網(wǎng)絡(luò)安全建設(shè)實(shí)施方案

《網(wǎng)絡(luò)安全建設(shè)實(shí)施方案》由會(huì)員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全建設(shè)實(shí)施方案（89頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、1京唐港股份有限公司京唐港股份有限公司網(wǎng)絡(luò)安全建設(shè)實(shí)施方案網(wǎng)絡(luò)安全建設(shè)實(shí)施方案二二 OOOO 七年二月七年二月2目錄目錄1概述概述.32網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè).32.1安全現(xiàn)狀分析.32.2安全風(fēng)險(xiǎn)分析.42.2.1物理安全.42.2.2網(wǎng)絡(luò)安全與系統(tǒng)安全.42.2.3應(yīng)用安全.52.2.4安全管理.52.3安全需求分析.62.3.1物理安全需求分析.62.3.2網(wǎng)絡(luò)安全與系統(tǒng)安全.72.3.3應(yīng)用安全.72.3.4安全管理.82.4安全實(shí)施方案.82.4.1物理安全防護(hù).82.4.2備份與恢復(fù).92.4.3訪問控制.92.4.4系統(tǒng)安全.92.4.5網(wǎng)段劃分與虛擬局域網(wǎng).112.4

2、.6辦公網(wǎng)整體安全建議.112.4.7防火墻實(shí)施方案.132.4.8入侵檢測(cè)系統(tǒng)實(shí)施方案.202.4.9漏洞掃描系統(tǒng)實(shí)施方案.292.4.10身份認(rèn)證系統(tǒng)實(shí)施方案.332.4.11安全審計(jì)系統(tǒng)實(shí)施方案.392.4.12防病毒系統(tǒng)實(shí)施方案.433異地網(wǎng)接入安全建設(shè)異地網(wǎng)接入安全建設(shè).553.1接入方式選擇.563.2安全性分析.573.3兩種方式優(yōu)勢(shì)特點(diǎn).573.4VPN 原理介紹.583.5VPN 的選型.633.6財(cái)務(wù)系統(tǒng)安全防護(hù).664機(jī)房設(shè)備集中監(jiān)控管理機(jī)房設(shè)備集中監(jiān)控管理.664.1.1設(shè)備及應(yīng)用系統(tǒng)管理現(xiàn)狀.664.1.2建立機(jī)房集中控制管理系統(tǒng)需求.664.1.3集中控制管理系統(tǒng)方

3、案實(shí)現(xiàn).674.1.4功能特點(diǎn).684.2監(jiān)控顯示系統(tǒng).684.2.1投影顯示系統(tǒng).6834.2.2等離子顯示系統(tǒng).685網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)管理中心.695.1.1建立網(wǎng)絡(luò)管理中心需求.695.1.2網(wǎng)絡(luò)管理功能實(shí)現(xiàn).696桌面管理及補(bǔ)丁分發(fā)中心桌面管理及補(bǔ)丁分發(fā)中心.726.1.1建立桌面管理中心需求.726.1.2桌面管理功能實(shí)現(xiàn).747網(wǎng)絡(luò)設(shè)備升級(jí)網(wǎng)絡(luò)設(shè)備升級(jí).8141 概述概述京唐港股份有限公司辦公大樓網(wǎng)絡(luò)信息系統(tǒng)目前剛剛投入使用，主要包括新建大廈、舊辦公區(qū)辦公網(wǎng)絡(luò)以及部分省市辦事處專網(wǎng)，該套網(wǎng)絡(luò)與 Internet互聯(lián)，將要實(shí)現(xiàn)整個(gè)業(yè)務(wù)系統(tǒng)的辦公自動(dòng)化，包括業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)存儲(chǔ)備份、

4、文件共享、對(duì)外宣傳等，同時(shí)還要為員工相關(guān)業(yè)務(wù)應(yīng)用及學(xué)習(xí)提供便利的上網(wǎng)條件；所以該網(wǎng)絡(luò)既是辦公系統(tǒng)的承載體，也是威脅風(fēng)險(xiǎn)的承受體，在公司規(guī)模日漸壯大的今天，網(wǎng)絡(luò)規(guī)模也相應(yīng)的在不斷的擴(kuò)大，相關(guān)的配套網(wǎng)絡(luò)及安全設(shè)備雖然具有較新的技術(shù)和功能，但還不足以抵御紛繁復(fù)雜的互聯(lián)網(wǎng)的威脅，整個(gè)網(wǎng)絡(luò)的安全也需要做相應(yīng)的增強(qiáng)防護(hù)，另外從設(shè)備及應(yīng)用的管理角度來看，可以采取一些智能和高效的管理手段及措施，在保障業(yè)務(wù)正常運(yùn)行了同時(shí)，保證系統(tǒng)的安全可靠，減少和簡(jiǎn)化安全管理，提高系統(tǒng)工作效率。本方案將著重從安全系統(tǒng)的整體建設(shè)及相應(yīng)的一些網(wǎng)絡(luò)管理手段上具體分析，并提出可行性的實(shí)施方案，把目前在使用過程中遇到的一些問題解決并防患

5、于未然，同時(shí)為用戶提供一整套安全及網(wǎng)絡(luò)管理措施，把公司網(wǎng)絡(luò)建設(shè)成為一個(gè)符合業(yè)務(wù)需求、安全可靠、容易管理操作的高質(zhì)量的辦公網(wǎng)絡(luò)。2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)2.1 安全現(xiàn)狀分析安全現(xiàn)狀分析京唐港股份有限公司依托于京唐港整體規(guī)劃建設(shè)和發(fā)展，將承載著越來越多的港口業(yè)務(wù)等工作，特別是隨著信息化辦公的進(jìn)一步深入，自動(dòng)化辦公的便利和效率可以說是公司發(fā)展壯大的必要手段；但是京唐港股份有限公司辦公大樓是整個(gè)公司信息的核心地帶，不但為本地員工及另外一個(gè)園區(qū)的業(yè)務(wù)人員提供各種辦公應(yīng)用服務(wù)，而且在各地已經(jīng)或是將要成立辦事處，實(shí)現(xiàn)遠(yuǎn)程辦公，并且各個(gè)位置和部門的業(yè)務(wù)需求又不盡相同，在這種網(wǎng)絡(luò)結(jié)構(gòu)較為龐大，多層次

6、、多應(yīng)用的網(wǎng)絡(luò)中，安全是一項(xiàng)很重要的任務(wù)和保證措施。目前，該網(wǎng)絡(luò)已經(jīng)建設(shè)完成，安全手段主要在網(wǎng)絡(luò)邊界處采取了防火墻，5在整個(gè)網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)版殺毒軟件和網(wǎng)管軟件，其他安全措施主要是依靠個(gè)人的安全意識(shí)和行為；現(xiàn)階段，全網(wǎng)已經(jīng)爆發(fā)了多次病毒感染等問題，一定程度上影響了辦公的效率，所以有必要進(jìn)一步從技術(shù)角度完善安全系統(tǒng)。2.2 安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)分析2.2.1 物理安全物理安全物理安全層面存在下述威脅和風(fēng)險(xiǎn)形式：機(jī)房毀壞：由于戰(zhàn)爭(zhēng)、自然災(zāi)害、意外事故造成機(jī)房毀壞，大部分設(shè)備損壞。線路中斷：因線路中斷，造成系統(tǒng)不能正常工作。電力中斷：因電力檢修、線路或設(shè)備故障造成電力中斷。設(shè)備非正常毀壞：因盜竊、人

7、為故意破壞造成設(shè)備毀壞。設(shè)備正常損壞：設(shè)備軟 、硬件故障，造成設(shè)備不能正常工作。存貯媒體損壞：因溫度 、濕度或其他原因，各種數(shù)據(jù)存儲(chǔ)媒體不能正常使用。2.2.2 網(wǎng)絡(luò)安全與系統(tǒng)安全網(wǎng)絡(luò)安全與系統(tǒng)安全互聯(lián)網(wǎng)安全隱患：互聯(lián)網(wǎng)會(huì)帶來的越權(quán)訪問、惡意攻擊、病毒入侵等安全隱患；搭線竊取的隱患：黑客或犯罪團(tuán)體通過搭線和架設(shè)協(xié)議分析設(shè)備非法竊取系統(tǒng)信息；病毒侵襲的隱患：病毒在系統(tǒng)內(nèi)感染、傳播和發(fā)作；操作系統(tǒng)安全隱患：操作系統(tǒng)可能的后門程序、安全漏洞、安全設(shè)置不當(dāng)、安全級(jí)別低等，缺乏文件系統(tǒng)的保護(hù)和對(duì)操作的控制，讓各種攻擊有可乘之機(jī)；數(shù)據(jù)庫(kù)系統(tǒng)安全隱患：不能實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行情況，數(shù)據(jù)庫(kù)數(shù)據(jù)丟失、被非法

8、訪問或竊??；應(yīng)用系統(tǒng)安全隱患：應(yīng)用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等，6可能出現(xiàn)非法訪問；惡意攻擊和非法訪問：拒絕服務(wù)攻擊，網(wǎng)頁(yè)篡改，下載不懷好意的惡意小程序，對(duì)系統(tǒng)進(jìn)行惡意攻擊，對(duì)系統(tǒng)進(jìn)行非法訪問等。2.2.3 應(yīng)用安全應(yīng)用安全身份假冒：缺少?gòu)?qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng)被假冒身份者闖入；非授權(quán)訪問：缺少?gòu)?qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng)被越權(quán)訪問；數(shù)據(jù)失、泄密：涉密數(shù)據(jù)在處理、傳輸、存儲(chǔ)過程中，被竊取或非授權(quán)訪問；數(shù)據(jù)被修改：數(shù)據(jù)在處理、傳輸、存儲(chǔ)過程中被非正常修改和刪除；否認(rèn)操作：數(shù)據(jù)操作者為逃避責(zé)任而否認(rèn)其操作行為。2.2.4 安全管理安全管理安全管理組

9、織不健全：沒有相應(yīng)的安全管理組織，缺少安全管理人員編制，沒有建立應(yīng)急響應(yīng)支援體系等。缺乏安全管理手段：不能實(shí)時(shí)監(jiān)控機(jī)房工作、網(wǎng)絡(luò)連接和系統(tǒng)運(yùn)行狀態(tài)，不能及時(shí)發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件，不能追蹤安全事件等。人員安全意識(shí)淡薄：無意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操作員 IC 卡，私自接入外網(wǎng)，私自拷貝竊取信息，私自安裝程序，不按操作規(guī)程操作和越權(quán)操作，擅離崗位，沒有交接手續(xù)等，均會(huì)造成安全隱患。管理制度不完善：缺乏相應(yīng)的管理制度，人員分工和職責(zé)不明，沒有監(jiān)督、約束和獎(jiǎng)懲機(jī)制，存在潛在的管理風(fēng)險(xiǎn)。缺少標(biāo)準(zhǔn)規(guī)范：系統(tǒng)缺乏總體論證，沒有或缺少相關(guān)的標(biāo)準(zhǔn)規(guī)范，各子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴(kuò)展性不

10、強(qiáng)。缺乏安全服務(wù)：人員缺少安全培訓(xùn)，系統(tǒng)從不進(jìn)行安全評(píng)估和安全加固，系統(tǒng)故障不能及時(shí)恢復(fù)等。72.3 安全需求分析安全需求分析基于上述的安全風(fēng)險(xiǎn)分析，京唐港股份有限公司信息系統(tǒng)必須采取相應(yīng)的應(yīng)對(duì)措施與手段，形成有效的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力，為整個(gè)信息系統(tǒng)建立可靠的安全運(yùn)行環(huán)境和安全業(yè)務(wù)系統(tǒng)，切實(shí)保障全公司信息系統(tǒng)正常、有序、可靠地運(yùn)行。 2.3.1 物理安全需求分析物理安全需求分析異地容災(zāi)：異地容災(zāi)主要是預(yù)防場(chǎng)地問題帶來的數(shù)據(jù)不可用等突發(fā)情況。這些場(chǎng)地問題包括：電力中斷供電部門因各種原因長(zhǎng)時(shí)間的中斷；電信中斷各種原因造成的通信線路破壞；戰(zhàn)爭(zhēng)、地震、火災(zāi)、水災(zāi)等造成機(jī)房毀壞或不

11、可用等。這些災(zāi)難性事件會(huì)直接造成業(yè)務(wù)的中斷，甚至造成數(shù)據(jù)丟失等，會(huì)造成相當(dāng)程度的社會(huì)影響和經(jīng)濟(jì)影響。通過容災(zāi)系統(tǒng)將這種“場(chǎng)地”故障造成的數(shù)據(jù)不可用性減到最小。要求災(zāi)難發(fā)生時(shí)，異地容災(zāi)系統(tǒng)保證：數(shù)據(jù)在遠(yuǎn)程場(chǎng)地存有一致、可用的拷貝，保證數(shù)據(jù)的安全；應(yīng)用立即在遠(yuǎn)程現(xiàn)場(chǎng)運(yùn)行，保證業(yè)務(wù)的連續(xù)性 。機(jī)房監(jiān)控：機(jī)房監(jiān)控主要是預(yù)防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。設(shè)備備份：設(shè)備備份用于預(yù)防關(guān)鍵設(shè)備意外損壞。網(wǎng)絡(luò)中關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器應(yīng)有冗余設(shè)計(jì)。線路備份：線路備份主要是預(yù)防通信線路意外中斷。電源備份：電源備份用于預(yù)防電源故障引起的短時(shí)電力中斷。2.3.2 網(wǎng)絡(luò)安全與系統(tǒng)

12、安全網(wǎng)絡(luò)安全與系統(tǒng)安全深層防御：深層防御就是采用層次化保護(hù)策略，預(yù)防能攻破一層或一類保護(hù)的攻擊行為，使之無法破壞整個(gè)辦公網(wǎng)絡(luò)。要求合理劃分安全域，對(duì)每個(gè)安全域的邊界和局部計(jì)算環(huán)境，以及域之間的遠(yuǎn)程訪問，根據(jù)需要采用適當(dāng)?shù)挠行ПＷo(hù)。8邊界防護(hù)：邊界防護(hù)用于預(yù)防來自本安全域以外的各種惡意攻擊和遠(yuǎn)程訪問控制。邊界防護(hù)機(jī)制有防火墻、入侵檢測(cè)、隔離網(wǎng)閘等，實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離。網(wǎng)絡(luò)防病毒：網(wǎng)絡(luò)防病毒用于預(yù)防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。備份恢復(fù)：備份恢復(fù)用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復(fù)。漏洞掃描：漏洞掃描用于及時(shí)發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)以及網(wǎng)絡(luò)協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。主機(jī)保護(hù)

13、：對(duì)關(guān)鍵的主機(jī)，例如數(shù)據(jù)庫(kù)服務(wù)器安裝主機(jī)保護(hù)軟件，對(duì)操作系統(tǒng)進(jìn)行安全加固。安全審計(jì)：用于事件追蹤。要求網(wǎng)絡(luò)、安全設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)有審計(jì)功能，同時(shí)安裝第三方的安全監(jiān)控和審計(jì)系統(tǒng)。2.3.3 應(yīng)用安全應(yīng)用安全身份認(rèn)證：身份認(rèn)證用于保證身份的真實(shí)性。公司網(wǎng)絡(luò)中身份認(rèn)證包括用戶身份認(rèn)證、管理人員身份認(rèn)證、操作員身份認(rèn)證服務(wù)器身份認(rèn)證。鑒于辦公網(wǎng)與互聯(lián)網(wǎng)相連，用戶數(shù)量較大的，基于數(shù)字證書（CA）的認(rèn)證體制將是理想的選擇。權(quán)限管理：權(quán)限管理指對(duì)公司辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、主機(jī)系統(tǒng)的所有操作和訪問權(quán)限進(jìn)行管理，防止非授權(quán)訪問和操作。數(shù)據(jù)完整性：數(shù)據(jù)完整性指對(duì)辦公網(wǎng)絡(luò)中存儲(chǔ)、傳輸?shù)臄?shù)據(jù)進(jìn)行數(shù)

14、據(jù)完整性保護(hù)。抗抵賴：抗抵賴就是通過采用數(shù)字簽名方法保證當(dāng)事人行為的不可否認(rèn)性，建立有效的責(zé)任機(jī)制，為京唐港公司網(wǎng)絡(luò)創(chuàng)造可信的應(yīng)用環(huán)境。安全審計(jì)：各應(yīng)用系統(tǒng)對(duì)各種訪問和操作要有完善的日志記錄，并提供相應(yīng)的審計(jì)工具。2.3.4 安全管理安全管理組織建設(shè)：安全管理組織建設(shè)包括：組織機(jī)構(gòu)、人才隊(duì)伍、應(yīng)急響應(yīng)9支援體系等的建設(shè)。制度建設(shè)：安全管理制度建設(shè)包括：人員管理制度、機(jī)房管理制度、卡機(jī)具生產(chǎn)管理制度、設(shè)備管理制度、文檔管理制度等的建設(shè)。標(biāo)準(zhǔn)建設(shè)：安全標(biāo)準(zhǔn)規(guī)范建設(shè)包括：數(shù)據(jù)交換安全協(xié)議、認(rèn)證協(xié)議、密碼服務(wù)接口等標(biāo)準(zhǔn)規(guī)范的建立。安全服務(wù)：安全服務(wù)包括安全培訓(xùn)、日常維護(hù)、安全評(píng)估、安全加固、緊急響應(yīng)等

15、。技術(shù)建設(shè)：安全管理技術(shù)建設(shè)主要指充分利用已有的安全管理技術(shù)，利用和開發(fā)相關(guān)的安全管理工具，提高安全管理的自動(dòng)化、智能化水平 。2.4 安全實(shí)施方案安全實(shí)施方案2.4.1 物理安全防護(hù)物理安全防護(hù)物理安全是整個(gè)系統(tǒng)安全的基礎(chǔ)，要把公司內(nèi)部局域網(wǎng)系統(tǒng)的安全風(fēng)險(xiǎn)減至最低限度，需要選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。機(jī)房建設(shè)必須嚴(yán)格按照國(guó)家標(biāo)準(zhǔn) GB50173-93電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 、國(guó)標(biāo) GB2887-89計(jì)算站場(chǎng)地技術(shù)條件 、GB9361-88計(jì)算站場(chǎng)地安全要求進(jìn)行建設(shè)。通過防盜措

16、施，如裝備報(bào)警裝置防止設(shè)備被盜；通過對(duì)重要設(shè)備電源采用UPS 供電防止電源意外斷電中斷服務(wù)；通過對(duì)重要設(shè)備或線路冗余備份保持服務(wù)的可持續(xù)性。2.4.2 備份與恢復(fù)備份與恢復(fù)對(duì)于網(wǎng)絡(luò)應(yīng)用實(shí)時(shí)性要求很高的系統(tǒng)，數(shù)據(jù)備份措施往往采用服務(wù)器的雙機(jī)備份。即兩臺(tái)服務(wù)器同時(shí)安裝備份系統(tǒng)，同時(shí)在線，互為備份。正常情況下，10由主服務(wù)器提供服務(wù)，備份服務(wù)器處于帶電但不提供服務(wù)狀態(tài)，一旦主服務(wù)器出現(xiàn)故障，備份服務(wù)器自動(dòng)接管主服務(wù)器來提供服務(wù)。保證應(yīng)用服務(wù)器能夠提供不間斷的服務(wù)。京唐港股份公司應(yīng)用服務(wù)可靠要求較高，而且業(yè)務(wù)數(shù)據(jù)存儲(chǔ)容量會(huì)隨著業(yè)務(wù)的擴(kuò)展而增大，并非常重要。為了防止業(yè)務(wù)數(shù)據(jù)的丟失和損壞而影響業(yè)務(wù)辦理，或

17、者在數(shù)據(jù)出現(xiàn)意外事故時(shí)無法恢復(fù)，必須對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份。根據(jù)實(shí)際情況可采用 SAN 結(jié)構(gòu)存儲(chǔ)系統(tǒng)，采用磁帶庫(kù)進(jìn)行備份并實(shí)現(xiàn)災(zāi)難恢復(fù)。2.4.3 訪問控制訪問控制訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)最有效手段之一，據(jù)統(tǒng)計(jì)分析，完善的訪問控制策略可把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降低 90%。網(wǎng)絡(luò)的訪問控制技術(shù)可以針對(duì)網(wǎng)絡(luò)協(xié)議、目標(biāo)對(duì)象以及通訊端口等進(jìn)行過濾和檢驗(yàn)，符合條件才通過，不符合條件的則被丟棄。系統(tǒng)訪問控制可以針對(duì)具體的一個(gè)文件或目錄授權(quán)給指定的人員相應(yīng)的權(quán)限，受派者在試圖訪問相應(yīng)信息時(shí)，需要驗(yàn)證身份、判別權(quán)限后才能進(jìn)行訪問。訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。訪問控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核

18、心策略之一。訪問控制策略可以采用三層交換設(shè)備 VLAN 技術(shù)、ACL 技術(shù)、綁定技術(shù)等，使得不同部門、不同組別、不同用戶之間的網(wǎng)絡(luò)訪問達(dá)到有效的控制；也可以通過在不同網(wǎng)絡(luò)安全域之間加裝防火墻等安全設(shè)備，利用防火墻的控制策略達(dá)到網(wǎng)絡(luò)訪問控制的目的。2.4.4 系統(tǒng)安全系統(tǒng)安全系統(tǒng)安全包括數(shù)據(jù)庫(kù)安全和操作系統(tǒng)安全，下面分別闡述。數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)存放了整個(gè)網(wǎng)絡(luò)中的重要數(shù)據(jù)，為此需要建立一套有效的安全機(jī)制。加強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)登陸權(quán)限管理，加強(qiáng)管理員登陸口令的管理以及數(shù)據(jù)庫(kù)遠(yuǎn)程訪問權(quán)限的管理，對(duì)數(shù)據(jù)庫(kù)采用備份與恢復(fù)機(jī)制。同時(shí)對(duì)重要的涉密系統(tǒng)應(yīng)選用11經(jīng)國(guó)家主管部門批準(zhǔn)使用的安全數(shù)據(jù)庫(kù)，或者對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全增

19、強(qiáng)改造、加固。數(shù)據(jù)庫(kù)具體安全要求：1、用戶角色的管理這是保護(hù)數(shù)據(jù)庫(kù)系統(tǒng)安全的重要手段之一。把網(wǎng)絡(luò)中使用數(shù)據(jù)庫(kù)的用戶設(shè)置為不同的用戶組并對(duì)用戶組的安全屬性進(jìn)行驗(yàn)證，有效地防止非法的用戶進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)；在數(shù)據(jù)庫(kù)中，可以通過授權(quán)對(duì)用戶的操作進(jìn)行限制，即允許一些用戶對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行訪問，具有讀寫整個(gè)數(shù)據(jù)庫(kù)的權(quán)利，而大多數(shù)用戶只能在同組內(nèi)進(jìn)行讀寫或?qū)φ麄€(gè)數(shù)據(jù)庫(kù)只具有讀的權(quán)利。在此，特別強(qiáng)調(diào)對(duì)系統(tǒng)管理員和安全管理員兩個(gè)特殊賬戶的保密管理。2、數(shù)據(jù)保護(hù)數(shù)據(jù)庫(kù)的數(shù)據(jù)保護(hù)主要是數(shù)據(jù)庫(kù)的備份，當(dāng)計(jì)算機(jī)的軟硬件發(fā)生故障時(shí)，利用備份進(jìn)行數(shù)據(jù)庫(kù)恢復(fù)，以恢復(fù)破壞的數(shù)據(jù)庫(kù)文件、控制文件或其他文件。另一種數(shù)據(jù)保護(hù)是日志，數(shù)

20、據(jù)庫(kù)實(shí)例都提供日志，用以記錄數(shù)據(jù)庫(kù)中所進(jìn)行的各種操作，包括修改、調(diào)整參數(shù)等，并在數(shù)據(jù)庫(kù)內(nèi)部建立一個(gè)所有作業(yè)的完整記錄。再一個(gè)就是控制文件的備份，一般用于存儲(chǔ)數(shù)據(jù)庫(kù)物理結(jié)構(gòu)的狀態(tài)，控制文件中的某些狀態(tài)信息在實(shí)例恢復(fù)和介質(zhì)恢復(fù)期間用于引導(dǎo)數(shù)據(jù)庫(kù)，在實(shí)際操作時(shí)，需要為網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)分別指定相應(yīng)的備份策略。操作系統(tǒng)安全目前用戶辦公計(jì)算機(jī)采用操作系統(tǒng)還主要基于 Windows 平臺(tái)。其自身安全需要得到關(guān)注，即在日常工作中必須注意對(duì)操作系統(tǒng)進(jìn)行必要的防護(hù)。如：1、定期維護(hù)：及時(shí)安裝漏洞補(bǔ)丁，定期進(jìn)行完整性檢查、配置檢查、病毒檢查和漏洞掃描。2、使用權(quán)限控制：用戶權(quán)限、口令安全。3、遠(yuǎn)程訪問安全：進(jìn)行基本的安

21、全配置。122.4.5 網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分主要是對(duì) IP 地址進(jìn)行合理的規(guī)劃和分配。為確保辦公網(wǎng)中各子網(wǎng)以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)正常、安全運(yùn)行，需要合理規(guī)劃、分配外網(wǎng)各部門的 IP 地址。網(wǎng)段劃分的方法可以采用各個(gè)部門或機(jī)構(gòu)劃分網(wǎng)段，重要的服務(wù)器設(shè)備劃分單獨(dú)的網(wǎng)段，以便監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全。虛擬局域網(wǎng)可有效地解決廣播風(fēng)暴、廣播攻擊、充分利用網(wǎng)絡(luò)帶寬資源。結(jié)合訪問控制列表功能，可以極大地增強(qiáng)辦公網(wǎng)的安全性，防止網(wǎng)絡(luò)內(nèi)用戶對(duì)系統(tǒng)相關(guān)信息的非授權(quán)訪問。辦公網(wǎng)可按各個(gè)職能來劃分 VLAN，如將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨(dú)作為一個(gè) Leader V

22、LAN (LVLAN )，技術(shù)人員劃分為一個(gè)VLAN，工作人員劃分為一個(gè) VLAN，而其它機(jī)構(gòu)分別劃作一個(gè) VLAN。其共享服務(wù)器（如 EMAIL 服務(wù)器、DNS 服務(wù)器、WEB 服務(wù)器等）單獨(dú)劃作一個(gè)VLAN (MVLAN)。其他服務(wù)器如數(shù)據(jù)庫(kù)服務(wù)器劃為 Data VLAN。2.4.6 辦公網(wǎng)整體安全建議辦公網(wǎng)整體安全建議根據(jù)以上的安全風(fēng)險(xiǎn)分析、需求分析和京唐港公司的具體情況，建議從以下方面考慮進(jìn)行安全方面的部署：終端防護(hù)終端防護(hù)A. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的企業(yè)級(jí)防病毒系統(tǒng)企業(yè)級(jí)防病毒系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見的計(jì)算機(jī)癱瘓、網(wǎng)絡(luò)阻塞等安

23、全問題。B.在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的終端安全防護(hù)系統(tǒng)。終端安全防護(hù)系統(tǒng)。通過終端安全防護(hù)系統(tǒng)的統(tǒng)一部署，可以京唐港公司安全管理制度提供有利的技術(shù)保障措施，保障終端的系統(tǒng)安全和終端的安全管理。C.在中心部署身份認(rèn)證登陸系統(tǒng)身份認(rèn)證登陸系統(tǒng)，終端必須通過身份認(rèn)證才能進(jìn)入，避免非法進(jìn)入。邊界的防護(hù)邊界的防護(hù)13A. 通過防火墻防火墻系統(tǒng)的部署，可以根據(jù)不同的安全要求，設(shè)置不同的安全區(qū)域，來限制不同信任度區(qū)域之間的相互訪問，保護(hù)各關(guān)鍵應(yīng)用服務(wù)器系統(tǒng)免受網(wǎng)絡(luò)上的非法訪問和惡意攻擊，可以在服務(wù)器區(qū)的前端增加一臺(tái)防火墻設(shè)備。B.通過入侵檢測(cè)入侵檢測(cè)系統(tǒng)的部署，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安

24、全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。服務(wù)器的防護(hù)服務(wù)器的防護(hù)A. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的企業(yè)級(jí)防病毒企業(yè)級(jí)防病毒系統(tǒng)系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務(wù)器免受病毒的感染和傳播。這可以解決常見的服務(wù)器癱瘓、信息資產(chǎn)丟失等安全問題，為服務(wù)器病毒防護(hù)提供有效的安全保障。B. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的終端安全防護(hù)終端安全防護(hù)系統(tǒng)系統(tǒng)。通過終端安全防護(hù)系統(tǒng)的統(tǒng)一部署，為服務(wù)器提供訪問控制、系統(tǒng)的安全、補(bǔ)丁的有效管理、和為服務(wù)器的安全管理提供技術(shù)保障措施。C. 服務(wù)器安全加固服務(wù)器安全加固，對(duì)關(guān)鍵服務(wù)器進(jìn)行安全加固，保證服務(wù)器的安全使用和穩(wěn)固。系

25、統(tǒng)安全防護(hù)系統(tǒng)安全防護(hù)A. 在辦公網(wǎng)系統(tǒng)上部署漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)，可以隨時(shí)的對(duì)網(wǎng)絡(luò)內(nèi)的所有終端、服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行掃描，以發(fā)現(xiàn)安全隱患。B. 在系統(tǒng)當(dāng)中部署安全強(qiáng)審計(jì)系統(tǒng)安全強(qiáng)審計(jì)系統(tǒng)。根據(jù)用戶的安全策略制定詳細(xì)的審計(jì)保護(hù)規(guī)則，對(duì)整個(gè)網(wǎng)絡(luò)和主機(jī)中違反安全策略的行為進(jìn)行阻斷，并向管理中心報(bào)警。系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖 1：14WEB服務(wù)器郵件服務(wù)器病毒服務(wù)器INTERNET出出口口生生產(chǎn)產(chǎn)系系統(tǒng)統(tǒng)區(qū)區(qū)辦辦公公系系統(tǒng)統(tǒng)區(qū)區(qū)入侵檢測(cè)系統(tǒng)安全審計(jì)系統(tǒng)KVM審計(jì)服務(wù)器網(wǎng)管工作站舊舊辦辦公公區(qū)區(qū)各各個(gè)個(gè)樓樓層層交交換換入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)公公共共系系統(tǒng)統(tǒng)區(qū)區(qū)入侵檢

26、測(cè)系統(tǒng)網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理區(qū)區(qū)圖 1： 系統(tǒng)整體安全體系結(jié)構(gòu)示意圖2.4.7 防火墻實(shí)施方案防火墻實(shí)施方案2.4.7.1實(shí)施原則實(shí)施原則（1） 整體性安全防范體系的建立和多層保護(hù)的相互配合；實(shí)現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。（2） 先進(jìn)性安全技術(shù)先進(jìn)；安全產(chǎn)品成熟；安全系統(tǒng)技術(shù)生命的周期適度。（3） 可用性安全系統(tǒng)本身的可用性；安全管理友好，并于其他系統(tǒng)管理的有效集成；避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜；15盡量降低對(duì)原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開展。（4） 擴(kuò)充性安全系統(tǒng)能適應(yīng)客戶網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用需求的變化而變化；安全系統(tǒng)遵循標(biāo)準(zhǔn)，系統(tǒng)的變化易實(shí)現(xiàn)、易修改、易擴(kuò)充。2.4.7.2實(shí)

27、施策略實(shí)施策略采取核心保護(hù)策略，盡可能的以最小的投資達(dá)到最大的安全防護(hù)。采用可以提供集中管理控制的產(chǎn)品，同時(shí)要求考慮產(chǎn)品適應(yīng)性可擴(kuò)展性，以適應(yīng)網(wǎng)絡(luò)擴(kuò)展的需要。產(chǎn)品在使用上應(yīng)具有友好的用戶界面，使用戶在管理、使用、維護(hù)上盡量簡(jiǎn)單、直觀。建立層次化的防護(hù)體系和管理體系。2.4.7.3防火墻系統(tǒng)部署防火墻系統(tǒng)部署從京唐港公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上，可以看出，辦公網(wǎng)中的服務(wù)器區(qū)域是很重要的安全區(qū)域，這些服務(wù)器承載著整個(gè)公司全部網(wǎng)絡(luò)功能的需求，對(duì)網(wǎng)絡(luò)安全系數(shù)的要求很高，一旦重要服務(wù)器遭到攻擊破壞，將對(duì)整個(gè)公司的業(yè)務(wù)產(chǎn)生非常大的影響，所以可以在服務(wù)器交換機(jī)與核心交換機(jī)的連接中設(shè)置防火墻設(shè)備，根據(jù)用戶設(shè)定的安

28、全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信，是必不可少的安全防御措施?？刂茝耐饩W(wǎng)區(qū)到安全服務(wù)區(qū)的訪問，確保允許的訪問才能夠進(jìn)行，而其他未經(jīng)過允許的行為全部被禁止；限制安全服務(wù)區(qū)對(duì)非安全服務(wù)區(qū)的直接訪問；防火墻有效記錄區(qū)域之間的訪問日志，為出現(xiàn)安全問題時(shí)提供備查資料；具體配置情況如圖 1 所示，在網(wǎng)絡(luò)邊界處部署一臺(tái)防火墻作為網(wǎng)絡(luò)系統(tǒng)與Internet 連接的第一道安全防護(hù)，通過防火墻提供的功能來達(dá)到訪問控制的目的；另外，在各個(gè)系統(tǒng)區(qū)的出口處也部署一臺(tái)防火墻，用來保證各個(gè)區(qū)域的安全，制定不同的安全策略，實(shí)現(xiàn)對(duì)重要服務(wù)器系統(tǒng)的防護(hù)和訪問控制。162.4.7.4防火墻安全策略防火墻安全策略針

29、對(duì)公司辦公局域網(wǎng)的具體情況，我們建議制定以下的安全策略：安全區(qū)域隔離策略由于網(wǎng)絡(luò)安全的整體性要求，為了使網(wǎng)絡(luò)系統(tǒng)達(dá)到一定的安全水平，必須保證對(duì)網(wǎng)絡(luò)中各部分都采取了均衡的保護(hù)措施，但對(duì)于公司整個(gè)辦公網(wǎng)來說都采用相同的手段是不可能也沒有必要的，本辦公網(wǎng)可以采用的方法是根據(jù)網(wǎng)絡(luò)不同部分的重要性劃分為不同的安全區(qū)域，并著重對(duì)其中重要的安全區(qū)域進(jìn)行隔離和保護(hù)。建議采用防火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點(diǎn)是各服務(wù)器區(qū)域與辦公網(wǎng)內(nèi)用戶區(qū)域之間的連接。訪問控制策略防火墻被部署后，將根據(jù)實(shí)際應(yīng)用需要定義適當(dāng)?shù)陌踩呗?，針?duì)源地址、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時(shí)間、帶寬等條件的實(shí)現(xiàn)訪問控制，確保不同網(wǎng)絡(luò)

30、區(qū)域之間的授權(quán)、有序訪問，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問或一些惡意的攻擊。例如，服務(wù)器區(qū)域防火墻上可制定如下安全策略：- 允許業(yè)務(wù)相關(guān)的用戶區(qū)域主機(jī)訪問本區(qū)域服務(wù)器的特定端口，拒絕其他任何訪問請(qǐng)求，這樣可以保護(hù)服務(wù)器系統(tǒng)不受非法入侵和攻擊；- 缺省規(guī)則應(yīng)該是拒絕一切訪問。 本次項(xiàng)目我們將在實(shí)施的過程中，根據(jù)網(wǎng)絡(luò)的真實(shí)環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交互的實(shí)際需要，來制定詳細(xì)的訪問控制策略?；驹瓌t是開放最少端口。作為區(qū)域邊界保護(hù)的準(zhǔn)則，防火墻的訪問控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問控制策略是否得到實(shí)施的關(guān)鍵，因此對(duì)防火墻訪問控制策略的定期檢查和調(diào)整是區(qū)域邊界保護(hù)中要注意的問題。用戶認(rèn)證和授權(quán)策略選擇一種

31、既方便實(shí)用又具備足夠安全性的用戶認(rèn)證機(jī)制，通過防火墻實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶身份的可靠鑒別和訪問授權(quán)管理，防止非法人員盜用合法用戶的網(wǎng)絡(luò)地址來假冒合法用戶訪問關(guān)鍵資源，同時(shí)也便于針對(duì)實(shí)際用戶進(jìn)行行為審計(jì)。17帶寬管理策略我們可以依據(jù)應(yīng)用需要來限制流量，來調(diào)整鏈路的帶寬利用?？梢栽诜阑饓χ兄苯蛹虞d控制策略，為比較重要的訪問定義可用的最大帶寬和優(yōu)先級(jí)，確保為重要的應(yīng)用預(yù)留足夠的帶寬進(jìn)行數(shù)據(jù)交換。我們還可以定義任意兩個(gè)網(wǎng)絡(luò)對(duì)象之間通信時(shí)的最大帶寬。例如，通過防火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員等定義進(jìn)行網(wǎng)絡(luò)通信時(shí)的最大帶寬和優(yōu)先級(jí)，而且?guī)挿峙淇梢允欠謱拥?，例如部門帶寬下面有小組帶寬然

32、后是個(gè)人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。日志和審計(jì)策略一個(gè)安全防護(hù)體系中的審計(jì)系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點(diǎn)的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時(shí)審核系統(tǒng)的安全效果、追蹤危險(xiǎn)事件、調(diào)整安全策略。進(jìn)行信息審計(jì)的前提是必須有足夠的多的日志信息。防火墻系統(tǒng)提供了強(qiáng)大的日志功能，可對(duì)重要關(guān)鍵資源的使用情況進(jìn)行有效的監(jiān)控，實(shí)現(xiàn)日志的分級(jí)管理、自動(dòng)報(bào)表、自動(dòng)報(bào)警功能，用戶可以根據(jù)需要對(duì)不同的通訊內(nèi)容記錄不同的日志，包括會(huì)話日志（主要描述通訊的時(shí)間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令，執(zhí)行了那些

33、操作） 。用戶可以根據(jù)需要記錄不同的日志，從而為日志分析、事后追蹤提供更多的依據(jù)。同時(shí)，產(chǎn)生的日志能夠以多種方式導(dǎo)出，有利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺(tái)進(jìn)行統(tǒng)一的管理。2.4.7.5防火墻選型防火墻選型由于將各個(gè)系統(tǒng)按照區(qū)域化分進(jìn)行分別防護(hù)，在總出口處已經(jīng)部署一臺(tái)高性能千兆防火墻，根據(jù)流量及應(yīng)用實(shí)際分析，在辦公系統(tǒng)和生產(chǎn)系統(tǒng)處可分別部署一臺(tái)千兆防火墻，考慮到部分有可能系統(tǒng)采用 VPN 設(shè)備，所以可以選擇帶VPN 功能模塊的防火墻。產(chǎn)品功能：功能類別功能項(xiàng)功能細(xì)項(xiàng)18工作模式路由、透明、混合支持基于流、數(shù)據(jù)包、透明代理的過濾方式。支持對(duì) HTTP、SMTP、POP3、FTP 等協(xié)議的深度內(nèi)容過濾

34、。支持 URL 過濾支持對(duì)移動(dòng)代碼如 Java applet、Active-X、VBScript、Jscript、Java script的過濾支持對(duì)郵件的收發(fā)郵件地址、文件名、文件類型過濾支持對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾內(nèi)容過濾動(dòng)態(tài)端口支持協(xié)議：FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP。對(duì)通過的數(shù)據(jù)進(jìn)行在線過濾，查殺郵件正文附件、網(wǎng)頁(yè)及下載文件中包含的病毒，病毒庫(kù)更新提供快速掃描及完全掃描兩種掃描方式防病毒系統(tǒng)狀態(tài)實(shí)時(shí)監(jiān)控基于狀態(tài)檢測(cè)的動(dòng)態(tài)包過濾實(shí)現(xiàn)基于源/目的 IP 地址、源/目的 MAC 地址、源/目

35、的端口、協(xié)議、時(shí)間等數(shù)據(jù)包快速過濾支持報(bào)文合法性檢查包過濾可實(shí)現(xiàn) IP/MAC 綁定非法報(bào)文攻擊：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof統(tǒng)計(jì)型報(bào)文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweepTopsec 聯(lián)動(dòng)：可與支持 TOPSEC 協(xié)議的 IDS 設(shè)備聯(lián)動(dòng)，以提高入侵檢測(cè)效率。端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置防御攻擊SYN 代理：對(duì)來自定義區(qū)域的 Syn Flood 攻擊行為進(jìn)行阻斷過濾支持使用一次性口令認(rèn)證

36、（OTP）、本地認(rèn)證、雙因子認(rèn)證（SecureID）以及數(shù)字證書（CA）等常用的安全認(rèn)證方式支持使用第三方認(rèn)證如 RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證等安全認(rèn)證方式支持 Session 認(rèn)證、HTTP 會(huì)話認(rèn)證支持認(rèn)證?；罟δ蹵AA 服務(wù)可將認(rèn)證用戶信息加密存放在本地?cái)?shù)據(jù)庫(kù)支持雙向 NAT支持動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換網(wǎng)絡(luò)安全性NAT支持虛擬服務(wù)器功能支持靜態(tài)路由、動(dòng)態(tài)路由網(wǎng)絡(luò)適應(yīng)性路由支持基于源/目的地址、接口、Metric 的策略路由19支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。支持 Vlan 路由，能夠

37、在不同的 VLAN 虛接口間實(shí)現(xiàn)路由功能。支持 RIP、OSPF 等路由協(xié)議。支持 IGMP 組播協(xié)議支持 IGMP SNOOPING組播可有效地實(shí)現(xiàn)視頻會(huì)議等多媒體應(yīng)用支持與交換機(jī)的 Trunk 接口對(duì)接，并且能夠?qū)崿F(xiàn) Vlan 間通過安全設(shè)備傳播路由支持 802.1Q，能進(jìn)行 802.1Q 的封裝和解封支持 ISL，能進(jìn)行 ISL 的封裝和解封VLAN在同一個(gè) Vlan 內(nèi)能進(jìn)行二層交換生成樹支持 802.1D 生成樹協(xié)議，包括 PVST+及 CST 等協(xié)議。支持 ARP 代理、ARP 學(xué)習(xí)ARP可設(shè)置靜態(tài) ARP非 IP 協(xié)議支持對(duì)非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。D

38、HCP支持 DHCP Client、DHCP Relay、DHCP Server支持 ADSL 接入功能，可滿足中小企業(yè)的多種接入需求。接入支持 PPPOE 撥號(hào)接入支持網(wǎng)絡(luò)時(shí)鐘協(xié)議 SNTP，可以自動(dòng)根據(jù) NTP 服務(wù)器的時(shí)鐘調(diào)整本機(jī)時(shí)間其它支持 IPX、NetBEUI 等非 IP 協(xié)議。支持基于標(biāo)準(zhǔn) IKE 協(xié)商的 VPN 通信隧道支持多種 IKE 認(rèn)證方式，如預(yù)共享密鑰，數(shù)字證書等IKE支持 IKE 擴(kuò)展認(rèn)證，如 Radius 認(rèn)證等。支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠(yuǎn)程移動(dòng)用戶到網(wǎng)關(guān)的 VPN 隧道在具有 SCM 的解決方案中，支持靈活的移動(dòng)用戶到移動(dòng)用戶的隧道。解決方案可以和密碼機(jī)產(chǎn)品，遠(yuǎn)程客戶端產(chǎn)

39、品及 VPN 安全管理系統(tǒng)（SCM）共同組成完整的 VPN 解決方案。支持 3DES、DES、國(guó)密辦等加密算法支持標(biāo)準(zhǔn) MD5、SHA-1 認(rèn)證算法算法支持加密卡提供的 MD5、SHA-1 認(rèn)證算法支持 HUB-SPOKE 方式支持網(wǎng)狀連接方式工作模式支持分級(jí)的樹狀連接方式支持網(wǎng)絡(luò)鄰居（利用 WINS）支持隧道的 NAT 穿越支持對(duì)隧道內(nèi)明文的訪問控制VPN其它功能可同時(shí)支持明密傳輸支持 Welf、Syslog 等多種日志格式的輸出支持通過第三方軟件來查看日志支持日志分級(jí)安全管理日志支持對(duì)接收到的日志進(jìn)行緩沖存儲(chǔ)20通過安全審計(jì)系統(tǒng)（TA-L），可獲得更詳盡的日志分析和審計(jì)功能,并能提供員工上

40、網(wǎng)行為管理功能?？蛇x高級(jí)日志審計(jì)功能模塊，除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。支持網(wǎng)絡(luò)接口監(jiān)測(cè)、CPU 利用率監(jiān)測(cè)、內(nèi)存使用率監(jiān)測(cè)、操作系統(tǒng)狀況監(jiān)測(cè)、網(wǎng)絡(luò)狀況監(jiān)測(cè)、硬件系統(tǒng)監(jiān)測(cè)、進(jìn)程監(jiān)測(cè)、進(jìn)程內(nèi)存監(jiān)測(cè)、加密卡狀況監(jiān)測(cè)。監(jiān)控可根據(jù)配置文件進(jìn)行錯(cuò)誤恢復(fù)報(bào)警事件：內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯(cuò)”、“測(cè)試”等多種觸發(fā)報(bào)警的事件類報(bào)警報(bào)警方式：采用郵件、NETBIOS、聲音、SNMP、控制臺(tái)等多種報(bào)警方式，報(bào)警方式可以組合使用。QOS 帶寬管理根據(jù) IP、協(xié)議、網(wǎng)絡(luò)接口、時(shí)間定義帶寬分配策略支持最小保證帶

41、寬和最大限制帶寬QoS支持分層的帶寬管理優(yōu)先級(jí)支持 8 級(jí)優(yōu)先級(jí)控制支持雙機(jī)熱備雙機(jī)熱備支持系統(tǒng)故障切換支持服務(wù)器的負(fù)載均衡，提供輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種負(fù)載均衡方式供用戶選擇。負(fù)載均衡支持生成樹協(xié)議，可實(shí)現(xiàn)鏈路負(fù)載均衡。支持鏈路備份功能支持雙系統(tǒng)引導(dǎo)，當(dāng)主系統(tǒng)損壞時(shí)，可以啟用備用系統(tǒng)，不影響設(shè)備的正常使用帶寬管理其它功能支持 Watchdog 功能支持 WEB 圖形配置、命令行配置支持本地配置、遠(yuǎn)程配置配置方式支持基于 SSH、SSL 的安全配置支持配置命令分級(jí)保護(hù)支持中英文命令行支持命令超時(shí)、歷史命令、命令補(bǔ)齊、命令幫助、命令錯(cuò)誤提示等功能支持 SNMP 的 v1 、v

42、2 、v2c 、v3 版本SNMP與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如 HP Openview 等。支持雙系統(tǒng)升級(jí)支持遠(yuǎn)程維護(hù)和系統(tǒng)升級(jí)系統(tǒng)升級(jí)支持 TFTP 升級(jí)提供強(qiáng)大的報(bào)文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問題。報(bào)文調(diào)試支持發(fā)送虛擬報(bào)文配置管理配置恢復(fù)可以進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載。21其它擴(kuò)展能力開放式的架構(gòu)支持未來方便擴(kuò)展防病毒、防垃圾郵件、IPSEC VPN、SSL VPN 等功能以及各種 VPN 加速卡2.4.7.6技術(shù)參數(shù)技術(shù)參數(shù)1.1000M 光纖接口2；2.并發(fā)連接數(shù)50 萬(wàn)；3.VLAN 支持：支持 802.1q；4.流量管理：支持帶寬管

43、理和優(yōu)先級(jí)控制；5.支持 IP 與 MAC 地址綁定；6.支持 HTTP、STMP、POP3、FTP、SOCKS 代理；7.支持抗 DOS、端口掃描、特洛伊木馬等攻擊；8.支持基于 H.323 的視頻會(huì)議和 VOIP 語(yǔ)音系統(tǒng)。2.4.8 入侵檢測(cè)系統(tǒng)實(shí)施方案入侵檢測(cè)系統(tǒng)實(shí)施方案2.4.8.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)是屬于主動(dòng)防御，它識(shí)別大量的攻擊模式、并根據(jù)用戶策略做出響應(yīng)。入侵檢測(cè)系統(tǒng)以實(shí)時(shí)性、動(dòng)態(tài)檢測(cè)和主動(dòng)防御為特點(diǎn)，有效彌補(bǔ)了其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng)，已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)的必備設(shè)施。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行檢測(cè)和防御，通常由控制中心和探測(cè)

44、引擎兩部分組成。探測(cè)引擎一般采用專用硬件設(shè)備通過旁路方式接入檢測(cè)網(wǎng)絡(luò)。探測(cè)引擎全面?zhèn)陕牼W(wǎng)絡(luò)信息流，動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，進(jìn)行檢測(cè)和實(shí)時(shí)分析，從而實(shí)時(shí)甚至提前發(fā)現(xiàn)非法或異常行為，并且執(zhí)行告警、阻斷等功能，并記錄相應(yīng)的事件日志?？刂浦行氖敲嫦蛴脩?，提供管理配置使用。它支持控制多個(gè)位于本地或遠(yuǎn)程的探測(cè)引擎，集中制定和配置監(jiān)控策略，提供統(tǒng)一的數(shù)據(jù)管理。對(duì)發(fā)現(xiàn)入侵或異常行為，入侵檢測(cè)系統(tǒng)控制中心能記錄、顯示詳細(xì)的入侵告警信息，如入侵主機(jī)的 IP 地址、攻擊特征等。通過對(duì)所記錄的歷史報(bào)警信息22進(jìn)行分類統(tǒng)計(jì)，可形成用戶所需要的管理報(bào)表。2.4.8.2入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)高性能報(bào)文捕獲高性能報(bào)

45、文捕獲DMADMA 和零拷貝技術(shù)和零拷貝技術(shù)IDS 作為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。目前，由于網(wǎng)絡(luò)自身的發(fā)展非常迅速，一般的網(wǎng)絡(luò)局域網(wǎng)主干交換帶寬速度由 10/100M 的網(wǎng)絡(luò)發(fā)展到 1000M，給 IDS 帶來了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般基于簡(jiǎn)單的模式匹配實(shí)現(xiàn)，在百兆滿負(fù)荷的網(wǎng)絡(luò)環(huán)境中工作已經(jīng)相當(dāng)吃力，而網(wǎng)絡(luò)帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 IDS 增加 10 倍的處理能力，因此網(wǎng)絡(luò)的發(fā)展，提出了千兆或更高性能 IDS 的需求。而高性能入侵檢測(cè)的一個(gè)重要瓶頸就在于高速的報(bào)文捕獲和批量處理分析。為了提高報(bào)文捕獲的效率，通過修改網(wǎng)卡驅(qū)動(dòng)程序，使用

46、 DMA 和數(shù)據(jù)零拷貝技術(shù)零拷貝技術(shù)，大大提高了效率，如下圖所示：DMA 和數(shù)據(jù)零拷貝技術(shù)和傳統(tǒng)入侵檢測(cè)報(bào)文捕獲技術(shù)的比較零拷貝技術(shù)省略了 TCP/IP 堆棧的處理，直接將網(wǎng)卡通過 DMA 直接數(shù)據(jù)傳輸將報(bào)文數(shù)據(jù)傳遞到了 IDS 系統(tǒng)可以訪問的空間，大大減少了傳統(tǒng)方式中因?yàn)樯舷挛那袚Q和數(shù)據(jù)拷貝而帶來的系統(tǒng)開銷，使用了零拷貝技術(shù)之后，系統(tǒng)的捕包效率大大提高，測(cè)試結(jié)果是在能夠在 1.4G 的 CPU 下，捕獲 100 萬(wàn)/秒報(bào)文時(shí)，CPU 占用率還低于 10%。這種效率完全可以滿足在千兆高速環(huán)境下入侵檢測(cè)分析。23支撐平臺(tái)結(jié)構(gòu)和系統(tǒng)優(yōu)化支撐平臺(tái)結(jié)構(gòu)和系統(tǒng)優(yōu)化對(duì)于整體結(jié)構(gòu)的優(yōu)化有助于進(jìn)一步提高 ID

47、S 系統(tǒng)引擎的速度。1. 并行處理在雙 CPU 并行處理機(jī)上，通過使用多線程，使得我們可以將多個(gè)報(bào)文同時(shí)進(jìn)行處理，為了減少同步帶來的代價(jià)，使用報(bào)文的預(yù)分析，然后根據(jù)預(yù)分析的結(jié)果進(jìn)行任務(wù)分配，將一個(gè)報(bào)文的所有分析和匹配工作都交給一個(gè)工作線程去處理，多個(gè)線程可以同時(shí)并行處理多個(gè)報(bào)文。2. 使用匯編語(yǔ)言實(shí)現(xiàn)關(guān)鍵處理通過使用匯編語(yǔ)言可以大大減少使用高級(jí)語(yǔ)言帶來的冗余代碼，在核心的關(guān)鍵處理上如模式集合的匹配上使用匯編語(yǔ)言實(shí)現(xiàn)能夠大大提高效率。3. 優(yōu)化內(nèi)存分配算法經(jīng)過分析在 IDS 系統(tǒng)中，會(huì)大量的使用內(nèi)存的分配和釋放操作，如果，實(shí)現(xiàn)中都通過系統(tǒng)的分配釋放函數(shù)來實(shí)現(xiàn)會(huì)大大影響系統(tǒng)的處理速度。通過使用簡(jiǎn)化

48、而且合理的內(nèi)存分配算法，能夠使這部分的代價(jià)減少。通過精簡(jiǎn)運(yùn)行的操作系統(tǒng)，使用優(yōu)化程序技術(shù)也是提高入侵檢測(cè)的性能的必要條件，同時(shí)保證了入侵檢測(cè)產(chǎn)品的自身安全性。基于狀態(tài)的全面協(xié)議分析基于狀態(tài)的全面協(xié)議分析協(xié)議分析模塊完成 IDS 系統(tǒng)引擎中主要的分析工作，對(duì)于一個(gè)報(bào)文在引擎的處理過程中，報(bào)文：分析：匹配1：1：N，這就是說一個(gè)報(bào)文需要經(jīng)過一次分析，再和 N 條規(guī)則進(jìn)行匹配之后產(chǎn)生事件。如果能夠通過更準(zhǔn)確的分析，減少匹配的工作，就能夠最終提高整個(gè) IDS 系統(tǒng)的處理效率。因此協(xié)議分析的準(zhǔn)確性和效率對(duì)于整個(gè)系統(tǒng)的處理效率影響非常大。這部分包括兩個(gè)大的方面：提高協(xié)議分析的速度提高協(xié)議分析的速度1.基于

49、狀態(tài)的協(xié)議分析網(wǎng)絡(luò)中通訊的報(bào)文一般都不是孤立的，而是在一系列的報(bào)文通訊之中的，也就是說是有一定的報(bào)文前后上下文的。通過基于狀態(tài)的協(xié)議分析，能夠大大提高解析的準(zhǔn)確度，同時(shí)對(duì)于不同報(bào)文采用不同的少量分析的方式，從而也提高了協(xié)議分析的速度。242.運(yùn)用多種算法進(jìn)行解析在報(bào)文的分析過程，采用多種算法來提高協(xié)議解析的速度，比如使用高速樹型匹配算法、HASH 算法等等。提高協(xié)議分析的效果提高協(xié)議分析的效果采用兩種方法提高協(xié)議解析的效果：直接產(chǎn)生協(xié)議分析中確定的事件和更深入的協(xié)議分析。1.直接產(chǎn)生協(xié)議分析中確定的事件通過在協(xié)議分析模塊中直接產(chǎn)生事件，從而減少在匹配規(guī)則模塊中規(guī)則集的規(guī)模，如：RFC 協(xié)議確定

50、的事件和異常事件：如 FLOOD 攻擊，從而提高整個(gè)報(bào)文的處理速度。2.更深入的協(xié)議分析更深入的協(xié)議解析提高了規(guī)則集中規(guī)則的匹配準(zhǔn)確性，比如縮小一次字符串匹配在報(bào)文中搜索范圍，從而節(jié)省時(shí)間，提高規(guī)則匹配的效率。樹型規(guī)則和匹配算法樹型規(guī)則和匹配算法前面已經(jīng)提到，報(bào)文：分析：匹配1：1：N 的關(guān)系。一個(gè)報(bào)文需要跟多條規(guī)則進(jìn)行比較，這需要大量的運(yùn)算，占用許多的 CPU 時(shí)間。通過三個(gè)方法去提高其效率：協(xié)議規(guī)則子集、規(guī)則樹和快速模式集合匹配。1.協(xié)議規(guī)則子集協(xié)議規(guī)則子集是通過將規(guī)則集合中的規(guī)則按照其所屬的協(xié)議分成許多小的子集，而一個(gè)報(bào)文只與其相關(guān)的協(xié)議規(guī)則子集中的規(guī)則進(jìn)行匹配，從而大大減少實(shí)際一個(gè)報(bào)文

51、進(jìn)行匹配的規(guī)則數(shù)量，減少匹配時(shí)間。2.規(guī)則樹將線性規(guī)則匹配方式改造成為樹型規(guī)則匹配方式，就必須構(gòu)造規(guī)則樹。通過規(guī)則樹，我們可以很容易在匹配過程中淘汰掉不可能的規(guī)則,減少重復(fù)判斷的次數(shù),并實(shí)現(xiàn)將一個(gè)協(xié)議變量的多個(gè)取值放到一起（形成取值集合）進(jìn)行判斷，大大的提高了比較效率。3.快速模式集合匹配由于在一個(gè)報(bào)文的匹配中，最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配一個(gè)字符串模式，通過快速模式集合匹配算法來提高這部分匹配的效率?？焖倨ヅ湟馕?5著能夠盡可能快的在一個(gè)正文串中查找到一個(gè)模式串的存在，這是通過提高匹配時(shí)移動(dòng)模式的距離實(shí)現(xiàn)的；集合匹配意味著同時(shí)快速的對(duì)多個(gè)模式進(jìn)行匹配。二者的結(jié)合就是在一個(gè)報(bào)文中快速的匹配

52、多個(gè)模式。準(zhǔn)確的特征分析和規(guī)范描述準(zhǔn)確的特征分析和規(guī)范描述解決入侵檢測(cè)的漏報(bào)和誤報(bào)現(xiàn)象還依賴于準(zhǔn)確的特征提取和描述，在所應(yīng)用的特征全面采用了如下兩種特征分析方法和統(tǒng)一的規(guī)范化語(yǔ)言描述。基于漏洞機(jī)理的特征分析基于漏洞機(jī)理的特征分析利用漏洞機(jī)理的方法來提取和定義特征，可以實(shí)現(xiàn)檢測(cè)和具體攻擊工具的無關(guān)性，特別對(duì)于防止新型變種的攻擊和攻擊工具改造非常有效?；诠暨^程的特征分析基于攻擊過程的特征分析攻擊過程分析法則是完全站在攻擊者的角度，破析完整的攻擊過程，可以判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。2.4.8.3入侵檢測(cè)系統(tǒng)部署入侵檢測(cè)系統(tǒng)部署本方案中分別在公共區(qū)域、生產(chǎn)系統(tǒng)區(qū)域、辦公系統(tǒng)區(qū)域部

53、署一套入侵檢測(cè)系統(tǒng)，部署示意圖如圖 1 所示，公共系統(tǒng)的入侵檢測(cè)引擎與核心交換機(jī)相連，辦公系統(tǒng)、生產(chǎn)系統(tǒng)的入侵檢測(cè)系統(tǒng)與該區(qū)域的交換機(jī)相連，分別針對(duì)不同的需求，對(duì)各個(gè)子網(wǎng)的入侵進(jìn)行檢測(cè)和防護(hù)。2.4.8.4入侵檢測(cè)系統(tǒng)選型入侵檢測(cè)系統(tǒng)選型本方案中按照三個(gè)區(qū)域分別采用三套入侵檢測(cè)系統(tǒng)，可以在生產(chǎn)系統(tǒng)、辦公系統(tǒng)區(qū)域和公共區(qū)域各采用一套千兆入侵檢測(cè)引擎，另外，在核心交換機(jī)處部署一套高性能千兆入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)控各個(gè)子網(wǎng)網(wǎng)絡(luò)傳輸狀態(tài)，自動(dòng)檢測(cè)可疑行為，及時(shí)發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊，并可以實(shí)時(shí)響應(yīng)，切斷攻擊方的連接，同時(shí)還可以與防火墻緊密結(jié)合，產(chǎn)生聯(lián)動(dòng)，彌補(bǔ)了防火墻的訪問控制不嚴(yán)密的問題。另外，根

54、據(jù)網(wǎng)絡(luò)網(wǎng)絡(luò)部署結(jié)構(gòu)，可以將核心處選擇為帶子控功能的入侵檢測(cè)系統(tǒng)，當(dāng)在部署結(jié)構(gòu)改變后可以作為中心節(jié)點(diǎn)使用。配合探測(cè)引擎，管理中心安裝于一臺(tái)服務(wù)器上，控制中心面向用戶，提供管理配置之26用?？刂浦行氖莻€(gè)高性能的管理系統(tǒng)，它能控制位于本地或遠(yuǎn)程的多個(gè)網(wǎng)絡(luò)探測(cè)引擎的活動(dòng)，集中制定和配置策略，提供統(tǒng)一的數(shù)據(jù)管理。管理控制中心可以被設(shè)置為主、子結(jié)構(gòu)，主管理控制中心可以實(shí)時(shí)接收、轉(zhuǎn)發(fā)子控制中心的告警信息，分類提取子控制中心的日志信息，下發(fā)各種配置文件、策略供子控對(duì)其所屬網(wǎng)絡(luò)探測(cè)引擎進(jìn)行配置。2.4.8.5入侵檢測(cè)系統(tǒng)功能入侵檢測(cè)系統(tǒng)功能完善的管理控制體系完善的管理控制體系多層分級(jí)管理多層分級(jí)管理所選入侵檢測(cè)

55、系統(tǒng)的管理控制中心可靈活設(shè)置成與行政業(yè)務(wù)管理流程緊密結(jié)合的集中監(jiān)控、多層管理的分級(jí)體系。通過策略下發(fā)機(jī)制，使上級(jí)部門能夠統(tǒng)一全網(wǎng)的安全防護(hù)策略；通過信息上傳機(jī)制，使上級(jí)部門能夠及時(shí)了解和監(jiān)控全網(wǎng)的安全狀態(tài)。靈活的更新和版本升級(jí)靈活的更新和版本升級(jí)所選入侵檢測(cè)系統(tǒng)支持手動(dòng)和自動(dòng)的特征更新和版本升級(jí)，也可以在分級(jí)管理體系下由主控統(tǒng)一來完成。所選入侵檢測(cè)系統(tǒng)的探測(cè)引擎同時(shí)支持通過USB 口進(jìn)行升級(jí)。全局預(yù)警全局預(yù)警在所選入侵檢測(cè)系統(tǒng)的多層分級(jí)管理體系下，可以實(shí)現(xiàn)把單點(diǎn)發(fā)生的重要事件自動(dòng)預(yù)警到其它管理區(qū)域，使得各級(jí)管理員對(duì)于可能發(fā)生的重要安全事件具有提前的預(yù)警提示。利用全局預(yù)警通道，各級(jí)管理員也可以發(fā)

56、送交互信息，交流對(duì)安全事件的處理經(jīng)驗(yàn)。嚴(yán)格的權(quán)限管理嚴(yán)格的權(quán)限管理所選入侵檢測(cè)系統(tǒng)可以設(shè)定多種分類權(quán)限供不同的人員使用，支持更為嚴(yán)格的多鑒別身份認(rèn)證方式。同時(shí)在產(chǎn)品部署上支持事件監(jiān)測(cè)、事件分析以及管理配置分布部署，從物理角度保證管理安全。時(shí)鐘同步機(jī)制時(shí)鐘同步機(jī)制所選入侵檢測(cè)系統(tǒng)支持 NTP 服務(wù)進(jìn)行時(shí)間同步，保證跨時(shí)區(qū)的部署條件下27也能保持管理時(shí)間的一致性。支持多報(bào)警顯示臺(tái)支持多報(bào)警顯示臺(tái)所選入侵檢測(cè)系統(tǒng)提供了良好的多點(diǎn)監(jiān)測(cè)機(jī)制，允許掛接多個(gè)報(bào)警顯示中心，方便多個(gè)管理人員進(jìn)行有效的報(bào)警觀測(cè)。數(shù)據(jù)庫(kù)維護(hù)管理數(shù)據(jù)庫(kù)維護(hù)管理所選入侵檢測(cè)系統(tǒng)提供強(qiáng)大的數(shù)據(jù)庫(kù)維護(hù)管理功能，可以對(duì)歷史數(shù)據(jù)進(jìn)行自動(dòng)、手動(dòng)

57、的備份、刪除操作，還可以導(dǎo)入歷史的備份數(shù)據(jù)?？蓴U(kuò)展到入侵管理可擴(kuò)展到入侵管理入侵檢測(cè)全面支持入侵管理，實(shí)現(xiàn)多種安全產(chǎn)品：漏洞掃描、主機(jī)入侵檢測(cè)的統(tǒng)一管理和協(xié)同關(guān)聯(lián)。全面的入侵檢測(cè)能力全面的入侵檢測(cè)能力多種技術(shù)結(jié)合防止漏報(bào)多種技術(shù)結(jié)合防止漏報(bào)1. 采用引擎高速捕包技術(shù)保證滿負(fù)荷的報(bào)文捕獲；2. 采用的高速樹型匹配技術(shù)實(shí)現(xiàn)了一次匹配多個(gè)規(guī)則的模式，檢測(cè)效率得以成倍的量級(jí)提高；3. 采用了 IP 碎片重組、TCP 流重組以及特殊應(yīng)用編碼解析等多種方式，應(yīng)對(duì)躲避 IDS 檢測(cè)的手法，如：WHISKER、FRAGROUTE 等攻擊方式；4. 采用預(yù)制漏洞機(jī)理分析方法定義特征，對(duì)未知攻擊方式和變種攻擊也能

58、及時(shí)報(bào)警；5. 采用行為關(guān)聯(lián)分析技術(shù)，可以發(fā)現(xiàn)基于組合行為的復(fù)雜攻擊；多種措施降低誤報(bào)多種措施降低誤報(bào)1. 基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹，保證特征匹配的準(zhǔn)確性；2. 基于攻擊過程的分析方法定義特征，可以識(shí)別攻擊的狀態(tài)，提供不同級(jí)別的事件報(bào)警信息；3. 通過采集和關(guān)聯(lián)攻擊發(fā)送方和被攻擊目標(biāo)的信息，可以成功或失敗的攻擊事件給出明確標(biāo)識(shí)。4. 通過支持入侵管理，可以結(jié)合漏洞掃描結(jié)果來評(píng)估威脅的風(fēng)險(xiǎn)級(jí)別。28多種機(jī)制限制濫報(bào)多種機(jī)制限制濫報(bào)1. 內(nèi)置狀態(tài)檢測(cè)機(jī)制，可以識(shí)別和處理類似“STICK”等的反 IDS攻擊，有效地避免了事件風(fēng)暴的產(chǎn)生；2. 提供多種可選的統(tǒng)計(jì)合并技術(shù)，可以對(duì)同一事件采用合并上

59、報(bào)，減少報(bào)警量?？蓴U(kuò)展的響應(yīng)和聯(lián)動(dòng)可擴(kuò)展的響應(yīng)和聯(lián)動(dòng)所選入侵檢測(cè)系同應(yīng)具有豐富的可擴(kuò)展事件響應(yīng)方式， 包括屏幕顯示日志記錄TCP KILLER 阻斷支持郵件方式遠(yuǎn)程報(bào)警、聲音以及自定義程序報(bào)警支持向網(wǎng)管發(fā)送 SNMP TRAP 信息可以充分實(shí)現(xiàn)和第三方安全產(chǎn)品以及網(wǎng)絡(luò)設(shè)備的策略響應(yīng)聯(lián)動(dòng)。防火墻聯(lián)動(dòng):通過聯(lián)動(dòng)通訊標(biāo)準(zhǔn)的支持，防火墻業(yè)界主流的產(chǎn)品可以實(shí)現(xiàn)和入侵系統(tǒng)的聯(lián)動(dòng)，對(duì)外部發(fā)起的攻擊行為進(jìn)行阻斷。交換機(jī)聯(lián)動(dòng)：可以根據(jù)策略制定動(dòng)態(tài)關(guān)閉相應(yīng)的交換機(jī)端口，可以防止蠕蟲類事件的攻擊擴(kuò)散，進(jìn)行內(nèi)網(wǎng)安全防護(hù)。多樣化的日志分析報(bào)告多樣化的日志分析報(bào)告可以為管理人員和入侵檢測(cè)分析員提供了不同類型的日志分析手段

60、和報(bào)告輸出。為管理人員提供了常用的周期性統(tǒng)計(jì)報(bào)表類型模版，管理人員可以直接利用，得出管理性的安全結(jié)論。為入侵檢測(cè)分析員提供了多種缺省分析模版，根據(jù)這些模版可以獲得多種分類的事件日志信息和統(tǒng)計(jì)排名。入侵檢測(cè)系統(tǒng)提供了多樣化的日志過濾查詢條件，用戶可以進(jìn)行自主定義習(xí)慣的查詢模式，進(jìn)行有效的日志分析查詢。報(bào)表可以導(dǎo)出為多種常用格式（WORDEXCEL） ，并設(shè)置郵件定時(shí)發(fā)送報(bào)告功能。2.4.8.6檢測(cè)性能指標(biāo)檢測(cè)性能指標(biāo)攻擊特征流采用統(tǒng)一的 100 種標(biāo)準(zhǔn)的不同攻擊樣本，目標(biāo)機(jī)器配置多種網(wǎng)29絡(luò)服務(wù)。網(wǎng)絡(luò)背景流量采用專用發(fā)包設(shè)備來制造，以背景流量為基準(zhǔn)，測(cè)試入侵檢測(cè)系統(tǒng)在不同的流量環(huán)境（包長(zhǎng)）和不同

61、連接背景下的檢測(cè)能力。 千兆引擎的性能指標(biāo)如下：302.4.8.7技術(shù)參數(shù)技術(shù)參數(shù)1.1 個(gè)標(biāo)準(zhǔn) 1000Base-SX(SC)接口（可擴(kuò)展） ；至少 3 個(gè)標(biāo)準(zhǔn)10/100/1000BaseTX 接口；2.MTBF9 萬(wàn)小時(shí)；3.IP 碎片重組500,000，4.最大檢測(cè) TCP 會(huì)話數(shù)：800,000 ，5.檢測(cè)流量：1G。2.4.9 漏洞掃描系統(tǒng)實(shí)施方案漏洞掃描系統(tǒng)實(shí)施方案配備一套漏洞掃描系統(tǒng)按要求就要以實(shí)現(xiàn)對(duì)內(nèi)部計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行安全性掃描、評(píng)估。為管理員、安全維護(hù)人員提供詳細(xì)的脆弱性信息和安全建議。漏洞掃描器通過確定目標(biāo)設(shè)備的系統(tǒng)狀態(tài)，用于對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行脆弱性分析

62、。2.4.9.1實(shí)施目的實(shí)施目的由于防火墻固有的局限性和目前對(duì)入侵檢測(cè)系統(tǒng)的逃避技術(shù)，網(wǎng)絡(luò)安全性的提高還需要有漏洞掃描系統(tǒng)，它是要實(shí)現(xiàn)對(duì)內(nèi)部計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行安全性掃描、評(píng)估。為管理員、安全維護(hù)人員提供詳細(xì)的脆弱性信息和安全建議。通過部署漏洞掃描系統(tǒng)主要為了達(dá)到如下的目的：掃描分析網(wǎng)絡(luò)系統(tǒng)，檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中安全薄弱環(huán)節(jié)。準(zhǔn)確而全面地報(bào)告網(wǎng)絡(luò)存在的脆弱性和漏洞。檢測(cè)并報(bào)告掃描目標(biāo)的相關(guān)信息以及對(duì)外提供的服務(wù)。根據(jù)用戶需要生成各種分析報(bào)告。312.4.9.2實(shí)施策略實(shí)施策略根據(jù)目前情況分析采取全網(wǎng)掃描策略；當(dāng)網(wǎng)絡(luò)規(guī)模增大后，特別是分為多級(jí)網(wǎng)絡(luò)結(jié)構(gòu)后可以采用分布式部署策略，其功能組

63、件可以部署在不同主機(jī)上，控制中心同時(shí)管理多個(gè)掃描引擎，不同的掃描引擎負(fù)責(zé)對(duì)不同網(wǎng)段的系統(tǒng)進(jìn)行掃描檢測(cè)，顯示中心和報(bào)表中心可匯總顯示各掃描引擎的掃描結(jié)果信息。2.4.9.3漏洞掃描系統(tǒng)部署漏洞掃描系統(tǒng)部署由于漏洞掃描系統(tǒng)為軟件產(chǎn)品，而且是定期或不定期使用，無需專門提供計(jì)算機(jī)來安裝?？梢园惭b在網(wǎng)絡(luò)中配置較高的任意一臺(tái)計(jì)算機(jī)上即可對(duì)全網(wǎng)相關(guān)設(shè)備進(jìn)行掃描。但是本網(wǎng)絡(luò)結(jié)構(gòu)中由于部分需要重點(diǎn)防護(hù)，并且部分應(yīng)用不可以跨網(wǎng)段，安全性要求也不盡相同，所以可以在三個(gè)區(qū)域分別部署一套漏洞掃描系統(tǒng)，制定不同的掃描策略，有針對(duì)性的進(jìn)行漏洞掃描，另外也可以采用分布式單級(jí)部署方式，將不同掃描引擎安裝在不同的區(qū)域，然后進(jìn)行統(tǒng)

64、一管理。單個(gè)系統(tǒng)部署示意圖如下：路由器核心交換機(jī)防火墻IDS樓層交換機(jī)工作站工作站工作站服務(wù)器區(qū)掃描主機(jī)安安全全性性分分析析報(bào)報(bào)告告：系系統(tǒng)統(tǒng)版版本本太太低低：高高風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理員員口口令令永永不不過過期期：中中風(fēng)風(fēng)險(xiǎn)險(xiǎn)開開放放NFS等等無無關(guān)關(guān)服服務(wù)務(wù)：低低風(fēng)風(fēng)險(xiǎn)險(xiǎn)32圖 2：漏洞掃描系統(tǒng)部署示意圖2.4.9.4漏洞掃描系統(tǒng)選型漏洞掃描系統(tǒng)選型漏洞掃描系統(tǒng)一般為軟件產(chǎn)品，本方案選用帶三個(gè)掃描器的漏洞掃描系統(tǒng)，分別對(duì)公共區(qū)域，生產(chǎn)系統(tǒng)區(qū)、辦公系統(tǒng)區(qū)進(jìn)行部署，根據(jù)不同級(jí)別和策略的掃描采用不同的安全防護(hù)手段。三個(gè)掃描器可以安裝在三個(gè)子網(wǎng)中的任意一臺(tái)機(jī)器上，建議安裝在應(yīng)用服務(wù)器上，然后統(tǒng)一由管理中

65、心管理。2.4.9.5漏洞掃描系統(tǒng)功能特點(diǎn)漏洞掃描系統(tǒng)功能特點(diǎn)分布式管理分布式管理分布管理、集中分析分布管理、集中分析各掃描引擎可以按不同的掃描策略同時(shí)進(jìn)行多網(wǎng)絡(luò)系統(tǒng)的漏洞檢測(cè)，并將檢測(cè)結(jié)果集中顯示、集中分析。多級(jí)管理多級(jí)管理對(duì)于擁有不同地域、大規(guī)模網(wǎng)絡(luò)的用戶，各個(gè)地域的網(wǎng)絡(luò)安全管理員管理著本地域的網(wǎng)絡(luò)安全狀況，其上層的安全管理員可以上傳檢測(cè)結(jié)果、下達(dá)檢測(cè)策略、統(tǒng)一管理、統(tǒng)一分析、統(tǒng)一升級(jí)；實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)環(huán)境下的全局風(fēng)險(xiǎn)控制、降低管理成本。京唐港公司日后規(guī)模擴(kuò)大可以采用此種方式。策略管理策略管理為用戶提供多種掃描策略，用戶可根據(jù)實(shí)際需求來選擇合適的策略。同時(shí)，靈活的策略自定義功能可以讓用戶根據(jù)

66、特殊需要更改和編輯掃描策略。應(yīng)用特定配置的策略，用戶能實(shí)現(xiàn)不同內(nèi)容、不同級(jí)別、不同程度、不同層次的掃描。掃描計(jì)劃定制掃描計(jì)劃定制產(chǎn)品應(yīng)支持掃描計(jì)劃任務(wù)，可根據(jù)用戶自定義的掃描計(jì)劃來完成掃描任務(wù)，掃描任務(wù)可以按照不同時(shí)間類型（如每周、每月等）制定多個(gè)，分別自動(dòng)執(zhí)行，系統(tǒng)還支持計(jì)劃有效期的設(shè)定。掃描功能掃描功能可識(shí)別的掃描對(duì)象能夠準(zhǔn)確的識(shí)別各種操作系統(tǒng)和主機(jī)名稱，如 Win95/98/Me、Windows 33NT、Windows 2000/XP、Windows2003、Linux、Solaris、SCO Unix、HP Unix、IBM AIX、IRIX、BSD 等?？梢話呙璧膶?duì)象包括各種服務(wù)器、工作站、網(wǎng)絡(luò)打印機(jī)以及相應(yīng)的網(wǎng)絡(luò)設(shè)備如：3Com 交換機(jī)、CISCO 路由器、Checkpoint Firewall、HP 打印機(jī)、Cisco PIX Firewall 等。可以提供掃描對(duì)象的賬戶信息，便于檢查是否異常賬戶出現(xiàn)。掃描漏洞分類掃描漏洞分類Windows 系統(tǒng)漏洞、WEB 應(yīng)用漏洞、CGI 應(yīng)用漏洞、FTP 類漏洞、DNS、后門類、網(wǎng)絡(luò)設(shè)備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、