【正文】 本質(zhì)。 網(wǎng)絡(luò) 安全系統(tǒng)應(yīng)該包括三種機(jī)制：安全防護(hù)機(jī)制；安全監(jiān)測(cè)機(jī)制；安全恢復(fù)機(jī)制。 由于存 在眾多安全問題，所以迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系，保障廣電總局外 部 網(wǎng)絡(luò) 系統(tǒng)資源的安全和穩(wěn)定運(yùn)行，從而為 廣電總局 各 部門、各 用戶提供高質(zhì)量的信息服務(wù)。 網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護(hù) 、查殺及隔離 措施，一旦某臺(tái)主機(jī)感染病毒，會(huì)在短時(shí)間內(nèi)造成病毒在廣電網(wǎng)絡(luò)中的廣泛傳播 ，（目前外網(wǎng)部分主機(jī)依舊被 Nimda 病毒感染） 。 雖然 劃分了 VLAN，但是 重要業(yè)務(wù)主機(jī) （ WEB/MAIL/DNS） 全部集中在一個(gè) VLAN 內(nèi)， 不利于風(fēng)險(xiǎn)的分散原則，也 容易造成單點(diǎn)故障 。 不同 出口鏈路經(jīng)過防火墻后進(jìn)入 VLAN201（ 512K 鏈路 DMZ 口 ）、 VLAN202（ 512K 鏈路與 2M鏈路 Trust 口 ）與 VLAN301（ 2M 鏈路 DMZ 口）。 E250：兩臺(tái)。 網(wǎng)絡(luò)現(xiàn)狀及安全需求 廣電 總局外 部網(wǎng)絡(luò) 的網(wǎng)拓?fù)浣Y(jié)構(gòu)可以用下圖表示： 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 2 頁 共 31 頁 VLAN 301SiSi SiSiA5100E3500E250E250IBMNetfinity 40002926 2926 3548 35482926...Network IDSVLAN 201托管服務(wù)器防火墻防火墻E220 R E220 RSUN U10 廣電總局 廣域網(wǎng)拓?fù)? SUN E3500：兩臺(tái)。 首先， 在 廣電總局外 部網(wǎng)絡(luò) 的日常 運(yùn)維過程中， 出 現(xiàn) 了一定的 安全問題 （目前，外網(wǎng)的部分托管主機(jī)依舊存在 Nimda 病毒） 。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 1 頁 共 31 頁 廣電總局網(wǎng)絡(luò)安全技術(shù)建議書 一、 綜述 建設(shè)背景 廣電總局外 部網(wǎng) 目前 承載著廣電總局 對(duì)外官方網(wǎng)站、 電子郵件、 DNS 系統(tǒng) 、視頻點(diǎn)播 、主機(jī)托管以及廣電總局用戶訪問 Inter 等一系列 業(yè)務(wù)功能 。其次，隨著信息化工作的開展以及廣電網(wǎng)絡(luò)的建設(shè) ，廣電總局 的網(wǎng)絡(luò)及部 分業(yè)務(wù)面臨著結(jié)構(gòu)調(diào)整和對(duì)外開放也對(duì)網(wǎng)絡(luò)安全提出新的要求。 WEB 主服務(wù)器， 其中一臺(tái)閑置 。 一臺(tái)為輔 DNS，另一臺(tái)閑置 IBM Netfinity 4000：兩臺(tái) ，視頻服務(wù)器 。其中， VLAN201 主要包含廣電總局托管服務(wù)器， VLAN301 包含 WEB 服務(wù)、 MAIL 服務(wù)、 DNS 服務(wù)及視頻服務(wù)，員工桌面機(jī)通過各 2926 與 3548 交換機(jī)匯聚至 VLAN202，通過防火墻 NAT 進(jìn)行 Inter訪問。 PIX520 防火墻系統(tǒng)未設(shè)置嚴(yán)格的訪問策略 ，只對(duì)員工桌面機(jī)設(shè)置了NAT，對(duì)于入侵者來說防護(hù)效果較不理想 。 目前廣電外網(wǎng)安全只 單純依賴被 動(dòng)型的安全手段如防火墻，而缺乏主動(dòng)發(fā)現(xiàn)型的安全手段，比如安全漏洞審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)等。 以下 我們 將從網(wǎng)絡(luò)結(jié)構(gòu)安全 結(jié)構(gòu) 、 網(wǎng)絡(luò) 安全 技術(shù) 、 防病毒體系 及安全管理 等幾個(gè)方面 闡述 我們 的安全建議 。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行；安全監(jiān)測(cè)機(jī)制是監(jiān)測(cè)系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊；安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少攻擊的破壞程度 由于業(yè)務(wù)的 發(fā)展 及 網(wǎng)絡(luò) 安全需求， 廣電總局 外部 網(wǎng)絡(luò) 業(yè)務(wù)系統(tǒng) 目前相對(duì)簡(jiǎn)單。而安全管理重在集中。安全問題的層次性原則集中在兩個(gè)方面： － 管理模式的層次性 在 廣電總局 外 部網(wǎng)絡(luò)中，由于涉及到跨部門及機(jī)構(gòu)的 人員以及地點(diǎn)，需要一種層次性的管理模式。另一方面，各層之間的配合也是層次性原則的重要特點(diǎn)之一。下面，按照“層層設(shè)防”的安全理念， 我們 將從整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ) —— 網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)開始，逐步闡述從 出口鏈路到 網(wǎng)絡(luò)核心交換區(qū)域、到 重要業(yè)務(wù)系統(tǒng) 和 用戶桌面機(jī) 網(wǎng)段的不同安全策略和安全產(chǎn)品的選型 原則 和實(shí)施建議。原視頻服務(wù)器與主 DNS 服務(wù)器放置在該 PIX520 的 DMZ 口所在 VLAN，而其他業(yè)務(wù)放置在該 PIX520 的 INTRUST 口所在 VLAN.。 其次， 在新的拓?fù)渲校?重要業(yè)務(wù)系統(tǒng)如 WEB 系統(tǒng) 、 DNS/Mail 等公共服務(wù)器利用新增 防火墻 劃分更高層次的安全 隔離 ，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級(jí) 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 7 頁 共 31 頁 與安全隔離 。從而確保該網(wǎng)段的安全性 。 對(duì)于這類系統(tǒng)，建議使用兩臺(tái)防火墻工 作在 FAILOVER 模式下，通過在防 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 9 頁 共 31 頁 火墻上設(shè)置嚴(yán)格的策略，對(duì)每個(gè)需要訪問業(yè)務(wù)系統(tǒng)的用戶進(jìn)行嚴(yán)格限制 。 網(wǎng)絡(luò) 管理級(jí) ：安全級(jí)別次于 MAIL 及備份 DNS 系統(tǒng)，包含廣電總局外網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理系統(tǒng)，這類系統(tǒng)如果遭受入侵或干擾，將暴露 整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整網(wǎng)的安全狀況。 出 于防止單點(diǎn)故障的原因，我們建議將主備 DNS 系統(tǒng)分別放置在不同VLAN 內(nèi)，并分別配置不同網(wǎng)段的 IP 地址， 防止 由于拒絕服務(wù)攻擊造成兩臺(tái) DNS同時(shí)停止服務(wù)（注： 2020 年微軟公司 4 臺(tái) DNS 服務(wù)器由于其中 3 臺(tái)部署在一個(gè)C 類地址內(nèi)，而造成該三臺(tái) DNS 主機(jī)同時(shí)被拒絕服務(wù)攻擊導(dǎo) 致大面積主機(jī)地址無法解析）。 防火墻上實(shí)施如下策略 原則如下 ： 1. 默認(rèn)關(guān)閉防火墻上的所有訪問規(guī)則 2. 允許內(nèi)網(wǎng)訪問 DMZ 口的必要服務(wù) 3. 禁止 DMZ 口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng) 、外網(wǎng)到 DMZ 的訪問 4. 允許內(nèi)網(wǎng)、 DMZ 對(duì)外網(wǎng)的訪問，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的安全考慮 入侵檢測(cè)技術(shù)是當(dāng)今一種非常重要的動(dòng)態(tài)安全技術(shù)，與 傳統(tǒng) 的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。 2. 模式發(fā)現(xiàn)技術(shù)。我們必須及時(shí)高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。 4. 防火墻雖然可以擋住某些攻擊，但是通常無法留下細(xì)節(jié)的攻擊記錄，這對(duì)分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測(cè)系統(tǒng)剛好可以解決這一問題。 這套入侵檢測(cè)系統(tǒng) 部署在 核心交換機(jī)上，（由于性能問題，原則上不對(duì)視頻點(diǎn)播系統(tǒng)進(jìn)行檢測(cè)） 。 此外，在核心 交換機(jī)上設(shè)置 Port Mirror 將 需要檢測(cè) 的 VLAN 的流量映射到對(duì)應(yīng) 的監(jiān)聽網(wǎng)卡所連接的端口。 我們建議 在廣電總局外 網(wǎng)部署網(wǎng)絡(luò)掃描軟件。同時(shí)，掃描審計(jì)軟件應(yīng)提供相關(guān)接口，便于用戶 輸入設(shè)備安全信息，也進(jìn)一步增強(qiáng)該軟件的決策支持能力。 ， 日志分析系統(tǒng) 由于全網(wǎng)存在眾多 網(wǎng)絡(luò)和主機(jī)設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套 日志分析系統(tǒng) 用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 14 頁 共 31 頁 每秒接受日志的速度 。 防病毒體系 對(duì)于 廣電總局 來說數(shù)據(jù) 的安全 是最重要的，而病毒是對(duì)數(shù)據(jù)造成嚴(yán)重威脅的主要因素之一。從 CIH 到 Code Red， 以 及最近的 Nimda 計(jì)算機(jī)病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負(fù)荷量過重等問題，凸顯出網(wǎng)絡(luò)安全防病毒機(jī)制的迫切需求。網(wǎng)絡(luò)的脆弱性成倍增加，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)已不再是簡(jiǎn)單的在客戶機(jī)上安裝桌面病毒掃描程序就可以解決的問題了。 建立 全方位、多層次的、整體的 網(wǎng)絡(luò)防病毒解決方案。 通過設(shè)置防火墻，可以有效的控制允許外界訪問的服務(wù)端口， 減少安全風(fēng)險(xiǎn)。確保 Web 服 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 16 頁 共 31 頁 務(wù)器不會(huì)因?yàn)殄e(cuò)誤配置導(dǎo)致安全問題，例如泄漏系統(tǒng)文件或者目錄列表等等。如果是自己開發(fā)的應(yīng)用，更需要嚴(yán)格進(jìn)行源代碼審計(jì)，確保沒有嚴(yán)重安全問題。 ? 全面檢查 WWW 服務(wù)器中的 CGI 程序，降低由 CGI 帶來的安全風(fēng)險(xiǎn)，同時(shí)要提高程序開發(fā)人員的安全意識(shí) 對(duì)廣電總局 而言， Web Server 將用來作為重要數(shù)據(jù)發(fā)布的窗口。 MAIL 系統(tǒng)的安全 廣電總局的電子郵件系統(tǒng)主要用于內(nèi)部員工與外界進(jìn)行信息聯(lián)絡(luò)，是網(wǎng)絡(luò)與外部必須開放的服務(wù)系統(tǒng)，雖然流量不大，但是對(duì)可用性要求是很高，而且很有可能成為攻擊者的跳板和入口。 ? 由于 目前的垃圾郵件是主要的病毒傳播和拒絕服務(wù)攻擊手段，因此，我們建議對(duì)廣電總局的郵件系統(tǒng)實(shí)施防垃圾郵件措施。 ? 垃圾郵件識(shí)別 垃圾郵件識(shí)別是一個(gè)比較復(fù)雜的問題。 垃圾郵件識(shí)別是動(dòng)態(tài)的過 程，要不斷地更新模式庫才可以阻止大部分的垃圾郵件。這種方法會(huì)導(dǎo)致垃圾郵件發(fā)送程序立刻連接，而 導(dǎo)致系統(tǒng)忙于應(yīng)付不停的連接、中止操作中；而限制如果過低，會(huì)影響正常的工作，限制過高，可以調(diào)整垃圾郵件發(fā)送程序 另外，也可以實(shí)現(xiàn)限速中止，就是說服務(wù)器在接收到超過限制數(shù)量的收件人地址后，等待較長(zhǎng)時(shí)間然后中止。 MAPS（ Mail Abuse Preventing System） RBL是一個(gè)動(dòng) 態(tài)維護(hù)的系統(tǒng)，它將確認(rèn)為垃圾 IP 地址放在 DNS 記錄中，供 SMTP 服務(wù)器進(jìn)行查詢。 DNS 系統(tǒng)的安全威脅主要來自以下幾個(gè)方面： ? 監(jiān)聽向 DNS SERVER 發(fā)的查詢 id，實(shí)現(xiàn)欺騙攻擊； ? 針對(duì) DNS 服務(wù)器鏈缺陷的報(bào)文放大技術(shù)，使一個(gè)主機(jī)的帶寬消耗殆盡的DNS smurf 攻擊； ? 域名劫持 (這一攻擊用于在有 make changes 功能注冊(cè)域名的公司 )； ? BIND 存在的遠(yuǎn)程緩沖區(qū)溢出的漏洞； ? 非法區(qū)域傳輸問題； 因此， 對(duì)于廣電總局外 網(wǎng)的 DNS 系統(tǒng)的安全， 我們 有如下建議： 1. 將貯備 DNS 服務(wù)器置于不同 IP 地 址段內(nèi)，防止由于拒絕服務(wù)的攻擊造成