【文章內(nèi)容簡介】 信息技術(shù)有限公司 —— 解決方案 10 為了對網(wǎng)絡(luò)系統(tǒng)進行基本的分析，按照提供的服務(wù)性質(zhì)我們把網(wǎng)絡(luò)系統(tǒng)劃分為內(nèi)部辦公區(qū)、內(nèi)部服務(wù)區(qū)、重點業(yè)務(wù)區(qū)。具體劃分如下： 內(nèi)部網(wǎng)絡(luò) 內(nèi)部辦公區(qū) 各樓層 PC機 、縣區(qū)局工商所 PC 機 內(nèi)部服務(wù)區(qū) 內(nèi)網(wǎng)服務(wù)器（文件服務(wù)器、打印服務(wù)器等） 重點業(yè)務(wù)區(qū) OA 系統(tǒng)服務(wù)器（數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器）； 各區(qū)域安全管理需求 : 區(qū)域名稱 安全管理需求 技術(shù)情況 重點業(yè)務(wù)區(qū) 安全風(fēng)險需求 操作系統(tǒng) 弱點 、漏洞 現(xiàn)狀： 使用 OS 廠商補丁 建議： 通過安全評估技術(shù)加固操作系統(tǒng) 網(wǎng)絡(luò)攻擊防范 現(xiàn)狀： 暫無技術(shù)手段 建議： 通過入侵檢測技術(shù)監(jiān)控網(wǎng)絡(luò)攻擊； 通過安全隔離系統(tǒng)實現(xiàn)隔離控制 訪問權(quán)限識別 現(xiàn)狀： 使用 OS 提供的口令認證 建議： 通過 CA認證技術(shù)加強控制 病毒防范 現(xiàn)狀： 使用桌面防病毒系統(tǒng) 建議： 通過具備集中管理能力的網(wǎng)絡(luò)防病毒系統(tǒng)，加強全網(wǎng)病毒防殺能力。 訪問動作監(jiān)控（本地、網(wǎng)絡(luò)） 現(xiàn)狀： 使用 OS 提供日志記錄 建議： 通過安全管理審計系統(tǒng)加強控制 數(shù)據(jù)存儲安全、服務(wù)提供穩(wěn)定 現(xiàn)狀： 使用雙機容錯系統(tǒng)、數(shù)據(jù)備份系統(tǒng)保障數(shù)據(jù)安全。 應(yīng)用管理需求 違規(guī)操作監(jiān)控 誤操作防范 現(xiàn)狀： 暫無技術(shù)手段 建議： 通過安全管理審計系統(tǒng)加強控制 網(wǎng)管需求 配置管理與調(diào)度管理 現(xiàn)狀： 使用 CiscoWork 20xx 實現(xiàn)網(wǎng)絡(luò)設(shè)備的配置管理 ，在服務(wù)器配置管理與全網(wǎng)流量調(diào)度方面，暫無技術(shù)手段。 建議： 通過安全管理審計系統(tǒng)與網(wǎng)絡(luò)管理系統(tǒng)配合加強管理。 內(nèi)部服務(wù)區(qū) 安全風(fēng)險需求 操作系統(tǒng) 弱點 、漏洞 現(xiàn)狀： 使用 OS 廠商補丁 建議： 通過安全評估技術(shù)加固操作系統(tǒng) 網(wǎng)絡(luò)攻擊防范 現(xiàn)狀： 暫無技術(shù)手段 建議： 通過入侵檢測技術(shù)監(jiān)控網(wǎng)絡(luò)攻擊 病毒防范 現(xiàn)狀： 使用桌面防病毒系統(tǒng) 建議： 通過具備集中管理能力的網(wǎng)絡(luò)防病毒系統(tǒng)，加強全網(wǎng)病毒防殺能力。 北京安盟信息技術(shù)有限公司 —— 解決方案 11 訪問動作監(jiān)控（本地、網(wǎng)絡(luò)） 現(xiàn)狀： 使用 OS 提供日志記錄 建議： 通過安全管理審計系統(tǒng)加強控制 應(yīng)用管 理需求 通用網(wǎng)絡(luò)應(yīng)用監(jiān)控 現(xiàn)狀： 暫無技術(shù)手段 建議： 通過安全管理審計系統(tǒng)加強控制 網(wǎng)管需求 配置管理與調(diào)度管理 現(xiàn)狀： 使，暫無技術(shù)手段。 建議： 通過安全管理審計系統(tǒng)與網(wǎng)絡(luò)管理系統(tǒng)配合加強管理。 內(nèi)部辦公區(qū) 病毒防范 現(xiàn)狀： 使用桌面防病毒系統(tǒng) 建議： 通過具備集中管理能力的網(wǎng)絡(luò)防病毒系統(tǒng)，加強全網(wǎng)病毒防殺能力。 （ 2）需要進一步分析的內(nèi)容 ? 評定資產(chǎn)價值 ? 根據(jù)不同的關(guān)鍵程度等級劃分?jǐn)?shù)據(jù)級別 ? 有形資產(chǎn) /無形資產(chǎn) ? 明確對資產(chǎn)的潛在威脅和資產(chǎn)受此威脅攻擊的可能性 ? 威脅是任何對網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成損害的個人 、對象或事件 ? 脆弱性是網(wǎng)絡(luò)系統(tǒng)存在的可能被威脅利用的缺陷 ? 分析受到威脅后造成的影響 ? 影響是一旦遭到威脅后，對 XX 市工商局 造成直接的損失和潛在的影響。 ? 數(shù)據(jù)破壞 ? 喪失數(shù)據(jù)的完整性 ? 資源不可用 ? 詆毀名譽 ? ? ? 風(fēng)險緩解與安全成本 ? 確定 XX 市工商局 能夠接受多高的風(fēng)險以及資產(chǎn)需要保護到什么程度。 ? 風(fēng)險緩解是選擇適當(dāng)?shù)目刂品绞綄L(fēng)險降低到可以接受水平的過程。 ? 性能成本（可用性、效率） ? 經(jīng)濟成本：實施和管理安全程序的花費必須與潛在利益進行比較 北京安盟信息技術(shù)有限公司 —— 解決方案 12 有三種對策性問題的解決有助于內(nèi)部網(wǎng)或內(nèi)部用戶的安全防范 1） 內(nèi)部互訪 如何控 制網(wǎng)絡(luò)不同部門之間的互相訪問； 2） 管理維護 如何對不斷變更的用戶進行有效的管理； 3） 安全認證 如何加強遠程撥號用戶的安全認證管理 ； 在網(wǎng)絡(luò)規(guī)模較小，只有少數(shù)的訪問服務(wù)器提供遠程訪問時，一般采用訪問服務(wù)器的本地安全數(shù)據(jù)來提供安全認證。隨著網(wǎng)絡(luò)規(guī)模的增長以及對訪問安全要求的提高，一般需要一臺安全服務(wù)器為所有的撥號用戶提供集中的安全數(shù)據(jù)庫，用戶無需在每臺訪問路由器上增加更改撥號用戶安全信息，從而有助于實現(xiàn)統(tǒng)一的訪問控制策 略 。 安全建設(shè) 目標(biāo) XX 市工商局 的網(wǎng)絡(luò)安全管理的建設(shè)目標(biāo)是：在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施 和裝備的基礎(chǔ)上，以保障網(wǎng)絡(luò)安全穩(wěn)定運行為主線，充分利用先進的安全技術(shù)手段，建成和不斷完善“全網(wǎng)網(wǎng)絡(luò)安全管理體系”。充分利用傳統(tǒng)網(wǎng)管技術(shù)與安全技術(shù)優(yōu)勢，構(gòu)建技術(shù)能力與整體策略相呼應(yīng)的動態(tài)安全管理體系，并經(jīng)由規(guī)劃 ?應(yīng)用?審計 ?規(guī)劃的科學(xué)工程實現(xiàn)過程，滿足網(wǎng)絡(luò)安全管理的準(zhǔn)確性、時效性和可分析性的需求。同時，以網(wǎng)絡(luò)實時監(jiān)控、科學(xué)審計為依托構(gòu)建多層次立體綜合安全框架，形成以保障 市政府 核心業(yè)務(wù)安全為重點，各系統(tǒng)穩(wěn)定運行為基礎(chǔ)的網(wǎng)絡(luò)安全管理體系。 網(wǎng)絡(luò)安全管理的需求是變化的。管理、信息系統(tǒng)、安全體系和事務(wù)處理應(yīng)當(dāng)互相促進 、平衡發(fā)展。因此在本項目建設(shè)初期，我們考慮到用戶網(wǎng)絡(luò)環(huán)境的實際應(yīng)用狀況，充分顧及與現(xiàn)有應(yīng)用的共通性，兼顧網(wǎng)絡(luò)的整體發(fā)展和以后工程的銜接，力爭做好網(wǎng)管核心的建設(shè)。 建設(shè)原則 為達成全網(wǎng)信息化建設(shè)的規(guī)劃目標(biāo)，在規(guī)劃設(shè)計中除遵循保障的業(yè)務(wù)運行效率，以及具有良好的可擴展性能這兩個基本原則外，還遵循以下原則： 1）實用性原則 充分考慮已有資源（軟硬件及網(wǎng)絡(luò)設(shè)備）的合理利用，做好新舊系統(tǒng)平穩(wěn)過渡，避免出現(xiàn)不必要的浪費； 2）先進性原則 北京安盟信息技術(shù)有限公司 —— 解決方案 13 使網(wǎng)絡(luò)安全系統(tǒng)在技術(shù)上達到同行業(yè)國內(nèi)領(lǐng)先水平和二十一世紀(jì)國際先進水平，是本系 統(tǒng)追求的總體目標(biāo)。采用先進的網(wǎng)絡(luò)工程學(xué)原理，確保實用有效，并提供完整的技術(shù)文檔資料； 3）需求、風(fēng)險、代價平衡的原則 進行實際研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定安全策略； 4）綜合性、整體性原則 一個較好的安全管理措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等，這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只能從系統(tǒng)綜合的角度去看待、分析，才能獲得有效、可行的措施。即遵循整體安全性 原則，根據(jù)規(guī)定的策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)； 5）易用性原則 技術(shù)人員可以簡便的安裝、運行安全技術(shù)。主要產(chǎn)品應(yīng)具備簡單、方便、友好的全中文用戶界面，使用戶易于理解、易學(xué)、易操作； 6）動態(tài)實施管理原則 隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用與安全性也會不斷變化，一勞永逸地解決網(wǎng)絡(luò)應(yīng)用與安全問題是不現(xiàn)實的。也就是說要根據(jù)網(wǎng)絡(luò)的變化不斷調(diào)整應(yīng)對措施，結(jié)合我們提供的網(wǎng)絡(luò)服務(wù)與安全技術(shù)服務(wù)，適應(yīng)新的網(wǎng)絡(luò)環(huán)境及安全需求。 5 解決方案 在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施和裝備的基礎(chǔ)上，以不影響網(wǎng)絡(luò)實時性要求為前提，充分利用 先進的安全技術(shù)手段，以網(wǎng)絡(luò)實時監(jiān)控、科學(xué)審計、應(yīng)用認證為依托構(gòu)建多層次立體綜合安全框架，形成以保障 XX 市工商局 的核心業(yè)務(wù)安全為重點，各級部門日常業(yè)務(wù)工作為基礎(chǔ)的網(wǎng)絡(luò)安全管理體系。從系統(tǒng)工程角度看總體目標(biāo)是建設(shè) XX市工商局 網(wǎng)絡(luò)安全管理體系，形成 全系統(tǒng) 網(wǎng)路統(tǒng)一的安全管理策略。 北京安盟信息技術(shù)有限公司 —— 解決方案 14 長遠網(wǎng)絡(luò)安全體系建設(shè)包含以下要點： （ 1）廣域網(wǎng)安全技術(shù)集成 VPN 技術(shù)、安全路由技術(shù)、認證技術(shù) （ 2）局域網(wǎng)安全技術(shù)集成 訪問控制、入侵檢測、隔離網(wǎng)閘、評估等 （ 3）綜合審計技術(shù) 以上所有安全技術(shù)與網(wǎng)管技術(shù)、應(yīng)用系統(tǒng)之間的協(xié)調(diào)管理。 整體框架示意如下： 安全管理體系框架標(biāo)準(zhǔn)化發(fā)展目標(biāo)持續(xù)性接口網(wǎng)管安全應(yīng)用制度、規(guī)范 已經(jīng)或?qū)⒁捎玫陌踩夹g(shù)與內(nèi)部網(wǎng)絡(luò)安全技術(shù)使用統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，確保可以各種技術(shù)應(yīng)用可納入統(tǒng)一管理平臺，以便在整體安全策略指導(dǎo)下，最大限度的發(fā)揮安全技術(shù)的防御能力。 針對 OSI 七層協(xié)議考慮安全建設(shè)技術(shù)規(guī)范： 物理層的安全防護：在物理層上主要通過制定物理層面的管理規(guī)范和措施以及采用 物理隔離網(wǎng)閘 來提供 統(tǒng)一的 安全解決方案。 鏈路層安全保護：主要是鏈路加密設(shè)備對數(shù)據(jù)加密保護。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點后解密。 網(wǎng)絡(luò)層和安全防護：網(wǎng)絡(luò)層的安全防護是面向 IP包的。網(wǎng)絡(luò)層主要采用防火墻作為安全防護手段，實現(xiàn)初級的安全防護。在網(wǎng)絡(luò)層也可以根據(jù)一些安全協(xié)議實施加密保護。在網(wǎng)絡(luò)層也可實施相應(yīng)的入侵檢測。 傳輸層的安全防護：傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用。傳輸層也支持多種安全服務(wù)： 1)對等實體認證服務(wù)； 2)訪問控制服務(wù)；3)數(shù)據(jù)保密服務(wù)； 4)數(shù)據(jù)完整性服務(wù)； 5)數(shù)據(jù)源點認證服務(wù)。 應(yīng)用層的安全防護：原則上講所有安全服務(wù)均可在應(yīng)用層提供。在應(yīng)用層北京安盟信息技術(shù)有限公司 —— 解決方案 15 可以實施強大的基于用戶的身份認證。在應(yīng)用層也是實施數(shù)據(jù)加密，訪問控制的理想位置。在應(yīng)用層還可加強數(shù)據(jù)的備 份和恢復(fù)措施。應(yīng)用層可以是對資源的有效性進行控制，資源包括各種數(shù)據(jù)和服務(wù)。應(yīng)用層的安全防護是面向用戶和應(yīng)用程序的，因此可以實施細粒度的安全控制。 安全體系的建設(shè)是循序漸進的過程，基礎(chǔ)安全管理平臺建設(shè)一般通過以下5個方面集成安全技術(shù)。 （ 1）加固服務(wù)器的抗攻擊能力 作為業(yè)務(wù)核心的服務(wù)器，因其在系統(tǒng)中所處的重要地位而最易受到黑客的攻擊，故應(yīng)對其采取以下安全防護機制 : ? 操作系統(tǒng)安全評估 ? 系統(tǒng)訪問控制 ? 主機入侵檢測 ? 主機防病毒 ? 系統(tǒng)完整性檢查 以實現(xiàn)防御核心安全機制的全面強化，大幅提升其自身的可靠性和安全級別。 （ 2）提高網(wǎng)絡(luò)通信樞紐對網(wǎng)絡(luò)的安全控制能力 對于其它網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)通信樞紐采用以下安全機制以提高網(wǎng)絡(luò)體系整體的安全防御能力 : ? 網(wǎng)絡(luò)設(shè)備安全評估 ? 網(wǎng)絡(luò)訪問控制 ? 網(wǎng)絡(luò)防病毒 （ 3）對網(wǎng)絡(luò)行為的分析監(jiān)控 作為安全防御體系核心的網(wǎng)絡(luò)入侵檢測系統(tǒng) 和上網(wǎng)行為管理系統(tǒng) ，承擔(dān)著全面監(jiān)控網(wǎng)絡(luò)安全狀況的重要職責(zé)。其主要任務(wù)描述如下 : ? 檢測惡意行為 通過時實監(jiān)控 、 解析網(wǎng)絡(luò)數(shù)據(jù)流，及時發(fā)現(xiàn)針對服務(wù)器及其它網(wǎng)絡(luò)終端設(shè)備的惡意行為，并做出反應(yīng)。 ? 早期攻擊預(yù)警 收集 并 解析位于公網(wǎng)出口處探測器發(fā)來的信息，監(jiān)控外部用戶對內(nèi)網(wǎng)終端 的訪問，并可對外部攻擊行為作出早期預(yù)警，以提高防御系統(tǒng)的反應(yīng)時效。 ? 監(jiān)控違規(guī)操作 監(jiān)控局域網(wǎng)內(nèi)部數(shù)據(jù)信息，對違規(guī)操作等行為進行報警和控制。 一是 對互聯(lián)網(wǎng)訪問行為進行記錄和控制，封堵或減少內(nèi)網(wǎng)用戶使用 P2P,在線看電影，大流量下載等行為，對帶寬進行合理有效分配； IPS,防 arp 攻擊等的安全防御，對內(nèi)網(wǎng)單機的安全措施做有效管理。二是檢查客戶端是否安裝了符合規(guī)定的操作系統(tǒng)、殺毒軟件、防火墻程序等，不符合規(guī)定的不允許訪問外網(wǎng)，以防帶入不安全因素北京安盟信息技術(shù)有限公司 —— 解決方案 16 到內(nèi)網(wǎng)。三是驗證釣魚網(wǎng)站證書，防止用戶名密碼被盜。四是集成企業(yè)級狀態(tài) 檢測防火墻，可選 IPS，網(wǎng)關(guān)殺毒 的 整網(wǎng)防護措施。全面保護內(nèi)網(wǎng)。五是可以記錄下所有的網(wǎng)絡(luò)行為訪問記錄，比如外發(fā)消息，監(jiān)控用戶網(wǎng)訪問過的網(wǎng)址和試圖訪問的網(wǎng)址等，在內(nèi)部人員上網(wǎng)前進行認證，明確責(zé)任。 網(wǎng)絡(luò)安全管理目標(biāo)體系是一個經(jīng)由規(guī)劃 ?應(yīng)用 ?審計 ?規(guī)劃的動態(tài)實現(xiàn)過程，上述的所有安全策略和方法只是完成了初期安全規(guī)劃。然后應(yīng)定期對安全體系中所有功能模塊或系統(tǒng)提供的系統(tǒng)日志和安全日志進行審計 、 分析 、 總結(jié)。 形成更為完善的安全策略和規(guī)劃，以指導(dǎo)安全系統(tǒng)的運行。整個安全體系將依照上述過程不斷循環(huán)往復(fù)，進而不斷完善成熟。 從 事件發(fā)展的時間周期上看，安全體系分為三部分配合運做，以達到最終的協(xié)調(diào)統(tǒng)一。 ? 事前預(yù)防：安全評估的系統(tǒng)漏洞修補和入侵檢測對攻擊前探測的早期預(yù)警，構(gòu)成了事前防御部分； ? 事中保護：入侵檢測系統(tǒng)對網(wǎng)絡(luò)體系中信息流全方位的監(jiān)測控制形成了事中保護安全機制。與訪問控制、網(wǎng)絡(luò)防病毒、系統(tǒng)完整性檢查協(xié)同形成安全屏障； ? 事后審計：安全事件發(fā)生后無論產(chǎn)生何種后果，都須對網(wǎng)絡(luò)系統(tǒng)進行全面的完整性檢查與系統(tǒng)日志和安全日志的審計