【正文】 ........ 37 . 監(jiān)控服務(wù) ................................................................................................. 37 . 應(yīng)急響應(yīng)服務(wù) ......................................................................................... 38 . 應(yīng)急響應(yīng)體系 ......................................................................................... 38 13. 產(chǎn)品清單 ........................................................................................................... 39 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 4 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 1. 概述 網(wǎng)絡(luò) 的飛速發(fā)展以及企業(yè)對計算機的依賴性逐漸增強，隨之而來的網(wǎng)絡(luò)信息安全問題日益突出。據(jù)美國 FBI 統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高達(dá) 75 億美元，而全球平均每 20 秒鐘就發(fā)生一起 網(wǎng)絡(luò) 計算機侵入事件。網(wǎng)絡(luò)防黑客、防病 毒等安全問題也必須引起相關(guān)企業(yè)、各事業(yè)機關(guān)的重視。 本項目具體的網(wǎng)絡(luò)安全目標(biāo)即： 建立一個安全屏障，保護用戶不受來自網(wǎng)絡(luò)開放所帶來的網(wǎng)絡(luò)安全和通信數(shù)據(jù)的安全受到非法破壞。 2. 威脅分析 威脅就是將會對資產(chǎn)造成不利影響的潛在的事件或行為，包括自然的、故意的以及偶然的情況。可以說威脅是不可避免的，我們必須采取有效的措施，降低各種情況造成的威脅。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 5 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 比如，入侵者同樣可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng)（ Cisco 的 IOS）漏洞或者配置漏洞，實現(xiàn)對其控制。 . 信息基礎(chǔ)安全平臺威脅 信息基礎(chǔ)平臺主要是指支撐各種應(yīng)用與業(yè)務(wù)運行的各種操作系統(tǒng)。 相對邊界網(wǎng)絡(luò)設(shè)備來說，熟知操作系統(tǒng)的人員的范圍要廣的多，而且在網(wǎng)絡(luò)上，很容易就能找到許多針對各種操作系統(tǒng)的漏洞的詳細(xì)描述，所以，針對操作系統(tǒng)和數(shù)據(jù)庫的入侵攻擊在網(wǎng)絡(luò)絡(luò)中也是最多最常見的。 . 來自內(nèi)部的安全威脅分析 . 內(nèi)部網(wǎng)絡(luò)的失誤操作行為 由于人員的技術(shù)水平的局限性以及經(jīng)驗的不足，可能會出現(xiàn)各種意想不到的操作失誤，勢必對系統(tǒng)或者網(wǎng)絡(luò)的安全產(chǎn)生較大的影響。對于網(wǎng)絡(luò)內(nèi)部的安全防范會明顯的弱于對于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，所以，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功，因此一旦攻擊成功，其強烈的攻擊目的也就必然促使了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。 ? 傳播的形式復(fù)雜多樣 計算機病毒在網(wǎng)絡(luò)上一般是通過“工作站 服務(wù)器 工作站”的途徑進行傳播的，但傳播的形式復(fù)雜多樣，通過網(wǎng)絡(luò)共享、服務(wù)漏洞、電子郵件等多種方式進行傳播。 ? 難于徹底清除 智能化的網(wǎng)絡(luò)病毒既可以像傳統(tǒng)病毒一下感染服務(wù)器或客戶端主機的應(yīng)用文件系統(tǒng)，也兼具網(wǎng)絡(luò)黑客技術(shù)的特點，通過各種途徑破壞服務(wù)器或客戶機的重要數(shù)據(jù)，通過電子郵件系統(tǒng)散播惡意代碼，設(shè)置系統(tǒng)后門，竊取系統(tǒng)的重要數(shù)據(jù)與機密信息等。 ? 破壞性大 網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰， 破壞服務(wù)器信息，造成巨大的直接和間接的經(jīng)濟 損失。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。 ? 動態(tài)性 隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng) 絡(luò)安全變成了一個動態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)安全的需要。 ? 專業(yè)性 攻擊技術(shù)和防御技術(shù)是網(wǎng)絡(luò)安全的一對矛盾體，兩種技術(shù)從不同角度不斷地對系統(tǒng)的安全提出了挑戰(zhàn)，只有掌握了這兩種技術(shù)才能對系統(tǒng)的安全有全面的認(rèn)識，才能提供有效的安全技術(shù)、產(chǎn)品、服務(wù)，這就需要從事安全的公司擁有大量專業(yè)技術(shù)人才，并能長期的進行技術(shù)研究、積累，從而全面、系統(tǒng)、深入的為用戶提供服務(wù)。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 8 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 4. XXX 安全體系 XXX 網(wǎng)絡(luò)系統(tǒng)的安全體系結(jié)構(gòu)是劃分為若干層次的一種多層次、多方面、立體的安全構(gòu)架。如圖 1 所示。我們已經(jīng)制定和開發(fā)出針對性的一系列安全方案、技術(shù)框架和應(yīng)用工具，并發(fā)展成為一種有效的網(wǎng)絡(luò)安全解決方案 —— 動態(tài)安全模型，它能夠提供給用戶比較完整、合理的安全機制。 從安全體系的實施的動態(tài)性角度， XXX 網(wǎng)絡(luò)系統(tǒng)動態(tài)安全管理公式的設(shè)計充分考慮到了風(fēng)險評估、安全策略的制定、防御系統(tǒng)、監(jiān)控與檢測、響應(yīng)與恢復(fù)等各個方面，并且考慮到各個部 分之間的動態(tài)關(guān)系與依賴性。風(fēng)險分析（又稱風(fēng)險評估、風(fēng)險管理），是指確定網(wǎng)絡(luò)資產(chǎn)的安全威脅和脆弱性、并估計可能由此造成的損失或影響的過程。我們協(xié)助制訂業(yè)務(wù)網(wǎng)絡(luò)安全策略的時候，是從全局進行考慮，基于風(fēng)險分析的結(jié)果進行決策，建議究竟是加大投入，采取更強有力的保護措施，還是可以容忍一些小的風(fēng)險存在而不采取措施。 根據(jù) 安全策略 的要求，我們協(xié)助選擇相應(yīng)的安全機制和安全技術(shù)，實施 安全防御系統(tǒng) 、進行 監(jiān)控與檢測 。安全防御系統(tǒng)搭建得完善與否，直接決定了 XXX 網(wǎng)絡(luò)系統(tǒng)的安全程度，無論哪個層面上的安全措施不到位，都可能是很大的安全隱患，都有可能XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 10 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 造成業(yè)務(wù)網(wǎng)絡(luò)中的后門。我們協(xié)助采取檢測手段，制訂緊急事件響應(yīng)的方法與技術(shù)。 5. 風(fēng)險評估（建議） 通過風(fēng)險評估可以進一步深入的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)實際的安全威脅和薄弱環(huán)節(jié)，為網(wǎng)絡(luò)、安全解決方案提供很好的依據(jù)，此處僅為建議，貴方可根據(jù)自身網(wǎng)絡(luò)情況進行取舍。 5. 根據(jù)評估結(jié)果，確定 安全需求 、 安全策略 、 安全解決方案 。 （ 2） 通過技術(shù)性檢測評估獲得 XXX 網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層存在的網(wǎng)絡(luò)安全漏洞報告。 （ 5） 現(xiàn)場評估，涉及如下方面的內(nèi)容： ? 物理環(huán)境 ? 網(wǎng)絡(luò)結(jié)構(gòu) ? 管理狀況 ? 人員狀況 ? 網(wǎng)絡(luò)系統(tǒng)和設(shè)備安全 ? 安全產(chǎn)品和技術(shù)應(yīng)用狀況 ? 應(yīng)急響應(yīng)能力 ? 應(yīng)用狀況 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 12 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 6. 制訂策略 根據(jù) XXX 網(wǎng)絡(luò)系統(tǒng)的實際安全需求，結(jié)合網(wǎng)絡(luò)安全體系模型，建議采用如下網(wǎng)絡(luò)安全防護措施（防火墻、入侵檢測、漏洞掃描、防病毒、 VPN）。 . 入侵檢測 建議在 XXX 的網(wǎng)絡(luò)入口處及核心網(wǎng)段部署啟明星辰的天闐入侵檢測系統(tǒng)，實時檢測進出的數(shù)據(jù)和訪問連接。 (2) 對進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進行過濾檢查。 . 漏洞掃描 建議在 XXX 內(nèi)部署啟明星辰天鏡漏洞掃描系統(tǒng)，定期對內(nèi)部的系統(tǒng)進行漏洞檢查，發(fā)現(xiàn)漏洞及時彌補。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 13 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 建議采用三層防病毒部署體系： (1) Mail 網(wǎng)關(guān)防病毒系統(tǒng) 阻斷和防止 XXX 的病毒傳輸。 (3) 客戶端防病毒系統(tǒng) 確保 XXX 員工辦公 PC 不受病毒攻擊。它 是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù) 網(wǎng)絡(luò) 的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外人被許可訪問所允許的內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 通過過濾不安全的服務(wù)， Firewall 可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險。 ? 控制對系統(tǒng)的訪問。如允許從外部訪問某些主機，同時禁止訪問另外的主機。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰信息技術(shù)有限公司 電話： (010)62149966 14 Beijing Venus Info. Tech. Co. Ltd. 傳真： (010)62146778 地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 ? 集中的安全管理。如在 Firewall 可以定義不同的認(rèn)證方法，而不需在每臺機器上分別安裝特定的認(rèn)證軟件。 ? 增強保密性。 ? 記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)。 策略執(zhí)行。未設(shè)置 Firewall 時，網(wǎng)絡(luò)安全取決于每臺主機的用戶。 即可對從總廠到設(shè)計部的雙向網(wǎng)絡(luò)數(shù)據(jù)通訊有一個安全防范，從而最大化的保障了業(yè)務(wù)網(wǎng)絡(luò)的安全性。 8. 入侵檢測系統(tǒng) 在傳統(tǒng)的網(wǎng)絡(luò)安全概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計算機網(wǎng)絡(luò)的第一道防線。 入侵檢測系統(tǒng) (IDS)可以彌補防火墻的不足，為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。它運行于敏感數(shù)據(jù)需要保護的網(wǎng)絡(luò)上，通過實時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。該系統(tǒng)可安裝于防火墻前后，可以對攻擊防火墻本身的數(shù)據(jù)流進行響應(yīng)，同時可以對穿透防火墻進行攻擊的數(shù)據(jù)流進行響應(yīng)。這些保護措施主要是為了監(jiān)控經(jīng)過出口及對重點服務(wù)器進行訪問的數(shù)據(jù)流。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，入侵檢測在此處將承擔(dān)實時監(jiān)測大量出入整個網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。 在 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)配置中，我們建議采用 啟明星辰公司的“天闐” 網(wǎng)絡(luò)入侵 檢測 系統(tǒng) ，對 XXX 網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)進行實時監(jiān)控與阻斷響應(yīng)，它集成了在線網(wǎng)絡(luò)入 侵監(jiān)測、入侵即時處理、離線入侵分析、入侵偵測查詢、報告生成等多項功能的分布式計算機安全系統(tǒng)，不僅能即時監(jiān)控網(wǎng)絡(luò)資源運行狀況，為網(wǎng)絡(luò)管理員及時提供網(wǎng)絡(luò)入侵預(yù)警和防范解決方案，還使得對于檢查黑客入侵，變得有跡可尋，為用戶采取進一步行動提供了強有力的技術(shù)支持，大大加強了對惡意黑客的威懾力量。 對 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)核心業(yè)務(wù)服務(wù)器的數(shù)據(jù)流量進行監(jiān)測，防止入侵者的蓄意破壞和篡改。 對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。 對關(guān)鍵正常事件及異常行為記錄日志，進行審計跟蹤管理。 隨著網(wǎng)絡(luò)脆 弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)安全變成了一個動態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)安全的需要。因此， 以入侵檢測系統(tǒng)為核心的動態(tài)防御體系，可以實現(xiàn)入侵檢測和防火墻、入侵檢測和漏洞掃描等防護系統(tǒng)的聯(lián)動。但是，對于網(wǎng)絡(luò)上的錯綜復(fù)雜的攻擊事件， NIDS 的防護效果還是不夠全面。所以，建議使用入侵檢測系統(tǒng)與防火墻聯(lián)動方式，來實現(xiàn)整體防護。 XXX 網(wǎng)絡(luò)安全 建議方案 北京啟明星辰