網(wǎng)絡(luò)安全建設(shè)實(shí)施方案

1 京唐港股份有限公司 網(wǎng)絡(luò)安全建設(shè)實(shí)施方案 二 2 目錄 1 概述 . 4 2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè) . 4 全現(xiàn)狀分析 . 4 全風(fēng)險(xiǎn)分析 . 5 理安全 . 5 絡(luò)安全與系統(tǒng)安全 . 5 用安全 . 6 全管理 . 6 全需求分析 . 7 理安全需求分析 . 7 絡(luò)安全與系統(tǒng)安全 . 7 用安全 . 8 全管理 . 8 全實(shí)施方案 . 9 理安全防護(hù) . 9 份與恢復(fù) . 9 問(wèn)控制 . 10 統(tǒng)安全 . 10 段劃分與虛擬局域網(wǎng) . 11 公網(wǎng)整體安全建議 . 12 火墻實(shí)施方案 . 14 侵檢測(cè)系統(tǒng)實(shí)施方案 . 21 洞掃描系統(tǒng)實(shí)施方案 . 30 份認(rèn)證系統(tǒng)實(shí)施方案 . 34 全審計(jì)系統(tǒng)實(shí)施方案 . 40 病毒系統(tǒng)實(shí)施方案 . 44 3 異地網(wǎng)接入安全建設(shè) . 56 入方式選擇 . 57 全性分析 . 58 種方式優(yōu)勢(shì)特點(diǎn) . 58 理介紹 . 59 選型 . 64 務(wù)系統(tǒng)安全防護(hù) . 67 4 機(jī)房設(shè)備集中監(jiān)控管理 . 67 備及 應(yīng)用系統(tǒng)管理現(xiàn)狀 . 67 立機(jī)房集中控制管理系統(tǒng)需求 . 67 中控制管理系統(tǒng)方案實(shí)現(xiàn) . 68 能特點(diǎn) . 69 控顯示系統(tǒng) . 69 影顯示系統(tǒng) . 69 3 離子顯示系統(tǒng) . 69 5 網(wǎng)絡(luò)管理中心 . 70 立網(wǎng)絡(luò)管理中心需求 . 70 絡(luò)管理功能實(shí)現(xiàn) . 70 6 桌面管理及補(bǔ)丁分發(fā)中心 . 73 立桌面管理中心需求 . 73 面管理功能實(shí)現(xiàn) . 75 7 網(wǎng)絡(luò)設(shè)備升級(jí) . 824 1 概述 京唐港 股份有限公司 辦公大樓 網(wǎng)絡(luò) 信息系統(tǒng) 目前剛剛投入使用， 主要包括新建大廈、舊辦公區(qū)辦公網(wǎng)絡(luò)以及部分省市辦事處專網(wǎng)，該套網(wǎng)絡(luò)與 聯(lián)， 將要實(shí)現(xiàn)整個(gè)業(yè)務(wù)系統(tǒng)的辦公自動(dòng)化，包括業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)存儲(chǔ)備份、文件共享、對(duì)外宣傳等，同時(shí)還要為員工相關(guān)業(yè)務(wù)應(yīng)用及學(xué)習(xí)提供便利的上網(wǎng)條件；所以該網(wǎng)絡(luò) 既是辦公系統(tǒng)的承載體， 也是威脅風(fēng)險(xiǎn)的承受體，在 公司 規(guī)模日漸 壯大的今天 ，網(wǎng)絡(luò)規(guī)模也相應(yīng)的 在 不斷的擴(kuò)大， 相關(guān)的配套 網(wǎng)絡(luò)及安全 設(shè)備 雖然 具有較新的技術(shù)和功能， 但 還不足以抵御紛繁復(fù)雜的互聯(lián)網(wǎng)的威脅，整個(gè)網(wǎng)絡(luò)的安全 也 需要做 相應(yīng)的增強(qiáng)防護(hù)， 另外 從設(shè)備及應(yīng)用的管理角度來(lái)看，可以 采取一些智能 和高效 的管理手段 及措施，在 保障業(yè)務(wù)正常運(yùn)行了同時(shí)， 保證系統(tǒng)的安全可靠， 減少和 簡(jiǎn)化安全管理， 提高 系統(tǒng) 工作 效率。 本方案將著重從安全系統(tǒng)的整體建設(shè)及相應(yīng)的一些網(wǎng)絡(luò)管理手段上具體分析，并提出可行性的實(shí)施方案，把目前在使用過(guò)程中遇到的一些問(wèn)題解決并防患于未然，同時(shí)為用戶提供一整套安全及網(wǎng)絡(luò)管理措施，把公 司網(wǎng)絡(luò)建設(shè)成為一個(gè)符合業(yè)務(wù)需求、安全可靠、容易管理操作的 高質(zhì)量的辦公網(wǎng)絡(luò)。 2 網(wǎng)絡(luò) 系統(tǒng)安全建設(shè) 全現(xiàn)狀分析 京唐港股份有限公司依托于京唐港整體規(guī)劃建設(shè) 和發(fā)展 ， 將承載著越來(lái)越多的港口業(yè)務(wù)等工作，特別是隨著信息化辦公的進(jìn)一步深入， 自動(dòng)化辦公的便利和效率可以說(shuō)是公司發(fā)展壯大的必要手段 ； 但是 京唐港股份有限公司 辦公大樓是整個(gè)公司信息的核心地帶，不但為本地員工及另外 一個(gè) 園區(qū)的業(yè)務(wù)人員 提供各種辦公應(yīng)用服務(wù)，而且在各地已經(jīng)或是將要成立辦事處，實(shí)現(xiàn)遠(yuǎn)程辦公，并且各個(gè)位置和部門的業(yè)務(wù)需求又不盡相同，在這種網(wǎng)絡(luò)結(jié)構(gòu)較為龐大，多層 次、多應(yīng)用的網(wǎng)絡(luò)中，安全是一項(xiàng)很重要的任務(wù)和保證措施。 目前，該網(wǎng)絡(luò)已經(jīng)建設(shè)完成，安全手段主要 在網(wǎng)絡(luò)邊界處 采取了 防火墻，在 5 整個(gè)網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)版殺毒軟件和網(wǎng)管軟件， 其他安全措施主要是依靠個(gè)人的安全意識(shí)和行為；現(xiàn)階段，全網(wǎng)已經(jīng)爆發(fā)了多次病毒感染等問(wèn)題，一定程度上影響了辦公的效率，所以有必要進(jìn)一步從技術(shù)角度完善安全系統(tǒng)。 全風(fēng)險(xiǎn)分析 理安全 物理安全層面存在下述威脅和風(fēng)險(xiǎn)形式： 機(jī)房毀壞：由于 戰(zhàn)爭(zhēng)、自然災(zāi)害、意外事故造成機(jī)房毀壞，大部分設(shè)備損壞 。 線路中斷：因線路中斷，造成系統(tǒng)不能正常工作。 電力中斷：因電 力檢修、線路或設(shè)備故障造成電力中斷。 設(shè)備非正常毀壞：因盜竊、人為故意破壞造成設(shè)備毀壞。 設(shè)備正常損壞：設(shè)備軟 、硬件故障，造成設(shè)備不能正常工作。 存貯媒體損壞：因溫度 、濕度或其他原因，各種數(shù)據(jù)存儲(chǔ)媒體不能正常使用。 絡(luò)安全與系統(tǒng)安全 互聯(lián)網(wǎng)安全隱患：互聯(lián)網(wǎng)會(huì)帶來(lái)的越權(quán)訪問(wèn)、惡意攻擊、病毒入侵等安全隱患 ； 搭線竊取的隱患：黑客或犯罪團(tuán)體通過(guò)搭線和架設(shè)協(xié)議分析設(shè)備非法竊取系統(tǒng)信息 ； 病毒侵襲的隱患：病毒在系統(tǒng)內(nèi)感染、傳播和發(fā)作 ； 操作系統(tǒng)安全隱患：操作系統(tǒng)可能的后門程序、安全漏洞、安全設(shè)置不當(dāng)、安全級(jí) 別低 等，缺乏文件系統(tǒng)的保護(hù)和對(duì)操作的控制，讓各種攻擊有可乘之機(jī)； 數(shù)據(jù)庫(kù)系統(tǒng)安全隱患：不能實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行情況，數(shù)據(jù)庫(kù)數(shù)據(jù)丟失、被非法訪問(wèn)或竊取 ； 應(yīng)用系統(tǒng)安全隱患：應(yīng)用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等， 6 可能出現(xiàn)非法訪問(wèn) ； 惡意攻擊和非法訪問(wèn)：拒絕服務(wù)攻擊，網(wǎng)頁(yè)篡改，下載不懷好意的惡意小程序，對(duì)系統(tǒng)進(jìn)行惡意攻擊，對(duì)系統(tǒng)進(jìn)行非法訪問(wèn)等。 用 安全 身份假冒：缺少?gòu)?qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng)被假冒身份者闖入 ； 非授權(quán)訪問(wèn)：缺少?gòu)?qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng)被越權(quán)訪問(wèn) ； 數(shù)據(jù)失、泄密：涉密數(shù)據(jù)在處理、傳輸、存儲(chǔ)過(guò)程中，被竊取或非授權(quán)訪問(wèn) ； 數(shù)據(jù)被修改：數(shù)據(jù)在處理、傳輸、存儲(chǔ)過(guò)程中被非正常修改和刪除 ； 否認(rèn)操作：數(shù)據(jù)操作者為逃避責(zé)任而否認(rèn)其操作行為。 全管理 安全管理組織不健全：沒(méi)有相應(yīng)的安全管理組織，缺少安全管理人員編制，沒(méi)有建立應(yīng)急響應(yīng)支援體系等。 缺乏安全管理手段：不能實(shí)時(shí)監(jiān)控機(jī)房工作、網(wǎng)絡(luò)連接和系統(tǒng)運(yùn)行狀態(tài)，不能及時(shí)發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件，不能追蹤安全事件等。 人員安全意識(shí)淡?。簾o(wú)意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操作員 ，私自接入外網(wǎng)，私自拷貝竊 取信息，私自安裝程序，不按操作規(guī)程操作和越權(quán)操作，擅離崗位，沒(méi)有交接手續(xù)等，均會(huì)造成安全隱患。 管理制度不完善：缺乏相應(yīng)的管理制度，人員分工和職責(zé)不明，沒(méi)有監(jiān)督、約束和獎(jiǎng)懲機(jī)制，存在潛在的管理風(fēng)險(xiǎn)。 缺少標(biāo)準(zhǔn)規(guī)范：系統(tǒng)缺乏總體論證，沒(méi)有或缺少相關(guān)的標(biāo)準(zhǔn)規(guī)范，各子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴(kuò)展性不強(qiáng)。 缺乏安全服務(wù)：人員缺少安全培訓(xùn)，系統(tǒng)從不進(jìn)行安全評(píng)估和安全加固，系統(tǒng)故障不能及時(shí)恢復(fù)等。 7 全需求分析 基于上述的安全風(fēng)險(xiǎn)分析， 京唐港股份有限公司 信息系統(tǒng)必須采取相應(yīng)的應(yīng)對(duì)措施與手段， 形成有效的安全防護(hù)能力 、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力，為 整個(gè) 信息系統(tǒng)建立可靠的安全運(yùn)行環(huán)境和安全業(yè)務(wù)系統(tǒng)，切實(shí)保障 全公司 信息系統(tǒng)正常、有序、可靠地運(yùn)行。 理安全 需求分析 異地容災(zāi)：異地容災(zāi)主要是預(yù)防場(chǎng)地問(wèn)題帶來(lái)的數(shù)據(jù)不可用等突發(fā)情況。這些場(chǎng)地問(wèn)題包括：電力中斷 供電部門因各種原因長(zhǎng)時(shí)間的中斷；電信中斷 各種原因造成的通信線路破壞；戰(zhàn)爭(zhēng)、地震、火災(zāi)、水災(zāi)等造成機(jī)房毀壞或不可用等。這些災(zāi)難性事件會(huì)直接造成業(yè)務(wù)的中斷，甚至造成數(shù)據(jù)丟失等，會(huì)造成相當(dāng)程度的社會(huì)影響和經(jīng)濟(jì)影響。通過(guò)容災(zāi)系統(tǒng)將這種“場(chǎng)地”故障造成的數(shù)據(jù)不可用性減到最小。要求災(zāi)難發(fā)生時(shí)，異地容災(zāi)系統(tǒng)保證：數(shù)據(jù)在遠(yuǎn)程場(chǎng)地存有一致、可用的拷貝，保證數(shù)據(jù)的安全；應(yīng)用立即在遠(yuǎn)程現(xiàn)場(chǎng)運(yùn)行，保證業(yè)務(wù)的連續(xù)性 。 機(jī)房監(jiān)控：機(jī)房監(jiān)控主要是預(yù)防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。 設(shè)備備份：設(shè)備備份用于預(yù)防關(guān)鍵設(shè)備意外損壞。 網(wǎng)絡(luò)中關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器應(yīng)有冗余設(shè)計(jì)。 線路備份：線路備份主要是預(yù)防通信線路意外中斷。 電源備份：電源備份用于預(yù)防電源故障引起的短時(shí)電力中斷。 絡(luò)安全與系統(tǒng)安全 深層防御：深層防御就是采用層次化保護(hù) 策略，預(yù)防能攻破一層 或一類保護(hù)的攻擊行為，使之無(wú)法破壞整個(gè)辦公 網(wǎng)絡(luò)。要求合理劃分安全域，對(duì)每個(gè)安全域的邊界和局部計(jì)算環(huán)境，以及域之間的遠(yuǎn)程訪問(wèn)，根據(jù)需要采用適當(dāng)?shù)挠行ПＷo(hù)。 8 邊界防護(hù)：邊界防護(hù)用于預(yù)防來(lái)自本安全域以外的各種惡意攻擊和 遠(yuǎn)程訪問(wèn)控制。邊界防護(hù)機(jī)制有防火墻、入侵檢測(cè)、隔離網(wǎng)閘等，實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離 。 網(wǎng)絡(luò)防病毒：網(wǎng)絡(luò)防病毒用于預(yù)防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。 備份恢復(fù)：備份恢復(fù)用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復(fù)。 漏洞掃描：漏洞掃描用于及時(shí)發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)以及網(wǎng)絡(luò)協(xié)議安全漏洞，防止安全漏洞引起的安 全隱患。 主機(jī)保護(hù)：對(duì)關(guān)鍵的主機(jī)，例如數(shù)據(jù)庫(kù)服務(wù)器安裝主機(jī)保護(hù)軟件，對(duì)操作系統(tǒng)進(jìn)行安全加固。 安全審計(jì)：用于事件追蹤。要求網(wǎng)絡(luò)、安全設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)有審計(jì)功能，同時(shí)安裝第三方的安全監(jiān)控和審計(jì)系統(tǒng)。 用安全 身份認(rèn)證：身份認(rèn)證用于保證身份的真實(shí)性。公司 網(wǎng)絡(luò)中身份認(rèn)證包括用戶身份認(rèn) 證、管理人員身份認(rèn)證、操作員身份認(rèn)證服務(wù)器身份認(rèn)證。鑒于辦公 網(wǎng) 與互聯(lián)網(wǎng)相連 ， 用戶數(shù)量較大的，基于數(shù)字證書(shū)（ 認(rèn)證體制將是理想的選擇。 權(quán)限管理：權(quán)限管理指對(duì) 公司辦公 網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、主機(jī)系統(tǒng)的所有操作和訪 問(wèn)權(quán)限進(jìn)行管理，防止非授權(quán)訪問(wèn)和操作。 數(shù)據(jù)完整性：數(shù)據(jù)完整性指對(duì)辦公 網(wǎng)絡(luò)中存儲(chǔ)、傳輸?shù)臄?shù)據(jù)進(jìn)行數(shù)據(jù)完整性保護(hù)。 抗抵賴：抗抵賴就是通過(guò)采用數(shù)字 簽名方法保證當(dāng)事人行為的不可否認(rèn)性，建立有效的責(zé)任機(jī)制，為京唐港公司 網(wǎng)絡(luò)創(chuàng)造可信的應(yīng)用環(huán)境。 安全審計(jì)：各應(yīng)用系統(tǒng)對(duì)各種訪問(wèn)和操作要有完善的日志記錄，并提供相應(yīng)的審計(jì)工具。 全管理 組織建設(shè)：安全管理組織建設(shè)包括：組織機(jī)構(gòu)、人才隊(duì)伍、應(yīng)急響應(yīng)支援體系等的建設(shè)。 9 制度建設(shè)：安全管理制度建設(shè)包括：人員管理制度、機(jī)房管理制度、卡機(jī)具生產(chǎn)管理制度、設(shè)備管理制度、文檔管理 制度等的建設(shè)。 標(biāo)準(zhǔn)建設(shè)：安全標(biāo)準(zhǔn)規(guī)范建設(shè)包括：數(shù)據(jù)交換安全協(xié)議、認(rèn)證協(xié)議、密碼服務(wù)接口等標(biāo)準(zhǔn)規(guī)范的建立。 安全服務(wù)：安全服務(wù)包括安全培訓(xùn)、日常維護(hù)、安全評(píng)估、安全加固、緊急響應(yīng)等。 技術(shù)建設(shè)：安全管理技術(shù)建設(shè)主要指充分利用已有的安全管理技術(shù)，利用和開(kāi)發(fā)相關(guān)的安全管理工具，提高安全管理的自動(dòng)化、智能化水平 。 全實(shí)施方案 理安全防護(hù) 物理安全是整個(gè)系統(tǒng)安全的基礎(chǔ)，要把 公司內(nèi)部局域 網(wǎng)系統(tǒng)的安全風(fēng)險(xiǎn)減至最低限度，需要選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及 人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。 機(jī)房建設(shè)必須嚴(yán)格按照國(guó)家標(biāo)準(zhǔn) 子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范、國(guó)標(biāo) 算站場(chǎng)地技術(shù)條件、 算站場(chǎng)地安全要求進(jìn)行建設(shè)。 通過(guò)防盜措施，如裝備報(bào)警裝置防止設(shè)備被盜；通過(guò)對(duì)重要設(shè)備電源采用電防止電源意外斷電中斷服務(wù)；通過(guò)對(duì)重要設(shè)備或線路冗余備份保持服務(wù)的可持續(xù)性。 份與恢復(fù) 對(duì)于網(wǎng)絡(luò)應(yīng)用實(shí)時(shí)性要求很高的系統(tǒng)，數(shù)據(jù)備份措施往往采用服務(wù)器的雙機(jī)備份。即兩臺(tái)服務(wù)器同時(shí)安裝備份系統(tǒng)，同時(shí)在線，互為備份 。正常情況下，由主服務(wù)器提供服務(wù)，備份服務(wù)器處于帶電但不提供服務(wù)狀態(tài)，一旦主服務(wù)器出現(xiàn)故障，備份服務(wù)器自動(dòng)接管主服務(wù)器來(lái)提供服務(wù)。保證應(yīng)用服務(wù)器能夠提供不間 10 斷的服務(wù)。 京唐港股份公司 應(yīng)用服務(wù)可靠要求較 高，而且業(yè)務(wù)數(shù)據(jù)存儲(chǔ)容量 會(huì)隨著業(yè)務(wù)的擴(kuò)展而增 大，并 非常重要。為了防止業(yè)務(wù)數(shù)據(jù)的丟失和損壞而影響業(yè)務(wù)辦理，或者在數(shù)據(jù)出現(xiàn)意外事 故時(shí)無(wú)法恢復(fù)，必須對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份。根據(jù)實(shí)際情況可采用 構(gòu)存儲(chǔ)系統(tǒng)， 采用磁帶庫(kù)進(jìn)行備份并實(shí)現(xiàn)災(zāi)難恢復(fù)。 問(wèn)控制 訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)最有效手段之一，據(jù)統(tǒng)計(jì)分析，完善的訪問(wèn)控 制策略可把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降低 90%。網(wǎng) 絡(luò)的訪問(wèn)控制技術(shù)可以針對(duì)網(wǎng)絡(luò)協(xié)議 、目標(biāo)對(duì)象以及通訊端口等進(jìn)行過(guò)濾和檢驗(yàn)，符合條件才通過(guò)，不符合條件的則被丟棄。系統(tǒng)訪問(wèn)控制可以針對(duì)具體的一個(gè)文件或目錄授權(quán)給指定的人員相應(yīng)的權(quán)限，受派者在試圖訪問(wèn)相應(yīng)信息時(shí)，需要驗(yàn)證身份、判別權(quán)限后才能進(jìn)行訪問(wèn)。訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。訪問(wèn)控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 訪問(wèn)控制策略可以采用三層交換設(shè)備 術(shù)、 術(shù)、綁定技術(shù)等，使得不同部門、不同組別、不同用戶之間的網(wǎng)絡(luò)訪問(wèn)達(dá)到有效的 控制；也可以通過(guò)在不同網(wǎng)絡(luò)安全域之間加裝防火墻等安全設(shè)備，利用防火墻的控制策略達(dá)到網(wǎng)絡(luò)訪問(wèn)控制的目的。 統(tǒng)安全 系統(tǒng)安全包括數(shù)據(jù)庫(kù)安全和操作系統(tǒng)安全，下面分別闡述。 數(shù)據(jù)庫(kù)安全 數(shù)據(jù)庫(kù)存放了整個(gè)網(wǎng)絡(luò)中的重要數(shù)據(jù)，為此需要建立一套有效的安全機(jī)制。加強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)登陸權(quán)限管理，加強(qiáng)管理員登陸口令的管理以及數(shù)據(jù)庫(kù)遠(yuǎn)程訪問(wèn)權(quán)限的管理，對(duì)數(shù)據(jù)庫(kù)采用備份與恢復(fù)機(jī)制。同時(shí)對(duì)重要的涉密系統(tǒng)應(yīng)選用經(jīng)國(guó)家主管部門批準(zhǔn)使用的安全數(shù)據(jù)庫(kù)，或者對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全增強(qiáng)改造、加固。數(shù)據(jù)庫(kù)具體安全要求： 11 1、用戶角色的管理 這是保護(hù)數(shù)據(jù)庫(kù)系 統(tǒng)安全的重要手段之一。把網(wǎng)絡(luò)中使用數(shù)據(jù)庫(kù)的用戶設(shè)置為不同的用戶組并對(duì)用戶組的安全屬性進(jìn)行驗(yàn)證，有效地防止非法的用戶進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)；在數(shù)據(jù)庫(kù)中，可以通過(guò)授權(quán)對(duì)用戶的操作進(jìn)行限制，即允許一些用戶對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行訪問(wèn)，具有讀寫整個(gè)數(shù)據(jù)庫(kù)的權(quán)利，而大多數(shù)用戶只能在同組內(nèi)進(jìn)行讀寫或?qū)φ麄€(gè)數(shù)據(jù)庫(kù)只具有讀的權(quán)利。在此，特別強(qiáng)調(diào)對(duì)系統(tǒng)管理員和安全管理員兩個(gè)特殊賬戶的保密管理。 2、數(shù)據(jù)保護(hù) 數(shù)據(jù)庫(kù)的數(shù)據(jù)保護(hù)主要是數(shù)據(jù)庫(kù)的備份，當(dāng)計(jì)算機(jī)的軟硬件發(fā)生故障時(shí)，利用備份進(jìn)行數(shù)據(jù)庫(kù)恢復(fù)，以恢復(fù)破壞的數(shù)據(jù)庫(kù)文件、控制文件或其他文件。 另一種數(shù)據(jù)保護(hù)是日志，數(shù)據(jù)庫(kù)實(shí)例都提供日志，用以記錄數(shù)據(jù)庫(kù)中所進(jìn)行的各種操作，包括修改、調(diào)整參數(shù)等，并在數(shù)據(jù)庫(kù)內(nèi)部建立一個(gè)所有作業(yè)的完整記錄。再一個(gè)就是控制文件的備份，一般用于存儲(chǔ)數(shù)據(jù)庫(kù)物理結(jié)構(gòu)的狀態(tài)，控制文件中的某些狀態(tài)信息在實(shí)例恢復(fù)和介質(zhì)恢復(fù)期間用于引導(dǎo)數(shù)據(jù)庫(kù)，在實(shí)際操作時(shí)，需要為網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)分別指定相應(yīng)的備份策略。 操作系統(tǒng)安全 目前用戶辦公計(jì)算機(jī)采用操作系統(tǒng)還主要基于 臺(tái)。其自身安全需要得到關(guān)注，即在日常工作中必須注意對(duì)操作系統(tǒng)進(jìn)行必要的防護(hù)。如： 1、定期維護(hù)：及時(shí)安裝漏洞補(bǔ)丁，定 期進(jìn)行完整性檢查、配置檢查、病毒檢查和漏洞掃描。 2、使用權(quán)限控制：用戶權(quán)限、口令安全。 3、遠(yuǎn)程訪問(wèn)安全：進(jìn)行基本的安全配置。 段劃分 與虛擬局域網(wǎng) 網(wǎng)段劃分主要是對(duì) 址進(jìn)行合理的規(guī)劃和分配。為確保 辦公網(wǎng) 中各子網(wǎng)以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)正常、安全運(yùn) 12 行，需要合理規(guī)劃、分配外網(wǎng)各部門的 址。網(wǎng)段劃分的方法可以采用各個(gè)部門或機(jī)構(gòu)劃分 網(wǎng)段，重要的服務(wù)器設(shè)備劃分單獨(dú)的網(wǎng)段，以便監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全。 虛擬局域網(wǎng)可有效地解決廣播風(fēng)暴、廣播攻擊、充分利用網(wǎng)絡(luò)帶寬資源。結(jié)合訪問(wèn) 控制列表功能，可以極大地增強(qiáng) 辦公網(wǎng) 的安全性，防止 網(wǎng) 絡(luò)內(nèi)用戶對(duì)系統(tǒng)相關(guān)信息的非授權(quán)訪問(wèn)。辦公 網(wǎng)可按各個(gè)職能來(lái)劃分 將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨(dú)作為一個(gè) ，技術(shù)人員劃分為一個(gè) 作人員劃分為一個(gè) 其它機(jī)構(gòu)分別劃作一個(gè) 共享服務(wù)器（如 務(wù)器、 務(wù)器等）單獨(dú)劃作一個(gè) 其他服務(wù)器如數(shù)據(jù)庫(kù)服務(wù)器劃為 公網(wǎng) 整體安全建議 根據(jù)以上的安全風(fēng)險(xiǎn)分析、需求分析和 京唐港公司 的具體情況， 建議 從以下方面考慮進(jìn)行安全方面的部署： 終端防護(hù) A. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的 企業(yè)級(jí)防病毒系統(tǒng) 。通過(guò)防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見(jiàn)的計(jì)算機(jī)癱瘓、網(wǎng)絡(luò)阻塞等安全問(wèn)題。 B. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的 終端安全防護(hù)系統(tǒng)。 通過(guò)終端安全防護(hù)系統(tǒng)的統(tǒng)一部署，可以 京唐港公司 安全管理制度提供有利的技術(shù)保障措施，保障終端的系統(tǒng)安全和終端的安全管理。 C. 在中心部署 身份認(rèn)證登陸系統(tǒng) ，終端必須通過(guò)身份認(rèn)證才能進(jìn)入，避免非法進(jìn)入 。 邊界的防護(hù) A. 通過(guò) 防火墻 系統(tǒng)的部署，可以根據(jù)不同的安全要求，設(shè)置不同的安 全區(qū)域， 來(lái)限制不同信任度區(qū)域之間的相 互訪問(wèn)，保護(hù)各關(guān)鍵應(yīng)用服務(wù)器系統(tǒng)免受網(wǎng)絡(luò)上的非法訪問(wèn)和惡意攻擊，可以在服務(wù)器區(qū)的前端增 13 加一臺(tái)防火墻設(shè)備。 B. 通過(guò) 入侵檢測(cè) 系統(tǒng)的部署， 幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 服務(wù)器的防護(hù) A. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的 企業(yè)級(jí)防病毒系統(tǒng) 。通過(guò)防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務(wù)器免受病毒的感染和傳播。這可以解決常見(jiàn)的服務(wù)器癱瘓、信息資產(chǎn)丟失等安全問(wèn)題，為服務(wù)器病毒防護(hù)提供有效的安全保障。 B. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器 部署統(tǒng)一管理的 終端安全防護(hù)系統(tǒng) 。通過(guò)終端安全防護(hù)系統(tǒng)的統(tǒng)一部署，為服務(wù)器提供訪問(wèn)控制、系統(tǒng)的安全、補(bǔ)丁的有效管理、和為服務(wù)器的安全管理提供技術(shù)保障措施。 C. 服務(wù)器安全加固 ，對(duì)關(guān)鍵服務(wù)器進(jìn)行安全加固，保證服務(wù)器的安全使用和穩(wěn)固 。 系統(tǒng)安全防護(hù) A. 在辦公網(wǎng)系統(tǒng)上部署 漏洞掃描系統(tǒng) ，可以隨時(shí)的對(duì)網(wǎng)絡(luò)內(nèi)的所有終端、服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行掃描，以發(fā)現(xiàn)安全隱患。 B. 在系統(tǒng)當(dāng)中 部署 安全強(qiáng)審計(jì)系統(tǒng) 。根據(jù)用戶的安全策略制定詳細(xì)的審計(jì)保護(hù)規(guī)則，對(duì) 整個(gè)網(wǎng)絡(luò)和主機(jī)中 違反安全策略的行為進(jìn)行阻斷，并向管理中心報(bào)警。 系統(tǒng)整體安全 體系結(jié)構(gòu) 圖見(jiàn) 圖 1： 14 W E B 服 務(wù) 器郵 件 服 務(wù) 器病 毒 服 務(wù) 器I N T E R N E 檢 測(cè) 系 統(tǒng)安 全 審 計(jì) 系 統(tǒng)K V 服 務(wù) 器網(wǎng) 管 工 作 站舊辦公區(qū)各個(gè)樓層交換入 侵 檢 測(cè) 系 統(tǒng)入 侵 檢 測(cè) 系 統(tǒng)公共系統(tǒng)區(qū)入 侵 檢 測(cè) 系 統(tǒng)網(wǎng)絡(luò)管理區(qū)圖 1： 系統(tǒng)整體安全體系結(jié)構(gòu) 示意 圖 火墻實(shí)施方案 施原則 （ 1） 整體性 安全防范體系的建立和多層保護(hù)的相互配合； 實(shí)現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。 （ 2） 先進(jìn)性 安全技術(shù)先進(jìn)； 安全產(chǎn)品成熟； 安全系統(tǒng)技術(shù)生命的周期適度。 （ 3） 可用性 安全系統(tǒng)本身的可用性； 安全管理友好，并于其他系統(tǒng)管理的有效集成； 避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜； 15 盡量降低對(duì)原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開(kāi)展。 （ 4） 擴(kuò)充性 安全系統(tǒng)能適 應(yīng)客戶網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用需求的變化而變化； 安全系統(tǒng)遵循標(biāo)準(zhǔn)，系統(tǒng)的變化易實(shí)現(xiàn)、易修改、易擴(kuò)充。 施策略 采取核心保護(hù)策略，盡可能的以最小的投資達(dá)到最大的安全防護(hù)。 采用可以提供集中管理控制的產(chǎn)品，同時(shí)要求考慮產(chǎn)品適應(yīng)性可擴(kuò)展性，以適應(yīng)網(wǎng)絡(luò)擴(kuò)展的需要。 產(chǎn)品在使用上應(yīng)具有友好的用戶界面，使用戶在管理、使用、維護(hù)上盡量簡(jiǎn)單、直觀。 建立層次化的防護(hù)體系和管理體系。 火墻系統(tǒng)部署 從 京唐港公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上，可以看出，辦公 網(wǎng) 中 的服務(wù)器區(qū)域是很重要的安全區(qū)域，這些服務(wù)器承載著 整個(gè)公司 全部網(wǎng)絡(luò)功能的需求，對(duì)網(wǎng) 絡(luò)安全系數(shù)的要求很高 ，一旦重要服務(wù)器遭到攻擊破壞，將對(duì)整個(gè)公司的業(yè)務(wù)產(chǎn)生非常大的影響，所以可以 在服務(wù)器交換機(jī)與核心交換機(jī)的連接中設(shè)置防火墻設(shè)備，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信，是必不可少的安全防御措施。 控制從外網(wǎng)區(qū)到安全服務(wù)區(qū)的訪問(wèn)，確保允許的訪問(wèn)才能夠進(jìn)行，而其他未經(jīng)過(guò)允許的行為全部被禁止； 限制安全服務(wù)區(qū)對(duì)非安全服務(wù)區(qū)的直接訪問(wèn)； 防火墻有效記錄區(qū)域之間的訪問(wèn)日志，為出現(xiàn)安全問(wèn)題時(shí)提供備查資料； 具體配置情況如圖 1 所示，在網(wǎng)絡(luò)邊界處部署一臺(tái)防火墻 作為網(wǎng) 絡(luò)系統(tǒng)與接的第一道安全防護(hù)，通過(guò)防火墻提供的功能來(lái)達(dá)到訪問(wèn)控制的目的 ；另外，在各個(gè)系統(tǒng) 區(qū)的出口處也部署一臺(tái)防火墻，用來(lái)保證 各個(gè)區(qū)域 的安全，制定不同的安全策略，實(shí)現(xiàn)對(duì)重要服務(wù)器 系統(tǒng) 的防護(hù)和訪問(wèn)控制。 16 火墻安全策略 針對(duì) 公司辦公局域網(wǎng) 的具體情況，我們 建議制定以下的安全策略： 安全區(qū)域隔離策略 由于網(wǎng)絡(luò)安全的整體性要求，為了使網(wǎng)絡(luò)系統(tǒng)達(dá)到一定的安全水平，必須保證對(duì) 網(wǎng)絡(luò)中各部分都采取了均衡的保護(hù)措施， 但對(duì)于公司整個(gè)辦公網(wǎng)來(lái)說(shuō)都采用相同的手段是不可能也沒(méi)有必要的， 本辦公網(wǎng)可以采 用的方法 是根據(jù)網(wǎng)絡(luò)不同部分的重要 性劃分為不同的安全區(qū)域，并著重對(duì)其中重要的安全區(qū)域進(jìn)行隔離和保護(hù)。 建議采用防 火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點(diǎn)是各服務(wù)器區(qū)域與辦公 網(wǎng) 內(nèi) 用戶區(qū)域之間的連接。 訪問(wèn)控制策略 防火墻被部署后 ，將根據(jù)實(shí)際應(yīng)用需要定義適當(dāng)?shù)陌踩呗?，針?duì)源地址、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時(shí)間、帶寬等條件的實(shí)現(xiàn)訪問(wèn)控制，確保不同網(wǎng)絡(luò)區(qū)域之間的授權(quán)、有序訪問(wèn) ，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問(wèn)或一些惡意的攻擊 。 例如，服務(wù)器區(qū)域防火墻上可制定如下安全策略： - 允許業(yè)務(wù)相關(guān)的用戶區(qū)域主機(jī)訪問(wèn)本區(qū)域服務(wù)器的特定端口，拒絕其他任何訪問(wèn)請(qǐng)求，這樣可以保護(hù)服務(wù)器系統(tǒng)不受非法入侵和攻擊； - 缺省規(guī)則應(yīng)該是拒絕一切訪問(wèn)。 本次項(xiàng)目我們將在實(shí)施的過(guò)程中，根據(jù)網(wǎng)絡(luò) 的真實(shí)環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交互的實(shí)際需要，來(lái)制定詳細(xì)的訪問(wèn)控制策略?；驹瓌t是開(kāi)放最少端口。作為區(qū)域邊界保護(hù)的準(zhǔn)則，防火墻的訪問(wèn)控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問(wèn)控制策略是否得到實(shí)施的關(guān)鍵，因此對(duì)防火墻訪問(wèn)控制策略的定期檢查和調(diào)整是區(qū)域邊界保護(hù)中要注意的問(wèn)題。 用戶認(rèn)證和授權(quán)策略 選擇一種既方便實(shí)用又具備足夠安全性的用戶認(rèn)證機(jī)制，通過(guò)防火墻實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶身份的可靠鑒別和訪問(wèn)授權(quán)管 理，防止非法人員盜用合法用戶的網(wǎng)絡(luò)地址來(lái)假冒合法用戶訪問(wèn)關(guān)鍵資源，同時(shí)也便于針對(duì)實(shí)際用戶進(jìn)行行為審計(jì)。 帶寬管理策略 17 我們可以依據(jù)應(yīng)用需要來(lái)限制流量，來(lái)調(diào)整鏈路的帶寬利用 。 可以在防火墻中直接加載控制策略，為比 較重要的訪問(wèn) 定義可用的最大帶寬和優(yōu)先級(jí)，確保為重要的應(yīng)用預(yù)留足夠的帶寬進(jìn)行數(shù)據(jù)交換。 我們還可以 定義任意兩個(gè)網(wǎng)絡(luò)對(duì)象之間通信時(shí)的最大帶寬。 例如，通過(guò)防火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員等定義進(jìn)行網(wǎng)絡(luò)通信時(shí)的最大帶寬和優(yōu)先級(jí)，而且?guī)挿峙淇梢允欠謱拥模绮块T帶寬下面有小組帶寬然后 是個(gè)人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。 日志和審計(jì)策略 一個(gè)安全防護(hù)體系中的審計(jì)系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過(guò)該節(jié)點(diǎn)的符合安全策略的訪問(wèn)和不符合安全策略的企圖，使管理員可以隨時(shí)審核系統(tǒng)的安全效果、追蹤危險(xiǎn)事件、調(diào)整安全策略。進(jìn)行信息審計(jì)的前提是必須有足夠的多的日志信息。 防火墻系統(tǒng)提供了強(qiáng)大的日志功能，可對(duì)重要關(guān)鍵資源的使用情況進(jìn)行有效的監(jiān)控，實(shí)現(xiàn)日志的分級(jí)管理、自動(dòng)報(bào)表、自動(dòng)報(bào)警功能，用戶可以根據(jù)需要對(duì)不同的通訊內(nèi)容記錄不同的日志，包括會(huì)話日志（主要描述通訊的時(shí) 間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令，執(zhí)行了那些操作）。用戶可以根據(jù)需要記錄不同的日志，從而為日志分析、事后追蹤提供更多的依據(jù)。同時(shí)，產(chǎn)生的日志能夠以多種方式導(dǎo)出，有利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺(tái)進(jìn)行統(tǒng)一的管理。 火墻選型 由于將各個(gè)系統(tǒng)按照區(qū)域化分進(jìn)行分別防護(hù)，在總出口處已經(jīng)部署一臺(tái) 高性能 千兆防火墻，根 據(jù)流量及應(yīng)用實(shí)際分析，在辦公系統(tǒng)和生產(chǎn)系統(tǒng)處可分別部署一臺(tái)千 兆防火墻，考慮到部分有可能系統(tǒng)采用 備，所以可以選擇帶 產(chǎn)品功能： 功能類別 功能項(xiàng) 功能細(xì)項(xiàng) 網(wǎng)絡(luò)安全性 工作模式 路由、透明、混合 內(nèi)容過(guò)濾 支持基于流、數(shù)據(jù)包、透明代理的過(guò)濾方式。 支持對(duì) 協(xié)議的深度內(nèi)容過(guò)濾。 18 支持 濾 支持對(duì)移動(dòng)代碼如 支持對(duì)郵件的收發(fā)郵件地址、文件名、文件類型過(guò)濾 支持對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過(guò)濾 動(dòng)態(tài)端口支持協(xié)議： 防病毒 對(duì)通過(guò)的數(shù)據(jù)進(jìn)行在線過(guò)濾，查殺郵件正文附件、網(wǎng)頁(yè)及下載文件中包含的病毒， 病毒庫(kù)更新 提供快速掃描及完全掃描兩種掃描方式 系統(tǒng)狀態(tài)實(shí)時(shí)監(jiān)控 包過(guò)濾 基于狀態(tài)檢測(cè)的動(dòng)態(tài)包過(guò)濾 實(shí)現(xiàn)基于源 /目的 址、源 /目的 址、源 /目的端口、協(xié)議、時(shí)間等數(shù)據(jù)包快速過(guò)濾 支持報(bào)文合法性檢查 可實(shí)現(xiàn) 定 防御攻擊 非法報(bào)文攻擊： 計(jì)型報(bào)文攻擊： 動(dòng)：可與支持 議的 備聯(lián)動(dòng)，以提高入侵檢測(cè)效率。 端口阻斷：可以根據(jù)數(shù)據(jù)包的來(lái)源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置 理：對(duì)來(lái)自定義區(qū)域的 擊行為進(jìn)行阻斷過(guò)濾 務(wù) 支持使用一次性口令認(rèn)證（ 本地認(rèn)證、 雙因子認(rèn)證（ 及數(shù)字證書(shū)（ 常用的安全認(rèn)證方式 支持使用第三方認(rèn)證如 認(rèn)證等安全認(rèn)證方式 支持 證、 話認(rèn)證 支持認(rèn)證保活功能 可將認(rèn)證用戶信息加密存放在本地?cái)?shù)據(jù)庫(kù) 持雙向 持動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換 支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換 支持虛擬服務(wù)器功能 網(wǎng)絡(luò)適應(yīng)性 路由 支持靜態(tài)路由、動(dòng)態(tài)路由 支持基于源 /目的地址、接口 、 策略路由 支持單臂路由，可通過(guò)單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。 支持 由，能夠在不同的 接口間實(shí)現(xiàn)路由功能。 19 支持 路由協(xié)議。 組播 支持 播協(xié)議 支持 有效地實(shí)現(xiàn)視頻會(huì)議等多媒體應(yīng)用 持與交換機(jī)的 口對(duì)接，并且能夠?qū)崿F(xiàn) 通過(guò)安全設(shè)備傳播路由 支持 進(jìn)行 封裝和解封 支持 進(jìn)行 封裝和解封 在同 一個(gè) 能進(jìn)行二層交換 生成樹(shù) 支持 成樹(shù)協(xié)議，包括 協(xié)議。 持 理、 習(xí) 可設(shè)置靜態(tài) 議 支持對(duì)非 議 傳輸與控制。 持 入 支持 入功能，可滿足中小企業(yè)的多種接入需求。 支持 號(hào)接入 其它 支持網(wǎng)絡(luò)時(shí)鐘協(xié)議 以自動(dòng)根據(jù) 務(wù)器的時(shí)鐘調(diào)整本機(jī)時(shí)間 支 持 非 議。 持基于標(biāo)準(zhǔn) 商的 信隧道 支持多種 證方式，如預(yù)共享密鑰，數(shù)字證書(shū)等 支持 展認(rèn)證，如 證等。 解決方案 支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠(yuǎn)程移動(dòng)用戶到網(wǎng)關(guān)的 道 在具有 解決方案中，支持靈活的移動(dòng)用戶到移動(dòng)用戶的隧道。 可以和密碼機(jī)產(chǎn)品，遠(yuǎn)程客戶端產(chǎn)品及 全管理系統(tǒng)（ 同組成完整的 決方案。 算法 支持 3密辦等加密算法 支持標(biāo)準(zhǔn) 證算法 支持加密卡提供的 證算法 工作模式 支持 式 支持網(wǎng)狀連接方式 支持分級(jí)的樹(shù)狀連接方式 其它功能 支持網(wǎng)絡(luò)鄰居（利用 支持隧道的 越 支持對(duì)隧道內(nèi)明文的訪問(wèn)控制 可同時(shí)支持明密傳輸 安全管理 日志 支持 多種日志格式的輸出 支持通過(guò)第三方軟件來(lái)查看日志 支持日志分級(jí) 支持對(duì)接收到的日志進(jìn)行緩沖存儲(chǔ) 20 通過(guò)安全審計(jì)系統(tǒng)（ 可獲得更詳盡的日志分 析和審計(jì)功能 ,并能提供員工上網(wǎng)行為管理功能。 可選高級(jí)日志審計(jì)功能模塊，除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。 監(jiān)控 支持網(wǎng)絡(luò)接口監(jiān)測(cè)、 用率監(jiān)測(cè)、內(nèi)存使用率監(jiān)測(cè)、操作系統(tǒng)狀況監(jiān)測(cè)、網(wǎng)絡(luò)狀況監(jiān)測(cè)、硬件系統(tǒng)監(jiān)測(cè)、進(jìn)程監(jiān)測(cè)、進(jìn)程內(nèi)存監(jiān)測(cè)、加密卡狀況監(jiān)測(cè)。 可根據(jù)配置文件進(jìn)行錯(cuò)誤恢復(fù) 報(bào)警 報(bào)警事件：內(nèi)置了 “管理 ”、 “系統(tǒng) ”、 “安全 ”、 “策略 ”、 “通信 ”、 “硬件 ”、“容錯(cuò) ”、 “測(cè)試 ”等多種觸發(fā)報(bào)警的事件類 報(bào)警方式：采用郵件、 音、 制臺(tái)等多種報(bào)警方式，報(bào)警方式可以組合使用。 帶寬管理 寬管理 根據(jù) 議、網(wǎng)絡(luò)接口、時(shí)間定義帶寬分配策略 支持最小保證帶寬和最大限制帶寬 支持分層的帶寬管理 優(yōu)先級(jí) 支持 8 級(jí)優(yōu)先級(jí)控制 雙機(jī)熱備 支持雙機(jī)熱備 支持系統(tǒng)故障切換 負(fù)載均衡 支持服務(wù)器的負(fù)載均衡，提供輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種負(fù)載均衡方式供用戶選擇。 支持生成樹(shù)協(xié)議，可實(shí)現(xiàn)鏈路負(fù)載均衡。 其它功能 支持鏈路備份功能 支持 雙系統(tǒng)引導(dǎo)，當(dāng)主系統(tǒng)損壞時(shí)，可以啟用備用系統(tǒng)，不影響設(shè)備的正常使用 支持 能 配置管理 配置方式 支持 形配置、命令行配置 支持本地配置、遠(yuǎn)程配置 支持基于 安全配置 命令行 支持配置命令分級(jí)保護(hù) 支持中英文 支持命令超時(shí)、歷史命令、命令補(bǔ)齊、命令幫助、命令錯(cuò)誤提示等功能 持 本 與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如 。 系統(tǒng)升級(jí) 支持雙系統(tǒng)升級(jí) 支持遠(yuǎn)程維護(hù)和系統(tǒng)升級(jí) 支持 級(jí) 報(bào)文調(diào)試 提供強(qiáng)大的報(bào)文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問(wèn)題。 支持發(fā)送虛擬報(bào)文 21 配置恢復(fù) 可以進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載。 其它 擴(kuò)展能力 開(kāi)放式的架構(gòu)支持未來(lái)方便擴(kuò)展防病毒、防垃圾郵件、 功能以及各種 速卡 術(shù)參數(shù) 1. 1000M 光纖接口 2； 2. 并發(fā)連接數(shù) 50 萬(wàn) ； 3. 持：支持 4. 流量管理：支持帶寬管理和優(yōu)先級(jí)控制 ； 5. 支持 址綁定 ； 6. 支持 理 ； 7. 支持抗 口掃描、特洛伊木馬等攻擊 ； 8. 支持基于 視頻會(huì)議和 音系統(tǒng) 。 侵檢測(cè)系統(tǒng)實(shí)施方案 侵檢測(cè)系統(tǒng) 概述 入侵檢測(cè)系統(tǒng)是屬于主動(dòng)防御 ， 它識(shí)別大量的攻擊模式、并根據(jù)用戶策略 做出響應(yīng)。入侵檢測(cè)系統(tǒng)以實(shí)時(shí)性、動(dòng)態(tài)檢測(cè)和主動(dòng)防御為特點(diǎn)，有效彌補(bǔ)了其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng) ， 已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)的必備設(shè)施。 網(wǎng)絡(luò) 入侵檢測(cè)系統(tǒng) 可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行檢測(cè)和防御， 通常由控制中心和探測(cè)引擎兩部分組成。探測(cè)引擎一般采用 專用硬件設(shè)備通過(guò)旁路方式接入檢測(cè)網(wǎng)絡(luò)。探測(cè)引擎全面?zhèn)陕?tīng)網(wǎng)絡(luò)信息流，動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過(guò)的所有數(shù)據(jù)包，進(jìn)行檢測(cè)和實(shí)時(shí)分析，從而實(shí)時(shí)甚至提前發(fā)現(xiàn)非法或異常行為，并且執(zhí)行告警、阻斷等功能，并記錄相應(yīng)的事件日志?？刂浦行氖敲嫦蛴脩簦峁┕芾砼渲檬褂?。它支持控制多個(gè)位于本地或遠(yuǎn)程的探測(cè)引擎，集中制定和配置監(jiān)控策略，提供統(tǒng)一的數(shù)據(jù)管理。 對(duì)發(fā)現(xiàn)入侵或異常行為，入侵檢測(cè)系統(tǒng)控制中心能記錄、顯示詳細(xì)的入侵告警信息，如入侵主機(jī)的 址、攻擊特征等。通過(guò)對(duì)所記錄的歷史報(bào)警信息進(jìn) 22 行分類統(tǒng)計(jì)，可形成用戶所需要的管理報(bào)表。 侵檢測(cè) 技術(shù) 高性能報(bào)文捕獲 零拷貝技術(shù) 為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。目前，由于網(wǎng)絡(luò)自身的發(fā)展非常迅速，一般的網(wǎng)絡(luò)局域網(wǎng)主干交換帶寬速度由 10/100M 的網(wǎng)絡(luò)發(fā)展到 1000M，給 來(lái)了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般基于簡(jiǎn)單的模式匹配實(shí)現(xiàn)，在百兆滿負(fù)荷的網(wǎng)絡(luò)環(huán)境中工作已經(jīng)相當(dāng)吃力，而網(wǎng)絡(luò)帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 加 10 倍的處理能力，因此網(wǎng)絡(luò)的發(fā)展，提出了千兆或更高性能 需求。而高性能入侵檢測(cè)的一個(gè)重要瓶頸就在于高速的報(bào)文捕獲和批量處 理分析。 為了提高報(bào)文捕獲的效率，通過(guò)修改網(wǎng)卡驅(qū)動(dòng)程序，使用 數(shù)據(jù)零拷