網(wǎng)絡(luò)安全建設(shè)實(shí)施方案.doc

《網(wǎng)絡(luò)安全建設(shè)實(shí)施方案.doc》由會(huì)員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全建設(shè)實(shí)施方案.doc（89頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、1 京唐港股份有限公司京唐港股份有限公司 網(wǎng)網(wǎng)絡(luò)絡(luò)安全建安全建設(shè)實(shí)設(shè)實(shí)施方案施方案 二二 OO 七年二月七年二月 2 目錄目錄 1概述概述.3 2網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè).3 2.1安全現(xiàn)狀分析.3 2.2安全風(fēng)險(xiǎn)分析.4 2.2.1物理安全4 2.2.2網(wǎng)絡(luò)安全與系統(tǒng)安全4 2.2.3應(yīng)用安全5 2.2.4安全管理5 2.3安全需求分析.6 2.3.1物理安全需求分析6 2.3.2網(wǎng)絡(luò)安全與系統(tǒng)安全7 2.3.3應(yīng)用安全7 2.3.4安全管理8 2.4安全實(shí)施方案.8 2.4.1物理安全防護(hù)8 2.4.2備份與恢復(fù)9 2.4.3訪問控制9 2.4.4系統(tǒng)安全9 2.4.5網(wǎng)段劃分與虛

2、擬局域網(wǎng)11 2.4.6辦公網(wǎng)整體安全建議11 2.4.7防火墻實(shí)施方案13 2.4.8入侵檢測(cè)系統(tǒng)實(shí)施方案20 2.4.9漏洞掃描系統(tǒng)實(shí)施方案29 2.4.10身份認(rèn)證系統(tǒng)實(shí)施方案33 2.4.11安全審計(jì)系統(tǒng)實(shí)施方案39 2.4.12防病毒系統(tǒng)實(shí)施方案43 3異地網(wǎng)接入安全建設(shè)異地網(wǎng)接入安全建設(shè).55 3.1接入方式選擇.56 3.2安全性分析.57 3.3兩種方式優(yōu)勢(shì)特點(diǎn).57 3.4VPN 原理介紹58 3.5VPN 的選型63 3.6財(cái)務(wù)系統(tǒng)安全防護(hù).66 4機(jī)房設(shè)備集中監(jiān)控管理機(jī)房設(shè)備集中監(jiān)控管理.66 4.1.1設(shè)備及應(yīng)用系統(tǒng)管理現(xiàn)狀66 4.1.2建立機(jī)房集中控制管理系統(tǒng)需求6

3、6 4.1.3集中控制管理系統(tǒng)方案實(shí)現(xiàn)67 4.1.4功能特點(diǎn)68 4.2監(jiān)控顯示系統(tǒng).68 4.2.1投影顯示系統(tǒng)68 3 4.2.2等離子顯示系統(tǒng)68 5網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)管理中心.69 5.1.1建立網(wǎng)絡(luò)管理中心需求69 5.1.2網(wǎng)絡(luò)管理功能實(shí)現(xiàn)69 6桌面管理及補(bǔ)丁分發(fā)中心桌面管理及補(bǔ)丁分發(fā)中心.72 6.1.1建立桌面管理中心需求72 6.1.2桌面管理功能實(shí)現(xiàn)74 7網(wǎng)絡(luò)設(shè)備升級(jí)網(wǎng)絡(luò)設(shè)備升級(jí).81 4 1 概述概述 京唐港股份有限公司辦公大樓網(wǎng)絡(luò)信息系統(tǒng)目前剛剛投入使用，主要包括 新建大廈、舊辦公區(qū)辦公網(wǎng)絡(luò)以及部分省市辦事處專網(wǎng)，該套網(wǎng)絡(luò)與 Internet 互聯(lián)，將要實(shí)現(xiàn)整個(gè)業(yè)務(wù)

4、系統(tǒng)的辦公自動(dòng)化，包括業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)存儲(chǔ)備 份、文件共享、對(duì)外宣傳等，同時(shí)還要為員工相關(guān)業(yè)務(wù)應(yīng)用及學(xué)習(xí)提供便利的 上網(wǎng)條件；所以該網(wǎng)絡(luò)既是辦公系統(tǒng)的承載體，也是威脅風(fēng)險(xiǎn)的承受體，在公 司規(guī)模日漸壯大的今天，網(wǎng)絡(luò)規(guī)模也相應(yīng)的在不斷的擴(kuò)大，相關(guān)的配套網(wǎng)絡(luò)及 安全設(shè)備雖然具有較新的技術(shù)和功能，但還不足以抵御紛繁復(fù)雜的互聯(lián)網(wǎng)的威 脅，整個(gè)網(wǎng)絡(luò)的安全也需要做相應(yīng)的增強(qiáng)防護(hù)，另外從設(shè)備及應(yīng)用的管理角度 來看，可以采取一些智能和高效的管理手段及措施，在保障業(yè)務(wù)正常運(yùn)行了同 時(shí)，保證系統(tǒng)的安全可靠，減少和簡(jiǎn)化安全管理，提高系統(tǒng)工作效率。 本方案將著重從安全系統(tǒng)的整體建設(shè)及相應(yīng)的一些網(wǎng)絡(luò)管理手段上具體分 析

5、，并提出可行性的實(shí)施方案，把目前在使用過程中遇到的一些問題解決并防 患于未然，同時(shí)為用戶提供一整套安全及網(wǎng)絡(luò)管理措施，把公司網(wǎng)絡(luò)建設(shè)成為 一個(gè)符合業(yè)務(wù)需求、安全可靠、容易管理操作的高質(zhì)量的辦公網(wǎng)絡(luò)。 2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè) 2.1 安全現(xiàn)狀分析安全現(xiàn)狀分析 京唐港股份有限公司依托于京唐港整體規(guī)劃建設(shè)和發(fā)展，將承載著越來越 多的港口業(yè)務(wù)等工作，特別是隨著信息化辦公的進(jìn)一步深入，自動(dòng)化辦公的便 利和效率可以說是公司發(fā)展壯大的必要手段；但是京唐港股份有限公司辦公大 樓是整個(gè)公司信息的核心地帶，不但為本地員工及另外一個(gè)園區(qū)的業(yè)務(wù)人員提 供各種辦公應(yīng)用服務(wù)，而且在各地已經(jīng)或是將要成立辦事處

6、，實(shí)現(xiàn)遠(yuǎn)程辦公， 并且各個(gè)位置和部門的業(yè)務(wù)需求又不盡相同，在這種網(wǎng)絡(luò)結(jié)構(gòu)較為龐大，多層 次、多應(yīng)用的網(wǎng)絡(luò)中，安全是一項(xiàng)很重要的任務(wù)和保證措施。 目前，該網(wǎng)絡(luò)已經(jīng)建設(shè)完成，安全手段主要在網(wǎng)絡(luò)邊界處采取了防火墻， 5 在整個(gè)網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)版殺毒軟件和網(wǎng)管軟件，其他安全措施主要是依靠個(gè) 人的安全意識(shí)和行為；現(xiàn)階段，全網(wǎng)已經(jīng)爆發(fā)了多次病毒感染等問題，一定程 度上影響了辦公的效率，所以有必要進(jìn)一步從技術(shù)角度完善安全系統(tǒng)。 2.2 安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)分析 2.2.1 物理安全物理安全 物理安全層面存在下述威脅和風(fēng)險(xiǎn)形式： 機(jī)房毀壞：由于戰(zhàn)爭(zhēng)、自然災(zāi)害、意外事故造成機(jī)房毀壞，大部分設(shè) 備損壞。 線路中斷

7、：因線路中斷，造成系統(tǒng)不能正常工作。 電力中斷：因電力檢修、線路或設(shè)備故障造成電力中斷。 設(shè)備非正常毀壞：因盜竊、人為故意破壞造成設(shè)備毀壞。 設(shè)備正常損壞：設(shè)備軟 、硬件故障，造成設(shè)備不能正常工作。 存貯媒體損壞：因溫度 、濕度或其他原因，各種數(shù)據(jù)存儲(chǔ)媒體不能正 常使用。 2.2.2 網(wǎng)絡(luò)安全與系統(tǒng)安全網(wǎng)絡(luò)安全與系統(tǒng)安全 互聯(lián)網(wǎng)安全隱患：互聯(lián)網(wǎng)會(huì)帶來的越權(quán)訪問、惡意攻擊、病毒入侵等 安全隱患； 搭線竊取的隱患：黑客或犯罪團(tuán)體通過搭線和架設(shè)協(xié)議分析設(shè)備非法 竊取系統(tǒng)信息； 病毒侵襲的隱患：病毒在系統(tǒng)內(nèi)感染、傳播和發(fā)作； 操作系統(tǒng)安全隱患：操作系統(tǒng)可能的后門程序、安全漏洞、安全設(shè)置 不當(dāng)、安全級(jí)別

8、低等，缺乏文件系統(tǒng)的保護(hù)和對(duì)操作的控制，讓各種 攻擊有可乘之機(jī)； 數(shù)據(jù)庫(kù)系統(tǒng)安全隱患：不能實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行情況，數(shù)據(jù)庫(kù) 數(shù)據(jù)丟失、被非法訪問或竊??； 應(yīng)用系統(tǒng)安全隱患：應(yīng)用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等， 6 可能出現(xiàn)非法訪問； 惡意攻擊和非法訪問：拒絕服務(wù)攻擊，網(wǎng)頁(yè)篡改，下載不懷好意的惡 意小程序，對(duì)系統(tǒng)進(jìn)行惡意攻擊，對(duì)系統(tǒng)進(jìn)行非法訪問等。 2.2.3 應(yīng)用安全應(yīng)用安全 身份假冒：缺少?gòu)?qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng) 被假冒身份者闖入； 非授權(quán)訪問：缺少?gòu)?qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系 統(tǒng)被越權(quán)訪問； 數(shù)據(jù)失、泄密：涉密數(shù)據(jù)在處理、傳輸、存儲(chǔ)過程中，

9、被竊取或非授 權(quán)訪問； 數(shù)據(jù)被修改：數(shù)據(jù)在處理、傳輸、存儲(chǔ)過程中被非正常修改和刪除； 否認(rèn)操作：數(shù)據(jù)操作者為逃避責(zé)任而否認(rèn)其操作行為。 2.2.4 安全管理安全管理 安全管理組織不健全：沒有相應(yīng)的安全管理組織，缺少安全管理人員 編制，沒有建立應(yīng)急響應(yīng)支援體系等。 缺乏安全管理手段：不能實(shí)時(shí)監(jiān)控機(jī)房工作、網(wǎng)絡(luò)連接和系統(tǒng)運(yùn)行狀 態(tài)，不能及時(shí)發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件，不能追蹤安全事件等。 人員安全意識(shí)淡?。簾o意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操 作員 IC 卡，私自接入外網(wǎng)，私自拷貝竊取信息，私自安裝程序，不按 操作規(guī)程操作和越權(quán)操作，擅離崗位，沒有交接手續(xù)等，均會(huì)造成安 全隱患。 管理制度不

10、完善：缺乏相應(yīng)的管理制度，人員分工和職責(zé)不明，沒有 監(jiān)督、約束和獎(jiǎng)懲機(jī)制，存在潛在的管理風(fēng)險(xiǎn)。 缺少標(biāo)準(zhǔn)規(guī)范：系統(tǒng)缺乏總體論證，沒有或缺少相關(guān)的標(biāo)準(zhǔn)規(guī)范，各 子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴(kuò)展性不強(qiáng)。 缺乏安全服務(wù)：人員缺少安全培訓(xùn)，系統(tǒng)從不進(jìn)行安全評(píng)估和安全加 固，系統(tǒng)故障不能及時(shí)恢復(fù)等。 7 2.3 安全需求分析安全需求分析 基于上述的安全風(fēng)險(xiǎn)分析，京唐港股份有限公司信息系統(tǒng)必須采取相應(yīng)的 應(yīng)對(duì)措施與手段，形成有效的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力， 為整個(gè)信息系統(tǒng)建立可靠的安全運(yùn)行環(huán)境和安全業(yè)務(wù)系統(tǒng)，切實(shí)保障全公司信 息系統(tǒng)正常、有序、可靠地運(yùn)行。 2.3.1 物理安全需求分析

11、物理安全需求分析 異地容災(zāi)：異地容災(zāi)主要是預(yù)防場(chǎng)地問題帶來的數(shù)據(jù)不可用等突發(fā)情 況。這些場(chǎng)地問題包括：電力中斷供電部門因各種原因長(zhǎng)時(shí)間的 中斷；電信中斷各種原因造成的通信線路破壞；戰(zhàn)爭(zhēng)、地震、火 災(zāi)、水災(zāi)等造成機(jī)房毀壞或不可用等。這些災(zāi)難性事件會(huì)直接造成業(yè) 務(wù)的中斷，甚至造成數(shù)據(jù)丟失等，會(huì)造成相當(dāng)程度的社會(huì)影響和經(jīng)濟(jì) 影響。通過容災(zāi)系統(tǒng)將這種“場(chǎng)地”故障造成的數(shù)據(jù)不可用性減到最 小。要求災(zāi)難發(fā)生時(shí)，異地容災(zāi)系統(tǒng)保證：數(shù)據(jù)在遠(yuǎn)程場(chǎng)地存有一 致、可用的拷貝，保證數(shù)據(jù)的安全；應(yīng)用立即在遠(yuǎn)程現(xiàn)場(chǎng)運(yùn)行，保 證業(yè)務(wù)的連續(xù)性 。 機(jī)房監(jiān)控：機(jī)房監(jiān)控主要是預(yù)防盜竊、人為破壞、私自闖入等情況。 監(jiān)控手段有門禁系

12、統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。 設(shè)備備份：設(shè)備備份用于預(yù)防關(guān)鍵設(shè)備意外損壞。網(wǎng)絡(luò)中關(guān)鍵網(wǎng)絡(luò)設(shè) 備、服務(wù)器應(yīng)有冗余設(shè)計(jì)。 線路備份：線路備份主要是預(yù)防通信線路意外中斷。 電源備份：電源備份用于預(yù)防電源故障引起的短時(shí)電力中斷。 2.3.2 網(wǎng)絡(luò)安全與系統(tǒng)安全網(wǎng)絡(luò)安全與系統(tǒng)安全 深層防御：深層防御就是采用層次化保護(hù)策略，預(yù)防能攻破一層或一 類保護(hù)的攻擊行為，使之無法破壞整個(gè)辦公網(wǎng)絡(luò)。要求合理劃分安全 域，對(duì)每個(gè)安全域的邊界和局部計(jì)算環(huán)境，以及域之間的遠(yuǎn)程訪問， 根據(jù)需要采用適當(dāng)?shù)挠行ПＷo(hù)。 8 邊界防護(hù)：邊界防護(hù)用于預(yù)防來自本安全域以外的各種惡意攻擊和遠(yuǎn) 程訪問控制。邊界防護(hù)機(jī)制有防火墻、入侵檢測(cè)、隔離

13、網(wǎng)閘等，實(shí)現(xiàn) 網(wǎng)絡(luò)的安全隔離。 網(wǎng)絡(luò)防病毒：網(wǎng)絡(luò)防病毒用于預(yù)防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。 備份恢復(fù)：備份恢復(fù)用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復(fù)。 漏洞掃描：漏洞掃描用于及時(shí)發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng) 以及網(wǎng)絡(luò)協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。 主機(jī)保護(hù)：對(duì)關(guān)鍵的主機(jī)，例如數(shù)據(jù)庫(kù)服務(wù)器安裝主機(jī)保護(hù)軟件，對(duì) 操作系統(tǒng)進(jìn)行安全加固。 安全審計(jì)：用于事件追蹤。要求網(wǎng)絡(luò)、安全設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫(kù) 系統(tǒng)有審計(jì)功能，同時(shí)安裝第三方的安全監(jiān)控和審計(jì)系統(tǒng)。 2.3.3 應(yīng)用安全應(yīng)用安全 身份認(rèn)證：身份認(rèn)證用于保證身份的真實(shí)性。公司網(wǎng)絡(luò)中身份認(rèn)證包 括用戶身份認(rèn)證、管理人員身份認(rèn)證、操作員身

14、份認(rèn)證服務(wù)器身份認(rèn) 證。鑒于辦公網(wǎng)與互聯(lián)網(wǎng)相連，用戶數(shù)量較大的，基于數(shù)字證書 （CA）的認(rèn)證體制將是理想的選擇。 權(quán)限管理：權(quán)限管理指對(duì)公司辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、主 機(jī)系統(tǒng)的所有操作和訪問權(quán)限進(jìn)行管理，防止非授權(quán)訪問和操作。 數(shù)據(jù)完整性：數(shù)據(jù)完整性指對(duì)辦公網(wǎng)絡(luò)中存儲(chǔ)、傳輸?shù)臄?shù)據(jù)進(jìn)行數(shù)據(jù) 完整性保護(hù)。 抗抵賴：抗抵賴就是通過采用數(shù)字簽名方法保證當(dāng)事人行為的不可否 認(rèn)性，建立有效的責(zé)任機(jī)制，為京唐港公司網(wǎng)絡(luò)創(chuàng)造可信的應(yīng)用環(huán)境。 安全審計(jì)：各應(yīng)用系統(tǒng)對(duì)各種訪問和操作要有完善的日志記錄，并提 供相應(yīng)的審計(jì)工具。 2.3.4 安全管理安全管理 組織建設(shè)：安全管理組織建設(shè)包括：組織機(jī)構(gòu)、人才隊(duì)伍

15、、應(yīng)急響應(yīng) 9 支援體系等的建設(shè)。 制度建設(shè)：安全管理制度建設(shè)包括：人員管理制度、機(jī)房管理制度、 卡機(jī)具生產(chǎn)管理制度、設(shè)備管理制度、文檔管理制度等的建設(shè)。 標(biāo)準(zhǔn)建設(shè)：安全標(biāo)準(zhǔn)規(guī)范建設(shè)包括：數(shù)據(jù)交換安全協(xié)議、認(rèn)證協(xié)議、 密碼服務(wù)接口等標(biāo)準(zhǔn)規(guī)范的建立。 安全服務(wù)：安全服務(wù)包括安全培訓(xùn)、日常維護(hù)、安全評(píng)估、安全加固、 緊急響應(yīng)等。 技術(shù)建設(shè)：安全管理技術(shù)建設(shè)主要指充分利用已有的安全管理技術(shù)， 利用和開發(fā)相關(guān)的安全管理工具，提高安全管理的自動(dòng)化、智能化水 平 。 2.4 安全實(shí)施方案安全實(shí)施方案 2.4.1 物理安全防護(hù)物理安全防護(hù) 物理安全是整個(gè)系統(tǒng)安全的基礎(chǔ)，要把公司內(nèi)部局域網(wǎng)系統(tǒng)的安全風(fēng)險(xiǎn)減 至

16、最低限度，需要選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其 它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算 機(jī)犯罪行為導(dǎo)致的破壞過程。 機(jī)房建設(shè)必須嚴(yán)格按照國(guó)家標(biāo)準(zhǔn) GB50173-93電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 、 國(guó)標(biāo) GB2887-89計(jì)算站場(chǎng)地技術(shù)條件 、GB9361-88計(jì)算站場(chǎng)地安全要求 進(jìn)行建設(shè)。 通過防盜措施，如裝備報(bào)警裝置防止設(shè)備被盜；通過對(duì)重要設(shè)備電源采用 UPS 供電防止電源意外斷電中斷服務(wù)；通過對(duì)重要設(shè)備或線路冗余備份保持服 務(wù)的可持續(xù)性。 2.4.2 備份與恢復(fù)備份與恢復(fù) 對(duì)于網(wǎng)絡(luò)應(yīng)用實(shí)時(shí)性要求很高的系統(tǒng)，數(shù)據(jù)備份措施往往采用服務(wù)器的雙 機(jī)備

17、份。即兩臺(tái)服務(wù)器同時(shí)安裝備份系統(tǒng)，同時(shí)在線，互為備份。正常情況下， 10 由主服務(wù)器提供服務(wù)，備份服務(wù)器處于帶電但不提供服務(wù)狀態(tài)，一旦主服務(wù)器 出現(xiàn)故障，備份服務(wù)器自動(dòng)接管主服務(wù)器來提供服務(wù)。保證應(yīng)用服務(wù)器能夠提 供不間斷的服務(wù)。 京唐港股份公司應(yīng)用服務(wù)可靠要求較高，而且業(yè)務(wù)數(shù)據(jù)存儲(chǔ)容量會(huì)隨著業(yè) 務(wù)的擴(kuò)展而增大，并非常重要。為了防止業(yè)務(wù)數(shù)據(jù)的丟失和損壞而影響業(yè)務(wù)辦 理，或者在數(shù)據(jù)出現(xiàn)意外事故時(shí)無法恢復(fù)，必須對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份。根據(jù)實(shí)際 情況可采用 SAN 結(jié)構(gòu)存儲(chǔ)系統(tǒng)，采用磁帶庫(kù)進(jìn)行備份并實(shí)現(xiàn)災(zāi)難恢復(fù)。 2.4.3 訪問控制訪問控制 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)最有效手段之一，據(jù)統(tǒng)計(jì)分析，完善的

18、訪 問控制策略可把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降低 90%。網(wǎng)絡(luò)的訪問控制技術(shù)可以針對(duì)網(wǎng)絡(luò)協(xié) 議、目標(biāo)對(duì)象以及通訊端口等進(jìn)行過濾和檢驗(yàn)，符合條件才通過，不符合條件 的則被丟棄。系統(tǒng)訪問控制可以針對(duì)具體的一個(gè)文件或目錄授權(quán)給指定的人員 相應(yīng)的權(quán)限，受派者在試圖訪問相應(yīng)信息時(shí)，需要驗(yàn)證身份、判別權(quán)限后才能 進(jìn)行訪問。訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。訪 問控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 訪問控制策略可以采用三層交換設(shè)備 VLAN 技術(shù)、ACL 技術(shù)、綁定技術(shù)等， 使得不同部門、不同組別、不同用戶之間的網(wǎng)絡(luò)訪問達(dá)到有效的控制；也可以 通過在不同網(wǎng)絡(luò)安全域之間加裝防火墻等安全設(shè)備，

19、利用防火墻的控制策略達(dá) 到網(wǎng)絡(luò)訪問控制的目的。 2.4.4 系統(tǒng)安全系統(tǒng)安全 系統(tǒng)安全包括數(shù)據(jù)庫(kù)安全和操作系統(tǒng)安全，下面分別闡述。 數(shù)據(jù)庫(kù)安全 數(shù)據(jù)庫(kù)存放了整個(gè)網(wǎng)絡(luò)中的重要數(shù)據(jù)，為此需要建立一套有效的安全機(jī)制。 加強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)登陸權(quán)限管理，加強(qiáng)管理員登陸口令的管理以及數(shù)據(jù)庫(kù)遠(yuǎn)程訪 問權(quán)限的管理，對(duì)數(shù)據(jù)庫(kù)采用備份與恢復(fù)機(jī)制。同時(shí)對(duì)重要的涉密系統(tǒng)應(yīng)選用 11 經(jīng)國(guó)家主管部門批準(zhǔn)使用的安全數(shù)據(jù)庫(kù)，或者對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全增強(qiáng)改造、加 固。數(shù)據(jù)庫(kù)具體安全要求： 1、用戶角色的管理 這是保護(hù)數(shù)據(jù)庫(kù)系統(tǒng)安全的重要手段之一。把網(wǎng)絡(luò)中使用數(shù)據(jù)庫(kù)的用戶設(shè) 置為不同的用戶組并對(duì)用戶組的安全屬性進(jìn)行驗(yàn)證，有效地防止非法

20、的用戶進(jìn) 入數(shù)據(jù)庫(kù)系統(tǒng)；在數(shù)據(jù)庫(kù)中，可以通過授權(quán)對(duì)用戶的操作進(jìn)行限制，即允許一 些用戶對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行訪問，具有讀寫整個(gè)數(shù)據(jù)庫(kù)的權(quán)利，而大多數(shù)用戶 只能在同組內(nèi)進(jìn)行讀寫或?qū)φ麄€(gè)數(shù)據(jù)庫(kù)只具有讀的權(quán)利。在此，特別強(qiáng)調(diào)對(duì)系 統(tǒng)管理員和安全管理員兩個(gè)特殊賬戶的保密管理。 2、數(shù)據(jù)保護(hù) 數(shù)據(jù)庫(kù)的數(shù)據(jù)保護(hù)主要是數(shù)據(jù)庫(kù)的備份，當(dāng)計(jì)算機(jī)的軟硬件發(fā)生故障時(shí)， 利用備份進(jìn)行數(shù)據(jù)庫(kù)恢復(fù)，以恢復(fù)破壞的數(shù)據(jù)庫(kù)文件、控制文件或其他文件。 另一種數(shù)據(jù)保護(hù)是日志，數(shù)據(jù)庫(kù)實(shí)例都提供日志，用以記錄數(shù)據(jù)庫(kù)中所進(jìn) 行的各種操作，包括修改、調(diào)整參數(shù)等，并在數(shù)據(jù)庫(kù)內(nèi)部建立一個(gè)所有作業(yè)的 完整記錄。再一個(gè)就是控制文件的備份，一般用于存儲(chǔ)

21、數(shù)據(jù)庫(kù)物理結(jié)構(gòu)的狀態(tài)， 控制文件中的某些狀態(tài)信息在實(shí)例恢復(fù)和介質(zhì)恢復(fù)期間用于引導(dǎo)數(shù)據(jù)庫(kù)，在實(shí) 際操作時(shí)，需要為網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)分別指定相應(yīng)的備份策略。 操作系統(tǒng)安全 目前用戶辦公計(jì)算機(jī)采用操作系統(tǒng)還主要基于 Windows 平臺(tái)。其自身安全 需要得到關(guān)注，即在日常工作中必須注意對(duì)操作系統(tǒng)進(jìn)行必要的防護(hù)。如： 1、定期維護(hù)：及時(shí)安裝漏洞補(bǔ)丁，定期進(jìn)行完整性檢查、配置檢查、病毒 檢查和漏洞掃描。 2、使用權(quán)限控制：用戶權(quán)限、口令安全。 3、遠(yuǎn)程訪問安全：進(jìn)行基本的安全配置。 12 2.4.5 網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分與虛擬局域網(wǎng) 網(wǎng)段劃分主要是對(duì) IP 地址進(jìn)行合理的規(guī)劃和分配。為確保辦公網(wǎng)中各子

22、網(wǎng) 以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)正常、安全 運(yùn)行，需要合理規(guī)劃、分配外網(wǎng)各部門的 IP 地址。網(wǎng)段劃分的方法可以采用各 個(gè)部門或機(jī)構(gòu)劃分網(wǎng)段，重要的服務(wù)器設(shè)備劃分單獨(dú)的網(wǎng)段，以便監(jiān)控網(wǎng)絡(luò)關(guān) 鍵設(shè)備的安全。 虛擬局域網(wǎng)可有效地解決廣播風(fēng)暴、廣播攻擊、充分利用網(wǎng)絡(luò)帶寬資源。 結(jié)合訪問控制列表功能，可以極大地增強(qiáng)辦公網(wǎng)的安全性，防止網(wǎng)絡(luò)內(nèi)用戶對(duì) 系統(tǒng)相關(guān)信息的非授權(quán)訪問。辦公網(wǎng)可按各個(gè)職能來劃分 VLAN，如將領(lǐng)導(dǎo)所 在的網(wǎng)絡(luò)單獨(dú)作為一個(gè) Leader VLAN (LVLAN )，技術(shù)人員劃分為一個(gè) VLAN，工作人員劃分為一個(gè) VLAN，而其它機(jī)構(gòu)分別劃作一個(gè) VLA

23、N。其共 享服務(wù)器（如 EMAIL 服務(wù)器、DNS 服務(wù)器、WEB 服務(wù)器等）單獨(dú)劃作一個(gè) VLAN (MVLAN)。其他服務(wù)器如數(shù)據(jù)庫(kù)服務(wù)器劃為 Data VLAN。 2.4.6 辦公網(wǎng)整體安全建議辦公網(wǎng)整體安全建議 根據(jù)以上的安全風(fēng)險(xiǎn)分析、需求分析和京唐港公司的具體情況，建議從以 下方面考慮進(jìn)行安全方面的部署： 終端防護(hù)終端防護(hù) A. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的企業(yè)級(jí)防病毒系統(tǒng)企業(yè)級(jí)防病毒系統(tǒng)。通過防病 毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見 的計(jì)算機(jī)癱瘓、網(wǎng)絡(luò)阻塞等安全問題。 B.在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的終端安全防護(hù)系統(tǒng)。終端安全防護(hù)系統(tǒng)。通過終端 安全

24、防護(hù)系統(tǒng)的統(tǒng)一部署，可以京唐港公司安全管理制度提供有利 的技術(shù)保障措施，保障終端的系統(tǒng)安全和終端的安全管理。 C.在中心部署身份認(rèn)證登陸系統(tǒng)身份認(rèn)證登陸系統(tǒng)，終端必須通過身份認(rèn)證才能進(jìn)入， 避免非法進(jìn)入。 邊界的防護(hù)邊界的防護(hù) 13 A. 通過防火墻防火墻系統(tǒng)的部署，可以根據(jù)不同的安全要求，設(shè)置不同的安 全區(qū)域，來限制不同信任度區(qū)域之間的相互訪問，保護(hù)各關(guān)鍵應(yīng)用 服務(wù)器系統(tǒng)免受網(wǎng)絡(luò)上的非法訪問和惡意攻擊，可以在服務(wù)器區(qū)的 前端增加一臺(tái)防火墻設(shè)備。 B.通過入侵檢測(cè)入侵檢測(cè)系統(tǒng)的部署，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理 員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 服務(wù)器的防護(hù)服務(wù)器的防護(hù)

25、A. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的企業(yè)級(jí)防病毒企業(yè)級(jí)防病毒 系統(tǒng)系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務(wù)器免受病毒的感 染和傳播。這可以解決常見的服務(wù)器癱瘓、信息資產(chǎn)丟失等安全問 題，為服務(wù)器病毒防護(hù)提供有效的安全保障。 B. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的終端安全防護(hù)終端安全防護(hù) 系統(tǒng)系統(tǒng)。通過終端安全防護(hù)系統(tǒng)的統(tǒng)一部署，為服務(wù)器提供訪問控制、 系統(tǒng)的安全、補(bǔ)丁的有效管理、和為服務(wù)器的安全管理提供技術(shù)保 障措施。 C. 服務(wù)器安全加固服務(wù)器安全加固，對(duì)關(guān)鍵服務(wù)器進(jìn)行安全加固，保證服務(wù)器的安全 使用和穩(wěn)固。 系統(tǒng)安全防護(hù)系統(tǒng)安全防護(hù) A. 在辦公網(wǎng)系統(tǒng)上部

26、署漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)，可以隨時(shí)的對(duì)網(wǎng)絡(luò)內(nèi)的所有終端、 服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行掃描，以發(fā)現(xiàn)安全隱患。 B. 在系統(tǒng)當(dāng)中部署安全強(qiáng)審計(jì)系統(tǒng)安全強(qiáng)審計(jì)系統(tǒng)。根據(jù)用戶的安全策略制定詳細(xì)的審計(jì) 保護(hù)規(guī)則，對(duì)整個(gè)網(wǎng)絡(luò)和主機(jī)中違反安全策略的行為進(jìn)行阻斷，并向管 理中心報(bào)警。 系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖 1： 14 WEB服務(wù)器 郵件服務(wù)器 病毒服務(wù)器 INTERNET 出出 口口 生生 產(chǎn)產(chǎn) 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 辦辦 公公 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 入侵檢測(cè)系統(tǒng) 安全審計(jì)系統(tǒng) KVM 審計(jì)服務(wù)器 網(wǎng)管工作站 舊舊 辦辦 公公 區(qū)區(qū) 各各 個(gè)個(gè) 樓樓 層層 交交 換換 入侵檢測(cè)系統(tǒng)入侵檢

27、測(cè)系統(tǒng) 公公 共共 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 入侵檢測(cè)系統(tǒng) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 管管 理理 區(qū)區(qū) 圖 1： 系統(tǒng)整體安全體系結(jié)構(gòu)示意圖 2.4.7 防火墻實(shí)施方案防火墻實(shí)施方案 2.4.7.1實(shí)施原則實(shí)施原則 （1） 整體性 安全防范體系的建立和多層保護(hù)的相互配合； 實(shí)現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。 （2） 先進(jìn)性 安全技術(shù)先進(jìn)； 安全產(chǎn)品成熟； 安全系統(tǒng)技術(shù)生命的周期適度。 （3） 可用性 安全系統(tǒng)本身的可用性； 安全管理友好，并于其他系統(tǒng)管理的有效集成； 避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜； 15 盡量降低對(duì)原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開展。 （4） 擴(kuò)充性 安全系統(tǒng)能適應(yīng)客戶網(wǎng)絡(luò)和業(yè)務(wù)

28、應(yīng)用需求的變化而變化； 安全系統(tǒng)遵循標(biāo)準(zhǔn)，系統(tǒng)的變化易實(shí)現(xiàn)、易修改、易擴(kuò)充。 2.4.7.2實(shí)施策略實(shí)施策略 采取核心保護(hù)策略，盡可能的以最小的投資達(dá)到最大的安全防護(hù)。 采用可以提供集中管理控制的產(chǎn)品，同時(shí)要求考慮產(chǎn)品適應(yīng)性可擴(kuò)展 性，以適應(yīng)網(wǎng)絡(luò)擴(kuò)展的需要。 產(chǎn)品在使用上應(yīng)具有友好的用戶界面，使用戶在管理、使用、維護(hù)上 盡量簡(jiǎn)單、直觀。 建立層次化的防護(hù)體系和管理體系。 2.4.7.3防火墻系統(tǒng)部署防火墻系統(tǒng)部署 從京唐港公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上，可以看出，辦公網(wǎng)中的服務(wù)器區(qū)域 是很重要的安全區(qū)域，這些服務(wù)器承載著整個(gè)公司全部網(wǎng)絡(luò)功能的需求，對(duì)網(wǎng) 絡(luò)安全系數(shù)的要求很高，一旦重要服務(wù)器遭到攻擊破

29、壞，將對(duì)整個(gè)公司的業(yè)務(wù) 產(chǎn)生非常大的影響，所以可以在服務(wù)器交換機(jī)與核心交換機(jī)的連接中設(shè)置防火 墻設(shè)備，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外 網(wǎng)絡(luò)通信，是必不可少的安全防御措施。 控制從外網(wǎng)區(qū)到安全服務(wù)區(qū)的訪問，確保允許的訪問才能夠進(jìn)行，而 其他未經(jīng)過允許的行為全部被禁止； 限制安全服務(wù)區(qū)對(duì)非安全服務(wù)區(qū)的直接訪問； 防火墻有效記錄區(qū)域之間的訪問日志，為出現(xiàn)安全問題時(shí)提供備查資 料； 具體配置情況如圖 1 所示，在網(wǎng)絡(luò)邊界處部署一臺(tái)防火墻作為網(wǎng)絡(luò)系統(tǒng)與 Internet 連接的第一道安全防護(hù)，通過防火墻提供的功能來達(dá)到訪問控制的目 的；另外，在各個(gè)系統(tǒng)區(qū)的出口處也部署一臺(tái)防

30、火墻，用來保證各個(gè)區(qū)域的安 全，制定不同的安全策略，實(shí)現(xiàn)對(duì)重要服務(wù)器系統(tǒng)的防護(hù)和訪問控制。 16 2.4.7.4防火墻安全策略防火墻安全策略 針對(duì)公司辦公局域網(wǎng)的具體情況，我們建議制定以下的安全策略： 安全區(qū)域隔離策略 由于網(wǎng)絡(luò)安全的整體性要求，為了使網(wǎng)絡(luò)系統(tǒng)達(dá)到一定的安全水平，必須 保證對(duì)網(wǎng)絡(luò)中各部分都采取了均衡的保護(hù)措施，但對(duì)于公司整個(gè)辦公網(wǎng)來說都 采用相同的手段是不可能也沒有必要的，本辦公網(wǎng)可以采用的方法是根據(jù)網(wǎng)絡(luò) 不同部分的重要性劃分為不同的安全區(qū)域，并著重對(duì)其中重要的安全區(qū)域進(jìn)行 隔離和保護(hù)。 建議采用防火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點(diǎn)是各服務(wù) 器區(qū)域與辦公網(wǎng)內(nèi)用戶區(qū)域

31、之間的連接。 訪問控制策略 防火墻被部署后，將根據(jù)實(shí)際應(yīng)用需要定義適當(dāng)?shù)陌踩呗?，針?duì)源地址、 目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時(shí)間、帶寬等條件的實(shí)現(xiàn)訪問控制，確保不同網(wǎng) 絡(luò)區(qū)域之間的授權(quán)、有序訪問，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問或一些惡 意的攻擊。 例如，服務(wù)器區(qū)域防火墻上可制定如下安全策略： - 允許業(yè)務(wù)相關(guān)的用戶區(qū)域主機(jī)訪問本區(qū)域服務(wù)器的特定端口，拒絕其他 任何訪問請(qǐng)求，這樣可以保護(hù)服務(wù)器系統(tǒng)不受非法入侵和攻擊； - 缺省規(guī)則應(yīng)該是拒絕一切訪問。 本次項(xiàng)目我們將在實(shí)施的過程中，根據(jù)網(wǎng)絡(luò)的真實(shí)環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交 互的實(shí)際需要，來制定詳細(xì)的訪問控制策略?；驹瓌t是開放最少端口。作為 區(qū)域邊界保

32、護(hù)的準(zhǔn)則，防火墻的訪問控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問 控制策略是否得到實(shí)施的關(guān)鍵，因此對(duì)防火墻訪問控制策略的定期檢查和調(diào)整 是區(qū)域邊界保護(hù)中要注意的問題。 用戶認(rèn)證和授權(quán)策略 選擇一種既方便實(shí)用又具備足夠安全性的用戶認(rèn)證機(jī)制，通過防火墻實(shí)現(xiàn) 對(duì)網(wǎng)絡(luò)用戶身份的可靠鑒別和訪問授權(quán)管理，防止非法人員盜用合法用戶的網(wǎng) 絡(luò)地址來假冒合法用戶訪問關(guān)鍵資源，同時(shí)也便于針對(duì)實(shí)際用戶進(jìn)行行為審計(jì)。 17 帶寬管理策略 我們可以依據(jù)應(yīng)用需要來限制流量，來調(diào)整鏈路的帶寬利用?？梢栽诜阑?墻中直接加載控制策略，為比較重要的訪問定義可用的最大帶寬和優(yōu)先級(jí)，確 保為重要的應(yīng)用預(yù)留足夠的帶寬進(jìn)行數(shù)據(jù)交換。 我們還可以

33、定義任意兩個(gè)網(wǎng)絡(luò)對(duì)象之間通信時(shí)的最大帶寬。例如，通過防 火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員等定義進(jìn)行 網(wǎng)絡(luò)通信時(shí)的最大帶寬和優(yōu)先級(jí)，而且?guī)挿峙淇梢允欠謱拥模绮块T帶寬 下面有小組帶寬然后是個(gè)人帶寬等，可以防止帶寬被濫用，保證重要的通信的 順暢。 日志和審計(jì)策略 一個(gè)安全防護(hù)體系中的審計(jì)系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài) 的改變歷史、通過該節(jié)點(diǎn)的符合安全策略的訪問和不符合安全策略的企圖，使 管理員可以隨時(shí)審核系統(tǒng)的安全效果、追蹤危險(xiǎn)事件、調(diào)整安全策略。進(jìn)行信 息審計(jì)的前提是必須有足夠的多的日志信息。 防火墻系統(tǒng)提供了強(qiáng)大的日志功能，可對(duì)重要關(guān)鍵資源的使用情況進(jìn)行

34、有 效的監(jiān)控，實(shí)現(xiàn)日志的分級(jí)管理、自動(dòng)報(bào)表、自動(dòng)報(bào)警功能，用戶可以根據(jù)需 要對(duì)不同的通訊內(nèi)容記錄不同的日志，包括會(huì)話日志（主要描述通訊的時(shí)間、 源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了 那些命令，執(zhí)行了那些操作） 。用戶可以根據(jù)需要記錄不同的日志，從而為日志 分析、事后追蹤提供更多的依據(jù)。同時(shí)，產(chǎn)生的日志能夠以多種方式導(dǎo)出，有 利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺(tái)進(jìn)行統(tǒng)一的管理。 2.4.7.5防火墻選型防火墻選型 由于將各個(gè)系統(tǒng)按照區(qū)域化分進(jìn)行分別防護(hù)，在總出口處已經(jīng)部署一臺(tái)高 性能千兆防火墻，根據(jù)流量及應(yīng)用實(shí)際分析，在辦公系統(tǒng)和生產(chǎn)系統(tǒng)處可分別 部署一臺(tái)千兆防火墻，

35、考慮到部分有可能系統(tǒng)采用 VPN 設(shè)備，所以可以選擇帶 VPN 功能模塊的防火墻。 產(chǎn)品功能： 功能類別功能項(xiàng)功能細(xì)項(xiàng) 18 工作模式路由、透明、混合 支持基于流、數(shù)據(jù)包、透明代理的過濾方式。 支持對(duì) HTTP、SMTP、POP3、FTP 等協(xié)議的深度內(nèi)容過濾。 支持 URL 過濾 支持對(duì)移動(dòng)代碼如 Java applet、Active-X、VBScript、Jscript、Java script 的過濾 支持對(duì)郵件的收發(fā)郵件地址、文件名、文件類型過濾 支持對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過 濾 內(nèi)容過濾 動(dòng)態(tài)端口支持協(xié)議： FTP、RTSP、SQL*NET、MMS、R

36、PC(msrpc,dcerpc)、H.323、TFTP。 對(duì)通過的數(shù)據(jù)進(jìn)行在線過濾，查殺郵件正文附件、網(wǎng)頁(yè)及下載文件中包 含的病毒， 病毒庫(kù)更新 提供快速掃描及完全掃描兩種掃描方式 防病毒 系統(tǒng)狀態(tài)實(shí)時(shí)監(jiān)控 基于狀態(tài)檢測(cè)的動(dòng)態(tài)包過濾 實(shí)現(xiàn)基于源/目的 IP 地址、源/目的 MAC 地址、源/目的端口、協(xié)議、時(shí) 間等數(shù)據(jù)包快速過濾 支持報(bào)文合法性檢查 包過濾 可實(shí)現(xiàn) IP/MAC 綁定 非法報(bào)文攻擊：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3 、ipspoof 統(tǒng)計(jì)型報(bào)文攻擊：Synflood、Icmpf

37、lood、Udpflood、Portscan、ipsweep Topsec 聯(lián)動(dòng)：可與支持 TOPSEC 協(xié)議的 IDS 設(shè)備聯(lián)動(dòng)，以提高入侵檢 測(cè)效率。 端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置 防御攻擊 SYN 代理：對(duì)來自定義區(qū)域的 Syn Flood 攻擊行為進(jìn)行阻斷過濾 支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、雙因子認(rèn)證 （SecureID）以及數(shù)字證書（CA）等常用的安全認(rèn)證方式 支持使用第三方認(rèn)證如 RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證 等安全認(rèn)證方式 支持 Session 認(rèn)證、HTTP 會(huì)話認(rèn)證 支持認(rèn)證保活功能 AAA 服務(wù) 可將

38、認(rèn)證用戶信息加密存放在本地?cái)?shù)據(jù)庫(kù) 支持雙向 NAT 支持動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換 支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換 網(wǎng)絡(luò)安全性 NAT 支持虛擬服務(wù)器功能 支持靜態(tài)路由、動(dòng)態(tài)路由 網(wǎng)絡(luò)適應(yīng)性路由 支持基于源/目的地址、接口、Metric 的策略路由 19 支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。 支持 Vlan 路由，能夠在不同的 VLAN 虛接口間實(shí)現(xiàn)路由功能。 支持 RIP、OSPF 等路由協(xié)議。 支持 IGMP 組播協(xié)議 支持 IGMP SNOOPING組播 可有效地實(shí)現(xiàn)視頻會(huì)議等多媒體應(yīng)用 支持與交換機(jī)的 Trunk 接口對(duì)接，并且能夠?qū)崿F(xiàn) Vlan

39、間通過安全設(shè)備傳 播路由 支持 802.1Q，能進(jìn)行 802.1Q 的封裝和解封 支持 ISL，能進(jìn)行 ISL 的封裝和解封 VLAN 在同一個(gè) Vlan 內(nèi)能進(jìn)行二層交換 生成樹支持 802.1D 生成樹協(xié)議，包括 PVST+及 CST 等協(xié)議。 支持 ARP 代理、ARP 學(xué)習(xí) ARP 可設(shè)置靜態(tài) ARP 非 IP 協(xié)議支持對(duì)非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。 DHCP支持 DHCP Client、DHCP Relay、DHCP Server 支持 ADSL 接入功能，可滿足中小企業(yè)的多種接入需求。 接入 支持 PPPOE 撥號(hào)接入 支持網(wǎng)絡(luò)時(shí)鐘協(xié)議 SNTP，可以自動(dòng)

40、根據(jù) NTP 服務(wù)器的時(shí)鐘調(diào)整本機(jī)時(shí) 間其它 支持 IPX、NetBEUI 等非 IP 協(xié)議。 支持基于標(biāo)準(zhǔn) IKE 協(xié)商的 VPN 通信隧道 支持多種 IKE 認(rèn)證方式，如預(yù)共享密鑰，數(shù)字證書等IKE 支持 IKE 擴(kuò)展認(rèn)證，如 Radius 認(rèn)證等。 支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠(yuǎn)程移動(dòng)用戶到網(wǎng)關(guān)的 VPN 隧道 在具有 SCM 的解決方案中，支持靈活的移動(dòng)用戶到移動(dòng)用戶的隧道。 解決方案 可以和密碼機(jī)產(chǎn)品，遠(yuǎn)程客戶端產(chǎn)品及 VPN 安全管理系統(tǒng)（SCM）共 同組成完整的 VPN 解決方案。 支持 3DES、DES、國(guó)密辦等加密算法 支持標(biāo)準(zhǔn) MD5、SHA-1 認(rèn)證算法算法 支持加密卡提供的 MD5

41、、SHA-1 認(rèn)證算法 支持 HUB-SPOKE 方式 支持網(wǎng)狀連接方式工作模式 支持分級(jí)的樹狀連接方式 支持網(wǎng)絡(luò)鄰居（利用 WINS） 支持隧道的 NAT 穿越 支持對(duì)隧道內(nèi)明文的訪問控制 VPN 其它功能 可同時(shí)支持明密傳輸 支持 Welf、Syslog 等多種日志格式的輸出 支持通過第三方軟件來查看日志 支持日志分級(jí) 安全管理日志 支持對(duì)接收到的日志進(jìn)行緩沖存儲(chǔ) 20 通過安全審計(jì)系統(tǒng)（TA-L），可獲得更詳盡的日志分析和審計(jì)功能,并 能提供員工上網(wǎng)行為管理功能。 可選高級(jí)日志審計(jì)功能模塊，除接受防火墻日志外還能接受交換機(jī)、路 由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。

42、支持網(wǎng)絡(luò)接口監(jiān)測(cè)、CPU 利用率監(jiān)測(cè)、內(nèi)存使用率監(jiān)測(cè)、操作系統(tǒng)狀況 監(jiān)測(cè)、網(wǎng)絡(luò)狀況監(jiān)測(cè)、硬件系統(tǒng)監(jiān)測(cè)、進(jìn)程監(jiān)測(cè)、進(jìn)程內(nèi)存監(jiān)測(cè)、加密 卡狀況監(jiān)測(cè)。 監(jiān)控 可根據(jù)配置文件進(jìn)行錯(cuò)誤恢復(fù) 報(bào)警事件：內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、 “容錯(cuò)”、“測(cè)試”等多種觸發(fā)報(bào)警的事件類 報(bào)警 報(bào)警方式：采用郵件、NETBIOS、聲音、SNMP、控制臺(tái)等多種報(bào)警方 式，報(bào)警方式可以組合使用。 QOS 帶寬管理 根據(jù) IP、協(xié)議、網(wǎng)絡(luò)接口、時(shí)間定義帶寬分配策略 支持最小保證帶寬和最大限制帶寬 QoS 支持分層的帶寬管理 優(yōu)先級(jí)支持 8 級(jí)優(yōu)先級(jí)控制 支持雙機(jī)熱備 雙機(jī)熱備 支持系統(tǒng)故障

43、切換 支持服務(wù)器的負(fù)載均衡，提供輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈 接等多種負(fù)載均衡方式供用戶選擇。負(fù)載均衡 支持生成樹協(xié)議，可實(shí)現(xiàn)鏈路負(fù)載均衡。 支持鏈路備份功能 支持雙系統(tǒng)引導(dǎo)，當(dāng)主系統(tǒng)損壞時(shí)，可以啟用備用系統(tǒng)，不影響設(shè)備的 正常使用 帶寬管理 其它功能 支持 Watchdog 功能 支持 WEB 圖形配置、命令行配置 支持本地配置、遠(yuǎn)程配置配置方式 支持基于 SSH、SSL 的安全配置 支持配置命令分級(jí)保護(hù) 支持中英文 命令行 支持命令超時(shí)、歷史命令、命令補(bǔ)齊、命令幫助、命令錯(cuò)誤提示等功能 支持 SNMP 的 v1 、v2 、v2c 、v3 版本 SNMP 與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容

44、，如 HP Openview 等。 支持雙系統(tǒng)升級(jí) 支持遠(yuǎn)程維護(hù)和系統(tǒng)升級(jí)系統(tǒng)升級(jí) 支持 TFTP 升級(jí) 提供強(qiáng)大的報(bào)文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào) 試和解決問題。報(bào)文調(diào)試 支持發(fā)送虛擬報(bào)文 配置管理 配置恢復(fù)可以進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載。 21 其它擴(kuò)展能力 開放式的架構(gòu)支持未來方便擴(kuò)展防病毒、防垃圾郵件、IPSEC VPN、SSL VPN 等功能以及各種 VPN 加速卡 2.4.7.6技術(shù)參數(shù)技術(shù)參數(shù) 1.1000M 光纖接口2； 2.并發(fā)連接數(shù)50 萬； 3.VLAN 支持：支持 802.1q； 4.流量管理：支持帶寬管理和優(yōu)先級(jí)控制； 5.支持 I

45、P 與 MAC 地址綁定； 6.支持 HTTP、STMP、POP3、FTP、SOCKS 代理； 7.支持抗 DOS、端口掃描、特洛伊木馬等攻擊； 8.支持基于 H.323 的視頻會(huì)議和 VOIP 語音系統(tǒng)。 2.4.8 入侵檢測(cè)系統(tǒng)實(shí)施方案入侵檢測(cè)系統(tǒng)實(shí)施方案 2.4.8.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 入侵檢測(cè)系統(tǒng)是屬于主動(dòng)防御，它識(shí)別大量的攻擊模式、并根據(jù)用戶策略 做出響應(yīng)。入侵檢測(cè)系統(tǒng)以實(shí)時(shí)性、動(dòng)態(tài)檢測(cè)和主動(dòng)防御為特點(diǎn)，有效彌補(bǔ)了 其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng)，已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)的必 備設(shè)施。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行檢測(cè)和防御，通常由控制中心和探 測(cè)引擎兩

46、部分組成。探測(cè)引擎一般采用專用硬件設(shè)備通過旁路方式接入檢測(cè)網(wǎng) 絡(luò)。探測(cè)引擎全面?zhèn)陕牼W(wǎng)絡(luò)信息流，動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，進(jìn)行 檢測(cè)和實(shí)時(shí)分析，從而實(shí)時(shí)甚至提前發(fā)現(xiàn)非法或異常行為，并且執(zhí)行告警、阻 斷等功能，并記錄相應(yīng)的事件日志?？刂浦行氖敲嫦蛴脩?，提供管理配置使用。 它支持控制多個(gè)位于本地或遠(yuǎn)程的探測(cè)引擎，集中制定和配置監(jiān)控策略，提供 統(tǒng)一的數(shù)據(jù)管理。 對(duì)發(fā)現(xiàn)入侵或異常行為，入侵檢測(cè)系統(tǒng)控制中心能記錄、顯示詳細(xì)的入侵 告警信息，如入侵主機(jī)的 IP 地址、攻擊特征等。通過對(duì)所記錄的歷史報(bào)警信息 22 進(jìn)行分類統(tǒng)計(jì)，可形成用戶所需要的管理報(bào)表。 2.4.8.2入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 高性能

47、報(bào)文捕獲高性能報(bào)文捕獲 DMADMA 和零拷貝技術(shù)和零拷貝技術(shù) IDS 作為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。目前，由于網(wǎng) 絡(luò)自身的發(fā)展非常迅速，一般的網(wǎng)絡(luò)局域網(wǎng)主干交換帶寬速度由 10/100M 的網(wǎng) 絡(luò)發(fā)展到 1000M，給 IDS 帶來了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般基 于簡(jiǎn)單的模式匹配實(shí)現(xiàn)，在百兆滿負(fù)荷的網(wǎng)絡(luò)環(huán)境中工作已經(jīng)相當(dāng)吃力，而網(wǎng) 絡(luò)帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 IDS 增加 10 倍的處 理能力，因此網(wǎng)絡(luò)的發(fā)展，提出了千兆或更高性能 IDS 的需求。而高性能入侵 檢測(cè)的一個(gè)重要瓶頸就在于高速的報(bào)文捕獲和批量處理分析。 為了提高報(bào)文捕獲

48、的效率，通過修改網(wǎng)卡驅(qū)動(dòng)程序，使用 DMA 和數(shù)據(jù)零 拷貝技術(shù)零拷貝技術(shù)，大大提高了效率，如下圖所示： DMA 和數(shù)據(jù)零拷貝技術(shù)和傳統(tǒng)入侵檢測(cè)報(bào)文捕獲技術(shù)的比較 零拷貝技術(shù)省略了 TCP/IP 堆棧的處理，直接將網(wǎng)卡通過 DMA 直接數(shù)據(jù)傳 輸將報(bào)文數(shù)據(jù)傳遞到了 IDS 系統(tǒng)可以訪問的空間，大大減少了傳統(tǒng)方式中因?yàn)?上下文切換和數(shù)據(jù)拷貝而帶來的系統(tǒng)開銷，使用了零拷貝技術(shù)之后，系統(tǒng)的捕 包效率大大提高，測(cè)試結(jié)果是在能夠在 1.4G 的 CPU 下，捕獲 100 萬/秒報(bào)文時(shí)， CPU 占用率還低于 10%。這種效率完全可以滿足在千兆高速環(huán)境下入侵檢測(cè)分 析。 23 支撐平臺(tái)結(jié)構(gòu)和系統(tǒng)優(yōu)化支撐平臺(tái)

49、結(jié)構(gòu)和系統(tǒng)優(yōu)化 對(duì)于整體結(jié)構(gòu)的優(yōu)化有助于進(jìn)一步提高 IDS 系統(tǒng)引擎的速度。 1. 并行處理 在雙 CPU 并行處理機(jī)上，通過使用多線程，使得我們可以將多個(gè)報(bào)文同時(shí) 進(jìn)行處理，為了減少同步帶來的代價(jià)，使用報(bào)文的預(yù)分析，然后根據(jù)預(yù)分析的 結(jié)果進(jìn)行任務(wù)分配，將一個(gè)報(bào)文的所有分析和匹配工作都交給一個(gè)工作線程去 處理，多個(gè)線程可以同時(shí)并行處理多個(gè)報(bào)文。 2. 使用匯編語言實(shí)現(xiàn)關(guān)鍵處理 通過使用匯編語言可以大大減少使用高級(jí)語言帶來的冗余代碼，在核心的 關(guān)鍵處理上如模式集合的匹配上使用匯編語言實(shí)現(xiàn)能夠大大提高效率。 3. 優(yōu)化內(nèi)存分配算法 經(jīng)過分析在 IDS 系統(tǒng)中，會(huì)大量的使用內(nèi)存的分配和釋放操作，如果

50、，實(shí) 現(xiàn)中都通過系統(tǒng)的分配釋放函數(shù)來實(shí)現(xiàn)會(huì)大大影響系統(tǒng)的處理速度。通過使用 簡(jiǎn)化而且合理的內(nèi)存分配算法，能夠使這部分的代價(jià)減少。 通過精簡(jiǎn)運(yùn)行的操作系統(tǒng)，使用優(yōu)化程序技術(shù)也是提高入侵檢測(cè)的性能的 必要條件，同時(shí)保證了入侵檢測(cè)產(chǎn)品的自身安全性。 基于狀態(tài)的全面協(xié)議分析基于狀態(tài)的全面協(xié)議分析 協(xié)議分析模塊完成 IDS 系統(tǒng)引擎中主要的分析工作，對(duì)于一個(gè)報(bào)文在引擎 的處理過程中，報(bào)文：分析：匹配1：1：N，這就是說一個(gè)報(bào)文需要經(jīng)過一 次分析，再和 N 條規(guī)則進(jìn)行匹配之后產(chǎn)生事件。如果能夠通過更準(zhǔn)確的分析， 減少匹配的工作，就能夠最終提高整個(gè) IDS 系統(tǒng)的處理效率。因此協(xié)議分析的 準(zhǔn)確性和效率對(duì)于整

51、個(gè)系統(tǒng)的處理效率影響非常大。這部分包括兩個(gè)大的方面： 提高協(xié)議分析的速度提高協(xié)議分析的速度 1.基于狀態(tài)的協(xié)議分析 網(wǎng)絡(luò)中通訊的報(bào)文一般都不是孤立的，而是在一系列的報(bào)文通訊之中的， 也就是說是有一定的報(bào)文前后上下文的。通過基于狀態(tài)的協(xié)議分析，能夠大大 提高解析的準(zhǔn)確度，同時(shí)對(duì)于不同報(bào)文采用不同的少量分析的方式，從而也提 高了協(xié)議分析的速度。 24 2.運(yùn)用多種算法進(jìn)行解析 在報(bào)文的分析過程，采用多種算法來提高協(xié)議解析的速度，比如使用高 速樹型匹配算法、HASH 算法等等。 提高協(xié)議分析的效果提高協(xié)議分析的效果 采用兩種方法提高協(xié)議解析的效果：直接產(chǎn)生協(xié)議分析中確定的事件和 更深入的協(xié)議分析。

52、1.直接產(chǎn)生協(xié)議分析中確定的事件 通過在協(xié)議分析模塊中直接產(chǎn)生事件，從而減少在匹配規(guī)則模塊中規(guī)則集 的規(guī)模，如：RFC 協(xié)議確定的事件和異常事件：如 FLOOD 攻擊，從而提高整 個(gè)報(bào)文的處理速度。 2.更深入的協(xié)議分析 更深入的協(xié)議解析提高了規(guī)則集中規(guī)則的匹配準(zhǔn)確性，比如縮小一次字 符串匹配在報(bào)文中搜索范圍，從而節(jié)省時(shí)間，提高規(guī)則匹配的效率。 樹型規(guī)則和匹配算法樹型規(guī)則和匹配算法 前面已經(jīng)提到，報(bào)文：分析：匹配1：1：N 的關(guān)系。一個(gè)報(bào)文需要跟多 條規(guī)則進(jìn)行比較，這需要大量的運(yùn)算，占用許多的 CPU 時(shí)間。通過三個(gè)方法去 提高其效率：協(xié)議規(guī)則子集、規(guī)則樹和快速模式集合匹配。 1.協(xié)議規(guī)則子集

53、 協(xié)議規(guī)則子集是通過將規(guī)則集合中的規(guī)則按照其所屬的協(xié)議分成許多小 的子集，而一個(gè)報(bào)文只與其相關(guān)的協(xié)議規(guī)則子集中的規(guī)則進(jìn)行匹配，從而大大 減少實(shí)際一個(gè)報(bào)文進(jìn)行匹配的規(guī)則數(shù)量，減少匹配時(shí)間。 2.規(guī)則樹 將線性規(guī)則匹配方式改造成為樹型規(guī)則匹配方式，就必須構(gòu)造規(guī)則樹。通 過規(guī)則樹，我們可以很容易在匹配過程中淘汰掉不可能的規(guī)則,減少重復(fù)判斷的 次數(shù),并實(shí)現(xiàn)將一個(gè)協(xié)議變量的多個(gè)取值放到一起（形成取值集合）進(jìn)行判斷， 大大的提高了比較效率。 3.快速模式集合匹配 由于在一個(gè)報(bào)文的匹配中，最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配一個(gè)字符 串模式，通過快速模式集合匹配算法來提高這部分匹配的效率?？焖倨ヅ湟馕?25 著

54、能夠盡可能快的在一個(gè)正文串中查找到一個(gè)模式串的存在，這是通過提高匹 配時(shí)移動(dòng)模式的距離實(shí)現(xiàn)的；集合匹配意味著同時(shí)快速的對(duì)多個(gè)模式進(jìn)行匹配。 二者的結(jié)合就是在一個(gè)報(bào)文中快速的匹配多個(gè)模式。 準(zhǔn)確的特征分析和規(guī)范描述準(zhǔn)確的特征分析和規(guī)范描述 解決入侵檢測(cè)的漏報(bào)和誤報(bào)現(xiàn)象還依賴于準(zhǔn)確的特征提取和描述，在所應(yīng) 用的特征全面采用了如下兩種特征分析方法和統(tǒng)一的規(guī)范化語言描述。 基于漏洞機(jī)理的特征分析基于漏洞機(jī)理的特征分析 利用漏洞機(jī)理的方法來提取和定義特征，可以實(shí)現(xiàn)檢測(cè)和具體攻擊工具的 無關(guān)性，特別對(duì)于防止新型變種的攻擊和攻擊工具改造非常有效。 基于攻擊過程的特征分析基于攻擊過程的特征分析 攻擊過程分析法

55、則是完全站在攻擊者的角度，破析完整的攻擊過程，可以 判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。 2.4.8.3入侵檢測(cè)系統(tǒng)部署入侵檢測(cè)系統(tǒng)部署 本方案中分別在公共區(qū)域、生產(chǎn)系統(tǒng)區(qū)域、辦公系統(tǒng)區(qū)域部署一套入侵檢 測(cè)系統(tǒng)，部署示意圖如圖 1 所示，公共系統(tǒng)的入侵檢測(cè)引擎與核心交換機(jī)相連， 辦公系統(tǒng)、生產(chǎn)系統(tǒng)的入侵檢測(cè)系統(tǒng)與該區(qū)域的交換機(jī)相連，分別針對(duì)不同的 需求，對(duì)各個(gè)子網(wǎng)的入侵進(jìn)行檢測(cè)和防護(hù)。 2.4.8.4入侵檢測(cè)系統(tǒng)選型入侵檢測(cè)系統(tǒng)選型 本方案中按照三個(gè)區(qū)域分別采用三套入侵檢測(cè)系統(tǒng)，可以在生產(chǎn)系統(tǒng)、辦 公系統(tǒng)區(qū)域和公共區(qū)域各采用一套千兆入侵檢測(cè)引擎，另外，在核心交換機(jī)處 部署一套高性能千兆

56、入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)控各個(gè)子網(wǎng)網(wǎng)絡(luò)傳輸狀態(tài)，自動(dòng)檢 測(cè)可疑行為，及時(shí)發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊，并可以實(shí)時(shí)響應(yīng)，切斷攻 擊方的連接，同時(shí)還可以與防火墻緊密結(jié)合，產(chǎn)生聯(lián)動(dòng)，彌補(bǔ)了防火墻的訪問 控制不嚴(yán)密的問題。另外，根據(jù)網(wǎng)絡(luò)網(wǎng)絡(luò)部署結(jié)構(gòu)，可以將核心處選擇為帶子 控功能的入侵檢測(cè)系統(tǒng)，當(dāng)在部署結(jié)構(gòu)改變后可以作為中心節(jié)點(diǎn)使用。配合探 測(cè)引擎，管理中心安裝于一臺(tái)服務(wù)器上，控制中心面向用戶，提供管理配置之 26 用?？刂浦行氖莻€(gè)高性能的管理系統(tǒng)，它能控制位于本地或遠(yuǎn)程的多個(gè)網(wǎng)絡(luò)探 測(cè)引擎的活動(dòng)，集中制定和配置策略，提供統(tǒng)一的數(shù)據(jù)管理。管理控制中心可 以被設(shè)置為主、子結(jié)構(gòu)，主管理控制中心可以實(shí)時(shí)接收、轉(zhuǎn)

57、發(fā)子控制中心的告 警信息，分類提取子控制中心的日志信息，下發(fā)各種配置文件、策略供子控對(duì) 其所屬網(wǎng)絡(luò)探測(cè)引擎進(jìn)行配置。 2.4.8.5入侵檢測(cè)系統(tǒng)功能入侵檢測(cè)系統(tǒng)功能 完善的管理控制體系完善的管理控制體系 多層分級(jí)管理多層分級(jí)管理 所選入侵檢測(cè)系統(tǒng)的管理控制中心可靈活設(shè)置成與行政業(yè)務(wù)管理流程緊密 結(jié)合的集中監(jiān)控、多層管理的分級(jí)體系。通過策略下發(fā)機(jī)制，使上級(jí)部門能夠 統(tǒng)一全網(wǎng)的安全防護(hù)策略；通過信息上傳機(jī)制，使上級(jí)部門能夠及時(shí)了解和監(jiān) 控全網(wǎng)的安全狀態(tài)。 靈活的更新和版本升級(jí)靈活的更新和版本升級(jí) 所選入侵檢測(cè)系統(tǒng)支持手動(dòng)和自動(dòng)的特征更新和版本升級(jí)，也可以在分級(jí) 管理體系下由主控統(tǒng)一來完成。所選入侵

58、檢測(cè)系統(tǒng)的探測(cè)引擎同時(shí)支持通過 USB 口進(jìn)行升級(jí)。 全局預(yù)警全局預(yù)警 在所選入侵檢測(cè)系統(tǒng)的多層分級(jí)管理體系下，可以實(shí)現(xiàn)把單點(diǎn)發(fā)生的重要 事件自動(dòng)預(yù)警到其它管理區(qū)域，使得各級(jí)管理員對(duì)于可能發(fā)生的重要安全事件 具有提前的預(yù)警提示。 利用全局預(yù)警通道，各級(jí)管理員也可以發(fā)送交互信息，交流對(duì)安全事件的 處理經(jīng)驗(yàn)。 嚴(yán)格的權(quán)限管理嚴(yán)格的權(quán)限管理 所選入侵檢測(cè)系統(tǒng)可以設(shè)定多種分類權(quán)限供不同的人員使用，支持更為嚴(yán) 格的多鑒別身份認(rèn)證方式。同時(shí)在產(chǎn)品部署上支持事件監(jiān)測(cè)、事件分析以及管 理配置分布部署，從物理角度保證管理安全。 時(shí)鐘同步機(jī)制時(shí)鐘同步機(jī)制 所選入侵檢測(cè)系統(tǒng)支持 NTP 服務(wù)進(jìn)行時(shí)間同步，保證跨時(shí)區(qū)

59、的部署條件下 27 也能保持管理時(shí)間的一致性。 支持多報(bào)警顯示臺(tái)支持多報(bào)警顯示臺(tái) 所選入侵檢測(cè)系統(tǒng)提供了良好的多點(diǎn)監(jiān)測(cè)機(jī)制，允許掛接多個(gè)報(bào)警顯示中 心，方便多個(gè)管理人員進(jìn)行有效的報(bào)警觀測(cè)。 數(shù)據(jù)庫(kù)維護(hù)管理數(shù)據(jù)庫(kù)維護(hù)管理 所選入侵檢測(cè)系統(tǒng)提供強(qiáng)大的數(shù)據(jù)庫(kù)維護(hù)管理功能，可以對(duì)歷史數(shù)據(jù)進(jìn)行 自動(dòng)、手動(dòng)的備份、刪除操作，還可以導(dǎo)入歷史的備份數(shù)據(jù)。 可擴(kuò)展到入侵管理可擴(kuò)展到入侵管理 入侵檢測(cè)全面支持入侵管理，實(shí)現(xiàn)多種安全產(chǎn)品：漏洞掃描、主機(jī)入侵檢 測(cè)的統(tǒng)一管理和協(xié)同關(guān)聯(lián)。 全面的入侵檢測(cè)能力全面的入侵檢測(cè)能力 多種技術(shù)結(jié)合防止漏報(bào)多種技術(shù)結(jié)合防止漏報(bào) 1. 采用引擎高速捕包技術(shù)保證滿負(fù)荷的報(bào)文捕獲； 2

60、. 采用的高速樹型匹配技術(shù)實(shí)現(xiàn)了一次匹配多個(gè)規(guī)則的模式，檢測(cè) 效率得以成倍的量級(jí)提高； 3. 采用了 IP 碎片重組、TCP 流重組以及特殊應(yīng)用編碼解析等多種方 式，應(yīng)對(duì)躲避 IDS 檢測(cè)的手法，如：WHISKER、FRAGROUTE 等攻擊 方式； 4. 采用預(yù)制漏洞機(jī)理分析方法定義特征，對(duì)未知攻擊方式和變種攻 擊也能及時(shí)報(bào)警； 5. 采用行為關(guān)聯(lián)分析技術(shù)，可以發(fā)現(xiàn)基于組合行為的復(fù)雜攻擊； 多種措施降低誤報(bào)多種措施降低誤報(bào) 1. 基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹，保證特征匹配的準(zhǔn)確性； 2. 基于攻擊過程的分析方法定義特征，可以識(shí)別攻擊的狀態(tài)，提供 不同級(jí)別的事件報(bào)警信息； 3. 通過采集和關(guān)

61、聯(lián)攻擊發(fā)送方和被攻擊目標(biāo)的信息，可以成功或失 敗的攻擊事件給出明確標(biāo)識(shí)。 4. 通過支持入侵管理，可以結(jié)合漏洞掃描結(jié)果來評(píng)估威脅的風(fēng)險(xiǎn)級(jí) 別。 28 多種機(jī)制限制濫報(bào)多種機(jī)制限制濫報(bào) 1. 內(nèi)置狀態(tài)檢測(cè)機(jī)制，可以識(shí)別和處理類似“STICK”等的反 IDS 攻擊，有效地避免了事件風(fēng)暴的產(chǎn)生； 2. 提供多種可選的統(tǒng)計(jì)合并技術(shù)，可以對(duì)同一事件采用合并上報(bào)， 減少報(bào)警量。 可擴(kuò)展的響應(yīng)和聯(lián)動(dòng)可擴(kuò)展的響應(yīng)和聯(lián)動(dòng) 所選入侵檢測(cè)系同應(yīng)具有豐富的可擴(kuò)展事件響應(yīng)方式， 包括 屏幕顯示 日志記錄 TCP KILLER 阻斷 支持郵件方式遠(yuǎn)程報(bào)警、聲音以及自定義程序報(bào)警 支持向網(wǎng)管發(fā)送 SNMP TRAP 信息

62、可以充分實(shí)現(xiàn)和第三方安全產(chǎn)品以及網(wǎng)絡(luò)設(shè)備的策略響應(yīng)聯(lián)動(dòng)。 防火墻聯(lián)動(dòng):通過聯(lián)動(dòng)通訊標(biāo)準(zhǔn)的支持，防火墻業(yè)界主流的產(chǎn)品 可以實(shí)現(xiàn)和入侵系統(tǒng)的聯(lián)動(dòng)，對(duì)外部發(fā)起的攻擊行為進(jìn)行阻斷。 交換機(jī)聯(lián)動(dòng)：可以根據(jù)策略制定動(dòng)態(tài)關(guān)閉相應(yīng)的交換機(jī)端口，可 以防止蠕蟲類事件的攻擊擴(kuò)散，進(jìn)行內(nèi)網(wǎng)安全防護(hù)。 多樣化的日志分析報(bào)告多樣化的日志分析報(bào)告 可以為管理人員和入侵檢測(cè)分析員提供了不同類型的日志分析手段和報(bào)告 輸出。為管理人員提供了常用的周期性統(tǒng)計(jì)報(bào)表類型模版，管理人員可以直接 利用，得出管理性的安全結(jié)論。為入侵檢測(cè)分析員提供了多種缺省分析模版， 根據(jù)這些模版可以獲得多種分類的事件日志信息和統(tǒng)計(jì)排名。入侵檢測(cè)系統(tǒng)提 供

63、了多樣化的日志過濾查詢條件，用戶可以進(jìn)行自主定義習(xí)慣的查詢模式，進(jìn) 行有效的日志分析查詢。 報(bào)表可以導(dǎo)出為多種常用格式（WORDEXCEL） ，并設(shè)置郵件定時(shí)發(fā)送報(bào)告功 能。 2.4.8.6檢測(cè)性能指標(biāo)檢測(cè)性能指標(biāo) 攻擊特征流采用統(tǒng)一的 100 種標(biāo)準(zhǔn)的不同攻擊樣本，目標(biāo)機(jī)器配置多種網(wǎng) 29 絡(luò)服務(wù)。網(wǎng)絡(luò)背景流量采用專用發(fā)包設(shè)備來制造，以背景流量為基準(zhǔn)，測(cè)試 入侵檢測(cè)系統(tǒng)在不同的流量環(huán)境（包長(zhǎng)）和不同連接背景下的檢測(cè)能力。 千兆引擎的性能指標(biāo)如下： 30 2.4.8.7技術(shù)參數(shù)技術(shù)參數(shù) 1.1 個(gè)標(biāo)準(zhǔn) 1000Base-SX(SC)接口（可擴(kuò)展） ；至少 3 個(gè)標(biāo)準(zhǔn) 10/100/1000Ba

64、seTX 接口； 2.MTBF9 萬小時(shí)； 3.IP 碎片重組500,000， 4.最大檢測(cè) TCP 會(huì)話數(shù)：800,000 ， 5.檢測(cè)流量：1G。 2.4.9 漏洞掃描系統(tǒng)實(shí)施方案漏洞掃描系統(tǒng)實(shí)施方案 配備一套漏洞掃描系統(tǒng)按要求就要以實(shí)現(xiàn)對(duì)內(nèi)部計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全 設(shè)備等進(jìn)行安全性掃描、評(píng)估。為管理員、安全維護(hù)人員提供詳細(xì)的脆弱性信 息和安全建議。漏洞掃描器通過確定目標(biāo)設(shè)備的系統(tǒng)狀態(tài)，用于對(duì)網(wǎng)絡(luò)設(shè)備和 主機(jī)進(jìn)行脆弱性分析。 2.4.9.1實(shí)施目的實(shí)施目的 由于防火墻固有的局限性和目前對(duì)入侵檢測(cè)系統(tǒng)的逃避技術(shù)，網(wǎng)絡(luò)安全性 的提高還需要有漏洞掃描系統(tǒng)，它是要實(shí)現(xiàn)對(duì)內(nèi)部計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)

65、 備等進(jìn)行安全性掃描、評(píng)估。為管理員、安全維護(hù)人員提供詳細(xì)的脆弱性信息 和安全建議。 通過部署漏洞掃描系統(tǒng)主要為了達(dá)到如下的目的： 掃描分析網(wǎng)絡(luò)系統(tǒng)，檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中安全薄弱環(huán)節(jié)。 準(zhǔn)確而全面地報(bào)告網(wǎng)絡(luò)存在的脆弱性和漏洞。 檢測(cè)并報(bào)告掃描目標(biāo)的相關(guān)信息以及對(duì)外提供的服務(wù)。 根據(jù)用戶需要生成各種分析報(bào)告。 31 2.4.9.2實(shí)施策略實(shí)施策略 根據(jù)目前情況分析采取全網(wǎng)掃描策略； 當(dāng)網(wǎng)絡(luò)規(guī)模增大后，特別是分為多級(jí)網(wǎng)絡(luò)結(jié)構(gòu)后可以采用分布式部署 策略，其功能組件可以部署在不同主機(jī)上，控制中心同時(shí)管理多個(gè)掃 描引擎，不同的掃描引擎負(fù)責(zé)對(duì)不同網(wǎng)段的系統(tǒng)進(jìn)行掃描檢測(cè)，顯示 中心和報(bào)表中心可匯總顯示各掃描

66、引擎的掃描結(jié)果信息。 2.4.9.3漏洞掃描系統(tǒng)部署漏洞掃描系統(tǒng)部署 由于漏洞掃描系統(tǒng)為軟件產(chǎn)品，而且是定期或不定期使用，無需專門提供 計(jì)算機(jī)來安裝?？梢园惭b在網(wǎng)絡(luò)中配置較高的任意一臺(tái)計(jì)算機(jī)上即可對(duì)全網(wǎng)相 關(guān)設(shè)備進(jìn)行掃描。但是本網(wǎng)絡(luò)結(jié)構(gòu)中由于部分需要重點(diǎn)防護(hù)，并且部分應(yīng)用不 可以跨網(wǎng)段，安全性要求也不盡相同，所以可以在三個(gè)區(qū)域分別部署一套漏洞 掃描系統(tǒng)，制定不同的掃描策略，有針對(duì)性的進(jìn)行漏洞掃描，另外也可以采用 分布式單級(jí)部署方式，將不同掃描引擎安裝在不同的區(qū)域，然后進(jìn)行統(tǒng)一管理。 單個(gè)系統(tǒng)部署示意圖如下： 路由器 核心交 換機(jī) 防 火 墻 IDS 樓層交換機(jī) 工作站 工作站 工作站 服務(wù)器區(qū) 掃描主機(jī) 安安全全性性分分析析報(bào)報(bào)告告： 系系統(tǒng)統(tǒng)版版本本太太低低：高高風(fēng)風(fēng)險(xiǎn)險(xiǎn) 管管理理員員口口令令永永不不過過期期：中中風(fēng)風(fēng)