科大图书馆安全方案.doc

电子科大图书馆网络系统 整整 体体 安安 全全 解解 决决 方方 案案 四川太平洋电子科技发展有限公司 Prepared By: 销售顾问： 技术支持： 四川太平洋电子科技发展有限公司 电话：(028)86670025 86670059 传真：(028)86660383-8003 信息安全技术与服务信息安全技术与服务 电子科大图书馆网络系统 整体安全解决方案 第一章第一章 前前 言言3 第二章第二章 网络安全风险分析网络安全风险分析5 2.1 物理安全风险分析5 2.2 链路传输风险分析5 2.3 网络结构的安全风险分析6 2.3.1 来自与公网互联的安全危胁.6 2.3.2 内部网络与系统外部网互联安全威胁.6 2.3.3 内部局域网的安全威胁.7 2.4 系统的安全风险分析7 2.5 应用的安全风险分析8 2.5.1 资源共享.8 2.5.2 电子邮件系统.8 2.5.3 病毒侵害.9 2.5.4 WWW 服务漏洞9 2.6 管理的安全风险分析9 第三章第三章 图书馆网络系统概况图书馆网络系统概况10 3.1 基本网络结构10 3.2 网络应用11 第四章第四章电子科大图书馆网络安全设计电子科大图书馆网络安全设计.12 4.1 网络防病毒的实现13 4.2 防火墙系统实施17 4.3 入侵检测系统实施22 4.4 系统的安全维护27 第五章第五章 售后维护售后维护28 第六章第六章 成功案例成功案例30 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 第一章第一章 前前 言言 全球信息高速公路的建设，Internet/Intranet 的发展，对整个社会的科学与 技术、经济与文化带来巨大的推动与冲击，人们的工作、学习和生活发生了巨大的 变革，以 HTTP 和 WWW 为代表的信息发布服务以及电子邮件、新闻组等 Internet 服 务给人们带来了巨大的方便。随着 Internet 的日益推广，人们对 Internet 的依赖 也越来越强，特别是近年来以 Internet 为基础的电子商务、电子钱包、网络银行等 新兴业务的兴起，使得网络成为了人们生活中不可缺少的一个部分。网络应用越来 越深地渗透到金融、商务、国防等等关键要害领域。 网络给人们带来巨大便利得同时，也带来了许多的挑战，其中安全问题尤为突 出。目前，计算机犯罪已经成为普遍的国际性问题。在 Internet/Intranet 的大量 应用中，Internet/Intranet 安全面临的问题也越来越严重。据统计，世界上 95%以 上的网站均存在不同程度的漏洞，其中有 80%以上的网站存在严重的安全漏洞，包括 排名在前十位的门户网站和电子商务网站；有 40%以上的内部网容易被黑客攻破。另 据 FBI 的统计调查，美国每年因网络安全问题所造成的经济损失高达 100 多亿美元。 而且还有日益增加的趋势，而全球平均每 20 秒钟就发生一起 Internet 计算机入侵 事件。据美国 Securityfocus ()公司统计， Internet 上 80%的机器都存在不同程度的网络安全漏洞。这说明计算机犯罪已经渗 入到政府机关、军事部门、商业、企业等单位，其它的用户网络所受到的威胁由此 就可想而知了。如果不加以保护的话，轻则干扰人们的日常生活，重则造成巨大的 经济损失，甚至威胁到国家的安全。所以系统的安全问题已经引起许多国家，尤其 是发达国家的重视，不惜投入大量的人力、物力和财力来提高计算机网络系统的安 全性。 计算机病毒在不断产生和传播，计算机网络不断遭受黑客的攻击，重要情报资 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 料被窃密，甚至造成网络系统瘫痪，给各个国家以及众多的公司和部门造成了巨大 的经济损失，甚至危害国家和地区的安全，因此计算机网络系统的安全，包括其上 的信息数据安全和网络设备服务的运行安全，日益成为一个关系到国家、政府、企 业、个人利益的大事，必须给予充分的重视并设法加以解决。 安全保障能力是新世 纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。网络安全问题解 决不好将全方位地危及一个国家的政治、军事、经济、文化、社会生活的各个方面， 使国家处于信息战和高度经济金融风险的威胁之中。 计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点，通常很难 留下犯罪证据，这大大刺激了计算机犯罪案件的发生。而且随着 Internet 的迅速发 展，人们可以很方便地接入它，罪犯们不用千辛万苦地建立接入攻击目标的访问通 道，他们可以通过 Internet 轻易的找到以及访问要攻击的目标，这样犯罪更加容易 发生。再者系统的安全漏洞和系统的加密系统已经不再像以前一样仅仅被为数不多 的专业人士知道，在国际互联网上，有数以万计的黑客站点在时时刻刻地发布这些 信息，并提供各种工具和技术以利用这些漏洞和破解保密体系，进行系统攻击。这 样使得计算机犯罪案迅速增加，计算机系统特别是网络系统面临着很大的威胁，并 成为严重的社会问题之一。 在我国，网络安全问题还没有得到充分的重视，许多大型的信息港和企业的 Intranet 都没有在安全方面下太大的功夫，结果往往在遭受重大损失后才意识到安 全问题的重要性。许多个人用户也经常为自己的邮箱遭受“邮箱炸弹”的攻击而苦 恼，而一些大单位更是为自己的主页被黑客的任意篡改而感到尴尬，至于那些由于 网络安全漏洞造成的大型经济犯罪案件更是屡见不鲜。 因此，保护网络的安全刻不容缓！ 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 第二章第二章 网络安全风险分析网络安全风险分析 网络应用给人们带来了无尽的好处，但随着网络应用扩大网络安全风险也变得 更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主 机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策及防 护意识的认识不足，这些风险正日益加重。而这些风险与网络系统结构和系统的应 用等因素密切相关。 2.12.1 物理安全风险分析物理安全风险分析 网络的物理安全是整个网络系统安全的前提。在网络工程建设中，由于网络系 统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑 保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电 线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸 体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷， 还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有， 地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁； 电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、 安全意识等，因此要尽量避免网络的物理安全风险。因此，在网络初期建设中都应 该考虑全面，而且，我们相信贵单位在网络初期建设中都考虑得很全面了，故本方 案中不重点阐述。 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 2.22.2 链路传输风险分析链路传输风险分析 网络安全不仅是入侵者到企业内部网上进行攻击、窃取或其它破坏，他们完全 有可能在传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技 术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性；以上种种不安全 因素都对网络构成严重的安全危胁。因此，对于图书馆这样带有重要信息传输的网 络，数据在链路上传输必须加密。并通过数字签名及认证技术来保数据在网上传输 的真实性、机密性、可靠性及完整性。由于电子科大图书馆现阶段的网络环境还只 限于一个大局域网中，并没有跨越公网以至于不会用到 VPN，因此暂不做考虑。 2.32.3 网络结构的安全风险分析网络结构的安全风险分析 .1 来自与公网互联的安全危胁来自与公网互联的安全危胁 如果图书馆内部网络与 Internet 公网有互连。基于 Internet 公网的开放性、 国际性与自由性，内部网络将面临更加严重的安全危胁。因为，每天黑客都在试图 闯入 Internet 节点，假如我们的网络不保持警惕，可能连黑客怎么闯入的都不知道， 甚至会成为黑客入侵其他网络的跳板。内部网络中其办公系统及各人主机上都有涉 密信息。假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时 影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连 接的外单位网络；影响所及，还可能涉及法律、金融等安全敏感领域。 .2 内部网络与系统外部网互联安全威胁内部网络与系统外部网互联安全威胁 如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部 网络容易造到来自外网一些不怀好意的入侵者的攻击。如： 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 入侵者通过 Sniffer 等嗅探程序来探测扫描网络及操作系统存在的安全漏洞， 如网络 IP 地址、应用操作系统的类型、开放哪些 TCP 端口号、系统保存用户名和口 令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而 假冒内部合法身份进行非法登录，窃取内部网重要信息。 恶意攻击:入侵者通过发送大量 PING 包对内部网重要服务器进行攻击，使得服 务器超负荷工作以至拒绝服务甚至系统瘫痪。 .3 内部局域网的安全威胁内部局域网的安全威胁 在已知的网络安全事件中，约 70%的攻击是来自内部网。首先，各节点内部网中 用户之间通过网络共享网络资源，网络共享自然是局域网所有用户都可读甚至可写， 这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此而 造成泄密。另外，内部人员在不知道的情况下，把一些夹杂了有害程序的文件通过 网络进行传播，或者被黑客抓住机会把黑客程序放在共享资源目录做陷阱，乘机控 制并入侵他人主机。当然，在我们图书馆内部里会有相应的规则、措施来有效的控 制来自网络内部的安全威胁。 2.42.4 系统的安全风险分析系统的安全风险分析 系统安全通常是指网络操作系统、应用系统的安全。对一个网络系统而言操作 系统或应用系统存在不安全因素，将是黑客攻击得手的关键因素，因黑客攻击某网 络系统，一般都是通过攻击软件扫描该网络系统中主机是否存在安全漏洞，并通过 可利用的安全漏洞进行攻击或控制这台主机，为以后进一步攻击打下基础。我们都 知道就目前的操作系统或应用系统，无论是 Windows，还是其它任何商用 UNIX 操作 系统以及其它厂商开发的应用系统都存在着 BUG，据统计在一个 1000 行的程序里就 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 将有一个 BUG，而象 Windows 2000 这个约有三千五百万行至五千万行的操作系统， 其中会存在多少 BUG 呢？而这些 BUG 都将存在重大安全隐患，可想而知其安全性如 何。但是从实际应用上，系统的安全程度与对其进行安全配置及系统的应用面有很 大关系。 在整个图书馆网络系统中，包含的设备有各种服务器、路由器/交换机、工作站 等。在服务器上主要有操作系统、数据库系统和应用软件系统；路由器、交换机上 也有相应的操作系统。所有的这些设备、软件系统都或多或少地存在着各种各样的 “后门”和漏洞，这些都是重大的安全隐患。一旦被利用并攻击，将带来不可估量 的损失，如现在网络上正广为流传非常凶猛的“冲击波”病毒，就是一个以微软公 司 Windows 系列操作系统的一个漏洞为基础的破坏性、传染性都很强的蠕虫病毒。 操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术 的人都可能入侵得手，如果进行安全配置，比如：填补安全漏洞、关闭一些不常用 的服务、禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进入内部 网是不容易的，这需要相当高的技术水平及相当长时间，因此应正确估价自己的网 络风险，并根据自己的网络风险大小做出相应的安全解决方案。 2.52.5 应用的安全风险分析应用的安全风险分析 应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全 性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施， 降低应用的安全风险。 .1 资源共享资源共享 图书馆网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资 源，比如文件共、打印机共享等。由此就可能存在着：员工有意、无意把硬盘中重 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他 人员窃取并传播出去造成泄密，因为缺少必要的访问控制策略。 .2 电子邮件系统电子邮件系统 电子邮件为网系统用户提供电子邮件应用。内部网用户能够通过拔号或其它方 式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序 等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入 侵者提供机会，给系统带来不安全因至素。 .3 病毒侵害病毒侵害 网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子 邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因些，病毒的危害 的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极 短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、 机器死机等不安全因素。 .4 WWWWWW 服务漏洞服务漏洞 Web 服务器本身不能保证没有漏洞，不法分子可能利用服务的漏洞修改页面，甚 至破坏服务器。系统中的 BUG，使得黑客可以远程对公开服务器发出指令，从而导致 对系统进行修改和损坏，包括无限制地向服务器发出大量指令，以至于服务器“拒 绝服务” ，最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力， 防止拒绝服务（D. .O. .S）或分布式拒绝服务（DDOS）之类的恶意攻击，提高服务器备 份与恢复、防篡改与自动修复能力。 2.62.6 管理的安全风险分析管理的安全风险分析 管理是网络安全中最最重要的部分管理是网络安全中最最重要的部分。 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此 管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络， 更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全 措施。 责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理 安全的风险。责权不明、管理混乱，使得一些管理人员随便让一些非本地工作人员 甚至外来人员进入机房重地，或者管理员有意无意泄漏他们所知道的一些重要信息， 而管理上却没有相应制度来约束。 当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作 等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提 供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就 要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立 全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的 做法是管理制度和管理解决方案的结合。 第三章第三章 图书馆网络系统概况图书馆网络系统概况 3.13.1 基本网络结构基本网络结构 在电子科技大学图书馆内部网络系统中，广泛的分布着工作人员用机（日常工 作、处理图书流动信息等） 、学生用机（包括查询图书信息、电子阅览室上网等）以 及我们重要的各种应用服务器系统，在这些重要的应用服务器中既有 WEB 服务器、 FTP 服务器等一般应用服务器，更有着核心应用系统的服务器，它存储着整个图书馆 系统的所有图书流动记录、图书编目信息等等图书馆的核心（或机密）信息，我们 整个图书馆网络信息系统的主要应用全是基于它而正常工作的。在这儿，可以毫不 夸张的比喻它为整个图书馆信息网络系统的心脏。图书馆现有网络拓朴示意图如下： 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 电子科技大学图书馆网络系统电子科技大学图书馆网络系统 3.23.2 网络应用网络应用 图书馆局域网由服务器和客户机构成，以实现图书馆自动化管理。保证图书馆 内部业务计算机网络化管理和在网上实现书刊目录及部分文献参考全文检索及浏览 等应用。 图书馆局域网通过校园骨干网，接入学校网络信息中心，构成一个对外数据通 路；再由网络信息中心边界路由器通过专线与中国教育和科研网或其它网络连接， 实现与因特网互联。 远程访问服务器连入INTERNET，使院外授权用户含院内职工在宿舍或出差用远 程方式访问、查询图书馆信息。 应用服务系统：应用服务系统：图书馆网络系统中各种应用服务器提供各种应用服务，这些 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 应用服务提供给图书馆网络内部、外部使用，不能防止未经验证的操作人员 利用应用系统的脆弱性来攻击应用系统，使得系统数据丢失、数据更改、获 得非法数据等。而这些应用系统是图书馆网络系统中最重要的组成部分。 WWWWWW服务器服务器WebWeb ServerServer：利用HTTP服务器的一些漏洞，特别是在大量使用服 务器脚本的系统上，利用这些可执行的脚本程序，未经授权的操作者可以很 容易地获得系统的控制权，从而对图书馆网络信息系统造成破坏。在电子科 大图书馆存在各种WWW服务，这些服务协议或多或少存在安全隐患。 电子邮件服务器电子邮件服务器MailMail SeverSever：由于邮件服务器软件的众多广为人知的安全漏 洞，邮件服务器成为进行远程攻击的首选目标之一。如利用公共的邮件服务 器进行的邮件欺骗或邮件炸弹的中转站或引擎；利用sendmail的漏洞直接入 侵到邮件服务器的主机等。而川大图书馆的内部E-mail系统覆盖面广。所以 迫切需要采用安全手段来保护图书馆的内部E-mail系统。 图书馆网络系统通过校园网，实现与国内和国际网的基础接入，使图书馆教职 工和学生能使用电子邮件和浏览器等基本应用，在教学科研和管理工作中利用国内 和国际网进行信息交流和共享。 第四章第四章电子科大图书馆网络安全设计电子科大图书馆网络安全设计 项目实施目标：项目实施目标： 提高电子科技大学图书馆信息网络内部网络系统整体的安全性。 通过设置有效的安全策略，确保只允许符合安全策略的内外网络之间的访问与服 务，保证内部网络免受外部攻击。 内部网络用户可以使用防火墙的 NAT 功能实现对 Internet 透明地访问，同时对 外部网络隐藏了内部的网络拓扑。 通过使用防病毒软件系统、并且充分发挥其效率，把病毒挡在电子科技大学图书 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 馆网络信息系统以外。 实现对电子科技大学图书馆信息网络内部网络系统的攻击行为预警，及时发现并 响应不安全的操作和攻击行为，并作日志记录。 4.14.1 网络防病毒的实现网络防病毒的实现 1 1、防毒产品的选择、防毒产品的选择 为了实现对图书馆网络系统的整体病毒防护，我们建议采用趋势科技 （TrendMicro）整体病毒解决方案。分为三个方面： 在图书馆中各个服务器上运用服务器防毒产品ServerProtect，实时检测并清 除各种病毒、自动更新及传送病毒码文件、提供详细病毒事件报告，为内部服务 器的病毒防护提供强有力的保障。 文件服务器是网络中最常见的服务器。以 NT/2000 服务器为例，它会遭受大量 引导型病毒、DOS 病毒、位 Windows 病毒以及宏病毒等的攻击，更为常见的是， 由于文件服务器为网络中所有工作站提供文件资源共享，因而也成为病毒理想的隐 身寄居场所，进而将病毒轻易扩散到网络中的所有工作站上。为此，TREND 科技早在 1991 年就利用其服务器防毒的核心技术和美国英特尔（Intel）公司合作，共同推出 运行在 Netware 服务器上的 LDVP（LANDesk Virus Protect） 。目前，TREND 科技的 ServerProtect 能够支持包括 Netware 、NT 及 Alpha NT 为平台的多种文件服务器的 病毒防护。 作为防毒体系结构中的服务器端产品，ServerProtect 的实时病毒监控功能，远 程安装、远程调用功能，病毒码自动更新功能以及病毒活动日志、多种报警通知方 式等，为网络内文件服务器的病毒防护提供了最大便利和效能。 在图书馆内部网中所有的工作站上安装工作站版防毒软件OfficeScan。 网络工作站的防护位于防毒体系中的最底层，对网络计算机用户而言，也是最 后一道查、杀、清、防病毒的要塞。考虑到网络中的工作站数量，如果需要靠网管 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 人员逐一到每台计算机上安装单机防病毒软件，费时费力，同时难以实施统一的防 病毒策略，日后的维护和更新工作也十分繁琐。由此，TREND 科技的 OfficeScan 企 业授权版很好的解决了这些问题，OfficeScan 联网工作站病毒防火墙具有如下特点： （1）HTTP 通讯方式使控管服务器和客户机能够实时通讯； （2）基于 WEB 方式的控制台，管理员可通过 Internet/Intranet 在任意点进行 工作站防毒监控； （3）域管理简化了对大量客户机的管理； （4）提供了实时、集中的防毒工作站报告； （5）更加灵活的网络防毒策略设置； （6）支持 HTTP 和基于文件的二种通讯方式； （7）支持多种方式的 OfficeScan 客户端软件分发； （8）具有简体中文支持，用户界面更加方便、友好； 采用新型扫描引擎技术，使对客户机病毒的防、杀、清、查更加有效。 邮件的病毒防护 随着电子邮件应用日益普及，病毒入侵的管道又增加了一个。根据国际计算机 安全协会（ICSA）2000 年的报告，因使用电子邮件而中毒的事件已占所有中毒事件 的 86，且其比率正在持续升高之中。TREND 科技针对不同群组软件和邮件服务器 产品于 1995 年开发了 ScanMail 系列防病毒产品，使网络防毒体系结构中又增加了 一层关卡，确保经由图书馆邮件服务器的邮件附件随时处于病毒免疫状态。 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 TREND 防毒中央控管系统（Trend Micro Control Manager） TREND 科技于去年公布的病毒控制系统 TMCM，是一个使企业 MIS 人员可以通过 Internet/Intranet 控管企业网络中所有防毒软件的一个管理工具。不但满足企业网 管人员有效简化防毒系统管理流程的需求，同时亦为网络防毒树立了新的服务标准。 该系统将传统的二层式主从结构管理模式，扩展为三层式主从结构模式，介于客户 端与浏览器之间的 CM 服务器可以将庞大而复杂的产品，集中统筹管理。使用 TMCM 后，网管人员可以使用浏览器为应用界面，在企业网内部的任意工作站或通过 Internet 实现对跨地区、跨平台的企业防毒系统实施统一管理和监控。TMCM 产品的 推出充分体现了 TREND 科技重视集中控管的网络防毒思想，首次实现了随时随地的 防病毒软件管理的模式。 2 2、为什么选择趋势防毒软件？为什么选择趋势防毒软件？ -趋势防病毒软件优势所在趋势防病毒软件优势所在 全球化的技术革新：全球化的技术革新：自 1989 年以来，趋势科技一直是防毒软件市场的先驱者。 随着全球采用的计算机标准不断推陈出新，趋势科技也持续研发出创新的技 术与策略，以确保信息环境的安全。 服务器市场的领导者：服务器市场的领导者：趋势科技是服务器防毒软件领域的全球领先者，在 Internet 网关领域具有 60%以上的市场占有率（资料来源：2001 年 IDC 报告） 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 。 灵活的最优技术：灵活的最优技术：趋势科技的防毒产品和全球化服务，能够和最先进的防火 墙产品、入侵检测系统以及其它最佳解决方案完美地结合起来，构成一套完 整的保护策略。 服务和技术支持：服务和技术支持：趋势科技的产品和服务以强大的 TrendLabs 为后盾，这个领 先业界的防毒研发及技术支持中心，能够实时监控全球安全威胁，以最快的速度提 供识别、侦测和清除新病毒的防毒技术。 3 3、趋势科技防病毒软件分类趋势科技防病毒软件分类 服务器防病毒系统：选用服务器防病毒系统，实时检测并清除各种病毒、自动更 新及传送病毒码文件、提供详细病毒事件报告；还提供集中式安装及管理，为内 部服务器的病毒防护提供强有力的保障。 网关防病毒系统：利用网关在网络中的特殊位置，使得电脑病毒在进入内部网之 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 前即被阻截。 工作站防病毒系统：通过C/S结构模式，服务端防病毒系统将自动检测各工作站 上防病毒软件安装情况，服务端将自动分发并远程安装各工作站病毒防护系统。 保证工作站免受病毒侵害的同时，也大减轻安全管理员的工作强度。 邮件服务器防病毒系统：通过检测进出邮件服务器的邮件及其所带附件中的病毒 程序，专门保护邮件服务器系统的安全。 TREND 防毒中央控管系统（Trend Micro Control Manager）：TMCM 是一个使企 业 MIS 人员可以通过 Internet/Intranet 控管企业网络中所有防毒软件的一个管 理工具。使用 TMCM 后，网管人员可以使用浏览器为应用界面，在企业网内部的 任意工作站或通过 Internet 实现对跨地区、跨平台的企业防毒系统实施统一管 理和监控。 4.24.2 防火墙系统实施防火墙系统实施 1 1、防火墙配置说明、防火墙配置说明 在电子科技大学图书馆中，信息网络系统主要是连接校园网和 INTERNET，提供 对内、对外高质量的服务，图书馆核心网络作为各个部门、办公室的网络汇聚点， 因此在网络安全设备的选型上一定得综合考虑设备的性能、功能、价格要素；同时 图书馆网络系统中的核心接入节点作为整个图书馆网络的门户节点，应严格控制从 外界进入内部网络的访问，因此从性、价比考虑，我们建议选用三星信息安全的 SecuiWALL NXG200 防火墙系统对外联网络出口、对外服务器、内部用户工作用机进 行安全隔离。防火墙能根据我们图书馆网络的安全策略控制进入内部网络的信息流， 它通过在外界网络入口点检查网络通讯数据，根据预先设定的安全规则，保护整个 内部网络的安全。 防火墙的具体配置结构示意图如下所示： 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 图书馆网络防火墙配置示意图（一）图书馆网络防火墙配置示意图（一） 考虑到图书馆整个内部网络的具体规模比较大，总共的用户节点达到了 400 个 以上，相应的应用服务器也有很多、内部网对访问外部网的应用需求和各部门单位 对图书馆的应用服务器的访问需求，为了在功能上满足整个图书馆网络系统的要求， 并且在性能上不会成为网络的瓶颈，因此决定在此选用三星信息安全的 SecuiWALL NXG200 防火墙，它支持 200000 个并发会话连接，有 7 个 10/100M 自适应，而且最大 可以扩充到 8 个网络接口，因此可以对网络中各个不同功能网络进行有效的隔离。 SecuiWALL NXG200 部署在内部网络和主交换机之间，它的一个网口连接骨干网到校 园网，用一个网口连接需要对外提供服务的服务器群 DMZ 区，用一个接口用来保护 内部办公用机，剩余接口为扩展做好准备。 此处设置的 SecuiWALL NXG200 防火墙可以很好地保护内网不受外界的的威胁。 防火墙作为外界网络和内部网之间信息访问的唯一通道，这样所有的访问必须通过 防火墙的过滤。防火墙上的安全策略可以灵活地配置，比如：禁止外网用户访问图 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 书馆网络内的所有主机；只在数据服务器上开放与应用相关的端口，而其他端口关 闭，禁止对机器的直接访问；可以控制用户访问的时间，并对访问进行监控；禁止 访问图书馆内部网络其他资源；对通过防火墙的用户进行身份认证；等等。 SecuiWALLSecuiWALL NXGNXG 系列防火墙主要性能指标如下：系列防火墙主要性能指标如下： 2 2、SecuiWALLSecuiWALL NXGNXG 防火墙主要功能介绍防火墙主要功能介绍 SecuiWALL NXG200 防火墙是一款性能强大、功能丰富的网络安全产品，其配置 强大而稳定的硬件系统, 将 Firewall、VPN、IPS 集成一体，以高性能、高安全性、 高性价比、高兼容性等优势，为大中小型网络环境量身定制整体网络安全解决方案。 SecuiWALL NXG 系列提供基于图形化（GUI）的全中文 JAVA 管理平台，也就是说，无 论防火墙的管理端采用何种操作系统，只要能够支持 JAVA 就能在中文环境对防火墙 进行管理。 SecuiWALL NXG 系列主要功能如下： 特性特性NXG 2000NXG 200NXG 100 并发会话 1,000,000200,000100,000 每秒处理的新会话数 80,00040,00020,000 防火墙流量能力(单向) 2Gbps350Mbps200Mbps 3DES(168 位)300Mbps200Mbps50Mbps 策略数（Policies）80,00030,000 20,000 VPN 通道数50,0005,000 400 接口1 个 10/100BaseT7 个 10/100BaseT6 个 10/100BaseT 4 个 GBIC 2 个 1000BaseT 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 全中文的图形化控制方式全中文的图形化控制方式 1、由于边界防火墙起着封堵黑客行为和国外不良站点的双重任务，必然导致其 过滤规则不断膨胀。过多的规则会使得目前市场上绝大多数防火墙的工作效 率明显下降，这是由于通常防火墙都要将每一个数据包和规则库中的规则进 行匹配，当这个规则库变得很庞大的时候，整个数据包的匹配时间就会变得 很长，从而导致包的延迟变长，甚至大量丢包。三星 SecuiWALL NXG 防火墙 采用了取得国际专利的分类算法，可区分通信流量类型，并根据相关策略进 行实时筛选，真正解决了传统防火墙因处理速度慢而引发的瓶颈问题。 2、三星 SecuiWALL NXG 系列防火墙支持网桥和路由两种模式。不仅可以使防火 墙作为路由设备，把内网 IP 地址转换为公网 IP 节约公网地址，而且可对多 种应用进行代理（HTTP,SMTP 等）过滤有害的网站、代码，让我们的网络更 强壮、安全。 3、扩展的状态检测功能。电子科大图书馆网络运行会运行 FTP、H.323 等数据。 三星 SecuiWALL NXG 防火墙能够准确识别此类数据流，让数据合法通过。而 普遍的状态检测技术，H.323 数据可能被阻断。在三星 SecuiWALL NXG 火墙 内部成功的进行了 UDP、TCP 数据同步分析。系统能够识别 H.323 连接，保 证 H.323 数据通过。此外还支持 SQL*NET、SUN RPC、TFTP 等多种复杂的协 议。 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 有害网站的过滤有害网站的过滤 4、三星 SecuiWALL NXG 防火墙通过带宽管理，针对时间、IP、应用等的带宽使 用率，确保业务数据流量的带宽，提高网络管理效率。 5、三星 SecuiWALL NXG 防火墙标准配置有四个网络接口，各接口可由用户自行 设置是用于外网、内网、DMZ 或是控制台端口，方便用户使用。 6、NAT 地址转换，将图书馆内部网络和 DMZ 区域网络地址通过 NAT 方式转换， 隐藏真实 IP 地址，防止内部网络受到攻击。具体转换方式可以是一对一对 应的静态地址翻译，也可以是多对多对应的动态地址翻译，也可以是多对一 端口映象（PAT） 。此外还提供了加权的负载均衡地址翻译功能（LSNAT） 。通 过负载均衡地址翻译，进行地址翻译的同时，可以对多种应用进行负载均衡。 7、代理服务，三星 SecuiWALL NXG 防火墙提供透明代理功能，因此无需在客户 端进行额外配置。对于 HTTP 代理来说，还提供反向代理。通过，反向 HTTP 代理可以进行对 WWW 服务器的负载均衡基于地址的负载均衡和基于内容的 负载均衡。而且可以剥离 WEB 页面中的有害代码（java/Activex 等） ，可对 web 邮件进行控制（如禁止携带附件、限制附件大小等） ，从而防止图书馆内 部资源通过 web 方式泄漏。同时图书馆内部网络对外访问可以通过防火墙提 供的代理服务功能，并可以过滤各种 CGI 攻击。此外，对于通过 SMTP 代理， 可以防止垃圾邮件、限制邮件大小、并且与第三方病毒防火墙护动，实现对 邮件病毒的查杀。 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 8、URL 拦截，在图书馆网络上存在各种需要对外保密的信息。三星 SecuiWALL NXG 防火墙实现了透明的 URL 拦截功能，通过在内核层对 URL 进行严格的控 制和管理，按照用户的要求进行拦截。由于在内核层进行过滤，因此其处理 效率大大提高。 9、强大的入侵检测功能，SecuiWALL NXG 防火墙系统具有许多防火墙系统不具 备的强大的入侵检测功能。防火墙为抵御入侵行为，需具备实时检测及拦截 功能，并及时向管理员报警，以有效防范各类入侵行为。然而目前市场上多 数防火墙只具备防范功能，而不能检测出攻击并及时有效地报警，或检测和 报警功能仅仅停留在形式上。 SecuiWALL NXG 的入侵检测设置界面可以提供强大的入侵检测和防范选项，如下 图： SecuiWALL NXG 检测到入侵后实时向管理员报警，报警方式包括邮件和短信息等， 并提供攻击的详尽日志。如下图所示： 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 4.34.3 入侵检测系统实施入侵检测系统实施 在安全系统中，防火墙就相当于整个网络系统的大门的门卫，能按照我们设定 的规则判断他人是否可进入，把攻击、恶意的数据包挡在门外，而入侵检测系统就 于安全摄像机相似，可以监控网络或者具体的服务器，防止入侵者进入，尤其可以 发现潜在攻击特征，及早阻断异于正常行为的操作。 为了更完备的防御来自内网和外网的入侵和破坏，到达更好的防御保护效果，建 议在需要重点防护的网络汇聚处采用基于硬件的网络入侵检测系统。考虑到各品牌 IDS 的功能特性、价格，同时结合 IDS 同防火墙联动效果，推荐使用启明星辰网络入 侵检测系统天阗 S100。 配置入侵检测系统后网络拓朴图如下： 配置配置 IDSIDS 后网络拓朴图后网络拓朴图 启明星辰入侵检测（启明星辰入侵检测（IDSIDS）天阗天阗 （一）高度的安全性和稳定性（一）高度的安全性和稳定性 堡垒最容易从内部攻破，因此安全产品要保证自身的安全性尤为重要，很难相 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 信一个自身漏洞百出的产品能够保证他人的安全。从技术上说，天阗黑客入侵检测 与预警系统采取了多种先进措施保障自己的安全: 1、 控制中心与所探测网段物理隔离，探测引擎则本身无 IP 地址，黑客无法对消失 在网络中的目标进行扫描和攻击，这样在网络中实现自身隐藏及带外管理。 2、 控制中心与探测引擎通信加密，探测器和控制中心互相认证，防止欺骗。防止日 志、策略在传输过程中被篡改。管理网口不开放连接端口，提高自身的隐藏性。 3、 操作系统内核重新编译，并经过了特别的优化，不采用通用的 TCP/IP 堆栈，避 免通用 TCP/IP 堆栈的缺陷导致的安全漏洞。 4、 关闭所有端口及服务，对于外界它是个透明的设备，是无法通过扫描等手段在网 络中找到它的位置的。 目前天阗已荣获国家公安部，国家安全部，国家保密局，以及最高级别的军队 安全认证。权威意味着信任、意味着安全！ （二）国内最完备攻击特征事件库（二）国内最完备攻击特征事件库 启明星辰公司目前的反入侵技术研究支撑来自四方面：研发中心，积极防御实 验室，博士后工作站，美国硅谷黑客研究中心,天阗目前的漏洞库积累和对于最新攻 击特征的捕捉代表了中国的最新、最高的水平。 天阗现在内部的攻击特征事件库覆盖了所有流行的网络协议，其覆盖面从链路 层一直到应用层，共约 40 多类，另外用户可以根据自己的实际情况自定义协议。 天阗网络入侵检测系统能识别、防范探测攻击、拒绝服务攻击、缓冲溢出攻击、 web 攻击、email 攻击、非授权访问、网络服务缺陷攻击等多种攻击； 国内最完备的事件库国内最完备的事件库 天阗事件库天阗事件库 启明星辰研发中心 中国漏洞库 CN-CVE 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 （三）多种先进入侵检测技术全面融合（三）多种先进入侵检测技术全面融合 对入侵行为的分析技术是入侵检测技术的核心，启明星辰在这方面的积累和探 索已经跨入国际领先水平，目前天阗中应用的入侵检测技术一般包括： 模式匹配 异常分析 行为关联 状态迁徙 天阗的模式匹配依托于国内最完备的入侵检测事件库以及用户的自定义事件库。 天阗基于异常的检测技术，这种检测方法可以发现可疑的网络行为，也能够对 未知的攻击方式发出预警信号，是模式匹配方法的有利补充。 行为关联的技术的引入是因为一个真正的攻击不是一个单独的行为就可以发现， 必须分析一系列的单独行为，找到其中的行为关联关系，才能更好的认识攻击。这 是天阗与其他一般入侵监测系统的一项重要区别。 状态迁徙技术应用于主机入侵检测系统中，以发现不同状态间的关联，检测可能 的入侵行为。 （四）强大的安全审计和分析功能（四）强大的安全审计和分析功能 一般的网络管理员往往面临这样一个问题：面对冗长的复杂的日志统计报表无 从下手！天阗强大的安全审计和分析功能有效地解决了这个问题,令管理员一目了然、 明察秋毫。天阗对所记录的日志进行综合分析，为用户提供详细的审计分析报告， 积极防御实验室 博士后工作站 硅谷黑客研究中心 中国计算机网络应急处理协调中心 CNCERT/CC 漏洞扫描探测 拒绝服务攻击 缓冲区溢出攻击 电子邮件攻击 WEB 服务攻击 病毒蠕虫木马 非授权访问 四川太平洋电子科技发展有限公司 地址:成都市合江亭天仙桥南路 2 号 4 楼 电话86670059 传真转 8003 包括: 网络状况报告和流量分析 分布式系统报告和探测引擎状态 慢扫描分析 网络相关行为分析 主机相关行为分析 天阗黑客入侵检测与预警系统支持 Access,SQL Server 数据库和任何提供 ODBC 通用数据库接口的数据库系统。并且还提供了新开辟数据库文件和自动维护数据库 功能,这些功能极大的方便了用户的数据库管理，和保证了数据存储安全。 同时天阗“获取原始报文”的功能，令管理员可以通过原始报文定义来获取某 个可疑地址发出的所有原始数据，从而给管理员制服黑客提供了最原始的证据。 （五）丰富的响应方式（五）丰富的响应方式 捕获到入侵行为或异常行为后，若不采取有效措施，也不能实现网络安全。天 阗网络入侵检测系统采用了多种响应方式：主要是分为报警、阻断等。 报警方式： 多样化自定义的报警窗口 W