網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全解決方案濟(jì)南美訊網(wǎng)絡(luò)科技有限公司2010年2月4日目錄一、 外網(wǎng)用戶安全登錄 31.1.SSLVPN簡介 3SSLVPN安全特性 4雙因素身份認(rèn)證系統(tǒng)簡介 5二、內(nèi)網(wǎng)用戶認(rèn)證準(zhǔn)入系統(tǒng) 62.1.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)簡介 6網(wǎng)絡(luò)準(zhǔn)入機制的實現(xiàn) 6三、漏洞掃描與信息系統(tǒng)安全評估 83.1.漏洞掃描與管理系統(tǒng)簡介 8漏洞掃描與管理系統(tǒng)主要功能 83.2.信息系統(tǒng)安全評估簡介 9評估內(nèi)容和階段 9評估結(jié)果 10四、濟(jì)南美訊網(wǎng)絡(luò)科技有限公司簡介 11外網(wǎng)用戶安全登錄通過建設(shè)SSLVPN和RSA的雙認(rèn)證來實現(xiàn)外網(wǎng)用戶能夠安全的登錄內(nèi)部系統(tǒng)網(wǎng)絡(luò)，使用內(nèi)部系統(tǒng)的相關(guān)數(shù)據(jù)信息。SSLVPN實現(xiàn)了點對網(wǎng)的安全連接，SSLVPN安全網(wǎng)關(guān)使用安全套接層（SSL協(xié)議）提供數(shù)據(jù)加密，保證數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩?。由于SSL協(xié)議屬于高層安全機制，因而廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序。當(dāng)前幾乎所有的標(biāo)準(zhǔn)瀏覽器中都內(nèi)置了SSL協(xié)議，因而企業(yè)員工、合作伙伴、移動辦公人員可以通過任何標(biāo)準(zhǔn)的瀏覽器實現(xiàn)遠(yuǎn)程安全接入。SSLVPN簡介相對于傳統(tǒng)的IPSecVPN，SSL能讓公司實現(xiàn)更多遠(yuǎn)程用戶在不同地點接入，實現(xiàn)更多網(wǎng)絡(luò)資源訪問，且對客戶端設(shè)備要求低，因而降低了配置和運行支撐成本。很多企業(yè)用戶采納SSLVPN作為遠(yuǎn)程安全接入技術(shù)，主要看重的是其接入控制功能。SSLVPN避開了部署及管理必要客戶軟件的復(fù)雜性和人力需求;SSL在Web的易用性和安全性方面架起了一座橋梁，目前對SSLVPN公認(rèn)的三大好處是:來自于它的簡單性，它不需要配置，可以立即安裝、立即生效;客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行;兼容性好，傳統(tǒng)的IPSecVPN對客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件，而SSLVPN則完全沒有這樣的麻煩。SSLVPN安全特性通常SSLVPN的安全性包含三個層面上的含義：一是客戶端接入的安全；二是數(shù)據(jù)傳輸安全；三是內(nèi)部資源的訪問安全。安全的加密認(rèn)證、USBKEY雙因素認(rèn)證短信認(rèn)證多重保證雙向的證書支持，完整的PKI體系與第三方認(rèn)證有效集成自建CA中心，減少安全架構(gòu)成本客戶端安全掃描，更完備的登陸安全自動清除訪問記錄，實現(xiàn)“零痕跡”訪問超時退出，防止窺探1.2.RSA雙因素身份認(rèn)證系統(tǒng)簡介在網(wǎng)絡(luò)安全中，身份認(rèn)證（Authentication）是最基本最重要的環(huán)節(jié)，即使將授權(quán)、保密性、完整性等環(huán)節(jié)做得很完善，但如果帳號和密碼被盜，系統(tǒng)將認(rèn)為是合法用戶，給予相應(yīng)的訪問權(quán)限，使系統(tǒng)處于危險狀態(tài)。一般的認(rèn)證采用比較復(fù)雜的密碼或長密碼來提高安全性，但是這樣一來在輸入密碼時又容易輸入錯誤，而且容易忘記，如果寫在紙面上又容易丟失。而短密碼又容易被猜到或暴力破解。RSA提供了完整的身份認(rèn)證解決方案，特別是RSASecurID雙因素身份認(rèn)證解決方案（RSA的一種），已成為該領(lǐng)域的事實標(biāo)準(zhǔn)，該解決方案以易于實現(xiàn)、成熟、可靠等特點在信息安全領(lǐng)域贏得廣泛信賴。RSASecurID雙因素身份認(rèn)證解決方案需要每個用戶擁有一個認(rèn)證設(shè)備，在企業(yè)內(nèi)部需要認(rèn)證服務(wù)器。認(rèn)證設(shè)備：類似優(yōu)盤大小認(rèn)證服務(wù)器： 標(biāo)準(zhǔn)19U機柜大小一般的RSA認(rèn)證方法是：認(rèn)證設(shè)備與認(rèn)證服務(wù)器運用相同的RSA算法，每分鐘更換一次密碼，用戶可以通過輸入認(rèn)證設(shè)備上顯示的密碼來登錄。RSASecurID雙因素身份認(rèn)證解決方案的特點是：雙重密碼，就是每個認(rèn)證設(shè)備都有一個4-8位PIN碼（在服務(wù)器上定義），輸入密碼是要PIN+認(rèn)證設(shè)備上顯示的密碼二合一的。好處就是即使認(rèn)證設(shè)備被盜也不會被入侵者使用。二、內(nèi)網(wǎng)用戶認(rèn)證準(zhǔn)入系統(tǒng)2.1.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)簡介使用桌面準(zhǔn)入系統(tǒng)，可確保只有經(jīng)過授權(quán)的所有終端設(shè)備(如PC、筆記本電腦、服務(wù)器、智能電話或PDA等)訪問網(wǎng)絡(luò)資源，以防入侵者的威脅。并且可以保證終端設(shè)備的唯一性，不可偽造性。拒絕非法設(shè)備進(jìn)行網(wǎng)絡(luò)訪問。網(wǎng)絡(luò)準(zhǔn)入機制的實現(xiàn)當(dāng)一臺機器接入內(nèi)網(wǎng)時，服務(wù)器將檢查是否安裝Agent(代理模塊)。沒有安裝Agent(代理模塊)時，服務(wù)器檢查這臺機器的IP/MAC地址。如果是NAH例外終端，就可以直接通過動態(tài)授權(quán)訪問內(nèi)部資源。上圖中狀態(tài)1。如果是訪客的終端，就劃分到訪客區(qū)，這臺機器如果需要訪問互聯(lián)網(wǎng)，需要輸入訪客密碼，通過訪客認(rèn)證才可以訪問互聯(lián)網(wǎng)。上圖中狀態(tài)2如果這臺機器需要訪問內(nèi)部保密的數(shù)據(jù)，就會提示安裝代理模塊。上圖中狀態(tài)3。安裝過代理模塊的機器，需要經(jīng)過身份認(rèn)證和終端認(rèn)證，不合法的將拒絕接入。上圖中狀態(tài)4。合法的終端還要通過安全策略的檢查，如果不合格，需要進(jìn)入隔離區(qū)進(jìn)行強制修復(fù)，直到安全策略檢查合格才可以進(jìn)行下一步審核。上圖中狀態(tài)5。通過安全策略檢查的終端通過動態(tài)授權(quán)才可以訪問內(nèi)部保密的數(shù)據(jù)。上圖中狀態(tài)6。安全策略檢查包括安全檢查，安全加固，行為審計，異常檢測，U盤監(jiān)控，文檔加密等。三、漏洞掃描與信息系統(tǒng)安全評估3.1.漏洞掃描與管理系統(tǒng)簡介漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。在漏洞橫飛的今天，誕生了漏洞掃描與管理系統(tǒng)，漏洞掃描與管理系統(tǒng)是基于網(wǎng)絡(luò)的脆弱性分析、評估與管理系統(tǒng)，它遵循“發(fā)現(xiàn)—掃描—定性—修復(fù)—審核”的全面評估法則。漏洞掃描與管理系統(tǒng)主要功能資產(chǎn)發(fā)現(xiàn)以及管理漏掃系統(tǒng)能夠通過綜合運用多種手段（主機存活探測，智能端口檢測，操作系統(tǒng)指紋識別等）全面、快速、準(zhǔn)確的發(fā)現(xiàn)被掃描網(wǎng)絡(luò)中的存活主機，準(zhǔn)確識別其屬性，包括主機名稱、設(shè)備類型、端口情況、操作系統(tǒng)以及開放的服務(wù)等，為進(jìn)一步脆弱性掃描做好準(zhǔn)備。脆弱式掃描與分析漸進(jìn)式的掃描方法能夠讓漏掃系統(tǒng)利用已經(jīng)發(fā)現(xiàn)的資產(chǎn)信息進(jìn)行針對性掃描，以發(fā)現(xiàn)主機上不同應(yīng)用對象（操作系統(tǒng)和應(yīng)用軟件）的弱點和漏洞，同時保證掃描過程的快速和結(jié)果的準(zhǔn)確。目前，可檢測的漏洞數(shù)量已經(jīng)超過2300種，涵蓋了各種常見的網(wǎng)絡(luò)主機、操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全漏洞。脆弱性風(fēng)險評估總結(jié)被掃描資產(chǎn)的保護(hù)等級和資產(chǎn)價值，采用參考國家標(biāo)準(zhǔn)制定的風(fēng)險評估算法，能夠?qū)χ鳈C、網(wǎng)絡(luò)的脆弱性風(fēng)險做出定量和定性的綜合評價。弱點修復(fù)指導(dǎo)每個漏洞都有詳細(xì)的描述，包括漏洞的說明、影響的系統(tǒng)、平臺、危險級別以及標(biāo)準(zhǔn)的CNCVE、CVE、BUGTRAQ等對應(yīng)關(guān)系以及鏈接信息，并提供修補方案。安全策略審核用戶可以通過計劃任務(wù)的定期執(zhí)行，進(jìn)行基于主機、網(wǎng)絡(luò)和弱點的趨勢對比分析。另外，漏洞驗證功能允許檢查用戶對掃描到的漏洞進(jìn)行審核。3.2.信息系統(tǒng)安全評估簡介了解組織的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；確定可能對資產(chǎn)造成危害的威脅，包括入侵者、罪犯、不滿員工、恐怖分子和自然災(zāi)害；通過對歷史資料和專家的經(jīng)驗確定威脅實施的可能性；對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴(yán)重性，以及相應(yīng)的級別，確定哪些資產(chǎn)是最重要的；對最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；明晰組織的安全需求，指導(dǎo)組織建立安全管理框架，提出安全建議，合理規(guī)劃未來的安全建設(shè)和投入。評估內(nèi)容和階段從評估對象這個角度，評估內(nèi)容要覆蓋組織所有節(jié)點中的重要信息資產(chǎn)。它包括兩個層面的內(nèi)容：技術(shù)層面：評估和分析在網(wǎng)絡(luò)和主機上存在的安全技術(shù)風(fēng)險，包括網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等軟硬件設(shè)備。管理層面：從組織的人員、組織結(jié)構(gòu)、管理制度、系統(tǒng)運行保障措施，以及其它運行管理規(guī)范等角度，分析業(yè)務(wù)運作和管理方面存在的安全缺陷。風(fēng)險評估的步驟：資產(chǎn)識別與賦值:對組織的各類資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀；威脅分析:是指對系統(tǒng)或資產(chǎn)的保密性、完整性及可用性構(gòu)成潛在損害，以致影響系統(tǒng)或資產(chǎn)正常使用及操作的任何事件或行動弱點分析:識別信息系統(tǒng)在技術(shù)層面存在的安全弱點。通過采集本地安全信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備、各種安全管理、安全控制、人員、安全策略、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的信息，并進(jìn)行相應(yīng)的分析控制分析：產(chǎn)生一個總體可能性評價來說明一個潛在弱點在相關(guān)威脅環(huán)境下被攻擊的可能性可能性及影響分析：對威脅發(fā)生頻率的估計，即威脅發(fā)生的或然率風(fēng)險識別：挖掘并評估業(yè)務(wù)系統(tǒng)/資產(chǎn)面臨的威脅、挖掘并評估業(yè)務(wù)系統(tǒng)/資產(chǎn)存在的弱點、進(jìn)而評估該業(yè)務(wù)系統(tǒng)/資產(chǎn)的風(fēng)評估結(jié)果一旦風(fēng)險評估全部結(jié)束（威脅源和弱點已經(jīng)被識別出來，風(fēng)險也被評估，控制建議也已經(jīng)提出），結(jié)果被整理為正式文檔。根據(jù)收集的信息和完成的分析，評估小組創(chuàng)建風(fēng)險評估報告書，并向組織相關(guān)人員陳述本次風(fēng)險評估結(jié)果，提出相應(yīng)的安全措施建議，利用風(fēng)險評估管理系統(tǒng)RAMS管理評估結(jié)果，使組織充分理解信息系統(tǒng)存在的風(fēng)險，以盡早采取措施管理不可接受的風(fēng)險，最終完成風(fēng)險評估活動。四、濟(jì)南美訊網(wǎng)絡(luò)科技有限公司簡介濟(jì)南美訊網(wǎng)絡(luò)科技有限公司是一家資金和技術(shù)實力雄厚的高科技企業(yè)，2005年注冊成立于充滿活力的濟(jì)南高科技園區(qū),現(xiàn)有員工30余人，專業(yè)技術(shù)人才20余人。注冊資金500萬元，現(xiàn)有固定資產(chǎn)總額600余萬元，公司近兩年發(fā)展迅速，先后在北京,青島等地設(shè)立了辦事處.

公司以專業(yè)的產(chǎn)品供應(yīng)商和技術(shù)服務(wù)商為自身定位，不斷完善運營體制，逐漸形成集銷售、維修、工程安裝及服務(wù)于一體的一條龍服務(wù)體系,為客戶提供全面的系統(tǒng)集成服務(wù)，并充分利用現(xiàn)代化的系統(tǒng)管理手段，實現(xiàn)了網(wǎng)絡(luò)規(guī)劃、軟件開發(fā)、產(chǎn)品供應(yīng)、系統(tǒng)集成的創(chuàng)新運營。美訊公司秉承“專注需求，快速服務(wù)”的理念,美訊人齊心協(xié)力，發(fā)揚團(tuán)結(jié)創(chuàng)新、追求卓越的服務(wù)精神，創(chuàng)造了良好的經(jīng)濟(jì)和社會效益。提供企業(yè)整體解決方案、OA網(wǎng)絡(luò)智能辦公系統(tǒng)解決方案、大中型網(wǎng)絡(luò)系統(tǒng)設(shè)計、咨詢、實施、技術(shù)支持和維護(hù)（X.25、DDN、FrameRelay、Ethernet、FDDI、ATM、SwitchLAN、TCP/IP、SNA等）軟件工程管理（開發(fā)規(guī)范、標(biāo)準(zhǔn)文檔、系統(tǒng)測試、系統(tǒng)維護(hù)）企業(yè)軟件系統(tǒng)分析設(shè)計、以及應(yīng)用開發(fā)培訓(xùn)等全面服務(wù)。主要業(yè)務(wù)：

美訊機房監(jiān)控系統(tǒng)

網(wǎng)絡(luò)流量控制設(shè)備辦公OA協(xié)同工作軟件網(wǎng)絡(luò)安全一體化方案提供商

思科中國區(qū)專業(yè)集成商

網(wǎng)絡(luò)控制及管理一體方案供應(yīng)商專業(yè)存儲設(shè)備供應(yīng)商

神州數(shù)碼網(wǎng)絡(luò)產(chǎn)品分銷商公司現(xiàn)有業(yè)務(wù)涉及政府，大型企業(yè)，運營商及公安系統(tǒng)，主要涉及軟硬件安全產(chǎn)品，大型存儲產(chǎn)品，電視電話會議設(shè)備，網(wǎng)絡(luò)設(shè)備，傳輸設(shè)備及其他通訊相關(guān)產(chǎn)品服務(wù)。與聯(lián)想網(wǎng)域、聯(lián)想存儲、神州數(shù)碼網(wǎng)絡(luò)、思科網(wǎng)絡(luò)、日立存儲、EMC存儲、IBM存儲、SUN公司、中興通訊、華為通訊，均有廣泛合作。2007年全年實現(xiàn)銷售收入1400余萬元，其中僅存儲設(shè)備及相關(guān)服務(wù)就簽約400余萬元，在大型網(wǎng)絡(luò)技術(shù)服務(wù)中實現(xiàn)收入200