【正文】 常審查 Web 服務(wù)器配置情況及運(yùn)行日志。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 17 頁 共 31 頁 ? 要求軟件供應(yīng)商升級(jí)到最新的安全版本。 ? 實(shí)時(shí)黑名單 實(shí)時(shí)黑名單（ Realtime Blackhole List，簡(jiǎn)稱 RBL）是建立于 DNS 系統(tǒng)上的黑名單系統(tǒng)。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 21 頁 共 31 頁 3548安全審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)管理端日志分析系統(tǒng)SUN ULTRA 10網(wǎng)管主機(jī) 安全審計(jì)中心 目前掃描軟件包括網(wǎng)絡(luò)型 掃描器，主機(jī)型掃描器和數(shù)據(jù)庫掃描器。 在確定了 廣電總局 中重要資產(chǎn)后，就需要對(duì)這些資產(chǎn)評(píng)定價(jià)值，一般 而言，我們需要對(duì)有形資產(chǎn)如路由器等設(shè)備，及其無形資產(chǎn)如數(shù)據(jù)庫的數(shù)據(jù)等，進(jìn)行資產(chǎn)價(jià)值評(píng)估。 我們建議與 廣電總局 網(wǎng)絡(luò) 部門協(xié)作，每個(gè)季度對(duì)整網(wǎng)實(shí)施一次 專業(yè) 的安全風(fēng)險(xiǎn)評(píng)估，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上提出進(jìn)一步的安全解決方案，從風(fēng)險(xiǎn)管理的角度為合理分配資源、進(jìn)一步制定安全策略提供重要依據(jù)。 在 廣電總局 進(jìn)行訪問控制管理時(shí)，我們建議對(duì)各網(wǎng)絡(luò)設(shè)備控制臺(tái)的訪問分別分配一個(gè)用戶口令，而對(duì)網(wǎng)絡(luò)設(shè)備的邏輯訪問分別采用另一個(gè)用戶 口令。 在處理故障過程中，必須按照一定的步驟，確保所有的操作都有明確目標(biāo)，我們首先從區(qū)分操作的優(yōu)先次序著手，同 時(shí)評(píng)估由故障帶來的損害，最后通過各種渠道進(jìn)行報(bào)告和報(bào)警，隨之就是事故的響應(yīng)，這方面瑪賽在長期的安全服務(wù)領(lǐng)域積累了大量經(jīng)驗(yàn)，可以為 廣電總局 提供完全專業(yè)可靠的安全響應(yīng)服務(wù)，而從故障或事故中進(jìn)行恢復(fù)的也是我們和 廣電總局 共同合作的過程。 注重整體安全理念。日常安全審計(jì)的制度和流程在第五章安全服務(wù)方案中將有詳細(xì)介紹。 邏輯安全管理 邏輯安全管理進(jìn)一步從技術(shù)層面建立一些安全管理制度，諸如用戶管理、口令管理、網(wǎng)絡(luò)設(shè)備安全管理和主機(jī)系統(tǒng)安全管理的制度。風(fēng)險(xiǎn)緩解是選擇適當(dāng)?shù)目刂品绞綄L(fēng)險(xiǎn)降低到可接受水平的過程。風(fēng)險(xiǎn)管 理對(duì)于如何提供安全性，在那些方面提供安全性以及所應(yīng)采取的安全控制的類型和力度等方面都有著重要意義。 我們 建議該安全管理中心分為安全決策支持中心和安全設(shè)備管 理中心 。 限速的做法是服務(wù)器接收到超過限制數(shù)量的收件人地址后，不做響應(yīng)，插入很長時(shí)間的等待（例如 5 秒），然后再響應(yīng)，這個(gè)等待是可 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 18 頁 共 31 頁 配置的；如果收件人數(shù)量非常多，每增加一個(gè)收件人，會(huì)插入同樣的等待時(shí)間甚至遞增的等待時(shí)間，最后，垃圾郵件發(fā)送者會(huì)因?yàn)樗俣忍Ｊ郑? 中止的做法是在服務(wù)器接收到超過限制數(shù)量的收件人地址后，立刻返回錯(cuò)誤信息，并中止連接。 依靠 專業(yè)的安全 服務(wù)，對(duì) WEB 系統(tǒng) (包括各種 UNIX 系統(tǒng)以及 Windows NT/2020)的 WWW 服務(wù)器都有 進(jìn)行 安全配置，最大限度的增強(qiáng)主機(jī)系統(tǒng)的安全性。 我們可以采用如下幾種手段保護(hù)： ? 將 Web 服務(wù)器置于防火墻保護(hù)之下。 是否提供 二次開發(fā)接口。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)漏洞，另一方面，也是進(jìn)行全網(wǎng)安全審計(jì)的重要工具。 1. 網(wǎng)絡(luò)的快速增長和復(fù)雜程度的提高將產(chǎn)生大量的安全隱患 。而 DNS 系統(tǒng)如果受到攻擊而停止服務(wù)，也會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓，備份 DNS 在主 DNS 受入侵或出現(xiàn)故障時(shí)可繼續(xù)提供域名解析服務(wù)。 在接入路由器后，利舊原有的 PIX520 對(duì)進(jìn)出網(wǎng)絡(luò)流量進(jìn)行基礎(chǔ)安全防護(hù)。 集中性原則 安全重在管理，所謂“三分技術(shù)，七分管理”闡述了安全的本質(zhì)。 雖然 劃分了 VLAN，但是 重要業(yè)務(wù)主機(jī) （ WEB/MAIL/DNS） 全部集中在一個(gè) VLAN 內(nèi)， 不利于風(fēng)險(xiǎn)的分散原則，也 容易造成單點(diǎn)故障 。 首先， 在 廣電總局外 部網(wǎng)絡(luò) 的日常 運(yùn)維過程中， 出 現(xiàn) 了一定的 安全問題 （目前，外網(wǎng)的部分托管主機(jī)依舊存在 Nimda 病毒） 。 一臺(tái)為輔 DNS，另一臺(tái)閑置 IBM Netfinity 4000：兩臺(tái) ，視頻服務(wù)器 。 以下 我們 將從網(wǎng)絡(luò)結(jié)構(gòu)安全 結(jié)構(gòu) 、 網(wǎng)絡(luò) 安全 技術(shù) 、 防病毒體系 及安全管理 等幾個(gè)方面 闡述 我們 的安全建議 。另一方面，各層之間的配合也是層次性原則的重要特點(diǎn)之一。從而確保該網(wǎng)段的安全性 。 防火墻上實(shí)施如下策略 原則如下 ： 1. 默認(rèn)關(guān)閉防火墻上的所有訪問規(guī)則 2. 允許內(nèi)網(wǎng)訪問 DMZ 口的必要服務(wù) 3. 禁止 DMZ 口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng) 、外網(wǎng)到 DMZ 的訪問 4. 允許內(nèi)網(wǎng)、 DMZ 對(duì)外網(wǎng)的訪問，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的安全考慮 入侵檢測(cè)技術(shù)是當(dāng)今一種非常重要的動(dòng)態(tài)安全技術(shù)，與 傳統(tǒng) 的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。 這套入侵檢測(cè)系統(tǒng) 部署在 核心交換機(jī)上，（由于性能問題，原則上不對(duì)視頻點(diǎn)播系統(tǒng)進(jìn)行檢測(cè)） 。 ， 日志分析系統(tǒng) 由于全網(wǎng)存在眾多 網(wǎng)絡(luò)和主機(jī)設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套 日志分析系統(tǒng) 用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。網(wǎng)絡(luò)的脆弱性成倍增加，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)已不再是簡(jiǎn)單的在客戶機(jī)上安裝桌面病毒掃描程序就可以解決的問題了。如果是自己開發(fā)的應(yīng)用，更需要嚴(yán)格進(jìn)行源代碼審計(jì)，確保沒有嚴(yán)重安全問題。 ? 垃圾郵件識(shí)別 垃圾郵件識(shí)別是一個(gè)比較復(fù)雜的問題。 DNS 系統(tǒng)的安全威脅主要來自以下幾個(gè)方面： ? 監(jiān)聽向 DNS SERVER 發(fā)的查詢 id，實(shí)現(xiàn)欺騙攻擊； ? 針對(duì) DNS 服務(wù)器鏈缺陷的報(bào)文放大技術(shù)，使一個(gè)主機(jī)的帶寬消耗殆盡的DNS smurf 攻擊； ? 域名劫持 (這一攻擊用于在有 make changes 功能注冊(cè)域名的公司 )； ? BIND 存在的遠(yuǎn)程緩沖區(qū)溢出的漏洞； ? 非法區(qū)域傳輸問題； 因此， 對(duì)于廣電總局外 網(wǎng)的 DNS 系統(tǒng)的安全， 我們 有如下建議： 1. 將貯備 DNS 服務(wù)器置于不同 IP 地 址段內(nèi)，防止由于拒絕服務(wù)的攻擊造成 DNS 停止服務(wù)。 IDS 管理中心用于網(wǎng)絡(luò)型 IDS 的策略控制和監(jiān)控， 報(bào)警信息將會(huì)在控制 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 22 頁 共 31 頁 臺(tái)上顯示或報(bào)警； 防病毒管理中心用于防病毒系統(tǒng)的管理和控制； 日志管理中心控制臺(tái)和審計(jì)中心控制臺(tái)分別是日志分析中心和安全審計(jì)中心的 Console 端軟件，可以實(shí)現(xiàn)對(duì)這兩套軟件系統(tǒng)的遠(yuǎn)程控制和管理。網(wǎng)絡(luò)的脆弱性表現(xiàn)在網(wǎng)絡(luò)中存 在的可能被威脅利用的缺陷，如：可能發(fā)生外部人員的猜出口令而對(duì)網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)訪問的事件等。 機(jī)房施工管理制度 我們 結(jié)合以前項(xiàng)目中安全管理的經(jīng)驗(yàn)，為 廣電總局 制定了如下的機(jī)房施工管理制度， 廣電總局 運(yùn)維部門也可以結(jié)合各機(jī)房情況改進(jìn)該管理制度，以求充分切合實(shí)際。 廣電總局 網(wǎng)絡(luò)設(shè)備的 OS 的更新將遵從網(wǎng)絡(luò)設(shè)備的安全管理制度，確保 OS 鏡像的完整性。 我們建議對(duì)廣電總局員工進(jìn)行 安全知識(shí)培訓(xùn)和安全技術(shù)培訓(xùn)。 我們建議 通過本次安全工程對(duì) 用戶進(jìn)行安全知識(shí)培訓(xùn)，初級(jí)安全培訓(xùn)和中級(jí)安全培訓(xùn)建議安排在安全集成前對(duì)用戶進(jìn)行，高級(jí)安全培訓(xùn)建議在安全服務(wù)前進(jìn)行。同時(shí)，我們也提供一些冗余措施以提高網(wǎng)絡(luò)設(shè)備的可用性。 運(yùn)維 故障處理制度 為保證 廣電總局 網(wǎng)絡(luò)的安全運(yùn)行，保障全網(wǎng)的服務(wù)質(zhì)量， 我們 為 廣電總局 提供 運(yùn)維 故障處理的建議。在 廣電總局 中， OA信息、路由配置和安全日志等這些數(shù)據(jù)是需要安全風(fēng)險(xiǎn)管理關(guān)注的關(guān)鍵數(shù)據(jù)，在運(yùn)維中需要為這些數(shù)據(jù)提供安全管理策略，例如： 如何進(jìn)行備份 備份文件存儲(chǔ)在何處 如何 對(duì)數(shù)據(jù)進(jìn)行物理保護(hù) 誰有權(quán)訪問存儲(chǔ)數(shù)據(jù)的介質(zhì) 數(shù)據(jù)完整性遭到破壞后的恢復(fù)措施 網(wǎng)絡(luò)資源不可用 風(fēng)險(xiǎn)管理將包含確定那些網(wǎng)絡(luò)資源會(huì)受威脅及其所造成的損失。 通過一套或幾套部署在同一地點(diǎn)的安全管理軟件 ，集中的實(shí)現(xiàn)對(duì)多個(gè)節(jié)點(diǎn)的多套安全工具集中的管控，極大的節(jié)約了人力資 源，提高了管理效率，對(duì)降低企業(yè)安全系統(tǒng)的 TCO（總體擁有成本）有很大效果。 3. 依靠入侵檢測(cè)系統(tǒng)及日志分析系統(tǒng)對(duì)該業(yè)務(wù)主機(jī)進(jìn)行詳細(xì)的訪問記錄審核，并保留相關(guān)記錄。通?？梢酝ㄟ^模式識(shí)別來進(jìn)行。 ? 小心設(shè)置 Web 服務(wù)器的訪問控制表。 在防病毒產(chǎn)品的選型上，我 們 認(rèn)為一個(gè)成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點(diǎn)： ? 先進(jìn)的體系結(jié)構(gòu)設(shè)計(jì) ? 先進(jìn)的防殺病毒技術(shù) ? 能夠在線實(shí)時(shí)查殺病毒 ? 準(zhǔn)確無誤的報(bào)警功能 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 15 頁 共 31 頁 ? 及時(shí)、方便地更新病毒定義代碼 ? 快速、有效地處理未知病毒 ? 多平臺(tái)的支持 ? 功能強(qiáng)大的控制臺(tái)，便于管理與維護(hù) 而針對(duì)網(wǎng)絡(luò)這個(gè)層次 而設(shè)計(jì)的防病毒產(chǎn)品， 我們 認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)病毒監(jiān)控、支持病毒有效地隔離。 對(duì)于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素： 集中收集和監(jiān)控系統(tǒng)日志 。 網(wǎng)絡(luò) IDS 系統(tǒng)主機(jī)都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用 于接受管理中心的管理。入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 8 頁 共 31 頁 網(wǎng)絡(luò)安全技術(shù) 防火墻系統(tǒng) VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務(wù)器防火墻E220 RmailE220 RDNS網(wǎng)管cc防火墻 防火墻VLANDMZVLANINTRUST安全審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)管理端病毒控制管理中心 如 前 圖所示，根據(jù)廣電總局