【正文】 事件不斷地發(fā)生，安全問(wèn)題也已成為 IT 業(yè)的一個(gè)熱點(diǎn)，安全問(wèn)題對(duì)于 XX 企業(yè)的發(fā)展也越來(lái)越重要 。 安全問(wèn)題已經(jīng)成為影響 XX 企業(yè) 業(yè)務(wù)平臺(tái)的穩(wěn)定性和業(yè)務(wù)的正常提供的一個(gè)問(wèn)題，所以提升我們 XX 企業(yè)自身的安全性也已經(jīng)成為 XX 企業(yè)增強(qiáng) 企業(yè) 競(jìng)爭(zhēng)力的重要方面之一。 XX 企業(yè)集團(tuán)是國(guó)家重點(diǎn)支持的 520 家工業(yè)企業(yè)大型支柱產(chǎn)業(yè)集團(tuán)之一。隨著信息技術(shù)的迅猛發(fā)展， XX 企業(yè)集團(tuán)領(lǐng)導(dǎo)充分認(rèn)識(shí)到網(wǎng)絡(luò)安全建設(shè)的重要性，為了更好的開(kāi)展生產(chǎn)、科研工作，決 定對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全技術(shù)改造。 項(xiàng)目概述 本次信息安全項(xiàng)目包括 XX 企業(yè)集團(tuán)下屬企業(yè)、附屬機(jī)構(gòu)和分支機(jī)構(gòu)的網(wǎng)絡(luò)安全系統(tǒng) 建設(shè)所需的相關(guān)設(shè)備、軟件以及方案詳細(xì)設(shè)計(jì)、系統(tǒng)集成、 管理制度的建立、 培訓(xùn)、技術(shù)支持與服務(wù)等內(nèi)容。 實(shí)施是在網(wǎng)絡(luò)現(xiàn)有應(yīng)用基礎(chǔ)上的改造，對(duì)網(wǎng)絡(luò)整體的安全加固，所以在上新的系統(tǒng)時(shí)不能影響原有系統(tǒng)應(yīng)用的整體性能。 建立整體網(wǎng)絡(luò)安全體系； 建設(shè)整體的防病毒體系，保證網(wǎng)絡(luò)病毒不會(huì)由公司主干網(wǎng)傳入專(zhuān)網(wǎng)，保證遠(yuǎn)程 VPN 網(wǎng)絡(luò)或用戶的病毒不會(huì)傳入公司主干網(wǎng)； 對(duì)于 INTERNET 上新 病毒 的反應(yīng)、處理速度，比 如當(dāng)時(shí)“震蕩波”病毒，要在“黃金響應(yīng)”時(shí)間內(nèi)通知如何防范和相應(yīng)補(bǔ)丁，在沒(méi)有擴(kuò)散到大范圍及時(shí) 發(fā)現(xiàn)病毒；如果內(nèi)網(wǎng)存在病毒，能夠?qū)ζ涠ㄎ唬涝谀膫€(gè)機(jī)器上，是哪種病毒，能夠清除并有相應(yīng)的日志； 保證系統(tǒng)服務(wù)器、 生產(chǎn)專(zhuān)網(wǎng) 、電話站專(zhuān)網(wǎng) 的 高可用性、抗攻擊性； 能夠查詢誰(shuí)在什么時(shí)間、什么地點(diǎn)、用什么方式訪問(wèn)了什么網(wǎng)絡(luò)資源，上了什么網(wǎng)站，要有分用戶、分時(shí)間段、分服務(wù)類(lèi)別的詳細(xì)清單及統(tǒng)計(jì)報(bào)表； 強(qiáng)制性管理終端用戶設(shè)備，并按照統(tǒng)一規(guī)劃的不同策略管理不同的終端用戶設(shè)備或終端用戶設(shè)備組； 能夠及時(shí)覺(jué)知誰(shuí)在攻擊或在探測(cè)網(wǎng)絡(luò)，并及時(shí)阻 斷攻擊以及非法探測(cè)并有詳細(xì)的日志，在發(fā)生外部入侵進(jìn)來(lái)時(shí)，必須及時(shí)報(bào)警并發(fā)郵件到管理人員郵箱，并提供相應(yīng)的策略； 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 4 總機(jī)： 01082611122 網(wǎng)址： 對(duì)公司內(nèi)網(wǎng)的安全能夠做到：誰(shuí)在用非法手段掃描、攻擊服務(wù)器或別人的機(jī)器，誰(shuí)私自改 IP 地址，新的機(jī)器接入內(nèi)網(wǎng)或非法上外網(wǎng)，不能隨便安裝、卸載軟件等等。對(duì)這些違反規(guī)定的機(jī)器要有相應(yīng)的日志，并可以進(jìn)行阻斷； 對(duì)本公司內(nèi)的生產(chǎn)子網(wǎng)要做好安全隔離，即使 XX 企業(yè)主干網(wǎng)上有病毒在傳播但不能傳到該子網(wǎng)中去，該子網(wǎng)只保留一些必要的數(shù)據(jù)通訊端口與主干網(wǎng)絡(luò)通訊，其他端口必須屏蔽掉。 評(píng)估網(wǎng)絡(luò)及主要的服務(wù)器、明確應(yīng)用存在哪 些漏洞及其補(bǔ)救措施， 當(dāng)前發(fā)現(xiàn)的所有漏洞得到彌補(bǔ)，不能彌補(bǔ)的 要 有應(yīng)急措施預(yù)案 ； 各種系統(tǒng)具備完善的日志及審計(jì)功能，可以追溯安全事件，可以按照不同的方式出具各種報(bào)表； 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 5 總機(jī)： 01082611122 網(wǎng)址： 第二章 XX 企業(yè)信息網(wǎng)絡(luò)的整體安全體系設(shè)計(jì) 信息安全體系設(shè)計(jì)原則 XX 企業(yè)信息安全保障系統(tǒng)涉及到整個(gè)工程的各個(gè)層次，網(wǎng)絡(luò)和信息安全方案的設(shè)計(jì)遵循以下原則： ● 整體安全 XX 企業(yè)信息安全保障系統(tǒng)的是一個(gè)復(fù)雜的安全系統(tǒng)工程，對(duì)安全的需求是任何一種單元技術(shù)都無(wú)法解決的。必須從一個(gè)完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個(gè)環(huán)節(jié)，綜合使用各層次的 各種安全手段，為信息網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供全方位安全服務(wù)。 ● 有效管理 沒(méi)有有效的安全管理（如防火墻監(jiān)控、審計(jì)日志的分析等等），各種安全機(jī)制的有效性很難保證。 XX 企業(yè)信息安全保障系統(tǒng)所提供的各種安全服務(wù)，涉及到各個(gè)層次、多個(gè)實(shí)體和各種安全技術(shù)，只有有效的安全管理才能保證這些安全控制機(jī)制真正有效地發(fā)揮作用； ● 合理折衷 在 XX 企業(yè)信息安全保障系統(tǒng)的建設(shè)過(guò)程中，單純考慮安全而不惜一切代價(jià)是不合理的。安全與花費(fèi)、系統(tǒng)性能、易用性、管理的復(fù)雜性都是矛盾的，安全保障體系的設(shè)計(jì)應(yīng)該在以上四個(gè)方面找到一個(gè)合理的折衷點(diǎn)，在 可接受的風(fēng)險(xiǎn)范圍內(nèi)，以最小的投資換取最大的安全性，同時(shí)不因性能開(kāi)銷(xiāo)和使用、管理的復(fù)雜而影響整個(gè)系統(tǒng)高效運(yùn)行的總體目標(biāo)。 ● 責(zé)權(quán)分明 采用分層、分級(jí)管理的模式：一方面， XX 企業(yè)信息系統(tǒng)可以分為三層：信息網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和應(yīng)用系統(tǒng)；另一方面，網(wǎng)絡(luò)和應(yīng)用系統(tǒng)都有中心、下屬等的分級(jí)結(jié)構(gòu)。各級(jí)網(wǎng)絡(luò)管理中心負(fù)責(zé)網(wǎng)絡(luò)的安全可靠運(yùn)行，為應(yīng)用信息系統(tǒng)提供安全可靠的網(wǎng)絡(luò)服務(wù)，各級(jí)信息中心負(fù)責(zé)計(jì)算機(jī)系統(tǒng)和應(yīng)用系統(tǒng)的安全管理。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 6 總機(jī)： 01082611122 網(wǎng)址： ● 綜合治理 XX 企業(yè)信息系統(tǒng)的安全建設(shè)是一個(gè)系統(tǒng)工程，信息網(wǎng)絡(luò)的安全同樣也絕不僅僅是一個(gè)技術(shù)問(wèn)題，各 種安全技術(shù)應(yīng)該與運(yùn)行管理。機(jī)制、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合，從社會(huì)系統(tǒng)工程的角度綜合考慮。 信息安全體系結(jié)構(gòu)分析 XX 企業(yè)信息系統(tǒng)對(duì)安全的需求是任何一種單元安全技術(shù)都無(wú)法解決的。安全方案的設(shè)計(jì)必須以科學(xué)的安全體系結(jié)構(gòu)模型為依據(jù)，才能保障整個(gè)安全體系的完備性、合理性。 在信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)的研究表明，想要從一個(gè)角度得出整個(gè)信息系統(tǒng)完整的安全模型是很困難的。借鑒美國(guó)國(guó)防部 DISSP 計(jì)劃中的安全框架，我們提出了適合 XX 企業(yè)信息系統(tǒng)的安全體系結(jié)構(gòu)模型。該模型由安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個(gè) 層面描述，且在每個(gè)層面上，都包含安全管理的內(nèi)容。該模型在整體上表現(xiàn)為一個(gè)三線立體框架結(jié)構(gòu)。 信息網(wǎng)絡(luò)安全體系結(jié)構(gòu) 安全服務(wù)取自于國(guó)際標(biāo)準(zhǔn)化組織制訂的安全體系結(jié)構(gòu)模型 ISO7498，我們?cè)?ISO7498 的基礎(chǔ)上增加了審計(jì)功能和可用性服務(wù)。 協(xié)議層次的劃分參照 TCP／ IP 協(xié)議的分層模型。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 7 總機(jī)： 01082611122 網(wǎng)址： 系統(tǒng)單元給出了信息網(wǎng)絡(luò)系統(tǒng)的組成。 安全管理涉及到所有協(xié)議層次、所有單元的安全服務(wù)和安全機(jī)制的管理。安全管理涉及兩方面的內(nèi)容：各種安全技術(shù)的管理和安全管理制度。 安全服務(wù)模型 國(guó)際標(biāo)準(zhǔn)化組織所定義的安全體系結(jié)構(gòu)中包括五組重 要的安全服務(wù)，這些安全服務(wù)反映了信息系統(tǒng)的安全需求。這五種服務(wù)并不是相互獨(dú)立的，而且不同的應(yīng)用環(huán)境有不同的程度的要求，我們?cè)趫D中給出了主要安全服務(wù)之間的邏輯關(guān)系。 各種安全服務(wù)之間的邏輯關(guān)系 在不同的協(xié)議層次，實(shí)體都有主體和客體（或資源）之分：在網(wǎng)絡(luò)層，對(duì)主體和資源的識(shí)別以主機(jī)或協(xié)議端口為粒度，認(rèn)證服務(wù)主要指主機(jī)地址的認(rèn)證，網(wǎng)絡(luò)層的訪問(wèn)控制主要指防火墻等過(guò)濾機(jī)制；在應(yīng)用系統(tǒng)中，主體的識(shí)別以用戶為粒度，客體是業(yè)務(wù)信息資源，認(rèn)證是指用戶身份認(rèn)證和應(yīng)用服務(wù)的認(rèn)證，訪問(wèn)控制的粒度可以具體到某種操作，如對(duì)數(shù)據(jù)項(xiàng)的 追加、修改和刪除。在開(kāi)放式應(yīng)用環(huán)境中，主體與客體的雙向認(rèn)證非常重要。 從這一模型可以得出如下結(jié)論：對(duì)資源的訪問(wèn)控制是安全保密的核心，而對(duì)實(shí)體的（用戶、主機(jī)、服務(wù)）認(rèn)證是訪問(wèn)控制的前提。 協(xié)議層次安全模型 從網(wǎng)絡(luò)體系結(jié)構(gòu)的協(xié)議層次角度考察安全體系結(jié)構(gòu)，我們得到了網(wǎng)絡(luò)安全 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 8 總機(jī)： 01082611122 網(wǎng)址： 的協(xié)議層次模型，如圖所示，圖中實(shí)現(xiàn)上述安全服務(wù)的各種安全機(jī)制，并給出了它們?cè)趨f(xié)議層次中的位置。該模型與 OSI 體系結(jié)構(gòu)一致。 協(xié)議層次模型 安全實(shí)體單元 在工程實(shí)施階段，各種安全服務(wù)、各協(xié)議的安全機(jī)制最終要落實(shí)到物理實(shí)體單元。如圖所示，從實(shí)體 單元角度來(lái)看，安全體系結(jié)構(gòu)可以分成以下層次： ● 物理環(huán)境安全。 ● 端系統(tǒng)安全，主要保護(hù)網(wǎng)絡(luò)環(huán)境下端系統(tǒng)的自身的安全。 ● 網(wǎng)絡(luò)通信安全，一則保障網(wǎng)絡(luò)自身的安全可靠運(yùn)行，保證網(wǎng)絡(luò)的可用性；二則為業(yè)務(wù)數(shù)據(jù)提供完整性、保密性的安全服務(wù)。 ● 應(yīng)用系統(tǒng)安全，為某種或多種應(yīng)用提供用戶認(rèn)證、數(shù)據(jù)保密性、完整性以及授權(quán)與訪問(wèn)控制服務(wù)等。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 9 總機(jī)： 01082611122 網(wǎng)址： 系統(tǒng)單元安全模型 其中，安全政策是制定安全方案和各項(xiàng)管理制度的依據(jù)，安全政策是有一定的生命周期的，一般要經(jīng)歷風(fēng)險(xiǎn)分析、安全政策制定、安全方案和管理制度的實(shí)施、安全審計(jì)和后評(píng)估、四 個(gè)階段。 安全管理是各項(xiàng)安全措施能夠有效發(fā)揮作用的重要保證。安全管理的內(nèi)容可以分成安全技術(shù)管理和安兮管理制度兩部分。安全技術(shù)的管理包括安全服務(wù)的激活和關(guān)閉、安全相關(guān)參數(shù)的分發(fā)與更新、安全相關(guān)事件的收集與告警等。 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 10 總機(jī)： 01082611122 網(wǎng)址： 第三章 XX 企業(yè)信息網(wǎng)絡(luò)的安全現(xiàn)狀和需求分析 隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)成為信息高速公路，人們利用網(wǎng)絡(luò)來(lái)獲取和發(fā)布信息，處理和共享數(shù)據(jù)。但是網(wǎng)絡(luò)協(xié)議本身的缺陷、計(jì)算機(jī)軟件的安全漏洞，對(duì)網(wǎng)絡(luò)安全的忽視給計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)帶來(lái)極大的風(fēng)險(xiǎn)。實(shí)際上，安全漏洞廣泛存在于網(wǎng)絡(luò)數(shù)據(jù)鏈路、網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng) 用系統(tǒng)中。 網(wǎng)絡(luò)安全是一個(gè)體系工程，如果把 XX 企業(yè) 網(wǎng)絡(luò)信息系統(tǒng)劃一個(gè)邊界的話，未來(lái)在廣域網(wǎng)建好之后 可能發(fā)生的安全威脅會(huì)來(lái)自各個(gè)方向、各個(gè)層面。 XX 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及威脅分析 XX 企業(yè) 集團(tuán)現(xiàn)有信息網(wǎng)絡(luò)覆蓋 10 平方公里之內(nèi)的各個(gè)下屬鋼鐵企業(yè)、附屬機(jī)構(gòu)和分布在異地的遠(yuǎn)程分支機(jī)構(gòu)。到目前為止，共有終端用戶 1000 余個(gè)，其中包含各種服務(wù)器 30 臺(tái)。網(wǎng)絡(luò)設(shè)備基本采用 CISCO 系列產(chǎn)品，主干網(wǎng)絡(luò)交換機(jī)近 100 臺(tái)。整個(gè)網(wǎng)絡(luò)擁有 100M 的因特網(wǎng)出口。 Inter EMAIL轉(zhuǎn)發(fā)服務(wù)器 Proxy AAA Cisco3640 防火墻 pix 295012 3500G24 小型機(jī) SUNFIRE4800 Catalyst6506 Catalyst6506 Catalyst4006 Catalyst4006 2950G24 2950G24 2950G48 生產(chǎn)子網(wǎng) 1 2950G24 295012 295012 VPN及移動(dòng)上網(wǎng)卡 3550G12T 終端 服務(wù)器 計(jì)量服務(wù)器 Email服務(wù)器 3548G 2m數(shù)字電路 三個(gè)分廠 生產(chǎn)子網(wǎng) 2 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 11 總機(jī)： 01082611122 網(wǎng)址： 下面主要針對(duì) XX 企業(yè) 的信息系統(tǒng) ， 列出 可能面臨的主要安全威脅為： 內(nèi)部網(wǎng)絡(luò)與 Inter 互聯(lián)的安全威脅 ? 與 Inter 相連，如果沒(méi)有邊界防護(hù)將是危險(xiǎn)的。 XX 企業(yè) 內(nèi)部網(wǎng)絡(luò) 與 Inter 如果不采取 安全防護(hù)措施， 這樣 內(nèi)部網(wǎng)絡(luò)很 容易 遭 到來(lái)自 于 Inter 中 可能 的入侵者的攻擊。如： ? 入侵者通過(guò) Sniffer 等嗅探程序來(lái)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò) IP 地址、應(yīng)用操作系統(tǒng)的類(lèi)型、開(kāi)放哪些 TCP 端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過(guò)相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。 ? 入侵者通過(guò)網(wǎng)絡(luò)監(jiān) 聽(tīng)等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。 ? 惡意攻擊 ： 入侵者通過(guò)發(fā)送大量 PING 包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓 ? 在 Inter 上爆發(fā)網(wǎng)絡(luò)蠕蟲(chóng)病毒的時(shí)候，如果內(nèi)網(wǎng)的邊界處沒(méi)有訪問(wèn)控制設(shè)備對(duì)蠕蟲(chóng)病毒在第一時(shí)間進(jìn)行隔離，那么蠕蟲(chóng)的攻擊將會(huì)對(duì)網(wǎng)絡(luò)造成致命的影響。 ? 分支機(jī)構(gòu)通過(guò) Inter 與總公司進(jìn)行通訊的安全威脅 ? 在 Inter 上傳輸?shù)墓緝?nèi)部數(shù)據(jù)，會(huì)面臨被讀取，被篡改，被冒名的安全威脅，所以 需要對(duì)數(shù) 據(jù)的源發(fā)性、數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性進(jìn)行驗(yàn)證。 ? 在分支機(jī)構(gòu)與總部的 VPN 網(wǎng)關(guān)建立隧道以后，如果分支機(jī)構(gòu)的計(jì)算機(jī)遭到病毒或黑客的入侵，同樣將會(huì)對(duì) XX 企業(yè)的內(nèi)網(wǎng)造成安全威脅。 來(lái)自內(nèi)部網(wǎng)絡(luò)的安全威脅 ? 核心交換機(jī)如果沒(méi)有訪問(wèn)控制，就不能抵御日益嚴(yán)重的網(wǎng)絡(luò)攻擊 XX 企業(yè) 內(nèi)部系統(tǒng) 基本是一個(gè)三層互聯(lián)的網(wǎng)絡(luò)， 核心交換機(jī) 的設(shè)計(jì)如果可以 實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)控制。 即使 在交換機(jī)上可以通過(guò)配置提 地址：北京市海淀區(qū)知春路 49 號(hào)希格瑪大廈 4 層 12 總機(jī)： 01082611122 網(wǎng)址： 供一些安全保證，但是其強(qiáng)度是不足的?，F(xiàn)在的黑客攻擊工具在網(wǎng)絡(luò)上泛濫成災(zāi)，任何一個(gè)稍微有點(diǎn)計(jì)算機(jī)操作能力的人員都可以利用這些工具進(jìn)行攻 擊。同時(shí)，由于內(nèi)部人員比較熟悉系統(tǒng)的情況，其攻擊行為更容易取得成功。據(jù)權(quán)威數(shù)據(jù)表明，有 97％的攻擊是來(lái)自內(nèi)部攻擊和內(nèi)外勾結(jié)的攻擊，而且內(nèi)部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來(lái)自于 外部網(wǎng)絡(luò) 的攻擊，造成的后果也嚴(yán)重的多。 而且 XX 企業(yè)的網(wǎng)絡(luò)很龐大，覆蓋面積廣，內(nèi)部人員復(fù)雜，不同的網(wǎng)絡(luò)區(qū)域?qū)τ趦?nèi)網(wǎng)的應(yīng)用系統(tǒng)都會(huì)構(gòu)成安全威脅。具體表現(xiàn)在：首先是XX 企業(yè)內(nèi)部任何區(qū)域的安全級(jí)別都要低于兩臺(tái)重要的 ERP 服務(wù)器，也是就其他的網(wǎng)段和區(qū)域都會(huì)對(duì)兩