【正文】 制絕對(duì)安全，但是對(duì)于通過(guò)間接的物理訪問(wèn)而造成的病毒危害則很難防范（病毒庫(kù)很難及時(shí)升級(jí)），而且對(duì)整個(gè)信息系統(tǒng)的自動(dòng)化和工作效率不能有效地保證。對(duì)于 XX 企 業(yè)移動(dòng)的用戶建議在單臺(tái)計(jì)算機(jī)或筆記本上安裝天融信 VPN 客戶端軟件，同樣可以與總部的 NGFW4000UFVPN(E)建立隧道，實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。我們建議在 XX 企業(yè)集團(tuán)內(nèi)網(wǎng)和 Inter 接入設(shè)備之間配置一臺(tái)天融信網(wǎng)絡(luò)衛(wèi)士千兆防火墻 NGFW4000UFVPN(E)，作為訪問(wèn)控制設(shè)備。 在 XX企業(yè)集團(tuán)網(wǎng)絡(luò) 系統(tǒng)中我們建立防火墻子系統(tǒng)的主要目標(biāo) :邏輯隔離 XX企業(yè)集團(tuán) 系統(tǒng) 內(nèi)網(wǎng)與 Inter；保護(hù)兩臺(tái)重要的 ERP 服務(wù)器；對(duì)棒材和煉鋼生產(chǎn)子網(wǎng)進(jìn)行防護(hù)；對(duì)煉鋼大高爐生產(chǎn)子網(wǎng)進(jìn)行防護(hù)；對(duì)礦業(yè)公司和二化子網(wǎng)進(jìn)行防護(hù)；對(duì)電話站專網(wǎng)進(jìn)行防護(hù)。有關(guān)建立防火墻子系統(tǒng)的目標(biāo)、功能、位置、在下文中進(jìn)行詳細(xì)說(shuō)明。 需求建議： 在 XX 企業(yè)集團(tuán) 信息網(wǎng)構(gòu)建一個(gè)良好的安全系統(tǒng)的時(shí)候我們要有責(zé)任 建議XX 企業(yè)集團(tuán) 不要 忽略 安全公司所提供的前期、中期、后期所需的各種保障服務(wù)。 安全服務(wù) 環(huán)節(jié)分析： ? 一個(gè)優(yōu)秀的網(wǎng)絡(luò)安全系統(tǒng)的建立不僅僅依靠網(wǎng)絡(luò)安全設(shè)備和相關(guān)安全手段，如何去建設(shè)網(wǎng)絡(luò)安全系統(tǒng)？如何去使用網(wǎng)絡(luò)安全系統(tǒng)？以及出現(xiàn)安全問(wèn)題如何去應(yīng)對(duì)？是一般網(wǎng)使用者非常關(guān)心的問(wèn)題。 需求建 議： 目前 XX 企業(yè)集團(tuán)急需一套網(wǎng)絡(luò)版的防病毒軟件覆蓋整個(gè)網(wǎng)絡(luò)。 病毒防護(hù) 環(huán)節(jié)分析： ? 主要 針對(duì)全網(wǎng) 1000 多臺(tái)主機(jī)和 30 多臺(tái)服務(wù)器進(jìn)行病毒防護(hù)。 安全監(jiān)測(cè) 環(huán)節(jié)分析 : ? 主要是指實(shí)時(shí)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、系統(tǒng)加 固、漏洞修補(bǔ)等； ? 實(shí)時(shí)檢測(cè)主要依靠入侵檢測(cè)系統(tǒng)、風(fēng)險(xiǎn)評(píng)估依靠于脆弱性分析軟件，系統(tǒng)加固和漏洞修補(bǔ)要求網(wǎng)絡(luò)管理人員能夠隨時(shí)跟蹤各種操作系統(tǒng)和應(yīng) 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 18 總機(jī)： 01082611122 網(wǎng)址： 用系統(tǒng)漏洞情況及時(shí)采取必要的措施。 需求建議 : 安全保護(hù)圍很廣涉及的技術(shù)也較多，對(duì)于 XX 企業(yè)集團(tuán)信息網(wǎng)目前最需要的防護(hù)手段是對(duì)全網(wǎng)的防護(hù)，使用防火墻、防病毒技術(shù)和入侵檢測(cè)，在此基礎(chǔ)上建議加強(qiáng)對(duì) XX企業(yè)集團(tuán)數(shù)據(jù)中心信息網(wǎng)的防護(hù)體系建設(shè)。訪問(wèn)控制主要依靠防火墻技術(shù)、劃分 Vlan 技 術(shù)身份認(rèn)證技術(shù)等方式來(lái)實(shí)現(xiàn)； ? 保密性、可用性、不可抵賴性：主要包括一些信息保密手段，例如使用VPN 技術(shù)、采用加密軟件、或者應(yīng)用 CA 證書(shū)保證數(shù)據(jù)的安全防護(hù)等。 安全防護(hù) 環(huán)節(jié)分析 : ? 該環(huán)節(jié)的包括訪問(wèn)控制、保密性、完整性、可用性、不可否認(rèn)性。負(fù)責(zé)管理計(jì)算機(jī)的技術(shù)人員和一般計(jì)算機(jī)使用人員，依靠一定的安全技術(shù)和手段和一些好的管理辦法，制定一些切實(shí)可用的網(wǎng)絡(luò)安全策略，來(lái)建立 XX 企業(yè)集團(tuán)信息網(wǎng)的安全管理體系。 XX 企業(yè)安全需求 防病毒體系需求 ? 自動(dòng)安裝客戶端軟件； ? 自動(dòng)更新、分發(fā)客戶端軟件及病毒庫(kù)； ? 網(wǎng)絡(luò)中布置了多少臺(tái)機(jī)器，還有多少臺(tái)未安裝防病毒軟件； ? 客戶端軟件、病毒庫(kù)版本是否為最新，病毒防護(hù)或發(fā)作信息； ? 客戶端軟件不允許隨意卸載； ? 網(wǎng)絡(luò)中那些病毒在傳播； 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 15 總機(jī)： 01082611122 網(wǎng)址： 強(qiáng)制性網(wǎng)管軟件需求 ? 網(wǎng)絡(luò)上有哪些交換機(jī)，有 哪些計(jì)算機(jī)； ? 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，交換機(jī)如何互聯(lián)，每臺(tái)交換機(jī)接了那些終端； ? 網(wǎng)絡(luò)性能管理、流量管理、故障管理、日志管理； ? 資產(chǎn)信息收集與管理 ； ? 管理制度制訂、落實(shí)； ? 客戶端軟件不允許隨意卸載； ? 遠(yuǎn)程管理與控制； ? 軟件分發(fā)； ? 操作系統(tǒng)補(bǔ)丁分發(fā)、安裝； ? 管理中心； ? 網(wǎng)絡(luò)設(shè)備的軟件升級(jí)（ IOS 升級(jí)至最高版本）； 防火墻需求 ? 支持雙機(jī)熱備份功能，切換時(shí)間不超過(guò) 3 秒； ? 因特網(wǎng)出口（現(xiàn)狀： 100M），支持 VPN 功能，能夠與 VPN 網(wǎng)關(guān)協(xié)調(diào)一致工作，移動(dòng)用戶能夠利用操作系統(tǒng)自帶的 VPN 連接、通過(guò) cisco 公司ACS 3000 驗(yàn) 證用戶進(jìn)入公司內(nèi)網(wǎng)； ? 北京分公司（現(xiàn)狀： Adsl），利用 VPN 網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立 VPN 連接進(jìn)入公司內(nèi)網(wǎng)； ? 北京庫(kù)房 (現(xiàn)狀：華為路由器， 128K DDN) ，利用 VPN 網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立 VPN 連接進(jìn)入公司內(nèi)網(wǎng)； ? 兩臺(tái) ERP 小型機(jī)（每臺(tái)小型機(jī)配置：雙千兆短波多模光纖網(wǎng)卡，防火墻采用橋接模式） ? 棒材生產(chǎn)子網(wǎng)、煉鋼生產(chǎn)子網(wǎng)（百兆） ? 煉鋼大高爐生產(chǎn)子網(wǎng)（千兆長(zhǎng)波單模光纖） ? 礦業(yè)公司 (2 條 2M 數(shù)字電路，連入電話站交換機(jī) )、二化 (1 條 2M 數(shù)字電路，連入電話站交換機(jī) ) ? 電話站專網(wǎng) 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 16 總機(jī)： 01082611122 網(wǎng)址： 過(guò)濾網(wǎng)關(guān)需求 因特 網(wǎng)（現(xiàn)狀： 100M）入口，必須至少支持 4 種 Inter 協(xié)議： SMTP、POP HTTP、 FTP，并具有日志以及日志分析功能； 入侵檢測(cè)需求 內(nèi)網(wǎng)關(guān)鍵區(qū)域及因特網(wǎng)（現(xiàn)狀： 100M）出口，具有安全審計(jì)功能； 漏洞掃描需求 定期掛接到網(wǎng)絡(luò)中，對(duì)當(dāng)前網(wǎng)絡(luò)上的重點(diǎn)服務(wù)器（如 WEB 服務(wù)器、郵件服務(wù)器、 DNS 服務(wù)器、主域服務(wù)器等）以及主機(jī)進(jìn)行一次掃描，得到當(dāng)前系統(tǒng)中存在的各種安全漏洞，并 有 針對(duì)性地提出補(bǔ)救措施 報(bào)告； 安裝需求 所有安全產(chǎn)品布置在項(xiàng)目附帶的機(jī)柜內(nèi)，并且在機(jī)柜內(nèi)配置 2 臺(tái) 32 口 自動(dòng)多電腦切換器 ，配置相應(yīng)的 鍵盤(pán)、光電鼠標(biāo)、顯示器及線纜； 安全設(shè)備要有管理口，便于管理，降低安全產(chǎn)品本身的安全威脅，要有分權(quán)管理，管理與審計(jì)權(quán)限分開(kāi)； 要保證系統(tǒng)服務(wù)器、 生產(chǎn)專網(wǎng)的 高可用性、抗攻擊性； 制定詳細(xì)的實(shí)施計(jì)劃，明確雙方責(zé)任，專業(yè)技術(shù)工程師、制度管理師按照實(shí)施計(jì)劃布置實(shí)施符合 XX 企業(yè)管理需求的安全策略、制定符合 XX 企業(yè)管理需求的制度體系； 各個(gè)系統(tǒng)協(xié)調(diào)一致工作，不能出現(xiàn)軟件或硬件沖突； 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 17 總機(jī)： 01082611122 網(wǎng)址： 第四章 信息網(wǎng)絡(luò)的安全方案設(shè)計(jì) 安全管理 環(huán)節(jié)分析： ? 主要是指 XX 企業(yè)集團(tuán) 要設(shè)備管理、人員管理、策略管理等； ? 目前 XX 企業(yè)集團(tuán) 尚無(wú)一套完善的網(wǎng)絡(luò)安 全管理體系， 我們要建立 通過(guò)一定的國(guó)際標(biāo)準(zhǔn)來(lái)建立建設(shè)管理體系。如果沒(méi)有一個(gè)完善的安全服務(wù)體系，將盡可能多的安全產(chǎn)品統(tǒng)一來(lái)維護(hù)，面對(duì)突如其來(lái)的網(wǎng)絡(luò)攻擊， XX 企業(yè) 可能將面臨巨大的損失。 安全服務(wù)體系不健全的威脅 一個(gè)網(wǎng)絡(luò)的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護(hù)的。 CodeRed，沖擊波以及 Mydoom 就是典型導(dǎo)致網(wǎng)絡(luò)癱瘓的病毒，能導(dǎo)致網(wǎng)絡(luò)交換機(jī)、路由器、服務(wù)器嚴(yán)重過(guò)載癱瘓。 ? 內(nèi)部 – 局域網(wǎng)中的工作站及文件服務(wù)器都會(huì)受到病毒的感染，病毒的攻擊方式多種多樣，有通過(guò)局域網(wǎng)傳播、傳統(tǒng)介質(zhì) (光盤(pán)、軟盤(pán) 、 USB硬盤(pán) 等 )傳播等等，一旦受到感染，便 會(huì)迅速傳播，會(huì)給日常的工作和生產(chǎn)帶來(lái)極大的威脅。如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開(kāi)放一些不常用而 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 14 總機(jī)： 01082611122 網(wǎng)址： 又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。這些 后門(mén) 或安全漏洞都將存在重大安全隱患。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是 Windows 還是其它任何商用 UNIX 操作系統(tǒng)以及其它廠商開(kāi)發(fā)的應(yīng)用系統(tǒng)，其開(kāi)發(fā)廠商必然有其 BackDoor。若此時(shí)有一臺(tái)開(kāi)發(fā)客戶端主機(jī)中了木馬程序，在正常訪問(wèn)服務(wù)器的過(guò)程中就可能通過(guò)這一非法應(yīng)用程序?qū)⒃L問(wèn)服務(wù)器的賬號(hào)、口令以及訪問(wèn)方式都泄露給黑客，黑客就能通過(guò)獲取的信息堂而皇之地登錄到該應(yīng)用服務(wù)器上，并能在該服務(wù)器上也啟動(dòng)一些非法的應(yīng)用服務(wù)，幫助黑客 完全地控制服務(wù)器。 ? 非法應(yīng)用的威脅 XX 企業(yè) 集團(tuán)系統(tǒng)中有許多的應(yīng)用在實(shí)時(shí)地使用著，尤其是數(shù)據(jù)庫(kù)和工業(yè)控制的應(yīng)用。如 某臺(tái)非法主機(jī)在經(jīng)過(guò)相關(guān)的配置后就可以與網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)服務(wù)器和其他客戶端主機(jī)進(jìn)行 TCP/IP 通信 。 對(duì)于網(wǎng)絡(luò)中沒(méi)有訪問(wèn)其他網(wǎng)段主機(jī)權(quán)限的用戶來(lái)說(shuō)，當(dāng)要對(duì)其他網(wǎng)段上主機(jī)發(fā)動(dòng)攻擊時(shí)， 其 情況類似于外部網(wǎng)絡(luò)的攻擊。此時(shí)，該人員就可以非常方便地通過(guò)一些非法的工具和手段來(lái)隨意攻擊網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)服務(wù)器和其他客戶端主機(jī)、盜取網(wǎng)絡(luò)上的一些關(guān)鍵數(shù)據(jù)以及獲取當(dāng)前比較詳細(xì)的 XX企業(yè) 集團(tuán)整體網(wǎng)絡(luò)情況為以后更致命的攻擊做好準(zhǔn)備，然而網(wǎng)絡(luò)管理員并沒(méi)有一個(gè)有效的方法來(lái)實(shí)時(shí)了解網(wǎng)絡(luò)中各節(jié)點(diǎn)的情況，控制這些網(wǎng)絡(luò)節(jié)點(diǎn)的變化，因此給整個(gè) XX 企業(yè) 集團(tuán)的網(wǎng)絡(luò)系統(tǒng)造成極大的威脅。在該網(wǎng)絡(luò)結(jié)構(gòu)中，各重要的服務(wù)器和主機(jī)都 將 是通過(guò)核心交換機(jī)直接與其他子網(wǎng)連接的，并且這些服務(wù)器區(qū)的邊界 如果 沒(méi)有任何訪問(wèn)控制產(chǎn)品和監(jiān)控設(shè)備， 內(nèi)部人員對(duì) 這些服務(wù)器可以很容易實(shí)施攻擊。這些專網(wǎng)之間都需要進(jìn)行訪問(wèn)控制。 而且 XX 企業(yè)的網(wǎng)絡(luò)很龐大，覆蓋面積廣，內(nèi)部人員復(fù)雜，不同的網(wǎng)絡(luò)區(qū)域?qū)τ趦?nèi)網(wǎng)的應(yīng)用系統(tǒng)都會(huì)構(gòu)成安全威脅。同時(shí)，由于內(nèi)部人員比較熟悉系統(tǒng)的情況，其攻擊行為更容易取得成功。 即使 在交換機(jī)上可以通過(guò)配置提 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 12 總機(jī)： 01082611122 網(wǎng)址： 供一些安全保證，但是其強(qiáng)度是不足的。 ? 在分支機(jī)構(gòu)與總部的 VPN 網(wǎng)關(guān)建立隧道以后，如果分支機(jī)構(gòu)的計(jì)算機(jī)遭到病毒或黑客的入侵，同樣將會(huì)對(duì) XX 企業(yè)的內(nèi)網(wǎng)造成安全威脅。 ? 惡意攻擊 ： 入侵者通過(guò)發(fā)送大量 PING 包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓 ? 在 Inter 上爆發(fā)網(wǎng)絡(luò)蠕蟲(chóng)病毒的時(shí)候，如果內(nèi)網(wǎng)的邊界處沒(méi)有訪問(wèn)控制設(shè)備對(duì)蠕蟲(chóng)病毒在第一時(shí)間進(jìn)行隔離，那么蠕蟲(chóng)的攻擊將會(huì)對(duì)網(wǎng)絡(luò)造成致命的影響。如： ? 入侵者通過(guò) Sniffer 等嗅探程序來(lái)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò) IP 地址、應(yīng)用操作系統(tǒng)的類型、開(kāi)放哪些 TCP 端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過(guò)相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。 Inter EMAIL轉(zhuǎn)發(fā)服務(wù)器 Proxy AAA Cisco3640 防火墻 pix 295012 3500G24 小型機(jī) SUNFIRE4800 Catalyst6506 Catalyst6506 Catalyst4006 Catalyst4006 2950G24 2950G24 2950G48 生產(chǎn)子網(wǎng) 1 2950G24 295012 295012 VPN及移動(dòng)上網(wǎng)卡 3550G12T 終端 服務(wù)器 計(jì)量服務(wù)器 Email服務(wù)器 3548G 2m數(shù)字電路 三個(gè)分廠 生產(chǎn)子網(wǎng) 2 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 11 總機(jī)： 01082611122 網(wǎng)址： 下面主要針對(duì) XX 企業(yè) 的信息系統(tǒng) ， 列出 可能面臨的主要安全威脅為： 內(nèi)部網(wǎng)絡(luò)與 Inter 互聯(lián)的安全威脅 ? 與 Inter 相連，如果沒(méi)有邊界防護(hù)將是危險(xiǎn)的。網(wǎng)絡(luò)設(shè)備基本采用 CISCO 系列產(chǎn)品，主干網(wǎng)絡(luò)交換機(jī)近 100 臺(tái)。 XX 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及威脅分析 XX 企業(yè) 集團(tuán)現(xiàn)有信息網(wǎng)絡(luò)覆蓋 10 平方公里之內(nèi)的各個(gè)下屬鋼鐵企業(yè)、附屬機(jī)構(gòu)和分布在異地的遠(yuǎn)程分支機(jī)構(gòu)。實(shí)際上，安全漏洞廣泛存在于網(wǎng)絡(luò)數(shù)據(jù)鏈路、網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng) 用系統(tǒng)中。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 10 總機(jī)： 01082611122 網(wǎng)址： 第三章 XX 企業(yè)信息網(wǎng)絡(luò)的安全現(xiàn)狀和需求分析 隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)成為信息高速公路，人們利用網(wǎng)絡(luò)來(lái)獲取和發(fā)布信息，處理和共享數(shù)據(jù)。安全管理的內(nèi)容可以分成安全技術(shù)管理和安兮管理制度兩部分。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 9 總機(jī)： 01082611122 網(wǎng)址： 系統(tǒng)單元安全模型 其中，安全政策是制定安全方案和各項(xiàng)管理制度的依據(jù)，安全政策是有一定的生命周期的，一般要經(jīng)歷風(fēng)險(xiǎn)分析、安全政策制定、安全方案和管理制度的實(shí)施、安全審計(jì)和后評(píng)估、四 個(gè)階段。 ● 網(wǎng)絡(luò)通信安全，一則保障網(wǎng)絡(luò)自身的安全可靠運(yùn)行，保證網(wǎng)絡(luò)的可用性；二則為業(yè)務(wù)數(shù)據(jù)提供完整性、保密性的安全服務(wù)。如圖所示，從實(shí)體 單元角度來(lái)看，安全體系結(jié)構(gòu)可以分成以下層次： ● 物理環(huán)境安全。該模型與 OSI 體系結(jié)構(gòu)一致。 從這一模型可以得出如下結(jié)論：對(duì)資源的訪問(wèn)控制是安全保密的核心，而對(duì)實(shí)體的（用戶、主機(jī)、服務(wù)）認(rèn)證是訪問(wèn)控制的前提。 各種安全服務(wù)之間的邏輯關(guān)系 在不同的協(xié)議層次，實(shí)體都有主體和客體（或資源）之分：在網(wǎng)絡(luò)層，對(duì)主體和資源的識(shí)別以主機(jī)或協(xié)議端口