企業(yè)安全管理解決預(yù)案范本

1、60/61企業(yè)安全解決方案模板北京天融信科技有限公司2005年6月目 錄 TOC o 1-3 h z u HYPERLINK l _Toc105860250 第一章 前言 PAGEREF _Toc105860250 h 3 HYPERLINK l _Toc105860251 1.1 背景 PAGEREF _Toc105860251 h 3 HYPERLINK l _Toc105860252 1.2 項(xiàng)目概述 PAGEREF _Toc105860252 h 3 HYPERLINK l _Toc105860253 第二章 XX企業(yè)信息網(wǎng)絡(luò)的整體安全體系設(shè)計(jì) PAGEREF _Toc10586025

2、3 h 5 HYPERLINK l _Toc105860254 2.1 信息安全體系設(shè)計(jì)原則 PAGEREF _Toc105860254 h 5 HYPERLINK l _Toc105860255 2.2 信息安全體系結(jié)構(gòu)分析 PAGEREF _Toc105860255 h 6 HYPERLINK l _Toc105860256 2.2.1 安全服務(wù)模型 PAGEREF _Toc105860256 h 7 HYPERLINK l _Toc105860257 2.2.2 協(xié)議層次安全模型 PAGEREF _Toc105860257 h 7 HYPERLINK l _Toc105860258 2.

3、2.3 安全實(shí)體單元 PAGEREF _Toc105860258 h 8 HYPERLINK l _Toc105860259 第三章 XX企業(yè)信息網(wǎng)絡(luò)的安全現(xiàn)狀和需求分析 PAGEREF _Toc105860259 h 10 HYPERLINK l _Toc105860260 3.1 XX企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及威脅分析 PAGEREF _Toc105860260 h 10 HYPERLINK l _Toc105860261 3.1.1 內(nèi)部網(wǎng)絡(luò)與Internet互聯(lián)的安全威脅 PAGEREF _Toc105860261 h 11 HYPERLINK l _Toc105860262 3.1.2 來自

4、內(nèi)部網(wǎng)絡(luò)的安全威脅 PAGEREF _Toc105860262 h 11 HYPERLINK l _Toc105860263 3.1.3 系統(tǒng)的安全風(fēng)險(xiǎn)分析 PAGEREF _Toc105860263 h 13 HYPERLINK l _Toc105860264 3.1.4 病毒對XX企業(yè)網(wǎng)絡(luò)安全運(yùn)營的安全威脅 PAGEREF _Toc105860264 h 14 HYPERLINK l _Toc105860265 3.1.5 安全服務(wù)體系不健全的威脅 PAGEREF _Toc105860265 h 14 HYPERLINK l _Toc105860266 3.2 XX企業(yè)安全需求 PAGER

5、EF _Toc105860266 h 14 HYPERLINK l _Toc105860267 3.2.1 防病毒體系需求 PAGEREF _Toc105860267 h 14 HYPERLINK l _Toc105860268 3.2.2 強(qiáng)制性網(wǎng)管軟件需求 PAGEREF _Toc105860268 h 15 HYPERLINK l _Toc105860269 3.2.3 防火墻需求 PAGEREF _Toc105860269 h 15 HYPERLINK l _Toc105860270 3.2.4 過濾網(wǎng)關(guān)需求 PAGEREF _Toc105860270 h 16 HYPERLINK l

6、 _Toc105860271 3.2.5 入侵檢測需求 PAGEREF _Toc105860271 h 16 HYPERLINK l _Toc105860272 3.2.6 漏洞掃描需求 PAGEREF _Toc105860272 h 16 HYPERLINK l _Toc105860273 3.2.7 安裝需求 PAGEREF _Toc105860273 h 16 HYPERLINK l _Toc105860274 第四章 信息網(wǎng)絡(luò)的安全方案設(shè)計(jì) PAGEREF _Toc105860274 h 17 HYPERLINK l _Toc105860275 4.1 安全管理 PAGEREF _To

7、c105860275 h 17 HYPERLINK l _Toc105860276 4.2 安全防護(hù) PAGEREF _Toc105860276 h 17 HYPERLINK l _Toc105860277 4.3 安全監(jiān)測 PAGEREF _Toc105860277 h 17 HYPERLINK l _Toc105860278 4.4 病毒防護(hù) PAGEREF _Toc105860278 h 18 HYPERLINK l _Toc105860279 4.5 安全服務(wù) PAGEREF _Toc105860279 h 18 HYPERLINK l _Toc105860280 第五章 XX企業(yè)網(wǎng)絡(luò)

8、安全項(xiàng)目解決方案 PAGEREF _Toc105860280 h 19 HYPERLINK l _Toc105860281 5.1 XX企業(yè)防火墻解決方案 PAGEREF _Toc105860281 h 19 HYPERLINK l _Toc105860282 5.1.1 XX企業(yè)防火墻的部署 PAGEREF _Toc105860282 h 19 HYPERLINK l _Toc105860283 5.1.2 XX企業(yè)防火墻的作用 PAGEREF _Toc105860283 h 23 HYPERLINK l _Toc105860284 5.2 XX企業(yè)入侵檢測方案 PAGEREF _Toc10

9、5860284 h 24 HYPERLINK l _Toc105860285 5.3 XX企業(yè)漏洞掃描解決方案 PAGEREF _Toc105860285 h 26 HYPERLINK l _Toc105860286 5.4 XX企業(yè)防病毒解決方案 PAGEREF _Toc105860286 h 27 HYPERLINK l _Toc105860287 5.4.1 網(wǎng)絡(luò)版防病毒解決方案 PAGEREF _Toc105860287 h 27 HYPERLINK l _Toc105860288 5.4.2 網(wǎng)關(guān)防病毒解決方案 PAGEREF _Toc105860288 h 28 HYPERLINK

10、 l _Toc105860289 5.5 XX企業(yè)安全管理系統(tǒng)解決方案 PAGEREF _Toc105860289 h 29前言背景隨著近年來網(wǎng)絡(luò)安全事件不斷地發(fā)生，安全問題也已成為IT業(yè)的一個(gè)熱點(diǎn)，安全問題對于XX企業(yè)的發(fā)展也越來越重要。安全問題已經(jīng)成為影響XX企業(yè)業(yè)務(wù)平臺的穩(wěn)定性和業(yè)務(wù)的正常提供的一個(gè)問題，所以提升我們XX企業(yè)自身的安全性也已經(jīng)成為XX企業(yè)增強(qiáng)企業(yè)競爭力的重要方面之一。XX企業(yè)集團(tuán)是國家重點(diǎn)支持的520家工業(yè)企業(yè)大型支柱產(chǎn)業(yè)集團(tuán)之一。隨著信息技術(shù)的迅猛發(fā)展，XX企業(yè)集團(tuán)領(lǐng)導(dǎo)充分認(rèn)識到網(wǎng)絡(luò)安全建設(shè)的重要性，為了更好的開展生產(chǎn)、科研工作，決定對現(xiàn)有信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全技術(shù)改造。

11、項(xiàng)目概述本次信息安全項(xiàng)目包括XX企業(yè)集團(tuán)下屬企業(yè)、附屬機(jī)構(gòu)和分支機(jī)構(gòu)的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)所需的相關(guān)設(shè)備、軟件以及方案詳細(xì)設(shè)計(jì)、系統(tǒng)集成、管理制度的建立、培訓(xùn)、技術(shù)支持與服務(wù)等內(nèi)容。實(shí)施是在網(wǎng)絡(luò)現(xiàn)有應(yīng)用基礎(chǔ)上的改造，對網(wǎng)絡(luò)整體的安全加固，所以在上新的系統(tǒng)時(shí)不能影響原有系統(tǒng)應(yīng)用的整體性能。建立整體網(wǎng)絡(luò)安全體系；建設(shè)整體的防病毒體系，保證網(wǎng)絡(luò)病毒不會(huì)由公司主干網(wǎng)傳入專網(wǎng)，保證遠(yuǎn)程VPN網(wǎng)絡(luò)或用戶的病毒不會(huì)傳入公司主干網(wǎng)；對于INTERNET上新病毒的反應(yīng)、處理速度，比如當(dāng)時(shí)“震蕩波”病毒，要在“黃金響應(yīng)”時(shí)間內(nèi)通知如何防范和相應(yīng)補(bǔ)丁，在沒有擴(kuò)散到大范圍及時(shí)發(fā)現(xiàn)病毒；如果內(nèi)網(wǎng)存在病毒，能夠?qū)ζ涠ㄎ?，知?/p>

12、在哪個(gè)機(jī)器上，是哪種病毒，能夠清除并有相應(yīng)的日志；保證系統(tǒng)服務(wù)器、生產(chǎn)專網(wǎng)、電話站專網(wǎng)的高可用性、抗攻擊性；能夠查詢誰在什么時(shí)間、什么地點(diǎn)、用什么方式訪問了什么網(wǎng)絡(luò)資源，上了什么網(wǎng)站，要有分用戶、分時(shí)間段、分服務(wù)類別的詳細(xì)清單及統(tǒng)計(jì)報(bào)表；強(qiáng)制性管理終端用戶設(shè)備，并按照統(tǒng)一規(guī)劃的不同策略管理不同的終端用戶設(shè)備或終端用戶設(shè)備組；能夠及時(shí)覺知誰在攻擊或在探測網(wǎng)絡(luò)，并及時(shí)阻斷攻擊以及非法探測并有詳細(xì)的日志，在發(fā)生外部入侵進(jìn)來時(shí)，必須及時(shí)報(bào)警并發(fā)郵件到管理人員郵箱，并提供相應(yīng)的策略；對公司內(nèi)網(wǎng)的安全能夠做到：誰在用非法手段掃描、攻擊服務(wù)器或別人的機(jī)器，誰私自改IP地址，新的機(jī)器接入內(nèi)網(wǎng)或非法上外網(wǎng)，不能

13、隨便安裝、卸載軟件等等。對這些違反規(guī)定的機(jī)器要有相應(yīng)的日志，并可以進(jìn)行阻斷；對本公司內(nèi)的生產(chǎn)子網(wǎng)要做好安全隔離，即使XX企業(yè)主干網(wǎng)上有病毒在傳播但不能傳到該子網(wǎng)中去，該子網(wǎng)只保留一些必要的數(shù)據(jù)通訊端口與主干網(wǎng)絡(luò)通訊，其他端口必須屏蔽掉。評估網(wǎng)絡(luò)及主要的服務(wù)器、明確應(yīng)用存在哪些漏洞及其補(bǔ)救措施，當(dāng)前發(fā)現(xiàn)的所有漏洞得到彌補(bǔ)，不能彌補(bǔ)的要有應(yīng)急措施預(yù)案；各種系統(tǒng)具備完善的日志及審計(jì)功能，可以追溯安全事件，可以按照不同的方式出具各種報(bào)表；XX企業(yè)信息網(wǎng)絡(luò)的整體安全體系設(shè)計(jì)信息安全體系設(shè)計(jì)原則XX企業(yè)信息安全保障系統(tǒng)涉及到整個(gè)工程的各個(gè)層次，網(wǎng)絡(luò)和信息安全方案的設(shè)計(jì)遵循以下原則： 整體安全XX企業(yè)信息安

14、全保障系統(tǒng)的是一個(gè)復(fù)雜的安全系統(tǒng)工程，對安全的需求是任何一種單元技術(shù)都無法解決的。必須從一個(gè)完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個(gè)環(huán)節(jié)，綜合使用各層次的各種安全手段，為信息網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供全方位安全服務(wù)。 有效管理沒有有效的安全管理（如防火墻監(jiān)控、審計(jì)日志的分析等等），各種安全機(jī)制的有效性很難保證。XX企業(yè)信息安全保障系統(tǒng)所提供的各種安全服務(wù)，涉及到各個(gè)層次、多個(gè)實(shí)體和各種安全技術(shù)，只有有效的安全管理才能保證這些安全控制機(jī)制真正有效地發(fā)揮作用； 合理折衷在XX企業(yè)信息安全保障系統(tǒng)的建設(shè)過程中，單純考慮安全而不惜一切代價(jià)是不合理的。安全與花費(fèi)、系統(tǒng)性能、易用性、管理的復(fù)雜性都

15、是矛盾的，安全保障體系的設(shè)計(jì)應(yīng)該在以上四個(gè)方面找到一個(gè)合理的折衷點(diǎn)，在可接受的風(fēng)險(xiǎn)范圍內(nèi)，以最小的投資換取最大的安全性，同時(shí)不因性能開銷和使用、管理的復(fù)雜而影響整個(gè)系統(tǒng)高效運(yùn)行的總體目標(biāo)。 責(zé)權(quán)分明采用分層、分級管理的模式：一方面，XX企業(yè)信息系統(tǒng)可以分為三層：信息網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和應(yīng)用系統(tǒng)；另一方面，網(wǎng)絡(luò)和應(yīng)用系統(tǒng)都有中心、下屬等的分級結(jié)構(gòu)。各級網(wǎng)絡(luò)管理中心負(fù)責(zé)網(wǎng)絡(luò)的安全可靠運(yùn)行，為應(yīng)用信息系統(tǒng)提供安全可靠的網(wǎng)絡(luò)服務(wù)，各級信息中心負(fù)責(zé)計(jì)算機(jī)系統(tǒng)和應(yīng)用系統(tǒng)的安全管理。 綜合治理XX企業(yè)信息系統(tǒng)的安全建設(shè)是一個(gè)系統(tǒng)工程，信息網(wǎng)絡(luò)的安全同樣也絕不僅僅是一個(gè)技術(shù)問題，各種安全技術(shù)應(yīng)該與運(yùn)行管理。機(jī)制

16、、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合，從社會(huì)系統(tǒng)工程的角度綜合考慮。信息安全體系結(jié)構(gòu)分析XX企業(yè)信息系統(tǒng)對安全的需求是任何一種單元安全技術(shù)都無法解決的。安全方案的設(shè)計(jì)必須以科學(xué)的安全體系結(jié)構(gòu)模型為依據(jù)，才能保障整個(gè)安全體系的完備性、合理性。在信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)的研究表明，想要從一個(gè)角度得出整個(gè)信息系統(tǒng)完整的安全模型是很困難的。借鑒美國國防部DISSP計(jì)劃中的安全框架，我們提出了適合XX企業(yè)信息系統(tǒng)的安全體系結(jié)構(gòu)模型。該模型由安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個(gè)層面描述，且在每個(gè)層面上，都包含安全管理的內(nèi)容。該模型在整體上表現(xiàn)為一個(gè)三線立體框架結(jié)構(gòu)。信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)安全服務(wù)取自于

17、國際標(biāo)準(zhǔn)化組織制訂的安全體系結(jié)構(gòu)模型ISO7498，我們在ISO7498的基礎(chǔ)上增加了審計(jì)功能和可用性服務(wù)。協(xié)議層次的劃分參照TCPIP協(xié)議的分層模型。系統(tǒng)單元給出了信息網(wǎng)絡(luò)系統(tǒng)的組成。安全管理涉及到所有協(xié)議層次、所有單元的安全服務(wù)和安全機(jī)制的管理。安全管理涉及兩方面的內(nèi)容：各種安全技術(shù)的管理和安全管理制度。安全服務(wù)模型國際標(biāo)準(zhǔn)化組織所定義的安全體系結(jié)構(gòu)中包括五組重要的安全服務(wù)，這些安全服務(wù)反映了信息系統(tǒng)的安全需求。這五種服務(wù)并不是相互獨(dú)立的，而且不同的應(yīng)用環(huán)境有不同的程度的要求，我們在圖中給出了主要安全服務(wù)之間的邏輯關(guān)系。各種安全服務(wù)之間的邏輯關(guān)系在不同的協(xié)議層次，實(shí)體都有主體和客體（或資源

18、）之分：在網(wǎng)絡(luò)層，對主體和資源的識別以主機(jī)或協(xié)議端口為粒度，認(rèn)證服務(wù)主要指主機(jī)地址的認(rèn)證，網(wǎng)絡(luò)層的訪問控制主要指防火墻等過濾機(jī)制；在應(yīng)用系統(tǒng)中，主體的識別以用戶為粒度，客體是業(yè)務(wù)信息資源，認(rèn)證是指用戶身份認(rèn)證和應(yīng)用服務(wù)的認(rèn)證，訪問控制的粒度可以具體到某種操作，如對數(shù)據(jù)項(xiàng)的追加、修改和刪除。在開放式應(yīng)用環(huán)境中，主體與客體的雙向認(rèn)證非常重要。從這一模型可以得出如下結(jié)論：對資源的訪問控制是安全保密的核心，而對實(shí)體的（用戶、主機(jī)、服務(wù)）認(rèn)證是訪問控制的前提。協(xié)議層次安全模型從網(wǎng)絡(luò)體系結(jié)構(gòu)的協(xié)議層次角度考察安全體系結(jié)構(gòu)，我們得到了網(wǎng)絡(luò)安全的協(xié)議層次模型，如圖所示，圖中實(shí)現(xiàn)上述安全服務(wù)的各種安全機(jī)制，并給

19、出了它們在協(xié)議層次中的位置。該模型與OSI體系結(jié)構(gòu)一致。協(xié)議層次模型安全實(shí)體單元在工程實(shí)施階段，各種安全服務(wù)、各協(xié)議的安全機(jī)制最終要落實(shí)到物理實(shí)體單元。如圖所示，從實(shí)體單元角度來看，安全體系結(jié)構(gòu)可以分成以下層次：物理環(huán)境安全。端系統(tǒng)安全，主要保護(hù)網(wǎng)絡(luò)環(huán)境下端系統(tǒng)的自身的安全。網(wǎng)絡(luò)通信安全，一則保障網(wǎng)絡(luò)自身的安全可靠運(yùn)行，保證網(wǎng)絡(luò)的可用性；二則為業(yè)務(wù)數(shù)據(jù)提供完整性、保密性的安全服務(wù)。應(yīng)用系統(tǒng)安全，為某種或多種應(yīng)用提供用戶認(rèn)證、數(shù)據(jù)保密性、完整性以及授權(quán)與訪問控制服務(wù)等。系統(tǒng)單元安全模型其中，安全政策是制定安全方案和各項(xiàng)管理制度的依據(jù)，安全政策是有一定的生命周期的，一般要經(jīng)歷風(fēng)險(xiǎn)分析、安全政策制定

20、、安全方案和管理制度的實(shí)施、安全審計(jì)和后評估、四個(gè)階段。安全管理是各項(xiàng)安全措施能夠有效發(fā)揮作用的重要保證。安全管理的內(nèi)容可以分成安全技術(shù)管理和安兮管理制度兩部分。安全技術(shù)的管理包括安全服務(wù)的激活和關(guān)閉、安全相關(guān)參數(shù)的分發(fā)與更新、安全相關(guān)事件的收集與告警等。XX企業(yè)信息網(wǎng)絡(luò)的安全現(xiàn)狀和需求分析隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)成為信息高速公路，人們利用網(wǎng)絡(luò)來獲取和發(fā)布信息，處理和共享數(shù)據(jù)。但是網(wǎng)絡(luò)協(xié)議本身的缺陷、計(jì)算機(jī)軟件的安全漏洞，對網(wǎng)絡(luò)安全的忽視給計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)帶來極大的風(fēng)險(xiǎn)。實(shí)際上，安全漏洞廣泛存在于網(wǎng)絡(luò)數(shù)據(jù)鏈路、網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用系統(tǒng)中。網(wǎng)絡(luò)安全是一個(gè)體系工程，如果把XX企業(yè)

21、網(wǎng)絡(luò)信息系統(tǒng)劃一個(gè)邊界的話，未來在廣域網(wǎng)建好之后可能發(fā)生的安全威脅會(huì)來自各個(gè)方向、各個(gè)層面。XX企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及威脅分析XX企業(yè)集團(tuán)現(xiàn)有信息網(wǎng)絡(luò)覆蓋10平方公里之內(nèi)的各個(gè)下屬鋼鐵企業(yè)、附屬機(jī)構(gòu)和分布在異地的遠(yuǎn)程分支機(jī)構(gòu)。到目前為止，共有終端用戶1000余個(gè)，其中包含各種服務(wù)器30臺。網(wǎng)絡(luò)設(shè)備基本采用CISCO系列產(chǎn)品，主干網(wǎng)絡(luò)交換機(jī)近100臺。整個(gè)網(wǎng)絡(luò)擁有100M的因特網(wǎng)出口。InternetInternetE-MAIL轉(zhuǎn)發(fā)服務(wù)器Proxy AAACisco3640防火墻pix2950-123500G-24小型機(jī) SUNFIRE4800Catalyst6506Catalyst6506Cata

22、lyst4006Catalyst40062950G-242950G-242950G-48生產(chǎn)子網(wǎng)12950G-242950-12 2950-12VPN及移動(dòng)上網(wǎng)卡3550G-12T終端服務(wù)器計(jì)量服務(wù)器E-mail服務(wù)器3548G2m數(shù)字電路三個(gè)分廠生產(chǎn)子網(wǎng)2下面主要針對XX企業(yè)的信息系統(tǒng)，列出可能面臨的主要安全威脅為：內(nèi)部網(wǎng)絡(luò)與Internet互聯(lián)的安全威脅與Internet相連，如果沒有邊界防護(hù)將是危險(xiǎn)的。 XX企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet如果不采取安全防護(hù)措施，這樣內(nèi)部網(wǎng)絡(luò)很容易遭到來自于Internet中可能的入侵者的攻擊。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)

23、存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓?jiān)贗nternet上爆發(fā)網(wǎng)絡(luò)蠕蟲病毒的時(shí)候，如果內(nèi)網(wǎng)的邊界處沒有訪問控制設(shè)備對蠕蟲病毒在第一時(shí)間進(jìn)行隔離，那么蠕蟲的攻擊將會(huì)對網(wǎng)絡(luò)造成致命的影響。分支機(jī)構(gòu)通過Internet與總公司進(jìn)行通訊的安全威脅在Internet上

24、傳輸?shù)墓緝?nèi)部數(shù)據(jù)，會(huì)面臨被讀取，被篡改，被冒名的安全威脅，所以需要對數(shù)據(jù)的源發(fā)性、數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性進(jìn)行驗(yàn)證。在分支機(jī)構(gòu)與總部的VPN網(wǎng)關(guān)建立隧道以后，如果分支機(jī)構(gòu)的計(jì)算機(jī)遭到病毒或黑客的入侵，同樣將會(huì)對XX企業(yè)的內(nèi)網(wǎng)造成安全威脅。來自內(nèi)部網(wǎng)絡(luò)的安全威脅核心交換機(jī)如果沒有訪問控制，就不能抵御日益嚴(yán)重的網(wǎng)絡(luò)攻擊XX企業(yè)內(nèi)部系統(tǒng)基本是一個(gè)三層互聯(lián)的網(wǎng)絡(luò)，核心交換機(jī)的設(shè)計(jì)如果可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)之間的訪問控制。即使在交換機(jī)上可以通過配置提供一些安全保證，但是其強(qiáng)度是不足的。現(xiàn)在的黑客攻擊工具在網(wǎng)絡(luò)上泛濫成災(zāi)，任何一個(gè)稍微有點(diǎn)計(jì)算機(jī)操作能力的人員都可以利用這些工具進(jìn)行攻擊。同時(shí)，由于內(nèi)部人員比較

25、熟悉系統(tǒng)的情況，其攻擊行為更容易取得成功。據(jù)權(quán)威數(shù)據(jù)表明，有97的攻擊是來自內(nèi)部攻擊和內(nèi)外勾結(jié)的攻擊，而且內(nèi)部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來自于外部網(wǎng)絡(luò)的攻擊，造成的后果也嚴(yán)重的多。而且XX企業(yè)的網(wǎng)絡(luò)很龐大，覆蓋面積廣，內(nèi)部人員復(fù)雜，不同的網(wǎng)絡(luò)區(qū)域?qū)τ趦?nèi)網(wǎng)的應(yīng)用系統(tǒng)都會(huì)構(gòu)成安全威脅。具體表現(xiàn)在：首先是XX企業(yè)內(nèi)部任何區(qū)域的安全級別都要低于兩臺重要的ERP服務(wù)器，也是就其他的網(wǎng)段和區(qū)域都會(huì)對兩臺ERP服務(wù)器造成威脅；其次是棒材和煉鋼生產(chǎn)子網(wǎng)；煉鋼大高爐生產(chǎn)子網(wǎng)；礦業(yè)公司和二化子網(wǎng)；電話站專網(wǎng)。這些專網(wǎng)之間都需要進(jìn)行訪問控制。服務(wù)器區(qū)的安全威脅，缺少入侵監(jiān)測設(shè)備XX企業(yè)的內(nèi)部服務(wù)器組存有很多重要的數(shù)據(jù)

26、，這些數(shù)據(jù)是不能丟失或損壞的，因此一定要對這些服務(wù)器進(jìn)行重點(diǎn)保護(hù)，防止這些數(shù)據(jù)被篡改和竊取。在該網(wǎng)絡(luò)結(jié)構(gòu)中，各重要的服務(wù)器和主機(jī)都將是通過核心交換機(jī)直接與其他子網(wǎng)連接的，并且這些服務(wù)器區(qū)的邊界如果沒有任何訪問控制產(chǎn)品和監(jiān)控設(shè)備，內(nèi)部人員對這些服務(wù)器可以很容易實(shí)施攻擊。網(wǎng)絡(luò)節(jié)點(diǎn)變化的隱患在XX企業(yè)集團(tuán)網(wǎng)絡(luò)系統(tǒng)中，預(yù)留了一些空節(jié)點(diǎn)以備人員擴(kuò)充時(shí)使用，若有非法人員利用這些節(jié)點(diǎn)接入后，就可以直接連入XX企業(yè)集團(tuán)的網(wǎng)絡(luò)中，并且能與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器物理連接。此時(shí)，該人員就可以非常方便地通過一些非法的工具和手段來隨意攻擊網(wǎng)絡(luò)上的數(shù)據(jù)庫服務(wù)器和其他客戶端主機(jī)、盜取網(wǎng)絡(luò)上的一些關(guān)鍵數(shù)據(jù)以及獲取當(dāng)前比較詳細(xì)的

27、XX企業(yè)集團(tuán)整體網(wǎng)絡(luò)情況為以后更致命的攻擊做好準(zhǔn)備，然而網(wǎng)絡(luò)管理員并沒有一個(gè)有效的方法來實(shí)時(shí)了解網(wǎng)絡(luò)中各節(jié)點(diǎn)的情況，控制這些網(wǎng)絡(luò)節(jié)點(diǎn)的變化，因此給整個(gè)XX企業(yè)集團(tuán)的網(wǎng)絡(luò)系統(tǒng)造成極大的威脅。非法訪問的危害XX企業(yè)集團(tuán)的網(wǎng)絡(luò)是一個(gè)多應(yīng)用多連接的系統(tǒng)，雖然目前已經(jīng)存在一些常用的訪問控制手段：所有用戶在訪問服務(wù)器時(shí)都必須輸入正確的用戶名和口令等，但是這樣的網(wǎng)絡(luò)結(jié)構(gòu)利用傳統(tǒng)的網(wǎng)絡(luò)管理措施難以實(shí)現(xiàn)有效的訪問控制。對于網(wǎng)絡(luò)中沒有訪問其他網(wǎng)段主機(jī)權(quán)限的用戶來說，當(dāng)要對其他網(wǎng)段上主機(jī)發(fā)動(dòng)攻擊時(shí)，其情況類似于外部網(wǎng)絡(luò)的攻擊。但是與外部網(wǎng)絡(luò)的攻擊者相比，內(nèi)部攻擊者對網(wǎng)絡(luò)結(jié)構(gòu)了解的更加細(xì)致，而且更容易竊取用戶登錄所需

28、資料，所以非法訪問更易成功。如某臺非法主機(jī)在經(jīng)過相關(guān)的配置后就可以與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器和其他客戶端主機(jī)進(jìn)行TCP/IP通信。這樣就能夠通過仿冒合法用戶或通過其他黑客工具對客戶端甚至關(guān)鍵的數(shù)據(jù)庫服務(wù)器進(jìn)行非法通信和數(shù)據(jù)訪問，這將給XX企業(yè)集團(tuán)帶來嚴(yán)重的危害。非法應(yīng)用的威脅XX企業(yè)集團(tuán)系統(tǒng)中有許多的應(yīng)用在實(shí)時(shí)地使用著，尤其是數(shù)據(jù)庫和工業(yè)控制的應(yīng)用。但網(wǎng)絡(luò)管理員并沒有一個(gè)有效方法來監(jiān)控這些應(yīng)用的使用，然而多數(shù)的木馬程序都是以注入內(nèi)存的方式來調(diào)用一些非法應(yīng)用與黑客通信的。若此時(shí)有一臺開發(fā)客戶端主機(jī)中了木馬程序，在正常訪問服務(wù)器的過程中就可能通過這一非法應(yīng)用程序?qū)⒃L問服務(wù)器的賬號、口令以及訪問方式都泄

29、露給黑客，黑客就能通過獲取的信息堂而皇之地登錄到該應(yīng)用服務(wù)器上，并能在該服務(wù)器上也啟動(dòng)一些非法的應(yīng)用服務(wù)，幫助黑客完全地控制服務(wù)器。系統(tǒng)的安全風(fēng)險(xiǎn)分析如果沒有漏洞掃描和安全評估機(jī)制，將不能及時(shí)地填補(bǔ)網(wǎng)絡(luò)漏洞所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door。而且系統(tǒng)本身必定存在安全漏洞。這些后門或安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握

30、一般攻擊技術(shù)的人都可能入侵得手。如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時(shí)間。病毒對XX企業(yè)網(wǎng)絡(luò)安全運(yùn)營的安全威脅外部 XX企業(yè)與Internet有直接通道，會(huì)受到來自專網(wǎng)以HTTP、SMTP、FTP等數(shù)據(jù)流為載體的潛在病毒的威脅。內(nèi)部 局域網(wǎng)中的工作站及文件服務(wù)器都會(huì)受到病毒的感染，病毒的攻擊方式多種多樣，有通過局域網(wǎng)傳播、傳統(tǒng)介質(zhì)(光盤、軟盤、USB硬盤等)傳播等等，一旦受到感染，便會(huì)迅速傳播，會(huì)給日常的工作和生產(chǎn)帶來極大的威脅。網(wǎng)絡(luò)帶寬 高速傳播和具有網(wǎng)絡(luò)攻擊能力

31、的病毒，能占用有限的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)癱瘓。CodeRed，沖擊波以及Mydoom就是典型導(dǎo)致網(wǎng)絡(luò)癱瘓的病毒，能導(dǎo)致網(wǎng)絡(luò)交換機(jī)、路由器、服務(wù)器嚴(yán)重過載癱瘓。間接損失 病毒造成的間接損失可能更大，病毒造成的事故對企業(yè)的影響是直接導(dǎo)致企業(yè)信息資產(chǎn)損失，可能影響生產(chǎn)運(yùn)營。安全服務(wù)體系不健全的威脅一個(gè)網(wǎng)絡(luò)的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護(hù)的。如今的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)漏洞日益嚴(yán)重，它需要網(wǎng)絡(luò)管理人員具有快速的響應(yīng)機(jī)制。如果沒有一個(gè)完善的安全服務(wù)體系，將盡可能多的安全產(chǎn)品統(tǒng)一來維護(hù)，面對突如其來的網(wǎng)絡(luò)攻擊，XX企業(yè)可能將面臨巨大的損失。同時(shí)，眾多品牌的安全產(chǎn)品采購，也將對XX企

32、業(yè)的網(wǎng)絡(luò)的維護(hù)帶來不便。XX企業(yè)安全需求防病毒體系需求自動(dòng)安裝客戶端軟件；自動(dòng)更新、分發(fā)客戶端軟件及病毒庫；網(wǎng)絡(luò)中布置了多少臺機(jī)器，還有多少臺未安裝防病毒軟件；客戶端軟件、病毒庫版本是否為最新，病毒防護(hù)或發(fā)作信息；客戶端軟件不允許隨意卸載；網(wǎng)絡(luò)中那些病毒在傳播；強(qiáng)制性網(wǎng)管軟件需求網(wǎng)絡(luò)上有哪些交換機(jī)，有哪些計(jì)算機(jī)；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，交換機(jī)如何互聯(lián)，每臺交換機(jī)接了那些終端；網(wǎng)絡(luò)性能管理、流量管理、故障管理、日志管理；資產(chǎn)信息收集與管理；管理制度制訂、落實(shí)；客戶端軟件不允許隨意卸載；遠(yuǎn)程管理與控制；軟件分發(fā)；操作系統(tǒng)補(bǔ)丁分發(fā)、安裝；管理中心；網(wǎng)絡(luò)設(shè)備的軟件升級（IOS升級至最高版本）；防火墻需求支持雙機(jī)

33、熱備份功能，切換時(shí)間不超過3秒；因特網(wǎng)出口（現(xiàn)狀：100M），支持VPN功能，能夠與VPN網(wǎng)關(guān)協(xié)調(diào)一致工作，移動(dòng)用戶能夠利用操作系統(tǒng)自帶的VPN連接、通過cisco 公司ACS 3000驗(yàn)證用戶進(jìn)入公司內(nèi)網(wǎng)；北京分公司（現(xiàn)狀：Adsl），利用VPN網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立VPN連接進(jìn)入公司內(nèi)網(wǎng)；北京庫房(現(xiàn)狀：華為路由器，128K DDN) ，利用VPN網(wǎng)關(guān)與公司因特網(wǎng)出口防火墻建立VPN連接進(jìn)入公司內(nèi)網(wǎng)；兩臺ERP小型機(jī)（每臺小型機(jī)配置：雙千兆短波多模光纖網(wǎng)卡，防火墻采用橋接模式）棒材生產(chǎn)子網(wǎng)、煉鋼生產(chǎn)子網(wǎng)（百兆）煉鋼大高爐生產(chǎn)子網(wǎng)（千兆長波單模光纖）礦業(yè)公司(2條2M數(shù)字電路，連入電

34、話站交換機(jī))、二化(1條2M數(shù)字電路，連入電話站交換機(jī))電話站專網(wǎng)過濾網(wǎng)關(guān)需求因特網(wǎng)（現(xiàn)狀：100M）入口，必須至少支持4種Internet協(xié)議：SMTP、POP3、HTTP、FTP，并具有日志以及日志分析功能；入侵檢測需求內(nèi)網(wǎng)關(guān)鍵區(qū)域及因特網(wǎng)（現(xiàn)狀：100M）出口，具有安全審計(jì)功能；漏洞掃描需求定期掛接到網(wǎng)絡(luò)中，對當(dāng)前網(wǎng)絡(luò)上的重點(diǎn)服務(wù)器（如WEB服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、主域服務(wù)器等）以及主機(jī)進(jìn)行一次掃描，得到當(dāng)前系統(tǒng)中存在的各種安全漏洞，并有針對性地提出補(bǔ)救措施報(bào)告；安裝需求所有安全產(chǎn)品布置在項(xiàng)目附帶的機(jī)柜內(nèi)，并且在機(jī)柜內(nèi)配置2臺32口自動(dòng)多電腦切換器，配置相應(yīng)的鍵盤、光電鼠標(biāo)、顯

35、示器及線纜；安全設(shè)備要有管理口，便于管理，降低安全產(chǎn)品本身的安全威脅，要有分權(quán)管理，管理與審計(jì)權(quán)限分開；要保證系統(tǒng)服務(wù)器、生產(chǎn)專網(wǎng)的高可用性、抗攻擊性；制定詳細(xì)的實(shí)施計(jì)劃，明確雙方責(zé)任，專業(yè)技術(shù)工程師、制度管理師按照實(shí)施計(jì)劃布置實(shí)施符合XX企業(yè)管理需求的安全策略、制定符合XX企業(yè)管理需求的制度體系；各個(gè)系統(tǒng)協(xié)調(diào)一致工作，不能出現(xiàn)軟件或硬件沖突；信息網(wǎng)絡(luò)的安全方案設(shè)計(jì)安全管理環(huán)節(jié)分析：主要是指XX企業(yè)集團(tuán)要設(shè)備管理、人員管理、策略管理等；目前XX企業(yè)集團(tuán)尚無一套完善的網(wǎng)絡(luò)安全管理體系，我們要建立通過一定的國際標(biāo)準(zhǔn)來建立建設(shè)管理體系。需求建議：XX企業(yè)集團(tuán)信息網(wǎng)需要對全網(wǎng)所有設(shè)備和終端用戶進(jìn)行管理

36、。負(fù)責(zé)管理計(jì)算機(jī)的技術(shù)人員和一般計(jì)算機(jī)使用人員，依靠一定的安全技術(shù)和手段和一些好的管理辦法，制定一些切實(shí)可用的網(wǎng)絡(luò)安全策略，來建立XX企業(yè)集團(tuán)信息網(wǎng)的安全管理體系。另外建議應(yīng)用強(qiáng)制性的網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)設(shè)備和客戶端進(jìn)行管理。安全防護(hù)環(huán)節(jié)分析:該環(huán)節(jié)的包括訪問控制、保密性、完整性、可用性、不可否認(rèn)性。該環(huán)節(jié)主要依靠一些相關(guān)的技術(shù)手段來實(shí)現(xiàn)。訪問控制主要依靠防火墻技術(shù)、劃分Vlan技術(shù)身份認(rèn)證技術(shù)等方式來實(shí)現(xiàn)；保密性、可用性、不可抵賴性：主要包括一些信息保密手段，例如使用VPN技術(shù)、采用加密軟件、或者應(yīng)用CA證書保證數(shù)據(jù)的安全防護(hù)等。防護(hù)還包括對線路高可用性、網(wǎng)絡(luò)病毒防護(hù)、數(shù)據(jù)容災(zāi)防護(hù)等方面。需求建議

37、:安全保護(hù)圍很廣涉及的技術(shù)也較多，對于XX企業(yè)集團(tuán)信息網(wǎng)目前最需要的防護(hù)手段是對全網(wǎng)的防護(hù)，使用防火墻、防病毒技術(shù)和入侵檢測，在此基礎(chǔ)上建議加強(qiáng)對XX企業(yè)集團(tuán)數(shù)據(jù)中心信息網(wǎng)的防護(hù)體系建設(shè)。對分支機(jī)構(gòu)建議采用VPN網(wǎng)關(guān)建立隧道。安全監(jiān)測環(huán)節(jié)分析:主要是指實(shí)時(shí)監(jiān)測、風(fēng)險(xiǎn)評估、系統(tǒng)加固、漏洞修補(bǔ)等；實(shí)時(shí)檢測主要依靠入侵檢測系統(tǒng)、風(fēng)險(xiǎn)評估依靠于脆弱性分析軟件，系統(tǒng)加固和漏洞修補(bǔ)要求網(wǎng)絡(luò)管理人員能夠隨時(shí)跟蹤各種操作系統(tǒng)和應(yīng)用系統(tǒng)漏洞情況及時(shí)采取必要的措施。需求建議：對于XX企業(yè)集團(tuán)信息網(wǎng)目前尚無任何網(wǎng)絡(luò)安全監(jiān)測措施，對于發(fā)生的網(wǎng)絡(luò)安全問題需要有效的監(jiān)測手段；對于全網(wǎng)的風(fēng)險(xiǎn)評估需要建立相應(yīng)的評估制度；對于

38、系統(tǒng)加固和漏洞修補(bǔ)需要固定的工作流程和漏洞發(fā)現(xiàn)和加固計(jì)劃。病毒防護(hù)環(huán)節(jié)分析：主要針對全網(wǎng)1000多臺主機(jī)和30多臺服務(wù)器進(jìn)行病毒防護(hù)。對網(wǎng)絡(luò)的邊界及接入點(diǎn)進(jìn)行病毒的監(jiān)控。需求建議：目前XX企業(yè)集團(tuán)急需一套網(wǎng)絡(luò)版的防病毒軟件覆蓋整個(gè)網(wǎng)絡(luò)。在網(wǎng)關(guān)處建議配置防病毒網(wǎng)關(guān)。安全服務(wù)環(huán)節(jié)分析：一個(gè)優(yōu)秀的網(wǎng)絡(luò)安全系統(tǒng)的建立不僅僅依靠網(wǎng)絡(luò)安全設(shè)備和相關(guān)安全手段，如何去建設(shè)網(wǎng)絡(luò)安全系統(tǒng)？如何去使用網(wǎng)絡(luò)安全系統(tǒng)？以及出現(xiàn)安全問題如何去應(yīng)對？是一般網(wǎng)使用者非常關(guān)心的問題。究竟解決以上問題呢？我們認(rèn)為專業(yè)的事情要交給專業(yè)的人來做。需求建議：在XX企業(yè)集團(tuán)信息網(wǎng)構(gòu)建一個(gè)良好的安全系統(tǒng)的時(shí)候我們要有責(zé)任建議XX企業(yè)集團(tuán)不

39、要忽略安全公司所提供的前期、中期、后期所需的各種保障服務(wù)。XX企業(yè)網(wǎng)絡(luò)安全項(xiàng)目解決方案XX企業(yè)防火墻解決方案XX企業(yè)防火墻的部署根據(jù)XX企業(yè)集團(tuán)系統(tǒng)的安全現(xiàn)狀和風(fēng)險(xiǎn)分析，我們在該網(wǎng)中建立防火墻子系統(tǒng)。有關(guān)建立防火墻子系統(tǒng)的目標(biāo)、功能、位置、在下文中進(jìn)行詳細(xì)說明。信息化的前提就是建立起完善的信息保障體系，防火墻在信息保障體系中對網(wǎng)絡(luò)行為進(jìn)行有效訪問控制，對保證網(wǎng)絡(luò)訪問行為的有序性起到了至關(guān)重要的作用，防火墻體系的建立直接關(guān)系到了系統(tǒng)能否正常運(yùn)行，體系是否完善；關(guān)系到了系統(tǒng)是否能夠?qū)Ψ欠ㄔL問進(jìn)行有效的防范。在XX企業(yè)集團(tuán)網(wǎng)絡(luò)系統(tǒng)中我們建立防火墻子系統(tǒng)的主要目標(biāo):邏輯隔離XX企業(yè)集團(tuán)系統(tǒng)內(nèi)網(wǎng)與Int

40、ernet；保護(hù)兩臺重要的ERP服務(wù)器；對棒材和煉鋼生產(chǎn)子網(wǎng)進(jìn)行防護(hù)；對煉鋼大高爐生產(chǎn)子網(wǎng)進(jìn)行防護(hù)；對礦業(yè)公司和二化子網(wǎng)進(jìn)行防護(hù)；對電話站專網(wǎng)進(jìn)行防護(hù)。以上這些專網(wǎng)和生產(chǎn)子網(wǎng)他們和XX企業(yè)集團(tuán)內(nèi)網(wǎng)之間都需要進(jìn)行訪問控制。我們建議在XX企業(yè)集團(tuán)內(nèi)網(wǎng)和Internet接入設(shè)備之間配置一臺天融信網(wǎng)絡(luò)衛(wèi)士千兆防火墻NGFW4000-UF-VPN(E)，作為訪問控制設(shè)備。通過此設(shè)備除了進(jìn)行訪問控制而且還與遠(yuǎn)端的分支機(jī)構(gòu)建立隧道，在遠(yuǎn)端北京分公司和北京庫房也配置了天融信的VPN網(wǎng)關(guān)。對于XX企業(yè)移動(dòng)的用戶建議在單臺計(jì)算機(jī)或筆記本上安裝天融信VPN客戶端軟件，同樣可以與總部的NGFW4000-UF-VPN(

41、E)建立隧道，實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。拓?fù)浣Y(jié)構(gòu)如下圖所示：由于XX企業(yè)集團(tuán)ERP系統(tǒng)承載著企業(yè)大量的重要數(shù)據(jù)信息，因此必須通過防火墻的訪問控制過濾技術(shù)對非授權(quán)的用戶進(jìn)行嚴(yán)格地控制和防護(hù)。若嚴(yán)格地采取物理隔離措施，固然可以做到系統(tǒng)的訪問控制絕對安全，但是對于通過間接的物理訪問而造成的病毒危害則很難防范（病毒庫很難及時(shí)升級），而且對整個(gè)信息系統(tǒng)的自動(dòng)化和工作效率不能有效地保證。屆時(shí)，可以通過防火墻系統(tǒng)開放ERP系統(tǒng)的許可訪問權(quán)限，其他不相關(guān)地訪問用戶則被嚴(yán)格禁止。目前XX企業(yè)在整體網(wǎng)絡(luò)安全防范的情況下，著重對ERP的服務(wù)器進(jìn)行安全防護(hù)。建議在兩臺SUN服務(wù)器和核心交換之間部署防火墻，具體的連接方式如下

42、圖所示：兩臺SUN的服務(wù)器做CLUSTER，共映射兩個(gè)浮動(dòng)IP，分別是應(yīng)用和數(shù)據(jù)庫，兩臺SUN的服務(wù)器互為備份。我們建議在SUN服務(wù)器和核心交換之間加入天融信的千兆防火墻NGFW4000-UF，同時(shí)設(shè)定規(guī)則，只允許特定的ERP應(yīng)用到達(dá)SUN服務(wù)器。經(jīng)過在XX企業(yè)的測試，天融信的防火墻能夠穩(wěn)定應(yīng)用在此網(wǎng)絡(luò)結(jié)構(gòu)下。其中，最重要的技術(shù)是目前在國內(nèi)的防火墻當(dāng)中只有天融信支持的Spanning Tree的算法。如上圖所示，XX企業(yè)集團(tuán)的核心網(wǎng)絡(luò)是典型的二層備份方案，中心兩臺Catalyst6509核心交換機(jī)，之間啟用Trunk和FEC協(xié)議，下連的交換機(jī)通過雙鏈路分別連接兩臺核心交換機(jī)，通過生成樹協(xié)議實(shí)現(xiàn)

43、備份。Solaris服務(wù)器也是通過兩塊網(wǎng)卡連接兩臺核心交換機(jī)，物理上，一塊網(wǎng)卡是up，另一塊處于down狀態(tài)。Solaris服務(wù)器切換的原理是這樣的，每個(gè)網(wǎng)卡各有自己的真實(shí)IP地址，兩個(gè)網(wǎng)卡還虛擬出一個(gè)ip，此虛擬IP對外提供服務(wù)，如果服務(wù)器通過PING檢測每個(gè)網(wǎng)卡的真實(shí)ip地址，如果不通，此網(wǎng)卡就變?yōu)閐own，另一網(wǎng)卡為up狀態(tài)。 如果不支持生成樹協(xié)議，又要避免環(huán)路出現(xiàn)，普通的防火墻會(huì)采用如下圖所示的連接方法（以一臺服務(wù)器舉例），每兩個(gè)端口劃分一個(gè)廣播域，一臺防火墻要?jiǎng)澐謨蓚€(gè)廣播域。如果斷掉交換機(jī)與防火墻之間的連線，對于防火墻和服務(wù)器的連接狀態(tài)依然正常，所以服務(wù)器沒有相應(yīng)的收斂算法能檢測到這

44、種狀態(tài)的變化，不能相應(yīng)的切換。對于天融信的防火墻由于支持Spanning Tree的算法，上圖就可以變成下圖的連接方法： 區(qū)別表現(xiàn)在支持Spanning Tree的算法的防火墻可以把四個(gè)端口配置成一個(gè)廣播域，此時(shí)防火墻到交換機(jī)之間的切換通過生成樹協(xié)議來實(shí)現(xiàn)，服務(wù)器到防火墻之間的切換通過Solaris服務(wù)器雙網(wǎng)卡自身的機(jī)制來切換。這也滿足了標(biāo)書中要求的真正橋接的模式。棒材和煉鋼生產(chǎn)子網(wǎng)建議配置兩臺天融信網(wǎng)絡(luò)衛(wèi)士百兆防火墻NGFW4000-T、礦業(yè)公司和二化子網(wǎng)建議配置一臺天融信網(wǎng)絡(luò)衛(wèi)士百兆防火墻NGFW4000-T、電話站專網(wǎng)建議配置一臺天融信網(wǎng)絡(luò)衛(wèi)士百兆防火墻NGFW4000-T。煉鋼大高爐生

45、產(chǎn)子網(wǎng)配置天融信單模千兆防火墻NGFW4000-UF。XX企業(yè)防火墻的作用防火墻對內(nèi)網(wǎng)用戶一經(jīng)授權(quán)便能夠采用任何現(xiàn)有的或新出現(xiàn)的網(wǎng)絡(luò)技術(shù)訪問Internet獲取所需要的信息和服務(wù)；防火墻可以防范各種網(wǎng)絡(luò)攻擊，能夠查找到攻擊的來源和類型，能夠?qū)@些攻擊進(jìn)行反應(yīng)；對網(wǎng)絡(luò)訪問接入點(diǎn)的保護(hù)應(yīng)該對相關(guān)組件與網(wǎng)絡(luò)的性能造成盡可能少的影響；抗DOS/DDOS攻擊：拒絕服務(wù)攻擊（DOS）、分布式拒絕服務(wù)攻擊（DDOS）就是攻擊者過多的占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測與報(bào)警機(jī)制，防止DOS黑客攻擊。所以通過防火墻上進(jìn)行規(guī)則設(shè)置，規(guī)定防火墻在

46、單位時(shí)間內(nèi)接到同一個(gè)地址的TCP全連接、半連接的數(shù)量，如果超出這個(gè)數(shù)量便認(rèn)為是DOS/DDOS攻擊，防火墻在設(shè)定的時(shí)間內(nèi)就不接受來自于這個(gè)地址的數(shù)據(jù)包，從而抵御了DOS/DDOS攻擊； 防止入侵者的掃描：大多數(shù)黑客在入侵之前都是通過對攻擊對象進(jìn)行端口掃描，收集被攻擊對象開放什么端口、什么服務(wù)、有何漏洞、哪些用戶的口令弱等信息，然后再展開相應(yīng)的攻擊。通過防火墻上設(shè)置規(guī)則：如果發(fā)現(xiàn)外部有某臺計(jì)算機(jī)在單位時(shí)間內(nèi)與內(nèi)部某臺服務(wù)器或者主機(jī)建立多個(gè)連接，便認(rèn)為是掃描行為，并截?cái)噙@個(gè)連接。從而防止入侵者的掃描行為，把入侵行為扼殺在最初階段；防止源路由攻擊：源路由攻擊是指黑客抓到數(shù)據(jù)包后改變數(shù)據(jù)包中的路由選項(xiàng)

47、，把數(shù)據(jù)包路由到它可以控制的一臺路由器上，進(jìn)行路由欺騙或者得到該數(shù)據(jù)包的返回信息。通過在防火墻上配置規(guī)則，禁止TCP/IP數(shù)據(jù)包中的源路由選項(xiàng)，防止源路由攻擊；防止IP碎片攻擊：IP碎片攻擊是指黑客把一個(gè)攻擊數(shù)據(jù)包分成多個(gè)數(shù)據(jù)據(jù)包，從而隱藏了該數(shù)據(jù)包的攻擊特征。通過在防火墻上設(shè)置規(guī)則防火墻在進(jìn)行檢查之前必須將IP分片重組為一個(gè)IP報(bào)文，而且這個(gè)報(bào)文必須具有一個(gè)最小長度以包含必要的信息以供檢查，從而防止了IP碎片攻擊；防止ICMP/IGMP攻擊：許多拒絕服務(wù)攻擊是通過發(fā)送大量的ICMP數(shù)據(jù)包、IGMP數(shù)據(jù)包實(shí)現(xiàn)的。通過在防火墻上設(shè)置規(guī)則，禁止ICMP/IGMP數(shù)據(jù)包的通過防火墻，保證系統(tǒng)的安全；

48、阻止ActiveX、Java、Javascript等侵入：防火墻能夠從HTTP頁面剝離ActiveX、JavaApplet等小程序及從Script、PHP和ASP等代碼檢測出危險(xiǎn)的代碼，也能夠過濾用戶上載的CGI、ASP等程序； 其他阻止的攻擊：通過在防火墻上的URL過濾可以防止一些來自于系統(tǒng)漏洞的攻擊（例如：通過配置規(guī)則禁止訪問./winnt/system32/cmd.exe?/可以防止WINDOW NT/2000 的UNICODE漏洞以及其他CGI漏洞攻擊：/Cgi-bin/phf、cgi-bin/count.cig、_vti_pvt/service.pwd、cfdocs/expeval/

49、 openfile.cfm等）、和一些病毒的攻擊（例如：禁止default.ida可以防止紅色代碼的攻擊）； 提供實(shí)時(shí)監(jiān)控、審計(jì)和告警：通過防火墻提供對網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)攻擊和危險(xiǎn)代碼時(shí)，防火墻提供告警功能；XX企業(yè)入侵檢測方案保護(hù)邊界安全的有效的監(jiān)視機(jī)制包括：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（IDS）、脆弱性掃描（安全服務(wù)）、病毒檢測等。首先我們建議在網(wǎng)絡(luò)出口處和重要網(wǎng)段部署天融信千兆入侵檢測NGIDS-UF。在基于TCP/IP的網(wǎng)絡(luò)中，普遍存在遭受攻擊的風(fēng)險(xiǎn)。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。有效的入侵檢測系統(tǒng)可以同時(shí)檢測內(nèi)部和外部威脅。入侵檢測系統(tǒng)的目的是檢測惡意和非

50、預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許非預(yù)期資源訪問的請求和非預(yù)期使用服務(wù)）。一旦入侵被檢測到，會(huì)引發(fā)某種響應(yīng)（如斷開攻擊者連接、通知操作員、自動(dòng)停止或減輕攻擊、跟蹤攻擊來源或適當(dāng)?shù)胤垂簦?。利用防火墻技術(shù)，經(jīng)過精心的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，存在著一些防火墻等其它安全設(shè)備所不能防范的安全威脅，這就需要入侵檢測系統(tǒng)提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等，來保護(hù)XX企業(yè)集團(tuán)局域網(wǎng)的安全。建議在核心交換機(jī)上對Internet的接口和未來的應(yīng)用服務(wù)器的接口做流量映射，配置天融信網(wǎng)絡(luò)衛(wèi)士的入侵檢測NGIDS-U

51、F。入侵檢測是防火墻等其它安全措施的補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)檢測。除了入侵檢測技術(shù)能夠保障系統(tǒng)安全之外，下面幾點(diǎn)也是使用入侵檢測的原因：計(jì)算機(jī)安全管理的基本目標(biāo)是規(guī)范單個(gè)用戶的行為以保護(hù)信息系統(tǒng)免受安全問題的困擾。入侵檢測系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對攻擊者進(jìn)

52、行懲罰，有助于上述目標(biāo)的實(shí)現(xiàn)，并對那些試圖違反安全策略的人造成威懾。入侵檢測可以檢測其它安全手段無法防止的問題。攻擊者使用越來越容易得到的攻擊技術(shù)，能夠?qū)Υ罅肯到y(tǒng)進(jìn)行非授權(quán)的訪問，尤其是連接到XX企業(yè)集團(tuán)局域網(wǎng)的系統(tǒng)，而當(dāng)這些系統(tǒng)具有已知漏洞的時(shí)候這種攻擊更容易發(fā)生。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的：很多系統(tǒng)的操作系統(tǒng)不能得到及時(shí)的更新有的系統(tǒng)雖然可以及時(shí)得到補(bǔ)丁程序，但是管理員沒有時(shí)間或者資源進(jìn)行系統(tǒng)更新，這個(gè)問題很普遍，特別是在那些具有大量主機(jī)或多種類型的軟硬件的環(huán)境中。正常工作可能需要開啟網(wǎng)絡(luò)服務(wù)，而這些協(xié)議是具有漏洞，容易被攻擊的。用戶和

53、管理員在配置和使用系統(tǒng)時(shí)可能犯錯(cuò)誤。在進(jìn)行系統(tǒng)訪問控制機(jī)制設(shè)置時(shí)可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權(quán)限的錯(cuò)誤操作。當(dāng)黑客攻擊一個(gè)系統(tǒng)時(shí)，他們總是按照一定的步驟進(jìn)行。首先是對系統(tǒng)或網(wǎng)絡(luò)的探測和分析，如果一個(gè)系統(tǒng)沒有配置入侵檢測，攻擊者可以自由的進(jìn)行探測而不被發(fā)現(xiàn)，這樣很容易找到最佳攻入點(diǎn)。如果同樣的系統(tǒng)配置了入侵檢測，則會(huì)對攻擊者的行動(dòng)帶來一定難度，它可以識別可疑探測行為，阻止攻擊者對目標(biāo)系統(tǒng)的訪問，或者對安全人員報(bào)警以便采取響應(yīng)措施阻止攻擊者的下一步行動(dòng)。入侵檢測證實(shí)并且詳細(xì)記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡(luò)安全管理方案時(shí)，通常需要證實(shí)網(wǎng)絡(luò)很可能或者正在受到攻擊。此外，攻擊的頻率和特征有助

54、于選擇保護(hù)網(wǎng)絡(luò)免受相應(yīng)攻擊的安全手段。在入侵檢測運(yùn)行了一段時(shí)間后，系統(tǒng)使用模式和檢測問題變得明顯，這會(huì)使系統(tǒng)的安全設(shè)計(jì)與管理的問題暴露出來，在還沒有造成損失的時(shí)候進(jìn)行糾正。即使當(dāng)入侵檢測不能阻止攻擊時(shí)，它仍可以收集該攻擊的可信的詳細(xì)信息進(jìn)行事件處理和恢復(fù)，此外，這些信息在某些情況下可以作為犯罪的佐證?？傊?，入侵檢測的根本意義在于發(fā)現(xiàn)網(wǎng)絡(luò)中的異常。管理人員需要了解網(wǎng)絡(luò)中正在發(fā)生的各種活動(dòng)，需要在攻擊到來之前發(fā)現(xiàn)攻擊行為，需要識別異常行為，需要有效的工具進(jìn)行針對攻擊行為以及異常的實(shí)時(shí)和事后分析?！爸闄?quán)是網(wǎng)絡(luò)安全的關(guān)鍵”，這使得入侵檢測成為其它許多安全手段，如安全網(wǎng)管系統(tǒng)的基礎(chǔ)。XX企業(yè)漏洞掃描解

55、決方案大多數(shù)的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)存在一定的安全漏洞，需要不斷安裝和升級安全補(bǔ)丁。同時(shí)我們也注意到，許多安全侵害并不是由于系統(tǒng)產(chǎn)品本身存在安全弱點(diǎn)，而是由于系統(tǒng)沒有正確地安裝使用或安全規(guī)則沒有建立并執(zhí)行。甚至在一個(gè)正確的系統(tǒng)配置中，某些設(shè)置也可能被意外或故意的改動(dòng)?；谝陨显?，應(yīng)安裝系統(tǒng)漏洞掃描軟件，幫助管理員及時(shí)發(fā)現(xiàn)系統(tǒng)中的安全漏洞和安全隱患，并提供安全決策分析、安全補(bǔ)救建議和措施，減少系統(tǒng)安全風(fēng)險(xiǎn)。系統(tǒng)漏洞掃描軟件應(yīng)能掃描操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的安全漏洞。它包括了網(wǎng)絡(luò)漏洞檢測，報(bào)告服務(wù)進(jìn)程，提取對象信息，以及評測風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等多項(xiàng)功能，全面幫助用戶控制可能發(fā)生的安全

56、事件，最大可能的消除安全隱患。該系統(tǒng)具有強(qiáng)大的漏洞檢測能力和檢測效率，貼切用戶需求的功能定義，靈活多樣的檢測方式，詳盡的漏洞修補(bǔ)方案和友好的掃描系統(tǒng)報(bào)告系統(tǒng)，以及方便的在線升級功能。我們在XX企業(yè)網(wǎng)絡(luò)安全的項(xiàng)目中配置一臺榕基漏洞掃描系統(tǒng)。XX企業(yè)防病毒解決方案病毒是系統(tǒng)中最常見、威脅最大的安全來源，建立一個(gè)全方位的病毒防范系統(tǒng)是XX企業(yè)集團(tuán)安全體系建設(shè)的重要任務(wù)。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問題。網(wǎng)絡(luò)版防病毒解決方案根據(jù)XX企業(yè)集團(tuán)網(wǎng)絡(luò)結(jié)構(gòu)和辦公系統(tǒng)計(jì)算機(jī)分布情況，病毒防范系統(tǒng)的安裝實(shí)施要求為：具備實(shí)時(shí)防護(hù)、計(jì)劃掃描和手動(dòng)掃描的功能；具備對各種常用格式的壓縮文件、包括多重壓縮文件

57、的掃描功能；感染源和感染文件的隔離功能，提供對病毒感染源的網(wǎng)絡(luò)連接阻斷和隔離功能，并且記錄感染源的用戶信息。對無法清除病毒的感染文件進(jìn)行隔離；查病毒的效率。在性能要求比較高的服務(wù)器上能夠?qū)崿F(xiàn)增量方式的查病毒方式，也就是僅僅掃描那些上次掃描過以后有變動(dòng)的文件；應(yīng)急恢復(fù)功能，提供應(yīng)急措施，對系統(tǒng)引導(dǎo)區(qū)進(jìn)行應(yīng)急恢復(fù)；集中監(jiān)控、重點(diǎn)管理的能力，防病毒管理軟件對運(yùn)行在Windows NT/2000/98/95/ME以及其他平臺防病毒軟件的集中監(jiān)控管理功能。對于關(guān)鍵的服務(wù)器具有實(shí)時(shí)的病毒活動(dòng)參數(shù)監(jiān)控方法；防病毒策略的配置管理，防病毒策略的統(tǒng)一配置管理，能根據(jù)不同的防病毒需求分別制定和實(shí)施不同的防病毒策略。

58、防病毒管理軟件具有分組（域）管理客戶端防病毒策略和調(diào)度相關(guān)任務(wù)執(zhí)行的能力； 能夠從多層次進(jìn)行病毒防范，從服務(wù)器到客戶機(jī)都能有相應(yīng)的防毒軟件提供完整的、全面的防病毒保護(hù)。網(wǎng)絡(luò)防病毒產(chǎn)品是一個(gè)比較基礎(chǔ)而且成熟的安全產(chǎn)品，在本方案沒有網(wǎng)絡(luò)版防病毒進(jìn)行過多描述，我們推薦趨勢科技的網(wǎng)絡(luò)版防病毒系統(tǒng)，覆蓋XX企業(yè)1000個(gè)計(jì)算機(jī)節(jié)點(diǎn)和30多臺服務(wù)器。網(wǎng)關(guān)防病毒解決方案天融信網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)作為一個(gè)專門的硬件防病毒設(shè)備，只要安裝在XX企業(yè)網(wǎng)絡(luò)的入口處，就可以保護(hù)局域網(wǎng)局域網(wǎng)免受各類病毒，木馬的和垃圾郵件的干擾。網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)實(shí)時(shí)檢查進(jìn)入企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)流，當(dāng)網(wǎng)關(guān)檢測到病毒時(shí)，它會(huì)根據(jù)相應(yīng)的策略來處理病毒和染

59、毒文件，保護(hù)企業(yè)內(nèi)部的服務(wù)器和工作站設(shè)備。產(chǎn)品特點(diǎn)：實(shí)時(shí)病毒過濾網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)對通過網(wǎng)關(guān)設(shè)備的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢測，過濾數(shù)據(jù)流中的病毒、蠕蟲和垃圾郵件等，阻止它們進(jìn)入企業(yè)網(wǎng)絡(luò)。即插即用的透明接入方式網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)采用即插即用的思路設(shè)計(jì)，以透明網(wǎng)橋方式部署在企業(yè)網(wǎng)絡(luò)中，無需改變企業(yè)內(nèi)部的網(wǎng)絡(luò)配置，從而使安裝工作變得非常簡單。一旦部署完成，網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)就開始對企業(yè)網(wǎng)絡(luò)進(jìn)行病毒防護(hù)，保障網(wǎng)絡(luò)不受病毒侵害。 全面的協(xié)議保護(hù)網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)對SMTP、POP3、IMAP4、HTTP和FTP等應(yīng)用協(xié)議進(jìn)行病毒掃描和過濾，有效地防止可能的病毒威脅。高性能網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)構(gòu)建在高性能的硬件平臺上，采用高

60、效的掃描算法，最大限度地提高過濾效率，提供優(yōu)異的處理性能。 內(nèi)嵌的內(nèi)容過濾功能網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)支持對數(shù)據(jù)內(nèi)容進(jìn)行檢查，可以采用關(guān)鍵字過濾，URL過濾等方式來阻止非法數(shù)據(jù)進(jìn)入企業(yè)網(wǎng)絡(luò)，同時(shí)也支持對Java等小程序進(jìn)行過濾等，防止可能的惡意代碼進(jìn)入企業(yè)網(wǎng)絡(luò)。 防垃圾郵件功能網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)采用業(yè)界領(lǐng)先的黑名單技術(shù)實(shí)時(shí)檢測垃圾郵件并阻止其進(jìn)入企業(yè)網(wǎng)絡(luò)，為企業(yè)節(jié)省寶貴的帶寬。防蠕蟲攻擊網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)可以實(shí)時(shí)檢測到日益泛濫的蠕蟲攻擊，并對其進(jìn)行實(shí)時(shí)阻斷，從而有效防止企業(yè)網(wǎng)絡(luò)因遭受蠕蟲攻擊而陷于癱瘓。自動(dòng)在線升級網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)可以按照管理員設(shè)定的更新策略自動(dòng)連接到天融信公司的升級服務(wù)器，升級最新的病毒