亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　一、網(wǎng)絡(luò)現(xiàn)狀

　　假設(shè)軍情六處目前有計(jì)算機(jī)500臺(tái)，沒有分域管理，所有計(jì)算機(jī)在1個(gè)網(wǎng)絡(luò)中，出口部署有防火墻，以抵御互聯(lián)網(wǎng)常見攻擊，內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)安裝有單機(jī)版防病毒軟件，并定期更新。

　　網(wǎng)絡(luò)中有約50臺(tái)服務(wù)器，部分采用了虛擬化。

　　正是因?yàn)檫@樣的粗放型管理方式，導(dǎo)致病毒、木馬、蠕蟲泛濫，并產(chǎn)生過(guò)黑客滲透到內(nèi)部網(wǎng)絡(luò)的安全事故——對(duì)，在《007：大破天幕殺機(jī)》中各位已經(jīng)看到！

　　二、脆弱性與威脅分析

　　由于目前的網(wǎng)絡(luò)完全是10年前的網(wǎng)絡(luò)結(jié)構(gòu)，因此我們建議將網(wǎng)絡(luò)按照不同的應(yīng)用分為如下三個(gè)區(qū)域：

　　互聯(lián)網(wǎng)區(qū)：100臺(tái)計(jì)算機(jī)，用做資料查詢、網(wǎng)絡(luò)信息發(fā)布等用途。(本區(qū)域也有服務(wù)器，但由于做信息發(fā)布，不存儲(chǔ)敏感信息，因此不單獨(dú)分析。)

　　辦公網(wǎng)區(qū)：400臺(tái)計(jì)算機(jī)，存有大量敏感信息，并嚴(yán)格控制不能在互聯(lián)網(wǎng)發(fā)布。

　　服務(wù)器區(qū)：從屬于辦公網(wǎng)區(qū)，但因功能不同，獨(dú)立分析。

　　不同的安全區(qū)域?qū)嵤﹪?yán)格的訪問(wèn)控制策略，特別是互聯(lián)網(wǎng)區(qū)，物理上與辦公網(wǎng)區(qū)、服務(wù)器區(qū)分開。

　　下面分析脆弱性與威脅：

　　1、互聯(lián)網(wǎng)區(qū)

　　來(lái)自于互聯(lián)網(wǎng)的木馬、病毒、蠕蟲。

　　U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)帶來(lái)的惡意軟件、信息外泄。

　　打印帶來(lái)的安全問(wèn)題。

　　主機(jī)IP和MAC容易被篡改帶來(lái)運(yùn)維和安全風(fēng)險(xiǎn)。

　　刻錄機(jī)帶來(lái)的安全風(fēng)險(xiǎn)。

　　虎視眈眈的黑客帶來(lái)的各種威脅。

　　自帶設(shè)備(BYOD)帶入內(nèi)部網(wǎng)絡(luò)帶來(lái)的安全風(fēng)險(xiǎn)(木馬、病毒等)。

　　隨著手機(jī)、平板電腦的流行而帶來(lái)的移動(dòng)設(shè)備管理(MDM)問(wèn)題。

　　遠(yuǎn)程辦公帶來(lái)的安全問(wèn)題。

　　2、辦公網(wǎng)區(qū)

　　來(lái)自于互聯(lián)網(wǎng)區(qū)的威脅，辦公網(wǎng)區(qū)同時(shí)存在，同時(shí)：

　　重要文檔在流轉(zhuǎn)過(guò)程中的安全問(wèn)題，如不具備某文檔閱讀權(quán)限的人有可能接觸、打開、復(fù)制、打印該文檔。

　　自帶設(shè)備(BYOD)帶入內(nèi)部網(wǎng)絡(luò)，并自動(dòng)攻擊內(nèi)部主機(jī)、服務(wù)器，并將重要資料復(fù)制到BYOD設(shè)備，在聯(lián)網(wǎng)時(shí)回傳到黑客指定地址。

　　同上，U盤、移動(dòng)硬盤、光盤也有可能在外部感染木馬，并通過(guò)上述方式攻擊內(nèi)部計(jì)主機(jī)、服務(wù)器，然后"輪渡"到外部。

　　對(duì)服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無(wú)實(shí)時(shí)監(jiān)控手段。

　　主機(jī)、應(yīng)用系統(tǒng)登錄安全問(wèn)題。

　　3、服務(wù)器區(qū)

　　來(lái)自于互聯(lián)網(wǎng)區(qū)、辦公網(wǎng)區(qū)的威脅，服務(wù)器區(qū)同時(shí)存在，同時(shí)：

　　管理員權(quán)限過(guò)大，可通過(guò)在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的帳號(hào)、口令。

　　管理員可直接在服務(wù)器上讀取OA、E-Mail等的敏感信息。

　　管理員可直接接觸到核心數(shù)據(jù)庫(kù)，容易產(chǎn)生誤操作，或惡意操作。

　　蠕蟲、病毒，往往會(huì)掃描服務(wù)器，進(jìn)行"額外照顧"。

　　低權(quán)限管理員有可能利用此權(quán)限，"提權(quán)"后進(jìn)行越權(quán)、高危操作。

　　三、解決方案

　　1、管理手段

　　加強(qiáng)安全基礎(chǔ)知識(shí)培訓(xùn)，如補(bǔ)丁、口令等知識(shí)。

　　完善管理制度，并確定可執(zhí)行的策略。

　　2、技術(shù)手段(產(chǎn)品部署與安全策略)

　　2.1 互聯(lián)網(wǎng)區(qū)

　　由于本區(qū)域聯(lián)通互聯(lián)網(wǎng)，不存儲(chǔ)任何敏感信息，因此最重要的是保證網(wǎng)絡(luò)的連通性，以確保網(wǎng)絡(luò)聯(lián)通為主，部署如下：

　　APT攻擊防護(hù)：采用整合型產(chǎn)品全方位防護(hù)

　　下一代防火墻：部署在互聯(lián)網(wǎng)出口和核心交換機(jī)之間，開啟安全防護(hù)模塊，用以抵御黑客攻擊、實(shí)現(xiàn)網(wǎng)絡(luò)病毒過(guò)濾、反垃圾郵件、反釣魚郵件，同時(shí)進(jìn)行上網(wǎng)行為管理，對(duì)惡意、非法網(wǎng)站進(jìn)行URL過(guò)濾，同時(shí)開啟網(wǎng)絡(luò)流量控制，保證業(yè)務(wù)流量。對(duì)遠(yuǎn)程辦公用戶，采取VPN撥入方式保證數(shù)據(jù)傳輸安全。

　　終端安全管理系統(tǒng)：文件操作審計(jì)、打印管理、光驅(qū)刻錄管理、IP地址管理、非法接入控制、非法外聯(lián)管理、移動(dòng)存儲(chǔ)介質(zhì)管理、資產(chǎn)管理、軟硬件安裝管理、文檔加密、ARP防護(hù)。

　　網(wǎng)絡(luò)防病毒軟件：制定統(tǒng)一的防病毒策略，實(shí)現(xiàn)整網(wǎng)病毒防范。

　　日志綜合審計(jì)管理系統(tǒng)：Windows/Linux服務(wù)器日志收集與分析；路由器、交換機(jī)、下一代防火墻日志收集與分析；數(shù)據(jù)庫(kù)操作日志收集與分析。同時(shí)旁路部署該設(shè)備，以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)審計(jì)的功能。

　　補(bǔ)丁管理系統(tǒng)：建議采用微軟WSUS，進(jìn)行補(bǔ)丁管理。

　　漏洞掃描系統(tǒng)：對(duì)網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、Windows、Linux等的定期漏洞掃描。

　　CA服務(wù)器：配合USB-KEY，實(shí)現(xiàn)開機(jī)登錄、OA登錄、電子郵件簽名、文檔簽名等功能。

　　WEB應(yīng)用防火墻：對(duì)SQL注入、XSS跨站攻擊等進(jìn)行防范。

　　主機(jī)入侵防護(hù)PC版：實(shí)現(xiàn)主機(jī)層面的入侵防御。

　　2.2 辦公網(wǎng)區(qū)與服務(wù)器區(qū)

　　重要敏感信息全部存儲(chǔ)在本區(qū)域，因此防護(hù)級(jí)別較高，部署如下：

　　APT攻擊防護(hù)：采用整合型產(chǎn)品全方位防護(hù)

　　下一代防火墻：部署在互聯(lián)網(wǎng)出口和核心交換機(jī)之間，開啟安全防護(hù)模塊，用以抵御黑客攻擊、實(shí)現(xiàn)網(wǎng)絡(luò)病毒過(guò)濾、反垃圾郵件、反釣魚郵件，同時(shí)進(jìn)行上網(wǎng)行為管理，對(duì)惡意、非法網(wǎng)站進(jìn)行URL過(guò)濾，同時(shí)開啟網(wǎng)絡(luò)流量控制，保證業(yè)務(wù)流量。對(duì)遠(yuǎn)程辦公用戶，采取VPN撥入方式保證數(shù)據(jù)傳輸安全。

　　終端安全管理系統(tǒng)：文件操作審計(jì)、打印管理、光驅(qū)刻錄管理、IP地址管理、非法接入控制、非法外聯(lián)管理、移動(dòng)存儲(chǔ)介質(zhì)管理、資產(chǎn)管理、軟硬件安裝管理、文檔加密、ARP防護(hù)。

　　網(wǎng)絡(luò)防病毒軟件：制定統(tǒng)一的防病毒策略，實(shí)現(xiàn)整網(wǎng)病毒防范。

　　日志綜合審計(jì)管理系統(tǒng)：Windows/Linux服務(wù)器日志收集與分析；路由器、交換機(jī)、下一代防火墻日志收集與分析；數(shù)據(jù)庫(kù)操作日志收集與分析。同時(shí)旁路部署該設(shè)備，以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)審計(jì)的功能。

　　運(yùn)維安全審計(jì)與管理系統(tǒng)：telnet、SSH、Windows遠(yuǎn)程桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等應(yīng)用協(xié)議的認(rèn)證、授權(quán)、審計(jì)、賬號(hào)管理。以錄像形式存儲(chǔ)內(nèi)部管理員、第三方運(yùn)維人員的各種操作。

　　網(wǎng)絡(luò)運(yùn)維監(jiān)控系統(tǒng)：支持對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫(kù)等的流量、運(yùn)行狀態(tài)監(jiān)控

　　補(bǔ)丁管理系統(tǒng)：建議采用微軟WSUS，進(jìn)行補(bǔ)丁管理。

　　漏洞掃描系統(tǒng)：對(duì)網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、Windows、Linux等的定期漏洞掃描。

　　CA服務(wù)器：配合USB-KEY，實(shí)現(xiàn)開機(jī)登錄、OA登錄、電子郵件簽名、文檔簽名等功能。

　　主機(jī)加固系統(tǒng)：對(duì)Windows、Linux服務(wù)器進(jìn)行加固。

　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：采用旁路抓包方式，對(duì)整網(wǎng)流量進(jìn)行監(jiān)控，對(duì)內(nèi)網(wǎng)的蠕蟲、木馬、攻擊行為進(jìn)行有效監(jiān)控。

　　主機(jī)入侵防護(hù)PC版：實(shí)現(xiàn)主機(jī)層面的入侵防御。

　　主機(jī)入侵防護(hù)服務(wù)器版：對(duì)服務(wù)器進(jìn)行入侵防護(hù)。

　　四、產(chǎn)品清單

　　1、互聯(lián)網(wǎng)區(qū)

　　APT攻擊防護(hù)：采用整合型產(chǎn)品全方位防護(hù)

　　2、辦公網(wǎng)區(qū)與服務(wù)器區(qū)

　　APT攻擊防護(hù)：采用整合型產(chǎn)品全方位防護(hù)

　　五、方案特色

　　采用整合型產(chǎn)品，在保證性能的同時(shí)，減少故障點(diǎn)。

　　對(duì)主機(jī)、網(wǎng)絡(luò)、應(yīng)用層的APT進(jìn)行全方位防護(hù)。

　　在保證安全的前提下提供便捷措施，如VPN，同時(shí)提供MDM。

　　BYOD防護(hù)(終端安全管理、HIPS等)。

　　移動(dòng)存儲(chǔ)介質(zhì)、打印、刻錄管控。

　　日志綜合管理可對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備運(yùn)維日志進(jìn)行統(tǒng)一管理。

　　運(yùn)維審計(jì)可對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)等進(jìn)行統(tǒng)一運(yùn)維管理。