【正文】 到業(yè)務(wù)網(wǎng)段的安全等級 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 7 頁 共 31 頁 與安全隔離 。 任意一個 網(wǎng)段 對網(wǎng)絡(luò)業(yè)務(wù)的訪問都利用防火墻作了隔離，大大提高了網(wǎng)絡(luò)的安全性，在防止 攻擊、病毒 /蠕蟲 擴散等方面都能夠起到很大作用。 第三， 在原先網(wǎng)管系統(tǒng)的基礎(chǔ)上，建立新的網(wǎng)絡(luò)管理及安全管理網(wǎng)段，該網(wǎng)段集中了網(wǎng)管、審計、日志、 入侵檢測 及病毒管理中心等安全及網(wǎng)管主機，日常運維中通過各類安全技術(shù)收集整網(wǎng)安全信息，提供運維人員整網(wǎng)狀況。通過在6509 上實行一定的訪問控制及安全策略，限制其他網(wǎng)段對該網(wǎng)段的非正常訪問。從而確保該網(wǎng)段的安全性 。 第四， 在 6509 核心機上通過背板管理端口或端口鏡像技術(shù)將需要檢測網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對需要檢測的流量進行不間斷的檢測和報警 。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 8 頁 共 31 頁 網(wǎng)絡(luò)安全技術(shù) 防火墻系統(tǒng) VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務(wù)器防火墻E220 RmailE220 RDNS網(wǎng)管cc防火墻 防火墻VLANDMZVLANINTRUST安全審計系統(tǒng)入侵檢測系統(tǒng)管理端病毒控制管理中心 如 前 圖所示，根據(jù)廣電總局外 網(wǎng)整體安全層次的劃分需求，我們將對廣電總局外 網(wǎng)劃分 五 個安全等級： WEB 系統(tǒng)級 、 MAIL/備份 DNS 級、網(wǎng)絡(luò)管理級、普通用戶級、視頻服務(wù) /主 DNS 級 。 WEB 系統(tǒng)級 ：安全級別最高，包含廣電總局 官方網(wǎng)站主機 ， 由于廣電總局的網(wǎng)站是整個廣電系統(tǒng)的門戶站點及信息發(fā)布平臺，此 系統(tǒng) 容易成為入侵者的首選目標，且 發(fā)生問題 也會導致不良的政治影響 ，因此 對這類級別的安全防護需求最高 。 對于這類系統(tǒng)，建議使用兩臺防火墻工 作在 FAILOVER 模式下，通過在防 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 9 頁 共 31 頁 火墻上設(shè)置嚴格的策略，對每個需要訪問業(yè)務(wù)系統(tǒng)的用戶進行嚴格限制 。 MAIL/備份 DNS：安全級別僅次于 WEB 應(yīng)用系統(tǒng)，包含廣電總局的郵件應(yīng)用系統(tǒng)與備份 DNS 系統(tǒng)。其中，郵件系統(tǒng)是廣電系統(tǒng)應(yīng)用的必不可少的一個重要業(yè)務(wù)系統(tǒng)。而 DNS 系統(tǒng)如果受到攻擊而停止服務(wù)，也會導致整個網(wǎng)絡(luò)的癱瘓，備份 DNS 在主 DNS 受入侵或出現(xiàn)故障時可繼續(xù)提供域名解析服務(wù)。 網(wǎng)絡(luò) 管理級 ：安全級別次于 MAIL 及備份 DNS 系統(tǒng)，包含廣電總局外網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理系統(tǒng)，這類系統(tǒng)如果遭受入侵或干擾，將暴露 整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整網(wǎng)的安全狀況。 網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、配置、管理廣電總局外部網(wǎng)絡(luò)，這些系統(tǒng)擁有對網(wǎng)絡(luò)設(shè)備及主機一定的管理權(quán)限，并存貯整網(wǎng)的相關(guān)信息，所以需要對網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進行較高級別的安全防護，由于網(wǎng)管及安全管理系統(tǒng)需要開放的端口較多，因此我們建議在網(wǎng)絡(luò)管理級前不部署防火墻系統(tǒng)，依靠主機自身安全增強及強加密認證系統(tǒng)提高系統(tǒng)安全防護能力。 普通用戶級 ：安全級別較管理級低，用戶為總局內(nèi)部員工，由于用戶可直接訪問 Inter，因此，用戶對互聯(lián)網(wǎng)的訪問行為將帶來很大的危險性，我們 建議將所有用戶的出口訪問都通過最外層的防火墻進行安全策略的規(guī)范，防止由于用戶的有意或無意過時導致的安全隱患的發(fā)生。 視頻服務(wù) /主 DNS 級 ： 由于視頻服務(wù)的組播技術(shù)目前的防火墻不能夠很好的支持 ，因此我們將視頻服務(wù)獨立出來，不提供進一步的防火墻防護。 出 于防止單點故障的原因，我們建議將主備 DNS 系統(tǒng)分別放置在不同VLAN 內(nèi)，并分別配置不同網(wǎng)段的 IP 地址， 防止 由于拒絕服務(wù)攻擊造成兩臺 DNS同時停止服務(wù)（注： 2020 年微軟公司 4 臺 DNS 服務(wù)器由于其中 3 臺部署在一個C 類地址內(nèi)，而造成該三臺 DNS 主機同時被拒絕服務(wù)攻擊導 致大面積主機地址無法解析）。因此，我們建議將主 DNS 服務(wù)器至于此網(wǎng)段內(nèi)。 由以上五 個安全等級劃分出發(fā)。我們在對網(wǎng)絡(luò)機構(gòu)調(diào)整的基礎(chǔ)上，將利用防火墻技術(shù)對不同安全等級的系統(tǒng)進行安全等級的劃分，不同等級之間的訪問依靠防火墻策略進行嚴格規(guī)定，確保在防火墻規(guī)范下的網(wǎng)絡(luò)中的流量模型是包含實際 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 10 頁 共 31 頁 業(yè)務(wù)模型的最小集合。 防火墻上實施如下策略 原則如下 ： 1. 默認關(guān)閉防火墻上的所有訪問規(guī)則 2. 允許內(nèi)網(wǎng)訪問 DMZ 口的必要服務(wù) 3. 禁止 DMZ 口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng) 、外網(wǎng)到 DMZ 的訪問 4. 允許內(nèi)網(wǎng)、 DMZ 對外網(wǎng)的訪問，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全考慮 入侵檢測技術(shù)是當今一種非常重要的動態(tài)安全技術(shù)，與 傳統(tǒng) 的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護水平。 ICSA 入侵檢測系統(tǒng)論壇的定義即：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象 (的一種安全技術(shù) )。入侵檢測技術(shù)是動態(tài)安全技術(shù)的核心技術(shù)之一。 入侵檢測技術(shù)通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)： 1. 異常發(fā)現(xiàn)技術(shù)。 2. 模式發(fā)現(xiàn)技術(shù)。 目前，國際頂尖的入侵檢測系統(tǒng) IDS 主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。 基于以下 因素 的考慮，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 1. 網(wǎng)絡(luò)的快速增長和復雜程度的提高將產(chǎn)生大量的安全隱患 。我們必須及時高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。 2. 廣電總局 自身網(wǎng)絡(luò)系統(tǒng) 的結(jié)構(gòu) 目前雖然并不 復雜， 但隨著 出口鏈路帶寬的提高 和網(wǎng)絡(luò)規(guī)模的發(fā)展， 為了進一步的提高安全事件的即時響應(yīng)和舉 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 11 頁 共 31 頁 證能力 ，必須具備某種手段對可能 的有意或無意的攻擊作出檢測、告警并留下證據(jù)。 3. 雖然在 上述的改造方案中已經(jīng)為 廣電總局 外網(wǎng) 部署了防火墻，對 網(wǎng)段起到了一定的保護作用，但是很多攻擊手法是防火墻無法阻擋的，比如對Web Server 的基于異常 URL的攻擊，具體體現(xiàn)的例子有 Code Red、 Nimda等等很多。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問題之一。 4. 防火墻雖然可以擋住某些攻擊，但是通常無法留下細節(jié)的攻擊記錄，這對分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測系統(tǒng)剛好可以解決這一問題。 5. 為了規(guī)范廣電總局外 網(wǎng)用戶 對 Inter 的 訪問 行為，同時提供一種對用戶訪問行為的監(jiān)控機制和與相關(guān) 管理制度的執(zhí)行對照機制，依靠基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以提供一 定 時期內(nèi)基于用戶或基于協(xié)議的 訪問統(tǒng)計數(shù)據(jù)，用來更好的檢驗相關(guān)管理制度的執(zhí)行情況，為后期網(wǎng)絡(luò)策略的調(diào)整和規(guī)劃提供依據(jù)。 在選擇入侵監(jiān)測系統(tǒng)時需要考慮的因素主要有： 1. 管理模式 2. 協(xié)議分析及檢測能力； 3. 解碼效率 (速度 )； 4. 自身安全的完備性； 5. 精確度及完整度，防欺騙能力； 6. 模式更新速度。 根據(jù) 廣電總局 的具體網(wǎng)絡(luò)狀況 ，我們在 廣電總局外 網(wǎng) 中 部署 一套 套基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 這套入侵檢測系統(tǒng) 部署在 核心交換機上，（由于性能問題，原則上不對視頻點播系統(tǒng)進行檢測） 。 檢 測所有 來自 Inter 對 WEB、 MAIL 及 DNS 的請求和 用 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 12 頁 共 31 頁 戶對 Interd 的訪問 情況。 網(wǎng)絡(luò) IDS 系統(tǒng)主機都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用 于接受管理中心的管理。需要在防火墻和交換機上設(shè)置相應(yīng)規(guī)則以保護 入侵檢測 主機。 此外，在核心 交換機上設(shè)置 Port Mirror 將 需要檢測 的 VLAN 的流量映射到對應(yīng) 的監(jiān)聽網(wǎng)卡所連接的端口。 同時， 在 管理 網(wǎng)段再配置一臺 PC Server，安裝 入侵檢測系統(tǒng)的管理端 ， 如果未來由于擴容等性能問題需要增加網(wǎng)絡(luò)入侵檢測 系統(tǒng) 時， 該管理端 可做 為全部入侵檢測系統(tǒng)的集中控制 臺。 SiSi SiSiNetwork IDS 廣電總局 網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測系統(tǒng)部署拓撲圖 安全審計系統(tǒng) 網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機開放服務(wù)，同時模擬黑客入侵對主機或網(wǎng)絡(luò)設(shè)備進行偵測性刺探，從而發(fā)現(xiàn)主機或網(wǎng)絡(luò)設(shè)備的安全漏洞。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實時檢測網(wǎng)絡(luò)漏洞，另一方面，也是進行全網(wǎng)安全審計的重要工具。 我們建議 在廣電總局外 網(wǎng)部署網(wǎng)絡(luò)掃描軟件。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對外 網(wǎng)各業(yè)務(wù)系統(tǒng)及用戶主機定期進行掃描審計，并存貯相關(guān)審計信息。 對于網(wǎng)絡(luò)掃描審計產(chǎn)品的選型，考慮如下因素： 體 系結(jié)構(gòu)： Client/Server 結(jié)構(gòu)的掃描審計軟件具有集中管理的優(yōu)勢，利于電信環(huán)境部署及擴展； 攻擊模式庫數(shù)量：應(yīng)對多種攻擊模式均支持； 軟件更新速度快； 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 13 頁 共 31 頁 中文化和本地化支持； 建議掃描審計軟件對全網(wǎng)主機和設(shè)備的安全審計信息均存放在管理網(wǎng)段的數(shù)據(jù)庫中，其中包括主機的操作系統(tǒng)版本、漏洞情況、 patch 情況等安全信息。一方面，網(wǎng)管人