【正文】 e 響應(yīng)和 Recovery 恢復(fù)五個(gè)方面的安全需求。 目前的電力 企業(yè) 一般安全措施主要有：依靠 防火墻進(jìn)行互連網(wǎng)安全隔離 ，通過路由器的訪問控制列表和劃分 VLAN 的方式隔離 網(wǎng)絡(luò)，以及防病毒系統(tǒng)。 在 IDC 數(shù)據(jù)核心交換機(jī)與內(nèi)網(wǎng)網(wǎng)絡(luò)核心交換機(jī)之間部署 Netscreen千兆防火墻系統(tǒng)。因此，安全域的劃分既可通過網(wǎng)段的物理端口連接實(shí)現(xiàn)，也可以通過 VLAN 虛擬端口方式連接。這些設(shè)備可以使靜態(tài)信息（如配置）和動態(tài)實(shí)時(shí)信息同步。如果到一個(gè)接口的連接由于某種原因而丟失，同步信息就會通過另一個(gè)接口傳輸。省去了單獨(dú)購買 IDS 或 IDP 設(shè)備的投資。 入侵檢測防御系統(tǒng)設(shè)計(jì)與部署 入侵檢測防御系統(tǒng)的需求及選型 在現(xiàn)有網(wǎng)絡(luò)中，通常大部分人認(rèn)為傳統(tǒng)防火墻可以保護(hù)處于它身后的網(wǎng)絡(luò)不受外界的侵襲和干擾。這種理解和定制級別允許管理員定制攻擊簽名，以滿足獨(dú)特的攻擊要求。 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護(hù)模塊 的所有簽名都可通過簡單的圖形用戶界面來接入，因此可以容易地了解系統(tǒng)在監(jiān)控流量的哪一部分。 我們可以利用協(xié)議異常檢測技術(shù)，檢測到目前攻擊特征碼中沒有定義的攻擊，和一些最新出現(xiàn)的攻擊，新的緩沖區(qū)溢出攻擊就是要通過協(xié)議異常技術(shù)進(jìn)行檢測的，由于協(xié)議異常技術(shù)采用的是與正常的協(xié)議標(biāo)準(zhǔn)進(jìn)行匹配，所以存在誤報(bào)的可能性。 利用 NetScreenSecurity Manager，企業(yè)可以為特定用戶分配適當(dāng)?shù)墓芾斫尤霗?quán)限（從只讀到全面的編輯權(quán)限）來完成 多種工作。然而，隨著 個(gè)人電腦和互聯(lián)網(wǎng)應(yīng)用技術(shù)的普及， “在家辦公 ”、 “異地辦公 ”、 “移動辦公 ”等多種遠(yuǎn)程辦公 模式逐漸普及，同時(shí)合作伙伴的人員也希望能訪問到相應(yīng)的信息資源，企業(yè)的 IT 管理人員面臨將 遠(yuǎn)程辦公 模式作為內(nèi)部辦公網(wǎng)絡(luò)的延伸和對合作伙伴人員提供外聯(lián)網(wǎng)接入的需 求，為遠(yuǎn)程辦公的員工提供訪問內(nèi)部信息和為合作伙伴人員訪問與其身份相符的信息的方便。網(wǎng)絡(luò)邊緣到客戶端 基于貴公司的安全接入模式，我們建議采用 SSL VPN 方案。 SSL VPN 安全接入系統(tǒng)對安全的控制 1) 硬件平臺和加固的操作系統(tǒng) SSL VPN 安全接入系統(tǒng)采用了優(yōu)化的 Linux 內(nèi)核和額外優(yōu)化的服務(wù)器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設(shè)計(jì)成可以抵御針對系統(tǒng)的攻擊和針對通過該系統(tǒng)數(shù)據(jù)的攻擊。因?yàn)橄到y(tǒng)使用 HTTPS 和 SSL 對傳送的數(shù)據(jù)進(jìn)行加密，在這過程中會話不可能被劫取。通過一個(gè)合法的證書，用戶可以發(fā)起一個(gè)會話。 Juniper Netscreen IVE 系統(tǒng)支持的接入安全控制的細(xì)化包括： 動態(tài)認(rèn)證策略：可以通過多種要素對用戶身份進(jìn)行認(rèn)證，包括提供身份前檢查和提供身份后檢查，其中提供身份前檢查的內(nèi)容可包括：源地址、網(wǎng)絡(luò)接口（內(nèi) /外）、證書、節(jié)點(diǎn)安全（包括主機(jī)檢查和緩存清除）、瀏覽器的 user agent、登錄的 URL、 SSL版本和加密級別；提供身份后檢查的內(nèi)容可包括：身份確定、證書特性、密碼長度、同時(shí)登錄用戶數(shù)、目錄服務(wù)密碼； 角色定義和策略匹配：管理員可以定義用戶屬于一個(gè)或多個(gè)角色，對不同角色提供不同的訪問權(quán)限?；?Web 的應(yīng)用 強(qiáng)加密 利用經(jīng)過認(rèn)證的加密 TCP 通信鏈路，就不需要在不同分層之間建立 VPN 隧道，從而大大提高了性能和靈活性。 安全管理解決方案 Juniper 的 Netscreen 防火墻系統(tǒng)采用 Juniper 公司的統(tǒng)一安全管理平臺 NSM進(jìn)行管理， NSM 不僅可以管理 ISG 防火墻系統(tǒng)的防火墻模塊、 VPN 模塊和 IDP應(yīng)用層保護(hù)模塊，同時(shí)可以實(shí)現(xiàn)對多臺防火墻設(shè)備的集中管理，這樣我們就實(shí)現(xiàn)了在一個(gè)統(tǒng)一的界面上實(shí)現(xiàn)了對多臺安全設(shè)備，多種安全技術(shù)的統(tǒng)一管理，安全策略的統(tǒng)一配置，安全事件和日志信息的統(tǒng)一查詢和分析。協(xié)議異常檢測將緩沖器允許的數(shù)據(jù)量與發(fā)送的數(shù)據(jù)量、以及流量超出允許量時(shí)的告警進(jìn)行比較。 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護(hù)模塊 跟蹤連接狀態(tài)，并且僅在可能發(fā)生攻擊的相關(guān)流量部分來查找攻擊模式。 當(dāng)前，復(fù)雜的攻擊以不同的方式出現(xiàn)在不同的客戶環(huán)境中。因此，防火墻應(yīng)該支持基于 Policy 對帶寬進(jìn)行控制。 ASIC 防火墻采用多組專門的 ASIC 芯片處理不同任務(wù)，如 Session 表維持、查找、防拒絕服務(wù)攻擊、 VPN 加解密、應(yīng)用層檢測等資源耗用嚴(yán)重的任務(wù)， CPU 配合處理一些簡單功能調(diào)用。 第 22 頁 共 61 頁 ? 主動 /主動全網(wǎng)狀：兩臺設(shè)備都配置為主動，網(wǎng)絡(luò)和 VPN 流量同時(shí)通過兩臺設(shè)備。 第 20 頁 共 61 頁 我們建議 IDC 區(qū)防火墻系統(tǒng)與其核心交換機(jī)系統(tǒng)一樣采用雙機(jī)方式運(yùn)行。對以上所有安全區(qū)域網(wǎng)絡(luò) 第 17 頁 共 61 頁 的訪問必須通過防火墻和入侵檢測防御（ IDP）系統(tǒng)進(jìn)行安全檢測； 防火墻系統(tǒng)部署方案 防火墻系統(tǒng)在網(wǎng)絡(luò)邊界設(shè)置進(jìn)出口控制，可以防御外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡(luò)安全的第一道關(guān)卡，其重要性不言而喻。 鑒于 IDC 核心區(qū)的安全性要求非常高，建業(yè)數(shù) 據(jù)核心的交換機(jī)也配置為雙交換機(jī)模式。這些應(yīng)用 和連接，很好的幫助了電力公司用戶提高計(jì)算機(jī)在電力公司系統(tǒng)中的應(yīng)用水平，實(shí)現(xiàn) 電力 信息化。同時(shí)也可根據(jù)網(wǎng)絡(luò)實(shí)際受到黑客或病毒及蠕蟲的實(shí)際攻擊情況靈活臨時(shí)部署到任何需要的地方，在強(qiáng)化安全的同時(shí)不會給網(wǎng)絡(luò)帶來任何影響。 本項(xiàng)目系統(tǒng)總圖如下： 方案概述 第 6 頁 共 61 頁 安全域的劃分 安全域的劃分是現(xiàn)代 企業(yè)信息網(wǎng)絡(luò)安全的根本基礎(chǔ)之一，通過合理的安全域的劃分和實(shí)現(xiàn)可幫助 XX 電力構(gòu)筑一個(gè)層次性的、縱深的安全綜合防護(hù)系統(tǒng)。缺乏適合 XX 電力現(xiàn)有技術(shù)能力的在線的安全主動入侵防御系統(tǒng)。 如下圖所示，從 200X 年開始 XX 電力就開始了網(wǎng)絡(luò)安全的建設(shè)工作，至今已建設(shè)完成：總公司 Inter DMZ 安全接入、總公司銀行網(wǎng)關(guān)安全接入、全省桌面防病毒系統(tǒng)、總公司入侵檢測系統(tǒng)、總公司安全掃描系統(tǒng)等安全子系統(tǒng)。因此盡早在 XX電力建立和實(shí)施一套先進(jìn)高效并基于風(fēng)險(xiǎn)控制與管理理論的完整的信息安全保障系統(tǒng)勢在必行。 6. Inter 的接入?yún)^(qū)僅靠防火墻系統(tǒng)進(jìn)行安全保護(hù)，對數(shù)據(jù)流的深入分析能力較差，無法對 DOS/DDOS 攻擊、垃圾郵件、協(xié)議非法使用、病毒等安全事件進(jìn)行網(wǎng)關(guān)級的應(yīng)對； 7. 無法對有限的 Inter 互連網(wǎng)帶寬資源進(jìn)行有效帶寬分配及控制；（如：無法對 BT 等 PP 軟件通過 80 端口對帶寬進(jìn)行非法占用進(jìn)行控制） 8. 無法對有限的廣域網(wǎng)帶寬資源進(jìn)行有效帶寬分配及控制；（如：進(jìn)行電 第 4 頁 共 61 頁 視會議或 VOIP 時(shí)是否有足夠的廣域網(wǎng)帶寬支持，是否會出現(xiàn)馬賽 克） 9. 下級單位、兄弟單位及小區(qū)的接入在安全上不可控，尤其是小區(qū)的接入。 第 5 頁 共 61 頁 方案設(shè)計(jì)概述 在上一章中，我們對本次項(xiàng)目建設(shè)的目標(biāo)以及系統(tǒng)的現(xiàn)狀進(jìn)行了分析。 入侵檢測防御系統(tǒng)（ IDP）的部署： 由于入侵檢測防御系統(tǒng) IDP 采用帶內(nèi)工作方式，在發(fā)現(xiàn)攻擊之時(shí)就可以將攻擊數(shù)據(jù)包屏蔽，相比于只有報(bào)警而不能阻擋攻擊的傳統(tǒng)的 IDS 系統(tǒng)， IDP 是真正的可檢測并阻止攻擊的技術(shù)。 第 12 頁 共 61 頁 電力信息系統(tǒng)安全域基本概念 安全域是根據(jù)信息性質(zhì)、使用主體、安全目標(biāo)和策略等的不同來劃分的，是具有相近的安全屬性需求的網(wǎng)絡(luò)實(shí)體的集合。通過其它安全系統(tǒng)進(jìn)行安全配套。根據(jù)所提供服務(wù)的不同， DMZ 區(qū)可以進(jìn)一步進(jìn)行安全子域的劃分，具體包括撥號接入?yún)^(qū)、小區(qū)和住宅接入?yún)^(qū)、 Extra 接入?yún)^(qū)、公共信息服務(wù)提供區(qū)，以上網(wǎng)絡(luò)區(qū)域的劃分和安全隔離可通過外網(wǎng)核心交換機(jī)上的路由引擎 ACL 功能及配套防火墻系統(tǒng)來實(shí)現(xiàn)。 該系列防火墻 擁有高性能的 真正的 ASIC 硬件平臺、 ScreenOS 安全操作系統(tǒng)、 Security Manager 集中 管理工具、齊全的高密端口布局，體現(xiàn)了軟硬兼顧、內(nèi)外統(tǒng)一、應(yīng)用靈活、集中管理 第 18 頁 共 61 頁 等多種設(shè)計(jì)優(yōu)點(diǎn)。 第 21 頁 共 61 頁 ? 主動 /主動：兩臺設(shè)備都配置為主動，通過負(fù)載分擔(dān)機(jī)制來分擔(dān)分配給它們的流量。 3. 防火墻之間的關(guān)系： NetScreen 防火墻的高可用性協(xié)議 NSRP，可以保證兩臺防火墻之間處于共同工作、互為狀態(tài)備份的關(guān)系，消除單點(diǎn)故障。防火墻根據(jù)RSA 服務(wù)器返回的結(jié)果，決定是否允許管理員對內(nèi)部服務(wù)器管理端口的訪問。 IDP(入侵檢測防御 )系統(tǒng)可以補(bǔ)充上述產(chǎn)品的不足。 復(fù)合簽名 將狀態(tài)簽名和協(xié)議異常結(jié)合在一起，檢測單個(gè)會話中的復(fù)雜攻擊。協(xié)議異常檢測可用于識別與 正常 流量協(xié)議不同的攻擊。在這個(gè)時(shí)期，我們可以對于一些比較肯定和威脅很大的攻擊，在規(guī)則中配置成阻斷攻擊。利用內(nèi)置的報(bào)告功能，管理員還可以迅速生成報(bào)告來進(jìn)行調(diào)查研究或查看是否符合要求。數(shù)字證書 加密 對沒有相應(yīng)技術(shù)的用戶比較困難 建議在 XX 電力實(shí)施的 SSL VPN 安全接入的網(wǎng)絡(luò)拓?fù)涫痉秷D如下： 建議初期僅提供基于 Inter 的 SSL VPN 安全接入服務(wù)。 SSL 有效地阻止了人為的服務(wù)器欺騙和數(shù)據(jù)完整性的攻擊，因?yàn)椋? 所有通訊采用 128 位密鑰加密 系統(tǒng)通過證書進(jìn)行認(rèn)證 SSL VPN 安全接入也可選來支持客戶端證書，它可以通過基于 的證書對用戶 進(jìn)行鑒別。系統(tǒng)管理員可以通過用系統(tǒng)的日志管理器或外部的 SYSLOG 服務(wù)器審計(jì)的資源或應(yīng)用程序?qū)我挥脩舻脑L問采取一些操作。 IVE 系統(tǒng)即不允許管理員創(chuàng)建也不允許維護(hù)系統(tǒng)級的用戶帳號，因?yàn)闆]有交互式的 Shell 和打開的系統(tǒng)帳號，潛在的入侵者無法嘗試?yán)么嗳醯目诹?、缺省帳號或遺棄的帳號對系統(tǒng)進(jìn)行非授權(quán)的訪問。 同時(shí)， Juniper NetscreenSA 系列的遠(yuǎn)程接入產(chǎn)品可以強(qiáng)制對遠(yuǎn)程用戶的安裝防火墻及防病毒軟件做出要 求。高（需要管理客戶端軟件） 安裝 兩種技術(shù)在不同領(lǐng)域各有其優(yōu)勢，我們建議：在實(shí)施固定的站點(diǎn)到站點(diǎn)的 VPN 和復(fù)雜應(yīng)用的移動用戶接入VPN 時(shí) ，采用 IPsec 技術(shù)；在實(shí)施普通應(yīng)用的移動用戶接入 VPN 時(shí)，采用 SSL技術(shù)，原因是 SSL 無需在客戶端安裝客戶端軟件、實(shí)施和維護(hù)靈活簡單、不受地址翻譯影響、控制策略更加細(xì)化、總體擁有成本較低，而且由于 SSL VPN 不是打開一個(gè)網(wǎng)絡(luò)層通道，而只是提供了聯(lián)系應(yīng)用層請求的固化網(wǎng)絡(luò)接口，所以提高了與 VPN 相關(guān)的整個(gè)系統(tǒng)的安全性。在這種情況下，接入權(quán)限和任務(wù)直接與他們的理想團(tuán)隊(duì)結(jié)構(gòu)相對應(yīng)。然后，攻擊者嘗試以不同的命令發(fā)起對系統(tǒng)的攻擊，或者威脅其它系統(tǒng)的安全。 然而，狀態(tài)簽名方法可以跟蹤并了解通信狀態(tài)，因此可縮小與可能發(fā)生攻擊的特定站點(diǎn)相匹配的模式范圍（通信模式和流方向 表示客戶機(jī)至服務(wù) 器或服務(wù)器至客戶機(jī)的流量）。 ? 400 多個(gè)定制參數(shù)和 Perl 式的常規(guī)表達(dá)式：能夠定制簽名或創(chuàng)建完全定制的簽名。也正是這些因素引起了人們對入侵檢測技術(shù)的研究及開發(fā)。當(dāng)病毒掃描引擎發(fā)現(xiàn)封包內(nèi)有病毒代碼則丟棄該封包，并向客戶端發(fā)送通知，如果沒有在封包內(nèi)發(fā)現(xiàn)病毒代碼，則正常轉(zhuǎn)發(fā)該封包。 進(jìn)行從設(shè)備到鏈路的全備份。在進(jìn)行故障切換時(shí)，備份設(shè)備已經(jīng)包含有必要的網(wǎng)絡(luò)配置信息、會話狀態(tài)信息和安全關(guān)聯(lián)，因此可以在一秒種之內(nèi)完成切換，繼續(xù)處理現(xiàn)有流量。 一般防火墻系統(tǒng)往往和交換機(jī)路由功能配合使用。為了解決這一問題，建議在數(shù)據(jù)核心交換機(jī)與網(wǎng)絡(luò)核心交換 機(jī)之間部署入侵防御 IDP 系統(tǒng)或在Netscreen 防火墻上采用集成硬件 IDP 模塊的方式，從而提高了 IDC 核心區(qū)對網(wǎng)絡(luò)蠕蟲和網(wǎng)絡(luò)入侵的抗攻擊能力。 因此，隨著電力行業(yè)應(yīng)用的多樣化及網(wǎng)絡(luò)的復(fù)雜化，電力信息系統(tǒng)越來越需要以多安全域?yàn)榛A(chǔ)，進(jìn)行新一代電力信息網(wǎng)絡(luò)的安全規(guī)劃及安全建設(shè)。 應(yīng)用安全平臺：主要完成網(wǎng)絡(luò)資源的身份管理、身份認(rèn)證及網(wǎng)絡(luò)應(yīng)用資源的訪問控制。各安全域的總體安全策略設(shè)計(jì)示意如下圖所示： 防火墻系統(tǒng)的部署 在 Inter 接入?yún)^(qū)、 DMZ 區(qū)（外網(wǎng)）、辦公區(qū)、 IDC 數(shù)據(jù)核心區(qū)及廣域網(wǎng)接入?yún)^(qū) 5 大區(qū)域的互聯(lián)部分部署防火墻系統(tǒng)對以上各安全域?qū)嵤┯行У陌踩綦x及安全互聯(lián)。且每個(gè)用戶需要面對大量用戶名及口令，使用麻煩且極不安全存在極大安全隱患。其單一劃一的核心接入?yún)R聚方式已不能適應(yīng)各業(yè)務(wù)單位的信息系統(tǒng)建設(shè)安全及資源保障要求。 _________________________________________________________________________________ Security in ePower Provincial Level Network Juniper Networks, Inc. _________________________________________________________________________________ J