【正文】 機系統(tǒng)管理員通常都不知道一個掃描器已經(jīng)在他的主機上運行，因為’ps’和’netstat’都被特洛伊化來隱藏掃描程序。黑客通常通過檢查運行nfsd或mountd的那些主機輸出的NFS開始入侵，有時候一些重要目錄（例如/etc，/home）能被一個信任主機mount。黑客在這個階段使用一些簡單的命令來獲得外部和內(nèi)部主機的名稱：例如，使用nslookup來執(zhí)行 “l(fā)s domain or network”， finger外部主機上的用戶等。黑客通常在查找其他弱點之前首先試圖收集網(wǎng)絡結(jié)構(gòu)本身的信息。在典型的網(wǎng)絡攻擊中，黑客一般會采取如下的步驟：自我隱藏，黑客使用通過rsh或telnet在以前攻克的主機上跳轉(zhuǎn)、通過錯誤配置的proxy主機跳轉(zhuǎn)等各種技術(shù)來隱藏他們的IP地址，更高級一點的黑客，精通利用電話交換侵入主機。. 典型的黑客攻擊黑客們進行網(wǎng)絡攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)部破壞，還有的是出于好奇或者滿足自己的虛榮心?？陀^地說，沒有任何一個網(wǎng)絡能夠免受安全的困擾，依據(jù)Financial Times曾做過的統(tǒng)計，平均每20秒鐘就有一個網(wǎng)絡遭到入侵。國內(nèi)網(wǎng)站也未能幸免于難，新浪、當當書店、EC123等知名網(wǎng)站也先后受到黑客攻擊。黑客使用了DDoS（分布式拒絕服務）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務器，使其不能提供正常服務。尤其對于政府和軍隊而言，如果網(wǎng)絡安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。一方面，隨著網(wǎng)絡用戶成分越來越多樣化，出于各種目的的網(wǎng)絡入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務為代表的網(wǎng)絡應用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。在為各安全產(chǎn)品選型時，我們立足國內(nèi)，同時保證所選產(chǎn)品的先進性及可靠性，并要求通過國家各主要安全測評認證。為此德國軍方前些時候甚至規(guī)定在所有牽涉到機密的計算機里，不得使用美國的操作系統(tǒng)。 可擴展原則：由于XX安全網(wǎng)絡系統(tǒng)設(shè)計地方比較多，是一個大型的網(wǎng)絡，因此隨著網(wǎng)絡規(guī)劃和規(guī)模的改變，以后必然會有新的需求，因此本方案里面考慮了該因素。 角色化原則：防火墻產(chǎn)品在管理上面不僅在數(shù)據(jù)中心可以完全控制外，在地方還需要分配適當?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看防火墻策略和審計。 集中性原則：所有的防火墻產(chǎn)品要求在XX數(shù)據(jù)中心可以進行集中管理，這樣才能保證在數(shù)據(jù)中心的服務器上可以掌握全局。 節(jié)約性原則：整體方案的設(shè)計應該盡可能的不改變原來網(wǎng)絡的設(shè)備和環(huán)境，以免資源的浪費和重復投資。網(wǎng)絡中相同安全級別的保密強度要一致。252。252。 全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。所以，XX安全網(wǎng)絡系統(tǒng)安全產(chǎn)品的選型事關(guān)重大，要提到國家戰(zhàn)略的高度來衡量，否則一旦被黑客或者敵國攻入，其代價將是不能想象的。這些防火墻系統(tǒng)需要集中在XX數(shù)據(jù)中心進行管理和審計。該網(wǎng)由與政府有行文關(guān)系的各市縣和管理站組成。該網(wǎng)絡安全方案的目的，是實現(xiàn)電子公文、信息數(shù)據(jù)“快速、準確、全面、可靠、安全”的收集、傳輸、匯總、分析功能。1. 背景介紹 3. 項目總述 3. 網(wǎng)絡環(huán)境總述 3. 信息安全方案的組成 3. 信息安全產(chǎn)品的選型原則 3. 網(wǎng)絡安全現(xiàn)狀 4. 典型的黑客攻擊 5. 網(wǎng)絡與信息安全平臺的任務 7. 網(wǎng)絡安全解決方案的組成 7. 超高安全要求下的網(wǎng)絡保護 92. 安全架構(gòu)分析與設(shè)計 10. 網(wǎng)絡整體結(jié)構(gòu) 11. 集中管理和分級管理 13. XX安全網(wǎng)絡系統(tǒng)管理中心網(wǎng)絡 14. 各地方管理局網(wǎng)絡 163. 產(chǎn)品選型 17. 防火墻與入侵檢測的選型 17. 方正數(shù)碼公司簡介 17. 產(chǎn)品概述 17. 系統(tǒng)特點 18. 方正方御防火墻功能說明 224. 工程實施方案 30. 測試及驗收 30. 測試及驗收描述 30. 系統(tǒng)初驗 30. 功能測試 30. 性能測試 315. 方正方御防火墻技術(shù)支持與服務 31. 方正數(shù)碼綠色服務體系結(jié)構(gòu)介紹 31. 完善的技術(shù)支持與服務 33. 售前服務內(nèi)容 33. 售前服務流程 34. 售后服務內(nèi)容 35. 售后服務流程 36. 服務方式 37. 服務監(jiān)督 37. 保修 38. 保修方式 38. 保修范圍 38. 保修期的確認 39. 培訓安排 39. 全國服務網(wǎng)絡 40. 場地及環(huán)境準備 40. 常規(guī)要求 40. 機房電源、地線及同步要求 41. 設(shè)備場地、通信 41. 機房環(huán)境 41. 驗收清單 43. 設(shè)備開箱驗收清單 43. 用戶信息清單 43. 用戶驗收清單 446. 方案防火墻數(shù)目 457. 方案整體優(yōu)勢 458. 方正方御防火墻榮譽證書 47. 部分方正方御防火墻客戶名單 529. 方正方御防火墻成功案例 54. 人民銀行應用案例 54. 人民銀行需求分析 54. 系統(tǒng)安全目的 56. 安全體系結(jié)構(gòu) 56. 安全系統(tǒng)實施 57. 武警總隊全國安全應用實例 581. 背景介紹. 項目總述目前，XX向下各地方的市、區(qū)、縣局相連，向上和廣東省廳相連。形成一個內(nèi)部辦公網(wǎng)絡環(huán)境。. 網(wǎng)絡環(huán)境總述XX安全網(wǎng)絡系統(tǒng)是涉密的內(nèi)部業(yè)務工作處理網(wǎng)絡，傳輸、處理、查詢工作中涉密的信息。在給地方局域網(wǎng)出入口安裝防火墻，關(guān)鍵部位需要雙機熱備。. 信息安全方案的組成. 信息安全產(chǎn)品的選型原則XX安全網(wǎng)絡系統(tǒng)是一個要求高可靠性和安全性的網(wǎng)絡系統(tǒng)，若干重要的公文信息在網(wǎng)絡傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會嚴重的影響政府的工作。XX安全網(wǎng)絡系統(tǒng)方案必須遵循如下原則：252。XX安全網(wǎng)絡系統(tǒng)安全體系，遵循中心統(tǒng)一規(guī)劃，各縣、地方分別實施的原則。 綜合性原則：網(wǎng)絡安全不單靠技術(shù)措施，必須結(jié)合管理，當前我國發(fā)生的網(wǎng)絡安全問題中，管理問題占相當大的比例，在各地方建立網(wǎng)絡安全設(shè)施體系的同時必須建立相應的制度和管理體系。 均衡性原則：安全措施的實施必須以根據(jù)安全級別和經(jīng)費限度統(tǒng)一考慮。252。252。252。252。目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟件公司的產(chǎn)品中安裝“后門”，其中包括一些應用廣泛的操作系統(tǒng)。作為信息安全的保障，我們在安全產(chǎn)品選型時強烈建議使用國內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡安全產(chǎn)品，將安全風險降至最低。. 網(wǎng)絡安全現(xiàn)狀I(lǐng)nternet正在越來越多地融入到社會的各個方面。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊、企業(yè)、個人的利益休戚相關(guān)的“大事情”。2000年二月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。在隨后的不到一個月的時間里，又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。國內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開始運營，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網(wǎng)站無法運作。僅在美國，每年由于網(wǎng)絡安全問題造成的經(jīng)濟損失就超過100億美元。隨著Internet的高速發(fā)展，也出現(xiàn)了有明確軍事目的的軍方黑客組織。網(wǎng)絡偵探和信息收集，在利用Internet開始對目標網(wǎng)絡進行攻擊前，典型的黑客將會對網(wǎng)絡的外部主機進行一些初步的探測。通過查看上面查詢來的結(jié)果列表，通常很容易建立一個主機列表并且開始了解主機之間的聯(lián)系。確認信任的網(wǎng)絡組成，一般而言，網(wǎng)絡中的主控主機都會受到良好的安全保護，黑客對這些主機的入侵是通過網(wǎng)絡中的主控主機的信任成分來開始攻擊的，一個網(wǎng)絡信任成員往往是主控主機或者被認為是安全的主機。確認網(wǎng)絡組成的弱點，如果一個黑客能建立你的外部和內(nèi)部主機列表，他就可以用掃描程序（如ADMhack, mscan, nmap等）來掃描一些特定的遠程弱點。在對外部主機掃描之后，黑客就會對主機是否易受攻擊或安全有一個正確的判斷。黑客將攻擊一個被信任的外部主機，用它作為發(fā)動攻擊內(nèi)部網(wǎng)絡的據(jù)點。獲得對有弱點的網(wǎng)絡組成的訪問權(quán)，在攻克了一個服務程序后，黑客就要開始清除他在記錄文件中所留下的痕跡，然后留下作后門的二進制文件，使其以后可以不被發(fā)覺地訪問該主機。竊聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡的數(shù)據(jù)包，對信息進行過濾和分析后得到有用的信息，例如使用sniffer程序竊聽用戶密碼。數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對信息進行非法的修改，例如，刪除系統(tǒng)內(nèi)的重要文件，破壞網(wǎng)站數(shù)據(jù)庫等。典型的例子就是2000年年初黑客對Yahoo等大型網(wǎng)站的攻擊。. 網(wǎng)絡與信息安全平臺的任務網(wǎng)絡與信息安全平臺的任務就是創(chuàng)建一個完善的安全防護體系，對所有非法網(wǎng)絡行為，如越權(quán)訪問、病毒傳播、惡意破壞等等，事前預防、事中報警并阻止，事后能有效的將系統(tǒng)恢復。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡安全里尤其適用。. 網(wǎng)絡安全解決方案的組成針對前文對黑客入侵的過程的描述，為了更為有效的保證網(wǎng)絡安全，方正數(shù)碼提出了兩個理念：立體安全防護體系和安全服務支持。一個好的網(wǎng)絡安全解決方案應該由如下幾個部分組成：l 防火墻：對網(wǎng)絡攻擊的阻隔防火墻是保證網(wǎng)絡安全的重要屏障。防火墻最大的意義在網(wǎng)絡邊界處提供統(tǒng)一的安全策略，有效的將復雜的網(wǎng)絡安全問題簡化，大大降低管理成本和潛在風險。發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。網(wǎng)絡安全漏洞掃描器是“先敵發(fā)現(xiàn)”，未雨綢繆。甚至由此派生出了P^2DR理論。一旦被發(fā)現(xiàn)，則報警并作出相應處理，同時可以根據(jù)預定的措施自動反應，比如暫時封掉發(fā)起該掃描的IP。事實上，黑客可以將一些廣為人知的網(wǎng)絡攻擊進行一些較為復雜的變形，就能做到?jīng)]有入侵檢測系統(tǒng)能夠識別出來。l 安全審計管理安全審計系統(tǒng)必須實時監(jiān)測網(wǎng)絡上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實記錄，并能對于嚴重的違規(guī)行為進行阻斷。安全審計跟蹤機制的內(nèi)容是在安全審計跟蹤中記錄有關(guān)安全的信息，而安全審計管理的內(nèi)容是分析和報告從安全審計跟蹤中得來的信息。收集審計跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對安全要求的明顯違反或成功操作的完成），能適應各種不同的需要。l 虛擬專用網(wǎng)（VPN）：遠程傳輸?shù)陌踩玍PN技術(shù)在把分散在各處的服務器群連成了一個整體，形成了一個虛擬的專用網(wǎng)絡。使用VPN可以象管理本地服務器一樣去安全的管理遠程的服務器。l 防病毒以及特洛伊木馬計算機病毒的危害不言而喻，計算機病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來，成為黑客的又一利器。由于在金卡工程中沒有辦公系統(tǒng)部分，所以這部分不多加解釋。此外，信息備份是信息安全的最起碼的要求。. 超高安全要求下的網(wǎng)絡保護對于XX安全網(wǎng)絡系統(tǒng)數(shù)據(jù)中心安全而言，安全性需求就更加的高，屬于超高安全要求下的網(wǎng)絡保護范圍，因此需要在這些地方使用2臺防火墻進行雙機熱備，以保證數(shù)據(jù)穩(wěn)定傳輸。對于內(nèi)部訪問，也要有完善的網(wǎng)絡行為審計記錄和權(quán)限限定，防止由內(nèi)部人員發(fā)起的攻擊。這是一個簡單的原理：如果網(wǎng)絡是隔離開的，那么網(wǎng)絡攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡隔離解決方案，在網(wǎng)絡連通條件下，通過破壞網(wǎng)絡攻擊得以進行的另外兩個重要條件：178。 將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡從而確保XX安全網(wǎng)絡系統(tǒng)的安全。要保護這樣一個繁雜的網(wǎng)絡系統(tǒng)的網(wǎng)絡安全，必須有完善的管理保證。方正方御防火墻采用基于Windows GUI的用戶界面進行遠程集中式管理，配置管理界面直觀，易于操作。方正方御防火墻符合國家最新防火墻安全標準，采用了三級權(quán)限機制，分為管理員，策略員和審計員。事實上，方御防火墻是通過該標準認證的第一個包過濾防火墻。2. 安全架構(gòu)分析與設(shè)計邏輯上，XX安全網(wǎng)絡系統(tǒng)將劃分為2個區(qū)域：內(nèi)部網(wǎng)絡，外部互連網(wǎng)絡。每一個網(wǎng)段必須能夠構(gòu)成一個獨立的、完整的、安全的、可靠的系統(tǒng)。網(wǎng)絡整體結(jié)構(gòu)如下圖所示：