【正文】 DNS 停止服務(wù)。 5. 日常運(yùn)維及管理用戶通過(guò)一次性口令集中認(rèn)證訪問(wèn)系統(tǒng)，確保密碼的安全性 ，以及指令的安全性。 安全管理中心的實(shí)施拓?fù)淙缦聢D所示： E250日志分析網(wǎng)管安全審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)管理端病毒控制管理中心 安全管理中心實(shí)施拓?fù)? 安全決策支持中心 安全決策支持中心實(shí)際上是一個(gè)由 專業(yè)安全專家、客戶安全人員、安全知識(shí)庫(kù)、安全信息中心軟件系統(tǒng)以及 專業(yè)安全服務(wù)共同構(gòu)成的一個(gè)常備安全機(jī)構(gòu)。一方面由于主機(jī)型掃描器和數(shù)據(jù)庫(kù)掃描器在使用中對(duì)系統(tǒng)資源占用較高，另一方面，這些掃描器的性價(jià)比較低，所以不推薦使用。 IDS 管理中心用于網(wǎng)絡(luò)型 IDS 的策略控制和監(jiān)控， 報(bào)警信息將會(huì)在控制 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 22 頁(yè) 共 31 頁(yè) 臺(tái)上顯示或報(bào)警； 防病毒管理中心用于防病毒系統(tǒng)的管理和控制； 日志管理中心控制臺(tái)和審計(jì)中心控制臺(tái)分別是日志分析中心和安全審計(jì)中心的 Console 端軟件，可以實(shí)現(xiàn)對(duì)這兩套軟件系統(tǒng)的遠(yuǎn)程控制和管理?，斮愒陂L(zhǎng)期大量的安全工程的安全 設(shè)計(jì)和實(shí)施中，積累了大量運(yùn)維工作的安全管理經(jīng)驗(yàn)，瑪賽愿意與 廣電總局安全運(yùn)維部門一起分享這些經(jīng)驗(yàn)。 在 廣電總局 安全運(yùn)維中，需要通過(guò)安全風(fēng)險(xiǎn)管理提供網(wǎng)絡(luò)中的安全關(guān)鍵點(diǎn)。無(wú)形資產(chǎn)一般可以用重要程度或關(guān)鍵程度評(píng)判其價(jià)值。網(wǎng)絡(luò)的脆弱性表現(xiàn)在網(wǎng)絡(luò)中存 在的可能被威脅利用的缺陷，如：可能發(fā)生外部人員的猜出口令而對(duì)網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)訪問(wèn)的事件等。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 25 頁(yè) 共 31 頁(yè) 業(yè)務(wù)資源不可用 與網(wǎng)絡(luò)資源不可用類似， 廣電總局 的業(yè)務(wù)資源，如 OA 系統(tǒng) 、 DNS 系統(tǒng)、等，都會(huì)由于某些威脅，造成系統(tǒng)不可用，我們需要給出這些資源的風(fēng)險(xiǎn)評(píng)估。通過(guò)把暴露安全漏洞所帶來(lái)的風(fēng)險(xiǎn)和實(shí)施及強(qiáng)制執(zhí)行安全策略所需要的費(fèi)用進(jìn)行比較，就可以確定 廣電總局 可接受的風(fēng)險(xiǎn)水平。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 26 頁(yè) 共 31 頁(yè) 物理安全管理 物理安全一直是安全領(lǐng)域重要一環(huán)。 機(jī)房施工管理制度 我們 結(jié)合以前項(xiàng)目中安全管理的經(jīng)驗(yàn)，為 廣電總局 制定了如下的機(jī)房施工管理制度， 廣電總局 運(yùn)維部門也可以結(jié)合各機(jī)房情況改進(jìn)該管理制度，以求充分切合實(shí)際。 如下為我們?yōu)?廣電總局 設(shè)計(jì)的故障報(bào)告的一個(gè)簡(jiǎn)要格式： 其他運(yùn)維管理制度 針對(duì) 廣電總局 運(yùn)維實(shí)際，我們從設(shè)備使用管理、設(shè)備文檔管理等方面提供設(shè)備檔案管理制度的建議，同時(shí)也提供了關(guān)于設(shè)備配置 更改制度的一些想法。 就用戶管理而言，我們建議對(duì) 廣電總局 設(shè)備或是網(wǎng)段的訪問(wèn)必須明確限制到需要訪問(wèn)的個(gè)人，我們采取兩種管理措施：預(yù)防性管理和探測(cè)性管理。對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)控制，建議每個(gè)業(yè)務(wù)系統(tǒng)獨(dú)立分配相應(yīng)的用戶。 廣電總局 網(wǎng)絡(luò)設(shè)備的 OS 的更新將遵從網(wǎng)絡(luò)設(shè)備的安全管理制度，確保 OS 鏡像的完整性。 針對(duì)主機(jī)設(shè)備，我們將為 廣電總局 每臺(tái)關(guān)鍵主機(jī)建立完整性管理庫(kù)，建議 廣電總局 的運(yùn)維部門定期根據(jù)管理制度對(duì)重要服務(wù)器的完整性進(jìn)行檢查，以達(dá)到主機(jī)設(shè)備完整性要求。以下將針對(duì)日常安全管理中的故障處理提供管理上的建議，服務(wù)上的建議詳見(jiàn)第五章。 安全管理是整體網(wǎng)絡(luò)安全解決方案的基石，有了良好的安全管理體制，才能真正建立整體安全防護(hù)體系，安全解決方案也才能真正在運(yùn)維過(guò)程中得以實(shí)施。 我們建議對(duì)廣電總局員工進(jìn)行 安全知識(shí)培訓(xùn)和安全技術(shù)培訓(xùn)。 從用戶實(shí)際需求出發(fā)，遵照集中管理思想，從集成，服務(wù)和培訓(xùn)三個(gè)方面制定安全解決方案。 瑪賽作為全國(guó)首批互聯(lián)網(wǎng)安全服務(wù)試點(diǎn)單位， 希望利用長(zhǎng)期專業(yè)安全設(shè)計(jì)和服務(wù)方面的優(yōu)勢(shì)為 廣電總局 網(wǎng)絡(luò)系統(tǒng) 的安全保駕護(hù)航。 注重長(zhǎng)期服務(wù)，確保運(yùn)維管理中的安全性。 我們建議 通過(guò)本次安全工程對(duì) 用戶進(jìn)行安全知識(shí)培訓(xùn)，初級(jí)安全培訓(xùn)和中級(jí)安全培訓(xùn)建議安排在安全集成前對(duì)用戶進(jìn)行，高級(jí)安全培訓(xùn)建議在安全服務(wù)前進(jìn)行。因?yàn)槿藛T的安全觀念， 系統(tǒng)管理員的實(shí)際安全知識(shí)直接影響到整個(gè)系統(tǒng)安全方案的實(shí)施。 我們 建議與 廣電總局 建立一個(gè)集中的小組作為處理突發(fā)事故的基本中心，該小組職能如下： 跟蹤最新的故障和入侵跡象； 成為故障報(bào)告的主要聯(lián)系點(diǎn)； 將故障通知給其他人； 估計(jì)損失并且應(yīng)付故障； 研究如何避免同一缺陷引起更多的破壞； 當(dāng)安全故障發(fā)生時(shí)，小組應(yīng)該依照以下方面檢查是否網(wǎng)絡(luò)安全受到破壞： 關(guān)鍵 數(shù)據(jù)是否有損失； 系統(tǒng)運(yùn)行性能是否差； 異常通信模式； 異常系統(tǒng)使用時(shí)間； 登陸失敗的次數(shù)過(guò)多； 從這些方面做初步檢查后，再利用入侵檢測(cè)系統(tǒng)以統(tǒng)計(jì)方法和基于規(guī)則的方 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 30 頁(yè) 共 31 頁(yè) 法相結(jié)合，從正常的網(wǎng)絡(luò)活動(dòng)中辨別出異常，這樣才能發(fā)現(xiàn)故障來(lái)源。 日常安全管理 日常安全管理更加偏重于日常安全審計(jì)以及安全事件響應(yīng)的內(nèi)容。同時(shí)，我們也提供一些冗余措施以提高網(wǎng)絡(luò)設(shè)備的可用性。建議至少在危及到特權(quán)帳戶的安全或發(fā)生重大人事變動(dòng)時(shí)必須更換口令； 在口令選擇方面，有以下基本原則： 不要使用登錄名，不管以何種形式（如原樣或顛倒、大寫和重復(fù)等） 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 28 頁(yè) 共 31 頁(yè) 不要用名字的第一個(gè)、中間一個(gè)或最后一個(gè)字（不管是現(xiàn)用名還是曾用名） 不要用最親近的家人的名字（包括配偶、子女、父母和寵物） 不要用其他任何容易得到的關(guān)于你的信息 不要使用純數(shù)字或完全同一個(gè)字母組成的口令 不要使用在英文字典中的單詞 不要使用短于 6 位的口令 不要將口令告訴任何人 不要將口令電子郵件給任何人 如果可能，應(yīng)該使用大小寫混合的字母 使用包括非字母字符的口令 使用容易記的口令，這樣就不必將它寫下來(lái) 使用不用看鍵盤就可以很快鍵出的口令 針對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的安全管理，除了用戶身份的驗(yàn)證和認(rèn)證管理之外，則更多的注重對(duì)于完整性，數(shù)據(jù)機(jī)密性、可用性和審計(jì)管理上。探測(cè)性管理，用于記錄和報(bào)告授權(quán)用戶的行為，以及記錄和報(bào)告非授權(quán)訪問(wèn)或?qū)ο到y(tǒng)、程序和數(shù)據(jù)的訪問(wèn)企圖。 良好的物理安全是保證整個(gè)系統(tǒng)安全的重要部分， 廣電總局 機(jī)房管理制度的發(fā)展與完善需要 廣電總局 運(yùn)維部門和專業(yè)安全服務(wù)商 密切協(xié)作，在長(zhǎng)期的 運(yùn)維 中得到加強(qiáng)。 運(yùn)維 故障處理制度 為保證 廣電總局 網(wǎng)絡(luò)的安全運(yùn)行，保障全網(wǎng)的服務(wù)質(zhì)量， 我們 為 廣電總局 提供 運(yùn)維 故障處理的建議。我們將針對(duì) 廣 電總局 網(wǎng)絡(luò) 系統(tǒng)提供一些機(jī)房管理制度建議，同時(shí)在全網(wǎng) 運(yùn)維 過(guò)程中與 廣電總局 運(yùn)維部門協(xié)作不斷完善這些制度。再如：針對(duì) DNS 服務(wù)器系統(tǒng)的威脅，我們只要提供防火墻設(shè)備對(duì)進(jìn)出該網(wǎng)段的訪問(wèn)進(jìn)行 過(guò)濾 并提供基本的入侵檢測(cè) 即可，而不需要花費(fèi) 太多 額外的資源去保護(hù)該業(yè)務(wù)系統(tǒng)。 當(dāng)在 廣電總局 所有風(fēng)險(xiǎn)評(píng)定完畢后，就需要 廣電總局 網(wǎng)絡(luò) 部門 進(jìn)一步確定 廣電總局 能夠接受多高的風(fēng)險(xiǎn)，以及資產(chǎn)需要保護(hù)到什么程度。在 廣電總局 中， OA信息、路由配置和安全日志等這些數(shù)據(jù)是需要安全風(fēng)險(xiǎn)管理關(guān)注的關(guān)鍵數(shù)據(jù)，在運(yùn)維中需要為這些數(shù)據(jù)提供安全管理策略，例如： 如何進(jìn)行備份 備份文件存儲(chǔ)在何處 如何 對(duì)數(shù)據(jù)進(jìn)行物理保護(hù) 誰(shuí)有權(quán)訪問(wèn)存儲(chǔ)數(shù)據(jù)的介質(zhì) 數(shù)據(jù)完整性遭到破壞后的恢復(fù)措施 網(wǎng)絡(luò)資源不可用 風(fēng)險(xiǎn)管理將包含確定那些網(wǎng)絡(luò)資源會(huì)受威脅及其所造成的損失?？紤]到實(shí)際需求，我們用不同的關(guān)鍵程度等級(jí)來(lái)劃分?jǐn)?shù)據(jù)類別來(lái)評(píng)定 廣電總局 外 網(wǎng) 資產(chǎn)價(jià)值。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 23 頁(yè) 共 31 頁(yè) 結(jié)合 廣電總局 的目前 運(yùn)維 情況，我們認(rèn)為整個(gè)網(wǎng)絡(luò)中比較關(guān)鍵的資產(chǎn)如下表所示： 資產(chǎn) 說(shuō)明 核心交換機(jī) 廣電總局 外 網(wǎng)所用的 核心交換機(jī) 防火墻 廣電總局 所用的防火墻 接入路由器 承擔(dān) 廣電總局 外網(wǎng) Inter 接入的 接入路由器 WEB 業(yè)務(wù) 承擔(dān) 廣電總局 WEB 服務(wù)的主機(jī) MAIL 業(yè)務(wù) 提供 廣電總局 內(nèi)部工作人員使用的 MAIL 業(yè)務(wù) DNS 業(yè)務(wù) 提供互聯(lián)網(wǎng)用戶及廣電總局內(nèi)部工作人員的 DNS 業(yè)務(wù) 用戶資源 廣電總局 目前的用戶 群 管理人員 廣電總局 擔(dān)負(fù)網(wǎng)絡(luò) 運(yùn)維 的人員 ?? ?? 這里只列出了 廣電總局 外網(wǎng) 中一部分最重要的資產(chǎn)，而在長(zhǎng)期的安全管理中，需要全局統(tǒng)籌管理，隨著業(yè)務(wù)系統(tǒng)的不斷變化，及時(shí)更新關(guān)鍵資產(chǎn)的定義，以保證處理操作的一致性和便于資產(chǎn)評(píng)估。 安全風(fēng)險(xiǎn)管理 安全風(fēng)險(xiǎn)管理是確定適當(dāng)?shù)陌踩胧┑闹匾襟E。 通過(guò)一套或幾套部署在同一地點(diǎn)的安全管理軟件 ，集中的實(shí)現(xiàn)對(duì)多個(gè)節(jié)點(diǎn)的多套安全工具集中的管控，極大的節(jié)約了人力資 源，提高了管理效率，對(duì)降低企業(yè)安全系統(tǒng)的 TCO（總體擁有成本）有很大效果。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)漏洞，另一方面，也是進(jìn)行全網(wǎng)安全審計(jì)的重要工具。 而安全信息中心軟件系統(tǒng)包括了 安全管理中心內(nèi)的安全審計(jì) 軟件和日志分析 軟件 兩大部分 。 一方面針對(duì)全網(wǎng)的安全設(shè)備進(jìn)行集中管理，另一方面，可以利用集中管理軟件收集全網(wǎng)網(wǎng)絡(luò)和主機(jī)安全信息，用于安全分析和統(tǒng)計(jì)，進(jìn)而對(duì)全網(wǎng)安全進(jìn)行決策和支持。 3. 依靠入侵檢測(cè)系統(tǒng)及日志分析系統(tǒng)對(duì)該業(yè)務(wù)主機(jī)進(jìn)行詳細(xì)的訪問(wèn)記錄審核，并保留相關(guān)記錄。 需要注意的是，國(guó)內(nèi)不少著名的大型免費(fèi)郵件提供商的服務(wù)器都被列入過(guò) RBL，所以采用 RBL 時(shí)要確認(rèn)是否有必要，和 估計(jì)相應(yīng)的風(fēng)險(xiǎn)。限制方法與收件人數(shù)量限制類似。有兩種做法：限速或中止。通?？梢酝ㄟ^(guò)模式識(shí)別來(lái)進(jìn)行。 垃圾郵件的發(fā)件人無(wú)論通過(guò)何種技術(shù)，都無(wú)法隱藏其來(lái)源地址。 ? 為該郵件服務(wù)器實(shí)施主機(jī)安全增強(qiáng)服務(wù)，消除操作系 統(tǒng)自身的安全漏洞。當(dāng)然 WWW 主機(jī)本身需要專門的安全工程師作安全審計(jì)和加