《公司信息网络安全集成方案.doc》由会员分享,可在线阅读,更多相关《公司信息网络安全集成方案.doc(48页珍藏版)》请在三一办公上搜索。
1、XXX公司信息安全方案目 录第一部分 XXX公司安全方案3第一章网络安全需求分析3一. 当前网络状况3二、安全需求分析3第二章安全解决方案7一.设计方案总目标7二设计方案指导思想7三方案部署结构设计9四网络安全改造设计10五防火墙子系统设计11六网关安全子系统设计14七. 网络行为管理解决方案16八内网ARP防护解决方案19九网络运维管理系统解决方案21十网站防篡改、防攻击解决方案30十一. 反垃圾邮件方案34十二. 内网桌面行为管理方案36十三. 主机加固方案设计说明40十四. 信息安全评估方案设计说明42第三章项目资金预算分析46附件48XX公司简介48第二部分 网络安全概述49第一章网络
2、安全体系的基本认识49第二章网络安全技术概述54一.虚拟网技术54二.防火墙枝术55三.病毒防护技术60四.入侵检测技术61五.安全扫描技术63六.认证和数宇签名技术64七.VPN技术65八.应用系统的安全技术67第一部分 XXX公司安全方案第一章 网络安全需求分析一. 当前网络状况二、安全需求分析网络安全总体安全需求是建立在,对网络安全层次分析基础上确定的。依据网络安全分层理论,根据OSI七层网络协议,在不同层次上,相应的安全需求和安全目标的实现手段各不相同,主要是针对在不同层次上安全技术实现而定。对于以TCP / IP为主的XXX公司网来说,安全层次是与TCP/IP网络层次相对应的,针对X
3、XX公司网的实际情况,我们将安全需求层次归纳为网络层和应用层安全两个技术层次,同时将在每层涉及的安全管理部分单独作为分析内容,具体描述如下:网络层需求分析网络层安全需求是保护网络不受攻击,确保网络服务的可用性。首先,作为XXX公司网络同Internet的互联的边界安全应作为网络层的主要安全需求: 需要保证XXX公司网络与Internet安全互联,能够实现网络的安全隔离; 必要的信息交互的可信任性; 要保证XXX公司网络不能够被Internet访问; 同时XXX公司网络公共资源能够对开放用户提供安全访问能力; 能够防范来自Internet的包括: 利用Http应用,通过Java Applet、A
4、ctiveX以及Java Script形式; 利用Ftp应用,通过文件传输形式; 利用SMTP应用,通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于XXX公司网络的侵害; 对网络安全事件的审计; 对于网络安全状态的量化评估; 对网络安全状态的实时监控; 防范来自Internet的网络入侵和攻击行为的发生,并能够做到: 对网络入侵和攻击的实时鉴别; 对网络入侵和攻击的预警; 对网络入侵和攻击的阻断与记录;其次,对于XXX公司网络内部同样存在网络层的安全需求,包括: XXX公司网络与下级分支机构网络之间建立连接控制手段,对集团网络网提供高于网络边界更高的安全保护。应用层需求分析建设XXX公司
5、网的目的是实现信息共享、资源共享。因此,必须解决XXX公司网在应用层的安全。应用层安全主要与企业的管理机制和业务系统的应用模式相关。管理机制决定了应用模式,应用模式决定了安全需求。因此,在这里主要针对各局域网内的应用的安全进行讨论,并就建设全网范围内的应用系统提出我们的一些建议。应用层的安全需求是针对用户和网络应用资源的,主要包括: 合法用户可以以指定的方式访问指定的信息; 合法用户不能以任何方式访问不允许其访问的信息; 非法用户不能访问任何信息; 用户对任何信息的访问都有记录。要解决的安全问题主要包括: 非法用户利用应用系统的后门或漏洞,强行进入系统。 用户身份假冒:非法用户利用合法用户的用
6、户名,破译用户密码,然后假冒合法用户身份,访问系统资源。 非授权访问:非法用户或者合法用户访问在其权限之外的系统资源。 数据窃取:攻击者利用网络窃听工具窃取经由网络传输的数据包。 数据篡改:攻击者篡改网络上传输的数据包。 数据重放攻击:攻击者抓获网络上传输的数据包,再发送到目的地。 抵赖:信息发送方或接收方抵赖曾经发送过或接收到了信息。一般来说,各应用系统,如 数据库、Web Server自身也都有一些安全机制,传统的应用系统安全性也主要依靠系统自身的安全机制来保证。其主要优点是与系统结合紧密,但也存在很明显的缺点: 开发量大:据统计,传统的应用系统开发中,安全体系的设计和开发约占开发量的三分
7、之一。当应用系统需要在广域网运行时,随着安全需求的增加,其开发量占的比重会更大。 安全强度参差不齐:有些应用系统的安全机制很弱,如数据库系统,只提供根据用户名/口令的认证,而且用户名/口令是在网络上明文传输的,很容易被窃听到。有些应用系统有很强的安全机制,如Notes,但由于设计、开发人员对其安全体系的理解程度以及投入的工作量,也可能使不同的应用系统的安全强度会相去甚远。 安全没有保障:目前很多应用系统设计、开发人员的第一概念是系统能够运行,而不是系统能够安全运行,因此在系统设计、开发时对安全考虑很少,甚至为了简单或赶进度而有意削弱安全机制。 维护复杂:每个应用系统的安全机制各不相同,导致很多
8、重复性工作(如建立用户帐号等);系统管理员必须熟悉每个应用系统独特的安全机制,工作量成倍增加。 用户使用不方便:用户使用不同的应用系统时,都必须做相应的身份认证,且有些系统需要在访问不同资源时分别做授权(如IIS Web Server是在用户访问不同的页面时输入不同的口令,口令正确才允许访问)。当用户需要访问多个应用系统时,会有很多用户名、口令需要记忆,有可能就取几个相同的简单口令,从而降低了系统的安全性。综上,我们建议在建设XXX公司网应用系统时,采用具有以下功能的商品化的应用层安全产品作为安全应用平台。 安全应用平台自身的安全机制必须是系统的、健壮的,以免因为各种应用系统安全机制参差不齐而
9、导致系统不安全的现象出现。 安全应用平台可以集中对各种第三方应用系统进行安全管理,包括用户注册、用户身份认证、资源目录管理、访问授权以及审计记录,以减少重复劳动,减轻系统管理人员的工作负担。 安全应用平台具有可伸缩性,并且安全可靠。安全管理需求分析如前所述,能否制定一个统一的安全策略,在全网范围内实现统一的安全管理,对于XXX公司网来说就至关重要了。安全管理主要包括三个方面:l 内部安全管理:主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相
10、结合的方法。l 网络安全管理:在网络层设置路由器、防火墙、安全检测系统后,必须保证路由器和防火墙的ACL设置正确,其配置不允许被随便修改。网络层的安全管理可以通过网管、防火墙、安全检测等一些网络层的管理工具来实现。l 应用安全管理:应用系统的安全管理是一件很复杂的事情。由于各个应用系统的安全机制不一样,因此需要通过建立统一的应用安全平台来管理,包括建立建立统一的用户库、统一维护资源目录、统一授权等。第二章 安全解决方案一. 设计方案总目标 实现xxx公司网内办公环境的稳定运行; 实现xxx公司会主动式的,整体的计算机病毒防御体系; 实现xxx公司整体网络内部安全体系的构建; 实现xxx公司整体
11、网络行为审计与监控; 实现网络结构安全性改造,以使之增强网络内部病毒攻击的抵抗能力和优化性能; 实现对网络中所有设备进行统一的配置、管理和维护二设计方案指导思想2.1 总体建设推进原则xxx公司信息安全工程建设采用当前分步建设完成的方式。2.2 方案细节设计原则l 有效性方案的设计坚持有效性原则,保障按照方案进行安全项目实施后,可以按照设计的原有目标有效的实现。能够通过方案中的设备、软件、服务有效的、有针对性的解决问题,保障方案的实施效果;l 连续性方案的设计要重点强调连续性设计原则,安全问题的变化是快速的,目前,没有任何领域的知识和状态要比信息安全领域变化的更加快速,因此,方案的设计必需保障
12、连续性的根本原则。无论是信息安全评估还是计算机病毒防御系统,都需要在动态中寻求解决办法和不断地增强用户网络的安全能力。安全隐患是随着时间的变化而不断的增加的,必须按照月、季度、年为单位,采用不同等级的安全性检测和安全管理、安全制度的调整,才可以达到预计的目标,才是切实有效的满足用户单位信息安全需求;l 合理性根据信息安全评估的结论,根据用户的实际情况,编录出用户急需解决的安全隐患和用户可以暂时接受的安全风险。尽量利用用户单位原有的安全设施,在保持最小化成本的前提下,设计出完全满足用户需求的方案和解决办法,这样才是真正意义上的坚持方案设计的合理性原则,利用现有的,增加必需的,才是合理性设计的重中
13、之重;l 兼顾性信息安全与信息系统的易用性是一对矛盾的个体,信息安全能力增强了,必然带来易用性的降低。方案的设计,必须坚持在安全性与易用性兼顾的原则,在不增加现有办公与业务运行的操作难度的情况下,最大程度的增强信息系统的安全能力,否则,牺牲易用性而保障安全性,将破坏了信息化建设的宗旨提供政府单位办事效率的原则,因此,双向兼顾是方案设计的一个必须坚持的原则;l 可靠性对于服务器系统和主干网络的安全性设计,不能破坏原有系统的可靠性。安全方案的设计,必须考虑到系统的可靠运行能力,在有必要的情况下,还需要专门设计数据可靠性和服务可靠性运行方案,来保障关键业务系统的稳定、可靠运行。必须重视其能够可靠的运
14、行,对于可能影响系统可靠性的因素,必须坚持规避。三方案部署结构设计3.1设计思路目前XXX公司的当前网络系统存在的隐患和漏洞,很容易造成局域网快速瘫痪、网关拒绝服务、服务器遭受病毒入侵、客户计算机遭受病毒入侵等严重后果,直接影响了整个XXx公司日常业务运作和关键业务运行等,以及可能会造成非常不好的社会影响。为了解决这些隐患和漏洞,设计并组建高可用性高安全性信息安全解决方案。本方案特点在于通过连续性动态安全设计,最大化的保障XXx公司内部网络运行的安全性。3.2网络改造方案拓扑结构图四网络安全改造设计4.1 网络安全改造方案设计说明针对外网部分,为了减少上网感染病毒,同时减轻防火墙的压力,实现主
15、动式病毒的防御,在网关处布置防毒网关,对所有网络流量的HTTP进行检查和防毒的同时,也不会影响网速;针对内部网络部分,对内网进行VLAN划分,并进行相应的安全访问策略,阻止并减少病毒爆发和感染,使受害程度降到最低,通过天盾网络行为管理系统来对整个网络的上网行为进行有效的安全管理,并实现网络的流量控制。4.2 网络改造设计分析针对于目前XXX公司目前网络结构,对其进行各项网络规划的科学性、合理性、网络自身的安全性、抗攻击性等各项指标的综合评估,网络结构以及其应用存在着重大的隐患,各种脆弱性不稳定因素会时时困扰着威胁着整个网络。要使网络健康稳定的运行,对其进行彻底完全的改造已经是刻不容缓。首先,网
16、络的划分和隔离。所有的部门和各种关键性、非关键性业务同属一个大的局域网,此种结构不管是网络中的因广播量大导致有效负载相对较低,还是对关键性业务无重点保护等等隐患,对网络的安全和效率都是一个很大的危害,解决此问题必须做将各部门和关键性业务进行VLAN的有效隔离和划分。使关键性业务得到安全保护,避免关键业务系统因计算机病毒、蠕虫、攻击等威胁而导致业务部门业务中断。将广播域进行分割,大大提高网络的有效使用率。其次,安全策略的实施。对整网做了一个行之有效的VLAN分割固然能解决网络中的有效负载,也能对关键性业务做到一个很好的保护,但不同部门、不同业务相互访问相互交流时如果没有很好的策略来控制,会导致要
17、么不同部门、不同业务之间无法进行正常通迅,要么访问通讯完全透明,也就无任何关键性业务的安全保护之说。五防火墙子系统设计5.1设计目标 将内外网交换平台应用服务器区和外联网进行逻辑隔离,限制用户非法访问,避免受到恶意攻击非法访问、非法连接,并配置严格的访问控制策略对应用服务器区的网络访问行为进行控制和过滤。 有效抵御来自外联网络的各种攻击、访问控制,保护系统应用服务器群的安全,确保系统的可靠运行。5.2方案设计拓扑本方案中部署了一台高性能防火墙,部署在外联网和应用服务器区网络之间。5.3 防火墙技术防火墙是指设置在不同网络(如可信任的组织内部网和不可信任的公共网)或网络安全域之间的一系列部件组合
18、。防火墙通常位于不同网络或网络安全域之间信息的唯一连接处,根据组织的业务特点、行业背景、管理制度所制定的安全策略,运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术,实现对出入网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测),控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。防火墙本身必须具有很强的抗攻击能力,以确保其自身的安全性。防火墙可实现以下的基本功能。l 监控并限制访问针对黑客攻击的不安全因素,防火墙采取控制进出内外网的数据包的方法,实时监控网络上数据包的状态,并对这些状态加以分析和处理,及时发现存在的异常行为;同时,根据不同情况采
19、取相应的防范措施,从而提高系统的抗攻击能力。l 控制协议和服务针对网络协议设计的先天缺陷,防火墙采取控制协议和服务的方法,使得只有授权的协议和服务才可以通过防火墙,从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。l 保护网络内部针对软件及系统的漏洞或“后门”,防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构,其自身建立在安全操作系统之上;同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏洞,进行访问上的限制;防火墙还可以屏蔽受保护网络的相关信息,使黑客无从下手。l 日志记录与审计当防火墙系统被配置为工作在不同安全域之间的关键节点时,防火墙系统就能够对不同安
20、全域之间的访问请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析,掌握网络的运行状态,继而更加有效的管理整个网络。针对内外网数据交换平台的具体情况,我们得到对防火墙的需求包括以下几个方面:l 访问控制防火墙必须能够实现网络边界的隔离,具有基于状态检测的包过滤功能,能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制,能够实现邮件内容过滤,支持网络地址转换等功能。l 高效率由于防火墙被部署在不同安全域之间的关键节点上,因此从某种意义上讲,防火墙的工作效率就决定了网络的
21、工作效率,所以采用的防火墙设备必须有较高的工作效率,确保网络原有的吞吐率、延迟等重要的指标尽量不受到防火墙的干扰。l 高可靠性由于防火墙是网络中的重要设备,意外的宕机都会造成网络的瘫痪,因此防火墙必须是运行稳定,故障率低的系统,并且要求能够实现双机热备,最好能够实现防火墙集群技术,以保证不间断的网络服务。l 日志和审计要求防火墙能够对重要关键资源的使用情况应进行有效的监控,防火墙系统应有较强的日志处理能力和日志分析能力,能够实现日志的分级管理、自动报表、自动报警功能,同时希望支持第三方的日志软件,实现功能的定制。l 高安全性作为安全设备,防火墙本身必须具有高安全性,本身没有安全漏洞,不开放服务
22、,可以抵抗各种类型的攻击。可以有效抵抗拒绝服务攻击的能力,防范攻击者利用TCP/IP协议自身弱点发起对公安专网系统的攻击。l 可以扩展系统的建设必须考虑到未来发展的需要,系统必须具有良好的可扩展性和良好的可升级性。l 易于管理系统的安装、配置与管理尽可能的简洁,安装便捷、配置灵活、操作简单。5.4方案推荐产品天融信(根据具体情况选择型号)六网关安全子系统设计6.1方案概述众所周知,病毒、间谍软件、垃圾邮件以及不适当的内容会破坏业务运营,并对员工生产力造成影响。这些隐藏在电子邮件或网页中的威胁消耗着系统和网络资源,并增加了支持成本。此外,网络钓鱼攻击会使用虚假电子邮件窃取身份,而一些间谍软件则偷
23、取财务或其他保密资料。在各种安全威胁损害网络之前,就在网关处提供全面而综合的保护。通过减少支持电话、提高员工工作效率、自动清除威胁以及保护网络资源,是建立网关安全解决方案的目标。6.2 方案设计拓朴6.3方案设计说明杀毒软件作为桌面级产品,受限于操作系统,目前很多病毒进入计算机后杀毒软件即使查到也无法清除,并且已经出现了“杀”杀毒软件的病毒。因此需要在网关处部署一道防毒硬件设备,在病毒进入到客户机之前就把病毒数据过滤掉,需要具备如下特点:1易于部署,总体拥有成本低2安装部署容易,有效降低服务负担与管理成本 3过滤恶意网站以及阻挡不当下载 4透过细项管理政策与丰富的报表,降低管理复杂度 5针对间
24、谍软件提供多层级的安全防护 6集成网络安全策略,阻挡间谍程序与其它的安全威胁 7高效能扫瞄 HTTP 及 FTP 的网络流量 功能特点:全合一的网关安全防止多种威胁和不适当内容进入网络l 反间谍软件 n 网关过滤,降低桌面端间谍软件清除负担n 自动阻断间谍软件Phone Home,保护企业机密信息不外泄n 提高员工生产力 l 病毒实时过滤 n 采用趋势科技Intelli-trap技术,对已知和未知病毒进行防范n 降低桌面端恶意软件清除成本,保证业务连续性l 反网络钓鱼 n 防护目前比较流行的phishing攻击,阻止客户访问钓鱼网站n 避免公司财务损失l URL filtering n 控制员
25、工Internet访问的时间、范围和访问量n 改善员工生产力,避免工作时间访问无关网站n 限制法律影响 l 病毒邮件过滤n 限制法律影响 n 强制邮件收发规范,可以对内容、关键字进行过滤,也可以对附件进行管理l 损害清除服务n 发现中毒机器后,自动调用损害清除服务DCS进行远程清除n 减轻管理员工作压力l 病毒爆发防护策略n 及时部署防护策略,限制病毒爆发影响范围 n 保护基础网络设施,应对最新病毒威胁n 独一无二的快速响应机制l 部署简便、易于管理n 基于web的远程管理配置及自动更新n 在不改变硬件的情况下实现轻松升级,减少IT管理员负担n 补充已有防火墙和虚拟专用网的安全防护n 为硬件、
26、软件和可用的长期担保提供一站式支持6.4方案推荐产品安启华防病毒网关(根据具体情况选择型号)七. 网络行为管理解决方案7.1方案综述随着网络的发展,对信息的安全和管理层次也提出越来越多的挑战,我们有个统计: 98.2 的用户使用杀毒软件; 90.7 有设防火墙; 75.1 使用反间谍程序的软件。但在过去 12 个月内: 83.7 的用户遭遇过至少一次病毒、蠕虫或木马攻击事件; 79.5 遭遇至少一次间谍程序攻击事件。(来源:美国联邦调查局计算机犯罪调查)。这是因为很多安全事件是由使用者自己的行为和习惯造成的,以下的六大行为是很多网络管理问题的根源: 造成效率低下的行为:娱乐购物网站、聊天、实时
27、通信、在线游戏、非法程序、招聘网站 造成性能恶化的行为: BT 、 emule 、 FTP 、 MP3 、网络蚂蚁、视频、音乐 造成管理问题的行为: IP 地址随意变动、非法计算机接入、身份认证、流量分析 造成法律问题的行为:在线博彩、知识产权、色情网站、传播谣言和邪教 造成机密泄露的行为:通过 Email 、 MSN 、 Web Mail 、 FTP 或者移动硬盘造成机密泄露造成安全问题的行为:网页和邮件中潜伏着病毒、木马、间谍程序、 ActiveX ,非法安装程序和文件操作为使网络高效率高性能高可管理性高安全性的运行,减少由于上网造成法律问题和机密泄露等问题,对网络的行为管理已是目前网络不
28、可或缺的一部分。7.2方案设计拓朴7.3方案设计说明建设网络行为管理系统,配置如下策略以实现如下目标:1. 审计查询功能2. 过滤封堵功能3. 桌面行为管理功能4. 上网权限管理5. 详细的报告分析6. 多样的网络管理功能7.4方案推荐产品天盾网络行为管理系统(根据具体情况选择型号)八内网ARP防护解决方案8.1方案综述网络上利用ARP欺骗传播病毒、盗取网银信息的木马程序越来越多,盗取金额竟上亿元,防范ARP欺骗已成燃眉之急。ARP欺骗有两种攻击:一种是对路由器(网关)的欺骗,另一种是对内网计算机的欺骗。当然也可能两种攻击同时进行。不管怎么样,欺骗广播发送后,计算机和路由器之间发送的数据包就可
29、能被送到错误的MAC地址上。从表面上来看,就是上不了网或打开的网站都有病毒。上网的计算机若没有及时更新系统补丁,就很容易感染病毒,网络用户的安全信息也很容易被盗。由此可看出ARP欺骗对局域网计算机安全影响巨大,已成为目前影响网络正常运行的主要因素。8.2方案设计拓朴8.3方案设计说明根据局域网的规模,将其分为了多个安全区域,保证一个区域网络病毒爆发不会影响其他区域,并将所有客户端ARP表中的动态网关等IP/MAC地址更改成静态地址,由防毒墙统一进行管理,这样ARP Cache中的MAC地址就不能够被修改,实现防御功能;同时,防毒墙可以阻止客户端发出ARP攻击包,并可以确认是哪台计算机在发送AR
30、P攻击包,第一时间将信息反馈给管理员;在定位到某个进程发送ARP攻击包后,防毒墙可以通过内部机制将发送ARP攻击包的进程清除掉,从而从根本上解决ARP病毒问题。对ARP病毒的防护贯穿了保护、定位、处理三个环节:保护是使用IP和MAC地址绑定的方式实现;定位是使用抓包工具进行分析。处理是在找到攻击源后进行,将此计算机从网络剥离然后手工处理、提交样本给防病毒厂商。从而彻底解除ARP病毒的威胁。8.4方案推荐产品趋势NVW2500九网络运维管理系统解决方案9.1方案概述在大中型网络管理中,很多情况下我们会碰到这些情况:l 网络内多厂商多平台的设备我怎么管理,能实现透明化管理吗? l 我的网络很大,覆
31、盖地域广,能管到最基层网络吗? l 网络里产生病毒,有人大流量下载。我面对网络里无数的终端设备怎么定位? l 我怎么才能在电脑面前就能达到机房巡检的效果以提高工作效率? l 万一网络发生问题怎么第一时间能通知我?是不是有办法在设备出问题前就预警? l 怎么样能解决我网络安全问题,使非法设备无法在我网络使用? l 是不是能在一张拓扑图内让我把网络和服务器一起管掉这样就省心了?我们推荐使用北塔网络运维管理系统,来解决以上突出的问题9.2方案设计使用一套网络运维管理系统,采用目前为止最先进的网络管理技术,以用户的网络、线路以及服务器、路由器、交换机、计算机等等的日常运作管理为着眼点,很有效的帮助网络
32、管理人员从根本上提高网络利用率和网络服务的质量。1、 全面透明的综合管理:能够采用多种算法、迅速搜索整个网络内的所有节点、自动勾画出整个网络的准确第二层拓朴图物理拓扑图,包括设备间的冗余连接、备份连接、均衡负载连接,网络用户可以为每条设备间连接加以注释,为每台设备设置中文设备名称,监测网络中每台设备的名称、IP地址、类型、厂商等,并能够自动辨别线路连接类型。 如下图:2、 全面监控网络支持跨地域的多层网络:BTNM支持分层、跨地域的管理,透过使下属单位的网络实时物理拓扑结构,各个层次的相对独立性,上级部门在需要时可以对下级部门进行管理,保证了整个网络管理的统一性和完整性。在了解信息的深度与广度
33、上与本地管理非常接近。同时,BTNM支持建立拓朴子图和缩略图(双击可以展开显示),可以对拓朴图进行分布或集中式的监控。如下图:3、 真实可用的管理面板BTNM网络资源管理系统是一个基于SNMP管理协议开发的跨厂商,跨平台的通用网络管理系统,与cisco、Baynetworks、Juniper、Foundry、Extreme、Avaya、3COM、Intel、Fore、Marconi、CableTron、Motorola、F5、华为、港湾、迈普、SVA上广电、联想、神州数码、D-Link、Accton、TCL、博达、Nokia、Netscreen、天融信等厂商有着良好的合作关系,基本全面支持上述
34、产品。BTNM更时可以在设备图标上通过双击图标直接进入设备面板管理、用户分级管理、端口流量管理;支持设备堆叠显示。在设备面板图上真实、实时地显示设备各端口连接状态。对于某个具体端口,BTNM提供与该端口连接的主机名称、相对应的IP地址、MAC物理地址。对于某个具体端口,BTNM可以提供端口关断与启用操作。非常的简便实用。 如下图: 4、 BTNM系统真正实现了“机房无人值守”,BTNM配置了强大的预警和告警系统,它可以对网络中的异常情况进行告警,也可以对网络服务器的有关进程和访问情况进行预警,同时BTNM系统还通过模拟用户实际访问行为的应用行为监控,来实现对整个应用系统及数据库系统的监控,用户
35、只要将告警条件设好,BTNM系统就能够通过手机短消息、前台中文语音、系统消息框、电子邮件等多种方式第一时间向有关管理人员进行告警通知,并可自动执行相关恢复性操作。 另外BTNM不仅仅是提供了强大的告警功能更能基于事前管理,提供网络健康侦测,自动综合相关历史、实时数据,动态检测网络性能异常,捕捉故障征兆,防患于未然。如下图:5、 高级服务器管理功能BTNM网络运维管理专家能够以表格的方式实时显示服务器的所有进程运行情况,包括进程名称、CPU利用时间、CPU占用情况、当前内存占用情况、运行状态等等,为用户分析服务器的当前运行情况提供详细的实时数据来源。BTNM网络运维管理专家自动每分钟从服务器上获
36、取最新的进程运行数据,提供各进程的运行趋势分析图,包括进程的CPU占用趋势图、物理内存利用率趋势图,方便管理人员查看各进程一段时间以来的运行情况。如图:6、 多种数据流量分析管理 BTNM网络运维管理专家提供DATAFLOW数据流方式提供的数据源,通过分布式的数据流分析探针(纯软件,安装在网管机之外的 Windows 2000 / XP主机上支持分散、多个安装在网络的不同位置,支持Dataflow、Net flow、Sflow),从BTNM 网管机下载数据分析规则,接受自动分析调度、上传分析结果的分析处理与告警策略监视,从而动态、全面地了解网络流量的分布。BTNM数据流分析功能的设计有别于Sn
37、iffer等分析工具,无须专业背景,注重24小时自动进行数据分析,捕捉网络数据异动-病毒扫描、网络攻击。BTNM支持跨IP网段分析捕捉各类异常网络数据流,提供2-7层的数据分析,一旦捕捉到问题特征,在任何时刻均保留“此刻以前10分钟原始数据”以供事后分析,避免了异常事件转瞬即逝的困境,可以进行“数据回放”分析。帮助事后分析问题。极大的方便客户对业务数据流的分析。 如下图:7、 完善的报表分析 BTNM提供各类图表,各类均量、趋势、统计等数据,依据不同的分析角度进行原始数据预筛选、处理,依据不同对象准备标准分析方法,用户可自定义报表表现形式,依据不同需要进行报表的编辑处理,依据用户分析思路开放各
38、类分析工具-提供“简洁明了”“一语中的”“有事实,有结论”的 运行分析报告。并且可以在任何时候对同一元素、同一时间段的数据进行各种不同粒度的关联分析,避免那种只保存即时报表结果所造成的无法进一步分析的困境。8、 确保网络安全。 配合网络安全管理BTNM提供在单台或者多台网络管理机组成的跨地域的管理区域内,提供全网的IP定位、MAC定位、IPMAC绑定解决安全隐患排障的最后一公里问题:问题的对象现在连接在网络的哪里。另外为了确保网络安全BTNM还提供了其他一些工具来实现例如: IP地址分布查询:输入网段就可以以图形的方式显示出该范围内已使用和未使用的IP地址分布情况。服务分布查询:定义好要查询的
39、服务端口,输入网段,就可以以图形的方式显示出该范围内已打开和未打开的该服务的地址分布情况,宏观的了解整个网络。使用该工具的一大好处就是可以快速发现网络中是否存在后门及安全隐患。这些都使BTNM为网络武装一层盔甲是网络的使用更加的安全。如下图:9、 机房环境的监测 对于一个大型网络都会有自己的IDC中心,这时候IDC的机房环境就变的非常的重要了。BTNM能够很贴心的帮您解决从IDC环境监测到UPS的各种状态,为IDC提供了强有力的运行保障。 BTNM温湿度感应监测器是BTNM环境监测系统的物理探头,可以安装在任何需要实时监测环境温度、湿度的地方,数量不受限制,分布地域不受限制。BTNM温湿度感应
40、监测器采用以太网络RJ45接口,可以设置IP地址、网关地址,通过计算机网络,在TCP 10050(缺省)端口 异地、远程接受BTNM环境监测系统的数据采集,可以对每一不同感应监测器支持设置不同监视、告警门限,支持短消息等告警方式,支持告警时驱动第三方应用程序以采取不同的响应策略。十网站防篡改、防攻击解决方案10.1 方案综述WEB应用的发展,使网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击,例如网页被挂马、网站SQL注入,导致网页被篡改、网站被查封,甚至被利用成为传播木马给浏览网站用户的一个载体。在那些黑客的眼里,网站并非是一个提供互联网服务和信息交流的
41、平台,反而成为可以被低成本利用获取价值的一个途径。我们看看当前网站安全状况,数字的增长速度令人震惊。具不完全统计,这几年中国大陆网站入侵导致网页被篡改成倍增长;2007年仅网页篡改已经是2004年的30倍,达到61228,这还不包含未被官方披露的数字。还有很多网站被黑客所利用,进行网页挂马,导致浏览这些网页的人自动被种植木马。可以说经常上网人几乎都遭遇过网页木马,轻则使系统异常、成为黑客们的傀儡终端,重责导致个人敏感数据被盗。以下只是曾经被媒体披露过的一部分事件。2006年,河南省政府网主页篡改;2006年,数字安徽网、中国银联、必胜客&肯德基网页挂马;2006年,河南省人事厅黑客入侵;200
42、7年,成都市档案局网站主页篡改;2007年3月30日,东方卫士网站网页挂马;2007年8月11日,海尔官方网站网页挂马;2007年10月25日,木蚂蚁绿色软件园网页挂马2007年12月22日,千千静听官方网站网页挂马;2008年1月11日,绿色软件网网页挂马;2008年4月16日,酷狗网网页挂马;2008年4月19日,红心中国我赛网主页篡改。10.2 方案设计拓扑10.3 方案设计说明本方案拟采用软件/硬件相结合的方式(相似的软/硬件组合方案已经应用于众多客户,如:浙江省科技厅、财通证券、金华政府信息中心等),实现对XXX公司网站的安全防护,具体包括:n 部署一台明御WEB应用深度防御系统对X
43、XX公司网站进行保护,即对网站的访问进行7x24小时实时监控与防御。(注:该系统已经使用于浙江省科技厅、浙江省教育考试院、浙江电信、中信银行、财通证券等)。通过WEB应用深度防御系统的部署,可以解决XXX公司网站所面临的各类网站安全问题,如:SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响政府形象的安全事件发生。n 在WEB服务器上,分别部署一套网站防护软件,对XXX公司网站实行7X24小时的实时监控及防御,保护相关栏目的页面不被篡改,避免网页篡改给XXX公司带来的形象损害,解决网站面临的WEB攻击
44、、网页挂马等安全问题。(注:该系统已经使用于浙江省交通厅/浙江省文化厅/浙江省国资委/浙江省外事办/浙江省信息产业厅/浙江省国税等)。通过明御WEB应用深度防御系统的部署,完全解决XXX公司网站所面临的各类WEB应用攻击,包括已知攻击(如:注入攻击、跨站攻击、表单绕过等)、变形攻击及未知攻击,同时可以达到实时监控和事后追溯准确分析的完整解决方案。明御WEB应用深度防御系统的优势和功能在于:n 全方位的攻击防护:防止各类对网站的恶意攻击和网页木马等,确保网站安全健康运行;n 不仅能够保护网站代码防止受到诸如跨站脚本、SQL注入、恶意文件包含等等已知及未知攻击,还可以限制未授权用户透过网站访问数据
45、中心,防止不明入侵者的所有通信流程。n 高效力的事件追溯:依靠高速环境下的线速捕获技术实现100%的数据捕获,通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证据。n 对各类访问流量进行7x24小时监控;n 高性能:该系统不影响任何目前的网站系统的性能,同时流量处理性能高;n 部署灵活:旁路部署模式,在无需更改现有网络结构及应用配置的情况下,可以对网站应用实时监控;同时,对于高风险事件,可能通过与交换机联动的方式,实施实时阻断操作(此类部署方式应用于:浙江省电信、中信银行、财通证券等多个客户)通过网站卫士软件的部署,可以解决XXX公司网站所面临的注入攻击、跨站攻击、网页挂马、
46、页面被篡改等安全问题。明御网站卫士防篡改软件的优势和功能在于:n 防攻击:通过多层次的安全检测,大大增强了Web服务器的安全性,有效解决了注入攻击、钓鱼攻击、网站挂马等安全问题。 全面遏制针对网站的各类WEB应用攻击; 多层次的安全分析:通过对URL分析、文件扩展名分析、Cookie检测、用户帐号检测、浏览器头信息检测、提交内容检测等有效防御网站攻击; 对各类访问进行7x24小时监控,发现攻击行为及时阻断;n 实时的网站防篡改: 采用最先进的底层文件级保护技术实现对指定目录或文件的权限控制,实时阻断对网站文件的非法操作; 基于内置的安全模板、完全自定义的安全策略、线速过滤技术全面保护网站的静态
47、/动态页面,防止站点文件被恶意篡改。 对网页内容进行实时的操作监控,发生非法操作及时告警或阻断;n 避免网站下线,降低无形资产损失,提升用户形象;n 确保业务可持续性、避免客户流失和交易纠纷;十一. 反垃圾邮件方案11.1 方案综述中国互联网协会反垃圾邮件小组负责人任金强博士公布了国内首次垃圾邮件调查报告,结果显示,我国网民每人每天用于处理垃圾邮件的时间平均为3.65分钟,每年浪费在处理垃圾邮件上面的总时间高达15亿小时。报告显示,目前中国网民每年收到的垃圾邮件总数为460亿封,约占全球垃圾邮件的10.4%,垃圾邮件给我国造成的经济损失高达63亿元人民币。而且,垃圾邮件在我国还以每年30%的速度持续增加。我国垃圾邮件的类型主要是网上购物、网上赚钱、情趣用品和其它广告信息,其
