保護信息安全的方案篇一

　　某市政府中心網絡安全方案設計

　　1.1安全系統建設目標

　　本技術方案旨在為某市政府網絡提供全面的網絡系統安全解決方案，包括安全管理制度策略的制定、安全策略的實施體系結構的設計、安全產品的選擇和部署實施，以及長期的合作和技術支持服務。系統建設目標是在不影響當前業(yè)務的前提下，實現對網絡的全面安全管理。

　　1) 將安全策略、硬件及軟件等方法結合起來，構成一個統一的防御系統，有效阻止非法用戶進入網絡，減少網絡的安全風險;

　　2) 通過部署不同類型的安全產品，實現對不同層次、不同類別網絡安全問題的防護;

　　3) 使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態(tài)。最大限度地減少損失。

　　具體來說，本安全方案能夠實現全面網絡訪問控制，并能夠對重要控制點進行細粒度的訪問控制;

　　其次，對于通過對網絡的流量進行實時監(jiān)控，對重要服務器的運行狀況進行全面監(jiān)控。

　　1.1.1 防火墻系統設計方案

　　1.1.1.1 防火墻對服務器的安全保護

　　網絡中應用的服務器，信息量大、處理能力強，往往是攻擊的主要對象。另外，服務器提供的各種服務本身有可能成為"黑客"攻擊的突破口，因此，在實施方案時要對服務器的安全進行一系列安全保護。

　　如果服務器沒有加任何安全防護措施而直接放在公網上提供對外服務，就會面臨著"黑客"各種方式的攻擊，安全級別很低。因此當安裝防火墻后，所有訪問服務器的請求都要經過防火墻安全規(guī)則的詳細檢測。只有訪問服務器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達內部服務器。防火墻本身抵御了絕大部分對服務器的攻擊，外界只能接觸到防火墻上的特定服務，從而防止了絕大部分外界攻擊。

　　1.1.1.2 防火墻對內部非法用戶的防范

　　網絡內部的環(huán)境比較復雜，而且各子網的分布地域廣闊，網絡用戶、設備接入的可控性比較差，因此，內部網絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數據的主機的攻擊往往發(fā)自內部用戶，如何對內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內部網絡運行的可靠性和安全性，我們必須要對它進行詳盡的分析，盡可能防護到網絡的每一節(jié)點。

　　對于一般的網絡應用，內部用戶可以直接接觸到網絡內部幾乎所有的服務，網絡服務器對于內部用戶缺乏基本的安全防范，特別是在內部網絡上，大部分的主機沒有進行基本的安

　　全防范處理，整個系統的安全性容易受到內部用戶攻擊的威脅，安全等級不高。根據國際上流行的處理方法，我們把內部用戶跨網段的訪問分為兩大類：其一，是內部網絡用戶之間的訪問，即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸(NETBIOS)應用;其次，是內部網絡用戶對內部服務器的訪問，這一類應用主要發(fā)生在內部用戶的業(yè)務處理時。一般內部用戶對于網絡安全防范的意識不高，如果內部人員發(fā)起攻擊，內部網絡主機將無法避免地遭到損害，特別是針對于NETBIOS文件共享協議，已經有很多的漏洞在網上公開報道，如果網絡主機保護不完善，就可能被內部用戶利用"黑客"工具造成嚴重破壞。

　　1.1.2入侵檢測系統

　　利用防火墻技術，經過仔細的配置，通常能夠在內外網之間提供安全的網絡保護，降低了網絡安全風險，但是入侵者可尋找防火墻背后可能敞開的后門，入侵者也可能就在防火墻內。

　　網絡入侵檢測系統位于有敏感數據需要保護的網絡上，通過實時偵聽網絡數據流，尋找網絡違規(guī)模式和未授權的網絡訪問嘗試。當發(fā)現網絡違規(guī)行為和未授權的網絡訪問時，網絡監(jiān)控系統能夠根據系統安全策略做出反應，包括實時報警、事件登錄，或執(zhí)行用戶自定義的安全策略等。網絡監(jiān)控系統可以部署在網絡中有安全風險的地方，如局域網出入口、重點保護主機、遠程接入服務器、內部網重點工作站組等。在重點保護區(qū)域，可以單獨各部署一套網絡監(jiān)控系統(管理器+探測引擎)，也可以在每個需要保護的地方單獨部署一個探測引擎，在全網使用一個管理器，這種方式便于進行集中管理。

　　在內部應用網絡中的重要網段，使用網絡探測引擎，監(jiān)視并記錄該網段上的所有操作，在一定程度上防止非法操作和惡意攻擊網絡中的重要服務器和主機。同時，網絡監(jiān)視器還可以形象地重現操作的過程，可幫助安全管理員發(fā)現網絡安全的隱患。

　　需要說明的是，IDS是對防火墻的非常有必要的附加而不僅僅是簡單的補充。

　　按照現階段的網絡及系統環(huán)境劃分不同的網絡安全風險區(qū)域，xxx市政府本期網絡安全系統項目的需求為：

　　區(qū)域 部署安全產品

　　內網 連接到Internet的出口處安裝兩臺互為雙機熱備的海信FW3010PF-4000型百兆防火墻;在主干交換機上安裝海信千兆眼鏡蛇入侵檢測系統探測器;在主干交換機上安裝NetHawk網絡安全監(jiān)控與審計系統;在內部工作站上安裝趨勢防毒墻網絡版防病毒軟件;在各服務器上安裝趨勢防毒墻服務器版防病毒軟件。

　　DMZ區(qū) 在服務器上安裝趨勢防毒墻服務器版防病毒軟件;安裝一臺InterScan

　　VirusWall防病毒網關;安裝百兆眼鏡蛇入侵檢測系統探測器和NetHawk網絡安全監(jiān)控與審計系統。

　　安全監(jiān)控與備份中心 安裝FW3010-5000千兆防火墻，安裝RJ-iTOP榕基網絡安全漏洞掃描器;安裝眼鏡蛇入侵檢測系統控制臺和百兆探測器;安裝趨勢防毒墻服務器版管理服務器，趨勢防毒墻網絡版管理服務器，對各防病毒軟件進行集中管理。

　　1.2防火墻安全系統技術方案

　　某市政府局域網是應用的中心，存在大量敏感數據和應用，因此必須設計一個高安全性、高可靠性及高性能的防火墻安全保護系統，確保數據和應用萬無一失。

　　所有的局域網計算機工作站包括終端、廣域網路由器、服務器群都直接匯接到主干交換機上。由于工作站分布較廣且全部連接,對中心的服務器及應用構成了極大的威脅，尤其是可能通過廣域網上的工作站直接攻擊服務器。因此，必須將中心與廣域網進行隔離防護?？紤]到效率，數據主要在主干交換機上流通，通過防火墻流入流出的流量不會超過百兆，因此使用百兆防火墻就完全可以滿足要求。

　　如下圖，我們在中心機房的DMZ服務區(qū)上安裝兩臺互為冗余備份的海信FW3010PF-4000百兆防火墻，DMZ口通過交換機與WWW/FTP、DNS/MAIL服務器連接。同時，安裝一臺Fw3010PF-5000千兆防火墻，將安全與備份中心與其他區(qū)域邏輯隔離開來通過安裝防火墻，實現下列的安全目標：

　　1) 利用防火墻將內部網絡、Internet外部網絡、DMZ服務區(qū)、安全監(jiān)控與備份中心進行有效隔離，避免與外部網絡直接通信;

　　2) 利用防火墻建立網絡各終端和服務器的安全保護措施，保證系統安全;

　　3) 利用防火墻對來自外網的服務請求進行控制，使非法訪問在到達主機前被拒絕;

　　4) 利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內;

　　5) 利用防火墻全面監(jiān)視對服務器的訪問，及時發(fā)現和阻止非法操作;

　　6) 利用防火墻及服務器上的審計記錄，形成一個完善的審計體系，建立第二條防線;

　　7) 根據需要設置流量控制規(guī)則，實現網絡流量控制，并設置基于時間段的訪問控制。

　　1.3入侵檢測系統技術方案

　　如下圖所示，我們建議在局域網中心交換機安裝一臺海信眼鏡蛇入侵檢測系統千兆探測器，DMZ區(qū)交換機上安裝一臺海信眼鏡蛇入侵檢測系統百兆探測器，用以實時檢測局域網用戶和外網用戶對主機的訪問，在安全監(jiān)控與備份中心安裝一臺海信眼鏡蛇入侵檢測系統百兆探測器和海信眼鏡蛇入侵檢測系統控制臺，由系統控制臺進行統一的管理(統一事件庫升級、統一安全防護策略、統一上報日志生成報表)。

　　其中，海信眼鏡蛇網絡入侵檢測系統還可以與海信FW3010PF防火墻進行聯動，一旦發(fā)現由外部發(fā)起的攻擊行為，將向防火墻發(fā)送通知報文，由防火墻來阻斷連接，實現動態(tài)的安全防護體系。海信眼鏡蛇入侵檢測系統可以聯動的防火墻有：海信FW3010PF防火墻，支持OPSEC協議的防火墻。

　　通過使用入侵檢測系統，我們可以做到：

　　1) 對網絡邊界點的數據進行檢測，防止黑客的入侵; 2) 對服務器的數據流量進行檢測，防止入侵者的蓄意破壞和篡改; 3) 監(jiān)視內部用戶和系統的運行狀況，查找非法用戶和合法用戶的越權操作; 4) 對用戶的非正常活動進行統計分析，發(fā)現入侵行為的規(guī)律; 5) 實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻/系統聯動; 6) 對關鍵正常事件及異常行為記錄日志，進行審計跟蹤管理。

　　通過使用海信眼鏡蛇入侵檢測系統可以容易的完成對以下的攻擊識別：網絡信息收集、網絡服務缺陷攻擊、Dos&Ddos攻擊、緩沖區(qū)溢出攻擊、Web攻擊、后門攻擊等。

　　網絡給某市政府帶來巨大便利的同時，也帶來了許多挑戰(zhàn)，其中安全問題尤為突出。加上一些人缺乏安全控制機制和對網絡安全政策及防護意識的認識不足，這些風險會日益加重。引起這些風險的原因有多種，其中網絡系統結構和系統的應用等因素尤為重要。主要涉及物理安全、鏈路安全、網絡安全、系統安全、應用安全及管理安全等方面。通過以上方案的設計和實施，所有安全隱患就得到了良好的改善。

　　保護信息安全的方案篇二

　　一、客戶背景

　　集團內聯網主要以總部局域網為核心，采用廣域網方式與外地子公司聯網。集團廣域網采用MPLS-技術，用來為各個分公司提供骨干網絡平臺和接入，各個分公司可以在集團的骨干信息網絡系統上建設各自的子系統，確保各類系統間的相互獨立。

　　二、安全威脅

　　某公司屬于大型上市公司，在北京，上海、廣州等地均有分公司。公司內部采用無紙化辦公，OA系統成熟。每個局域網連接著該所有部門，所有的數據都從局域網中傳遞。同時，各分公司采用技術連接公司總部。該單位為了方便，將相當一部分業(yè)務放在了對外開放的網站上，網站也成為了既是對外形象窗口又是內部辦公窗口。

　　由于網絡設計部署上的缺陷，該單位局域網在建成后就不斷出現網絡擁堵、網速特別慢的情況，同時有些個別機器上的殺毒軟件頻頻出現病毒報警，網絡經常癱瘓，每次時間都持續(xù)幾十分鐘，網管簡直成了救火隊員，忙著清除病毒，重裝系統。對外WEB網站同樣也遭到黑客攻擊，網頁遭到非法篡改，有些網頁甚至成了傳播不良信息的平臺，不僅影響到網站的正常運行，而且還對政府形象也造成不良影響。(安全威脅根據拓撲圖分析)從網絡安全威脅看，集團網絡的威脅主要包括外部的攻擊和入侵、內部的攻擊或誤用、企業(yè)內的病毒傳播，以及安全管理漏洞等信息安全現狀：經過分析發(fā)現該公司信息安全基本上是空白，主要有以下問題：

　　公司沒有制定信息安全政策，信息管理不健全。 公司在建內網時與internet的連接沒有防火墻。 內部網絡(同一城市的各分公司)之間沒有任何安全保障為了讓網絡正常運行。

　　根據我國《信息安全等級保護管理辦法》的信息安全要求，近期公司決定對該網絡加強安全防護，解決目前網絡出現的安全問題。

　　三、安全需求

　　從安全性和實用性角度考慮，安全需求主要包括以下幾個方面：

　　1、安全管理咨詢

　　安全建設應該遵照7分管理3分技術的原則，通過本次安全項目，可以發(fā)現集團現有安全問題，并且協助建立起完善的安全管理和安全組織體系。

　　2、集團骨干網絡邊界安全

　　主要考慮骨干網絡中Internet出口處的安全，以及移動用戶、遠程撥號訪問用戶的安全。

　　3、集團骨干網絡服務器安全

　　主要考慮骨干網絡中網關服務器和集團內部的服務器，包括OA、財務、人事、內部WEB等內部信息系統服務器區(qū)和安全管理服務器區(qū)的安全。

　　4、集團內聯網統一的病毒防護

　　主要考慮集團內聯網中，包括總公司在內的所有公司的病毒防護。

　　5、統一的增強口令認證系統

　　由于系統管理員需要管理大量的主機和網絡設備，如何確?？诹畎踩Q為一個重要的問題。

　　6、統一的安全管理平臺

　　通過在集團內聯網部署統一的安全管理平臺，實現集團總部對全網安全狀況的集中監(jiān)測、安全策略的統一配置管理、統計分析各類安全事件、以及處理各種安全突發(fā)事件。

　　7、專業(yè)安全服務

　　過專業(yè)安全服務建立全面的安全策略、管理組織體系及相關管理制度，全面評估企業(yè)網絡中的信息資產及其面臨的安全風險情況，在必要的情況下，進行主機加固和網絡加固。通過專業(yè)緊急響應服務保證企業(yè)在面臨緊急事件情況下的處理能力，降低安全風險。

　　四、方案設計

　　骨干網邊界安全

　　集團骨干網共有一個Internet出口，位置在總部，在Internet出口處部署LinkTrust Cyberwall-200F/006防火墻一臺。

　　在Internet出口處部署一臺LinkTrust Network Defender領信網絡入侵檢測系統，通過交換機端口鏡像的方式，將進出Internet的流量鏡像到入侵檢測的監(jiān)聽端口，LinkTrust

　　Network Defender可以實時監(jiān)控網絡中的異常流量，防止惡意入侵。

　　在各個分公司中添加一個DMZ區(qū)，保證各公司的信息安全，內部網絡(同一城市的各分公司)之間沒有任何安全保障骨干網服務器安全

　　集團骨干網服務器主要指網絡中的網關服務器和集團內部的應用服務器包括OA、財務、人事、內部WEB等，以及專為此次項目配置的、用于安全產品管理的服務器的安全。 主要考慮為在服務器區(qū)配置千兆防火墻，實現服務器區(qū)與辦公區(qū)的隔離，并將內部信息系統服務器區(qū)和安全管理服務器區(qū)在防火墻上實現邏輯隔離。還考慮到在服務器區(qū)配置主機入侵檢測系統，在網絡中配置百兆網絡入侵檢測系統，實現主機及網絡層面的主動防護。

　　漏洞掃描

　　了解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的了解存在那些安全漏洞，新出現的安全問題等，都要求信息系統自身和用戶作好安全評估。安全評估主要分成網絡安全評估、主機安全評估和數據庫安全評估三個層面。

　　內聯網病毒防護

　　病毒防范是網絡安全的一個基本的、重要部分。通過對病毒傳播、感染的各種方式和途徑進行分析，結合集團網絡的特點，在網絡安全的病毒防護方面應該采用“多級防范，集中管理，以防為主、防治結合”的動態(tài)防毒策略。

　　病毒防護體系主要由桌面網絡防毒、服務器防毒和郵件防毒三個方面。

　　增強的身份認證系統

　　由于需要管理大量的主機和網絡設備，如何確?？诹畎踩彩且粋€非常重要的問題。 減小口令危險的最為有效的辦法是采用雙因素認證方式。雙因素認證機制不僅僅需要用戶提供一個類似于口令或者PIN的單一識別要素，而且需要第二個要素，也即用戶擁有的，通常是認證令牌，這種雙因素認證方式提供了比可重用的口令可靠得多的用戶認證級別。用戶除了知道他的PIN號碼外，還必須擁有一個認證令牌。而且口令一般是一次性的，這樣每次的口令是動態(tài)變化的，大大提高了安全性。

　　統一安全平臺的建立

　　通過建立統一的安全管理平臺(安全運行管理中心—SOC)，建立起集團的安全風險監(jiān)控體系，利于從全局的角度發(fā)現網絡中存在的安全問題，并及時歸并相關人員處理。這里的風險監(jiān)控體系包括安全信息庫、安全事件收集管理系統、安全工單系統等，同時開發(fā)有效的多種手段實時告警系統，定制高效的安全報表系統。

　　五、網絡管理：

　　(1)故障管理

　　故障管理是網絡管理中最基本的功能之一。用戶都希望有一個可靠的計算機網絡。當網絡中某個組成失效時,網絡管理器必須迅速查找到故障并及時排除。通常不大可能迅速隔離某個故障,因為網絡故障的產生原因往往相當復雜,特別是當故障是由多個網絡組成共同引起的。在此情況下,一般先將網絡修復,然后再分析網絡故障的原因。分析故障原因對于防止類似故障的再發(fā)生相當重要。網絡故障管理包括故障檢測、隔離和糾正三方面,應包括以下典型功能:

　　(1)故障監(jiān)測：主動探測或被動接收網絡上的各種事件信息，并識別出其中與網絡和系統故障相關的內容，對其中的關鍵部分保持跟蹤，生成網絡故障事件記錄。

　　(2)故障報警：接收故障監(jiān)測模塊傳來的報警信息，根據報警策略驅動不同的報警程序，以報警窗口/振鈴(通知一線網絡管理人員)或電子郵件(通知決策管理人員)發(fā)出網絡嚴重故障警報。

　　(3)故障信息管理：依靠對事件記錄的分析，定義網絡故障并生成故障卡片，記錄排除故障的步驟和與故障相關的值班員日志，構造排錯行動記錄，將事件-故障-日志構成邏輯上相互關聯的整體，以反映故障產生、變化、消除的整個過程的各個方面。

　　(4)排錯支持工具：向管理人員提供一系列的實時檢測工具，對被管設備的狀況進行測試并記錄下測試結果以供技術人員分析和排錯;根據已有的徘錯經驗和管理員對故障狀態(tài)的描述給出對徘錯行動的提示。

　　(5)檢索/分析故障信息：瀏閱并且以關鍵字檢索查詢故障管理系統中所有的數據庫記錄，定期收集故障記錄數據，在此基礎上給出被管網絡系統、被管線路設備的可靠性參數。 對網絡故障的檢測依據對網絡組成部件狀態(tài)的監(jiān)測。不嚴重的簡單故障通常被記錄在 錯誤日志中,并不作特別處理;而嚴重一些的故障則需要通知網絡管理器,即所謂的"警報"。 一般網絡管理器應根據有關信息對警報進行處理,排除故障。當故障比較復雜時,網絡管理 器應能執(zhí)行一些診斷測試來辨別故障原因。

　　(2)計費管理

　　計費管理記錄網絡資源的使用,目的是控制和監(jiān)測網絡操作的費用和代價。它對一些公共商業(yè)網絡尤為重要。它可以估算出用戶使用網絡資源可能需要的費用和代價,以及已經使用的資源。網絡管理員還可規(guī)定用戶可使用的最大費用,從而控制用戶過多占用和使用網絡 資源。這也從另一方面提高了網絡的效率。另外,當用戶為了一個通信目的需要使用多個網絡中的資源時,計費管理應可計算總計費用。

　　(1)計費數據采集：計費數據采集是整個計費系統的基礎，但計費數據采集往往受到采集設備硬件與軟件的制約，而且也與進行計費的網絡資源有關。 (2)數據管理與數據維護：計費管理人工交互性很強，雖然有很多數據維護系統自動完成，但仍然需要人為管理，包括交納費用的輸入、聯網單位信息維護，以及賬單樣式決定等。

　　(3)計費政策制定;由于計費政策經常靈活變化，因此實現用戶自由制定輸入計費政策尤其重要。這樣需要一個制定計費政策的友好人機界面和完善的實現計費政策的數據模型。

　　(4)政策比較與決策支持：計費管理應該提供多套計費政策的數據比較，為政策制訂提供決策依據。

　　(5)數據分析與費用計算：利用采集的網絡資源使用數據，聯網用戶的詳細信息以及計費政策計算網絡用戶資源的使用情況，并計算出應交納的費用。

　　(6)數據查詢：提供給每個網絡用戶關于自身使用網絡資源情況的詳細信息，網絡用戶根據這些信息可以計算、核對自己的收費情況。

　　(3)配置管理

　　配置管理同樣相當重要。它初始化網絡、并配置網絡,以使其提供網絡服務。配置管理 是一組對辨別、定義、控制和監(jiān)視組成一個通信網絡的對象所必要的相關功能,目的是為了實現某個特定功能或使網絡性能達到最優(yōu)。

　　(1)配置信息的自動獲?。涸谝粋€大型網絡中，需要管理的設備是比較多的，如果每個設備的配置信息都完全依靠管理人員的手工輸入，工作量是相當大的，而且還存在出錯的可能性。對于不熟悉網絡結構的人員來說，這項工作甚至無法完成‘因此，一個先進的網絡管理系統應該具有配置信息自動獲取功能。即使在管理人員不是很熟悉網絡結構和配置狀況的情況下，也能通過有關的技術手段來完成對網絡的配置和管理。在網絡設備的配置信息中，根據獲取手段大致可以分為三類：一類是網絡管理協議標準的MIB中定義的配置信息(包括SNMP;和CMIP協議);二類是不在網絡管理協議標準中有定義，但是對設備運行比較重要的配置信息;三類就是用于管理的一些輔助信息。

　　(2)自動配置、自動備份及相關技術：配置信息自動獲取功能相當于從網絡設備中“讀”信息，相應的，在網絡管理應用中還有大量“寫”信息的需求。同樣根據設置手段對網絡配置信息進行分類：一類是可以通過網絡管理協議標準中定義的方法(如SNMP中的set服務)進行設置的配置信息;二類是可以通過自動登錄到設備進行配置的信息;三類就是需要修改的管理性配置信息。

　　(3)配置一致性檢查：在一個大型網絡中，由于網絡設備眾多，而且由于管理的原因，這些設備很可能不是由同一個管理人員進行配置的。實際上‘即使是同一個管理員對設備進行的配置，也會由于各種原因導致配置一致性問題。因此，對整個網絡的配置情況進行一致性檢查是必需的。在網絡的配置中，對網絡正常運行影響最大的主要是路由器端口配置和路由信息配置，因此，要進行、致性檢查的也主要是這兩類信息。

　　(4)用戶操作記錄功能：配置系統的安全性是整個網絡管理系統安全的核心，因此，必須對用戶進行的每一配置操作進行記錄。在配置管理中，需要對用戶操作進行記錄，并保存下來。管理人員可以隨時查看特定用戶在特定時間內進行的特定配置操作。

　　(4)性能管理(performance management)

　　性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監(jiān)視和分析被管網絡及其所提供服務的性能機制。性能分析的結果可能會觸發(fā)某個診斷測試過程或重新配置網絡以維持網絡的性能。性能管理收集分析有關被管網絡當前狀況的數據信息,并維持和分析性能日志。一些典型的功能包括:

　　(1)性能監(jiān)控：由用戶定義被管對象及其屬性。被管對象類型包括線路和路由器;被管對象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內存余量。對于每個被管對象，定時采集性能數據，自動生成性能報告。

　　(2)閾值控制：可對每一個被管對象的每一條屬性設置閾值，對于特定被管對象的特定屬性，可以針對不同的時間段和性能指標進行閾值設置?？赏ㄟ^設置閾值檢查開關控制閡值檢查和告警，提供相應的閾值管理和溢出告警機制。

　　(3)性能分橋：對歷史數據進行分析，統計和整理，計算性能指標，對性能狀況作出判斷，為網絡規(guī)劃提供參考。

　　(4)可視化的性能報告：對數據進行掃描和處理，生成性能趨勢曲線，以直觀的圖形反映性能分析的結果。

　　(5)實時性能監(jiān)控：提供了一系列實時數據采集;分析和可視化工具，用以對流量、負載、丟包、溫度、內存、延遲等網絡設備和線路的性能指標進行實時檢測，可任意設置數據采集間隔。

　　(6)網絡對象性能查詢：可通過列表或按關鍵字檢索被管網絡對象及其屬性的性能記錄。

　　(5)安全管理

　　安全性一直是網絡的薄弱環(huán)節(jié)之一,而用戶對網絡安全的要求又相當高,因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題:

　　網絡數據的私有性(保護網絡數據不被侵 入者非法獲取),

　　授權(authentication)(防止侵入者在網絡上發(fā)送錯誤信息),

　　訪問控制(控制訪問控制(控制對網絡資源的訪問)。

　　相應的,網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日志。包括:

　　網絡管理過程中，存儲和傳輸的管理和控制信息對網絡的運行和管理至關重要，一旦泄密、被篡改和偽造，將給網絡造成災難性的破壞。網絡管理本身的安全由以下機制來保證：

　　(1)管理員身份認證，采用基于公開密鑰的證書認證機制;為提高系統效率，對于信任域內(如局域網)的用戶，可以使用簡單口令認證。

　　(2)管理信息存儲和傳輸的加密與完整性，Web瀏覽器和網絡管理服務器之間采用安全套接字層(SSL)傳輸協議，對管理信息加密傳輸并保證其完整性;內部存儲的機密信息，如登錄口令等，也是經過加密的。

　　(3)網絡管理用戶分組管理與訪問控制，網絡管理系統的用戶(即管理員)按任務的不同分成若干用戶組，不同的用戶組中有不同的權限范圍，對用戶的操作由訪問控制檢查，保證用戶不能越權使用網絡管理系統。

　　(4)系統日志分析，記錄用戶所有的操作，使系統的操作和對網絡對象的修改有據可查，同時也有助于故障的跟蹤與恢復。

　　網絡對象的安全管理有以下功能：

　　(1)網絡資源的訪問控制，通過管理路由器的訪問控制鏈表，完成防火墻的管理功能，即從網絡層(1P)和傳輸層(TCP)控制對網絡資源的訪問，保護網絡內部的設備和應用服務，防止外來的攻擊。

　　(2)告警事件分析，接收網絡對象所發(fā)出的告警事件，分析員安全相關的信息(如路由器登錄信息、SNMP認證失敗信息)，實時地向管理員告警，并提供歷史安全事件的檢索與分析機制，及時地發(fā)現正在進行的攻擊或可疑的攻擊跡象。

　　(3)主機系統的安全漏洞檢測，實時的監(jiān)測主機系統的重要服務(如WWW，DNS等)的狀態(tài)，提供安全監(jiān)測工具，以搜索系統可能存在的安全漏洞或安全隱患，并給出彌補的措施。

　　保護信息安全的方案篇三

　　網絡信息系統的安全技術體系通常是在安全策略指導下合理配置和部署：網絡隔離與訪問控制、入侵檢測與響應、漏洞掃描、防病毒、數據加密、身份認證、安全監(jiān)控與審計等技術設備，并且在各個設備或系統之間，能夠實現系統功能互補和協調動作。

　　網絡系統安全具備的功能及配置原則

　　1.網絡隔離與訪問控制。通過對特定網段、服務進行物理和邏輯隔離，并建立訪問控制機制，將絕大多數攻擊阻止在網絡和服務的邊界以外。

　　2.漏洞發(fā)現與堵塞。通過對網絡和運行系統安全漏洞的周期檢查，發(fā)現可能被攻擊所利用的漏洞，并利用補丁或從管理上堵塞漏洞。

　　3.入侵檢測與響應。通過對特定網絡(段)、服務建立的入侵檢測與響應體系，實時檢測出攻擊傾向和行為，并采取相應的行動(如斷開網絡連接和服務、記錄攻擊過程、加強審計等)。

　　4.加密保護。主動的加密通信，可使攻擊者不能了解、修改敏感信息(如方式)或數據加密通信方式;對保密或敏感數據進行加密存儲，可防止竊取或丟失。

　　5.備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。

　　6.監(jiān)控與審計。在辦公網絡和主要業(yè)務網絡內配置集中管理、分布式控制的監(jiān)控與審計系統。一方面以計算機終端為單元強化桌面計算的內外安全控制與日志記錄;另一方面通過集中管理方式對內部所有計算機終端的安全態(tài)勢予以掌控。

　　邊界安全解決方案

　　在利用公共網絡與外部進行連接的“內”外網絡邊界處使用防火墻，為“內部”網絡(段)與“外部”網絡(段)劃定安全邊界。在網絡內部進行各種連接的地方使用帶防火墻功能的設備，在進行“內”外網絡(段)的隔離的同時建立網絡(段)之間的安全通道。

　　1.防火墻應具備如下功能：

　　使用NAT把DMZ區(qū)的服務器和內部端口影射到Firewall的對外端口;

　　允許Internet公網用戶訪問到DMZ區(qū)的應用服務：http、ftp、smtp、dns等;

　　允許DMZ區(qū)內的工作站與應用服務器訪問Internet公網;

　　允許內部用戶訪問DMZ的應用服務：http、ftp、smtp、dns、pop3、https;

　　允許內部網用戶通過代理訪問Internet公網;

　　禁止Internet公網用戶進入內部網絡和非法訪問DMZ區(qū)應用服務器;

　　禁止DMZ區(qū)的公開服務器訪問內部網絡;

　　防止來自Internet的DOS一類的攻擊;

　　能接受入侵檢測的聯動要求，可實現對實時入侵的策略響應;

　　對所保護的主機的常用應用通信協議(http、ftp、telnet、smtp)能夠替換服務器的Banner信息，防止惡意用戶信息刺探;

　　提供日志報表的自動生成功能，便于事件的分析;

　　提供實時的網絡狀態(tài)監(jiān)控功能，能夠實時的查看網絡通信行為的連接狀態(tài)(當前有那些連接、正在連接的IP、正在關閉的連接等信息)，通信數據流量。提供連接查詢和動態(tài)圖表顯示。

　　防火墻自身必須是有防黑客攻擊的保護能力。

　　2.帶防火墻功能的設備是在防火墻基本功能(隔離和訪問控制)基礎上，通過功能擴展，同時具有在IP層構建端到端的具有加密選項功能的ESP隧道能力，這類設備也有S的，主要用于通過外部網絡(公共通信基礎網絡)將兩個或兩個以上“內部”局域網安全地連接起來，一般要求S應具有一下功能：

　　防火墻基本功能，主要包括：IP包過慮、應用代理、提供DMZ端口和NAT功能等(有些功能描述與上相同);

　　具有對連接兩端的實體鑒別認證能力;

　　支持移動用戶遠程的安全接入;

　　支持IPESP隧道內傳輸數據的完整性和機密性保護;

　　提供系統內密鑰管理功能;

　　S設備自身具有防黑客攻擊以及網上設備認證的能力。

　　入侵檢測與響應方案

　　在網絡邊界配置入侵檢測設備，不僅是對防火墻功能的必要補充，而且可與防火墻一起構建網絡邊界的防御體系。通過入侵檢測設備對網絡行為和流量的特征分析，可以檢測出侵害“內部”網絡或對外泄漏的網絡行為和流量，與防火墻形成某種協調關系的互動，從而在“內部”網與外部網的邊界處形成保護體系。

　　入侵檢測系統的基本功能如下：

　　通過檢測引擎對各種應用協議，操作系統，網絡交換的數據進行分析，檢測出網絡入侵事件和可疑操作行為。

　　對自身的數據庫進行自動維護，無需人工干預，并且不對網絡的正常運行造成任何干擾。

　　采取多種報警方式實時報警、音響報警，信息記錄到數據庫，提供電子郵件報警、SysLog報警、SNMPTrap報警、Windows日志報警、Windows消息報警信息，并按照預設策略，根據提供的報警信息切斷攻擊連接。

　　與防火墻建立協調聯動，運行自定義的多種響應方式，及時阻隔或消除異常行為。

　　全面查看網絡中發(fā)生的所有應用和連接，完整的顯示當前網絡連接狀態(tài)。

　　可對網絡中的攻擊事件，訪問記錄進行適時查詢，并可根據查詢結果輸出圖文報表，能讓管理人員方便的提取信息。

　　入侵檢測系統猶如攝像頭、監(jiān)視器，在可疑行為發(fā)生前有預警，在攻擊行為發(fā)生時有報警，在攻擊事件發(fā)生后能記錄，做到事前、事中、事后有據可查。

　　漏洞掃描方案

　　除利用入侵檢測設備檢測對網絡的入侵和異常流量外，還需要針對主機系統的漏洞采取檢查和發(fā)現措施。目前常用的方法是配置漏洞掃描設備。主機漏洞掃描可以主動發(fā)現主機系統中存在的系統缺陷和可能的安全漏洞，并提醒系統管理員對該缺陷和漏洞進行修補或堵塞。

　　對于漏洞掃描的結果，一般可以按掃描提示信息和建議，屬外購標準產品問題的，應及時升級換代或安裝補丁程序;屬委托開發(fā)的產品問題的，應與開發(fā)商協議修改程序或安裝補丁程序;屬于系統配置出現的問題，應建議系統管理員修改配置參數，或視情況關閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。

　　漏洞掃描功能是協助安全管理、掌握網絡安全態(tài)勢的必要輔助，對使用這一工具的安全管理員或系統管理員有較高的技術素質要求。

　　考慮到漏洞掃描能檢測出防火墻策略配置中的問題，能與入侵檢測形成很好的互補關系：漏洞掃描與評估系統使系統管理員在事前掌握主動地位，在攻擊事件發(fā)生前找出并關閉安全漏洞;而入侵檢測系統則對系統進行監(jiān)測以期在系統被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標，而且關系密切。本方案建議采購將入侵檢測、管理控制中心與漏洞掃描一體化集成的產品，不但可以簡化管理，而且便于漏洞掃描、入侵檢測和防火墻之間的協調動作。

　　網絡防病毒方案

　　網絡防病毒產品較為成熟，且有幾種主流產品。本方案建議，網絡防病毒系統應具備下列功能：

　　網絡&單機防護—提供個人或家庭用戶病毒防護;

　　文件及存儲服務器防護—提供服務器病毒防護;

　　郵件服務器防護—提供LotusNotes,MicrosoftExchange等病毒防護;

　　網關防護—在SMTP,HTTP,和FTPservergateway阻擋計算機病毒;

　　集中管理—為企業(yè)網絡的防毒策略，提供了強大的集中控管能力。

　　關于安全設備之間的功能互補與協調運行

　　各種網絡安全設備(防火墻、入侵檢測、漏洞掃描、防病毒產品等)，都有自己獨特的安全探測與安全保護能力，但又有基于自身主要功能的擴展能力和與其它安全功能的對接能力或延續(xù)能力。因此，在安全設備選型和配置時，盡可能考慮到相關安全設備的功能互補與協調運行，對于提高網絡平臺的整體安全性具有重要意義。

　　防火墻是目前廣泛用于隔離網絡(段)邊界并實施進/出信息流控制的大眾型網絡安全產品之一。作為不同網絡(段)之間的邏輯隔離設備，防火墻將內部可信區(qū)域與外部危險區(qū)域有效隔離，將網絡的安全策略制定和信息流動集中管理控制，為網絡邊界提供保護，是抵御入侵控制內外非法連接的。

　　但防火墻具有局限性。這種局限性并不說明防火墻功能有失缺，而且由于本身只應該承擔這樣的職能。因為防火墻是配置在網絡連接邊界的通道處的，這就決定了它的基本職能只應提供靜態(tài)防御，其規(guī)則都必須事先設置，對于實時的攻擊或異常的行為不能做出實時反應。這些控制規(guī)則只能是粗顆粒的，對一些協議細節(jié)無法做到完全解析。而且，防火墻無法自動調整策略設置以阻斷正在進行的攻擊，也無法防范基于協議的攻擊。

　　為了彌補防火墻在實際應用中存在的局限，防火墻廠商主動提出了協調互動思想即聯動問題。防火墻聯動即將其它安全設備(組件)(例如IDS)探測或處理的結果通過接口引入系統內調整防火墻的安全策略，增強防火墻的訪問控制能力和范圍，提高整體安全水平。

　　目前，防火墻形成聯動的主要有以下幾種方式：

　　1.與入侵檢測實現聯動

　　目前，實現入侵檢測和防火墻之間的聯動有兩種方式。一種是實現緊密結合，即把入侵檢測系統嵌入到防火墻中，即入侵檢測系統的數據來源不再來源于抓包，而是流經防火墻的數據流。但由于入侵檢測系統本身也是一個很龐大的系統，從目前的軟硬件處理能力來看，這種聯動難于達到預期效果。第二種方式是通過開放接口來實現聯動，即防火墻或者入侵檢測系統開放一個接口供對方調用，按照一定的協議進行通信、警報和傳輸，這種方式比較靈活，不影響防火墻和入侵檢測系統的性能。

　　防火墻與入侵檢測系統聯動，可以對網絡進行動靜結合的保護，對網絡行為進行細顆粒的檢查，并對網絡內外兩個部分都進行可靠管理。

　　2.與防病毒實現聯動

　　防火墻處于內外網絡信息流的必經之地，在網關一級對病毒進行查殺是網絡防病毒的理想措施。目前已有一些廠商的防火墻可以與病毒防治軟件進行聯動，通過提供API定義異步接口，將數據包轉發(fā)到裝載了網關病毒防護軟件的服務器上進行檢查，但這種聯動由于性能影響，目前并不適宜部署在網絡邊界處。

　　3.與日志處理間實現聯動

　　防火墻與日志處理之間的聯動，目前國內廠商做的不多。比較有代表性的是CheckPoint的防火墻，它提供兩個API：LEA(LogExportAPI)和ELA(EventLoggingAPI)，允許第三方訪問日志數據。報表和事件分析采用LE保護信息安全的方案PI，而安全與事件整合采用EL保護信息安全的方案PI。防火墻產品利用這個接口與其他日志服務器合作，將大量的日志處理工作由專門的服務設備完成，提高了專業(yè)化程度。

　　內部網絡監(jiān)控與審計方案

　　上面的安全措施配置解決了網絡邊界的隔離與保護，網絡與主機的健康(防病毒)運行，以及用戶訪問網絡資源的身份認證和授權問題。

　　然而，縣衛(wèi)生局網絡內部各辦公網絡、業(yè)務網絡的運行秩序的維護，網絡操作行為的監(jiān)督，各種違規(guī)、違法行為的取證和責任認定，以及對操作系統漏洞引發(fā)的安全事件的監(jiān)視和控制等問題，則是必須予以解決的問題。因此有必要在各種內部辦公網絡、業(yè)務網內部部署集中管理、分布式控制的監(jiān)控與審計系統。這種系統通過在局域網(子網)內的管理中心安裝管理器，在各臺主機(PC機)中安裝的代理軟件形成一個監(jiān)控與審計(虛擬網絡)系統，通過對代理軟件的策略配置，使得每臺工作主機(PC機)按照辦公或業(yè)務操作規(guī)范進行操作，并對可能經過主機外圍接口(USB口、串/并口、軟硬盤接口等)引入的非法入侵(包括病毒、木馬等)，或非法外連和外泄的行為予以阻斷和記錄;同時管理器通過網絡還能及時收集各主機上的安全狀態(tài)信息并下達控制命令，形成“事前預警、事中控制和事后審計”的監(jiān)控鏈。

　　監(jiān)控與審計系統應具有下列功能：

　　管理器自動識別局域網內所有被監(jiān)控對象之間的網絡拓撲關系，并采用圖形化顯示，包括被監(jiān)控主機的狀態(tài)(如在線、離線)等;

　　支持對包含有多個子網的局域網進行全面監(jiān)控;

　　系統對被監(jiān)控對象的USB移動存儲設備、光驅、軟驅等外設的使用以及利用這些設備進行文件操作等非授權行為進行實時監(jiān)視、控制和審計;

　　系統對被監(jiān)控對象的串/并口等接口的活動狀態(tài)進行實時監(jiān)視、控制和審計;

　　系統對進出被監(jiān)控對象的網絡通信(www,ftp,pop,smtp)數據包進行實時攔截、分析、處理和審計，對telnet通信數據包進行攔截;

　　系統可根據策略規(guī)定，禁止被監(jiān)控對象進行撥號(普通modem撥號、ADSL撥號、社區(qū)寬帶撥號)連接，同時提供審計;

　　系統對被監(jiān)控對象運行的所有進程進行實時監(jiān)視和審計;

　　系統支持群組管理，管理員可以根據被監(jiān)控對象的屬性特征，將其劃分成不同的安全組，對每個組制定不同的安全策略，所有組的成員都根據該策略執(zhí)行監(jiān)控功能;

　　支持多角色管理，系統將管理員和審計員的角色分離，各司其職;

　　強審計能力，系統具有管理員操作審計、被監(jiān)控對象發(fā)送的事件審計等功能;

　　系統自身有極強的安全性，能抗欺騙、篡改、偽造、嗅探、重放等攻擊。