宽已达，国 际出口达到了，网络节点超过个大中城市可以向各种用户提供卫星 帧中继接入信息服务电话电子商 务等服务。年是金桥网建设大发展的年，骨干网带宽及国际出口带宽将进 步扩宽以满足用户的需要网络节点将大规模增加以增加网络的覆盖在已经 建设的网管中心维护中心的基础上，还将建设计费与结算中心客服中心认 证中心数据中心，使网络的规模业务与服务的水平都上到个新的台阶。 随着用户数量的不断扩大，应用水平的不断提高，个不容忽视的问题 网络安全越来越受到人们的关注，对网络安全体系的建立和全面解决方案的需求 迫在眉睫。于是，吉通通信有限责任公司作为金桥工程的业主提出招标，为金桥 网提供整套的安全解决方案。包括安全政策的制定体系结构的设计安全产 品的选择和集成，以及长期的合作和技术支持服务。工程总体目标是在不影响金 桥网当前业务的前提下，实现对金桥网的全面安全管理。 将安全策略硬件及软件等方法结合起来，构成个统的防御系统，有 效阻止非法用户进入网络，减少网络的安全风险。 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时 具备很好的安全取证措施。 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复 到破坏前的状态。最大限度地减少损失。 套完整的安全管理体系应能覆盖包括金桥网国际出口国内网间互联骨干 节点级节点，以及即将建设的二级节点在内的所有节点设备链路和业务服 务系统等，并且根据金桥网的网络结构，管理模式，业务划分，确定安全等级， 针对不同的安全等级，实施相应的安全策略。 金桥网安全总体需求 根据金桥网的特点，全面的安全解决方案需要涉及到网络安全系统安全 数据库系统安全数据安全以及防病毒等多个方面。每个方面都需要结合相关的 安全产品，相应的安全政策，实施包括预防， ， 安全威胁 平台安全的需求 网络的基本安全需求 业务系统的安全需求 服务平台的安全需求 平台安全与平台性能和功能的关系 采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费 用。 平台安全的管理因素 全方位的安全体系 虚拟网技术 以太网的链路安全 防火墙枝术 使用的益处 设置的要素 的基本分类 建设的原则 选择防火墙的要点 入侵检测技术 安全扫描技术 认证和数宇签名技术 技术 企业对技术的需求 应用平台安全 域名服务 病毒防护 应用安全 电子邮件系统安全 操作系统安全 应用系统安全 第四章安全产品的解决方案 安全体系采用的产品分析 防火墙产品 安全监控产品 安全扫描器 病毒防护系统 网络管理系统 安全体系与网络系统的集成 安全体系中的其它问题 技术支持服务集成 第五章安全产品在金桥网络安全结构中的功能实现 防火墙 安全监控防御产品 防病毒 第章安全体系的认识 安全威胁 自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成 的安全威胁成为日益受到严重关注的问题。根据美国的调查，美国每年因为 网络安全造成的经济损失超过亿美元。 由于企业网络内运行的主要是多种网络协议，而这些网络协议并非专为安全 通讯而设计。所以，企业网络可能存在的安全威胁来自以下方面 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如 服务器，服务器及桌面。 防火墙的安全性。防火墙产品自身是否安全，是否设置，需要经过检 验。 来自内部网用户的安全威胁。 缺乏有效的手段监视评估网络系统网络环境，各种安全包括系统级的安全问题也随之产生。 构建平台安全系统，方面由于要进行认证加密监听，分析记录等工 作，由此影响网络效率，并且降低客户应用的灵活性另方面也增加了管理费 用。 但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时， 网络安全是首先要解决的问题。 选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况 下，提供灵活的网络服务通道。 采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的 影响并降低管理费用。 平台安全的管理因素 平台安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理 上的松懈及对安全威胁的认识。 安全威胁主要利用以下途径 系统实现存在的漏洞。 系统安全体系的缺陷。 使用人员的安全意识薄弱。 管理制度的薄弱。 良好的平台管理有助于增强系统的安全性 及时发现系统安全的漏洞。 审查系统安全体系。 加强对使用人员的安全知识教育。 建立完善的系统管理制度。 全方位的安全体系 与其它安全体系如保安系统类似，应用系统的安全体系应包含 访问控制。通过对特定网段服务建立的访问控制体系，将绝大多数攻击 阻止在到达攻击目标之前。 检查安全漏洞。通过对安全漏洞的周期检查，即使攻击可到达攻击目标， 也可使绝大多数攻击无效。 攻击监控。通过对特定网段服务建立的攻击监控体系，可实时检测出绝 大多数攻击，并采取相应的行动如断开网络连接记录攻击过程跟踪 攻击源等。 加密通讯。主动的加密通讯，可使攻击者不能了解修改敏感信息。 认证。良好的认证体系可防止攻击者假冒合法用户。 备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复 数据和系统服务。 多层防御，攻击者在突破第道防线后，延缓或阻断其到达攻击目标。 隐藏内部信息，使攻击者不能了解系统内的基本情况。 设立安全监控中心，为信息系统提供安全体系管理监控，渠护及紧急情 况服务。 第二章用户网络现状分析 金桥工程是我国九五信息化重点工程之。金桥信息网是个以数据通信 为基础的计算机综合信息网，通过金桥工程的建设，建立跨行业跨部门的公用 的安全性。 采用的协议族软件，本身缺乏安全性。 未能对来自的电子邮件夹带的病毒及浏览可能存在的 控件进行有效控制。 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较 少，并且，如果系统设置，很容易造成损失。 平台安全的需求 网络的基本安全需求 满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有 力的安全保障，是建设企业网络系统安全的重要原则。 网络内部部署了众多的网络设备服务器，保护这些设备的正常运行，维护 主要业务系统的安全，是网络的基本安全需求。 对于各科各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的 同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问 题。 业务系统的安全需求 与普通网络应用不同的是，业务系统是应用的核心。对于业务系统应该具有 最高的网络安全措施。 企业网络应保障 访问控调，确保业务系统不被非法访问。 数据安全，保证数据库软硬件系统的整体安全性和可靠性。 入侵检测，对于试图破坏业务系统的恶意行为能够及时发现记录和跟踪， 提供非法攻击的犯罪证据。 来自网络内部其他系统的破坏，或误操作造成的安全隐患。 服务平台的安全需求 服务平台分为两个部分提供网络用户对的访问提供 对网内服务的访问。 网络内客户对的访问，有可能带来些类型的网络安全隐患。如通过 电子邮件引入病毒危险的或应用等。因此，需要在网络内 对上述情况提供集成的网络病毒检测消除等操作。 对网内服务的访问，还会带来更加严重的网络安全隐患。如 等远程服务。因此，需要在网关处，设立严格的监控手段，确保合法用户 登录到合法主机，执行合法应用程序。 平台安全与平台性能和功能的关系 通常，系统安全与性能和功能是对矛盾的关系。如果个系统不向外界提 供任何服务断开，外界是不可能构成安全威胁的。但是，企业接入国际互连网 络，提供网上业务和电子商务等服务，等于将个内部封闭的网络建成了个开 放的使用，如此可能需要允许的连接 就会被禁止。 应用网关 为了解决包过滤路由器的弱点，要求使用软件应用来过滤和传送服务 连接如和。这样的应用称为代理服务，运行代理服务的主机被称为应 用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过洗器更 高的安全性和更大的灵活性。 应用网关的优点是 比包过滤路由器更高的安全件。 提供对协议的过滤，如可以禁止连接的命令。 信息隐藏，应用网关为外部连接提供代理。 健壮的认证和日志。 节省费用，第三方的认证设备软件或硬件只需安装在应用网关上。 简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝 其余的包通过。 应用网关的缺点在于 新的服务需要安装新的代理服务器。 有时需要对客户软件进行修改。 可能会降低网络性能。 应用网关可能被攻击。 线路级网关 线路级网关提供内部网和外部网连接的中继，但不提供额外的处理和过滤能 力。 防火墙 该类防火墙综合了包过滤防火墙及应用网关的特性。能够提供比应用网关更 多的连接特性，但是安全性比较应用网关差。 建设的原则 分析安全和服务需求 以下问题有助于分析安全和服务需求 计划使用哪些服务如，从何处使用服 务本地网，拨号，远程办公室。 增加的需要，如加密或拔号接入支持。 提供以上服务和访问的风险。 提供网络安全控制的同时，对系统应用服务牺牲的代价。 策略的灵活性 相关的网络安全策略总的