【文章內(nèi)容簡(jiǎn)介】 員可以通過(guò)這個(gè)集中安全數(shù)據(jù)庫(kù)查詢?nèi)W(wǎng)安全狀況，另一方面，在發(fā)生安全事件或緊急響應(yīng)時(shí)提供給我們和客戶迅速了解受害機(jī)情況，找到對(duì)策，減少損失。同時(shí)，掃描審計(jì)軟件應(yīng)提供相關(guān)接口，便于用戶 輸入設(shè)備安全信息，也進(jìn)一步增強(qiáng)該軟件的決策支持能力。 由于目前在安全掃描審計(jì)軟件中，都存在一定的安全威脅，掃描軟件中的部分攻擊模式庫(kù)存在對(duì)網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)資源的潛在危險(xiǎn)性。因此，對(duì)于掃描審計(jì)系統(tǒng)，必須在嚴(yán)格的安全代價(jià)分析和詳細(xì)的掃描模式庫(kù)選擇下進(jìn)行實(shí)施，通常對(duì)于重要的業(yè)務(wù)系統(tǒng)，要根據(jù)系統(tǒng)主機(jī)的負(fù)載情況制定 不同時(shí)間段的 掃描計(jì)劃 ，從而獲得全面的系統(tǒng)安全狀況。 因此， 我們建議 在安全審計(jì)系統(tǒng)中，應(yīng)采用服務(wù)與產(chǎn)品相結(jié)合的方式，由專業(yè)安全服務(wù)公司制定 專業(yè)的審計(jì)流程 和定期的安全審計(jì)服務(wù)。 ， 日志分析系統(tǒng) 由于全網(wǎng)存在眾多 網(wǎng)絡(luò)和主機(jī)設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套 日志分析系統(tǒng) 用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。 建議采用 三級(jí)結(jié)構(gòu) 的日志分析系統(tǒng) ，第一級(jí)為需要記錄日志的主機(jī)或設(shè)備，該主機(jī)配置 syslog 日志指向 日志服務(wù)器；第二級(jí)為日志 服務(wù)器，負(fù)責(zé)日志接受，同步處理入數(shù)據(jù)庫(kù)以及日志的統(tǒng)計(jì)分析；第三級(jí)為 日志服務(wù)器 的 console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報(bào)警和監(jiān)視日志系統(tǒng) 分析 統(tǒng)計(jì)結(jié)果。 對(duì)于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素： 集中收集和監(jiān)控系統(tǒng)日志 。 日志收集和分析 Agent 與 Console 運(yùn)行 在不同平臺(tái) ，兩者 的 分離 使日志分析系統(tǒng)更 具有 層次性結(jié)構(gòu) 的特點(diǎn) ，便于未來(lái)升級(jí)和集中管理 。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 14 頁(yè) 共 31 頁(yè) 每秒接受日志的速度 。 日志服務(wù)器應(yīng)支持 常 用數(shù)據(jù)庫(kù)，可將 日志信息存儲(chǔ)在數(shù)據(jù)庫(kù)中 。 持多種 設(shè)備類型及數(shù)量，是否 支持標(biāo)準(zhǔn) syslog 協(xié)議。 是否提供 二次開發(fā)接口。 防病毒體系 對(duì)于 廣電總局 來(lái)說(shuō)數(shù)據(jù) 的安全 是最重要的，而病毒是對(duì)數(shù)據(jù)造成嚴(yán)重威脅的主要因素之一。然而保護(hù)網(wǎng)絡(luò)免受愈演愈烈的計(jì)算機(jī)病毒威脅已不是一件簡(jiǎn)單的事情。目前已知的計(jì)算機(jī)病毒超過(guò) 20， 000 種，并且每月發(fā)現(xiàn)的新病毒超過(guò) 300種，即每天都有 10 余種新病毒出現(xiàn)。很 多事實(shí)表明，病毒比其他安全威脅造成的經(jīng)濟(jì)損失都大的多。從 CIH 到 Code Red， 以 及最近的 Nimda 計(jì)算機(jī)病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負(fù)荷量過(guò)重等問(wèn)題，凸顯出網(wǎng)絡(luò)安全防病毒機(jī)制的迫切需求。 傳統(tǒng)的防病毒策略往往只注重桌面平臺(tái)的病毒防范，就像目前 廣電總局 內(nèi)部曾經(jīng)購(gòu)買的瑞星防病毒 單機(jī)版。這樣雖然可以保證桌面平臺(tái)避免病毒的威脅，但沒有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播，無(wú)法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過(guò)載等這類嚴(yán)重威脅網(wǎng)絡(luò)正常服務(wù)的問(wèn)題。隨著分布式網(wǎng)絡(luò)計(jì)算、文檔駐留宏、群件等新技術(shù)的出現(xiàn)以及 網(wǎng) 絡(luò) 的廣泛 應(yīng) 用，網(wǎng)絡(luò)早已經(jīng)成為病毒的主要傳播途徑。網(wǎng)絡(luò)的脆弱性成倍增加，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)已不再是簡(jiǎn)單的在客戶機(jī)上安裝桌面病毒掃描程序就可以解決的問(wèn)題了。面對(duì)當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)，我們迫切需要一 套 單一、集中、全面的防病毒解決方案。 在防病毒產(chǎn)品的選型上，我 們 認(rèn)為一個(gè)成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點(diǎn)： ? 先進(jìn)的體系結(jié)構(gòu)設(shè)計(jì) ? 先進(jìn)的防殺病毒技術(shù) ? 能夠在線實(shí)時(shí)查殺病毒 ? 準(zhǔn)確無(wú)誤的報(bào)警功能 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 15 頁(yè) 共 31 頁(yè) ? 及時(shí)、方便地更新病毒定義代碼 ? 快速、有效地處理未知病毒 ? 多平臺(tái)的支持 ? 功能強(qiáng)大的控制臺(tái)，便于管理與維護(hù) 而針對(duì)網(wǎng)絡(luò)這個(gè)層次 而設(shè)計(jì)的防病毒產(chǎn)品， 我們 認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)病毒監(jiān)控、支持病毒有效地隔離。 針 對(duì)目前世界上主流的病毒產(chǎn)品和國(guó)內(nèi)知名的病毒產(chǎn)品，包括 McAfee VirusScan、 Norton AntiVirus、 Kill 系列、 VRV、 TrendMicro InterScan 等產(chǎn)品 ，應(yīng)從 綜合評(píng)估，包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源的占用、掃描病毒的方式、處置病毒的方式、日志的管理、病毒庫(kù)的及時(shí)更新以及各公司的技術(shù)實(shí)力和對(duì) 廣電總局外 網(wǎng) 的實(shí)用性等方面 考慮 。 建立 全方位、多層次的、整體的 網(wǎng)絡(luò)防病毒解決方案。 業(yè)務(wù)系統(tǒng)安全 WEB 業(yè)務(wù) 的安全 WWW 子系統(tǒng)是廣電總局的一個(gè)重要應(yīng)用， 一般情況下， Web Server 主要用來(lái)向用戶提供公開的信息服務(wù)，也是總局對(duì)外宣傳、開展業(yè)務(wù)的重要基地， Web Server 作為 Inter 用戶訪問(wèn)公司內(nèi)部資源的通道之一，其被發(fā)現(xiàn)的安全漏洞越來(lái)越多。為了防止 Web 服務(wù)器成為攻擊的犧牲品或成為進(jìn)入 廣電總局外 網(wǎng)的跳板，我們需要給予更多的關(guān)心。 我們可以采用如下幾種手段保護(hù)： ? 將 Web 服務(wù)器置于防火墻保護(hù)之下。 通過(guò)設(shè)置防火墻，可以有效的控制允許外界訪問(wèn)的服務(wù)端口， 減少安全風(fēng)險(xiǎn)。本次建議將其部署在第二層防火墻的 INTRUST 區(qū)。 ? 在通往 Web 服務(wù)器的網(wǎng)絡(luò)路徑上安裝基于網(wǎng)絡(luò)的實(shí)時(shí)入侵監(jiān)控系統(tǒng)。 ? 利用日志系統(tǒng) 經(jīng)常審查 Web 服務(wù)器配置情況及運(yùn)行日志。確保 Web 服 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 16 頁(yè) 共 31 頁(yè) 務(wù)器不會(huì)因?yàn)殄e(cuò)誤配置導(dǎo)致安全問(wèn)題，例如泄漏系統(tǒng)文件或者目錄列表等等。運(yùn)行日志中可能會(huì)包含入侵者的入侵探測(cè)痕跡，例如 CGI 掃描等等。 ? 運(yùn)行新的應(yīng)用前，先進(jìn)行安全測(cè)試。在安裝新的應(yīng)用時(shí)，需要確保使用最新的版本，如果不能這樣，也應(yīng)當(dāng)保證安裝了該軟件的最新補(bǔ)丁。如果是自己開發(fā)的應(yīng)用，更需要嚴(yán)格進(jìn)行源代碼審計(jì)，確保沒有嚴(yán)重安全問(wèn)題。 ? 認(rèn)證過(guò)程采用加密通訊 (例如 SSL)或使用 X509 證書模式。 ? 小心設(shè)置 Web 服務(wù)器的訪問(wèn)控制表。只允許指定或者可信任的主機(jī)登錄WWW 服務(wù)器。 ? 全面檢查 WWW 服務(wù)器中的 CGI 程序，降低由 CGI 帶來(lái)的安全風(fēng)險(xiǎn)，同時(shí)要提高程序開發(fā)人員的安全意識(shí) 對(duì)廣電總局 而言， Web Server 將用來(lái)作為重要數(shù)據(jù)發(fā)布的窗口。也是威脅的主要來(lái)源，我們 建議將其與發(fā)布數(shù)據(jù)庫(kù)放在防火墻的 INTRUST 區(qū)，并實(shí)施基于網(wǎng)絡(luò)的入侵檢測(cè)。當(dāng)然 WWW 主機(jī)本身需要專門的安全工程師作安全審計(jì)和加固服務(wù)。 依靠 專業(yè)的安全 服務(wù)，對(duì) WEB 系統(tǒng) (包括各種 UNIX 系統(tǒng)以及 Windows NT/2020)的 WWW 服務(wù)器都有 進(jìn)行 安全配置，最大限度的增強(qiáng)主機(jī)系統(tǒng)的安全性。 MAIL 系統(tǒng)的安全 廣電總局的電子郵件系統(tǒng)主要用于內(nèi)部員工與外界進(jìn)行信息聯(lián)絡(luò)，是網(wǎng)絡(luò)與外部必須開放的服務(wù)系統(tǒng)，雖然流量不大，但是對(duì)可用性要求是很高，而且很有可能成為攻擊者的跳板和入口。 加強(qiáng)電子郵件系統(tǒng)的安全性，我們提出如下辦法： ? 將電子郵件服務(wù)器置于 第二層 防火墻的 DMZ 區(qū)，和內(nèi)外網(wǎng)都實(shí)現(xiàn)有效的隔離，防治黑客利用此主機(jī)作為攻擊的跳板。 ? 為該郵件服務(wù)器實(shí)施主機(jī)安全增強(qiáng)服務(wù)，消除操作系 統(tǒng)自身的安全漏洞。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 17 頁(yè) 共 31 頁(yè) ? 要求軟件供應(yīng)商升級(jí)到最新的安全版本。 ? 由于 目前的垃圾郵件是主要的病毒傳播和拒絕服務(wù)攻擊手段，因此，我們建議對(duì)廣電總局的郵件系統(tǒng)實(shí)施防垃圾郵件措施。具體措施考慮如下原則： ? 跟蹤技術(shù) 按照 RFC 822 規(guī)范，每個(gè)郵件服務(wù)器會(huì)將其客戶端的地址信息和自己的信息加入到信頭的 Received 字段中，這樣所有的 Received 字段合起來(lái)就可以顯示郵件傳輸?shù)穆窂健? 垃圾郵件的發(fā)件人無(wú)論通過(guò)何種技術(shù)，都無(wú)法隱藏其來(lái)源地址。如果是動(dòng)態(tài)的地址，可以通過(guò)聯(lián)系發(fā)件人使用的第一個(gè) SMTP 服務(wù)器的管理員來(lái)協(xié)同解決問(wèn)題 。 ? 垃圾郵件識(shí)別 垃圾郵件識(shí)別是一個(gè)比較復(fù)雜的問(wèn)題。目前還沒有一個(gè)比較全面的方法去識(shí)別。通?？梢酝ㄟ^(guò)模式識(shí)別來(lái)進(jìn)行。 可以采用的方法有： ? 通過(guò) Received 行來(lái)判斷是否是垃圾郵件發(fā)送者； ? 通過(guò)群發(fā)軟件在信頭中插入的標(biāo)記來(lái)識(shí)別； ? 通過(guò)垃圾郵件發(fā)件人不當(dāng)?shù)脑O(shè)置而在郵件中留下的標(biāo)記來(lái)識(shí)別； ? 通過(guò)標(biāo)題或郵件內(nèi)容里的模式或關(guān)鍵字來(lái)識(shí)別； 常用的群發(fā)郵件程序，包括 DiffondiCool、 Flashsend 等，在其生成的郵件中都包含了特定的標(biāo)記；而很多垃圾郵件發(fā)送程序使用MimeOLE 來(lái)進(jìn)行。 垃圾郵件識(shí)別是動(dòng)態(tài)的過(guò) 程，要不斷地更新模式庫(kù)才可以阻止大部分的垃圾郵件。 ? 收件人數(shù)量限制 對(duì)收件人數(shù)量進(jìn)行限制可以有效降低垃圾郵件。有兩種做法：限速或中止。 限速的做法是服務(wù)器接收到超過(guò)限制數(shù)量的收件人地址后，不做響應(yīng)，插入很長(zhǎng)時(shí)間的等待（例如 5 秒），然后再響應(yīng)，這個(gè)等待是可 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 18 頁(yè) 共 31 頁(yè) 配置的；如果收件人數(shù)量非常多，每增加一個(gè)收件人，會(huì)插入同樣的等待時(shí)間甚至遞增的等待時(shí)間，最后，垃圾郵件發(fā)送者會(huì)因?yàn)樗俣忍Ｊ郑? 中止的做法是在服務(wù)器接收到超過(guò)限制數(shù)量的收件人地址后，立刻返回錯(cuò)誤信息，并中止連接。這種方法會(huì)導(dǎo)致垃圾郵件發(fā)送程序立刻連接，而 導(dǎo)致系統(tǒng)忙于應(yīng)付不停的連接、中止操作中；而限制如果過(guò)低，會(huì)影響正常的工作，限制過(guò)高，可以調(diào)整垃圾郵件發(fā)送程序 另外，也可以實(shí)現(xiàn)限速中止，就是說(shuō)服務(wù)器在接收到超過(guò)限制數(shù)量的收件人地址后，等待較長(zhǎng)時(shí)間然后中止。 ? 速率限制 對(duì)發(fā)郵件的速率進(jìn)行限制，通常是對(duì)每連接可以發(fā)送的郵件的限制。限制方法與收件人數(shù)量限制類似。 ? 實(shí)時(shí)黑名單 實(shí)時(shí)黑名單（ Realtime Blackhole List，簡(jiǎn)稱 RBL）是建立于 DNS 系統(tǒng)上的黑名單系統(tǒng)。 MAPS（ Mail Abuse Preventing System） RBL是一個(gè)動(dòng) 態(tài)維護(hù)的系統(tǒng)，它將確認(rèn)為垃圾 IP 地址放在 DNS 記錄中，供 SM