【正文】 臺(tái)，為 XX 電力公司的信息化建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)。因此盡早在 XX電力建立和實(shí)施一套先進(jìn)高效并基于風(fēng)險(xiǎn)控制與管理理論的完整的信息安全保障系統(tǒng)勢(shì)在必行。 第 3 頁(yè) 共 61 頁(yè) 通過(guò)多年的安全建設(shè)及安全實(shí)踐工作 XX 電力從網(wǎng)絡(luò)安全設(shè)施及安全運(yùn)作上已經(jīng)具備網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的基本保障能力。 2. 網(wǎng)絡(luò)結(jié)構(gòu)不合理。全省的網(wǎng)絡(luò)接入不論性質(zhì)一律以生產(chǎn)數(shù)據(jù)網(wǎng)核心交換機(jī)為交換中心，低安全級(jí)別系統(tǒng)對(duì)高安全級(jí)別系統(tǒng)進(jìn)行穿越，破壞安全體系，給信息網(wǎng)造成極大的安全隱患。 6. Inter 的接入?yún)^(qū)僅靠防火墻系統(tǒng)進(jìn)行安全保護(hù)，對(duì)數(shù)據(jù)流的深入分析能力較差，無(wú)法對(duì) DOS/DDOS 攻擊、垃圾郵件、協(xié)議非法使用、病毒等安全事件進(jìn)行網(wǎng)關(guān)級(jí)的應(yīng)對(duì)； 7. 無(wú)法對(duì)有限的 Inter 互連網(wǎng)帶寬資源進(jìn)行有效帶寬分配及控制；（如：無(wú)法對(duì) BT 等 PP 軟件通過(guò) 80 端口對(duì)帶寬進(jìn)行非法占用進(jìn)行控制） 8. 無(wú)法對(duì)有限的廣域網(wǎng)帶寬資源進(jìn)行有效帶寬分配及控制；（如：進(jìn)行電 第 4 頁(yè) 共 61 頁(yè) 視會(huì)議或 VOIP 時(shí)是否有足夠的廣域網(wǎng)帶寬支持，是否會(huì)出現(xiàn)馬賽 克） 9. 下級(jí)單位、兄弟單位及小區(qū)的接入在安全上不可控，尤其是小區(qū)的接入。 11. 缺乏移動(dòng)安全接入的有效手段。 14. 無(wú)全網(wǎng)統(tǒng)一的網(wǎng)絡(luò)身份管理系統(tǒng)。 綜上所述，為適應(yīng) XX 電力將來(lái)信息系統(tǒng)建設(shè)發(fā)展的需求， XX 電力的信息安全系統(tǒng)建設(shè)仍然有很長(zhǎng)的路走。 第 5 頁(yè) 共 61 頁(yè) 方案設(shè)計(jì)概述 在上一章中，我們對(duì)本次項(xiàng)目建設(shè)的目標(biāo)以及系統(tǒng)的現(xiàn)狀進(jìn)行了分析。安全域的劃分主要由防火墻系統(tǒng)及入侵檢測(cè)防御系統(tǒng)實(shí)現(xiàn)隔離，安全應(yīng)用代理，防病毒 /蠕蟲(chóng)及防垃圾郵件功能、 SSL VPN 系統(tǒng)、統(tǒng)一安全管理系統(tǒng)等進(jìn)行配套而實(shí)現(xiàn)的。原則上，只允許各安全域根據(jù)服務(wù)和應(yīng)用的需要開(kāi)放相應(yīng)的資源和訪(fǎng)問(wèn)端口，限制不必要的服務(wù)，提高本域的安全性；允許高安全級(jí)別用戶(hù)訪(fǎng)問(wèn)低安全域中的資源。通過(guò)雙防火墻屏蔽的方式，在兩個(gè)防火墻中間形成一個(gè)大的 DMZ 區(qū)，即外網(wǎng)區(qū)，以滿(mǎn)足公共服務(wù)提供，撥號(hào)接入、小區(qū)住宅接入及 Extra 接入等接入服 務(wù)，同時(shí)進(jìn)一步強(qiáng)化該區(qū)的安全。 入侵檢測(cè)防御系統(tǒng)（ IDP）的部署： 由于入侵檢測(cè)防御系統(tǒng) IDP 采用帶內(nèi)工作方式，在發(fā)現(xiàn)攻擊之時(shí)就可以將攻擊數(shù)據(jù)包屏蔽，相比于只有報(bào)警而不能阻擋攻擊的傳統(tǒng)的 IDS 系統(tǒng)， IDP 是真正的可檢測(cè)并阻止攻擊的技術(shù)。 SSL VPN 安全接入系統(tǒng)部署 通過(guò) SSL VPN 安全接入系統(tǒng)平臺(tái)的部署，用戶(hù)在任何地方：無(wú)論是出差或是在家中或是在任何下屬單位，只要能訪(fǎng)問(wèn) Inter，只要有標(biāo)準(zhǔn)的 web 瀏覽器，無(wú)需進(jìn)行任何部署或安裝硬件、軟件客戶(hù)端設(shè)備，也無(wú)需對(duì)內(nèi)部服務(wù)器進(jìn)行任何修改，沒(méi)有地址翻譯穿越的影響，也不受私有地址沖突的影響，而且?guī)缀醪恍枰魏魏笃诰S護(hù)，所以可以方便地讓用戶(hù)安全地接入企業(yè)網(wǎng)絡(luò)。 第 11 頁(yè) 共 61 頁(yè) 系統(tǒng)安全平臺(tái)：主要是指在安全域及深入防御思想的指導(dǎo)下，信息系統(tǒng)平臺(tái)自身的安全加固及多安全域的配套安全設(shè)施強(qiáng)化。具體技術(shù)設(shè)施包括門(mén)戶(hù)系統(tǒng)（ Portal） 、身份管理系統(tǒng)（ IM）、訪(fǎng)問(wèn)控制系統(tǒng)（ AM）、證書(shū)系統(tǒng)（ PKI）等。 第 12 頁(yè) 共 61 頁(yè) 電力信息系統(tǒng)安全域基本概念 安全域是根據(jù)信息性質(zhì)、使用主體、安全目標(biāo)和策略等的不同來(lái)劃分的，是具有相近的安全屬性需求的網(wǎng)絡(luò)實(shí)體的集合。 但如同硬幣有兩個(gè)面一樣， 我們應(yīng)該意識(shí)到事務(wù)的兩面性，隨著應(yīng)用的不斷增加，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也會(huì)不斷暴露出來(lái)。以上這些安全措施 的簡(jiǎn)單部署 已經(jīng) 不能完全 適應(yīng)現(xiàn)代 電力 系統(tǒng)的安全需求。 而 有些安全域 之間 則 必需通過(guò)物理隔離的方法來(lái)控制訪(fǎng)問(wèn)。通過(guò)其它安全系統(tǒng)進(jìn)行安全配套。除了部署防火墻模塊和 IDP 入侵防御雙機(jī)系統(tǒng)外，建議今后可進(jìn)一步增加部署反向代理服務(wù)器、網(wǎng)絡(luò)身份系統(tǒng)、訪(fǎng)問(wèn)控制系統(tǒng)、文件完整性系統(tǒng)等多種安全設(shè)施以確保 IDC 區(qū)的系統(tǒng)級(jí)安全及應(yīng)用級(jí)安全。為 IDC 核心區(qū)提供安全隔離和訪(fǎng)問(wèn)控制的功能。 局域網(wǎng)辦公區(qū)： 公司總部大樓辦公用網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)終端全部屬于局域網(wǎng)辦公區(qū)。根據(jù)所提供服務(wù)的不同， DMZ 區(qū)可以進(jìn)一步進(jìn)行安全子域的劃分，具體包括撥號(hào)接入?yún)^(qū)、小區(qū)和住宅接入?yún)^(qū)、 Extra 接入?yún)^(qū)、公共信息服務(wù)提供區(qū)，以上網(wǎng)絡(luò)區(qū)域的劃分和安全隔離可通過(guò)外網(wǎng)核心交換機(jī)上的路由引擎 ACL 功能及配套防火墻系統(tǒng)來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)防火墻系統(tǒng)從其設(shè)置的物理位置來(lái)說(shuō)，最恰當(dāng)?shù)奈恢镁褪遣煌踩?jí)別的網(wǎng)絡(luò)物理邊界的出入口。我們可將安全等級(jí)不同的網(wǎng)絡(luò)劃分在不同物理網(wǎng)段或邏輯 VLAN 中，然后將物理網(wǎng)段直接與防火墻不同的物理端口相連或?qū)?VLAN 指定為防火墻系統(tǒng)的某個(gè)接口的網(wǎng)邏輯子接口。 通過(guò) VLAN 設(shè)置，網(wǎng)段在網(wǎng)絡(luò)中的邏輯位置會(huì)產(chǎn)生相應(yīng)的變化，從而使網(wǎng)絡(luò)結(jié)構(gòu)產(chǎn)生根本性的變化。 該系列防火墻 擁有高性能的 真正的 ASIC 硬件平臺(tái)、 ScreenOS 安全操作系統(tǒng)、 Security Manager 集中 管理工具、齊全的高密端口布局，體現(xiàn)了軟硬兼顧、內(nèi)外統(tǒng)一、應(yīng)用靈活、集中管理 第 18 頁(yè) 共 61 頁(yè) 等多種設(shè)計(jì)優(yōu)點(diǎn)。同時(shí)為了進(jìn)一步充分發(fā)揮防火墻設(shè)備的高性能，我們建議該雙機(jī)系統(tǒng)以并行方式運(yùn)行，這樣 1+1=2 充分發(fā)揮雙機(jī)的性能。因此在故障切換同步期間可以共享以下信息：連接 /會(huì)話(huà)狀態(tài)信息、 IPSec 安全性關(guān) 聯(lián)、 NAT 流量、地址簿信息以及配置變化等。 防火墻系統(tǒng)的雙機(jī)工作方式 可以提供多種配置選項(xiàng)，包括： 主動(dòng) /被動(dòng)方式 及 主動(dòng)主動(dòng)方式。 第 21 頁(yè) 共 61 頁(yè) ? 主動(dòng) /主動(dòng)：兩臺(tái)設(shè)備都配置為主動(dòng)，通過(guò)負(fù)載分擔(dān)機(jī)制來(lái)分擔(dān)分配給它們的流量。如果一臺(tái)設(shè)備出現(xiàn)故障，那么另一臺(tái)設(shè)備就成為主設(shè)備并繼續(xù)處理所有流量。 ? 心跳信息丟失 ? 任何接口上的鏈路丟失 ? 無(wú)法接入配置的 IP 地址或一組監(jiān)控的 IP 地址 在本項(xiàng)目中我們采用主動(dòng) /被動(dòng)方式完成 IDC 隔離防火墻及內(nèi)外網(wǎng)隔離防火墻的高可用設(shè)計(jì)。 因此從可預(yù)見(jiàn)的 58 年時(shí)間內(nèi)，防火墻在此位置上不會(huì)形成整體系統(tǒng)的瓶頸問(wèn)題。 3. 防火墻之間的關(guān)系： NetScreen 防火墻的高可用性協(xié)議 NSRP，可以保證兩臺(tái)防火墻之間處于共同工作、互為狀態(tài)備份的關(guān)系，消除單點(diǎn)故障。并且防火墻采用系統(tǒng)多總線(xiàn)結(jié)構(gòu)設(shè)計(jì)，數(shù)據(jù)總線(xiàn)與控制總線(xiàn)分開(kāi)，互不影響，在大任務(wù)量大流量環(huán)境下， ASIC 防火墻可以保持一致的穩(wěn)定性和性能，是關(guān)鍵網(wǎng)絡(luò)中有保障的防火墻技術(shù)。并且集成化的設(shè)備 也減少了數(shù)據(jù)流經(jīng)過(guò)多個(gè)安全控制設(shè)備造成的延遲。 8． 抗拒絕服務(wù)攻擊：可以在 Netscreen 防火墻上啟 用抗拒絕服務(wù)攻擊功能，針對(duì)內(nèi)部服務(wù)器群進(jìn)行抗拒絕服務(wù)攻擊防護(hù)，支持的抗攻擊類(lèi)型如： SYN Attack /Deny ICMP Flood /Deny UDP Flood /Limit Session /Deny SYN Fragment /Deny TCP Packet Without Flag /Deny SYN and FIN Bits Set /Deny FIN Bit With No ACK Bit /Deny Port Scan Attack /Deny ICMP Fragment /Deny Ping of Death Attack /Address Sweep Attack /Deny Large ICMP Packet /Deny Tear Drop Attack /Deny IP Source Route Option /Detect IP Record Route Option /Detect IP Security Option Detect IP Strict Source Route Option /Deny Unknown Protocol /Deny Fragment /Deny IP Spoofing Attack Deny Bad IP Option /Deny IP Timestamp Option /Detect IP Loose Source Route Option /Detect IP Stream Option /Filter WinNuke Attack / Deny Land Attack 等 9．身份認(rèn)證： Netscreen 防火墻支持身份認(rèn)證功能，包括本地認(rèn)證（用戶(hù)庫(kù)設(shè)置在防火墻本地，認(rèn)證判斷在防火墻上進(jìn)行） 和遠(yuǎn)程認(rèn)證（用戶(hù)庫(kù)在遠(yuǎn)程認(rèn)證服務(wù)器上，認(rèn)證判斷在認(rèn)證服務(wù)器上進(jìn)行）兩種， 為實(shí)現(xiàn)動(dòng)態(tài)口令式的身份認(rèn)證，我們需要使用防火墻的遠(yuǎn)程認(rèn)證功能，讓防火墻與 RSA 認(rèn)證服務(wù)器聯(lián)動(dòng)。防火墻根據(jù)RSA 服務(wù)器返回的結(jié)果，決定是否允許管理員對(duì)內(nèi)部服務(wù)器管理端口的訪(fǎng)問(wèn)。防火墻對(duì) Policy 的定義可以根據(jù)源地址、目標(biāo)地址、源端口、目標(biāo)端口以及時(shí)間段等多種因素，所以，對(duì)帶寬管理的控制也是高度靈活的。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)防火墻在使用的過(guò)程中暴露出以下的不足和弱點(diǎn)：一、傳統(tǒng)的防火墻在工作時(shí)，入侵者可以偽造數(shù)據(jù)繞過(guò)防火墻或者找到傳統(tǒng)防火墻中可能敞開(kāi)的后門(mén)；二、傳統(tǒng)防火 第 27 頁(yè) 共 61 頁(yè) 墻完全不能防止來(lái)自網(wǎng)絡(luò)內(nèi)部的襲擊 ，通過(guò)調(diào)查發(fā)現(xiàn)，將近 65%的攻擊都來(lái)自網(wǎng)絡(luò)內(nèi)部，對(duì)于那些對(duì)企業(yè)心懷不滿(mǎn)或假意臥底的員工來(lái)說(shuō)，防火墻形同虛設(shè)；三、由于傳統(tǒng)防火墻性能上的限制，通常它不具備實(shí)時(shí)監(jiān)控入侵的能力；四、傳統(tǒng)防火墻對(duì)于病毒的侵襲也是束手無(wú)策。已經(jīng)為大多 數(shù)組織機(jī)構(gòu)的安全構(gòu)架所接受。 IDP(入侵檢測(cè)防御 )系統(tǒng)可以補(bǔ)充上述產(chǎn)品的不足。 Juniper 網(wǎng)絡(luò)公司 ISG 系列防火 墻 中的 IDP 應(yīng)用層防護(hù)模塊 先進(jìn)的攻擊防護(hù)和定制功能有助于準(zhǔn)確地檢測(cè)攻擊，并阻止其攻擊網(wǎng)絡(luò)，以避免產(chǎn)生損失。 ? 全面的簽名定制通過(guò)提供更高的控制能力，以適應(yīng)簽名的特定要求，從而增強(qiáng)檢測(cè)獨(dú)特攻擊的能力。由于不同的攻擊類(lèi)型要求采用不同的識(shí)別方法，因此，僅使用幾種檢測(cè)方法的產(chǎn)品不能檢測(cè)出所有類(lèi)型的攻擊。 復(fù)合簽名 將狀態(tài)簽名和協(xié)議異常結(jié)合在一起，檢測(cè)單個(gè)會(huì)話(huà)中的復(fù)雜攻擊。傳統(tǒng)的基 第 29 頁(yè) 共 61 頁(yè) 于簽名的入侵檢測(cè)系統(tǒng)在流量流的任意部分尋找攻擊模式，從而導(dǎo)致較高的錯(cuò)誤告警幾率。此外，開(kāi)放式簽名格式和簽名編輯器可用于迅速修改或添加簽名。這樣，檢測(cè)性能將顯著提高，而且錯(cuò)誤告警的數(shù)量也大大減少。協(xié)議異常檢測(cè)可用于識(shí)別與 正常 流量協(xié)議不同的攻擊。協(xié)議異常檢測(cè)與其所支持的多種協(xié)議具有同樣的效力。 后門(mén)檢測(cè) Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護(hù)模塊 是可以識(shí)別并抵御后門(mén)攻擊的產(chǎn)品。 后門(mén)檢測(cè)是檢測(cè)蠕蟲(chóng)和特洛伊木馬的唯一方式 ： ? 查看交互式流量 ? 根據(jù)管理員的定義檢測(cè)未授權(quán)的交互式流量 ? 檢測(cè)每個(gè)后門(mén)，即使流量已加密或者協(xié)議是未知 IDP 應(yīng)用層防護(hù)的步驟 Juniper 的 ISG 防火墻的 IDP 應(yīng)用層防護(hù)模塊可以提供兩種的接入模式，Active 模式和 Inline_Tap 模式，由于攻擊檢測(cè)本身所具有的誤報(bào)性，建議用戶(hù)在使用 ISG 防火墻系統(tǒng)的 IDP 應(yīng)用層保護(hù)模塊的時(shí)候，可以采用如下的配置步驟： 1. 通過(guò)防火墻安全策略的定制，將需要進(jìn)行應(yīng)用層攻擊檢測(cè)和防護(hù)的流量傳給應(yīng)用層防護(hù)模塊，對(duì)于其他的無(wú)關(guān)緊要的網(wǎng)絡(luò)數(shù)據(jù)流量，可以不需要通過(guò)應(yīng)用層保護(hù)模塊，只通過(guò)防火墻的檢測(cè)就可以保證其安全性，這樣的配置可以保證在將敏感數(shù)據(jù)進(jìn)行了攻擊檢測(cè)的同時(shí)，最大限度的保證網(wǎng)絡(luò)的性能，提高網(wǎng)絡(luò)吞吐量，減少網(wǎng)絡(luò)延遲。在這個(gè)時(shí)期，我們可以對(duì)于一些比較肯定和威脅很大的攻擊，在規(guī)則中配置成阻斷攻擊。 通過(guò)提供集中的端到端生命周期管理來(lái)實(shí)現(xiàn)精細(xì)的設(shè)備配置、網(wǎng)絡(luò)設(shè)置和安全策略控制， Juniper 網(wǎng)絡(luò)公司 NetScreenSecurity Manager 采用了一種全新的方法來(lái)實(shí)現(xiàn)安全 管理。他們可以允許或限制公司內(nèi)不同個(gè)人或部門(mén)接入信息，從而使員工可以作出與他們的角色相適應(yīng)的決策。為了實(shí)現(xiàn)這一目標(biāo)，NetScreenSecurity Manager 提供了一個(gè)綜合管理界面以便從一個(gè)集中位置上控制所有設(shè)備參數(shù)。利用內(nèi)置的報(bào)告功能，管理員還可以迅速生成報(bào)告來(lái)進(jìn)行調(diào)查研究或查看是否符合要求。 通過(guò) NetScreenSecurity Manager， Juniper 網(wǎng)絡(luò)公司可以為企業(yè)提供全面的管理工具。然而，要享受通過(guò) 互聯(lián)網(wǎng)訪(fǎng)問(wèn)企業(yè)內(nèi)部的信息資源的便利，就需要實(shí)施適當(dāng)?shù)男畔踩呗?，在?yán)格防止 第 34 頁(yè) 共 61 頁(yè) 企業(yè)信息資源被非法竊取的同時(shí)，對(duì)合法的訪(fǎng)問(wèn)要提供方便，同時(shí)還需盡量降低信息安全策略的實(shí)施和維護(hù)成本。單向身份驗(yàn)證 數(shù)字證書(shū) 加密 依靠執(zhí)行 全程安全性 僅對(duì)從客戶(hù)到 VPN 網(wǎng)關(guān)之間通道加密 可訪(fǎng)問(wèn)性 選用于任何時(shí)間、任何地點(diǎn)訪(fǎng)問(wèn) 限制適用于已經(jīng)定義好受控用戶(hù)的訪(fǎng)問(wèn) 費(fèi)用 無(wú)需任何附加的客戶(hù)端軟、硬件安裝 對(duì)沒(méi)有相應(yīng)技術(shù)的用戶(hù)比較困難 文件共享 本方案建議使用 Juniper Netscreen的 SSL VPN 產(chǎn) 品。而且用戶(hù)還可以自行定義強(qiáng)制