【正文】 6) 文件系統(tǒng)和 I/O 所有存儲在設(shè)備上的數(shù)據(jù)使用 AES 進行加密，只有 Juniper Netscreen 的系統(tǒng)軟件可以讀取存儲的加密數(shù)據(jù)。因為系統(tǒng)使用 HTTPS 和 SSL 對傳送的數(shù)據(jù)進行加密，在這過程中會話不可能被劫取。通過一個合法的證書，用戶可以發(fā)起一個會話。 SSL 在 Web 瀏覽器和 SSL VPN 安全接入系統(tǒng)之間提供一個安全的通道。 2) 流量監(jiān)控和過濾 SSL VPN 安全接入使用核心級包過濾模塊來監(jiān)控系統(tǒng)所收到的包，并決定是接受或拒絕該流量。 SSL VPN 安全接入系統(tǒng)對安全的控制 1) 硬件平臺和加固的操作系統(tǒng) SSL VPN 安全接入系統(tǒng)采用了優(yōu)化的 Linux 內(nèi)核和額外優(yōu)化的服務(wù)器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設(shè)計成可以抵御針對系統(tǒng)的攻擊和針對通過該系統(tǒng)數(shù)據(jù)的攻擊。 Juniper Netscreen IVE 系統(tǒng)支持的接入安全控制的細化包括： 動態(tài)認(rèn)證策略：可以通過多種要素對用戶身份進行認(rèn)證，包括提供身份前檢查和提供身份后檢查，其中提供身份前檢查的內(nèi)容可包括：源地址、網(wǎng)絡(luò)接口（內(nèi) /外）、證書、節(jié)點安全（包括主機檢查和緩存清除）、瀏覽器的 user agent、登錄的 URL、 SSL版本和加密級別；提供身份后檢查的內(nèi)容可包括：身份確定、證書特性、密碼長度、同時登錄用戶數(shù)、目錄服務(wù)密碼； 角色定義和策略匹配：管理員可以定義用戶屬于一個或多個角色，對不同角色提供不同的訪問權(quán)限。對于絕大多數(shù)的 C/S 應(yīng)用， Juniper Netscreen SA 是透明支持的。 Juniper Netscreen IVE 系統(tǒng)與當(dāng)前市場上流行的個人防火墻、防病毒軟件做最緊密的結(jié)合，如 Sygate Enforcement API、 Sygate Security Agent、 Zone Labs: ZoneAlarm Pro and Zone Labs Integrity、 McAfee Desktop Firewall、 InfoExpress CyberGatekeeper Agent 等，用戶只需要用鼠標(biāo)選擇 第 36 頁 共 61 頁 一些選項便可完成?；谫F公司的安全接入模式，我們建議采用 SSL VPN 方案。基于 Web 的應(yīng)用 對用戶非常友好，使用非常熟悉的 Web 瀏覽器 即插即用安裝 網(wǎng)絡(luò)邊緣到客戶端 強加密 雙向身份驗證 以下是兩種 VPN 方案的特點比較： 選項 SSL VPN IPSec VPN 身份驗證 然而，隨著 個人電腦和互聯(lián)網(wǎng)應(yīng)用技術(shù)的普及， “在家辦公 ”、 “異地辦公 ”、 “移動辦公 ”等多種遠程辦公 模式逐漸普及，同時合作伙伴的人員也希望能訪問到相應(yīng)的信息資源，企業(yè)的 IT 管理人員面臨將 遠程辦公 模式作為內(nèi)部辦公網(wǎng)絡(luò)的延伸和對合作伙伴人員提供外聯(lián)網(wǎng)接入的需 求，為遠程辦公的員工提供訪問內(nèi)部信息和為合作伙伴人員訪問與其身份相符的信息的方便。利用經(jīng)過認(rèn)證的加密 TCP 通信鏈路，就不需要在不同分層之間建立 VPN 隧道，從而大大提高了性能和靈活性。 NetScreenSecurity Manager 還帶有一種高性能日志存儲機制，使 IT 部門可以收集并監(jiān)控關(guān)鍵方面的詳細信息，如網(wǎng)絡(luò)流量、設(shè)備狀態(tài)和安全事件等。 NetScreenSecurity Manager 的一個關(guān)鍵設(shè)計理念是降低安全設(shè)備管理的復(fù)雜性，同時保證足夠的靈活性來滿足每個部門的不同需求。 利用 NetScreenSecurity Manager，企業(yè)可以為特定用戶分配適當(dāng)?shù)墓芾斫尤霗?quán)限（從只讀到全面的編輯權(quán)限）來完成 多種工作。 安全管理解決方案 Juniper 的 Netscreen 防火墻系統(tǒng)采用 Juniper 公司的統(tǒng)一安全管理平臺 NSM進行管理， NSM 不僅可以管理 ISG 防火墻系統(tǒng)的防火墻模塊、 VPN 模塊和 IDP應(yīng)用層保護模塊，同時可以實現(xiàn)對多臺防火墻設(shè)備的集中管理，這樣我們就實現(xiàn)了在一個統(tǒng)一的界面上實現(xiàn)了對多臺安全設(shè)備，多種安全技術(shù)的統(tǒng)一管理，安全策略的統(tǒng)一配置，安全事件和日志信息的統(tǒng)一查詢和分析。 3. 當(dāng)攻擊檢測的準(zhǔn)確率達到一定的程度的時候，我們可以將應(yīng)用層防護模塊改為采用 Active 模式， Active 模式的情況下，數(shù)據(jù)包在經(jīng)過防火墻檢測后，會接著進行應(yīng)用層的檢測，如果 存在攻擊，則進行報警或阻擋，然后再進行數(shù)據(jù)報的轉(zhuǎn)發(fā)。 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中的IDP 應(yīng)用層防護模塊 能夠識別交互式流量的獨特特征，并對意外的活動發(fā)送告警。 我們可以利用協(xié)議異常檢測技術(shù)，檢測到目前攻擊特征碼中沒有定義的攻擊，和一些最新出現(xiàn)的攻擊，新的緩沖區(qū)溢出攻擊就是要通過協(xié)議異常技術(shù)進行檢測的，由于協(xié)議異常技術(shù)采用的是與正常的協(xié)議標(biāo)準(zhǔn)進行匹配，所以存在誤報的可能性。協(xié)議異常檢測將緩沖器允許的數(shù)據(jù)量與發(fā)送的數(shù)據(jù)量、以及流量超出允許量時的告警進行比較。 協(xié)議異常檢測 攻擊者并不遵循某種模式來發(fā)動攻擊，他們會不斷開發(fā)并推出新攻擊或復(fù)雜攻擊。如上圖所示，狀態(tài)簽名僅執(zhí)行與可能發(fā)生攻擊的相關(guān)流量相匹配的簽名模型。 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護模塊 的所有簽名都可通過簡單的圖形用戶界面來接入，因此可以容易地了解系統(tǒng)在監(jiān)控流量的哪一部分。 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護模塊 跟蹤連接狀態(tài)，并且僅在可能發(fā)生攻擊的相關(guān)流量部分來查找攻擊模式。 后門檢測 檢測未經(jīng)授權(quán)的交互式后門流量。 多重方法攻擊檢測 Juniper 網(wǎng)絡(luò)公司的多重方法檢測技術(shù) (MMD?) 將多種檢測機制結(jié)合到單一產(chǎn)品中，以實現(xiàn)全面的檢測。這種理解和定制級別允許管理員定制攻擊簽名，以滿足獨特的攻擊要求。 當(dāng)前，復(fù)雜的攻擊以不同的方式出現(xiàn)在不同的客戶環(huán)境中。這與防火墻的失效關(guān) 閉機制正好相反，防火墻一旦失效，整個網(wǎng)絡(luò)是不可訪問的）；四、最重要的是， IDS 系統(tǒng)是以旁路的方式工作，只能檢測攻擊，而不能阻止攻擊。入侵檢測系統(tǒng)（ IDS）可以彌補傳統(tǒng)防火墻的不足，為網(wǎng)絡(luò)提供實時的監(jiān)控，并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護手段， IDS 系統(tǒng)作為必要附加手段。 入侵檢測防御系統(tǒng)設(shè)計與部署 入侵檢測防御系統(tǒng)的需求及選型 在現(xiàn)有網(wǎng)絡(luò)中，通常大部分人認(rèn)為傳統(tǒng)防火墻可以保護處于它身后的網(wǎng)絡(luò)不受外界的侵襲和干擾。因此，防火墻應(yīng)該支持基于 Policy 對帶寬進行控制。一般外部用戶在對內(nèi)部 服務(wù)器做正常訪問時，不需要做身份認(rèn)證，依據(jù)防火墻內(nèi)設(shè)置的訪問控制規(guī)則決定其是否允許通過；對于管理員用戶，我們可以在防火墻上設(shè)置其對內(nèi)部服務(wù)器管理端口訪問的身份認(rèn)證策略，管理員在管理服務(wù)器之前，必須登陸防火墻進行身份認(rèn)證，即輸入他的用戶名和動態(tài)口令，防火墻將這兩個信息轉(zhuǎn)發(fā)給 RSA認(rèn)證服務(wù)器，由 RSA 做判決后返回信息通知防火墻認(rèn)證是否有效。 NetScreen 防火墻支持自動更新最新的病毒庫。省去了單獨購買 IDS 或 IDP 設(shè)備的投資。 ASIC 防火墻采用多組專門的 ASIC 芯片處理不同任務(wù)，如 Session 表維持、查找、防拒絕服務(wù)攻擊、 VPN 加解密、應(yīng)用層檢測等資源耗用嚴(yán)重的任務(wù)， CPU 配合處理一些簡單功能調(diào)用。如果不想改變現(xiàn)有網(wǎng)絡(luò)拓撲而直接加入防火墻，可以選用防火墻的透明模式。 其它建議分析： 1. 防火墻位置：兩臺防火墻以高可靠 HA 結(jié)構(gòu)部署 , 就流量來說， 第 24 頁 共 61 頁 ISG1000/2020 防火墻支持 背板 2G/4G 吞吐量 , ，完全可以滿足用戶現(xiàn)有需求；就擴展性來說，以后如果流量有擴展性要求， NetscreenISG1000/2020 防火墻可以支持 協(xié)議，將多個接口捆綁擴展帶寬。如果到一個接口的連接由于某種原因而丟失，同步信息就會通過另一個接口傳輸。 第 22 頁 共 61 頁 ? 主動 /主動全網(wǎng)狀：兩臺設(shè)備都配置為主動，網(wǎng)絡(luò)和 VPN 流量同時通過兩臺設(shè)備。如果主設(shè)備出現(xiàn)故障，備份設(shè)備就升級為主設(shè)備并繼續(xù)進行流量處理。利用內(nèi)置的故障切換協(xié)議和動態(tài)路由功能，企業(yè)可以在全網(wǎng)狀網(wǎng)絡(luò)環(huán)境或負載分擔(dān)環(huán)境中部署 防火墻雙機 系統(tǒng)。這些設(shè)備可以使靜態(tài)信息（如配置）和動態(tài)實時信息同步。 第 20 頁 共 61 頁 我們建議 IDC 區(qū)防火墻系統(tǒng)與其核心交換機系統(tǒng)一樣采用雙機方式運行。 NetscreenISG1000/2020, Netscreen5200 能全面適應(yīng) XX 電力 安全發(fā)展的需要。交換機路由引擎實現(xiàn)網(wǎng)絡(luò)中的路由，并通過 ACL 設(shè)置來實現(xiàn)訪問控制，防火墻系統(tǒng)則可以提供更加豐富和深入的網(wǎng)絡(luò)安全防護功能。因此，安全域的劃分既可通過網(wǎng)段的物理端口連接實現(xiàn)，也可以通過 VLAN 虛擬端口方式連接。對以上所有安全區(qū)域網(wǎng)絡(luò) 第 17 頁 共 61 頁 的訪問必須通過防火墻和入侵檢測防御（ IDP）系統(tǒng)進行安全檢測； 防火墻系統(tǒng)部署方案 防火墻系統(tǒng)在網(wǎng)絡(luò)邊界設(shè)置進出口控制，可以防御外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡(luò)安全的第一道關(guān)卡，其重要性不言而喻。建議使用 Catalyst4500 以上級別交換機作為外網(wǎng)核心交換機。 在 IDC 核心區(qū)中，還可根據(jù)具體得管理需要進一步細分為服務(wù)器區(qū)、存儲備份區(qū)、管理區(qū)等等。 在 IDC 數(shù)據(jù)核心交換機與內(nèi)網(wǎng)網(wǎng)絡(luò)核心交換機之間部署 Netscreen千兆防火墻系統(tǒng)。 鑒于 IDC 核心區(qū)的安全性要求非常高，建業(yè)數(shù) 據(jù)核心的交換機也配置為雙交換機模式。 在本方案中，主安全域的劃分主要通過防火墻及入侵檢測防御系統(tǒng)（ IDP）實現(xiàn)。 對安全系數(shù)要求高的安全域來說，在安全域的邊界一定要包含防火墻，對安全系數(shù)要求較低的安全域的邊界可以使用 VLAN 或訪問控制列表來代替。 目前的電力 企業(yè) 一般安全措施主要有：依靠 防火墻進行互連網(wǎng)安全隔離 ，通過路由器的訪問控制列表和劃分 VLAN 的方式隔離 網(wǎng)絡(luò)，以及防病毒系統(tǒng)。這些應(yīng)用 和連接，很好的幫助了電力公司用戶提高計算機在電力公司系統(tǒng)中的應(yīng)用水平，實現(xiàn) 電力 信息化。主要完成安全系統(tǒng)的策略設(shè)置、安全事件監(jiān)控及響應(yīng)、安全審計、風(fēng)險分析和決策支持。網(wǎng)絡(luò)應(yīng)用的集中登陸，集中訪問控制。 一體化信息安全技術(shù)模型 在安全技術(shù)體系上一體化信息安全技術(shù)模型主要包括：系統(tǒng)安全平臺、應(yīng)用安全平臺和綜合安全管理平臺三個層面，通過三個層面平臺的一體化 部署及它們之間的相互支撐和配合充分地實現(xiàn)信息安全系統(tǒng)的 P2DR2 功能需求，即： Policy策略、 Protection 防護、 Detection 檢測、 Response 響應(yīng)和 Recovery 恢復(fù)五個方面的安全需求。同時也可根據(jù)網(wǎng)絡(luò)實際受到黑客或病毒及蠕蟲的實際攻擊情況靈活臨時部署到任何需要的地方，在強化安全的同時不會給網(wǎng)絡(luò)帶來任何影響。既可發(fā)揮雙機雙倍的性能，又可強化網(wǎng)絡(luò)安全的可靠性，可充分滿足 IDC 數(shù)據(jù)中心對安全性、可靠性及性能的要求。其中，在 Inter 接入?yún)^(qū)和內(nèi)網(wǎng)與外網(wǎng)隔離點采用 Netscreen 千 第 8 頁 共 61 頁 兆防火墻系統(tǒng)。 安全策略設(shè)計： 在安全域劃分的基礎(chǔ)上，我們將不同的網(wǎng)絡(luò)資源部署在相應(yīng)的安全域中，利 第 7 頁 共 61 頁 用防火墻的安全控制機制、入侵檢測防御系統(tǒng)的防御機制來實現(xiàn)各安全域之間的訪問控制。 本項目系統(tǒng)總圖如下： 方案概述 第 6 頁 共 61 頁 安全域的劃分 安全域的劃分是現(xiàn)代 企業(yè)信息網(wǎng)絡(luò)安全的根本基礎(chǔ)之一，通過合理的安全域的劃分和實現(xiàn)可幫助 XX 電力構(gòu)筑一個層次性的、縱深的安全綜合防護系統(tǒng)。 ? 本次項目的主要內(nèi)容為：對 XX 電力信息系統(tǒng)進行安全域化分，并進行全網(wǎng)安全策略設(shè)計和規(guī)劃，購買并合理部署相關(guān)的網(wǎng)絡(luò)系統(tǒng)層、應(yīng)用層、管理層的安全設(shè)施，為 XX 電力的信息系統(tǒng)建設(shè)奠定堅實的安全的基礎(chǔ)。 15. 內(nèi)部安全技術(shù)人員有較大的信息、時間及實踐的局限性，無法面對日愈增多及日愈頻繁和技術(shù)日愈復(fù)雜的病毒、蠕蟲及黑客的攻擊。 13. 所用網(wǎng)絡(luò)、應(yīng)用及安全監(jiān)控及管理系統(tǒng)自成體系，缺乏綜合、統(tǒng)一 的網(wǎng)絡(luò)及安全監(jiān)控系統(tǒng)、分析系統(tǒng)及決策支持系統(tǒng)。缺乏適合 XX 電力現(xiàn)有技術(shù)能力的在線的安全主動入侵防御系統(tǒng)。 5. 數(shù)據(jù)中心未根據(jù)具體業(yè)務(wù)性質(zhì)進行安全服務(wù)級別區(qū)分及控制。 3. 內(nèi)外網(wǎng)不分。未形成從網(wǎng)絡(luò)安全到應(yīng)用安全到安全管理、安全服務(wù)的 完整安全體系。 如下圖所示，從 200X 年開始 XX 電力就開始了網(wǎng)絡(luò)安全的建設(shè)工作，至今已建設(shè)完成：總公司 Inter DMZ 安全接入、總公司銀行網(wǎng)關(guān)安全接入、全省桌面防病毒系統(tǒng)、總公司入侵檢測系統(tǒng)、總公司安全掃描系統(tǒng)等安全子系統(tǒng)。 計算機系統(tǒng)的安全重點在于防范于未然，即在安全事故發(fā)生之前就給予充分的重視，制定綜合的安全管理策略，并建立起一套行之有效的可操作控制和集中管理的信息安全保障系統(tǒng)，對安全風(fēng)險做到可知、可控、可防。 XX 電力信息安全系統(tǒng)是 XX 電力公司計算機信息網(wǎng)絡(luò)的重要組成部分。信息安全系統(tǒng)的目的是為營銷管理、財務(wù)管理、生產(chǎn)管理、物資管理、辦公自動化、信息共享、數(shù)據(jù)管理以及其它網(wǎng)絡(luò)應(yīng)用提供必備的安全網(wǎng)絡(luò)環(huán)境和運行平