【正文】 如果用戶信息是合法的，然后系統(tǒng)產(chǎn)生一個(gè)認(rèn)證令牌。 和 Secure Computing SafeWord? PremierAccess?以及 客戶端數(shù)字證書(shū)），也可在設(shè)備上建立本地用戶數(shù)據(jù)庫(kù)，更支持 LDAP/Active Directory 的用戶組的特性，方便管理員定義策略。E mail 端到端安全 這種工具在一個(gè)統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報(bào)告功能，同時(shí)還使 IT 部門的所有工作人員可以協(xié)同工作。 NetScreenSecurity Manager 全面支持 Juniper 防火墻 /VPN 第 32 頁(yè) 共 61 頁(yè) 方案的特性，將原本重復(fù)繁重的 VPN 規(guī)劃、配置、維護(hù)、監(jiān)控等工作從全局性的角度實(shí)現(xiàn)，簡(jiǎn)化了操作，提高了效率。如果協(xié)議不被支持，則無(wú)法在網(wǎng)絡(luò)中檢測(cè)出使用該協(xié)議的攻擊。 例如，要確定某人是否嘗試以根用戶身份登錄服務(wù)器，傳統(tǒng)的基于簽名的IDS 會(huì)在傳輸中出現(xiàn) root字樣時(shí)隨時(shí)發(fā)送告警，導(dǎo)致錯(cuò)誤告警的產(chǎn)生。 Juniper 網(wǎng)絡(luò)公司ISG 系列防火墻 中的 IDP 應(yīng)用層防護(hù)模塊 先進(jìn)的攻擊防護(hù)功能具有以下特點(diǎn)： ? 多種檢測(cè)方法，包括復(fù)合簽名、狀態(tài)簽名、協(xié)議異常以及后門檢測(cè)。通過(guò)實(shí)施帶寬管理，可以保證關(guān)鍵應(yīng)用的順暢進(jìn)行，同時(shí)，可以防止某些應(yīng)用或某些用戶無(wú)限制的消耗帶寬，或防止某些攻擊耗盡帶寬。由于 Netscreen ASIC 技術(shù)的成熟度以及與 CPU 配合處理的機(jī)制，保證 了產(chǎn)品的功能集成度和擴(kuò)展性， Netscreen 防火墻從推出至今，其功能集成度和擴(kuò)展速度一直保持業(yè)界領(lǐng)先 5．網(wǎng)絡(luò)層訪問(wèn)控制： Netscreen 防火墻可以基于源、目的地址、源、目的端口、協(xié)議類型、用戶和時(shí)間進(jìn)行細(xì)粒度的設(shè)置訪問(wèn)控制規(guī)則，控制進(jìn)入服務(wù)器網(wǎng)段的流量和訪問(wèn)企圖。在全網(wǎng)狀模式下，必須進(jìn)行吞吐量調(diào)整以確保在出現(xiàn)故障切換時(shí)設(shè)備性能不會(huì)受到影響。真正意義上做到高可靠性和高性能兼得的雙機(jī)運(yùn)行。所以可以說(shuō)，網(wǎng)絡(luò)安全系統(tǒng)最為關(guān)鍵的組成部分實(shí)際上是利用上述的各種 技術(shù)手段，通過(guò)對(duì)網(wǎng)絡(luò)出入口的控制實(shí)現(xiàn)安全服務(wù)的目的。 XX 電力總公司安全域的邏輯細(xì)分圖如下圖所示： 第 14 頁(yè) 共 61 頁(yè) 各地市公司的安全域邏輯細(xì)分如下圖所示： 第 15 頁(yè) 共 61 頁(yè) 建議關(guān)鍵地市采用模式一雙機(jī)方式， 其他地市局采用模式二方式。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失。同時(shí)， Juniper NetscreenSA 系列的 SSL VPN 安全接入系統(tǒng)平臺(tái)還可以強(qiáng)制對(duì)遠(yuǎn)程用戶的安裝防火墻及防病毒軟件做出要求；可支持用戶的 C/S 、 B/S 應(yīng)用；可支持包括雙因素、數(shù)字證書(shū)在內(nèi)的各種強(qiáng)認(rèn)證方法；可支持比 IPSEC 高得多的訪問(wèn)控制粒度。 XX 電力公司信息系統(tǒng)安全域的整體劃分和實(shí)現(xiàn)如下圖所示： 為了提高整個(gè) XX 電力信息系統(tǒng)的系統(tǒng)安全性和結(jié)構(gòu)合理性，建議將 XX 電力公司信息網(wǎng)絡(luò)根據(jù)其業(yè)務(wù)特性、職能劃分及連接對(duì)象劃分為 Inter 接入?yún)^(qū)、DMZ 區(qū)（外網(wǎng)，為公共信息 服務(wù)、撥號(hào)接入、小區(qū)住宅接入及 Extra 接入等應(yīng)用提供等）、辦公區(qū)、 IDC 數(shù)據(jù)核心區(qū)（內(nèi)網(wǎng)服務(wù)器集中保護(hù)區(qū)）及廣域網(wǎng)接入?yún)^(qū)等 5 大區(qū)域。無(wú)法對(duì)公司的領(lǐng)導(dǎo)及移動(dòng)用戶提供安全有效的移動(dòng)接入方案。但隨著電力行業(yè)完成組織機(jī)構(gòu)重組和區(qū)域的重新劃分之后，廠網(wǎng)分開(kāi)、競(jìng)價(jià)上網(wǎng)的經(jīng)營(yíng)模式將 逐步變?yōu)楝F(xiàn)實(shí)，這意味著電力系統(tǒng)一直以來(lái)相對(duì)封閉性網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)將被打破，與外界接口將進(jìn)一步增加，特別是與銀行、電廠等合作單位中間業(yè)務(wù)的接口，電力營(yíng)銷、網(wǎng)上客服、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求將進(jìn)一步發(fā)展， XX 電力的安全問(wèn)題將不僅僅局限于內(nèi)部事件了，來(lái)自外界的攻擊將越來(lái)越多，原有的安全結(jié)構(gòu)及安全基礎(chǔ)設(shè)施已越來(lái)越不適應(yīng) XX 電力下一步信息化建設(shè)發(fā)展的需求。 但是，隨著近年來(lái)與外界接口的增加，特別是與電廠、銀行等合作單位中間業(yè)務(wù)的接口、網(wǎng)上電力服務(wù)、三網(wǎng)融合、應(yīng)用 /數(shù)據(jù)集中化、 內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的日益增多，其安全問(wèn)題已不僅僅局限于內(nèi)部事件了，來(lái)自外界及第三方合作伙伴的威脅已越來(lái)越多，已經(jīng)成為電力信息網(wǎng)不可忽視的安全問(wèn)題。應(yīng)用服務(wù)器群直接裸露在骨干網(wǎng)核心交換機(jī)上，極易受到病毒、黑 客的攻擊，造成應(yīng)用系統(tǒng)的癱瘓。 從 XX 電力目前信息系統(tǒng)整體情況來(lái)看， 如何規(guī)劃一個(gè)結(jié)構(gòu)合理、技術(shù)先進(jìn)、可管理、便于擴(kuò)展的信息網(wǎng)絡(luò)安防體系是本次項(xiàng)目建設(shè)的一個(gè)關(guān)鍵。為配合內(nèi)網(wǎng)核心交換及 IDC 數(shù)據(jù)核心的高可用性要求，該兩部分防火墻系統(tǒng)為雙機(jī)熱備工作方式，負(fù)載均衡，互為備份。是企業(yè)的安全管理中心（ SMC）的重要支撐。 同時(shí)，通過(guò)對(duì)安全域的進(jìn)一步細(xì)分，可以將上述安全域進(jìn)一步細(xì)分為管理安全域、服務(wù)器群安全域、關(guān)鍵辦公（人事、財(cái)務(wù)、領(lǐng)導(dǎo)部門）安全域、普通辦公安全域、廣域網(wǎng)接入 安全域、 Intra DMZ 服務(wù)安全域、撥號(hào)網(wǎng)接入安全域、Extra 接入安全域、 Inter 接入安全域等。為各地市電廠等單位提供安全的廣域網(wǎng)接入服務(wù)； Intr DMZ 區(qū)（即外網(wǎng)區(qū)）： 如上圖所示，在公司總部設(shè)立 Intra DMZ 區(qū)。 Netscreen ISG1000/2020 是代表著全球最先進(jìn)防火 墻技術(shù)的產(chǎn)品，最有價(jià)值的優(yōu)勢(shì)在于其卓越的實(shí)際環(huán)境性能、穩(wěn)定性和與 IDP 硬件集成的特性， Netscreen5200 是業(yè)界最高容量的防火墻，并可支持萬(wàn)兆以太網(wǎng)接口 。主設(shè)備向備份設(shè)備發(fā)送它的所有網(wǎng)絡(luò)和配置設(shè)置以及當(dāng)前的會(huì)話信息。路由模式的好處在于網(wǎng)絡(luò)層次劃分清晰，缺陷為需要調(diào)整現(xiàn)有網(wǎng)絡(luò)拓?fù)洹? 在防火墻上配置與 RSA 認(rèn)證服務(wù)器通信的通道。但是，與此同時(shí)，大家也逐漸意識(shí)到 IDS所面臨的問(wèn)題：一、較高的漏報(bào)率和誤報(bào)率；二、對(duì) IDS 系統(tǒng)的管理和維護(hù)比較難，它需要安全管理員有足夠的時(shí)間、精力及豐富的知識(shí)，以保持傳感器的更新和安全策略的有效；三、當(dāng) IDS 系統(tǒng)遭受拒絕服務(wù)攻擊時(shí)，它的失效開(kāi)放機(jī)制使得黑客可以實(shí)施攻擊而不被發(fā)現(xiàn)（ IDS 系統(tǒng)的失效開(kāi)放機(jī)制是指，一旦系統(tǒng)停止作用，整個(gè)網(wǎng)絡(luò)或主機(jī)就變成開(kāi)放的。 MMD 中采用的檢測(cè)方法包括： 機(jī) 制 說(shuō) 明 狀態(tài)簽名 僅檢測(cè)相關(guān)流量中的已知攻擊模式 協(xié)議異常 檢測(cè)未知或經(jīng)過(guò)修改的攻擊方式?？梢詫?duì)上述的非正常訪問(wèn)進(jìn)行檢測(cè)和阻擋。在這個(gè)時(shí)期，我們可以通過(guò)調(diào)整攻擊特征碼，自定制攻擊特征等手段，來(lái)減少網(wǎng)絡(luò)攻擊的漏報(bào)率和誤報(bào)率，提高攻擊檢測(cè)的準(zhǔn)確性。同時(shí)，只要是能夠通過(guò) NetScreenSecurity Manager 進(jìn)行配置的設(shè)備的各個(gè)方面都可以通過(guò) CLI 接入。數(shù)字證書(shū) 需要客戶端軟件或者硬件 用戶的易使用性 除了對(duì) web 和 等應(yīng)用的支持外， Juniper Netscreen SA 對(duì)非 web 的許多客戶端 /服務(wù)器應(yīng)用也提供很好的支持， Juniper Netscreen IVE 雖然將 這些應(yīng)用轉(zhuǎn)化為 SSL 標(biāo)準(zhǔn)數(shù)據(jù)流，但并不影響這些應(yīng)用，例如，文件仍然可以下載到本地。 3) 數(shù)據(jù)的完整性和機(jī)密性 SSL VPN 安全接入使用世界范圍的 Inter 安全標(biāo)準(zhǔn)協(xié)議： Secure Sockets 第 39 頁(yè) 共 61 頁(yè) Layer (SSL)。更進(jìn)一步講，用戶和管理員不能替換任意的可執(zhí)行文件，他們也無(wú)法擁有系統(tǒng)級(jí) 的帳號(hào)，因此，黑客無(wú)法針對(duì)系統(tǒng)進(jìn)行權(quán)限升級(jí)的攻擊。該特性使得系統(tǒng)使用預(yù)定義的控 制網(wǎng)絡(luò)流量的規(guī)則組在接受之前在不同階段對(duì)流量進(jìn)行驗(yàn)證。而且用戶還可以自行定義強(qiáng)制檢查其它的運(yùn)行程序或windows 注冊(cè)表項(xiàng)目。無(wú)需任何附加的客戶端軟、硬件安裝 單向身份驗(yàn)證 為了實(shí)現(xiàn)這一目標(biāo)，NetScreenSecurity Manager 提供了一個(gè)綜合管理界面以便從一個(gè)集中位置上控制所有設(shè)備參數(shù)。 后門檢測(cè)是檢測(cè)蠕蟲(chóng)和特洛伊木馬的唯一方式 ： ? 查看交互式流量 ? 根據(jù)管理員的定義檢測(cè)未授權(quán)的交互式流量 ? 檢測(cè)每個(gè)后門，即使流量已加密或者協(xié)議是未知 IDP 應(yīng)用層防護(hù)的步驟 Juniper 的 ISG 防火墻的 IDP 應(yīng)用層防護(hù)模塊可以提供兩種的接入模式，Active 模式和 Inline_Tap 模式，由于攻擊檢測(cè)本身所具有的誤報(bào)性，建議用戶在使用 ISG 防火墻系統(tǒng)的 IDP 應(yīng)用層保護(hù)模塊的時(shí)候，可以采用如下的配置步驟： 1. 通過(guò)防火墻安全策略的定制，將需要進(jìn)行應(yīng)用層攻擊檢測(cè)和防護(hù)的流量傳給應(yīng)用層防護(hù)模塊，對(duì)于其他的無(wú)關(guān)緊要的網(wǎng)絡(luò)數(shù)據(jù)流量，可以不需要通過(guò)應(yīng)用層保護(hù)模塊，只通過(guò)防火墻的檢測(cè)就可以保證其安全性，這樣的配置可以保證在將敏感數(shù)據(jù)進(jìn)行了攻擊檢測(cè)的同時(shí)，最大限度的保證網(wǎng)絡(luò)的性能，提高網(wǎng)絡(luò)吞吐量，減少網(wǎng)絡(luò)延遲。這樣，檢測(cè)性能將顯著提高，而且錯(cuò)誤告警的數(shù)量也大大減少。由于不同的攻擊類型要求采用不同的識(shí)別方法，因此，僅使用幾種檢測(cè)方法的產(chǎn)品不能檢測(cè)出所有類型的攻擊。已經(jīng)為大多 數(shù)組織機(jī)構(gòu)的安全構(gòu)架所接受。 8． 抗拒絕服務(wù)攻擊：可以在 Netscreen 防火墻上啟 用抗拒絕服務(wù)攻擊功能，針對(duì)內(nèi)部服務(wù)器群進(jìn)行抗拒絕服務(wù)攻擊防護(hù)，支持的抗攻擊類型如： SYN Attack /Deny ICMP Flood /Deny UDP Flood /Limit Session /Deny SYN Fragment /Deny TCP Packet Without Flag /Deny SYN and FIN Bits Set /Deny FIN Bit With No ACK Bit /Deny Port Scan Attack /Deny ICMP Fragment /Deny Ping of Death Attack /Address Sweep Attack /Deny Large ICMP Packet /Deny Tear Drop Attack /Deny IP Source Route Option /Detect IP Record Route Option /Detect IP Security Option Detect IP Strict Source Route Option /Deny Unknown Protocol /Deny Fragment /Deny IP Spoofing Attack Deny Bad IP Option /Deny IP Timestamp Option /Detect IP Loose Source Route Option /Detect IP Stream Option /Filter WinNuke Attack / Deny Land Attack 等 9．身份認(rèn)證： Netscreen 防火墻支持身份認(rèn)證功能，包括本地認(rèn)證（用戶庫(kù)設(shè)置在防火墻本地，認(rèn)證判斷在防火墻上進(jìn)行） 和遠(yuǎn)程認(rèn)證（用戶庫(kù)在遠(yuǎn)程認(rèn)證服務(wù)器上，認(rèn)證判斷在認(rèn)證服務(wù)器上進(jìn)行）兩種， 為實(shí)現(xiàn)動(dòng)態(tài)口令式的身份認(rèn)證，我們需要使用防火墻的遠(yuǎn)程認(rèn)證功能，讓防火墻與 RSA 認(rèn)證服務(wù)器聯(lián)動(dòng)。 因此從可預(yù)見(jiàn)的 58 年時(shí)間內(nèi)，防火墻在此位置上不會(huì)形成整體系統(tǒng)的瓶頸問(wèn)題。 防火墻系統(tǒng)的雙機(jī)工作方式 可以提供多種配置選項(xiàng)，包括： 主動(dòng) /被動(dòng)方式 及 主動(dòng)主動(dòng)方式。 通過(guò) VLAN 設(shè)置，網(wǎng)段在網(wǎng)絡(luò)中的邏輯位置會(huì)產(chǎn)生相應(yīng)的變化，從而使網(wǎng)絡(luò)結(jié)構(gòu)產(chǎn)生根本性的變化。 局域網(wǎng)辦公區(qū)： 公司總部大樓辦公用網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)終端全部屬于局域網(wǎng)辦公區(qū)。 而 有些安全域 之間 則 必需通過(guò)物理隔離的方法來(lái)控制訪問(wèn)。具體技術(shù)設(shè)施包括門戶系統(tǒng)（ Portal） 、身份管理系統(tǒng)（ IM）、訪問(wèn)控制系統(tǒng)（ AM）、證書(shū)系統(tǒng)（ PKI）等。通過(guò)雙防火墻屏蔽的方式，在兩個(gè)防火墻中間形成一個(gè)大的 DMZ 區(qū)，即外網(wǎng)區(qū)，以滿足公共服務(wù)提供，撥號(hào)接入、小區(qū)住宅接入及 Extra 接入等接入服 務(wù)，同時(shí)進(jìn)一步強(qiáng)化該區(qū)的安全。 綜上所述，為適應(yīng) XX 電力將來(lái)信息系統(tǒng)建設(shè)發(fā)展的需求， XX 電力的信息安全系統(tǒng)建設(shè)仍然有很長(zhǎng)的路走。全省的網(wǎng)絡(luò)接入不論性質(zhì)一律以生產(chǎn)數(shù)據(jù)網(wǎng)核心交換機(jī)為交換中心，低安全級(jí)別系統(tǒng)對(duì)高安全級(jí)別系統(tǒng)進(jìn)行穿越，破壞安全體系，給信息網(wǎng)造成極大的安全隱患。信息安全系統(tǒng)的目的是為營(yíng)銷管理、財(cái)務(wù)管理、生產(chǎn)管理、物資管理、辦公自動(dòng)化、信息共享、數(shù)據(jù)管理以及其它網(wǎng)絡(luò)應(yīng)用提供必備的安全網(wǎng)絡(luò)環(huán)境和運(yùn)行平臺(tái)，為 XX 電力公司的信息化建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)。未形成從網(wǎng)絡(luò)安全到應(yīng)用安全到安全管理、安全服務(wù)的 完整安全體系。 13. 所用網(wǎng)絡(luò)、應(yīng)用及安全監(jiān)控及管理系統(tǒng)自成體系，缺乏綜合、統(tǒng)一 的網(wǎng)絡(luò)及安全監(jiān)控系統(tǒng)、分析系統(tǒng)及決策支持系統(tǒng)。 安全策略設(shè)計(jì)： 在安全域劃分的基礎(chǔ)上，我們將不同的網(wǎng)絡(luò)資源部署在相應(yīng)的安全域中，利 第 7 頁(yè) 共 61 頁(yè) 用防火墻的安全控制機(jī)制、入侵檢測(cè)防御系統(tǒng)的防御機(jī)制來(lái)實(shí)現(xiàn)各安全域之間的訪問(wèn)控制。 一體化信息安全技術(shù)模型 在安全技術(shù)體系上一體化信息安全技術(shù)模型主要包括：系統(tǒng)安全平臺(tái)、應(yīng)用安全平臺(tái)和綜合安全管理平臺(tái)三個(gè)層面，通過(guò)三個(gè)層面平臺(tái)的一體化 部署及它們之間的相互支撐和配合充分地實(shí)現(xiàn)信息安全系統(tǒng)的 P2DR2 功能需求，即： Policy策略、 Protection 防護(hù)、 Detection 檢測(cè)、 Respons