網(wǎng)絡(luò)安全建設(shè)實施方案

1、京唐港股份有限公司京唐港股份有限公司 網(wǎng)絡(luò)安全建設(shè)實施方案網(wǎng)絡(luò)安全建設(shè)實施方案 二二 oooo 七年二月七年二月 目錄目錄 1概述概述.3 2網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè).3 2.1安全現(xiàn)狀分析.3 2.2安全風險分析.4 2.2.1物理安全.4 2.2.2網(wǎng)絡(luò)安全與系統(tǒng)安全.4 2.2.3應(yīng)用安全.5 2.2.4安全管理.5 2.3安全需求分析.6 2.3.1物理安全需求分析.6 2.3.2網(wǎng)絡(luò)安全與系統(tǒng)安全.7 2.3.3應(yīng)用安全.7 2.3.4安全管理.8 2.4安全實施方案.8 2.4.1物理安全防護.8 2.4.2備份與恢復.9 2.4.3訪問控制.9 2.4.4系統(tǒng)安全.9 2

2、.4.5網(wǎng)段劃分與虛擬局域網(wǎng).11 2.4.6辦公網(wǎng)整體安全建議.11 2.4.7防火墻實施方案.13 2.4.8入侵檢測系統(tǒng)實施方案.20 2.4.9漏洞掃描系統(tǒng)實施方案.29 2.4.10身份認證系統(tǒng)實施方案.33 2.4.11安全審計系統(tǒng)實施方案.39 2.4.12防病毒系統(tǒng)實施方案.43 3異地網(wǎng)接入安全建設(shè)異地網(wǎng)接入安全建設(shè).55 3.1接入方式選擇.56 3.2安全性分析.57 3.3兩種方式優(yōu)勢特點.57 3.4vpn 原理介紹.58 3.5vpn 的選型.63 3.6財務(wù)系統(tǒng)安全防護.66 4機房設(shè)備集中監(jiān)控管理機房設(shè)備集中監(jiān)控管理.66 4.1.1設(shè)備及應(yīng)用系統(tǒng)管理現(xiàn)狀.66

3、 4.1.2建立機房集中控制管理系統(tǒng)需求.66 4.1.3集中控制管理系統(tǒng)方案實現(xiàn).67 4.1.4功能特點.68 4.2監(jiān)控顯示系統(tǒng).68 4.2.1投影顯示系統(tǒng).68 4.2.2等離子顯示系統(tǒng).68 5網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)管理中心.69 5.1.1建立網(wǎng)絡(luò)管理中心需求.69 5.1.2網(wǎng)絡(luò)管理功能實現(xiàn).69 6桌面管理及補丁分發(fā)中心桌面管理及補丁分發(fā)中心.72 6.1.1建立桌面管理中心需求.72 6.1.2桌面管理功能實現(xiàn).74 7網(wǎng)絡(luò)設(shè)備升級網(wǎng)絡(luò)設(shè)備升級.81 1 概述概述 京唐港股份有限公司辦公大樓網(wǎng)絡(luò)信息系統(tǒng)目前剛剛投入使用，主要包括 新建大廈、舊辦公區(qū)辦公網(wǎng)絡(luò)以及部分省市辦事處專網(wǎng)，

4、該套網(wǎng)絡(luò)與 internet 互聯(lián)，將要實現(xiàn)整個業(yè)務(wù)系統(tǒng)的辦公自動化，包括業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)存儲備 份、文件共享、對外宣傳等，同時還要為員工相關(guān)業(yè)務(wù)應(yīng)用及學習提供便利的 上網(wǎng)條件；所以該網(wǎng)絡(luò)既是辦公系統(tǒng)的承載體，也是威脅風險的承受體，在公 司規(guī)模日漸壯大的今天，網(wǎng)絡(luò)規(guī)模也相應(yīng)的在不斷的擴大，相關(guān)的配套網(wǎng)絡(luò)及 安全設(shè)備雖然具有較新的技術(shù)和功能，但還不足以抵御紛繁復雜的互聯(lián)網(wǎng)的威 脅，整個網(wǎng)絡(luò)的安全也需要做相應(yīng)的增強防護，另外從設(shè)備及應(yīng)用的管理角度 來看，可以采取一些智能和高效的管理手段及措施，在保障業(yè)務(wù)正常運行了同 時，保證系統(tǒng)的安全可靠，減少和簡化安全管理，提高系統(tǒng)工作效率。 本方案將著重從安

5、全系統(tǒng)的整體建設(shè)及相應(yīng)的一些網(wǎng)絡(luò)管理手段上具體分 析，并提出可行性的實施方案，把目前在使用過程中遇到的一些問題解決并防 患于未然，同時為用戶提供一整套安全及網(wǎng)絡(luò)管理措施，把公司網(wǎng)絡(luò)建設(shè)成為 一個符合業(yè)務(wù)需求、安全可靠、容易管理操作的高質(zhì)量的辦公網(wǎng)絡(luò)。 2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè) 2.1 安全現(xiàn)狀分析安全現(xiàn)狀分析 京唐港股份有限公司依托于京唐港整體規(guī)劃建設(shè)和發(fā)展，將承載著越來越 多的港口業(yè)務(wù)等工作，特別是隨著信息化辦公的進一步深入，自動化辦公的便 利和效率可以說是公司發(fā)展壯大的必要手段；但是京唐港股份有限公司辦公大 樓是整個公司信息的核心地帶，不但為本地員工及另外一個園區(qū)的業(yè)務(wù)人員提

6、供各種辦公應(yīng)用服務(wù)，而且在各地已經(jīng)或是將要成立辦事處，實現(xiàn)遠程辦公， 并且各個位置和部門的業(yè)務(wù)需求又不盡相同，在這種網(wǎng)絡(luò)結(jié)構(gòu)較為龐大，多層 次、多應(yīng)用的網(wǎng)絡(luò)中，安全是一項很重要的任務(wù)和保證措施。 目前，該網(wǎng)絡(luò)已經(jīng)建設(shè)完成，安全手段主要在網(wǎng)絡(luò)邊界處采取了防火墻， 在整個網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)版殺毒軟件和網(wǎng)管軟件，其他安全措施主要是依靠個 人的安全意識和行為；現(xiàn)階段，全網(wǎng)已經(jīng)爆發(fā)了多次病毒感染等問題，一定程 度上影響了辦公的效率，所以有必要進一步從技術(shù)角度完善安全系統(tǒng)。 2.2 安全風險分析安全風險分析 2.2.1 物理安全物理安全 物理安全層面存在下述威脅和風險形式： 機房毀壞：由于戰(zhàn)爭、自然災害、意

7、外事故造成機房毀壞，大部分設(shè) 備損壞。 線路中斷：因線路中斷，造成系統(tǒng)不能正常工作。 電力中斷：因電力檢修、線路或設(shè)備故障造成電力中斷。 設(shè)備非正常毀壞：因盜竊、人為故意破壞造成設(shè)備毀壞。 設(shè)備正常損壞：設(shè)備軟 、硬件故障，造成設(shè)備不能正常工作。 存貯媒體損壞：因溫度 、濕度或其他原因，各種數(shù)據(jù)存儲媒體不能正 常使用。 2.2.2 網(wǎng)絡(luò)安全與系統(tǒng)安全網(wǎng)絡(luò)安全與系統(tǒng)安全 互聯(lián)網(wǎng)安全隱患：互聯(lián)網(wǎng)會帶來的越權(quán)訪問、惡意攻擊、病毒入侵等 安全隱患； 搭線竊取的隱患：黑客或犯罪團體通過搭線和架設(shè)協(xié)議分析設(shè)備非法 竊取系統(tǒng)信息； 病毒侵襲的隱患：病毒在系統(tǒng)內(nèi)感染、傳播和發(fā)作； 操作系統(tǒng)安全隱患：操作系統(tǒng)可

8、能的后門程序、安全漏洞、安全設(shè)置 不當、安全級別低等，缺乏文件系統(tǒng)的保護和對操作的控制，讓各種 攻擊有可乘之機； 數(shù)據(jù)庫系統(tǒng)安全隱患：不能實時監(jiān)控數(shù)據(jù)庫系統(tǒng)的運行情況，數(shù)據(jù)庫 數(shù)據(jù)丟失、被非法訪問或竊??； 應(yīng)用系統(tǒng)安全隱患：應(yīng)用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等， 可能出現(xiàn)非法訪問； 惡意攻擊和非法訪問：拒絕服務(wù)攻擊，網(wǎng)頁篡改，下載不懷好意的惡 意小程序，對系統(tǒng)進行惡意攻擊，對系統(tǒng)進行非法訪問等。 2.2.3 應(yīng)用安全應(yīng)用安全 身份假冒：缺少強制認證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng) 被假冒身份者闖入； 非授權(quán)訪問：缺少強制認證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系 統(tǒng)被越權(quán)訪問； 數(shù)據(jù)

9、失、泄密：涉密數(shù)據(jù)在處理、傳輸、存儲過程中，被竊取或非授 權(quán)訪問； 數(shù)據(jù)被修改：數(shù)據(jù)在處理、傳輸、存儲過程中被非正常修改和刪除； 否認操作：數(shù)據(jù)操作者為逃避責任而否認其操作行為。 2.2.4 安全管理安全管理 安全管理組織不健全：沒有相應(yīng)的安全管理組織，缺少安全管理人員 編制，沒有建立應(yīng)急響應(yīng)支援體系等。 缺乏安全管理手段：不能實時監(jiān)控機房工作、網(wǎng)絡(luò)連接和系統(tǒng)運行狀 態(tài)，不能及時發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件，不能追蹤安全事件等。 人員安全意識淡?。簾o意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操 作員 ic 卡，私自接入外網(wǎng)，私自拷貝竊取信息，私自安裝程序，不按 操作規(guī)程操作和越權(quán)操作，擅離崗位，沒有

10、交接手續(xù)等，均會造成安 全隱患。 管理制度不完善：缺乏相應(yīng)的管理制度，人員分工和職責不明，沒有 監(jiān)督、約束和獎懲機制，存在潛在的管理風險。 缺少標準規(guī)范：系統(tǒng)缺乏總體論證，沒有或缺少相關(guān)的標準規(guī)范，各 子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴展性不強。 缺乏安全服務(wù)：人員缺少安全培訓，系統(tǒng)從不進行安全評估和安全加 固，系統(tǒng)故障不能及時恢復等。 2.3 安全需求分析安全需求分析 基于上述的安全風險分析，京唐港股份有限公司信息系統(tǒng)必須采取相應(yīng)的 應(yīng)對措施與手段，形成有效的安全防護能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力， 為整個信息系統(tǒng)建立可靠的安全運行環(huán)境和安全業(yè)務(wù)系統(tǒng)，切實保障全公司信 息系統(tǒng)正常、有序、可

11、靠地運行。 2.3.1 物理安全需求分析物理安全需求分析 異地容災：異地容災主要是預防場地問題帶來的數(shù)據(jù)不可用等突發(fā)情 況。這些場地問題包括：電力中斷供電部門因各種原因長時間的 中斷；電信中斷各種原因造成的通信線路破壞；戰(zhàn)爭、地震、火 災、水災等造成機房毀壞或不可用等。這些災難性事件會直接造成業(yè) 務(wù)的中斷，甚至造成數(shù)據(jù)丟失等，會造成相當程度的社會影響和經(jīng)濟 影響。通過容災系統(tǒng)將這種“場地”故障造成的數(shù)據(jù)不可用性減到最 小。要求災難發(fā)生時，異地容災系統(tǒng)保證：數(shù)據(jù)在遠程場地存有一 致、可用的拷貝，保證數(shù)據(jù)的安全；應(yīng)用立即在遠程現(xiàn)場運行，保 證業(yè)務(wù)的連續(xù)性 。 機房監(jiān)控：機房監(jiān)控主要是預防盜竊、人為

12、破壞、私自闖入等情況。 監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。 設(shè)備備份：設(shè)備備份用于預防關(guān)鍵設(shè)備意外損壞。網(wǎng)絡(luò)中關(guān)鍵網(wǎng)絡(luò)設(shè) 備、服務(wù)器應(yīng)有冗余設(shè)計。 線路備份：線路備份主要是預防通信線路意外中斷。 電源備份：電源備份用于預防電源故障引起的短時電力中斷。 2.3.2 網(wǎng)絡(luò)安全與系統(tǒng)安全網(wǎng)絡(luò)安全與系統(tǒng)安全 深層防御：深層防御就是采用層次化保護策略，預防能攻破一層或一 類保護的攻擊行為，使之無法破壞整個辦公網(wǎng)絡(luò)。要求合理劃分安全 域，對每個安全域的邊界和局部計算環(huán)境，以及域之間的遠程訪問， 根據(jù)需要采用適當?shù)挠行ПＷo。 邊界防護：邊界防護用于預防來自本安全域以外的各種惡意攻擊和遠 程訪問控制。

13、邊界防護機制有防火墻、入侵檢測、隔離網(wǎng)閘等，實現(xiàn) 網(wǎng)絡(luò)的安全隔離。 網(wǎng)絡(luò)防病毒：網(wǎng)絡(luò)防病毒用于預防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。 備份恢復：備份恢復用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復。 漏洞掃描：漏洞掃描用于及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng) 以及網(wǎng)絡(luò)協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。 主機保護：對關(guān)鍵的主機，例如數(shù)據(jù)庫服務(wù)器安裝主機保護軟件，對 操作系統(tǒng)進行安全加固。 安全審計：用于事件追蹤。要求網(wǎng)絡(luò)、安全設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫 系統(tǒng)有審計功能，同時安裝第三方的安全監(jiān)控和審計系統(tǒng)。 2.3.3 應(yīng)用安全應(yīng)用安全 身份認證：身份認證用于保證身份的真實性。公司網(wǎng)絡(luò)中身份認證包 括用戶

14、身份認證、管理人員身份認證、操作員身份認證服務(wù)器身份認 證。鑒于辦公網(wǎng)與互聯(lián)網(wǎng)相連，用戶數(shù)量較大的，基于數(shù)字證書 （ca）的認證體制將是理想的選擇。 權(quán)限管理：權(quán)限管理指對公司辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、主 機系統(tǒng)的所有操作和訪問權(quán)限進行管理，防止非授權(quán)訪問和操作。 數(shù)據(jù)完整性：數(shù)據(jù)完整性指對辦公網(wǎng)絡(luò)中存儲、傳輸?shù)臄?shù)據(jù)進行數(shù)據(jù) 完整性保護。 抗抵賴：抗抵賴就是通過采用數(shù)字簽名方法保證當事人行為的不可否 認性，建立有效的責任機制，為京唐港公司網(wǎng)絡(luò)創(chuàng)造可信的應(yīng)用環(huán)境。 安全審計：各應(yīng)用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提 供相應(yīng)的審計工具。 2.3.4 安全管理安全管理 組織建設(shè)：安全

15、管理組織建設(shè)包括：組織機構(gòu)、人才隊伍、應(yīng)急響應(yīng) 支援體系等的建設(shè)。 制度建設(shè)：安全管理制度建設(shè)包括：人員管理制度、機房管理制度、 卡機具生產(chǎn)管理制度、設(shè)備管理制度、文檔管理制度等的建設(shè)。 標準建設(shè)：安全標準規(guī)范建設(shè)包括：數(shù)據(jù)交換安全協(xié)議、認證協(xié)議、 密碼服務(wù)接口等標準規(guī)范的建立。 安全服務(wù)：安全服務(wù)包括安全培訓、日常維護、安全評估、安全加固、 緊急響應(yīng)等。 技術(shù)建設(shè)：安全管理技術(shù)建設(shè)主要指充分利用已有的安全管理技術(shù)， 利用和開發(fā)相關(guān)的安全管理工具，提高安全管理的自動化、智能化水 平 。 2.4 安全實施方案安全實施方案 2.4.1 物理安全防護物理安全防護 物理安全是整個系統(tǒng)安全的基礎(chǔ)，要把公

16、司內(nèi)部局域網(wǎng)系統(tǒng)的安全風險減 至最低限度，需要選擇適當?shù)募夹g(shù)和產(chǎn)品，保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其 它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算 機犯罪行為導致的破壞過程。 機房建設(shè)必須嚴格按照國家標準 gb50173-93電子計算機機房設(shè)計規(guī)范 、 國標 gb2887-89計算站場地技術(shù)條件 、gb9361-88計算站場地安全要求 進行建設(shè)。 通過防盜措施，如裝備報警裝置防止設(shè)備被盜；通過對重要設(shè)備電源采用 ups 供電防止電源意外斷電中斷服務(wù)；通過對重要設(shè)備或線路冗余備份保持服 務(wù)的可持續(xù)性。 2.4.2 備份與恢復備份與恢復 對于網(wǎng)絡(luò)應(yīng)用實時性要求很高的系統(tǒng)，數(shù)據(jù)

17、備份措施往往采用服務(wù)器的雙 機備份。即兩臺服務(wù)器同時安裝備份系統(tǒng)，同時在線，互為備份。正常情況下， 由主服務(wù)器提供服務(wù)，備份服務(wù)器處于帶電但不提供服務(wù)狀態(tài)，一旦主服務(wù)器 出現(xiàn)故障，備份服務(wù)器自動接管主服務(wù)器來提供服務(wù)。保證應(yīng)用服務(wù)器能夠提 供不間斷的服務(wù)。 京唐港股份公司應(yīng)用服務(wù)可靠要求較高，而且業(yè)務(wù)數(shù)據(jù)存儲容量會隨著業(yè) 務(wù)的擴展而增大，并非常重要。為了防止業(yè)務(wù)數(shù)據(jù)的丟失和損壞而影響業(yè)務(wù)辦 理，或者在數(shù)據(jù)出現(xiàn)意外事故時無法恢復，必須對數(shù)據(jù)庫進行備份。根據(jù)實際 情況可采用 san 結(jié)構(gòu)存儲系統(tǒng)，采用磁帶庫進行備份并實現(xiàn)災難恢復。 2.4.3 訪問控制訪問控制 訪問控制是網(wǎng)絡(luò)安全防范和保護最有效手

18、段之一，據(jù)統(tǒng)計分析，完善的訪 問控制策略可把網(wǎng)絡(luò)安全風險降低 90%。網(wǎng)絡(luò)的訪問控制技術(shù)可以針對網(wǎng)絡(luò)協(xié) 議、目標對象以及通訊端口等進行過濾和檢驗，符合條件才通過，不符合條件 的則被丟棄。系統(tǒng)訪問控制可以針對具體的一個文件或目錄授權(quán)給指定的人員 相應(yīng)的權(quán)限，受派者在試圖訪問相應(yīng)信息時，需要驗證身份、判別權(quán)限后才能 進行訪問。訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。訪 問控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 訪問控制策略可以采用三層交換設(shè)備 vlan 技術(shù)、acl 技術(shù)、綁定技術(shù)等， 使得不同部門、不同組別、不同用戶之間的網(wǎng)絡(luò)訪問達到有效的控制；也可以 通過在不同網(wǎng)絡(luò)安全域

19、之間加裝防火墻等安全設(shè)備，利用防火墻的控制策略達 到網(wǎng)絡(luò)訪問控制的目的。 2.4.4 系統(tǒng)安全系統(tǒng)安全 系統(tǒng)安全包括數(shù)據(jù)庫安全和操作系統(tǒng)安全，下面分別闡述。 數(shù)據(jù)庫安全 數(shù)據(jù)庫存放了整個網(wǎng)絡(luò)中的重要數(shù)據(jù)，為此需要建立一套有效的安全機制。 加強數(shù)據(jù)庫系統(tǒng)登陸權(quán)限管理，加強管理員登陸口令的管理以及數(shù)據(jù)庫遠程訪 問權(quán)限的管理，對數(shù)據(jù)庫采用備份與恢復機制。同時對重要的涉密系統(tǒng)應(yīng)選用 經(jīng)國家主管部門批準使用的安全數(shù)據(jù)庫，或者對數(shù)據(jù)庫進行安全增強改造、加 固。數(shù)據(jù)庫具體安全要求： 1、用戶角色的管理 這是保護數(shù)據(jù)庫系統(tǒng)安全的重要手段之一。把網(wǎng)絡(luò)中使用數(shù)據(jù)庫的用戶設(shè) 置為不同的用戶組并對用戶組的安全屬性進行

20、驗證，有效地防止非法的用戶進 入數(shù)據(jù)庫系統(tǒng)；在數(shù)據(jù)庫中，可以通過授權(quán)對用戶的操作進行限制，即允許一 些用戶對數(shù)據(jù)庫服務(wù)器進行訪問，具有讀寫整個數(shù)據(jù)庫的權(quán)利，而大多數(shù)用戶 只能在同組內(nèi)進行讀寫或?qū)φ麄€數(shù)據(jù)庫只具有讀的權(quán)利。在此，特別強調(diào)對系 統(tǒng)管理員和安全管理員兩個特殊賬戶的保密管理。 2、數(shù)據(jù)保護 數(shù)據(jù)庫的數(shù)據(jù)保護主要是數(shù)據(jù)庫的備份，當計算機的軟硬件發(fā)生故障時， 利用備份進行數(shù)據(jù)庫恢復，以恢復破壞的數(shù)據(jù)庫文件、控制文件或其他文件。 另一種數(shù)據(jù)保護是日志，數(shù)據(jù)庫實例都提供日志，用以記錄數(shù)據(jù)庫中所進 行的各種操作，包括修改、調(diào)整參數(shù)等，并在數(shù)據(jù)庫內(nèi)部建立一個所有作業(yè)的 完整記錄。再一個就是控制文件

21、的備份，一般用于存儲數(shù)據(jù)庫物理結(jié)構(gòu)的狀態(tài)， 控制文件中的某些狀態(tài)信息在實例恢復和介質(zhì)恢復期間用于引導數(shù)據(jù)庫，在實 際操作時，需要為網(wǎng)絡(luò)的數(shù)據(jù)庫分別指定相應(yīng)的備份策略。 操作系統(tǒng)安全 目前用戶辦公計算機采用操作系統(tǒng)還主要基于 windows 平臺。其自身安全 需要得到關(guān)注，即在日常工作中必須注意對操作系統(tǒng)進行必要的防護。如： 1、定期維護：及時安裝漏洞補丁，定期進行完整性檢查、配置檢查、病毒 檢查和漏洞掃描。 2、使用權(quán)限控制：用戶權(quán)限、口令安全。 3、遠程訪問安全：進行基本的安全配置。 2.4.5 網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分與虛擬局域網(wǎng) 網(wǎng)段劃分主要是對 ip 地址進行合理的規(guī)劃和分配。為確

22、保辦公網(wǎng)中各子網(wǎng) 以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)正常、安全 運行，需要合理規(guī)劃、分配外網(wǎng)各部門的 ip 地址。網(wǎng)段劃分的方法可以采用各 個部門或機構(gòu)劃分網(wǎng)段，重要的服務(wù)器設(shè)備劃分單獨的網(wǎng)段，以便監(jiān)控網(wǎng)絡(luò)關(guān) 鍵設(shè)備的安全。 虛擬局域網(wǎng)可有效地解決廣播風暴、廣播攻擊、充分利用網(wǎng)絡(luò)帶寬資源。 結(jié)合訪問控制列表功能，可以極大地增強辦公網(wǎng)的安全性，防止網(wǎng)絡(luò)內(nèi)用戶對 系統(tǒng)相關(guān)信息的非授權(quán)訪問。辦公網(wǎng)可按各個職能來劃分 vlan，如將領(lǐng)導所 在的網(wǎng)絡(luò)單獨作為一個 leader vlan (lvlan )，技術(shù)人員劃分為一個 vlan，工作人員劃分為一個 vlan，而其它機構(gòu)分別劃

23、作一個 vlan。其共 享服務(wù)器（如 email 服務(wù)器、dns 服務(wù)器、web 服務(wù)器等）單獨劃作一個 vlan (mvlan)。其他服務(wù)器如數(shù)據(jù)庫服務(wù)器劃為 data vlan。 2.4.6 辦公網(wǎng)整體安全建議辦公網(wǎng)整體安全建議 根據(jù)以上的安全風險分析、需求分析和京唐港公司的具體情況，建議從以 下方面考慮進行安全方面的部署： 終端防護終端防護 a. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的企業(yè)級防病毒系統(tǒng)企業(yè)級防病毒系統(tǒng)。通過防病 毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見 的計算機癱瘓、網(wǎng)絡(luò)阻塞等安全問題。 b.在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的終端安全防護系統(tǒng)。終端安全防護系統(tǒng)。

24、通過終端 安全防護系統(tǒng)的統(tǒng)一部署，可以京唐港公司安全管理制度提供有利 的技術(shù)保障措施，保障終端的系統(tǒng)安全和終端的安全管理。 c.在中心部署身份認證登陸系統(tǒng)身份認證登陸系統(tǒng)，終端必須通過身份認證才能進入， 避免非法進入。 邊界的防護邊界的防護 a. 通過防火墻防火墻系統(tǒng)的部署，可以根據(jù)不同的安全要求，設(shè)置不同的安 全區(qū)域，來限制不同信任度區(qū)域之間的相互訪問，保護各關(guān)鍵應(yīng)用 服務(wù)器系統(tǒng)免受網(wǎng)絡(luò)上的非法訪問和惡意攻擊，可以在服務(wù)器區(qū)的 前端增加一臺防火墻設(shè)備。 b.通過入侵檢測入侵檢測系統(tǒng)的部署，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理 員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 服務(wù)器的防護服務(wù)器

25、的防護 a. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的企業(yè)級防病毒企業(yè)級防病毒 系統(tǒng)系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務(wù)器免受病毒的感 染和傳播。這可以解決常見的服務(wù)器癱瘓、信息資產(chǎn)丟失等安全問 題，為服務(wù)器病毒防護提供有效的安全保障。 b. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的終端安全防護終端安全防護 系統(tǒng)系統(tǒng)。通過終端安全防護系統(tǒng)的統(tǒng)一部署，為服務(wù)器提供訪問控制、 系統(tǒng)的安全、補丁的有效管理、和為服務(wù)器的安全管理提供技術(shù)保 障措施。 c. 服務(wù)器安全加固服務(wù)器安全加固，對關(guān)鍵服務(wù)器進行安全加固，保證服務(wù)器的安全 使用和穩(wěn)固。 系統(tǒng)安全防護系統(tǒng)安全防護 a. 在辦公網(wǎng)

26、系統(tǒng)上部署漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)，可以隨時的對網(wǎng)絡(luò)內(nèi)的所有終端、 服務(wù)器、數(shù)據(jù)庫系統(tǒng)進行掃描，以發(fā)現(xiàn)安全隱患。 b. 在系統(tǒng)當中部署安全強審計系統(tǒng)安全強審計系統(tǒng)。根據(jù)用戶的安全策略制定詳細的審計 保護規(guī)則，對整個網(wǎng)絡(luò)和主機中違反安全策略的行為進行阻斷，并向管 理中心報警。 系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖 1： web服務(wù)器 郵件服務(wù)器 病毒服務(wù)器 internet 出出 口口 生生 產(chǎn)產(chǎn) 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 辦辦 公公 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 入侵檢測系統(tǒng) 安全審計系統(tǒng) kvm 審計服務(wù)器 網(wǎng)管工作站 舊舊 辦辦 公公 區(qū)區(qū) 各各 個個 樓樓 層層 交交 換換 入侵檢測系統(tǒng)入侵

27、檢測系統(tǒng) 公公 共共 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 入侵檢測系統(tǒng) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 管管 理理 區(qū)區(qū) 圖 1： 系統(tǒng)整體安全體系結(jié)構(gòu)示意圖 2.4.7 防火墻實施方案防火墻實施方案 實施原則實施原則 （1） 整體性 安全防范體系的建立和多層保護的相互配合； 實現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。 （2） 先進性 安全技術(shù)先進； 安全產(chǎn)品成熟； 安全系統(tǒng)技術(shù)生命的周期適度。 （3） 可用性 安全系統(tǒng)本身的可用性； 安全管理友好，并于其他系統(tǒng)管理的有效集成； 避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復雜； 盡量降低對原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開展。 （4） 擴充性 安全系統(tǒng)能適應(yīng)客戶網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用

28、需求的變化而變化； 安全系統(tǒng)遵循標準，系統(tǒng)的變化易實現(xiàn)、易修改、易擴充。 實施策略實施策略 采取核心保護策略，盡可能的以最小的投資達到最大的安全防護。 采用可以提供集中管理控制的產(chǎn)品，同時要求考慮產(chǎn)品適應(yīng)性可擴展 性，以適應(yīng)網(wǎng)絡(luò)擴展的需要。 產(chǎn)品在使用上應(yīng)具有友好的用戶界面，使用戶在管理、使用、維護上 盡量簡單、直觀。 建立層次化的防護體系和管理體系。 防火墻系統(tǒng)部署防火墻系統(tǒng)部署 從京唐港公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上，可以看出，辦公網(wǎng)中的服務(wù)器區(qū)域 是很重要的安全區(qū)域，這些服務(wù)器承載著整個公司全部網(wǎng)絡(luò)功能的需求，對網(wǎng) 絡(luò)安全系數(shù)的要求很高，一旦重要服務(wù)器遭到攻擊破壞，

29、將對整個公司的業(yè)務(wù) 產(chǎn)生非常大的影響，所以可以在服務(wù)器交換機與核心交換機的連接中設(shè)置防火 墻設(shè)備，根據(jù)用戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外 網(wǎng)絡(luò)通信，是必不可少的安全防御措施。 控制從外網(wǎng)區(qū)到安全服務(wù)區(qū)的訪問，確保允許的訪問才能夠進行，而 其他未經(jīng)過允許的行為全部被禁止； 限制安全服務(wù)區(qū)對非安全服務(wù)區(qū)的直接訪問； 防火墻有效記錄區(qū)域之間的訪問日志，為出現(xiàn)安全問題時提供備查資 料； 具體配置情況如圖 1 所示，在網(wǎng)絡(luò)邊界處部署一臺防火墻作為網(wǎng)絡(luò)系統(tǒng)與 internet 連接的第一道安全防護，通過防火墻提供的功能來達到訪問控制的目 的；另外，在各個系統(tǒng)區(qū)的出口處也部署一臺防火墻

30、，用來保證各個區(qū)域的安 全，制定不同的安全策略，實現(xiàn)對重要服務(wù)器系統(tǒng)的防護和訪問控制。 防火墻安全策略防火墻安全策略 針對公司辦公局域網(wǎng)的具體情況，我們建議制定以下的安全策略： 安全區(qū)域隔離策略 由于網(wǎng)絡(luò)安全的整體性要求，為了使網(wǎng)絡(luò)系統(tǒng)達到一定的安全水平，必須 保證對網(wǎng)絡(luò)中各部分都采取了均衡的保護措施，但對于公司整個辦公網(wǎng)來說都 采用相同的手段是不可能也沒有必要的，本辦公網(wǎng)可以采用的方法是根據(jù)網(wǎng)絡(luò) 不同部分的重要性劃分為不同的安全區(qū)域，并著重對其中重要的安全區(qū)域進行 隔離和保護。 建議采用防火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點是各服務(wù) 器區(qū)域與辦公網(wǎng)內(nèi)用戶區(qū)域之間的連接

31、。 訪問控制策略 防火墻被部署后，將根據(jù)實際應(yīng)用需要定義適當?shù)陌踩呗?，針對源地址?目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時間、帶寬等條件的實現(xiàn)訪問控制，確保不同網(wǎng) 絡(luò)區(qū)域之間的授權(quán)、有序訪問，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問或一些惡 意的攻擊。 例如，服務(wù)器區(qū)域防火墻上可制定如下安全策略： - 允許業(yè)務(wù)相關(guān)的用戶區(qū)域主機訪問本區(qū)域服務(wù)器的特定端口，拒絕其他 任何訪問請求，這樣可以保護服務(wù)器系統(tǒng)不受非法入侵和攻擊； - 缺省規(guī)則應(yīng)該是拒絕一切訪問。 本次項目我們將在實施的過程中，根據(jù)網(wǎng)絡(luò)的真實環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交 互的實際需要，來制定詳細的訪問控制策略。基本原則是開放最少端口。作為 區(qū)域邊界保護的準則，

32、防火墻的訪問控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問 控制策略是否得到實施的關(guān)鍵，因此對防火墻訪問控制策略的定期檢查和調(diào)整 是區(qū)域邊界保護中要注意的問題。 用戶認證和授權(quán)策略 選擇一種既方便實用又具備足夠安全性的用戶認證機制，通過防火墻實現(xiàn) 對網(wǎng)絡(luò)用戶身份的可靠鑒別和訪問授權(quán)管理，防止非法人員盜用合法用戶的網(wǎng) 絡(luò)地址來假冒合法用戶訪問關(guān)鍵資源，同時也便于針對實際用戶進行行為審計。 帶寬管理策略 我們可以依據(jù)應(yīng)用需要來限制流量，來調(diào)整鏈路的帶寬利用。可以在防火 墻中直接加載控制策略，為比較重要的訪問定義可用的最大帶寬和優(yōu)先級，確 保為重要的應(yīng)用預留足夠的帶寬進行數(shù)據(jù)交換。 我們還可以定義任意兩個網(wǎng)絡(luò)

33、對象之間通信時的最大帶寬。例如，通過防 火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導、網(wǎng)絡(luò)管理人員等定義進行 網(wǎng)絡(luò)通信時的最大帶寬和優(yōu)先級，而且?guī)挿峙淇梢允欠謱拥?，例如部門帶寬 下面有小組帶寬然后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的 順暢。 日志和審計策略 一個安全防護體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài) 的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使 管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。進行信 息審計的前提是必須有足夠的多的日志信息。 防火墻系統(tǒng)提供了強大的日志功能，可對重要關(guān)鍵資源的使用情況進行有 效的監(jiān)控，實

34、現(xiàn)日志的分級管理、自動報表、自動報警功能，用戶可以根據(jù)需 要對不同的通訊內(nèi)容記錄不同的日志，包括會話日志（主要描述通訊的時間、 源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了 那些命令，執(zhí)行了那些操作） 。用戶可以根據(jù)需要記錄不同的日志，從而為日志 分析、事后追蹤提供更多的依據(jù)。同時，產(chǎn)生的日志能夠以多種方式導出，有 利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺進行統(tǒng)一的管理。 防火墻選型防火墻選型 由于將各個系統(tǒng)按照區(qū)域化分進行分別防護，在總出口處已經(jīng)部署一臺高 性能千兆防火墻，根據(jù)流量及應(yīng)用實際分析，在辦公系統(tǒng)和生產(chǎn)系統(tǒng)處可分別 部署一臺千兆防火墻，考慮到部分有可能

35、系統(tǒng)采用 vpn 設(shè)備，所以可以選擇帶 vpn 功能模塊的防火墻。 產(chǎn)品功能： 功能類別功能項功能細項 工作模式路由、透明、混合 支持基于流、數(shù)據(jù)包、透明代理的過濾方式。 支持對 http、smtp、pop3、ftp 等協(xié)議的深度內(nèi)容過濾。 支持 url 過濾 支持對移動代碼如 java applet、active-x、vbscript、jscript、java script 的過濾 支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾 支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過 濾 內(nèi)容過濾 動態(tài)端口支持協(xié)議： ftp、rtsp、sql*net、mms、rpc(msrpc,dc

36、erpc)、h.323、tftp。 對通過的數(shù)據(jù)進行在線過濾，查殺郵件正文附件、網(wǎng)頁及下載文件中包 含的病毒， 病毒庫更新 提供快速掃描及完全掃描兩種掃描方式 防病毒 系統(tǒng)狀態(tài)實時監(jiān)控 基于狀態(tài)檢測的動態(tài)包過濾 實現(xiàn)基于源/目的 ip 地址、源/目的 mac 地址、源/目的端口、協(xié)議、時 間等數(shù)據(jù)包快速過濾 支持報文合法性檢查 包過濾 可實現(xiàn) ip/mac 綁定 非法報文攻擊：land 、smurf、pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3 、ipspoof 統(tǒng)計型報文攻擊：synflood、icmpflood、udpflo

37、od、portscan、ipsweep topsec 聯(lián)動：可與支持 topsec 協(xié)議的 ids 設(shè)備聯(lián)動，以提高入侵檢 測效率。 端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進行阻斷設(shè)置 防御攻擊 syn 代理：對來自定義區(qū)域的 syn flood 攻擊行為進行阻斷過濾 支持使用一次性口令認證（otp）、本地認證、雙因子認證 （secureid）以及數(shù)字證書（ca）等常用的安全認證方式 支持使用第三方認證如 radius、tacacs/tacacs+、ldap、域認證 等安全認證方式 支持 session 認證、http 會話認證 支持認證保活功能 aaa 服務(wù) 可將認證用戶信息加密存放在

38、本地數(shù)據(jù)庫 支持雙向 nat 支持動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換 支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換 網(wǎng)絡(luò)安全性 nat 支持虛擬服務(wù)器功能 支持靜態(tài)路由、動態(tài)路由 網(wǎng)絡(luò)適應(yīng)性路由 支持基于源/目的地址、接口、metric 的策略路由 支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。 支持 vlan 路由，能夠在不同的 vlan 虛接口間實現(xiàn)路由功能。 支持 rip、ospf 等路由協(xié)議。 支持 igmp 組播協(xié)議 支持 igmp snooping組播 可有效地實現(xiàn)視頻會議等多媒體應(yīng)用 支持與交換機的 trunk 接口對接，并且能夠?qū)崿F(xiàn) vlan 間通過安全設(shè)備傳 播路由 支

39、持 802.1q，能進行 802.1q 的封裝和解封 支持 isl，能進行 isl 的封裝和解封 vlan 在同一個 vlan 內(nèi)能進行二層交換 生成樹支持 802.1d 生成樹協(xié)議，包括 pvst+及 cst 等協(xié)議。 支持 arp 代理、arp 學習 arp 可設(shè)置靜態(tài) arp 非 ip 協(xié)議支持對非 ip 協(xié)議 ipx/netbeui 的傳輸與控制。 dhcp支持 dhcp client、dhcp relay、dhcp server 支持 adsl 接入功能，可滿足中小企業(yè)的多種接入需求。 接入 支持 pppoe 撥號接入 支持網(wǎng)絡(luò)時鐘協(xié)議 sntp，可以自動根據(jù) ntp 服務(wù)器的時鐘調(diào)

40、整本機時 間其它 支持 ipx、netbeui 等非 ip 協(xié)議。 支持基于標準 ike 協(xié)商的 vpn 通信隧道 支持多種 ike 認證方式，如預共享密鑰，數(shù)字證書等ike 支持 ike 擴展認證，如 radius 認證等。 支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠程移動用戶到網(wǎng)關(guān)的 vpn 隧道 在具有 scm 的解決方案中，支持靈活的移動用戶到移動用戶的隧道。 解決方案 可以和密碼機產(chǎn)品，遠程客戶端產(chǎn)品及 vpn 安全管理系統(tǒng)（scm）共 同組成完整的 vpn 解決方案。 支持 3des、des、國密辦等加密算法 支持標準 md5、sha-1 認證算法算法 支持加密卡提供的 md5、sha-1 認證算法 支持

41、 hub-spoke 方式 支持網(wǎng)狀連接方式工作模式 支持分級的樹狀連接方式 支持網(wǎng)絡(luò)鄰居（利用 wins） 支持隧道的 nat 穿越 支持對隧道內(nèi)明文的訪問控制 vpn 其它功能 可同時支持明密傳輸 支持 welf、syslog 等多種日志格式的輸出 支持通過第三方軟件來查看日志 支持日志分級 安全管理日志 支持對接收到的日志進行緩沖存儲 通過安全審計系統(tǒng)（ta-l），可獲得更詳盡的日志分析和審計功能,并 能提供員工上網(wǎng)行為管理功能。 可選高級日志審計功能模塊，除接受防火墻日志外還能接受交換機、路 由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進行聯(lián)合分析。 支持網(wǎng)絡(luò)接口監(jiān)測、cpu 利用率監(jiān)

42、測、內(nèi)存使用率監(jiān)測、操作系統(tǒng)狀況 監(jiān)測、網(wǎng)絡(luò)狀況監(jiān)測、硬件系統(tǒng)監(jiān)測、進程監(jiān)測、進程內(nèi)存監(jiān)測、加密 卡狀況監(jiān)測。 監(jiān)控 可根據(jù)配置文件進行錯誤恢復 報警事件：內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、 “容錯”、“測試”等多種觸發(fā)報警的事件類 報警 報警方式：采用郵件、netbios、聲音、snmp、控制臺等多種報警方 式，報警方式可以組合使用。 qos 帶寬管理 根據(jù) ip、協(xié)議、網(wǎng)絡(luò)接口、時間定義帶寬分配策略 支持最小保證帶寬和最大限制帶寬 qos 支持分層的帶寬管理 優(yōu)先級支持 8 級優(yōu)先級控制 支持雙機熱備 雙機熱備 支持系統(tǒng)故障切換 支持服務(wù)器的負載均衡，提供輪

43、詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈 接等多種負載均衡方式供用戶選擇。負載均衡 支持生成樹協(xié)議，可實現(xiàn)鏈路負載均衡。 支持鏈路備份功能 支持雙系統(tǒng)引導，當主系統(tǒng)損壞時，可以啟用備用系統(tǒng)，不影響設(shè)備的 正常使用 帶寬管理 其它功能 支持 watchdog 功能 支持 web 圖形配置、命令行配置 支持本地配置、遠程配置配置方式 支持基于 ssh、ssl 的安全配置 支持配置命令分級保護 支持中英文 命令行 支持命令超時、歷史命令、命令補齊、命令幫助、命令錯誤提示等功能 支持 snmp 的 v1 、v2 、v2c 、v3 版本 snmp 與當前通用的網(wǎng)絡(luò)管理平臺兼容，如 hp openview 等。

44、 支持雙系統(tǒng)升級 支持遠程維護和系統(tǒng)升級系統(tǒng)升級 支持 tftp 升級 提供強大的報文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào) 試和解決問題。報文調(diào)試 支持發(fā)送虛擬報文 配置管理 配置恢復可以進行配置文件的備份、下載、刪除、恢復和上載。 其它擴展能力 開放式的架構(gòu)支持未來方便擴展防病毒、防垃圾郵件、ipsec vpn、ssl vpn 等功能以及各種 vpn 加速卡 技術(shù)參數(shù)技術(shù)參數(shù) 1.1000m 光纖接口2； 2.并發(fā)連接數(shù)50 萬； 3.vlan 支持：支持 802.1q； 4.流量管理：支持帶寬管理和優(yōu)先級控制； 5.支持 ip 與 mac 地址綁定； 6.支持 h

45、ttp、stmp、pop3、ftp、socks 代理； 7.支持抗 dos、端口掃描、特洛伊木馬等攻擊； 8.支持基于 h.323 的視頻會議和 voip 語音系統(tǒng)。 2.4.8 入侵檢測系統(tǒng)實施方案入侵檢測系統(tǒng)實施方案 入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述 入侵檢測系統(tǒng)是屬于主動防御，它識別大量的攻擊模式、并根據(jù)用戶策略 做出響應(yīng)。入侵檢測系統(tǒng)以實時性、動態(tài)檢測和主動防御為特點，有效彌補了 其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng)，已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)的必 備設(shè)施。 網(wǎng)絡(luò)入侵檢測系統(tǒng)可以對整個網(wǎng)絡(luò)進行檢測和防御，通常由控制中心和探 測引擎兩部分組成。探測引擎一般采用專用硬件設(shè)備通

46、過旁路方式接入檢測網(wǎng) 絡(luò)。探測引擎全面?zhèn)陕牼W(wǎng)絡(luò)信息流，動態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，進行 檢測和實時分析，從而實時甚至提前發(fā)現(xiàn)非法或異常行為，并且執(zhí)行告警、阻 斷等功能，并記錄相應(yīng)的事件日志?？刂浦行氖敲嫦蛴脩?，提供管理配置使用。 它支持控制多個位于本地或遠程的探測引擎，集中制定和配置監(jiān)控策略，提供 統(tǒng)一的數(shù)據(jù)管理。 對發(fā)現(xiàn)入侵或異常行為，入侵檢測系統(tǒng)控制中心能記錄、顯示詳細的入侵 告警信息，如入侵主機的 ip 地址、攻擊特征等。通過對所記錄的歷史報警信息 進行分類統(tǒng)計，可形成用戶所需要的管理報表。 入侵檢測技術(shù)入侵檢測技術(shù) 高性能報文捕獲高性能報文捕獲 dmadma 和零拷貝

47、技術(shù)和零拷貝技術(shù) ids 作為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。目前，由于網(wǎng) 絡(luò)自身的發(fā)展非常迅速，一般的網(wǎng)絡(luò)局域網(wǎng)主干交換帶寬速度由 10/100m 的網(wǎng) 絡(luò)發(fā)展到 1000m，給 ids 帶來了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測系統(tǒng)一般基 于簡單的模式匹配實現(xiàn)，在百兆滿負荷的網(wǎng)絡(luò)環(huán)境中工作已經(jīng)相當吃力，而網(wǎng) 絡(luò)帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 ids 增加 10 倍的處 理能力，因此網(wǎng)絡(luò)的發(fā)展，提出了千兆或更高性能 ids 的需求。而高性能入侵 檢測的一個重要瓶頸就在于高速的報文捕獲和批量處理分析。 為了提高報文捕獲的效率，通過修改網(wǎng)卡驅(qū)動程序，使用 dma 和

48、數(shù)據(jù)零 拷貝技術(shù)零拷貝技術(shù)，大大提高了效率，如下圖所示： dma 和數(shù)據(jù)零拷貝技術(shù)和傳統(tǒng)入侵檢測報文捕獲技術(shù)的比較 零拷貝技術(shù)省略了 tcp/ip 堆棧的處理，直接將網(wǎng)卡通過 dma 直接數(shù)據(jù)傳 輸將報文數(shù)據(jù)傳遞到了 ids 系統(tǒng)可以訪問的空間，大大減少了傳統(tǒng)方式中因為 上下文切換和數(shù)據(jù)拷貝而帶來的系統(tǒng)開銷，使用了零拷貝技術(shù)之后，系統(tǒng)的捕 包效率大大提高，測試結(jié)果是在能夠在 1.4g 的 cpu 下，捕獲 100 萬/秒報文時， cpu 占用率還低于 10%。這種效率完全可以滿足在千兆高速環(huán)境下入侵檢測分 析。 支撐平臺結(jié)構(gòu)和系統(tǒng)優(yōu)化支撐平臺結(jié)構(gòu)和系統(tǒng)優(yōu)化 對于整體結(jié)構(gòu)的優(yōu)化有助于進一步提高

49、ids 系統(tǒng)引擎的速度。 1. 并行處理 在雙 cpu 并行處理機上，通過使用多線程，使得我們可以將多個報文同時 進行處理，為了減少同步帶來的代價，使用報文的預分析，然后根據(jù)預分析的 結(jié)果進行任務(wù)分配，將一個報文的所有分析和匹配工作都交給一個工作線程去 處理，多個線程可以同時并行處理多個報文。 2. 使用匯編語言實現(xiàn)關(guān)鍵處理 通過使用匯編語言可以大大減少使用高級語言帶來的冗余代碼，在核心的 關(guān)鍵處理上如模式集合的匹配上使用匯編語言實現(xiàn)能夠大大提高效率。 3. 優(yōu)化內(nèi)存分配算法 經(jīng)過分析在 ids 系統(tǒng)中，會大量的使用內(nèi)存的分配和釋放操作，如果，實 現(xiàn)中都通過系統(tǒng)的分配釋放函數(shù)來實現(xiàn)會大大影響系

50、統(tǒng)的處理速度。通過使用 簡化而且合理的內(nèi)存分配算法，能夠使這部分的代價減少。 通過精簡運行的操作系統(tǒng)，使用優(yōu)化程序技術(shù)也是提高入侵檢測的性能的 必要條件，同時保證了入侵檢測產(chǎn)品的自身安全性。 基于狀態(tài)的全面協(xié)議分析基于狀態(tài)的全面協(xié)議分析 協(xié)議分析模塊完成 ids 系統(tǒng)引擎中主要的分析工作，對于一個報文在引擎 的處理過程中，報文：分析：匹配1：1：n，這就是說一個報文需要經(jīng)過一 次分析，再和 n 條規(guī)則進行匹配之后產(chǎn)生事件。如果能夠通過更準確的分析， 減少匹配的工作，就能夠最終提高整個 ids 系統(tǒng)的處理效率。因此協(xié)議分析的 準確性和效率對于整個系統(tǒng)的處理效率影響非常大。這部分包括兩個大的方面：

51、 提高協(xié)議分析的速度提高協(xié)議分析的速度 1.基于狀態(tài)的協(xié)議分析 網(wǎng)絡(luò)中通訊的報文一般都不是孤立的，而是在一系列的報文通訊之中的， 也就是說是有一定的報文前后上下文的。通過基于狀態(tài)的協(xié)議分析，能夠大大 提高解析的準確度，同時對于不同報文采用不同的少量分析的方式，從而也提 高了協(xié)議分析的速度。 2.運用多種算法進行解析 在報文的分析過程，采用多種算法來提高協(xié)議解析的速度，比如使用高 速樹型匹配算法、hash 算法等等。 提高協(xié)議分析的效果提高協(xié)議分析的效果 采用兩種方法提高協(xié)議解析的效果：直接產(chǎn)生協(xié)議分析中確定的事件和 更深入的協(xié)議分析。 1.直接產(chǎn)生協(xié)議分析中確定的事件 通過在協(xié)議分析模塊中直接

52、產(chǎn)生事件，從而減少在匹配規(guī)則模塊中規(guī)則集 的規(guī)模，如：rfc 協(xié)議確定的事件和異常事件：如 flood 攻擊，從而提高整 個報文的處理速度。 2.更深入的協(xié)議分析 更深入的協(xié)議解析提高了規(guī)則集中規(guī)則的匹配準確性，比如縮小一次字 符串匹配在報文中搜索范圍，從而節(jié)省時間，提高規(guī)則匹配的效率。 樹型規(guī)則和匹配算法樹型規(guī)則和匹配算法 前面已經(jīng)提到，報文：分析：匹配1：1：n 的關(guān)系。一個報文需要跟多 條規(guī)則進行比較，這需要大量的運算，占用許多的 cpu 時間。通過三個方法去 提高其效率：協(xié)議規(guī)則子集、規(guī)則樹和快速模式集合匹配。 1.協(xié)議規(guī)則子集 協(xié)議規(guī)則子集是通過將規(guī)則集合中的規(guī)則按照其所屬的協(xié)議分成

53、許多小 的子集，而一個報文只與其相關(guān)的協(xié)議規(guī)則子集中的規(guī)則進行匹配，從而大大 減少實際一個報文進行匹配的規(guī)則數(shù)量，減少匹配時間。 2.規(guī)則樹 將線性規(guī)則匹配方式改造成為樹型規(guī)則匹配方式，就必須構(gòu)造規(guī)則樹。通 過規(guī)則樹，我們可以很容易在匹配過程中淘汰掉不可能的規(guī)則,減少重復判斷的 次數(shù),并實現(xiàn)將一個協(xié)議變量的多個取值放到一起（形成取值集合）進行判斷， 大大的提高了比較效率。 3.快速模式集合匹配 由于在一個報文的匹配中，最為耗時的匹配運算是在報文中匹配一個字符 串模式，通過快速模式集合匹配算法來提高這部分匹配的效率。快速匹配意味 著能夠盡可能快的在一個正文串中查找到一個模式串的存在，這是通過提高

54、匹 配時移動模式的距離實現(xiàn)的；集合匹配意味著同時快速的對多個模式進行匹配。 二者的結(jié)合就是在一個報文中快速的匹配多個模式。 準確的特征分析和規(guī)范描述準確的特征分析和規(guī)范描述 解決入侵檢測的漏報和誤報現(xiàn)象還依賴于準確的特征提取和描述，在所應(yīng) 用的特征全面采用了如下兩種特征分析方法和統(tǒng)一的規(guī)范化語言描述。 基于漏洞機理的特征分析基于漏洞機理的特征分析 利用漏洞機理的方法來提取和定義特征，可以實現(xiàn)檢測和具體攻擊工具的 無關(guān)性，特別對于防止新型變種的攻擊和攻擊工具改造非常有效。 基于攻擊過程的特征分析基于攻擊過程的特征分析 攻擊過程分析法則是完全站在攻擊者的角度，破析完整的攻擊過程，可以 判斷攻擊是處

55、在攻擊嘗試階段還是已經(jīng)攻擊成功。 入侵檢測系統(tǒng)部署入侵檢測系統(tǒng)部署 本方案中分別在公共區(qū)域、生產(chǎn)系統(tǒng)區(qū)域、辦公系統(tǒng)區(qū)域部署一套入侵檢 測系統(tǒng)，部署示意圖如圖 1 所示，公共系統(tǒng)的入侵檢測引擎與核心交換機相連， 辦公系統(tǒng)、生產(chǎn)系統(tǒng)的入侵檢測系統(tǒng)與該區(qū)域的交換機相連，分別針對不同的 需求，對各個子網(wǎng)的入侵進行檢測和防護。 入侵檢測系統(tǒng)選型入侵檢測系統(tǒng)選型 本方案中按照三個區(qū)域分別采用三套入侵檢測系統(tǒng)，可以在生產(chǎn)系統(tǒng)、辦 公系統(tǒng)區(qū)域和公共區(qū)域各采用一套千兆入侵檢測引擎，另外，在核心交換機處 部署一套高性能千兆入侵檢測系統(tǒng)，實時監(jiān)控各個子網(wǎng)網(wǎng)絡(luò)傳輸狀態(tài)，自動檢 測可疑行為，

56、及時發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊，并可以實時響應(yīng)，切斷攻 擊方的連接，同時還可以與防火墻緊密結(jié)合，產(chǎn)生聯(lián)動，彌補了防火墻的訪問 控制不嚴密的問題。另外，根據(jù)網(wǎng)絡(luò)網(wǎng)絡(luò)部署結(jié)構(gòu)，可以將核心處選擇為帶子 控功能的入侵檢測系統(tǒng)，當在部署結(jié)構(gòu)改變后可以作為中心節(jié)點使用。配合探 測引擎，管理中心安裝于一臺服務(wù)器上，控制中心面向用戶，提供管理配置之 用。控制中心是個高性能的管理系統(tǒng)，它能控制位于本地或遠程的多個網(wǎng)絡(luò)探 測引擎的活動，集中制定和配置策略，提供統(tǒng)一的數(shù)據(jù)管理。管理控制中心可 以被設(shè)置為主、子結(jié)構(gòu)，主管理控制中心可以實時接收、轉(zhuǎn)發(fā)子控制中心的告 警信息，分類提取子控制中心的日志信息，下發(fā)各種配置文

57、件、策略供子控對 其所屬網(wǎng)絡(luò)探測引擎進行配置。 入侵檢測系統(tǒng)功能入侵檢測系統(tǒng)功能 完善的管理控制體系完善的管理控制體系 多層分級管理多層分級管理 所選入侵檢測系統(tǒng)的管理控制中心可靈活設(shè)置成與行政業(yè)務(wù)管理流程緊密 結(jié)合的集中監(jiān)控、多層管理的分級體系。通過策略下發(fā)機制，使上級部門能夠 統(tǒng)一全網(wǎng)的安全防護策略；通過信息上傳機制，使上級部門能夠及時了解和監(jiān) 控全網(wǎng)的安全狀態(tài)。 靈活的更新和版本升級靈活的更新和版本升級 所選入侵檢測系統(tǒng)支持手動和自動的特征更新和版本升級，也可以在分級 管理體系下由主控統(tǒng)一來完成。所選入侵檢測系統(tǒng)的探測引擎同時支持通過 usb 口進行升級。 全局預警全局預警

58、 在所選入侵檢測系統(tǒng)的多層分級管理體系下，可以實現(xiàn)把單點發(fā)生的重要 事件自動預警到其它管理區(qū)域，使得各級管理員對于可能發(fā)生的重要安全事件 具有提前的預警提示。 利用全局預警通道，各級管理員也可以發(fā)送交互信息，交流對安全事件的 處理經(jīng)驗。 嚴格的權(quán)限管理嚴格的權(quán)限管理 所選入侵檢測系統(tǒng)可以設(shè)定多種分類權(quán)限供不同的人員使用，支持更為嚴 格的多鑒別身份認證方式。同時在產(chǎn)品部署上支持事件監(jiān)測、事件分析以及管 理配置分布部署，從物理角度保證管理安全。 時鐘同步機制時鐘同步機制 所選入侵檢測系統(tǒng)支持 ntp 服務(wù)進行時間同步，保證跨時區(qū)的部署條件下 也能保持管理時間的一致性。 支持多報警顯示臺支持多報警顯

59、示臺 所選入侵檢測系統(tǒng)提供了良好的多點監(jiān)測機制，允許掛接多個報警顯示中 心，方便多個管理人員進行有效的報警觀測。 數(shù)據(jù)庫維護管理數(shù)據(jù)庫維護管理 所選入侵檢測系統(tǒng)提供強大的數(shù)據(jù)庫維護管理功能，可以對歷史數(shù)據(jù)進行 自動、手動的備份、刪除操作，還可以導入歷史的備份數(shù)據(jù)。 可擴展到入侵管理可擴展到入侵管理 入侵檢測全面支持入侵管理，實現(xiàn)多種安全產(chǎn)品：漏洞掃描、主機入侵檢 測的統(tǒng)一管理和協(xié)同關(guān)聯(lián)。 全面的入侵檢測能力全面的入侵檢測能力 多種技術(shù)結(jié)合防止漏報多種技術(shù)結(jié)合防止漏報 1. 采用引擎高速捕包技術(shù)保證滿負荷的報文捕獲； 2. 采用的高速樹型匹配技術(shù)實現(xiàn)了一次匹配多個規(guī)則的模式，檢測 效率得以成倍的

60、量級提高； 3. 采用了 ip 碎片重組、tcp 流重組以及特殊應(yīng)用編碼解析等多種方 式，應(yīng)對躲避 ids 檢測的手法，如：whisker、fragroute 等攻擊 方式； 4. 采用預制漏洞機理分析方法定義特征，對未知攻擊方式和變種攻 擊也能及時報警； 5. 采用行為關(guān)聯(lián)分析技術(shù)，可以發(fā)現(xiàn)基于組合行為的復雜攻擊； 多種措施降低誤報多種措施降低誤報 1. 基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹，保證特征匹配的準確性； 2. 基于攻擊過程的分析方法定義特征，可以識別攻擊的狀態(tài)，提供 不同級別的事件報警信息； 3. 通過采集和關(guān)聯(lián)攻擊發(fā)送方和被攻擊目標的信息，可以成功或失 敗的攻擊事件給出明確標識。 4