网络安解决方案济南美讯网络科技有限公司2010 年2 月4 日目录一、外网用户安全登录3...1.1.SSL VPN简介........................................................ 3.SSLVPF安全特性.................................................... 4.1.2.RSA双因素身份认证系统简介......................................... 5.二、内网用户认证准入系统6..2.1.网络准入系统简介................................................. 6..网络准入机制的实现................................................................... 6..三、漏洞扫描与信息系统安全评估8..3.1.漏洞扫描与管理系统简介8..漏洞扫描与管理系统主要功能....................................... 8..3.2.信息系统安全评估简介9..评估内容和阶段................................................................... 9...评估结果.................................................................. 1..0.四、济南美讯网络科技有限公司简介1..1一、外网用户安全登录通过建设SSL VPb和RSA的双认证来实现外网用户能够安全的登录内部系统网络，使用内部系统的相关数据信息。

SSL/PN实现了点对网的安全连接，SSLVPN安全网关使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。

由于SSL 协议属于高层安全机制，因而广泛应用于Web浏览程序和Web服务器程序。

当前几乎所有的标准浏览器中都内置了SSL协议，因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。

1.1.SSL VPN 简介相对于传统的IPSec VPN, SSL能让公司实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。

很多企业用户采纳SSLVPN作为远程安全接入技术，主要看重的是其接入控制功能。

SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁，目前对SSL VPN公认的三大好处是来自于它的简单性，它不需要配置，可以立即安装、立即生效;客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行；口一fl ；厂空仝的链撫c兼容性好，传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSL VPN则完全没有这样的麻烦。

SSLVPN 安全特性通常SSL VPN勺安全性包含三个层面上的含义：一是客户端接入的安全; 是数据传输安全；三是内部资源的访问安全。

安全的加密认证、USB KEY双因素认证短信认证多重保证双向的证书支持，完整的PKI体系与第三方认证有效集成自建CA中心，减少安全架构成本客户端安全扫描，更完备的登陆安全自动清除访问记录，实现“零痕迹”访问超时退出，防止窥探1.2.RSA双因素身份认证系统简介在网络安全中，身份认证（Authentication ）是最基本最重要的环节，即使将 授权、保密性、完整性等环节做得很完善，但如果帐号和密码被盗，系统将认为 是合法用户，给予相应的访问权限，使系统处于危险状态。

一般的认证采用比较复杂的密码或长密码来提高安全性， 但是这样一来在输 入密码时又容易输入错误，而且容易忘记，如果写在纸面上又容易丢失。

而短密 码又容易被猜到或暴力破解。

RSA 提供了完整的身份认证解决方案，特别是 RSA Securl 殴因素身份认证 解决方案（RSA 的一种），已成为该领域的事实标准，该解决方案以易于实现、 成熟、可靠等特点在信息安全领域赢得广泛信赖。

RSA SecurlD 双因素身份认证解决方案需要每个用户拥有一个认证设备，在企业内部需要认证服务器认证服务器: 一般的RSA 认证方法是：认证设备与认证服务器运用相同的 RSA 算法，每 分钟更换一次密码，用户可以通过输入认证设备上显示的密码来登录。

RSA Securl ［双因素身份认证解决方案的特点是：双重密码，就是每个认证设备都有一个4-8位PIN 码（在服务器上定义），输入密码是要 PIN+认证设备上显示的密码二合一的。

好处就是即使认证设备被盗也不会被入侵者使用 认证设备:类似优盘大小标准19U 机柜大小二、内网用户认证准入系统2.1.网络准入系统简介使用桌面准入系统，可确保只有经过授权的所有终端设备（如PC、笔记本电脑、服务器、智能电话或PDA等）访问网络资源，以防入侵者的威胁。

并且可以保证终端设备的唯一性，不可伪造性。

拒绝非法设备进行网络访问。

网络准入机制的实现IP/MACAge nt（代理模块）没有安装Agent（代理模块）时，服务器检查这台机器的IP/MAC地址如果是NAH例外终端，就可以直接通过动态授权访问内部资源。

上图中状态1 如果是访客的终端，就划分到访客区，这台机器如果需要访问互联网，需要输入访客密码，通过访客认证才可以访问互联网。

上图中状态24如果这台机器需要访问内部保密的数据，就会提示安装代理模块。

上图中状态3。

安装过代理模块的机器，需要经过身份认证和终端认证，不合法的将拒绝接入。

上图中状态4。

合法的终端还要通过安全策略的检查，如果不合格，需要进入隔离区进行强制修复，直到安全策略检查合格才可以进行下一步审核。

上图中状态5 。

通过安全策略检查的终端通过动态授权才可以访问内部保密的数据。

上图中状态6。

安全策略检查包括安全检查，安全加固，行为审计，异常检测，U 盘监控，文档加密等。

三、漏洞扫描与信息系统安全评估3.1.漏洞扫描与管理系统简介漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

在漏洞横飞的今天，诞生了漏洞扫描与管理系统，漏洞扫描与管理系统是基于网络的脆弱性分析、评估与管理系统，它遵循“发现—扫描—定性—修复—审核” 的全面评估法则。

漏洞扫描与管理系统主要功能资产发现以及管理漏扫系统能够通过综合运用多种手段（主机存活探测，智能端口检测，操作系统指纹识别等）全面、快速、准确的发现被扫描网络中的存活主机，准确识别其属性，包括主机名称、设备类型、端口情况、操作系统以及开放的服务等，为进一步脆弱性扫描做好准备。

脆弱式扫描与分析渐进式的扫描方法能够让漏扫系统利用已经发现的资产信息进行针对性扫描，以发现主机上不同应用对象（操作系统和应用软件）的弱点和漏洞，同时保证扫描过程的快速和结果的准确。

目前，可检测的漏洞数量已经超过2300 种，涵盖了各种常见的网络主机、操作系统、应用系统和数据库系统的安全漏洞。

脆弱性风险评估总结被扫描资产的保护等级和资产价值，采用参考国家标准制定的风险评估算法，能够对主机、网络的脆弱性风险做出定量和定性的综合评价。

弱点修复指导每个漏洞都有详细的描述，包括漏洞的说明、影响的系统、平台、危险级别以及标准的CNCVE CVE BUGTRAQ等对应关系以及链接信息，并提供修补方案。

安全策略审核用户可以通过计划任务的定期执行，进行基于主机、网络和弱点的趋势对比分析。

另外，漏洞验证功能允许检查用户对扫描到的漏洞进行审核。

3.2.信息系统安全评估简介了解组织的管理、网络和系统安全现状；确定可能对资产造成危害的威胁，包括入侵者、罪犯、不满员工、恐怖分子和自然灾害；通过对历史资料和专家的经验确定威胁实施的可能性；对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的；对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；明晰组织的安全需求，指导组织建立安全管理框架，提出安全建议，合理规划未来的安全建设和投入。

评估内容和阶段从评估对象这个角度，评估内容要覆盖组织所有节点中的重要信息资产。

它包括两个层面的内容：技术层面：评估和分析在网络和主机上存在的安全技术风险，包括网络设备、主机系统、操作系统、数据库、应用系统等软硬件设备。

管理层面：从组织的人员、组织结构、管理制度、系统运行保障措施，以及其它运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷。

风险评估的步骤：1.资产识别与赋值: 对组织的各类资产做潜在价值分析，了解其资产利用、维护和管理现状；2.威胁分析: 是指对系统或资产的保密性、完整性及可用性构成潜在损害，以致影响系统或资产正常使用及操作的任何事件或行动3.弱点分析: 识别信息系统在技术层面存在的安全弱点。

通过采集本地安全信息，获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息，并进行相应的分析4.控制分析：产生一个总体可能性评价来说明一个潜在弱点在相关威胁环境下被攻击的可能性5.可能性及影响分析：对威胁发生频率的估计，即威胁发生的或然率6.风险识别：挖掘并评估业务系统/ 资产面临的威胁、挖掘并评估业务系统/ 资产存在的弱点、进而评估该业务系统/资产的风评估结果一旦风险评估全部结束（威胁源和弱点已经被识别出来，风险也被评估，控制建议也已经提出），结果被整理为正式文档。

根据收集的信息和完成的分析，评估小组创建风险评估报告书，并向组织相关人员陈述本次风险评估结果，提出相应的安全措施建议，利用风险评估管理系统RAM管理评估结果，使组织充分理解信息系统存在的风险，以尽早采取措施管理不可接受的风险，最终完成风险评估活动。

四、济南美讯网络科技有限公司简介济南美讯网络科技有限公司是一家资金和技术实力雄厚的高科技企业，2005年注册成立于充满活力的济南高科技园区，现有员工30余人，专业技术人才20余人。

注册资金500万元，现有固定资产总额600余万元，公司近两年发展迅速，先后在北京，青岛等地设立了办事处•公司以专业的产品供应商和技术服务商为自身定位，不断完善运营体制，逐渐形成集销售、维修、工程安装及服务于一体的一条龙服务体系，为客户提供全面的系统集成服务，并充分利用现代化的系统管理手段，实现了网络规划、软件开发、产品供应、系统集成的创新运营。

美讯公司秉承“专注需求，快速服务”的理念，美讯人齐心协力，发扬团结创新、追求卓越的服务精神，创造了良好的经济和社会效益。