【正文】 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 31 頁 共 31 頁 以服務(wù)和產(chǎn)品為依托，建立統(tǒng)一安全管理平臺(tái)。 安全培訓(xùn) 現(xiàn)在國際上 安全 案件的分析和系統(tǒng)安全專家保護(hù)網(wǎng)絡(luò)的案例來看，系統(tǒng)安全其實(shí)就是系統(tǒng)管理員和黑客頭腦和計(jì)算機(jī)知識(shí)的戰(zhàn)斗。我們還將為關(guān)鍵主機(jī)系統(tǒng)建立安全審計(jì)制度，通過定期分析 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 29 頁 共 31 頁 系統(tǒng)日志、監(jiān)測(cè)系統(tǒng)應(yīng)用運(yùn)行狀況， 以確保主機(jī)系統(tǒng)在一定程度具有抵抗入侵的能力。對(duì) 傳統(tǒng)傳統(tǒng)口令用戶，有以下建議： 選擇不容易被猜到的口令； 在安裝完新的網(wǎng)絡(luò)基礎(chǔ)設(shè)備后盡快修改默認(rèn)口令，不要忘記修改控制臺(tái)訪問口令和用于維護(hù)目的的口令； 盡可能限制對(duì)口令的訪問，盡可能利用某些產(chǎn)品提供 的對(duì)配置文件口令加密的功能； 制定指導(dǎo)方針，要求用戶多長時(shí)間必須更改口令。 針對(duì) 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 27 頁 共 31 頁 某些災(zāi)難（電力、空調(diào)、水力，火災(zāi)）， 提供了相應(yīng)的機(jī)房災(zāi)難應(yīng)急措施。在 系統(tǒng)中，物理安全主要體現(xiàn)在針對(duì)物理基礎(chǔ)設(shè)施、物理設(shè)備和物理訪問的控制，在 廣電總局 環(huán)境中，全網(wǎng)物理安全主要通過機(jī)房物理安全來體現(xiàn)。 以下給出一個(gè)簡單針對(duì) OA 系統(tǒng)和 DNS 系統(tǒng)的計(jì)算風(fēng)險(xiǎn)例子： 威脅的可能性（ T） 期望的損失值（ L） 風(fēng)險(xiǎn)（ T L） 1＝不太可能 1＝低損失 1， 2＝低風(fēng)險(xiǎn) 2＝大概可能 2＝中等損失 3， 4＝中等風(fēng)險(xiǎn) 3＝非?？赡? 3＝嚴(yán)重?fù)p失 6－ 9＝高風(fēng)險(xiǎn) 資源名稱 所受威脅 T L 風(fēng)險(xiǎn) OA 系統(tǒng) 數(shù)據(jù)被竊取、篡改， DoS 攻擊等 2 3 6高 DNS 系統(tǒng) 非授權(quán)訪問 ， DoS 攻擊 等 2 2 4中 通過這樣的風(fēng)險(xiǎn)計(jì)算，就可以大致了解整個(gè)系統(tǒng)安全高風(fēng)險(xiǎn)的部位，這樣就可以有的放矢，針對(duì)高風(fēng)險(xiǎn)段采取針對(duì)性措施進(jìn)行防護(hù)。有形資產(chǎn)可以根據(jù)更新價(jià)值或關(guān)鍵程度等因素進(jìn)行評(píng)判。 結(jié)合目前 廣電總局 業(yè)務(wù)特點(diǎn)，我們將從安全風(fēng)險(xiǎn)管理，物理安全管理，邏輯安全管理和日常安全管理四個(gè)方面闡述安全管理方案。 網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機(jī)開放服務(wù)，同時(shí)模擬黑客入侵對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備進(jìn)行偵測(cè)性刺探，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)設(shè)備的安全漏洞。 目前，廣電總局外 網(wǎng)的 DNS 采用的 BIND，該軟件自身存在多種 安全隱患，建 議實(shí)施 DNS 系統(tǒng)的專業(yè)安全增強(qiáng)，確保 DNS 業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，具體內(nèi)容可參考如下： 1. 限制域傳輸 2. 配置主備服務(wù)器間認(rèn)證 3. 防止 DNS 欺騙 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 20 頁 共 31 頁 4. 禁止轉(zhuǎn)發(fā)查詢 5. 設(shè)置 allow query 6. 設(shè)置重試查詢次數(shù) 信息安全管理中心 全網(wǎng)安全管理中心的建立對(duì)于 廣電總局 全網(wǎng)安全有著非常大的意義，通過安全中心 可以 動(dòng)態(tài)了解和控制全網(wǎng)安全狀況。 例如，如果 IP 地址為 的 IP 被確認(rèn)為是垃圾郵件的來源， RBL查詢域?yàn)?，則可以查詢到記錄： . IN A 如果一個(gè) SMTP 客戶連接上來，可以通過檢查其 IP 地址是否有相應(yīng)記錄在 RBL 中來確認(rèn)它是否是垃圾郵件來源。 ? 收件人數(shù)量限制 對(duì)收件人數(shù)量進(jìn)行限制可以有效降低垃圾郵件。具體措施考慮如下原則： ? 跟蹤技術(shù) 按照 RFC 822 規(guī)范，每個(gè)郵件服務(wù)器會(huì)將其客戶端的地址信息和自己的信息加入到信頭的 Received 字段中，這樣所有的 Received 字段合起來就可以顯示郵件傳輸?shù)穆窂?。也是威脅的主要來源，我們 建議將其與發(fā)布數(shù)據(jù)庫放在防火墻的 INTRUST 區(qū)，并實(shí)施基于網(wǎng)絡(luò)的入侵檢測(cè)。運(yùn)行日志中可能會(huì)包含入侵者的入侵探測(cè)痕跡，例如 CGI 掃描等等。 業(yè)務(wù)系統(tǒng)安全 WEB 業(yè)務(wù) 的安全 WWW 子系統(tǒng)是廣電總局的一個(gè)重要應(yīng)用， 一般情況下， Web Server 主要用來向用戶提供公開的信息服務(wù)，也是總局對(duì)外宣傳、開展業(yè)務(wù)的重要基地， Web Server 作為 Inter 用戶訪問公司內(nèi)部資源的通道之一，其被發(fā)現(xiàn)的安全漏洞越來越多。 傳統(tǒng)的防病毒策略往往只注重桌面平臺(tái)的病毒防范，就像目前 廣電總局 內(nèi)部曾經(jīng)購買的瑞星防病毒 單機(jī)版。 日志服務(wù)器應(yīng)支持 常 用數(shù)據(jù)庫，可將 日志信息存儲(chǔ)在數(shù)據(jù)庫中 。 由于目前在安全掃描審計(jì)軟件中，都存在一定的安全威脅，掃描軟件中的部分攻擊模式庫存在對(duì)網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)資源的潛在危險(xiǎn)性。 同時(shí)， 在 管理 網(wǎng)段再配置一臺(tái) PC Server，安裝 入侵檢測(cè)系統(tǒng)的管理端 ， 如果未來由于擴(kuò)容等性能問題需要增加網(wǎng)絡(luò)入侵檢測(cè) 系統(tǒng) 時(shí)， 該管理端 可做 為全部入侵檢測(cè)系統(tǒng)的集中控制 臺(tái)。 5. 為了規(guī)范廣電總局外 網(wǎng)用戶 對(duì) Inter 的 訪問 行為，同時(shí)提供一種對(duì)用戶訪問行為的監(jiān)控機(jī)制和與相關(guān) 管理制度的執(zhí)行對(duì)照機(jī)制，依靠基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以提供一 定 時(shí)期內(nèi)基于用戶或基于協(xié)議的 訪問統(tǒng)計(jì)數(shù)據(jù)，用來更好的檢驗(yàn)相關(guān)管理制度的執(zhí)行情況，為后期網(wǎng)絡(luò)策略的調(diào)整和規(guī)劃提供依據(jù)。 目前，國際頂尖的入侵檢測(cè)系統(tǒng) IDS 主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。因此，我們建議將主 DNS 服務(wù)器至于此網(wǎng)段內(nèi)。 MAIL/備份 DNS：安全級(jí)別僅次于 WEB 應(yīng)用系統(tǒng)，包含廣電總局的郵件應(yīng)用系統(tǒng)與備份 DNS 系統(tǒng)。 任意一個(gè) 網(wǎng)段 對(duì)網(wǎng)絡(luò)業(yè)務(wù)的訪問都利用防火墻作了隔離，大大提高了網(wǎng)絡(luò)的安全性，在防止 攻擊、病毒 /蠕蟲 擴(kuò)散等方面都能夠起到很大作用。 網(wǎng)絡(luò) 結(jié)構(gòu) 安全 首先，通過如下的示意圖，我們可以更加清晰的 了解本方案對(duì)廣電總局外 部網(wǎng)絡(luò)的安全結(jié)構(gòu) 。比如，用戶管理需要分層次的授權(quán)機(jī)制；防病毒體系的病 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 5 頁 共 31 頁 毒庫分發(fā)或報(bào)警也 需要分層次機(jī)制；安全緊急響應(yīng)的流程也需要建立分層監(jiān)控，逐級(jí)響應(yīng)的機(jī)制。 但是， 隨著 信息化發(fā)展的 需求，處于嚴(yán)格控管下的互聯(lián)互通將是網(wǎng)絡(luò)發(fā)展的趨勢(shì) 。無法防患于未然。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 3 頁 共 31 頁 直觀看來，此網(wǎng)絡(luò)已經(jīng)具有了一定的安全性， 外 網(wǎng)與 Inte 部署了防火墻系統(tǒng)進(jìn)行防護(hù) 。 SUN A5100：磁盤陣列 E220R：兩臺(tái)。目前，該網(wǎng)絡(luò) 通過兩條出口鏈路接入互聯(lián)網(wǎng) 。 本次項(xiàng)目主 要是針對(duì) 廣電總局外 部 網(wǎng)絡(luò) 的安全提出 解決方案，涉及防火墻系統(tǒng)、 安全審計(jì)系統(tǒng)、 網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)、 防病毒體系、 垃圾郵件系統(tǒng) 、安全管理、系統(tǒng)安全增強(qiáng)及性能優(yōu)化 以及未來與廣電總局直屬機(jī)關(guān)互聯(lián)互通時(shí)的安全相關(guān) 技術(shù) 和建議 。 在 該交換機(jī)上劃分 VLAN。如果惡意用戶在網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)分析軟件，可截獲用戶密碼，冒充正常用戶身份進(jìn)行 郵件的收發(fā) 。安全問題必須遵從整體性 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 4 頁 共 31 頁 原則， 網(wǎng)絡(luò)中的任何一個(gè)漏洞或隱患都可能造成整網(wǎng)的安全水平的降低。在全網(wǎng)安全方案的設(shè)計(jì)中，無論是安全管理制度的制定和施行，或是安全產(chǎn) 品的選型和實(shí)施，還是長期安全服務(wù)方案的制定，我們都將根據(jù)集中性原則，目標(biāo)是實(shí)現(xiàn)對(duì)各設(shè)備和 業(yè)務(wù) 系統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應(yīng)，這些都 將 依賴于管理制度統(tǒng)一的、集中的制定和施行。 二、 統(tǒng)一的安全防護(hù)體系 在整個(gè)安全項(xiàng)目設(shè)計(jì)過程中，我們始終遵循統(tǒng)一的安全原則，從全網(wǎng)安全管理角度出發(fā)，關(guān)注于各業(yè)務(wù)系統(tǒng)的安全，目標(biāo)是為客戶建立統(tǒng)一的安全防護(hù)體系。各業(yè)務(wù)及用戶網(wǎng)段的 VLAN 劃分在工程實(shí)施時(shí)提供詳細(xì) VLAN 劃分及 IP 地址分配原則。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 8 頁 共 31 頁 網(wǎng)絡(luò)安全技術(shù) 防火墻系統(tǒng) VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務(wù)器防火墻E220 RmailE220 RDNS網(wǎng)管cc防火墻 防火墻VLANDMZVLANINTRUST安全審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)管理端病毒控制管理中心 如 前 圖所示，根據(jù)廣電總局外 網(wǎng)整體安全層次的劃分需求，我們將對(duì)廣電總局外 網(wǎng)劃分 五 個(gè)安全等級(jí)： WEB 系統(tǒng)級(jí) 、 MAIL/備份 DNS 級(jí)、網(wǎng)絡(luò)管理級(jí)、普通用戶級(jí)、視頻服務(wù) /主 DNS 級(jí) 。 普通用戶級(jí) ：安全級(jí)別較管理級(jí)低，用戶為總局內(nèi)部員工，由于用戶可直接訪問 Inter，因此，用戶對(duì)互聯(lián)網(wǎng)的訪問行為將帶來很大的危險(xiǎn)性，我們 建議將所有用戶的出口訪問都通過最外層的防火墻進(jìn)行安全策略的規(guī)范，防止由于用戶的有意或無意過時(shí)導(dǎo)致的安全隱患的發(fā)生。入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一。 3. 雖然在 上述的改造方案中已經(jīng)為 廣電總局 外網(wǎng) 部署了防火墻，對(duì) 網(wǎng)段起到了一定的保護(hù)作用，但是很多攻擊手法是防火墻無法阻擋的，比如對(duì)Web Server 的基于異常 URL的攻擊，具體體現(xiàn)的例子有 Code Red、 Nimda等等很多。 網(wǎng)絡(luò) IDS 系統(tǒng)主機(jī)都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用 于接受管理中心的管理。 對(duì)于網(wǎng)絡(luò)掃描審計(jì)產(chǎn)品的選型，考慮如下因素：