【正文】 .........................................................................57 小結(jié) ..................................................................................................................................................59 產(chǎn)品清單 ...........................................................................................................................60 1 網(wǎng)絡(luò)安全方案摘要 網(wǎng)絡(luò)安全方案描述 眾所周知，網(wǎng)絡(luò)為人們提 供了極大的便利。但由于構(gòu)成 Inter 的 TCP/IP 協(xié)議本身缺乏安全性，提供一種開放式的環(huán)境，網(wǎng)絡(luò)安全成為一個在開放式環(huán)境中必要的技術(shù)，成為必須面對的一個實際問題。通過 Inter 的數(shù)據(jù)傳輸，存在時間上的延遲，更存在地理位置上的跨越，要避免數(shù)據(jù)徹底不受竊聽，基本是不 可能的。 源路由攻擊 —— 報文發(fā)送方通過在 IP 報文的 Option 域中指定該報文的路由，使報文有可能被發(fā)往一些受保護的網(wǎng)絡(luò)。然后利用這些漏洞對路由器進行 攻擊，使得路由器整個 DOWN 掉或無法正常運行。比如通過發(fā)送大量報文使得網(wǎng)絡(luò)帶寬資源被消耗。最近拒絕服務(wù)攻擊又有了新的發(fā)展，出現(xiàn)了分布式拒絕服務(wù)攻擊， Distributed Denial Of Service，簡稱 DDOS。 應(yīng)用層攻擊 —— 有多種形式，包括探測應(yīng)用軟件的漏洞、 “ 特洛依木馬 ” 等等。 隨著網(wǎng)絡(luò)應(yīng)用的日益普及，尤其是在一些敏感場合（如公安、政府機關(guān)等）的應(yīng)用，網(wǎng)絡(luò)安全成為日益迫切的重要需求。網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)資源和數(shù)據(jù)通訊的關(guān)鍵設(shè)備，有必要提供充分的安全保護功能，交換機、路由器、防火墻、入侵檢測、防病毒、網(wǎng)閘、管理平臺等產(chǎn)品提供了多種網(wǎng)絡(luò)安全機制，為網(wǎng)絡(luò)資源和數(shù)據(jù)交換提供了有力的安全保護。 為了便于分析網(wǎng)絡(luò)安全和設(shè)計網(wǎng)絡(luò)安全解決方案，我們采取對網(wǎng)絡(luò)分層的方法，并且在每個層面上進 行細致的分析，根據(jù)風(fēng)險分析的結(jié)果設(shè)計出符合具體實際的、可行的網(wǎng)絡(luò)安全整體解決方案。 物理 層安全－ 網(wǎng)絡(luò)的物理安全主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用 ,而造成網(wǎng)絡(luò)系統(tǒng)的不可用。在網(wǎng)絡(luò)安全考慮時，首先要考慮物理安全。除此之外，在一些特殊重要的網(wǎng)絡(luò)應(yīng)用中，可利用“網(wǎng)絡(luò)隔離和 信息交換”技術(shù)，將兩個網(wǎng)絡(luò)從物理上隔斷而保證應(yīng)用上連通實現(xiàn)的“信息擺渡”。網(wǎng)絡(luò)傳送安全主要需要注意的有重要業(yè)務(wù)數(shù)據(jù)泄漏和重要業(yè)務(wù)數(shù)據(jù)破壞。 重要數(shù)據(jù)被破壞：是指不法分子針對網(wǎng)上傳輸數(shù)據(jù)做出偽造、刪除、竊取、竄改等攻擊。 網(wǎng)絡(luò)服務(wù)安全是指：入侵者通過 Sniffer 等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞；入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)的重要信息；入侵者通過發(fā)送大量 PING 包對內(nèi)部網(wǎng)中重要服務(wù)器進行攻擊，使得服務(wù)器超負荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。如果辦公系統(tǒng)與 業(yè)務(wù)系統(tǒng)沒有采取相應(yīng)安全措施，同樣是內(nèi)部網(wǎng)用戶的個別員工可能訪問到他本不該訪問的信息。或者在別的用戶關(guān)機后，盜用其 IP 進行非法操作，來隱瞞自已的身份。同時還有：與 INTERNET 連接帶來的安全隱患；身份認證漏洞；高速局域網(wǎng)服務(wù)器群安全；內(nèi)部管理服務(wù)平臺的安全。專用網(wǎng)絡(luò)通常采用的操作系統(tǒng) (主要為 UNIX)本身在安全方面有一定考慮，但服務(wù)器、數(shù)據(jù)庫的安全級別較低，存在一些安全隱患。因此我們有必要認真的分析管理所帶來的安全風(fēng)險，并采取相應(yīng)的安全措施。同時，當(dāng)事故發(fā)生后，必須提供黑客攻擊行為的追蹤線索及破案依據(jù)，即網(wǎng)絡(luò)應(yīng)該有可控性與可審查性。建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案。 網(wǎng)絡(luò)安全解決思路 網(wǎng)絡(luò)的安全覆蓋系統(tǒng)的各個層面，由“物理級安全、網(wǎng)絡(luò)級安全、應(yīng)用級安全、系統(tǒng)級安全和管理級安全”五個層次組成。系統(tǒng)級層次的安全主要依靠操作系統(tǒng)的可靠性、漏洞補救、病毒防護等措施保障，該層次的安全性可以結(jié)合網(wǎng)絡(luò)層、應(yīng)用層和管理層的措施共同防護。包括網(wǎng)絡(luò)傳送、網(wǎng)絡(luò)服務(wù)、應(yīng)用安全、安全識別、安全防御、安全監(jiān)控、審計分析、集中管理等多個方面。 其中在技術(shù)方面主要由數(shù)據(jù)安全識別、防御、傳 送、監(jiān)控四個部分支撐；在管理方面需要進行實時的安全保護、審計、分析、智能管理。 安全解決方案層次結(jié)構(gòu) 安全識別技術(shù)包括用戶接入身份認證、用戶訪問權(quán)限區(qū)分、管理員權(quán)限識別與限制、業(yè)務(wù)使用訪問控制、網(wǎng)絡(luò)服務(wù)使用控制、管理員視圖控制、訪問策略服務(wù)等等。 安全傳送包括采用 IPsec、 SSL 等技術(shù)，采用 VPN 隧道對傳輸數(shù)據(jù)進行加密。 網(wǎng)絡(luò)安全問題解決建議 安全方案闡述： 在榆林市政府應(yīng) 急中心網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（電子政務(wù)網(wǎng)、互聯(lián)網(wǎng)）之間部署防火墻產(chǎn)品，用于對進出榆林市政府應(yīng)急中心網(wǎng)絡(luò)的數(shù)據(jù)包進行過濾和有效控制； 在榆林市政府應(yīng)急中心網(wǎng)絡(luò)中需要監(jiān)控的核心交換機上部署入侵檢測設(shè)備，用于監(jiān)測通過內(nèi)網(wǎng)核心交換機的數(shù)據(jù)包行為并與防火墻設(shè)備進行聯(lián)動，一旦發(fā)現(xiàn)有可疑數(shù)據(jù)包，則通知防火墻對該數(shù)據(jù)包作相應(yīng)處理； 按照國家有關(guān)規(guī)定，在榆林市政府應(yīng)急中心網(wǎng)絡(luò)中數(shù)據(jù)中心和外部局域網(wǎng)之間部署網(wǎng)絡(luò)隔離和信息交換設(shè)備，實現(xiàn)內(nèi)部局域網(wǎng)與外部局域網(wǎng)的物理隔離，從根本上杜絕攻擊者利用操作系統(tǒng)或數(shù)據(jù)庫本身的漏洞來竊取重要數(shù)據(jù)或攻擊 數(shù)據(jù)中心服務(wù)器或小機等設(shè)備。 2 網(wǎng)絡(luò)安全詳細技術(shù)建議書 網(wǎng)絡(luò)架構(gòu)分析 應(yīng)用系統(tǒng)架構(gòu) 接入與表示層 該層 的主要作用是訪問應(yīng)用邏輯層提供的各種應(yīng)用系統(tǒng)功能，并將應(yīng)用邏輯層返回的結(jié)果通過各種技術(shù)手段展現(xiàn)給用戶，使用戶能通過不同的界面和通訊方式連入應(yīng)用系統(tǒng)。 應(yīng)用邏輯層 應(yīng)用邏輯層是整個應(yīng)用系統(tǒng)架構(gòu)的核心，主要的業(yè)務(wù)邏輯都是由應(yīng)用邏輯層中的應(yīng)用系統(tǒng)實現(xiàn)的。 數(shù)據(jù)層 數(shù)據(jù)層存儲的主要是業(yè)務(wù)數(shù)據(jù)，包括文件級數(shù)據(jù)和機密級數(shù)據(jù)。具體描述如下： TCP/IP 協(xié)議的弱點 由于 TCP/IP 協(xié)議作為事實上的工業(yè)標(biāo)準(zhǔn) ， 以其 IP Over Everything 的思想 ， 簡化了網(wǎng)絡(luò)構(gòu)建的復(fù)雜性 ， 并隨著技術(shù)的發(fā)展 ， 并最終實現(xiàn) Everything Over IP 的網(wǎng)絡(luò)融合 ， 這種網(wǎng)絡(luò)發(fā)展的趨勢是不可逆轉(zhuǎn)的 ， 是由 IP 技術(shù)的競爭優(yōu)勢確定的。 但同時我們也看 到，由于 TCP/IP 協(xié)議在產(chǎn)生之處，還沒有全面考慮安全方面的因素，就使得該協(xié)議組自身便存在一些先天的安全問題，而對于 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 系統(tǒng)來講，由于大量的應(yīng)用程序都是以 TCP 作為數(shù)據(jù)的傳輸層協(xié)議，因此 TCP/IP 協(xié)議的安全性會給 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 帶來嚴(yán)重的后果。 還有就是 IP 欺騙攻擊， IP 欺騙由若干步驟組成，首先，目標(biāo)主機已經(jīng)選定。黑客為了進行 IP 欺騙，進行以下工作：使得被信任的主機喪失工作能力，同時采樣目標(biāo)主機發(fā)出的 TCP 序列號，猜測出它的數(shù)據(jù)序列號。如果成功，黑客可以使用一種簡單的命令放置一個系統(tǒng)后門，以進行非授權(quán)操作。 攻擊者將要代替真正的被信任主機 。 ? 攻擊者對網(wǎng)上文件查詢主機進行拒絕服務(wù)攻擊，而使網(wǎng)上文件查詢主機無法正常工作； ? 攻擊者利用地址欺騙，獲得更多的訪問權(quán)限，有可能會滲透到系統(tǒng)內(nèi)部，造成更大的損失； ? 內(nèi)部員工由于不滿或無意識間利用辦公用機散播蠕蟲病毒，導(dǎo)致整體網(wǎng)絡(luò)運行故障； 網(wǎng)絡(luò)設(shè)備的風(fēng)險 在網(wǎng)絡(luò)中的重要的安全設(shè)備如路由器交換機等有可能存在著以下的安全風(fēng)險：（以最常用的路由器為例） ? 路由器缺省情況下只使用簡單的 口令驗證用戶的身份，并且遠程 TELNET 登錄時以明文傳輸口令。 ? 路由器口令的弱點是沒有計數(shù)器功能的，所有每個人都可以不限次數(shù)地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。 ? 路由器實現(xiàn)的動態(tài)路由協(xié)議存在著一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置，達到破壞網(wǎng)絡(luò)或為攻擊做準(zhǔn)備。比如 ICMP 重定向攻擊、源路由攻擊等。 網(wǎng)絡(luò)服務(wù)器的風(fēng)險 針對 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 系統(tǒng)來講，運行在專網(wǎng)上的各種網(wǎng)絡(luò)服務(wù)器構(gòu)成了最重要的信息資產(chǎn)，如何確保這些重要的網(wǎng)絡(luò)服務(wù)器能夠穩(wěn)定、可靠、安全地運行，是保證系統(tǒng)各項業(yè)務(wù)正常開展的基礎(chǔ)。這要求保證： 1）只有授權(quán)用戶才可以訪問服務(wù)和信息； 2）授權(quán)用戶只能訪問那些他們被授權(quán)訪問的服務(wù)； 3）信息的公開要與策略一致； ? 維護存儲 在服務(wù)器上信息的完整性，以免信息被破壞或被損壞，并使系統(tǒng)像期望的那樣運行。這要求保證： 1）即使硬件或軟件出故障，或進行系統(tǒng)的日常維護時對信息和服務(wù)的訪問也不中斷； 2）能及時識別并響應(yīng)安全事件； ? 確保用戶名副其實，網(wǎng)絡(luò)服務(wù)器主機也名副其實，這叫做“相互驗證”。如果存在網(wǎng)絡(luò)內(nèi)訪問混亂，外來人員也很容易 接入網(wǎng)絡(luò)，地址被隨意使用等問題，將導(dǎo)致網(wǎng)絡(luò)難以管理，網(wǎng)絡(luò)工作效率下將，無法部署安全設(shè)備、對攻擊者也無法進行追蹤審計。 數(shù)據(jù)傳輸?shù)陌踩? 從網(wǎng)絡(luò)結(jié)構(gòu)的分析上，我們看到，對于某些省份，由于其主干網(wǎng)絡(luò)采取政務(wù)網(wǎng)（第三方不可信任網(wǎng)絡(luò)），那么當(dāng)數(shù)據(jù)以明文的方式在這種不可信任網(wǎng)絡(luò)中進行傳遞和交換時，就給數(shù)據(jù)的安全性、保密性帶來極大的挑戰(zhàn)，具體來講對數(shù)據(jù)傳輸安全造成威脅的主要行為有： ? 竊聽、破譯傳輸信息： 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 主要用于進行重要數(shù)據(jù)和報文的傳遞，具有一定的敏感性。即使沒有破譯傳輸?shù)男畔ⅲ部梢酝ㄟ^刪減信息內(nèi)容等方式，造成對信息的破壞，比如將一份報文的后半部分去掉，造成時間、地點等重要內(nèi)容的缺失，導(dǎo)致信息的嚴(yán)重失真； ? 重放攻擊：即使攻擊者無法破譯報文內(nèi)容，也無法對報文進行篡改或刪減，但也可以通過重新發(fā)送收到的數(shù)據(jù)包的方式，進行重放攻擊。例如，偽裝成一個合法用戶，參與正常的通信過程，造成數(shù)據(jù)泄密。這些應(yīng)用建立在 硬件平臺、操作系統(tǒng)平臺、數(shù)據(jù)庫系統(tǒng)平臺、中間件系統(tǒng)平臺、辦公自動化系統(tǒng)平臺和 榆林市政府應(yīng)急中心 網(wǎng)站系統(tǒng)平臺之上。 硬件平臺風(fēng)險分析 硬件平臺的安全風(fēng)險包括硬件平臺的安全威脅和脆弱性，它的某些安 全威脅和脆弱性也影響著軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)。而數(shù)據(jù)是依賴于軟件而存在的，也就是說數(shù)據(jù)資產(chǎn)也間接地依賴于某些硬件，因此數(shù)據(jù)資產(chǎn)的安全威脅和脆弱性也顯然包括了服務(wù)器、工作站等硬件所受的技術(shù)故障、人員錯誤以及物理和環(huán)境的威脅和脆弱性。 ? 人員故意損害，是由于用戶心存不滿、意在報復(fù)而采取的破壞行為和引起系統(tǒng)或維護環(huán)境上的物理、軟件和數(shù)據(jù)損壞發(fā)生的可能性，它包括內(nèi)部人員故意損害、外部人員故意損害和恐怖主義。安全漏洞是指任意的允許非法用戶未經(jīng)授權(quán)許可獲得訪問或提高其訪問層次的硬件或軟件特征。 ?????? UNIX 操作系統(tǒng)安全漏洞 UNIX 類服務(wù)器和工作站由于其出色的穩(wěn)定性和高性能而成為大型 網(wǎng)絡(luò)系統(tǒng)常采用的操作系統(tǒng)，當(dāng)前承擔(dān)著應(yīng)用的關(guān)鍵任務(wù)。 Windows NT/2020/XP 系統(tǒng)的安全水平取決于管理員在安裝過程、補丁安裝過程、應(yīng)用服務(wù)配置過程中的安全修養(yǎng)和實際考慮。借助WINDOWS 95/98 系統(tǒng)中存在的漏洞，攻擊和入侵者可以直接竊取用戶口令、竊取重要數(shù)據(jù)文件、安裝木馬程序、采用逐漸參透方法入侵其它主機等。因此，由此導(dǎo)致的網(wǎng)絡(luò)安全威脅不容忽視。隨著計算機在社會各個領(lǐng)域的廣泛應(yīng)用，信息系統(tǒng)中的數(shù)據(jù)庫管理系統(tǒng)擔(dān)負著集中處理大量信息的使命，但是數(shù)據(jù)庫通常沒有像操作系統(tǒng)和網(wǎng)絡(luò)那樣在安全性上受到重視。數(shù)據(jù)庫系統(tǒng)平臺是應(yīng)用系統(tǒng)的基礎(chǔ)， 其面臨的安全風(fēng)險包括： ? 偶然的、無意的侵犯 /或破壞。例如地震，水災(zāi)和火災(zāi)等導(dǎo)致的硬件損壞，進而導(dǎo)致數(shù)據(jù)的損壞和丟失。硬件或軟件的故障 /錯誤導(dǎo)致可能導(dǎo)致系統(tǒng)內(nèi)部的安全機制的失效，也可導(dǎo)致非法訪問數(shù)據(jù)或系統(tǒng)拒絕提供數(shù)據(jù)服務(wù)。操作人員或系統(tǒng)的直接用戶的錯誤輸入、應(yīng)用系統(tǒng)的不正確的使用。授權(quán)用戶可能濫用他們的權(quán)限，蓄意竊取或破壞信息。病毒可以自我復(fù)制，永久的或通常是不可恢復(fù)的破壞自我復(fù)制的現(xiàn)場，到達破壞信息系 統(tǒng)、取得信息甚至使系統(tǒng)癱瘓。一些隱藏在公開的程序內(nèi)部收集環(huán)境的信息，可能是由授權(quán)用戶安裝（不經(jīng)意的）的，利用用戶的合法權(quán)限竊取數(shù)據(jù)。是隱藏在合法程序內(nèi)部的一段代碼，在特定的條件下啟動，從而許可此時的攻擊可以跳過系統(tǒng)設(shè)置的安全稽核機制進入系統(tǒng)，以達到竊取數(shù)據(jù)的目的。 ? 對信息的非正常的修改，包括破壞數(shù)據(jù)一致性的非法修改以及刪除。 中間件系統(tǒng)平臺風(fēng)險分析 對于中間件的安全 風(fēng)險主要是在網(wǎng)絡(luò)互連及數(shù)據(jù)通信過程中來自不速之客的非法性 動作，主要有非法截取閱讀或修改數(shù)據(jù)、假冒他人身份進行欺騙、未授權(quán)用戶訪問網(wǎng)絡(luò)資源等。 集中安全管理 （數(shù)據(jù)庫穩(wěn)定性監(jiān)控） 安全需求分析 根據(jù)上面所分析的內(nèi)容， 可以看到， 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 系統(tǒng)目前 存在著較多的安全隱患，作為重要的 政府 職能部門， 榆林市政府應(yīng)急 中心網(wǎng)絡(luò) 系統(tǒng) 受到 更多的關(guān)注，遭遇 攻擊威脅的可能性 很 高，綜合 上面的描述，下面從網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全的角度出發(fā)，歸納出 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 主要 存在 的安全需求 為 ： 邊界防護需求、入侵檢測需求、安全隔離需求、病毒防護需求。一般來說邊界防護采用的主要技術(shù) 是 防火