【正文】 用層檢測和控制功能。準(zhǔn)確與完善的檢測能力TopIDP產(chǎn)品的智能檢測引擎可分析網(wǎng)絡(luò)攻擊的組合行為特征來準(zhǔn)確識別各種攻擊，準(zhǔn)確性更高；可以智能地識別出多種攻擊隱藏手段及變種攻擊，帶來更高安全性；通過智能化檢測引擎，能夠識別出多種高危網(wǎng)絡(luò)行為，并可以將此類行為以告警方式通知管理員，達到防患于未然的目的，帶來更高網(wǎng)絡(luò)安全性；同時新版TopIDP具有強大的木馬檢測與識別能力；完善的應(yīng)用攻擊檢測與防護能力；豐富的網(wǎng)絡(luò)應(yīng)用控制能力和及時的應(yīng)急響應(yīng)能力。 精確的基于目標(biāo)系統(tǒng)的流重組檢測引擎?zhèn)鹘y(tǒng)的基于單個數(shù)據(jù)包檢測的入侵防御產(chǎn)品無法有效抵御TCP流分段重疊的攻擊，任何一個攻擊行為通過簡單的TCP流分段組合即可輕松穿透這種引擎，在受保護的目標(biāo)服務(wù)器主機上形成真正的攻擊。2入侵防御系統(tǒng)產(chǎn)品特點強大的高性能并行處理架構(gòu)TopIDP應(yīng)用了先進的多核處理器硬件平臺，將并行處理技術(shù)成功融入天融信自主知識產(chǎn)權(quán)的安全操作系統(tǒng)TOS（Topsec Operating System）系統(tǒng)，集成多項發(fā)明專利，形成了先進的多核架構(gòu)技術(shù)體系。網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署于網(wǎng)絡(luò)中的關(guān)鍵點，實時監(jiān)控各種數(shù)據(jù)報文及網(wǎng)絡(luò)行為，提供及時的報警及響應(yīng)機制。1入侵防御產(chǎn)品概述天融信公司新版本的“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP”是基于新一代并行處理技術(shù)，它通過設(shè)置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)絡(luò)流量進行分析過濾，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護。因此可以成為防火墻有效的擴展。雖然目前一些防火墻增強了對于應(yīng)用層內(nèi)容分析的功能，但是考慮其因分析、處理應(yīng)用層內(nèi)容而導(dǎo)致的網(wǎng)絡(luò)延遲的增加，因此從其實際應(yīng)用角度來說，存在一些局限性。由于防火墻本身為穿透型（所有數(shù)據(jù)流需要經(jīng)過防火墻才能到達目的地），因此為了提高其過濾、轉(zhuǎn)發(fā)效率，通常不會對每個數(shù)據(jù)報文或者數(shù)據(jù)流進行過多的、細致地分析、檢查。從理論上分，防火墻可以說是第一層安全防范手段，通常安裝在網(wǎng)絡(luò)入口來保護來自外部的攻擊。7) 實現(xiàn)了重要財務(wù)工作人員直接訪問財務(wù)處網(wǎng)絡(luò) 通過天融信防火墻的訪問控制能力，我們可以控制各個訪問者訪問的權(quán)限，同時我們采用用戶名，口令，證書等驗證方式，徹底實現(xiàn)了對于訪問者身份驗證的目的。6) 通過防火前完善日志通過防火墻可以采集所有流經(jīng)防火墻的數(shù)據(jù)，記錄到防火墻的日志服務(wù)器中，通過日志服務(wù)器的日志分析和統(tǒng)計功能，在對收集的事件進行詳盡分析及統(tǒng)計的基礎(chǔ)上輸出豐富的報表，實現(xiàn)分析結(jié)果的可視化；系統(tǒng)提供多達300多種的報表模板，不僅支持對網(wǎng)絡(luò)事件按條件統(tǒng)計，更提供了對流量等變化趨勢的形象表現(xiàn)；對于分析結(jié)果系統(tǒng)提供了表格及多種圖形表現(xiàn)形式（柱狀圖、曲線圖），使管理員一目了然。5) 通過防火墻調(diào)整網(wǎng)絡(luò)使用效率通過防火墻具有帶寬控制的特性，可以依據(jù)應(yīng)用來限制流量，來調(diào)整鏈路的帶寬利用如：在網(wǎng)絡(luò)中如果有工作主機向服務(wù)器區(qū)域FTP的訪問、Web訪問等等，可以在防火墻中直接加載控制策略，使FTP訪問、Web訪問按照預(yù)定的帶寬進行數(shù)據(jù)交換。對于公司企業(yè)等盈利性機構(gòu)而言，企業(yè)的機密信息等同于企業(yè)的生命。4) 通過防火墻限制財務(wù)網(wǎng)用戶向外的訪問 通常大多數(shù)用戶認為從財務(wù)網(wǎng)絡(luò)向外部的訪問不會造成風(fēng)險和威脅，這種想法是錯誤的，例如反彈型木馬就是借助這種麻痹大意的想法進行侵入的。可防止攻擊者通過外部網(wǎng)對重要服務(wù)器的源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務(wù)攻擊等多種攻擊。通過防火墻的阻斷功能，使得內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)各個區(qū)域不受到惡意的攻擊，攻擊者無法通過防火墻進行掃描、攻擊等非法動作。2) 通過防火墻保護財務(wù)服務(wù)器通過在防火墻上設(shè)置詳細的訪問控制規(guī)則，各個區(qū)域，各個IP節(jié)點間的通信，必須要符合防火墻的訪問控制規(guī)則，例如當(dāng)工作主機向服務(wù)器請求訪問時，也只能訪問服務(wù)器的相應(yīng)服務(wù)端口，在保護了服務(wù)器的同時，也清除了網(wǎng)絡(luò)中傳輸?shù)牟槐匾臄?shù)據(jù)。4 防火墻的配置和功能1) 通過防火墻隔離財務(wù)網(wǎng)絡(luò)的各個區(qū)域通過防火墻的連接，原本屬于一個網(wǎng)絡(luò)（XX單位辦公網(wǎng)絡(luò)）的節(jié)點，被劃分為不同的網(wǎng)絡(luò)區(qū)域（財務(wù)處辦公區(qū)域、財務(wù)處服務(wù)器區(qū)域、辦公區(qū)域、互聯(lián)網(wǎng)區(qū)域等），通過對訪問請求的審核，我們隔離不同網(wǎng)絡(luò)區(qū)域間的網(wǎng)絡(luò)連接，可以達到保護脆弱的服務(wù)、控制對財務(wù)服務(wù)器的訪問、記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。l 連接方式：將百兆天融信防火墻的接口1連接財務(wù)網(wǎng)絡(luò)區(qū)域交換機，接口2連接XX單位辦公網(wǎng)絡(luò)，接口3連接財務(wù)網(wǎng)絡(luò)服務(wù)器區(qū)域交換機，千兆天融信防火墻接口1連接XX單位辦公網(wǎng)絡(luò)，接口2連接互聯(lián)網(wǎng)區(qū)域，這樣我們使用防火墻實現(xiàn)了各個安全區(qū)域的隔離作用。XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口處。防火墻實際意義上也是一個隔離器，即能防外，又能防止內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中未經(jīng)授權(quán)主機對服務(wù)器區(qū)域的訪問。因為所有進出網(wǎng)絡(luò)的通信流都通過防火墻，使防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務(wù)。防火墻集成所有安全軟件（如口令、加密、認證、審計等），比分散管理更經(jīng)濟。設(shè)置防火墻可提高網(wǎng)絡(luò)安全性，降低受攻擊的風(fēng)險。通過使用防火墻過濾不安全的通信，提高網(wǎng)絡(luò)安全和減少主機的風(fēng)險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。采用千兆天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在互聯(lián)網(wǎng)與XX單位辦公網(wǎng)接入處用于互聯(lián)網(wǎng)與XX單位辦公網(wǎng)的安全防護，百兆天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在財務(wù)網(wǎng)絡(luò)與XX單位辦公網(wǎng)絡(luò)的邊界處，用于隔離財務(wù)網(wǎng)絡(luò)中的工作主機和內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中的服務(wù)器，通過天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)，保護服務(wù)器不受外來攻擊。5) 病毒的風(fēng)險 病毒的危險是現(xiàn)在網(wǎng)絡(luò)最需要解決的問題，目前的病毒傳播途徑多樣化，傳播方式智能化，決定了使用單一的防病毒軟件是無法完全解決病毒問題的，在網(wǎng)絡(luò)的邊界處，部署網(wǎng)關(guān)防護設(shè)備，可以有效地抑制病毒的傳播，尤其是當(dāng)出現(xiàn)大規(guī)模爆發(fā)的蠕蟲病毒的時候，網(wǎng)關(guān)防護設(shè)備可以有效地把蠕蟲病毒抑制在小范圍之內(nèi)，而不至于繼續(xù)擴散。同時當(dāng)財務(wù)處網(wǎng)絡(luò)中的主機因蠕蟲原因大量向外發(fā)送數(shù)據(jù)包，沒有相應(yīng)安全防護設(shè)備，將造成包括辦公網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的癱瘓。4) 來自財務(wù)網(wǎng)絡(luò)內(nèi)部的非授權(quán)訪問對于財務(wù)處網(wǎng)絡(luò)向外部網(wǎng)絡(luò)的訪問沒有任何的限制，也是不可取的，針對不同用戶的不同訪問需求，應(yīng)給于不同的訪問權(quán)限。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進行攻擊，使得服務(wù)器超負荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓在Internet上爆發(fā)網(wǎng)絡(luò)蠕蟲病毒的時候，如果內(nèi)網(wǎng)的邊界處沒有訪問控制設(shè)備對蠕蟲病毒在第一時間進行隔離，那么蠕蟲的攻擊將會對網(wǎng)絡(luò)造成致命的影響。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進行攻擊。4 XX單位財務(wù)系統(tǒng)可能存在的風(fēng)險和問題1) 來自財務(wù)網(wǎng)絡(luò)外部的風(fēng)險雖然財務(wù)網(wǎng)絡(luò)依托于XX單位的辦公網(wǎng)絡(luò)，但是財務(wù)網(wǎng)絡(luò)畢竟是獨立的網(wǎng)絡(luò)個體，如果沒有邊界防護將是危險的。u 缺乏審計跟蹤。u 缺乏角色分離。如：Y2K兼容，特洛伊木馬，審核配置，補丁和修正程序；u 脆弱的帳號設(shè)置。從應(yīng)用系統(tǒng)的角度，占據(jù)本網(wǎng)絡(luò)整個信息平臺的就是數(shù)據(jù)庫，如果在數(shù)據(jù)庫上不能保證安全，整個本網(wǎng)絡(luò)的信息中心基本上就是空設(shè)防地帶，數(shù)據(jù)庫管理系統(tǒng)面臨的安全風(fēng)險有：u 系統(tǒng)認證口令強度不夠，過期賬號，登錄攻擊的風(fēng)險；u 系統(tǒng)授權(quán)。（4） 應(yīng)用層安全數(shù)據(jù)庫安全也是整個財務(wù)處網(wǎng)絡(luò)最為重要的應(yīng)用，同時也是需要重點考慮的問題之一。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。侵襲者一旦掌握了某一用戶口令字，就有可能得到管理員的權(quán)限并可造成不可估量的損失。在使用防火墻之前，服務(wù)器通過簡單靜態(tài)的口令字進行身份鑒別（如使用服務(wù)器或數(shù)據(jù)庫的認證機制），一旦身份鑒別通過，用戶即可訪問服務(wù)器。比如,由于服務(wù)器需要進行日常的維護與管理及內(nèi)容更新，這就要求系統(tǒng)管理員或服務(wù)提供者能登錄到服務(wù)器上。l 系統(tǒng)配置：系統(tǒng)的安全程度與系統(tǒng)的應(yīng)用面及嚴(yán)格管理有很大關(guān)系，一個工作組的打印服務(wù)器和一個機要部門的數(shù)據(jù)庫服務(wù)器的選擇標(biāo)準(zhǔn)顯而易見是不可同日而與的，因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小作出相應(yīng)的安全解決方案。操作系統(tǒng)面臨的安全風(fēng)險主要來自兩個方