網(wǎng)絡(luò)安全建設(shè)實(shí)施方案.doc

1 京唐港股份有限公司京唐港股份有限公司 網(wǎng)網(wǎng)絡(luò)絡(luò)安全建安全建設(shè)實(shí)設(shè)實(shí)施方案施方案 二二 OO 七年二月七年二月 2 目錄目錄 1概述概述.3 2網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè).3 2.1安全現(xiàn)狀分析.3 2.2安全風(fēng)險分析.4 2.2.1物理安全4 2.2.2網(wǎng)絡(luò)安全與系統(tǒng)安全4 2.2.3應(yīng)用安全5 2.2.4安全管理5 2.3安全需求分析.6 2.3.1物理安全需求分析6 2.3.2網(wǎng)絡(luò)安全與系統(tǒng)安全7 2.3.3應(yīng)用安全7 2.3.4安全管理8 2.4安全實(shí)施方案.8 2.4.1物理安全防護(hù)8 2.4.2備份與恢復(fù)9 2.4.3訪問控制9 2.4.4系統(tǒng)安全9 2.4.5網(wǎng)段劃分與虛擬局域網(wǎng)11 2.4.6辦公網(wǎng)整體安全建議11 2.4.7防火墻實(shí)施方案13 2.4.8入侵檢測系統(tǒng)實(shí)施方案20 2.4.9漏洞掃描系統(tǒng)實(shí)施方案29 2.4.10身份認(rèn)證系統(tǒng)實(shí)施方案33 2.4.11安全審計系統(tǒng)實(shí)施方案39 2.4.12防病毒系統(tǒng)實(shí)施方案43 3異地網(wǎng)接入安全建設(shè)異地網(wǎng)接入安全建設(shè).55 3.1接入方式選擇.56 3.2安全性分析.57 3.3兩種方式優(yōu)勢特點(diǎn).57 3.4VPN 原理介紹58 3.5VPN 的選型63 3.6財務(wù)系統(tǒng)安全防護(hù).66 4機(jī)房設(shè)備集中監(jiān)控管理機(jī)房設(shè)備集中監(jiān)控管理.66 4.1.1設(shè)備及應(yīng)用系統(tǒng)管理現(xiàn)狀66 4.1.2建立機(jī)房集中控制管理系統(tǒng)需求66 4.1.3集中控制管理系統(tǒng)方案實(shí)現(xiàn)67 4.1.4功能特點(diǎn)68 4.2監(jiān)控顯示系統(tǒng).68 4.2.1投影顯示系統(tǒng)68 3 4.2.2等離子顯示系統(tǒng)68 5網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)管理中心.69 5.1.1建立網(wǎng)絡(luò)管理中心需求69 5.1.2網(wǎng)絡(luò)管理功能實(shí)現(xiàn)69 6桌面管理及補(bǔ)丁分發(fā)中心桌面管理及補(bǔ)丁分發(fā)中心.72 6.1.1建立桌面管理中心需求72 6.1.2桌面管理功能實(shí)現(xiàn)74 7網(wǎng)絡(luò)設(shè)備升級網(wǎng)絡(luò)設(shè)備升級.81 4 1 概述概述 京唐港股份有限公司辦公大樓網(wǎng)絡(luò)信息系統(tǒng)目前剛剛投入使用，主要包括 新建大廈、舊辦公區(qū)辦公網(wǎng)絡(luò)以及部分省市辦事處專網(wǎng)，該套網(wǎng)絡(luò)與 Internet 互聯(lián)，將要實(shí)現(xiàn)整個業(yè)務(wù)系統(tǒng)的辦公自動化，包括業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)存儲備 份、文件共享、對外宣傳等，同時還要為員工相關(guān)業(yè)務(wù)應(yīng)用及學(xué)習(xí)提供便利的 上網(wǎng)條件；所以該網(wǎng)絡(luò)既是辦公系統(tǒng)的承載體，也是威脅風(fēng)險的承受體，在公 司規(guī)模日漸壯大的今天，網(wǎng)絡(luò)規(guī)模也相應(yīng)的在不斷的擴(kuò)大，相關(guān)的配套網(wǎng)絡(luò)及 安全設(shè)備雖然具有較新的技術(shù)和功能，但還不足以抵御紛繁復(fù)雜的互聯(lián)網(wǎng)的威 脅，整個網(wǎng)絡(luò)的安全也需要做相應(yīng)的增強(qiáng)防護(hù)，另外從設(shè)備及應(yīng)用的管理角度 來看，可以采取一些智能和高效的管理手段及措施，在保障業(yè)務(wù)正常運(yùn)行了同 時，保證系統(tǒng)的安全可靠，減少和簡化安全管理，提高系統(tǒng)工作效率。 本方案將著重從安全系統(tǒng)的整體建設(shè)及相應(yīng)的一些網(wǎng)絡(luò)管理手段上具體分 析，并提出可行性的實(shí)施方案，把目前在使用過程中遇到的一些問題解決并防 患于未然，同時為用戶提供一整套安全及網(wǎng)絡(luò)管理措施，把公司網(wǎng)絡(luò)建設(shè)成為 一個符合業(yè)務(wù)需求、安全可靠、容易管理操作的高質(zhì)量的辦公網(wǎng)絡(luò)。 2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè) 2.1 安全現(xiàn)狀分析安全現(xiàn)狀分析 京唐港股份有限公司依托于京唐港整體規(guī)劃建設(shè)和發(fā)展，將承載著越來越 多的港口業(yè)務(wù)等工作，特別是隨著信息化辦公的進(jìn)一步深入，自動化辦公的便 利和效率可以說是公司發(fā)展壯大的必要手段；但是京唐港股份有限公司辦公大 樓是整個公司信息的核心地帶，不但為本地員工及另外一個園區(qū)的業(yè)務(wù)人員提 供各種辦公應(yīng)用服務(wù)，而且在各地已經(jīng)或是將要成立辦事處，實(shí)現(xiàn)遠(yuǎn)程辦公， 并且各個位置和部門的業(yè)務(wù)需求又不盡相同，在這種網(wǎng)絡(luò)結(jié)構(gòu)較為龐大，多層 次、多應(yīng)用的網(wǎng)絡(luò)中，安全是一項(xiàng)很重要的任務(wù)和保證措施。 目前，該網(wǎng)絡(luò)已經(jīng)建設(shè)完成，安全手段主要在網(wǎng)絡(luò)邊界處采取了防火墻， 5 在整個網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)版殺毒軟件和網(wǎng)管軟件，其他安全措施主要是依靠個 人的安全意識和行為；現(xiàn)階段，全網(wǎng)已經(jīng)爆發(fā)了多次病毒感染等問題，一定程 度上影響了辦公的效率，所以有必要進(jìn)一步從技術(shù)角度完善安全系統(tǒng)。 2.2 安全風(fēng)險分析安全風(fēng)險分析 2.2.1 物理安全物理安全 物理安全層面存在下述威脅和風(fēng)險形式： 機(jī)房毀壞：由于戰(zhàn)爭、自然災(zāi)害、意外事故造成機(jī)房毀壞，大部分設(shè) 備損壞。 線路中斷：因線路中斷，造成系統(tǒng)不能正常工作。 電力中斷：因電力檢修、線路或設(shè)備故障造成電力中斷。 設(shè)備非正常毀壞：因盜竊、人為故意破壞造成設(shè)備毀壞。 設(shè)備正常損壞：設(shè)備軟 、硬件故障，造成設(shè)備不能正常工作。 存貯媒體損壞：因溫度 、濕度或其他原因，各種數(shù)據(jù)存儲媒體不能正 常使用。 2.2.2 網(wǎng)絡(luò)安全與系統(tǒng)安全網(wǎng)絡(luò)安全與系統(tǒng)安全 互聯(lián)網(wǎng)安全隱患：互聯(lián)網(wǎng)會帶來的越權(quán)訪問、惡意攻擊、病毒入侵等 安全隱患； 搭線竊取的隱患：黑客或犯罪團(tuán)體通過搭線和架設(shè)協(xié)議分析設(shè)備非法 竊取系統(tǒng)信息； 病毒侵襲的隱患：病毒在系統(tǒng)內(nèi)感染、傳播和發(fā)作； 操作系統(tǒng)安全隱患：操作系統(tǒng)可能的后門程序、安全漏洞、安全設(shè)置 不當(dāng)、安全級別低等，缺乏文件系統(tǒng)的保護(hù)和對操作的控制，讓各種 攻擊有可乘之機(jī)； 數(shù)據(jù)庫系統(tǒng)安全隱患：不能實(shí)時監(jiān)控數(shù)據(jù)庫系統(tǒng)的運(yùn)行情況，數(shù)據(jù)庫 數(shù)據(jù)丟失、被非法訪問或竊取； 應(yīng)用系統(tǒng)安全隱患：應(yīng)用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等， 6 可能出現(xiàn)非法訪問； 惡意攻擊和非法訪問：拒絕服務(wù)攻擊，網(wǎng)頁篡改，下載不懷好意的惡 意小程序，對系統(tǒng)進(jìn)行惡意攻擊，對系統(tǒng)進(jìn)行非法訪問等。 2.2.3 應(yīng)用安全應(yīng)用安全 身份假冒：缺少強(qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng) 被假冒身份者闖入； 非授權(quán)訪問：缺少強(qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系 統(tǒng)被越權(quán)訪問； 數(shù)據(jù)失、泄密：涉密數(shù)據(jù)在處理、傳輸、存儲過程中，被竊取或非授 權(quán)訪問； 數(shù)據(jù)被修改：數(shù)據(jù)在處理、傳輸、存儲過程中被非正常修改和刪除； 否認(rèn)操作：數(shù)據(jù)操作者為逃避責(zé)任而否認(rèn)其操作行為。 2.2.4 安全管理安全管理 安全管理組織不健全：沒有相應(yīng)的安全管理組織，缺少安全管理人員 編制，沒有建立應(yīng)急響應(yīng)支援體系等。 缺乏安全管理手段：不能實(shí)時監(jiān)控機(jī)房工作、網(wǎng)絡(luò)連接和系統(tǒng)運(yùn)行狀 態(tài)，不能及時發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件，不能追蹤安全事件等。 人員安全意識淡?。簾o意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操 作員 IC 卡，私自接入外網(wǎng)，私自拷貝竊取信息，私自安裝程序，不按 操作規(guī)程操作和越權(quán)操作，擅離崗位，沒有交接手續(xù)等，均會造成安 全隱患。 管理制度不完善：缺乏相應(yīng)的管理制度，人員分工和職責(zé)不明，沒有 監(jiān)督、約束和獎懲機(jī)制，存在潛在的管理風(fēng)險。 缺少標(biāo)準(zhǔn)規(guī)范：系統(tǒng)缺乏總體論證，沒有或缺少相關(guān)的標(biāo)準(zhǔn)規(guī)范，各 子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴(kuò)展性不強(qiáng)。 缺乏安全服務(wù)：人員缺少安全培訓(xùn)，系統(tǒng)從不進(jìn)行安全評估和安全加 固，系統(tǒng)故障不能及時恢復(fù)等。 7 2.3 安全需求分析安全需求分析 基于上述的安全風(fēng)險分析，京唐港股份有限公司信息系統(tǒng)必須采取相應(yīng)的 應(yīng)對措施與手段，形成有效的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力， 為整個信息系統(tǒng)建立可靠的安全運(yùn)行環(huán)境和安全業(yè)務(wù)系統(tǒng)，切實(shí)保障全公司信 息系統(tǒng)正常、有序、可靠地運(yùn)行。 2.3.1 物理安全需求分析物理安全需求分析 異地容災(zāi)：異地容災(zāi)主要是預(yù)防場地問題帶來的數(shù)據(jù)不可用等突發(fā)情 況。這些場地問題包括：電力中斷供電部門因各種原因長時間的 中斷；電信中斷各種原因造成的通信線路破壞；戰(zhàn)爭、地震、火 災(zāi)、水災(zāi)等造成機(jī)房毀壞或不可用等。這些災(zāi)難性事件會直接造成業(yè) 務(wù)的中斷，甚至造成數(shù)據(jù)丟失等，會造成相當(dāng)程度的社會影響和經(jīng)濟(jì) 影響。通過容災(zāi)系統(tǒng)將這種“場地”故障造成的數(shù)據(jù)不可用性減到最 小。要求災(zāi)難發(fā)生時，異地容災(zāi)系統(tǒng)保證：數(shù)據(jù)在遠(yuǎn)程場地存有一 致、可用的拷貝，保證數(shù)據(jù)的安全；應(yīng)用立即在遠(yuǎn)程現(xiàn)場運(yùn)行，保 證業(yè)務(wù)的連續(xù)性 。 機(jī)房監(jiān)控：機(jī)房監(jiān)控主要是預(yù)防盜竊、人為破壞、私自闖入等情況。 監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。 設(shè)備備份：設(shè)備備份用于預(yù)防關(guān)鍵設(shè)備意外損壞。網(wǎng)絡(luò)中關(guān)鍵網(wǎng)絡(luò)設(shè) 備、服務(wù)器應(yīng)有冗余設(shè)計。 線路備份：線路備份主要是預(yù)防通信線路意外中斷。 電源備份：電源備份用于預(yù)防電源故障引起的短時電力中斷。 2.3.2 網(wǎng)絡(luò)安全與系統(tǒng)安全網(wǎng)絡(luò)安全與系統(tǒng)安全 深層防御：深層防御就是采用層次化保護(hù)策略，預(yù)防能攻破一層或一 類保護(hù)的攻擊行為，使之無法破壞整個辦公網(wǎng)絡(luò)。要求合理劃分安全 域，對每個安全域的邊界和局部計算環(huán)境，以及域之間的遠(yuǎn)程訪問， 根據(jù)需要采用適當(dāng)?shù)挠行ПＷo(hù)。 8 邊界防護(hù)：邊界防護(hù)用于預(yù)防來自本安全域以外的各種惡意攻擊和遠(yuǎn) 程訪問控制。邊界防護(hù)機(jī)制有防火墻、入侵檢測、隔離網(wǎng)閘等，實(shí)現(xiàn) 網(wǎng)絡(luò)的安全隔離。 網(wǎng)絡(luò)防病毒：網(wǎng)絡(luò)防病毒用于預(yù)防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。 備份恢復(fù)：備份恢復(fù)用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復(fù)。 漏洞掃描：漏洞掃描用于及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng) 以及網(wǎng)絡(luò)協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。 主機(jī)保護(hù)：對關(guān)鍵的主機(jī)，例如數(shù)據(jù)庫服務(wù)器安裝主機(jī)保護(hù)軟件，對 操作系統(tǒng)進(jìn)行安全加固。 安全審計：用于事件追蹤。要求網(wǎng)絡(luò)、安全設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫 系統(tǒng)有審計功能，同時安裝第三方的安全監(jiān)控和審計系統(tǒng)。 2.3.3 應(yīng)用安全應(yīng)用安全 身份認(rèn)證：身份認(rèn)證用于保證身份的真實(shí)性。公司網(wǎng)絡(luò)中身份認(rèn)證包 括用戶身份認(rèn)證、管理人員身份認(rèn)證、操作員身份認(rèn)證服務(wù)器身份認(rèn) 證。鑒于辦公網(wǎng)與互聯(lián)網(wǎng)相連，用戶數(shù)量較大的，基于數(shù)字證書 （CA）的認(rèn)證體制將是理想的選擇。 權(quán)限管理：權(quán)限管理指對公司辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、主 機(jī)系統(tǒng)的所有操作和訪問權(quán)限進(jìn)行管理，防止非授權(quán)訪問和操作。 數(shù)據(jù)完整性：數(shù)據(jù)完整性指對辦公網(wǎng)絡(luò)中存儲、傳輸?shù)臄?shù)據(jù)進(jìn)行數(shù)據(jù) 完整性保護(hù)。 抗抵賴：抗抵賴就是通過采用數(shù)字簽名方法保證當(dāng)事人行為的不可否 認(rèn)性，建立有效的責(zé)任機(jī)制，為京唐港公司網(wǎng)絡(luò)創(chuàng)造可信的應(yīng)用環(huán)境。 安全審計：各應(yīng)用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提 供相應(yīng)的審計工具。 2.3.4 安全管理安全管理 組織建設(shè)：安全管理組織建設(shè)包括：組織機(jī)構(gòu)、人才隊(duì)伍、應(yīng)急響應(yīng) 9 支援體系等的建設(shè)。 制度建設(shè)：安全管理制度建設(shè)包括：人員管理制度、機(jī)房管理制度、 卡機(jī)具生產(chǎn)管理制度、設(shè)備管理制度、文檔管理制度等的建設(shè)。 標(biāo)準(zhǔn)建設(shè)：安全標(biāo)準(zhǔn)規(guī)范建設(shè)包括：數(shù)據(jù)交換安全協(xié)議、認(rèn)證協(xié)議、 密碼服務(wù)接口等標(biāo)準(zhǔn)規(guī)范的建立。 安全服務(wù)：安全服務(wù)包括安全培訓(xùn)、日常維護(hù)、安全評估、安全加固、 緊急響應(yīng)等。 技術(shù)建設(shè)：安全管理技術(shù)建設(shè)主要指充分利用已有的安全管理技術(shù)， 利用和開發(fā)相關(guān)的安全管理工具，提高安全管理的自動化、智能化水 平 。 2.4 安全實(shí)施方案安全實(shí)施方案 2.4.1 物理安全防護(hù)物理安全防護(hù) 物理安全是整個系統(tǒng)安全的基礎(chǔ)，要把公司內(nèi)部局域網(wǎng)系統(tǒng)的安全風(fēng)險減 至最低限度，需要選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其 它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算 機(jī)犯罪行為導(dǎo)致的破壞過程。 機(jī)房建設(shè)必須嚴(yán)格按照國家標(biāo)準(zhǔn) GB50173-93電子計算機(jī)機(jī)房設(shè)計規(guī)范 、 國標(biāo) GB2887-89計算站場地技術(shù)條件 、GB9361-88計算站場地安全要求 進(jìn)行建設(shè)。 通過防盜措施，如裝備報警裝置防止設(shè)備被盜；通過對重要設(shè)備電源采用 UPS 供電防止電源意外斷電中斷服務(wù)；通過對重要設(shè)備或線路冗余備份保持服 務(wù)的可持續(xù)性。 2.4.2 備份與恢復(fù)備份與恢復(fù) 對于網(wǎng)絡(luò)應(yīng)用實(shí)時性要求很高的系統(tǒng)，數(shù)據(jù)備份措施往往采用服務(wù)器的雙 機(jī)備份。即兩臺服務(wù)器同時安裝備份系統(tǒng)，同時在線，互為備份。正常情況下， 10 由主服務(wù)器提供服務(wù)，備份服務(wù)器處于帶電但不提供服務(wù)狀態(tài)，一旦主服務(wù)器 出現(xiàn)故障，備份服務(wù)器自動接管主服務(wù)器來提供服務(wù)。保證應(yīng)用服務(wù)器能夠提 供不間斷的服務(wù)。 京唐港股份公司應(yīng)用服務(wù)可靠要求較高，而且業(yè)務(wù)數(shù)據(jù)存儲容量會隨著業(yè) 務(wù)的擴(kuò)展而增大，并非常重要。為了防止業(yè)務(wù)數(shù)據(jù)的丟失和損壞而影響業(yè)務(wù)辦 理，或者在數(shù)據(jù)出現(xiàn)意外事故時無法恢復(fù)，必須對數(shù)據(jù)庫進(jìn)行備份。根據(jù)實(shí)際 情況可采用 SAN 結(jié)構(gòu)存儲系統(tǒng)，采用磁帶庫進(jìn)行備份并實(shí)現(xiàn)災(zāi)難恢復(fù)。 2.4.3 訪問控制訪問控制 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)最有效手段之一，據(jù)統(tǒng)計分析，完善的訪 問控制策略可把網(wǎng)絡(luò)安全風(fēng)險降低 90%。網(wǎng)絡(luò)的訪問控制技術(shù)可以針對網(wǎng)絡(luò)協(xié) 議、目標(biāo)對象以及通訊端口等進(jìn)行過濾和檢驗(yàn)，符合條件才通過，不符合條件 的則被丟棄。系統(tǒng)訪問控制可以針對具體的一個文件或目錄授權(quán)給指定的人員 相應(yīng)的權(quán)限，受派者在試圖訪問相應(yīng)信息時，需要驗(yàn)證身份、判別權(quán)限后才能 進(jìn)行訪問。訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。訪 問控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 訪問控制策略可以采用三層交換設(shè)備 VLAN 技術(shù)、ACL 技術(shù)、綁定技術(shù)等， 使得不同部門、不同組別、不同用戶之間的網(wǎng)絡(luò)訪問達(dá)到有效的控制；也可以 通過在不同網(wǎng)絡(luò)安全域之間加裝防火墻等安全設(shè)備，利用防火墻的控制策略達(dá) 到網(wǎng)絡(luò)訪問控制的目的。 2.4.4 系統(tǒng)安全系統(tǒng)安全 系統(tǒng)安全包括數(shù)據(jù)庫安全和操作系統(tǒng)安全，下面分別闡述。 數(shù)據(jù)庫安全 數(shù)據(jù)庫存放了整個網(wǎng)絡(luò)中的重要數(shù)據(jù)，為此需要建立一套有效的安全機(jī)制。 加強(qiáng)數(shù)據(jù)庫系統(tǒng)登陸權(quán)限管理，加強(qiáng)管理員登陸口令的管理以及數(shù)據(jù)庫遠(yuǎn)程訪 問權(quán)限的管理，對數(shù)據(jù)庫采用備份與恢復(fù)機(jī)制。同時對重要的涉密系統(tǒng)應(yīng)選用 11 經(jīng)國家主管部門批準(zhǔn)使用的安全數(shù)據(jù)庫，或者對數(shù)據(jù)庫進(jìn)行安全增強(qiáng)改造、加 固。數(shù)據(jù)庫具體安全要求： 1、用戶角色的管理 這是保護(hù)數(shù)據(jù)庫系統(tǒng)安全的重要手段之一。把網(wǎng)絡(luò)中使用數(shù)據(jù)庫的用戶設(shè) 置為不同的用戶組并對用戶組的安全屬性進(jìn)行驗(yàn)證，有效地防止非法的用戶進(jìn) 入數(shù)據(jù)庫系統(tǒng)；在數(shù)據(jù)庫中，可以通過授權(quán)對用戶的操作進(jìn)行限制，即允許一 些用戶對數(shù)據(jù)庫服務(wù)器進(jìn)行訪問，具有讀寫整個數(shù)據(jù)庫的權(quán)利，而大多數(shù)用戶 只能在同組內(nèi)進(jìn)行讀寫或?qū)φ麄€數(shù)據(jù)庫只具有讀的權(quán)利。在此，特別強(qiáng)調(diào)對系 統(tǒng)管理員和安全管理員兩個特殊賬戶的保密管理。 2、數(shù)據(jù)保護(hù) 數(shù)據(jù)庫的數(shù)據(jù)保護(hù)主要是數(shù)據(jù)庫的備份，當(dāng)計算機(jī)的軟硬件發(fā)生故障時， 利用備份進(jìn)行數(shù)據(jù)庫恢復(fù)，以恢復(fù)破壞的數(shù)據(jù)庫文件、控制文件或其他文件。 另一種數(shù)據(jù)保護(hù)是日志，數(shù)據(jù)庫實(shí)例都提供日志，用以記錄數(shù)據(jù)庫中所進(jìn) 行的各種操作，包括修改、調(diào)整參數(shù)等，并在數(shù)據(jù)庫內(nèi)部建立一個所有作業(yè)的 完整記錄。再一個就是控制文件的備份，一般用于存儲數(shù)據(jù)庫物理結(jié)構(gòu)的狀態(tài)， 控制文件中的某些狀態(tài)信息在實(shí)例恢復(fù)和介質(zhì)恢復(fù)期間用于引導(dǎo)數(shù)據(jù)庫，在實(shí) 際操作時，需要為網(wǎng)絡(luò)的數(shù)據(jù)庫分別指定相應(yīng)的備份策略。 操作系統(tǒng)安全 目前用戶辦公計算機(jī)采用操作系統(tǒng)還主要基于 Windows 平臺。其自身安全 需要得到關(guān)注，即在日常工作中必須注意對操作系統(tǒng)進(jìn)行必要的防護(hù)。如： 1、定期維護(hù)：及時安裝漏洞補(bǔ)丁，定期進(jìn)行完整性檢查、配置檢查、病毒 檢查和漏洞掃描。 2、使用權(quán)限控制：用戶權(quán)限、口令安全。 3、遠(yuǎn)程訪問安全：進(jìn)行基本的安全配置。 12 2.4.5 網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分與虛擬局域網(wǎng) 網(wǎng)段劃分主要是對 IP 地址進(jìn)行合理的規(guī)劃和分配。為確保辦公網(wǎng)中各子網(wǎng) 以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)正常、安全 運(yùn)行，需要合理規(guī)劃、分配外網(wǎng)各部門的 IP 地址。網(wǎng)段劃分的方法可以采用各 個部門或機(jī)構(gòu)劃分網(wǎng)段，重要的服務(wù)器設(shè)備劃分單獨(dú)的網(wǎng)段，以便監(jiān)控網(wǎng)絡(luò)關(guān) 鍵設(shè)備的安全。 虛擬局域網(wǎng)可有效地解決廣播風(fēng)暴、廣播攻擊、充分利用網(wǎng)絡(luò)帶寬資源。 結(jié)合訪問控制列表功能，可以極大地增強(qiáng)辦公網(wǎng)的安全性，防止網(wǎng)絡(luò)內(nèi)用戶對 系統(tǒng)相關(guān)信息的非授權(quán)訪問。辦公網(wǎng)可按各個職能來劃分 VLAN，如將領(lǐng)導(dǎo)所 在的網(wǎng)絡(luò)單獨(dú)作為一個 Leader VLAN (LVLAN )，技術(shù)人員劃分為一個 VLAN，工作人員劃分為一個 VLAN，而其它機(jī)構(gòu)分別劃作一個 VLAN。其共 享服務(wù)器（如 EMAIL 服務(wù)器、DNS 服務(wù)器、WEB 服務(wù)器等）單獨(dú)劃作一個 VLAN (MVLAN)。其他服務(wù)器如數(shù)據(jù)庫服務(wù)器劃為 Data VLAN。 2.4.6 辦公網(wǎng)整體安全建議辦公網(wǎng)整體安全建議 根據(jù)以上的安全風(fēng)險分析、需求分析和京唐港公司的具體情況，建議從以 下方面考慮進(jìn)行安全方面的部署： 終端防護(hù)終端防護(hù) A. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的企業(yè)級防病毒系統(tǒng)企業(yè)級防病毒系統(tǒng)。通過防病 毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見 的計算機(jī)癱瘓、網(wǎng)絡(luò)阻塞等安全問題。 B.在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的終端安全防護(hù)系統(tǒng)。終端安全防護(hù)系統(tǒng)。通過終端 安全防護(hù)系統(tǒng)的統(tǒng)一部署，可以京唐港公司安全管理制度提供有利 的技術(shù)保障措施，保障終端的系統(tǒng)安全和終端的安全管理。 C.在中心部署身份認(rèn)證登陸系統(tǒng)身份認(rèn)證登陸系統(tǒng)，終端必須通過身份認(rèn)證才能進(jìn)入， 避免非法進(jìn)入。 邊界的防護(hù)邊界的防護(hù) 13 A. 通過防火墻防火墻系統(tǒng)的部署，可以根據(jù)不同的安全要求，設(shè)置不同的安 全區(qū)域，來限制不同信任度區(qū)域之間的相互訪問，保護(hù)各關(guān)鍵應(yīng)用 服務(wù)器系統(tǒng)免受網(wǎng)絡(luò)上的非法訪問和惡意攻擊，可以在服務(wù)器區(qū)的 前端增加一臺防火墻設(shè)備。 B.通過入侵檢測入侵檢測系統(tǒng)的部署，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理 員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 服務(wù)器的防護(hù)服務(wù)器的防護(hù) A. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的企業(yè)級防病毒企業(yè)級防病毒 系統(tǒng)系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務(wù)器免受病毒的感 染和傳播。這可以解決常見的服務(wù)器癱瘓、信息資產(chǎn)丟失等安全問 題，為服務(wù)器病毒防護(hù)提供有效的安全保障。 B. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的終端安全防護(hù)終端安全防護(hù) 系統(tǒng)系統(tǒng)。通過終端安全防護(hù)系統(tǒng)的統(tǒng)一部署，為服務(wù)器提供訪問控制、 系統(tǒng)的安全、補(bǔ)丁的有效管理、和為服務(wù)器的安全管理提供技術(shù)保 障措施。 C. 服務(wù)器安全加固服務(wù)器安全加固，對關(guān)鍵服務(wù)器進(jìn)行安全加固，保證服務(wù)器的安全 使用和穩(wěn)固。 系統(tǒng)安全防護(hù)系統(tǒng)安全防護(hù) A. 在辦公網(wǎng)系統(tǒng)上部署漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)，可以隨時的對網(wǎng)絡(luò)內(nèi)的所有終端、 服務(wù)器、數(shù)據(jù)庫系統(tǒng)進(jìn)行掃描，以發(fā)現(xiàn)安全隱患。 B. 在系統(tǒng)當(dāng)中部署安全強(qiáng)審計系統(tǒng)安全強(qiáng)審計系統(tǒng)。根據(jù)用戶的安全策略制定詳細(xì)的審計 保護(hù)規(guī)則，對整個網(wǎng)絡(luò)和主機(jī)中違反安全策略的行為進(jìn)行阻斷，并向管 理中心報警。 系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖 1： 14 WEB服務(wù)器 郵件服務(wù)器 病毒服務(wù)器 INTERNET 出出 口口 生生 產(chǎn)產(chǎn) 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 辦辦 公公 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 入侵檢測系統(tǒng) 安全審計系統(tǒng) KVM 審計服務(wù)器 網(wǎng)管工作站 舊舊 辦辦 公公 區(qū)區(qū) 各各 個個 樓樓 層層 交交 換換 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 公公 共共 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 入侵檢測系統(tǒng) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 管管 理理 區(qū)區(qū) 圖 1： 系統(tǒng)整體安全體系結(jié)構(gòu)示意圖 2.4.7 防火墻實(shí)施方案防火墻實(shí)施方案 2.4.7.1實(shí)施原則實(shí)施原則 （1） 整體性 安全防范體系的建立和多層保護(hù)的相互配合； 實(shí)現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。 （2） 先進(jìn)性 安全技術(shù)先進(jìn)； 安全產(chǎn)品成熟； 安全系統(tǒng)技術(shù)生命的周期適度。 （3） 可用性 安全系統(tǒng)本身的可用性； 安全管理友好，并于其他系統(tǒng)管理的有效集成； 避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜； 15 盡量降低對原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開展。 （4） 擴(kuò)充性 安全系統(tǒng)能適應(yīng)客戶網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用需求的變化而變化； 安全系統(tǒng)遵循標(biāo)準(zhǔn)，系統(tǒng)的變化易實(shí)現(xiàn)、易修改、易擴(kuò)充。 2.4.7.2實(shí)施策略實(shí)施策略 采取核心保護(hù)策略，盡可能的以最小的投資達(dá)到最大的安全防護(hù)。 采用可以提供集中管理控制的產(chǎn)品，同時要求考慮產(chǎn)品適應(yīng)性可擴(kuò)展 性，以適應(yīng)網(wǎng)絡(luò)擴(kuò)展的需要。 產(chǎn)品在使用上應(yīng)具有友好的用戶界面，使用戶在管理、使用、維護(hù)上 盡量簡單、直觀。 建立層次化的防護(hù)體系和管理體系。 2.4.7.3防火墻系統(tǒng)部署防火墻系統(tǒng)部署 從京唐港公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上，可以看出，辦公網(wǎng)中的服務(wù)器區(qū)域 是很重要的安全區(qū)域，這些服務(wù)器承載著整個公司全部網(wǎng)絡(luò)功能的需求，對網(wǎng) 絡(luò)安全系數(shù)的要求很高，一旦重要服務(wù)器遭到攻擊破壞，將對整個公司的業(yè)務(wù) 產(chǎn)生非常大的影響，所以可以在服務(wù)器交換機(jī)與核心交換機(jī)的連接中設(shè)置防火 墻設(shè)備，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外 網(wǎng)絡(luò)通信，是必不可少的安全防御措施。 控制從外網(wǎng)區(qū)到安全服務(wù)區(qū)的訪問，確保允許的訪問才能夠進(jìn)行，而 其他未經(jīng)過允許的行為全部被禁止； 限制安全服務(wù)區(qū)對非安全服務(wù)區(qū)的直接訪問； 防火墻有效記錄區(qū)域之間的訪問日志，為出現(xiàn)安全問題時提供備查資 料； 具體配置情況如圖 1 所示，在網(wǎng)絡(luò)邊界處部署一臺防火墻作為網(wǎng)絡(luò)系統(tǒng)與 Internet 連接的第一道安全防護(hù)，通過防火墻提供的功能來達(dá)到訪問控制的目 的；另外，在各個系統(tǒng)區(qū)的出口處也部署一臺防火墻，用來保證各個區(qū)域的安 全，制定不同的安全策略，實(shí)現(xiàn)對重要服務(wù)器系統(tǒng)的防護(hù)和訪問控制。 16 2.4.7.4防火墻安全策略防火墻安全策略 針對公司辦公局域網(wǎng)的具體情況，我們建議制定以下的安全策略： 安全區(qū)域隔離策略 由于網(wǎng)絡(luò)安全的整體性要求，為了使網(wǎng)絡(luò)系統(tǒng)達(dá)到一定的安全水平，必須 保證對網(wǎng)絡(luò)中各部分都采取了均衡的保護(hù)措施，但對于公司整個辦公網(wǎng)來說都 采用相同的手段是不可能也沒有必要的，本辦公網(wǎng)可以采用的方法是根據(jù)網(wǎng)絡(luò) 不同部分的重要性劃分為不同的安全區(qū)域，并著重對其中重要的安全區(qū)域進(jìn)行 隔離和保護(hù)。 建議采用防火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點(diǎn)是各服務(wù) 器區(qū)域與辦公網(wǎng)內(nèi)用戶區(qū)域之間的連接。 訪問控制策略 防火墻被部署后，將根據(jù)實(shí)際應(yīng)用需要定義適當(dāng)?shù)陌踩呗?，針對源地址?目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時間、帶寬等條件的實(shí)現(xiàn)訪問控制，確保不同網(wǎng) 絡(luò)區(qū)域之間的授權(quán)、有序訪問，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問或一些惡 意的攻擊。 例如，服務(wù)器區(qū)域防火墻上可制定如下安全策略： - 允許業(yè)務(wù)相關(guān)的用戶區(qū)域主機(jī)訪問本區(qū)域服務(wù)器的特定端口，拒絕其他 任何訪問請求，這樣可以保護(hù)服務(wù)器系統(tǒng)不受非法入侵和攻擊； - 缺省規(guī)則應(yīng)該是拒絕一切訪問。 本次項(xiàng)目我們將在實(shí)施的過程中，根據(jù)網(wǎng)絡(luò)的真實(shí)環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交 互的實(shí)際需要，來制定詳細(xì)的訪問控制策略?；驹瓌t是開放最少端口。作為 區(qū)域邊界保護(hù)的準(zhǔn)則，防火墻的訪問控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問 控制策略是否得到實(shí)施的關(guān)鍵，因此對防火墻訪問控制策略的定期檢查和調(diào)整 是區(qū)域邊界保護(hù)中要注意的問題。 用戶認(rèn)證和授權(quán)策略 選擇一種既方便實(shí)用又具備足夠安全性的用戶認(rèn)證機(jī)制，通過防火墻實(shí)現(xiàn) 對網(wǎng)絡(luò)用戶身份的可靠鑒別和訪問授權(quán)管理，防止非法人員盜用合法用戶的網(wǎng) 絡(luò)地址來假冒合法用戶訪問關(guān)鍵資源，同時也便于針對實(shí)際用戶進(jìn)行行為審計。 17 帶寬管理策略 我們可以依據(jù)應(yīng)用需要來限制流量，來調(diào)整鏈路的帶寬利用。可以在防火 墻中直接加載控制策略，為比較重要的訪問定義可用的最大帶寬和優(yōu)先級，確 保為重要的應(yīng)用預(yù)留足夠的帶寬進(jìn)行數(shù)據(jù)交換。 我們還可以定義任意兩個網(wǎng)絡(luò)對象之間通信時的最大帶寬。例如，通過防 火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員等定義進(jìn)行 網(wǎng)絡(luò)通信時的最大帶寬和優(yōu)先級，而且?guī)挿峙淇梢允欠謱拥?，例如部門帶寬 下面有小組帶寬然后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的 順暢。 日志和審計策略 一個安全防護(hù)體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài) 的改變歷史、通過該節(jié)點(diǎn)的符合安全策略的訪問和不符合安全策略的企圖，使 管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。進(jìn)行信 息審計的前提是必須有足夠的多的日志信息。 防火墻系統(tǒng)提供了強(qiáng)大的日志功能，可對重要關(guān)鍵資源的使用情況進(jìn)行有 效的監(jiān)控，實(shí)現(xiàn)日志的分級管理、自動報表、自動報警功能，用戶可以根據(jù)需 要對不同的通訊內(nèi)容記錄不同的日志，包括會話日志（主要描述通訊的時間、 源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了 那些命令，執(zhí)行了那些操作） 。用戶可以根據(jù)需要記錄不同的日志，從而為日志 分析、事后追蹤提供更多的依據(jù)。同時，產(chǎn)生的日志能夠以多種方式導(dǎo)出，有 利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺進(jìn)行統(tǒng)一的管理。 2.4.7.5防火墻選型防火墻選型 由于將各個系統(tǒng)按照區(qū)域化分進(jìn)行分別防護(hù)，在總出口處已經(jīng)部署一臺高 性能千兆防火墻，根據(jù)流量及應(yīng)用實(shí)際分析，在辦公系統(tǒng)和生產(chǎn)系統(tǒng)處可分別 部署一臺千兆防火墻，考慮到部分有可能系統(tǒng)采用 VPN 設(shè)備，所以可以選擇帶 VPN 功能模塊的防火墻。 產(chǎn)品功能： 功能類別功能項(xiàng)功能細(xì)項(xiàng) 18 工作模式路由、透明、混合 支持基于流、數(shù)據(jù)包、透明代理的過濾方式。 支持對 HTTP、SMTP、POP3、FTP 等協(xié)議的深度內(nèi)容過濾。 支持 URL 過濾 支持對移動代碼如 Java applet、Active-X、VBScript、Jscript、Java script 的過濾 支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾 支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過 濾 內(nèi)容過濾 動態(tài)端口支持協(xié)議： FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP。 對通過的數(shù)據(jù)進(jìn)行在線過濾，查殺郵件正文附件、網(wǎng)頁及下載文件中包 含的病毒， 病毒庫更新 提供快速掃描及完全掃描兩種掃描方式 防病毒 系統(tǒng)狀態(tài)實(shí)時監(jiān)控 基于狀態(tài)檢測的動態(tài)包過濾 實(shí)現(xiàn)基于源/目的 IP 地址、源/目的 MAC 地址、源/目的端口、協(xié)議、時 間等數(shù)據(jù)包快速過濾 支持報文合法性檢查 包過濾 可實(shí)現(xiàn) IP/MAC 綁定 非法報文攻擊：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3 、ipspoof 統(tǒng)計型報文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep Topsec 聯(lián)動：可與支持 TOPSEC 協(xié)議的 IDS 設(shè)備聯(lián)動，以提高入侵檢 測效率。 端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置 防御攻擊 SYN 代理：對來自定義區(qū)域的 Syn Flood 攻擊行為進(jìn)行阻斷過濾 支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、雙因子認(rèn)證 （SecureID）以及數(shù)字證書（CA）等常用的安全認(rèn)證方式 支持使用第三方認(rèn)證如 RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證 等安全認(rèn)證方式 支持 Session 認(rèn)證、HTTP 會話認(rèn)證 支持認(rèn)證?；罟δ?AAA 服務(wù) 可將認(rèn)證用戶信息加密存放在本地數(shù)據(jù)庫 支持雙向 NAT 支持動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換 支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換 網(wǎng)絡(luò)安全性 NAT 支持虛擬服務(wù)器功能 支持靜態(tài)路由、動態(tài)路由 網(wǎng)絡(luò)適應(yīng)性路由 支持基于源/目的地址、接口、Metric 的策略路由 19 支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。 支持 Vlan 路由，能夠在不同的 VLAN 虛接口間實(shí)現(xiàn)路由功能。 支持 RIP、OSPF 等路由協(xié)議。 支持 IGMP 組播協(xié)議 支持 IGMP SNOOPING組播 可有效地實(shí)現(xiàn)視頻會議等多媒體應(yīng)用 支持與交換機(jī)的 Trunk 接口對接，并且能夠?qū)崿F(xiàn) Vlan 間通過安全設(shè)備傳 播路由 支持 802.1Q，能進(jìn)行 802.1Q 的封裝和解封 支持 ISL，能進(jìn)行 ISL 的封裝和解封 VLAN 在同一個 Vlan 內(nèi)能進(jìn)行二層交換 生成樹支持 802.1D 生成樹協(xié)議，包括 PVST+及 CST 等協(xié)議。 支持 ARP 代理、ARP 學(xué)習(xí) ARP 可設(shè)置靜態(tài) ARP 非 IP 協(xié)議支持對非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。 DHCP支持 DHCP Client、DHCP Relay、DHCP Server 支持 ADSL 接入功能，可滿足中小企業(yè)的多種接入需求。 接入 支持 PPPOE 撥號接入 支持網(wǎng)絡(luò)時鐘協(xié)議 SNTP，可以自動根據(jù) NTP 服務(wù)器的時鐘調(diào)整本機(jī)時 間其它 支持 IPX、NetBEUI 等非 IP 協(xié)議。 支持基于標(biāo)準(zhǔn) IKE 協(xié)商的 VPN 通信隧道 支持多種 IKE 認(rèn)證方式，如預(yù)共享密鑰，數(shù)字證書等IKE 支持 IKE 擴(kuò)展認(rèn)證，如 Radius 認(rèn)證等。 支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠(yuǎn)程移動用戶到網(wǎng)關(guān)的 VPN 隧道 在具有 SCM 的解決方案中，支持靈活的移動用戶到移動用戶的隧道。 解決方案 可以和密碼機(jī)產(chǎn)品，遠(yuǎn)程客戶端產(chǎn)品及 VPN 安全管理系統(tǒng)（SCM）共 同組成完整的 VPN 解決方案。 支持 3DES、DES、國密辦等加密算法 支持標(biāo)準(zhǔn) MD5、SHA-1 認(rèn)證算法算法 支持加密卡提供的 MD5、SHA-1 認(rèn)證算法 支持 HUB-SPOKE 方式 支持網(wǎng)狀連接方式工作模式 支持分級的樹狀連接方式 支持網(wǎng)絡(luò)鄰居（利用 WINS） 支持隧道的 NAT 穿越 支持對隧道內(nèi)明文的訪問控制 VPN 其它功能 可同時支持明密傳輸 支持 Welf、Syslog 等多種日志格式的輸出 支持通過第三方軟件來查看日志 支持日志分級 安全管理日志 支持對接收到的日志進(jìn)行緩沖存儲 20 通過安全審計系統(tǒng)（TA-L），可獲得更詳盡的日志分析和審計功能,并 能提供員工上網(wǎng)行為管理功能。 可選高級日志審計功能模塊，除接受防火墻日志外還能接受交換機(jī)、路 由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。 支持網(wǎng)絡(luò)接口監(jiān)測、CPU 利用率監(jiān)測、內(nèi)存使用率監(jiān)測、操作系統(tǒng)狀況 監(jiān)測、網(wǎng)絡(luò)狀況監(jiān)測、硬件系統(tǒng)監(jiān)測、進(jìn)程監(jiān)測、進(jìn)程內(nèi)存監(jiān)測、加密 卡狀況監(jiān)測。 監(jiān)控 可根據(jù)配置文件進(jìn)行錯誤恢復(fù) 報警事件：內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、 “容錯”、“測試”等多種觸發(fā)報警的事件類 報警 報警方式：采用郵件、NETBIOS、聲音、SNMP、控制臺等多種報警方 式，報警方式可以組合使用。 QOS 帶寬管理 根據(jù) IP、協(xié)議、網(wǎng)絡(luò)接口、時間定義帶寬分配策略 支持最小保證帶寬和最大限制帶寬 QoS 支持分層的帶寬管理 優(yōu)先級支持 8 級優(yōu)先級控制 支持雙機(jī)熱備 雙機(jī)熱備 支持系統(tǒng)故障切換 支持服務(wù)器的負(fù)載均衡，提供輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈 接等多種負(fù)載均衡方式供用戶選擇。負(fù)載均衡 支持生成樹協(xié)議，可實(shí)現(xiàn)鏈路負(fù)載均衡。 支持鏈路備份功能 支持雙系統(tǒng)引導(dǎo)，當(dāng)主系統(tǒng)損壞時，可以啟用備用系統(tǒng)，不影響設(shè)備的 正常使用 帶寬管理 其它功能 支持 Watchdog 功能 支持 WEB 圖形配置、命令行配置 支持本地配置、遠(yuǎn)程配置配置方式 支持基于 SSH、SSL 的安全配置 支持配置命令分級保護(hù) 支持中英文 命令行 支持命令超時、歷史命令、命令補(bǔ)齊、命令幫助、命令錯誤提示等功能 支持 SNMP 的 v1 、v2 、v2c 、v3 版本 SNMP 與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容，如 HP Openview 等。 支持雙系統(tǒng)升級 支持遠(yuǎn)程維護(hù)和系統(tǒng)升級系統(tǒng)升級 支持 TFTP 升級 提供強(qiáng)大的報文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào) 試和解決問題。報文調(diào)試 支持發(fā)送虛擬報文 配置管理 配置恢復(fù)可以進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載。 21 其它擴(kuò)展能力 開放式的架構(gòu)支持未來方便擴(kuò)展防病毒、防垃圾郵件、IPSEC VPN、SSL VPN 等功能以及各種 VPN 加速卡 2.4.7.6技術(shù)參數(shù)技術(shù)參數(shù) 1.1000M 光纖接口2； 2.并發(fā)連接數(shù)50 萬； 3.VLAN 支持：支持 802.1q； 4.流量管理：支持帶寬管理和優(yōu)先級控制； 5.支持 IP 與 MAC 地址綁定； 6.支持 HTTP、STMP、POP3、FTP、SOCKS 代理； 7.支持抗 DOS、端口掃描、特洛伊木馬等攻擊； 8.支持基于 H.323 的視頻會議和 VOIP 語音系統(tǒng)。 2.4.8 入侵檢測系統(tǒng)實(shí)施方案入侵檢測系統(tǒng)實(shí)施方案 2.4.8.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述 入侵檢測系統(tǒng)是屬于主動防御，它識別大量的攻擊模式、并根據(jù)用戶策略 做出響應(yīng)。入侵檢測系統(tǒng)以實(shí)時性、動態(tài)檢測和主動防御為特點(diǎn)，有效彌補(bǔ)了 其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng)，已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)的必 備設(shè)施。 網(wǎng)絡(luò)入侵檢測系統(tǒng)可以對整個網(wǎng)絡(luò)進(jìn)行檢測和防御，通常由控制中心和探 測引擎兩部分組成。探測引擎一般采用專用硬件設(shè)備通過旁路方式接入檢測網(wǎng) 絡(luò)。探測引擎全面?zhèn)陕牼W(wǎng)絡(luò)信息流，動態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，進(jìn)行 檢測和實(shí)時分析，從而實(shí)時甚至提前發(fā)現(xiàn)非法或異常行為，并且執(zhí)行告警、阻 斷等功能，并記錄相應(yīng)的事件日志。控制中心是面向用戶，提供管理配置使用。 它支持控制多個位于本地或遠(yuǎn)程的探測引擎，集中制定和配置監(jiān)控策略，提供 統(tǒng)一的數(shù)據(jù)管理。 對發(fā)現(xiàn)入侵或異常行為，入侵檢測系統(tǒng)控制中心能記錄、顯示詳細(xì)的入侵 告警信息，如入侵主機(jī)的 IP 地址、攻擊特征等。通過對所記錄的歷史報警信息 22 進(jìn)行分類統(tǒng)計，可形成用戶所需要的管理報表。 2.4.8.2入侵檢測技術(shù)入侵檢測技術(shù) 高性能報文捕獲高性能報文捕獲 DMADMA 和零拷貝技術(shù)和零拷貝技術(shù) IDS 作為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。目前，由于網(wǎng) 絡(luò)自身的發(fā)展非常迅速，一般的網(wǎng)絡(luò)局域網(wǎng)主干交換帶寬速度由 10/100M 的網(wǎng) 絡(luò)發(fā)展到 1000M，給 IDS 帶來了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測系統(tǒng)一般基 于簡單的模式匹配實(shí)現(xiàn)，在百兆滿負(fù)荷的網(wǎng)絡(luò)環(huán)境中工作已經(jīng)相當(dāng)吃力，而網(wǎng) 絡(luò)帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 IDS 增加 10 倍的處 理能力，因此網(wǎng)絡(luò)的發(fā)展，提出了千兆或更高性能 IDS 的需求。而高性能入侵 檢測的一個重要瓶頸就在于高速的報文捕獲和批量處理分析。 為了提高報文捕獲的效率，通過修改網(wǎng)卡驅(qū)動程序，使用 DMA 和數(shù)據(jù)零 拷貝技術(shù)零拷貝技術(shù)，大大提高了效率，如下圖所示： DMA 和數(shù)據(jù)零拷貝技術(shù)和傳統(tǒng)入侵檢測報文捕獲技術(shù)的比較 零拷貝技術(shù)省略了 TCP/IP 堆棧的處理，直接將網(wǎng)卡通過 DMA 直接數(shù)據(jù)傳 輸將報文數(shù)據(jù)傳遞到了 IDS 系統(tǒng)可以訪問的空間，大大減少了傳統(tǒng)方式中因?yàn)?上下文切換和數(shù)據(jù)拷貝而帶來的系統(tǒng)開銷，使用了零拷貝技術(shù)之后，系統(tǒng)的捕 包效率大大提高，測試結(jié)果是在能夠在 1.4G 的 CPU 下，捕獲 100 萬/秒報文時， CPU 占用率還低于 10%。這種效率完全可以滿足在千兆高速環(huán)境下入侵檢測分 析。 23 支撐平臺結(jié)構(gòu)和系統(tǒng)優(yōu)化支撐平臺結(jié)構(gòu)和系統(tǒng)優(yōu)化 對于整體結(jié)構(gòu)的優(yōu)化有助于進(jìn)一步提高 IDS 系統(tǒng)引擎的速度。 1. 并行處理 在雙 CPU 并行處理機(jī)上，通過使用多線程，使得我們可以將多個報文同時 進(jìn)行處理，為了減少同步帶來的代價，使用報文的預(yù)分析，然后根據(jù)預(yù)分析的 結(jié)果進(jìn)行任務(wù)分配，將一個報文的所有分析和匹配工作都交給一個工作線程去 處理，多個線程可以同時并行處理多個報文。 2. 使用匯編語言實(shí)現(xiàn)關(guān)鍵處理 通過使用匯編語言可以大大減少使用高級語言帶來的冗余代碼，在核心的 關(guān)鍵處理上如模式集合的匹配上使用匯編語言實(shí)現(xiàn)能夠大大提高效率。 3. 優(yōu)化內(nèi)存分配算法 經(jīng)過分析在 IDS 系統(tǒng)中，會大量的使用內(nèi)存的分配和釋放操作，如果，實(shí) 現(xiàn)中都通過系統(tǒng)的分配釋放函數(shù)來實(shí)現(xiàn)會大大影響系統(tǒng)的處理速度。通過使用 簡化而且合理的內(nèi)存分配算法，能夠使這部分的代價減少。 通過精簡運(yùn)行的操作系統(tǒng)，使用優(yōu)化程序技術(shù)也是提高入侵檢測的性能的 必要條件，同時保證了入侵檢測產(chǎn)品的自身安全性。 基于狀態(tài)的全面協(xié)議分析基于狀態(tài)的全面協(xié)議分析 協(xié)議分析模塊完成 IDS 系統(tǒng)引擎中主要的分析工作，對于一個報文在引擎 的處理過程中，報文：分析：匹配1：1：N，這就是說一個報文需要經(jīng)過一 次分析，再和 N 條規(guī)則進(jìn)行匹配之后產(chǎn)生事件。如果能夠通過更準(zhǔn)確的分析， 減少匹配的工作，就能夠最終提高整個 IDS 系統(tǒng)的處理效率。因此協(xié)議分析的 準(zhǔn)確性和效率對于整個系統(tǒng)的處理效率影響非常大。這部分包括兩個大的方面： 提高協(xié)議分析的速度提高協(xié)議分析的速度 1.基于狀態(tài)的協(xié)議分析 網(wǎng)絡(luò)中通訊的報文一般都不是孤立的，而是在一系列的報文通訊之中的， 也就是說是有一定的報文前后上下文的。通過基于狀態(tài)的協(xié)議分析，能夠大大 提高解析的準(zhǔn)確度，同時對于不同報文采用不同的少量分析的方式，從而也提 高了協(xié)議分析的速度。 24 2.運(yùn)用多種算法進(jìn)行解析 在報文的分析過程，采用多種算法來提高協(xié)議解析的速度，比如使用高 速樹型匹配算法、HASH 算法等等。 提高協(xié)議分析的效果提高協(xié)議分析的效果 采用兩種方法提高協(xié)議解析的效果：直接產(chǎn)生協(xié)議分析中確定的事件和 更深入的協(xié)議分析。 1.直接產(chǎn)生協(xié)議分析中確定的事件 通過在協(xié)議分析模塊中直接產(chǎn)生事件，從而減少在匹配規(guī)則模塊中規(guī)則集 的規(guī)模，如：RFC 協(xié)議確定的事件和異常事件：如 FLOOD 攻擊，從而提高整 個報文的處理速度。 2.更深入的協(xié)議分析 更深入的協(xié)議解析提高了規(guī)則集中規(guī)則的匹配準(zhǔn)確性，比如縮小一次字 符串匹配在報文中搜索范圍，從而節(jié)省時間，提高規(guī)則匹配的效率。 樹型規(guī)則和匹配算法樹型規(guī)則和匹配算法 前面已經(jīng)提到，報文：分析：匹配1：1：N 的關(guān)系。一個報文需要跟多 條規(guī)則進(jìn)行比較，這需要大量的運(yùn)算，占用許多的 CPU 時間。通過三個方法去 提高其效率：協(xié)議規(guī)則子集、規(guī)則樹和快速模式集合匹配。 1.協(xié)議規(guī)則子集 協(xié)議規(guī)則子集是通過將規(guī)則集合中的規(guī)則按照其所屬的協(xié)議分成許多小 的子集，而一個報文只與其相關(guān)的協(xié)議規(guī)則子集中的規(guī)則進(jìn)行匹配，從而大大 減少實(shí)際一個報文進(jìn)行匹配的規(guī)則數(shù)量，減少匹配時間。 2.規(guī)則樹 將線性規(guī)則匹配方式改造成為樹型規(guī)則匹配方式，就必須構(gòu)造規(guī)則樹。通 過規(guī)則樹，我們可以很容易在匹配過程中淘汰掉不可能的規(guī)則,減少重復(fù)判斷的 次數(shù),并實(shí)現(xiàn)將一個協(xié)議變量的多個取值放到一起（形成取值集合）進(jìn)行判斷， 大大的提高了比較效率。 3.快速模式集合匹配 由于在一個報文的匹配中，最為耗時的匹配運(yùn)算是在報文中匹配一個字符 串模式，通過快速模式集合匹配算法來提高這部分匹配的效率?？焖倨ヅ湟馕?25 著能夠盡可能快的在一個正文串中查找到一個模式串的存在，這是通過提高匹 配時移動模式的距離實(shí)現(xiàn)的；集合匹配意味著同時快速的對多個模式進(jìn)行匹配。 二者的結(jié)合就是在一個報文中快速的匹配多個模式。 準(zhǔn)確的特征分析和規(guī)范描述準(zhǔn)確的特征分析和規(guī)范描述 解決入侵檢測的漏報和誤報現(xiàn)象還依賴于準(zhǔn)確的特征提取和描述，在所應(yīng) 用的特征全面采用了如下兩種特征分析方法和統(tǒng)一的規(guī)范化語言描述。 基于漏洞機(jī)理的特征分析基于漏洞機(jī)理的特征分析 利用漏洞機(jī)理的方法來提取和定義特征，可以實(shí)現(xiàn)檢測和具體攻擊工具的 無關(guān)性，特別對于防止新型變種的攻擊和攻擊工具改造非常有效。 基于攻擊過程的特征分析基于攻擊過程的特征分析 攻擊過程分析法則是完全站在攻擊者的角度，破析完整的攻擊過程，可以 判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。 2.4.8.3入侵檢測系統(tǒng)部署入侵檢測系統(tǒng)部署 本方案中分別在公共區(qū)域、生產(chǎn)系統(tǒng)區(qū)域、辦公系統(tǒng)區(qū)域部署一套入侵檢 測系統(tǒng)，部署示意圖如圖 1 所示，公共系統(tǒng)的入侵檢測引擎與核心交換機(jī)相連， 辦公系統(tǒng)、生產(chǎn)系統(tǒng)的入侵檢測系統(tǒng)與該區(qū)域的交換機(jī)相連，分別針對不同的 需求，對各個子網(wǎng)的入侵進(jìn)行檢測和防護(hù)。 2.4.8.4入侵檢測系統(tǒng)選型入侵檢測系統(tǒng)選型 本方案中按照三個區(qū)域分別采用三套入侵檢測系統(tǒng)，可以在生產(chǎn)系統(tǒng)、辦 公系統(tǒng)區(qū)域和公共區(qū)域各采用一套千兆入侵檢測引擎，另外，在核心交換機(jī)處 部署一套高性能千兆入侵檢測系統(tǒng)，實(shí)時監(jiān)控各個子網(wǎng)網(wǎng)絡(luò)傳輸狀態(tài)，自動檢 測可疑行為，及時發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊，并可以實(shí)時響應(yīng)，切斷攻 擊方的連接，同時還可以與防火墻緊密結(jié)合，產(chǎn)生聯(lián)動，彌補(bǔ)了防火墻的訪問 控制不嚴(yán)密的問題。另外，根據(jù)網(wǎng)絡(luò)網(wǎng)絡(luò)部署結(jié)構(gòu)，可以將核心處選擇為帶子 控功能的入侵檢測系統(tǒng)，當(dāng)在部署結(jié)構(gòu)改變后可以作為中心節(jié)點(diǎn)使用。配合探 測引擎，管理中心安裝于一臺服務(wù)器上，控制中心面向用戶，提供管理配置之 26 用?？刂浦行氖莻€高性能的管理系統(tǒng)，它能控制位于本地或遠(yuǎn)程的多個網(wǎng)絡(luò)探 測引擎的活動，集中制定和配置策略，提供統(tǒng)一的數(shù)據(jù)管理。管理控制中心可 以被設(shè)置為主、子結(jié)構(gòu)，主管理控制中心可以實(shí)時接收、轉(zhuǎn)發(fā)子控制中心的告 警信息，分類提取子控制中心的日志信息，下發(fā)各種配置文件、策略供子控對 其所屬網(wǎng)絡(luò)探測引擎進(jìn)行配置。 2.4.8.5入侵檢測系統(tǒng)功能入侵檢測系統(tǒng)功能 完善的管理控制體系完善的管理控制體系 多層分級管理多層分級管理 所選入侵檢測系統(tǒng)的管理控制中心可靈活設(shè)置成與行政業(yè)務(wù)管理流程緊密 結(jié)合的集中監(jiān)控、多層管理的分級體系。通過策略下發(fā)機(jī)制，使上級部門能夠 統(tǒng)一全網(wǎng)的安全防護(hù)策略；通過信息上傳機(jī)制，使上級部門能夠及時了解和監(jiān) 控全網(wǎng)的安全狀態(tài)。 靈活的更新和版本升級靈活的更新和版本升級 所選入侵檢測系統(tǒng)支持手動和自動的特征更新和版本升級，也可以在分級 管理體系下由主控統(tǒng)一來完成。所選入侵檢測系統(tǒng)的探測引擎同時支持通過 USB 口進(jìn)行升級。 全局預(yù)警全局預(yù)警 在所選入侵檢測系統(tǒng)的多層分級管理體系下，可以實(shí)現(xiàn)把單點(diǎn)發(fā)生的重要 事件自動預(yù)警到其它管理區(qū)域，使得各級管理員對于可能發(fā)生的重要安全事件 具有提前的預(yù)警提示。 利用全局預(yù)警通道，各級管理員也可以發(fā)送交互信息，交流對安全事件的 處理經(jīng)驗(yàn)。 嚴(yán)格的權(quán)限管理嚴(yán)格的權(quán)限管理 所選入侵檢測系統(tǒng)可以設(shè)定多種分類權(quán)限供不同的人員使用，支持更為嚴(yán) 格的多鑒別身份認(rèn)證方式。同時在產(chǎn)品部署上支持事件監(jiān)測、事件分析以及管 理配置分布部署，從物理角度保證管理安全。 時鐘同步機(jī)制時鐘同步機(jī)制 所選入侵檢測系統(tǒng)支持 NTP 服務(wù)進(jìn)行時間同步，保證跨時區(qū)的部署條件下 27 也能保持管理時間的一致性。 支持多報警顯示臺支持多報警顯示臺 所選入侵檢測系統(tǒng)提供了良好的多點(diǎn)監(jiān)測機(jī)制，允許掛接多個報警顯示中 心，方便多個管理人員進(jìn)行有效的報警觀測。 數(shù)據(jù)庫維護(hù)管理數(shù)據(jù)庫維護(hù)管理 所選入侵檢測系統(tǒng)提供強(qiáng)大的數(shù)據(jù)庫維護(hù)管理功能，可以對歷史數(shù)據(jù)進(jìn)行 自動、手動的備份、刪除操作，還可以導(dǎo)入歷史的備份數(shù)據(jù)。 可擴(kuò)展到入侵管理可擴(kuò)展到入侵管理 入侵檢測全面支持入侵管理，實(shí)現(xiàn)多種安全產(chǎn)品：漏洞掃描、主機(jī)入侵檢 測的統(tǒng)一管理和協(xié)同關(guān)聯(lián)。 全面的入侵檢測能力全面的入侵檢測能力 多種技術(shù)結(jié)合防止漏報多種技術(shù)結(jié)合防止漏報 1. 采用引擎高速捕包技術(shù)保證滿負(fù)荷的報文捕獲； 2. 采用的高速樹型匹配技術(shù)實(shí)現(xiàn)了一次匹配多個規(guī)則的模式，檢測 效率得以成倍的量級提高； 3. 采用了 IP 碎片重組、TCP 流重組以及特殊應(yīng)用編碼解析等多種方 式，應(yīng)對躲避 IDS 檢測的手法，如：WHISKER、FRAGROUTE 等攻擊 方式； 4. 采用預(yù)制漏洞機(jī)理分析方法定義特征，對未知攻擊方式和變種攻 擊也能及時報警； 5. 采用行為關(guān)聯(lián)分析技術(shù)，可以發(fā)現(xiàn)基于組合行為的復(fù)雜攻擊； 多種措施降低誤報多種措施降低誤報 1. 基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹，保證特征匹配的準(zhǔn)確性； 2. 基于攻擊過程的分析方法定義特征，可以識別攻擊的狀態(tài)，提供 不同級別的事件報警信息； 3. 通過采集和關(guān)聯(lián)攻擊發(fā)送方和被攻擊目標(biāo)的信息，可以成功或失 敗的攻擊事件給出明確標(biāo)識。 4. 通過支持入侵管理，可以結(jié)合漏洞掃描結(jié)果來評估威脅的風(fēng)險級 別。 28 多種機(jī)制限制濫報多種機(jī)制限制濫報 1. 內(nèi)置狀態(tài)檢測機(jī)制，可以識別和處理類似“STICK”等的反 IDS 攻擊，有效地避免了事件風(fēng)暴的產(chǎn)生； 2. 提供多種可選的統(tǒng)計合并技術(shù)，可以對同一事件采用合并上報， 減少報警量。 可擴(kuò)展的響應(yīng)和聯(lián)動可擴(kuò)展的響應(yīng)和聯(lián)動 所選入侵檢測系同應(yīng)具有豐富的可擴(kuò)展事件響應(yīng)方式， 包括 屏幕顯示 日志記錄 TCP KILLER 阻斷 支持郵件方式遠(yuǎn)程報警、聲音以及自定義程序報警 支持向網(wǎng)管發(fā)送 SNMP TRAP 信息 可以充分實(shí)現(xiàn)和第三方安全產(chǎn)品以及網(wǎng)絡(luò)設(shè)備的策略響應(yīng)聯(lián)動。 防火墻聯(lián)動:通過聯(lián)動通訊標(biāo)準(zhǔn)的支持，防火墻業(yè)界主流的產(chǎn)品 可以實(shí)現(xiàn)和入侵系統(tǒng)的聯(lián)動，對外部發(fā)起的攻擊行為進(jìn)行阻斷。 交換機(jī)聯(lián)動：可以根據(jù)策略制定動態(tài)關(guān)閉相應(yīng)的交換機(jī)端口，可 以防止蠕蟲類事件的攻擊擴(kuò)散，進(jìn)行內(nèi)網(wǎng)安全防護(hù)。 多樣化的日志分析報告多樣化的日志分析報告 可以為管理人員和入侵檢測分析員提供了不同類型的日志分析手段和報告 輸出。為管理人員提供了常用的周期性統(tǒng)計報表類型模版，管理人員可以直接 利用，得出管理性的安全結(jié)論。為入侵檢測分析員提供了多種缺省分析模版， 根據(jù)這些模版可以獲得多種分類的事件日志信息和統(tǒng)計排名。入侵檢測系統(tǒng)提 供了多樣化的日志過濾查詢條件，用戶可以進(jìn)行自主定義習(xí)慣的查詢模式，進(jìn) 行有效的日志分析查詢。 報表可以導(dǎo)出為多種常用格式（WORDEXCEL） ，并設(shè)置郵件定時發(fā)送報告功 能。 2.4.8.6檢測性能指標(biāo)檢測性能指標(biāo) 攻擊特征流采用統(tǒng)一的 100 種標(biāo)準(zhǔn)的不同攻擊樣本，目標(biāo)機(jī)器配置多種網(wǎng) 29 絡(luò)服務(wù)。網(wǎng)絡(luò)背景流量采用專用發(fā)包設(shè)備來制造，以背景流量為基準(zhǔn)，測試 入侵檢測系統(tǒng)在不同的流量環(huán)境（包長）和不同連接背景下的檢測能力。 千兆引擎的性能指標(biāo)如下： 30 2.4.8.7技術(shù)參數(shù)技術(shù)參數(shù) 1.1 個標(biāo)準(zhǔn) 1000Base-SX(SC)接口（可擴(kuò)展） ；至少 3 個標(biāo)準(zhǔn) 10/100/1000BaseTX 接口； 2.MTBF9 萬小時； 3.IP 碎片重組500,000， 4.最大檢測 TCP 會話數(shù)：800,000 ， 5.檢測流量：1G。 2.4.9 漏洞掃描系統(tǒng)實(shí)施方案漏洞掃描系統(tǒng)實(shí)施方案 配備一套漏洞掃描系統(tǒng)按要求就要以實(shí)現(xiàn)對內(nèi)部計算機(jī)、網(wǎng)絡(luò)設(shè)備、安全 設(shè)備等進(jìn)行安全性掃描、評估。為管理員、安全維護(hù)人員提供詳細(xì)的脆弱性信 息和安全建議。漏洞掃描器通過確定目標(biāo)設(shè)備的系統(tǒng)狀態(tài)，用于對網(wǎng)絡(luò)設(shè)備和 主機(jī)進(jìn)行脆弱性分析。 2.4.9.1實(shí)施目的實(shí)施目的 由于防火墻固有的局限性和目前對入侵檢測系統(tǒng)的逃避技術(shù)，網(wǎng)絡(luò)安全性 的提高還需要有漏洞掃描系統(tǒng)，它是要實(shí)現(xiàn)對內(nèi)部計算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè) 備等進(jìn)行安全性掃描、評估。為管理員、安全維護(hù)人員提供詳細(xì)的脆弱性信息 和安全建議。 通過部署漏洞掃描系統(tǒng)主要為了達(dá)到如下的目的： 掃描分析網(wǎng)絡(luò)系統(tǒng)，檢測和發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中安全薄弱環(huán)節(jié)。 準(zhǔn)確而全面地報告網(wǎng)絡(luò)存在的脆弱性和漏洞。 檢測并報告掃描目標(biāo)的相關(guān)信息以及對外提供的服務(wù)。 根據(jù)用戶需要生成各種分析報告。 31 2.4.9.2實(shí)施策略實(shí)施策略 根據(jù)目前情況分析采取全網(wǎng)掃描策略； 當(dāng)網(wǎng)絡(luò)規(guī)模增大后，特別是分為多級網(wǎng)絡(luò)結(jié)構(gòu)后可以采用分布式部署 策略，其功能組件可以部署在不同主機(jī)上，控制中心同時管理多個掃 描引擎，不同的掃描引擎負(fù)責(zé)對不同網(wǎng)段的系統(tǒng)進(jìn)行掃描檢測，顯示 中心和報表中心可匯總顯示各掃描引擎的掃描結(jié)果信息。 2.4.9.3漏洞掃描系統(tǒng)部署漏洞掃描系統(tǒng)部署 由于漏洞掃描系統(tǒng)為軟件產(chǎn)品，而且是定期或不定期使用，無需專門提供 計算機(jī)來安裝?？梢园惭b在網(wǎng)絡(luò)中配置較高的任意一臺計算機(jī)上即可對全網(wǎng)相 關(guān)設(shè)備進(jìn)行掃描。但是本網(wǎng)絡(luò)結(jié)構(gòu)中由于部分需要重點(diǎn)防護(hù)，并且部分應(yīng)用不 可以跨網(wǎng)段，安全性要求也不盡相同，所以可以在三個區(qū)域分別部署一套漏洞 掃描系統(tǒng)，制定不同的掃描策略，有針對性的進(jìn)行漏洞掃描，另外也可以采用 分布式單級部署方式，將不同掃描引擎安裝在不同的區(qū)域，然后進(jìn)行統(tǒng)一管理。 單個系統(tǒng)部署示意圖如下： 路由器 核心交 換機(jī) 防 火 墻 IDS 樓層交換機(jī) 工作站 工作站 工作站 服務(wù)器區(qū) 掃描主機(jī) 安安全全性性分分析析報報告告： 系系統(tǒng)統(tǒng)版版本本太太低低：高高風(fēng)風(fēng)險險 管管理理員員口口令令永永不不過過期期：中中風(fēng)風(fēng)