安全需求分析泄密事件是由一系列事件构成的，包括内网非法外联、木马通过外部网络进入内部网络、木马感染主机、泄密、发现泄密事件等阶段。

要防止泄密事件的发生，就要阻断木马传播、主动预防、检测和清除木马，形成一个纵深的防御体系。

1、对边界防护的需求木马都是由外部网络传入内部网络的，必须在边界处进行有效的控制，防止恶意行为的发生，实现拒敌于国门之外。

针对边界防护，需要考虑加强防护的方面有：1)内网和外网间的边界防护在条件允许的情况下，实现保密内网与外网的物理隔离，从而将攻击者、攻击途径彻底隔断。

即使在部分单位，内网、外网有交换数据的需求，也必须部署安全隔离和信息交换系统，从而实现单向信息交换，即只允许外网数据传输到内网，禁止内网信息流出到外网。

2)对核心内部服务器的边界防护内网中常包括核心服务器群、内网终端两大部分，核心服务器保存着大部分保密信息。

为避免内网终端非法外联、窃密者非法获取核心服务器上的保密数据，就要实现核心服务器与内网终端间的边界防护。

感染木马时，核心服务器的边界安全网关能够阻止终端的越权访问，并检查是否含有木马，然后进行清除。

但在实现网关的封堵、查杀木马的同时，要防止对系统带宽资源的严重损耗。

3)防止不安全的在线非法外联内网与外网的连接点必须做到可管、可控，必须有效监控内网是否存在违规拨号行为、无线上网行为、搭线上网行为，避免内用户采取私自拨号等方式的访问互联网而造成的安全风险。

4)防止离线非法外联或不安全的接入行为要限制终端设备，如PC机、笔记本，直接接入并访问内网区域，对于不符合安全条件的设备(比如没有安装防病毒软件，操作系统没有及时升级补丁，没有获得合法分配的IP地址或离线外联过)，则必须禁止进入。

2、对主机安全的需求内网终端非法外联后木马入侵的目的都是最终的主机。

主机的防护必须全面、及时。

1)木马病毒的查杀和检测能力的需求由于内部网络中的计算机数量很多，要确保网络中所有计算机都安装防木马软件，并实施实施统一的防木马策略。

防木马软件至少应能扫描内存、驱动器、目录、文件和Lotus Notes 数据库和邮件系统;具备良好的检测和清除能力;支持网络远程自动安装功能和自动升级功能。

2)系统自身安全防护的需求木马在主机中的隐藏、执行和攻击最后都是体现在操作系统层面。

要确保操作系统及时升级，防止漏洞被木马和病毒利用。

在及时升级操作系统的基础上，要实时对计算机进程、访问端口的进行监控，以及时发现异常与木马;同时要有注册表防护手段，保障木马不能修改系统信息，从而使木马不能隐藏与自动运行。

3)移动存储介质控制的需求木马传播重要一个渠道是移动存储介质。

主机系统要在移动介质接入系统时立即截获该事件，然后根据策略或者拒绝接入，或者立即对移动介质进行扫描，以阻断移动介质病毒的自动运行与传播。

4)安全审计的需求系统的日志记录了系统的工作情况，也反应了工作人员的操作行为。

审计关键主机的访问行为，可判断内部人员是否有违规的行为;同时，还可以实时发现木马的行踪，并找出深层次的安全威胁。

3、对安全管理的需求为防止泄密事件的发生，除了加强安全技术的管控外，也要加强安全管理。

首先，要引入第三方安全服务，定期查看关键计算机设备的状态，以发现与解决计算机中的木马;其次，要建立应急响应机制，使得在泄密事件发生后，能及时定位与隔离涉及的主机，使安全事件能够追查到责任人。

对应措施设计如何满足这些安全需求?下面是对应的措施。

1、边界防护的措施1)防火墙技术防火墙是实现内网终端与内网核心服务器隔离的基本手段。

防火墙通常位于不同网络或网络安全域间的唯一连接处，根据组织的业务特点、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术，实现对出入核心服务器网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测)，控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面，从而实现对不良网站的封堵。

但是，传统单一的防火墙无法有效对抗更隐蔽的攻击行为，如欺骗攻击、木马攻击等，因此，有必要在这些边界采取防护能力更强的技术。

2)防病毒网关技术随着网络的飞速发展，单机版的防病毒软件面临着集中管理、智能更新等多方面的问题，无法对木马、蠕虫、邮件性病毒进行全网整体的防护，已经不能满足复杂应用环境，所以，构建整体病毒防护体系已成为必然。

完整的防毒体系包括：网关级防病毒——部署在网络入口处，对木马、病毒、蠕虫和垃圾邮件进行有效过滤;服务器防病毒——服务器为资源共享和信息交换提供了便利条件，但同时也给病毒的传播和扩散以可乘之机;桌面级防病毒——在客户端安装，将病毒在本地清除而不至于扩散到其他主机或服务器;病毒管理中心——能实现防病毒软件的集中管理和分发、病毒库分发、病毒事件集中审计等。

在不与外网连接的内部保密网中，可将防病毒网关部署在核心服务器区和终端区之间，通过网关把病毒拒于核心服务器区网络之外。

在与外网连接的内部保密网中，可将防病毒网关部署在外网和内网连接边界中之间，通过网关把病毒拒于内部保密网络之外。

这要求网关防毒产品部署简便、能承受防病毒网关的数据流量、能检测并清除病毒。

3)终端防护系统为了防止不安全的在线非法外联、离线非法外联或不安全的接入行为，必须把终端防护系统与其它网关防护技术结合起来。

通过终端防护系统的统一策略配置的主机防火墙和主机IDS，能实现对桌面系统的网络安全检测和防护，当IDS检测到威胁后，能与主机防火墙进行联动，自动阻断外部攻击行为。

通过终端防护系统，可对桌面系统的远程拨号行为、无线上网行为、搭线上网行为进行控制，发现存在违规外联的主机，给出报警，通过防火墙切断该主机与网络的连接，避免导致内网遭到更大的破坏。

通过终端防护系统的安全状态检测策略，可监测进入内网的终端设备，对于不符合安全条件的设备，可不允许其接入内网。

4)网闸技术在安全性要求很高，但又有内部网络和外网数据交换的情况下，必须采取网闸技术，以实现内网和外网的单向安全隔离和数据交换。

2、主机安全的防护1)桌面木马与病毒查杀技术在一个整体病毒防护方案中，桌面级防病毒是重要的支点。

对木马的防范，除了通常的桌面防病毒产品外，还有一些专门的木马查杀产品，象瑞星卡卡、360安全卫士等。

桌面查杀产品拥有查杀流行木马、清理恶评及系统插件、管理应用软件、系统实时保护，修复系统漏洞等数个强劲功能，同时还提供系统全面诊断，弹出插件免疫，清理使用痕迹以及系统还原等特定辅助功能，并且提供对系统的全面诊断报告，方便用户及时定位问题所在，为用户提供全方位的系统桌面保护。

2)终端防护技术终端管理系统是对局域网内部的网络行为进行全面监管，检测并保障桌面系统的安全产品。

系统一般共分四大模块：桌面行为监管、桌面系统监管、系统资源管理，通过统一定制、下发安全策略并强制执行的机制，实现对局域网内部桌面系统的管理和维护，能有效保障桌面系统及机密数据的安全。

终端管理系统自动检测桌面系统的安全状态，能针对桌面系统的补丁自动检测、下发和安装，修复存在的安全漏洞，防止漏洞被木马和病毒利用。

终端管理系统监管桌面行为，对桌面系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控，通过策略定制限制主机是否允许使用外存设备，确保机密数据的安全，避免了内部保密数据的泄漏。

终端管理系统桌面监管系统，解决了难以及时、准确掌控桌面系统基础信息的问题，规范了客户端操作行为，提高了桌面系统的安全等级。

通过系统监管模块管理员能够远程查看桌面系统当前的详细信息，包括：已安装软件、已安装硬件、进程、端口、CPU、磁盘、内存等，及时发现异常。

终端管理系统为管理员提供了Agent管理、IP管理等功能，能对网络内的Agent进行有效管理，避免IP地址混乱、非法接入、木马运行等情况。

终端管理系统在对收集的事件进行详尽的分析和统计的基础上，支持丰富的报表功能，实现了分析结果的可视化。

为帮助网络管理员对网络中的情况进行深度挖掘分析，系统提供了多种报表模板，支持管理员从不同方面进行网络事件和用户行为的可视化分析，满足了安全审计的需求。

3、安全管理1)安全审计系统安全审计既是发现安全问题的重要手段，也是管理内部人员行为的威慑手段。

如果不计划部署安全管理平台，就一定要安装安全审计系统。

推荐通过引入集中日志审计的技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一的安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

2)安全管理平台系统在内部部署了防病毒等一系列安全设备后，可以在一定程度上提高安全防御水平，降低发生泄密事件的概率。

但同时也要加强安全管理，引入安全管理平台。

信息安全管理平台，能实时对网络设备、服务器、安全设备、数据库、中间件、应用系统的安全状况进行统一监控、采集安全事件和日志信息、进行整合和关联分析、评估安全风险、审计用户行为、产生安全事故和告警、生成安全报告并及时进行应急响应，确保相关系统的业务持续运行，协助管理人员排除安全隐患和安全故障，同时为相关部门的信息安全审计和考核提供技术手段和依据，实现全网的安全集中监控、审计和应急响应，全面提升保密内网的信息安全保障能力。

对于内网泄密事件而言，安全管理平台可以对关键主机的访问行为进行记录，一方面形成威慑，另一方面方便事后取证;安全管理平台还可以找出系统内感染木马病毒的机器。

3)定期巡检服务定期巡检服务是一种第三方安全服务，可以定期查看并发现系统的安全漏洞，检测关键计算机设备的状态，发现并定位计算机中已经感染的木马，防止木马的泄密等破坏行为发生。

安全措施部署举例IT专家网原创文章，未经许可，严禁转载！安全需求分析当今电信行业或多或少的面临着如下的网络威胁：内部误用和滥用：各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的，通常的比例高达70%。

这样，如何高效地防止误用损失、阻止滥用、监测业务网络的健康运行，并且在事件发生后能够成功地进行定位和取证分析，这样的能力对于一个成功的电信企业显得至关重要。

拒绝服务攻击：当前运营商受到的拒绝服务攻击的威胁正在变得越来越紧迫，对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。

对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务，也是整个企业的网络安全水平进入一个新境界的重要标志。

外部入侵：这里是通常所说的黑客威胁。

现在的黑客的目标已经由原来的技术转变为现在的以盈利为目标，这些是对网络自主运行的控制权的巨大威胁，使得客户在重要和关键应用场合没有信心，损失业务，甚至造成灾难性后果。

病毒：病毒时时刻刻威胁着整个互联网，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治。