网络安全解决方案

结合国家公安部颁布的 《信息系统安全保护等级定级指南》、《信息安全技术 信息系统安全等级保护实施指南》、《信息安全技术 信息系统安全等级保护基本要求》等法规与标准，华清同仁制定了适合企业及政府的信息安全保障体系，主要包括安全基础设施、网络安全、资源安全、应用安全、桌面安全等技术部分，以及安全管理和安全审计两大部分，如下图所示：

          

桌面安全

桌面安全代表公司企业各类人员使用的个人计算设备和资源，如：PC、笔记本、PDA乃至远程虚拟桌面等。在本方案中，桌面层所关注的是桌面作为网络接入节点、应用客户端、访问请求端和离线资产的存储端所面临的安全威胁与安全对策。一般，桌面负责与用户的直接的物理交互。依赖于组织的文化、网络与系统环境，桌面可能是可信的，但大多数情况下是不可信的。在可信情况下，桌面会成为系统边界的组成部分；在不可信的情况下，桌面与系统边界直接连接。

终端桌面安全管理主要提供以下功能和作用： 

√ 对用户未经允许通过笔记本电脑等移动设备和新增设备接入内部网络，或者使用双网卡、调制解调器、WLAN、GPRS、CDMA 1X等方式非法连接互联网的行为进行实时监控，并按预定策略进行阻断，实现防止非法外联和非法接入的功能。 

√ 提供补丁管理功能，自动同步微软补丁信息和自动监测客户端操作系统的补丁使用情况，并自动建立补丁库和补丁信息的查询，并按照操作系统类型、补丁编号、补丁发布时间、补丁风险等级、补丁公告等类别，对下载的补丁进行分类管理，同时，支持用户基于客户端IP范围、操作系统类型、补丁检测周期、补丁类别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等）等自定义补丁策略，自由配置分发，并能在指定时间段或指定地址范围内以推或拉的方式分发和安装补丁，或者根据脚本策略统一控制客户端下载补丁和安装。整个管理过程可控。 

√ 提供对客户端的硬件信息、系统信息、进程、文件、目录、系统服务、软件列表、审计日志等方面信息的收集（应支持自动和手动两种方式）、监视、综合查询（应支持模糊查询方式）和统计报表功能。 

√ 提供对客户端的软驱、光驱、USB口、键盘、鼠标、打印口、移动存储设备、调制解调器、无线网卡、PCMCIA卡、红外线口等外设的启用/禁用的安全控制功能。 

√ 提供对客户端的应用程序执行、进程、软件安装、外设和移动存储设备的使用、文件访问控制、网络控制、Windows策略配置、上网行为控制、日志管理等方面管理的统一配置和批量下发功能。 

√ 提供各种应用软件及相应系统补丁的自动和手动在线分发、远程安装和卸载功能，工作过程不能对用户使用造成严重影响或引起网络拥塞。 

√ 具备与防火墙、IDS等安全设备的联动功能，出现安全事件时，能迅速准确地定位问题主机。

应用安全

应用安全主要考虑应用系统的安全，涉及应用系统使用、数据访问与保护等多方面内容，内容包括：用户接入、身份验证、权限管理等。主要由权限管理系统、用户认证系统、非法拨号监控系统、过滤控制等系统组成。

应用安全上的解决方案是以应用系统的安全设计为基础，以自建CA 认证中心、目录服务器、应用系统日志等为主要手段，保证应用系统的访问及数据安全的方案，主要内容包括： 

√ 建立目录服务器，提供跨系统的单点一次登录的功能； 

√ 按角色定制、设计与分配权限，事前控制用户对系统的访问； 

√ 外部系统用户采用自建CA 认证中心进行用户接入身份验证； 

√ 采用SSL 协议对外部访问进行数据加密处理； 

√ 内部系统用户采用目录服务器进行集中用户登录与身份验证； 

√ 利用目录服务器自身功能对内部系统用户的口令进行加密处理； 

√ 为关键的应用系统流程设计日志功能，以便于事后进行安全问题追查； 

√ 严格按照规定进行数据备份与恢复操作，保证应用系统数据安全。

资源安全

资源库为应用及桌面提供统一的数据服务。资源库的具体存储系统可以为DBMS、文件系统、目录系统或XML类型的存储等。资源库中不仅存储与应用或业务相关的数据，而且还存储有与安全相关的数据，如用户的身份信息、授权信息和安全策略规则信息等。

主要内容包括： 

√ 数据权限控制 

√ 敏感数据加密处理 

√ 数据库审计系统

网络安全

1. 防火墙

我们根据区域划分的原则在企业信息系统的各个区域联接处配置防火墙，使防火墙作为边界安全防线实现网络边界安全。

防火墙的访问控制策略，根据各个区域之间的应用系统业务流程和应用系统的权限提供基于地址、协议、端口、用户、流量的访问控制，支持各种应用和各类协议。

2. 入侵检测系统

在网络中部署了两套入侵检测系统，实施不同安全策略，实现对内外网违规行为、网络攻击的监控与响应。

入侵检测系统部署在企业的相关，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，入侵检测系统能够根据系统安全策略做出响应，包括实时报警、事件登录，自动阻断通信连接或执行用户自的定义安全策略等。

3. 漏洞扫描系统

在企业网络中部署了漏洞扫描系统，可以辅助用户自主地检测与分析全面网络安全弱点，以便及时修补系统漏洞，提高安全系数。

网络系统的安全性取决于网络系统中最薄弱的环节。然而安全策略的制定和实施在实际应用中相差甚远。漏洞扫描系统可以帮助用户正确配置自己的网络系统，如：检测路由器、防火墙等设备配置是否合理，检测各种操作系统是否存在已知漏洞，以及检测应用软件和开放服务中的安全隐患等；漏洞扫描系统会针对检测出的问题提出配置和修补建议，在安全概念中任何系统的缺省设置都是一个巨大的不安全因素。而手工查找漏洞和配置方法的工作量是非常惊人的，漏洞扫描系统可以很好的为用户减轻这一负担。

在多层次的安全防御体系中，漏洞扫描系统对每一个层次都起到了很好的辅助作用。它是综合性安全评估的一个重要工具。

4. 网络审计系统

在企业网络部署网络审计系统记录与安全有关的活动的相关信息并进行识别，记录，存储和分析。 

√ 侦察系统中存在的潜在威胁 

√ 对日常运行状况的统计和分析 

√ 对突发案件和异常事件的事后分析 

√ 辅助侦破和取证 

√ 记录与分析系统运行错误（包括资源冲突等） 

√ 记录与分析程序运行错误 

√ 记录与分析系统安全信息 

√ 记录与分析系统发生的事件 

√ 记录与分析各种审计事件及结果 

√ 记录与分析其它日志信息 

√ 为恢复被破坏的系统提供可靠信息 

√ 识别系统可能受到的损害（damage） 

√ 提供安全审计信息 

√ 为系统受到攻击提供有力的证据

安全基础设施

安全基础设施包括信任机构和系统安全组成。

信任结构指以CA/PKI和PMI为代表的组织信任基础设施，CA技术的成熟和大规模组织统一安全管理的需要促进了信任结构在组织IT基础设施中的引入进程。

系统安全指以设备安全、操作系统安全以及基础服务软件安全等为核心的基础安全机制和服务。系统安全是数据、应用和业务安全的基石，同时也是安全运维的重要组成部分。

信息安全管理建设

管理安全重点强调如何从管理的角度保证信息安全，其主要内容包括：一系列有针对性的安全管理规章、制度与方法，安全组织、人员的配合，培训等。

企业公司在管理安全上的解决方案是以建立及完善信息安全管理的政策、标准、制度和手册为基础，建立及维护信息安全服务水平协议为手段，不断巩固与提高信息安全管理水平的方案，主要内容包括： 

√ 建立并完善各种信息安全管理的政策、标准、制度和手册； 

√ 建立企业公司的信息安全管理组织； 

√ 在安全政策、标准成功推广的基础上，建立信息安全服务水平协议； 

√ 对违反安全管理政策、制度、不按标准作业的个人、行为或基础设施各组成部分发生的信息安全问题进行监控、记录；

√ 分析监控记录，及时对人员进行培训，必要时修改不合理的政策、标准等，同时可以针对发生的安全问题选择更先进的安全技术、产品，甚至重新修订信息安全服务水平协议。

信息安全审计与遵从

安全审计系统作为安全管理平台的一个管理对象或功能，对企业的网络数据流进行采集分析和识别，实时监视网络系统的运行状态，记录网络事件，发现安全隐患，并对网络活动的相关信息进行分析存储和审计回放。主要包括网络审计引擎、数据管理中心和审计中心三个部分，提供邮件收发协议审计、网页浏览审计、文件共享审计、文件传输审计、远程访问审计、数据库操作审计、流量审计、正文内容实时检测、报表分析等功能。