保護(hù)信息安全的措施

本文格式為Word版下載后可任意編輯和復(fù)制第第頁(yè)保護(hù)信息安全的措施現(xiàn)在是互聯(lián)網(wǎng)的時(shí)代，每家每戶基本上已經(jīng)有了電腦上網(wǎng)了，在上網(wǎng)的時(shí)候要留意好信息的平安防范，避開(kāi)造成個(gè)人的損失。以下是我給大家整理的資料，歡迎大家閱讀參考!

一、網(wǎng)站運(yùn)行平安保障措施

1、網(wǎng)站服務(wù)器和其他計(jì)算機(jī)之間設(shè)置經(jīng)公安部認(rèn)證的防火墻，并與專業(yè)網(wǎng)絡(luò)平安公司合作，做好平安策略，拒絕外來(lái)的惡意攻擊，保障網(wǎng)站正常運(yùn)行。

2、在網(wǎng)站的服務(wù)器及工作站上均安裝了正版的防病毒軟件，對(duì)計(jì)算機(jī)病毒、有害電子郵件有整套的防范措施，防止有害信息對(duì)網(wǎng)站系統(tǒng)的干擾和破壞。

3、做好生產(chǎn)日志的留存。網(wǎng)站具有保存60天以上的系統(tǒng)運(yùn)行日志和用戶使用日志記錄功能，內(nèi)容包括IP地址及使用狀況，主頁(yè)維護(hù)者、郵箱使用者和對(duì)應(yīng)的IP地址狀況等。

4、交互式欄目具備有IP地址、身份登記和識(shí)別確認(rèn)功能，對(duì)沒(méi)有合法手續(xù)和不具備條件的電子公告服務(wù)馬上關(guān)閉。

5、網(wǎng)站信息服務(wù)系統(tǒng)建立雙機(jī)熱備份機(jī)制，一旦主系統(tǒng)遇到故障或受到攻擊導(dǎo)致不能正常運(yùn)行，保證備用系統(tǒng)能準(zhǔn)時(shí)替換主系統(tǒng)供應(yīng)服務(wù)。

6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能，及相關(guān)端口，并準(zhǔn)時(shí)用補(bǔ)丁修復(fù)系統(tǒng)漏洞，定期查殺病毒。

7、服務(wù)器平常處于鎖定狀態(tài)，并保管好登錄密碼;后臺(tái)管理界面設(shè)置超級(jí)用戶名及密碼，并綁定IP，以防他人登入。

8、網(wǎng)站供應(yīng)集中式權(quán)限管理，針對(duì)不同的應(yīng)用系統(tǒng)、終端、操作人員，由網(wǎng)站系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫(kù)信息的訪問(wèn)權(quán)限，并設(shè)置相應(yīng)的密碼及口令。不同的操作人員設(shè)定不同的用戶名，且定期更換，嚴(yán)禁操作人員泄漏自己的口令。對(duì)操作人員的權(quán)限嚴(yán)格根據(jù)崗位職責(zé)設(shè)定，并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán)限。

9、公司機(jī)房根據(jù)電信機(jī)房標(biāo)準(zhǔn)建設(shè)，內(nèi)有必備的獨(dú)立UPS不間斷電源、高靈敏度的煙霧探測(cè)系統(tǒng)和消防系統(tǒng)，定期進(jìn)行電力、防火、防潮、防磁和防鼠檢查。

二、信息平安保密管理制度

1、我公司建立了健全的信息平安保密管理制度，實(shí)現(xiàn)信息平安保密責(zé)任制，切實(shí)負(fù)起確保網(wǎng)絡(luò)與信息平安保密的責(zé)任。嚴(yán)格根據(jù)“誰(shuí)主管、誰(shuí)負(fù)責(zé)”、“誰(shuí)主辦、誰(shuí)負(fù)責(zé)”的原則，落實(shí)責(zé)任制，明確責(zé)任人和職責(zé)，細(xì)化工作措施和流程，建立完善管理制度和實(shí)施方法，確保使用網(wǎng)絡(luò)和供應(yīng)信息服務(wù)的平安。

2、網(wǎng)站信息內(nèi)容更新全部由網(wǎng)站工作人員完成，工作人員素養(yǎng)高、專業(yè)水平好，有劇烈的責(zé)任心和責(zé)任感。網(wǎng)站全部信息發(fā)布之前都經(jīng)分管領(lǐng)導(dǎo)審核批準(zhǔn)。工作人員采集信息將嚴(yán)格遵守國(guó)家的有關(guān)法律、法規(guī)和相關(guān)規(guī)定。嚴(yán)禁通過(guò)我公司網(wǎng)站及短信平臺(tái)散布《互聯(lián)網(wǎng)信息管理方法》等相關(guān)法律法規(guī)明令禁止的信息(即“九不準(zhǔn)”)，一經(jīng)發(fā)覺(jué)，馬上刪除。

3、遵守對(duì)網(wǎng)站服務(wù)信息監(jiān)視，保存、清除和備份的制度。開(kāi)展對(duì)網(wǎng)絡(luò)有害信息的清理整治工作，對(duì)違法犯罪案件，報(bào)告并幫助公安機(jī)關(guān)查處。

4、全部信息都準(zhǔn)時(shí)做備份。根據(jù)國(guó)家有關(guān)規(guī)定，網(wǎng)站將保存60天內(nèi)系統(tǒng)運(yùn)行日志和用戶使用日志記錄，短信服務(wù)系統(tǒng)將保存5個(gè)月以內(nèi)的系統(tǒng)及用戶收發(fā)短信記錄。

5、制定并遵守平安教育和培訓(xùn)制度。加大宣揚(yáng)教育力度，增加用戶網(wǎng)絡(luò)平安意識(shí)，自覺(jué)遵守互聯(lián)網(wǎng)管理有關(guān)法律、法規(guī)，不泄密、不制作和傳播有害信息，不鏈接有害信息或網(wǎng)頁(yè)。

三、用戶信息平安管理制度

1、我公司嚴(yán)肅承諾敬重并愛(ài)護(hù)用戶的個(gè)人隱私，除了在與用戶簽署的隱私政策和網(wǎng)站服務(wù)條款以及其他公布的準(zhǔn)則規(guī)定的狀況下，未經(jīng)用戶授權(quán)我公司不會(huì)隨便公布與用戶個(gè)人身份有關(guān)的資料，除非有法律或程序要求。

2、全部用戶信息將得到本公司網(wǎng)站系統(tǒng)的平安保存，并在和用戶簽署的協(xié)議規(guī)定時(shí)間內(nèi)保證不會(huì)丟失;

3、嚴(yán)格遵守網(wǎng)站用戶帳號(hào)使用登記和操作權(quán)限管理制度，對(duì)用戶信息專人管理，嚴(yán)格保密，未經(jīng)允許不得向他人泄露。

信息平安簡(jiǎn)介信息平安主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的平安性。信息平安本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對(duì)不良信息的掃瞄、個(gè)人信息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息平安體系是保證信息平安的關(guān)鍵，包括計(jì)算機(jī)平安操作系統(tǒng)、各種平安協(xié)議、平安機(jī)制(數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等)，直至平安系統(tǒng)，如UniNAC、DLP等，只要存在平安漏洞便可以威逼全局平安。信息平安是指信息系統(tǒng)(包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施)受到愛(ài)護(hù)，不受偶然的或者惡意的緣由而遭到破壞、更改、泄露，系統(tǒng)連續(xù)牢靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。

信息平安學(xué)科可分為狹義平安與廣義平安兩個(gè)層次，狹義的平安是建立在以密碼論為基礎(chǔ)的計(jì)算機(jī)平安領(lǐng)域，早期中國(guó)信息平安專業(yè)通常以此為基準(zhǔn)，輔以計(jì)算機(jī)技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編程等方面的內(nèi)容;廣義的信息平安是一門綜合性學(xué)科，從傳統(tǒng)的計(jì)算機(jī)平安到信息平安，不但是名稱的變更也是對(duì)平安進(jìn)展的延長(zhǎng)，平安不在是單純的技術(shù)問(wèn)題，而是將管理、技術(shù)、法律等問(wèn)題相結(jié)合的產(chǎn)物。

信息平安產(chǎn)品

20xx年信息平安產(chǎn)業(yè)將步入高速進(jìn)展階段，而整個(gè)互聯(lián)網(wǎng)用戶對(duì)平安產(chǎn)品的要求也轉(zhuǎn)入"主動(dòng)性平安防備"。隨著用戶平安防范意識(shí)正在增加，主動(dòng)性平安產(chǎn)品將更受關(guān)注，主動(dòng)的平安防備將成為將來(lái)平安應(yīng)用的主流。

終端方案

終端平安解決方案是以終端平安愛(ài)護(hù)系統(tǒng)全方位綜合保障終端平安，并以數(shù)據(jù)平安愛(ài)護(hù)系統(tǒng)重點(diǎn)愛(ài)護(hù)終端敏感數(shù)據(jù)的平安。終端平安愛(ài)護(hù)系統(tǒng)以"主動(dòng)防備"理念為基礎(chǔ)，采納自主學(xué)問(wèn)產(chǎn)權(quán)的基于標(biāo)識(shí)的認(rèn)證技術(shù)，以智能掌握和平安執(zhí)行雙重體系結(jié)構(gòu)為基礎(chǔ)，將全面平安策略與操作系統(tǒng)有機(jī)結(jié)合，通過(guò)對(duì)代碼、端口、網(wǎng)絡(luò)連接、移動(dòng)存儲(chǔ)設(shè)備接入、數(shù)據(jù)文件加密、行為審計(jì)分級(jí)掌握，實(shí)現(xiàn)操作系統(tǒng)加固及信息系統(tǒng)的自主、可控、可管理，保障終端系統(tǒng)及數(shù)據(jù)的平安。

平安軟件

數(shù)據(jù)平安愛(ài)護(hù)系統(tǒng)能夠?qū)崿F(xiàn)數(shù)據(jù)文檔的透亮?????加解密愛(ài)護(hù)，可指定類型文件加密、指定程序創(chuàng)建文件加密，杜絕文檔泄密。實(shí)現(xiàn)數(shù)據(jù)文檔的強(qiáng)制訪問(wèn)掌握和統(tǒng)一管理掌握、敏感文件及加密密鑰的冗余存儲(chǔ)備份，包括文件權(quán)限管理、用戶管理、共享管理、外發(fā)管理、備份管理、審計(jì)管理等。對(duì)政府及企業(yè)的各種敏感數(shù)據(jù)文檔，包括設(shè)計(jì)文檔、設(shè)計(jì)圖紙、源代碼、營(yíng)銷方案、財(cái)務(wù)報(bào)表及其他各種涉及企業(yè)商業(yè)隱秘的文檔，都能實(shí)現(xiàn)穩(wěn)妥有效的愛(ài)護(hù)。信息平安影響因素

信息平安與技術(shù)的關(guān)系可以追溯到遠(yuǎn)古。埃及人在石碑上鐫刻了令人費(fèi)解的象形文字;斯巴達(dá)人使用一種稱為密碼棒的工具傳達(dá)軍事方案，羅馬時(shí)代的凱撒大帝是加密函的古代將領(lǐng)之一，"凱撒密碼"據(jù)傳是古羅馬凱撒大帝用來(lái)愛(ài)護(hù)重要軍情的加密系統(tǒng)。它是一種替代密碼，通過(guò)將字母按挨次推后3位起到加密作用，如將字母A換作字母D，將字母B換作字母E。英國(guó)計(jì)算機(jī)科學(xué)之父阿蘭·圖靈在英國(guó)布萊切利莊園關(guān)心破解了德國(guó)海軍的Enigma密電碼，轉(zhuǎn)變了二次世界大戰(zhàn)的進(jìn)程。美國(guó)NIST將信息平安掌握分為3類。

(1)技術(shù)，包括產(chǎn)品和過(guò)程(例如防火墻、防病毒軟件、侵入檢測(cè)、加密技術(shù))。

(2)操作，主要包括加強(qiáng)機(jī)制和方法、訂正運(yùn)行缺陷、各種威逼造成的運(yùn)行缺陷、物理進(jìn)入掌握、備份力量、免予環(huán)境威逼的愛(ài)護(hù)。

(3)管理，包括使用政策、員工培訓(xùn)、業(yè)務(wù)規(guī)劃、基于信息平安的非技術(shù)領(lǐng)域。信息系統(tǒng)平安涉及政策法規(guī)、教育、管理標(biāo)準(zhǔn)、技術(shù)等方面，任何單一層次的平安措施都不能供應(yīng)全方位的平安，平安問(wèn)題應(yīng)從系統(tǒng)工程的角度來(lái)考慮。圖8-1給出了NSTISSC平安模型。

平安威逼

(1)信息泄露:信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。

(2)破壞信息的完整性:數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。

(3)拒絕服務(wù):對(duì)信息或其他資源的合法訪問(wèn)被無(wú)條件地阻擋。

(4)非法使用(非授權(quán)訪問(wèn)):某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。

(5)竊聽(tīng):用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對(duì)通信線路中傳輸?shù)男盘?hào)搭線監(jiān)聽(tīng)，或者利用通信設(shè)備在工作過(guò)程中產(chǎn)生的電磁泄露截取有用信息等。

(6)業(yè)務(wù)流分析:通過(guò)對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽(tīng)，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行討論，從中發(fā)覺(jué)有價(jià)值的信息和規(guī)律。

(7)假冒:通過(guò)哄騙通信系統(tǒng)(或用戶)達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采納假冒攻擊。

(8)旁路掌握:攻擊者利用系統(tǒng)的平安缺陷或平安性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過(guò)各種攻擊手段發(fā)覺(jué)原本應(yīng)保密，但是卻又暴露出來(lái)的一些系統(tǒng)"特性"，利用這些"特性"，攻擊者可以繞過(guò)防線保衛(wèi)者侵入系統(tǒng)的內(nèi)部。

(9)授權(quán)侵害:被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作"內(nèi)部攻擊"。

(10)特洛伊木馬:軟件中含有一個(gè)覺(jué)察不出的有害的程序段，當(dāng)它被執(zhí)行時(shí)，會(huì)破壞用戶的平安。這種應(yīng)用程序稱為特洛伊木馬(TrojanHorse)。

(11)陷阱門:在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的"機(jī)關(guān)"，使得在特定的數(shù)據(jù)輸入時(shí)，允許違反平安策略。

(12)抵賴:這是一種來(lái)自用戶的攻擊，比如:否認(rèn)自己曾經(jīng)發(fā)布過(guò)的某條消息、偽造一份對(duì)方來(lái)信等。

(13)重放:出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝，而重新發(fā)送。

(14)計(jì)算機(jī)病毒:一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序。

(15)人員不慎:一個(gè)授權(quán)的人為了某種利益，或由于馬虎，將信息泄露給一個(gè)非授權(quán)的人。

(16)媒體廢棄:信息被從廢棄的磁碟或打印過(guò)的存儲(chǔ)介質(zhì)中獲得。

(17)物理侵入:侵入者繞過(guò)物理掌握而獲得對(duì)系統(tǒng)的訪問(wèn)。

(18)竊取:重要的平安物品，如令牌或身份卡被盜。

(19)業(yè)務(wù)哄騙:某一偽系統(tǒng)或系統(tǒng)部件哄騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等等。

信息平安的重要性信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對(duì)于人類具有特殊重要的意義。信息平安的實(shí)質(zhì)就是要愛(ài)護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威逼、干擾和破壞，即保證信息的平安性。依據(jù)國(guó)際標(biāo)準(zhǔn)化組織的定義，信息平安性的含義主要是指信息的完整性、可用性、保密性和牢靠性。信息平安是任何國(guó)家、政府、部門、行業(yè)都必需非常重視的問(wèn)題，是一個(gè)不容忽視的國(guó)家平安戰(zhàn)略。但是，對(duì)于不同的部門和行業(yè)來(lái)說(shuō)，其對(duì)信息平安的要求和重點(diǎn)卻是有區(qū)分的。

中國(guó)的改革開(kāi)放帶來(lái)了各方面信息量的急劇增加，并要求大容量、高效率地傳輸這些信息。為了適應(yīng)這一形勢(shì)，通信技術(shù)發(fā)生了前所未有的爆炸性進(jìn)展。除有線通信外，短波、超短波、微波、衛(wèi)星等無(wú)線電通信也正在越來(lái)越廣泛地應(yīng)用。與此同時(shí)，國(guó)外敵對(duì)勢(shì)力為了竊取中國(guó)的政治、軍事、經(jīng)濟(jì)、科學(xué)技術(shù)等方面的隱秘信息，運(yùn)用偵察臺(tái)、偵察船、偵察機(jī)、衛(wèi)星等手段，形成固定與移動(dòng)、遠(yuǎn)距離與近距離、空中與地面相結(jié)合的立體偵察網(wǎng)，截取中國(guó)通信傳輸中的信息。

從文獻(xiàn)中了解一個(gè)社會(huì)的內(nèi)幕，早已是司空見(jiàn)慣的事情。在20世紀(jì)后50年中，從社會(huì)所屬計(jì)算機(jī)中了解一個(gè)社會(huì)的內(nèi)幕，正變得越來(lái)越簡(jiǎn)單。不管是機(jī)構(gòu)還是個(gè)人，正把日益繁多的事情托付給計(jì)算機(jī)來(lái)完成，敏感信息正經(jīng)過(guò)脆弱的通信線路在計(jì)算機(jī)系統(tǒng)之間傳送，專用信息在計(jì)算機(jī)內(nèi)存儲(chǔ)或在計(jì)算機(jī)之間傳送，電子銀行業(yè)務(wù)使財(cái)務(wù)賬目可通過(guò)通信線路查閱，執(zhí)法部門從計(jì)算機(jī)中了解罪犯的前科，醫(yī)生們用計(jì)算機(jī)管理病歷，最重要的問(wèn)題是不能在對(duì)非法(非授權(quán))獵取(訪問(wèn))不加防范的條件下傳輸信息。

傳輸信息的方式許多，有局域計(jì)算機(jī)網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫(kù)，有蜂窩式無(wú)線、分組交換式無(wú)線、衛(wèi)星電視會(huì)議、電子郵件及其它各種傳輸技術(shù)。信息在存儲(chǔ)、處理和交換過(guò)程中，都存在泄密或被截收、竊聽(tīng)、竄改和偽造的可能性。不難看出，單一的保密措施已很難保證通信和信息的平安，必需綜合應(yīng)用各種保密措施，即通過(guò)技術(shù)的、管理的、行政的手段，實(shí)現(xiàn)信源、信號(hào)、信息三個(gè)環(huán)節(jié)的愛(ài)護(hù)，藉以達(dá)到隱秘信息平安的目的。

愛(ài)護(hù)信息平安的方案篇一某市政府中心網(wǎng)絡(luò)平安方案設(shè)計(jì)

1.1平安系統(tǒng)建設(shè)目標(biāo)

本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)供應(yīng)全面的網(wǎng)絡(luò)系統(tǒng)平安解決方案，包括平安管理制度策略的制定、平安策略的實(shí)施體系結(jié)構(gòu)的設(shè)計(jì)、平安產(chǎn)品的選擇和部署實(shí)施，以及長(zhǎng)期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面平安管理。

1)將平安策略、硬件及軟件等方法結(jié)合起來(lái)，構(gòu)成一個(gè)統(tǒng)一的防備系統(tǒng)，有效阻擋非法用戶進(jìn)入網(wǎng)絡(luò)，削減網(wǎng)絡(luò)的平安風(fēng)險(xiǎn);

2)通過(guò)部署不同類型的平安產(chǎn)品，實(shí)現(xiàn)對(duì)不同層次、不同類別網(wǎng)絡(luò)平安問(wèn)題的防護(hù);

3)使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地削減損失。

詳細(xì)來(lái)說(shuō)，本平安方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問(wèn)掌握，并能夠?qū)χ匾莆拯c(diǎn)進(jìn)行細(xì)粒度的訪問(wèn)掌握;

其次，對(duì)于通過(guò)對(duì)網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)重要服務(wù)器的運(yùn)行狀況進(jìn)行全面監(jiān)控。

1.1.1防火墻系統(tǒng)設(shè)計(jì)方案

防火墻對(duì)服務(wù)器的平安愛(ài)護(hù)

網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理力量強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器供應(yīng)的各種服務(wù)本身有可能成為"黑客"攻擊的突破口，因此，在實(shí)施方案時(shí)要對(duì)服務(wù)器的平安進(jìn)行一系列平安愛(ài)護(hù)。

假如服務(wù)器沒(méi)有加任何平安防護(hù)措施而直接放在公網(wǎng)上供應(yīng)對(duì)外服務(wù)，就會(huì)面臨著"黑客"各種方式的攻擊，平安級(jí)別很低。因此當(dāng)安裝防火墻后，全部訪問(wèn)服務(wù)器的懇求都要經(jīng)過(guò)防火墻平安規(guī)章的具體檢測(cè)。只有訪問(wèn)服務(wù)器的懇求符合防火墻平安規(guī)章后，才能通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵擋了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部格外界攻擊。

防火墻對(duì)內(nèi)部非法用戶的防范

網(wǎng)絡(luò)內(nèi)部的環(huán)境比較簡(jiǎn)單，而且各子網(wǎng)的分布地域?qū)掗?，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的牢靠性并不能得到完全的保證。特殊是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問(wèn)掌握和平安防范就顯得特殊重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的牢靠性和平安性，我們必需要對(duì)它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。

對(duì)于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎全部的服務(wù)，網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的平安防范，特殊是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒(méi)有進(jìn)行基本的安

全防范處理，整個(gè)系統(tǒng)的平安性簡(jiǎn)單受到內(nèi)部用戶攻擊的威逼，平安等級(jí)不高。依據(jù)國(guó)際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問(wèn)分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問(wèn)，即單機(jī)到單機(jī)訪問(wèn)。這一層次上的應(yīng)用主要有用戶共享文件的傳輸(NETBIOS)應(yīng)用;其次，是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問(wèn)，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)平安防范的意識(shí)不高，假如內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無(wú)法避開(kāi)地遭到損害，特殊是針對(duì)于NETBIOS文件共享協(xié)議，已經(jīng)有許多的漏洞在網(wǎng)上公開(kāi)報(bào)道，假如網(wǎng)絡(luò)主機(jī)愛(ài)護(hù)不完善，就可能被內(nèi)部用戶利用"黑客"工具造成嚴(yán)峻破壞。

1.1.2入侵檢測(cè)系統(tǒng)

利用防火墻技術(shù)，經(jīng)過(guò)認(rèn)真的配置，通常能夠在內(nèi)外網(wǎng)之間供應(yīng)平安的網(wǎng)絡(luò)愛(ài)護(hù)，降低了網(wǎng)絡(luò)平安風(fēng)險(xiǎn)，但是入侵者可查找防火墻背后可能放開(kāi)的后門，入侵者也可能就在防火墻內(nèi)。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)位于有敏感數(shù)據(jù)需要愛(ài)護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，查找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。當(dāng)發(fā)覺(jué)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠依據(jù)系統(tǒng)平安策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、大事登錄，或執(zhí)行用戶自定義的平安策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中有平安風(fēng)險(xiǎn)的地方，如局域網(wǎng)出入口、重點(diǎn)愛(ài)護(hù)主機(jī)、遠(yuǎn)程接入服務(wù)器、內(nèi)部網(wǎng)重點(diǎn)工作站組等。在重點(diǎn)愛(ài)護(hù)區(qū)域，可以單獨(dú)各部署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)(管理器+探測(cè)引擎)，也可以在每個(gè)需要愛(ài)護(hù)的地方單獨(dú)部署一個(gè)探測(cè)引擎，在全網(wǎng)使用一個(gè)管理器，這種方式便于進(jìn)行集中管理。

在內(nèi)部應(yīng)用網(wǎng)絡(luò)中的重要網(wǎng)段，使用網(wǎng)絡(luò)探測(cè)引擎，監(jiān)視并記錄該網(wǎng)段上的全部操作，在肯定程度上防止非法操作和惡意攻擊網(wǎng)絡(luò)中的重要服務(wù)器和主機(jī)。同時(shí)，網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作的過(guò)程，可關(guān)心平安管理員發(fā)覺(jué)網(wǎng)絡(luò)平安的隱患。

需要說(shuō)明的是，IDS是對(duì)防火墻的特別有必要的附加而不僅僅是簡(jiǎn)潔的補(bǔ)充。

根據(jù)現(xiàn)階段的網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不同的網(wǎng)絡(luò)平安風(fēng)險(xiǎn)區(qū)域，x市政府本期網(wǎng)絡(luò)平安系統(tǒng)項(xiàng)目的需求為：

區(qū)域部署平安產(chǎn)品

內(nèi)網(wǎng)連接到Internet的出口處安裝兩臺(tái)互為雙機(jī)熱備的海信FW3010PF-4000型百兆防火墻;在主干交換機(jī)上安裝海信千兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器;在主干交換機(jī)上安裝NetHawk網(wǎng)絡(luò)平安監(jiān)控與審計(jì)系統(tǒng);在內(nèi)部工作站上安裝趨勢(shì)防毒墻網(wǎng)絡(luò)版防病毒軟件;在各服務(wù)器上安裝趨勢(shì)防毒墻服務(wù)器版防病毒軟件。

DMZ區(qū)在服務(wù)器上安裝趨勢(shì)防毒墻服務(wù)器版防病毒軟件;安裝一臺(tái)InterScan

VirusWall防病毒網(wǎng)關(guān);安裝百兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器和NetHawk網(wǎng)絡(luò)平安監(jiān)控與審計(jì)系統(tǒng)。

平安監(jiān)控與備份中心安裝FW3010-5000千兆防火墻，安裝RJ-iTOP榕基網(wǎng)絡(luò)平安漏洞掃描器;安裝眼鏡蛇入侵檢測(cè)系統(tǒng)掌握臺(tái)和百兆探測(cè)器;安裝趨勢(shì)防毒墻服務(wù)器版管理服務(wù)器，趨勢(shì)防毒墻網(wǎng)絡(luò)版管理服務(wù)器，對(duì)各防病毒軟件進(jìn)行集中管理。

1.2防火墻平安系統(tǒng)技術(shù)方案

某市政府局域網(wǎng)是應(yīng)用的中心，存在大量敏感數(shù)據(jù)和應(yīng)用，因此必需設(shè)計(jì)一個(gè)高平安性、高牢靠性及高性能的防火墻平安愛(ài)護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬(wàn)無(wú)一失。

全部的局域網(wǎng)計(jì)算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到主干交換機(jī)上。由于工作站分布較廣且全部連接,對(duì)中心的服務(wù)器及應(yīng)用構(gòu)成了極大的威逼，尤其是可能通過(guò)廣域網(wǎng)上的工作站直接攻擊服務(wù)器。因此，必需將中心與廣域網(wǎng)進(jìn)行隔離防護(hù)。考慮到效率，數(shù)據(jù)主要在主干交換機(jī)上流通，通過(guò)防火墻流入流出的流量不會(huì)超過(guò)百兆，因此使用百兆防火墻就完全可以滿意要求。

如下圖，我們?cè)谥行臋C(jī)房的DMZ服務(wù)區(qū)上安裝兩臺(tái)互為冗余備份的海信FW3010PF-4000百兆防火墻，DMZ口通過(guò)交換機(jī)與WWW/FTP、DNS/MAIL服務(wù)器連接。同時(shí)，安裝一臺(tái)Fw3010PF-5000千兆防火墻，將平安與備份中心與其他區(qū)域規(guī)律隔離開(kāi)來(lái)通過(guò)安裝防火墻，實(shí)現(xiàn)下列的平安目標(biāo)：

1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、平安監(jiān)控與備份中心進(jìn)行有效隔離，避開(kāi)與外部網(wǎng)絡(luò)直接通信;

2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的平安愛(ài)護(hù)措施，保證系統(tǒng)平安;

3)利用防火墻對(duì)來(lái)自外網(wǎng)的服務(wù)懇求進(jìn)行掌握，使非法訪問(wèn)在到達(dá)主機(jī)前被拒絕;

4)利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問(wèn)認(rèn)證，同時(shí)在不影響用戶正常訪問(wèn)的基礎(chǔ)上將用戶的訪問(wèn)權(quán)限掌握在最低限度內(nèi);

5)利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問(wèn)，準(zhǔn)時(shí)發(fā)覺(jué)和阻擋非法操作;

6)利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立其次條防線;

7)依據(jù)需要設(shè)置流量掌握規(guī)章，實(shí)現(xiàn)網(wǎng)絡(luò)流量掌握，并設(shè)置基于時(shí)間段的訪問(wèn)掌握。

1.3入侵檢測(cè)系統(tǒng)技術(shù)方案

如下圖所示，我們建議在局域網(wǎng)中心交換機(jī)安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)千兆探測(cè)器，DMZ區(qū)交換機(jī)上安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)百兆探測(cè)器，用以實(shí)時(shí)檢測(cè)局域網(wǎng)用戶和外網(wǎng)用戶對(duì)主機(jī)的訪問(wèn)，在平安監(jiān)控與備份中心安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)百兆探測(cè)器和海信眼鏡蛇入侵檢測(cè)系統(tǒng)掌握臺(tái)，由系統(tǒng)掌握臺(tái)進(jìn)行統(tǒng)一的管理(統(tǒng)一大事庫(kù)升級(jí)、統(tǒng)一平安防護(hù)策略、統(tǒng)一上報(bào)日志生成報(bào)表)。

其中，海信眼鏡蛇網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以與海信FW3010PF防火墻進(jìn)行聯(lián)動(dòng)，一旦發(fā)覺(jué)由外部發(fā)起的攻擊行為，將向防火墻發(fā)送通知報(bào)文，由防火墻來(lái)阻斷連接，實(shí)現(xiàn)動(dòng)態(tài)的平安防護(hù)體系。海信眼鏡蛇入侵檢測(cè)系統(tǒng)可以聯(lián)動(dòng)的防火墻有：海信FW3010PF防火墻，支持OPSEC協(xié)議的防火墻。

通過(guò)使用入侵檢測(cè)系統(tǒng)，我們可以做到：

1)對(duì)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行檢測(cè)，防止黑客的入侵;2)對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測(cè)，防止入侵者的蓄意破壞和篡改;3)監(jiān)視內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作;4)對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)覺(jué)入侵行為的規(guī)律;5)實(shí)時(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動(dòng);6)對(duì)關(guān)鍵正常大事及特別行為記錄日志，進(jìn)行審計(jì)跟蹤管理。

通過(guò)使用海信眼鏡蛇入侵檢測(cè)系統(tǒng)可以簡(jiǎn)單的完成對(duì)以下的攻擊識(shí)別：網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dos&Ddos攻擊、緩沖區(qū)溢出攻擊、Web攻擊、后門攻擊等。

網(wǎng)絡(luò)給某市政府帶來(lái)巨大便利的同時(shí)，也帶來(lái)了很多挑戰(zhàn)，其中平安問(wèn)題尤為突出。加上一些人缺乏平安掌握機(jī)制和對(duì)網(wǎng)絡(luò)平安政策及防護(hù)意識(shí)的熟悉不足，這些風(fēng)險(xiǎn)會(huì)日益加重。引起這些風(fēng)險(xiǎn)的緣由有多種，其中網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素尤為重要。主要涉及物理平安、鏈路平安、網(wǎng)絡(luò)平安、系統(tǒng)平安、應(yīng)用平安及管理平安等方面。通過(guò)以上方案的設(shè)計(jì)和實(shí)施，全部平安隱患就得到了良好的改善。

愛(ài)護(hù)信息平安的方案篇二一、客戶背景

集團(tuán)內(nèi)聯(lián)網(wǎng)主要以總部局域網(wǎng)為核心，采納廣域網(wǎng)方式與外地子公司聯(lián)網(wǎng)。集團(tuán)廣域網(wǎng)采納MPLS-技術(shù)，用來(lái)為各個(gè)分公司供應(yīng)骨干網(wǎng)絡(luò)平臺(tái)和接入，各個(gè)分公司可以在集團(tuán)的骨干信息網(wǎng)絡(luò)系統(tǒng)上建設(shè)各自的子系統(tǒng)，確保各類系統(tǒng)間的相互獨(dú)立。

二、平安威逼

某公司屬于大型上市公司，在北京，上海、廣州等地均有分公司。公司內(nèi)部采納無(wú)紙化辦公，OA系統(tǒng)成熟。每個(gè)局域網(wǎng)連接著該全部部門，全部的數(shù)據(jù)都從局域網(wǎng)中傳遞。同時(shí)，各分公司采納技術(shù)連接公司總部。該單位為了便利，將相當(dāng)一部分業(yè)務(wù)放在了對(duì)外開(kāi)放的網(wǎng)站上，網(wǎng)站也成為了既是對(duì)形狀象窗口又是內(nèi)部辦公窗口。

由于網(wǎng)絡(luò)設(shè)計(jì)部署上的缺陷，該單位局域網(wǎng)在建成后就不斷消失網(wǎng)絡(luò)擁堵、網(wǎng)速特殊慢的狀況，同時(shí)有些個(gè)別機(jī)器上的殺毒軟件頻頻消失病毒報(bào)警，網(wǎng)絡(luò)常常癱瘓，每次時(shí)間都持續(xù)幾非常鐘，網(wǎng)管簡(jiǎn)直成了救火隊(duì)員，忙著清除病毒，重裝系統(tǒng)。對(duì)外WEB網(wǎng)站同樣也遭到黑客攻擊，網(wǎng)頁(yè)遭到非法篡改，有些網(wǎng)頁(yè)甚至成了傳播不良信息的平臺(tái)，不僅影響到網(wǎng)站的正常運(yùn)行，而且還對(duì)政府形象也造成不良影響。(平安威逼依據(jù)拓?fù)鋱D分析)從網(wǎng)絡(luò)平安威逼看，集團(tuán)網(wǎng)絡(luò)的威逼主要包括外部的攻擊和入侵、內(nèi)部的攻擊或誤用、企業(yè)內(nèi)的病毒傳播，以及平安管理漏洞等信息平安現(xiàn)狀：經(jīng)過(guò)分析發(fā)覺(jué)該公司信息平安基本上是空白，主要有以下問(wèn)題：

公司沒(méi)有制定信息平安政策，信息管理不健全。公司在建內(nèi)網(wǎng)時(shí)與internet的連接沒(méi)有防火墻。內(nèi)部網(wǎng)絡(luò)(同一城市的各分公司)之間沒(méi)有任何平安保障為了讓網(wǎng)絡(luò)正常運(yùn)行。

依據(jù)我國(guó)《信息平安等級(jí)愛(ài)護(hù)管理方法》的信息平安要求，近期公司打算對(duì)該網(wǎng)絡(luò)加強(qiáng)平安防護(hù)，解決目前網(wǎng)絡(luò)消失的平安問(wèn)題。

三、平安需求

從平安性和有用性角度考慮，平安需求主要包括以下幾個(gè)方面：

1、平安管理詢問(wèn)

平安建設(shè)應(yīng)當(dāng)遵照7分管理3分技術(shù)的原則，通過(guò)本次平安項(xiàng)目，可以發(fā)覺(jué)集團(tuán)現(xiàn)有平安問(wèn)題，并且?guī)椭⑵鹜晟频钠桨补芾砗推桨步M織體系。

2、集團(tuán)骨干網(wǎng)絡(luò)邊界平安

主要考慮骨干網(wǎng)絡(luò)中Internet出口處的平安，以及移動(dòng)用戶、遠(yuǎn)程撥號(hào)訪問(wèn)用戶的平安。

3、集團(tuán)骨干網(wǎng)絡(luò)服務(wù)器平安

主要考慮骨干網(wǎng)絡(luò)中網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的服務(wù)器，包括OA、財(cái)務(wù)、人事、內(nèi)部WEB等內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和平安管理服務(wù)器區(qū)的平安。

4、集團(tuán)內(nèi)聯(lián)網(wǎng)統(tǒng)一的病毒防護(hù)

主要考慮集團(tuán)內(nèi)聯(lián)網(wǎng)中，包括總公司在內(nèi)的全部公司的病毒防護(hù)。

5、統(tǒng)一的增加口令認(rèn)證系統(tǒng)

由于系統(tǒng)管理員需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備，如何確?？诹钇桨卜Q為一個(gè)重要的問(wèn)題。

6、統(tǒng)一的平安管理平臺(tái)

通過(guò)在集團(tuán)內(nèi)聯(lián)網(wǎng)部署統(tǒng)一的平安管理平臺(tái)，實(shí)現(xiàn)集團(tuán)總部對(duì)全網(wǎng)平安狀況的集中監(jiān)測(cè)、平安策略的統(tǒng)一配置管理、統(tǒng)計(jì)分析各類平安大事、以及處理各種平安突發(fā)大事。

7、專業(yè)平安服務(wù)

過(guò)專業(yè)平安服務(wù)建立全面的平安策略、管理組織體系及相關(guān)管理制度，全面評(píng)估企業(yè)網(wǎng)絡(luò)中的信息資產(chǎn)及其面臨的平安風(fēng)險(xiǎn)狀況，在必要的狀況下，進(jìn)行主機(jī)加固和網(wǎng)絡(luò)加固。通過(guò)專業(yè)緊急響應(yīng)服務(wù)保證企業(yè)在面臨緊急大事?tīng)顩r下的處理力量，降低平安風(fēng)險(xiǎn)。

四、方案設(shè)計(jì)

骨干網(wǎng)邊界平安

集團(tuán)骨干網(wǎng)共有一個(gè)Internet出口，位置在總部，在Internet出口處部署LinkTrustCyberwall-200F/006防火墻一臺(tái)。

在Internet出口處部署一臺(tái)LinkTrustNetworkDefender領(lǐng)信網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，通過(guò)交換機(jī)端口鏡像的方式，將進(jìn)出Internet的流量鏡像到入侵檢測(cè)的監(jiān)聽(tīng)端口，LinkTrust

NetworkDefender可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的特別流量，防止惡意入侵。

在各個(gè)分公司中添加一個(gè)DMZ區(qū)，保證各公司的信息平安，內(nèi)部網(wǎng)絡(luò)(同一城市的各分公司)之間沒(méi)有任何平安保障骨干網(wǎng)服務(wù)器平安

集團(tuán)骨干網(wǎng)服務(wù)器主要指網(wǎng)絡(luò)中的網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的應(yīng)用服務(wù)器包括OA、財(cái)務(wù)、人事、內(nèi)部WEB等，以及專為此次項(xiàng)目配置的、用于平安產(chǎn)品管理的服務(wù)器的平安。主要考慮為在服務(wù)器區(qū)配置千兆防火墻，實(shí)現(xiàn)服務(wù)器區(qū)與辦公區(qū)的隔離，并將內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和平安管理服務(wù)器區(qū)在防火墻上實(shí)現(xiàn)規(guī)律隔離。還考慮到在服務(wù)器區(qū)配置主機(jī)入侵檢測(cè)系統(tǒng)，在網(wǎng)絡(luò)中配置百兆網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)主機(jī)及網(wǎng)絡(luò)層面的主動(dòng)防護(hù)。

漏洞掃描

了解自身平安狀況，目前面臨的平安威逼，存在的平安隱患，以及定期的了解存在那些平安漏洞，新消失的平安問(wèn)題等，都要求信息系統(tǒng)自身和用戶作好平安評(píng)估。平安評(píng)估主要分成網(wǎng)絡(luò)平安評(píng)估、主機(jī)平安評(píng)估和數(shù)據(jù)庫(kù)平安評(píng)估三個(gè)層面。

內(nèi)聯(lián)網(wǎng)病毒防護(hù)

病毒防范是網(wǎng)絡(luò)平安的一個(gè)基本的、重要部分。通過(guò)對(duì)病毒傳播、感染的各種方式和途徑進(jìn)行分析，結(jié)合集團(tuán)網(wǎng)絡(luò)的特點(diǎn)，在網(wǎng)絡(luò)平安的病毒防護(hù)方面應(yīng)當(dāng)采納“多級(jí)防范，集中管理，以防為主、防治結(jié)合”的動(dòng)態(tài)防毒策略。

病毒防護(hù)體系主要由桌面網(wǎng)絡(luò)防毒、服務(wù)器防毒和郵件防毒三個(gè)方面。

增加的身份認(rèn)證系統(tǒng)

由于需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備，如何確?？诹钇桨惨彩且粋€(gè)特別重要的問(wèn)題。減小口令危急的最為有效的方法是采納雙因素認(rèn)證方式。雙因素認(rèn)證機(jī)制不僅僅需要用戶供應(yīng)一個(gè)類似于口令或者PIN的單一識(shí)別要素，而且需要其次個(gè)要素，也即用戶擁有的，通常是認(rèn)證令牌，這種雙因素認(rèn)證方式供應(yīng)了比可重用的口令牢靠得多的用戶認(rèn)證級(jí)別。用戶除了知道他的PIN號(hào)碼外，還必需擁有一個(gè)認(rèn)證令牌。而且口令一般是一次性的，這樣每次的口令是動(dòng)態(tài)變化的，大大提高了平安性。

統(tǒng)一平安平臺(tái)的建立

通過(guò)建立統(tǒng)一的平安管理平臺(tái)(平安運(yùn)行管理中心—SOC)，建立起集團(tuán)的平安風(fēng)險(xiǎn)監(jiān)控體系，利于從全局的角度發(fā)覺(jué)網(wǎng)絡(luò)中存在的平安問(wèn)題，并準(zhǔn)時(shí)歸并相關(guān)人員處理。這里的風(fēng)險(xiǎn)監(jiān)控體系包括平安信息庫(kù)、平安大事收集管理系統(tǒng)、平安工單系統(tǒng)等，同時(shí)開(kāi)發(fā)有效的多種手段實(shí)時(shí)告警系統(tǒng)，定制高效的平安報(bào)表系統(tǒng)。

五、網(wǎng)絡(luò)管理：

(1)故障管理

故障管理是網(wǎng)絡(luò)管理中最基本的功能之一。用戶都盼望有一個(gè)牢靠的計(jì)算機(jī)網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)中某個(gè)組成失效時(shí),網(wǎng)絡(luò)管理器必需快速查找到故障并準(zhǔn)時(shí)排解。通常不大可能快速隔離某個(gè)故障,由于網(wǎng)絡(luò)故障的產(chǎn)生緣由往往相當(dāng)簡(jiǎn)單,特殊是當(dāng)故障是由多個(gè)網(wǎng)絡(luò)組成共同引起的。在此狀況下,一般先將網(wǎng)絡(luò)修復(fù),然后再分析網(wǎng)絡(luò)故障的緣由。分析故障緣由對(duì)于防止類似故障的再發(fā)生相當(dāng)重要。網(wǎng)絡(luò)故障管理包括故障檢測(cè)、隔離和訂正三方面,應(yīng)包括以下典型功能:

(1)故障監(jiān)測(cè)：主動(dòng)探測(cè)或被動(dòng)接收網(wǎng)絡(luò)上的各種大事信息，并識(shí)別出其中與網(wǎng)絡(luò)和系統(tǒng)故障相關(guān)的內(nèi)容，對(duì)其中的關(guān)鍵部分保持跟蹤，生成網(wǎng)絡(luò)故障大事記錄。

(2)故障報(bào)警：接收故障監(jiān)測(cè)模塊傳來(lái)的報(bào)警信息，依據(jù)報(bào)警策略驅(qū)動(dòng)不同的報(bào)警程序，以報(bào)警窗口/振鈴(通知一線網(wǎng)絡(luò)管理人員)或電子郵件(通知決策管理人員)發(fā)出網(wǎng)絡(luò)嚴(yán)峻故障警報(bào)。

(3)故障信息管理：依靠對(duì)大事記錄的分析，定義網(wǎng)絡(luò)故障并生成故障卡片，記錄排解故障的步驟和與故障相關(guān)的值班員日志，構(gòu)造排錯(cuò)行動(dòng)記錄，將大事-故障-日志構(gòu)成規(guī)律上相互關(guān)聯(lián)的整體，以反映故障產(chǎn)生、變化、消退的整個(gè)過(guò)程的各個(gè)方面。

(4)排錯(cuò)支持工具：向管理人員供應(yīng)一系列的實(shí)時(shí)檢測(cè)工具，對(duì)被管設(shè)備的狀況進(jìn)行測(cè)試并記錄下測(cè)試結(jié)果以供技術(shù)人員分析和排錯(cuò);依據(jù)已有的徘錯(cuò)閱歷和管理員對(duì)故障狀態(tài)的描述給出對(duì)徘錯(cuò)行動(dòng)的提示。

(5)檢索/分析故障信息：瀏閱并且以關(guān)鍵字檢索查詢故障管理系統(tǒng)中全部的數(shù)據(jù)庫(kù)記錄，定期收集故障記錄數(shù)據(jù)，在此基礎(chǔ)上給出被管網(wǎng)絡(luò)系統(tǒng)、被管線路設(shè)備的牢靠性參數(shù)。對(duì)網(wǎng)絡(luò)故障的檢測(cè)依據(jù)對(duì)網(wǎng)絡(luò)組成部件狀態(tài)的監(jiān)測(cè)。不嚴(yán)峻的簡(jiǎn)潔故障通常被記錄在錯(cuò)誤日志中,并不作特殊處理;而嚴(yán)峻一些的故障則需要通知網(wǎng)絡(luò)管理器,即所謂的"警報(bào)"。一般網(wǎng)絡(luò)管理器應(yīng)依據(jù)有關(guān)信息對(duì)警報(bào)進(jìn)行處理,排解故障。當(dāng)故障比較簡(jiǎn)單時(shí),網(wǎng)絡(luò)管理器應(yīng)能執(zhí)行一些診斷測(cè)試來(lái)辨別故障緣由。

(2)計(jì)費(fèi)管理

計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用,目的是掌握和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。它對(duì)一些公共商業(yè)網(wǎng)絡(luò)尤為重要。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價(jià),以及已經(jīng)使用的資源。網(wǎng)絡(luò)管理員還可規(guī)定用戶可使用的最大費(fèi)用,從而掌握用戶過(guò)多占用和使用網(wǎng)絡(luò)資源。這也從另一方面提高了網(wǎng)絡(luò)的效率。另外,當(dāng)用戶為了一個(gè)通信目的需要使用多個(gè)網(wǎng)絡(luò)中的資源時(shí),計(jì)費(fèi)管理應(yīng)可計(jì)算總計(jì)費(fèi)用。

(1)計(jì)費(fèi)數(shù)據(jù)采集：計(jì)費(fèi)數(shù)據(jù)采集是整個(gè)計(jì)費(fèi)系統(tǒng)的基礎(chǔ)，但計(jì)費(fèi)數(shù)據(jù)采集往往受到采集設(shè)備硬件與軟件的制約，而且也與進(jìn)行計(jì)費(fèi)的網(wǎng)絡(luò)資源有關(guān)。(2)數(shù)據(jù)管理與數(shù)據(jù)維護(hù)：計(jì)費(fèi)管理人工交互性很強(qiáng)，雖然有許多數(shù)據(jù)維護(hù)系統(tǒng)自動(dòng)完成，但仍舊需要人為管理，包括交納費(fèi)用的輸入、聯(lián)網(wǎng)單位信息維護(hù)，以及賬單樣式打算等。

(3)計(jì)費(fèi)政策制定;由于計(jì)費(fèi)政策常常敏捷變化，因此實(shí)現(xiàn)用戶自由制定輸入計(jì)費(fèi)政策尤其重要。這樣需要一個(gè)制定計(jì)費(fèi)政策的友好人機(jī)界面和完善的實(shí)現(xiàn)計(jì)費(fèi)政策的數(shù)據(jù)模型。

(4)政策比較與決策支持：計(jì)費(fèi)管理應(yīng)當(dāng)供應(yīng)多套計(jì)費(fèi)政策的數(shù)據(jù)比較，為政策制訂供應(yīng)決策依據(jù)。

(5)數(shù)據(jù)分析與費(fèi)用計(jì)算：利用采集的網(wǎng)絡(luò)資源使用數(shù)據(jù)，聯(lián)網(wǎng)用戶的具體信息以及計(jì)費(fèi)政策計(jì)算網(wǎng)絡(luò)用戶資源的使用狀況，并計(jì)算出應(yīng)交納的費(fèi)用。

(6)數(shù)據(jù)查詢：供應(yīng)給每個(gè)網(wǎng)絡(luò)用戶關(guān)于自身使用網(wǎng)絡(luò)資源狀況的具體信息，網(wǎng)絡(luò)用戶依據(jù)這些信息可以計(jì)算、核對(duì)自己的收費(fèi)狀況。

(3)配置管理

配置管理同樣相當(dāng)重要。它初始化網(wǎng)絡(luò)、并配置網(wǎng)絡(luò),以使其供應(yīng)網(wǎng)絡(luò)服務(wù)。配置管理是一組對(duì)辨別、定義、掌握和監(jiān)視組成一個(gè)通信網(wǎng)絡(luò)的對(duì)象所必要的相關(guān)功能,目的是為了實(shí)現(xiàn)某個(gè)特定功能或使網(wǎng)絡(luò)性能達(dá)到最優(yōu)。

(1)配置信息的自動(dòng)獵?。涸谝粋€(gè)大型網(wǎng)絡(luò)中，需要管理的設(shè)備是比較多的，假如每個(gè)設(shè)備的配置信息都完全依靠管理人員的手工輸入，工作量是相當(dāng)大的，而且還存在出錯(cuò)的可能性。對(duì)于不熟識(shí)網(wǎng)絡(luò)結(jié)構(gòu)的人員來(lái)說(shuō)，這項(xiàng)工作甚至無(wú)法完成‘因此，一個(gè)先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)應(yīng)當(dāng)具有配置信息自動(dòng)獵取功能。即使在管理人員不是很熟識(shí)網(wǎng)絡(luò)結(jié)構(gòu)和配置狀況的狀況下，也能通過(guò)有關(guān)的技術(shù)手段來(lái)完成對(duì)網(wǎng)絡(luò)的配置和管理。在網(wǎng)絡(luò)設(shè)備的配置信息中，依據(jù)獵取手段大致可以分為三類：一類是網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)的MIB中定義的配置信息(包括SNMP;和CMIP協(xié)議);二類是不在網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中有定義，但是對(duì)設(shè)備運(yùn)行比較重要的配置信息;三類就是用于管理的一些幫助信息。

(2)自動(dòng)配置、自動(dòng)備份及相關(guān)技術(shù)：配置信息自動(dòng)獵取功能相當(dāng)于從網(wǎng)絡(luò)設(shè)備中“讀”信息，相應(yīng)的，在網(wǎng)絡(luò)管理應(yīng)用中還有大量“寫”信息的需求。同樣依據(jù)設(shè)置手段對(duì)網(wǎng)絡(luò)配置信息進(jìn)行分類：一類是可以通過(guò)網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中定義的方法(如SNMP中的set服務(wù))進(jìn)行設(shè)置的配置信息;二類是可以通過(guò)自動(dòng)登錄到設(shè)備進(jìn)行配置的信息;三類就是需要修改的管理性配置信息。

(3)配置全都性檢查：在一個(gè)大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)設(shè)備眾多，而且由于管理的緣由，這些設(shè)備很可能不是由同一個(gè)管理人員進(jìn)行配置的。實(shí)際上‘即使是同一個(gè)管理員對(duì)設(shè)備進(jìn)行的配置，也會(huì)由于各種緣由導(dǎo)致配置全都性問(wèn)題。因此，對(duì)整個(gè)網(wǎng)絡(luò)的配置狀況進(jìn)行全都性檢查是必需的。在網(wǎng)絡(luò)的配置中，對(duì)網(wǎng)絡(luò)正常運(yùn)行影響最大的主要是路由器端口配置和路由信息配置，因此，要進(jìn)行、致性檢查的也主要是這兩類信息。

(4)用戶操作記錄功能：配置系統(tǒng)的平安性是整個(gè)網(wǎng)絡(luò)管理系統(tǒng)平安的核心，因此，必需對(duì)用戶進(jìn)行的每一配置操作進(jìn)行記錄。在配置管理中，需要對(duì)用戶操作進(jìn)行記錄，并保存下來(lái)。管理人員可以隨時(shí)查看特定用戶在特定時(shí)間內(nèi)進(jìn)行的特定配置操作。

(4)性能管理(performancemanagement)

性能管理估價(jià)系統(tǒng)資源的運(yùn)行狀況及通信效率等系統(tǒng)性能。其力量包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所供應(yīng)服務(wù)的性能機(jī)制。性能分析的結(jié)果可能會(huì)觸發(fā)某個(gè)診斷測(cè)試過(guò)程或重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能。性能管理收集分析有關(guān)被管網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)信息,并維持和分析性能日志。一些典型的功能包括:

(1)性能監(jiān)控：由用戶定義被管對(duì)象及其屬性。被管對(duì)象類型包括線路和路由器;被管對(duì)象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內(nèi)存余量。對(duì)于每個(gè)被管對(duì)象，定時(shí)采集性能數(shù)據(jù)，自動(dòng)生成性能報(bào)告。

(2)閾值掌握：可對(duì)每一個(gè)被管對(duì)象的每一條屬性設(shè)置閾值，對(duì)于特定被管對(duì)象的特定屬性，可以針對(duì)不同的時(shí)間段和性能指標(biāo)進(jìn)行閾值設(shè)置。可通過(guò)設(shè)置閾值檢查開(kāi)關(guān)掌握閡值檢查和告警，供應(yīng)相應(yīng)的閾值管理和溢出告警機(jī)制。

(3)性能分橋：對(duì)歷史數(shù)據(jù)進(jìn)行分析，統(tǒng)計(jì)和整理，計(jì)算性能指標(biāo)，對(duì)性能狀況作出推斷，為網(wǎng)絡(luò)規(guī)劃供應(yīng)參考。

(4)可視化的性能報(bào)告：對(duì)數(shù)據(jù)進(jìn)行掃描和處理，生成性能趨勢(shì)曲線，以直觀的圖形反映性能分析的結(jié)果。

(5)實(shí)時(shí)性能監(jiān)控：供應(yīng)了一系列實(shí)時(shí)數(shù)據(jù)采集;分析和可視化工具，用以對(duì)流量、負(fù)載、丟包、溫度、內(nèi)存、延遲等網(wǎng)絡(luò)設(shè)備和線路的性能指標(biāo)進(jìn)行實(shí)時(shí)檢測(cè)，可任意設(shè)置數(shù)據(jù)采集間隔。

(6)網(wǎng)絡(luò)對(duì)象性能查詢：可通過(guò)列表或按關(guān)鍵字檢索被管網(wǎng)絡(luò)對(duì)象及其屬性的性能記錄。

(5)平安管理

平安性始終是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一,而用戶對(duì)網(wǎng)絡(luò)平安的要求又相當(dāng)高,因此網(wǎng)絡(luò)平安管理特別重要。網(wǎng)絡(luò)中主要有以下幾大平安問(wèn)題:

網(wǎng)絡(luò)數(shù)據(jù)的私有性(愛(ài)護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獵取),

授權(quán)(authentication)(防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息),

訪問(wèn)掌握(掌握訪問(wèn)掌握(掌握對(duì)網(wǎng)絡(luò)資源的訪問(wèn))。

相應(yīng)的,網(wǎng)絡(luò)平安管理應(yīng)包括對(duì)授權(quán)機(jī)制、訪問(wèn)掌握、加密和加密關(guān)鍵字的管理,另外還要維護(hù)和檢查平安日志。包括:

網(wǎng)絡(luò)管理過(guò)程中，存儲(chǔ)和傳輸?shù)墓芾砗驼莆招畔?duì)網(wǎng)絡(luò)的運(yùn)行和管理至關(guān)重要，一旦泄密、被篡改和偽造，將給網(wǎng)絡(luò)造成災(zāi)難性的破壞。網(wǎng)絡(luò)管理本身的平安由以下機(jī)制來(lái)保證：

(1)管理員身份認(rèn)證，采納基于公開(kāi)密鑰的證書認(rèn)證機(jī)制;為提高系統(tǒng)效率，對(duì)于信任域內(nèi)(如局域網(wǎng))的用戶，可以使用簡(jiǎn)潔口令認(rèn)證。

(2)管理信息存儲(chǔ)和傳輸?shù)募用芘c完整性，Web掃瞄器和網(wǎng)絡(luò)管理服務(wù)器之間采納平安套接字層(SSL)傳輸協(xié)議，對(duì)管理信息加密傳輸并保證其完整性;內(nèi)部存儲(chǔ)的機(jī)密信息，如登錄口令等，也是經(jīng)過(guò)加密的。

(3)網(wǎng)絡(luò)管理用戶分組管理與訪問(wèn)掌握，網(wǎng)絡(luò)管理系統(tǒng)的用戶(即管理員)按任務(wù)的不同分成若干用戶組，不同的用戶組中有不同的權(quán)限范圍，對(duì)用戶的操作由訪問(wèn)掌握檢查，保證用戶不能越權(quán)使用網(wǎng)絡(luò)管理系統(tǒng)。

(4)系統(tǒng)日志分析，記錄用戶全部的操作，使系統(tǒng)的操作和對(duì)網(wǎng)絡(luò)對(duì)象的修改有據(jù)可查，同時(shí)也有助于故障的跟蹤與恢復(fù)。

網(wǎng)絡(luò)對(duì)象的平安管理有以下功能：

(1)網(wǎng)絡(luò)資源的訪問(wèn)掌握，通過(guò)管理路由器的訪問(wèn)掌握鏈表，完成防火墻的管理功能，即從網(wǎng)絡(luò)層(1P)和傳輸層(TCP)掌握對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，愛(ài)護(hù)網(wǎng)絡(luò)內(nèi)部的設(shè)備和應(yīng)用服務(wù)，防止外來(lái)的攻擊。

(2)告警大事分析，接收網(wǎng)絡(luò)對(duì)象所發(fā)出的告警大事，分析員平安相關(guān)的信息(如路由器登錄信息、SNMP認(rèn)證失敗信息)，實(shí)時(shí)地向管理員告警，并供應(yīng)歷史平安大事的檢索與分析機(jī)制，準(zhǔn)時(shí)地發(fā)覺(jué)正在進(jìn)行的攻擊或可疑的攻擊跡象。

(3)主機(jī)系統(tǒng)的平安漏洞檢測(cè)，實(shí)時(shí)的監(jiān)測(cè)主機(jī)系統(tǒng)的重要服務(wù)(如WWW，DNS等)的狀態(tài)，供應(yīng)平安監(jiān)測(cè)工具，以搜尋系統(tǒng)可能存在的平安漏洞或平安隱患，并給出彌補(bǔ)的措施。

愛(ài)護(hù)信息平安的方案篇三網(wǎng)絡(luò)信息系統(tǒng)的平安技術(shù)體系通常是在平安策略指導(dǎo)下合理配置和部署：網(wǎng)絡(luò)隔離與訪問(wèn)掌握、入侵檢測(cè)與響應(yīng)、漏洞掃描、防病毒、數(shù)據(jù)加密、身份認(rèn)證、平安監(jiān)控與審計(jì)等技術(shù)設(shè)備，并且在各個(gè)設(shè)備或系統(tǒng)之間，能夠?qū)崿F(xiàn)系統(tǒng)功能互補(bǔ)和協(xié)調(diào)動(dòng)作。

網(wǎng)絡(luò)系統(tǒng)平安具備的功能及配置原則

1.網(wǎng)絡(luò)隔離與訪問(wèn)掌握。通過(guò)對(duì)特定網(wǎng)段、服務(wù)進(jìn)行物理和規(guī)律隔離，并建立訪問(wèn)掌握機(jī)制，將絕大多數(shù)攻擊阻擋在網(wǎng)絡(luò)和服務(wù)的邊界以外。

2.漏洞發(fā)覺(jué)與堵塞。通過(guò)對(duì)網(wǎng)絡(luò)和運(yùn)行系統(tǒng)平安漏洞的周期檢查，發(fā)覺(jué)可能被攻擊所利用的漏洞，并利用補(bǔ)丁或從管理上堵塞漏洞。

3.入侵檢測(cè)與響應(yīng)。通過(guò)對(duì)特定網(wǎng)絡(luò)(段)、服務(wù)建立的入侵檢測(cè)與響應(yīng)體系，實(shí)時(shí)檢測(cè)出攻擊傾向和行為，并實(shí)行相應(yīng)的行動(dòng)(如斷開(kāi)網(wǎng)絡(luò)連接和服務(wù)、記錄攻擊過(guò)程、加強(qiáng)審計(jì)等)。

4.加密愛(ài)護(hù)。主動(dòng)的加密通信，可使攻擊者不能了解、修改敏感信息(如方式)或數(shù)據(jù)加密通信方式;對(duì)保密或敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，可防止竊取或丟失。

5.備份和恢復(fù)。良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

6.監(jiān)控與審計(jì)。在辦公網(wǎng)絡(luò)和主要業(yè)務(wù)網(wǎng)絡(luò)內(nèi)配置集中管理、分布式掌握的監(jiān)控與審計(jì)系統(tǒng)。一方面以計(jì)算機(jī)終端為單元強(qiáng)化桌面計(jì)算的內(nèi)外平安掌握與日志記錄;另一方面通過(guò)集中管理方式對(duì)內(nèi)部全部計(jì)算機(jī)終端的平安態(tài)勢(shì)予以掌控。

邊界平安解決方案

在利用公共網(wǎng)絡(luò)與外部進(jìn)行連接的“內(nèi)”外網(wǎng)絡(luò)邊界處使用防火墻，為“內(nèi)部”網(wǎng)絡(luò)(段)與“外部”網(wǎng)絡(luò)(段)劃定平安邊界。在網(wǎng)絡(luò)內(nèi)部進(jìn)行各種連接的地方使用帶防火墻功能的設(shè)備，在進(jìn)行“內(nèi)”外網(wǎng)絡(luò)(段)的隔離的同時(shí)建立網(wǎng)絡(luò)(段)之間的平安通道。

1.防火墻應(yīng)具備如下功能：

使用NAT把DMZ區(qū)的服務(wù)器和內(nèi)部端口影射到Firewall的對(duì)外端口;

允許Internet公網(wǎng)用戶訪問(wèn)到DMZ區(qū)的應(yīng)用服務(wù)：http、ftp、smtp、dns等;

允許DMZ區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問(wèn)Internet公網(wǎng);

允許內(nèi)部用戶訪問(wèn)DMZ的應(yīng)用服務(wù)：http、ftp、smtp、dns、pop3、https;

允許內(nèi)部網(wǎng)用戶通過(guò)代理訪問(wèn)Internet公網(wǎng);

禁止Internet公網(wǎng)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)和非法訪問(wèn)DMZ區(qū)應(yīng)用服務(wù)器;

禁止DMZ區(qū)的公開(kāi)服務(wù)器訪問(wèn)內(nèi)部網(wǎng)絡(luò);

防止來(lái)自Internet的DOS一類的攻擊;

能接受入侵檢測(cè)的聯(lián)動(dòng)要求，可實(shí)現(xiàn)對(duì)實(shí)時(shí)入侵的策略響應(yīng);

對(duì)所愛(ài)護(hù)的主機(jī)的常用應(yīng)用通信協(xié)議(http、ftp、telnet、smtp)能夠替換服務(wù)器的Banner信息，防止惡意用戶信息刺探;

供應(yīng)日志報(bào)表的自動(dòng)生勝利能，便于大事的分析;

供應(yīng)實(shí)時(shí)的網(wǎng)絡(luò)狀態(tài)監(jiān)控功能，能夠?qū)崟r(shí)的查看網(wǎng)絡(luò)通信行為的連接狀態(tài)(當(dāng)前有那些連接、正在連接的IP、正在關(guān)閉的連接等信息)，通信數(shù)據(jù)流量。供應(yīng)連接查詢和動(dòng)態(tài)圖表顯示。

防火墻自身必需是有防黑客攻擊的愛(ài)護(hù)力量。

2.帶防火墻功能的設(shè)備是在防火墻基本功能(隔離和訪問(wèn)掌握)基礎(chǔ)上，通過(guò)功能擴(kuò)展，同時(shí)具有在IP層構(gòu)建端到端的具有加密選項(xiàng)功能的ESP隧道力量，這類設(shè)備也有S的，主要用于通過(guò)外部網(wǎng)絡(luò)(公共通信基礎(chǔ)網(wǎng)絡(luò))將兩個(gè)或兩個(gè)以上“內(nèi)部”局域網(wǎng)平安地連接起來(lái)，一般要求S應(yīng)具有一下功能：

防火墻基本功能，主要包括：IP包過(guò)慮、應(yīng)用代理、供應(yīng)DMZ端口和NAT功能等(有些功能描述與上相同);

具有對(duì)連接兩端的實(shí)體鑒別認(rèn)證力量;

支持移動(dòng)用戶遠(yuǎn)程的平安接入;

支持IPESP隧道內(nèi)傳輸數(shù)據(jù)的完整性和機(jī)密性愛(ài)護(hù);

供應(yīng)系統(tǒng)內(nèi)密鑰管理功能;

S設(shè)備自身具有防黑客攻擊以及網(wǎng)上設(shè)備認(rèn)證的力量。

入侵檢測(cè)與響應(yīng)方案

在網(wǎng)絡(luò)邊界配置入侵檢測(cè)設(shè)備，不僅是對(duì)防火墻功能的必要補(bǔ)充，而且可與防火墻一起構(gòu)建網(wǎng)絡(luò)邊界的防備體系。通過(guò)入侵檢測(cè)設(shè)備對(duì)網(wǎng)絡(luò)行為和流量的特征分析，可以檢測(cè)出侵害“內(nèi)部”網(wǎng)絡(luò)或?qū)ν庑孤┑木W(wǎng)絡(luò)行為和流量，與防火墻形成某種協(xié)調(diào)關(guān)系的互動(dòng)，從而在“內(nèi)部”網(wǎng)與外部網(wǎng)的邊界處形成愛(ài)護(hù)體系。

入侵檢測(cè)系統(tǒng)的基本功能如下：

通過(guò)檢測(cè)引擎對(duì)各種應(yīng)用協(xié)議，操作系統(tǒng)，網(wǎng)絡(luò)交換的數(shù)據(jù)進(jìn)行分析，檢測(cè)出網(wǎng)絡(luò)入侵大事和可疑操作行為。

對(duì)自身的數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)維護(hù)，無(wú)需人工干預(yù)，并且不對(duì)網(wǎng)絡(luò)的正常運(yùn)行造成任何干擾。

實(shí)行多種報(bào)警方式實(shí)時(shí)報(bào)警、音響報(bào)警，信息記錄到數(shù)據(jù)庫(kù)，供應(yīng)電子郵件報(bào)警、SysLog報(bào)警、SNMPTrap報(bào)警、Windows日志報(bào)警、Windows消息報(bào)警信息，并根據(jù)預(yù)設(shè)策略，依據(jù)供應(yīng)的報(bào)警信息切斷攻擊連接。

與防火墻建立協(xié)調(diào)聯(lián)動(dòng)，運(yùn)行自定義的多種響應(yīng)方式，準(zhǔn)時(shí)阻隔或消退特別行為。

全面查看網(wǎng)絡(luò)中發(fā)生的全部應(yīng)用和連接，完整的顯示當(dāng)前網(wǎng)絡(luò)連接狀態(tài)。

可對(duì)網(wǎng)絡(luò)中的攻擊大事，訪問(wèn)記錄進(jìn)行適時(shí)查詢，并可依據(jù)查詢結(jié)果輸出圖文報(bào)表，能讓管理人員便利的提取信息。

入侵檢測(cè)系統(tǒng)如同攝像頭、監(jiān)視器，在可疑行為發(fā)生前有預(yù)警，在攻擊行為發(fā)生時(shí)有報(bào)警，在攻擊大事發(fā)生后能記錄，做到事前、事中、事后有據(jù)可查。

漏洞掃描方案

除利用入侵檢測(cè)設(shè)備檢測(cè)對(duì)網(wǎng)絡(luò)的入侵和特別流量外，還需要針對(duì)主機(jī)系統(tǒng)的漏洞實(shí)行檢查和發(fā)覺(jué)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機(jī)漏洞掃描可以主動(dòng)發(fā)覺(jué)主機(jī)系統(tǒng)中存在的系統(tǒng)缺陷和可能的平安漏洞，并提示系統(tǒng)管理員對(duì)該缺陷和漏洞進(jìn)行修補(bǔ)或堵塞。

對(duì)于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購(gòu)標(biāo)準(zhǔn)產(chǎn)品問(wèn)題的，應(yīng)準(zhǔn)時(shí)升級(jí)換代或安裝補(bǔ)丁程序;屬托付開(kāi)發(fā)的產(chǎn)品問(wèn)題的，應(yīng)與開(kāi)發(fā)商協(xié)議修改程序或安裝補(bǔ)丁程序;屬于系統(tǒng)配置消失的問(wèn)題，應(yīng)建議系統(tǒng)管理員修改配置參數(shù)，或視狀況關(guān)閉或卸載引發(fā)平安漏洞的程序模塊或功能模塊。

漏洞掃描功能是幫助平安管理、把握網(wǎng)絡(luò)平安態(tài)勢(shì)的必要幫助，對(duì)使用這一工具的平安管理員或系統(tǒng)管理員有較高的技術(shù)素養(yǎng)要求。

考慮到漏洞掃描能檢測(cè)出防火墻策略配置中的問(wèn)題，能與入侵檢測(cè)形成很好的互補(bǔ)關(guān)系：漏洞掃描與評(píng)估系統(tǒng)使系統(tǒng)管理員在事前把握主動(dòng)地位，在攻擊大事發(fā)生前找出并關(guān)閉平安漏洞;而入侵檢測(cè)系統(tǒng)則對(duì)系統(tǒng)進(jìn)行監(jiān)測(cè)以期在系統(tǒng)被破壞之前阻擋攻擊得逞。因此，漏洞掃描與入侵檢測(cè)在平安愛(ài)護(hù)方面不但有共同的平安目標(biāo)，而且關(guān)系親密。本方案建議選購(gòu)將入侵檢測(cè)、管理掌握中心與漏洞掃描一體化集成的產(chǎn)品，不但可以簡(jiǎn)化管理，而且便于漏洞掃描、入侵檢測(cè)和防火墻之間的協(xié)調(diào)動(dòng)作。

網(wǎng)絡(luò)防病毒方案

網(wǎng)絡(luò)防病毒產(chǎn)品較為成熟，且有幾種主流產(chǎn)品。本方案建議，網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)具備下列功能：

網(wǎng)絡(luò)&單機(jī)防護(hù)—供應(yīng)個(gè)人或家庭用戶病毒防護(hù);

文件及存儲(chǔ)服務(wù)器防護(hù)—供應(yīng)服務(wù)器病毒防護(hù);

郵件服務(wù)器防護(hù)—供應(yīng)LotusNotes,MicrosoftExchange等病毒防護(hù);

網(wǎng)關(guān)防護(hù)—在SMTP,HTTP,和FTPservergateway阻擋計(jì)算機(jī)病毒;

集中管理—為企業(yè)網(wǎng)絡(luò)的防毒策略，供應(yīng)了強(qiáng)大的集中控管力量。

關(guān)于平安設(shè)備之間的功能互補(bǔ)與協(xié)調(diào)運(yùn)行

各種網(wǎng)絡(luò)平安設(shè)備(防火墻、入侵檢測(cè)、漏洞掃描、防病毒產(chǎn)品等)，都有自己獨(dú)特的平安探測(cè)與平安愛(ài)護(hù)力量，但又有基于自身主要功能的擴(kuò)展力量和與其它平安功能的對(duì)接力量或連續(xù)力量。因此，在平安設(shè)備選型和配置時(shí)，盡可能考慮到相關(guān)平安設(shè)備的功能互補(bǔ)與協(xié)調(diào)運(yùn)行，對(duì)于提高網(wǎng)絡(luò)平臺(tái)的整體平安性具有重要意義。

防火墻是目前廣泛用于隔離網(wǎng)絡(luò)(段)邊界并實(shí)施進(jìn)/出信息流掌握的大眾型網(wǎng)絡(luò)平安產(chǎn)品之一。作為不同網(wǎng)絡(luò)(段)之間的規(guī)律隔離設(shè)備，防火墻將內(nèi)部可信區(qū)域與外部危急區(qū)域有效隔離，將網(wǎng)絡(luò)的平安策略制定和信息流淌集中管理掌握