網(wǎng)絡(luò)安全建設(shè)實施方案

《網(wǎng)絡(luò)安全建設(shè)實施方案》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全建設(shè)實施方案（89頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、1京唐港股份有限公司京唐港股份有限公司網(wǎng)絡(luò)安全建設(shè)實施方案網(wǎng)絡(luò)安全建設(shè)實施方案二二 OOOO 七年二月七年二月2目錄目錄1概述概述.32網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè).32.1安全現(xiàn)狀分析.32.2安全風(fēng)險分析.42.2.1物理安全.42.2.2網(wǎng)絡(luò)安全與系統(tǒng)安全.42.2.3應(yīng)用安全.52.2.4安全管理.52.3安全需求分析.62.3.1物理安全需求分析.62.3.2網(wǎng)絡(luò)安全與系統(tǒng)安全.72.3.3應(yīng)用安全.72.3.4安全管理.82.4安全實施方案.82.4.1物理安全防護.82.4.2備份與恢復(fù).92.4.3訪問控制.92.4.4系統(tǒng)安全.92.4.5網(wǎng)段劃分與虛擬局域網(wǎng).112.4

2、.6辦公網(wǎng)整體安全建議.112.4.7防火墻實施方案.132.4.8入侵檢測系統(tǒng)實施方案.202.4.9漏洞掃描系統(tǒng)實施方案.292.4.10身份認證系統(tǒng)實施方案.332.4.11安全審計系統(tǒng)實施方案.392.4.12防病毒系統(tǒng)實施方案.433異地網(wǎng)接入安全建設(shè)異地網(wǎng)接入安全建設(shè).553.1接入方式選擇.563.2安全性分析.573.3兩種方式優(yōu)勢特點.573.4VPN 原理介紹.583.5VPN 的選型.633.6財務(wù)系統(tǒng)安全防護.664機房設(shè)備集中監(jiān)控管理機房設(shè)備集中監(jiān)控管理.664.1.1設(shè)備及應(yīng)用系統(tǒng)管理現(xiàn)狀.664.1.2建立機房集中控制管理系統(tǒng)需求.664.1.3集中控制管理系統(tǒng)方

3、案實現(xiàn).674.1.4功能特點.684.2監(jiān)控顯示系統(tǒng).684.2.1投影顯示系統(tǒng).6834.2.2等離子顯示系統(tǒng).685網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)管理中心.695.1.1建立網(wǎng)絡(luò)管理中心需求.695.1.2網(wǎng)絡(luò)管理功能實現(xiàn).696桌面管理及補丁分發(fā)中心桌面管理及補丁分發(fā)中心.726.1.1建立桌面管理中心需求.726.1.2桌面管理功能實現(xiàn).747網(wǎng)絡(luò)設(shè)備升級網(wǎng)絡(luò)設(shè)備升級.8141 概述概述京唐港股份有限公司辦公大樓網(wǎng)絡(luò)信息系統(tǒng)目前剛剛投入使用，主要包括新建大廈、舊辦公區(qū)辦公網(wǎng)絡(luò)以及部分省市辦事處專網(wǎng)，該套網(wǎng)絡(luò)與 Internet互聯(lián)，將要實現(xiàn)整個業(yè)務(wù)系統(tǒng)的辦公自動化，包括業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)存儲備份、

4、文件共享、對外宣傳等，同時還要為員工相關(guān)業(yè)務(wù)應(yīng)用及學(xué)習(xí)提供便利的上網(wǎng)條件；所以該網(wǎng)絡(luò)既是辦公系統(tǒng)的承載體，也是威脅風(fēng)險的承受體，在公司規(guī)模日漸壯大的今天，網(wǎng)絡(luò)規(guī)模也相應(yīng)的在不斷的擴大，相關(guān)的配套網(wǎng)絡(luò)及安全設(shè)備雖然具有較新的技術(shù)和功能，但還不足以抵御紛繁復(fù)雜的互聯(lián)網(wǎng)的威脅，整個網(wǎng)絡(luò)的安全也需要做相應(yīng)的增強防護，另外從設(shè)備及應(yīng)用的管理角度來看，可以采取一些智能和高效的管理手段及措施，在保障業(yè)務(wù)正常運行了同時，保證系統(tǒng)的安全可靠，減少和簡化安全管理，提高系統(tǒng)工作效率。本方案將著重從安全系統(tǒng)的整體建設(shè)及相應(yīng)的一些網(wǎng)絡(luò)管理手段上具體分析，并提出可行性的實施方案，把目前在使用過程中遇到的一些問題解決并防患

5、于未然，同時為用戶提供一整套安全及網(wǎng)絡(luò)管理措施，把公司網(wǎng)絡(luò)建設(shè)成為一個符合業(yè)務(wù)需求、安全可靠、容易管理操作的高質(zhì)量的辦公網(wǎng)絡(luò)。2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)2.1 安全現(xiàn)狀分析安全現(xiàn)狀分析京唐港股份有限公司依托于京唐港整體規(guī)劃建設(shè)和發(fā)展，將承載著越來越多的港口業(yè)務(wù)等工作，特別是隨著信息化辦公的進一步深入，自動化辦公的便利和效率可以說是公司發(fā)展壯大的必要手段；但是京唐港股份有限公司辦公大樓是整個公司信息的核心地帶，不但為本地員工及另外一個園區(qū)的業(yè)務(wù)人員提供各種辦公應(yīng)用服務(wù)，而且在各地已經(jīng)或是將要成立辦事處，實現(xiàn)遠程辦公，并且各個位置和部門的業(yè)務(wù)需求又不盡相同，在這種網(wǎng)絡(luò)結(jié)構(gòu)較為龐大，多層次

6、、多應(yīng)用的網(wǎng)絡(luò)中，安全是一項很重要的任務(wù)和保證措施。目前，該網(wǎng)絡(luò)已經(jīng)建設(shè)完成，安全手段主要在網(wǎng)絡(luò)邊界處采取了防火墻，5在整個網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)版殺毒軟件和網(wǎng)管軟件，其他安全措施主要是依靠個人的安全意識和行為；現(xiàn)階段，全網(wǎng)已經(jīng)爆發(fā)了多次病毒感染等問題，一定程度上影響了辦公的效率，所以有必要進一步從技術(shù)角度完善安全系統(tǒng)。2.2 安全風(fēng)險分析安全風(fēng)險分析2.2.1 物理安全物理安全物理安全層面存在下述威脅和風(fēng)險形式：機房毀壞：由于戰(zhàn)爭、自然災(zāi)害、意外事故造成機房毀壞，大部分設(shè)備損壞。線路中斷：因線路中斷，造成系統(tǒng)不能正常工作。電力中斷：因電力檢修、線路或設(shè)備故障造成電力中斷。設(shè)備非正常毀壞：因盜竊、人

7、為故意破壞造成設(shè)備毀壞。設(shè)備正常損壞：設(shè)備軟 、硬件故障，造成設(shè)備不能正常工作。存貯媒體損壞：因溫度 、濕度或其他原因，各種數(shù)據(jù)存儲媒體不能正常使用。2.2.2 網(wǎng)絡(luò)安全與系統(tǒng)安全網(wǎng)絡(luò)安全與系統(tǒng)安全互聯(lián)網(wǎng)安全隱患：互聯(lián)網(wǎng)會帶來的越權(quán)訪問、惡意攻擊、病毒入侵等安全隱患；搭線竊取的隱患：黑客或犯罪團體通過搭線和架設(shè)協(xié)議分析設(shè)備非法竊取系統(tǒng)信息；病毒侵襲的隱患：病毒在系統(tǒng)內(nèi)感染、傳播和發(fā)作；操作系統(tǒng)安全隱患：操作系統(tǒng)可能的后門程序、安全漏洞、安全設(shè)置不當、安全級別低等，缺乏文件系統(tǒng)的保護和對操作的控制，讓各種攻擊有可乘之機；數(shù)據(jù)庫系統(tǒng)安全隱患：不能實時監(jiān)控數(shù)據(jù)庫系統(tǒng)的運行情況，數(shù)據(jù)庫數(shù)據(jù)丟失、被非法

8、訪問或竊??；應(yīng)用系統(tǒng)安全隱患：應(yīng)用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等，6可能出現(xiàn)非法訪問；惡意攻擊和非法訪問：拒絕服務(wù)攻擊，網(wǎng)頁篡改，下載不懷好意的惡意小程序，對系統(tǒng)進行惡意攻擊，對系統(tǒng)進行非法訪問等。2.2.3 應(yīng)用安全應(yīng)用安全身份假冒：缺少強制認證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng)被假冒身份者闖入；非授權(quán)訪問：缺少強制認證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng)被越權(quán)訪問；數(shù)據(jù)失、泄密：涉密數(shù)據(jù)在處理、傳輸、存儲過程中，被竊取或非授權(quán)訪問；數(shù)據(jù)被修改：數(shù)據(jù)在處理、傳輸、存儲過程中被非正常修改和刪除；否認操作：數(shù)據(jù)操作者為逃避責(zé)任而否認其操作行為。2.2.4 安全管理安全管理安全管理組

9、織不健全：沒有相應(yīng)的安全管理組織，缺少安全管理人員編制，沒有建立應(yīng)急響應(yīng)支援體系等。缺乏安全管理手段：不能實時監(jiān)控機房工作、網(wǎng)絡(luò)連接和系統(tǒng)運行狀態(tài)，不能及時發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件，不能追蹤安全事件等。人員安全意識淡?。簾o意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操作員 IC 卡，私自接入外網(wǎng)，私自拷貝竊取信息，私自安裝程序，不按操作規(guī)程操作和越權(quán)操作，擅離崗位，沒有交接手續(xù)等，均會造成安全隱患。管理制度不完善：缺乏相應(yīng)的管理制度，人員分工和職責(zé)不明，沒有監(jiān)督、約束和獎懲機制，存在潛在的管理風(fēng)險。缺少標準規(guī)范：系統(tǒng)缺乏總體論證，沒有或缺少相關(guān)的標準規(guī)范，各子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴展性不

10、強。缺乏安全服務(wù)：人員缺少安全培訓(xùn)，系統(tǒng)從不進行安全評估和安全加固，系統(tǒng)故障不能及時恢復(fù)等。72.3 安全需求分析安全需求分析基于上述的安全風(fēng)險分析，京唐港股份有限公司信息系統(tǒng)必須采取相應(yīng)的應(yīng)對措施與手段，形成有效的安全防護能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力，為整個信息系統(tǒng)建立可靠的安全運行環(huán)境和安全業(yè)務(wù)系統(tǒng)，切實保障全公司信息系統(tǒng)正常、有序、可靠地運行。 2.3.1 物理安全需求分析物理安全需求分析異地容災(zāi)：異地容災(zāi)主要是預(yù)防場地問題帶來的數(shù)據(jù)不可用等突發(fā)情況。這些場地問題包括：電力中斷供電部門因各種原因長時間的中斷；電信中斷各種原因造成的通信線路破壞；戰(zhàn)爭、地震、火災(zāi)、水災(zāi)等造成機房毀壞或不

11、可用等。這些災(zāi)難性事件會直接造成業(yè)務(wù)的中斷，甚至造成數(shù)據(jù)丟失等，會造成相當程度的社會影響和經(jīng)濟影響。通過容災(zāi)系統(tǒng)將這種“場地”故障造成的數(shù)據(jù)不可用性減到最小。要求災(zāi)難發(fā)生時，異地容災(zāi)系統(tǒng)保證：數(shù)據(jù)在遠程場地存有一致、可用的拷貝，保證數(shù)據(jù)的安全；應(yīng)用立即在遠程現(xiàn)場運行，保證業(yè)務(wù)的連續(xù)性 。機房監(jiān)控：機房監(jiān)控主要是預(yù)防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。設(shè)備備份：設(shè)備備份用于預(yù)防關(guān)鍵設(shè)備意外損壞。網(wǎng)絡(luò)中關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器應(yīng)有冗余設(shè)計。線路備份：線路備份主要是預(yù)防通信線路意外中斷。電源備份：電源備份用于預(yù)防電源故障引起的短時電力中斷。2.3.2 網(wǎng)絡(luò)安全與系統(tǒng)

12、安全網(wǎng)絡(luò)安全與系統(tǒng)安全深層防御：深層防御就是采用層次化保護策略，預(yù)防能攻破一層或一類保護的攻擊行為，使之無法破壞整個辦公網(wǎng)絡(luò)。要求合理劃分安全域，對每個安全域的邊界和局部計算環(huán)境，以及域之間的遠程訪問，根據(jù)需要采用適當?shù)挠行ПＷo。8邊界防護：邊界防護用于預(yù)防來自本安全域以外的各種惡意攻擊和遠程訪問控制。邊界防護機制有防火墻、入侵檢測、隔離網(wǎng)閘等，實現(xiàn)網(wǎng)絡(luò)的安全隔離。網(wǎng)絡(luò)防病毒：網(wǎng)絡(luò)防病毒用于預(yù)防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。備份恢復(fù)：備份恢復(fù)用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復(fù)。漏洞掃描：漏洞掃描用于及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)以及網(wǎng)絡(luò)協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。主機保護

13、：對關(guān)鍵的主機，例如數(shù)據(jù)庫服務(wù)器安裝主機保護軟件，對操作系統(tǒng)進行安全加固。安全審計：用于事件追蹤。要求網(wǎng)絡(luò)、安全設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)有審計功能，同時安裝第三方的安全監(jiān)控和審計系統(tǒng)。2.3.3 應(yīng)用安全應(yīng)用安全身份認證：身份認證用于保證身份的真實性。公司網(wǎng)絡(luò)中身份認證包括用戶身份認證、管理人員身份認證、操作員身份認證服務(wù)器身份認證。鑒于辦公網(wǎng)與互聯(lián)網(wǎng)相連，用戶數(shù)量較大的，基于數(shù)字證書（CA）的認證體制將是理想的選擇。權(quán)限管理：權(quán)限管理指對公司辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、主機系統(tǒng)的所有操作和訪問權(quán)限進行管理，防止非授權(quán)訪問和操作。數(shù)據(jù)完整性：數(shù)據(jù)完整性指對辦公網(wǎng)絡(luò)中存儲、傳輸?shù)臄?shù)據(jù)進行數(shù)

14、據(jù)完整性保護?？沟仲嚕嚎沟仲嚲褪峭ㄟ^采用數(shù)字簽名方法保證當事人行為的不可否認性，建立有效的責(zé)任機制，為京唐港公司網(wǎng)絡(luò)創(chuàng)造可信的應(yīng)用環(huán)境。安全審計：各應(yīng)用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提供相應(yīng)的審計工具。2.3.4 安全管理安全管理組織建設(shè)：安全管理組織建設(shè)包括：組織機構(gòu)、人才隊伍、應(yīng)急響應(yīng)9支援體系等的建設(shè)。制度建設(shè)：安全管理制度建設(shè)包括：人員管理制度、機房管理制度、卡機具生產(chǎn)管理制度、設(shè)備管理制度、文檔管理制度等的建設(shè)。標準建設(shè)：安全標準規(guī)范建設(shè)包括：數(shù)據(jù)交換安全協(xié)議、認證協(xié)議、密碼服務(wù)接口等標準規(guī)范的建立。安全服務(wù)：安全服務(wù)包括安全培訓(xùn)、日常維護、安全評估、安全加固、緊急響應(yīng)等

15、。技術(shù)建設(shè)：安全管理技術(shù)建設(shè)主要指充分利用已有的安全管理技術(shù)，利用和開發(fā)相關(guān)的安全管理工具，提高安全管理的自動化、智能化水平 。2.4 安全實施方案安全實施方案2.4.1 物理安全防護物理安全防護物理安全是整個系統(tǒng)安全的基礎(chǔ)，要把公司內(nèi)部局域網(wǎng)系統(tǒng)的安全風(fēng)險減至最低限度，需要選擇適當?shù)募夹g(shù)和產(chǎn)品，保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。機房建設(shè)必須嚴格按照國家標準 GB50173-93電子計算機機房設(shè)計規(guī)范 、國標 GB2887-89計算站場地技術(shù)條件 、GB9361-88計算站場地安全要求進行建設(shè)。通過防盜措

16、施，如裝備報警裝置防止設(shè)備被盜；通過對重要設(shè)備電源采用UPS 供電防止電源意外斷電中斷服務(wù)；通過對重要設(shè)備或線路冗余備份保持服務(wù)的可持續(xù)性。2.4.2 備份與恢復(fù)備份與恢復(fù)對于網(wǎng)絡(luò)應(yīng)用實時性要求很高的系統(tǒng)，數(shù)據(jù)備份措施往往采用服務(wù)器的雙機備份。即兩臺服務(wù)器同時安裝備份系統(tǒng)，同時在線，互為備份。正常情況下，10由主服務(wù)器提供服務(wù)，備份服務(wù)器處于帶電但不提供服務(wù)狀態(tài)，一旦主服務(wù)器出現(xiàn)故障，備份服務(wù)器自動接管主服務(wù)器來提供服務(wù)。保證應(yīng)用服務(wù)器能夠提供不間斷的服務(wù)。京唐港股份公司應(yīng)用服務(wù)可靠要求較高，而且業(yè)務(wù)數(shù)據(jù)存儲容量會隨著業(yè)務(wù)的擴展而增大，并非常重要。為了防止業(yè)務(wù)數(shù)據(jù)的丟失和損壞而影響業(yè)務(wù)辦理，或

17、者在數(shù)據(jù)出現(xiàn)意外事故時無法恢復(fù)，必須對數(shù)據(jù)庫進行備份。根據(jù)實際情況可采用 SAN 結(jié)構(gòu)存儲系統(tǒng)，采用磁帶庫進行備份并實現(xiàn)災(zāi)難恢復(fù)。2.4.3 訪問控制訪問控制訪問控制是網(wǎng)絡(luò)安全防范和保護最有效手段之一，據(jù)統(tǒng)計分析，完善的訪問控制策略可把網(wǎng)絡(luò)安全風(fēng)險降低 90%。網(wǎng)絡(luò)的訪問控制技術(shù)可以針對網(wǎng)絡(luò)協(xié)議、目標對象以及通訊端口等進行過濾和檢驗，符合條件才通過，不符合條件的則被丟棄。系統(tǒng)訪問控制可以針對具體的一個文件或目錄授權(quán)給指定的人員相應(yīng)的權(quán)限，受派者在試圖訪問相應(yīng)信息時，需要驗證身份、判別權(quán)限后才能進行訪問。訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。訪問控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核

18、心策略之一。訪問控制策略可以采用三層交換設(shè)備 VLAN 技術(shù)、ACL 技術(shù)、綁定技術(shù)等，使得不同部門、不同組別、不同用戶之間的網(wǎng)絡(luò)訪問達到有效的控制；也可以通過在不同網(wǎng)絡(luò)安全域之間加裝防火墻等安全設(shè)備，利用防火墻的控制策略達到網(wǎng)絡(luò)訪問控制的目的。2.4.4 系統(tǒng)安全系統(tǒng)安全系統(tǒng)安全包括數(shù)據(jù)庫安全和操作系統(tǒng)安全，下面分別闡述。數(shù)據(jù)庫安全數(shù)據(jù)庫存放了整個網(wǎng)絡(luò)中的重要數(shù)據(jù)，為此需要建立一套有效的安全機制。加強數(shù)據(jù)庫系統(tǒng)登陸權(quán)限管理，加強管理員登陸口令的管理以及數(shù)據(jù)庫遠程訪問權(quán)限的管理，對數(shù)據(jù)庫采用備份與恢復(fù)機制。同時對重要的涉密系統(tǒng)應(yīng)選用11經(jīng)國家主管部門批準使用的安全數(shù)據(jù)庫，或者對數(shù)據(jù)庫進行安全增

19、強改造、加固。數(shù)據(jù)庫具體安全要求：1、用戶角色的管理這是保護數(shù)據(jù)庫系統(tǒng)安全的重要手段之一。把網(wǎng)絡(luò)中使用數(shù)據(jù)庫的用戶設(shè)置為不同的用戶組并對用戶組的安全屬性進行驗證，有效地防止非法的用戶進入數(shù)據(jù)庫系統(tǒng)；在數(shù)據(jù)庫中，可以通過授權(quán)對用戶的操作進行限制，即允許一些用戶對數(shù)據(jù)庫服務(wù)器進行訪問，具有讀寫整個數(shù)據(jù)庫的權(quán)利，而大多數(shù)用戶只能在同組內(nèi)進行讀寫或?qū)φ麄€數(shù)據(jù)庫只具有讀的權(quán)利。在此，特別強調(diào)對系統(tǒng)管理員和安全管理員兩個特殊賬戶的保密管理。2、數(shù)據(jù)保護數(shù)據(jù)庫的數(shù)據(jù)保護主要是數(shù)據(jù)庫的備份，當計算機的軟硬件發(fā)生故障時，利用備份進行數(shù)據(jù)庫恢復(fù)，以恢復(fù)破壞的數(shù)據(jù)庫文件、控制文件或其他文件。另一種數(shù)據(jù)保護是日志，數(shù)

20、據(jù)庫實例都提供日志，用以記錄數(shù)據(jù)庫中所進行的各種操作，包括修改、調(diào)整參數(shù)等，并在數(shù)據(jù)庫內(nèi)部建立一個所有作業(yè)的完整記錄。再一個就是控制文件的備份，一般用于存儲數(shù)據(jù)庫物理結(jié)構(gòu)的狀態(tài)，控制文件中的某些狀態(tài)信息在實例恢復(fù)和介質(zhì)恢復(fù)期間用于引導(dǎo)數(shù)據(jù)庫，在實際操作時，需要為網(wǎng)絡(luò)的數(shù)據(jù)庫分別指定相應(yīng)的備份策略。操作系統(tǒng)安全目前用戶辦公計算機采用操作系統(tǒng)還主要基于 Windows 平臺。其自身安全需要得到關(guān)注，即在日常工作中必須注意對操作系統(tǒng)進行必要的防護。如：1、定期維護：及時安裝漏洞補丁，定期進行完整性檢查、配置檢查、病毒檢查和漏洞掃描。2、使用權(quán)限控制：用戶權(quán)限、口令安全。3、遠程訪問安全：進行基本的安

21、全配置。122.4.5 網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分主要是對 IP 地址進行合理的規(guī)劃和分配。為確保辦公網(wǎng)中各子網(wǎng)以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)正常、安全運行，需要合理規(guī)劃、分配外網(wǎng)各部門的 IP 地址。網(wǎng)段劃分的方法可以采用各個部門或機構(gòu)劃分網(wǎng)段，重要的服務(wù)器設(shè)備劃分單獨的網(wǎng)段，以便監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全。虛擬局域網(wǎng)可有效地解決廣播風(fēng)暴、廣播攻擊、充分利用網(wǎng)絡(luò)帶寬資源。結(jié)合訪問控制列表功能，可以極大地增強辦公網(wǎng)的安全性，防止網(wǎng)絡(luò)內(nèi)用戶對系統(tǒng)相關(guān)信息的非授權(quán)訪問。辦公網(wǎng)可按各個職能來劃分 VLAN，如將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨作為一個 Leader V

22、LAN (LVLAN )，技術(shù)人員劃分為一個VLAN，工作人員劃分為一個 VLAN，而其它機構(gòu)分別劃作一個 VLAN。其共享服務(wù)器（如 EMAIL 服務(wù)器、DNS 服務(wù)器、WEB 服務(wù)器等）單獨劃作一個VLAN (MVLAN)。其他服務(wù)器如數(shù)據(jù)庫服務(wù)器劃為 Data VLAN。2.4.6 辦公網(wǎng)整體安全建議辦公網(wǎng)整體安全建議根據(jù)以上的安全風(fēng)險分析、需求分析和京唐港公司的具體情況，建議從以下方面考慮進行安全方面的部署：終端防護終端防護A. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的企業(yè)級防病毒系統(tǒng)企業(yè)級防病毒系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見的計算機癱瘓、網(wǎng)絡(luò)阻塞等安

23、全問題。B.在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的終端安全防護系統(tǒng)。終端安全防護系統(tǒng)。通過終端安全防護系統(tǒng)的統(tǒng)一部署，可以京唐港公司安全管理制度提供有利的技術(shù)保障措施，保障終端的系統(tǒng)安全和終端的安全管理。C.在中心部署身份認證登陸系統(tǒng)身份認證登陸系統(tǒng)，終端必須通過身份認證才能進入，避免非法進入。邊界的防護邊界的防護13A. 通過防火墻防火墻系統(tǒng)的部署，可以根據(jù)不同的安全要求，設(shè)置不同的安全區(qū)域，來限制不同信任度區(qū)域之間的相互訪問，保護各關(guān)鍵應(yīng)用服務(wù)器系統(tǒng)免受網(wǎng)絡(luò)上的非法訪問和惡意攻擊，可以在服務(wù)器區(qū)的前端增加一臺防火墻設(shè)備。B.通過入侵檢測入侵檢測系統(tǒng)的部署，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安

24、全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。服務(wù)器的防護服務(wù)器的防護A. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的企業(yè)級防病毒企業(yè)級防病毒系統(tǒng)系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務(wù)器免受病毒的感染和傳播。這可以解決常見的服務(wù)器癱瘓、信息資產(chǎn)丟失等安全問題，為服務(wù)器病毒防護提供有效的安全保障。B. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的終端安全防護終端安全防護系統(tǒng)系統(tǒng)。通過終端安全防護系統(tǒng)的統(tǒng)一部署，為服務(wù)器提供訪問控制、系統(tǒng)的安全、補丁的有效管理、和為服務(wù)器的安全管理提供技術(shù)保障措施。C. 服務(wù)器安全加固服務(wù)器安全加固，對關(guān)鍵服務(wù)器進行安全加固，保證服務(wù)器的安全使用和穩(wěn)固。系

25、統(tǒng)安全防護系統(tǒng)安全防護A. 在辦公網(wǎng)系統(tǒng)上部署漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)，可以隨時的對網(wǎng)絡(luò)內(nèi)的所有終端、服務(wù)器、數(shù)據(jù)庫系統(tǒng)進行掃描，以發(fā)現(xiàn)安全隱患。B. 在系統(tǒng)當中部署安全強審計系統(tǒng)安全強審計系統(tǒng)。根據(jù)用戶的安全策略制定詳細的審計保護規(guī)則，對整個網(wǎng)絡(luò)和主機中違反安全策略的行為進行阻斷，并向管理中心報警。系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖 1：14WEB服務(wù)器郵件服務(wù)器病毒服務(wù)器INTERNET出出口口生生產(chǎn)產(chǎn)系系統(tǒng)統(tǒng)區(qū)區(qū)辦辦公公系系統(tǒng)統(tǒng)區(qū)區(qū)入侵檢測系統(tǒng)安全審計系統(tǒng)KVM審計服務(wù)器網(wǎng)管工作站舊舊辦辦公公區(qū)區(qū)各各個個樓樓層層交交換換入侵檢測系統(tǒng)入侵檢測系統(tǒng)公公共共系系統(tǒng)統(tǒng)區(qū)區(qū)入侵檢

26、測系統(tǒng)網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理區(qū)區(qū)圖 1： 系統(tǒng)整體安全體系結(jié)構(gòu)示意圖2.4.7 防火墻實施方案防火墻實施方案2.4.7.1實施原則實施原則（1） 整體性安全防范體系的建立和多層保護的相互配合；實現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。（2） 先進性安全技術(shù)先進；安全產(chǎn)品成熟；安全系統(tǒng)技術(shù)生命的周期適度。（3） 可用性安全系統(tǒng)本身的可用性；安全管理友好，并于其他系統(tǒng)管理的有效集成；避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜；15盡量降低對原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開展。（4） 擴充性安全系統(tǒng)能適應(yīng)客戶網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用需求的變化而變化；安全系統(tǒng)遵循標準，系統(tǒng)的變化易實現(xiàn)、易修改、易擴充。2.4.7.2實

27、施策略實施策略采取核心保護策略，盡可能的以最小的投資達到最大的安全防護。采用可以提供集中管理控制的產(chǎn)品，同時要求考慮產(chǎn)品適應(yīng)性可擴展性，以適應(yīng)網(wǎng)絡(luò)擴展的需要。產(chǎn)品在使用上應(yīng)具有友好的用戶界面，使用戶在管理、使用、維護上盡量簡單、直觀。建立層次化的防護體系和管理體系。2.4.7.3防火墻系統(tǒng)部署防火墻系統(tǒng)部署從京唐港公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上，可以看出，辦公網(wǎng)中的服務(wù)器區(qū)域是很重要的安全區(qū)域，這些服務(wù)器承載著整個公司全部網(wǎng)絡(luò)功能的需求，對網(wǎng)絡(luò)安全系數(shù)的要求很高，一旦重要服務(wù)器遭到攻擊破壞，將對整個公司的業(yè)務(wù)產(chǎn)生非常大的影響，所以可以在服務(wù)器交換機與核心交換機的連接中設(shè)置防火墻設(shè)備，根據(jù)用戶設(shè)定的安

28、全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信，是必不可少的安全防御措施?？刂茝耐饩W(wǎng)區(qū)到安全服務(wù)區(qū)的訪問，確保允許的訪問才能夠進行，而其他未經(jīng)過允許的行為全部被禁止；限制安全服務(wù)區(qū)對非安全服務(wù)區(qū)的直接訪問；防火墻有效記錄區(qū)域之間的訪問日志，為出現(xiàn)安全問題時提供備查資料；具體配置情況如圖 1 所示，在網(wǎng)絡(luò)邊界處部署一臺防火墻作為網(wǎng)絡(luò)系統(tǒng)與Internet 連接的第一道安全防護，通過防火墻提供的功能來達到訪問控制的目的；另外，在各個系統(tǒng)區(qū)的出口處也部署一臺防火墻，用來保證各個區(qū)域的安全，制定不同的安全策略，實現(xiàn)對重要服務(wù)器系統(tǒng)的防護和訪問控制。162.4.7.4防火墻安全策略防火墻安全策略針

29、對公司辦公局域網(wǎng)的具體情況，我們建議制定以下的安全策略：安全區(qū)域隔離策略由于網(wǎng)絡(luò)安全的整體性要求，為了使網(wǎng)絡(luò)系統(tǒng)達到一定的安全水平，必須保證對網(wǎng)絡(luò)中各部分都采取了均衡的保護措施，但對于公司整個辦公網(wǎng)來說都采用相同的手段是不可能也沒有必要的，本辦公網(wǎng)可以采用的方法是根據(jù)網(wǎng)絡(luò)不同部分的重要性劃分為不同的安全區(qū)域，并著重對其中重要的安全區(qū)域進行隔離和保護。建議采用防火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點是各服務(wù)器區(qū)域與辦公網(wǎng)內(nèi)用戶區(qū)域之間的連接。訪問控制策略防火墻被部署后，將根據(jù)實際應(yīng)用需要定義適當?shù)陌踩呗?，針對源地址、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時間、帶寬等條件的實現(xiàn)訪問控制，確保不同網(wǎng)絡(luò)

30、區(qū)域之間的授權(quán)、有序訪問，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問或一些惡意的攻擊。例如，服務(wù)器區(qū)域防火墻上可制定如下安全策略：- 允許業(yè)務(wù)相關(guān)的用戶區(qū)域主機訪問本區(qū)域服務(wù)器的特定端口，拒絕其他任何訪問請求，這樣可以保護服務(wù)器系統(tǒng)不受非法入侵和攻擊；- 缺省規(guī)則應(yīng)該是拒絕一切訪問。 本次項目我們將在實施的過程中，根據(jù)網(wǎng)絡(luò)的真實環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交互的實際需要，來制定詳細的訪問控制策略?；驹瓌t是開放最少端口。作為區(qū)域邊界保護的準則，防火墻的訪問控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問控制策略是否得到實施的關(guān)鍵，因此對防火墻訪問控制策略的定期檢查和調(diào)整是區(qū)域邊界保護中要注意的問題。用戶認證和授權(quán)策略選擇一種

31、既方便實用又具備足夠安全性的用戶認證機制，通過防火墻實現(xiàn)對網(wǎng)絡(luò)用戶身份的可靠鑒別和訪問授權(quán)管理，防止非法人員盜用合法用戶的網(wǎng)絡(luò)地址來假冒合法用戶訪問關(guān)鍵資源，同時也便于針對實際用戶進行行為審計。17帶寬管理策略我們可以依據(jù)應(yīng)用需要來限制流量，來調(diào)整鏈路的帶寬利用?？梢栽诜阑饓χ兄苯蛹虞d控制策略，為比較重要的訪問定義可用的最大帶寬和優(yōu)先級，確保為重要的應(yīng)用預(yù)留足夠的帶寬進行數(shù)據(jù)交換。我們還可以定義任意兩個網(wǎng)絡(luò)對象之間通信時的最大帶寬。例如，通過防火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員等定義進行網(wǎng)絡(luò)通信時的最大帶寬和優(yōu)先級，而且?guī)挿峙淇梢允欠謱拥?，例如部門帶寬下面有小組帶寬然

32、后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。日志和審計策略一個安全防護體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。進行信息審計的前提是必須有足夠的多的日志信息。防火墻系統(tǒng)提供了強大的日志功能，可對重要關(guān)鍵資源的使用情況進行有效的監(jiān)控，實現(xiàn)日志的分級管理、自動報表、自動報警功能，用戶可以根據(jù)需要對不同的通訊內(nèi)容記錄不同的日志，包括會話日志（主要描述通訊的時間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令，執(zhí)行了那些

33、操作） 。用戶可以根據(jù)需要記錄不同的日志，從而為日志分析、事后追蹤提供更多的依據(jù)。同時，產(chǎn)生的日志能夠以多種方式導(dǎo)出，有利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺進行統(tǒng)一的管理。2.4.7.5防火墻選型防火墻選型由于將各個系統(tǒng)按照區(qū)域化分進行分別防護，在總出口處已經(jīng)部署一臺高性能千兆防火墻，根據(jù)流量及應(yīng)用實際分析，在辦公系統(tǒng)和生產(chǎn)系統(tǒng)處可分別部署一臺千兆防火墻，考慮到部分有可能系統(tǒng)采用 VPN 設(shè)備，所以可以選擇帶VPN 功能模塊的防火墻。產(chǎn)品功能：功能類別功能項功能細項18工作模式路由、透明、混合支持基于流、數(shù)據(jù)包、透明代理的過濾方式。支持對 HTTP、SMTP、POP3、FTP 等協(xié)議的深度內(nèi)容過濾

34、。支持 URL 過濾支持對移動代碼如 Java applet、Active-X、VBScript、Jscript、Java script的過濾支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾內(nèi)容過濾動態(tài)端口支持協(xié)議：FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP。對通過的數(shù)據(jù)進行在線過濾，查殺郵件正文附件、網(wǎng)頁及下載文件中包含的病毒，病毒庫更新提供快速掃描及完全掃描兩種掃描方式防病毒系統(tǒng)狀態(tài)實時監(jiān)控基于狀態(tài)檢測的動態(tài)包過濾實現(xiàn)基于源/目的 IP 地址、源/目的 MAC 地址、源/目

35、的端口、協(xié)議、時間等數(shù)據(jù)包快速過濾支持報文合法性檢查包過濾可實現(xiàn) IP/MAC 綁定非法報文攻擊：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof統(tǒng)計型報文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweepTopsec 聯(lián)動：可與支持 TOPSEC 協(xié)議的 IDS 設(shè)備聯(lián)動，以提高入侵檢測效率。端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進行阻斷設(shè)置防御攻擊SYN 代理：對來自定義區(qū)域的 Syn Flood 攻擊行為進行阻斷過濾支持使用一次性口令認證

36、（OTP）、本地認證、雙因子認證（SecureID）以及數(shù)字證書（CA）等常用的安全認證方式支持使用第三方認證如 RADIUS、TACACS/TACACS+、LDAP、域認證等安全認證方式支持 Session 認證、HTTP 會話認證支持認證?；罟δ蹵AA 服務(wù)可將認證用戶信息加密存放在本地數(shù)據(jù)庫支持雙向 NAT支持動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換網(wǎng)絡(luò)安全性NAT支持虛擬服務(wù)器功能支持靜態(tài)路由、動態(tài)路由網(wǎng)絡(luò)適應(yīng)性路由支持基于源/目的地址、接口、Metric 的策略路由19支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。支持 Vlan 路由，能夠

37、在不同的 VLAN 虛接口間實現(xiàn)路由功能。支持 RIP、OSPF 等路由協(xié)議。支持 IGMP 組播協(xié)議支持 IGMP SNOOPING組播可有效地實現(xiàn)視頻會議等多媒體應(yīng)用支持與交換機的 Trunk 接口對接，并且能夠?qū)崿F(xiàn) Vlan 間通過安全設(shè)備傳播路由支持 802.1Q，能進行 802.1Q 的封裝和解封支持 ISL，能進行 ISL 的封裝和解封VLAN在同一個 Vlan 內(nèi)能進行二層交換生成樹支持 802.1D 生成樹協(xié)議，包括 PVST+及 CST 等協(xié)議。支持 ARP 代理、ARP 學(xué)習(xí)ARP可設(shè)置靜態(tài) ARP非 IP 協(xié)議支持對非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。D

38、HCP支持 DHCP Client、DHCP Relay、DHCP Server支持 ADSL 接入功能，可滿足中小企業(yè)的多種接入需求。接入支持 PPPOE 撥號接入支持網(wǎng)絡(luò)時鐘協(xié)議 SNTP，可以自動根據(jù) NTP 服務(wù)器的時鐘調(diào)整本機時間其它支持 IPX、NetBEUI 等非 IP 協(xié)議。支持基于標準 IKE 協(xié)商的 VPN 通信隧道支持多種 IKE 認證方式，如預(yù)共享密鑰，數(shù)字證書等IKE支持 IKE 擴展認證，如 Radius 認證等。支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠程移動用戶到網(wǎng)關(guān)的 VPN 隧道在具有 SCM 的解決方案中，支持靈活的移動用戶到移動用戶的隧道。解決方案可以和密碼機產(chǎn)品，遠程客戶端產(chǎn)

39、品及 VPN 安全管理系統(tǒng)（SCM）共同組成完整的 VPN 解決方案。支持 3DES、DES、國密辦等加密算法支持標準 MD5、SHA-1 認證算法算法支持加密卡提供的 MD5、SHA-1 認證算法支持 HUB-SPOKE 方式支持網(wǎng)狀連接方式工作模式支持分級的樹狀連接方式支持網(wǎng)絡(luò)鄰居（利用 WINS）支持隧道的 NAT 穿越支持對隧道內(nèi)明文的訪問控制VPN其它功能可同時支持明密傳輸支持 Welf、Syslog 等多種日志格式的輸出支持通過第三方軟件來查看日志支持日志分級安全管理日志支持對接收到的日志進行緩沖存儲20通過安全審計系統(tǒng)（TA-L），可獲得更詳盡的日志分析和審計功能,并能提供員工上

40、網(wǎng)行為管理功能?？蛇x高級日志審計功能模塊，除接受防火墻日志外還能接受交換機、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進行聯(lián)合分析。支持網(wǎng)絡(luò)接口監(jiān)測、CPU 利用率監(jiān)測、內(nèi)存使用率監(jiān)測、操作系統(tǒng)狀況監(jiān)測、網(wǎng)絡(luò)狀況監(jiān)測、硬件系統(tǒng)監(jiān)測、進程監(jiān)測、進程內(nèi)存監(jiān)測、加密卡狀況監(jiān)測。監(jiān)控可根據(jù)配置文件進行錯誤恢復(fù)報警事件：內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯”、“測試”等多種觸發(fā)報警的事件類報警報警方式：采用郵件、NETBIOS、聲音、SNMP、控制臺等多種報警方式，報警方式可以組合使用。QOS 帶寬管理根據(jù) IP、協(xié)議、網(wǎng)絡(luò)接口、時間定義帶寬分配策略支持最小保證帶

41、寬和最大限制帶寬QoS支持分層的帶寬管理優(yōu)先級支持 8 級優(yōu)先級控制支持雙機熱備雙機熱備支持系統(tǒng)故障切換支持服務(wù)器的負載均衡，提供輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種負載均衡方式供用戶選擇。負載均衡支持生成樹協(xié)議，可實現(xiàn)鏈路負載均衡。支持鏈路備份功能支持雙系統(tǒng)引導(dǎo)，當主系統(tǒng)損壞時，可以啟用備用系統(tǒng)，不影響設(shè)備的正常使用帶寬管理其它功能支持 Watchdog 功能支持 WEB 圖形配置、命令行配置支持本地配置、遠程配置配置方式支持基于 SSH、SSL 的安全配置支持配置命令分級保護支持中英文命令行支持命令超時、歷史命令、命令補齊、命令幫助、命令錯誤提示等功能支持 SNMP 的 v1 、v

42、2 、v2c 、v3 版本SNMP與當前通用的網(wǎng)絡(luò)管理平臺兼容，如 HP Openview 等。支持雙系統(tǒng)升級支持遠程維護和系統(tǒng)升級系統(tǒng)升級支持 TFTP 升級提供強大的報文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問題。報文調(diào)試支持發(fā)送虛擬報文配置管理配置恢復(fù)可以進行配置文件的備份、下載、刪除、恢復(fù)和上載。21其它擴展能力開放式的架構(gòu)支持未來方便擴展防病毒、防垃圾郵件、IPSEC VPN、SSL VPN 等功能以及各種 VPN 加速卡2.4.7.6技術(shù)參數(shù)技術(shù)參數(shù)1.1000M 光纖接口2；2.并發(fā)連接數(shù)50 萬；3.VLAN 支持：支持 802.1q；4.流量管理：支持帶寬管

43、理和優(yōu)先級控制；5.支持 IP 與 MAC 地址綁定；6.支持 HTTP、STMP、POP3、FTP、SOCKS 代理；7.支持抗 DOS、端口掃描、特洛伊木馬等攻擊；8.支持基于 H.323 的視頻會議和 VOIP 語音系統(tǒng)。2.4.8 入侵檢測系統(tǒng)實施方案入侵檢測系統(tǒng)實施方案2.4.8.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)是屬于主動防御，它識別大量的攻擊模式、并根據(jù)用戶策略做出響應(yīng)。入侵檢測系統(tǒng)以實時性、動態(tài)檢測和主動防御為特點，有效彌補了其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng)，已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)的必備設(shè)施。網(wǎng)絡(luò)入侵檢測系統(tǒng)可以對整個網(wǎng)絡(luò)進行檢測和防御，通常由控制中心和探測

44、引擎兩部分組成。探測引擎一般采用專用硬件設(shè)備通過旁路方式接入檢測網(wǎng)絡(luò)。探測引擎全面?zhèn)陕牼W(wǎng)絡(luò)信息流，動態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，進行檢測和實時分析，從而實時甚至提前發(fā)現(xiàn)非法或異常行為，并且執(zhí)行告警、阻斷等功能，并記錄相應(yīng)的事件日志?？刂浦行氖敲嫦蛴脩簦峁┕芾砼渲檬褂谩ＫС挚刂贫鄠€位于本地或遠程的探測引擎，集中制定和配置監(jiān)控策略，提供統(tǒng)一的數(shù)據(jù)管理。對發(fā)現(xiàn)入侵或異常行為，入侵檢測系統(tǒng)控制中心能記錄、顯示詳細的入侵告警信息，如入侵主機的 IP 地址、攻擊特征等。通過對所記錄的歷史報警信息22進行分類統(tǒng)計，可形成用戶所需要的管理報表。2.4.8.2入侵檢測技術(shù)入侵檢測技術(shù)高性能報文捕獲高性能報

45、文捕獲DMADMA 和零拷貝技術(shù)和零拷貝技術(shù)IDS 作為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。目前，由于網(wǎng)絡(luò)自身的發(fā)展非常迅速，一般的網(wǎng)絡(luò)局域網(wǎng)主干交換帶寬速度由 10/100M 的網(wǎng)絡(luò)發(fā)展到 1000M，給 IDS 帶來了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測系統(tǒng)一般基于簡單的模式匹配實現(xiàn)，在百兆滿負荷的網(wǎng)絡(luò)環(huán)境中工作已經(jīng)相當吃力，而網(wǎng)絡(luò)帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 IDS 增加 10 倍的處理能力，因此網(wǎng)絡(luò)的發(fā)展，提出了千兆或更高性能 IDS 的需求。而高性能入侵檢測的一個重要瓶頸就在于高速的報文捕獲和批量處理分析。為了提高報文捕獲的效率，通過修改網(wǎng)卡驅(qū)動程序，使用

46、 DMA 和數(shù)據(jù)零拷貝技術(shù)零拷貝技術(shù)，大大提高了效率，如下圖所示：DMA 和數(shù)據(jù)零拷貝技術(shù)和傳統(tǒng)入侵檢測報文捕獲技術(shù)的比較零拷貝技術(shù)省略了 TCP/IP 堆棧的處理，直接將網(wǎng)卡通過 DMA 直接數(shù)據(jù)傳輸將報文數(shù)據(jù)傳遞到了 IDS 系統(tǒng)可以訪問的空間，大大減少了傳統(tǒng)方式中因為上下文切換和數(shù)據(jù)拷貝而帶來的系統(tǒng)開銷，使用了零拷貝技術(shù)之后，系統(tǒng)的捕包效率大大提高，測試結(jié)果是在能夠在 1.4G 的 CPU 下，捕獲 100 萬/秒報文時，CPU 占用率還低于 10%。這種效率完全可以滿足在千兆高速環(huán)境下入侵檢測分析。23支撐平臺結(jié)構(gòu)和系統(tǒng)優(yōu)化支撐平臺結(jié)構(gòu)和系統(tǒng)優(yōu)化對于整體結(jié)構(gòu)的優(yōu)化有助于進一步提高 ID

47、S 系統(tǒng)引擎的速度。1. 并行處理在雙 CPU 并行處理機上，通過使用多線程，使得我們可以將多個報文同時進行處理，為了減少同步帶來的代價，使用報文的預(yù)分析，然后根據(jù)預(yù)分析的結(jié)果進行任務(wù)分配，將一個報文的所有分析和匹配工作都交給一個工作線程去處理，多個線程可以同時并行處理多個報文。2. 使用匯編語言實現(xiàn)關(guān)鍵處理通過使用匯編語言可以大大減少使用高級語言帶來的冗余代碼，在核心的關(guān)鍵處理上如模式集合的匹配上使用匯編語言實現(xiàn)能夠大大提高效率。3. 優(yōu)化內(nèi)存分配算法經(jīng)過分析在 IDS 系統(tǒng)中，會大量的使用內(nèi)存的分配和釋放操作，如果，實現(xiàn)中都通過系統(tǒng)的分配釋放函數(shù)來實現(xiàn)會大大影響系統(tǒng)的處理速度。通過使用簡化

48、而且合理的內(nèi)存分配算法，能夠使這部分的代價減少。通過精簡運行的操作系統(tǒng)，使用優(yōu)化程序技術(shù)也是提高入侵檢測的性能的必要條件，同時保證了入侵檢測產(chǎn)品的自身安全性?；跔顟B(tài)的全面協(xié)議分析基于狀態(tài)的全面協(xié)議分析協(xié)議分析模塊完成 IDS 系統(tǒng)引擎中主要的分析工作，對于一個報文在引擎的處理過程中，報文：分析：匹配1：1：N，這就是說一個報文需要經(jīng)過一次分析，再和 N 條規(guī)則進行匹配之后產(chǎn)生事件。如果能夠通過更準確的分析，減少匹配的工作，就能夠最終提高整個 IDS 系統(tǒng)的處理效率。因此協(xié)議分析的準確性和效率對于整個系統(tǒng)的處理效率影響非常大。這部分包括兩個大的方面：提高協(xié)議分析的速度提高協(xié)議分析的速度1.基于

49、狀態(tài)的協(xié)議分析網(wǎng)絡(luò)中通訊的報文一般都不是孤立的，而是在一系列的報文通訊之中的，也就是說是有一定的報文前后上下文的。通過基于狀態(tài)的協(xié)議分析，能夠大大提高解析的準確度，同時對于不同報文采用不同的少量分析的方式，從而也提高了協(xié)議分析的速度。242.運用多種算法進行解析在報文的分析過程，采用多種算法來提高協(xié)議解析的速度，比如使用高速樹型匹配算法、HASH 算法等等。提高協(xié)議分析的效果提高協(xié)議分析的效果采用兩種方法提高協(xié)議解析的效果：直接產(chǎn)生協(xié)議分析中確定的事件和更深入的協(xié)議分析。1.直接產(chǎn)生協(xié)議分析中確定的事件通過在協(xié)議分析模塊中直接產(chǎn)生事件，從而減少在匹配規(guī)則模塊中規(guī)則集的規(guī)模，如：RFC 協(xié)議確定

50、的事件和異常事件：如 FLOOD 攻擊，從而提高整個報文的處理速度。2.更深入的協(xié)議分析更深入的協(xié)議解析提高了規(guī)則集中規(guī)則的匹配準確性，比如縮小一次字符串匹配在報文中搜索范圍，從而節(jié)省時間，提高規(guī)則匹配的效率。樹型規(guī)則和匹配算法樹型規(guī)則和匹配算法前面已經(jīng)提到，報文：分析：匹配1：1：N 的關(guān)系。一個報文需要跟多條規(guī)則進行比較，這需要大量的運算，占用許多的 CPU 時間。通過三個方法去提高其效率：協(xié)議規(guī)則子集、規(guī)則樹和快速模式集合匹配。1.協(xié)議規(guī)則子集協(xié)議規(guī)則子集是通過將規(guī)則集合中的規(guī)則按照其所屬的協(xié)議分成許多小的子集，而一個報文只與其相關(guān)的協(xié)議規(guī)則子集中的規(guī)則進行匹配，從而大大減少實際一個報文

51、進行匹配的規(guī)則數(shù)量，減少匹配時間。2.規(guī)則樹將線性規(guī)則匹配方式改造成為樹型規(guī)則匹配方式，就必須構(gòu)造規(guī)則樹。通過規(guī)則樹，我們可以很容易在匹配過程中淘汰掉不可能的規(guī)則,減少重復(fù)判斷的次數(shù),并實現(xiàn)將一個協(xié)議變量的多個取值放到一起（形成取值集合）進行判斷，大大的提高了比較效率。3.快速模式集合匹配由于在一個報文的匹配中，最為耗時的匹配運算是在報文中匹配一個字符串模式，通過快速模式集合匹配算法來提高這部分匹配的效率?？焖倨ヅ湟馕?5著能夠盡可能快的在一個正文串中查找到一個模式串的存在，這是通過提高匹配時移動模式的距離實現(xiàn)的；集合匹配意味著同時快速的對多個模式進行匹配。二者的結(jié)合就是在一個報文中快速的匹配

52、多個模式。準確的特征分析和規(guī)范描述準確的特征分析和規(guī)范描述解決入侵檢測的漏報和誤報現(xiàn)象還依賴于準確的特征提取和描述，在所應(yīng)用的特征全面采用了如下兩種特征分析方法和統(tǒng)一的規(guī)范化語言描述?；诼┒礄C理的特征分析基于漏洞機理的特征分析利用漏洞機理的方法來提取和定義特征，可以實現(xiàn)檢測和具體攻擊工具的無關(guān)性，特別對于防止新型變種的攻擊和攻擊工具改造非常有效?；诠暨^程的特征分析基于攻擊過程的特征分析攻擊過程分析法則是完全站在攻擊者的角度，破析完整的攻擊過程，可以判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。2.4.8.3入侵檢測系統(tǒng)部署入侵檢測系統(tǒng)部署本方案中分別在公共區(qū)域、生產(chǎn)系統(tǒng)區(qū)域、辦公系統(tǒng)區(qū)域部

53、署一套入侵檢測系統(tǒng)，部署示意圖如圖 1 所示，公共系統(tǒng)的入侵檢測引擎與核心交換機相連，辦公系統(tǒng)、生產(chǎn)系統(tǒng)的入侵檢測系統(tǒng)與該區(qū)域的交換機相連，分別針對不同的需求，對各個子網(wǎng)的入侵進行檢測和防護。2.4.8.4入侵檢測系統(tǒng)選型入侵檢測系統(tǒng)選型本方案中按照三個區(qū)域分別采用三套入侵檢測系統(tǒng)，可以在生產(chǎn)系統(tǒng)、辦公系統(tǒng)區(qū)域和公共區(qū)域各采用一套千兆入侵檢測引擎，另外，在核心交換機處部署一套高性能千兆入侵檢測系統(tǒng)，實時監(jiān)控各個子網(wǎng)網(wǎng)絡(luò)傳輸狀態(tài)，自動檢測可疑行為，及時發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊，并可以實時響應(yīng)，切斷攻擊方的連接，同時還可以與防火墻緊密結(jié)合，產(chǎn)生聯(lián)動，彌補了防火墻的訪問控制不嚴密的問題。另外，根

54、據(jù)網(wǎng)絡(luò)網(wǎng)絡(luò)部署結(jié)構(gòu)，可以將核心處選擇為帶子控功能的入侵檢測系統(tǒng)，當在部署結(jié)構(gòu)改變后可以作為中心節(jié)點使用。配合探測引擎，管理中心安裝于一臺服務(wù)器上，控制中心面向用戶，提供管理配置之26用?？刂浦行氖莻€高性能的管理系統(tǒng)，它能控制位于本地或遠程的多個網(wǎng)絡(luò)探測引擎的活動，集中制定和配置策略，提供統(tǒng)一的數(shù)據(jù)管理。管理控制中心可以被設(shè)置為主、子結(jié)構(gòu)，主管理控制中心可以實時接收、轉(zhuǎn)發(fā)子控制中心的告警信息，分類提取子控制中心的日志信息，下發(fā)各種配置文件、策略供子控對其所屬網(wǎng)絡(luò)探測引擎進行配置。2.4.8.5入侵檢測系統(tǒng)功能入侵檢測系統(tǒng)功能完善的管理控制體系完善的管理控制體系多層分級管理多層分級管理所選入侵檢測

55、系統(tǒng)的管理控制中心可靈活設(shè)置成與行政業(yè)務(wù)管理流程緊密結(jié)合的集中監(jiān)控、多層管理的分級體系。通過策略下發(fā)機制，使上級部門能夠統(tǒng)一全網(wǎng)的安全防護策略；通過信息上傳機制，使上級部門能夠及時了解和監(jiān)控全網(wǎng)的安全狀態(tài)。靈活的更新和版本升級靈活的更新和版本升級所選入侵檢測系統(tǒng)支持手動和自動的特征更新和版本升級，也可以在分級管理體系下由主控統(tǒng)一來完成。所選入侵檢測系統(tǒng)的探測引擎同時支持通過USB 口進行升級。全局預(yù)警全局預(yù)警在所選入侵檢測系統(tǒng)的多層分級管理體系下，可以實現(xiàn)把單點發(fā)生的重要事件自動預(yù)警到其它管理區(qū)域，使得各級管理員對于可能發(fā)生的重要安全事件具有提前的預(yù)警提示。利用全局預(yù)警通道，各級管理員也可以發(fā)

56、送交互信息，交流對安全事件的處理經(jīng)驗。嚴格的權(quán)限管理嚴格的權(quán)限管理所選入侵檢測系統(tǒng)可以設(shè)定多種分類權(quán)限供不同的人員使用，支持更為嚴格的多鑒別身份認證方式。同時在產(chǎn)品部署上支持事件監(jiān)測、事件分析以及管理配置分布部署，從物理角度保證管理安全。時鐘同步機制時鐘同步機制所選入侵檢測系統(tǒng)支持 NTP 服務(wù)進行時間同步，保證跨時區(qū)的部署條件下27也能保持管理時間的一致性。支持多報警顯示臺支持多報警顯示臺所選入侵檢測系統(tǒng)提供了良好的多點監(jiān)測機制，允許掛接多個報警顯示中心，方便多個管理人員進行有效的報警觀測。數(shù)據(jù)庫維護管理數(shù)據(jù)庫維護管理所選入侵檢測系統(tǒng)提供強大的數(shù)據(jù)庫維護管理功能，可以對歷史數(shù)據(jù)進行自動、手動

57、的備份、刪除操作，還可以導(dǎo)入歷史的備份數(shù)據(jù)?？蓴U展到入侵管理可擴展到入侵管理入侵檢測全面支持入侵管理，實現(xiàn)多種安全產(chǎn)品：漏洞掃描、主機入侵檢測的統(tǒng)一管理和協(xié)同關(guān)聯(lián)。全面的入侵檢測能力全面的入侵檢測能力多種技術(shù)結(jié)合防止漏報多種技術(shù)結(jié)合防止漏報1. 采用引擎高速捕包技術(shù)保證滿負荷的報文捕獲；2. 采用的高速樹型匹配技術(shù)實現(xiàn)了一次匹配多個規(guī)則的模式，檢測效率得以成倍的量級提高；3. 采用了 IP 碎片重組、TCP 流重組以及特殊應(yīng)用編碼解析等多種方式，應(yīng)對躲避 IDS 檢測的手法，如：WHISKER、FRAGROUTE 等攻擊方式；4. 采用預(yù)制漏洞機理分析方法定義特征，對未知攻擊方式和變種攻擊也能

58、及時報警；5. 采用行為關(guān)聯(lián)分析技術(shù)，可以發(fā)現(xiàn)基于組合行為的復(fù)雜攻擊；多種措施降低誤報多種措施降低誤報1. 基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹，保證特征匹配的準確性；2. 基于攻擊過程的分析方法定義特征，可以識別攻擊的狀態(tài)，提供不同級別的事件報警信息；3. 通過采集和關(guān)聯(lián)攻擊發(fā)送方和被攻擊目標的信息，可以成功或失敗的攻擊事件給出明確標識。4. 通過支持入侵管理，可以結(jié)合漏洞掃描結(jié)果來評估威脅的風(fēng)險級別。28多種機制限制濫報多種機制限制濫報1. 內(nèi)置狀態(tài)檢測機制，可以識別和處理類似“STICK”等的反 IDS攻擊，有效地避免了事件風(fēng)暴的產(chǎn)生；2. 提供多種可選的統(tǒng)計合并技術(shù)，可以對同一事件采用合并上

59、報，減少報警量?？蓴U展的響應(yīng)和聯(lián)動可擴展的響應(yīng)和聯(lián)動所選入侵檢測系同應(yīng)具有豐富的可擴展事件響應(yīng)方式， 包括屏幕顯示日志記錄TCP KILLER 阻斷支持郵件方式遠程報警、聲音以及自定義程序報警支持向網(wǎng)管發(fā)送 SNMP TRAP 信息可以充分實現(xiàn)和第三方安全產(chǎn)品以及網(wǎng)絡(luò)設(shè)備的策略響應(yīng)聯(lián)動。防火墻聯(lián)動:通過聯(lián)動通訊標準的支持，防火墻業(yè)界主流的產(chǎn)品可以實現(xiàn)和入侵系統(tǒng)的聯(lián)動，對外部發(fā)起的攻擊行為進行阻斷。交換機聯(lián)動：可以根據(jù)策略制定動態(tài)關(guān)閉相應(yīng)的交換機端口，可以防止蠕蟲類事件的攻擊擴散，進行內(nèi)網(wǎng)安全防護。多樣化的日志分析報告多樣化的日志分析報告可以為管理人員和入侵檢測分析員提供了不同類型的日志分析手段

60、和報告輸出。為管理人員提供了常用的周期性統(tǒng)計報表類型模版，管理人員可以直接利用，得出管理性的安全結(jié)論。為入侵檢測分析員提供了多種缺省分析模版，根據(jù)這些模版可以獲得多種分類的事件日志信息和統(tǒng)計排名。入侵檢測系統(tǒng)提供了多樣化的日志過濾查詢條件，用戶可以進行自主定義習(xí)慣的查詢模式，進行有效的日志分析查詢。報表可以導(dǎo)出為多種常用格式（WORDEXCEL） ，并設(shè)置郵件定時發(fā)送報告功能。2.4.8.6檢測性能指標檢測性能指標攻擊特征流采用統(tǒng)一的 100 種標準的不同攻擊樣本，目標機器配置多種網(wǎng)29絡(luò)服務(wù)。網(wǎng)絡(luò)背景流量采用專用發(fā)包設(shè)備來制造，以背景流量為基準，測試入侵檢測系統(tǒng)在不同的流量環(huán)境（包長）和不同

61、連接背景下的檢測能力。 千兆引擎的性能指標如下：302.4.8.7技術(shù)參數(shù)技術(shù)參數(shù)1.1 個標準 1000Base-SX(SC)接口（可擴展） ；至少 3 個標準10/100/1000BaseTX 接口；2.MTBF9 萬小時；3.IP 碎片重組500,000，4.最大檢測 TCP 會話數(shù)：800,000 ，5.檢測流量：1G。2.4.9 漏洞掃描系統(tǒng)實施方案漏洞掃描系統(tǒng)實施方案配備一套漏洞掃描系統(tǒng)按要求就要以實現(xiàn)對內(nèi)部計算機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進行安全性掃描、評估。為管理員、安全維護人員提供詳細的脆弱性信息和安全建議。漏洞掃描器通過確定目標設(shè)備的系統(tǒng)狀態(tài)，用于對網(wǎng)絡(luò)設(shè)備和主機進行脆弱性分析

62、。2.4.9.1實施目的實施目的由于防火墻固有的局限性和目前對入侵檢測系統(tǒng)的逃避技術(shù)，網(wǎng)絡(luò)安全性的提高還需要有漏洞掃描系統(tǒng)，它是要實現(xiàn)對內(nèi)部計算機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進行安全性掃描、評估。為管理員、安全維護人員提供詳細的脆弱性信息和安全建議。通過部署漏洞掃描系統(tǒng)主要為了達到如下的目的：掃描分析網(wǎng)絡(luò)系統(tǒng)，檢測和發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中安全薄弱環(huán)節(jié)。準確而全面地報告網(wǎng)絡(luò)存在的脆弱性和漏洞。檢測并報告掃描目標的相關(guān)信息以及對外提供的服務(wù)。根據(jù)用戶需要生成各種分析報告。312.4.9.2實施策略實施策略根據(jù)目前情況分析采取全網(wǎng)掃描策略；當網(wǎng)絡(luò)規(guī)模增大后，特別是分為多級網(wǎng)絡(luò)結(jié)構(gòu)后可以采用分布式部署策略，其功能組

63、件可以部署在不同主機上，控制中心同時管理多個掃描引擎，不同的掃描引擎負責(zé)對不同網(wǎng)段的系統(tǒng)進行掃描檢測，顯示中心和報表中心可匯總顯示各掃描引擎的掃描結(jié)果信息。2.4.9.3漏洞掃描系統(tǒng)部署漏洞掃描系統(tǒng)部署由于漏洞掃描系統(tǒng)為軟件產(chǎn)品，而且是定期或不定期使用，無需專門提供計算機來安裝。可以安裝在網(wǎng)絡(luò)中配置較高的任意一臺計算機上即可對全網(wǎng)相關(guān)設(shè)備進行掃描。但是本網(wǎng)絡(luò)結(jié)構(gòu)中由于部分需要重點防護，并且部分應(yīng)用不可以跨網(wǎng)段，安全性要求也不盡相同，所以可以在三個區(qū)域分別部署一套漏洞掃描系統(tǒng)，制定不同的掃描策略，有針對性的進行漏洞掃描，另外也可以采用分布式單級部署方式，將不同掃描引擎安裝在不同的區(qū)域，然后進行統(tǒng)

64、一管理。單個系統(tǒng)部署示意圖如下：路由器核心交換機防火墻IDS樓層交換機工作站工作站工作站服務(wù)器區(qū)掃描主機安安全全性性分分析析報報告告：系系統(tǒng)統(tǒng)版版本本太太低低：高高風(fēng)風(fēng)險險管管理理員員口口令令永永不不過過期期：中中風(fēng)風(fēng)險險開開放放NFS等等無無關(guān)關(guān)服服務(wù)務(wù)：低低風(fēng)風(fēng)險險32圖 2：漏洞掃描系統(tǒng)部署示意圖2.4.9.4漏洞掃描系統(tǒng)選型漏洞掃描系統(tǒng)選型漏洞掃描系統(tǒng)一般為軟件產(chǎn)品，本方案選用帶三個掃描器的漏洞掃描系統(tǒng)，分別對公共區(qū)域，生產(chǎn)系統(tǒng)區(qū)、辦公系統(tǒng)區(qū)進行部署，根據(jù)不同級別和策略的掃描采用不同的安全防護手段。三個掃描器可以安裝在三個子網(wǎng)中的任意一臺機器上，建議安裝在應(yīng)用服務(wù)器上，然后統(tǒng)一由管理中

65、心管理。2.4.9.5漏洞掃描系統(tǒng)功能特點漏洞掃描系統(tǒng)功能特點分布式管理分布式管理分布管理、集中分析分布管理、集中分析各掃描引擎可以按不同的掃描策略同時進行多網(wǎng)絡(luò)系統(tǒng)的漏洞檢測，并將檢測結(jié)果集中顯示、集中分析。多級管理多級管理對于擁有不同地域、大規(guī)模網(wǎng)絡(luò)的用戶，各個地域的網(wǎng)絡(luò)安全管理員管理著本地域的網(wǎng)絡(luò)安全狀況，其上層的安全管理員可以上傳檢測結(jié)果、下達檢測策略、統(tǒng)一管理、統(tǒng)一分析、統(tǒng)一升級；實現(xiàn)大規(guī)模網(wǎng)絡(luò)環(huán)境下的全局風(fēng)險控制、降低管理成本。京唐港公司日后規(guī)模擴大可以采用此種方式。策略管理策略管理為用戶提供多種掃描策略，用戶可根據(jù)實際需求來選擇合適的策略。同時，靈活的策略自定義功能可以讓用戶根據(jù)

66、特殊需要更改和編輯掃描策略。應(yīng)用特定配置的策略，用戶能實現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。掃描計劃定制掃描計劃定制產(chǎn)品應(yīng)支持掃描計劃任務(wù)，可根據(jù)用戶自定義的掃描計劃來完成掃描任務(wù)，掃描任務(wù)可以按照不同時間類型（如每周、每月等）制定多個，分別自動執(zhí)行，系統(tǒng)還支持計劃有效期的設(shè)定。掃描功能掃描功能可識別的掃描對象能夠準確的識別各種操作系統(tǒng)和主機名稱，如 Win95/98/Me、Windows 33NT、Windows 2000/XP、Windows2003、Linux、Solaris、SCO Unix、HP Unix、IBM AIX、IRIX、BSD 等?？梢話呙璧膶ο蟀ǜ鞣N服務(wù)器、工作站、網(wǎng)絡(luò)打印機以及相應(yīng)的網(wǎng)絡(luò)設(shè)備如：3Com 交換機、CISCO 路由器、Checkpoint Firewall、HP 打印機、Cisco PIX Firewall 等。可以提供掃描對象的賬戶信息，便于檢查是否異常賬戶出現(xiàn)。掃描漏洞分類掃描漏洞分類Windows 系統(tǒng)漏洞、WEB 應(yīng)用漏洞、CGI 應(yīng)用漏洞、FTP 類漏洞、DNS、后門類、網(wǎng)絡(luò)設(shè)備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、