【正文】 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 31 頁 共 31 頁 以服務和產品為依托，建立統(tǒng)一安全管理平臺。 安全培訓 現(xiàn)在國際上 安全 案件的分析和系統(tǒng)安全專家保護網絡的案例來看，系統(tǒng)安全其實就是系統(tǒng)管理員和黑客頭腦和計算機知識的戰(zhàn)斗。我們還將為關鍵主機系統(tǒng)建立安全審計制度，通過定期分析 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 29 頁 共 31 頁 系統(tǒng)日志、監(jiān)測系統(tǒng)應用運行狀況， 以確保主機系統(tǒng)在一定程度具有抵抗入侵的能力。對 傳統(tǒng)傳統(tǒng)口令用戶，有以下建議： 選擇不容易被猜到的口令； 在安裝完新的網絡基礎設備后盡快修改默認口令，不要忘記修改控制臺訪問口令和用于維護目的的口令； 盡可能限制對口令的訪問，盡可能利用某些產品提供 的對配置文件口令加密的功能； 制定指導方針，要求用戶多長時間必須更改口令。 針對 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 27 頁 共 31 頁 某些災難（電力、空調、水力，火災）， 提供了相應的機房災難應急措施。在 系統(tǒng)中，物理安全主要體現(xiàn)在針對物理基礎設施、物理設備和物理訪問的控制，在 廣電總局 環(huán)境中，全網物理安全主要通過機房物理安全來體現(xiàn)。 以下給出一個簡單針對 OA 系統(tǒng)和 DNS 系統(tǒng)的計算風險例子： 威脅的可能性（ T） 期望的損失值（ L） 風險（ T L） 1＝不太可能 1＝低損失 1， 2＝低風險 2＝大概可能 2＝中等損失 3， 4＝中等風險 3＝非常可能 3＝嚴重損失 6－ 9＝高風險 資源名稱 所受威脅 T L 風險 OA 系統(tǒng) 數(shù)據被竊取、篡改， DoS 攻擊等 2 3 6高 DNS 系統(tǒng) 非授權訪問 ， DoS 攻擊 等 2 2 4中 通過這樣的風險計算，就可以大致了解整個系統(tǒng)安全高風險的部位，這樣就可以有的放矢，針對高風險段采取針對性措施進行防護。有形資產可以根據更新價值或關鍵程度等因素進行評判。 結合目前 廣電總局 業(yè)務特點，我們將從安全風險管理，物理安全管理，邏輯安全管理和日常安全管理四個方面闡述安全管理方案。 網絡型掃描軟件從網絡角度發(fā)現(xiàn)主機開放服務，同時模擬黑客入侵對主機或網絡設備進行偵測性刺探，從而發(fā)現(xiàn)主機或網絡設備的安全漏洞。 目前，廣電總局外 網的 DNS 采用的 BIND，該軟件自身存在多種 安全隱患，建 議實施 DNS 系統(tǒng)的專業(yè)安全增強，確保 DNS 業(yè)務的正常運轉，具體內容可參考如下： 1. 限制域傳輸 2. 配置主備服務器間認證 3. 防止 DNS 欺騙 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 20 頁 共 31 頁 4. 禁止轉發(fā)查詢 5. 設置 allow query 6. 設置重試查詢次數(shù) 信息安全管理中心 全網安全管理中心的建立對于 廣電總局 全網安全有著非常大的意義，通過安全中心 可以 動態(tài)了解和控制全網安全狀況。 例如，如果 IP 地址為 的 IP 被確認為是垃圾郵件的來源， RBL查詢域為 ，則可以查詢到記錄： . IN A 如果一個 SMTP 客戶連接上來，可以通過檢查其 IP 地址是否有相應記錄在 RBL 中來確認它是否是垃圾郵件來源。 ? 收件人數(shù)量限制 對收件人數(shù)量進行限制可以有效降低垃圾郵件。具體措施考慮如下原則： ? 跟蹤技術 按照 RFC 822 規(guī)范，每個郵件服務器會將其客戶端的地址信息和自己的信息加入到信頭的 Received 字段中，這樣所有的 Received 字段合起來就可以顯示郵件傳輸?shù)穆窂健Ｒ彩峭{的主要來源，我們 建議將其與發(fā)布數(shù)據庫放在防火墻的 INTRUST 區(qū)，并實施基于網絡的入侵檢測。運行日志中可能會包含入侵者的入侵探測痕跡，例如 CGI 掃描等等。 業(yè)務系統(tǒng)安全 WEB 業(yè)務 的安全 WWW 子系統(tǒng)是廣電總局的一個重要應用， 一般情況下， Web Server 主要用來向用戶提供公開的信息服務，也是總局對外宣傳、開展業(yè)務的重要基地， Web Server 作為 Inter 用戶訪問公司內部資源的通道之一，其被發(fā)現(xiàn)的安全漏洞越來越多。 傳統(tǒng)的防病毒策略往往只注重桌面平臺的病毒防范，就像目前 廣電總局 內部曾經購買的瑞星防病毒 單機版。 日志服務器應支持 常 用數(shù)據庫，可將 日志信息存儲在數(shù)據庫中 。 由于目前在安全掃描審計軟件中，都存在一定的安全威脅，掃描軟件中的部分攻擊模式庫存在對網絡主機和網絡資源的潛在危險性。 同時， 在 管理 網段再配置一臺 PC Server，安裝 入侵檢測系統(tǒng)的管理端 ， 如果未來由于擴容等性能問題需要增加網絡入侵檢測 系統(tǒng) 時， 該管理端 可做 為全部入侵檢測系統(tǒng)的集中控制 臺。 5. 為了規(guī)范廣電總局外 網用戶 對 Inter 的 訪問 行為，同時提供一種對用戶訪問行為的監(jiān)控機制和與相關 管理制度的執(zhí)行對照機制，依靠基于網絡的入侵檢測系統(tǒng)可以提供一 定 時期內基于用戶或基于協(xié)議的 訪問統(tǒng)計數(shù)據，用來更好的檢驗相關管理制度的執(zhí)行情況，為后期網絡策略的調整和規(guī)劃提供依據。 目前，國際頂尖的入侵檢測系統(tǒng) IDS 主要以模式發(fā)現(xiàn)技術為主，并結合異常發(fā)現(xiàn)技術。因此，我們建議將主 DNS 服務器至于此網段內。 MAIL/備份 DNS：安全級別僅次于 WEB 應用系統(tǒng)，包含廣電總局的郵件應用系統(tǒng)與備份 DNS 系統(tǒng)。 任意一個 網段 對網絡業(yè)務的訪問都利用防火墻作了隔離，大大提高了網絡的安全性，在防止 攻擊、病毒 /蠕蟲 擴散等方面都能夠起到很大作用。 網絡 結構 安全 首先，通過如下的示意圖，我們可以更加清晰的 了解本方案對廣電總局外 部網絡的安全結構 。比如，用戶管理需要分層次的授權機制；防病毒體系的病 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 5 頁 共 31 頁 毒庫分發(fā)或報警也 需要分層次機制；安全緊急響應的流程也需要建立分層監(jiān)控，逐級響應的機制。 但是， 隨著 信息化發(fā)展的 需求，處于嚴格控管下的互聯(lián)互通將是網絡發(fā)展的趨勢 。無法防患于未然。 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 3 頁 共 31 頁 直觀看來，此網絡已經具有了一定的安全性， 外 網與 Inte 部署了防火墻系統(tǒng)進行防護 。 SUN A5100：磁盤陣列 E220R：兩臺。目前，該網絡 通過兩條出口鏈路接入互聯(lián)網 。 本次項目主 要是針對 廣電總局外 部 網絡 的安全提出 解決方案，涉及防火墻系統(tǒng)、 安全審計系統(tǒng)、 網絡型入侵檢測系統(tǒng)、 防病毒體系、 垃圾郵件系統(tǒng) 、安全管理、系統(tǒng)安全增強及性能優(yōu)化 以及未來與廣電總局直屬機關互聯(lián)互通時的安全相關 技術 和建議 。 在 該交換機上劃分 VLAN。如果惡意用戶在網絡中安裝網絡分析軟件，可截獲用戶密碼，冒充正常用戶身份進行 郵件的收發(fā) 。安全問題必須遵從整體性 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 4 頁 共 31 頁 原則， 網絡中的任何一個漏洞或隱患都可能造成整網的安全水平的降低。在全網安全方案的設計中，無論是安全管理制度的制定和施行，或是安全產 品的選型和實施，還是長期安全服務方案的制定，我們都將根據集中性原則，目標是實現(xiàn)對各設備和 業(yè)務 系統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應，這些都 將 依賴于管理制度統(tǒng)一的、集中的制定和施行。 二、 統(tǒng)一的安全防護體系 在整個安全項目設計過程中，我們始終遵循統(tǒng)一的安全原則，從全網安全管理角度出發(fā)，關注于各業(yè)務系統(tǒng)的安全，目標是為客戶建立統(tǒng)一的安全防護體系。各業(yè)務及用戶網段的 VLAN 劃分在工程實施時提供詳細 VLAN 劃分及 IP 地址分配原則。 北京瑪賽網絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 8 頁 共 31 頁 網絡安全技術 防火墻系統(tǒng) VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務器防火墻E220 RmailE220 RDNS網管cc防火墻 防火墻VLANDMZVLANINTRUST安全審計系統(tǒng)入侵檢測系統(tǒng)管理端病毒控制管理中心 如 前 圖所示，根據廣電總局外 網整體安全層次的劃分需求，我們將對廣電總局外 網劃分 五 個安全等級： WEB 系統(tǒng)級 、 MAIL/備份 DNS 級、網絡管理級、普通用戶級、視頻服務 /主 DNS 級 。 普通用戶級 ：安全級別較管理級低，用戶為總局內部員工，由于用戶可直接訪問 Inter，因此，用戶對互聯(lián)網的訪問行為將帶來很大的危險性，我們 建議將所有用戶的出口訪問都通過最外層的防火墻進行安全策略的規(guī)范，防止由于用戶的有意或無意過時導致的安全隱患的發(fā)生。入侵檢測技術是動態(tài)安全技術的核心技術之一。 3. 雖然在 上述的改造方案中已經為 廣電總局 外網 部署了防火墻，對 網段起到了一定的保護作用，但是很多攻擊手法是防火墻無法阻擋的，比如對Web Server 的基于異常 URL的攻擊，具體體現(xiàn)的例子有 Code Red、 Nimda等等很多。 網絡 IDS 系統(tǒng)主機都配置兩塊網卡，一塊用于監(jiān)聽網絡流量，一塊用 于接受管理中心的管理。 對于網絡掃描審計產品的選型，考慮如下因素：