信息安全建设方案建议书(五)(DOC32页)28672.doc

《信息安全建设方案建议书(五)(DOC32页)28672.doc》由会员分享，可在线阅读，更多相关《信息安全建设方案建议书(五)(DOC32页)28672.doc（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.第1章 信息安全全解决方方案设计计在第2章章里，我我们分别别从网络络、应用、终端及管理四个个方面对对公司的的信息系系统安全全建设进进行了风风险及需需求的分分析。同同时根据据第3章的安安全方案案设计原原则，我我们将公公司网络络安全建建设分为为以下几几个方面面进行了了详细的的方案设设计： 边界安全全解决方方案； 内网安全全解决方方案； 应用安全全解决方方案； 安全管理理解决方方案； 安全服务务解决方方案。下面我们们分别针针对这5个安全全解决方方案进行行详细的的描

2、述。1.1 边界安全全解决方方案在第2章章的网络络安全风风险及需需求分析析中，我我们主要要从外部部网络连连接及内内部网络络运行之之间进行行了风险险的分析析。边界界安全解解决方案案就是针针对与外外部网络络连接处处的安全全方面。网络是用用户业务务和数据据通信的的纽带、桥桥梁，网网络的主主要功能能就是为为用户业业务和数数据通信信提供可可靠的、满满足传输输服务质质量的传传输通道道。就公司网网络系统统来讲，网网络边界界安全负负责保护护和检测测进出网网络流量量；另一一方面，对对网络中中一些重重要的子子系统，其其边界安安全考虑虑的是进进出系统统网络流流量的保保护和控控制。针对公司司网络系系统，来来自外部部互

3、联网网的非安安全行为为和因素素包括： 未经授权权的网络络访问 身份（网网络地址址）欺骗骗 黑客攻击击 病毒感染染针对以上上的风险险分析及及需求的的总结，我我们建议议在网络络边界处处设置防防火墙系系统、安全网网关及远程访访问系统统等来完完善公司司的边界界网络安安全保护护。1.1.1 防火墙系系统为在公司司网络与与外界网网络连接接处保障障安全，我我们建议议配置防防火墙系系统。将将防火墙墙放置在在网络联联结处，这这样可以以通过以以下方式式保护网网络： 为防火墙墙配置适适当的网网络访问问规则，可可以防止止来自外外部网络络对内网网的未经经授权访访问； 防止源地地址欺骗骗，使得得外部黑黑客不可可能将自自身

4、伪装装成系统统内部人人员，而而对网络络发起攻攻击； 通过对网网络流量量的流量量模式进进行整型型和服务务质量保保证措施施，保证证网络应应用的可可用性和和可靠性性； 可以根据据时间定定义防火火墙的安安全规则则，满足足网络在在不同时时间有不不同安全全需求的的现实需需要； 提供用户户认证机机制，使使网络访访问规则则和用户户直接联联系起来来，安全全更为有有效和针针对性； 对网络攻攻击进行行检测，与与防火墙墙内置的的IDS功能共共同组建建一个多多级网络络检测体体系。目前新型型状态检检测的防防火墙有有效的解解决并改改善了传传统防火火墙产品品在性能能及功能能上存在在的缺陷陷，状态态检测防防火墙具具有更高高的安

5、全全性、系系统稳定定性、更更加显著著的功能能特性和和优异的的网络性性能，同同时具有有广泛的的适应能能力。在在不损失失网络性性能的同同时，能能够实现现网络安安全策略略的准确确制定与与执行，同同时有效效地抵御御来自非非可信任任网络的的攻击，并并具有对对防火墙墙系统安安全性能能的诊断断功能。其其内置的的入侵检检测系统统，可以以自动识识别黑客客的入侵侵，并对对其采取取确切的的响应措措施，有有效保护护网络的的安全，同同时使防防火墙系系统具备备无可匹匹敌的安安全稳定定性。我们可以以根据业业务模式式及具体体网络结结构方式式，不仅仅仅在内内部网络络与外部部网络之之间，同同时在内内部网络络与内部部网络之之间和各

6、各子业务务系统之之间，考考虑采用用防火墙墙设备进进行逻辑辑隔离，控控制来自自内外网网络的用用户对重重要业务务系统的的访问。1.1.1.1 防火墙技技术部署署说明（根据具具体的网网络情况况描述）1.1.1.2 产品选型型及功能能介绍（根据具具体产品品描述）1.1.2 安全网关关由于考虑虑到公司司与互联联网（Intternnet）进行行连接，所所以我们们建议在在系统网网络与Intternnet接入处处配置“安全网网关”，部署署位置灵灵活，可可放置在在接入路路由器与与防火墙墙之间，也也可部署署在防火火墙与内内部网络络之间。随着互联联网的飞飞速发展展和应用用，计算算机病毒毒已将互互联网作作为其一一种主

7、要要的传播播途径。其其中利用用电子邮邮件传播播病毒是是最直接接的方式式，统计计显示邮邮件传播播方式占占全部病病毒传播播的90%以上。在在过去一一段时间间内所发发生的几几起影响响较大的的计算机机病毒事事件中，以Internet为主要传播途径的病毒占大多数，如Nimda、Code Red等，以及近几年爆发的Sobig.F、Swen、冲击波、振荡波等等。同时，由由于病毒毒的泛滥滥，垃圾圾邮件也也越来越越成为大大家头痛痛的问题题。根据据国际领领导的市市场调查查机构Raddicaati Grooup统计，目目前所有有的邮件件中，超超过50是垃垃圾邮件件，也就就是说每每天在国国际上有有超过150亿封垃垃圾

8、邮件件被发送送出去，使使各类企企业每年年遭受到到200亿美元元以上由由于劳动动生产率率下降及及技术支支出带来来的损失失，到20007年垃圾圾邮件数数量将上上升到惊惊人的2万亿封封一年。经过上述述风险及及需求的的分析，在Internet接入处对病毒、垃圾邮件及恶意代码进行控制，是实现接入安全的最佳方案。通过配置“安全网关”，我们可以实现： 保证所有有主要的的Intternnet协议的的安全，包包括HTTTP、FTP、SMTTP、POPP3等信息息在进入入内部网网络前由由安全网网关进行行查杀毒毒； 过滤所有有来自互互联网的的垃圾邮邮件； 通过SMMTP认证保保证邮件件服务器器不会被被黑客当当作攻击

9、击别人的的跳板等等。1.1.2.1 产品选型型及功能能描述安全网关关的目标标是在网网络边界界或Intternnet网关处处提供全全面的病病毒防护护，而该该病毒防防护设备备是即插插即用的的，不需需要改变变任何Intternnet设置，并并对所有有应用及及服务透透明。通通过全面面阻截已已知及未未知病毒毒和防垃垃圾邮件件功能和和内容过过滤功能能达到针针对企业业网络环环境的全全面防护护。安全全网关是是一款高高度可配配置及提提供负载载均衡的的产品，为为从中型型到大型型企业提提供全面面解决方方案，并并对网络络流量透透明。v 主要模块块 防病毒模模块能够够扫描最最常用的的6种协议议，阻止止未知病病毒和计计算

10、机蠕蠕虫进入入公司网网络 防垃圾模模块安全全网关通通过其反反垃圾邮邮件模块块检查进进入公司司的所有有邮件。信信息被扫扫描并且且被划分分成垃圾圾或非垃垃圾，在在未被请请求的邮邮件到达达用户信信箱之前前进行阻阻断或修修改这些些信息的的主题 内容过滤滤模块网网页过滤滤模块允允许管理理员限制制因特网网访问。可可以定义义不受欢欢迎内容容目录，授授权和非非授权网网页。允允许管理理员控制制公司网网络资源源，并且且阻断非非法，黄黄色或暴暴力网站站内容，或或只是不不受欢迎迎内容进进入公司司。可以以建立VIP用户列列表，这这些用户户不需应应用上述述限制v 主要特点点： 易于使用用：安全全网关是是目前世世面上最最易

11、于安安装及使使用的硬硬件网关关产品，作作为网络络信息传传递的桥桥梁而非非需要重重新路由由网络流流量。 安全：安安全网关关扫描6种网络络协议，而而其他硬硬件网关关产品仅仅能够扫扫描2到4种网络络协议。在在安全网网关安装装在企业业边界上上时，它它实时扫扫描所有有收入及及发出邮邮件及其其他的网网络传输输信息，并并且具有有防垃圾圾邮件功功能和内内容过滤滤功能 表现性能能：安全全网关的的最大性性能是可可以取得得完全扫扫描及病病毒防护护。安全全网关的的硬件及及软件性性能经过过特殊优优化处理理，能够够同时扫扫描6种网络络协议，并并且完全全对企业业网络透透明。 扩展性：安全网网关专门门针对自自动负载载均衡设设

12、计，使使增加扫扫描的速速度及增增加网络络防护可可以随时时达到。并并可支持持到百兆兆。v 功能及优优势： 性能高度度优化的的病毒防防护 整合最最新硬件件及软件件技术，提提供超乎乎寻常的的优异性性能，能能够在一一个小时时内扫描描上万封封邮件，完完全对企企业网络络透明。 性能高度度优化的的垃圾邮邮件防护护 整合最最新硬件件及软件件技术，提提供超乎乎寻常的的优异性性能，能能够在一一个小时时内扫描描上万封封邮件，完完全对企企业网络络透明。 拓展性及及负载均均衡 由于安安全网关关的高度度可拓展展性，安安全网关关适合中中到大型型企业，能能够根据据网络通通讯流量量调节扫扫描能力力。负载载均衡是是完全自自动的，

13、允允许工作作负载量量能够自自动在不不同工作作单元间间进行均均衡，良良好地保保障了产产品的可可拓展性性及对企企业边界界的全面面防护。 易于安装装及配置置 按照即即插即用用的设计计思路，能能够非常常简便地地安装在在企业网网络中，不不需要重重新配置置或重新新路由Intternnet流量。一一旦安装装完成，就就开始不不知疲倦倦地扫描描所有网网络流量量，保障障网络的的100安全全。 保护所有有广泛使使用的网网络协议议 保护所所有可能能的Intternnet相关威威胁，完完全扫描描所有常常用Intternnet协议，包包括: HHTTPP, FFTP, SMMTP, POOP3, IMMAP, NNNTP

14、. 内容过滤滤 内容过过滤防止止未知病病毒及蠕蠕虫进入入企业网网络，大大幅减少少整体网网络资源源占用及及带宽，防防止可能能的恶意意代码进进入到企企业网络络。 远程管理理 可以通通过一个个简洁、启启发式的的WEB管理控控制台远远程管理理，让企企业网络络管理员员通过企企业内部部任何一一台电脑脑管理该该产品。 每日自动动病毒更更新 可以每每日自动动病毒更更新，意意味着安安全网关关始终可可以防护护所有最最新病毒毒。 详细报告告及可客客户化的的报警安安全网关关提供完完整的扫扫描报告告，并可可以客户户化在企企业内部部网络的的病毒报报警机制制。 实时系统统监控 安全网网关提供供网络管管理员对对网络病病毒行为

15、为及网络络流量的的实时监监控。1.1.3 远程访问问安全根据前面面的风险险及需求求分析可可知，公公司在通通过Intternnet互连及及远程访访问方面面，主要要存在着着以下两两种类型型： 公司总部部与分支支机构之之间的远远程访问问及互连连； 公司与合合作伙伴伴之间的的远程访访问及互互连。在总部与与分支之之间的互互连，一一般要求求将分支支机构的的网络接接入到总总部网络络。而与与合作伙伙伴的互互连一般般情况下下合作伙伙伴访问问企业固固定的某某些应用用系统。同同时，远远程应用用中还存存在着一一种情况况，即用用户出差差或移动动状态中中需要在远程访访问安全全方面，我我们分别别针对这这两类应应用类型型设计

16、了了相应的的VPN远程访访问系统统。1.1.3.1 分支与总总部的连连接目前，由由于VPN（虚拟拟专网）比比租用专专线更加加便宜、灵灵活，所所以有越越来越多多的公司司采用VPN，连接接在家工工作和出出差在外外的员工工，以及及替代连连接分公公司和合合作伙伴伴的标准准广域网网。VPN建在互互联网的的公共网网络架构构上，通通过“隧道”协议，在在发端加加密数据据、在收收端解密密数据，以以保证数数据的私私密性。如在企业业分部与与企业总总部之间间，及企企业员工工与企业业核心数数据之间间，都可可建立起起端到端端的逻辑辑隧道(Tuunneel)，所谓“隧道”是指其其中所传传递的数数据都经经过特殊殊包装和和加密

17、处处理，从从而能与与同一物物理链路路中其它它数据区区别开来来，避免免被不法法用户所所窃取，只只有在隧隧道的始始末两端端才可能能添加和和去除这这些特殊殊包装以以得到真真实的数数据。在在通过公公共网络络(如Intternnet)传递业业务数据据时，这这项技术术尤为必必要。现在大多多数远程程安全访访问解决决方案是是采用IPSSec VPNN方式，应应用最广广泛的组组网结构构是在站站点到站站点的VPN组网方方式。IPSSec是网络络层的VPN技术，表表示它独独立于应应用程序序。IPSSec以自己己的封包包封装原原始IP信息，因因此可隐隐藏所有有应用协协议的信信息。一一旦IPSSec建立加加密隧道道后，

18、就就可以实实现各种种类型的的一对多多的连接接，如Web、电子子邮件、文文件传输输、VoIIP等连接接。并且且，每个个传输必必然对应应到VPN网关之之后的相相关服务务器上。在在设计上上，IPSSec VPNN是一种种基础设设施性质质的安全全技术。这这类VPN的真正正价值在在于，它它们尽量量提高IP环境的的安全性性。IPSSec VPNN的诱人人之处包包括，它它采用了了集中式式安全和和策略管管理部件件，从而而大大缓缓解了维维护需求求。1.1.3.2 应用系统统的远程程访问信息技术术发展到到现在，Web成为标标准平台台已势不不可挡，越越来越多多的企业业开始将将ERP、CRM、SCM移植到Web上。S

19、SLL VPPN将是Web应用热热潮的直直接受益益者，它它被认为为是实现现远程安安全访问问Web应用的的最佳手手段。很很多情况况下，如如采用SSLL VPPN的能够够就是降降低成本本。虽然然购买软软件或硬硬件的费费用不一一定便宜宜，但部部署SSLL VPPN很便宜宜。安装装了这类类软件或或硬件，使使用者基基本上就就不需要要IT部门的的支持了了，只要要从其PC机上的的浏览器器向公司司网注册册即可。SSL连接也也更稳定定，据Inffoneeticcs最近发发表的报报告表明明， SSSL将不断断获得吸吸引力。到2006年，74%的移动员工将依赖VPN（比2004年增加15%），预计增长率主要来自SS

20、L，这种IPSec以外的方案避开了部署及管理必要客户软件的复杂性和人力需求。最终用户避免了携带电脑，通过与因特网连接的任何设备就能获得访问，SSL更容易满足用户对移动连接的需求。用户通过与因特网连接的任何设备实现连接，并借助于SSL隧道获得安全访问。虽然这需要在企业防火墙后面增添硬件，但企业只要管理一种设备，不必维护、升级及配置客户软件。SSL VPNN将远程程安全接接入延伸伸到IPSSec VPNN扩展不不到的地地方，使使更多的的员工，在在更多的的地方，使使用更多多的设备备，安全全访问企企业网络络资源，同同时降低低了部署署和支持持费用。SSLL VPPN正在成成为远程程接入的的事实标标准。S

21、SL VPNN可以在在任何地地点，利利用任何何设备，连连接到相相应的网网络资源源上。SSLL VPPN通信运运行在TCPP/ UUDP协议上上，具有有穿越防防火墙的的能力。这这种能力力使SSLL VPPN能够从从一家用用户网络络的代理理防火墙墙背后安安全访问问另一家家用户网网络中的的资源。IPSSec VPNN通常不不能支持持复杂的的网络，这这是因为为它们需需要克服服穿越防防火墙、IP地址冲冲突等困困难。鉴鉴于IPSSec客户机机存在的的问题，IPSSec VPNN实际上上只适用用于易于于管理的的或者位位置固定定的设备备。SSL VPNN是基于于应用的的VPN，基于于应用层层上的连连接意味味着

22、（和和IPSSec VPNN 比较），SSLL VPPN 更容易易提供细细粒度远远程访问问（即可可以对用用户的权权限和可可以访问问的资源源、服务务、文件件进行更更加细致致的控制制，这是是IPSSec VPNN难以做做到的）。IPSec VPN和SSL VPN 将在网络组网中发挥各自的优势。在公司的的远程访访问安全全中，由由于分别别存在着着这两种种情况，因因此我们们建议在在方案中中采用IPSSec 和SSLL VPPN相结合合的部署署方式： 总部与分分支机构构之间的的需要通通过现有有的Intternnet进行互互连，提提供分支支机构对对总部网网络的访访问。因因此，采采用基于于IPSSec的站点点

23、到站点点的VPN接入是是比较理理想的接接入方式式。 出差用户户及远程程移动用用户访问问公司内内部应用用、及合合作伙伴伴访问某某些特定定的业务务应用系系统，采采用SSLL VPPN方式更更能有效效的满足足应用的的需求。1.1.3.3 产品选型型及功能能说明（根据具具体的产产品功能能描述）1.1.4 入侵检测测系统根据之前前的安全全风险与与安全需需求分析析，在公公司网络络中，由由于直接接接入Intternnet及内部部网络用用户众多多，可能能面临的的风险及及威胁有有： 拒绝服务务攻击（DoS）：通过消耗网络带宽资源或网络设备处理能力资源，使正常的服务和数据通信对网络的传输质量要求得不到满足。尼姆达

24、（Nimda）病毒冲击波（Blaster, Nachi）病毒就是非常典型例子。 信息窃听听 资源滥用用：内部部人员访访问不当当站点、玩玩网络游游戏，浪浪费网络络资源，使使正常的的服务和和数据通通信得不不到保障障。 管理失控控：通过过窃取网网络设备备的管理理权而使使网络失失去安全全性因此，我我们在方方案中建建议在网网络中部部署入侵侵检测系系统来入入侵及滥滥用行为为进行检检测及审审计。通通过在网网络中部部署入侵侵检测系系统，可可以在安安全保障障上做到到： 检测和发发现针对对系统中中的网络络攻击行行为，如如DoSS攻击。对对这些攻攻击行为为可以采采取记录录、报警警、主动动阻断等等动作，以以便事后后分

25、析和和行为追追踪。 通过定义义禁止访访问网站站，限制制内部人人员对不不良站点点的访问问。 对一些恶恶意网络络访问行行为可以以先记录录，后回回放，通通过这种种真实地地再现方方式更精精确的了了解攻击击意图和和模式，为为未来更更有效地地的防范范类似攻攻击提供供经验 “入侵检检测系统统”可以提提供强大大的网络络行为审审计能力力，让网网络安全全管理员员跟踪用用户（包包括黑客客）、应应用程序序等对网网络的使使用情况况，帮助助他们改改进网络络规划。 对“入侵侵检测系系统”的使用用和使用用人员的的管理一一定要有有专门的的制度。IDS最最主要的的功能是是对网络络入侵行行为的检检测，它它包括普普通入侵侵探测和和服

26、务拒拒绝型攻攻击探测测引擎，可可以自动动识别各各种入侵侵模式，在在对网络络数据进进行分析析时与这这些模式式进行匹匹配，一一旦发现现某些入入侵的企企图，就就会进行行报警。IDS也支持持基于网网络异常常状况的的检测方方式。IDS具有强强大的碎碎片重组组功能，能能够抵御御各种高高级的入入侵方式式。为了了跟踪最最新的入入侵方式式和网络络漏洞，IDS提供大大容量的的入侵特特征库以以及方便便的升级级方式，每每一个漏漏洞都提提供了详详细的说说明和解解决方法法，并且且给出了了相关的的Buggtraaq、CVE以及CAI等国际际标准的的编号。IDS能能够基于于时间、地地点、用用户账户户以及协协议类型型、攻击击类

27、型等等等制定定安全策策略。通通过对安安全策略略的调整整，用户户能够很很方便地地将IDS自定义义成为符符合自己己组织需需要的入入侵检测测系统。而而且，通通过IDS提供的的正则表表达式，用用户能够够方便地地对入侵侵特征库库进行扩扩充，添添加需要要的入侵侵特征，并并且能够够对入侵侵的响应应过程进进行自定定义。比比如用户户需要在在发现某某种特定定类型的的攻击方方式的时时候启动动一段自自己编写写的程序序以完成成某项功功能的时时候，就就可以利利用IDS提供的的接口灵灵活而方方便地进进行配置置完成。在抵御拒拒绝服务务攻击的的功能上上，IDS不仅仅仅能够进进行攻击击的报警警，而且且能够主主动切断断攻击。由由此

28、产生生的大量量日志能能够通过过IDS具备的的强大的的工作区区切换功功能进行行存储和和转发，大大大提高高了网络络入侵检检测系统统本身的的抗攻击击能力。为为了进一一步提高高IDS的抗攻攻击能力力，IDS还支持Steealtth模式的的配置，就就是无IP设置。这这样攻击击者就无无法访问问运行IDS安全工工作站，也也就无法法对IDS进行直直接攻击击。1.1.4.1 产品部署署说明（根据具具体的网网络情况况描述）1.1.4.2 产品选型型及功能能描述（根据具具体的产产品描述述）1.2 内网安全全解决方方案面对网络络信息安安全的各各种风险险，我们们在边界界及网关关处的安安全解决决方案解解决了许许多安全全问

29、题。例例如：在在网络边边界，通通过防火火墙对网网络连接接和访问问的合法法性进行行控制，通通过网关关过滤设设备对数数据流非非法内容容进行控控制；在在网络传传输上，通通过入侵侵检测监监视黑客客攻击和和非法网网络活动动等。但但针对于于内部网网络我们们仍然面面临着诸诸多的安安全问题题。传统统上，我我们通过过漏洞扫扫描发现现系统缺缺陷；在在主机设设备，通通过主机机加固加加强主机机防护能能力，通通过防病病毒、反反间谍软软件预防防恶意代代码等。然而随着着网络的的发展，病病毒及恶恶意代码码本身的的技术越越来越先先进，其其防护也也越来越越复杂。而而且随着着计算机机技术及及应用的的普及，桌桌面用户户的行为为也越来

30、来越超出出网管员员的管理理能力范范畴。因因此，在在考虑内内部网络络安全时时，如果果有效的的管理网网络及终终端将是是我们考考虑的主主要问题题。在此我们们通过以以下三种种手段来来完成基基于终端端的安全全管理： 通过部署署网络防防病毒系系统来完完善企业业整体防防病毒及及恶意威威胁的能能力； 通过漏洞洞扫描或或风险评评估工具具来发展展漏洞、脆脆弱性及及威胁，并并通过补补丁分发发系统对对漏洞及及脆弱性性进行及及时的矫矫正及补补充； 通过终端端安全管管理系统统对桌面面设备及及用户进进行安全全管理及及规范，有有效保证证终端的的安全。1.2.1 企业防病病毒系统统目前公司司网络系系统中并并没有一一套完整整的防

31、病病毒策略略和技术术方案，工工作站安安装的防防病毒软软件各种种各样，甚甚至有些些服务器器与工作作站没有有安装防防病毒软软件，部部分工作作上使用用的防病病毒软件件病毒特特征代码码没有及及时更新新，没有有对防病病毒软件件进行统统一的管管理。鉴鉴于防病病毒的重重要性和和资源服服务器系系统网络络的当前前状况，需需要建立立一套完完整的防防病毒系系统，把把病毒对对网络的的威胁降降到最低低。目前企业业整体防防病毒解解决方案案均已比比较成熟熟。在此此我们针针对传统统企业防防病毒系系统部署署强调以以下几点点： 全面性：实施网网络防毒毒系统时时，应当当对网络络内所有有可能作作为病毒毒寄居、传传播及受受感染的的计算

32、机机进行有有效防护护。避免免有“遗忘的的角落”造成病病毒传播播的源泉泉； 功能及易易用性：一方面面需要对对各种病病毒进行行有效杀杀、防；另一方方面，也也要强调调网络防防毒在实实施、操操作，维维护和管管理中的的简洁、方方便和高高效，最最大限度度地减轻轻使用人人员和维维护人员员的工作作量； 资源占用用：防毒毒系统和和企业现现行计算算机系统统的兼容容性、防防毒软件件的运行行效率及及占用资资源等是是企业防防病毒系系统必须须考虑的的问题。部部署时考考虑到企企业现有有的计算算环境及及应用平平台，是是否与需需求资源源相匹配配； 管理体系系：为了了保证防防病毒系系统的一一致性、完完整性和和自升级级能力，还还必

33、须要要有一个个完善的的病毒防防护管理理体系，负负责病毒毒软件的的自动分分发、自自动升级级、集中中配置和和管理、统统一事件件和告警警处理、保保证整个个企业范范围内病病毒防护护体系的的一致性性和完整整性。 防病毒策策略：这这个是企企业防病病毒系统统最容易易被忽略略的地方方。系统统必须明明确地规规定保护护的级别别和所需需采取的的对策，并并制定系系统的防防病毒策策略和部部署多层层防御战战略，服服务器防防病毒、个个人桌面面计算机机防病毒毒以及所所有防病病毒产品品的统一一管理，不不要让网网络系统统中存在在“木桶效效应”。一个良好好的防病病毒解决决方案需需要做到到“层层防防护，处处处设防防”，全方方位多层层

34、次部署署防病毒毒体系。我我们为公公司网络络中提供供一个稳稳定高效效、技术术一流、方方便管理理、服务务周全的的病毒防防护解决决方案，满满足网络络系统对对病毒防防护系统统设计的的业务需需求，确确保网络络系统能能有效抵抵御各种种病毒和和恶意程程序的攻攻击。在公司网网络中建建立病毒毒防护管管理服务务器，所所有的防防毒对象象（工作作站和服服务器）均均采用安安装代理理的方式式来实现现集中控控管。防防毒服务务器全面面控制防防毒代理理的运行行、升级级和删除除等权限限。可以以通过防防毒服务务器自动动分发防防毒策略略和防病病毒升级级特征库库，而整整个防毒毒体系只只需要网网管与网网络安全全管理中中心的防防毒服务务器

35、去Intternnet自动获获取病毒毒库升级级就可以以自动完完成全网网的升级级工作。极极大地提提高了防防毒工作作的效率率。并且且这种二二层架构构的网络络防毒体体系具有有很好的的扩展性性。1.2.1.1 产品选型型及功能能描述NOD332企业业级防病病毒安全全套装是是一个高高性能和和稳定的的防病毒毒解决方方案，它它方便了了对网络络中所有有计算机机的保护护配置和和更新，这这些计算算机包括括：工作作站，文文件服务务器，Excchannge和Domminoo邮件服服务器，SMTTP网关和和边界服服务器。它它不仅抵抵御病毒毒，蠕虫虫和特洛洛依木马马，还防防护新的的英特网网攻击，如如垃圾邮邮件，间间谍程序

36、序，拨号号器，黑黑客工具具和恶作作剧，以以及针对对系统漏漏洞，并并提供保保护阻止止安全冒冒险。入侵防护护采用了了新一代代的防护护技术，它它比传统统的检测测系统更更加智能能化，能能在第一一时间发发现新的的威胁，并并阻断企企图越过过传统防防病毒软软件的未未知病毒毒的攻击击，不管管该未知知病毒是是以下列列何种方方式传播播：外围围设备、局局域网共共享资源源、电子子邮件E-mmaill、互联联网。入入侵防护护是市场场上唯一一一款集集已知和和未知威威胁防护护于一身身的入侵侵防护软软件，能能最大程程度地抵抵御病毒毒、木马马、蠕虫虫等网络络威胁。入侵防护护企业版版主要特特性包括括： 发现并清清除未知知病毒：结

37、合了了多种恶恶意代码码程序的的检测及及阻断技技术，能能有效发发现并清清除未知知病毒。 缓冲区溢溢出防护护：不仅仅能抵御御已知的的安全漏漏洞攻击击，而且且能防护护未知的的攻击。能能在第一一时间保保护系统统内的缓缓冲区溢溢出漏洞洞不会被被恶意代代码利用用作为攻攻击的手手段，即即使还没没有任何何针对该该漏洞的的资料和和补丁程程序。 防护性的的阻断感感染：可可以在网网络层防防止病毒毒和蠕虫虫在企业业网络中中传播。 安全政策策定义：通过建建立安全全政策来来控制计计算机上上运行的的程序可可执行的的操作，使使网管人人员能对对企业网网络内所所有的计计算机进进行整体体控制管管理、定定义并干干预正当当的及被被禁止

38、的的操作。 新一代的的防护技技术，能能抵御所所有类型型的互联联网威胁胁：包括括病毒、木木马、蠕蠕虫等。 无可比拟拟的集中中式部署署：能不不受地域域限制，对对企业组组织中所所有的工工作站进进行客户户端分发发和集中中管理。 占用资源源最小化化：是在在低带宽宽环境下下保护笔笔记本电电脑的理理想方案案。 基于通用用标准的的技术：优化网网络内的的防病毒毒更新速速度。 友好直观观的用户户界面：避免混混淆和误误操作。1.2.2 终端安全全管理在第2章章里我们们针对终终端的安安全进行行了详细细风险及及需求的的分析。终终端安全全是我们们整体解解决方案案里不可可或缺的的部分，因因为终端端安全是是我们日日常安全全工

39、作是是最重要要也是需需要关注注最多的的部分。因因此相应应的终端端安全的的解决方方案必须须做到：v 统一、灵灵活的安安全策略略所有的安安全管理理都是通通过策略略集的定定制和分分发来完完成的，支支持集中中的安全全管理，便便于整个个系统的的统一管管理。安安全策略略分为用用户策略略和全局局策略两两类。一一般情况况下，用用户终端端工作在在网络环环境下，接接受在线线环境下下用户策策略的控控制；对对于移动动办公的的笔记本本电脑等等移动终终端，接接受脱机机情况下下全局策策略的保保护。管理员可可根据组组织机构构划分管管理权限限，不同同的管理理者具有有不同的的权限和和管辖范范围，支支持系统统清晰的的职权划划分。安

40、安全策略略可以分分组分类类，不同同的策略略组所起起的控制制作用和和使用范范围也不不同。为为了简化化策略的的管理，我我们将用用户按照照角色来来管理；对不同同的角色色实施不不同的安安全策略略。策略涉及及多个层层次：物物理和环环境、链链路和操操作、网网络、设设备、系系统、应应用、数数据、人人员等各各个层面面的安全全策略制制定、部部署和实实施，帮帮助客户户有效实实现网络络安全建建设。策策略层次次如下图图所示：v 多层面、全全方位保保护系统的保保护覆盖盖了“系统内内核 - 系统设设备 - 应用程程序”三个层层面，提提供了全全方位的的保护。在系统内内核层面面，可自自动、透透明地帮帮助用户户加固操操作系统统

41、、降低低IT资源风风险。终终端用户户勿需具具备专业业安全知知识便可可将自己己的计算算机终端端加固到到专家级级程度，从从而将精精力关注注于核心心业务。在系统设设备层面面，严格格限定用用户对硬硬件设备备（例如如：磁盘盘驱动器器、CD-ROMM、USB设备、打打印机、网网卡等）的的使用权权限和网网络传输输控制，保保证该主主机遭受受攻击或或发起对对外攻击击的可能能性都极极大降低低，同时时也防止止数据信信息泄露露。在应用程程序层面面，严格格限定用用户在指指定电脑脑上的合合法行为为和禁止止行为，保保证了用用户只能能在合法法范围内内正常使使用电脑脑，避免免了用户户对资源源的滥用用，也避避免了由由此造成成的维

42、护护成本升升高。v 智能化分分析和异异常检测测机制系统通过过特有的的环境因因子和用用户因子子生成报报警因子子，并结结合策略略因子和和历史数数据，共共同输入入到决策策引擎中中；该引引擎采用用专有的的安全算算法，综综合分析析判断得得出对某某个事件件是否报报警。这这样就避避免了大大量误报报给管理理员带来来的工作作量。v 安全和管管理相结结合计算机终终端的生生命周期期管理过过程中，既既涉及到到安全保保护，也也涵盖终终端管理理，这两两项工作作内容都都服务于于业务目目标，目目的是保保证IT业务和和办公的的正常运运行和健健康发展展。安全全和管理理的完善善结合，正正是终端端管理系系统设计计的重要要思想。1.2

43、.2.1 产品选型型与功能能介绍IP-GGUARRD终端端安全管管理系统统是为了了应对目目前终端端面临的的众多安安全威胁胁而设计计的一种种安全管管理产品品，也是是实现ELM策略的的重要技技术手段段。提供供了对终终端生命命周期管管理（ELM）策略略的全面面技术支支撑，涵涵盖了资资产管理理、终端端保护、应应用监管管、审计计分析等等功能模模块。以计算机机终端为为核心，通通过完整整、灵活活、适应应用户需需求的措措施，提提供终端端安全解解决方案案。KSMMS面向企企业级用用户，它它部署在在网络中中每一台台计算机机终端，实实现对终终端的全全面保护护，并且且强调对对网络终终端的统统一控制制管理。象象一个时时

44、刻守卫卫在用户户身边的的安全管管理员，提提供有效效的安全全保护，确确保计算算机安全全使用和和企业级级的统一一管理。1.2.2.1.1 系统体系系和结构构由三个部部分组成成：策略略服务器器（KPS）、管管理控制制台（KMC）、安安全客户户端（KSA）。v 分布式的的体系结结构系统采用用分布式式体系结结构，部部署在网网络内所所有需要要保护的的计算机机终端，通通过集中中的管理理中心进进行控制制管理。KSMMS提供灵灵活的部部署能力力，具有有良好的的扩展性性。KSMMS体系结结构如下下图所示示：在上图中中，安全全管理中中心包括括策略服服务器、管管理控制制台、日日志和审审计数据据库。其其中，日日志和审审

45、计数据据库可采采用独立立服务器器，也可可安装部部署在管管理控制制台。需需要保护护管理的的计算机机终端包包括企业业网络环环境中工工作的各各种PC、笔记记本电脑脑、PC服务器器等。接受保护护和管理理的终端端节点会会产生各各种安全全审计信信息，可可集中传传输并存存放到日日志审计计数据库库，管理理控制台台可以访访问和管管理审计计信息并并进行统统计分析析。v 系统组成成 策略服务务器策略服务务器保存存并分发发安全策策略。KPS负责系系统的认认证授权权、策略略管理的的后台支支持，负负责整个个系统策策略的发发布和保保存。支支持分布布式部署署，能够够适用于于大规模模网络环环境的应应用。 管理控制制台KSMSS

46、管理控控制台实实现系统统的集中中管理控控制。负负责用户户终端管管理、策策略定义义和应用用、系统统设置、日日志查询询和报表表分析，为为系统的的管理提提供统一一的平台台，并支支持用户户分权管管理。 安全客户户端安全客户户端接受受控制台台的管理理，执行行安全策策略。KSA部署在在需要保保护的用用户PC和服务务器上，保保护计算算机终端端安全使使用、约约束用户户操作行行为，系系统将各各种安全全信息和和日志传传递到控控制台供供管理员员统一分分析处理理。1.2.2.1.2 主要功能能v 资产管理理企业级的的资产管管理功能能，帮助助管理员员和信息息主管充充分掌握握企业范范围内IT信息资资产情况况，为加加强IT

47、管理提提供依据据。 设备管理理管理员可可充分掌掌握分散散的计算算机终端端硬件配配置及其其变更情情况（例例如主板板、CPU、内存存、硬盘盘等），统统筹管理理，避免免资产流流失。 软件管理理管理员可可及时掌掌握客户户端安装装软件及及变化情情况（例例如操作作系统、版版本、补补丁、所所安装的的应用软软件等），便便于监督督管理。 用户管理理员工用户户是企业业资产的的重要组组成部分分。提供供基于按按组织划划分的用用户角色色的管理理，管理理员可在在线查询询用户终终端操作作系统、进进程、设设备情况况、性能能状态等等多种信信息。 资产识别别对非法终终端、设设备资产产的真实实性识别别可通过过绑定IP、MAC、用户

48、户的方式式实现。v 终端保护护KSMSS企业级级的强制制安全策策略，提提供基础础架构保保护和资资产保护护功能，通通过多种种手段全全方位保保护计算算机终端端安全使使用。基基础架构构保护主主要包括括：终端端网络访访问控制制、恶意意程序综综合防范范；资产产保护主主要包括括：设备备使用限限制、数数据文件件保护。 终端网络络访问控控制通过IPP地址、IP/TCPP/UDDP/IICMPP/IGGMP协议、服服务端口口等控制制，防止止遭受外外来黑客客攻击，并并且防止止内部终终端对外外（或内内部网络络其它终终端）发发起攻击击。 恶意程序序综合防防范采取多种种方式综综合防范范恶意程程序破坏坏。通过过端口控控制，可可阻止特特定蠕虫虫攻击；通过限限制程序序执行，控控制未知知病毒发发作；通通过注册册表保护护，防止止恶意代代码篡改改；通过过补丁管管理，可可及时通通知补丁丁信息，弥弥补漏洞洞；通过过与KILLL及