【正文】 ，因此我們從黑客攻擊以及網(wǎng)絡(luò)蠕蟲(chóng)病毒的角度對(duì)**集團(tuán)面臨的威脅進(jìn)行全面的分析，就是為了減少對(duì)其的安全威脅，把**集團(tuán)面臨的安全風(fēng)險(xiǎn)控制在可接受的最理想的范圍內(nèi)。 網(wǎng)段之間邊界不夠清晰，控制力度弱，病毒、攻擊等安全事件容易擴(kuò)散；216。 終端與重要服務(wù)器處于同一邏輯區(qū)域，重要信息服務(wù)器存在安全風(fēng)險(xiǎn)；216。 網(wǎng)絡(luò)病毒，木馬利用網(wǎng)絡(luò)大肆傳播；216。 垃圾郵件防不勝防，成為病毒、木馬傳播的新載體。 需要對(duì)終端用戶方便地進(jìn)行管理和審計(jì)，對(duì)用戶進(jìn)行準(zhǔn)入控制。邊界環(huán)境是比較復(fù)雜的。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務(wù)攻擊、SYN Flood攻擊、IP欺騙攻擊等等獲取系統(tǒng)權(quán)限，進(jìn)入系統(tǒng)內(nèi)部。. 入侵檢測(cè)/防御需求分析訪問(wèn)控制系統(tǒng)可以靜態(tài)的實(shí)施訪問(wèn)控制策略，防止一些非法的訪問(wèn)等。因此系統(tǒng)內(nèi)需要建設(shè)統(tǒng)一的符合國(guó)家規(guī)定的安全檢測(cè)機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動(dòng)的入侵檢測(cè)和分析，對(duì)非法信息予以過(guò)濾，提高系統(tǒng)整體安全性。目前病毒的發(fā)展主要呈現(xiàn)以下幾個(gè)趨勢(shì)，通過(guò)了解這些背景情況，將有助于了解防病毒體系的技術(shù)要求。病毒的傳播可能會(huì)具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。因此，這類病毒傳播速度非?？欤灰幸粋€(gè)用戶受到感染，就可以形成一個(gè)非常大的傳染面。木馬病毒的傳播使得病毒在發(fā)作的時(shí)候有可能自動(dòng)聯(lián)絡(luò)病毒的創(chuàng)造者，或者采取DoS（拒絕服務(wù)）的攻擊。而蠕蟲(chóng)病毒則會(huì)搶占有限的網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)堵塞。同時(shí)，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫(xiě)一個(gè)具有極強(qiáng)殺傷力的病毒程序。 病毒傳播速度更快，傳播渠道更多目前上網(wǎng)用戶已不再局限于收發(fā)郵件和網(wǎng)站瀏覽，此時(shí)，文件傳輸成為病毒傳播的另一個(gè)重要途徑。同時(shí)，其它的網(wǎng)絡(luò)連接方式如ICQ、IRC也成為了傳播病毒的途徑。因此部署網(wǎng)關(guān)防病毒產(chǎn)品，控制病毒的傳播至關(guān)重要。也可在某些通過(guò)地址轉(zhuǎn)換方式上網(wǎng)的局域網(wǎng)以私有IP地址通過(guò)安全I(xiàn)P通道接入企業(yè)內(nèi)部網(wǎng)。主要需要認(rèn)證的用戶包括應(yīng)用系統(tǒng)用戶、數(shù)據(jù)用戶、操作系統(tǒng)用戶等。. 網(wǎng)絡(luò)傳輸安全需求分析中心與各級(jí)機(jī)構(gòu)之間以及移動(dòng)用戶與信息中心進(jìn)行業(yè)務(wù)操作過(guò)程中，通過(guò)租用電信運(yùn)營(yíng)商線路或者通過(guò)INTERNET進(jìn)行數(shù)據(jù)業(yè)務(wù)的傳輸，在傳輸過(guò)程中，信息將面臨搭線竊聽(tīng)、電磁信號(hào)分析都攻擊手段，通過(guò)這些攻擊手段，具有惡意行為的攻擊者可以竊取信息的內(nèi)容。因此需要在信息傳輸兩端部署具有VPN能力的設(shè)備或者軟件保證傳輸安全。雖然國(guó)家有相關(guān)法律條例禁止這些不良信息，但僅僅依靠行政手段是無(wú)法達(dá)到徹底清除的目的。. 上網(wǎng)行為管理的需求隨著互聯(lián)網(wǎng)的快速發(fā)展，即時(shí)通訊、P2P下載、網(wǎng)上炒股、在線視頻播放等應(yīng)用也變得日益廣泛。譬如，需要對(duì)P2P下載進(jìn)行速度限制，禁止網(wǎng)上炒股，等等。垃圾郵件的危害不僅在于要占用用戶大量的時(shí)間去對(duì)郵件進(jìn)行篩選、處理，還因?yàn)槔]件本身還是病毒、木馬等威脅傳播的重要途徑，會(huì)對(duì)用戶的終端和業(yè)務(wù)網(wǎng)絡(luò)造成危害。. 安全審計(jì)需求日志審計(jì)是信息安全的重要方面，它是實(shí)現(xiàn)安全事件的可追查性、不可否認(rèn)性的重要數(shù)據(jù)環(huán)節(jié)。良好的安全審計(jì)能力是分析**集團(tuán)信息系統(tǒng)安全狀況的必要條件。首先，隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，終端接入網(wǎng)絡(luò)的方式已經(jīng)不再局限于局域網(wǎng)接口，包括雙網(wǎng)卡，WiFi，CDMA/GPRS上網(wǎng)卡，Modem撥號(hào)，紅外，藍(lán)牙…，這些接口已經(jīng)成為企業(yè)內(nèi)部網(wǎng)絡(luò)的另一道邊界。其次，在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，終端具有固定的辦公位置，內(nèi)部網(wǎng)絡(luò)相對(duì)是靜態(tài)的。一方面，員工的終端可能在多個(gè)位置動(dòng)態(tài)接入內(nèi)部網(wǎng)絡(luò)；另一方面，各種非公終端也可能接入內(nèi)網(wǎng)（包括員工個(gè)人PC，以及合作伙伴，客戶的PC）。內(nèi)部網(wǎng)絡(luò)的動(dòng)態(tài)化，需要我們從另外一個(gè)視角來(lái)看邊界安全問(wèn)題。目前大多數(shù)的終端安全解決方案中，網(wǎng)關(guān)安全和終端安全是孤立起來(lái)考慮的，不能做到有效的協(xié)同。要使得網(wǎng)關(guān)和終端能夠完美融合，真正的起到縱深防御，遙相呼應(yīng)，需要在網(wǎng)關(guān)產(chǎn)品上整合終端安全策略，在網(wǎng)關(guān)產(chǎn)品上對(duì)內(nèi)網(wǎng)終端進(jìn)行統(tǒng)一的安全管理。 實(shí)用性原則**集團(tuán)的安全體系建設(shè)將始終遵循“面向應(yīng)用，注重實(shí)效”的指導(dǎo)思想。216。在安全體系建設(shè)中，我們采取多種安全防御的技術(shù)和措施來(lái)保障**集團(tuán)的網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。 整體均衡原則 要對(duì)信息系統(tǒng)進(jìn)行全面均衡的保護(hù)，要提高整個(gè)信息系統(tǒng)的安全最低點(diǎn)的安全性能，保證各個(gè)層面防護(hù)的均衡。 安全目標(biāo)與效率、投入之間的平衡原則 要綜合考慮安全目標(biāo)與效率、投入之間的均衡關(guān)系，確定合適的平衡點(diǎn)，不能為了追求安全而犧牲效率，或投入過(guò)大。 區(qū)域等級(jí)原則要將信息系統(tǒng)按照合理的原則劃分為不同安全等級(jí)，分區(qū)域分等級(jí)進(jìn)行安全防護(hù)。 動(dòng)態(tài)發(fā)展原則 安全防范體系的建設(shè)不是一個(gè)一勞永逸的工作，而是一個(gè)長(zhǎng)期不斷完善的過(guò)程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整而不斷升級(jí)發(fā)展。 節(jié)省投資原則在滿足上述原則的基礎(chǔ)上，應(yīng)盡量作到節(jié)省設(shè)備采購(gòu)?fù)顿Y，不要形成一種“用價(jià)值10元的設(shè)備來(lái)保護(hù)價(jià)值5元 的資產(chǎn)”的局面。由于不同的安全域之間存在著數(shù)據(jù)流，這時(shí)候就需要考慮安全域邊界的訪問(wèn)控制、身份驗(yàn)證、信息過(guò)濾、防病毒、入侵防御和審計(jì)等安全策略的實(shí)施。UTM產(chǎn)品提供了完整的邊界安全保護(hù)能力，可以有效的實(shí)施訪問(wèn)控制、入侵檢測(cè)與防護(hù)、防病毒、應(yīng)用層信息過(guò)濾、流量管理、帶寬管理等能力。. 安全域劃分網(wǎng)絡(luò)的建設(shè)是由業(yè)務(wù)系統(tǒng)的驅(qū)動(dòng)建設(shè)而成的，初始的網(wǎng)絡(luò)建設(shè)大多沒(méi)有統(tǒng)一規(guī)劃，有些系統(tǒng)是獨(dú)立的網(wǎng)絡(luò)，有些系統(tǒng)又是共用一個(gè)網(wǎng)絡(luò)。當(dāng)前**集團(tuán)網(wǎng)絡(luò)系統(tǒng)是一個(gè)龐大復(fù)雜的系統(tǒng)，在支持業(yè)務(wù)不斷發(fā)展的前提下，如何保證系統(tǒng)的安全性是一個(gè)巨大的挑戰(zhàn)，對(duì)系統(tǒng)進(jìn)行區(qū)域劃分，進(jìn)行層次化、有重點(diǎn)的保護(hù)是有保證系統(tǒng)和信息安全的有效手段。目的是把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，分解為更小區(qū)域的安全保護(hù)問(wèn)題。根據(jù)**集團(tuán)信息系統(tǒng)的特點(diǎn)將整個(gè)**集團(tuán)信息系統(tǒng)分為如下安全域：1. 中心接入域：包括外聯(lián)區(qū)（與公網(wǎng)相連）、內(nèi)聯(lián)區(qū)（與二級(jí)機(jī)構(gòu)相連）、DMZ區(qū)（對(duì)外公開(kāi)服務(wù)器）以及內(nèi)部網(wǎng)中的總部大樓和信息中心的接入部分。3. 中心生產(chǎn)域：生產(chǎn)終端所在網(wǎng)絡(luò)。5. 二級(jí)機(jī)構(gòu)辦公域：二級(jí)機(jī)構(gòu)的辦公網(wǎng)絡(luò)，每個(gè)具體的二級(jí)機(jī)構(gòu)辦公域形成一個(gè)獨(dú)立子安全域。 信息安全方案設(shè)計(jì)拓?fù)涫疽鈭D：. 安全網(wǎng)關(guān)(UTM)設(shè)計(jì) 部署方案根據(jù)**集團(tuán)網(wǎng)絡(luò)的現(xiàn)狀和日后的發(fā)展需要，通過(guò)安全域劃分原則部署和配置我公司的一體化安全網(wǎng)關(guān)（UTM）設(shè)備： 中心接入域：合法接入控制：接入域內(nèi)各子域邊界的訪問(wèn)控制以及對(duì)應(yīng)用數(shù)據(jù)進(jìn)行安全過(guò)濾，對(duì)接入的數(shù)據(jù)或者用戶進(jìn)行身份認(rèn)證與授權(quán)。病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的病毒傳播。傳輸安全：接入域和其他安全域的互聯(lián)方式可能需要加密傳輸，因此需要對(duì)敏感數(shù)據(jù)采用VPN技術(shù)進(jìn)行加密。防入侵：檢測(cè)來(lái)自外部的入侵行為并予以阻斷?？咕芙^服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。通過(guò)控制文件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。上網(wǎng)行為管理：對(duì)IM應(yīng)用進(jìn)行管理和控制，對(duì)P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。中心生產(chǎn)域:合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲(chóng)傳播。中心服務(wù)域:合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲(chóng)傳播。二級(jí)機(jī)構(gòu)辦公域：合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。病毒過(guò)濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲(chóng)傳播。防泄密：監(jiān)控接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、FTP、WEB訪問(wèn)等。內(nèi)容過(guò)濾：對(duì)基于標(biāo)準(zhǔn)協(xié)議的內(nèi)容進(jìn)行過(guò)濾，防止色情、非法信息的下載與傳播。防垃圾郵件：防止郵件炸彈攻擊，對(duì)垃圾郵件進(jìn)行過(guò)濾，提升工作效率。防入侵：檢測(cè)來(lái)自外部的入侵行為并予以阻斷。安全審計(jì)：對(duì)所有與業(yè)務(wù)相關(guān)的通訊進(jìn)行紀(jì)錄，保證可進(jìn)行事后分析和可追查性檢查。除此之外，天清漢馬USG一體化安全網(wǎng)關(guān)還融合了內(nèi)網(wǎng)安全特性，能夠?yàn)榻K端PC下發(fā)安全客戶端，同步內(nèi)網(wǎng)安全策略，并根據(jù)安全客戶端的檢查結(jié)果對(duì)終端PC進(jìn)行準(zhǔn)入控制。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，也不再因?yàn)槎鄠€(gè)產(chǎn)品難于維護(hù)管理而苦惱，天清漢馬USG一體化安全網(wǎng)關(guān)是低成本、高效率、易管理的理想解決方案。 基于出/入接口、源/目的IP地址、服務(wù)、時(shí)間的安全策略，支持IP地址過(guò)濾、MAC地址過(guò)濾、IP＋MAC綁定、用戶認(rèn)證、流量整形、連接數(shù)控制等l 堅(jiān)固的入侵防御（IPS）體系178。 漏洞機(jī)理分析技術(shù)，精確抵御黑客攻擊、蠕蟲(chóng)、木馬、后門178。 網(wǎng)絡(luò)異常分析技術(shù)，全面防止拒絕服務(wù)攻擊l 業(yè)界領(lǐng)先的網(wǎng)絡(luò)防病毒技術(shù)178。 支持HTTP、FTP、IMAP、POPSMTP等協(xié)議的病毒查殺178。 歷史帶寬使用趨勢(shì)分析、帶寬應(yīng)用分布、帶寬使用實(shí)時(shí)統(tǒng)計(jì)、IP流量排名等l 多種手段全面清除垃圾郵件178。 支持防郵件炸彈功能，能夠設(shè)定郵件發(fā)送速率的門限值178。 支持貝葉斯過(guò)濾、可追查性檢查、發(fā)件人認(rèn)證等反垃圾郵件功能l 豐富的VPN特性使組網(wǎng)變得簡(jiǎn)單178。 靈活的部署：IPSec全面支持NAT穿越，支持HubSpoken、FullMesh、DVPN等部署；SSL VPN支持Web、Agent、Tunnel應(yīng)用方式，支持端到端部署178。 支持對(duì)JoltLandbase、ping of death、syn flag、Tear drop、winnuke、smurf、TCP flag、ARP攻擊、TCP掃描、UDP掃描、ping掃描等各種DOS攻擊和掃描事件的檢測(cè)和防御178。 P2P控制：對(duì)eMule、BitTorrent、Maze、Kazaa等進(jìn)行阻斷、限速； 178。 流媒體控制：對(duì)流媒體應(yīng)用進(jìn)行阻斷或限速，支持Kamun ppfilm 、PPLive、PPStream、直播、TVAnts、沸點(diǎn)網(wǎng)絡(luò)電視、貓撲播霸等178。 股票軟件控制：對(duì)常用股票軟件如同花順、大參考、大智慧等的阻斷l(xiāng) 獨(dú)有的內(nèi)網(wǎng)安全管理特性178。 終端準(zhǔn)入控制：由天珣終端軟件進(jìn)行各種安全性檢查，USG網(wǎng)關(guān)根據(jù)檢查結(jié)果進(jìn)行準(zhǔn)入控制，杜絕不安全的終端接入，保障內(nèi)網(wǎng)合規(guī)；178。l 強(qiáng)大的日志報(bào)表功能178。 日志快速查詢：可對(duì)IP地址、端口、時(shí)間、危急程度、日志內(nèi)容關(guān)鍵字等進(jìn)行查詢178。l 方便的集中管理功能178。. 入侵檢測(cè)系統(tǒng)(IDS)設(shè)計(jì)在傳統(tǒng)的網(wǎng)絡(luò)信息安全概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實(shí)不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計(jì)算機(jī)網(wǎng)絡(luò)的第一道防線。入侵檢測(cè)系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)信息安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。它運(yùn)行于敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。該系統(tǒng)可安裝于防火墻前后，可以對(duì)攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時(shí)可以對(duì)穿透防火墻進(jìn)行攻擊的數(shù)據(jù)流進(jìn)行響應(yīng)。入侵檢測(cè)報(bào)警日志的功能是通過(guò)對(duì)所有對(duì)網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。這些數(shù)據(jù)流引起的報(bào)警日志，是作為受到網(wǎng)絡(luò)攻擊的主要證據(jù)。從網(wǎng)絡(luò)信息安全防護(hù)上講，防火墻技術(shù)給出了一個(gè)靜態(tài)防護(hù)的概念，而入侵檢測(cè)技術(shù)具有動(dòng)態(tài)防御的意義。在**集團(tuán)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)配置中，我們對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控與阻斷響應(yīng)，它集成了在線網(wǎng)絡(luò)入侵監(jiān)測(cè)、入侵即時(shí)處理、離線入侵分析、入侵偵測(cè)查詢、報(bào)告生成等多項(xiàng)功能的分布式計(jì)算機(jī)安全系統(tǒng)，不僅能即時(shí)監(jiān)控網(wǎng)絡(luò)資源運(yùn)行狀況，為網(wǎng)絡(luò)管理員及時(shí)提供網(wǎng)絡(luò)入侵預(yù)警和防范解決方案，還使得對(duì)于檢查黑客入侵，變得有跡可尋，為用戶采取進(jìn)一步行動(dòng)提供了強(qiáng)有力的技術(shù)支持，大大加強(qiáng)了對(duì)惡意黑客的威懾力量。2. 對(duì)**集團(tuán)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)，防止黑客的入侵。4. 對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律。6. 對(duì)關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。在入侵檢測(cè)的支撐技術(shù)上，技術(shù)優(yōu)勢(shì)體現(xiàn)在高速捕包、深入?yún)f(xié)議分析技術(shù)、高速樹(shù)型匹配技術(shù)、防躲避處理技術(shù)以及事件風(fēng)暴處理技術(shù)等多個(gè)方面，有效地保證了入侵檢測(cè)的準(zhǔn)確性、有效性和高性能。l 以入侵檢測(cè)為核心的動(dòng)態(tài)安全體系隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)信息安全變成了一個(gè)動(dòng)態(tài)的過(guò)程，靜止不變的產(chǎn)品根本無(wú)法適應(yīng)網(wǎng)絡(luò)信息安全的需要。因此， 以入侵檢測(cè)系統(tǒng)為核心的動(dòng)態(tài)防御體系，可以實(shí)現(xiàn)入侵檢測(cè)和防火墻、入侵檢測(cè)和漏洞掃描等防護(hù)系統(tǒng)的聯(lián)動(dòng)。但是，對(duì)于網(wǎng)絡(luò)上的錯(cuò)綜復(fù)雜的攻擊事件，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的防護(hù)效果還是不夠全面。所以，使用入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)方式，來(lái)實(shí)現(xiàn)整體防護(hù)。l 入侵檢測(cè)系統(tǒng)與漏洞掃描系統(tǒng)的聯(lián)動(dòng)入侵檢測(cè)在發(fā)現(xiàn)攻擊行為的同時(shí)，發(fā)出指令通知漏洞掃描系統(tǒng)，對(duì)被攻擊目標(biāo)機(jī)或攻擊源進(jìn)行掃描，來(lái)確認(rèn)攻擊源的存在和被攻擊機(jī)系統(tǒng)存在的漏洞，以作到主動(dòng)防御。l 基于入侵檢測(cè)系統(tǒng)的應(yīng)急響應(yīng)通過(guò)入侵檢測(cè)系統(tǒng)的強(qiáng)大功能