信息安全建設方案建議書(五)

信息平安解決方案設計在第2章里，我們分別從網(wǎng)絡、應用、終端及管理四個方面對公司的信息系統(tǒng)平安建設進行了風險及需求的分析。同時依據(jù)第3章的平安方案設計原則，我們將公司網(wǎng)絡平安建設分為以下幾個方面進行了具體的方案設計：邊界平安解決方案；內(nèi)網(wǎng)平安解決方案；應用平安解決方案；平安管理解決方案；平安服務解決方案。下面我們分別針對這5個平安解決方案進行具體的描述。邊界平安解決方案在第2章的網(wǎng)絡平安風險及需求分析中，我們主要從外部網(wǎng)絡連接及內(nèi)部網(wǎng)絡運行之間進行了風險的分析。邊界平安解決方案就是針對與外部網(wǎng)絡連接處的平安方面。網(wǎng)絡是用戶業(yè)務和數(shù)據(jù)通信的紐帶、橋梁，網(wǎng)絡的主要功能就是為用戶業(yè)務和數(shù)據(jù)通信供應牢靠的、滿意傳輸服務質(zhì)量的傳輸通道。就公司網(wǎng)絡系統(tǒng)來講，網(wǎng)絡邊界平安負責愛護和檢測進出網(wǎng)絡流量；另一方面，對網(wǎng)絡中一些重要的子系統(tǒng)，其邊界平安考慮的是進出系統(tǒng)網(wǎng)絡流量的愛護和限制。針對公司網(wǎng)絡系統(tǒng)，來自外部互聯(lián)網(wǎng)的非平安行為和因素包括：未經(jīng)授權的網(wǎng)絡訪問身份（網(wǎng)絡地址）欺瞞黑客攻擊病毒感染針對以上的風險分析及需求的總結，我們建議在網(wǎng)絡邊界處設置防火墻系統(tǒng)、平安網(wǎng)關及遠程訪問系統(tǒng)等來完善公司的邊界網(wǎng)絡平安愛護。防火墻系統(tǒng)為在公司網(wǎng)絡與外界網(wǎng)絡連接處保障平安，我們建議配置防火墻系統(tǒng)。將防火墻放置在網(wǎng)絡聯(lián)結處，這樣可以通過以下方式愛護網(wǎng)絡：為防火墻配置適當?shù)木W(wǎng)絡訪問規(guī)則，可以防止來自外部網(wǎng)絡對內(nèi)網(wǎng)的未經(jīng)授權訪問；防止源地址欺瞞，使得外部黑客不行能將自身偽裝成系統(tǒng)內(nèi)部人員，而對網(wǎng)絡發(fā)起攻擊；通過對網(wǎng)絡流量的流量模式進行整型和服務質(zhì)量保證措施，保證網(wǎng)絡應用的可用性和牢靠性；可以依據(jù)時間定義防火墻的平安規(guī)則，滿意網(wǎng)絡在不同時間有不同平安需求的現(xiàn)實須要；供應用戶認證機制，使網(wǎng)絡訪問規(guī)則和用戶干脆聯(lián)系起來，平安更為有效和針對性；對網(wǎng)絡攻擊進行檢測，與防火墻內(nèi)置的IDS功能共同組建一個多級網(wǎng)絡檢測體系。目前新型狀態(tài)檢測的防火墻有效的解決并改善了傳統(tǒng)防火墻產(chǎn)品在性能及功能上存在的缺陷，狀態(tài)檢測防火墻具有更高的平安性、系統(tǒng)穩(wěn)定性、更加顯著的功能特性和優(yōu)異的網(wǎng)絡性能，同時具有廣泛的適應實力。在不損失網(wǎng)絡性能的同時，能夠?qū)崿F(xiàn)網(wǎng)絡平安策略的精確制定與執(zhí)行，同時有效地抵擋來自非可信任網(wǎng)絡的攻擊，并具有對防火墻系統(tǒng)平安性能的診斷功能。其內(nèi)置的入侵檢測系統(tǒng)，可以自動識別黑客的入侵，并對其實行準確的響應措施，有效愛護網(wǎng)絡的平安，同時使防火墻系統(tǒng)具備無可匹敵的平安穩(wěn)定性。我們可以依據(jù)業(yè)務模式及具體網(wǎng)絡結構方式，不僅僅在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間，同時在內(nèi)部網(wǎng)絡與內(nèi)部網(wǎng)絡之間和各子業(yè)務系統(tǒng)之間，考慮采納防火墻設備進行邏輯隔離，限制來自內(nèi)外網(wǎng)絡的用戶對重要業(yè)務系統(tǒng)的訪問。防火墻技術部署說明（依據(jù)具體的網(wǎng)絡狀況描述）產(chǎn)品選型及功能介紹（依據(jù)具體產(chǎn)品描述）平安網(wǎng)關由于考慮到公司與互聯(lián)網(wǎng)（Internet）進行連接，所以我們建議在系統(tǒng)網(wǎng)絡與Internet接入處配置“平安網(wǎng)關”，部署位置敏捷，可放置在接入路由器與防火墻之間，也可部署在防火墻與內(nèi)部網(wǎng)絡之間。隨著互聯(lián)網(wǎng)的飛速發(fā)展和應用，計算機病毒已將互聯(lián)網(wǎng)作為其一種主要的傳播途徑。其中利用電子郵件傳播病毒是最干脆的方式，統(tǒng)計顯示郵件傳播方式占全部病毒傳播的90%以上。在過去一段時間內(nèi)所發(fā)生的幾起影響較大的計算機病毒事務中，以Internet為主要傳播途徑的病毒占大多數(shù)，如Nimda、CodeRed等，以及近幾年爆發(fā)的Sobig.F、Swen、沖擊波、振蕩波等等。同時，由于病毒的泛濫，垃圾郵件也越來越成為大家頭痛的問題。依據(jù)國際領導的市場調(diào)查機構RadicatiGroup統(tǒng)計，目前全部的郵件中，超過50％是垃圾郵件，也就是說每天在國際上有超過150億封垃圾郵件被發(fā)送出去，使各類企業(yè)每年遭遇到200億美元以上由于勞動生產(chǎn)率下降及技術支出帶來的損失，到2007年垃圾郵件數(shù)量將上升到驚人的2萬億封一年。經(jīng)過上述風險及需求的分析，在Internet接入處對病毒、垃圾郵件及惡意代碼進行限制，是實現(xiàn)接入平安的最佳方案。通過配置“平安網(wǎng)關”，我們可以實現(xiàn)：保證全部主要的Internet協(xié)議的平安，包括HTTP、FTP、SMTP、POP3等信息在進入內(nèi)部網(wǎng)絡前由平安網(wǎng)關進行查殺毒；過濾全部來自互聯(lián)網(wǎng)的垃圾郵件；通過SMTP認證保證郵件服務器不會被黑客當作攻擊別人的跳板等。產(chǎn)品選型及功能描述平安網(wǎng)關的目標是在網(wǎng)絡邊界或Internet網(wǎng)關處供應全面的病毒防護，而該病毒防護設備是即插即用的，不須要變更任何Internet設置，并對全部應用及服務透亮。通過全面阻截已知及未知病毒和防垃圾郵件功能和內(nèi)容過濾功能達到針對企業(yè)網(wǎng)絡環(huán)境的全面防護。平安網(wǎng)關是一款高度可配置及供應負載均衡的產(chǎn)品，為從中型到大型企業(yè)供應全面解決方案，并對網(wǎng)絡流量透亮。主要模塊防病毒模塊

能夠掃描最常用的6種協(xié)議，阻擋未知病毒和計算機蠕蟲進入公司網(wǎng)絡防垃圾模塊

平安網(wǎng)關通過其反垃圾郵件模塊檢查進入公司的全部郵件。信息被掃描并且被劃分成垃圾或非垃圾，在未被懇求的郵件到達用戶信箱之前進行阻斷或修改這些信息的主題內(nèi)容過濾模塊

網(wǎng)頁過濾模塊允許管理員限制因特網(wǎng)訪問。可以定義不受歡迎內(nèi)容書目，授權和非授權網(wǎng)頁。允許管理員限制公司網(wǎng)絡資源，并且阻斷非法，黃色或暴力網(wǎng)站內(nèi)容，或只是不受歡迎內(nèi)容進入公司。可以建立VIP用戶列表，這些用戶不需應用上述限制主要特點：易于運用：平安網(wǎng)關是目前世面上最易于安裝及運用的硬件網(wǎng)關產(chǎn)品，作為網(wǎng)絡信息傳遞的橋梁而非須要重新路由網(wǎng)絡流量。平安：平安網(wǎng)關掃描6種網(wǎng)絡協(xié)議，而其他硬件網(wǎng)關產(chǎn)品僅能夠掃描2到4種網(wǎng)絡協(xié)議。在平安網(wǎng)關安裝在企業(yè)邊界上時，它實時掃描全部收入及發(fā)出郵件及其他的網(wǎng)絡傳輸信息，并且具有防垃圾郵件功能和內(nèi)容過濾功能表現(xiàn)性能：平安網(wǎng)關的最大性能是可以取得完全掃描及病毒防護。平安網(wǎng)關的硬件及軟件性能經(jīng)過特殊優(yōu)化處理，能夠同時掃描6種網(wǎng)絡協(xié)議，并且完全對企業(yè)網(wǎng)絡透亮。擴展性：平安網(wǎng)關特地針對自動負載均衡設計，使增加掃描的速度及增加網(wǎng)絡防護可以隨時達到。并可支持到百兆。功能及優(yōu)勢：性能高度優(yōu)化的病毒防護整合最新硬件及軟件技術，供應超乎尋常的優(yōu)異性能，能夠在一個小時內(nèi)掃描上萬封郵件，完全對企業(yè)網(wǎng)絡透亮。性能高度優(yōu)化的垃圾郵件防護整合最新硬件及軟件技術，供應超乎尋常的優(yōu)異性能，能夠在一個小時內(nèi)掃描上萬封郵件，完全對企業(yè)網(wǎng)絡透亮。拓展性及負載均衡由于平安網(wǎng)關的高度可拓展性，平安網(wǎng)關適合中到大型企業(yè)，能夠依據(jù)網(wǎng)絡通訊流量調(diào)整掃描實力。負載均衡是完全自動的，允許工作負載量能夠自動在不同工作單元間進行均衡，良好地保障了產(chǎn)品的可拓展性及對企業(yè)邊界的全面防護。易于安裝及配置依據(jù)即插即用的設計思路，能夠特別簡便地安裝在企業(yè)網(wǎng)絡中，不須要重新配置或重新路由Internet流量。一旦安裝完成，就起先不知疲乏地掃描全部網(wǎng)絡流量，保障網(wǎng)絡的100％平安。愛護全部廣泛運用的網(wǎng)絡協(xié)議愛護全部可能的Internet相關威逼，完全掃描全部常用Internet協(xié)議，包括:HTTP,FTP,SMTP,POP3,IMAP,NNTP.內(nèi)容過濾內(nèi)容過濾防止未知病毒及蠕蟲進入企業(yè)網(wǎng)絡，大幅削減整體網(wǎng)絡資源占用及帶寬，防止可能的惡意代碼進入到企業(yè)網(wǎng)絡。遠程管理可以通過一個簡潔、啟發(fā)式的WEB管理限制臺遠程管理，讓企業(yè)網(wǎng)絡管理員通過企業(yè)內(nèi)部任何一臺電腦管理該產(chǎn)品。每日自動病毒更新可以每日自動病毒更新，意味著平安網(wǎng)關始終可以防護全部最新病毒。具體報告及可客戶化的報警平安網(wǎng)關供應完整的掃描報告，并可以客戶化在企業(yè)內(nèi)部網(wǎng)絡的病毒報警機制。實時系統(tǒng)監(jiān)控平安網(wǎng)關供應網(wǎng)絡管理員對網(wǎng)絡病毒行為及網(wǎng)絡流量的實時監(jiān)控。遠程訪問平安依據(jù)前面的風險及需求分析可知，公司在通過Internet互連及遠程訪問方面，主要存在著以下兩種類型：公司總部與分支機構之間的遠程訪問及互連；公司與合作伙伴之間的遠程訪問及互連。在總部與分支之間的互連，一般要求將分支機構的網(wǎng)絡接入到總部網(wǎng)絡。而與合作伙伴的互連一般狀況下合作伙伴訪問企業(yè)固定的某些應用系統(tǒng)。同時，遠程應用中還存在著一種狀況，即用戶出差或移動狀態(tài)中須要在遠程訪問平安方面，我們分別針對這兩類應用類型設計了相應的VPN遠程訪問系統(tǒng)。分支與總部的連接目前，由于VPN（虛擬專網(wǎng)）比租用專線更加便宜、敏捷，所以有越來越多的公司采納VPN，連接在家工作和出差在外的員工，以及替代連接分公司和合作伙伴的標準廣域網(wǎng)。VPN建在互聯(lián)網(wǎng)的公共網(wǎng)絡架構上，通過“隧道”協(xié)議，在發(fā)端加密數(shù)據(jù)、在收端解密數(shù)據(jù)，以保證數(shù)據(jù)的私密性。如在企業(yè)分部與企業(yè)總部之間，及企業(yè)員工與企業(yè)核心數(shù)據(jù)之間，都可建立起端到端的邏輯隧道(Tunnel)，所謂“隧道”是指其中所傳遞的數(shù)據(jù)都經(jīng)過特殊包裝和加密處理，從而能與同一物理鏈路中其它數(shù)據(jù)區(qū)分開來，避開被不法用戶所竊取，只有在隧道的始末兩端才可能添加和去除這些特殊包裝以得到真實的數(shù)據(jù)。在通過公共網(wǎng)絡(如Internet)傳遞業(yè)務數(shù)據(jù)時，這項技術尤為必要?，F(xiàn)在大多數(shù)遠程平安訪問解決方案是采納IPSecVPN方式，應用最廣泛的組網(wǎng)結構是在站點到站點的VPN組網(wǎng)方式。IPSec是網(wǎng)絡層的VPN技術，表示它獨立于應用程序。IPSec以自己的封包封裝原始IP信息，因此可隱藏全部應用協(xié)議的信息。一旦IPSec建立加密隧道后，就可以實現(xiàn)各種類型的一對多的連接，如Web、電子郵件、文件傳輸、VoIP等連接。并且，每個傳輸必定對應到VPN網(wǎng)關之后的相關服務器上。在設計上，IPSecVPN是一種基礎設施性質(zhì)的平安技術。這類VPN的真正價值在于，它們盡量提高IP環(huán)境的平安性。IPSecVPN的迷人之處包括，它采納了集中式平安和策略管理部件，從而大大緩解了維護需求。應用系統(tǒng)的遠程訪問信息技術發(fā)展到現(xiàn)在，Web成為標準平臺已勢不行擋，越來越多的企業(yè)起先將ERP、CRM、SCM移植到Web上。SSLVPN將是Web應用熱潮的干脆受益者，它被認為是實現(xiàn)遠程平安訪問Web應用的最佳手段。很多狀況下，如采納SSLVPN的能夠就是降低成本。雖然購買軟件或硬件的費用不肯定便宜，但部署SSLVPN很便宜。安裝了這類軟件或硬件，運用者基本上就不須要IT部門的支持了，只要從其PC機上的閱讀器向公司網(wǎng)注冊即可。SSL連接也更穩(wěn)定，據(jù)Infonetics最近發(fā)表的報告表明，SSL將不斷獲得吸引力。到2006年，74%的移動員工將依靠VPN（比2004年增加15%），預料增長率主要來自SSL，這種IPSec以外的方案避開了部署及管理必要客戶軟件的困難性和人力需求。最終用戶避開了攜帶電腦，通過與因特網(wǎng)連接的任何設備就能獲得訪問，SSL更簡潔滿意用戶對移動連接的需求。用戶通過與因特網(wǎng)連接的任何設備實現(xiàn)連接，并借助于SSL隧道獲得平安訪問。雖然這須要在企業(yè)防火墻后面增加硬件，但企業(yè)只要管理一種設備，不必維護、升級及配置客戶軟件。SSLVPN將遠程平安接入延長到IPSecVPN擴展不到的地方，使更多的員工，在更多的地方，運用更多的設備，平安訪問企業(yè)網(wǎng)絡資源，同時降低了部署和支持費用。SSLVPN正在成為遠程接入的事實標準。SSLVPN可以在任何地點，利用任何設備，連接到相應的網(wǎng)絡資源上。SSLVPN通信運行在TCP/UDP協(xié)議上，具有穿越防火墻的實力。這種實力使SSLVPN能夠從一家用戶網(wǎng)絡的代理防火墻背后平安訪問另一家用戶網(wǎng)絡中的資源。IPSecVPN通常不能支持困難的網(wǎng)絡，這是因為它們須要克服穿越防火墻、IP地址沖突等困難。鑒于IPSec客戶機存在的問題，IPSecVPN事實上只適用于易于管理的或者位置固定的設備。SSLVPN是基于應用的VPN，基于應用層上的連接意味著（和IPSecVPN比較），SSLVPN更簡潔供應細粒度遠程訪問（即可以對用戶的權限和可以訪問的資源、服務、文件進行更加細致的限制，這是IPSecVPN難以做到的）。IPSecVPN和SSLVPN將在網(wǎng)絡組網(wǎng)中發(fā)揮各自的優(yōu)勢。在公司的遠程訪問平安中，由于分別存在著這兩種狀況，因此我們建議在方案中采納IPSec和SSLVPN相結合的部署方式：總部與分支機構之間的須要通過現(xiàn)有的Internet進行互連，供應分支機構對總部網(wǎng)絡的訪問。因此，采納基于IPSec的站點到站點的VPN接入是比較志向的接入方式。出差用戶及遠程移動用戶訪問公司內(nèi)部應用、及合作伙伴訪問某些特定的業(yè)務應用系統(tǒng)，采納SSLVPN方式更能有效的滿意應用的需求。產(chǎn)品選型及功能說明（依據(jù)具體的產(chǎn)品功能描述）入侵檢測系統(tǒng)依據(jù)之前的平安風險與平安需求分析，在公司網(wǎng)絡中，由于干脆接入Internet及內(nèi)部網(wǎng)絡用戶眾多，可能面臨的風險及威逼有：拒絕服務攻擊（DoS）：通過消耗網(wǎng)絡帶寬資源或網(wǎng)絡設備處理實力資源，使正常的服務和數(shù)據(jù)通信對網(wǎng)絡的傳輸質(zhì)量要求得不到滿意。尼姆達（Nimda）病毒沖擊波（Blaster,Nachi）病毒就是特別典型例子。信息竊聽資源濫用：內(nèi)部人員訪問不當站點、玩網(wǎng)絡嬉戲，奢侈網(wǎng)絡資源，使正常的服務和數(shù)據(jù)通信得不到保障。管理失控：通過竊取網(wǎng)絡設備的管理權而使網(wǎng)絡失去平安性因此，我們在方案中建議在網(wǎng)絡中部署入侵檢測系統(tǒng)來入侵及濫用行為進行檢測及審計。通過在網(wǎng)絡中部署入侵檢測系統(tǒng)，可以在平安保障上做到：檢測和發(fā)覺針對系統(tǒng)中的網(wǎng)絡攻擊行為，如DoS攻擊。對這些攻擊行為可以實行記錄、報警、主動阻斷等動作，以便事后分析和行為追蹤。通過定義禁止訪問網(wǎng)站，限制內(nèi)部人員對不良站點的訪問。對一些惡意網(wǎng)絡訪問行為可以先記錄，后回放，通過這種真實地再現(xiàn)方式更精確的了解攻擊意圖和模式，為將來更有效地的防范類似攻擊供應閱歷“入侵檢測系統(tǒng)”可以供應強大的網(wǎng)絡行為審計實力，讓網(wǎng)絡平安管理員跟蹤用戶（包括黑客）、應用程序等對網(wǎng)絡的運用狀況，幫助他們改進網(wǎng)絡規(guī)劃。對“入侵檢測系統(tǒng)”的運用和運用人員的管理肯定要有特地的制度。IDS最主要的功能是對網(wǎng)絡入侵行為的檢測，它包括一般入侵探測和服務拒絕型攻擊探測引擎，可以自動識別各種入侵模式，在對網(wǎng)絡數(shù)據(jù)進行分析時與這些模式進行匹配，一旦發(fā)覺某些入侵的企圖，就會進行報警。IDS也支持基于網(wǎng)絡異樣狀況的檢測方式。IDS具有強大的碎片重組功能，能夠抵擋各種高級的入侵方式。為了跟蹤最新的入侵方式和網(wǎng)絡漏洞，IDS供應大容量的入侵特征庫以及便利的升級方式，每一個漏洞都供應了具體的說明和解決方法，并且給出了相關的Bugtraq、CVE以及CAI等國際標準的編號。IDS能夠基于時間、地點、用戶賬戶以及協(xié)議類型、攻擊類型等等制定平安策略。通過對平安策略的調(diào)整，用戶能夠很便利地將IDS自定義成為符合自己組織須要的入侵檢測系統(tǒng)。而且，通過IDS供應的正則表達式，用戶能夠便利地對入侵特征庫進行擴充，添加須要的入侵特征，并且能夠?qū)θ肭值捻憫^程進行自定義。比如用戶須要在發(fā)覺某種特定類型的攻擊方式的時候啟動一段自己編寫的程序以完成某項功能的時候，就可以利用IDS供應的接口敏捷而便利地進行配置完成。在抵擋拒絕服務攻擊的功能上，IDS不僅僅能夠進行攻擊的報警，而且能夠主動切斷攻擊。由此產(chǎn)生的大量日志能夠通過IDS具備的強大的工作區(qū)切換功能進行存儲和轉(zhuǎn)發(fā)，大大提高了網(wǎng)絡入侵檢測系統(tǒng)本身的抗攻擊實力。為了進一步提高IDS的抗攻擊實力，IDS還支持Stealth模式的配置，就是無IP設置。這樣攻擊者就無法訪問運行IDS平安工作站，也就無法對IDS進行干脆攻擊。產(chǎn)品部署說明（依據(jù)具體的網(wǎng)絡狀況描述）產(chǎn)品選型及功能描述（依據(jù)具體的產(chǎn)品描述）內(nèi)網(wǎng)平安解決方案面對網(wǎng)絡信息平安的各種風險，我們在邊界及網(wǎng)關處的平安解決方案解決了很多平安問題。例如：在網(wǎng)絡邊界，通過防火墻對網(wǎng)絡連接和訪問的合法性進行限制，通過網(wǎng)關過濾設備對數(shù)據(jù)流非法內(nèi)容進行限制；在網(wǎng)絡傳輸上，通過入侵檢測監(jiān)視黑客攻擊和非法網(wǎng)絡活動等。但針對于內(nèi)部網(wǎng)絡我們?nèi)耘f面臨著諸多的平安問題。傳統(tǒng)上，我們通過漏洞掃描發(fā)覺系統(tǒng)缺陷；在主機設備，通過主機加固加強主機防護實力，通過防病毒、反間諜軟件預防惡意代碼等。然而隨著網(wǎng)絡的發(fā)展，病毒及惡意代碼本身的技術越來越先進，其防護也越來越困難。而且隨著計算機技術及應用的普及，桌面用戶的行為也越來越超出網(wǎng)管員的管理實力范疇。因此，在考慮內(nèi)部網(wǎng)絡平安時，假如有效的管理網(wǎng)絡及終端將是我們考慮的主要問題。在此我們通過以下三種手段來完成基于終端的平安管理：通過部署網(wǎng)絡防病毒系統(tǒng)來完善企業(yè)整體防病毒及惡意威逼的實力；通過漏洞掃描或風險評估工具來發(fā)展漏洞、脆弱性及威逼，并通過補丁分發(fā)系統(tǒng)對漏洞及脆弱性進行剛好的矯正及補充；通過終端平安管理系統(tǒng)對桌面設備及用戶進行平安管理及規(guī)范，有效保證終端的平安。企業(yè)防病毒系統(tǒng)目前公司網(wǎng)絡系統(tǒng)中并沒有一套完整的防病毒策略和技術方案，工作站安裝的防病毒軟件各種各樣，甚至有些服務器與工作站沒有安裝防病毒軟件，部分工作上運用的防病毒軟件病毒特征代碼沒有剛好更新，沒有對防病毒軟件進行統(tǒng)一的管理。鑒于防病毒的重要性和資源服務器系統(tǒng)網(wǎng)絡的當前狀況，須要建立一套完整的防病毒系統(tǒng)，把病毒對網(wǎng)絡的威逼降到最低。目前企業(yè)整體防病毒解決方案均已比較成熟。在此我們針對傳統(tǒng)企業(yè)防病毒系統(tǒng)部署強調(diào)以下幾點：全面性：實施網(wǎng)絡防毒系統(tǒng)時，應當對網(wǎng)絡內(nèi)全部可能作為病毒借居、傳播及受感染的計算機進行有效防護。避開有“遺忘的角落”造成病毒傳播的源泉；功能及易用性：一方面須要對各種病毒進行有效殺、防；另一方面，也要強調(diào)網(wǎng)絡防毒在實施、操作，維護和管理中的簡潔、便利和高效，最大限度地減輕運用人員和維護人員的工作量；資源占用：防毒系統(tǒng)和企業(yè)現(xiàn)行計算機系統(tǒng)的兼容性、防毒軟件的運行效率及占用資源等是企業(yè)防病毒系統(tǒng)必需考慮的問題。部署時考慮到企業(yè)現(xiàn)有的計算環(huán)境及應用平臺，是否與需求資源相匹配；管理體系：為了保證防病毒系統(tǒng)的一樣性、完整性和自升級實力，還必須要有一個完善的病毒防護管理體系，負責病毒軟件的自動分發(fā)、自動升級、集中配置和管理、統(tǒng)一事務和告警處理、保證整個企業(yè)范圍內(nèi)病毒防護體系的一樣性和完整性。防病毒策略：這個是企業(yè)防病毒系統(tǒng)最簡潔被忽視的地方。系統(tǒng)必需明確地規(guī)定愛護的級別和所需實行的對策，并制定系統(tǒng)的防病毒策略和部署多層防衛(wèi)戰(zhàn)略，服務器防病毒、個人桌面計算機防病毒以及全部防病毒產(chǎn)品的統(tǒng)一管理，不要讓網(wǎng)絡系統(tǒng)中存在“木桶效應”。一個良好的防病毒解決方案須要做到“層層防護，到處設防”，全方位多層次部署防病毒體系。我們?yōu)楣揪W(wǎng)絡中供應一個穩(wěn)定高效、技術一流、便利管理、服務周全的病毒防護解決方案，滿意網(wǎng)絡系統(tǒng)對病毒防護系統(tǒng)設計的業(yè)務需求，確保網(wǎng)絡系統(tǒng)能有效抵擋各種病毒和惡意程序的攻擊。在公司網(wǎng)絡中建立病毒防護管理服務器，全部的防毒對象（工作站和服務器）均采納安裝代理的方式來實現(xiàn)集中控管。防毒服務器全面限制防毒代理的運行、升級和刪除等權限。可以通過防毒服務器自動分發(fā)防毒策略和防病毒升級特征庫，而整個防毒體系只須要網(wǎng)管與網(wǎng)絡平安管理中心的防毒服務器去Internet自動獲得病毒庫升級就可以自動完成全網(wǎng)的升級工作。極大地提高了防毒工作的效率。并且這種二層架構的網(wǎng)絡防毒體系具有很好的擴展性。產(chǎn)品選型及功能描述NOD32企業(yè)級防病毒平安套裝是一個高性能和穩(wěn)定的防病毒解決方案，它便利了對網(wǎng)絡中全部計算機的愛護配置和更新，這些計算機包括：工作站，文件服務器，Exchange和Domino郵件服務器，SMTP網(wǎng)關和邊界服務器。它不僅抵擋病毒，蠕蟲和特洛依木馬，還防護新的英特網(wǎng)攻擊，如垃圾郵件，間諜程序，撥號器，黑客工具和惡作劇，以及針對系統(tǒng)漏洞，并供應愛護阻擋平安冒險。入侵防護采納了新一代的防護技術，它比傳統(tǒng)的檢測系統(tǒng)更加智能化，能在第一時間發(fā)覺新的威逼，并阻斷企圖越過傳統(tǒng)防病毒軟件的未知病毒的攻擊，不管該未知病毒是以下列何種方式傳播：外圍設備、局域網(wǎng)共享資源、電子郵件E-mail、互聯(lián)網(wǎng)。入侵防護是市場上唯一一款集已知和未知威逼防護于一身的入侵防護軟件，能最大程度地抵擋病毒、木馬、蠕蟲等網(wǎng)絡威逼。入侵防護企業(yè)版主要特性包括：發(fā)覺并清除未知病毒：結合了多種惡意代碼程序的檢測及阻斷技術，能有效發(fā)覺并清除未知病毒。緩沖區(qū)溢出防護：不僅能抵擋已知的平安漏洞攻擊，而且能防護未知的攻擊。能在第一時間愛護系統(tǒng)內(nèi)的緩沖區(qū)溢出漏洞不會被惡意代碼利用作為攻擊的手段，即使還沒有任何針對該漏洞的資料和補丁程序。防護性的阻斷感染：可以在網(wǎng)絡層防止病毒和蠕蟲在企業(yè)網(wǎng)絡中傳播。平安政策定義：通過建立平安政策來限制計算機上運行的程序可執(zhí)行的操作，使網(wǎng)管人員能對企業(yè)網(wǎng)絡內(nèi)全部的計算機進行整體限制管理、定義并干預正值的及被禁止的操作。新一代的防護技術，能抵擋全部類型的互聯(lián)網(wǎng)威逼：包括病毒、木馬、蠕蟲等。無可比擬的集中式部署：能不受地域限制，對企業(yè)組織中全部的工作站進行客戶端分發(fā)和集中管理。占用資源最小化：是在低帶寬環(huán)境下愛護筆記本電腦的志向方案?；谕ㄓ脴藴实募夹g：優(yōu)化網(wǎng)絡內(nèi)的防病毒更新速度。友好直觀的用戶界面：避開混淆和誤操作。終端平安管理在第2章里我們針對終端的平安進行了具體風險及需求的分析。終端平安是我們整體解決方案里不行或缺的部分，因為終端平安是我們?nèi)粘Ｆ桨补ぷ魇亲钪匾彩琼氁P注最多的部分。因此相應的終端平安的解決方案必需做到：統(tǒng)一、敏捷的平安策略全部的平安管理都是通過策略集的定制和分發(fā)來完成的，支持集中的平安管理，便于整個系統(tǒng)的統(tǒng)一管理。平安策略分為用戶策略和全局策略兩類。一般狀況下，用戶終端工作在網(wǎng)絡環(huán)境下，接受在線環(huán)境下用戶策略的限制；對于移動辦公的筆記本電腦等移動終端，接受脫機狀況下全局策略的愛護。管理員可依據(jù)組織機構劃分管理權限，不同的管理者具有不同的權限和管轄范圍，支持系統(tǒng)清晰的職權劃分。平安策略可以分組分類，不同的策略組所起的限制作用和運用范圍也不同。為了簡化策略的管理，我們將用戶依據(jù)角色來管理；對不同的角色實施不同的平安策略。策略涉及多個層次：物理和環(huán)境、鏈路和操作、網(wǎng)絡、設備、系統(tǒng)、應用、數(shù)據(jù)、人員等各個層面的平安策略制定、部署和實施，幫助客戶有效實現(xiàn)網(wǎng)絡平安建設。策略層次如下圖所示：多層面、全方位愛護系統(tǒng)的愛護覆蓋了“系統(tǒng)內(nèi)核-系統(tǒng)設備-應用程序”三個層面，供應了全方位的愛護。在系統(tǒng)內(nèi)核層面，可自動、透亮地幫助用戶加固操作系統(tǒng)、降低IT資源風險。終端用戶勿需具備專業(yè)平安學問便可將自己的計算機終端加固到專家級程度，從而將精力關注于核心業(yè)務。在系統(tǒng)設備層面，嚴格限定用戶對硬件設備（例如：磁盤驅(qū)動器、CD-ROM、USB設備、打印機、網(wǎng)卡等）的運用權限和網(wǎng)絡傳輸限制，保證該主機遭遇攻擊或發(fā)起對外攻擊的可能性都極大降低，同時也防止數(shù)據(jù)信息泄露。在應用程序?qū)用?，嚴格限定用戶在指定電腦上的合法行為和禁止行為，保證了用戶只能在合法范圍內(nèi)正常運用電腦，避開了用戶對資源的濫用，也避開了由此造成的維護成本上升。智能化分析和異樣檢測機制系統(tǒng)通過特有的環(huán)境因子和用戶因子生成報警因子，并結合策略因子和歷史數(shù)據(jù)，共同輸入到?jīng)Q策引擎中；該引擎采納專有的平安算法，綜合分析推斷得出對某個事務是否報警。這樣就避開了大量誤報給管理員帶來的工作量。平安和管理相結合計算機終端的生命周期管理過程中，既涉及到平安愛護，也涵蓋終端管理，這兩項工作內(nèi)容都服務于業(yè)務目標，目的是保證IT業(yè)務和辦公的正常運行和健康發(fā)展。平安和管理的完善結合，正是終端管理系統(tǒng)設計的重要思想。產(chǎn)品選型與功能介紹IP-GUARD終端平安管理系統(tǒng)是為了應對目前終端面臨的眾多平安威逼而設計的一種平安管理產(chǎn)品，也是實現(xiàn)ELM策略的重要技術手段。供應了對終端生命周期管理（ELM）策略的全面技術支撐，涵蓋了資產(chǎn)管理、終端愛護、應用監(jiān)管、審計分析等功能模塊。以計算機終端為核心，通過完整、敏捷、適應用戶需求的措施，供應終端平安解決方案。KSMS面對企業(yè)級用戶，它部署在網(wǎng)絡中每一臺計算機終端，實現(xiàn)對終端的全面愛護，并且強調(diào)對網(wǎng)絡終端的統(tǒng)一限制管理。象一個時刻保衛(wèi)在用戶身邊的平安管理員，供應有效的平安愛護，確保計算機平安運用和企業(yè)級的統(tǒng)一管理。系統(tǒng)體系和結構由三個部分組成：策略服務器（KPS）、管理限制臺（KMC）、平安客戶端（KSA）。分布式的體系結構系統(tǒng)采納分布式體系結構，部署在網(wǎng)絡內(nèi)全部須要愛護的計算機終端，通過集中的管理中心進行限制管理。KSMS供應敏捷的部署實力，具有良好的擴展性。KSMS體系結構如下圖所示：在上圖中，平安管理中心包括策略服務器、管理限制臺、日志和審計數(shù)據(jù)庫。其中，日志和審計數(shù)據(jù)庫可采納獨立服務器，也可安裝部署在管理限制臺。須要愛護管理的計算機終端包括企業(yè)網(wǎng)絡環(huán)境中工作的各種PC、筆記本電腦、PC服務器等。接受愛護和管理的終端節(jié)點會產(chǎn)生各種平安審計信息，可集中傳輸并存放到日志審計數(shù)據(jù)庫，管理限制臺可以訪問和管理審計信息并進行統(tǒng)計分析。系統(tǒng)組成策略服務器策略服務器保存并分發(fā)平安策略。KPS負責系統(tǒng)的認證授權、策略管理的后臺支持，負責整個系統(tǒng)策略的發(fā)布和保存。支持分布式部署，能夠適用于大規(guī)模網(wǎng)絡環(huán)境的應用。管理限制臺KSMS管理限制臺實現(xiàn)系統(tǒng)的集中管理限制。負責用戶終端管理、策略定義和應用、系統(tǒng)設置、日志查詢和報表分析，為系統(tǒng)的管理供應統(tǒng)一的平臺，并支持用戶分權管理。平安客戶端平安客戶端接受限制臺的管理，執(zhí)行平安策略。KSA部署在須要愛護的用戶PC和服務器上，愛護計算機終端平安運用、約束用戶操作行為，系統(tǒng)將各種平安信息和日志傳遞到限制臺供管理員統(tǒng)一分析處理。主要功能資產(chǎn)管理企業(yè)級的資產(chǎn)管理功能，幫助管理員和信息主管充分駕馭企業(yè)范圍內(nèi)IT信息資產(chǎn)狀況，為加強IT管理供應依據(jù)。設備管理管理員可充分駕馭分散的計算機終端硬件配置及其變更狀況（例如主板、CPU、內(nèi)存、硬盤等），統(tǒng)籌管理，避開資產(chǎn)流失。軟件管理管理員可剛好駕馭客戶端安裝軟件及變更狀況（例如操作系統(tǒng)、版本、補丁、所安裝的應用軟件等），便于監(jiān)督管理。用戶管理員工用戶是企業(yè)資產(chǎn)的重要組成部分。供應基于按組織劃分的用戶角色的管理，管理員可在線查詢用戶終端操作系統(tǒng)、進程、設備狀況、性能狀態(tài)等多種信息。資產(chǎn)識別對非法終端、設備資產(chǎn)的真實性識別可通過綁定IP、MAC、用戶的方式實現(xiàn)。終端愛護KSMS企業(yè)級的強制平安策略，供應基礎架構愛護和資產(chǎn)愛護功能，通過多種手段全方位愛護計算機終端平安運用?；A架構愛護主要包括：終端網(wǎng)絡訪問限制、惡意程序綜合防范；資產(chǎn)愛護主要包括：設備運用限制、數(shù)據(jù)文件愛護。終端網(wǎng)絡訪問限制通過IP地址、IP/TCP/UDP/ICMP/IGMP協(xié)議、服務端口等限制，防止遭遇外來黑客攻擊，并且防止內(nèi)部終端對外（或內(nèi)部網(wǎng)絡其它終端）發(fā)起攻擊。惡意程序綜合防范實行多種方式綜合防范惡意程序破壞。通過端口限制，可阻擋特定蠕蟲攻擊；通過限制程序執(zhí)行，限制未知病毒發(fā)作；通過注冊表愛護，防止惡意代碼篡改；通過補丁管理，可剛好通知補丁信息，彌補漏洞；通過與KILL及各種主流防病毒軟件聯(lián)動，集成實現(xiàn)防病毒管理。設備運用限制通過限制串口/并口、軟驅(qū)/光驅(qū)、USB磁盤、各種形式打印機、PCMCIA卡、紅外、1394接口、多網(wǎng)卡/無線網(wǎng)卡、Modem/ADSL等設備運用，有效防止設備濫用、一機多網(wǎng)運用、信息通過設備泄露現(xiàn)象的發(fā)生，同時為加強IT制度管理供應技術保障。數(shù)據(jù)文件愛護通過數(shù)據(jù)訪問權限限制等方式，愛護數(shù)據(jù)、防止破壞和信息泄露。應用監(jiān)管通過多種方式對計算機終端應用狀況和用戶行為進行監(jiān)控管理。非法外聯(lián)限制通過網(wǎng)絡設備限制、網(wǎng)絡程序/連接限制等手段，限制終端非法外聯(lián)，對員工隨意訪問外部網(wǎng)絡的行為進行管理，同時避開從擔心全網(wǎng)絡引入平安風險。此外，還可通過聯(lián)動方式，限制終端必需經(jīng)過統(tǒng)一認證才能經(jīng)過濾網(wǎng)關連接到外部網(wǎng)絡。網(wǎng)絡準入限制可通過檢測發(fā)覺并防止非法終端（非KSMS客戶端）接入網(wǎng)絡，以此愛護企業(yè)網(wǎng)絡資源；此外，還可與交換機聯(lián)動，通過802.1x協(xié)議方式將非法終端隔離在網(wǎng)絡之外。程序限制可限制網(wǎng)絡程序，對QQ、MSN、網(wǎng)絡沖浪等行為進行管理；對嬉戲及業(yè)務無關行為進行技術限制；保證工作效率。網(wǎng)頁過濾預置上百萬條分類的URL網(wǎng)站（暴力、色情、賭博、邪教等）黑名單，可完全禁止訪問；另外可通過自定義黑白名單、關鍵字方式過濾非法網(wǎng)站和網(wǎng)頁，限制對禁止網(wǎng)頁的訪問。遠程維護當終端計算機用戶須要現(xiàn)場技術支持時，管理員可通過的遠程幫助功能幫助用戶解決技術問題，在特權許可狀況下對客戶端進行遠程維護和屏幕監(jiān)控，大幅提高工作效率。審計分析供應系統(tǒng)日志、認證日志、報警日志等等多種水晶報表格式的統(tǒng)計分析報告，為管理員供應平安分析依據(jù)。日志劃分為7個級別（緊急、警報、嚴峻、錯誤、警告、通知、提示），可選擇多種告警方式（聲音、郵件、Windows消息等）。應用平安解決方案在第2章里，我們對應用平安的風險及需求進行了具體的分析與定義。在我們整體解決方案中從以下的兩個方面來完善應用平安解決方案。身份認證平安管理解決方案在第2章的平安管理的風險及需求分析中，我們主要從技術層面和行政層面兩個方面來進行了闡述。事實上，平安管理是一個困難而漸進的過程，因為作為管理實力，是須要通過不斷的改進和提高。在公司的平安管理解決方案中，我們先從技術和行政這兩個層面對的平安管理進行一個基本設計，先建立一個基礎的平安管理平臺，然而我們會進一步如何建立有效的平安管理體系（SOC），實現(xiàn)可管理的平安進行初步的論述。平安管理平臺的建立技術層面作為信息平安管理平臺所要求的高效和平安應用，是離不開尖端的計算機技術作為基礎，當然也離不開企業(yè)的行政管理手段，因為沒有系統(tǒng)的管理措施，那么再新的技術也無法在系統(tǒng)中得到更好的應用。在技術方面通過專業(yè)的網(wǎng)絡綜合管理系統(tǒng)來建立一個基本平安管理中心的技術平臺。通過專業(yè)的網(wǎng)絡綜合管理系統(tǒng)來實現(xiàn)對網(wǎng)絡設備、主機設備、平安設備和應用系統(tǒng)的平安管理。由于公司的信息系統(tǒng)建設是分步進行的，網(wǎng)絡設備、應用系統(tǒng)以及平安設備、用戶平臺等具有多樣性，因此對管理平臺或系統(tǒng)的要求也比較高，必需采納專業(yè)的網(wǎng)絡綜合管理系統(tǒng)，對網(wǎng)絡中的全部設備以及系統(tǒng)平臺都能夠統(tǒng)一集中管理，獲得全部設備的工作狀態(tài)和網(wǎng)絡負載狀態(tài)，同時可以看到網(wǎng)絡活動的日志信息，用它來對網(wǎng)絡狀態(tài)進行分析，供應更有效的平安策略，同時網(wǎng)管系統(tǒng)能夠監(jiān)測客戶端系統(tǒng)狀態(tài)，能夠接管客戶端系統(tǒng)，當網(wǎng)絡中的么一用戶系統(tǒng)出現(xiàn)問題而自己卻無法診斷，這時可以通過網(wǎng)管系統(tǒng)進行遠程接管，來幫助用戶解決問題。行政層面在行政層面公司必需成立信息平安管理小組，通過小組會議確立信息平安政策總則、信息平安管理政策、信息平安審計考核及信息平安政策。信息平安政策總則主要是確定公司信息平安總體原則，明確今后的平安目標，有組織、有支配的為信息平安建設給出總體方向，是其它政策和標準的依據(jù)。信息平安管理政策主要是制定信息平安政策和標準流程、管理規(guī)范、推廣實施、定期維護；設置平安組織管理體系的結構；規(guī)定領導層對信息平安的責任、考核。信息平安策略主要是明確公司內(nèi)部全部用戶、全部應用的明確的平安細則，它是作為公司領導對全部用戶考核的依據(jù)。其具體信息平安政策應包括以下內(nèi)容：平安事務監(jiān)測和響應員工信息平安管理開發(fā)維護內(nèi)部軟件數(shù)據(jù)和文檔管理商業(yè)軟件的購買和維護網(wǎng)站、電子郵件硬件設備和物理平安信息系統(tǒng)的訪問限制網(wǎng)絡、系統(tǒng)操作和管理防衛(wèi)病毒和防衛(wèi)攻擊信息平安審計指定審計和考核標準的目的是為了考察信息平安政策和標準的執(zhí)行狀況，剛好發(fā)覺問題，訂正問題。這有助于信息平安政策的改進和完善。政策中應當包含審計考核的標準、審計考核時間、方法、結果的處理。在行政層面部分內(nèi)容，如信息系統(tǒng)平安策略設計、具體的平安策略制訂等可以通過外部專業(yè)的平安詢問公司進行詢問，然后結合企業(yè)的信息平安建設來制訂。此部分內(nèi)容我們將在下一部分平安服務解決方案里進行進一步的闡述。平安運營中心（SOC）信息平安管理的發(fā)展，隨著平安需求的提升也不斷的發(fā)展。近幾年以來，平安運營中心（SOC）的概念及技術發(fā)展的也越來越成熟。部分涉足比較早的企業(yè)和服務商已經(jīng)有了比較勝利的實施案例。在公司的平安管理解決方案中，我們在基礎的平安管理平臺之上，也提出關于建立有效的平安運營中心（SOC），實現(xiàn)可管理的平安服務。SOC基礎傳統(tǒng)的平安管理方式是將分散在各地、不同種類的平安防護系統(tǒng)分別管理，這樣導致平安信息分散互不相通，平安策略難以保持一樣，這種傳統(tǒng)的管理運行方式因此成為許很多多平安隱患形成的根源。平安運營中心（SecurityOperationCenter）是針對傳統(tǒng)管理方式的一種重大變革。它將不同位置、不同平安系統(tǒng)中分散且海量的單一平安事務進行匯總、過濾、收集和關聯(lián)分析，得出全局角度的平安風險事務，并形成統(tǒng)一的平安決策對平安事務進行響應和處理。總體來說SOC的根本模型就是PDR模型，而SOC系統(tǒng)就是實現(xiàn)其中的D（Detection，檢測）和R（Response，響應）。SOC的需求主要是從以下幾個方面得到體現(xiàn)：大系統(tǒng)的管理通常平安系統(tǒng)是分別獨立逐步的建立起來的，比如防病毒系統(tǒng)、防火墻系統(tǒng)、入侵檢測系統(tǒng)等，各個系統(tǒng)都有單獨的管理員或者管理限制臺。這種相對獨立的部署方式帶來的問題是各個設備獨立的配置、各個引擎獨立的事務報警，這些分散獨立的平安事務信息難以形成全局的風險觀點，導致了平安策略和配置難于統(tǒng)一協(xié)調(diào)。這種對于大規(guī)模系統(tǒng)的平安管理也正是SOC的需求根源，就是說只有大系統(tǒng)、擁有困難應用的系統(tǒng)才有SOC的需求。海量信息數(shù)據(jù)隨著平安系統(tǒng)建設越來越大，除了須要協(xié)調(diào)各個平安系統(tǒng)之間的問題之外，由于平安相關的數(shù)據(jù)量越來越大，有些關鍵的平安信息和告警事務經(jīng)常被低價值或無價值的告警信息所沉沒，一些全局性的、影響重大的問題很難被分析和提煉出來。為了從大量的、孤立的單條事務中精確的發(fā)覺全局性的、整體的平安威逼行為，須要SOC這樣一個平臺使得整個平安體系的檢測實力更加精確，更加集中于影響重大的焦點問題。信息平安目標我們知道傳統(tǒng)的信息平安有7個屬性，即保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真實性（Authenticity）、不行否認性（Nonreputiation）、可追究性（Accountability）和可控性/可治理性（Controllability/Governability）。信息平安的目標是要確保全局的掌控，確保整個體系的完整性，而不僅限于局部系統(tǒng)的完整性；對于平安問題、事務的檢測要能夠匯總和綜合到中心監(jiān)控體系，確?？勺肪啃允钦麄€體系的可追究性。SOC的出現(xiàn)就是為了確保對全局的掌控，實現(xiàn)全面支撐信息平安管理目標。全局可控性可控性是信息平安7個屬性中最重要的一個，可控性最重要的體現(xiàn)是全局監(jiān)控、預警實力和應急響應處理實力。全局預警就是要建立全局性的平安狀況收集系統(tǒng)，對于新的平安漏洞和攻擊方法的剛好了解，針對體系內(nèi)局部發(fā)生的平安入侵等事務進行響應。我們通常用水桶效應來描述分布式系統(tǒng)的平安性問題，認為整個系統(tǒng)的平安性取決于水桶中最薄弱的一塊木條。SOC就像是這個水桶的箍，有了這個箍，水桶就很難崩潰，即使出現(xiàn)個別的漏洞，也不至于對整個體系造成災難性的破壞。SOC充分利用所駕馭的空間、時間、學問、實力等資源優(yōu)勢，形成全局性的資源協(xié)調(diào)體系，為系統(tǒng)的全局可控性供應有力的保障。SOC的基本實施有關SOC的基本實施，不同的供應商與實施方都有著不同的理解，其實施的具體方式與結果均不盡相同。在此我們結合啟明星辰SOC理論來進行平安管理運營解決方案論述。SOC的體系結構這里的平安管理運營解決方案是由“四個中心、三個平臺”組成的統(tǒng)一平安管理平臺?！八膫€中心”是弱點評估中心、事務監(jiān)控中心、風險管理中心和應急響應中心；“三個平臺”是策略和配置平臺、學問管理平臺和資源管理平臺。四個中心事務監(jiān)控中心監(jiān)控各個網(wǎng)絡設備、操作系統(tǒng)等日志信息，以及平安產(chǎn)品的平安事務報警信息等，以便剛好發(fā)覺正在和已經(jīng)發(fā)生的平安事務，例如網(wǎng)絡蠕蟲攻擊事務、非授權漏洞掃描事務、遠程口令暴力破解事務等，剛好協(xié)調(diào)和組織各級平安管理機構進行處理，剛好實行主動主動措施，保證網(wǎng)絡和業(yè)務系統(tǒng)的平安、牢靠運行。弱點評估中心通過弱點評估中心可以駕馭全網(wǎng)各個系統(tǒng)中存在的平安漏洞狀況，結合當前平安的平安動態(tài)和預警信息，有助于各級平安管理機構剛好調(diào)整平安策略，開展有針對性的平安工作，并且可以借助弱點評估中心的技術手段和平安考核機制可以有效督促各級平安管理機構將平安工作落實。風險管理中心整個風險管理中心的運作可以通過事務監(jiān)控中心和弱點評估中心所駕馭的全網(wǎng)平安動態(tài)，有針對性指導各級平安管理機構做好平安防范工作，特殊是針對當前發(fā)生頻率較高的攻擊做好預警和防范工作。本中心是從檢測到響應的中樞環(huán)節(jié)，匯總和分析也是在這里實現(xiàn)的。應急響應中心僅僅剛好檢測到平安事務是不夠的，必需做出即時的、正確的響應才能保證網(wǎng)絡的平安。應急響應中心作為平安管理運營解決方案的重要組成部分之一為應急響應服務實現(xiàn)工具化、程序化、規(guī)范化供應了管理平臺。應急響應中心主要是通過工單管理系統(tǒng)來實現(xiàn)的。應急響應中心接收由風險管理中心依據(jù)平安威逼事務生成的事務通知單，并對事務通知單的處理過程進行管理，將全部事務響應過程信息存入后臺數(shù)據(jù)庫，并可生成事務處理和分析報告。三個平臺策略和配置管理平臺網(wǎng)絡平安的整體性要求須要有統(tǒng)一平安策略的管理。通過為全網(wǎng)平安管理人員供應統(tǒng)一的平安策略，指導各級平安管理機構因地制宜的做好平安策略的部署工作，有利于在全網(wǎng)形成平安防范的合力，提高全網(wǎng)的整體平安防衛(wèi)實力，同時通過平安管理運營解決方案策略和配置管理平臺的建設可以進一步完善整個IP網(wǎng)絡的平安策略體系建設，為指導各項平安工作的開展供應行動指南，有效解決目前因缺乏口令、認證、訪問限制等方面策略而帶來到平安風險問題。學問管理平臺統(tǒng)一的平安策略、平安學問庫信息等信息的發(fā)布，不僅可以充分共享各種平安信息資源，而且也會成為各級平安管理機構之間進行平安閱歷溝通的平臺，有助于提高全網(wǎng)的平安技術水平和實力。足夠的平安學問和信息是各個角色正確工作的基礎。資源管理平臺資源管理平臺主要包括兩個方面：人力資源管理和資產(chǎn)管理。人力資源管理保證在須要的時候，可以找到合適的人。資產(chǎn)管理主要是管理平安管理運營解決方案監(jiān)控范圍的各個系統(tǒng)和設備，是風險管理、事務監(jiān)控協(xié)同工作和分析的基礎。SOC的功能特點實時事務關聯(lián)分析事務監(jiān)控中心對來自不同平安系統(tǒng)的報警信息進行實時的關聯(lián)分析，關聯(lián)分析的整個過程都是在內(nèi)存中進行的，并依據(jù)威逼程度的大小對平安事務進行排序，對不同威逼程度的平安事務通過不同顏色來著重顯示。多樣化顯示方式事務監(jiān)控中心供應了多種實時顯示方式，如網(wǎng)絡拓撲方式、雷達方式、柱形圖等，直觀的將平安威逼數(shù)據(jù)呈現(xiàn)給用戶。豐富直觀的報表SOC平安管理運營解決方案供應了豐富的報表模板供用戶選擇，除了文字總結還可以用清晰直觀的圖形化方式將報表呈現(xiàn)給用戶。廣泛的平臺支持SOC平安管理運營解決方案支持從各種主流平安系統(tǒng)收集平安事務數(shù)據(jù)，并可以和網(wǎng)管系統(tǒng)實現(xiàn)結合管理。能夠支持產(chǎn)品：防火墻系統(tǒng)：CheckpointNG/NGAIandProvider-1,CiscoPIX,Netscreen,SecureComputingSidewinderG2.入侵監(jiān)測系統(tǒng)：啟明星辰天闐IDSEnterasysDragon,ISSRealSecure,CiscoSecureIDS,Snort,SymantecManhunt,nCircleIP360.防病毒系統(tǒng)：SophosSymantecCorporate(Norton)McAfeeePOTrendMicro.漏洞掃描系統(tǒng)：啟明星辰天鏡ScannereEyeRetinanCircleIP360NessusISSScannerFoundstoneFoundscan.網(wǎng)管系統(tǒng)：HPOpenView,MicroMuseNetCool,CAUniCenter.其他：WindowsEventLogUNIXSyslogTripwireSNMPSNMPTraps.定制化：基于日志的數(shù)據(jù)源通?？梢栽谝恢茏笥叶ㄖ苹瓿扇觞c評估管理SOC平安管理運營解決方案的弱點評估中心通過人工審計和漏洞掃描工具兩種方式，收集整個網(wǎng)絡的弱點狀況并進行統(tǒng)一管理，使得管理人員可以清晰的駕馭全網(wǎng)的平安健康狀況。弱點評估管理具有統(tǒng)一的可視界面，顯示各個系統(tǒng)的平安漏洞分布狀況，包括以下內(nèi)容：該漏洞相關的鏈接信息，包括CVE編號、漏洞描述、受影響的系統(tǒng)類型以及漏洞的解決方案等信息；統(tǒng)計信息，即給出漏洞的分布、數(shù)量等統(tǒng)計信息。SOC全管理運營解決方案支持多種漏洞掃描工具，包括啟明星辰的天鏡漏洞掃描系統(tǒng)、ISSScanner、eEyeRetina、Nessus、FoundstoneFoundscan等。應急響應管理SOC平安管理運營解決方案的應急響應管理是通過工作流系統(tǒng)實現(xiàn)的。該系統(tǒng)是特地針對平安事務的處理過程，依據(jù)具體的平安響應流程進行定制的。事務監(jiān)控中心監(jiān)測到平安事務后有專人生成新的工單，一方面有專人會通過系統(tǒng)報警的方式收到通知并在規(guī)定的時間內(nèi)對工單進行接收，并進入對平安事務的處理階段，另一方面工單跟蹤模塊會對工單被派發(fā)后的整個過程進行跟蹤，進行工單收回、重新派發(fā)等工作。工單處理結果可能有兩種可能：一種是平安事務被解決，這個工單就被關閉，同時工單的內(nèi)容被保存到學問庫中，作為歷史記錄和以后參考用；另一種狀況是平安事務因為某些緣由沒有被徹底解決，這個工單所包含的問題會被重新處理考慮，生成新的工單，進入新的工單處理流程。應急響應管理完善了從防護到檢測再到響應的一個平安事務處理過程的閉環(huán)。全面學問管理SOC平安管理運營解決方案的學問管理平臺既供應一般學問管理功能，比如平安學問庫、培訓和人員考核等，也供應了強大的漏洞庫、事務特征庫、補丁庫、平安配置學問庫和應急響應學問庫等。SOC的實現(xiàn)綜合以上有關SOC的理論、體系及功能實現(xiàn)，可以了解到SOC是平安管理平臺的更高級發(fā)展，建設SOC的目的是提升企業(yè)平安管理的實力，也是進一步提高企業(yè)信息化水平及實力。從整體上來講是提升企業(yè)的管理實力。實現(xiàn)可管理的服務。目前市場上的SOC解決方案并不是很成熟，國際國內(nèi)也沒有成熟的SOC體系或標準。因此，企業(yè)是建設自身的SOC平臺時，對市場解決方案及自身的管理水平要有充分的相識，選擇合理合適的平安管理解決方案，這樣才能進一步提高企業(yè)的信息化管理實力。平安服務解決方案在整體信息平安體系的建設中，除了針對具體的平安風險及問題進行基于產(chǎn)品和技術的解決方案后，須要對信息平安的管理平臺進行建設，以期達到相應的平安目標。這一點我們在上節(jié)的平安管理解決方案里已經(jīng)進行了描述。須要指出的是，整體信息平安體系的建設中，僅僅依靠自身的力氣進行平安方案建設、平安管理建設等，均不能夠充分的平安保障。所以在這里，我們引入了平安體系建設中的重要一環(huán)，即平安服務的建設。事實上平安服務可以簡潔理解為，有效的引入外部的專業(yè)服務資源，為企業(yè)供應更高級別的平安服務實力。在完善自身平安建設的同時，幫助企業(yè)提高平安管理的實力。在此，我們依據(jù)公司的平安建設的整體狀況，供應了如下6類最基本的平安服務內(nèi)容：平安詢問服務；平安評估服務；平安加固服務；日常維護服務；應急響應服務；平安培訓服務。平安詢問服務公司目前缺乏一個企業(yè)總體范圍的、負責制定和實施的平安管理機制部門，難以保證平安制度建立和實施及決策層平安決策的有效性和一樣性。信息平安管理職能分散在各個部門，缺少一個強有力的干脆向最高領導負責職能部門，協(xié)調(diào)整個企業(yè)內(nèi)部的信息平安工作的，因此平安政策的執(zhí)行可能會缺乏力度，平安事務處理依據(jù)和結果可能會不一樣。由此可見，公司急需在專業(yè)平安服務廠商的幫助下，建立起適合自身企業(yè)特點和管理運作方式的網(wǎng)絡平安管理職能部門，來負責協(xié)調(diào)、管理整個公司業(yè)務網(wǎng)絡的平安問題。在此基礎上，由平安服務廠商在對現(xiàn)有業(yè)務流程和管理制度做充分調(diào)研的基礎上，幫助公司制定一套操作性強的平安策略體系，用以指導公司各個業(yè)務單位日常的網(wǎng)絡平安工作。詢問服務內(nèi)容制定公司的網(wǎng)絡平安管理組織架構，幫助公司建立企業(yè)內(nèi)的網(wǎng)絡平安管理小組，并制定小組成員職責文檔；制定公司網(wǎng)絡平安管理策略體系，供應一系列的主策略及子策略管理文檔；依據(jù)公司相關部門人員的不同角色供應不同級別的平安培訓，提高相關人員的整體平安意識和網(wǎng)絡平安技術水平；設計組織架構及平安策略時的參考規(guī)范ISO/IEC17799-2000《信息平安管理好用規(guī)則》ISO/IEC13335《信息技術平安管理指南》ISO7498-2《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型-平安體系結構》SSE-CMM《系統(tǒng)平安工程實力成熟模型》GB/T18336-2001《信息技術平安技術信息技術平安性評估準則》GB/T17859-1999《計算機信息系統(tǒng)平安等級愛護劃分準則》其他國家法律、法規(guī)等平安評估服務平安評估模型平安風險模型的建立來自于BS7799的思想，它是整個風險評估方案的主導。信息資產(chǎn)由于自身的脆弱性，使得威逼的發(fā)生成為可能，從而形成風險。一旦平安事務發(fā)生，就會造成各種不同的影響。換句話說，風險分析的過程事實上就是對影響、威逼和脆弱性分析的過程，但它們都緊緊圍圍著資產(chǎn)為中心。在風險評估階段，資產(chǎn)的價值、資產(chǎn)破壞后造成的影響、威逼的嚴峻程度、威逼發(fā)生的可能性、資產(chǎn)的脆弱程度都成為風險評估的關鍵因素。在風險模型中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，而其估價準則就是依靠于對其影響的分析，從資產(chǎn)的相對價值中體現(xiàn)了威逼的嚴峻程度。這樣，威逼評估就僅僅成了對資產(chǎn)所受威逼發(fā)生可能性的評估。脆弱性的評估是對資產(chǎn)脆弱程度的評估。平安風險評估就是通過綜合分析評估后的資產(chǎn)信息、威逼信息和脆弱性信息，最終生成風險信息。圖1：平安風險模型平安評估流程平安風險評估流程是平安風險模型的體現(xiàn)，因此首次整個評估的過程可以分為以下幾個階段：第一階段確定評估范圍階段，調(diào)查并了解公司網(wǎng)絡系統(tǒng)業(yè)務的流程和運行環(huán)境，確定評估范圍的邊界以及范圍內(nèi)的全部網(wǎng)絡系統(tǒng)應用；其次階段是資產(chǎn)的識別和估價階段，對評估范圍內(nèi)的全部資產(chǎn)進行識別，并調(diào)查資產(chǎn)破壞后可能造成的影響大小，依據(jù)影響的大小為資產(chǎn)進行相對賦值；第三階段是平安威逼評估階段，首先通過問卷調(diào)查和IDS取樣等方式識別出資產(chǎn)所面臨的每種威逼，并評估它們發(fā)生的可能性；第四階段是脆弱性評估階段，包括從技術和管理方面進行的脆弱度檢查，特殊是技術方面，以平安掃描、手動檢查、滲透測試等眾多技術手段進行評估；第五階段是風險的分析階段，即通過分析上面所評估的數(shù)據(jù)，進行風險值計算、區(qū)分和確認高風險因素；第六階段是風險的管理階段，這一階段主要是總結整個風險評估過程，制定相關風險限制策略，建立風險評估報告，實施某些緊急風險限制措施（如平安修補和加固）。風險評估的標準整個平安風險評估項目，將主要依據(jù)相關信息平安標準供應指導，并遵循了相關國家的法律法規(guī)政策。我們采納國際信息平安管理標準BS7799的風險管理思想作為貫穿整個風險評估過程的主要指導規(guī)范，為最終建立完善、全面的公司網(wǎng)絡系統(tǒng)平安管理體系供應依據(jù)。另外，在風險等關鍵因素的評估方面，我們還參考了SSE-CMM、ISO15408和ISO13335標準。同時，SSE-CMM指導了本次項目的工程實施，ISO15408、ISO13335在平安方案的制定等方面都供應了規(guī)范化的指導。其中在評估過程中涉及到的一些技術細微環(huán)節(jié)問題，我們將嚴格遵循和執(zhí)行相關國家的法律法規(guī)政策。平安加固服務平安加固服務是指依據(jù)先期平安評估的結果，制定統(tǒng)一的平安策略，對網(wǎng)絡及應用系統(tǒng)進行管理加強、環(huán)境優(yōu)化增加及平安域規(guī)劃和系統(tǒng)加固等工作，通過平安加固及增加服務后，使整個網(wǎng)絡及應用系統(tǒng)的平安狀況提升到一個較高的水平。平安加固原則我們依據(jù)平安評估結果，結合各種操作系統(tǒng)的平安特性，對加固對象進行修補加固。利用修補和加固解決在平安評估中發(fā)覺的各種技術性平安問題，基本保證在客觀環(huán)境允許的狀況下被加固對象應不再存在高風險漏洞和中風險漏洞(依據(jù)CVE標準定義)，對于由于業(yè)務環(huán)境緣由無法進行修補的漏洞，我們會分析漏洞的對系統(tǒng)平安性影響并提出相應的解決建議，同時記錄在遺留問題記錄中，以備后續(xù)參考。另外，在修補和加固完成后應不影響修補加固對象原有的功能和性能。其中，在加固方案設計和加固實施過程中將遵循以下原則：標準性原則：加固方案的設計與實施應依據(jù)國內(nèi)或國際的相關標準進行；規(guī)范性原則：工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和限制；可控性原則：加固的方法和過程要在雙方認可的范圍之內(nèi)，加固服務的進度要跟上進度表的支配，保證公司網(wǎng)絡系統(tǒng)對于加固工作的可控性；整體性原則：加固的范圍和內(nèi)容應當整體全面，包括平安涉及的各個層面，避開由于遺漏造成將來的平安隱患；最小影響原則：加固工作應盡可能小的影響系統(tǒng)和網(wǎng)絡的正常運行，不會對正在的運行和業(yè)務的正常供應產(chǎn)生顯著影響；保密原則：對加固的過