【正文】 二、 統(tǒng)一的安全防護(hù)體系在整個(gè)安全項(xiàng)目設(shè)計(jì)過程中，我們始終遵循統(tǒng)一的安全原則，從全網(wǎng)安全管理角度出發(fā)，關(guān)注于各業(yè)務(wù)系統(tǒng)的安全，目標(biāo)是為客戶建立統(tǒng)一的安全防護(hù)體系。－ 防護(hù)技術(shù)的層次性層次性還表現(xiàn)在防護(hù)技術(shù)上。在全網(wǎng)安全方案的設(shè)計(jì)中，無論是安全管理制度的制定和施行，或是安全產(chǎn)品的選型和實(shí)施，還是長(zhǎng)期安全服務(wù)方案的制定，我們都將根據(jù)集中性原則，目標(biāo)是實(shí)現(xiàn)對(duì)各設(shè)備和業(yè)務(wù)系統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應(yīng)，這些都將依賴于管理制度統(tǒng)一的、集中的制定和施行。因此在本次設(shè)計(jì)中，我們從全網(wǎng)角度出發(fā)，關(guān)注廣電信息化建設(shè)的目標(biāo)，各廣電各業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點(diǎn)提出從防護(hù)－檢測(cè)－回復(fù)的完整的解決方案，而不是治標(biāo)不治本。安全問題必須遵從整體性原則，網(wǎng)絡(luò)中的任何一個(gè)漏洞或隱患都可能造成整網(wǎng)的安全水平的降低。l 缺乏對(duì)攻擊的監(jiān)測(cè)和記錄手段，比如入侵檢測(cè)系統(tǒng)、日志服務(wù)器等，無法有效的發(fā)現(xiàn)安全事件，也沒有舉證手段。l 內(nèi)部網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護(hù)、查殺及隔離措施，一旦某臺(tái)用戶主機(jī)感染病毒，會(huì)在短時(shí)間內(nèi)造成病毒在廣電內(nèi)部網(wǎng)絡(luò)中的廣泛傳播。l 重要業(yè)務(wù)主機(jī)（服務(wù)機(jī)）與員工自用桌面機(jī)處于同一邏輯層。直觀看來，此網(wǎng)絡(luò)已經(jīng)具有了一定的安全性，內(nèi)網(wǎng)與Intenet實(shí)施了完全的物理隔離措施。隔離不同業(yè)務(wù)系統(tǒng)及不同部門間子網(wǎng)。SUN A5100：磁盤陣列E250：兩臺(tái)。所以，為了保障廣電總局網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運(yùn)行，迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系，從而為廣電總局及各直屬機(jī)關(guān)提供高質(zhì)量的信息服務(wù)。目前，該網(wǎng)絡(luò)與廣電總局外部網(wǎng)絡(luò)采取完全的物理隔離。隨著廣電總局內(nèi)部網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求，網(wǎng)絡(luò)安全作為信息化建設(shè)中必不可少的一項(xiàng)工作，以逐漸提現(xiàn)出其重要性。本次項(xiàng)目主要是針對(duì)廣電總局內(nèi)部的安全提出解決方案，涉及防火墻系統(tǒng)、安全審計(jì)系統(tǒng)、網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)、日志分析系統(tǒng)、防病毒體系、OA業(yè)務(wù)安全防護(hù)系統(tǒng)、安全管理、系統(tǒng)安全增強(qiáng)及性能優(yōu)化以及未來與廣電總局直屬機(jī)關(guān)互聯(lián)互通時(shí)的安全相關(guān)技術(shù)和建議。一臺(tái)為內(nèi)網(wǎng)DNS，另一臺(tái)閑置IBM Netfinity 4000：兩臺(tái)。內(nèi)網(wǎng)業(yè)務(wù)主機(jī)直接接入到6509上。但是，仔細(xì)分析我們可以看出，這個(gè)網(wǎng)絡(luò)仍然存在很多安全隱患。缺乏安全等級(jí)的劃分，服務(wù)器與員工桌面機(jī)間無安全等級(jí)差別或隔離手段，如果某部門工作PC機(jī)被安裝了木馬，就完全可能被利用成為惡意攻擊的跳板從而對(duì)核心服務(wù)器或其他部門的主機(jī)發(fā)起攻擊，達(dá)到隱藏真正破壞者的功能。l 未來各直屬機(jī)關(guān)的遠(yuǎn)程接入也有可能成為攻擊發(fā)起的來源，需要實(shí)施隔離。由于存在眾多安全問題，所以迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系，保障廣電總局內(nèi)部網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運(yùn)行，從而為廣電總局各部門、各直屬機(jī)關(guān)提供高質(zhì)量的信息服務(wù)。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括三種機(jī)制：安全防護(hù)機(jī)制；安全監(jiān)測(cè)機(jī)制；安全恢復(fù)機(jī)制。l 集中性原則安全重在管理，所謂“三分技術(shù)，七分管理”闡述了安全的本質(zhì)。l 層次性原則在廣電總局內(nèi)部網(wǎng)絡(luò)安全方案設(shè)計(jì)中，無論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。針對(duì)業(yè)務(wù)系統(tǒng)的防護(hù)往往有多種防護(hù)設(shè)備和手段，我們需要根據(jù)業(yè)務(wù)系統(tǒng)特點(diǎn)提出多層次防護(hù)機(jī)制，保證在外層防護(hù)被入侵失效的情況下，內(nèi)部防護(hù)層還可以起到防護(hù)作用。 網(wǎng)絡(luò)系統(tǒng)安全基于以上四個(gè)原則，我們?yōu)閺V電總局設(shè)計(jì)了如下的安全解決方案。其次，在新的拓?fù)渲?，重要業(yè)務(wù)系統(tǒng)如辦公系統(tǒng)、DNS/Mail/Proxy等公共服務(wù)器網(wǎng)段之間都利用防火墻作了有效的隔離，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級(jí)與安全隔離。從而確保該網(wǎng)段的安全性。因此，必須確保各直屬機(jī)關(guān)及撥號(hào)用戶的接入不會(huì)對(duì)網(wǎng)絡(luò)安全以及信息安全構(gòu)成影響。2. 對(duì)直屬機(jī)關(guān)與廣電總局內(nèi)網(wǎng)的連接采取加密措施（鏈路層加密，IP層加密或應(yīng)用層加密）。6. 對(duì)直屬機(jī)關(guān)及撥號(hào)用戶的訪問行為進(jìn)行實(shí)時(shí)監(jiān)控。目前，可以在網(wǎng)絡(luò)層以下實(shí)現(xiàn)的數(shù)據(jù)加密方式較多，主要包括在鏈路層實(shí)現(xiàn)的鏈路加密機(jī)制與在網(wǎng)絡(luò)層實(shí)現(xiàn)的各類IP隧道加密機(jī)制。加密機(jī)自身的算法使用國(guó)內(nèi)自研算法，對(duì)外不公開。如果網(wǎng)絡(luò)結(jié)構(gòu)龐大，涉及多種通訊線路，如果采用多種鏈路加密設(shè)備則增加了系統(tǒng)投資費(fèi)用，同時(shí)為系統(tǒng)維護(hù)、升級(jí)、擴(kuò)展也帶來了相應(yīng)困難。IP加密機(jī)制IPsec是在TCP/IP體系中實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。一般來說，VPN設(shè)備可以一對(duì)一和一對(duì)多地運(yùn)行，并具有對(duì)數(shù)據(jù)完整性的保證功能，它安裝在被保護(hù)網(wǎng)絡(luò)和路由器之間的位置。鑒于網(wǎng)絡(luò)層加密設(shè)備的突出優(yōu)點(diǎn)，應(yīng)根據(jù)具體需求，在各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)與內(nèi)部網(wǎng)絡(luò)相連接的進(jìn)出口處安裝配備網(wǎng)絡(luò)層加密設(shè)備。網(wǎng)絡(luò)管理級(jí)：安全級(jí)別居中，包含廣電總局內(nèi)網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理系統(tǒng)，這類系統(tǒng)如果遭受入侵或干擾，將暴露整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整網(wǎng)的安全狀況?？尚刨嚩茸畹?。確保數(shù)據(jù)傳輸?shù)乃矫苄?。ICSA入侵檢測(cè)系統(tǒng)論壇的定義即：通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象(的一種安全技術(shù))。目前，國(guó)際頂尖的入侵檢測(cè)系統(tǒng)IDS主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。2. 廣電總局自身網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)目前雖然并不復(fù)雜，但隨著直屬機(jī)關(guān)的接入和網(wǎng)絡(luò)規(guī)模的發(fā)展，為了進(jìn)一步的提高安全事件的即時(shí)響應(yīng)和舉證能力，必須具備某種手段對(duì)可能的有意或無意的攻擊作出檢測(cè)、告警并留下證據(jù)。5. 為了規(guī)范廣電總局內(nèi)網(wǎng)用戶的行為，同時(shí)提供一種對(duì)用戶訪問行為的監(jiān)控機(jī)制和與相關(guān)管理制度的執(zhí)行對(duì)照機(jī)制，依靠基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以提供一定時(shí)期內(nèi)基于用戶或基于協(xié)議的訪問統(tǒng)計(jì)數(shù)據(jù)，用來更好的檢驗(yàn)相關(guān)管理制度的執(zhí)行情況，為后期網(wǎng)絡(luò)策略的調(diào)整和規(guī)劃提供依據(jù)。檢測(cè)所有不同級(jí)別間的用戶對(duì)OA業(yè)務(wù)系統(tǒng)及網(wǎng)管系統(tǒng)的訪問情況。同時(shí)，在管理網(wǎng)段再配置一臺(tái)PC Server，安裝入侵檢測(cè)系統(tǒng)的管理端，如果未來由于擴(kuò)容等性能問題需要增加網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)時(shí)，該管理端可做為全部入侵檢測(cè)系統(tǒng)的集中控制臺(tái)。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對(duì)內(nèi)網(wǎng)各業(yè)務(wù)系統(tǒng)及用戶主機(jī)定期進(jìn)行掃描審計(jì)，并存貯相關(guān)審計(jì)信息。由于目前在安全掃描審計(jì)軟件中，都存在一定的安全威脅，掃描軟件中的部分攻擊模式庫存在對(duì)網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)資源的潛在危險(xiǎn)性。建議采用三級(jí)結(jié)構(gòu)的日志分析系統(tǒng)，第一級(jí)為需要記錄日志的主機(jī)或設(shè)備，該主機(jī)配置syslog日志指向日志服務(wù)器；第二級(jí)為日志服務(wù)器，負(fù)責(zé)日志接受，同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計(jì)分析；第三級(jí)為日志服務(wù)器的console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報(bào)警和監(jiān)視日志系統(tǒng)分析統(tǒng)計(jì)結(jié)果。l 日志服務(wù)器應(yīng)支持常用數(shù)據(jù)庫，可將日志信息存儲(chǔ)在數(shù)據(jù)庫中。為了保證全網(wǎng)管理中用戶身份驗(yàn)證的可靠性，我們建議在網(wǎng)管中心部署一套集中認(rèn)證及一次性口令系統(tǒng)，全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備和主要業(yè)務(wù)系統(tǒng)的用戶驗(yàn)證都集中在該服務(wù)器商，便于對(duì)于這些設(shè)備的集中管理。目前，常用的驗(yàn)證方法包括Challenge and Response，digital certificates，tokens，RADIUS和S/Key。目前，常見的這類系統(tǒng)的基礎(chǔ)是“token”標(biāo)記，它是一個(gè)數(shù)字編碼，與用戶永久性ID號(hào)一起生成一個(gè)唯一的、不會(huì)被發(fā)覺的口令，而且僅能使用一次。我們建議選用了一套1～25用戶的一次性動(dòng)態(tài)口令集中認(rèn)證系統(tǒng)，負(fù)責(zé)重要設(shè)備和系統(tǒng)的口令認(rèn)證。目前已知的計(jì)算機(jī)病毒超過20，000種，并且每月發(fā)現(xiàn)的新病毒超過300種，即每天都有10余種新病毒出現(xiàn)。這樣雖然可以保證桌面平臺(tái)避免病毒的威脅，但沒有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播，無法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過載等這類嚴(yán)重威脅網(wǎng)絡(luò)正常服務(wù)的問題。在防病毒產(chǎn)品的選型上，我們認(rèn)為一個(gè)成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點(diǎn)：l 先進(jìn)的體系結(jié)構(gòu)設(shè)計(jì)l 先進(jìn)的防殺病毒技術(shù)l 能夠在線實(shí)時(shí)查殺病毒l 準(zhǔn)確無誤的報(bào)警功能l 及時(shí)、方便地更新病毒定義代碼l 快速、有效地處理未知病毒l 多平臺(tái)的支持l 功能強(qiáng)大的控制臺(tái)，便于管理與維護(hù)而針對(duì)網(wǎng)絡(luò)這個(gè)層次而設(shè)計(jì)的防病毒產(chǎn)品，我們認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)病毒監(jiān)控、支持病毒有效地隔離。目前，所有用戶通過瀏覽器訪問OA業(yè)務(wù)主機(jī)，輸入個(gè)人用戶名及密碼后登錄該系統(tǒng)處理日常OA業(yè)務(wù)，服務(wù)器采用標(biāo)準(zhǔn)80端口提供服務(wù)，所以用戶帳號(hào)及密碼都是以明碼方式在網(wǎng)絡(luò)上傳播，任何人竊聽或截獲用戶密碼及帳號(hào)，都可以偽裝成該用戶進(jìn)行相關(guān)破壞活動(dòng)。采用SSL及CA認(rèn)證系統(tǒng)需要滿足以下安全需求：1. 身份認(rèn)證每個(gè)使用者必須擁有唯一的可靠的身份認(rèn)證標(biāo)識(shí)，安全系統(tǒng)能夠?qū)γ總€(gè)訪問者的身份進(jìn)行有效識(shí)別，使用者也要對(duì)安全系統(tǒng)進(jìn)行認(rèn)證，也就是使用者——系統(tǒng)之間的雙向身份認(rèn)證。4. 數(shù)據(jù)完整性對(duì)關(guān)鍵的數(shù)據(jù)信息，防止信息被非法入侵者篡改。Kd和Ke是緊密相關(guān)，一一對(duì)應(yīng)的。l 證書（Certificate）和證書中心CA（Certificate Authority）要實(shí)現(xiàn)基于公鑰密碼算法的身份認(rèn)證求，就必須建立一種信任及信任驗(yàn)證機(jī)制，即每個(gè)網(wǎng)絡(luò)上的實(shí)體必須有一個(gè)可以被驗(yàn)證的數(shù)字標(biāo)識(shí)，這就是“數(shù)字證書（Certificate）”。CA用自己的私鑰對(duì)所有的用戶屬性、證書屬性和用戶的公鑰進(jìn)行數(shù)字簽名，產(chǎn)生用戶的數(shù)字證書。該協(xié)議向TCP/IP的客戶/服務(wù)器模式提供了客戶端和服務(wù)器的身份認(rèn)證、會(huì)話密鑰交換和信息鏈路加密等安全功能，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。即使攻擊者能夠發(fā)起中間人攻擊，協(xié)商的秘密也不可能被竊聽者獲得。并根據(jù)權(quán)限中心來完成。權(quán)限控制中心采用LDAP（