網(wǎng)絡安全方案

1、目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 網(wǎng)絡安全問題2 HYPERLINK l bookmark10 o Current Document 設計的安全性2 HYPERLINK l bookmark13 o Current Document 網(wǎng)絡拓撲結構圖3 HYPERLINK l bookmark16 o Current Document 設備選型3 HYPERLINK l bookmark19 o Current Document 安全隔離與信息交換系統(tǒng)4 HYPERLINK l bookmark22 o Curre

2、nt Document 應急指揮調(diào)度系統(tǒng)6 HYPERLINK l bookmark25 o Current Document 網(wǎng)絡安全審計系統(tǒng)7 HYPERLINK l bookmark28 o Current Document 服務器群組防護系統(tǒng)8 HYPERLINK l bookmark31 o Current Document 數(shù)據(jù)庫審計系統(tǒng)9 HYPERLINK l bookmark34 o Current Document 總結11網(wǎng)絡安全問題隨著國內(nèi)計算機和網(wǎng)絡技術的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務系統(tǒng)都立足于 Internet/Intranet環(huán)境中.但隨之而來的安全

3、問題也在困擾著用戶。Internet所具有的開放性、國際性和自由 性在增加應用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡系統(tǒng)安全受到嚴重威脅，甚至處于癱瘓 狀態(tài)，將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟損失。應此如何使企業(yè)信息網(wǎng)絡系統(tǒng)免受黑客和 病毒的入侵，巳成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一.一般企業(yè)網(wǎng)絡的應用系統(tǒng)，主要有WEB、 Email、OA、MIS、財務系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡體系結構也會變得越來越復雜， 應用系統(tǒng)也會越來越多。但從整個網(wǎng)絡系統(tǒng)的管理上來看，通常包括內(nèi)部用戶，也有外部用戶，以及內(nèi)外網(wǎng) 之間。因此，一般整個企業(yè)的網(wǎng)絡系統(tǒng)存在三個方面的安

4、全問題：Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、 垃圾郵件泛濫、敏感信息泄露等巳成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當遭遇這些威脅時， 往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失也很大。企業(yè)內(nèi)網(wǎng)的安全性:最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡處理私人事務。對網(wǎng) 絡的不正當使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡、消耗企業(yè)網(wǎng)絡資源、并引入病毒和間諜，或者使得不法員 工可以通過網(wǎng)絡泄漏企業(yè)機密，從而導致企業(yè)數(shù)千萬美金的損失.所以企業(yè)內(nèi)部的網(wǎng)絡安全同樣需要重視， 存在的安全隱患主要

5、有未授權訪問、破壞數(shù)據(jù)完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全 策略、缺乏監(jiān)控和防范技術手段、缺乏有效的手段來評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集 中數(shù)據(jù)備份及災難恢復措施等。內(nèi)部網(wǎng)絡之間、內(nèi)外網(wǎng)絡之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總 部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的 信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏巳經(jīng)成為企業(yè)成長過程中不得不考慮的問 題.各地機構與總部之間的網(wǎng)絡連接安全直接影響企業(yè)的高效運作.設計的安全性設計的安全性通過對網(wǎng)絡系統(tǒng)的風險分析及需要解決的安

6、全問題，我們需要制定合理的安全策略及安全 方案來確保網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即， 可用性：授權實體有權訪問 數(shù)據(jù) 機密性：信息不暴露給未授權實體或進程 完整性：保證數(shù)據(jù)不被未授權修改 可控性：控 制授權范圍內(nèi)的信息流向及操作方式可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段 訪問控制：需要由 防火墻將內(nèi)部網(wǎng)絡與外部不可信任的網(wǎng)絡隔離，對與外部網(wǎng)絡交換數(shù)據(jù)的內(nèi)部網(wǎng)絡及其主機、所交換的數(shù)據(jù) 進行嚴格的訪問控制。同樣，對內(nèi)部網(wǎng)絡，由于不同的應用業(yè)務以及不同的安全級別，也需要使用防火墻將 不同的LAN或網(wǎng)段進行隔離，并實現(xiàn)相互的訪問控制。 數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程

7、 中防止非法竊取、篡改信息的有效手段。 安全審計：是識別與防止網(wǎng)絡攻擊行為、追查網(wǎng)絡泄密行為的重要措施之一.具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡各種違規(guī)操作與攻擊行 為，即時響應（如報警）并進行阻斷；二是對信息內(nèi)容的審計，可以防止內(nèi)部機密或敏感信息的非法泄漏.網(wǎng)絡拓撲結構圖設備選型傳統(tǒng)的組網(wǎng)已經(jīng)不能滿足現(xiàn)在網(wǎng)絡應用的變化了，在組網(wǎng)的初期必須考慮到安全和網(wǎng)絡的問 題。免疫網(wǎng)絡的主要理念是自主防御和管理，它通過源頭抑制、群防群控、全網(wǎng)聯(lián)動使網(wǎng)絡內(nèi)每 一個節(jié)點都具有安全功能，在面臨攻擊時調(diào)動各種安全資源進行應對.它具有安全和網(wǎng)絡 功能融合、全網(wǎng)設備聯(lián)動、可信接入、深度防御和

8、控制、精細帶寬管理、業(yè)務感知、全網(wǎng)監(jiān) 測評估等主要特征.下面讓我們看看這幾個特征的距離內(nèi)容安全和網(wǎng)絡功能的融合 網(wǎng) 絡架構的融合，主要包括網(wǎng)關和終端的融合網(wǎng)關方面：ARP先天免疫原理一NAT表中添加源MAC地址濾窗防火墻-封包檢測，IP分片檢查5 UDP洪水終端方面：驅(qū)動部分一免疫標記網(wǎng)絡協(xié)議的融合-行為特征和網(wǎng)絡行為 的融合全網(wǎng)設備的聯(lián)動 驅(qū)動與運營中心的聯(lián)動分收策略驅(qū)動與驅(qū)動的聯(lián)動IP地址 沖突網(wǎng)關和驅(qū)動的聯(lián)動群防群控 運營中心和網(wǎng)關的聯(lián)動（外網(wǎng)攻擊，上下線可信接 入 MAC地址的可信（類似于DNA），生物身份傳輸?shù)目尚牛庖邩擞洠┥疃确烙?控制深入到每個終端的網(wǎng)卡深入到協(xié)議的最低層深入

9、到二級路由，多級路由器下精 細帶寬管理 身份精細一IP/MAC的精確位置精確一終端驅(qū)動路徑細分（特殊的IP） 流量去向（內(nèi),公網(wǎng)）應用流控（QQ,MSN）業(yè)務感知 協(xié)議區(qū)分和應用感知 它與防 火墻（FW）、入侵檢測系統(tǒng)（IDS）、防病毒等“老三樣組成的安全網(wǎng)絡相比，突破了被動 防御、邊界防護的局限，著重從內(nèi)網(wǎng)的角度解決攻擊問題，應對目前網(wǎng)絡攻擊復雜性、多樣 性、更多從內(nèi)網(wǎng)發(fā)起的趨勢，更有效地解決網(wǎng)絡威脅。 同時,安全和管理密不可分。免疫 網(wǎng)絡對基于可信身份的帶寬管理、業(yè)務感知和控制，以及對全網(wǎng)安全問題和工作效能的監(jiān)測、 分析、統(tǒng)計、評估，保證了企業(yè)網(wǎng)絡的可管可控，大大提高了通信效率和可靠性。安

10、全架構分析根據(jù)企業(yè)網(wǎng)絡現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行考慮： 網(wǎng)絡傳輸保護主要是數(shù)據(jù)加密保護主要網(wǎng)絡安全隔離通用措施是采用防火墻網(wǎng)絡病毒防護采用網(wǎng)絡防病毒系統(tǒng) 廣域網(wǎng)接入部分的入侵檢測 采用入侵檢測系統(tǒng) 系統(tǒng)漏洞 分析采用漏洞分析設備定期安全審計 主要包括兩部分：內(nèi)容審計和網(wǎng)絡通信審計 重要數(shù)據(jù)的備份 重要信息點的防電磁泄露 網(wǎng)絡安全結構的可伸縮性 包括安全設 備的可伸縮性，即能根據(jù)用戶的需要隨時進行規(guī)模、功能擴展 網(wǎng)絡防雷（2）網(wǎng)絡安全 作為企業(yè)應用業(yè)務系統(tǒng)的承載平臺，網(wǎng)絡系統(tǒng)的安全顯得尤為重要.由于許多重 要的信息都通過網(wǎng)絡進行交換，安全隔離與信息交換系統(tǒng)專網(wǎng)業(yè)務涉密網(wǎng)與辦公

11、業(yè)務非涉密網(wǎng)間,根據(jù)業(yè)務及應用特點，以需求為導向，以應用為核心，以方便群眾為 最終目的，利用先進理念和技術，以提高我機關工作效率，充分利用現(xiàn)有資源和技術力量，實現(xiàn)系統(tǒng)的計算機 網(wǎng)絡化處理和應用，根據(jù)實際存在數(shù)據(jù)雙向交換的需求和國家相關主管部門的要求在充分做到安全保證的 前提下，允許非涉密數(shù)據(jù)在兩個網(wǎng)絡間交換。1.1技術實現(xiàn)安全隔離與信息交換系統(tǒng)（網(wǎng)閘）的工作基于人工信息交換的操作模式，即由內(nèi)外網(wǎng)主機模塊分別負責接 收來自所連接網(wǎng)絡的訪問請求，兩模塊間沒有直接的物理連接，形成一個物理隔斷，從而保證可信網(wǎng)和非可 信網(wǎng)之間沒有數(shù)據(jù)包的交換，沒有網(wǎng)絡連接的建立。在此前提下，通過專有硬件實現(xiàn)網(wǎng)絡間信息的

12、實時交 換.這種交換并不是數(shù)據(jù)包的轉(zhuǎn)發(fā)，而是應用層數(shù)據(jù)的靜態(tài)讀寫操作，因此可信網(wǎng)的用戶可以通過安全隔離 與信息交換系統(tǒng)（網(wǎng)閘）放心的訪問非可信網(wǎng)的資源，而不必擔心可信網(wǎng)的安全受到影響.信息通過網(wǎng)閘傳遞需經(jīng)過多個安全模塊的檢查，以驗證被交換信息的合法性.當訪問請求到達內(nèi)外網(wǎng)主機模 塊時，首先由網(wǎng)閘實現(xiàn)TCP連接的終結，確保TCP/IP協(xié)議不會直接或通過代理方式穿透網(wǎng)閘；然后，內(nèi)外 網(wǎng)主機模塊會依據(jù)安全策略對訪問請求進行預處理，判斷是否符合訪問控制策略，并依據(jù)RFC或定制策略對 數(shù)據(jù)包進行應用層協(xié)議檢查和內(nèi)容過濾,檢驗其有效載荷的合法性和安全性。一旦數(shù)據(jù)包通過了安全檢查， 內(nèi)外網(wǎng)主機模塊會對數(shù)據(jù)包

13、進行格式化，將每個合法數(shù)據(jù)包的傳輸信息和傳輸數(shù)據(jù)分別轉(zhuǎn)換成專有格式數(shù) 據(jù)，存放在緩沖區(qū)等待被隔離交換模塊處理。這種“靜態(tài)”的數(shù)據(jù)形態(tài)不可執(zhí)行，不依賴于任何通用協(xié)議，安全隔離與信息交換系統(tǒng)（網(wǎng)閘）通過專有的隔離交換卡實現(xiàn)內(nèi)外網(wǎng)主機模塊的緩沖區(qū)內(nèi)存映射功能，將指定 區(qū)域的數(shù)據(jù)復制到對端相應的區(qū)域，完成數(shù)據(jù)的交換。隔離交換卡內(nèi)嵌安全芯片，采用高速全雙工流水線 設計，內(nèi)部吞吐速率達2Gbps，完全可以滿足高速數(shù)據(jù)交換的需要.隔離交換模塊固化控制邏輯，與內(nèi)外網(wǎng) 模塊間只存在內(nèi)存緩沖區(qū)的讀寫操作，沒有任何網(wǎng)絡協(xié)議和數(shù)據(jù)包的轉(zhuǎn)發(fā)。隔離交換子系統(tǒng)采用互斥機制, 在讀寫一端主機模塊的數(shù)據(jù)前先中止對另一端的操作，

14、確保隔離交換系統(tǒng)不會同時對內(nèi)外網(wǎng)主機模塊的數(shù) 據(jù)進行處理，以保證在任意時刻可信網(wǎng)與非可信網(wǎng)間不存在鏈路層通路，實現(xiàn)網(wǎng)絡的安全隔離.當內(nèi)外網(wǎng)主 機模塊通過隔離交換模塊接收到來自另一端的格式化數(shù)據(jù)，可根據(jù)本端的安全策略進行進一步的應用層安 全檢查.經(jīng)檢驗合格，則進行逆向轉(zhuǎn)換，將格式化數(shù)據(jù)轉(zhuǎn)換成符合RFC標準的TCP/IP數(shù)據(jù)包，將數(shù)據(jù)包發(fā)送 到 目 的 計 算 機， 完 成 數(shù) 據(jù) 的 安 全 交安全隔離網(wǎng)閘（從硬件上來分主要包括三部分，分別是專用安全隔離切換裝置（數(shù)據(jù)暫存區(qū)）、內(nèi)部處理單元 和外部處理單元。系統(tǒng)中的專用安全隔離切換裝置分別連接內(nèi)部處理單元和外部處理單元，這種獨特設計 保證了安全隔

15、離切換裝置中的數(shù)據(jù)暫存區(qū)在任一時刻僅連通內(nèi)部或者外部處理單元，從而實現(xiàn)內(nèi)外網(wǎng)的安 全隔離。應急指揮調(diào)度系統(tǒng)應急指揮調(diào)度平臺系統(tǒng)是一個構架于通用軟、硬件環(huán)境之上的成熟、開放、可快速定制的產(chǎn)品化平臺系 統(tǒng)。通過它可以迅速整合用戶現(xiàn)有資源如：網(wǎng)絡、有線無線通訊、視頻監(jiān)控、GIS電子地圖、GPS跟蹤定位、 SMS、預案與應急知識庫等，適應用戶業(yè)務特色，形成一個穩(wěn)定而且專業(yè)的應急指揮系統(tǒng)，極大的縮短了用 戶應急指揮系統(tǒng)的建設周期，規(guī)避了項目開發(fā)潛在的風險，有效的保護了用戶投應急指揮調(diào)度系統(tǒng)二、平臺系統(tǒng)功能1、支持多級指揮管理系統(tǒng)搭建2、應急資源與事件管理3、突發(fā)事件的快速響應與智能指揮4、應急預案、輔助

16、決策支持和GIS系統(tǒng)管理5、智能調(diào)度和多媒體融合通訊網(wǎng)絡安全審計系統(tǒng)網(wǎng)絡安全審計系統(tǒng)是針對業(yè)務環(huán)境下的網(wǎng)絡操作行為進行細粒度審計的合規(guī)性管理系統(tǒng).它 通過對被授權人員和系統(tǒng)的網(wǎng)絡行為進行解析、分析、記錄、匯報，以幫助用戶事前規(guī)劃預 防、事中實時監(jiān)視、違規(guī)行為響應、事后合規(guī)報告、事故追蹤溯源，加強內(nèi)外部網(wǎng)絡行為監(jiān) 管、促進核心資產(chǎn)（數(shù)據(jù)庫、服務器、網(wǎng)絡設備等）的正常運營.網(wǎng)絡安全審計系統(tǒng)完善業(yè)務系統(tǒng)的安全防范體系，滿足組織機構內(nèi)外部合規(guī)性要求，全面體 現(xiàn)管理者對業(yè)務系統(tǒng)信息資源的全局把控和調(diào)度能力。主要表現(xiàn)在：1、如同不知疲倦的 網(wǎng)絡警察，時刻監(jiān)視著對重要資源的訪問；2、當出現(xiàn)安全事件后，能根據(jù)

17、翔實的審計記 錄，一步步地追查出攻擊者;3、找出導致安全事件、性能波動的真正原因4、幫助用戶加 強內(nèi)外部網(wǎng)絡行為監(jiān)管、滿足企業(yè)內(nèi)部控制或者外部政策等合規(guī)性要求。DDL:Create，響應。SQL語句的支持SQL92標準，DDL:Create，Drop， Grant， RevokeDML： Update， Insert， Delete DCL： Commit， Rollback，Savapoint其他：Alter System，Connect，Allocate存儲過程目前，天玥網(wǎng)絡安全審計系統(tǒng)支持以下數(shù)據(jù)庫系統(tǒng)的審計Oracle SQL-Server DB2 InformixSybase Ter

18、adata Mysql PostgreSQL Cache,網(wǎng)絡安全審計系統(tǒng)支持常用的運維協(xié)議，比如Telnet、FTP、Rlogin、X11、Radius等協(xié)議 的審計，能夠全程記錄用戶在服務器上的各種操作（包括命令行操作、交互菜單操作、業(yè)務 系統(tǒng)操作），并且可以實現(xiàn)類似窗口錄像回放形式的還原。OA審計網(wǎng)絡安全審計系統(tǒng)支持HTTP、POP3、SMTP、Netbios、NFS協(xié)議的審計，能夠記錄網(wǎng)頁URL、內(nèi)容、 發(fā)件人、收件人、郵件內(nèi)容、網(wǎng)絡鄰居的各種操作等信息3。2數(shù)據(jù)庫響應時間及返回碼 的審計 網(wǎng)絡安全審計系統(tǒng)支持對SQL Server、DB2、Oracle Informix等數(shù)據(jù)庫系統(tǒng)的

19、SQL 操作響應時間和返回碼的審計.通過對響應時間和返回碼的審計，可以幫助用戶對數(shù)據(jù)庫的 使用狀態(tài)全面掌握、及時響應故障信息，特別是當新業(yè)務系統(tǒng)上線、業(yè)務繁忙、業(yè)務模塊更 新時，通過網(wǎng)絡安全審計系統(tǒng)對超長時間和關鍵返回碼進行審計并實時報警有助于提高服務器群組防護系統(tǒng)服務器群組防護系統(tǒng)，實現(xiàn)服務器網(wǎng)絡的隔離，建立服務器群組的安全域，系統(tǒng)針對Web 應用特點，有效的集成了網(wǎng)絡層、傳輸層、應用層的攻擊防范技術,建立起多層防范體系，實 現(xiàn)對服務器的安全防護；（1）系統(tǒng)將消極安全模型與積極安全模型相結合，根據(jù)Web應用系統(tǒng)，HTTP協(xié)議特點， 將協(xié)議完整性檢測、基于特征的應用層攻擊檢測、基于訪問行為的攻

20、擊檢測等技術有機結合, 有效地對各種安全攻擊進行防護，提高電力系統(tǒng)Web應用系統(tǒng)的安全性；（2 ）系統(tǒng)根據(jù)用戶身份信息、權限信息，實現(xiàn)網(wǎng)絡層、應用層的安全接入控制、訪問控制及 細粒度的權限管理.系統(tǒng)支持多種認證方式，在無需改變現(xiàn)有的應用系統(tǒng)的情況下，可整合 多個業(yè)務系統(tǒng)實現(xiàn)單點登錄。此外，系統(tǒng)可以根據(jù)用戶信息，實現(xiàn)基于URL的細粒度授權 及SSLVPN訪問；（3）系統(tǒng)包括了多種日志，如：登錄日志、安全日志、訪問日志，可詳細記錄用戶登錄情 況、用戶對各種資源的訪問情況以及各種安全攻擊，增強了管理員對事件的審計及事后追查 能力.數(shù)據(jù)庫審計系統(tǒng)數(shù)據(jù)庫審計對“業(yè)務層面、技術層面、管理層面”的安全需求調(diào)研與分析，形成了一套獨有 的數(shù)據(jù)庫審計安全解決方案.別名設置：對主客體進行別名設置，可以直觀顯示內(nèi)容方便非專業(yè)人員的查看.隱秘數(shù)據(jù)：對敏感數(shù)據(jù)隱秘，非授權的用戶不能正常查看隱秘數(shù)據(jù)。全方位的實時審計：實時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動。細粒度的行為檢索:一旦發(fā)生安全事件，提供完全自定義審計查詢及審計數(shù)據(jù)展