信息系統安全建設建議方案第54頁共54頁信息系統安全建設建議方案

目錄1、 概述 42、 網絡現狀 52.1. 網絡現狀 52.2. 網絡現狀拓撲示意圖 63、 信息安全分析 63.1. 資產 63.2. 弱點 63.3. 威脅 73.3.1 被動攻擊產生的威脅 73.3.2 主動攻擊產生的威脅 83.3.3 來自內部的安全威脅分析 83.3.4 網絡病毒威脅 93.4. 風險 104、 安全需求分析 104.1. 邊界訪問控制需求分析 114.2. 入侵檢測/防御需求分析 114.3. 防病毒需求分析 114.4. 用戶身份認證和授權需求分析 124.5. 網絡傳輸安全需求分析 124.6. 內容過濾安全需求分析 134.7. 上網行為管理的需求 134.8. 反垃圾郵件的需求 134.9. 安全審計需求 134.10. 終端成為邊界帶來新的需求 135、 信息安全體系建設 145.1. 建設原則 145.2. 安全建設的思路和方法 155.3. 安全域劃分 156、 信息安全方案設計 166.1. 安全網關(UTM)設計 176.1.1 部署方案 176.1.2 系統功能 196.2. 入侵檢測系統(IDS)設計 226.2.1 部署方案 236.2.2 系統功能 236.3. 脆弱性掃描系統設計（漏洞掃描） 276.3.1 部署方案 286.3.2 系統功能 286.3.3 系統作用 296.4. 網絡信息安全審計系統設計 296.4.1 部署方案 306.4.2 系統功能 316.5. 內網安全管理系統設計（終端管理） 316.5.1 部署方案 326.5.2 系統功能 347、 安全運營中心（SOC）建設方案 367.1. 安全運營中心 367.1.1 平臺軟件架構 377.1.2 面向業務的資產與風險管理 387.1.3 安全事件和漏洞監控 407.1.4 多種響應方式 417.1.5 多種關聯分析方法 427.1.6 狀態監控 427.1.7 拓撲與GIS展示 437.1.8 豐富的知識庫 458、 售后服務與培訓 478.1. 售后服務 478.1.1 技術支持隊伍 478.1.2 組織結構 478.1.3 服務流程 498.2. 產品相關的服務支持 498.2.1 保修服務 498.2.2 事件庫更新服務 508.2.3 軟件版本升級服務 508.2.4 軟件介質保換服務 518.3. 技術支持 518.3.1 問題解答 518.3.2 信息快遞與通告 528.3.3 支持時間 528.4. 產品故障級別及解決時限 528.4.1 產品故障級別劃分說明 538.5. 相關培訓 539、 安全產品清單 54概述同時隨著全球化和網絡化，全球信息化建設的加快對我國的影響越來越大,網絡的飛速發展以及企業對計算機的依賴性逐漸增強，隨之而來的網絡信息安全問題日益突出。據美國FBI統計，美國每年因網絡信息安全問題所造成的經濟損失高達75億美元，而全球平均每20秒鐘就發生一起網絡計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞給企業造成的損失令人觸目驚心。網絡防黑客、防病毒等安全問題也必須引起相關企業、事業單位的重視。近兩年來，黑客攻擊、網絡病毒等等已經屢見不鮮，而且一次比一次破壞力大，對網絡信息安全造成的威脅也越來越大，一旦網絡存在安全隱患，遭受重大損失在所難免。由于利益的驅使，針對信息系統的安全威脅越來越多，為了有效防范和化解風險，保證**集團信息系統平穩運行和業務持續開展，須建立**集團的信息安全保障體系，抵御外來和內在的信息安全威脅，提升整體信息安全管理水平和抗風險能力，以增強**集團的信息安全風險防范能力。根據**集團網絡信息系統的安全現狀和基本安全構想，設計了以下網絡信息安全建議方案，以此來保障**集團網絡信息系統的有效運維和信息資源的安全性、可用性和完整性（CIA屬性）。本項目具體的網絡信息安全目標即：建立一個安全屏障，保護**集團的網絡信息系統不受來自網絡開放所帶來的網絡信息安全問題的影響，和通信數據安全的非法破壞。對內是要建立一個安全堡壘，控制網絡內部用戶非授權通信和進行的一些有意的、無意的破壞活動，保證網絡系統信息平臺和應用系統平臺的正常運行。通過系統的信息安全體系規劃和建設，加強內部控制和內部管理，降低運營風險，建立高效、統一、運轉協調的管理體制。網絡現狀網絡現狀**集團已經配置了當務之急的網絡系統設備和基本的技術防范設備，如路由器、交換機、防病毒軟件等，如并制定了較為詳細具體的管理制度，對管理人員也作了細致的分工；系統與外部網絡已經實現了邏輯隔離；系統內部也劃分了基本的安全域；系統安全策略已基本形成并趨于健全。目前的拓撲示意圖如下：網絡現狀拓撲示意圖信息安全分析資產在本方案中，**集團網絡的相關資產包括：有形資產：有通信基礎設備、網絡設備（路由器、交換機、防火墻等）、主機（含外購的操作系統、數據庫管理系統、郵件服務器等）、外圍設備、存儲設備、數據介質等構成的IT支撐系統；無形資產：業務系統，業務數據，數字化的業務相關信息與知識（以文檔或程序的形式存在）。本次**集團網絡信息安全建設的內容就在于保障上述有形及無形資產。弱點資產包括有形資產和無形資產兩部分，相應的弱點主要包括：通信基礎設施、網絡設備、主機、外圍設備、存儲設備、數據介質等“硬件”的物理安全弱點。主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；主機、可管理的網絡設備等包含可設置的“軟件”的資產的安全弱點（這些弱點的原因可能是軟件缺陷，也可能是配置不當或者人員使用不當）；保存在數據介質中的業務數據、數字化的業務相關信息與知識的安全弱點。人的脆弱性：人的安全意識不足導致的各種被攻擊可能，如接受未知數據，設置弱口令等。安全技術的脆弱性：操作系統和數據庫的安全脆弱性，系統配置的安全脆弱性，訪問控制機制的安全脆弱性，測評和認證的脆弱性。運行的脆弱性：監控系統的脆弱性，無入侵檢測設備，響應和恢復機制的不完善。威脅威脅就是將會對資產造成不利影響的潛在的事件或行為，包括自然的、故意的以及偶然的情況。威脅至少包含以下屬性：動機（自然威脅除外）、能力、影響方式等。可以說威脅是不可避免的，我們必須采取有效的措施，降低各種情況造成的威脅。被動攻擊產生的威脅網絡和基礎設施的被動攻擊威脅局域網/骨干網線路的竊聽；監視沒被保護的通信線路；破譯弱保護的通信線路信息；信息流量分析；利用被動攻擊為主動攻擊創造條件以便對網絡基礎設施設備進行破壞，如截獲用戶的賬號或密碼以便對網絡設備進行破壞；機房和處理信息終端的電磁泄露。區域邊界/外部連接的被動攻擊威脅截取末受保護的網絡信息；流量分析攻擊；遠程接入連接。計算環境的被動攻擊威脅獲取鑒別信息和控制信息；獲取明文或解密弱密文實施重放攻擊。支持性基礎設施的被動攻擊威脅機房和處理信息終端的信息電磁泄露；獲取鑒別信息和控制信息。主動攻擊產生的威脅對網絡和基礎設施的主動攻擊威脅一是可用帶寬的損失攻擊，如網絡阻塞攻擊、擴散攻擊等。二是網絡管理通訊混亂使網絡基礎設施失去控制的攻擊。最嚴重的網絡攻擊是使網絡基礎設施運行控制失靈。如對網絡運行和設備之間通信的直接攻擊，它企圖切斷網管人員與基礎設施的設備之間的通信，比如切斷網管人員與交換機、路由器之間的通信，使網管人員失去對它們的控制。三是網絡管理通信的中斷攻擊，它是通過攻擊網絡底層設備的控制信號來干擾網絡傳輸的用戶信息；引入病毒攻擊；引入惡意代碼攻擊。對信息系統及數據主動攻擊威脅試圖阻斷或攻破保護機制(內網或外網)；偷竊或篡改信息；利用社會工程攻擊欺騙合法用戶(如匿名詢問合法用戶賬號)；偽裝成合法用戶和服務器進行攻擊；IP地址欺騙攻擊；拒絕服務攻擊；利用協議和基礎設施的安全漏洞進行攻擊；利用遠程接入用戶對內網進行攻擊；建立非授權的網絡連接；監測遠程用戶鏈路、修改傳輸數據；解讀未加密或弱加密的傳輸信息；惡意代碼和病毒攻擊。計算環境的主動攻擊威脅引入病毒攻擊；引入惡意代碼攻擊；冒充超級用戶或其他合法用戶；拒絕服務和數據的篡改；偽裝成合法用戶和服務器進行攻擊；利用配置漏洞進行攻擊；利用系統脆弱性(操作系統安全脆弱性、數據庫安全脆弱性)實施攻擊；利用服務器的安全脆弱性進行攻擊；利用應用系統安全脆弱性進行攻擊。支持性基礎設施的主動攻擊威脅對未加密或弱加密的通信線路的搭線竊聽；用獲取包含錯誤信息的證書進行偽裝攻擊；拒絕服務攻擊(如攻擊目錄服務等)；中間攻擊；攻擊PIN獲取對用戶私鑰的訪問、在支持性基礎設施的組件中引入惡意代碼攻擊、在密鑰分發期間對密鑰實施攻擊、對PKI私鑰實施密碼攻擊、對密鑰恢復后的密鑰進行末授權訪問、在用戶認證期間使用戶不能生成失效信息；利用備份信息進行攻擊。來自內部的安全威脅分析內部網絡的失誤操作行為由于人員的技術水平的局限性以及經驗的不足，或對網絡信息安全的漫不經心或者誤操作可能會出現各種意想不到的失誤，勢必對系統或者網絡的安全產生較大的影響。鑒于現在很多網絡病毒通過郵件方式進行傳播，如果內部辦公人員不小心打開某個帶有病毒或“特洛伊木馬”程序的郵件附件，而有部分員工設置的機器密碼不符合密碼設置的安全規定，或者未及時為主機和PC機打上patch及hotfix，那么**集團網絡系統的穩定就受到了極大的威脅；源自內部網絡的惡意攻擊與破壞據統計，有70%的網絡攻擊來自于網絡的內部。對于網絡內部的安全防范會明顯的弱于對于網絡外部的安全防范，而且由于內部人員對于內部網絡的熟悉程度一般是很高的，所以，由網絡內部發起的攻擊也就必然更容易成功，因此一旦攻擊成功，其強烈的攻擊目的也就必然促使了更為隱蔽和嚴重的網絡破壞。來自郵件、網頁、便攜機、可移動存儲設備的蠕蟲、病毒以及惡意代碼由于**集團的核心業務系統與辦公用機處于一個安全域內，一旦某臺辦公用機被侵入，整個**集團的網絡、系統及應用都會很快被波及；自然災害、火災、水災等人力不可抗拒因素。網絡病毒威脅在網絡環境下，網絡病毒除了具有可傳播性、可執行性、破壞性、可觸發性等計算機病毒的共性外，還具有一些新的特點，網絡病毒的這些新的特點都會對網絡與應用造成極大的威脅。傳播的形式復雜多樣計算機病毒在網絡上一般是通過“工作站-服務器-工作站”的途徑進行傳播的，但傳播的形式復雜多樣，通過網絡共享、服務漏洞、電子郵件等多種方式進行傳播。病毒的智能化程序越來越高網絡病毒可以利用系統的漏洞進行傳播或攻擊；在攜帶特洛伊木馬程序進行對系統進行遠程破壞與控制；自身就有木馬功能，為系統開后門；散播拒絕服務攻擊點，對目標采取分布式拒絕服務攻擊等等。難于徹底清除智能化的網絡病毒既可以像傳統病毒一下感染服務器或客戶端主機的應用文件系統，也兼具網絡黑客技術的特點，通過各種途徑破壞服務器或客戶機的重要數據，通過電子郵件系統散播惡意代碼，設置系統后門，竊取系統的重要數據與機密信息等。病毒要完成這些復雜的動作，就要對系統進行比較復雜的設置，對系統的影響也比較大，僅有防病毒軟件很難徹底地從系統上將病毒清除掉。破壞性大網絡上病毒將直接影響網絡的工作，輕則降低速度，影響工作效率，重則使網絡崩潰，破壞服務器信息，造成巨大的直接和間接的經濟損失。風險由于網絡信息安全是一個系統工程，網絡上的攻擊行為和方法也急劇增長，造成的安全損失也越來越大，因此我們從黑客攻擊以及網絡蠕蟲病毒的角度對**集團面臨的威脅進行全面的分析，就是為了減少對其的安全威脅，把**集團面臨的安全風險控制在可接受的最理想的范圍內。從**集團的網絡結構來看，目前所面臨的主要問題可以簡要歸納為：網段之間邊界不夠清晰，控制力度弱，病毒、攻擊等安全事件容易擴散；多數業務網段間僅采用VLAN隔離，存在較大風險；終端與重要服務器處于同一邏輯區域，重要信息服務器存在安全風險；邊界復雜，缺乏對邊界策略的統一控制；網絡病毒，木馬利用網絡大肆傳播；存在IM/P2P、網絡游戲等濫用行為，影響工作效率和組織生產力；垃圾郵件防不勝防，成為病毒、木馬傳播的新載體。需要對終端用戶方便地進行管理和審計，對用戶進行準入控制。安全需求分析根據**集團信息系統的現狀以及風險分析，我們認為**集團信息系統應著重解決如下安全需求：邊界訪問控制需求分析**集團信息系統的邊界之內包含多個局域網以及計算資源組件。邊界環境是比較復雜的。如果在邊界沒有一個可集中控制訪問請求的措施，很容易被惡意攻擊者或其它企圖人員利用這些邊界進行非法入侵。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務攻擊、SYNFlood攻擊、IP欺騙攻擊等等獲取系統權限，進入系統內部。所以需要對邊界部署訪問控制系統，有效地監控內部網和公共網之間的活動，并對數據進行過濾與控制，保證內部網絡的安全。入侵檢測/防御需求分析訪問控制系統可以靜態的實施訪問控制策略，防止一些非法的訪問等。但對利用合法的訪問手段或其它的攻擊手段（比如，利用內部系統的漏洞等）對系統入侵和內部用戶的入侵等是沒有辦法控制的。因此系統內需要建設統一的符合國家規定的安全檢測機制，實現對網絡系統進行自動的入侵檢測和分析，對非法信息予以過濾，提高系統整體安全性。防病毒需求分析防病毒必須立足于系統全網的角度，除了在終端部署放病毒產品控制病毒對終端的破壞，更應該在網絡中部署安全產品，控制病毒的傳播。目前病毒的發展主要呈現以下幾個趨勢，通過了解這些背景情況，將有助于了解防病毒體系的技術要求。病毒與黑客程序相結合隨著網絡的普及和網速的提高，計算機之間的遠程控制越來越方便，傳輸文件也變得非常快捷，正因為如此，病毒與黑客程序（木馬病毒）結合以后的危害更為嚴重，病毒的發作往往伴隨著用戶機密資料的丟失。病毒的傳播可能會具有一定的方向性，按照制作者的要求侵蝕固定的內容。蠕蟲病毒更加泛濫其表現形式是郵件病毒會越來越多，這類病毒是由受到感染的計算機自動向用戶的郵件列表內的所有人員發送帶毒文件，往往在郵件當中附帶一些具有欺騙性的話語，由于是熟人發送的郵件，接受者往往沒有戒心。因此，這類病毒傳播速度非常快，只要有一個用戶受到感染，就可以形成一個非常大的傳染面。病毒破壞性更大計算機病毒不再僅僅以侵占和破壞單機的資料為目的。木馬病毒的傳播使得病毒在發作的時候有可能自動聯絡病毒的創造者，或者采取DoS（拒絕服務）的攻擊。一方面可能會導致本機機密資料的泄漏，另一方面會導致一些網絡服務的中止。而蠕蟲病毒則會搶占有限的網絡資源，造成網絡堵塞。制作病毒的方法更簡單由于網絡的普及，使得編寫病毒的知識越來越容易獲得。同時，各種功能強大而易學的編程工具讓用戶可以輕松編寫一個具有極強殺傷力的病毒程序。用戶通過網絡甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。病毒傳播速度更快，傳播渠道更多目前上網用戶已不再局限于收發郵件和網站瀏覽，此時，文件傳輸成為病毒傳播的另一個重要途徑。隨著網速的提高，在數據傳輸時間變短的同時，病毒的傳送時間會變得更加微不足道。同時，其它的網絡連接方式如ICQ、IRC也成為了傳播病毒的途徑。病毒的實時檢測更困難眾所周知，對待病毒應以預防為主，如果發生了病毒感染，往往就已經造成了不可挽回的損失，因此對網上傳輸的文件進行實時病毒檢測成了亟待解決的重要問題。因此部署網關防病毒產品，控制病毒的傳播至關重要。用戶身份認證和授權需求分析中心與下級機構以及合作伙伴互聯過程中，要向特定的遠程用戶或主機提供訪問許可，同時中心內部業務人員在作業現場或出差在外，需要通過目前已知的所有上網方式接入到企業內部網。也可在某些通過地址轉換方式上網的局域網以私有IP地址通過安全IP通道接入企業內部網。這些數據傳輸中涉及到大量的身份認證，確保機密性和不可抵賴性。主要需要認證的用戶包括應用系統用戶、數據用戶、操作系統用戶等。要求對關鍵業務、關鍵系統、關鍵數據的訪問采用認證鑒別技術，保證合法用戶訪問合法數據。網絡傳輸安全需求分析中心與各級機構之間以及移動用戶與信息中心進行業務操作過程中，通過租用電信運營商線路或者通過INTERNET進行數據業務的傳輸，在傳輸過程中，信息將面臨搭線竊聽、電磁信號分析都攻擊手段，通過這些攻擊手段，具有惡意行為的攻擊者可以竊取信息的內容。對于**集團業務、辦公信息等敏感內容，將帶來較大的危害性。因此需要在信息傳輸兩端部署具有VPN能力的設備或者軟件保證傳輸安全。內容過濾安全需求分析互聯網雖然給用戶帶來巨大的價值，但它也是非法信息傳播的溫床，反動、色情、暴力等信息在互聯網上隨處可見，垃圾郵件占據了大量的合法帶寬和用戶存儲資源。雖然國家有相關法律條例禁止這些不良信息，但僅僅依靠行政手段是無法達到徹底清除的目的。相比而言，技術手段則更加有效，需要安裝內容過濾產品防止非法信息的傳播。上網行為管理的需求隨著互聯網的快速發展，即時通訊、P2P下載、網上炒股、在線視頻播放等應用也變得日益廣泛。對于組織來說，這些應用本身不屬于威脅的范疇，但會影響組織的工作效率，降低組織的生產力，因此需要進行合理的控制。譬如，需要對P2P下載進行速度限制，禁止網上炒股，等等。反垃圾郵件的需求郵件應用是互聯網上最基本的網絡應用，但由于互聯網的開放性，垃圾郵件的問題也同樣突出，并日漸成為用戶的夢魘。垃圾郵件的危害不僅在于要占用用戶大量的時間去對郵件進行篩選、處理，還因為垃圾郵件本身還是病毒、木馬等威脅傳播的重要途徑，會對用戶的終端和業務網絡造成危害。為了凈化網絡流量，減少垃圾郵件的危害，在網絡的邊界處需要部署反垃圾郵件設備。安全審計需求日志審計是信息安全的重要方面，它是實現安全事件的可追查性、不可否認性的重要數據環節。對于**集團信息系統由于數據來源多、數據量大、數據類型復雜，將面臨大量的攻擊事件。良好的安全審計能力是分析**集團信息系統安全狀況的必要條件。終端成為邊界帶來新的需求隨著信息網絡技術的發展，網絡安全的勢態發現了變化，終端正在成為新的網絡邊界。首先，隨著網絡接入技術的發展，終端接入網絡的方式已經不再局限于局域網接口，包括雙網卡，WiFi，CDMA/GPRS上網卡，Modem撥號，紅外，藍牙…，這些接口已經成為企業內部網絡的另一道邊界。不能管理內部PC通過這些接口上網，就類似在防火墻的城堡下，存在很多沒有安全警衛的后門、小道，內部內部網絡的安全性無法保障。其次，在傳統的企業網絡中，終端具有固定的辦公位置，內部網絡相對是靜態的。然而隨著移動終端的普及（便攜機銷售超過臺式機），產生了移動辦公方式，內部網絡上接入的終端變得動態化。一方面，員工的終端可能在多個位置動態接入內部網絡；另一方面，各種非公終端也可能接入內網（包括員工個人PC，以及合作伙伴，客戶的PC）。隨著用戶PC的不斷接入，內部網絡的邊界在不斷擴充。內部網絡的動態化，需要我們從另外一個視角來看邊界安全問題。在內網邊界動態變化的過程中，我們必須在新加入的PC這一新的邊界上，進行必要的安全檢察，配置必要的安全防護，才能滿足網絡安全的需要。目前大多數的終端安全解決方案中，網關安全和終端安全是孤立起來考慮的，不能做到有效的協同。但隨著終端的邊界化，只有站在網關的視點來看待終端安全，才能確保內網的真正安全。要使得網關和終端能夠完美融合，真正的起到縱深防御，遙相呼應，需要在網關產品上整合終端安全策略，在網關產品上對內網終端進行統一的安全管理。信息安全體系建設建設原則在設計技術方案時遵從以下原則：實用性原則**集團的安全體系建設將始終遵循“面向應用，注重實效”的指導思想。緊密結合**集團現有網絡和應用情況，充分保證原有系統和結構的可用性。完整性原則**集團網絡安全建設必需保證整個防御體系的完整性。在安全體系建設中，我們采取多種安全防御的技術和措施來保障**集團的網絡系統安全運行。整體均衡原則要對信息系統進行全面均衡的保護，要提高整個信息系統的"安全最低點"的安全性能，保證各個層面防護的均衡。安全目標與效率、投入之間的平衡原則要綜合考慮安全目標與效率、投入之間的均衡關系，確定合適的平衡點，不能為了追求安全而犧牲效率，或投入過大。區域等級原則要將信息系統按照合理的原則劃分為不同安全等級，分區域分等級進行安全防護。動態發展原則安全防范體系的建設不是一個一勞永逸的工作，而是一個長期不斷完善的過程，所以技術方案要能夠隨著安全技術的發展、外部環境的變化、安全目標的調整而不斷升級發展。節省投資原則在滿足上述原則的基礎上，應盡量作到節省設備采購投資，不要形成一種“用價值10元的設備來保護價值5元的資產”的局面。安全建設的思路和方法建議首先采用安全域劃分方法將整個信息系統分成多個安全等級不同的相對獨立的子系統，既按照業務流程的不同層面劃分為不同的安全域針對每個安全域或安全子域來標識其中的關鍵資產，分析所存在的安全隱患和面臨的安全風險，然后給出相應的保護措施。由于不同的安全域之間存在著數據流，這時候就需要考慮安全域邊界的訪問控制、身份驗證、信息過濾、防病毒、入侵防御和審計等安全策略的實施。根據對市場已有的安全技術分析，功能全面、維護簡單且性價比較高的UTM類產品是比較好的選擇。UTM產品提供了完整的邊界安全保護能力，可以有效的實施訪問控制、入侵檢測與防護、防病毒、應用層信息過濾、流量管理、帶寬管理等能力。同時由于一臺UTM設備即可實現較為完整的邊界安全解決方案，將大大降低用戶采購成本和維護成本。安全域劃分網絡的建設是由業務系統的驅動建設而成的，初始的網絡建設大多沒有統一規劃，有些系統是獨立的網絡，有些系統又是共用一個網絡。而這些系統的業務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前**集團網絡系統是一個龐大復雜的系統，在支持業務不斷發展的前提下，如何保證系統的安全性是一個巨大的挑戰，對系統進行區域劃分，進行層次化、有重點的保護是有保證系統和信息安全的有效手段。按數據分類分區域分等級保護，就是按數據分類進行分級，按數據分布進行區域劃分，根據區域中數據的分類確定該區域的安全風險等級。目的是把一個大規模復雜系統的安全問題，分解為更小區域的安全保護問題。這是實現大規模復雜信息的系統安全等級保護的有效方法。根據**集團信息系統的特點將整個**集團信息系統分為如下安全域：中心接入域：包括外聯區（與公網相連）、內聯區（與二級機構相連）、DMZ區（對外公開服務器）以及內部網中的總部大樓和信息中心的接入部分。中心辦公域：總部工作人員辦公用網絡。中心生產域：生產終端所在網絡。中心服務域：所有的業務生產系統的服務器都放置在這個區域。二級機構辦公域：二級機構的辦公網絡，每個具體的二級機構辦公域形成一個獨立子安全域。二級機構生產域：二級機構的生產網絡，每個具體的二級機構生產域形成一個獨立子安全域。信息安全方案設計拓撲示意圖：安全網關(UTM)設計部署方案根據**集團網絡的現狀和日后的發展需要，通過安全域劃分原則部署和配置我公司的一體化安全網關（UTM）設備：1、中心接入域：合法接入控制：接入域內各子域邊界的訪問控制以及對應用數據進行安全過濾，對接入的數據或者用戶進行身份認證與授權。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發現并阻斷可能出現的病毒傳播。抗拒絕服務攻擊：根據網絡異常行為判斷出拒絕服務攻擊并予以阻斷。傳輸安全：接入域和其他安全域的互聯方式可能需要加密傳輸，因此需要對敏感數據采用VPN技術進行加密。2、中心辦公域：合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業務需求的主機訪問外部網絡。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發現并阻斷可能出現的蠕蟲傳播。抗拒絕服務攻擊：根據網絡異常行為判斷出拒絕服務攻擊并予以阻斷。防泄密：監控接入域客戶的非業務流量，特別是進行文件和信息交換的協議，比如：電子郵件、FTP、WEB訪問等。通過控制文件傳輸以及紀錄文件傳輸行為兩種方式進行防泄密保護。內容過濾：對基于標準協議的內容進行過濾，防止色情、非法信息的下載與傳播。上網行為管理：對IM應用進行管理和控制，對P2P/網絡視頻等行為進行阻斷或者限流，確保帶寬的有效利用。防垃圾郵件：防止郵件炸彈攻擊，對垃圾郵件進行過濾，提升工作效率。3、中心生產域:合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業務需求的主機訪問外部網絡。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發現并阻斷可能出現的蠕蟲傳播。安全審計：對所有與業務相關的通訊進行紀錄，保證可進行事后分析和可追查性檢查。4、中心服務域:合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業務需求的主機訪問外部網絡。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發現并阻斷可能出現的蠕蟲傳播。抗拒絕服務攻擊：根據網絡異常行為判斷出拒絕服務攻擊并予以阻斷。5、二級機構辦公域：合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業務需求的主機訪問外部網絡。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發現并阻斷可能出現的蠕蟲傳播。抗拒絕服務攻擊：根據網絡異常行為判斷出拒絕服務攻擊并予以阻斷。防泄密：監控接入域客戶的非業務流量，特別是進行文件和信息交換的協議，比如：電子郵件、FTP、WEB訪問等。通過控制文件傳輸以及紀錄文件傳輸行為兩種方式進行防泄密保護。內容過濾：對基于標準協議的內容進行過濾，防止色情、非法信息的下載與傳播。上網行為管理：對IM應用進行管理和控制，對P2P/網絡視頻等行為進行阻斷或者限流，確保帶寬的有效利用。防垃圾郵件：防止郵件炸彈攻擊，對垃圾郵件進行過濾，提升工作效率。6、二級機構生產域合法接入控制：僅允許可信主機進入辦公域，同時僅允許有業務需求的主機訪問外部網絡。防入侵：檢測來自外部的入侵行為并予以阻斷。病毒過濾：發現并阻斷可能出現的蠕蟲傳播。安全審計：對所有與業務相關的通訊進行紀錄，保證可進行事后分析和可追查性檢查。系統功能天清漢馬USG一體化安全網關采用高性能的硬件架構和一體化的軟件設計，集防火墻、VPN、入侵防御（IPS）、防病毒、外聯控制、抗拒絕服務攻擊（Anti-DoS）、內容過濾、反垃圾郵件、NetFlow等多種安全技術于一身，同時全面支持QoS、高可用性（HA）、日志審計等功能，為網絡邊界提供了全面實時的安全防護。除此之外，天清漢馬USG一體化安全網關還融合了內網安全特性，能夠為終端PC下發安全客戶端，同步內網安全策略，并根據安全客戶端的檢查結果對終端PC進行準入控制。天清漢馬USG一體化安全網關采用了一體化的設計方案，在一個產品中協調統一地實現了接入安全需要考慮的方方面面，采用天清漢馬USG一體化安全網關，可以從整體上解決了接入安全的問題。用戶可不必考慮產品部署、兼容性等困惑，也不再因為多個產品難于維護管理而苦惱，天清漢馬USG一體化安全網關是低成本、高效率、易管理的理想解決方案。通過部署天清漢馬USG一體化安全網關系統，可以實現：全面的訪問控制手段基于出/入接口、源/目的IP地址、服務、時間的安全策略，支持IP地址過濾、MAC地址過濾、IP＋MAC綁定、用戶認證、流量整形、連接數控制等堅固的入侵防御（IPS）體系業界最完善的攻擊特征庫，包括18大類，超過2,000項的入侵攻擊特征，并提供動態更新漏洞機理分析技術，精確抵御黑客攻擊、蠕蟲、木馬、后門應用還原重組技術，抑制間諜軟件、灰色軟件、網絡釣魚的泛濫網絡異常分析技術，全面防止拒絕服務攻擊業界領先的網絡防病毒技術文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫總計＞16萬，并提供動態更新支持HTTP、FTP、IMAP、POP3、SMTP等協議的病毒查殺病毒類型根據危害程度劃分為：流行庫、高危庫、普通庫實用的流量監控系統NetFlow歷史帶寬使用趨勢分析、帶寬應用分布、帶寬使用實時統計、IP流量排名等多種手段全面清除垃圾郵件支持黑名單、白名單支持防郵件炸彈功能，能夠設定郵件發送速率的門限值病毒掃描、附件類型和附件大小過濾、關鍵字過濾等支持貝葉斯過濾、可追查性檢查、發件人認證等反垃圾郵件功能豐富的VPN特性使組網變得簡單豐富的手段：支持IPSecVPN、SSLVPN、L2TP和GRE靈活的部署：IPSec全面支持NAT穿越，支持Hub-Spoken、Full-Mesh、DVPN等部署；SSLVPN支持Web、Agent、Tunnel應用方式，支持端到端部署IPSecVPN支持DES、3DES、AES128、AES192、AES256、國密SCB2等加密算法，支持MD5、SHA等認證算法精確的抗DoS攻擊能力支持對Jolt2、Land-base、pingofdeath、synflag、Teardrop、winnuke、smurf、TCPflag、ARP攻擊、TCP掃描、UDP掃描、ping掃描等各種DOS攻擊和掃描事件的檢測和防御采用特征控制和異常控制相結合的手段，有效保障抗拒絕服務攻擊的準確性和全面性完善的上網行為管理P2P控制：對eMule、BitTorrent、Maze、Kazaa等進行阻斷、限速；IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype流媒體控制：對流媒體應用進行阻斷或限速，支持Kamunppfilm、PPLive、PPStream、QQ直播、TVAnts、沸點網絡電視、貓撲播霸等網絡游戲控制：對常見網絡游戲如魔獸世界、征途、QQ游戲大廳、聯眾游戲大廳等的阻斷股票軟件控制：對常用股票軟件如同花順、大參考、大智慧等的阻斷獨有的內網安全管理特性終端安全部署：內置我的天珣內網安全服務器，可以為客戶端部署天珣終端安全軟件；終端準入控制：由天珣終端軟件進行各種安全性檢查，USG網關根據檢查結果進行準入控制，杜絕不安全的終端接入，保障內網合規；終端安全管理：通過USG向終端下發安全策略，能夠對接入網絡的所有終端進行進程管理、服務管理、網絡應用管理和補丁管理。強大的日志報表功能記錄內容豐富：可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發送日志、關鍵資產訪問日志、用戶登錄日志等進行記錄日志快速查詢：可對IP地址、端口、時間、危急程度、日志內容關鍵字等進行查詢報表貼近需求：根據用戶具體需求，定制報表內容、定制報名名稱、定制企業LOGO，并可形成多種格式的報表文件。方便的集中管理功能通過集中管理與數據分析中心實現對多臺設備的統一管理、實時監控、集中升級和拓撲顯示，能夠對多臺設備的日志和流量信息進行記錄。入侵檢測系統(IDS)設計在傳統的網絡信息安全概念里，似乎配置了防火墻就標志著網絡的安全，其實不然，防火墻僅僅是部署在網絡邊界的安全設備，它的作用是防止外部的非法入侵，僅僅相當于計算機網絡的第一道防線。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內部網絡；另外，據統計有70％以上的攻擊事件來自內部網絡，也就是說內部人員作案，而這恰恰是防火墻的盲區。入侵檢測系統(IDS)可以彌補防火墻的不足，為網絡信息安全提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤、恢復、斷開網絡連接等。入侵檢測系統是實時的網絡違規自動識別和響應系統。它運行于敏感數據需要保護的網絡上，通過實時監聽網絡數據流，識別，記錄入侵和破壞性代碼流，尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問嘗試時，入侵檢測系統能夠根據系統安全策略作出反應。該系統可安裝于防火墻前后，可以對攻擊防火墻本身的數據流進行響應，同時可以對穿透防火墻進行攻擊的數據流進行響應。在被保護的局域網中，入侵檢測設備應安裝在主交換機上,這些保護措施主要是為了監控經過網絡出入口及對重點服務器進行訪問的數據流。入侵檢測報警日志的功能是通過對所有對網絡系統有可能造成危害的數據流進行報警及響應。由于網絡攻擊大多來自于網絡的出口位置，入侵檢測在此處將承擔實時監測大量出入整個網絡的具有破壞性的數據流。這些數據流引起的報警日志，是作為受到網絡攻擊的主要證據。入侵檢測系統是一種動態網絡信息安全技術，它能夠發現入侵者實時攻擊行為，并對其進行響應。從網絡信息安全防護上講，防火墻技術給出了一個靜態防護的概念，而入侵檢測技術具有動態防御的意義。入侵檢測具有監視分析用戶和系統的行為、審計系統配置和漏洞、識別攻擊行為、對異常行為進行統計，使系統管理員可以較有效地監視、審計、評估自己的系統。在**集團網絡入侵檢測系統配置中，我們對網絡系統進行實時監控與阻斷響應，它集成了在線網絡入侵監測、入侵即時處理、離線入侵分析、入侵偵測查詢、報告生成等多項功能的分布式計算機安全系統，不僅能即時監控網絡資源運行狀況，為網絡管理員及時提供網絡入侵預警和防范解決方案，還使得對于檢查黑客入侵，變得有跡可尋，為用戶采取進一步行動提供了強有力的技術支持，大大加強了對惡意黑客的威懾力量。部署方案根據**集團網絡的現狀和日后的發展需要，通過部署我公司的天闐入侵檢測與管理系統實時分析進出網絡的數據和訪問連接，及時檢測出混雜在正常數據流中的惡意入侵和攻擊，保護各級網絡的安全。對**集團網絡邊界點的數據進行監測，防止黑客的入侵。監視**集團網絡內部用戶和系統的運行狀況，查找非法用戶和合法用戶的越權操作。對用戶的非正常活動進行統計分析，發現入侵行為的規律。實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻聯動。對關鍵正常事件及異常行為記錄日志，進行審計跟蹤管理。系統功能通過使用網絡入侵檢測系統，我們可以做到：全面的入侵檢測入侵檢測能力取決于兩個方面的技術：攻擊特征分析技術和入侵檢測支撐技術。在入侵檢測的支撐技術上，技術優勢體現在高速捕包、深入協議分析技術、高速樹型匹配技術、防躲避處理技術以及事件風暴處理技術等多個方面，有效地保證了入侵檢測的準確性、有效性和高性能。對**集團網網絡系統各級網絡邊界點的數據進行監測，防止黑客的入侵。以入侵檢測為核心的動態安全體系隨著網絡脆弱性的改變和威脅攻擊技術的發展，使網絡信息安全變成了一個動態的過程，靜止不變的產品根本無法適應網絡信息安全的需要。同時由于單一的安全產品對安全問題的發現處理控制等能力各有優劣，因此不同安全產品之間的安全互補，可以提高系統對安全事件響應的準確性和全面性，使防護體系由靜態到動態，由平面到立體，不僅增強了入侵檢測系統的響應能力，降低了入侵檢測的誤報率，充分發揮了入侵檢測的作用，同時提升了防火墻的機動性和實時反應能力。因此，以入侵檢測系統為核心的動態防御體系，可以實現入侵檢測和防火墻、入侵檢測和漏洞掃描等防護系統的聯動。入侵檢測和防火墻、入侵檢測和漏洞掃描聯動體系示意圖如下：入侵檢測系統與防火墻的聯動入侵檢測系統可以進行針對TCP連接的阻斷。但是，對于網絡上的錯綜復雜的攻擊事件，網絡入侵檢測系統的防護效果還是不夠全面。防火墻作為網絡系統的專用的安全防護工具，其防護能力與入侵檢測產品的響應能力可以相互補充。所以，使用入侵檢測系統與防火墻聯動方式，來實現整體防護。當入侵檢測檢測到此攻擊事件時，會實時的傳送一個防護策略給防火墻，由防火墻來執行此策略，實現入侵阻斷。入侵檢測系統與漏洞掃描系統的聯動入侵檢測在發現攻擊行為的同時，發出指令通知漏洞掃描系統，對被攻擊目標機或攻擊源進行掃描，來確認攻擊源的存在和被攻擊機系統存在的漏洞，以作到主動防御。同時，通過獲得漏洞掃描系統的掃描結果，可動態修改入侵檢測系統的檢測策略，使入侵檢測系統的事件報警更加準確，提高入侵檢測系統的運行效率。基于入侵檢測系統的應急響應通過入侵檢測系統的強大功能為應急響應提供有力的技術支撐和充足的信息支持，實施應急響應來解決實際的網絡信息安全問題。入侵檢測系統的應急響應體系的架構如下圖示。其中，技術包括4個方面：檢測發現、事件分析、事件報警、事件處理，這是一個安全事件的發現和處理流程。具有這幾項技術的支撐是具有龐大的知識庫，能夠進行入侵管理。而應急響應體系的組織結構、處理規范、響應流程都是保證應急響應能夠正常開展的管理要素。異常流量分析實時監控網絡流量，進行網絡流量的分類分析和統計；產生例如提供點對點數據流量及流量排名的詳細圖表；定義流量異常的閥值，對異常流量進行實時報警。內容異常分析基于異常的檢測技術可以發現可疑的網絡行為，能夠對未知的攻擊方式發出預警信號，是對其他方法的有利補充。同時，采用“多目標跟蹤鎖定”功能，對用戶所設定的異常報警內容進行多方位的定點跟蹤和顯示，“凸出”用戶所關心的信息。行為關聯分析一個真正的攻擊不是一個單獨的行為就可以發現，必須分析一系列的單獨行為，找到其中的行為關聯關系，才能更好地識別攻擊，管理已發生的入侵事件，處理垃圾報警信息，準確描述攻擊行為。網絡病毒分析針對當前流行的網絡蠕蟲和病毒進行預警，包括Nimda蠕蟲、Sqlslammer蠕蟲等。強調實現以入侵檢測為核心的安全防御體系。入侵檢測系統與防火墻、漏洞掃描系統、防病毒系統、網絡管理系統等安全產品均可實現聯動，這些聯動本身就是應急響應的一個組成部分，使得以前相互獨立、需要在不同的時間段內完成的入侵檢測和應急響應兩個階段有機地融為一體。入侵管理入侵管理技術是應急響應體系的核心支撐技術。入侵檢測系統不僅能抓取網絡中的數據流并進行分析，與事件庫中的入侵行為進行模式匹配，從而對入侵行為進行報警，而且能夠進行完備的協議分析，保證對數據流的分析是比較完整的。同時，好的入侵檢測系統還具有異常統計的功能，以降低誤報率，提高工作效率。隨著入侵檢測技術的發展，入侵檢測系統還能夠與防火墻、漏洞掃描系統網管等其它安全產品進行廣泛的聯合，組成入侵防御系統。為了提高入侵檢測系統的可用性，提高對應急響應體系的支持力度，還應加強入侵檢測系統的安全防范及管理功能，提高對全局入侵行為的可視管理。具有良好可視化、可控性、可管理性的新一代入侵檢測系統可稱為入侵管理系統。入侵驗證入侵驗證系統根據入侵檢測系統發現的網絡信息安全事件，對被攻擊網絡或主機進行攻擊后果的驗證，并將攻擊后果返回給控制中心，供管理者做決策參考。與網管系統結合安全和網管系統結合，入侵管理平臺將預警事件分級、分類、自動上報給網管系統，供網絡管理員做全局安全事件分析。可視化用可視化的方式顯示當前安全態勢，用不同的顏色和形狀表示關鍵點（如外部IP）。可根據需要設置條件，實時顯示TOP10事件，包括攻擊源、目標的MAC地址、IP地址，流量信息；對各種協議相關事件如Telnet、SMTP，按需要進行回放。事件自定義事件自定義功能，以深層協議分析為基礎，能夠實現：對攻擊特征進行多樣化、靈活定義，可以使我公司保證對最新攻擊方法的迅速反應和升級，同時可以協助用戶直接定義針對其特殊應用的攻擊和威脅。用戶可以方便地修改協議端口默認值，滿足用戶保護特殊網絡應用的需要，同時有效防止黑客以變形木馬等方式躲避入侵檢測系統監控的攻擊。用戶可以自定義所關注的敏感信息，加強內外部信息的審查，如商業機密，反動、黃色、暴力等信息。用戶可以定義與指定的人、郵件、IP地址等有關的行為，實現對重點目標的保護和對重點懷疑對象異常行為的有效監控。策略自定義入侵檢測系統內置檢測策略，可以供用戶選用。同時，入侵檢測系統應允許有經驗的用戶根據網絡中數據流的特點，提供靈活的安全策略管理機制，利用系統中的事件定義模板，定制網絡中可疑行為和監控對象，定制相應的檢測策略，并對這些行為進行響應，做到重點監測、量體裁衣，報告用戶最為關注的事件，充分提高入侵檢測系統的檢測效率，降低誤報率。引擎自定義提供不同作用、基于不同環境的入侵檢測探測引擎。包括基于百兆網的網絡入侵檢測系統引擎、基于千兆網的網絡入侵檢測系統引擎、基于Windows平臺的主機入侵檢測系統引擎、基于AIX、Solaris平臺的主機入侵檢測系統引擎等。這些引擎都可以被統一的入侵管理平臺所管理。脆弱性掃描系統設計（漏洞掃描）網絡的應用越來越廣泛，而網絡不可避免的安全問題也就越來越突出，如今，每天都有數十種有關操作系統、網絡軟件、應用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統；另外，由于管理員的疏忽或者技術水平的限制造成的配置漏洞也是廣泛存在的，這對于系統的威脅同樣很嚴重。動態安全的概念是：幫助管理員主動發現問題。最有效的方法是定期對網絡系統進行安全性分析，及時發現并修正存在的弱點和漏洞，保證系統的安全性。因此**集團網絡系統需要一套幫助管理員監控網絡通信數據流、發現網絡漏洞并解決問題的工具，以保證整體網絡系統平臺安全。漏洞掃描系統包括了網絡模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等功能，幫助用戶控制可能發生的安全事件，最大可能的消除安全隱患。該系統具有強大的漏洞檢測能力和檢測效率，貼切用戶需求的功能定義，靈活多樣的檢測方式，詳盡的漏洞修補方案和友好的報表系統，以及方便的在線升級。部署方案對于網絡信息安全來說，安全性取決于所有安全措施中最薄弱的環節，而上面我們所討論的問題，就是網絡的薄弱之處，也是最容易被黑客利用來侵入系統，給我們造成損失的環節。所以在網絡中心部署一套我公司的天鏡脆弱性掃描與管理系統協同入侵檢測系統對網絡系統提供防護。系統功能可以動態地分析目標系統的安全脆弱性根據不同的對象類型，自動尋找匹配的掃描策略進行下一步的分析掃描。靈活的策略配置可按照特定的需求配置多種掃描策略和掃描參數，實現不同內容、不同級別、不同程度、不同層次的掃描。多種形式、人性化的掃描報表可根據用戶的不同需求提供不同層次的報告，并提供安全補丁供應商的熱連接，快速及時的修補漏洞。實用的模擬攻擊工具合理的結構化設計、模塊的繼承性，使得系統具有很大的可擴展空間全自動、大規模的掃描任務支持windows域環境多線程掃描保證掃描任務的高效性和穩定性；定時掃描機制保證充分利用網絡空閑間隙進行網絡信息安全狀況評估；豐富的漏洞檢查列表分級、靈活的預定義報告合理的結構化設計遠程在線升級詳盡的安全解決方案幫助用戶在了解網絡信息安全狀況的情況下得到詳盡可行的解決措施。系統作用通過在**集團網絡系統進行安全漏洞檢測和分析，我們可以做到：對**集團網絡重要服務器和PC機進行漏洞掃描，發現由于安全管理配置不當、疏忽或操作系統本身存在的漏洞(這些漏洞會使系統中的資料容易被網絡上懷有惡意的人竊取，甚著造成系統本身的崩潰)，生成詳細的可視化報告，同時向管理人員給出相應的解決辦法及安全建議。對**集團網絡系統網絡邊界組件、基礎組件和其他系統進行漏洞掃描，檢查系統的潛在問題，發現操作系統存在的漏洞和安全隱患。漏洞掃描系統對網絡及各種系統進行定期或不定期的掃描監測，并向安全管理員提供系統最新的漏洞報告，使管理員能夠隨時了解網絡系統當前存在的漏洞并及時采取相應的措施進行修補。通過漏洞掃描的結果，對系統進行加固和優化。網絡信息安全審計系統設計來自網絡的安全威脅日益增多，很多威脅并不是以網絡入侵的形式進行的，這些威脅事件多數是來自于內部合法用戶的誤操作或惡意操作，僅靠系統自身的日志功能并不能滿足對這些網絡信息安全事件的審計要求，網絡信息安全審計系統正是在這樣的安全審計需求下產生的。網絡信息安全審計通常要求專門細致的協議分析技術，完整的跟蹤能力，和數據查詢過程回放功能。對于互聯網內容的管理和控制，歸根到底是對訪問者的管理和控制。一個好的互聯網內容管理產品，要能做到基于用戶的、細化、量化的訪問策略定制。互聯網訪問主要包括Web訪問和基于Internet的一些應用程序的使用。Web訪問是指通過URL地址訪問Web內容，相應的控制手段主要有內容實時過濾、預分類列表方式等。除了Web內容，一些基于Internet的應用程序，包括常用的即時通訊工具、P2P文件共享下載、在線游戲、流媒體播放和股票系統等，也需要加以控制。越來越多的問題滋生于此，通過聊天、文件下載、網絡游戲或其他程序的應用，導致的安全風險、生產力下降、帶寬濫用、法律風險等問題層出不窮。具備合理的定位和管理措施，清晰直觀的監控記錄和靈活多樣的數據統計報表，是互聯網訪問控制審計類產品的一項重要功能。支持對訪問事件(訪問者、訪問時間、訪問內容、響應動作)的實時監控記錄，自定義查找訪問者、內容的記錄、根據記錄生成直觀的統計數據等。幫助企業發現互聯網訪問趨勢，了解企業互聯網的使用情況。在專網服務器區，面對繁多的業務系統，有充分的必要性對網絡的使用者、設備登錄維護者應用安全審計進行跟蹤。審計是記錄用戶使用計算機網絡系統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統，還能指出系統正被怎樣地使用。審計信息對于確定是否有網絡攻擊的情況，對于確定問題的起因和攻擊發起處非常重要。同時，系統事件的記錄能夠更迅速和系統地識別問題，并且它是后面階段事故處理的重要依據，為網絡犯罪行為及泄密行為提供取證基礎。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發現或可能產生的破壞性行為提供有力的證據。部署方案為了進一步加強**集團網絡信息安全的健壯性及事后分析的可行性，并滿足信息安全監控的目的，針對**集團網絡基礎建設的實際情況，我們建議：在外網出口處部署一臺我公司的天玥網絡信息安全審計系統（互聯網型）探測引擎，實現對外網出口處各種數據流的檢測監控，對于非法的互聯網訪問行為進行審計和阻斷。在核心業務服務器區的出口處部署一臺我公司的天玥網絡信息安全審計系統（業務網型）探測引擎，實現對WWW、FTP、E_mail、OA、數據庫等應用服務器的訪問或非法攻擊進行數據分析并保存，以便事后取證和分析。系統功能采用網絡旁路監聽技術，不改變網絡結構，不影響用戶網絡流量和性能，不會成為用戶的網絡故障點而導致網絡癱瘓；專用系統設計，安裝簡便，穩定可靠。業務網型：對數據庫、Telnet、FTP等登錄的操作進行詳細的審計和實時監控對HTTP、NETBIO、SMTP、POP3等應用層協議進行審計監控對FTP、Telnet、數據庫操作、應用（業務）系統等進行命令級的審計和訪問控制對非正常網絡行為進行審計互聯網型：記錄全面的互聯網訪問信息屏蔽各類不良網站控制互聯網絡行為審計MAIL信息過濾不良信息內網安全管理系統設計（終端管理）一直以來，安全防御理念局限在常規的網關級別（防火墻等）、網絡邊界（漏洞掃描、安全審計、防病毒、IDS）等方面的防御，重要的安全設施大致集中于機房、網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。但是在實際情況下，來自網絡內部的安全威脅卻是多數網絡管理人員真正需要面對的問題。據統計結果表明，80%的安全事件來自與網絡內部，而只有20%的安全事件來自于外部。目前網絡管理工作量最大的部是客戶端安全部分，對網絡的正常運轉威脅最大的也同樣是客戶端安全。由于大型網絡一般結構較為復雜，用戶使用水平參差不齊，而網絡管理人員編制有限，往往難以面對數量重大的客戶端事件，例如：缺少有效手段對客戶端聯網行為進行監控，對客戶端違規聯網的現象及時發現，及時阻斷。如何安全、方便的將非安全計算機阻斷出網如何對補丁進行自動分發部署和補丁控制。如何按照既定策略統一配置客戶端端口策略、注冊表策略等客戶端安全策略。如何監控網絡中的防病毒軟件安裝情況，準確有效的定位網絡中病毒的引入點，快速、安全的切斷安全事件發生點和相關網絡。如何對硬件資產進行自動發現識別，有效進行網絡資源管理和設備資產管理，在提高工作精度的同時減少網絡管理人員的工作量。如何對網絡中的軟件狀態信息進行有效的查詢和管理；如何實現客戶端安裝軟件自動識別控制，尤其是掌握網絡內新安裝的軟件，以及時發現隱患。如何對軟件進行分發安裝，以大幅度減少網管的工作量。如何對網絡客戶端進行有效工作狀態監控，監督使用人員規范操作電腦。如何構架功能強大的網絡客戶端綜合安全報警平臺。如何有效監控客戶端的運維信息，以便網管了解網絡中的客戶端是否已超負荷運轉，是否需要升級。如何有效地監控客戶端的USB拷貝、打印的行為。如何有效地實現客戶端文件的備份存儲。事實表明，只有解決網絡內部的安全問題，才可以排除網絡中最大的安全隱患。部署方案策略服務器策略服務器用于配置管理客戶端安全策略，分發策略給客戶端代理及策略網關，分發補丁、病毒定義碼或軟件以修補客戶端安全漏洞，并可從策略服務器查詢企業網絡任何一個終端的安全狀態。天珣內網安全風險管理和審計系統支持分布式多服務器架構，集中管理全球范圍內的任意多個策略服務器，分布式多服務器架構使天珣內網安全風險管理和審計系統具有優秀的容錯性、可伸縮性。客戶端代理客戶端代理從策略服務器獲取策略規則，在客戶端執行策略規則，檢查其安全狀態，執行終端綜合防護，并將客戶端安全狀態報告給策略服務器。天珣內網安全風險管理和審計系統客戶端是模塊化的組件，支持多種模塊化的組件，以滿足用戶以一個客戶端完成多種安全或管理的需求。策略網關策略網關是執行系統及應用準入的強制組件。策略網關從策略服務器獲取策略規則，以準入控制手段強制執行企業安全策略，拒絕不符合安全策略的終端訪問企業的關鍵系統及應用。天珣內網安全風險管理和審計系統有多種類型的策略網關。圖一天珣系統部署圖系統功能真正意義上的解決：移動設備（筆記本電腦等）和新增設備未經過安全檢查和處理違規接入內部網絡，未經允許擅自接入電腦設備會給網絡帶來病毒傳播、黑客入侵等不安全因素；內部網絡用戶通過model、紅外設備、無線設備或藍牙設備等進行在線違規撥號上網、違規離線上網等行為；違反規定將專網專用的計算機帶出網絡進入到其他網絡；網絡出現病毒、蠕蟲攻擊等安全問題后，不能做到安全事件源的實時、快速、精確定位、遠程阻斷隔離操作。安全事件發生后，網管一般通過交換機、路由器或防火墻可以進行封堵，但設置復雜，操作風險大，而且絕大多數普通交換機并沒有被設置成SNMP可管理模式，因此不能夠方便地進行隔離操作；大規模蠕蟲或木馬病毒事件發生后，網管無法確定病毒黑客事件源頭、無法找到網絡中的薄弱環節，無法做到事后分析、加強安全預警；靜態IP地址的網絡由于用戶原因造成使用管理混亂、網管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網絡中IP分配情況；自動檢測網絡計算機系統漏洞，弱口令等問題，并能夠自動將系統所需要補丁分發到網絡每一臺計算機，為計算機自動打補丁。各種軟件自動分發功能，腳本定制開發；大型網絡系統中區域結構復雜，不能明確劃分管理責任范圍，進行多用戶管理；網絡中計算機設備硬件設備繁多，不能做到精確統計，實現節點桌面控制；控制用戶隨意使用各種USB移動設備而導致的機密文件外漏。準入控制網絡準入準入控制網絡準入應用準入客戶端準入動態VLAN外來電腦管理資產管理軟件分發補丁管理外設管理移動存儲設備管理終端審計進程管理HOD遠程桌面終端快速定位主動防御（訪問控制）終端安全狀態檢測與修復蠕蟲病毒主動防御終端異常流量抑制非授權訪問控制終端安全加固IP地址管理終端安全防護功能桌面管理功能安全運營中心（SOC）建設方案安全運營中心我的泰合信息安全運營中心（簡稱：TSOC）是針對傳統管理方式的一種重大變革。它將不同位置、不同安全系統中分散且海量的單一安全事件進行匯總、過濾、收集和關聯分析，得出全局角度的安全風險事件，并形成統一的安全決策對安全事件進行響應和處理。總體來說TSOC的根本模型就是PDR模型，而TSOC系統就是實現其中的D（Detection，檢測）和R（Response，響應）。安全運營中心主要由以下部分組成：資產信息管理模塊、安全事件/業務監控管理模塊、脆弱性管理模塊、漏洞關聯分析和基于規則的關聯分析模塊、風險評估管理模塊、安全策略管理模塊、統一安全預警模塊、綜合顯示和報表報告系統、響應管理系統、安全信息管理、系統健康管理和用戶管理模塊組成。其功能體系架構如下圖所示：功能體系結構平臺軟件架構安全運營中心軟件總體體系架構如下圖所示：安全管理中心安全管理中心SMC安全信息管理系統SIMS數據分析中心（DAC）軟件總體結構整個系統分為SMC、DAC和V-SIMS三部分。SMC：安全運營中心，安全運營中心以B/S/D三層架構實現監控、管理、響應、報表等功能；DAC：數據分析中心，其以后臺服務方式實現綜合分析、關聯分析、資產發現、脆弱性信息采集分析等數據分析處理功能；V-SIMS：安全信息管理系統，它完成了安全信息的采集、過濾、聚并、入庫等功能。便于實現分布分級部署事件采集引擎。安全運營中心按照三層軟件架構體系設計，如下圖所示：泰合信息安全運營中心三層體系結構通過部署和實施泰合安全運營中心可以達到和實現如下效果：面向業務的資產與風險管理是基于網絡和系統進行安全檢查和評估的基礎，域的分類是抗滲透的防護方式，是基于網絡和系統進行安全建設的部署依據，而域邊界是災難發生時的抑制點，防止影響的擴散，因此，域管理的好壞直接影響到系統安全評估與監控性能的好壞，并直接影響到監管系統的健壯性。域的分類方式有多種，劃分的基準包括分布式的網絡結構，業務流程的優化單元，防護體系的層次結構，系統的安全等級等。在安全運營中心中，域被認為是一個大于資產的概念，是多個有相似安全需求或完成相似業務功能的信息資產組。資產信息管理模塊支持對平臺所轄信息系統在資產管理的基礎上進行域管理的功能，同時也支持對域安全風險的評估。對于復雜信息系統，IT管理員可以將主要精力用于關注域風險和核心資產風險，這樣可以有效降低安全管理的難度和復雜性。域的風險和威脅往往反映了業務所面臨的風險和威脅，相對于單一的資產風險評估和監控更能反映業務系統所面臨的風險和威脅。1、清晰展示業務域與資產的關系詳細請參考HYPERLINK“業務域管理”中相關內容。2、提供全面的風險監控信息：總體安全監控3、資產風險全面監控：業務域風險監控安全事件和漏洞監控安全事件監控負責實時監控網絡的安全事件狀態，是實時掌握全網的安全威脅狀況的重要手段之一。通過事件監控模塊監控網絡各個網絡設備、主機系統等日志信息，以及安全產品的安全事件日志信息等，及時發現已經發生和正在發生的安全事件，通過響應管理模塊采取措施，保證網絡和業務系統的安全、可靠運行，實時將其結果輸入綜合分析決策支持與預警平臺。脆弱性監控完成對信息系統中以資產為基本對象的漏洞檢測，是分析業務系統脆弱性的主要技術手段。通過控制和采集漏洞掃描結果，結合人工審計結果，綜合分析資產/業務系統的已知漏洞，及時進行修補和告警，確保核心資產的安全性，確保信息系統的業務連續性。1、提供直觀的安全事件趨勢分析安全事件統計分析2、詳細安全事件實時監控事件實時監控3、資產/業務域安全漏洞監控安全漏洞監控多種響應方式平臺通過多種響應方式完善了從防護到檢測再到響應的一個安全事件處理過程的閉環。1、多種響應策略設置通過對安全事件進行郵件、工單、聲音、數據庫等響應方式的設置，實現自定義用戶響應策略。響應策略管理2、支持工單管理提供了從工單生成、提交、編輯、狀態監控、查詢到關閉工單的完整的閉環管理，如果客戶已經或正在考慮實施ITIL，可以將工單管理融合到ITIL流程之中。工單管理多種關聯分析方法1、漏洞關聯分析漏洞關聯的目的在于要識別出假肯定警報，同時為那些尚未確定是否為假肯定或假警報的事件分配一個置信等級。這種方法的主要優點在于，它能極大提高威脅運算的有效性并可提供適用于自動響應和/或告警的事件。詳細請參考HYPERLINK“漏洞關聯分析”中相關內容。2、規則關聯分析詳細請參考HYPERLINK“規則關聯分析”中相關內容。3、統計關聯分析詳細請參考HYPERLINK“統計關聯分析”中相關內容。狀態監控可以通過獲取狀態獲取設備的狀態信息，如設備IP、設備名稱、系統名稱、連通狀態、資源占用率等狀態信息，可以及時發現網絡中設備的資源占用情況，利于進行有針對性的安全管理。狀態監控拓撲與GIS展示拓撲展示并非對網絡拓撲的呈獻，而是以資產/業務為對象的直觀展示和狀態監控。是管理者和操作者直接了解平臺所轄范圍資產和業務系統分布情況、工作狀態的理想工具。提供了跟HPOpenView網管系統接口，從網管系統獲取事件信息、資產狀態信息和網絡拓樸信息，傳遞給資產管理模塊。1、業務域拓撲展示業務域拓撲2、資產拓撲展示可以通過業務域關聯到其下屬子域以及所包含的資產和設備。如下圖所示：資產拓撲提供了跟MapInfo地理信息系統的接口，可以將資產域的地理信息應用在綜合顯示模塊中。可以將地圖作為背景圖，在地圖上顯示監控點。GIS展示（全國）同時，北京地圖可以根據客戶的需要靈活替換，比如可以將行政區劃圖、網絡拓撲圖等作為地圖，在上面標識已經部署的監控點。下面以上海行政區劃圖為例：GIS展示（上海）豐富的知識庫系統的知識管理中心既提供一般知識管理功能，比如安全知識庫、培訓和人員考核等，也提供了強大的漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應急響應知識庫等。我公司作為國家CNCVE項目的承擔單位擁有自主產權的漏洞庫和事件特征庫，泰合風險管理和自評估系統的漏洞庫和事件特征庫兼容了國內國際上流行的各種漏洞庫，比如CNCVE，CVE，Bugtraq等，同時我的積極防御實驗室會及時發布最新發現的各種安全漏洞，并定期對已知漏洞進行總結。同時，系統通過處置預案管理的方式實現對各種安全事件處置方法的標準化參考和積累。1、處置預案管理分別為病毒木馬、系統狀態、掃描探測、拒絕服務、規避、認證授權、應用漏洞和非授權訪問等8種處置預案。2、漏洞信息查詢漏洞信息庫3、安全鏈接安全鏈接請參考“安全信息知識庫管理”中相關內容。售后服務與培訓 售后服務 技術支持隊伍我公司的安全工程部是一個有著大型安全項目（包括大型涉密項目）實施經驗的團隊，目前有三十多人的售后施工人員。其中大部分人員接受過微軟、思科等公司的專業培訓，在安全方面有著良好的基礎理論和豐富的實踐經驗。在信息產業部、國家安全部、中國新時代證券、中技經、中信實業銀行、中國電信、上海電信等全國范圍內的大型網絡信息安全項目實施中，得到了用戶一致認可。在大量項目施工的過程中，積累了豐富的項目施工經驗，確保了公司在各個項目中及時按要求完成施工進度。組織結構項目的售后服務可以由我公司和第三方廠商共同提供售后技術服務、支持及保修也可以由我公司獨立完成。同時，用戶方也需要有相關人員負責項目售后服務過程中的商