【正文】 洞，這也是XX信息網(wǎng)信息安全的主要威脅之一。WWW服務(wù)器安全風(fēng)險l 服務(wù)器崩潰，各種WEB應(yīng)用服務(wù)停止；l WEB服務(wù)腳本的安全漏洞，遠(yuǎn)程溢出(.Printer漏洞)；l 通過WEB服務(wù)服務(wù)獲取系統(tǒng)的超級用戶特權(quán)；l WEB頁面被惡意刪改；l 通過WEB服務(wù)上傳木馬等非法后門程序，以達到對整個服務(wù)器的控制；l WEB服務(wù)器的數(shù)據(jù)源，被非法入侵，用戶的一些私有信息被竊；l 利用WEB服務(wù)器作為跳板，進而攻擊內(nèi)部的重要數(shù)據(jù)庫服務(wù)器；l 拒絕服務(wù)器攻擊或分布式拒絕服務(wù)攻擊；l 針對IIS攻擊的工具，如IIS Crash；l 各種網(wǎng)絡(luò)病毒的侵襲，如Nimda,Redcode II等；l 惡意的JavaApplet,Active X攻擊等；l WEB 服務(wù)的某些目錄可寫；l CGIBIN目錄未授權(quán)可寫，采用默認(rèn)設(shè)置，一些系統(tǒng)程序沒有刪除。系統(tǒng)中各個節(jié)點有各種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給XX信息網(wǎng)內(nèi)部各級單位使用，如果不能防止未經(jīng)驗證的操作人員利用應(yīng)用系統(tǒng)的脆弱性來攻擊應(yīng)用系統(tǒng)，會造成系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、非法獲得數(shù)據(jù)等。一旦被利用并攻擊，將帶來不可估量的損失，如前段時間網(wǎng)絡(luò)上流傳非常兇猛的“沖擊波”病毒，就是一個以微軟公司W(wǎng)indows系列操作系統(tǒng)的一個漏洞為基礎(chǔ)的破壞性、傳染性都很強的蠕蟲病毒。在服務(wù)器上主要有操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件系統(tǒng)；路由器、交換機上也有相應(yīng)的操作系統(tǒng)。但是從實際應(yīng)用上，系統(tǒng)的安全程度與對其進行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系。對一個網(wǎng)絡(luò)系統(tǒng)而言操作系統(tǒng)或應(yīng)用系統(tǒng)存在不安全因素，將是黑客攻擊得手的關(guān)鍵因素，因黑客攻擊某網(wǎng)絡(luò)系統(tǒng)，一般都是通過攻擊軟件掃描該網(wǎng)絡(luò)系統(tǒng)中主機是否存在安全漏洞，并通過可利用的安全漏洞進行攻擊或控制這臺主機，為以后進一步攻擊打下基礎(chǔ)。影響所及，還可能涉及許多其它安全敏感領(lǐng)域，如網(wǎng)絡(luò)傳輸中的數(shù)據(jù)被黑客篡改和刪除，其后果將不堪設(shè)想。所以說當(dāng)連入Internet時，網(wǎng)絡(luò)便面臨著嚴(yán)重的安全威脅。因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足，因為其賴以生存的TCP/IP協(xié)議族，缺乏相應(yīng)的安全機制，而且因特網(wǎng)最初的設(shè)計考慮是該網(wǎng)不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此他在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。建立一個完善的網(wǎng)絡(luò)防病毒系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)病毒防護的集中控制管理。 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（相對于本地局域網(wǎng)以外的網(wǎng)絡(luò)），考慮采用硬件防火墻設(shè)備進行邏輯隔離，控制來自內(nèi)外網(wǎng)絡(luò)的用戶對重要業(yè)務(wù)系統(tǒng)的訪問。主要是保證XX信息網(wǎng)結(jié)構(gòu)的安全、在網(wǎng)絡(luò)層加強訪問控制能力、加強對攻擊的實時檢測能力和先于入侵者發(fā)現(xiàn)網(wǎng)絡(luò)中存在漏洞的能力；加強全網(wǎng)的病毒防范能力。因此，對于XX電子政務(wù)綜合應(yīng)用平臺這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。結(jié)合上面XX信息網(wǎng)，主要的網(wǎng)絡(luò)安全風(fēng)險主要體現(xiàn)在如下幾個方面：應(yīng)用服務(wù)安全風(fēng)險、內(nèi)部局域網(wǎng)風(fēng)險、互聯(lián)網(wǎng)風(fēng)險，我們將對XX信息網(wǎng)各個層面存在的安全風(fēng)險進行需求分析：物理設(shè)備是整個XX信息通信網(wǎng)的基礎(chǔ)，物理安全是整個XX信息通信網(wǎng)信息系統(tǒng)安全的前提。只有三方面的綜合作用，才會構(gòu)成實際的安全風(fēng)險。 廣域網(wǎng)絡(luò)采用TCP/IP協(xié)議。 PC服務(wù)器：配置兩臺部門級PC服務(wù)器作為公網(wǎng)及專網(wǎng)的WEB服務(wù)器，提供WEB接入、公網(wǎng)、專網(wǎng)信息的發(fā)布功能，配置一臺PC服務(wù)器作為系統(tǒng)管理服務(wù)器，提供安全、網(wǎng)絡(luò)管理服務(wù)功能，配置一臺PC服務(wù)器作為MAIL服務(wù)器，提供 郵件系統(tǒng)處理和存儲功能。 存儲系統(tǒng)：配置一臺UNIX服務(wù)器作為所有數(shù)據(jù)的存儲，存儲容量為150G，最大可擴充至1000G以上。 主機系統(tǒng)：配置一臺UNIX服務(wù)器作為數(shù)據(jù)庫服務(wù)器，在其上運行數(shù)據(jù)庫系統(tǒng)軟件，主要提供數(shù)據(jù)存儲服務(wù)，配置一臺UNIX服務(wù)器作為應(yīng)用服務(wù)器，在其上運行中間件系統(tǒng)軟件，主要處理專網(wǎng)業(yè)務(wù)，并響應(yīng)前端WEB接入請求及對后臺數(shù)據(jù)庫中數(shù)據(jù)進行調(diào)用。 XX信息網(wǎng)絡(luò)以一臺路由器為出口，外部接入電信網(wǎng)。我們已經(jīng)建立了完備的C++授權(quán)服務(wù)體系，通過覆蓋全國的專業(yè)授權(quán)服務(wù)渠道構(gòu)建完善的服務(wù)網(wǎng)絡(luò)，目前已在全國建立了包括西藏和臺灣在內(nèi)的60多家授權(quán)服務(wù)中心，真正有能力為用戶提供本地化的高質(zhì)量售后實施與咨詢服務(wù)。方正信息安全公司作為國內(nèi)一流的安全產(chǎn)品及服務(wù)提供商，秉承“做中國人自己的安全衛(wèi)士”的宗旨，為各行各業(yè)各層次的用戶提供專業(yè)信息化安全教育認(rèn)證課程。方正信息安全已經(jīng)在政府、公安、銀行、證券、保險、電信、教育、電力、能源、交通等各個行業(yè)擁有眾多用戶群。公司定位為“中國人自己的信息安全衛(wèi)士”和“中國人自己的網(wǎng)絡(luò)管理先鋒”。方正信息安全技術(shù)有限公司（以下簡稱方正信息安全）通過自身的研發(fā)以及與國內(nèi)外著名IT公司的合作，形成了完備的網(wǎng)絡(luò)安全產(chǎn)品線體系和網(wǎng)絡(luò)管理產(chǎn)品線體系，涉及防火墻、防病毒、入侵檢測、虛擬專用網(wǎng)等各個安全領(lǐng)域和網(wǎng)絡(luò)架構(gòu)管理、桌面管理等網(wǎng)絡(luò)管理領(lǐng)域。方正信息安全在全國設(shè)有30個銷售和服務(wù)平臺，遍布全國各省、市、自治區(qū)，現(xiàn)有員工近二百名，其中大學(xué)以上學(xué)歷的人員占98%，擁有碩士學(xué)位人員占30%。方正信息安全技術(shù)有限公司是北大方正集團的全資子公司，是專注于信息安全和網(wǎng)絡(luò)管理解決方案的研發(fā)、生產(chǎn)、銷售、服務(wù)、咨詢的專業(yè)廠商。這就對安全廠商提出了比較高的要求，如何為用戶服務(wù)、并使用戶滿意，已經(jīng)成為每個網(wǎng)絡(luò)安全產(chǎn)品廠商和解決方案提供者需要認(rèn)真思考的問題。信息安全服務(wù)已不再僅僅局限于產(chǎn)品售后服務(wù)，而是貫穿從前期咨詢、安全風(fēng)險評估、安全項目實施到安全培訓(xùn)、售后技術(shù)支持、系統(tǒng)維護、產(chǎn)品更新這種項目周期的全過程。在信息化建設(shè)過程中，國內(nèi)用戶面臨的最大問題就是網(wǎng)絡(luò)安全服務(wù)的缺乏。行業(yè)用戶的網(wǎng)絡(luò)一般比較復(fù)雜，網(wǎng)絡(luò)節(jié)點繁多，而且行業(yè)用戶網(wǎng)絡(luò)上面?zhèn)鬏數(shù)臄?shù)據(jù)大部分為涉秘信息，因此網(wǎng)絡(luò)信息安全的設(shè)計必須非常的完善和全面。行業(yè)和行業(yè)之間既存在比較大的相似之處，比如這些行業(yè)的網(wǎng)絡(luò)涉及的區(qū)域范圍比較廣泛；網(wǎng)絡(luò)規(guī)模一般比較大，而且網(wǎng)絡(luò)比較復(fù)雜；網(wǎng)絡(luò)需要內(nèi)部網(wǎng)和外部網(wǎng)隔離；網(wǎng)絡(luò)一般不和公網(wǎng)相連，都是自己的專用網(wǎng)絡(luò)。因此，網(wǎng)絡(luò)安全解決方案不應(yīng)僅僅提供對于某種安全隱患的防范能力，而是應(yīng)涵蓋對于各種可能造成網(wǎng)絡(luò)安全問題隱患的整體防范能力；同時，它還應(yīng)該是一種動態(tài)的解決方案，能夠隨著網(wǎng)絡(luò)安全需求的增加而不斷改進和完善。結(jié)合國內(nèi)的實際情況，網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)系統(tǒng)的多個層次和多個方面，而且它也是個動態(tài)變化的過程，因此，國內(nèi)的網(wǎng)絡(luò)安全實際上是一項系統(tǒng)工程。一些國內(nèi)用戶對網(wǎng)絡(luò)安全的認(rèn)識存在一些誤區(qū)：把網(wǎng)絡(luò)安全幾乎全部依賴于所安裝的防火墻系統(tǒng)和防病毒軟件，認(rèn)為只要安裝了這些設(shè)備，網(wǎng)絡(luò)就安全了；他們沒有認(rèn)識到網(wǎng)絡(luò)安全是動態(tài)的、整體的，不可能僅靠單一安全產(chǎn)品就能實現(xiàn)。安全包括其上的信息數(shù)據(jù)安全，日益成為與公安、司法、軍隊、企業(yè)、個人的利益息息相關(guān)的“大事情”。 XXXX網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案方正信息安全技術(shù)有限公司版權(quán)所有169。2005 方正信息安全技術(shù)有限公司3目 錄第一章 前言 3 概述 3 4 4 4 5 5 5第二章 XX網(wǎng)絡(luò)系統(tǒng)安全需求分析 6 6 XX信息網(wǎng)安全需求分析 7 7 7 8 8 8 9 12第三章XX信息網(wǎng)安全解決方案設(shè)計與組成 13 13 XX信息網(wǎng)安全系統(tǒng)設(shè)計的原則和目標(biāo) 15 16 17 19 19 19 20 21 23 32 3內(nèi)網(wǎng)和公網(wǎng)服務(wù)器區(qū)同時防護 33 用戶的需求指標(biāo)與功能響應(yīng) 33 35 防病毒網(wǎng)關(guān)子系統(tǒng)設(shè)計 38 38 40 41 41 42 42 42 42 45 46 46 47 47 XX信息網(wǎng)現(xiàn)狀和需求分析 47 48 52第四章 售后服務(wù) 59 59 62 第一章 前言 概述隨著我國信息化建設(shè)的快速發(fā)展，各級單位和部門都正在建設(shè)或者已經(jīng)建成自己的信息網(wǎng)絡(luò)，而隨之而來的網(wǎng)絡(luò)安全問題也日益突出。尤其對于政府和軍隊而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會對國家安全帶來嚴(yán)重的威脅。所以，我們必須從網(wǎng)絡(luò)安全可能存在的危機入手，分析并提出整體的網(wǎng)絡(luò)安全解決方案。它既涉及對外部攻擊的有效防范，又包括制定完善的內(nèi)部安全保障制度；既涉及防病毒攻擊，又涵蓋實時檢測、數(shù)據(jù)加密和安全評估等內(nèi)容?，F(xiàn)有網(wǎng)絡(luò)安全解決方案涉及的行業(yè)主要集中于政府、軍隊、電信和金融部門。同時行業(yè)和行業(yè)之間也存在比較大的差異，比如軍隊行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)和政府行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)差別就很大。同時，網(wǎng)絡(luò)安全服務(wù)在行業(yè)領(lǐng)域已逐漸成為一種產(chǎn)品。因此，除了良好的產(chǎn)品品質(zhì)、可靠的企業(yè)品牌和信譽之外，能否為用戶提供全面和優(yōu)質(zhì)的網(wǎng)絡(luò)安全服務(wù)，已成為國內(nèi)用戶選擇安全產(chǎn)品的主要準(zhǔn)則。服務(wù)水平的高低，在一定程度上反映了廠商的實力，廠商的安全管理水平也成為阻礙用戶對安全問題認(rèn)識的一個主要方面。方正信息安全技術(shù)有限公司擁有雄厚的研發(fā)力量和網(wǎng)絡(luò)安全經(jīng)驗，依托北京大學(xué)研究所和北大方正研究院的研發(fā)力量，并以極大的信心和飽滿的熱情，在XX信息網(wǎng)絡(luò)安全方案初步設(shè)想的基礎(chǔ)上，根據(jù)XX信息管理網(wǎng)絡(luò)安全的特點和需求，本著切合實際、保護投資、著眼未來、分步建設(shè)的原則，提出了針對XX信息網(wǎng)安全需求的解決方案。方正信息安全技術(shù)有限公司（以下簡稱方正信息安全）總部位于北京，控股了兩家公司：方正盼達信息安全技術(shù)有限公司和方正未來信息安全技術(shù)有限公司，擁有兩個專業(yè)研發(fā)機構(gòu)：信息安全研發(fā)中心和網(wǎng)絡(luò)管理研發(fā)中心。網(wǎng)絡(luò)與信息安全二者的有機結(jié)合需要能提供高技術(shù)、高質(zhì)量產(chǎn)品和高水準(zhǔn)安全服務(wù)的公司。這些產(chǎn)品多次受到國家有關(guān)部門的肯定，達到了國內(nèi)領(lǐng)先，國際先進的水平。同時，公司又充分運用方正的品牌、技術(shù)、渠道優(yōu)勢，整合國內(nèi)外資源，不斷為廣大用戶提供最好的信息安全的解決方案與應(yīng)用服務(wù)。目前方正信息安全在國內(nèi)的代理商數(shù)目達到一百多家，已經(jīng)形成最具廣泛代表性的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理產(chǎn)品銷售網(wǎng)絡(luò)。目前在全國有完善的授權(quán)培訓(xùn)體系。第二章 XX網(wǎng)絡(luò)系統(tǒng)安全需求分析（此圖需要根據(jù)具體情況更改）XX網(wǎng)絡(luò)拓?fù)涫疽鈭D網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明 （這里需要根據(jù)實際情況具體分析）216。216。216。216。216。 XX信息網(wǎng)安全需求分析根據(jù)我們分析XX信息網(wǎng)信息系統(tǒng)的安全風(fēng)險，主要由三部分內(nèi)容組成，第一是環(huán)境的威脅，第二是系統(tǒng)自身的脆弱性，第三是安全破壞的影響力。因此通過對XX信息網(wǎng)安全風(fēng)險三方面內(nèi)容的分析，提出全面的綜合防護措施，可以有效降低安全風(fēng)險。物理安全主要存在以下幾方面風(fēng)險：l 地震、水災(zāi)、火災(zāi)等自然環(huán)境事故造成整個系統(tǒng)毀滅；l 電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失；l 設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；l 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；l 報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故；網(wǎng)絡(luò)安全不僅是入侵者到企業(yè)內(nèi)部網(wǎng)上進行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅。并通過數(shù)字簽名及認(rèn)證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭浴C密性、可靠性及完整性。具體可以概括為：在XX信息網(wǎng)中，保證非授權(quán)用戶不能訪問任何一臺服務(wù)器、路由器、交換機或防火墻等網(wǎng)絡(luò)設(shè)備。在XX信息網(wǎng)上，一般來說，只允許內(nèi)部用戶訪問Internet上的HTTP、FTP、TELNET、郵件等服務(wù)，而不允許訪問更多的服務(wù)；更進一步的是要能夠控制內(nèi)部用戶訪問外部的非授權(quán)色情暴力等非法網(wǎng)站、網(wǎng)頁，以防單位職工利用網(wǎng)絡(luò)之便上黃色網(wǎng)站、炒股、聊天、打網(wǎng)絡(luò)游戲等，導(dǎo)致工作效率降低。網(wǎng)絡(luò)防病毒體系應(yīng)包括：網(wǎng)關(guān)級的病毒防護、服務(wù)器級的病毒防護、群件級（主要指郵件系統(tǒng)）的病毒防護以及個人主機級別的病毒防護，所有的病毒防護組件均應(yīng)能集中控制，并具備很強的擴展能力。同時網(wǎng)上有各種各樣的人，他們的意圖也是形形色色的。每天黑客都在試圖闖入Internet節(jié)點，如果不保持警惕，很容易被入侵，甚至連黑客怎么闖入都不知道，而且該系統(tǒng)還可能成為黑客入侵其他網(wǎng)絡(luò)系統(tǒng)的跳板。系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。我們都知道就目前的操作系統(tǒng)或應(yīng)用系統(tǒng)，無論是Windows，還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)都存在著BUG，據(jù)統(tǒng)計在一個1000行的程序里就將有一個BUG，而象Windows 2000這個約有三千五百萬行至五千萬行的操作系統(tǒng)，其中會存在多少BUG呢？而這些BUG都將存在重大安全隱患，可想而知其安全性如何。在整個XX信息網(wǎng)系統(tǒng)中，包含的設(shè)備有各種服務(wù)器、路由器/交換機、工作站等。所有的這些設(shè)備、軟件系統(tǒng)都或多或少地存在著各種各樣的“后門”和漏洞，這些都是重大的安全隱患。操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手，如果進行安全配置，比如：填補安全漏洞、關(guān)閉一些不常用的服務(wù)、禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間，因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險，并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小做出相應(yīng)的安全解決方案。防火墻的訪問控制功能能夠很好的對使用應(yīng)用服務(wù)的用戶進行嚴(yán)格的控制，配合以入侵檢測系統(tǒng)就能安全的保護XX信息網(wǎng)的各種應(yīng)用系統(tǒng)。軟件的漏洞或者“后門”隨著軟件類型的多樣化，軟件上的漏洞也是日益增加，一些系統(tǒng)軟件、桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患。資源共享XX信息網(wǎng)系統(tǒng)內(nèi)部自動化辦公系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共享、打印機共享等。內(nèi)部網(wǎng)用戶能夠通過拔號或其它方式進行電子郵件發(fā)送和接收這就存在被黑