【正文】 其中安全技術(shù)培訓(xùn)分為：初級安全培訓(xùn)、中級安全培訓(xùn)和高級安全培訓(xùn)。而網(wǎng)絡(luò)基礎(chǔ)設(shè)施的數(shù)據(jù)機密性方面， 我們 將從網(wǎng)絡(luò)設(shè)備會話、 下載 TFTP 配置、 SNMP 與網(wǎng)絡(luò)設(shè)備之間的事務(wù)、設(shè)備信息的 HTTP訪問這四個方面建立安全加密的管理制度。 運維 值班管理制度 值班管理制度是機房管理制度中較為核心的內(nèi)容，我們 將配合 廣電總局 網(wǎng)絡(luò)部門從值班基本守則、值班工作內(nèi)容、值班中常見問題處理等多方面提供 運維 值班管理建議。對于 廣電總局 網(wǎng)絡(luò)中關(guān)鍵資源，威脅有如下一些形式： 竊取或破壞 風險管理需要為 廣電總局 建立一套不同類型的敏感數(shù)據(jù)存儲在哪里、數(shù)據(jù)如何存儲以及誰有權(quán)訪問不同類型數(shù)據(jù)的的列表，該列表包涵了 廣電總局 中最有價值信息，通過該列表可以對這些數(shù)據(jù)進行簡單的風險計算。 安全設(shè)備管理中心，是“集中管理”思想的具體體現(xiàn)。 2. 通過將其部署在防火墻內(nèi)，限制用戶對該業(yè)務(wù)主機其他服務(wù)的訪問，只開啟 DNS 服務(wù)端口（ 53）和相關(guān)管理端口（ 22， 23 等）。目前還沒有一個比較全面的方法去識別。 ? 認證過程采用加密通訊 (例如 SSL)或使用 X509 證書模式。面對當前的網(wǎng)絡(luò)安全形勢，我們迫切需要一 套 單一、集中、全面的防病毒解決方案。 建議采用 三級結(jié)構(gòu) 的日志分析系統(tǒng) ，第一級為需要記錄日志的主機或設(shè)備，該主機配置 syslog 日志指向 日志服務(wù)器；第二級為日志 服務(wù)器，負責日志接受，同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計分析；第三級為 日志服務(wù)器 的 console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報警和監(jiān)視日志系統(tǒng) 分析 統(tǒng)計結(jié)果。 檢 測所有 來自 Inter 對 WEB、 MAIL 及 DNS 的請求和 用 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 12 頁 共 31 頁 戶對 Interd 的訪問 情況。 ICSA 入侵檢測系統(tǒng)論壇的定義即：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象 (的一種安全技術(shù) )。 第四， 在 6509 核心機上通過背板管理端口或端口鏡像技術(shù)將需要檢測網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對需要檢測的流量進行不間斷的檢測和報警 。 長期性原則 安全一向是一個交互的過程，使用任何一種“靜態(tài)”或者號稱“動態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問題，所以我們針對安全問題的特點，提供針對 廣電總局 外部 網(wǎng)絡(luò) 全面的安全服 務(wù)，其中包括設(shè)備產(chǎn)品的技術(shù)支持和服務(wù)以及安全審計、安全響應(yīng)等專業(yè)安全服務(wù)。 安全設(shè)計原則 整體性原則 安全作為一個特殊的技術(shù) 領(lǐng)域，有著自己的特點。 ULTRA 10： 外 網(wǎng)網(wǎng)管服務(wù)器 外 部網(wǎng)絡(luò)結(jié)構(gòu)由兩臺 CISCO 6509 承擔外 網(wǎng)核心交換工作 ，目前只有一臺6509 處于工作狀態(tài) 。 隨著廣電總局網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求， 網(wǎng)絡(luò) 安全 作為信息化建設(shè)中必不可少的一項工作 ， 以逐漸提現(xiàn)出其重要性。但是，仔細分析我們可以看出，這個網(wǎng)絡(luò)仍然存在很多安全隱患。因此 在本次設(shè)計中，我們從全網(wǎng)角度出發(fā)，關(guān)注 廣電信息化建設(shè)的目標，各 廣電各 業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點提出 從防護－ 檢測－ 回復(fù) 的 完整的 解決方案，而不是治標不治本。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 6 頁 共 31 頁 VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務(wù)器防火墻E220 RmailE220 RDNS網(wǎng)管cc防火墻 防火墻VLANDMZVLANDMZ安全審計系統(tǒng)入侵檢測系統(tǒng)管理端病毒控制管理中心 在經(jīng)過上述調(diào)整之后，我們可以看到， 考慮到未來廣電總局將使用一條新的10M 光線出口鏈路，并保留目前的一條出口鏈路作為備份鏈路，我們建議在出口接入路由器上運行動態(tài)路由協(xié)議，保持兩條的鏈路互為備份。其中，郵件系統(tǒng)是廣電系統(tǒng)應(yīng)用的必不可少的一個重要業(yè)務(wù)系統(tǒng)。 基于以下 因素 的考慮，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 SiSi SiSiNetwork IDS 廣電總局 網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測系統(tǒng)部署拓撲圖 安全審計系統(tǒng) 網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機開放服務(wù)，同時模擬黑客入侵對主機或網(wǎng)絡(luò)設(shè)備進行偵測性刺探，從而發(fā)現(xiàn)主機或網(wǎng)絡(luò)設(shè)備的安全漏洞。 持多種 設(shè)備類型及數(shù)量，是否 支持標準 syslog 協(xié)議。為了防止 Web 服務(wù)器成為攻擊的犧牲品或成為進入 廣電總局外 網(wǎng)的跳板，我們需要給予更多的關(guān)心。當然 WWW 主機本身需要專門的安全工程師作安全審計和加固服務(wù)。有兩種做法：限速或中止。 一方面針對全網(wǎng)的安全設(shè)備進行集中管理，另一方面，可以利用集中管理軟件收集全網(wǎng)網(wǎng)絡(luò)和主機安全信息，用于安全分析和統(tǒng)計，進而對全網(wǎng)安全進行決策和支持。 安全風險管理 安全風險管理是確定適當?shù)陌踩胧┑闹匾襟E。 當在 廣電總局 所有風險評定完畢后，就需要 廣電總局 網(wǎng)絡(luò) 部門 進一步確定 廣電總局 能夠接受多高的風險，以及資產(chǎn)需要保護到什么程度。 良好的物理安全是保證整個系統(tǒng)安全的重要部分， 廣電總局 機房管理制度的發(fā)展與完善需要 廣電總局 運維部門和專業(yè)安全服務(wù)商 密切協(xié)作，在長期的 運維 中得到加強。 日常安全管理 日常安全管理更加偏重于日常安全審計以及安全事件響應(yīng)的內(nèi)容。 注重長期服務(wù)，確保運維管理中的安全性。 安全管理是整體網(wǎng)絡(luò)安全解決方案的基石，有了良好的安全管理體制，才能真正建立整體安全防護體系，安全解決方案也才能真正在運維過程中得以實施。對業(yè)務(wù)系統(tǒng)的訪問控制，建議每個業(yè)務(wù)系統(tǒng)獨立分配相應(yīng)的用戶。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 26 頁 共 31 頁 物理安全管理 物理安全一直是安全領(lǐng)域重要一環(huán)。無形資產(chǎn)一般可以用重要程度或關(guān)鍵程度評判其價值。一方面由于主機型掃描器和數(shù)據(jù)庫掃描器在使用中對系統(tǒng)資源占用較高，另一方面，這些掃描器的性價比較低，所以不推薦使用。 MAPS（ Mail Abuse Preventing System） RBL是一個動 態(tài)維護的系統(tǒng)，它將確認為垃圾 IP 地址放在 DNS 記錄中，供 SMTP 服務(wù)器進行查詢。 ? 由于 目前的垃圾郵件是主要的病毒傳播和拒絕服務(wù)攻擊手段，因此，我們建議對廣電總局的郵件系統(tǒng)實施防垃圾郵件措施。確保 Web 服 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 16 頁 共 31 頁 務(wù)器不會因為錯誤配置導(dǎo)致安全問題，例如泄漏系統(tǒng)文件或者目錄列表等等。從 CIH 到 Code Red， 以 及最近的 Nimda 計算機病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負荷量過重等問題，凸顯出網(wǎng)絡(luò)安全防病毒機制的迫切需求。同時，掃描審計軟件應(yīng)提供相關(guān)接口，便于用戶 輸入設(shè)備安全信息，也進一步增強該軟件的決策支持能力。 4. 防火墻雖然可以擋住某些攻擊，但是通常無法留下細節(jié)的攻擊記錄，這對分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測系統(tǒng)剛好可以解決這一問題。 出 于防止單點故障的原因，我們建議將主備 DNS 系統(tǒng)分別放置在不同VLAN 內(nèi)，并分別配置不同網(wǎng)段的 IP 地址， 防止 由于拒絕服務(wù)攻擊造成兩臺 DNS同時停止服務(wù)（注： 2020 年微軟公司 4 臺 DNS 服務(wù)器由于其中 3 臺部署在一個C 類地址內(nèi)，而造成該三臺 DNS 主機同時被拒絕服務(wù)攻擊導(dǎo) 致大面積主機地址無法解析）。 其次， 在新的拓撲中， 重要業(yè)務(wù)系統(tǒng)如 WEB 系統(tǒng) 、 DNS/Mail 等公共服務(wù)器利用新增 防火墻 劃分更高層次的安全 隔離 ，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 7 頁 共 31 頁 與安全隔離 。安全問題的層次性原則集中在兩個方面： － 管理模式的層次性 在 廣電總局 外 部網(wǎng)絡(luò)中，由于涉及到跨部門及機構(gòu)的 人員以及地點，需要一種層次性的管理模式。 目前廣電外網(wǎng)安全只 單純依賴被 動型的安全手段如防火墻，而缺乏主動發(fā)現(xiàn)型的安全手段，比如安全漏洞審計系統(tǒng)、入侵檢測系統(tǒng)等。 WEB 主服務(wù)器， 其中一臺閑置 。 網(wǎng)絡(luò)現(xiàn)狀及安全需求 廣電 總局外 部網(wǎng)絡(luò) 的網(wǎng)拓撲結(jié)構(gòu)可以用下圖表示： 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 2 頁 共 31 頁 VLAN 301SiSi SiSiA5100E3500E250E250IBMNetfinity 40002926 2926 3548 35482926...Network IDSVLAN 201托管服務(wù)器防火墻防火墻E220 R E220 RSUN U10 廣電總局 廣域網(wǎng)拓撲 SUN E3500：兩臺。 網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護 、查殺及隔離 措施，一旦某臺主機感染病毒，會在短時間內(nèi)造成病毒在廣電網(wǎng)絡(luò)中的廣泛傳播 ，（目前外網(wǎng)部分主機依舊被 Nimda 病毒感染） 。 層次性原則 在 廣電總局 外 部網(wǎng)絡(luò) 安全方案設(shè)計中，無論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。 。 視頻服務(wù) /主 DNS 級 ： 由于視頻服務(wù)的組播技術(shù)目前的防火墻不能夠很好的支持 ，因此我們將視頻服務(wù)獨立出來，不提供進一步的防火墻防護。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問題之一。一方面，網(wǎng)管人員可以通過這個集中安全數(shù)據(jù)庫查詢?nèi)W(wǎng)安全狀況，另一方面，在發(fā)生安全事件或緊急響應(yīng)時提供給我們和客戶迅速了解受害機情況，找到對策，減少損失。很 多事實表明，病毒比其他安全威脅造成的經(jīng)濟損失都大的多。 ? 利用日志系統(tǒng) 經(jīng)