【正文】 ，防止黑客的入侵。這些數(shù)據(jù)流引起的報(bào)警日志，是作為受到網(wǎng)絡(luò)攻擊的主要證據(jù)。入侵檢測(cè)報(bào)警日志的功能是通過(guò)對(duì)所有對(duì)網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。在被保護(hù)的局域網(wǎng)中，入侵檢測(cè)設(shè)備應(yīng)安裝于易受到攻擊的服務(wù)器或防火墻附近。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試時(shí)，入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。入侵檢測(cè)系統(tǒng)是實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。雖然通過(guò)防火墻可以隔離大部分的外部攻擊，但是仍然會(huì)有小部分攻擊通過(guò)正常的訪問(wèn)的漏洞滲透到內(nèi)部網(wǎng)絡(luò)；XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 17Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 另外，據(jù)統(tǒng)計(jì)有 70％以上的攻擊事件來(lái)自內(nèi)部網(wǎng)絡(luò)，也就是說(shuō)內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。. 產(chǎn)品功能特點(diǎn)● 隔離內(nèi)外網(wǎng)絡(luò)的直接通信，對(duì)進(jìn)出的網(wǎng)絡(luò)的信息進(jìn)行訪問(wèn)控制；● 可根據(jù) IP 源/宿地址、TCP/UDP 端口號(hào)和協(xié)議類型進(jìn)行控制，嚴(yán)格控制外部用戶隨意進(jìn)入內(nèi)部被保護(hù)的網(wǎng)絡(luò)中；禁止內(nèi)部用戶出訪公網(wǎng)或互聯(lián)網(wǎng)的非法、黃色等站點(diǎn)和資源；允許經(jīng)過(guò)授權(quán)的內(nèi)部用戶與外部用戶正常互通；● 支持內(nèi)部網(wǎng)絡(luò)主機(jī)和服務(wù)器采用私有地址，對(duì)外界隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)?；?IP 與 MAC 綁定功能，可防止內(nèi)部用戶隨意更改自己的 IP 地址，以免造成內(nèi)部 IP 地址的濫用和盜用；● 支持 IP 與用戶的邦定；● 透明代理功能，在外部網(wǎng)絡(luò)中的計(jì)算機(jī)訪問(wèn)對(duì)外提供網(wǎng)絡(luò)服務(wù)內(nèi)部子網(wǎng)時(shí)，隱藏提供網(wǎng)絡(luò)服務(wù)的主機(jī)的 IP 地址；● 流量統(tǒng)計(jì)與流量限制功能，通過(guò)防火墻進(jìn)行網(wǎng)絡(luò)流量統(tǒng)計(jì)，并根據(jù)策略對(duì)流量分析和限制，提供一定的服務(wù)質(zhì)量（QOS）保證；● 網(wǎng)絡(luò)實(shí)踐分析；● 用戶鑒別及動(dòng)態(tài)過(guò)濾策略功能，對(duì)移動(dòng)用戶、異地辦公等遠(yuǎn)程用戶進(jìn)行一次性口令身份識(shí)別和認(rèn)證，并對(duì)移動(dòng)用戶、異地辦公等遠(yuǎn)程用戶進(jìn)行動(dòng)態(tài)的網(wǎng)絡(luò)訪問(wèn)鑒別控制；● URL 阻斷以及基于關(guān)鍵詞的智能過(guò)濾● 可以實(shí)現(xiàn)應(yīng)用層協(xié)議內(nèi)容的過(guò)濾，如 FTP、HTTP、SMTP；● 應(yīng)用層（FTP、HTTP 等）專用命令控制；● 支持動(dòng)態(tài)路由協(xié)議 OSPF、RIP 等；● 支持 DMZ 等多網(wǎng)絡(luò)接口配置；● 路由模式、透明橋模式和混合模式自我學(xué)習(xí)功能；● 狀態(tài)檢測(cè)功能，又稱動(dòng)態(tài)包過(guò)濾，通過(guò)檢查應(yīng)用程序信息（如 FTP 的XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 16Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 GET、PUT 命令）來(lái)判斷端口是否允許需要臨時(shí)打開(kāi)，當(dāng)傳輸結(jié)束時(shí)，端口馬上恢復(fù)為關(guān)閉狀態(tài)；● 抗攻擊和自我保護(hù)能力，能士防火墻采用了“能士黑匣子”技術(shù)，可以防范一系列外部黑客的攻擊，如：抗特洛伊木馬攻擊、抗 IP 假冒攻擊、抗 DOS 攻擊等；● 通過(guò)防火墻雙機(jī)熱備的高可用性功能，可以為用戶提供可靠的容錯(cuò)和熱待機(jī)等功能；● 支持 DHCP 應(yīng)用環(huán)境；● 支持視頻會(huì)議應(yīng)用環(huán)境；● 完全的中國(guó)式自主設(shè)計(jì)，提供操作簡(jiǎn)單的圖形化用戶界面方便用戶對(duì)防火墻設(shè)備進(jìn)行配置，面向?qū)ο蟮目梢暬?guī)則編輯以及監(jiān)控與管理防火墻；● 強(qiáng)大的安全審計(jì)與日志功能，防火墻系統(tǒng)強(qiáng)大的審計(jì)能力在完善的日常審計(jì)基礎(chǔ)上，提供了對(duì)違規(guī)通信、安全事件的實(shí)時(shí)報(bào)警和處置能力；● 防火墻為專用軟硬件一體化安全設(shè)備，操作系統(tǒng)內(nèi)核基于自主專用定制；● 可采用智能 IC 卡進(jìn)行防火墻設(shè)備的初始化和操作控制；● 支持無(wú)人值守運(yùn)行模式；● 可伸縮體系結(jié)構(gòu)支持對(duì)安全域中多個(gè)防火墻的集中式網(wǎng)絡(luò)化安全管理；當(dāng)發(fā)現(xiàn)違規(guī)事件時(shí)，管理員可以采取遠(yuǎn)程關(guān)閉外來(lái)連接或讓防火墻重新啟動(dòng)等安全措施。. 應(yīng)用部署方案XXX 防火墻系統(tǒng)應(yīng)用部署圖建議在 XXX 總廠與設(shè)計(jì)部之間部署川大能士防火墻。Firewall 提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。Firewall 可以記錄和統(tǒng)計(jì)通過(guò) Firewall 的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù)，來(lái)判斷可能的攻擊和探測(cè)。使用 Firewall 可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如 Finger 和 DNS。外部用戶也只需要經(jīng)過(guò)防火墻的—次認(rèn)證即可訪問(wèn)內(nèi)部網(wǎng)。Firewall 對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall 定義的安全規(guī)則可以運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。例如，F(xiàn)irewall 允許外部訪問(wèn)XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 14Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 特定的 Mail Server 和 Web Server。Firewall 可以提供對(duì)系統(tǒng)的訪問(wèn)控制。例如，F(xiàn)irewall 可以禁止 NIS、NFS 服務(wù)通過(guò)，F(xiàn)irewall 同時(shí)可以拒絕源路由和 ICMP 重定向封包。主要特點(diǎn)如下：? 保護(hù)脆弱的服務(wù)。并且防火墻本身具有較強(qiáng)的抗攻擊能力。. VPN建議在 XXX 的網(wǎng)絡(luò)入口處部署川大能士的 SVPN，使其能夠?qū)崿F(xiàn)：1) 網(wǎng)絡(luò)通信對(duì)用戶“透明”2) 具有“虛擬”和“專用”的安全特性3) 充分利用已有公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的高效性7. 防火墻系統(tǒng)防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。(2) 服務(wù)器防病毒系統(tǒng)確保應(yīng)用服務(wù)器不被病毒感染。. 網(wǎng)絡(luò)防病毒建議采用啟明星辰的網(wǎng)絡(luò)防病毒產(chǎn)品對(duì) XXX 的系統(tǒng)進(jìn)行實(shí)時(shí)的病毒查殺。(3) 對(duì)未知的一些攻擊手段進(jìn)行報(bào)警。(1) 能監(jiān)控內(nèi)部網(wǎng)絡(luò)的通信，對(duì)于非法通信能夠報(bào)警并定位。. 訪問(wèn)控制建議在網(wǎng)絡(luò)的各個(gè)入口處部署川大能士防火墻，對(duì)進(jìn)入 XXX 網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)用戶進(jìn)行訪問(wèn)控制，主要實(shí)現(xiàn)如下防護(hù)功能：(1) 對(duì)網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證，保證網(wǎng)絡(luò)用戶的合法性；(2) 能夠屏蔽流行的攻擊手段；(3) 對(duì)遠(yuǎn)程訪問(wèn)的用戶提供通信線路的加密連接；(4) 能提供完整的日志和審記功能。（3） 通過(guò)對(duì)以上兩種安全風(fēng)險(xiǎn)的分析、匯總形成 XXX 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告；（4） 根據(jù) XXX 網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀分析報(bào)告，提出 XXX 網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全策略和相應(yīng)的網(wǎng)絡(luò)安全解決方案，指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)。XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 11Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 . 風(fēng)險(xiǎn)評(píng)估內(nèi)容（1） 采集本地信息系統(tǒng)信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備、各種安全管理、安全控制、人員、安全策略、應(yīng)用系統(tǒng)等方面的信息，并進(jìn)行相應(yīng)的分析。. 風(fēng)險(xiǎn)評(píng)估目的1. 對(duì)主機(jī)服務(wù)器進(jìn)行安全評(píng)估，對(duì)系統(tǒng)的漏洞、服務(wù)配置、權(quán)限配置、是否存在后門等進(jìn)行評(píng)估；2. 對(duì) XXX 網(wǎng)絡(luò)系統(tǒng)應(yīng)用系統(tǒng)進(jìn)行安全評(píng)估，確認(rèn)系統(tǒng)的安全防護(hù)能力，安全漏洞等；3. 評(píng)估網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀，主要針對(duì)網(wǎng)絡(luò)中的交換機(jī)路由器和網(wǎng)絡(luò)通信鏈路進(jìn)行分析評(píng)估，找到系統(tǒng)網(wǎng)絡(luò)中容易受到威脅的薄弱環(huán)節(jié)；4. 對(duì)管理制度和行業(yè)規(guī)范中是否嚴(yán)格執(zhí)行進(jìn)行評(píng)估，確認(rèn)制度和規(guī)范的有效性。根據(jù)檢測(cè)和響應(yīng)的結(jié)果，可以發(fā)現(xiàn)防御系統(tǒng)中的薄弱環(huán)節(jié)，或者安全策略中的漏洞，進(jìn)一步進(jìn)行風(fēng)險(xiǎn)分析，修改安全策略，根據(jù)技術(shù)的發(fā)展和業(yè)務(wù)的變化，逐步完善安全策略，加強(qiáng)業(yè)務(wù)網(wǎng)安全措施。響應(yīng)與恢復(fù)系統(tǒng)是保障 XXX 網(wǎng)絡(luò)系統(tǒng)安全性的重要手段。我們認(rèn)為 XXX 網(wǎng)絡(luò)系統(tǒng)安全防御系統(tǒng)必須包括XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 10Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。因此，我們采取了科學(xué)的風(fēng)險(xiǎn)分析方法對(duì) XXX 網(wǎng)絡(luò)系統(tǒng)的安全進(jìn)行風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)分析的結(jié)果作為制定安全策略的重要依據(jù)之一。風(fēng)險(xiǎn)分析有兩種基本方法：定性分析和定量分析。安全需求和風(fēng)險(xiǎn)評(píng)估是制定 XXX 網(wǎng)絡(luò)系統(tǒng)安全策略的依據(jù)。網(wǎng) 絡(luò) 安 全 策 略安全標(biāo)準(zhǔn)規(guī)范體系 安全管理保障體系安全技術(shù)防范體系安 全 服 務(wù) 支 持 體 系圖 1 網(wǎng) 絡(luò) 安 全 的 環(huán) 節(jié)網(wǎng) 絡(luò) 安 全 策 略安全標(biāo)準(zhǔn)規(guī)范體系 安全管理保障體系安全技術(shù)防范體系安 全 服 務(wù) 支 持 體 系圖 網(wǎng) 絡(luò) 安 全 的 環(huán) 節(jié)XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 9Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 XXX 網(wǎng)絡(luò)系統(tǒng)的動(dòng)態(tài)安全管理公式可由下面公式概括：XXX 網(wǎng)絡(luò)系統(tǒng)安全 =風(fēng)險(xiǎn)分析 + 制訂策略 + 系統(tǒng)防護(hù) + 實(shí)時(shí)監(jiān)測(cè) + 實(shí)時(shí)響應(yīng) + 恢復(fù)即：網(wǎng)絡(luò)安全是一個(gè)“AP 2DR2”的動(dòng)態(tài)安全公式，如圖 2 所示。 我們認(rèn)為 XXX 網(wǎng)絡(luò)系統(tǒng)的安全是一個(gè)動(dòng)態(tài)的概念。針對(duì)“全網(wǎng)安全”的要求，網(wǎng)絡(luò)安全體系涉及的各個(gè)環(huán)節(jié)包括：網(wǎng)絡(luò)安全策略指導(dǎo)、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范、網(wǎng)絡(luò)安全防范技術(shù)、網(wǎng)絡(luò)安全管理保障、網(wǎng)絡(luò)安全服務(wù)支持體系等幾部分。? 易用性安全措施要由人來(lái)完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，一般人員難以勝任，有可能降低系統(tǒng)的安全性。所選用的安全產(chǎn)品必須及時(shí)地、不斷地改進(jìn)和完善，及時(shí)進(jìn)行技術(shù)和設(shè)備的升級(jí)換代，只有這樣才能保證系統(tǒng)的安全性。單一的安全產(chǎn)品對(duì)安全問(wèn)題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，從安全性的角度考慮需要不同安全產(chǎn)品之間的安全互補(bǔ)，通過(guò)這種對(duì)照、比較，可以提高系統(tǒng)對(duì)安全事件響應(yīng)的準(zhǔn)確性和全面性。XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 7Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 3. 安全建設(shè)原則? 網(wǎng)絡(luò)安全產(chǎn)品符合網(wǎng)絡(luò)安全的國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)；? 對(duì)安全產(chǎn)品要采取硬、軟結(jié)合的方針；? 網(wǎng)絡(luò)安全產(chǎn)品的部署不能成為網(wǎng)絡(luò)運(yùn)行的瓶頸；? 網(wǎng)絡(luò)安全能覆蓋整個(gè)網(wǎng)絡(luò)；? 完整性網(wǎng)絡(luò)安全建設(shè)必需保證整個(gè)防御體系的完整性。病毒要完成這些復(fù)雜的動(dòng)作，就要對(duì)系統(tǒng)進(jìn)行比較復(fù)雜的設(shè)置，對(duì)系統(tǒng)的影響也比較大，僅有防病毒軟件很難徹底地從系統(tǒng)上將病毒清除掉。? 病毒的智能化程序越來(lái)越高網(wǎng)絡(luò)病毒可以利用系統(tǒng)的漏洞進(jìn)行傳播或攻擊；在攜帶特洛伊木馬程序進(jìn)行對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程破壞與控制；自身就有木馬功能，為系統(tǒng)開(kāi)后門；散播拒絕服務(wù)攻擊點(diǎn)，對(duì)目標(biāo)采取分布式拒絕服務(wù)攻擊等等。在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)，網(wǎng)絡(luò)病毒的這些新的特點(diǎn)都會(huì)對(duì)網(wǎng)絡(luò)與應(yīng)用造成極大的威脅。. 源自內(nèi)部網(wǎng)絡(luò)的惡意攻擊與破壞據(jù)統(tǒng)計(jì)，有 70%的網(wǎng)絡(luò)攻擊來(lái)自于網(wǎng)絡(luò)的內(nèi)部。不管是什么操作系統(tǒng)，只要它運(yùn)行于網(wǎng)絡(luò)上，就必然會(huì)有或多或少的端口服務(wù)暴露在網(wǎng)絡(luò)上，而這些端口服務(wù)又恰恰可能存在致命的安全漏洞，這無(wú)疑會(huì)給該系統(tǒng)帶來(lái)嚴(yán)重的安全威脅，從而也給系統(tǒng)所在的網(wǎng)絡(luò)帶來(lái)很大的安全威脅。操作系統(tǒng)主要有 Winnt、Win2k，Win98,*NIX。第二：通過(guò)各種手段，對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施拒絕服務(wù)攻擊，使網(wǎng)絡(luò)設(shè)備癱瘓，從而造成網(wǎng)絡(luò)通信的癱瘓。. 邊界網(wǎng)絡(luò)設(shè)備安全威脅邊界網(wǎng)絡(luò)設(shè)備面臨的威脅主要有以下兩點(diǎn)：第一：入侵者通過(guò)控制邊界網(wǎng)絡(luò)設(shè)備，進(jìn)一步了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用網(wǎng)絡(luò)滲透搜集信息，為擴(kuò)大網(wǎng)絡(luò)入侵范圍奠定基礎(chǔ)。威脅至少包含以下屬性：動(dòng)機(jī)（自然威脅除外） 、能力、影響方式等。對(duì)內(nèi)是要建立一個(gè)安全堡壘，控制網(wǎng)絡(luò)內(nèi)部用戶非授權(quán)通信和進(jìn)行的一些有意的、無(wú)意的破壞活動(dòng)，保證網(wǎng)絡(luò)平臺(tái)和應(yīng)用系統(tǒng)平臺(tái)的正常運(yùn)行。XXX 網(wǎng)絡(luò)承載著核心應(yīng)用業(yè)務(wù)系統(tǒng)，必須建立一套完善的網(wǎng)絡(luò)安全體系構(gòu)架，才能應(yīng)對(duì)網(wǎng)絡(luò)互連互通所帶來(lái)的負(fù)面的影響。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞給