《網絡安全建設實施方案》由會員分享，可在線閱讀，更多相關《網絡安全建設實施方案（89頁珍藏版）》請在裝配圖網上搜索。

1、1京唐港股份有限公司京唐港股份有限公司網絡安全建設實施方案網絡安全建設實施方案二二 OOOO 七年二月七年二月2目錄目錄1概述概述.32網絡系統(tǒng)安全建設網絡系統(tǒng)安全建設.32.1安全現狀分析.32.2安全風險分析.42.2.1物理安全.42.2.2網絡安全與系統(tǒng)安全.42.2.3應用安全.52.2.4安全管理.52.3安全需求分析.62.3.1物理安全需求分析.62.3.2網絡安全與系統(tǒng)安全.72.3.3應用安全.72.3.4安全管理.82.4安全實施方案.82.4.1物理安全防護.82.4.2備份與恢復.92.4.3訪問控制.92.4.4系統(tǒng)安全.92.4.5網段劃分與虛擬局域網.112.4

2、.6辦公網整體安全建議.112.4.7防火墻實施方案.132.4.8入侵檢測系統(tǒng)實施方案.202.4.9漏洞掃描系統(tǒng)實施方案.292.4.10身份認證系統(tǒng)實施方案.332.4.11安全審計系統(tǒng)實施方案.392.4.12防病毒系統(tǒng)實施方案.433異地網接入安全建設異地網接入安全建設.553.1接入方式選擇.563.2安全性分析.573.3兩種方式優(yōu)勢特點.573.4VPN 原理介紹.583.5VPN 的選型.633.6財務系統(tǒng)安全防護.664機房設備集中監(jiān)控管理機房設備集中監(jiān)控管理.664.1.1設備及應用系統(tǒng)管理現狀.664.1.2建立機房集中控制管理系統(tǒng)需求.664.1.3集中控制管理系統(tǒng)方

3、案實現.674.1.4功能特點.684.2監(jiān)控顯示系統(tǒng).684.2.1投影顯示系統(tǒng).6834.2.2等離子顯示系統(tǒng).685網絡管理中心網絡管理中心.695.1.1建立網絡管理中心需求.695.1.2網絡管理功能實現.696桌面管理及補丁分發(fā)中心桌面管理及補丁分發(fā)中心.726.1.1建立桌面管理中心需求.726.1.2桌面管理功能實現.747網絡設備升級網絡設備升級.8141 概述概述京唐港股份有限公司辦公大樓網絡信息系統(tǒng)目前剛剛投入使用，主要包括新建大廈、舊辦公區(qū)辦公網絡以及部分省市辦事處專網，該套網絡與 Internet互聯(lián)，將要實現整個業(yè)務系統(tǒng)的辦公自動化，包括業(yè)務系統(tǒng)使用、數據存儲備份、

4、文件共享、對外宣傳等，同時還要為員工相關業(yè)務應用及學習提供便利的上網條件；所以該網絡既是辦公系統(tǒng)的承載體，也是威脅風險的承受體，在公司規(guī)模日漸壯大的今天，網絡規(guī)模也相應的在不斷的擴大，相關的配套網絡及安全設備雖然具有較新的技術和功能，但還不足以抵御紛繁復雜的互聯(lián)網的威脅，整個網絡的安全也需要做相應的增強防護，另外從設備及應用的管理角度來看，可以采取一些智能和高效的管理手段及措施，在保障業(yè)務正常運行了同時，保證系統(tǒng)的安全可靠，減少和簡化安全管理，提高系統(tǒng)工作效率。本方案將著重從安全系統(tǒng)的整體建設及相應的一些網絡管理手段上具體分析，并提出可行性的實施方案，把目前在使用過程中遇到的一些問題解決并防患

5、于未然，同時為用戶提供一整套安全及網絡管理措施，把公司網絡建設成為一個符合業(yè)務需求、安全可靠、容易管理操作的高質量的辦公網絡。2 網絡系統(tǒng)安全建設網絡系統(tǒng)安全建設2.1 安全現狀分析安全現狀分析京唐港股份有限公司依托于京唐港整體規(guī)劃建設和發(fā)展，將承載著越來越多的港口業(yè)務等工作，特別是隨著信息化辦公的進一步深入，自動化辦公的便利和效率可以說是公司發(fā)展壯大的必要手段；但是京唐港股份有限公司辦公大樓是整個公司信息的核心地帶，不但為本地員工及另外一個園區(qū)的業(yè)務人員提供各種辦公應用服務，而且在各地已經或是將要成立辦事處，實現遠程辦公，并且各個位置和部門的業(yè)務需求又不盡相同，在這種網絡結構較為龐大，多層次

6、、多應用的網絡中，安全是一項很重要的任務和保證措施。目前，該網絡已經建設完成，安全手段主要在網絡邊界處采取了防火墻，5在整個網絡中部署了網絡版殺毒軟件和網管軟件，其他安全措施主要是依靠個人的安全意識和行為；現階段，全網已經爆發(fā)了多次病毒感染等問題，一定程度上影響了辦公的效率，所以有必要進一步從技術角度完善安全系統(tǒng)。2.2 安全風險分析安全風險分析2.2.1 物理安全物理安全物理安全層面存在下述威脅和風險形式：機房毀壞：由于戰(zhàn)爭、自然災害、意外事故造成機房毀壞，大部分設備損壞。線路中斷：因線路中斷，造成系統(tǒng)不能正常工作。電力中斷：因電力檢修、線路或設備故障造成電力中斷。設備非正常毀壞：因盜竊、人

7、為故意破壞造成設備毀壞。設備正常損壞：設備軟 、硬件故障，造成設備不能正常工作。存貯媒體損壞：因溫度 、濕度或其他原因，各種數據存儲媒體不能正常使用。2.2.2 網絡安全與系統(tǒng)安全網絡安全與系統(tǒng)安全互聯(lián)網安全隱患：互聯(lián)網會帶來的越權訪問、惡意攻擊、病毒入侵等安全隱患；搭線竊取的隱患：黑客或犯罪團體通過搭線和架設協(xié)議分析設備非法竊取系統(tǒng)信息；病毒侵襲的隱患：病毒在系統(tǒng)內感染、傳播和發(fā)作；操作系統(tǒng)安全隱患：操作系統(tǒng)可能的后門程序、安全漏洞、安全設置不當、安全級別低等，缺乏文件系統(tǒng)的保護和對操作的控制，讓各種攻擊有可乘之機；數據庫系統(tǒng)安全隱患：不能實時監(jiān)控數據庫系統(tǒng)的運行情況，數據庫數據丟失、被非法

8、訪問或竊??；應用系統(tǒng)安全隱患：應用系統(tǒng)存在后門、因考慮不周出現安全漏洞等，6可能出現非法訪問；惡意攻擊和非法訪問：拒絕服務攻擊，網頁篡改，下載不懷好意的惡意小程序，對系統(tǒng)進行惡意攻擊，對系統(tǒng)進行非法訪問等。2.2.3 應用安全應用安全身份假冒：缺少強制認證和加密措施的涉密信息系統(tǒng)，關鍵業(yè)務系統(tǒng)被假冒身份者闖入；非授權訪問：缺少強制認證和加密措施的涉密信息系統(tǒng)，關鍵業(yè)務系統(tǒng)被越權訪問；數據失、泄密：涉密數據在處理、傳輸、存儲過程中，被竊取或非授權訪問；數據被修改：數據在處理、傳輸、存儲過程中被非正常修改和刪除；否認操作：數據操作者為逃避責任而否認其操作行為。2.2.4 安全管理安全管理安全管理組

9、織不健全：沒有相應的安全管理組織，缺少安全管理人員編制，沒有建立應急響應支援體系等。缺乏安全管理手段：不能實時監(jiān)控機房工作、網絡連接和系統(tǒng)運行狀態(tài)，不能及時發(fā)現已經發(fā)生的網絡安全事件，不能追蹤安全事件等。人員安全意識淡?。簾o意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操作員 IC 卡，私自接入外網，私自拷貝竊取信息，私自安裝程序，不按操作規(guī)程操作和越權操作，擅離崗位，沒有交接手續(xù)等，均會造成安全隱患。管理制度不完善：缺乏相應的管理制度，人員分工和職責不明，沒有監(jiān)督、約束和獎懲機制，存在潛在的管理風險。缺少標準規(guī)范：系統(tǒng)缺乏總體論證，沒有或缺少相關的標準規(guī)范，各子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴展性不

10、強。缺乏安全服務：人員缺少安全培訓，系統(tǒng)從不進行安全評估和安全加固，系統(tǒng)故障不能及時恢復等。72.3 安全需求分析安全需求分析基于上述的安全風險分析，京唐港股份有限公司信息系統(tǒng)必須采取相應的應對措施與手段，形成有效的安全防護能力、隱患發(fā)現能力和應急反應能力，為整個信息系統(tǒng)建立可靠的安全運行環(huán)境和安全業(yè)務系統(tǒng)，切實保障全公司信息系統(tǒng)正常、有序、可靠地運行。 2.3.1 物理安全需求分析物理安全需求分析異地容災：異地容災主要是預防場地問題帶來的數據不可用等突發(fā)情況。這些場地問題包括：電力中斷供電部門因各種原因長時間的中斷；電信中斷各種原因造成的通信線路破壞；戰(zhàn)爭、地震、火災、水災等造成機房毀壞或不

11、可用等。這些災難性事件會直接造成業(yè)務的中斷，甚至造成數據丟失等，會造成相當程度的社會影響和經濟影響。通過容災系統(tǒng)將這種“場地”故障造成的數據不可用性減到最小。要求災難發(fā)生時，異地容災系統(tǒng)保證：數據在遠程場地存有一致、可用的拷貝，保證數據的安全；應用立即在遠程現場運行，保證業(yè)務的連續(xù)性 。機房監(jiān)控：機房監(jiān)控主要是預防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。設備備份：設備備份用于預防關鍵設備意外損壞。網絡中關鍵網絡設備、服務器應有冗余設計。線路備份：線路備份主要是預防通信線路意外中斷。電源備份：電源備份用于預防電源故障引起的短時電力中斷。2.3.2 網絡安全與系統(tǒng)

12、安全網絡安全與系統(tǒng)安全深層防御：深層防御就是采用層次化保護策略，預防能攻破一層或一類保護的攻擊行為，使之無法破壞整個辦公網絡。要求合理劃分安全域，對每個安全域的邊界和局部計算環(huán)境，以及域之間的遠程訪問，根據需要采用適當的有效保護。8邊界防護：邊界防護用于預防來自本安全域以外的各種惡意攻擊和遠程訪問控制。邊界防護機制有防火墻、入侵檢測、隔離網閘等，實現網絡的安全隔離。網絡防病毒：網絡防病毒用于預防病毒在網絡內傳播、感染和發(fā)作。備份恢復：備份恢復用于意外情況下的數據備份和系統(tǒng)恢復。漏洞掃描：漏洞掃描用于及時發(fā)現操作系統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)以及網絡協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。主機保護

13、：對關鍵的主機，例如數據庫服務器安裝主機保護軟件，對操作系統(tǒng)進行安全加固。安全審計：用于事件追蹤。要求網絡、安全設備和操作系統(tǒng)、數據庫系統(tǒng)有審計功能，同時安裝第三方的安全監(jiān)控和審計系統(tǒng)。2.3.3 應用安全應用安全身份認證：身份認證用于保證身份的真實性。公司網絡中身份認證包括用戶身份認證、管理人員身份認證、操作員身份認證服務器身份認證。鑒于辦公網與互聯(lián)網相連，用戶數量較大的，基于數字證書（CA）的認證體制將是理想的選擇。權限管理：權限管理指對公司辦公網絡中的網絡設備、業(yè)務應用、主機系統(tǒng)的所有操作和訪問權限進行管理，防止非授權訪問和操作。數據完整性：數據完整性指對辦公網絡中存儲、傳輸的數據進行數

14、據完整性保護?？沟仲嚕嚎沟仲嚲褪峭ㄟ^采用數字簽名方法保證當事人行為的不可否認性，建立有效的責任機制，為京唐港公司網絡創(chuàng)造可信的應用環(huán)境。安全審計：各應用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提供相應的審計工具。2.3.4 安全管理安全管理組織建設：安全管理組織建設包括：組織機構、人才隊伍、應急響應9支援體系等的建設。制度建設：安全管理制度建設包括：人員管理制度、機房管理制度、卡機具生產管理制度、設備管理制度、文檔管理制度等的建設。標準建設：安全標準規(guī)范建設包括：數據交換安全協(xié)議、認證協(xié)議、密碼服務接口等標準規(guī)范的建立。安全服務：安全服務包括安全培訓、日常維護、安全評估、安全加固、緊急響應等

15、。技術建設：安全管理技術建設主要指充分利用已有的安全管理技術，利用和開發(fā)相關的安全管理工具，提高安全管理的自動化、智能化水平 。2.4 安全實施方案安全實施方案2.4.1 物理安全防護物理安全防護物理安全是整個系統(tǒng)安全的基礎，要把公司內部局域網系統(tǒng)的安全風險減至最低限度，需要選擇適當的技術和產品，保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。機房建設必須嚴格按照國家標準 GB50173-93電子計算機機房設計規(guī)范 、國標 GB2887-89計算站場地技術條件 、GB9361-88計算站場地安全要求進行建設。通過防盜措

16、施，如裝備報警裝置防止設備被盜；通過對重要設備電源采用UPS 供電防止電源意外斷電中斷服務；通過對重要設備或線路冗余備份保持服務的可持續(xù)性。2.4.2 備份與恢復備份與恢復對于網絡應用實時性要求很高的系統(tǒng)，數據備份措施往往采用服務器的雙機備份。即兩臺服務器同時安裝備份系統(tǒng)，同時在線，互為備份。正常情況下，10由主服務器提供服務，備份服務器處于帶電但不提供服務狀態(tài)，一旦主服務器出現故障，備份服務器自動接管主服務器來提供服務。保證應用服務器能夠提供不間斷的服務。京唐港股份公司應用服務可靠要求較高，而且業(yè)務數據存儲容量會隨著業(yè)務的擴展而增大，并非常重要。為了防止業(yè)務數據的丟失和損壞而影響業(yè)務辦理，或

17、者在數據出現意外事故時無法恢復，必須對數據庫進行備份。根據實際情況可采用 SAN 結構存儲系統(tǒng)，采用磁帶庫進行備份并實現災難恢復。2.4.3 訪問控制訪問控制訪問控制是網絡安全防范和保護最有效手段之一，據統(tǒng)計分析，完善的訪問控制策略可把網絡安全風險降低 90%。網絡的訪問控制技術可以針對網絡協(xié)議、目標對象以及通訊端口等進行過濾和檢驗，符合條件才通過，不符合條件的則被丟棄。系統(tǒng)訪問控制可以針對具體的一個文件或目錄授權給指定的人員相應的權限，受派者在試圖訪問相應信息時，需要驗證身份、判別權限后才能進行訪問。訪問控制的主要任務是保證網絡資源不被非法使用和非法訪問。訪問控制技術是保證網絡安全最重要的核

18、心策略之一。訪問控制策略可以采用三層交換設備 VLAN 技術、ACL 技術、綁定技術等，使得不同部門、不同組別、不同用戶之間的網絡訪問達到有效的控制；也可以通過在不同網絡安全域之間加裝防火墻等安全設備，利用防火墻的控制策略達到網絡訪問控制的目的。2.4.4 系統(tǒng)安全系統(tǒng)安全系統(tǒng)安全包括數據庫安全和操作系統(tǒng)安全，下面分別闡述。數據庫安全數據庫存放了整個網絡中的重要數據，為此需要建立一套有效的安全機制。加強數據庫系統(tǒng)登陸權限管理，加強管理員登陸口令的管理以及數據庫遠程訪問權限的管理，對數據庫采用備份與恢復機制。同時對重要的涉密系統(tǒng)應選用11經國家主管部門批準使用的安全數據庫，或者對數據庫進行安全增

19、強改造、加固。數據庫具體安全要求：1、用戶角色的管理這是保護數據庫系統(tǒng)安全的重要手段之一。把網絡中使用數據庫的用戶設置為不同的用戶組并對用戶組的安全屬性進行驗證，有效地防止非法的用戶進入數據庫系統(tǒng)；在數據庫中，可以通過授權對用戶的操作進行限制，即允許一些用戶對數據庫服務器進行訪問，具有讀寫整個數據庫的權利，而大多數用戶只能在同組內進行讀寫或對整個數據庫只具有讀的權利。在此，特別強調對系統(tǒng)管理員和安全管理員兩個特殊賬戶的保密管理。2、數據保護數據庫的數據保護主要是數據庫的備份，當計算機的軟硬件發(fā)生故障時，利用備份進行數據庫恢復，以恢復破壞的數據庫文件、控制文件或其他文件。另一種數據保護是日志，數

20、據庫實例都提供日志，用以記錄數據庫中所進行的各種操作，包括修改、調整參數等，并在數據庫內部建立一個所有作業(yè)的完整記錄。再一個就是控制文件的備份，一般用于存儲數據庫物理結構的狀態(tài)，控制文件中的某些狀態(tài)信息在實例恢復和介質恢復期間用于引導數據庫，在實際操作時，需要為網絡的數據庫分別指定相應的備份策略。操作系統(tǒng)安全目前用戶辦公計算機采用操作系統(tǒng)還主要基于 Windows 平臺。其自身安全需要得到關注，即在日常工作中必須注意對操作系統(tǒng)進行必要的防護。如：1、定期維護：及時安裝漏洞補丁，定期進行完整性檢查、配置檢查、病毒檢查和漏洞掃描。2、使用權限控制：用戶權限、口令安全。3、遠程訪問安全：進行基本的安

21、全配置。122.4.5 網段劃分與虛擬局域網網段劃分與虛擬局域網網段劃分主要是對 IP 地址進行合理的規(guī)劃和分配。為確保辦公網中各子網以及用戶之間的互聯(lián)互通和便于部署網絡安全基礎設施，保證網絡正常、安全運行，需要合理規(guī)劃、分配外網各部門的 IP 地址。網段劃分的方法可以采用各個部門或機構劃分網段，重要的服務器設備劃分單獨的網段，以便監(jiān)控網絡關鍵設備的安全。虛擬局域網可有效地解決廣播風暴、廣播攻擊、充分利用網絡帶寬資源。結合訪問控制列表功能，可以極大地增強辦公網的安全性，防止網絡內用戶對系統(tǒng)相關信息的非授權訪問。辦公網可按各個職能來劃分 VLAN，如將領導所在的網絡單獨作為一個 Leader V

22、LAN (LVLAN )，技術人員劃分為一個VLAN，工作人員劃分為一個 VLAN，而其它機構分別劃作一個 VLAN。其共享服務器（如 EMAIL 服務器、DNS 服務器、WEB 服務器等）單獨劃作一個VLAN (MVLAN)。其他服務器如數據庫服務器劃為 Data VLAN。2.4.6 辦公網整體安全建議辦公網整體安全建議根據以上的安全風險分析、需求分析和京唐港公司的具體情況，建議從以下方面考慮進行安全方面的部署：終端防護終端防護A. 在系統(tǒng)內所有客戶端部署統(tǒng)一管理的企業(yè)級防病毒系統(tǒng)企業(yè)級防病毒系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見的計算機癱瘓、網絡阻塞等安

23、全問題。B.在系統(tǒng)內所有客戶端部署統(tǒng)一管理的終端安全防護系統(tǒng)。終端安全防護系統(tǒng)。通過終端安全防護系統(tǒng)的統(tǒng)一部署，可以京唐港公司安全管理制度提供有利的技術保障措施，保障終端的系統(tǒng)安全和終端的安全管理。C.在中心部署身份認證登陸系統(tǒng)身份認證登陸系統(tǒng)，終端必須通過身份認證才能進入，避免非法進入。邊界的防護邊界的防護13A. 通過防火墻防火墻系統(tǒng)的部署，可以根據不同的安全要求，設置不同的安全區(qū)域，來限制不同信任度區(qū)域之間的相互訪問，保護各關鍵應用服務器系統(tǒng)免受網絡上的非法訪問和惡意攻擊，可以在服務器區(qū)的前端增加一臺防火墻設備。B.通過入侵檢測入侵檢測系統(tǒng)的部署，幫助系統(tǒng)對付網絡攻擊，擴展系統(tǒng)管理員的安

24、全管理能力，提高信息安全基礎結構的完整性。服務器的防護服務器的防護A. 與客戶端一起，在系統(tǒng)內所有服務器部署統(tǒng)一管理的企業(yè)級防病毒企業(yè)級防病毒系統(tǒng)系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務器免受病毒的感染和傳播。這可以解決常見的服務器癱瘓、信息資產丟失等安全問題，為服務器病毒防護提供有效的安全保障。B. 與客戶端一起，在系統(tǒng)內所有服務器部署統(tǒng)一管理的終端安全防護終端安全防護系統(tǒng)系統(tǒng)。通過終端安全防護系統(tǒng)的統(tǒng)一部署，為服務器提供訪問控制、系統(tǒng)的安全、補丁的有效管理、和為服務器的安全管理提供技術保障措施。C. 服務器安全加固服務器安全加固，對關鍵服務器進行安全加固，保證服務器的安全使用和穩(wěn)固。系

25、統(tǒng)安全防護系統(tǒng)安全防護A. 在辦公網系統(tǒng)上部署漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)，可以隨時的對網絡內的所有終端、服務器、數據庫系統(tǒng)進行掃描，以發(fā)現安全隱患。B. 在系統(tǒng)當中部署安全強審計系統(tǒng)安全強審計系統(tǒng)。根據用戶的安全策略制定詳細的審計保護規(guī)則，對整個網絡和主機中違反安全策略的行為進行阻斷，并向管理中心報警。系統(tǒng)整體安全體系結構圖見圖系統(tǒng)整體安全體系結構圖見圖 1：14WEB服務器郵件服務器病毒服務器INTERNET出出口口生生產產系系統(tǒng)統(tǒng)區(qū)區(qū)辦辦公公系系統(tǒng)統(tǒng)區(qū)區(qū)入侵檢測系統(tǒng)安全審計系統(tǒng)KVM審計服務器網管工作站舊舊辦辦公公區(qū)區(qū)各各個個樓樓層層交交換換入侵檢測系統(tǒng)入侵檢測系統(tǒng)公公共共系系統(tǒng)統(tǒng)區(qū)區(qū)入侵檢

26、測系統(tǒng)網網絡絡管管理理區(qū)區(qū)圖 1： 系統(tǒng)整體安全體系結構示意圖2.4.7 防火墻實施方案防火墻實施方案2.4.7.1實施原則實施原則（1） 整體性安全防范體系的建立和多層保護的相互配合；實現技術、產品選型、質量保證與技術服務的統(tǒng)一。（2） 先進性安全技術先進；安全產品成熟；安全系統(tǒng)技術生命的周期適度。（3） 可用性安全系統(tǒng)本身的可用性；安全管理友好，并于其他系統(tǒng)管理的有效集成；避免造成網絡系統(tǒng)結構的復雜；15盡量降低對原有網絡系統(tǒng)的性能影響和不影響應用業(yè)務的開展。（4） 擴充性安全系統(tǒng)能適應客戶網絡和業(yè)務應用需求的變化而變化；安全系統(tǒng)遵循標準，系統(tǒng)的變化易實現、易修改、易擴充。2.4.7.2實

27、施策略實施策略采取核心保護策略，盡可能的以最小的投資達到最大的安全防護。采用可以提供集中管理控制的產品，同時要求考慮產品適應性可擴展性，以適應網絡擴展的需要。產品在使用上應具有友好的用戶界面，使用戶在管理、使用、維護上盡量簡單、直觀。建立層次化的防護體系和管理體系。2.4.7.3防火墻系統(tǒng)部署防火墻系統(tǒng)部署從京唐港公司網絡結構和功能劃分上，可以看出，辦公網中的服務器區(qū)域是很重要的安全區(qū)域，這些服務器承載著整個公司全部網絡功能的需求，對網絡安全系數的要求很高，一旦重要服務器遭到攻擊破壞，將對整個公司的業(yè)務產生非常大的影響，所以可以在服務器交換機與核心交換機的連接中設置防火墻設備，根據用戶設定的安

28、全規(guī)則，在保護內部網絡安全的前提下，提供內外網絡通信，是必不可少的安全防御措施?？刂茝耐饩W區(qū)到安全服務區(qū)的訪問，確保允許的訪問才能夠進行，而其他未經過允許的行為全部被禁止；限制安全服務區(qū)對非安全服務區(qū)的直接訪問；防火墻有效記錄區(qū)域之間的訪問日志，為出現安全問題時提供備查資料；具體配置情況如圖 1 所示，在網絡邊界處部署一臺防火墻作為網絡系統(tǒng)與Internet 連接的第一道安全防護，通過防火墻提供的功能來達到訪問控制的目的；另外，在各個系統(tǒng)區(qū)的出口處也部署一臺防火墻，用來保證各個區(qū)域的安全，制定不同的安全策略，實現對重要服務器系統(tǒng)的防護和訪問控制。162.4.7.4防火墻安全策略防火墻安全策略針

29、對公司辦公局域網的具體情況，我們建議制定以下的安全策略：安全區(qū)域隔離策略由于網絡安全的整體性要求，為了使網絡系統(tǒng)達到一定的安全水平，必須保證對網絡中各部分都采取了均衡的保護措施，但對于公司整個辦公網來說都采用相同的手段是不可能也沒有必要的，本辦公網可以采用的方法是根據網絡不同部分的重要性劃分為不同的安全區(qū)域，并著重對其中重要的安全區(qū)域進行隔離和保護。建議采用防火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點是各服務器區(qū)域與辦公網內用戶區(qū)域之間的連接。訪問控制策略防火墻被部署后，將根據實際應用需要定義適當的安全策略，針對源地址、目的地址、網絡協(xié)議、服務、時間、帶寬等條件的實現訪問控制，確保不同網絡

30、區(qū)域之間的授權、有序訪問，特別是防止互聯(lián)網中非法用戶的訪問或一些惡意的攻擊。例如，服務器區(qū)域防火墻上可制定如下安全策略：- 允許業(yè)務相關的用戶區(qū)域主機訪問本區(qū)域服務器的特定端口，拒絕其他任何訪問請求，這樣可以保護服務器系統(tǒng)不受非法入侵和攻擊；- 缺省規(guī)則應該是拒絕一切訪問。 本次項目我們將在實施的過程中，根據網絡的真實環(huán)境和應用系統(tǒng)數據交互的實際需要，來制定詳細的訪問控制策略?；驹瓌t是開放最少端口。作為區(qū)域邊界保護的準則，防火墻的訪問控制策略與業(yè)務的一致性是保證系統(tǒng)訪問控制策略是否得到實施的關鍵，因此對防火墻訪問控制策略的定期檢查和調整是區(qū)域邊界保護中要注意的問題。用戶認證和授權策略選擇一種

31、既方便實用又具備足夠安全性的用戶認證機制，通過防火墻實現對網絡用戶身份的可靠鑒別和訪問授權管理，防止非法人員盜用合法用戶的網絡地址來假冒合法用戶訪問關鍵資源，同時也便于針對實際用戶進行行為審計。17帶寬管理策略我們可以依據應用需要來限制流量，來調整鏈路的帶寬利用?？梢栽诜阑饓χ兄苯蛹虞d控制策略，為比較重要的訪問定義可用的最大帶寬和優(yōu)先級，確保為重要的應用預留足夠的帶寬進行數據交換。我們還可以定義任意兩個網絡對象之間通信時的最大帶寬。例如，通過防火墻的帶寬管理，可為內部網絡的重要用戶如領導、網絡管理人員等定義進行網絡通信時的最大帶寬和優(yōu)先級，而且?guī)挿峙淇梢允欠謱拥?，例如部門帶寬下面有小組帶寬然

32、后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。日志和審計策略一個安全防護體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調整安全策略。進行信息審計的前提是必須有足夠的多的日志信息。防火墻系統(tǒng)提供了強大的日志功能，可對重要關鍵資源的使用情況進行有效的監(jiān)控，實現日志的分級管理、自動報表、自動報警功能，用戶可以根據需要對不同的通訊內容記錄不同的日志，包括會話日志（主要描述通訊的時間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令，執(zhí)行了那些

33、操作） 。用戶可以根據需要記錄不同的日志，從而為日志分析、事后追蹤提供更多的依據。同時，產生的日志能夠以多種方式導出，有利于網絡內部署的安全集中管理平臺進行統(tǒng)一的管理。2.4.7.5防火墻選型防火墻選型由于將各個系統(tǒng)按照區(qū)域化分進行分別防護，在總出口處已經部署一臺高性能千兆防火墻，根據流量及應用實際分析，在辦公系統(tǒng)和生產系統(tǒng)處可分別部署一臺千兆防火墻，考慮到部分有可能系統(tǒng)采用 VPN 設備，所以可以選擇帶VPN 功能模塊的防火墻。產品功能：功能類別功能項功能細項18工作模式路由、透明、混合支持基于流、數據包、透明代理的過濾方式。支持對 HTTP、SMTP、POP3、FTP 等協(xié)議的深度內容過濾

34、。支持 URL 過濾支持對移動代碼如 Java applet、Active-X、VBScript、Jscript、Java script的過濾支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾支持對郵件主題、正文、收發(fā)件人、附件名、附件內容等關鍵字匹配過濾內容過濾動態(tài)端口支持協(xié)議：FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP。對通過的數據進行在線過濾，查殺郵件正文附件、網頁及下載文件中包含的病毒，病毒庫更新提供快速掃描及完全掃描兩種掃描方式防病毒系統(tǒng)狀態(tài)實時監(jiān)控基于狀態(tài)檢測的動態(tài)包過濾實現基于源/目的 IP 地址、源/目的 MAC 地址、源/目

35、的端口、協(xié)議、時間等數據包快速過濾支持報文合法性檢查包過濾可實現 IP/MAC 綁定非法報文攻擊：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof統(tǒng)計型報文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweepTopsec 聯(lián)動：可與支持 TOPSEC 協(xié)議的 IDS 設備聯(lián)動，以提高入侵檢測效率。端口阻斷：可以根據數據包的來源和數據包的特征進行阻斷設置防御攻擊SYN 代理：對來自定義區(qū)域的 Syn Flood 攻擊行為進行阻斷過濾支持使用一次性口令認證

36、（OTP）、本地認證、雙因子認證（SecureID）以及數字證書（CA）等常用的安全認證方式支持使用第三方認證如 RADIUS、TACACS/TACACS+、LDAP、域認證等安全認證方式支持 Session 認證、HTTP 會話認證支持認證?；罟δ蹵AA 服務可將認證用戶信息加密存放在本地數據庫支持雙向 NAT支持動態(tài)地址轉換和靜態(tài)地址轉換支持多對一、一對多和一對一等多種方式的地址轉換網絡安全性NAT支持虛擬服務器功能支持靜態(tài)路由、動態(tài)路由網絡適應性路由支持基于源/目的地址、接口、Metric 的策略路由19支持單臂路由，可通過單臂模式接入網絡，并提供路由轉發(fā)功能。支持 Vlan 路由，能夠

37、在不同的 VLAN 虛接口間實現路由功能。支持 RIP、OSPF 等路由協(xié)議。支持 IGMP 組播協(xié)議支持 IGMP SNOOPING組播可有效地實現視頻會議等多媒體應用支持與交換機的 Trunk 接口對接，并且能夠實現 Vlan 間通過安全設備傳播路由支持 802.1Q，能進行 802.1Q 的封裝和解封支持 ISL，能進行 ISL 的封裝和解封VLAN在同一個 Vlan 內能進行二層交換生成樹支持 802.1D 生成樹協(xié)議，包括 PVST+及 CST 等協(xié)議。支持 ARP 代理、ARP 學習ARP可設置靜態(tài) ARP非 IP 協(xié)議支持對非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。D

38、HCP支持 DHCP Client、DHCP Relay、DHCP Server支持 ADSL 接入功能，可滿足中小企業(yè)的多種接入需求。接入支持 PPPOE 撥號接入支持網絡時鐘協(xié)議 SNTP，可以自動根據 NTP 服務器的時鐘調整本機時間其它支持 IPX、NetBEUI 等非 IP 協(xié)議。支持基于標準 IKE 協(xié)商的 VPN 通信隧道支持多種 IKE 認證方式，如預共享密鑰，數字證書等IKE支持 IKE 擴展認證，如 Radius 認證等。支持網關到網關、遠程移動用戶到網關的 VPN 隧道在具有 SCM 的解決方案中，支持靈活的移動用戶到移動用戶的隧道。解決方案可以和密碼機產品，遠程客戶端產

39、品及 VPN 安全管理系統(tǒng)（SCM）共同組成完整的 VPN 解決方案。支持 3DES、DES、國密辦等加密算法支持標準 MD5、SHA-1 認證算法算法支持加密卡提供的 MD5、SHA-1 認證算法支持 HUB-SPOKE 方式支持網狀連接方式工作模式支持分級的樹狀連接方式支持網絡鄰居（利用 WINS）支持隧道的 NAT 穿越支持對隧道內明文的訪問控制VPN其它功能可同時支持明密傳輸支持 Welf、Syslog 等多種日志格式的輸出支持通過第三方軟件來查看日志支持日志分級安全管理日志支持對接收到的日志進行緩沖存儲20通過安全審計系統(tǒng)（TA-L），可獲得更詳盡的日志分析和審計功能,并能提供員工上

40、網行為管理功能?？蛇x高級日志審計功能模塊，除接受防火墻日志外還能接受交換機、路由器、操作系統(tǒng)、應用系統(tǒng)和其他安全產品的日志進行聯(lián)合分析。支持網絡接口監(jiān)測、CPU 利用率監(jiān)測、內存使用率監(jiān)測、操作系統(tǒng)狀況監(jiān)測、網絡狀況監(jiān)測、硬件系統(tǒng)監(jiān)測、進程監(jiān)測、進程內存監(jiān)測、加密卡狀況監(jiān)測。監(jiān)控可根據配置文件進行錯誤恢復報警事件：內置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯”、“測試”等多種觸發(fā)報警的事件類報警報警方式：采用郵件、NETBIOS、聲音、SNMP、控制臺等多種報警方式，報警方式可以組合使用。QOS 帶寬管理根據 IP、協(xié)議、網絡接口、時間定義帶寬分配策略支持最小保證帶

41、寬和最大限制帶寬QoS支持分層的帶寬管理優(yōu)先級支持 8 級優(yōu)先級控制支持雙機熱備雙機熱備支持系統(tǒng)故障切換支持服務器的負載均衡，提供輪詢、加權輪叫、最少連接、加權最少鏈接等多種負載均衡方式供用戶選擇。負載均衡支持生成樹協(xié)議，可實現鏈路負載均衡。支持鏈路備份功能支持雙系統(tǒng)引導，當主系統(tǒng)損壞時，可以啟用備用系統(tǒng)，不影響設備的正常使用帶寬管理其它功能支持 Watchdog 功能支持 WEB 圖形配置、命令行配置支持本地配置、遠程配置配置方式支持基于 SSH、SSL 的安全配置支持配置命令分級保護支持中英文命令行支持命令超時、歷史命令、命令補齊、命令幫助、命令錯誤提示等功能支持 SNMP 的 v1 、v

42、2 、v2c 、v3 版本SNMP與當前通用的網絡管理平臺兼容，如 HP Openview 等。支持雙系統(tǒng)升級支持遠程維護和系統(tǒng)升級系統(tǒng)升級支持 TFTP 升級提供強大的報文調試功能，可以幫助網絡管理員或安全管理員發(fā)現、調試和解決問題。報文調試支持發(fā)送虛擬報文配置管理配置恢復可以進行配置文件的備份、下載、刪除、恢復和上載。21其它擴展能力開放式的架構支持未來方便擴展防病毒、防垃圾郵件、IPSEC VPN、SSL VPN 等功能以及各種 VPN 加速卡2.4.7.6技術參數技術參數1.1000M 光纖接口2；2.并發(fā)連接數50 萬；3.VLAN 支持：支持 802.1q；4.流量管理：支持帶寬管

43、理和優(yōu)先級控制；5.支持 IP 與 MAC 地址綁定；6.支持 HTTP、STMP、POP3、FTP、SOCKS 代理；7.支持抗 DOS、端口掃描、特洛伊木馬等攻擊；8.支持基于 H.323 的視頻會議和 VOIP 語音系統(tǒng)。2.4.8 入侵檢測系統(tǒng)實施方案入侵檢測系統(tǒng)實施方案2.4.8.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)是屬于主動防御，它識別大量的攻擊模式、并根據用戶策略做出響應。入侵檢測系統(tǒng)以實時性、動態(tài)檢測和主動防御為特點，有效彌補了其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng)，已經成為網絡安全系統(tǒng)的必備設施。網絡入侵檢測系統(tǒng)可以對整個網絡進行檢測和防御，通常由控制中心和探測

44、引擎兩部分組成。探測引擎一般采用專用硬件設備通過旁路方式接入檢測網絡。探測引擎全面?zhèn)陕牼W絡信息流，動態(tài)監(jiān)視網絡上流過的所有數據包，進行檢測和實時分析，從而實時甚至提前發(fā)現非法或異常行為，并且執(zhí)行告警、阻斷等功能，并記錄相應的事件日志?？刂浦行氖敲嫦蛴脩簦峁┕芾砼渲檬褂?。它支持控制多個位于本地或遠程的探測引擎，集中制定和配置監(jiān)控策略，提供統(tǒng)一的數據管理。對發(fā)現入侵或異常行為，入侵檢測系統(tǒng)控制中心能記錄、顯示詳細的入侵告警信息，如入侵主機的 IP 地址、攻擊特征等。通過對所記錄的歷史報警信息22進行分類統(tǒng)計，可形成用戶所需要的管理報表。2.4.8.2入侵檢測技術入侵檢測技術高性能報文捕獲高性能報

45、文捕獲DMADMA 和零拷貝技術和零拷貝技術IDS 作為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。目前，由于網絡自身的發(fā)展非常迅速，一般的網絡局域網主干交換帶寬速度由 10/100M 的網絡發(fā)展到 1000M，給 IDS 帶來了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測系統(tǒng)一般基于簡單的模式匹配實現，在百兆滿負荷的網絡環(huán)境中工作已經相當吃力，而網絡帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 IDS 增加 10 倍的處理能力，因此網絡的發(fā)展，提出了千兆或更高性能 IDS 的需求。而高性能入侵檢測的一個重要瓶頸就在于高速的報文捕獲和批量處理分析。為了提高報文捕獲的效率，通過修改網卡驅動程序，使用

46、 DMA 和數據零拷貝技術零拷貝技術，大大提高了效率，如下圖所示：DMA 和數據零拷貝技術和傳統(tǒng)入侵檢測報文捕獲技術的比較零拷貝技術省略了 TCP/IP 堆棧的處理，直接將網卡通過 DMA 直接數據傳輸將報文數據傳遞到了 IDS 系統(tǒng)可以訪問的空間，大大減少了傳統(tǒng)方式中因為上下文切換和數據拷貝而帶來的系統(tǒng)開銷，使用了零拷貝技術之后，系統(tǒng)的捕包效率大大提高，測試結果是在能夠在 1.4G 的 CPU 下，捕獲 100 萬/秒報文時，CPU 占用率還低于 10%。這種效率完全可以滿足在千兆高速環(huán)境下入侵檢測分析。23支撐平臺結構和系統(tǒng)優(yōu)化支撐平臺結構和系統(tǒng)優(yōu)化對于整體結構的優(yōu)化有助于進一步提高 ID

47、S 系統(tǒng)引擎的速度。1. 并行處理在雙 CPU 并行處理機上，通過使用多線程，使得我們可以將多個報文同時進行處理，為了減少同步帶來的代價，使用報文的預分析，然后根據預分析的結果進行任務分配，將一個報文的所有分析和匹配工作都交給一個工作線程去處理，多個線程可以同時并行處理多個報文。2. 使用匯編語言實現關鍵處理通過使用匯編語言可以大大減少使用高級語言帶來的冗余代碼，在核心的關鍵處理上如模式集合的匹配上使用匯編語言實現能夠大大提高效率。3. 優(yōu)化內存分配算法經過分析在 IDS 系統(tǒng)中，會大量的使用內存的分配和釋放操作，如果，實現中都通過系統(tǒng)的分配釋放函數來實現會大大影響系統(tǒng)的處理速度。通過使用簡化

48、而且合理的內存分配算法，能夠使這部分的代價減少。通過精簡運行的操作系統(tǒng)，使用優(yōu)化程序技術也是提高入侵檢測的性能的必要條件，同時保證了入侵檢測產品的自身安全性。基于狀態(tài)的全面協(xié)議分析基于狀態(tài)的全面協(xié)議分析協(xié)議分析模塊完成 IDS 系統(tǒng)引擎中主要的分析工作，對于一個報文在引擎的處理過程中，報文：分析：匹配1：1：N，這就是說一個報文需要經過一次分析，再和 N 條規(guī)則進行匹配之后產生事件。如果能夠通過更準確的分析，減少匹配的工作，就能夠最終提高整個 IDS 系統(tǒng)的處理效率。因此協(xié)議分析的準確性和效率對于整個系統(tǒng)的處理效率影響非常大。這部分包括兩個大的方面：提高協(xié)議分析的速度提高協(xié)議分析的速度1.基于

49、狀態(tài)的協(xié)議分析網絡中通訊的報文一般都不是孤立的，而是在一系列的報文通訊之中的，也就是說是有一定的報文前后上下文的。通過基于狀態(tài)的協(xié)議分析，能夠大大提高解析的準確度，同時對于不同報文采用不同的少量分析的方式，從而也提高了協(xié)議分析的速度。242.運用多種算法進行解析在報文的分析過程，采用多種算法來提高協(xié)議解析的速度，比如使用高速樹型匹配算法、HASH 算法等等。提高協(xié)議分析的效果提高協(xié)議分析的效果采用兩種方法提高協(xié)議解析的效果：直接產生協(xié)議分析中確定的事件和更深入的協(xié)議分析。1.直接產生協(xié)議分析中確定的事件通過在協(xié)議分析模塊中直接產生事件，從而減少在匹配規(guī)則模塊中規(guī)則集的規(guī)模，如：RFC 協(xié)議確定

50、的事件和異常事件：如 FLOOD 攻擊，從而提高整個報文的處理速度。2.更深入的協(xié)議分析更深入的協(xié)議解析提高了規(guī)則集中規(guī)則的匹配準確性，比如縮小一次字符串匹配在報文中搜索范圍，從而節(jié)省時間，提高規(guī)則匹配的效率。樹型規(guī)則和匹配算法樹型規(guī)則和匹配算法前面已經提到，報文：分析：匹配1：1：N 的關系。一個報文需要跟多條規(guī)則進行比較，這需要大量的運算，占用許多的 CPU 時間。通過三個方法去提高其效率：協(xié)議規(guī)則子集、規(guī)則樹和快速模式集合匹配。1.協(xié)議規(guī)則子集協(xié)議規(guī)則子集是通過將規(guī)則集合中的規(guī)則按照其所屬的協(xié)議分成許多小的子集，而一個報文只與其相關的協(xié)議規(guī)則子集中的規(guī)則進行匹配，從而大大減少實際一個報文

51、進行匹配的規(guī)則數量，減少匹配時間。2.規(guī)則樹將線性規(guī)則匹配方式改造成為樹型規(guī)則匹配方式，就必須構造規(guī)則樹。通過規(guī)則樹，我們可以很容易在匹配過程中淘汰掉不可能的規(guī)則,減少重復判斷的次數,并實現將一個協(xié)議變量的多個取值放到一起（形成取值集合）進行判斷，大大的提高了比較效率。3.快速模式集合匹配由于在一個報文的匹配中，最為耗時的匹配運算是在報文中匹配一個字符串模式，通過快速模式集合匹配算法來提高這部分匹配的效率?？焖倨ヅ湟馕?5著能夠盡可能快的在一個正文串中查找到一個模式串的存在，這是通過提高匹配時移動模式的距離實現的；集合匹配意味著同時快速的對多個模式進行匹配。二者的結合就是在一個報文中快速的匹配

52、多個模式。準確的特征分析和規(guī)范描述準確的特征分析和規(guī)范描述解決入侵檢測的漏報和誤報現象還依賴于準確的特征提取和描述，在所應用的特征全面采用了如下兩種特征分析方法和統(tǒng)一的規(guī)范化語言描述?；诼┒礄C理的特征分析基于漏洞機理的特征分析利用漏洞機理的方法來提取和定義特征，可以實現檢測和具體攻擊工具的無關性，特別對于防止新型變種的攻擊和攻擊工具改造非常有效?；诠暨^程的特征分析基于攻擊過程的特征分析攻擊過程分析法則是完全站在攻擊者的角度，破析完整的攻擊過程，可以判斷攻擊是處在攻擊嘗試階段還是已經攻擊成功。2.4.8.3入侵檢測系統(tǒng)部署入侵檢測系統(tǒng)部署本方案中分別在公共區(qū)域、生產系統(tǒng)區(qū)域、辦公系統(tǒng)區(qū)域部

53、署一套入侵檢測系統(tǒng)，部署示意圖如圖 1 所示，公共系統(tǒng)的入侵檢測引擎與核心交換機相連，辦公系統(tǒng)、生產系統(tǒng)的入侵檢測系統(tǒng)與該區(qū)域的交換機相連，分別針對不同的需求，對各個子網的入侵進行檢測和防護。2.4.8.4入侵檢測系統(tǒng)選型入侵檢測系統(tǒng)選型本方案中按照三個區(qū)域分別采用三套入侵檢測系統(tǒng)，可以在生產系統(tǒng)、辦公系統(tǒng)區(qū)域和公共區(qū)域各采用一套千兆入侵檢測引擎，另外，在核心交換機處部署一套高性能千兆入侵檢測系統(tǒng)，實時監(jiān)控各個子網網絡傳輸狀態(tài)，自動檢測可疑行為，及時發(fā)現來自網絡外部或內部的攻擊，并可以實時響應，切斷攻擊方的連接，同時還可以與防火墻緊密結合，產生聯(lián)動，彌補了防火墻的訪問控制不嚴密的問題。另外，根

54、據網絡網絡部署結構，可以將核心處選擇為帶子控功能的入侵檢測系統(tǒng)，當在部署結構改變后可以作為中心節(jié)點使用。配合探測引擎，管理中心安裝于一臺服務器上，控制中心面向用戶，提供管理配置之26用?？刂浦行氖莻€高性能的管理系統(tǒng)，它能控制位于本地或遠程的多個網絡探測引擎的活動，集中制定和配置策略，提供統(tǒng)一的數據管理。管理控制中心可以被設置為主、子結構，主管理控制中心可以實時接收、轉發(fā)子控制中心的告警信息，分類提取子控制中心的日志信息，下發(fā)各種配置文件、策略供子控對其所屬網絡探測引擎進行配置。2.4.8.5入侵檢測系統(tǒng)功能入侵檢測系統(tǒng)功能完善的管理控制體系完善的管理控制體系多層分級管理多層分級管理所選入侵檢測

55、系統(tǒng)的管理控制中心可靈活設置成與行政業(yè)務管理流程緊密結合的集中監(jiān)控、多層管理的分級體系。通過策略下發(fā)機制，使上級部門能夠統(tǒng)一全網的安全防護策略；通過信息上傳機制，使上級部門能夠及時了解和監(jiān)控全網的安全狀態(tài)。靈活的更新和版本升級靈活的更新和版本升級所選入侵檢測系統(tǒng)支持手動和自動的特征更新和版本升級，也可以在分級管理體系下由主控統(tǒng)一來完成。所選入侵檢測系統(tǒng)的探測引擎同時支持通過USB 口進行升級。全局預警全局預警在所選入侵檢測系統(tǒng)的多層分級管理體系下，可以實現把單點發(fā)生的重要事件自動預警到其它管理區(qū)域，使得各級管理員對于可能發(fā)生的重要安全事件具有提前的預警提示。利用全局預警通道，各級管理員也可以發(fā)

56、送交互信息，交流對安全事件的處理經驗。嚴格的權限管理嚴格的權限管理所選入侵檢測系統(tǒng)可以設定多種分類權限供不同的人員使用，支持更為嚴格的多鑒別身份認證方式。同時在產品部署上支持事件監(jiān)測、事件分析以及管理配置分布部署，從物理角度保證管理安全。時鐘同步機制時鐘同步機制所選入侵檢測系統(tǒng)支持 NTP 服務進行時間同步，保證跨時區(qū)的部署條件下27也能保持管理時間的一致性。支持多報警顯示臺支持多報警顯示臺所選入侵檢測系統(tǒng)提供了良好的多點監(jiān)測機制，允許掛接多個報警顯示中心，方便多個管理人員進行有效的報警觀測。數據庫維護管理數據庫維護管理所選入侵檢測系統(tǒng)提供強大的數據庫維護管理功能，可以對歷史數據進行自動、手動

57、的備份、刪除操作，還可以導入歷史的備份數據?？蓴U展到入侵管理可擴展到入侵管理入侵檢測全面支持入侵管理，實現多種安全產品：漏洞掃描、主機入侵檢測的統(tǒng)一管理和協(xié)同關聯(lián)。全面的入侵檢測能力全面的入侵檢測能力多種技術結合防止漏報多種技術結合防止漏報1. 采用引擎高速捕包技術保證滿負荷的報文捕獲；2. 采用的高速樹型匹配技術實現了一次匹配多個規(guī)則的模式，檢測效率得以成倍的量級提高；3. 采用了 IP 碎片重組、TCP 流重組以及特殊應用編碼解析等多種方式，應對躲避 IDS 檢測的手法，如：WHISKER、FRAGROUTE 等攻擊方式；4. 采用預制漏洞機理分析方法定義特征，對未知攻擊方式和變種攻擊也能

58、及時報警；5. 采用行為關聯(lián)分析技術，可以發(fā)現基于組合行為的復雜攻擊；多種措施降低誤報多種措施降低誤報1. 基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹，保證特征匹配的準確性；2. 基于攻擊過程的分析方法定義特征，可以識別攻擊的狀態(tài)，提供不同級別的事件報警信息；3. 通過采集和關聯(lián)攻擊發(fā)送方和被攻擊目標的信息，可以成功或失敗的攻擊事件給出明確標識。4. 通過支持入侵管理，可以結合漏洞掃描結果來評估威脅的風險級別。28多種機制限制濫報多種機制限制濫報1. 內置狀態(tài)檢測機制，可以識別和處理類似“STICK”等的反 IDS攻擊，有效地避免了事件風暴的產生；2. 提供多種可選的統(tǒng)計合并技術，可以對同一事件采用合并上

59、報，減少報警量。可擴展的響應和聯(lián)動可擴展的響應和聯(lián)動所選入侵檢測系同應具有豐富的可擴展事件響應方式， 包括屏幕顯示日志記錄TCP KILLER 阻斷支持郵件方式遠程報警、聲音以及自定義程序報警支持向網管發(fā)送 SNMP TRAP 信息可以充分實現和第三方安全產品以及網絡設備的策略響應聯(lián)動。防火墻聯(lián)動:通過聯(lián)動通訊標準的支持，防火墻業(yè)界主流的產品可以實現和入侵系統(tǒng)的聯(lián)動，對外部發(fā)起的攻擊行為進行阻斷。交換機聯(lián)動：可以根據策略制定動態(tài)關閉相應的交換機端口，可以防止蠕蟲類事件的攻擊擴散，進行內網安全防護。多樣化的日志分析報告多樣化的日志分析報告可以為管理人員和入侵檢測分析員提供了不同類型的日志分析手段

60、和報告輸出。為管理人員提供了常用的周期性統(tǒng)計報表類型模版，管理人員可以直接利用，得出管理性的安全結論。為入侵檢測分析員提供了多種缺省分析模版，根據這些模版可以獲得多種分類的事件日志信息和統(tǒng)計排名。入侵檢測系統(tǒng)提供了多樣化的日志過濾查詢條件，用戶可以進行自主定義習慣的查詢模式，進行有效的日志分析查詢。報表可以導出為多種常用格式（WORDEXCEL） ，并設置郵件定時發(fā)送報告功能。2.4.8.6檢測性能指標檢測性能指標攻擊特征流采用統(tǒng)一的 100 種標準的不同攻擊樣本，目標機器配置多種網29絡服務。網絡背景流量采用專用發(fā)包設備來制造，以背景流量為基準，測試入侵檢測系統(tǒng)在不同的流量環(huán)境（包長）和不同

61、連接背景下的檢測能力。 千兆引擎的性能指標如下：302.4.8.7技術參數技術參數1.1 個標準 1000Base-SX(SC)接口（可擴展） ；至少 3 個標準10/100/1000BaseTX 接口；2.MTBF9 萬小時；3.IP 碎片重組500,000，4.最大檢測 TCP 會話數：800,000 ，5.檢測流量：1G。2.4.9 漏洞掃描系統(tǒng)實施方案漏洞掃描系統(tǒng)實施方案配備一套漏洞掃描系統(tǒng)按要求就要以實現對內部計算機、網絡設備、安全設備等進行安全性掃描、評估。為管理員、安全維護人員提供詳細的脆弱性信息和安全建議。漏洞掃描器通過確定目標設備的系統(tǒng)狀態(tài)，用于對網絡設備和主機進行脆弱性分析

62、。2.4.9.1實施目的實施目的由于防火墻固有的局限性和目前對入侵檢測系統(tǒng)的逃避技術，網絡安全性的提高還需要有漏洞掃描系統(tǒng)，它是要實現對內部計算機、網絡設備、安全設備等進行安全性掃描、評估。為管理員、安全維護人員提供詳細的脆弱性信息和安全建議。通過部署漏洞掃描系統(tǒng)主要為了達到如下的目的：掃描分析網絡系統(tǒng)，檢測和發(fā)現網絡系統(tǒng)中安全薄弱環(huán)節(jié)。準確而全面地報告網絡存在的脆弱性和漏洞。檢測并報告掃描目標的相關信息以及對外提供的服務。根據用戶需要生成各種分析報告。312.4.9.2實施策略實施策略根據目前情況分析采取全網掃描策略；當網絡規(guī)模增大后，特別是分為多級網絡結構后可以采用分布式部署策略，其功能組

63、件可以部署在不同主機上，控制中心同時管理多個掃描引擎，不同的掃描引擎負責對不同網段的系統(tǒng)進行掃描檢測，顯示中心和報表中心可匯總顯示各掃描引擎的掃描結果信息。2.4.9.3漏洞掃描系統(tǒng)部署漏洞掃描系統(tǒng)部署由于漏洞掃描系統(tǒng)為軟件產品，而且是定期或不定期使用，無需專門提供計算機來安裝?？梢园惭b在網絡中配置較高的任意一臺計算機上即可對全網相關設備進行掃描。但是本網絡結構中由于部分需要重點防護，并且部分應用不可以跨網段，安全性要求也不盡相同，所以可以在三個區(qū)域分別部署一套漏洞掃描系統(tǒng)，制定不同的掃描策略，有針對性的進行漏洞掃描，另外也可以采用分布式單級部署方式，將不同掃描引擎安裝在不同的區(qū)域，然后進行統(tǒng)

64、一管理。單個系統(tǒng)部署示意圖如下：路由器核心交換機防火墻IDS樓層交換機工作站工作站工作站服務器區(qū)掃描主機安安全全性性分分析析報報告告：系系統(tǒng)統(tǒng)版版本本太太低低：高高風風險險管管理理員員口口令令永永不不過過期期：中中風風險險開開放放NFS等等無無關關服服務務：低低風風險險32圖 2：漏洞掃描系統(tǒng)部署示意圖2.4.9.4漏洞掃描系統(tǒng)選型漏洞掃描系統(tǒng)選型漏洞掃描系統(tǒng)一般為軟件產品，本方案選用帶三個掃描器的漏洞掃描系統(tǒng)，分別對公共區(qū)域，生產系統(tǒng)區(qū)、辦公系統(tǒng)區(qū)進行部署，根據不同級別和策略的掃描采用不同的安全防護手段。三個掃描器可以安裝在三個子網中的任意一臺機器上，建議安裝在應用服務器上，然后統(tǒng)一由管理中

65、心管理。2.4.9.5漏洞掃描系統(tǒng)功能特點漏洞掃描系統(tǒng)功能特點分布式管理分布式管理分布管理、集中分析分布管理、集中分析各掃描引擎可以按不同的掃描策略同時進行多網絡系統(tǒng)的漏洞檢測，并將檢測結果集中顯示、集中分析。多級管理多級管理對于擁有不同地域、大規(guī)模網絡的用戶，各個地域的網絡安全管理員管理著本地域的網絡安全狀況，其上層的安全管理員可以上傳檢測結果、下達檢測策略、統(tǒng)一管理、統(tǒng)一分析、統(tǒng)一升級；實現大規(guī)模網絡環(huán)境下的全局風險控制、降低管理成本。京唐港公司日后規(guī)模擴大可以采用此種方式。策略管理策略管理為用戶提供多種掃描策略，用戶可根據實際需求來選擇合適的策略。同時，靈活的策略自定義功能可以讓用戶根據

66、特殊需要更改和編輯掃描策略。應用特定配置的策略，用戶能實現不同內容、不同級別、不同程度、不同層次的掃描。掃描計劃定制掃描計劃定制產品應支持掃描計劃任務，可根據用戶自定義的掃描計劃來完成掃描任務，掃描任務可以按照不同時間類型（如每周、每月等）制定多個，分別自動執(zhí)行，系統(tǒng)還支持計劃有效期的設定。掃描功能掃描功能可識別的掃描對象能夠準確的識別各種操作系統(tǒng)和主機名稱，如 Win95/98/Me、Windows 33NT、Windows 2000/XP、Windows2003、Linux、Solaris、SCO Unix、HP Unix、IBM AIX、IRIX、BSD 等。可以掃描的對象包括各種服務器、工作站、網絡打印機以及相應的網絡設備如：3Com 交換機、CISCO 路由器、Checkpoint Firewall、HP 打印機、Cisco PIX Firewall 等?？梢蕴峁呙鑼ο蟮馁~戶信息，便于檢查是否異常賬戶出現。掃描漏洞分類掃描漏洞分類Windows 系統(tǒng)漏洞、WEB 應用漏洞、CGI 應用漏洞、FTP 類漏洞、DNS、后門類、網絡設備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、