XX單位網(wǎng)絡(luò)安全防護(hù)方案書

XX單位網(wǎng)絡(luò)安全防護(hù)方案書前言隨著運(yùn)算機(jī)網(wǎng)絡(luò)的持續(xù)進(jìn)展,信息產(chǎn)業(yè)差不多成為人類社會(huì)的支柱產(chǎn)業(yè)，全球信息化已成為人類社會(huì)進(jìn)展的大趨勢,由此帶動(dòng)了運(yùn)算機(jī)網(wǎng)絡(luò)的迅猛進(jìn)展和普遍應(yīng)用。但由于運(yùn)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不平均性和網(wǎng)絡(luò)的開放性、互連性等特點(diǎn)，致使網(wǎng)絡(luò)易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊，因此網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的咨詢題。不管是有意的攻擊，依舊無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的缺失。攻擊者能夠竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還能夠篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。這些都使信息安全咨詢題越來越復(fù)雜。因此網(wǎng)絡(luò)的安全性也就成為寬敞網(wǎng)絡(luò)用戶普遍關(guān)懷的咨詢題。不管是在局域網(wǎng)依舊在廣域網(wǎng)中都存在著自然和人為等諸多因素的脆弱性和潛在威逼。進(jìn)展和推廣網(wǎng)絡(luò)應(yīng)用的同時(shí)進(jìn)一步提升網(wǎng)絡(luò)的安全性，真正做到“既要使網(wǎng)絡(luò)開放又要使網(wǎng)絡(luò)安全”這一咨詢題已成為了網(wǎng)絡(luò)界主動(dòng)研究的課題。在我國，近幾年隨著網(wǎng)絡(luò)技術(shù)的進(jìn)展，網(wǎng)絡(luò)應(yīng)用的普及和豐富，網(wǎng)絡(luò)安全的咨詢題也日益嚴(yán)峻，利用信息技術(shù)進(jìn)行的高科技犯罪事件出現(xiàn)增長態(tài)勢。按照國際權(quán)威應(yīng)急組織CERT/CC統(tǒng)計(jì)，自1995年以來漏洞累計(jì)達(dá)到24313個(gè)，2006年第一季度共報(bào)告漏洞1597個(gè)，平均每天超過17個(gè)，超過去年同期2個(gè)。CNCERT/CC2005年共整理公布漏洞公告75個(gè)，CNCERT/CC2006年上半年共整理公布漏洞公告34個(gè)。從統(tǒng)計(jì)情形來看，2006年上半年漏洞報(bào)告數(shù)量仍處較高水平，大量漏洞的存在使得網(wǎng)絡(luò)安全總體形勢仍舊嚴(yán)肅。對(duì)信息系統(tǒng)的安全威逼，包括網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐懼集團(tuán)的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應(yīng)引起足夠小心，采取安全措施，應(yīng)對(duì)這種挑戰(zhàn)。北京天融信公司作為中國信息產(chǎn)業(yè)的排頭兵，決心憑借自身成熟的安全建設(shè)體會(huì)，網(wǎng)絡(luò)安全系統(tǒng)出謀劃策。隨著XX單位網(wǎng)絡(luò)化和信息化建設(shè)的進(jìn)展，安全咨詢題關(guān)于XX單位信息網(wǎng)絡(luò)的進(jìn)展也越來越重要。安全咨詢題差不多成為阻礙XX單位業(yè)務(wù)平臺(tái)的穩(wěn)固性和業(yè)務(wù)的正常提供的一個(gè)重大咨詢題，因此提升XX單位自身的安全性差不多成為不可忽視的咨詢題。XX單位的領(lǐng)導(dǎo)充分認(rèn)識(shí)到網(wǎng)絡(luò)安全建設(shè)的重要性，為了更好的開展、配合XX單位各方面工作，決定對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全技術(shù)改造。本方案要緊針對(duì)目前XX單位的最重要部分，即財(cái)務(wù)系統(tǒng)的安全進(jìn)行重點(diǎn)防護(hù)，提出我們的觀點(diǎn)和意見。用戶現(xiàn)狀分析用戶網(wǎng)絡(luò)現(xiàn)狀目前XX單位的網(wǎng)絡(luò)要緊是一套星形交換網(wǎng)絡(luò)，辦公網(wǎng)對(duì)外出口為互聯(lián)網(wǎng)，辦公網(wǎng)通過部署的一臺(tái)核心交換機(jī)分不為辦公網(wǎng)絡(luò)和財(cái)務(wù)網(wǎng)絡(luò)兩個(gè)子網(wǎng),具體如下圖所示：系統(tǒng)資源分析XX單位網(wǎng)絡(luò)資產(chǎn)要緊能夠分為三大類：物理資源；軟件資源；其他資源。物理資源：網(wǎng)絡(luò)基礎(chǔ)設(shè)施：包括連接網(wǎng)絡(luò)的光纜、各個(gè)資源內(nèi)網(wǎng)電纜、路由器、交換設(shè)備、數(shù)據(jù)儲(chǔ)備服務(wù)器、光電轉(zhuǎn)換設(shè)備、個(gè)人電腦等。系統(tǒng)運(yùn)營保證設(shè)施：包括供電設(shè)施、供水設(shè)施、機(jī)房、防火設(shè)備、UPS、加濕器、防靜電設(shè)備等。軟件資源：重要業(yè)務(wù)軟件，如業(yè)務(wù)應(yīng)用軟件以及其他差不多的應(yīng)用辦公軟件；運(yùn)算機(jī)平臺(tái)軟件，包括操作系統(tǒng)、軟件開發(fā)平臺(tái)軟件、數(shù)據(jù)庫系統(tǒng)、WEB應(yīng)用軟件等；工具軟件，如殺毒軟件、OFFICE辦公軟件、硬件驅(qū)動(dòng)庫等。其他資源：XX單位網(wǎng)絡(luò)中還包括其他重要的資產(chǎn)，如文檔資料等。這些資源在構(gòu)建信息安全保證體系時(shí)也應(yīng)當(dāng)被考慮。安全風(fēng)險(xiǎn)分析XX單位信息系統(tǒng)的建設(shè)，給XX單位辦公帶來了極大的便利，利用此信息平臺(tái)，極大的提升了辦公的效率，提升了事件處理響應(yīng)速度，同時(shí)我們也看到，系統(tǒng)的建設(shè)帶來了許多安全風(fēng)險(xiǎn)，必定會(huì)受到來自外部或內(nèi)部的各種攻擊，包括信息竊取、病毒入侵和傳播等行為。針對(duì)內(nèi)部業(yè)務(wù)網(wǎng)和外部辦公網(wǎng)，要保證網(wǎng)絡(luò)的整體安全，就必須從分析攻擊的方式入手。攻擊行為一樣包括偵聽、截獲、竊取、破譯等被動(dòng)攻擊和修改、偽造、破壞、冒充、病毒擴(kuò)散等主動(dòng)攻擊。針對(duì)主動(dòng)和被動(dòng)攻擊，通過對(duì)XX單位網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)分析，我們認(rèn)為，網(wǎng)絡(luò)面臨的要緊安全威逼包括：物理層安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)、系統(tǒng)層安全風(fēng)險(xiǎn)、應(yīng)用層安全風(fēng)險(xiǎn)：物理層安全風(fēng)險(xiǎn)我們所講的物理層指的是整個(gè)網(wǎng)絡(luò)中存在的所有的信息機(jī)房、通信線路、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，保證運(yùn)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，然而，這些設(shè)備都面臨著地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤、錯(cuò)誤及各種運(yùn)算機(jī)犯罪行為導(dǎo)致的破壞過程，設(shè)備安全威逼要緊包括設(shè)備的被盜、惡意破壞、電磁信息輻射泄漏、線路截獲監(jiān)聽、電磁干擾、電源掉電、服務(wù)器宕機(jī)以及物理設(shè)備的損壞等等。這些都對(duì)整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備及上層的各種應(yīng)用有著嚴(yán)峻的安全威逼，這些事故一旦顯現(xiàn)，就會(huì)使整個(gè)網(wǎng)絡(luò)不可用，給內(nèi)網(wǎng)平臺(tái)造成極大的缺失。(A)信息機(jī)房周邊對(duì)設(shè)備運(yùn)行產(chǎn)生不良阻礙的環(huán)境條件，如：周邊環(huán)境溫度、空氣濕度等。(B)供電系統(tǒng)產(chǎn)生的安全威逼，UPS自身的安全性。(D)一些重要的數(shù)據(jù)庫服務(wù)器系統(tǒng)的存在著硬件平臺(tái)的物理損壞、老化等現(xiàn)象，導(dǎo)致數(shù)據(jù)的丟失。(E)網(wǎng)絡(luò)安全設(shè)備有直截了當(dāng)暴露在非網(wǎng)絡(luò)治理人員或外來人員的面前，外來人有可能直截了當(dāng)使安全設(shè)備喪失功能，為以后的侵入打下基礎(chǔ)，如：直截了當(dāng)關(guān)掉入侵檢測系統(tǒng)的電源、關(guān)掉防病毒系統(tǒng)等。(F)外來人員及非網(wǎng)絡(luò)治理人員能夠直截了當(dāng)對(duì)一些設(shè)備進(jìn)行操作，更換通信設(shè)備(如交換機(jī)、路由器)、安全設(shè)備(如更換防火墻的安全策略配置)等。網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者攻擊信息系統(tǒng)的渠道和通路。許多安全咨詢題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的TCP/IP協(xié)議并非專為安全通訊而設(shè)計(jì)，因此網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威逼。網(wǎng)絡(luò)入侵者一樣采納預(yù)攻擊探測、竊聽等搜集信息，然后利用IP欺詐、重放或重演、拒絕服務(wù)攻擊（SYNFLOOD，PINGFLOOD等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等手段進(jìn)行攻擊。（A）網(wǎng)絡(luò)設(shè)備存在的風(fēng)險(xiǎn)在網(wǎng)絡(luò)中的重要的安全設(shè)備如路由器、交換機(jī)等有可能存在著以下的安全威逼：（以最常用的交換機(jī)為例）登錄時(shí)以明文傳輸口令。一旦口令泄密路由器將失去所有的愛護(hù)能力。b)交換機(jī)口令的弱點(diǎn)是沒有計(jì)數(shù)器功能的，所有每個(gè)人都能夠不限數(shù)的嘗試登錄口令，在口令字典等工具的關(guān)心下專門容易破解登錄口令。c)每個(gè)治理員都可能使用相同的口令，因此，交換機(jī)關(guān)于誰曾經(jīng)作過什么修改，系統(tǒng)沒有跟蹤審計(jì)能力。d)交換機(jī)實(shí)現(xiàn)的協(xié)議存在著一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡(luò)的設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鲱A(yù)備。（B）網(wǎng)絡(luò)訪咨詢的合理性網(wǎng)絡(luò)的訪咨詢策略是不是合理，訪咨詢是不是有序，訪咨詢的目標(biāo)資源是否受控等咨詢題，都會(huì)直截了當(dāng)阻礙到內(nèi)網(wǎng)平臺(tái)的穩(wěn)固與安全。如果存在網(wǎng)絡(luò)內(nèi)訪咨詢紛亂，外來人員也專門容易接入網(wǎng)絡(luò)，地址被隨意使用等咨詢題，將導(dǎo)致網(wǎng)絡(luò)難以治理，網(wǎng)絡(luò)工作效率下將，無法部署安全設(shè)備、對(duì)攻擊者也無法進(jìn)行追蹤審計(jì)。關(guān)于XX單位的網(wǎng)絡(luò)來講，嚴(yán)格地操縱專網(wǎng)內(nèi)終端設(shè)備的操作及使用是專門必要的，例如，一位非法外聯(lián)的撥號(hào)用戶將會(huì)使在網(wǎng)絡(luò)邊界的防火墻設(shè)備的所有安全策略形同虛設(shè)。（C）TCP/IP網(wǎng)絡(luò)協(xié)議的缺陷TCP/IP協(xié)議是當(dāng)前網(wǎng)絡(luò)的主流通信協(xié)議，已成為網(wǎng)絡(luò)通信和應(yīng)用的實(shí)際標(biāo)準(zhǔn)。然而，基于數(shù)據(jù)流設(shè)計(jì)的TCP/IP協(xié)議自身存在著許多安全漏洞，在網(wǎng)絡(luò)進(jìn)展的（D）傳輸上存在的風(fēng)險(xiǎn)從網(wǎng)絡(luò)結(jié)構(gòu)的分析上，我們看到，現(xiàn)今網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)間只是通過交換機(jī)連接，完全透亮，那么當(dāng)數(shù)據(jù)以明文的方式在這種不可信任網(wǎng)絡(luò)中進(jìn)行傳遞和交換時(shí)，就給數(shù)據(jù)的安全性、保密性帶來極大的挑戰(zhàn)，具體來講對(duì)數(shù)據(jù)傳輸安全造成威逼的要緊行為有：竊聽、破譯傳輸信息：由于網(wǎng)絡(luò)間的完全透亮，攻擊者能夠通過線路偵聽等方式，獵取傳輸?shù)男畔?nèi)容，造成信息泄露；或通過開放環(huán)境中的路由或交換設(shè)備，非法截取通信信息；篡改、刪減傳輸信息：攻擊者在得到報(bào)文內(nèi)容后，即可對(duì)報(bào)文內(nèi)容進(jìn)行修改，造成收信者的錯(cuò)誤明白得。即使沒有破譯傳輸?shù)男畔?，也能夠通過刪減信息內(nèi)容等方式，造成對(duì)信息的破壞，例如將一份報(bào)文的后半部分去掉，造成時(shí)刻、地點(diǎn)等重要內(nèi)容的缺失，導(dǎo)致信息的嚴(yán)峻失真；重放攻擊：即使攻擊者無法破譯報(bào)文內(nèi)容，也無法對(duì)報(bào)文進(jìn)行篡改或刪減，但也能夠通過重新發(fā)送收到的數(shù)據(jù)包的方式，進(jìn)行重放攻擊。關(guān)于一些業(yè)務(wù)系統(tǒng)，專門是數(shù)據(jù)庫系統(tǒng)，這種重放攻擊會(huì)造成數(shù)據(jù)失真以及數(shù)據(jù)錯(cuò)誤；假裝成合法用戶：利用偽造用戶標(biāo)識(shí)，通過實(shí)時(shí)報(bào)文或要求文件傳輸?shù)靡赃M(jìn)入通信信道，實(shí)現(xiàn)惡意目的。例如，假裝成一個(gè)合法用戶，參與正常的通信過程，造成數(shù)據(jù)泄密。網(wǎng)絡(luò)中病毒的威逼：由于網(wǎng)絡(luò)間都為透亮模式，一旦有機(jī)器中病毒，就會(huì)在整個(gè)網(wǎng)絡(luò)上大量傳播，造成整個(gè)網(wǎng)絡(luò)癱瘓，造成無法辦公。應(yīng)用層安全操作系統(tǒng)安全即是主機(jī)安全。整個(gè)網(wǎng)絡(luò)是一個(gè)分布式交換的服務(wù)平臺(tái)，其最核心的和需要愛護(hù)的是財(cái)務(wù)處網(wǎng)絡(luò)中的服務(wù)器，從操作系統(tǒng)本身來講，現(xiàn)在代碼的龐大和程序人員編碼的適應(yīng)等等都會(huì)給操作系統(tǒng)留下一些BUG，例如一些鮮為人知的如WINGDOW2000的3389、139等等漏洞，都會(huì)給財(cái)務(wù)處網(wǎng)絡(luò)帶來一定的風(fēng)險(xiǎn)。一旦通過其操作系統(tǒng)的咨詢題而造成的網(wǎng)絡(luò)的崩潰，其后果是不可設(shè)想的。操作系統(tǒng)面臨的安全風(fēng)險(xiǎn)要緊來自兩個(gè)方面，一方面來自操作系統(tǒng)本身的脆弱性，另一方面來自對(duì)系統(tǒng)的使用、配置和治理，要緊有：操作系統(tǒng)是否安裝補(bǔ)丁和修正程序：由于技術(shù)開發(fā)緣故，幾乎所有網(wǎng)絡(luò)中的操作系統(tǒng)在設(shè)計(jì)時(shí)就存在各種各樣的漏洞，大多數(shù)漏洞直截了當(dāng)與系統(tǒng)的安全有關(guān)，操作系統(tǒng)的開發(fā)公司發(fā)覺后都安裝了補(bǔ)丁和修正程序，但這種補(bǔ)丁和修正程序不一定為用戶所知。操作系統(tǒng)的后門：關(guān)于中國來講，可能沒有絕對(duì)安全的操作系統(tǒng)能夠選擇，不管是Microsoft的產(chǎn)品或者其他任何商用操作系統(tǒng)，其開發(fā)廠商必定有其Back-Door，這將成為潛在的安全隱患。系統(tǒng)配置：系統(tǒng)的安全程度與系統(tǒng)的應(yīng)用面及嚴(yán)格治理有專門大關(guān)系，一個(gè)工作組的打印服務(wù)器和一個(gè)機(jī)要部門的數(shù)據(jù)庫服務(wù)器的選擇標(biāo)準(zhǔn)顯而易見是不可同日而與的，因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并按照自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小作出相應(yīng)的安全解決方案。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，以正確評(píng)定數(shù)據(jù)流向。例如,由于服務(wù)器需要進(jìn)行日常的愛護(hù)與治理及內(nèi)容更新，這就要求系統(tǒng)治理員或服務(wù)提供者能登錄到服務(wù)器上。對(duì)此類訪咨詢服務(wù)器不應(yīng)拒絕。在使用防火墻之前，服務(wù)器通過簡單靜態(tài)的口令字進(jìn)行身份鑒不（如使用服務(wù)器或數(shù)據(jù)庫的認(rèn)證機(jī)制），一旦身份鑒不通過，用戶即可訪咨詢服務(wù)器。侵襲者能夠通過以下幾種方式專門容易地獵取口令字：一是內(nèi)部的治理人員因安全治理不當(dāng)而造成泄密；二是通過在公用網(wǎng)上搭線竊取口令字；三是通過假冒，植入嗅探程序，截獲口令字；四是采納字典攻擊方式，獲得口令字。侵襲者一旦把握了某一用戶口令字，就有可能得到治理員的權(quán)限并可造成不可估量的缺失。由于操作系統(tǒng)的配置牽涉到各個(gè)方面，上面運(yùn)行的服務(wù)也各種各樣，故在系統(tǒng)的配置上專門容易出錯(cuò)，因此，我們認(rèn)為的系統(tǒng)的配置錯(cuò)誤地專門難幸免，然而，我們能夠?qū)ΜF(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪咨詢權(quán)限進(jìn)行嚴(yán)格操縱，提升系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)。而且，必須加大登錄過程的認(rèn)證（專門是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范疇內(nèi)。應(yīng)用層安全數(shù)據(jù)庫安全也是整個(gè)財(cái)務(wù)處網(wǎng)絡(luò)最為重要的應(yīng)用，同時(shí)也是需要重點(diǎn)考慮的咨詢題之一。整個(gè)網(wǎng)絡(luò)要緊的業(yè)務(wù)確實(shí)是信息的共享和數(shù)據(jù)交換的方便性。從應(yīng)用系統(tǒng)的角度，占據(jù)本網(wǎng)絡(luò)整個(gè)信息平臺(tái)的確實(shí)是數(shù)據(jù)庫，如果在數(shù)據(jù)庫上不能保證安全，整個(gè)本網(wǎng)絡(luò)的信息中心差不多上確實(shí)是空設(shè)防地帶，數(shù)據(jù)庫治理系統(tǒng)面臨的安全風(fēng)險(xiǎn)有：系統(tǒng)認(rèn)證口令強(qiáng)度不夠，過期賬號(hào)，登錄攻擊的風(fēng)險(xiǎn)；系統(tǒng)授權(quán)。帳號(hào)權(quán)限，登錄時(shí)刻超時(shí)的風(fēng)險(xiǎn)；系統(tǒng)完整性。如：Y2K兼容，特洛伊木馬，審核配置，補(bǔ)丁和修正程序；脆弱的帳號(hào)設(shè)置。在許多情形下，數(shù)據(jù)庫用戶往往缺乏足夠的安全設(shè)置，例如未禁用缺省用戶帳號(hào)和密碼，用戶口令設(shè)置存在脆弱性等。缺乏角色分離。傳統(tǒng)數(shù)據(jù)庫治理并沒有“安全治理員(SecurityAdministrator)，這一角色，這就迫使數(shù)據(jù)庫治理員(DBA)既要負(fù)責(zé)帳號(hào)的愛護(hù)治理，又要專門對(duì)數(shù)據(jù)庫執(zhí)行性能和操作行為進(jìn)行調(diào)試跟蹤，從而導(dǎo)致安全治理效率低下。缺乏審計(jì)跟蹤。數(shù)據(jù)庫審計(jì)經(jīng)常被DBA以提升性能或節(jié)約磁盤空間為由忽視或關(guān)閉，這大大降低了安全治理的效率。XX單位財(cái)務(wù)系統(tǒng)可能存在的風(fēng)險(xiǎn)和咨詢題來自財(cái)務(wù)網(wǎng)絡(luò)外部的風(fēng)險(xiǎn)盡管財(cái)務(wù)網(wǎng)絡(luò)依靠于XX單位的辦公網(wǎng)絡(luò)，然而財(cái)務(wù)網(wǎng)絡(luò)如何講是獨(dú)立的網(wǎng)絡(luò)個(gè)體，如果沒有邊界防護(hù)將是危險(xiǎn)的。財(cái)務(wù)網(wǎng)絡(luò)專門容易遭到來自于辦公網(wǎng)絡(luò)可能的入侵者的攻擊。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號(hào)、系統(tǒng)儲(chǔ)存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊：入侵者通過發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓?jiān)贗nternet上爆發(fā)網(wǎng)絡(luò)蠕蟲病毒的時(shí)候，如果內(nèi)網(wǎng)的邊界處沒有訪咨詢操縱設(shè)備對(duì)蠕蟲病毒在第一時(shí)刻進(jìn)行隔離，那么蠕蟲的攻擊將會(huì)對(duì)網(wǎng)絡(luò)造成致命的阻礙。來自財(cái)務(wù)網(wǎng)絡(luò)外部的非授權(quán)訪咨詢非授權(quán)訪咨詢沒有預(yù)先通過同意，就使用網(wǎng)絡(luò)或運(yùn)算機(jī)資源被看作非授權(quán)訪咨詢，如有意躲開系統(tǒng)訪咨詢操縱機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪咨詢信息。它要緊有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。來自財(cái)務(wù)網(wǎng)絡(luò)內(nèi)部的風(fēng)險(xiǎn)目前財(cái)務(wù)網(wǎng)絡(luò)內(nèi)部的財(cái)務(wù)主服務(wù)器與財(cái)務(wù)辦公主機(jī)，混雜在一臺(tái)交換機(jī)上，這關(guān)于財(cái)務(wù)主服務(wù)器是完全不可取的，由于財(cái)務(wù)辦公主機(jī)的使用人員紛雜，運(yùn)算機(jī)安全意識(shí)參差不齊，因此財(cái)務(wù)辦公主機(jī)的安全性和可靠性完全不能保證，而財(cái)務(wù)辦公主機(jī)與財(cái)務(wù)主服務(wù)器之間完全沒有任何防護(hù)手段。來自財(cái)務(wù)網(wǎng)絡(luò)內(nèi)部的非授權(quán)訪咨詢關(guān)于財(cái)務(wù)處網(wǎng)絡(luò)向外部網(wǎng)絡(luò)的訪咨詢沒有任何的限制，也是不可取的，針對(duì)不同用戶的不同訪咨詢需求，應(yīng)給于不同的訪咨詢權(quán)限。無限制的任由用戶使用現(xiàn)有的網(wǎng)絡(luò)資源，將會(huì)造成網(wǎng)絡(luò)品質(zhì)的整體下降。同時(shí)當(dāng)財(cái)務(wù)處網(wǎng)絡(luò)中的主機(jī)因蠕蟲緣故大量向外發(fā)送數(shù)據(jù)包，沒有相應(yīng)安全防護(hù)設(shè)備，將造成包括辦公網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的癱瘓。同時(shí)，沒有完善的日志能力，關(guān)于日后的責(zé)任認(rèn)定也造成了專門大的苦惱。病毒的風(fēng)險(xiǎn)病毒的危險(xiǎn)是現(xiàn)在網(wǎng)絡(luò)最需要解決的咨詢題，目前的病毒傳播途徑多樣化，傳播方式智能化，決定了使用單一的防病毒軟件是無法完全解決病毒咨詢題的，在網(wǎng)絡(luò)的邊界處，部署網(wǎng)關(guān)防護(hù)設(shè)備，能夠有效地抑制病毒的傳播，專門是當(dāng)顯現(xiàn)大規(guī)模爆發(fā)的蠕蟲病毒的時(shí)候，網(wǎng)關(guān)防護(hù)設(shè)備能夠有效地把蠕蟲病毒抑制在小范疇之內(nèi)，而不至于連續(xù)擴(kuò)散。沒有完善的日志系統(tǒng)財(cái)務(wù)處網(wǎng)絡(luò)中數(shù)據(jù)的完整性，可靠性，要求關(guān)于任何一次訪咨詢，都要有明確的記錄，以便日后審查使用，而目前XX單位的財(cái)務(wù)網(wǎng)絡(luò)中沒有如此的能力，這對(duì)日后的究責(zé)是專門不利的三．整體方案的設(shè)計(jì)按照XX單位的現(xiàn)有網(wǎng)絡(luò)環(huán)境，分析可能存在的威逼和風(fēng)險(xiǎn)，考慮通過部署天融信防火墻系統(tǒng)，入侵防備系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)來加固XX單位的信息網(wǎng)絡(luò)。采納千兆天融信防火墻系統(tǒng)，入侵防備系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在互聯(lián)網(wǎng)與XX單位辦公網(wǎng)接入處用于互聯(lián)網(wǎng)與XX單位辦公網(wǎng)的安全防護(hù)，百兆天融信防火墻系統(tǒng)，入侵防備系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在財(cái)務(wù)網(wǎng)絡(luò)與XX單位辦公網(wǎng)絡(luò)的邊界處，用于隔離財(cái)務(wù)網(wǎng)絡(luò)中的工作主機(jī)和內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中的服務(wù)器，通過天融信防火墻系統(tǒng)，入侵防備系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)，愛護(hù)服務(wù)器不受外來攻擊。具體部署如下圖所示：四．防火墻子系統(tǒng)防火墻部署的意義防火墻是近年進(jìn)展起來的重要安全技術(shù)，其要緊作用是在網(wǎng)絡(luò)區(qū)域邊界處檢查網(wǎng)絡(luò)通信，按照用戶設(shè)定的安全規(guī)則，在愛護(hù)重要網(wǎng)絡(luò)區(qū)域安全的前提下，提供不同網(wǎng)絡(luò)區(qū)域間通信。通過使用防火墻過濾不安全的通信，提升網(wǎng)絡(luò)安全和減少主機(jī)的風(fēng)險(xiǎn)，提供對(duì)系統(tǒng)的訪咨詢操縱；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。設(shè)置防火墻的目的確實(shí)是愛護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域不受來自另一個(gè)網(wǎng)絡(luò)區(qū)域的攻擊，防火墻的要緊功能包括以下幾個(gè)方面：（A）防火墻提供安全邊界操縱的差不多屏障。設(shè)置防火墻可提升網(wǎng)絡(luò)安全性，降低受攻擊的風(fēng)險(xiǎn)。（B）防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實(shí)施。防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計(jì)等），比分散治理更經(jīng)濟(jì)。（C）防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計(jì)。因?yàn)樗羞M(jìn)出網(wǎng)絡(luò)的通信流都通過防火墻，使防火墻也能提供日志記錄、統(tǒng)計(jì)數(shù)據(jù)、報(bào)警處理、審計(jì)跟蹤等服務(wù)。（D）防火墻能阻止內(nèi)部信息泄漏。防火墻實(shí)際意義上也是一個(gè)隔離器，即能防外，又能防止內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中未經(jīng)授權(quán)主機(jī)對(duì)服務(wù)器區(qū)域的訪咨詢。防火墻的安裝部署防火墻部署的目的是隔離不同安全等級(jí)的網(wǎng)絡(luò)區(qū)域，因此我們把XX單位辦公網(wǎng)絡(luò)，XX單位財(cái)務(wù)網(wǎng)絡(luò)分不看作一個(gè)網(wǎng)絡(luò)區(qū)域，同時(shí)XX單位辦公網(wǎng)絡(luò)與財(cái)務(wù)網(wǎng)絡(luò)之外的所有節(jié)點(diǎn)看作另一個(gè)網(wǎng)絡(luò)區(qū)域，防火墻部署在兩個(gè)網(wǎng)絡(luò)區(qū)域之間，即部署在財(cái)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的接口處。XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口處。防火墻的工作模式和接入方式防火墻提供多種工作模式，包括透亮接入，路由接入和混合接入。連接方式：將百兆天融信防火墻的接口1連接財(cái)務(wù)網(wǎng)絡(luò)區(qū)域交換機(jī)，接口2連接XX單位辦公網(wǎng)絡(luò)，接口3連接財(cái)務(wù)網(wǎng)絡(luò)服務(wù)器區(qū)域交換機(jī)，千兆天融信防火墻接口1連接XX單位辦公網(wǎng)絡(luò)，接口2連接互聯(lián)網(wǎng)區(qū)域，如此我們使用防火墻實(shí)現(xiàn)了各個(gè)安全區(qū)域的隔離作用。工作模式：考慮到對(duì)XX單位辦公網(wǎng)絡(luò)和財(cái)務(wù)網(wǎng)絡(luò)的阻礙盡可能小，建議將百兆防火墻配置成透亮工作模式，即防火墻本身不參與路由轉(zhuǎn)發(fā)和運(yùn)算，只提供訪咨詢操縱等防護(hù)功能，如此對(duì)網(wǎng)絡(luò)中原有IP地址的配置阻礙小，互聯(lián)網(wǎng)與XX單位辦公網(wǎng)絡(luò)需要地址轉(zhuǎn)換，將配置成的路由工作模式。防火墻的配置和功能通過防火墻隔離財(cái)務(wù)網(wǎng)絡(luò)的各個(gè)區(qū)域通過防火墻的連接，原本屬于一個(gè)網(wǎng)絡(luò)（XX單位辦公網(wǎng)絡(luò)）的節(jié)點(diǎn)，被劃分為不同的網(wǎng)絡(luò)區(qū)域（財(cái)務(wù)處辦公區(qū)域、財(cái)務(wù)處服務(wù)器區(qū)域、辦公區(qū)域、互聯(lián)網(wǎng)區(qū)域等），通過對(duì)訪咨詢要求的審核，我們隔離不同網(wǎng)絡(luò)區(qū)域間的網(wǎng)絡(luò)連接，能夠達(dá)到愛護(hù)脆弱的服務(wù)、操縱對(duì)財(cái)務(wù)服務(wù)器的訪咨詢、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。如此在工作主機(jī)訪咨詢財(cái)務(wù)服務(wù)器時(shí)，全部通信都受到防火墻的監(jiān)控，通過防護(hù)墻的策略能夠設(shè)置成相應(yīng)的愛護(hù)級(jí)不，以保證系統(tǒng)的安全。通過防火墻愛護(hù)財(cái)務(wù)服務(wù)器通過在防火墻上設(shè)置詳細(xì)的訪咨詢操縱規(guī)則，各個(gè)區(qū)域，各個(gè)IP節(jié)點(diǎn)間的通信，必須要符合防火墻的訪咨詢操縱規(guī)則，例如當(dāng)工作主機(jī)向服務(wù)器要求訪咨詢時(shí)，也只能訪咨詢服務(wù)器的相應(yīng)服務(wù)端口，在愛護(hù)了服務(wù)器的同時(shí)，也清除了網(wǎng)絡(luò)中傳輸?shù)牟槐匾臄?shù)據(jù)。保證了整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的純潔，提升了網(wǎng)絡(luò)的品質(zhì)。通過防火墻的阻斷功能，使得內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)各個(gè)區(qū)域不受到惡意的攻擊，攻擊者無法通過防火墻進(jìn)行掃描、攻擊等非法動(dòng)作。防火墻可防止攻擊者對(duì)重要服務(wù)器的TCP/UDP的端口非法掃描，排除系統(tǒng)安全的隱患。可防止攻擊者通過外部網(wǎng)對(duì)重要服務(wù)器的源路由攻擊、IP碎片包攻擊、DNS/RIP/ICMP攻擊、SYN攻擊、拒絕服務(wù)攻擊等多種攻擊。測的功能.通過防火墻限制對(duì)服務(wù)器的訪咨詢權(quán)限通過在防火墻上進(jìn)行嚴(yán)格的訪咨詢操縱，通過對(duì)不同的用戶進(jìn)行分組，關(guān)于不同的用戶組，給予不同的訪咨詢權(quán)限進(jìn)行訪咨詢服務(wù)器，，減小用戶關(guān)于服務(wù)器能夠進(jìn)行操作的權(quán)限，極大地降低了服務(wù)器面臨的風(fēng)險(xiǎn)。通過防火墻限制財(cái)務(wù)網(wǎng)用戶向外的訪咨詢通常大多數(shù)用戶認(rèn)為從財(cái)務(wù)網(wǎng)絡(luò)向外部的訪咨詢可不能造成風(fēng)險(xiǎn)和威逼，這種方法是錯(cuò)誤的，例如反彈型木馬確實(shí)是借助這種麻痹大意的方法進(jìn)行侵入的。通過防火墻調(diào)整網(wǎng)絡(luò)使用效率通過防火墻具有帶寬操縱的特性，能夠依據(jù)應(yīng)用來限制流量，來調(diào)整鏈路的帶寬利用如：在網(wǎng)絡(luò)中如果有工作主機(jī)向服務(wù)器區(qū)域FTP的訪咨詢、Web訪咨詢等等，能夠在防火墻中直截了當(dāng)加載操縱策略，使FTP訪咨詢、Web訪咨詢按照預(yù)定的帶寬進(jìn)行數(shù)據(jù)交換。實(shí)現(xiàn)每個(gè)用戶、每個(gè)服務(wù)的帶寬操縱，調(diào)整鏈路帶寬利用的效率。通過防火前完善日志通過防火墻能夠采集所有流經(jīng)防火墻的數(shù)據(jù)，記錄到防火墻的日志服務(wù)器中，通過日志服務(wù)器的日志分析和統(tǒng)計(jì)功能，在對(duì)收集的事件進(jìn)行詳盡分析及統(tǒng)計(jì)的基礎(chǔ)上輸出豐富的報(bào)表，實(shí)現(xiàn)分析結(jié)果的可視化；系統(tǒng)提供多達(dá)300多種的報(bào)表模板，不僅支持對(duì)網(wǎng)絡(luò)事件按條件統(tǒng)計(jì)，更提供了對(duì)流量等變化趨勢的形象表現(xiàn)；關(guān)于分析結(jié)果系統(tǒng)提供了表格及多種圖形表現(xiàn)形式（柱狀圖、曲線圖），使治理員一目了然。同時(shí)采納多種告警方式，通知網(wǎng)絡(luò)治理人員。實(shí)現(xiàn)了重要財(cái)務(wù)工作人員直截了當(dāng)訪咨詢財(cái)務(wù)處網(wǎng)絡(luò)通過天融信防火墻的訪咨詢操縱能力，我們能夠操縱各個(gè)訪咨詢者訪咨詢的權(quán)限，同時(shí)我們采納用戶名，口令，證書等驗(yàn)證方式，完全實(shí)現(xiàn)了關(guān)于訪咨詢者身份驗(yàn)證的目的。五．入侵防備子系統(tǒng)通常通過防火墻進(jìn)行網(wǎng)絡(luò)安全防范。從理論上分，防火墻能夠講是第一層安全防范手段，通常安裝在網(wǎng)絡(luò)入口來愛護(hù)來自外部的攻擊。其要緊防范原理為基于TCP/IP的IP地址和及端口進(jìn)行過濾、限制。由于防火墻本身為穿透型（所有數(shù)據(jù)流需要通過防火墻才能到達(dá)目的地），因此為了提升其過濾、轉(zhuǎn)發(fā)效率，通?？刹荒軐?duì)每個(gè)數(shù)據(jù)報(bào)文或者數(shù)據(jù)流進(jìn)行過多的、細(xì)致地分析、檢查。然而恰恰專門多符合防火墻的TCP/IP過濾安全策略的數(shù)據(jù)流或者報(bào)文中參雜著惡意的攻擊妄圖。盡管目前一些防火墻增強(qiáng)了關(guān)于應(yīng)用層內(nèi)容分析的功能，然而考慮其因分析、處理應(yīng)用層內(nèi)容而導(dǎo)致的網(wǎng)絡(luò)延遲的增加，因此從事實(shí)上際應(yīng)用角度來講，存在一些局限性。然而網(wǎng)絡(luò)入侵防備系統(tǒng)由于其以串接模式部署到現(xiàn)有網(wǎng)絡(luò)中，執(zhí)行各種復(fù)雜的應(yīng)用層分析工作。因此能夠成為防火墻有效的擴(kuò)展。同時(shí)自帶阻斷功能，能夠?qū)崿F(xiàn)整體的安全防范體系。1入侵防備產(chǎn)品概述天融信公司新版本的“網(wǎng)絡(luò)衛(wèi)士入侵防備系統(tǒng)TopIDP”是基于新一代并行處理技術(shù)，它通過設(shè)置檢測與阻斷策略對(duì)流經(jīng)TopIDP的網(wǎng)絡(luò)流量進(jìn)行分析過濾，并對(duì)專門及可疑流量進(jìn)行主動(dòng)阻斷，同時(shí)向治理員通報(bào)攻擊信息，從而提供對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全愛護(hù)。TopIDP能夠阻斷各種非法攻擊行為，例如利用薄弱點(diǎn)進(jìn)行的直截了當(dāng)攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等，安全地愛護(hù)內(nèi)部IT資源。網(wǎng)絡(luò)衛(wèi)士入侵防備系統(tǒng)部署于網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)，實(shí)時(shí)監(jiān)控各種數(shù)據(jù)報(bào)文及網(wǎng)絡(luò)行為，提供及時(shí)的報(bào)警及響應(yīng)機(jī)制。其動(dòng)態(tài)的安全響應(yīng)體系與防火墻、路由器等靜態(tài)的安全體系形成強(qiáng)大的協(xié)防體系，大大增強(qiáng)了用戶的整體安全防護(hù)強(qiáng)度。2入侵防備系統(tǒng)產(chǎn)品特點(diǎn)強(qiáng)大的高性能并行處理架構(gòu)TopIDP應(yīng)用了先進(jìn)的多核處理器硬件平臺(tái)，將并行處理技術(shù)成功融入天融信自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)TOS（TopsecOperatingSystem）系統(tǒng)，集成多項(xiàng)發(fā)明專利，形成了先進(jìn)的多核架構(gòu)技術(shù)體系。在此基礎(chǔ)上的TopIDP產(chǎn)品具有高速的數(shù)據(jù)并行檢測處理和轉(zhuǎn)發(fā)能力，能夠勝任高速網(wǎng)絡(luò)的安全防護(hù)要求。精確的基于目標(biāo)系統(tǒng)的流重組檢測引擎?zhèn)鹘y(tǒng)的基于單個(gè)數(shù)據(jù)包檢測的入侵防備產(chǎn)品無法有效抵御TCP流分段重疊的攻擊，任何一個(gè)攻擊行為通過簡單的TCP流分段組合即可輕松穿透這種引擎，在受愛護(hù)的目標(biāo)服務(wù)器主機(jī)上形成真正的攻擊。TopIDP產(chǎn)品采納了先進(jìn)的基于目標(biāo)系統(tǒng)的流重組檢測引擎，第一對(duì)到達(dá)的TCP數(shù)據(jù)包按照其目標(biāo)服務(wù)器主機(jī)的操作系統(tǒng)類型進(jìn)行流重組，然后對(duì)重組后的完整數(shù)據(jù)進(jìn)行攻擊檢測，從而從根源上完全阻斷了TCP流分段重疊攻擊行為。準(zhǔn)確與完善的檢測能力TopIDP產(chǎn)品的智能檢測引擎可分析網(wǎng)絡(luò)攻擊的組合行為特點(diǎn)來準(zhǔn)確識(shí)不各種攻擊，準(zhǔn)確性更高；能夠智能地識(shí)不出多種攻擊隱藏手段及變種攻擊，帶來更高安全性；通過智能化檢測引擎，能夠識(shí)不出多種高危網(wǎng)絡(luò)行為，并能夠?qū)⒋祟愋袨橐愿婢绞酵ㄖ卫韱T，達(dá)到防患于未然的目的，帶來更高網(wǎng)絡(luò)安全性；同時(shí)新版TopIDP具有強(qiáng)大的木馬檢測與識(shí)不能力；完善的應(yīng)用攻擊檢測與防護(hù)能力；豐富的網(wǎng)絡(luò)應(yīng)用操縱能力和及時(shí)的應(yīng)急響應(yīng)能力。豐富靈活的自定義規(guī)則能力TopIDP產(chǎn)品內(nèi)置了豐富靈活的自定義規(guī)則能力，能夠按照協(xié)議、源端口、目的端口及協(xié)議內(nèi)容自行定義攻擊行為，其中協(xié)議內(nèi)容支持強(qiáng)大靈活的PCRE（兼容perl的正則表達(dá)式）語法格式，特定協(xié)議支持更多達(dá)10種，包括：ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap等。借助于靈活的自定義規(guī)則能力，用戶能夠輕松定義自己的應(yīng)用層檢測和操縱功能?？梢暬膶?shí)時(shí)報(bào)表功能現(xiàn)實(shí)網(wǎng)絡(luò)中的攻擊行為紛繁復(fù)雜且瞬息萬變，TopIDP產(chǎn)品提供了可視化的實(shí)時(shí)報(bào)表功能，能夠?qū)崟r(shí)顯示按發(fā)生次數(shù)排序的攻擊事件排名，使網(wǎng)絡(luò)攻擊及其威逼程度一目了然。應(yīng)用配套的TopPolicy產(chǎn)品，能夠?qū)崟r(shí)顯示Top10攻擊者、Top10被攻擊者、Top10攻擊事件等統(tǒng)計(jì)報(bào)表，更能夠顯示24小時(shí)連續(xù)變化的事件發(fā)生統(tǒng)計(jì)曲線圖。借助于可視化的實(shí)時(shí)報(bào)表功能，用戶能夠輕松實(shí)現(xiàn)全網(wǎng)威逼分析。3入侵防備產(chǎn)品的作用在基于TCP/IP的網(wǎng)絡(luò)中，普遍存在遭受攻擊的風(fēng)險(xiǎn)。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是專門重要的一部分。有效的入侵防備系統(tǒng)能夠同時(shí)檢測內(nèi)部和外部威逼。入侵防備系統(tǒng)的目的是檢測惡意和非預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、承諾非預(yù)期資源訪咨詢的要求和非預(yù)期使用服務(wù)）。一旦入侵被檢測到，會(huì)引發(fā)某種響應(yīng)（如斷開攻擊者連接、通知操作員、自動(dòng)停止或減輕攻擊、跟蹤攻擊來源或適當(dāng)?shù)胤垂簦?。利用防火墻技術(shù)，通過精心的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)愛護(hù)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。然而，存在著一些防火墻等其它安全設(shè)備所不能防范的安全威逼，這就需要入侵防備系統(tǒng)提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和復(fù)原、斷開網(wǎng)絡(luò)連接等，來愛護(hù)電子政務(wù)局域網(wǎng)的安全。入侵防備是防火墻等其它安全措施的補(bǔ)充，關(guān)心系統(tǒng)應(yīng)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)治理員的安全治理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)不和響應(yīng)），提升了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的流量中收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到突擊的跡象。入侵防備被認(rèn)為是防火墻之后的第二道安全閘門，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)檢測。除了入侵防備技術(shù)能夠保證系統(tǒng)安全之外，下面幾點(diǎn)也是使用入侵防備的緣故：運(yùn)算機(jī)安全治理的差不多目標(biāo)是規(guī)范單個(gè)用戶的行為以愛護(hù)信息系統(tǒng)免受安全咨詢題的困擾。入侵檢測系統(tǒng)能夠發(fā)覺已有的威逼，并對(duì)攻擊者進(jìn)行懲處，有助于上述目標(biāo)的實(shí)現(xiàn)，并對(duì)那些試圖違反安全策略的人造成威懾。入侵防備能夠檢測其它安全手段無法防止的咨詢題。攻擊者使用越來越容易得到的攻擊技術(shù)，能夠?qū)Υ罅肯到y(tǒng)進(jìn)行非授權(quán)的訪咨詢，專門是連接到電子政務(wù)局域網(wǎng)的系統(tǒng)，而當(dāng)這些系統(tǒng)具有已知漏洞的時(shí)候這種攻擊更容易發(fā)生。盡管開發(fā)商和治理員試圖將漏洞帶來的威逼降到最低程度，然而專門多情形下這是不能幸免的：專門多系統(tǒng)的操作系統(tǒng)不能得到及時(shí)的更新有的系統(tǒng)盡管能夠及時(shí)得到補(bǔ)丁程序，然而治理員沒有時(shí)刻或者資源進(jìn)行系統(tǒng)更新，那個(gè)咨詢題專門普遍，專門是在那些具有大量主機(jī)或多種類型的軟硬件的環(huán)境中。正常工作可能需要開啟網(wǎng)絡(luò)服務(wù)，而這些協(xié)議是具有漏洞，容易被攻擊的。用戶和治理員在配置和使用系統(tǒng)時(shí)可能犯錯(cuò)誤。在進(jìn)行系統(tǒng)訪咨詢操縱機(jī)制設(shè)置時(shí)可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權(quán)限的錯(cuò)誤操作。當(dāng)黑客攻擊一個(gè)系統(tǒng)時(shí)，他們總是按照一定的步驟進(jìn)行。第一是對(duì)系統(tǒng)或網(wǎng)絡(luò)的探測和分析，如果一個(gè)系統(tǒng)沒有配置入侵防備，攻擊者能夠自由的進(jìn)行探測而不被發(fā)覺，如此專門容易找到最佳攻入點(diǎn)。如果同樣的系統(tǒng)配置了入侵防備，則會(huì)對(duì)攻擊者的行動(dòng)帶來一定難度，它能夠識(shí)不可疑探測行為，阻止攻擊者對(duì)目標(biāo)系統(tǒng)的訪咨詢，或者對(duì)安全人員報(bào)警以便采取響應(yīng)措施阻止攻擊者的下一步行動(dòng)。入侵防備證實(shí)同時(shí)詳細(xì)記錄內(nèi)部和外部的威逼，在制定網(wǎng)絡(luò)安全治理方案時(shí)，通常需要證實(shí)網(wǎng)絡(luò)專門可能或者正在受到攻擊。此外，攻擊的頻率和特點(diǎn)有助于選擇愛護(hù)網(wǎng)絡(luò)免受相應(yīng)攻擊的安全手段。在入侵防備運(yùn)行了一段時(shí)刻后，系統(tǒng)使用模式和檢測咨詢題變得明顯，這會(huì)使系統(tǒng)的安全設(shè)計(jì)與治理的咨詢題暴露出來，在還沒有造成缺失的時(shí)候進(jìn)行糾正。即使當(dāng)入侵防備不能阻止攻擊時(shí)，它仍能夠收集該攻擊的可信的詳細(xì)信息進(jìn)行事件處理和復(fù)原，此外，這些信息在某些情形下能夠作為犯罪的佐證。4入侵防備產(chǎn)品部署我們建議在XX單位辦公網(wǎng)與財(cái)務(wù)網(wǎng)接入處部署一臺(tái)天融信百兆入侵防備系統(tǒng)，要緊監(jiān)控不同區(qū)域和財(cái)務(wù)網(wǎng)服務(wù)器的安全狀況。在互聯(lián)網(wǎng)與XX單位辦公網(wǎng)接入處部署一臺(tái)天融信千兆入侵防備系統(tǒng).IDP的探測引擎應(yīng)串連部署在XX單位辦公網(wǎng)與財(cái)務(wù)網(wǎng),互聯(lián)網(wǎng)與XX單位辦公網(wǎng)連接線路上。5入侵防備策略配置1）配置事件庫升級(jí)配置入侵防備系統(tǒng)進(jìn)行定期的事件庫升級(jí)。2）配置服務(wù)器區(qū)網(wǎng)絡(luò)的全局預(yù)警策略入侵防備系統(tǒng)將發(fā)覺的針對(duì)XX單位財(cái)務(wù)網(wǎng)絡(luò)的入侵事件進(jìn)行整理，并建立戰(zhàn)略級(jí)全局預(yù)警事件庫，進(jìn)而能夠據(jù)此對(duì)XX單位網(wǎng)絡(luò)做出有針對(duì)性的全局預(yù)警。3）配置XX單位網(wǎng)絡(luò)特有的專門事件集策略修改或定義XX單位網(wǎng)絡(luò)特有的事件，動(dòng)態(tài)生成XX單位網(wǎng)絡(luò)自己的事件庫，提升入侵防備系統(tǒng)對(duì)XX單位網(wǎng)絡(luò)應(yīng)用的適應(yīng)性和事件檢測的準(zhǔn)確性。4）配置XX單位網(wǎng)絡(luò)專門流量分析策略按照實(shí)時(shí)監(jiān)控XX單位網(wǎng)絡(luò)流量，進(jìn)行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計(jì)情形，定義XX單位網(wǎng)絡(luò)流量專門的閥值，對(duì)專門流量進(jìn)行實(shí)時(shí)報(bào)警。5）配置XX單位網(wǎng)絡(luò)內(nèi)容專門分析策略配置內(nèi)容專門分析策略對(duì)XX單位網(wǎng)絡(luò)所設(shè)定的專門報(bào)警內(nèi)容進(jìn)行多方位的定點(diǎn)跟蹤和顯示，對(duì)專門內(nèi)容進(jìn)行實(shí)時(shí)報(bào)警。6）配置XX單位網(wǎng)絡(luò)安全報(bào)表策略按照XX單位網(wǎng)絡(luò)中所需要的事件記錄內(nèi)容，建立報(bào)表模板。按照XX單位網(wǎng)絡(luò)中的需求選擇報(bào)表類型，定制相應(yīng)的報(bào)表。7）配置XX單位網(wǎng)絡(luò)蠕蟲分析策略XX單位網(wǎng)絡(luò)中心針對(duì)當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進(jìn)行配置網(wǎng)絡(luò)蠕蟲策略，包括Nimda蠕蟲、Sqlslammer蠕蟲等。9）配置XX單位網(wǎng)絡(luò)入侵防備治理策略針對(duì)XX單位網(wǎng)絡(luò)不同安全等級(jí)的入侵事件進(jìn)行不同的響應(yīng)方式。包括記錄，報(bào)警，阻斷。10）配置日志輸出策略配置將日志輸出到綜合審計(jì)系統(tǒng)上的策略六．防病毒網(wǎng)關(guān)系統(tǒng)1XX單位網(wǎng)絡(luò)防毒需求分析和產(chǎn)品選型通過對(duì)XX單位網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境和要緊網(wǎng)絡(luò)業(yè)務(wù)狀況進(jìn)行分析，我們認(rèn)為運(yùn)算機(jī)病毒是威逼系統(tǒng)正常運(yùn)行的一個(gè)重要因素。當(dāng)前的病毒進(jìn)展出現(xiàn)出復(fù)合型威逼態(tài)勢，傳播方式多樣化、速度極快，在網(wǎng)絡(luò)中極易形成交叉感染的狀況，同時(shí)運(yùn)算機(jī)病毒的危害也不再只限于破壞文件和本機(jī)，它甚至能夠發(fā)動(dòng)網(wǎng)絡(luò)攻擊，導(dǎo)致網(wǎng)絡(luò)設(shè)備和服務(wù)器崩潰。一旦病毒爆發(fā)，確信會(huì)給網(wǎng)絡(luò)系統(tǒng)帶來專門大缺失。針對(duì)混合型安全威逼攻擊，還需要加大邊界防毒的防范過濾，如此才能更有效的保證系統(tǒng)的安全性、網(wǎng)絡(luò)的可用性。我們建議在XX單位財(cái)務(wù)網(wǎng)絡(luò)與XX單位辦公網(wǎng)，XX單位辦公網(wǎng)與互聯(lián)網(wǎng)接入處部署天融信防病毒網(wǎng)關(guān)，工作在互聯(lián)網(wǎng)與XX單位辦公網(wǎng)，XX單位辦公網(wǎng)與財(cái)務(wù)網(wǎng)絡(luò)的接入口處。防病網(wǎng)關(guān)能夠進(jìn)行病毒特點(diǎn)碼升級(jí)。通過配置防病毒網(wǎng)關(guān)，我們能夠?qū)崿F(xiàn)：保證所有通過郵件/HTTP/FTP等方式進(jìn)入外網(wǎng)辦公網(wǎng)網(wǎng)絡(luò)及用戶系統(tǒng)前都會(huì)通過防病毒模塊查殺毒。2防病毒網(wǎng)關(guān)產(chǎn)品組成防病毒網(wǎng)關(guān)要緊是處理網(wǎng)絡(luò)中數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行分析過濾，防止病毒代碼從設(shè)備中穿過滲透到內(nèi)部網(wǎng)絡(luò)。同時(shí)防止蠕蟲的攻擊，和垃圾郵件對(duì)正常辦公的干擾。WEB方式治理要緊是通過遠(yuǎn)程登陸防火墻，對(duì)防病毒網(wǎng)關(guān)進(jìn)行配置和治理。用戶能夠遠(yuǎn)程地治理硬件設(shè)備，對(duì)要處理的要緊網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)置，設(shè)置相應(yīng)協(xié)議中的方便治理員的操作和治理。同時(shí)用戶能夠通過WEB方式查詢相應(yīng)的日志和生成所要的報(bào)表。3防病毒網(wǎng)關(guān)產(chǎn)品部署在本方案中將在XX單位辦公網(wǎng)絡(luò)與財(cái)務(wù)處網(wǎng)絡(luò)接入處部署天融信百兆防病毒網(wǎng)關(guān)，XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)接入處部署天融信千兆防病毒網(wǎng)關(guān),對(duì)來自互聯(lián)網(wǎng)的數(shù)據(jù)及財(cái)務(wù)網(wǎng)絡(luò)區(qū)以外的數(shù)據(jù)，進(jìn)行病毒檢測，針對(duì)SMTP、POP3、FTP、HTTP等協(xié)議的數(shù)據(jù)流進(jìn)行病毒掃描，從而提供網(wǎng)關(guān)層次的防毒能力。天融信防病毒網(wǎng)關(guān)的部署,實(shí)現(xiàn)了真正的即插即用，不需要改動(dòng)現(xiàn)有網(wǎng)絡(luò)的任何設(shè)置。部署的位置被確定，只需要為防病毒網(wǎng)關(guān)連接上網(wǎng)線，開啟電源開關(guān)就能夠進(jìn)行掃描。治理IP地址確實(shí)是防病毒網(wǎng)關(guān)治理IP地址。安裝向?qū)?huì)指導(dǎo)治理員進(jìn)行差不多的設(shè)置，專門簡單易明白。4防病毒網(wǎng)關(guān)產(chǎn)品功能天融信防病毒網(wǎng)關(guān)處理所有要緊的網(wǎng)絡(luò)協(xié)議，它能處理以下協(xié)議：SMTP、POP3、HTTP、FTP和IMAP。治理員還能夠針對(duì)每個(gè)協(xié)議設(shè)置高級(jí)選項(xiàng)，例如：能夠選擇清除病毒、刪除文件、隔離病毒或是記錄日志的方式來處理病毒。而且還能夠在相應(yīng)的協(xié)議中設(shè)置一些附加功能的設(shè)置，如對(duì)關(guān)鍵字的過濾設(shè)置，對(duì)文件類型的掃描設(shè)置等。七系統(tǒng)層安全設(shè)計(jì)1系統(tǒng)層安全目標(biāo)操作系統(tǒng)：保證操作系統(tǒng)平臺(tái)的安全和正常運(yùn)行，為應(yīng)用系統(tǒng)提供及時(shí)多樣的服務(wù)；數(shù)據(jù)庫：保證數(shù)據(jù)庫不受到惡意侵害或未經(jīng)授權(quán)的存取與修改。應(yīng)用系統(tǒng)：能提供有效的訪咨詢操縱和身份驗(yàn)證手段，保證應(yīng)用平臺(tái)的連續(xù)、可靠的提供服務(wù)。2操作系統(tǒng)安全要求操作系統(tǒng)是所有運(yùn)算機(jī)終端、工作站和服務(wù)器等正常運(yùn)行的基礎(chǔ)，操作系統(tǒng)的安全十分重要。目前的商用操作系統(tǒng)要緊有IBMAIX、Linux、AS/400、OS/390、SUNSolaris、HPUnix、Windows/3x、Windows95/98、WindowsNTWorkstation/Server、Windows2000/2003、OS/2、NOVELLNetware等。這些操作系統(tǒng)大部分獲得了美國政府的C-2級(jí)安全性認(rèn)證。然而針對(duì)操作系統(tǒng)應(yīng)用環(huán)境對(duì)安全要求的不同，公司網(wǎng)絡(luò)對(duì)操作系統(tǒng)的不同適用范疇作如下要求：在XX單位網(wǎng)絡(luò)中關(guān)鍵的服務(wù)器群和工作站（如數(shù)據(jù)庫服務(wù)器、WWW服務(wù)器、代理服務(wù)器、Email服務(wù)器、病毒服務(wù)器、DHCP主域服務(wù)器、備份服務(wù)器和網(wǎng)管工作站）應(yīng)該采納服務(wù)器版本的操作系統(tǒng)。典型的有：SUNSolaris、HPUnix、WindowsNTServer、Windows2000/2003Server。網(wǎng)管終端、辦公終端能夠采納通用圖形窗口操作系統(tǒng)，如WindowsNTWorkstation/Server、Windows2000等。3操作系統(tǒng)安全治理操作系統(tǒng)因?yàn)樵O(shè)計(jì)和版本的咨詢題，存在許多的安全漏洞；同時(shí)因?yàn)樵谑褂弥邪踩O(shè)置不當(dāng)，也會(huì)增加安全漏洞，帶來安全隱患。在沒有其它更高安全級(jí)不的商用操作系統(tǒng)可供選擇的情形下，安全關(guān)鍵在于操作系統(tǒng)的安全治理。為了加大操作系統(tǒng)的安全治理，要從物理安全、登錄安全、用戶安全、文件系統(tǒng)和打印機(jī)安全、注冊(cè)表安全、RAS安全、數(shù)據(jù)安全、各應(yīng)用系統(tǒng)安全等方面制定強(qiáng)化安全的措施。加大物理安全治理，系統(tǒng)要有能力限制對(duì)I/O設(shè)備（軟驅(qū)、打印設(shè)備）的訪咨詢。例如：如果沒有必要，建議去掉或鎖死軟盤驅(qū)動(dòng)器，禁止DOS或其他操作系統(tǒng)訪咨詢NTFS分區(qū)；在服務(wù)器上設(shè)置系統(tǒng)啟動(dòng)口令，設(shè)置BIOS禁用軟盤引導(dǎo)系統(tǒng)；不創(chuàng)建任何DOS分區(qū)；保證機(jī)房的物理安全。下載安裝最新的操作系統(tǒng)及其它應(yīng)用軟件的安全和升級(jí)補(bǔ)丁。如用最新的ServicePack（SP6）升級(jí)WindowsNTServer4。0，包括所有補(bǔ)丁程序和后來發(fā)表的專門多安全補(bǔ)丁程序。把握并使用操作系統(tǒng)提供的安全功能，關(guān)閉不必要的服務(wù)和端口，專用主機(jī)只開專用功能。例如：運(yùn)行網(wǎng)管、數(shù)據(jù)庫重要進(jìn)程的主機(jī)上不應(yīng)該運(yùn)行如sendmail這種bug比較多的程序。網(wǎng)管網(wǎng)段路由器中的訪咨詢操縱應(yīng)該限制在最小限度，與系統(tǒng)集成商研究清晰各進(jìn)程必需的進(jìn)程端口號(hào)，關(guān)閉不必要的端口。WindowsNT缺省安裝未禁用Guest賬號(hào)，同時(shí)給Everyone（每個(gè)人）工作組授予“完全操縱”權(quán)限，沒有實(shí)施口令策略等，都給網(wǎng)絡(luò)的安全留下了漏洞。要加大服務(wù)器的安全，必須按照需要設(shè)置這些功能。操縱授權(quán)用戶的訪咨詢，實(shí)行“用戶權(quán)限最小化”配置原則，將用戶以“組”的方式進(jìn)行治理。例如：“用戶權(quán)限最小化”配置。域里配置適當(dāng)?shù)腘TFS訪咨詢操縱能夠增強(qiáng)網(wǎng)絡(luò)的安全。取消或更換缺省情形下的Everyone組的：“完全操縱”權(quán)限，要始終設(shè)置用戶所能承諾的最小的文件夾和文件的訪咨詢權(quán)限。另外，不要共享任何一個(gè)FAT卷。幸免給用戶定義特定的訪咨詢操縱。將用戶以“組”的方式進(jìn)行治理是一個(gè)用戶治理的有效方法。如果一個(gè)用戶在公司里的角色變了，專門難跟蹤并更換他的訪咨詢權(quán)。最明智的作法確實(shí)是為每個(gè)用戶指定一個(gè)工作組，為工作組指定文件、文件夾訪咨詢權(quán)。如果要收回或更換某個(gè)用戶的訪咨詢權(quán)，只要把該用戶從工作組中刪除或指定另一個(gè)工作組。實(shí)施賬號(hào)及口令策略。配置口令策略，設(shè)置賬號(hào)鎖定。要緊原則有：登錄名稱中字符不要重復(fù)或循環(huán)；至少包含兩個(gè)字母字符和一個(gè)非字母字符；至少有6個(gè)字符長度；不是用戶的姓名，不是有關(guān)人物、聞名人物的姓名，不是用戶的生日和電話號(hào)碼及