【正文】 ? 安全網(wǎng)關(guān)、認(rèn)證服務(wù)器為專用軟硬件一體化設(shè)備，操作系統(tǒng)內(nèi)核基于自主專用定制；? 采用智能 IC 卡對認(rèn)證服務(wù)器和安全網(wǎng)關(guān)進(jìn)行初始化配置和開機(jī)操作控制；? 安全網(wǎng)關(guān)具有不可替換性：分布在各地的能士安全安全網(wǎng)關(guān)，通過初始注冊，網(wǎng)上驗(yàn)證等措施，保證其真實(shí)性和唯一性；? 認(rèn)證服務(wù)器、安全網(wǎng)關(guān)本身是不可登錄的“黑匣子” ，管理控制只能通過安全的網(wǎng)絡(luò)會話來進(jìn)行；? 支持狀態(tài)檢測技術(shù)；? 高可靠性，采用工業(yè)級組件，支持 724 小時(shí)不間斷運(yùn)行；? 高可用性，支持安全網(wǎng)關(guān)健康狀況檢查；? 高擴(kuò)展性，10/100M 網(wǎng)絡(luò)接口可擴(kuò)展至 8 個(gè)；? 每個(gè)物理網(wǎng)絡(luò)接口可以設(shè)置多個(gè)（最多 9 個(gè) IP）地址，以實(shí)現(xiàn)用一個(gè)接口對多個(gè)網(wǎng)絡(luò)的支持；? 每個(gè)安全網(wǎng)關(guān)最大可支持多達(dá) 10 個(gè)內(nèi)部保護(hù)子網(wǎng)；? 在安全網(wǎng)關(guān)之間同時(shí)支持加密隧道和普通隧道，并可任意配置；? 支持無人值守運(yùn)行模式；? 透明模式/路由模式自適應(yīng)；? 安全策略配置向?qū)?，輔助用戶建立有。能士 SVPN 系統(tǒng)在國內(nèi)首次成功地實(shí)現(xiàn)了基于 IPSec 的 IP 協(xié)議加密技術(shù)，并首創(chuàng)集中式配置管理、分布式網(wǎng)關(guān)安全控制的網(wǎng)絡(luò)化自主安全管理體系。能士 SVPN 系統(tǒng)支持政府機(jī)關(guān)/企業(yè)在公用通信網(wǎng)絡(luò)中構(gòu)建自主、安全的虛擬專網(wǎng)。XXXVPN 應(yīng)用部署圖XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 33Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 能士 SVPN 系統(tǒng)專門用于構(gòu)建網(wǎng)絡(luò)安全專用平臺，在基于 IPSec 的 VPN 提供隧道加密機(jī)制的基礎(chǔ)之上，進(jìn)一步引入了設(shè)備認(rèn)證、訪問控制、主動審計(jì)、入侵檢測、基于策略統(tǒng)一的安全服務(wù)控制機(jī)制、VPN 隧道流區(qū)分服務(wù)機(jī)制；對安全域進(jìn)行劃分，按分域、分級管理的思想，高效地提供區(qū)域間虛擬連接的鑒別、機(jī)密性、完整性、源驗(yàn)證能力等安全機(jī)制。VPN 實(shí)現(xiàn)的協(xié)議有：IPSec、L2F、L2TP、PPTP、MPPE、SSL 等。VPN“虛擬”的含義在于它沒有專用的物理網(wǎng)絡(luò)，而只是在邏輯上共享物理線路，VPN“專有”的含義在于它使用路由或加密技術(shù)將信息流從不安全的公共網(wǎng)絡(luò)環(huán)境隔離出來。這正如刪除病毒一樣重要，因?yàn)樵谒斜桓腥镜南到y(tǒng)中，有 90%的系統(tǒng)會在三個(gè)月內(nèi)以同樣或相似的方式再次被感染。如果有足夠的備份拷貝，不會丟失太多數(shù)據(jù)，就應(yīng)考慮選用徹底刪掉感染系統(tǒng)中的所有數(shù)據(jù)，再重新配置。當(dāng)發(fā)現(xiàn)病毒已進(jìn)入時(shí)，正是采取病毒響應(yīng)計(jì)劃的時(shí)候。另外，這種防病毒軟件要能夠?qū)㈦[藏于電子郵件附件中的病毒在對其他用戶造成感染之前將其清除。根據(jù)統(tǒng)計(jì)，50%以上的病毒是通過軟盤進(jìn)入系統(tǒng)，因此對桌面系統(tǒng)的病毒應(yīng)嚴(yán)加防范。建議采用啟明星辰的天恒安防服務(wù)器版對 XXX 網(wǎng)絡(luò)系統(tǒng)服務(wù)器的病毒進(jìn)行查殺。能夠?qū)Ψ?wù)器接收和發(fā)送的被病毒感染的文件以及已經(jīng)存在于其它服務(wù)器的病毒進(jìn)行檢測。因此，基于服務(wù)器的病毒保護(hù)是 XXX 網(wǎng)絡(luò)系統(tǒng)的重點(diǎn)之一。形成郵件系統(tǒng)外部的殺病毒系統(tǒng)，對進(jìn)出郵件服務(wù)器的電子郵件及其附件進(jìn)行實(shí)時(shí)掃描與監(jiān)控，以防止病毒進(jìn)入郵件服務(wù)器系統(tǒng)，以及郵件病毒散播到客戶端。所以，我們主要是對郵件的內(nèi)容進(jìn)行病毒的查殺。它同時(shí)對內(nèi)容進(jìn)行過濾以阻止病毒欺騙，創(chuàng)建歷史記錄以跟蹤每個(gè)檢測到的病毒起源。防病毒軟件需要對這一易受攻擊的區(qū)域進(jìn)行保護(hù)，對所有通過網(wǎng)關(guān)出入的電子郵件進(jìn)行掃描。為了阻止這些“可疑的候選文件” ，需要對電子郵件進(jìn)行嚴(yán)格審查。 網(wǎng)關(guān)防病毒系統(tǒng)在 XXX 網(wǎng)絡(luò)系統(tǒng)建成之后，網(wǎng)絡(luò)成了病毒傳播的主要途徑。(3) 客戶端防病毒系統(tǒng)確保 XXX 員工辦公 PC 不受病毒攻擊。建議采用三層方病毒部署體系來實(shí)現(xiàn)對 XXX 的病毒防護(hù)：(1) Mail 網(wǎng)關(guān)防病毒系統(tǒng)阻斷和防止 XXX 的病毒傳輸。在病毒發(fā)作之前即可自動阻止其發(fā)作。對系統(tǒng)進(jìn)行主動的保護(hù)，以免遭受可能來自軟盤、網(wǎng)絡(luò)下載、電子郵件附件、網(wǎng)絡(luò)共享文件、CDROM、在線服務(wù)和其它更多途徑的感染。XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 29Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 10. 防病毒系統(tǒng)一般電腦感染病毒的來源有超過 20%是通過網(wǎng)絡(luò)下載文檔感染，另外有 26%是經(jīng)電子郵件的附加文檔所感染。? 實(shí)用的模擬攻擊工具系統(tǒng)提供用于測試的模擬攻擊工具，較好反映了黑客實(shí)際攻擊的必經(jīng)之路，同時(shí)對被測試系統(tǒng)的測試力度可控，不會為系統(tǒng)帶來危害。? 靈活的策略配置系統(tǒng)內(nèi)置強(qiáng)、中、弱三種掃描策略，用戶也可以根據(jù)需要自定義掃描策略并進(jìn)行儲存，就用戶所關(guān)心的項(xiàng)目進(jìn)行重點(diǎn)檢測；可按照特定的需求配置多種掃描策略和掃描參數(shù)，實(shí)現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 27Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 漏洞掃描系統(tǒng)具體配置情況：在核心交換機(jī)上接入一臺裝有天鏡漏洞掃描系統(tǒng)軟件的 PC 機(jī)或筆記本電腦，直接輸入目標(biāo)主機(jī)的 IP 地址，對其系統(tǒng)的漏洞進(jìn)行掃描。漏洞掃描系統(tǒng)對網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報(bào)告，使管理員能夠隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時(shí)采取相應(yīng)的措施進(jìn)行修補(bǔ)。通過在 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)進(jìn)行自動的安全漏洞檢測和分析，我們可以做到：對 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)重要服務(wù)器和 PC 機(jī)進(jìn)行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞(這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚著造成系統(tǒng)本身的崩潰)，生成詳細(xì)的可視化報(bào)告，同時(shí)向管理人員給出相應(yīng)的解決辦法及安全建議。天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測，報(bào)告服務(wù)進(jìn)程，提取對象信息，以及評測風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。因此 XXX 網(wǎng)絡(luò)系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的工具，以保證整體網(wǎng)絡(luò)系統(tǒng)平臺安全。動態(tài)安全的概念是：幫助管理員主動發(fā)現(xiàn)問題。這些引擎都可以被統(tǒng)一的入侵管理平臺所管理。? 引擎自定義提供不同作用、基于不同環(huán)境的入侵檢測探測引擎。? 策略自定義入侵檢測系統(tǒng)內(nèi)置檢測策略，可以供用戶選用。? 用戶可以自定義所關(guān)注的敏感信息，加強(qiáng)內(nèi)外部信息的審查，如商業(yè)機(jī)密，反動、黃色、暴力等信息。? 事件自定義天闐先進(jìn)的事件自定義功能采用啟明星辰自主設(shè)計(jì)的 VT++語言，以深層協(xié)議分析為基礎(chǔ)，能夠?qū)崿F(xiàn)：XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 25Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 ? 對攻擊特征進(jìn)行多樣化、靈活定義，可以使啟明星辰保證對最新攻擊方法的迅速反應(yīng)和升級，同時(shí)可以協(xié)助用戶直接定義針對其特殊應(yīng)用的攻擊和威脅?？筛鶕?jù)需要設(shè)置條件，實(shí)時(shí)顯示 TOP10 事件，包括攻擊源、目標(biāo)的 MAC地址、IP 地址，流量信息；對各種協(xié)議相關(guān)事件如 Tel、SMTP，按需要進(jìn)行回放。(11) 拓?fù)浒l(fā)現(xiàn)與 IP 定位拓?fù)浒l(fā)現(xiàn)和地址定位技術(shù)能夠?qū)l(fā)現(xiàn)攻擊的 IP 地址相關(guān)信息返回給控制中心，依據(jù) IP 地址庫進(jìn)行定位，確認(rèn)攻擊來源，并結(jié)合 “GIS”地圖直觀顯示。(9) 入侵驗(yàn)證入侵驗(yàn)證系統(tǒng)根據(jù) IDS 發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件，對被攻擊網(wǎng)絡(luò)或主機(jī)進(jìn)行攻擊后果的驗(yàn)證，并將攻擊后果返回給控制中心，供管理者做決策參考。為了提高 IDS 的可用性，提高對應(yīng)急響應(yīng)體系的支持力度，還應(yīng)加強(qiáng) IDS 的安全防范及管理功能，提高對全局入侵行為的可視管理。同時(shí)，好的 IDS 還具有異常統(tǒng)計(jì)的功能，以降低誤報(bào)率，提高工作效率。(8) 入侵管理入侵管理技術(shù)是應(yīng)急響應(yīng)體系的核心支撐技術(shù)。天闐強(qiáng)調(diào)實(shí)現(xiàn)以入侵檢測為核心的安全防御體系。詳細(xì)的審計(jì)分析報(bào)告包括：網(wǎng)絡(luò)狀況報(bào)告和流量分析，分布式系統(tǒng)報(bào)告和探測引擎狀態(tài)，慢掃描分析，網(wǎng)絡(luò)相關(guān)行為分析，主機(jī)相關(guān)行為分析等。(5) 網(wǎng)絡(luò)病毒分析針對當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進(jìn)行預(yù)警，包括 Nimda 蠕蟲、Sql slammer蠕蟲等。同時(shí)，采用“多目標(biāo)跟蹤鎖定”功能，對用戶所設(shè)定的異常報(bào)警內(nèi)容進(jìn)行多方位的定點(diǎn)跟蹤和顯示， “凸出”用戶所關(guān)心的信息。(2) 異常流量分析實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量，進(jìn)行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計(jì)；產(chǎn)生例如提供點(diǎn)對點(diǎn)數(shù)據(jù)流量及流量排名的詳細(xì)圖表；定義流量異常的閥值，對異常流量進(jìn)行實(shí)時(shí)報(bào)警?？偪刂行慕拥降膱?bào)警信息如果符合用戶設(shè)定的要求全局預(yù)警的范圍，則應(yīng)結(jié)合報(bào)警信息轉(zhuǎn)發(fā)及上傳的功能，將這一報(bào)警事件散布到所有其它子控制中心結(jié)點(diǎn)。IDS的集中管理能力對于應(yīng)急響應(yīng)具有極其重要的影響，因?yàn)樗沟?IDS 更適合在大型網(wǎng)絡(luò)中實(shí)施。它作為總的管理中心，制定并下發(fā)全局入侵管理策略，接收并顯示全局網(wǎng)絡(luò)安全態(tài)勢。? 集中管理在整個(gè)網(wǎng)絡(luò)的安全管理中心，有一個(gè)總控制中心，它連接分控制中心、網(wǎng)絡(luò)探測引擎和主機(jī)探測引擎。在 IDS 的分級管理方式中，通過策略下發(fā)機(jī)制，可使上級部門能夠統(tǒng)一全網(wǎng)的安全防護(hù)策略；通過信息上傳機(jī)制，可使上級部門能夠及時(shí)了解和監(jiān)控全網(wǎng)的安全狀態(tài)。為了有效管理眾多的分布式探測器，三級結(jié)構(gòu)或者更多級結(jié)構(gòu)的分級控制功能是必須的。? 分級控制對于大型網(wǎng)絡(luò)來說，分布式部署的 IDS 對管理提出了更高的要求。全網(wǎng)范圍內(nèi) IDS 的分布式部署可能是不同城市、不同地區(qū)、甚至不同省份的分布。全局預(yù)警體系的具體技術(shù)包括：? 分布式部署分布式部署是天闐入侵檢測系統(tǒng)能夠支持應(yīng)急響應(yīng)體系建設(shè)的基本要素。(1) 全局預(yù)警建立全局預(yù)警體系，做到一點(diǎn)發(fā)現(xiàn)，全網(wǎng)皆知并及時(shí)響應(yīng)。而應(yīng)急響應(yīng)體系的組織結(jié)構(gòu)、處理規(guī)范、響應(yīng)流程都是保證應(yīng)急響應(yīng)能夠正常開展的管理要素。其中，技術(shù)包括四個(gè)方面：檢測發(fā)現(xiàn)、事件分析、事件報(bào)警、事件處理，這是一個(gè)安全事件的發(fā)現(xiàn)和處理流程。通過天闐入侵檢測系統(tǒng)的強(qiáng)大功能來為應(yīng)急響應(yīng)提供有力的技術(shù)支撐和充足的信息支持，實(shí)施應(yīng)急響應(yīng)來解決實(shí)際的網(wǎng)絡(luò)安全問題。同時(shí)，通過獲得 Scanner 系統(tǒng)的掃描結(jié)果，可動態(tài)修改 IDS 系統(tǒng)的檢測策略，使 IDS 系統(tǒng)的事件報(bào)警更加準(zhǔn)確，提高 IDS 系統(tǒng)的運(yùn)行效率。當(dāng)入侵檢測檢測到此攻擊事件時(shí)，會實(shí)時(shí)的傳送一個(gè)防護(hù)策略給防火墻，由防火墻來執(zhí)行此策略，實(shí)現(xiàn)入侵阻斷。防火墻作為網(wǎng)絡(luò)系統(tǒng)的專用的安全防護(hù)工具，其防護(hù)能力與入侵檢測產(chǎn)品的響應(yīng)能力可以相互補(bǔ)充。入侵檢測和防火墻、入侵檢測和漏洞掃描聯(lián)動體系示意圖如下：1. IDS 與防火墻的聯(lián)動入侵檢測系統(tǒng)可以進(jìn)行針對 TCP 連接的阻斷。同時(shí)由于單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補(bǔ)，可以提高系統(tǒng)對安全事件響應(yīng)的準(zhǔn)確性和全面性，使防護(hù)體系由靜態(tài)到動態(tài)，由平面到立體，不僅增強(qiáng)了入侵檢測系統(tǒng)的響應(yīng)能力，降低了入侵檢測的誤報(bào)率，充分發(fā)揮了入侵檢測的作用，同時(shí)提升了防火墻的機(jī)動性和實(shí)XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 19Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 時(shí)反應(yīng)能力。. 應(yīng)用部署方案XXX 入侵檢測系統(tǒng)應(yīng)用部署圖建議在 XXX 總廠的核心交換機(jī)和設(shè)計(jì)部的中心交換機(jī)上部署天闐 N100 入侵探測引擎；這樣一來就能夠?qū)崟r(shí)監(jiān)測網(wǎng)絡(luò)上非法入侵行為及違規(guī)操作，然后在管網(wǎng)段配置一臺 PC 安裝天闐控制中心，即可實(shí)時(shí)顯示報(bào)警事件，并對探測引擎進(jìn)行管理。實(shí)時(shí)對檢測到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻聯(lián)動。監(jiān)視 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 18Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 合法用戶的越權(quán)操作。通過使用入侵檢測系統(tǒng)，我們可以做到：對 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)測