保護資訊保安的措施

現在是網際網路的時代，每家每戶基本上已經有了電腦上網了，在上網的時候要注意好資訊的安全防範，避免造成個人的損失。以下是小編給大家整理的資料，歡迎大家閱讀參考!

一、網站執行安全保障措施

1、網站伺服器和其他計算機之間設定經公安部認證的防火牆， 並與專業網路安全公司合作，做好安全策略，拒絕外來的惡意攻擊，保障網站正常執行。

2、在網站的伺服器及工作站上均安裝了正版的防病毒軟體，對計算機病毒、有害電子郵件有整套的防範措施，防止有害資訊對網站系統的干擾和破壞。

3、做好生產日誌的留存。網站具有儲存60天以上的系統執行日誌和使用者使用日誌記錄功能，內容包括IP地址及使用情況，主頁維護者、郵箱使用者和對應的IP地址情況等。

4、互動式欄目具備有IP地址、身份登記和識別確認功能，對沒有合法手續和不具備條件的電子公告服務立即關閉。

5、網站資訊服務系統建立雙機熱備份機制，一旦主系統遇到故障或受到攻擊導致不能正常執行，保證備用系統能及時替換主系統提供服務。

6、關閉網站系統中暫不使用的服務功能，及相關埠，並及時用補丁修復系統漏洞，定期查殺病毒。

7、伺服器平時處於鎖定狀態，並保管好登入密碼;後臺管理介面設定超級使用者名稱及密碼，並繫結IP，以防他人登入。

8、網站提供集中式許可權管理，針對不同的應用系統、終端、操作人員，由網站系統管理員設定共享資料庫資訊的訪問許可權，並設定相應的密碼及口令。不同的操作人員設定不同的使用者名稱，且定期更換，嚴禁操作人員洩漏自己的口令。對操作人員的許可權嚴格按照崗位職責設定，並由網站系統管理員定期檢查操作人員許可權。

9、公司機房按照電信機房標準建設，內有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統和消防系統，定期進行電力、防火、防潮、防磁和防鼠檢查。

二、資訊保安保密管理制度

1、我公司建立了健全的資訊保安保密管理制度，實現資訊保安保密責任制，切實負起確保網路與資訊保安保密的責任。嚴格按照“誰主管、誰負責”、“誰主辦、誰負責”的原則，落實責任制，明確責任人和職責，細化工作措施和流程，建立完善管理制度和實施辦法，確保使用網路和提供資訊服務的安全。

2、網站資訊內容更新全部由網站工作人員完成，工作人員素質高、專業水平好，有強烈的責任心和責任感。網站所有資訊釋出之前都經分管領導稽核批准。 工作人員採集資訊將嚴格遵守國家的有關法律、法規和相關規定。嚴禁通過我公司網站及簡訊平臺散佈《網際網路資訊管理辦法》等相關法律法規明令禁止的資訊(即“九不準”)，一經發現，立即刪除。

3、遵守對網站服務資訊監視，儲存、清除和備份的制度。開展對網路有害資訊的清理整治工作，對違法犯罪案件，報告並協助公安機關查處。

4、所有資訊都及時做備份。按照國家有關規定，網站將儲存60天內系統執行日誌和使用者使用日誌記錄，簡訊服務系統將儲存5個月以內的系統及使用者收發簡訊記錄。

5、制定並遵守安全教育和培訓制度。加大宣傳教育力度，增強使用者網路安全意識，自覺遵守網際網路管理有關法律、法規，不洩密、不製作和傳播有害資訊，不連結有害資訊或網頁。

三、使用者資訊保安管理制度

1、我公司鄭重承諾尊重並保護使用者的個人隱私，除了在與使用者簽署的隱私政策和網站服務條款以及其他公佈的準則規定的情況下，未經使用者授權我公司不會隨意公佈與使用者個人身份有關的資料，除非有法律或程式要求。

2、所有使用者資訊將得到本公司網站系統的安全儲存，並在和使用者簽署的協議規定時間內保證不會丟失;

3、嚴格遵守網站使用者帳號使用登記和操作許可權管理制度，對使用者資訊專人管理，嚴格保密，未經允許不得向他人洩露。

資訊保安簡介

資訊保安主要包括以下五方面的內容，即需保證資訊的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。資訊保安本身包括的範圍很大，其中包括如何防範商業企業機密洩露、防範青少年對不良資訊的瀏覽、個人資訊的洩露等。網路環境下的資訊保安體系是保證資訊保安的關鍵，包括電腦保安作業系統、各種安全協議、安全機制(數字簽名、訊息認證、資料加密等)，直至安全系統，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全域性安全。資訊保安是指資訊系統(包括硬體、軟體、資料、人、物理環境及其基礎設施)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、洩露，系統連續可靠正常地執行，資訊服務不中斷，最終實現業務連續性。

資訊保安學科可分為狹義安全與廣義安全兩個層次，狹義的安全是建立在以密碼論為基礎的電腦保安領域，早期中國資訊保安專業通常以此為基準，輔以計算機技術、通訊網路技術與程式設計等方面的內容;廣義的資訊保安是一門綜合性學科，從傳統的電腦保安到資訊保安，不但是名稱的變更也是對安全發展的延伸，安全不在是單純的技術問題，而是將管理、技術、法律等問題相結合的產物。

資訊保安產品

20xx年資訊保安產業將步入高速發展階段，而整個網際網路使用者對安全產品的要求也轉入"主動性安全防禦"。隨著使用者安全防範意識正在增強，主動性安全產品將更受關注，主動的安全防禦將成為未來安全應用的主流。

終端方案

終端安全解決方案是以終端安全保護系統全方位綜合保障終端安全，並以資料安全保護系統重點保護終端敏感資料的安全。終端安全保護系統以"主動防禦"理念為基礎，採用自主智慧財產權的基於標識的認證技術，以智慧控制和安全執行雙重體系結構為基礎，將全面安全策略與作業系統有機結合，通過對程式碼、埠、網路連線、移動儲存裝置接入、資料檔案加密、行為審計分級控制，實現作業系統加固及資訊系統的自主、可控、可管理，保障終端系統及資料的安全。

安全軟體

資料安全保護系統能夠實現資料文件的透明加解密保護，可指定型別檔案加密、指定程式建立檔案加密，杜絕文件洩密。實現資料文件的強制訪問控制和統一管理控制、敏感檔案及加密金鑰的冗餘儲存備份，包括檔案許可權管理、使用者管理、共享管理、外發管理、備份管理、審計管理等。對政府及企業的各種敏感資料文件，包括設計文件、設計圖紙、原始碼、營銷方案、財務報表及其他各種涉及企業商業祕密的文件，都能實現穩妥有效的保護。 資訊保安影響因素

資訊保安與技術的關係可以追溯到遠古。埃及人在石碑上鐫刻了令人費解的象形文字;斯巴達人使用一種稱為密碼棒的工具傳達軍事計劃，羅馬時代的凱撒大帝是加密函的古代將領之一，"凱撒密碼"據傳是古羅馬凱撒大帝用來保護重要軍情的加密系統。它 是一種替代密碼，通過將字母按順序推後 3 位起到加密作用，如將字母 A 換作字母 D， 將字母 B 換作字母 E。英國電腦科學之父阿蘭·圖靈在英國布萊切利莊園幫助破解了 德國海軍的 Enigma 密電碼，改變了二次世界大戰的程序。美國 NIST 將資訊保安控制分 為 3 類。

(1)技術，包括產品和過程(例如防火牆、防病毒軟體、侵入檢測、加密技術)。

(2)操作，主要包括加強機制和方法、糾正執行缺陷、各種威脅造成的執行缺陷、物 理進入控制、備份能力、免予環境威脅的保護。

(3)管理，包括使用政策、員工培訓、業務規劃、基於資訊保安的非技術領域。 資訊系統安全涉及政策法規、教育、管理標準、技術等方面，任何單一層次的安全措 施都不能提供全方位的安全，安全問題應從系統工程的角度來考慮。圖 8-1 給出了 NSTISSC 安全模型。

安全威脅

(1) 資訊洩露:資訊被洩露或透露給某個非授權的實體。

(2) 破壞資訊的完整性:資料被非授權地進行增刪、修改或破壞而受到損失。

(3) 拒絕服務:對資訊或其他資源的合法訪問被無條件地阻止。

(4) 非法使用(非授權訪問):某一資源被某個非授權的人，或以非授權的方式使用。

(5) 竊聽:用各種可能的合法或非法的手段竊取系統中的資訊資源和敏感資訊。例如對通訊線路中傳輸的訊號搭線監聽，或者利用通訊裝置在工作過程中產生的電磁洩露擷取有用資訊等。

(6) 業務流分析:通過對系統進行長期監聽，利用統計分析方法對諸如通訊頻度、通訊的資訊流向、通訊總量的變化等引數進行研究，從中發現有價值的資訊和規律。

(7) 假冒:通過欺騙通訊系統(或使用者)達到非法使用者冒充成為合法使用者，或者特權小的使用者冒充成為特權大的使用者的目的。黑客大多是採用假冒攻擊。

(8) 旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如，攻擊者通過各種攻擊手段發現原本應保密，但是卻又暴露出來的一些系統"特性"，利用這些"特性"，攻擊者可以繞過防線守衛者侵入系統的內部。

(9) 授權侵犯:被授權以某一目的使用某一系統或資源的某個人，卻將此許可權用於其他非授權的目的，也稱作"內部攻擊"。

(10)特洛伊木馬:軟體中含有一個覺察不出的有害的程式段，當它被執行時，會破壞使用者的安全。這種應用程式稱為特洛伊木馬(Trojan Horse)。

(11)陷阱門:在某個系統或某個部件中設定的"機關"，使得在特定的資料輸入時，允許違反安全策略。

(12)抵賴:這是一種來自使用者的攻擊，比如:否認自己曾經發布過的某條訊息、偽造一份對方來信等。

(13)重放:出於非法目的，將所截獲的某次合法的通訊資料進行拷貝，而重新發送。

(14)計算機病毒:一種在計算機系統執行過程中能夠實現傳染和侵害功能的程式。

(15)人員不慎:一個授權的人為了某種利益，或由於粗心，將資訊洩露給一個非授權的人。

(16)媒體廢棄:資訊被從廢棄的磁碟或列印過的儲存介質中獲得。

(17)物理侵入:侵入者繞過物理控制而獲得對系統的訪問。

(18)竊取:重要的安全物品，如令牌或身份卡被盜。

(19)業務欺騙:某一偽系統或系統部件欺騙合法的使用者或系統自願地放棄敏感資訊等等。

資訊保安的重要性

資訊作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對於人類具有特別重要的意義。資訊保安的實質就是要保護資訊系統或資訊網路中的資訊資源免受各種型別的威脅、干擾和破壞，即保證資訊的安全性。根據國際標準化組織的定義，資訊保安性的含義主要是指資訊的完整性、可用性、保密性和可靠性。資訊保安是任何國家、政府、部門、行業都必須十分重視的問題，是一個不容忽視的國家安全戰略。但是，對於不同的部門和行業來說，其對資訊保安的要求和重點卻是有區別的。

中國的改革開放帶來了各方面資訊量的急劇增加，並要求大容量、高效率地傳輸這些資訊。為了適應這一形勢，通訊技術發生了前所未有的爆炸性發展。除有線通訊外，短波、超短波、微波、衛星等無線電通訊也正在越來越廣泛地應用。與此同時，國外敵對勢力為了竊取中國的政治、軍事、經濟、科學技術等方面的祕密資訊，運用偵察臺、偵察船、偵察機、衛星等手段，形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網，擷取中國通訊傳輸中的資訊。

從文獻中瞭解一個社會的內幕，早已是司空見慣的事情。在20世紀後50年中，從社會所屬計算機中瞭解一個社會的內幕，正變得越來越容易。不管是機構還是個人，正把日益繁多的事情託付給計算機來完成，敏感資訊正經過脆弱的通訊線路在計算機系統之間傳送，專用資訊在計算機記憶體儲或在計算機之間傳送，電子銀行業務使財務賬目可通過通訊線路查閱，執法部門從計算機中瞭解罪犯的前科，醫生們用計算機管理病歷，最重要的問題是不能在對非法(非授權)獲取(訪問)不加防範的條件下傳輸資訊。

傳輸資訊的方式很多，有局域計算機網、網際網路和分散式資料庫，有蜂窩式無線、分組交換式無線、衛星電視會議、電子郵件及其它各種傳輸技術。資訊在儲存、處理和交換過程中，都存在洩密或被截收、竊聽、竄改和偽造的可能性。不難看出，單一的保密措施已很難保證通訊和資訊的安全，必須綜合應用各種保密措施，即通過技術的、管理的、行政的手段，實現信源、訊號、資訊三個環節的保護，藉以達到祕密資訊保安的目的。

某市政府中心網路安全方案設計

1.1安全系統建設目標

本技術方案旨在為某市政府網路提供全面的網路系統安全解決方案，包括安全管理制度策略的制定、安全策略的實施體系結構的設計、安全產品的選擇和部署實施，以及長期的合作和技術支援服務。系統建設目標是在不影響當前業務的前提下，實現對網路的全面安全管理。

1) 將安全策略、硬體及軟體等方法結合起來，構成一個統一的防禦系統，有效阻止非法使用者進入網路，減少網路的安全風險;

2) 通過部署不同型別的安全產品，實現對不同層次、不同類別網路安全問題的防護;

3) 使網路管理者能夠很快重新組織被破壞了的檔案或應用。使系統重新恢復到破壞前的狀態。最大限度地減少損失。

具體來說，本安全方案能夠實現全面網路訪問控制，並能夠對重要控制點進行細粒度的訪問控制;

其次，對於通過對網路的流量進行實時監控，對重要伺服器的執行狀況進行全面監控。

1.1.1 防火牆系統設計方案

防火牆對伺服器的安全保護

網路中應用的伺服器，資訊量大、處理能力強，往往是攻擊的主要物件。另外，伺服器提供的各種服務本身有可能成為"黑客"攻擊的突破口，因此，在實施方案時要對伺服器的安全進行一系列安全保護。

如果伺服器沒有加任何安全防護措施而直接放在公網上提供對外服務，就會面臨著"黑客"各種方式的攻擊，安全級別很低。因此當安裝防火牆後，所有訪問伺服器的請求都要經過防火牆安全規則的詳細檢測。只有訪問伺服器的請求符合防火牆安全規則後，才能通過防火牆到達內部伺服器。防火牆本身抵禦了絕大部分對伺服器的攻擊，外界只能接觸到防火牆上的特定服務，從而防止了絕大部分外界攻擊。

防火牆對內部非法使用者的防範

網路內部的環境比較複雜，而且各子網的分佈地域廣闊，網路使用者、裝置接入的可控性比較差，因此，內部網路使用者的可靠性並不能得到完全的保證。特別是對於存放敏感資料的主機的攻擊往往發自內部使用者，如何對內部使用者進行訪問控制和安全防範就顯得特別重要。為了保障內部網路執行的可靠性和安全性，我們必須要對它進行詳盡的分析，儘可能防護到網路的每一節點。

對於一般的網路應用，內部使用者可以直接接觸到網路內部幾乎所有的服務，網路伺服器對於內部使用者缺乏基本的安全防範，特別是在內部網路上，大部分的主機沒有進行基本的安

全防範處理，整個系統的安全性容易受到內部使用者攻擊的威脅，安全等級不高。根據國際上流行的處理方法，我們把內部使用者跨網段的訪問分為兩大類：其一，是內部網路使用者之間的訪問，即單機到單機訪問。這一層次上的應用主要有使用者共享檔案的傳輸(NETBIOS)應用;其次，是內部網路使用者對內部伺服器的訪問，這一類應用主要發生在內部使用者的業務處理時。一般內部使用者對於網路安全防範的意識不高，如果內部人員發起攻擊，內部網路主機將無法避免地遭到損害，特別是針對於NETBIOS檔案共享協議，已經有很多的漏洞在網上公開報道，如果網路主機保護不完善，就可能被內部使用者利用"黑客"工具造成嚴重破壞。

1.1.2入侵檢測系統

利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險，但是入侵者可尋找防火牆背後可能敞開的後門，入侵者也可能就在防火牆內。

網路入侵檢測系統位於有敏感資料需要保護的網路上，通過實時偵聽網路資料流，尋找網路違規模式和未授權的網路訪問嘗試。當發現網路違規行為和未授權的網路訪問時，網路監控系統能夠根據系統安全策略做出反應，包括實時報警、事件登入，或執行使用者自定義的安全策略等。網路監控系統可以部署在網路中有安全風險的地方，如區域網出入口、重點保護主機、遠端接入伺服器、內部網重點工作站組等。在重點保護區域，可以單獨各部署一套網路監控系統(管理器+探測引擎)，也可以在每個需要保護的地方單獨部署一個探測引擎，在全網使用一個管理器，這種方式便於進行集中管理。

在內部應用網路中的重要網段，使用網路探測引擎，監視並記錄該網段上的所有操作，在一定程度上防止非法操作和惡意攻擊網路中的重要伺服器和主機。同時，網路監視器還可以形象地重現操作的過程，可幫助安全管理員發現網路安全的隱患。

需要說明的是，IDS是對防火牆的非常有必要的附加而不僅僅是簡單的補充。

按照現階段的網路及系統環境劃分不同的網路安全風險區域，xxx市政府本期網路安全系統專案的需求為：

區域 部署安全產品

內網 連線到Internet的出口處安裝兩臺互為雙機熱備的海信FW3010PF-4000型百兆防火牆;在主幹交換機上安裝海信千兆眼鏡蛇入侵檢測系統探測器;在主幹交換機上安裝NetHawk網路安全監控與審計系統;在內部工作站上安裝趨勢防毒牆網路版防病毒軟體;在各伺服器上安裝趨勢防毒牆伺服器版防病毒軟體。

DMZ區 在伺服器上安裝趨勢防毒牆伺服器版防病毒軟體;安裝一臺InterScan

VirusWall防病毒閘道器;安裝百兆眼鏡蛇入侵檢測系統探測器和NetHawk網路安全監控與審計系統。

安全監控與備份中心 安裝FW3010-5000千兆防火牆，安裝RJ-iTOP榕基網路安全漏洞掃描器;安裝眼鏡蛇入侵檢測系統控制檯和百兆探測器;安裝趨勢防毒牆伺服器版管理伺服器，趨勢防毒牆網路版管理伺服器，對各防病毒軟體進行集中管理。

1.2防火牆安全系統技術方案

某市政府區域網是應用的中心，存在大量敏感資料和應用，因此必須設計一個高安全性、高可靠性及高效能的防火牆安全保護系統，確保資料和應用萬無一失。

所有的區域網計算機工作站包括終端、廣域網路由器、伺服器群都直接匯接到主幹交換機上。由於工作站分佈較廣且全部連線,對中心的伺服器及應用構成了極大的威脅，尤其是可能通過廣域網上的工作站直接攻擊伺服器。因此，必須將中心與廣域網進行隔離防護。考慮到效率，資料主要在主幹交換機上流通，通過防火牆流入流出的流量不會超過百兆，因此使用百兆防火牆就完全可以滿足要求。

如下圖，我們在中心機房的DMZ服務區上安裝兩臺互為冗餘備份的海信FW3010PF-4000百兆防火牆，DMZ口通過交換機與WWW/FTP、DNS/MAIL伺服器連線。同時，安裝一臺Fw3010PF-5000千兆防火牆，將安全與備份中心與其他區域邏輯隔離開來通過安裝防火牆，實現下列的安全目標：

1) 利用防火牆將內部網路、Internet外部網路、DMZ服務區、安全監控與備份中心進行有效隔離，避免與外部網路直接通訊;

2) 利用防火牆建立網路各終端和伺服器的安全保護措施，保證系統安全;

3) 利用防火牆對來自外網的服務請求進行控制，使非法訪問在到達主機前被拒絕;

4) 利用防火牆使用IP與MAC地址繫結功能，加強終端使用者的訪問認證，同時在不影響使用者正常訪問的基礎上將使用者的訪問許可權控制在最低限度內;

5) 利用防火牆全面監視對伺服器的訪問，及時發現和阻止非法操作;

6) 利用防火牆及伺服器上的審計記錄，形成一個完善的審計體系，建立第二條防線;

7) 根據需要設定流量控制規則，實現網路流量控制，並設定基於時間段的訪問控制。

1.3入侵檢測系統技術方案

如下圖所示，我們建議在區域網中心交換機安裝一臺海信眼鏡蛇入侵檢測系統千兆探測器，DMZ區交換機上安裝一臺海信眼鏡蛇入侵檢測系統百兆探測器，用以實時檢測區域網使用者和外網使用者對主機的訪問，在安全監控與備份中心安裝一臺海信眼鏡蛇入侵檢測系統百兆探測器和海信眼鏡蛇入侵檢測系統控制檯，由系統控制檯進行統一的管理(統一事件庫升級、統一安全防護策略、統一上報日誌生成報表)。

其中，海信眼鏡蛇網路入侵檢測系統還可以與海信FW3010PF防火牆進行聯動，一旦發現由外部發起的攻擊行為，將向防火牆傳送通知報文，由防火牆來阻斷連線，實現動態的安全防護體系。海信眼鏡蛇入侵檢測系統可以聯動的防火牆有：海信FW3010PF防火牆，支援OPSEC協議的防火牆。

通過使用入侵檢測系統，我們可以做到：

1) 對網路邊界點的資料進行檢測，防止黑客的入侵; 2) 對伺服器的資料流量進行檢測，防止入侵者的蓄意破壞和篡改; 3) 監視內部使用者和系統的執行狀況，查詢非法使用者和合法使用者的越權操作; 4) 對使用者的非正常活動進行統計分析，發現入侵行為的規律; 5) 實時對檢測到的入侵行為進行報警、阻斷，能夠與防火牆/系統聯動; 6) 對關鍵正常事件及異常行為記錄日誌，進行審計跟蹤管理。

通過使用海信眼鏡蛇入侵檢測系統可以容易的完成對以下的攻擊識別：網路資訊收集、網路服務缺陷攻擊、Dos&Ddos攻擊、緩衝區溢位攻擊、Web攻擊、後門攻擊等。

網路給某市政府帶來巨大便利的同時，也帶來了許多挑戰，其中安全問題尤為突出。加上一些人缺乏安全控制機制和對網路安全政策及防護意識的認識不足，這些風險會日益加重。引起這些風險的原因有多種，其中網路系統結構和系統的應用等因素尤為重要。主要涉及物理安全、鏈路安全、網路安全、系統安全、應用安全及管理安全等方面。通過以上方案的設計和實施，所有安全隱患就得到了良好的改善。

一、客戶背景

集團內聯網主要以總部區域網為核心，採用廣域網方式與外地子公司聯網。集團廣域網採用MPLS-技術，用來為各個分公司提供骨幹網路平臺和接入，各個分公司可以在集團的骨幹資訊網路系統上建設各自的子系統，確保各類系統間的相互獨立。

二、安全威脅

某公司屬於大型上市公司，在北京，上海、廣州等地均有分公司。公司內部採用無紙化辦公，OA系統成熟。每個區域網連線著該所有部門，所有的資料都從區域網中傳遞。同時，各分公司採用技術連線公司總部。該單位為了方便，將相當一部分業務放在了對外開放的網站上，網站也成為了既是對外形象視窗又是內部辦公視窗。

由於網路設計部署上的缺陷，該單位區域網在建成後就不斷出現網路擁堵、網速特別慢的情況，同時有些個別機器上的防毒軟體頻頻出現病毒報警，網路經常癱瘓，每次時間都持續幾十分鐘，網管簡直成了救火隊員，忙著清除病毒，重灌系統。對外WEB網站同樣也遭到黑客攻擊，網頁遭到非法篡改，有些網頁甚至成了傳播不良資訊的平臺，不僅影響到網站的正常執行，而且還對政府形象也造成不良影響。(安全威脅根據拓撲圖分析)從網路安全威脅看，集團網路的威脅主要包括外部的攻擊和入侵、內部的攻擊或誤用、企業內的病毒傳播，以及安全管理漏洞等資訊保安現狀：經過分析發現該公司資訊保安基本上是空白，主要有以下問題：

公司沒有制定資訊保安政策，資訊管理不健全。 公司在建內網時與internet的連線沒有防火牆。 內部網路(同一城市的各分公司)之間沒有任何安全保障為了讓網路正常執行。

根據我國《資訊保安等級保護管理辦法》的資訊保安要求，近期公司決定對該網路加強安全防護，解決目前網路出現的安全問題。

三、安全需求

從安全性和實用性角度考慮，安全需求主要包括以下幾個方面：

1、安全管理諮詢

安全建設應該遵照7分管理3分技術的原則，通過本次安全專案，可以發現集團現有安全問題，並且協助建立起完善的安全管理和安全組織體系。

2、集團骨幹網路邊界安全

主要考慮骨幹網路中Internet出口處的安全，以及移動使用者、遠端撥號訪問使用者的安全。

3、集團骨幹網路伺服器安全

主要考慮骨幹網路中閘道器伺服器和集團內部的伺服器，包括OA、財務、人事、內部WEB等內部資訊系統伺服器區和安全管理伺服器區的安全。

4、集團內聯網統一的病毒防護

主要考慮集團內聯網中，包括總公司在內的所有公司的病毒防護。

5、統一的增強口令認證系統

由於系統管理員需要管理大量的主機和網路裝置，如何確保口令安全稱為一個重要的問題。

6、統一的安全管理平臺

通過在集團內聯網部署統一的安全管理平臺，實現集團總部對全網安全狀況的集中監測、安全策略的統一配置管理、統計分析各類安全事件、以及處理各種安全突發事件。

7、專業安全服務

過專業安全服務建立全面的安全策略、管理組織體系及相關管理制度，全面評估企業網路中的資訊資產及其面臨的安全風險情況，在必要的情況下，進行主機加固和網路加固。通過專業緊急響應服務保證企業在面臨緊急事件情況下的處理能力，降低安全風險。

四、方案設計

骨幹網邊界安全

集團骨幹網共有一個Internet出口，位置在總部，在Internet出口處部署LinkTrust Cyberwall-200F/006防火牆一臺。

在Internet出口處部署一臺LinkTrust Network Defender領信網路入侵檢測系統，通過交換機埠映象的方式，將進出Internet的流量映象到入侵檢測的監聽埠，LinkTrust

Network Defender可以實時監控網路中的異常流量，防止惡意入侵。

在各個分公司中新增一個DMZ區，保證各公司的資訊保安，內部網路(同一城市的各分公司)之間沒有任何安全保障骨幹網伺服器安全

集團骨幹網伺服器主要指網路中的閘道器伺服器和集團內部的應用伺服器包括OA、財務、人事、內部WEB等，以及專為此次專案配置的、用於安全產品管理的伺服器的安全。 主要考慮為在伺服器區配置千兆防火牆，實現伺服器區與辦公區的隔離，並將內部資訊系統伺服器區和安全管理伺服器區在防火牆上實現邏輯隔離。還考慮到在伺服器區配置主機入侵檢測系統，在網路中配置百兆網路入侵檢測系統，實現主機及網路層面的主動防護。

漏洞掃描

瞭解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的瞭解存在那些安全漏洞，新出現的安全問題等，都要求資訊系統自身和使用者作好安全評估。安全評估主要分成網路安全評估、主機安全評估和資料庫安全評估三個層面。

內聯網病毒防護

病毒防範是網路安全的一個基本的、重要部分。通過對病毒傳播、感染的各種方式和途徑進行分析，結合集團網路的特點，在網路安全的病毒防護方面應該採用“多級防範，集中管理，以防為主、防治結合”的動態防毒策略。

病毒防護體系主要由桌面網路防毒、伺服器防毒和郵件防毒三個方面。

增強的身份認證系統

由於需要管理大量的主機和網路裝置，如何確保口令安全也是一個非常重要的問題。 減小口令危險的最為有效的辦法是採用雙因素認證方式。雙因素認證機制不僅僅需要使用者提供一個類似於口令或者PIN的單一識別要素，而且需要第二個要素，也即使用者擁有的，通常是認證令牌，這種雙因素認證方式提供了比可重用的口令可靠得多的使用者認證級別。使用者除了知道他的PIN號碼外，還必須擁有一個認證令牌。而且口令一般是一次性的，這樣每次的口令是動態變化的，大大提高了安全性。

統一安全平臺的建立

通過建立統一的安全管理平臺(安全執行管理中心—SOC)，建立起集團的安全風險監控體系，利於從全域性的角度發現網路中存在的安全問題，並及時歸併相關人員處理。這裡的風險監控體系包括安全資訊庫、安全事件收集管理系統、安全工單系統等，同時開發有效的多種手段實時告警系統，定製高效的安全報表系統。

五、網路管理：

(1)故障管理

故障管理是網路管理中最基本的功能之一。使用者都希望有一個可靠的計算機網路。當網路中某個組成失效時,網路管理器必須迅速查詢到故障並及時排除。通常不大可能迅速隔離某個故障,因為網路故障的產生原因往往相當複雜,特別是當故障是由多個網路組成共同引起的。在此情況下,一般先將網路修復,然後再分析網路故障的原因。分析故障原因對於防止類似故障的再發生相當重要。網路故障管理包括故障檢測、隔離和糾正三方面,應包括以下典型功能:

(1)故障監測：主動探測或被動接收網路上的各種事件資訊，並識別出其中與網路和系統故障相關的內容，對其中的關鍵部分保持跟蹤，生成網路故障事件記錄。

(2)故障報警：接收故障監測模組傳來的報警資訊，根據報警策略驅動不同的報警程式，以報警視窗/振鈴(通知一線網路管理人員)或電子郵件(通知決策管理人員)發出網路嚴重故障警報。

(3)故障資訊管理：依靠對事件記錄的分析，定義網路故障並生成故障卡片，記錄排除故障的步驟和與故障相關的值班員日誌，構造排錯行動記錄，將事件-故障-日誌構成邏輯上相互關聯的整體，以反映故障產生、變化、消除的整個過程的各個方面。

(4)排錯支援工具：向管理人員提供一系列的實時檢測工具，對被管裝置的狀況進行測試並記錄下測試結果以供技術人員分析和排錯;根據已有的徘錯經驗和管理員對故障狀態的描述給出對徘錯行動的提示。

(5)檢索/分析故障資訊：瀏閱並且以關鍵字檢索查詢故障管理系統中所有的資料庫記錄，定期收集故障記錄資料，在此基礎上給出被管網路系統、被管線路裝置的可靠性引數。 對網路故障的檢測依據對網路組成部件狀態的監測。不嚴重的簡單故障通常被記錄在 錯誤日誌中,並不作特別處理;而嚴重一些的故障則需要通知網路管理器,即所謂的"警報"。 一般網路管理器應根據有關資訊對警報進行處理,排除故障。當故障比較複雜時,網路管理 器應能執行一些診斷測試來辨別故障原因。

(2)計費管理

計費管理記錄網路資源的使用,目的是控制和監測網路操作的費用和代價。它對一些公共商業網路尤為重要。它可以估算出使用者使用網路資源可能需要的費用和代價,以及已經使用的資源。網路管理員還可規定使用者可使用的最大費用,從而控制使用者過多佔用和使用網路 資源。這也從另一方面提高了網路的效率。另外,當用戶為了一個通訊目的需要使用多個網路中的資源時,計費管理應可計算總計費用。

(1)計費資料採集：計費資料採集是整個計費系統的基礎，但計費資料採集往往受到採集裝置硬體與軟體的制約，而且也與進行計費的網路資源有關。 (2)資料管理與資料維護：計費管理人工互動性很強，雖然有很多資料維護系統自動完成，但仍然需要人為管理，包括交納費用的輸入、聯網單位資訊維護，以及賬單樣式決定等。

(3)計費政策制定;由於計費政策經常靈活變化，因此實現使用者自由制定輸入計費政策尤其重要。這樣需要一個制定計費政策的友好人機介面和完善的實現計費政策的資料模型。

(4)政策比較與決策支援：計費管理應該提供多套計費政策的資料比較，為政策制訂提供決策依據。

(5)資料分析與費用計算：利用採集的網路資源使用資料，聯網使用者的詳細資訊以及計費政策計算網路使用者資源的使用情況，並計算出應交納的費用。

(6)資料查詢：提供給每個網路使用者關於自身使用網路資源情況的詳細資訊，網路使用者根據這些資訊可以計算、核對自己的收費情況。

(3)配置管理

配置管理同樣相當重要。它初始化網路、並配置網路,以使其提供網路服務。配置管理 是一組對辨別、定義、控制和監視組成一個通訊網路的物件所必要的相關功能,目的是為了實現某個特定功能或使網路效能達到最優。

(1)配置資訊的自動獲取：在一個大型網路中，需要管理的裝置是比較多的，如果每個裝置的配置資訊都完全依靠管理人員的手工輸入，工作量是相當大的，而且還存在出錯的可能性。對於不熟悉網路結構的人員來說，這項工作甚至無法完成‘因此，一個先進的網路管理系統應該具有配置資訊自動獲取功能。即使在管理人員不是很熟悉網路結構和配置狀況的情況下，也能通過有關的技術手段來完成對網路的配置和管理。在網路裝置的配置資訊中，根據獲取手段大致可以分為三類：一類是網路管理協議標準的MIB中定義的配置資訊(包括SNMP;和CMIP協議);二類是不在網路管理協議標準中有定義，但是對裝置執行比較重要的配置資訊;三類就是用於管理的一些輔助資訊。

(2)自動配置、自動備份及相關技術：配置資訊自動獲取功能相當於從網路裝置中“讀”資訊，相應的，在網路管理應用中還有大量“寫”資訊的需求。同樣根據設定手段對網路配置資訊進行分類：一類是可以通過網路管理協議標準中定義的方法(如SNMP中的set服務)進行設定的配置資訊;二類是可以通過自動登入到裝置進行配置的資訊;三類就是需要修改的管理性配置資訊。

(3)配置一致性檢查：在一個大型網路中，由於網路裝置眾多，而且由於管理的原因，這些裝置很可能不是由同一個管理人員進行配置的。實際上‘即使是同一個管理員對裝置進行的配置，也會由於各種原因導致配置一致性問題。因此，對整個網路的配置情況進行一致性檢查是必需的。在網路的配置中，對網路正常執行影響最大的主要是路由器埠配置和路由資訊配置，因此，要進行、致性檢查的也主要是這兩類資訊。

(4)使用者操作記錄功能：配置系統的安全性是整個網路管理系統安全的核心，因此，必須對使用者進行的每一配置操作進行記錄。在配置管理中，需要對使用者操作進行記錄，並儲存下來。管理人員可以隨時檢視特定使用者在特定時間內進行的特定配置操作。

(4)效能管理(performance management)

效能管理估價系統資源的執行狀況及通訊效率等系統性能。其能力包括監視和分析被管網路及其所提供服務的效能機制。效能分析的結果可能會觸發某個診斷測試過程或重新配置網路以維持網路的效能。效能管理收集分析有關被管網路當前狀況的資料資訊,並維持和分析效能日誌。一些典型的功能包括:

(1)效能監控：由使用者定義被管物件及其屬性。被管物件型別包括線路和路由器;被管物件屬性包括流量、延遲、丟包率、CPU利用率、溫度、記憶體餘量。對於每個被管物件，定時採集效能資料，自動生成效能報告。

(2)閾值控制：可對每一個被管物件的每一條屬性設定閾值，對於特定被管物件的特定屬性，可以針對不同的時間段和效能指標進行閾值設定。可通過設定閾值檢查開關控制閡值檢查和告警，提供相應的閾值管理和溢位告警機制。

(3)效能分橋：對歷史資料進行分析，統計和整理，計算效能指標，對效能狀況作出判斷，為網路規劃提供參考。

(4)視覺化的效能報告：對資料進行掃描和處理，生成效能趨勢曲線，以直觀的圖形反映效能分析的結果。

(5)實時效能監控：提供了一系列實時資料採集;分析和視覺化工具，用以對流量、負載、丟包、溫度、記憶體、延遲等網路裝置和線路的效能指標進行實時檢測，可任意設定資料採集間隔。

(6)網路物件效能查詢：可通過列表或按關鍵字檢索被管網路物件及其屬性的效能記錄。

(5)安全管理

安全性一直是網路的薄弱環節之一,而使用者對網路安全的要求又相當高,因此網路安全管理非常重要。網路中主要有以下幾大安全問題:

網路資料的私有性(保護網路資料不被侵 入者非法獲取),

授權(authentication)(防止侵入者在網路上傳送錯誤資訊),

訪問控制(控制訪問控制(控制對網路資源的訪問)。

相應的,網路安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日誌。包括:

網路管理過程中，儲存和傳輸的管理和控制資訊對網路的執行和管理至關重要，一旦洩密、被篡改和偽造，將給網路造成災難性的破壞。網路管理本身的安全由以下機制來保證：

(1)管理員身份認證，採用基於公開金鑰的證書認證機制;為提高系統效率，對於信任域內(如區域網)的使用者，可以使用簡單口令認證。

(2)管理資訊儲存和傳輸的加密與完整性，Web瀏覽器和網路管理伺服器之間採用安全套接字層(SSL)傳輸協議，對管理資訊加密傳輸並保證其完整性;內部儲存的機密資訊，如登入口令等，也是經過加密的。

(3)網路管理使用者分組管理與訪問控制，網路管理系統的使用者(即管理員)按任務的不同分成若干使用者組，不同的使用者組中有不同的許可權範圍，對使用者的操作由訪問控制檢查，保證使用者不能越權使用網路管理系統。

(4)系統日誌分析，記錄使用者所有的操作，使系統的操作和對網路物件的修改有據可查，同時也有助於故障的跟蹤與恢復。

網路物件的安全管理有以下功能：

(1)網路資源的訪問控制，通過管理路由器的訪問控制連結串列，完成防火牆的管理功能，即從網路層(1P)和傳輸層(TCP)控制對網路資源的訪問，保護網路內部的裝置和應用服務，防止外來的攻擊。

(2)告警事件分析，接收網路物件所發出的告警事件，分析員安全相關的資訊(如路由器登入資訊、SNMP認證失敗資訊)，實時地向管理員告警，並提供歷史安全事件的檢索與分析機制，及時地發現正在進行的攻擊或可疑的攻擊跡象。

(3)主機系統的安全漏洞檢測，實時的監測主機系統的重要服務(如WWW，DNS等)的狀態，提供安全監測工具，以搜尋系統可能存在的安全漏洞或安全隱患，並給出彌補的措施。

網路資訊系統的安全技術體系通常是在安全策略指導下合理配置和部署：網路隔離與訪問控制、入侵檢測與響應、漏洞掃描、防病毒、資料加密、身份認證、安全監控與審計等技術裝置，並且在各個裝置或系統之間，能夠實現系統功能互補和協調動作。

網路系統安全具備的功能及配置原則

1.網路隔離與訪問控制。通過對特定網段、服務進行物理和邏輯隔離，並建立訪問控制機制，將絕大多數攻擊阻止在網路和服務的邊界以外。

2.漏洞發現與堵塞。通過對網路和執行系統安全漏洞的週期檢查，發現可能被攻擊所利用的漏洞，並利用補丁或從管理上堵塞漏洞。

3.入侵檢測與響應。通過對特定網路(段)、服務建立的入侵檢測與響應體系，實時檢測出攻擊傾向和行為，並採取相應的行動(如斷開網路連線和服務、記錄攻擊過程、加強審計等)。

4.加密保護。主動的加密通訊，可使攻擊者不能瞭解、修改敏感資訊(如方式)或資料加密通訊方式;對保密或敏感資料進行加密儲存，可防止竊取或丟失。

5.備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，儘快地恢復資料和系統服務。

6.監控與審計。在辦公網路和主要業務網路內配置集中管理、分散式控制的監控與審計系統。一方面以計算機終端為單元強化桌面計算的內外安全控制與日誌記錄;另一方面通過集中管理方式對內部所有計算機終端的安全態勢予以掌控。

邊界安全解決方案

在利用公共網路與外部進行連線的“內”外網路邊界處使用防火牆，為“內部”網路(段)與“外部”網路(段)劃定安全邊界。在網路內部進行各種連線的地方使用帶防火牆功能的裝置，在進行“內”外網路(段)的隔離的同時建立網路(段)之間的安全通道。

1.防火牆應具備如下功能：

使用NAT把DMZ區的伺服器和內部埠影射到Firewall的對外埠;

允許Internet公網使用者訪問到DMZ區的應用服務：http、ftp、smtp、dns等;

允許DMZ區內的工作站與應用伺服器訪問Internet公網;

允許內部使用者訪問DMZ的應用服務：http、ftp、smtp、dns、pop3、https;

允許內部網使用者通過代理訪問Internet公網;

禁止Internet公網使用者進入內部網路和非法訪問DMZ區應用伺服器;

禁止DMZ區的公開伺服器訪問內部網路;

防止來自Internet的DOS一類的攻擊;

能接受入侵檢測的聯動要求，可實現對實時入侵的策略響應;

對所保護的主機的常用應用通訊協議(http、ftp、telnet、smtp)能夠替換伺服器的Banner資訊，防止惡意使用者資訊刺探;

提供日誌報表的自動生成功能，便於事件的分析;

提供實時的網路狀態監控功能，能夠實時的檢視網路通訊行為的連線狀態(當前有那些連線、正在連線的IP、正在關閉的連線等資訊)，通訊資料流量。提供連線查詢和動態圖表顯示。

防火牆自身必須是有防黑客攻擊的保護能力。

2.帶防火牆功能的裝置是在防火牆基本功能(隔離和訪問控制)基礎上，通過功能擴充套件，同時具有在IP層構建端到端的具有加密選項功能的ESP隧道能力，這類裝置也有S的，主要用於通過外部網路(公共通訊基礎網路)將兩個或兩個以上“內部”區域網安全地連線起來，一般要求S應具有一下功能：

防火牆基本功能，主要包括：IP包過慮、應用代理、提供DMZ埠和NAT功能等(有些功能描述與上相同);

具有對連線兩端的實體鑑別認證能力;

支援移動使用者遠端的安全接入;

支援IPESP隧道內傳輸資料的完整性和機密性保護;

提供系統內金鑰管理功能;

S裝置自身具有防黑客攻擊以及網上裝置認證的能力。

入侵檢測與響應方案

在網路邊界配置入侵檢測裝置，不僅是對防火牆功能的必要補充，而且可與防火牆一起構建網路邊界的防禦體系。通過入侵檢測裝置對網路行為和流量的特徵分析，可以檢測出侵害“內部”網路或對外洩漏的網路行為和流量，與防火牆形成某種協調關係的互動，從而在“內部”網與外部網的邊界處形成保護體系。

入侵檢測系統的基本功能如下：

通過檢測引擎對各種應用協議，作業系統，網路交換的資料進行分析，檢測出網路入侵事件和可疑操作行為。

對自身的資料庫進行自動維護，無需人工干預，並且不對網路的正常執行造成任何干擾。

採取多種報警方式實時報警、音響報警，資訊記錄到資料庫，提供電子郵件報警、SysLog報警、SNMPTrap報警、Windows日誌報警、Windows訊息報警資訊，並按照預設策略，根據提供的報警資訊切斷攻擊連線。

與防火牆建立協調聯動，執行自定義的多種響應方式，及時阻隔或消除異常行為。

全面檢視網路中發生的所有應用和連線，完整的顯示當前網路連線狀態。

可對網路中的攻擊事件，訪問記錄進行適時查詢，並可根據查詢結果輸出圖文報表，能讓管理人員方便的提取資訊。

入侵檢測系統猶如攝像頭、監視器，在可疑行為發生前有預警，在攻擊行為發生時有報警，在攻擊事件發生後能記錄，做到事前、事中、事後有據可查。

漏洞掃描方案

除利用入侵檢測裝置檢測對網路的入侵和異常流量外，還需要針對主機系統的漏洞採取檢查和發現措施。目前常用的方法是配置漏洞掃描裝置。主機漏洞掃描可以主動發現主機系統中存在的系統缺陷和可能的安全漏洞，並提醒系統管理員對該缺陷和漏洞進行修補或堵塞。

對於漏洞掃描的結果，一般可以按掃描提示資訊和建議，屬外購標準產品問題的，應及時升級換代或安裝補丁程式;屬委託開發的產品問題的，應與開發商協議修改程式或安裝補丁程式;屬於系統配置出現的問題，應建議系統管理員修改配置引數，或視情況關閉或解除安裝引發安全漏洞的程式模組或功能模組。

漏洞掃描功能是協助安全管理、掌握網路安全態勢的必要輔助，對使用這一工具的安全管理員或系統管理員有較高的技術素質要求。

考慮到漏洞掃描能檢測出防火牆策略配置中的問題，能與入侵檢測形成很好的互補關係：漏洞掃描與評估系統使系統管理員在事前掌握主動地位，在攻擊事件發生前找出並關閉安全漏洞;而入侵檢測系統則對系統進行監測以期在系統被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標，而且關係密切。本方案建議採購將入侵檢測、管理控制中心與漏洞掃描一體化整合的產品，不但可以簡化管理，而且便於漏洞掃描、入侵檢測和防火牆之間的協調動作。

網路防病毒方案

網路防病毒產品較為成熟，且有幾種主流產品。本方案建議，網路防病毒系統應具備下列功能：

網路&單機防護—提供個人或家庭使用者病毒防護;

檔案及儲存伺服器防護—提供伺服器病毒防護;

郵件伺服器防護—提供LotusNotes,MicrosoftExchange等病毒防護;

閘道器防護—在SMTP,HTTP,和FTPservergateway阻擋計算機病毒;

集中管理—為企業網路的防毒策略，提供了強大的集中控管能力。

關於安全裝置之間的功能互補與協調執行

各種網路安全裝置(防火牆、入侵檢測、漏洞掃描、防病毒產品等)，都有自己獨特的安全探測與安全保護能力，但又有基於自身主要功能的擴充套件能力和與其它安全功能的對接能力或延續能力。因此，在安全裝置選型和配置時，儘可能考慮到相關安全裝置的功能互補與協調執行，對於提高網路平臺的整體安全性具有重要意義。

防火牆是目前廣泛用於隔離網路(段)邊界並實施進/出資訊流控制的大眾型網路安全產品之一。作為不同網路(段)之間的邏輯隔離裝置，防火牆將內部可信區域與外部危險區域有效隔離，將網路的安全策略制定和資訊流動集中管理控制，為網路邊界提供保護，是抵禦入侵控制內外非法連線的。

但防火牆具有侷限性。這種侷限性並不說明防火牆功能有失缺，而且由於本身只應該承擔這樣的職能。因為防火牆是配置在網路連線邊界的通道處的，這就決定了它的基本職能只應提供靜態防禦，其規則都必須事先設定，對於實時的攻擊或異常的行為不能做出實時反應。這些控制規則只能是粗顆粒的，對一些協議細節無法做到完全解析。而且，防火牆無法自動調整策略設定以阻斷正在進行的攻擊，也無法防範基於協議的攻擊。

為了彌補防火牆在實際應用中存在的侷限，防火牆廠商主動提出了協調互動思想即聯動問題。防火牆聯動即將其它安全裝置(元件)(例如IDS)探測或處理的結果通過介面引入系統內調整防火牆的安全策略，增強防火牆的訪問控制能力和範圍，提高整體安全水平。

目前，防火牆形成聯動的主要有以下幾種方式：

1.與入侵檢測實現聯動

目前，實現入侵檢測和防火牆之間的聯動有兩種方式。一種是實現緊密結合，即把入侵檢測系統嵌入到防火牆中，即入侵檢測系統的資料來源不再來源於抓包，而是流經防火牆的資料流。但由於入侵檢測系統本身也是一個很龐大的系統，從目前的軟硬體處理能力來看，這種聯動難於達到預期效果。第二種方式是通過開放介面來實現聯動，即防火牆或者入侵檢測系統開放一個介面供對方呼叫，按照一定的協議進行通訊、警報和傳輸，這種方式比較靈活，不影響防火牆和入侵檢測系統的效能。

防火牆與入侵檢測系統聯動，可以對網路進行動靜結合的保護，對網路行為進行細顆粒的檢查，並對網路內外兩個部分都進行可靠管理。

2.與防病毒實現聯動

防火牆處於內外網路資訊流的必經之地，在閘道器一級對病毒進行查殺是網路防病毒的理想措施。目前已有一些廠商的防火牆可以與病毒防治軟體進行聯動，通過提供API定義非同步介面，將資料包轉發到裝載了閘道器病毒防護軟體的伺服器上進行檢查，但這種聯動由於效能影響，目前並不適宜部署在網路邊界處。

3.與日誌處理間實現聯動

防火牆與日誌處理之間的聯動，目前國內廠商做的不多。比較有代表性的是CheckPoint的防火牆，它提供兩個API：LEA(LogExportAPI)和ELA(EventLoggingAPI)，允許第三方訪問日誌資料。報表和事件分析採用LE保護資訊保安的方案PI，而安全與事件整合採用EL保護資訊保安的方案PI。防火牆產品利用這個介面與其他日誌伺服器合作，將大量的日誌處理工作由專門的服務裝置完成，提高了專業化程度。

內部網路監控與審計方案

上面的安全措施配置解決了網路邊界的隔離與保護，網路與主機的健康(防病毒)執行，以及使用者訪問網路資源的身份認證和授權問題。

然而，縣衛生局網路內部各辦公網路、業務網路的執行秩序的維護，網路操作行為的監督，各種違規、違法行為的取證和責任認定，以及對作業系統漏洞引發的安全事件的監視和控制等問題，則是必須予以解決的問題。因此有必要在各種內部辦公網路、業務網內部部署集中管理、分散式控制的監控與審計系統。這種系統通過在區域網(子網)內的管理中心安裝管理器，在各臺主機(PC機)中安裝的代理軟體形成一個監控與審計(虛擬網路)系統，通過對代理軟體的策略配置，使得每臺工作主機(PC機)按照辦公或業務操作規範進行操作，並對可能經過主機外圍介面(USB口、串/並口、軟硬碟介面等)引入的非法入侵(包括病毒、木馬等)，或非法外連和外洩的行為予以阻斷和記錄;同時管理器通過網路還能及時收集各主機上的安全狀態資訊並下達控制命令，形成“事前預警、事中控制和事後審計”的監控鏈。

監控與審計系統應具有下列功能：

管理器自動識別區域網內所有被監控物件之間的網路拓撲關係，並採用圖形化顯示，包括被監控主機的狀態(如線上、離線)等;

支援對包含有多個子網的區域網進行全面監控;

系統對被監控物件的USB移動儲存裝置、光碟機、軟碟機等外設的使用以及利用這些裝置進行檔案操作等非授權行為進行實時監視、控制和審計;

系統對被監控物件的串/並口等介面的活動狀態進行實時監視、控制和審計;

系統對進出被監控物件的網路通訊(www,ftp,pop,smtp)資料包進行實時攔截、分析、處理和審計，對telnet通訊資料包進行攔截;

系統可根據策略規定，禁止被監控物件進行撥號(普通modem撥號、ADSL撥號、社群寬頻撥號)連線，同時提供審計;

系統對被監控物件執行的所有程序進行實時監視和審計;

系統支援群組管理，管理員可以根據被監控物件的屬性特徵，將其劃分成不同的安全組，對每個組制定不同的安全策略，所有組的成員都根據該策略執行監控功能;

支援多角色管理，系統將管理員和審計員的角色分離，各司其職;

強審計能力，系統具有管理員操作審計、被監控物件傳送的事件審計等功能;

系統自身有極強的安全性，能抗欺騙、篡改、偽造、嗅探、重放等攻擊。