【正文】 四川省 XXX 院 信息安全 建設(shè)方案 27 成都 XXXX 信息技術(shù)有限公司 服務(wù)器 DMZ 區(qū) 核 心 交 換 機(jī)數(shù) 據(jù) 中 心服 務(wù) 器 D M Z 區(qū) 在增加應(yīng)用系統(tǒng)，向公眾提供資源服務(wù)后，必將建設(shè)應(yīng)用系統(tǒng)服務(wù)器群，采用熱備、負(fù)載均衡等技術(shù)，實(shí)現(xiàn)穩(wěn)定、可靠的公眾服務(wù)，同時，應(yīng)防范來自內(nèi)、外網(wǎng)絡(luò)的病毒、攻擊和惡意訪問。 ? 系統(tǒng) 應(yīng) 具備公安部安全銷售許可證。且無論用戶是否上線，也要保證其在登陸網(wǎng)絡(luò)后，第一時間安裝和閱讀。 ? 某些安全設(shè)備采取網(wǎng)絡(luò)內(nèi)串行部署的方式，容易造成性能瓶頸和單點(diǎn)故障； ? 無法對用戶的網(wǎng)絡(luò)行為進(jìn)行記錄，事后審計困難； 管理挑戰(zhàn) ? 用戶信息量大，設(shè)置管理困難； ? 網(wǎng)絡(luò)出現(xiàn)故障，難以準(zhǔn)確定位、迅速解決； ? 針對用戶的 IP 地址管理困難，存在 IP 地址盜用、 IP 地址沖突等情況； ? 難以自動對接入用戶的時間和地點(diǎn)進(jìn)行控制； ? 文件、補(bǔ)丁、軟件難以及時下發(fā)到每個用戶； 方案詳細(xì)介紹 “高安全、易管理 ” 的 全新 企業(yè) /政府 網(wǎng)解決方案，由六個組件構(gòu)成。因此，盡量使用 SSH、 SNMPv3 等秘文傳輸方式登錄交換機(jī)，因?yàn)樗鼈兌寂c交換機(jī)之間都是加密傳輸。 對于接入層交換機(jī)，在沒有冗余鏈路的情況下，盡量不用開啟 STP 協(xié)議。 這比僅僅設(shè)定交換機(jī)某個端口可以接受 DHCP 響應(yīng)報文更合理和可靠。 四川省 XXX 院 信息安全 建設(shè)方案 19 成都 XXXX 信息技術(shù)有限公司 防范： 利用交換機(jī)端口安全功能： MAC 動態(tài)地址鎖和端口靜態(tài)綁定 MAC、 1x 端口下的自動動態(tài)綁定用戶 IP/MAC，來限定交換機(jī)某個端口上可以訪問網(wǎng)絡(luò)的MAC 地址，從而控制：那些通過變化 MAC 地址來惡意請求不同 IP 地址和消耗IP 資源的 DHCP 攻擊。 另外，攻擊者成功利用此漏洞可以以本地系統(tǒng)權(quán)限執(zhí)行任意指令，可以在系統(tǒng)上執(zhí)行任意操作，如安裝程序、查看或修改、刪除數(shù)據(jù)或建立系統(tǒng)管理員權(quán)限的賬戶。 ? 蠕蟲感染系統(tǒng)后首先檢測是否有名為 “BILLY”的互斥體存在，如果檢測到該互斥體，蠕蟲就會退出，如果沒有，就創(chuàng)建一個。 紅色代碼病毒－－蠕蟲、特洛伊木馬、黑客結(jié)合的雙特征病毒惡意 IP 地址掃描，病毒向按一定算法生成的 IP 網(wǎng)段的 IP 地址的 80 端口發(fā)送 HTTP GET 請求，請求連接成功，就會發(fā)送包含緩沖溢出的代碼，導(dǎo)致一些沒有打補(bǔ)丁的 IIS服務(wù)器緩沖溢出，此主機(jī)遭受感染； 遭受病毒感染的服務(wù)器在后臺開辟 600 個線程用于掃描，占用了大量系統(tǒng)資源，并再次感染其它主機(jī)，并對其 WEB 服務(wù)器 80 端口發(fā)起長度為 66 字節(jié)的 SYN 請求包的 DoS 攻擊。 (7)在三層路由交換機(jī)建立相應(yīng)的 VLAN 以及與 VLAN 綁定的 IP 子網(wǎng)網(wǎng)關(guān)。具體的實(shí)施過程建議如下進(jìn)行： (1)對全網(wǎng)的 IP 地址進(jìn)行全面的規(guī)劃，確定各子網(wǎng)內(nèi)主機(jī)的數(shù)量，并根據(jù) IP子網(wǎng)內(nèi)主機(jī)的數(shù)量確定掩碼的長度。 (2)VLAN 可以避免廣播風(fēng)暴。 ? 高效性： IP 地址的分配必須采用 VLSM 技術(shù)，充分合理利用已申請的地址空間，保證 IP 地址的利用效率，采用 CIDR 技術(shù)，減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小； IP 規(guī)劃的時候，為了保障全網(wǎng)的統(tǒng)一管理，需要對接入用戶以及網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一的 IP 規(guī)劃。 (1)網(wǎng)絡(luò)出口采用防火墻 設(shè)備 ，提供 抵 抗外網(wǎng)攻擊等功能，有效地防止蠕蟲等病毒的攻擊，同時還可以有效地防止 BT/電驢等對網(wǎng)絡(luò)帶寬的占用。 應(yīng) 具有不間斷保護(hù)功能，至少每天一次將已作的更新自動分發(fā)到網(wǎng)絡(luò)中。 應(yīng)支持安全協(xié)議棧、具備強(qiáng)大的處理功能，在防范外網(wǎng)病毒和攻擊的同時，應(yīng)具備完整的內(nèi)網(wǎng)安全管理，能對用戶使用網(wǎng)絡(luò)的情況進(jìn)行實(shí)時監(jiān)控，并可及時隔離異?？蛻舳?。 四川省 XXX 院 信息安全 建設(shè)方案 8 成都 XXXX 信息技術(shù)有限公司 3 總體需求 及主要內(nèi)容 根據(jù) 以 上的分析和 總結(jié)，我們提出以下應(yīng)用需求： ? 需要部署防火墻保證內(nèi)外數(shù)據(jù)交換安全； ? 在局域網(wǎng)內(nèi)布置防病毒攻擊 ； ? 終端計算機(jī)管理方案（主要是端口和 IP 地址與機(jī)器碼綁定管理） ； ? 流量監(jiān)控與控制； ? 未來涉及對公眾提供對外資源服務(wù)，數(shù)據(jù)交換量較大， 需要包含對外資源服務(wù)建設(shè)規(guī)劃。 但網(wǎng)絡(luò)總體對病毒、攻擊等安全威脅的防范能力、措施不足 ，在現(xiàn)有需求和進(jìn)一步發(fā)展的需求上，必須加強(qiáng)。 硬件采用模塊化結(jié)構(gòu)， 具有更高的處理能力和更大的接入密度；采用華為公司 VRP 網(wǎng)絡(luò)操作系統(tǒng)平臺，支持更多的功能特性 ， 既適合于在大型網(wǎng)絡(luò)中擔(dān)當(dāng)匯聚層路由器，也可以在中小型企業(yè)網(wǎng)中擔(dān)當(dāng)核心路由器。 XXXXXX 調(diào)查規(guī)劃院 信 息 安 全 建 設(shè) 方 案 () 成都 XXX 有限公司 Chengdu XXXX Information Technoloy Co., Ltd. 二 OO 八年十一月 文 檔 狀 態(tài) 文件狀態(tài) ［ ］草稿文件 ［ ］正式文件 ［ √ ］更改正式文件 文 件 標(biāo) 識 LGYITS 當(dāng) 前 版 本 作 者 完 成 日 期 20201222 修訂歷史記錄 日期 版本 說明 作者 2020113 根據(jù) 實(shí)際 需求 及進(jìn)一步發(fā) 展 描述完成方案草案 2020114 對方案中的問題進(jìn)行修訂、完善 2020115 對方案中的問題進(jìn)行修訂 提出三套不同檔次解決方案 對 DMZ 區(qū)設(shè)計進(jìn)行修訂 2020116 對三套方案的產(chǎn)品及預(yù)算進(jìn)行調(diào)整 2020116 對第一套方案一、二階段進(jìn)行調(diào)整 完善對現(xiàn)在設(shè)備的分析 20201120 完成產(chǎn)品介紹內(nèi)容 目 錄 1 信息系統(tǒng)安全體系現(xiàn)狀概述 ....................................................................................... 1 現(xiàn)狀概述 ..................................................................................................... 1 現(xiàn)狀分析 ..................................................................................................... 1 拓?fù)?結(jié)構(gòu)說明 .............................................................................................. 2 2 安全威脅分析 ............................................................................................................ 6 外部威脅分析 .............................................................................................. 6 內(nèi)部威脅分析 .............................................................................................. 6 總體威脅分析 .............................................................................................. 7 3 總體需求及主要內(nèi)容 ................................................................................................. 8 4 網(wǎng)絡(luò)及信息安全體系總體方案 ................................................................................... 9 設(shè)計原則 ..................................................................................................... 9 總體方案 ..................................................................................................... 9 5 詳細(xì)設(shè)計 ................................................................................................................. 10 拓?fù)浣Y(jié) 構(gòu)調(diào)整 ............................................................................................ 10 出口安全設(shè)計 ............................................................................................ 10 網(wǎng)絡(luò)防病毒 ................................................................................................11 內(nèi)容安全網(wǎng)關(guān) (防毒墻 ) .........................................................................11 企業(yè)級網(wǎng)絡(luò)版防病毒軟件 ....................................................................11 構(gòu)建全局安全網(wǎng)絡(luò)體系 .............................................................................. 12 概述 ................................................................................................... 12 IP 地址規(guī)劃 ........................................................................................ 13 VLAN 規(guī)劃 ........................................................................................ 14 常見網(wǎng)絡(luò)危害病毒防范設(shè)計 ................................................................ 15 常見網(wǎng)絡(luò)攻擊防范設(shè)計 ....................................................................... 18 MAC 攻擊 .................................................................................... 18 DHCP 攻擊 .................................................................................. 18 ARP 攻擊 ..................................................................................... 19 IP/MAC 攻擊 ............................................................................... 20 STP 攻擊 ..................................................................................... 20 Dos/Ddos 攻擊 .............................................................................. 21 IP 掃描攻擊 .................................................................................