網(wǎng)絡(luò)安全管理系統(tǒng)

簡介2011年9月目錄TOC\o"1-5"\h\z前言 3\o"CurrentDocument"1.1.概述 3\o"CurrentDocument"1.2.應(yīng)對策略 6\o"CurrentDocument"網(wǎng)絡(luò)安全防護(hù)理念 72.1.網(wǎng)絡(luò)安全理念 7\o"CurrentDocument"2.2.當(dāng)前部分單位網(wǎng)絡(luò)安全建設(shè)的不足 7\o"CurrentDocument"2.3.網(wǎng)絡(luò)安全體系建立 8\o"CurrentDocument"網(wǎng)絡(luò)安全管理解決方案 10\o"CurrentDocument"3.1.網(wǎng)絡(luò)安全管理建設(shè)目標(biāo) 10\o"CurrentDocument"3.2.網(wǎng)絡(luò)安全管理方案設(shè)計原則 10\o"CurrentDocument"3.3.網(wǎng)絡(luò)安全管理方案設(shè)計思路 113.4.內(nèi)網(wǎng)安全管理解決方案實現(xiàn) 12\o"CurrentDocument"3.4.1.網(wǎng)絡(luò)接入管理 12\o"CurrentDocument"3.4.2.補丁及軟件自動分發(fā)管理 13\o"CurrentDocument"3.4.3.移動存儲介質(zhì)管理 14\o"CurrentDocument"3.4.4.桌面終端管理 15\o"CurrentDocument"3.4.5.內(nèi)網(wǎng)安全審計 163.5.外網(wǎng)絡(luò)安全管理解決方案實現(xiàn) 17\o"CurrentDocument"3.5.1.防火墻 17\o"CurrentDocument"3.5.2.入侵監(jiān)控系統(tǒng) 19\o"CurrentDocument"3.5.3.漏洞掃描系統(tǒng) 20\o"CurrentDocument"3.5.4.安全網(wǎng)閘 22\o"CurrentDocument"3.5.5.上網(wǎng)行為管理 24\o"CurrentDocument"3.5.6.網(wǎng)頁防篡改系統(tǒng) 25總結(jié) 29刖言1.1.概述網(wǎng)絡(luò)的安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化。比如：從用戶（個人、企業(yè)等）的角度來說，他們希望涉及個人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時受到機密性、完整性和真實性的保護(hù)。網(wǎng)絡(luò)安全部署圖Internet井責(zé)機般4；移動用廣SRiliSML■皆理IPSECJSSLVPflD1L：序域網(wǎng)訕，網(wǎng)絡(luò)安全部署圖Internet井責(zé)機般4；移動用廣SRiliSML■皆理IPSECJSSLVPflD1L：序域網(wǎng)訕，Ql剛-> !■ 8i ii汩舲|' r*\障址莆糧曹 ■i實冷野肆用壩1曲.網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征:保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性：可被授權(quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需網(wǎng)絡(luò)安全解決措施的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊；可控性：對信息的傳播及內(nèi)容具有控制能力。可審査性：出現(xiàn)的安全問題時提供依據(jù)與手段從網(wǎng)絡(luò)運行和管理者角度說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進(jìn)行過濾和防堵，避免機要信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進(jìn)行控制。網(wǎng)絡(luò)安全解決措施（供參考）隨著計算機技術(shù)的迅速發(fā)展，在計算機上處理的業(yè)務(wù)也由基于單機的數(shù)學(xué)運算、文件處理，基于簡單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（Intranet）、企業(yè)外部網(wǎng)（Extranet）、全球互聯(lián)網(wǎng)（Internet）的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在系統(tǒng)處理能力提高的同時，系統(tǒng)的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出，整體的網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個方面：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。因此計算機安全問題，應(yīng)該像每家每戶的防火防盜問題一樣，做到防范于未然。甚至不會想到你自己也會成為目標(biāo)的時候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極大的損失。由于單位內(nèi)部缺乏管理手段，導(dǎo)致網(wǎng)絡(luò)管理人員對終端管理的難度很大，難以發(fā)現(xiàn)有問題的電腦，從而計算機感染病毒，計算機被安裝木馬，部分員工使用非法軟件，非法連接互聯(lián)網(wǎng)等情況時有發(fā)生，無法對這些電腦進(jìn)行定位，這些問題一旦發(fā)生，往往故障排查的時間非常長。如果同時有多臺計算機感染網(wǎng)絡(luò)病毒或者進(jìn)行非法操作，容易導(dǎo)致網(wǎng)絡(luò)擁塞，甚至工作無法正常開展。建立網(wǎng)絡(luò)安全管理體系的意義在于解決大批量的計算機安全管理問題:病毒的來源主要是:1:網(wǎng)絡(luò)下載；2:移動存儲設(shè)備的隨意拷入拷出；3:系統(tǒng)補丁漏洞；4:內(nèi)部網(wǎng)網(wǎng)計算機違規(guī)連接互聯(lián)網(wǎng)；5:外部計算機的隨意接入；本方案中解決方法是從內(nèi)網(wǎng)，外網(wǎng)角度對網(wǎng)絡(luò)終端安全進(jìn)行防護(hù)，及時發(fā)現(xiàn)安全隱患，把病毒控制在有效的可控范圍內(nèi)。具體來說，這些問題包括：＞實現(xiàn)對單位內(nèi)部所有的終端計算機信息進(jìn)行匯總，包括基本信息、審計信息、報警信息等，批量管理終端計算機并提高安全性、降低日常維護(hù)工作量；＞實現(xiàn)對單位內(nèi)部所有的終端計算機的準(zhǔn)入控制，防止外來電腦或違規(guī)的電腦接入單位內(nèi)部網(wǎng)絡(luò)中；＞實現(xiàn)對單位內(nèi)部所有的終端計算機進(jìn)行補丁的自動下載、安裝與匯總，最大程度減少病毒、木馬攻擊存在漏洞的計算機而導(dǎo)致的安全風(fēng)險；＞實現(xiàn)對單位內(nèi)部所有的移動存儲設(shè)備的統(tǒng)一管理，防止部分人員通過USB設(shè)備將單位大量的機密文件傳播出去，同時也極大減少了病毒、木馬通過USB設(shè)備在網(wǎng)絡(luò)中傳播等情況的發(fā)生；＞實現(xiàn)對單位內(nèi)部所有的終端計算機進(jìn)行終端安全管理與分析，包括第一時間禁止非法外聯(lián)行為的發(fā)生，實時監(jiān)控異常流量，檢測非法軟件，禁用部分硬件設(shè)備等，將計算機與人結(jié)合起來管理，防止非法操作導(dǎo)致發(fā)生不必要的安全事件。應(yīng)對策略從網(wǎng)絡(luò)空間應(yīng)用接入方式來來說，網(wǎng)絡(luò)空間應(yīng)用從傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用接入發(fā)展到以移動/無線通信應(yīng)用接入乃至移動互聯(lián)網(wǎng)接入等多種方式。而針對網(wǎng)絡(luò)空間安全方面的問題，組建面向網(wǎng)絡(luò)空間的終端安全管理產(chǎn)品體系。該產(chǎn)品體系主要面向重要網(wǎng)絡(luò)、信息系統(tǒng)及基礎(chǔ)設(shè)施的失泄密檢測與防范，實現(xiàn)從終端、區(qū)域網(wǎng)到互聯(lián)網(wǎng)的一體化檢測、管理與防范。該體系從終端接入控制、終端行為管控制、終端數(shù)據(jù)防泄密，以及終端安全審計等方面，實現(xiàn)了多層次、全方位、立體化縱深失竊密檢測與防范，形成了面向復(fù)雜網(wǎng)絡(luò)空間的終端安全管理一體化解決方案，有效地實現(xiàn)了網(wǎng)絡(luò)空間下對終端計算機的安全管理體系。網(wǎng)絡(luò)安全防護(hù)理念2.1.網(wǎng)絡(luò)安全理念針對目前網(wǎng)絡(luò)中終端計算機面臨的各種安全問題，遵循國家和行業(yè)等級保護(hù)，基于安全工程的思想，以獨特的終端安全配置策略為核心，以終端安全風(fēng)險測試與評估為依據(jù)，實現(xiàn)組件化可動態(tài)組合配置的終端安全管理。一般來說，網(wǎng)絡(luò)安全由四個部分組成：一是運行系統(tǒng)的安全，即保證信息處理和傳輸系統(tǒng)的安全，它側(cè)重于保證系統(tǒng)正常運行，避免因為系統(tǒng)的崩潰和損壞而對系統(tǒng)存貯、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免由于電磁泄漏產(chǎn)生信息泄露；二是系統(tǒng)信息的安全，包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、方式控制，安全審計，安全問題跟蹤，計算機病毒防治，數(shù)據(jù)加密；三是信息傳播的安全，指可對信息的傳播后果進(jìn)行控制，包括信息過濾等，對非法、有害的信息傳播后造成的后果，能進(jìn)行防止和控制，避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э?；四是信息?nèi)容的安全，它側(cè)重于保護(hù)信息的保密性、真實性和完整性，避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽、冒充、詐騙等有損于合法用戶的行為。加強網(wǎng)絡(luò)安全建設(shè)，是關(guān)系到單位整體形象和利益的大問題。目前在各單位的網(wǎng)絡(luò)中都存儲著大量的信息資料，許多方面的工作也越來越依賴網(wǎng)絡(luò)，一旦網(wǎng)絡(luò)安全方面出現(xiàn)問題，造成信息的丟失或不能及時流通，或者被篡改、增刪、破壞或竊用，都將帶來難以彌補的巨大損失。而對于政府等許多單位來講，加強網(wǎng)絡(luò)安全建設(shè)的意義甚至關(guān)系到國家的安全、利益和發(fā)展。當(dāng)前部分單位網(wǎng)絡(luò)安全建設(shè)的不足網(wǎng)絡(luò)安全意識淡薄目前在我國，人們的網(wǎng)絡(luò)安全意識普遍比較淡薄，對計算機網(wǎng)絡(luò)的警惕性不高，對計算機網(wǎng)絡(luò)泄密特點缺少必要的知識。部分人員只看到上網(wǎng)后給工作和學(xué)習(xí)帶來的種種好處，在思想上對網(wǎng)絡(luò)危害沒有防范意識，又缺少防范措施，這種思想上的麻痹和松懈就給不法之人造成了可乘之機，容易發(fā)生網(wǎng)絡(luò)安全事故。（2） 對網(wǎng)絡(luò)安全的管理工作有待加強我們對網(wǎng)絡(luò)安全問題的認(rèn)識是隨著網(wǎng)絡(luò)建設(shè)的完善而逐步發(fā)展的。當(dāng)網(wǎng)絡(luò)開通之后，如何對網(wǎng)絡(luò)進(jìn)行有效的管理和使用，如何對上網(wǎng)人員和網(wǎng)絡(luò)技術(shù)人員進(jìn)行管理、培訓(xùn)，如何用組織手段和制度機制來保證網(wǎng)絡(luò)的安全運行等，就成為我們密切關(guān)注和研究的新問題。許多安全事件的發(fā)生和安全隱患的存在都與管理不善有關(guān)，因此只有不斷完善和加強各種安全管理手段，才能有效保證網(wǎng)絡(luò)系統(tǒng)的安全。（3） 網(wǎng)絡(luò)安全技術(shù)和設(shè)備的投入不足隨著計算機及網(wǎng)絡(luò)技術(shù)的發(fā)展，各種安全技術(shù)和設(shè)備不斷涌現(xiàn)，更新替換的速度也比較快，為維護(hù)網(wǎng)絡(luò)的安全運行，我們需要根據(jù)自己單位的實際情況適時地進(jìn)行技術(shù)和設(shè)備的補充或更新，特別是用于網(wǎng)絡(luò)安全方面的技術(shù)，因此需要有專項資金的投入。網(wǎng)絡(luò)安全體系建立與其它安全體系（如保安系統(tǒng)）類似，企業(yè)應(yīng)用系統(tǒng)的安全體系應(yīng)包含：訪問控制：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。檢査安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。備份和恢復(fù)：良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護(hù)及緊急情況服務(wù)。體系覆蓋終端的資產(chǎn)安全管理、終端數(shù)據(jù)安全管理、終端行為安全管理、終端服務(wù)安全管理等多個方面，涉及管理計算機本身、計算機應(yīng)用、計算機操作者、計算機使用單位管理規(guī)范等多個方面，形成全方位、多層次、立體化終端安全管理。終端安全管理體系層次結(jié)構(gòu)圖如下所示:安全準(zhǔn)入管理集端安全接口規(guī)范行為安全管理聊天行為上闔疔為I網(wǎng)絡(luò)應(yīng)用os操柞丨文件操作P2P下載終端安全瓷產(chǎn)管理敵據(jù)安全桌面安全管理鷲端安全鳳險評估外設(shè)管理集端安全接口規(guī)范行為安全管理聊天行為上闔疔為I網(wǎng)絡(luò)應(yīng)用os操柞丨文件操作P2P下載終端安全瓷產(chǎn)管理敵據(jù)安全桌面安全管理鷲端安全鳳險評估外設(shè)管理補丁管理丨防病看管理異常監(jiān)控非法外聯(lián)尊端安全應(yīng)急響應(yīng)數(shù)據(jù)安全管理丈槽加密丨格動？T質(zhì)管理I迪據(jù)銷蹙啟感信息檢查備份垢恢復(fù)絆端安全事件取證要全審計安全審計會理要全審計安全聲理即Silifl上風(fēng)訪問「郵件審計而菽立件操兩數(shù)據(jù)睜審計安全聲理本解決方案正是基于上述核心理念和安全體系的基礎(chǔ)上而組建的基于終端各方面安全管理和控制的一體化解決方案。網(wǎng)絡(luò)安全管理解決方案3.1.網(wǎng)絡(luò)安全管理建設(shè)目標(biāo)當(dāng)終端接入時要落實安全保護(hù)技術(shù)措施，保障內(nèi)部網(wǎng)絡(luò)的運行安全和信息安全；對已接入內(nèi)部網(wǎng)絡(luò)的終端計算機，要做好用戶權(quán)限設(shè)定工作，不能開放其規(guī)定以外的操作權(quán)限。發(fā)現(xiàn)有違規(guī)情形的，應(yīng)當(dāng)保留有關(guān)原始記錄，并可直接了解到該違規(guī)信息及違規(guī)方式等。網(wǎng)絡(luò)管理人員能夠利用該管理方式，便捷的管理內(nèi)網(wǎng)終端計算機，并能夠利用該種方式對終端計算機現(xiàn)狀一目了然。網(wǎng)絡(luò)安全管理方案設(shè)計原則方案設(shè)計遵循如下原則：安全性原則：對性能影響小，與其它業(yè)務(wù)系統(tǒng)無沖突?？煽啃栽瓌t：在反復(fù)操作與長期實踐之后依然能夠保持高度的穩(wěn)定性?？蓴U(kuò)展性原則：能夠符合IT發(fā)展方向，并隨業(yè)務(wù)增長的同時保持高度的可擴(kuò)充性。易用性原則：提供簡單、友好界面，能夠進(jìn)行直觀的操作，形成豐富的圖形界面與報表。兼容性原則：能夠與主流廠商的系統(tǒng)、軟件、主機設(shè)備、安全設(shè)備、網(wǎng)絡(luò)設(shè)備保持高度的兼容性。網(wǎng)絡(luò)安全管理方案設(shè)計思路1、 遵循IT服務(wù)標(biāo)準(zhǔn)隨著信息技術(shù)的發(fā)展以及對信息技術(shù)依賴程度的提高，IT已成為許多業(yè)務(wù)流程必不可少的部分，甚至是某些業(yè)務(wù)流程賴以運作的基礎(chǔ)。IT部門要承擔(dān)更大的責(zé)任，即提高業(yè)務(wù)運作效率，降低業(yè)務(wù)流程的運作成本，遵循ITIL標(biāo)準(zhǔn)，協(xié)調(diào)IT服務(wù)部門內(nèi)部運作，改善IT部門與業(yè)務(wù)部門之間的溝通，幫助單位對信息化系統(tǒng)的規(guī)劃、研發(fā)、實施和運營進(jìn)行有效管理的方法。IT服務(wù)管理將流程、人和技術(shù)三方面整合在一起來解決IT服務(wù)管理問題。并結(jié)合單位內(nèi)部組織結(jié)構(gòu)、IT資源與管理流程等，對業(yè)務(wù)需求進(jìn)行整體管理與服務(wù)。解決方案設(shè)計要采用IT服務(wù)管理的理念，按照ITIL最佳實踐標(biāo)準(zhǔn)來設(shè)計。2、 遵循ISO27001標(biāo)準(zhǔn)ISO27001作為信息系統(tǒng)安全管理標(biāo)準(zhǔn)，已經(jīng)成為全球公認(rèn)的安全管理最佳實踐，成為全國大型機構(gòu)在設(shè)計、管理信息系統(tǒng)安全時的實踐指南。其中除了安全思路之外，給出了許多非常細(xì)致的安全管理指導(dǎo)規(guī)范。在ISO27001中有一個非常有名的安全模型，稱為PDCA安全模型。PDCA安全模型的核心思想是：信息系統(tǒng)的安全需求是不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務(wù)需要，必須建立動態(tài)的“計劃、設(shè)計和部署、監(jiān)控評估、改進(jìn)提高”管理方法，持續(xù)不斷地改進(jìn)信息系統(tǒng)的安全性。3、 遵循安全理念依據(jù)業(yè)界最佳安全實踐和行業(yè)信息安全管理體系的建設(shè)流程，結(jié)合核心安全理念，本方案的總體架構(gòu)共分為“網(wǎng)絡(luò)接入管理、補丁及軟件分發(fā)管理、移動存儲介質(zhì)管理、桌面終端管理、終端安全審計”等安全管理，并通過統(tǒng)一、聯(lián)動的安全管控與審計平臺實現(xiàn)對不同層次架構(gòu)的集中策略配置與管理，完成對網(wǎng)絡(luò)終端的分級部署、統(tǒng)一管控，最終實現(xiàn)對內(nèi)網(wǎng)終端全方位的控制管理，形成完整的終端安全管理體系。內(nèi)網(wǎng)安全管理解決方案實現(xiàn)本方案內(nèi)網(wǎng)安全通過網(wǎng)絡(luò)接入控制管理、補丁及軟件分發(fā)管理、移動存儲介質(zhì)管理、桌面終端安全管理，以及終端安全審計管理等五大部分，并由集中統(tǒng)一的管控和策略平臺，完成對上述安全管理組件的統(tǒng)一策略配置與下發(fā)、集中管理與審計，最終形成聯(lián)動化的、集成化的、完整的終端安全體系建設(shè)。3.4.1.網(wǎng)絡(luò)接入管理.網(wǎng)絡(luò)接入管理概述所謂的接入控制，是指對接入內(nèi)網(wǎng)的終端計算機進(jìn)行身份鑒別或者安全狀態(tài)檢查，阻止未授權(quán)或不安全的終端計算機接入內(nèi)網(wǎng)和訪問內(nèi)網(wǎng)資源。通過接入控制，可以將外來計算機阻擋在內(nèi)網(wǎng)之外，也可以將內(nèi)網(wǎng)中安全性較差（未及時安裝補丁和防火墻軟件）的計算機隔離出內(nèi)網(wǎng)，保證內(nèi)網(wǎng)整體的安全性。.網(wǎng)絡(luò)接入管理方案及思路系統(tǒng)能夠確保終端電腦只有在通過認(rèn)證，即安裝終端安全管理組件，并符合必要的安全策略的前提下才能被允許接入內(nèi)部網(wǎng)絡(luò)，否則會強制終端電腦跳轉(zhuǎn)到訪客隔離區(qū)（guest區(qū)），完成認(rèn)證后還需要完成安檢，即終端管理軟件的下載和安裝，且符合既定安全策略要求時才可準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)。具體接入流程如下：網(wǎng)絡(luò)接入控制管理系統(tǒng)流程圖（供參考）以上過程完全滿足網(wǎng)絡(luò)準(zhǔn)入控制的目的和意義：能確保合法的、健康的終端接入內(nèi)部網(wǎng)絡(luò)訪問被授權(quán)的資源。3.4.2.補丁及軟件自動分發(fā)管理.補丁及軟件自動分發(fā)管理概述補丁及軟件自動分發(fā)管理能夠自動識別終端計算機操作系統(tǒng)類型，并根據(jù)需求自動下載所需補丁，自動安裝并提示。系統(tǒng)向指定終端計算機（用戶組）分發(fā)文件或安裝軟件，分發(fā)時可提供軟件的運行參數(shù)和必要的運行控制。該管理體系可減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)，軟件分發(fā)時可報告軟件安裝的狀態(tài)，無論軟件正確安裝與否，管理員均可及時了解情況。.補丁及軟件自動分發(fā)管理方案及思路補丁及軟件自動分發(fā)管理支持推、拉兩種方式自動下載補丁。整個補丁管理運行平臺構(gòu)架是：通過下載服務(wù)器及時從補丁廠商網(wǎng)站獲取最新補??；補丁安全測試后，通過補丁分發(fā)管理中心服務(wù)器對網(wǎng)絡(luò)用戶進(jìn)行分發(fā)安裝；補丁安裝支持自動和手動兩種方式。網(wǎng)絡(luò)應(yīng)用對象：①連通互聯(lián)網(wǎng)的網(wǎng)絡(luò)：直接通過補丁下載服務(wù)器將補丁下載至補丁分發(fā)服務(wù)器；①物理隔離網(wǎng)絡(luò)：在互聯(lián)網(wǎng)連通網(wǎng)絡(luò)上安裝補丁下載服務(wù)器模塊，通過補丁下載增量分離工具，區(qū)分內(nèi)網(wǎng)已導(dǎo)入和未導(dǎo)入的補丁，將最新補丁導(dǎo)入到內(nèi)網(wǎng)補丁分發(fā)服務(wù)器。3.4.3.移動存儲介質(zhì)管理3?4?3?1?移動存儲介質(zhì)管理概述該設(shè)計針對內(nèi)網(wǎng)移動存儲介質(zhì)管理的特點進(jìn)行，以移動數(shù)據(jù)生命周期為主導(dǎo)，緊扣其存儲和交換的安全需求，針對移動數(shù)據(jù)全生命周期各個環(huán)節(jié)潛在的安全隱患，綜合運用各種安全技術(shù)和手段，進(jìn)行有效全程防護(hù)的安全產(chǎn)品。設(shè)計時考慮到了區(qū)域訪問控制，信息保密、文件走查審計等方面，確保單位內(nèi)網(wǎng)的信息不因使用移動存儲而造成威脅，做到事前有保護(hù)，事后可追查，提供安全、簡單易用的數(shù)據(jù)交換安全解決方案。該設(shè)計以數(shù)據(jù)為中心，用戶作為數(shù)據(jù)的使用者，主機作為數(shù)據(jù)的存儲者，移動存儲介質(zhì)作為數(shù)據(jù)的遷移者，在管理范圍內(nèi)均賦予唯一的標(biāo)識，三者進(jìn)行相互認(rèn)證。只有經(jīng)認(rèn)證和授權(quán)成功后，才保證合法的用戶在合法的機器上訪問合法存儲介質(zhì)上的數(shù)據(jù)，并形成詳盡的日志供審計。審計移動數(shù)據(jù)安全訪問模型（供參考）.移動存儲介質(zhì)管理方案及思路體系設(shè)計對移動存儲介質(zhì)安全管理范圍應(yīng)該包括U盤、移動硬盤、MP3、手機、智能卡設(shè)備等移動存儲介質(zhì)，以及打印機等外設(shè)，體系設(shè)計與利用移動存儲設(shè)備或其他方式進(jìn)行數(shù)據(jù)交換的相關(guān)終端計算機接口管理，包括光驅(qū)、軟驅(qū)、USB移動存儲接口、USB全部接口、打印機接口、紅外設(shè)及藍(lán)牙設(shè)備等。因此，體系技術(shù)設(shè)計主要包括5類的USB設(shè)備控制問題，包括存儲類(MassStorage)、打印機類(PrinterClass)、智能卡類(SmartCardClass)、圖像類(ImagingClass)、HID設(shè)備類等，并通過相關(guān)的技術(shù)手段提供統(tǒng)一的管理平臺及適用于各類存儲介質(zhì)的應(yīng)用管理策略，確保提供完整有效的移動存儲環(huán)境和移動存儲設(shè)備的安全使用方案。桌面終端管理.桌面終端管理概述網(wǎng)絡(luò)終端安全是一個綜合的系統(tǒng)問題，涉及管理計算機本身、計算機應(yīng)用、計算機操作、計算機使用單位管理規(guī)范等多個方面。因此體系設(shè)計需采用C/S與B/S混合設(shè)計模式，并支持分布式部署，具有模塊化定制，支持標(biāo)準(zhǔn)API、無縫功能擴(kuò)展與升級等優(yōu)點。設(shè)計應(yīng)遵循網(wǎng)絡(luò)防護(hù)與斷點防護(hù)并重理念，對網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、終端管理過程中所面臨的種種問題提供解決方案，實現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理。桌面終端管理體系強化了對網(wǎng)絡(luò)計算機終端狀態(tài)、行為以及事件的管理，并針對基本管理、資產(chǎn)管理、安全管理、運維管理、桌面管理、審計管理等提供的模塊化的防護(hù)功能，并能夠同其它安全設(shè)備進(jìn)行安全集成和報警聯(lián)動。

基本管理墨產(chǎn)管H安全管理運堆営理桌面管S審計営理基本管理墨產(chǎn)管H安全管理運堆営理桌面管S審計営理終端安全模型圖（供參考）3?4?4.2?桌面終端管理方案及思路桌面終端管理需從使用人的基本信息開始記錄，同時包括IP地址、MAC地址、軟硬件資產(chǎn)、進(jìn)程信息、軟件信息、密碼信息、殺毒軟件、計算機資源、流量信息等方面進(jìn)行統(tǒng)計，形成立體式數(shù)據(jù)庫，當(dāng)發(fā)生信息改變或資源報警時，能夠第一時間通知管理人員，便于排查錯誤，并能夠提供給管理人員相應(yīng)的應(yīng)急措施與手段，幫助管理人員迅速解決問題。內(nèi)網(wǎng)安全審計3?4?5?1?內(nèi)網(wǎng)安全審計概述隨著信息安全技術(shù)和理念的發(fā)展，安全監(jiān)控的關(guān)注點已經(jīng)從設(shè)備轉(zhuǎn)向?qū)τ谠O(shè)備使用者的行為，用戶對于設(shè)備使用人行為審計和行為控制的需求越來越明顯，由此國內(nèi)外均已有相關(guān)的政策和法規(guī)陸續(xù)出臺，國內(nèi)的《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》和國外的《薩班斯?奧克斯利法案》也均明確的提出了對主機行為的監(jiān)控和審計要求。通過技術(shù)手段使各種管理條例落實，增強用戶的安全和保密意識，保護(hù)內(nèi)部的信息不外泄。安全審計涉及四個基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計算機應(yīng)用,結(jié)合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方?？刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度?？刂茰y試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。.終端安全審計方案及思路終端安全審計通過統(tǒng)一方式對整個網(wǎng)絡(luò)終端計算機進(jìn)行應(yīng)用策略配置，管理網(wǎng)絡(luò)和查詢審計數(shù)據(jù)，方便用戶操作，有效防范不安全因素對內(nèi)部終端構(gòu)成的威脅，真正做到內(nèi)部終端的安全管理，防止信息泄密。3.5.外網(wǎng)安全管理解決方案實現(xiàn)3.5.1.防火墻.防火墻概述Internet防火墻是這樣的系統(tǒng)（或一組系統(tǒng)），它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。通過主機防火墻，一方面，可以阻斷來自外部的入侵，防止外來入侵給終端計算機帶來危害；另一方面，也可以對終端計算機的網(wǎng)絡(luò)訪問行為進(jìn)行控制，防止內(nèi)網(wǎng)用戶對網(wǎng)絡(luò)資源的濫用行為，如BT下載導(dǎo)致網(wǎng)絡(luò)帶寬過渡占用。通過以上加固措施，使得終端計算機的安全強度和抵抗安全風(fēng)險能力大大提高。更進(jìn)一步，還可以對未及時更新補丁、未安裝防病毒軟件的計算機進(jìn)行網(wǎng)絡(luò)訪問控制和隔離，使其形成內(nèi)網(wǎng)中的“孤島”。避免該終端計算機對內(nèi)網(wǎng)其它主機造成安全威脅。.防火墻與安全策略防火墻不僅僅是路由器、堡壘主機、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，防火墻是安全策略的一個部分。安全策略建立全方位的防御體系，甚至包括：告訴用戶應(yīng)有的責(zé)任，公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及雇員培訓(xùn)等。所有可能受到攻擊的地方都必須以同樣安全級別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。.防火墻的好處Internet防火墻負(fù)責(zé)管理Internet和機構(gòu)內(nèi)部網(wǎng)絡(luò)之間的訪問。在沒有防火墻時，內(nèi)部網(wǎng)絡(luò)上的每個節(jié)點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個主機的堅固程度來決定，并且安全性等同于其中最弱的系統(tǒng)。.防火墻的作用Internet防火墻允許網(wǎng)絡(luò)管理員定義一個中心“扼制點"來防止非法用戶，比如防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網(wǎng)絡(luò)的安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。（注意：對一個與Internet相聯(lián)的內(nèi)部網(wǎng)絡(luò)來說，重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊，而是何時受到攻擊？誰在攻擊？）網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT(NetworkAddressTranslator,網(wǎng)絡(luò)地址變換)的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機構(gòu)在變換ISP時帶來的重新編址的麻煩°Internet防火墻是審計和記錄Internet使用量的一個最佳地方。殺毒軟件.殺毒軟件概述反病毒軟件的任務(wù)是實時監(jiān)控和掃描磁盤。部分反病毒軟件通過在系統(tǒng)添加驅(qū)動程序的方式,進(jìn)駐系統(tǒng),并且隨操作系統(tǒng)啟動。大部分的殺毒軟件還具有防火墻功能。.反病毒軟件技術(shù)脫殼技術(shù)：可以對壓縮文件、加殼文件、加花文件、封裝類文件進(jìn)行分析的技術(shù)。自我保護(hù)技術(shù)：可以防止病毒結(jié)束殺毒軟件進(jìn)程或篡改殺毒軟件文件。修復(fù)技術(shù)：對被病毒損壞的文件進(jìn)行修復(fù)的技術(shù),如病毒破壞了系統(tǒng)文件,殺毒軟件可以修復(fù)或下載對應(yīng)文件進(jìn)行修復(fù)。主動實時升級技術(shù)：云查殺技術(shù)實時訪問云數(shù)據(jù)中心進(jìn)行判斷,用戶無需頻繁升級病毒庫即可防御最新病毒。主動防御技術(shù)：通過動態(tài)仿真反病毒專家系統(tǒng)對各種程序動作的自動監(jiān)視,自動分析程序動作之間的邏輯關(guān)系,綜合應(yīng)用病毒識別規(guī)則知識,實現(xiàn)自動判定病毒,達(dá)到主動防御的目的。啟發(fā)技術(shù)：判斷程序的具體目的是否為病毒、惡意軟件,符合判斷條件即報警提示用戶發(fā)現(xiàn)可疑程序,達(dá)到防御未知病毒、惡意軟件的目的。虛擬機技術(shù)：采用人工智能(AI)算法，具備“自學(xué)習(xí)、自進(jìn)化”能力，無需頻繁升級特征庫,就能免疫大部分的加殼和變種病毒。入侵監(jiān)控系統(tǒng).設(shè)計思想采用相應(yīng)的工具（如入侵檢測,日志分析軟件,網(wǎng)絡(luò)取證分析工具等）對系統(tǒng)內(nèi)的安全事件進(jìn)行監(jiān)控,檢測攻擊行為并能及時發(fā)現(xiàn)系統(tǒng)內(nèi)非授權(quán)使用情況；集中管理系統(tǒng)內(nèi)的所有入侵監(jiān)控設(shè)備；侵監(jiān)控系統(tǒng)應(yīng)與訪問控制或流向控制系統(tǒng)聯(lián)動,以便及時隔離或消除攻擊；應(yīng)能夠及時發(fā)現(xiàn)系統(tǒng)的非授權(quán)接入行為。入侵檢測系統(tǒng)部署入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實時檢測，及時發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實時報警，使得學(xué)校管理員能夠及時采取應(yīng)對措施。漏洞掃描系統(tǒng).漏洞掃描系統(tǒng)概述漏洞掃描就是對計算機系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測，以找出安全隱患和可被黑客利用的漏洞。作為一種保證Web信息系統(tǒng)和網(wǎng)絡(luò)安全必不可少的手段，我們有必要仔細(xì)研究利用。值得注意的是，漏洞掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效的防范黑客入侵。漏洞掃描技術(shù)基于應(yīng)用的檢測技術(shù)。它采用被動的、非**性的辦法檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞。基于主機的檢測技術(shù)。它采用被動的、非**性的辦法對系統(tǒng)進(jìn)行檢測。通常，它涉及到系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補丁等。這種技術(shù)還包括口令解密、把一些簡單的口令剔除。因此，這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)的問題，發(fā)現(xiàn)系統(tǒng)的漏洞。它的缺點是與平臺相關(guān)，升級復(fù)雜?；谀繕?biāo)的漏洞檢測技術(shù)。它采用被動的、非**性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊號等。通過消息文摘算法，對文件的加密數(shù)進(jìn)行檢驗。這種技術(shù)的實現(xiàn)是運行在一個閉環(huán)上，不斷地處理文件、系統(tǒng)目標(biāo)、系統(tǒng)目標(biāo)屬性，然后產(chǎn)生檢驗數(shù)，把這些檢驗數(shù)同原來的檢驗數(shù)相比較。一旦發(fā)現(xiàn)改變就通知管理員?；诰W(wǎng)絡(luò)的檢測技術(shù)。它采用積極的、非**性的辦法來檢驗系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統(tǒng)進(jìn)行攻擊的行為，然后對結(jié)果進(jìn)行分析。它還針對已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗。網(wǎng)絡(luò)檢測技術(shù)常被用來進(jìn)行穿透實驗和安全審記。這種技術(shù)可以發(fā)現(xiàn)一系列平臺的漏洞，也容易安裝。但是，它可能會影響網(wǎng)絡(luò)的性能。在上述四種方式當(dāng)中，網(wǎng)絡(luò)漏洞掃描最為適合我們的Web信息系統(tǒng)的風(fēng)險評估工作，其掃描原理和工作原理為：通過遠(yuǎn)程檢測目標(biāo)主機TCP/IP不同端口的服務(wù)，記錄目標(biāo)的回答。通過這種方法，可以搜集到很多目標(biāo)主機的各種信息（例如：是否能用匿名登錄，是否有可寫的FTP目錄，是否能用Telnet,httpd是否是用root在運行）。在獲得目標(biāo)主機TCP/IP端口和其對應(yīng)的網(wǎng)絡(luò)訪問服務(wù)的相關(guān)信息后，與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，如果滿足匹配條件，則視為漏洞存在。此外，通過模擬黑客的進(jìn)攻手法，對目標(biāo)主機系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等，也是掃描模塊的實現(xiàn)方法之一。如果模擬攻擊成功，則視為漏洞存在。在匹配原理上，網(wǎng)絡(luò)漏洞掃描器采用的是基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員關(guān)于網(wǎng)絡(luò)系統(tǒng)安全配置的實際經(jīng)驗，形成一套標(biāo)準(zhǔn)的系統(tǒng)漏洞庫，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由程序自動進(jìn)行系統(tǒng)漏洞掃描的分析工作。安全網(wǎng)閘.安全網(wǎng)閘概述隨著網(wǎng)絡(luò)應(yīng)用及我國信息化建設(shè)和電子政務(wù)的發(fā)展，網(wǎng)絡(luò)間在物理隔離基礎(chǔ)上進(jìn)行適度、可控和安全的數(shù)據(jù)交換的需求在我國逐漸顯露。安全隔離網(wǎng)閘技術(shù)應(yīng)運而生。網(wǎng)閘技術(shù)在物理隔離技術(shù)基礎(chǔ)上，實現(xiàn)了網(wǎng)絡(luò)間物理層和網(wǎng)絡(luò)協(xié)議斷開的同時進(jìn)行數(shù)據(jù)交換。是新一代高安全度的企業(yè)級信息安全防護(hù)設(shè)備，它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強，而且有效地防范了信息外泄事件的發(fā)生。.網(wǎng)閘與網(wǎng)閘技術(shù)網(wǎng)閘是在兩個不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應(yīng)用服務(wù)。注：網(wǎng)閘的“閘”字取自于船閘的意思，在信息擺渡的過程中內(nèi)外網(wǎng)（上下游）從未發(fā)生物理連接，所以網(wǎng)閘產(chǎn)品必須要有至少兩套主機和一個物理隔離部件才可完成物理隔離任務(wù)?，F(xiàn)在市場上出現(xiàn)的的單主機網(wǎng)閘或單主機中有兩個及多個處理引擎的過濾產(chǎn)品不是真正的網(wǎng)閘產(chǎn)品，不符合物理隔離標(biāo)準(zhǔn)。其只是一個包過濾的安全產(chǎn)品，類似防火墻。注：單主機網(wǎng)閘多以單向網(wǎng)閘來掩人耳目。網(wǎng)閘的基本原理是：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機制獲取所需數(shù)據(jù)。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。安全隔離網(wǎng)閘是由軟件和硬件組成。其硬件設(shè)備由三部分組成:外部處理單元、內(nèi)部處理單元、隔離硬件。當(dāng)用戶的網(wǎng)絡(luò)需要保證高強度的安全，同時又與其它不信任網(wǎng)絡(luò)進(jìn)行信息交換的情況下，如果采用物理隔離卡，信息交換的需求將無法滿足；如果采用防火墻，則無法防止內(nèi)部信息泄漏和外部病毒、黑客程序的滲入，安全性無法保證。在這種情況下，安全隔離網(wǎng)閘能夠同時滿足這兩個要求，又避免了物理隔離卡和防火墻的不足之處，是最好的選擇。網(wǎng)閘的應(yīng)用定位1） 涉密網(wǎng)與非涉密網(wǎng)之間；2） 局域網(wǎng)與互聯(lián)網(wǎng)之間（內(nèi)網(wǎng)與外網(wǎng)之間）；有些局域網(wǎng)絡(luò)，特別是政府辦公網(wǎng)絡(luò)，涉及政府敏感信息，有時需要與互聯(lián)網(wǎng)在物理上斷開，用物理隔離網(wǎng)閘是一個常用的辦法。3） 辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間由于辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的信息敏感程度不同，例如，銀行的辦公網(wǎng)絡(luò)和銀行業(yè)務(wù)網(wǎng)絡(luò)就是很典型的信息敏感程度不同的兩類網(wǎng)絡(luò)。為了提高工作效率，辦公網(wǎng)絡(luò)有時需要與業(yè)務(wù)網(wǎng)絡(luò)交換信息。為解決業(yè)務(wù)網(wǎng)絡(luò)的安全，比較好的辦法就是在辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間使用物理隔離網(wǎng)閘，實現(xiàn)兩類網(wǎng)絡(luò)的物理隔離。4） 電子政務(wù)的內(nèi)網(wǎng)與專網(wǎng)之間在電子政務(wù)系統(tǒng)建設(shè)中要求政府內(nèi)望與外網(wǎng)之間用邏輯隔離，在政府專網(wǎng)與內(nèi)網(wǎng)之間用物理隔離?，F(xiàn)常用的方法是用物理隔離網(wǎng)閘來實現(xiàn)。5）業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間電子商務(wù)網(wǎng)絡(luò)一邊連接著業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器，一邊通過互聯(lián)網(wǎng)連接著廣大民眾。為了保障業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器的安全，在業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間應(yīng)實現(xiàn)物理隔離。上網(wǎng)行為管理.上網(wǎng)行為管理概述實現(xiàn)對互聯(lián)網(wǎng)訪問行為的全面管理。在P2P流量管理、防止內(nèi)網(wǎng)泄密、防范

法規(guī)風(fēng)險、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全等多個方面提供最有效的解決方案。.上網(wǎng)行為管理應(yīng)用背景每個公司都會因為工作的需要，公司開通了網(wǎng)絡(luò)。但是問題來了，員工經(jīng)常在上班時間聊QQ，瀏覽與工作無關(guān)的網(wǎng)頁。有些公司曾經(jīng)實施過懲罰制度，但效果不理想。為此，公司高層反對開通網(wǎng)絡(luò)。這樣一來，員工也有意見，認(rèn)為如果不開通網(wǎng)絡(luò)工作起來不方便?，F(xiàn)在很疑惑，如果開通網(wǎng)絡(luò)，該怎么管理員工呢？嚴(yán)格要求并不是所有的員工都需要網(wǎng)絡(luò)的，銷售、采購?fù)獠繀f(xié)作、生產(chǎn)管理等部門的員工可能需要上網(wǎng)，但是像人事、工程設(shè)計等部門上班時間用網(wǎng)絡(luò)的很少。怎么管理員工上網(wǎng)的行為？是堵還是疏？據(jù)第三方的統(tǒng)計顯示，用戶的意見大致可以分為兩類。一種意見認(rèn)為應(yīng)該嚴(yán)格管理，嚴(yán)懲員工的不良行為；還有一種意見則認(rèn)為，在這個問題上，主管應(yīng)該持開明的態(tài)度，給員工一定的空間。解決之道應(yīng)該是有堵有疏，從而上網(wǎng)行為管理的需求也就出現(xiàn)了。.管理上網(wǎng)行為的原因1：企業(yè)要做好上網(wǎng)行為管理，必須先洞悉企業(yè)內(nèi)使用互聯(lián)網(wǎng)的過程中存在哪些問題？因為不同企業(yè)面臨的問題不同，需要先了解到底有哪些問題？2:然后分析問題的根源，再制定有針對性的策略管控問題；上網(wǎng)行為管理策略

必須是有針對性的、個性化的，這樣才能符合不同企業(yè)本身的管理制度、企業(yè)文化等的要求和需求；3:最后通過審計報表了解問題解決的程度和效果，再根據(jù)報表做管理策略優(yōu)化，進(jìn)而達(dá)到駕馭互聯(lián)網(wǎng)、實現(xiàn)上網(wǎng)行為管理的價值。網(wǎng)頁防篡改系統(tǒng)網(wǎng)頁防篡改系統(tǒng)概述傳統(tǒng)的網(wǎng)頁保護(hù)技術(shù)有基于輪詢檢測檢測技術(shù)、內(nèi)嵌技術(shù)、事件觸發(fā)機制等，大量實踐表明，輪詢檢測技術(shù)檢測效率較低，對服務(wù)器負(fù)載以及帶寬資源消耗較大，而且不能完全杜絕短時間出現(xiàn)外部訪問到非法篡改后的網(wǎng)站，是第一代網(wǎng)頁防篡改技術(shù)，在過去帶寬資源相對不豐富，應(yīng)用系統(tǒng)對系統(tǒng)應(yīng)用資源較少的情況下使用，但不能實時對網(wǎng)頁進(jìn)行恢復(fù)，往往比較滯后；隨著技術(shù)發(fā)展，網(wǎng)站上運行的各類應(yīng)用逐漸增多，服務(wù)器負(fù)載將是網(wǎng)頁防篡改技術(shù)面臨的最大挑戰(zhàn)，內(nèi)嵌技術(shù)的應(yīng)用在一定程度上降低了篡改的幾率，但其部署方式較為復(fù)雜，加密算法的選擇嚴(yán)重影響到了服務(wù)器的負(fù)載，而且時常會出現(xiàn)大量網(wǎng)頁外部不可訪問的狀況，這屬于第二代監(jiān)測技術(shù)；基于事件觸發(fā)機制被大量事實證明是服務(wù)器的負(fù)載最小的一種檢測技術(shù)，簡單，成熟，可靠，已經(jīng)成為目前最主流的檢測技術(shù)，結(jié)合事件觸發(fā)機制的基于文件過濾驅(qū)動級多因子檢測技術(shù)是第三代全新防篡改技術(shù)，通過文件底層驅(qū)動技術(shù)從根本上解決了文件檢測的準(zhǔn)確度，以及針對子文件夾的保護(hù)，程序后臺運行監(jiān)測程序，一旦發(fā)現(xiàn)文件變化，則立即阻止非法變更企圖，效率和安全性都得到了較好的保證，對大中型網(wǎng)站均可以起到很好的保護(hù)效果。網(wǎng)頁防篡改系統(tǒng)特點?基于事件觸發(fā)機制，節(jié)省服務(wù)器自身資源；?基于驅(qū)動級文件保護(hù)技術(shù)，支持各類格式，包含各類動態(tài)頁面；支持大規(guī)模虛擬機、熱備網(wǎng)站系統(tǒng)部署；支持網(wǎng)頁格式類型分類，便于分類保護(hù)；?支持?jǐn)嗑€狀態(tài)下篡改檢測，后臺自動運行；?完全防護(hù)技術(shù)，支持大規(guī)模連續(xù)篡改攻擊防護(hù)；?支持進(jìn)程黑白名單管理，杜絕非法程序非法執(zhí)行；?支持備份可信端安全保護(hù)；?實時監(jiān)測，完全杜絕被篡改內(nèi)容被外界瀏覽；?支持服務(wù)器性能監(jiān)測與閥值告警功能；?支持單獨文件篡改保護(hù)；?支持文件夾篡改保護(hù)；?支持多級目錄文件夾內(nèi)容篡改保護(hù)；?支持異地文件同步功能，異地目錄保護(hù)恢復(fù)功能；?支持文件多種自動方式上傳與人工同步方式；?支持SQL注入攻擊防護(hù)；?支持跨站腳本攻擊防護(hù)；?支持對系統(tǒng)文件的訪問防護(hù)；?支持特殊字符構(gòu)成的URL利用防護(hù)；?支持對危險系統(tǒng)路徑的訪問防護(hù)；?支持構(gòu)造危險的Cookie攻擊防護(hù)；?各類攻擊的變種防護(hù)；?完全支持跨平臺統(tǒng)一管理功能；?支持網(wǎng)頁自動上傳功能，無需人工干涉；?支持多角色用戶管理功能；?自動檢測文件系統(tǒng)變化，并實時記入日志，支持?jǐn)帱c續(xù)傳功能；?支持消息告警、聲音告警、郵件告警或定制短信告警模塊等功能；?實現(xiàn)網(wǎng)站內(nèi)容修改記錄的完全審計功能，支持篩選與導(dǎo)出查詢；?支持網(wǎng)頁自動同步修改等功能；?系統(tǒng)C/S結(jié)構(gòu)，確保高可靠性；?支持服務(wù)器多種遠(yuǎn)程管理功能，如遠(yuǎn)程接管、遠(yuǎn)程喚醒、遠(yuǎn)程關(guān)機、遠(yuǎn)程用戶注銷等；?支持多個策略管理，策略設(shè)置支