网络安全解决方案培训资料

1、天创半导体公司内部网络安全解决方案JISHUBU网络安全重点图书信利半导体公司内网安全解决方案权威安全指导目录TOC o 1-3 h z u HYPERLINK l _Toc465850078 天创半导导体公司司内部网网络安全全解决方方案 PAGEREF _Toc465850078 h 1 HYPERLINK l _Toc465850079 第一章引引言 PAGEREF _Toc465850079 h 2 HYPERLINK l _Toc465850080 第二章网网络信息息安全概概况 PAGEREF _Toc465850080 h 2 HYPERLINK l _Toc465850081 (1

2、）网网络安全全 PAGEREF _Toc465850081 h 2 HYPERLINK l _Toc465850082 (2）网网络安全全的威胁胁来自哪哪些方面面？ PAGEREF _Toc465850082 h 3 HYPERLINK l _Toc465850083 (3）不不安全造造成的危危害有多多大？ PAGEREF _Toc465850083 h 33 HYPERLINK l _Toc465850084 (4）系系统的安安全应具具备那些些功能？ PAGEREF _Toc465850084 h 4 HYPERLINK l _Toc465850085 (5）防防火墙系系统的安安全设置置问题

3、 PAGEREF _Toc465850085 h 55 HYPERLINK l _Toc465850086 （6）安安全隐患患 PAGEREF _Toc465850086 h 5 HYPERLINK l _Toc465850087 第三章网网络安全全方案总总体设计计 PAGEREF _Toc465850087 h 6 HYPERLINK l _Toc465850088 （1）安安全方案案设计原原则 PAGEREF _Toc465850088 h 6 HYPERLINK l _Toc465850089 （2）安安全服务务、机制制与技术术 PAGEREF _Toc465850089 h 7 HYP

4、ERLINK l _Toc465850090 （3）网网络安全全体系结结构 PAGEREF _Toc465850090 h 7 HYPERLINK l _Toc465850091 第四章天天创半导导体公司司安全需需求 PAGEREF _Toc465850091 h 133 HYPERLINK l _Toc465850092 (1）当当前网络络现状分分析 PAGEREF _Toc465850092 h 133 HYPERLINK l _Toc465850093 (2)客客户需求求 PAGEREF _Toc465850093 h 13 HYPERLINK l _Toc465850094 （3）实实

5、施目标标 PAGEREF _Toc465850094 h 14 HYPERLINK l _Toc465850095 第五章产产品综述述 PAGEREF _Toc465850095 h 14 HYPERLINK l _Toc465850096 (1）安安氏LiinkTTrusstTMM CyyberrWalll防火火墙 PAGEREF _Toc465850096 h 144 HYPERLINK l _Toc465850097 (2）eeTruust入入侵检测测系统 PAGEREF _Toc465850097 h 115 HYPERLINK l _Toc465850098 （3）KKSG邮邮件过滤

6、滤网关 PAGEREF _Toc465850098 h 118 HYPERLINK l _Toc465850099 第六章实实施方案案 PAGEREF _Toc465850099 h 24 HYPERLINK l _Toc465850100 （1）优优化方案案 PAGEREF _Toc465850100 h 24 HYPERLINK l _Toc465850101 （2）设设备安装装 PAGEREF _Toc465850101 h 26 HYPERLINK l _Toc465850102 （3）规规则配置置 PAGEREF _Toc465850102 h 27 HYPERLINK l _Toc

7、465850103 （4）网网络安全全管理员员培训 PAGEREF _Toc465850103 h 227 HYPERLINK l _Toc465850104 （5）网网络安全全审核 PAGEREF _Toc465850104 h 227 HYPERLINK l _Toc465850105 第七章产产品类别别、报价价与售后后服务 PAGEREF _Toc465850105 h 227 HYPERLINK l _Toc465850106 （1）产产品类别别 PAGEREF _Toc465850106 h 27天创半导导体公司司内部网网络安全全解决方方案目录：第一章 引言二十一世世纪是信信息化世世

8、纪，随随着Innterrnett的迅猛猛发展,信息共共享的程程度进一一步提高高,数字字信息越越来越深深入的影影响着社社会生活活的各个个方面，而而网络上上的信息息安全问问题也日日益突出出。目前前政府部部门、金金融部门门、医疗疗、企事事业单位位和个人人都日益益重视这这一重要要问题。大、中中型企业业如何保保护信息息安全和和网络安安全，最最大限度度的减少少或避免免因信息息泄密、破坏等等安全问问题所造造成的经经济损失失及对企企业形象象的影响响，是摆摆在我们们面前亟亟需妥善善解决的的一项具具有重大大战略意意义的课课题。网络的飞飞速发展展推动社社会的发发展，大大批用户户借助网网络极大大地提高高了工作作效率，

9、创创造了一一些全新新的工作作方式，尤尤其是因因特网的的出现更更给用户户带来了了巨大的的方便。但另一一方面，网网络，特特别是因因特网存存在着极极大的安安全隐患患。近年年来，因因特网上上的安全全事故屡屡有发生生。连入入因特网网的用户户面临诸诸多的安安全风险险：拒绝绝服务、信息泄泄密、信信息篡改改、资源源盗用、声誉损损害等等等。类似似的风险险也存在在于其它它的互联联网络中中。这些些安全风风险的存存在阻碍碍了计算算机网络络的应用用与发展展。在网网络化、信息化化的进程程不可逆逆转的形形势下，建建立安全全可靠的的网络信信息系统统是一种种必然选选择。一个系统统的安全全性可从从三个层层次考虑虑：第一层是是存放

10、数数据资源源的服务务器组；第二层是是传输数数据的网网络；第三层是是需要访访问数据据的客户户机。对于一个个与互联联网相连连的网络络，首先先要防止止来自外外部的恶恶意攻击击，同时时还要保保证系统统内部所所有计算算机的不不受病毒毒侵扰，能能够数据据系统正正常应用用。第二章 网络信信息安全全概况(1）网网络安全全计算机安安全事业业始于本本世纪660年代代末期，由于当当时计算算机的速速度和性性能较落落后，使使用的范范围也不不广，再再加上美美国政府府把它当当作敏感感问题而而施加控控制，因因此，有有关计算算机安全全的研究究一直局局限在比比较小的的范围内内。进入入80年年代后，计计算机的的性能得得到了成成百上

11、千千倍的提提高，应应用的范范围也在在不断扩扩大，计计算机已已遍及世世界各个个角落。并且，人人们利用用通信网网络把孤孤立的单单机系统统连接起起来，相相互通信信和共享享资源。但是，随随之而来来并日益益严峻的的问题就就是计算算机信息息的安全全问题。由于计算算机信息息有共享享和易于于扩散等等特性，它它在处理理、存储储、传输输和使用用上有着着严重的的脆弱性性，很容容易被干干扰、滥滥用、遗遗漏和丢丢失，甚甚至被泄泄露、窃窃取、篡篡改、冒冒充和破破坏，还还有可能能受到计计算机病病毒的感感染。计算机安安全的内内容应包包括两方方面：即即物理安安全和逻逻辑安全全。物理理安全指指系统设设备及相相关设施施受到物物理保

12、护护，免于于破坏、丢失等等。逻辑辑安全包包括信息息完整性性、保密密性和可可用性。一个系系统存在在的安全全问题可可能主要要来源于于两方面面：或者者是安全全控制机机构有故故障；或或者是系系统安全全定义有有缺陷。(2）网网络安全全的威胁胁来自哪哪些方面面？由于大型型网络系系统内运运行多种种网络协协议（TTCP/IP, IPPX/SSPX, NEETBEEUI），而而这些网网络协议议并非专专为安全全通讯而而设计。所以，网网络系统统网络可可能存在在的安全全威胁来来自以下下方面：操作系统统的安全全性。目目前流行行的许多多操作系系统均存存在网络络安全漏漏洞，如如UNIIX服务务器，NNT服务务器及WWind

13、dowss桌面PPC。防火墙的的安全性性。防火火墙产品品自身是是否安全全，是否否设置错错误，需需要经过过检验。来自内部部网用户户的安全全威胁。缺乏有有效的手手段监视视、评估估网络系系统的安安全性。采用的TTCP/IP协协议族软软件，本本身缺乏乏安全性性。未能能对来自自Intternnet的的电子邮邮件挟带带的病毒毒及Weeb浏览览可能存存在的恶恶意Jaava/ActtiveeX控件件进行有有效控制制。应用服务务的安全全，许多多应用服服务系统统在访问问控制及及安全通通讯方面面考虑较较少，并并且，如如果系统统设置错错误，很很容易造造成损失失。(3）不不安全造造成的危危害有多多大？根据美国国FBII

14、的调查查，美国国每年因因为网络络安全造造成的经经济损失失超过11,700亿美元元。755%的公公司报告告财政损损失是由由于计算算机系统统的安全全问题造造成的。超过550%的的安全威威胁来自自内部；只有117%的的公司愿愿意报告告黑客入入侵，其其他的由由于担心心负面影影响而未未声张。59%的损失失可以定定量估算算。平均均每个组组织损失失USDD$4002,0000。 入侵的来来源：首首先是内内部心怀怀不满的的员工；其次为为黑客；另外还还有竞争争者。无无论是有有意的攻攻击，还还是无意意的误操操作，都都将会给给系统带带来不可可估量的的损失。攻击者者可以窃窃听网络络上的信信息，窃窃取用户户的口令令、应

15、用用数据库库中的重要数数据；还还可以篡篡改数据据库内容容，伪造造用户身身份，信信任自己己的签名名。更有有甚者，攻攻击者可可以删除除数据库库内容，摧摧毁网络络节点，释释放计算算机病毒毒等等。黑客的威威胁见诸诸报道的的已经屡屡见不鲜鲜，象贵贵州省城城热线、成都艺艺术节主主页等都都报道有有黑客入入侵，他他们在主主页上发发布反动动口号，或或将主页页修改成成黄色画画面。受受到此类类攻击对对于政府府部门，大大型企业业而言影影响是尤尤为恶劣劣的。前前段时间间美国微微软公司司遭黑客客攻击事事件就是是由于它它的内外外网隔离离存在漏漏洞，使使得黑客客成功窃窃取它的的软件源源代码等等机密资资料，严严重威胁胁到企业业

16、的声誉誉。这样样的例子子举不胜胜举，网网络安全全建设已已经迫在在眉睫了了。(4）系系统的安安全应具具备那些些功能？与其它安安全体系系（如保保安系统统）类似似，网络络应用系系统的安安全体系系应包含含：访问控制制通过对特特定网段段、服务务建立的的访问控控制体系系，将绝绝大多数数攻击阻阻止在到到达攻击击目标之之前。检查安全全漏洞通过对安安全漏洞洞的周期期检查，即即使攻击击可到达达攻击目目标，也也可使绝绝大多数数攻击无无效。攻击监控控通过对特特定网段段、服务务建立的的攻击监监控体系系，可实实时检测测出绝大大多数攻攻击，并并采取相相应的行行动（如如断开网网络连接接、记录录攻击过过程、跟跟踪攻击击源等）。

17、加密通讯讯主动的加加密通讯讯，可使使攻击者者不能了了解、修修改敏感感信息。认证良好的认认证体系系可防止止攻击者者假冒合合法用户户。备份和恢恢复良好的备备份和恢恢复机制制，可在在攻击造造成损失失时，尽尽快地恢恢复数据据和系统统服务。多层防御御攻击者在在突破第第一道防防线后，延延缓或阻阻断其到到达攻击击目标。隐藏内部部信息使攻击者者不能了了解系统统内的基基本情况况。(5）防防火墙系系统的安安全设置置问题近年来大大家如果果提到网网络信息息安全，可可能最为为熟识的的可能就就是防火火墙系统统。它不不失为一一种在内内部网和和外部网网之间实实施的信信息安全全防范系系统，这这种计算算机网络络互联环环境下的的访

18、问控控制技术术，通过过监测、限制、更改跨跨越防火火墙的数数据流，可可以有效效地对外外屏蔽被被保护网网络的信信息，从从而对系系统结构构及其良良性运行行等实现现安全防防护。因因此，许许多管理理员认为为，计算算机网络络装上防防火墙，就就可以“高枕无无忧”、“万事大大吉 ”了。其其实，这这是一种种片面的的错误认认识和十十分令人人担心的的危险想想法。因因为防火火墙并不不是万能能的，它它的技术术不可能能一劳永永逸和真真正达到到“万无一一失”，它的的“权力 ”是有限限的，在在计算机机网络上上，它也也有“管不着着”、“管不了了”的地方方，或者者说也有有许多“难言之之隐”。A防内不不防外。现在在市市面上比比较流

19、行行的防火火墙大都都是边界界防火墙墙，它们们在网络络的边界界上进行行外部网网络和内内部网络络的划分分，并进进行一定定程度的的安全防防范。而而这些防防火墙一一般只对对来自外外部网络络进行防防范。如如果入侵侵者绕过过了防火火墙或内内部攻击击者将能能在内部部网络畅畅行无阻阻，肆意意攻击。B不能防防止数据据驱动式式攻击防火墙不不能防止止数据驱驱动式的的攻击。当有些些表面看看起来无无害的数数据通过过邮寄或或拷贝到到内部网网的主机机上并被被执行时时，就会会发生数数据驱动动式的攻攻击。C不能防防止非法法通道的的出现防火墙不不能防止止非法通通道的出出现，如如果在内内部网络络有人使使用猫或或其他设设备通过过其他

20、的的方法接接入互联联网，那那么防火火墙将不不能防止止此类问问题的出出现。D不能防防止DDD.o.S攻击击防火墙本本身就是是一种网网络设备备，当超超大流量量的数据据通过它它的时候候，它同同样有可可能来不不及处理理各种数数据而造造成拒绝绝服务攻攻击。而而且安全全策略越越多，造造成拒绝绝服务的的可能性性就越大大。E防火墙墙自身漏漏洞防火墙同同样是一一种运行行在硬件件上的软软件产品品（不管管是硬件件防火墙墙还是软软件防火火墙），而而软件就就一定不不可避免免的出现现一些问问题，也也会带来来安全问问题。世世界上最最出名的的各种防防火墙本本身都出出现过安安全问题题。（6）安安全隐患患对于计算算数据而而言存在

21、在众多的的隐患，如如病毒的的破坏，计计算机存存储设备备损坏造造成的数数据丢失失，人为为操作造造成的误误删除，外外来及内内部人员员的攻击击等；给给企业数数据信息息安全造造成了重重大的威威胁。第三章 网络安安全方案案总体设设计（1）安安全方案案设计原原则在对这个个企业局局域网网网络系统统安全方方案设计计、规划划时，应应遵循以以下原则则：综合性、整体性性原则：应用系系统工程程的观点点、方法法，分析析网络的的安全及及具体措措施。安安全措施施主要包包括：行行政法律律手段、各种管管理制度度（人员员审查、工作流流程、维维护保障障制度等等）以及及专业措措施（识识别技术术、存取取控制、密码、低辐射射、容错错、防

22、病病毒、采采用高安安全产品品等）。一个较较好的安安全措施施往往是是多种方方法适当当综合的的应用结结果。一一个计算算机网络络，包括括个人、设备、软件、数据等等。这些些环节在在网络中中的地位位和影响响作用，也也只有从从系统综综合整体体的角度度去看待待、分析析，才能能取得有有效、可可行的措措施。即即计算机机网络安安全应遵遵循整体体安全性性原则，根根据规定定的安全全策略制制定出合合理的网网络安全全体系结结构。需求、风风险、代代价平衡衡的原则则：对任任一网络络，绝对对安全难难以达到到，也不不一定是是必要的的。对一一个网络络进行实实际额研研究（包包括任务务、性能能、结构构、可靠靠性、可可维护性性等），并并

23、对网络络面临的的威胁及及可能承承担的风风险进行行定性与与定量相相结合的的分析，然然后制定定规范和和措施，确确定本系系统的安安全策略略。一致性原原则：一一致性原原则主要要是指网网络安全全问题应应与整个个网络的的工作周周期（或或生命周周期）同同时存在在，制定定的安全全体系结结构必须须与网络络的安全全需求相相一致。安全的的网络系系统设计计（包括括初步或或详细设设计）及及实施计计划、网网络验证证、验收收、运行行等，都都要有安安全的内内容光焕焕发及措措施，实实际上，在在网络建建设的开开始就考考虑网络络安全对对策，比比在网络络建设好好后再考考虑安全全措施，不不但容易易，且花花费也小小得多。易操作性性原则：

24、安全措措施需要要人为去去完成，如如果措施施过于复复杂，对对人的要要求过高高，本身身就降低低了安全全性。其其次，措措施的采采用不能能影响系系统的正正常运行行。分步实施施原则：由于网网络系统统及其应应用扩展展范围广广阔，随随着网络络规模的的扩大及及应用的的增加，网网络脆弱弱性也会会不断增增加。一一劳永逸逸地解决决网络安安全问题题是不现现实的。同时由由于实施施信息安安全措施施需相当当的费用用支出。因此分分步实施施，即可可满足网网络系统统及信息息安全的的基本需需求，亦亦可节省省费用开开支。多重保护护原则：任何安安全措施施都不是是绝对安安全的，都都可能被被攻破。但是建建立一个个多重保保护系统统，各层层保

25、护相相互补充充，当一一层保护护被攻破破时，其其它层保保护仍可可保护信信息的安安全。可评价性性原则：如何预预先评价价一个安安全设计计并验证证其网络络的安全全性，这这需要通通过国家家有关网网络信息息安全测测评认证证机构的的评估来来实现。（2）安安全服务务、机制制与技术术安全服务务：安全全服务主主要有：控制服服务、对对象认证证服务、可靠性性服务等等；安全机制制：访问问控制机机制、认认证机制制等；安全技术术：防火火墙技术术、鉴别别技术、审计监监控技术术、病毒毒防治技技术等；在安全全的开放放环境中中，用户户可以使使用各种种安全应应用。安安全应用用由一些些安全服服务来实实现；而而安全服服务又是是由各种种安

26、全机机制或安安全技术术来实现现的。应应当指出出，同一一安全机机制有时时也可以以用于实实现不同同的安全全服务。（3）网网络安全全体系结结构通过对网网络的全全面了解解，按照照安全策策略的要要求、风风险分析析的结果果及整个个网络的的安全目目标，整整个网络络措施应应按系统统体系建建立。具具体的安安全控制制系统由由以下几几个方面面组成：物理安安全、网网络安全全、系统统安全、信息安安全、应应用安全全和安全全管理物理安全全保证计算算机信息息系统各各种设备备的物理理安全是是整个计计算机信信息系统统安全的的前提，物物理安全全是保护护计算机机网络设设备、设设施以及及其它媒媒体免遭遭地震、水灾、火灾等等环境事事故以

27、及及人为操操作失误误或错误误及各种种计算机机犯罪行行为导致致的破坏坏过程。它主要要包括三三个方面面：环境安全全对系统所所在环境境的安全全保护，如如区域保保护和灾灾难保护护；（参参见国家家标准GGB5001733933电子子计算机机机房设设计规范范、国国标GBB28887889计计算站场场地技术术条件、GB993611888计算算站场地地安全要要求设备安全全主要包括括设备的的防盗、防毁、防电磁磁信息辐辐射泄漏漏、防止止线路截截获、抗抗电磁干干扰及电电源保护护等；媒体安全全包括媒体体数据的的安全及及媒体本本身的安安全。在网络的的安全方方面，主主要考虑虑两个大大的层次次，一是是整个网网络结构构成熟化

28、化，主要要是优化化网络结结构，二二是整个个网络系系统的安安全。网络结构构安全系统统是建立立在网络络系统之之上的，网网络结构构的安全全是安全全系统成成功建立立的基础础。在整整个网络络结构的的安全方方面，主主要考虑虑网络结结构、系系统和路路由的优优化。网络结构构的建立立要考虑虑环境、设备配配置与应应用情况况、远程程联网方方式、通通信量的的估算、网络维维护管理理、网络络应用与与业务定定位等因因素。成成熟的网网络结构构应具有有开放性性、标准准化、可可靠性、先进性性和实用用性，并并且应该该有结构构化的设设计，充充分利用用现有资资源，具具有运营营管理的的简便性性，完善善的安全全保障体体系。网网络结构构采用

29、分分层的体体系结构构，利于于维护管管理，利利于更高高的安全全控制和和业务发发展。网网络结构构的优化化，在网网络拓扑扑上主要要考虑到到冗余链链路；防防火墙的的设置和和入侵检检测的实实时监控控等。网络系统统安全访问控制制及内外外网的隔隔离访问控制制访问控制制可以通通过如下下几个方方面来实实现：制制订严格格的管理理制度:可制定定的相应应：用用户授权权实施细细则、口令令字及帐帐户管理理规范、权限限管理制制度。配备相应应的安全全设备在内部网网与外部部网之间间，设置置防火墙墙实现内内外网的的隔离与与访问控控制是保保护内部部网安全全的最主主要、同同时也是是最有效效、最经经济的措措施之一一。防火火墙设置置在不

30、同同网络或或网络安安全域之之间信息息的唯一一出入口口。防火墙主主要的种种类是包包过滤型型，包过过滤防火火墙一般般利用IIP和TTCP包包的头信信息对进进出被保保护网络络的IPP包信息息进行过过滤，能能根据企企业的安安全政策策来控制制（允许许、拒绝绝、监测测）出入入网络的的信息流流。同时时可实现现网络地地址转换换（NAAT）、审记与与实时告告警等功功能。由由于这种种防火墙墙安装在在被保护护网络与与路由器器之间的的通道上上，因此此也对被被保护网网络和外外部网络络起到隔隔离作用用。防火墙具具有以下下五大基基本功能能：过滤滤进、出出网络的的数据；管理进进、出网网络的访访问行为为；封堵堵某些禁禁止的业业

31、务；记记录通过过防火墙墙的信息息内容和和活动；对网络络攻击的的检测和和告警。内部网不不同网络络安全域域的隔离离及访问问控制在这里，主主要利用用VLAAN技术术来实现现对内部部子网的的物理隔隔离。通通过在交交换机上上划分VVLANN可以将将整个网网络划分分为几个个不同的的广播域域，实现现内部一一个网段段与另一一个网段段的物理理隔离。这样，就就能防止止影响一一个网段段的问题题穿过整整个网络络传播。针对某某些网络络，在某某些情况况下，它它的一些些局域网网的某个个网段比比另一个个网段更更受信任任，或者者某个网网段比另另一个更更敏感。通过将将信任网网段与不不信任网网段划分分在不同同的VLLAN段段内，就

32、就可以限限制局部部网络安安全问题题对全局局网络造造成的影影响。网络安全全检测网络系统统的安全全性取决决于网络络系统中中最薄弱弱的环节节。如何何及时发发现网络络系统中中最薄弱弱的环节节？如何何最大限限度地保保证网络络系统的的安全？最有效效的方法法是定期期对网络络系统进进行安全全性分析析，及时时发现并并修正存存在的弱弱点和漏漏洞。网络安全全检测工工具通常常是一个个网络安安全性评评估分析析软件，其其功能是是用实践践性的方方法扫描描分析网网络系统统，检查查报告系系统存在在的弱点点和漏洞洞，建议议补救措措施和安安全策略略，达到到增强网网络安全全性的目目的。检检测工具具应具备备以下功功能：具具备网络络监控

33、、分析和和自动响响应功能能找出经经常发生生问题的的根源所所在；建建立必要要的循环环过程确确保隐患患时刻被被纠正；控制各各种网络络安全危危险。漏洞分析析和响应应配置分析析和响应应漏洞形势势分析和和响应认证和趋趋势分析析具体体现现在以下下方面：防火墙得得到合理理配置内外WEEB站点点的安全全漏洞减减为最低低网络体系系达到强强壮的耐耐攻击性性各种服务务器操作作系统，如如E_MMIALL服务器器、WEEB服务务器、应应用服务务器、，将将受黑客客攻击的的可能降降为最低低对网络访访问做出出有效响响应，保保护重要要应用系系统（如如财务系系统）数数据安全全不受黑黑客攻击击和内部部人员误误操作的的侵害审计与监监

34、控审计是记记录用户户使用计计算机网网络系统统进行所所有活动动的过程程，它是是提高安安全性的的重要工工具。它它不仅能能够识别别谁访问问了系统统，还能能看出系系统正被被怎样地地使用。对于确确定是否否有网络络攻击的的情况，审审计信息息对于去去定问题题和攻击击源很重重要。同同时，系系统事件件的记录录能够更更迅速和和系统地地识别问问题，并并且它是是后面阶阶段事故故处理的的重要依依据。另另外，通通过对安安全事件件的不断断收集与与积累并并且加以以分析，有有选择性性地对其其中的某某些站点点或用户户进行审审计跟踪踪，以便便对发现现或可能能产生的的破坏性性行为提提供有力力的证据据。因此，除除使用一一般的网网管软件

35、件和系统统监控管管理系统统外，还还应使用用目前较较为成熟熟的网络络监控设设备或实实时入侵侵检测设设备，以以便对进进出各级级局域网网的常见见操作进进行实时时检查、监控、报警和和阻断，从从而防止止针对网网络的攻攻击与犯犯罪行为为。网络防病病毒由于在网网络环境境下，计计算机病病毒有不不可估量量的威胁胁性和破破坏力，一一次计算算机病毒毒的防范范是网络络安全性性建设中中重要的的一环。网络反病病毒技术术包括预预防病毒毒、检测测病毒和和消毒三三种技术术：A预防病病毒技术术：它通通过自身身常驻系系统内存存，优先先获得系系统的控控制权，监监视和判判断系统统中是否否有病毒毒存在，进进而阻止止计算机机病毒进进入计算

36、算机系统统和对系系统进行行破坏。这类技技术有，加加密可执执行程序序、引导导区保护护、系统统监控与与读写控控制（如如防病毒毒软件等等）。B检测病病毒技术术：它是是通过对对计算机机病毒的的特征来来进行判判断的技技术，如如自身校校验、关关键字、文件长长度的变变化等。C清除病病毒技术术：它通通过对计计算机病病毒的分分析，开开发出具具有删除除病毒程程序并恢恢复原文文件的软软件。网络反病病毒技术术的具体体实现方方法包括括对网络络服务器器中的文文件进行行频繁地地扫描和和监测；在工作作站上用用防病毒毒芯片和和对网络络目录及及文件设设置访问问权限等等。所选的防防毒软件件应该构构造全网网统一的的防病毒毒体系。主要

37、面面向MAAIL、Webb服务器器，以及及办公网网段的PPC服务务器和PPC机等等。支持持对网络络、服务务器、和和工作站站的实时时病毒监监控；能能够在中中心控制制台向多多个目标标分发新新版杀毒毒软件，并并监视多多个目标标的病毒毒防治情情况；支支持多种种平台的的病毒防防范；能能够识别别广泛的的已知和和未知病病毒，包包括宏病病毒；支支持对IInteerneet/IIntrraneet服务务器的病病毒防治治，能够够阻止恶恶意的JJavaa或AcctivveX小小程序的的破坏；支持对对电子邮邮件附件件的病毒毒防治，包包括WOORD、EXCCEL中中的宏病病毒；支支持对压压缩文件件的病毒毒检测；支持广广

38、泛的病病毒处理理选项，如如对染毒毒文件进进行实时时杀毒，移移出，重重新命名名等；支支持病毒毒隔离，当当客户机机试图上上载一个个染毒文文件时，服服务器可可自动关关闭对该该工作站站的连接接；提供供对病毒毒特征信信息和检检测引擎擎的定期期在线更更新服务务；支持持日志记记录功能能；支持持多种方方式的告告警功能能（声音音、图像像、电子子邮件等等）等。网络备份份系统备份系统统为一个个目的而而存在：尽可能能快地全全盘恢复复运行计计算机系系统所需需的数据据和系统统信息。根据系系统安全全需求可可选择的的备份机机制有：场点内内高速度度、大容容量自动动的数据据存储、备份与与恢复；场点外外的数据据存储、备份与与恢复；

39、对系统统设备的的备份。备份不不仅在网网络系统统硬件故故障或人人为失误误时起到到保护作作用，也也在入侵侵者非授授权访问问或对网网络攻击击及破坏坏数据完完整性时时起到保保护作用用，同时时亦是系系统灾难难恢复的的前提之之一。在确定备备份的指指导思想想和备份份方案之之后，就就要选择择安全的的存储媒媒介和技技术进行行数据备备份，有有“冷备份份”和“热备份份”两种。热备份份是指“在线”的备份份，即下下载备份份的数据据还在整整个计算算机系统统和网络络中，只只不过传传到令一一个非工工作的分分区或是是另一个个非实时时处理的的业务系系统中存存放。“冷备份份”是指“不在线线”的备份份，下载载的备份份存放到到安全的的

40、存储媒媒介中，而而这种存存储媒介介与正在在运行的的整个计计算机系系统和网网络没有有直接联联系，在在系统恢恢复时重重新安装装，有一一部分原原始的数数据长期期保存并并作为查查询使用用。热备备份的优优点是投投资大，但但调用快快，使用用方便，在在系统恢恢复中需需要反复复调试时时更显优优势。热热备份的的具体做做法是：可以在在主机系系统开辟辟一块非非工作运运行空间间，专门门存放备备份数据据，即分分区备份份；另一一种方法法是，将将数据备备份到另另一个子子系统中中，通过过主机系系统与子子系统之之间的传传输，同同样具有有速度快快和调用用方便的的特点，但但投资比比较昂贵贵。冷备备份弥补补了热备备份的一一些不足足，

41、二者者优势互互补，相相辅相成成，因为为冷备份份在回避避风险中中还具有有便于保保管的特特殊优点点。系统安全全系统的安安全主要要是指操操作系统统、应用用系统的的安全性性以及网网络硬件件平台的的可靠性性。对于于操作系系统的安安全防范范可以采采取如下下策略：对操作系系统进行行安全配配置，提提高系统统的安全全性；系系统内部部调用不不对Innterrnett公开；关键性性信息不不直接公公开，尽尽可能采采用安全全性高的的操作系系统。应用系统统在开发发时，采采用规范范化的开开发过程程，尽可可能的减减少应用用系统的的漏洞；网络上的的服务器器和网络络设备尽尽可能不不采取同同一家的的产品；通过专业业的安全全工具（安

42、安全检测测系统）定定期对网网络进行行安全评评估。信息安全全在这个企企业的局局域网内内，信息息主要在在内部传传递，因因此信息息被窃听听、篡改改的可能能性很小小，是比比较安全全的。应用安全全在应用安安全上，主主要考虑虑通信的的授权，传传输的加加密和审审计记录录。这必必须加强强登录过过程的认认证（特特别使在在到达服服务器主主机之前前的认证证），确确保用户户的合法法性；其其次应该该严格限限制登录录者的操操作权限限，将其其完成的的操作限限制在最最小的范范围内。另外，在在加强主主机的管管理上，除除了上面面谈的访访问控制制和系统统漏洞检检测外，还还可以采采用访问问存取控控制，对对权限进进行分割割和管理理。应

43、用用安全平平台要加加强资源源目录管管理和授授权管理理、传输输加密、审计记记录和安安全管理理。对应应用安全全，主要要考虑确确定不同同服务的的应用软软件并紧紧密注视视其Buug；对对扫描软软件不断断升级。安全管理理为了保护护网络的的安全性性，除了了在网络络设计上上增加安安全服务务功能，完完善系统统的安全全保密措措施外，安安全管理理规范也也是网络络安全所所必须的的。安全全管理策策略一方方面从纯纯粹的管管理上即即安全管管理规范范来实现现，另一一方面从从技术上上建立高高效的管管理平台台（包括括网络管管理和安安全管理理）。安安全管理理策略主主要有：定义完完善的安安全管理理模型；建立长长远的并并且可实实施的

44、安安全策略略；彻底底贯彻规规范的安安全防范范措施；建立恰恰当的安安全评估估尺度，并并且进行行经常性性的规则则审核。当然，还还需要建建立高效效的管理理平台。安全管理理规范面对网络络安全的的脆弱性性，除了了在网络络设计上上增加安安全服务务功能，完完善系统统的安全全保密措措施外，还还必须花花大力气气加强网网络安全全管理规规范的建建立，因因为诸多多的不安安全因素素恰恰反反映在组组织管理理和人员员录用等等方面，而而这又是是计算机机网络安安全所必必须考虑虑的基本本问题，所所以应引引起各计计算机网网络应用用部门领领导的重重视。A安全管管理原则则网络信息息系统的的安全管管理主要要基于三三个原则则。多人负责责原

45、则：每一项项与安全全有关的的活动，都都必须有有两人或或多人在在场。这这些人应应是系统统主管领领导指派派的，他他们忠诚诚可靠，能能胜任此此项工作作；他们们应该签签署工作作情况记记录以证证明安全全工作已已得到保保障。具具体的活活动有：访问控制制使用证证件的发发放与回回收；信息处理理系统使使用的媒媒介发放放与回收收；处理保密密信息；硬件和软软件的维维护；系统软件件的设计计、实现现和修改改；重要程序序和数据据的删除除和销毁毁等；任期有限限原则：一般地地讲，任任何人最最好不要要长期担担任与安安全有关关的职务务，以免免使他认认为这个个职务是是专有的的或永久久性的。为遵循循任期有有限原则则，工作作人员应应不

46、定期期地循环环任职，强强制实行行休假制制度，并并规定对对工作人人员进行行轮流培培训，以以使任期期有限制制度切实实可行。职责分离离原则：在信息息处理系系统工作作的人员员不要打打听、了了解或参参与职责责以外的的任何与与安全有有关的事事情，除除非系统统主管领领导批准准。出于于对安全全的考虑虑，下面面每组内内的两项项信息处处理工作作应当分分开。计算机操操作与计计算机编编程；机密资料料的接收收和传送送；安全管理理和系统统管理；应用程序序和系统统程序的的编制；访问证件件的管理理与其它它工作；计算机操操作与信信息处理理系统使使用媒介介的保管管等。B安全管管理的实实现信息系统统的安全全管理部部门应根根据管理理

47、原则和和该系统统处理数数据的保保密性，制制定相应应的管理理制度或或采用相相应的规规范。具具体工作作是：根据工作作的重要要程度，确确定该系系统的安安全等级级根据确定定的安全全等级，确确定安全全管理的的范围制订相应应的机房房出入管管理制度度对于安安全等级级要求较较高的系系统，要要实行分分区控制制，限制制工作人人员出入入与己无无关的区区域。出出入管理理可采用用证件识识别或安安装自动动识别登登记系统统，采用用磁卡、身份卡卡等手段段，对人人员进行行识别、登记管管理制订严格格的操作作规程操作规程程要根据据职责分分离和多多人负责责的原则则，各负负其责，不不能超越越自己的的管辖范范围。制订完备备的系统统维护制

48、制度对系统进进行维护护时，应应采取数数据保护护措施，如如数据备备份等。维护时时要首先先经主管管部门批批准，并并有安全全管理人人员在场场，故障障的原因因、维护护内容和和维护前前后的情情况要详详细记录录。制订应急急措施要制定系系统在紧紧急情况况下，如如何尽快快恢复的的应急措措施，使使损失减减至最小小。建立立人员雇雇用和解解聘制度度，对工工作调动动和离职职人员要要及时调调整响应应的授权权。网络管理理管理员可可以在管管理机器器上对整整个内部部网络上上的网络络设备、安全设设备、网网络上的的防病毒毒软件、入侵检检测探测测器进行行综合管管理，同同时利用用安全分分析软件件可以从从不同角角度对所所有的设设备、服

49、服务器、工作站站进行安安全扫描描，分析析他们的的安全漏漏洞，并并采取相相应的措措施。安全管理理安全管理理的主要要功能指指对安全全设备的的管理；监视网网络危险险情况，对对危险进进行隔离离，并把把危险控控制在最最小范围围内；身身份认证证，权限限设置；对资源源的存取取权限的的管理；对资源源或用户户动态的的或静态态的审计计；对违违规事件件，自动动生成报报警或生生成事件件消息；口令管管理（如如操作员员的口令令鉴权），对对无权操操作人员员进行控控制；密密钥管理理：对于于与密钥钥相关的的服务器器，应对对其设置置密钥生生命期、密钥备备份等管管理功能能；冗余余备份：为增加加网络的的安全系系数，对对于关键键的服务

50、务器应冗冗余备份份。安全全管理应应该从管管理制度度和管理理平台技技术实现现两个方方面来实实现。安安全管理理产品尽尽可能的的支持统统一的中中心控制制平台。第四章 天创半导导体公司司安全需需求(1）当当前网络络现状分分析当前天创创公司已已经实施施了INNTERRNETT入口的的防火墙墙隔离，MMAILL服务器器通过DDMZ区区与内网网隔离，但但由于单单位的网网络需要要扩展问问题，存存在着防防火墙端端口不够够用的情情况，且且对于采采用低性性能的防防火墙于于网络将将造成很很大的网网络通信信瓶颈，为为此我们们决定使使用六端端口的千千兆型防防火墙来来解决这这个问题题。从上图可可以看到到，由于于是暴露露在D

51、MMZ区，所所以MAAIL服服务器在在应用层层安全问问题是没没有保证证的（垃垃圾邮件件、邮件件病毒随随时都可可以通过过防火墙墙传入MMAILL服务器器）；目目前内网网的拓扑扑是采用用对外全全封闭但但对内全全开放的的格局而而工作的的，换言言之对于于内网的的攻击是是完全没没有免疫疫功能的的。(2)客客户需求求A需要有有六个端端口，支支持VPPN。B需要能能监控员员工的上上网数据据。例如如，我为为某位员员工开880端口口让其能能上网，他他能正常常浏览网网页，但但不能下下载某些些特定格格式的文文件，如如：*.mp33,*.rm。C能够防防止员工工使用PP2P软软件进行行文件传传输，能能监控员员工发送送

52、的E-MAIIL。D因有MMAILL服务器器，防火火墙能自自动侦测测到某个个IP长长时间连连接MAAIL服服务器，而而自动禁禁止此IIP一段段时间后后自动恢恢复。时时间及规规则可由由用户在在防火墙墙上设置置的。（3）实实施目标标启用防火火墙的VVPN功功能通过过PPTTP对网网络进行行VPNN服务与与管理；在防火火墙处启启用URRL过滤滤，禁止止员工访访问（下下载）*.mpp3、*.rmm文件；通过相相关的包包过滤规规则防止止员工在在内网使使用特定定的工具具进行文文件传输输；配置置过滤网网关的邮邮件处理理规则对对客户端端进行相相应的管管理，达达到优化化MAIIL服务务的效果果。第五章 产品综综

53、述(1）安安氏LiinkTTrusstTMM CyyberrWalll防火火墙安氏领信信防火墙墙是亚洲洲最大的的信息安安全实验验室“IS-Onee Seecurrityy Laab”成功推推出的最最新一代代防火墙墙，产品品迅速获获得国家家认证，被被中国人人民银行行评选为为金融系系统指定定防火墙墙产品之之一，并并且在第第21届届世界大大学生运运动会，上上海APPEC会会议上大大显身手手。领信防火火墙的设设计理念念从“顶尖技技术+人人性化”出发，充充分考虑虑防火墙墙的五大大要素：功能、性能、管理能能力、易易用性和和配置，体体贴用户户的真正正安全需需求。领信防火火墙采用用专门设设计的安安全操作作系统

54、LLTOSS和专用用搭载平平台，提提供高度度可靠性性和可用用性。利利用安氏氏安全实实验室申申请专利利LinnkTrrustt Poolliing技技术，提提升防火火墙的吞吞吐速度度，达到到内核级级安全代代理机制制，是国国内唯一一在线速速状态下下工作的的最新一一代防火火墙。安氏安全全实验室室采用多多种先进进数据加加密算法法，最大大限度提提高VPPN吞吐吐量。领领信防火火墙具有有业界唯唯一的端端口流量量镜像功功能，实实现与世世界最先先进入侵侵检测系系统互动动；并为为用户提提供友好好Webb管理界界面、命命令行管管理界面面和LCCD界面面。领信防火火墙的特特色包括括：状态态检测包包过滤技技术；多多种

55、服务务的内核核级安全全代理；全面的的网络地地址翻译译（NAAT）；IPssec VPNN和拨号号VPNN；高可可靠性（HA）；支持流量管理；内容安全过滤；多种用户认证方案；完整日志、审计，告警和统计模块；抗DOS攻击能力（支持SYN Proxy）；内嵌入侵检测能力；支持多个ISP接入的负载均衡解决方案；支持诡异木马的抵御；对ICMP攻击免疫，基于时间的对象访问控制；支持按策略与IDS协作。SmarrtPrroteectoor的主主要功能能为：基基于协议议分析和和攻击特特征分析析技术，检测并阻断防火墙无法防止的攻击，与防火墙互动修改相应的防火墙规则，同时通过控制台报警。SmartProtecto

56、r可以检测包括：拒绝服务、端口扫描、Web IIS、Web Apache、DNS、在内的两百多种攻击。每个攻击特征都符合CVE标准，并且支持在线升级。用户还可以自定义检测策略模板，紧密结合特有安全的领信操作系统LTOS，拥有超负载保护能力。用户还可可以随时时从安氏氏站点（）下载载最新的的攻击特特征。 关于SmmarttProotecctorr的推出出，安氏公司司产品市市场总监监应向荣荣强调：“SmmarttProotecctorr的产生生基于两两个层面面考虑，融融合安氏氏在入侵侵检测（IIDS）技技术的多多年雄厚厚积累，为为LinnkTrrusttTM CCybeerWaall提提供增强强功能

57、模模块。增加SSmarrtPrroteectoor功能能的领信信防火墙墙为特定定需求用用户群提提供了业业界领先先的一站站式安全全防御系系统，特特别适合合企业上上网工程程，行业业网络广广域连接接防护等等等应用用。但流流探测器器SmaartPProttecttor不不能取代代专门的的入侵检检测系统统，它以以不牺牲牲防火墙墙和VPPN的性性能为前前提，检检测并响响应“严重的的”攻击手手法，配配合防火火墙以及及专门的的IDSS系统，为为企业提提供更加加强大的的防护体体系。用用户在购购买LiinkTTrusstTMM CyyberrWalll时可可以选择择是否增增加SmmarttProotecctorr

58、功能”。“现在安安全问题题变得越越来越复复杂，攻攻击手法法层出不不穷，而而且更新新很快，这这要求安安全管理理员作出出防范反反应越来来越迅速速，在防防火墙上上增加入入侵检测测模块，就就是为了了增强响响应时间间，特别别是在解解决类似似“红色代代码”，“尼姆达达”这类突突发性极极大的将将网络蠕蠕虫、计计算机病病毒、木木马程序序合为一一体的攻攻击手法法时，将将发挥相相当大的的作用”。安氏氏公司防防火墙产产品经理理张强进进一步解解释，“当SmmarttProotecctorr检测到到攻击时时，可以以阻断并并且传递递给领信信防火墙墙，修改改防火墙墙的安全全规则，同同时领信信防火墙墙阻断已已经建立立的攻击击

59、连接。通过一一个基于于WEBB的友好好、简洁洁明了的的用户界界面，安安全管理理员不仅仅可以配配置该SSmarrtPrroteectoor的攻攻击特征征模板，还还可以通通过提供供的链接接，了解解到更多多关于攻攻击的资资料以及及如何配配置相应应的系统统设备来来防御攻攻击”。每个个检测到到的攻击击，将会会通过日日志告警警与邮件件告警方方式通知知管理员员，同时时为SmmarttProotecctorr定制了了专门的的审计日日志数据据结构包包含：攻攻击时间间、源地地址、目目的地址址、源端端口、目目的端口口、攻击击名称。(2）eeTruust入入侵检测测系统解决方案案网络络入侵检检测(eeTruust I

60、nttrussionn Deetecctioon)网络入侵侵检测(eTrrustt Inntruusioon DDeteectiion)解决方方案通过过自动检检测网络络数据流流中潜在在入侵、攻击和和滥用方方式，提提供了先先进的网网络保护护功能。例如，网网络入侵侵检测(eTrrustt Inntruusioon DDeteectiion)软件可可以检测测到拒拒绝服务务型攻攻击，并并且在服服务器及及业务受受到影响响前按照照预先定定义的策策略采取取相应的的行动。 网络入侵侵检测(eTrrustt Inntruusioon DDeteectiion)软件还还可以大大大减少少管理和和保障网网络安全全所需