【正文】 最親近的家人的名字（包括配偶、子女、父母和寵物） 不要用其他任何容易得到的關(guān)于你的信息 不要使用純數(shù)字或完全同一個字母組成的口令 不要使用在英文字典中的單詞 不要使用短于 6 位的口令 不要將口令告訴任何人 不要將口令電子郵件給任何人 如果可能，應(yīng)該使用大小寫混合的字母 使用包括非字母字符的口令 使用容易記的口令，這樣就不必將它寫下來 使用不用看鍵盤就可以很快鍵出的口令 針對網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的安全管理，除了用戶身份的驗證和認(rèn)證管理之外，則更多的注重對于完整性，數(shù)據(jù)機(jī)密性、可用性和審計管理上。 良好的物理安全是保證整個系統(tǒng)安全的重要部分， 廣電總局 機(jī)房管理制度的發(fā)展與完善需要 廣電總局 運維部門和專業(yè)安全服務(wù)商 密切協(xié)作，在長期的 運維 中得到加強(qiáng)。我們將針對 廣 電總局 網(wǎng)絡(luò) 系統(tǒng)提供一些機(jī)房管理制度建議，同時在全網(wǎng) 運維 過程中與 廣電總局 運維部門協(xié)作不斷完善這些制度。 當(dāng)在 廣電總局 所有風(fēng)險評定完畢后，就需要 廣電總局 網(wǎng)絡(luò) 部門 進(jìn)一步確定 廣電總局 能夠接受多高的風(fēng)險，以及資產(chǎn)需要保護(hù)到什么程度。考慮到實際需求，我們用不同的關(guān)鍵程度等級來劃分?jǐn)?shù)據(jù)類別來評定 廣電總局 外 網(wǎng) 資產(chǎn)價值。 安全風(fēng)險管理 安全風(fēng)險管理是確定適當(dāng)?shù)陌踩胧┑闹匾襟E。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實時檢測網(wǎng)絡(luò)漏洞，另一方面，也是進(jìn)行全網(wǎng)安全審計的重要工具。 一方面針對全網(wǎng)的安全設(shè)備進(jìn)行集中管理，另一方面，可以利用集中管理軟件收集全網(wǎng)網(wǎng)絡(luò)和主機(jī)安全信息，用于安全分析和統(tǒng)計，進(jìn)而對全網(wǎng)安全進(jìn)行決策和支持。 需要注意的是，國內(nèi)不少著名的大型免費郵件提供商的服務(wù)器都被列入過 RBL，所以采用 RBL 時要確認(rèn)是否有必要，和 估計相應(yīng)的風(fēng)險。有兩種做法：限速或中止。 垃圾郵件的發(fā)件人無論通過何種技術(shù)，都無法隱藏其來源地址。當(dāng)然 WWW 主機(jī)本身需要專門的安全工程師作安全審計和加固服務(wù)。 ? 運行新的應(yīng)用前，先進(jìn)行安全測試。為了防止 Web 服務(wù)器成為攻擊的犧牲品或成為進(jìn)入 廣電總局外 網(wǎng)的跳板，我們需要給予更多的關(guān)心。這樣雖然可以保證桌面平臺避免病毒的威脅，但沒有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播，無法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過載等這類嚴(yán)重威脅網(wǎng)絡(luò)正常服務(wù)的問題。 持多種 設(shè)備類型及數(shù)量，是否 支持標(biāo)準(zhǔn) syslog 協(xié)議。因此，對于掃描審計系統(tǒng)，必須在嚴(yán)格的安全代價分析和詳細(xì)的掃描模式庫選擇下進(jìn)行實施，通常對于重要的業(yè)務(wù)系統(tǒng)，要根據(jù)系統(tǒng)主機(jī)的負(fù)載情況制定 不同時間段的 掃描計劃 ，從而獲得全面的系統(tǒng)安全狀況。 SiSi SiSiNetwork IDS 廣電總局 網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測系統(tǒng)部署拓?fù)鋱D 安全審計系統(tǒng) 網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機(jī)開放服務(wù)，同時模擬黑客入侵對主機(jī)或網(wǎng)絡(luò)設(shè)備進(jìn)行偵測性刺探，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)設(shè)備的安全漏洞。 在選擇入侵監(jiān)測系統(tǒng)時需要考慮的因素主要有： 1. 管理模式 2. 協(xié)議分析及檢測能力； 3. 解碼效率 (速度 )； 4. 自身安全的完備性； 5. 精確度及完整度，防欺騙能力； 6. 模式更新速度。 基于以下 因素 的考慮，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 由以上五 個安全等級劃分出發(fā)。其中，郵件系統(tǒng)是廣電系統(tǒng)應(yīng)用的必不可少的一個重要業(yè)務(wù)系統(tǒng)。 第三， 在原先網(wǎng)管系統(tǒng)的基礎(chǔ)上，建立新的網(wǎng)絡(luò)管理及安全管理網(wǎng)段，該網(wǎng)段集中了網(wǎng)管、審計、日志、 入侵檢測 及病毒管理中心等安全及網(wǎng)管主機(jī)，日常運維中通過各類安全技術(shù)收集整網(wǎng)安全信息，提供運維人員整網(wǎng)狀況。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 6 頁 共 31 頁 VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務(wù)器防火墻E220 RmailE220 RDNS網(wǎng)管cc防火墻 防火墻VLANDMZVLANDMZ安全審計系統(tǒng)入侵檢測系統(tǒng)管理端病毒控制管理中心 在經(jīng)過上述調(diào)整之后，我們可以看到， 考慮到未來廣電總局將使用一條新的10M 光線出口鏈路，并保留目前的一條出口鏈路作為備份鏈路，我們建議在出口接入路由器上運行動態(tài)路由協(xié)議，保持兩條的鏈路互為備份。 － 防護(hù)技術(shù)的層次性 層次性還表現(xiàn)在防護(hù)技術(shù)上。因此 在本次設(shè)計中，我們從全網(wǎng)角度出發(fā)，關(guān)注 廣電信息化建設(shè)的目標(biāo)，各 廣電各 業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點提出 從防護(hù)－ 檢測－ 回復(fù) 的 完整的 解決方案，而不是治標(biāo)不治本。 缺乏對攻擊的監(jiān)測和記錄手段，比如入侵檢測系統(tǒng)、日志服務(wù)等，無法有效的發(fā)現(xiàn)安全事件，也沒有舉證手段。但是，仔細(xì)分析我們可以看出，這個網(wǎng)絡(luò)仍然存在很多安全隱患。一臺為郵件服務(wù)器，另一臺為主 DNS 服務(wù)器。 隨著廣電總局網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求， 網(wǎng)絡(luò) 安全 作為信息化建設(shè)中必不可少的一項工作 ， 以逐漸提現(xiàn)出其重要性。 所以 ，為了 保障 廣電總局 網(wǎng)絡(luò) 系統(tǒng)資源的安全和穩(wěn)定運行， 迫切需要建立一個統(tǒng)一的安全防護(hù)體系， 從而 為 廣電總局 的網(wǎng)絡(luò)業(yè)務(wù) 提供高質(zhì)量的信息服務(wù)。 ULTRA 10： 外 網(wǎng)網(wǎng)管服務(wù)器 外 部網(wǎng)絡(luò)結(jié)構(gòu)由兩臺 CISCO 6509 承擔(dān)外 網(wǎng)核心交換工作 ，目前只有一臺6509 處于工作狀態(tài) 。 MAIL 系統(tǒng) 用戶 帳號及 密碼以明碼方式在網(wǎng)絡(luò)上傳播。 安全設(shè)計原則 整體性原則 安全作為一個特殊的技術(shù) 領(lǐng)域，有著自己的特點。 廣電總局 的設(shè)備和主機(jī)類型較 多，業(yè)務(wù)系統(tǒng) 涵蓋廣電各個部門及相關(guān)機(jī)構(gòu)，業(yè)務(wù)模式 相對復(fù)雜且管理機(jī)構(gòu)和管理模式也千差萬別。 長期性原則 安全一向是一個交互的過程，使用任何一種“靜態(tài)”或者號稱“動態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問題，所以我們針對安全問題的特點，提供針對 廣電總局 外部 網(wǎng)絡(luò) 全面的安全服 務(wù)，其中包括設(shè)備產(chǎn)品的技術(shù)支持和服務(wù)以及安全審計、安全響應(yīng)等專業(yè)安全服務(wù)。 核心 交換 依舊是兩臺 CISCO 6509 高性能的高端 交換機(jī)， 我們建議所有提供服務(wù)的主機(jī)不再 直接連接在核心交換機(jī)上，以備網(wǎng)絡(luò)擴(kuò)容需要。 第四， 在 6509 核心機(jī)上通過背板管理端口或端口鏡像技術(shù)將需要檢測網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對需要檢測的流量進(jìn)行不間斷的檢測和報警 。 網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、配置、管理廣電總局外部網(wǎng)絡(luò)，這些系統(tǒng)擁有對網(wǎng)絡(luò)設(shè)備及主機(jī)一定的管理權(quán)限，并存貯整網(wǎng)的相關(guān)信息，所以需要對網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進(jìn)行較高級別的安全防護(hù)，由于網(wǎng)管及安全管理系統(tǒng)需要開放的端口較多，因此我們建議在網(wǎng)絡(luò)管理級前不部署防火墻系統(tǒng)，依靠主機(jī)自身安全增強(qiáng)及強(qiáng)加密認(rèn)證系統(tǒng)提高系統(tǒng)安全防護(hù)能力。 ICSA 入侵檢測系統(tǒng)論壇的定義即：通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象 (的一種安全技術(shù) )。 2. 廣電總局 自身網(wǎng)絡(luò)系統(tǒng) 的結(jié)構(gòu) 目前雖然并不 復(fù)雜， 但隨著 出口鏈路帶寬的提高 和網(wǎng)絡(luò)規(guī)模的發(fā)展， 為了進(jìn)一步的提高安全事件的即時響應(yīng)和舉 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 11 頁 共 31 頁 證能力 ，必須具備某種手段對可能 的有意或無意的攻擊作出檢測、告警并留下證據(jù)。 檢 測所有 來自 Inter 對 WEB、 MAIL 及 DNS 的請求和 用 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 12 頁 共 31 頁 戶對 Interd 的訪問 情況。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對外 網(wǎng)各業(yè)務(wù)系統(tǒng)及用戶主機(jī)定期進(jìn)行掃描審計，并存貯相關(guān)審計信息。 建議采用 三級結(jié)構(gòu) 的日志分析系統(tǒng) ，第一級為需要記錄日志的主機(jī)或設(shè)備，該主機(jī)配置 syslog 日志指向 日志服務(wù)器；第二級為日志 服務(wù)器，負(fù)責(zé)日志接受，同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計分析；第三級為 日志服務(wù)器 的 console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報警和監(jiān)視日志系統(tǒng) 分析 統(tǒng)計結(jié)果。然而保護(hù)網(wǎng)絡(luò)免受愈演愈烈的計算機(jī)病毒威脅已不是一件簡單的事情。面對當(dāng)前的網(wǎng)絡(luò)安全形勢，我們迫切需要一 套 單一、集中、全面的防病毒解決方案。本次建議將其部署在第二層防火墻的 INTRUST 區(qū)。 ? 認(rèn)證過程采用加密通訊 (例如 SSL)或使用 X509 證書模式。 加強(qiáng)電子郵件系統(tǒng)的安全性，我們提出如下辦法： ? 將電子郵件服務(wù)器置于 第二層 防火墻的 DMZ 區(qū)，和內(nèi)外網(wǎng)都實現(xiàn)有效的隔離，防治黑客利用此主機(jī)作為攻擊的跳板。目前還沒有一個比較全面的方法去識別。 ? 速率限制 對發(fā)郵件的速率進(jìn)行限制，通常是對每連接可以發(fā)送的郵件的限制。 2. 通過將其部署在防火墻內(nèi)，限制用戶對該業(yè)務(wù)主機(jī)其他服務(wù)的訪問，只開啟 DNS 服務(wù)端口（ 53）和相關(guān)管理端口（ 22， 23 等）。 其中安全知識庫主要由專業(yè) 公司提供的安全信息發(fā)布服務(wù) 提供。 安全設(shè)備管理中心，是“集中管理”思想的具體體現(xiàn)。下面我們首先將針對 廣電總局 進(jìn)行安全風(fēng)險評估，以確定什么是 廣電總局 的關(guān)鍵資產(chǎn)，對這些關(guān)鍵資產(chǎn)進(jìn)行評估以及確定對這些資產(chǎn)出現(xiàn)破壞的可能性。對于 廣電總局 網(wǎng)絡(luò)中關(guān)鍵資源，威脅有如下一些形式： 竊取或破壞 風(fēng)險管理需要為 廣電總局 建立一套不同類型的敏感數(shù)據(jù)存儲在哪里、數(shù)據(jù)如何存儲以及誰有權(quán)訪問不同類型數(shù)據(jù)的的列表，該列表包涵了 廣電總局 中最有價值信息，通過該列表可以對這些數(shù)據(jù)進(jìn)行簡單的風(fēng)險計算。如對于辦公 PC 網(wǎng)絡(luò) 之上的 Cisco 交換機(jī)，我們就不值得花錢制定嚴(yán)格的安全策略保護(hù)它們。 運維 值班管理制度 值班管理制度是機(jī)房管理制度中較為核心的內(nèi)容，我們 將配合 廣電總局 網(wǎng)絡(luò)部門從值班基本守則、值班工作內(nèi)容、值班中常見問題處理等多方面提供 運維 值班管理建議。預(yù)防性管理，用于識別每個授權(quán)用戶 并拒絕非授權(quán)用戶的訪問。而網(wǎng)絡(luò)基礎(chǔ)設(shè)施的數(shù)據(jù)機(jī)密性方面， 我們 將從網(wǎng)絡(luò)設(shè)備會話、 下載 TFTP 配置、 SNMP 與網(wǎng)絡(luò)設(shè)備之間的事務(wù)、設(shè)備信息的 HTTP訪問這四個方面建立安全加密的管理制度。 對于日常運維中安全故障處理，建議建立安全響應(yīng)管理制度，該制度從安全響應(yīng)小組、檢測故障、處理故障、響應(yīng)故障、故障恢復(fù)等方面提供故障安全管理的依據(jù)。其中安全技術(shù)培訓(xùn)分為：初級安全培訓(xùn)、中級安全培訓(xùn)和高級安全培訓(xùn)。