信息安全建设-整体方案V1.0

信息系统安全建设建议方案第54页共54页信息系统安全建设建议方案

目录1、 概述 42、 网络现状 52.1. 网络现状 52.2. 网络现状拓扑示意图 63、 信息安全分析 63.1. 资产 63.2. 弱点 63.3. 威胁 73.3.1 被动攻击产生的威胁 73.3.2 主动攻击产生的威胁 83.3.3 来自内部的安全威胁分析 83.3.4 网络病毒威胁 93.4. 风险 104、 安全需求分析 104.1. 边界访问控制需求分析 114.2. 入侵检测/防御需求分析 114.3. 防病毒需求分析 114.4. 用户身份认证和授权需求分析 124.5. 网络传输安全需求分析 124.6. 内容过滤安全需求分析 134.7. 上网行为管理的需求 134.8. 反垃圾邮件的需求 134.9. 安全审计需求 134.10. 终端成为边界带来新的需求 135、 信息安全体系建设 145.1. 建设原则 145.2. 安全建设的思路和方法 155.3. 安全域划分 156、 信息安全方案设计 166.1. 安全网关(UTM)设计 176.1.1 部署方案 176.1.2 系统功能 196.2. 入侵检测系统(IDS)设计 226.2.1 部署方案 236.2.2 系统功能 236.3. 脆弱性扫描系统设计（漏洞扫描） 276.3.1 部署方案 286.3.2 系统功能 286.3.3 系统作用 296.4. 网络信息安全审计系统设计 296.4.1 部署方案 306.4.2 系统功能 316.5. 内网安全管理系统设计（终端管理） 316.5.1 部署方案 326.5.2 系统功能 347、 安全运营中心（SOC）建设方案 367.1. 安全运营中心 367.1.1 平台软件架构 377.1.2 面向业务的资产与风险管理 387.1.3 安全事件和漏洞监控 407.1.4 多种响应方式 417.1.5 多种关联分析方法 427.1.6 状态监控 427.1.7 拓扑与GIS展示 437.1.8 丰富的知识库 458、 售后服务与培训 478.1. 售后服务 478.1.1 技术支持队伍 478.1.2 组织结构 478.1.3 服务流程 498.2. 产品相关的服务支持 498.2.1 保修服务 498.2.2 事件库更新服务 508.2.3 软件版本升级服务 508.2.4 软件介质保换服务 518.3. 技术支持 518.3.1 问题解答 518.3.2 信息快递与通告 528.3.3 支持时间 528.4. 产品故障级别及解决时限 528.4.1 产品故障级别划分说明 538.5. 相关培训 539、 安全产品清单 54概述同时随着全球化和网络化，全球信息化建设的加快对我国的影响越来越大,网络的飞速发展以及企业对计算机的依赖性逐渐增强，随之而来的网络信息安全问题日益突出。据美国FBI统计，美国每年因网络信息安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起网络计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏给企业造成的损失令人触目惊心。网络防黑客、防病毒等安全问题也必须引起相关企业、事业单位的重视。近两年来，黑客攻击、网络病毒等等已经屡见不鲜，而且一次比一次破坏力大，对网络信息安全造成的威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。由于利益的驱使，针对信息系统的安全威胁越来越多，为了有效防范和化解风险，保证**集团信息系统平稳运行和业务持续开展，须建立**集团的信息安全保障体系，抵御外来和内在的信息安全威胁，提升整体信息安全管理水平和抗风险能力，以增强**集团的信息安全风险防范能力。根据**集团网络信息系统的安全现状和基本安全构想，设计了以下网络信息安全建议方案，以此来保障**集团网络信息系统的有效运维和信息资源的安全性、可用性和完整性（CIA属性）。本项目具体的网络信息安全目标即：建立一个安全屏障，保护**集团的网络信息系统不受来自网络开放所带来的网络信息安全问题的影响，和通信数据安全的非法破坏。对内是要建立一个安全堡垒，控制网络内部用户非授权通信和进行的一些有意的、无意的破坏活动，保证网络系统信息平台和应用系统平台的正常运行。通过系统的信息安全体系规划和建设，加强内部控制和内部管理，降低运营风险，建立高效、统一、运转协调的管理体制。网络现状网络现状**集团已经配置了当务之急的网络系统设备和基本的技术防范设备，如路由器、交换机、防病毒软件等，如并制定了较为详细具体的管理制度，对管理人员也作了细致的分工；系统与外部网络已经实现了逻辑隔离；系统内部也划分了基本的安全域；系统安全策略已基本形成并趋于健全。目前的拓扑示意图如下：网络现状拓扑示意图信息安全分析资产在本方案中，**集团网络的相关资产包括：有形资产：有通信基础设备、网络设备（路由器、交换机、防火墙等）、主机（含外购的操作系统、数据库管理系统、邮件服务器等）、外围设备、存储设备、数据介质等构成的IT支撑系统；无形资产：业务系统，业务数据，数字化的业务相关信息与知识（以文档或程序的形式存在）。本次**集团网络信息安全建设的内容就在于保障上述有形及无形资产。弱点资产包括有形资产和无形资产两部分，相应的弱点主要包括：通信基础设施、网络设备、主机、外围设备、存储设备、数据介质等“硬件”的物理安全弱点。主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；主机、可管理的网络设备等包含可设置的“软件”的资产的安全弱点（这些弱点的原因可能是软件缺陷，也可能是配置不当或者人员使用不当）；保存在数据介质中的业务数据、数字化的业务相关信息与知识的安全弱点。人的脆弱性：人的安全意识不足导致的各种被攻击可能，如接受未知数据，设置弱口令等。安全技术的脆弱性：操作系统和数据库的安全脆弱性，系统配置的安全脆弱性，访问控制机制的安全脆弱性，测评和认证的脆弱性。运行的脆弱性：监控系统的脆弱性，无入侵检测设备，响应和恢复机制的不完善。威胁威胁就是将会对资产造成不利影响的潜在的事件或行为，包括自然的、故意的以及偶然的情况。威胁至少包含以下属性：动机（自然威胁除外）、能力、影响方式等。可以说威胁是不可避免的，我们必须采取有效的措施，降低各种情况造成的威胁。被动攻击产生的威胁网络和基础设施的被动攻击威胁局域网/骨干网线路的窃听；监视没被保护的通信线路；破译弱保护的通信线路信息；信息流量分析；利用被动攻击为主动攻击创造条件以便对网络基础设施设备进行破坏，如截获用户的账号或密码以便对网络设备进行破坏；机房和处理信息终端的电磁泄露。区域边界/外部连接的被动攻击威胁截取末受保护的网络信息；流量分析攻击；远程接入连接。计算环境的被动攻击威胁获取鉴别信息和控制信息；获取明文或解密弱密文实施重放攻击。支持性基础设施的被动攻击威胁机房和处理信息终端的信息电磁泄露；获取鉴别信息和控制信息。主动攻击产生的威胁对网络和基础设施的主动攻击威胁一是可用带宽的损失攻击，如网络阻塞攻击、扩散攻击等。二是网络管理通讯混乱使网络基础设施失去控制的攻击。最严重的网络攻击是使网络基础设施运行控制失灵。如对网络运行和设备之间通信的直接攻击，它企图切断网管人员与基础设施的设备之间的通信，比如切断网管人员与交换机、路由器之间的通信，使网管人员失去对它们的控制。三是网络管理通信的中断攻击，它是通过攻击网络底层设备的控制信号来干扰网络传输的用户信息；引入病毒攻击；引入恶意代码攻击。对信息系统及数据主动攻击威胁试图阻断或攻破保护机制(内网或外网)；偷窃或篡改信息；利用社会工程攻击欺骗合法用户(如匿名询问合法用户账号)；伪装成合法用户和服务器进行攻击；IP地址欺骗攻击；拒绝服务攻击；利用协议和基础设施的安全漏洞进行攻击；利用远程接入用户对内网进行攻击；建立非授权的网络连接；监测远程用户链路、修改传输数据；解读未加密或弱加密的传输信息；恶意代码和病毒攻击。计算环境的主动攻击威胁引入病毒攻击；引入恶意代码攻击；冒充超级用户或其他合法用户；拒绝服务和数据的篡改；伪装成合法用户和服务器进行攻击；利用配置漏洞进行攻击；利用系统脆弱性(操作系统安全脆弱性、数据库安全脆弱性)实施攻击；利用服务器的安全脆弱性进行攻击；利用应用系统安全脆弱性进行攻击。支持性基础设施的主动攻击威胁对未加密或弱加密的通信线路的搭线窃听；用获取包含错误信息的证书进行伪装攻击；拒绝服务攻击(如攻击目录服务等)；中间攻击；攻击PIN获取对用户私钥的访问、在支持性基础设施的组件中引入恶意代码攻击、在密钥分发期间对密钥实施攻击、对PKI私钥实施密码攻击、对密钥恢复后的密钥进行末授权访问、在用户认证期间使用户不能生成失效信息；利用备份信息进行攻击。来自内部的安全威胁分析内部网络的失误操作行为由于人员的技术水平的局限性以及经验的不足，或对网络信息安全的漫不经心或者误操作可能会出现各种意想不到的失误，势必对系统或者网络的安全产生较大的影响。鉴于现在很多网络病毒通过邮件方式进行传播，如果内部办公人员不小心打开某个带有病毒或“特洛伊木马”程序的邮件附件，而有部分员工设置的机器密码不符合密码设置的安全规定，或者未及时为主机和PC机打上patch及hotfix，那么**集团网络系统的稳定就受到了极大的威胁；源自内部网络的恶意攻击与破坏据统计，有70%的网络攻击来自于网络的内部。对于网络内部的安全防范会明显的弱于对于网络外部的安全防范，而且由于内部人员对于内部网络的熟悉程度一般是很高的，所以，由网络内部发起的攻击也就必然更容易成功，因此一旦攻击成功，其强烈的攻击目的也就必然促使了更为隐蔽和严重的网络破坏。来自邮件、网页、便携机、可移动存储设备的蠕虫、病毒以及恶意代码由于**集团的核心业务系统与办公用机处于一个安全域内，一旦某台办公用机被侵入，整个**集团的网络、系统及应用都会很快被波及；自然灾害、火灾、水灾等人力不可抗拒因素。网络病毒威胁在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点，网络病毒的这些新的特点都会对网络与应用造成极大的威胁。传播的形式复杂多样计算机病毒在网络上一般是通过“工作站-服务器-工作站”的途径进行传播的，但传播的形式复杂多样，通过网络共享、服务漏洞、电子邮件等多种方式进行传播。病毒的智能化程序越来越高网络病毒可以利用系统的漏洞进行传播或攻击；在携带特洛伊木马程序进行对系统进行远程破坏与控制；自身就有木马功能，为系统开后门；散播拒绝服务攻击点，对目标采取分布式拒绝服务攻击等等。难于彻底清除智能化的网络病毒既可以像传统病毒一下感染服务器或客户端主机的应用文件系统，也兼具网络黑客技术的特点，通过各种途径破坏服务器或客户机的重要数据，通过电子邮件系统散播恶意代码，设置系统后门，窃取系统的重要数据与机密信息等。病毒要完成这些复杂的动作，就要对系统进行比较复杂的设置，对系统的影响也比较大，仅有防病毒软件很难彻底地从系统上将病毒清除掉。破坏性大网络上病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，造成巨大的直接和间接的经济损失。风险由于网络信息安全是一个系统工程，网络上的攻击行为和方法也急剧增长，造成的安全损失也越来越大，因此我们从黑客攻击以及网络蠕虫病毒的角度对**集团面临的威胁进行全面的分析，就是为了减少对其的安全威胁，把**集团面临的安全风险控制在可接受的最理想的范围内。从**集团的网络结构来看，目前所面临的主要问题可以简要归纳为：网段之间边界不够清晰，控制力度弱，病毒、攻击等安全事件容易扩散；多数业务网段间仅采用VLAN隔离，存在较大风险；终端与重要服务器处于同一逻辑区域，重要信息服务器存在安全风险；边界复杂，缺乏对边界策略的统一控制；网络病毒，木马利用网络大肆传播；存在IM/P2P、网络游戏等滥用行为，影响工作效率和组织生产力；垃圾邮件防不胜防，成为病毒、木马传播的新载体。需要对终端用户方便地进行管理和审计，对用户进行准入控制。安全需求分析根据**集团信息系统的现状以及风险分析，我们认为**集团信息系统应着重解决如下安全需求：边界访问控制需求分析**集团信息系统的边界之内包含多个局域网以及计算资源组件。边界环境是比较复杂的。如果在边界没有一个可集中控制访问请求的措施，很容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段，如获取口令、拒绝服务攻击、SYNFlood攻击、IP欺骗攻击等等获取系统权限，进入系统内部。所以需要对边界部署访问控制系统，有效地监控内部网和公共网之间的活动，并对数据进行过滤与控制，保证内部网络的安全。入侵检测/防御需求分析访问控制系统可以静态的实施访问控制策略，防止一些非法的访问等。但对利用合法的访问手段或其它的攻击手段（比如，利用内部系统的漏洞等）对系统入侵和内部用户的入侵等是没有办法控制的。因此系统内需要建设统一的符合国家规定的安全检测机制，实现对网络系统进行自动的入侵检测和分析，对非法信息予以过滤，提高系统整体安全性。防病毒需求分析防病毒必须立足于系统全网的角度，除了在终端部署放病毒产品控制病毒对终端的破坏，更应该在网络中部署安全产品，控制病毒的传播。目前病毒的发展主要呈现以下几个趋势，通过了解这些背景情况，将有助于了解防病毒体系的技术要求。病毒与黑客程序相结合随着网络的普及和网速的提高，计算机之间的远程控制越来越方便，传输文件也变得非常快捷，正因为如此，病毒与黑客程序（木马病毒）结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。蠕虫病毒更加泛滥其表现形式是邮件病毒会越来越多，这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件，往往在邮件当中附带一些具有欺骗性的话语，由于是熟人发送的邮件，接受者往往没有戒心。因此，这类病毒传播速度非常快，只要有一个用户受到感染，就可以形成一个非常大的传染面。病毒破坏性更大计算机病毒不再仅仅以侵占和破坏单机的资料为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者，或者采取DoS（拒绝服务）的攻击。一方面可能会导致本机机密资料的泄漏，另一方面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源，造成网络堵塞。制作病毒的方法更简单由于网络的普及，使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件，只需要通过简单的操作就可以生成破坏性的病毒。病毒传播速度更快，传播渠道更多目前上网用户已不再局限于收发邮件和网站浏览，此时，文件传输成为病毒传播的另一个重要途径。随着网速的提高，在数据传输时间变短的同时，病毒的传送时间会变得更加微不足道。同时，其它的网络连接方式如ICQ、IRC也成为了传播病毒的途径。病毒的实时检测更困难众所周知，对待病毒应以预防为主，如果发生了病毒感染，往往就已经造成了不可挽回的损失，因此对网上传输的文件进行实时病毒检测成了亟待解决的重要问题。因此部署网关防病毒产品，控制病毒的传播至关重要。用户身份认证和授权需求分析中心与下级机构以及合作伙伴互联过程中，要向特定的远程用户或主机提供访问许可，同时中心内部业务人员在作业现场或出差在外，需要通过目前已知的所有上网方式接入到企业内部网。也可在某些通过地址转换方式上网的局域网以私有IP地址通过安全IP通道接入企业内部网。这些数据传输中涉及到大量的身份认证，确保机密性和不可抵赖性。主要需要认证的用户包括应用系统用户、数据用户、操作系统用户等。要求对关键业务、关键系统、关键数据的访问采用认证鉴别技术，保证合法用户访问合法数据。网络传输安全需求分析中心与各级机构之间以及移动用户与信息中心进行业务操作过程中，通过租用电信运营商线路或者通过INTERNET进行数据业务的传输，在传输过程中，信息将面临搭线窃听、电磁信号分析都攻击手段，通过这些攻击手段，具有恶意行为的攻击者可以窃取信息的内容。对于**集团业务、办公信息等敏感内容，将带来较大的危害性。因此需要在信息传输两端部署具有VPN能力的设备或者软件保证传输安全。内容过滤安全需求分析互联网虽然给用户带来巨大的价值，但它也是非法信息传播的温床，反动、色情、暴力等信息在互联网上随处可见，垃圾邮件占据了大量的合法带宽和用户存储资源。虽然国家有相关法律条例禁止这些不良信息，但仅仅依靠行政手段是无法达到彻底清除的目的。相比而言，技术手段则更加有效，需要安装内容过滤产品防止非法信息的传播。上网行为管理的需求随着互联网的快速发展，即时通讯、P2P下载、网上炒股、在线视频播放等应用也变得日益广泛。对于组织来说，这些应用本身不属于威胁的范畴，但会影响组织的工作效率，降低组织的生产力，因此需要进行合理的控制。譬如，需要对P2P下载进行速度限制，禁止网上炒股，等等。反垃圾邮件的需求邮件应用是互联网上最基本的网络应用，但由于互联网的开放性，垃圾邮件的问题也同样突出，并日渐成为用户的梦魇。垃圾邮件的危害不仅在于要占用用户大量的时间去对邮件进行筛选、处理，还因为垃圾邮件本身还是病毒、木马等威胁传播的重要途径，会对用户的终端和业务网络造成危害。为了净化网络流量，减少垃圾邮件的危害，在网络的边界处需要部署反垃圾邮件设备。安全审计需求日志审计是信息安全的重要方面，它是实现安全事件的可追查性、不可否认性的重要数据环节。对于**集团信息系统由于数据来源多、数据量大、数据类型复杂，将面临大量的攻击事件。良好的安全审计能力是分析**集团信息系统安全状况的必要条件。终端成为边界带来新的需求随着信息网络技术的发展，网络安全的势态发现了变化，终端正在成为新的网络边界。首先，随着网络接入技术的发展，终端接入网络的方式已经不再局限于局域网接口，包括双网卡，WiFi，CDMA/GPRS上网卡，Modem拨号，红外，蓝牙…，这些接口已经成为企业内部网络的另一道边界。不能管理内部PC通过这些接口上网，就类似在防火墙的城堡下，存在很多没有安全警卫的后门、小道，内部内部网络的安全性无法保障。其次，在传统的企业网络中，终端具有固定的办公位置，内部网络相对是静态的。然而随着移动终端的普及（便携机销售超过台式机），产生了移动办公方式，内部网络上接入的终端变得动态化。一方面，员工的终端可能在多个位置动态接入内部网络；另一方面，各种非公终端也可能接入内网（包括员工个人PC，以及合作伙伴，客户的PC）。随着用户PC的不断接入，内部网络的边界在不断扩充。内部网络的动态化，需要我们从另外一个视角来看边界安全问题。在内网边界动态变化的过程中，我们必须在新加入的PC这一新的边界上，进行必要的安全检察，配置必要的安全防护，才能满足网络安全的需要。目前大多数的终端安全解决方案中，网关安全和终端安全是孤立起来考虑的，不能做到有效的协同。但随着终端的边界化，只有站在网关的视点来看待终端安全，才能确保内网的真正安全。要使得网关和终端能够完美融合，真正的起到纵深防御，遥相呼应，需要在网关产品上整合终端安全策略，在网关产品上对内网终端进行统一的安全管理。信息安全体系建设建设原则在设计技术方案时遵从以下原则：实用性原则**集团的安全体系建设将始终遵循“面向应用，注重实效”的指导思想。紧密结合**集团现有网络和应用情况，充分保证原有系统和结构的可用性。完整性原则**集团网络安全建设必需保证整个防御体系的完整性。在安全体系建设中，我们采取多种安全防御的技术和措施来保障**集团的网络系统安全运行。整体均衡原则要对信息系统进行全面均衡的保护，要提高整个信息系统的"安全最低点"的安全性能，保证各个层面防护的均衡。安全目标与效率、投入之间的平衡原则要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安全而牺牲效率，或投入过大。区域等级原则要将信息系统按照合理的原则划分为不同安全等级，分区域分等级进行安全防护。动态发展原则安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程，所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。节省投资原则在满足上述原则的基础上，应尽量作到节省设备采购投资，不要形成一种“用价值10元的设备来保护价值5元的资产”的局面。安全建设的思路和方法建议首先采用安全域划分方法将整个信息系统分成多个安全等级不同的相对独立的子系统，既按照业务流程的不同层面划分为不同的安全域针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施。由于不同的安全域之间存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证、信息过滤、防病毒、入侵防御和审计等安全策略的实施。根据对市场已有的安全技术分析，功能全面、维护简单且性价比较高的UTM类产品是比较好的选择。UTM产品提供了完整的边界安全保护能力，可以有效的实施访问控制、入侵检测与防护、防病毒、应用层信息过滤、流量管理、带宽管理等能力。同时由于一台UTM设备即可实现较为完整的边界安全解决方案，将大大降低用户采购成本和维护成本。安全域划分网络的建设是由业务系统的驱动建设而成的，初始的网络建设大多没有统一规划，有些系统是独立的网络，有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。当前**集团网络系统是一个庞大复杂的系统，在支持业务不断发展的前提下，如何保证系统的安全性是一个巨大的挑战，对系统进行区域划分，进行层次化、有重点的保护是有保证系统和信息安全的有效手段。按数据分类分区域分等级保护，就是按数据分类进行分级，按数据分布进行区域划分，根据区域中数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂系统的安全问题，分解为更小区域的安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。根据**集团信息系统的特点将整个**集团信息系统分为如下安全域：中心接入域：包括外联区（与公网相连）、内联区（与二级机构相连）、DMZ区（对外公开服务器）以及内部网中的总部大楼和信息中心的接入部分。中心办公域：总部工作人员办公用网络。中心生产域：生产终端所在网络。中心服务域：所有的业务生产系统的服务器都放置在这个区域。二级机构办公域：二级机构的办公网络，每个具体的二级机构办公域形成一个独立子安全域。二级机构生产域：二级机构的生产网络，每个具体的二级机构生产域形成一个独立子安全域。信息安全方案设计拓扑示意图：安全网关(UTM)设计部署方案根据**集团网络的现状和日后的发展需要，通过安全域划分原则部署和配置我公司的一体化安全网关（UTM）设备：1、中心接入域：合法接入控制：接入域内各子域边界的访问控制以及对应用数据进行安全过滤，对接入的数据或者用户进行身份认证与授权。防入侵：检测来自外部的入侵行为并予以阻断。病毒过滤：发现并阻断可能出现的病毒传播。抗拒绝服务攻击：根据网络异常行为判断出拒绝服务攻击并予以阻断。传输安全：接入域和其他安全域的互联方式可能需要加密传输，因此需要对敏感数据采用VPN技术进行加密。2、中心办公域：合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵：检测来自外部的入侵行为并予以阻断。病毒过滤：发现并阻断可能出现的蠕虫传播。抗拒绝服务攻击：根据网络异常行为判断出拒绝服务攻击并予以阻断。防泄密：监控接入域客户的非业务流量，特别是进行文件和信息交换的协议，比如：电子邮件、FTP、WEB访问等。通过控制文件传输以及纪录文件传输行为两种方式进行防泄密保护。内容过滤：对基于标准协议的内容进行过滤，防止色情、非法信息的下载与传播。上网行为管理：对IM应用进行管理和控制，对P2P/网络视频等行为进行阻断或者限流，确保带宽的有效利用。防垃圾邮件：防止邮件炸弹攻击，对垃圾邮件进行过滤，提升工作效率。3、中心生产域:合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵：检测来自外部的入侵行为并予以阻断。病毒过滤：发现并阻断可能出现的蠕虫传播。安全审计：对所有与业务相关的通讯进行纪录，保证可进行事后分析和可追查性检查。4、中心服务域:合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵：检测来自外部的入侵行为并予以阻断。病毒过滤：发现并阻断可能出现的蠕虫传播。抗拒绝服务攻击：根据网络异常行为判断出拒绝服务攻击并予以阻断。5、二级机构办公域：合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵：检测来自外部的入侵行为并予以阻断。病毒过滤：发现并阻断可能出现的蠕虫传播。抗拒绝服务攻击：根据网络异常行为判断出拒绝服务攻击并予以阻断。防泄密：监控接入域客户的非业务流量，特别是进行文件和信息交换的协议，比如：电子邮件、FTP、WEB访问等。通过控制文件传输以及纪录文件传输行为两种方式进行防泄密保护。内容过滤：对基于标准协议的内容进行过滤，防止色情、非法信息的下载与传播。上网行为管理：对IM应用进行管理和控制，对P2P/网络视频等行为进行阻断或者限流，确保带宽的有效利用。防垃圾邮件：防止邮件炸弹攻击，对垃圾邮件进行过滤，提升工作效率。6、二级机构生产域合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵：检测来自外部的入侵行为并予以阻断。病毒过滤：发现并阻断可能出现的蠕虫传播。安全审计：对所有与业务相关的通讯进行纪录，保证可进行事后分析和可追查性检查。系统功能天清汉马USG一体化安全网关采用高性能的硬件架构和一体化的软件设计，集防火墙、VPN、入侵防御（IPS）、防病毒、外联控制、抗拒绝服务攻击（Anti-DoS）、内容过滤、反垃圾邮件、NetFlow等多种安全技术于一身，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。除此之外，天清汉马USG一体化安全网关还融合了内网安全特性，能够为终端PC下发安全客户端，同步内网安全策略，并根据安全客户端的检查结果对终端PC进行准入控制。天清汉马USG一体化安全网关采用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面，采用天清汉马USG一体化安全网关，可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护管理而苦恼，天清汉马USG一体化安全网关是低成本、高效率、易管理的理想解决方案。通过部署天清汉马USG一体化安全网关系统，可以实现：全面的访问控制手段基于出/入接口、源/目的IP地址、服务、时间的安全策略，支持IP地址过滤、MAC地址过滤、IP＋MAC绑定、用户认证、流量整形、连接数控制等坚固的入侵防御（IPS）体系业界最完善的攻击特征库，包括18大类，超过2,000项的入侵攻击特征，并提供动态更新漏洞机理分析技术，精确抵御黑客攻击、蠕虫、木马、后门应用还原重组技术，抑制间谍软件、灰色软件、网络钓鱼的泛滥网络异常分析技术，全面防止拒绝服务攻击业界领先的网络防病毒技术文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件，病毒库总计＞16万，并提供动态更新支持HTTP、FTP、IMAP、POP3、SMTP等协议的病毒查杀病毒类型根据危害程度划分为：流行库、高危库、普通库实用的流量监控系统NetFlow历史带宽使用趋势分析、带宽应用分布、带宽使用实时统计、IP流量排名等多种手段全面清除垃圾邮件支持黑名单、白名单支持防邮件炸弹功能，能够设定邮件发送速率的门限值病毒扫描、附件类型和附件大小过滤、关键字过滤等支持贝叶斯过滤、可追查性检查、发件人认证等反垃圾邮件功能丰富的VPN特性使组网变得简单丰富的手段：支持IPSecVPN、SSLVPN、L2TP和GRE灵活的部署：IPSec全面支持NAT穿越，支持Hub-Spoken、Full-Mesh、DVPN等部署；SSLVPN支持Web、Agent、Tunnel应用方式，支持端到端部署IPSecVPN支持DES、3DES、AES128、AES192、AES256、国密SCB2等加密算法，支持MD5、SHA等认证算法精确的抗DoS攻击能力支持对Jolt2、Land-base、pingofdeath、synflag、Teardrop、winnuke、smurf、TCPflag、ARP攻击、TCP扫描、UDP扫描、ping扫描等各种DOS攻击和扫描事件的检测和防御采用特征控制和异常控制相结合的手段，有效保障抗拒绝服务攻击的准确性和全面性完善的上网行为管理P2P控制：对eMule、BitTorrent、Maze、Kazaa等进行阻断、限速；IM控制：基于黑白名单的IM登录控制、文件传输阻止、查毒；支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype流媒体控制：对流媒体应用进行阻断或限速，支持Kamunppfilm、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等网络游戏控制：对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断股票软件控制：对常用股票软件如同花顺、大参考、大智慧等的阻断独有的内网安全管理特性终端安全部署：内置我的天珣内网安全服务器，可以为客户端部署天珣终端安全软件；终端准入控制：由天珣终端软件进行各种安全性检查，USG网关根据检查结果进行准入控制，杜绝不安全的终端接入，保障内网合规；终端安全管理：通过USG向终端下发安全策略，能够对接入网络的所有终端进行进程管理、服务管理、网络应用管理和补丁管理。强大的日志报表功能记录内容丰富：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录日志快速查询：可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询报表贴近需求：根据用户具体需求，定制报表内容、定制报名名称、定制企业LOGO，并可形成多种格式的报表文件。方便的集中管理功能通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑显示，能够对多台设备的日志和流量信息进行记录。入侵检测系统(IDS)设计在传统的网络信息安全概念里，似乎配置了防火墙就标志着网络的安全，其实不然，防火墙仅仅是部署在网络边界的安全设备，它的作用是防止外部的非法入侵，仅仅相当于计算机网络的第一道防线。虽然通过防火墙可以隔离大部分的外部攻击，但是仍然会有小部分攻击通过正常的访问的漏洞渗透到内部网络；另外，据统计有70％以上的攻击事件来自内部网络，也就是说内部人员作案，而这恰恰是防火墙的盲区。入侵检测系统(IDS)可以弥补防火墙的不足，为网络信息安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。入侵检测系统是实时的网络违规自动识别和响应系统。它运行于敏感数据需要保护的网络上，通过实时监听网络数据流，识别，记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，入侵检测系统能够根据系统安全策略作出反应。该系统可安装于防火墙前后，可以对攻击防火墙本身的数据流进行响应，同时可以对穿透防火墙进行攻击的数据流进行响应。在被保护的局域网中，入侵检测设备应安装在主交换机上,这些保护措施主要是为了监控经过网络出入口及对重点服务器进行访问的数据流。入侵检测报警日志的功能是通过对所有对网络系统有可能造成危害的数据流进行报警及响应。由于网络攻击大多来自于网络的出口位置，入侵检测在此处将承担实时监测大量出入整个网络的具有破坏性的数据流。这些数据流引起的报警日志，是作为受到网络攻击的主要证据。入侵检测系统是一种动态网络信息安全技术，它能够发现入侵者实时攻击行为，并对其进行响应。从网络信息安全防护上讲，防火墙技术给出了一个静态防护的概念，而入侵检测技术具有动态防御的意义。入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、识别攻击行为、对异常行为进行统计，使系统管理员可以较有效地监视、审计、评估自己的系统。在**集团网络入侵检测系统配置中，我们对网络系统进行实时监控与阻断响应，它集成了在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统，不仅能即时监控网络资源运行状况，为网络管理员及时提供网络入侵预警和防范解决方案，还使得对于检查黑客入侵，变得有迹可寻，为用户采取进一步行动提供了强有力的技术支持，大大加强了对恶意黑客的威慑力量。部署方案根据**集团网络的现状和日后的发展需要，通过部署我公司的天阗入侵检测与管理系统实时分析进出网络的数据和访问连接，及时检测出混杂在正常数据流中的恶意入侵和攻击，保护各级网络的安全。对**集团网络边界点的数据进行监测，防止黑客的入侵。监视**集团网络内部用户和系统的运行状况，查找非法用户和合法用户的越权操作。对用户的非正常活动进行统计分析，发现入侵行为的规律。实时对检测到的入侵行为进行报警、阻断，能够与防火墙联动。对关键正常事件及异常行为记录日志，进行审计跟踪管理。系统功能通过使用网络入侵检测系统，我们可以做到：全面的入侵检测入侵检测能力取决于两个方面的技术：攻击特征分析技术和入侵检测支撑技术。在入侵检测的支撑技术上，技术优势体现在高速捕包、深入协议分析技术、高速树型匹配技术、防躲避处理技术以及事件风暴处理技术等多个方面，有效地保证了入侵检测的准确性、有效性和高性能。对**集团网网络系统各级网络边界点的数据进行监测，防止黑客的入侵。以入侵检测为核心的动态安全体系随着网络脆弱性的改变和威胁攻击技术的发展，使网络信息安全变成了一个动态的过程，静止不变的产品根本无法适应网络信息安全的需要。同时由于单一的安全产品对安全问题的发现处理控制等能力各有优劣，因此不同安全产品之间的安全互补，可以提高系统对安全事件响应的准确性和全面性，使防护体系由静态到动态，由平面到立体，不仅增强了入侵检测系统的响应能力，降低了入侵检测的误报率，充分发挥了入侵检测的作用，同时提升了防火墙的机动性和实时反应能力。因此，以入侵检测系统为核心的动态防御体系，可以实现入侵检测和防火墙、入侵检测和漏洞扫描等防护系统的联动。入侵检测和防火墙、入侵检测和漏洞扫描联动体系示意图如下：入侵检测系统与防火墙的联动入侵检测系统可以进行针对TCP连接的阻断。但是，对于网络上的错综复杂的攻击事件，网络入侵检测系统的防护效果还是不够全面。防火墙作为网络系统的专用的安全防护工具，其防护能力与入侵检测产品的响应能力可以相互补充。所以，使用入侵检测系统与防火墙联动方式，来实现整体防护。当入侵检测检测到此攻击事件时，会实时的传送一个防护策略给防火墙，由防火墙来执行此策略，实现入侵阻断。入侵检测系统与漏洞扫描系统的联动入侵检测在发现攻击行为的同时，发出指令通知漏洞扫描系统，对被攻击目标机或攻击源进行扫描，来确认攻击源的存在和被攻击机系统存在的漏洞，以作到主动防御。同时，通过获得漏洞扫描系统的扫描结果，可动态修改入侵检测系统的检测策略，使入侵检测系统的事件报警更加准确，提高入侵检测系统的运行效率。基于入侵检测系统的应急响应通过入侵检测系统的强大功能为应急响应提供有力的技术支撑和充足的信息支持，实施应急响应来解决实际的网络信息安全问题。入侵检测系统的应急响应体系的架构如下图示。其中，技术包括4个方面：检测发现、事件分析、事件报警、事件处理，这是一个安全事件的发现和处理流程。具有这几项技术的支撑是具有庞大的知识库，能够进行入侵管理。而应急响应体系的组织结构、处理规范、响应流程都是保证应急响应能够正常开展的管理要素。异常流量分析实时监控网络流量，进行网络流量的分类分析和统计；产生例如提供点对点数据流量及流量排名的详细图表；定义流量异常的阀值，对异常流量进行实时报警。内容异常分析基于异常的检测技术可以发现可疑的网络行为，能够对未知的攻击方式发出预警信号，是对其他方法的有利补充。同时，采用“多目标跟踪锁定”功能，对用户所设定的异常报警内容进行多方位的定点跟踪和显示，“凸出”用户所关心的信息。行为关联分析一个真正的攻击不是一个单独的行为就可以发现，必须分析一系列的单独行为，找到其中的行为关联关系，才能更好地识别攻击，管理已发生的入侵事件，处理垃圾报警信息，准确描述攻击行为。网络病毒分析针对当前流行的网络蠕虫和病毒进行预警，包括Nimda蠕虫、Sqlslammer蠕虫等。强调实现以入侵检测为核心的安全防御体系。入侵检测系统与防火墙、漏洞扫描系统、防病毒系统、网络管理系统等安全产品均可实现联动，这些联动本身就是应急响应的一个组成部分，使得以前相互独立、需要在不同的时间段内完成的入侵检测和应急响应两个阶段有机地融为一体。入侵管理入侵管理技术是应急响应体系的核心支撑技术。入侵检测系统不仅能抓取网络中的数据流并进行分析，与事件库中的入侵行为进行模式匹配，从而对入侵行为进行报警，而且能够进行完备的协议分析，保证对数据流的分析是比较完整的。同时，好的入侵检测系统还具有异常统计的功能，以降低误报率，提高工作效率。随着入侵检测技术的发展，入侵检测系统还能够与防火墙、漏洞扫描系统网管等其它安全产品进行广泛的联合，组成入侵防御系统。为了提高入侵检测系统的可用性，提高对应急响应体系的支持力度，还应加强入侵检测系统的安全防范及管理功能，提高对全局入侵行为的可视管理。具有良好可视化、可控性、可管理性的新一代入侵检测系统可称为入侵管理系统。入侵验证入侵验证系统根据入侵检测系统发现的网络信息安全事件，对被攻击网络或主机进行攻击后果的验证，并将攻击后果返回给控制中心，供管理者做决策参考。与网管系统结合安全和网管系统结合，入侵管理平台将预警事件分级、分类、自动上报给网管系统，供网络管理员做全局安全事件分析。可视化用可视化的方式显示当前安全态势，用不同的颜色和形状表示关键点（如外部IP）。可根据需要设置条件，实时显示TOP10事件，包括攻击源、目标的MAC地址、IP地址，流量信息；对各种协议相关事件如Telnet、SMTP，按需要进行回放。事件自定义事件自定义功能，以深层协议分析为基础，能够实现：对攻击特征进行多样化、灵活定义，可以使我公司保证对最新攻击方法的迅速反应和升级，同时可以协助用户直接定义针对其特殊应用的攻击和威胁。用户可以方便地修改协议端口默认值，满足用户保护特殊网络应用的需要，同时有效防止黑客以变形木马等方式躲避入侵检测系统监控的攻击。用户可以自定义所关注的敏感信息，加强内外部信息的审查，如商业机密，反动、黄色、暴力等信息。用户可以定义与指定的人、邮件、IP地址等有关的行为，实现对重点目标的保护和对重点怀疑对象异常行为的有效监控。策略自定义入侵检测系统内置检测策略，可以供用户选用。同时，入侵检测系统应允许有经验的用户根据网络中数据流的特点，提供灵活的安全策略管理机制，利用系统中的事件定义模板，定制网络中可疑行为和监控对象，定制相应的检测策略，并对这些行为进行响应，做到重点监测、量体裁衣，报告用户最为关注的事件，充分提高入侵检测系统的检测效率，降低误报率。引擎自定义提供不同作用、基于不同环境的入侵检测探测引擎。包括基于百兆网的网络入侵检测系统引擎、基于千兆网的网络入侵检测系统引擎、基于Windows平台的主机入侵检测系统引擎、基于AIX、Solaris平台的主机入侵检测系统引擎等。这些引擎都可以被统一的入侵管理平台所管理。脆弱性扫描系统设计（漏洞扫描）网络的应用越来越广泛，而网络不可避免的安全问题也就越来越突出，如今，每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布，利用这些漏洞可以很容易的破坏乃至完全的控制系统；另外，由于管理员的疏忽或者技术水平的限制造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。动态安全的概念是：帮助管理员主动发现问题。最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞，保证系统的安全性。因此**集团网络系统需要一套帮助管理员监控网络通信数据流、发现网络漏洞并解决问题的工具，以保证整体网络系统平台安全。漏洞扫描系统包括了网络模拟攻击，漏洞检测，报告服务进程，提取对象信息，以及评测风险，提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。该系统具有强大的漏洞检测能力和检测效率，贴切用户需求的功能定义，灵活多样的检测方式，详尽的漏洞修补方案和友好的报表系统，以及方便的在线升级。部署方案对于网络信息安全来说，安全性取决于所有安全措施中最薄弱的环节，而上面我们所讨论的问题，就是网络的薄弱之处，也是最容易被黑客利用来侵入系统，给我们造成损失的环节。所以在网络中心部署一套我公司的天镜脆弱性扫描与管理系统协同入侵检测系统对网络系统提供防护。系统功能可以动态地分析目标系统的安全脆弱性根据不同的对象类型，自动寻找匹配的扫描策略进行下一步的分析扫描。灵活的策略配置可按照特定的需求配置多种扫描策略和扫描参数，实现不同内容、不同级别、不同程度、不同层次的扫描。多种形式、人性化的扫描报表可根据用户的不同需求提供不同层次的报告，并提供安全补丁供应商的热连接，快速及时的修补漏洞。实用的模拟攻击工具合理的结构化设计、模块的继承性，使得系统具有很大的可扩展空间全自动、大规模的扫描任务支持windows域环境多线程扫描保证扫描任务的高效性和稳定性；定时扫描机制保证充分利用网络空闲间隙进行网络信息安全状况评估；丰富的漏洞检查列表分级、灵活的预定义报告合理的结构化设计远程在线升级详尽的安全解决方案帮助用户在了解网络信息安全状况的情况下得到详尽可行的解决措施。系统作用通过在**集团网络系统进行安全漏洞检测和分析，我们可以做到：对**集团网络重要服务器和PC机进行漏洞扫描，发现由于安全管理配置不当、疏忽或操作系统本身存在的漏洞(这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取，甚着造成系统本身的崩溃)，生成详细的可视化报告，同时向管理人员给出相应的解决办法及安全建议。对**集团网络系统网络边界组件、基础组件和其他系统进行漏洞扫描，检查系统的潜在问题，发现操作系统存在的漏洞和安全隐患。漏洞扫描系统对网络及各种系统进行定期或不定期的扫描监测，并向安全管理员提供系统最新的漏洞报告，使管理员能够随时了解网络系统当前存在的漏洞并及时采取相应的措施进行修补。通过漏洞扫描的结果，对系统进行加固和优化。网络信息安全审计系统设计来自网络的安全威胁日益增多，很多威胁并不是以网络入侵的形式进行的，这些威胁事件多数是来自于内部合法用户的误操作或恶意操作，仅靠系统自身的日志功能并不能满足对这些网络信息安全事件的审计要求，网络信息安全审计系统正是在这样的安全审计需求下产生的。网络信息安全审计通常要求专门细致的协议分析技术，完整的跟踪能力，和数据查询过程回放功能。对于互联网内容的管理和控制，归根到底是对访问者的管理和控制。一个好的互联网内容管理产品，要能做到基于用户的、细化、量化的访问策略定制。互联网访问主要包括Web访问和基于Internet的一些应用程序的使用。Web访问是指通过URL地址访问Web内容，相应的控制手段主要有内容实时过滤、预分类列表方式等。除了Web内容，一些基于Internet的应用程序，包括常用的即时通讯工具、P2P文件共享下载、在线游戏、流媒体播放和股票系统等，也需要加以控制。越来越多的问题滋生于此，通过聊天、文件下载、网络游戏或其他程序的应用，导致的安全风险、生产力下降、带宽滥用、法律风险等问题层出不穷。具备合理的定位和管理措施，清晰直观的监控记录和灵活多样的数据统计报表，是互联网访问控制审计类产品的一项重要功能。支持对访问事件(访问者、访问时间、访问内容、响应动作)的实时监控记录，自定义查找访问者、内容的记录、根据记录生成直观的统计数据等。帮助企业发现互联网访问趋势，了解企业互联网的使用情况。在专网服务器区，面对繁多的业务系统，有充分的必要性对网络的使用者、设备登录维护者应用安全审计进行跟踪。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。审计信息对于确定是否有网络攻击的情况，对于确定问题的起因和攻击发起处非常重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据，为网络犯罪行为及泄密行为提供取证基础。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。部署方案为了进一步加强**集团网络信息安全的健壮性及事后分析的可行性，并满足信息安全监控的目的，针对**集团网络基础建设的实际情况，我们建议：在外网出口处部署一台我公司的天玥网络信息安全审计系统（互联网型）探测引擎，实现对外网出口处各种数据流的检测监控，对于非法的互联网访问行为进行审计和阻断。在核心业务服务器区的出口处部署一台我公司的天玥网络信息安全审计系统（业务网型）探测引擎，实现对WWW、FTP、E_mail、OA、数据库等应用服务器的访问或非法攻击进行数据分析并保存，以便事后取证和分析。系统功能采用网络旁路监听技术，不改变网络结构，不影响用户网络流量和性能，不会成为用户的网络故障点而导致网络瘫痪；专用系统设计，安装简便，稳定可靠。业务网型：对数据库、Telnet、FTP等登录的操作进行详细的审计和实时监控对HTTP、NETBIO、SMTP、POP3等应用层协议进行审计监控对FTP、Telnet、数据库操作、应用（业务）系统等进行命令级的审计和访问控制对非正常网络行为进行审计互联网型：记录全面的互联网访问信息屏蔽各类不良网站控制互联网络行为审计MAIL信息过滤不良信息内网安全管理系统设计（终端管理）一直以来，安全防御理念局限在常规的网关级别（防火墙等）、网络边界（漏洞扫描、安全审计、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。但是在实际情况下，来自网络内部的安全威胁却是多数网络管理人员真正需要面对的问题。据统计结果表明，80%的安全事件来自与网络内部，而只有20%的安全事件来自于外部。目前网络管理工作量最大的部是客户端安全部分，对网络的正常运转威胁最大的也同样是客户端安全。由于大型网络一般结构较为复杂，用户使用水平参差不齐，而网络管理人员编制有限，往往难以面对数量重大的客户端事件，例如：缺少有效手段对客户端联网行为进行监控，对客户端违规联网的现象及时发现，及时阻断。如何安全、方便的将非安全计算机阻断出网如何对补丁进行自动分发部署和补丁控制。如何按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。如何监控网络中的防病毒软件安装情况，准确有效的定位网络中病毒的引入点，快速、安全的切断安全事件发生点和相关网络。如何对硬件资产进行自动发现识别，有效进行网络资源管理和设备资产管理，在提高工作精度的同时减少网络管理人员的工作量。如何对网络中的软件状态信息进行有效的查询和管理；如何实现客户端安装软件自动识别控制，尤其是掌握网络内新安装的软件，以及时发现隐患。如何对软件进行分发安装，以大幅度减少网管的工作量。如何对网络客户端进行有效工作状态监控，监督使用人员规范操作电脑。如何构架功能强大的网络客户端综合安全报警平台。如何有效监控客户端的运维信息，以便网管了解网络中的客户端是否已超负荷运转，是否需要升级。如何有效地监控客户端的USB拷贝、打印的行为。如何有效地实现客户端文件的备份存储。事实表明，只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患。部署方案策略服务器策略服务器用于配置管理客户端安全策略，分发策略给客户端代理及策略网关，分发补丁、病毒定义码或软件以修补客户端安全漏洞，并可从策略服务器查询企业网络任何一个终端的安全状态。天珣内网安全风险管理和审计系统支持分布式多服务器架构，集中管理全球范围内的任意多个策略服务器，分布式多服务器架构使天珣内网安全风险管理和审计系统具有优秀的容错性、可伸缩性。客户端代理客户端代理从策略服务器获取策略规则，在客户端执行策略规则，检查其安全状态，执行终端综合防护，并将客户端安全状态报告给策略服务器。天珣内网安全风险管理和审计系统客户端是模块化的组件，支持多种模块化的组件，以满足用户以一个客户端完成多种安全或管理的需求。策略网关策略网关是执行系统及应用准入的强制组件。策略网关从策略服务器获取策略规则，以准入控制手段强制执行企业安全策略，拒绝不符合安全策略的终端访问企业的关键系统及应用。天珣内网安全风险管理和审计系统有多种类型的策略网关。图一天珣系统部署图系统功能真正意义上的解决：移动设备（笔记本电脑等）和新增设备未经过安全检查和处理违规接入内部网络，未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素；内部网络用户通过model、红外设备、无线设备或蓝牙设备等进行在线违规拨号上网、违规离线上网等行为；违反规定将专网专用的计算机带出网络进入到其他网络；网络出现病毒、蠕虫攻击等安全问题后，不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。安全事件发生后，网管一般通过交换机、路由器或防火墙可以进行封堵，但设置复杂，操作风险大，而且绝大多数普通交换机并没有被设置成SNMP可管理模式，因此不能够方便地进行隔离操作；大规模蠕虫或木马病毒事件发生后，网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节，无法做到事后分析、加强安全预警；静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况；自动检测网络计算机系统漏洞，弱口令等问题，并能够自动将系统所需要补丁分发到网络每一台计算机，为计算机自动打补丁。各种软件自动分发功能，脚本定制开发；大型网络系统中区域结构复杂，不能明确划分管理责任范围，进行多用户管理；网络中计算机设备硬件设备繁多，不能做到精确统计，实现节点桌面控制；控制用户随意使用各种USB移动设备而导致的机密文件外漏。准入控制网络准入准入控制网络准入应用准入客户端准入动态VLAN外来电脑管理资产管理软件分发补丁管理外设管理移动存储设备管理终端审计进程管理HOD远程桌面终端快速定位主动防御（访问控制）终端安全状态检测与修复蠕虫病毒主动防御终端异常流量抑制非授权访问控制终端安全加固IP地址管理终端安全防护功能桌面管理功能安全运营中心（SOC）建设方案安全运营中心我的泰合信息安全运营中心（简称：TSOC）是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策对安全事件进行响应和处理。总体来说TSOC的根本模型就是PDR模型，而TSOC系统就是实现其中的D（Detection，检测）和R（Response，响应）。安全运营中心主要由以下部分组成：资产信息管理模块、安全事件/业务监控管理模块、脆弱性管理模块、漏洞关联分析和基于规则的关联分析模块、风险评估管理模块、安全策略管理模块、统一安全预警模块、综合显示和报表报告系统、响应管理系统、安全信息管理、系统健康管理和用户管理模块组成。其功能体系架构如下图所示：功能体系结构平台软件架构安全运营中心软件总体体系架构如下图所示：安全管理中心安全管理中心SMC安全信息管理系统SIMS数据分析中心（DAC）软件总体结构整个系统分为SMC、DAC和V-SIMS三部分。SMC：安全运营中心，安全运营中心以B/S/D三层架构实现监控、管理、响应、报表等功能；DAC：数据分析中心，其以后台服务方式实现综合分析、关联分析、资产发现、脆弱性信息采集分析等数据分析处理功能；V-SIMS：安全信息管理系统，它完成了安全信息的采集、过滤、聚并、入库等功能。便于实现分布分级部署事件采集引擎。安全运营中心按照三层软件架构体系设计，如下图所示：泰合信息安全运营中心三层体系结构通过部署和实施泰合安全运营中心可以达到和实现如下效果：面向业务的资产与风险管理是基于网络和系统进行安全检查和评估的基础，域的分类是抗渗透的防护方式，是基于网络和系统进行安全建设的部署依据，而域边界是灾难发生时的抑制点，防止影响的扩散，因此，域管理的好坏直接影响到系统安全评估与监控性能的好坏，并直接影响到监管系统的健壮性。域的分类方式有多种，划分的基准包括分布式的网络结构，业务流程的优化单元，防护体系的层次结构，系统的安全等级等。在安全运营中心中，域被认为是一个大于资产的概念，是多个有相似安全需求或完成相似业务功能的信息资产组。资产信息管理模块支持对平台所辖信息系统在资产管理的基础上进行域管理的功能，同时也支持对域安全风险的评估。对于复杂信息系统，IT管理员可以将主要精力用于关注域风险和核心资产风险，这样可以有效降低安全管理的难度和复杂性。域的风险和威胁往往反映了业务所面临的风险和威胁，相对于单一的资产风险评估和监控更能反映业务系统所面临的风险和威胁。1、清晰展示业务域与资产的关系详细请参考HYPERLINK“业务域管理”中相关内容。2、提供全面的风险监控信息：总体安全监控3、资产风险全面监控：业务域风险监控安全事件和漏洞监控安全事件监控负责实时监控网络的安全事件状态，是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控网络各个网络设备、主机系统等日志信息，以及安全产品的安全事件日志信息等，及时发现已经发生和正在发生的安全事件，通过响应管理模块采取措施，保证网络和业务系统的安全、可靠运行，实时将其结果输入综合分析决策支持与预警平台。脆弱性监控完成对信息系统中以资产为基本对象的漏洞检测，是分析业务系统脆弱性的主要技术手段。通过控制和采集漏洞扫描结果，结合人工审计结果，综合分析资产/业务系统的已知漏洞，及时进行修补和告警，确保核心资产的安全性，确保信息系统的业务连续性。1、提供直观的安全事件趋势分析安全事件统计分析2、详细安全事件实时监控事件实时监控3、资产/业务域安全漏洞监控安全漏洞监控多种响应方式平台通过多种响应方式完善了从防护到检测再到响应的一个安全事件处理过程的闭环。1、多种响应策略设置通过对安全事件进行邮件、工单、声音、数据库等响应方式的设置，实现自定义用户响应策略。响应策略管理2、支持工单管理提供了从工单生成、提交、编辑、状态监控、查询到关闭工单的完整的闭环管理，如果客户已经或正在考虑实施ITIL，可以将工单管理融合到ITIL流程之中。工单管理多种关联分析方法1、漏洞关联分析漏洞关联的目的在于要识别出假肯定警报，同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。这种方法的主要优点在于，它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。详细请参考HYPERLINK“漏洞关联分析”中相关内容。2、规则关联分析详细请参考HYPERLINK“规则关联分析”中相关内容。3、统计关联分析详细请参考HYPERLINK“统计关联分析”中相关内容。状态监控可以通过获取状态获取设备的状态信息，如设备IP、设备名称、系统名称、连通状态、资源占用率等状态信息，可以及时发现网络中设备的资源占用情况，利于进行有针对性的安全管理。状态监控拓扑与GIS展示拓扑展示并非对网络拓扑的呈献，而是以资产/业务为对象的直观展示和状态监控。是管理者和操作者直接了解平台所辖范围资产和业务系统分布情况、工作状态的理想工具。提供了跟HPOpenView网管系统接口，从网管系统获取事件信息、资产状态信息和网络拓朴信息，传递给资产管理模块。1、业务域拓扑展示业务域拓扑2、资产拓扑展示可以通过业务域关联到其下属子域以及所包含的资产和设备。如下图所示：资产拓扑提供了跟MapInfo地理信息系统的接口，可以将资产域的地理信息应用在综合显示模块中。可以将地图作为背景图，在地图上显示监控点。GIS展示（全国）同时，北京地图可以根据客户的需要灵活替换，比如可以将行政区划图、网络拓扑图等作为地图，在上面标识已经部署的监控点。下面以上海行政区划图为例：GIS展示（上海）丰富的知识库系统的知识管理中心既提供一般知识管理功能，比如安全知识库、培训和人员考核等，也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。我公司作为国家CNCVE项目的承担单位拥有自主产权的漏洞库和事件特征库，泰合风险管理和自评估系统的漏洞库和事件特征库兼容了国内国际上流行的各种漏洞库，比如CNCVE，CVE，Bugtraq等，同时我的积极防御实验室会及时发布最新发现的各种安全漏洞，并定期对已知漏洞进行总结。同时，系统通过处置预案管理的方式实现对各种安全事件处置方法的标准化参考和积累。1、处置预案管理分别为病毒木马、系统状态、扫描探测、拒绝服务、规避、认证授权、应用漏洞和非授权访问等8种处置预案。2、漏洞信息查询漏洞信息库3、安全链接安全链接请参考“安全信息知识库管理”中相关内容。售后服务与培训 售后服务 技术支持队伍我公司的安全工程部是一个有着大型安全项目（包括大型涉密项目）实施经验的团队，目前有三十多人的售后施工人员。其中大部分人员接受过微软、思科等公司的专业培训，在安全方面有着良好的基础理论和丰富的实践经验。在信息产业部、国家安全部、中国新时代证券、中技经、中信实业银行、中国电信、上海电信等全国范围内的大型网络信息安全项目实施中，得到了用户一致认可。在大量项目施工的过程中，积累了丰富的项目施工经验，确保了公司在各个项目中及时按要求完成施工进度。组织结构项目的售后服务可以由我公司和第三方厂商共同提供售后技术服务、支持及保修也可以由我公司独立完成。同时，用户方也需要有相关人员负责项目售后服务过程中的商