通信公司網(wǎng)絡(luò)安全系統(tǒng)方案

1、1 / 22 文檔可自由編輯打印密密 級(jí)：秘級(jí)：秘 密密文檔編號(hào)：文檔編號(hào)：項(xiàng)目代號(hào)：項(xiàng)目代號(hào)：XXX 通信網(wǎng)絡(luò)網(wǎng)管安全系統(tǒng)整體方案建議書Ver1.02021 年 12 月i / 22 文檔可自由編輯打印目 錄1XXX 通信省網(wǎng)管中心安全需求分析通信省網(wǎng)管中心安全需求分析.11.1XXX 通信省網(wǎng)管中心及重要節(jié)點(diǎn)網(wǎng)絡(luò)現(xiàn)狀.11.2XXX 通信省網(wǎng)管中心及重要節(jié)點(diǎn)現(xiàn)有安全措施.21.3XXX 通信公司威脅來源分析.21.4XXX 通信省網(wǎng)管中心及重要節(jié)點(diǎn)網(wǎng)絡(luò)安全需求分析.32XXX 通信安全方案設(shè)計(jì)通信安全方案設(shè)計(jì).52.1設(shè)計(jì)理念及方法.52.1.1覆蓋整個(gè)生命周期的完整體系A(chǔ)DDME.52.

2、1.2100%的風(fēng)險(xiǎn)管理體系.62.1.3安全設(shè)計(jì)理念.72.2設(shè)計(jì)原則.72.3XXX 通信網(wǎng)絡(luò)安全架構(gòu)模型.82.4安全漏洞掃描系統(tǒng).92.4.1網(wǎng)絡(luò)安全評(píng)估.92.4.2部署建議.102.4.3主機(jī)（系統(tǒng)）安全評(píng)估.102.4.4部署建議.112.4.5數(shù)據(jù)庫(kù)安全評(píng)估.112.4.6部署建議.122.4.7漏洞掃描系統(tǒng)部署示意圖.132.5入侵檢測(cè)系統(tǒng)IDS .152.5.1百兆NIDS網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署建議.172.5.2入侵檢測(cè)系統(tǒng)部署圖.172.6方案總結(jié).182.7安全方案產(chǎn)品配置一覽.201 / 22 文檔可自由編輯打印1 XXX 通信省網(wǎng)管中心安全需求分析通信省網(wǎng)管中心安

3、全需求分析 本需求分析建立在XXX 通信省網(wǎng)管中心絡(luò)安全設(shè)備配置與投資規(guī)模所提供的 XXX 通信安全需求資料和 XX 公司前期調(diào)研的基礎(chǔ)上，旨在給出構(gòu)建后文所述安全體系的充分理由。1.1 XXX 通信省網(wǎng)管中心及重要節(jié)點(diǎn)網(wǎng)絡(luò)現(xiàn)狀通信省網(wǎng)管中心及重要節(jié)點(diǎn)網(wǎng)絡(luò)現(xiàn)狀隨著 XXX 通信數(shù)據(jù)業(yè)務(wù)的發(fā)展，用戶數(shù)量迅速增長(zhǎng)，為了適應(yīng)市場(chǎng)的競(jìng)爭(zhēng)、提高整個(gè) XXX 通信運(yùn)營(yíng)和管理效率，XXX 通信在今年計(jì)劃實(shí)施網(wǎng)絡(luò)安全項(xiàng)目以保證省網(wǎng)管中心重要網(wǎng)段和服務(wù)器以及各個(gè)寬帶城域網(wǎng)結(jié)點(diǎn) Radius 系統(tǒng)的安全。網(wǎng)絡(luò)現(xiàn)狀如下圖所示：ISS ServerSUN SPARC20PrimaryDNSSUN E250Cataly

4、s8540HP VE5后臺(tái)維護(hù)工作站HP 6PCatalyst2800PIXBilling server 2Enterprise 4000RAID(DB )HABilling server 1Enterprise 4000AIWebState漫漫游游認(rèn)認(rèn)證證SUN E3000哈哈爾爾濱濱節(jié)節(jié)點(diǎn)點(diǎn)GEPSTNAISB probeCatalys6506統(tǒng)統(tǒng)計(jì)計(jì)/查查詢?cè)兎?wù)務(wù)器器SUN E3000FreeMailE3000ACESwitchLDAP ServerSUN E2FreeMailSUN E3000DiskVLAN3VLAN4Mail ServerSUN E3000DiskNMSHP C

5、3000Backup ServerSUN U1SUN E450AINettrendSUN E3000AISerBaseVLAN1VLAN2黑黑龍龍江江省省網(wǎng)網(wǎng)管管中中心心局局域域網(wǎng)網(wǎng)結(jié)結(jié)構(gòu)構(gòu)圖圖PPPserverSUN E3000EMSserverSPARC20圖1.1 XXX通信省網(wǎng)管中心網(wǎng)絡(luò)拓?fù)涫疽鈭D2 / 22 文檔可自由編輯打印圖1.2 XXX通信牡丹江等節(jié)點(diǎn)網(wǎng)絡(luò)拓?fù)涫疽鈭D1.2 XXX 通信省網(wǎng)管中心及重要節(jié)點(diǎn)現(xiàn)有安全措施通信省網(wǎng)管中心及重要節(jié)點(diǎn)現(xiàn)有安全措施XXX 通信公司網(wǎng)絡(luò)中現(xiàn)有網(wǎng)絡(luò)掃描器（Internet Scanner）100 個(gè)licence，對(duì)分布在網(wǎng)絡(luò)中的重要服務(wù)器、網(wǎng)

6、絡(luò)設(shè)備等實(shí)施網(wǎng)絡(luò)層面的漏洞掃描。 另外，網(wǎng)絡(luò)中現(xiàn)有 2 臺(tái) NetScreen 防火墻，1 臺(tái)為城域網(wǎng)工程備件中的NS10，1 臺(tái)為國(guó)家 163 骨干網(wǎng)工程中一臺(tái)閑置的 NS100。但均未具體部署。采用雙機(jī)熱備措施保護(hù)計(jì)費(fèi)和認(rèn)證等重要服務(wù)器。1.3 XXX 通信公司威脅來源通信公司威脅來源分析分析 XXX 通信省網(wǎng)管中心及各個(gè)寬帶城域網(wǎng)節(jié)點(diǎn)現(xiàn)階段面臨的主要風(fēng)險(xiǎn)如下：1.網(wǎng)絡(luò)與系統(tǒng)漏洞存在風(fēng)險(xiǎn)：由于 TCP/IP 網(wǎng)絡(luò)協(xié)議與操作系統(tǒng)和應(yīng)用軟件自身的缺陷，漏洞必然存在于網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)中，漏洞是黑客進(jìn)行攻擊的首選目標(biāo)和有利條件，隨著業(yè)務(wù)系統(tǒng)功能和復(fù)雜性的增加，必須對(duì)各個(gè)層面的漏洞實(shí)施有效的管理和封堵。

7、Cisco7513Cisco7513Cisco7513Cisco75136509650986108610NASRadius寬寬帶帶城城域域網(wǎng)網(wǎng)省省網(wǎng)網(wǎng)3 / 22 文檔可自由編輯打印2.外部黑客風(fēng)險(xiǎn)：由于認(rèn)證、計(jì)費(fèi)、DNS 等系統(tǒng)需要連接 Internet、其他內(nèi)部網(wǎng)絡(luò)和合作伙伴網(wǎng)絡(luò)等多個(gè)接口，因此必然存在不同級(jí)別的外部黑客入侵的風(fēng)險(xiǎn)，必須全面考慮各個(gè)系統(tǒng)接口，制定管理規(guī)范，高效地配置安全控制和檢測(cè)產(chǎn)品，降低外部黑客攻擊風(fēng)險(xiǎn)。3.拒絕服務(wù)攻擊風(fēng)險(xiǎn)：這種方式的攻擊，使得應(yīng)用服務(wù)器在很短的時(shí)間內(nèi)創(chuàng)建大量的到客戶端的 Socket 連接，直到耗盡系統(tǒng)資源，此時(shí)系統(tǒng)性能嚴(yán)重下降，正常業(yè)務(wù)無法維持，應(yīng)用

8、系統(tǒng)陷入癱瘓狀態(tài)。4.內(nèi)部黑客和系統(tǒng)誤用風(fēng)險(xiǎn)：根據(jù)美國(guó) FBI/CSI 的統(tǒng)計(jì)，企業(yè)由于其內(nèi)部故意的濫用/欺詐和非故意的誤用產(chǎn)生的損失占其全部安全損失的 93，盡管這部分攻擊僅占據(jù) 36的安全事故。要降低內(nèi)部黑客攻擊和系統(tǒng)誤用的風(fēng)險(xiǎn)首先需要對(duì)內(nèi)部系統(tǒng)進(jìn)行安全掃描和增強(qiáng)，然后增強(qiáng)監(jiān)控和審計(jì)措施。5.病毒威脅風(fēng)險(xiǎn)：計(jì)算機(jī)病毒寄生于操作系統(tǒng)或一般的可執(zhí)行程序上，傳播及發(fā)作的方式多種多樣，影響范圍廣，動(dòng)輒修改、刪除文件甚至刪除整個(gè)文件系統(tǒng)，導(dǎo)致業(yè)務(wù)系統(tǒng)程序運(yùn)行錯(cuò)誤，死機(jī)甚至整個(gè)系統(tǒng)數(shù)據(jù)的丟失，目前病毒已成為計(jì)算機(jī)信息系統(tǒng)的重要威脅之一。1.4 XXX 通信省網(wǎng)管中心及重要節(jié)點(diǎn)網(wǎng)絡(luò)安全需求分析通信省網(wǎng)管

9、中心及重要節(jié)點(diǎn)網(wǎng)絡(luò)安全需求分析根據(jù) XXX 通信省網(wǎng)管中心及牡丹江等寬帶城域網(wǎng)重要節(jié)點(diǎn)網(wǎng)絡(luò)結(jié)構(gòu)及業(yè)務(wù)特點(diǎn)，可以把網(wǎng)絡(luò)安全問題具體定位在以下三個(gè)層次上： 層次一：通訊和服務(wù)層次一：通訊和服務(wù)該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)協(xié)議本身存在的一些漏洞。如 Ping 炸彈可使一臺(tái)主機(jī)宕機(jī)、無需口令通過 Rlogin 以 root 身份登錄到一臺(tái)主機(jī)等，都是利用了 TCP/IP 協(xié)議本身的漏洞。層次二：操作系統(tǒng)層次二：操作系統(tǒng)4 / 22 文檔可自由編輯打印這一層次的安全問題來自內(nèi)部網(wǎng)采用的各種操作系統(tǒng)，如運(yùn)行各種 UNIX的操作系統(tǒng)。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序（木馬）等

10、帶來的威脅。層次三：應(yīng)用程序?qū)哟稳簯?yīng)用程序該層次的安全主要考慮重要業(yè)務(wù)系統(tǒng)應(yīng)用服務(wù)的保護(hù)，如 DNS 等。在上述三個(gè)層面上，結(jié)合對(duì) XXX 通信省網(wǎng)管中心可能受到的安全威脅分析中的需求說明，得出此次 XXX 通信省網(wǎng)管中心網(wǎng)絡(luò)安全工程需求主要體現(xiàn)在以下四個(gè)方面：1在省網(wǎng)管中心的兩個(gè)重要網(wǎng)段（認(rèn)證、網(wǎng)管）及 7 個(gè)寬帶城域網(wǎng)節(jié)點(diǎn) Radius 服務(wù)器所在網(wǎng)段提供安全的、基于策略的網(wǎng)絡(luò)層訪問控制措施，部署防火墻系統(tǒng)；2在省網(wǎng)管中心兩個(gè)重要網(wǎng)段（認(rèn)證、網(wǎng)管）擴(kuò)充基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)，對(duì)黑客攻擊實(shí)施 7x24 小時(shí)的實(shí)時(shí)檢測(cè)、審計(jì)、響應(yīng)和阻斷；3增加對(duì)重要主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的漏洞管

11、理措施；4對(duì)省 IDC 中心的托管服務(wù)器，在內(nèi)容層面上提供基于策略的、可調(diào)度的病毒防范能力。5 / 22 文檔可自由編輯打印2 XXX 通信安全方案設(shè)計(jì)通信安全方案設(shè)計(jì)2.1 設(shè)計(jì)理念及方法設(shè)計(jì)理念及方法2.1.1覆蓋整個(gè)生命周期的完整體系覆蓋整個(gè)生命周期的完整體系A(chǔ)DDME為了降低風(fēng)險(xiǎn)和減少成本，根據(jù)信息安全的生命周期特征，ISS 公司提出了一種按階段實(shí)施的可操作的模型 ADDME。將信息安全的生命周期描述為下面各個(gè)階段：圖 3.1.1、ADDME 立體示意圖Policy/Standards/Guidelines Phase 策略/標(biāo)準(zhǔn)/指南制訂階段：制訂系統(tǒng)的安全目標(biāo)；Assess Pha

12、se 評(píng)估分析階段：實(shí)現(xiàn)需求分析、風(fēng)險(xiǎn)分析、安全功能分析和評(píng)估準(zhǔn)則設(shè)計(jì)等，明確表述現(xiàn)時(shí)狀態(tài)和目標(biāo)之間的差距；Design Phase 方案設(shè)計(jì)階段：形成信息安全解決方案，為達(dá)到目標(biāo)給出有效的方法和步驟；Deploy Phase 工程實(shí)施階段：根據(jù)方案設(shè)計(jì)的框架，建設(shè)、調(diào)試并將整個(gè)系統(tǒng)投入使用。6 / 22 文檔可自由編輯打印Manage&Support Phase 管理和支持階段：在管理階段包括兩種情況正常狀態(tài)下的維護(hù)和管理（Management Status） ，以及異常狀態(tài)下的應(yīng)急響應(yīng)和異常處理（Emergency Response Status） 。Educate Phase 安

13、全教育：是貫穿整個(gè)安全生命周期的工作，需要對(duì)企業(yè)的決策層、技術(shù)管理層、分析設(shè)計(jì)人員、工作執(zhí)行人員等所有相關(guān)人員進(jìn)行教育。ADDME 模型將成為實(shí)現(xiàn) XXX 通信公司網(wǎng)絡(luò)安全系統(tǒng)工程的實(shí)施過程指南。2.1.2100%的風(fēng)險(xiǎn)管理體系的風(fēng)險(xiǎn)管理體系信息安全工作歸根結(jié)底就是一個(gè)信息安全風(fēng)險(xiǎn)管理工作。風(fēng)險(xiǎn)管理主要由下面一些步驟組成：第一階段風(fēng)險(xiǎn)評(píng)估管理資產(chǎn)分類和評(píng)估漏洞和脆弱性識(shí)別威脅識(shí)別影響評(píng)估業(yè)務(wù)風(fēng)險(xiǎn)風(fēng)險(xiǎn)量化和評(píng)級(jí)第二階段風(fēng)險(xiǎn)控制管理評(píng)估現(xiàn)有安全控制評(píng)價(jià)新的控制方法制訂策略和流程實(shí)施和降低風(fēng)險(xiǎn)風(fēng)險(xiǎn)承受和轉(zhuǎn)嫁（給保險(xiǎn)公司）通過上述風(fēng)險(xiǎn)管理過程，將 XXX 通信省網(wǎng)管中心可能面臨的所有安全風(fēng)險(xiǎn)全部進(jìn)行評(píng)

14、估和控制，并采取有效措施予以防范。對(duì)于經(jīng)過控制后還具有的殘7 / 22 文檔可自由編輯打印余風(fēng)險(xiǎn)，通過最后的承受和轉(zhuǎn)嫁給予解決。這樣 XXX 通信省網(wǎng)管中心 100%的信息安全風(fēng)險(xiǎn)都有了解決辦法和對(duì)策。在 BS7799 中對(duì)可能遇到的信息安全風(fēng)險(xiǎn)，從管理的角度分為了 10 大類127 個(gè)風(fēng)險(xiǎn)點(diǎn)。ISS 公司可以在此標(biāo)準(zhǔn)的基礎(chǔ)之上，以服務(wù)形式為 XXX 通信公司省網(wǎng)管中心進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理，協(xié)助構(gòu)建 100%的信息安全風(fēng)險(xiǎn)管理體系。注：100%的信息安全風(fēng)險(xiǎn)管理體系，并不是能夠保證 100%的安全，而是指 100%的風(fēng)險(xiǎn)都實(shí)施了有效的管理。2.1.3安全設(shè)計(jì)理念安全設(shè)計(jì)理念安全問題并不

15、是一個(gè)簡(jiǎn)單的技術(shù)問題，而是一個(gè)多方面、多角度的、復(fù)雜的策略、管理和技術(shù)的融合問題。一個(gè)單項(xiàng)的技術(shù)并不能夠解決所有的安全問題，而反過來，如果過分依賴于技術(shù)來解決安全問題，由于配置錯(cuò)誤、管理疏忽、口令丟失等問題，將更容易導(dǎo)致整個(gè)安全系統(tǒng)的失效。所以，我們?cè)跒閄XX 通信省網(wǎng)管中心設(shè)計(jì)安全體系的時(shí)候，必須有一套合理有效的安全理念的選擇和設(shè)計(jì)。ADDME 安全模型為整個(gè)安全系統(tǒng)的建設(shè)，提供了工程實(shí)施的具體階段的定義和周期劃分，同時(shí)也為安全工程的建設(shè)提供了指導(dǎo)，當(dāng)然也為 XXX 通信網(wǎng)絡(luò)安全工程的建設(shè)提供了依據(jù)；而 100%風(fēng)險(xiǎn)管理模型依據(jù)的理論來源是先進(jìn)流行的安全管理標(biāo)準(zhǔn) ISO17799/BS779

16、9，它為風(fēng)險(xiǎn)評(píng)估、策略定制、管理控制選擇、業(yè)務(wù)可持續(xù)發(fā)展等，安全管理體系的建立提供了理論依據(jù)和指導(dǎo)，依據(jù)它，可以為企業(yè)構(gòu)建一個(gè)良好的安全管理體系，提供一個(gè)良好的途徑和理論基礎(chǔ)。而在這一點(diǎn)上，建議根據(jù) ADDME 生命周期模型來實(shí)施整個(gè) XXX 通信省網(wǎng)管中心網(wǎng)絡(luò)安全工程建設(shè)，根據(jù) 100%風(fēng)險(xiǎn)管理理念來構(gòu)建整個(gè) XXX 通信省網(wǎng)管中心的安全管理體系，將能夠保證 XXX 通信省網(wǎng)管中心實(shí)現(xiàn)的真正的安全目標(biāo)，為 XXX 通信省網(wǎng)管中心用戶提供合理、恰當(dāng)?shù)?、可持續(xù)的安全體系。8 / 22 文檔可自由編輯打印2.2 設(shè)計(jì)原則設(shè)計(jì)原則針對(duì) XXX 通信省網(wǎng)管中心及寬帶城域網(wǎng)節(jié)點(diǎn)網(wǎng)絡(luò)特點(diǎn)，本方案將嚴(yán)格遵循

17、如下原則進(jìn)行規(guī)劃和設(shè)計(jì)。 體系化原則分析 XXX 通信省網(wǎng)管中心及寬帶城域網(wǎng)節(jié)點(diǎn)的層次關(guān)系，遵循先進(jìn)的安全理念，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題。 標(biāo)準(zhǔn)性原則方案設(shè)計(jì)以及具體產(chǎn)品的選擇實(shí)施依據(jù)國(guó)內(nèi)或國(guó)際的相關(guān)標(biāo)準(zhǔn)進(jìn)行，這些規(guī)范包括：ISO 17799 / BS7799ISO 13335ISO 15408 / GB18336 系統(tǒng)性、綜合性設(shè)計(jì)原則從全系統(tǒng)出發(fā)，綜合考慮各種安全風(fēng)險(xiǎn)，采取相應(yīng)的安全措施，并根據(jù)風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。 可控性原則采取的技術(shù)手段需要達(dá)到安全可控

18、的目的，技術(shù)解決方案涉及的工程實(shí)施應(yīng)具有可控性； 最小影響原則基礎(chǔ)安全建設(shè)方案將本著對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)影響最小化考慮，盡量不影響現(xiàn)有業(yè)務(wù)的正常使用； 動(dòng)態(tài)和靜態(tài)原則基礎(chǔ)安全建設(shè)方案將從動(dòng)態(tài)和靜態(tài)兩個(gè)方面考慮，充分考慮安全的動(dòng)態(tài)性等特點(diǎn)。 投資保護(hù)原則在方案設(shè)計(jì)過程中，將充分利用 XXX 通信省網(wǎng)管中心及寬帶城域網(wǎng)節(jié)點(diǎn)已經(jīng)存在的設(shè)備，保護(hù)已有投資。9 / 22 文檔可自由編輯打印2.3 XXX 通信網(wǎng)絡(luò)安全架構(gòu)模型通信網(wǎng)絡(luò)安全架構(gòu)模型XXX 通信省網(wǎng)管中心及寬帶城域網(wǎng)節(jié)點(diǎn)的網(wǎng)絡(luò)安全系統(tǒng)將參照如下安全架構(gòu)進(jìn)行設(shè)計(jì)和建設(shè)：安全策略安全管理安全評(píng)估整體安全技術(shù)因素整體安全技術(shù)因素網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)安全物理安

19、全操作系統(tǒng)平臺(tái)的安全性應(yīng)用平臺(tái)的安全性內(nèi)容安全圖 2.1 整體安全架構(gòu)示意圖物理安全將不在本方案中加以討論。2.4 安全漏洞掃描系統(tǒng)安全漏洞掃描系統(tǒng)無論是做好一個(gè)安全項(xiàng)目的建設(shè)，還是在網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)作過程中，清晰的了解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的了解存在那些漏洞，新出現(xiàn)的安全問題等，都要求信息系統(tǒng)自身和用戶作好安全評(píng)估。ISS 公司可為 XXX 通信提供詳細(xì)、全面的安全漏洞掃描解決方案：10 / 22 文檔可自由編輯打印2.4.1網(wǎng)絡(luò)安全評(píng)估網(wǎng)絡(luò)安全評(píng)估Internet Scanner 可以掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持 TCP/IP 協(xié)議的設(shè)備，掃描的對(duì)象包括 N

20、T/2000 工作站/服務(wù)器、各種 UNIX 工作站/服務(wù)器、防火墻、路由器/交換機(jī)等等，通過模擬黑客攻擊手法，掃描目標(biāo)對(duì)象存在的安全漏洞，與黑客攻擊不同的是不做任何破壞活動(dòng)。目前 Internet Scanner 掃描的漏洞類型高達(dá) 1067 多種，是業(yè)界支持漏洞類型最多的網(wǎng)絡(luò)掃描器產(chǎn)品。在進(jìn)行掃描時(shí)，可以從不同的網(wǎng)絡(luò)位置對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描，例如在防火墻的內(nèi)側(cè)和外側(cè)的掃描效果不同，內(nèi)側(cè)掃描的結(jié)果真實(shí)、準(zhǔn)確，外側(cè)掃描可以用來檢測(cè)防火墻或網(wǎng)絡(luò)的耐攻擊程度。另外也可以根據(jù)不同的掃描對(duì)象選擇或定制不同的策略，如針對(duì)防火墻、UNIX 服務(wù)器、NT 服務(wù)器、Internet(、MAIL)服務(wù)器、路由器交

21、換機(jī)等等，掃描結(jié)束后生成詳細(xì)的安全評(píng)估報(bào)告。2.4.2部署建議部署建議利用 ISS 公司的網(wǎng)絡(luò)安全評(píng)估產(chǎn)品 Internet Scanner 定期掃描 XXX 通信省網(wǎng)管中心網(wǎng)絡(luò)及 7 個(gè)核心節(jié)點(diǎn)中的路由器、服務(wù)器、工作站及防火墻等網(wǎng)絡(luò)設(shè)備，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行定期、不定期的掃描，進(jìn)行安全漏洞檢測(cè)，找出安全隱患，并且在執(zhí)行過程中實(shí)現(xiàn)基于策略的安全風(fēng)險(xiǎn)管理。原有的 100 個(gè) Internet Scanner IP License 可以充分使用，再購(gòu)買 1 年的升級(jí)和技術(shù)支持服務(wù)；另外，由于新增了很多網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備，所以新增 100個(gè) License 以實(shí)現(xiàn)對(duì)全網(wǎng)所有重點(diǎn)設(shè)備和服務(wù)器的安全評(píng)估。2

22、.4.3主機(jī)（系統(tǒng)）安全評(píng)估主機(jī)（系統(tǒng)）安全評(píng)估System Scanner 在系統(tǒng)層上通過依附于主機(jī)上的掃描器代理偵測(cè)主機(jī)內(nèi)部的漏洞。在重要的服務(wù)器上安裝 System Scanner 的代理軟件（代理軟件支持NT/2000 和各種 UNIX 操作系統(tǒng)） ，在一臺(tái) NT 工作站上安裝 System Scanner 控制臺(tái)。系統(tǒng)掃描比較一個(gè)組織規(guī)定的安全策略和實(shí)際的主機(jī)配置來發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，包括缺少的安全補(bǔ)丁、詞典中可猜中的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、操作系統(tǒng)內(nèi)部是否有黑客程序駐留、不安全的服務(wù)配11 / 22 文檔可自由編輯打印置等等。掃描結(jié)果可生成各級(jí)漏洞報(bào)告，可根據(jù)

23、報(bào)告中詳述的內(nèi)容修改操作系統(tǒng)中不安全的配置掃描器代理的安全策略可以通過系統(tǒng)掃描器控制臺(tái)進(jìn)行集中管理和配置。系統(tǒng)掃描帶來了更強(qiáng)有力的針對(duì)基于主機(jī)的漏洞評(píng)估技術(shù)，它把快速的分析與可靠的建議結(jié)合起來，從而保護(hù)服務(wù)器上的應(yīng)用程序、數(shù)據(jù)免受盜用、破壞或誤操作。同時(shí)可以制定一個(gè)系統(tǒng)基線，制定計(jì)劃和規(guī)則，讓系統(tǒng)掃描器在沒有任何監(jiān)管的情況下自動(dòng)運(yùn)行，一旦發(fā)現(xiàn)漏洞立即報(bào)警。系統(tǒng)掃描器所實(shí)行的所有規(guī)則定義在每個(gè)代理的知識(shí)庫(kù)里，它允許用戶自己定義一個(gè)適合相應(yīng)平臺(tái)的規(guī)則，同時(shí)還允許進(jìn)行特殊定義，當(dāng)網(wǎng)絡(luò)不通時(shí)代理也可以進(jìn)行工作。2.4.4部署建議部署建議在本項(xiàng)目中，建議可以考慮使用 System Scanner 對(duì) X

24、XX 通信省網(wǎng)管中心的重要服務(wù)器的操作系統(tǒng)定期進(jìn)行安全漏洞掃描和風(fēng)險(xiǎn)評(píng)估，包括漫游認(rèn)證、統(tǒng)計(jì)查詢、Billing server 等。共配置 5 個(gè) License.同時(shí) System Scanner 也可以采用風(fēng)險(xiǎn)評(píng)估服務(wù)的形式實(shí)施。2.4.5數(shù)據(jù)庫(kù)安全評(píng)估數(shù)據(jù)庫(kù)安全評(píng)估ISS Database Scanner 是世界上第一個(gè)針對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的風(fēng)險(xiǎn)評(píng)估檢測(cè)工具，可以利用它建立數(shù)據(jù)庫(kù)的安全規(guī)則,通過運(yùn)用審核程序來提供有關(guān)安全風(fēng)險(xiǎn)和位置的簡(jiǎn)明報(bào)告。利用 Database Scanner 定期地通過網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫(kù)，去檢查數(shù)據(jù)庫(kù)特有的安全漏洞，全面評(píng)估數(shù)據(jù)庫(kù)存在的認(rèn)證、授權(quán)、完整性方面的

25、問題。Database Scanner 目前支持的數(shù)據(jù)庫(kù)類型有：MS SQL Server、Oracle 和 Sybase。不同的數(shù)據(jù)庫(kù)類型有相應(yīng)的數(shù)據(jù)庫(kù)掃描器產(chǎn)品。對(duì)數(shù)據(jù)庫(kù)的掃描同樣生成詳細(xì)的安全評(píng)估報(bào)告。所有掃描器可以根據(jù)掃描的結(jié)果為技術(shù)人員、部門領(lǐng)導(dǎo)生成不同的安全評(píng)估報(bào)告，為技術(shù)人員的生成報(bào)告列舉了所有的安全漏洞，分高、中、低三個(gè)風(fēng)險(xiǎn)級(jí)別，每個(gè)漏洞給出了詳細(xì)的說明并附修補(bǔ)建議，某些漏洞需要打補(bǔ)丁的還給出了下載網(wǎng)址。為管理人員生成的報(bào)告給出了匯總信息，使管理者了解整體12 / 22 文檔可自由編輯打印安全狀況，提供決策指導(dǎo)。利用 Database Scanner 定期的通過網(wǎng)絡(luò)快速、方便地

26、掃描數(shù)據(jù)庫(kù)，檢查數(shù)據(jù)庫(kù)特有的安全漏洞，自動(dòng)識(shí)別數(shù)據(jù)庫(kù)系統(tǒng)潛在的安全問題，全面評(píng)估數(shù)據(jù)庫(kù)存在的認(rèn)證、授權(quán)、完整性方等方面的缺陷。Database Scanner 目前支持的數(shù)據(jù)庫(kù)類型有：MS SQL Server、Oracle 和 Sybase。2.4.6部署建議部署建議建議可以考慮新增一個(gè) Database Scanner License 以實(shí)現(xiàn)對(duì) Billing Server 主機(jī)上所運(yùn)行的 Oracle 數(shù)據(jù)庫(kù)平臺(tái)進(jìn)行數(shù)據(jù)庫(kù)安全評(píng)估。同時(shí) Database Scanner 也可以采用風(fēng)險(xiǎn)評(píng)估服務(wù)的形式實(shí)施。13 / 22 文檔可自由編輯打印2.4.7漏洞掃描系統(tǒng)部署示意圖漏洞掃描系統(tǒng)部署示

27、意圖各地節(jié)點(diǎn)漏洞掃描系統(tǒng)產(chǎn)品部署示意圖Cisco7513Cisco7513Cisco7513Cisco75136509650986108610NASRadius寬帶城域網(wǎng)寬帶城域網(wǎng)省網(wǎng)省網(wǎng)14 / 22 文檔可自由編輯打印省網(wǎng)管中心漏洞掃描系統(tǒng)產(chǎn)品部署示意圖ISS ServerSUN SPARC20PrimaryDNSSUN E250Catalys8540HP VE5后臺(tái)維護(hù)工作站HP 6PCatalyst2800PIXBilling server 2Enterprise 4000RAID(DB )HABilling server 1Enterprise 4000AIWebState漫游認(rèn)證漫

28、游認(rèn)證SUN E3000節(jié)點(diǎn)節(jié)點(diǎn)GEPSTNAISB probeCatalys6506統(tǒng)計(jì)統(tǒng)計(jì)/查詢服務(wù)器查詢服務(wù)器SUN E3000FreeMailE3000ACESwitchLDAP ServerSUN E2FreeMailSUN E3000DiskVLAN3VLAN4Mail ServerSUN E3000DiskNMSHP C3000Backup ServerSUN U1SUN E450AINettrendSUN E3000AISerBaseVLAN1VLAN2省網(wǎng)管中心局域網(wǎng)結(jié)構(gòu)圖省網(wǎng)管中心局域網(wǎng)結(jié)構(gòu)圖PPPserverSUN E3000EMSserverSPARC20DSDS15

29、/ 22 文檔可自由編輯打印2.5 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)IDS防火墻的保護(hù)是必要的，但絕不是僅僅的保護(hù)手段，特別是在 XXX 通信這樣的運(yùn)營(yíng)商網(wǎng)絡(luò)，有著許多極其重要的應(yīng)用系統(tǒng)，能否正常運(yùn)行直接關(guān)系到相關(guān)業(yè)務(wù)能否正常開展。因此，網(wǎng)落還需要一種動(dòng)態(tài)和主動(dòng)的保護(hù)機(jī)制，時(shí)刻檢查和解析所有的訪問請(qǐng)求和內(nèi)容，一旦發(fā)現(xiàn)可疑的行為，及時(shí)作出適當(dāng)?shù)捻憫?yīng)，以保證將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。這種動(dòng)態(tài)的保護(hù)機(jī)制就是入侵檢測(cè)系統(tǒng)。ISS 公司的入侵檢測(cè)系統(tǒng)RealSecure 是業(yè)界第一個(gè)集成了基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。它可以最大限度地、全天候地監(jiān)控企業(yè)級(jí)的安全問題。RealSecure 入

30、侵檢測(cè)系統(tǒng)可以自動(dòng)地監(jiān)控分析網(wǎng)絡(luò)數(shù)據(jù)流、主機(jī)日志等，對(duì)可疑的事件作出響應(yīng)，在主機(jī)和網(wǎng)絡(luò)遭受破壞之前阻止非法入侵，并能記載入侵過程。 RealSecure 入侵檢測(cè)系統(tǒng)包含如下幾個(gè)部件： 網(wǎng)絡(luò)傳感器 Network Sensor、服務(wù)器傳感器 ServerSensor、桌面?zhèn)鞲衅?Desktop Protector 和工作組管理器 Workgroup Manager。網(wǎng)絡(luò)傳感器網(wǎng)絡(luò)傳感器Network Sensor 用來保護(hù)一個(gè)網(wǎng)絡(luò)。它靜靜地監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包及其內(nèi)容，能夠正確識(shí)別各種正在進(jìn)行的攻擊特征，一旦發(fā)現(xiàn)入侵行為，便可根據(jù)預(yù)定義的策略作出響應(yīng)，如阻斷入侵、發(fā)出警報(bào)、記錄事件、發(fā)

31、SNMP陷阱事件和郵件、執(zhí)行用戶自定義動(dòng)作甚至修改防火墻策略。通常，Network Sensor 由于需要獲取網(wǎng)絡(luò)數(shù)據(jù)流，需要安裝在網(wǎng)絡(luò)入口連接處，入口連接處如果使用共享式的 HUB，Network Sensor 直接連接在 HUB 上即可，如果使用交換機(jī)，則需對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行映射，通過配置交換機(jī)的調(diào)試口如 Cisco 的 Port Monitor 口或 SPAN 口來實(shí)現(xiàn)。為了進(jìn)一步提高安全性，Network Sensor 還可配置兩塊網(wǎng)卡，一塊無 IP，監(jiān)視網(wǎng)絡(luò)，這樣沒人能夠發(fā)現(xiàn)它的存在，另外一塊有IP，連接 Console，用于管理。服務(wù)器傳感器服務(wù)器傳感器：16 / 22 文檔可自由編

32、輯打印Server Sensor 用來保護(hù)用戶重要的信息資產(chǎn)，是業(yè)界最強(qiáng)大的主機(jī)保護(hù)產(chǎn)品。Server Sensor 融合了 Network Sensor 和 X-Force 組織的主機(jī)保護(hù)技術(shù)，它安裝在需要保護(hù)的服務(wù)器上，檢測(cè)所有進(jìn)入該服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)包，同時(shí)也可以解析相關(guān)日志信息。Server Sensor 處理速度極快，能夠直接用于千兆網(wǎng)卡的服務(wù)器，也可用于監(jiān)視底層加密的數(shù)據(jù)流如 IPsec，而通?；诰W(wǎng)絡(luò)的 IDS 產(chǎn)品不能識(shí)別加密的數(shù)據(jù)流。桌面?zhèn)鞲衅髯烂鎮(zhèn)鞲衅髯烂鎮(zhèn)鞲衅鳎≧ealSecure Desktop Protector，簡(jiǎn)稱 RDP）是企業(yè)和組織用來保護(hù)桌面機(jī)和移動(dòng)電腦的最佳

33、選擇。它創(chuàng)造性的結(jié)合了防火期、入侵檢測(cè)和應(yīng)用程序保護(hù)的最先進(jìn)技術(shù)，全面保護(hù)客戶個(gè)人電腦的安全。RDP 的個(gè)人防火墻可以阻斷來自互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)到您的 PC 的各種未授權(quán)的通信。RDP 入侵檢測(cè)組件采用和服務(wù)器傳感器相同的高速引擎，它分析系統(tǒng)行為和通信內(nèi)容中的可疑活動(dòng)，和防火墻組件自動(dòng)聯(lián)動(dòng)以阻止黑客的攻擊。應(yīng)用程序保護(hù)組件可以監(jiān)視系統(tǒng)上各種應(yīng)用程序的行為和通信，保護(hù)用戶的電腦免受未知的程序破壞。Workgroup Manager：Workgroup Manager 是 RealSecure 入侵檢測(cè)系統(tǒng)的中央管理器，集中、安全的為分布于企業(yè)各網(wǎng)段、關(guān)鍵服務(wù)器群組的網(wǎng)絡(luò)傳感器、主機(jī)傳感器提供集中管理

34、、配置、報(bào)告及實(shí)時(shí)報(bào)警。工作組管理器運(yùn)行在 Windows NT、Windows 2000 上。 RealSecure 入侵檢測(cè)系統(tǒng)采用先進(jìn)的三層分布式體系結(jié)構(gòu)，把集中在一臺(tái)管理器的幾個(gè)主要功能分成四個(gè)部件執(zhí)行，構(gòu)成工作組管理器系統(tǒng)。三層分布式體系結(jié)構(gòu)更加靈活，可伸縮性和可生存性更好。三層分布式結(jié)構(gòu)的核心就是中間層的事件收集器。事件收集器是控制臺(tái)和傳感器的樞紐，它負(fù)責(zé)從傳感器收集事件數(shù)據(jù)并傳送給控制臺(tái)和企業(yè)數(shù)據(jù)庫(kù)。事件收集的工作由獨(dú)立的部件完成，大大減輕了控制臺(tái)工作負(fù)荷。安全事件的數(shù)據(jù)隨著監(jiān)控的網(wǎng)絡(luò)規(guī)模的增大、安全事件的增多、安全審計(jì)的要求,數(shù)據(jù)量會(huì)成爆炸性增長(zhǎng)，因此對(duì)數(shù)據(jù)庫(kù)軟件和硬件平臺(tái)的要

35、求更高，數(shù)據(jù)存儲(chǔ)在中間層會(huì)增加安全性和提高性能，增加部署方案的靈活性。在三層分布式結(jié)構(gòu)中各部件可以運(yùn)行在一臺(tái)計(jì)算機(jī)上，也可以17 / 22 文檔可自由編輯打印分布運(yùn)行在多臺(tái)計(jì)算機(jī)上。各部件可以是一對(duì)多或者多對(duì)多的關(guān)系，例如,幾個(gè)控制臺(tái)可以共用一個(gè)資產(chǎn)數(shù)據(jù)庫(kù); 一個(gè)事件收集器可以管理許多臺(tái)傳感器并向若干控制臺(tái)傳送數(shù)據(jù)。2.5.1百兆百兆 NIDS 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署建議網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署建議為保證 XXX 通信省網(wǎng)管中心重要業(yè)務(wù)系統(tǒng)的安全可靠運(yùn)行，同時(shí)節(jié)約投資、方便部署，建議依如下方式配置百兆網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品RealSecure Network Sensor，便于實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的入侵檢測(cè)

36、：1在網(wǎng)管設(shè)備所在的網(wǎng)段的網(wǎng)絡(luò)交換機(jī)上配置 Port Mirror 功能 ，將RealSecure Network Sensor 直接與該交換機(jī)上的 Destination (SPAN) Port 相連，將與該交換機(jī)連接的防火墻 Intranet 端口所對(duì)應(yīng)的交換機(jī)端口設(shè)置為 Source (SPAN) Port，實(shí)現(xiàn)基于 SPAN 方式的網(wǎng)絡(luò)入侵檢測(cè)，所有由外網(wǎng)流入該網(wǎng)管網(wǎng)段的網(wǎng)絡(luò)流量和內(nèi)容都得到有效的實(shí)時(shí)檢測(cè)。另外增加一臺(tái)高檔 PC Server，用于安裝 RealSecure 的 Workgroup Manager入侵檢測(cè)系統(tǒng)中央控管平臺(tái)（包含事件收集器和管理控制臺(tái)，安全企業(yè)數(shù)據(jù)庫(kù)SQL

37、2000 等） ，實(shí)現(xiàn)對(duì) 2 臺(tái) RealSecure Network Sensor 的集中管理，升級(jí)，策略定制，分析與報(bào)告等功能。2.5.2入侵檢測(cè)系統(tǒng)部署圖入侵檢測(cè)系統(tǒng)部署圖省網(wǎng)管中心安全系統(tǒng)產(chǎn)品部署示意圖ISS ServerSUN SPARC20PrimaryDNSSUN E250Catalys8540HP VE5后臺(tái)維護(hù)工作站HP 6PCatalyst2800PIXBilling server 2Enterprise 4000RAID(DB )HABilling server 1Enterprise 4000AIWebState漫游認(rèn)證漫游認(rèn)證SUN E3000哈爾濱哈爾濱節(jié)點(diǎn)節(jié)點(diǎn)GE

38、PSTNAISB probeCatalys6506統(tǒng)計(jì)統(tǒng)計(jì)/查詢服務(wù)器查詢服務(wù)器SUN E3000FreeMailE3000ACESwitchLDAP ServerSUN E2FreeMailSUN E3000DiskVLAN3VLAN4Mail ServerSUN E3000DiskNMSHP C3000Backup ServerSUN U1SUN E450AINettrendSUN E3000AISerBaseVLAN1VLAN2黑龍江省網(wǎng)管中心局域網(wǎng)結(jié)構(gòu)圖黑龍江省網(wǎng)管中心局域網(wǎng)結(jié)構(gòu)圖PPPserverSUN E3000EMSserverSPARC20-IDS Workgroup Manager18 / 22 文檔可自由編輯打印圖 2.4 網(wǎng)絡(luò)入侵檢測(cè)部署示意圖2.6 方案總結(jié)方案總結(jié)本方案在充分考慮到 XXX 通信省網(wǎng)管中心和 7 個(gè)重要節(jié)點(diǎn)的安全需求及實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)，采用目前國(guó)際，國(guó)內(nèi)領(lǐng)先的相關(guān)安全技術(shù)，在保證安全體系總體性價(jià)比的前提下，重點(diǎn)考慮了在本方案中所有子系統(tǒng)相互之間的聯(lián)系，力爭(zhēng)建立一個(gè)具有有機(jī)聯(lián)系的整體安全體系。本安全方案建議在充分理解用戶需求的前提下，綜合考慮了多方面的因素，符合如下的設(shè)計(jì)要求：先進(jìn)性：所選產(chǎn)品都是業(yè)界最先進(jìn)的產(chǎn)品線，同時(shí)也提供業(yè)界最先進(jìn)和前沿的管理理念，使得客戶始終能夠和世界領(lǐng)先的