷貝，不會丟失太多數(shù)據(jù)，就應考慮選用徹底刪掉感染系統(tǒng)中的所有數(shù)據(jù)，再重新配置。 當發(fā)現(xiàn)病毒已進入時，正是采取病毒響應計劃的時候。另外，這種防病毒軟件要能夠將隱藏于電子郵件附件中的病毒在對其他 用戶造成感染之前將其清除。根據(jù)統(tǒng)計， 50%以上的病毒是通過軟盤進入系統(tǒng)，因此對桌面系統(tǒng)的病毒應嚴加防范。 建議采用啟明星辰的天恒安防服務器版對 XXX 網絡系統(tǒng)服務器的病毒進行查殺。能夠對服務 器接收和發(fā)送的被病毒感染的文件以及已經存在于其它服務器的病毒進行檢測。因此，基于服務器的病毒保護是 XXX 網絡系統(tǒng)的重點之一。 形 成郵件系統(tǒng)外部的殺病毒系統(tǒng)，對進出郵件服務器的電子郵件及其附件進行實時掃描與監(jiān)控，以防止病毒進入郵件服務器系統(tǒng)，以及郵件病毒散播到客戶端。所以，我們主要是對郵件的內容進行病毒的查殺。它同時對內容進行過濾以阻止病毒欺騙，創(chuàng)建歷史記錄以跟蹤每個檢測到的病毒起源。防病毒軟件需要對這一易受 攻擊的區(qū)域進行保護，對所有通過網關出入的電子郵件進行掃描。為了阻止這些“可疑的候選文件”，需要對電子郵件進行嚴格審查。 網關防病毒系統(tǒng) 在 XXX 網絡系統(tǒng)建成之后，網絡成了病毒傳播的主要途徑。 (3) 客戶端防病毒系統(tǒng) 確保 XXX 員工辦公 PC 不受病毒攻擊。 建議采用三層方病毒部署體系來實現(xiàn)對 XXX 的病毒防護： (1) Mail 網關防病毒系統(tǒng) 阻斷和防止 XXX 的 病毒傳輸。 在病毒發(fā)作之前即可自動阻止其發(fā)作。對系統(tǒng)進行主動的保護，以免遭受可能來自軟盤、 網絡 下載、電子郵件附件、網絡共享文件、 CDROM、在線服務和其它更多途徑的感染。 10. 防病毒系統(tǒng) XXX 網絡安全建議方案 北京啟明星辰信息技術有限公司 電話： (010)62149966 29 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關村南大街 12 號 188 一般電腦感染病毒的來源有超過 20%是通過網絡下載文檔感染，另外有 26%是經電子郵件的附加 文檔所感染。 ? 實用的模擬攻擊工具 系統(tǒng)提供用于測試的模擬攻擊工具，較好反映了黑客實際攻擊的必經之路，同時對被測 XXX 網絡安全建議方案 北京啟明星辰信息技術有限公司 電話： (010)62149966 28 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關村南大街 12 號 188 試系統(tǒng)的測試力度可控，不會為系統(tǒng)帶來危害。 ? 靈活的策略配置 系統(tǒng)內置 強 、 中 、 弱 三種掃描策略，用戶也可以根據(jù)需要自定義掃描策略并進行儲存，就用戶所關心的項目進行重點檢測；可按照特定的需求配置多種掃描策略和掃描參數(shù)，實現(xiàn)不同內容、不同級別、不同程度、不同層次的掃描。 漏洞掃描系統(tǒng)具體配置情況： 在核心交換機上接入一臺裝有天鏡漏洞掃描系統(tǒng)軟件的 PC 機或筆記本電腦，直接輸入目標主機的 IP 地址，對其系統(tǒng)的漏洞進行掃描。 漏洞掃描系統(tǒng)對網絡及各種系統(tǒng)進行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報告，使管理員能夠隨時了解網絡系統(tǒng)當前存在的漏洞并及時采取相應的措施進行修補。 通過在 XXX 網絡系統(tǒng)網絡進行自動的安全漏洞檢測和分析，我們可以做到： 對 XXX 網絡系統(tǒng)網絡重要服務器和 PC 機進行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當、疏忽或操作系統(tǒng)本身存在的漏洞 (這些漏洞會使系統(tǒng)中的資料容易被網絡上懷有惡意的人竊取，甚著造成系統(tǒng)本身的崩潰 )，生成詳細的可視化報告，同時向管理人員給出相應的解決辦法及安全建議。 天鏡網絡漏洞掃描系統(tǒng)包括了網絡模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。XXX 網絡安全建議方案 北京啟明星辰信息技術有限公司 電話： (010)62149966 26 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關村南大街 12 號 188 因此 XXX 網絡系統(tǒng)需要一套幫助管理員監(jiān)控網絡通信數(shù)據(jù)流、發(fā)現(xiàn)網絡漏洞并解決問題的工具，以保證整體網絡系統(tǒng)平臺安全。 動態(tài)安全的概念是： 幫助管理員主動發(fā)現(xiàn)問題 。這些引擎都可以被統(tǒng)一的入侵管理平臺所管理。 ? 引擎自定義 提供不同作用、基于不同環(huán)境的入侵檢測探測引擎。 ? 策略自定義 入侵檢測系統(tǒng)內置檢測策略，可以供用戶選用。 ? 用戶可以自定義所關注的敏感信息，加強內外部信息的審查，如商業(yè)機密，反動、黃色、暴力等信息。 ? 事件自定義 天闐先進的事件自定義功能采用啟明星辰自主設計的 VT++語言，以深層協(xié)議分析為基礎，能夠實現(xiàn)： ? 對攻擊特征進行多樣化、靈活定義，可以使啟明星辰保證對最新攻擊方法的迅速反應和升級，同時可以協(xié)助用戶直接定義針對其特殊XXX 網絡安全建議方案 北京啟明星辰信息技術有限公司 電話： (010)62149966 25 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關村南大街 12 號 188 應用的攻擊和威脅。 可根據(jù)需要設置條件，實時顯示 TOP10 事件，包括攻擊源、目標的 MAC地址、 IP 地址，流量信息；對各種協(xié)議相關事件如 Tel、 SMTP，按需要進行回放。 (11) 拓撲發(fā)現(xiàn)與 IP 定位 拓撲發(fā)現(xiàn)和地址定位技術能夠將發(fā)現(xiàn)攻擊的 IP 地址相關信息返回給控制中心，依據(jù) IP 地址庫進行定位，確認攻擊來源，并結合“ GIS”地圖直觀顯示。 (9) 入侵驗證 入侵驗證系統(tǒng)根據(jù) IDS 發(fā)現(xiàn)的網絡安全事件，對被攻擊網絡或主機進行攻擊后果的驗證，并將攻擊后果返回給控制中心，供管理者做決策參考。為了提高 IDS 的可用性，提高對應急響應體系的支持力度，還應加強 IDS 的安全防范及管理功能，提高對全局入侵行為的可視管理。同時，好的 IDS 還具有異常統(tǒng)計的功能，以降低誤報率，提高工作效率。 (8) 入侵管理 入侵管理技術是應急響應體系的核心支撐技術。 天闐強調實現(xiàn)以入侵檢測為核心 的安全防御體系。詳細的審計分析報告包括：網絡狀況報告和流量分析，分布式系統(tǒng)報告和探測引擎狀態(tài)，慢掃描分析，網絡相關行為分析，主機相關行為分析等。 (5) 網絡病毒分析 針對當前流行的網絡蠕蟲和病毒進行預警，包括 Nimda 蠕 蟲、 Sql slammer蠕蟲等。同時，采用“多目標跟蹤鎖定”功能，對XXX 網絡安全建議方案 北京啟明星辰信息技術有限公司 電話： (010)62149966 23 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關村南大街 12 號 188 用戶所設定的異常報警內容進行多方位的定點跟蹤和顯示，“凸出”用戶所關心的信息。 (2) 異常流量分析 實時監(jiān)控網絡流量，進行網絡流量的分類分析和統(tǒng)計；產生例如提供點對點數(shù)據(jù)流量及流量排名的詳細圖表；定義流量異常的閥值， 對異常流量進行實時報警?？偪刂行慕拥降膱缶畔⑷绻嫌脩粼O定的要求全局預警的范圍，則應結合報警信息轉發(fā)及上傳的功能，將這一報警事件散布到所有其它子控制中心結點。 IDS 的集中管理能力對于應急響應具有極其重要的影響，因為它使得 IDS 更適合在大型網絡 中實施。它作為總的管理中心，制定并下發(fā)全局入侵管理策略，接收并顯示全局網絡安全態(tài)勢。 ? 集中管理 在整個網絡的安全管理中心，有一個總控制中心，它連接分控制中心、網絡探測引擎和主機探測引擎。 在 IDS 的分級管理方式中，通過策略下發(fā)機制，可使上級部門能夠統(tǒng)一全網的安全防護策略；通過信息上傳機制，可使上級部門能夠及時了解和監(jiān)控全 網的安全狀態(tài)。為了有效管理眾多的分布式探測器，三級組織檢測發(fā)現(xiàn)響應流程處理規(guī)范事件分析 事件報警 事件處理入侵管理知識庫XXX 網絡安全建議方案 北京啟明星辰信息技術有限公司 電話： (010)62149966 22 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關村南大街 12 號 188 結構或者更多級結構的分級控制功能是必須的。 ? 分級控制 對于大型網絡來說，分布式部署的 IDS 對管理提出了更高的要求。全網范圍內 IDS 的分布式部署可能是不 同城市、不同地區(qū)、甚至不同省份的分布。全局預警體系的具體技術包括： ? 分布式部署 分布式部署是天闐入侵檢測系統(tǒng)能夠支持應急響應體系建設的基本要素。 (1) 全局預警 建立全局預警體系，做到一點發(fā)現(xiàn)，全網皆知并及時響應。而應急響應體系的組織結構、處理規(guī)范、響應流程都是保證應急響應能夠正常開展的管理要素。 其中，技術包括四個方面：檢測發(fā)現(xiàn)、事件分析、事件報警、事件處理，這是一個安全事件的發(fā)現(xiàn)和處理流程。通過天闐入侵檢測系統(tǒng)的強大功能來為應急響應提供有力的技術支撐和充足的信息支持，實施應急響應來解決實際的網絡安全問題。 同時，通過獲得 Scanner 系統(tǒng)的掃描結果，可動態(tài)修改 IDS 系統(tǒng)的檢測策略，使 IDS 系統(tǒng)的事件報警更加準確，提高 IDS 系統(tǒng)的運行效率。 當入侵檢測檢測到此攻擊事件時，會實時的傳送一個防護策略給防火墻，由防火墻來執(zhí)行此策略，實現(xiàn)入侵阻斷。防火墻作為網絡系統(tǒng)的專用的安全防護工具，其防護能力與入侵檢測產品的響應能力可以相互補充。 XXX 網絡安全建議方案 北京啟明星辰信息技術有限公司 電話： (010)62149966 19 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關村南大街 12 號 188 入侵檢測和防火墻、入侵檢測和漏洞掃描聯(lián)動體系示意圖如下： 1. IDS 與防火墻的聯(lián)動 入侵檢測系統(tǒng)可以進行針對 TCP 連接的阻斷。同時由于單一的安全產品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產品之間的安全互補，可以提高系統(tǒng)對安全事件響應的準確性和全面性，使防護體系由靜態(tài)到動態(tài)，由平面到立體，不僅增強了入侵檢測系統(tǒng)的響應能力，降低了入侵檢測的誤報率，充分發(fā)揮了入侵檢測的作用，同時提升了防火墻的機動性和實時反應能力。 XXX 網絡安全建議方案 北京啟明星辰信息技術有限公司 電話： (010)62149966 18 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關村南大街 12 號 188