這是一個關于企業(yè)信息安全解決方案介紹ppt課件，主要介紹企業(yè)信息安全解決方案、企業(yè)信息安全隱患、信息安全解決方案的市場需求。企業(yè)信息安全解決方案 近年來，垃圾郵件日益蔓延，企業(yè)網頁不時遭到黑客篡改攻擊，計算機病毒泛濫成災，網絡信息系統(tǒng)中的各種犯罪活動已經嚴重危害著社會的發(fā)展和企業(yè)的安全，給全球的企業(yè)造成了巨大的損失。計算機網絡犯罪案件急劇上升，已經成為普遍的國際性問題。形形色色的安全問題不僅給企業(yè)帶來了巨額的經濟損失，也嚴重阻礙了我國的信息化進程。企業(yè)信息安全隱患1、外來的攻擊大部分外來攻擊可分為三類：闖入、拒絕服務、信息竊取。闖入 最常見的攻擊就是闖入，他們闖進計算機里，就向普通合法用戶一樣使用你的電腦。闖入的手段是比較多的，常見的類型是，利用社會工程學攻擊（如：你打個電話給ISP，說你是某個用戶，為了做某些工作，要求立即改變密碼），歡迎點擊下載企業(yè)信息安全解決方案介紹ppt課件哦。

企業(yè)信息安全解決方案介紹ppt課件是由紅軟PPT免費下載網推薦的一款學校PPT類型的PowerPoint.

企業(yè)信息安全解決方案 近年來，垃圾郵件日益蔓延，企業(yè)網頁不時遭到黑客篡改攻擊，計算機病毒泛濫成災，網絡信息系統(tǒng)中的各種犯罪活動已經嚴重危害著社會的發(fā)展和企業(yè)的安全，給全球的企業(yè)造成了巨大的損失。計算機網絡犯罪案件急劇上升，已經成為普遍的國際性問題。形形色色的安全問題不僅給企業(yè)帶來了巨額的經濟損失，也嚴重阻礙了我國的信息化進程。企業(yè)信息安全隱患1、外來的攻擊大部分外來攻擊可分為三類：闖入、拒絕服務、信息竊取。闖入 最常見的攻擊就是闖入，他們闖進計算機里，就向普通合法用戶一樣使用你的電腦。闖入的手段是比較多的，常見的類型是，利用社會工程學攻擊（如：你打個電話給ISP，說你是某個用戶，為了做某些工作，要求立即改變密碼）。比如一種最簡單的方式是猜測用戶名的密碼，在有些情況下這是比較容易的，有許多一般用戶并不太重視自己的密碼，或嫌麻煩怕忘記密碼而將密碼取的容易猜測到，還有一種方法，是搜索整個系統(tǒng)，發(fā)現(xiàn)軟件，硬件的漏洞（BUG）或配置錯誤，以獲得系統(tǒng)的進入權。 拒絕服務 這是一種將對方機器的功能或服務給以遠程摧毀或中斷的攻擊方式，拒絕服務（Denial of services）攻擊的手段也是多種多樣的，最早出現(xiàn)的大概是叫“郵包炸彈”，即攻擊者用一個程序不斷地向被攻擊者的郵箱發(fā)出大量郵件同時還匿藏自己的地址信息，以至于郵件使用者幾乎無法處理。甚至導致郵件服務系統(tǒng)因為大量的服務進程而崩潰。而被襲擊者也無法確認誰是攻擊者。另一些攻擊手段是利用軟件本身的設計漏洞進行遠程攻擊，其中比較著名的是微軟的OOB(Out Of Bond)漏洞，只要對著運行95或NT的139口發(fā)出一個不合法的包，就會導致操作系統(tǒng)輕則斷掉網絡連接，重則徹底死機或重啟。 信息竊取 有一些攻擊手段允許攻擊者即使不操作被攻擊的電腦系統(tǒng)也能得到想要的數(shù)據(jù)。比較典型的是用網絡嗅查器(Sniffer)監(jiān)聽網絡中的包信息，從中發(fā)現(xiàn)有用的信息，如：用戶名，密碼，甚至付款信息等。Sniffer的工作有點象現(xiàn)實社會里裝電話竊聽裝置一樣。在共享式網絡環(huán)境里，Sniffer是很可怕的，它可以監(jiān)聽大量的網絡信息。 2、來自企業(yè)內部的威脅隨著各行各業(yè)信息化建設的推進，內部泄密已經成為威脅企業(yè)信息安全的最大隱患。FBI和CSI對484家公司的信息安全作了調查，結果發(fā)現(xiàn)：   ● 有超過85%的安全威脅來自企業(yè)內部 ● 有16%來自內部未授權的存取 ● 有14%專利信息被竊取 ● 有12%內部人員的財務欺騙 ● 有11%資料或網絡的破壞 ● 中國國內80％的網站存在安全隱患，20％的網站有嚴重安全問題 信息安全解決方案的市場需求 為了解除內外因素對企業(yè)造成的信息安全危機，把由其帶來的經濟損失降到最低，配備一個適合企業(yè)自身且行之有效的網絡安全方案就顯得迫在眉睫了。僅僅是單純的網絡安全產品已經不能滿足企業(yè)的網絡安全防護需求。企業(yè)用戶的整體需求要求網絡安全產品必須向綜合方向發(fā)展，那么技術也就必須要朝融合的方向發(fā)展。用戶需要能夠系統(tǒng)地完善和保障自己的網絡安全。 網絡安全解決方案市場的出現(xiàn)和發(fā)展，既是用戶需求帶動的結果，也是網絡安全領域向全方位、縱深化、專業(yè)化方向發(fā)展的結果。 中小型企業(yè)網絡安全市場潛力巨大 賽迪顧問認為：2005年及未來五年，中國網絡安全產品市場用戶需求空間很大，市場前景廣闊，尤其是中小型企業(yè)用戶的IT應用已經逐漸完善，他們的網絡安全防護意識也已經形成，另外網絡安全服務市場也基本尚未開發(fā)。賽迪顧問建議，政府應當積極為網絡安全產業(yè)創(chuàng)造優(yōu)良的發(fā)展環(huán)境。用戶應當進一步加強網絡安全防范意識，并采取有效手段切實提高防范能力。廠商則應當規(guī)范競爭秩序，在合作競爭中尋求整個安全產業(yè)鏈的發(fā)展出路；廠商還要正確引導用戶的需求，通過提高自身技術和服務創(chuàng)新能力來提升競爭力，從而樹立良好的品牌形象并獲得持續(xù)發(fā)展。 網絡安全因素     影響網絡安全的方面有物理安全、網絡隔離技術、加密與認證、網絡安全漏洞掃描、網絡反病毒、網絡入侵檢測和最小化原則等多種因素，它們是設計信息安全方案所必須考慮的，是制定信息安全方案的策略和技術實現(xiàn)的基礎。 （1）物理安全     物理安全的目的是保護路由器、交換機、工作站、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞、和搭線竊聽攻擊。驗證用戶的身份和權限，防止越權操作；確保網絡設備有一個良好的電磁兼容環(huán)境，建立完備的機房安全管理制度，妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行偷竊和破壞活動等。此外，抑制和防止電磁泄漏也是物理安全的主要問題，往往采用屏蔽措施和偽噪聲技術來解決。 （2）網絡隔離技術 　　根據(jù)功能、保密水平、安全水平等要求的差異將網絡進行分段隔離，對整個網絡的安全性有很多好處�？梢詫崿F(xiàn)更為細化的安全控制體系，將攻擊和入侵造成的威脅分別限制在較小的子網內，提高網絡的整體安全水平。路由器、虛擬局域網VLAN、防火墻是當前主要的網絡分段手段。 （3）加密與認證 　　信息加密的目的是保護網內的數(shù)據(jù)、文件、密碼和控制信息，保護網絡會話的完整性。 對稱密碼的特點是有很強的保密強度且運算速度快，但其必需通過安全的途徑傳送，因此密鑰管理至關重要。 公鑰密碼的優(yōu)點是可以適應網絡的開放性要求，且方便密鑰管理，尤其可實現(xiàn)方便的數(shù)字簽名和驗證，但其算法復雜，加密數(shù)據(jù)速率較低。 　 （4）網絡安全漏洞掃描      安全掃描是網絡安全防御中的一項重要技術，其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、服務器、路由器、交換機、數(shù)據(jù)庫等各種對象。然后根據(jù)掃描結果向系統(tǒng)管理員提交安全性分析報告，為提高網絡安全整體水平產生重要依據(jù)。 （5）網絡反病毒     在傳統(tǒng)的企業(yè)安全方案中，考慮網絡安全因素的時候往往只重視網絡系統(tǒng)，而忽視了反病毒的重要性，盡管后來購買了反病毒軟件，但因為在設計時沒有考慮反病毒策略，結果導致反病毒效果大打折扣。事實上，隨著新技術的發(fā)展，病毒的概念在逐漸的發(fā)生演變，已經從過去單純的對引導區(qū)和系統(tǒng)文件感染發(fā)展到了可通過網絡自動傳播，并且有的不再以系統(tǒng)文件為宿主，而直接寄生在操作系統(tǒng)之上，網頁、Email、共享目錄等都成了網絡病毒傳播的途徑，就近年來發(fā)生的安全事件來看，多半都是網絡型病毒造成的，因此，反病毒技術也由掃描查殺發(fā)展到了到實時監(jiān)控，并且針對特殊的應用服務還出現(xiàn)了相應的防毒系統(tǒng)，如：網關型病毒防火墻，郵件反病毒系統(tǒng)等。 （6）網絡入侵檢測     網絡入侵檢測的目的主要是監(jiān)控主機和網絡系統(tǒng)上發(fā)生的一切事件，一旦發(fā)現(xiàn)有攻擊的跡象或其它不正�，F(xiàn)象就采取截斷、報警等方式進行處理并通知管理員，同時詳細記錄有關的事件日志，以備分析取證。它的實時監(jiān)控和反應大大增強了網絡系統(tǒng)的安全性。 入侵檢測系統(tǒng)一般分為主機型和網絡型，前者監(jiān)控宿主機系統(tǒng)上的攻擊特征，后者監(jiān)控網絡上有符合入侵特征的數(shù)據(jù)包，當前的入侵檢測系統(tǒng)大多都可以與防火墻和反病毒軟件連動，從而更有效地阻斷黑客或病毒的入侵。 （7）最小化原則     從網絡安全的角度考慮問題，打開的服務越多，可能出現(xiàn)的安全問題就會越多。“最小化原則”指的是網絡中賬號設置、服務配置、主機間信任關系配置等應該為網絡正常運行所需的最小限度。關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的賬號等措施可以將系統(tǒng)的危險性大大降低。在沒有明確的安全策略的網絡環(huán)境中，網絡管理員通過簡單關閉不必要或者不了解的網絡服務、刪除主機間的信任關系、及時刪除不必要的賬號等手段也可以將入侵危險降低一半以上。 安全方案的設計和實現(xiàn)      安全方案的好壞直接關系著企業(yè)的信息安全能否真正得到解決，一個不合適的方案不僅浪費了企業(yè)寶貴的財力、物力和人力，而且還無法達到保護企業(yè)信息資源的效果，而一個好的安全方案，則能夠用合適的投入帶來最佳的安全回報，所以說，安全方案的設計是至關重要的。 企業(yè)要了解一定的安全知識，具備一定的辨識力，必要的情況下可以聘請專業(yè)安全咨詢公司做監(jiān)理來完成安全方案的設計和實現(xiàn)。 （1）安全需求分析 ●機房、主機環(huán)境、網絡設備和通信線路對安全的需求 ● Internet接入服務器的安全需求 ● 內部網用戶安全訪問Internet的安全需求 ● 對內網用戶訪問Internet的監(jiān)控及帶寬控制的需求 ● 內部網服務器和外部網站系統(tǒng)的安全需求 ● 電子郵件系統(tǒng)的安全需求 ● 內外網網絡數(shù)據(jù)傳輸安全的需求 ● 計算機病毒防范的需求 ● 用戶身份鑒別和認證的安全需求 ● 數(shù)據(jù)保密存儲的需求 （2）制定安全策略     安全策略在安全方案中起著統(tǒng)領全局的重要作用，對于網絡的建設者和運營者而言，實現(xiàn)安全的第一要務是明確本網的業(yè)務定位、提供的服務類型和提供服務的對象。企業(yè)的安全策略的制定應該在充分的考察和研究以后，至少要對下面的內容進行限定： ●物理安全策略 ● 訪問控制策略 ● 開放的網絡服務及運行級別策略 ● 網絡拓撲、隔離手段、依賴和信任關系 ● 機房設備和數(shù)據(jù)的物理安全及保障 ● 網絡管理職能的分割與責任分擔 ● 用戶的權利分級和責任 ● 攻擊和入侵應急處理流程和災難恢復計劃 ● 密碼安全 ● 網絡安全管理 ● 操作系統(tǒng)及應用和安全產品的更新策略 ● 系統(tǒng)安全配置策略 （3）安全產品和安全服務 安全產品主要有： ● 網絡安全類：掃描器、防火墻、入侵檢測系統(tǒng)、網站恢復系統(tǒng)等 ● 反病毒類：涉及服務器、網關、郵件、專用系統(tǒng)等的反病毒系統(tǒng) ● 商用密碼類：虛擬私有網、公共密鑰體系、密鑰管理系統(tǒng)、加密機等 ● 身份認證類：動態(tài)口令、智能卡、證書、指紋、虹膜等安全服務主要有： ● 安全需求分析 ● 安全策略制定 ● 系統(tǒng)漏洞審計 ● 系統(tǒng)安全加固 ● 系統(tǒng)漏洞修補 ● 滲透攻擊測試 ● 數(shù)據(jù)庫安全管理與加固 ● 安全產品配置 ● 緊急事件響應 ● 網絡安全培訓 典型的企業(yè)信息安全解決方案 （1）網絡應用概述     該企業(yè)的網絡系統(tǒng)是典型的Intranet系統(tǒng)，總部的主網絡系統(tǒng)通過DDN專線與Internet相連，運行有網站服務器系統(tǒng)、郵件服務器系統(tǒng)和Intranet服務器及內部服務器，分別用于發(fā)布公司的網站、構建公司的Email系統(tǒng)及實現(xiàn)本地和遠程網絡化辦公，其中總部的主網絡系統(tǒng)和分支機構的子網絡系統(tǒng)的數(shù)據(jù)通信是通過Internet公網來完成的，此外，公司的研發(fā)中心等重要部門設置在總部。 （2）安全需求分析     為確保公司的整個網絡系統(tǒng)能夠安全穩(wěn)定的運行，需要對重要服務器、重要子網進行安全保護，對傳輸?shù)臄?shù)據(jù)進行加密，用戶的身份進行鑒別等，主要必須解決以下方面的安全問題： ● 服務器系統(tǒng)的安全：包括網站服務器、郵件服務器、Intranet服務器和內部服務器等。 ● 公司總部和分支機構的內部網安全：以防備來自Internet的攻擊，如：病毒、木馬和黑客等。 ● 用戶的身份認定：包括公司員工、網站訪客和網絡會員等。 ● 數(shù)據(jù)傳輸安全：包括總部與分支機構之間、內部網用戶到服務器、移動用戶和家庭用戶到服務器等。 ● 保護重要部門：如研發(fā)中心有公司產品源代碼等重要的資料。 （3）安全策略制定 ● 物理安全策略：如機房環(huán)境、門禁系統(tǒng)、設備鎖、數(shù)據(jù)備份、CMOS安全設置等。 ● 訪問控制策略：為公司總部內部網與Internet網之間、公司總部與分支機構之間、Internet用戶與公司網絡之間等需要進行互連的網絡制定訪問控制規(guī)則。 ● 安全配置及更新策略：對操作系統(tǒng)、應用系統(tǒng)、安全產品等進行升級更新、設置用戶訪問權限及信任關系等。 ● 管理員和用戶策略：制定機房出入管理制度、實行安全責任制等。 ● 安全管理策略：安全規(guī)則設置、安全審計、日志分析、漏洞檢測及修補等。 ● 密碼安全策略：密碼復雜度、密碼更改周期、密碼有效期等。 ● 緊急事件策略：針對攻擊和入侵可能導致的結果制定應急處理流程和災難恢復計劃。 （4）產品選擇及部署     使用安全產品是貫徹安全策略的有效手段，能夠解決大多數(shù)的安全問題。往往需要把安全產品與安全管理和服務有機地結合起來，才能達到較高的安全水平。 ● 交換機：劃分VLAN進行子網隔離、抵抗嗅探類程序和提高網絡傳輸效率。 ● 防火墻：解決內外網隔離及服務器安全防范等問題，主要部署在網絡的Internet接點和重要部門的子網與其它內部子網之間，其中個人防火墻系統(tǒng)安裝在客戶端。 ● 虛擬私有網：解決網絡間數(shù)據(jù)傳輸?shù)陌踩�保密，主要部署需要安全保密的線路兩端的節(jié)點處，如：防火墻和客戶端。 ● 身份認證：解決用戶身份鑒定問題，主要部署在專用認證服務器或需要認證的服務器系統(tǒng)中。 ● 反病毒：防范病毒、木馬、蠕蟲等有害程序的感染與傳播，主要部署在服務器系統(tǒng)和客戶機系統(tǒng)。 ● 入侵檢測系統(tǒng)：安全監(jiān)控和黑客入侵實時報警攔截，主要部署在需要保護的服務器主機和需要保護的子網。 （5）安全教育培訓     在安全方案里面，安全教育也是比較重要的一個環(huán)節(jié)，安全教育能使得掌握基本的安全知識，有利于安全意識的提高，能夠及時制止或避免有可能發(fā)生的安全事件，能夠使安全產品更好地發(fā)揮其作用，也方便了安全管理和服務的實施。一般來說，主要是針對一般網絡用戶和網絡管理員及信息主管等對象實施安全培訓，內容至少要包含以下一些方面： ● 基本網絡知識 ● OSI七層網絡模型及TCP/IP協(xié)議 ● 計算機病毒及防治 ● 常見網絡入侵手段的分析與防范 ● 操作系統(tǒng)及其應用的安全設置 ● 安全產品的安裝和配置 ● 企業(yè)網絡系統(tǒng)的安全管理和維護 ● 數(shù)據(jù)備份與恢復 3、網絡信息安全解決方案的業(yè)界動態(tài) 2005年6月，在由計算機世界方案評析實驗室（CCW Solution Analysis Lab）主辦的2005年優(yōu)秀信息安全應用解決方案評選中，有14家參選者脫穎而出，獲得優(yōu)秀信息安全解決方案獎。它們是：賽門鐵克、聯(lián)想網御、上海安縱、saftnet china、美訊智 、中聯(lián)綠盟 、冠群電腦、（中國）冠群金辰、 anay networks、網新易尚 、中創(chuàng)軟件、 東軟軟件、天融信、華勤通信。   賽門鐵克（Symantec）企業(yè)網絡防病毒解決方案 賽門鐵克成立于1982年，是互聯(lián)網安全技術的全球領導廠商，為企業(yè)、個人用戶和服務供應商提供廣泛的內容和網絡安全軟件及硬件的解決方案，旗下的諾頓品牌是個人安全產品全球零售市場的領導者，在行業(yè)中屢獲獎項。2005年，它推出了一個全方位、多層次的、整體的網絡防病毒解決方案。方案中涉及的防病毒產品有： 網絡結構方面：Symantec從第一層工作站、第二層服務器、第三層電子郵件服務器到第四層防火墻都有相應的防毒軟件提供完整的、全面的防病毒保護，尤其是對電子郵件的防病毒，Symantec 具有最全面的解決方案，包括市場上流行的所有郵件系統(tǒng)以及其他的基于Unix平臺下的郵件系統(tǒng)。 在系統(tǒng)平臺支持方面：Symantec對各種操作系統(tǒng)提供全面的支持，如：IBM AIX，Linux，AS/400，OS/390，SUN Solaris，Dos，Windows/3x，Windows 95/98，Windows NT Workstation/Server，Windows 2000，OS/2，NOVELL Netware，Macintosh等。 在防病毒技術方面：Symantec采用各種先進的反病毒技術，尤其在對付未知病毒和多態(tài)病毒方面，采用了各種先進的技術對其進行查殺，如：啟發(fā)式偵測技術(Bloodhund TM)，神經網絡技術，打擊技術(Striker32)和防宏病毒技術(MVP)等，因此NAV產品不僅能查、殺各種未知病毒，還能修復被病毒感染的文件。 在防病毒軟件和防病毒策略管理方面：通過賽門鐵克的SSC(Symantec System Center) 賽門鐵克網絡防病毒解決方案企業(yè)網絡防病毒提供統(tǒng)一的、集中的、智能的、自動化的、強制執(zhí)行的有效管理方式。 在病毒定義碼和掃描引擎升級方面：采用模塊化(NAVEX)的升級方式，也就是說，用戶每次升級都包括最新的病毒定義碼和掃描引擎，而且各種NAV產品采用的是同一套病毒定義碼和掃描引擎，方便用戶病毒定義碼和掃描引擎的升級，同時計算機在升級完最新的病毒定義碼和掃描引擎后無需重新啟動計算機。 在技術支持和服務方面：Symantec有專門的人員和機構對用戶出現(xiàn)的問題和新病毒提供快速及時的響應，并能迅速提供相應的解決方案。　　 聯(lián)想網御的“等級化安全體系”業(yè)務策略 聯(lián)想網御公司是國內領先的信息安全服務與產品提供商。2005年5月11日，聯(lián)想網御在北京發(fā)布了2005財年的業(yè)務策略，將以“等級化安全體系”為核心全面展開。這是國內第一家安全廠商在對國家等級保護相關政策（27號文件和66號文件）及客戶應用需求做了深入的理論研究和實踐探索的基礎上，配合國家安全建設的步驟，率先將該理論作為業(yè)務的戰(zhàn)略思想。充分顯示了聯(lián)想網御在安全理念、方案、產品、技術的前瞻性和實踐積累上已遙遙領先國內其他廠商。   長期以來，絕大多數(shù)企業(yè)并不清楚怎么建設安全系統(tǒng)才是經濟合理的，既有在投資時吝惜了一部分錢卻造成日后嚴重信息安全損失的案例，也有“投資千萬元保護百萬元資產”的事情，而且還不在少數(shù)。等級化安全體系對于解決安全建設中的相關問題是一種行之有效的方法，能幫助客戶做到心中有數(shù)、建設有序、控制有力。”   “等級化安全體系”旨在根據(jù)不同用戶在不同階段的需求、業(yè)務特性及應用重點，根據(jù)“定級>管理要求>建設方案”三步走的原則，利用等級化與體系化相結合的安全體系設計方法，在遵循國家等級保護制度的同時，將等級化安全理念融會到產品、方案及應用中，為客戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。 聯(lián)想網御還分別針對行業(yè)大客戶以及中小型客戶量身定做了等級化安全體系方案和等級保護方案，并闡述了如何以網御精品構建等級化安全體系，包括聯(lián)想網御產品研發(fā)戰(zhàn)略的等級化思路、多NP萬兆級防火墻等級化服務平臺、SOC安全管理等級化平臺等�？芍^從方案、產品、技術角度將該方法體系落到了實處。 上海安縱的可變基礎平臺—XSTF 現(xiàn)在信息安全需要集成這個概念已經普遍為人所認識。然而目前的安全集成還處在初級階段，往往只是產品的疊加，相互間缺乏標準的通信接口，更為重要的是，還不能與應用緊密地結合起來。因此，用戶迫切需要一個完整的、與應用緊密相關的并且是容易部署、管理和應用的安全解決方案。 上海安縱信息科技有限公司研究開發(fā)的“XSTF”是一個具有高度標準化、良好擴展性，并與應用緊密結合的可變安全基礎平臺，將各種“針對特定環(huán)境或者特殊用途的安全技術和產品”與“對它們的應用、整合、管理”分離開，從而屏蔽底層安全技術細節(jié)，使用戶可參與定制與自身業(yè)務應用相關的安全系統(tǒng)。同時由于平臺的開放性，使系統(tǒng)可以快速整合第三方安全產品，大大提高系統(tǒng)的安全防護能力。用戶可以用這個平臺對業(yè)務應用環(huán)境的安全需求建模，選擇不同安全組件，統(tǒng)一管理和部署，從而快速有效地定制符合自身應用需求的安全解決方案。 整個安全系統(tǒng)是一個“X”模型，而XSTF平臺就是其中的匯聚點。向上，它提供針對業(yè)務應用的安全系統(tǒng)建模方法和工具，以實現(xiàn)個性化定制的需求。對下，提供安全中間件封裝工具和相應技術規(guī)范，可以快速將不同類型的安全產品和技術封裝成平臺可用的安全中間件，從而納入整個安全系統(tǒng)。 冠群金辰中小企業(yè)信息安全解決方案 據(jù)國家經貿委統(tǒng)計，中國各類中小企業(yè)數(shù)量超過1000萬家;在國民經濟中，60%的總產值來自于中小企業(yè)，并為社會提供了70%以上的就業(yè)機會。隨著信息技術與網絡應用的普及，越來越多中小企業(yè)業(yè)務對于信息技術的依賴程度較之以往有了顯著的提高。然而，中小企業(yè)在加快自身信息化建設步伐的同時，由于將更多的精力集中到了各種業(yè)務應用的開展上，再加之受限于資金、技術、人員以及安全意識等多方面因素，造成了大多數(shù)中小企業(yè)在信息安全建設方面的相對滯后。隨著病毒的網絡化與黑客攻擊手段的豐富與先進，防毒、反黑已經成為了中小企業(yè)信息安全建設所面臨的重要課題。 從一個信息安全產品乃至解決方案的發(fā)展歷程來看，了解用戶的期望，是最基礎的一步:首先，從中小型企業(yè)普遍缺乏資金的角度來看，信息安全廠商提供的產品或方案需要具備高度的可用性、針對性、以及經濟性，也就是我們常說的物美價廉;其次，要保證解決方案的易用性，以彌補中小企業(yè)在專業(yè)技術人員方面的匱乏;再次，要保證方案和產品在防毒反黑方面有強大的功能，能夠確實起到保護信息系統(tǒng)正常運轉，保障業(yè)務持續(xù)開展的效果。 　　但是，在這些用戶關心的問題中，最關鍵的還是產品或解決方案的性能。 真正的信息安全保障，不僅僅是單純的信息保護，還應該重視提高安全預警能力、系統(tǒng)的入侵檢測能力，系統(tǒng)的事件反應能力和系統(tǒng)遭到入侵引起破壞的快速恢復能力。 冠群金辰所推崇的深層防御戰(zhàn)略正體現(xiàn)了信息保障的核心思想。深層防御戰(zhàn)略的含義是多方面的，它試圖全面覆蓋一個層次化的、多樣性的安全保障框架。深層防御戰(zhàn)略的核心目標就是在攻擊者成功地破壞了某個保護機制的情況下，其它保護機制依然能夠提供附加的保護。在深層防御戰(zhàn)略(Defense in Depth)中，人、技術和操作是三個主要核心因素，要保障信息及信息系統(tǒng)的安全，三者不可或缺;從技術上講深層防御戰(zhàn)略體現(xiàn)為在包括主機、網絡、系統(tǒng)邊界和支撐性基礎設施等多個網絡環(huán)節(jié)之中如何實現(xiàn)預警、保護、檢測、反應和恢復(WPDRR)這五個安全內容。 基于對信息安全保障這一安全概念的準確理解，冠群金辰從為用戶提供完善的信息安全保障的角度出發(fā)，提出了3S理念，即:Security Solution(安全解決方案)、Security Application(安全應用)和 Security Service(安全服務)。從最早的防計算機病毒領域全面轉型到提供整體的信息安全解決方案。在這個轉型過程中，秉承深層防御戰(zhàn)略的安全思想，不斷對自己的整體安全解決方案進行充實。到目前已經逐步形成三大系列七大產品:主機系列安全產品:龍淵主機核心防護、泰阿KILL安全胄甲;網絡傳輸設施系列安全產品:軒轅防火墻、干將/莫邪入侵檢測系統(tǒng)、承影漏洞掃描器;網絡邊界系列產品:軒轅防火墻、赤霄網關過濾系統(tǒng)、純均虛擬專用網 冠群金辰中小型企業(yè)信息安全解決方案　　針對中小企業(yè)的當前最重要的反黑、防毒的主要信息安全任務，冠群金辰還提出了一套層次化和多樣性的針對性解決方案: 　　●防毒篇: 　　針對計算機病毒的網絡化趨勢，根據(jù)病毒的傳播來源方式，從三個層次上對病毒進行檢測和查殺: 　　邊界:赤霄網關過濾系統(tǒng)對HTTP、FTP、SMTP應用進行病毒查殺　　為防止計算機病毒通過用戶上網瀏覽、下載或發(fā)送電子郵件等方式傳入到用戶網絡中，應該采用網關防病毒機制。網關集中防毒的好處是防毒效率高，設計、實現(xiàn)和維護都比較簡單。 網絡:干將/莫邪入侵檢測系統(tǒng)對網絡病毒進行檢測和定位　　對網絡中流動的病毒進行檢測和定位是另外一種很重要的手段。網絡中沒有安裝有效殺毒工具的站點或者感染上未知病毒的站點很可能會迅速破壞整個網絡的可用性或感染網絡中的機器，由于這類站點一般都不會主動發(fā)出病毒報警，因此及時、迅速、準確地對它們進行檢測和定位對有效的預防和殺除病毒很有幫助，同時它也起到一種有效的病毒預警作用。 主機:泰阿KILL安全胄甲對主機病毒進行查殺　　對于已經入侵到主機的病毒，殺毒工具自然是最有效的安全手段了，但是從管理上講，為有效地檢測和控制病毒，應該采用網絡殺毒工具。網絡殺毒工具的管理有效性體現(xiàn)為幾個方面:殺毒策略統(tǒng)一集中配置，自動并且是強制升級方式;集中病毒報警。通過這種集中管理方式可以做到:減少對客戶端人員的技術和技能要求;全網策略集中同一，保證了防殺病毒的有效性和實時性。 ●反黑篇: 　　同樣，對于黑客攻擊我們也可以從三個層次上進行檢測和預防: 　　邊界:軒轅防火墻阻斷非法攻擊進入網絡　　在邊界通過防火墻、物理隔離設備將攻擊阻擋在網絡外部，對于遠程訪問可以通過VPN方式提供安全的信息傳輸通道，防止黑客竊取信息或非法進入用戶網絡。 網絡:干將/莫邪入侵檢測系統(tǒng)對網絡攻擊進行檢測，并作出反應承影漏洞掃描器對網絡進行評估，減少安全脆弱性　　對網絡中的流量進行檢測，查找正在發(fā)生或將要發(fā)生的網絡攻擊，并及時采取反應措施，比如報警、阻斷、記錄等。在防止威脅的同時，還可以主動去發(fā)現(xiàn)并減少用戶系統(tǒng)的安全脆弱性，通過安全脆弱性評估工具可以實現(xiàn)這一點。 主機:龍淵主機核心防護提高關鍵服務器操作系統(tǒng)的安全級別　　對于用戶業(yè)務來講，主機是基礎的承載平臺，所有應用、數(shù)據(jù)都駐留在主機上，因此主機的安全是用戶業(yè)務安全的最后堡壘，也是最重要的一環(huán)。主機的安全包括主機操作系統(tǒng)的安全、數(shù)據(jù)庫系統(tǒng)的安全以及應用系統(tǒng)的安全，其中操作系統(tǒng)的安全又是所有安全的基礎。在主機上要采取各種可能安全措施(比如安全配置、權限分離、防止緩沖區(qū)溢出攻擊等)來減少自身的安全脆弱性、通過加密保證信息的保密性和完整性、通過完善的日志和審計功能對攻擊行為進行記錄和追蹤、通過備份等應急機制來實現(xiàn)系統(tǒng)的安全恢復。 冠群金辰相關產品簡介　　龍淵服務器核心防護(eTrust Access Control) 　　基于操作系統(tǒng)級的安全保護，可有效地將商用操作系統(tǒng)提升到B1級，是基于主機的防火墻、其具備的高強能力的緩沖區(qū)溢出攻擊防范，完備的審計功能，集中分布式管理等特點都使其適應用戶關鍵業(yè)務服務器的安全加固，從而全面保護關鍵業(yè)務數(shù)據(jù)和應用�！　� 干將/莫邪入侵檢測系統(tǒng)(eTrust Intrusion Detection) 　　入侵檢測系統(tǒng)eTrust Intrusion Detection能監(jiān)控網絡流量、實時檢測可疑的網絡活動和入侵攻擊，它還可同路由器、防火墻等設備實現(xiàn)聯(lián)動、協(xié)調各種安全保護措施，使其最大程度地發(fā)揮整體安全的作用， 泰阿KILL安全胄甲　　KILL安全胄甲是全中文的網絡防病毒產品，具有領先的反病毒技術和強大的集中管理功能，尤其適應計算機病毒網絡化趨勢。結合冠群金辰的eID、KILL過濾網關、KILL安全胄甲可為企業(yè)網絡提供全方位、立體化的防病毒保護�！　〕嘞鯧ILL郵件過濾網關(KILL MailShield Gateway) 　　KILL郵件過濾網是一個集中檢測帶毒郵件的獨立硬件系統(tǒng)，它與用戶的郵件系統(tǒng)類型無關，并支持SMTP認證。郵于KILL郵件過濾網關的物理旁路性和冗余性，它確保了郵件系統(tǒng)的高性能、高可靠性和高兼容性，可有效地防范計算機病毒越來越多地通過郵件方式傳播的途徑。 承影網絡漏洞掃描器(Scanner) 　　承影網絡漏洞掃描器是適合于企業(yè)安全漏洞掃描工具，用來檢查網絡環(huán)境下各種網絡系統(tǒng)與設備的安全缺陷和弱點，并生成漏洞診斷報告和安全建議，幫助管理員鞏固企業(yè)的信息系統(tǒng)安全。　　軒轅防火墻(FireWall) 　　軒轅防火墻是集多種功能于一體的高性能硬件防火墻，是提供百兆和千兆級性能，支持NAT、透明模式等多種工作方式，除了具有狀態(tài)檢測、用戶認證、NAT/PAT、虛擬防火墻、透明代理等功能特點外，還具有豐富的防火墻增值功能，其簡便的管理方式，極佳的性能價格比使得軒轅防火墻適用于各類型企業(yè)及政府機關的網絡邊界保護。 純均虛擬專用網(eTrust VPN) 　　虛擬專用網eTrust VPN可使企業(yè)個人和企業(yè)部門通過因特網、撥號接入網絡等公眾網絡設施實現(xiàn)與企業(yè)內部網安全可靠的連接，如同本地連接一樣。它提供點對點、點對網絡、網絡對網絡等多種工作方式。綠盟科技信息安全解決方案 中小企業(yè)的信息安全建設可以根據(jù)各自的條件采用不同的策略。綠盟科技針對中小企業(yè)信息安全的特點制定出三種中小企業(yè)安全方案。 經濟型（適用于主機數(shù)100用戶以下） 　　防護措施 　　訪問控制系統(tǒng)+防病毒:最基本的安全措施：防火墻系統(tǒng)與網絡防病毒系統(tǒng)，通�？梢缘謸踝�70%的攻擊行為； 　　入侵檢測系統(tǒng):網絡入侵檢測系統(tǒng)可以幫助用戶動態(tài)發(fā)現(xiàn)內部和外部的入侵企圖，及時阻斷，也便于查找攻擊破壞源，縮短響應時間，降低攻擊損失程度； 　　定期脆弱性評估、維護服務:簡單而有必要的的安全服務內容能發(fā)現(xiàn)更多的安全隱患；做到提前預知與防護； 標準型（適用于主機數(shù)100-300用戶） 　　訪問控制系統(tǒng)+防病毒（含垃圾郵件防護模塊）:最基本的安全措施，通常已經建設但需要增加必要的模塊；如防垃圾郵件模塊； 　　入侵檢測系統(tǒng)+風險評估系統(tǒng)（64地址用戶即可）:根據(jù)實際情況可進行分布式部署入侵檢測系統(tǒng)與中心節(jié)點的風險評估系統(tǒng)，建立動態(tài)、實時、周期性防護體系； 　　日常咨詢服務+緊急響應:必要的安全咨詢服務于緊急響應來解決日常安全問題和突發(fā)安全事件，是中小企業(yè)中對實時性要求較高的企業(yè)不可缺少的一部分； 增強型（適用于主機數(shù)300-800用戶） 　　咨詢服務+整體風險評估 　　便于進行全方位的安全架構設計；發(fā)現(xiàn)更多的未知安全隱患； 　　訪問控制系統(tǒng)（含VPN模塊）+防病毒（含垃圾郵件防護模塊） 　　充分考慮系統(tǒng)的可擴展性，保護用戶投資； 　　分布式入侵檢測系統(tǒng)（或多網段檢測）+ 風險評估系統(tǒng)（一個C類地址即可） 　　可進行分布式部署發(fā)現(xiàn)多個網段的異常信息流與內部關鍵字信息定制；建立定期嚴格的安全評估策略； 專用抗拒絕服務系統(tǒng) 　　保護用戶實時發(fā)布系統(tǒng)和對外網站系統(tǒng)的電子商務平臺等，便于提升服務質量； 　　日常咨詢+緊急響應 　　便于處理日常問題或突發(fā)事件的產生； 　　安全制度+安全培訓 　　必要的安全管理措施與安全基礎培訓能增強整體安全水準，提高安全意識； 下面我們通過一個簡單的案例來了解一下信息網絡安全建設的實例： 　　國內一知名電子設備制造企業(yè)，有員工1000人左右，內部主機總數(shù)約400臺。整個網絡采用分層的單出口結構，接入層采用一臺CISCO 設備，通過一條至電信部門的10M專線與廣域網相連。主要應用為內部辦公、網站發(fā)布、郵件系統(tǒng)、財務辦公、部分電子商務以及客戶關系管理系統(tǒng)、人事管理系統(tǒng)等。 企業(yè)總部設在廣州，在南京有一分支機構。網絡曾經過多次改造擴建，目前初具規(guī)模，設備主要采用CISCO設備，服務器系統(tǒng)大多數(shù)采用Windows系列，提供服務的服務器目前有5臺，正打算擴展部分服務系統(tǒng)；此外還有內部服務器系統(tǒng)，主要做用戶文件管理與共享；內部網絡各子網分布在不同的樓層，在交換設備上作了VLAN的劃分，各子網間不允許互訪。財務網絡采用獨立網段，與其它子網邏輯隔離；不允許進行外部訪問，只可以通過電話線路撥號上網。分支機構和部分出差移動辦公人員通過電話撥號上網與內部網絡通過郵件進行信息傳遞。 該企業(yè)由于內部網上病毒危害較大，采購了一套國外網絡防病毒系統(tǒng)；網絡管理人員對服務器系統(tǒng)大約2個月左右進行升級一次，此外在路由設備上作了基本的地址轉換等訪問控制規(guī)則設置。 實際情況是僅采取以上措施仍然沒有達到預期效果，發(fā)生了多起嚴重的安全事件：蠕蟲爆發(fā)造成了網絡阻塞；垃圾郵件占用了郵件服務器過多的空間；web服務時常中斷，在采用監(jiān)聽工具查找時，發(fā)現(xiàn)了經常被外部掃描窺探的痕跡；內部員工在上班時間利用網絡做大流量文件傳輸，嚴重占用了網絡帶寬資源，經常會影響到正常的業(yè)務信息查詢等工作；此外還有內部員工出于好奇作一些嘗試性的攻擊破壞，使得內部服務器區(qū)的服務器經常性的需要進行備份恢復處理等等。為此，該公司信息管理人員深感安全防護已經成為迫在眉睫的工作。 綠盟科技在對網絡實際情況進行了詳細的分析之后決定為其選擇“增強型方案”，在方案設計時主要遵循以下幾個重要原則： 統(tǒng)一性與整體性原則 一個完整網絡系統(tǒng)的各個環(huán)節(jié)，包括設備、軟件、數(shù)據(jù)、人員等，在網絡安全中的地位和影響作用，只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的安全措施。因此，整體安全保障體系建設應遵循統(tǒng)一性、整體性原則，便于今后系統(tǒng)的擴展。 　技術與管理相結合原則 信息網絡系統(tǒng)是一個相對復雜的系統(tǒng)工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現(xiàn)。必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合。 動態(tài)防護原則 　　要根據(jù)網絡安全的變化不斷調整安全措施，適應新的網絡環(huán)境，滿足新的網絡安全需求。 積極防御原則 　　消極防御只能是被動挨打，所以應在技術和管理上創(chuàng)建一個靈活機動、適應性強的安全保障體系，做到積極防御。 多重保護原則 　　任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層被攻破時，其他層仍可保護系統(tǒng)的安全。 分階段實施原則 　　要根據(jù)實際安全需求情況，以及建設內容的重要程度和建設成本等，實行分階段建設的原則，做到安全體系的建設既能夠滿足現(xiàn)階段相當一段時間內安全的需要，又能夠充分利用有限的資金和資源。 在經過整體分析后，整體安全需求及解決方法描述如下： 邊界安全 　　服務器以及內部網絡和外部網絡連接處的入口，保證服務器區(qū)以及內部資源不被非法訪問； 　　在防火墻系統(tǒng)中設VPN模塊，防止各種非授權訪問，也滿足了分支機構的訪問和移動辦公的安全訪問需要；對于財務網絡還設置了代理服務器多重保護； 抗拒絕服務 　　不僅僅能對內部各服務器系統(tǒng)進行抗拒絕服務保護，還能夠對防火墻系統(tǒng)進行防護； 　　設置專業(yè)防拒絕服務的專用黑洞系統(tǒng)； 入侵檢測 　　對于分布環(huán)境下重要網段的攻擊檢測，發(fā)現(xiàn)來源于內部或外部的攻擊，進行記錄和阻斷；也便于發(fā)現(xiàn)網絡內部的異常信息流，如訪問非法網站、內部異常掃描、非主流業(yè)務的大流量傳輸?shù)�；對于蠕蟲大規(guī)模爆發(fā)時即可以查出源地址，便于及時進行處理； 　　利用基于網絡的分布式入侵檢測技術，在服務器區(qū)以及在內部網絡各子網接入部分部署入侵檢測系統(tǒng)；在后期建設中隨著網絡規(guī)模的擴大，在各子網中也可以部署入侵檢測系統(tǒng)，并且采用同一控制臺進行集中統(tǒng)一管理； 安全檢查 　　保證動態(tài)網絡在變化時的風險檢測，同時評估安全風險變化和安全工程的作用； 　　部署專業(yè)級風險評估系統(tǒng)，周期性對網絡內部進行評估檢測，提供專家級補救建議； 安全服務 　　保證網絡遇到各種突發(fā)安全事件時能得到妥善處理；在日常維護中提供專家級咨詢服務；并有利于提高整體安全意識等，滿足動態(tài)性安全需要； 　　在進行安全項目實施前作一次脆弱性安全評估，確定整體安全策略；提供一年內安全咨詢、緊急響應、安全通告、專業(yè)安全培訓、安全制度的更新完善； 項目所采取的安全系統(tǒng)考慮到了現(xiàn)階段的需求，并充分考慮到今后的擴展性，整個安全系統(tǒng)的投入僅占信息網絡整體建設的8%。 網絡管理人員和各類業(yè)務人員參加培訓之后對安全體系的認識有了顯著的提高，出臺了各種安全制度，完善了安全策略措施，該企業(yè)的領導對信息化的進一步建設也表示出了從未有過的信心。 藍盾企業(yè)網絡安全解決方案 主要功能特點　　1.軟、硬件一體化的結構　　防火墻對于用戶來說，只是一個類似路由器的硬件設備，整體系統(tǒng)采用黑盒設計，防火墻系統(tǒng)與硬件緊密結合，發(fā)揮硬件最高效能，減少由于操作系統(tǒng)問題而產生網絡漏洞的可能，提高系統(tǒng)自身安全性。　　 2.獨特的第四網絡接口(對內服務器群) 　　藍盾防火墻防內版擁有四個網絡接口，專門開辟了第四區(qū)間——對內服務區(qū)，將原來安裝在內部網絡中一些重要的服務器集中聯(lián)入本區(qū)域，此區(qū)域與第三區(qū)域不同。對于第三區(qū)域，內網、外網都能訪問;對于第四區(qū)域，只開放給內網某一部分IP訪問，外網無法訪問。這樣構成的系統(tǒng)，既可“防外”又可“防內”，徹底解決了一般防火墻只能“防外”不能“防內”的不足。 3.NAT方式節(jié)省網絡地址資源　　 對于一個小型網絡來說，申請的IP地址不會太多，如果網絡中的每一臺設備都需要一個IP地址，會造成IP地址的嚴重不足。藍盾防火墻提供的網絡地址轉換(Network　Address　Translation)功能不僅可以隱藏內部網絡地址信息，使外界無直接訪問內部網絡設備，同時，它還幫助網絡可以超越地址的限制，合理地安排網絡中上公用Internet　地址和私有地址的內部網用戶順利的訪問Internet　的信息資源，不但不會造成任何網絡應用的阻礙，同時還可以節(jié)省大量的網絡地址資源。 4.高性能的系統(tǒng)核心　　現(xiàn)在商業(yè)操作平臺如Win98、NT、UNIX、LINUX存在著不少漏洞，不斷被黑客在互聯(lián)網上公開、傳播，作為攻擊的目標。藍盾安全小組從底層做起，自行開發(fā)出一套防火墻專用安全平臺，對與流量關系密切的模塊進行優(yōu)化處理，做到高安全性、高穩(wěn)定性和高效率。本系統(tǒng)核心專門為TCP/IP及Firewall而設計，能大大提升系統(tǒng)性能。例如IP　Checksum部分由匯編語言編寫，比同類系統(tǒng)性能提高20%-60%。 5.靈活的WWW端口　　控制通過系統(tǒng)的8887端口，可進入WWW設置管理界面，進行安全規(guī)則和其它功能的設定。為了進一步加強防火墻自身的安全性，避免其它人員打開8887端口，猜測密碼，我們在系統(tǒng)內核中增加了一個端口控制層，通過BDKEY控制軟件，可自由打開或關閉8887端口。 6.提供第三區(qū)域　　除了內部網絡界面和外部網絡界面，系統(tǒng)還增加一個網絡界面，讓管理員靈活應用。如建立DMZ(Demilitarized　Zone)，在其中放置代理服務器或公共應用服務器。 7.支持多種標準服務 　目前，能夠支持哪些傳輸標準是評價一個防火墻系統(tǒng)的重要指標之一，藍盾防火墻系統(tǒng)支持95種通信協(xié)議和730種應用服務，包括WWW、FTP、POP3、數(shù)據(jù)庫服務、多媒體服務、Microsoft網絡服務等等。用戶不必擔心使用了防火墻后出現(xiàn)某些服務失效的副作用。 8.美觀易用的界面　　系統(tǒng)設有基于WWW的管理界面，管理員可以通過由HTML、Java　applet組成的圖形界面對系統(tǒng)進行管理。把復雜繁多的系統(tǒng)功能設置變?yōu)橹庇^易用的WWW界面，大大降低了對網絡管理員的高要求，提高了系統(tǒng)的易用性。9.物理斷開功能系統(tǒng)具有獨特的物理斷開功能，在每個網絡接口中都內置有物理開關模塊。在某些特殊情況下，網絡管理員可以通過網絡對其強行斷開，立即中止該接口數(shù)據(jù)傳輸。 功能模塊 1.智能防御模塊　　系統(tǒng)自動統(tǒng)計、分析通過防火墻的各種連接數(shù)據(jù)，探測出攻擊者，立即斷開與該主機的任何連接，并采取將其IP地址列入黑名單等措施，保護內網所有主機的安全。 2.自動反掃描模塊　　掃描是黑客攻擊的前奏，攻擊前，黑客一般會先掃描一下目標主機打開的服務端口，然后再進行針對性攻擊。本系統(tǒng)在內核設計中引入自動反掃描機制，以最快的速度發(fā)現(xiàn)掃描器，即時斷開其連接，并將該IP地址列入黑名單，在一定時間(約10分鐘)內，該主機無法再對防火墻系統(tǒng)和防火墻保護的內網進行任何訪問。 3.雙向網絡地址轉換模塊　　內部網絡用戶一般沒有合法的Internet　IP地址(Registered　IP　Address)，不能直接對外部網絡進行訪問，這可以通過網絡地址轉換系統(tǒng)得到完滿的解決。當用戶需要對外訪問時，藍盾防火墻系統(tǒng)將會從IP池中的IP動態(tài)分配給用戶，使用戶得到合法的IP地址與外部訪問。端口地址轉換(Port　Address　Translation)可以擴展公司可使用的Internet　IP，用戶的訪問將會映射到IP池中IP的一個端口上去，這使每個合法Internet　IP可以映射六萬多個內部網主機，并發(fā)訪問為16384條。如果企業(yè)希望內部網絡中的服務器可以讓Internet用戶訪問的話，可以利用反向NAT(R-NAT)或反向PAT(R-PAT)系統(tǒng)，為內部網絡服務器作靜態(tài)地址和端口映射，這樣Internet用戶就可以通過本防火墻系統(tǒng)直接訪問該服務器了。 我們的網絡地址轉換系統(tǒng)支持九十多種通信協(xié)議(包括IGMP、ICMP、TCP、UDP等)和七百多種TCP/UDP服務，其中主要包括: 常用服務: HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP、GOPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等。數(shù)據(jù)庫服務: Oracle　SQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等，用戶可以通過防火墻進行數(shù)據(jù)庫操作。 多媒體流: Progressive　Networks　RealAudio、Xing　Technologies　Streamworks、　White　Pines　CuSeeMe、Vocal　Tec　Internet　Phone、VDOnet　VDOLive、　Microsoft　NetShow、Vxtreme　Web　Theater　2等。 支持H.323應用，包括Intel　Internet　Video　Phone、Microsoft　Netmeeting　等。 NetBios、RPC:Microsoft　Network　可以通過本防火墻系統(tǒng)進行通信。同時支持Remote　Procedure　Call。使用Windows、Windows　NT的網絡系統(tǒng)也可以采用本系統(tǒng)作為保護企業(yè)數(shù)據(jù)的防火墻。如果用戶有需要，可以自己定義所需的服務。　　 通過NAT和PAT的結合，巧妙的建立了連接Intranet和Internet的橋梁，藍盾防火墻系統(tǒng)將守護著這棟橋梁。 4.　WWW端口控制模塊　　通過防火墻的8887端口，可進入防火墻的設置管理界面，進行安全規(guī)則和其它功能的設定。為了進一步加強防火墻自身的安全性，避免其它人員打開8887端口，猜測密碼，我們在系統(tǒng)的內核中增加了一個端口控制層，通過BDKEY控制軟件，可自由打開或關閉8887端口，并達到如下目標:1、只有用戶名/密碼驗證正確的管理人員，才能使用BDKEY軟件。2、通過BDKEY向防火墻發(fā)送啟動端口(8887)控制命令后，防火墻會自動綁定管理員主機IP，只有該IP才可以進入8887端口。3、防火墻會自動驗證管理員在BDKEY中填寫的主機IP地址。4、管理人員設置完畢后，可關閉8887端口。 5.物理斷開模塊　　本系統(tǒng)的三個網絡硬件接口中，都內置一個物理開關模塊，通過設置，可斷開任一網絡接口的聯(lián)接，即時中止該網絡接口的任何通信，這樣，在某些特殊環(huán)境下，可進一步提高系統(tǒng)的安全性。 6.　MAC綁定模塊　　為了防止IP欺騙、地址偽裝，本系統(tǒng)提供“MAC綁定”功能。它可以將IP地址和網卡的硬件地址綁定起來，主要用于綁定一些重要的管理員IP和授權IP。 7.實時報警和紀錄安全分析模塊　　本系統(tǒng)提供實時報警功能，對于端口掃描和其它網絡攻擊，紀錄系統(tǒng)會即時發(fā)出警報，提醒管理人員。 本系統(tǒng)可以對每一條訪問進行紀錄，紀錄方式包括簡要紀錄、詳細記錄、發(fā)出警告、記費紀錄(包括來源、目的地、流量、連接時間、次數(shù)等)。 系統(tǒng)提供對任何可疑的行為作出實時的告警提示，告警可疑通過可聞可見的的方式發(fā)出，也可以通過Email發(fā)出信息、發(fā)出SNMP告警到網管系統(tǒng)，或者激活一些用戶定義的告警方式等等。系統(tǒng)提供的統(tǒng)計系統(tǒng)，是體現(xiàn)系統(tǒng)紀錄價值的重要功能。統(tǒng)計功能包括記費統(tǒng)計、使用情況統(tǒng)計、URL訪問統(tǒng)計等等。統(tǒng)計結果可以直接通過WWW管理界面輸出，或通過網絡輸出到第三方計費系統(tǒng)。 金山網絡信息安全整體解決方案 隨著信息化進程的不斷加速，來自快速增長的網絡威脅無疑成為了企業(yè)信息安全的巨大隱患。由于企業(yè)自身業(yè)務的需要及網絡的龐大復雜性，由網絡攻擊、黑客入侵、病毒傳播等造成的網絡堵塞、系統(tǒng)崩潰、數(shù)據(jù)損毀、機密外泄等事件，對企業(yè)來說極易產生災難性的后果。 企業(yè)內部網絡一般存在如下需求： 抵御內外部網絡的計算機病毒 防止非法訪問造成的信息泄密 確保各個分支機構的通訊安全 企業(yè)整體的網絡安全成本控制 防范來自外部網絡的攻擊和入侵 防止由內部人員引起的內部威脅 杜絕垃圾郵件對網絡資源的占用 保護內部重要的服務器及網絡資源 針對這種安全需求，金山做出典型的網絡安全整體解決方案： 從網絡的邊界防護到網絡中的分布式防護，金山信息安全產品為企業(yè)級網絡層層設防把關，不僅能夠有效防御來自網絡之外的安全威脅，亦能有效遏制網絡內部威脅，做到安全管理內外兼?zhèn)洹?網內防護 金山毒霸網絡版 金山毒霸網絡版采用了業(yè)界主流的B/S開發(fā)模式，由管理中心、系統(tǒng)中心、升級服務、服務防毒模塊、客戶機防毒模塊共同組成全網反病毒體系。能夠有效攔截和清除目前泛濫的各種網絡病毒，并提供強大的管理功能和全網漏洞統(tǒng)一掃描修復功能，真正使企業(yè)反病毒工作變的輕松高效： 您可以在總部的IT中心實現(xiàn)對總部、分支部門、派出機構、辦事處等網絡的反病毒集中統(tǒng)一管理 基于WEB的控制臺將使您在任何一臺聯(lián)網的終端實施全局操控，真正實現(xiàn)了管理“無處不在” 快速智能的升級體系將自動更新您的反病毒體系，多種安裝部署方式能夠最大限度貼和網絡需求 結合反黑的“全網漏洞掃描”使您能夠徹底杜絕利用漏洞傳播和攻擊的病毒威脅。強大的病毒防殺能力和可靠的實時檢測將成為安全的堅實后盾 多途徑報警將使您能在第一時間獲取病毒疫情報告，快速制定應對策略 金山毒霸中小企業(yè)版 金山毒霸中小企業(yè)版是一套專為中小型企業(yè)級網絡環(huán)境設計的反病毒解決方案，它采用業(yè)界主流的B/S開發(fā)模式，由系統(tǒng)中心（擁有基于Web的控制臺）、客戶端、服務器端形成了全網反病毒體系，能夠為企事業(yè)單位網絡范圍內的桌面系統(tǒng)和網絡服務器提供可伸縮、跨平臺的全面病毒防護： 金山毒霸中小企業(yè)版率先推出采用了全網智能漏洞修復技術，它支持管理員通過控制臺統(tǒng)一掃描網絡內計算機的各種安全漏洞，并作針對性修復。整個修復過程對普通用戶完全透明，且不會因用戶登錄權限而受到限制。 率先實現(xiàn)的全天候全網主動實時功能讓安全永遠領先一步 分步式的防毒節(jié)點結合跨多平臺的防毒技術使網絡防毒不留盲點 基于Web的中央管理控制、多途徑部署方式（Web安裝、登錄腳本安裝、遠程安裝、光盤安裝）讓體系的管理控制與部署更加高效便捷 多途徑報警機制、圖形化的安全日志信息保證快速應對病毒疫情，合理制定安全策略 “簡”“繁”隨意切換的客戶端界面充分照顧到普通桌面用戶多種使用需求。 金山防水墻 金山防水墻系統(tǒng)采用集成化網絡安全防衛(wèi)思想，遵循P2DR安全模型，應用集成防衛(wèi)的理論與技術，采用分布式的體系結構，通過安全策略的設計及集中的安全控制管理平臺，提供一套功能強大的安全管理控制系統(tǒng)；在降低網絡安全管理成本的同時，能有效的保護網絡和主機系統(tǒng)的安全，防止內部的信息泄漏。 網關防護 金山防火墻 金山防火墻高度集成了防火墻、ASIC VPN、入侵檢測、帶寬管理、防拒絕服務網關、多媒體通信安全、認證授權、內容安全控制、ADSL/ISDN接入安全、高可用性配置能力等眾多安全角色，提供高度安全、可信和健壯的安全解決方案，真正實現(xiàn)了單一設備對網絡的多重防護。 金山防毒墻 金山防毒墻采用專有易管理的安全操作平臺，集成了高效穩(wěn)定的金山毒霸反病毒引擎，通過對多種協(xié)議的支持，處理來自外部網絡的病毒、垃圾郵件和網絡入侵行為，同時還具有防火墻、VPN、入侵檢測及阻斷等多種安全服務，是一款UTM產品的杰出代表。金山防毒墻利用的深度檢測技術，保證了金山防毒墻能夠在網絡的各個層面對網絡資源和數(shù)據(jù)實施全面防護。 郵件防護 金山毒霸安全郵件網關 金山毒霸安全郵件網關將病毒防御、反垃圾郵件、內容審查以及抗攻擊能力無縫地整合到一個解決方案中： 作為保證電子郵件本身安全和電子郵件系統(tǒng)穩(wěn)定的一道防線，杜絕來自Internet的病毒、垃圾郵件、非法內容郵件等進出企業(yè)內部郵件系統(tǒng)的可能性。 構建在擁有自主產權的殺毒引擎、垃圾郵件檢測引擎以及內容審查之上，支持多種操作系統(tǒng)，適用于任何采用了SMTP協(xié)議的郵件系統(tǒng)。能夠在病毒程序、垃圾郵件和不良信息進入您的內部郵件系統(tǒng)之前，便對其進行遏制、阻截。有效阻止機密的泄漏，避免網絡帶寬的損耗，節(jié)省郵件系統(tǒng)存儲空間；大幅地提高郵件系統(tǒng)的穩(wěn)定性和工作效率，保護企業(yè)的商機和聲譽。 題目：校園信息安全解決方案企業(yè)信息安全解決方案醫(yī)院信息安全解決方案電信部門信息安全解決方案電子政務信息安全解決方案金融證券業(yè)信息安全解決方案 應用概述安全需求分析安全策略制定產品選擇與部署安全管理與服務hcI紅軟基地

企業(yè)信息安全培訓ppt：這是企業(yè)信息安全培訓ppt，包括了信息安全基本常識，信息安全形勢和任務，個人信息安全防護基本技能等內容，歡迎點擊下載。

大型企業(yè)信息安全架構及實踐介紹PPT：這是一個關于大型企業(yè)信息安全架構及實踐介紹PPT，主要介紹了企業(yè)信息安全的壓力和挑戰(zhàn)、企業(yè)信息安全體系架構、企業(yè)信息安全實踐、安全專家服務案例和經驗共享等內容。大型企業(yè)信息安全架構及實踐 信息安全的維護，不再只是IT部門的職責，與企業(yè)的營運和生產也息息相關。中國電信集團公司 2009.4 08年財富1000公司的IT安全關注點調查企業(yè)自身安全之外的合規(guī)性要求國信辦的《關于開展信息安全風險評估工作的意見》2006年元月《信息安全風險評估指南》、《信息安全風險管理指南》，2006年4月18日正式成為國標，由國家測評中心頒布公安部2004年9月《關于信息安全等級保護工作的實施意見》 66號文，等級保護關于全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安[2007]861號）安全等級保護國家頒布的安全等級保護技術要求公安部2005年12月頒布《互聯(lián)網安全保護技術措施規(guī)定》82號令美國公眾上市公司需要遵循的薩班斯（Sarbanes Oxley）法案 IT治理（IT Governance）和IT控制框架（IT Control Framework）用戶帳號管理和權限管理、保護組織記錄、信息系統(tǒng)的安全審計、文檔、郵件的歸檔針對服務組織的要求由美國注冊公共會計師協(xié)會(AICPA)發(fā)起的評估服務組織內部控制和安全措施是否充分的SAS70標準 BS7799/ISO27001標準，指導企業(yè)以安全風險管理為基礎，建立信息系統(tǒng)安全管理系統(tǒng)ISMS，歡迎點擊下載大型企業(yè)信息安全架構及實踐介紹PPT哦。