【正文】 絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。通過在交換機(jī)上劃分VLAN可以將整個網(wǎng)絡(luò)劃分為幾個不同的廣播域，實(shí)現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離。針對某些網(wǎng)絡(luò)，在某些情況下，它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任，或者某個網(wǎng)段比另一個更敏感。 網(wǎng)絡(luò)安全檢測 網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。 網(wǎng)絡(luò)安全檢測工具通常是一個網(wǎng)絡(luò)安全性評估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報告系統(tǒng)存在的弱點(diǎn)和漏洞，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。漏洞分析和響應(yīng)配置分析和響應(yīng)漏洞形勢分析和響應(yīng)認(rèn)證和趨勢分析具體體現(xiàn)在以下方面：防火墻得到合理配置內(nèi)外WEB站點(diǎn)的安全漏洞減為最低網(wǎng)絡(luò)體系達(dá)到強(qiáng)壯的耐攻擊性 各種服務(wù)器操作系統(tǒng)，如E_MIAL服務(wù)器、WEB服務(wù)器、應(yīng)用服務(wù)器、將受黑客攻擊的可能降為最低對網(wǎng)絡(luò)訪問做出有效響應(yīng)，保護(hù)重要應(yīng)用系統(tǒng)（如財(cái)務(wù)系統(tǒng)）數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害 審計(jì)與監(jiān)控 審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程，它是提高安全性的重要工具。對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對于去定問題和攻擊源很重要。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。 網(wǎng)絡(luò)防病毒 由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力，一次計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒軟件等）。 C清除病毒技術(shù)：它通過對計(jì)算機(jī)病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。 所選的防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。支持對網(wǎng)絡(luò)、服務(wù)器、和工作站的實(shí)時病毒監(jiān)控；能夠在中心控制臺向多個目標(biāo)分發(fā)新版殺毒軟件，并監(jiān)視多個目標(biāo)的病毒防治情況；支持多種平臺的病毒防范；能夠識別廣泛的已知和未知病毒，包括宏病毒；支持對Internet/ Intranet服務(wù)器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；支持對電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持對壓縮文件的病毒檢測；支持廣泛的病毒處理選項(xiàng)，如對染毒文件進(jìn)行實(shí)時殺毒，移出，重新命名等；支持病毒隔離，當(dāng)客戶機(jī)試圖上載一個染毒文件時，服務(wù)器可自動關(guān)閉對該工作站的連接；提供對病毒特征信息和檢測引擎的定期在線更新服務(wù)；支持日志記錄功能；支持多種方式的告警功能（聲音、圖像、電子郵件等）等。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有：場點(diǎn)內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復(fù)；場點(diǎn)外的數(shù)據(jù)存儲、備份與恢復(fù)；對系統(tǒng)設(shè)備的備份。 在確定備份的指導(dǎo)思想和備份方案之后，就要選擇安全的存儲媒介和技術(shù)進(jìn)行數(shù)據(jù)備份，有“冷備份”和“熱備份”兩種?！袄鋫浞荨笔侵浮安辉诰€”的備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運(yùn)行的整個計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，在系統(tǒng)恢復(fù)時重新安裝，有一部分原始的數(shù)據(jù)長期保存并作為查詢使用。熱備份的具體做法是：可以在主機(jī)系統(tǒng)開辟一塊非工作運(yùn)行空間，專門存放備份數(shù)據(jù)，即分區(qū)備份；另一種方法是，將數(shù)據(jù)備份到另一個子系統(tǒng)中，通過主機(jī)系統(tǒng)與子系統(tǒng)之間的傳輸，同樣具有速度快和調(diào)用方便的特點(diǎn)，但投資比較昂貴。 系統(tǒng)安全 系統(tǒng)的安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。 應(yīng)用系統(tǒng)在開發(fā)時，采用規(guī)范化的開發(fā)過程，盡可能的減少應(yīng)用系統(tǒng)的漏洞； 網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品； 通過專業(yè)的安全工具（安全檢測系統(tǒng)）定期對網(wǎng)絡(luò)進(jìn)行安全評估。 應(yīng)用安全 在應(yīng)用安全上，主要考慮通信的授權(quán)，傳輸?shù)募用芎蛯徲?jì)記錄。另外，在加強(qiáng)主機(jī)的管理上，除了上面談的訪問控制和系統(tǒng)漏洞檢測外，還可以采用訪問存取控制，對權(quán)限進(jìn)行分割和管理。對應(yīng)用安全，主要考慮確定不同服務(wù)的應(yīng)用軟件并緊密注視其Bug ；對掃描軟件不斷升級。安全管理策略一方面從純粹的管理上即安全管理規(guī)范來實(shí)現(xiàn)，另一方面從技術(shù)上建立高效的管理平臺（包括網(wǎng)絡(luò)管理和安全管理）。當(dāng)然，還需要建立高效的管理平臺。 A安全管理原則 網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于三個原則。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。出于對安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開。 B安全管理的實(shí)現(xiàn) 信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。出入管理可采用證件識別或安裝自動識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進(jìn)行識別、登記管理制訂嚴(yán)格的操作規(guī)程 操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。維護(hù)時要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整響應(yīng)的授權(quán)。 安全管理 安全管理的主要功能指對安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險情況，對危險進(jìn)行隔離，并把危險控制在最小范圍內(nèi)；身份認(rèn)證，權(quán)限設(shè)置；對資源的存取權(quán)限的管理；對資源或用戶動態(tài)的或靜態(tài)的審計(jì)；對違規(guī)事件，自動生成報警或生成事件消息；口令管理（如操作員的口令鑒權(quán)），對無權(quán)操作人員進(jìn)行控制；密鑰管理：對于與密鑰相關(guān)的服務(wù)器，應(yīng)對其設(shè)置密鑰生命期、密鑰備份等管理功能；冗余備份：為增加網(wǎng)絡(luò)的安全系數(shù)，對于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺。從上圖可以看到，由于是暴露在DMZ區(qū)，所以MAIL服務(wù)器在應(yīng)用層安全問題是沒有保證的（垃圾郵件、郵件病毒隨時都可以通過防火墻傳入MAIL服務(wù)器）；目前內(nèi)網(wǎng)的拓?fù)涫遣捎脤ν馊忾]但對內(nèi)全開放的格局而工作的，換言之對于內(nèi)網(wǎng)的攻擊是完全沒有免疫功能的。B需要能監(jiān)控員工的上網(wǎng)數(shù)據(jù)。C能夠防止員工使用P2P軟件進(jìn)行文件傳輸，能監(jiān)控員工發(fā)送的EMAIL。時間及規(guī)則可由用戶在防火墻上設(shè)置的。第五章 產(chǎn)品綜述(1）安氏LinkTrustTM CyberWall防火墻安氏領(lǐng)信防火墻是亞洲最大的信息安全實(shí)驗(yàn)室“ISOne Security Lab”成功推出的最新一代防火墻，產(chǎn)品迅速獲得國家認(rèn)證，被中國人民銀行評選為金融系統(tǒng)指定防火墻產(chǎn)品之一，并且在第21屆世界大學(xué)生運(yùn)動會，上海APEC會議上大顯身手。領(lǐng)信防火墻采用專門設(shè)計(jì)的安全操作系統(tǒng)LTOS和專用搭載平臺，提供高度可靠性和可用性。安氏安全實(shí)驗(yàn)室采用多種先進(jìn)數(shù)據(jù)加密算法，最大限度提高VPN吞吐量。領(lǐng)信防火墻的特色包括：狀態(tài)檢測包過濾技術(shù)；多種服務(wù)的內(nèi)核級安全代理；全面的網(wǎng)絡(luò)地址翻譯（NAT）；IPsec VPN和撥號VPN；高可靠性（HA）；支持流量管理；內(nèi)容安全過濾；多種用戶認(rèn)證方案；完整日志、審計(jì)，告警和統(tǒng)計(jì)模塊；抗DOS攻擊能力（支持SYN Proxy）；內(nèi)嵌入侵檢測能力；支持多個ISP接入的負(fù)載均衡解決方案；支持詭異木馬的抵御；對ICMP攻擊免疫，基于時間的對象訪問控制；支持按策略與IDS協(xié)作。SmartProtector可以檢測包括：拒絕服務(wù)、端口掃描、Web IIS、Web Apache、DNS、ftp、snmp在內(nèi)的兩百多種攻擊。用戶還可以自定義檢測策略模板，緊密結(jié)合特有安全的領(lǐng)信操作系統(tǒng)LTOS，擁有超負(fù)載保護(hù)能力。 　　關(guān)于SmartProtector的推出，安氏公司產(chǎn)品市場總監(jiān)應(yīng)向榮強(qiáng)調(diào)：“SmartProtector的產(chǎn)生基于兩個層面考慮，融合安氏在入侵檢測（IDS）技術(shù)的多年雄厚積累，為LinkTrustTM CyberWall提供增強(qiáng)功能模塊。但流探測器SmartProtector不能取代專門的入侵檢測系統(tǒng)，它以不犧牲防火墻和VPN的性能為前提，檢測并響應(yīng)“嚴(yán)重的”攻擊手法，配合防火墻以及專門的IDS系統(tǒng)，為企業(yè)提供更加強(qiáng)大的防護(hù)體系?！艾F(xiàn)在安全問題變得越來越復(fù)雜，攻擊手法層出不窮，而且更新很快，這要求安全管理員作出防范反應(yīng)越來越迅速，在防火墻上增加入侵檢測模塊，就是為了增強(qiáng)響應(yīng)時間，特別是在解決類似“紅色代碼”，“尼姆達(dá)”這類突發(fā)性極大的將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體的攻擊手法時，將發(fā)揮相當(dāng)大的作用”。通過一個基于WEB的友好、簡潔明了的用戶界面，安全管理員不僅可以配置該SmartProtector的攻擊特征模板，還可以通過提供的鏈接，了解到更多關(guān)于攻擊的資料以及如何配置相應(yīng)的系統(tǒng)設(shè)備來防御攻擊”。(2）eTrust入侵檢測系統(tǒng)解決方案－網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)解決方案通過自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在入侵、攻擊和濫用方式，提供了先進(jìn)的網(wǎng)絡(luò)保護(hù)功能。 　網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件還可以大大減少管理和保障網(wǎng)絡(luò)安全所需的培訓(xùn)時間。)　網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件以規(guī)則為基礎(chǔ)，定義哪些用戶可以訪問網(wǎng)絡(luò)上的特定資源，保證只有授權(quán)用戶才可以訪問網(wǎng)絡(luò)資源。它可以防止用戶下載被病毒感染的文件?！∪娴墓舴绞綆炀W(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件可以自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中的攻擊方式，即使正在進(jìn)行之中的攻擊也能檢測?！⌒畔崽郊夹g(shù)網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件以秘密方式運(yùn)行，使攻擊者無法感知到?！RL限制管理員可以指定禁止用戶訪問的URL，防止毫無效率的網(wǎng)上沖浪。這種方式防止了未經(jīng)授權(quán)就通過Email或web發(fā)送敏感數(shù)據(jù)等情況的發(fā)生。它可以幫助改進(jìn)網(wǎng)絡(luò)策略的規(guī)劃，并提供精確的網(wǎng)絡(luò)控制。這包括從一個遠(yuǎn)程或中央位置的穩(wěn)定控制臺監(jiān)視和響應(yīng)企業(yè)范圍內(nèi)的事件?！∪肭謾z測網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件可以提供網(wǎng)絡(luò)范圍內(nèi)可靠的、分布式實(shí)時網(wǎng)絡(luò)保護(hù)。集中監(jiān)視網(wǎng)絡(luò)管理員可以在本地或遠(yuǎn)程集中監(jiān)控運(yùn)行網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件的一臺或多臺工作站?！∵h(yuǎn)程管理遠(yuǎn)程用戶可以通過TCP/IP或調(diào)制解調(diào)器連接訪問運(yùn)行網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件的工作站?！　　　∪肭秩罩炯胺治鼍W(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件提供了一個綜合系統(tǒng)來捕捉信息并進(jìn)行分析。用戶可以使用瀏覽器過濾、排序和查看歸檔信息并創(chuàng)建詳細(xì)報表。它提供給企業(yè)一個易于部署的網(wǎng)絡(luò)保護(hù)方案，可以在不會導(dǎo)致任何失敗的情況下加以實(shí)施。在網(wǎng)絡(luò)層，KILL Shield Gateway實(shí)現(xiàn)基于IP地址、端口號等網(wǎng)絡(luò)層特征的過濾；在傳輸層，實(shí)現(xiàn)基于HTTP、SMTP等協(xié)議特征的過濾，有效識別和攔截蠕蟲攻擊；在應(yīng)用層，對多種常用協(xié)議（SMTP、POPHTTP、FTP等）進(jìn)行深度分析并還原出原始數(shù)據(jù)，進(jìn)行病毒檢查、蠕蟲檢查、垃圾郵件檢查和內(nèi)容檢查。KILL Shield Gateway做為先進(jìn)的新型網(wǎng)關(guān)過濾設(shè)備，除了具有一般網(wǎng)關(guān)過濾設(shè)備的功能外，它的突出特點(diǎn)是可以實(shí)現(xiàn)蠕蟲過濾（過濾靜態(tài)蠕蟲擴(kuò)散、阻斷蠕蟲動態(tài)攻擊）。KILL Shield Gateway 采用冠群金辰備受贊譽(yù)的反病毒引擎，該掃描引擎經(jīng)ICSA（國際計(jì)算機(jī)安全協(xié)會）認(rèn)證可“100%查殺流行病毒”，并獲得全球18家重要測評機(jī)構(gòu)的認(rèn)證，使用安全可靠，是KILL Shield Gateway強(qiáng)大反病毒功能的基礎(chǔ)。KILL Shield Gateway在企業(yè)網(wǎng)絡(luò)的邊緣，而不是在用戶的郵件和代理服務(wù)器上，進(jìn)行過濾工作，確保了原有系統(tǒng)的穩(wěn)定性，并在效率方面遠(yuǎn)遠(yuǎn)高于在服務(wù)器本機(jī)上安裝過濾軟件的方式。 KILL Shield Gateway通過Web頁面進(jìn)行系統(tǒng)配置，管理界面友好，易于配置，而且使用簡便，一旦配置完成，可自動完成病毒查殺、特征碼下載、日志記錄、報表生成等工作，大大減輕了網(wǎng)絡(luò)安全管理員的負(fù)擔(dān)，是一款技術(shù)極為先進(jìn)的網(wǎng)關(guān)過濾產(chǎn)品。KILL Shi