網(wǎng)絡(luò)安全解決方案

1、網(wǎng)絡(luò)安全解決方案要技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技 術(shù)、防病毒技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù)，等等。為了保 護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全 措施進(jìn)行整合，建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安 全防御體系，這樣一個(gè)全面的網(wǎng)絡(luò)安全解決方案，可以防止 安全風(fēng)險(xiǎn)的各個(gè)方面的問(wèn)題。二、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)1桌面安全系統(tǒng)用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤(pán)上，使用 戶可以方便地存取、 修改、分發(fā)。這樣可以提高辦公的效率， 但同時(shí)也造成用戶的信息易受到攻擊，造成泄密。特別是對(duì) 于移動(dòng)辦公的情況更是如此。因此，需要對(duì)移動(dòng)用戶的文件 及文件夾進(jìn)行本地安全管理，防止文件

2、泄密等安全隱患。本設(shè)計(jì)方案采用清華紫光公司出品的紫光 S鎖產(chǎn)品，紫 光S鎖”是清華紫光桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品 名稱(chēng)。紫光 S鎖的內(nèi)部集成了包括中央處理器（ CPU ）、加 密運(yùn)算協(xié)處理器（CAU）只讀存儲(chǔ)器（ROM），隨機(jī)存儲(chǔ)器（RAM ）、電可擦除可編程只讀存儲(chǔ)器（ E2PROM ）等，以 及固化在ROM內(nèi)部的芯片操作系統(tǒng) COS（ Chip Operating System）、硬件ID號(hào)、各種密鑰和加密算法等。紫光 S鎖采用了通過(guò)中國(guó)人民銀行認(rèn)證的SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對(duì)S鎖進(jìn)行操作。2病毒防護(hù)系統(tǒng)基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)

3、絡(luò)中添加一臺(tái)服務(wù)器，用于安裝IMSS。（1） 郵件防毒。采用趨勢(shì)科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無(wú)縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫(kù)中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫(kù)及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)及信件附件中的 病毒?？赏ㄟ^(guò)任何Notes工作站或 Web界面遠(yuǎn)程控管防毒管 理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。（2） 服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn) 品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊 可分開(kāi)安

4、裝。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響， 另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管 理和更新。（3） 客戶端防毒。采用趨勢(shì)科技的OfficeScan。該產(chǎn)品 作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過(guò)單點(diǎn)控制所有 客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不 受Windows域管理模式的約束，除支持 SMS，登錄域腳本， 共享安裝以外，還支持純 Web的部署方式。(4)集中控管TVCS。管理員可以通過(guò)此工具在整個(gè)企 業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件，支 持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品

5、 狀態(tài)。無(wú)論運(yùn)行于何種平臺(tái)和位置，TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)代理部署， 網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和 病毒爆發(fā)警報(bào)，給管理帶來(lái)極大的便利。3動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開(kāi)的密碼算法基礎(chǔ)上，結(jié)合生成 動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，通過(guò)十次以上的非線性迭 代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式， 從整體上保證了系統(tǒng)的安全性。4訪問(wèn)控制防火墻”單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu) 成，在控制不可信連接、分辨非法訪問(wèn)、辨別身份偽裝等方 面存在著很大的缺陷，

6、從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。 本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻，分別配置在高性能服務(wù)器 和三個(gè)重要部門(mén)的局域網(wǎng)出入口，實(shí)現(xiàn)這些重要部門(mén)的訪問(wèn) 控制。通過(guò)在核心交換機(jī)和高性能服務(wù)器群之間及核心交換 機(jī)和重要部門(mén)之間部署防火墻，通過(guò)防火墻將網(wǎng)絡(luò)內(nèi)部不同 部門(mén)的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這 樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來(lái)自?xún)?nèi)部的攻擊， 也保護(hù)了各部門(mén)網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來(lái)自單位網(wǎng)內(nèi)部其 他部門(mén)的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個(gè)部門(mén)，或者如 果病毒開(kāi)始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。5.信息加密、信息完整性校驗(yàn)為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子 網(wǎng)之間建

7、立起獨(dú)立的安全通道，通過(guò)嚴(yán)格的加密和認(rèn)證措施 來(lái)保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成網(wǎng)絡(luò)密碼機(jī)（硬件）：是一個(gè)基于專(zhuān)用內(nèi)核，具有自主 版權(quán)的高級(jí)通信保護(hù)控制系統(tǒng)。本地管理器（軟件）：是一個(gè)安裝于密碼機(jī)本地管理平 臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟 件。中心管理器（軟件）：是一個(gè)安裝于中心管理平臺(tái)（Windows系統(tǒng)）上的對(duì)全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的 系統(tǒng)軟件。6安全審計(jì)系統(tǒng)根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取 加密” 外防” 內(nèi)審”相結(jié)合的方法，內(nèi)審”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查，識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi) 部機(jī)密信

8、息是否泄密，以解決內(nèi)層安全。安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān) 控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)， 發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為， 忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。作為網(wǎng)絡(luò)安全 十分重要的一種手段，安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、 分析與安全相關(guān)行為有關(guān)的信息。在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能：安全 審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審 計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。本設(shè)計(jì)方案選用漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審 計(jì)工具。漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的 安全問(wèn)題，面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安 全產(chǎn)品，是一個(gè)分

9、布在整個(gè)安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān) 測(cè)、控制系統(tǒng)。（1）安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè) 部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上，其監(jiān)視 目標(biāo)主機(jī)的人機(jī)界面操作、 監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情 況及共享資源的使用情況。安全監(jiān)控中心是管理平臺(tái)和監(jiān)控 平臺(tái)，網(wǎng)絡(luò)管理員通過(guò)安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控 規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。主要 功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。 文件保護(hù)審計(jì)：文件保護(hù)安裝在審計(jì)中心，可有效的 對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置，包括禁止讀、禁 止寫(xiě)、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、 提供報(bào)警等功能。以及對(duì)文件保護(hù)進(jìn)

10、行用戶管理。 主機(jī)信息審計(jì)：對(duì)網(wǎng)絡(luò)內(nèi)公共資源中，所有主機(jī)進(jìn)行審計(jì)，可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類(lèi)型、IP地址信息。（2）資源監(jiān)控系統(tǒng)主要有四類(lèi)功能。監(jiān)視屏幕：在 用戶指定的時(shí)間段內(nèi)，系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏 幕；用戶實(shí)時(shí)控制屏幕截獲的開(kāi)始和結(jié)束。 監(jiān)視鍵盤(pán)：在用戶指定的時(shí)間段內(nèi)，截獲Host SensorProgram用戶的所有鍵盤(pán)輸入，用戶實(shí)時(shí)控制鍵盤(pán)截獲的開(kāi) 始和結(jié)束。 監(jiān)測(cè)監(jiān)控RAS連接：在用戶指定的時(shí)間段內(nèi)， 記錄所 有的RAS連接信息。用戶實(shí)時(shí)控制ass連接信息截獲的開(kāi)始 和結(jié)束。當(dāng)gas連接非法時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連 接的操作。 監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)連接：在用

11、戶指定的時(shí)間段內(nèi)，記錄所有的網(wǎng)絡(luò)連接信息（包括：TCP， UDP，NetBios ）。用戶實(shí)時(shí)控制網(wǎng)絡(luò)連接信息截獲的開(kāi)始和結(jié)束。由用戶指定非法的 網(wǎng)絡(luò)連接列表，當(dāng)出現(xiàn)非法連接時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或 掛斷連接的操作。單位內(nèi)網(wǎng)中安全審計(jì)系統(tǒng)采集的數(shù)據(jù)來(lái)源于安全計(jì)算機(jī)，所以應(yīng)在安全計(jì)算機(jī)安裝主機(jī)傳感器，保證探頭能夠采 集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一 臺(tái)主機(jī)上，負(fù)責(zé)為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控 結(jié)果、報(bào)警信息以及日志的審計(jì)。單位內(nèi)網(wǎng)中的安全計(jì)算機(jī) 為600臺(tái)，需要安裝600個(gè)傳感器。7入侵檢測(cè)系統(tǒng)IDS入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊

12、和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到 危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次 防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從 國(guó)際入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇IDS探測(cè)器（百兆）配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置，核心交換機(jī) 放置控制臺(tái)，監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻 擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響 應(yīng)入侵。在單位安全內(nèi)網(wǎng)中，入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的 幾個(gè)要害部門(mén)子網(wǎng)和其他部門(mén)子網(wǎng)之間，通過(guò)實(shí)時(shí)截取網(wǎng)絡(luò) 上的是數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會(huì)話軌跡，尋找網(wǎng)絡(luò)攻擊模式和其他網(wǎng)絡(luò)違規(guī)活動(dòng)。8.漏洞掃描系統(tǒng)本

13、內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個(gè)系統(tǒng)的安全性。在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺(tái)網(wǎng)絡(luò)隱患掃描I型聯(lián)動(dòng)型產(chǎn)品。I型聯(lián)動(dòng)型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶，I型聯(lián)動(dòng)型產(chǎn)品由手持式掃描儀和機(jī)架型掃描服務(wù)器結(jié)合一體，網(wǎng)管人員 就可以很方便的實(shí)現(xiàn)了集中管理的功能。網(wǎng)絡(luò)人員使用I型聯(lián)動(dòng)型產(chǎn)品，就可以很方便的對(duì) 200信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò) 進(jìn)行多線程較高的掃描速度的掃描，可以實(shí)現(xiàn)和IDS、防火墻聯(lián)動(dòng)，尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時(shí)移動(dòng)式 掃描儀可以跨越網(wǎng)段、穿透防火墻，實(shí)現(xiàn)分布式掃描，服務(wù) 器和掃描儀都支持定時(shí)和多 IP地址的自動(dòng)掃描，網(wǎng)管人員可 以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃 描報(bào)告，配合

14、我們提供的三級(jí)服務(wù)體系，大大的減輕了工作 負(fù)擔(dān)，極大的提高了工作效率。聯(lián)動(dòng)掃描系統(tǒng)支持多線程掃描，有較高的掃描速度，支 持定時(shí)和多IP地址的自動(dòng)掃描，網(wǎng)管人員可以很輕松的對(duì)自 己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時(shí)提供了 Web方式的遠(yuǎn)程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的 應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對(duì)于 信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動(dòng)式掃描儀。移動(dòng)式掃描儀使用靈活，可以跨越網(wǎng)段、穿透 防火墻，對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù)，這樣保 證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié) 調(diào)性，最大可能地消除安全隱患。在防火墻處部署聯(lián)

15、動(dòng)掃描系統(tǒng)，在部門(mén)交換機(jī)處部署移 動(dòng)式掃描儀，實(shí)現(xiàn)放火墻、聯(lián)動(dòng)掃描系統(tǒng)和移動(dòng)式掃描儀之 間的聯(lián)動(dòng)，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品 的合作和協(xié)調(diào)性，最大可能的消除安全隱患，盡可能早地發(fā) 現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率和 安全性。三、結(jié)束語(yǔ)隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來(lái)越重要，國(guó)家 和企業(yè)都對(duì)建立一個(gè)安全的網(wǎng)絡(luò)有了更高的要求。一個(gè)特定 系統(tǒng)的網(wǎng)絡(luò)安全方案，應(yīng)建立在對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的基礎(chǔ)上， 結(jié)合系統(tǒng)的實(shí)際應(yīng)用而做。由于各個(gè)系統(tǒng)的應(yīng)用不同，不能 簡(jiǎn)單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固化為一個(gè)模式，用這個(gè) 模子去套所有的信息系統(tǒng)。本文根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的總體規(guī)劃，從桌面

16、系統(tǒng)安 全、病毒防護(hù)、身份鑒別、訪問(wèn)控制、信息加密、信息完整 性校驗(yàn)、抗抵賴(lài)、安全審計(jì)、入侵檢測(cè)、漏洞掃描等方面安 全技術(shù)和管理措施設(shè)計(jì)出一整套解決方案，目的是建立一個(gè) 完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。防火墻，對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù)，這樣保 證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié) 調(diào)性，最大可能地消除安全隱患。在防火墻處部署聯(lián)動(dòng)掃描系統(tǒng)，在部門(mén)交換機(jī)處部署移 動(dòng)式掃描儀，實(shí)現(xiàn)放火墻、聯(lián)動(dòng)掃描系統(tǒng)和移動(dòng)式掃描儀之 間的聯(lián)動(dòng)，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品 的合作和協(xié)調(diào)性，最大可能的消除安全隱患，盡可能早地發(fā) 現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率和 安全性。三、結(jié)束語(yǔ)隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來(lái)