【正文】 統(tǒng)的傳播擴散。病毒過濾網(wǎng)關(guān)實時檢查進入內(nèi)部網(wǎng)絡的數(shù)據(jù)流，當網(wǎng)關(guān)檢測到病毒時，它會自動根據(jù)相應的策略來處理病毒和染毒文件，保護內(nèi)部的服務器和工作站設備，同時對用戶是完全透明的。l 彌補網(wǎng)絡版防病毒產(chǎn)品的不足網(wǎng)絡版防毒軟件無法攔截攻擊操作系統(tǒng)和應用軟件安全漏洞的新型蠕蟲（如SQLSlammer），而且需要投入較多的管理精力，往往會因為用戶防病毒意識薄弱或?qū)Ψ蓝井a(chǎn)品配置不當而極大地影響防病毒能力。病毒過濾網(wǎng)關(guān)作為一個專門的硬件防病毒設備，安裝在因特網(wǎng)網(wǎng)關(guān)處，實時檢查進入網(wǎng)絡的數(shù)據(jù)流，保護網(wǎng)絡內(nèi)部的服務器和工作站設備免受各類病毒，蠕蟲，木馬和垃圾郵件的干擾。網(wǎng)關(guān)防毒系統(tǒng)所達到的效果：l 阻止99％以上的病毒傳播據(jù)ICSA病毒流行性調(diào)查結(jié)果，電子郵件和Internet互聯(lián)網(wǎng)已成為病毒傳播的絕對主要途徑。因為是人在接收電子郵件，所以特洛伊木馬的吸引力有時無法拒絕。阻斷這一循環(huán)并預防其傳播的最現(xiàn)實解決方法是大家經(jīng)常聽到的“不要打開來自不明地址的郵件附件”。一旦蠕蟲病毒進入系統(tǒng)，蠕蟲病毒的應用程序接口（API）即與微軟Outlook接口（MAPI）互動，以打開地址簿并將自己發(fā)送給其中的所有地址，循環(huán)再次開始。打開這一內(nèi)容是釋放蠕蟲病毒的第一步。在當今環(huán)境中，更實際的定義應該是：特洛伊木馬是一種有吸引力的內(nèi)容，可吸引人將它打開。郵件作為信息傳播工具是平等的，它們使用同樣的協(xié)議，而不論來自于最卑微的企業(yè)還是世界上最大的公司。蠕蟲病毒通常以郵件附件的方式進行傳播。蠕蟲病毒是一種獨立程序，可將自己進行復制到其它系統(tǒng)中。對幾乎每個企業(yè)來說，電子郵件均是企業(yè)溝通的重要工具，電子郵件病毒也已變成企業(yè)宕機的最大原因之一。隨著業(yè)務應用和數(shù)據(jù)交換越來越依賴于網(wǎng)絡，病毒的危害也越來越普遍。 病毒過濾網(wǎng)關(guān)系統(tǒng)設計病毒過濾網(wǎng)關(guān)系統(tǒng)部署意義計算機病毒(Computer Virus)在 《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。 完善的日志功能，分類記錄了訪問入侵防御系統(tǒng)的所有操作以及與其相關(guān)的一切安全活動，方便用戶及時通過分析日志記錄的資料來預防入侵和追蹤非法行為；252。l 高可用性252。 豐富的響應方式，實現(xiàn)主動防御和安全預警，包括：n 允許異常流量閥值范圍內(nèi)的數(shù)據(jù)通過n 阻斷異常流量閥值范圍外的數(shù)據(jù)通過n 檢測到策略中設置的數(shù)據(jù)后，進行報警n 限制超出規(guī)則設定范圍的數(shù)據(jù)n 記錄被檢測到攻擊的相關(guān)數(shù)據(jù)n 記錄系統(tǒng)中相關(guān)的操作（登錄、修改等）l VIDP實現(xiàn)精細化防御252。當設定的時間段內(nèi)通過系統(tǒng)的整體流量超過閥值時進行限流或阻斷。 網(wǎng)絡入侵防御系統(tǒng)可以根據(jù)管理員預先制定的安全策略對流經(jīng)系統(tǒng)的數(shù)據(jù)包進行檢測及阻斷，包括：n 根據(jù)檢測和阻斷策略對于滿足條件的數(shù)據(jù)報文對包頭和負載內(nèi)容進行過濾，檢測和阻斷網(wǎng)絡攻擊和惡意代碼。 原始包分析功能，對原始包文進行捕獲、分析、存儲252。 強大的蠕蟲、木馬、后門、間諜軟件、 Web攻擊、拒絕服務、廣告軟件防御能力，根據(jù)用戶需求自行設置攻擊規(guī)則，對其他有害攻擊行為做檢測和阻斷252。 此外，為了避免因入侵防御設備的單點故障導致內(nèi)外網(wǎng)絡通訊中斷，可啟用入侵防御接口的失效開放機制，當出現(xiàn)軟硬件故障和電源故障時，系統(tǒng)能夠自動切換到旁路模式以保障網(wǎng)絡的暢通。 在部署入侵防御系統(tǒng)IPS時，建議先啟用所有過濾策略，動作設置為記錄日志，運行一個星期左右時間，由設備廠家技術(shù)人員對一周時間的日志進行審計，檢查是否存在誤報或錯報問題，對誤報和錯報日志進行仔細測試，如該應用為正常應用，應關(guān)閉該過濾策略，避免影響正常應用的使用，對惡意流量設置阻斷、帶寬限制、記錄等動作。網(wǎng)絡入侵防御系統(tǒng)作為一個網(wǎng)關(guān)設備，可透明嵌入到網(wǎng)絡出口，即使用兩個網(wǎng)絡端口，串接在互聯(lián)網(wǎng)邊界與本地局域網(wǎng)交換機之間，通過一個外部網(wǎng)絡端口接收來自外部網(wǎng)絡的數(shù)據(jù)包，進行實時檢測和過濾，再通過另外一個內(nèi)部網(wǎng)絡端口將它傳送到內(nèi)部系統(tǒng)中；只要發(fā)現(xiàn)了有害流量，網(wǎng)絡入侵防御系統(tǒng)都能立即將其清除，而不會任其進入內(nèi)部網(wǎng)絡造成侵害。網(wǎng)絡入侵防御系統(tǒng)部署方式建議在市區(qū)廠區(qū)互聯(lián)網(wǎng)出口處部署一套網(wǎng)絡入侵防御系統(tǒng)，通過設置檢測與阻斷策略對流經(jīng)入侵防御系統(tǒng)的網(wǎng)絡流量進行分析過濾，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡系統(tǒng)內(nèi)部IT資源的安全保護。入侵防御系統(tǒng)能夠完全阻斷各種非法攻擊行為，比如利用薄弱點進行的直接攻擊和增加網(wǎng)絡流量負荷造成網(wǎng)絡環(huán)境惡化的DoS攻擊等，安全地保護內(nèi)部IT資源。而入侵防御系統(tǒng)是在線部署在網(wǎng)絡中，提供主動的、實時的防護，具備對2到7層網(wǎng)絡的線速、深度檢測能力，同時配合以精心研究、及時更新的攻擊特征庫，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡中的惡意代碼、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡架構(gòu)防護、網(wǎng)絡性能保護和核心應用防護。傳統(tǒng)防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼；無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡中的攻擊行為。能否及時發(fā)現(xiàn)并成功阻止網(wǎng)絡黑客的入侵、保證計算機和網(wǎng)絡系統(tǒng)的安全和正常運行已經(jīng)成為各個企業(yè)所面臨的問題。同時，產(chǎn)生的日志能夠以多種方式導出，可通過第三方日志管理軟件進行統(tǒng)一的管理。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡使用情況做出統(tǒng)計。防火墻系統(tǒng)提供了強大的日志功能，可對重要關(guān)鍵資源的使用情況進行有效的監(jiān)控，實現(xiàn)日志的分級管理、自動報表、自動報警功能，用戶可以根據(jù)需要對不同的通訊內(nèi)容記錄不同的日志，包括會話日志（主要描述通訊的時間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令，執(zhí)行了那些操作）。進行信息審計的前提是必須有足夠的多的日志信息。負載均衡方式包括輪詢（順序選擇地址）、根據(jù)權(quán)重輪詢、最少連接（將連接分配到當前連接最少的服務器）、加權(quán)最少連接（最少連接和權(quán)重相結(jié)合）。這不但提高了安全性，而且保證了高性能。從而形成了立體的、全面的訪問控制機制，實現(xiàn)了全方位的安全控制。反向目的地址轉(zhuǎn)換可使對外提供信息發(fā)布服務的WEB服務器等采用私有IP 地址作為真實地址，外界用戶所訪問到的是被防火墻轉(zhuǎn)換過的目的地址，這樣也能夠有效的隱藏內(nèi)部服務器信息，對服務器進行保護。l 地址轉(zhuǎn)換，對外隱藏內(nèi)部網(wǎng)絡信息正向源地址轉(zhuǎn)換使內(nèi)部網(wǎng)用戶可使用私有IP 地址通過防火墻訪問外部網(wǎng)絡。每個區(qū)域的安全策略只對該區(qū)域有效。防火墻還具有實施監(jiān)控、身份驗證、高可用性、線路備份、深度過濾等眾多功能。6．加強對各種訪問的審計工作，詳細記錄對網(wǎng)絡與主機的訪問行為，形成完整的系統(tǒng)日志，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。5．全面監(jiān)視網(wǎng)絡的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為，并可以和IDS 實現(xiàn)聯(lián)動。3．加強合法用戶的訪問認證，同時將用戶的訪問權(quán)限控制在最低限度。反向目的地址轉(zhuǎn)換可使對外提供信息發(fā)布服務的WEB服務器、FTP服務器、Mail服務器起等系統(tǒng)采用私有IP 地址作為真實地址，外界用戶所訪問到的是被防火墻轉(zhuǎn)換過的目的地址，這樣也能夠有效的隱藏內(nèi)部服務器信息，對服務器進行保護。： 具體防火墻部署建議如下：1．正向源地址轉(zhuǎn)換使內(nèi)部網(wǎng)用戶可使用私有IP 地址通過防火墻訪問外部網(wǎng)絡。防火墻采用將內(nèi)部區(qū)域、互聯(lián)網(wǎng)區(qū)域、DMZ區(qū)域分開的方法，在開發(fā)區(qū)廠區(qū)把一卡通服務器部署到DMZ區(qū)域，在市區(qū)廠區(qū)把財務服務器、ERP系統(tǒng)服務器、文件服務器、FTP服務器等部署到DMZ區(qū)域，防火墻可以作為不同網(wǎng)絡或網(wǎng)絡安全域之間信息的出入口，根據(jù)安全策略控制出入網(wǎng)絡的信息流。故建議在互聯(lián)網(wǎng)出口重新部署一臺防火墻，避免出現(xiàn)網(wǎng)絡瓶頸提高網(wǎng)絡的處理性能，使應用快速穩(wěn)定的運行。防火墻系統(tǒng)部署方式在互聯(lián)網(wǎng)邊界設置防火墻系統(tǒng)，負責審核進出網(wǎng)絡的訪問請求，確保只有合法的訪問才能通過，從而為服務器系統(tǒng)建立安全的防御屏障，防范互聯(lián)網(wǎng)黑客攻擊和非法用戶的訪問。（4）防火墻能阻止內(nèi)部信息泄漏。（3）防火墻強化安全認證和監(jiān)控審計。（2）防火墻體現(xiàn)網(wǎng)絡安全策略的具體實施。 設立防火墻的目的就是保護一個網(wǎng)絡不受來自另一個網(wǎng)絡的攻擊，防火墻的主要功能包括以下幾個方面：（1）防火墻提供安全邊界控制的基本屏障。通過使用Firewall過濾不安全的服務器，提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。二期在市區(qū)廠區(qū)部署入侵防御系統(tǒng)，對現(xiàn)有網(wǎng)絡中的接入層交換機進行改造，并建立信息安全管理平臺?？紤]到系統(tǒng)建設的工作量、技術(shù)復雜程度和投資成本，在時間許可和考慮各功能要求輕重緩急的前提下，我們建議項目分兩期完成。 信息安全管理平臺建設以下是對各個部分的詳細設計。 ERP系統(tǒng)、財務系統(tǒng)等重要數(shù)據(jù)備份系統(tǒng)252。 安全審計系統(tǒng)（提供集中的安全日志審計）252。 IPSEC+SSL VPN（駐外辦事處和移動用戶與市區(qū)互聯(lián)網(wǎng)邊界之間通信認證和加密）252。 病毒過濾網(wǎng)關(guān)（市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)互聯(lián)網(wǎng)邊界）252。 入侵防御系統(tǒng)（市區(qū)互聯(lián)網(wǎng)邊界）252。具體包括：252。第5章 安全解決方案詳細設計前面我們從不同層面分別闡述了在XXXX信息系統(tǒng)中需要采用的各種安全技術(shù)措施，其中部分措施可以通過在現(xiàn)有網(wǎng)絡設備、主機系統(tǒng)中進行適當?shù)陌踩O置、安全加固來實現(xiàn)，而有一些措施則需要通過采購一定的專業(yè)安全產(chǎn)品來實現(xiàn)。 數(shù)據(jù)安全252。 應用安全252。252。 信息安全管理平臺部署信息安全管理平臺，通過信息安全管理平臺實時查看重要設備，網(wǎng)絡設備、主機，服務器的運行情況和系統(tǒng)資源情況。審計記錄數(shù)據(jù)將采用可靠的方式進行存儲，保證其可用性、完整性。252。 系統(tǒng)安全252。 數(shù)據(jù)通訊過程中的對等實體認證、數(shù)據(jù)傳輸加密和完整性保護由于移動用戶和駐外辦事處與服務器之間的數(shù)據(jù)通訊都是通過公網(wǎng)進行的，因此數(shù)據(jù)通訊安全需求尤為重要。 網(wǎng)絡通信流量監(jiān)控和異常流量檢測網(wǎng)絡資源濫用、拒絕服務攻擊、病毒和蠕蟲的爆發(fā)等，都會造成網(wǎng)絡通信流量的異常，因此我們將在互聯(lián)網(wǎng)邊界采用有效的通信流量檢測機制，以便能夠預先發(fā)現(xiàn)進出的流量異常情況并進行分析，及時制止安全事故的發(fā)生，或在局部安全事故發(fā)生后防止其進一步的擴散。 網(wǎng)絡邊界病毒防護為了保護信息系統(tǒng)免受來自公網(wǎng)上的病毒、蠕蟲、木馬及其他惡意代碼的侵害，我們在互聯(lián)網(wǎng)出口邊界位置不屬實時在線的病毒檢測和過濾機制，對進出的各種可能攜帶病毒和惡意代碼的網(wǎng)絡數(shù)據(jù)流進行實時檢測，確保只有干凈的數(shù)據(jù)才能進入，同時也防止互聯(lián)網(wǎng)病毒向各遠程業(yè)務終端系統(tǒng)的傳播擴散。 網(wǎng)絡邊界入侵防御針對來自公網(wǎng)上的各種復雜的安全威脅，如非法入侵、DoS/DDoS攻擊、蠕蟲、惡意代碼等，我們將采用專門的安全機制來對其進行有效的檢測和防御，避免服務器因遭受外界網(wǎng)絡的惡意攻擊而導致正常的網(wǎng)絡通訊和業(yè)務服務中斷、計算機系統(tǒng)崩潰、數(shù)據(jù)泄密或丟失等等，影響業(yè)務服務和信息交互的正常進行。 邊界隔離和訪問控制在互聯(lián)網(wǎng)邊界采取有效的安全隔離和訪問控制手段，確保進出的信息和數(shù)據(jù)都能得到嚴格的控制和檢測，既要阻止來自公網(wǎng)上外部非法用戶的訪問，也要防止合法用戶的越權(quán)訪問。對于XXXX信息系統(tǒng)，主要的安全威脅來自互聯(lián)網(wǎng)，包括非法訪問、黑客攻擊、網(wǎng)絡竊聽和病毒入侵等，根據(jù)信息系統(tǒng)的總體安全目標，我們將有針對性地采用適當?shù)陌踩Ｕ蠙C制來確保信息資產(chǎn)的價值不受侵犯，保證信息資產(chǎn)擁有者面臨最小的安全風險和獲取最大的安全利益，提高整體網(wǎng)絡信息系統(tǒng)抵御各種安全威脅的能力。技術(shù)保障體系注重信息系統(tǒng)執(zhí)行的安全控制?？蓪彶樾阅繕四苡涗浵到y(tǒng)中發(fā)生的全部訪問行為，為出現(xiàn)的安全問題進行及時的告警響應并為調(diào)查取證提供依據(jù)和手段。真實性目標應能對通信中的對等實體所宣稱的身份的真實性進行鑒別?？捎眯阅繕舜_保網(wǎng)絡和信息系統(tǒng)連續(xù)有效地運轉(zhuǎn)，保證合法用戶對系統(tǒng)資源和信息數(shù)據(jù)的使用不會被不正當?shù)鼐芙^。第3章 總體安全目標為了防止互聯(lián)網(wǎng)上的非法訪問、惡意攻擊和病毒傳播等各種安全威脅對XXXX信息系統(tǒng)造成影響，我們將采用一系列安全措施來對XXXX信息系統(tǒng)提供必要的安全保護，使包含網(wǎng)絡通訊、操作系統(tǒng)、應用平臺和信息數(shù)據(jù)等各個層面在內(nèi)的整體網(wǎng)絡信息系統(tǒng)具有抵御各種安全威脅的能力。 數(shù)據(jù)安全1ERP系統(tǒng)作為XXXX進銷存應用系統(tǒng)，其數(shù)據(jù)關(guān)系到整個XXXX業(yè)務的運行，其重要性不言而喻，目前ERP系統(tǒng)數(shù)據(jù)通過網(wǎng)絡備份到另一臺服務器上，使用硬盤作為數(shù)據(jù)備份存儲介質(zhì)故障率很高，存在很大的數(shù)據(jù)安全風險。應用安全 1目前XXXX文件服務器采用網(wǎng)上鄰居共享訪問的方式，文件服務器共享的資源可以被公司所有用戶進行查看、下載、編輯、刪除等動作，文件服務器缺乏用戶認證機制，文件服務器數(shù)據(jù)缺乏安全性、私密性。網(wǎng)絡中的各產(chǎn)品之間沒有聯(lián)系，給管理工作帶來了一定的難度，難以發(fā)揮應有的整體效果。4在內(nèi)網(wǎng)系統(tǒng)中，還沒有配置一套整體的防病毒體系，對于現(xiàn)的網(wǎng)絡環(huán)境來說無疑是給病毒的入侵埋下了極大的隱患。但是，由于各網(wǎng)絡安全產(chǎn)品一般獨立工作、各自為戰(zhàn)，產(chǎn)生的安全事件信息也是格式不一，內(nèi)容不同，且數(shù)量巨大，導致安全管理員難于對這些信息進行綜合分析，對網(wǎng)絡中各種安全事件也就無法準確識別、及時響應，以致直接影響整個安全防御體系效能的有效發(fā)揮。一方面，個人電腦、服務器和移動設備的數(shù)量正在隨著XXXX網(wǎng)絡應用規(guī)模的不斷擴大而快速增加；另一方面，各種應用軟件和補丁更新?lián)Q代速度加快，來自企業(yè)內(nèi)、外部的網(wǎng)絡攻擊也日益猖獗；終端用戶擅裝非法軟件、擅自更改IP地址、擅自變更硬件配置、非法訪問互聯(lián)網(wǎng)、非法內(nèi)聯(lián)等問題的存在，卻沒有一套有效的輔助性管理工具，依然沿用傳統(tǒng)的手工作業(yè)模式，缺乏采用統(tǒng)一策略下發(fā)并強制策略執(zhí)行的機制，進行桌面安全監(jiān)管、行為監(jiān)管、系統(tǒng)監(jiān)管和安全狀態(tài)檢測，實現(xiàn)對局域網(wǎng)內(nèi)部桌面系統(tǒng)的管理和維護，能有效保護用戶系統(tǒng)安全和機密數(shù)據(jù)安全。4XXXX駐外辦事處、出差等移動用戶