【正文】 人認(rèn)證等反垃圾郵件功能 豐富的 VPN特性使組網(wǎng)變得簡(jiǎn)單 ? 豐富的手段：支持 IPSec VPN、 SSL VPN、 L2TP 和 GRE ? 靈活的部署： IPSec 全面支持 NAT 穿越，支持 HubSpoken、 FullMesh、 DVPN 等部署； SSL VPN 支持 Web、 Agent、 Tunnel 應(yīng)用方式，支持端到端部署 ? IPSec VPN 支持 DES、 3DES、 AES12 AES19 AES25國(guó)密 SCB2 等加密算法，支持 MD SHA 等認(rèn)證算法 精確的抗 DoS攻擊能力 ? 支持對(duì) Jolt Landbase、 ping of death、 syn flag、 Tear drop、 winnuke、 smurf、TCP flag、 ARP 攻擊、 TCP 掃描、 UDP 掃描、 ping 掃描等各種 DOS 攻擊和掃描事件的檢測(cè)和防御 ? 采用特征控制和異?？刂葡嘟Y(jié)合的手段，有效保障抗拒絕服務(wù)攻擊的準(zhǔn)確性和全面性 完善的上網(wǎng)行為管理 ? P2P 控制 ：對(duì) eMule、 BitTorrent、 Maze、 Kazaa 等進(jìn)行阻斷、限速； ? IM 控制 ：基于黑白名單的 IM 登錄控制、文件傳輸阻止、查毒；支持主流 IM 軟件如 、 MSN、雅虎通、 Gtalk、 Skype ? 流媒體控制： 對(duì)流媒體應(yīng)用進(jìn)行阻斷或限速，支持 Kamun ppfilm 、 PPLive、PPStream、 直播、 TVAnts、沸點(diǎn)網(wǎng)絡(luò)電視、貓撲播霸等 ? 網(wǎng)絡(luò)游戲控制： 對(duì)常見網(wǎng)絡(luò)游戲如魔獸世界、征途、 游戲大廳、聯(lián)眾游戲大廳等的阻斷 ? 股票軟件控制： 對(duì)常用股票軟件如同花順、大參考、大智慧等的阻斷 信息系統(tǒng)安全建設(shè)建議 方案 第 20頁 共 53 頁 獨(dú)有的內(nèi)網(wǎng)安全管理特性 ? 終端安全部署： 內(nèi)置 我 的天珣內(nèi)網(wǎng)安全服務(wù)器，可以為客戶端部署天珣終端安全軟件； ? 終端準(zhǔn)入控制： 由天珣終端軟件進(jìn)行各種安全性檢查， USG 網(wǎng)關(guān)根據(jù)檢查結(jié)果進(jìn)行準(zhǔn)入控制，杜絕不 安全的終端接入，保障內(nèi)網(wǎng)合規(guī)； ? 終端安全管理： 通過 USG 向終端下發(fā)安全策略，能夠?qū)尤刖W(wǎng)絡(luò)的所有終端進(jìn)行進(jìn)程管理、服務(wù)管理、網(wǎng)絡(luò)應(yīng)用管理和補(bǔ)丁管理。 天清漢馬 USG 一體化安全網(wǎng)關(guān)采用了一體化的設(shè)計(jì)方案，在一個(gè)產(chǎn)品中協(xié)調(diào)統(tǒng)一地實(shí)現(xiàn)了接入安全需要考慮的方方面面，采用天清漢馬 USG 一體化安全網(wǎng)關(guān)，可以從整體上解決了接入安全的問題。 系統(tǒng)功能 天清漢馬 USG 一體化安全網(wǎng)關(guān) 采用 高性能 的 硬件 架構(gòu)和 一體化的軟件設(shè)計(jì) ，集 防火墻、VPN、入侵防御（ IPS）、防病毒、外聯(lián)控制、抗拒絕服務(wù)攻擊（ AntiDoS） 、 內(nèi)容過濾、反垃圾郵件 、 NetFlow 等多種安全技術(shù)于一身， 同時(shí) 全面支持 QoS、高可用性（ HA） 、日志審計(jì)等功能 ， 為 網(wǎng)絡(luò)邊界提供 了全面實(shí)時(shí)的安全 防護(hù) 。 病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。 二級(jí)機(jī)構(gòu)生產(chǎn)域 合法接入控制：僅允許可信主機(jī)進(jìn)入 辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 上網(wǎng)行為管理：對(duì) IM 應(yīng)用進(jìn)行管理和控制，對(duì) P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。通過控制文件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。 抗拒絕服務(wù)攻擊：根 據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 防入侵：檢測(cè)來自外部的入侵行為并予以阻斷。 抗拒絕服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 防入侵：檢測(cè)來自外部的入侵行為并予以阻斷。 安全審計(jì)：對(duì)所有與業(yè)務(wù)相關(guān)的 通訊進(jìn)行紀(jì)錄，保證可進(jìn)行事后分析和可追查性檢查。 防入侵：檢測(cè)來自外部的入侵行為并予以阻斷。 防垃圾郵件：防止郵件炸彈攻擊，對(duì)垃圾郵件進(jìn)行過濾，提升工作效率。 內(nèi)容過濾：對(duì)基于標(biāo)準(zhǔn)協(xié)議的內(nèi)容進(jìn)行過濾，防止色情、非法信息的下載與傳播。 防泄密：監(jiān)控接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問等。 病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。 中心辦公域： 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 抗拒絕服務(wù)攻擊：根據(jù) 網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。 防入侵：檢測(cè)來自外部的入侵行為并予以阻斷。 6. 二級(jí)機(jī)構(gòu)生產(chǎn)域 ：二級(jí) 機(jī)構(gòu) 的生產(chǎn)網(wǎng)絡(luò)，每個(gè)具體的二級(jí) 機(jī) 構(gòu) 生產(chǎn)域形成一個(gè)獨(dú)立子安全域。 4. 中心服務(wù)域 ：所有的業(yè)務(wù)生產(chǎn)系統(tǒng)的服務(wù)器都放置在這個(gè)區(qū)域。 2. 中心辦公域 ：總部工作人員辦公用網(wǎng)絡(luò)。這是實(shí)現(xiàn) 大規(guī)模復(fù)雜信息的系統(tǒng)安全等級(jí)保護(hù)的有效方法。 按數(shù)據(jù)分類分區(qū)域分等級(jí)保護(hù)，就是按數(shù)據(jù)分類進(jìn)行分級(jí)，按數(shù)據(jù)分布進(jìn)行區(qū)域劃分，根據(jù)區(qū)域中數(shù)據(jù)的分類確定該區(qū)域的安全風(fēng)險(xiǎn)等級(jí)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級(jí)、使用的對(duì)象、面對(duì)的威脅和風(fēng)險(xiǎn)各不相同。同時(shí)由于一臺(tái) UTM 設(shè)備即可實(shí)現(xiàn) 較為 完整的邊界安全解決方案，將大大降低用戶采購成本和維護(hù)成本。根據(jù)對(duì)市場(chǎng) 已 有的安全 技術(shù)分析，功能全面、維護(hù)簡(jiǎn)單且性價(jià)比較高的 UTM 類產(chǎn)品是比較好的選擇。 . 安全建設(shè)的思路和方法 建議首先采用安全域劃分方法將整個(gè)信息系統(tǒng)分成多個(gè)安全等級(jí)不同的相對(duì)獨(dú)立的子系統(tǒng)，既按照業(yè)務(wù)流程的不同層面劃分為不同的安全域針對(duì)每個(gè)安全域或安全子域來標(biāo)識(shí)其中的關(guān)鍵資產(chǎn)，分析所存在的安全隱患和面臨的安全風(fēng)險(xiǎn)，然后給出相應(yīng)的保護(hù)措施。 信息系統(tǒng)安全建設(shè)建議 方案 第 14頁 共 53 頁 ? 動(dòng)態(tài)發(fā)展原則 安全防范體系的建設(shè)不是一個(gè)一勞永逸的工作，而是一 個(gè)長(zhǎng)期不斷完善的過程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整而 不斷 升級(jí)發(fā)展。 ? 安全目標(biāo)與效率、投入之間的 平衡原則 要綜合考慮安全目標(biāo)與效率、投入之間的均衡關(guān)系，確定合適的平衡點(diǎn)，不能為了追求安全而犧牲效率，或投入過大。在安全體系建設(shè)中，我們采取多種安全防御的技術(shù)和措施來保障 **集團(tuán) 的網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。緊密結(jié)合 **集團(tuán) 現(xiàn)有網(wǎng)絡(luò)和應(yīng)用情況，充分保證原有系統(tǒng)和結(jié)構(gòu)的可用性。 要使得網(wǎng)關(guān)和終端能夠完美融合，真正的起到縱深防御，遙相呼應(yīng)，需要在網(wǎng)關(guān)產(chǎn)品上整合終端安全策略，在網(wǎng)關(guān)產(chǎn)品上對(duì)內(nèi)網(wǎng)終端進(jìn)行統(tǒng)一的安全管理。 目前大多數(shù)的終端安全解決方案中，網(wǎng)關(guān)安全和終端安全是孤立 起來考慮的，不能做到有效的協(xié)同。內(nèi)部網(wǎng)絡(luò)的動(dòng)態(tài)化，需要我們從另外一個(gè)視角來看邊界安全問題。一方面，員工的終端可能在多個(gè)位置動(dòng)態(tài)接入內(nèi)部網(wǎng)絡(luò)；另一方面，各種非公終端也可能接入內(nèi)網(wǎng)（包括員工個(gè)人 PC，以及合作伙伴，客戶的 PC）。 信息系統(tǒng)安全建設(shè)建議 方案 第 13頁 共 53 頁 其次，在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，終端具有固定的辦公位置，內(nèi)部網(wǎng)絡(luò)相對(duì)是靜態(tài)的。 首先，隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，終端接入網(wǎng)絡(luò)的方式已經(jīng)不再局限于局域網(wǎng)接口，包括雙網(wǎng)卡， WiFi， CDMA/GPRS 上網(wǎng)卡， Modem 撥號(hào)，紅外，藍(lán)牙 ? ，這些接口已經(jīng)成為企業(yè)內(nèi)部網(wǎng)絡(luò)的另一道邊界。良好的安全審計(jì)能力是分析 **集團(tuán) 信息系統(tǒng)安全狀況的必要條件。 . 安全審計(jì)需求 日志審計(jì)是信息安全的重要方面，它是實(shí)現(xiàn)安全事件的可追查性、不可否認(rèn)性的重要數(shù)據(jù)環(huán)節(jié)。垃圾郵件的危害不僅在于要占用用戶大量的時(shí)間去對(duì)郵件進(jìn)行篩選、處理，還因?yàn)槔]件本身還是病毒、木馬等威脅傳播的重要途徑，會(huì)對(duì)用戶的終端和業(yè)務(wù)網(wǎng)絡(luò)造成危害。譬如，需要對(duì) P2P 下載進(jìn)行速度限制，禁止網(wǎng)上炒股，等等。 . 上網(wǎng)行為管理的需求 隨著互聯(lián)網(wǎng)的快速發(fā)展，即時(shí)通訊、 P2P 下載、網(wǎng)上炒股、在線視頻播放等應(yīng)用也變得日益廣泛。雖然國(guó)家 有相關(guān)法律條例禁止這些不良信息，但僅僅依靠行政手段是無法達(dá)到徹底清除的目的。 信息系統(tǒng)安全建設(shè)建議 方案 第 12頁 共 53 頁 因此需要在信息傳輸兩端部署具有 VPN 能力的設(shè)備或者軟件保證傳輸安全。 . 網(wǎng)絡(luò)傳輸安全需求分析 中心與各級(jí)機(jī)構(gòu)之間以及移動(dòng)用戶與信息 中心進(jìn)行業(yè)務(wù)操作過程中，通過租用電信運(yùn)營(yíng)商線路或者通過 INTERNET 進(jìn)行數(shù)據(jù)業(yè)務(wù)的傳輸，在傳輸過程中，信息將面臨搭線竊聽、電磁信號(hào)分析都攻擊手段，通過這些攻擊手段，具有惡意行為的攻擊者可以竊取信息的內(nèi)容。主要需要認(rèn)證的用戶包括應(yīng)用系統(tǒng)用戶、數(shù)據(jù)用戶、操作系統(tǒng)用戶等。也可在某些通過地址轉(zhuǎn)換方式上網(wǎng)的局域網(wǎng)以私有 IP 地址通過安全 IP 通道接入企業(yè)內(nèi)部網(wǎng)。 因此部署網(wǎng)關(guān)防病毒產(chǎn)品，控制病毒的傳播至關(guān)重要。同時(shí)，其它的網(wǎng)絡(luò)連接方式如 ICQ、 IRC 也成為了傳播病毒的途徑。 病毒 傳播速度更快，傳播渠道更多 目前上網(wǎng)用戶已不再局限于收發(fā)郵件和網(wǎng)站瀏覽，此時(shí)，文件傳輸成為病毒傳播的另一個(gè)重要途徑。同時(shí)，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個(gè)具有極強(qiáng)殺傷力的病毒程序。而蠕蟲病毒則會(huì)搶占有限的網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)堵塞。木馬病毒的傳播使得病毒在發(fā)作的時(shí)候有可能自動(dòng)聯(lián)絡(luò)病毒的創(chuàng)造者，或者采取 DoS（拒絕服務(wù)）的攻擊。因此，這類病毒傳播速度非常快，只要有一個(gè)用戶受到感染，就可以形成一個(gè)非常大的傳染面。病毒的傳播可能會(huì)具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。 目前病毒的發(fā)展主要呈現(xiàn)以下幾個(gè)趨勢(shì)，通過了解這些背景情況，將有助于了解防病毒體系的技術(shù)要求。因此系統(tǒng)內(nèi)需要建設(shè)統(tǒng)一的符合國(guó)家規(guī)定的安全檢測(cè)機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動(dòng)的入侵檢測(cè)和分析，對(duì)非法信息予以過濾，提高系統(tǒng)整體安全性。 . 入侵 檢測(cè) /防御需求分析 訪問控制系統(tǒng)可以靜態(tài)的實(shí)施訪問控制策略，防止一些非法的訪問等。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務(wù)攻擊、SYN Flood 攻擊、 IP 欺騙攻擊等等獲取系統(tǒng)權(quán)限，進(jìn)入系統(tǒng)內(nèi)部。邊界環(huán)境是比較復(fù)雜的。 ? 需要對(duì)終端用戶方便地進(jìn)行管理和審計(jì)，對(duì)用戶進(jìn)行準(zhǔn)入控制。 . 風(fēng)險(xiǎn) 由于 網(wǎng)絡(luò)信息安全 是一個(gè)系統(tǒng)工程，網(wǎng)絡(luò)上的攻擊行為和方法也急劇增長(zhǎng)，造成的安全損失也越來越大，因此我們從黑客攻擊以及網(wǎng)絡(luò)蠕蟲病毒的角度對(duì) **集團(tuán) 面臨的威脅進(jìn)行全面的分析，就是為了減少對(duì)其的安全威脅，把 **集團(tuán) 面臨的安全風(fēng)險(xiǎn)控制在可接受的最理想的范圍內(nèi)。病毒要完成這些復(fù)雜的動(dòng)作，就要對(duì)系統(tǒng)進(jìn)行比較復(fù)雜的設(shè)置，對(duì)系統(tǒng)的影響也比較大，僅有防病毒軟件很難徹底地從系統(tǒng)上將病毒清除掉。 2. 病毒的智能化程序越來越高 網(wǎng)絡(luò)病毒可以利用系統(tǒng)的漏洞進(jìn)行傳播或攻擊；在攜帶特洛伊木馬程序進(jìn)行 對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程破壞與控制；自身就有木馬功能，為系統(tǒng)開后門；散播拒絕服務(wù)攻擊點(diǎn)，對(duì)目標(biāo)采取分布式拒絕服務(wù)攻擊等等。 網(wǎng)絡(luò)病毒威脅 在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)，網(wǎng)絡(luò)病毒的這些新的特點(diǎn)都會(huì)對(duì)網(wǎng)絡(luò)與應(yīng)用造成極大的威脅。對(duì)于網(wǎng)絡(luò)內(nèi)部的安全防范會(huì)明顯的弱于對(duì)于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對(duì)于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，所以，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功，因此一旦攻擊成功，其強(qiáng)烈的攻擊目的也就必然促使了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。 來自內(nèi)部的安全威脅分析 1. 內(nèi)部網(wǎng)絡(luò)的失誤操作行為 信息系統(tǒng)安全建設(shè)建議 方案 第 8 頁 共 53 頁 由于人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足， 或?qū)?網(wǎng)絡(luò)信息安全 的漫不經(jīng)心或者誤操作可能會(huì)出現(xiàn)各種意想不到的 失誤，勢(shì)必對(duì)系統(tǒng)或者網(wǎng)絡(luò)的安全產(chǎn)生較大的影響。 計(jì)算環(huán)境的主動(dòng)攻擊威脅 引入病毒攻擊；引入惡意代碼攻擊；冒充 超級(jí)用戶或其他合法用戶；拒絕服務(wù)和數(shù)據(jù)的篡改；偽裝成合法用戶和服務(wù)器進(jìn)行攻擊；利用配置漏洞進(jìn)行攻擊；利用系統(tǒng)脆弱性 (操作系統(tǒng)安全脆弱性、數(shù)據(jù)庫安全脆弱性 )實(shí)施攻擊；利用服務(wù)器的安全脆弱性進(jìn)行攻擊；利用應(yīng)用系統(tǒng)安全脆弱性進(jìn)行攻擊。三是網(wǎng)絡(luò)管理通信的中斷攻擊，它是通過攻擊網(wǎng)絡(luò)底層設(shè) 備的控制信號(hào)來干擾網(wǎng)絡(luò)傳輸?shù)挠脩粜畔?；引入病毒攻擊；引入惡意代碼攻擊。最嚴(yán)重的網(wǎng)絡(luò)攻擊是使網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行控制失靈。 信息系統(tǒng)安全建設(shè)建議 方案 第 7 頁 共 53 頁 主動(dòng)攻擊產(chǎn)生的威脅 對(duì)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的主動(dòng)攻擊威脅 一是可用帶寬的損失攻擊，如網(wǎng)絡(luò)阻塞攻擊、擴(kuò)散攻擊等。 計(jì)算環(huán)境的被動(dòng)攻擊威脅 獲取鑒別信息和控制信息；獲取明文或解密弱密文實(shí) 施重放攻擊。 被動(dòng)攻擊產(chǎn)生的威脅 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的被動(dòng)攻擊威脅 局域網(wǎng) /骨干網(wǎng)線路的竊聽；監(jiān)視沒被保護(hù)的通信線路；破譯弱保護(hù)的通信線路信息；信息流量分析；利用被動(dòng)攻擊為主動(dòng)攻擊創(chuàng)造條件以便對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備進(jìn)行破壞，如截獲用戶的賬號(hào)或密碼以便對(duì)網(wǎng)絡(luò)設(shè)