XX公司湖南省農(nóng)信社安全解決方案

1、目 錄1.建設(shè)背景及現(xiàn)狀建設(shè)背景及現(xiàn)狀 -22.網(wǎng)絡(luò)安全監(jiān)控平臺需求分析網(wǎng)絡(luò)安全監(jiān)控平臺需求分析 -43.建設(shè)原則及設(shè)計思路建設(shè)原則及設(shè)計思路 -53.1.安全監(jiān)控平臺建設(shè)原則-53.2.安全監(jiān)控平臺設(shè)計思路-53.2.1.以安全為核心規(guī)劃網(wǎng)絡(luò)-53.2.2.用防火墻隔離各安全區(qū)域-63.2.3.對關(guān)鍵路徑進行深入檢測防護-63.2.4.對終端進行安全訪問控制-63.2.5.根據(jù)實際需要部署其他安全系統(tǒng)-74.網(wǎng)絡(luò)安全監(jiān)控平臺規(guī)劃方案網(wǎng)絡(luò)安全監(jiān)控平臺規(guī)劃方案 -94.1.安全硬件部署規(guī)劃-94.1.1.互聯(lián)接口區(qū)域-94.1.2.數(shù)據(jù)中心-104.1.3.網(wǎng)絡(luò)交互-114.2.安全軟件部署規(guī)劃

2、-124.2.1.網(wǎng)絡(luò)設(shè)備安全-124.2.2.用戶安全-144.2.3.審計安全-184.3.安全監(jiān)控平臺可實現(xiàn)的功能-204.3.1.對dos/ddos的抵御-204.3.2.應(yīng)用層威脅和深度安全保護-214.3.3.虛擬軟件補丁技術(shù)-224.3.4.基于應(yīng)用層的狀態(tài)檢測技術(shù)aspf-234.3.5.基于soa架構(gòu)的綜合管理平臺-244.3.6.與網(wǎng)絡(luò)管理無縫結(jié)合的用戶管理-255.詳細的產(chǎn)品配置清單詳細的產(chǎn)品配置清單-276.特殊需求和擴展應(yīng)用特殊需求和擴展應(yīng)用-286.1.雙網(wǎng)用戶的實施方式-286.2.arp 欺騙的威脅抵御-286.3.p2p 流量的靈活限制-286.3.1.p2p

3、技術(shù)即應(yīng)用簡介-286.3.2.secpath f1800-a對p2p的靈活控制-296.3.3.h3c ips 2400e對p2p的靈活控制-306.3.4.軟硬件結(jié)合對p2p進行控制-306.4.統(tǒng)一安全管理監(jiān)控功能-316.4.1.seccenter a1000 產(chǎn)品介紹-316.4.2.seccenter a1000 重要功能列表-3216.5.設(shè)備配置的批量管理-356.6.acl 安全策略管理-356.7.mpls vpn 網(wǎng)絡(luò)管理-376.8.外聯(lián)業(yè)務(wù)擴展應(yīng)用-387.安全管理建議（僅供參考）安全管理建議（僅供參考）-397.1.安全管理組織結(jié)構(gòu)-397.1.1.人員需求與技能要

4、求-397.1.2.崗位職責(zé)-397.2.安全管理制度-407.2.1.業(yè)務(wù)網(wǎng)服務(wù)器上線及日常管理制度-407.2.2.安全產(chǎn)品管理制度-407.2.3.應(yīng)急響應(yīng)制度-407.2.4.制度運行監(jiān)督-418.售后服務(wù)承諾售后服務(wù)承諾-42附錄：成功案例及用戶名單附錄：成功案例及用戶名單-438.1.農(nóng)信聯(lián)清算中心案例-438.2.嘉興農(nóng)信聯(lián)-448.3.江蘇華夏銀行-458.4.金融行業(yè)部分用戶名單-錯誤！未定義書簽。錯誤！未定義書簽。21.1.建設(shè)背景及現(xiàn)狀建設(shè)背景及現(xiàn)狀作為國民經(jīng)濟中最為敏感、最為復(fù)雜的銀行業(yè)正在經(jīng)歷著一場深刻的變革，金融國際化使中國銀行在面對國內(nèi)各類型銀行強烈競爭的同時，還

5、要面對發(fā)達國家跨國銀行的競爭；金融市場化則必然導(dǎo)致金融管制的放松，政府在業(yè)務(wù)、地域等方面對銀行的保護也不可避免地被削弱。面對外有強敵、內(nèi)乏支援的難堪境地，中國銀行業(yè)明智選擇了依靠高新技術(shù)的特色經(jīng)營道路。銀行的發(fā)展重點正在從以“量的擴張”為主轉(zhuǎn)變到以“質(zhì)的提高”為主,追求利潤和市場的最大化,向數(shù)據(jù)集中化、業(yè)務(wù)電子化、管理信息化和服務(wù)創(chuàng)新等方向發(fā)展。所有這一切的變化和發(fā)展，必然需要對銀行現(xiàn)有的業(yè)務(wù)基礎(chǔ)進行改造和重建，而作為承載平臺的網(wǎng)絡(luò)系統(tǒng)也在悄然發(fā)生著歷史性的轉(zhuǎn)變。網(wǎng)上銀行進程加快，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)安全問題成為首要問題。網(wǎng)上銀行不同于以前銀行應(yīng)用的信息技術(shù)，如果以前的信息技術(shù)是在支持和運作銀行業(yè)務(wù)的

6、話，那么網(wǎng)上銀行則是在改造銀行業(yè)務(wù)。未來的網(wǎng)上銀行將成為一個綜合性的電子服務(wù)網(wǎng)絡(luò)系統(tǒng)，它將具有多種交易渠道、滿足多種服務(wù)需求、聯(lián)通多種外部單位、支持多種支付方式，提供高可用、高性能、可伸縮、易管理、開放性、連通性等多方面的優(yōu)勢。在給予銀行業(yè)新的活力的同時，必然導(dǎo)致不同銀行機構(gòu)的差別分工日趨淡化的新格局的出現(xiàn)，一個更加開放的互聯(lián)框架將形成，行業(yè)內(nèi)、外部之間的信息交換將更加頻繁。在這個必然的過程中，傳統(tǒng)封閉性的金融業(yè)務(wù)網(wǎng)絡(luò)將逐漸實現(xiàn)與公開網(wǎng)絡(luò)的相互融合或者連接，在這種情況下，如何保障業(yè)務(wù)網(wǎng)絡(luò)的安全性成為新形勢下金融網(wǎng)絡(luò)建設(shè)的重要問題。數(shù)據(jù)大集中、管理信息系統(tǒng)及新一代綜合業(yè)務(wù)系統(tǒng)等多種關(guān)鍵且復(fù)雜系統(tǒng)

7、的建設(shè)，迫切需要簡單、高效、靈活新系統(tǒng)平臺提供有力支撐。從技術(shù)層面而言，大集中的前提是網(wǎng)絡(luò)平臺構(gòu)建，因此，大集中的建設(shè)過程將對網(wǎng)絡(luò)平臺提出新的要求，是考驗新的銀行網(wǎng)絡(luò)系統(tǒng)平臺的最大挑戰(zhàn)。同時，我國銀行業(yè)新一代綜合業(yè)務(wù)系統(tǒng)是以會計核算為基礎(chǔ)，以客戶為中心，以決策管理為導(dǎo)向，面向管理和業(yè)務(wù)，集中、統(tǒng)一、整合、聯(lián)動的綜合業(yè)務(wù)處理系統(tǒng)，它不僅涵蓋了金融系統(tǒng)原有的數(shù)據(jù)網(wǎng)絡(luò)資源系統(tǒng)、oa、企業(yè)資源系統(tǒng)，還包含著盈利分析、風(fēng)險管理、客戶關(guān)系管理、市場營銷及模型預(yù)測等銀行的管理信息系統(tǒng)（mis） 。所有的這些業(yè)務(wù)都需要一個整合的基礎(chǔ)網(wǎng)絡(luò)平臺來實現(xiàn)承載，將零散的業(yè)務(wù)基礎(chǔ)部件有機的整合在一起；也意味著需要構(gòu)建一個

8、維護簡單、管理高效、低投資成本且保證更加順暢的處理流程、更精確的網(wǎng)絡(luò)掌控和更加高效的業(yè)務(wù)回報。當然，滿足業(yè)務(wù)需求是我們追求的最終目標，那么在當今金融數(shù)據(jù)大集中、網(wǎng)絡(luò)平臺化的基礎(chǔ)上，如何更快更好的達成業(yè)務(wù)網(wǎng)絡(luò)需求呢？這是我們在構(gòu)建新的網(wǎng)絡(luò)平臺時候不得不慎重考慮的問題！中間件在銀行業(yè)的應(yīng)用將日益得到關(guān)注。隨著銀行對各種舊有應(yīng)用系統(tǒng)的不斷擴充，新業(yè)務(wù)需求的不斷增加以及分布式應(yīng)用的迅猛發(fā)展，銀行業(yè)的技術(shù)人員開始更多地關(guān)注中間件，希望能借助于中間件的強大功能來滿足迅速增長的銀行業(yè)務(wù)需求。但是不同的硬件平臺、異構(gòu)的網(wǎng)絡(luò)環(huán)境、系統(tǒng)效率較低、網(wǎng)絡(luò)傳輸不可靠等，不是僅僅通過購買更高檔的主機、申請更寬的網(wǎng)絡(luò)帶寬或

9、依賴傳統(tǒng)的系統(tǒng)軟件和工具軟件就能完全解決的，銀行業(yè)急需一個更為合理的平臺支撐，一個更加完善的服務(wù)質(zhì)量保證策略，一個完整的系統(tǒng)管理平臺來為不斷變化的新銀行業(yè)務(wù)保駕護航。農(nóng)村信用社是一個多法人的群體組織，遍布廣大農(nóng)村地區(qū)。伴隨著信息化的浪潮席卷而來，各農(nóng)信社紛紛加快信息基礎(chǔ)架構(gòu)建設(shè)的步伐。而作為農(nóng)業(yè)大省，在目前農(nóng)村金融體系還不健全的條件下，湖南省農(nóng)信社實際上起到了服務(wù)“三農(nóng)”的主渠道和主力軍作用。湖南省農(nóng)村信用社轄下共有 4 家市級聯(lián)社、10 個市級辦事處和 118 家縣級聯(lián)社，儲蓄網(wǎng)點3多，分布極為分散。目前湖南省農(nóng)村信用社已經(jīng)建成了覆蓋整個湖南省范圍內(nèi)的業(yè)務(wù)縱向網(wǎng)。整個縱向網(wǎng)分為省、地市、縣三

10、級。省業(yè)務(wù)網(wǎng)作為整個縱向網(wǎng)的中心，建設(shè)較早。局域網(wǎng)核心交換機采用 cisco 6500 系列，核心路由器采用 cisco 7600 系列；地市級中心部署 quidwaynetengine 40/20 系列路由器；縣、區(qū)級聯(lián)社部署 h3c ar 4600 系列路由器和 h3c s3900 系列以太網(wǎng)交換機。整個縱向網(wǎng)從中心到分之全部采用雙鏈路雙機熱備方式部署，以保證鏈路的高可靠性。主干網(wǎng)絡(luò)從省到地市到區(qū)縣全部采用 sdh 技術(shù)作為鏈路承載，以提供高速的數(shù)據(jù)交互帶寬和便捷的鏈路擴容能力。整個網(wǎng)絡(luò)還包含了邁普、博大等多家廠商的路由交換設(shè)備，網(wǎng)絡(luò)設(shè)備合計超過 5000 臺，終端計算機超過 10000

11、臺。除了現(xiàn)有的業(yè)務(wù)網(wǎng)之外，在省核心農(nóng)信聯(lián)還已經(jīng)建設(shè)完成了省中心辦公局域網(wǎng)，該局域網(wǎng)將來會作為湖南省農(nóng)信聯(lián)的辦公縱向網(wǎng)中心，提供辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間的數(shù)據(jù)交互。整個網(wǎng)絡(luò)現(xiàn)狀拓撲示意如下：i.圖 湖南省農(nóng)信聯(lián)網(wǎng)絡(luò)現(xiàn)狀拓撲示意在地市和區(qū)縣網(wǎng)點，也有一部分小型辦公局域網(wǎng)已經(jīng)完成，在圖上并沒有詳細標注。42.2.網(wǎng)絡(luò)安全監(jiān)控平臺需求分析網(wǎng)絡(luò)安全監(jiān)控平臺需求分析金融系統(tǒng)特別是銀行的網(wǎng)絡(luò)對于安全的要求非常高。目前，在僅有縱向的業(yè)務(wù)網(wǎng)的情況下，網(wǎng)絡(luò)相對比較安全。縱向業(yè)務(wù)網(wǎng)和其他網(wǎng)絡(luò)相互之間物理隔離，沒有數(shù)據(jù)交互的接口，從而避免了網(wǎng)絡(luò)威脅的侵蝕。銀行的業(yè)務(wù)是非常復(fù)雜的，對這些復(fù)雜業(yè)務(wù)需要進行完善的管理。所以，需要

12、在縱向業(yè)務(wù)網(wǎng)存在的同時，提供一張能夠滿足日常辦公、對業(yè)務(wù)進行管理的縱向網(wǎng)絡(luò)進行支撐。這也就是農(nóng)信聯(lián)準備在后期建設(shè)的縱向辦公網(wǎng)?？v向辦公網(wǎng)當中，日常的 erp 等辦公流與業(yè)務(wù)網(wǎng)沒有密切關(guān)系，可以分開隔離，但是對業(yè)務(wù)的管理數(shù)據(jù)流要求縱向辦公網(wǎng)必須能夠從業(yè)務(wù)網(wǎng)當中獲取數(shù)據(jù)。這就要求縱向業(yè)務(wù)網(wǎng)與縱向辦公網(wǎng)之間必然存在物理的鏈接。同時，考慮到外連機構(gòu)、遠程辦公的問題，縱向辦公網(wǎng)必然與 internet 也存在物理的接口。那么，如何在保證數(shù)據(jù)獲取的同時，保護縱向業(yè)務(wù)網(wǎng)的安全是核心問題?，F(xiàn)在的業(yè)務(wù)網(wǎng)當中，由于沒有外連接口，網(wǎng)絡(luò)在物理鏈路上獨立存在，導(dǎo)致網(wǎng)絡(luò)中并不需要考慮太多的安全防護因素?；谝陨闲枨?，網(wǎng)絡(luò)

13、安全監(jiān)控平臺的建設(shè)成為縱向辦公網(wǎng)實施的前提。分析網(wǎng)絡(luò)安全威脅的具體存在，結(jié)合相關(guān)法律法規(guī)（bs7799、公安部信息安全等級規(guī)范） ，首先對業(yè)務(wù)網(wǎng)進行安全資產(chǎn)和安全區(qū)域的劃分。從安全資產(chǎn)來看，整個網(wǎng)絡(luò)當中的設(shè)備可以劃分為四大類。他們分別是網(wǎng)絡(luò)承載鏈路、網(wǎng)絡(luò)數(shù)據(jù)交互設(shè)備、網(wǎng)絡(luò)接入終端（包括服務(wù)器）和應(yīng)用業(yè)務(wù)軟件。從安全區(qū)域進行劃分整個業(yè)務(wù)承載網(wǎng)被分割成四個區(qū)域，分別是終端接入?yún)^(qū)域、互聯(lián)接口區(qū)域、網(wǎng)絡(luò)交互區(qū)域和數(shù)據(jù)中心。根據(jù)數(shù)據(jù)的三大存在形態(tài)，即數(shù)據(jù)的存儲、計算和交互，結(jié)合 h3c 范信息安全模型 it-cmm-security，要求安全資產(chǎn)具有以下特性。承載鏈路：要求鏈路具有冗余機制和高可靠性。農(nóng)

14、信聯(lián)業(yè)務(wù)縱向網(wǎng)通過雙鏈路冗余提供承載，在鏈路層面提供了較高的安全性；sdh 技術(shù)的快速時間響應(yīng)機制和高速交互的帶寬保證了鏈路的可靠性和穩(wěn)定性。網(wǎng)絡(luò)數(shù)據(jù)交互設(shè)備：要求關(guān)鍵設(shè)備具有高可靠和穩(wěn)定特性。目前農(nóng)信聯(lián)業(yè)務(wù)縱向網(wǎng)當中采用的數(shù)據(jù)交互設(shè)備都為主流廠商提供，設(shè)備本身提供了足夠的可靠性。通過設(shè)備的關(guān)鍵部件（如 mcu、power）冗余和關(guān)鍵設(shè)備的雙機冗余熱備進一步從設(shè)備層面提升可靠性。設(shè)備本身對相關(guān)冗余很鏈路切換協(xié)議（如ospf、stp、rstp、vrrp、hsrp）的支持保證了設(shè)備可靠性和鏈路可靠性的有機融合。接入終端：要求接入終端具備安全接入特性。接入終端 pc 和服務(wù)器必須采用足夠支撐業(yè)務(wù)軟件

15、的硬件系統(tǒng)和操作系統(tǒng)，并要求相關(guān)操作系統(tǒng)能夠即使進行漏洞和補丁的更新，配備最新的病毒防護和攻擊防護軟件保證終端的安全。目前農(nóng)信聯(lián)業(yè)務(wù)縱向網(wǎng)當中的接入設(shè)備按操作系統(tǒng)分為兩大類別，分別是 unix 系統(tǒng)和 windows系統(tǒng)。unix 系統(tǒng)相對漏洞較少，穩(wěn)定性更強。而由于 windows 本身的不穩(wěn)定性和多漏洞特性，需要對網(wǎng)絡(luò)終端的漏洞防護和病毒防護進行進一步的安全保護，有待于在本次安全平臺建設(shè)的過程中進行實施。應(yīng)用業(yè)務(wù)軟件：要求軟件具有穩(wěn)定的構(gòu)架和安全使用機制。目前農(nóng)信聯(lián)的應(yīng)用業(yè)務(wù)軟件屬于 c/s 和 b/s 并存的架構(gòu)，業(yè)務(wù)軟件本身都經(jīng)過了長期的使5用和檢驗，相對安全性較高。但是對使用者身份認

16、證、合法用戶的管理需要在本次建設(shè)中實施。63.3.建設(shè)原則及設(shè)計思路建設(shè)原則及設(shè)計思路.安全監(jiān)控平臺建設(shè)原則安全監(jiān)控平臺建設(shè)原則農(nóng)信聯(lián)的安全監(jiān)控平臺的建設(shè)屬于其信息化建設(shè)的一個重要組成部分，所以農(nóng)信聯(lián)的安全監(jiān)控平臺的建設(shè)必將伴隨信息化建設(shè)的逐步完善而分步實施，要求具備以下原則。（1）整體均衡原則 要對信息系統(tǒng)進行全面均衡的保護，要提高整個信息系統(tǒng)的安全最低點的安全性能，保證各個層面防護的均衡。 （2） 安全目標與效率、投入之間的平衡原則 要綜合考慮安全目標與效率、投入之間的均衡關(guān)系，確定合適的平衡點，不能為了追求安全而犧牲效率，或投入過大。（3） 標準化與一致性原則 在技術(shù)、設(shè)備

17、選型方面必須遵循一系列的業(yè)界標準，充分考慮不同設(shè)備技術(shù)之間的兼容一致性。（4） 產(chǎn)品異構(gòu)性原則在安全產(chǎn)品選型時，考慮不同廠商安全產(chǎn)品功能互補的特點，在進行多層防護時，將選用不同廠商的安全產(chǎn)品。（5）區(qū)域等級原則要將信息系統(tǒng)按照合理的原則劃分為不同安全等級，分區(qū)域分等級進行安全防護。（6）動態(tài)發(fā)展原則 安全防范體系的建設(shè)不是一個一勞永逸的工作，而是一個長期不斷完善的過程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標的調(diào)整而不斷升級發(fā)展。（7）統(tǒng)籌規(guī)劃分步實施原則 技術(shù)方案的部署不可能一步到位，所以要在一個全面規(guī)劃的基礎(chǔ)上，根據(jù)實際情況，在不影響正常生產(chǎn)的前提下，分步實施。（8）

18、保護原有投資原則設(shè)計技術(shù)方案時，要盡量利用湖南省農(nóng)信聯(lián)現(xiàn)有的設(shè)備與軟件，避免投資浪費，這些設(shè)備包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備等。.安全監(jiān)控平臺設(shè)計思路安全監(jiān)控平臺設(shè)計思路湖南省農(nóng)信聯(lián)的網(wǎng)絡(luò)應(yīng)用比較復(fù)雜，對安全的要求也很高，根據(jù)對湖南農(nóng)信聯(lián)網(wǎng)絡(luò)和應(yīng)用的理解，結(jié)合在金融行業(yè)的成功經(jīng)驗，提出了如下安全建設(shè)思路。3.2.1. 以安全為核心規(guī)劃網(wǎng)絡(luò)現(xiàn)有網(wǎng)絡(luò)大多是以連通性作為中心進行設(shè)計的，而很少考慮安全性。例如最典型的網(wǎng)絡(luò)三層架構(gòu)模型（核心層、匯聚層、接入層架構(gòu)）中，網(wǎng)絡(luò)是向核心層集中的而并沒有考慮同一層7不同節(jié)點之間的安全隔離問題。而在網(wǎng)絡(luò)安全改造中首先需要改變的就是將以連通性為中心的設(shè)計思路轉(zhuǎn)

19、變?yōu)橐园踩珵橹行牡脑O(shè)計思路。并按照以安全為核心的設(shè)計思路的要求對網(wǎng)絡(luò)進行重新設(shè)計。所謂以安全為核心的設(shè)計思路就是要求在進行網(wǎng)絡(luò)設(shè)計時，首先根據(jù)現(xiàn)有以及未來的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)模式，將網(wǎng)絡(luò)分為不同的安全區(qū)域，在不同的安全區(qū)域之間進行某種形式的安全隔離，比如采用防火墻隔離業(yè)務(wù)網(wǎng)和辦公網(wǎng)。3.2.2. 用防火墻隔離各安全區(qū)域防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效監(jiān)不同安全網(wǎng)絡(luò)之間的任何活動。防火墻在網(wǎng)絡(luò)間實現(xiàn)訪問控制，比如一個

20、是用戶的安全網(wǎng)絡(luò)，稱之為被信任應(yīng)受保護的網(wǎng)絡(luò) ，另外一個是其它的非安全網(wǎng)絡(luò)稱為某個不被信任并且不需要保護的網(wǎng)絡(luò) 。防火墻就位于一個受信任的網(wǎng)絡(luò)和一個不受信任的網(wǎng)絡(luò)之間，通過一系列的安全手段來保護受信任網(wǎng)絡(luò)上的信息。3.2.3. 對關(guān)鍵路徑進行深入檢測防護雖然，網(wǎng)絡(luò)中已部署了防火墻等基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品，但是，在網(wǎng)絡(luò)的運行維護中，it 部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、而應(yīng)用系統(tǒng)的響應(yīng)速度越來越慢。產(chǎn)生這個問題的原因并不是當初網(wǎng)絡(luò)設(shè)計不周，而是自 2003 年以來，蠕蟲、點到點，入侵技術(shù)日益滋長并演變到應(yīng)用層面（l7）的結(jié)果，而這些有害代碼總是偽裝成客戶正常業(yè)務(wù)進行傳播，目前部署的防火墻等安全產(chǎn)

21、品其軟硬件設(shè)計當初僅按照其工作在 l2-l4 時的情況考慮，不具有對數(shù)據(jù)流進行綜合、深度監(jiān)測的能力，自然就無法有效識別偽裝成正常業(yè)務(wù)的非法流量，結(jié)果蠕蟲、攻擊、間諜軟件、點到點應(yīng)用等非法流量輕而易舉地通過防火墻開放的端口進出網(wǎng)絡(luò)。因此在關(guān)鍵路徑上部署獨立的具有深度檢測防御的 ips 系統(tǒng)就顯得非常重要。深度檢測防御是為了檢測計算機網(wǎng)絡(luò)中違反安全策略行為。一般認為違反安全策略的行為有： 入侵非法用戶的違規(guī)行為； 濫用用戶的違規(guī)行為；深度檢測防御識別出任何不希望有的活動，從而限制這些活動，以保護系統(tǒng)的安全。深度檢測防御的應(yīng)用目的是在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐

22、入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。3.2.4. 對終端進行安全訪問控制目前，針對病毒、蠕蟲的防御體系還是以孤立的單點防御為主，如在個人計算機上安裝防病毒軟件、防火墻軟件等。當發(fā)現(xiàn)新的病毒或新的網(wǎng)絡(luò)攻擊時，一般是由網(wǎng)絡(luò)管理員發(fā)布病毒告警或補丁升級公告，要求網(wǎng)絡(luò)中的所有計算機安裝相關(guān)防御軟件。從企業(yè)病毒泛濫、損失嚴重的結(jié)果來看，當前的防御方式并不能有效應(yīng)對病毒和蠕蟲的威脅，存在嚴重不足。主要表現(xiàn)在： 被動防御，缺乏主動抵抗能力。 單點防御，對病毒的重復(fù)、交叉感染缺乏控制。8 分散管理，安全策略不統(tǒng)一，缺乏全局防御能力。只有從用戶的接入終端進行安全控制，才能夠從源頭上防御威脅，

23、但是，分散管理的終端難以保證其安全狀態(tài)符合企業(yè)安全策略，無法有效地從網(wǎng)絡(luò)接入點進行安全防范。在分散管理的安全體系中，新的補丁發(fā)布了卻無人理會、新的病毒出現(xiàn)了卻不及時升級病毒庫的現(xiàn)象普遍存在。分散管理的安全體系無法徹底解決病毒和操作系統(tǒng)漏洞帶來的網(wǎng)絡(luò)安全威脅，只有集中管理、強制終端用戶執(zhí)行，才能夠起到統(tǒng)一策略、全局防范的效果。 全網(wǎng)部署防病毒系統(tǒng)在所有計算機安全威脅中，計算機病毒是最為嚴重的，它往往是發(fā)生的頻率高、損失大、潛伏性強、覆蓋面廣。計算機病毒直接涉及到每一個計算機使用人員，是每一個使用人員經(jīng)常會碰到和感到頭痛的事。由于 internet 技術(shù)及信息技術(shù)的普及和發(fā)展，病毒的傳染速度越來越

24、快。internet 的發(fā)展使的病毒沒有國界，5 分鐘以前在美國發(fā)現(xiàn)的病毒，有可能在 5 分鐘之后，就到了國內(nèi)；依賴于 internet，病毒可以通過郵件、http、網(wǎng)絡(luò)共享、系統(tǒng)漏洞等實時的方式通過辦公網(wǎng)感染到湖南農(nóng)信聯(lián)業(yè)務(wù)網(wǎng)內(nèi)部。另外，在農(nóng)信聯(lián)內(nèi)部的群件系統(tǒng)和辦公自動化、工作流系統(tǒng)的使用(如 notes、exchange)，使得病毒在農(nóng)信聯(lián)內(nèi)部的傳染速度加快，各個員工在共享信息的同時，有可能共享病毒；同時，在群件環(huán)境中，部分機器的防病毒能力弱，會導(dǎo)致整個系統(tǒng)弱的防病毒能力。因此全網(wǎng)部署防病毒系統(tǒng)就顯得非常重要。部署一套具有方便、易用的防病毒系統(tǒng)，使計算機環(huán)境免受病毒和其它惡意代碼的攻擊。對

25、系統(tǒng)進行主動的保護，以免遭受可能來自軟盤、網(wǎng)絡(luò)下載、電子郵件附件、網(wǎng)絡(luò)共享文件、cd-rom、在線服務(wù)和其它更多途徑的感染。同時提供保護，以免遭受移動代碼如惡意的 activex 和 java 小程序的攻擊，深入最為通用的壓縮文件類型進行掃描。在病毒發(fā)作之前即可自動阻止其發(fā)作。通過尋找新病毒發(fā)作的典型活動來查詢新的攻擊。 充分利用網(wǎng)絡(luò)以及資源管理系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)中，整個網(wǎng)絡(luò)的安全首先要確保網(wǎng)絡(luò)設(shè)備的安全，保證非授權(quán)用戶不能訪問任一臺服務(wù)器、路由器、交換機或防火墻等網(wǎng)絡(luò)設(shè)備，采用網(wǎng)絡(luò)管理系統(tǒng)是一種有效的解決方法。通過網(wǎng)絡(luò)管理管理系統(tǒng)提供的配置管理、性能管理、失效管理和安全管理功能，可以實現(xiàn)網(wǎng)絡(luò)設(shè)備

26、安全有效的配置，為整個網(wǎng)絡(luò)系統(tǒng)提供安全運行的基石。3.2.5. 根據(jù)實際需要部署其他安全系統(tǒng)以上的安全系統(tǒng)部署基本可以涵蓋一般性網(wǎng)絡(luò)安全需求，但是很多特殊的應(yīng)用也需要特別的應(yīng)用保護系統(tǒng)。此外管理員也需要一些其他的安全工具對網(wǎng)絡(luò)安全運行進行審計評估等操作。在湖南農(nóng)信聯(lián)網(wǎng)絡(luò)中，還需要以下安全系統(tǒng)和安全工具： 補丁管理系統(tǒng)從公開的統(tǒng)計資料可以看到，在 2003 年全球有 80%的大型企業(yè)遭受病毒感染而使得業(yè)務(wù)系統(tǒng)運作受到干擾，即使這些大型企業(yè)已經(jīng)具備了良好的邊界安全措施，也普遍部署了病毒防御機制。造成困境的原因，一方面當然是由于現(xiàn)有防御體系的缺陷，是由于現(xiàn)有的邊界防御、基于簽名的入侵檢測和防病毒系統(tǒng)

27、從原理上就決定了其不擅長對付基于漏洞進行感染的病毒，單9單具備這些措施，不足以遏制病毒的泛濫。另一方面，也是由于基于漏洞進行感染的病毒傳播速度極快，以至來不及采取措施，病毒就已經(jīng)大規(guī)模爆發(fā)了。這恰好說明企業(yè)需要一些應(yīng)付這種情況的措施，最好在病毒前面就消滅漏洞隱患，杜絕病毒傳播的可能。補丁管理就是這一思想的產(chǎn)物，因為它的原理就是對軟件進行修補從而根本上消滅漏洞，杜絕了病毒利用漏洞的可能。 反垃圾郵件系統(tǒng)說到“垃圾郵件” ，越來越多的通過網(wǎng)絡(luò)輔助自己通信的人，都十分熟悉。盡管它不像“病毒”或者“黑客”那樣仿佛是洪水猛獸，但其卻如同小白蟻一樣，慢慢地噬咬著健康的銀行網(wǎng)絡(luò)，漸漸地并越來越嚴重地影響、阻

28、礙甚至摧毀著銀行網(wǎng)絡(luò)通信的順暢、自由和安全。近年來，垃圾電子郵件在國內(nèi)互聯(lián)網(wǎng)上已成泛濫之勢。垃圾電子郵件的傳播蔓延，嚴重侵害電子郵件銀行用戶通信利益，影響電子郵件服務(wù)的正常運營秩序，危害互聯(lián)網(wǎng)的安全和社會穩(wěn)定，已經(jīng)成為互聯(lián)網(wǎng)一大公害。因此部署反垃圾郵件系統(tǒng)就顯得尤為重要。 漏洞掃描工具如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴重。一般來說，最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安

29、全性。因此湖南農(nóng)信聯(lián)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的工具，以保證整體網(wǎng)絡(luò)系統(tǒng)平臺安全。 網(wǎng)絡(luò)流量監(jiān)測與審計對網(wǎng)絡(luò)流量進行監(jiān)測和分析是十分必要的，尤其是在大型的網(wǎng)絡(luò)環(huán)境中。利用網(wǎng)絡(luò)流量監(jiān)測與分析系統(tǒng)可以實時監(jiān)測網(wǎng)絡(luò)流量峰值，以及方便管理員根據(jù)分析報告來排除網(wǎng)絡(luò)故障，所以目前很多的大型企業(yè)都部署了專業(yè)的網(wǎng)絡(luò)流量監(jiān)測與分析系統(tǒng)。104.4.網(wǎng)絡(luò)安全監(jiān)控平臺規(guī)劃方案網(wǎng)絡(luò)安全監(jiān)控平臺規(guī)劃方案農(nóng)信聯(lián)網(wǎng)絡(luò)安全監(jiān)控平臺從整體部署上分為兩大部分，分別是軟件部署和硬件部署。軟硬件結(jié)合提供安全防護、安全監(jiān)控、威脅抵御等功能。.安全硬件部署規(guī)劃安全硬件部署規(guī)劃根據(jù)安全資產(chǎn)的

30、劃分和要求，對安全資產(chǎn)按照區(qū)域有針對性的進行安全硬件的部署。其中終端接入安全主要依靠安全軟件產(chǎn)品的部署進行保障，對于安全硬件的部署主要從互聯(lián)接口、網(wǎng)絡(luò)交互和數(shù)據(jù)中心三個區(qū)域進行部署。4.1.1. 互聯(lián)接口區(qū)域農(nóng)信聯(lián)縱向業(yè)務(wù)網(wǎng)與將來建設(shè)的縱向辦公網(wǎng)的數(shù)據(jù)互聯(lián)接口通過省中心完成，兩個網(wǎng)絡(luò)采用統(tǒng)一接口的方式互聯(lián)?？紤]到縱向辦公網(wǎng)將來會預(yù)留與 internet 的接口，縱向業(yè)務(wù)網(wǎng)在物理上與辦公網(wǎng)互聯(lián)就導(dǎo)致了業(yè)務(wù)網(wǎng)間接的暴露在 internet 環(huán)境下。分析 internet 的安全威脅狀況，要求農(nóng)信聯(lián)縱向業(yè)務(wù)網(wǎng)與辦公網(wǎng)的接口區(qū)域安全設(shè)備的部署可以提供以下功能： 采用在線模式部署 在優(yōu)先保證業(yè)務(wù)持續(xù)的基

31、礎(chǔ)上提供全面的防護； 基于狀態(tài)的鏈路檢測功能； 能夠有效抵御 dos/ddos 攻擊； 對網(wǎng)絡(luò)蠕蟲病毒進行有效防護； 可以針對數(shù)據(jù)進行 27 層的深度安全防護； 監(jiān)控并屏蔽惡意軟件； 提供對網(wǎng)絡(luò)設(shè)備、主機、鏈路的保護； 能夠抵御 zeroday attack； 具備實時的升級特性； 提供可供分析的標準日志結(jié)構(gòu)； 便捷的統(tǒng)一的管理； 保護有效數(shù)據(jù)帶寬，針對 p2p 協(xié)議對數(shù)據(jù)流可以靈活控制帶寬；根據(jù)以上要求，這里采用防火墻設(shè)備和入侵抵御設(shè)備共同部署完成互聯(lián)接口區(qū)域的安全保護。其中防火墻采用 h3c secpath f1800-a，入侵抵御采用 h3c ips 2400e，為優(yōu)先保證業(yè)務(wù)的持續(xù)性，

32、在部署 ips 設(shè)備的時候通過 zpha 掉電保護設(shè)備提供掉電鏈路保護機制。具體部署見下圖。11ii.圖 湖南農(nóng)信聯(lián)網(wǎng)絡(luò)安全監(jiān)控平臺互聯(lián)接口區(qū)域硬件部署拓撲示意圖4.1.2. 數(shù)據(jù)中心對于業(yè)務(wù)網(wǎng)數(shù)據(jù)中心，辦公網(wǎng)對它所有的數(shù)據(jù)調(diào)用都需要通過互聯(lián)區(qū)域，并不直接面對internet。相對于來自 internet 的安全威脅，已經(jīng)由互聯(lián)區(qū)域進行了充分的安全保護。因此主要考慮的來自于業(yè)務(wù)網(wǎng)內(nèi)部的安全威脅。針對業(yè)務(wù)網(wǎng)內(nèi)部進行分析，其威脅的主要入口是終端設(shè)備的接入。要求數(shù)據(jù)中心區(qū)域的安全設(shè)備部署提供以下功能： 采用在線模式部署 在優(yōu)先保證業(yè)務(wù)持續(xù)的基礎(chǔ)上提供全面的防護 對操作系統(tǒng)漏洞可以提供補丁功能； 對網(wǎng)

33、絡(luò)蠕蟲病毒進行有效防護； 可以針對數(shù)據(jù)進行 47 層的深度安全防護； 提供對服務(wù)器集群的有效保護； 具備實時的升級特性； 提供可供分析的標準日志結(jié)構(gòu)； 便捷的統(tǒng)一的管理；考慮到數(shù)據(jù)中心防護相對 internet 處于互聯(lián)接口區(qū)域之后，來自 internet 的 23 層威脅已經(jīng)被過濾掉，而更重要的對操作系統(tǒng)和數(shù)據(jù)的保護，在這里根據(jù)以上要求，部署入侵抵御設(shè)12備完成數(shù)據(jù)中心區(qū)域的安全保護。入侵抵御采用 h3c ips 2400e，為優(yōu)先保證業(yè)務(wù)的持續(xù)性，在部署 ips 設(shè)備的時候通過 zpha 掉電保護設(shè)備提供掉電鏈路保護機制。具體部署見下圖。iii. 圖 湖南農(nóng)信聯(lián)網(wǎng)絡(luò)安全監(jiān)控平臺數(shù)據(jù)中心區(qū)域

34、硬件部署拓撲示意圖4.1.3. 網(wǎng)絡(luò)交互為了保證部署的硬件設(shè)備和安全軟件能夠統(tǒng)一的為網(wǎng)絡(luò)安全服務(wù)，必須要求對全網(wǎng)設(shè)備，包括主機和數(shù)據(jù)交互設(shè)備進行統(tǒng)一的日志收集和日志分析。這樣就要求必須在網(wǎng)絡(luò)當中部署安全管理中心來完成統(tǒng)一的策略規(guī)劃和分析。安全管理中心并不是一個威脅抵御的直接發(fā)起者，而是一個系統(tǒng)規(guī)劃的首腦。所以要求安全管理中心可以提供以下功能：旁路部署模式，不影響正常業(yè)務(wù)和造成瓶頸；具有廣泛的日志采集功能，要求可以對網(wǎng)絡(luò)當中的所有設(shè)備（防火墻、ips、交換機、路由器、pc、server 等）進行日志分析； 采用先進的關(guān)聯(lián)算法，能夠?qū)θ罩緮?shù)據(jù)按照不同的關(guān)聯(lián)組合進行分析； 對安全威脅的實時監(jiān)控功能；

35、 對網(wǎng)絡(luò)流量的實時監(jiān)控功能； 可支持多家廠商的設(shè)備日志采集； 提供拓撲發(fā)現(xiàn)功能，并能夠準確迅速的根據(jù)日志定為網(wǎng)絡(luò)故障； 對網(wǎng)絡(luò)故障提供多種迅速的告警機制；13 具有完善的安全審計功能； 對歷史數(shù)據(jù)進行壓縮并可提供高效的查詢機制； 根據(jù)需要提供多種報表； 根據(jù)需求可分步實施的靈活部署方式；根據(jù)以上需求，這里采用 h3c 的 seccenter 作為整個網(wǎng)絡(luò)的安全管理中心，對全網(wǎng)設(shè)備進行日志分析，幫助定制安全策略?？紤]到 seccenter 的部署模式是旁路方式，僅僅需要路由可達即可完成上述功能，其部署位置相對靈活，建議可以和網(wǎng)絡(luò)管理軟件服務(wù)器部署在一起，以方便硬件的管理。.安全軟件

36、部署規(guī)劃安全軟件部署規(guī)劃硬件部署主要解決了區(qū)域安全問題，而安全軟件的目的是要解決設(shè)備安全（即網(wǎng)絡(luò)設(shè)備管理） 、用戶安全（即終端管理）和審計監(jiān)控這三方面的問題，從而與安全的硬件基礎(chǔ)設(shè)施一道，構(gòu)成一個完整的網(wǎng)絡(luò)安全監(jiān)控平臺解決方案?？紤]到不同管理軟件之間的互連互通問題，最好在同一個管理平臺上，采用不同的模塊分別滿足網(wǎng)絡(luò)管理、用戶管理、審計監(jiān)控三方面的需求。這些模塊之間需要能相互耦合，可以根據(jù)實際情況進行靈活的裝配，同時也需要提供對外的服務(wù)接口，以便被第三方軟件所調(diào)用。這樣一種統(tǒng)一平臺、模塊耦合的方式，有利于農(nóng)信聯(lián)的投資保護，也具有很強的靈活性和適應(yīng)性。4.2.1. 網(wǎng)絡(luò)設(shè)備安全當網(wǎng)絡(luò)設(shè)備出現(xiàn)異常無

37、法連通，或到網(wǎng)點的鏈路意外中斷的時候，都會對農(nóng)信聯(lián)的正常業(yè)務(wù)造成影響。這需要有一個網(wǎng)絡(luò)管理工具來實時監(jiān)控這些設(shè)備的狀態(tài)，當發(fā)現(xiàn)設(shè)備和鏈路的故障后必須能及時通知網(wǎng)管，并提供豐富的設(shè)備配置功能，以便管理員采取相應(yīng)的故障處理措施。網(wǎng)絡(luò)異常有時是用戶引起的，比如 arp 攻擊等行為，在接入 hub 的環(huán)境下，這種行為更加難以發(fā)現(xiàn)和管理。這就要求網(wǎng)絡(luò)管理工具實現(xiàn)與用戶管理的無縫集成，能看到設(shè)備上的每一個活躍用戶及其帳號，而不光是 ip 地址，并且針對 hub 環(huán)境提供強制下線的有效處理措施。要實現(xiàn)狀態(tài)監(jiān)控和故障管理的目的，網(wǎng)絡(luò)管理工具必須能提供以下功能： 采用 b/s 架構(gòu)，便于管理員從任意位置登錄并了

38、解網(wǎng)絡(luò)情況； 支持 java 技術(shù)，不管是哪種平臺的哪種瀏覽器都具有統(tǒng)一的圖形用戶界面； 支持多廠商設(shè)備，最好支持對主流設(shè)備的配置能力，做到既能看又能管； 提供對網(wǎng)絡(luò)設(shè)備、unix 主機、鏈路、pc 的全面監(jiān)控功能； 能夠自動發(fā)現(xiàn)邏輯鏈路和物理鏈路，并生成拓撲圖； 支持故障定位，告警信息可以直接鏈接到有故障的設(shè)備； 支持告警轉(zhuǎn)發(fā)，如郵箱、手機短信等； 監(jiān)控設(shè)備的 cpu、內(nèi)存等性能參數(shù)，并提供 topn 排序功能；14 具備端口環(huán)回測試工具，可遠程診斷鏈路的故障位置； 與用戶管理無縫集成，能看到設(shè)備上的每一個活躍用戶，即使是 hub 環(huán)境也可以讓用戶強制下線；根據(jù)以上需求，采用 h3c imc

39、 智能網(wǎng)管中心的 plat 基礎(chǔ)網(wǎng)管組件，作為整個網(wǎng)絡(luò)的設(shè)備管理工具，對全網(wǎng)設(shè)備進行監(jiān)控和故障管理，并提供與用戶管理的無縫集成?？紤]到農(nóng)信聯(lián)的設(shè)備數(shù)目較多，僅部署一套網(wǎng)管的話對服務(wù)器資源要求較高，且存在帶寬占用等問題，因此建議采取分布式部署方式方案：省中心一套，管理省中心的網(wǎng)絡(luò)設(shè)備、14 個地市的核心路由器、118 個縣的核心路由器；14 個地市各一套，管理地市的網(wǎng)絡(luò)設(shè)備、縣的網(wǎng)絡(luò)設(shè)備和各網(wǎng)點的網(wǎng)絡(luò)設(shè)備。具體部署見下圖。iv.圖 湖南農(nóng)信聯(lián)網(wǎng)絡(luò)安全監(jiān)控平臺省網(wǎng)管中心部署示意圖15v.圖 湖南農(nóng)信聯(lián)網(wǎng)絡(luò)安全監(jiān)控平臺省地市中心部署示意圖4.2.2. 用戶安全對于農(nóng)信聯(lián)來說，分支網(wǎng)點用戶私設(shè)代理服務(wù)

40、器、私自訪問互聯(lián)網(wǎng)的行為普遍存在，網(wǎng)絡(luò)用戶不及時升級系統(tǒng)補丁、升級病毒庫，造成病毒屢殺不止的現(xiàn)象也比比皆是。這些問題如果用防火墻、ids/ips 等安全硬件來控制管理的話不是好辦法，最好的辦法還是通過用戶管理軟件來管理。為了避免終端用戶出于逃避監(jiān)管的目的，私自卸載軟件或打開個人防火墻，用戶管理軟件應(yīng)能通過 802.1x 等協(xié)議與網(wǎng)絡(luò)設(shè)備配合，強制用戶必須正常安裝和運行安全客戶端。同時，由于涉及到系統(tǒng)補丁和殺毒軟件，用戶管理軟件應(yīng)該通過官方的微軟補丁服務(wù)器自動升級補丁，并且與殺毒軟件之間有良好的配合，以避免影響終端用戶操作系統(tǒng)的正常運行。用戶管理軟件還應(yīng)提供實時的修復(fù)機制，避免只在接入網(wǎng)絡(luò)時進行

41、一次性檢查的做法。另外，考慮到 pc 數(shù)目眾多，用戶管理軟件應(yīng)提供快速部署客戶端的功能，避免管理員到每一臺 pc 上手工安裝的煩瑣過程。用戶管理軟件應(yīng)能提供以下功能： 限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問題。 代理限制：限制用戶使用和設(shè)置代理服務(wù)器。 終端補丁檢測：評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)如windows 2000/xp/2003 等符合微軟補丁規(guī)范的熱補丁。16 自動補丁管理：提供與微軟官方的 wsus/sms（windows server update services/system manage

42、ment server）協(xié)同的自動補丁管理，當用戶補丁不合格時，自動安裝補丁。 防病毒聯(lián)動：當端點用戶接入網(wǎng)絡(luò)時，檢查其計算機上防病毒軟件的安裝運行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)。 黑白軟件管理：檢測終端軟件的安裝和運行狀態(tài)。可以限制接入網(wǎng)絡(luò)的用戶必須安裝、運行或禁止安裝、運行其中某些軟件。對于不符合安全策略的用戶可以記錄日志、提醒或隔離等多種策略。 安全狀態(tài)定時檢測和修復(fù)：安全客戶端可以定時檢測用戶安全狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū)。 強身份認證：在用戶身份認證時，

43、可綁定用戶接入 ip、mac、接入設(shè)備 ip、端口和vlan 等信息，進行強身份認證，防止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全。 “危險”用戶隔離：對于安全狀態(tài)評估不合格的用戶，可以限制其訪問權(quán)限（通過 acl隔離） ，使其只能訪問防病毒服務(wù)器、補丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。 在線隔離：用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時（如感染不能殺除的病毒） ，可以在線隔離并通知用戶。 支持匿名認證：可提供用戶匿名認證功能，用戶不需要輸入用戶名、密碼即可完成身份認證和安全認證，便于前期部署過程中的過渡。 接入時間、區(qū)域控制：可以限制用戶只能在允許的時間和地點（接入設(shè)

44、備和端口）上網(wǎng)。 終端強制或提醒修復(fù)：強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝； 安全日志審計：定時收集客戶端的實時安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。 強制用戶下線：管理員可以強制行為“可疑”的用戶下線。 支持 b/s 登錄，便于管理員從任意位置進行管理。根據(jù)以上需求，采用 h3c imc 智能網(wǎng)管中心的 ead 用戶管理組件，作為整個網(wǎng)絡(luò)的用戶管理方案，對全網(wǎng)設(shè)備用戶的安全狀態(tài)進行管理，并提供與網(wǎng)絡(luò)管理的無縫集成。ead 用戶管理組件的管理思路，是通過將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合，以用戶終端對企

45、業(yè)安全策略的符合度為條件，控制用戶訪問網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問等安全威脅對企業(yè)網(wǎng)絡(luò)帶來的危害。其原理流程如下圖：17用戶終端安全聯(lián)動設(shè)備安全策略服務(wù)器修復(fù)服務(wù)器身份認證請求發(fā)起身份認證radius/身份信息radius/身份認證成功，下發(fā)隔離acl安全認證請求安全狀態(tài)信息（防病毒版本、系統(tǒng)補丁等信息）安全狀態(tài)不合格（缺少補丁等）根據(jù)安全認證結(jié)果，修復(fù)系統(tǒng)漏洞安全狀態(tài)檢查安全狀態(tài)檢查安全狀態(tài)信息（防病毒版本、系統(tǒng)補丁等信息）安全認證成功，下發(fā)監(jiān)控策略radius/安全認證成功，下發(fā)工作acl安全狀態(tài)監(jiān)控安全狀態(tài)信息檢查終端安全狀態(tài)vi.圖 ead 解決方案原理流程圖h3c 用戶管理

46、方案的組成部分包括 ead 安全策略服務(wù)器、防病毒服務(wù)器、補丁服務(wù)器等修復(fù)服務(wù)器、安全聯(lián)動設(shè)備和 h3c 安全客戶端，各部件各司其職，由安全策略中心協(xié)調(diào)，共同完成對網(wǎng)絡(luò)接入終端的安全準入控制。見下圖：18vii. 圖 h3c ead 用戶管理方案組成部分示意圖ead 方案的核心是整合與聯(lián)動，而 ead 安全策略服務(wù)器是 ead 方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。在 ead 方案中，修復(fù)服務(wù)器可以是第三方廠商提供的防病毒服務(wù)器、補丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離區(qū)中，用于終端進行自我修復(fù)操作。網(wǎng)絡(luò)

47、版的防病毒服務(wù)器提供病毒庫升級服務(wù)，允許防病毒客戶端進行在線升級；補丁服務(wù)器則提供系統(tǒng)補丁升級服務(wù)，在用戶終端的系統(tǒng)補丁不能滿足安全要求時，用戶終端可連接至補丁服務(wù)器進行補丁下載和升級。安全聯(lián)動設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場合的不同，安全聯(lián)動設(shè)備可以是交換機或 bas 設(shè)備，分別實現(xiàn)不同認證方式（如 802.1x 或 portal）的端點準入控制。不論是哪種接入設(shè)備或采用哪種認證方式，安全聯(lián)動設(shè)備均具有以下功能：h3c 客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主

48、體?？紤]到農(nóng)信聯(lián)的 pc 數(shù)目雖多，但主要是接入時的認證流量較大，認證成功后的實時檢測流量很小，另外考慮到管理、維護的方便性，在省中心部署部署一套用戶管理系統(tǒng)就可以滿足農(nóng)信聯(lián)的要求。如果要實現(xiàn)高可用性，可增加一臺服務(wù)器做雙機熱備或雙機冷備方案。具體部署見下圖。19viii.圖 湖南農(nóng)信聯(lián)網(wǎng)絡(luò)安全監(jiān)控平臺省用戶管理中心部署示意圖4.2.3. 審計安全用戶管理是一種基于事前、事中的安全管理模式，即通過強制性措施避免問題發(fā)生，當問題發(fā)生時采取在線隔離和修復(fù)等措施解決問題，相對來說應(yīng)該是一種比較嚴格的管理模式。但在實際應(yīng)用中，用戶管理往往會采取比較寬松的安全策略，并不是所有的問題都會被及時發(fā)現(xiàn)，這樣就

49、必須通過事后的安全管理來加以完善。而事后安全管理主要是包括兩方面，一個是用戶行為的日志審計，另一個是網(wǎng)絡(luò)流量的監(jiān)控分析。傳統(tǒng)的審計方式是 ip 地址審計，即提供源 ip、源端口、目的 ip、目的端口四元組信息的審計，這種審計方式存在很大的局限性。在使用 dhcp 動態(tài)獲取 ip 地址的環(huán)境，用戶所獲得的ip 地址可能會隨時間或接入地點而變化。如果采用傳統(tǒng)的 ip 地址審計可能只審計到用戶某個時間段某個 ip 地址的行為，并不能獲取該用戶所有時間段所有 ip 地址的行為。這就要求日志審計系統(tǒng)必須能支持基于用戶的行為審計，而不止是基于 ip 地址的行為審計。作為農(nóng)信聯(lián)來說，沒有必要去查看上萬用戶中

50、每個用戶都做了些什么，而應(yīng)該從宏觀角度去監(jiān)控和分析網(wǎng)絡(luò)中是否存在異常，如省節(jié)點到地市節(jié)點的帶寬是否夠用，使用最多的是哪種應(yīng)用，該應(yīng)用中哪個用戶占用了最多帶寬等，先從流量分析的角度去發(fā)現(xiàn)網(wǎng)絡(luò)異常，進而借助用戶行為審計工具獲得該用戶的詳細行為記錄，并作為證據(jù)報告給領(lǐng)導(dǎo)。由于網(wǎng)絡(luò)中存在多種廠商的設(shè)備，可采取旁掛的方法進行部署，通過鏡像流量收集原始流量中的日志信息和流量信息。要實現(xiàn)用戶行為審計和網(wǎng)絡(luò)流量分析的目的，網(wǎng)絡(luò)管理工具必須能提供以下功能： 支持基于 ip 地址的行為審計，也可以基于用戶進行網(wǎng)絡(luò)行為審計；20 除對網(wǎng)址進行審計外，還支持對網(wǎng)頁摘要信息、ftp 摘要信息、郵件摘要信息等內(nèi)容的審計；

51、 提供總體流量分析，能夠查看總流量隨時間變化的趨勢； 提供應(yīng)用流量分析，可以查看某種應(yīng)用的帶寬占用情況，包括該應(yīng)用中哪個用戶的流量最大； 提供節(jié)點流量分析，可以查看哪個服務(wù)器的訪問量最大，來源于哪些用戶； 支持七層分析，能夠識別 bt、edonkey、迅雷、qq 文字通訊、msn 文字通訊、aim 文字通訊等目前流行的 p2p 和即時通信應(yīng)用。 支持自定義報表，用戶可以定制關(guān)心的報表內(nèi)容，并提供報表打印和輸出功能。 支持日志過濾和聚合，可以按照指定的過濾條件對接收到的日志進行過濾，或?qū)ο嗤蝾愃频娜罩具M行聚合，以減少日志采集量，提高系統(tǒng)整體性能 支持 b/s 登錄，便于管理員從任意位置進行管理

52、。根據(jù)以上需求，采用 h3c imc 智能網(wǎng)管中心的 xlog 行為審計和流量分析組件，作為整個網(wǎng)絡(luò)的審計監(jiān)控工具，通過與用戶管理的無縫集成，提供基于用戶的行為審計，并提供 7 層流量分析功能?？紤]到管理、維護的方便性，在省中心路由器的部署行為審計和網(wǎng)流分析系統(tǒng)，通過鏡像方式收集原始流量并產(chǎn)生流量信息。每臺核心路由器都有一條鏈路分別部署一套行為審計系統(tǒng)和一套網(wǎng)絡(luò)流量分析系統(tǒng)。由于核心路由器的流量較大，對服務(wù)器的資源要求較高，因此考慮將組成系統(tǒng)的組件分開部署，信息采集專用一臺服務(wù)器，后臺處理用另一臺服務(wù)器。行為審計系統(tǒng)采用兩臺服務(wù)器，一臺充當后臺服務(wù)器，一臺充當流量采集器 dig 探針，安裝三個

53、網(wǎng)卡。其中兩個網(wǎng)卡接收分別接收一臺核心路由器的鏡像流量，另一個網(wǎng)卡發(fā)送日志信息給行為審計系統(tǒng)的后臺服務(wù)器。流量分析系統(tǒng)同樣采用兩臺服務(wù)器，一臺充當后臺服務(wù)器，一臺充當流量采集器 dig 探針，安裝三個網(wǎng)卡。其中兩個網(wǎng)卡接收分別接收一臺核心路由器的鏡像流量，另一個網(wǎng)卡發(fā)送流量信息給流量分析系統(tǒng)的后臺服務(wù)器。具體部署見下圖。21ix.圖 湖南農(nóng)信聯(lián)網(wǎng)絡(luò)安全監(jiān)控平臺省監(jiān)控審計中心部署示意圖.安全監(jiān)控平臺可實現(xiàn)的功能安全監(jiān)控平臺可實現(xiàn)的功能通過對湖南農(nóng)信聯(lián)安全監(jiān)控平臺的建設(shè)，可以幫助縱向業(yè)務(wù)網(wǎng)進行統(tǒng)一的安全規(guī)劃和威脅抵御，從而為后續(xù)的與辦公網(wǎng)互聯(lián)提供高可靠的安全保障。4.3.1. 對 d

54、os/ddos 的抵御為應(yīng)對愈來愈猖獗的 dos 和 ddos 攻擊，h3c 研發(fā)了一整套防護機制來對付攻擊者所使用的各種手法。h3c ips 2400e 和 secpath f1800-a 的工作在線內(nèi)(in-line)的工作方式，檢查經(jīng)過的進出流量中每個比特并過濾掉不想要的流量，在線保護與之連接的網(wǎng)絡(luò)和主機。h3c ips 2400e 和 secpath f1800-a 防護可分為兩類：標準 dos 防護和高級 ddos 防護。標準 dos 防護為針對漏洞、攻擊工具及異常流量提供基礎(chǔ)的防護。高級 ddos 防護則可以抵御 syn flood、established connection f

55、lood 和 connection per second flood 攻擊。漏洞防護保護服務(wù)器不受攻擊者利用已知漏洞進行的攻擊?！翱苡嬎銠C”招募防護對木馬程序入侵 pc 使其變成“傀儡計算機”的防護。攻擊工具防護阻斷 tfn、loki 和 stacheldraht 等已知的 ddos 攻擊工具使用的隱藏通信通道。帶寬防護保護網(wǎng)絡(luò)不受 icmp、tcp 或 udp 等數(shù)據(jù)包的洪水攻擊，以免耗盡網(wǎng)絡(luò)帶寬和服務(wù)資源，進而避免合法數(shù)據(jù)包的丟失。這些過濾器會制定一個流量基線，在流量超出設(shè)定的比例時就會自動控制流量。高級 ddos 防護除了上述功能外，還可提供以下防護：syn proxy攻擊者以偽造的源

56、 ip 地址，對某臺服務(wù)器發(fā)送大量的惡意連接請求（如 tcp syn） ，這使得合法客戶無法訪問該服務(wù)器。connection per second （cps）flood攻擊者利用“傀儡計算機”軍團，重復(fù)向22服務(wù)器發(fā)出資源請求，如網(wǎng)頁請求。從而造成服務(wù)器負擔(dān)過重，導(dǎo)致回應(yīng)遲緩，甚至不可訪問。established connection flood攻擊者利用“傀儡計算機”軍團，向服務(wù)器建立大量（甚至上百萬）的惡意 tcp 連接，從而使得服務(wù)器無法對合法客戶的請求做出響應(yīng)。標準和高級 dos/ddos 防護配合使用，以防止系統(tǒng)遭到野蠻粗暴的 dos 攻擊，并且保護新機器不被吸收為“傀儡計算機”

57、。4.3.2. 應(yīng)用層威脅和深度安全保護h3c ips 2400e 可以被“in-line”地部署到網(wǎng)絡(luò)當中去，對所有流經(jīng)的流量進行深度分析與檢測，從而具備了實時阻斷攻擊的能力，同時對正常流量不產(chǎn)生任何影響?；谄涓咚俸涂蓴U展的硬件平臺，h3c ips 2400e 不斷優(yōu)化檢測性能，使其能夠達到與交換機同等級別的高吞吐量和低延時，同時可以對所有主要網(wǎng)絡(luò)應(yīng)用進行分析，精確鑒別和阻斷攻擊。h3c ips 2400e的出現(xiàn)使得應(yīng)用層威脅問題迎刃而解。x.圖 h3c ips 2400e 威脅抵御引擎 tseh3c ips 2400e 基于 asic、fpga 和 np 技術(shù)開發(fā)的威脅抑制引擎（tse，

58、threat suppression engine）是高性能和精確檢測的基礎(chǔ)。tse 的核心架構(gòu)由以下部件有機融合而成：定制的 asicfpga(現(xiàn)場可編程門陣列)20g 高帶寬背板高性能網(wǎng)絡(luò)處理器該核心架構(gòu)提供的大規(guī)模并行處理機制，使得 h3c ips 2400e 對一個報文從 2 層到 7 層所有信息的檢測可以在 215 微秒內(nèi)完成，并且保證處理時間與檢測特征數(shù)量無線性關(guān)系。采用流水線與大規(guī)模并行處理融合技術(shù)的 tse 可以對一個報文同時進行幾千種檢測，從而將整體的處理性能提高到空前水平。在具備高速檢測功能的同時，tse 還提供增值的流量分類、流量管理和流量整形功能。tse23可以自動統(tǒng)計

59、和計算正常狀況下網(wǎng)絡(luò)內(nèi)各種應(yīng)用流量的分布，并且基于該統(tǒng)計形成流量框架模型；當 dos/ddos 攻擊發(fā)生，或者短時間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo)致網(wǎng)絡(luò)內(nèi)流量發(fā)生異常時，tse將根據(jù)已經(jīng)建立的流量框架模型限制或者丟棄異常流量，保證關(guān)鍵業(yè)務(wù)的可達性和通暢性。此外，為防止大量的 p2p、im 流量侵占帶寬，tse 還支持對 100 多種點到點應(yīng)用的限速功能，保證關(guān)鍵應(yīng)用所需的帶寬。h3c ips 2400e 在跟蹤流狀態(tài)的基礎(chǔ)上，對報文進行 2 層到 7 層信息的深度檢測，可以在蠕蟲、病毒、木馬、dos/ddos、后門、walk-in 蠕蟲、連接劫持、帶寬濫用等威脅發(fā)生前成功地檢測并阻斷。而且，h3c ip

60、s 2400e 也能夠有效防御針對路由器、交換機、dns 服務(wù)器等網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施的攻擊。xi.圖 h3c ips 2400e 提供無處不在的威脅保護h3c ips 2400e 還支持以下檢測機制：基于訪問控制列表（acl）的檢測基于統(tǒng)計的檢測基于協(xié)議跟蹤的檢測基于應(yīng)用異常的檢測報文規(guī)范檢測（normalization）ip 報文重組tcp 流恢復(fù)以上機制協(xié)同工作，h3c ips 2400e 可以對流量進行細微粒度的識別與控制，有效檢測流量激增、緩沖區(qū)溢出、漏洞探測、ips 規(guī)避等一些已知的、甚至未知的攻擊。4.3.3. 虛擬軟件補丁技術(shù)h3c ips 2400e 實現(xiàn)了幾個基于漏洞的過濾器，