【正文】 外部專業(yè)的安全咨詢公司進行咨詢，然后結(jié)合企業(yè)的信息安全建設(shè)來制訂。這有助于信息安全政策的改進和完善。 網(wǎng)絡(luò)、系統(tǒng)操作和管理178。 硬件設(shè)備和物理安全178。 商業(yè)軟件的購買和維護178。 開發(fā)維護內(nèi)部軟件178。 安全事件監(jiān)測和響應(yīng)178。v 信息安全策略主要是明確公司內(nèi)部所有用戶、所有應(yīng)用的明確的安全細(xì)則，它是作為公司領(lǐng)導(dǎo)對所有用戶考核的依據(jù)。v 信息安全政策總則主要是確定公司信息安全總體原則，明確今后的安全目標(biāo)，有組織、有計劃的為信息安全建設(shè)給出總體方向，是其它政策和標(biāo)準(zhǔn)的依據(jù)。由于公司的信息系統(tǒng)建設(shè)是分步進行的，網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)以及安全設(shè)備、用戶平臺等具有多樣性，因此對管理平臺或系統(tǒng)的要求也比較高，必須采用專業(yè)的網(wǎng)絡(luò)綜合管理系統(tǒng)，對網(wǎng)絡(luò)中的所有設(shè)備以及系統(tǒng)平臺都能夠統(tǒng)一集中管理，獲取所有設(shè)備的工作狀態(tài)和網(wǎng)絡(luò)負(fù)載狀態(tài)，同時可以看到網(wǎng)絡(luò)活動的日志信息，用它來對網(wǎng)絡(luò)狀態(tài)進行分析，提供更有效的安全策略，同時網(wǎng)管系統(tǒng)能夠監(jiān)測客戶端系統(tǒng)狀態(tài)，能夠接管客戶端系統(tǒng)，當(dāng)網(wǎng)絡(luò)中的么一用戶系統(tǒng)出現(xiàn)問題而自己卻無法診斷，這時可以通過網(wǎng)管系統(tǒng)進行遠(yuǎn)程接管，來協(xié)助用戶解決問題。在技術(shù)方面通過專業(yè)的網(wǎng)絡(luò)綜合管理系統(tǒng)來建立一個基本安全管理中心的技術(shù)平臺。在公司的安全管理解決方案中，我們先從技術(shù)和行政這兩個層面對的安全管理進行一個基本設(shè)計，先建立一個基礎(chǔ)的安全管理平臺，然而我們會進一步如何建立有效的安全管理體系（SOC），實現(xiàn)可管理的安全進行初步的論述。 身份認(rèn)證 安全管理解決方案在第2章的安全管理的風(fēng)險及需求分析中，我們主要從技術(shù)層面和行政層面兩個方面來進行了闡述。 應(yīng)用安全解決方案在第2章里，我們對應(yīng)用安全的風(fēng)險及需求進行了詳細(xì)的分析與定義。v 審計分析提供系統(tǒng)日志、認(rèn)證日志、報警日志等等多種水晶報表格式的統(tǒng)計分析報告，為管理員提供安全分析依據(jù)。167。167。167。167。 非法外聯(lián)控制通過網(wǎng)絡(luò)設(shè)備限制、網(wǎng)絡(luò)程序/連接控制等手段，限制終端非法外聯(lián)，對員工隨意訪問外部網(wǎng)絡(luò)的行為進行管理，同時避免從不安全網(wǎng)絡(luò)引入安全風(fēng)險。v 應(yīng)用監(jiān)管通過多種方式對計算機終端應(yīng)用狀況和用戶行為進行監(jiān)控管理。 167。167。 惡意程序綜合防范采取多種方式綜合防范惡意程序破壞。 終端網(wǎng)絡(luò)訪問控制通過IP地址、IP/TCP/UDP/ICMP/IGMP協(xié)議、服務(wù)端口等控制，防止遭受外來黑客攻擊，并且防止內(nèi)部終端對外（或內(nèi)部網(wǎng)絡(luò)其它終端）發(fā)起攻擊?；A(chǔ)架構(gòu)保護主要包括：終端網(wǎng)絡(luò)訪問控制、惡意程序綜合防范；資產(chǎn)保護主要包括：設(shè)備使用限制、數(shù)據(jù)文件保護。 資產(chǎn)識別對非法終端、設(shè)備資產(chǎn)的真實性識別可通過綁定IP、MAC、用戶的方式實現(xiàn)。提供基于按組織劃分的用戶角色的管理，管理員可在線查詢用戶終端操作系統(tǒng)、進程、設(shè)備情況、性能狀態(tài)等多種信息。167。167。167。KSA部署在需要保護的用戶PC和服務(wù)器上，保護計算機終端安全使用、約束用戶操作行為，系統(tǒng)將各種安全信息和日志傳遞到控制臺供管理員統(tǒng)一分析處理。167。 管理控制臺KSMS管理控制臺實現(xiàn)系統(tǒng)的集中管理控制。支持分布式部署，能夠適用于大規(guī)模網(wǎng)絡(luò)環(huán)境的應(yīng)用。 策略服務(wù)器策略服務(wù)器保存并分發(fā)安全策略。接受保護和管理的終端節(jié)點會產(chǎn)生各種安全審計信息，可集中傳輸并存放到日志審計數(shù)據(jù)庫，管理控制臺可以訪問和管理審計信息并進行統(tǒng)計分析。其中，日志和審計數(shù)據(jù)庫可采用獨立服務(wù)器，也可安裝部署在管理控制臺。KSMS提供靈活的部署能力，具有良好的擴展性。 系統(tǒng)體系和結(jié)構(gòu)由三個部分組成：策略服務(wù)器（KPS）、管理控制臺（KMC）、安全客戶端（KSA）。KSMS面向企業(yè)級用戶，它部署在網(wǎng)絡(luò)中每一臺計算機終端，實現(xiàn)對終端的全面保護，并且強調(diào)對網(wǎng)絡(luò)終端的統(tǒng)一控制管理。提供了對終端生命周期管理（ELM）策略的全面技術(shù)支撐，涵蓋了資產(chǎn)管理、終端保護、應(yīng)用監(jiān)管、審計分析等功能模塊。安全和管理的完善結(jié)合，正是終端管理系統(tǒng)設(shè)計的重要思想。這樣就避免了大量誤報給管理員帶來的工作量。在應(yīng)用程序?qū)用?，?yán)格限定用戶在指定電腦上的合法行為和禁止行為，保證了用戶只能在合法范圍內(nèi)正常使用電腦，避免了用戶對資源的濫用，也避免了由此造成的維護成本升高。終端用戶勿需具備專業(yè)安全知識便可將自己的計算機終端加固到專家級程度，從而將精力關(guān)注于核心業(yè)務(wù)。策略層次如下圖所示：v 多層面、全方位保護系統(tǒng)的保護覆蓋了“系統(tǒng)內(nèi)核 系統(tǒng)設(shè)備 應(yīng)用程序”三個層面，提供了全方位的保護。為了簡化策略的管理，我們將用戶按照角色來管理；對不同的角色實施不同的安全策略。管理員可根據(jù)組織機構(gòu)劃分管理權(quán)限，不同的管理者具有不同的權(quán)限和管轄范圍，支持系統(tǒng)清晰的職權(quán)劃分。安全策略分為用戶策略和全局策略兩類。終端安全是我們整體解決方案里不可或缺的部分，因為終端安全是我們?nèi)粘０踩ぷ魇亲钪匾彩切枰P(guān)注最多的部分。 友好直觀的用戶界面：避免混淆和誤操作。 基于通用標(biāo)準(zhǔn)的技術(shù)：優(yōu)化網(wǎng)絡(luò)內(nèi)的防病毒更新速度。 占用資源最小化：是在低帶寬環(huán)境下保護筆記本電腦的理想方案。 無可比擬的集中式部署：能不受地域限制，對企業(yè)組織中所有的工作站進行客戶端分發(fā)和集中管理。 新一代的防護技術(shù)，能抵御所有類型的互聯(lián)網(wǎng)威脅：包括病毒、木馬、蠕蟲等。 安全政策定義：通過建立安全政策來控制計算機上運行的程序可執(zhí)行的操作，使網(wǎng)管人員能對企業(yè)網(wǎng)絡(luò)內(nèi)所有的計算機進行整體控制管理、定義并干預(yù)正當(dāng)?shù)募氨唤沟牟僮鳌?防護性的阻斷感染：可以在網(wǎng)絡(luò)層防止病毒和蠕蟲在企業(yè)網(wǎng)絡(luò)中傳播。能在第一時間保護系統(tǒng)內(nèi)的緩沖區(qū)溢出漏洞不會被惡意代碼利用作為攻擊的手段，即使還沒有任何針對該漏洞的資料和補丁程序。178。入侵防護企業(yè)版主要特性包括：178。入侵防護采用了新一代的防護技術(shù)，它比傳統(tǒng)的檢測系統(tǒng)更加智能化，能在第一時間發(fā)現(xiàn)新的威脅，并阻斷企圖越過傳統(tǒng)防病毒軟件的未知病毒的攻擊，不管該未知病毒是以下列何種方式傳播：外圍設(shè)備、局域網(wǎng)共享資源、電子郵件Email、互聯(lián)網(wǎng)。 產(chǎn)品選型及功能描述NOD32企業(yè)級防病毒安全套裝是一個高性能和穩(wěn)定的防病毒解決方案，它方便了對網(wǎng)絡(luò)中所有計算機的保護配置和更新，這些計算機包括：工作站，文件服務(wù)器，Exchange和Domino郵件服務(wù)器，SMTP網(wǎng)關(guān)和邊界服務(wù)器。極大地提高了防毒工作的效率。防毒服務(wù)器全面控制防毒代理的運行、升級和刪除等權(quán)限。我們?yōu)楣揪W(wǎng)絡(luò)中提供一個穩(wěn)定高效、技術(shù)一流、方便管理、服務(wù)周全的病毒防護解決方案，滿足網(wǎng)絡(luò)系統(tǒng)對病毒防護系統(tǒng)設(shè)計的業(yè)務(wù)需求，確保網(wǎng)絡(luò)系統(tǒng)能有效抵御各種病毒和惡意程序的攻擊。系統(tǒng)必須明確地規(guī)定保護的級別和所需采取的對策，并制定系統(tǒng)的防病毒策略和部署多層防御戰(zhàn)略，服務(wù)器防病毒、個人桌面計算機防病毒以及所有防病毒產(chǎn)品的統(tǒng)一管理，不要讓網(wǎng)絡(luò)系統(tǒng)中存在“木桶效應(yīng)”。178。部署時考慮到企業(yè)現(xiàn)有的計算環(huán)境及應(yīng)用平臺，是否與需求資源相匹配；178。 功能及易用性：一方面需要對各種病毒進行有效殺、防；另一方面，也要強調(diào)網(wǎng)絡(luò)防毒在實施、操作，維護和管理中的簡潔、方便和高效，最大限度地減輕使用人員和維護人員的工作量；178。 全面性：實施網(wǎng)絡(luò)防毒系統(tǒng)時，應(yīng)當(dāng)對網(wǎng)絡(luò)內(nèi)所有可能作為病毒寄居、傳播及受感染的計算機進行有效防護。目前企業(yè)整體防病毒解決方案均已比較成熟。 企業(yè)防病毒系統(tǒng)目前公司網(wǎng)絡(luò)系統(tǒng)中并沒有一套完整的防病毒策略和技術(shù)方案，工作站安裝的防病毒軟件各種各樣，甚至有些服務(wù)器與工作站沒有安裝防病毒軟件，部分工作上使用的防病毒軟件病毒特征代碼沒有及時更新，沒有對防病毒軟件進行統(tǒng)一的管理。 通過漏洞掃描或風(fēng)險評估工具來發(fā)展漏洞、脆弱性及威脅，并通過補丁分發(fā)系統(tǒng)對漏洞及脆弱性進行及時的矯正及補充；178。在此我們通過以下三種手段來完成基于終端的安全管理：178。而且隨著計算機技術(shù)及應(yīng)用的普及，桌面用戶的行為也越來越超出網(wǎng)管員的管理能力范疇。傳統(tǒng)上，我們通過漏洞掃描發(fā)現(xiàn)系統(tǒng)缺陷；在主機設(shè)備，通過主機加固加強主機防護能力，通過防病毒、反間諜軟件預(yù)防惡意代碼等。例如：在網(wǎng)絡(luò)邊界，通過防火墻對網(wǎng)絡(luò)連接和訪問的合法性進行控制，通過網(wǎng)關(guān)過濾設(shè)備對數(shù)據(jù)流非法內(nèi)容進行控制；在網(wǎng)絡(luò)傳輸上，通過入侵檢測監(jiān)視黑客攻擊和非法網(wǎng)絡(luò)活動等。這樣攻擊者就無法訪問運行IDS安全工作站，也就無法對IDS進行直接攻擊。由此產(chǎn)生的大量日志能夠通過IDS具備的強大的工作區(qū)切換功能進行存儲和轉(zhuǎn)發(fā)，大大提高了網(wǎng)絡(luò)入侵檢測系統(tǒng)本身的抗攻擊能力。比如用戶需要在發(fā)現(xiàn)某種特定類型的攻擊方式的時候啟動一段自己編寫的程序以完成某項功能的時候，就可以利用IDS提供的接口靈活而方便地進行配置完成。通過對安全策略的調(diào)整，用戶能夠很方便地將IDS自定義成為符合自己組織需要的入侵檢測系統(tǒng)。為了跟蹤最新的入侵方式和網(wǎng)絡(luò)漏洞，IDS提供大容量的入侵特征庫以及方便的升級方式，每一個漏洞都提供了詳細(xì)的說明和解決方法，并且給出了相關(guān)的Bugtraq、CVE以及CAI等國際標(biāo)準(zhǔn)的編號。IDS也支持基于網(wǎng)絡(luò)異常狀況的檢測方式。 對“入侵檢測系統(tǒng)”的使用和使用人員的管理一定要有專門的制度。 “入侵檢測系統(tǒng)” 可以提供強大的網(wǎng)絡(luò)行為審計能力，讓網(wǎng)絡(luò)安全管理員跟蹤用戶（包括黑客）、應(yīng)用程序等對網(wǎng)絡(luò)的使用情況，幫助他們改進網(wǎng)絡(luò)規(guī)劃。178。178。 檢測和發(fā)現(xiàn)針對系統(tǒng)中的網(wǎng)絡(luò)攻擊行為，如DoS攻擊。 管理失控：通過竊取網(wǎng)絡(luò)設(shè)備的管理權(quán)而使網(wǎng)絡(luò)失去安全性因此，我們在方案中建議在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)來入侵及濫用行為進行檢測及審計。 資源濫用：內(nèi)部人員訪問不當(dāng)站點、玩網(wǎng)絡(luò)游戲，浪費網(wǎng)絡(luò)資源，使正常的服務(wù)和數(shù)據(jù)通信得不到保障。178。 拒絕服務(wù)攻擊（DoS）：通過消耗網(wǎng)絡(luò)帶寬資源或網(wǎng)絡(luò)設(shè)備處理能力資源，使正常的服務(wù)和數(shù)據(jù)通信對網(wǎng)絡(luò)的傳輸質(zhì)量要求得不到滿足。 出差用戶及遠(yuǎn)程移動用戶訪問公司內(nèi)部應(yīng)用、及合作伙伴訪問某些特定的業(yè)務(wù)應(yīng)用系統(tǒng)，采用SSL VPN方式更能有效的滿足應(yīng)用的需求。因此，采用基于IPSec的站點到站點的VPN接入是比較理想的接入方式。在公司的遠(yuǎn)程訪問安全中，由于分別存在著這兩種情況，因此我們建議在方案中采用IPSec 和SSL VPN相結(jié)合的部署方式：178。SSL VPN是基于應(yīng)用的VPN，基于應(yīng)用層上的連接意味著（和IPSec VPN 比較），SSL VPN 更容易提供細(xì)粒度遠(yuǎn)程訪問（即可以對用戶的權(quán)限和可以訪問的資源、服務(wù)、文件進行更加細(xì)致的控制，這是IPSec VPN難以做到的）。IPSec VPN通常不能支持復(fù)雜的網(wǎng)絡(luò)，這是因為它們需要克服穿越防火墻、IP地址沖突等困難。SSL VPN通信運行在TCP/ UDP協(xié)議上，具有穿越防火墻的能力。SSL VPN正在成為遠(yuǎn)程接入的事實標(biāo)準(zhǔn)。雖然這需要在企業(yè)防火墻后面增添硬件，但企業(yè)只要管理一種設(shè)備，不必維護、升級及配置客戶軟件。最終用戶避免了攜帶電腦，通過與因特網(wǎng)連接的任何設(shè)備就能獲得訪問，SSL更容易滿足用戶對移動連接的需求。SSL連接也更穩(wěn)定，據(jù)Infonetics最近發(fā)表的報告表明， SSL將不斷獲得吸引力。雖然購買軟件或硬件的費用不一定便宜，但部署SSL VPN很便宜。SSL VPN將是Web應(yīng)用熱潮的直接受益者，它被認(rèn)為是實現(xiàn)遠(yuǎn)程安全訪問Web應(yīng)用的最佳手段。IPSec VPN的誘人之處包括，它采用了集中式安全和策略管理部件，從而大大緩解了維護需求。在設(shè)計上，IPSec VPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。一旦I