【正文】 最親近的家人的名字（包括配偶、子女、父母和寵物） 不要用其他任何容易得到的關于你的信息 不要使用純數(shù)字或完全同一個字母組成的口令 不要使用在英文字典中的單詞 不要使用短于 6 位的口令 不要將口令告訴任何人 不要將口令電子郵件給任何人 如果可能，應該使用大小寫混合的字母 使用包括非字母字符的口令 使用容易記的口令，這樣就不必將它寫下來 使用不用看鍵盤就可以很快鍵出的口令 針對網(wǎng)絡設備和主機系統(tǒng)的安全管理，除了用戶身份的驗證和認證管理之外，則更多的注重對于完整性，數(shù)據(jù)機密性、可用性和審計管理上。 良好的物理安全是保證整個系統(tǒng)安全的重要部分， 廣電總局 機房管理制度的發(fā)展與完善需要 廣電總局 運維部門和專業(yè)安全服務商 密切協(xié)作，在長期的 運維 中得到加強。我們將針對 廣 電總局 網(wǎng)絡 系統(tǒng)提供一些機房管理制度建議，同時在全網(wǎng) 運維 過程中與 廣電總局 運維部門協(xié)作不斷完善這些制度。 當在 廣電總局 所有風險評定完畢后，就需要 廣電總局 網(wǎng)絡 部門 進一步確定 廣電總局 能夠接受多高的風險，以及資產(chǎn)需要保護到什么程度。考慮到實際需求，我們用不同的關鍵程度等級來劃分數(shù)據(jù)類別來評定 廣電總局 外 網(wǎng) 資產(chǎn)價值。 安全風險管理 安全風險管理是確定適當?shù)陌踩胧┑闹匾襟E。一方面網(wǎng)絡型掃描軟件可以幫助用戶實時檢測網(wǎng)絡漏洞，另一方面，也是進行全網(wǎng)安全審計的重要工具。 一方面針對全網(wǎng)的安全設備進行集中管理，另一方面，可以利用集中管理軟件收集全網(wǎng)網(wǎng)絡和主機安全信息，用于安全分析和統(tǒng)計，進而對全網(wǎng)安全進行決策和支持。 需要注意的是，國內(nèi)不少著名的大型免費郵件提供商的服務器都被列入過 RBL，所以采用 RBL 時要確認是否有必要，和 估計相應的風險。有兩種做法：限速或中止。 垃圾郵件的發(fā)件人無論通過何種技術，都無法隱藏其來源地址。當然 WWW 主機本身需要專門的安全工程師作安全審計和加固服務。 ? 運行新的應用前，先進行安全測試。為了防止 Web 服務器成為攻擊的犧牲品或成為進入 廣電總局外 網(wǎng)的跳板，我們需要給予更多的關心。這樣雖然可以保證桌面平臺避免病毒的威脅，但沒有從根本上杜絕病毒在網(wǎng)絡上傳播，無法解決由于病毒造成的網(wǎng)絡流量異常、系統(tǒng)服務過載等這類嚴重威脅網(wǎng)絡正常服務的問題。 持多種 設備類型及數(shù)量，是否 支持標準 syslog 協(xié)議。因此，對于掃描審計系統(tǒng)，必須在嚴格的安全代價分析和詳細的掃描模式庫選擇下進行實施，通常對于重要的業(yè)務系統(tǒng)，要根據(jù)系統(tǒng)主機的負載情況制定 不同時間段的 掃描計劃 ，從而獲得全面的系統(tǒng)安全狀況。 SiSi SiSiNetwork IDS 廣電總局 網(wǎng)絡系統(tǒng)入侵監(jiān)測系統(tǒng)部署拓撲圖 安全審計系統(tǒng) 網(wǎng)絡型掃描軟件從網(wǎng)絡角度發(fā)現(xiàn)主機開放服務，同時模擬黑客入侵對主機或網(wǎng)絡設備進行偵測性刺探，從而發(fā)現(xiàn)主機或網(wǎng)絡設備的安全漏洞。 在選擇入侵監(jiān)測系統(tǒng)時需要考慮的因素主要有： 1. 管理模式 2. 協(xié)議分析及檢測能力； 3. 解碼效率 (速度 )； 4. 自身安全的完備性； 5. 精確度及完整度，防欺騙能力； 6. 模式更新速度。 基于以下 因素 的考慮，我們建議在此次工程中部署基于網(wǎng)絡的入侵檢測系統(tǒng)。 由以上五 個安全等級劃分出發(fā)。其中，郵件系統(tǒng)是廣電系統(tǒng)應用的必不可少的一個重要業(yè)務系統(tǒng)。 第三， 在原先網(wǎng)管系統(tǒng)的基礎上，建立新的網(wǎng)絡管理及安全管理網(wǎng)段，該網(wǎng)段集中了網(wǎng)管、審計、日志、 入侵檢測 及病毒管理中心等安全及網(wǎng)管主機，日常運維中通過各類安全技術收集整網(wǎng)安全信息，提供運維人員整網(wǎng)狀況。 北京瑪賽網(wǎng)絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 6 頁 共 31 頁 VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務器防火墻E220 RmailE220 RDNS網(wǎng)管cc防火墻 防火墻VLANDMZVLANDMZ安全審計系統(tǒng)入侵檢測系統(tǒng)管理端病毒控制管理中心 在經(jīng)過上述調(diào)整之后，我們可以看到， 考慮到未來廣電總局將使用一條新的10M 光線出口鏈路，并保留目前的一條出口鏈路作為備份鏈路，我們建議在出口接入路由器上運行動態(tài)路由協(xié)議，保持兩條的鏈路互為備份。 － 防護技術的層次性 層次性還表現(xiàn)在防護技術上。因此 在本次設計中，我們從全網(wǎng)角度出發(fā)，關注 廣電信息化建設的目標，各 廣電各 業(yè)務系統(tǒng)安全，根據(jù)各業(yè)務系統(tǒng)特點提出 從防護－ 檢測－ 回復 的 完整的 解決方案，而不是治標不治本。 缺乏對攻擊的監(jiān)測和記錄手段，比如入侵檢測系統(tǒng)、日志服務等，無法有效的發(fā)現(xiàn)安全事件，也沒有舉證手段。但是，仔細分析我們可以看出，這個網(wǎng)絡仍然存在很多安全隱患。一臺為郵件服務器，另一臺為主 DNS 服務器。 隨著廣電總局網(wǎng)絡功能和業(yè)務的發(fā)展需求， 網(wǎng)絡 安全 作為信息化建設中必不可少的一項工作 ， 以逐漸提現(xiàn)出其重要性。 所以 ，為了 保障 廣電總局 網(wǎng)絡 系統(tǒng)資源的安全和穩(wěn)定運行， 迫切需要建立一個統(tǒng)一的安全防護體系， 從而 為 廣電總局 的網(wǎng)絡業(yè)務 提供高質(zhì)量的信息服務。 ULTRA 10： 外 網(wǎng)網(wǎng)管服務器 外 部網(wǎng)絡結構由兩臺 CISCO 6509 承擔外 網(wǎng)核心交換工作 ，目前只有一臺6509 處于工作狀態(tài) 。 MAIL 系統(tǒng) 用戶 帳號及 密碼以明碼方式在網(wǎng)絡上傳播。 安全設計原則 整體性原則 安全作為一個特殊的技術 領域，有著自己的特點。 廣電總局 的設備和主機類型較 多，業(yè)務系統(tǒng) 涵蓋廣電各個部門及相關機構，業(yè)務模式 相對復雜且管理機構和管理模式也千差萬別。 長期性原則 安全一向是一個交互的過程，使用任何一種“靜態(tài)”或者號稱“動態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問題，所以我們針對安全問題的特點，提供針對 廣電總局 外部 網(wǎng)絡 全面的安全服 務，其中包括設備產(chǎn)品的技術支持和服務以及安全審計、安全響應等專業(yè)安全服務。 核心 交換 依舊是兩臺 CISCO 6509 高性能的高端 交換機， 我們建議所有提供服務的主機不再 直接連接在核心交換機上，以備網(wǎng)絡擴容需要。 第四， 在 6509 核心機上通過背板管理端口或端口鏡像技術將需要檢測網(wǎng)絡流量鏡像到新增的網(wǎng)絡入侵檢測系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡流量的基礎上對需要檢測的流量進行不間斷的檢測和報警 。 網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、配置、管理廣電總局外部網(wǎng)絡，這些系統(tǒng)擁有對網(wǎng)絡設備及主機一定的管理權限，并存貯整網(wǎng)的相關信息，所以需要對網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進行較高級別的安全防護，由于網(wǎng)管及安全管理系統(tǒng)需要開放的端口較多，因此我們建議在網(wǎng)絡管理級前不部署防火墻系統(tǒng)，依靠主機自身安全增強及強加密認證系統(tǒng)提高系統(tǒng)安全防護能力。 ICSA 入侵檢測系統(tǒng)論壇的定義即：通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象 (的一種安全技術 )。 2. 廣電總局 自身網(wǎng)絡系統(tǒng) 的結構 目前雖然并不 復雜， 但隨著 出口鏈路帶寬的提高 和網(wǎng)絡規(guī)模的發(fā)展， 為了進一步的提高安全事件的即時響應和舉 北京瑪賽網(wǎng)絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 11 頁 共 31 頁 證能力 ，必須具備某種手段對可能 的有意或無意的攻擊作出檢測、告警并留下證據(jù)。 檢 測所有 來自 Inter 對 WEB、 MAIL 及 DNS 的請求和 用 北京瑪賽網(wǎng)絡系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 12 頁 共 31 頁 戶對 Interd 的訪問 情況。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對外 網(wǎng)各業(yè)務系統(tǒng)及用戶主機定期進行掃描審計，并存貯相關審計信息。 建議采用 三級結構 的日志分析系統(tǒng) ，第一級為需要記錄日志的主機或設備，該主機配置 syslog 日志指向 日志服務器；第二級為日志 服務器，負責日志接受，同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計分析；第三級為 日志服務器 的 console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報警和監(jiān)視日志系統(tǒng) 分析 統(tǒng)計結果。然而保護網(wǎng)絡免受愈演愈烈的計算機病毒威脅已不是一件簡單的事情。面對當前的網(wǎng)絡安全形勢，我們迫切需要一 套 單一、集中、全面的防病毒解決方案。本次建議將其部署在第二層防火墻的 INTRUST 區(qū)。 ? 認證過程采用加密通訊 (例如 SSL)或使用 X509 證書模式。 加強電子郵件系統(tǒng)的安全性，我們提出如下辦法： ? 將電子郵件服務器置于 第二層 防火墻的 DMZ 區(qū)，和內(nèi)外網(wǎng)都實現(xiàn)有效的隔離，防治黑客利用此主機作為攻擊的跳板。目前還沒有一個比較全面的方法去識別。 ? 速率限制 對發(fā)郵件的速率進行限制，通常是對每連接可以發(fā)送的郵件的限制。 2. 通過將其部署在防火墻內(nèi)，限制用戶對該業(yè)務主機其他服務的訪問，只開啟 DNS 服務端口（ 53）和相關管理端口（ 22， 23 等）。 其中安全知識庫主要由專業(yè) 公司提供的安全信息發(fā)布服務 提供。 安全設備管理中心，是“集中管理”思想的具體體現(xiàn)。下面我們首先將針對 廣電總局 進行安全風險評估，以確定什么是 廣電總局 的關鍵資產(chǎn)，對這些關鍵資產(chǎn)進行評估以及確定對這些資產(chǎn)出現(xiàn)破壞的可能性。對于 廣電總局 網(wǎng)絡中關鍵資源，威脅有如下一些形式： 竊取或破壞 風險管理需要為 廣電總局 建立一套不同類型的敏感數(shù)據(jù)存儲在哪里、數(shù)據(jù)如何存儲以及誰有權訪問不同類型數(shù)據(jù)的的列表，該列表包涵了 廣電總局 中最有價值信息，通過該列表可以對這些數(shù)據(jù)進行簡單的風險計算。如對于辦公 PC 網(wǎng)絡 之上的 Cisco 交換機，我們就不值得花錢制定嚴格的安全策略保護它們。 運維 值班管理制度 值班管理制度是機房管理制度中較為核心的內(nèi)容，我們 將配合 廣電總局 網(wǎng)絡部門從值班基本守則、值班工作內(nèi)容、值班中常見問題處理等多方面提供 運維 值班管理建議。預防性管理，用于識別每個授權用戶 并拒絕非授權用戶的訪問。而網(wǎng)絡基礎設施的數(shù)據(jù)機密性方面， 我們 將從網(wǎng)絡設備會話、 下載 TFTP 配置、 SNMP 與網(wǎng)絡設備之間的事務、設備信息的 HTTP訪問這四個方面建立安全加密的管理制度。 對于日常運維中安全故障處理，建議建立安全響應管理制度，該制度從安全響應小組、檢測故障、處理故障、響應故障、故障恢復等方面提供故障安全管理的依據(jù)。其中安全技術培訓分為：初級安全培訓、中級安全培訓和高級安全培訓。