【正文】 少開銷并降低運(yùn)營(yíng)成本。在這個(gè)時(shí)期，我們可以通過(guò)調(diào)整攻擊特征碼，自定制攻擊特征等手段，來(lái)減少網(wǎng)絡(luò)攻擊的漏報(bào)率和誤報(bào)率，提高攻擊檢測(cè)的準(zhǔn)確性。 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護(hù)模塊 是第一種支持多種協(xié)議的產(chǎn)品，包括 SNMP（保護(hù) 60,000 多個(gè)薄弱點(diǎn)）和 SMB（保 第 30 頁(yè) 共 61 頁(yè) 護(hù)運(yùn)行于內(nèi)部系統(tǒng)中的基于 Windows 的薄弱點(diǎn)）?？梢詫?duì)上述的非正常訪問(wèn)進(jìn)行檢測(cè)和阻擋。 Juniper網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護(hù)模 塊 采用狀態(tài)簽名檢測(cè)方法，僅在登錄序列中查找字符串 root，這種方法可準(zhǔn)確地檢測(cè)出攻擊。 MMD 中采用的檢測(cè)方法包括： 機(jī) 制 說(shuō) 明 狀態(tài)簽名 僅檢測(cè)相關(guān)流量中的已知攻擊模式 協(xié)議異常 檢測(cè)未知或經(jīng)過(guò)修改的攻擊方式。 ? 開放式簽名格式允許管理員查看攻擊字符串如何匹配攻擊簽名，并根據(jù) 第 28 頁(yè) 共 61 頁(yè) 需求對(duì)簽名進(jìn)行編輯。但是，與此同時(shí)，大家也逐漸意識(shí)到 IDS所面臨的問(wèn)題：一、較高的漏報(bào)率和誤報(bào)率；二、對(duì) IDS 系統(tǒng)的管理和維護(hù)比較難，它需要安全管理員有足夠的時(shí)間、精力及豐富的知識(shí)，以保持傳感器的更新和安全策略的有效；三、當(dāng) IDS 系統(tǒng)遭受拒絕服務(wù)攻擊時(shí)，它的失效開放機(jī)制使得黑客可以實(shí)施攻擊而不被發(fā)現(xiàn)（ IDS 系統(tǒng)的失效開放機(jī)制是指，一旦系統(tǒng)停止作用，整個(gè)網(wǎng)絡(luò)或主機(jī)就變成開放的。在實(shí)施的過(guò)程中，防火墻的流量算法可以精確控制帶寬分配：類似于幀中繼 技術(shù)中的帶寬管理功能，對(duì)特定的網(wǎng)絡(luò)服務(wù)設(shè)定最小網(wǎng)絡(luò)帶寬（最小是 10K）和最大網(wǎng)絡(luò)帶寬；另外，通過(guò)設(shè)置 8 級(jí)隊(duì)列的優(yōu)先級(jí)，為不同的流量分配優(yōu)先權(quán)。 在防火墻上配置與 RSA 認(rèn)證服務(wù)器通信的通道。 6．應(yīng)用層入侵防御： NetscreenISG 系列防火墻可擴(kuò)展集成完整的 IDP（應(yīng) 第 25 頁(yè) 共 61 頁(yè) 用層入侵檢測(cè)與防御）功能模塊，可以理解上百種應(yīng)用協(xié)議的上層內(nèi)容，識(shí)別并封堵 3600 多種攻擊手法。路由模式的好處在于網(wǎng)絡(luò)層次劃分清晰，缺陷為需要調(diào)整現(xiàn)有網(wǎng)絡(luò)拓?fù)洹? 第 23 頁(yè) 共 61 頁(yè) 為了實(shí)現(xiàn)最高的可用性并確保兩個(gè)設(shè)備的同步，高端的 防火墻 安全產(chǎn)品 一般 都有一對(duì)專用的高可用性接口。主設(shè)備向備份設(shè)備發(fā)送它的所有網(wǎng)絡(luò)和配置設(shè)置以及當(dāng)前的會(huì)話信息。 以冗余對(duì)方式部署時(shí)，操作系統(tǒng)可以在冗余系統(tǒng)之間自動(dòng)映射配置，以提供工作防火墻和 VPN 會(huì)話的維護(hù)功能。 Netscreen ISG1000/2020 是代表著全球最先進(jìn)防火 墻技術(shù)的產(chǎn)品，最有價(jià)值的優(yōu)勢(shì)在于其卓越的實(shí)際環(huán)境性能、穩(wěn)定性和與 IDP 硬件集成的特性， Netscreen5200 是業(yè)界最高容量的防火墻，并可支持萬(wàn)兆以太網(wǎng)接口 。 目前所有廠商的高端防火墻系統(tǒng)本身都支持多物理端口，同時(shí)其物理端口還可進(jìn)一步支持 協(xié)議。為各地市電廠等單位提供安全的廣域網(wǎng)接入服務(wù)； Intr DMZ 區(qū)（即外網(wǎng)區(qū)）： 如上圖所示，在公司總部設(shè)立 Intra DMZ 區(qū)。 下面我們對(duì)各安全域進(jìn)行更進(jìn)一步說(shuō)明： IDC 數(shù)據(jù)核心區(qū)（內(nèi)網(wǎng)服務(wù)器集中保護(hù)區(qū)）： 建議在 XX 電力公司總部局域網(wǎng)，單獨(dú)設(shè)立一個(gè) IDC 核心區(qū)，主要用于部署關(guān)鍵的業(yè)務(wù)服務(wù)器系統(tǒng)，如生產(chǎn)管理信息系統(tǒng)、辦公自動(dòng)化系統(tǒng)、燃料管理系統(tǒng)的應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。 同時(shí)，通過(guò)對(duì)安全域的進(jìn)一步細(xì)分，可以將上述安全域進(jìn)一步細(xì)分為管理安全域、服務(wù)器群安全域、關(guān)鍵辦公（人事、財(cái)務(wù)、領(lǐng)導(dǎo)部門）安全域、普通辦公安全域、廣域網(wǎng)接入 安全域、 Intra DMZ 服務(wù)安全域、撥號(hào)網(wǎng)接入安全域、Extra 接入安全域、 Inter 接入安全域等。而且由于電力公司屬于商業(yè)系統(tǒng)，都有一些各自的商業(yè)機(jī)密信息，如果這些涉密信息在網(wǎng)上傳輸過(guò)程中泄密，其造成的損失將是不可估量的。是企業(yè)的安全管理中心（ SMC）的重要支撐。 第 9 頁(yè) 共 61 頁(yè) 第 10 頁(yè) 共 61 頁(yè) 2. 系統(tǒng)詳細(xì)設(shè)計(jì) 方案 解決方案綜述 通過(guò)對(duì) XX 電力 公司 信息 系統(tǒng)安全 具體 需求 的詳細(xì)分析 ， 及對(duì)國(guó)內(nèi)多個(gè)兄弟單位信息安全系統(tǒng)建設(shè)經(jīng)驗(yàn)的借鑒，同時(shí)結(jié)合了我們多年的網(wǎng)絡(luò)和安全系統(tǒng)實(shí)踐經(jīng)驗(yàn)，我們建議本次 XX 電力信息安全系統(tǒng)的建設(shè)應(yīng)以電力信息系統(tǒng)安全域的劃分為前提，以深層防御思想為指導(dǎo)，采用國(guó)內(nèi)外先進(jìn)的系統(tǒng)安全產(chǎn)品和技術(shù)，建設(shè)符合 XX 電力自身信息系統(tǒng)發(fā)展要求的全面的、系統(tǒng)的安全解決方案。為配合內(nèi)網(wǎng)核心交換及 IDC 數(shù)據(jù)核心的高可用性要求，該兩部分防火墻系統(tǒng)為雙機(jī)熱備工作方式，負(fù)載均衡，互為備份。將來(lái)如需要還可以進(jìn)一步將安全區(qū)域細(xì)分。 從 XX 電力目前信息系統(tǒng)整體情況來(lái)看， 如何規(guī)劃一個(gè)結(jié)構(gòu)合理、技術(shù)先進(jìn)、可管理、便于擴(kuò)展的信息網(wǎng)絡(luò)安防體系是本次項(xiàng)目建設(shè)的一個(gè)關(guān)鍵。 12. 缺乏為關(guān)鍵應(yīng)用提供強(qiáng)認(rèn)證及數(shù)據(jù)保密及數(shù)據(jù)一致性的安全基礎(chǔ)設(shè)施PKI 系統(tǒng)。應(yīng)用服務(wù)器群直接裸露在骨干網(wǎng)核心交換機(jī)上，極易受到病毒、黑 客的攻擊，造成應(yīng)用系統(tǒng)的癱瘓。其在信息安全技術(shù)上表現(xiàn)出的問(wèn)題及需要解決的問(wèn)題主要表現(xiàn)為： 1. 無(wú)完整的安全系統(tǒng)體系。 但是，隨著近年來(lái)與外界接口的增加，特別是與電廠、銀行等合作單位中間業(yè)務(wù)的接口、網(wǎng)上電力服務(wù)、三網(wǎng)融合、應(yīng)用 /數(shù)據(jù)集中化、 內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的日益增多，其安全問(wèn)題已不僅僅局限于內(nèi)部事件了，來(lái)自外界及第三方合作伙伴的威脅已越來(lái)越多，已經(jīng)成為電力信息網(wǎng)不可忽視的安全問(wèn)題。 由于電力系統(tǒng)一直以來(lái)網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)的相對(duì)封閉性， 電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題也基本 產(chǎn)生于內(nèi)部 。但隨著電力行業(yè)完成組織機(jī)構(gòu)重組和區(qū)域的重新劃分之后，廠網(wǎng)分開、競(jìng)價(jià)上網(wǎng)的經(jīng)營(yíng)模式將 逐步變?yōu)楝F(xiàn)實(shí)，這意味著電力系統(tǒng)一直以來(lái)相對(duì)封閉性網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)將被打破，與外界接口將進(jìn)一步增加，特別是與銀行、電廠等合作單位中間業(yè)務(wù)的接口，電力營(yíng)銷、網(wǎng)上客服、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求將進(jìn)一步發(fā)展， XX 電力的安全問(wèn)題將不僅僅局限于內(nèi)部事件了，來(lái)自外界的攻擊將越來(lái)越多，原有的安全結(jié)構(gòu)及安全基礎(chǔ)設(shè)施已越來(lái)越不適應(yīng) XX 電力下一步信息化建設(shè)發(fā)展的需求。 4. 無(wú)安全數(shù)據(jù)中心。無(wú)法對(duì)公司的領(lǐng)導(dǎo)及移動(dòng)用戶提供安全有效的移動(dòng)接入方案。本次項(xiàng)目建設(shè)旨在為 XX 電力公司建立一個(gè)高效、安全、可靠的信息安全平臺(tái)，為后續(xù)信息化建設(shè) 奠定堅(jiān)實(shí)的基礎(chǔ)。 XX 電力公司信息系統(tǒng)安全域的整體劃分和實(shí)現(xiàn)如下圖所示： 為了提高整個(gè) XX 電力信息系統(tǒng)的系統(tǒng)安全性和結(jié)構(gòu)合理性，建議將 XX 電力公司信息網(wǎng)絡(luò)根據(jù)其業(yè)務(wù)特性、職能劃分及連接對(duì)象劃分為 Inter 接入?yún)^(qū)、DMZ 區(qū)（外網(wǎng)，為公共信息 服務(wù)、撥號(hào)接入、小區(qū)住宅接入及 Extra 接入等應(yīng)用提供等）、辦公區(qū)、 IDC 數(shù)據(jù)核心區(qū)（內(nèi)網(wǎng)服務(wù)器集中保護(hù)區(qū)）及廣域網(wǎng)接入?yún)^(qū)等 5 大區(qū)域。在內(nèi)外網(wǎng)互聯(lián)部分采用千兆防火墻系統(tǒng)進(jìn)行隔離；在 IDC 核心數(shù)據(jù)區(qū)，采用千兆防火墻系統(tǒng)進(jìn)行隔離。同時(shí)， Juniper NetscreenSA 系列的 SSL VPN 安全接入系統(tǒng)平臺(tái)還可以強(qiáng)制對(duì)遠(yuǎn)程用戶的安裝防火墻及防病毒軟件做出要求；可支持用戶的 C/S 、 B/S 應(yīng)用；可支持包括雙因素、數(shù)字證書在內(nèi)的各種強(qiáng)認(rèn)證方法；可支持比 IPSEC 高得多的訪問(wèn)控制粒度。 安全管理平臺(tái)：安全管理平臺(tái)是安全技術(shù)體系的核心組成部分。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失。 第 13 頁(yè) 共 61 頁(yè) XX電力網(wǎng)絡(luò)安全域劃分及防火墻部署方案 安全域的邏輯劃分 根據(jù)我公司對(duì)實(shí)際需求的分析并結(jié)合國(guó)調(diào)對(duì)二次系統(tǒng)的相關(guān)建設(shè)要求，我們將 XX 電力信息系統(tǒng)劃分為以下幾個(gè)大的網(wǎng)絡(luò)安全域： IDC 核心區(qū)、辦公區(qū)、廣域網(wǎng)接入?yún)^(qū)、 Intra DMZ 區(qū)（即外網(wǎng)部分，含 Inter DMZ 區(qū)）和 Inter 區(qū)等 5 個(gè)安全域。 XX 電力總公司安全域的邏輯細(xì)分圖如下圖所示： 第 14 頁(yè) 共 61 頁(yè) 各地市公司的安全域邏輯細(xì)分如下圖所示： 第 15 頁(yè) 共 61 頁(yè) 建議關(guān)鍵地市采用模式一雙機(jī)方式， 其他地市局采用模式二方式。 根據(jù)具體管理及安全要求的不同該區(qū)可進(jìn)一步細(xì)分為領(lǐng)導(dǎo)、財(cái)務(wù)、人事和普通辦公 VLAN 等子安全域； 第 16 頁(yè) 共 61 頁(yè) 廣域網(wǎng)接入?yún)^(qū) 完成廣域網(wǎng)的安全接入功能。所以可以說(shuō)，網(wǎng)絡(luò)安全系統(tǒng)最為關(guān)鍵的組成部分實(shí)際上是利用上述的各種 技術(shù)手段，通過(guò)對(duì)網(wǎng)絡(luò)出入口的控制實(shí)現(xiàn)安全服務(wù)的目的。 在本方 案中我 們建議 系統(tǒng) 采用 Netscren 千兆 防火墻 系列 產(chǎn)品：NetscreenISG1000, NetscreenISG2020 與 Netscreen5200 。真正意義上做到高可靠性和高性能兼得的雙機(jī)運(yùn)行。 ? 主動(dòng) /被動(dòng)：一臺(tái)設(shè)備作為主要設(shè)備，而另一臺(tái) 設(shè)備用作其備份。在全網(wǎng)狀模式下，必須進(jìn)行吞吐量調(diào)整以確保在出現(xiàn)故障切換時(shí)設(shè)備性能不會(huì)受到影響。 2. 防火墻工 作模式建議防火墻的部署模式為路由模式，防火墻兩側(cè)為不同的網(wǎng)段，內(nèi)側(cè)為服務(wù)器群所處的網(wǎng)段，服務(wù)器的網(wǎng)關(guān)為防火墻內(nèi)網(wǎng)口地址。由于 Netscreen ASIC 技術(shù)的成熟度以及與 CPU 配合處理的機(jī)制，保證 了產(chǎn)品的功能集成度和擴(kuò)展性， Netscreen 防火墻從推出至今，其功能集成度和擴(kuò)展速度一直保持業(yè)界領(lǐng)先 5．網(wǎng)絡(luò)層訪問(wèn)控制： Netscreen 防火墻可以基于源、目的地址、源、目的端口、協(xié)議類型、用戶和時(shí)間進(jìn)行細(xì)粒度的設(shè)置訪問(wèn)控制規(guī)則，控制進(jìn)入服務(wù)器網(wǎng)段的流量和訪問(wèn)企圖。具體方法為：我們需要部署一臺(tái) RSA 認(rèn)證服務(wù)器，建議將 RSA 服務(wù)器也部署在服務(wù)器網(wǎng)段，使其同樣受到防火墻的保護(hù)，在 RSA 服務(wù)器上設(shè)置了管理員用戶 第 26 頁(yè) 共 61 頁(yè) 的帳號(hào)庫(kù)。通過(guò)實(shí)施帶寬管理，可以保證關(guān)鍵應(yīng)用的順暢進(jìn)行，同時(shí)，可以防止某些應(yīng)用或某些用戶無(wú)限制的消耗帶寬，或防止某些攻擊耗盡帶寬。 經(jīng)過(guò)近幾年的發(fā)展， IDS 產(chǎn)品開始步入一個(gè)快速的成長(zhǎng)期，用戶也開始認(rèn)可IDS 在網(wǎng)絡(luò)安全防御中不可替代的作用。 Juniper 網(wǎng)絡(luò)公司ISG 系列防火墻 中的 IDP 應(yīng)用層防護(hù)模塊 先進(jìn)的攻擊防護(hù)功能具有以下特點(diǎn)： ? 多種檢測(cè)方法，包括復(fù)合簽名、狀態(tài)簽名、協(xié)議異常以及后門檢測(cè)。 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中 的 IDP 應(yīng)用層防護(hù)模塊 采用多重方法檢測(cè)技術(shù)能夠最大限度地檢測(cè)出各 種攻擊類型，確保不會(huì)遺漏關(guān)鍵的威脅。 例如，要確定某人是否嘗試以根用戶身份登錄服務(wù)器，傳統(tǒng)的基于簽名的IDS 會(huì)在傳輸中出現(xiàn) root字樣時(shí)隨時(shí)發(fā)送告警，導(dǎo)致錯(cuò)誤告警的產(chǎn)生。 ISG 防火墻集成的 IDP 系統(tǒng)可以實(shí)現(xiàn)對(duì)攻擊簽名庫(kù)的每日升級(jí)， JUNIPER公司將在自己的安全網(wǎng)站上進(jìn)行攻擊特征的每日更新，目前的攻擊特征包括應(yīng)用層攻擊，蠕蟲特征、網(wǎng)絡(luò)病毒特征、 P2P 應(yīng)用特征等多種攻擊特征。如果協(xié)議不被支持，則無(wú)法在網(wǎng)絡(luò)中檢測(cè)出使用該協(xié)議的攻擊。 第 31 頁(yè) 共 61 頁(yè) 2. 設(shè)備部署初期，對(duì)于需要檢測(cè)的流量，我們首先可以將應(yīng)用層 防護(hù)模塊采用 Inline_Tap 模式，這樣的話，網(wǎng)絡(luò)數(shù)據(jù)就會(huì)在通過(guò)防火墻檢測(cè)后，直接進(jìn)行轉(zhuǎn)發(fā)，而緊緊是復(fù)制一遍到應(yīng)用層保護(hù)模塊，這個(gè)時(shí)候應(yīng)用層保護(hù)模塊相當(dāng)于一個(gè)旁路的檢測(cè)設(shè)備，僅僅對(duì)攻擊進(jìn)行報(bào)警，而不會(huì)對(duì)數(shù)據(jù)流有任何的影響。 NetScreenSecurity Manager 全面支持 Juniper 防火墻 /VPN 第 32 頁(yè) 共 61 頁(yè) 方案的特性，將原本重復(fù)繁重的 VPN 規(guī)劃、配置、維護(hù)、監(jiān)控等工作從全局性的角度實(shí)現(xiàn)，簡(jiǎn)化了操作，提高了效率。 管理員只需要點(diǎn)擊幾下鼠標(biāo)就可以配置設(shè)備、創(chuàng)建安全策略或管理軟件升級(jí)。這種工具在一個(gè)統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報(bào)告功能，同時(shí)還使 IT 部門的所有工作人員可以協(xié)同工作。雙向身份驗(yàn)證 端到端安全 通常需要長(zhǎng)時(shí)間的配置 E mail 并且在安全策略上實(shí)施的是應(yīng)用層面的安全策略，可以比 IPsec 更加細(xì)化；由于 Juniper Netscreen SA 系列的遠(yuǎn)程接入產(chǎn)品是堅(jiān)固可靠的應(yīng)用層網(wǎng)關(guān)，采用應(yīng)用層面的安全策略后，內(nèi)部的應(yīng)用服務(wù)器可以得到有效保護(hù)，而不必將服務(wù)器的第 4 層端口完全暴露給外部；前端的防火墻上只需配置打開 tcp SSL 端口的策略即可。 和 Secure Computing SafeWord? PremierAccess?以及 客戶端數(shù)字證書），也可在設(shè)備上建立本地用戶數(shù)據(jù)庫(kù)，更支持 LDAP/Active Directory 的用戶組的特性，方便管理員定義策略。包過(guò)濾限制了流量從系統(tǒng)到想要連接的系統(tǒng)。 如果用戶信息是合法的，然后系統(tǒng)產(chǎn)生一個(gè)認(rèn)證令牌。 第 40 頁(yè) 共 61 頁(yè) SSL 遠(yuǎn)程安全接入方案實(shí)現(xiàn)說(shuō)明 1) 用戶認(rèn)證，結(jié)合雙因素認(rèn)證 Juniper SSL VPN 系統(tǒng)（以下簡(jiǎn)稱 IVE）支持雙因素用戶認(rèn)證， 工作過(guò)程：（ 1）需要接入的互聯(lián)