【正文】 更 具有 層次性結(jié)構(gòu) 的特點(diǎn) ，便于未來(lái)升級(jí)和集中管理 。一方面，網(wǎng)管人員可以通過(guò)這個(gè)集中安全數(shù)據(jù)庫(kù)查詢?nèi)W(wǎng)安全狀況，另一方面，在發(fā)生安全事件或緊急響應(yīng)時(shí)提供給我們和客戶迅速了解受害機(jī)情況，找到對(duì)策，減少損失。需要在防火墻和交換機(jī)上設(shè)置相應(yīng)規(guī)則以保護(hù) 入侵檢測(cè) 主機(jī)。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問(wèn)題之一。 入侵檢測(cè)技術(shù)通過(guò)對(duì)入侵行為的過(guò)程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)： 1. 異常發(fā)現(xiàn)技術(shù)。 視頻服務(wù) /主 DNS 級(jí) ： 由于視頻服務(wù)的組播技術(shù)目前的防火墻不能夠很好的支持 ，因此我們將視頻服務(wù)獨(dú)立出來(lái)，不提供進(jìn)一步的防火墻防護(hù)。 WEB 系統(tǒng)級(jí) ：安全級(jí)別最高，包含廣電總局 官方網(wǎng)站主機(jī) ， 由于廣電總局的網(wǎng)站是整個(gè)廣電系統(tǒng)的門戶站點(diǎn)及信息發(fā)布平臺(tái)，此 系統(tǒng) 容易成為入侵者的首選目標(biāo)，且 發(fā)生問(wèn)題 也會(huì)導(dǎo)致不良的政治影響 ，因此 對(duì)這類級(jí)別的安全防護(hù)需求最高 。 。 網(wǎng)絡(luò)系統(tǒng) 安全 基于以上四個(gè)原則， 我們 為 廣電總局 設(shè)計(jì)了如下的安全解決方案。 層次性原則 在 廣電總局 外 部網(wǎng)絡(luò) 安全方案設(shè)計(jì)中，無(wú)論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。 網(wǎng)絡(luò) 安全系統(tǒng)應(yīng)該包括三種機(jī)制：安全防護(hù)機(jī)制；安全監(jiān)測(cè)機(jī)制；安全恢復(fù)機(jī)制。 網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護(hù) 、查殺及隔離 措施，一旦某臺(tái)主機(jī)感染病毒，會(huì)在短時(shí)間內(nèi)造成病毒在廣電網(wǎng)絡(luò)中的廣泛傳播 ，（目前外網(wǎng)部分主機(jī)依舊被 Nimda 病毒感染） 。 不同 出口鏈路經(jīng)過(guò)防火墻后進(jìn)入 VLAN201（ 512K 鏈路 DMZ 口 ）、 VLAN202（ 512K 鏈路與 2M鏈路 Trust 口 ）與 VLAN301（ 2M 鏈路 DMZ 口）。 網(wǎng)絡(luò)現(xiàn)狀及安全需求 廣電 總局外 部網(wǎng)絡(luò) 的網(wǎng)拓?fù)浣Y(jié)構(gòu)可以用下圖表示： 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 2 頁(yè) 共 31 頁(yè) VLAN 301SiSi SiSiA5100E3500E250E250IBMNetfinity 40002926 2926 3548 35482926...Network IDSVLAN 201托管服務(wù)器防火墻防火墻E220 R E220 RSUN U10 廣電總局 廣域網(wǎng)拓?fù)? SUN E3500：兩臺(tái)。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 1 頁(yè) 共 31 頁(yè) 廣電總局網(wǎng)絡(luò)安全技術(shù)建議書 一、 綜述 建設(shè)背景 廣電總局外 部網(wǎng) 目前 承載著廣電總局 對(duì)外官方網(wǎng)站、 電子郵件、 DNS 系統(tǒng) 、視頻點(diǎn)播 、主機(jī)托管以及廣電總局用戶訪問(wèn) Inter 等一系列 業(yè)務(wù)功能 。 WEB 主服務(wù)器， 其中一臺(tái)閑置 。其中， VLAN201 主要包含廣電總局托管服務(wù)器， VLAN301 包含 WEB 服務(wù)、 MAIL 服務(wù)、 DNS 服務(wù)及視頻服務(wù)，員工桌面機(jī)通過(guò)各 2926 與 3548 交換機(jī)匯聚至 VLAN202，通過(guò)防火墻 NAT 進(jìn)行 Inter訪問(wèn)。 目前廣電外網(wǎng)安全只 單純依賴被 動(dòng)型的安全手段如防火墻，而缺乏主動(dòng)發(fā)現(xiàn)型的安全手段，比如安全漏洞審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)等。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行；安全監(jiān)測(cè)機(jī)制是監(jiān)測(cè)系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊；安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少攻擊的破壞程度 由于業(yè)務(wù)的 發(fā)展 及 網(wǎng)絡(luò) 安全需求， 廣電總局 外部 網(wǎng)絡(luò) 業(yè)務(wù)系統(tǒng) 目前相對(duì)簡(jiǎn)單。安全問(wèn)題的層次性原則集中在兩個(gè)方面： － 管理模式的層次性 在 廣電總局 外 部網(wǎng)絡(luò)中，由于涉及到跨部門及機(jī)構(gòu)的 人員以及地點(diǎn)，需要一種層次性的管理模式。下面，按照“層層設(shè)防”的安全理念， 我們 將從整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ) —— 網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)開始，逐步闡述從 出口鏈路到 網(wǎng)絡(luò)核心交換區(qū)域、到 重要業(yè)務(wù)系統(tǒng) 和 用戶桌面機(jī) 網(wǎng)段的不同安全策略和安全產(chǎn)品的選型 原則 和實(shí)施建議。 其次， 在新的拓?fù)渲校?重要業(yè)務(wù)系統(tǒng)如 WEB 系統(tǒng) 、 DNS/Mail 等公共服務(wù)器利用新增 防火墻 劃分更高層次的安全 隔離 ，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級(jí) 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 7 頁(yè) 共 31 頁(yè) 與安全隔離 。 對(duì)于這類系統(tǒng)，建議使用兩臺(tái)防火墻工 作在 FAILOVER 模式下，通過(guò)在防 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 9 頁(yè) 共 31 頁(yè) 火墻上設(shè)置嚴(yán)格的策略，對(duì)每個(gè)需要訪問(wèn)業(yè)務(wù)系統(tǒng)的用戶進(jìn)行嚴(yán)格限制 。 出 于防止單點(diǎn)故障的原因，我們建議將主備 DNS 系統(tǒng)分別放置在不同VLAN 內(nèi)，并分別配置不同網(wǎng)段的 IP 地址， 防止 由于拒絕服務(wù)攻擊造成兩臺(tái) DNS同時(shí)停止服務(wù)（注： 2020 年微軟公司 4 臺(tái) DNS 服務(wù)器由于其中 3 臺(tái)部署在一個(gè)C 類地址內(nèi)，而造成該三臺(tái) DNS 主機(jī)同時(shí)被拒絕服務(wù)攻擊導(dǎo) 致大面積主機(jī)地址無(wú)法解析）。 2. 模式發(fā)現(xiàn)技術(shù)。 4. 防火墻雖然可以擋住某些攻擊，但是通常無(wú)法留下細(xì)節(jié)的攻擊記錄，這對(duì)分析攻擊行為以及調(diào)查取證帶來(lái)了很大困難，而入侵檢測(cè)系統(tǒng)剛好可以解決這一問(wèn)題。 此外，在核心 交換機(jī)上設(shè)置 Port Mirror 將 需要檢測(cè) 的 VLAN 的流量映射到對(duì)應(yīng) 的監(jiān)聽網(wǎng)卡所連接的端口。同時(shí)，掃描審計(jì)軟件應(yīng)提供相關(guān)接口，便于用戶 輸入設(shè)備安全信息，也進(jìn)一步增強(qiáng)該軟件的決策支持能力。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 14 頁(yè) 共 31 頁(yè) 每秒接受日志的速度 。從 CIH 到 Code Red， 以 及最近的 Nimda 計(jì)算機(jī)病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負(fù)荷量過(guò)重等問(wèn)題，凸顯出網(wǎng)絡(luò)安全防病毒機(jī)制的迫切需求。 建立 全方位、多層次的、整體的 網(wǎng)絡(luò)防病毒解決方案。確保 Web 服 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 16 頁(yè) 共 31 頁(yè) 務(wù)器不會(huì)因?yàn)殄e(cuò)誤配置導(dǎo)致安全問(wèn)題，例如泄漏系統(tǒng)文件或者目錄列表等等。 ? 全面檢查 WWW 服務(wù)器中的 CGI 程序，降低由 CGI 帶來(lái)的安全風(fēng)險(xiǎn)，同時(shí)要提高程序開發(fā)人員的安全意識(shí) 對(duì)廣電總局 而言， Web Server 將用來(lái)作為重要數(shù)據(jù)發(fā)布的窗口。 ? 由于 目前的垃圾郵件是主要的病毒傳播和拒絕服務(wù)攻擊手段，因此，我們建議對(duì)廣電總局的郵件系統(tǒng)實(shí)施防垃圾郵件措施。 垃圾郵件識(shí)別是動(dòng)態(tài)的過(guò) 程，要不斷地更新模式庫(kù)才可以阻止大部分的垃圾郵件。 MAPS（ Mail Abuse Preventing System） RBL是一個(gè)動(dòng) 態(tài)維護(hù)的系統(tǒng)，它將確認(rèn)為垃圾 IP 地址放在 DNS 記錄中，供 SMTP 服務(wù)器進(jìn)行查詢。 5. 日常運(yùn)維及管理用戶通過(guò)一次性口令集中認(rèn)證訪問(wèn)系統(tǒng)，確保密碼的安全性 ，以及指令的安全性。一方面由于主機(jī)型掃描器和數(shù)據(jù)庫(kù)掃描器在使用中對(duì)系統(tǒng)資源占用較高，另一方面，這些掃描器的性價(jià)比較低，所以不推薦使用?，斮愒陂L(zhǎng)期大量的安全工程的安全 設(shè)計(jì)和實(shí)施中，積累了大量運(yùn)維工作的安全管理經(jīng)驗(yàn)，瑪賽愿意與 廣電總局安全運(yùn)維部門一起分享這些經(jīng)驗(yàn)。無(wú)形資產(chǎn)一般可以用重要程度或關(guān)鍵程度評(píng)判其價(jià)值。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 25 頁(yè) 共 31 頁(yè) 業(yè)務(wù)資源不可用 與網(wǎng)絡(luò)資源不可用類似， 廣電總局 的業(yè)務(wù)資源，如 OA 系統(tǒng) 、 DNS 系統(tǒng)、等，都會(huì)由于某些威脅，造成系統(tǒng)不可用，我們需要給出這些資源的風(fēng)險(xiǎn)評(píng)估。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 26 頁(yè) 共 31 頁(yè) 物理安全管理 物理安全一直是安全領(lǐng)域重要一環(huán)。 如下為我們?yōu)?廣電總局 設(shè)計(jì)的故障報(bào)告的一個(gè)簡(jiǎn)要格式： 其他運(yùn)維管理制度 針對(duì) 廣電總局 運(yùn)維實(shí)際，我們從設(shè)備使用管理、設(shè)備文檔管理等方面提供設(shè)備檔案管理制度的建議，同時(shí)也提供了關(guān)于設(shè)備配置 更改制度的一些想法。對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)控制，建議每個(gè)業(yè)務(wù)系統(tǒng)獨(dú)立分配相應(yīng)的用戶。 針對(duì)主機(jī)設(shè)備，我們將為 廣電總局 每臺(tái)關(guān)鍵主機(jī)建立完整性管理庫(kù)，建議 廣電總局 的運(yùn)維部門定期根據(jù)管理制度對(duì)重要服務(wù)器的完整性進(jìn)行檢查，以達(dá)到主機(jī)設(shè)備完整性要求。 安全管理是整體網(wǎng)絡(luò)安全解決方案的基石，有了良好的安全管理體制，才能真正建立整體安全防護(hù)體系，安全解決方案也才能真正在運(yùn)維過(guò)程中得以實(shí)施。 從用戶實(shí)際需求出發(fā)，遵照集中管理思想，從集成，服務(wù)和培訓(xùn)三個(gè)方面制定安全解決方案。 注重長(zhǎng)期服務(wù)，確保運(yùn)維管理中的安全性。因?yàn)槿藛T的安全觀念， 系統(tǒng)管理員的實(shí)際安全知識(shí)直接影響到整個(gè)系統(tǒng)安全方案的實(shí)施。 日常安全管理 日常安全管理更加偏重于日常安全審計(jì)以及安全事件響應(yīng)的內(nèi)容。建議至少在危及到特權(quán)帳戶的安全或發(fā)生重大人事變動(dòng)時(shí)必須更換口令； 在口令選擇方面，有以下基本原則： 不要使用登錄名，不管以何種形式（如原樣或顛倒、大寫和重復(fù)等） 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 28 頁(yè) 共 31 頁(yè) 不要用名字的第一個(gè)、中間一個(gè)或最后一個(gè)字（不管是現(xiàn)用名還是曾用名） 不要用