XX通信公司網(wǎng)絡(luò)安全系統(tǒng)方案

1、密 級：秘 密文檔編號:工程代號:XXX通 信網(wǎng)絡(luò)網(wǎng)管平安系統(tǒng)整體方案建議書Verl.O2021年5月1 XXX通信省網(wǎng)管中央平安需求分析 11.1 XXX通信省網(wǎng)管中央及重要節(jié)點網(wǎng)絡(luò)現(xiàn)狀 11.2 XXX通信省網(wǎng)管中央及重要節(jié)點現(xiàn)有平安舉措 21.3 XXX通信公司威脅來源分析21.4 XXX通信省網(wǎng)管中央及重要節(jié)點網(wǎng)絡(luò)平安需求分析 32 XXX通信平安方案設(shè)計5.2.1 設(shè)計理念及方法 覆蓋整個生命周期的完整體系一 ADDME52.1.2 100%的風(fēng)險治理體系 平安設(shè)計理念 7.2.2 設(shè)計原那么7.2.3 XXX通信網(wǎng)絡(luò)平安架構(gòu)模型82.4 平安漏洞掃描

2、系統(tǒng) 網(wǎng)絡(luò)平安評估 部署建議1.02.4.3 主機系統(tǒng)平安評估 1.02.4.4 部署建議112.4.5 數(shù)據(jù)庫平安評估 112.4.6 部署建議 漏洞掃描系統(tǒng)部署示意圖1.32.5 入侵檢測系統(tǒng)一一IDS152.5.1 百兆NIDS網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署建議172.5.2 入侵檢測系統(tǒng)部署圖1.72.6 方案總結(jié)182.7 平安方案產(chǎn)品配置一覽 20ii1 XXX通信省網(wǎng)管中央平安需求分析本需求分析建立在?XXX通信省網(wǎng)管中央絡(luò)平安設(shè)備配置與投資規(guī)模? 所 提供的XXX通信平安需求資料和XX公司前期調(diào)研的根底上,旨在給出構(gòu)建后 文所述平安體系的充

3、分理由.1.1 XXX通信省網(wǎng)管中央及重要節(jié)點網(wǎng)絡(luò)現(xiàn)狀隨著XXX通信數(shù)據(jù)業(yè)務(wù)的開展,用戶數(shù)量迅速增長,為了適應(yīng)市場的競爭、 提升整個XXX通信運營和治理效率,XXX通信在今年方案實施網(wǎng)絡(luò)平安工程以 保證省網(wǎng)管中央重要網(wǎng)段和效勞器以及各個寬帶城域網(wǎng)結(jié)點Radius系統(tǒng)的安全.網(wǎng)絡(luò)現(xiàn)狀如下列圖所示:黑龍江省網(wǎng)管中央局域網(wǎng)結(jié)構(gòu)圖VLAN2GECatalys8540Catalys6506VLAN3PSTNLiVLAN1AISB probe AIWebStaterverRC20NMS HP C3000ISS SUN SPp VE5護(hù)工作站:Backup Ser' :SUN U1H后臺維哈爾濱節(jié)點

4、統(tǒng)計/查詢效勞器SUN E3000VLAN4LDAP ServerPPPsewerEMSserver Mail Server SUN E2SUN E3000.、.SPARC20 .SUN E3000 .AISerBaseSUN E450PIXICatalyst2800TlRAID(DB )Billing server 1 Enterprise 4000AINettrend SUN E3000FreeMailSUN E3000E3000ACESwitchHA'' Billing server 2 Enterprise 400019圖1.1 XXX通信省網(wǎng)管中央網(wǎng)絡(luò)拓?fù)涫疽鈭DCis

5、co7513Cisco7513省網(wǎng)65096509寬帶城域網(wǎng)圖1.2 XXX通信牡丹江等節(jié)點網(wǎng)絡(luò)拓?fù)涫疽鈭D1.2 XXX通信省網(wǎng)管中央及重要節(jié)點現(xiàn)有平安舉措XXX通信公司網(wǎng)絡(luò)中現(xiàn)有網(wǎng)絡(luò)掃描器(In ternet Sea nner) 100個lice nee, 對分布在網(wǎng)絡(luò)中的重要效勞器、網(wǎng)絡(luò)設(shè)備等實施網(wǎng)絡(luò)層面的漏洞掃描.另外,網(wǎng)絡(luò)中現(xiàn)有2臺NetScreen防火墻,1臺為城域網(wǎng)工程備件中的NS10 , 1臺為國家163骨干網(wǎng)工程中一臺閑置的 NS100.但均未具體部署.采用雙機熱備舉措保護(hù)計費和認(rèn)證等重要效勞器.1.3 XXX通信公司威脅來源分析XXX通信省網(wǎng)管中央及各個寬帶城域網(wǎng)節(jié)點現(xiàn)階段面

6、臨的主要風(fēng)險如下：1. 網(wǎng)絡(luò)與系統(tǒng)漏洞存在風(fēng)險：由于TCP/IP網(wǎng)絡(luò)協(xié)議與操作系統(tǒng)和應(yīng)用軟件 自身的缺陷,漏洞必然存在于網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)中,漏洞是黑客進(jìn)行攻擊的首選目標(biāo) 和有利條件,隨著業(yè)務(wù)系統(tǒng)功能和復(fù)雜性的增加,必須對各個層面的漏洞實施有 效的治理和封堵.2. 外部黑客風(fēng)險：由于認(rèn)證、計費、DNS等系統(tǒng)需要連接In ternet、其他內(nèi)部網(wǎng)絡(luò)和合作伙伴網(wǎng)絡(luò)等多個接口,因此必然存在不同級別的外部黑客入侵的 風(fēng)險,必須全面考慮各個系統(tǒng)接口,制定治理標(biāo)準(zhǔn),高效地配置平安限制和檢測 產(chǎn)品,降低外部黑客攻擊風(fēng)險.3. 拒絕效勞攻擊風(fēng)險：這種方式的攻擊,使得應(yīng)用效勞器在很短的時間內(nèi) 創(chuàng)立大量的到客戶端的So

7、cket連接,直到耗盡系統(tǒng)資源,此時系統(tǒng)性能嚴(yán)重下 降,正常業(yè)務(wù)無法維持,應(yīng)用系統(tǒng)陷入癱瘓狀態(tài).4. 內(nèi)部黑客和系統(tǒng)誤用風(fēng)險：根據(jù)美國 FBI/CSI的統(tǒng)計,企業(yè)由于其內(nèi)部成心的濫用/欺詐和非成心的誤用產(chǎn)生的損失占其全部平安損失的93%,盡管這局部攻擊僅占據(jù)36%的平安事故.要降低內(nèi)部黑客攻擊和系統(tǒng)誤用的風(fēng)險首先 需要對內(nèi)部系統(tǒng)進(jìn)行平安掃描和增強,然后增強監(jiān)控和審計舉措.5. 病毒威脅風(fēng)險：計算機病毒寄生于操作系統(tǒng)或一般的可執(zhí)行程序上,傳播 及發(fā)作的方式多種多樣,影響范圍廣,動輒修改、刪除文件甚至刪除整個文件系 統(tǒng),導(dǎo)致業(yè)務(wù)系統(tǒng)程序運行錯誤,死機甚至整個系統(tǒng)數(shù)據(jù)的喪失,目前病毒已成 為計算機信

8、息系統(tǒng)的重要威脅之一.1.4 XXX通信省網(wǎng)管中央及重要節(jié)點網(wǎng)絡(luò)平安需求分析根據(jù)XXX通信省網(wǎng)管中央及牡丹江等寬帶城域網(wǎng)重要節(jié)點網(wǎng)絡(luò)結(jié)構(gòu)及業(yè)務(wù) 特點,可以把網(wǎng)絡(luò)平安問題具體定位在以下三個層次上：層次一：通訊和效勞該層次的平安問題主要表達(dá)在網(wǎng)絡(luò)協(xié)議本身存在的一些漏洞.如Ping炸彈可使一臺主機宕機、無需口令通過 Rlogin以root身份登錄到一臺主機等,都是 利用了 TCP/IP協(xié)議本身的漏洞.層次二：操作系統(tǒng)操作系蜒層-MV®-o&z-隔為趣HT-DOS琵二層第i層第三層 應(yīng)用程序?qū)?呱“齡曲-IzdbS&f EfeEDw&la Ofia血血皿乩恤血這一層次

9、的平安問題來自內(nèi)部網(wǎng)采用的各種操作系統(tǒng),如運行各種UNIX的操作系統(tǒng).包括操作系統(tǒng)本身的配置不平安和可能駐留在操作系統(tǒng)內(nèi)部的黑客程 序木馬等帶來的威脅.層次三：應(yīng)用程序該層次的平安主要考慮重要業(yè)務(wù)系統(tǒng)應(yīng)用效勞的保護(hù),如DNS等.在上述三個層面上,結(jié)合對 XXX通信省網(wǎng)管中央可能受到的平安威脅分析 中的需求說明,得出此次 XXX通信省網(wǎng)管中央網(wǎng)絡(luò)平安工程需求主要表達(dá)在以 下四個方面：1 在省網(wǎng)管中央的兩個重要網(wǎng)段認(rèn)證、網(wǎng)管及 7個寬帶城域網(wǎng)節(jié)點 Radius效勞器所在網(wǎng)段提供平安的、基于策略的網(wǎng)絡(luò)層訪問限制舉措,部署防 火墻系統(tǒng)；2 . 在省網(wǎng)管中央兩個重要網(wǎng)段認(rèn)證、網(wǎng)管擴充基于網(wǎng)絡(luò)的實時入侵

10、檢測系統(tǒng),對黑客攻擊實施7x24小時的實時檢測、審計、響應(yīng)和阻斷；3. 增加對重要主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和網(wǎng)絡(luò)設(shè)備的漏洞治理舉措；4. 對省IDC中央的托管效勞器,在內(nèi)容層面上提供基于策略的、 可調(diào)度 的病毒防范水平.2 XXX通信平安方案設(shè)計2.1設(shè)計理念及方法2.1.1覆蓋整個生命周期的完整體系一ADDME為了降低風(fēng)險和減少本錢,根據(jù)信息平安的生命周期特征,iss公司提出了 一種按階段實施的可操作的模型 ADDME.將信息平安的生命周期描述為下面各 個階段：圖3.1.1、ADDME立體示意圖Policy/Standards/Guidelines Phase策略/標(biāo)準(zhǔn)/指南制訂階段：制訂系統(tǒng)的

11、 平安目標(biāo)；Assess Phase評估分析階段：實現(xiàn)需求分析、風(fēng)險分析、平安功能分析和 評估準(zhǔn)那么設(shè)計等,明確表述現(xiàn)時狀態(tài)和目標(biāo)之間的差距；Design Phase方案設(shè)計階段：形成信息平安解決方案,為到達(dá)目標(biāo)給出有 效的方法和步驟；Deploy Phase工程實施階段：根據(jù)方案設(shè)計的框架,建設(shè)、調(diào)試并將整個系統(tǒng)投入使用Man age&Support Phase治理和支持階段：在治理階段包括兩種情況一正 常狀態(tài)下的維護(hù)和治理(Management Status),以及異常狀態(tài)下的應(yīng)急響應(yīng)和 異常處理(Emergency Response Status ).Educate Phase平

12、安教育：是貫穿整個平安生命周期的工作, 需要對企業(yè)的 決策層、技術(shù)治理層、分析設(shè)計人員、工作執(zhí)行人員等所有相關(guān)人員進(jìn)行教育.ADDME模型將成為實現(xiàn)XXX通信公司網(wǎng)絡(luò)平安系統(tǒng)工程的實施過程指南.2.1.2100%的風(fēng)險治理體系信息平安工作歸根結(jié)底就是一個信息平安風(fēng)險治理工作.風(fēng)險治理主要由下 面一些步驟組成：第一階段一風(fēng)險評估治理資產(chǎn)分類和評估漏洞和脆弱性識別威脅識別影響評估業(yè)務(wù)風(fēng)險風(fēng)險量化和評級第二階段一風(fēng)險限制治理評估現(xiàn)有平安限制評價新的限制方法制訂策略和流程實施和降低風(fēng)險風(fēng)險承受和轉(zhuǎn)嫁(給保險公司)通過上述風(fēng)險治理過程,將 XXX通信省網(wǎng)管中央可能面臨的所有平安風(fēng)險 全部進(jìn)行評估和限制,

13、并采取有效舉措予以防范.對于經(jīng)過限制后還具有的剩余 風(fēng)險,通過最后的承受和轉(zhuǎn)嫁給予解決.這樣XXX通信省網(wǎng)管中央100%的信息平安風(fēng)險都有了解決方法和對策.在BS7799中對可能遇到的信息平安風(fēng)險,從治理的角度分為了 10大類127 個風(fēng)險點.ISS公司可以在此標(biāo)準(zhǔn)的根底之上,以效勞形式為 XXX通信公司省 網(wǎng)管中央進(jìn)行全面的風(fēng)險評估和風(fēng)險治理, 協(xié)助構(gòu)建100%的信息平安風(fēng)險治理 體系.注：100%的信息平安風(fēng)險治理體系,并不是能夠保證100%的平安,而是指100%的風(fēng)險都實施了有效的治理.2.1.3平安設(shè)計理念平安問題并不是一個簡單的技術(shù)問題,而是一個多方面、多角度的、復(fù)雜的策略、治理和技

14、術(shù)的融合問題.一個單項的技術(shù)并不能夠解決所有的平安問題, 而反過來,如果過分依賴于技術(shù)來解決平安問題,由于配置錯誤、治理疏忽、口 令喪失等問題,將更容易導(dǎo)致整個平安系統(tǒng)的失效.所以,我們在為XXX通信省網(wǎng)管中央設(shè)計平安體系的時候,必須有一套合理有效的平安理念的選擇和設(shè) 計.ADDME平安模型為整個平安系統(tǒng)的建設(shè),提供了工程實施的具體階段的定 義和周期劃分,同時也為平安工程的建設(shè)提供了指導(dǎo),當(dāng)然也為XXX通信網(wǎng)絡(luò)平安工程的建設(shè)提供了依據(jù)；而100%風(fēng)險治理模型依據(jù)的理論來源是先進(jìn)流行 的平安治理標(biāo)準(zhǔn)ISO17799/BS7799,它為風(fēng)險評估、策略定制、治理限制選擇、 業(yè)務(wù)可持續(xù)開展等,平安治理

15、體系的建立提供了理論依據(jù)和指導(dǎo),依據(jù)它,可以為企業(yè)構(gòu)建一個良好的平安治理體系,提供一個良好的途徑和理論根底.而在這一點上,建議根據(jù) ADDME生命周期模型來實施整個XXX通信省網(wǎng) 管中央網(wǎng)絡(luò)平安工程建設(shè),根據(jù) 100%風(fēng)險治理理念來構(gòu)建整個 XXX通信省網(wǎng) 管中央的平安治理體系,將能夠保證 XXX通信省網(wǎng)管中央實現(xiàn)的真正的平安目 標(biāo),為XXX通信省網(wǎng)管中央用戶提供合理、恰當(dāng)?shù)?、可持續(xù)的平安體系.2.2設(shè)計原那么針對XXX通信省網(wǎng)管中央及寬帶城域網(wǎng)節(jié)點網(wǎng)絡(luò)特點,本方案將嚴(yán)格遵循 如下原那么進(jìn)行規(guī)劃和設(shè)計.體系化原那么分析XXX通信省網(wǎng)管中央及寬帶城域網(wǎng)節(jié)點的層次關(guān)系,遵循先進(jìn)的平安 理念,提出科

16、學(xué)的平安體系和平安框架,并根據(jù)平安體系分析存在的各種平安風(fēng) 險,從而最大限度地解決可能存在的平安問題.標(biāo)準(zhǔn)性原那么方案設(shè)計以及具體產(chǎn)品的選擇實施依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行,這些規(guī)范包括：ISO 17799 / BS7799ISO 13335ISO 15408 / GB18336系統(tǒng)性、綜合性設(shè)計原那么從全系統(tǒng)出發(fā),綜合考慮各種平安風(fēng)險,采取相應(yīng)的平安舉措,并根據(jù)風(fēng)險 的大小,采取不同強度的平安舉措,提供具有最優(yōu)的性能價格比的平安解決方案.可控性原那么采取的技術(shù)手段需要到達(dá)平安可控的目的, 技術(shù)解決方案涉及的工程實施應(yīng) 具有可控性；最小影響原那么根底平安建設(shè)方案將本著對現(xiàn)有業(yè)務(wù)系統(tǒng)影響最小化考

17、慮,盡量不影響現(xiàn)有業(yè)務(wù)的正常使用；動態(tài)和靜態(tài)原那么根底平安建設(shè)方案將從動態(tài)和靜態(tài)兩個方面考慮,充分考慮平安的動態(tài)性等 特點.投資保護(hù)原那么在方案設(shè)計過程中,將充分利用 XXX通信省網(wǎng)管中央及寬帶城域網(wǎng)節(jié)點已 經(jīng)存在的設(shè)備,保護(hù)已有投資.2.3 XXX通信網(wǎng)絡(luò)平安架構(gòu)模型XXX通信省網(wǎng)管中央及寬帶城域網(wǎng)節(jié)點的網(wǎng)絡(luò)平安系統(tǒng)將參照如下平安架構(gòu)進(jìn)行設(shè)計和建設(shè):整體平安 技術(shù)因素內(nèi)容平安平安治理應(yīng)用平臺的平安性操作系統(tǒng)平臺的平安性網(wǎng)絡(luò)平安物理平安平安評估平安策略網(wǎng)絡(luò)根底結(jié)構(gòu)圖2.1整體平安架構(gòu)示意圖物理平安將不在本方案中加以討論2.4平安漏洞掃描系統(tǒng)無論是做好一個平安工程的建設(shè),還是在網(wǎng)絡(luò)系統(tǒng)的正常運作

18、過程中, 清楚 的了解自身平安狀況,目前面臨的平安威脅,存在的平安隱患,以及定期的了解 存在那些漏洞,新出現(xiàn)的平安問題等,都要求信息系統(tǒng)自身和用戶作好平安評估. ISS公司可為XXX通信提供詳細(xì)、全面的平安漏洞掃描解決方案：2.4.1 網(wǎng)絡(luò)平安評估In ternet Sca nner可以掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持 TCP/IP協(xié)議的設(shè)備,掃描 的對象包括NT/2000工作站/效勞器、各種UNIX工作站/效勞器、防火墻、路由 器/交換機等等,通過模擬黑客攻擊手法,掃描目標(biāo)對象存在的平安漏洞,與黑 客攻擊不同的是不做任何破壞活動.目前In ternet Scanner掃描的漏洞類型高達(dá)1067多種,

19、是業(yè)界支持漏洞類型最多的網(wǎng)絡(luò)掃描器產(chǎn)品.在進(jìn)行掃描時,可以從不同的網(wǎng)絡(luò)位置對網(wǎng)絡(luò)設(shè)備進(jìn)行掃描,例如在防火墻的內(nèi)側(cè)和外側(cè)的掃描效果 不同,內(nèi)側(cè)掃描的結(jié)果真實、準(zhǔn)確,外側(cè)掃描可以用來檢測防火墻或網(wǎng)絡(luò)的耐攻 擊程度.另外也可以根據(jù)不同的掃描對象選擇或定制不同的策略,如針對防火墻、UNIX效勞器、NT效勞器、InternetWWW、DNS、MAIL效勞器、路由器交換 機等等,掃描結(jié)束后生成詳細(xì)的平安評估報告.2.4.2 部署建議利用ISS公司的網(wǎng)絡(luò)平安評估產(chǎn)品In ternet Sca nne定期掃描XXX!信省網(wǎng)管 中央網(wǎng)絡(luò)及7個核心節(jié)點中的路由器、效勞器、工作站及防火墻等網(wǎng)絡(luò)設(shè)備,對 網(wǎng)絡(luò)設(shè)備進(jìn)行

20、定期、不定期的掃描,進(jìn)行平安漏洞檢測,找出平安隱患,并且在 執(zhí)行過程中實現(xiàn)基于策略的平安風(fēng)險治理.原有的100個In ternet Scanner IP Lice nse可以充分使用,再購置 1年的升級 和技術(shù)支持效勞；另外,由于新增了很多網(wǎng)絡(luò)設(shè)備和主機設(shè)備,所以新增100個License以實現(xiàn)對全網(wǎng)所有重點設(shè)備和效勞器的平安評估.2.4.3 主機系統(tǒng)平安評估System Sca nne在系統(tǒng)層上通過依附于主機上的掃描器代理偵測主機內(nèi)部的 漏洞.在重要的效勞器上安裝System Scanne的代理軟件代理軟件支持NT/2000 和各種UNIX操作系統(tǒng),在一臺NT工作站上安裝System Sca

21、nner限制臺.系 統(tǒng)掃描比擬一個組織規(guī)定的平安策略和實際的主機配置來發(fā)現(xiàn)潛在的平安風(fēng)險, 包括缺少的平安補丁、詞典中可猜中的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng) 登錄權(quán)限、操作系統(tǒng)內(nèi)部是否有黑客程序駐留、不平安的效勞配置等等.掃描結(jié) 果可生成各級漏洞報告,可根據(jù)報告中詳述的內(nèi)容修改操作系統(tǒng)中不平安的配置掃描器代理的平安策略可以通過系統(tǒng)掃描器限制臺進(jìn)行集中治理和配置.系統(tǒng)掃描帶來了更強有力的針對基于主機的漏洞評估技術(shù),它把快速的分析與可靠 的建議結(jié)合起來,從而保護(hù)效勞器上的應(yīng)用程序、數(shù)據(jù)免受盜用、破壞或誤操作. 同時可以制定一個系統(tǒng)基線,制定方案和規(guī)那么,讓系統(tǒng)掃描器在沒有任何監(jiān)管的 情況下自

22、動運行,一旦發(fā)現(xiàn)漏洞立即報警.系統(tǒng)掃描器所實行的所有規(guī)那么定義在 每個代理的知識庫里,它允許用戶自己定義一個適合相應(yīng)平臺的規(guī)那么,同時還允 許進(jìn)行特殊定義,當(dāng)網(wǎng)絡(luò)不通時代理也可以進(jìn)行工作.2.4.4 部署建議在本工程中,建議可以考慮使用 System Seanner對XXX通信省網(wǎng)管中央的 重要效勞器的操作系統(tǒng)定期進(jìn)行平安漏洞掃描和風(fēng)險評估, 包括漫游認(rèn)證、統(tǒng)計 查詢、Billing server 等.共配置 5 個 License.同時System Scanner也可以采用風(fēng)險評估效勞的形式實施.2.4.5 數(shù)據(jù)庫平安評估ISS Database Sea nner是世界上第一個針對數(shù)據(jù)庫治理

23、系統(tǒng)的風(fēng)險評估檢測 工具,可以利用它建立數(shù)據(jù)庫的平安規(guī)那么,通過運用審核程序來提供有關(guān)平安風(fēng) 險和位置的簡明報告.利用 Database Sea nne定期地通過網(wǎng)絡(luò)快速、方便地掃描 數(shù)據(jù)庫,去檢查數(shù)據(jù)庫特有的平安漏洞,全面評估數(shù)據(jù)庫存在的認(rèn)證、授權(quán)、完 整性方面的問題.Database Scanne目前支持的數(shù)據(jù)庫類型有： MS SQL Server、 Oracle和Sybase不同的數(shù)據(jù)庫類型有相應(yīng)的數(shù)據(jù)庫掃描器產(chǎn)品.對數(shù)據(jù)庫的掃描同樣生成詳細(xì)的平安評估報告.所有掃描器可以根據(jù)掃描的結(jié)果為技術(shù)人員、部門領(lǐng)導(dǎo)生成不同的平安評估 報告,為技術(shù)人員的生成報告列舉了所有的平安漏洞,分高、中、低三個

24、風(fēng)險級 別,每個漏洞給出了詳細(xì)的說明并附修補建議,某些漏洞需要打補丁的還給出了下載網(wǎng)址.為治理人員生成的報告給出了匯總信息,使治理者了解整體平安狀況, 提供決策指導(dǎo).利用Database Scanne定期的通過網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫,檢查數(shù)據(jù) 庫特有的平安漏洞,自動識別數(shù)據(jù)庫系統(tǒng)潛在的平安問題, 全面評估數(shù)據(jù)庫存在 的認(rèn)證、授權(quán)、完整性方等方面的缺陷.Database Sca nner目前支持的數(shù)據(jù)庫類型有：MS SQL Server、Oracle 和 Sybase2.4.6 部署建議Server 主建議可以考慮新增一個Database Scanner License以實現(xiàn)對Billing

25、機上所運行的Oracle數(shù)據(jù)庫平臺進(jìn)行數(shù)據(jù)庫平安評估.同時Database Scanner也可以采用風(fēng)險評估效勞的形式實施.2.4.7漏洞掃描系統(tǒng)部署示意圖各地節(jié)點漏洞掃描系統(tǒng)產(chǎn)品部署示意圖省網(wǎng)Radius65098610NAS寬帶城域網(wǎng)8610省網(wǎng)管中央漏洞掃描系統(tǒng)產(chǎn)品部署示意圖省網(wǎng)管中央局域網(wǎng)結(jié)構(gòu)圖VLAN2ISS ServerSUN E250統(tǒng)計/查詢效勞器SUN E3000HP VE5后臺維護(hù)工作站SUN SPARC20GECatalys8540PSTNPIXDiskACESwitchVLAN4IB<HA 蕪JSearBackup SeSUN U1VLAN3漫游認(rèn)證SUN E30

26、00LDAP ServerDisk、PPPserverEMSsewer “Mail Server1FreeMail. FreeMail . 1SUN E3000 SPARC20 SUN E3000 SUN E2 SUN E3000E3000節(jié)點VLAN1AISB probe AIWebStateCatalys6506NMS. HP C3000AINettrend AISerBase SUN .E3OQ0 .l*aiB UIIBIUAII IISUN E450:Billing server 1) Billing server 2'Enterprise 4000Enterprise 400

27、02.5入侵檢測系統(tǒng)IDS防火墻的保護(hù)是必要的,但絕不是僅僅的保護(hù)手段,特別是在XXX通信這樣的運營商網(wǎng)絡(luò),有著許多極其重要的應(yīng)用系統(tǒng),能否正常運行直接關(guān)系到相關(guān) 業(yè)務(wù)能否正常開展.因此,網(wǎng)落還需要一種動態(tài)和主動的保護(hù)機制,時刻檢查和 解析所有的訪問請求和內(nèi)容,一旦發(fā)現(xiàn)可疑的行為,及時作出適當(dāng)?shù)捻憫?yīng),以保 證將系統(tǒng)調(diào)整到“最平安和“風(fēng)險最低的狀態(tài).這種動態(tài)的保護(hù)機制就是入 侵檢測系統(tǒng).ISS公司的入侵檢測系統(tǒng)一一RealSecure是業(yè)界第一個集成了基于網(wǎng)絡(luò)和基 于主機的入侵檢測系統(tǒng).它可以最大限度地、全天候地監(jiān)控企業(yè)級的平安問題. RealSecure入侵檢測系統(tǒng)可以自動地監(jiān)控分析網(wǎng)絡(luò)數(shù)據(jù)流

28、、主機日志等,對可疑的事件作出響應(yīng),在主機和網(wǎng)絡(luò)遭受破壞之前阻止非法入侵,并能記載入侵過程.RealSecure入侵檢測系統(tǒng)包含如下幾個部件：網(wǎng)絡(luò)傳感器Network Sensor、效勞器傳感器 ServerSenso、桌面?zhèn)鞲衅?Desktop Protector和工作組治理器 Workgroup Man age.網(wǎng)絡(luò)傳感器Network Sensor用來保護(hù)一個網(wǎng)絡(luò).它靜靜地監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù) 包及其內(nèi)容,能夠正確識別各種正在進(jìn)行的攻擊特征,一旦發(fā)現(xiàn)入侵行為,便可根據(jù)預(yù)定義的策略作出響應(yīng),如阻斷入侵、發(fā)出警報、記錄事件、發(fā)SNMP陷阱事件和郵件、執(zhí)行用戶自定義動作甚至修改防火墻策略.

29、通常,Network Sensor由于需要獲取網(wǎng)絡(luò)數(shù)據(jù)流,需要安裝在網(wǎng)絡(luò)入口連接處,入口連接處如果使用共 享式的HUB,Network Sensor直接連接在HUB上即可,如果使用交換機,那么需 對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行映射,通過配置交換機的調(diào)試口如Cisco的Port Monitor 口或SPAN 口來實現(xiàn).為了進(jìn)一步提升平安性,Network Sensor還可配置兩塊網(wǎng)卡,一塊無IP,監(jiān)視網(wǎng)絡(luò),這樣沒人能夠發(fā)現(xiàn)它的存在,另外一塊有IP,連接Con sole, 用于治理.效勞器傳感器：Server Sen sor用來保護(hù)用戶重要的信息資產(chǎn),是業(yè)界最強大的主機保護(hù)產(chǎn)品.Server Sen so融合了

30、 Network Se nsor和X-Force組織的主機保護(hù)技術(shù),它安裝在 需要保護(hù)的效勞器上,檢測所有進(jìn)入該效勞器的網(wǎng)絡(luò)數(shù)據(jù)包,同時也可以解析相關(guān)日志信息.Server Sensor處理速度極快,能夠直接用于千兆網(wǎng)卡的效勞器,也 可用于監(jiān)視底層加密的數(shù)據(jù)流如IPsec而通?；诰W(wǎng)絡(luò)的IDS產(chǎn)品不能識別加 密的數(shù)據(jù)流.桌面?zhèn)鞲衅髯烂鎮(zhèn)鞲衅?RealSecure Desktop Protector簡稱RDP)是企業(yè)和組織用來保 護(hù)桌面機和移動電腦的最正確選擇. 它創(chuàng)造性的結(jié)合了防火期、入侵檢測和應(yīng)用程 序保護(hù)的最先進(jìn)技術(shù),全面保護(hù)客戶個人電腦的平安.RDP的個人防火墻可以阻斷來自互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)

31、到您的PC的各種未授權(quán)的通信.RDP入侵檢測組件采用和效勞器傳感器相同的高速引擎,它分析系統(tǒng)行 為和通信內(nèi)容中的可疑活動,和防火墻組件自動聯(lián)動以阻止黑客的攻擊.應(yīng)用程序保護(hù)組件可以監(jiān)視系統(tǒng)上各種應(yīng)用程序的行為和通信,保護(hù)用戶的電腦免受未知的程序破壞.Workgroup Manager:Workgroup Manager是RealSecure入侵檢測系統(tǒng)的中央治理器,集中、平安 的為分布于企業(yè)各網(wǎng)段、關(guān)鍵效勞器群組的網(wǎng)絡(luò)傳感器、主機傳感器提供集中管 理、配置、報告及實時報警.工作組治理器運行在Windows NT、Windows 2000上.RealSecure入侵檢測系統(tǒng)采用先進(jìn)的三層分布式體

32、系結(jié)構(gòu),把集中在一臺管 理器的幾個主要功能分成四個部件執(zhí)行,構(gòu)成工作組治理器系統(tǒng).三層分布式體 系結(jié)構(gòu)更加靈活,可伸縮性和可生存性更好.三層分布式結(jié)構(gòu)的核心就是中間層 的事件收集器.事件收集器是限制臺和傳感器的樞紐,它負(fù)責(zé)從傳感器收集事件 數(shù)據(jù)并傳送給限制臺和企業(yè)數(shù)據(jù)庫.事件收集的工作由獨立的部件完成,大大減 輕了限制臺工作負(fù)荷.平安事件的數(shù)據(jù)隨著監(jiān)控的網(wǎng)絡(luò)規(guī)模的增大、平安事件的增多、平安審計的要求,數(shù)據(jù)量會成爆炸性增長,因此對數(shù)據(jù)庫軟件和硬件平臺 的要求更高,數(shù)據(jù)存儲在中間層會增加平安性和提升性能,增加部署方案的靈活性.在三層分布式結(jié)構(gòu)中各部件可以運行在一臺計算機上,也可以分布運行在多臺計算

33、機上.各部件可以是一對多或者多對多的關(guān)系,例如,幾個限制臺可以共用一個資產(chǎn)數(shù)據(jù)庫；一個事件收集器可以治理許多臺傳感器并向假設(shè)干限制臺傳 送數(shù)據(jù)2.5.1 百兆NIDS網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署建議為保證XXX通信省網(wǎng)管中央重要業(yè)務(wù)系統(tǒng)的平安可靠運行,同時節(jié)約投資、方便部署,建議依如下方式配置百兆網(wǎng)絡(luò)入侵檢測產(chǎn)品RealSecure NetworkSen so,便于實現(xiàn)對網(wǎng)絡(luò)流量的入侵檢測：1 .在網(wǎng)管設(shè)備所在的網(wǎng)段的網(wǎng)絡(luò)交換機上配置Port Mirror功能,將RealSecure Network Sen so 直接與該交換機上的 Dest in ation (SPAN) Port 相連,將 與該

34、交換機連接的防火墻Intran et端口所對應(yīng)的交換機端口設(shè)置為 Source (SPAN) Port,實現(xiàn)基于SPAN方式的網(wǎng)絡(luò)入侵檢測,所有由外網(wǎng)流入該網(wǎng)管網(wǎng)段的網(wǎng)絡(luò) 流量和內(nèi)容都得到有效的實時檢測.另外增加一臺高檔 PC Server,用于安裝 RealSecure的 Workgroup Manager 入侵檢測系統(tǒng)中央控管平臺(包含事件收集器和治理限制臺,平安企業(yè)數(shù)據(jù)庫 SQL2000等),實現(xiàn)對2臺RealSecure Network Senso啲集中治理,升級,策略 定制,分析與報告等功能.2.5.2入侵檢測系統(tǒng)部署圖省網(wǎng)管中央平安系統(tǒng)產(chǎn)品部署示意圖黑龍江省網(wǎng)管中央局域網(wǎng)結(jié)構(gòu)圖VL

35、AN3PSTNVLAN1PIXACESwitchHAvst28oc=iBjUing setvoi 1 _.Enterprise 4000DiskFreeMail 'E3000RD；Bi)iiQgrs£rveL2iEnterprise 4000PPPserver"g'EMSserver - Mail Served'" LDAP ' ServerFreeMail,SUN E3000 SPARC20 SUN E3000 SUN E2 SUN E3000VLAN2統(tǒng)計/查詢效勞器HP VE5后臺維護(hù)丄作站GECatalys8540.AISB

36、 probe-AIWebStateNMS HP C3000 AINettrendAISerBaseGUN E3000, -ii SUN E45017Catalys6506 Backup SerSUN U1VLAN4圖2.4網(wǎng)絡(luò)入侵檢測部署示意圖2.6方案總結(jié)本方案在充分考慮到XXX通信省網(wǎng)管中央和7個重要節(jié)點的平安需求及實 際網(wǎng)絡(luò)結(jié)構(gòu),采用目前國際,國內(nèi)領(lǐng)先的相關(guān)平安技術(shù),在保證平安體系總體性 價比的前提下,重點考慮了在本方案中所有子系統(tǒng)相互之間的聯(lián)系,力爭建立一 個具有有機聯(lián)系的整體平安體系.本平安方案建議在充分理解用戶需求的前提下,綜合考慮了多方面的因素,符合如下的設(shè)計要求：先進(jìn)性：所選產(chǎn)品都是業(yè)界最先進(jìn)的產(chǎn)品線,同時也提供業(yè)界最先進(jìn)和前沿 的治理理念,使得客戶始終能夠和世界領(lǐng)先的技術(shù)和治理理念同步.充分的“兼容：對現(xiàn)有用戶網(wǎng)絡(luò)的改造,只是添加平安設(shè)備,根本上不需 要對業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)做大的