【正文】 主要包括Web訪問和基于Internet的一些應用程序的使用。對于互聯(lián)網(wǎng)內(nèi)容的管理和控制，歸根到底是對訪問者的管理和控制。. 網(wǎng)絡(luò)信息安全審計系統(tǒng)設(shè)計來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進行的，這些威脅事件多數(shù)是來自于內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些網(wǎng)絡(luò)信息安全事件的審計要求，網(wǎng)絡(luò)信息安全審計系統(tǒng)正是在這樣的安全審計需求下產(chǎn)生的。n 漏洞掃描系統(tǒng)對網(wǎng)絡(luò)及各種系統(tǒng)進行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報告，使管理員能夠隨時了解網(wǎng)絡(luò)系統(tǒng)當前存在的漏洞并及時采取相應的措施進行修補。 系統(tǒng)作用通過在**集團網(wǎng)絡(luò)系統(tǒng)進行安全漏洞檢測和分析，我們可以做到：n 對**集團網(wǎng)絡(luò)重要服務器和PC機進行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當、疏忽或操作系統(tǒng)本身存在的漏洞(這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚著造成系統(tǒng)本身的崩潰)，生成詳細的可視化報告，同時向管理人員給出相應的解決辦法及安全建議。 n 多種形式、人性化的掃描報表可根據(jù)用戶的不同需求提供不同層次的報告，并提供安全補丁供應商的熱連接，快速及時的修補漏洞。 系統(tǒng)功能n 可以動態(tài)地分析目標系統(tǒng)的安全脆弱性根據(jù)不同的對象類型，自動尋找匹配的掃描策略進行下一步的分析掃描。 部署方案對于網(wǎng)絡(luò)信息安全來說，安全性取決于所有安全措施中最薄弱的環(huán)節(jié)，而上面我們所討論的問題，就是網(wǎng)絡(luò)的薄弱之處，也是最容易被黑客利用來侵入系統(tǒng)，給我們造成損失的環(huán)節(jié)。漏洞掃描系統(tǒng)包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安全性。. 脆弱性掃描系統(tǒng)設(shè)計（漏洞掃描）網(wǎng)絡(luò)的應用越來越廣泛，而網(wǎng)絡(luò)不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴重。包括基于百兆網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)引擎、基于千兆網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)引擎、基于Windows平臺的主機入侵檢測系統(tǒng)引擎、基于AIX、Solaris平臺的主機入侵檢測系統(tǒng)引擎等。同時，入侵檢測系統(tǒng)應允許有經(jīng)驗的用戶根據(jù)網(wǎng)絡(luò)中數(shù)據(jù)流的特點，提供靈活的安全策略管理機制，利用系統(tǒng)中的事件定義模板，定制網(wǎng)絡(luò)中可疑行為和監(jiān)控對象，定制相應的檢測策略，并對這些行為進行響應，做到重點監(jiān)測、量體裁衣，報告用戶最為關(guān)注的事件，充分提高入侵檢測系統(tǒng)的檢測效率，降低誤報率。 用戶可以定義與指定的人、郵件、IP地址等有關(guān)的行為，實現(xiàn)對重點目標的保護和對重點懷疑對象異常行為的有效監(jiān)控。 用戶可以自定義所關(guān)注的敏感信息，加強內(nèi)外部信息的審查，如商業(yè)機密，反動、黃色、暴力等信息。 用戶可以方便地修改協(xié)議端口默認值，滿足用戶保護特殊網(wǎng)絡(luò)應用的需要，同時有效防止黑客以變形木馬等方式躲避入侵檢測系統(tǒng)監(jiān)控的攻擊。 對攻擊特征進行多樣化、靈活定義，可以使我公司保證對最新攻擊方法的迅速反應和升級，同時可以協(xié)助用戶直接定義針對其特殊應用的攻擊和威脅?？筛鶕?jù)需要設(shè)置條件，實時顯示TOP10事件，包括攻擊源、目標的MAC地址、IP地址，流量信息；對各種協(xié)議相關(guān)事件如Telnet、SMTP，按需要進行回放。l 與網(wǎng)管系統(tǒng)結(jié)合安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺將預警事件分級、分類、自動上報給網(wǎng)管系統(tǒng)，供網(wǎng)絡(luò)管理員做全局安全事件分析。具有良好可視化、可控性、可管理性的新一代入侵檢測系統(tǒng)可稱為入侵管理系統(tǒng)。隨著入侵檢測技術(shù)的發(fā)展，入侵檢測系統(tǒng)還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。入侵檢測系統(tǒng)不僅能抓取網(wǎng)絡(luò)中的數(shù)據(jù)流并進行分析，與事件庫中的入侵行為進行模式匹配，從而對入侵行為進行報警，而且能夠進行完備的協(xié)議分析，保證對數(shù)據(jù)流的分析是比較完整的。入侵檢測系統(tǒng)與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等安全產(chǎn)品均可實現(xiàn)聯(lián)動，這些聯(lián)動本身就是應急響應的一個組成部分，使得以前相互獨立、需要在不同的時間段內(nèi)完成的入侵檢測和應急響應兩個階段有機地融為一體。l 網(wǎng)絡(luò)病毒分析針對當前流行的網(wǎng)絡(luò)蠕蟲和病毒進行預警，包括Nimda蠕蟲、Sql slammer蠕蟲等。同時，采用“多目標跟蹤鎖定”功能，對用戶所設(shè)定的異常報警內(nèi)容進行多方位的定點跟蹤和顯示，“凸出”用戶所關(guān)心的信息。l 異常流量分析實時監(jiān)控網(wǎng)絡(luò)流量，進行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計；產(chǎn)生例如提供點對點數(shù)據(jù)流量及流量排名的詳細圖表；定義流量異常的閥值，對異常流量進行實時報警。具有這幾項技術(shù)的支撐是具有龐大的知識庫，能夠進行入侵管理。入侵檢測系統(tǒng)的應急響應體系的架構(gòu)如下圖示。同時，通過獲得漏洞掃描系統(tǒng)的掃描結(jié)果，可動態(tài)修改入侵檢測系統(tǒng)的檢測策略，使入侵檢測系統(tǒng)的事件報警更加準確，提高入侵檢測系統(tǒng)的運行效率。當入侵檢測檢測到此攻擊事件時，會實時的傳送一個防護策略給防火墻，由防火墻來執(zhí)行此策略，實現(xiàn)入侵阻斷。防火墻作為網(wǎng)絡(luò)系統(tǒng)的專用的安全防護工具，其防護能力與入侵檢測產(chǎn)品的響應能力可以相互補充。入侵檢測和防火墻、入侵檢測和漏洞掃描聯(lián)動體系示意圖如下：入侵檢測系統(tǒng)與防火墻的聯(lián)動l 入侵檢測系統(tǒng)可以進行針對TCP連接的阻斷。同時由于單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補，可以提高系統(tǒng)對安全事件響應的準確性和全面性，使防護體系由靜態(tài)到動態(tài)，由平面到立體，不僅增強了入侵檢測系統(tǒng)的響應能力，降低了入侵檢測的誤報率，充分發(fā)揮了入侵檢測的作用，同時提升了防火墻的機動性和實時反應能力。對**集團網(wǎng)網(wǎng)絡(luò)系統(tǒng)各級網(wǎng)絡(luò)邊界點的數(shù)據(jù)進行監(jiān)測，防止黑客的入侵。 系統(tǒng)功能通過使用網(wǎng)絡(luò)入侵檢測系統(tǒng)，我們可以做到：l 全面的入侵檢測入侵檢測能力取決于兩個方面的技術(shù)：攻擊特征分析技術(shù)和入侵檢測支撐技術(shù)。5. 實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻聯(lián)動。3. 監(jiān)視**集團網(wǎng)絡(luò)內(nèi)部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作。 部署方案根據(jù)**集團網(wǎng)絡(luò)的現(xiàn)狀和日后的發(fā)展需要，通過部署我公司的天闐入侵檢測與管理系統(tǒng)1. 實時分析進出網(wǎng)絡(luò)的數(shù)據(jù)和訪問連接，及時檢測出混雜在正常數(shù)據(jù)流中的惡意入侵和攻擊，保護各級網(wǎng)絡(luò)的安全。入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別攻擊行為、對異常行為進行統(tǒng)計，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。入侵檢測系統(tǒng)是一種動態(tài)網(wǎng)絡(luò)信息安全技術(shù)，它能夠發(fā)現(xiàn)入侵者實時攻擊行為，并對其進行響應。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，入侵檢測在此處將承擔實時監(jiān)測大量出入整個網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。在被保護的局域網(wǎng)中，入侵檢測設(shè)備應安裝在主交換機上,這些保護措施主要是為了監(jiān)控經(jīng)過網(wǎng)絡(luò)出入口及對重點服務器進行訪問的數(shù)據(jù)流。當發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應。入侵檢測系統(tǒng)是實時的網(wǎng)絡(luò)違規(guī)自動識別和響應系統(tǒng)。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡(luò)；另外，據(jù)統(tǒng)計有70％以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。 通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設(shè)備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓撲顯示，能夠?qū)Χ嗯_設(shè)備的日志和流量信息進行記錄。 報表貼近需求：根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè)LOGO，并可形成多種格式的報表文件。 記錄內(nèi)容豐富：可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進行記錄178。 終端安全管理：通過USG向終端下發(fā)安全策略，能夠?qū)尤刖W(wǎng)絡(luò)的所有終端進行進程管理、服務管理、網(wǎng)絡(luò)應用管理和補丁管理。 終端安全部署：內(nèi)置我的天珣內(nèi)網(wǎng)安全服務器，可以為客戶端部署天珣終端安全軟件；178。 網(wǎng)絡(luò)游戲控制：對常見網(wǎng)絡(luò)游戲如魔獸世界、征途、游戲大廳、聯(lián)眾游戲大廳等的阻斷178。 IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如、MSN、雅虎通、Gtalk、Skype178。 采用特征控制和異?？刂葡嘟Y(jié)合的手段，有效保障抗拒絕服務攻擊的準確性和全面性l 完善的上網(wǎng)行為管理178。 IPSec VPN支持DES、3DES、AES12AES19AES25國密SCB2等加密算法，支持MDSHA等認證算法l 精確的抗DoS攻擊能力178。 豐富的手段：支持IPSec VPN、SSL VPN、L2TP和GRE178。 病毒掃描、附件類型和附件大小過濾、關(guān)鍵字過濾等178。 支持黑名單、白名單178。 病毒類型根據(jù)危害程度劃分為：流行庫、高危庫、普通庫l 實用的流量監(jiān)控系統(tǒng)NetFlow178。 文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫總計＞16萬，并提供動態(tài)更新178。 應用還原重組技術(shù)，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫178。 業(yè)界最完善的攻擊特征庫，包括18大類，超過2,000項的入侵攻擊特征，并提供動態(tài)更新178。通過部署天清漢馬USG一體化安全網(wǎng)關(guān)系統(tǒng)，可以實現(xiàn)：l 全面的訪問控制手段178。天清漢馬USG一體化安全網(wǎng)關(guān)采用了一體化的設(shè)計方案，在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實現(xiàn)了接入安全需要考慮的方方面面，采用天清漢馬USG一體化安全網(wǎng)關(guān)，可以從整體上解決了接入安全的問題。 系統(tǒng)功能天清漢馬USG一體化安全網(wǎng)關(guān)采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計，集防火墻、VPN、入侵防御（IPS）、防病毒、外聯(lián)控制、抗拒絕服務攻擊（AntiDoS）、內(nèi)容過濾、反垃圾郵件、NetFlow等多種安全技術(shù)于一身，同時全面支持QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡(luò)邊界提供了全面實時的安全防護。病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。二級機構(gòu)生產(chǎn)域合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業(yè)務需求的主機訪問外部網(wǎng)絡(luò)。上網(wǎng)行為管理：對IM應用進行管理和控制，對P2P/網(wǎng)絡(luò)視頻等行為進行阻斷或者限流，確保帶寬的有效利用。通過控制文件傳輸以及紀錄文件傳輸行為兩種方式進行防泄密保護?？咕芙^服務攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務攻擊并予以阻斷。防入侵：檢測來自外部的入侵行為并予以阻斷?？咕芙^服務攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務攻擊并予以阻斷。防入侵：檢測來自外部的入侵行為并予以阻斷。安全審計：對所有與業(yè)務相關(guān)的通訊進行紀錄，保證可進行事后分析和可追查性檢查。防入侵：檢測來自外部的入侵行為并予以阻斷。防垃圾郵件：防止郵件炸彈攻擊，對垃圾郵件進行過濾，提升工作效率。內(nèi)容過濾：對基于標準協(xié)議的內(nèi)容進行過濾，防止色情、非法信息的下載與傳播。防泄密：監(jiān)控接入域客戶的非業(yè)務流量，特別是進行文件和信息交換的協(xié)議，比如：電子郵件、FTP、WEB訪問等。病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。中心辦公域：合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業(yè)務需求的主機訪問外部網(wǎng)絡(luò)。抗拒絕服務攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務攻擊并予以阻斷。防入侵：檢測來自外部的入侵行為并予以阻斷。6. 二級機構(gòu)生產(chǎn)域：二級機構(gòu)的生產(chǎn)網(wǎng)絡(luò)，每個具體的二級機構(gòu)生產(chǎn)域形成一個獨立子安全域。4. 中心服務域：所有的業(yè)務生產(chǎn)系統(tǒng)的服務器都放置在這個區(qū)域。2. 中心辦公域：總部工作人員辦公用網(wǎng)絡(luò)。這是實現(xiàn)大規(guī)模復雜信息的系統(tǒng)安全等級保護的有效方法。按數(shù)據(jù)分類分區(qū)域分等級保護，就是按數(shù)據(jù)分類進行分級，按數(shù)據(jù)分布進行區(qū)域劃分，根據(jù)區(qū)域中數(shù)據(jù)的分類確定該區(qū)域的安全風險等級。而這些系統(tǒng)的業(yè)務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。同時由于一臺UTM設(shè)備即可實現(xiàn)較為完整的邊界安全解決方案，將大大降低用戶采購成本和維護成本。根據(jù)對市場已有的安全技術(shù)分析，功能全面、維護簡單且性價比較高的UTM類產(chǎn)品是比較好的選擇。. 安全建設(shè)的思路和方法建議首先采用安全域劃分方法將整個信息系統(tǒng)分成多個安全等級不同的相對獨立的子系統(tǒng)，既按照業(yè)務流程的不同層面劃分為不同的安全域針對每個安全域或安全子域來標識其中的關(guān)鍵資產(chǎn)，分析所存在的安全隱患和面臨的安全風險，然后給出相應的保護措施。216。216。216。 216。216。 完整性原則**集團網(wǎng)絡(luò)安全建設(shè)必需保證整個防御體系的完整性。緊密結(jié)合**集團現(xiàn)有網(wǎng)絡(luò)和應用情況，充分保證原有系統(tǒng)和結(jié)構(gòu)的可用性。 信息安全體系建設(shè). 建設(shè)原則在設(shè)計技術(shù)方案時遵從以下原則：216。但隨著終端的邊界化，只有站在網(wǎng)關(guān)的視點來看待終端安全，才能確保內(nèi)網(wǎng)的真正安全。在內(nèi)網(wǎng)邊界動態(tài)變化的過程中，我們必