江苏省人防信息系统安全设计方案.doc

xx信息系统安全设计方案 1、前言32、风险分析42.1物理安全风险分析42.2网络结构的安全风险分析42.3内部网络与系统外部网互联安全威胁52.4内部局域网的安全威胁52.5系统的安全风险分析62.6应用的安全风险分析62.7管理的安全风险分析73、安全需求与安全目标83.1安全需求分析83.2网络安全策略93.2.1威严的法律93.2.2先进的技术93.2.3严格的管理93.2.4安全管理策略93.2.5安全技术实施策略103.3系统安全目标104、解决方案104.1现状分析124.1.1相对分散的地域构成124.1.2高度的防泄密要求124.1.3复杂的内部人员构成124.1.4应用种类繁多134.2产品选型134.2.1SOFTWALL 防火墙134.2.2InterScan VirusWall 防病毒产品134.2.3入侵检测产品134.3具体设置144.3.1 SOFTWALL设置144.3.1 SOFTWALL设置154.3.2Interscan VirusWall 设置154.3.3入侵检测产品154.3.4其他方面数据库安全设计程序安全设计使用安全设计管理安全设计175、安全估价186、产品介绍186.1防火墙186.1.1防火墙原理186.1.2防火墙类型包过滤防火墙代理网关防火墙新型混合防火墙技术设计与实现的关键技术206.2网络入侵检测系统(NIDS)216.2.1 NIDS需要支持的特性216.2.2 NIDS的主要功能226.2.3 NIDS可防范的攻击类型226.3InterScan VirusWall 互联网病毒防火墙236.3.1整合性网际安全保护236.3.2直接在网络网关口保护信息安全236.3.3趋势科技专利的扫描引擎236.3.4自动更新病毒代码246.3.5完整而容易管理的活动纪录档246.3.6弹性的设定与通过Internet 来管理的方式247、售后服务247.1南大苏富特公司技术支持257.2南大苏富特公司技术支持保证267.3南大苏富特公司技术支持联系方式268、公司简介268.1公司情况概要268.2宗旨和目标278.3业务方向278.4交流与合作278.5展望288.6典型用户表289 、xx网络安全产品选型及报价301、前言在网络高速发展的今天，网络安全问题也越来越引起人们的关注。全国的政府、机关、企业和学校在上网的过程中，每年由于忽略网络安全造成的损失数以亿计，在这样的情况下，越来越多的用户体会到安全的重要性。在软件系统和网络系统复杂程度越来越高的今天，网络安全已经发展成了一门学科。要构建一个完善的安全体系，必须对网络的安全必须有着系统的了解，否则就无法对网络做出妥善的保护。在这种情况下，南大苏富特公司从用户角度出发，提出了自己以SOFTOS安全操作系统、SOFTDB安全数据库为核心的，立体的系统级的网络安全解决方案。在南大苏富特公司的安全方案中，由公司具有自主产权的防火墙：SOFTWALL占有非常重要的地位，他是整个网络安全中不可或缺的一部分，起着连接内外网络，控制访问的作用。有了防火墙，在内部网和外部网之间就可以按照预定的安全策略完成访问控制。要想保证网络的安全，仅仅通过在网络中架设防火墙是不够的。网络的安全和硬件软件，应用管理等多方面都有关，南大苏富特公司正是基于这点考虑，从安全的全局着手，每一个和安全相关的方面都有着我们独特的安全产品，这就是：SOFT网络安全解决方案。江苏省人民防空办公室（以下简称省人防）眼下正在逐步推进全省人防系统的信息化进程。在此过程中，省人防体现出一些与众不同的特点：作为一个关系到人民安全的重要部门，特别是作为要和军队共享一些机密的数据的部门，省人防对安全的要求非常高。如果只对网络安全的某一部分进行保护，是无法达到其要求的。因此，省人防需要一个全面的网络安全方案。南大苏富特愿与省人防合作，提供我们专业的经验，在SOFT网络安全解决方案的指导下，为省人防构筑一个安全的网络。2、风险分析网络应用给人们带来了无尽的好处，但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。网络安全可以从以下几个方面来理解：l 网络物理是否安全l 网络结构是否安全l 系统是否安全l 应用是否安全l 管理是否安全2.1物理安全风险分析网络的物理安全的风险是多种多样的,它是整个网络系统安全的前提。物理安全的风险主要有：l 地震、水灾、火灾等环境事故l 电源故障l 人为操作失误或错误l 设备被盗、被毁；电磁干扰l 线路截获因此，要尽量避免网络的物理安全风险。2.2网络结构的安全风险分析来自与公网互联的安全危胁基于Internet公网的开放性、国际性与自由性，信息服务网络将面临更加严重的安全危胁。因为，每天黑客都在试图闯入Internet节点，假如我们的网络不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他网络的跳板。假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络；影响所及，还可能涉及法律、金融等安全敏感领域。对于真正涉密的机关，国家也有规定是不能与互联网直接或间接与相连。2.3内部网络与系统外部网互联安全威胁如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络很容易遭到来自外网一些不怀好意的入侵者的攻击。如：入侵者通过Sniffer等嗅探程序来探测扫描网络中可能存在的安全漏洞及操作系统的一些对供给有用的信息如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存的用户名和口令等，并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。入侵者也可能通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。（DDOS攻击、PING OF DEATH 攻击）2.4内部局域网的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；内部不怀好意的员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都将对网络安全构成很大的威胁。2.5系统的安全风险分析所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统或者其它厂商开发的应用系统，其开发厂商大都会在其系统中留下一些后门（Back Door）。而且，这些系统本身都会存在一些安全漏洞。这些“后门”或安全漏洞都是极大的安全隐患。在实际应用中，系统的安全程度跟是否对其进行了安全配置有很大关系。操作系统如果没有采用相应的安全配置，则会是漏洞百出，掌握一般攻击技术的人都可能入侵得手。相反，如果对系统进行安全配置如：填补安全漏洞，关闭不常用的服务，禁止不常用而又比较敏感的端口等，那么入侵者要成功攻击内部网是不容易的，这需要相当高的技术水平及相当长时间。因此，做网络安全解决方案时要正确估价网络的风险并根据网络风险的大小做出相应的方案。2.6应用的安全风险分析应用系统的安全跟具体的应用有关，它涉及很多方面。应用系统的安全动态的、不断变化的应用的安全涉及面很广，以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有sendmail、Netscape Messaging Server、Software.Com Post、Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式，但系统内部的编码甚至编译器导致的BUG是很少有人能够发现的。因此，要解决网络的安全问题，一套详尽的测试软件是必须的。此类软件可以理解为一套专用扫描器，通过扫描inet服务的各个端口并根据软件编制人员的经验和对系统的熟悉程度综合评价，对扫描结果作出详细的报表。其内容类似如下：被扫描对象的些危险端口正在应用，被扫描对象的哪些应用具有危险性，如何防止以上漏洞。类似软件比较经典的如scanda。应用系统是不断发展的，应用类型也会不断增加，这会导致安全漏洞不断增加且隐藏越来越深。因此，保证应用系统的安全也是一个随网络发展不断完善的过程。应用的安全性涉及到信息、数据的安全性信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒（破坏）系统的可用性等。用户的信息可能涉及到一些机密信息，这些信息都是通过网络传输的。信息、数据如果遭到破坏或攻击，那么对用户来说，可能产生不可估量的影响。 因此，对于重要信息的通讯必须授权，传输必须加密。必须采用多层次的访问控制与权限控制手段，实现对数据的安全保护，同时采用加密技术，保证网上传输的信息的机密性与完整性。2.7管理的安全风险分析管理是网络中安全最最重要的部分。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。一些员工或管理员会随便让一些非本地员工甚至外来人员进入机房重地，甚至有些员工会有意无意泄漏他们所知道的一些重要信息，如果管理上没有相应制度来约束，外部防御做得再好也会形同虚设。如果网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警，并且当事故发生后也无法提供黑客攻击行为的追踪线索及破案依据，这样缺少可控性与可审查性的网络也是安全所需要改变的。这要求我们必须对站点的访问活动进行多层次的保护记录，及时发现非法入侵行为，并留下可供查询的记录。建立全新的网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此最可行的做法是管理制度和管理解决方案的结合。3、安全需求与安全目标3.1安全需求分析基与以上网络攻击手段，可以看出安全问题主要集中在对服务器的安全保护、对数据的安全保护以及管理安全上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：l 网络结构和路由的优化l 公开服务器的安全保护l 认证和计费服务器的安全保护l 防止黑客从外部攻击l 检测与监控l 信息审计与记录l 病毒防护l 数据安全保护l 数据备份与恢复l 网络的安全管理针对省人防网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求：l 大幅度地提高系统的安全性（重点是可用性和可控性）；l 保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；l 易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；l 尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；l 安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；l 安全与密码产品具有合法性，及经过国家有关管理部门的认可或认证；l 分步实施。3.2网络安全策略安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分，即：3.2.1威严的法律安全的基石是社会法律、法规、与手段，这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。3.2.2先进的技术先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。3.2.3严格的管理各网络使用机构、企业和单位应建立相应的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。为满足企业网络的安全需求，需在项目建设时根据网络项目的具体管理要求，制订出明确的系统安全策略。安全策略分为安全管理策略和安全技术实施策略两方面：3.2.4安全管理策略安全系统需要人来实现，即使是最好的、最值得信赖的系统安全措施，也不能由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。3.2.5安全技术实施策略技术策略要针对网络、操作系统、应用系统、数据库、信息共享授权等提出具体的安全保护措施。3.3系统安全目标基于以上的分析，我们解决网络系统安全应该实现以下目标：l 建立一套完整可行的网络安全与网络管理策略l 将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信l 建立网站各主机和服务器的安全保护措施，保证他们的系统安全l 对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝l 加强合法用户的访问认证，同时将用户的访问权限控制在最低限度l 全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为l 加强对各种访问的审计工作，详细记录对网络、公开服务器、认证和计费中心主机的访问行为，形成完整的系统日志l 备份与灾难恢复强化系统备份，实现系统快速恢复l 加强网络安全管理，提高系统全体人员的网络安全意识和防范技术4、解决方案通过以上的篇幅，我们已经了解到该如何分析和设计一个网络的安全方案。下面，让我们来具体的看一下省人防的网络情况，见下图：办公室地下工程Cisco 6506Cisco 7200Cisco 3600Cisco 2600苏南苏北WEB SERVER OUTWEB SERVER INOA SERVEROther SERVERInternet地上指挥所对外网的连接各地市千兆百兆2兆从此图中可以看到，省人防的信息网络是一个横跨江苏省、遍及14个市区的大型网络，而且网络的组成非常复杂，加上网络中的应用和安全需求也比较多，所以要想保证网络的安全，以下几点是一定要注意的。4.1现状分析4.1.1相对分散的地域构成整个江苏省的十三个省地市都要加入省人防信息系统。虽然理论上说这些由微波和光缆构成的网络可以算是一个大的局域网，但实际上因为地缘的分散，如果想把整个网络完全按照一体化来管理，完全通过对一点的防护来解决问题的话，会遇到比较多的障碍。比如说，各地可能会有自己不同的安全需求；对于相同的内部资源，不同的地区有着不同的访问权限等。要解决这些问题，最好的办法就是按照地域来划分，把整个省人防信息系统分成131共14个安全片。每一片按照自己的需要配置安全设备、安全策略，而整体上又都遵循着省人防制定的安全原则。这样，地市之间并不是完全不设防的网络，即使有某一处由于某种原因出现了安全漏洞，也不至于让风险弥漫到整个网络。4.1.2高度的防泄密要求作为主管省内各项防灾工作的主管部门，特别是作为和军队有着互通数据要求的部门，省人防的安全需求中很重要的一点就是防泄密，也就是访问控制。这些重要的数据如果泄漏的话，可能会造成不可估计的损失，因此，设计网络的安全方案时要尽量杜绝肯能会造成泄密的渠道，即使这样会使安全成本较高。4.1.3复杂的内部人员构成同样由于省人防系统的分布面太广，使用这个网络的大部分成员都是网络管理员不可能之间见到并了解的。这样就不排除某些内部员工由于好奇或别的原因在网络中随便试用一些软件，而这些软件很可能会携带病毒或者木马程序。若不加控制的话，由某一点发出的有危害的程序很可能在短期内弥漫到整个网络，严重的甚至可能使网络崩溃、数据丢失4.1.4应用种类繁多据不完全统计，省人防系统包括内外网所有的应用在内，共有WWW/Mail/DNS、办公自动化、省指挥自动化、战术研讨系统、指挥雷达系统、军用文件传输系统等多种应用，正如前面所介绍，应用越多、风险也就越大，所以实际使用时一定要注意到这一点。4.2产品选型针对上面所说的状况，按照安全方案的设计原则，我们拟采用以下几种产品来组建省人防网络的安全平台：4.2.1SOFTWALL 防火墙我们共采用了15套SOFTWALL防火墙保护各地市级单位和南京市的对外发布网站。4.2.2InterScan VirusWall 防病毒产品我们采用了趋势的InterScan VirusWall来为您进行网关级防毒。4.2.3入侵检测产品我们推荐您采用入侵检测产品来侦测制止内部的攻击。4.3具体设置对于以上几种产品，我们是这样为您组合的，见下图：办公室地下工程Cisco 6506Cisco 7200Cisco 3600Cisco 2600苏南苏北WEB SERVER OUTWEB SERVER INOA SERVEROther SERVERInternet地上指挥所对外网的连接各地市千兆百兆2兆SOFTWALLSOFTWALLSOFTWALLSOFTWALL入侵检测TrendVirusWall4.3.1 SOFTWALL设置在此处的的SOFTWALL防火墙，我们建议您安装Packet Filter（包过滤）模块，此模块建议采用拒绝一切的缺省安全策略，然后根据目前的安全需要，开放所需应用的端口。对于连接苏北和苏南十三个城市的防火墙，如果他们不需要上Internet，只要开放80端口(HTTP)，1521（ORACLE）或者1433(SQL SERVER)，以及内部的OA、战术研讨等系统确实需要使用的端口，而封掉所有的别的端口。对于保护Web服务器的防火墙，应该封掉除了80端口以外的所有端口，以获得足够的安全。对于省中心使用的防火墙，可以参照连接地市的防火墙办理，只是其开放的服务可能更多。4.3.2Interscan VirusWall 设置Interscan VirusWall 可以安排在网络的入口处，采用并行机制对内外网之间的数据进行检测。由于Interscan VirusWall是一个基于网关杀毒技术研发的防火墙，所以一台它就可以使省中心整个网络的病毒得到控制。这次考虑到成本原因，并没有给地市级的单位配置网关防病毒产品，以后如果地市级人防单位需要上网的话，建议给每个单位单独配置一台Interscan VirusWall。4.3.3入侵检测产品从性能和价格上考虑，我们建议在省中心配置一台NIDS产品。由于目前国内的NIDS产品并没有非常出众的选择，建议今后再选择符合要求的产品，并将其并接到中心交换机上。4.3.4其他方面光采用这些具体的安全产品并不能保证网络的安全。正如前面的分析，网络安全是一个全面的概念。所以，我们建议您同时采取以下这些安全措施来保障应用的安全：数据库安全设计数据库的安全展开来说的话实际上是一个非常大的话题，基本上和人防信息系统有关的是包括这几点：l 超级用户的密码一定要设置到足够的安全性l 删除不必要的缺省用户l 尽量使用用户组来管理用户，而不要单独给每个用户设置资源，分配权限l 如果不是非常必要的话，不要打开远程管理l 在自主开发应用系统时，尽量使用存储过程而不要给程序直接执行SQL语句的权限程序安全设计在开发程序的过程中，要特别注意程序的查错工作，防止由于设计上的逻辑错误造成用户的越权访问。同时，一定要注意对于参数的检查，防止留下可供利用的缓冲区溢出漏洞。使用安全设计针对信息的安全性、完整性、正确性和不可否认性等问题，目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书，通过数字证书，把证书持有者的公开密钥（Public Key）与用户的身份信息紧密安全地结合起来，以实现身份确认和不可否认性。签发数字证书的机构即数字证书认证中心（CA，Certification Authority），数字证书认证中心为用户签发数字证书，为用户身份确认提供各种相应的服务。在数字证书中有证书拥有者的甄别名称（DN，Distinguish Name），并且还有其公开密钥，对应于该公开密钥的私有密钥由证书的拥有者持有，这对密钥的作用是用来进行数字签名和验证签名，这样就能够保证通讯双方的真实身份，同时采用数字签名技术还很好地解决了不可否认性的问题。根据机构本身的特点，可以考虑先构建一个本系统内部的CA系统，即所有的证书只能限定在本系统内部使用有效。随着不断发展及需求情况下，可以对CA系统进行扩充与国家级CA系统互联，实现不同企业间的交叉认证。国内目前已经建成了几家CA中心，如果需要的话，建议采用中国电信CA中心（CTCA）作为构建自己可信体系的认证来源。管理安全设计管理是安全的关键，没有管理，所有的安全措施都无法发挥其应有的作用！实际使用中，我们建议注意以下几点：l 每位用户应按照系统管理员提供的用户名和口令，在指定的计算机上登录到网络，享用赋予的网络资源。使用完毕后，及时退出网络。l 用户有权利更改自己的口令，但要注意保密。l 对于关键用户，系统管理员应要求其定期更改口令。l 如果用户忘记自己设置的网络口令，应及时通知系统管理员，以获得帮助。l 为保证网络的安全，免受计算机病毒侵扰，不得使用来路不明、未经授权的计算机软件。l 严格控制计算机软磁盘、光盘的使用，尤其是来路不明的软盘、光盘的使用，并应定期进行病毒检测。l 安装在计算机内的软件为单位的财产，不得随意复制、散发。l 建议在网络上安装计算机防病毒软件，并及时更新或升级，以保持其有效性和实时性。l 在使用计算机时，严禁在未关闭主机和外部设备电源时，拨插各种电缆接头，否则将直接造成主机或外设接口损坏。l 对于安装在计算机上的软件，用户在不熟悉的情况下，不得随意更改设置，以免造成无法正常使用。l 计算机设备应注意防尘、防静电，避免在高温、潮湿、电源不稳等恶劣条件下运行。l 经常性地备份关键数据，培养良好的备份习惯，以应付可能发生的灾难性事件。l 注重对使用人员的培训和管理，以提高其使用技能，避免因误操作造成的故障。5、安全估价l 采用了以上这些安全措施之后，整个江苏人防网络的安全性能将有一个大的提升，主要表现在以下几个方面：l 网络内部如果采用了严格的密码体制，通过非电子渠道泄漏秘密的概率就会减少很多。l 采用了预防措施后，网络出现硬件故障的概率也会减少，这也相应的减少了维护的花费。l 通过采用防火墙，非法用户将很难从外界渗透入网络。l 加入入侵检测设备之后，将有效防止内部的攻击企图。l 网关型防病毒设施能将病毒档在整个网络之外。6、产品介绍下面对系统中需要用到的产品做一个简单介绍。6.1防火墙6.1.1防火墙原理防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的大型网络。它们的原理是监测并过滤所有内部网和外部网之间的信息交换，防火墙保护着内部网络敏感的数据不被偷窃和破坏，并记录内外通讯的有关状态信息日志，如通讯发生的时间和进行的操作等等。将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。6.1.2防火墙类型包过滤防火墙内部网络过滤器(Filter)路由器(Router)Internet这种结构由路由器和Filter共同完成对外界计算机访问内部网络从IP地址或域名上的限制，也可以指定或限制内部网络访问Internet。路由器仅对筛虑主机的特定的PORT上数据通讯加以路由，而Filter主机则执行筛选、过滤、验证及其安全监控，这样可以根据检查数据包头中各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问。通过控制存在于某一网络段的网络流量类型，可以控制存在于某一网络段的服务方式。对不符合网络安全的那些服务做到严格限制。代理网关防火墙内部网络代理网关(Proxy Gateway)Internet这种方式是内部网络与Internet不直接通讯。就是内部网络计算机用户与代理网关采用一种通讯方式即提供内部网络协议(Netbios、TCP/IP 等)。而，网关与Internet之间采取的是标准TCP/IP网络通讯协议。这样使得网络数据包不能直接在内外网络之间进行。内部计算机必须通过代理网关访问Internet，这样容易在代理服务器上对内部网络计算机对访问外界计算机进行限制。另外，由于代理服务器两端采用不同协议标准也可以直接阻止外界非法入侵。还有，代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。这样，能较好地控制管理两端的用户起到防火墙作用。可想而知，这种防火墙措施是采用透过代理服务器进行，在联机用户多时，效率必然受到影响，代理服务器负担很重，并且许多访问Internet的客户软件在内部网络计算机中无法正常访问Internet。新型混合防火墙技术我们网络安全产品设计并实现一种新型防火墙，使它既有包过滤的功能，又能在应用层进行代理。它应该具备以下特点：l 综合包过滤和代理技术，克服二者在安全方面的缺陷l 能从数据链路层一直到应用层施加全方位的控制l 实现TCP/IP协议的微内核，从而在TCP/IP协议层进行各项安全控制l 基于上述微内核，使速度超过传统的包过滤防火墙l 提供透明代理模式，减轻客户端的配置工作l 支持数据加密、解密（DES和RSA），提供对虚拟网VPN的强大支持l 内部信息完全隐藏l 产生一个新的防火墙理论设计与实现的关键技术应用代理提供TCP/IP应用层的服务代理，例如HTTP、FTP、Email等代理。它接收用户的请求，在应用层对用户加以认证，并可由安全控制模块加以控制DES和RSA这部分主要是针对进出防火墙的数据进行加密、解密，并可产生密钥。这是一个可选项，采用DES和RSA两种加密算法。TCPIP协议处理该模块能在TCP/IP协议层进行各项处理。例如：TCP UDP IP和ICMPARP等。利用它，可以避免TCP/IP协议本身的安全隐患，增强网络的安全性。它可以提供比过滤路由器更广泛的检查。RAW Acess to NIC该模块的功能主要是对网卡的直接读写，使我们可以能控制底层协议。它对收到的数据进行MAC层的封装与拆封，并可监听网上数据。安全、日志可以在应用层施加预定的各项安全控制，产生各种日志。配置、报表通过这个模块，可以配置该防火墙系统，制定安全规则，并可产生各种报表。6.2网络入侵检测系统(NIDS)入侵检测系统可以对付黑客的攻击，对系统受到的入侵进行预警。它一般集成了网络监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测，准确地判断上述黑客攻击方式，及时地进行报警或阻断等其它措施。它可以在Internet和Intranet两种环境中运行，以保护企业整个网络的安全。分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测，准确地判断上述黑客攻击方式，及时地进行报警或阻断等其它措施。6.2.1 NIDS需要支持的特性 l 多层的检测机制支持高速交换网络l 采用集中管理的分布式网络安全检测模式l 独立的监控代理技术提供局部响应和报警选项l 标准的中文图形界面易于使用和配置l 高效的模式匹配算法l 采用趋势分析进行网络异常情况的检测l 广泛的特征攻击数据库和异态与误用检测l 全面支持TCP/IP协议l 采用透明工作方式，对网络通讯不附加任何时延6.2.2 NIDS的主要功能l 灵活策略设置：提供多种策略配置，使用简单直观l 信息收集分析：快速信息收集方式，及时分析网络上异常行为l 实时检测：实时侦测对网络的非法侵袭l 攻击手段判断：通过入侵行为分析，判断出黑客的攻击方法l 多种报警机制：提供多种报警方式，包括图形、声音、发送Email以及离线报警l 全新离线报警：将报警信息通过E-mail发送到管理员的移动接收工具上，即使管理员离开控制器也能对入侵快速、灵活应对l 自动记录攻击事件：详尽的日志记录，用来进行事后分析，以作为起诉计算机犯罪的证据l 嵌入式报告功能：多种查询设置，为管理员提供详细的网络事件分析及报告，可以生成各种直方图、圆饼图，报表美观、大方、清晰直观，操作简单 6.2.3 NIDS可防范的攻击类型l DNS服务漏洞攻击名单l 邮件漏洞攻击名单l FTP服务漏洞攻击名单l Finger服务漏洞攻击名单l Linux系统漏洞攻击名单l NFS服务漏洞攻击名单l 口令攻击名单l 协议漏洞攻击名单l 路由/交换漏洞攻击名单l RPC服务漏洞攻击名单l 扫描攻击名单l 监听攻击名单l 木马攻击名单l Unix系统攻击名单l Web攻击名单l Windows系统漏洞攻击名单6.3InterScan VirusWall 互联网病毒防火墙 6.3.1整合性网际安全保护InterScan VirusWall 提供网络入门网关高效能的三合一防护功能；防止电脑病毒以及恶性程序的入侵。可选择搭配eManager电子邮件安全管理模组，提供垃圾邮件以及邮件内容过滤的功能，同时还可控制邮件收发的时机。6.3.2直接在网络网关口保护信息安全SMTP 防护功能帮您过滤进出邮件服务器的电子邮件附件是否挟带病毒。 HTTP 防护功能阻止有毒的文件下载到您的网络，同时让您统一设定Java 与Authenticode 的系统安全等级。帮您的用户阻绝恶性的Java 与 ActiveX 程序。 FTP 防护功能自动防止带毒的文件被下载。6.3.3趋势科技专利的扫描引擎InterScan VirusWall 采用趋势科技多工绪 (multi-threaded) 执行的32位元扫描引擎来检测成千上万的病毒，百分之百检测 Joe Wells Wild List 所列出在外流行的电脑病毒。此外InterScan 还可检测到一些未知的病毒，同时还支持16种以上的压缩编码格式，而且可扫描多达20层的重复压缩文件。6.3.4自动更新病毒代码病毒代码的更新，可在趋势的网站取得，不过，InterScan VirusWall可以定期预约到趋势网站自动更新，不必用户手动更新。此外，必要时候，趋势科技还会提供紧急的病毒代码更新服务。6.3.5完整而容易管理的活动纪录档InterScan VirusWall 随时有完整的活动纪录档，详细记载每一只拦截到的病毒以及每一件可疑的入侵事件：包括档案来源、名称、收件人、收到日期、病毒名称、以及所采取的处理行动。让管理员很容易找出问题的来源，采取适当的反应。6.3.6弹性的设定与通过Internet 来管理的方式InterScan VirusWall 在检测到病毒或入侵活动时，可以采取下列任何一项或多项的措施：l 警示系统管理人员l 隔离中毒文件，等待后续的清除或处理l 删除中毒文件l 在严格的管制条件下，允许用户下载该文件InterScan VirusWall 包含 Windows 介面以及通过 ISAPI/CGI 网页浏览器的设定介面，提供最佳的管理弹性。7、售后服务南大苏富特公司能够提供及时的技术服务。用户可以通过电话、电子邮件、或传真与我公司的技术工程师联系。所有电话、电子邮件、和传真将被书面记录并跟踪直至故障或技术问题得以解决。确保设备和软件的故障能够及时解决。同时，用户技术工程师也可经常与南大苏富特公司联系技术交流和培训事宜。7.1南大苏富特公司技术支持售后服务与技术支持，是网络安全建设的重要方面，是安全系统投入正常运营的重要保证，也是考查安全产品供应商实力的重要标志。南大苏富特公司充分理解用户单位对网络安全的技术支持不同方面的需求。这也是南大苏富特公司在其广泛的技术支持之中进行专门设计以满足用户工程实施和技术支持上的客户化需求。南大苏富特公司技术支持概念是超过传统的技术支持方式而为用户提供一种全方位的技术支持，以确保用户的数据安全系统在整个生命周期内所有的技术问题均可以得到南大苏富特公司的帮助和支持。对于工程技术计划、工程设计、施工、维护、优化等，南大苏富特公司可以根据用户的需求而提供一整套的技术服务。工程技术计划和工程设计可以从用户采购网络安全产品时开始。南大苏富特公司可以提供专家、项目经理和工程师帮助用户设计出即符合用户目前的网络现状、又符合用户业务发展计划的网络安全技术方案。 当用户准备实施新的或增加新的网络设备从而面临新的安全需求时，南大苏富特公司可以帮助用户完成整个网络安全工程的实施，从设备供货直至整个网络安全系统割接开通。网络安全工程实施计划提供了一种复杂网络安全工程安装方案。用户采用南大苏富特公司的工程管理支持，用户化咨询服务，以确保整个网络安全系统工程实施从开始到结束的一致性。 维护支持是南大苏富特公司技术服务和技术支持的强项之一。南大苏富特公司热线支持体系可以为用户提供一种高效的故障数据处理、模块诊断、以及现场支持、维护等措施，确保用户的信息安全系统以最快的速度恢复正常运行状态。如果客户单位认为有必要，用户的具体工作人员可以直接向南大苏富特公司支援中心联系，则会及时得到专家级的技术支持，而且这种技术支持直至问题得以解决。基于南大苏富特公司的技术支持计划，用户可以选择标准的硬件更换服务，或通过南大苏富特公司将各种需要的技术支持融合成一个适应于用户目前具体情况的、客户化的技术支持计划。不论采用何种方式，南大苏富特公司将全力支持用户以确保用户的数据通信网一直处于正常运行状态。南大苏富特公司都将保证用户的信息安全系统一直保持良好的运行性能。随时提供软件升级将保证整个网络系统随着时间推移而变得越来越先进、运行性能越来越佳。7.2南大苏富特公司技术支持保证南大苏富特公司有多名安全技术资深的技术支持工程师响应24小时*7用户的技术咨询、故障诊断、故障排除，以及现场支持等。用户遇到问题或故障可以随时以电话或传真与南大苏富特公司取得联系。南大苏富特公司将对接到的用户技术请求或故障报告作书面记录，并派专人进行跟踪和处理，以确保网络故障以最快的速度得到恢复。7.3南大苏富特公司技术支持联系方式7*24小时热线电话线传真公司简介以上我们对xx信息系统给出了一个叫全面的安全设计方案，下面对给出此方案的南大苏富特公司作一番简介。8.1公司情况概要江苏南大苏富特软件股份有限公司是在江苏省人民政府的支持下，由南京大学等多家单位共同发起成立的，注册资金9340万元，银行信用等级为AAA级，主要从事政府、教育、金融、邮电、企业等行业信息化建设，是江苏省最大的专业化计算机软件开发、销售和系统集成公司。南大苏富特公司业已于2001年4月在香港创业板正式挂牌上市（股票代码：8045）。南大苏富特公司是江苏省“十五规划”中八个重点示范工程的承接单位之一，是参与该工程信息安全与互联网增值软件领域的唯一IT企业。南大苏富特公司被认定为省级及市级高新技术企业。本公司自主研制全套网络安全产品，是网络安全全面解决产品及方案的提供商，并且是Cisco、Lucent、IBM、Intel、Nortel等多家国际大公司的授权经销商。拥有大量的高级工程师和丰富的研发经验。8.2宗旨和目标南大苏富特公司以计算机高新技术为依托，按照国际惯例和科学规范运作，推动公司的全面发展，为我国信息化建设做出贡献，振兴和发展中国计算机软件产业，促进软件的开发及其产业化，加速建成软件开发与应用基地；创出“南大苏富特”的品牌，成为具有国际影响力的企业集团。8.3业务方向南大苏富特公司从事计算机软件研究和开发，同时承担大型系统集成项目。软件产品以安全系统软件、因特网增值服务软件为主，拥有自主版权、技术领先的“苏富特”系列网络安全产品