【正文】 計（參考） 34 遠程災備系統(tǒng)設計（參考） 35第4 產(chǎn)品部署 37 設備部署示意圖 37 設備部署設計 37第5 產(chǎn)品選型 38 防火/毒墻 38 入侵檢測IDS 40 網(wǎng)絡安全審計系統(tǒng) 41 網(wǎng)絡隔離卡 43第6 產(chǎn)品清單 44第1 現(xiàn)狀和目標市城市管理局網(wǎng)絡外網(wǎng)連接Internet（2根電信光纖）和政府專線（即Internet備用線路），內(nèi)網(wǎng)連接政府專網(wǎng)（黨政機關網(wǎng)、國土資源局等）、下屬單位以及區(qū)指揮中心。為了解決現(xiàn)階段市城市管理局網(wǎng)絡安全的問題，我們將對城管局網(wǎng)絡安全體系進行設計。威脅至少包含以下屬性：動機（自然威脅除外）、能力、影響方式等。一、來自外部安全威脅分析 邊界網(wǎng)絡設備安全威脅網(wǎng)絡系統(tǒng)邊界網(wǎng)絡設備是指不同應用、不同業(yè)務、不同網(wǎng)絡相互連接的設備，如核心路由器及與核心路由器連接的交換機等。網(wǎng)絡正日趨被人們所了解，而網(wǎng)絡協(xié)議自然也被越來越多的人所研究，許多網(wǎng)絡協(xié)議的設計漏洞被不斷的公開，這使得越來越多的攻擊利用了網(wǎng)絡協(xié)議的設計漏洞。相對邊界網(wǎng)絡設備來說，熟知操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的人員的范圍要廣的多，而且在互聯(lián)網(wǎng)上，很容易就能找到許多針對各種操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的漏洞的詳細描述，所以針對操作系統(tǒng)和數(shù)據(jù)庫的入侵攻擊在互聯(lián)網(wǎng)絡中也是最多最常見的。二、來自內(nèi)部安全威脅分析 內(nèi)部網(wǎng)絡的失誤操作行為由于人員的技術水平的局限性以及經(jīng)驗的不足，可能會出現(xiàn)各種意想不到的操作失誤，勢必對系統(tǒng)或者網(wǎng)絡的安全產(chǎn)生較大的影響。l 感染速度快城管局網(wǎng)絡是一個大型網(wǎng)絡，一個節(jié)點有病毒疫情，如果不采取措施進行實時防范的話，病毒就可以在很短的時間內(nèi)傳遍全網(wǎng)，就會給網(wǎng)絡造成危害。l 難于徹底清除智能化的網(wǎng)絡病毒既可以像傳統(tǒng)病毒一樣感染服務器或客戶端主機的應用文件系統(tǒng)，也兼具網(wǎng)絡黑客技術的特點，通過各種途徑破壞服務器或客戶機的重要數(shù)據(jù)，通過電子郵件系統(tǒng)散播惡意代碼，設置系統(tǒng)后門，竊取系統(tǒng)的重要數(shù)據(jù)與機密信息等。 功能需求分析為保障市城市管理局網(wǎng)絡整個業(yè)務的正常持續(xù)的運行，需要對全網(wǎng)的網(wǎng)絡運行狀態(tài)和安全狀態(tài)進行有效監(jiān)視。 管理需求分析l 產(chǎn)品管理在管理上需要實現(xiàn)，對防火墻的集中管理，能夠在網(wǎng)管中心對所有節(jié)點的防火墻日志信息進行集中的管理和設置；對入侵監(jiān)測控制系統(tǒng)，能夠在網(wǎng)管中心對所有節(jié)點的入侵檢測系統(tǒng)進行集中控制；對網(wǎng)絡安全審計系統(tǒng)，能夠在網(wǎng)管中心對所有節(jié)點的網(wǎng)絡安全審計系統(tǒng)進行集中分析日志；對防病毒控制系統(tǒng)，能夠?qū)λ泄?jié)點的防病毒軟件進行包括集中下發(fā)、集中版本升級、病毒庫更新、集中配置管理、遠程安裝、遠程殺毒、遠程報警功能。由于需要對安全事件進行及時相應，在產(chǎn)品和技術服務支持上只有能同時擁有自主產(chǎn)品和安全服務的綜合性安全公司廠才能對用戶系統(tǒng)安全有所保障。設立防火墻的目的是保護一個網(wǎng)絡不受來自另一個網(wǎng)絡的攻擊，防火墻的主要功能包括以下幾個方面： 防火墻提供安全邊界控制的基本屏障。防火墻實際意義上也是一個隔離器，即能防外，又能防止內(nèi)部未經(jīng)授權用戶對外網(wǎng)的訪問。l 規(guī)則設置：設置恰當?shù)脑L問控制規(guī)則，審核內(nèi)部網(wǎng)絡和外部網(wǎng)絡間的訪問請求。在有不安全網(wǎng)絡接入時，全部通信都受到防火墻的監(jiān)控，通過防護墻的策略可以設置成相應的保護級別，以保證系統(tǒng)的安全性。l 通過防火墻的保護，隱蔽內(nèi)部網(wǎng)絡信息，提高系統(tǒng)的安全性使得各個內(nèi)網(wǎng)區(qū)不受到黑客的攻擊，黑客無法通過防火墻進行掃描、攻擊等非法動作。l 強大的應用層控制天融信NGFW4000系列防火墻提供應用級透明代理，可以對高層應用（HTTP、FTP、SMTP、POPNNTP）做了更詳細控制，如HTTP命令（GET，POST，HEAD）及URL，F(xiàn)TP命令（GEI，PUT）及文件控制。通過入侵檢測（IDS）系統(tǒng)，可以實時檢測到各種攻擊，同時實時做出各種預先定義的響應，力求作到在黑客造成破壞或入侵之前發(fā)現(xiàn)問題。入侵檢測系統(tǒng)通常采用分布式體系使你可以通過一個中心控制器去監(jiān)控整個企業(yè)網(wǎng)絡。不會影響這些服務器的CPU、I/O與磁盤等資源的使用，不會影響業(yè)務系統(tǒng)的性能。綜上所訴我們采用網(wǎng)絡型入侵檢測（NIDS）。二、設備部署為了增加DMZ區(qū)中對外發(fā)布服務器群的安全性，在交換機上（即DMZ區(qū)交換機）部署天融信公司網(wǎng)絡衛(wèi)士入侵檢測系統(tǒng)（NGIDSUF），具有1 個10/100BaseTX接口，2 個 10/100/1000BaseTX接口，2 個千兆光纖（多模）接口。通過使用該系統(tǒng)，可以實現(xiàn)如下目標：l 對用戶的網(wǎng)絡行為監(jiān)控、網(wǎng)絡傳輸內(nèi)容審計 （如員工是否在工作時間上網(wǎng)沖浪、網(wǎng)上聊天、是否訪問內(nèi)容不健康的網(wǎng)站、員工是否通過網(wǎng)絡泄漏了公司的機密信息等等）；l 實現(xiàn)網(wǎng)絡傳輸信息的保密存儲；l 實現(xiàn)網(wǎng)絡行為后期取證。對于通過頁面發(fā)送郵件也可以自動分析，并還原成郵件的格式展現(xiàn)給使用者。 內(nèi)外網(wǎng)隔離系統(tǒng)設計一、部署意義高可靠性的計算機及網(wǎng)絡為政府/企業(yè)的辦公提供了穩(wěn)定快捷的平臺，極大的提高了政府/企業(yè)的工作效益。二、設備部署我們采用網(wǎng)絡安全隔離卡+網(wǎng)絡安全隔離集線器來解決市城管局單布線網(wǎng)絡。同時用戶可以根據(jù)工作需要自如方便地進行內(nèi)部網(wǎng)和外部網(wǎng)的切換。網(wǎng)絡隔離集線器中孚網(wǎng)絡安全隔離選擇器是一種多路開關切換設備，采用時分復用原理。網(wǎng)絡安全隔離集線器內(nèi)部有一套開關控制線路，根據(jù)工作站當前的內(nèi)外網(wǎng)工作狀態(tài)發(fā)出不同信號，決定連接相應的內(nèi)外網(wǎng)線。如圖：在市城管局網(wǎng)絡中我們采用山東中孚的網(wǎng)絡安全隔離卡HDPIIIA202雙硬盤型支持單雙布線（現(xiàn)城管局的網(wǎng)絡為單布線，但考慮到今后的發(fā)展可能會有雙布線的網(wǎng)絡出現(xiàn)，需要隔離卡可以通過簡單的跳線來完成對雙布線的支持）的隔離卡，內(nèi)外網(wǎng)分別與各自的交換機連接，然后內(nèi)外網(wǎng)線路連接到網(wǎng)絡隔離集線器上，通過網(wǎng)絡隔離集線器繼電器的開關作用，實現(xiàn)只能有一條網(wǎng)線（內(nèi)網(wǎng)或外網(wǎng)）與客戶端連通，通過中孚網(wǎng)絡安全隔離卡來控制網(wǎng)絡隔離集線器是連通內(nèi)網(wǎng)還是連通外網(wǎng)，達到內(nèi)網(wǎng)、外網(wǎng)物理隔離的目的。并通過隔離卡軟件來控制內(nèi)網(wǎng)和外網(wǎng)間的轉換，保證其工作狀態(tài)的穩(wěn)定性及可靠性能。 對網(wǎng)絡技術、協(xié)議完全透明 安裝方便，操作簡單，不需要用戶進行專門的維護四、相關證書 防病毒系統(tǒng)設計根據(jù)用戶網(wǎng)絡系統(tǒng)防病毒安全需求，采用瑞星2005網(wǎng)絡版殺毒軟件（1中心+80服務器端+420客戶端）來構建用戶防病毒系統(tǒng)。網(wǎng)絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴散，傳播到網(wǎng)絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。在計算機網(wǎng)絡信息系統(tǒng)的整個生命周期內(nèi)，隨著網(wǎng)絡結構的變化、新的漏洞的發(fā)現(xiàn)、管理員/用戶的操作、主機的安全狀況是不斷變化著的，隨時都可能需要對系統(tǒng)的安全性進行檢測和評估。在信息資產(chǎn)價值分析的基礎上，分析系統(tǒng)面臨的安全威脅、風險發(fā)生的可能性及造成的影響等幾個要素可以輔助確定等級。我們認為，城管局的安全保障體系應該建立在完善的風險評估的基礎上，通過風險評估，得到系統(tǒng)所面臨的安全風險狀況，根據(jù)系統(tǒng)風險狀況，得到系統(tǒng)安全需求，然后再根據(jù)安全需求，確定信息安全規(guī)劃。三、安全評估流程為使風險評估更有效率、更具有可操作性，必須遵循一個科學、合理的程序，即風險評估應采取的步驟和流程?，F(xiàn)有安全系統(tǒng)調(diào)查工作包括明確現(xiàn)有安全設備(防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)、安全掃描系統(tǒng)、賬號口令集中管理)的部署情況和使用情況。如果系統(tǒng)沒有脆弱性，威脅源無法對系統(tǒng)造成威脅；同樣，即使系統(tǒng)具有脆弱性，如果沒有威脅源，也不足以對系統(tǒng)造成威脅。信息系統(tǒng)根據(jù)自身應用的特點和地理位置可能會面對不同的威脅源。下表列出了各種類型的人為威脅源及其可能的動機和實施攻擊的行為方式。本步驟執(zhí)行結束后生成《市城管局信息系統(tǒng)威脅分析報告》。下表列出了從物理層到管理層的一些常見系統(tǒng)脆弱性及其對應的威脅。因此我們將對掃描得到的系統(tǒng)脆弱性進行合理的篩選和過濾，必要時還需要手動進行驗證。其缺點是評估執(zhí)行人員必須具有相當?shù)膶I(yè)技術知識，測試投入比較大，如果處理不當甚至還會對信息系統(tǒng)造成某些破壞。系統(tǒng)安全需求符合性核查項目安全類別核查項目組織管理安全安全責任劃分信息系統(tǒng)可持續(xù)性支持事故響應能力安全控制措施周期性核查員工背景調(diào)查和性格調(diào)查周期性安全風險評估信息系統(tǒng)安全教育和培訓責任分離系統(tǒng)授權和重新授權信息系統(tǒng)安全計劃運行安全對易燃易爆物品的處理電力供應控制數(shù)據(jù)存儲介質(zhì)的使用和銷毀物理設施保護濕度控制溫度控制個人計算機和移動設備保護技術安全邊界接入點控制（遠程撥號接入、網(wǎng)絡互聯(lián)等）加密訪問控制身份標識和認證入侵檢測客體重用系統(tǒng)審計風險評估方法對象對應表評估對象評估方法組織信息系統(tǒng)遠程脆弱性掃描√√本地脆弱性掃描√√滲透測試√√Checklist復核√√訪談√√BS7799復核√系統(tǒng)安全控制措施復核√對市城管局信息系統(tǒng)的脆弱性檢查完畢后形成《市城管局信息系統(tǒng)脆弱性清單》，然后匯總到市城管局風險信息管理數(shù)據(jù)庫。脆弱性評估服務是專業(yè)安全服務的重要組成部分。我方擁有一流的安全專家，在安全項目實施過程中，通過對網(wǎng)絡進行安全評估，得出整個網(wǎng)絡安全狀態(tài)的評估報告，找出網(wǎng)絡的安全漏洞和隱患，并據(jù)此進行安全項目的集成，以保障大型和復雜網(wǎng)絡環(huán)境的網(wǎng)絡安全。 根據(jù)安全掃描報告、增強系統(tǒng)安全的建議方案和上述制定的安全解決方案對系統(tǒng)進行安全修補，其中包括：l 安裝系統(tǒng)補丁；l 停止不需要的服務；l 替換有問題的軟件為同樣功能、但更安全的軟件；l 修改有安全問題的軟件配置；l 修補結束，得出安全修補實施報告，提交給用戶并確認；l 依照日常安全評估制度，定期的對系統(tǒng)進行上述的安全評估。預防性控制對違反信息系統(tǒng)安全策略的行為予以禁止，屬于此類的控制包括訪問控制、加密、身份認證、防火墻等；檢測性控制對違反信息系統(tǒng)安全策略的行為給予報警，屬于此類的控制包括審計、入侵檢測和數(shù)據(jù)校驗等。八、可能性評估信息系統(tǒng)安全危害發(fā)生的可能性與威脅源的動機和能力、系統(tǒng)脆弱性的性質(zhì)以及信息系統(tǒng)實施控制的有效性有關。本步驟的目的是確定某個威脅源/脆弱性產(chǎn)生的特定安全事件對信息系統(tǒng)造成危害的等級。資產(chǎn)評估報告則對系統(tǒng)和數(shù)據(jù)的重要性和敏感性進行識別和定級。因此，在進行危害分析時，需要與城管局進行廣泛的交流以獲得良好的效果。從而對信息系統(tǒng)造成危害。復雜的系統(tǒng)危害可通過損失數(shù)目、修復系統(tǒng)的財務費用以及修復系統(tǒng)所必須付出的時間和努力來計算。低此類危害可對組織的資產(chǎn)和資源造成些許損失；對組織的業(yè)務、形象和利益產(chǎn)生一些影響。下表顯示了一個標準的風險等級矩陣結構。根據(jù)計算得出的風險等級數(shù)值，表示了風險的危害程度。風險等級范圍及相應對策風險等級范圍描述及相應對策高如果信息系統(tǒng)的安全被評估為高風險，必須盡快地采取正確的行動方案。因為風險評估的最終目的是為了提高信息系統(tǒng)的