2021年網(wǎng)絡(luò)安全解決方案設(shè)計

1、網(wǎng)絡(luò)安全解決方案設(shè)計 網(wǎng)絡(luò)安全中的入侵檢測系統(tǒng)是近年來出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，也是重要的網(wǎng)絡(luò)安全工具。下面是有網(wǎng)絡(luò)安全解決方案設(shè)計，歡迎參閱。 一、客戶背景 集團內(nèi)聯(lián)網(wǎng)主要以總部局域網(wǎng)為核心，采用廣域網(wǎng)方式與外地子公司聯(lián)網(wǎng)。集團廣域網(wǎng)采用MPLS-技術(shù)，用來為各個分公司提供骨干網(wǎng)絡(luò)平臺和接入，各個分公司可以在集團的骨干 _絡(luò)系統(tǒng)上建設(shè)各自的子系統(tǒng)，確保各類系統(tǒng)間的相互 _。 二、安全威脅 某公司屬于大型上市公司，在北京， _、廣州等地均有分公司。公司內(nèi)部采用無紙化辦公，OA系統(tǒng)成熟。每個局域網(wǎng)連接著該所有部門，所有的數(shù)據(jù)都從局域網(wǎng)中傳遞。同時，各分公司采用技術(shù)連接公司總部。該單位為了方便，將相

2、當一部分業(yè)務(wù)放在了對外開放的 _上， _也成為了既是對外形象窗口又是內(nèi)部辦公窗口。 由于網(wǎng)絡(luò)設(shè)計部署上的缺陷，該單位局域網(wǎng)在建成后就不斷出現(xiàn)網(wǎng)絡(luò)擁堵、網(wǎng)速特別慢的情況，同時有些個別機器上的殺毒軟件頻頻出現(xiàn)病毒 _，網(wǎng)絡(luò)經(jīng)常癱瘓，每次時間都持續(xù)幾十分鐘， _簡直成了救火隊員，忙著清除病毒，重裝系統(tǒng)。對外WEB _同樣也遭到黑客攻擊，網(wǎng)頁遭到非法篡改，有些網(wǎng)頁甚至成了傳播不良信息的平臺，不僅影響到 _的正常運行，而且還對 _形象也造成不良影響。(安全威脅根據(jù)拓撲圖分析)從網(wǎng)絡(luò)安全威脅看，集團網(wǎng)絡(luò)的威脅主要包括外部的攻擊和入侵、內(nèi)部的攻擊或誤用、企業(yè)內(nèi)的病毒傳播，以及安全管理漏洞等信息安全現(xiàn)狀：經(jīng)過

3、分析發(fā)現(xiàn)該公司信息安全基本上是空白，主要有以下問題： 公司沒有制定信息安全政策，信息管理不健全。 公司在建內(nèi)網(wǎng)時與inter的連接沒有防火墻。 內(nèi)部網(wǎng)絡(luò)(同一城市的各分公司)之間沒有任何安全保障為了讓網(wǎng)絡(luò)正常運行。 根據(jù)我國信息安全等級保護管理辦法的信息安全要求，近期公司決定對該網(wǎng)絡(luò)加強安全防護，解決目前網(wǎng)絡(luò)出現(xiàn)的安全問題。 三、安全需求 從安全性和實用性角度考慮，安全需求主要包括以下幾個方面： 1、安全管理 _ 安全建設(shè)應(yīng)該遵照7分管理3分技術(shù)的原則，通過本次安全項目，可以發(fā)現(xiàn)集團現(xiàn)有安全問題，并且協(xié)助建立起完善的安全管理和安全 _體系。 2、集團骨干網(wǎng)絡(luò)邊界安全 主要考慮骨干網(wǎng)絡(luò)中Inte

4、r出口處的安全，以及 _用戶、遠程撥號訪問用戶的安全。 3、集團骨干網(wǎng)絡(luò)服務(wù)器安全 主要考慮骨干網(wǎng)絡(luò)中 _服務(wù)器和集團內(nèi)部的服務(wù)器，包括OA、財務(wù)、人事、內(nèi)部WEB等內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)的安全。 4、集團內(nèi)聯(lián)網(wǎng)統(tǒng)一的病毒防護 主要考慮集團內(nèi)聯(lián)網(wǎng)中，包括總公司在內(nèi)的所有公司的病毒防護。 5、統(tǒng)一的增強口令認證系統(tǒng) 由于系統(tǒng) _需要管理大量的主機和網(wǎng)絡(luò)設(shè)備，如何確?？诹畎踩Q為一個重要的問題。 6、統(tǒng)一的安全管理平臺 通過在集團內(nèi)聯(lián)網(wǎng)部署統(tǒng)一的安全管理平臺，實現(xiàn)集團總部對全網(wǎng)安全狀況的集中監(jiān)測、安全策略的統(tǒng)一配置管理、統(tǒng)計分析各類安全 _、以及處理各種安全突發(fā) _。 7、專業(yè)安全

5、服務(wù) 過專業(yè)安全服務(wù)建立全面的安全策略、管理 _體系及相關(guān)管理制度，全面評估企業(yè)網(wǎng)絡(luò)中的信息資產(chǎn)及其面臨的安全風險情況，在必要的情況下，進行主機加固和網(wǎng)絡(luò)加固。通過專業(yè)緊急響應(yīng)服務(wù)保證企業(yè)在面臨緊急 _情況下的處理能力，降低安全風險。 四、方案設(shè)計 骨干網(wǎng)邊界安全 集團骨干網(wǎng)共有一個Inter出口，位置在總部，在Inter出口處部署LinkTrust Cyberwall-200F/006防火墻一臺。 在Inter出口處部署一臺LinkTrust Network Defender領(lǐng)信網(wǎng)絡(luò)入侵檢測系統(tǒng)，通過交換機端口鏡像的方式，將進出Inter的流量鏡像到入侵檢測的監(jiān)聽端口，LinkTrust N

6、etwork Defender可以實時監(jiān)控網(wǎng)絡(luò)中的異常流量，防止惡意入侵。 在各個分公司中添加一個DMZ區(qū)，保證各公司的信息安全，內(nèi)部網(wǎng)絡(luò)(同一城市的各分公司)之間沒有任何安全保障骨干網(wǎng)服務(wù)器安全 集團骨干網(wǎng)服務(wù)器主要指網(wǎng)絡(luò)中的 _服務(wù)器和集團內(nèi)部的應(yīng)用服務(wù)器包括OA、財務(wù)、人事、內(nèi)部WEB等，以及專為此次項目配置的、用于安全產(chǎn)品管理的服務(wù)器的安全。 主要考慮為在服務(wù)器區(qū)配置千兆防火墻，實現(xiàn)服務(wù)器區(qū)與辦公區(qū)的隔離，并將內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)在防火墻上實現(xiàn)邏輯隔離。還考慮到在服務(wù)器區(qū)配置主機入侵檢測系統(tǒng)，在網(wǎng)絡(luò)中配置百兆網(wǎng)絡(luò)入侵檢測系統(tǒng)，實現(xiàn)主機及網(wǎng)絡(luò)層面的主動防護。 漏洞掃描

7、了解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的了解存在那些安全漏洞，新出現(xiàn)的安全問題等，都要求信息系統(tǒng)自身和用戶作好安全評估。安全評估主要分成網(wǎng)絡(luò)安全評估、主機安全評估和數(shù)據(jù)庫安全評估三個層面。 內(nèi)聯(lián)網(wǎng)病毒防護 病毒防范是網(wǎng)絡(luò)安全的一個基本的、重要部分。通過對病毒傳播、感染的各種方式和途徑進行分析，結(jié)合集團網(wǎng)絡(luò)的特點，在網(wǎng)絡(luò)安全的病毒防護方面應(yīng)該采用“多級防范，集中管理，以防為主、防治結(jié)合”的動態(tài)防毒策略。 病毒防護體系主要由桌面網(wǎng)絡(luò)防毒、服務(wù)器防毒和郵件防毒三個方面。 增強的身份認證系統(tǒng) 由于需要管理大量的主機和網(wǎng)絡(luò)設(shè)備，如何確?？诹畎踩彩且粋€非常重要的問題。 減小口令危

8、險的最為有效的辦法是采用雙因素認證方式。雙因素認證機制不僅僅需要用戶提供一個類似于口令或者PIN的單一識別要素，而且需要第二個要素，也即用戶擁有的，通常是認證令牌，這種雙因素認證方式提供了比可重用的口令可靠得多的用戶認證級別。用戶除了知道他的PIN號碼外，還必須擁有一個認證令牌。而且口令一般是一次性的，這樣每次的口令是動態(tài)變化的，大大提高了安全性。 統(tǒng)一安全平臺的建立 通過建立統(tǒng)一的安全管理平臺(安全運行管理中心SOC)，建立起集團的安全風險監(jiān)控體系，利于從全局的角度發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問題，并及時歸并相關(guān)人員處理。這里的風險監(jiān)控體系包括安全信息庫、安全 _收集管理系統(tǒng)、安全工單系統(tǒng)等，同時

9、_有效的多種手段實時告警系統(tǒng)，定制高效的安全報表系統(tǒng)。 1.1安全系統(tǒng)建設(shè)目標 本技術(shù)方案旨在為某市 _網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，包括安全管理制度策略的制定、安全策略的實施體系結(jié)構(gòu)的設(shè)計、安全產(chǎn)品的選擇和部署實施，以及 _的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標是在不影響當前業(yè)務(wù)的前提下，實現(xiàn)對網(wǎng)絡(luò)的全面安全管理。 1) 將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風險; 2) 通過部署不同類型的安全產(chǎn)品，實現(xiàn)對不同層次、不同類別網(wǎng)絡(luò)安全問題的防護; 3) 使網(wǎng)絡(luò)管理者能夠很快重新 _被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀

10、態(tài)。最大限度地減少損失。 具體來說，本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問控制，并能夠?qū)χ匾刂泣c進行細粒度的訪問控制; 其次，對于通過對網(wǎng)絡(luò)的流量進行實時監(jiān)控，對重要服務(wù)器的運行狀況進行全面監(jiān)控。 1.1.1 防火墻系統(tǒng)設(shè)計方案 防火墻對服務(wù)器的安全保護 網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強，往往是攻擊的主要對象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為黑客攻擊的突破口，因此，在實施方案時要對服務(wù)器的安全進行一系列安全保護。 如果服務(wù)器沒有加任何安全防護措施而直接放在公網(wǎng)上提供對外服務(wù)，就會面臨著黑客各種方式的攻擊，安全級別很低。因此當 _防火墻后，所有訪問服務(wù)器的請求都要經(jīng)過防

11、火墻安全規(guī)則的詳細檢測。只有訪問服務(wù)器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。 防火墻對內(nèi)部非法用戶的防范 網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，我們必須要對它進行詳盡的分析，盡可能防護到網(wǎng)絡(luò)的每一節(jié)點。 對于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)

12、部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機沒有進行基本的安 全防范處理，整個系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機到單機訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸(NETBIOS)應(yīng)用;其次，是內(nèi)部網(wǎng)絡(luò)用戶對內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時。一般內(nèi)部用戶對于網(wǎng)絡(luò)安全防范的意識不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機將無法避免地遭到損害，特別是針對于NETBIOS文件共享協(xié)議

13、，已經(jīng)有很多的漏洞在網(wǎng)上公開報道，如果網(wǎng)絡(luò)主機保護不完善，就可能被內(nèi)部用戶利用黑客工具造成嚴重破壞。 1.1.2入侵檢測系統(tǒng) 利用防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低了網(wǎng)絡(luò)安全風險，但是入侵者可尋找防火墻背后可能敞開的后門，入侵者也可能就在防火墻內(nèi)。 網(wǎng)絡(luò)入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護的網(wǎng)絡(luò)上，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實時 _、 _登錄，或執(zhí)行用戶自定義的安全策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中有安全風險的地方，如局域網(wǎng)出入口、重

14、點保護主機、遠程接入服務(wù)器、內(nèi)部網(wǎng)重點工作站組等。在重點保護區(qū)域，可以單獨各部署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)(管理器+探測引擎)，也可以在每個需要保護的地方單獨部署一個探測引擎，在全網(wǎng)使用一個管理器，這種方式便于進行集中管理。 在內(nèi)部應(yīng)用網(wǎng)絡(luò)中的重要網(wǎng)段，使用網(wǎng)絡(luò)探測引擎，監(jiān)視并記錄該網(wǎng)段上的所有操作，在一定程度上防止非法操作和惡意攻擊網(wǎng)絡(luò)中的重要服務(wù)器和主機。同時，網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作的過程，可幫助安全 _發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。 需要說明的是，IDS是對防火墻的非常有必要的附加而不僅僅是簡單的補充。 按照現(xiàn)階段的網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不同的網(wǎng)絡(luò)安全風險區(qū)域，xxx市 _本期網(wǎng)絡(luò)安全系統(tǒng)項目的需求為：

15、 區(qū)域 部署安全產(chǎn)品 DMZ區(qū) 在服務(wù)器上 _趨勢防毒墻服務(wù)器版防病毒軟件; _一臺InterScan VirusWall防病毒 _; _百兆眼鏡蛇入侵檢測系統(tǒng)探測器和NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計系統(tǒng)。 安全監(jiān)控與備份中心 _FW3010-5000千兆防火墻， _RJ-iTOP榕基網(wǎng)絡(luò)安全漏洞掃描器; _眼鏡蛇入侵檢測系統(tǒng)控制臺和百兆探測器; _趨勢防毒墻服務(wù)器版管理服務(wù)器，趨勢防毒墻網(wǎng)絡(luò)版管理服務(wù)器，對各防病毒軟件進行集中管理。 網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)體系通常是在安全策略指導下合理配置和部署：網(wǎng)絡(luò)隔離與訪問控制、入侵檢測與響應(yīng)、漏洞掃描、防病毒、數(shù)據(jù)加密、身份認證、安全監(jiān)控與審計等技術(shù)設(shè)

16、備，并且在各個設(shè)備或系統(tǒng)之間，能夠?qū)崿F(xiàn)系統(tǒng)功能互補和協(xié)調(diào)動作。 網(wǎng)絡(luò)系統(tǒng)安全具備的功能及配置原則 1.網(wǎng)絡(luò)隔離與訪問控制。通過對特定網(wǎng)段、服務(wù)進行物理和邏輯隔離，并建立訪問控制機制，將絕大多數(shù)攻擊阻止在網(wǎng)絡(luò)和服務(wù)的邊界以外。 2.漏洞發(fā)現(xiàn)與堵塞。通過對網(wǎng)絡(luò)和運行系統(tǒng)安全漏洞的周期檢查，發(fā)現(xiàn)可能被攻擊所利用的漏洞，并利用補丁或從管理上堵塞漏洞。 3.入侵檢測與響應(yīng)。通過對特定網(wǎng)絡(luò)(段)、服務(wù)建立的入侵檢測與響應(yīng)體系，實時檢測出攻擊傾向和行為，并采取相應(yīng)的行動(如斷開網(wǎng)絡(luò)連接和服務(wù)、記錄攻擊過程、加強審計等)。 4.加密保護。主動的加密通信，可使攻擊者不能了解、修改敏感信息(如方式)或數(shù)據(jù)加密通信

17、方式;對保密或敏感數(shù)據(jù)進行加密存儲，可防止竊取或丟失。 5.備份和恢復(fù)。良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。 6.監(jiān)控與審計。在辦公網(wǎng)絡(luò)和主要業(yè)務(wù)網(wǎng)絡(luò)內(nèi)配置集中管理、分布式控制的監(jiān)控與審計系統(tǒng)。一方面以計算機終端為單元強化桌面計算的內(nèi)外安全控制與日志記錄;另一方面通過集中管理方式對內(nèi)部所有計算機終端的安全態(tài)勢予以掌控。 邊界安全解決方案 在利用公共網(wǎng)絡(luò)與外部進行連接的“內(nèi)”外網(wǎng)絡(luò)邊界處使用防火墻，為“內(nèi)部”網(wǎng)絡(luò)(段)與“外部”網(wǎng)絡(luò)(段)劃定安全邊界。在網(wǎng)絡(luò)內(nèi)部進行各種連接的地方使用帶防火墻功能的設(shè)備，在進行“內(nèi)”外網(wǎng)絡(luò)(段)的隔離的同時建立網(wǎng)絡(luò)(段)之間的安全通

18、道。 1.防火墻應(yīng)具備如下功能： 使用NAT把DMZ區(qū)的服務(wù)器和內(nèi)部端口影射到Firewall的對外端口; 允許Inter公網(wǎng)用戶訪問到DMZ區(qū)的應(yīng)用服務(wù)：、ftp、 _tp、dns等; 允許DMZ區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問Inter公網(wǎng); 允許內(nèi)部用戶訪問DMZ的應(yīng)用服務(wù)：、ftp、 _tp、dns、pop3、s; 允許內(nèi)部網(wǎng)用戶通過代理訪問Inter公網(wǎng); 禁止Inter公網(wǎng)用戶進入內(nèi)部網(wǎng)絡(luò)和非法訪問DMZ區(qū)應(yīng)用服務(wù)器; 禁止DMZ區(qū)的公開服務(wù)器訪問內(nèi)部網(wǎng)絡(luò); 防止Inter的DOS一類的攻擊; 能接受入侵檢測的聯(lián)動要求，可實現(xiàn)對實時入侵的策略響應(yīng); 對所保護的主機的常用應(yīng)用通信協(xié)議(、

19、ftp、tel、 _tp)能夠替換服務(wù)器的Banner信息，防止惡意用戶信息刺探; 提供日志報表的自動生成功能，便于 _的分析; 提供實時的網(wǎng)絡(luò)狀態(tài)監(jiān)控功能，能夠?qū)崟r的查看網(wǎng)絡(luò)通信行為的連接狀態(tài)(當前有那些連接、正在連接的IP、正在關(guān)閉的連接等信息)，通信數(shù)據(jù)流量。提供連接查詢和動態(tài)圖表顯示。 防火墻自身必須是有防黑客攻擊的保護能力。 2.帶防火墻功能的設(shè)備是在防火墻基本功能(隔離和訪問控制)基礎(chǔ)上，通過功能擴展，同時具有在IP層構(gòu)建端到端的具有加密選項功能的ESP _能力，這類設(shè)備也有S的，主要用于通過外部網(wǎng)絡(luò)(公共通信基礎(chǔ)網(wǎng)絡(luò))將兩個或兩個以上“內(nèi)部”局域網(wǎng)安全地連接起來，一般要求S應(yīng)具有

20、一下功能： 防火墻基本功能，主要包括：IP包過慮、應(yīng)用代理、提供DMZ端口和NAT功能等(有些功能描述與上相同); 具有對連接兩端的實體鑒別認證能力; 支持 _用戶遠程的安全接入; 支持IPESP _內(nèi)傳輸數(shù)據(jù)的完整性和機密性保護; 提供系統(tǒng)內(nèi)密鑰管理功能; S設(shè)備自身具有防黑客攻擊以及網(wǎng)上設(shè)備認證的能力。 入侵檢測與響應(yīng)方案 在網(wǎng)絡(luò)邊界配置入侵檢測設(shè)備，不僅是對防火墻功能的必要補充，而且可與防火墻一起構(gòu)建網(wǎng)絡(luò)邊界的防御體系。通過入侵檢測設(shè)備對網(wǎng)絡(luò)行為和流量的特征分析，可以檢測出侵害“內(nèi)部”網(wǎng)絡(luò)或?qū)ν庑孤┑木W(wǎng)絡(luò)行為和流量，與防火墻形成某種協(xié)調(diào)關(guān)系的互動，從而在“內(nèi)部”網(wǎng)與外部網(wǎng)的邊界處形成保護

21、體系。 入侵檢測系統(tǒng)的基本功能如下： 通過檢測引擎對各種應(yīng)用協(xié)議，操作系統(tǒng)，網(wǎng)絡(luò)交換的數(shù)據(jù)進行分析，檢測出網(wǎng)絡(luò)入侵 _和可疑操作行為。 對自身的數(shù)據(jù)庫進行自動維護，無需人工干預(yù)，并且不對網(wǎng)絡(luò)的正常運行造成任何干擾。 采取多種 _方式實時 _、音響 _，信息記錄到數(shù)據(jù)庫，提供 _ _、SysLog _、SNMPTrap _、Windows日志 _、Windows消息 _信息，并按照預(yù)設(shè)策略，根據(jù)提供的 _信息切斷攻擊連接。 與防火墻建立協(xié)調(diào)聯(lián)動，運行自定義的多種響應(yīng)方式，及時阻隔或消除異常行為。 全面查看網(wǎng)絡(luò)中發(fā)生的所有應(yīng)用和連接，完整的顯示當前網(wǎng)絡(luò)連接狀態(tài)。 可對網(wǎng)絡(luò)中的攻擊 _，訪問記錄進行

22、適時查詢，并可根據(jù)查詢結(jié)果輸出圖文報表，能讓管理人員方便的提取信息。 入侵檢測系統(tǒng)猶如攝像頭、監(jiān)視器，在可疑行為發(fā)生前有預(yù)警，在攻擊行為發(fā)生時有 _，在攻擊 _發(fā)生后能記錄，做到事前、事中、事后有據(jù)可查。 漏洞掃描方案 除利用入侵檢測設(shè)備檢測對網(wǎng)絡(luò)的入侵和異常流量外，還需要針對主機系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機漏洞掃描可以主動發(fā)現(xiàn)主機系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng) _對該缺陷和漏洞進行修補或堵塞。 對于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購標準產(chǎn)品問題的，應(yīng)及時升級換代或 _補丁程序;屬委托 _的產(chǎn)品問題的，應(yīng)與 _商協(xié)議修

23、改程序或 _補丁程序;屬于系統(tǒng)配置出現(xiàn)的問題，應(yīng)建議系統(tǒng) _修改配置參數(shù)，或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。 漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢的必要輔助，對使用這一工具的安全 _或系統(tǒng) _有較高的技術(shù)素質(zhì)要求。 考慮到漏洞掃描能檢測出防火墻策略配置中的問題，能與入侵檢測形成很好的互補關(guān)系：漏洞掃描與評估系統(tǒng)使系統(tǒng) _在事前掌握主動地位，在攻擊 _發(fā)生前找出并關(guān)閉安全漏洞;而入侵檢測系統(tǒng)則對系統(tǒng)進行監(jiān)測以期在系統(tǒng)被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標，而且關(guān)系密切。本方案建議采購將入侵檢測、管理控制中心與漏洞掃描一體化集成的產(chǎn)品，不但可以簡化管理，而且便于漏洞掃描、入侵檢測和防火墻之間的協(xié)調(diào)動作。 網(wǎng)絡(luò)防病毒方案 網(wǎng)絡(luò)防病毒產(chǎn)品較為成熟，且有幾種主流產(chǎn)品。本方案建議，網(wǎng)絡(luò)防病毒系