AngellPRO防火墻企業(yè)級(jí)解決方案

1、AngellPRO 防火墻企業(yè)級(jí)解決方案企業(yè)網(wǎng)絡(luò)安全解決方案企業(yè)網(wǎng)的建設(shè)成功為企業(yè)信息化打下了基礎(chǔ)， 為企業(yè)的生產(chǎn)經(jīng)營的開展提供了高效的信息傳輸手段。 在網(wǎng)絡(luò)信息資源日益豐富的同時(shí)， 對(duì)信息的安全保密性提出了更高的要求。 由于歷史和技術(shù)等原因， 在企業(yè)網(wǎng)的建設(shè)中， 比較少或基本上沒有考慮安全等因素。 在安全性方面，比較突出的表現(xiàn)在以下幾個(gè)方面： 身份認(rèn)證和資源訪問控制、 數(shù)據(jù)的安全傳輸、郵件的加解密和一些特殊的安全防范等問題。一 企業(yè)網(wǎng)絡(luò)安全解決思路設(shè)計(jì)、 服務(wù)提供依據(jù)采用 P2DR 模型。 通過信息安全表述模型P 2 DR 模型的分析，我們可以對(duì)需要建設(shè)的整體解決方案有一個(gè)完整的概念。確定P

2、olicy 策略、 Protection 防護(hù)、 Detection 檢測(cè)和 Response 響應(yīng)四個(gè)方面的安全需求。 P 2 DR 模型闡述了一個(gè)提供7組4不間斷安全管理和保障的產(chǎn)品和服務(wù)的全部綜合套件以及全面安全解決方案。P 2 DR 方案是一個(gè)超前的安全模型。它的指導(dǎo)思想比傳統(tǒng)安全方案（ 傳統(tǒng)安全在本質(zhì)上是靜態(tài)的，如防火墻和加固驗(yàn)證等） 有突破性提高。Pro tec tioPolicy 策略、 Protection 防護(hù)、 Detection 檢測(cè)和 Response 響應(yīng)組成的完整模型體系，可以描述和解釋任何信息安全問題。P2DR安全模型的特點(diǎn)就是動(dòng)態(tài)性和基于時(shí)間的特性，可以說對(duì)信息

3、安全的相對(duì)性”給予了更好地描述：雖然沒有100%的安全，但是模型為進(jìn)一步解決信息安全技術(shù)問題提供了有益的方法和方向。由P2 DR的數(shù)學(xué)模型我們得到結(jié)論：安全的目標(biāo)實(shí)際上就是盡可能的增大保護(hù)時(shí)間，盡量減少檢測(cè)時(shí)間和響應(yīng)時(shí)間。按照P2 DR模型，信息安全方案可以最大限度地保護(hù)信息不受諸多威脅的侵犯，目的是確保商務(wù)連續(xù)性，將商務(wù)損失和風(fēng)險(xiǎn)降低到最小程度，將投資回報(bào)和商業(yè)機(jī)會(huì)提高到最大程度。? Policy（安全策略） 由于安全策略是P2 DR安全模型的核心，所以要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò) 安全模型，必須首先制定企業(yè)的安全策略，所有的防護(hù)、檢測(cè)、響應(yīng) 都是依據(jù)安全策略實(shí)施的，企業(yè)安全策略為安全管理提供管理方向和

4、 支持手段。對(duì)于一個(gè)策略體系的建立包括：安全策略的制訂、安全策略的評(píng)估、安全策略的執(zhí)行等。? Protection （保護(hù)）保護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實(shí)現(xiàn)的， 主要有防火墻、加密、 認(rèn)證等方法。通過防火墻監(jiān)視限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，可以防范外對(duì)內(nèi)及內(nèi)對(duì)外的非法訪問，提高了網(wǎng)絡(luò)的防護(hù)能力，當(dāng)然需要根據(jù)安全策略制定合理的防火墻策略；也可以利用SecureID 這種一次性口令的方法來增加系統(tǒng)的安全性等等。? Detection （檢測(cè)）在 P 2 DR 模型，檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)響應(yīng)的依據(jù)， 它也是強(qiáng)制落實(shí)安全策略的有力工具， 通過不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)， 來

5、發(fā)現(xiàn)新的威脅和弱點(diǎn)， 通過循環(huán)反饋來及時(shí)作出有效的響應(yīng)。在我們采用了一系列靜態(tài)安全措施后， 比如設(shè)置了防火墻、 進(jìn)行身份驗(yàn)證、 采用了加密算法等等， 我們是否就能認(rèn)為我們的網(wǎng)絡(luò)是安全的呢？應(yīng)該如何來評(píng)估網(wǎng)絡(luò)的安全性？實(shí)際上網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)是實(shí)時(shí)存在的，所以我們檢測(cè)的對(duì)象應(yīng)該主要針對(duì)構(gòu)成安全風(fēng)險(xiǎn)的兩個(gè)部分： 系統(tǒng)自身的脆弱性及外部威脅。 檢測(cè)的內(nèi)容主要包括網(wǎng)絡(luò)和系統(tǒng)漏洞掃描、入侵檢測(cè)以及病毒掃描等等。Response （響應(yīng)） 緊急響應(yīng)在安全系統(tǒng)中占有最重要得地位， 是解決安全潛在性最有效 的辦法。在檢測(cè)到安全漏洞和安全事件之后必須及時(shí)做出正確的響 應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。從某種意義上講，安

6、全問題就是要 解決緊急響應(yīng)和異常處理問題。要解決好緊急響應(yīng)問題，就要制訂好 緊急響應(yīng)的方案，做好緊急響應(yīng)方案中的一切準(zhǔn)備工作。二安全系統(tǒng)設(shè)計(jì)模型安全建設(shè)過程是一個(gè)系統(tǒng)化過程。因此，安全建設(shè)的初期考慮中必須 站在全局，而不是局部的角度來設(shè)計(jì)組織的安全規(guī)劃。按照ISO17799的標(biāo)準(zhǔn)，我們可以將其濃縮為以下圖示。該標(biāo)準(zhǔn)涉 及了安全建設(shè)中需要考慮的各個(gè)方面，對(duì)組織的安全建設(shè)具有非常全 面的指導(dǎo)作用。安全建設(shè)參考模型以上模型中所包含的概念如下:? 物理和環(huán)境安全： 物理和環(huán)境安全是保護(hù)計(jì)算機(jī)設(shè)備、 設(shè)施以及其它媒體免遭地震、 水災(zāi)、 火災(zāi)等環(huán)境事故以及人為破壞所造成損失的過程和規(guī)范。? 鏈路和操作安全

7、： 鏈路安全主要解決網(wǎng)絡(luò)系統(tǒng)中， 鏈路級(jí)點(diǎn)對(duì)點(diǎn)公用信道上的安全。操作安全主要解決人為操作失誤所造成的損失。? 網(wǎng)絡(luò)安全： 網(wǎng)絡(luò)安全只要面對(duì)信息傳輸過程中由于傳輸協(xié)議、 網(wǎng)絡(luò)設(shè)備配置、傳輸加密等引起的安全問題。? 設(shè)備安全： 設(shè)備安全主要解決由于自然磨損、 疲勞失效等引起的設(shè)備老化、介質(zhì)損壞等問題。? 應(yīng)用安全： 應(yīng)用安全主要解決應(yīng)用系統(tǒng)的安全問題， 這些問題主要是應(yīng)用系統(tǒng)本身的程序設(shè)計(jì)問題造成或者由于應(yīng)用系統(tǒng)引發(fā)的其他問題。? 數(shù)據(jù)安全： 數(shù)據(jù)是企業(yè)存在和發(fā)展的基礎(chǔ)。 數(shù)據(jù)安全主要解決數(shù)據(jù)在存儲(chǔ)和傳輸過程中的安全問題。? 系統(tǒng)安全：系統(tǒng)安全主要解決操作系統(tǒng)的安全問題。? 人員安全： 人員安全主

8、要解決由于內(nèi)部人員的離職、 無意泄漏、 警惕性降低、水平不足或者故意報(bào)復(fù)等造成的損失。? 安全策略和管理： 安全策略和管理是組織根據(jù)自身的業(yè)務(wù)和安全需求制定的用于為信息安全提供管理方向和支持手段的指導(dǎo)性規(guī)范。? 安全服務(wù)： 安全服務(wù)是組織的 IT 部門或者專業(yè)的安全服務(wù)提供者提供給組織的安全培訓(xùn)、響應(yīng)、指導(dǎo)、分析等工作。? 標(biāo)準(zhǔn)： 標(biāo)準(zhǔn)是組織實(shí)現(xiàn)任何 IT 建設(shè)、 安全保障等必須遵循的國家級(jí)或國際化的規(guī)范。盡管我們?cè)诰唧w實(shí)現(xiàn)的時(shí)候，會(huì)針對(duì)不同情況對(duì)以上的方面有所側(cè)重。 但是， 安全建設(shè)參考模型的建立將幫助組織更加全面地考慮自己所需要面對(duì)的安全問題。三 企業(yè)網(wǎng)安全實(shí)現(xiàn)目標(biāo)技術(shù)先進(jìn)性和成熟性設(shè)計(jì)立

9、足先進(jìn)技術(shù)，相對(duì)成熟可靠，符合網(wǎng)絡(luò)發(fā)展的方向，以適應(yīng)大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。系統(tǒng)可靠性和穩(wěn)定性網(wǎng)絡(luò)大量傳輸?shù)氖侵匾臄?shù)據(jù)， 企業(yè)網(wǎng)的安全建設(shè)結(jié)果應(yīng)嚴(yán)格注意如何保證網(wǎng)絡(luò)系統(tǒng)的可靠性和運(yùn)行的穩(wěn)定性，其中包括：網(wǎng)絡(luò)結(jié)構(gòu)的可靠性和穩(wěn)定性。在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)上，力求簡潔，符合網(wǎng)絡(luò)發(fā)展的方向。設(shè)備的高可靠 選用的網(wǎng)絡(luò)設(shè)備應(yīng)具有很好的容錯(cuò)特性及熱備份能力等。網(wǎng)絡(luò)系統(tǒng)與應(yīng)用系統(tǒng)接口的可靠性。選用的網(wǎng)絡(luò)系統(tǒng)的接口與應(yīng)用系統(tǒng)接口兼容并可靠。選用的網(wǎng)絡(luò)設(shè)備必須符合國際標(biāo)準(zhǔn)。系統(tǒng)的開放和互聯(lián)在網(wǎng)絡(luò)設(shè)計(jì)過程考慮到與其它系統(tǒng)或網(wǎng)絡(luò)的互聯(lián)，因此，網(wǎng)絡(luò)系統(tǒng)應(yīng)支持多協(xié)議、兼容各種拓?fù)浣Y(jié)構(gòu)、互連性好，只有這樣才能夠?qū)崿F(xiàn)與 現(xiàn)有的和未來的網(wǎng)絡(luò)系統(tǒng)互聯(lián)。易于管理在整個(gè)網(wǎng)絡(luò)中，連入網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備和終端設(shè)備多、分布廣、網(wǎng)絡(luò)運(yùn) 行情況復(fù)雜，網(wǎng)絡(luò)設(shè)備應(yīng)該具有很好的可管理性，以便于管理和維護(hù)。 利用先進(jìn)的網(wǎng)絡(luò)管理軟件，可以通過網(wǎng)管