某行业安全安全解决方案(经典标书)

1、PAGE131XXXX行业网络安全方案建议书北京网新易尚科技有限公司2003年4月26日目 录 TOC o 1-3 h z u HYPERLINK l _Toc 前 言 PAGEREF _Toc h 6 HYPERLINK l _Toc 第一章 网新易尚介绍 PAGEREF _Toc h 8 HYPERLINK l _Toc 11 北京网新易尚科技有限公司简介 PAGEREF _Toc h 8 HYPERLINK l _Toc 12 易尚网关防火墙系列产品介绍 PAGEREF _Toc h 9 HYPERLINK l _Toc 第二章 xxxx行业网络现状 PAGEREF _Toc h 21

2、HYPERLINK l _Toc xxxx公司（企业）网络总体现状 PAGEREF _Toc h 21 HYPERLINK l _Toc 总部（中心结点）局域网络总体现状 PAGEREF _Toc h 22 HYPERLINK l _Toc XXXX行业网络系统应用现状 PAGEREF _Toc h 23 HYPERLINK l _Toc 办公自动化系统 PAGEREF _Toc h 23 HYPERLINK l _Toc 电子商务系统 PAGEREF _Toc h 24 HYPERLINK l _Toc 第三章 安全系统风险分析 PAGEREF _Toc h 24 HYPERLINK l _

3、Toc xxxx系统网络层的安全分析 PAGEREF _Toc h 28 HYPERLINK l _Toc xxxx网络系统层的安全分析 PAGEREF _Toc h 29 HYPERLINK l _Toc xxxx网络应用层的安全分析 PAGEREF _Toc h 29 HYPERLINK l _Toc xxxx网络数据库层的安全分析 PAGEREF _Toc h 31 HYPERLINK l _Toc xxxx网络安全策略与安全管理的安全分析： PAGEREF _Toc h 32 HYPERLINK l _Toc xxxx系统网络防病毒 PAGEREF _Toc h 32 HYPERLIN

4、K l _Toc 其他的安全风险分析 PAGEREF _Toc h 33 HYPERLINK l _Toc 第四章 系统安全体系总体设计 PAGEREF _Toc h 34 HYPERLINK l _Toc 安全体系设计标准 PAGEREF _Toc h 35 HYPERLINK l _Toc 安全体系设计思路及思想 PAGEREF _Toc h 35 HYPERLINK l _Toc 设计思路 PAGEREF _Toc h 35 HYPERLINK l _Toc 设计思想 PAGEREF _Toc h 36 HYPERLINK l _Toc 设计原则及目标 PAGEREF _Toc h 36

5、 HYPERLINK l _Toc 设计原则 PAGEREF _Toc h 36 HYPERLINK l _Toc 设计目标 PAGEREF _Toc h 37 HYPERLINK l _Toc 安全体系结构 PAGEREF _Toc h 38 HYPERLINK l _Toc P2DR模型概述 PAGEREF _Toc h 39 HYPERLINK l _Toc Policy(安全策略) PAGEREF _Toc h 39 HYPERLINK l _Toc Protection(安全防护) PAGEREF _Toc h 40 HYPERLINK l _Toc Detection（安全检测）

6、PAGEREF _Toc h 40 HYPERLINK l _Toc Response（紧急响应） PAGEREF _Toc h 40 HYPERLINK l _Toc 信息安全实现原则和方法学 PAGEREF _Toc h 41 HYPERLINK l _Toc 安全机制与技术 PAGEREF _Toc h 42 HYPERLINK l _Toc 第五章 xxxx行业网络系统安全策略 PAGEREF _Toc h 43 HYPERLINK l _Toc 网络层的安全策略 PAGEREF _Toc h 43 HYPERLINK l _Toc 系统层的安全策略 PAGEREF _Toc h 44

7、 HYPERLINK l _Toc 应用层的安全策略 PAGEREF _Toc h 45 HYPERLINK l _Toc 数据层的安全策略 PAGEREF _Toc h 46 HYPERLINK l _Toc 防病毒的安全策略 PAGEREF _Toc h 47 HYPERLINK l _Toc 安全管理策略 PAGEREF _Toc h 48 HYPERLINK l _Toc 整体的安全 PAGEREF _Toc h 49 HYPERLINK l _Toc 第六章 易尚产品具体配置及说明 PAGEREF _Toc h 50 HYPERLINK l _Toc 安全产品的选型、安装和配置原则

8、PAGEREF _Toc h 51 HYPERLINK l _Toc 为客户提供安全产品考虑的因素（可选章节） PAGEREF _Toc h 52 HYPERLINK l _Toc 安全项目监理（可选章节） PAGEREF _Toc h 53 HYPERLINK l _Toc 安全产品安装和配置 PAGEREF _Toc h 54 HYPERLINK l _Toc 防火墙 PAGEREF _Toc h 54 HYPERLINK l _Toc 防火墙的作用 PAGEREF _Toc h 55 HYPERLINK l _Toc 防火墙的分类及其技术手段 PAGEREF _Toc h 57 HYPE

9、RLINK l _Toc 信息加密 PAGEREF _Toc h 61 HYPERLINK l _Toc VPN技术说明 PAGEREF _Toc h 61 HYPERLINK l _Toc IPsec VPN的应用 PAGEREF _Toc h 66 HYPERLINK l _Toc 病毒防护 PAGEREF _Toc h 70 HYPERLINK l _Toc 当今防毒技术的发展趋势 PAGEREF _Toc h 71 HYPERLINK l _Toc 网络环境下病毒传播和破坏的方式及特点 PAGEREF _Toc h 72 HYPERLINK l _Toc 网络防毒方案的主要策略和指标

10、PAGEREF _Toc h 74 HYPERLINK l _Toc 易尚网关防火墙网关防病毒功能介绍 PAGEREF _Toc h 76 HYPERLINK l _Toc 入侵检测系统 PAGEREF _Toc h 78 HYPERLINK l _Toc 入侵检测系统的需求分析 PAGEREF _Toc h 79 HYPERLINK l _Toc 易尚网关防火墙入侵检测功能介绍 PAGEREF _Toc h 82 HYPERLINK l _Toc 网络安全评估 （此节根据实际情况可选） PAGEREF _Toc h 84 HYPERLINK l _Toc xxxx公司网络安全解决方案实施建议

11、 PAGEREF _Toc h 87 HYPERLINK l _Toc 安全产品配置说明 PAGEREF _Toc h 87 HYPERLINK l _Toc 易尚网关防火墙产品选型及介绍 PAGEREF _Toc h 88 HYPERLINK l _Toc 安全实施方案 PAGEREF _Toc h 91 HYPERLINK l _Toc xxxx行业网络安全配置 PAGEREF _Toc h 96 HYPERLINK l _Toc 第七章 安全服务体系和培训 PAGEREF _Toc h 104 HYPERLINK l _Toc （本章根据实际情况可选） PAGEREF _Toc h 10

12、4 HYPERLINK l _Toc . 安全服务体系 PAGEREF _Toc h 104 HYPERLINK l _Toc 专业安全服务 Lanking security Professional体系 PAGEREF _Toc h 105 HYPERLINK l _Toc 安全产品服务体系 PAGEREF _Toc h 105 HYPERLINK l _Toc 安全顾问服务体系 PAGEREF _Toc h 106 HYPERLINK l _Toc 企业信息安全策略顾问服务 PAGEREF _Toc h 106 HYPERLINK l _Toc . 安全评估顾问服务 PAGEREF _To

13、c h 107 HYPERLINK l _Toc 安全需求分析 PAGEREF _Toc h 107 HYPERLINK l _Toc 安全风险分析 PAGEREF _Toc h 108 HYPERLINK l _Toc . 安全管理维护方案 PAGEREF _Toc h 111 HYPERLINK l _Toc 安全紧急响应服务 PAGEREF _Toc h 112 HYPERLINK l _Toc . 安全测评服务 PAGEREF _Toc h 114 HYPERLINK l _Toc 制订安全测评准则和测评过程 PAGEREF _Toc h 114 HYPERLINK l _Toc 安全

14、体系内部测评 PAGEREF _Toc h 115 HYPERLINK l _Toc . 教育培训服务 PAGEREF _Toc h 115 HYPERLINK l _Toc 第八章 项目实施（本章根据实际情况可选） PAGEREF _Toc h 117 HYPERLINK l _Toc 项目管理流程 PAGEREF _Toc h 117 HYPERLINK l _Toc 项目实施详细进度计划 PAGEREF _Toc h 118 HYPERLINK l _Toc 项目实施计划 PAGEREF _Toc h 118 HYPERLINK l _Toc 项目实施日程表 PAGEREF _Toc h

15、 118 HYPERLINK l _Toc 项目小组人员名单、简历和职责 PAGEREF _Toc h 119 HYPERLINK l _Toc 第九章 验收和测试方案 PAGEREF _Toc h 120 HYPERLINK l _Toc 设备验收 PAGEREF _Toc h 120 HYPERLINK l _Toc 项目验收 PAGEREF _Toc h 121 HYPERLINK l _Toc 工程项目初验 PAGEREF _Toc h 121 HYPERLINK l _Toc 项目终验 PAGEREF _Toc h 122 HYPERLINK l _Toc 工程测试方案框架 PAGE

16、REF _Toc h 122 HYPERLINK l _Toc 结束语： （可选） PAGEREF _Toc h 124 HYPERLINK l _Toc 附件：北京网新易尚科技有限公司安全评估 PAGEREF _Toc h 125 HYPERLINK l _Toc 安全评估介绍 PAGEREF _Toc h 125 HYPERLINK l _Toc 安全评估国际标准 PAGEREF _Toc h 125 HYPERLINK l _Toc 安全评估包括的内容 PAGEREF _Toc h 131 HYPERLINK l _Toc 安全评估一般流程 PAGEREF _Toc h 132 HYPE

17、RLINK l _Toc 安全需求分析调查 PAGEREF _Toc h 133 HYPERLINK l _Toc 安全策略评估 PAGEREF _Toc h 134 HYPERLINK l _Toc 网络安全扫描/评估 PAGEREF _Toc h 141 HYPERLINK l _Toc 主机（系统）安全评估 PAGEREF _Toc h 141 HYPERLINK l _Toc 数据库安全评估 PAGEREF _Toc h 144 HYPERLINK l _Toc 防火墙评估 PAGEREF _Toc h 145 HYPERLINK l _Toc 安全加固方案实施 PAGEREF _To

18、c h 146前 言在网络技术迅速发展的今天,信息化已成为国际性发展趋势，作为国民经济信息化的基础，企业信息化建设受到国家和企业的广泛重视。企业信息化，企业网络的建设是基础，从计算机网络技术和应用发展的现状来看，Intranet是得到广泛认同的企业网络模式。Intranet并不完全是原来局域网的概念，通过与Internet的联结，企业网络的范围可以是跨地区的，甚至跨国界的。现在，Internet的发展已使世界成为电子信息的地球村，人们不在有地理空间上的交流限制。随着网上商业活动的激增，Intranet也应运而生。企业都已感到企业信息化建设的重要性,陆续建立起了自己的企业网并通过各种WAN线路与

19、Internet相连。国际互联网Internet在带来巨大的资源和信息访问的方便的同时，它也带来了巨大的潜在的危险，至今仍有很多企业没有意识到企业网络安全的重要性。随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏,或被删除或被复制，数据的安全性和自身的利益受到了严重的威胁。在我国，网络急剧发展还是近几年的事，而在国外企业网领域出现的安全事故已经是数不胜数。我国网络安全存在诸多问题：首先是防御意识的落后。对网络安全的防护，意识和观念须先行。但现实中无论是网民还是从事电子商务的企业，网络安全的维护意识薄弱得让人

20、痛心。据调查：在我国电脑应用单位80%未设立相应的安全管理组织，58%无严格的调存管理制度，59%无应急措施，48%无事故发生后的系统恢复方案。在当前复杂的网络应用环境下，单一的产品已经远远不足以保障用户网络系统、信息资源的安全，病毒、黑客攻击、恶意入侵等都已经成为主要的安全威胁，它们不但可以造成网络阻塞、传输中断，甚至会导致系统瘫痪的后果，更为严重的是，远程控制、内部泄密等行为可以轻易地破坏关键数据、盗窃机密信息，从而给企业、单位带来不可估量的损失。而无论是有意的攻击，还是无意的误操作，都将会给应用系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数

21、据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。另外，在新技术应用的背后隐藏着诸多安全隐患，不管是传统的操作系统、TCP/IP协议还是新的应用软件要作到绝对安全是不可能的。因此，北京网新易尚科技有限公司在积极进行企业网建设的同时，借鉴国外企业网建设和管理的经验，建设完善网络安全体系，将企业网中可能出现的危险和漏洞降到最低。 特别对于象XXXX行业（系统）这样拥有多个分支机构和自己信息中心的网络应用结构。在利用网络为公司关键应用业务提供服务和进行重要数据传输时，网络的安全保障问题凸现了出来。网络安全的建设越来越突出地成为网络运营体系中

22、的重点，因此，必须建立完备的安全体系,以保证提供7*24小时的业务运营。网新易尚的技术人员在网络安全行业中有着丰富的经验和技术实力，根据我们对XXXX行业网络情况的了解，和我们多年在网络安全领域从事安全集成、安全服务和安全咨询丰富的技术经验，将为XXXX行业提供最合适的安全解决方案和安全服务方案。第一章 网新易尚介绍11 北京网新易尚科技有限公司简介北京网新易尚科技有限公司是由上市公司浙大网新科技有限公司(上交所代码600797)投资组建的一家以生产和销售“易尚”全系列网络产品为主营业务的高科技企业。网新易尚在引进国际先进网络技术的基础上，依托浙江大学计算机学院的科研优势，针对中国用户的需求，

23、推出了局域网、宽带接入、无线及安全等全系列的网络产品。公司倡导“开拓、创新、健康、睿智” 的企业文化和精神，以推动和普及中国信息化建设为己任，力争在三年内使易尚系列网络产品进入国产网络品牌前列。易尚网关防火墙系列产品是北京网新易尚科技有限公司（前身是北京晓通网络科技有限公司自有品牌事业部），依托浙江大学网新研究院的技术背景，并组织了国内外数十位网络安全产品专家经过长达两年的潜心研究和苛刻测试，推出集防火墙、VPN、网络入侵检测和应用内容处理于一身的易尚网关防火墙系列产品。公司致力于发展一种新型的解决应用级安全的高性能防火墙产品，利用专业定制的ASIC芯片技术把多种安全功能集成到一起，创造新的业

24、界性能纪录。该项技术融合了安全策略控制、VPN加密处理、流量控制、内容安全、病毒防护等安全技术，解决了数据加密和内容处理时的性能瓶颈，并能实现最高级别的IP安全（Ipsec），无与伦比的性能和先进的系统级的设计允许产品提供多种功能。公司成为新一代网络安全网关的前导者，致力于企业和服务提供商的安全保护。 所提供的设备使得减少网络资源滥用，最大限度提高网络效率，在保证网络性能的基础上，以相对传统解决方案更低廉的价格提供完善的网络保护。12 易尚网关防火墙系列产品介绍网新易尚安全产品打破了内容处理的障碍，可在企业网关处提供高效率的内容扫描，阻止病毒和蠕虫的攻击、限制不适合的 WEB内容和邮件垃圾的侵

25、害。基于网络边界的设备，例如防火墙和VPN系统能够实时地处理数据包级的信息，但是不能检查数据包的内容，传统的病毒软件解决方案能够检查病毒，但是必须安装在每个桌面主机、便携机和服务器上，同时需要不断的更新。 直到现在，仍然没有一个可以在网络边界处提供高性能应用级安全检测的网络设备，这导致企业组织对外开放了攻击弱点，特别是在一个攻击被检测到但是还没有在网络中的每一个主机上更新软件的时间段里，弱点窗口将随时遭受攻击。 网新易尚打破了内容处理障碍，关闭了网络弱点窗口，率先推出了在网络边界处提供网络层和应用层安全的全系列产品线。网新易尚的YES系列产品结合了专用的硬件和软件，在一个集成的平台上提供了网络

26、层和应用层的服务安全。基于ASIC芯片的内容扫描引擎能够在应用层实时地进行内容分析，而传统网络中必须基于桌面主机进行保护，例如病毒保护和WEB内容过滤。易尚网关防火墙系列提供了高性能的网络层服务，包括防火墙，VPN，入侵检测和流量控制，支持3GBit/s数据流量。网新易尚解决方案优化了网络配置的需求，极大降低了设备的配置和维护费用，最大程度地简化了安装和管理，以最优的性能价格比提供了全系列的产品，包括家庭办公、小型SOHO到分支办公室、大中型企业和服务提供商等多种用户级别。 总体技术网新易尚YES系列网关型防火墙利用易尚公司独特的ABACAS (Accelerated Behavior and

27、 Content Analysis System) 技术，通过专用ASIC芯片设计，达到了处理速度的突破，可以为网络层、应用层内容分析提供硬件级的性能加速。易尚网关防火墙结合了专用的硬件和软件系统配置在Internet和企业网络或数据中心的边界处，提供完善的应用层和网络层的保护。通过高性能硬件/软件系统，加速深层次的应用层内容分析，易尚网关防火墙系列产品充分利用了ASIC芯片的高速处理技术，独特的结构使得易尚系列在高速的网络环境中提供了基于策略的病毒保护，内容过滤，防火墙，VPN，入侵检测和流量控制服务， ABACAS 技术使易尚网关防火墙能够提供应用层的安全服务，实时检测病毒和内容过滤。网新

28、易尚的 Asic 芯片提供了以下加速处理的功能：检查IP报头，确认IP包来源的合法性对VPN数据包的加密/解密和认证处理 重组数据包，查询有害的特征代码和禁止的访问内容 计算数据包，测量数据流速易尚网关防火墙系列产品基于网新易尚加速行为和内容分析系统 (ABACAS) 技术， 它包括了ASIC 内容处理器和ESOS 操作系统。 ASIC 内容处理器包括一个强有力的灵活的特征扫描引擎，它能依据上千种病毒特征代码、入侵特征码、关键字和其他的特征匹配码，进行内容范围的扫描，同时保证了良好的网络性能。 ASIC同时包括了密码处理的加速引擎支持高性能的加密/解密 。作为一个VPN网关，易尚网关防火墙能够

29、“看到”VPN隧道内部，检测VPN里面的数据是否威胁企业内部私有网络，不然的话，他们会未经检测而通行。高度安全而高效的ESOS可以优化数据包的处理，使ES 能够提供线速的网络服务, 例如防火墙和流量管理。 结合高级别的应用层服务，在网络边界处提供了完全的保护，系统配置降低了价格，同时极大简化了管理和维护。易尚网关防火墙以最优的性能价格比提供了全系列的产品，包括家庭办公、小型SOHO到分支办公室、大中型企业和服务提供商等多种用户级别。 解决方案网新易尚的YES系列网关型防火墙，是定位在企业和服务提供商边界处的专用的硬件安全平台。它能快速地扫描应用层的内容，实时检测网络的攻击。产品配置非常简单，极

30、大降低了设备的维护和管理成本。产品型号易尚网关防火墙 产品系列包含以下6个型号产品 :YES 750、YES 800 适合SOHO、中小型企业和分支办公室YES 903、YES 904和YES 912适合企业级别的应用YES 100020004000 是电信级别的产品，适合运营服务提供商应用、大型企业及大型校园网络等易尚网关防火墙系列 从SOHO到服务提供商的产品线图11 网新易尚全面的安全产品线易尚网关防火墙 远程办公室/企业分支机构产品 YES 750/800 图12 远程办公机构安全产品系列（YES 750/800）易尚网关防火墙 中型/大型企业产品YES 903 SHAPE * MER

31、GEFORMAT 4 10/100 BaseTX ports(Internal, External and DMZ)吞吐量: 300Mbps 3DES (168-bit): 220Mbps最大连接数：200,000 VPN Tunnels: 2000 No Users limited可支持20G内置硬盘 支持HA(Active-Active)适合 中型/大型企业应用ES 90412 10/100 BaseTX ports(端口自定义安全级别)吞吐量：: 500Mbps 3DES (168-bit): 250Mbps最大连接数: 200,000 VPN Tunnels: 3000 No User

32、s limited可支持20G内置硬盘 支持HA(Active-Active)适合 中型/大型企业应用ES 912 SHAPE * MERGEFORMAT 图13 中/大型企业安全产品系列 (YES 903/904/912)服务提供商级产品 YES 1000、2000、4000吞吐量：3Gpds 3DES (168-bit): 700Mbps最大连接数:500,000 VPN隧道数: 5000 No Users limited可支持20G+内置硬盘 支持HA(Active-Active)适合大型企业/服务运营商级别应用2 Fiber / 2 Copper Gigabit SX Ports 4

33、10/100 BaseTX ports SHAPE * MERGEFORMAT 图14 服务提供商安全产品 （YES 2000）功能介绍易尚网关防火墙提供了企业和运营商级别的安全和高可用性。易尚系列产品可以检测和消除Wild List 病毒组织所公布的病毒。 易尚网关防火墙大部分产品同时提供了一个高可用的HA端口支持冗余的网络配置，这对关键事务的应用是非常重要的。 以下是YES系列部分特性的列表： 自动更新的蠕虫数据库，在网关处阻塞最新的和最危险的病毒攻击（强于主机防御） 病毒保护: 对所有的邮件附件、web内容和下载文件实行病毒特征码和宏病毒扫描 ，只需要扫描一次，强于单机的多次扫描处理蠕虫

34、保护： 扫描所有的进行出邮件附件和WEB内容，清除象Code Red 和Nimda这样的蠕虫攻击内容过滤，阻塞象 ActiveX, Java Applets, 和 Cookies的危险内容基于网络的入侵检测系统可以实时检测上千种的入侵攻击IP/MAC绑定，防止内部用户的IP欺骗，限制用户的IP地址和网卡的MAC地址对应高可用的集群功能，提供了设备的负载共享，基于状态检测的系统事件检测工业标准的IPSec, PPTP, and L2TP VPNs在网络和客户间提供了高强度的DES 和3DES 加密硬件加速处理保证了实时的性能多安全域和VLAN 特性通过组合物理网段和逻辑内部网络到不同的安全域内，

35、控制不同部门间的安全扫描VPN 数据流量 ，阻止远程用户访问校园网络和企业网络而带来的威胁 简单易用的图形管理界面，使配置和维护工作降到最低高级的防火墙策略配置，有效控制 VPN 流量, 提供基于策略的病毒和蠕虫检测、web内容过滤，动态IP地址池可以进行灵活地址翻译 基与URL地址和关键字的内容过滤, 自然语言表达式的理解和基于用户组的内容过滤 病毒保护范围: 协议、文件类型、控制级别 病毒和蠕虫防御在网络边界处提供，在web流量 (HTTP), email 流量(SMTP, POP3, 和IMAP)和安全域之间对以下的类型文件进行信息检查。 执行文件Executable files (ex

36、e, bat, and com)Visuan basic 文件Visual basic files (vbs)压缩文件Compressed files (zip, gzip, tar, hta, and rar)屏幕保护文件Screen saver files (scr)动态链接库Dynamic link libraries (dll)MS Office 文件 MS Office files易尚网关防火墙的病毒检查可以配置成过滤特定目标文件，检测特定病毒代码或不做病毒检测。 用户可以选择先进行特征扫描，然后进行特定文件过滤。在网络边界处进行病毒扫描的好处是在数据进入内部网络之前清除威胁， 使系

37、统管理员从繁重的工作中解脱出来，在传统的方式下，管理员必须检查每一个主机的病毒软件是否更新，如果有一个主机被感染，整个网络都会面临崩溃的危险。病毒扫描同样在所有的VPN解密数据流根据协议进行扫描，网关-网关和客户-网关病毒保护在通道终结后进行检测。 传统的病毒解决方案完全基于软件实现，依靠主机平台进行处理，例如依靠Intel CPUs. 处理。在传统的解决方案中，计算机要想以网络网关所需要的性能处理病毒是非常困难的-在网关处需要给数据流线速的处理以使其不成为最终用户的一个瓶颈。易尚网关防火墙是业界唯一的利用硬件加速的 (ASIC)技术进行病毒扫描的产品，保证了网络的性能。这对于象HTTP这种实

38、时应用是非常重要的。病毒特征库在所有易尚网关防火墙中的基本的特征数据库，是由完全的WildList病毒码和变种组成。 WildList组织的网站为 HYPERLINK 集中了全世界的病毒专家和著名的病毒产品厂商病毒资源，是最权威的病毒和蠕虫的列表。除了WildList 的病毒和蠕虫列表, 大部分基于主机的病毒产品，主要扫描传统的病毒和少有的变种，这些病毒不会散播到 Internet上。 在网关处扫描这些少见的病毒没有很大的应用价值，因为这些病毒主要是通过软盘或非IP写传播。 WEB 内容过滤易尚网关防火墙家族提供了三种中高性能的内容过滤方式，包括：URL过滤、关键字阻塞和脚本过滤。这些特性作为

39、网络层服务提供WEB内容过滤(HTTP)。URL过滤包括基本的 URL 数据库(SquidGuard)， 有50多万个URL 用户定制化的数据库从管理接口上传和下载限制的URL列表选择URL进行阻塞关键字阻塞多个单词或词组过滤完全用户化的关键字列表单字节和双字节的词语过滤自动上传和下载限制的词语脚本过滤允许或拒绝 Java applets, Active X, Cookies 和Malicious ScriptsVPN易尚网关防火墙产品系列工业标准的VPN，在两个YES系列安全产品保护的网络或YES系列与支持 IPSec、PPTP或L2TP的第三方VPN保护的网络之间，建立加密流量传输隧道。V

40、PN隧道终止后，易尚网关防火墙自动地加密VPN流量，并发送内容穿过反病毒引擎。VPN功能包括：支持多区域VPNIPSec,ESP安全隧道模式硬件加速加密IPSec,DES,3DESHMAC MD5 或 HMAC SHA认证和数据完整性。自动IKE和手工密钥交换通过大多数操作系统支持的PPTP容易的建立VPN连接通过大多数操作系统支持的L2TP容易的建立VPN连接IPSec和PPTP VPN穿越使你的内部网络的计算机或子网能够连接到互联网上的VPN网关IPSec NAT在没有被数据传输途径NAT设备阻断的情况下建立IPSec隧道支持HUB，该功能允许在分支机构与总部之间容易的建立VPN隧道，这样

41、减轻了管理员在许多分支机构与总部之间维护需要安全通讯的VPN隧道防火墙易尚网关防火墙系列都是基于状态检测技术的，保护你的计算机网络免遭来自Internet的攻击。防火墙通过仔细地设置接口提供了安全控制策略，甚至在复杂的情况下还允许做详细的控制。易尚网关防火墙安全策略包括下列范围：通过网络分段和细粒度的策略到达多个区域控制输入、输出流量对所有策略选项阻止或允许访问单个有效策略的控制接收或拒绝单个地址到达或发送的流量控制个别组标准的和用户自定义的网络服务对用户接入Internet进行授权认证对每个策略可以进行基本带宽、保障带宽以及优先级设置的流量控制支持动态IP地址池，允许配置使用地址池的NAT灵

42、活策略网络地址转换：在NAT模式，YES系列产品在内部网和Internet之间设置了一个秘密的屏障，防火墙提供了网络地址转换来保护私有网络。NAT模式下，你能够添加DMZ网络来提供内部服务器给Internet用户访问，DMZ区是在防火墙的后面不同于内部网的独立网络。你还可以配置最多8个用户自定义接口给用户提供多安全区域管理。NAT模式下的防火墙功能：防火墙防御，按照源/目的地址、服务和时间来允许/拒绝流量VPN，反病毒和Web内容过滤IP/MAC绑定高可用性（HA），在主ES工作失败后做备份的ES产品能够接替它继续工作。8个用户自定义的接口提供了多区域安全管理。记录到WebTrend 的Sys

43、log服务器的详细日志透明模式：当一个预先设置好使用公共地址的网络需要防火墙保护时，透明模式提供了更快捷更简易的安装，防火墙的内部网接口和外部网接口能够共存于两个相同的网络中，因而，防火墙可以在不需要对已有网络进行任何改动的前提下将其接入到网络中的任何一点。数据包到达易尚网关防火墙后会快速转发到正确的网络端口，同时防火墙策略防止对网络的未授权访问。透明模式提供了和网络地址转换模式（NAT）一样的最基础防火墙保护功能，然而，更高级的特性，如：DMZ网络、虚拟专用网络（VPN）和内容过滤等都只能在网络地址转换模式（NAT）下使用。网络入侵检测易尚网关防火墙内置的NIDS系统，可以防护包括以下内容的

44、超过1300多种方式的攻击：分布式拒绝服务攻击 (DDoS) SYN 攻击ICMP FloodUDP FloodIP 碎片攻击死 Ping 攻击泪滴攻击Land Attack端口扫描攻击IP 源路由IP 欺骗攻击Address Sweep AttackWinNuke 攻击一旦发现其中一种攻击，该攻击就会被记录到攻击日志中。客户支持我们的产品已经得到国家公安部的许可，可以在中国市场上销售。所有的易尚网关防火墙产品在中国都有专业的技术支持队伍, 提供快捷优质的售前和售后客户支持。 xxxx行业网络现状 xxxx公司（企业）网络总体现状（客户网络具体分析）（网络的拓扑结构图）xxxx系统的全国广域网

45、络由三个主要部分组成：分公司局域网络，及办事处局域网络，总部信息中心与相关合作伙伴互联的网络。全网为树型结构，总体分为3级，各办事处通过PSTN（或专线）连接到当地分公司司，各地市分公司通过光纤或者2M数字电路（SDH）连接到总公司。xxxx公司信息中心通过宽带接入INTERNET。 整个网络的拓扑结构如图21所示：图21 xxxx 行业网络现状结构示意图 总部（中心结点）局域网络总体现状总公司局域网作为全省的信息中心和管理中枢，担负着数据的传输、处理、存储，网站的信息收集与发布，对整个网络的监控管理和安全认证等任务。总部信息中心网络采用分层式网络架构，即核心层、接入层和远程访问层。网络的接入

46、采用星型结构，明确划分结构之间的功能需求，保证骨干层数据传输的高速、稳定性，接入层可用性、灵活性和可扩展性。在本局域网中，核心层由 构成，接入层由 交换机构成，远程访问层主要由防火墙、路由器等组成。整个网络的拓扑结构如下图所示：（xxxx行业总部局域网络拓扑结构图） XXXX行业网络系统应用现状（根据用户实际情况分析）XXXX公司局域网是一个集网络中心、应用中心和资料中心为一体的全信息数据中心和管理中枢。在xxxx公司局域网中包括需要对外提供服务的WEB服务器、EMAIL服务器和数据库服务器和内部网管和其它服务器等，本地内部网络和下属公司以及内部子网可以通过专线访问主集群服务器，同时访问INT

47、ERNET。INTERNET上的用户可以通过INTERNET访问对外提供服务的服务器，但被禁止访问内部服务器及其它内部网络上的计算机。xxxx公司计算机网络的主要应用为：办公自动化系统xxxx公司办公自动化系统是实现xxxx公司局域网络内部各部门之间、xxxx分公司各局域网之间以及xxxx内外部之间办公信息的收集与处理、流动与共享、实现科学决策的信息系统。其总体设计目标是：“以先进成熟的计算机和通信技术为主要手段，建成一个覆盖全系统的办公信息系统，提供xxxx总部与其他专用计算机网络（地市及外部网络）之间的信息交换，建立高质量、高效率的xxxx行业信息网络，为领导决策和机关办公提供服务，实现机

48、关办公现代化、信息资源化、传输网络化和决策科学化。”xxxx办公应用系统的邮件、群件与Web应用开发平台，结合必要的相关系统、产品与工具，构筑xxxx办公自动化系统。主要组成部分包括电子邮件、文件传输、综合信息服务、综合办公系统、决策支持等部分，其中综合办公系统包括公文管理、政务信息管理、签报、报告管理、会议系统等子系统。 电子商务系统信息技术以其无可比拟的优势，必将成为各行业的新的契机。其它产品一样，作为一种商品在全社会流通，依靠的是现有的商品运行机制来实现它的本身价值。电子商务无可争议地成为现代社会的商品交易和管理的最有效手段之一。利用互联网技术建立电子商务平台，xxxx公司的各项工作如信

49、息服务、保险业务、客户服务、代理人服务等等都将开拓更广阔的发展空间。因此一个完善的、灵活的电子商务平台对于把握新经济浪潮中的机遇是有着非常的必要。Xxxx公司正是在这样的一种形式下建立了自己的电子商务系统。第三章 安全系统风险分析网新易尚认为没有一种技术可完全消除网络中的安全漏洞，网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。不幸的是，由于缺乏安全技术、网络增长迅速、网络应用对安全的需求及不断快速增长的安全威胁等因素，给有限的安全资源带来巨大的压力。这些增长的压力有一个明显的后果重要的在线资源频繁而不可预料地发生安全问题和危险的误操作问题。在xxxx网络应用系统中，有电子商务系

50、统、OA系统等，一旦这些重要的系统中的某个子系统或环节出现问题的话，导致系统一刻的停顿都会带来巨大的经济损失。更不用说敏感信息的窃取、关键数据的丢失和篡改了，所以，如何保障网络的安全、可靠的运营，是xxxx的当务之急。图31是开放的互联网络所带来的安全风险示意图：路由器内部网Web、Mail服务器等Internet入侵者攻击路由器 进行窃听分支机构正常的通信流为什么我工资比他少500他们的标书拿到了又攻破了一个站点内部人员使用监听工具窃听图31 安全风险示意图对于xxxx系统来说，通过专线连入Internet，对外提供电子商务、业务系统，内部网络中存取大量的重要数据和敏感信息，如何保证系统的正

51、常运行呢网新易尚提出通常人们在进行系统安全维护时仅会考虑认证，授权，加密和存取控制这四个机制，但很少考虑到真正的应用系统是构筑在网络通信层，操作系统层，系统应用层三个层次综合的基础之上的。例如，在业务系统中采用了加密机制，能够保证数据传输过程中的安全性，但数据本身的安全性还依赖于网络协议的安全性、操作系统的安全性，甚至业务系统的安全性，任何一个环节的漏洞都可能使数据传输之前遭到攻击。网络本身是动态的，所以网络的安全程度也是动态变化的，网络安全不可能是一个静态的结果，需随着网络环境的变化，并综合各种可能影响安全的因素来制订整个网络的安全策略。针对于此，北京网新易尚科技有限公司提出网络安全管理的完

52、整解决方案可适应安全管理模型，即针对安全威胁和进攻弱点，通过监控、检测和响应三个环节实时地强制实施的群体安全策略。可见，网络安全是一项动态的、整体的系统工程。从技术上来说，网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保您信息网络的安全性。因此部署一个企业范围的整体安全框架比单一的边界防护和Internet防御更加有效和全面。企业要建立一套完整的安全解决方案一般应包括以下几个部分： 身份验证 是对网络用户、主机、应用、业务和资源的准确而肯定的鉴别。实现身份认证的标准技术包括认证协议（例如R

53、ADIUS、TACACS+、Kerberos）和一次性密码工具。 边界安全性 这一部分控制对关键网络应用、数据和业务的接入，从而保证只有合法用户和信息才能通过网络。带有接入控制列表和/或状态防火墙功能的路由器和交换机以及专用防火墙工具提供这一控制功能。病毒扫描仪和内容过滤器等辅助工具也有助于控制网络边界的安全性。 数据私密性 经过鉴权的保密通信，可以对信息进行保护以防止被窃听，在一般情况下，使用隧道技术（例如一般路由密封（GRE）或第2层隧道协议（L2TP）的数据分离方法可以提供有效的数据私密性。但是，一些更高的私密性要求使用数字加密技术和协议（例如IPSec）。 安全性监控 为了确保网络安全

54、性，对安全性准备状态进行定期测试和监控。网络薄弱环节扫描仪能预先识别薄弱区域；入侵检查系统能够监控网络安全性事件，并且在出现此类事件时作出相应响应。 病毒检测 病毒检测是在病毒进入受保护的网络之前就采取措施，将带有病毒的信息丢掉，或是进行处理。病毒在网络中存储、传播、感染的方式各异且途径多种多样。随着病毒危害性的越来越大，以及大规模病毒发作的周期越来越短，人们越来越注重对于病毒的检查和防护。内容过滤 病毒和蠕虫攻击隐藏在大量的网页和邮件中，已成为当前网络攻击的常用手段。基于内容的攻击令传统的防火墙不能抵御，需要引入新一代的防火墙技术，把内容处理和防病毒功能结合贯穿到单纯的防火墙中。为使企业确保

55、免受来自互联网病毒的伤害，并使其Web应用集中于与业务相关的活动，需要借助可实现病毒防护和Web内容过滤的集成式解决方案。策略管理 随着网络发展的规模越来越大、复杂性越来越高，对集中策略管理工具的需求也随之增加。管理工具应能分析、解释、部署和监控安全性策略状态，配备基于浏览器的用户界面，增强网络安全性解决方案的可用性和有效性。综上所述，网络必须有足够强的安全措施。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。从xxxx行业网络的实际情况来看，网新易尚安全顾问认为应该从以下几个方面进行全面的分析：网络层系统层应

56、用层数据库层策略和管理层防病毒网络中只要一个地方出现了安全问题，那么整个网络都是不安全的。从网新易尚的经验而言，网络系统的安全性取决于网络系统最薄弱的环节，任何疏忽的地方都可能成为黑客攻击点，计算机系统本身的脆弱性和通信设施脆弱性共同构成了计算机网络的潜在威胁。最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞，保证网络系统的安全性。 因此，在xxxx网络中所有的出口处都应配置应用级防火墙来加强访问控制，安装入侵监控系统，杜绝可能存在的安全隐患，来保证网络安全可靠的正常运行。下面将分别进行详细的阐述。 xxxx系统网络层的安全分析网络设备主要包括xxxx系统广域网和局域

57、网各节点上的路由器、交换机及防火墙。网络层不仅为xxxx系统上网提供连接通路和业务网络数据交换的连接，而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。整个网络就会受到来自网络外部和内部的双重威胁。尤其在外网Internet中存在着大量的黑客和黑客病毒的攻击，他们常常针对web服务器和邮件服务器作为突破口，进行网络攻击的渗透。常见得一些手法如下：IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等。而在xxxx系统的网络内部，基本上还没有

58、严格的防范措施，无论是服务器集群还是办公自动化系统、电子商务网络系统都在一起，其中的安全隐患不言而喻。如果加上安全管理上的不够完善等因素，或者在已有的服务器与单机中存在着后门程序（木马程序）话，攻击者就可以很容易地取得网络管理员权限，从而进一步控制计算机系统，网络中大量的商业数据就会被窃取和破坏。易尚网关防火墙入侵检测系统将会充分有效的将上面提到的各种攻击与入侵阻断在防火墙之外。 xxxx网络系统层的安全分析在任何的网络结构中都运行着不同的操作系统，如：NT, Solaris, IBM AIX, SCO-Unix, win2k Server等等，这些系统都或多或少地存在着各种各样的漏洞。据ID

59、C统计1000个以上的商用操作系统存在安全漏洞，如果这些操作系统没有进行系统的加固和正确的安全配置，而只是按照原来系统的默认安装，这样的主机系统是极其不安全的。一名黑客可以通过Unicode、缓存溢出、造成死机等方式进行破坏，甚至取得主机管理员的权限。此外，在网络中，一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限，从而控制主机。Xxxx网络系统对外提供电子商务服务，在其网络中存在一定量的服务器，如：Web 服务器、E-mail 服务器、FTP 服务器、数据库服务器等等，而这些服务器都担负着重要的服务功能，如果这些服务器（尤其是有大量的业务数据处理的服务器），

60、一旦瘫痪或者因被人植入后门造成远程控制窃取数据，后果不堪设想。为了保证业务数据的正常流通和电子商务的安全，需对这些重要的服务器进行全方位的防护。 xxxx网络应用层的安全分析应用层安全是指用户在网络上的应用系统的安全，包括WEB、FTP、邮件系统、DNS等网络基本服务系统、业务系统等。在xxxx系统网络主要运行着：应用开发系统，综合数据分析系统，电子商务系统和办公自动化系统等。OA应用包括对外部和内部的信息共享以及各种跨局域网的应用方式，其安全需求是在信息共享的同时，保证信息资源的合法访问及通信隐秘性。业务应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。在应用层的安全问题