【導讀】方案書中的內(nèi)容是曙光網(wǎng)絡(luò)安全產(chǎn)品系列的技術(shù)說明書。本文檔的相關(guān)版權(quán)。本書中的任何部分未經(jīng)本公司許可，不。得轉(zhuǎn)印、影印或復印。文檔中涉及的第三方產(chǎn)品或商標名稱歸各自的公司或組織

　　

【正文】 保護網(wǎng)絡(luò)系統(tǒng)的可用性 ； 23 保護網(wǎng)絡(luò)系統(tǒng)服務的連續(xù)性 ； 防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問 ； 防范入侵者的惡意攻擊與破壞 ； 保護政府信息通過網(wǎng)上傳輸過程中的機密性、完整性 ； 防范病毒的侵害 ； 實現(xiàn)網(wǎng)絡(luò)的安全管理。 24 第 4 章 . 網(wǎng)絡(luò)方案設(shè)計原則 、設(shè)計目標 本技術(shù)方案旨在為東營市城域網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，包括安全管理制度策略的制定、安全策略的實施體系結(jié)構(gòu)的設(shè)計、安全產(chǎn)品的選擇和部署實施，以及長期的合作和技術(shù)支持服務。系統(tǒng)建設(shè)目標是在不影響當前業(yè)務的前提下，實現(xiàn)對網(wǎng)絡(luò)的全面安全管理。 1) 將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風險； 2) 通過部署不同類型的安全產(chǎn)品，實現(xiàn)對不同層次、不同類別網(wǎng)絡(luò)安全問題的防護； 3) 使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)。最大 限度地減少損失。 具體來說，本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問控制，并能夠?qū)χ匾刂泣c進行細粒度的訪問控制； 其次，對于通過對網(wǎng)絡(luò)的流量進行實時監(jiān)控，對重要服務器的運行狀況進行全面監(jiān)控。 、 設(shè)計原則 我們提供的方案遵循并體現(xiàn)如下設(shè)計原則： 1) 體系化設(shè)計原則 分析信息網(wǎng)絡(luò)的層次關(guān)系，遵循先進的安全理念，提出科學的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。 2) 可控性原則 采取的技術(shù)手段需要達到安全可控的目的，技術(shù)解決方案涉及的工程實施具有可控性； 3) 系統(tǒng)性、均衡 性、綜合性設(shè)計原則 從全系統(tǒng)出發(fā)，綜合考慮各種安全風險，采取相應的安全措施，并根據(jù)風險的大小，采取不同強度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案； 4) 可行性、可靠性原則 保證在采用安全系統(tǒng)之后，不會對現(xiàn)有網(wǎng)絡(luò)和應用系統(tǒng)有大的影響。在保證網(wǎng)絡(luò)和應 25 用系統(tǒng)正常運轉(zhuǎn)的前提下，提供最優(yōu)安全保障； 5) 標準性原則 方案的設(shè)計、實施以及產(chǎn)品的選擇以相關(guān)國際安全管理、安全控制、安全規(guī)程為參考依據(jù)。如 ISO 17799 / BS779 CVE、 OPSEC 等； 6) 投資保護原則 對網(wǎng)絡(luò)中已經(jīng)存在的設(shè)備進行有效的利用，保護已 有投資。 、 網(wǎng)絡(luò)安全系統(tǒng)需求描述 為了準確、清楚地描述安全需求，本方案借鑒 ISO/OSI 及 TCP/IP 的分層設(shè)計思想，從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)（數(shù)據(jù)庫）安全、應用安全及安全管理（策略）等不同層面加以說明。 1) 物理層面安全 主要是保證東營市城域網(wǎng)絡(luò)的物理安全，防范因為物理介質(zhì)、信號輻射等造成的安全風險，保證信號傳輸?shù)耐暾?、保密性和可靠性? 2) 網(wǎng)絡(luò)層面安全 主要是保證網(wǎng)絡(luò)結(jié)構(gòu)的安全、在網(wǎng)絡(luò)層加強訪問控制能力、加強對攻擊的實時檢測能力和先于入侵者發(fā)現(xiàn)網(wǎng)絡(luò)中存在漏洞的能力；加強全網(wǎng)的病毒防范能力。具體可以概括 為： ? 在網(wǎng)絡(luò)系統(tǒng)中，確保網(wǎng)絡(luò)設(shè)備的安全，保證非授權(quán)用戶不能訪問任一臺服務器、路由器、交換機或防火墻等網(wǎng)絡(luò)設(shè)備； ? 局域網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（ Inter、 Intra 等）之間，考慮采用硬件防火墻設(shè)備進行邏輯隔離，控制來自外部網(wǎng)絡(luò)的用戶對內(nèi)部系統(tǒng)的訪問； ? 加強對終端用戶訪問外部網(wǎng)絡(luò)的控制。一般來說，只允許他們訪問 Inter 上的HTTP、 FTP 等常用的服務； ? 由于入侵具有不可預測性，網(wǎng)絡(luò)安全的防御體系也要求是動態(tài)的，而非靜態(tài)的。因此，建立實時入侵檢測系統(tǒng)，以便及時發(fā)現(xiàn)各種可能的攻擊企圖，及時采取相應的應 對措施； ? 作為動態(tài)防御體系的有機組成部分，網(wǎng)絡(luò)安全評估措施也是必需的。只有先于入侵者發(fā)現(xiàn)網(wǎng)絡(luò)中問題所在，才能更有效地降低安全風險。 3) 系統(tǒng)層面安全 主要指對網(wǎng)絡(luò)中存在的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等進行保護，保證重要服務器上操作系 26 統(tǒng)、數(shù)據(jù)庫系統(tǒng)和數(shù)據(jù)本身的安全。 ? 采用安全漏洞掃描和評估系統(tǒng)，對現(xiàn)有網(wǎng)絡(luò)中的服務器、主機（包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)的各種應用服務器）進行掃描，預先查找出存在的漏洞，從而進行修補； ? 采用基于數(shù)據(jù)庫的安全漏洞掃描和評估系統(tǒng)，對網(wǎng)絡(luò)中的所有數(shù)據(jù)庫系統(tǒng)進行專門評估，預先發(fā)現(xiàn)漏洞，以便及時修補； 4) 應用層面安全 各網(wǎng)絡(luò)中的應用主要以 B/S 模式為主，很多業(yè)務通過數(shù)據(jù)庫方式開展。因此，有效的應用安全（尤其是數(shù)據(jù)庫應用）措施是保證業(yè)務正常開展的關(guān)鍵。 目前，應用系統(tǒng)面對的安全風險主要有： ? 用戶身份假冒：非法用戶假冒合法用戶的身份訪問應用資源，如攻擊者通過各種手段取得應用系統(tǒng)的一個合法用戶的帳號訪問應用資源，或是一個內(nèi)部的合法用戶盜用領(lǐng)導的用戶帳號訪問應用資源。用戶身份假冒的風險來源主要有兩點：一是應用系統(tǒng)的身份認證機制比較薄弱，如把用戶信息（用戶名、口令）在網(wǎng)上明文傳輸，造成用戶信息泄漏；二是用戶自身安全意識不強，如使 用簡單的口令，或把口令記在計算機旁邊。 ? 非授權(quán)訪問：非法用戶或者合法用戶訪問在其權(quán)限之外的系統(tǒng)資源。其風險來源于兩點：一是應用系統(tǒng)沒有正確設(shè)置訪問權(quán)限，使合法用戶通過正常手段就可以訪問到不在權(quán)限范圍之內(nèi)的資源；二是應用系統(tǒng)中存在一些后門、隱通道、陷阱等，使非法用戶（特別是系統(tǒng)開發(fā)人員）可以通過非法的途徑進入應用系統(tǒng)。 ? 數(shù)據(jù)竊取、篡改、重放攻擊、抵賴：攻擊者通過偵聽網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，竊取網(wǎng)的重要數(shù)據(jù)，或以此為基礎(chǔ)實現(xiàn)進一步的攻擊。包括：①攻擊者利用網(wǎng)絡(luò)竊聽工具竊取經(jīng)由網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，通過分析獲得重要的信息； ②內(nèi)部用戶通過網(wǎng)絡(luò)偵聽獲取在網(wǎng)絡(luò)上傳輸?shù)挠脩魩ぬ?，利用此帳號訪問應用資源；③攻擊者篡改網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，使信息的接收方接收到不正確的信息，影響正常的工作；④信息發(fā)送方或接收方抵賴曾經(jīng)發(fā)送過或接收到了信息。 5) 防病毒層面 目前絕大多數(shù)病毒傳播的途徑是網(wǎng)絡(luò)。對于一個網(wǎng)絡(luò)系統(tǒng)而言，針對病毒的入侵渠道和病毒集散地進行防護是最有效的防治策略。正如一個國家如果只讓每個公民進行自我保護是低效和不可控制的，必須設(shè)立專門的海關(guān)、警署等機關(guān)，對進入本地的人員進行檢查，以便將外來的威脅阻止在本地的入口。因此，對于每一個病毒可能的 入口，部署相應的防病毒 27 軟件，實時檢測其中是否有病毒，是構(gòu)建一個完整有效防病毒體系的關(guān)鍵。 ? 來自系統(tǒng)外部（ Inter 或外網(wǎng)）的病毒入侵： 這是目前病毒進入最多的途徑。因此在與外部連接的網(wǎng)關(guān)處進行病毒攔截是效率最高，耗費資源最少的措施?？梢允惯M入內(nèi)部系統(tǒng)的病毒數(shù)量大為減少。但很明顯，它只能阻擋進出網(wǎng)關(guān)病毒的入侵。 ? 網(wǎng)絡(luò)郵件 /群件系統(tǒng)： 如果網(wǎng)絡(luò)內(nèi)采用了自己的郵件 /群件系統(tǒng)實施辦公和信息自動化，那么一旦有某個用戶感染了病毒，通過郵件方式該病毒將以幾何級數(shù)在網(wǎng)絡(luò)內(nèi)迅速傳播，并且很容易導致郵件系統(tǒng)負荷過大而癱瘓 。因此在郵件系統(tǒng)上部署防病毒也顯得尤為重要。 ? 文件服務器：文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務器大大提高了資源的重復利用率，并且能對信息進行長期有效的存儲和保護。但是一旦服務器本身感染了病毒，就會對所有的訪問者構(gòu)成威脅。因此文件服務器也需要設(shè)置防病毒保護。 ? 最終用戶：病毒最后的入侵途徑就是最終的桌面用戶。由于網(wǎng)絡(luò)共享的便利性，某個感染病毒的桌面機可能隨時會感染其它的機器，或是被種上了黑客程序而向外傳送機密文件（如“ SirCam”病毒）。因此在網(wǎng)絡(luò)內(nèi)對所有的客戶機進行防毒控制也很有必要。 ? 內(nèi)容保護：由于 目前郵件系統(tǒng)的使用異常方便，造成了用戶很容易在不經(jīng)意間將重要的、機密的或是不當?shù)男畔⑼ㄟ^郵件發(fā)送出去；另一方面，來自 Inter 上的垃圾郵件也到處都是，導致用戶需花大量的精力和時間去處理，降低了工作效率。因此對往來的郵件內(nèi)容進行過濾也很重要。 ? 集中管理：對于一個大型網(wǎng)絡(luò)來說，部署的防毒系統(tǒng)將十分復雜和龐大。尤其在各網(wǎng)點在地域上分離的情況下，通過一個監(jiān)控中心對整個系統(tǒng)內(nèi)的防毒服務和情況進行管理和維護顯得十分重要。這樣可以大大降低維護人員的數(shù)量和維護成本，并且縮短了升級、維護系統(tǒng)的響應時間。防毒系統(tǒng)的最大特 點是需要不斷的升級和更新防毒軟件，以應對新產(chǎn)生的各類病毒。因此各點的防毒軟件集中進行升級行動也是有效防毒的重要一環(huán)。 6) 安全管理（策略）層面 安全管理是多種安全技術(shù)、產(chǎn)品、工具得以充分發(fā)揮作用的基礎(chǔ)保證，也是全局安全策略的有機組成部分。為了使各種安全產(chǎn)品能夠協(xié)調(diào)工作，需要統(tǒng)一、標準的安全管理平臺對其進行綜合控制。另外，安全管理制度的不健全將很難避免人為的疏忽。具體來說，在此層面的安全需求主要體現(xiàn)為： ? 建立、健全安全管理制度，對安全管理制度的建立提出可供參考的框架性建議； 28 ? 部署有效的安全管理平臺，對入侵檢測、漏 洞掃描和安全評估等安全工具所獲得的數(shù)據(jù)進行整合、深度挖掘，為決策層提供有效的安全風險決策支持。 、 網(wǎng)絡(luò)安全系統(tǒng) 配置需求 本次方案的總體配置要求是： 1) 網(wǎng)絡(luò)中需要配備防火墻，以確保網(wǎng)絡(luò)和數(shù)據(jù)的安全，防止來自外部和內(nèi)部的攻擊； 2) 網(wǎng)絡(luò)采用 VPN 數(shù)據(jù)加密技術(shù)，實施 Inter 遠程訪問控制，確保信息的安全傳輸和訪問，保障數(shù)據(jù)安全和完整； 3) 網(wǎng)絡(luò)中設(shè)置入侵檢測系統(tǒng)，監(jiān)聽來自網(wǎng)絡(luò)的可疑行為并及時發(fā)出預警信息，配備漏洞掃描系統(tǒng)或采用相關(guān)服務，對網(wǎng)絡(luò)內(nèi)的服務器等有關(guān)設(shè)備進行漏洞檢查和安全配置； 4) 網(wǎng)絡(luò)中設(shè)置審計系統(tǒng)，對用 戶網(wǎng)絡(luò)安全監(jiān)控與進行實時檢測； 5) 全面部署網(wǎng)絡(luò)防病毒系統(tǒng)，杜絕病毒在網(wǎng)絡(luò)中的傳播； 6) 加強安全管理，提高全體工作人員的安全意識。 、 網(wǎng)絡(luò)安全 管理設(shè)計 前面已經(jīng)提到網(wǎng)絡(luò)信息安全是一個系統(tǒng)工程問題，涉及人員、設(shè)備以及網(wǎng)絡(luò)工作環(huán)境等諸方面的因素，是一個“人 機 網(wǎng)”復雜系統(tǒng)問題， 1) 靠單一技術(shù)，實現(xiàn)網(wǎng)絡(luò)安全是不可能的； 2) 單憑技術(shù)因素，解決網(wǎng)絡(luò)安全問題也是不現(xiàn)實的。 網(wǎng)絡(luò) 信息系統(tǒng)的安全管理原則 多人負責原則 每一項與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應是系統(tǒng) 主管領(lǐng)導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障。 以下各項是與安全有關(guān)的活動： 1) 訪問控制使用證件的發(fā)放與回收； 29 2) 信息處理系統(tǒng)使用的媒介發(fā)放與回收； 3) 處理保密信息； 4) 硬件和軟件的維護； 5) 系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改； 6) 重要程序和數(shù)據(jù)的刪除和銷毀等； 任期有限 原則 一般地講，任何人最好不要長期擔任與安全有關(guān)的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期地循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流 培訓，以使任期有限制度切實可行。 職責分離 原則 在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導批準。 出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應當分開。 1) 計算機操作與計算機編程； 2) 機密資料的接收和傳送； 30 第 5 章 . 網(wǎng)絡(luò)安全 解決 方案 、 防火墻 系統(tǒng)設(shè)計方案 防火墻 系統(tǒng) 在各網(wǎng)絡(luò)出口處安裝 曙光天羅 防火墻。防火墻在這里首先起到網(wǎng)絡(luò)隔離、劃分不同安全域，進行訪問控制的功能。通過防火墻的多網(wǎng)口 結(jié)構(gòu)設(shè)計，控制授權(quán)合法用戶可以訪問到授權(quán)服務，而限制非授權(quán)的訪問。 曙光天羅 防火墻分為 百兆 和 千兆 兩個系 列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模 大小選擇適合自己的產(chǎn)品。 曙光天羅 防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計異常的入侵檢測功能，實現(xiàn)了可擴展的攻擊檢測庫，真正實現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊，可以自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式， 通知管理員 調(diào)整控制規(guī)則，為整個網(wǎng)絡(luò)提供動態(tài)的網(wǎng)絡(luò)保護。 利用 曙光天羅 防火墻自帶的 VPN 功能，實現(xiàn)多 級 VPN 系統(tǒng)。防火墻 VPN 模塊支持兩種用戶模式 ： 遠程訪問虛擬網(wǎng) (撥號 VPN)和 政府機關(guān) 內(nèi)部虛擬網(wǎng) (網(wǎng)關(guān)對網(wǎng)關(guān) VPN)。如上圖所示，在省地市三級網(wǎng)絡(luò)出口處安裝 曙光天羅 防火墻，利用防火墻的 VPN 模塊，實現(xiàn)他們之間分層次的 政府機關(guān) 內(nèi)部虛擬網(wǎng) (網(wǎng)關(guān)對網(wǎng)關(guān) VPN)； 而對于一些規(guī)模比較小的區(qū)線或移動用戶，通過安裝 VPN 客戶端，實現(xiàn)遠程訪問虛擬網(wǎng) (撥號 VPN)，整個構(gòu)成一個安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸。 防火墻的 VPN 功能 VPN 是平衡 Inter 的適用性和價格優(yōu)勢的最有前 途的新興通信手段之一。利用共享的 IP 網(wǎng)建立 VPN 連接，可以使 服務對象 減少對昂貴租用線路和復雜遠程訪問方案的依賴性。 第一，也是至關(guān)重要的一點，它可以使移動用戶和一些小型的分支機構(gòu)的網(wǎng)絡(luò)開銷減少達 50%或更多； 第二， 政府機關(guān) 新增的分支機構(gòu)或站點可以非常迅速方便地加入 政府機關(guān) 已建的基于VPN 的 INTRANET，所以 VPN 的可擴