【文章內(nèi)容簡介】 由于全網(wǎng)存在眾多網(wǎng)絡(luò)和主機(jī)設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套日志分析系統(tǒng)用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。建議采用三級結(jié)構(gòu)的日志分析系統(tǒng)，第一級為需要記錄日志的主機(jī)或設(shè)備，該主機(jī)配置syslog日志指向日志服務(wù)器；第二級為日志服務(wù)器，負(fù)責(zé)日志接受，同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計(jì)分析；第三級為日志服務(wù)器的console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報(bào)警和監(jiān)視日志系統(tǒng)分析統(tǒng)計(jì)結(jié)果。對于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素：l 集中收集和監(jiān)控系統(tǒng)日志。l 日志收集和分析Agent與Console運(yùn)行在不同平臺(tái)，兩者的分離使日志分析系統(tǒng)更具有層次性結(jié)構(gòu)的特點(diǎn)，便于未來升級和集中管理。l 每秒接受日志的速度。l 日志服務(wù)器應(yīng)支持常用數(shù)據(jù)庫，可將日志信息存儲(chǔ)在數(shù)據(jù)庫中。l 持多種設(shè)備類型及數(shù)量，是否支持標(biāo)準(zhǔn)syslog協(xié)議。l 是否提供二次開發(fā)接口。 集中認(rèn)證及一次性口令系統(tǒng)廣電總局由于主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備繁多，在以往的管理模式下，用戶認(rèn)證和授權(quán)都存在較大的安全隱患，主要表現(xiàn)在主機(jī)和網(wǎng)絡(luò)設(shè)備的口令認(rèn)證，以及網(wǎng)絡(luò)設(shè)備的用戶權(quán)限控制上。為了保證全網(wǎng)管理中用戶身份驗(yàn)證的可靠性，我們建議在網(wǎng)管中心部署一套集中認(rèn)證及一次性口令系統(tǒng)，全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備和主要業(yè)務(wù)系統(tǒng)的用戶驗(yàn)證都集中在該服務(wù)器商，便于對于這些設(shè)備的集中管理。用戶身份認(rèn)證是一個(gè)完善的安全策略方案中必不可少的模塊，特別是在存在著通過遠(yuǎn)程訪問方式訪問系統(tǒng)資源的情況下。對用戶進(jìn)行身份認(rèn)證可以了解誰試圖訪問特定資源，這對于保護(hù)資源是必需的。除了認(rèn)證用戶身份以外，用戶驗(yàn)證還可以定義了每個(gè)用戶能夠訪問的資源，這就為多種資源并存的環(huán)境提供了增強(qiáng)的控制和更好的安全性。目前，常用的驗(yàn)證方法包括Challenge and Response，digital certificates，tokens，RADIUS和S/Key。一次性口令密碼保護(hù)解決方案是利用雙重密碼： 靜態(tài)及動(dòng)態(tài)密碼 ， 靜態(tài)密碼:用戶自己默記的個(gè)人口令， 動(dòng)態(tài)密碼:由擁有一個(gè)令牌，每六十秒變換出一個(gè)獨(dú)一無二、不能預(yù)測的密碼。由于動(dòng)態(tài)口令每分鐘更改一次，即使靜態(tài)密碼被猜中，而動(dòng)態(tài)密碼被猜出的機(jī)會(huì)趨于0。這樣在很大程度上避免了由于用戶主觀上的失誤而造成的安全漏洞。目前，常見的這類系統(tǒng)的基礎(chǔ)是“token”標(biāo)記，它是一個(gè)數(shù)字編碼，與用戶永久性ID號(hào)一起生成一個(gè)唯一的、不會(huì)被發(fā)覺的口令，而且僅能使用一次?！皹?biāo)記”的產(chǎn)生有兩種方式，它可以由一個(gè)硬設(shè)備——像信用卡般大小的電子計(jì)算器，每60秒鐘生成并顯示一個(gè)新的未知的隨機(jī)代碼，也可以由基于工作站的軟件公用程序而產(chǎn)生。當(dāng)“標(biāo)記”擁有者登錄到網(wǎng)絡(luò)時(shí)，當(dāng)前代碼已被鍵入到該擁有者的PIN中，服務(wù)器和標(biāo)志發(fā)生器在時(shí)間上是同步的，因此編碼的改變可共享。另外，這種代碼比起常規(guī)口令模式的優(yōu)點(diǎn)在于它不可能被盜用，因?yàn)樗偸窃诟淖兛诹?。我們建議選用了一套1～25用戶的一次性動(dòng)態(tài)口令集中認(rèn)證系統(tǒng)，負(fù)責(zé)重要設(shè)備和系統(tǒng)的口令認(rèn)證。本次安全項(xiàng)目建議購買7個(gè)令牌卡，具體部署如下：n 認(rèn)證中心放置在網(wǎng)管中心；n 2塊令牌用于關(guān)鍵網(wǎng)絡(luò)設(shè)備的用戶驗(yàn)證，1塊作為備份；n 3塊令牌用于重要服務(wù)器用戶驗(yàn)證，1塊作為備份；我們建議利舊廣電總局目前已有的Sun E250服務(wù)器負(fù)責(zé)RSA系統(tǒng)運(yùn)行。 防病毒體系對于廣電總局來說數(shù)據(jù)的安全是最重要的，而病毒是對數(shù)據(jù)造成嚴(yán)重威脅的主要因素之一。然而保護(hù)網(wǎng)絡(luò)免受愈演愈烈的計(jì)算機(jī)病毒威脅已不是一件簡單的事情。目前已知的計(jì)算機(jī)病毒超過20，000種，并且每月發(fā)現(xiàn)的新病毒超過300種，即每天都有10余種新病毒出現(xiàn)。很多事實(shí)表明，病毒比其他安全威脅造成的經(jīng)濟(jì)損失都大的多。從CIH到Code Red，以及最近的Nimda計(jì)算機(jī)病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負(fù)荷量過重等問題，凸顯出網(wǎng)絡(luò)安全防病毒機(jī)制的迫切需求。傳統(tǒng)的防病毒策略往往只注重桌面平臺(tái)的病毒防范，就像目前廣電總局內(nèi)部曾經(jīng)購買的瑞星防病毒單機(jī)版。這樣雖然可以保證桌面平臺(tái)避免病毒的威脅，但沒有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播，無法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過載等這類嚴(yán)重威脅網(wǎng)絡(luò)正常服務(wù)的問題。隨著分布式網(wǎng)絡(luò)計(jì)算、文檔駐留宏、群件等新技術(shù)的出現(xiàn)以及網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)早已經(jīng)成為病毒的主要傳播途徑。網(wǎng)絡(luò)的脆弱性成倍增加，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)已不再是簡單的在客戶機(jī)上安裝桌面病毒掃描程序就可以解決的問題了。面對當(dāng)前的網(wǎng)絡(luò)安全形勢，我們迫切需要一套單一、集中、全面的防病毒解決方案。在防病毒產(chǎn)品的選型上，我們認(rèn)為一個(gè)成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點(diǎn)：l 先進(jìn)的體系結(jié)構(gòu)設(shè)計(jì)l 先進(jìn)的防殺病毒技術(shù)l 能夠在線實(shí)時(shí)查殺病毒l 準(zhǔn)確無誤的報(bào)警功能l 及時(shí)、方便地更新病毒定義代碼l 快速、有效地處理未知病毒l 多平臺(tái)的支持l 功能強(qiáng)大的控制臺(tái)，便于管理與維護(hù)而針對網(wǎng)絡(luò)這個(gè)層次而設(shè)計(jì)的防病毒產(chǎn)品，我們認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)病毒監(jiān)控、支持病毒有效地隔離。針對目前世界上主流的病毒產(chǎn)品和國內(nèi)知名的病毒產(chǎn)品，包括McAfee VirusScan、Norton AntiVirus、Kill系列、VRV、TrendMicro InterScan等產(chǎn)品，應(yīng)從綜合評估，包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源的占用、掃描病毒的方式、處置病毒的方式、日志的管理、病毒庫的及時(shí)更新以及各公司的技術(shù)實(shí)力和對廣電總局內(nèi)網(wǎng)的實(shí)用性等方面考慮。建立全方位、多層次的、整體的網(wǎng)絡(luò)防病毒解決方案。 鑒于廣電總局內(nèi)網(wǎng)對物理隔離的嚴(yán)格要求，我們建議防病毒系統(tǒng)的病毒庫及掃描引擎升級工組有系統(tǒng)管理員通過手工下載并存儲(chǔ)在軟盤上進(jìn)行手動(dòng)安裝升級（只需對病毒集中控制端進(jìn)行手工操作，其他用戶主機(jī)將由病毒集中控制中心自動(dòng)分發(fā)并安裝） 業(yè)務(wù)系統(tǒng)安全 OA業(yè)務(wù)的安全廣電總局的OA業(yè)務(wù)運(yùn)行在兩臺(tái)SUN E3500平臺(tái)上，OA業(yè)務(wù)的核心進(jìn)程主要有WEB服務(wù)與數(shù)據(jù)庫服務(wù)。目前，所有用戶通過瀏覽器訪問OA業(yè)務(wù)主機(jī)，輸入個(gè)人用戶名及密碼后登錄該系統(tǒng)處理日常OA業(yè)務(wù)，服務(wù)器采用標(biāo)準(zhǔn)80端口提供服務(wù)，所以用戶帳號(hào)及密碼都是以明碼方式在網(wǎng)絡(luò)上傳播，任何人竊聽或截獲用戶密碼及帳號(hào)，都可以偽裝成該用戶進(jìn)行相關(guān)破壞活動(dòng)。針對廣電總局的OA業(yè)務(wù)系統(tǒng)，應(yīng)通過相應(yīng)的安全增強(qiáng)手段加強(qiáng)OA業(yè)務(wù)的安全性，具體參考如下：1. 采用SSL加密訪問機(jī)制提供OA業(yè)務(wù)服務(wù)。確保用戶在進(jìn)入自己OA系統(tǒng)時(shí)的帳號(hào)、密碼以及隨后的通訊數(shù)據(jù)的安全性。2. 采用CA認(rèn)證機(jī)制，建立維護(hù)廣電總局OA用戶的證書管理中心。采用SSL及CA認(rèn)證系統(tǒng)需要滿足以下安全需求：1. 身份認(rèn)證每個(gè)使用者必須擁有唯一的可靠的身份認(rèn)證標(biāo)識(shí)，安全系統(tǒng)能夠?qū)γ總€(gè)訪問者的身份進(jìn)行有效識(shí)別，使用者也要對安全系統(tǒng)進(jìn)行認(rèn)證，也就是使用者——系統(tǒng)之間的雙向身份認(rèn)證。2. 訪問控制對不同的信息資源和用戶設(shè)定不同的權(quán)限，系統(tǒng)根據(jù)每個(gè)訪問者的身份確定他的訪問權(quán)限，保證只允許授權(quán)的用戶訪問授權(quán)的資源。對于OA資源中的目錄和文件進(jìn)行細(xì)粒度的權(quán)限劃分，確保每個(gè)使用者只能訪問授權(quán)的OA資源。3. 數(shù)據(jù)保密信息的傳輸過程加密，保證通信內(nèi)容不被他人捕獲，不會(huì)泄露敏感信息。4. 數(shù)據(jù)完整性對關(guān)鍵的數(shù)據(jù)信息，防止信息被非法入侵者篡改。5. 防止否認(rèn)防止信息發(fā)出者對自己發(fā)出的信息進(jìn)行抵賴，提供數(shù)字化的操作信息憑證。身份認(rèn)證身份認(rèn)證采用基于證書的公鑰密碼體制來實(shí)現(xiàn)。l 公鑰密碼算法公鑰密碼算法使用兩個(gè)不同的密鑰，即解密密鑰Kd（私有密鑰）和加密密鑰Ke（公開密鑰），信息加密時(shí)使用Ke，密文解密時(shí)使用Kd。Kd和Ke是緊密相關(guān)，一一對應(yīng)的。一般統(tǒng)稱私鑰Kd和公鑰Ke為“公私密鑰對”。公私密鑰對由特殊的密碼學(xué)算法產(chǎn)生，密碼學(xué)的理論可以保證，在人類現(xiàn)有的計(jì)算水平下，由公鑰Ke推算出私鑰Kd是幾乎不可能的。使用者在使用時(shí)，將自己的私鑰Kd保存起來，而將自己的公鑰Ke對外公開。l 證書（Certificate）和證書中心CA（Certificate Authority）要實(shí)現(xiàn)基于公鑰密碼算法的身份認(rèn)證求，就必須建立一種信任及信任驗(yàn)證機(jī)制，即每個(gè)網(wǎng)絡(luò)上的實(shí)體必須有一個(gè)可以被驗(yàn)證的數(shù)字標(biāo)識(shí)，這就是“數(shù)字證書（Certificate）”。數(shù)字證書是各實(shí)體在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明，具有唯一性。證書基于公鑰密碼體制，它將用戶的公開密鑰（Ke）同用戶本身的屬性（例如姓名，單位等）聯(lián)系在一起。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專門負(fù)責(zé)對各個(gè)實(shí)體的身份進(jìn)行審核，并簽發(fā)和管理數(shù)字證書，這個(gè)機(jī)構(gòu)就是證書中心CA。CA用自己的私鑰對所有的用戶屬性、證書屬性和用戶的公鑰進(jìn)行數(shù)字簽名，產(chǎn)生用戶的數(shù)字證書。在基于證書的安全通信中，證書是證明用戶合法身份和提供用戶合法公鑰的憑證，是建立保密通信的基礎(chǔ)。因此，作為網(wǎng)絡(luò)可信機(jī)構(gòu)的證書管理設(shè)施，CA的主要職能就是管理和維護(hù)它所簽發(fā)的證書，提供各種證書服務(wù)，包括：證書的簽發(fā)、更新、回收、歸檔等等。目前，國際電力聯(lián)盟ITU發(fā)布了數(shù)字證書的國際標(biāo)準(zhǔn)——，：l 認(rèn)證協(xié)議——安全套接層協(xié)議SSL（Secure Socket Layer）安全套接層SSL協(xié)議目前Internet上使用最廣泛的安全協(xié)議，兩大主流瀏覽器——Netscape Navigator和Microsoft 。該協(xié)議向TCP/IP的客戶/服務(wù)器模式提供了客戶端和服務(wù)器的身份認(rèn)證、會(huì)話密鑰