廣電總局網(wǎng)絡(luò)安全技術(shù)建議書_內(nèi)

北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 1 頁(yè) 共 34 頁(yè) 廣電總局網(wǎng)絡(luò)安全技術(shù)建議書 一、 綜述 1.1 建設(shè)背景 廣電總局內(nèi)部網(wǎng) 承載著廣電總局內(nèi)各部門間日常工作的公文流轉(zhuǎn)、審批等一系列辦公自動(dòng)化系統(tǒng)。目前，該網(wǎng)絡(luò)與廣電總局外部網(wǎng)絡(luò)采取完全的物理隔離 。隨著廣電總局內(nèi)部網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求， 網(wǎng)絡(luò) 安全 作為信息化建設(shè)中必不可少的一項(xiàng)工作 ， 以逐漸提現(xiàn)出其重要性。 首先， 在 廣電總局內(nèi)部網(wǎng)絡(luò) 的日常 運(yùn)維過(guò)程中， 出 現(xiàn) 了一定的 安全問(wèn)題 。其次，隨著信息化工作的開(kāi)展，廣電總局直屬機(jī)關(guān)與總局內(nèi)部網(wǎng)絡(luò)的互聯(lián)互通將對(duì)網(wǎng)絡(luò)安全提出新的要求。 所以 ，為了 保障 廣電總局 網(wǎng)絡(luò) 系統(tǒng)資源的安全和穩(wěn)定運(yùn)行， 迫切需 要建立一個(gè)統(tǒng)一的安全防護(hù)體系， 從而 為 廣電總局 及各直屬機(jī)關(guān) 提供高質(zhì)量的信息服務(wù)。 本次項(xiàng)目主 要是針對(duì) 廣電總局內(nèi)部 的安全提出 解決方案，涉及防火墻系統(tǒng)、安全審計(jì)系統(tǒng)、 網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)、 日志分析系統(tǒng)、防病毒體系、 OA 業(yè)務(wù) 安全防護(hù)系統(tǒng) 、安全管理、系統(tǒng)安全增強(qiáng)及性能優(yōu)化 以及未來(lái)與廣電總局直屬機(jī)關(guān)互聯(lián)互通時(shí)的安全相關(guān) 技術(shù) 和建議 。 1.2 網(wǎng)絡(luò)現(xiàn)狀及安全需求 廣電 總局內(nèi)部網(wǎng)絡(luò) 的網(wǎng)拓?fù)浣Y(jié)構(gòu)可以用下圖表示： 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 2 頁(yè) 共 34 頁(yè) SiSi SiSiA5100E3500 E3500 E250 E250 IBMNetfinity 4000IBMNetfinity 40002926 2926 3548 35482926.SUN U10廣電總局 廣域網(wǎng)拓?fù)?SUN E3500：兩臺(tái)。 OA 系統(tǒng)主服務(wù)器，采用 雙機(jī)備份。 SUN A5100：磁盤陣列 E250：兩臺(tái)。 一臺(tái)為內(nèi)網(wǎng) DNS，另一臺(tái)閑置 IBM Netfinity 4000：兩臺(tái) 。 ULTRA 10： 內(nèi)網(wǎng)網(wǎng)管服務(wù)器 內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)由兩臺(tái) CISCO 6509 承擔(dān)內(nèi)網(wǎng)核心交換工作。該交換機(jī)上劃分VLAN。隔離不同業(yè)務(wù)系統(tǒng)及不同部門間子網(wǎng)。內(nèi)網(wǎng)業(yè)務(wù)主機(jī)直接接入到 6509上。 14 臺(tái) 2926 及 2 臺(tái) 3548 通過(guò)千兆上聯(lián)到 6509。提供對(duì)各部門日常辦公桌面機(jī)的接入。 直觀看來(lái)，此網(wǎng)絡(luò)已經(jīng)具有了一定的安全性，內(nèi)網(wǎng)與 Intenet 實(shí)施了 完全的物理 隔離措施。但是，仔細(xì)分析我 們可以看出，這個(gè)網(wǎng)絡(luò)仍然存在很多安全隱患。 雖然 劃分了 VLAN，但是 VLAN 只起到了隔離廣播信息的功能。 對(duì)于 內(nèi)網(wǎng)中對(duì)重要服務(wù)器的訪問(wèn)和各部門間的互訪缺乏實(shí)際的訪問(wèn)控制。 重要業(yè)務(wù)主機(jī)（服務(wù)機(jī)）與員工自用桌面機(jī)處于同一邏輯層。缺乏安全等級(jí)的劃分，服務(wù)器與員工桌面機(jī)間無(wú)安全等級(jí)差別 或 隔離手段，如果某部門 工作 PC 機(jī)被安裝了木馬，就完全可能 被利用 成為 惡意 攻擊的跳 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 3 頁(yè) 共 34 頁(yè) 板從而對(duì)核心服務(wù)器 或其他部門的主機(jī) 發(fā)起攻擊 ，達(dá)到隱藏真正破壞者的功能 。 重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及 業(yè)務(wù)系統(tǒng)如 OA 系統(tǒng)的身份認(rèn)證技術(shù)未采用加密機(jī)制，用戶密碼以 明碼方式在網(wǎng)絡(luò)上傳播。如果惡意用戶在網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)分析軟件，可截獲用戶密碼，冒充正常用戶身份進(jìn)行破壞活動(dòng)。 內(nèi)部網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護(hù) 、查殺及隔離 措施，一旦某臺(tái)用戶主機(jī)感染病毒， 會(huì)在短時(shí)間內(nèi)造成病毒在廣電內(nèi)部網(wǎng)絡(luò)中的廣泛傳播。 未來(lái)各直屬機(jī)關(guān)的遠(yuǎn)程接入 也有可能成為攻擊發(fā)起的來(lái)源，需要實(shí)施隔離。 目前廣電外網(wǎng)安全只 單純依賴被動(dòng)型的安全手段如防火墻，而缺乏主動(dòng)發(fā)現(xiàn)型的安全手段，比如安全漏洞審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)等。無(wú)法防患于未然。 缺乏對(duì)攻擊的監(jiān)測(cè)和記錄手段，比如入侵檢測(cè)系統(tǒng)、日志服務(wù)器等，無(wú)法有效的發(fā)現(xiàn)安全事 件，也沒(méi)有舉證手段。 由于存 在眾多安全問(wèn)題，所以迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系，保障廣電總局內(nèi)部 網(wǎng)絡(luò) 系統(tǒng)資源的安全和穩(wěn)定運(yùn)行，從而為 廣電總局 各 部門、各直屬機(jī)關(guān) 提供高質(zhì)量的信息服務(wù)。 以下 我們 將從網(wǎng)絡(luò)結(jié)構(gòu)安全 結(jié)構(gòu) 、 網(wǎng)絡(luò) 安全 技術(shù) 、 防病毒體系 及安全管理 等幾個(gè)方面 闡述 我們 的安全建議 。 1.3 安全設(shè)計(jì)原則 整體性原則 安全作為一個(gè)特殊的技術(shù)領(lǐng)域，有著自己的特點(diǎn)。安全問(wèn)題必須遵從整體性原則， 網(wǎng)絡(luò)中的任何一個(gè)漏洞或隱患都可能造成整網(wǎng)的安全水平的降低。 網(wǎng)絡(luò) 安全系統(tǒng)應(yīng)該包括三種機(jī)制：安全防護(hù)機(jī)制；安全監(jiān)測(cè)機(jī)制；安全恢復(fù) 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 4 頁(yè) 共 34 頁(yè) 機(jī)制。 安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行；安全監(jiān)測(cè)機(jī)制是監(jiān)測(cè)系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊；安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少攻擊的破壞程度 由于業(yè)務(wù)的重要性及安全需求， 廣電總局 內(nèi)部網(wǎng)絡(luò) 業(yè)務(wù)系統(tǒng) 目前相對(duì)簡(jiǎn)單。但是， 隨著 信息化發(fā)展的 需求，處于嚴(yán)格控管下的互聯(lián)互通將是網(wǎng)絡(luò)發(fā)展的 趨勢(shì) 。因此 在本次設(shè)計(jì)中，我們從全網(wǎng)角度出發(fā)，關(guān)注 廣電信息化建設(shè)的目標(biāo)， 各 廣電各 業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點(diǎn)提出 從防 護(hù) 檢測(cè) 回復(fù) 的 完整的 解決方案，而不是治標(biāo)不治本。 集中性原則 安全重在管理，所謂“三分技術(shù)，七分管理”闡述了安全的本質(zhì)。而安全管理重在集中。 廣電總局 的設(shè)備和主機(jī)類型較 多，業(yè)務(wù)系統(tǒng) 涵蓋廣電各個(gè)部門及相關(guān)機(jī)構(gòu)，業(yè)務(wù)模式 相對(duì)復(fù)雜且管理機(jī)構(gòu)和管理模式也千差萬(wàn)別。在全網(wǎng)安全方案的設(shè)計(jì)中，無(wú)論是安全管理制度的制定和施行，或是安全產(chǎn)品的選型和實(shí)施，還是長(zhǎng)期安全服務(wù)方案的制定，我們都將根據(jù)集中性原則，目標(biāo)是實(shí)現(xiàn)對(duì)各設(shè)備和 業(yè)務(wù) 系統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應(yīng)，這些都 將 依賴于管理制度統(tǒng)一的、集中的制定和施 行。 層次性原則 在 廣電總局 內(nèi)部網(wǎng)絡(luò) 安全方案設(shè)計(jì)中，無(wú)論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。安全問(wèn)題的層次性原則集中在兩個(gè)方面： 管理模式的層次性 在 廣電總局 內(nèi)部網(wǎng)絡(luò)中，由于涉及到跨部門及機(jī)構(gòu)的 人員以及地點(diǎn)，需要一種層次性的管理模式。比如，用戶管理需要分層次的授權(quán)機(jī)制；防病毒體系的病毒庫(kù)分發(fā)或報(bào)警也需要分層次機(jī)制；安全緊急響應(yīng)的流程也需要建立分層監(jiān)控，逐級(jí)響應(yīng)的機(jī)制。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 5 頁(yè) 共 34 頁(yè) 防護(hù)技術(shù)的層次性 層次性還表現(xiàn)在防護(hù)技術(shù)上。針對(duì)業(yè)務(wù)系統(tǒng)的防護(hù)往往有多種防護(hù)設(shè)備和手段，我們需要根據(jù)業(yè)務(wù)系統(tǒng) 特點(diǎn)提出多層次防護(hù)機(jī)制，保證在外層防護(hù)被入侵 失效 的情況 下 ，內(nèi)部防護(hù)層還可以起到防護(hù)作用。另一方面，各層之間的配合也是層次性原則的重要特點(diǎn)之一。 長(zhǎng)期性原則 安全一向是一個(gè)交互的過(guò)程，使用任何一種“靜態(tài)”或者號(hào)稱“動(dòng)態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問(wèn)題，所以我們針對(duì)安全問(wèn)題的特點(diǎn)，提供針對(duì) 廣電總局 內(nèi)部網(wǎng)絡(luò) 全面的安全服務(wù)，其中包括設(shè)備產(chǎn)品的技術(shù)支持和服務(wù)以及安全審計(jì)、安全響應(yīng)等專業(yè)安全服務(wù)。 二、 統(tǒng)一的安全防護(hù)體系 在整個(gè)安全項(xiàng)目設(shè)計(jì)過(guò)程中，我們始終遵循統(tǒng)一的安全原則，從全網(wǎng)安全管理角度出發(fā)，關(guān)注于各業(yè) 務(wù)系統(tǒng)的安全，目標(biāo)是為客戶建立統(tǒng)一的安全防護(hù)體系。 2.1 網(wǎng)絡(luò)系統(tǒng) 安全 基于以上四個(gè)原則， 我們 為 廣電總局 設(shè)計(jì)了如下的安全解決方案。下面，按照“層層設(shè)防”的安全理念， 我們 將從整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ) 網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)開(kāi)始，逐步闡述從 網(wǎng)絡(luò)核心交換區(qū)域、到辦公網(wǎng)段和核心服務(wù)器網(wǎng)段的不同安全策略和安全產(chǎn)品的選型 原則 和實(shí)施建議。 2.1.1 網(wǎng)絡(luò) 結(jié)構(gòu) 安全 首先，通過(guò)如下的示意圖，我們可以更加清晰的 了解本方案對(duì)廣電總局內(nèi)部網(wǎng)絡(luò)的安全結(jié)構(gòu) 。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 6 頁(yè) 共 34 頁(yè) SiSi SiSiA5100E3500E250 E250IBMNetfinity 40002926 2926 3548 35482926.Network IDS防火墻 防火墻3548 35483548安全審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)管理端日志分析系統(tǒng)SUN ULTRA 10網(wǎng)管主機(jī)VPNMODEM POOLPSTNVPN36XXVPNrouterVPNrouter病毒控制管理中心 內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) 建議 在經(jīng)過(guò)上述調(diào)整之后，我們 可以看到，構(gòu)成網(wǎng)絡(luò)核心的 依舊是兩臺(tái) CISCO 6509 高性能的高端 交換機(jī)，在這臺(tái)交換機(jī) 上匯接了 重要業(yè)務(wù)系統(tǒng) 接入、 廣電總局 各部門用戶 、 網(wǎng)管及安全管理網(wǎng)段 ， 在原有的 VLAN 基礎(chǔ)上合理劃分新的VLAN 結(jié)構(gòu) ，使網(wǎng)絡(luò)負(fù)載的分布更加合理。 其次， 在新的拓?fù)渲校?重要業(yè)務(wù)系統(tǒng)如辦公系統(tǒng)、 DNS/Mail/Proxy 等公共服務(wù)器網(wǎng)段之間都利用防火墻作了有效的隔離 ，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級(jí)與安全隔離 。 任意一個(gè) 網(wǎng)段 對(duì)網(wǎng)絡(luò)業(yè)務(wù)的訪問(wèn)都利用防火墻作了隔離，大大提高了網(wǎng)絡(luò)的安全性，在防止 攻擊、病毒 /蠕蟲(chóng)擴(kuò)散等方面都能夠起到很大作 用。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 7 頁(yè) 共 34 頁(yè) 第三， 在原先網(wǎng)管系統(tǒng)的基礎(chǔ)上，建立新的網(wǎng)絡(luò)管理及安全管理網(wǎng)段，該網(wǎng)段集中了網(wǎng)管、審計(jì)、日志、入侵檢測(cè)、統(tǒng)一認(rèn)證及病毒管理中心等安全及網(wǎng)管主機(jī)，日常運(yùn)維中通過(guò)各類安全技術(shù)收集整網(wǎng)安全信息，提供運(yùn)維人員整網(wǎng)狀況。通過(guò)在 6509 上實(shí)行一定的訪問(wèn)控制及安全策略，限制其他網(wǎng)段對(duì)該網(wǎng)段的非正常訪問(wèn)。從而確保該網(wǎng)段的安全性 。 第四， 在 6509 核心機(jī)上通過(guò)背板管理端口或端口鏡像技術(shù)將需要檢測(cè)網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對(duì)需要檢測(cè)的流量進(jìn)行不間斷的檢測(cè)和報(bào)警。 與直屬機(jī)關(guān)互 聯(lián)網(wǎng)絡(luò)建議 隨著業(yè)務(wù)的發(fā)展，廣電總局的內(nèi)部網(wǎng)目前規(guī)劃與北京市內(nèi) 廣電總局 各直屬機(jī)關(guān)互聯(lián)互通 以及提供用戶通過(guò) PSTN 遠(yuǎn)程撥號(hào)接入內(nèi)網(wǎng) ?；ヂ?lián)通后，廣電總局的內(nèi)網(wǎng)將開(kāi)放部分業(yè)務(wù)系統(tǒng)給各直屬機(jī)關(guān) 及撥號(hào)用戶 。因此， 必須 確保各直屬機(jī)關(guān)及撥號(hào)用戶 的接入不會(huì)對(duì)網(wǎng)絡(luò) 安全以及信息安全構(gòu)成影響。 目前。由于廣電總局內(nèi)網(wǎng)是與 INTERNET 完全隔離的網(wǎng)絡(luò)。 為確保廣電總局內(nèi)網(wǎng)的安全性 ，針對(duì)直屬機(jī)關(guān) 互聯(lián) 以及撥號(hào)用戶 的安全將主要考慮 如下因素 ： 1. 確保直屬機(jī)關(guān)與廣電總局內(nèi)網(wǎng)互聯(lián)信道的物理安全。 2. 對(duì)直屬機(jī)關(guān)與廣電總局內(nèi)網(wǎng)的連接采取加密措施（鏈路 層加密， IP 層加密或應(yīng)用層加密）。 3. 限定直屬機(jī)關(guān) 及撥號(hào) 用戶的授權(quán)訪問(wèn)范圍 。 4. 限定直屬機(jī)關(guān) 及撥號(hào) 用戶對(duì)廣電總局內(nèi)網(wǎng)業(yè)務(wù)的訪問(wèn)流程。 5. 限定直屬機(jī)關(guān) 及撥號(hào)用戶 網(wǎng)絡(luò)接入廣電總局網(wǎng)絡(luò)后導(dǎo)致的 INTERNET對(duì)總局內(nèi)網(wǎng)的連接。 6. 對(duì) 直屬機(jī)關(guān) 及撥號(hào) 用戶的訪問(wèn)行為 進(jìn)行實(shí)時(shí) 監(jiān)控 。 由以上因素我們可以得出，對(duì)直屬機(jī)關(guān) 及撥號(hào)用戶 接入廣電總局內(nèi)網(wǎng)的安全考慮主要分應(yīng)用 層 和網(wǎng)絡(luò) 層 兩大部分。由于應(yīng)用系統(tǒng)的安全涉及廣電內(nèi)網(wǎng)所使用 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 8 頁(yè) 共 34 頁(yè) 的 OA 辦公自動(dòng)化系統(tǒng)的業(yè)務(wù)流程、加密認(rèn)證方式等相關(guān)問(wèn)題，需由業(yè)務(wù)系統(tǒng)的軟件供應(yīng)商 提供相關(guān)安全措施，具體原則及需求見(jiàn) 2.2 節(jié)。而對(duì)于網(wǎng)絡(luò)層的安全 ，我們考慮的原則是如何在網(wǎng)絡(luò)層確保數(shù)據(jù)的私密性，完整性和不可抵賴性。 目前，可以在網(wǎng)絡(luò)層以下實(shí)現(xiàn)的數(shù)據(jù)加密方式較多，主要包括在鏈路層實(shí)現(xiàn)的鏈路加密機(jī)制與在網(wǎng)絡(luò)層實(shí)現(xiàn)的 各類 IP 隧道加密機(jī)制。 鏈路加密機(jī)通常由獨(dú)立硬件構(gòu)成，通過(guò)在鏈路 兩端點(diǎn) 的鏈路加密機(jī)協(xié)商或事先指定加密密鑰，對(duì)鏈路中傳輸?shù)奈锢韼M(jìn)行加密。目前在國(guó)內(nèi)主要應(yīng)用于金融及軍隊(duì) ，提供小于 10M 的吞吐能力 。通常，有 同步（異步）鏈路 加密機(jī)、幀中繼加密機(jī)。加密機(jī)自身的 算法使用國(guó)內(nèi)自研算法，對(duì)外不公開(kāi)。 加密隧道加密機(jī)FR PSTN DDN加密機(jī)鏈路加密機(jī)制 使用鏈路加密機(jī)實(shí)現(xiàn)信息的 點(diǎn)到點(diǎn) 安全，對(duì) IP 層協(xié)議透明。 如果網(wǎng)絡(luò)結(jié)構(gòu)包含多種鏈路，則必須購(gòu)買相應(yīng)的鏈路加密設(shè)備保護(hù)其上通訊數(shù)據(jù)的安全。 目前，在國(guó)內(nèi)互聯(lián)網(wǎng)中使用較多的是網(wǎng)絡(luò)層的加密機(jī)制。如果網(wǎng)絡(luò)結(jié)構(gòu)龐大，涉及多種通訊線路， 如果采用多種鏈路加密 設(shè)備 則增加了系統(tǒng)投資費(fèi)用，同時(shí)為系統(tǒng)維護(hù)、升級(jí)、擴(kuò)展也帶來(lái)了相應(yīng)困難。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備，網(wǎng)絡(luò)加密機(jī)是實(shí)現(xiàn)端至端的加密，即一個(gè)網(wǎng)點(diǎn)只需配備一臺(tái) VPN加密機(jī)。根據(jù)具體策略，來(lái)保護(hù)內(nèi)部敏感信息和 秘密的機(jī)密性、 完 整性 及不可抵賴性 。 常用的網(wǎng)絡(luò)機(jī)密機(jī)制采用的是 IPsec 機(jī)制。 加密隧道加密機(jī)FR PSTN DDN加密機(jī)IP 加密機(jī)制 IPsec 是在 TCP/IP 體系中實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。而 VPN 設(shè)備正是一種符合 IPsec 標(biāo)準(zhǔn)的 IP 協(xié)議加密設(shè)備。它通過(guò)利用跨越不安全的公共網(wǎng)絡(luò)的線 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 9 頁(yè) 共 34 頁(yè) 路建立 IP 安全隧道，能夠保護(hù)子網(wǎng)間傳輸信息的機(jī)密性、完整性和真實(shí)性。經(jīng)過(guò)對(duì) VPN 的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過(guò)加密隧道，讓另一些主機(jī)仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。一般來(lái)說(shuō)， VPN 設(shè)備可以一對(duì)一和一對(duì)多地 運(yùn)行，并具有對(duì)數(shù)據(jù)完整性的保證功能，它安裝在被保護(hù)網(wǎng)絡(luò)和路由器之間的位置。設(shè)備配置見(jiàn)下圖。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都支持 IPsec 標(biāo)準(zhǔn) 由于 網(wǎng)絡(luò)層加密 設(shè)備不依賴于底層的具體傳輸 鏈 路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺(tái)。對(duì)政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)， 網(wǎng)絡(luò)層加密 設(shè)備可以使網(wǎng)絡(luò)在升級(jí)提速時(shí)具有很好的擴(kuò)展性。鑒于 網(wǎng)絡(luò)層加密 設(shè)備的突出優(yōu)點(diǎn)，應(yīng)根據(jù)具體需求，在各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)與 內(nèi)部 網(wǎng)絡(luò)相連接的進(jìn)出口處安裝配備 網(wǎng)絡(luò)層加密 設(shè)備。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 10 頁(yè) 共 34 頁(yè) 2.1.2 網(wǎng)絡(luò)安全技術(shù) 防火墻系統(tǒng) SiSi SiSiA5100E3500E250 E250IBMNetfinity 40002926 2926 3548 35482926.Network IDS防火墻 防火墻3548 35483548安全審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)管理端日志分析系統(tǒng)SUN ULTRA 10網(wǎng)管主機(jī)VPNMODEM POOLPSTNVPN36XXVPNrouterVPNrouter如 前 圖所示，根據(jù)廣電總局內(nèi)網(wǎng)整體安全層次的劃分需求，我們將對(duì)廣電總局內(nèi)網(wǎng)劃分 四 個(gè)安全等級(jí)： 直屬機(jī)關(guān)接入用戶級(jí)、 普通用戶級(jí)、 網(wǎng)絡(luò) 管理級(jí)與業(yè)務(wù)系統(tǒng)級(jí)。 業(yè)務(wù)系統(tǒng)級(jí) ：安全級(jí)別最高，包含廣電總局內(nèi)網(wǎng)辦公自動(dòng)化系統(tǒng)主機(jī)與內(nèi)網(wǎng)DNS 系統(tǒng) ， 這類系統(tǒng)發(fā)生問(wèn)題將直接導(dǎo)致廣電總局辦公系統(tǒng)的全面癱瘓，因此 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 11 頁(yè) 共 34 頁(yè) 對(duì)這類級(jí)別的安全防護(hù)需求最高 。 對(duì)于這類系統(tǒng)，建議使用兩臺(tái)防火墻工作在 FAIL-OVER 模式下，通過(guò)在防火墻上設(shè)置嚴(yán)格的策略， 對(duì)每個(gè)需要訪問(wèn)業(yè)務(wù)系統(tǒng)的用戶進(jìn)行嚴(yán)格限制，由于目前防火墻對(duì)組播（ MUTLICAST）技術(shù)支持不夠理想，目前廣電總局內(nèi)網(wǎng)的視頻點(diǎn)播系統(tǒng)暫不放在該網(wǎng)段下。 網(wǎng)絡(luò) 管理級(jí) ：安全級(jí)別居中，包含廣電總局內(nèi)網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理系統(tǒng) ，這類系統(tǒng)如果遭受入侵或干擾，將暴露整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整網(wǎng)的安全狀況 。 網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、配置、管理廣電 總局內(nèi)部網(wǎng)絡(luò)，這些系統(tǒng)擁有對(duì)網(wǎng)絡(luò)設(shè)備及主機(jī)一定的管理權(quán)限，并存貯整網(wǎng)的相關(guān)信息 ，所以需要對(duì)網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進(jìn)行較高級(jí)別的安全防護(hù)，由于網(wǎng)管及安全管理系統(tǒng)需要開(kāi) 放的端口較多，因此我們建議在網(wǎng)絡(luò) 管理級(jí)前不部署防火墻系統(tǒng)，依靠主機(jī)自身安全增強(qiáng)及強(qiáng)加密認(rèn)證系統(tǒng)提高系統(tǒng)安全防護(hù)能力 。 普通用戶級(jí) ： 安全級(jí)別較管理級(jí)低， 用戶為 總局內(nèi)部員工，由于處于局域網(wǎng)內(nèi)部， 業(yè)務(wù)訪問(wèn)量較大 ， 有 意或無(wú)意造成網(wǎng)絡(luò)安全隱患的概率較高，因此 管理力度 需較 遠(yuǎn)程接入用戶 加 強(qiáng)， 安全 需求級(jí)別較直屬機(jī)關(guān)接入用戶高。 直屬機(jī)關(guān)接入用戶級(jí) ：安全級(jí)別相對(duì)較低。可信賴度最低。由于這類用戶是使用遠(yuǎn)程接入廣電總局內(nèi)網(wǎng)，且對(duì)業(yè)務(wù)的訪問(wèn)模式較固定，所以對(duì)該類用戶的安全 等級(jí) 及策略規(guī)劃較其他三 個(gè)等 級(jí)簡(jiǎn)單。 我們建議在廣電總局直屬機(jī) 關(guān)與廣電總局內(nèi)網(wǎng)鏈路接入處設(shè)置防火墻，限制直屬機(jī)關(guān)接入 對(duì)內(nèi)網(wǎng)的訪問(wèn)策略。并通過(guò) VPN 方式與各直屬機(jī)關(guān)建立隧道加密機(jī)制 。確保數(shù)據(jù)傳輸?shù)乃矫苄浴?由以上四個(gè)安全等級(jí)劃分出發(fā)。我們?cè)趯?duì)網(wǎng)絡(luò)機(jī)構(gòu)調(diào)整的基礎(chǔ)上，將利用防火墻技術(shù)對(duì)不同安全等級(jí)的系統(tǒng)進(jìn)行安全等級(jí)的劃分，不同等級(jí)之間的訪問(wèn)依靠防火墻策略進(jìn)行嚴(yán)格規(guī)定，確保在防火墻規(guī)范下的網(wǎng)絡(luò)中的流量模型是包含實(shí)際業(yè)務(wù)模型的最小集合。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 12 頁(yè) 共 34 頁(yè) 防火墻上實(shí)施如下策略 原則如下 ： 1. 默認(rèn)關(guān)閉防火墻上的所有訪問(wèn)規(guī)則 2. 允許內(nèi)網(wǎng)訪問(wèn) DMZ 口的必要服務(wù) 3. 禁止 DMZ 口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng) 、外網(wǎng)到 DMZ 的 訪問(wèn) 4. 允許內(nèi)網(wǎng)、 DMZ 對(duì)外網(wǎng)的訪問(wèn)，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的安全考慮 入侵檢測(cè)技術(shù)是當(dāng)今一種非常重要的動(dòng)態(tài)安全技術(shù)，與 傳統(tǒng) 的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。 ICSA 入侵檢測(cè)系統(tǒng)論壇的定義即：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象 (的一種安全技術(shù) )。入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一。 入侵檢測(cè)技術(shù)通過(guò)對(duì)入侵行為的過(guò)程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程 能做出實(shí)時(shí)響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)： 1. 異常發(fā)現(xiàn)技術(shù)。 2. 模式發(fā)現(xiàn)技術(shù)。 目前，國(guó)際頂尖的入侵檢測(cè)系統(tǒng) IDS 主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。 基于以下 因素 的考慮，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 1. 網(wǎng)絡(luò)的快速增長(zhǎng)和復(fù)雜程度的提高將產(chǎn)生大量的安全隱患 。我們必須及時(shí)高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。 2. 廣電總局 自身網(wǎng)絡(luò)系統(tǒng) 的結(jié)構(gòu) 目前雖然并不 復(fù)雜， 但隨著直屬機(jī)關(guān)的接入和網(wǎng)絡(luò)規(guī)模的發(fā)展， 為了進(jìn)一步的提高安全事件的即時(shí)響應(yīng)和舉證能力 ，必須具備某 種手段對(duì)可能 的有意或無(wú)意的攻擊作出檢測(cè)、告警并留 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 13 頁(yè) 共 34 頁(yè) 下證據(jù)。 3. 雖然在 上述的改造方案中已經(jīng)為 廣電總局 部署了防火墻，對(duì) 網(wǎng)段起到了一定的保護(hù)作用，但是很多攻擊手法是防火墻無(wú)法阻擋的，比如對(duì) Web Server 的基于異常 URL 的攻擊，具體體現(xiàn)的例子有 Code Red、 Nimda等等很多。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問(wèn)題之一。 4. 防火墻雖然可以擋住某些攻擊，但是通常無(wú)法留下細(xì)節(jié)的攻擊記錄，這對(duì)分析攻擊行為以及調(diào)查取證帶來(lái)了很大困難，而入侵檢測(cè)系統(tǒng)剛好可以解決這一問(wèn)題。 5. 為了規(guī)范廣電總局內(nèi)網(wǎng)用戶的行為，同時(shí)提 供一種對(duì)用戶訪問(wèn)行為的監(jiān)控機(jī)制和與相關(guān)管理制度的執(zhí)行對(duì)照機(jī)制，依靠基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以提供一 定 時(shí)期內(nèi)基于用戶或基于協(xié)議的 訪問(wèn)統(tǒng)計(jì)數(shù)據(jù)，用來(lái)更好的檢驗(yàn)相關(guān)管理制度的執(zhí)行情況，為后期網(wǎng)絡(luò)策略的調(diào)整和規(guī)劃提供依據(jù)。 在選擇入侵監(jiān)測(cè)系統(tǒng)時(shí)需要考慮的因素主要有： 1. 管理模式 2. 協(xié)議分析及檢測(cè)能力； 3. 解碼效率 (速度 )； 4. 自身安全的完備性； 5. 精確度及完整度，防欺騙能力； 6. 模式更新速度。 根據(jù) 廣電總局 的具體網(wǎng)絡(luò)狀況 ，我們?cè)?廣電總局內(nèi)網(wǎng) 中 部署 一套 套基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 這套入侵檢測(cè)系統(tǒng) 部署在 核心交換機(jī)上，（由于性能問(wèn)題 ，原則上不對(duì)視頻點(diǎn)播系統(tǒng)進(jìn)行檢測(cè)） 。 檢測(cè)所有 不同級(jí)別間的 用戶對(duì) OA 業(yè)務(wù)系統(tǒng)及網(wǎng)管系統(tǒng)的訪問(wèn)情況。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 14 頁(yè) 共 34 頁(yè) 網(wǎng)絡(luò) IDS 系統(tǒng)主機(jī)都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽(tīng)網(wǎng)絡(luò)流量，一塊用 于接受管理中心的管理。需要在防火墻和交換機(jī)上設(shè)置相應(yīng)規(guī)則以保護(hù) 入侵檢測(cè) 主機(jī)。 此外，在核心 交換機(jī)上設(shè)置 Port Mirror 將 需要檢測(cè) 的 VLAN 的流量映射到對(duì)應(yīng) 的監(jiān)聽(tīng)網(wǎng)卡所連接的端口。 同時(shí)， 在 管理 網(wǎng)段再配置一臺(tái) PC Server，安裝 入侵檢測(cè)系統(tǒng)的管理端 ， 如果未來(lái)由于擴(kuò)容等性能問(wèn)題需要增加網(wǎng)絡(luò)入侵檢測(cè) 系統(tǒng) 時(shí)， 該管理端 可做 為全部入侵檢測(cè)系統(tǒng)的集中控制 臺(tái)。 SiSi SiSiNetwork IDSVPN VPN廣電總局 網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測(cè)系統(tǒng)部署拓?fù)鋱D 安全審計(jì)系統(tǒng) 網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機(jī)開(kāi)放服務(wù)，同時(shí)模擬黑客入侵對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備進(jìn)行偵測(cè)性刺探，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)設(shè)備的安全漏洞。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)漏洞，另一方面，也是進(jìn)行全網(wǎng)安全審計(jì)的重要工具。 我們推在廣電總局內(nèi)網(wǎng)部署網(wǎng)絡(luò)掃描軟件。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對(duì)內(nèi)網(wǎng)各業(yè)務(wù)系統(tǒng)及用戶主機(jī)定期進(jìn)行掃描審計(jì)，并存貯相關(guān)審計(jì)信息。 對(duì)于網(wǎng)絡(luò)掃描審計(jì)產(chǎn)品的選型，考慮如下因素： 體系 結(jié)構(gòu)： Client/Server 結(jié)構(gòu)的掃描審計(jì)軟件具有集中管理的優(yōu)勢(shì)，利于電信環(huán)境部署及擴(kuò)展； 攻擊模式庫(kù)數(shù)量：應(yīng)對(duì)多種攻擊模式均支持； 軟件更新速度快； 中文化和本地化支持； 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 15 頁(yè) 共 34 頁(yè) 建議掃描審計(jì)軟件對(duì)全網(wǎng)主機(jī)和設(shè)備的安全審計(jì)信息均存放在管理網(wǎng)段的數(shù)據(jù)庫(kù)中，其中包括主機(jī)的操作系統(tǒng)版本、漏洞情況、 patch 情況等安全信息。一方面，網(wǎng)管人員可以通過(guò)這個(gè)集中安全數(shù)據(jù)庫(kù)查詢?nèi)W(wǎng)安全狀況，另一方面，在發(fā)生安全事件或緊急響應(yīng)時(shí)提供給我們和客戶迅速了解受害機(jī)情況，找到對(duì)策，減少損失。同時(shí)，掃描審計(jì)軟件應(yīng)提供相關(guān)接口，便于用戶輸 入設(shè)備安全信息，也進(jìn)一步增強(qiáng)該軟件的決策支持能力。 由于目前在安全掃描審計(jì)軟件中，都存在一定的安全威脅，掃描軟件中的部分攻擊模式庫(kù)存在對(duì)網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)資源的潛在危險(xiǎn)性。因此，對(duì)于掃描審計(jì)系統(tǒng)，必須在嚴(yán)格的安全代價(jià)分析和詳細(xì)的掃描模式庫(kù)選擇下進(jìn)行實(shí)施，通常對(duì)于重要的業(yè)務(wù)系統(tǒng)，要根據(jù)系統(tǒng)主機(jī)的負(fù)載情況制定 不同時(shí)間段的 掃描計(jì)劃 ，從而獲得全面的系統(tǒng)安全狀況。 因此， 我們建議 在安全審計(jì)系統(tǒng)中，應(yīng)采用服務(wù)與產(chǎn)品相結(jié)合的方式，由專業(yè)安全服務(wù)公司制定 專業(yè)的審計(jì)流程 和定期的安全審計(jì)服務(wù)。 ， 日志分析系統(tǒng) 由于全網(wǎng)存在眾多網(wǎng) 絡(luò)和主機(jī)設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套 日志分析系統(tǒng) 用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。 建議采用 三級(jí)結(jié)構(gòu) 的日志分析系統(tǒng) ，第一級(jí)為需要記錄日志的主機(jī)或設(shè)備，該主機(jī)配置 syslog 日志指向 日志服務(wù)器；第二級(jí)為日志 服務(wù)器，負(fù)責(zé)日志接受，同步處理入數(shù)據(jù)庫(kù)以及日志的統(tǒng)計(jì)分析；第三級(jí)為 日志服務(wù)器 的 console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報(bào)警和監(jiān)視日志系統(tǒng) 分析 統(tǒng)計(jì)結(jié)果。 對(duì)于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素： 集中收集和監(jiān)控系統(tǒng)日志 。 日志收集和分析 Agent 與 Console 運(yùn)行 在不同平臺(tái) ，兩者 的 分離 使日志分析系統(tǒng)更 具有 層次性結(jié)構(gòu) 的特點(diǎn) ，便于未來(lái)升級(jí)和集中管理 。 每秒接受日志的速度 。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 16 頁(yè) 共 34 頁(yè) 日志服務(wù)器應(yīng)支持 常 用數(shù)據(jù)庫(kù)，可將 日志信息存儲(chǔ)在數(shù)據(jù)庫(kù)中 。 持多種 設(shè)備類型及數(shù)量，是否 支持標(biāo)準(zhǔn) syslog 協(xié)議。 是否提供 二次開(kāi)發(fā)接口。 集中認(rèn)證及一次性口令系統(tǒng) 廣電總局由于主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備繁多，在以往的管理模式下，用戶認(rèn)證和授權(quán)都存在較大的安全隱患，主要表現(xiàn)在主機(jī)和網(wǎng)絡(luò)設(shè)備的口令認(rèn)證，以及網(wǎng)絡(luò)設(shè)備的用戶權(quán)限控制上。 為了保證全網(wǎng)管理中用戶身份驗(yàn)證的可靠性，我們建議在網(wǎng)管中心部署一套集中認(rèn)證及 一次性口令系統(tǒng)，全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備和主要業(yè)務(wù)系統(tǒng)的用戶驗(yàn)證都集中在該服務(wù)器商，便于對(duì)于這些設(shè)備的集中管理。 用戶身份認(rèn)證是一個(gè)完善的安全策略方案中必不可少的模塊，特別是在存在著通過(guò)遠(yuǎn)程訪問(wèn)方式訪問(wèn)系統(tǒng)資源的情況下。對(duì)用戶進(jìn)行身份認(rèn)證可以了解誰(shuí)試圖訪問(wèn)特定資源，這對(duì)于保護(hù)資源是必需的。除了認(rèn)證用戶身份以外，用戶驗(yàn)證還可以定義了每個(gè)用戶能夠訪問(wèn)的資源，這就為多種資源并存的環(huán)境提供了增強(qiáng)的控制和更好的安全性。目前，常用的驗(yàn)證方法包括 Challenge and Response，digital certificates， tokens， RADIUS 和 S/Key。 一次性口令密碼保護(hù)解決方案是利用雙重密碼： 靜態(tài)及動(dòng)態(tài)密碼 ， 靜態(tài)密碼 :用戶自己默記的個(gè)人口令， 動(dòng)態(tài)密碼 :由擁有一個(gè)令牌，每六十秒變換出一個(gè)獨(dú)一無(wú)二、不能預(yù)測(cè)的密碼 。 由于動(dòng)態(tài)口令每分鐘更改一次，即使靜態(tài)密碼被猜中，而動(dòng)態(tài)密碼被猜出的機(jī)會(huì) 趨于 0。這樣在很大程度上避免了由于用戶主觀上的失誤而造成的安全漏洞。 目前，常見(jiàn)的這類 系統(tǒng)的基礎(chǔ)是“ token”標(biāo)記，它是一個(gè)數(shù)字編碼，與用戶永久性 ID 號(hào)一起生成一個(gè)唯一的、不會(huì)被發(fā)覺(jué)的口令，而且僅能使用一次。 “標(biāo)記”的產(chǎn)生 有兩種方式，它可以由一個(gè)硬設(shè)備 像信用卡般大小的電子計(jì)算器，每 60 秒鐘生成并顯示一個(gè)新的未知的隨機(jī)代碼，也可以由基于工作 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 17 頁(yè) 共 34 頁(yè) 站的軟件公用程序而產(chǎn)生。當(dāng)“標(biāo)記”擁有者登錄到網(wǎng)絡(luò)時(shí)，當(dāng)前代碼已被鍵入到該擁有者的 PIN 中，服務(wù)器和標(biāo)志發(fā)生器在時(shí)間上是同步的，因此編碼的改變可共享。另外，這種代碼比起常規(guī)口令模式的優(yōu)點(diǎn)在于它不可能被盜用，因?yàn)樗偸窃诟淖兛诹睢?我們建議選用了一套 1 25 用戶的 一次性動(dòng)態(tài)口令集中認(rèn)證系統(tǒng) ，負(fù)責(zé)重要設(shè)備和系統(tǒng)的口令認(rèn)證。本次安全項(xiàng)目建議購(gòu)買 7 個(gè)令牌卡，具體部署如下： 認(rèn)證中心 放置在網(wǎng)管中心 ； 2 塊令牌用于關(guān)鍵網(wǎng)絡(luò)設(shè)備的用戶驗(yàn)證， 1 塊作為備份； 3 塊令牌用于重要 服務(wù)器用戶驗(yàn)證， 1 塊作為備份； 我們建議 利舊廣電總局目前已有的 Sun E250 服務(wù)器負(fù)責(zé) RSA 系統(tǒng)運(yùn)行。 2.1.3 防病毒體系 對(duì)于 廣電總局 來(lái)說(shuō)數(shù)據(jù) 的安全 是最重要的，而病毒是對(duì)數(shù)據(jù)造成嚴(yán)重威脅的主要因素之一。然而保護(hù)網(wǎng)絡(luò)免受愈演愈烈的計(jì)算機(jī)病毒威脅已不是一件簡(jiǎn)單的事情。目前已知的計(jì)算機(jī)病毒超過(guò) 20， 000 種，并且每月發(fā)現(xiàn)的新病毒超過(guò) 300種，即每天都有 10 余種新病毒出現(xiàn)。很多事實(shí)表明，病毒比其他安全威脅造成的經(jīng)濟(jì)損失都大的多。從 CIH 到 Code Red， 以 及最近的 Nimda 計(jì)算機(jī)病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負(fù)荷量過(guò)重等問(wèn)題，凸顯出網(wǎng)絡(luò)安全防病毒機(jī)制的迫切需求。 傳統(tǒng)的防病毒策略往往只注重桌面平臺(tái)的病毒防范，就像目前 廣電總局 內(nèi)部曾經(jīng)購(gòu)買的瑞星防病毒 單機(jī)版。這樣雖然可以保證桌面平臺(tái)避免病毒的威脅，但沒(méi)有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播，無(wú)法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過(guò)載等這類嚴(yán)重威脅網(wǎng)絡(luò)正常服務(wù)的問(wèn)題。隨著分布式網(wǎng)絡(luò)計(jì)算、文檔駐留宏、群件等新技術(shù)的出現(xiàn)以及 網(wǎng)絡(luò) 的廣泛 應(yīng) 用，網(wǎng)絡(luò)早已經(jīng)成為病毒的主要傳播途徑。網(wǎng)絡(luò)的脆弱性成倍增加，保護(hù) 計(jì)算機(jī)網(wǎng)絡(luò)已不再是簡(jiǎn)單的在客戶機(jī)上安裝桌面病毒掃描程序就可以解決的問(wèn)題了。面對(duì)當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)，我們迫切需要一 套 單一、集中、全面的防病毒解決方案。 在防病毒產(chǎn)品的選型上， 我們 認(rèn)為一個(gè)成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 18 頁(yè) 共 34 頁(yè) 應(yīng)具有以下特點(diǎn)： 先進(jìn)的體系結(jié)構(gòu)設(shè)計(jì) 先進(jìn)的防殺病毒技術(shù) 能夠在線實(shí)時(shí)查殺病毒 準(zhǔn)確無(wú)誤的報(bào)警功能 及時(shí)、方便地更新病毒定義代碼 快速、有效地處理未知病毒 多平臺(tái)的支持 功能強(qiáng)大的控制臺(tái)，便于管理與維護(hù) 而針對(duì)網(wǎng)絡(luò)這個(gè)層次而設(shè)計(jì)的防病毒產(chǎn)品， 我們 認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)病毒監(jiān)控、支持病毒有效地隔離。 針 對(duì)目前世界上主流的病毒產(chǎn)品和國(guó)內(nèi)知名的病毒產(chǎn)品，包括 McAfee VirusScan、 Norton AntiVirus、 Kill 系列、 VRV、 TrendMicro InterScan 等產(chǎn)品 ，應(yīng)從 綜合評(píng)估，包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源的占用、掃描病毒的方式、處置病毒的方式、日志的管理、病毒庫(kù)的及時(shí)更新以及各公司的技術(shù)實(shí)力和對(duì) 廣電總局內(nèi)網(wǎng) 的實(shí)用性等方面 考慮 。 建立 全方位、多層次的、整體的網(wǎng)絡(luò)防病毒解決方案。 鑒于廣電總局內(nèi)網(wǎng)對(duì)物理隔離的嚴(yán)格要求，我們建議防病毒系統(tǒng)的病毒庫(kù)及掃描引擎升級(jí)工組有系統(tǒng)管理員通過(guò)手工下載并存儲(chǔ)在軟盤上進(jìn)行手動(dòng)安裝升級(jí)（只需對(duì)病毒集中控制端進(jìn)行手工操作，其他用戶主機(jī)將由病毒集中控制中心自動(dòng)分發(fā)并安裝） 2.2 業(yè)務(wù)系統(tǒng)安全 2.2.1 OA 業(yè)務(wù) 的安全 廣電總局的 OA 業(yè)務(wù)運(yùn)行在兩臺(tái) SUN E3500 平臺(tái)上， OA 業(yè)務(wù)的核心進(jìn)程主要有 WEB 服務(wù)與數(shù)據(jù)庫(kù)服務(wù)。 目前，所有用戶通過(guò)瀏覽器訪問(wèn) OA 業(yè)務(wù)主機(jī)，輸入個(gè)人用戶名及密碼后登 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 19 頁(yè) 共 34 頁(yè) 錄該系統(tǒng)處理日常 OA 業(yè)務(wù)，服務(wù)器采用標(biāo)準(zhǔn) 80 端口提供服務(wù)，所以用戶帳號(hào)及密碼都是以明碼方式 在網(wǎng)絡(luò)上傳播 ，任何人竊聽(tīng)或截獲用戶密碼及帳號(hào)，都可以偽裝成該用戶進(jìn)行相關(guān)破壞活動(dòng) 。 針對(duì)廣電總局的 OA 業(yè)務(wù)系統(tǒng)，應(yīng)通過(guò)相應(yīng)的安全增強(qiáng)手段加強(qiáng) OA 業(yè)務(wù)的安全性，具體參考如下： 1. 采用 SSL 加密訪問(wèn)機(jī)制提供 OA 業(yè)務(wù)服務(wù)。確保用戶在進(jìn)入自己 OA 系統(tǒng)時(shí)的帳號(hào)、密碼以及隨后的通訊數(shù)據(jù)的安全性。 2. 采用 CA 認(rèn)證機(jī)制，建立維護(hù)廣電總局 OA 用戶的證書管理中心。 采用 SSL 及 CA 認(rèn)證 系統(tǒng)需要滿足以下安全需求： 1. 身份認(rèn)證 每個(gè)使用者必須擁有唯一的可靠的身份認(rèn)證標(biāo)識(shí)，安全系統(tǒng)能夠?qū)γ總€(gè)訪問(wèn)者的身份進(jìn)行有效識(shí)別，使用者也要對(duì)安全系統(tǒng)進(jìn) 行認(rèn)證，也就是使用者 系統(tǒng)之間的雙向身份認(rèn)證。 2. 訪問(wèn)控制 對(duì)不同的信息資源和用戶設(shè)定不同的權(quán)限，系統(tǒng)根據(jù)每個(gè)訪問(wèn)者的身份確定他的訪問(wèn)權(quán)限，保證只允許授權(quán)的用戶訪問(wèn)授權(quán)的資源。對(duì)于 OA 資源中的目錄和文件進(jìn)行細(xì)粒度的權(quán)限劃分，確保每個(gè)使用者只能訪問(wèn)授權(quán)的 OA 資源。 3. 數(shù)據(jù)保密 信息的傳輸過(guò)程加密，保證通信內(nèi)容不被他人捕獲，不會(huì)泄露敏感信息。 4. 數(shù)據(jù)完整性 對(duì)關(guān)鍵的數(shù)據(jù)信息，防止信息被非法入侵者篡改。 5. 防止否認(rèn) 防止信息發(fā)出者對(duì)自己發(fā)出的信息進(jìn)行抵賴，提供數(shù)字化的操作信息憑證。 身份認(rèn)證 身份認(rèn)證采用基于證書的公鑰 密碼體制來(lái)實(shí)現(xiàn)。 公鑰密碼算法 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 20 頁(yè) 共 34 頁(yè) 公鑰密碼算法使用兩個(gè)不同的密鑰，即解密密鑰 Kd（私有密鑰）和加密密鑰 Ke（公開(kāi)密鑰），信息加密時(shí)使用 Ke，密文解密時(shí)使用 Kd。 Kd 和 Ke 是緊密相關(guān)，一一對(duì)應(yīng)的。一般統(tǒng)稱私鑰 Kd 和公鑰 Ke 為“公私密鑰對(duì)”。公私密鑰對(duì)由特殊的密碼學(xué)算法產(chǎn)生，密碼學(xué)的理論可以保證，在人類現(xiàn)有的計(jì)算水平下，由公鑰 Ke 推算出私鑰 Kd 是幾乎不可能的。使用者在使用時(shí)，將自己的私鑰 Kd保存起來(lái)，而將自己的公鑰 Ke 對(duì)外公開(kāi)。 證書（ Certificate）和證書中心 CA（ Certificate Authority） 要實(shí)現(xiàn)基于公鑰密碼算法的身份認(rèn)證求，就必須建立一種信任及信任驗(yàn)證機(jī)制，即每個(gè)網(wǎng)絡(luò)上的實(shí)體必須有一個(gè)可以被驗(yàn)證的數(shù)字標(biāo)識(shí)，這就是“數(shù)字證書（ Certificate）”。數(shù)字證書是各實(shí)體在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明，具有唯一性。 證書基于公鑰密碼體制，它將用戶的公開(kāi)密鑰（ Ke）同用戶本身的屬性（例如姓名，單位等）聯(lián)系在一起。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專門負(fù)責(zé)對(duì)各個(gè)實(shí)體的身份進(jìn)行審核，并簽發(fā)和管理數(shù)字證書，這個(gè)機(jī)構(gòu)就是證書中心 CA。 CA 用自己的私鑰對(duì)所有的用戶屬性、證書屬性和用戶 的公鑰進(jìn)行數(shù)字簽名，產(chǎn)生用戶的數(shù)字證書。 在基于證書的安全通信中，證書是證明用戶合法身份和提供用戶合法公鑰的憑證，是建立保密通信的基礎(chǔ)。因此，作為網(wǎng)絡(luò)可信機(jī)構(gòu)的證書管理設(shè)施， CA的主要職能就是管理和維護(hù)它所簽發(fā)的證書，提供各種證書服務(wù)，包括：證書的簽發(fā)、更新、回收、歸檔等等。 目前，國(guó)際電力聯(lián)盟 ITU 發(fā)布了數(shù)字證書的國(guó)際標(biāo)準(zhǔn) X.509V3，下圖是X.509V3 證書格式的示意圖： 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 21 頁(yè) 共 34 頁(yè) 認(rèn)證協(xié)議 安全套接層協(xié)議 SSL（ Secure Socket Layer） 安全套接層 SSL 協(xié)議目前 Internet 上使用最廣泛的安全協(xié)議，兩大主流瀏覽器 Netscape Navigator 和 Microsoft IE以及絕大多數(shù)的 Web服務(wù)器均支持標(biāo)準(zhǔn)的 SSL3.0 協(xié)議。該協(xié)議向 TCP/IP 的客戶 /服務(wù)器模式提供了客戶端和服務(wù)器的身份認(rèn)證、會(huì)話密鑰交換和信息鏈路加密等安全功能，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。 SSL 認(rèn)證協(xié)議有以下特點(diǎn)： 對(duì)等方實(shí)體可以使用非對(duì)稱密碼算法（例如 RSA， DSS 等）進(jìn)行認(rèn)證。 可以實(shí)現(xiàn)雙向的身份認(rèn)證。 共享秘密的協(xié)商是保密的。即使攻擊者能夠發(fā)起中間 人攻擊，協(xié)商的秘密也不可能被竊聽(tīng)者獲得。 協(xié)商是高度安全可靠的。攻擊者不能在不被發(fā)現(xiàn)的情況下篡改協(xié)商通信數(shù)據(jù)。 訪問(wèn)控制 訪問(wèn)控制采用集中式的權(quán)限控制中心，驗(yàn)證該使用者是否有權(quán)限訪問(wèn)特定的資源（文件）。并根據(jù)權(quán)限中心來(lái)完成。安全管理員在權(quán)限控制中心為每個(gè)使用 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號(hào)通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 22 頁(yè) 共 34 頁(yè) 者設(shè)定權(quán)限。在使用者登錄 OA 服務(wù)器的時(shí)候， OA 服務(wù)器的安全系統(tǒng)會(huì)訪問(wèn)權(quán)限控制中心，驗(yàn)證該使用者是否有權(quán)限訪問(wèn)特定的資源（文件）。并根據(jù)權(quán)限進(jìn)行允許或拒絕。 權(quán)限控制中心采用 LDAP（輕量級(jí)目錄訪問(wèn)協(xié)議）目錄服務(wù)器來(lái)存儲(chǔ)使用者的權(quán)限。 信息保密 在身份認(rèn)證 通過(guò)之后，使用者和安全系統(tǒng)之間使用 SSL 協(xié)議建立安全加密連接。 SSL 協(xié)議中，生成會(huì)話密鑰的步驟如下： 交換 hello 消息以協(xié)商密碼算法，交換隨機(jī)值。 交換必要的密碼學(xué)參數(shù)，使客戶和服務(wù)器能夠協(xié)商 premaster secret。 交換證書和密碼學(xué)信息，使客戶和服務(wù)器能夠進(jìn)行相互認(rèn)證。 使用交換的隨機(jī)值和 premaster secret 生成主秘密 master secret。 通信雙方將根據(jù)主秘密 master secret 計(jì)算出此次通信的會(huì)話密鑰，進(jìn)行安全通信。 數(shù)據(jù)完整性與不可否認(rèn)性 數(shù)據(jù)的完整性與不可否認(rèn)性 通過(guò)基于公鑰密碼算法的數(shù)字簽名來(lái)實(shí)現(xiàn)。 數(shù)字文摘算法（ HASH） 數(shù)字文摘算法可以將任意長(zhǎng)度的數(shù)據(jù)信息制作成一個(gè)固定長(zhǎng)度的“文摘”，這個(gè)文摘保存了原來(lái)信息的一些特征，但是又不可能從這個(gè)數(shù)字文摘恢復(fù)出原來(lái)的信息內(nèi)容，就象圖書館的書刊索引一樣。數(shù)字文摘算法主要用于保證信息的完整性。常用的數(shù)字文摘算法主要有 MD5、 SHA-1 等。 數(shù)字簽名（ Digital Signature） 數(shù)字化的重要信息（例如電子商務(wù)交易信息）是以數(shù)字形式出現(xiàn)的，不能用手工的紙筆方式簽字蓋章，所以必須有一種方式來(lái)保證這些“重要的數(shù)字流”在傳 輸中不被篡改、偽造，并且使信息發(fā)出者不能否認(rèn)自己曾有過(guò)的行為。這種方 北京