【文章內(nèi)容簡介】 由于全網(wǎng)存在眾多網(wǎng)絡(luò)和主機設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套日志分析系統(tǒng)用于網(wǎng)絡(luò)設(shè)備和主機系統(tǒng)的日志管理。建議采用三級結(jié)構(gòu)的日志分析系統(tǒng)，第一級為需要記錄日志的主機或設(shè)備，該主機配置syslog日志指向日志服務(wù)器；第二級為日志服務(wù)器，負責(zé)日志接受，同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計分析；第三級為日志服務(wù)器的console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報警和監(jiān)視日志系統(tǒng)分析統(tǒng)計結(jié)果。對于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素：l 集中收集和監(jiān)控系統(tǒng)日志。l 日志收集和分析Agent與Console運行在不同平臺，兩者的分離使日志分析系統(tǒng)更具有層次性結(jié)構(gòu)的特點，便于未來升級和集中管理。l 每秒接受日志的速度。l 日志服務(wù)器應(yīng)支持常用數(shù)據(jù)庫，可將日志信息存儲在數(shù)據(jù)庫中。l 持多種設(shè)備類型及數(shù)量，是否支持標準syslog協(xié)議。l 是否提供二次開發(fā)接口。 集中認證及一次性口令系統(tǒng)廣電總局由于主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備繁多，在以往的管理模式下，用戶認證和授權(quán)都存在較大的安全隱患，主要表現(xiàn)在主機和網(wǎng)絡(luò)設(shè)備的口令認證，以及網(wǎng)絡(luò)設(shè)備的用戶權(quán)限控制上。為了保證全網(wǎng)管理中用戶身份驗證的可靠性，我們建議在網(wǎng)管中心部署一套集中認證及一次性口令系統(tǒng)，全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備和主要業(yè)務(wù)系統(tǒng)的用戶驗證都集中在該服務(wù)器商，便于對于這些設(shè)備的集中管理。用戶身份認證是一個完善的安全策略方案中必不可少的模塊，特別是在存在著通過遠程訪問方式訪問系統(tǒng)資源的情況下。對用戶進行身份認證可以了解誰試圖訪問特定資源，這對于保護資源是必需的。除了認證用戶身份以外，用戶驗證還可以定義了每個用戶能夠訪問的資源，這就為多種資源并存的環(huán)境提供了增強的控制和更好的安全性。目前，常用的驗證方法包括Challenge and Response，digital certificates，tokens，RADIUS和S/Key。一次性口令密碼保護解決方案是利用雙重密碼： 靜態(tài)及動態(tài)密碼 ， 靜態(tài)密碼:用戶自己默記的個人口令， 動態(tài)密碼:由擁有一個令牌，每六十秒變換出一個獨一無二、不能預(yù)測的密碼。由于動態(tài)口令每分鐘更改一次，即使靜態(tài)密碼被猜中，而動態(tài)密碼被猜出的機會趨于0。這樣在很大程度上避免了由于用戶主觀上的失誤而造成的安全漏洞。目前，常見的這類系統(tǒng)的基礎(chǔ)是“token”標記，它是一個數(shù)字編碼，與用戶永久性ID號一起生成一個唯一的、不會被發(fā)覺的口令，而且僅能使用一次?！皹擞洝钡漠a(chǎn)生有兩種方式，它可以由一個硬設(shè)備——像信用卡般大小的電子計算器，每60秒鐘生成并顯示一個新的未知的隨機代碼，也可以由基于工作站的軟件公用程序而產(chǎn)生。當“標記”擁有者登錄到網(wǎng)絡(luò)時，當前代碼已被鍵入到該擁有者的PIN中，服務(wù)器和標志發(fā)生器在時間上是同步的，因此編碼的改變可共享。另外，這種代碼比起常規(guī)口令模式的優(yōu)點在于它不可能被盜用，因為它總是在改變口令。我們建議選用了一套1～25用戶的一次性動態(tài)口令集中認證系統(tǒng)，負責(zé)重要設(shè)備和系統(tǒng)的口令認證。本次安全項目建議購買7個令牌卡，具體部署如下：n 認證中心放置在網(wǎng)管中心；n 2塊令牌用于關(guān)鍵網(wǎng)絡(luò)設(shè)備的用戶驗證，1塊作為備份；n 3塊令牌用于重要服務(wù)器用戶驗證，1塊作為備份；我們建議利舊廣電總局目前已有的Sun E250服務(wù)器負責(zé)RSA系統(tǒng)運行。 防病毒體系對于廣電總局來說數(shù)據(jù)的安全是最重要的，而病毒是對數(shù)據(jù)造成嚴重威脅的主要因素之一。然而保護網(wǎng)絡(luò)免受愈演愈烈的計算機病毒威脅已不是一件簡單的事情。目前已知的計算機病毒超過20，000種，并且每月發(fā)現(xiàn)的新病毒超過300種，即每天都有10余種新病毒出現(xiàn)。很多事實表明，病毒比其他安全威脅造成的經(jīng)濟損失都大的多。從CIH到Code Red，以及最近的Nimda計算機病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負荷量過重等問題，凸顯出網(wǎng)絡(luò)安全防病毒機制的迫切需求。傳統(tǒng)的防病毒策略往往只注重桌面平臺的病毒防范，就像目前廣電總局內(nèi)部曾經(jīng)購買的瑞星防病毒單機版。這樣雖然可以保證桌面平臺避免病毒的威脅，但沒有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播，無法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過載等這類嚴重威脅網(wǎng)絡(luò)正常服務(wù)的問題。隨著分布式網(wǎng)絡(luò)計算、文檔駐留宏、群件等新技術(shù)的出現(xiàn)以及網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)早已經(jīng)成為病毒的主要傳播途徑。網(wǎng)絡(luò)的脆弱性成倍增加，保護計算機網(wǎng)絡(luò)已不再是簡單的在客戶機上安裝桌面病毒掃描程序就可以解決的問題了。面對當前的網(wǎng)絡(luò)安全形勢，我們迫切需要一套單一、集中、全面的防病毒解決方案。在防病毒產(chǎn)品的選型上，我們認為一個成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點：l 先進的體系結(jié)構(gòu)設(shè)計l 先進的防殺病毒技術(shù)l 能夠在線實時查殺病毒l 準確無誤的報警功能l 及時、方便地更新病毒定義代碼l 快速、有效地處理未知病毒l 多平臺的支持l 功能強大的控制臺，便于管理與維護而針對網(wǎng)絡(luò)這個層次而設(shè)計的防病毒產(chǎn)品，我們認為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進行實時病毒監(jiān)控、支持病毒有效地隔離。針對目前世界上主流的病毒產(chǎn)品和國內(nèi)知名的病毒產(chǎn)品，包括McAfee VirusScan、Norton AntiVirus、Kill系列、VRV、TrendMicro InterScan等產(chǎn)品，應(yīng)從綜合評估，包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源的占用、掃描病毒的方式、處置病毒的方式、日志的管理、病毒庫的及時更新以及各公司的技術(shù)實力和對廣電總局內(nèi)網(wǎng)的實用性等方面考慮。建立全方位、多層次的、整體的網(wǎng)絡(luò)防病毒解決方案。 鑒于廣電總局內(nèi)網(wǎng)對物理隔離的嚴格要求，我們建議防病毒系統(tǒng)的病毒庫及掃描引擎升級工組有系統(tǒng)管理員通過手工下載并存儲在軟盤上進行手動安裝升級（只需對病毒集中控制端進行手工操作，其他用戶主機將由病毒集中控制中心自動分發(fā)并安裝） 業(yè)務(wù)系統(tǒng)安全 OA業(yè)務(wù)的安全廣電總局的OA業(yè)務(wù)運行在兩臺SUN E3500平臺上，OA業(yè)務(wù)的核心進程主要有WEB服務(wù)與數(shù)據(jù)庫服務(wù)。目前，所有用戶通過瀏覽器訪問OA業(yè)務(wù)主機，輸入個人用戶名及密碼后登錄該系統(tǒng)處理日常OA業(yè)務(wù)，服務(wù)器采用標準80端口提供服務(wù)，所以用戶帳號及密碼都是以明碼方式在網(wǎng)絡(luò)上傳播，任何人竊聽或截獲用戶密碼及帳號，都可以偽裝成該用戶進行相關(guān)破壞活動。針對廣電總局的OA業(yè)務(wù)系統(tǒng)，應(yīng)通過相應(yīng)的安全增強手段加強OA業(yè)務(wù)的安全性，具體參考如下：1. 采用SSL加密訪問機制提供OA業(yè)務(wù)服務(wù)。確保用戶在進入自己OA系統(tǒng)時的帳號、密碼以及隨后的通訊數(shù)據(jù)的安全性。2. 采用CA認證機制，建立維護廣電總局OA用戶的證書管理中心。采用SSL及CA認證系統(tǒng)需要滿足以下安全需求：1. 身份認證每個使用者必須擁有唯一的可靠的身份認證標識，安全系統(tǒng)能夠?qū)γ總€訪問者的身份進行有效識別，使用者也要對安全系統(tǒng)進行認證，也就是使用者——系統(tǒng)之間的雙向身份認證。2. 訪問控制對不同的信息資源和用戶設(shè)定不同的權(quán)限，系統(tǒng)根據(jù)每個訪問者的身份確定他的訪問權(quán)限，保證只允許授權(quán)的用戶訪問授權(quán)的資源。對于OA資源中的目錄和文件進行細粒度的權(quán)限劃分，確保每個使用者只能訪問授權(quán)的OA資源。3. 數(shù)據(jù)保密信息的傳輸過程加密，保證通信內(nèi)容不被他人捕獲，不會泄露敏感信息。4. 數(shù)據(jù)完整性對關(guān)鍵的數(shù)據(jù)信息，防止信息被非法入侵者篡改。5. 防止否認防止信息發(fā)出者對自己發(fā)出的信息進行抵賴，提供數(shù)字化的操作信息憑證。身份認證身份認證采用基于證書的公鑰密碼體制來實現(xiàn)。l 公鑰密碼算法公鑰密碼算法使用兩個不同的密鑰，即解密密鑰Kd（私有密鑰）和加密密鑰Ke（公開密鑰），信息加密時使用Ke，密文解密時使用Kd。Kd和Ke是緊密相關(guān)，一一對應(yīng)的。一般統(tǒng)稱私鑰Kd和公鑰Ke為“公私密鑰對”。公私密鑰對由特殊的密碼學(xué)算法產(chǎn)生，密碼學(xué)的理論可以保證，在人類現(xiàn)有的計算水平下，由公鑰Ke推算出私鑰Kd是幾乎不可能的。使用者在使用時，將自己的私鑰Kd保存起來，而將自己的公鑰Ke對外公開。l 證書（Certificate）和證書中心CA（Certificate Authority）要實現(xiàn)基于公鑰密碼算法的身份認證求，就必須建立一種信任及信任驗證機制，即每個網(wǎng)絡(luò)上的實體必須有一個可以被驗證的數(shù)字標識，這就是“數(shù)字證書（Certificate）”。數(shù)字證書是各實體在網(wǎng)上信息交流及商務(wù)交易活動中的身份證明，具有唯一性。證書基于公鑰密碼體制，它將用戶的公開密鑰（Ke）同用戶本身的屬性（例如姓名，單位等）聯(lián)系在一起。這就意味著應(yīng)有一個網(wǎng)上各方都信任的機構(gòu)，專門負責(zé)對各個實體的身份進行審核，并簽發(fā)和管理數(shù)字證書，這個機構(gòu)就是證書中心CA。CA用自己的私鑰對所有的用戶屬性、證書屬性和用戶的公鑰進行數(shù)字簽名，產(chǎn)生用戶的數(shù)字證書。在基于證書的安全通信中，證書是證明用戶合法身份和提供用戶合法公鑰的憑證，是建立保密通信的基礎(chǔ)。因此，作為網(wǎng)絡(luò)可信機構(gòu)的證書管理設(shè)施，CA的主要職能就是管理和維護它所簽發(fā)的證書，提供各種證書服務(wù)，包括：證書的簽發(fā)、更新、回收、歸檔等等。目前，國際電力聯(lián)盟ITU發(fā)布了數(shù)字證書的國際標準——，：l 認證協(xié)議——安全套接層協(xié)議SSL（Secure Socket Layer）安全套接層SSL協(xié)議目前Internet上使用最廣泛的安全協(xié)議，兩大主流瀏覽器——Netscape Navigator和Microsoft 。該協(xié)議向TCP/IP的客戶/服務(wù)器模式提供了客戶端和服務(wù)器的身份認證、會話密鑰