【正文】 體 系結(jié)構(gòu)： Client/Server 結(jié)構(gòu)的掃描審計(jì)軟件具有集中管理的優(yōu)勢(shì)，利于電信環(huán)境部署及擴(kuò)展； 攻擊模式庫(kù)數(shù)量：應(yīng)對(duì)多種攻擊模式均支持； 軟件更新速度快； 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 13 頁(yè) 共 31 頁(yè) 中文化和本地化支持； 建議掃描審計(jì)軟件對(duì)全網(wǎng)主機(jī)和設(shè)備的安全審計(jì)信息均存放在管理網(wǎng)段的數(shù)據(jù)庫(kù)中，其中包括主機(jī)的操作系統(tǒng)版本、漏洞情況、 patch 情況等安全信息。 對(duì)于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素： 集中收集和監(jiān)控系統(tǒng)日志 。目前已知的計(jì)算機(jī)病毒超過(guò) 20， 000 種，并且每月發(fā)現(xiàn)的新病毒超過(guò) 300種，即每天都有 10 余種新病毒出現(xiàn)。 在防病毒產(chǎn)品的選型上，我 們 認(rèn)為一個(gè)成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點(diǎn)： ? 先進(jìn)的體系結(jié)構(gòu)設(shè)計(jì) ? 先進(jìn)的防殺病毒技術(shù) ? 能夠在線實(shí)時(shí)查殺病毒 ? 準(zhǔn)確無(wú)誤的報(bào)警功能 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 15 頁(yè) 共 31 頁(yè) ? 及時(shí)、方便地更新病毒定義代碼 ? 快速、有效地處理未知病毒 ? 多平臺(tái)的支持 ? 功能強(qiáng)大的控制臺(tái)，便于管理與維護(hù) 而針對(duì)網(wǎng)絡(luò)這個(gè)層次 而設(shè)計(jì)的防病毒產(chǎn)品， 我們 認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)病毒監(jiān)控、支持病毒有效地隔離。 ? 在通往 Web 服務(wù)器的網(wǎng)絡(luò)路徑上安裝基于網(wǎng)絡(luò)的實(shí)時(shí)入侵監(jiān)控系統(tǒng)。 ? 小心設(shè)置 Web 服務(wù)器的訪問(wèn)控制表。 ? 為該郵件服務(wù)器實(shí)施主機(jī)安全增強(qiáng)服務(wù)，消除操作系 統(tǒng)自身的安全漏洞。通?？梢酝ㄟ^(guò)模式識(shí)別來(lái)進(jìn)行。限制方法與收件人數(shù)量限制類(lèi)似。 3. 依靠入侵檢測(cè)系統(tǒng)及日志分析系統(tǒng)對(duì)該業(yè)務(wù)主機(jī)進(jìn)行詳細(xì)的訪問(wèn)記錄審核，并保留相關(guān)記錄。 而安全信息中心軟件系統(tǒng)包括了 安全管理中心內(nèi)的安全審計(jì) 軟件和日志分析 軟件 兩大部分 。 通過(guò)一套或幾套部署在同一地點(diǎn)的安全管理軟件 ，集中的實(shí)現(xiàn)對(duì)多個(gè)節(jié)點(diǎn)的多套安全工具集中的管控，極大的節(jié)約了人力資 源，提高了管理效率，對(duì)降低企業(yè)安全系統(tǒng)的 TCO（總體擁有成本）有很大效果。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 23 頁(yè) 共 31 頁(yè) 結(jié)合 廣電總局 的目前 運(yùn)維 情況，我們認(rèn)為整個(gè)網(wǎng)絡(luò)中比較關(guān)鍵的資產(chǎn)如下表所示： 資產(chǎn) 說(shuō)明 核心交換機(jī) 廣電總局 外 網(wǎng)所用的 核心交換機(jī) 防火墻 廣電總局 所用的防火墻 接入路由器 承擔(dān) 廣電總局 外網(wǎng) Inter 接入的 接入路由器 WEB 業(yè)務(wù) 承擔(dān) 廣電總局 WEB 服務(wù)的主機(jī) MAIL 業(yè)務(wù) 提供 廣電總局 內(nèi)部工作人員使用的 MAIL 業(yè)務(wù) DNS 業(yè)務(wù) 提供互聯(lián)網(wǎng)用戶及廣電總局內(nèi)部工作人員的 DNS 業(yè)務(wù) 用戶資源 廣電總局 目前的用戶 群 管理人員 廣電總局 擔(dān)負(fù)網(wǎng)絡(luò) 運(yùn)維 的人員 ?? ?? 這里只列出了 廣電總局 外網(wǎng) 中一部分最重要的資產(chǎn)，而在長(zhǎng)期的安全管理中，需要全局統(tǒng)籌管理，隨著業(yè)務(wù)系統(tǒng)的不斷變化，及時(shí)更新關(guān)鍵資產(chǎn)的定義，以保證處理操作的一致性和便于資產(chǎn)評(píng)估。在 廣電總局 中， OA信息、路由配置和安全日志等這些數(shù)據(jù)是需要安全風(fēng)險(xiǎn)管理關(guān)注的關(guān)鍵數(shù)據(jù)，在運(yùn)維中需要為這些數(shù)據(jù)提供安全管理策略，例如： 如何進(jìn)行備份 備份文件存儲(chǔ)在何處 如何 對(duì)數(shù)據(jù)進(jìn)行物理保護(hù) 誰(shuí)有權(quán)訪問(wèn)存儲(chǔ)數(shù)據(jù)的介質(zhì) 數(shù)據(jù)完整性遭到破壞后的恢復(fù)措施 網(wǎng)絡(luò)資源不可用 風(fēng)險(xiǎn)管理將包含確定那些網(wǎng)絡(luò)資源會(huì)受威脅及其所造成的損失。再如：針對(duì) DNS 服務(wù)器系統(tǒng)的威脅，我們只要提供防火墻設(shè)備對(duì)進(jìn)出該網(wǎng)段的訪問(wèn)進(jìn)行 過(guò)濾 并提供基本的入侵檢測(cè) 即可，而不需要花費(fèi) 太多 額外的資源去保護(hù)該業(yè)務(wù)系統(tǒng)。 運(yùn)維 故障處理制度 為保證 廣電總局 網(wǎng)絡(luò)的安全運(yùn)行，保障全網(wǎng)的服務(wù)質(zhì)量， 我們 為 廣電總局 提供 運(yùn)維 故障處理的建議。探測(cè)性管理，用于記錄和報(bào)告授權(quán)用戶的行為，以及記錄和報(bào)告非授權(quán)訪問(wèn)或?qū)ο到y(tǒng)、程序和數(shù)據(jù)的訪問(wèn)企圖。同時(shí)，我們也提供一些冗余措施以提高網(wǎng)絡(luò)設(shè)備的可用性。 我們 建議與 廣電總局 建立一個(gè)集中的小組作為處理突發(fā)事故的基本中心，該小組職能如下： 跟蹤最新的故障和入侵跡象； 成為故障報(bào)告的主要聯(lián)系點(diǎn)； 將故障通知給其他人； 估計(jì)損失并且應(yīng)付故障； 研究如何避免同一缺陷引起更多的破壞； 當(dāng)安全故障發(fā)生時(shí)，小組應(yīng)該依照以下方面檢查是否網(wǎng)絡(luò)安全受到破壞： 關(guān)鍵 數(shù)據(jù)是否有損失； 系統(tǒng)運(yùn)行性能是否差； 異常通信模式； 異常系統(tǒng)使用時(shí)間； 登陸失敗的次數(shù)過(guò)多； 從這些方面做初步檢查后，再利用入侵檢測(cè)系統(tǒng)以統(tǒng)計(jì)方法和基于規(guī)則的方 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 30 頁(yè) 共 31 頁(yè) 法相結(jié)合，從正常的網(wǎng)絡(luò)活動(dòng)中辨別出異常，這樣才能發(fā)現(xiàn)故障來(lái)源。 我們建議 通過(guò)本次安全工程對(duì) 用戶進(jìn)行安全知識(shí)培訓(xùn)，初級(jí)安全培訓(xùn)和中級(jí)安全培訓(xùn)建議安排在安全集成前對(duì)用戶進(jìn)行，高級(jí)安全培訓(xùn)建議在安全服務(wù)前進(jìn)行。 瑪賽作為全國(guó)首批互聯(lián)網(wǎng)安全服務(wù)試點(diǎn)單位， 希望利用長(zhǎng)期專(zhuān)業(yè)安全設(shè)計(jì)和服務(wù)方面的優(yōu)勢(shì)為 廣電總局 網(wǎng)絡(luò)系統(tǒng) 的安全保駕護(hù)航。 我們建議對(duì)廣電總局員工進(jìn)行 安全知識(shí)培訓(xùn)和安全技術(shù)培訓(xùn)。以下將針對(duì)日常安全管理中的故障處理提供管理上的建議，服務(wù)上的建議詳見(jiàn)第五章。 廣電總局 網(wǎng)絡(luò)設(shè)備的 OS 的更新將遵從網(wǎng)絡(luò)設(shè)備的安全管理制度，確保 OS 鏡像的完整性。 就用戶管理而言，我們建議對(duì) 廣電總局 設(shè)備或是網(wǎng)段的訪問(wèn)必須明確限制到需要訪問(wèn)的個(gè)人，我們采取兩種管理措施：預(yù)防性管理和探測(cè)性管理。 機(jī)房施工管理制度 我們 結(jié)合以前項(xiàng)目中安全管理的經(jīng)驗(yàn)，為 廣電總局 制定了如下的機(jī)房施工管理制度， 廣電總局 運(yùn)維部門(mén)也可以結(jié)合各機(jī)房情況改進(jìn)該管理制度，以求充分切合實(shí)際。通過(guò)把暴露安全漏洞所帶來(lái)的風(fēng)險(xiǎn)和實(shí)施及強(qiáng)制執(zhí)行安全策略所需要的費(fèi)用進(jìn)行比較，就可以確定 廣電總局 可接受的風(fēng)險(xiǎn)水平。網(wǎng)絡(luò)的脆弱性表現(xiàn)在網(wǎng)絡(luò)中存 在的可能被威脅利用的缺陷，如：可能發(fā)生外部人員的猜出口令而對(duì)網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)訪問(wèn)的事件等。 在 廣電總局 安全運(yùn)維中，需要通過(guò)安全風(fēng)險(xiǎn)管理提供網(wǎng)絡(luò)中的安全關(guān)鍵點(diǎn)。 IDS 管理中心用于網(wǎng)絡(luò)型 IDS 的策略控制和監(jiān)控， 報(bào)警信息將會(huì)在控制 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 22 頁(yè) 共 31 頁(yè) 臺(tái)上顯示或報(bào)警； 防病毒管理中心用于防病毒系統(tǒng)的管理和控制； 日志管理中心控制臺(tái)和審計(jì)中心控制臺(tái)分別是日志分析中心和安全審計(jì)中心的 Console 端軟件，可以實(shí)現(xiàn)對(duì)這兩套軟件系統(tǒng)的遠(yuǎn)程控制和管理。 安全管理中心的實(shí)施拓?fù)淙缦聢D所示： E250日志分析網(wǎng)管安全審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)管理端病毒控制管理中心 安全管理中心實(shí)施拓?fù)? 安全決策支持中心 安全決策支持中心實(shí)際上是一個(gè)由 專(zhuān)業(yè)安全專(zhuān)家、客戶安全人員、安全知識(shí)庫(kù)、安全信息中心軟件系統(tǒng)以及 專(zhuān)業(yè)安全服務(wù)共同構(gòu)成的一個(gè)常備安全機(jī)構(gòu)。 DNS 系統(tǒng)的安全威脅主要來(lái)自以下幾個(gè)方面： ? 監(jiān)聽(tīng)向 DNS SERVER 發(fā)的查詢 id，實(shí)現(xiàn)欺騙攻擊； ? 針對(duì) DNS 服務(wù)器鏈缺陷的報(bào)文放大技術(shù)，使一個(gè)主機(jī)的帶寬消耗殆盡的DNS smurf 攻擊； ? 域名劫持 (這一攻擊用于在有 make changes 功能注冊(cè)域名的公司 )； ? BIND 存在的遠(yuǎn)程緩沖區(qū)溢出的漏洞； ? 非法區(qū)域傳輸問(wèn)題； 因此， 對(duì)于廣電總局外 網(wǎng)的 DNS 系統(tǒng)的安全， 我們 有如下建議： 1. 將貯備 DNS 服務(wù)器置于不同 IP 地 址段內(nèi)，防止由于拒絕服務(wù)的攻擊造成 DNS 停止服務(wù)。這種方法會(huì)導(dǎo)致垃圾郵件發(fā)送程序立刻連接，而 導(dǎo)致系統(tǒng)忙于應(yīng)付不停的連接、中止操作中；而限制如果過(guò)低，會(huì)影響正常的工作，限制過(guò)高，可以調(diào)整垃圾郵件發(fā)送程序 另外，也可以實(shí)現(xiàn)限速中止，就是說(shuō)服務(wù)器在接收到超過(guò)限制數(shù)量的收件人地址后，等待較長(zhǎng)時(shí)間然后中止。 ? 垃圾郵件識(shí)別 垃圾郵件識(shí)別是一個(gè)比較復(fù)雜的問(wèn)題。 MAIL 系統(tǒng)的安全 廣電總局的電子郵件系統(tǒng)主要用于內(nèi)部員工與外界進(jìn)行信息聯(lián)絡(luò)，是網(wǎng)絡(luò)與外部必須開(kāi)放的服務(wù)系統(tǒng)，雖然流量不大，但是對(duì)可用性要求是很高，而且很有可能成為攻擊者的跳板和入口。如果是自己開(kāi)發(fā)的應(yīng)用，更需要嚴(yán)格進(jìn)行源代碼審計(jì)，確保沒(méi)有嚴(yán)重安全問(wèn)題。 通過(guò)設(shè)置防火墻，可以有效的控制允許外界訪問(wèn)的服務(wù)端口， 減少安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)的脆弱性成倍增加，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)已不再是簡(jiǎn)單的在客戶機(jī)上安裝桌面病毒掃描程序就可以解決的問(wèn)題了。 防病毒體系 對(duì)于 廣電總局 來(lái)說(shuō)數(shù)據(jù) 的安全 是最重要的，而病毒是對(duì)數(shù)據(jù)造成嚴(yán)重威脅的主要因素之一。 ， 日志分析系統(tǒng) 由于全網(wǎng)存在眾多 網(wǎng)絡(luò)和主機(jī)設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套 日志分析系統(tǒng) 用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。 我們建議 在廣電總局外 網(wǎng)部署網(wǎng)絡(luò)掃描軟件。 這套入侵檢測(cè)系統(tǒng) 部署在 核心交換機(jī)上，（由于性能問(wèn)題，原則上不對(duì)視頻點(diǎn)播系統(tǒng)進(jìn)行檢測(cè)） 。我們必須及時(shí)高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。 防火墻上實(shí)施如下策略 原則如下 ： 1. 默認(rèn)關(guān)閉防火墻上的所有訪問(wèn)規(guī)則 2. 允許內(nèi)網(wǎng)訪問(wèn) DMZ 口的必要服務(wù) 3. 禁止 DMZ 口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng) 、外網(wǎng)到 DMZ 的訪問(wèn) 4. 允許內(nèi)網(wǎng)、 DMZ 對(duì)外網(wǎng)的訪問(wèn)，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的安全考慮 入侵檢測(cè)技術(shù)是當(dāng)今一種非常重要的動(dòng)態(tài)安全技術(shù)，與 傳統(tǒng) 的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。 網(wǎng)絡(luò) 管理級(jí) ：安全級(jí)別次于 MAIL 及備份 DNS 系統(tǒng)，包含廣電總局外網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理系統(tǒng)，這類(lèi)系統(tǒng)如果遭受入侵或干擾，將暴露 整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整網(wǎng)的安全狀況。從而確保該網(wǎng)段的安全性 。原視頻服務(wù)器與主 DNS 服務(wù)器放置在該 PIX520 的 DMZ 口所在 VLAN，而其他業(yè)務(wù)放置在該