【正文】 路中傳輸?shù)奈锢韼M行加密。通常，有同步（異步）鏈路加密機、幀中繼加密機。鏈路加密機制使用鏈路加密機實現(xiàn)信息的點到點安全，對IP層協(xié)議透明。目前，在國內(nèi)互聯(lián)網(wǎng)中使用較多的是網(wǎng)絡(luò)層的加密機制。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備，網(wǎng)絡(luò)加密機是實現(xiàn)端至端的加密，即一個網(wǎng)點只需配備一臺VPN加密機。常用的網(wǎng)絡(luò)機密機制采用的是IPsec機制。而VPN設(shè)備正是一種符合IPsec標準的IP協(xié)議加密設(shè)備。經(jīng)過對VPN的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機通過加密隧道，讓另一些主機仍以明文方式傳輸，以達到安全、傳輸效率的最佳平衡。設(shè)備配置見下圖。對政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)，網(wǎng)絡(luò)層加密設(shè)備可以使網(wǎng)絡(luò)在升級提速時具有很好的擴展性。 網(wǎng)絡(luò)安全技術(shù) 防火墻系統(tǒng)如前圖所示，根據(jù)廣電總局內(nèi)網(wǎng)整體安全層次的劃分需求，我們將對廣電總局內(nèi)網(wǎng)劃分四個安全等級：直屬機關(guān)接入用戶級、普通用戶級、網(wǎng)絡(luò)管理級與業(yè)務(wù)系統(tǒng)級。對于這類系統(tǒng)，建議使用兩臺防火墻工作在FAILOVER模式下，通過在防火墻上設(shè)置嚴格的策略，對每個需要訪問業(yè)務(wù)系統(tǒng)的用戶進行嚴格限制，由于目前防火墻對組播（MUTLICAST）技術(shù)支持不夠理想，目前廣電總局內(nèi)網(wǎng)的視頻點播系統(tǒng)暫不放在該網(wǎng)段下。網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、配置、管理廣電總局內(nèi)部網(wǎng)絡(luò)，這些系統(tǒng)擁有對網(wǎng)絡(luò)設(shè)備及主機一定的管理權(quán)限，并存貯整網(wǎng)的相關(guān)信息，所以需要對網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進行較高級別的安全防護，由于網(wǎng)管及安全管理系統(tǒng)需要開放的端口較多，因此我們建議在網(wǎng)絡(luò)管理級前不部署防火墻系統(tǒng)，依靠主機自身安全增強及強加密認證系統(tǒng)提高系統(tǒng)安全防護能力。直屬機關(guān)接入用戶級：安全級別相對較低。由于這類用戶是使用遠程接入廣電總局內(nèi)網(wǎng)，且對業(yè)務(wù)的訪問模式較固定，所以對該類用戶的安全等級及策略規(guī)劃較其他三個等級簡單。并通過VPN方式與各直屬機關(guān)建立隧道加密機制。由以上四個安全等級劃分出發(fā)。防火墻上實施如下策略原則如下：1. 默認關(guān)閉防火墻上的所有訪問規(guī)則2. 允許內(nèi)網(wǎng)訪問DMZ口的必要服務(wù)3. 禁止DMZ口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng)、外網(wǎng)到DMZ的訪問4. 允許內(nèi)網(wǎng)、DMZ對外網(wǎng)的訪問，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全考慮入侵檢測技術(shù)是當今一種非常重要的動態(tài)安全技術(shù)，與傳統(tǒng)的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護水平。入侵檢測技術(shù)是動態(tài)安全技術(shù)的核心技術(shù)之一。2. 模式發(fā)現(xiàn)技術(shù)?；谝韵乱蛩氐目紤]，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。我們必須及時高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。3. 雖然在上述的改造方案中已經(jīng)為廣電總局部署了防火墻，對網(wǎng)段起到了一定的保護作用，但是很多攻擊手法是防火墻無法阻擋的，比如對Web Server的基于異常URL的攻擊，具體體現(xiàn)的例子有Code Red、Nimda等等很多。4. 防火墻雖然可以擋住某些攻擊，但是通常無法留下細節(jié)的攻擊記錄，這對分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測系統(tǒng)剛好可以解決這一問題。在選擇入侵監(jiān)測系統(tǒng)時需要考慮的因素主要有：1. 管理模式2. 協(xié)議分析及檢測能力；3. 解碼效率(速度)；4. 自身安全的完備性；5. 精確度及完整度，防欺騙能力；6. 模式更新速度。這套入侵檢測系統(tǒng)部署在核心交換機上，（由于性能問題，原則上不對視頻點播系統(tǒng)進行檢測）。網(wǎng)絡(luò)IDS系統(tǒng)主機都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用于接受管理中心的管理。此外，在核心交換機上設(shè)置Port Mirror將需要檢測的VLAN的流量映射到對應的監(jiān)聽網(wǎng)卡所連接的端口。廣電總局網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測系統(tǒng)部署拓撲圖 安全審計系統(tǒng)網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機開放服務(wù)，同時模擬黑客入侵對主機或網(wǎng)絡(luò)設(shè)備進行偵測性刺探，從而發(fā)現(xiàn)主機或網(wǎng)絡(luò)設(shè)備的安全漏洞。我們推在廣電總局內(nèi)網(wǎng)部署網(wǎng)絡(luò)掃描軟件。對于網(wǎng)絡(luò)掃描審計產(chǎn)品的選型，考慮如下因素：l 體系結(jié)構(gòu)：Client/Server結(jié)構(gòu)的掃描審計軟件具有集中管理的優(yōu)勢，利于電信環(huán)境部署及擴展；l 攻擊模式庫數(shù)量：應對多種攻擊模式均支持；l 軟件更新速度快；l 中文化和本地化支持；建議掃描審計軟件對全網(wǎng)主機和設(shè)備的安全審計信息均存放在管理網(wǎng)段的數(shù)據(jù)庫中，其中包括主機的操作系統(tǒng)版本、漏洞情況、patch情況等安全信息。同時，掃描審計軟件應提供相關(guān)接口，便于用戶輸入設(shè)備安全信息，也進一步增強該軟件的決策支持能力。因此，對于掃描審計系統(tǒng)，必須在嚴格的安全代價分析和詳細的掃描模式庫選擇下進行實施，通常對于重要的業(yè)務(wù)系統(tǒng)，要根據(jù)系統(tǒng)主機的負載情況制定不同時間段的掃描計劃，從而獲得全面的系統(tǒng)安全狀況。 日志分析系統(tǒng)由于全網(wǎng)存在眾多網(wǎng)絡(luò)和主機設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套日志分析系統(tǒng)用于網(wǎng)絡(luò)設(shè)備和主機系統(tǒng)的日志管理。對于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素：l 集中收集和監(jiān)控系統(tǒng)日志。l 每秒接受日志的速度。l 持多種設(shè)備類型及數(shù)量，是否支持標準syslog協(xié)議。 集中認證及一次性口令系統(tǒng)廣電總局由于主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備繁多，在以往的管理模式下，用戶認證和授權(quán)都存在較大的安全隱患，主要表現(xiàn)在主機和網(wǎng)絡(luò)設(shè)備的口令認證，以及網(wǎng)絡(luò)設(shè)備的用戶權(quán)限控制上。用戶身份認證是一個完善的安全策略方案中必不可少的模塊，特別是在存在著通過遠程訪問方式訪問系統(tǒng)資源的情況下。除了認證用戶身份以外，用戶驗證還可以定義了每個用戶能夠訪問的資源，這就為多種資源并存的環(huán)境提供了增強的控制和更好的安全性。一次性口令密碼保護解決方案是利用雙重密碼： 靜態(tài)及動態(tài)密碼 ， 靜態(tài)密碼:用戶自己默記的個人口令， 動態(tài)密碼:由擁有一個令牌，每六十秒變換出一個獨一無二、不能預測的密碼。這樣在很大程度上避免了由于用戶主觀上的失誤而造成的安全漏洞?！皹擞洝钡漠a(chǎn)生有兩種方式，它可以由一個硬設(shè)備——像信用卡般大小的電子計算器，每60秒鐘生成并顯示一個新的未知的隨機代碼，也可以由基于工作站的軟件公用程序而產(chǎn)生。另外，這種代碼比起常規(guī)口令模式的優(yōu)點在于它不可能被盜用，因為它總是在改變口令。本次安全項目建議購買7個令牌卡，具體部署如下：n 認證中心放置在網(wǎng)管中心；n 2塊令牌用于關(guān)鍵網(wǎng)絡(luò)設(shè)備的用戶驗證，1塊作為備份；n 3塊令牌用于重要服務(wù)器用戶驗證，1塊作為備份；我們建議利舊廣電總局目前已有的Sun E250服務(wù)器負責RSA系統(tǒng)運行。然而保護網(wǎng)絡(luò)免受愈演愈烈的計算機病毒威脅已不是一件簡單的事情。很多事實表明，病毒比其他安全威脅造成的經(jīng)濟損失都大的多。傳統(tǒng)的防病毒策略往往只注重桌面平臺的病毒防范，就像目前廣電總局內(nèi)部曾經(jīng)購買的瑞星防病毒單機版。隨著分布式網(wǎng)絡(luò)計算、文檔駐留宏、群件等新技術(shù)的出現(xiàn)以及網(wǎng)絡(luò)的廣泛應用，網(wǎng)絡(luò)早已經(jīng)成為病毒的主要傳播途徑。面對當前的網(wǎng)絡(luò)安全形勢，我們迫切需要一套單一、集中、全面的防病毒解決方案。針對目前世界上主流的病毒產(chǎn)品和國內(nèi)知名的病毒產(chǎn)品，包括McAfee VirusScan、Norton AntiVirus、Kill系列、VRV、TrendMicro InterScan等產(chǎn)品，應從綜合評估，包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源的占用、掃描病毒的方式、處置病毒的方式、日志的管理、病毒庫的及時更新以及各公司的技術(shù)實力和對廣電總局內(nèi)網(wǎng)的實用性等方面考慮。 鑒于廣電總局內(nèi)網(wǎng)對物理隔離的嚴格要求，我們建議防病毒系統(tǒng)的病毒庫及掃描引擎升級工組有系統(tǒng)管理員通過手工下載并存儲在軟盤上進行手動安裝升級（只需對病毒集中控制端進行手工操作，其他用戶主機將由病毒集中控制中心自動分發(fā)并安裝） 業(yè)務(wù)系統(tǒng)安全 OA業(yè)務(wù)的安全廣電總局的OA業(yè)務(wù)運行在兩臺SUN E3500平臺上，OA業(yè)務(wù)的核心進程主要有WEB服務(wù)與數(shù)據(jù)庫服務(wù)。針對廣電總局的OA業(yè)務(wù)系統(tǒng)，應通過相應的安全增強手段加強OA業(yè)務(wù)的安全性，具體參考如下：1. 采用SSL加密訪問機制提供OA業(yè)務(wù)服務(wù)。2. 采用CA認證機制，建立維護廣電總局OA用戶的證書管理中心。2. 訪問控制對不同的信息資源和用戶設(shè)定不同的權(quán)限，系統(tǒng)根據(jù)每個訪問者的身份確定他的訪問權(quán)限，保證只允許授權(quán)的用戶訪問授權(quán)的資源。3. 數(shù)據(jù)保密信息的傳輸過程加密，保證通信內(nèi)容不被他人捕獲，不會泄露敏感信息。5. 防止否認防止信息發(fā)出者對自己發(fā)出的信息進行抵賴，提供數(shù)字化的操作信息憑證。l 公鑰密碼算法公鑰密碼算法使用兩個不同的密鑰，即解密密鑰Kd（私有密鑰）和加密密鑰Ke（公開密鑰），信息加密時使用Ke，密文解密時使用Kd。一般統(tǒng)稱私鑰Kd和公鑰Ke為“公私密鑰對”。使用者在使用時，將自己的私鑰Kd保存起來，而將自己的公鑰Ke對外公開。數(shù)字證書是各實體在網(wǎng)上信息交流及商務(wù)交易活動中的身份證明，具有唯一性。這就意味著應有一個網(wǎng)上各方都信任的機構(gòu)，專門負責對各個實體的身份進行審核，并簽發(fā)和管理數(shù)字證書，這個機構(gòu)就是證書中心CA。在基于證書的安全通信中，證書是證明用戶合法身份和提供用戶合法公鑰的憑證，是建立保密通信的基礎(chǔ)。目前，國際電力聯(lián)盟ITU發(fā)布了數(shù)字證書的國際標準——，：l 認證協(xié)議——安全套接層協(xié)議SSL（Secure Socket Layer）安全套接層SSL協(xié)議目前Internet上使用最廣泛的安全協(xié)議，兩大主流瀏覽器——Netscape Navigator和Microsoft 。SSL認證協(xié)議有以下