【正文】 網(wǎng)絡(luò)安全技術(shù)建議書(shū) 網(wǎng)絡(luò)安全技術(shù)建議書(shū)一、 綜述 建設(shè)背景廣電總局內(nèi)部網(wǎng)承載著廣電總局內(nèi)各部門(mén)間日常工作的公文流轉(zhuǎn)、審批等一系列辦公自動(dòng)化系統(tǒng)。目前，該網(wǎng)絡(luò)與廣電總局外部網(wǎng)絡(luò)采取完全的物理隔離。隨著廣電總局內(nèi)部網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求，網(wǎng)絡(luò)安全作為信息化建設(shè)中必不可少的一項(xiàng)工作，以逐漸提現(xiàn)出其重要性。首先，在廣電總局內(nèi)部網(wǎng)絡(luò)的日常運(yùn)維過(guò)程中，出現(xiàn)了一定的安全問(wèn)題。其次，隨著信息化工作的開(kāi)展，廣電總局直屬機(jī)關(guān)與總局內(nèi)部網(wǎng)絡(luò)的互聯(lián)互通將對(duì)網(wǎng)絡(luò)安全提出新的要求。所以，為了保障廣電總局網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運(yùn)行，迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系，從而為廣電總局及各直屬機(jī)關(guān)提供高質(zhì)量的信息服務(wù)。本次項(xiàng)目主要是針對(duì)廣電總局內(nèi)部的安全提出解決方案，涉及防火墻系統(tǒng)、安全審計(jì)系統(tǒng)、網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)、日志分析系統(tǒng)、防病毒體系、OA業(yè)務(wù)安全防護(hù)系統(tǒng)、安全管理、系統(tǒng)安全增強(qiáng)及性能優(yōu)化以及未來(lái)與廣電總局直屬機(jī)關(guān)互聯(lián)互通時(shí)的安全相關(guān)技術(shù)和建議。 網(wǎng)絡(luò)現(xiàn)狀及安全需求廣電總局內(nèi)部網(wǎng)絡(luò)的網(wǎng)拓?fù)浣Y(jié)構(gòu)可以用下圖表示：廣電總局廣域網(wǎng)拓?fù)銼UN E3500：兩臺(tái)。OA系統(tǒng)主服務(wù)器，采用雙機(jī)備份。SUN A5100：磁盤(pán)陣列E250：兩臺(tái)。一臺(tái)為內(nèi)網(wǎng)DNS，另一臺(tái)閑置IBM Netfinity 4000：兩臺(tái)。ULTRA 10：內(nèi)網(wǎng)網(wǎng)管服務(wù)器內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)由兩臺(tái)CISCO 6509承擔(dān)內(nèi)網(wǎng)核心交換工作。該交換機(jī)上劃分VLAN。隔離不同業(yè)務(wù)系統(tǒng)及不同部門(mén)間子網(wǎng)。內(nèi)網(wǎng)業(yè)務(wù)主機(jī)直接接入到6509上。14臺(tái)2926及2臺(tái)3548通過(guò)千兆上聯(lián)到6509。提供對(duì)各部門(mén)日常辦公桌面機(jī)的接入。直觀看來(lái)，此網(wǎng)絡(luò)已經(jīng)具有了一定的安全性，內(nèi)網(wǎng)與Intenet實(shí)施了完全的物理隔離措施。但是，仔細(xì)分析我們可以看出，這個(gè)網(wǎng)絡(luò)仍然存在很多安全隱患。l 雖然劃分了VLAN，但是VLAN只起到了隔離廣播信息的功能。對(duì)于內(nèi)網(wǎng)中對(duì)重要服務(wù)器的訪問(wèn)和各部門(mén)間的互訪缺乏實(shí)際的訪問(wèn)控制。l 重要業(yè)務(wù)主機(jī)（服務(wù)機(jī)）與員工自用桌面機(jī)處于同一邏輯層。缺乏安全等級(jí)的劃分，服務(wù)器與員工桌面機(jī)間無(wú)安全等級(jí)差別或隔離手段，如果某部門(mén)工作PC機(jī)被安裝了木馬，就完全可能被利用成為惡意攻擊的跳板從而對(duì)核心服務(wù)器或其他部門(mén)的主機(jī)發(fā)起攻擊，達(dá)到隱藏真正破壞者的功能。l 重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及業(yè)務(wù)系統(tǒng)如OA系統(tǒng)的身份認(rèn)證技術(shù)未采用加密機(jī)制，用戶(hù)密碼以明碼方式在網(wǎng)絡(luò)上傳播。如果惡意用戶(hù)在網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)分析軟件，可截獲用戶(hù)密碼，冒充正常用戶(hù)身份進(jìn)行破壞活動(dòng)。l 內(nèi)部網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護(hù)、查殺及隔離措施，一旦某臺(tái)用戶(hù)主機(jī)感染病毒，會(huì)在短時(shí)間內(nèi)造成病毒在廣電內(nèi)部網(wǎng)絡(luò)中的廣泛傳播。l 未來(lái)各直屬機(jī)關(guān)的遠(yuǎn)程接入也有可能成為攻擊發(fā)起的來(lái)源，需要實(shí)施隔離。l 目前廣電外網(wǎng)安全只單純依賴(lài)被動(dòng)型的安全手段如防火墻，而缺乏主動(dòng)發(fā)現(xiàn)型的安全手段，比如安全漏洞審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)等。無(wú)法防患于未然。l 缺乏對(duì)攻擊的監(jiān)測(cè)和記錄手段，比如入侵檢測(cè)系統(tǒng)、日志服務(wù)器等，無(wú)法有效的發(fā)現(xiàn)安全事件，也沒(méi)有舉證手段。由于存在眾多安全問(wèn)題，所以迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系，保障廣電總局內(nèi)部網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運(yùn)行，從而為廣電總局各部門(mén)、各直屬機(jī)關(guān)提供高質(zhì)量的信息服務(wù)。以下我們將從網(wǎng)絡(luò)結(jié)構(gòu)安全結(jié)構(gòu)、網(wǎng)絡(luò)安全技術(shù)、防病毒體系及安全管理等幾個(gè)方面闡述我們的安全建議。 安全設(shè)計(jì)原則l 整體性原則安全作為一個(gè)特殊的技術(shù)領(lǐng)域，有著自己的特點(diǎn)。安全問(wèn)題必須遵從整體性原則，網(wǎng)絡(luò)中的任何一個(gè)漏洞或隱患都可能造成整網(wǎng)的安全水平的降低。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括三種機(jī)制：安全防護(hù)機(jī)制；安全監(jiān)測(cè)機(jī)制；安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行；安全監(jiān)測(cè)機(jī)制是監(jiān)測(cè)系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊；安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少攻擊的破壞程度由于業(yè)務(wù)的重要性及安全需求，廣電總局內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)目前相對(duì)簡(jiǎn)單。但是，隨著信息化發(fā)展的需求，處于嚴(yán)格控管下的互聯(lián)互通將是網(wǎng)絡(luò)發(fā)展的趨勢(shì)。因此在本次設(shè)計(jì)中，我們從全網(wǎng)角度出發(fā)，關(guān)注廣電信息化建設(shè)的目標(biāo)，各廣電各業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點(diǎn)提出從防護(hù)－檢測(cè)－回復(fù)的完整的解決方案，而不是治標(biāo)不治本。l 集中性原則安全重在管理，所謂“三分技術(shù)，七分管理”闡述了安全的本質(zhì)。而安全管理重在集中。廣電總局的設(shè)備和主機(jī)類(lèi)型較多，業(yè)務(wù)系統(tǒng)涵蓋廣電各個(gè)部門(mén)及相關(guān)機(jī)構(gòu)，業(yè)務(wù)模式相對(duì)復(fù)雜且管理機(jī)構(gòu)和管理模式也千差萬(wàn)別。在全網(wǎng)安全方案的設(shè)計(jì)中，無(wú)論是安全管理制度的制定和施行，或是安全產(chǎn)品的選型和實(shí)施，還是長(zhǎng)期安全服務(wù)方案的制定，我們都將根據(jù)集中性原則，目標(biāo)是實(shí)現(xiàn)對(duì)各設(shè)備和業(yè)務(wù)系統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應(yīng)，這些都將依賴(lài)于管理制度統(tǒng)一的、集中的制定和施行。l 層次性原則在廣電總局內(nèi)部網(wǎng)絡(luò)安全方案設(shè)計(jì)中，無(wú)論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。安全問(wèn)題的層次性原則集中在兩個(gè)方面：－ 管理模式的層次性在廣電總局內(nèi)部網(wǎng)絡(luò)中，由于涉及到跨部門(mén)及機(jī)構(gòu)的人員以及地點(diǎn)，需要一種層次性的管理模式。比如，用戶(hù)管理需要分層次的授權(quán)機(jī)制；防病毒體系的病毒庫(kù)分發(fā)或報(bào)警也需要分層次機(jī)制；安全緊急響應(yīng)的流程也需要建立分層監(jiān)控，逐級(jí)響應(yīng)的機(jī)制。－ 防護(hù)技術(shù)的層次性層次性還表現(xiàn)在防護(hù)技術(shù)上。針對(duì)業(yè)務(wù)系統(tǒng)的防護(hù)往往有多種防護(hù)設(shè)備和手段，我們需要根據(jù)業(yè)務(wù)系統(tǒng)特點(diǎn)提出多層次防護(hù)機(jī)制，保證在外層防護(hù)被入侵失效的情況下，內(nèi)部防護(hù)層還可以起到防護(hù)作用。另一方面，各層之間的配合也是層次性原則的重要特點(diǎn)之一。l 長(zhǎng)期性原則安全一向是一個(gè)交互的過(guò)程，使用任何一種“靜態(tài)”或者號(hào)稱(chēng)“動(dòng)態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問(wèn)題，所以我們針對(duì)安全問(wèn)題的特點(diǎn)，提供針對(duì)廣電總局內(nèi)部網(wǎng)絡(luò)全面的安全服務(wù)，其中包括設(shè)備產(chǎn)品的技術(shù)支持和服務(wù)以及安全審計(jì)、安全響應(yīng)等專(zhuān)業(yè)安全服務(wù)。二、 統(tǒng)一的安全防護(hù)體系在整個(gè)安全項(xiàng)目設(shè)計(jì)過(guò)程中，我們始終遵循統(tǒng)一的安全原則，從全網(wǎng)安全管理角度出發(fā)，關(guān)注于各業(yè)務(wù)系統(tǒng)的安全，目標(biāo)是為客戶(hù)建立統(tǒng)一的安全防護(hù)體系。 網(wǎng)絡(luò)系統(tǒng)安全基于以上四個(gè)原則，我們?yōu)閺V電總局設(shè)計(jì)了如下的安全解決方案。下面，按照“層層設(shè)防”的安全理念，我們將從整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ)——網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)開(kāi)始，逐步闡述從網(wǎng)絡(luò)核心交換區(qū)域、到辦公網(wǎng)段和核心服務(wù)器網(wǎng)段的不同安全策略和安全產(chǎn)品的選型原則和實(shí)施建議。 網(wǎng)絡(luò)結(jié)構(gòu)安全首先，通過(guò)如下的示意圖，我們可以更加清晰的了解本方案對(duì)廣電總局內(nèi)部網(wǎng)絡(luò)的安全結(jié)構(gòu)。 內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)建議在經(jīng)過(guò)上述調(diào)整之后，我們可以看到，構(gòu)成網(wǎng)絡(luò)核心的依舊是兩臺(tái)CISCO 6509高性能的高端交換機(jī)，在這臺(tái)交換機(jī)上匯接了重要業(yè)務(wù)系統(tǒng)接入、廣電總局各部門(mén)用戶(hù)、網(wǎng)管及安全管理網(wǎng)段，在原有的VLAN基礎(chǔ)上合理劃分新的VLAN結(jié)構(gòu)，使網(wǎng)絡(luò)負(fù)載的分布更加合理。其次，在新的拓?fù)渲?，重要業(yè)務(wù)系統(tǒng)如辦公系統(tǒng)、DNS/Mail/Proxy等公共服務(wù)器網(wǎng)段之間都利用防火墻作了有效的隔離，建立起用戶(hù)到業(yè)務(wù)網(wǎng)段的安全等級(jí)與安全隔離。任意一個(gè)網(wǎng)段對(duì)網(wǎng)絡(luò)業(yè)務(wù)的訪問(wèn)都利用防火墻作了隔離，大大提高了網(wǎng)絡(luò)的安全性，在防止攻擊、病毒/蠕蟲(chóng)擴(kuò)散等方面都能夠起到很大作用。第三，在原先網(wǎng)管系統(tǒng)的基礎(chǔ)上，建立新的網(wǎng)絡(luò)管理及安全管理網(wǎng)段，該網(wǎng)段集中了網(wǎng)管、審計(jì)、日志、入侵檢測(cè)、統(tǒng)一認(rèn)證及病毒管理中心等安全及網(wǎng)管主機(jī)，日常運(yùn)維中通過(guò)各類(lèi)安全技術(shù)收集整網(wǎng)安全信息，提供運(yùn)維人員整網(wǎng)狀況。通過(guò)在6509上實(shí)行一定的訪問(wèn)控制及安全策略，限制其他網(wǎng)段對(duì)該網(wǎng)段的非正常訪問(wèn)。從而確保該網(wǎng)段的安全性。第四，在6509核心機(jī)上通過(guò)背板管理端口或端口鏡像技術(shù)將需要檢測(cè)網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對(duì)需要檢測(cè)的流量進(jìn)行不間斷的檢測(cè)和報(bào)警。 與直屬機(jī)關(guān)互聯(lián)網(wǎng)絡(luò)建議隨著業(yè)務(wù)的發(fā)展，廣電總局的內(nèi)部網(wǎng)目前規(guī)劃與北京市內(nèi)廣電總局各直屬機(jī)關(guān)互聯(lián)互通以及提供用戶(hù)通過(guò)PSTN遠(yuǎn)程撥號(hào)接入內(nèi)網(wǎng)?；ヂ?lián)通后，廣電總局的內(nèi)網(wǎng)將開(kāi)放部分業(yè)務(wù)系統(tǒng)給各直屬機(jī)關(guān)及撥號(hào)用戶(hù)。因此，必須確保各直屬機(jī)關(guān)及撥號(hào)用戶(hù)的接入不會(huì)對(duì)網(wǎng)絡(luò)安全以及信息安全構(gòu)成影響。目前。由于廣電總局內(nèi)網(wǎng)是與INTERNET完全隔離的網(wǎng)絡(luò)。為確保廣電總局內(nèi)網(wǎng)的安全性，針對(duì)直屬機(jī)關(guān)互聯(lián)以及撥號(hào)用戶(hù)的安全將主要考慮如下因素：1. 確保直屬機(jī)關(guān)與廣電總局內(nèi)網(wǎng)互聯(lián)信道的物理安全。2. 對(duì)直屬機(jī)關(guān)與廣電總局內(nèi)網(wǎng)的連接采取加密措施（鏈路層加密，IP層加密或應(yīng)用層加密）。3. 限定直屬機(jī)關(guān)及撥號(hào)用戶(hù)的授權(quán)訪問(wèn)范圍。4. 限定直屬機(jī)關(guān)及撥號(hào)用戶(hù)對(duì)廣電總局內(nèi)網(wǎng)業(yè)務(wù)的訪問(wèn)流程。5. 限定直屬機(jī)關(guān)及撥號(hào)用戶(hù)網(wǎng)絡(luò)接入廣電總局網(wǎng)絡(luò)后導(dǎo)致的INTERNET對(duì)總局內(nèi)網(wǎng)的連接。6. 對(duì)直屬機(jī)關(guān)及撥號(hào)用戶(hù)的訪問(wèn)行為進(jìn)行實(shí)時(shí)監(jiān)控。由以上因素我們可以得出，對(duì)直屬機(jī)關(guān)及撥號(hào)用戶(hù)接入廣電總局內(nèi)網(wǎng)的安全考慮主要分應(yīng)用層和網(wǎng)絡(luò)層兩大部分。由于應(yīng)用系統(tǒng)的安全涉及廣電內(nèi)網(wǎng)所使用的OA辦公自動(dòng)化系統(tǒng)的業(yè)務(wù)流程、加密認(rèn)證方式等相關(guān)問(wèn)題，需由業(yè)務(wù)系統(tǒng)的軟件供應(yīng)商提供相關(guān)安全措施。而對(duì)于網(wǎng)絡(luò)層的安全，我們考慮的原則是如何在網(wǎng)絡(luò)層確保數(shù)據(jù)的私密性，完整性和不可抵賴(lài)性。目前，可以在網(wǎng)絡(luò)層以下實(shí)現(xiàn)的數(shù)據(jù)加密方式較多，主要包括在鏈路層實(shí)現(xiàn)的鏈路加