【正文】 常審查 Web 服務(wù)器配置情況及運行日志。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 17 頁 共 31 頁 ? 要求軟件供應(yīng)商升級到最新的安全版本。 ? 實時黑名單 實時黑名單（ Realtime Blackhole List，簡稱 RBL）是建立于 DNS 系統(tǒng)上的黑名單系統(tǒng)。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 21 頁 共 31 頁 3548安全審計系統(tǒng)入侵檢測系統(tǒng)管理端日志分析系統(tǒng)SUN ULTRA 10網(wǎng)管主機(jī) 安全審計中心 目前掃描軟件包括網(wǎng)絡(luò)型 掃描器，主機(jī)型掃描器和數(shù)據(jù)庫掃描器。 在確定了 廣電總局 中重要資產(chǎn)后，就需要對這些資產(chǎn)評定價值，一般 而言，我們需要對有形資產(chǎn)如路由器等設(shè)備，及其無形資產(chǎn)如數(shù)據(jù)庫的數(shù)據(jù)等，進(jìn)行資產(chǎn)價值評估。 我們建議與 廣電總局 網(wǎng)絡(luò) 部門協(xié)作，每個季度對整網(wǎng)實施一次 專業(yè) 的安全風(fēng)險評估，在風(fēng)險評估的基礎(chǔ)上提出進(jìn)一步的安全解決方案，從風(fēng)險管理的角度為合理分配資源、進(jìn)一步制定安全策略提供重要依據(jù)。 在 廣電總局 進(jìn)行訪問控制管理時，我們建議對各網(wǎng)絡(luò)設(shè)備控制臺的訪問分別分配一個用戶口令，而對網(wǎng)絡(luò)設(shè)備的邏輯訪問分別采用另一個用戶 口令。 在處理故障過程中，必須按照一定的步驟，確保所有的操作都有明確目標(biāo)，我們首先從區(qū)分操作的優(yōu)先次序著手，同 時評估由故障帶來的損害，最后通過各種渠道進(jìn)行報告和報警，隨之就是事故的響應(yīng)，這方面瑪賽在長期的安全服務(wù)領(lǐng)域積累了大量經(jīng)驗，可以為 廣電總局 提供完全專業(yè)可靠的安全響應(yīng)服務(wù)，而從故障或事故中進(jìn)行恢復(fù)的也是我們和 廣電總局 共同合作的過程。 注重整體安全理念。日常安全審計的制度和流程在第五章安全服務(wù)方案中將有詳細(xì)介紹。 邏輯安全管理 邏輯安全管理進(jìn)一步從技術(shù)層面建立一些安全管理制度，諸如用戶管理、口令管理、網(wǎng)絡(luò)設(shè)備安全管理和主機(jī)系統(tǒng)安全管理的制度。風(fēng)險緩解是選擇適當(dāng)?shù)目刂品绞綄L(fēng)險降低到可接受水平的過程。風(fēng)險管 理對于如何提供安全性，在那些方面提供安全性以及所應(yīng)采取的安全控制的類型和力度等方面都有著重要意義。 我們 建議該安全管理中心分為安全決策支持中心和安全設(shè)備管 理中心 。 限速的做法是服務(wù)器接收到超過限制數(shù)量的收件人地址后，不做響應(yīng)，插入很長時間的等待（例如 5 秒），然后再響應(yīng)，這個等待是可 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 18 頁 共 31 頁 配置的；如果收件人數(shù)量非常多，每增加一個收件人，會插入同樣的等待時間甚至遞增的等待時間，最后，垃圾郵件發(fā)送者會因為速度太慢而停手； 中止的做法是在服務(wù)器接收到超過限制數(shù)量的收件人地址后，立刻返回錯誤信息，并中止連接。 依靠 專業(yè)的安全 服務(wù)，對 WEB 系統(tǒng) (包括各種 UNIX 系統(tǒng)以及 Windows NT/2020)的 WWW 服務(wù)器都有 進(jìn)行 安全配置，最大限度的增強(qiáng)主機(jī)系統(tǒng)的安全性。 我們可以采用如下幾種手段保護(hù)： ? 將 Web 服務(wù)器置于防火墻保護(hù)之下。 是否提供 二次開發(fā)接口。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實時檢測網(wǎng)絡(luò)漏洞，另一方面，也是進(jìn)行全網(wǎng)安全審計的重要工具。 1. 網(wǎng)絡(luò)的快速增長和復(fù)雜程度的提高將產(chǎn)生大量的安全隱患 。而 DNS 系統(tǒng)如果受到攻擊而停止服務(wù)，也會導(dǎo)致整個網(wǎng)絡(luò)的癱瘓，備份 DNS 在主 DNS 受入侵或出現(xiàn)故障時可繼續(xù)提供域名解析服務(wù)。 在接入路由器后，利舊原有的 PIX520 對進(jìn)出網(wǎng)絡(luò)流量進(jìn)行基礎(chǔ)安全防護(hù)。 集中性原則 安全重在管理，所謂“三分技術(shù)，七分管理”闡述了安全的本質(zhì)。 雖然 劃分了 VLAN，但是 重要業(yè)務(wù)主機(jī) （ WEB/MAIL/DNS） 全部集中在一個 VLAN 內(nèi)， 不利于風(fēng)險的分散原則，也 容易造成單點故障 。 首先， 在 廣電總局外 部網(wǎng)絡(luò) 的日常 運維過程中， 出 現(xiàn) 了一定的 安全問題 （目前，外網(wǎng)的部分托管主機(jī)依舊存在 Nimda 病毒） 。 一臺為輔 DNS，另一臺閑置 IBM Netfinity 4000：兩臺 ，視頻服務(wù)器 。 以下 我們 將從網(wǎng)絡(luò)結(jié)構(gòu)安全 結(jié)構(gòu) 、 網(wǎng)絡(luò) 安全 技術(shù) 、 防病毒體系 及安全管理 等幾個方面 闡述 我們 的安全建議 。另一方面，各層之間的配合也是層次性原則的重要特點之一。從而確保該網(wǎng)段的安全性 。 防火墻上實施如下策略 原則如下 ： 1. 默認(rèn)關(guān)閉防火墻上的所有訪問規(guī)則 2. 允許內(nèi)網(wǎng)訪問 DMZ 口的必要服務(wù) 3. 禁止 DMZ 口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng) 、外網(wǎng)到 DMZ 的訪問 4. 允許內(nèi)網(wǎng)、 DMZ 對外網(wǎng)的訪問，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全考慮 入侵檢測技術(shù)是當(dāng)今一種非常重要的動態(tài)安全技術(shù)，與 傳統(tǒng) 的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。 這套入侵檢測系統(tǒng) 部署在 核心交換機(jī)上，（由于性能問題，原則上不對視頻點播系統(tǒng)進(jìn)行檢測） 。 ， 日志分析系統(tǒng) 由于全網(wǎng)存在眾多 網(wǎng)絡(luò)和主機(jī)設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套 日志分析系統(tǒng) 用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。網(wǎng)絡(luò)的脆弱性成倍增加，保護(hù)計算機(jī)網(wǎng)絡(luò)已不再是簡單的在客戶機(jī)上安裝桌面病毒掃描程序就可以解決的問題了。如果是自己開發(fā)的應(yīng)用，更需要嚴(yán)格進(jìn)行源代碼審計，確保沒有嚴(yán)重安全問題。 ? 垃圾郵件識別 垃圾郵件識別是一個比較復(fù)雜的問題。 DNS 系統(tǒng)的安全威脅主要來自以下幾個方面： ? 監(jiān)聽向 DNS SERVER 發(fā)的查詢 id，實現(xiàn)欺騙攻擊； ? 針對 DNS 服務(wù)器鏈缺陷的報文放大技術(shù)，使一個主機(jī)的帶寬消耗殆盡的DNS smurf 攻擊； ? 域名劫持 (這一攻擊用于在有 make changes 功能注冊域名的公司 )； ? BIND 存在的遠(yuǎn)程緩沖區(qū)溢出的漏洞； ? 非法區(qū)域傳輸問題； 因此， 對于廣電總局外 網(wǎng)的 DNS 系統(tǒng)的安全， 我們 有如下建議： 1. 將貯備 DNS 服務(wù)器置于不同 IP 地 址段內(nèi)，防止由于拒絕服務(wù)的攻擊造成 DNS 停止服務(wù)。 IDS 管理中心用于網(wǎng)絡(luò)型 IDS 的策略控制和監(jiān)控， 報警信息將會在控制 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 22 頁 共 31 頁 臺上顯示或報警； 防病毒管理中心用于防病毒系統(tǒng)的管理和控制； 日志管理中心控制臺和審計中心控制臺分別是日志分析中心和安全審計中心的 Console 端軟件，可以實現(xiàn)對這兩套軟件系統(tǒng)的遠(yuǎn)程控制和管理。網(wǎng)絡(luò)的脆弱性表現(xiàn)在網(wǎng)絡(luò)中存 在的可能被威脅利用的缺陷，如：可能發(fā)生外部人員的猜出口令而對網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)訪問的事件等。 機(jī)房施工管理制度 我們 結(jié)合以前項目中安全管理的經(jīng)驗，為 廣電總局 制定了如下的機(jī)房施工管理制度， 廣電總局 運維部門也可以結(jié)合各機(jī)房情況改進(jìn)該管理制度，以求充分切合實際。 廣電總局 網(wǎng)絡(luò)設(shè)備的 OS 的更新將遵從網(wǎng)絡(luò)設(shè)備的安全管理制度，確保 OS 鏡像的完整性。 我們建議對廣電總局員工進(jìn)行 安全知識培訓(xùn)和安全技術(shù)培訓(xùn)。 我們建議 通過本次安全工程對 用戶進(jìn)行安全知識培訓(xùn)，初級安全培訓(xùn)和中級安全培訓(xùn)建議安排在安全集成前對用戶進(jìn)行，高級安全培訓(xùn)建議在安全服務(wù)前進(jìn)行。同時，我們也提供一些冗余措施以提高網(wǎng)絡(luò)設(shè)備的可用性。 運維 故障處理制度 為保證 廣電總局 網(wǎng)絡(luò)的安全運行，保障全網(wǎng)的服務(wù)質(zhì)量， 我們 為 廣電總局 提供 運維 故障處理的建議。在 廣電總局 中， OA信息、路由配置和安全日志等這些數(shù)據(jù)是需要安全風(fēng)險管理關(guān)注的關(guān)鍵數(shù)據(jù)，在運維中需要為這些數(shù)據(jù)提供安全管理策略，例如： 如何進(jìn)行備份 備份文件存儲在何處 如何 對數(shù)據(jù)進(jìn)行物理保護(hù) 誰有權(quán)訪問存儲數(shù)據(jù)的介質(zhì) 數(shù)據(jù)完整性遭到破壞后的恢復(fù)措施 網(wǎng)絡(luò)資源不可用 風(fēng)險管理將包含確定那些網(wǎng)絡(luò)資源會受威脅及其所造成的損失。 通過一套或幾套部署在同一地點的安全管理軟件 ，集中的實現(xiàn)對多個節(jié)點的多套安全工具集中的管控，極大的節(jié)約了人力資 源，提高了管理效率，對降低企業(yè)安全系統(tǒng)的 TCO（總體擁有成本）有很大效果。 3. 依靠入侵檢測系統(tǒng)及日志分析系統(tǒng)對該業(yè)務(wù)主機(jī)進(jìn)行詳細(xì)的訪問記錄審核，并保留相關(guān)記錄。通常可以通過模式識別來進(jìn)行。 ? 小心設(shè)置 Web 服務(wù)器的訪問控制表。 在防病毒產(chǎn)品的選型上，我 們 認(rèn)為一個成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點： ? 先進(jìn)的體系結(jié)構(gòu)設(shè)計 ? 先進(jìn)的防殺病毒技術(shù) ? 能夠在線實時查殺病毒 ? 準(zhǔn)確無誤的報警功能 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 15 頁 共 31 頁 ? 及時、方便地更新病毒定義代碼 ? 快速、有效地處理未知病毒 ? 多平臺的支持 ? 功能強(qiáng)大的控制臺，便于管理與維護(hù) 而針對網(wǎng)絡(luò)這個層次 而設(shè)計的防病毒產(chǎn)品， 我們 認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進(jìn)行實時病毒監(jiān)控、支持病毒有效地隔離。 對于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素： 集中收集和監(jiān)控系統(tǒng)日志 。 網(wǎng)絡(luò) IDS 系統(tǒng)主機(jī)都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用 于接受管理中心的管理。入侵檢測技術(shù)是動態(tài)安全技術(shù)的核心技術(shù)之一。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 8 頁 共 31 頁 網(wǎng)絡(luò)安全技術(shù) 防火墻系統(tǒng) VLANINTRUSTSiSi SiSiA5100E3500DNSE250日志分析IBMNetfinity 40002926 35482926...Network IDS托管服務(wù)器防火墻E220 RmailE220 RDNS網(wǎng)管cc防火墻 防火墻VLANDMZVLANINTRUST安全審計系統(tǒng)入侵檢測系統(tǒng)管理端病毒控制管理中心 如 前 圖所示，根據(jù)廣電總局