【正文】 二 、 海南日報社網(wǎng)絡(luò)安全現(xiàn)狀 海南日報社網(wǎng)絡(luò)系統(tǒng)是是一個覆蓋全樓的局域網(wǎng)絡(luò)，它包含如下幾個區(qū)域： 一是樓層匯聚區(qū)域，主要負責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)和策略設(shè)置。三是數(shù)據(jù)中心服務(wù)區(qū)和DMZ 區(qū)，是報社核心數(shù)據(jù)的存儲和交互區(qū)域。 隨著業(yè)務(wù)的發(fā)展，海南日報社網(wǎng)絡(luò)系統(tǒng)原有的基于內(nèi)部網(wǎng)絡(luò)的相對安全將被打破，無法滿足業(yè)務(wù)發(fā)展的安全需求，急需重新制定安全策略，建立完整的安全保障體系。 、病毒入侵風(fēng)險分析 病毒的具有非常強的破壞力和傳播能 力。 、網(wǎng)絡(luò)層安全分析 、網(wǎng)絡(luò)邊界風(fēng)險分析 網(wǎng)絡(luò)的邊界是指兩個不同安全級別的網(wǎng)絡(luò)的接入處，包括同 Inter 網(wǎng)的 接入處，以及內(nèi)部網(wǎng)不同安全級別的子網(wǎng)之間的連接處。 、數(shù)據(jù)傳輸風(fēng)險分析 在外出移動辦公用戶和內(nèi)網(wǎng) OA 有關(guān)鍵數(shù)據(jù)的傳輸，在這之間存在數(shù)據(jù)傳輸?shù)陌踩L(fēng)險。 、應(yīng)用層安全分析 應(yīng)用層安全是指用戶在網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)的安全，包括 WEB、 FTP、郵件系統(tǒng)、 DNS 等網(wǎng)絡(luò)基本服務(wù)系統(tǒng)、業(yè)務(wù)系統(tǒng)等。 、管理層安全分析 系統(tǒng)的安全保障最終來自于嚴格完善的安全 管理，網(wǎng)絡(luò)中面臨的安全管理風(fēng)險有： 安全管理制度問題 存在著由于管理制度不健全或不落實，造成信息由內(nèi)部人員有意或無意通過 網(wǎng)絡(luò)傳播或擴散出去，造成嚴重的影響和損失的可能性。 統(tǒng)一安全管理問題 辦公網(wǎng)中將存在多種信息安全設(shè)備，多種技術(shù)和產(chǎn)品多層面、分布式共存不同廠商的不同產(chǎn)品產(chǎn)生大量不同形式的安全信息，使得整個系統(tǒng)的相互協(xié)作和集中管理成為安全管理 的難點。 目前安全模型已經(jīng)從以前的被動保護轉(zhuǎn)到了現(xiàn)在的主動防御，強調(diào)整個生命周期的防御和恢復(fù)。所謂 PDR 模型指的就是基于防護（ Protection）、檢測（ Detection）、響應(yīng)（ Reaction）的安全模型。該模型是可量化、可由數(shù)學(xué)證明、基于時間的、以 PDR 為核心的安全模型。如下圖所示。它描述 系統(tǒng)中哪些資源要得到保護，以及如何實現(xiàn)對它們的保護等。防護的 對象涵蓋了系統(tǒng)的全部，防護手段也因此多種 多樣。通過不間斷的檢測網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)威脅。根據(jù)策略以及檢測到的情況動態(tài)的調(diào)整防護，達到主動防御的目的。我們可以通過定義下列時間量來描述 P2DR 模型的時間特性。防護時間由兩方面共同決定：①入侵能力，②防護能力。顯然防護時間越長系統(tǒng)越安全。改進檢測算法和設(shè)計可縮短 Dt。一個監(jiān)控系統(tǒng)的響應(yīng)可能包括見識、切換、跟蹤、報警、反擊等內(nèi)容。 ? 暴露時間 Et：表示系統(tǒng)處于不安全狀態(tài)的時間。顯然 Et 越小表示系統(tǒng)越安全，當(dāng) Et≤ 0 時，可以認為系統(tǒng)是安全的。這樣一旦系統(tǒng)安全事故發(fā)生了，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運行。因此，安全域劃分是進行信息安 10 全建設(shè)的首要步驟。當(dāng)然，安全域的劃分不能單純從安全角度考慮，而是應(yīng)該以業(yè)務(wù)角度為主，輔以安全角度，并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，才能以較小的代價完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。根據(jù)以上安全域劃分考慮因素及示意圖， 針對海南日報社網(wǎng)絡(luò)安全保障體系系統(tǒng)建設(shè)，劃分安全域如下圖，以實現(xiàn)按需防護的建設(shè)理念。緊密結(jié)合現(xiàn)有網(wǎng)絡(luò)和應(yīng)用情況，充分保證原有系統(tǒng)和結(jié)構(gòu)的可用性。在安全體系建設(shè)中，我們采取多種安全防御的技術(shù)和措施來保障網(wǎng)絡(luò)系統(tǒng)安全運行。 ? 安全目標(biāo)與效率、投入之間 的平衡原則 要綜合考慮安全目標(biāo)與效率、投入之間的均衡關(guān)系，確定合適的平衡點，不能為了追求安全而犧牲效率，或投入過大。 ? 動態(tài)發(fā)展原則 安全防范體系的建設(shè)不是一個一勞永逸的工作，而是一個長期不斷完善的過程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整而不斷升級發(fā)展。 13 六、 技術(shù)實現(xiàn) 、通信網(wǎng)絡(luò)安全 普通計算機通信網(wǎng)絡(luò)安全主要保障普通計算機通信網(wǎng)絡(luò)的正常運行，為各種終端提供數(shù)據(jù)交換。 網(wǎng)絡(luò)安全防護設(shè)備對進入安全域的數(shù)據(jù)進行分析、過濾、隔離、監(jiān)控，防范惡意攻擊和非法訪問。 根據(jù)海南日報社中普通計算機通信網(wǎng)絡(luò)的規(guī)模和相關(guān) 要求， 應(yīng)按需部署防火墻、入侵防護系統(tǒng)、統(tǒng)一威脅管理系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡(luò)安全審計五類設(shè)備： a) 防火墻 防火墻主要實現(xiàn)訪問控制功能，防火墻根據(jù)安全策略控制（允許、拒絕、監(jiān)視、記錄）不同安全域之間的訪問行為，將安全域進行分隔，并能根據(jù)系統(tǒng)的安策略控制進出網(wǎng)絡(luò)的信息流。對于越權(quán)訪問的行為，及時發(fā)現(xiàn)并阻斷。它監(jiān)視計算機系 統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對它們進行分析，以尋找危及信息的機密性、完整性、可用性或試圖繞過安全機制的入侵行為并進行有效攔截。 c) 統(tǒng)一威脅管理系統(tǒng) UTM 在海南日報的部分安全邊界的防護上，可依據(jù)自身建設(shè)需求、保護對象的防護需求，選擇防火墻、 IPS、防病毒網(wǎng)關(guān)、上網(wǎng)行為審計、防垃圾郵件、 VPN 中 14 的一種或多種產(chǎn)品的組合，來達到對保護對象深度防護的目的。在這種情況下，可以選擇集多項安全功能于一體的統(tǒng)一威脅管理（ UTM）設(shè)備，來實現(xiàn)同樣的建設(shè)和防護目標(biāo)。采用 UTM 設(shè)備來構(gòu)成本方案的核心產(chǎn)品，既有效節(jié)約了建設(shè)資金，又達到了更好的防護效果。并且需要通過先進的硬件架構(gòu)、軟件架構(gòu)和處理引擎對處理能力進行充分保證。 網(wǎng)絡(luò)入侵檢測系統(tǒng)的主要功能： 1) 監(jiān)視、分析用戶及系統(tǒng)活動； 2) 識別反映已知進攻的活動模式并向相關(guān)部門報警； 3) 異常行為模式的統(tǒng)計分析； 4) 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 5) 操作系統(tǒng)的審計跟蹤管理，并識別違反安全策略的行為； 6) 與防火墻聯(lián)動，并接受安全 管理中心的管理。網(wǎng)絡(luò)安全審計系統(tǒng)與防火墻、入侵檢測的區(qū)別主要是對網(wǎng)絡(luò)的應(yīng)用層內(nèi)容進行審計與分析。 、網(wǎng)絡(luò)資源管理系統(tǒng) 網(wǎng)絡(luò)資源管理系統(tǒng)基于 SNMP 管理協(xié)議 ，并能夠 跨廠商、跨平臺迅速搜索整個網(wǎng)絡(luò)內(nèi)的所有節(jié)點、自動勾畫出整個網(wǎng)絡(luò)的準確第二層拓樸圖――物理拓撲圖，包括設(shè)備間的冗余連接、備份連接、均衡負載連接，網(wǎng)絡(luò)用戶可以為每條設(shè)備間連接加以注釋，為每臺設(shè)備設(shè)置中文設(shè)備名稱，監(jiān)測網(wǎng)絡(luò)中每臺設(shè)備的名稱、IP 地 址、類型、廠商等，并能夠自動辨別線路連接類型 ，對突發(fā)事件，及時定位。并可設(shè)置過濾條件，迅速查看到匹配的監(jiān)控結(jié)果 。 ? 邊界復(fù)雜，缺乏對邊界策略的統(tǒng)一控制； ? 網(wǎng)絡(luò)病毒，木馬利用網(wǎng)絡(luò)大肆傳播； ? 存在 IM/P2P 影響工作效率和組織生產(chǎn)力； ? 垃圾郵件防不勝防，成為病毒、木馬傳播的新載體。 ? 增強的上網(wǎng)行為管理：將上網(wǎng)行為的控制與流量管理細化至主機進程級，控制精度進一步提升。 ? 全面的內(nèi)網(wǎng)合規(guī)管理：提供終端安全加固、外設(shè)接入控制、補丁分發(fā)管理、終端遠程監(jiān)控等多項終端合規(guī)管理。 ? 簡單的終端部署管理，客戶端統(tǒng)一分發(fā)，安全策 略統(tǒng)一配置，客戶端集中自動升級。 方便的集中管理功能 ? 通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設(shè)備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓撲展示。 選擇啟明星辰 UTM 產(chǎn)品原因： 19 CCID 報告：啟明星辰 UTM 產(chǎn)品，連續(xù)三年國內(nèi)市場排名第一 獲得 以下榮譽： 20 、核心交換區(qū) IDS部署 用戶面臨的問題與挑戰(zhàn) ： ? 在 Inter 入口處部署防火墻系統(tǒng)來保證安全， 依賴防火墻建立網(wǎng)絡(luò)的組織往往是 “外緊內(nèi)松 ”，無法阻止內(nèi)部人員所做的攻擊 ,對信息流的控制缺乏靈活性從外面看似非常安全，但內(nèi)部缺乏必要的安全措施 ； ? 80%以上的入侵來自于內(nèi)部 ，對于內(nèi)部的攻擊沒有 實時的 預(yù)警； ? 在被入侵攻擊后， 不能收集相關(guān)的攻擊信息； ? 感染病毒 ? 辦公用機系統(tǒng)崩潰 ? 服務(wù)器運行很慢 ? 訪問不了數(shù)據(jù)庫 針對 以上面臨問題，使用 天闐入侵檢測與管理系統(tǒng) 有如 下功能 對問題進行解決 ： ●全 面檢測 ——全面信息收集：天闐 IDS 支持多級、分布式部署，實現(xiàn)策略統(tǒng)一下發(fā)，信息集中收集。 ——全面檢測機制：天闐 IDS 支持基于特征和基于原理的兩種檢測方式，在保障檢測精度的基礎(chǔ)上，擴大了檢測可識別的范圍。 ——全面檢測范圍：天闐 IDS 提供網(wǎng)絡(luò)入侵事件、網(wǎng)絡(luò)違規(guī)事件、流量異常事件等多種異常檢測。 ●有效呈現(xiàn) ——精確報警信息：天闐 IDS 結(jié)合了環(huán)境指紋技術(shù)，在發(fā)現(xiàn)有攻擊行為后，與存儲的環(huán)境信息進行二次匹配，將那些能夠確信為 “有用 ”的報警信息單獨呈現(xiàn)，減 少用戶的分析操作消耗。 ——威脅地址定位：天闐 IDS 提供與實際地理拓撲相結(jié)合的報警顯示方式。 ——豐富報表展現(xiàn)：天闐 IDS 提供基于時間、地址、事件等多重參數(shù)信息的分析報表，結(jié)合歷史分析數(shù)據(jù)，可清晰展現(xiàn)安全建設(shè)發(fā)展趨勢，協(xié)助考量網(wǎng)絡(luò)安全建設(shè)水平。啟明星辰擁有業(yè)內(nèi)最大的用戶群體，通 過完善的服務(wù)機制，在保證了用戶有效利用產(chǎn)品的同時及時持續(xù)的獲得各類安全威脅，使用戶及時擁有最新最完善的威脅檢測事件庫。 獲得以下榮譽： 22 、上網(wǎng)行為檢測部署 用戶面臨的問題與挑戰(zhàn) 國家法規(guī)及信息安全達標(biāo)的要求 國家 82 號令要求上網(wǎng)企業(yè)單位至少保留 60 天的上網(wǎng)記錄 ，國資委要求關(guān)系國計民生的重點企業(yè)單位，其信息化建設(shè)必須滿足對應(yīng)的等級保護要求； 非法網(wǎng)站的訪問帶來了較多的法律風(fēng)險 反政府，反社會，反道德，反法律的網(wǎng)站的主動或被動瀏覽，給單位帶來了巨大的法律風(fēng)險； 23 高風(fēng)險網(wǎng)站的訪問帶來各種安全問題 由于對用戶訪問網(wǎng)站沒有限制，內(nèi)網(wǎng)用戶無意中訪問各種含有木馬、病毒的網(wǎng)站會引起內(nèi)網(wǎng)病毒傳播 ,影響網(wǎng)絡(luò)正常運行。 缺乏有效管理 ,工作效率低下 雖然有各種網(wǎng)絡(luò)管理制度，但更多流于形式。 內(nèi)網(wǎng)用戶的各種上網(wǎng)行為不能有效記錄分 析 現(xiàn)有網(wǎng)絡(luò)缺少記錄設(shè)備，不能對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為做到分析總結(jié)。不同的網(wǎng)段執(zhí)行不同的認證策略。審計內(nèi)網(wǎng)用戶的互聯(lián)網(wǎng)使用行為，利于網(wǎng)絡(luò)管理、 IT 定位。 合理阻塞高風(fēng)險類網(wǎng)站，通過技術(shù)手段減少網(wǎng)絡(luò)感染木馬、病 毒的機率，使內(nèi)網(wǎng)用戶訪問合法化。 全面記錄各種外發(fā)信息，并基于各種條件進行外發(fā)信息的過濾，使信息安全管理等級提高了一大步。 控制了網(wǎng)絡(luò)中充斥的大量病毒，屏蔽了病毒在網(wǎng)絡(luò)大量傳播、發(fā)包，造成網(wǎng)絡(luò)的中斷，保障正常的辦公系統(tǒng)； 通過各種管控措施的實施 ，用戶的網(wǎng)絡(luò)使用環(huán)境有了大幅度的改善，整體上達到了精細化管理的要求。 2） 網(wǎng)頁過濾 “精 ” 容量高達 1600 萬條的 URL 分類數(shù)據(jù)庫，遙遙領(lǐng)先同類產(chǎn)品；高達 95%的網(wǎng)頁內(nèi)容識別率，在海量的 URL 庫的基礎(chǔ)上，基于網(wǎng)頁分類的瀏覽行為管理 可以得到精準落實；基于機器學(xué)習(xí)的智能網(wǎng)頁分類引擎，能快速分析 URL 庫中未涵蓋的新網(wǎng)頁內(nèi)容，保障過濾無遺漏； 快速回傳未識別網(wǎng)址，由專業(yè) URL 分析團隊進行快速分揀并完善分類庫；可對指定類型的網(wǎng)站進行網(wǎng)頁快照保存，滿足審計全面性的同時，避免消耗過多的存儲資源；搜索引擎關(guān)鍵字二維審計，可針對不同的搜索分類進行不同關(guān)鍵字的設(shè)置，例如對圖片視頻類要控制色情類的詞語，文字網(wǎng)頁類的搜索要控制政治類的詞語等。 ）外發(fā)控審 “精 ” 外發(fā)信息控制審計全面覆蓋聊天工具、郵件、論壇、博客等主流信息外發(fā)渠道； 除外發(fā)文字信息外，更可對外傳的文件附件內(nèi)容進行全面審計 ； 支持對經(jīng)過壓縮的文件附件內(nèi)容進行審計。 26 2）使用操作 “易 ” 圖 形化界面，人性化設(shè)計，五分鐘上手，半小時熟練；流暢的操作手感，簡單勾選，迅速完成配置；在線幫助隨手可得，專業(yè)指導(dǎo)體貼入微。 健壯可靠 1）容災(zāi)能力 “強 ” 卡 +硬盤雙重主控系統(tǒng)設(shè)計，當(dāng)硬盤主系統(tǒng)崩潰后，另外一個系統(tǒng)可以及時接管，確保系統(tǒng)正常運行；通過 Flash 可以進行硬盤系統(tǒng)的快速修復(fù)，重新恢復(fù)雙主控； 面板提供硬件 bypass 按鈕，一鍵切換直通狀態(tài)，確保網(wǎng)絡(luò)正常運行不 受意外影響；獨有帶電模式下的智能 bypass 功能，當(dāng)設(shè)備出現(xiàn)嚴重異常時，工作接口可以自動切換到直通狀態(tài)； Bypass 狀態(tài)下設(shè)備仍然能夠正常訪問，在不影響用戶網(wǎng)絡(luò)正常通信的同時，還能對設(shè)備進行管理，迅速定位問題的來源 。 3） 安全隱匿 “強 ” 專有的 NSOS 操作系統(tǒng)，進行全面的安全加固，可有效防護對設(shè)備的攻擊和入侵，全面保障設(shè)備自身的安全； 通過網(wǎng)康獨有的用戶交互隱身技術(shù)的保護，用戶在登錄認證、信息提示或者客戶端下載等操作中，都無法獲取 NSICG 本身的地址，避免了潛在的攻擊風(fēng)險。 DDOS 攻擊 打造安全可信的合規(guī)內(nèi)網(wǎng)，天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)提出了五維化終端合規(guī)管理模型： 壹 終端準入控制 天珣具備完善的準入控制手段，不僅支持基于國際標(biāo)準協(xié)議 、 Cisco專有協(xié)議 EAPOU的網(wǎng)絡(luò)準入控制，還支持基于策略網(wǎng)關(guān)的應(yīng)用準入控制及基于終端安全狀態(tài)的客戶端準入控制，更可與啟明星辰天清漢馬 USG 一體化安全網(wǎng)關(guān)進行聯(lián)動，確保只有通過身份驗證和安全檢查的終端才能接入內(nèi)網(wǎng)， 變被動防御為主動防御， 為內(nèi)網(wǎng)的安全合規(guī)提供強制性保障。 28 貳 終端安全控制 天珣客戶端圍繞 “主動防御 ”的合規(guī)管理目標(biāo)，內(nèi)置強大的終端安全控制引擎，采用訪問控制、流量控