【正文】 關(guān)安 全 運(yùn) 營 中 心V P N 接 入安 全 網(wǎng) 關(guān)安 全 網(wǎng) 關(guān)安 全 網(wǎng) 關(guān) 信息系統(tǒng)安全建設(shè)建議 方案 第 16頁 共 53 頁 . 安全網(wǎng)關(guān) (UTM)設(shè)計(jì) 部署方案 根據(jù) **集團(tuán) 網(wǎng)絡(luò)的現(xiàn)狀和日后的發(fā)展需要， 通過安全域劃分原則部署和配置 我 公司的一體化 安全網(wǎng)關(guān) （ UTM） 設(shè)備 ： 中心接入域： 合法接入控制：接入域內(nèi)各子域邊界的訪問控制以及對(duì)應(yīng)用數(shù)據(jù)進(jìn)行安全過濾，對(duì)接入的數(shù)據(jù)或者用戶進(jìn)行身份認(rèn)證與授權(quán)。 病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的病毒傳播。 傳輸安全：接入域和其他安全域的互聯(lián)方式可能需要加密傳輸，因此需要對(duì)敏感數(shù)據(jù)采用 VPN 技術(shù)進(jìn)行加密。 防入侵：檢測(cè)來自外部的入侵行為并予以阻斷。 抗拒絕服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。通過控制文 件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。 上網(wǎng)行為管理：對(duì) IM 應(yīng)用進(jìn)行管理和控制，對(duì) P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。 中心生產(chǎn)域 : 信息系統(tǒng)安全建設(shè)建議 方案 第 17頁 共 53 頁 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。 中心服務(wù)域 : 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。 二級(jí)機(jī)構(gòu)辦公域： 合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時(shí)僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。 病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。 防泄密：監(jiān)控接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問等。 內(nèi)容過濾：對(duì)基于標(biāo)準(zhǔn)協(xié)議的內(nèi)容進(jìn)行過濾，防止色情、非法信息的下載與傳播。 防垃圾郵件：防止郵件炸彈攻擊，對(duì)垃圾郵件進(jìn)行過濾，提升工作效率。 信息系統(tǒng)安全建設(shè)建議 方案 第 18頁 共 53 頁 防入侵：檢測(cè)來自外部的入侵行為并予以阻斷。 安全審計(jì)：對(duì)所有與業(yè)務(wù)相關(guān)的通訊進(jìn)行紀(jì)錄，保證可進(jìn)行事后分析和可追查性檢查。 除此之外，天清漢馬 USG 一體化安全網(wǎng)關(guān)還融合了內(nèi)網(wǎng)安全特性，能夠?yàn)榻K端 PC 下發(fā)安全客戶端，同步內(nèi)網(wǎng)安全策略，并根據(jù)安全客戶端的檢查結(jié)果對(duì)終端 PC 進(jìn)行準(zhǔn)入控制。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，也不再因?yàn)槎鄠€(gè)產(chǎn)品難于維護(hù)管理而苦惱，天清漢馬 USG 一體化安全網(wǎng)關(guān)是低成本、高效率、易管理的理想解決方案。 強(qiáng)大的日志報(bào)表功能 ? 記錄內(nèi)容豐富 ：可對(duì)防火墻日志、攻擊日志、病毒日志、帶寬使用日志、 Web 訪問日志、 Mail 發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進(jìn)行記錄 ? 日志快速查詢 ：可對(duì) IP地址、端口、時(shí)間、危急程度、日志內(nèi)容關(guān)鍵字等進(jìn)行查詢 ? 報(bào)表貼近需求 ：根據(jù)用戶具體需求，定制報(bào)表內(nèi)容、定制報(bào)名名稱、定制企業(yè) LOGO，并可形成多種格式的報(bào)表文件。 . 入侵檢測(cè)系統(tǒng) (IDS)設(shè)計(jì) 在傳統(tǒng)的 網(wǎng)絡(luò)信息安全 概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實(shí)不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計(jì)算機(jī)網(wǎng)絡(luò)的第一道防線。 入侵檢測(cè)系統(tǒng) (IDS)可以彌補(bǔ)防火墻的不足，為 網(wǎng)絡(luò)信息安全 提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。它運(yùn)行于敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。該系統(tǒng)可安裝于防火墻前后，可以對(duì)攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時(shí)可以對(duì)穿透防火墻進(jìn)行攻擊的數(shù) 據(jù)流進(jìn)行響應(yīng)。入侵檢測(cè)報(bào)警日志的功能是通過對(duì)所有對(duì)網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。這些數(shù)據(jù)流引起的報(bào)警日志，是作為受到網(wǎng)絡(luò)攻擊的主要證據(jù)。從 網(wǎng)絡(luò)信息安全 防護(hù)上講，防火墻技術(shù)給出了一個(gè) 靜態(tài)防護(hù)的概念，而入侵檢測(cè)技術(shù)具有動(dòng)態(tài)防御的意義。在 **集團(tuán) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)配置中，我們對(duì)網(wǎng)絡(luò)系統(tǒng) 進(jìn)行實(shí)時(shí)監(jiān)控與阻斷響應(yīng)，它集成了在線網(wǎng)絡(luò)入侵監(jiān)測(cè)、入侵即時(shí)處理、離線入侵分析、入侵偵測(cè)查詢、報(bào)告生成等多項(xiàng)功能的分布式計(jì)算機(jī)安全系統(tǒng)，不僅能即時(shí)監(jiān)控網(wǎng)絡(luò)資源運(yùn)行狀況，為網(wǎng)絡(luò)管理員及時(shí)提供網(wǎng)絡(luò)入侵預(yù)警和防范解決方案，還使得對(duì)于檢查黑客入侵，變得有跡可尋，為用戶采取進(jìn)一步行 動(dòng)提供了強(qiáng)有力的技術(shù)支持，大大加強(qiáng)了對(duì)惡意黑客的威懾力量。 2. 對(duì) **集團(tuán) 網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)，防止黑客的入侵。 4. 對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律。 6. 對(duì)關(guān)鍵正常事 件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。在入侵檢測(cè)的支撐技術(shù)上，技術(shù)優(yōu)勢(shì)體現(xiàn)在高速捕包、深入?yún)f(xié)議分析技術(shù)、高速樹型匹配技術(shù)、防躲避處理技術(shù)以及事件風(fēng)暴處理技術(shù)等多個(gè)方面，有效地保證了入侵檢測(cè)的準(zhǔn)確性、有效性和高性能。 ? 以入侵檢測(cè)為核心的動(dòng)態(tài)安全體系 隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使 網(wǎng)絡(luò)信息安 全 變成了一個(gè)動(dòng)態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng) 網(wǎng)絡(luò)信息安全 的需要。因此， 以入侵檢測(cè)系統(tǒng)為核心的動(dòng)態(tài)防御體系，可以實(shí)現(xiàn)入侵檢測(cè)和防火墻、入侵檢測(cè)和漏洞掃描等防護(hù)系統(tǒng)的聯(lián)動(dòng)。 但是，對(duì)于網(wǎng)絡(luò)上的錯(cuò)綜復(fù)雜的攻擊事件，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的防護(hù)效果還是不夠全面。所以，使用入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)方式，來實(shí)現(xiàn)整體防護(hù)。 ? 入侵檢測(cè)系統(tǒng)與漏洞掃描系統(tǒng)的聯(lián)動(dòng) 入侵檢測(cè)在發(fā)現(xiàn)攻擊行為的同時(shí)，發(fā)出指令通知漏洞掃描系 統(tǒng)，對(duì)被攻擊目標(biāo)機(jī)或攻擊源進(jìn)行掃描，來確認(rèn)攻擊源的存在和被攻擊機(jī)系統(tǒng)存在的漏洞，以作到主動(dòng)防御。 ? 基于入侵檢測(cè)系統(tǒng)的應(yīng)急響應(yīng) 通過入侵檢測(cè)系統(tǒng)的強(qiáng)大功能為應(yīng)急響應(yīng)提供有力的技術(shù)支撐和充足的信息支持，實(shí)施應(yīng)急響應(yīng)來解決實(shí)際的 網(wǎng)絡(luò)信息安全 問題。 I D S 控制中心I D S 引擎（服務(wù)端) 掃描系統(tǒng)( 客戶端)實(shí)時(shí)掃描命令（I D S 事件攻擊特征）定期掃描結(jié)果文件（事件漏洞信息）實(shí)時(shí)事件的有效性實(shí)時(shí)事件的有效性事件與漏洞對(duì)照文件信息系統(tǒng)安全建設(shè)建議 方案 第 24頁 共 53 頁 其中，技術(shù)包括 4 個(gè)方面：檢測(cè)發(fā)現(xiàn)、事件分析、事件報(bào)警、事件處理，這是一個(gè)安全事件的 發(fā)現(xiàn)和處理流程。而應(yīng)急響應(yīng)體系的組織結(jié)構(gòu)、處理規(guī)范、響應(yīng)流程都是保證應(yīng)急響應(yīng)能夠正常開展的管理要素。 ? 內(nèi)容異常分析 基于異常的檢測(cè)技術(shù)可以發(fā)現(xiàn)可疑的網(wǎng)絡(luò)行為，能夠?qū)ξ粗墓舴绞桨l(fā)出預(yù)警信號(hào)，是對(duì)其他方法的有利補(bǔ)充。 ? 行為關(guān)聯(lián)分析 一個(gè)真正的攻擊不是一個(gè)單獨(dú)的行為就可以發(fā)現(xiàn)，必須分析一系列的單獨(dú)行為，找到其中的行為關(guān)聯(lián)關(guān)系，才能更好地識(shí)別攻擊，管理已發(fā)生的入侵事件，處理垃圾報(bào)警信息，準(zhǔn)確描述攻擊行為。 強(qiáng)調(diào)實(shí)現(xiàn)以入侵檢測(cè)為核心的安全防御體系。 ? 入侵管理 組織檢測(cè)發(fā)現(xiàn)響應(yīng)流程處理規(guī)范事件分析 事件報(bào)警 事件處理入侵管理知識(shí)庫信息系統(tǒng)安全建設(shè)建議 方案 第 25頁 共 53 頁 入侵管理技術(shù)是應(yīng)急響應(yīng)體系的核心支撐技術(shù)。同時(shí)，好的入侵檢測(cè)系統(tǒng)還具有異常統(tǒng)計(jì)的功能，以降低誤報(bào)率，提高工作效率。為了提高入侵檢測(cè)系統(tǒng)的可用性，提高對(duì)應(yīng) 急響應(yīng)體系的支持力度，還應(yīng)加強(qiáng)入侵檢測(cè)系統(tǒng)的安全防范及管理功能，提高對(duì)全局入侵行為的可視管理。 ? 入侵驗(yàn)證 入侵驗(yàn)證系統(tǒng)根據(jù) 入侵檢測(cè)系統(tǒng) 發(fā)現(xiàn)的 網(wǎng)絡(luò)信息安全 事件，對(duì)被攻擊網(wǎng)絡(luò)或主機(jī)進(jìn)行攻擊后果的驗(yàn)證，并將攻擊后果返回給控制中心，供管理者做決策參考。 ? 可視化 用可視化的方式顯示當(dāng)前安全態(tài)勢(shì)，用不同的顏色和形狀表示關(guān)鍵點(diǎn)（ 如外部 IP）。 ? 事件自定義 事件自定義功能，以深層協(xié)議分析為基礎(chǔ)，能夠?qū)崿F(xiàn)： ? 對(duì)攻擊特征進(jìn)行多樣化、靈活定義，可以使 我 公司保證對(duì)最新攻擊方法的迅速反應(yīng)和升級(jí)，同時(shí)可以協(xié)助用戶直接定義針對(duì)其特殊應(yīng)用的攻擊和威脅。 ? 用戶可以自定義所 關(guān)注的敏感信息，加強(qiáng)內(nèi)外部信息的審查，如商業(yè)機(jī)密，反動(dòng)、黃色、暴力等信息。 ? 策略自定義 信息系統(tǒng)安全建設(shè)建議 方案 第 26頁 共 53 頁 入侵檢測(cè)系統(tǒng)內(nèi)置檢測(cè)策略，可以供用戶選用。 ? 引擎自定義提供不同作用、基于不同環(huán)境的入侵檢測(cè)探測(cè)引擎。這些引擎都可以被統(tǒng)一的入侵管理平臺(tái)所管理。 動(dòng)態(tài)安全的概念是：幫助管理員主動(dòng)發(fā)現(xiàn)問題。因此 **集團(tuán) 網(wǎng)絡(luò)系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的工具，以保證整體網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全。該系 統(tǒng)具有強(qiáng)大的漏洞檢測(cè)能力和檢測(cè)效率，貼切用戶需求的功能定義，靈活多樣的檢測(cè)方式，詳盡的漏洞修補(bǔ)方案和友好的報(bào)表系統(tǒng)，以及方便的在線升級(jí)。所以在網(wǎng)絡(luò) 中心 部署 一 套 我 公司的 天鏡脆弱性掃描與管理系統(tǒng) 協(xié)同入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)提供防護(hù)。 ? 靈活的策略配置 可按照特定的需求配置多種掃描策略和掃描參數(shù)，實(shí)現(xiàn)不同內(nèi)容、不同級(jí)別、不同程度、不同層次的掃描。 ? 實(shí)用的模擬攻擊工具 ? 合理的結(jié)構(gòu)化設(shè)計(jì)、模塊的繼承性，使得系統(tǒng)具有很大的可擴(kuò)展空間 ? 全自動(dòng)、大規(guī)模的掃描任務(wù) ? 支持 windows 域環(huán)境 ? 多線程掃描 保證掃描任務(wù)的高效性和穩(wěn)定性； ? 定時(shí)掃描機(jī)制 保證充分利用網(wǎng)絡(luò)空閑間隙進(jìn)行 網(wǎng)絡(luò)信息安全 狀況評(píng)估； ? 豐富的漏洞檢查列表 ? 分級(jí) 、靈活的預(yù)定義報(bào)告 ? 合理的結(jié)構(gòu)化設(shè)計(jì) ? 遠(yuǎn)程在線升級(jí) ? 詳盡的安全解決方案 ? 幫助用戶在了解 網(wǎng)絡(luò)信息安全 狀況的情況下得到詳盡可行的解決措施。 ? 對(duì) **集團(tuán) 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界組件、基礎(chǔ)組件和其他系統(tǒng)進(jìn) 行漏洞掃描，檢查系統(tǒng)的潛在問題，發(fā)現(xiàn)操作系統(tǒng)存在的漏洞和安全隱患。 ? 通過漏洞掃描的結(jié)果，對(duì)系統(tǒng)進(jìn)行加固和優(yōu)化。 網(wǎng)絡(luò)信息安全 審計(jì)通常要求專門細(xì)致的協(xié)議分析技術(shù)，完整的跟蹤能力，和數(shù)據(jù)查詢過程回放功能。一個(gè)好的互聯(lián)網(wǎng)內(nèi)容管理產(chǎn)品，要能做到基于用戶的、細(xì)化、量化的訪問策略定制。 Web訪問是指通過 URL地址訪問 Web內(nèi)容，相應(yīng)的控制手段主要有內(nèi)容實(shí)時(shí)過濾、預(yù)分類列表方式等。越來越多的問題滋生于此，通過聊天、文件下載、網(wǎng)絡(luò)游戲或其他程序的應(yīng)用，導(dǎo)致的安全風(fēng)險(xiǎn)、生產(chǎn)力下降、帶寬濫用、法律風(fēng)險(xiǎn)等問題層出不窮。支持對(duì)訪問事件 (訪問者、訪問時(shí)間、訪問內(nèi)容、響應(yīng)動(dòng)作 )的實(shí)時(shí)監(jiān)控記錄，自定義查找訪問者、內(nèi)容的記錄、根據(jù)記錄生成直觀的統(tǒng)計(jì)數(shù)據(jù)等。 在專網(wǎng)服務(wù)器區(qū) ，面對(duì)繁多的業(yè)務(wù)系統(tǒng)，有充分的必要性對(duì)網(wǎng)絡(luò)的使用者、設(shè)備登錄維護(hù)者應(yīng)用安全審計(jì)進(jìn)行跟蹤。它不僅能夠識(shí)別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問題，并且它是后面階段事故處理的重要依據(jù)，為網(wǎng)絡(luò)犯罪行為及泄密行為提供取證基礎(chǔ)。 部署方案 為了進(jìn)一步加強(qiáng) **集團(tuán) 網(wǎng)絡(luò)信息安全 的健壯性及事后分析的可行性，并滿足信息安全監(jiān)控的目的，針對(duì) **集團(tuán) 網(wǎng)絡(luò)基礎(chǔ)建設(shè)的實(shí)際情況，我們建議： ? 在外網(wǎng)出口處 部署一臺(tái) 我 公司的 天玥 網(wǎng)絡(luò)信息安全 審計(jì)系統(tǒng) （互聯(lián)網(wǎng)型） 探測(cè)引擎 ，實(shí)現(xiàn) 對(duì) 外網(wǎng)出口處 各種數(shù)據(jù)流的檢測(cè)監(jiān)控，對(duì)于非法的互聯(lián)網(wǎng)訪問行為進(jìn)行審計(jì)和阻斷。 系統(tǒng)功能 采用網(wǎng)絡(luò)旁路監(jiān)聽技術(shù)，不改變網(wǎng)絡(luò)結(jié)構(gòu)，不影響用戶網(wǎng)絡(luò)流量和性能，不會(huì)成為用戶的網(wǎng)絡(luò)故障點(diǎn)而導(dǎo)致網(wǎng)絡(luò)癱瘓；專用系統(tǒng)設(shè)計(jì)，安裝簡(jiǎn)便，穩(wěn)定可靠。但是在實(shí)際情況下，來自網(wǎng)絡(luò)內(nèi)部的安全威脅卻是多數(shù)網(wǎng)絡(luò)管理人員真正需要面對(duì)的問題。目前網(wǎng)絡(luò)管理工作量最大的部是客戶 端安全部分，對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)威脅最大的也同樣是客戶端安全。 ? 如何安全、方便的將非安全計(jì)算機(jī)阻斷出網(wǎng) ? 如何對(duì)補(bǔ)丁進(jìn)行自動(dòng)分發(fā)部署和補(bǔ)丁控制。 ? 如何監(jiān)控網(wǎng)絡(luò)中的防病毒軟件安裝情況，準(zhǔn)確有效的定位網(wǎng)絡(luò)中病毒的引入點(diǎn)，快速、安全的切斷安全事件發(fā)生點(diǎn)和相 關(guān)網(wǎng)絡(luò)。 ? 如何對(duì)網(wǎng)絡(luò)中的軟件狀態(tài)信息進(jìn)行有效的查詢和管理； ? 如何實(shí)現(xiàn)客戶端安裝軟件自動(dòng)識(shí)別控制，尤其是掌握網(wǎng)絡(luò)內(nèi)新安裝的軟件，以及時(shí)發(fā)現(xiàn)隱患。 信息系統(tǒng)安全建設(shè)建議 方案 第 31頁 共 53 頁 ? 如何對(duì)網(wǎng)絡(luò)客戶端進(jìn)行有效工作狀態(tài)監(jiān)控，監(jiān)督使用人員規(guī)范操作電腦。 ? 如何有效監(jiān)控客戶端的運(yùn)維信息，以便網(wǎng)管了解網(wǎng)絡(luò)中的客戶端是否已超負(fù)荷運(yùn)轉(zhuǎn)，是否需要升級(jí) 。 ? 如何有效地實(shí)現(xiàn)客戶端文件的備份存儲(chǔ)。 部署方案 策略服務(wù)器 策略服務(wù)器用于配置管理客戶端安全策略，分發(fā)策略給客戶端代理及策略網(wǎng)關(guān)，分發(fā)