【正文】 到業(yè)務(wù)網(wǎng)段的安全等級(jí) 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 7 頁(yè) 共 31 頁(yè) 與安全隔離 。 任意一個(gè) 網(wǎng)段 對(duì)網(wǎng)絡(luò)業(yè)務(wù)的訪問都利用防火墻作了隔離，大大提高了網(wǎng)絡(luò)的安全性，在防止 攻擊、病毒 /蠕蟲 擴(kuò)散等方面都能夠起到很大作用。 第三， 在原先網(wǎng)管系統(tǒng)的基礎(chǔ)上，建立新的網(wǎng)絡(luò)管理及安全管理網(wǎng)段，該網(wǎng)段集中了網(wǎng)管、審計(jì)、日志、 入侵檢測(cè) 及病毒管理中心等安全及網(wǎng)管主機(jī)，日常運(yùn)維中通過各類安全技術(shù)收集整網(wǎng)安全信息，提供運(yùn)維人員整網(wǎng)狀況。通過在6509 上實(shí)行一定的訪問控制及安全策略，限制其他網(wǎng)段對(duì)該網(wǎng)段的非正常訪問。從而確保該網(wǎng)段的安全性 。 第四， 在 6509 核心機(jī)上通過背板管理端口或端口鏡像技術(shù)將需要檢測(cè)網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對(duì)需要檢測(cè)的流量進(jìn)行不間斷的檢測(cè)和報(bào)警 。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 8 頁(yè) 共 31 頁(yè) 網(wǎng)絡(luò)安全技術(shù) 防火墻系統(tǒng) VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務(wù)器防火墻E220 RmailE220 RDNS網(wǎng)管cc防火墻 防火墻VLANDMZVLANINTRUST安全審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)管理端病毒控制管理中心 如 前 圖所示，根據(jù)廣電總局外 網(wǎng)整體安全層次的劃分需求，我們將對(duì)廣電總局外 網(wǎng)劃分 五 個(gè)安全等級(jí)： WEB 系統(tǒng)級(jí) 、 MAIL/備份 DNS 級(jí)、網(wǎng)絡(luò)管理級(jí)、普通用戶級(jí)、視頻服務(wù) /主 DNS 級(jí) 。 WEB 系統(tǒng)級(jí) ：安全級(jí)別最高，包含廣電總局 官方網(wǎng)站主機(jī) ， 由于廣電總局的網(wǎng)站是整個(gè)廣電系統(tǒng)的門戶站點(diǎn)及信息發(fā)布平臺(tái)，此 系統(tǒng) 容易成為入侵者的首選目標(biāo)，且 發(fā)生問題 也會(huì)導(dǎo)致不良的政治影響 ，因此 對(duì)這類級(jí)別的安全防護(hù)需求最高 。 對(duì)于這類系統(tǒng)，建議使用兩臺(tái)防火墻工 作在 FAILOVER 模式下，通過在防 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 9 頁(yè) 共 31 頁(yè) 火墻上設(shè)置嚴(yán)格的策略，對(duì)每個(gè)需要訪問業(yè)務(wù)系統(tǒng)的用戶進(jìn)行嚴(yán)格限制 。 MAIL/備份 DNS：安全級(jí)別僅次于 WEB 應(yīng)用系統(tǒng)，包含廣電總局的郵件應(yīng)用系統(tǒng)與備份 DNS 系統(tǒng)。其中，郵件系統(tǒng)是廣電系統(tǒng)應(yīng)用的必不可少的一個(gè)重要業(yè)務(wù)系統(tǒng)。而 DNS 系統(tǒng)如果受到攻擊而停止服務(wù)，也會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓，備份 DNS 在主 DNS 受入侵或出現(xiàn)故障時(shí)可繼續(xù)提供域名解析服務(wù)。 網(wǎng)絡(luò) 管理級(jí) ：安全級(jí)別次于 MAIL 及備份 DNS 系統(tǒng)，包含廣電總局外網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理系統(tǒng)，這類系統(tǒng)如果遭受入侵或干擾，將暴露 整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整網(wǎng)的安全狀況。 網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、配置、管理廣電總局外部網(wǎng)絡(luò)，這些系統(tǒng)擁有對(duì)網(wǎng)絡(luò)設(shè)備及主機(jī)一定的管理權(quán)限，并存貯整網(wǎng)的相關(guān)信息，所以需要對(duì)網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進(jìn)行較高級(jí)別的安全防護(hù)，由于網(wǎng)管及安全管理系統(tǒng)需要開放的端口較多，因此我們建議在網(wǎng)絡(luò)管理級(jí)前不部署防火墻系統(tǒng)，依靠主機(jī)自身安全增強(qiáng)及強(qiáng)加密認(rèn)證系統(tǒng)提高系統(tǒng)安全防護(hù)能力。 普通用戶級(jí) ：安全級(jí)別較管理級(jí)低，用戶為總局內(nèi)部員工，由于用戶可直接訪問 Inter，因此，用戶對(duì)互聯(lián)網(wǎng)的訪問行為將帶來很大的危險(xiǎn)性，我們 建議將所有用戶的出口訪問都通過最外層的防火墻進(jìn)行安全策略的規(guī)范，防止由于用戶的有意或無意過時(shí)導(dǎo)致的安全隱患的發(fā)生。 視頻服務(wù) /主 DNS 級(jí) ： 由于視頻服務(wù)的組播技術(shù)目前的防火墻不能夠很好的支持 ，因此我們將視頻服務(wù)獨(dú)立出來，不提供進(jìn)一步的防火墻防護(hù)。 出 于防止單點(diǎn)故障的原因，我們建議將主備 DNS 系統(tǒng)分別放置在不同VLAN 內(nèi)，并分別配置不同網(wǎng)段的 IP 地址， 防止 由于拒絕服務(wù)攻擊造成兩臺(tái) DNS同時(shí)停止服務(wù)（注： 2020 年微軟公司 4 臺(tái) DNS 服務(wù)器由于其中 3 臺(tái)部署在一個(gè)C 類地址內(nèi)，而造成該三臺(tái) DNS 主機(jī)同時(shí)被拒絕服務(wù)攻擊導(dǎo) 致大面積主機(jī)地址無法解析）。因此，我們建議將主 DNS 服務(wù)器至于此網(wǎng)段內(nèi)。 由以上五 個(gè)安全等級(jí)劃分出發(fā)。我們?cè)趯?duì)網(wǎng)絡(luò)機(jī)構(gòu)調(diào)整的基礎(chǔ)上，將利用防火墻技術(shù)對(duì)不同安全等級(jí)的系統(tǒng)進(jìn)行安全等級(jí)的劃分，不同等級(jí)之間的訪問依靠防火墻策略進(jìn)行嚴(yán)格規(guī)定，確保在防火墻規(guī)范下的網(wǎng)絡(luò)中的流量模型是包含實(shí)際 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 10 頁(yè) 共 31 頁(yè) 業(yè)務(wù)模型的最小集合。 防火墻上實(shí)施如下策略 原則如下 ： 1. 默認(rèn)關(guān)閉防火墻上的所有訪問規(guī)則 2. 允許內(nèi)網(wǎng)訪問 DMZ 口的必要服務(wù) 3. 禁止 DMZ 口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng) 、外網(wǎng)到 DMZ 的訪問 4. 允許內(nèi)網(wǎng)、 DMZ 對(duì)外網(wǎng)的訪問，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的安全考慮 入侵檢測(cè)技術(shù)是當(dāng)今一種非常重要的動(dòng)態(tài)安全技術(shù)，與 傳統(tǒng) 的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。 ICSA 入侵檢測(cè)系統(tǒng)論壇的定義即：通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象 (的一種安全技術(shù) )。入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一。 入侵檢測(cè)技術(shù)通過對(duì)入侵行為的過程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過程能做出實(shí)時(shí)響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)： 1. 異常發(fā)現(xiàn)技術(shù)。 2. 模式發(fā)現(xiàn)技術(shù)。 目前，國(guó)際頂尖的入侵檢測(cè)系統(tǒng) IDS 主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。 基于以下 因素 的考慮，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 1. 網(wǎng)絡(luò)的快速增長(zhǎng)和復(fù)雜程度的提高將產(chǎn)生大量的安全隱患 。我們必須及時(shí)高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。 2. 廣電總局 自身網(wǎng)絡(luò)系統(tǒng) 的結(jié)構(gòu) 目前雖然并不 復(fù)雜， 但隨著 出口鏈路帶寬的提高 和網(wǎng)絡(luò)規(guī)模的發(fā)展， 為了進(jìn)一步的提高安全事件的即時(shí)響應(yīng)和舉 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 11 頁(yè) 共 31 頁(yè) 證能力 ，必須具備某種手段對(duì)可能 的有意或無意的攻擊作出檢測(cè)、告警并留下證據(jù)。 3. 雖然在 上述的改造方案中已經(jīng)為 廣電總局 外網(wǎng) 部署了防火墻，對(duì) 網(wǎng)段起到了一定的保護(hù)作用，但是很多攻擊手法是防火墻無法阻擋的，比如對(duì)Web Server 的基于異常 URL的攻擊，具體體現(xiàn)的例子有 Code Red、 Nimda等等很多。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問題之一。 4. 防火墻雖然可以擋住某些攻擊，但是通常無法留下細(xì)節(jié)的攻擊記錄，這對(duì)分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測(cè)系統(tǒng)剛好可以解決這一問題。 5. 為了規(guī)范廣電總局外 網(wǎng)用戶 對(duì) Inter 的 訪問 行為，同時(shí)提供一種對(duì)用戶訪問行為的監(jiān)控機(jī)制和與相關(guān) 管理制度的執(zhí)行對(duì)照機(jī)制，依靠基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以提供一 定 時(shí)期內(nèi)基于用戶或基于協(xié)議的 訪問統(tǒng)計(jì)數(shù)據(jù)，用來更好的檢驗(yàn)相關(guān)管理制度的執(zhí)行情況，為后期網(wǎng)絡(luò)策略的調(diào)整和規(guī)劃提供依據(jù)。 在選擇入侵監(jiān)測(cè)系統(tǒng)時(shí)需要考慮的因素主要有： 1. 管理模式 2. 協(xié)議分析及檢測(cè)能力； 3. 解碼效率 (速度 )； 4. 自身安全的完備性； 5. 精確度及完整度，防欺騙能力； 6. 模式更新速度。 根據(jù) 廣電總局 的具體網(wǎng)絡(luò)狀況 ，我們?cè)?廣電總局外 網(wǎng) 中 部署 一套 套基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 這套入侵檢測(cè)系統(tǒng) 部署在 核心交換機(jī)上，（由于性能問題，原則上不對(duì)視頻點(diǎn)播系統(tǒng)進(jìn)行檢測(cè)） 。 檢 測(cè)所有 來自 Inter 對(duì) WEB、 MAIL 及 DNS 的請(qǐng)求和 用 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 12 頁(yè) 共 31 頁(yè) 戶對(duì) Interd 的訪問 情況。 網(wǎng)絡(luò) IDS 系統(tǒng)主機(jī)都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用 于接受管理中心的管理。需要在防火墻和交換機(jī)上設(shè)置相應(yīng)規(guī)則以保護(hù) 入侵檢測(cè) 主機(jī)。 此外，在核心 交換機(jī)上設(shè)置 Port Mirror 將 需要檢測(cè) 的 VLAN 的流量映射到對(duì)應(yīng) 的監(jiān)聽網(wǎng)卡所連接的端口。 同時(shí)， 在 管理 網(wǎng)段再配置一臺(tái) PC Server，安裝 入侵檢測(cè)系統(tǒng)的管理端 ， 如果未來由于擴(kuò)容等性能問題需要增加網(wǎng)絡(luò)入侵檢測(cè) 系統(tǒng) 時(shí)， 該管理端 可做 為全部入侵檢測(cè)系統(tǒng)的集中控制 臺(tái)。 SiSi SiSiNetwork IDS 廣電總局 網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測(cè)系統(tǒng)部署拓?fù)鋱D 安全審計(jì)系統(tǒng) 網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機(jī)開放服務(wù)，同時(shí)模擬黑客入侵對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備進(jìn)行偵測(cè)性刺探，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)設(shè)備的安全漏洞。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)漏洞，另一方面，也是進(jìn)行全網(wǎng)安全審計(jì)的重要工具。 我們建議 在廣電總局外 網(wǎng)部署網(wǎng)絡(luò)掃描軟件。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對(duì)外 網(wǎng)各業(yè)務(wù)系統(tǒng)及用戶主機(jī)定期進(jìn)行掃描審計(jì)，并存貯相關(guān)審計(jì)信息。 對(duì)于網(wǎng)絡(luò)掃描審計(jì)產(chǎn)品的選型，考慮如下因素： 體 系結(jié)構(gòu)： Client/Server 結(jié)構(gòu)的掃描審計(jì)軟件具有集中管理的優(yōu)勢(shì)，利于電信環(huán)境部署及擴(kuò)展； 攻擊模式庫(kù)數(shù)量：應(yīng)對(duì)多種攻擊模式均支持； 軟件更新速度快； 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 13 頁(yè) 共 31 頁(yè) 中文化和本地化支持； 建議掃描審計(jì)軟件對(duì)全網(wǎng)主機(jī)和設(shè)備的安全審計(jì)信息均存放在管理網(wǎng)段的數(shù)據(jù)庫(kù)中，其中包括主機(jī)的操作系統(tǒng)版本、漏洞情況、 patch 情況等安全信息。一方面，網(wǎng)管人