【正文】 固服務。 ? 小心設置 Web 服務器的訪問控制表。 ? 運行新的應用前，先進行安全測試。 ? 在通往 Web 服務器的網絡路徑上安裝基于網絡的實時入侵監(jiān)控系統(tǒng)。為了防止 Web 服務器成為攻擊的犧牲品或成為進入 廣電總局外 網的跳板，我們需要給予更多的關心。 在防病毒產品的選型上，我 們 認為一個成熟優(yōu)秀的、高效可靠的防病毒產品應具有以下特點： ? 先進的體系結構設計 ? 先進的防殺病毒技術 ? 能夠在線實時查殺病毒 ? 準確無誤的報警功能 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 15 頁 共 31 頁 ? 及時、方便地更新病毒定義代碼 ? 快速、有效地處理未知病毒 ? 多平臺的支持 ? 功能強大的控制臺，便于管理與維護 而針對網絡這個層次 而設計的防病毒產品， 我們 認為其重要功能還應該包括能夠對網絡進行實時病毒監(jiān)控、支持病毒有效地隔離。這樣雖然可以保證桌面平臺避免病毒的威脅，但沒有從根本上杜絕病毒在網絡上傳播，無法解決由于病毒造成的網絡流量異常、系統(tǒng)服務過載等這類嚴重威脅網絡正常服務的問題。目前已知的計算機病毒超過 20， 000 種，并且每月發(fā)現(xiàn)的新病毒超過 300種，即每天都有 10 余種新病毒出現(xiàn)。 持多種 設備類型及數量，是否 支持標準 syslog 協(xié)議。 對于日志分析系統(tǒng)的產品選型，考慮如下因素： 集中收集和監(jiān)控系統(tǒng)日志 。因此，對于掃描審計系統(tǒng)，必須在嚴格的安全代價分析和詳細的掃描模式庫選擇下進行實施，通常對于重要的業(yè)務系統(tǒng)，要根據系統(tǒng)主機的負載情況制定 不同時間段的 掃描計劃 ，從而獲得全面的系統(tǒng)安全狀況。 對于網絡掃描審計產品的選型，考慮如下因素： 體 系結構： Client/Server 結構的掃描審計軟件具有集中管理的優(yōu)勢，利于電信環(huán)境部署及擴展； 攻擊模式庫數量：應對多種攻擊模式均支持； 軟件更新速度快； 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 13 頁 共 31 頁 中文化和本地化支持； 建議掃描審計軟件對全網主機和設備的安全審計信息均存放在管理網段的數據庫中，其中包括主機的操作系統(tǒng)版本、漏洞情況、 patch 情況等安全信息。 SiSi SiSiNetwork IDS 廣電總局 網絡系統(tǒng)入侵監(jiān)測系統(tǒng)部署拓撲圖 安全審計系統(tǒng) 網絡型掃描軟件從網絡角度發(fā)現(xiàn)主機開放服務，同時模擬黑客入侵對主機或網絡設備進行偵測性刺探，從而發(fā)現(xiàn)主機或網絡設備的安全漏洞。 網絡 IDS 系統(tǒng)主機都配置兩塊網卡，一塊用于監(jiān)聽網絡流量，一塊用 于接受管理中心的管理。 在選擇入侵監(jiān)測系統(tǒng)時需要考慮的因素主要有： 1. 管理模式 2. 協(xié)議分析及檢測能力； 3. 解碼效率 (速度 )； 4. 自身安全的完備性； 5. 精確度及完整度，防欺騙能力； 6. 模式更新速度。 3. 雖然在 上述的改造方案中已經為 廣電總局 外網 部署了防火墻，對 網段起到了一定的保護作用，但是很多攻擊手法是防火墻無法阻擋的，比如對Web Server 的基于異常 URL的攻擊，具體體現(xiàn)的例子有 Code Red、 Nimda等等很多。 基于以下 因素 的考慮，我們建議在此次工程中部署基于網絡的入侵檢測系統(tǒng)。入侵檢測技術是動態(tài)安全技術的核心技術之一。 由以上五 個安全等級劃分出發(fā)。 普通用戶級 ：安全級別較管理級低，用戶為總局內部員工，由于用戶可直接訪問 Inter，因此，用戶對互聯(lián)網的訪問行為將帶來很大的危險性，我們 建議將所有用戶的出口訪問都通過最外層的防火墻進行安全策略的規(guī)范，防止由于用戶的有意或無意過時導致的安全隱患的發(fā)生。其中，郵件系統(tǒng)是廣電系統(tǒng)應用的必不可少的一個重要業(yè)務系統(tǒng)。 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 8 頁 共 31 頁 網絡安全技術 防火墻系統(tǒng) VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務器防火墻E220 RmailE220 RDNS網管cc防火墻 防火墻VLANDMZVLANINTRUST安全審計系統(tǒng)入侵檢測系統(tǒng)管理端病毒控制管理中心 如 前 圖所示，根據廣電總局外 網整體安全層次的劃分需求，我們將對廣電總局外 網劃分 五 個安全等級： WEB 系統(tǒng)級 、 MAIL/備份 DNS 級、網絡管理級、普通用戶級、視頻服務 /主 DNS 級 。 第三， 在原先網管系統(tǒng)的基礎上，建立新的網絡管理及安全管理網段，該網段集中了網管、審計、日志、 入侵檢測 及病毒管理中心等安全及網管主機，日常運維中通過各類安全技術收集整網安全信息，提供運維人員整網狀況。各業(yè)務及用戶網段的 VLAN 劃分在工程實施時提供詳細 VLAN 劃分及 IP 地址分配原則。 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 6 頁 共 31 頁 VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務器防火墻E220 RmailE220 RDNS網管cc防火墻 防火墻VLANDMZVLANDMZ安全審計系統(tǒng)入侵檢測系統(tǒng)管理端病毒控制管理中心 在經過上述調整之后，我們可以看到， 考慮到未來廣電總局將使用一條新的10M 光線出口鏈路，并保留目前的一條出口鏈路作為備份鏈路，我們建議在出口接入路由器上運行動態(tài)路由協(xié)議，保持兩條的鏈路互為備份。 二、 統(tǒng)一的安全防護體系 在整個安全項目設計過程中，我們始終遵循統(tǒng)一的安全原則，從全網安全管理角度出發(fā)，關注于各業(yè)務系統(tǒng)的安全，目標是為客戶建立統(tǒng)一的安全防護體系。 － 防護技術的層次性 層次性還表現(xiàn)在防護技術上。在全網安全方案的設計中，無論是安全管理制度的制定和施行，或是安全產 品的選型和實施，還是長期安全服務方案的制定，我們都將根據集中性原則，目標是實現(xiàn)對各設備和 業(yè)務 系統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應，這些都 將 依賴于管理制度統(tǒng)一的、集中的制定和施行。因此 在本次設計中，我們從全網角度出發(fā)，關注 廣電信息化建設的目標，各 廣電各 業(yè)務系統(tǒng)安全，根據各業(yè)務系統(tǒng)特點提出 從防護－ 檢測－ 回復 的 完整的 解決方案，而不是治標不治本。安全問題必須遵從整體性 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 4 頁 共 31 頁 原則， 網絡中的任何一個漏洞或隱患都可能造成整網的安全水平的降低。 缺乏對攻擊的監(jiān)測和記錄手段，比如入侵檢測系統(tǒng)、日志服務等，無法有效的發(fā)現(xiàn)安全事件，也沒有舉證手段。如果惡意用戶在網絡中安裝網絡分析軟件，可截獲用戶密碼，冒充正常用戶身份進行 郵件的收發(fā) 。但是，仔細分析我們可以看出，這個網絡仍然存在很多安全隱患。 在 該交換機上劃分 VLAN。一臺為郵件服務器，另一臺為主 DNS 服務器。 本次項目主 要是針對 廣電總局外 部 網絡 的安全提出 解決方案，涉及防火墻系統(tǒng)、 安全審計系統(tǒng)、 網絡型入侵檢測系統(tǒng)、 防病毒體系、 垃圾郵件系統(tǒng) 、安全管理、系統(tǒng)安全增強及性能優(yōu)化 以及未來與廣電總局直屬機關互聯(lián)互通時的安全相關 技術 和建議 。 隨著廣電總局網絡功能和業(yè)務的發(fā)展需求， 網絡 安全 作為信息化建設中必不可少的一項工作 ， 以逐漸提現(xiàn)出其重要性。目前，該網絡 通過兩條出口鏈路接入互聯(lián)網 。 所以 ，為了 保障 廣電總局 網絡 系統(tǒng)資源的安全和穩(wěn)定運行， 迫切需要建立一個統(tǒng)一的安全防護體系， 從而 為 廣電總局 的網絡業(yè)務 提供高質量的信息服務。 SUN A5100：磁盤陣列 E220R：兩臺。 ULTRA 10： 外 網網管服務器 外 部網絡結構由兩臺 CISCO 6509 承擔外 網核心交換工作 ，目前只有一臺6509 處于工作狀態(tài) 。 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 3 頁 共 31 頁 直觀看來，此網絡已經具有了一定的安全性， 外 網與 Inte 部署了防火墻系統(tǒng)進行防護 。 MAIL 系統(tǒng) 用戶 帳號及 密碼以明碼方式在網絡上傳播。無法防患于未然。 安全設計原則 整體性原則 安全作為一個特殊的技術 領域，有著自己的特點。 但是， 隨著 信息化發(fā)展的 需求，處于嚴格控管下的互聯(lián)互通將是網絡發(fā)展的趨勢 。 廣電總局 的設備和主機類型較 多，業(yè)務系統(tǒng) 涵蓋廣電各個部門及相關機構，業(yè)務模式 相對復雜且管理機構和管理模式也千差萬別。比如，用戶管理需要分層次的授權機制；防病毒體系的病 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 5 頁 共 31 頁 毒庫分發(fā)或報警也 需要分層次機制；安全緊急響應的流程也需要建立分層監(jiān)控，逐級響應的機制。 長期性原則 安全一向是一個交互的過程，使用任何一種“靜態(tài)”或者號稱“動態(tài)”防范的產品都不能解決一直在發(fā)展的系統(tǒng)安全問題，所以我們針對安全問題的特點，提供針對 廣電總局 外部 網絡 全面的安全服 務，其中包括設備產品的技術支持和服務以及安全審計、安全響應等專業(yè)安全服務。 網絡 結構 安全 首先，通過如下的示意圖，我們可以更加清晰的 了解本方案對廣電總局外 部網絡的安全結構 。 核心 交換 依舊是兩臺 CISCO 6509 高性能的高端 交換機， 我們建議所有提供服務的主機不再 直接連接在