【正文】 更 具有 層次性結(jié)構(gòu) 的特點 ，便于未來升級和集中管理 。一方面，網(wǎng)管人員可以通過這個集中安全數(shù)據(jù)庫查詢?nèi)W(wǎng)安全狀況，另一方面，在發(fā)生安全事件或緊急響應(yīng)時提供給我們和客戶迅速了解受害機情況，找到對策，減少損失。需要在防火墻和交換機上設(shè)置相應(yīng)規(guī)則以保護 入侵檢測 主機。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問題之一。 入侵檢測技術(shù)通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)： 1. 異常發(fā)現(xiàn)技術(shù)。 視頻服務(wù) /主 DNS 級 ： 由于視頻服務(wù)的組播技術(shù)目前的防火墻不能夠很好的支持 ，因此我們將視頻服務(wù)獨立出來，不提供進一步的防火墻防護。 WEB 系統(tǒng)級 ：安全級別最高，包含廣電總局 官方網(wǎng)站主機 ， 由于廣電總局的網(wǎng)站是整個廣電系統(tǒng)的門戶站點及信息發(fā)布平臺，此 系統(tǒng) 容易成為入侵者的首選目標(biāo)，且 發(fā)生問題 也會導(dǎo)致不良的政治影響 ，因此 對這類級別的安全防護需求最高 。 。 網(wǎng)絡(luò)系統(tǒng) 安全 基于以上四個原則， 我們 為 廣電總局 設(shè)計了如下的安全解決方案。 層次性原則 在 廣電總局 外 部網(wǎng)絡(luò) 安全方案設(shè)計中，無論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。 網(wǎng)絡(luò) 安全系統(tǒng)應(yīng)該包括三種機制：安全防護機制；安全監(jiān)測機制；安全恢復(fù)機制。 網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護 、查殺及隔離 措施，一旦某臺主機感染病毒，會在短時間內(nèi)造成病毒在廣電網(wǎng)絡(luò)中的廣泛傳播 ，（目前外網(wǎng)部分主機依舊被 Nimda 病毒感染） 。 不同 出口鏈路經(jīng)過防火墻后進入 VLAN201（ 512K 鏈路 DMZ 口 ）、 VLAN202（ 512K 鏈路與 2M鏈路 Trust 口 ）與 VLAN301（ 2M 鏈路 DMZ 口）。 網(wǎng)絡(luò)現(xiàn)狀及安全需求 廣電 總局外 部網(wǎng)絡(luò) 的網(wǎng)拓撲結(jié)構(gòu)可以用下圖表示： 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 2 頁 共 31 頁 VLAN 301SiSi SiSiA5100E3500E250E250IBMNetfinity 40002926 2926 3548 35482926...Network IDSVLAN 201托管服務(wù)器防火墻防火墻E220 R E220 RSUN U10 廣電總局 廣域網(wǎng)拓撲 SUN E3500：兩臺。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 1 頁 共 31 頁 廣電總局網(wǎng)絡(luò)安全技術(shù)建議書 一、 綜述 建設(shè)背景 廣電總局外 部網(wǎng) 目前 承載著廣電總局 對外官方網(wǎng)站、 電子郵件、 DNS 系統(tǒng) 、視頻點播 、主機托管以及廣電總局用戶訪問 Inter 等一系列 業(yè)務(wù)功能 。 WEB 主服務(wù)器， 其中一臺閑置 。其中， VLAN201 主要包含廣電總局托管服務(wù)器， VLAN301 包含 WEB 服務(wù)、 MAIL 服務(wù)、 DNS 服務(wù)及視頻服務(wù)，員工桌面機通過各 2926 與 3548 交換機匯聚至 VLAN202，通過防火墻 NAT 進行 Inter訪問。 目前廣電外網(wǎng)安全只 單純依賴被 動型的安全手段如防火墻，而缺乏主動發(fā)現(xiàn)型的安全手段，比如安全漏洞審計系統(tǒng)、入侵檢測系統(tǒng)等。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的防護措施，避免非法攻擊的進行；安全監(jiān)測機制是監(jiān)測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊；安全恢復(fù)機制是在安全防護機制失效的情況下，進行應(yīng)急處理和盡量、及時地恢復(fù)信息，減少攻擊的破壞程度 由于業(yè)務(wù)的 發(fā)展 及 網(wǎng)絡(luò) 安全需求， 廣電總局 外部 網(wǎng)絡(luò) 業(yè)務(wù)系統(tǒng) 目前相對簡單。安全問題的層次性原則集中在兩個方面： － 管理模式的層次性 在 廣電總局 外 部網(wǎng)絡(luò)中，由于涉及到跨部門及機構(gòu)的 人員以及地點，需要一種層次性的管理模式。下面，按照“層層設(shè)防”的安全理念， 我們 將從整個網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ) —— 網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)開始，逐步闡述從 出口鏈路到 網(wǎng)絡(luò)核心交換區(qū)域、到 重要業(yè)務(wù)系統(tǒng) 和 用戶桌面機 網(wǎng)段的不同安全策略和安全產(chǎn)品的選型 原則 和實施建議。 其次， 在新的拓撲中， 重要業(yè)務(wù)系統(tǒng)如 WEB 系統(tǒng) 、 DNS/Mail 等公共服務(wù)器利用新增 防火墻 劃分更高層次的安全 隔離 ，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 7 頁 共 31 頁 與安全隔離 。 對于這類系統(tǒng)，建議使用兩臺防火墻工 作在 FAILOVER 模式下，通過在防 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 9 頁 共 31 頁 火墻上設(shè)置嚴格的策略，對每個需要訪問業(yè)務(wù)系統(tǒng)的用戶進行嚴格限制 。 出 于防止單點故障的原因，我們建議將主備 DNS 系統(tǒng)分別放置在不同VLAN 內(nèi)，并分別配置不同網(wǎng)段的 IP 地址， 防止 由于拒絕服務(wù)攻擊造成兩臺 DNS同時停止服務(wù)（注： 2020 年微軟公司 4 臺 DNS 服務(wù)器由于其中 3 臺部署在一個C 類地址內(nèi)，而造成該三臺 DNS 主機同時被拒絕服務(wù)攻擊導(dǎo) 致大面積主機地址無法解析）。 2. 模式發(fā)現(xiàn)技術(shù)。 4. 防火墻雖然可以擋住某些攻擊，但是通常無法留下細節(jié)的攻擊記錄，這對分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測系統(tǒng)剛好可以解決這一問題。 此外，在核心 交換機上設(shè)置 Port Mirror 將 需要檢測 的 VLAN 的流量映射到對應(yīng) 的監(jiān)聽網(wǎng)卡所連接的端口。同時，掃描審計軟件應(yīng)提供相關(guān)接口，便于用戶 輸入設(shè)備安全信息，也進一步增強該軟件的決策支持能力。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 14 頁 共 31 頁 每秒接受日志的速度 。從 CIH 到 Code Red， 以 及最近的 Nimda 計算機病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負荷量過重等問題，凸顯出網(wǎng)絡(luò)安全防病毒機制的迫切需求。 建立 全方位、多層次的、整體的 網(wǎng)絡(luò)防病毒解決方案。確保 Web 服 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 16 頁 共 31 頁 務(wù)器不會因為錯誤配置導(dǎo)致安全問題，例如泄漏系統(tǒng)文件或者目錄列表等等。 ? 全面檢查 WWW 服務(wù)器中的 CGI 程序，降低由 CGI 帶來的安全風(fēng)險，同時要提高程序開發(fā)人員的安全意識 對廣電總局 而言， Web Server 將用來作為重要數(shù)據(jù)發(fā)布的窗口。 ? 由于 目前的垃圾郵件是主要的病毒傳播和拒絕服務(wù)攻擊手段，因此，我們建議對廣電總局的郵件系統(tǒng)實施防垃圾郵件措施。 垃圾郵件識別是動態(tài)的過 程，要不斷地更新模式庫才可以阻止大部分的垃圾郵件。 MAPS（ Mail Abuse Preventing System） RBL是一個動 態(tài)維護的系統(tǒng)，它將確認為垃圾 IP 地址放在 DNS 記錄中，供 SMTP 服務(wù)器進行查詢。 5. 日常運維及管理用戶通過一次性口令集中認證訪問系統(tǒng)，確保密碼的安全性 ，以及指令的安全性。一方面由于主機型掃描器和數(shù)據(jù)庫掃描器在使用中對系統(tǒng)資源占用較高，另一方面，這些掃描器的性價比較低，所以不推薦使用。瑪賽在長期大量的安全工程的安全 設(shè)計和實施中，積累了大量運維工作的安全管理經(jīng)驗，瑪賽愿意與 廣電總局安全運維部門一起分享這些經(jīng)驗。無形資產(chǎn)一般可以用重要程度或關(guān)鍵程度評判其價值。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 25 頁 共 31 頁 業(yè)務(wù)資源不可用 與網(wǎng)絡(luò)資源不可用類似， 廣電總局 的業(yè)務(wù)資源，如 OA 系統(tǒng) 、 DNS 系統(tǒng)、等，都會由于某些威脅，造成系統(tǒng)不可用，我們需要給出這些資源的風(fēng)險評估。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 26 頁 共 31 頁 物理安全管理 物理安全一直是安全領(lǐng)域重要一環(huán)。 如下為我們?yōu)?廣電總局 設(shè)計的故障報告的一個簡要格式： 其他運維管理制度 針對 廣電總局 運維實際，我們從設(shè)備使用管理、設(shè)備文檔管理等方面提供設(shè)備檔案管理制度的建議，同時也提供了關(guān)于設(shè)備配置 更改制度的一些想法。對業(yè)務(wù)系統(tǒng)的訪問控制，建議每個業(yè)務(wù)系統(tǒng)獨立分配相應(yīng)的用戶。 針對主機設(shè)備，我們將為 廣電總局 每臺關(guān)鍵主機建立完整性管理庫，建議 廣電總局 的運維部門定期根據(jù)管理制度對重要服務(wù)器的完整性進行檢查，以達到主機設(shè)備完整性要求。 安全管理是整體網(wǎng)絡(luò)安全解決方案的基石，有了良好的安全管理體制，才能真正建立整體安全防護體系，安全解決方案也才能真正在運維過程中得以實施。 從用戶實際需求出發(fā)，遵照集中管理思想，從集成，服務(wù)和培訓(xùn)三個方面制定安全解決方案。 注重長期服務(wù)，確保運維管理中的安全性。因為人員的安全觀念， 系統(tǒng)管理員的實際安全知識直接影響到整個系統(tǒng)安全方案的實施。 日常安全管理 日常安全管理更加偏重于日常安全審計以及安全事件響應(yīng)的內(nèi)容。建議至少在危及到特權(quán)帳戶的安全或發(fā)生重大人事變動時必須更換口令； 在口令選擇方面，有以下基本原則： 不要使用登錄名，不管以何種形式（如原樣或顛倒、大寫和重復(fù)等） 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 28 頁 共 31 頁 不要用名字的第一個、中間一個或最后一個字（不管是現(xiàn)用名還是曾用名） 不要用