【正文】 在內(nèi)的立體的安全防護體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。所以，我們的方案必須是一個完整的網(wǎng)絡(luò)安全解決方案，對網(wǎng)絡(luò)安全的每一個環(huán)節(jié)，都要有仔細(xì)的考慮。在上文對黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個安全漏洞都會給黑客以可乘之機。黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，如果是對軍用和政府網(wǎng)絡(luò)的攻擊，還會對國家安全造成嚴(yán)重威脅。拒絕服務(wù)：使用大量無意義的服務(wù)請求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理能力和IO能力，造成系統(tǒng)癱瘓，無法對外提供服務(wù)。數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對信息進行非法的復(fù)制，例如，非法拷貝網(wǎng)站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息，盜取網(wǎng)站用戶的個人信息等。目前，黑客的主要攻擊方式有：欺騙：通過偽造IP地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權(quán)使用，例如盜用撥號帳號。要攻擊大多數(shù)的網(wǎng)絡(luò)組成，黑客就要使用程序來遠(yuǎn)程攻擊在外部主機上運行的易受攻擊服務(wù)程序，這樣的例子包括易受攻擊的Sendmail,IMAP,POP3和諸如statd,mountd, pfsd 等RPC服務(wù)。有效利用網(wǎng)絡(luò)組成的弱點，當(dāng)黑客確認(rèn)了一些被信任的外部主機，并且同時確認(rèn)了一些在外部主機上的弱點，他們就要嘗試攻克主機了。啟動掃描程序的主機系統(tǒng)管理員通常都不知道一個掃描器已經(jīng)在他的主機上運行，因為’ps’和’netstat’都被特洛伊化來隱藏掃描程序。黑客通常通過檢查運行nfsd或mountd的那些主機輸出的NFS開始入侵，有時候一些重要目錄（例如/etc，/home）能被一個信任主機mount。黑客在這個階段使用一些簡單的命令來獲得外部和內(nèi)部主機的名稱：例如，使用nslookup來執(zhí)行 “l(fā)s domain or network”， finger外部主機上的用戶等。黑客通常在查找其他弱點之前首先試圖收集網(wǎng)絡(luò)結(jié)構(gòu)本身的信息。在典型的網(wǎng)絡(luò)攻擊中，黑客一般會采取如下的步驟：自我隱藏，黑客使用通過rsh或telnet在以前攻克的主機上跳轉(zhuǎn)、通過錯誤配置的proxy主機跳轉(zhuǎn)等各種技術(shù)來隱藏他們的IP地址，更高級一點的黑客，精通利用電話交換侵入主機。. 典型的黑客攻擊黑客們進行網(wǎng)絡(luò)攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)部破壞，還有的是出于好奇或者滿足自己的虛榮心?？陀^地說，沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)Financial Times曾做過的統(tǒng)計，平均每20秒鐘就有一個網(wǎng)絡(luò)遭到入侵。國內(nèi)網(wǎng)站也未能幸免于難，新浪、當(dāng)當(dāng)書店、EC123等知名網(wǎng)站也先后受到黑客攻擊。黑客使用了DDoS（分布式拒絕服務(wù)）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務(wù)器，使其不能提供正常服務(wù)。尤其對于政府和軍隊而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會對國家安全帶來嚴(yán)重的威脅。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。在為各安全產(chǎn)品選型時，我們立足國內(nèi)，同時保證所選產(chǎn)品的先進性及可靠性，并要求通過國家各主要安全測評認(rèn)證。為此德國軍方前些時候甚至規(guī)定在所有牽涉到機密的計算機里，不得使用美國的操作系統(tǒng)。 可擴充性原則：由于藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)建成以后還要二期和三期工程，因此方案中必須考慮到可擴充性，以免造成浪費。同時防火墻產(chǎn)品還需要支持雙機熱備功能。252。252。252。252。 均衡性原則：安全措施的實施必須以根據(jù)安全級別和經(jīng)費限度統(tǒng)一考慮。 綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當(dāng)大的比例，在各地方建立網(wǎng)絡(luò)安全設(shè)施體系的同時必須建立相應(yīng)的制度和管理體系。藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)安全體系，遵循中心統(tǒng)一規(guī)劃，各省局分別實施的原則。藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)方案必須遵循如下原則：252。. 信息安全方案的組成. 信息安全產(chǎn)品的選型原則藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)是一個要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的公文信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會嚴(yán)重的影響政府的工作。在給地方局域網(wǎng)出入口安裝防火墻，關(guān)鍵部位需要雙機熱備。. 網(wǎng)絡(luò)環(huán)境總述藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)是非涉密的內(nèi)部業(yè)務(wù)工作處理網(wǎng)絡(luò)，傳輸、處理、查詢工作中非涉密的信息。應(yīng)用局限于內(nèi)部辦公，各單位之間的公務(wù)交換。藥監(jiān)局網(wǎng)絡(luò)安全方案（一期工程）藥監(jiān)局網(wǎng)絡(luò)安全方案（一期工程） 11. 背景介紹 3. 項目總述 3. 網(wǎng)絡(luò)環(huán)境總述 3. 信息安全方案的組成 3. 信息安全產(chǎn)品的選型原則 3. 網(wǎng)絡(luò)安全現(xiàn)狀 5. 典型的黑客攻擊 5. 網(wǎng)絡(luò)與信息安全平臺的任務(wù) 7. 網(wǎng)絡(luò)安全解決方案的組成 7. 超高安全要求下的網(wǎng)絡(luò)保護 92. 安全架構(gòu)分析與設(shè)計 11. 網(wǎng)絡(luò)整體結(jié)構(gòu) 11. 集中管理和分級管理 12. 藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)管理中心網(wǎng)絡(luò) 13. 各省局的安全網(wǎng)絡(luò) 143. 可擴充性分析 15. 擴充后的中央總局網(wǎng)絡(luò)中心 15. 擴充后的省局網(wǎng)絡(luò) 164. 產(chǎn)品選型 17. 防火墻與入侵檢測的選型 17. 方正數(shù)碼公司簡介 17. 產(chǎn)品概述 18. 系統(tǒng)特點 19. 方正方御防火墻功能說明 235. 工程實施方案 31. 測試及驗收 31. 測試及驗收描述 31. 系統(tǒng)初驗 31. 功能測試 31. 性能測試 326. 售后服務(wù)和技術(shù)支持 32. 售后服務(wù)內(nèi)容 32. 保修 34. 保修方式 34. 保修范圍 34. 保修期的確認(rèn) 35. 培訓(xùn)安排 35. 全國服務(wù)網(wǎng)絡(luò) 36. 場地及環(huán)境準(zhǔn)備 37. 常規(guī)要求 37. 機房電源、地線及同步要求 37. 設(shè)備場地、通信 37. 機房環(huán)境 38. 驗收清單 39. 設(shè)備開箱驗收清單 39. 用戶信息清單 40. 用戶驗收清單 417. 方案整體優(yōu)勢 418. 方正方御防火墻榮譽證書 421. 背景介紹. 項目總述目前，國家藥品監(jiān)督管理局和各省局（共47個）已建成或正在建設(shè)自己的局域網(wǎng)絡(luò)，并將通過專網(wǎng)平臺實現(xiàn)互聯(lián)互通，形成一個與Internet物理隔離的內(nèi)部網(wǎng)絡(luò)環(huán)境。各單位辦公自動化的應(yīng)用參差不齊，應(yīng)用系統(tǒng)及其平臺各自有別。藥監(jiān)局網(wǎng)絡(luò)安全一期項目建設(shè)目標(biāo)是利用專用網(wǎng)絡(luò)平臺建立總局和各省局的連接平臺，實現(xiàn)電子公文“快速、準(zhǔn)確、全面、可靠、安全”的收集、傳輸、匯總、分析功能。該網(wǎng)由與政府有行文關(guān)系的各省近47個單位組成。這些防火墻需要集中在總局?jǐn)?shù)據(jù)中心進行管理和審計。所以，藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)安全產(chǎn)品的選型事關(guān)重大，要提到國家戰(zhàn)略的高度來衡量，否則一旦被黑客或者敵國攻入，其代價將是不能想象的。 全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。252。252。網(wǎng)絡(luò)中相同安全級別的保密強度要一致。 節(jié)約性原則：整體方案的設(shè)計應(yīng)該盡可能的不改變原來網(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費和重復(fù)投資。 集中性原則：所有的防火墻產(chǎn)品要求在數(shù)據(jù)中心可以進行集中管理，這樣才能保證在數(shù)據(jù)中心的服務(wù)器上可以掌握全局。 角色化原則：防火墻產(chǎn)品在管理上面不僅在數(shù)據(jù)中心可以完全控制外，在地方還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看防火墻策略和審計。 可靠性原則：由于藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)傳輸?shù)臄?shù)據(jù)都是比較重要的公務(wù)數(shù)據(jù)，因此防火墻產(chǎn)品需要四證齊全，即公安部三所認(rèn)證、國信安辦認(rèn)證、軍隊認(rèn)證和國家保密局認(rèn)證。252。目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟件公司的產(chǎn)品中安裝“后門”，其中包括一些應(yīng)用廣泛的操作系統(tǒng)。作為信息安全的保障，我們在安全產(chǎn)品選型時強烈建議使用國內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品，將安全風(fēng)險降至最低。. 網(wǎng)絡(luò)安全現(xiàn)狀I(lǐng)nternet正在越來越多地融入到社會的各個方面。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊、企業(yè)、個人的利益休戚相關(guān)的“大事情”。2000年二月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。在隨后的不到一個月的時間里，又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。國內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開始運營，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網(wǎng)站無法運作。僅在美國，每年由于網(wǎng)絡(luò)安全問題造成的經(jīng)濟損失就超過100億美元。隨著Internet的高速發(fā)展，也出現(xiàn)了有明確軍事目的的軍方黑客組織。網(wǎng)絡(luò)偵探和信息收集，在利用Internet開始對目標(biāo)網(wǎng)絡(luò)進行攻擊前，典型的黑客將會對網(wǎng)絡(luò)的外部主機進行一些初步的探測。通過查看上面查詢來的結(jié)果列表，通常很容易建立一個主機列表并且開始了解主機之間的聯(lián)系。確認(rèn)信任的網(wǎng)絡(luò)組成，一般而言，網(wǎng)絡(luò)中的主控主機都會受到良好的安全保護，黑客對這些主機的入侵是通過網(wǎng)絡(luò)中的主控主機的信任成分來開始攻擊的，一個網(wǎng)絡(luò)信任成員往往是主控主機或者被認(rèn)為是安全的主機。確認(rèn)網(wǎng)絡(luò)組成的弱點，如果一個黑客能建立你的外部和內(nèi)部主機列表，他就可以用掃描程序（如ADMhack, mscan, nmap等）來掃描一些特定的遠(yuǎn)程弱點。在對外部主機掃描之后，黑客就會對主機是否易受攻擊或安全有一個正確的判斷。黑客將攻擊一個被信任的外部主機，用它作為發(fā)動攻擊內(nèi)部網(wǎng)絡(luò)的據(jù)點。獲得對有弱點的網(wǎng)絡(luò)組成的訪問權(quán)，在攻克了一個服務(wù)程序后，黑客就要開始清除他在記錄文件中所留下的痕跡，然后留下作后門的二進制文件，使其以后可以不被發(fā)