信息安全建設(shè)-整體方案V1.0

信息系統(tǒng)安全建設(shè)建議方案第54頁共54頁信息系統(tǒng)安全建設(shè)建議方案

目錄1、 概述 42、 網(wǎng)絡(luò)現(xiàn)狀 52.1. 網(wǎng)絡(luò)現(xiàn)狀 52.2. 網(wǎng)絡(luò)現(xiàn)狀拓?fù)涫疽鈭D 63、 信息安全分析 63.1. 資產(chǎn) 63.2. 弱點 63.3. 威脅 73.3.1 被動攻擊產(chǎn)生的威脅 73.3.2 主動攻擊產(chǎn)生的威脅 83.3.3 來自內(nèi)部的安全威脅分析 83.3.4 網(wǎng)絡(luò)病毒威脅 93.4. 風(fēng)險 104、 安全需求分析 104.1. 邊界訪問控制需求分析 114.2. 入侵檢測/防御需求分析 114.3. 防病毒需求分析 114.4. 用戶身份認(rèn)證和授權(quán)需求分析 124.5. 網(wǎng)絡(luò)傳輸安全需求分析 124.6. 內(nèi)容過濾安全需求分析 134.7. 上網(wǎng)行為管理的需求 134.8. 反垃圾郵件的需求 134.9. 安全審計需求 134.10. 終端成為邊界帶來新的需求 135、 信息安全體系建設(shè) 145.1. 建設(shè)原則 145.2. 安全建設(shè)的思路和方法 155.3. 安全域劃分 156、 信息安全方案設(shè)計 166.1. 安全網(wǎng)關(guān)(UTM)設(shè)計 176.1.1 部署方案 176.1.2 系統(tǒng)功能 196.2. 入侵檢測系統(tǒng)(IDS)設(shè)計 226.2.1 部署方案 236.2.2 系統(tǒng)功能 236.3. 脆弱性掃描系統(tǒng)設(shè)計（漏洞掃描） 276.3.1 部署方案 286.3.2 系統(tǒng)功能 286.3.3 系統(tǒng)作用 296.4. 網(wǎng)絡(luò)信息安全審計系統(tǒng)設(shè)計 296.4.1 部署方案 306.4.2 系統(tǒng)功能 316.5. 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計（終端管理） 316.5.1 部署方案 326.5.2 系統(tǒng)功能 347、 安全運營中心（SOC）建設(shè)方案 367.1. 安全運營中心 367.1.1 平臺軟件架構(gòu) 377.1.2 面向業(yè)務(wù)的資產(chǎn)與風(fēng)險管理 387.1.3 安全事件和漏洞監(jiān)控 407.1.4 多種響應(yīng)方式 417.1.5 多種關(guān)聯(lián)分析方法 427.1.6 狀態(tài)監(jiān)控 427.1.7 拓?fù)渑cGIS展示 437.1.8 豐富的知識庫 458、 售后服務(wù)與培訓(xùn) 478.1. 售后服務(wù) 478.1.1 技術(shù)支持隊伍 478.1.2 組織結(jié)構(gòu) 478.1.3 服務(wù)流程 498.2. 產(chǎn)品相關(guān)的服務(wù)支持 498.2.1 保修服務(wù) 498.2.2 事件庫更新服務(wù) 508.2.3 軟件版本升級服務(wù) 508.2.4 軟件介質(zhì)保換服務(wù) 518.3. 技術(shù)支持 518.3.1 問題解答 518.3.2 信息快遞與通告 528.3.3 支持時間 528.4. 產(chǎn)品故障級別及解決時限 528.4.1 產(chǎn)品故障級別劃分說明 538.5. 相關(guān)培訓(xùn) 539、 安全產(chǎn)品清單 54概述同時隨著全球化和網(wǎng)絡(luò)化，全球信息化建設(shè)的加快對我國的影響越來越大,網(wǎng)絡(luò)的飛速發(fā)展以及企業(yè)對計算機(jī)的依賴性逐漸增強(qiáng)，隨之而來的網(wǎng)絡(luò)信息安全問題日益突出。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)信息安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全球平均每20秒鐘就發(fā)生一起網(wǎng)絡(luò)計算機(jī)侵入事件。在我國，每年因黑客入侵、計算機(jī)病毒的破壞給企業(yè)造成的損失令人觸目驚心。網(wǎng)絡(luò)防黑客、防病毒等安全問題也必須引起相關(guān)企業(yè)、事業(yè)單位的重視。近兩年來，黑客攻擊、網(wǎng)絡(luò)病毒等等已經(jīng)屢見不鮮，而且一次比一次破壞力大，對網(wǎng)絡(luò)信息安全造成的威脅也越來越大，一旦網(wǎng)絡(luò)存在安全隱患，遭受重大損失在所難免。由于利益的驅(qū)使，針對信息系統(tǒng)的安全威脅越來越多，為了有效防范和化解風(fēng)險，保證**集團(tuán)信息系統(tǒng)平穩(wěn)運行和業(yè)務(wù)持續(xù)開展，須建立**集團(tuán)的信息安全保障體系，抵御外來和內(nèi)在的信息安全威脅，提升整體信息安全管理水平和抗風(fēng)險能力，以增強(qiáng)**集團(tuán)的信息安全風(fēng)險防范能力。根據(jù)**集團(tuán)網(wǎng)絡(luò)信息系統(tǒng)的安全現(xiàn)狀和基本安全構(gòu)想，設(shè)計了以下網(wǎng)絡(luò)信息安全建議方案，以此來保障**集團(tuán)網(wǎng)絡(luò)信息系統(tǒng)的有效運維和信息資源的安全性、可用性和完整性（CIA屬性）。本項目具體的網(wǎng)絡(luò)信息安全目標(biāo)即：建立一個安全屏障，保護(hù)**集團(tuán)的網(wǎng)絡(luò)信息系統(tǒng)不受來自網(wǎng)絡(luò)開放所帶來的網(wǎng)絡(luò)信息安全問題的影響，和通信數(shù)據(jù)安全的非法破壞。對內(nèi)是要建立一個安全堡壘，控制網(wǎng)絡(luò)內(nèi)部用戶非授權(quán)通信和進(jìn)行的一些有意的、無意的破壞活動，保證網(wǎng)絡(luò)系統(tǒng)信息平臺和應(yīng)用系統(tǒng)平臺的正常運行。通過系統(tǒng)的信息安全體系規(guī)劃和建設(shè)，加強(qiáng)內(nèi)部控制和內(nèi)部管理，降低運營風(fēng)險，建立高效、統(tǒng)一、運轉(zhuǎn)協(xié)調(diào)的管理體制。網(wǎng)絡(luò)現(xiàn)狀網(wǎng)絡(luò)現(xiàn)狀**集團(tuán)已經(jīng)配置了當(dāng)務(wù)之急的網(wǎng)絡(luò)系統(tǒng)設(shè)備和基本的技術(shù)防范設(shè)備，如路由器、交換機(jī)、防病毒軟件等，如并制定了較為詳細(xì)具體的管理制度，對管理人員也作了細(xì)致的分工；系統(tǒng)與外部網(wǎng)絡(luò)已經(jīng)實現(xiàn)了邏輯隔離；系統(tǒng)內(nèi)部也劃分了基本的安全域；系統(tǒng)安全策略已基本形成并趨于健全。目前的拓?fù)涫疽鈭D如下：網(wǎng)絡(luò)現(xiàn)狀拓?fù)涫疽鈭D信息安全分析資產(chǎn)在本方案中，**集團(tuán)網(wǎng)絡(luò)的相關(guān)資產(chǎn)包括：有形資產(chǎn)：有通信基礎(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻等）、主機(jī)（含外購的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、郵件服務(wù)器等）、外圍設(shè)備、存儲設(shè)備、數(shù)據(jù)介質(zhì)等構(gòu)成的IT支撐系統(tǒng)；無形資產(chǎn)：業(yè)務(wù)系統(tǒng)，業(yè)務(wù)數(shù)據(jù)，數(shù)字化的業(yè)務(wù)相關(guān)信息與知識（以文檔或程序的形式存在）。本次**集團(tuán)網(wǎng)絡(luò)信息安全建設(shè)的內(nèi)容就在于保障上述有形及無形資產(chǎn)。弱點資產(chǎn)包括有形資產(chǎn)和無形資產(chǎn)兩部分，相應(yīng)的弱點主要包括：通信基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備、主機(jī)、外圍設(shè)備、存儲設(shè)備、數(shù)據(jù)介質(zhì)等“硬件”的物理安全弱點。主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；主機(jī)、可管理的網(wǎng)絡(luò)設(shè)備等包含可設(shè)置的“軟件”的資產(chǎn)的安全弱點（這些弱點的原因可能是軟件缺陷，也可能是配置不當(dāng)或者人員使用不當(dāng)）；保存在數(shù)據(jù)介質(zhì)中的業(yè)務(wù)數(shù)據(jù)、數(shù)字化的業(yè)務(wù)相關(guān)信息與知識的安全弱點。人的脆弱性：人的安全意識不足導(dǎo)致的各種被攻擊可能，如接受未知數(shù)據(jù)，設(shè)置弱口令等。安全技術(shù)的脆弱性：操作系統(tǒng)和數(shù)據(jù)庫的安全脆弱性，系統(tǒng)配置的安全脆弱性，訪問控制機(jī)制的安全脆弱性，測評和認(rèn)證的脆弱性。運行的脆弱性：監(jiān)控系統(tǒng)的脆弱性，無入侵檢測設(shè)備，響應(yīng)和恢復(fù)機(jī)制的不完善。威脅威脅就是將會對資產(chǎn)造成不利影響的潛在的事件或行為，包括自然的、故意的以及偶然的情況。威脅至少包含以下屬性：動機(jī)（自然威脅除外）、能力、影響方式等。可以說威脅是不可避免的，我們必須采取有效的措施，降低各種情況造成的威脅。被動攻擊產(chǎn)生的威脅網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的被動攻擊威脅局域網(wǎng)/骨干網(wǎng)線路的竊聽；監(jiān)視沒被保護(hù)的通信線路；破譯弱保護(hù)的通信線路信息；信息流量分析；利用被動攻擊為主動攻擊創(chuàng)造條件以便對網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備進(jìn)行破壞，如截獲用戶的賬號或密碼以便對網(wǎng)絡(luò)設(shè)備進(jìn)行破壞；機(jī)房和處理信息終端的電磁泄露。區(qū)域邊界/外部連接的被動攻擊威脅截取末受保護(hù)的網(wǎng)絡(luò)信息；流量分析攻擊；遠(yuǎn)程接入連接。計算環(huán)境的被動攻擊威脅獲取鑒別信息和控制信息；獲取明文或解密弱密文實施重放攻擊。支持性基礎(chǔ)設(shè)施的被動攻擊威脅機(jī)房和處理信息終端的信息電磁泄露；獲取鑒別信息和控制信息。主動攻擊產(chǎn)生的威脅對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的主動攻擊威脅一是可用帶寬的損失攻擊，如網(wǎng)絡(luò)阻塞攻擊、擴(kuò)散攻擊等。二是網(wǎng)絡(luò)管理通訊混亂使網(wǎng)絡(luò)基礎(chǔ)設(shè)施失去控制的攻擊。最嚴(yán)重的網(wǎng)絡(luò)攻擊是使網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行控制失靈。如對網(wǎng)絡(luò)運行和設(shè)備之間通信的直接攻擊，它企圖切斷網(wǎng)管人員與基礎(chǔ)設(shè)施的設(shè)備之間的通信，比如切斷網(wǎng)管人員與交換機(jī)、路由器之間的通信，使網(wǎng)管人員失去對它們的控制。三是網(wǎng)絡(luò)管理通信的中斷攻擊，它是通過攻擊網(wǎng)絡(luò)底層設(shè)備的控制信號來干擾網(wǎng)絡(luò)傳輸?shù)挠脩粜畔?；引入病毒攻擊；引入惡意代碼攻擊。對信息系統(tǒng)及數(shù)據(jù)主動攻擊威脅試圖阻斷或攻破保護(hù)機(jī)制(內(nèi)網(wǎng)或外網(wǎng))；偷竊或篡改信息；利用社會工程攻擊欺騙合法用戶(如匿名詢問合法用戶賬號)；偽裝成合法用戶和服務(wù)器進(jìn)行攻擊；IP地址欺騙攻擊；拒絕服務(wù)攻擊；利用協(xié)議和基礎(chǔ)設(shè)施的安全漏洞進(jìn)行攻擊；利用遠(yuǎn)程接入用戶對內(nèi)網(wǎng)進(jìn)行攻擊；建立非授權(quán)的網(wǎng)絡(luò)連接；監(jiān)測遠(yuǎn)程用戶鏈路、修改傳輸數(shù)據(jù)；解讀未加密或弱加密的傳輸信息；惡意代碼和病毒攻擊。計算環(huán)境的主動攻擊威脅引入病毒攻擊；引入惡意代碼攻擊；冒充超級用戶或其他合法用戶；拒絕服務(wù)和數(shù)據(jù)的篡改；偽裝成合法用戶和服務(wù)器進(jìn)行攻擊；利用配置漏洞進(jìn)行攻擊；利用系統(tǒng)脆弱性(操作系統(tǒng)安全脆弱性、數(shù)據(jù)庫安全脆弱性)實施攻擊；利用服務(wù)器的安全脆弱性進(jìn)行攻擊；利用應(yīng)用系統(tǒng)安全脆弱性進(jìn)行攻擊。支持性基礎(chǔ)設(shè)施的主動攻擊威脅對未加密或弱加密的通信線路的搭線竊聽；用獲取包含錯誤信息的證書進(jìn)行偽裝攻擊；拒絕服務(wù)攻擊(如攻擊目錄服務(wù)等)；中間攻擊；攻擊PIN獲取對用戶私鑰的訪問、在支持性基礎(chǔ)設(shè)施的組件中引入惡意代碼攻擊、在密鑰分發(fā)期間對密鑰實施攻擊、對PKI私鑰實施密碼攻擊、對密鑰恢復(fù)后的密鑰進(jìn)行末授權(quán)訪問、在用戶認(rèn)證期間使用戶不能生成失效信息；利用備份信息進(jìn)行攻擊。來自內(nèi)部的安全威脅分析內(nèi)部網(wǎng)絡(luò)的失誤操作行為由于人員的技術(shù)水平的局限性以及經(jīng)驗的不足，或?qū)W(wǎng)絡(luò)信息安全的漫不經(jīng)心或者誤操作可能會出現(xiàn)各種意想不到的失誤，勢必對系統(tǒng)或者網(wǎng)絡(luò)的安全產(chǎn)生較大的影響。鑒于現(xiàn)在很多網(wǎng)絡(luò)病毒通過郵件方式進(jìn)行傳播，如果內(nèi)部辦公人員不小心打開某個帶有病毒或“特洛伊木馬”程序的郵件附件，而有部分員工設(shè)置的機(jī)器密碼不符合密碼設(shè)置的安全規(guī)定，或者未及時為主機(jī)和PC機(jī)打上patch及hotfix，那么**集團(tuán)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定就受到了極大的威脅；源自內(nèi)部網(wǎng)絡(luò)的惡意攻擊與破壞據(jù)統(tǒng)計，有70%的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)的內(nèi)部。對于網(wǎng)絡(luò)內(nèi)部的安全防范會明顯的弱于對于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，所以，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功，因此一旦攻擊成功，其強(qiáng)烈的攻擊目的也就必然促使了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。來自郵件、網(wǎng)頁、便攜機(jī)、可移動存儲設(shè)備的蠕蟲、病毒以及惡意代碼由于**集團(tuán)的核心業(yè)務(wù)系統(tǒng)與辦公用機(jī)處于一個安全域內(nèi)，一旦某臺辦公用機(jī)被侵入，整個**集團(tuán)的網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用都會很快被波及；自然災(zāi)害、火災(zāi)、水災(zāi)等人力不可抗拒因素。網(wǎng)絡(luò)病毒威脅在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計算機(jī)病毒的共性外，還具有一些新的特點，網(wǎng)絡(luò)病毒的這些新的特點都會對網(wǎng)絡(luò)與應(yīng)用造成極大的威脅。傳播的形式復(fù)雜多樣計算機(jī)病毒在網(wǎng)絡(luò)上一般是通過“工作站-服務(wù)器-工作站”的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣，通過網(wǎng)絡(luò)共享、服務(wù)漏洞、電子郵件等多種方式進(jìn)行傳播。病毒的智能化程序越來越高網(wǎng)絡(luò)病毒可以利用系統(tǒng)的漏洞進(jìn)行傳播或攻擊；在攜帶特洛伊木馬程序進(jìn)行對系統(tǒng)進(jìn)行遠(yuǎn)程破壞與控制；自身就有木馬功能，為系統(tǒng)開后門；散播拒絕服務(wù)攻擊點，對目標(biāo)采取分布式拒絕服務(wù)攻擊等等。難于徹底清除智能化的網(wǎng)絡(luò)病毒既可以像傳統(tǒng)病毒一下感染服務(wù)器或客戶端主機(jī)的應(yīng)用文件系統(tǒng)，也兼具網(wǎng)絡(luò)黑客技術(shù)的特點，通過各種途徑破壞服務(wù)器或客戶機(jī)的重要數(shù)據(jù)，通過電子郵件系統(tǒng)散播惡意代碼，設(shè)置系統(tǒng)后門，竊取系統(tǒng)的重要數(shù)據(jù)與機(jī)密信息等。病毒要完成這些復(fù)雜的動作，就要對系統(tǒng)進(jìn)行比較復(fù)雜的設(shè)置，對系統(tǒng)的影響也比較大，僅有防病毒軟件很難徹底地從系統(tǒng)上將病毒清除掉。破壞性大網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰，破壞服務(wù)器信息，造成巨大的直接和間接的經(jīng)濟(jì)損失。風(fēng)險由于網(wǎng)絡(luò)信息安全是一個系統(tǒng)工程，網(wǎng)絡(luò)上的攻擊行為和方法也急劇增長，造成的安全損失也越來越大，因此我們從黑客攻擊以及網(wǎng)絡(luò)蠕蟲病毒的角度對**集團(tuán)面臨的威脅進(jìn)行全面的分析，就是為了減少對其的安全威脅，把**集團(tuán)面臨的安全風(fēng)險控制在可接受的最理想的范圍內(nèi)。從**集團(tuán)的網(wǎng)絡(luò)結(jié)構(gòu)來看，目前所面臨的主要問題可以簡要歸納為：網(wǎng)段之間邊界不夠清晰，控制力度弱，病毒、攻擊等安全事件容易擴(kuò)散；多數(shù)業(yè)務(wù)網(wǎng)段間僅采用VLAN隔離，存在較大風(fēng)險；終端與重要服務(wù)器處于同一邏輯區(qū)域，重要信息服務(wù)器存在安全風(fēng)險；邊界復(fù)雜，缺乏對邊界策略的統(tǒng)一控制；網(wǎng)絡(luò)病毒，木馬利用網(wǎng)絡(luò)大肆傳播；存在IM/P2P、網(wǎng)絡(luò)游戲等濫用行為，影響工作效率和組織生產(chǎn)力；垃圾郵件防不勝防，成為病毒、木馬傳播的新載體。需要對終端用戶方便地進(jìn)行管理和審計，對用戶進(jìn)行準(zhǔn)入控制。安全需求分析根據(jù)**集團(tuán)信息系統(tǒng)的現(xiàn)狀以及風(fēng)險分析，我們認(rèn)為**集團(tuán)信息系統(tǒng)應(yīng)著重解決如下安全需求：邊界訪問控制需求分析**集團(tuán)信息系統(tǒng)的邊界之內(nèi)包含多個局域網(wǎng)以及計算資源組件。邊界環(huán)境是比較復(fù)雜的。如果在邊界沒有一個可集中控制訪問請求的措施，很容易被惡意攻擊者或其它企圖人員利用這些邊界進(jìn)行非法入侵。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務(wù)攻擊、SYNFlood攻擊、IP欺騙攻擊等等獲取系統(tǒng)權(quán)限，進(jìn)入系統(tǒng)內(nèi)部。所以需要對邊界部署訪問控制系統(tǒng)，有效地監(jiān)控內(nèi)部網(wǎng)和公共網(wǎng)之間的活動，并對數(shù)據(jù)進(jìn)行過濾與控制，保證內(nèi)部網(wǎng)絡(luò)的安全。入侵檢測/防御需求分析訪問控制系統(tǒng)可以靜態(tài)的實施訪問控制策略，防止一些非法的訪問等。但對利用合法的訪問手段或其它的攻擊手段（比如，利用內(nèi)部系統(tǒng)的漏洞等）對系統(tǒng)入侵和內(nèi)部用戶的入侵等是沒有辦法控制的。因此系統(tǒng)內(nèi)需要建設(shè)統(tǒng)一的符合國家規(guī)定的安全檢測機(jī)制，實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動的入侵檢測和分析，對非法信息予以過濾，提高系統(tǒng)整體安全性。防病毒需求分析防病毒必須立足于系統(tǒng)全網(wǎng)的角度，除了在終端部署放病毒產(chǎn)品控制病毒對終端的破壞，更應(yīng)該在網(wǎng)絡(luò)中部署安全產(chǎn)品，控制病毒的傳播。目前病毒的發(fā)展主要呈現(xiàn)以下幾個趨勢，通過了解這些背景情況，將有助于了解防病毒體系的技術(shù)要求。病毒與黑客程序相結(jié)合隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計算機(jī)之間的遠(yuǎn)程控制越來越方便，傳輸文件也變得非?？旖?，正因為如此，病毒與黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機(jī)密資料的丟失。病毒的傳播可能會具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。蠕蟲病毒更加泛濫其表現(xiàn)形式是郵件病毒會越來越多，這類病毒是由受到感染的計算機(jī)自動向用戶的郵件列表內(nèi)的所有人員發(fā)送帶毒文件，往往在郵件當(dāng)中附帶一些具有欺騙性的話語，由于是熟人發(fā)送的郵件，接受者往往沒有戒心。因此，這類病毒傳播速度非?？?，只要有一個用戶受到感染，就可以形成一個非常大的傳染面。病毒破壞性更大計算機(jī)病毒不再僅僅以侵占和破壞單機(jī)的資料為目的。木馬病毒的傳播使得病毒在發(fā)作的時候有可能自動聯(lián)絡(luò)病毒的創(chuàng)造者，或者采取DoS（拒絕服務(wù)）的攻擊。一方面可能會導(dǎo)致本機(jī)機(jī)密資料的泄漏，另一方面會導(dǎo)致一些網(wǎng)絡(luò)服務(wù)的中止。而蠕蟲病毒則會搶占有限的網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)堵塞。制作病毒的方法更簡單由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識越來越容易獲得。同時，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個具有極強(qiáng)殺傷力的病毒程序。用戶通過網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。病毒傳播速度更快，傳播渠道更多目前上網(wǎng)用戶已不再局限于收發(fā)郵件和網(wǎng)站瀏覽，此時，文件傳輸成為病毒傳播的另一個重要途徑。隨著網(wǎng)速的提高，在數(shù)據(jù)傳輸時間變短的同時，病毒的傳送時間會變得更加微不足道。同時，其它的網(wǎng)絡(luò)連接方式如ICQ、IRC也成為了傳播病毒的途徑。病毒的實時檢測更困難眾所周知，對待病毒應(yīng)以預(yù)防為主，如果發(fā)生了病毒感染，往往就已經(jīng)造成了不可挽回的損失，因此對網(wǎng)上傳輸?shù)奈募M(jìn)行實時病毒檢測成了亟待解決的重要問題。因此部署網(wǎng)關(guān)防病毒產(chǎn)品，控制病毒的傳播至關(guān)重要。用戶身份認(rèn)證和授權(quán)需求分析中心與下級機(jī)構(gòu)以及合作伙伴互聯(lián)過程中，要向特定的遠(yuǎn)程用戶或主機(jī)提供訪問許可，同時中心內(nèi)部業(yè)務(wù)人員在作業(yè)現(xiàn)場或出差在外，需要通過目前已知的所有上網(wǎng)方式接入到企業(yè)內(nèi)部網(wǎng)。也可在某些通過地址轉(zhuǎn)換方式上網(wǎng)的局域網(wǎng)以私有IP地址通過安全I(xiàn)P通道接入企業(yè)內(nèi)部網(wǎng)。這些數(shù)據(jù)傳輸中涉及到大量的身份認(rèn)證，確保機(jī)密性和不可抵賴性。主要需要認(rèn)證的用戶包括應(yīng)用系統(tǒng)用戶、數(shù)據(jù)用戶、操作系統(tǒng)用戶等。要求對關(guān)鍵業(yè)務(wù)、關(guān)鍵系統(tǒng)、關(guān)鍵數(shù)據(jù)的訪問采用認(rèn)證鑒別技術(shù)，保證合法用戶訪問合法數(shù)據(jù)。網(wǎng)絡(luò)傳輸安全需求分析中心與各級機(jī)構(gòu)之間以及移動用戶與信息中心進(jìn)行業(yè)務(wù)操作過程中，通過租用電信運營商線路或者通過INTERNET進(jìn)行數(shù)據(jù)業(yè)務(wù)的傳輸，在傳輸過程中，信息將面臨搭線竊聽、電磁信號分析都攻擊手段，通過這些攻擊手段，具有惡意行為的攻擊者可以竊取信息的內(nèi)容。對于**集團(tuán)業(yè)務(wù)、辦公信息等敏感內(nèi)容，將帶來較大的危害性。因此需要在信息傳輸兩端部署具有VPN能力的設(shè)備或者軟件保證傳輸安全。內(nèi)容過濾安全需求分析互聯(lián)網(wǎng)雖然給用戶帶來巨大的價值，但它也是非法信息傳播的溫床，反動、色情、暴力等信息在互聯(lián)網(wǎng)上隨處可見，垃圾郵件占據(jù)了大量的合法帶寬和用戶存儲資源。雖然國家有相關(guān)法律條例禁止這些不良信息，但僅僅依靠行政手段是無法達(dá)到徹底清除的目的。相比而言，技術(shù)手段則更加有效，需要安裝內(nèi)容過濾產(chǎn)品防止非法信息的傳播。上網(wǎng)行為管理的需求隨著互聯(lián)網(wǎng)的快速發(fā)展，即時通訊、P2P下載、網(wǎng)上炒股、在線視頻播放等應(yīng)用也變得日益廣泛。對于組織來說，這些應(yīng)用本身不屬于威脅的范疇，但會影響組織的工作效率，降低組織的生產(chǎn)力，因此需要進(jìn)行合理的控制。譬如，需要對P2P下載進(jìn)行速度限制，禁止網(wǎng)上炒股，等等。反垃圾郵件的需求郵件應(yīng)用是互聯(lián)網(wǎng)上最基本的網(wǎng)絡(luò)應(yīng)用，但由于互聯(lián)網(wǎng)的開放性，垃圾郵件的問題也同樣突出，并日漸成為用戶的夢魘。垃圾郵件的危害不僅在于要占用用戶大量的時間去對郵件進(jìn)行篩選、處理，還因為垃圾郵件本身還是病毒、木馬等威脅傳播的重要途徑，會對用戶的終端和業(yè)務(wù)網(wǎng)絡(luò)造成危害。為了凈化網(wǎng)絡(luò)流量，減少垃圾郵件的危害，在網(wǎng)絡(luò)的邊界處需要部署反垃圾郵件設(shè)備。安全審計需求日志審計是信息安全的重要方面，它是實現(xiàn)安全事件的可追查性、不可否認(rèn)性的重要數(shù)據(jù)環(huán)節(jié)。對于**集團(tuán)信息系統(tǒng)由于數(shù)據(jù)來源多、數(shù)據(jù)量大、數(shù)據(jù)類型復(fù)雜，將面臨大量的攻擊事件。良好的安全審計能力是分析**集團(tuán)信息系統(tǒng)安全狀況的必要條件。終端成為邊界帶來新的需求隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的勢態(tài)發(fā)現(xiàn)了變化，終端正在成為新的網(wǎng)絡(luò)邊界。首先，隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，終端接入網(wǎng)絡(luò)的方式已經(jīng)不再局限于局域網(wǎng)接口，包括雙網(wǎng)卡，WiFi，CDMA/GPRS上網(wǎng)卡，Modem撥號，紅外，藍(lán)牙…，這些接口已經(jīng)成為企業(yè)內(nèi)部網(wǎng)絡(luò)的另一道邊界。不能管理內(nèi)部PC通過這些接口上網(wǎng)，就類似在防火墻的城堡下，存在很多沒有安全警衛(wèi)的后門、小道，內(nèi)部內(nèi)部網(wǎng)絡(luò)的安全性無法保障。其次，在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，終端具有固定的辦公位置，內(nèi)部網(wǎng)絡(luò)相對是靜態(tài)的。然而隨著移動終端的普及（便攜機(jī)銷售超過臺式機(jī)），產(chǎn)生了移動辦公方式，內(nèi)部網(wǎng)絡(luò)上接入的終端變得動態(tài)化。一方面，員工的終端可能在多個位置動態(tài)接入內(nèi)部網(wǎng)絡(luò)；另一方面，各種非公終端也可能接入內(nèi)網(wǎng)（包括員工個人PC，以及合作伙伴，客戶的PC）。隨著用戶PC的不斷接入，內(nèi)部網(wǎng)絡(luò)的邊界在不斷擴(kuò)充。內(nèi)部網(wǎng)絡(luò)的動態(tài)化，需要我們從另外一個視角來看邊界安全問題。在內(nèi)網(wǎng)邊界動態(tài)變化的過程中，我們必須在新加入的PC這一新的邊界上，進(jìn)行必要的安全檢察，配置必要的安全防護(hù)，才能滿足網(wǎng)絡(luò)安全的需要。目前大多數(shù)的終端安全解決方案中，網(wǎng)關(guān)安全和終端安全是孤立起來考慮的，不能做到有效的協(xié)同。但隨著終端的邊界化，只有站在網(wǎng)關(guān)的視點來看待終端安全，才能確保內(nèi)網(wǎng)的真正安全。要使得網(wǎng)關(guān)和終端能夠完美融合，真正的起到縱深防御，遙相呼應(yīng)，需要在網(wǎng)關(guān)產(chǎn)品上整合終端安全策略，在網(wǎng)關(guān)產(chǎn)品上對內(nèi)網(wǎng)終端進(jìn)行統(tǒng)一的安全管理。信息安全體系建設(shè)建設(shè)原則在設(shè)計技術(shù)方案時遵從以下原則：實用性原則**集團(tuán)的安全體系建設(shè)將始終遵循“面向應(yīng)用，注重實效”的指導(dǎo)思想。緊密結(jié)合**集團(tuán)現(xiàn)有網(wǎng)絡(luò)和應(yīng)用情況，充分保證原有系統(tǒng)和結(jié)構(gòu)的可用性。完整性原則**集團(tuán)網(wǎng)絡(luò)安全建設(shè)必需保證整個防御體系的完整性。在安全體系建設(shè)中，我們采取多種安全防御的技術(shù)和措施來保障**集團(tuán)的網(wǎng)絡(luò)系統(tǒng)安全運行。整體均衡原則要對信息系統(tǒng)進(jìn)行全面均衡的保護(hù)，要提高整個信息系統(tǒng)的"安全最低點"的安全性能，保證各個層面防護(hù)的均衡。安全目標(biāo)與效率、投入之間的平衡原則要綜合考慮安全目標(biāo)與效率、投入之間的均衡關(guān)系，確定合適的平衡點，不能為了追求安全而犧牲效率，或投入過大。區(qū)域等級原則要將信息系統(tǒng)按照合理的原則劃分為不同安全等級，分區(qū)域分等級進(jìn)行安全防護(hù)。動態(tài)發(fā)展原則安全防范體系的建設(shè)不是一個一勞永逸的工作，而是一個長期不斷完善的過程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整而不斷升級發(fā)展。節(jié)省投資原則在滿足上述原則的基礎(chǔ)上，應(yīng)盡量作到節(jié)省設(shè)備采購?fù)顿Y，不要形成一種“用價值10元的設(shè)備來保護(hù)價值5元的資產(chǎn)”的局面。安全建設(shè)的思路和方法建議首先采用安全域劃分方法將整個信息系統(tǒng)分成多個安全等級不同的相對獨立的子系統(tǒng)，既按照業(yè)務(wù)流程的不同層面劃分為不同的安全域針對每個安全域或安全子域來標(biāo)識其中的關(guān)鍵資產(chǎn)，分析所存在的安全隱患和面臨的安全風(fēng)險，然后給出相應(yīng)的保護(hù)措施。由于不同的安全域之間存在著數(shù)據(jù)流，這時候就需要考慮安全域邊界的訪問控制、身份驗證、信息過濾、防病毒、入侵防御和審計等安全策略的實施。根據(jù)對市場已有的安全技術(shù)分析，功能全面、維護(hù)簡單且性價比較高的UTM類產(chǎn)品是比較好的選擇。UTM產(chǎn)品提供了完整的邊界安全保護(hù)能力，可以有效的實施訪問控制、入侵檢測與防護(hù)、防病毒、應(yīng)用層信息過濾、流量管理、帶寬管理等能力。同時由于一臺UTM設(shè)備即可實現(xiàn)較為完整的邊界安全解決方案，將大大降低用戶采購成本和維護(hù)成本。安全域劃分網(wǎng)絡(luò)的建設(shè)是由業(yè)務(wù)系統(tǒng)的驅(qū)動建設(shè)而成的，初始的網(wǎng)絡(luò)建設(shè)大多沒有統(tǒng)一規(guī)劃，有些系統(tǒng)是獨立的網(wǎng)絡(luò)，有些系統(tǒng)又是共用一個網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級、使用的對象、面對的威脅和風(fēng)險各不相同。當(dāng)前**集團(tuán)網(wǎng)絡(luò)系統(tǒng)是一個龐大復(fù)雜的系統(tǒng)，在支持業(yè)務(wù)不斷發(fā)展的前提下，如何保證系統(tǒng)的安全性是一個巨大的挑戰(zhàn)，對系統(tǒng)進(jìn)行區(qū)域劃分，進(jìn)行層次化、有重點的保護(hù)是有保證系統(tǒng)和信息安全的有效手段。按數(shù)據(jù)分類分區(qū)域分等級保護(hù)，就是按數(shù)據(jù)分類進(jìn)行分級，按數(shù)據(jù)分布進(jìn)行區(qū)域劃分，根據(jù)區(qū)域中數(shù)據(jù)的分類確定該區(qū)域的安全風(fēng)險等級。目的是把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，分解為更小區(qū)域的安全保護(hù)問題。這是實現(xiàn)大規(guī)模復(fù)雜信息的系統(tǒng)安全等級保護(hù)的有效方法。根據(jù)**集團(tuán)信息系統(tǒng)的特點將整個**集團(tuán)信息系統(tǒng)分為如下安全域：中心接入域：包括外聯(lián)區(qū)（與公網(wǎng)相連）、內(nèi)聯(lián)區(qū)（與二級機(jī)構(gòu)相連）、DMZ區(qū)（對外公開服務(wù)器）以及內(nèi)部網(wǎng)中的總部大樓和信息中心的接入部分。中心辦公域：總部工作人員辦公用網(wǎng)絡(luò)。中心生產(chǎn)域：生產(chǎn)終端所在網(wǎng)絡(luò)。中心服務(wù)域：所有的業(yè)務(wù)生產(chǎn)系統(tǒng)的服務(wù)器都放置在這個區(qū)域。二級機(jī)構(gòu)辦公域：二級機(jī)構(gòu)的辦公網(wǎng)絡(luò)，每個具體的二級機(jī)構(gòu)辦公域形成一個獨立子安全域。二級機(jī)構(gòu)生產(chǎn)域：二級機(jī)構(gòu)的生產(chǎn)網(wǎng)絡(luò)，每個具體的二級機(jī)構(gòu)生產(chǎn)域形成一個獨立子安全域。信息安全方案設(shè)計拓?fù)涫疽鈭D：安全網(wǎng)關(guān)(UTM)設(shè)計部署方案根據(jù)**集團(tuán)網(wǎng)絡(luò)的現(xiàn)狀和日后的發(fā)展需要，通過安全域劃分原則部署和配置我公司的一體化安全網(wǎng)關(guān)（UTM）設(shè)備：1、中心接入域：合法接入控制：接入域內(nèi)各子域邊界的訪問控制以及對應(yīng)用數(shù)據(jù)進(jìn)行安全過濾，對接入的數(shù)據(jù)或者用戶進(jìn)行身份認(rèn)證與授權(quán)。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的病毒傳播?？咕芙^服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。傳輸安全：接入域和其他安全域的互聯(lián)方式可能需要加密傳輸，因此需要對敏感數(shù)據(jù)采用VPN技術(shù)進(jìn)行加密。2、中心辦公域：合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。抗拒絕服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。防泄密：監(jiān)控接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、FTP、WEB訪問等。通過控制文件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。內(nèi)容過濾：對基于標(biāo)準(zhǔn)協(xié)議的內(nèi)容進(jìn)行過濾，防止色情、非法信息的下載與傳播。上網(wǎng)行為管理：對IM應(yīng)用進(jìn)行管理和控制，對P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。防垃圾郵件：防止郵件炸彈攻擊，對垃圾郵件進(jìn)行過濾，提升工作效率。3、中心生產(chǎn)域:合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。安全審計：對所有與業(yè)務(wù)相關(guān)的通訊進(jìn)行紀(jì)錄，保證可進(jìn)行事后分析和可追查性檢查。4、中心服務(wù)域:合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播?？咕芙^服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。5、二級機(jī)構(gòu)辦公域：合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播?？咕芙^服務(wù)攻擊：根據(jù)網(wǎng)絡(luò)異常行為判斷出拒絕服務(wù)攻擊并予以阻斷。防泄密：監(jiān)控接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、FTP、WEB訪問等。通過控制文件傳輸以及紀(jì)錄文件傳輸行為兩種方式進(jìn)行防泄密保護(hù)。內(nèi)容過濾：對基于標(biāo)準(zhǔn)協(xié)議的內(nèi)容進(jìn)行過濾，防止色情、非法信息的下載與傳播。上網(wǎng)行為管理：對IM應(yīng)用進(jìn)行管理和控制，對P2P/網(wǎng)絡(luò)視頻等行為進(jìn)行阻斷或者限流，確保帶寬的有效利用。防垃圾郵件：防止郵件炸彈攻擊，對垃圾郵件進(jìn)行過濾，提升工作效率。6、二級機(jī)構(gòu)生產(chǎn)域合法接入控制：僅允許可信主機(jī)進(jìn)入辦公域，同時僅允許有業(yè)務(wù)需求的主機(jī)訪問外部網(wǎng)絡(luò)。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發(fā)現(xiàn)并阻斷可能出現(xiàn)的蠕蟲傳播。安全審計：對所有與業(yè)務(wù)相關(guān)的通訊進(jìn)行紀(jì)錄，保證可進(jìn)行事后分析和可追查性檢查。系統(tǒng)功能天清漢馬USG一體化安全網(wǎng)關(guān)采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計，集防火墻、VPN、入侵防御（IPS）、防病毒、外聯(lián)控制、抗拒絕服務(wù)攻擊（Anti-DoS）、內(nèi)容過濾、反垃圾郵件、NetFlow等多種安全技術(shù)于一身，同時全面支持QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡(luò)邊界提供了全面實時的安全防護(hù)。除此之外，天清漢馬USG一體化安全網(wǎng)關(guān)還融合了內(nèi)網(wǎng)安全特性，能夠為終端PC下發(fā)安全客戶端，同步內(nèi)網(wǎng)安全策略，并根據(jù)安全客戶端的檢查結(jié)果對終端PC進(jìn)行準(zhǔn)入控制。天清漢馬USG一體化安全網(wǎng)關(guān)采用了一體化的設(shè)計方案，在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實現(xiàn)了接入安全需要考慮的方方面面，采用天清漢馬USG一體化安全網(wǎng)關(guān)，可以從整體上解決了接入安全的問題。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，也不再因為多個產(chǎn)品難于維護(hù)管理而苦惱，天清漢馬USG一體化安全網(wǎng)關(guān)是低成本、高效率、易管理的理想解決方案。通過部署天清漢馬USG一體化安全網(wǎng)關(guān)系統(tǒng)，可以實現(xiàn)：全面的訪問控制手段基于出/入接口、源/目的IP地址、服務(wù)、時間的安全策略，支持IP地址過濾、MAC地址過濾、IP＋MAC綁定、用戶認(rèn)證、流量整形、連接數(shù)控制等堅固的入侵防御（IPS）體系業(yè)界最完善的攻擊特征庫，包括18大類，超過2,000項的入侵攻擊特征，并提供動態(tài)更新漏洞機(jī)理分析技術(shù)，精確抵御黑客攻擊、蠕蟲、木馬、后門應(yīng)用還原重組技術(shù)，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫網(wǎng)絡(luò)異常分析技術(shù)，全面防止拒絕服務(wù)攻擊業(yè)界領(lǐng)先的網(wǎng)絡(luò)防病毒技術(shù)文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫總計＞16萬，并提供動態(tài)更新支持HTTP、FTP、IMAP、POP3、SMTP等協(xié)議的病毒查殺病毒類型根據(jù)危害程度劃分為：流行庫、高危庫、普通庫實用的流量監(jiān)控系統(tǒng)NetFlow歷史帶寬使用趨勢分析、帶寬應(yīng)用分布、帶寬使用實時統(tǒng)計、IP流量排名等多種手段全面清除垃圾郵件支持黑名單、白名單支持防郵件炸彈功能，能夠設(shè)定郵件發(fā)送速率的門限值病毒掃描、附件類型和附件大小過濾、關(guān)鍵字過濾等支持貝葉斯過濾、可追查性檢查、發(fā)件人認(rèn)證等反垃圾郵件功能豐富的VPN特性使組網(wǎng)變得簡單豐富的手段：支持IPSecVPN、SSLVPN、L2TP和GRE靈活的部署：IPSec全面支持NAT穿越，支持Hub-Spoken、Full-Mesh、DVPN等部署；SSLVPN支持Web、Agent、Tunnel應(yīng)用方式，支持端到端部署IPSecVPN支持DES、3DES、AES128、AES192、AES256、國密SCB2等加密算法，支持MD5、SHA等認(rèn)證算法精確的抗DoS攻擊能力支持對Jolt2、Land-base、pingofdeath、synflag、Teardrop、winnuke、smurf、TCPflag、ARP攻擊、TCP掃描、UDP掃描、ping掃描等各種DOS攻擊和掃描事件的檢測和防御采用特征控制和異常控制相結(jié)合的手段，有效保障抗拒絕服務(wù)攻擊的準(zhǔn)確性和全面性完善的上網(wǎng)行為管理P2P控制：對eMule、BitTorrent、Maze、Kazaa等進(jìn)行阻斷、限速；IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype流媒體控制：對流媒體應(yīng)用進(jìn)行阻斷或限速，支持Kamunppfilm、PPLive、PPStream、QQ直播、TVAnts、沸點網(wǎng)絡(luò)電視、貓撲播霸等網(wǎng)絡(luò)游戲控制：對常見網(wǎng)絡(luò)游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷股票軟件控制：對常用股票軟件如同花順、大參考、大智慧等的阻斷獨有的內(nèi)網(wǎng)安全管理特性終端安全部署：內(nèi)置我的天珣內(nèi)網(wǎng)安全服務(wù)器，可以為客戶端部署天珣終端安全軟件；終端準(zhǔn)入控制：由天珣終端軟件進(jìn)行各種安全性檢查，USG網(wǎng)關(guān)根據(jù)檢查結(jié)果進(jìn)行準(zhǔn)入控制，杜絕不安全的終端接入，保障內(nèi)網(wǎng)合規(guī)；終端安全管理：通過USG向終端下發(fā)安全策略，能夠?qū)尤刖W(wǎng)絡(luò)的所有終端進(jìn)行進(jìn)程管理、服務(wù)管理、網(wǎng)絡(luò)應(yīng)用管理和補(bǔ)丁管理。強(qiáng)大的日志報表功能記錄內(nèi)容豐富：可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進(jìn)行記錄日志快速查詢：可對IP地址、端口、時間、危急程度、日志內(nèi)容關(guān)鍵字等進(jìn)行查詢報表貼近需求：根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè)LOGO，并可形成多種格式的報表文件。方便的集中管理功能通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設(shè)備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓?fù)滹@示，能夠?qū)Χ嗯_設(shè)備的日志和流量信息進(jìn)行記錄。入侵檢測系統(tǒng)(IDS)設(shè)計在傳統(tǒng)的網(wǎng)絡(luò)信息安全概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計算機(jī)網(wǎng)絡(luò)的第一道防線。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡(luò)；另外，據(jù)統(tǒng)計有70％以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。入侵檢測系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)信息安全提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。入侵檢測系統(tǒng)是實時的網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。它運行于敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。該系統(tǒng)可安裝于防火墻前后，可以對攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時可以對穿透防火墻進(jìn)行攻擊的數(shù)據(jù)流進(jìn)行響應(yīng)。在被保護(hù)的局域網(wǎng)中，入侵檢測設(shè)備應(yīng)安裝在主交換機(jī)上,這些保護(hù)措施主要是為了監(jiān)控經(jīng)過網(wǎng)絡(luò)出入口及對重點服務(wù)器進(jìn)行訪問的數(shù)據(jù)流。入侵檢測報警日志的功能是通過對所有對網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報警及響應(yīng)。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，入侵檢測在此處將承擔(dān)實時監(jiān)測大量出入整個網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。這些數(shù)據(jù)流引起的報警日志，是作為受到網(wǎng)絡(luò)攻擊的主要證據(jù)。入侵檢測系統(tǒng)是一種動態(tài)網(wǎng)絡(luò)信息安全技術(shù)，它能夠發(fā)現(xiàn)入侵者實時攻擊行為，并對其進(jìn)行響應(yīng)。從網(wǎng)絡(luò)信息安全防護(hù)上講，防火墻技術(shù)給出了一個靜態(tài)防護(hù)的概念，而入侵檢測技術(shù)具有動態(tài)防御的意義。入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。在**集團(tuán)網(wǎng)絡(luò)入侵檢測系統(tǒng)配置中，我們對網(wǎng)絡(luò)系統(tǒng)進(jìn)行實時監(jiān)控與阻斷響應(yīng)，它集成了在線網(wǎng)絡(luò)入侵監(jiān)測、入侵即時處理、離線入侵分析、入侵偵測查詢、報告生成等多項功能的分布式計算機(jī)安全系統(tǒng)，不僅能即時監(jiān)控網(wǎng)絡(luò)資源運行狀況，為網(wǎng)絡(luò)管理員及時提供網(wǎng)絡(luò)入侵預(yù)警和防范解決方案，還使得對于檢查黑客入侵，變得有跡可尋，為用戶采取進(jìn)一步行動提供了強(qiáng)有力的技術(shù)支持，大大加強(qiáng)了對惡意黑客的威懾力量。部署方案根據(jù)**集團(tuán)網(wǎng)絡(luò)的現(xiàn)狀和日后的發(fā)展需要，通過部署我公司的天闐入侵檢測與管理系統(tǒng)實時分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和訪問連接，及時檢測出混雜在正常數(shù)據(jù)流中的惡意入侵和攻擊，保護(hù)各級網(wǎng)絡(luò)的安全。對**集團(tuán)網(wǎng)絡(luò)邊界點的數(shù)據(jù)進(jìn)行監(jiān)測，防止黑客的入侵。監(jiān)視**集團(tuán)網(wǎng)絡(luò)內(nèi)部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作。對用戶的非正?；顒舆M(jìn)行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。實時對檢測到的入侵行為進(jìn)行報警、阻斷，能夠與防火墻聯(lián)動。對關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計跟蹤管理。系統(tǒng)功能通過使用網(wǎng)絡(luò)入侵檢測系統(tǒng)，我們可以做到：全面的入侵檢測入侵檢測能力取決于兩個方面的技術(shù)：攻擊特征分析技術(shù)和入侵檢測支撐技術(shù)。在入侵檢測的支撐技術(shù)上，技術(shù)優(yōu)勢體現(xiàn)在高速捕包、深入?yún)f(xié)議分析技術(shù)、高速樹型匹配技術(shù)、防躲避處理技術(shù)以及事件風(fēng)暴處理技術(shù)等多個方面，有效地保證了入侵檢測的準(zhǔn)確性、有效性和高性能。對**集團(tuán)網(wǎng)網(wǎng)絡(luò)系統(tǒng)各級網(wǎng)絡(luò)邊界點的數(shù)據(jù)進(jìn)行監(jiān)測，防止黑客的入侵。以入侵檢測為核心的動態(tài)安全體系隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)信息安全變成了一個動態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)信息安全的需要。同時由于單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補(bǔ)，可以提高系統(tǒng)對安全事件響應(yīng)的準(zhǔn)確性和全面性，使防護(hù)體系由靜態(tài)到動態(tài)，由平面到立體，不僅增強(qiáng)了入侵檢測系統(tǒng)的響應(yīng)能力，降低了入侵檢測的誤報率，充分發(fā)揮了入侵檢測的作用，同時提升了防火墻的機(jī)動性和實時反應(yīng)能力。因此，以入侵檢測系統(tǒng)為核心的動態(tài)防御體系，可以實現(xiàn)入侵檢測和防火墻、入侵檢測和漏洞掃描等防護(hù)系統(tǒng)的聯(lián)動。入侵檢測和防火墻、入侵檢測和漏洞掃描聯(lián)動體系示意圖如下：入侵檢測系統(tǒng)與防火墻的聯(lián)動入侵檢測系統(tǒng)可以進(jìn)行針對TCP連接的阻斷。但是，對于網(wǎng)絡(luò)上的錯綜復(fù)雜的攻擊事件，網(wǎng)絡(luò)入侵檢測系統(tǒng)的防護(hù)效果還是不夠全面。防火墻作為網(wǎng)絡(luò)系統(tǒng)的專用的安全防護(hù)工具，其防護(hù)能力與入侵檢測產(chǎn)品的響應(yīng)能力可以相互補(bǔ)充。所以，使用入侵檢測系統(tǒng)與防火墻聯(lián)動方式，來實現(xiàn)整體防護(hù)。當(dāng)入侵檢測檢測到此攻擊事件時，會實時的傳送一個防護(hù)策略給防火墻，由防火墻來執(zhí)行此策略，實現(xiàn)入侵阻斷。入侵檢測系統(tǒng)與漏洞掃描系統(tǒng)的聯(lián)動入侵檢測在發(fā)現(xiàn)攻擊行為的同時，發(fā)出指令通知漏洞掃描系統(tǒng)，對被攻擊目標(biāo)機(jī)或攻擊源進(jìn)行掃描，來確認(rèn)攻擊源的存在和被攻擊機(jī)系統(tǒng)存在的漏洞，以作到主動防御。同時，通過獲得漏洞掃描系統(tǒng)的掃描結(jié)果，可動態(tài)修改入侵檢測系統(tǒng)的檢測策略，使入侵檢測系統(tǒng)的事件報警更加準(zhǔn)確，提高入侵檢測系統(tǒng)的運行效率?；谌肭謾z測系統(tǒng)的應(yīng)急響應(yīng)通過入侵檢測系統(tǒng)的強(qiáng)大功能為應(yīng)急響應(yīng)提供有力的技術(shù)支撐和充足的信息支持，實施應(yīng)急響應(yīng)來解決實際的網(wǎng)絡(luò)信息安全問題。入侵檢測系統(tǒng)的應(yīng)急響應(yīng)體系的架構(gòu)如下圖示。其中，技術(shù)包括4個方面：檢測發(fā)現(xiàn)、事件分析、事件報警、事件處理，這是一個安全事件的發(fā)現(xiàn)和處理流程。具有這幾項技術(shù)的支撐是具有龐大的知識庫，能夠進(jìn)行入侵管理。而應(yīng)急響應(yīng)體系的組織結(jié)構(gòu)、處理規(guī)范、響應(yīng)流程都是保證應(yīng)急響應(yīng)能夠正常開展的管理要素。異常流量分析實時監(jiān)控網(wǎng)絡(luò)流量，進(jìn)行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計；產(chǎn)生例如提供點對點數(shù)據(jù)流量及流量排名的詳細(xì)圖表；定義流量異常的閥值，對異常流量進(jìn)行實時報警。內(nèi)容異常分析基于異常的檢測技術(shù)可以發(fā)現(xiàn)可疑的網(wǎng)絡(luò)行為，能夠?qū)ξ粗墓舴绞桨l(fā)出預(yù)警信號，是對其他方法的有利補(bǔ)充。同時，采用“多目標(biāo)跟蹤鎖定”功能，對用戶所設(shè)定的異常報警內(nèi)容進(jìn)行多方位的定點跟蹤和顯示，“凸出”用戶所關(guān)心的信息。行為關(guān)聯(lián)分析一個真正的攻擊不是一個單獨的行為就可以發(fā)現(xiàn)，必須分析一系列的單獨行為，找到其中的行為關(guān)聯(lián)關(guān)系，才能更好地識別攻擊，管理已發(fā)生的入侵事件，處理垃圾報警信息，準(zhǔn)確描述攻擊行為。網(wǎng)絡(luò)病毒分析針對當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進(jìn)行預(yù)警，包括Nimda蠕蟲、Sqlslammer蠕蟲等。強(qiáng)調(diào)實現(xiàn)以入侵檢測為核心的安全防御體系。入侵檢測系統(tǒng)與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等安全產(chǎn)品均可實現(xiàn)聯(lián)動，這些聯(lián)動本身就是應(yīng)急響應(yīng)的一個組成部分，使得以前相互獨立、需要在不同的時間段內(nèi)完成的入侵檢測和應(yīng)急響應(yīng)兩個階段有機(jī)地融為一體。入侵管理入侵管理技術(shù)是應(yīng)急響應(yīng)體系的核心支撐技術(shù)。入侵檢測系統(tǒng)不僅能抓取網(wǎng)絡(luò)中的數(shù)據(jù)流并進(jìn)行分析，與事件庫中的入侵行為進(jìn)行模式匹配，從而對入侵行為進(jìn)行報警，而且能夠進(jìn)行完備的協(xié)議分析，保證對數(shù)據(jù)流的分析是比較完整的。同時，好的入侵檢測系統(tǒng)還具有異常統(tǒng)計的功能，以降低誤報率，提高工作效率。隨著入侵檢測技術(shù)的發(fā)展，入侵檢測系統(tǒng)還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進(jìn)行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。為了提高入侵檢測系統(tǒng)的可用性，提高對應(yīng)急響應(yīng)體系的支持力度，還應(yīng)加強(qiáng)入侵檢測系統(tǒng)的安全防范及管理功能，提高對全局入侵行為的可視管理。具有良好可視化、可控性、可管理性的新一代入侵檢測系統(tǒng)可稱為入侵管理系統(tǒng)。入侵驗證入侵驗證系統(tǒng)根據(jù)入侵檢測系統(tǒng)發(fā)現(xiàn)的網(wǎng)絡(luò)信息安全事件，對被攻擊網(wǎng)絡(luò)或主機(jī)進(jìn)行攻擊后果的驗證，并將攻擊后果返回給控制中心，供管理者做決策參考。與網(wǎng)管系統(tǒng)結(jié)合安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺將預(yù)警事件分級、分類、自動上報給網(wǎng)管系統(tǒng)，供網(wǎng)絡(luò)管理員做全局安全事件分析。可視化用可視化的方式顯示當(dāng)前安全態(tài)勢，用不同的顏色和形狀表示關(guān)鍵點（如外部IP）?？筛鶕?jù)需要設(shè)置條件，實時顯示TOP10事件，包括攻擊源、目標(biāo)的MAC地址、IP地址，流量信息；對各種協(xié)議相關(guān)事件如Telnet、SMTP，按需要進(jìn)行回放。事件自定義事件自定義功能，以深層協(xié)議分析為基礎(chǔ)，能夠?qū)崿F(xiàn)：對攻擊特征進(jìn)行多樣化、靈活定義，可以使我公司保證對最新攻擊方法的迅速反應(yīng)和升級，同時可以協(xié)助用戶直接定義針對其特殊應(yīng)用的攻擊和威脅。用戶可以方便地修改協(xié)議端口默認(rèn)值，滿足用戶保護(hù)特殊網(wǎng)絡(luò)應(yīng)用的需要，同時有效防止黑客以變形木馬等方式躲避入侵檢測系統(tǒng)監(jiān)控的攻擊。用戶可以自定義所關(guān)注的敏感信息，加強(qiáng)內(nèi)外部信息的審查，如商業(yè)機(jī)密，反動、黃色、暴力等信息。用戶可以定義與指定的人、郵件、IP地址等有關(guān)的行為，實現(xiàn)對重點目標(biāo)的保護(hù)和對重點懷疑對象異常行為的有效監(jiān)控。策略自定義入侵檢測系統(tǒng)內(nèi)置檢測策略，可以供用戶選用。同時，入侵檢測系統(tǒng)應(yīng)允許有經(jīng)驗的用戶根據(jù)網(wǎng)絡(luò)中數(shù)據(jù)流的特點，提供靈活的安全策略管理機(jī)制，利用系統(tǒng)中的事件定義模板，定制網(wǎng)絡(luò)中可疑行為和監(jiān)控對象，定制相應(yīng)的檢測策略，并對這些行為進(jìn)行響應(yīng)，做到重點監(jiān)測、量體裁衣，報告用戶最為關(guān)注的事件，充分提高入侵檢測系統(tǒng)的檢測效率，降低誤報率。引擎自定義提供不同作用、基于不同環(huán)境的入侵檢測探測引擎。包括基于百兆網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)引擎、基于千兆網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)引擎、基于Windows平臺的主機(jī)入侵檢測系統(tǒng)引擎、基于AIX、Solaris平臺的主機(jī)入侵檢測系統(tǒng)引擎等。這些引擎都可以被統(tǒng)一的入侵管理平臺所管理。脆弱性掃描系統(tǒng)設(shè)計（漏洞掃描）網(wǎng)絡(luò)的應(yīng)用越來越廣泛，而網(wǎng)絡(luò)不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴(yán)重。動態(tài)安全的概念是：幫助管理員主動發(fā)現(xiàn)問題。最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安全性。因此**集團(tuán)網(wǎng)絡(luò)系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的工具，以保證整體網(wǎng)絡(luò)系統(tǒng)平臺安全。漏洞掃描系統(tǒng)包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測，報告服務(wù)進(jìn)程，提取對象信息，以及評測風(fēng)險，提供安全建議和改進(jìn)措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。該系統(tǒng)具有強(qiáng)大的漏洞檢測能力和檢測效率，貼切用戶需求的功能定義，靈活多樣的檢測方式，詳盡的漏洞修補(bǔ)方案和友好的報表系統(tǒng)，以及方便的在線升級。部署方案對于網(wǎng)絡(luò)信息安全來說，安全性取決于所有安全措施中最薄弱的環(huán)節(jié)，而上面我們所討論的問題，就是網(wǎng)絡(luò)的薄弱之處，也是最容易被黑客利用來侵入系統(tǒng)，給我們造成損失的環(huán)節(jié)。所以在網(wǎng)絡(luò)中心部署一套我公司的天鏡脆弱性掃描與管理系統(tǒng)協(xié)同入侵檢測系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)提供防護(hù)。系統(tǒng)功能可以動態(tài)地分析目標(biāo)系統(tǒng)的安全脆弱性根據(jù)不同的對象類型，自動尋找匹配的掃描策略進(jìn)行下一步的分析掃描。靈活的策略配置可按照特定的需求配置多種掃描策略和掃描參數(shù)，實現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。多種形式、人性化的掃描報表可根據(jù)用戶的不同需求提供不同層次的報告，并提供安全補(bǔ)丁供應(yīng)商的熱連接，快速及時的修補(bǔ)漏洞。實用的模擬攻擊工具合理的結(jié)構(gòu)化設(shè)計、模塊的繼承性，使得系統(tǒng)具有很大的可擴(kuò)展空間全自動、大規(guī)模的掃描任務(wù)支持windows域環(huán)境多線程掃描保證掃描任務(wù)的高效性和穩(wěn)定性；定時掃描機(jī)制保證充分利用網(wǎng)絡(luò)空閑間隙進(jìn)行網(wǎng)絡(luò)信息安全狀況評估；豐富的漏洞檢查列表分級、靈活的預(yù)定義報告合理的結(jié)構(gòu)化設(shè)計遠(yuǎn)程在線升級詳盡的安全解決方案幫助用戶在了解網(wǎng)絡(luò)信息安全狀況的情況下得到詳盡可行的解決措施。系統(tǒng)作用通過在**集團(tuán)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全漏洞檢測和分析，我們可以做到：對**集團(tuán)網(wǎng)絡(luò)重要服務(wù)器和PC機(jī)進(jìn)行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞(這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚著造成系統(tǒng)本身的崩潰)，生成詳細(xì)的可視化報告，同時向管理人員給出相應(yīng)的解決辦法及安全建議。對**集團(tuán)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界組件、基礎(chǔ)組件和其他系統(tǒng)進(jìn)行漏洞掃描，檢查系統(tǒng)的潛在問題，發(fā)現(xiàn)操作系統(tǒng)存在的漏洞和安全隱患。漏洞掃描系統(tǒng)對網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報告，使管理員能夠隨時了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時采取相應(yīng)的措施進(jìn)行修補(bǔ)。通過漏洞掃描的結(jié)果，對系統(tǒng)進(jìn)行加固和優(yōu)化。網(wǎng)絡(luò)信息安全審計系統(tǒng)設(shè)計來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進(jìn)行的，這些威脅事件多數(shù)是來自于內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些網(wǎng)絡(luò)信息安全事件的審計要求，網(wǎng)絡(luò)信息安全審計系統(tǒng)正是在這樣的安全審計需求下產(chǎn)生的。網(wǎng)絡(luò)信息安全審計通常要求專門細(xì)致的協(xié)議分析技術(shù)，完整的跟蹤能力，和數(shù)據(jù)查詢過程回放功能。對于互聯(lián)網(wǎng)內(nèi)容的管理和控制，歸根到底是對訪問者的管理和控制。一個好的互聯(lián)網(wǎng)內(nèi)容管理產(chǎn)品，要能做到基于用戶的、細(xì)化、量化的訪問策略定制?；ヂ?lián)網(wǎng)訪問主要包括Web訪問和基于Internet的一些應(yīng)用程序的使用。Web訪問是指通過URL地址訪問Web內(nèi)容，相應(yīng)的控制手段主要有內(nèi)容實時過濾、預(yù)分類列表方式等。除了Web內(nèi)容，一些基于Internet的應(yīng)用程序，包括常用的即時通訊工具、P2P文件共享下載、在線游戲、流媒體播放和股票系統(tǒng)等，也需要加以控制。越來越多的問題滋生于此，通過聊天、文件下載、網(wǎng)絡(luò)游戲或其他程序的應(yīng)用，導(dǎo)致的安全風(fēng)險、生產(chǎn)力下降、帶寬濫用、法律風(fēng)險等問題層出不窮。具備合理的定位和管理措施，清晰直觀的監(jiān)控記錄和靈活多樣的數(shù)據(jù)統(tǒng)計報表，是互聯(lián)網(wǎng)訪問控制審計類產(chǎn)品的一項重要功能。支持對訪問事件(訪問者、訪問時間、訪問內(nèi)容、響應(yīng)動作)的實時監(jiān)控記錄，自定義查找訪問者、內(nèi)容的記錄、根據(jù)記錄生成直觀的統(tǒng)計數(shù)據(jù)等。幫助企業(yè)發(fā)現(xiàn)互聯(lián)網(wǎng)訪問趨勢，了解企業(yè)互聯(lián)網(wǎng)的使用情況。在專網(wǎng)服務(wù)器區(qū)，面對繁多的業(yè)務(wù)系統(tǒng)，有充分的必要性對網(wǎng)絡(luò)的使用者、設(shè)備登錄維護(hù)者應(yīng)用安全審計進(jìn)行跟蹤。審計是記錄用戶使用計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。審計信息對于確定是否有網(wǎng)絡(luò)攻擊的情況，對于確定問題的起因和攻擊發(fā)起處非常重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)，為網(wǎng)絡(luò)犯罪行為及泄密行為提供取證基礎(chǔ)。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進(jìn)行審計跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。部署方案為了進(jìn)一步加強(qiáng)**集團(tuán)網(wǎng)絡(luò)信息安全的健壯性及事后分析的可行性，并滿足信息安全監(jiān)控的目的，針對**集團(tuán)網(wǎng)絡(luò)基礎(chǔ)建設(shè)的實際情況，我們建議：在外網(wǎng)出口處部署一臺我公司的天玥網(wǎng)絡(luò)信息安全審計系統(tǒng)（互聯(lián)網(wǎng)型）探測引擎，實現(xiàn)對外網(wǎng)出口處各種數(shù)據(jù)流的檢測監(jiān)控，對于非法的互聯(lián)網(wǎng)訪問行為進(jìn)行審計和阻斷。在核心業(yè)務(wù)服務(wù)器區(qū)的出口處部署一臺我公司的天玥網(wǎng)絡(luò)信息安全審計系統(tǒng)（業(yè)務(wù)網(wǎng)型）探測引擎，實現(xiàn)對WWW、FTP、E_mail、OA、數(shù)據(jù)庫等應(yīng)用服務(wù)器的訪問或非法攻擊進(jìn)行數(shù)據(jù)分析并保存，以便事后取證和分析。系統(tǒng)功能采用網(wǎng)絡(luò)旁路監(jiān)聽技術(shù)，不改變網(wǎng)絡(luò)結(jié)構(gòu)，不影響用戶網(wǎng)絡(luò)流量和性能，不會成為用戶的網(wǎng)絡(luò)故障點而導(dǎo)致網(wǎng)絡(luò)癱瘓；專用系統(tǒng)設(shè)計，安裝簡便，穩(wěn)定可靠。業(yè)務(wù)網(wǎng)型：對數(shù)據(jù)庫、Telnet、FTP等登錄的操作進(jìn)行詳細(xì)的審計和實時監(jiān)控對HTTP、NETBIO、SMTP、POP3等應(yīng)用層協(xié)議進(jìn)行審計監(jiān)控對FTP、Telnet、數(shù)據(jù)庫操作、應(yīng)用（業(yè)務(wù)）系統(tǒng)等進(jìn)行命令級的審計和訪問控制對非正常網(wǎng)絡(luò)行為進(jìn)行審計互聯(lián)網(wǎng)型：記錄全面的互聯(lián)網(wǎng)訪問信息屏蔽各類不良網(wǎng)站控制互聯(lián)網(wǎng)絡(luò)行為審計MAIL信息過濾不良信息內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計（終端管理）一直以來，安全防御理念局限在常規(guī)的網(wǎng)關(guān)級別（防火墻等）、網(wǎng)絡(luò)邊界（漏洞掃描、安全審計、防病毒、IDS）等方面的防御，重要的安全設(shè)施大致集中于機(jī)房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。但是在實際情況下，來自網(wǎng)絡(luò)內(nèi)部的安全威脅卻是多數(shù)網(wǎng)絡(luò)管理人員真正需要面對的問題。據(jù)統(tǒng)計結(jié)果表明，80%的安全事件來自與網(wǎng)絡(luò)內(nèi)部，而只有20%的安全事件來自于外部。目前網(wǎng)絡(luò)管理工作量最大的部是客戶端安全部分，對網(wǎng)絡(luò)的正常運轉(zhuǎn)威脅最大的也同樣是客戶端安全。由于大型網(wǎng)絡(luò)一般結(jié)構(gòu)較為復(fù)雜，用戶使用水平參差不齊，而網(wǎng)絡(luò)管理人員編制有限，往往難以面對數(shù)量重大的客戶端事件，例如：缺少有效手段對客戶端聯(lián)網(wǎng)行為進(jìn)行監(jiān)控，對客戶端違規(guī)聯(lián)網(wǎng)的現(xiàn)象及時發(fā)現(xiàn)，及時阻斷。如何安全、方便的將非安全計算機(jī)阻斷出網(wǎng)如何對補(bǔ)丁進(jìn)行自動分發(fā)部署和補(bǔ)丁控制。如何按照既定策略統(tǒng)一配置客戶端端口策略、注冊表策略等客戶端安全策略。如何監(jiān)控網(wǎng)絡(luò)中的防病毒軟件安裝情況，準(zhǔn)確有效的定位網(wǎng)絡(luò)中病毒的引入點，快速、安全的切斷安全事件發(fā)生點和相關(guān)網(wǎng)絡(luò)。如何對硬件資產(chǎn)進(jìn)行自動發(fā)現(xiàn)識別，有效進(jìn)行網(wǎng)絡(luò)資源管理和設(shè)備資產(chǎn)管理，在提高工作精度的同時減少網(wǎng)絡(luò)管理人員的工作量。如何對網(wǎng)絡(luò)中的軟件狀態(tài)信息進(jìn)行有效的查詢和管理；如何實現(xiàn)客戶端安裝軟件自動識別控制，尤其是掌握網(wǎng)絡(luò)內(nèi)新安裝的軟件，以及時發(fā)現(xiàn)隱患。如何對軟件進(jìn)行分發(fā)安裝，以大幅度減少網(wǎng)管的工作量。如何對網(wǎng)絡(luò)客戶端進(jìn)行有效工作狀態(tài)監(jiān)控，監(jiān)督使用人員規(guī)范操作電腦。如何構(gòu)架功能強(qiáng)大的網(wǎng)絡(luò)客戶端綜合安全報警平臺。如何有效監(jiān)控客戶端的運維信息，以便網(wǎng)管了解網(wǎng)絡(luò)中的客戶端是否已超負(fù)荷運轉(zhuǎn)，是否需要升級。如何有效地監(jiān)控客戶端的USB拷貝、打印的行為。如何有效地實現(xiàn)客戶端文件的備份存儲。事實表明，只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患。部署方案策略服務(wù)器策略服務(wù)器用于配置管理客戶端安全策略，分發(fā)策略給客戶端代理及策略網(wǎng)關(guān)，分發(fā)補(bǔ)丁、病毒定義碼或軟件以修補(bǔ)客戶端安全漏洞，并可從策略服務(wù)器查詢企業(yè)網(wǎng)絡(luò)任何一個終端的安全狀態(tài)。天珣內(nèi)網(wǎng)安全風(fēng)險管理和審計系統(tǒng)支持分布式多服務(wù)器架構(gòu)，集中管理全球范圍內(nèi)的任意多個策略服務(wù)器，分布式多服務(wù)器架構(gòu)使天珣內(nèi)網(wǎng)安全風(fēng)險管理和審計系統(tǒng)具有優(yōu)秀的容錯性、可伸縮性?？蛻舳舜砜蛻舳舜韽牟呗苑?wù)器獲取策略規(guī)則，在客戶端執(zhí)行策略規(guī)則，檢查其安全狀態(tài)，執(zhí)行終端綜合防護(hù)，并將客戶端安全狀態(tài)報告給策略服務(wù)器。天珣內(nèi)網(wǎng)安全風(fēng)險管理和審計系統(tǒng)客戶端是模塊化的組件，支持多種模塊化的組件，以滿足用戶以一個客戶端完成多種安全或管理的需求。策略網(wǎng)關(guān)策略網(wǎng)關(guān)是執(zhí)行系統(tǒng)及應(yīng)用準(zhǔn)入的強(qiáng)制組件。策略網(wǎng)關(guān)從策略服務(wù)器獲取策略規(guī)則，以準(zhǔn)入控制手段強(qiáng)制執(zhí)行企業(yè)安全策略，拒絕不符合安全策略的終端訪問企業(yè)的關(guān)鍵系統(tǒng)及應(yīng)用。天珣內(nèi)網(wǎng)安全風(fēng)險管理和審計系統(tǒng)有多種類型的策略網(wǎng)關(guān)。圖一天珣系統(tǒng)部署圖系統(tǒng)功能真正意義上的解決：移動設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過安全檢查和處理違規(guī)接入內(nèi)部網(wǎng)絡(luò)，未經(jīng)允許擅自接入電腦設(shè)備會給網(wǎng)絡(luò)帶來病毒傳播、黑客入侵等不安全因素；內(nèi)部網(wǎng)絡(luò)用戶通過model、紅外設(shè)備、無線設(shè)備或藍(lán)牙設(shè)備等進(jìn)行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等行為；違反規(guī)定將專網(wǎng)專用的計算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其他網(wǎng)絡(luò)；網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后，不能做到安全事件源的實時、快速、精確定位、遠(yuǎn)程阻斷隔離操作。安全事件發(fā)生后，網(wǎng)管一般通過交換機(jī)、路由器或防火墻可以進(jìn)行封堵，但設(shè)置復(fù)雜，操作風(fēng)險大，而且絕大多數(shù)普通交換機(jī)并沒有被設(shè)置成SNMP可管理模式，因此不能夠方便地進(jìn)行隔離操作；大規(guī)模蠕蟲或木馬病毒事件發(fā)生后，網(wǎng)管無法確定病毒黑客事件源頭、無法找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，無法做到事后分析、加強(qiáng)安全預(yù)警；靜態(tài)IP地址的網(wǎng)絡(luò)由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網(wǎng)絡(luò)中IP分配情況；自動檢測網(wǎng)絡(luò)計算機(jī)系統(tǒng)漏洞，弱口令等問題，并能夠自動將系統(tǒng)所需要補(bǔ)丁分發(fā)到網(wǎng)絡(luò)每一臺計算機(jī)，為計算機(jī)自動打補(bǔ)丁。各種軟件自動分發(fā)功能，腳本定制開發(fā)；大型網(wǎng)絡(luò)系統(tǒng)中區(qū)域結(jié)構(gòu)復(fù)雜，不能明確劃分管理責(zé)任范圍，進(jìn)行多用戶管理；網(wǎng)絡(luò)中計算機(jī)設(shè)備硬件設(shè)備繁多，不能做到精確統(tǒng)計，實現(xiàn)節(jié)點桌面控制；控制用戶隨意使用各種USB移動設(shè)備而導(dǎo)致的機(jī)密文件外漏。準(zhǔn)入控制網(wǎng)絡(luò)準(zhǔn)入準(zhǔn)入控制網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入動態(tài)VLAN外來電腦管理資產(chǎn)管理軟件分發(fā)補(bǔ)丁管理外設(shè)管理移動存儲設(shè)備管理終端審計進(jìn)程管理HOD遠(yuǎn)程桌面終端快速定位主動防御（訪問控制）終端安全狀態(tài)檢測與修復(fù)蠕蟲病毒主動防御終端異常流量抑制非授權(quán)訪問控制終端安全加固IP地址管理終端安全防護(hù)功能桌面管理功能安全運營中心（SOC）建設(shè)方案安全運營中心我的泰合信息安全運營中心（簡稱：TSOC）是針對傳統(tǒng)管理方式的一種重大變革。它將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過濾、收集和關(guān)聯(lián)分析，得出全局角度的安全風(fēng)險事件，并形成統(tǒng)一的安全決策對安全事件進(jìn)行響應(yīng)和處理。總體來說TSOC的根本模型就是PDR模型，而TSOC系統(tǒng)就是實現(xiàn)其中的D（Detection，檢測）和R（Response，響應(yīng)）。安全運營中心主要由以下部分組成：資產(chǎn)信息管理模塊、安全事件/業(yè)務(wù)監(jiān)控管理模塊、脆弱性管理模塊、漏洞關(guān)聯(lián)分析和基于規(guī)則的關(guān)聯(lián)分析模塊、風(fēng)險評估管理模塊、安全策略管理模塊、統(tǒng)一安全預(yù)警模塊、綜合顯示和報表報告系統(tǒng)、響應(yīng)管理系統(tǒng)、安全信息管理、系統(tǒng)健康管理和用戶管理模塊組成。其功能體系架構(gòu)如下圖所示：功能體系結(jié)構(gòu)平臺軟件架構(gòu)安全運營中心軟件總體體系架構(gòu)如下圖所示：安全管理中心安全管理中心SMC安全信息管理系統(tǒng)SIMS數(shù)據(jù)分析中心（DAC）軟件總體結(jié)構(gòu)整個系統(tǒng)分為SMC、DAC和V-SIMS三部分。SMC：安全運營中心，安全運營中心以B/S/D三層架構(gòu)實現(xiàn)監(jiān)控、管理、響應(yīng)、報表等功能；DAC：數(shù)據(jù)分析中心，其以后臺服務(wù)方式實現(xiàn)綜合分析、關(guān)聯(lián)分析、資產(chǎn)發(fā)現(xiàn)、脆弱性信息采集分析等數(shù)據(jù)分析處理功能；V-SIMS：安全信息管理系統(tǒng)，它完成了安全信息的采集、過濾、聚并、入庫等功能。便于實現(xiàn)分布分級部署事件采集引擎。安全運營中心按照三層軟件架構(gòu)體系設(shè)計，如下圖所示：泰合信息安全運營中心三層體系結(jié)構(gòu)通過部署和實施泰合安全運營中心可以達(dá)到和實現(xiàn)如下效果：面向業(yè)務(wù)的資產(chǎn)與風(fēng)險管理是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評估的基礎(chǔ)，域的分類是抗?jié)B透的防護(hù)方式，是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依據(jù)，而域邊界是災(zāi)難發(fā)生時的抑制點，防止影響的擴(kuò)散，因此，域管理的好壞直接影響到系統(tǒng)安全評估與監(jiān)控性能的好壞，并直接影響到監(jiān)管系統(tǒng)的健壯性。域的分類方式有多種，劃分的基準(zhǔn)包括分布式的網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)流程的優(yōu)化單元，防護(hù)體系的層次結(jié)構(gòu)，系統(tǒng)的安全等級等。在安全運營中心中，域被認(rèn)為是一個大于資產(chǎn)的概念，是多個有相似安全需求或完成相似業(yè)務(wù)功能的信息資產(chǎn)組。資產(chǎn)信息管理模塊支持對平臺所轄信息系統(tǒng)在資產(chǎn)管理的基礎(chǔ)上進(jìn)行域管理的功能，同時也支持對域安全風(fēng)險的評估。對于復(fù)雜信息系統(tǒng)，IT管理員可以將主要精力用于關(guān)注域風(fēng)險和核心資產(chǎn)風(fēng)險，這樣可以有效降低安全管理的難度和復(fù)雜性。域的風(fēng)險和威脅往往反映了業(yè)務(wù)所面臨的風(fēng)險和威脅，相對于單一的資產(chǎn)風(fēng)險評估和監(jiān)控更能反映業(yè)務(wù)系統(tǒng)所面臨的風(fēng)險和威脅。1、清晰展示業(yè)務(wù)域與資產(chǎn)的關(guān)系詳細(xì)請參考HYPERLINK“業(yè)務(wù)域管理”中相關(guān)內(nèi)容。2、提供全面的風(fēng)險監(jiān)控信息：總體安全監(jiān)控3、資產(chǎn)風(fēng)險全面監(jiān)控：業(yè)務(wù)域風(fēng)險監(jiān)控安全事件和漏洞監(jiān)控安全事件監(jiān)控負(fù)責(zé)實時監(jiān)控網(wǎng)絡(luò)的安全事件狀態(tài)，是實時掌握全網(wǎng)的安全威脅狀況的重要手段之一。通過事件監(jiān)控模塊監(jiān)控網(wǎng)絡(luò)各個網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件日志信息等，及時發(fā)現(xiàn)已經(jīng)發(fā)生和正在發(fā)生的安全事件，通過響應(yīng)管理模塊采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運行，實時將其結(jié)果輸入綜合分析決策支持與預(yù)警平臺。脆弱性監(jiān)控完成對信息系統(tǒng)中以資產(chǎn)為基本對象的漏洞檢測，是分析業(yè)務(wù)系統(tǒng)脆弱性的主要技術(shù)手段。通過控制和采集漏洞掃描結(jié)果，結(jié)合人工審計結(jié)果，綜合分析資產(chǎn)/業(yè)務(wù)系統(tǒng)的已知漏洞，及時進(jìn)行修補(bǔ)和告警，確保核心資產(chǎn)的安全性，確保信息系統(tǒng)的業(yè)務(wù)連續(xù)性。1、提供直觀的安全事件趨勢分析安全事件統(tǒng)計分析2、詳細(xì)安全事件實時監(jiān)控事件實時監(jiān)控3、資產(chǎn)/業(yè)務(wù)域安全漏洞監(jiān)控安全漏洞監(jiān)控多種響應(yīng)方式平臺通過多種響應(yīng)方式完善了從防護(hù)到檢測再到響應(yīng)的一個安全事件處理過程的閉環(huán)。1、多種響應(yīng)策略設(shè)置通過對安全事件進(jìn)行郵件、工單、聲音、數(shù)據(jù)庫等響應(yīng)方式的設(shè)置，實現(xiàn)自定義用戶響應(yīng)策略。響應(yīng)策略管理2、支持工單管理提供了從工單生成、提交、編輯、狀態(tài)監(jiān)控、查詢到關(guān)閉工單的完整的閉環(huán)管理，如果客戶已經(jīng)或正在考慮實施ITIL，可以將工單管理融合到ITIL流程之中。工單管理多種關(guān)聯(lián)分析方法1、漏洞關(guān)聯(lián)分析漏洞關(guān)聯(lián)的目的在于要識別出假肯定警報，同時為那些尚未確定是否為假肯定或假警報的事件分配一個置信等級。這種方法的主要優(yōu)點在于，它能極大提高威脅運算的有效性并可提供適用于自動響應(yīng)和/或告警的事件。詳細(xì)請參考HYPERLINK“漏洞關(guān)聯(lián)分析”中相關(guān)內(nèi)容。2、規(guī)則關(guān)聯(lián)分析詳細(xì)請參考HYPERLINK“規(guī)則關(guān)聯(lián)分析”中相關(guān)內(nèi)容。3、統(tǒng)計關(guān)聯(lián)分析詳細(xì)請參考HYPERLINK“統(tǒng)計關(guān)聯(lián)分析”中相關(guān)內(nèi)容。狀態(tài)監(jiān)控可以通過獲取狀態(tài)獲取設(shè)備的狀態(tài)信息，如設(shè)備IP、設(shè)備名稱、系統(tǒng)名稱、連通狀態(tài)、資源占用率等狀態(tài)信息，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備的資源占用情況，利于進(jìn)行有針對性的安全管理。狀態(tài)監(jiān)控拓?fù)渑cGIS展示拓?fù)湔故静⒎菍W(wǎng)絡(luò)拓?fù)涞某诗I(xiàn)，而是以資產(chǎn)/業(yè)務(wù)為對象的直觀展示和狀態(tài)監(jiān)控。是管理者和操作者直接了解平臺所轄范圍資產(chǎn)和業(yè)務(wù)系統(tǒng)分布情況、工作狀態(tài)的理想工具。提供了跟HPOpenView網(wǎng)管系統(tǒng)接口，從網(wǎng)管系統(tǒng)獲取事件信息、資產(chǎn)狀態(tài)信息和網(wǎng)絡(luò)拓樸信息，傳遞給資產(chǎn)管理模塊。1、業(yè)務(wù)域拓?fù)湔故緲I(yè)務(wù)域拓?fù)?、資產(chǎn)拓?fù)湔故究梢酝ㄟ^業(yè)務(wù)域關(guān)聯(lián)到其下屬子域以及所包含的資產(chǎn)和設(shè)備。如下圖所示：資產(chǎn)拓?fù)涮峁┝烁鶰apInfo地理信息系統(tǒng)的接口，可以將資產(chǎn)域的地理信息應(yīng)用在綜合顯示模塊中?？梢詫⒌貓D作為背景圖，在地圖上顯示監(jiān)控點。GIS展示（全國）同時，北京地圖可以根據(jù)客戶的需要靈活替換，比如可以將行政區(qū)劃圖、網(wǎng)絡(luò)拓?fù)鋱D等作為地圖，在上面標(biāo)識已經(jīng)部署的監(jiān)控點。下面以上海行政區(qū)劃圖為例：GIS展示（上海）豐富的知識庫系統(tǒng)的知識管理中心既提供一般知識管理功能，比如安全知識庫、培訓(xùn)和人員考核等，也提供了強(qiáng)大的漏洞庫、事件特征庫、補(bǔ)丁庫、安全配置知識庫和應(yīng)急響應(yīng)知識庫等。我公司作為國家CNCVE項目的承擔(dān)單位擁有自主產(chǎn)權(quán)的漏洞庫和事件特征庫，泰合風(fēng)險管理和自評估系統(tǒng)的漏洞庫和事件特征庫兼容了國內(nèi)國際上流行的各種漏洞庫，比如CNCVE，CVE，Bugtraq等，同時我的積極防御實驗室會及時發(fā)布最新發(fā)現(xiàn)的各種安全漏洞，并定期對已知漏洞進(jìn)行總結(jié)。同時，系統(tǒng)通過處置預(yù)案管理的方式實現(xiàn)對各種安全事件處置方法的標(biāo)準(zhǔn)化參考和積累。1、處置預(yù)案管理分別為病毒木馬、系統(tǒng)狀態(tài)、掃描探測、拒絕服務(wù)、規(guī)避、認(rèn)證授權(quán)、應(yīng)用漏洞和非授權(quán)訪問等8種處置預(yù)案。2、漏洞信息查詢漏洞信息庫3、安全鏈接安全鏈接請參考“安全信息知識庫管理”中相關(guān)內(nèi)容。售后服務(wù)與培訓(xùn) 售后服務(wù) 技術(shù)支持隊伍我公司的安全工程部是一個有著大型安全項目（包括大型涉密項目）實施經(jīng)驗的團(tuán)隊，目前有三十多人的售后施工人員。其中大部分人員接受過微軟、思科等公司的專業(yè)培訓(xùn)，在安全方面有著良好的基礎(chǔ)理論和豐富的實踐經(jīng)驗。在信息產(chǎn)業(yè)部、國家安全部、中國新時代證券、中技經(jīng)、中信實業(yè)銀行、中國電信、上海電信等全國范圍內(nèi)的大型網(wǎng)絡(luò)信息安全項目實施中，得到了用戶一致認(rèn)可。在大量項目施工的過程中，積累了豐富的項目施工經(jīng)驗，確保了公司在各個項目中及時按要求完成施工進(jìn)度。組織結(jié)構(gòu)項目的售后服務(wù)可以由我公司和第三方廠商共同提供售后技術(shù)服務(wù)、支持及保修也可以由我公司獨立完成。同時，用戶方也需要有相關(guān)人員負(fù)責(zé)項目售后服務(wù)過程中的商