【9A文】信息安全建設(shè)方案建議書

【MeiWei_81重點(diǎn)借鑒文檔】第1章信息安全解決方案設(shè)計(jì)在第2章里，我們分別從網(wǎng)絡(luò)、應(yīng)用、終端及管理四個方面對公司的信息系統(tǒng)安全建設(shè)進(jìn)行了風(fēng)險及需求的分析。同時根據(jù)第3章的安全方案設(shè)計(jì)原則，我們將公司網(wǎng)絡(luò)安全建設(shè)分為以下幾個方面進(jìn)行了詳細(xì)的方案設(shè)計(jì)：e邊界安全解決方案；e內(nèi)網(wǎng)安全解決方案；e應(yīng)用安全解決方案；e安全管理解決方案；e安全服務(wù)解決方案。下面我們分別針對這5個安全解決方案進(jìn)行詳細(xì)的描述。1.1邊界安全解決方案在第2章的網(wǎng)絡(luò)安全風(fēng)險及需求分析中，我們主要從外部網(wǎng)絡(luò)連接及內(nèi)部網(wǎng)絡(luò)運(yùn)行之間進(jìn)行了風(fēng)險的分析。邊界安全解決方案就是針對與外部網(wǎng)絡(luò)連接處的安全方面。網(wǎng)絡(luò)是用戶業(yè)務(wù)和數(shù)據(jù)通信的紐帶、橋梁，網(wǎng)絡(luò)的主要功能就是為用戶業(yè)務(wù)和數(shù)據(jù)通信提供可靠的、滿足傳輸服務(wù)質(zhì)量的傳輸通道。就公司網(wǎng)絡(luò)系統(tǒng)來講，網(wǎng)絡(luò)邊界安全負(fù)責(zé)保護(hù)和檢測進(jìn)出網(wǎng)絡(luò)流量；另一方面，對網(wǎng)絡(luò)中一些重要的子系統(tǒng)，其邊界安全考慮的是進(jìn)出系統(tǒng)網(wǎng)絡(luò)流量的保護(hù)和控制。針對公司網(wǎng)絡(luò)系統(tǒng)，來自外部互聯(lián)網(wǎng)的非安全行為和因素包括：e未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問e身份（網(wǎng)絡(luò)地址）欺騙e黑客攻擊e病毒感染針對以上的風(fēng)險分析及需求的總結(jié)，我們建議在網(wǎng)絡(luò)邊界處設(shè)置防火墻系統(tǒng)、安全網(wǎng)關(guān)及遠(yuǎn)程訪問系統(tǒng)等來完善公司的邊界網(wǎng)絡(luò)安全保護(hù)?！綧eiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】1.1.1防火墻系統(tǒng)為在公司網(wǎng)絡(luò)與外界網(wǎng)絡(luò)連接處保障安全，我們建議配置防火墻系統(tǒng)。將防火墻放置在網(wǎng)絡(luò)聯(lián)結(jié)處，這樣可以通過以下方式保護(hù)網(wǎng)絡(luò)：。為防火墻配置適當(dāng)?shù)木W(wǎng)絡(luò)訪問規(guī)則，可以防止來自外部網(wǎng)絡(luò)對內(nèi)網(wǎng)的未經(jīng)授權(quán)訪問;e防止源地址欺騙，使得外部黑客不可能將自身偽裝成系統(tǒng)內(nèi)部人員，而對網(wǎng)絡(luò)發(fā)起攻擊；e通過對網(wǎng)絡(luò)流量的流量模式進(jìn)行整型和服務(wù)質(zhì)量保證措施，保證網(wǎng)絡(luò)應(yīng)用的可用性和可靠性；e可以根據(jù)時間定義防火墻的安全規(guī)則，滿足網(wǎng)絡(luò)在不同時間有不同安全需求的現(xiàn)實(shí)需要；e提供用戶認(rèn)證機(jī)制，使網(wǎng)絡(luò)訪問規(guī)則和用戶直接聯(lián)系起來，安全更為有效和針對性；e對網(wǎng)絡(luò)攻擊進(jìn)行檢測，與防火墻內(nèi)置的ids功能共同組建一個多級網(wǎng)絡(luò)檢測體系。目前新型狀態(tài)檢測的防火墻有效的解決并改善了傳統(tǒng)防火墻產(chǎn)品在性能及功能上存在的缺陷，狀態(tài)檢測防火墻具有更高的安全性、系統(tǒng)穩(wěn)定性、更加顯著的功能特性和優(yōu)異的網(wǎng)絡(luò)性能，同時具有廣泛的適應(yīng)能力。在不損失網(wǎng)絡(luò)性能的同時，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全策略的準(zhǔn)確制定與執(zhí)行，同時有效地抵御來自非可信任網(wǎng)絡(luò)的攻擊，并具有對防火墻系統(tǒng)安全性能的診斷功能。其內(nèi)置的入侵檢測系統(tǒng)，可以自動識別黑客的入侵，并對其采取確切的響應(yīng)措施，有效保護(hù)網(wǎng)絡(luò)的安全，同時使防火墻系統(tǒng)具備無可匹敵的安全穩(wěn)定性。我們可以根據(jù)業(yè)務(wù)模式及具體網(wǎng)絡(luò)結(jié)構(gòu)方式，不僅僅在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，同時在內(nèi)部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間和各子業(yè)務(wù)系統(tǒng)之間，考慮采用防火墻設(shè)備進(jìn)行邏輯隔離，控制來自內(nèi)外網(wǎng)絡(luò)的用戶對重要業(yè)務(wù)系統(tǒng)的訪問。防火墻技術(shù)部署說明（根據(jù)具體的網(wǎng)絡(luò)情況描述）產(chǎn)品選型及功能介紹（根據(jù)具體產(chǎn)品描述）1.1.2安全網(wǎng)關(guān)由于考慮到公司與互聯(lián)網(wǎng)（Internet）進(jìn)行連接，所以我們建議在系統(tǒng)網(wǎng)絡(luò)與Internet接入處配置“安全網(wǎng)關(guān)”，部署位置靈活，可放置在接入路由器與防火墻之間，也可部署在防火墻與內(nèi)部網(wǎng)絡(luò)之間?！綧eiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】隨著互聯(lián)網(wǎng)的飛速發(fā)展和應(yīng)用，計(jì)算機(jī)病毒已將互聯(lián)網(wǎng)作為其一種主要的傳播途徑。其中利用電子郵件傳播病毒是最直接的方式，統(tǒng)計(jì)顯示郵件傳播方式占全部病毒傳播的90%以上。在過去一段時間內(nèi)所發(fā)生的幾起影響較大的計(jì)算機(jī)病毒事件中，以Internet為主要傳播途徑的病毒占大多數(shù)，如Nimda、CodeRed等，以及近幾年爆發(fā)的Sobig.F、Swen、沖擊波、振蕩波等等。同時，由于病毒的泛濫，垃圾郵件也越來越成為大家頭痛的問題。根據(jù)國際領(lǐng)導(dǎo)的市場調(diào)查機(jī)構(gòu)RadicatiGroup統(tǒng)計(jì)，目前所有的郵件中，超過50%是垃圾郵件，也就是說每天在國際上有超過150億封垃圾郵件被發(fā)送出去，使各類企業(yè)每年遭受到200億美元以上由于勞動生產(chǎn)率下降及技術(shù)支出帶來的損失，到20RR年垃圾郵件數(shù)量將上升到驚人的2萬億封一年。經(jīng)過上述風(fēng)險及需求的分析，在Internet接入處對病毒、垃圾郵件及惡意代碼進(jìn)行控制，是實(shí)現(xiàn)接入安全的最佳方案。通過配置“安全網(wǎng)關(guān)”，我們可以實(shí)現(xiàn)：勺保證所有主要的Internet協(xié)議的安全，包括HTTP、FTP、SMTP、POP3等信息在進(jìn)入內(nèi)部網(wǎng)絡(luò)前由安全網(wǎng)關(guān)進(jìn)行查殺毒；。過濾所有來自互聯(lián)網(wǎng)的垃圾郵件；弋通過SMTP認(rèn)證保證郵件服務(wù)器不會被黑客當(dāng)作攻擊別人的跳板等。產(chǎn)品選型及功能描述安全網(wǎng)關(guān)的目標(biāo)是在網(wǎng)絡(luò)邊界或Internet網(wǎng)關(guān)處提供全面的病毒防護(hù)，而該病毒防護(hù)設(shè)備是即插即用的，不需要改變?nèi)魏蜪nternet設(shè)置，并對所有應(yīng)用及服務(wù)透明。通過全面阻截已知及未知病毒和防垃圾郵件功能和內(nèi)容過濾功能達(dá)到針對企業(yè)網(wǎng)絡(luò)環(huán)境的全面防護(hù)。安全網(wǎng)關(guān)是一款高度可配置及提供負(fù)載均衡的產(chǎn)品，為從中型到大型企業(yè)提供全面解決方案，并對網(wǎng)絡(luò)流量透明。?：?主要模塊令防病毒模塊e能夠掃描最常用的6種協(xié)議，阻止未知病毒和計(jì)算機(jī)蠕蟲進(jìn)入公司網(wǎng)絡(luò)令防垃圾模塊e安全網(wǎng)關(guān)通過其反垃圾郵件模塊檢查進(jìn)入公司的所有郵件。信息被掃描并且被劃分成垃圾或非垃圾，在未被請求的郵件到達(dá)用戶信箱之前進(jìn)行阻斷或修改這些信息的主題e內(nèi)容過濾模塊e網(wǎng)頁過濾模塊允許管理員限制因特網(wǎng)訪問?？梢远x不受歡迎內(nèi)容目錄，授權(quán)和非授權(quán)網(wǎng)頁。允許管理員控制公司網(wǎng)絡(luò)資源，并且阻斷非法，黃色或暴力網(wǎng)站內(nèi)容，或只是不受歡迎內(nèi)容進(jìn)入公司?？梢越ip用戶列表，這些用戶不需應(yīng)用上述限制【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】e易于使用：安全網(wǎng)關(guān)是目前世面上最易于安裝及使用的硬件網(wǎng)關(guān)產(chǎn)品，作為網(wǎng)絡(luò)信息傳遞的橋梁而非需要重新路由網(wǎng)絡(luò)流量。e安全：安全網(wǎng)關(guān)掃描6種網(wǎng)絡(luò)協(xié)議，而其他硬件網(wǎng)關(guān)產(chǎn)品僅能夠掃描2到4種網(wǎng)絡(luò)協(xié)議。在安全網(wǎng)關(guān)安裝在企業(yè)邊界上時，它實(shí)時掃描所有收入及發(fā)出郵件及其他的網(wǎng)絡(luò)傳輸信息，并且具有防垃圾郵件功能和內(nèi)容過濾功能e表現(xiàn)性能：安全網(wǎng)關(guān)的最大性能是可以取得完全掃描及病毒防護(hù)。安全網(wǎng)關(guān)的硬件及軟件性能經(jīng)過特殊優(yōu)化處理，能夠同時掃描6種網(wǎng)絡(luò)協(xié)議，并且完全對企業(yè)網(wǎng)絡(luò)透明。e擴(kuò)展性：安全網(wǎng)關(guān)專門針對自動負(fù)載均衡設(shè)計(jì)，使增加掃描的速度及增加網(wǎng)絡(luò)防護(hù)可以隨時達(dá)到。并可支持到百兆。?功能及優(yōu)勢：e性能高度優(yōu)化的病毒防護(hù)整合最新硬件及軟件技術(shù)，提供超乎尋常的優(yōu)異性能，能夠在一個小時內(nèi)掃描上萬封郵件，完全對企業(yè)網(wǎng)絡(luò)透明。e性能高度優(yōu)化的垃圾郵件防護(hù)整合最新硬件及軟件技術(shù)，提供超乎尋常的優(yōu)異性能，能夠在一個小時內(nèi)掃描上萬封郵件，完全對企業(yè)網(wǎng)絡(luò)透明。e拓展性及負(fù)載均衡由于安全網(wǎng)關(guān)的高度可拓展性，安全網(wǎng)關(guān)適合中到大型企業(yè)，能夠根據(jù)網(wǎng)絡(luò)通訊流量調(diào)節(jié)掃描能力。負(fù)載均衡是完全自動的，允許工作負(fù)載量能夠自動在不同工作單元間進(jìn)行均衡，良好地保障了產(chǎn)品的可拓展性及對企業(yè)邊界的全面防護(hù)。e易于安裝及配置按照即插即用的設(shè)計(jì)思路，能夠非常簡便地安裝在企業(yè)網(wǎng)絡(luò)中，不需要重新配置或重新路由Internet流量。一旦安裝完成，就開始不知疲倦地掃描所有網(wǎng)絡(luò)流量，保障網(wǎng)絡(luò)的100%安全。e保護(hù)所有廣泛使用的網(wǎng)絡(luò)協(xié)議保護(hù)所有可能的Internet相關(guān)威脅，完全掃描所有常用Internet協(xié)議，包括:HTTBFTBSMTBPOP3,IMARNNTP.e內(nèi)容過濾內(nèi)容過濾防止未知病毒及蠕蟲進(jìn)入企業(yè)網(wǎng)絡(luò)，大幅減少整體網(wǎng)絡(luò)資源占用及帶寬，防止可能的惡意代碼進(jìn)入到企業(yè)網(wǎng)絡(luò)。e遠(yuǎn)程管理可以通過一個簡潔、啟發(fā)式的web管理控制臺遠(yuǎn)程管理，讓企業(yè)網(wǎng)絡(luò)管理員通過企業(yè)內(nèi)部任何一臺電腦管理該產(chǎn)品。e每日自動病毒更新可以每日自動病毒更新，意味著安全網(wǎng)關(guān)始終可以防護(hù)所有最新病毒。e詳細(xì)報(bào)告及可客戶化的報(bào)警安全網(wǎng)關(guān)提供完整的掃描報(bào)告，并可以客戶化在企業(yè)內(nèi)部網(wǎng)絡(luò)的病毒報(bào)警機(jī)制。e實(shí)時系統(tǒng)監(jiān)控安全網(wǎng)關(guān)提供網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)病毒行為及網(wǎng)絡(luò)流量的實(shí)時監(jiān)控?！綧eiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】遠(yuǎn)程訪問安全根據(jù)前面的風(fēng)險及需求分析可知，公司在通過Internet互連及遠(yuǎn)程訪問方面，主要存在著以下兩種類型：。公司總部與分支機(jī)構(gòu)之間的遠(yuǎn)程訪問及互連；。公司與合作伙伴之間的遠(yuǎn)程訪問及互連。在總部與分支之間的互連，一般要求將分支機(jī)構(gòu)的網(wǎng)絡(luò)接入到總部網(wǎng)絡(luò)。而與合作伙伴的互連一般情況下合作伙伴訪問企業(yè)固定的某些應(yīng)用系統(tǒng)。同時，遠(yuǎn)程應(yīng)用中還存在著一種情況，即用戶出差或移動狀態(tài)中需要在遠(yuǎn)程訪問安全方面，我們分別針對這兩類應(yīng)用類型設(shè)計(jì)了相應(yīng)的VPN遠(yuǎn)程訪問系統(tǒng)。分支與總部的連接目前，由于VPN(虛擬專網(wǎng))比租用專線更加便宜、靈活，所以有越來越多的公司采用VPN，連接在家工作和出差在外的員工，以及替代連接分公司和合作伙伴的標(biāo)準(zhǔn)廣域網(wǎng)。VPN建在互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)架構(gòu)上，通過“隧道”協(xié)議，在發(fā)端加密數(shù)據(jù)、在收端解密數(shù)據(jù)，以保證數(shù)據(jù)的私密性。如在企業(yè)分部與企業(yè)總部之間，及企業(yè)員工與企業(yè)核心數(shù)據(jù)之間，都可建立起端到端的邏輯隧道(Tunnel)，所謂“隧道”是指其中所傳遞的數(shù)據(jù)都經(jīng)過特殊包裝和加密處理，從而能與同一物理鏈路中其它數(shù)據(jù)區(qū)別開來，避免被不法用戶所竊取，只有在隧道的始末兩端才可能添加和去除這些特殊包裝以得到真實(shí)的數(shù)據(jù)。在通過公共網(wǎng)絡(luò)(如Internet)傳遞業(yè)務(wù)數(shù)據(jù)時，這項(xiàng)技術(shù)尤為必要。現(xiàn)在大多數(shù)遠(yuǎn)程安全訪問解決方案是采用IPSecVPN方式，應(yīng)用最廣泛的組網(wǎng)結(jié)構(gòu)是在站點(diǎn)到站點(diǎn)的VPN組網(wǎng)方式。IPSec是網(wǎng)絡(luò)層的VPN技術(shù)，表示它獨(dú)立于應(yīng)用程序。IPSec以自己的封包封裝原始IP信息，因此可隱藏所有應(yīng)用協(xié)議的信息。一旦IPSec建立加密隧道后，就可以實(shí)現(xiàn)各種類型的一對多的連接，如Web、電子郵件、文件傳輸、VoIP等連接。并且，每個傳輸必然對應(yīng)到VPN網(wǎng)關(guān)之后的相關(guān)服務(wù)器上。在設(shè)計(jì)上，IPSecVPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。這類VPN的真正價值在于，它們盡量提高IP環(huán)境的安全性。IPSecVPN的誘人之處包括，它采用了集中式安全和策略管理部件，從而大大緩解了維護(hù)需求。應(yīng)用系統(tǒng)的遠(yuǎn)程訪問信息技術(shù)發(fā)展到現(xiàn)在，Web成為標(biāo)準(zhǔn)平臺已勢不可擋，越來越多的企業(yè)開始將ERP、CRM、SCM移植到Web上。SSLVPN將是Web應(yīng)用熱潮的直接受益者，它被認(rèn)為是實(shí)現(xiàn)遠(yuǎn)程安全訪問Web應(yīng)用的最佳手段。很多情況下，如采用SSLVPN的能夠就是降低成本。雖然購買軟件或硬件的費(fèi)用不一定便宜，但部署SSLVPN很便宜。安裝了這類軟件或硬件，使用者基本上就不需要IT部門的支持了，只要從其PC機(jī)上的瀏覽器向公司網(wǎng)注冊即可。SSL連接也更穩(wěn)定，據(jù)Infonetics最近發(fā)表的報(bào)告表明，SSL將不斷獲得吸引力。到20RR年，74%的移動【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】員工將依賴VPN（比20RR年增加15%）,預(yù)計(jì)增長率主要來自SSL,這種IPSec以外的方案避開了部署及管理必要客戶軟件的復(fù)雜性和人力需求。最終用戶避免了攜帶電腦，通過與因特網(wǎng)連接的任何設(shè)備就能獲得訪問，SSL更容易滿足用戶對移動連接的需求。用戶通過與因特網(wǎng)連接的任何設(shè)備實(shí)現(xiàn)連接，并借助于SSL隧道獲得安全訪問。雖然這需要在企業(yè)防火墻后面增添硬件，但企業(yè)只要管理一種設(shè)備，不必維護(hù)、升級及配置客戶軟件。SSLVPN將遠(yuǎn)程安全接入延伸到IPSecVPN擴(kuò)展不到的地方，使更多的員工，在更多的地方，使用更多的設(shè)備，安全訪問企業(yè)網(wǎng)絡(luò)資源，同時降低了部署和支持費(fèi)用。SSLVPN正在成為遠(yuǎn)程接入的事實(shí)標(biāo)準(zhǔn)。SSLVPN可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上。SSLVPN通信運(yùn)行在TCP/UDP協(xié)議上，具有穿越防火墻的能力。這種能力使SSLVPN能夠從一家用戶網(wǎng)絡(luò)的代理防火墻背后安全訪問另一家用戶網(wǎng)絡(luò)中的資源。IPSecVPN通常不能支持復(fù)雜的網(wǎng)絡(luò)，這是因?yàn)樗鼈冃枰朔┰椒阑饓?、IP地址沖突等困難。鑒于IPSec客戶機(jī)存在的問題，IPSecVPN實(shí)際上只適用于易于管理的或者位置固定的設(shè)備。SSLVPN是基于應(yīng)用的VPN，基于應(yīng)用層上的連接意味著（和IPSecVPN比較），SSLVPN更容易提供細(xì)粒度遠(yuǎn)程訪問（即可以對用戶的權(quán)限和可以訪問的資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，這是IPSecVPN難以做到的）。IPSecVPN和SSLVPN將在網(wǎng)絡(luò)組網(wǎng)中發(fā)揮各自的優(yōu)勢。在公司的遠(yuǎn)程訪問安全中，由于分別存在著這兩種情況，因此我們建議在方案中采用IPSec和SSLVPN相結(jié)合的部署方式：弋總部與分支機(jī)構(gòu)之間的需要通過現(xiàn)有的Internet進(jìn)行互連，提供分支機(jī)構(gòu)對總部網(wǎng)絡(luò)的訪問。因此，采用基于IPSec的站點(diǎn)到站點(diǎn)的VPN接入是比較理想的接入方式。。出差用戶及遠(yuǎn)程移動用戶訪問公司內(nèi)部應(yīng)用、及合作伙伴訪問某些特定的業(yè)務(wù)應(yīng)用系統(tǒng)，采用SSLVPN方式更能有效的滿足應(yīng)用的需求。產(chǎn)品選型及功能說明（根據(jù)具體的產(chǎn)品功能描述）入侵檢測系統(tǒng)根據(jù)之前的安全風(fēng)險與安全需求分析，在公司網(wǎng)絡(luò)中，由于直接接入Internet及內(nèi)部網(wǎng)絡(luò)用戶眾多，可能面臨的風(fēng)險及威脅有：。拒絕服務(wù)攻擊（DoS）：通過消耗網(wǎng)絡(luò)帶寬資源或網(wǎng)絡(luò)設(shè)備處理能力資源，使正常的服務(wù)和數(shù)據(jù)通信對網(wǎng)絡(luò)的傳輸質(zhì)量要求得不到滿足。尼姆達(dá)（Nimda）病毒沖擊波（Blaster,Nachi）病毒就是非常典型例子。令信息竊聽。資源濫用：內(nèi)部人員訪問不當(dāng)站點(diǎn)、玩網(wǎng)絡(luò)游戲，浪費(fèi)網(wǎng)絡(luò)資源，使正常的服務(wù)和【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】數(shù)據(jù)通信得不到保障。e管理失控：通過竊取網(wǎng)絡(luò)設(shè)備的管理權(quán)而使網(wǎng)絡(luò)失去安全性因此，我們在方案中建議在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)來入侵及濫用行為進(jìn)行檢測及審計(jì)。通過在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，可以在安全保障上做到：e檢測和發(fā)現(xiàn)針對系統(tǒng)中的網(wǎng)絡(luò)攻擊行為，如dos攻擊。對這些攻擊行為可以采取記錄、報(bào)警、主動阻斷等動作，以便事后分析和行為追蹤。e通過定義禁止訪問網(wǎng)站，限制內(nèi)部人員對不良站點(diǎn)的訪問。e對一些惡意網(wǎng)絡(luò)訪問行為可以先記錄，后回放，通過這種真實(shí)地再現(xiàn)方式更精確的了解攻擊意圖和模式，為未來更有效地的防范類似攻擊提供經(jīng)驗(yàn)e”入侵檢測系統(tǒng)”可以提供強(qiáng)大的網(wǎng)絡(luò)行為審計(jì)能力，讓網(wǎng)絡(luò)安全管理員跟蹤用戶（包括黑客）、應(yīng)用程序等對網(wǎng)絡(luò)的使用情況，幫助他們改進(jìn)網(wǎng)絡(luò)規(guī)劃。e對“入侵檢測系統(tǒng)”的使用和使用人員的管理一定要有專門的制度。IDS最主要的功能是對網(wǎng)絡(luò)入侵行為的檢測，它包括普通入侵探測和服務(wù)拒絕型攻擊探測引擎，可以自動識別各種入侵模式，在對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析時與這些模式進(jìn)行匹配，一旦發(fā)現(xiàn)某些入侵的企圖，就會進(jìn)行報(bào)警。IDS也支持基于網(wǎng)絡(luò)異常狀況的檢測方式。IDS具有強(qiáng)大的碎片重組功能，能夠抵御各種高級的入侵方式。為了跟蹤最新的入侵方式和網(wǎng)絡(luò)漏洞，IDS提供大容量的入侵特征庫以及方便的升級方式，每一個漏洞都提供了詳細(xì)的說明和解決方法，并且給出了相關(guān)的Bugtraq、CVE以及CAI等國際標(biāo)準(zhǔn)的編號。IDS能夠基于時間、地點(diǎn)、用戶賬戶以及協(xié)議類型、攻擊類型等等制定安全策略。通過對安全策略的調(diào)整，用戶能夠很方便地將IDS自定義成為符合自己組織需要的入侵檢測系統(tǒng)。而且，通過IDS提供的正則表達(dá)式，用戶能夠方便地對入侵特征庫進(jìn)行擴(kuò)充，添加需要的入侵特征，并且能夠?qū)θ肭值捻憫?yīng)過程進(jìn)行自定義。比如用戶需要在發(fā)現(xiàn)某種特定類型的攻擊方式的時候啟動一段自己編寫的程序以完成某項(xiàng)功能的時候，就可以利用IDS提供的接口靈活而方便地進(jìn)行配置完成。在抵御拒絕服務(wù)攻擊的功能上，IDS不僅僅能夠進(jìn)行攻擊的報(bào)警，而且能夠主動切斷攻擊。由此產(chǎn)生的大量日志能夠通過IDS具備的強(qiáng)大的工作區(qū)切換功能進(jìn)行存儲和轉(zhuǎn)發(fā)，大大提高了網(wǎng)絡(luò)入侵檢測系統(tǒng)本身的抗攻擊能力。為了進(jìn)一步提高IDS的抗攻擊能力，IDS還支持Stealth模式的配置，就是無IP設(shè)置。這樣攻擊者就無法訪問運(yùn)行IDS安全工作站，也就無法對IDS進(jìn)行直接攻擊。產(chǎn)品部署說明（根據(jù)具體的網(wǎng)絡(luò)情況描述）產(chǎn)品選型及功能描述（根據(jù)具體的產(chǎn)品描述）【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】1.2內(nèi)網(wǎng)安全解決方案面對網(wǎng)絡(luò)信息安全的各種風(fēng)險，我們在邊界及網(wǎng)關(guān)處的安全解決方案解決了許多安全問題。例如：在網(wǎng)絡(luò)邊界，通過防火墻對網(wǎng)絡(luò)連接和訪問的合法性進(jìn)行控制，通過網(wǎng)關(guān)過濾設(shè)備對數(shù)據(jù)流非法內(nèi)容進(jìn)行控制；在網(wǎng)絡(luò)傳輸上，通過入侵檢測監(jiān)視黑客攻擊和非法網(wǎng)絡(luò)活動等。但針對于內(nèi)部網(wǎng)絡(luò)我們?nèi)匀幻媾R著諸多的安全問題。傳統(tǒng)上，我們通過漏洞掃描發(fā)現(xiàn)系統(tǒng)缺陷；在主機(jī)設(shè)備，通過主機(jī)加固加強(qiáng)主機(jī)防護(hù)能力，通過防病毒、反間諜軟件預(yù)防惡意代碼等。然而隨著網(wǎng)絡(luò)的發(fā)展，病毒及惡意代碼本身的技術(shù)越來越先進(jìn)，其防護(hù)也越來越復(fù)雜。而且隨著計(jì)算機(jī)技術(shù)及應(yīng)用的普及，桌面用戶的行為也越來越超出網(wǎng)管員的管理能力范疇。因此，在考慮內(nèi)部網(wǎng)絡(luò)安全時，如果有效的管理網(wǎng)絡(luò)及終端將是我們考慮的主要問題。在此我們通過以下三種手段來完成基于終端的安全管理：e通過部署網(wǎng)絡(luò)防病毒系統(tǒng)來完善企業(yè)整體防病毒及惡意威脅的能力；e通過漏洞掃描或風(fēng)險評估工具來發(fā)展漏洞、脆弱性及威脅，并通過補(bǔ)丁分發(fā)系統(tǒng)對漏洞及脆弱性進(jìn)行及時的矯正及補(bǔ)充；e通過終端安全管理系統(tǒng)對桌面設(shè)備及用戶進(jìn)行安全管理及規(guī)范，有效保證終端的安全。企業(yè)防病毒系統(tǒng)目前公司網(wǎng)絡(luò)系統(tǒng)中并沒有一套完整的防病毒策略和技術(shù)方案，工作站安裝的防病毒軟件各種各樣，甚至有些服務(wù)器與工作站沒有安裝防病毒軟件，部分工作上使用的防病毒軟件病毒特征代碼沒有及時更新，沒有對防病毒軟件進(jìn)行統(tǒng)一的管理。鑒于防病毒的重要性和資源服務(wù)器系統(tǒng)網(wǎng)絡(luò)的當(dāng)前狀況，需要建立一套完整的防病毒系統(tǒng)，把病毒對網(wǎng)絡(luò)的威脅降到最低。目前企業(yè)整體防病毒解決方案均已比較成熟。在此我們針對傳統(tǒng)企業(yè)防病毒系統(tǒng)部署強(qiáng)調(diào)以下幾點(diǎn)：e全面性：實(shí)施網(wǎng)絡(luò)防毒系統(tǒng)時，應(yīng)當(dāng)對網(wǎng)絡(luò)內(nèi)所有可能作為病毒寄居、傳播及受感染的計(jì)算機(jī)進(jìn)行有效防護(hù)。避免有“遺忘的角落”造成病毒傳播的源泉；e功能及易用性：一方面需要對各種病毒進(jìn)行有效殺、防；另一方面，也要強(qiáng)調(diào)網(wǎng)絡(luò)防毒在實(shí)施、操作，維護(hù)和管理中的簡潔、方便和高效，最大限度地減輕使用人員和維護(hù)人員的工作量；e資源占用：防毒系統(tǒng)和企業(yè)現(xiàn)行計(jì)算機(jī)系統(tǒng)的兼容性、防毒軟件的運(yùn)行效率及占用資源等是企業(yè)防病毒系統(tǒng)必須考慮的問題。部署時考慮到企業(yè)現(xiàn)有的計(jì)算環(huán)境及應(yīng)用平臺，是否與需求資源相匹配；【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】e管理體系：為了保證防病毒系統(tǒng)的一致性、完整性和自升級能力，還必須要有一個完善的病毒防護(hù)管理體系，負(fù)責(zé)病毒軟件的自動分發(fā)、自動升級、集中配置和管理、統(tǒng)一事件和告警處理、保證整個企業(yè)范圍內(nèi)病毒防護(hù)體系的一致性和完整性。e防病毒策略：這個是企業(yè)防病毒系統(tǒng)最容易被忽略的地方。系統(tǒng)必須明確地規(guī)定保護(hù)的級別和所需采取的對策，并制定系統(tǒng)的防病毒策略和部署多層防御戰(zhàn)略，服務(wù)器防病毒、個人桌面計(jì)算機(jī)防病毒以及所有防病毒產(chǎn)品的統(tǒng)一管理，不要讓網(wǎng)絡(luò)系統(tǒng)中存在“木桶效應(yīng)”。一個良好的防病毒解決方案需要做到“層層防護(hù)，處處設(shè)防”，全方位多層次部署防病毒體系。我們?yōu)楣揪W(wǎng)絡(luò)中提供一個穩(wěn)定高效、技術(shù)一流、方便管理、服務(wù)周全的病毒防護(hù)解決方案，滿足網(wǎng)絡(luò)系統(tǒng)對病毒防護(hù)系統(tǒng)設(shè)計(jì)的業(yè)務(wù)需求，確保網(wǎng)絡(luò)系統(tǒng)能有效抵御各種病毒和惡意程序的攻擊。在公司網(wǎng)絡(luò)中建立病毒防護(hù)管理服務(wù)器，所有的防毒對象（工作站和服務(wù)器）均采用安裝代理的方式來實(shí)現(xiàn)集中控管。防毒服務(wù)器全面控制防毒代理的運(yùn)行、升級和刪除等權(quán)限?？梢酝ㄟ^防毒服務(wù)器自動分發(fā)防毒策略和防病毒升級特征庫，而整個防毒體系只需要網(wǎng)管與網(wǎng)絡(luò)安全管理中心的防毒服務(wù)器去Internet自動獲取病毒庫升級就可以自動完成全網(wǎng)的升級工作。極大地提高了防毒工作的效率。并且這種二層架構(gòu)的網(wǎng)絡(luò)防毒體系具有很好的擴(kuò)展性。產(chǎn)品選型及功能描述NOD32企業(yè)級防病毒安全套裝是一個高性能和穩(wěn)定的防病毒解決方案，它方便了對網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)配置和更新，這些計(jì)算機(jī)包括：工作站，文件服務(wù)器，ERchange和Domino郵件服務(wù)器，SMTP網(wǎng)關(guān)和邊界服務(wù)器。它不僅抵御病毒，蠕蟲和特洛依木馬，還防護(hù)新的英特網(wǎng)攻擊，如垃圾郵件，間諜程序，撥號器，黑客工具和惡作劇，以及針對系統(tǒng)漏洞，并提供保護(hù)阻止安全冒險。入侵防護(hù)采用了新一代的防護(hù)技術(shù)，它比傳統(tǒng)的檢測系統(tǒng)更加智能化，能在第一時間發(fā)現(xiàn)新的威脅，并阻斷企圖越過傳統(tǒng)防病毒軟件的未知病毒的攻擊，不管該未知病毒是以下列何種方式傳播：外圍設(shè)備、局域網(wǎng)共享資源、電子郵件E-mail、互聯(lián)網(wǎng)。入侵防護(hù)是市場上唯一一款集已知和未知威脅防護(hù)于一身的入侵防護(hù)軟件，能最大程度地抵御病毒、木馬、蠕蟲等網(wǎng)絡(luò)威脅。入侵防護(hù)企業(yè)版主要特性包括：e發(fā)現(xiàn)并清除未知病毒：結(jié)合了多種惡意代碼程序的檢測及阻斷技術(shù)，能有效發(fā)現(xiàn)并清除未知病毒。e緩沖區(qū)溢出防護(hù)：不僅能抵御已知的安全漏洞攻擊，而且能防護(hù)未知的攻擊。能在第一時間保護(hù)系統(tǒng)內(nèi)的緩沖區(qū)溢出漏洞不會被惡意代碼利用作為攻擊的手段，即使還沒有任何針對該漏洞的資料和補(bǔ)丁程序。e防護(hù)性的阻斷感染：可以在網(wǎng)絡(luò)層防止病毒和蠕蟲在企業(yè)網(wǎng)絡(luò)中傳播。e安全政策定義：通過建立安全政策來控制計(jì)算機(jī)上運(yùn)行的程序可執(zhí)行的操作，使網(wǎng)【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】管人員能對企業(yè)網(wǎng)絡(luò)內(nèi)所有的計(jì)算機(jī)進(jìn)行整體控制管理、定義并干預(yù)正當(dāng)?shù)募氨唤沟牟僮?。e新一代的防護(hù)技術(shù)，能抵御所有類型的互聯(lián)網(wǎng)威脅：包括病毒、木馬、蠕蟲等。e無可比擬的集中式部署：能不受地域限制，對企業(yè)組織中所有的工作站進(jìn)行客戶端分發(fā)和集中管理。e占用資源最小化：是在低帶寬環(huán)境下保護(hù)筆記本電腦的理想方案。e基于通用標(biāo)準(zhǔn)的技術(shù)：優(yōu)化網(wǎng)絡(luò)內(nèi)的防病毒更新速度。e友好直觀的用戶界面：避免混淆和誤操作。終端安全管理在第2章里我們針對終端的安全進(jìn)行了詳細(xì)風(fēng)險及需求的分析。終端安全是我們整體解決方案里不可或缺的部分，因?yàn)榻K端安全是我們?nèi)粘０踩ぷ魇亲钪匾彩切枰P(guān)注最多的部分。因此相應(yīng)的終端安全的解決方案必須做到：。統(tǒng)一、靈活的安全策略所有的安全管理都是通過策略集的定制和分發(fā)來完成的，支持集中的安全管理，便于整個系統(tǒng)的統(tǒng)一管理。安全策略分為用戶策略和全局策略兩類。一般情況下，用戶終端工作在網(wǎng)絡(luò)環(huán)境下，接受在線環(huán)境下用戶策略的控制；對于移動辦公的筆記本電腦等移動終端，接受脫機(jī)情況下全局策略的保護(hù)。管理員可根據(jù)組織機(jī)構(gòu)劃分管理權(quán)限，不同的管理者具有不同的權(quán)限和管轄范圍，支持系統(tǒng)清晰的職權(quán)劃分。安全策略可以分組分類，不同的策略組所起的控制作用和使用范圍也不同。為了簡化策略的管理，我們將用戶按照角色來管理；對不同的角色實(shí)施不同的安全策略。策略涉及多個層次：物理和環(huán)境、鏈路和操作、網(wǎng)絡(luò)、設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)、人員等各個層面的安全策略制定、部署和實(shí)施，幫助客戶有效實(shí)現(xiàn)網(wǎng)絡(luò)安全建設(shè)。策略層次如下圖所示：人再安全系統(tǒng)安全應(yīng)用安全數(shù)據(jù)安全網(wǎng)絡(luò)安全段備安全安全策略和管理鏈路和操作安全物理和環(huán)境安全【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】：?多層面、全方位保護(hù)系統(tǒng)的保護(hù)覆蓋了“系統(tǒng)內(nèi)核-系統(tǒng)設(shè)備-應(yīng)用程序”三個層面，提供了全方位的保護(hù)。在系統(tǒng)內(nèi)核層面，可自動、透明地幫助用戶加固操作系統(tǒng)、降低IT資源風(fēng)險。終端用戶勿需具備專業(yè)安全知識便可將自己的計(jì)算機(jī)終端加固到專家級程度，從而將精力關(guān)注于核心業(yè)務(wù)。在系統(tǒng)設(shè)備層面，嚴(yán)格限定用戶對硬件設(shè)備（例如：磁盤驅(qū)動器、CD-ROM、USB設(shè)備、打印機(jī)、網(wǎng)卡等）的使用權(quán)限和網(wǎng)絡(luò)傳輸控制，保證該主機(jī)遭受攻擊或發(fā)起對外攻擊的可能性都極大降低，同時也防止數(shù)據(jù)信息泄露。在應(yīng)用程序?qū)用?，?yán)格限定用戶在指定電腦上的合法行為和禁止行為，保證了用戶只能在合法范圍內(nèi)正常使用電腦，避免了用戶對資源的濫用，也避免了由此造成的維護(hù)成本升高。智能化分析和異常檢測機(jī)制系統(tǒng)通過特有的環(huán)境因子和用戶因子生成報(bào)警因子，并結(jié)合策略因子和歷史數(shù)據(jù)，共同輸入到?jīng)Q策引擎中；該引擎采用專有的安全算法，綜合分析判斷得出對某個事件是否報(bào)警。這樣就避免了大量誤報(bào)給管理員帶來的工作量。安全和管理相結(jié)合計(jì)算機(jī)終端的生命周期管理過程中，既涉及到安全保護(hù)，也涵蓋終端管理，這兩項(xiàng)工作內(nèi)容都服務(wù)于業(yè)務(wù)目標(biāo)，目的是保證IT業(yè)務(wù)和辦公的正常運(yùn)行和健康發(fā)展。安全和管理的完善結(jié)合，正是終端管理系統(tǒng)設(shè)計(jì)的重要思想。產(chǎn)品選型與功能介紹IP-GUARD終端安全管理系統(tǒng)是為了應(yīng)對目前終端面臨的眾多安全威脅而設(shè)計(jì)的一種安全管理產(chǎn)品，也是實(shí)現(xiàn)ELM策略的重要技術(shù)手段。提供了對終端生命周期管理（ELM）策略的全面技術(shù)支撐，涵蓋了資產(chǎn)管理、終端保護(hù)、應(yīng)用監(jiān)管、審計(jì)分析等功能模塊。以計(jì)算機(jī)終端為核心，通過完整、靈活、適應(yīng)用戶需求的措施，提供終端安全解決方案。KSMS面向企業(yè)級用戶，它部署在網(wǎng)絡(luò)中每一臺計(jì)算機(jī)終端，實(shí)現(xiàn)對終端的全面保護(hù)，并且強(qiáng)調(diào)對網(wǎng)絡(luò)終端的統(tǒng)一控制管理。象一個時刻守衛(wèi)在用戶身邊的安全管理員，提供有效的安全保護(hù)，確保計(jì)算機(jī)安全使用和企業(yè)級的統(tǒng)一管理。系統(tǒng)體系和結(jié)構(gòu)由三個部分組成：策略服務(wù)器（KPS）、管理控制臺（KMC）、安全客戶端（KSA）。?分布式的體系結(jié)構(gòu)系統(tǒng)采用分布式體系結(jié)構(gòu)，部署在網(wǎng)絡(luò)內(nèi)所有需要保護(hù)的計(jì)算機(jī)終端，通過集中的管理【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】中心進(jìn)行控制管理。KSMS提供靈活的部署能力，具有良好的擴(kuò)展性。KSMS體系結(jié)構(gòu)如下圖所示:安全客戶端（KSA）需要保護(hù)管理的計(jì)算機(jī)終端安全客戶端（KSA）需要保護(hù)管理的計(jì)算機(jī)終端?策略分發(fā)--管理控制—日志收集在上圖中，安全管理中心包括策略服務(wù)器、管理控制臺、日志和審計(jì)數(shù)據(jù)庫。其中，日志和審計(jì)數(shù)據(jù)庫可采用獨(dú)立服務(wù)器，也可安裝部署在管理控制臺。需要保護(hù)管理的計(jì)算機(jī)終端包括企業(yè)網(wǎng)絡(luò)環(huán)境中工作的各種PC、筆記本電腦、PC服務(wù)器等。接受保護(hù)和管理的終端節(jié)點(diǎn)會產(chǎn)生各種安全審計(jì)信息，可集中傳輸并存放到日志審計(jì)數(shù)據(jù)庫，管理控制臺可以訪問和管理審計(jì)信息并進(jìn)行統(tǒng)計(jì)分析。?:?系統(tǒng)組成策略服務(wù)器策略服務(wù)器保存并分發(fā)安全策略。KPS負(fù)責(zé)系統(tǒng)的認(rèn)證授權(quán)、策略管理的后臺支持，負(fù)責(zé)整個系統(tǒng)策略的發(fā)布和保存。支持分布式部署，能夠適用于大規(guī)模網(wǎng)絡(luò)環(huán)境的應(yīng)用。管理控制臺KSMS管理控制臺實(shí)現(xiàn)系統(tǒng)的集中管理控制。負(fù)責(zé)用戶終端管理、策略定義和應(yīng)用、系統(tǒng)設(shè)置、日志查詢和報(bào)表分析，為系統(tǒng)的管理提供統(tǒng)一的平臺，并支持用戶分權(quán)管理。安全客戶端安全客戶端接受控制臺的管理，執(zhí)行安全策略。KSA部署在需要保護(hù)的用戶PC和服務(wù)器上，保護(hù)計(jì)算機(jī)終端安全使用、約束用戶操作行為，系統(tǒng)將各種安全信息和日志傳遞到控制臺供管理員統(tǒng)一分析處理?！綧eiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】.2主要功能：?資產(chǎn)管理企業(yè)級的資產(chǎn)管理功能，幫助管理員和信息主管充分掌握企業(yè)范圍內(nèi)IT信息資產(chǎn)情況，為加強(qiáng)IT管理提供依據(jù)。設(shè)備管理管理員可充分掌握分散的計(jì)算機(jī)終端硬件配置及其變更情況（例如主板、CPU、內(nèi)存、硬盤等），統(tǒng)籌管理，避免資產(chǎn)流失。軟件管理管理員可及時掌握客戶端安裝軟件及變化情況（例如操作系統(tǒng)、版本、補(bǔ)丁、所安裝的應(yīng)用軟件等），便于監(jiān)督管理。用戶管理員工用戶是企業(yè)資產(chǎn)的重要組成部分。提供基于按組織劃分的用戶角色的管理，管理員可在線查詢用戶終端操作系統(tǒng)、進(jìn)程、設(shè)備情況、性能狀態(tài)等多種信息。資產(chǎn)識別對非法終端、設(shè)備資產(chǎn)的真實(shí)性識別可通過綁定IP、MAC、用戶的方式實(shí)現(xiàn)。?終端保護(hù)KSMS企業(yè)級的強(qiáng)制安全策略，提供基礎(chǔ)架構(gòu)保護(hù)和資產(chǎn)保護(hù)功能，通過多種手段全方位保護(hù)計(jì)算機(jī)終端安全使用?；A(chǔ)架構(gòu)保護(hù)主要包括：終端網(wǎng)絡(luò)訪問控制、惡意程序綜合防范；資產(chǎn)保護(hù)主要包括：設(shè)備使用限制、數(shù)據(jù)文件保護(hù)。終端網(wǎng)絡(luò)訪問控制通過IP地址、IP/TCP/UDP/ICMP/IGMP協(xié)議、服務(wù)端口等控制，防止遭受外來黑客攻擊，并且防止內(nèi)部終端對外（或內(nèi)部網(wǎng)絡(luò)其它終端）發(fā)起攻擊。惡意程序綜合防范采取多種方式綜合防范惡意程序破壞。通過端口控制，可阻止特定蠕蟲攻擊；通過限制程序執(zhí)行，控制未知病毒發(fā)作；通過注冊表保護(hù)，防止惡意代碼篡改；通過補(bǔ)丁管理，可及時通知補(bǔ)丁信息，彌補(bǔ)漏洞；通過與KILL及各種主流防病毒軟件聯(lián)動，集成實(shí)現(xiàn)防病毒管理。設(shè)備使用限制通過限制串口/并口、軟驅(qū)/光驅(qū)、USB磁盤、各種形式打印機(jī)、PCMCIA卡、紅外、1394【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】接口、多網(wǎng)卡/無線網(wǎng)卡、Modem/ADSL等設(shè)備使用，有效防止設(shè)備濫用、一機(jī)多網(wǎng)使用、信息通過設(shè)備泄露現(xiàn)象的發(fā)生，同時為加強(qiáng)IT制度管理提供技術(shù)保障。數(shù)據(jù)文件保護(hù)通過數(shù)據(jù)訪問權(quán)限控制等方式，保護(hù)數(shù)據(jù)、防止破壞和信息泄露。。應(yīng)用監(jiān)管通過多種方式對計(jì)算機(jī)終端應(yīng)用狀況和用戶行為進(jìn)行監(jiān)控管理。非法外聯(lián)控制通過網(wǎng)絡(luò)設(shè)備限制、網(wǎng)絡(luò)程序/連接控制等手段，限制終端非法外聯(lián)，對員工隨意訪問外部網(wǎng)絡(luò)的行為進(jìn)行管理，同時避免從不安全網(wǎng)絡(luò)引入安全風(fēng)險。此外，還可通過聯(lián)動方式，控制終端必須經(jīng)過統(tǒng)一認(rèn)證才能經(jīng)過濾網(wǎng)關(guān)連接到外部網(wǎng)絡(luò)。網(wǎng)絡(luò)準(zhǔn)入控制可通過檢測發(fā)現(xiàn)并防止非法終端（非KSMS客戶端）接入網(wǎng)絡(luò)，以此保護(hù)企業(yè)網(wǎng)絡(luò)資源；此外，還可與交換機(jī)聯(lián)動，通過802.1R協(xié)議方式將非法終端隔離在網(wǎng)絡(luò)之外。程序限制可限制網(wǎng)絡(luò)程序，對QQ、MSN、網(wǎng)絡(luò)沖浪等行為進(jìn)行管理；對游戲及業(yè)務(wù)無關(guān)行為進(jìn)行技術(shù)限制；保證工作效率。網(wǎng)頁過濾預(yù)置上百萬條分類的URL網(wǎng)站（暴力、色情、賭博、邪教等）黑名單，可完全禁止訪問；另外可通過自定義黑白名單、關(guān)鍵字方式過濾非法網(wǎng)站和網(wǎng)頁，限制對禁止網(wǎng)頁的訪問。遠(yuǎn)程維護(hù)當(dāng)終端計(jì)算機(jī)用戶需要現(xiàn)場技術(shù)支持時，管理員可通過的遠(yuǎn)程協(xié)助功能幫助用戶解決技術(shù)問題，在特權(quán)許可情況下對客戶端進(jìn)行遠(yuǎn)程維護(hù)和屏幕監(jiān)控，大幅提高工作效率。。審計(jì)分析提供系統(tǒng)日志、認(rèn)證日志、報(bào)警日志等等多種水晶報(bào)表格式的統(tǒng)計(jì)分析報(bào)告，為管理員提供安全分析依據(jù)。日志劃分為7個級別（緊急、警報(bào)、嚴(yán)重、錯誤、警告、通知、提示），可選擇多種告警方式（聲音、郵件、Windows消息等）。應(yīng)用安全解決方案在第2章里，我們對應(yīng)用安全的風(fēng)險及需求進(jìn)行了詳細(xì)的分析與定義。在我們整體解決【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】方案中從以下的兩個方面來完善應(yīng)用安全解決方案。身份認(rèn)證安全管理解決方案在第2章的安全管理的風(fēng)險及需求分析中，我們主要從技術(shù)層面和行政層面兩個方面來進(jìn)行了闡述。實(shí)際上，安全管理是一個復(fù)雜而漸進(jìn)的過程，因?yàn)樽鳛楣芾砟芰?，是需要通過不斷的改進(jìn)和提高。在公司的安全管理解決方案中，我們先從技術(shù)和行政這兩個層面對的安全管理進(jìn)行一個基本設(shè)計(jì)，先建立一個基礎(chǔ)的安全管理平臺，然而我們會進(jìn)一步如何建立有效的安全管理體系（SOC），實(shí)現(xiàn)可管理的安全進(jìn)行初步的論述。安全管理平臺的建立技術(shù)層面作為信息安全管理平臺所要求的高效和安全應(yīng)用，是離不開尖端的計(jì)算機(jī)技術(shù)作為基礎(chǔ)，當(dāng)然也離不開企業(yè)的行政管理手段，因?yàn)闆]有系統(tǒng)的管理措施，那么再新的技術(shù)也無法在系統(tǒng)中得到更好的應(yīng)用。在技術(shù)方面通過專業(yè)的網(wǎng)絡(luò)綜合管理系統(tǒng)來建立一個基本安全管理中心的技術(shù)平臺。通過專業(yè)的網(wǎng)絡(luò)綜合管理系統(tǒng)來實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備和應(yīng)用系統(tǒng)的安全管理。由于公司的信息系統(tǒng)建設(shè)是分步進(jìn)行的，網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)以及安全設(shè)備、用戶平臺等具有多樣性，因此對管理平臺或系統(tǒng)的要求也比較高，必須采用專業(yè)的網(wǎng)絡(luò)綜合管理系統(tǒng)，對網(wǎng)絡(luò)中的所有設(shè)備以及系統(tǒng)平臺都能夠統(tǒng)一集中管理，獲取所有設(shè)備的工作狀態(tài)和網(wǎng)絡(luò)負(fù)載狀態(tài)，同時可以看到網(wǎng)絡(luò)活動的日志信息，用它來對網(wǎng)絡(luò)狀態(tài)進(jìn)行分析，提供更有效的安全策略，同時網(wǎng)管系統(tǒng)能夠監(jiān)測客戶端系統(tǒng)狀態(tài)，能夠接管客戶端系統(tǒng)，當(dāng)網(wǎng)絡(luò)中的么一用戶系統(tǒng)出現(xiàn)問題而自己卻無法診斷，這時可以通過網(wǎng)管系統(tǒng)進(jìn)行遠(yuǎn)程接管，來協(xié)助用戶解決問題。行政層面在行政層面公司必須成立信息安全管理小組，通過小組會議確立信息安全政策總則、信息安全管理政策、信息安全審計(jì)考核及信息安全政策。信息安全政策總則主要是確定公司信息安全總體原則，明確今后的安全目標(biāo)，有組織、有計(jì)劃的為信息安全建設(shè)給出總體方向，是其它政策和標(biāo)準(zhǔn)的依據(jù)?！綧eiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】主要是制定信息安全政策和標(biāo)準(zhǔn)流程、管理規(guī)范、推廣實(shí)施、定期維護(hù)；設(shè)置安全組織管理體系的結(jié)構(gòu)；規(guī)定領(lǐng)導(dǎo)層對信息安全的責(zé)任、考核。?信息安全策略主要是明確公司內(nèi)部所有用戶、所有應(yīng)用的明確的安全細(xì)則，它是作為公司領(lǐng)導(dǎo)對所有用戶考核的依據(jù)。其具體信息安全政策應(yīng)包括以下內(nèi)容：e安全事件監(jiān)測和響應(yīng)e員工信息安全管理e開發(fā)維護(hù)內(nèi)部軟件e數(shù)據(jù)和文檔管理e商業(yè)軟件的購買和維護(hù)e網(wǎng)站、電子郵件e硬件設(shè)備和物理安全e信息系統(tǒng)的訪問控制e網(wǎng)絡(luò)、系統(tǒng)操作和管理e防御病毒和防御攻擊?信息安全審計(jì)指定審計(jì)和考核標(biāo)準(zhǔn)的目的是為了考察信息安全政策和標(biāo)準(zhǔn)的執(zhí)行情況，及時發(fā)現(xiàn)問題，糾正問題。這有助于信息安全政策的改進(jìn)和完善。政策中應(yīng)該包含審計(jì)考核的標(biāo)準(zhǔn)、審計(jì)考核時間、方法、結(jié)果的處理。在行政層面部分內(nèi)容，如信息系統(tǒng)安全策略設(shè)計(jì)、詳細(xì)的安全策略制訂等可以通過外部專業(yè)的安全咨詢公司進(jìn)行咨詢，然后結(jié)合企業(yè)的信息安全建設(shè)來制訂。此部分內(nèi)容我們將在下一部分安全服務(wù)解決方案里進(jìn)行進(jìn)一步的闡述。1.4.2安全運(yùn)營中心（SOC）信息安全管理的發(fā)展，隨著安全需求的提升也不斷的發(fā)展。近幾年以來，安全運(yùn)營中心（SOC）的概念及技術(shù)發(fā)展的也越來越成熟。部分涉足比較早的企業(yè)和服務(wù)商已經(jīng)有了比較成功的實(shí)施案例。在公司的安全管理解決方案中，我們在基礎(chǔ)的安全管理平臺之上，也提出關(guān)于建立有效的安全運(yùn)營中心（SOC），實(shí)現(xiàn)可管理的安全服務(wù)。【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】傳統(tǒng)的安全管理方式是將分散在各地、不同種類的安全防護(hù)系統(tǒng)分別管理，這樣導(dǎo)致安全信息分散互不相通，安全策略難以保持一致，這種傳統(tǒng)的管理運(yùn)行方式因此成為許許多多安全隱患形成的根源。安全運(yùn)營中心(SecuritROperationCenter)是針對傳統(tǒng)管理方式的一種重大變革。它將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過濾、收集和關(guān)聯(lián)分析，得出全局角度的安全風(fēng)險事件，并形成統(tǒng)一的安全決策對安全事件進(jìn)行響應(yīng)和處理?？傮w來說SOC的根本模型就是PDR模型，而SOC系統(tǒng)就是實(shí)現(xiàn)其中的D(Detection，檢測)和R(Response，響應(yīng))。SOC的需求主要是從以下幾個方面得到體現(xiàn)：：?大系統(tǒng)的管理通常安全系統(tǒng)是分別獨(dú)立逐步的建立起來的，比如防病毒系統(tǒng)、防火墻系統(tǒng)、入侵檢測系統(tǒng)等，各個系統(tǒng)都有單獨(dú)的管理員或者管理控制臺。這種相對獨(dú)立的部署方式帶來的問題是各個設(shè)備獨(dú)立的配置、各個引擎獨(dú)立的事件報(bào)警，這些分散獨(dú)立的安全事件信息難以形成全局的風(fēng)險觀點(diǎn)，導(dǎo)致了安全策略和配置難于統(tǒng)一協(xié)調(diào)。這種對于大規(guī)模系統(tǒng)的安全管理也正是SOC的需求根源，就是說只有大系統(tǒng)、擁有復(fù)雜應(yīng)用的系統(tǒng)才有SOC的需求。海量信息數(shù)據(jù)隨著安全系統(tǒng)建設(shè)越來越大，除了需要協(xié)調(diào)各個安全系統(tǒng)之間的問題之外，由于安全相關(guān)的數(shù)據(jù)量越來越大，有些關(guān)鍵的安全信息和告警事件常常被低價值或無價值的告警信息所淹沒，一些全局性的、影響重大的問題很難被分析和提煉出來。為了從大量的、孤立的單條事件中準(zhǔn)確的發(fā)現(xiàn)全局性的、整體的安全威脅行為，需要SOC這樣一個平臺使得整個安全體系的檢測能力更加準(zhǔn)確，更加集中于影響重大的焦點(diǎn)問題。信息安全目標(biāo)我們知道傳統(tǒng)的信息安全有7個屬性，即保密性(ConfidentialitR)、完整性(IntegritR)、可用性(AvailabilitR)、真實(shí)性(AuthenticitR)、不可否認(rèn)性(Nonreputiation)、可追究性(AccountabilitR)和可控性/可治理性(ControllabilitR/GovernabilitR)。信息安全的目標(biāo)是要確保全局的掌控，確保整個體系的完整性，而不僅限于局部系統(tǒng)的完整性；對于安全問題、事件的檢測要能夠匯總和綜合到中央監(jiān)控體系，確?？勺肪啃允钦麄€體系的可追究性。SOC的出現(xiàn)就是為了確保對全局的掌控，實(shí)現(xiàn)全面支撐信息安全管理目標(biāo)。全局可控性可控性是信息安全7個屬性中最重要的一個，可控性最重要的體現(xiàn)是全局監(jiān)控、預(yù)警能力和應(yīng)急響應(yīng)處理能力。全局預(yù)警就是要建立全局性的安全狀況收集系統(tǒng)，對于新的安全漏洞和攻擊方法的及時了解，針對體系內(nèi)局部發(fā)生的安全入侵等事件進(jìn)行響應(yīng)。我們通常用水桶效應(yīng)來描述分布式系統(tǒng)的安全性問題，認(rèn)為整個系統(tǒng)的安全性取決于水桶中最薄弱的一塊木條。SOC就像是這個水桶的箍，有了這個箍，水桶就很難崩潰，即使出現(xiàn)個別的漏洞，也不至于對整個體系造成災(zāi)難性的破壞。SOC充分利用所掌握的空間、時間、知識、能力等資源優(yōu)勢，形成全局性的資源協(xié)調(diào)體系，為系統(tǒng)的全局可控性提供有力的保障?！綧eiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】SOC的基本實(shí)施有關(guān)SOC的基本實(shí)施，不同的供應(yīng)商與實(shí)施方都有著不同的理解，其實(shí)施的具體方式與結(jié)果均不盡相同。在此我們結(jié)合啟明星辰SOC理論來進(jìn)行安全管理運(yùn)營解決方案論述。SOC的體系結(jié)構(gòu)這里的安全管理運(yùn)營解決方案是由“四個中心、三個平臺”組成的統(tǒng)一安全管理平臺?！八膫€中心”是弱點(diǎn)評估中心、事件監(jiān)控中心、風(fēng)險管理中心和應(yīng)急響應(yīng)中心；”三個平臺”是策略和配置平臺、知識管理平臺和資源管理平臺。?：?四個中心事件監(jiān)控中心監(jiān)控各個網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件報(bào)警信息等，以便及時發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件，例如網(wǎng)絡(luò)蠕蟲攻擊事件、非授權(quán)漏洞掃描事件、遠(yuǎn)程口令暴力破解事件等，及時協(xié)調(diào)和組織各級安全管理機(jī)構(gòu)進(jìn)行處理，及時采取積極主動措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。弱點(diǎn)評估中心通過弱點(diǎn)評估中心可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況，結(jié)合當(dāng)前安全的安全動態(tài)和預(yù)警信息，有助于各級安全管理機(jī)構(gòu)及時調(diào)整安全策略，開展有針對性的安全工作，并且可以借助弱點(diǎn)評估中心的技術(shù)手段和安全考核機(jī)制可以有效督促各級安全管理機(jī)構(gòu)將安全工作落實(shí)。風(fēng)險管理中心整個風(fēng)險管理中心的運(yùn)作可以通過事件監(jiān)控中心和弱點(diǎn)評估中心所掌握的全網(wǎng)安全動態(tài)，有針對性指導(dǎo)各級安全管理機(jī)構(gòu)做好安全防范工作，特別是針對當(dāng)前發(fā)生頻率較高的攻擊做好預(yù)警和防范工作。本中心是從檢測到響應(yīng)的中樞環(huán)節(jié)，匯總和分析也是在這里實(shí)現(xiàn)的。應(yīng)急響應(yīng)中心僅僅及時檢測到安全事件是不夠的，必須做出即時的、正確的響應(yīng)才能保證網(wǎng)絡(luò)的安全。應(yīng)急響應(yīng)中心作為安全管理運(yùn)營解決方案的重要組成部分之一為應(yīng)急響應(yīng)服務(wù)實(shí)現(xiàn)工具化、程序化、規(guī)范化提供了管理平臺。應(yīng)急響應(yīng)中心主要是通過工單管理系統(tǒng)來實(shí)現(xiàn)的。應(yīng)急響應(yīng)中心接收由風(fēng)險管理中心根據(jù)安全威脅事件生成的事件通知單，并對事件通知單的處理過程進(jìn)行管理，將所有事件響應(yīng)過程信息存入后臺數(shù)據(jù)庫，并可生成事件處理和分析報(bào)告。?三個平臺策略和配置管理平臺網(wǎng)絡(luò)安全的整體性要求需要有統(tǒng)一安全策略的管理。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略，指導(dǎo)各級安全管理機(jī)構(gòu)因地制宜的做好安全策略的部署工作，有利于在全網(wǎng)形成安全防范的合力，提高全網(wǎng)的整體安全防御能力，同時通過安全管理運(yùn)營解決方案策略和配置管理平臺的建設(shè)可以進(jìn)一步完善整個IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為指導(dǎo)各項(xiàng)安全工作的開展提供行動指南，有效解決目前因缺乏口令、認(rèn)證、訪問控制等方面策略而帶來到安全風(fēng)險問題。知識管理平臺統(tǒng)一的安全策略、安全知識庫信息等信息的發(fā)布，不僅可以充分共享各種【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】安全信息資源，而且也會成為各級安全管理機(jī)構(gòu)之間進(jìn)行安全經(jīng)驗(yàn)交流的平臺，有助于提高全網(wǎng)的安全技術(shù)水平和能力。足夠的安全知識和信息是各個角色正確工作的基礎(chǔ)。資源管理平臺資源管理平臺主要包括兩個方面：人力資源管理和資產(chǎn)管理。人力資源管理保證在需要的時候，可以找到合適的人。資產(chǎn)管理主要是管理安全管理運(yùn)營解決方案監(jiān)控范圍的各個系統(tǒng)和設(shè)備，是風(fēng)險管理、事件監(jiān)控協(xié)同工作和分析的基礎(chǔ)。SOC的功能特點(diǎn)：?實(shí)時事件關(guān)聯(lián)分析事件監(jiān)控中心對來自不同安全系統(tǒng)的報(bào)警信息進(jìn)行實(shí)時的關(guān)聯(lián)分析，關(guān)聯(lián)分析的整個過程都是在內(nèi)存中進(jìn)行的，并根據(jù)威脅程度的大小對安全事件進(jìn)行排序，對不同威脅程度的安全事件通過不同顏色來著重顯示。多樣化顯示方式事件監(jiān)控中心提供了多種實(shí)時顯示方式，如網(wǎng)絡(luò)拓?fù)浞绞?、雷達(dá)方式、柱形圖等，直觀的將安全威脅數(shù)據(jù)呈現(xiàn)給用戶。豐富直觀的報(bào)表SOC安全管理運(yùn)營解決方案提供了豐富的報(bào)表模板供用戶選擇，除了文字總結(jié)還可以用清晰直觀的圖形化方式將報(bào)表呈現(xiàn)給用戶。廣泛的平臺支持SOC安全管理運(yùn)營解決方案支持從各種主流安全系統(tǒng)收集安全事件數(shù)據(jù)，并可以和網(wǎng)管系統(tǒng)實(shí)現(xiàn)結(jié)合管理。能夠支持產(chǎn)品：e防 火 墻 系 統(tǒng) ：CheckpointNG/NGAIandProvider-1,CiscoPIR,Netscreen,SecureComputingSidewinderG2.e入侵監(jiān)測系統(tǒng)：啟明星辰天闐IDSEnterasRsDragon,ISSRealSecure,CiscoSecureIDS,Snort,SRmantecManhunt,nCircleIP360.e防病毒系統(tǒng)：SophosSRmantecCorporate(Norton)McAfeeePOTrendMicro.e漏洞掃描系統(tǒng)：啟明星辰天鏡ScannereEReRetinanCircleIP360NessusISSScannerFoundstoneFoundscan.e網(wǎng)管系統(tǒng)：HPOpenView,MicroMuseNetCool,CAUniCenter.e其他：WindowsEventLogUNIRSRslogTripwireSNMPSNMPTraps.e定制化：基于日志的數(shù)據(jù)源通?？梢栽谝恢茏笥叶ㄖ苹瓿扇觞c(diǎn)評估管理SOC安全管理運(yùn)營解決方案的弱點(diǎn)評估中心通過人工審計(jì)和漏洞掃描工具兩種方式，收【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】集整個網(wǎng)絡(luò)的弱點(diǎn)情況并進(jìn)行統(tǒng)一管理，使得管理人員可以清楚的掌握全網(wǎng)的安全健康狀況。弱點(diǎn)評估管理具有統(tǒng)一的可視界面，顯示各個系統(tǒng)的安全漏洞分布情況，包括以下內(nèi)容：e該漏洞相關(guān)的鏈接信息，包括cve編號、漏洞描述、受影響的系統(tǒng)類型以及漏洞的解決方案等信息；e統(tǒng)計(jì)信息，即給出漏洞的分布、數(shù)量等統(tǒng)計(jì)信息。SOC全管理運(yùn)營解決方案支持多種漏洞掃描工具，包括啟明星辰的天鏡漏洞掃描系統(tǒng)、ISSScanner、eEReRetina、Nessus、FoundstoneFoundscan等。：?應(yīng)急響應(yīng)管理SOC安全管理運(yùn)營解決方案的應(yīng)急響應(yīng)管理是通過工作流系統(tǒng)實(shí)現(xiàn)的。該系統(tǒng)是專門針對安全事件的處理過程，根據(jù)具體的安全響應(yīng)流程進(jìn)行定制的。事件監(jiān)控中心監(jiān)測到安全事件后有專人生成新的工單，一方面有專人會通過系統(tǒng)報(bào)警的方式收到通知并在規(guī)定的時間內(nèi)對工單進(jìn)行接收，并進(jìn)入對安全事件的處理階段，另一方面工單跟蹤模塊會對工單被派發(fā)后的整個過程進(jìn)行跟蹤，進(jìn)行工單收回、重新派發(fā)等工作。工單處理結(jié)果可能有兩種可能：一種是安全事件被解決，這個工單就被關(guān)閉，同時工單的內(nèi)容被保存到知識庫中，作為歷史記錄和以后參考用；另一種情況是安全事件因?yàn)槟承┰驔]有被徹底解決，這個工單所包含的問題會被重新處理考慮，生成新的工單，進(jìn)入新的工單處理流程。應(yīng)急響應(yīng)管理完善了從防護(hù)到檢測再到響應(yīng)的一個安全事件處理過程的閉環(huán)。全面知識管理SOC安全管理運(yùn)營解決方案的知識管理平臺既提供一般知識管理功能，比如安全知識庫、培訓(xùn)和人員考核等，也提供了強(qiáng)大的漏洞庫、事件特征庫、補(bǔ)丁庫、安全配置知識庫和應(yīng)急響應(yīng)知識庫等。SOC的實(shí)現(xiàn)綜合以上有關(guān)SOC的理論、體系及功能實(shí)現(xiàn)，可以了解到SOC是安全管理平臺的更高級發(fā)展，建設(shè)SOC的目的是提升企業(yè)安全管理的能力，也是進(jìn)一步提高企業(yè)信息化水平及能力。從整體上來講是提升企業(yè)的管理能力。實(shí)現(xiàn)可管理的服務(wù)。目前市場上的SOC解決方案并不是很成熟，國際國內(nèi)也沒有成熟的SOC體系或標(biāo)準(zhǔn)。因此，企業(yè)是建設(shè)自身的SOC平臺時，對市場解決方案及自身的管理水平要有充分的認(rèn)識，選擇合理合適的安全管理解決方案，這樣才能進(jìn)一步提高企業(yè)的信息化管理能力。1.5安全服務(wù)解決方案在整體信息安全體系的建設(shè)中，除了針對具體的安全風(fēng)險及問題進(jìn)行基于產(chǎn)品和技術(shù)的解決方案后，需要對信息安全的管理平臺進(jìn)行建設(shè)，以期達(dá)到相應(yīng)的安全目標(biāo)。這一點(diǎn)我們【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】在上節(jié)的安全管理解決方案里已經(jīng)進(jìn)行了描述。需要指出的是，整體信息安全體系的建設(shè)中，僅僅依靠自身的力量進(jìn)行安全方案建設(shè)、安全管理建設(shè)等，均不能夠充分的安全保障。所以在這里，我們引入了安全體系建設(shè)中的重要一環(huán)，即安全服務(wù)的建設(shè)。實(shí)際上安全服務(wù)可以簡單理解為，有效的引入外部的專業(yè)服務(wù)資源，為企業(yè)提供更高級別的安全服務(wù)能力。在完善自身安全建設(shè)的同時，協(xié)助企業(yè)提高安全管理的能力。在此，我們根據(jù)公司的安全建設(shè)的整體情況，提供了如下6類最基本的安全服務(wù)內(nèi)容:個安全咨詢服務(wù)；個安全評估服務(wù)；個安全加固服務(wù)；個日常維護(hù)服務(wù)；個應(yīng)急響應(yīng)服務(wù)；弋安全培訓(xùn)服務(wù)。安全咨詢服務(wù)公司目前缺乏一個企業(yè)總體范圍的、負(fù)責(zé)制定和實(shí)施的安全管理機(jī)制部門，難以保證安全制度建立和實(shí)施及決策層安全決策的有效性和一致性。信息安全管理職能分散在各個部門，缺少一個強(qiáng)有力的直接向最高領(lǐng)導(dǎo)負(fù)責(zé)職能部門，協(xié)調(diào)整個企業(yè)內(nèi)部的信息安全工作的，因此安全政策的執(zhí)行可能會缺乏力度，安全事件處理依據(jù)和結(jié)果可能會不一致。由此可見，公司急需在專業(yè)安全服務(wù)廠商的幫助下，建立起適合自身企業(yè)特點(diǎn)和管理運(yùn)作方式的網(wǎng)絡(luò)安全管理職能部門，來負(fù)責(zé)協(xié)調(diào)、管理整個公司業(yè)務(wù)網(wǎng)絡(luò)的安全問題。在此基礎(chǔ)上，由安全服務(wù)廠商在對現(xiàn)有業(yè)務(wù)流程和管理制度做充分調(diào)研的基礎(chǔ)上，協(xié)助公司制定一套操作性強(qiáng)的安全策略體系，用以指導(dǎo)公司各個業(yè)務(wù)單位日常的網(wǎng)絡(luò)安全工作。?：?咨詢服務(wù)內(nèi)容e制定公司的網(wǎng)絡(luò)安全管理組織架構(gòu)，協(xié)助公司建立企業(yè)內(nèi)的網(wǎng)絡(luò)安全管理小組，并制定小組成員職責(zé)文檔；e制定公司網(wǎng)絡(luò)安全管理策略體系，提供一系列的主策略及子策略管理文檔；e根據(jù)公司相關(guān)部門人員的不同角色提供不同級別的安全培訓(xùn)，提高相關(guān)人員的整體安全意識和網(wǎng)絡(luò)安全技術(shù)水平；?設(shè)計(jì)組織架構(gòu)及安全策略時的參考規(guī)范eISO/IEC17799-20RR《信息安全管理實(shí)用規(guī)則》eISO/IEC13335《信息技術(shù)安全管理指南》【MeiWei_81重點(diǎn)借鑒文檔】

【MeiWei_81重點(diǎn)借鑒文檔】冬ISO7498-2《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型-安全體系結(jié)構(gòu)》冬SSE-CMM《系統(tǒng)安全工程能力成熟模型》冬GB/T18336-20RR《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》冬GB/T17859-1999《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則》。其他國家法律、法規(guī)等安全評估服務(wù)安全評估模型安全風(fēng)險模型的建立來自于BS7799的思想，它是整個風(fēng)險評估方案的主導(dǎo)。信息資產(chǎn)由于自身的脆弱性，使得威脅的發(fā)生成為可能，從而形成風(fēng)險。一旦安全事件發(fā)生，就會造成各種不同的影響。換句話說，風(fēng)險分析的過程實(shí)際上就是對影響、威脅和脆弱性分析的過程，但它們都緊緊圍繞著資產(chǎn)為中心。在風(fēng)險評估階段，資產(chǎn)的價值、資產(chǎn)破壞后造成的影響、威脅的嚴(yán)重程度、威脅發(fā)生的可能性、資產(chǎn)的脆弱程度都成為風(fēng)險評估的關(guān)鍵因素。在風(fēng)險模型中，資產(chǎn)的評估主要是對資產(chǎn)進(jìn)行相對估價，而其估價準(zhǔn)則就是依賴于對其影響的分析，從資產(chǎn)的相對價值中體現(xiàn)了威脅的嚴(yán)重程度。這樣，威脅評估就僅僅成了對資產(chǎn)所受威脅發(fā)生可能性的評估。脆弱性的評估是對資產(chǎn)脆弱程度的評估。安全風(fēng)險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息和脆弱性信息，最終生成風(fēng)險信息。威脅評估脆弱性評估資產(chǎn)評估（影響分析）資產(chǎn)信息脆弱性信息威脅信息威脅評估脆弱性評估資產(chǎn)評估（影響分析）資產(chǎn)信息脆弱性信息威脅信息圖1：安全風(fēng)險模型安全評估流程安全風(fēng)險評估流程是安全風(fēng)險模型的體現(xiàn)，因此首次整個評估的過程可以分為以下幾個階段：e第一階段確定評估范圍階段，調(diào)查并了解公司網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)的流程和運(yùn)行環(huán)境，確【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】定評估范圍的邊界以及范圍內(nèi)的所有網(wǎng)絡(luò)系統(tǒng)應(yīng)用；e第二階段是資產(chǎn)的識別和估價階段，對評估范圍內(nèi)的所有資產(chǎn)進(jìn)行識別，并調(diào)查資產(chǎn)破壞后可能造成的影響大小，根據(jù)影響的大小為資產(chǎn)進(jìn)行相對賦值；e第三階段是安全威脅評估階段，首先通過問卷調(diào)查和ids取樣等方式識別出資產(chǎn)所面臨的每種威脅，并評估它們發(fā)生的可能性；e第四階段是脆弱性評估階段，包括從技術(shù)和管理方面進(jìn)行的脆弱度檢查，特別是技術(shù)方面，以安全掃描、手動檢查、滲透測試等眾多技術(shù)手段進(jìn)行評估；e第五階段是風(fēng)險的分析階段，即通過分析上面所評估的數(shù)據(jù)，進(jìn)行風(fēng)險值計(jì)算、區(qū)分和確認(rèn)高風(fēng)險因素；e第六階段是風(fēng)險的管理階段，這一階段主要是總結(jié)整個風(fēng)險評估過程，制定相關(guān)風(fēng)險控制策略，建立風(fēng)險評估報(bào)告，實(shí)施某些緊急風(fēng)險控制措施（如安全修補(bǔ)和加固）。風(fēng)險評估的標(biāo)準(zhǔn)整個安全風(fēng)險評估項(xiàng)目，將主要依據(jù)相關(guān)信息安全標(biāo)準(zhǔn)提供指導(dǎo)，并遵循了相關(guān)國家的法律法規(guī)政策。我們采用國際信息安全管理標(biāo)準(zhǔn)BS7799的風(fēng)險管理思想作為貫穿整個風(fēng)險評估過程的主要指導(dǎo)規(guī)范，為最終建立完善、全面的公司網(wǎng)絡(luò)系統(tǒng)安全管理體系提供依據(jù)。另外，在風(fēng)險等關(guān)鍵因素的評估方面，我們還參考了SSE-CMM.ISO15408和ISO13335標(biāo)準(zhǔn)。同時，SSE-CMM指導(dǎo)了本次項(xiàng)目的工程實(shí)施，ISO15408、ISO13335在安全方案的制定等方面都提供了規(guī)范化的指導(dǎo)。其中在評估過程中涉及到的一些技術(shù)細(xì)節(jié)問題，我們將嚴(yán)格遵循和執(zhí)行相關(guān)國家的法律法規(guī)政策。安全加固服務(wù)安全加固服務(wù)是指根據(jù)先期安全評估的結(jié)果，制定統(tǒng)一的安全策略，對網(wǎng)絡(luò)及應(yīng)用系統(tǒng)進(jìn)行管理加強(qiáng)、環(huán)境優(yōu)化增強(qiáng)及安全域規(guī)劃和系統(tǒng)加固等工作，通過安全加固及增強(qiáng)服務(wù)后，使整個網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全狀況提升到一個較高的水平。安全加固原則我們根據(jù)安全評估結(jié)果，結(jié)合各種操作系統(tǒng)的安全特性，對加固對象進(jìn)行修補(bǔ)加固。利用修補(bǔ)和加固解決在安全評估中發(fā)現(xiàn)的各種技術(shù)性安全問題，基本保證在客觀環(huán)境允許的情況下被加固對象應(yīng)不再存在高風(fēng)險漏洞和中風(fēng)險漏洞（根據(jù)CVE標(biāo)準(zhǔn)定義），對于由于業(yè)務(wù)環(huán)境原因無法進(jìn)行修補(bǔ)的漏洞，我們會分析漏洞的對系統(tǒng)安全性影響并提出相應(yīng)的解決建議，同時記錄在遺留問題記錄中，以備后續(xù)參考。另外，在修補(bǔ)和加固完成后應(yīng)不影響修補(bǔ)加固對象原有的功能和性能?！綧eiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】其中，在加固方案設(shè)計(jì)和加固實(shí)施過程中將遵循以下原則：e標(biāo)準(zhǔn)性原則：加固方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；e規(guī)范性原則：工作中的過程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；e可控性原則：加固的方法和過程要在雙方認(rèn)可的范圍之內(nèi)，加固服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證公司網(wǎng)絡(luò)系統(tǒng)對于加固工作的可控性；e整體性原則：加固的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患；e最小影響原則：加固工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不會對正在的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響；e保密原則：對加固的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不會泄露任何給任何單位和個人，不會利用此數(shù)據(jù)進(jìn)行任何侵害公司網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的行為；確定安全加固內(nèi)容根據(jù)安全評估的結(jié)果，結(jié)網(wǎng)絡(luò)自身的特點(diǎn)及管理人員的意見，最終確定相應(yīng)的安全加固內(nèi)容。首次安全加固及增強(qiáng)包括：e網(wǎng)絡(luò)環(huán)境優(yōu)化；e網(wǎng)絡(luò)設(shè)備優(yōu)化；e安全設(shè)備優(yōu)化；e網(wǎng)絡(luò)設(shè)備安全加固；e主機(jī)系統(tǒng)加固；e應(yīng)用系統(tǒng)加固。在本次安全增強(qiáng)工程實(shí)施中所涉及ip網(wǎng)及重要網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備，數(shù)量需要再安全評估之后作具體勘查。安全加固工作流程圖整體的安全加固工作流程如下：【MeiWei_81重點(diǎn)借鑒文檔】

【M