網(wǎng)絡信息安全解決方案

word網(wǎng)絡信息安全解決方案PAGEPAGE63wordPAGEXXXX信息系統(tǒng)安全建設方案網(wǎng)絡信息安全解決方案全文共63頁，當前為第1頁。網(wǎng)絡信息安全解決方案全文共63頁，當前為第1頁。目錄TOC\o"1-4"\h\z\u第1章 項目概述 51.1 項目背景 51.2 項目目的 6第2章 信息系統(tǒng)現(xiàn)狀及需求分析 62.1 信息系統(tǒng)現(xiàn)狀 62.1.1 網(wǎng)絡結(jié)構(gòu)現(xiàn)狀 62.1.2 信息系統(tǒng)現(xiàn)狀 72.2 信息系統(tǒng)安全現(xiàn)狀分析 8第3章 總體安全目標 10第4章 安全解決方案總體框架 114.1 網(wǎng)絡安全 114.2 系統(tǒng)安全 124.3 應用安全 134.4 數(shù)據(jù)安全 13第5章 安全解決方案詳細設計 145.1 網(wǎng)絡安全建設 165.1.1 防火墻系統(tǒng)設計 16防火墻系統(tǒng)部署意義 16防火墻系統(tǒng)部署方式 16防火墻系統(tǒng)部署后達到的效果 185.1.2 網(wǎng)絡入侵防御系統(tǒng)設計 20網(wǎng)絡入侵防御系統(tǒng)部署意義 20網(wǎng)絡入侵防御系統(tǒng)部署方式 21網(wǎng)絡入侵防御系統(tǒng)部署后所達到的效果 225.1.3 病毒過濾網(wǎng)關系統(tǒng)設計 24病毒過濾網(wǎng)關系統(tǒng)部署意義 24病毒過濾網(wǎng)關系統(tǒng)部署方式 25網(wǎng)絡信息安全解決方案全文共63頁，當前為第2頁。病毒過濾網(wǎng)關系統(tǒng)部署后達到的效果 27網(wǎng)絡信息安全解決方案全文共63頁，當前為第2頁。5.1.4 網(wǎng)絡入侵檢測系統(tǒng)設計 28入侵檢測系統(tǒng)部署意義 28入侵檢測系統(tǒng)部署方式 295.1.5 VPN系統(tǒng)設計 32VPN系統(tǒng)部署意義 32VPN系統(tǒng)部署方式 335.2 系統(tǒng)安全建設 355.2.1 集中安全審計系統(tǒng)設計 35集中安全審計系統(tǒng)部署意義 35集中安全審計系統(tǒng)部署方式 36集中安全審計系統(tǒng)部署后達到的效果 375.2.2 網(wǎng)絡防病毒軟件系統(tǒng)設計 395.2.3 終端管理系統(tǒng)設計 40終端安全管理系統(tǒng)部署 40終端管理系統(tǒng)部署后達到的效果 425.2.4 信息安全管理平臺設計 45信息安全管理平臺部署意義 45信息安全管理平臺部署方式 46信息安全管理平臺部署后的效果 465.2.5 ERP系統(tǒng)服務器冗余備份機制設計 475.3 應用安全建設 505.4 數(shù)據(jù)安全建設 50第6章 XXXX信息系統(tǒng)安全建設管理制度建議 536.1 策略系列文檔結(jié)構(gòu)圖 536.2 策略系列文檔清單 55第7章 搬遷后網(wǎng)絡拓撲規(guī)劃 58第8章 安全解決方案整體實施效果 60第9章 第一期安全實施效果 62網(wǎng)絡信息安全解決方案全文共63頁，當前為第3頁。網(wǎng)絡信息安全解決方案全文共63頁，當前為第3頁?？s寫為了方便閱讀，特將文中提及的術語及縮寫列示如下：縮寫解釋XXXX網(wǎng)絡信息安全解決方案全文共63頁，當前為第4頁。網(wǎng)絡信息安全解決方案全文共63頁，當前為第4頁。項目概述項目背景一、化工行業(yè)面臨的挑戰(zhàn)信息化和經(jīng)濟全球化正在迅速而深刻地改變著人類的生產(chǎn)和生活方式，改變著國與國之間、企業(yè)與企業(yè)之間的生存和競爭環(huán)境。加入WTO之后，我國企業(yè)正直接地、全面地面對國際市場的全方位競爭。形勢要求我們加快采用現(xiàn)代信息技術和網(wǎng)絡技術及與之相適應的現(xiàn)代管理方式來改造和提升傳統(tǒng)產(chǎn)業(yè)，推動產(chǎn)業(yè)的優(yōu)化和升級。信息化是個大戰(zhàn)略。推進化工企業(yè)信息化，不是政府要我們做或者政府出錢支持我們做我們才做的事情，它是化工行業(yè)自身提高競爭力、適應新經(jīng)濟、實現(xiàn)現(xiàn)代化的內(nèi)在需要，是化工企業(yè)適應國際環(huán)境、融入全球經(jīng)濟的戰(zhàn)略選擇。企業(yè)信息化建設的新浪潮正在給中國化工企業(yè)的經(jīng)營管理帶來深刻變革。眾所周知，中國作為發(fā)展中國家，工業(yè)化進程是不可逾越的一個過程。在這個高速發(fā)展的過程中，快速的積累社會財富則必然帶來資源大量消耗的矛盾。中國要走新型工業(yè)化道路，降低資源消耗、減少環(huán)境污染是核心。由于國內(nèi)需求的拉動和世界經(jīng)濟的影響，新世紀伊始，化工工業(yè)進入了高速發(fā)展時期，在產(chǎn)能快速增長的同時，資源消耗過大、環(huán)境污染嚴重的化工工業(yè)必然面臨各種資源、能源緊缺和環(huán)境保護的雙重壓力。為了引導化工工業(yè)可持續(xù)健康發(fā)展，化工工業(yè)走循環(huán)經(jīng)濟的發(fā)展方向，必須采用工程科學技術，提高資源、能源綜合利用，減少環(huán)境污染，把挑戰(zhàn)轉(zhuǎn)化為機遇，使化工工業(yè)在新型工業(yè)化道路上健康穩(wěn)步邁進，"堅持以信息化帶動工業(yè)化，以工業(yè)化促進信息化，走出一條科技含量高、經(jīng)濟效益好、資源消耗低、環(huán)境污染少、人力資源優(yōu)勢得到充分發(fā)揮的新型工業(yè)化路子"，實現(xiàn)跨越式發(fā)展和可持續(xù)發(fā)展。二、信息化是化工工業(yè)合理利用資源，實現(xiàn)可持續(xù)發(fā)展的重要途徑中國化工工業(yè)為了提高產(chǎn)品質(zhì)量、減少廢次品、降低成本、合理組織生產(chǎn)、能源綜合利用、清潔化生產(chǎn)、管理流程優(yōu)化、最大限度地滿足客戶個性化的需求，需要以信息技術為手段、以管理創(chuàng)新、技術創(chuàng)新、制度創(chuàng)新為動力，改造落后裝備，實現(xiàn)生產(chǎn)過程自動化、管理信息化。網(wǎng)絡信息安全解決方案全文共63頁，當前為第5頁。信息化為中國化工工業(yè)走新型工業(yè)化道路提供了重要機遇。特別是在資源開發(fā)和利用中，使用先進的信息技術能夠?qū)崿F(xiàn)優(yōu)化設計、制造和管理，通過對各種生產(chǎn)和消費過程進行數(shù)字化、智能化的實時監(jiān)控，大大降低各種資源的消耗。對于中國化工企業(yè)來說，信息化是企業(yè)合理利用資源、降低資源消耗的重要途徑。網(wǎng)絡信息安全解決方案全文共63頁，當前為第5頁。應用信息技術還可以在化工企業(yè)生產(chǎn)管理諸多方面發(fā)揮促進作用。例如：信息化能夠為企業(yè)實現(xiàn)全面的、實時的、動態(tài)的監(jiān)測和管理各種資源提供現(xiàn)代化手段，這些資源包括保證企業(yè)生產(chǎn)安全運營的水、電、煤、氣、油以及原材料，能源信息管理系統(tǒng)、環(huán)保污染監(jiān)控系統(tǒng)已經(jīng)在化工企業(yè)得到應用；數(shù)據(jù)庫技術可以對這些資源消耗量進行分析預測并作出預報預警，網(wǎng)絡和通信技術可以將位于遠程數(shù)據(jù)采集點的資源消耗的數(shù)據(jù)實時采集到信息系統(tǒng)中，進行統(tǒng)計分析；通過產(chǎn)銷系統(tǒng)和制造執(zhí)行系統(tǒng)的運行，保證產(chǎn)品質(zhì)量，減少廢次品，以銷定產(chǎn)，以產(chǎn)定料，壓縮庫存，合理資源調(diào)配，避免能源和資源的浪費，提高資源／能源的綜合利用率；設備管理系統(tǒng)能夠?qū)υO備的檢點維修狀況進行動態(tài)管理，防止設備未及時檢修造成資源的跑冒滴漏現(xiàn)象發(fā)生；智能化儀表將各種資源使用情況準確記錄下來等等，信息技術已經(jīng)被廣泛地應用于化工企業(yè)的各個環(huán)節(jié)并將發(fā)揮更大的作用。化工企業(yè)要積極利用信息技術在資源、環(huán)境領域的應用，推進綠色制造和清潔生產(chǎn)，合理利用資源，保護生態(tài)環(huán)境。這是我們在資源、能源缺乏的情況下推動化工工業(yè)化進程的良好途徑。項目目的本方案依據(jù)與XXXX工程師的交流溝通，將對XXXX網(wǎng)絡做出系統(tǒng)的全面優(yōu)化設計。其目的在于構(gòu)建XXXX整體網(wǎng)絡安全體系架構(gòu)，部署網(wǎng)絡安全策略，保證XXXX的網(wǎng)絡安全、系統(tǒng)管理都能有機整合。信息系統(tǒng)現(xiàn)狀及需求分析信息系統(tǒng)現(xiàn)狀網(wǎng)絡結(jié)構(gòu)現(xiàn)狀網(wǎng)絡信息安全解決方案全文共63頁，當前為第6頁。XXXX信息系統(tǒng)現(xiàn)有網(wǎng)絡拓撲圖如圖1.1所示：網(wǎng)絡信息安全解決方案全文共63頁，當前為第6頁。圖1.1XXXX信息現(xiàn)有系統(tǒng)網(wǎng)絡拓撲圖信息系統(tǒng)現(xiàn)狀XXXX網(wǎng)絡系統(tǒng)目前市區(qū)廠區(qū)網(wǎng)絡和開發(fā)區(qū)廠區(qū)網(wǎng)絡組成，兩個廠區(qū)使用2M專線進行互聯(lián)。在開發(fā)區(qū)廠區(qū)網(wǎng)絡中，接入一條10M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust80防火墻，局域網(wǎng)網(wǎng)絡使用星形接入方式，使用HP5308XL交換機作為核心交換節(jié)點，根據(jù)辦公樓、綜合樓、中控樓等在核心交換機上劃分不同VLAN，還有一臺一卡通服務器直接接入核心交換機。在市區(qū)廠區(qū)網(wǎng)絡中，接入一條100M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust100防火墻，局域網(wǎng)網(wǎng)絡使用星形接入方式，使用華為6503交換機作為核心交換節(jié)點，目前網(wǎng)絡中有財務系統(tǒng)服務器、ERP系統(tǒng)（負責單位進銷存）服務器、ERP系統(tǒng)數(shù)據(jù)備份服務器、文件服務器（采用共享方式）以及作為對外發(fā)布的FTP服務器。網(wǎng)絡信息安全解決方案全文共63頁，當前為第7頁。XXXX共有三百多臺電腦，兩個廠區(qū)分別采用星形組網(wǎng)方式，使用Vlan來防范網(wǎng)絡間惡意攻擊與破壞。通過劃分VLAN子網(wǎng)，縮小了廣播域，通過交換機把關鍵部門和其他部門或者把所有的部門劃分到不同的VLAN內(nèi)，實現(xiàn)部門間的邏輯隔離，避免了避免了廣播風暴的產(chǎn)生，也可以防范網(wǎng)絡間惡意攻擊與破壞。提高交換網(wǎng)絡的交換效率，保證網(wǎng)絡穩(wěn)定，提高網(wǎng)絡安全性。網(wǎng)絡信息安全解決方案全文共63頁，當前為第7頁。信息系統(tǒng)安全現(xiàn)狀分析XXXX信息化建設從無到有，經(jīng)歷了迅速建立與逐步改善的過程，在隊伍建設、信息技術基礎設施建設、應用系統(tǒng)的開發(fā)完善等方面取得了顯著成績，隨著網(wǎng)絡技術的不斷發(fā)展，信息量的增加，網(wǎng)絡規(guī)模的擴大，數(shù)據(jù)量，業(yè)務量的增加，網(wǎng)絡安全方面的建設卻顯得滯后了。并且隨著業(yè)務的不斷增長和網(wǎng)絡威脅的不斷增多，XXXX的網(wǎng)絡已經(jīng)不能滿足在現(xiàn)代高威脅網(wǎng)絡環(huán)境下的安全需求。現(xiàn)有的系統(tǒng)網(wǎng)絡缺乏完整的安全防護體系。目前的設備很難對用戶的互聯(lián)網(wǎng)訪問進行有效的控制，導致網(wǎng)絡極易感染病毒，網(wǎng)絡大部分帶寬被與工作無關的應用長期占用，嚴重影響單位的正常業(yè)務的運行。對互聯(lián)網(wǎng)訪問的內(nèi)容無法實現(xiàn)有效的控制及審計。網(wǎng)絡安全產(chǎn)品如防火墻、入侵檢測、防病毒系統(tǒng)、終端管理、VPN系統(tǒng)等系統(tǒng)應用得還比較少，網(wǎng)絡安全管理體系還未形成。另外針對已經(jīng)部署的產(chǎn)品和系統(tǒng)合理有效的配置使用，使其充分發(fā)揮其安全防護作用方面，以及在對于突發(fā)性內(nèi)外部惡意攻擊等非常規(guī)的安全事件的快速有效響應所需的技術和管理措施方面，都還需要做進一步的工作。根據(jù)充分的調(diào)查研究，XXXX的信息系統(tǒng)安全建設的需求有以下四個方面：1、網(wǎng)絡安全<1>市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)分別使用各自的互聯(lián)網(wǎng)鏈路，每條互聯(lián)網(wǎng)邊界均部署了一臺防火墻系統(tǒng)。這兩臺防火墻作分別提供XXXX兩個廠區(qū)的用戶上網(wǎng)和對外發(fā)布應用服務，隨著上網(wǎng)用戶和發(fā)布應用服務的增多，防火墻的負載將越來越來大，現(xiàn)有防火墻可能成為網(wǎng)絡瓶頸。網(wǎng)絡信息安全解決方案全文共63頁，當前為第8頁。<2>開發(fā)區(qū)廠區(qū)的一卡通服務器和客戶機間沒有安全防護措施，客戶機對服務器可以進行任何操作。因為很多客戶機可以上網(wǎng)，極易感染木馬、病毒，客戶機也可能會感染或攻擊服務器，影響服務器應用的正常使用，造成難以估計的損失。因此需要加強用戶對服務器的訪問控制。同時市區(qū)廠區(qū)的財務系統(tǒng)服務器、ERP系統(tǒng)服務器、文件服務器等應用和客戶機之間也缺乏安全防護措施。對外發(fā)布供外網(wǎng)用戶使用的FTP服務器等應用也缺乏必要的安全保護措施。網(wǎng)絡信息安全解決方案全文共63頁，當前為第8頁。<3>缺乏異常流量、惡意流量監(jiān)控、審計和防御機制，現(xiàn)如今網(wǎng)絡上存在著大量的不法黑客以及許多異常流量，對異常流量監(jiān)測可以了解當前有哪些人通過非法的手段或途徑訪問了我們的系統(tǒng)或網(wǎng)絡，及時了解網(wǎng)絡的健康狀態(tài)，通過這些信息可以采取一些相應的手段去解決問題，我們在采取法律手段時也無法提供了依據(jù)和證據(jù)。<4>XXXX駐外辦事處、出差等移動用戶需要和總部實現(xiàn)數(shù)據(jù)共享，目前只能通過設置地址映射訪問公網(wǎng)IP地址，由于駐外辦事處和移動用戶與服務器之間的數(shù)據(jù)通訊都是通過公網(wǎng)進行的，數(shù)據(jù)傳輸時無法做到數(shù)據(jù)的加密，無法保證通過公網(wǎng)進行傳輸?shù)臉I(yè)務數(shù)據(jù)和敏感信息不被非法竊取、篡改，無法確保通信雙方身份的真實性無法保證數(shù)據(jù)的傳輸安全。2、系統(tǒng)安全<1>隨著XXXX網(wǎng)絡系統(tǒng)規(guī)模的迅速擴張，對終端管理系統(tǒng)的需求也隨之增加。一方面，個人電腦、服務器和移動設備的數(shù)量正在隨著XXXX網(wǎng)絡應用規(guī)模的不斷擴大而快速增加；另一方面，各種應用軟件和補丁更新?lián)Q代速度加快，來自企業(yè)內(nèi)、外部的網(wǎng)絡攻擊也日益猖獗；終端用戶擅裝非法軟件、擅自更改IP地址、擅自變更硬件配置、非法訪問互聯(lián)網(wǎng)、非法內(nèi)聯(lián)等問題的存在，卻沒有一套有效的輔助性管理工具，依然沿用傳統(tǒng)的手工作業(yè)模式，缺乏采用統(tǒng)一策略下發(fā)并強制策略執(zhí)行的機制，進行桌面安全監(jiān)管、行為監(jiān)管、系統(tǒng)監(jiān)管和安全狀態(tài)檢測，實現(xiàn)對局域網(wǎng)內(nèi)部桌面系統(tǒng)的管理和維護，能有效保護用戶系統(tǒng)安全和機密數(shù)據(jù)安全。<2>XXXX網(wǎng)絡系統(tǒng)中部署眾多的網(wǎng)絡設備、安全設備、服務器、應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，這些系統(tǒng)在工作過程中將有針對性地記錄各種網(wǎng)絡運行日志，這些日志對于監(jiān)控用戶的網(wǎng)絡安全狀態(tài)，分析安全發(fā)展趨勢，有著重要的意義，是用戶網(wǎng)絡安全管理的重要依據(jù)。但是，由于各網(wǎng)絡安全產(chǎn)品一般獨立工作、各自為戰(zhàn)，產(chǎn)生的安全事件信息也是格式不一，內(nèi)容不同，且數(shù)量巨大，導致安全管理員難于對這些信息進行綜合分析，對網(wǎng)絡中各種安全事件也就無法準確識別、及時響應，以致直接影響整個安全防御體系效能的有效發(fā)揮。<3>ERP系統(tǒng)作為XXXX進銷存應用系統(tǒng)，其數(shù)據(jù)關系到整個XXXX業(yè)務的運行，為最大化保證業(yè)務的連續(xù)性，ERP系統(tǒng)服務器主機應采取可靠的冗余備份機制，確保在線業(yè)務處理和數(shù)據(jù)訪問過程不會因為服務器系統(tǒng)故障而中斷。網(wǎng)絡信息安全解決方案全文共63頁，當前為第9頁。<4>在內(nèi)網(wǎng)系統(tǒng)中，還沒有配置一套整體的防病毒體系，對于現(xiàn)的網(wǎng)絡環(huán)境來說無疑是給病毒的入侵埋下了極大的隱患。網(wǎng)絡信息安全解決方案全文共63頁，當前為第9頁。<5>缺乏信息安全管理平臺，通過信息安全平臺集中同時實時的了解設備，服務器的運行狀態(tài)和系統(tǒng)資源使用情況，大大提高了運維的效率，防止由于管理人員的遺漏造成問題解決的不及時。網(wǎng)絡中的各產(chǎn)品之間沒有聯(lián)系，給管理工作帶來了一定的難度，難以發(fā)揮應有的整體效果。另外利用目前的管理手段在網(wǎng)絡審計、入侵檢測和病毒監(jiān)測等網(wǎng)絡管理工具的使用過程中，對發(fā)現(xiàn)的違規(guī)操作或感染病毒的計算機，不能快速、準確定位，不能及時阻斷有害侵襲并快速查出侵襲的設備和人員。3、應用安全 <1>目前XXXX文件服務器采用網(wǎng)上鄰居共享訪問的方式，文件服務器共享的資源可以被公司所有用戶進行查看、下載、編輯、刪除等動作，文件服務器缺乏用戶認證機制，文件服務器數(shù)據(jù)缺乏安全性、私密性。另外使用網(wǎng)上鄰居共享方式常會出現(xiàn)客戶系統(tǒng)無法訪問文件服務器的問題，通過網(wǎng)上鄰居傳輸文件時使用netbios協(xié)議，然而現(xiàn)在有很多蠕蟲病毒利用netbios協(xié)議的端口掃描網(wǎng)絡主機漏洞、傳輸病毒文件，使病毒擴散到整個網(wǎng)絡，最終導致系統(tǒng)崩潰、網(wǎng)絡癱瘓，業(yè)務無法正常開展。4、數(shù)據(jù)安全<1>ERP系統(tǒng)作為XXXX進銷存應用系統(tǒng)，其數(shù)據(jù)關系到整個XXXX業(yè)務的運行，其重要性不言而喻，目前ERP系統(tǒng)數(shù)據(jù)通過網(wǎng)絡備份到另一臺服務器上，使用硬盤作為數(shù)據(jù)備份存儲介質(zhì)故障率很高，存在很大的數(shù)據(jù)安全風險。另外財務系統(tǒng)也存在數(shù)據(jù)備份的問題?？傮w安全目標為了防止互聯(lián)網(wǎng)上的非法訪問、惡意攻擊和病毒傳播等各種安全威脅對XXXX信息系統(tǒng)造成影響，我們將采用一系列安全措施來對XXXX信息系統(tǒng)提供必要的安全保護，使包含網(wǎng)絡通訊、操作系統(tǒng)、應用平臺和信息數(shù)據(jù)等各個層面在內(nèi)的整體網(wǎng)絡信息系統(tǒng)具有抵御各種安全威脅的能力。根據(jù)業(yè)務系統(tǒng)的特點和需要，我們制訂了如下的總體安全目標：1、完整性目標防止存放在服務器和遠程業(yè)務終端系統(tǒng)中的信息數(shù)據(jù)被非授權篡改，保證在遠程通信過程中信息數(shù)據(jù)從真實的信源無失真地到達真實的信宿。網(wǎng)絡信息安全解決方案全文共63頁，當前為第10頁。2、可用性目標網(wǎng)絡信息安全解決方案全文共63頁，當前為第10頁。確保網(wǎng)絡和信息系統(tǒng)連續(xù)有效地運轉(zhuǎn)，保證合法用戶對系統(tǒng)資源和信息數(shù)據(jù)的使用不會被不正當?shù)鼐芙^。3、保密性目標確保在公網(wǎng)上傳輸?shù)臉I(yè)務數(shù)據(jù)和敏感信息不會泄漏給任何未經(jīng)授權的人和實體，或供其使用。4、真實性目標應能對通信中的對等實體所宣稱的身份的真實性進行鑒別。5、可控性目標保證系統(tǒng)資源不被非法訪問及非授權訪問，并能夠控制信息系統(tǒng)用戶對系統(tǒng)資源的使用方式。6、可審查性目標能記錄系統(tǒng)中發(fā)生的全部訪問行為，為出現(xiàn)的安全問題進行及時的告警響應并為調(diào)查取證提供依據(jù)和手段。安全解決方案總體框架隨著信息安全研究的深入發(fā)展，各種新的威脅層出不窮，要解決這些新的安全威脅，就需要更完善的安全技術。技術保障體系注重信息系統(tǒng)執(zhí)行的安全控制。技術控制針對未授權的訪問或誤用提供自動保護，發(fā)現(xiàn)違背安全策略的行為，并滿足應用程序和數(shù)據(jù)的安全需求。對于XXXX信息系統(tǒng)，主要的安全威脅來自互聯(lián)網(wǎng)，包括非法訪問、黑客攻擊、網(wǎng)絡竊聽和病毒入侵等，根據(jù)信息系統(tǒng)的總體安全目標，我們將有針對性地采用適當?shù)陌踩Ｕ蠙C制來確保信息資產(chǎn)的價值不受侵犯，保證信息資產(chǎn)擁有者面臨最小的安全風險和獲取最大的安全利益，提高整體網(wǎng)絡信息系統(tǒng)抵御各種安全威脅的能力。整體安全解決方案包括以下幾個方面的內(nèi)容：網(wǎng)絡安全邊界隔離和訪問控制網(wǎng)絡信息安全解決方案全文共63頁，當前為第11頁。在互聯(lián)網(wǎng)邊界采取有效的安全隔離和訪問控制手段，確保進出的信息和數(shù)據(jù)都能得到嚴格的控制和檢測，既要阻止來自公網(wǎng)上外部非法用戶的訪問，也要防止合法用戶的越權訪問。網(wǎng)絡信息安全解決方案全文共63頁，當前為第11頁。網(wǎng)絡邊界入侵防御針對來自公網(wǎng)上的各種復雜的安全威脅，如非法入侵、DoS/DDoS攻擊、蠕蟲、惡意代碼等，我們將采用專門的安全機制來對其進行有效的檢測和防御，避免服務器因遭受外界網(wǎng)絡的惡意攻擊而導致正常的網(wǎng)絡通訊和業(yè)務服務中斷、計算機系統(tǒng)崩潰、數(shù)據(jù)泄密或丟失等等，影響業(yè)務服務和信息交互的正常進行。網(wǎng)絡邊界病毒防護為了保護信息系統(tǒng)免受來自公網(wǎng)上的病毒、蠕蟲、木馬及其他惡意代碼的侵害，我們在互聯(lián)網(wǎng)出口邊界位置不屬實時在線的病毒檢測和過濾機制，對進出的各種可能攜帶病毒和惡意代碼的網(wǎng)絡數(shù)據(jù)流進行實時檢測，確保只有干凈的數(shù)據(jù)才能進入，同時也防止互聯(lián)網(wǎng)病毒向各遠程業(yè)務終端系統(tǒng)的傳播擴散。網(wǎng)絡通信流量監(jiān)控和異常流量檢測網(wǎng)絡資源濫用、拒絕服務攻擊、病毒和蠕蟲的爆發(fā)等，都會造成網(wǎng)絡通信流量的異常，因此我們將在互聯(lián)網(wǎng)邊界采用有效的通信流量檢測機制，以便能夠預先發(fā)現(xiàn)進出的流量異常情況并進行分析，及時制止安全事故的發(fā)生，或在局部安全事故發(fā)生后防止其進一步的擴散。數(shù)據(jù)通訊過程中的對等實體認證、數(shù)據(jù)傳輸加密和完整性保護由于移動用戶和駐外辦事處與服務器之間的數(shù)據(jù)通訊都是通過公網(wǎng)進行的，因此數(shù)據(jù)通訊安全需求尤為重要。我們將采用適當?shù)募用芗夹g對數(shù)據(jù)進行加密傳輸，保證通過公網(wǎng)進行傳輸?shù)臉I(yè)務數(shù)據(jù)和敏感信息不被非法竊取、篡改，確保通信雙方身份的真實性。系統(tǒng)安全系統(tǒng)脆弱性檢測和安全加固為防止攻擊者利用網(wǎng)絡設備、服務器主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、通用軟件的安全弱點或配置上的漏洞對系統(tǒng)進行非法操作或?qū)?shù)據(jù)進行非法訪問，我們將定期對系統(tǒng)進行安全性檢查和系統(tǒng)加固，包括打補丁、配置優(yōu)化等。系統(tǒng)審計網(wǎng)絡信息安全解決方案全文共63頁，當前為第12頁。網(wǎng)絡設備、安全設備、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等均開啟日志和報警功能，實時記錄用戶的訪問行為和所訪問的資源對象以及所執(zhí)行的操作，并提供有效的分析、統(tǒng)計、告警機制，一方面可以及時發(fā)現(xiàn)非法的網(wǎng)絡和系統(tǒng)訪問行為并通知管理人員進行處理，另一方面也為發(fā)生安全事故后的追查和舉證提供重要依據(jù)，此外還可對潛在的用戶非法訪問企圖起到一定的震懾作用。審計記錄數(shù)據(jù)將采用可靠的方式進行存儲，保證其可用性、完整性。網(wǎng)絡信息安全解決方案全文共63頁，當前為第12頁。信息安全管理平臺部署信息安全管理平臺，通過信息安全管理平臺實時查看重要設備，網(wǎng)絡設備、主機，服務器的運行情況和系統(tǒng)資源情況。通過管理平臺集中同時實時的了解網(wǎng)絡設備、服務器、的運行狀態(tài)，使用情況，大大提高了運維的效率，防止由于管理人員的遺漏造成問題解決的不及時。服務器的冗余備份為最大化保證業(yè)務的連續(xù)性，我們將對ERP系統(tǒng)服務器主機采取可靠的冗余備份機制，確保在線業(yè)務處理和數(shù)據(jù)訪問過程不會因為服務器系統(tǒng)故障而中斷。應用安全文件服務器建設替換原有以網(wǎng)上鄰居網(wǎng)絡共享文件的部署方式，建設以FTP服務器做為XXXX的文件服務器，加強用戶資源共享的管控。數(shù)據(jù)安全數(shù)據(jù)存儲備份我們將逐步健全信息系統(tǒng)的數(shù)據(jù)備份/恢復和應急處理機制，確保網(wǎng)絡信息系統(tǒng)的各種數(shù)據(jù)實時備份，當數(shù)據(jù)資源在受到侵害破壞損失時，及時的啟動備份恢復機制，可以保證系統(tǒng)的快速恢復，而不影響整個網(wǎng)絡信息系統(tǒng)的正常運轉(zhuǎn)。網(wǎng)絡信息安全解決方案全文共63頁，當前為第13頁。網(wǎng)絡信息安全解決方案全文共63頁，當前為第13頁。安全解決方案詳細設計前面我們從不同層面分別闡述了在XXXX信息系統(tǒng)中需要采用的各種安全技術措施，其中部分措施可以通過在現(xiàn)有網(wǎng)絡設備、主機系統(tǒng)中進行適當?shù)陌踩O置、安全加固來實現(xiàn)，而有一些措施則需要通過采購一定的專業(yè)安全產(chǎn)品來實現(xiàn)。我們將在充分利用已有投資的基礎上，結(jié)合當前國內(nèi)外最先進的安全技術，適當?shù)卦黾右恍I(yè)的安全設備和軟件，從而為XXXX信息系統(tǒng)構(gòu)建一套由多種安全技術和多層防護措施構(gòu)成的整體安全防護體系，以確保XXXX信息系統(tǒng)安全可靠地運行。具體包括：防火墻系統(tǒng)（市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)互聯(lián)網(wǎng)邊界）入侵防御系統(tǒng)（市區(qū)互聯(lián)網(wǎng)邊界）入侵檢測系統(tǒng)（市區(qū)核心交換機節(jié)點）病毒過濾網(wǎng)關（市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)互聯(lián)網(wǎng)邊界）網(wǎng)絡防病毒系統(tǒng)（提供終端病毒防護）IPSEC+SSLVPN（駐外辦事處和移動用戶與市區(qū)互聯(lián)網(wǎng)邊界之間通信認證和加密）終端管理系統(tǒng)（提供終端集中管理、策略部署、補丁分發(fā)等）安全審計系統(tǒng)（提供集中的安全日志審計）網(wǎng)絡信息安全解決方案全文共63頁，當前為第14頁。ERP系統(tǒng)服務器冗余網(wǎng)絡信息安全解決方案全文共63頁，當前為第14頁。ERP系統(tǒng)、財務系統(tǒng)等重要數(shù)據(jù)備份系統(tǒng)文件服務器建設信息安全管理平臺建設以下是對各個部分的詳細設計。 上面我們描述了XXXX網(wǎng)絡信息安全建設內(nèi)容，考慮到網(wǎng)絡安全管理的特殊性和系統(tǒng)的延續(xù)性，因此在系統(tǒng)的規(guī)劃、設計、建設和管理中，我們圍繞XXXX的管理需求，配合開展相關工作?？紤]到系統(tǒng)建設的工作量、技術復雜程度和投資成本，在時間許可和考慮各功能要求輕重緩急的前提下，我們建議項目分兩期完成。 一期在開發(fā)區(qū)廠區(qū)部署病毒過濾網(wǎng)關系統(tǒng)、防火墻系統(tǒng)，在市區(qū)廠區(qū)部署病毒過濾網(wǎng)關系統(tǒng)、多合一網(wǎng)關系統(tǒng)（包括防火墻、SSLVPN、IPSECVPN功能）、入侵檢測系統(tǒng)，并部署網(wǎng)絡版防病毒系統(tǒng)、終端管理系統(tǒng)、安全審計系統(tǒng)、數(shù)據(jù)安全系統(tǒng)、ERP系統(tǒng)冗余服務器、文件服務器系統(tǒng)。二期在市區(qū)廠區(qū)部署入侵防御系統(tǒng)，對現(xiàn)有網(wǎng)絡中的接入層交換機進行改造，并建立信息安全管理平臺。XXXX信息系統(tǒng)改造后系統(tǒng)網(wǎng)絡拓撲圖如圖1.2所示：網(wǎng)絡信息安全解決方案全文共63頁，當前為第15頁。圖1.2XXXX信息改造后系統(tǒng)網(wǎng)絡拓撲圖網(wǎng)絡信息安全解決方案全文共63頁，當前為第15頁。網(wǎng)絡安全建設 防火墻系統(tǒng)設計防火墻系統(tǒng)部署意義防火墻是近年發(fā)展起來的重要安全技術，其主要作用是在網(wǎng)絡入口點檢查網(wǎng)絡通信，根據(jù)用戶設定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡安全的前提下，提供內(nèi)外網(wǎng)絡通信。通過使用Firewall過濾不安全的服務器，提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。防火墻屬于一種被動的安全防御工具。設立防火墻的目的就是保護一個網(wǎng)絡不受來自另一個網(wǎng)絡的攻擊，防火墻的主要功能包括以下幾個方面：（1）防火墻提供安全邊界控制的基本屏障。設置防火墻可提高內(nèi)部網(wǎng)絡安全性，降低受攻擊的風險。（2）防火墻體現(xiàn)網(wǎng)絡安全策略的具體實施。防火墻集成所有安全軟件（如口令、加密、認證、審計等），比分散管理更經(jīng)濟。（3）防火墻強化安全認證和監(jiān)控審計。因為所有進出網(wǎng)絡的通信流都通過防火墻，使防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務。（4）防火墻能阻止內(nèi)部信息泄漏。防火墻實際意義上也是一個隔離器，即能防外，又能防止內(nèi)部未經(jīng)授權用戶對互聯(lián)網(wǎng)的訪問。防火墻系統(tǒng)部署方式在互聯(lián)網(wǎng)邊界設置防火墻系統(tǒng)，負責審核進出網(wǎng)絡的訪問請求，確保只有合法的訪問才能通過，從而為服務器系統(tǒng)建立安全的防御屏障，防范互聯(lián)網(wǎng)黑客攻擊和非法用戶的訪問。網(wǎng)絡信息安全解決方案全文共63頁，當前為第16頁。目前在市區(qū)廠區(qū)網(wǎng)絡中，接入一條100M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust100防火墻，在開發(fā)區(qū)廠區(qū)網(wǎng)絡中，接入一條10M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust80防火墻，現(xiàn)有的兩臺防火墻均為百兆低端設備，其功能和性能均已無法滿足網(wǎng)絡規(guī)模和對外應用的的不斷發(fā)展，這兩臺防火墻是否正常運行將關系到XXXX所有用戶的上網(wǎng)服務，以及包括Web、FTP、MAIL等系統(tǒng)對外發(fā)布的應用服務的正常運行。故建議在互聯(lián)網(wǎng)出口重新部署一臺防火墻，避免出現(xiàn)網(wǎng)絡瓶頸提高網(wǎng)絡的處理性能，使應用快速穩(wěn)定的運行。網(wǎng)絡信息安全解決方案全文共63頁，當前為第16頁。由于防火墻隔離的是不同的安全區(qū)域。防火墻采用將內(nèi)部區(qū)域、互聯(lián)網(wǎng)區(qū)域、DMZ區(qū)域分開的方法，在開發(fā)區(qū)廠區(qū)把一卡通服務器部署到DMZ區(qū)域，在市區(qū)廠區(qū)把財務服務器、ERP系統(tǒng)服務器、文件服務器、FTP服務器等部署到DMZ區(qū)域，防火墻可以作為不同網(wǎng)絡或網(wǎng)絡安全域之間信息的出入口，根據(jù)安全策略控制出入網(wǎng)絡的信息流。再加上防火墻本身具有較強的抗攻擊能力，能有效地監(jiān)控內(nèi)部網(wǎng)、服務器區(qū)域和Internet之間的任何活動，從而為互聯(lián)網(wǎng)邊界安全提供了有力的保證。防火墻部署后系統(tǒng)網(wǎng)絡拓撲圖如圖1.3所示：圖1.3防火墻部署后系統(tǒng)網(wǎng)絡拓撲圖網(wǎng)絡信息安全解決方案全文共63頁，當前為第17頁。具體防火墻部署建議如下：網(wǎng)絡信息安全解決方案全文共63頁，當前為第17頁。1．正向源地址轉(zhuǎn)換使內(nèi)部網(wǎng)用戶可使用私有IP地址通過防火墻訪問外部網(wǎng)絡。對外界網(wǎng)絡用戶來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不知道是來自內(nèi)部網(wǎng)的某個地址，能夠有效的隱藏內(nèi)部網(wǎng)絡的拓撲結(jié)構(gòu)等信息。反向目的地址轉(zhuǎn)換可使對外提供信息發(fā)布服務的WEB服務器、FTP服務器、Mail服務器起等系統(tǒng)采用私有IP地址作為真實地址，外界用戶所訪問到的是被防火墻轉(zhuǎn)換過的目的地址，這樣也能夠有效的隱藏內(nèi)部服務器信息，對服務器進行保護。2．限制網(wǎng)上服務請求內(nèi)容，使非法訪問在到達主機前被拒絕。3．加強合法用戶的訪問認證，同時將用戶的訪問權限控制在最低限度。4.為了避免不同區(qū)域的機器冒用IP地址進行越權訪問，防火墻的所有端口上還應啟用IP地址與MAC地址綁定功能。5．全面監(jiān)視網(wǎng)絡的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為，并可以和IDS實現(xiàn)聯(lián)動。這不但提高了安全性，而且保證了高性能。6．加強對各種訪問的審計工作，詳細記錄對網(wǎng)絡與主機的訪問行為，形成完整的系統(tǒng)日志，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。。7.利用應用層訪問特征碼對占用過多網(wǎng)絡資源的常見P2P軟件的流量進行限制，同時支持對單機或主機組配置并發(fā)連接數(shù)限制，以及支持對單機或主機組配置QOS帶寬限制，從而能更有效利用網(wǎng)絡資源8、隨著訪問量的不斷增加，只要增加相同的應用服務器，防火墻可以支持一個服務器陣列，這個陣列經(jīng)過防火墻對外表現(xiàn)為單臺的機器，防火墻將外部來的訪問在這些服務器之間進行均衡，滿足將來應用需求。防火墻還具有實施監(jiān)控、身份驗證、高可用性、線路備份、深度過濾等眾多功能。防火墻系統(tǒng)部署后達到的效果防火墻系統(tǒng)部署后達到的效果：隔離安全區(qū)域網(wǎng)絡信息安全解決方案全文共63頁，當前為第18頁。防火墻采用多安全區(qū)域體系，每個物理接口對應一個獨立的安全區(qū)域，在不同網(wǎng)絡區(qū)域之間進行互聯(lián)時，全部通信都受到防火墻的監(jiān)控，通過防火墻的安全策略可以將所聯(lián)區(qū)域設置成相應的保護級別，以保證關鍵系統(tǒng)的安全。每個區(qū)域的安全策略只對該區(qū)域有效。每個區(qū)域可以單獨設置自己的默認安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域?qū)陌踩呗?。網(wǎng)絡信息安全解決方案全文共63頁，當前為第18頁。地址轉(zhuǎn)換，對外隱藏內(nèi)部網(wǎng)絡信息正向源地址轉(zhuǎn)換使內(nèi)部網(wǎng)用戶可使用私有IP地址通過防火墻訪問外部網(wǎng)絡。對外界網(wǎng)絡用戶來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不知道是來自內(nèi)部網(wǎng)的某個地址，能夠有效的隱藏內(nèi)部網(wǎng)絡的拓撲結(jié)構(gòu)等信息。反向目的地址轉(zhuǎn)換可使對外提供信息發(fā)布服務的WEB服務器等采用私有IP地址作為真實地址，外界用戶所訪問到的是被防火墻轉(zhuǎn)換過的目的地址，這樣也能夠有效的隱藏內(nèi)部服務器信息，對服務器進行保護。2到7層的訪問控制防火墻實現(xiàn)了多級過濾體系，在MAC層提供基于MAC地址的過濾控制能力，同時支持對各種二層協(xié)議的過濾功能；在網(wǎng)絡層和傳輸層提供基于狀態(tài)檢測的分組過濾，可以根據(jù)網(wǎng)絡地址、網(wǎng)絡協(xié)議以及TCP、UDP端口進行過濾，并進行完整的協(xié)議狀態(tài)分析；在應用層通過深度內(nèi)容檢測機制，可以對高層應用協(xié)議命令、訪問路徑、內(nèi)容、訪問的文件資源、關鍵字、移動代碼等實現(xiàn)內(nèi)容安全控制，這對于提高基于通用Internet服務的應用服務器的安全性非常有意義；同時，防火墻還支持第三方認證，提供用戶級的認證和授權控制。從而形成了立體的、全面的訪問控制機制，實現(xiàn)了全方位的安全控制。防御外界黑客攻擊防火墻自身提供了一定的入侵檢測和防護功能，能抵御一些常見的網(wǎng)絡攻擊和DoS/DDoS攻擊，并可以和IDS實現(xiàn)聯(lián)動。這不但提高了安全性，而且保證了高性能。負載均衡防火墻可以支持一個服務器陣列，這個陣列經(jīng)過防火墻對外表現(xiàn)為單臺的機器，防火墻將外部來的訪問在這些服務器之間進行均衡。負載均衡方式包括輪詢（順序選擇地址）、根據(jù)權重輪詢、最少連接（將連接分配到當前連接最少的服務器）、加權最少連接（最少連接和權重相結(jié)合）。日志記錄與審計網(wǎng)絡信息安全解決方案全文共63頁，當前為第19頁。一個安全防護體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。進行信息審計的前提是必須有足夠的多的日志信息。網(wǎng)絡信息安全解決方案全文共63頁，當前為第19頁。當防火墻系統(tǒng)被配置為工作在不同安全域之間的關鍵節(jié)點時，防火墻系統(tǒng)就能夠?qū)Σ煌踩蛑g的訪問請求做出日志記錄。防火墻系統(tǒng)提供了強大的日志功能，可對重要關鍵資源的使用情況進行有效的監(jiān)控，實現(xiàn)日志的分級管理、自動報表、自動報警功能，用戶可以根據(jù)需要對不同的通訊內(nèi)容記錄不同的日志，包括會話日志（主要描述通訊的時間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令，執(zhí)行了那些操作）。用戶可以根據(jù)需要記錄不同的日志，從而為日志分析、事后追蹤提供更多的依據(jù)。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡使用情況做出統(tǒng)計。這樣網(wǎng)絡管理員通過對統(tǒng)計結(jié)果進行分析，掌握網(wǎng)絡的運行狀態(tài)，繼而更加有效的管理整個網(wǎng)絡。同時，產(chǎn)生的日志能夠以多種方式導出，可通過第三方日志管理軟件進行統(tǒng)一的管理。網(wǎng)絡入侵防御系統(tǒng)設計網(wǎng)絡入侵防御系統(tǒng)部署意義隨著網(wǎng)絡技術的廣泛應用，網(wǎng)絡為我們的工作和生活提供了便利，但同時網(wǎng)絡環(huán)境中的各種安全問題，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡、DDoS攻擊、垃圾郵件、網(wǎng)絡資源濫用（P2P下載、IM即時通訊、網(wǎng)游）等極大地困擾著用戶，尤其是混合威脅的風險，給企業(yè)的信息網(wǎng)絡造成嚴重的破壞。能否及時發(fā)現(xiàn)并成功阻止網(wǎng)絡黑客的入侵、保證計算機和網(wǎng)絡系統(tǒng)的安全和正常運行已經(jīng)成為各個企業(yè)所面臨的問題。面對這些問題，傳統(tǒng)的安全產(chǎn)品已經(jīng)無法獨立應對。傳統(tǒng)防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼；無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡中的攻擊行為。入侵檢測系統(tǒng)IDS旁路部署在網(wǎng)絡上，當它檢測出黑客入侵攻擊時，攻擊可能已到達目標造成損失，無法有效阻斷各種攻擊；入侵檢測系統(tǒng)IDS側(cè)重網(wǎng)絡監(jiān)控，注重安全審計，適合對網(wǎng)絡安全狀態(tài)的了解。而入侵防御系統(tǒng)是在線部署在網(wǎng)絡中，提供主動的、實時的防護，具備對2到7層網(wǎng)絡的線速、深度檢測能力，同時配合以精心研究、及時更新的攻擊特征庫，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡中的惡意代碼、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡架構(gòu)防護、網(wǎng)絡性能保護和核心應用防護。網(wǎng)絡信息安全解決方案全文共63頁，當前為第20頁。入侵防御系統(tǒng)通過加載不同的攻擊規(guī)則庫對流經(jīng)它的網(wǎng)絡流量進行分析過濾，來判斷是否為異常數(shù)據(jù)流量或可疑數(shù)據(jù)流量，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡系統(tǒng)內(nèi)部IT資源的安全保護。入侵防御系統(tǒng)能夠完全阻斷各種非法攻擊行為，比如利用薄弱點進行的直接攻擊和增加網(wǎng)絡流量負荷造成網(wǎng)絡環(huán)境惡化的DoS攻擊等，安全地保護內(nèi)部IT資源。網(wǎng)絡信息安全解決方案全文共63頁，當前為第20頁。入侵防御系統(tǒng)可以提供網(wǎng)絡架構(gòu)防護、網(wǎng)絡性能保護、核心應用防護，通過使用入侵防御系統(tǒng)可提供最強大且最完整的保護以防御各種形式的網(wǎng)絡攻擊行為，如：蠕蟲、拒絕服務攻擊、惡意代碼以及非法的入侵和訪問，為企業(yè)網(wǎng)絡提供“虛擬補丁”的保護作用。網(wǎng)絡入侵防御系統(tǒng)部署方式建議在市區(qū)廠區(qū)互聯(lián)網(wǎng)出口處部署一套網(wǎng)絡入侵防御系統(tǒng)，通過設置檢測與阻斷策略對流經(jīng)入侵防御系統(tǒng)的網(wǎng)絡流量進行分析過濾，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡系統(tǒng)內(nèi)部IT資源的安全保護。入侵防御系統(tǒng)能夠在第一時間阻斷各種非法攻擊行為，比如利用網(wǎng)絡系統(tǒng)薄弱點進行的直接攻擊和增加網(wǎng)絡流量負荷造成網(wǎng)絡環(huán)境惡化的DoS攻擊等。網(wǎng)絡入侵防御系統(tǒng)作為一個網(wǎng)關設備，可透明嵌入到網(wǎng)絡出口，即使用兩個網(wǎng)絡端口，串接在互聯(lián)網(wǎng)邊界與本地局域網(wǎng)交換機之間，通過一個外部網(wǎng)絡端口接收來自外部網(wǎng)絡的數(shù)據(jù)包，進行實時檢測和過濾，再通過另外一個內(nèi)部網(wǎng)絡端口將它傳送到內(nèi)部系統(tǒng)中；只要發(fā)現(xiàn)了有害流量，網(wǎng)絡入侵防御系統(tǒng)都能立即將其清除，而不會任其進入內(nèi)部網(wǎng)絡造成侵害。由于在網(wǎng)絡出口還要進行防火墻的部署，可將入侵防御系統(tǒng)串接在防火墻的前端，即互聯(lián)網(wǎng)邊界與防火墻之間，這樣可以在第一時間發(fā)現(xiàn)惡意的網(wǎng)絡攻擊行為并進行實時阻斷，不管攻擊是來非法用戶還是合法用戶。在部署入侵防御系統(tǒng)IPS時，建議先啟用所有過濾策略，動作設置為記錄日志，運行一個星期左右時間，由設備廠家技術人員對一周時間的日志進行審計，檢查是否存在誤報或錯報問題，對誤報和錯報日志進行仔細測試，如該應用為正常應用，應關閉該過濾策略，避免影響正常應用的使用，對惡意流量設置阻斷、帶寬限制、記錄等動作。通過調(diào)整和細化過濾策略，使網(wǎng)絡能夠安全穩(wěn)定的運行。網(wǎng)絡信息安全解決方案全文共63頁，當前為第21頁。此外，為了避免因入侵防御設備的單點故障導致內(nèi)外網(wǎng)絡通訊中斷，可啟用入侵防御接口的失效開放機制，當出現(xiàn)軟硬件故障和電源故障時，系統(tǒng)能夠自動切換到旁路模式以保障網(wǎng)絡的暢通。網(wǎng)絡信息安全解決方案全文共63頁，當前為第21頁。入侵防御系統(tǒng)部署后系統(tǒng)網(wǎng)絡拓撲圖如圖1.4所示：圖1.4入侵防御系統(tǒng)部署后系統(tǒng)網(wǎng)絡拓撲圖網(wǎng)絡入侵防御系統(tǒng)部署后所達到的效果網(wǎng)絡入侵防御系統(tǒng)在分析/跟蹤流量信息的基礎上，在線對流經(jīng)的數(shù)據(jù)報文進行4~7層信息的深度檢測，其部署后的效果為：入侵檢測和防御能力強大的蠕蟲、木馬、后門、間諜軟件、Web攻擊、拒絕服務、廣告軟件防御能力，根據(jù)用戶需求自行設置攻擊規(guī)則，對其他有害攻擊行為做檢測和阻斷繁多的垃圾應用、流行P2P/IM、熱門游戲、在線視頻、網(wǎng)絡流媒體的過濾控制能力，對異常流量進行分析、阻斷原始包分析功能，對原始包文進行捕獲、分析、存儲網(wǎng)絡信息安全解決方案全文共63頁，當前為第22頁。使用網(wǎng)絡定位工具如nslookup，traceroute，ping等，方便進行網(wǎng)絡事件診斷網(wǎng)絡信息安全解決方案全文共63頁，當前為第22頁。主動防御機制網(wǎng)絡入侵防御系統(tǒng)可以根據(jù)管理員預先制定的安全策略對流經(jīng)系統(tǒng)的數(shù)據(jù)包進行檢測及阻斷，包括：根據(jù)檢測和阻斷策略對于滿足條件的數(shù)據(jù)報文對包頭和負載內(nèi)容進行過濾，檢測和阻斷網(wǎng)絡攻擊和惡意代碼。根據(jù)異常流量檢測及阻斷策略，對通過系統(tǒng)每個物理接口的流量、TCP/UDP/ICMP協(xié)議在一定時間內(nèi)的流量設定閥值，并設定處理措施（檢測、限流或阻斷）。當設定的時間段內(nèi)通過系統(tǒng)的整體流量超過閥值時進行限流或阻斷。豐富的響應方式，實現(xiàn)主動防御和安全預警，包括：允許異常流量閥值范圍內(nèi)的數(shù)據(jù)通過阻斷異常流量閥值范圍外的數(shù)據(jù)通過檢測到策略中設置的數(shù)據(jù)后，進行報警限制超出規(guī)則設定范圍的數(shù)據(jù)記錄被檢測到攻擊的相關數(shù)據(jù)記錄系統(tǒng)中相關的操作（登錄、修改等）VIDP實現(xiàn)精細化防御智能的VIDP功能，針對不同的網(wǎng)絡環(huán)境和安全需求，制定不同的防御規(guī)則和響應方式，每個虛擬系統(tǒng)分別執(zhí)行不同的規(guī)則集，實現(xiàn)面向不同對象、實現(xiàn)不同策略的智能化入侵防御。高可用性所有接口都支持FOD失效開放機制，當出現(xiàn)軟硬件故障和電源故障時，系統(tǒng)能夠自動切換到旁路模式以保障網(wǎng)絡的暢通，而且絲毫不影響數(shù)據(jù)傳輸速率；報表分析統(tǒng)計功能完善的日志功能，分類記錄了訪問入侵防御系統(tǒng)的所有操作以及與其相關的一切安全活動，方便用戶及時通過分析日志記錄的資料來預防入侵和追蹤非法行為；網(wǎng)絡信息安全解決方案全文共63頁，當前為第23頁。多種攻擊檢測、阻斷、報警等信息的報表統(tǒng)計功能，根據(jù)用戶需求生成不同的統(tǒng)計報表，并可以利用存儲日志和事件數(shù)據(jù)庫，做出基于入侵/受攻擊主機、攻擊類型、期間等各種不同條件類別的報表，并可以以多種不同格式輸出，給管理者在管理網(wǎng)絡方面提供了決策依據(jù)。網(wǎng)絡信息安全解決方案全文共63頁，當前為第23頁。病毒過濾網(wǎng)關系統(tǒng)設計病毒過濾網(wǎng)關系統(tǒng)部署意義計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。目前，計算機病毒的種類與傳播媒介日益繁多，病毒更主要是通過網(wǎng)絡共享文件、電子郵件及Internet/Intranet進行傳播。隨著業(yè)務應用和數(shù)據(jù)交換越來越依賴于網(wǎng)絡，病毒的危害也越來越普遍。往往是整個網(wǎng)絡中只要有一臺機器（哪怕是遠程的）感染了某種可怕的病毒，很快抱怨聲就會從網(wǎng)絡的各個角落傳出來，文件被破壞，系統(tǒng)被摧毀，數(shù)據(jù)丟失，結(jié)果所帶來的侵害不僅對于個人，而且對于整個機構(gòu)都可能是致命的。對幾乎每個企業(yè)來說，電子郵件均是企業(yè)溝通的重要工具，電子郵件病毒也已變成企業(yè)宕機的最大原因之一。蠕蟲病毒和特洛伊木馬是郵件病毒的主要傳播方式。蠕蟲病毒是一種獨立程序，可將自己進行復制到其它系統(tǒng)中。蠕蟲病毒的唯一目的是復制并擴散至新的區(qū)域，通常同時會造成一些損害。蠕蟲病毒通常以郵件附件的方式進行傳播。電子郵件是惡意蠕蟲病毒的最理想傳播工具，因為所有的郵件都有同等地位。郵件作為信息傳播工具是平等的，它們使用同樣的協(xié)議，而不論來自于最卑微的企業(yè)還是世界上最大的公司。特洛伊木馬通常被認為是惡意蠕蟲病毒進行擴散的工具—但更準確的定義應該是：特洛伊木馬僅僅是一個隱蔽的程序，它執(zhí)行發(fā)起人計劃的行為，而此行為不是接收人所希望的。在當今環(huán)境中，更實際的定義應該是：特洛伊木馬是一種有吸引力的內(nèi)容，可吸引人將它打開。郵件的最終接收者通常是互聯(lián)網(wǎng)的頭號安全威脅：個人。打開這一內(nèi)容是釋放蠕蟲病毒的第一步。一旦打開這一可執(zhí)行的附件，蠕蟲病毒就與一個本地應用程序進行互動，剩下的就都成為歷史。一旦蠕蟲病毒進入系統(tǒng)，蠕蟲病毒的應用程序接口（API）即與微軟Outlook接口（MAPI）互動，以打開地址簿并將自己發(fā)送給其中的所有地址，循環(huán)再次開始。網(wǎng)絡信息安全解決方案全文共63頁，當前為第24頁。如蠕蟲病毒或病毒進入系統(tǒng)中，則它們可造成的損壞就沒有限制。阻斷這一循環(huán)并預防其傳播的最現(xiàn)實解決方法是大家經(jīng)常聽到的“不要打開來自不明地址的郵件附件”。只有在嚴格遵守這一規(guī)定時，此方法才有效。因為是人在接收電子郵件，所以特洛伊木馬的吸引力有時無法拒絕。網(wǎng)絡信息安全解決方案全文共63頁，當前為第24頁。很明顯，不允許病毒達到最終接收者是一個重要的戰(zhàn)略，而使用邊緣病毒防御便是針對該目標的一個可異常輕松執(zhí)行的方式。網(wǎng)關防毒系統(tǒng)所達到的效果：阻止99％以上的病毒傳播據(jù)ICSA病毒流行性調(diào)查結(jié)果，電子郵件和Internet互聯(lián)網(wǎng)已成為病毒傳播的絕對主要途徑。99%的病毒都是通過SMTP、HTTP和FTP協(xié)議進入用戶的計算機。病毒過濾網(wǎng)關作為一個專門的硬件防病毒設備，安裝在因特網(wǎng)網(wǎng)關處，實時檢查進入網(wǎng)絡的數(shù)據(jù)流，保護網(wǎng)絡內(nèi)部的服務器和工作站設備免受各類病毒，蠕蟲，木馬和垃圾郵件的干擾。病毒過濾網(wǎng)關可處理以下協(xié)議：SMTP、POP3、HTTP、FTP和IMAP，及時清除進出網(wǎng)關的郵件病毒、蠕蟲攻擊包，對進出網(wǎng)關的垃圾郵件、關鍵字進行過濾，對進出網(wǎng)關的Web訪問、FTP訪問行全面防毒掃描，徹底阻斷因特網(wǎng)病毒的傳播途徑。彌補網(wǎng)絡版防病毒產(chǎn)品的不足網(wǎng)絡版防毒軟件無法攔截攻擊操作系統(tǒng)和應用軟件安全漏洞的新型蠕蟲（如SQLSlammer），而且需要投入較多的管理精力，往往會因為用戶防病毒意識薄弱或?qū)Ψ蓝井a(chǎn)品配置不當而極大地影響防病毒能力。病毒過濾網(wǎng)關作為一個專門的硬件防病毒設備，只要安裝在網(wǎng)絡的入口處，就可以保護內(nèi)部局域網(wǎng)免受各類病毒，木馬的和垃圾郵件的干擾。病毒過濾網(wǎng)關實時檢查進入內(nèi)部網(wǎng)絡的數(shù)據(jù)流，當網(wǎng)關檢測到病毒時，它會自動根據(jù)相應的策略來處理病毒和染毒文件，保護內(nèi)部的服務器和工作站設備，同時對用戶是完全透明的。自動在線升級病毒過濾網(wǎng)關可以按照管理員設定的更新策略自動連接到廠商的升級服務器，升級最新的病毒庫，保證網(wǎng)絡得到最有效的防病毒保護。病毒過濾網(wǎng)關系統(tǒng)部署方式網(wǎng)絡信息安全解決方案全文共63頁，當前為第25頁。建議分別在市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)互聯(lián)網(wǎng)邊界部署專門的病毒過濾網(wǎng)關系統(tǒng)，防止來自互聯(lián)網(wǎng)的病毒和惡意代碼進入網(wǎng)絡，同時也防止互聯(lián)網(wǎng)病毒以服務器為途徑向各遠程業(yè)務終端系統(tǒng)的傳播擴散。網(wǎng)絡信息安全解決方案全文共63頁，當前為第25頁。建議在互聯(lián)網(wǎng)出口邊界部署專門的病毒過濾網(wǎng)關系統(tǒng)，串接在互聯(lián)網(wǎng)邊界防火墻和本地局域網(wǎng)交換機之間，一方面可以適當減少需要過濾網(wǎng)關處理的數(shù)據(jù)量，另一方面也可以保護過濾網(wǎng)關系統(tǒng)自身不受外界的惡意攻擊。還可以部署在每個需要保護的網(wǎng)段中（如重要服務器區(qū)域），實時檢查進入內(nèi)部網(wǎng)絡的數(shù)據(jù)流，當網(wǎng)關檢測到病毒時，它會自動根據(jù)相應的策略來處理病毒和染毒文件，保護內(nèi)部網(wǎng)絡中的服務器和工作站設備，同時對用戶是完全透明的。部署后可防止來自互聯(lián)網(wǎng)的病毒和惡意代碼進入服務器系統(tǒng)，同時也防止互聯(lián)網(wǎng)病毒傳播擴散占用互聯(lián)網(wǎng)出口帶寬。另外防病毒網(wǎng)關需要內(nèi)置硬件BYPASS功能，當設備出現(xiàn)軟件、硬件及電源故障時快速、自動切換到直通狀態(tài)，保障網(wǎng)絡可用性。病毒過濾網(wǎng)關部署后系統(tǒng)網(wǎng)絡拓撲圖如圖1.5所示：網(wǎng)絡信息安全解決方案全文共63頁，當前為第26頁。圖1.5病毒過濾網(wǎng)關系統(tǒng)部署后系統(tǒng)網(wǎng)絡拓撲圖網(wǎng)絡信息安全解決方案全文共63頁，當前為第26頁。病毒過濾網(wǎng)關系統(tǒng)部署后達到的效果網(wǎng)關防毒系統(tǒng)部署后達到的效果：阻止99％以上的病毒傳播據(jù)ICSA病毒流行性調(diào)查結(jié)果，電子郵件和Internet互聯(lián)網(wǎng)已成為病毒傳播的絕對主要途徑。99%的病毒都是通過SMTP、HTTP和FTP協(xié)議進入用戶的計算機。病毒過濾網(wǎng)關作為一個專門的硬件防病毒設備，安裝在因特網(wǎng)網(wǎng)關處，實時檢查進入網(wǎng)絡的數(shù)據(jù)流，保護網(wǎng)絡內(nèi)部的服務器和工作站設備免受各類病毒，蠕蟲，木馬和垃圾郵件的干擾。病毒過濾網(wǎng)關可處理以下協(xié)議：SMTP、POP3、HTTP、FTP和IMAP，及時清除進出網(wǎng)關的郵件病毒、蠕蟲攻擊包，對進出網(wǎng)關的垃圾郵件、關鍵字進行過濾，對進出網(wǎng)關的Web訪問、FTP訪問行全面防毒掃描，徹底阻斷因特網(wǎng)病毒的傳播途徑。彌補網(wǎng)絡版防病毒產(chǎn)品的不足網(wǎng)絡版防毒軟件無法攔截攻擊操作系統(tǒng)和應用軟件安全漏洞的新型蠕蟲（如SQLSlammer），而且需要投入較多的管理精力，往往會因為用戶防病毒意識薄弱或?qū)Ψ蓝井a(chǎn)品配置不當而極大地影響防病毒能力。病毒過濾網(wǎng)關作為一個專門的硬件防病毒設備，只要安裝在網(wǎng)絡的入口處，就可以保護內(nèi)部局域網(wǎng)免受各類病毒，木馬的和垃圾郵件的干擾。病毒過濾網(wǎng)關實時檢查進入內(nèi)部網(wǎng)絡的數(shù)據(jù)流，當網(wǎng)關檢測到病毒時，它會自動根據(jù)相應的策略來處理病毒和染毒文件，保護內(nèi)部的服務器和工作站設備，同時對用戶是完全透明的。自動在線升級病毒過濾網(wǎng)關可以按照管理員設定的更新策略自動連接到廠商的升級服務器，升級最新的病毒庫，保證網(wǎng)絡得到最有效的防病毒保護。統(tǒng)計報表功能防病毒網(wǎng)關提供了詳細的報告，能夠按照用戶配置的參數(shù)查詢相關的數(shù)據(jù)生成多種格式的圖形化統(tǒng)計報表，形象直觀，方便管理員的管理工作。報表中可以記錄病毒的數(shù)目，主要病毒所占比例等信息，并且可以記錄所有的網(wǎng)絡活動情況。這些數(shù)據(jù)可以幫助管理員更好的規(guī)劃網(wǎng)絡需求和對防病毒網(wǎng)關進行配置。同時，這些用戶需要的報表可以發(fā)送到管理員預先配置的郵箱，以供進一步的信息查詢。強大的監(jiān)控功能網(wǎng)絡信息安全解決方案全文共63頁，當前為第27頁。防病毒網(wǎng)關提供強大的監(jiān)控功能，可以監(jiān)控過濾網(wǎng)關系統(tǒng)資源、網(wǎng)絡流量、當前會話數(shù)、當前病毒掃描信息等，極大地方便管理員對過濾網(wǎng)關進行監(jiān)控。網(wǎng)絡信息安全解決方案全文共63頁，當前為第27頁。報警功能報警配置用于當某個病毒突然爆發(fā)時，防病毒網(wǎng)關可向網(wǎng)絡管理員發(fā)送報警信息。內(nèi)置Bypass功能利用防病毒網(wǎng)關內(nèi)置的硬件BYPASS功能，當設備出現(xiàn)軟件、硬件及電源故障時快速、自動切換到直通狀態(tài)的功能，保障網(wǎng)絡可用性。通過部署網(wǎng)關防病毒設備，以解決桌面殺毒軟件無法解決的防病毒難題：檢測阻斷SQLSlammer等的新型蠕蟲的功擊，這是傳統(tǒng)的防病毒軟件所做不到的。防病毒軟件部署率不高，有漏裝防病毒軟件病毒特征碼沒有及時更新或者禁用防病毒軟件配置不當影響了防病毒的能力客戶機及服務器沒有及時安裝系統(tǒng)補丁使用網(wǎng)關防病毒設備和網(wǎng)絡版防病毒軟件配合工作形成整體的防病毒體網(wǎng)絡入侵檢測系統(tǒng)設計入侵檢測系統(tǒng)部署意義網(wǎng)絡入侵檢測技術也叫網(wǎng)絡實時監(jiān)控技術，它通過硬件或軟件對網(wǎng)絡上的數(shù)據(jù)流進行實時檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動作做出反應，如切斷網(wǎng)絡連接，或通知防火墻系統(tǒng)對訪問控制策略進行調(diào)整，將入侵的數(shù)據(jù)包過濾掉等。網(wǎng)絡信息安全解決方案全文共63頁，當前為第28頁。網(wǎng)絡入侵檢測技術的特點是利用網(wǎng)絡監(jiān)控軟件或者硬件對網(wǎng)絡流量進行監(jiān)控并分析，及時發(fā)現(xiàn)網(wǎng)絡攻擊的跡象并做出反應。入侵檢測部件可以直接部署于受監(jiān)控網(wǎng)絡的廣播網(wǎng)段，或者直接接收受監(jiān)控網(wǎng)絡旁路過來的數(shù)據(jù)流。為了更有效地發(fā)現(xiàn)網(wǎng)絡受攻擊的跡象，網(wǎng)絡入侵檢測部件應能夠分析網(wǎng)絡上使用的各種網(wǎng)絡協(xié)議，識別各種網(wǎng)絡攻擊行為。網(wǎng)絡入侵檢測部件對網(wǎng)絡攻擊行為的識別通常是通過網(wǎng)絡入侵特征庫來實現(xiàn)的，這種方法有利于在出現(xiàn)了新的網(wǎng)絡攻擊手段時方便地對入侵特征庫加以更新，提高入侵檢測部件對網(wǎng)絡攻擊行為的識別能力。網(wǎng)絡信息安全解決方案全文共63頁，當前為第28頁。利用網(wǎng)絡入侵檢測技術可以實現(xiàn)網(wǎng)絡安全檢測和實時攻擊識別，但它只能作為網(wǎng)絡安全的一個重要的安全組件，網(wǎng)絡系統(tǒng)的實際安全實現(xiàn)應該結(jié)合使用防火墻等技術來組成一個完整的網(wǎng)絡安全解決方案，其原因在于網(wǎng)絡入侵檢測技術雖然也能對網(wǎng)絡攻擊進行識別并做出反應，但其側(cè)重點還是在于發(fā)現(xiàn)，而不能代替防火墻系統(tǒng)執(zhí)行整個網(wǎng)絡的訪問控制策略。防火墻系統(tǒng)能夠?qū)⒁恍╊A期的網(wǎng)絡攻擊阻擋于網(wǎng)絡外面，而網(wǎng)絡入侵檢測技術除了減小網(wǎng)絡系統(tǒng)的安全風險之外，還能對一些非預期的攻擊進行識別并做出反應，切斷攻擊連接或通知防火墻系統(tǒng)修改控制準則，將下一次的類似攻擊阻擋于網(wǎng)絡外部。入侵檢測系統(tǒng)部署方式已經(jīng)建議在互聯(lián)網(wǎng)出口部署IPS，但是IPS只是在網(wǎng)絡的出口，針對流入流出該設備的數(shù)據(jù)進行數(shù)據(jù)檢測的，如果是內(nèi)網(wǎng)核心交換機和匯聚交換機上有蠕蟲病毒，ARP病毒或者攻擊等惡意行為發(fā)生，因為IPS部署在Internet接口處，只可以抵御來至外部的攻擊，但對于內(nèi)部的攻擊就沒有效果了，因為攻擊的流量是不經(jīng)過IPS設備的，但據(jù)IDC統(tǒng)計目前有很多攻擊都來源于企業(yè)的內(nèi)部，如對企業(yè)不滿的員工，商業(yè)間諜等，所以必須在內(nèi)網(wǎng)也要部署相應的IDS,通過IDS的日志，我們可以方便的追溯至攻擊者，同時也為我們采取法律手段提供了依據(jù)和證據(jù)。建議在市區(qū)廠區(qū)核心交換機節(jié)點部署入侵檢測系統(tǒng)，對內(nèi)網(wǎng)異常流量進行監(jiān)控審計。另外現(xiàn)如今網(wǎng)絡上存在著大量的不法黑客以及許多異常流量，一旦受到黑客攻擊或入侵，將直接影響系統(tǒng)的運行，因此需要了解攻擊的頻率和特征，有助于選擇保護網(wǎng)絡免受相應攻擊的安全手段。通過收集攻擊的可信的詳細信息進行事件處理和恢復，這些信息在某些情況下還可以作為犯罪的佐證。入侵檢測是防火墻，入侵防御等其它安全措施的補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是XXXX網(wǎng)絡中IPS之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時檢測。網(wǎng)絡信息安全解決方案全文共63頁，當前為第29頁。傳統(tǒng)的防火墻防御都是靜態(tài)的被動防御，對于XXXX對信息安全要求比較高的的網(wǎng)絡，形成動態(tài)的主動的防御體系是非常重要的，防火墻和入侵檢測系統(tǒng)可以形成互動的動態(tài)防御體系，實時的檢測、抵御各種網(wǎng)絡入侵活動。當入侵檢測發(fā)現(xiàn)異常的攻擊行為的時，產(chǎn)生報警并根據(jù)策略進行適當?shù)母深A（例如發(fā)送reset包），同時將報警信息發(fā)送到控制臺以通知網(wǎng)絡管理員并記錄日志，同步的，還可以將報警信息傳遞給防火墻，防火墻根據(jù)報警信息調(diào)整安全策略，對攻擊源采取進一步的更強有力的干預和控制行為（例如限制或切斷攻擊源的連接等）。網(wǎng)絡信息安全解決方案全文共63頁，當前為第29頁。除了入侵檢測技術能夠保障系統(tǒng)安全之外，下面幾點也是使用入侵檢測的原因：計算機安全管理的基本目標是規(guī)范單個用戶的行為以保護信息系統(tǒng)免受安全問題的困擾。入侵檢測系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對攻擊者進行懲罰，有助于上述目標的實現(xiàn)，并對那些試圖違反安全策略的人造成威懾。入侵檢測可以檢測其它安全手段無法防止的問題。攻擊者使用越來越容易得到的攻擊技術，能夠?qū)Υ罅肯到y(tǒng)進行非授權的訪問，尤其是連接到XXXX的系統(tǒng)，而當這些系統(tǒng)具有已知漏洞的時候這種攻擊更容易發(fā)生。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的：很多系統(tǒng)的操作系統(tǒng)不能得到及時的更新有的系統(tǒng)雖然可以及時得到補丁程序，但是管理員沒有時間或者資源進行系統(tǒng)更新，這個問題很普遍，特別是在那些具有大量主機或多種類型的軟硬件的環(huán)境中。正常工作可能需要開啟網(wǎng)絡服務，而這些協(xié)議是具有漏洞，容易被攻擊的。用戶和管理員在配置和使用系統(tǒng)時可能犯錯誤。在進行系統(tǒng)訪問控制機制設置時可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權限的錯誤操作。當黑客攻擊一個系統(tǒng)時，他們總是按照一定的步驟進行。首先是對系統(tǒng)或網(wǎng)絡的探測和分析，如果一個系統(tǒng)沒有配置入侵檢測，攻擊者可以自由的進行探測而不被發(fā)現(xiàn)，這樣很容易找到最佳攻入點。如果同樣的系統(tǒng)配置了入侵檢測，則會對攻擊者的行動帶來一定難度，它可以識別可疑探測行為，阻止攻擊者對目標系統(tǒng)的訪問，或者對安全人員報警以便采取響應措施阻止攻擊者的下一步行動。入侵檢測證實并且詳細記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡安全管理方案時，通常需要證實網(wǎng)絡很可能或者正在受到攻擊。此外，攻擊的頻率和特征有助于選擇保護網(wǎng)絡免受相應攻擊的安全手段。網(wǎng)絡信息安全解決方案全文共63頁，當前為第30頁。在入侵檢測運行了一段時間后，系統(tǒng)使用模式和檢測問題變得明顯，這會使系統(tǒng)的安全設計與管理的問題暴露出來，在還沒有造成損失的時候進行糾正。網(wǎng)絡信息安全解決方案全文共63頁，當前為第30頁。即使當入侵檢測不能阻止攻擊時，它仍可以收集該攻擊的可信的詳細信息進行事件處理和恢復，此外，這些信息在某些情況下可以作為犯罪的佐證?？傊?，入侵檢測的根本意義在于發(fā)現(xiàn)網(wǎng)絡中的異常。管理人員需要了解網(wǎng)絡中正在發(fā)生的各種活動，需要在攻擊到來之前發(fā)現(xiàn)攻擊行為，需要識別異常行為，需要有效的工具進行針對攻擊行為以及異常的實時和事后分析?！爸闄嗍蔷W(wǎng)絡安全的關鍵”，這使得入侵檢測成為其它許多安全手段，如安全網(wǎng)管系統(tǒng)的基礎。入侵檢測系統(tǒng)部署后系統(tǒng)網(wǎng)絡拓撲圖如圖1.6所示：網(wǎng)絡信息安全解決方案全文共63頁，當前為第31頁。圖1.6入侵檢測系統(tǒng)部署后系統(tǒng)網(wǎng)絡拓撲圖網(wǎng)絡信息安全解決方案全文共63頁，當前為第31頁。VPN系統(tǒng)設計VPN系統(tǒng)部署意義對企業(yè)來說，從外部對內(nèi)部資源的訪問已經(jīng)達到強烈的需求。早些時候，主要是通過DDN/幀中繼等租賃線路來實現(xiàn)，其高昂的價格和擴充方面的缺陷是主要的問題。隨著Internet的發(fā)展，虛擬專用網(wǎng)（VPN）成為一種新的選擇。VPN借用成熟的IPSec技術提供在公網(wǎng)上實現(xiàn)的更加便宜，更加靈活的服務。IPSecVPN在固定的site-to-site方面的方案更高效，但是對于遠程接入的移動用戶，從很多方面（從購買到維護），仍然是價格高昂，而且很多時候是無法實施的。SSLVPN技術就是在這種情況下引起重視，它可以提供移動用戶安全而且簡單的接入方案。相對于傳統(tǒng)的VPN技術，SSLVPN是用另外一種不同的方法在公用網(wǎng)絡上傳輸私有數(shù)據(jù)。它不是依靠終端用戶在公司筆記本上配置客戶端，SSLVPN使用SSL/HTTPS技術作為安全傳輸機制。這種機制在所有的標準Web瀏覽器上都有，不用額外的軟件實現(xiàn)。使用SSLVPN，在移動用戶和內(nèi)部資源之間的連接通過應用層的Web連接實現(xiàn)，而不是像IPSecVPN在網(wǎng)絡層開放的“通道”。SSL對移動用戶是理想的技術，因為：SSL無需被加載到終端設備上SSL無需終端用戶配置SSL無需被限于公司筆記本，只要有標準瀏覽器即可使用SSL對大部分用戶來講是熟悉的，即便是沒有技術背景的用戶。它已經(jīng)被安裝到任何一臺可以通過標準Web瀏覽器訪問Internet的設備上，獨立于任何操作系統(tǒng)，所以操作系統(tǒng)的變化并不需要對SSL進行更新。而且因為SSLVPN在應用層實現(xiàn)，對應用的更進一步的細化控制也成為可能，使它對移動員工和來自非安全點的用戶來說尤為理想。網(wǎng)絡信息安全解決方案全文共63頁，當前為第32頁。如果管理員需要允許來自非“信任”（即在公司的控制之下）點的移動員工和其他用戶訪問公司的特定資源，那么SSLVPN可以很好的做到這一點。它被設計用來解決怎樣使遠程/移動員工和伙伴/客戶從任何地方安全地訪問管理員限定的特定公司資源。SSLVPN允許管理員實現(xiàn)很細化的訪問控制，指定URL，文件或主機層次這樣的應用。這種功能減少了從無保護點、非信任網(wǎng)絡或非授權用戶訪問公司資源帶來的風險。其結(jié)果，SSLVPN給用戶帶來能夠從任何地方通過Web方式訪問公司資源的便利。網(wǎng)絡信息安全解決方案全文共63頁，當前為第32頁。VPN系統(tǒng)部署方式目前ERP系統(tǒng)、以及將來的OA系統(tǒng)等應用無法適應移動用戶和駐外辦事處的訪問需要，如果使用防火墻配置映射，對外發(fā)布ERP等系統(tǒng)，很可能成為網(wǎng)絡黑客直接攻擊的對象。由于公司出差用戶需要通過互聯(lián)網(wǎng)訪問ERP等系統(tǒng)，其應用如銷部門員工需要訪問經(jīng)銷系統(tǒng)，為了防止在公網(wǎng)上傳輸?shù)臉I(yè)務數(shù)據(jù)和敏感信息（如網(wǎng)頁URL地址、用戶ID等）不被外界人員非法竊取或篡改。我們建議部署VPN系統(tǒng)，VPN部署建議使用IPSEC+SSLVPN結(jié)合的方式，駐外辦事處和總部建立IPSECVPN，移動用戶采用基于SSL的加密通訊方式，通過互聯(lián)網(wǎng)，利用通用的網(wǎng)頁瀏覽器（https方式），使用戶能夠安全、方便地訪問應用系統(tǒng)，有利于ERP等系統(tǒng)擴展，資源權限管理。具體的部署建議如下（以ERP系統(tǒng)部署為例）：在實施過程用多合一網(wǎng)關替換市區(qū)廠區(qū)現(xiàn)有的防火墻。把需要驗證訪問的服務器（ERP系統(tǒng)服務器）創(chuàng)建為資源，供驗證訪問。根據(jù)訪問權限和訪問資源分別建立用戶組，如訪問ERP系統(tǒng)為一組，網(wǎng)絡管理員為一組，并根據(jù)用戶組定義不同的訪問權限。網(wǎng)絡管理員可以遠程應急解決系統(tǒng)故障、網(wǎng)絡故障、應用故障等，大大的提高了工作效率。當公司員工需要登錄ERP系統(tǒng)時，使用https://域名或者https://IP地址，或者在公司網(wǎng)站設置鏈接，外網(wǎng)用戶點擊頁面鏈接即跳轉(zhuǎn)到SSLVPN登錄界面，方便用戶登錄SSLVPN系統(tǒng),用戶登錄驗證成功后自動跳轉(zhuǎn)到ERP登錄系統(tǒng)。根據(jù)用戶的訪問權限設置不同的認證級別，VPN網(wǎng)關除支持簡單的用戶名/口令認證機制外，還支持雙向數(shù)字證書認證、動態(tài)口令認證和雙因素認證等更可靠的認證機制，建議用戶使用令牌Key+用戶名/口令雙因素認證方式，有效避免用戶名口令被窺探和竊取后導致嚴重損失，同時可以解決目前ERP系統(tǒng)、銷售系統(tǒng)只使用靜態(tài)口令的缺陷，降低公司外用戶未授權登錄系統(tǒng)的機率。使用VPN安全網(wǎng)關強大的日志審計功能，詳細記錄登錄用戶信息，登錄時間，訪問資源進行審計，形成完整的系統(tǒng)日志，對那些試圖違反公司規(guī)定的人造成威懾。VPN網(wǎng)關支持基于IP、端口、時間以及URL等訪問控制方式，建議限制登錄用戶的訪問權限（https://IP地址或域名）。網(wǎng)絡信息安全解決方案全文共63頁，當前為第33頁。通過VPN網(wǎng)關連接后臺資源，病毒、蠕蟲等難以偵測后臺網(wǎng)絡，所以后使得后臺資源更為安全。網(wǎng)絡信息安全解決方案全文共63頁，當前為第33頁。通過VPN的客戶端安全檢查功能，對訪問ERP系統(tǒng)的客戶端進行安全檢查，檢查終端具有相關程序、進程、文件、系統(tǒng)補丁等（如檢查登錄用戶是否安全趨勢、symantec等防病毒軟件，若有安裝，可以正常訪問，若沒有安裝，提示無法訪問，可設置跳轉(zhuǎn)到安裝殺毒軟件的web頁面）。用戶訪問完成后，推出頁面可設置自動清除cookie、臨時文件、歷史記錄等，防止用戶登錄信息的泄露。9.利用VPN安全網(wǎng)關可以實現(xiàn)單點登錄功能，除了在防火墻上設置只允許VPN安全網(wǎng)關訪問服務器，也可以在應用程序中限制登錄源地址，最大限度的保證了應用系統(tǒng)安