信息與網(wǎng)絡(luò)安全架構(gòu)與方案

信息安全博士后科研工作站馬東平博士2001-10-25信息與網(wǎng)絡(luò)

安全架構(gòu)與方案Version3Copyright?2001X-ExploitTeamX-ExploitTeam日程安排安全理念安全體系架構(gòu)安全模型安全解決方案全線安全產(chǎn)品系列安全顧問服務(wù)結(jié)束語安全理念Copyright?2001X-ExploitTeamX-ExploitTeam信息與網(wǎng)絡(luò)系統(tǒng)安全理念安全不是純粹的技術(shù)問題，是一項(xiàng)復(fù)雜的系統(tǒng)工程—信息安全工程論安全是策略，技術(shù)與管理的綜合組織人才政策法規(guī)安全技術(shù)安全策略管理信息安全特性物理安全應(yīng)用安全網(wǎng)絡(luò)安全系統(tǒng)安全層次性動(dòng)態(tài)性過程性生命周期性全面性相對(duì)性

信道加密

信源加密身份認(rèn)證。。。

應(yīng)網(wǎng)絡(luò)級(jí)系統(tǒng)級(jí)用級(jí)管理級(jí)信息網(wǎng)絡(luò)系統(tǒng)密級(jí)管理。。。訪問控制地址過濾數(shù)據(jù)加密，線路加密安全操作系統(tǒng)應(yīng)用安全集成外聯(lián)業(yè)務(wù)安全措施安全管理規(guī)范網(wǎng)絡(luò)病毒監(jiān)控與清除防火墻技術(shù)集中訪問控制網(wǎng)絡(luò)系統(tǒng)安全策略入侵檢測(cè)弱點(diǎn)漏洞檢測(cè)系統(tǒng)配置檢測(cè)系統(tǒng)審計(jì)教訓(xùn)培育中軟VPN安全網(wǎng)關(guān)中軟B1安全操作系統(tǒng)中軟高性能防火墻中軟網(wǎng)絡(luò)安全巡警中軟信息監(jiān)控與取證系統(tǒng)中軟入侵檢測(cè)系統(tǒng)信息與網(wǎng)絡(luò)系統(tǒng)安全管理模型企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)統(tǒng)一安全策略Policy安全技術(shù)標(biāo)準(zhǔn)Management安全管理規(guī)范Administrator密碼技術(shù)認(rèn)證授權(quán)訪問控防火墻技術(shù)動(dòng)態(tài)安全管理技術(shù)網(wǎng)絡(luò)防病毒技術(shù)政策法規(guī)安全機(jī)構(gòu)與組織安全管理人員安全管理流程信息支援體系企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)主要安全實(shí)施領(lǐng)域信息與網(wǎng)絡(luò)系統(tǒng)安全體系架構(gòu)企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)具體安全解決方案基于具體安全解決方案的安全產(chǎn)品功能規(guī)范典型企業(yè)的信息與網(wǎng)絡(luò)系統(tǒng)拓?fù)銲NSIDE撥號(hào)接入服務(wù)器企業(yè)內(nèi)部網(wǎng)絡(luò)WANINTERNET企業(yè)廣域網(wǎng)絡(luò)WebServerMailServerDNSServerAAAServer企業(yè)合作伙伴網(wǎng)絡(luò)Internet出口PSTNINTERNET企業(yè)部門數(shù)據(jù)中心數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器圖1-2信息基礎(chǔ)設(shè)施元素企業(yè)的信息與網(wǎng)絡(luò)系統(tǒng)的抽象企業(yè)的信息與網(wǎng)絡(luò)系統(tǒng)的安全框架IATF安全全框框架架IATF保衛(wèi)衛(wèi)網(wǎng)網(wǎng)絡(luò)絡(luò)和和基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施主干干網(wǎng)網(wǎng)絡(luò)絡(luò)的的可可用用性性無線線網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全框框架架系統(tǒng)統(tǒng)互互連連和和虛虛擬擬私私有有網(wǎng)網(wǎng)（（VPN））保衛(wèi)衛(wèi)邊邊界界網(wǎng)絡(luò)絡(luò)登登錄錄保保護(hù)護(hù)遠(yuǎn)程程訪訪問問多級(jí)級(jí)安安全全保衛(wèi)衛(wèi)計(jì)計(jì)算算環(huán)環(huán)境境終端端用用戶戶環(huán)環(huán)境境系統(tǒng)統(tǒng)應(yīng)應(yīng)用用程程序序的的安安全全支撐撐基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施密鑰鑰管管理理基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施/公公共共密密鑰鑰基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施（（KMI/PKI）檢測(cè)和響響應(yīng)保護(hù)計(jì)算算環(huán)境計(jì)算環(huán)境境包括終終端用戶戶工作站站——臺(tái)臺(tái)式機(jī)和和筆記本本，工作作站中包包括了周周邊設(shè)備備；安全框架架的一個(gè)個(gè)基本原原則是防防止穿透透網(wǎng)絡(luò)并并對(duì)計(jì)算算環(huán)境的的信息的的保密性性、完整整性和可可用性造造成破壞壞的計(jì)算算機(jī)攻擊擊；對(duì)于那些些最終得得逞了的的攻擊來來說，早早期的檢檢測(cè)和有有效的響響應(yīng)是很很關(guān)鍵的的；不斷的或或周期性性的入侵侵檢測(cè)、、網(wǎng)絡(luò)掃掃描以及及主機(jī)掃掃描可以以驗(yàn)證那那些已經(jīng)經(jīng)配置的的保護(hù)系系統(tǒng)的有有效性；；系統(tǒng)應(yīng)用用的安全全；基于主機(jī)機(jī)的檢測(cè)測(cè)與響應(yīng)應(yīng)。保護(hù)網(wǎng)絡(luò)絡(luò)邊界一個(gè)區(qū)域域邊界之之內(nèi)通常常包含多多個(gè)局域域網(wǎng)以及及各種計(jì)計(jì)算資源源組件，，比如用用戶平臺(tái)臺(tái)、網(wǎng)絡(luò)絡(luò)、應(yīng)用用程序、、通信服服務(wù)器、、交換機(jī)機(jī)等。邊邊界環(huán)境境是比較較復(fù)雜的的，比如如它可以以包含很很多物理理上分離離的系統(tǒng)統(tǒng)。絕大多數(shù)數(shù)邊界環(huán)環(huán)境都擁擁有通向向其它網(wǎng)網(wǎng)絡(luò)的外外部連接接。它與與所連接接的網(wǎng)絡(luò)絡(luò)可以在在密級(jí)等等方面有有所不同同。邊界保護(hù)護(hù)主要關(guān)關(guān)注對(duì)流流入、流流出邊界界的數(shù)據(jù)據(jù)流進(jìn)行行有效的的控制和和監(jiān)督。。有效地地控制措措施包括括防火墻墻、門衛(wèi)衛(wèi)系統(tǒng)、、VPN、、標(biāo)識(shí)和鑒鑒別/訪訪問控制制等。有有效的監(jiān)監(jiān)督措施施包括基基于網(wǎng)絡(luò)絡(luò)的如今今檢測(cè)系系統(tǒng)（IDS））、脆弱性掃掃描器、、局域網(wǎng)網(wǎng)上的病病毒檢測(cè)測(cè)器等。。這些機(jī)機(jī)制可以以單獨(dú)使使用，也也可以結(jié)結(jié)合使用用，從而而對(duì)邊界界內(nèi)的各各類系統(tǒng)統(tǒng)提供保保護(hù)。雖然邊界界的主要要作用是是防止外外來攻擊擊，但它它也可以以來對(duì)付付某些惡惡意的內(nèi)內(nèi)部人員員，這些些內(nèi)部人人員有可可能利用用邊界環(huán)環(huán)境來發(fā)發(fā)起攻擊擊，和通通過開放放后門/隱蔽通通道來為為外部攻攻擊提供供方便。。保護(hù)網(wǎng)絡(luò)絡(luò)和基礎(chǔ)礎(chǔ)設(shè)施網(wǎng)絡(luò)以及及為其提提供支撐撐的相關(guān)關(guān)基礎(chǔ)設(shè)設(shè)施（比比如管理理系統(tǒng)））是必須須受到保保護(hù)的。。在網(wǎng)絡(luò)絡(luò)上，有有三種不不同的通通信流：：用戶通通信流、、控制通通信流以以及管理理通信流流。保護(hù)的策策略是，，使用經(jīng)經(jīng)過批準(zhǔn)準(zhǔn)的廣域域網(wǎng)（WAN））來傳輸企企業(yè)的機(jī)機(jī)密數(shù)據(jù)據(jù)，加密密方式采采用國家家相關(guān)部部門批準(zhǔn)準(zhǔn)的算法法；為保護(hù)非非加密局局域網(wǎng)上上交換的的敏感數(shù)數(shù)據(jù)，要要求使用用符合一一定條件件的商業(yè)業(yè)解決方方案。支持基礎(chǔ)礎(chǔ)設(shè)施給給以下情情況提供供服務(wù)：：網(wǎng)絡(luò)；；最終用用戶工作作站；網(wǎng)網(wǎng)絡(luò)、應(yīng)應(yīng)用和文文件服務(wù)務(wù)器；單單獨(dú)使用用的基礎(chǔ)礎(chǔ)設(shè)施機(jī)機(jī)器（即即：高級(jí)級(jí)的域名名服務(wù)器器（DNS））服務(wù)，高高級(jí)目錄錄服務(wù)器器）?？蚣馨ɡ▋蓚€(gè)方方面的內(nèi)內(nèi)容：密密鑰管理理基礎(chǔ)設(shè)設(shè)施(KMI)，其中包括括公鑰基基礎(chǔ)設(shè)施施(PKI)和檢測(cè)響響應(yīng)基礎(chǔ)礎(chǔ)設(shè)施。。密鑰管理理基礎(chǔ)設(shè)設(shè)施：KMI提供一種種通用的的聯(lián)合的的處理方方式，以以便于安安全創(chuàng)建建、分發(fā)發(fā)和管理理公共密密鑰證明明和傳統(tǒng)統(tǒng)的對(duì)稱稱密鑰，，使它們們能夠安安全服務(wù)務(wù)于網(wǎng)絡(luò)絡(luò)、領(lǐng)地地、和計(jì)計(jì)算機(jī)環(huán)環(huán)境。這這些服務(wù)務(wù)能夠?qū)?duì)發(fā)送者者和接收收者的身身份進(jìn)行行可靠驗(yàn)驗(yàn)證，并并可以保保護(hù)信息息不會(huì)發(fā)發(fā)生未授授權(quán)泄露露和更改改。KMI支持受控控制的相相互可操操作的用用戶，保保持為每每個(gè)用戶戶團(tuán)體建建立的安安全策略略。檢測(cè)和響響應(yīng)：檢檢測(cè)和響響應(yīng)基礎(chǔ)礎(chǔ)設(shè)施使使能夠迅迅速檢測(cè)測(cè)和響應(yīng)應(yīng)入侵。。它也提提供一個(gè)個(gè)“熔化化”能力力，以便便于可以以觀察事事件與其其它相關(guān)關(guān)連。還還允許分分析員識(shí)識(shí)別潛在在的行為為模式或或新發(fā)展展。在多多數(shù)實(shí)現(xiàn)現(xiàn)檢測(cè)和和響應(yīng)能能力的機(jī)機(jī)構(gòu)中，，本地中中心監(jiān)視視本地運(yùn)運(yùn)行，并并輸送到到大區(qū)域域或國家家中心。。需要這這個(gè)基礎(chǔ)礎(chǔ)設(shè)施有有技術(shù)解解決方案案，如：：入侵檢檢測(cè)和監(jiān)監(jiān)視軟件件；一些些訓(xùn)練有有素的專專業(yè)人員員，通常常指的是是計(jì)算機(jī)機(jī)應(yīng)急響響應(yīng)小組組(CERT)。支撐基礎(chǔ)礎(chǔ)設(shè)施可定制的的安全要要素和領(lǐng)領(lǐng)域網(wǎng)絡(luò)物理理與拓?fù)鋼浒踩ǎ–SS-SEC-ARC）訪問控制制與安全全邊界（（CSS-SEC-CTL）弱點(diǎn)漏洞洞分析和和風(fēng)險(xiǎn)審審計(jì)（CSS-SEC-ASS）入侵檢測(cè)測(cè)與防御御（CSS-SEC-IDS）信息監(jiān)控控與取證證（CSS-SEC-INF）網(wǎng)絡(luò)病毒毒防范（（CSS-SEC-VPR）身份認(rèn)證證與授權(quán)權(quán)（CSS-SEC-AAA）通信鏈路路安全（（CSS-SEC-LNK）系統(tǒng)安全全（CSS-SEC-SYS）數(shù)據(jù)與數(shù)數(shù)據(jù)庫安安全（CSS-SEC-DBS）應(yīng)用系統(tǒng)統(tǒng)安全（（CSS-SEC-APS）個(gè)人桌面面安全（（CSS-SEC-PCS）涉密網(wǎng)的的物理隔隔離（CSS-SEC-PHY）災(zāi)難恢復(fù)復(fù)與備份份（CSS-SEC-RAB）集中安全全管理（（CSS-SEC-MAN）網(wǎng)絡(luò)物理理與結(jié)構(gòu)構(gòu)安全（（CSS-SEC-ARC）網(wǎng)絡(luò)物理理安全物理安全全是保護(hù)護(hù)計(jì)算機(jī)機(jī)網(wǎng)絡(luò)設(shè)設(shè)備、設(shè)設(shè)施、介介質(zhì)和信信息免遭遭自然災(zāi)災(zāi)害、環(huán)環(huán)境事故故以及人人為物理理操作失失誤或錯(cuò)錯(cuò)誤及各各種以物物理手段段犯罪行行為導(dǎo)致致的破壞壞、丟失失?？紤]三個(gè)個(gè)方面：：環(huán)境安安全、設(shè)設(shè)備安全全和媒體體安全。。對(duì)于機(jī)房房環(huán)境安安全，應(yīng)應(yīng)符合相相關(guān)的國國家標(biāo)準(zhǔn)準(zhǔn)：GB50173-93《電子計(jì)算算機(jī)機(jī)房房設(shè)計(jì)規(guī)規(guī)范》；；GB2887-89《《計(jì)算站場場地技術(shù)術(shù)條件》》；GB9361-88《《計(jì)算站場場地安全全要求》》等。對(duì)于設(shè)備備的物理理安全，，主要包包括設(shè)備備的防盜盜、防毀毀、防電電磁信息息輻射泄泄漏、防防止線路路截獲、、抗電磁磁干擾及及電源保保護(hù)等；；關(guān)鍵網(wǎng)網(wǎng)絡(luò)設(shè)備備和應(yīng)用用系統(tǒng)主主機(jī)設(shè)備備的冗余余設(shè)計(jì)；；員工整整體安全全意識(shí)的的提高。。對(duì)于媒體體安全，，包括媒媒體數(shù)據(jù)據(jù)的安全全及媒體體本身的的安全，，要防止止系統(tǒng)信信息在空空間的擴(kuò)擴(kuò)散。網(wǎng)絡(luò)安全全域結(jié)構(gòu)構(gòu)核心層（（辦公應(yīng)應(yīng)用服務(wù)務(wù)域，應(yīng)應(yīng)用服務(wù)務(wù)域，企企業(yè)位內(nèi)內(nèi)部信息息服務(wù)域域等）安全層（（系統(tǒng)內(nèi)內(nèi)部信息息服務(wù)域域，對(duì)相相關(guān)單位位信息服服務(wù)域））可信任層層（內(nèi)部部上下級(jí)級(jí)節(jié)點(diǎn)網(wǎng)網(wǎng)絡(luò)，相相關(guān)單位位網(wǎng)絡(luò)））非安全層層（對(duì)外外信息服服務(wù)域））危險(xiǎn)層（（公共Internet）各層安全全性逐層層遞減。。訪問控制制與安全全邊界（（CSS-SEC-CTL）根據(jù)內(nèi)部部網(wǎng)絡(luò)的的安全域域結(jié)構(gòu)，，需要在在不同安安全域間間設(shè)置邊邊界訪問問控制，，包括內(nèi)內(nèi)外網(wǎng)連連界、內(nèi)內(nèi)網(wǎng)邊界界。網(wǎng)絡(luò)絡(luò)邊界訪訪問控制制的設(shè)計(jì)計(jì)包括網(wǎng)網(wǎng)絡(luò)隔離離方案、、邊界防防火墻配配置方案案、局域域網(wǎng)虛擬擬子網(wǎng)間間的訪問問控制、、遠(yuǎn)程訪訪問控制制。網(wǎng)絡(luò)隔離離根據(jù)國家家安全主主管部門門有關(guān)規(guī)規(guī)定，黨黨政涉密密網(wǎng)要求求與因特特網(wǎng)物理理斷開。。對(duì)于各各單位的的涉密應(yīng)應(yīng)用，如如涉密辦辦公應(yīng)用用，應(yīng)單單獨(dú)建立立相應(yīng)的的網(wǎng)絡(luò)。。邊界防火火墻防火墻是是網(wǎng)絡(luò)安安全最基基本的安安全措施施，目的的是要在在內(nèi)部、、外部兩兩個(gè)網(wǎng)絡(luò)絡(luò)之間建建立一個(gè)個(gè)安全隔隔離帶，，通過允允許、拒拒絕或重重新定向向經(jīng)過防防火墻的的數(shù)據(jù)流流，實(shí)現(xiàn)現(xiàn)對(duì)進(jìn)、、出內(nèi)部部網(wǎng)絡(luò)的的服務(wù)和和訪問的的審計(jì)和和控制。。網(wǎng)絡(luò)隔離離局域網(wǎng)的的多個(gè)業(yè)業(yè)務(wù)系統(tǒng)統(tǒng)：辦公公應(yīng)用系系統(tǒng)，應(yīng)應(yīng)用系統(tǒng)統(tǒng)，數(shù)據(jù)據(jù)中心………?？赏ㄟ^有有效的虛虛擬子網(wǎng)網(wǎng)劃分來來對(duì)無關(guān)關(guān)用戶組組間實(shí)施施安全隔隔離，提提供子網(wǎng)網(wǎng)間的訪訪問控制制:VLAN劃分。遠(yuǎn)程訪問問控制通過在廣廣域連接接的出入入口配置置防火墻墻，使遠(yuǎn)遠(yuǎn)程用戶戶對(duì)內(nèi)部部網(wǎng)服務(wù)務(wù)器的訪訪問受到到防火墻墻的控制制，遠(yuǎn)程程內(nèi)部網(wǎng)網(wǎng)用戶可可按權(quán)限限訪問指指定的內(nèi)內(nèi)部網(wǎng)服服務(wù)器。。另外，通過過設(shè)置一臺(tái)臺(tái)安全認(rèn)證證服務(wù)器，，可進(jìn)行撥撥號(hào)用戶身身份、遠(yuǎn)程程撥號(hào)路由由器身份的的認(rèn)證，從從而限制非非法單機(jī)和和局域網(wǎng)用用戶對(duì)內(nèi)部部網(wǎng)的訪問問。認(rèn)證服務(wù)器器可設(shè)在防防火墻內(nèi)，，連接到內(nèi)內(nèi)部網(wǎng)的交交換機(jī)上。。弱點(diǎn)漏洞分分析和風(fēng)險(xiǎn)險(xiǎn)審計(jì)（CSS-SEC-ASS）弱點(diǎn)漏洞檢測(cè)錯(cuò)誤配置檢測(cè)誤操作檢測(cè)風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)度量風(fēng)險(xiǎn)控制事前管理安全隱患管理—網(wǎng)絡(luò)安全巡警系統(tǒng)入侵檢測(cè)與與防御（CSS-SEC-IDS）入侵檢測(cè)攻擊/違規(guī)操作識(shí)別審計(jì)/日志/報(bào)告行為管理事件管理操作管理事中監(jiān)控行為監(jiān)控—分布式入侵檢測(cè)預(yù)警與響應(yīng)系統(tǒng)信息監(jiān)控與與取證（CSS-SEC-INF）信息流分析信息流過濾入侵取證信息流控制信息流管理證據(jù)留存事后取證信息分析—網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)網(wǎng)絡(luò)病毒防防范（CSS-SEC-VPR）計(jì)算機(jī)病毒毒一段能夠夠自我復(fù)制制，自行傳傳播的程序序。病毒運(yùn)運(yùn)行后能夠夠損壞文件件、使系統(tǒng)統(tǒng)癱瘓，從從而造成各各種難以預(yù)預(yù)料的后果果。在網(wǎng)絡(luò)絡(luò)環(huán)境下，，計(jì)算機(jī)病病毒種類越越來越多、、危害越來來越大、傳傳染速度越越來越快。。計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)病毒具具有不可估估量的威脅脅性和破壞壞力，因而而計(jì)算機(jī)病病毒的防范范也是網(wǎng)絡(luò)絡(luò)安全建設(shè)設(shè)的重要環(huán)環(huán)節(jié)?？紤]慮內(nèi)部網(wǎng)絡(luò)絡(luò)系統(tǒng)運(yùn)行行環(huán)境復(fù)雜雜，網(wǎng)上用用戶數(shù)多，，同Internet有連接等，，需在網(wǎng)絡(luò)絡(luò)上建立多多層次的病病毒防護(hù)體體系，對(duì)桌桌面、服務(wù)務(wù)器和網(wǎng)關(guān)關(guān)等潛在病病毒進(jìn)入點(diǎn)點(diǎn)實(shí)行全面面保護(hù)。（1）建建立基基于桌面的的反病毒系系統(tǒng)在內(nèi)部網(wǎng)中中的每臺(tái)桌桌面機(jī)上安安裝單機(jī)版版的反病毒毒軟件，實(shí)實(shí)時(shí)監(jiān)測(cè)和和捕獲桌面面計(jì)算機(jī)系系統(tǒng)的病毒毒，防止來來自軟盤、、光盤以及及活動(dòng)驅(qū)動(dòng)動(dòng)器等的病病毒來源。。（2）建建立基基于服務(wù)器器的反病毒毒系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)統(tǒng)的文件及及應(yīng)用服務(wù)務(wù)器（一些些關(guān)鍵的WindowsNT服務(wù)器）上上安裝基于于服務(wù)器的的反病毒軟軟件，實(shí)時(shí)時(shí)監(jiān)測(cè)和捕捕獲進(jìn)出服服務(wù)器的數(shù)數(shù)據(jù)文件病病毒，使病病毒無法在在網(wǎng)絡(luò)中傳傳播。（3）建建立基基于群件環(huán)環(huán)境的反病病毒系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)統(tǒng)的LoutsNotes和MsExchange服務(wù)器上安安裝基于群群件環(huán)境的的反病毒軟軟件，堵住住夾在文檔檔或電子郵郵件中的病病毒。（4）建建立基基于Internet網(wǎng)關(guān)的反病病毒系統(tǒng)在代理服務(wù)務(wù)器（Proxy）網(wǎng)關(guān)上安裝裝基于網(wǎng)關(guān)關(guān)的反病毒毒軟件，堵堵住來自Internet通過Http或Ftp等方式進(jìn)入入內(nèi)部網(wǎng)絡(luò)絡(luò)的病毒，，而且可過過濾惡意ActiveX,Java和JavaApplet程序。（5）建建立病病毒管理控控制中心在中心控制制臺(tái)（安全全管理控制制臺(tái)）實(shí)施施策略配置置和管理、、統(tǒng)一事件件和告警處處理、保證證整個(gè)網(wǎng)絡(luò)絡(luò)范圍內(nèi)病病毒防護(hù)體體系的一致致性和完整整性。通過過自動(dòng)更新新、分發(fā)和和告警機(jī)制制，使桌面面PC和服務(wù)器等等設(shè)備自動(dòng)動(dòng)獲得最新新的病毒特特征庫，完完成終端用用戶軟件及及病毒特征征信息的自自動(dòng)更新和和升級(jí)，以以實(shí)現(xiàn)網(wǎng)絡(luò)絡(luò)病毒防范范系統(tǒng)的集集中管理。。信息與網(wǎng)絡(luò)絡(luò)系統(tǒng)安全全解決方案案OUTSIDEINSIDEDMZ撥號(hào)接入服服務(wù)器企業(yè)內(nèi)部網(wǎng)網(wǎng)絡(luò)WANDMZ中立區(qū)INTERNET企業(yè)廣域網(wǎng)網(wǎng)絡(luò)WebServerMailServerDNSServerAAAServer企業(yè)合作伙伙伴網(wǎng)絡(luò)Internet出口PSTN企業(yè)部門VPN網(wǎng)關(guān)構(gòu)建企企業(yè)VPN數(shù)據(jù)中心數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器統(tǒng)一安全管管理平臺(tái)：：網(wǎng)絡(luò)安全巡巡警系統(tǒng)入侵檢測(cè)系系統(tǒng)控制臺(tái)臺(tái)信息監(jiān)控與與取證系統(tǒng)統(tǒng)控制臺(tái)Windows審計(jì)系統(tǒng)控控制臺(tái)INTERNET系統(tǒng)安全產(chǎn)產(chǎn)品中軟安全操操作系統(tǒng)COSIX64中軟LinuxB1級(jí)安全操作作系統(tǒng)中軟操作系系統(tǒng)安全加加固系統(tǒng)系統(tǒng)安全系統(tǒng)安全系統(tǒng)安全靜態(tài)網(wǎng)絡(luò)安安全產(chǎn)品高帶寬支持IDS擴(kuò)展支持IPSec擴(kuò)展地址轉(zhuǎn)換包過濾代理應(yīng)用網(wǎng)關(guān)網(wǎng)絡(luò)安全邊界訪問控制-中軟高性能防火墻高效算法支持IPSec等安全協(xié)議完善的密鑰管理數(shù)據(jù)源認(rèn)證數(shù)據(jù)機(jī)密性隧道技術(shù)IPsec網(wǎng)絡(luò)通信安全通訊安全-中軟VPN安全網(wǎng)關(guān)弱點(diǎn)漏洞檢測(cè)錯(cuò)誤配置檢測(cè)誤操作檢測(cè)風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)度量風(fēng)險(xiǎn)控制事前管理安全隱患管理—網(wǎng)絡(luò)安全巡警系統(tǒng)入侵檢測(cè)攻擊/違規(guī)操作識(shí)別審計(jì)/日志/報(bào)告行為管理事件管理操作管理事中監(jiān)控行為監(jiān)控—分布式入侵檢測(cè)預(yù)警與響應(yīng)系統(tǒng)信息流分析信息流過濾入侵取證信息流控制信息流管理證據(jù)留存事后取證信息分析—網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)動(dòng)態(tài)網(wǎng)絡(luò)安安全產(chǎn)品集中安全管管理平臺(tái)個(gè)人桌面系系統(tǒng)審計(jì)系系統(tǒng)桌面安全與與安全管理理產(chǎn)品系統(tǒng)安全系統(tǒng)安全系統(tǒng)安全安全邊界通信安全動(dòng)態(tài)安全桌面安全安全管理信息與網(wǎng)絡(luò)絡(luò)系統(tǒng)全線線安全產(chǎn)品品基于X-Exploit庫的安全顧顧問服務(wù)企業(yè)信息與與網(wǎng)絡(luò)系統(tǒng)統(tǒng)風(fēng)險(xiǎn)分析析與評(píng)估企業(yè)信息與與網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全需求求分析企業(yè)信息與與網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全策略略制定基于X-Exploit庫的安全顧顧問服務(wù)企業(yè)信息與與網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全體系系設(shè)計(jì)企業(yè)信息與與網(wǎng)絡(luò)系統(tǒng)統(tǒng)工程實(shí)施施與監(jiān)理企業(yè)信息與與網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全產(chǎn)品品測(cè)試與選選型基于X-Exploit庫的安全顧顧問服務(wù)企業(yè)信息與與網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全教育育與培訓(xùn)企業(yè)信息與與網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全應(yīng)急急響應(yīng)結(jié)束語安全不是技技術(shù)，而是是策略、技技術(shù)與管理理的綜合安全解決方方案不是簡簡單產(chǎn)品的的堆砌，而而是從風(fēng)險(xiǎn)險(xiǎn)分析、需需求分析、、安全策略略到安全意意識(shí)教育與與技術(shù)培訓(xùn)訓(xùn)的系統(tǒng)工工程本安全解決決方案是集集安全技術(shù)術(shù)、安全產(chǎn)產(chǎn)品與安全全服務(wù)于一一體的整體體安全解決決方案，是是一個(gè)國有有大型軟件件企業(yè)對(duì)社社會(huì)的承偌偌。關(guān)于X-ExploitTeamCopyright?2001X-ExploitTeamX-ExploitTeamX-ExploitTeam一支由信息息安全博士士、博士后后組成的博博士團(tuán)隊(duì)一支由專業(yè)業(yè)安全技術(shù)術(shù)人員組成成的安全團(tuán)團(tuán)隊(duì)一支不從政政，不經(jīng)商商，專注安安全學(xué)術(shù)的的學(xué)術(shù)團(tuán)隊(duì)隊(duì)一支既不高高傲自大，，也不妄自自菲薄，只只求扎扎實(shí)實(shí)實(shí)作技術(shù)術(shù)的求實(shí)團(tuán)團(tuán)隊(duì)一支從事安安全體系結(jié)結(jié)構(gòu)、安全全模型、安安全策略等等基礎(chǔ)理論論研究的奉奉獻(xiàn)團(tuán)隊(duì)一支專注密密碼工程、、弱點(diǎn)漏洞洞、攻擊模模式、攻擊擊方法等工工程技術(shù)研研究的工程程團(tuán)隊(duì)一支……歡迎加入X-ExploitTeam9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。12月月-2212月月-22Wednesday,December28,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。20:28:1620:28:1620:2812/28/20228:28:16PM11、以我我獨(dú)沈沈久，，愧君君相見見頻。。。12月月-2220:28:1620:28Dec-2228-Dec-2212、故人人江海海別，，幾度度隔山山川。。。20:28:1720:28:1720:28Wednesday,December28,202213、乍見翻疑疑夢(mèng)，相悲悲各問年。。。12月-2212月-2220:28:1720:28:17December28,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。28十十二二月月20228:28:17下下午午20:28:1712月月-2215、比不了得就就不比，得不不到的就不要要。。。十二月228:28下下午12月-2220:28December28,202216、行動(dòng)出成成果，工作作出財(cái)富。。。2022/12/2820:28:1720:28:1728December202217、做前，能能夠環(huán)視四四周；做時(shí)時(shí)，你只能能或者最好好沿著以腳腳為起點(diǎn)的的射線向前前。。8:28:17下下午8:28下下午20:28:1712月-229、沒有失敗，，只有暫時(shí)停停止成功！。。12月-2212月-22Wednesday,December28,202210、很很多多事事情情努努力力了了未未必必有有結(jié)結(jié)果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。20:28:1720:28:1720:2812/28/20228:28:17PM11、成功就就是日復(fù)復(fù)一日那那一點(diǎn)點(diǎn)點(diǎn)小小努努力的積積累。。。12月-2220:28:1720:28Dec-2228-Dec-2212、世間間成事事，不不求其其絕對(duì)對(duì)圓滿滿，留留一份份不足足，可可得無無限完完美。。。20:28:1720:28:1720:28Wednesday,December28,202213、不知香積寺寺，數(shù)里入云云峰。。12月-2212月-2220:28:1720:28:17December28,202214、意志堅(jiān)強(qiáng)的的人能把世界界放在手中像像泥塊一樣任任意揉捏。28十二月月20228:28:17下午20:28:1712月-2215、楚塞三三湘接，，荊門