某某XX报社网络安全方案建议书2.0

撰写人：_日 期：_海南日报社网络安全整改方案建议书联系信息关于本文中的任何信息，请联系工程师王磊，详细联系方式为：电话：0898-68592015手机：电子邮件：wanglei版本历史版本日期备注2.02010年12月第2版免责声明本文档不得视为或解释为海南神州希望网络有限公司和客户之间有效而且有约束力的协议。文档根据从客户处获得的信息而编制，海南神州希望网络有限公司对本文档内容的准确性、完整性或充分性或文档的使用不做任何担保，而且特别明确表示，对于本文档的适销性和对特定目的的适用性，不做任何明示或暗示的担保。此外，海南神州希望网络有限公司保留修订本文档及其内容的权利。版权 2010版权所有。未经海南神州希望网络有限公司同意，严禁复制或者修订本文档的任何内容。用户仅能够在内部复制和传播。一、背景4二、海南日报社网络安全现状52.1网络现状52.1网络发展5三、安全需求分析63.1、系统层安全分析63.1.1、主机系统风险分析63.1.2、病毒入侵风险分析63.2、网络层安全分析63.2.1、网络边界风险分析63.2.2、数据传输风险分析63.2.3、网络入侵风险分析73.3、应用层安全分析73.4、管理层安全分析7四、方案设计思路84.1、设计模型84.2、安全域保护94.3、参考标准11五、方案设计原则12六、 技术实现136.1、通信网络安全136.2、网络资源管理系统156.3、上网行为管理15七、 设备部署说明15八、 建设设备选型188.1、UTM 统一安全网关推荐188.2、入侵检测系统推荐208.3、入侵防御系统推荐238.4、上网行为检测248.5、网络资源管理系统278.5、内网安全风险管理31附录：关于海南神州希望网络有限公司35一、背景随着信息化的日益深刻，信息网络技术的应用日益普及，网络安全问题已经会成为影响网络效能的重要问题。而 Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。海南日报社秉着向人民群众宣传党的路线、方针、政策，传播政治、经济、文化信息。坚持政治家办报方针，坚持正面宣传为主，坚持正确的舆论导向的办报的宗旨为海南的两个文明建设努力创造有利的舆论环境。经过多年发展，南海网已经成为海南最有影响力的新闻门户网站。与此同时，海南日报计算机信息化的建设也紧锣密鼓的进行，在数字化出版、发行、采编等各个方面均有较为全面的应用。但是敏感信息一旦泄露、黑客的侵扰以及计算机病毒等，都将对其业务造成重大影响，甚至对社会利益造成巨大损失。如何使报社信息网络系统不受黑客和病毒的入侵，如何保障数据传输的安全性、可靠性，是报社信息化过程中所必须考虑的重要事情之一。海南日报社领导也非常重视安全问题，希望能够通过专业厂商为海南日报社规划合理、有效、全面的安全解决方案，搭建整体的网络安全体系，从而对海南日报社的信息系统和数据服务中心进行有效的安全保护。4精品范文模板 可修改删除二、海南日报社网络安全现状2.1网络现状海南日报社网络系统是是一个覆盖全楼的局域网络，它包含如下几个区域： 一是楼层汇聚区域，主要负责数据转发和策略设置。二是核心交换区，实现骨干网络之间的优化传输，实现冗余、可靠性和高速的传输。三是数据中心服务区和DMZ区，是报社核心数据的存储和交互区域。四是外出移动办公用户，实现数据信息及时发布到业务系统。2.1网络发展随着业务的发展，海南日报社网络系统原有的基于内部网络的相对安全将被打破，无法满足业务发展的安全需求，急需重新制定安全策略，建立完整的安全保障体系。现阶段，海南日报网络结构如下图所示： 三、安全需求分析3.1、系统层安全分析 3.1.1、主机系统风险分析 海南日报社网络中存在不同操作系统的主机如 MAC、Windows 这些操作系统自身存在许多安全漏洞。 3.1.2、病毒入侵风险分析 病毒的具有非常强的破坏力和传播能力。越是网络应用水平高，共享资源问频繁的环境中，计算机病毒的蔓延速度就会越快。 3.2、网络层安全分析 3.2.1、网络边界风险分析 网络的边界是指两个不同安全级别的网络的接入处，包括同 Internet 网的接入处，以及内部网不同安全级别的子网之间的连接处。对于海南日报社信息系统网络边界主要存在于 Internet 接入外部网络的连接处和内部网络中办公系统和业务系统之间。3.2.2、数据传输风险分析 在外出移动办公用户和内网OA有关键数据的传输，在这之间存在数据传输的安全风险。3.2.3、网络入侵风险分析 由于直接连接外网，所以面临着各种入侵的风险，如何发现隐藏在正常数据包中的攻击行为将是网络安全面临的问题。3.3、应用层安全分析 应用层安全是指用户在网络上的应用系统的安全，包括 WEB、FTP、邮件系统、DNS等网络基本服务系统、业务系统等。在海南日报社网络主要运行着：业务系统、办公自动化系统等；各应用包括对外部和内部的信息共享以及各种跨局域网的应用方式，其安全需求是在信息共享的同时，保证信息资源的合法访问及通信隐秘性。 3.4、管理层安全分析系统的安全保障最终来自于严格完善的安全管理，网络中面临的安全管理风险有： 安全管理制度问题 存在着由于管理制度不健全或不落实，造成信息由内部人员有意或无意通过网络传播或扩散出去，造成严重的影响和损失的可能性。 安全管理人员问题 信息安全管理人员需要对网络系统、应用系统和安全管理具有深厚的理论知识和丰富实践经验，存在着缺乏足够的安全管理人员的风险。 统一安全管理问题 办公网中将存在多种信息安全设备，多种技术和产品多层面、分布式共存不同厂商的不同产品产生大量不同形式的安全信息，使得整个系统的相互协作和集中管理成为安全管理的难点。 四、方案设计思路4.1、设计模型 随着对于网络系统的攻击日趋频繁，安全概念不仅仅局限于信息的保护，人们需要对整个信息和网络系统的保护和防御，以确保自身安全性。 目前安全模型已经从以前的被动保护转到了现在的主动防御，强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护（Protection）、检测（Detection）、响应（Reaction）的安全模型。上个世纪 90年代末， ANS联盟在 PDR模型的基础上建立了新的 P2DR模型。该模型是可量化、可由数学证明、基于时间的、以 PDR为核心的安全模型。这里 P2DR 是策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）的缩写。如下图所示。 策略（Policy）策略是 P2DR 模型的核心，所有的防护、检测、响应都是依据策略。它描述系统中哪些资源要得到保护，以及如何实现对它们的保护等。 防护（Protection）防护是主动防御的防御部分，系统的安全最终是依靠防护来实现的。防护的对象涵盖了系统的全部，防护手段也因此多种多样。 检测（Detection）检测是动态响应和加强防护的依据。通过不间断的检测网络和系统，来发现威胁。 响应（Response）响应是主动防御的实现。根据策略以及检测到的情况动态的调整防护，达到主动防御的目的。信息系统的安全是基于时间特性的，P2DR 安全模型的特点就在于动态性和基于时间的特性。我们可以通过定义下列时间量来描述 P2DR模型的时间特性。 防护时间Pt：表示从入侵开始到侵入系统的时间。防护时间由两方面共同决定：入侵能力，防护能力。高的入侵能力和相对弱的防护能力可以使得防护时间 Pt缩短。显然防护时间越长系统越安全。 检测时间Dt：表示检测系统发现系统的安全隐患和潜在攻击检测的时间。改进检测算法和设计可缩短 Dt。 响应时间Rt：表示从检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。一个监控系统的响应可能包括见识、切换、跟踪、报警、反击等内容。而安全事件的事后处理（如恢复、总结等）不纳入事件响应的范畴之内。 暴露时间Et：表示系统处于不安全状态的时间。 可以定义 EtDtRtPt。显然 Et越小表示系统越安全，当 Et0时，可以认为系统是安全的。 随着技术的进步，人们在 P2DR 模型以后又提出了 APPDRR 模型，即在 P2DR模型中加入恢复（Recovery）手段。这样一旦系统安全事故发生了，也能恢复系统功能和数据，恢复系统的正常运行。4.2、安全域保护对信息系统进行安全保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全建设的首要步骤。安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。对信息系统安全域（保护对象）的划分应主要考虑如下方面因素：1) 业务和功能特性 v 业务系统逻辑和应用关联性 v 业务系统对外连接：对外业务，支撑，内部管理 2) 安全特性的要求 3) 安全要求相似性：可用性、保密性和完整性的要求 4) 威胁相似性：威胁来源、威胁方式和强度 5) 资产价值相近性：重要与非重要资产分离 3) 参照现有状况 v 现有网络结构的状况：现有网络结构、地域和机房等v 参照现有的管理部门职权划分海南日报社的信息安全网络，应依据网络现状、业务系统的功能和特性、业务系统面临的威胁、业务系统的价值及相关安全防护要求等因素，对网络进安全域的划分。根据以上安全域划分考虑因素及示意图， 针对海南日报社网络安全保障体系系统建设，划分安全域如下图，以实现按需防护的建设理念。4.3、参考标准 技术标准信息系统安全等级保护基本要求（GB/T 22239-2008） 信息系统安全等级保护定级指南（GB/T 22240-2008） GB/T 18336 信息技术 安全技术 信息技术安全性评估准则（等同采用ISO/IEC 15408） ISO/IEC 15408（CC）信息技术安全评估准则 管理标准信息系统安全等级保护基本要求ISO/IEC 17799:2005信息安全管理体系实施指南（采用BS 7799-1）ISO/IEC 27001:2005信息安全管理体系规范（采用 BS 7799-2）ISO/IEC 13335信息技术安全管理指南五、方案设计原则在设计技术方案时要遵从以下原则： 实用性原则 安全体系建设将始终遵循“面向应用，注重实效”的指导思想。紧密结合现有网络和应用情况，充分保证原有系统和结构的可用性。 完整性原则 网络安全建设必需保证整个防御体系的完整性。在安全体系建设中，我们采取多种安全防御的技术和措施来保障网络系统安全运行。 整体均衡原则 要对信息系统进行全面均衡的保护，要提高整个信息系统的安全最低点的安全性能，保证各个层面防护的均衡。 安全目标与效率、投入之间的平衡原则 要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安全而牺牲效率，或投入过大。 区域等级原则 要将信息系统按照合理的原则划分为不同安全等级，分区域分等级进行安全防护。 动态发展原则 安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程，所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。 v 节省投资原则 在满足上述原则的基础上，应尽量作到节省设备采购投资，不要形成一种“用价值10 元的设备来保护价值 5元 的资产”的局面。六、 技术实现6.1、通信网络安全 普通计算机通信网络安全主要保障普通计算机通信网络的正常运行，为各种终端提供数据交换。应该根据安全域划分的结果，根据安全域所需的安全防护水平，按需选择访问控制、入侵检测与防护、攻击防护、病毒集中过滤、安全隔离等防护措施，实现对信息资产针对性的防护。网络安全防护设备对进入安全域的数据进行分析、过滤、隔离、监控，防范恶意攻击和非法访问。当攻击发生时，能实时、准确地判断出攻击的来源、手段、攻击点、危害情况。根据海南日报社中普通计算机通信网络的规模和相关要求， 应按需部署防火墙、入侵防护系统、统一威胁管理系统、入侵检测系统、网络安全审计五类设备：a) 防火墙 防火墙主要实现访问控制功能，防火墙根据安全策略控制（允许、拒绝、监视、记录）不同安全域之间的访问行为，将安全域进行分隔，并能根据系统的安策略控制进出网络的信息流。通过制定严格的访问控制策略，实现只有授权用，可以访问特定的资源。对于越权访问的行为，及时发现并阻断。 b) 入侵防护系统 入侵防护系统（IPS）是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。c) 统一威胁管理系统 UTM 在海南日报的部分安全边界的防护上，可依据自身建设需求、保护对象的防护需求，选择防火墙、IPS、防病毒网关、上网行为审计、防垃圾邮件、VPN 中的一种或多种产品的组合，来达到对保护对象深度防护的目的。如果防护需求是多样的，分别采购防火墙、IPS、防病毒网关等设备可能会对建设成本和管理带来问题。在这种情况下，可以选择集多项安全功能于一体的统一威胁管理（UTM）设备，来实现同样的建设和防护目标。在安全域边界上部署UTM，可以根据保护对象所需的安全防护措施，灵活的开启防火墙、IPS、防病毒、内容过滤等防护模块，实现按需防护、深度防护的建设目标。采用UTM设备来构成本方案的核心产品，既有效节约了建设资金，又达到了更好的防护效果。UTM设备应同时具备防火墙、IPS、VPN、防病毒网关、内容过滤的功能。并且需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。d) 入侵检测系统 网络入侵检测能够自动探测网络流量中可能涉及潜在入侵、攻击行为，为网安全提供实时入侵检测及采取相应的防护手段，如记录异常行为、多种方式实时报警、阻断攻击通讯等，主要用于识别防火墙通常不能识别的攻击，提供主动的网络保护。 网络入侵检测系统的主要功能： 1) 监视、分析用户及系统活动； 2) 识别反映已知进攻的活动模式并向相关部门报警； 3) 异常行为模式的统计分析； 4) 评估重要系统和数据文件的完整性； 5) 操作系统的审计跟踪管理，并识别违反安全策略的行为； 6) 与防火墙联动，并接受安全管理中心的管理。 e) 网络安全审计 网络安全审计系统对进出局域网的信息和局域网内部服务器的安全性进行监控，通过对网络传递的信息进行审计和监控，发现可疑的破坏行为，并对这些破坏行为采取相应的措施，如进行记录、报警和阻断等，是网络安全保障的一个不可或缺的方面。网络安全审计系统与防火墙、入侵检测的区别主要是对网络的应用层内容进行审计与分析。 f) 内网安全风险管理内网安全涉及到最多就计算机终端准入控制机制，完善的准入控制应该从终端层到网络层，再到应用层和边界层，提供了客户端准入、网络准入和应用准入等多种准入控制手段，确保只有通过身份验证和安全状态检查的计算机终端才能接入内网并进行受控访问，对非法的或存在安全隐患的计算机终端进行隔离和修复，构建出完善的“内网安检系统”，从源头上有效减少内网安全漏洞。6.2、网络资源管理系统网络资源管理系统基于SNMP管理协议，并能够跨厂商、跨平台迅速搜索整个网络内的所有节点、自动勾画出整个网络的准确第二层拓朴图物理拓扑图，包括设备间的冗余连接、备份连接、均衡负载连接，网络用户可以为每条设备间连接加以注释，为每台设备设置中文设备名称，监测网络中每台设备的名称、IP地址、类型、厂商等，并能够自动辨别线路连接类型，对突发事件，及时定位。6.3、上网行为管理上网行为管理能够以各种图形、表格等方式让管理员快速的了解网络设备当天的运行情况、内网用户的网络访问情况、带宽资源的利用情况、策略的监控结果等。并可设置过滤条件，迅速查看到匹配的监控结果。七、 设备部署说明根据以上安全域划分情况，对各个域进行设备部署7.1、数据中心服务器区UTM部署用户面临的问题与挑战： 网段之间边界不够清晰，控制力度弱，病毒、攻击等安全事件容易扩散； 重要信息服务器存在安全风险； 访问控制系统可以静态的实施访问控制策略，防止一些非法的访问等。 边界复杂，缺乏对边界策略的统一控制； 网络病毒，木马利用网络大肆传播； 存在IM/P2P影响工作效率和组织生产力； 垃圾邮件防不胜防，成为病毒、木马传播的新载体。 需要对终端用户方便地进行管理和审计，对用户进行准入控制针对以上面临问题，使用天清汉马USG一体化安全网关有如下功能对问题进行解决：2) 完善的防火墙特性 支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制 支持流量管理、连接数控制、IP+MAC绑定、用户认证等3) IPS-坚固的防御体系 业界最完善的攻击特征库，包括50多类，超过2000项的入侵攻击特征 漏洞机理分析技术，精确抵御黑客攻击、蠕虫、木马、后门 应用还原重组技术，抑制间谍软件、灰色软件、网络钓鱼的泛滥 网络异常分析技术，全面防止拒绝服务攻击4) 业界领先的网络防病毒技术 文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件，病毒库总计150,000 病毒类型根据危害程度划分为：流行库、高危库、普通库5) 简单高效的内网安全 统一的安全防护体系：安全边界延伸至终端，实现基于“网关”的网络防火墙和基于“终端”的主机防火墙双重融合。 增强的上网行为管理：将上网行为的控制与流量管理细化至主机进程级，控制精度进一步提升。 可靠的网络准入控制（NAC）：实现基于主机进程、防病毒软件病毒库版本、操作系统补丁等多个安全环节相结合的准入控制。 全面的内网合规管理：提供终端安全加固、外设接入控制、补丁分发管理、终端远程监控等多项终端合规管理。 智能的内网攻击防护：网关与终端相配合提供高效的ARP攻击防范、DOS攻击防范和病毒防范。 简单的终端部署管理，客户端统一分发，安全策略统一配置，客户端集中自动升级。6) 多种手段全面清除垃圾邮件 自学习的贝叶斯算法智能区分垃圾邮件 防邮件炸弹，提供单一邮件服务器发起的邮件连接数限制 发送者认证、接收者认证及关键字检查 黑名单、白名单、可追查性检查 病毒扫描、附件类型和附件大小过滤、关键字过滤等7) 强大的日志报表功能 记录内容丰富：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询：可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询 报表贴近需求：根据用户具体需求，定制报表内容、定制报名名称、定制企业LOGO，并可形成多种格式的报表文件。8) 方便的集中管理功能 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。实现效果：设计一体化、部署一体化、防御一体化、管理一体化，实现纵深防御、立体安全，整合化，以较低的成本满足了企业对信息处理安全的大部分需求，避免了使用单一安全设备所带来的高昂的采购维护成本和复杂的部署管理工作。选择启明星辰UTM产品原因：CCID报告：启明星辰UTM产品，连续三年国内市场排名第一获得以下荣誉：7.2、核心交换区IDS部署 用户面临的问题与挑战： 在Internet入口处部署防火墙系统来保证安全， 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施； 80%以上的入侵来自于内部，对于内部的攻击没有实时的预警； 在被入侵攻击后，不能收集相关的攻击信息； 感染病毒 办公用机系统崩溃 服务器运行很慢 访问不了数据库针对以上面临问题，使用天阗入侵检测与管理系统有如下功能对问题进行解决：全面检测全面信息收集：天阗IDS支持多级、分布式部署，实现策略统一下发，信息集中收集。全面协议分析：天阗IDS支持协议自识别与协议插件技术，可准确识别非常规端口的协议和新型协议。全面检测机制：天阗IDS支持基于特征和基于原理的两种检测方式，在保障检测精度的基础上，扩大了检测可识别的范围。全面事件分析：启明星辰有一套业界最规范的后继服务支撑体系，确保对新型事件的快速准确响应。全面检测范围：天阗IDS提供网络入侵事件、网络违规事件、流量异常事件等多种异常检测。全面检测性能：天阗IDS采用最短时间优先算法，确保了产品在网络数据高负载情况下的检测效率。有效呈现精确报警信息：天阗IDS结合了环境指纹技术，在发现有攻击行为后，与存储的环境信息进行二次匹配，将那些能够确信为“有用”的报警信息单独呈现，减 少用户的分析操作消耗。详尽信息呈现：天阗IDS的报警信息除了事件的双方地址、协议等信息外，还包括了对事件的具体描述、漏洞信息、修补建议、影响系统等，可以将最细致的 事件信息呈现给用户。威胁地址定位：天阗IDS提供与实际地理拓扑相结合的报警显示方式。在大规模部署的情况下，可以将设备拓扑与地理拓扑相结合，使得管理员可以直观而迅速的判断威胁所在。丰富报表展现：天阗IDS提供基于时间、地址、事件等多重参数信息的分析报表，结合历史分析数据，可清晰展现安全建设发展趋势，协助考量网络安全建设水平。实现效果：1 实现入侵预警2 精准事件定位3 资产监管结合选择启明星辰入侵检测产品产品原因：启明星辰在入侵检测产品领域内的连续6年市场份额第一，市场的成 功确保了业内最大的IDS类产品持续开发投入，这一点也反过来确保了天阗成为用户的IDS产品首选品牌。启明星辰拥有业内最大的用户群体，通过完善的服务机制，在保证了用户有效利用产品的同时及时持续的获得各类安全威胁，使用户及时拥有最新最完善的威胁检测事件库。启明星辰作为唯一一家授权查看微软源码的专业IDS厂商、微软MAPP安全合作伙伴、CNCERT的首席合作伙伴，拥有 国内首家信息安全博士后工作站、国内最强大的漏洞发掘团队-ADLAB，完善的组织支持保障确保了对入侵检测的最前沿技术研究。获得以下荣誉：7.3、上网行为检测部署用户面临的问题与挑战1、 国家法规及信息安全达标的要求国家82号令要求上网企业单位至少保留60天的上网记录，国资委要求关系国计民生的重点企业单位，其信息化建设必须满足对应的等级保护要求；2、 非法网站的访问带来了较多的法律风险反政府，反社会，反道德，反法律的网站的主动或被动浏览，给单位带来了巨大的法律风险；3、高风险网站的访问带来各种安全问题 由于对用户访问网站没有限制，内网用户无意中访问各种含有木马、病毒的网站会引起内网病毒传播,影响网络正常运行。4、 网络堵塞严重,影响正常业务的运行各种下载及在线视频泛滥(包括P2P、FTP等下载软件，以及迅雷，PPLIVE等在线视频播放软件)，造成网络极度拥堵，严重影响某些正常业务的运行,对带宽进行精细化管理迫在眉睫；5、 异常流量无法有效定位，办公系统无法正常运转网络中充斥着大量病毒、攻击，伪造IP等，对外不断发起连接并大量发包（尤其是小字节数据包），造成的网络中断事故时有发生；6、 业务数据的保密性无法实现无法通过Internet网外发信息进行审计（包括POST审计和邮件审计），来保证企业内部信息外发的安全。7、 缺乏有效管理,工作效率低下 虽然有各种网络管理制度，但更多流于形式。员工在上班时间玩游戏,炒股为经常现象，影响正常办公效率。 8、 内网用户的各种上网行为不能有效记录分析 现有网络缺少记录设备，不能对内网用户的各种网络行为做到分析总结。针对以上面临问题，使用网康ICG有如下功能对问题进行解决：1、建立了真实的用户管理列表，赋予了个性化的权限：NSICG采用多种方式获取用户身份信息，并且支持混合认证。不同的网段执行不同的认证策略。可以通过扫描自动获取网内用户的IP和MAC地址；在已经建立了域管理的网络环境，还可以通过LDAP导入域用户身份信息；2、 设置了精确的应用控制策略：在所有时间对BT、eMule、迅雷、Kugoo等P2P应用、魔兽世界、梦幻西游、跑跑卡丁车、征服游戏、浩方游戏平台、大话西游等大型网游、远程桌面、Telnet、ssh、PCAnywhere远程操控应用和在线视频应用进行控制管理，减少带宽的使用率，保证了必要的业务流量；3、 通过URL库监控不良站点：网康通过强大的网康URL分类数据库，建立对病毒、色情、暴力、赌博、毒品、犯罪技能、违反法律、违反道德等相关的网站进行控制管理，减少用户感染病毒的机率； 4、 设置动态和实时的流量监控和报警：异常流量和异常IP被监控，随时报警功能让网络安全事故得以及时解除； 5、 设置深入的内容审计功能：全面审计内网外发的信息，包括邮件、聊天、论坛、搜索引擎、ftp、telnet等，杜绝信息泄密。审计内网用户的互联网使用行为，利于网络管理、IT定位。6、 上班时间网络活动管理：在上班时间禁止如联众、QQ、MSN等各类综合性网游，禁止炒股等与工作无关的行为，员工无法访问娱乐性资源，极大提升了员工的工作效率；实现效果 1、有针对性的策略设置，对上班时间的各种下载软件做流量控制，可有效实现带宽的精细化管理，带宽资源得到合理分配，关键业务不再受到影响，最大化体现带宽价值。2、合理阻塞高风险类网站，通过技术手段减少网络感染木马、病毒的机率，使内网用户访问合法化。3、通过强大的网康URL分类数据库，有效过滤与工作无关的网址；上班时间强效阻塞各种娱乐游戏炒股网站，减少员工娱乐游戏炒股时间，提高工作效率，真正做到网络为我所用。4、全面记录各种外发信息，并基于各种条件进行外发信息的过滤，使信息安全管理等级提高了一大步。5、记录员工的所有上网行为，为后续的各种查询提供技术证据，利于IT定位，利于网络状况分析。6、控制了网络中充斥的大量病毒，屏蔽了病毒在网络大量传播、发包，造成网络的中断，保障正常的办公系统；7、通过各种管控措施的实施，用户的网络使用环境有了大幅度的改善，整体上达到了精细化管理的要求。选择网康ICG产品原因专业精准 1）用户识别“精” 支持20余种用户识别机制，充分满足各种环境下的用户管理需求； 支持不同认证方式的自由组合，可以在同网段内针对不同用户启用不同认证方式； 可为用户自定义各种丰富的用户属性，定位查找用户更方便。2） 网页过滤“精” 容量高达1600万条的URL分类数据库，遥遥领先同类产品；高达95%的网页内容识别率，在海量的URL库的基础上，基于网页分类的浏览行为管理可以得到精准落实；基于机器学习的智能网页分类引擎，能快速分析URL库中未涵盖的新网页内容，保障过滤无遗漏； 快速回传未识别网址，由专业URL分析团队进行快速分拣并完善分类库；可对指定类型的网站进行网页快照保存，满足审计全面性的同时，避免消耗过多的存储资源；搜索引擎关键字二维审计，可针对不同的搜索分类进行不同关键字的设置，例如对图片视频类要控制色情类的词语，文字网页类的搜索要控制政治类的词语等。 3）应用优化“精”n 应用协议库容量丰富，覆盖国内各种主流网络应用，确保对各种应用的精确识别；协议分类科学合理、命名清晰，便于管理员快速理解；三种针对应用的控制方式：屏蔽应用、限制带宽、限制使用时长，为管理者提供灵活人性化的管理手段。 4）外发控审“精”n 外发信息控制审计全面覆盖聊天工具、邮件、论坛、博客等主流信息外发渠道； 除外发文字信息外，更可对外传的文件附件内容进行全面审计；支持对经过压缩的文件附件内容进行审计。简洁易用1）安装部署“易”n 四种部署模式：透明网桥、网关模式、旁路镜像、代理模式，灵活兼容各种网络接入环境；无需对现有网络结构进行变动，实现无痛灵活接入。2）使用操作“易”n 图形化界面，人性化设计，五分钟上手，半小时熟练；流畅的操作手感，简单勾选，迅速完成配置；在线帮助随手可得，专业指导体贴入微。 3）系统升级“易”n URL协议库、应用特征库全自动在线升级，无需人工干预；n 系统软件一键式在线升级，支持断点续传。健壮可靠1）容灾能力“强”n FLASH 卡+硬盘双重主控系统设计，当硬盘主系统崩溃后，另外一个系统可以及时接管，确保系统正常运行；通过Flash可以进行硬盘系统的快速修复，重新恢复双主控； 面板提供硬件bypass按钮，一键切换直通状态，确保网络正常运行不受意外影响；独有带电模式下的智能bypass功能，当设备出现严重异常时，工作接口可以自动切换到直通状态； Bypass状态下设备仍然能够正常访问，在不影响用户网络正常通信的同时，还能对设备进行管理，迅速定位问题的来源。2）系统性能“强”n 网康自主知识产权操作系统与高性能数据转发引擎；多项高性能优化专利技术，在同等级的硬件平台上可以提供更强的处理转发性能，有效保证各项功能的可用性。3） 安全隐匿“强”n 专有的NSOS操作系统，进行全面的安全加固，可有效防护对设备的攻击和入侵，全面保障设备自身的安全；n 通过网康独有的用户交互隐身技术的保护，用户在登录认证、信息提示或者客户端下载等操作中，都无法获取NS-ICG本身的地址，避免了潜在的攻击风险。7.4、内网安全风险管理部署用户面临的问题与挑战l 内网随意接入l 操作系统漏洞l 内网访问不受控l 移动存储病毒l 移动存储木马l 病毒4 P2P、在线视频 DOS & DDOS攻击打造安全可信的合规内网，天珣内网安全风险管理与审计系统提出了五维化终端合规管理模型： 壹 终端准入控制天珣具备完善的准入控制手段，不仅支持基于国际标准协议802.1x、Cisco专有协议EAPOU的网络准入控制，还支持基于策略网关的应用准入控制及基于终端安全状态的客户端准入控制，更可与启明星辰天清汉马USG一体化安全网关进行联动，确保只有通过身份验证和安全检查的终端才能接入内网，变被动防御为主动防御，为内网的安全合规提供强制性保障。天珣的多种准入控制手段可灵活组合，网络准入控制支持主流网络厂商品牌设备类型，有效保护用户投资。贰 终端安全控制天珣客户端围绕“主动防御”的合规管理目标，内置强大的终端安全控制引擎，采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段，实现了针对终端的威胁主动防御和网络行为控制，从而保证终端双向访问安全、行为受控；同时，天珣能够监控和管理第三方防病毒软件等恶意代码查杀工具，协同构建终端主动防御体系。天珣不仅能够自动修复终端安全漏洞、确保终端处于健康状态，更可配置多种主动防御策略，有效防护疑似攻击和未知病毒对内网造成的危害。叁 桌面合规管理传统的内网安全管理系统在运行时，一旦用户停用或卸载客户端程序，系统将丧失对终端的管理能力，而天珣依托准入控制机制打造出的桌面合规管理体系，改变了传统产品“尽力而为”式的管理模式，与终端安全控制功能有机配合，确保100%的终端部署并运行天珣客户端软件，使得管理员始终拥有具备执行力的管理手段，实现对企业IT资产、操作系统补丁及桌面运行软件的合规管理。同时，天珣使用创新的“按需支援（Help On Demand）”技术，能够按需对终端操作系统运行的各个方面进行远程桌面支持。 肆 终端泄密控制针对移动存储中的数据交换和共享安全性等要求，天珣结合防非法外联技术，通过对接入终端的移动存储设备进行认证、数据加密和共享受控管理，确保只有通过认证的移动存储设备才能够被授权用户使用。同时，还可以根据不同的防泄密要求，灵活对已通过认证的移动存储设备赋予多种数据共享权限：可以只认证设备，也可以在设备认证的基础上对保存的数据进行专用目录加密或全盘加密，更可以对移动存储设备使用的全过程进行审计，有效切断核心数据的非法传播途径，从根源上解决终端数据泄密问题，保护用户关键信息资产。伍 终端审计在内网合规管理中，审计具有非常重要的意义，不仅可以检验合规管理效果，而且是促进内网安全状况持续改善的基本保证。围绕内网合规管理要求，天珣提供了完善的终端行为审计功能，包括：文件操作审计与控制、打印审计与控制、网站访问审计与控制、异常路由审计和终端Windows登录审计。审计内容可以只限定为与内网合规管理相关的信息，保证在达到合规管理审计要求的前提下，充分保护终端用户个人隐私。面向合规的终端行为审计，能够有效确保100%的终端接受管理监督，促进内网安全状况持续改善。实现效果1 天珣的多层准入控制机制，彻底颠覆了传统内网安全管理被动管理的局面，为终端安全合规提供了强制性的保障能力。2 实现了针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访问安全、行为受控；同时，天珣能够监控和管理第三方防病毒软件等恶意代码查杀工具，协同构建终端主动防御体系。3 实现对企业IT资产、操作系统补丁及桌面运行软件的合规管理。同时，天珣使用创新的“按需支援（Help On Demand）”技术，能够按需对终端操作系统运行的各个方面进行远程桌面支持。4 针对移动存储中的数据交换和共享安全性等要求，天珣结合防非法外联技术，通过对接入终端的移动存储设备进行认证、数据加密和共享受控管理，确保只有通过认证的移动存储设备才能够被授权用户使用。5 面向合规的终端行为审计，能够有效确保100%的终端接受管理监督，促进内网安全状况持续改善。选择启明星辰天珣内网安全风险管理与审计系统原因：权威认证q 计算机信息系统安全专用产品销售许可证q 国家信息安全认证产品型号证书q 涉密信息系统产品检测证书q 军用信息安全产品认证证书q 计算机软件著作权登记证书7.5、网络运维管理系统部署用户面临的问题与挑战1、 跨厂商、跨平台的统一管理在网络建设中，出于性能、价格比考虑，考虑到技术的不断发展，考虑到不同时期网络建设的不同重点，同时也因为需要考虑投资保护，时至今日，完全是单一品牌 设备、产品 组成整个网络的情况已很少见了，所以我们需要管理的对象是由各个厂商产品组成的混合平台。其次，正像今天的广域、局域网络无法再简单地以距离作为区分标准一样，今天我们 “平台” 的概念也早已超出了网络交换机、路由器的范畴，广义地说保障我们应用服务正常运行的所有设备，含电源保障设备、服务器设备等等在内都是我们应该统一加以关注的“平台”环境。2、 纯设备管理意义有限早期网络管理概念的建立与网络设备管理产品的销售密不可分，久而久之，“设备管理”与“网络管理”在概念上不少用户心目中已混为一谈。然而，纯设备管理的意义有限，在今天的网络管理实践中意义不大，原因： 现在网络设备的质量与性能已经非常完善（无论国产的或进口的 ），三天两头出设备级别故障的可能性不高，甚至有用户表示“我的网络设备买来后从没有做过什么管理，照旧用得很好，所以我不需要什么网管” 除非常少数的巨型网络以外，大多数单位网络设备所执行的运行规则相对较为固定，无需经常调整。因此，我们需要的是基于整个系统的管理，而非仅基于设备的管理。3、运行维护管理绝大多数时段网络是处于一种“不出事”阶段，我们不能预期网络在“何时”、“何地”会出“何种”问题，所以应做到主动性和智能性的“事前管理”的运行维护。并且可以收集所有的原始数据，主动的加工数据的表现形式，以直观的方式展示出来。4、 安全管理单位网络的系统安全管理所面对的挑战时刻存在着，是我们日常管理工作中的重点工作，各类病毒的反复发作、应用系统的漏洞和黑客的攻击行为，是绝大多数单位内部网络问题的根源，安全管理是重头。5、 信息的综合管理现在绝大多数设备、系统均拥有相应的专用管理工具，所以如果我们非常确定的希望了解某一特定管理数据，一般都不难办，但，整体的管理、信息综合的价值不是一堆孤立的数据所能包含的，信息有效综合对于我们建立管理的全局观，从整体把握整个系统的健康状况意义非常大。因此，我们经常提出这样的问题： 我们单位的网络越来越复杂，我要如何管理？ 我们单位是10M独享专线，网速却异常缓慢？ 设备配置变更后，我如何找到上一次的配置？ 我们单位出现病毒，如何快速定位病毒源位于哪台设备？ 如何查看网络中单台设备的各种相信信息？ 管理员临时不在机房，如何了解突发状况？针对以上面临问题，使用北塔BTNM有如下功能对问题进行解决：1、网络拓扑图管理BTNM网络运维管理系统能够采用多种算法、迅速搜索整个网络内的所有节点、自动勾画出整个网络的准确拓朴图物理拓扑图，包括设备间的冗余连接、备份连接、均衡负载连接，监测网络中每台设备的名称、IP地址、类型、厂商等，并能够自动辨别线路连接类型，动态实时反映出网络布线信息，设备运行状态及链路的流量变化情况等，帮助用户一幕了然的掌控整个网络的实时运行状态。2、 网络设备管理设备管理是网络平台管理的核心。BTNM网络运维管理系统是一个基于SNMP管理协议开发的跨厂商、跨平台的通用网络管理系统，支持采用SNMP管理协议的各厂商网络产品。确切的反映这些设备的真实运行状态，从而了解整个网络的业务运行状况。3、 故障告警与定位BTNM产品注重运行维护管理，偏向于事前管理而非事后管理，为此强化了故障管理与故障预警管理。自动分析判断网络的安全状态，分析非法入侵、攻击、病毒、物理故障等现象。当网络出现安全隐患时，系统会发出告警信息。4、 全网地址簿管理BTNM提供全网所有设备、PC、主机等节点的网络实时分布一览；配合安全管理，提供全网IP定位、MAC定位，捕捉地址盗用及非法设备移动。通过IP -MAC绑定监视时刻关注指定的设备IP地址是否发生物理MAC迁移，一旦发现即可告警，可以帮助杜绝关键地址盗用。5、 高级服务器管理BTNM的高级服务器管理模块专注于对网络中的业务应用系统、数据库、EMAIL、WEB服务、FTP服务、文件系统、应用进程、内存、CPU等进行全面深入的监测、实时分析和性能记录。6、 数据流分析管理BTNM网络运维管理系统接受DATAFLOW、Netflow、Sflow数据流方式提供的数据源，自动接收各个流量分析探针的信息，进行数据分析，捕捉网络数据异动- DDOS攻击、缓冲区溢出攻击、病毒扩散、网络蠕虫、ARP欺骗、非授权访问、黑客攻击、企图入侵行为、木马、非法扫描、可疑URL、BT下载等。并根据告警设置采取相关的动作。7、 历史记录统计与报表BTNM网络运维管理系统对网络上发生的所有事件进行记录，并按类别进行管理；并提供小时、天、周、月不同时间段简洁明了的运行分析报告。管理人员可以方便的从中掌控网络运行状况。8、 环境监测BTNM提供温湿度感应监测器来对环境状况进行监测。实现效果1、通过拓扑图可以迅速直观的锁定问题根源，进行分布式管理，作为网络改进和设备扩容的依据。同时实现了网络故障的及时预警和告警，并提供了多种故障定位机制，方便我们及时定位故障源，真正减轻了有关人员的工作负担。2、BTNM提供了实用的流量分析功能，可分析网络中IP数据流动状态，并可以合并、归类、过滤流量信息，了解相应的数据流动状况，对每条线路的流量情况可按需要提供矢量图表，为工作带来了极大方便。3、BTNM针对病毒的异常行为来判断是否中毒，能及时捕捉到网络上的一些异常行为，发现异常行为的根源，使其在物理上断绝与网络的联系，保证网络的安全运行。4、BTNM能告知网络的各部分负载状况，各线路流量分布状况，对一些设备的CPU及MEM变化情况及线路流量的变化情况进行记录，并对数据进行对比分析，得出其正常运行情况下的变化曲线，可以对网络承载能力有一个正确的评估。5、北塔BTNM网络资源管理平台作为国内唯一的集各种厂商产品于一体的中文化综合网络管理平台，不但实现了跨厂商跨平台的网络管理，还充分考虑了中国人的习惯，采用了浅显易懂的界面，管理人员能够非常轻松的使用好北塔的BTNM网络资源管理系统，管理好自己的网络。6、通过BTNM网络资源管理系统强大的远程管理功能，真正把有关管理人员解放出来，实现了机房的无人职守，管理人员可以轻松地管理运营维护本单位的网络，起到了事半功倍的效果。选择北塔BTNM产品原因北塔BTNM的设计思想和发展方向完全来自于用户的需求，因此其产品优势也体现着全面、智能、稳定、易用的特点，自推出以来已在各行业有着超过3000家 的成功用户，成为实至名归的IT运维精品软件。1. 全面 关注用户需求，以用户的实际需要为目标，提供全面的IT运维管理平台全面覆盖跨厂商跨平台管理对象，能自动辨识各生 产厂商，各种型号。 2.智能 自动分析，主动预警，事前管理,出色的跨地域协同管理能力； 3.稳定 卓越的可用性保障,长时间无故障运行； 4.易用 全中文菜单，界面简洁，使用方便，易于上手；图形化呈现：真实物理拓扑，真实设备面板；使用者无需具备专业技术背景； 5.完善的远程技术支持 提供58 小时免费技术支持热线 400-820-7719提供网站技术支持，支持使用方可控的屏幕对屏幕的直接远程技术支持。7.6、网络防病毒部署用户面临的问题与挑战目前绝大多数病毒传播的途径是网络。对于一个网络系统而言，针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。因此，对于每一个病毒可能的入口，部署相应的反病毒软件，实时检测其中是否有病毒，是构建一个完整有效反病毒体系的关键。1、来自系统外部（Internet或外网）的病毒入侵： 这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高，耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。但很明显，它只能阻挡进出内部系统病毒的入侵。2、网络邮件/群件系统： 如果网络内采用了自己的邮件/群件系统实施办公和信息自动化，那么一旦有某个用户感染了病毒，通过邮件方式该病毒将以几何级数在网络内迅速传播，并且很容易导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署反病毒也显得尤为重要。3、服务器群：病毒对应用系统的威胁：计算机病毒可以直接破坏操作系统和数据文件，使得应用系统无法正常运行，一旦服务器本身感染了病毒，一旦这些应用系统受到攻击或破坏，会立即直接影响农垦医院的正常办公和各种业务，因此服务器群也需要设置反病毒保护。4、最终用户：病毒最后的入侵途径就是最终的桌面用户。随着各种网络应用的增多，笔记本计算机的普及，网络边界逐渐消失，网络结构趋于开放；由于网络共享的便利性，某个感染病毒的桌面机可能随时会感染其它的机器，或是被种上了黑客程序而向外传送机密文件。因此在网络内对所有的客户机进行防毒控制也是非常重要的。5、集中管理：对于一个单位的网络架构来说，部署的防毒系统将十分复杂和庞大。尤其在各网点在地域上分离的情况下，通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护显得十分重要。这样可以大大降低维护人员的数量和维护成本，并且缩短了升级、维护系统的响应时间。防毒系统的最大特点是需要不断的升级和更新防毒软件，以应对新产生的各类病毒。因此各点的防毒软件集中进行升级行动也是有效防毒的重要一环。针对以上面临问题，使用卡巴斯基网络防病毒有如下功能对问题进行解决：1、杀毒引擎：卡巴斯基的引擎代表着业界最高水准，卡巴斯基的反病毒引擎和病毒库，一直以其严谨的结构、彻底的查杀能力为业界称道。2、病毒库大小：卡巴斯基的病毒库是病毒最全的病毒库，但是由于其独特的结构，虽然目前病毒样本数目高达270多万，但是却只有不超过20M左右。3、病毒库更新速度：对新病毒的反应速度。病毒库的更新频率越高，系统得到的保护就越可靠；卡巴斯基反病毒数据库常规1小时更新数据库，且采用增量式更新，每次更新的数据库仅有20KB左右。4、iSwift和iChecker技术：在完成一次全盘扫描以后，仅扫描新建的和被修改的文件。5、延迟扫描：在用户的活动增加时，自动降低对系统资源的占用。6、SafeStream技术：使用专为最危险的恶意程序定制的病毒库进行HTTP流量的实时扫描。7、简洁升级：增量升级技术大大减少了威胁特征库升级时需要下载的数据量。8、网络iSwift：从其他装有卡巴斯基反病毒6.0的计算机传送过来的经过扫描的文件不在需要进行重复扫描。实现效果1、对于现今的企业来说，Internet访问的稳定性、安全性十分重要。防毒产品的安装和设置应尽量简易，充分考虑数据、文件的安全可靠性，所选产品与现系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。2、采用世界最先进的清除病毒能力较强的防毒产品，可确保计算机网络系统具有最佳的病毒、黑客软件防护能力；同时也降低了管理人员的工作量和反病毒产品的维护成本。3、企业日益重视其IT环境的总体拥有成本（TCO）。在有限的人力资源情况下，IT管理员的工作是非常复杂和繁忙的，要管理好反病毒系统的安装、升级、配置和工作报告是一个非常繁琐的事，因此产品本身应带有集成的、易用的管理工具，管理员可以从一个集中管理控制台对整个防毒系统进行监控管理和维护。4、在让客户在获得优质的反病毒服务的同时，能够尽量减少所需增加的费用支出。5、给安装了卡巴斯基网络版6.0的服