廣電總局網(wǎng)絡(luò)安全技術(shù)建議書內(nèi)

1、廣電總局網(wǎng)絡(luò)安全技術(shù)建議書一、 綜述1.1 建設(shè)背景廣電總局內(nèi)部網(wǎng)承載著廣電總局內(nèi)各部門間日常工作的公文流轉(zhuǎn)、審批等一系列辦公自動化系統(tǒng)。目前，該網(wǎng)絡(luò)與廣電總局外部網(wǎng)絡(luò)采取完全的物理隔離。隨著廣電總局內(nèi)部網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求，網(wǎng)絡(luò)安全作為信息化建設(shè)中必不可少的一項工作，以逐漸提現(xiàn)出其重要性。首先，在廣電總局內(nèi)部網(wǎng)絡(luò)的日常運維過程中，出現(xiàn)了一定的安全問題。其次，隨著信息化工作的開展，廣電總局直屬機關(guān)與總局內(nèi)部網(wǎng)絡(luò)的互聯(lián)互通將對網(wǎng)絡(luò)安全提出新的要求。所以，為了保障廣電總局網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運行，迫切需要建立一個統(tǒng)一的安全防護體系，從而為廣電總局及各直屬機關(guān)提供高質(zhì)量的信息服務(wù)。本次項目主

2、要是針對廣電總局內(nèi)部的安全提出解決方案，涉及防火墻系統(tǒng)、安全審計系統(tǒng)、網(wǎng)絡(luò)型入侵檢測系統(tǒng)、日志分析系統(tǒng)、防病毒體系、oa業(yè)務(wù)安全防護系統(tǒng)、安全管理、系統(tǒng)安全增強及性能優(yōu)化以及未來與廣電總局直屬機關(guān)互聯(lián)互通時的安全相關(guān)技術(shù)和建議。1.2 網(wǎng)絡(luò)現(xiàn)狀及安全需求廣電總局內(nèi)部網(wǎng)絡(luò)的網(wǎng)拓撲結(jié)構(gòu)可以用下圖表示：廣電總局廣域網(wǎng)拓撲sun e3500：兩臺。oa系統(tǒng)主服務(wù)器，采用雙機備份。sun a5100：磁盤陣列e250：兩臺。一臺為內(nèi)網(wǎng)dns，另一臺閑置ibm netfinity 4000：兩臺。ultra 10：內(nèi)網(wǎng)網(wǎng)管服務(wù)器內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)由兩臺cisco 6509承擔(dān)內(nèi)網(wǎng)核心交換工作。該交換機上劃分vl

3、an。隔離不同業(yè)務(wù)系統(tǒng)及不同部門間子網(wǎng)。內(nèi)網(wǎng)業(yè)務(wù)主機直接接入到6509上。14臺2926及2臺3548通過千兆上聯(lián)到6509。提供對各部門日常辦公桌面機的接入。直觀看來，此網(wǎng)絡(luò)已經(jīng)具有了一定的安全性，內(nèi)網(wǎng)與intenet實施了完全的物理隔離措施。但是，仔細分析我們可以看出，這個網(wǎng)絡(luò)仍然存在很多安全隱患。l 雖然劃分了vlan，但是vlan只起到了隔離廣播信息的功能。對于內(nèi)網(wǎng)中對重要服務(wù)器的訪問和各部門間的互訪缺乏實際的訪問控制。l 重要業(yè)務(wù)主機（服務(wù)機）與員工自用桌面機處于同一邏輯層。缺乏安全等級的劃分，服務(wù)器與員工桌面機間無安全等級差別或隔離手段，如果某部門工作pc機被安裝了木馬，就完全可能

4、被利用成為惡意攻擊的跳板從而對核心服務(wù)器或其他部門的主機發(fā)起攻擊，達到隱藏真正破壞者的功能。l 重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及業(yè)務(wù)系統(tǒng)如oa系統(tǒng)的身份認證技術(shù)未采用加密機制，用戶密碼以明碼方式在網(wǎng)絡(luò)上傳播。如果惡意用戶在網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)分析軟件，可截獲用戶密碼，冒充正常用戶身份進行破壞活動。l 內(nèi)部網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護、查殺及隔離措施，一旦某臺用戶主機感染病毒，會在短時間內(nèi)造成病毒在廣電內(nèi)部網(wǎng)絡(luò)中的廣泛傳播。l 未來各直屬機關(guān)的遠程接入也有可能成為攻擊發(fā)起的來源，需要實施隔離。l 目前廣電外網(wǎng)安全只單純依賴被動型的安全手段如防火墻，而缺乏主動發(fā)現(xiàn)型的安全手段，比如安全漏洞審計系統(tǒng)、入侵檢測系統(tǒng)等。

5、無法防患于未然。l 缺乏對攻擊的監(jiān)測和記錄手段，比如入侵檢測系統(tǒng)、日志服務(wù)器等，無法有效的發(fā)現(xiàn)安全事件，也沒有舉證手段。由于存在眾多安全問題，所以迫切需要建立一個統(tǒng)一的安全防護體系，保障廣電總局內(nèi)部網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運行，從而為廣電總局各部門、各直屬機關(guān)提供高質(zhì)量的信息服務(wù)。以下我們將從網(wǎng)絡(luò)結(jié)構(gòu)安全結(jié)構(gòu)、網(wǎng)絡(luò)安全技術(shù)、防病毒體系及安全管理等幾個方面闡述我們的安全建議。1.3 安全設(shè)計原則l 整體性原則安全作為一個特殊的技術(shù)領(lǐng)域，有著自己的特點。安全問題必須遵從整體性原則，網(wǎng)絡(luò)中的任何一個漏洞或隱患都可能造成整網(wǎng)的安全水平的降低。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括三種機制：安全防護機制；安全監(jiān)測機制；安

6、全恢復(fù)機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的防護措施，避免非法攻擊的進行；安全監(jiān)測機制是監(jiān)測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊；安全恢復(fù)機制是在安全防護機制失效的情況下，進行應(yīng)急處理和盡量、及時地恢復(fù)信息，減少攻擊的破壞程度由于業(yè)務(wù)的重要性及安全需求，廣電總局內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)目前相對簡單。但是，隨著信息化發(fā)展的需求，處于嚴格控管下的互聯(lián)互通將是網(wǎng)絡(luò)發(fā)展的趨勢。因此在本次設(shè)計中，我們從全網(wǎng)角度出發(fā)，關(guān)注廣電信息化建設(shè)的目標，各廣電各業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點提出從防護檢測回復(fù)的完整的解決方案，而不是治標不治本。l 集中性原則安全重在管理，所謂

7、“三分技術(shù)，七分管理”闡述了安全的本質(zhì)。而安全管理重在集中。廣電總局的設(shè)備和主機類型較多，業(yè)務(wù)系統(tǒng)涵蓋廣電各個部門及相關(guān)機構(gòu)，業(yè)務(wù)模式相對復(fù)雜且管理機構(gòu)和管理模式也千差萬別。在全網(wǎng)安全方案的設(shè)計中，無論是安全管理制度的制定和施行，或是安全產(chǎn)品的選型和實施，還是長期安全服務(wù)方案的制定，我們都將根據(jù)集中性原則，目標是實現(xiàn)對各設(shè)備和業(yè)務(wù)系統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應(yīng)，這些都將依賴于管理制度統(tǒng)一的、集中的制定和施行。l 層次性原則在廣電總局內(nèi)部網(wǎng)絡(luò)安全方案設(shè)計中，無論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。安全問題的層次性原則集中在兩個方面： 管理模式的層次性在廣電

8、總局內(nèi)部網(wǎng)絡(luò)中，由于涉及到跨部門及機構(gòu)的人員以及地點，需要一種層次性的管理模式。比如，用戶管理需要分層次的授權(quán)機制；防病毒體系的病毒庫分發(fā)或報警也需要分層次機制；安全緊急響應(yīng)的流程也需要建立分層監(jiān)控，逐級響應(yīng)的機制。 防護技術(shù)的層次性層次性還表現(xiàn)在防護技術(shù)上。針對業(yè)務(wù)系統(tǒng)的防護往往有多種防護設(shè)備和手段，我們需要根據(jù)業(yè)務(wù)系統(tǒng)特點提出多層次防護機制，保證在外層防護被入侵失效的情況下，內(nèi)部防護層還可以起到防護作用。另一方面，各層之間的配合也是層次性原則的重要特點之一。l 長期性原則安全一向是一個交互的過程，使用任何一種“靜態(tài)”或者號稱“動態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問題，所以我們針對

9、安全問題的特點，提供針對廣電總局內(nèi)部網(wǎng)絡(luò)全面的安全服務(wù)，其中包括設(shè)備產(chǎn)品的技術(shù)支持和服務(wù)以及安全審計、安全響應(yīng)等專業(yè)安全服務(wù)。二、 統(tǒng)一的安全防護體系在整個安全項目設(shè)計過程中，我們始終遵循統(tǒng)一的安全原則，從全網(wǎng)安全管理角度出發(fā)，關(guān)注于各業(yè)務(wù)系統(tǒng)的安全，目標是為客戶建立統(tǒng)一的安全防護體系。2.1 網(wǎng)絡(luò)系統(tǒng)安全基于以上四個原則，我們?yōu)閺V電總局設(shè)計了如下的安全解決方案。下面，按照“層層設(shè)防”的安全理念，我們將從整個網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)開始，逐步闡述從網(wǎng)絡(luò)核心交換區(qū)域、到辦公網(wǎng)段和核心服務(wù)器網(wǎng)段的不同安全策略和安全產(chǎn)品的選型原則和實施建議。2.1.1 網(wǎng)絡(luò)結(jié)構(gòu)安全首先，通過如下的示意圖，我

10、們可以更加清晰的了解本方案對廣電總局內(nèi)部網(wǎng)絡(luò)的安全結(jié)構(gòu)。2.1.1.1 內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)建議在經(jīng)過上述調(diào)整之后，我們可以看到，構(gòu)成網(wǎng)絡(luò)核心的依舊是兩臺cisco 6509高性能的高端交換機，在這臺交換機上匯接了重要業(yè)務(wù)系統(tǒng)接入、廣電總局各部門用戶、網(wǎng)管及安全管理網(wǎng)段，在原有的vlan基礎(chǔ)上合理劃分新的vlan結(jié)構(gòu)，使網(wǎng)絡(luò)負載的分布更加合理。其次，在新的拓撲中，重要業(yè)務(wù)系統(tǒng)如辦公系統(tǒng)、dns/mail/proxy等公共服務(wù)器網(wǎng)段之間都利用防火墻作了有效的隔離，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級與安全隔離。任意一個網(wǎng)段對網(wǎng)絡(luò)業(yè)務(wù)的訪問都利用防火墻作了隔離，大大提高了網(wǎng)絡(luò)的安全性，在防止攻擊、病毒/蠕蟲擴散

11、等方面都能夠起到很大作用。第三，在原先網(wǎng)管系統(tǒng)的基礎(chǔ)上，建立新的網(wǎng)絡(luò)管理及安全管理網(wǎng)段，該網(wǎng)段集中了網(wǎng)管、審計、日志、入侵檢測、統(tǒng)一認證及病毒管理中心等安全及網(wǎng)管主機，日常運維中通過各類安全技術(shù)收集整網(wǎng)安全信息，提供運維人員整網(wǎng)狀況。通過在6509上實行一定的訪問控制及安全策略，限制其他網(wǎng)段對該網(wǎng)段的非正常訪問。從而確保該網(wǎng)段的安全性。第四，在6509核心機上通過背板管理端口或端口鏡像技術(shù)將需要檢測網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對需要檢測的流量進行不間斷的檢測和報警。2.1.1.2 與直屬機關(guān)互聯(lián)網(wǎng)絡(luò)建議隨著業(yè)務(wù)的發(fā)展，廣電總局的內(nèi)部網(wǎng)目前規(guī)劃與北京

12、市內(nèi)廣電總局各直屬機關(guān)互聯(lián)互通以及提供用戶通過pstn遠程撥號接入內(nèi)網(wǎng)?；ヂ?lián)通后，廣電總局的內(nèi)網(wǎng)將開放部分業(yè)務(wù)系統(tǒng)給各直屬機關(guān)及撥號用戶。因此，必須確保各直屬機關(guān)及撥號用戶的接入不會對網(wǎng)絡(luò)安全以及信息安全構(gòu)成影響。目前。由于廣電總局內(nèi)網(wǎng)是與internet完全隔離的網(wǎng)絡(luò)。為確保廣電總局內(nèi)網(wǎng)的安全性，針對直屬機關(guān)互聯(lián)以及撥號用戶的安全將主要考慮如下因素：1. 確保直屬機關(guān)與廣電總局內(nèi)網(wǎng)互聯(lián)信道的物理安全。2. 對直屬機關(guān)與廣電總局內(nèi)網(wǎng)的連接采取加密措施（鏈路層加密，ip層加密或應(yīng)用層加密）。3. 限定直屬機關(guān)及撥號用戶的授權(quán)訪問范圍。4. 限定直屬機關(guān)及撥號用戶對廣電總局內(nèi)網(wǎng)業(yè)務(wù)的訪問流程。5.

13、 限定直屬機關(guān)及撥號用戶網(wǎng)絡(luò)接入廣電總局網(wǎng)絡(luò)后導(dǎo)致的internet對總局內(nèi)網(wǎng)的連接。6. 對直屬機關(guān)及撥號用戶的訪問行為進行實時監(jiān)控。由以上因素我們可以得出，對直屬機關(guān)及撥號用戶接入廣電總局內(nèi)網(wǎng)的安全考慮主要分應(yīng)用層和網(wǎng)絡(luò)層兩大部分。由于應(yīng)用系統(tǒng)的安全涉及廣電內(nèi)網(wǎng)所使用的oa辦公自動化系統(tǒng)的業(yè)務(wù)流程、加密認證方式等相關(guān)問題，需由業(yè)務(wù)系統(tǒng)的軟件供應(yīng)商提供相關(guān)安全措施，具體原則及需求見2.2節(jié)。而對于網(wǎng)絡(luò)層的安全，我們考慮的原則是如何在網(wǎng)絡(luò)層確保數(shù)據(jù)的私密性，完整性和不可抵賴性。目前，可以在網(wǎng)絡(luò)層以下實現(xiàn)的數(shù)據(jù)加密方式較多，主要包括在鏈路層實現(xiàn)的鏈路加密機制與在網(wǎng)絡(luò)層實現(xiàn)的各類ip隧道加密機制。

14、鏈路加密機通常由獨立硬件構(gòu)成，通過在鏈路兩端點的鏈路加密機協(xié)商或事先指定加密密鑰，對鏈路中傳輸?shù)奈锢韼M行加密。目前在國內(nèi)主要應(yīng)用于金融及軍隊，提供小于10m的吞吐能力。通常，有同步（異步）鏈路加密機、幀中繼加密機。加密機自身的算法使用國內(nèi)自研算法，對外不公開。鏈路加密機制使用鏈路加密機實現(xiàn)信息的點到點安全，對ip層協(xié)議透明。如果網(wǎng)絡(luò)結(jié)構(gòu)包含多種鏈路，則必須購買相應(yīng)的鏈路加密設(shè)備保護其上通訊數(shù)據(jù)的安全。目前，在國內(nèi)互聯(lián)網(wǎng)中使用較多的是網(wǎng)絡(luò)層的加密機制。如果網(wǎng)絡(luò)結(jié)構(gòu)龐大，涉及多種通訊線路，如果采用多種鏈路加密設(shè)備則增加了系統(tǒng)投資費用，同時為系統(tǒng)維護、升級、擴展也帶來了相應(yīng)困難。因此在這種情況下我

15、們建議采用網(wǎng)絡(luò)層加密設(shè)備，網(wǎng)絡(luò)加密機是實現(xiàn)端至端的加密，即一個網(wǎng)點只需配備一臺vpn加密機。根據(jù)具體策略，來保護內(nèi)部敏感信息和秘密的機密性、完整性及不可抵賴性。常用的網(wǎng)絡(luò)機密機制采用的是ipsec機制。ip加密機制ipsec是在tcp/ip體系中實現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。而vpn設(shè)備正是一種符合ipsec標準的ip協(xié)議加密設(shè)備。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線路建立ip安全隧道，能夠保護子網(wǎng)間傳輸信息的機密性、完整性和真實性。經(jīng)過對vpn的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機通過加密隧道，讓另一些主機仍以明文方式傳輸，以達到安全、傳輸效率的最佳平衡。一般來說，vpn設(shè)備可以一對一和一對多地運行，并

16、具有對數(shù)據(jù)完整性的保證功能，它安裝在被保護網(wǎng)絡(luò)和路由器之間的位置。設(shè)備配置見下圖。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都支持ipsec標準由于網(wǎng)絡(luò)層加密設(shè)備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺。對政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)，網(wǎng)絡(luò)層加密設(shè)備可以使網(wǎng)絡(luò)在升級提速時具有很好的擴展性。鑒于網(wǎng)絡(luò)層加密設(shè)備的突出優(yōu)點，應(yīng)根據(jù)具體需求，在各個網(wǎng)絡(luò)結(jié)點與內(nèi)部網(wǎng)絡(luò)相連接的進出口處安裝配備網(wǎng)絡(luò)層加密設(shè)備。2.1.2 網(wǎng)絡(luò)安全技術(shù)2.1.2.1 防火墻系統(tǒng)如前圖所示，根據(jù)廣電總局內(nèi)網(wǎng)整體

17、安全層次的劃分需求，我們將對廣電總局內(nèi)網(wǎng)劃分四個安全等級：直屬機關(guān)接入用戶級、普通用戶級、網(wǎng)絡(luò)管理級與業(yè)務(wù)系統(tǒng)級。業(yè)務(wù)系統(tǒng)級：安全級別最高，包含廣電總局內(nèi)網(wǎng)辦公自動化系統(tǒng)主機與內(nèi)網(wǎng)dns系統(tǒng)，這類系統(tǒng)發(fā)生問題將直接導(dǎo)致廣電總局辦公系統(tǒng)的全面癱瘓，因此對這類級別的安全防護需求最高。對于這類系統(tǒng)，建議使用兩臺防火墻工作在fail-over模式下，通過在防火墻上設(shè)置嚴格的策略，對每個需要訪問業(yè)務(wù)系統(tǒng)的用戶進行嚴格限制，由于目前防火墻對組播（mutlicast）技術(shù)支持不夠理想，目前廣電總局內(nèi)網(wǎng)的視頻點播系統(tǒng)暫不放在該網(wǎng)段下。網(wǎng)絡(luò)管理級：安全級別居中，包含廣電總局內(nèi)網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理系統(tǒng)，這類

18、系統(tǒng)如果遭受入侵或干擾，將暴露整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整網(wǎng)的安全狀況。網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、配置、管理廣電總局內(nèi)部網(wǎng)絡(luò)，這些系統(tǒng)擁有對網(wǎng)絡(luò)設(shè)備及主機一定的管理權(quán)限，并存貯整網(wǎng)的相關(guān)信息，所以需要對網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進行較高級別的安全防護，由于網(wǎng)管及安全管理系統(tǒng)需要開放的端口較多，因此我們建議在網(wǎng)絡(luò)管理級前不部署防火墻系統(tǒng)，依靠主機自身安全增強及強加密認證系統(tǒng)提高系統(tǒng)安全防護能力。普通用戶級：安全級別較管理級低，用戶為總局內(nèi)部員工，由于處于局域網(wǎng)內(nèi)部，業(yè)務(wù)訪問量較大，有意或無意造成網(wǎng)絡(luò)安全隱患的概率較高，因此管理力度需較遠程接入用戶加強，安全需求級別較直屬機關(guān)接入用戶高。直屬機關(guān)

19、接入用戶級：安全級別相對較低?？尚刨嚩茸畹?。由于這類用戶是使用遠程接入廣電總局內(nèi)網(wǎng)，且對業(yè)務(wù)的訪問模式較固定，所以對該類用戶的安全等級及策略規(guī)劃較其他三個等級簡單。我們建議在廣電總局直屬機關(guān)與廣電總局內(nèi)網(wǎng)鏈路接入處設(shè)置防火墻，限制直屬機關(guān)接入對內(nèi)網(wǎng)的訪問策略。并通過vpn方式與各直屬機關(guān)建立隧道加密機制。確保數(shù)據(jù)傳輸?shù)乃矫苄?。由以上四個安全等級劃分出發(fā)。我們在對網(wǎng)絡(luò)機構(gòu)調(diào)整的基礎(chǔ)上，將利用防火墻技術(shù)對不同安全等級的系統(tǒng)進行安全等級的劃分，不同等級之間的訪問依靠防火墻策略進行嚴格規(guī)定，確保在防火墻規(guī)范下的網(wǎng)絡(luò)中的流量模型是包含實際業(yè)務(wù)模型的最小集合。防火墻上實施如下策略原則如下：1. 默認關(guān)閉防

20、火墻上的所有訪問規(guī)則2. 允許內(nèi)網(wǎng)訪問dmz口的必要服務(wù)3. 禁止dmz口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng)、外網(wǎng)到dmz的訪問4. 允許內(nèi)網(wǎng)、dmz對外網(wǎng)的訪問，也可根據(jù)需要添加必要的限制策略2.1.2.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全考慮入侵檢測技術(shù)是當今一種非常重要的動態(tài)安全技術(shù)，與傳統(tǒng)的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護水平。icsa入侵檢測系統(tǒng)論壇的定義即：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象(的一種安全技術(shù))。入侵檢測技術(shù)是動態(tài)安全技術(shù)的核心技術(shù)之一。入侵檢測技術(shù)通過對入侵行為的過程與特征的研究，

21、使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)： 1. 異常發(fā)現(xiàn)技術(shù)。2. 模式發(fā)現(xiàn)技術(shù)。目前，國際頂尖的入侵檢測系統(tǒng)ids主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)?；谝韵乱蛩氐目紤]，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。1. 網(wǎng)絡(luò)的快速增長和復(fù)雜程度的提高將產(chǎn)生大量的安全隱患。我們必須及時高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。2. 廣電總局自身網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)目前雖然并不復(fù)雜，但隨著直屬機關(guān)的接入和網(wǎng)絡(luò)規(guī)模的發(fā)展，為了進一步的提高安全事件的即時響應(yīng)和舉證能力，必須具備某種手段對可能的有意或無意的攻擊作出檢測、告警并留下證據(jù)

22、。3. 雖然在上述的改造方案中已經(jīng)為廣電總局部署了防火墻，對網(wǎng)段起到了一定的保護作用，但是很多攻擊手法是防火墻無法阻擋的，比如對web server的基于異常url的攻擊，具體體現(xiàn)的例子有code red、nimda等等很多。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問題之一。4. 防火墻雖然可以擋住某些攻擊，但是通常無法留下細節(jié)的攻擊記錄，這對分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測系統(tǒng)剛好可以解決這一問題。5. 為了規(guī)范廣電總局內(nèi)網(wǎng)用戶的行為，同時提供一種對用戶訪問行為的監(jiān)控機制和與相關(guān)管理制度的執(zhí)行對照機制，依靠基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以提供一定時期內(nèi)基于用戶或基于協(xié)議的訪問

23、統(tǒng)計數(shù)據(jù)，用來更好的檢驗相關(guān)管理制度的執(zhí)行情況，為后期網(wǎng)絡(luò)策略的調(diào)整和規(guī)劃提供依據(jù)。在選擇入侵監(jiān)測系統(tǒng)時需要考慮的因素主要有：1. 管理模式2. 協(xié)議分析及檢測能力；3. 解碼效率(速度)；4. 自身安全的完備性；5. 精確度及完整度，防欺騙能力；6. 模式更新速度。根據(jù)廣電總局的具體網(wǎng)絡(luò)狀況，我們在廣電總局內(nèi)網(wǎng)中部署一套套基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。這套入侵檢測系統(tǒng)部署在核心交換機上，（由于性能問題，原則上不對視頻點播系統(tǒng)進行檢測）。檢測所有不同級別間的用戶對oa業(yè)務(wù)系統(tǒng)及網(wǎng)管系統(tǒng)的訪問情況。網(wǎng)絡(luò)ids系統(tǒng)主機都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用于接受管理中心的管理。需要在防火墻和交換機

24、上設(shè)置相應(yīng)規(guī)則以保護入侵檢測主機。此外，在核心交換機上設(shè)置port mirror將需要檢測的vlan的流量映射到對應(yīng)的監(jiān)聽網(wǎng)卡所連接的端口。同時，在管理網(wǎng)段再配置一臺pc server，安裝入侵檢測系統(tǒng)的管理端，如果未來由于擴容等性能問題需要增加網(wǎng)絡(luò)入侵檢測系統(tǒng)時，該管理端可做為全部入侵檢測系統(tǒng)的集中控制臺。廣電總局網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測系統(tǒng)部署拓撲圖2.1.2.3 安全審計系統(tǒng)網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機開放服務(wù)，同時模擬黑客入侵對主機或網(wǎng)絡(luò)設(shè)備進行偵測性刺探，從而發(fā)現(xiàn)主機或網(wǎng)絡(luò)設(shè)備的安全漏洞。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實時檢測網(wǎng)絡(luò)漏洞，另一方面，也是進行全網(wǎng)安全審計的重要工具。我們推在

25、廣電總局內(nèi)網(wǎng)部署網(wǎng)絡(luò)掃描軟件。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對內(nèi)網(wǎng)各業(yè)務(wù)系統(tǒng)及用戶主機定期進行掃描審計，并存貯相關(guān)審計信息。對于網(wǎng)絡(luò)掃描審計產(chǎn)品的選型，考慮如下因素：l 體系結(jié)構(gòu)：client/server結(jié)構(gòu)的掃描審計軟件具有集中管理的優(yōu)勢，利于電信環(huán)境部署及擴展；l 攻擊模式庫數(shù)量：應(yīng)對多種攻擊模式均支持；l 軟件更新速度快；l 中文化和本地化支持；建議掃描審計軟件對全網(wǎng)主機和設(shè)備的安全審計信息均存放在管理網(wǎng)段的數(shù)據(jù)庫中，其中包括主機的操作系統(tǒng)版本、漏洞情況、patch情況等安全信息。一方面，網(wǎng)管人員可以通過這個集中安全數(shù)據(jù)庫查詢?nèi)W(wǎng)安全狀況，另一方面，在發(fā)生安全事件或緊急響應(yīng)時提供給我們和客戶

26、迅速了解受害機情況，找到對策，減少損失。同時，掃描審計軟件應(yīng)提供相關(guān)接口，便于用戶輸入設(shè)備安全信息，也進一步增強該軟件的決策支持能力。由于目前在安全掃描審計軟件中，都存在一定的安全威脅，掃描軟件中的部分攻擊模式庫存在對網(wǎng)絡(luò)主機和網(wǎng)絡(luò)資源的潛在危險性。因此，對于掃描審計系統(tǒng)，必須在嚴格的安全代價分析和詳細的掃描模式庫選擇下進行實施，通常對于重要的業(yè)務(wù)系統(tǒng)，要根據(jù)系統(tǒng)主機的負載情況制定不同時間段的掃描計劃，從而獲得全面的系統(tǒng)安全狀況。因此，我們建議在安全審計系統(tǒng)中，應(yīng)采用服務(wù)與產(chǎn)品相結(jié)合的方式，由專業(yè)安全服務(wù)公司制定專業(yè)的審計流程和定期的安全審計服務(wù)。，2.1.2.4 日志分析系統(tǒng)由于全網(wǎng)存在眾多

27、網(wǎng)絡(luò)和主機設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套日志分析系統(tǒng)用于網(wǎng)絡(luò)設(shè)備和主機系統(tǒng)的日志管理。建議采用三級結(jié)構(gòu)的日志分析系統(tǒng)，第一級為需要記錄日志的主機或設(shè)備，該主機配置syslog日志指向日志服務(wù)器；第二級為日志服務(wù)器，負責(zé)日志接受，同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計分析；第三級為日志服務(wù)器的console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報警和監(jiān)視日志系統(tǒng)分析統(tǒng)計結(jié)果。對于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素：l 集中收集和監(jiān)控系統(tǒng)日志。l 日志收集和分析agent與console運行在不同平臺，兩者的分離使日志分析系統(tǒng)更具有層次性結(jié)構(gòu)的特點，便于未來升級和集中管

28、理。l 每秒接受日志的速度。l 日志服務(wù)器應(yīng)支持常用數(shù)據(jù)庫，可將日志信息存儲在數(shù)據(jù)庫中。l 持多種設(shè)備類型及數(shù)量，是否支持標準syslog協(xié)議。l 是否提供二次開發(fā)接口。2.1.2.5 集中認證及一次性口令系統(tǒng)廣電總局由于主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備繁多，在以往的管理模式下，用戶認證和授權(quán)都存在較大的安全隱患，主要表現(xiàn)在主機和網(wǎng)絡(luò)設(shè)備的口令認證，以及網(wǎng)絡(luò)設(shè)備的用戶權(quán)限控制上。為了保證全網(wǎng)管理中用戶身份驗證的可靠性，我們建議在網(wǎng)管中心部署一套集中認證及一次性口令系統(tǒng)，全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備和主要業(yè)務(wù)系統(tǒng)的用戶驗證都集中在該服務(wù)器商，便于對于這些設(shè)備的集中管理。用戶身份認證是一個完善的安全策略方案中必不可少的模塊

29、，特別是在存在著通過遠程訪問方式訪問系統(tǒng)資源的情況下。對用戶進行身份認證可以了解誰試圖訪問特定資源，這對于保護資源是必需的。除了認證用戶身份以外，用戶驗證還可以定義了每個用戶能夠訪問的資源，這就為多種資源并存的環(huán)境提供了增強的控制和更好的安全性。目前，常用的驗證方法包括challenge and response，digital certificates，tokens，radius和s/key。一次性口令密碼保護解決方案是利用雙重密碼： 靜態(tài)及動態(tài)密碼 ， 靜態(tài)密碼:用戶自己默記的個人口令， 動態(tài)密碼:由擁有一個令牌，每六十秒變換出一個獨一無二、不能預(yù)測的密碼。由于動態(tài)口令每分鐘更改一次，即使

30、靜態(tài)密碼被猜中，而動態(tài)密碼被猜出的機會趨于0。這樣在很大程度上避免了由于用戶主觀上的失誤而造成的安全漏洞。目前，常見的這類系統(tǒng)的基礎(chǔ)是“token”標記，它是一個數(shù)字編碼，與用戶永久性id號一起生成一個唯一的、不會被發(fā)覺的口令，而且僅能使用一次?！皹擞洝钡漠a(chǎn)生有兩種方式，它可以由一個硬設(shè)備像信用卡般大小的電子計算器，每60秒鐘生成并顯示一個新的未知的隨機代碼，也可以由基于工作站的軟件公用程序而產(chǎn)生。當“標記”擁有者登錄到網(wǎng)絡(luò)時，當前代碼已被鍵入到該擁有者的pin中，服務(wù)器和標志發(fā)生器在時間上是同步的，因此編碼的改變可共享。另外，這種代碼比起常規(guī)口令模式的優(yōu)點在于它不可能被盜用，因為它總是在改變

31、口令。我們建議選用了一套125用戶的一次性動態(tài)口令集中認證系統(tǒng)，負責(zé)重要設(shè)備和系統(tǒng)的口令認證。本次安全項目建議購買7個令牌卡，具體部署如下：n 認證中心放置在網(wǎng)管中心；n 2塊令牌用于關(guān)鍵網(wǎng)絡(luò)設(shè)備的用戶驗證，1塊作為備份；n 3塊令牌用于重要服務(wù)器用戶驗證，1塊作為備份；我們建議利舊廣電總局目前已有的sun e250服務(wù)器負責(zé)rsa系統(tǒng)運行。2.1.3 防病毒體系對于廣電總局來說數(shù)據(jù)的安全是最重要的，而病毒是對數(shù)據(jù)造成嚴重威脅的主要因素之一。然而保護網(wǎng)絡(luò)免受愈演愈烈的計算機病毒威脅已不是一件簡單的事情。目前已知的計算機病毒超過20，000種，并且每月發(fā)現(xiàn)的新病毒超過300種，即每天都有10余種

32、新病毒出現(xiàn)。很多事實表明，病毒比其他安全威脅造成的經(jīng)濟損失都大的多。從cih到code red，以及最近的nimda計算機病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負荷量過重等問題，凸顯出網(wǎng)絡(luò)安全防病毒機制的迫切需求。傳統(tǒng)的防病毒策略往往只注重桌面平臺的病毒防范，就像目前廣電總局內(nèi)部曾經(jīng)購買的瑞星防病毒單機版。這樣雖然可以保證桌面平臺避免病毒的威脅，但沒有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播，無法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過載等這類嚴重威脅網(wǎng)絡(luò)正常服務(wù)的問題。隨著分布式網(wǎng)絡(luò)計算、文檔駐留宏、群件等新技術(shù)的出現(xiàn)以及網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)早已經(jīng)成為病毒的主要傳播途徑。網(wǎng)絡(luò)的脆弱性成倍增加，保護計

33、算機網(wǎng)絡(luò)已不再是簡單的在客戶機上安裝桌面病毒掃描程序就可以解決的問題了。面對當前的網(wǎng)絡(luò)安全形勢，我們迫切需要一套單一、集中、全面的防病毒解決方案。在防病毒產(chǎn)品的選型上，我們認為一個成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點：l 先進的體系結(jié)構(gòu)設(shè)計l 先進的防殺病毒技術(shù)l 能夠在線實時查殺病毒l 準確無誤的報警功能l 及時、方便地更新病毒定義代碼l 快速、有效地處理未知病毒l 多平臺的支持l 功能強大的控制臺，便于管理與維護而針對網(wǎng)絡(luò)這個層次而設(shè)計的防病毒產(chǎn)品，我們認為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進行實時病毒監(jiān)控、支持病毒有效地隔離。針對目前世界上主流的病毒產(chǎn)品和國內(nèi)知名的病毒產(chǎn)品，包括m

34、cafee virusscan、norton antivirus、kill系列、vrv、trendmicro interscan等產(chǎn)品，應(yīng)從綜合評估，包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源的占用、掃描病毒的方式、處置病毒的方式、日志的管理、病毒庫的及時更新以及各公司的技術(shù)實力和對廣電總局內(nèi)網(wǎng)的實用性等方面考慮。建立全方位、多層次的、整體的網(wǎng)絡(luò)防病毒解決方案。鑒于廣電總局內(nèi)網(wǎng)對物理隔離的嚴格要求，我們建議防病毒系統(tǒng)的病毒庫及掃描引擎升級工組有系統(tǒng)管理員通過手工下載并存儲在軟盤上進行手動安裝升級（只需對病毒集中控制端進行手工操作，其他用戶主機將由病毒集中控制中心自動分發(fā)并安裝）2

35、.2 業(yè)務(wù)系統(tǒng)安全2.2.1 oa業(yè)務(wù)的安全廣電總局的oa業(yè)務(wù)運行在兩臺sun e3500平臺上，oa業(yè)務(wù)的核心進程主要有web服務(wù)與數(shù)據(jù)庫服務(wù)。目前，所有用戶通過瀏覽器訪問oa業(yè)務(wù)主機，輸入個人用戶名及密碼后登錄該系統(tǒng)處理日常oa業(yè)務(wù)，服務(wù)器采用標準80端口提供服務(wù)，所以用戶帳號及密碼都是以明碼方式在網(wǎng)絡(luò)上傳播，任何人竊聽或截獲用戶密碼及帳號，都可以偽裝成該用戶進行相關(guān)破壞活動。針對廣電總局的oa業(yè)務(wù)系統(tǒng)，應(yīng)通過相應(yīng)的安全增強手段加強oa業(yè)務(wù)的安全性，具體參考如下：1. 采用ssl加密訪問機制提供oa業(yè)務(wù)服務(wù)。確保用戶在進入自己oa系統(tǒng)時的帳號、密碼以及隨后的通訊數(shù)據(jù)的安全性。2. 采用ca

36、認證機制，建立維護廣電總局oa用戶的證書管理中心。采用ssl及ca認證系統(tǒng)需要滿足以下安全需求：1. 身份認證每個使用者必須擁有唯一的可靠的身份認證標識，安全系統(tǒng)能夠?qū)γ總€訪問者的身份進行有效識別，使用者也要對安全系統(tǒng)進行認證，也就是使用者系統(tǒng)之間的雙向身份認證。2. 訪問控制對不同的信息資源和用戶設(shè)定不同的權(quán)限，系統(tǒng)根據(jù)每個訪問者的身份確定他的訪問權(quán)限，保證只允許授權(quán)的用戶訪問授權(quán)的資源。對于oa資源中的目錄和文件進行細粒度的權(quán)限劃分，確保每個使用者只能訪問授權(quán)的oa資源。3. 數(shù)據(jù)保密信息的傳輸過程加密，保證通信內(nèi)容不被他人捕獲，不會泄露敏感信息。4. 數(shù)據(jù)完整性對關(guān)鍵的數(shù)據(jù)信息，防止信息

37、被非法入侵者篡改。5. 防止否認防止信息發(fā)出者對自己發(fā)出的信息進行抵賴，提供數(shù)字化的操作信息憑證。身份認證身份認證采用基于證書的公鑰密碼體制來實現(xiàn)。l 公鑰密碼算法公鑰密碼算法使用兩個不同的密鑰，即解密密鑰kd（私有密鑰）和加密密鑰ke（公開密鑰），信息加密時使用ke，密文解密時使用kd。kd和ke是緊密相關(guān)，一一對應(yīng)的。一般統(tǒng)稱私鑰kd和公鑰ke為“公私密鑰對”。公私密鑰對由特殊的密碼學(xué)算法產(chǎn)生，密碼學(xué)的理論可以保證，在人類現(xiàn)有的計算水平下，由公鑰ke推算出私鑰kd是幾乎不可能的。使用者在使用時，將自己的私鑰kd保存起來，而將自己的公鑰ke對外公開。l 證書（certificate）和證書中

38、心ca（certificate authority）要實現(xiàn)基于公鑰密碼算法的身份認證求，就必須建立一種信任及信任驗證機制，即每個網(wǎng)絡(luò)上的實體必須有一個可以被驗證的數(shù)字標識，這就是“數(shù)字證書（certificate）”。數(shù)字證書是各實體在網(wǎng)上信息交流及商務(wù)交易活動中的身份證明，具有唯一性。證書基于公鑰密碼體制，它將用戶的公開密鑰（ke）同用戶本身的屬性（例如姓名，單位等）聯(lián)系在一起。這就意味著應(yīng)有一個網(wǎng)上各方都信任的機構(gòu)，專門負責(zé)對各個實體的身份進行審核，并簽發(fā)和管理數(shù)字證書，這個機構(gòu)就是證書中心ca。ca用自己的私鑰對所有的用戶屬性、證書屬性和用戶的公鑰進行數(shù)字簽名，產(chǎn)生用戶的數(shù)字證書。在基于

39、證書的安全通信中，證書是證明用戶合法身份和提供用戶合法公鑰的憑證，是建立保密通信的基礎(chǔ)。因此，作為網(wǎng)絡(luò)可信機構(gòu)的證書管理設(shè)施，ca的主要職能就是管理和維護它所簽發(fā)的證書，提供各種證書服務(wù)，包括：證書的簽發(fā)、更新、回收、歸檔等等。目前，國際電力聯(lián)盟itu發(fā)布了數(shù)字證書的國際標準x.509v3，下圖是x.509v3證書格式的示意圖：l 認證協(xié)議安全套接層協(xié)議ssl（secure socket layer）安全套接層ssl協(xié)議目前internet上使用最廣泛的安全協(xié)議，兩大主流瀏覽器netscape navigator和microsoft ie以及絕大多數(shù)的web服務(wù)器均支持標準的ssl3.0協(xié)議。

40、該協(xié)議向tcp/ip的客戶/服務(wù)器模式提供了客戶端和服務(wù)器的身份認證、會話密鑰交換和信息鏈路加密等安全功能，已成為事實上的工業(yè)標準。ssl認證協(xié)議有以下特點：l 對等方實體可以使用非對稱密碼算法（例如rsa，dss等）進行認證。l 可以實現(xiàn)雙向的身份認證。l 共享秘密的協(xié)商是保密的。即使攻擊者能夠發(fā)起中間人攻擊，協(xié)商的秘密也不可能被竊聽者獲得。l 協(xié)商是高度安全可靠的。攻擊者不能在不被發(fā)現(xiàn)的情況下篡改協(xié)商通信數(shù)據(jù)。訪問控制訪問控制采用集中式的權(quán)限控制中心，驗證該使用者是否有權(quán)限訪問特定的資源（文件）。并根據(jù)權(quán)限中心來完成。安全管理員在權(quán)限控制中心為每個使用者設(shè)定權(quán)限。在使用者登錄oa服務(wù)器的時

41、候，oa服務(wù)器的安全系統(tǒng)會訪問權(quán)限控制中心，驗證該使用者是否有權(quán)限訪問特定的資源（文件）。并根據(jù)權(quán)限進行允許或拒絕。權(quán)限控制中心采用ldap（輕量級目錄訪問協(xié)議）目錄服務(wù)器來存儲使用者的權(quán)限。信息保密在身份認證通過之后，使用者和安全系統(tǒng)之間使用ssl協(xié)議建立安全加密連接。ssl協(xié)議中，生成會話密鑰的步驟如下： 交換hello消息以協(xié)商密碼算法，交換隨機值。 交換必要的密碼學(xué)參數(shù)，使客戶和服務(wù)器能夠協(xié)商premaster secret。 交換證書和密碼學(xué)信息，使客戶和服務(wù)器能夠進行相互認證。 使用交換的隨機值和premaster secret生成主秘密master secret。 通信雙方將根據(jù)

42、主秘密master secret計算出此次通信的會話密鑰，進行安全通信。數(shù)據(jù)完整性與不可否認性數(shù)據(jù)的完整性與不可否認性通過基于公鑰密碼算法的數(shù)字簽名來實現(xiàn)。l 數(shù)字文摘算法（hash）數(shù)字文摘算法可以將任意長度的數(shù)據(jù)信息制作成一個固定長度的“文摘”，這個文摘保存了原來信息的一些特征，但是又不可能從這個數(shù)字文摘恢復(fù)出原來的信息內(nèi)容，就象圖書館的書刊索引一樣。數(shù)字文摘算法主要用于保證信息的完整性。常用的數(shù)字文摘算法主要有md5、sha-1等。l 數(shù)字簽名（digital signature）數(shù)字化的重要信息（例如電子商務(wù)交易信息）是以數(shù)字形式出現(xiàn)的，不能用手工的紙筆方式簽字蓋章，所以必須有一種方式

43、來保證這些“重要的數(shù)字流”在傳輸中不被篡改、偽造，并且使信息發(fā)出者不能否認自己曾有過的行為。這種方式被稱為數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是公鑰密碼體制的一種應(yīng)用，簡單地說，簽名者使用自己私鑰kd對簽名文件的“數(shù)字文摘”加密，就生成了該文件的“數(shù)字簽名”。簽名者將文件和數(shù)字簽名一起發(fā)送給接收者，接收者就可以用該簽名者公布的公鑰ke來解開數(shù)字簽名，從而檢驗文件本身的真?zhèn)?，并確定簽名者的身份。由于采用ca及ssl認證通訊方式與廣電總局oa系統(tǒng)結(jié)合較緊密，所以本方案中我們推薦由oa軟件供應(yīng)商根據(jù)oa系統(tǒng)的特點，進行相關(guān)調(diào)整及實施。2.2.2 dns業(yè)務(wù)的安全dns業(yè)務(wù)提供了廣電總局內(nèi)網(wǎng)的域名解析工作，對于

44、廣電總局內(nèi)網(wǎng)的dns系統(tǒng)的安全，主要有如下建議：1. 通過將其部署在防火墻內(nèi)，限制用戶對該業(yè)務(wù)主機其他服務(wù)的訪問，只開啟dns服務(wù)端口（53）和相關(guān)管理端口（22，23等）。2. 依靠入侵檢測系統(tǒng)及日志分析系統(tǒng)對該業(yè)務(wù)主機進行詳細的訪問記錄審核，并保留相關(guān)記錄。3. 對于操作系統(tǒng)，建議實施專業(yè)的saloris安全增強服務(wù)，優(yōu)化系統(tǒng)主機性能，強化主機的安全性。4. 日常運維及管理用戶通過一次性口令集中認證訪問系統(tǒng)，確保密碼的安全性，以及指令的安全性。目前，廣電總局內(nèi)網(wǎng)的dns采用的bind，該軟件自身存在多種安全隱患，建議實施dns系統(tǒng)的專業(yè)安全增強，確保dns業(yè)務(wù)的正常運轉(zhuǎn)，具體內(nèi)容可參考如下

45、：1. 限制域傳輸2. 配置主備服務(wù)器間認證3. 防止dns欺騙4. 禁止轉(zhuǎn)發(fā)查詢5. 設(shè)置allow query6. 設(shè)置重試查詢次數(shù)2.3 信息安全管理中心全網(wǎng)安全管理中心的建立對于廣電總局全網(wǎng)安全有著非常大的意義，通過安全中心可以動態(tài)了解和控制全網(wǎng)安全狀況。一方面針對全網(wǎng)的安全設(shè)備進行集中管理，另一方面，可以利用集中管理軟件收集全網(wǎng)網(wǎng)絡(luò)和主機安全信息，用于安全分析和統(tǒng)計，進而對全網(wǎng)安全進行決策和支持。我們建議該安全管理中心分為安全決策支持中心和安全設(shè)備管理中心。安全管理中心的實施拓撲如下圖所示：安全管理中心實施拓撲2.3.1 安全決策支持中心安全決策支持中心實際上是一個由專業(yè)安全專家、客

46、戶安全人員、安全知識庫、安全信息中心軟件系統(tǒng)以及專業(yè)安全服務(wù)共同構(gòu)成的一個常備安全機構(gòu)。其中安全知識庫主要由專業(yè)公司提供的安全信息發(fā)布服務(wù)提供。而安全信息中心軟件系統(tǒng)包括了安全管理中心內(nèi)的安全審計軟件和日志分析軟件兩大部分。2.3.1.1 安全審計中心目前掃描軟件包括網(wǎng)絡(luò)型掃描器，主機型掃描器和數(shù)據(jù)庫掃描器。一方面由于主機型掃描器和數(shù)據(jù)庫掃描器在使用中對系統(tǒng)資源占用較高，另一方面，這些掃描器的性價比較低，所以不推薦使用。網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機開放服務(wù)，同時模擬黑客入侵對主機或網(wǎng)絡(luò)設(shè)備進行偵測性刺探，從而發(fā)現(xiàn)主機或網(wǎng)絡(luò)設(shè)備的安全漏洞。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實時檢測網(wǎng)絡(luò)漏洞，另

47、一方面，也是進行全網(wǎng)安全審計的重要工具。2.3.1.2 日志分析中心日志中心用于全網(wǎng)設(shè)備和主機日志的收集和分析，避免了分散日志的安全性，增加了安全事件的事后可跟蹤性；2.3.2 安全設(shè)備管理中心安全設(shè)備中心包括ids管理中心、防病毒管理中心、一次性口令集中認證系統(tǒng)、日志管理中心和審計中心控制臺。l ids管理中心用于網(wǎng)絡(luò)型ids的策略控制和監(jiān)控，報警信息將會在控制臺上顯示或報警；l 防病毒管理中心用于防病毒系統(tǒng)的管理和控制；l 日志管理中心控制臺和審計中心控制臺分別是日志分析中心和安全審計中心的console端軟件，可以實現(xiàn)對這兩套軟件系統(tǒng)的遠程控制和管理。安全設(shè)備管理中心，是“集中管理”思想

48、的具體體現(xiàn)。通過一套或幾套部署在同一地點的安全管理軟件，集中的實現(xiàn)對多個節(jié)點的多套安全工具集中的管控，極大的節(jié)約了人力資源，提高了管理效率，對降低企業(yè)安全系統(tǒng)的tco（總體擁有成本）有很大效果。三、 運維管理及培訓(xùn)方案任何用于主機安全或是網(wǎng)絡(luò)安全的技術(shù)解決方案都必須依賴安全管理規(guī)范的支持，而安全管理貫穿在整個網(wǎng)絡(luò)運維之中的?，斮愒陂L期大量的安全工程的安全設(shè)計和實施中，積累了大量運維工作的安全管理經(jīng)驗，瑪賽愿意與廣電總局安全運維部門一起分享這些經(jīng)驗。結(jié)合目前廣電總局業(yè)務(wù)特點，我們將從安全風(fēng)險管理，物理安全管理，邏輯安全管理和日常安全管理四個方面闡述安全管理方案。3.1 安全風(fēng)險管理安全風(fēng)險管理是

49、確定適當?shù)陌踩胧┑闹匾襟E。風(fēng)險管理對于如何提供安全性，在那些方面提供安全性以及所應(yīng)采取的安全控制的類型和力度等方面都有著重要意義。在廣電總局安全運維中，需要通過安全風(fēng)險管理提供網(wǎng)絡(luò)中的安全關(guān)鍵點。下面我們首先將針對廣電總局進行安全風(fēng)險評估，以確定什么是廣電總局的關(guān)鍵資產(chǎn)，對這些關(guān)鍵資產(chǎn)進行評估以及確定對這些資產(chǎn)出現(xiàn)破壞的可能性。結(jié)合廣電總局的目前運維情況，我們認為整個網(wǎng)絡(luò)中比較關(guān)鍵的資產(chǎn)如下表所示：資產(chǎn)說明核心交換機廣電總局局域網(wǎng)所用的核心交換機防火墻廣電總局所用的防火墻接入路由器承擔(dān)廣電總局網(wǎng)絡(luò)直屬機關(guān)接入的接入路由器oa業(yè)務(wù)承擔(dān)廣電總局內(nèi)網(wǎng)業(yè)務(wù)的服務(wù)器集群公共服務(wù)網(wǎng)段提供廣電總局內(nèi)部工

50、作人員使用的公共業(yè)務(wù)dns的服務(wù)器應(yīng)用服務(wù)器網(wǎng)段廣電總局內(nèi)部工作人員日常應(yīng)用如視頻點播等的服務(wù)器集群用戶資源廣電總局目前的用戶群管理人員廣電總局擔(dān)負網(wǎng)絡(luò)運維的人員這里只列出了廣電總局中一部分最重要的資產(chǎn)，而在長期的安全管理中，需要全局統(tǒng)籌管理，隨著業(yè)務(wù)系統(tǒng)的不斷變化，及時更新關(guān)鍵資產(chǎn)的定義，以保證處理操作的一致性和便于資產(chǎn)評估。在確定了廣電總局中重要資產(chǎn)后，就需要對這些資產(chǎn)評定價值，一般而言，我們需要對有形資產(chǎn)如路由器等設(shè)備，及其無形資產(chǎn)如數(shù)據(jù)庫的數(shù)據(jù)等，進行資產(chǎn)價值評估。無形資產(chǎn)一般可以用重要程度或關(guān)鍵程度評判其價值。有形資產(chǎn)可以根據(jù)更新價值或關(guān)鍵程度等因素進行評判?？紤]到實際需求，我們用不

51、同的關(guān)鍵程度等級來劃分數(shù)據(jù)類別來評定廣電總局內(nèi)網(wǎng)資產(chǎn)價值。資產(chǎn)關(guān)鍵程度資產(chǎn)高核心交換機高防火墻中接入路由器高oa業(yè)務(wù)中公共服務(wù)網(wǎng)段高應(yīng)用服務(wù)器網(wǎng)段高用戶資源中下面我們將關(guān)注于出現(xiàn)破壞廣電總局安全的可能性。網(wǎng)絡(luò)的脆弱性表現(xiàn)在網(wǎng)絡(luò)中存在的可能被威脅利用的缺陷，如：可能發(fā)生外部人員的猜出口令而對網(wǎng)絡(luò)進行未經(jīng)授權(quán)訪問的事件等。對于廣電總局網(wǎng)絡(luò)中關(guān)鍵資源，威脅有如下一些形式：l 竊取或破壞風(fēng)險管理需要為廣電總局建立一套不同類型的敏感數(shù)據(jù)存儲在哪里、數(shù)據(jù)如何存儲以及誰有權(quán)訪問不同類型數(shù)據(jù)的的列表，該列表包涵了廣電總局中最有價值信息，通過該列表可以對這些數(shù)據(jù)進行簡單的風(fēng)險計算。在廣電總局中，oa信息、路由配

52、置和安全日志等這些數(shù)據(jù)是需要安全風(fēng)險管理關(guān)注的關(guān)鍵數(shù)據(jù)，在運維中需要為這些數(shù)據(jù)提供安全管理策略，例如：l 如何進行備份l 備份文件存儲在何處l 如何對數(shù)據(jù)進行物理保護l 誰有權(quán)訪問存儲數(shù)據(jù)的介質(zhì)l 數(shù)據(jù)完整性遭到破壞后的恢復(fù)措施l 網(wǎng)絡(luò)資源不可用風(fēng)險管理將包含確定那些網(wǎng)絡(luò)資源會受威脅及其所造成的損失。在廣電總局網(wǎng)絡(luò)結(jié)構(gòu)中，業(yè)務(wù)系統(tǒng)的交換機和接入設(shè)備都是重要的網(wǎng)絡(luò)資源，這些資源由于設(shè)備失效、自然行為（如水災(zāi)、火災(zāi)和電擊等）、系統(tǒng)升級、錯誤配置以及ddos攻擊等威脅，會造成商業(yè)上的極大損失，我們將根據(jù)這些威脅和商業(yè)損失上的考慮，給定這些資源的相對風(fēng)險，同時也將給出保證這些資源可用的安全策略。l 業(yè)

53、務(wù)資源不可用與網(wǎng)絡(luò)資源不可用類似，廣電總局的業(yè)務(wù)資源，如oa系統(tǒng)、dns系統(tǒng)、等，都會由于某些威脅，造成系統(tǒng)不可用，我們需要給出這些資源的風(fēng)險評估。以下給出一個簡單針對oa系統(tǒng)和dns系統(tǒng)的計算風(fēng)險例子：威脅的可能性（t）期望的損失值（l）風(fēng)險（tl）1不太可能1低損失1，2低風(fēng)險2大概可能2中等損失3，4中等風(fēng)險3非?？赡?嚴重損失69高風(fēng)險資源名稱所受威脅tl風(fēng)險oa系統(tǒng)數(shù)據(jù)被竊取、篡改，dos攻擊等236-高dns系統(tǒng)非授權(quán)訪問，dos攻擊等224-中通過這樣的風(fēng)險計算，就可以大致了解整個系統(tǒng)安全高風(fēng)險的部位，這樣就可以有的放矢，針對高風(fēng)險段采取針對性措施進行防護。當在廣電總局所有風(fēng)險評

54、定完畢后，就需要廣電總局網(wǎng)絡(luò)部門進一步確定廣電總局能夠接受多高的風(fēng)險，以及資產(chǎn)需要保護到什么程度。風(fēng)險緩解是選擇適當?shù)目刂品绞綄L(fēng)險降低到可接受水平的過程。通過把暴露安全漏洞所帶來的風(fēng)險和實施及強制執(zhí)行安全策略所需要的費用進行比較，就可以確定廣電總局可接受的風(fēng)險水平。如對于辦公pc網(wǎng)絡(luò)之上的cisco 交換機，我們就不值得花錢制定嚴格的安全策略保護它們。再如：針對dns服務(wù)器系統(tǒng)的威脅，我們只要提供防火墻設(shè)備對進出該網(wǎng)段的訪問進行過濾并提供基本的入侵檢測即可，而不需要花費太多額外的資源去保護該業(yè)務(wù)系統(tǒng)。我們建議與廣電總局網(wǎng)絡(luò)部門協(xié)作，每個季度對整網(wǎng)實施一次專業(yè)的安全風(fēng)險評估，在風(fēng)險評估的基礎(chǔ)上

55、提出進一步的安全解決方案，從風(fēng)險管理的角度為合理分配資源、進一步制定安全策略提供重要依據(jù)。3.2 物理安全管理物理安全一直是安全領(lǐng)域重要一環(huán)。在系統(tǒng)中，物理安全主要體現(xiàn)在針對物理基礎(chǔ)設(shè)施、物理設(shè)備和物理訪問的控制，在廣電總局環(huán)境中，全網(wǎng)物理安全主要通過機房物理安全來體現(xiàn)。我們將針對廣電總局網(wǎng)絡(luò)系統(tǒng)提供一些機房管理制度建議，同時在全網(wǎng)運維過程中與廣電總局運維部門協(xié)作不斷完善這些制度。l 機房參觀訪問制度該制度將從參觀介紹人和參觀對象、參觀申請及審批、參觀批次和人數(shù)、機房參觀流程、參觀級別定義及其資料管理等方面，為廣電總局在運維過程中的客戶參觀提供安全管理依據(jù)。l 機房施工管理制度我們結(jié)合以前項目

56、中安全管理的經(jīng)驗，為廣電總局制定了如下的機房施工管理制度，廣電總局運維部門也可以結(jié)合各機房情況改進該管理制度，以求充分切合實際。l 運維值班管理制度值班管理制度是機房管理制度中較為核心的內(nèi)容，我們將配合廣電總局網(wǎng)絡(luò)部門從值班基本守則、值班工作內(nèi)容、值班中常見問題處理等多方面提供運維值班管理建議。l 運維故障處理制度為保證廣電總局網(wǎng)絡(luò)的安全運行，保障全網(wǎng)的服務(wù)質(zhì)量，我們?yōu)閺V電總局提供運維故障處理的建議。建議將從故障發(fā)現(xiàn)、故障處理流程、故障級別、故障匯報和故障報告等多方面提供全網(wǎng)運維故障處理解決的方法。如下為我們?yōu)閺V電總局設(shè)計的故障報告的一個簡要格式：l 其他運維管理制度針對廣電總局運維實際，我們

57、從設(shè)備使用管理、設(shè)備文檔管理等方面提供設(shè)備檔案管理制度的建議，同時也提供了關(guān)于設(shè)備配置更改制度的一些想法。針對某些災(zāi)難（電力、空調(diào)、水力，火災(zāi)），提供了相應(yīng)的機房災(zāi)難應(yīng)急措施。良好的物理安全是保證整個系統(tǒng)安全的重要部分，廣電總局機房管理制度的發(fā)展與完善需要廣電總局運維部門和專業(yè)安全服務(wù)商密切協(xié)作，在長期的運維中得到加強。3.3 邏輯安全管理邏輯安全管理進一步從技術(shù)層面建立一些安全管理制度，諸如用戶管理、口令管理、網(wǎng)絡(luò)設(shè)備安全管理和主機系統(tǒng)安全管理的制度。就用戶管理而言，我們建議對廣電總局設(shè)備或是網(wǎng)段的訪問必須明確限制到需要訪問的個人，我們采取兩種管理措施：預(yù)防性管理和探測性管理。預(yù)防性管理，用于識別每個授權(quán)用戶并拒絕非授權(quán)用戶的訪問。探測性管理，用于記錄和報告授權(quán)用戶的行為，以及記錄和報告非授權(quán)訪問或?qū)ο到y(tǒng)、程序和數(shù)據(jù)的訪問企圖。在廣電總局進行訪問控制管理時，我們建議對各網(wǎng)絡(luò)設(shè)備控制臺的訪問分別分配一個用戶