【正文】 可以使攻擊者無法通過系統(tǒng)漏洞攻擊受保護(hù)的服務(wù)器。因此，最可行的做法是管理制度和管理解決方案的結(jié)合。這就要求我們必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等 ），必須實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。 管理層安全－ 再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實(shí)現(xiàn)，因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對(duì)于一個(gè)比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。 系統(tǒng)層安全－ 系統(tǒng)級(jí)的安全風(fēng)險(xiǎn) 分析主要針對(duì)專用網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫、及相 關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。 應(yīng)用層安全－ 網(wǎng)絡(luò)應(yīng)用系統(tǒng)中主要存在以下安全風(fēng)險(xiǎn)：業(yè)務(wù)網(wǎng)之間的非法訪問；中間業(yè)務(wù)的安全；用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對(duì)成功提交的業(yè)務(wù)進(jìn)行事后抵賴。還可能通過可以訪問的條件制造一些其它不安全因素（偽造、篡改數(shù)據(jù)等）。 網(wǎng)絡(luò)安全不僅來自外部網(wǎng)絡(luò)，同樣存在于內(nèi)部網(wǎng)，而且來自內(nèi)部的攻擊更嚴(yán)重、更難防范。存儲(chǔ)數(shù)據(jù)對(duì)于網(wǎng)絡(luò)系統(tǒng)來說極為重要 ，如果由于通信線路的質(zhì)量原因或者人為的惡意篡改，都將導(dǎo)致難以想象的后果，這也是網(wǎng)絡(luò)犯罪的最大特征。 重要業(yè)務(wù)數(shù)據(jù)泄漏：由于在同級(jí)局域網(wǎng)和上下級(jí)網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。 網(wǎng)絡(luò)層安全－ 網(wǎng)絡(luò)層 安全 主要分為兩個(gè)方面：網(wǎng)絡(luò)傳送安全和網(wǎng)絡(luò)服務(wù)安全。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計(jì)算機(jī)系統(tǒng)通過無線電輻射泄露秘密信息等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。 從網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用出發(fā)，網(wǎng)絡(luò)的安全因素可以劃分到如下的五個(gè)安全層中，即 物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和安全管理。本文將對(duì)其技術(shù)與實(shí)現(xiàn)作詳細(xì)的介紹。網(wǎng)絡(luò)安全包括兩層內(nèi)容：其一是網(wǎng)絡(luò)資源的安全性，其二是數(shù)據(jù)交換的安全性。 另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān) 注的問題。許多大型網(wǎng)站都曾被黑客用 DDOS 方式攻擊而造成很大的損失。 Mellisa 宏病毒所達(dá)到的效果就是拒絕服務(wù)攻擊。 拒絕服務(wù)攻擊 —— 攻擊者的目的是阻止合法用戶對(duì)資源的訪問。 端口掃描 — 通過探測(cè)防火墻在偵聽的端口，來發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道路由器軟件的某個(gè)版本存在漏洞，通過查詢特定端口，判斷是否存在該漏洞。 IP地址欺騙 —— 攻擊者通過改變自己的 IP地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的報(bào)文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報(bào)文（如發(fā)送 ICMP 的特定報(bào)文）來更改路由信息，以竊取信息。而由于目前網(wǎng)絡(luò)應(yīng)用的自由性、廣泛性以及黑客的“流行”，網(wǎng)絡(luò)面臨著各種安全威脅，存在著各種類型的機(jī)密泄漏和攻擊方式，包括： 竊聽報(bào)文 —— 攻擊者使用報(bào)文獲取設(shè)備，從傳輸?shù)臄?shù)據(jù)流中獲取數(shù)據(jù)并進(jìn)行分析，以獲取用戶名 /口令或者是敏感的數(shù)據(jù)信息。 目 錄 1 網(wǎng)絡(luò)安全方案摘要 ...........................................................................................................................3 網(wǎng)絡(luò)安全方案描述 ....................................................................................................................3 網(wǎng)絡(luò)安全解決思路 ....................................................................................................................5 網(wǎng)絡(luò)安全 問題解決建議 ............................................................................................................6 2 網(wǎng)絡(luò)安全詳細(xì)技術(shù)建議書 ...............................................................................................................7 網(wǎng)絡(luò)架構(gòu)分析 ............................................................................................................................7 應(yīng)用系統(tǒng)架構(gòu) .....................................................................................................................7 應(yīng)用系 統(tǒng)平臺(tái) .....................................................................................................................8 系統(tǒng)風(fēng)險(xiǎn)分析 ............................................................................................................................8 網(wǎng)絡(luò)架構(gòu)風(fēng)險(xiǎn)分析 .............................................................................................................8 應(yīng)用系統(tǒng)風(fēng)險(xiǎn)分析 ........................................................................................................... 11 安全 風(fēng)險(xiǎn)分析匯總 ...........................................................................................................16 安全需求分析 ..........................................................................................................................18 邊界防護(hù)的需求 ...............................................................................................................18 入侵檢測(cè)需求 .....................................................................................................................22 病毒防護(hù)安全需求 ...........................................................................................................25 系統(tǒng)安全建議 ..........................................................................................................................26 防火墻子系統(tǒng)規(guī)劃 ...........................................................................................................27 入侵檢測(cè)子系統(tǒng)規(guī)劃 .......................................................................................................30 安全隔離子系統(tǒng)規(guī)劃 .......................................................................................................36 病毒防護(hù)規(guī)劃 ...................................................................................................................40 安全產(chǎn)品選型 ..........................................................................................................................42 防火墻產(chǎn)品選型 ...............................................................................................................42 入侵檢測(cè)產(chǎn)品選型 ...........................................................................................................44 安全隔離產(chǎn)品選型 ...........................................................................................................47 病毒防護(hù)產(chǎn)品選型 ...........................................................................................................48 SAV 主要功能、特點(diǎn) ...................................................................................................................48 建立防病毒系統(tǒng)主要考慮內(nèi)容 ...................................................................................................51 MCAFEE 公司防病毒產(chǎn)品介紹 ........................................................................................................51 主要功能： .......................................................................................................................52 集中管理的防病毒管理體系 .......................................................................................................54 防病毒管理系統(tǒng)的主要特點(diǎn)及功能 ...........................................................................................54 強(qiáng)大的廣域網(wǎng)管理能力 ...............................................................................................................54 防病毒軟件的管理： ...................................................................................................................56 配置和集中管理 ..............................................................................................................................56 任務(wù)調(diào)度和執(zhí)行 ..............................................................................................................................57 病毒自動(dòng)更新和升級(jí) .............................................