【正文】 中實現(xiàn)對各類相關的安全設施之間的互動與聯(lián)動，并對聯(lián)動的狀況進行監(jiān)控。系統(tǒng)不但能夠提供貴州電信信息系統(tǒng)運行管理中心的管理員對所有安全系統(tǒng)宏觀的管理視圖，也能夠為各個接入單位和區(qū)域分管的管理員對自己管轄區(qū)域內的安全設備和安全系統(tǒng)部件進行區(qū)域自治管理。宏觀統(tǒng)計分析主要是在長期積累的大量數(shù)據(jù)的基礎上，對安全事件進行綜合分析，包括：l 對安全事件的類型、來源、目的、產生的效果、起因、發(fā)生的時段進行綜合分析，得到宏觀的規(guī)律。 安全綜合管理平臺框架安全綜合管理系統(tǒng)是分布式、多層次的網絡資源綜合管理系統(tǒng)。 主機廠件群，包括對主機日志、CPU占用率、內存和磁盤的使用情況、進程、服務等信息的采集；216。l 拓撲展示模塊系統(tǒng)采取高級網絡拓撲掃描技術，實現(xiàn)對網絡拓撲的識別與勾勒，可全面展示多個網絡系統(tǒng)的邏輯連接與位置。安全事件采集系統(tǒng)能夠對防病毒產品、防火墻產品、網絡安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等安全產品的安全事件進行采集。由于每種支持SNMP協(xié)議的產品所提供的MIB庫都不盡相同，而每個MIB庫中所包含的數(shù)據(jù)量非常之多，少則十種，多則幾千上萬種。在類庫中根據(jù)我們對網絡設備和安全產品的豐富的經驗，預先將一些關鍵的數(shù)據(jù)參數(shù)其中，同時提供明了、簡潔的手段讓用戶可以對每種設備設定自己感興趣的參數(shù)，或對已有的參數(shù)進行修改，讓數(shù)據(jù)采集類庫不斷在應用中完善，最大限度地滿足網絡系統(tǒng)的實際需要。主機服務管理主機服務的管理主要針對Windows2000、Windwos服務器、Unix服務器以及SQLServer、IIS等應用服務進行管理。系統(tǒng)收集安全事件、性能參數(shù)等各方面數(shù)據(jù)，當發(fā)現(xiàn)有緊急安全事件時通過多種方式進行緊急處理。當數(shù)據(jù)超過設定的閥值時，如CPU利用率持續(xù)一段時間超過某一值，或者某種安全事件在一段時間內達到一定條數(shù)，系統(tǒng)啟動報警機制。例如發(fā)生安全事件，顏色為紅色，發(fā)生性能事件，顏色為黃色等。每個端口可設置其標識以說明這個端口的使用目的，對于工作正常的端口還可顯示其數(shù)據(jù)流量等參數(shù)。報表系統(tǒng)采用三層模型，前后臺的實現(xiàn)完全分開，前臺界面的優(yōu)化修改不會影響到后臺報表服務器的實現(xiàn)，同時報表后臺服務器采用COM組件方式，可以進行靈活方便的移值，而且便于對報表功能的擴充和升級，而不會影響到前臺界面的實現(xiàn)。報警通知管理還可定義不同的安全事件、不同的安全事件級別采用不同的報警通知。關鍵設備工作環(huán)境的安全防護可參照GB5017393《電子計算機機房設計規(guī)范》、GB288789《計算站場地技術條件》和GB936188《計算站場地安全要求》等標準實施。l 網絡設備保護：主交換機，路由器等網絡設備都將放置在中心機房，各樓層的配線架、交換機等設備均有相應的物理保護措施，避免外部人員偷改線路或者網絡設備配置。煙草企業(yè)的核心業(yè)務數(shù)據(jù)在廣域網信息傳輸需要采用加密設備。安全域的劃分對于一個嚴密和安全的系統(tǒng)，系統(tǒng)管理要有明確的任務和責任。具體描述如下：（1）基于訪問列表的安全防范策略，主要包括：l 內部各獨立域之間訪問限制；l 防止外部IP地址欺騙如非法內部IP、回環(huán)IP、廣播IP等；l 防止外部非法探測；l 阻止對關鍵端口的非法訪問；l 對內網重要服務器進行訪問限制；（2）其他安全配置：l 防止外部ICMP重定向欺騙；l 防止外部源路由欺騙；l 防止內部IP地址盜用；l 關閉網絡設備自身不需要的端口l 在路由器上配置靜態(tài)ARP，以防止非法服務器接入內部網；l 增加路由器的包過濾功能，實現(xiàn)部分防火墻的功能。 防火墻技術可根據(jù)防范的方式和側重點的不同而分為很多種類型，按實現(xiàn)的技術手段總的來說可以分為以下幾種類型：l 包過濾防火墻：數(shù)據(jù)包過濾（Packet Filtering）防火墻是在網絡層對數(shù)據(jù)包進行分析、過濾，過濾的依據(jù)是系統(tǒng)內設置的過濾規(guī)則，稱為訪問控制表（Access Control Table）。無論何種類型防火墻，從總體上看，都應具有以下基本功能：過濾進、出網絡的數(shù)據(jù)；管理進、出網絡的訪問行為；封堵某些禁止的業(yè)務；網絡地址轉換；記錄通過防火墻的信息內容和活動；對網絡攻擊的檢測和告警。根據(jù)對貴州電信行業(yè)計算機網絡與信息系統(tǒng)的現(xiàn)狀以及安全域的劃分，防火墻的部署如下：l 省公司局域網的安全域：在省公司局域網與下級分公司網絡連接的邊界處部署防火墻（千兆），實現(xiàn)安全域之間的邏輯隔離；l 分公司（10家）局域網的安全域：在分公司與省公司網絡連接的邊界處部署防火墻，實現(xiàn)安全域之間的邏輯隔離；l 縣（市）公司（營銷部）（40家）局域網的安全域：通過在網絡邊界處的路由器上配置訪問控制列表，實現(xiàn)基本的安全隔離。其特點是：訪問控制能力強，但對每種應用協(xié)議都需提供相應的代理程序，同時網絡性能比較低。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。配置合適的安全域需要考慮以下幾個因素：單位的大小，目的、需要和特殊的需求，安全性，網絡拓撲結構，以及管理模式和開銷。l 通過省公司現(xiàn)有的VPN網關，建立VPN通道，實現(xiàn)通過Internet數(shù)據(jù)傳輸鏈路的備份通道，同時提供給遠程移動用戶（如出差員工）撥入省公司內部網的安全加密措施。鏈路層安全主要是通過各類鏈路加密機予以保證的。在貴州電信安全系統(tǒng)中，物理安全的措施以下主要內容，其中大部分的措施都已經實施完成：l 機房環(huán)境：貴州電信安全系統(tǒng)相關子系統(tǒng)的布線系統(tǒng)應符合系統(tǒng)的安全保密要求，同時應配備防火、防水、防震、防雷電等各種物理安全保障措施，保證機房的物理環(huán)境安全。物理安全防范是貴州電信整體安全架構的基礎，對保障貴州電信網絡與信息系統(tǒng)正常運行具有重要的作用。l 報警通知管理：當發(fā)生安全事件報警時，系統(tǒng)將啟動報警通知功能。每種報表可按時間段一天、一周、一個月、一年、自定義等產生，報表類型分為圖表統(tǒng)計、列表記錄等方式。設備端口層結構此層為拓撲結構的最底層，具體展示某一網絡設備各端口的性能狀態(tài)。用戶可點擊云團以查看網絡的詳細信息。有六種數(shù)據(jù)可以設置：l 參數(shù)：指定哪種數(shù)據(jù)需要進行閥值報警；l 觸發(fā)值：當指定的參數(shù)數(shù)據(jù)大于（或小于）觸發(fā)值時觸發(fā)報警；l 觸發(fā)持續(xù)時間：當數(shù)據(jù)持續(xù)多長時間才觸發(fā)報警；l 復位值：當指定的參數(shù)數(shù)據(jù)大于（或小于）復位值時消除報警記錄；l 復位持續(xù)時間：當數(shù)據(jù)持續(xù)多長時間才消除報警記錄；l 級別：此閥值將觸發(fā)報警的嚴重程度。其分析功能包括：l 安全事件、性能事件的關聯(lián)規(guī)則分析功能l 安全事件、性能事件的序列模式分析功能l 安全事件、性能事件的分類預測分析功能l 安全事件、性能事件的異常點分析功能l 安全事件、性能事件的統(tǒng)計分析功能l 能夠產生用戶化程度高的報表l 清除平臺安全事件與性能事件中的冗余數(shù)據(jù)l 清除平臺安全事件與性能事件中的錯誤和殘缺不全的部分l 提高平臺安全事件與性能事件的分析、查詢效率l 精簡平臺安全事件與性能事件的存儲量，事件的合并系統(tǒng)的數(shù)據(jù)綜合與關聯(lián)是實現(xiàn)數(shù)據(jù)統(tǒng)計、分析和安全事件跟蹤、定位的基礎。在網絡設備管理功能中管理員可及時了解各網絡設備每個端口當前的工作狀態(tài)、每個端口的詳細參數(shù)信息，以及每個參數(shù)的各種時間段的趨勢圖表分析統(tǒng)計。這也在系統(tǒng)設計中需重點考慮的。對每種類型數(shù)據(jù)的采集都有相應的一個或多個采集模塊來完成。系統(tǒng)將從安全產品運行狀態(tài)監(jiān)控和安全事件綜合分析、關聯(lián)兩方面來實現(xiàn)對安全設備的管理。l 智能分析和決策模塊將信息庫中的數(shù)據(jù)通過數(shù)據(jù)挖掘和關聯(lián)技術，從中提煉出更有用、有規(guī)律性的信息，為整個網絡系統(tǒng)的安全有效運轉提供技術保障和決策支持。內建的廠件群包括：216。l 在發(fā)生緊急情況時，能夠根據(jù)事件的綜合，發(fā)現(xiàn)系統(tǒng)處于嚴重異常狀態(tài)中，并以各種措施通知責任人員。l 根據(jù)管理員的職責將合并與確認后的事件通知響應責任人，并提供處理建議。實現(xiàn)基于權限控制的集中式管理和區(qū)域自治管理統(tǒng)一安全綜合管理平臺系統(tǒng)將提供統(tǒng)一的安全管理，并為不同級別和性質的管理員提供不同層次和性質的管理視圖。統(tǒng)一安全綜合管理平臺系統(tǒng)對各個安全系統(tǒng)的監(jiān)控和管理可以利用各個安全子系統(tǒng)中已有的中心和分中心進行信息采集和控制，也可以采用直接與安全設備交互的方式進行，主要取決于各個安全子系統(tǒng)自身的構架以及提供的管理接口。促成計算機網絡安全與計算機網絡應用的真正的一體化，使得計算機網絡應用體系逐步過渡向安全的計算機網絡應用體系。根據(jù)目前的網絡規(guī)模，比較適合采用集中管理與區(qū)域自治相結合的管理方式。l 目前市場上無論是傳統(tǒng)意義上的網管系統(tǒng)，還是各類層出不窮的安全產品，都只能解決部分問題。l 能夠提供安全保密監(jiān)控管理平臺，實現(xiàn)對整個安全體系的統(tǒng)一監(jiān)管；l 能夠對全網的網絡設備及主機服務等資源進行統(tǒng)一監(jiān)管；l 能夠與防火墻監(jiān)控管理系統(tǒng)聯(lián)接、整合；l 能夠與網絡入侵檢測與安全審計系統(tǒng)監(jiān)控管理網絡系統(tǒng)聯(lián)接、整合；l 能夠與病毒防殺管理中心聯(lián)接、整合；l 能夠與身份認證、訪問控制系統(tǒng)聯(lián)接、整合；l 能夠實現(xiàn)基于入侵檢測與安全審計網絡系統(tǒng)的安全事件處理流程；l 能夠實現(xiàn)基于安全漏洞掃描的網絡系統(tǒng)安全評估與對策支持；l 實現(xiàn)統(tǒng)一的分級、分層次管理，包括實時安全事件檢測、報警、響應、處理；l 能夠支持安全突發(fā)事件處理和應急響應預案的實施；l 能夠對全網的安全信息進行收集、統(tǒng)計并分析并產生詳細的報表；總的來說，統(tǒng)一安全綜合管理平臺是一個對貴州電信信息系統(tǒng)平臺上的各類安全設備進行全面監(jiān)控和管理，并實現(xiàn)設備之間的互動、聯(lián)動，以及實現(xiàn)數(shù)據(jù)分析、報警、響應及決策支持的綜合管理系統(tǒng)。為了保證安全的成功實施和有效性，在貴州電信系統(tǒng)中，應當對各級單位的管理人員、用戶、技術人員進行安全培訓。數(shù)據(jù)保護策略數(shù)據(jù)保護策略主要通過各種手段保障數(shù)據(jù)的保密性、完整性、不可抵賴性等要求，在貴州電信信息網絡安全系統(tǒng)中，數(shù)據(jù)保護策略包括：l 采用磁盤陣列、磁帶庫、自動備份管理系統(tǒng)等技術措施保障數(shù)據(jù)的安全；l 通過建立完善的數(shù)據(jù)備份與災難恢復系統(tǒng)，并定義相關的備份范圍、備份方式、備份周期、災難恢復預案、責任人等策略，通過完善的備份策略實施加強對數(shù)據(jù)的保護。主機系統(tǒng)安全策略主機系統(tǒng)的安全策略主要是從操作系統(tǒng)的角度考慮系統(tǒng)安全措施，防止不法分子利用操作系統(tǒng)的一些漏洞、后門取得對系統(tǒng)的非法操作權限。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯(lián)系起來。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。鏈路加密的目的是保護網絡節(jié)點之間的鏈路信息安全；端端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。l 從資源管理角度審視，要實現(xiàn)資源的分布配置和統(tǒng)一的資源目錄管理。每一個層次具體的安全技術與措施描述如下：通信平臺安全體系通信平臺安全體系主要包括系統(tǒng)的物理安全以及鏈路通信的安全，其中物理安全主要是指防止物理通路的損壞、對物理通路的攻擊（干擾）、物理環(huán)境安全、網絡設備及主機的物理安全等；鏈路通信安全需要保證通過網絡鏈路傳送的數(shù)據(jù)不被竊聽。沒有一個“以不變應萬變”的通用的安全解決方案，盡管信息安全在于竭盡全力保護信息資產免受威脅，甚至要考慮到所有類型的威脅。l 建立全省數(shù)據(jù)備份中心，有效地建立數(shù)據(jù)的本地在線備份以及異地遠程備份的機制，確保數(shù)據(jù)在意外情況下的及時恢復，建立災難和應急相應機制。l 主機安全監(jiān)管通過網絡安全綜合管理，對關鍵主機和服務器系統(tǒng)的運行狀態(tài)、資源的使用情況、安全日志等進行監(jiān)管，及時發(fā)現(xiàn)系統(tǒng)的異常行為和故障，保障主機與業(yè)務系統(tǒng)的可用性。在貴州電信各級網絡中部署防火墻隔離內外網，設置各級安全屏蔽，將全網在網絡上分割為相對獨立的子網，防止來自外部的非法訪問和操作。 物理與鏈路層安全需求物理安全在現(xiàn)有基礎上加強關鍵貴州電信各級單位網絡機房的物理安全保護。因此，在貴州電信安全管理體系建設過程中，主要包括以下幾個部分：l 建立一個專門負責安全管理的組織機構，即貴州電信信息安全管理委員會，來保障整個安全體系的順利運行。l 建立省公司、分公司、縣（市）公司等三級的、分布式的、多層次的安全管理與監(jiān)控的網絡，實現(xiàn)全網的集中管理。確實如此，因為在整個安全過程中，不管是安全事件的產生（黑客攻擊、病毒代碼等）、安全產品的研發(fā)、安全系統(tǒng)的規(guī)劃與實施、安全系統(tǒng)的維護與監(jiān)管、安全事件的處理等所有與安全相關的內容都是由人在負責和處理，因此需要有一個規(guī)范化、系統(tǒng)化的安全管理體系來維系人和技術這兩個因素之間的關系。在進行貴州電信安全風險評估過程中，我們綜合考慮了如下因素：l 安全事件可能造成的業(yè)務損失，包含由于信息和其他資產的保密性、完整性或可用性損失可能造成的后果；l 當前主要的威脅和漏洞帶來的現(xiàn)實安全問題，以及目前實施的控制措施；在整個安全風險評估過程中，根據(jù)貴州電信信息安全系統(tǒng)所保護的范圍進行了全方位的分析。另外一方面是由于內部人員的誤操作，或者為了貪圖方便繞過安全系統(tǒng)等違規(guī)的操作從而對網絡構成威脅。破壞系統(tǒng)的可用性：不斷對服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓，嚴重影響正常用戶的使用。此外，省煙草網絡還通過廣域網與其它單位（卷煙廠、分市公司等）相連，也存在被下級單位或分支機構攻擊的可能性。來自“外部”的入侵：貴州電信行業(yè)網是一個有分布式的廣域網絡，整體比較復雜，同時與Internet相連，并向外提供信息發(fā)布的服務，具有一定的開放性；而目前沒有嚴格的安全防范措施，因此很容易遭到Internet上黑客的攻擊?，F(xiàn)有的許多安全事件證明入侵者的最終目的往往是企業(yè)的核心數(shù)據(jù)，對重要數(shù)據(jù)的竊取、篡改、破壞，而這些等將對企業(yè)開來巨大的損失，因此如何保護企業(yè)的核心業(yè)務數(shù)據(jù)的完整性、可靠性、保密性及不可抵賴性是貴州電信信息安全需要考慮的重點。內部安全威脅包括兩個方面：一是內部員工的惡意攻擊，由于在網絡內部較網絡外部更容易直接通過局域網連接到核心服務器等關鍵設備，尤其是管理員擁有一定的權限可以輕而易舉地對內網進行破壞，造成嚴重后果。