【正文】 其中安全技術(shù)培訓(xùn)分為：初級(jí)安全培訓(xùn)、中級(jí)安全培訓(xùn)和高級(jí)安全培訓(xùn)。而網(wǎng)絡(luò)基礎(chǔ)設(shè)施的數(shù)據(jù)機(jī)密性方面， 我們 將從網(wǎng)絡(luò)設(shè)備會(huì)話(huà)、 下載 TFTP 配置、 SNMP 與網(wǎng)絡(luò)設(shè)備之間的事務(wù)、設(shè)備信息的 HTTP訪(fǎng)問(wèn)這四個(gè)方面建立安全加密的管理制度。 運(yùn)維 值班管理制度 值班管理制度是機(jī)房管理制度中較為核心的內(nèi)容，我們 將配合 廣電總局 網(wǎng)絡(luò)部門(mén)從值班基本守則、值班工作內(nèi)容、值班中常見(jiàn)問(wèn)題處理等多方面提供 運(yùn)維 值班管理建議。對(duì)于 廣電總局 網(wǎng)絡(luò)中關(guān)鍵資源，威脅有如下一些形式： 竊取或破壞 風(fēng)險(xiǎn)管理需要為 廣電總局 建立一套不同類(lèi)型的敏感數(shù)據(jù)存儲(chǔ)在哪里、數(shù)據(jù)如何存儲(chǔ)以及誰(shuí)有權(quán)訪(fǎng)問(wèn)不同類(lèi)型數(shù)據(jù)的的列表，該列表包涵了 廣電總局 中最有價(jià)值信息，通過(guò)該列表可以對(duì)這些數(shù)據(jù)進(jìn)行簡(jiǎn)單的風(fēng)險(xiǎn)計(jì)算。 安全設(shè)備管理中心，是“集中管理”思想的具體體現(xiàn)。 2. 通過(guò)將其部署在防火墻內(nèi)，限制用戶(hù)對(duì)該業(yè)務(wù)主機(jī)其他服務(wù)的訪(fǎng)問(wèn)，只開(kāi)啟 DNS 服務(wù)端口（ 53）和相關(guān)管理端口（ 22， 23 等）。目前還沒(méi)有一個(gè)比較全面的方法去識(shí)別。 ? 認(rèn)證過(guò)程采用加密通訊 (例如 SSL)或使用 X509 證書(shū)模式。面對(duì)當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)，我們迫切需要一 套 單一、集中、全面的防病毒解決方案。 建議采用 三級(jí)結(jié)構(gòu) 的日志分析系統(tǒng) ，第一級(jí)為需要記錄日志的主機(jī)或設(shè)備，該主機(jī)配置 syslog 日志指向 日志服務(wù)器；第二級(jí)為日志 服務(wù)器，負(fù)責(zé)日志接受，同步處理入數(shù)據(jù)庫(kù)以及日志的統(tǒng)計(jì)分析；第三級(jí)為 日志服務(wù)器 的 console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報(bào)警和監(jiān)視日志系統(tǒng) 分析 統(tǒng)計(jì)結(jié)果。 檢 測(cè)所有 來(lái)自 Inter 對(duì) WEB、 MAIL 及 DNS 的請(qǐng)求和 用 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話(huà) : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 12 頁(yè) 共 31 頁(yè) 戶(hù)對(duì) Interd 的訪(fǎng)問(wèn) 情況。 ICSA 入侵檢測(cè)系統(tǒng)論壇的定義即：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象 (的一種安全技術(shù) )。 第四， 在 6509 核心機(jī)上通過(guò)背板管理端口或端口鏡像技術(shù)將需要檢測(cè)網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對(duì)需要檢測(cè)的流量進(jìn)行不間斷的檢測(cè)和報(bào)警 。 長(zhǎng)期性原則 安全一向是一個(gè)交互的過(guò)程，使用任何一種“靜態(tài)”或者號(hào)稱(chēng)“動(dòng)態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問(wèn)題，所以我們針對(duì)安全問(wèn)題的特點(diǎn)，提供針對(duì) 廣電總局 外部 網(wǎng)絡(luò) 全面的安全服 務(wù)，其中包括設(shè)備產(chǎn)品的技術(shù)支持和服務(wù)以及安全審計(jì)、安全響應(yīng)等專(zhuān)業(yè)安全服務(wù)。 安全設(shè)計(jì)原則 整體性原則 安全作為一個(gè)特殊的技術(shù) 領(lǐng)域，有著自己的特點(diǎn)。 ULTRA 10： 外 網(wǎng)網(wǎng)管服務(wù)器 外 部網(wǎng)絡(luò)結(jié)構(gòu)由兩臺(tái) CISCO 6509 承擔(dān)外 網(wǎng)核心交換工作 ，目前只有一臺(tái)6509 處于工作狀態(tài) 。 隨著廣電總局網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求， 網(wǎng)絡(luò) 安全 作為信息化建設(shè)中必不可少的一項(xiàng)工作 ， 以逐漸提現(xiàn)出其重要性。但是，仔細(xì)分析我們可以看出，這個(gè)網(wǎng)絡(luò)仍然存在很多安全隱患。因此 在本次設(shè)計(jì)中，我們從全網(wǎng)角度出發(fā)，關(guān)注 廣電信息化建設(shè)的目標(biāo)，各 廣電各 業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點(diǎn)提出 從防護(hù)－ 檢測(cè)－ 回復(fù) 的 完整的 解決方案，而不是治標(biāo)不治本。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話(huà) : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 6 頁(yè) 共 31 頁(yè) VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務(wù)器防火墻E220 RmailE220 RDNS網(wǎng)管cc防火墻 防火墻VLANDMZVLANDMZ安全審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)管理端病毒控制管理中心 在經(jīng)過(guò)上述調(diào)整之后，我們可以看到， 考慮到未來(lái)廣電總局將使用一條新的10M 光線(xiàn)出口鏈路，并保留目前的一條出口鏈路作為備份鏈路，我們建議在出口接入路由器上運(yùn)行動(dòng)態(tài)路由協(xié)議，保持兩條的鏈路互為備份。其中，郵件系統(tǒng)是廣電系統(tǒng)應(yīng)用的必不可少的一個(gè)重要業(yè)務(wù)系統(tǒng)。 基于以下 因素 的考慮，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 SiSi SiSiNetwork IDS 廣電總局 網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測(cè)系統(tǒng)部署拓?fù)鋱D 安全審計(jì)系統(tǒng) 網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機(jī)開(kāi)放服務(wù)，同時(shí)模擬黑客入侵對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備進(jìn)行偵測(cè)性刺探，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)設(shè)備的安全漏洞。 持多種 設(shè)備類(lèi)型及數(shù)量，是否 支持標(biāo)準(zhǔn) syslog 協(xié)議。為了防止 Web 服務(wù)器成為攻擊的犧牲品或成為進(jìn)入 廣電總局外 網(wǎng)的跳板，我們需要給予更多的關(guān)心。當(dāng)然 WWW 主機(jī)本身需要專(zhuān)門(mén)的安全工程師作安全審計(jì)和加固服務(wù)。有兩種做法：限速或中止。 一方面針對(duì)全網(wǎng)的安全設(shè)備進(jìn)行集中管理，另一方面，可以利用集中管理軟件收集全網(wǎng)網(wǎng)絡(luò)和主機(jī)安全信息，用于安全分析和統(tǒng)計(jì)，進(jìn)而對(duì)全網(wǎng)安全進(jìn)行決策和支持。 安全風(fēng)險(xiǎn)管理 安全風(fēng)險(xiǎn)管理是確定適當(dāng)?shù)陌踩胧┑闹匾襟E。 當(dāng)在 廣電總局 所有風(fēng)險(xiǎn)評(píng)定完畢后，就需要 廣電總局 網(wǎng)絡(luò) 部門(mén) 進(jìn)一步確定 廣電總局 能夠接受多高的風(fēng)險(xiǎn)，以及資產(chǎn)需要保護(hù)到什么程度。 良好的物理安全是保證整個(gè)系統(tǒng)安全的重要部分， 廣電總局 機(jī)房管理制度的發(fā)展與完善需要 廣電總局 運(yùn)維部門(mén)和專(zhuān)業(yè)安全服務(wù)商 密切協(xié)作，在長(zhǎng)期的 運(yùn)維 中得到加強(qiáng)。 日常安全管理 日常安全管理更加偏重于日常安全審計(jì)以及安全事件響應(yīng)的內(nèi)容。 注重長(zhǎng)期服務(wù)，確保運(yùn)維管理中的安全性。 安全管理是整體網(wǎng)絡(luò)安全解決方案的基石，有了良好的安全管理體制，才能真正建立整體安全防護(hù)體系，安全解決方案也才能真正在運(yùn)維過(guò)程中得以實(shí)施。對(duì)業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)控制，建議每個(gè)業(yè)務(wù)系統(tǒng)獨(dú)立分配相應(yīng)的用戶(hù)。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話(huà) : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 26 頁(yè) 共 31 頁(yè) 物理安全管理 物理安全一直是安全領(lǐng)域重要一環(huán)。無(wú)形資產(chǎn)一般可以用重要程度或關(guān)鍵程度評(píng)判其價(jià)值。一方面由于主機(jī)型掃描器和數(shù)據(jù)庫(kù)掃描器在使用中對(duì)系統(tǒng)資源占用較高，另一方面，這些掃描器的性?xún)r(jià)比較低，所以不推薦使用。 MAPS（ Mail Abuse Preventing System） RBL是一個(gè)動(dòng) 態(tài)維護(hù)的系統(tǒng)，它將確認(rèn)為垃圾 IP 地址放在 DNS 記錄中，供 SMTP 服務(wù)器進(jìn)行查詢(xún)。 ? 由于 目前的垃圾郵件是主要的病毒傳播和拒絕服務(wù)攻擊手段，因此，我們建議對(duì)廣電總局的郵件系統(tǒng)實(shí)施防垃圾郵件措施。確保 Web 服 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話(huà) : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 16 頁(yè) 共 31 頁(yè) 務(wù)器不會(huì)因?yàn)殄e(cuò)誤配置導(dǎo)致安全問(wèn)題，例如泄漏系統(tǒng)文件或者目錄列表等等。從 CIH 到 Code Red， 以 及最近的 Nimda 計(jì)算機(jī)病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負(fù)荷量過(guò)重等問(wèn)題，凸顯出網(wǎng)絡(luò)安全防病毒機(jī)制的迫切需求。同時(shí)，掃描審計(jì)軟件應(yīng)提供相關(guān)接口，便于用戶(hù) 輸入設(shè)備安全信息，也進(jìn)一步增強(qiáng)該軟件的決策支持能力。 4. 防火墻雖然可以擋住某些攻擊，但是通常無(wú)法留下細(xì)節(jié)的攻擊記錄，這對(duì)分析攻擊行為以及調(diào)查取證帶來(lái)了很大困難，而入侵檢測(cè)系統(tǒng)剛好可以解決這一問(wèn)題。 出 于防止單點(diǎn)故障的原因，我們建議將主備 DNS 系統(tǒng)分別放置在不同VLAN 內(nèi)，并分別配置不同網(wǎng)段的 IP 地址， 防止 由于拒絕服務(wù)攻擊造成兩臺(tái) DNS同時(shí)停止服務(wù)（注： 2020 年微軟公司 4 臺(tái) DNS 服務(wù)器由于其中 3 臺(tái)部署在一個(gè)C 類(lèi)地址內(nèi)，而造成該三臺(tái) DNS 主機(jī)同時(shí)被拒絕服務(wù)攻擊導(dǎo) 致大面積主機(jī)地址無(wú)法解析）。 其次， 在新的拓?fù)渲校?重要業(yè)務(wù)系統(tǒng)如 WEB 系統(tǒng) 、 DNS/Mail 等公共服務(wù)器利用新增 防火墻 劃分更高層次的安全 隔離 ，建立起用戶(hù)到業(yè)務(wù)網(wǎng)段的安全等級(jí) 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話(huà) : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 7 頁(yè) 共 31 頁(yè) 與安全隔離 。安全問(wèn)題的層次性原則集中在兩個(gè)方面： － 管理模式的層次性 在 廣電總局 外 部網(wǎng)絡(luò)中，由于涉及到跨部門(mén)及機(jī)構(gòu)的 人員以及地點(diǎn)，需要一種層次性的管理模式。 目前廣電外網(wǎng)安全只 單純依賴(lài)被 動(dòng)型的安全手段如防火墻，而缺乏主動(dòng)發(fā)現(xiàn)型的安全手段，比如安全漏洞審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)等。 WEB 主服務(wù)器， 其中一臺(tái)閑置 。 網(wǎng)絡(luò)現(xiàn)狀及安全需求 廣電 總局外 部網(wǎng)絡(luò) 的網(wǎng)拓?fù)浣Y(jié)構(gòu)可以用下圖表示： 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話(huà) : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 2 頁(yè) 共 31 頁(yè) VLAN 301SiSi SiSiA5100E3500E250E250IBMNetfinity 40002926 2926 3548 35482926...Network IDSVLAN 201托管服務(wù)器防火墻防火墻E220 R E220 RSUN U10 廣電總局 廣域網(wǎng)拓?fù)? SUN E3500：兩臺(tái)。 網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護(hù) 、查殺及隔離 措施，一旦某臺(tái)主機(jī)感染病毒，會(huì)在短時(shí)間內(nèi)造成病毒在廣電網(wǎng)絡(luò)中的廣泛傳播 ，（目前外網(wǎng)部分主機(jī)依舊被 Nimda 病毒感染） 。 層次性原則 在 廣電總局 外 部網(wǎng)絡(luò) 安全方案設(shè)計(jì)中，無(wú)論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。 。 視頻服務(wù) /主 DNS 級(jí) ： 由于視頻服務(wù)的組播技術(shù)目前的防火墻不能夠很好的支持 ，因此我們將視頻服務(wù)獨(dú)立出來(lái)，不提供進(jìn)一步的防火墻防護(hù)。如何及早發(fā)現(xiàn)這類(lèi)攻擊方式并處理，是必須解決的問(wèn)題之一。一方面，網(wǎng)管人員可以通過(guò)這個(gè)集中安全數(shù)據(jù)庫(kù)查詢(xún)?nèi)W(wǎng)安全狀況，另一方面，在發(fā)生安全事件或緊急響應(yīng)時(shí)提供給我們和客戶(hù)迅速了解受害機(jī)情況，找到對(duì)策，減少損失。很 多事實(shí)表明，病毒比其他安全威脅造成的經(jīng)濟(jì)損失都大的多。 ? 利用日志系統(tǒng) 經(jīng)