網(wǎng)絡(luò)安全技術(shù)建議書

1、網(wǎng)絡(luò)安全技術(shù)建議書網(wǎng)絡(luò)安全技術(shù)建議書網(wǎng)絡(luò)安全技術(shù)建議書綜述建設(shè)背景廣電總局內(nèi)部網(wǎng)承載著廣電總局內(nèi)各部門問(wèn)日常工作的公文流轉(zhuǎn)、審批等一系列辦公自動(dòng)化系統(tǒng)。目前，該網(wǎng)絡(luò)與廣電總局外部網(wǎng)絡(luò)采取完全的物理隔離。 隨著廣電總局內(nèi)部網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求，網(wǎng)絡(luò)安全作為信息化建設(shè)中必不 可少的一項(xiàng)工作，以逐漸提現(xiàn)出其重要性。首先，在廣電總局內(nèi)部網(wǎng)絡(luò)的日常運(yùn)維過(guò)程中，出現(xiàn)了一定的安全問(wèn)題。其次，隨著信息化工作的開展，廣電總局直屬機(jī)關(guān)與總局內(nèi)部網(wǎng)絡(luò)的互聯(lián)互通將對(duì) 網(wǎng)絡(luò)安全提出新的要求。所以，為了保障廣電總局網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運(yùn) 行，迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系， 從而為廣電總局及各直屬機(jī)關(guān)提供 高

2、質(zhì)量的信息服務(wù)。本次項(xiàng)目主要是針對(duì)廣電總局內(nèi)部的安全提出解決方案，涉及防火墻系統(tǒng)、 安全審計(jì)系統(tǒng)、網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)、日志分析系統(tǒng)、防病毒體系、OA業(yè)務(wù)安全防護(hù)系統(tǒng)、安全管理、系統(tǒng)安全增強(qiáng)及性能優(yōu)化以及未來(lái)與廣電總局直屬機(jī)關(guān) 互聯(lián)互通時(shí)的安全相關(guān)技術(shù)和建議。網(wǎng)絡(luò)現(xiàn)狀及安全需求廣電總局內(nèi)部網(wǎng)絡(luò)的網(wǎng)拓?fù)浣Y(jié)構(gòu)可以用下圖表示: tA5100網(wǎng)絡(luò)安全技術(shù)建議書廣電總局廣域網(wǎng)拓?fù)銼UN E3500:兩臺(tái)。OA系統(tǒng)主服務(wù)器，采用雙機(jī)備份。SUN A5100:磁盤陣列E250:兩臺(tái)。一臺(tái)為內(nèi)網(wǎng) DNS,另一臺(tái)閑置IBM Netfinity 4000 :兩臺(tái)。ULTRA 10:內(nèi)網(wǎng)網(wǎng)管服務(wù)器內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)由兩臺(tái)C

3、ISCO 6509承擔(dān)內(nèi)網(wǎng)核心交換工作。該交換機(jī)上劃分 VLAN。隔離不同業(yè)務(wù)系統(tǒng)及不同部門問(wèn)子網(wǎng)。內(nèi)網(wǎng)業(yè)務(wù)主機(jī)直接接入到6509上。14臺(tái)2926及2臺(tái)3548通過(guò)千兆上聯(lián)到6509。提供對(duì)各部門日常辦公桌面 機(jī)的接入。直觀看來(lái)，此網(wǎng)絡(luò)已經(jīng)具有了一定的安全性，內(nèi)網(wǎng)與Intenet實(shí)施了完全的物理隔離措施。但是，仔細(xì)分析我們可以看出，這個(gè)網(wǎng)絡(luò)仍然存在很多安全隱患。* 雖然劃分了 VLAN，但是VLAN只起到了隔離廣播信息的功能。對(duì)于內(nèi) 網(wǎng)中對(duì)重要服務(wù)器的訪問(wèn)和各部門間的互訪缺乏實(shí)際的訪問(wèn)控制。事 重要業(yè)務(wù)主機(jī)（服務(wù)機(jī)）與員工自用桌面機(jī)處于同一邏輯層。缺乏安全 等級(jí)的劃分，服務(wù)器與員工桌面機(jī)間無(wú)

4、安全等級(jí)差別或隔離手段，如果 某部門工作PC機(jī)被安裝了木馬，就完全可能被利用成為惡意攻擊的跳 板從而對(duì)核心服務(wù)器或其他部門的主機(jī)發(fā)起攻擊，達(dá)到隱藏真正破壞者 的功能。*重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及業(yè)務(wù)系統(tǒng)如 OA系統(tǒng)的身份認(rèn)證技術(shù)未采 用加密機(jī)制，用戶密碼以明碼方式在網(wǎng)絡(luò)上傳播。如果惡意用戶在網(wǎng)絡(luò) 中安裝網(wǎng)絡(luò)分析軟件，可截獲用戶密碼，冒充正常用戶身份進(jìn)行破壞活 動(dòng)。* 內(nèi)部網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護(hù)、查殺及隔離措施，一旦某臺(tái)用戶主機(jī)感 染病毒，會(huì)在短時(shí)間內(nèi)造成病毒在廣電內(nèi)部網(wǎng)絡(luò)中的廣泛傳播。事未來(lái)各直屬機(jī)關(guān)的遠(yuǎn)程接入也有可能成為攻擊發(fā)起的來(lái)源，需要實(shí)施隔網(wǎng)絡(luò)安全技術(shù)建議書離。目前廣電外網(wǎng)安全只單純依

5、賴被動(dòng)型的安全手段如防火墻，而缺乏主動(dòng) 發(fā)現(xiàn)型的安全手段，比如安全漏洞審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)等。無(wú)法防 患于未然。缺乏對(duì)攻擊的監(jiān)測(cè)和記錄手段，比如入侵檢測(cè)系統(tǒng)、日志服務(wù)器等，無(wú) 法有效的發(fā)現(xiàn)安全事件，也沒(méi)有舉證手段。由于存在眾多安全問(wèn)題，所以迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系， 保障 廣電總局內(nèi)部網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運(yùn)行， 從而為廣電總局各部門、各直屬 機(jī)關(guān)提供高質(zhì)量的信息服務(wù)。以下我們將從網(wǎng)絡(luò)結(jié)構(gòu)安全結(jié)構(gòu)、網(wǎng)絡(luò)安全技術(shù)、防病毒體系及安全管理等 幾個(gè)方面闡述我們的安全建議。1.3安全設(shè)計(jì)原則*整體性原則安全作為一個(gè)特殊的技術(shù)領(lǐng)域，有著自己的特點(diǎn)。安全問(wèn)題必須遵從整體性 原則，網(wǎng)絡(luò)中的任何一

6、個(gè)漏洞或隱患都可能造成整網(wǎng)的安全水平的降低。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括三種機(jī)制： 安全防護(hù)機(jī)制；安全監(jiān)測(cè)機(jī)制；安全恢復(fù) 機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的 防護(hù)措施，避免非法攻擊的進(jìn)行；安全監(jiān)測(cè)機(jī)制是監(jiān)測(cè)系統(tǒng)的運(yùn)行情況， 及時(shí)發(fā) 現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊；安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況 下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少攻擊的破壞程度由于業(yè)務(wù)的重要性及安全需求，廣電總局內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)目前相對(duì)簡(jiǎn)單。 但是，隨著信息化發(fā)展的需求，處于嚴(yán)格控管下的互聯(lián)互通將是網(wǎng)絡(luò)發(fā)展的趨勢(shì)。 因此在本次設(shè)計(jì)中，我們從全網(wǎng)角度出發(fā)，關(guān)注廣電信息化建設(shè)的目標(biāo)，各廣電

7、 各業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點(diǎn)提出從防護(hù)一 檢測(cè)一 回復(fù)的完整的解決 方案，而不是治標(biāo)不治本。4集中性原則網(wǎng)絡(luò)安全技術(shù)建議書安全重在管理，所謂“三分技術(shù)，七分管理”闡述了安全的本質(zhì)。而安全管 理重在集中。廣電總局的設(shè)備和主機(jī)類型較多，業(yè)務(wù)系統(tǒng)涵蓋廣電各個(gè)部門及相關(guān)機(jī)構(gòu)， 業(yè)務(wù)模式相對(duì)復(fù)雜且管理機(jī)構(gòu)和管理模式也千差萬(wàn)別。在全網(wǎng)安全方案的設(shè)計(jì) 中，無(wú)論是安全管理制度的制定和施行， 或是安全產(chǎn)品的選型和實(shí)施，還是長(zhǎng)期 安全服務(wù)方案的制定，我們都將根據(jù)集中性原則，目標(biāo)是實(shí)現(xiàn)對(duì)各設(shè)備和業(yè)務(wù)系 統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應(yīng)，這些都將依賴于管理制度統(tǒng)一的、集中的制定和施行。半層次性原則

8、在廣電總局內(nèi)部網(wǎng)絡(luò)安全方案設(shè)計(jì)中， 無(wú)論具體的軟硬件部署，還是管理制 度的制定，我們都遵循層次性原則。安全問(wèn)題的層次性原則集中在兩個(gè)方面：-管理模式的層次性在廣電總局內(nèi)部網(wǎng)絡(luò)中，由于涉及到跨部門及機(jī)構(gòu)的人員以及地點(diǎn)， 需要一 種層次性的管理模式。比如，用戶管理需要分層次的授權(quán)機(jī)制； 防病毒體系的病 毒庫(kù)分發(fā)或報(bào)警也需要分層次機(jī)制；安全緊急響應(yīng)的流程也需要建立分層監(jiān)控， 逐級(jí)響應(yīng)的機(jī)制。-防護(hù)技術(shù)的層次性層次性還表現(xiàn)在防護(hù)技術(shù)上。針對(duì)業(yè)務(wù)系統(tǒng)的防護(hù)往往有多種防護(hù)設(shè)備和手 段，我們需要根據(jù)業(yè)務(wù)系統(tǒng)特點(diǎn)提出多層次防護(hù)機(jī)制， 保證在外層防護(hù)被入侵失 效的情況下，內(nèi)部防護(hù)層還可以起到防護(hù)作用。另一方面，

9、各層之間的配合也是 層次性原則的重要特點(diǎn)之一。4長(zhǎng)期性原則安全一向是一個(gè)交互的過(guò)程，使用任何一種“靜態(tài)”或者號(hào)稱“動(dòng)態(tài)”防范 的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問(wèn)題，所以我們針對(duì)安全問(wèn)題的特點(diǎn)， 提供針對(duì)廣電總局內(nèi)部網(wǎng)絡(luò)全面的安全服務(wù)， 其中包括設(shè)備產(chǎn)品的技術(shù)支持和服 務(wù)以及安全審計(jì)、安全響應(yīng)等專業(yè)安全服務(wù)。網(wǎng)絡(luò)安全技術(shù)建議書二、統(tǒng)一的安全防護(hù)體系在整個(gè)安全項(xiàng)目設(shè)計(jì)過(guò)程中，我們始終遵循統(tǒng)一的安全原則，從全網(wǎng)安全管 理角度出發(fā)，關(guān)注于各業(yè)務(wù)系統(tǒng)的安全，目標(biāo)是為客戶建立統(tǒng)一的安全防護(hù)體系。網(wǎng)絡(luò)系統(tǒng)安全基于以上四個(gè)原則，我們?yōu)閺V電總局設(shè)計(jì)了如下的安全解決方案。下面，按 照“層層設(shè)防”的安全理念，我

10、們將從整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ)一一網(wǎng)絡(luò)系統(tǒng)的 結(jié)構(gòu)開始，逐步闡述從網(wǎng)絡(luò)核心交換區(qū)域、 到辦公網(wǎng)段和核心服務(wù)器網(wǎng)段的不同 安全策略和安全產(chǎn)品的選型原則和實(shí)施建議。網(wǎng)絡(luò)結(jié)構(gòu)安全首先，通過(guò)如下的示意圖，我們可以更加清晰的了解本方案對(duì)廣電總局內(nèi)部 網(wǎng)絡(luò)的安全結(jié)構(gòu)網(wǎng)絡(luò)安全技術(shù)建議書VPN = VPNrouterrouter36XXPSTNUl|nilE2504000l|E250A5100IIIIIIl|VPN2926354835482926 , 2926MODEM POOLNetwork IDS病毒控制管理中心SUN ULTRA 10網(wǎng)管主機(jī)；!入侵檢測(cè)理端安全審計(jì)系統(tǒng)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)建議在經(jīng)過(guò)上述調(diào)整之后，

11、我們可以看到，構(gòu)成網(wǎng)絡(luò)核心的依舊是兩臺(tái)CISCO6509高性能的高端交換機(jī)，在這臺(tái)交換機(jī)上匯接了重要業(yè)務(wù)系統(tǒng)接入、廣電總 局各部門用戶、網(wǎng)管及安全管理網(wǎng)段，在原有的VLAN基礎(chǔ)上合理劃分新的VLAN結(jié)構(gòu)，使網(wǎng)絡(luò)負(fù)載的分布更加合理。其次，在新的拓?fù)渲校匾獦I(yè)務(wù)系統(tǒng)如辦公系統(tǒng)、DNS/Mail/Proxy等公共服 務(wù)器網(wǎng)段之間都利用防火墻作了有效的隔離，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級(jí)與安全隔離。任意一個(gè)網(wǎng)段對(duì)網(wǎng)絡(luò)業(yè)務(wù)的訪問(wèn)都利用防火墻作了隔離，大大提高了網(wǎng)絡(luò)的安全性，在防止攻擊、病毒/蠕蟲擴(kuò)散等方面都能夠起到很大作用。第三，在原先網(wǎng)管系統(tǒng)的基礎(chǔ)上，建立新的網(wǎng)絡(luò)管理及安全管理網(wǎng)段，該網(wǎng)網(wǎng)絡(luò)安全技術(shù)建

12、議書段集中了網(wǎng)管、審計(jì)、日志、入侵檢測(cè)、統(tǒng)一認(rèn)證及病毒管理中心等安全及網(wǎng)管 主機(jī)，日常運(yùn)維中通過(guò)各類安全技術(shù)收集整網(wǎng)安全信息， 提供運(yùn)維人員整網(wǎng)狀況。 通過(guò)在6509上實(shí)行一定的訪問(wèn)控制及安全策略，限制其他網(wǎng)段對(duì)該網(wǎng)段的非正 常訪問(wèn)。從而確保該網(wǎng)段的安全性。第四，在6509核心機(jī)上通過(guò)背板管理端口或端口鏡像技術(shù)將需要檢測(cè)網(wǎng)絡(luò) 流量鏡像到新增的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上 對(duì)需要檢測(cè)的流量進(jìn)行不間斷的檢測(cè)和報(bào)警。與直屬機(jī)關(guān)互聯(lián)網(wǎng)絡(luò)建議隨著業(yè)務(wù)的發(fā)展,廣電總局的內(nèi)部網(wǎng)目前規(guī)劃與北京市內(nèi)廣電總局各直屬機(jī) 關(guān)互聯(lián)互通以及提供用戶通過(guò) PSTN遠(yuǎn)程撥號(hào)接入內(nèi)網(wǎng)。互聯(lián)通后，廣電總

13、局的 內(nèi)網(wǎng)將開放部分業(yè)務(wù)系統(tǒng)給各直屬機(jī)關(guān)及撥號(hào)用戶。因此，必須確保各直屬機(jī)關(guān)及撥號(hào)用戶的接入不會(huì)對(duì)網(wǎng)絡(luò)安全以及信息安全構(gòu)成影響。目前。由于廣電總局內(nèi)網(wǎng)是與INTERNET完全隔離的網(wǎng)絡(luò)。為確保廣電總 局內(nèi)網(wǎng)的安全性，針對(duì)直屬機(jī)關(guān)互聯(lián)以及撥號(hào)用戶的安全將主要考慮如下因素：.確保直屬機(jī)關(guān)與廣電總局內(nèi)網(wǎng)互聯(lián)信道的物理安全。.對(duì)直屬機(jī)關(guān)與廣電總局內(nèi)網(wǎng)的連接采取加密措施（鏈路層加密，IP層加密或應(yīng)用層加密）。.限定直屬機(jī)關(guān)及撥號(hào)用戶的授權(quán)訪問(wèn)范圍。.限定直屬機(jī)關(guān)及撥號(hào)用戶對(duì)廣電總局內(nèi)網(wǎng)業(yè)務(wù)的訪問(wèn)流程。.限定直屬機(jī)關(guān)及撥號(hào)用戶網(wǎng)絡(luò)接入廣電總局網(wǎng)絡(luò)后導(dǎo)致的INTERNET對(duì)總局內(nèi)網(wǎng)的連接。.對(duì)直屬機(jī)關(guān)及撥號(hào)

14、用戶的訪問(wèn)行為進(jìn)行實(shí)時(shí)監(jiān)控。由以上因素我們可以得出，對(duì)直屬機(jī)關(guān)及撥號(hào)用戶接入廣電總局內(nèi)網(wǎng)的安全 考慮主要分應(yīng)用層和網(wǎng)絡(luò)層兩大部分。由于應(yīng)用系統(tǒng)的安全涉及廣電內(nèi)網(wǎng)所使用 的OA辦公自動(dòng)化系統(tǒng)的業(yè)務(wù)流程、 加密認(rèn)證方式等相關(guān)問(wèn)題，需由業(yè)務(wù)系統(tǒng)的 軟件供應(yīng)商提供相關(guān)安全措施，具體原則及需求見2.2節(jié)。而對(duì)于網(wǎng)絡(luò)層的安全，網(wǎng)絡(luò)安全技術(shù)建議書我們考慮的原則是如何在網(wǎng)絡(luò)層確保數(shù)據(jù)的私密性，完整性和不可抵賴性。目前，可以在網(wǎng)絡(luò)層以下實(shí)現(xiàn)的數(shù)據(jù)加密方式較多，主要包括在鏈路層實(shí)現(xiàn) 的鏈路加密機(jī)制與在網(wǎng)絡(luò)層實(shí)現(xiàn)的各類 IP隧道加密機(jī)制。鏈路加密機(jī)通常由獨(dú)立硬件構(gòu)成， 通過(guò)在鏈路兩端點(diǎn)的鏈路加密機(jī)協(xié)商或事 先指定加

15、密密鑰，對(duì)鏈路中傳輸?shù)奈锢韼M(jìn)行加密。目前在國(guó)內(nèi)主要應(yīng)用于金融 及軍隊(duì)，提供小于10M的吞吐能力。通常，有同步（異步）鏈路加密機(jī)、幀中 繼加密機(jī)。加密機(jī)自身的算法使用國(guó)內(nèi)自研算法，對(duì)外不公開。qiFRPSTNDDnh.加密機(jī)加密機(jī)加密隧道:鏈路加密機(jī)制使用鏈路加密機(jī)實(shí)現(xiàn)信息的點(diǎn)到點(diǎn)安全，對(duì)IP層協(xié)議透明。如果網(wǎng)絡(luò)結(jié)構(gòu)包含多種鏈路，則必須購(gòu)買相應(yīng)的鏈路加密設(shè)備保護(hù)其上通訊數(shù)據(jù)的安全。目前，在國(guó)內(nèi)互聯(lián)網(wǎng)中使用較多的是網(wǎng)絡(luò)層的加密機(jī)制。如果網(wǎng)絡(luò)結(jié)構(gòu)龐大，涉及多種通訊線路，如果采用多種鏈路加密設(shè)備則增加了系統(tǒng)投資費(fèi)用，同時(shí)為系統(tǒng)維護(hù)、升級(jí)、擴(kuò)展也帶來(lái)了相應(yīng)困難。因此在這種情況下我們建議采用網(wǎng)絡(luò) 層加密

16、設(shè)備，網(wǎng)絡(luò)加密機(jī)是實(shí)現(xiàn)端至端的加密，即一個(gè)網(wǎng)點(diǎn)只需配備一臺(tái)VPN加密機(jī)。根據(jù)具體策略，來(lái)保護(hù)內(nèi)部敏感信息和秘密的機(jī)密性、完整性及不可抵 賴性。常用的網(wǎng)絡(luò)機(jī)密機(jī)制采用的是 IPsec機(jī)制。加密機(jī)IP加密機(jī)制IPsec是在TCP/IP體系中實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。而VPN設(shè)備正是一種符合IPsec標(biāo)準(zhǔn)的IP協(xié)議加密設(shè)備。它通過(guò)利用跨越不安全的公共網(wǎng)絡(luò)的線 路建立IP安全隧道，能夠保護(hù)子網(wǎng)間傳輸信息的機(jī)密性、完整性和真實(shí)性。經(jīng) 過(guò)對(duì)VPN的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過(guò)加密隧道，讓另一些主機(jī)仍以 明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。一般來(lái)說(shuō)，VPN設(shè)備可以網(wǎng)絡(luò)安全技術(shù)建議書一對(duì)一和一

17、對(duì)多地運(yùn)行，并具有對(duì)數(shù)據(jù)完整性的保證功能，它安裝在被保護(hù)網(wǎng)絡(luò) 和路由器之間的位置。設(shè)備配置見下圖。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都 支持IPsec標(biāo)準(zhǔn)由于網(wǎng)絡(luò)層加密設(shè)備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò) 安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的 網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺(tái)。 對(duì)政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一 種大型的網(wǎng)絡(luò)，網(wǎng)絡(luò)層加密設(shè)備可以使網(wǎng)絡(luò)在升級(jí)提速時(shí)具有很好的擴(kuò)展性。鑒于網(wǎng)絡(luò)層加密設(shè)備的突出優(yōu)點(diǎn)，應(yīng)根據(jù)具體需求，在各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)與內(nèi)部網(wǎng)絡(luò)相 連接的進(jìn)出口處安裝配備網(wǎng)絡(luò)層加密設(shè)備。網(wǎng)絡(luò)安全技術(shù)建議書2.1.2網(wǎng)絡(luò)安全技術(shù)防火墻系統(tǒng)VP

18、NT:VPNrouterrouterPSTN3公乂乂VNetwork IDS2926 , 3548 , 3548l|hH國(guó)|E250入侵檢測(cè)系統(tǒng)管理端H1|HA5100HI!SUN ULTRA 10網(wǎng)管主機(jī)IBMNetfinity 4000昌口三IPNMODEM POOL2926 . 2926安全審計(jì)系統(tǒng)m志分析系統(tǒng)00 E250我們將對(duì)廣電總網(wǎng)絡(luò)管理級(jí)與業(yè)如前圖所示，根據(jù)廣電總局內(nèi)網(wǎng)整體安全層次的劃分需求, 局內(nèi)網(wǎng)劃分四個(gè)安全等級(jí)：直屬機(jī)關(guān)接入用戶級(jí)、普通用戶級(jí)、 務(wù)系統(tǒng)級(jí)。業(yè)務(wù)系統(tǒng)級(jí)：安全級(jí)別最高，包含廣電總局內(nèi)網(wǎng)辦公自動(dòng)化系統(tǒng)主機(jī)與內(nèi)網(wǎng)DNS系統(tǒng)，這類系統(tǒng)發(fā)生問(wèn)題將直接導(dǎo)致廣電總局辦公系

19、統(tǒng)的全面癱瘓，因此 對(duì)這類級(jí)別的安全防護(hù)需求最高。網(wǎng)絡(luò)安全技術(shù)建議書對(duì)于這類系統(tǒng)，建議使用兩臺(tái)防火墻工作在 FAIL-OVER模式下，通過(guò)在防 火墻上設(shè)置嚴(yán)格的策略，對(duì)每個(gè)需要訪問(wèn)業(yè)務(wù)系統(tǒng)的用戶進(jìn)行嚴(yán)格限制，由于目前防火墻對(duì)組播(MUTLICAST )技術(shù)支持不夠理想，目前廣電總局內(nèi)網(wǎng)的視頻 點(diǎn)播系統(tǒng)暫不放在該網(wǎng)段下。網(wǎng)絡(luò)管理級(jí)：安全級(jí)別居中，包含廣電總局內(nèi)網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理 系統(tǒng)，這類系統(tǒng)如果遭受入侵或干擾，將暴露整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整 網(wǎng)的安全狀況。網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、 配置、管理廣電總局內(nèi)部網(wǎng)絡(luò)，這些系統(tǒng) 擁有對(duì)網(wǎng)絡(luò)設(shè)備及主機(jī)一定的管理權(quán)限，并存貯整網(wǎng)的相關(guān)信息

20、，所以需要對(duì)網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進(jìn)行較高級(jí)別的安全防護(hù)，由于網(wǎng)管及安全管理系統(tǒng)需要 開放的端口較多，因此我們建議在網(wǎng)絡(luò)管理級(jí)前不部署防火墻系統(tǒng)，依靠主機(jī)自身安全增強(qiáng)及強(qiáng)加密認(rèn)證系統(tǒng)提高系統(tǒng)安全防護(hù)能力。普通用戶級(jí)：安全級(jí)別較管理級(jí)低，用戶為總局內(nèi)部員工，由于處于局域網(wǎng) 內(nèi)部，業(yè)務(wù)訪問(wèn)量較大，有意或無(wú)意造成網(wǎng)絡(luò)安全隱患的概率較高， 因此管理力 度需較遠(yuǎn)程接入用戶加強(qiáng)，安全需求級(jí)別較直屬機(jī)關(guān)接入用戶高。直屬機(jī)關(guān)接入用戶級(jí)：安全級(jí)別相對(duì)較低。可信賴度最低。由于這類用戶是 使用遠(yuǎn)程接入廣電總局內(nèi)網(wǎng)，且對(duì)業(yè)務(wù)的訪問(wèn)模式較固定，所以對(duì)該類用戶的安 全等級(jí)及策略規(guī)劃較其他三個(gè)等級(jí)簡(jiǎn)單。我們建議在廣電總局直

21、屬機(jī)關(guān)與廣電總局內(nèi)網(wǎng)鏈路接入處設(shè)置防火墻，限制直屬機(jī)關(guān)接入對(duì)內(nèi)網(wǎng)的訪問(wèn)策略。并通過(guò) VPN方式與各直屬機(jī)關(guān)建立隧道加密 機(jī)制。確保數(shù)據(jù)傳輸?shù)乃矫苄?。由以上四個(gè)安全等級(jí)劃分出發(fā)。我們?cè)趯?duì)網(wǎng)絡(luò)機(jī)構(gòu)調(diào)整的基礎(chǔ)上，將利用防 火墻技術(shù)對(duì)不同安全等級(jí)的系統(tǒng)進(jìn)行安全等級(jí)的劃分，不同等級(jí)之間的訪問(wèn)依靠防火墻策略進(jìn)行嚴(yán)格規(guī)定，確保在防火墻規(guī)范下的網(wǎng)絡(luò)中的流量模型是包含實(shí)際 業(yè)務(wù)模型的最小集合。防火墻上實(shí)施如下策略原則如下：1.默認(rèn)關(guān)閉防火墻上的所有訪問(wèn)規(guī)則網(wǎng)絡(luò)安全技術(shù)建議書2,允許內(nèi)網(wǎng)訪問(wèn)DMZ 口的必要服務(wù)3.禁止DMZ 口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng)、外網(wǎng)到 DMZ的訪問(wèn)4,允許內(nèi)網(wǎng)、DMZ對(duì)外網(wǎng)的訪問(wèn)，也可根據(jù)需要

22、添加必要的限制策略2.1,2,2網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的安全考慮入侵檢測(cè)技術(shù)是當(dāng)今一種非常重要的動(dòng)態(tài)安全技術(shù)，與傳統(tǒng)”的靜態(tài)防火墻 技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。ICSA入侵檢測(cè)系統(tǒng)論壇的定義即：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行 分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象（的一種安全技術(shù)）。入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一。入侵檢測(cè)技術(shù)通過(guò)對(duì)入侵行為的過(guò)程與特征的研究，使安全系統(tǒng)對(duì)入侵事件 和入侵過(guò)程能做出實(shí)時(shí)響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)：1,異常發(fā)現(xiàn)技術(shù)。2.模式發(fā)現(xiàn)技術(shù)。目前，國(guó)際頂尖的入侵檢測(cè)系統(tǒng)

23、IDS主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常 發(fā)現(xiàn)技術(shù)。基于以下因素的考慮，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測(cè)系 統(tǒng)。1.網(wǎng)絡(luò)的快速增長(zhǎng)和復(fù)雜程度的提高將產(chǎn)生大量的安全隱患。我們必須及 時(shí)高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。2,廣電總局自身網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)目前雖然并不復(fù)雜，但隨著直屬機(jī)關(guān)的接 入和網(wǎng)絡(luò)規(guī)模的發(fā)展，為了進(jìn)一步的提高安全事件的即時(shí)響應(yīng)和舉證能 力，必須具備某種手段對(duì)可能的有意或無(wú)意的攻擊作出檢測(cè)、告警并留 下證據(jù)。.雖然在上述的改造方案中已經(jīng)為廣電總局部署了防火墻，對(duì)網(wǎng)段起到了 一定的保護(hù)作用，但是很多攻擊手法是防火墻無(wú)法阻擋的，比如對(duì)Web網(wǎng)絡(luò)安全技術(shù)建議書S

24、erver的基于異常 URL的攻擊，具體體現(xiàn)的例子有 Code Red、Nimda 等等很多。如何及早發(fā)現(xiàn)這類攻擊方式并處理， 是必須解決的問(wèn)題之一。.防火墻雖然可以擋住某些攻擊，但是通常無(wú)法留下細(xì)節(jié)的攻擊記錄，這 對(duì)分析攻擊行為以及調(diào)查取證帶來(lái)了很大困難，而入侵檢測(cè)系統(tǒng)剛好可 以解決這一問(wèn)題。.為了規(guī)范廣電總局內(nèi)網(wǎng)用戶的行為，同時(shí)提供一種對(duì)用戶訪問(wèn)行為的監(jiān) 控機(jī)制和與相關(guān)管理制度的執(zhí)行對(duì)照機(jī)制，依靠基于網(wǎng)絡(luò)的入侵檢測(cè)系 統(tǒng)可以提供一定時(shí)期內(nèi)基于用戶或基于協(xié)議的訪問(wèn)統(tǒng)計(jì)數(shù)據(jù)，用來(lái)更好 的檢驗(yàn)相關(guān)管理制度的執(zhí)行情況，為后期網(wǎng)絡(luò)策略的調(diào)整和規(guī)劃提供依 據(jù)。在選擇入侵監(jiān)測(cè)系統(tǒng)時(shí)需要考慮的因素主要有：

25、.管理模式.協(xié)議分析及檢測(cè)能力；.解碼效率（速度）；.自身安全的完備性；.精確度及完整度，防欺騙能力；.模式更新速度。根據(jù)廣電總局的具體網(wǎng)絡(luò)狀況，我們?cè)趶V電總局內(nèi)網(wǎng)中部署一套套基于網(wǎng)絡(luò) 的入侵檢測(cè)系統(tǒng)。這套入侵檢測(cè)系統(tǒng)部署在核心交換機(jī)上，（由于性能問(wèn)題，原則上不對(duì)視頻 點(diǎn)播系統(tǒng)進(jìn)行檢測(cè)）。檢測(cè)所有不同級(jí)別間的用戶對(duì) OA業(yè)務(wù)系統(tǒng)及網(wǎng)管系統(tǒng)的 訪問(wèn)情況。網(wǎng)絡(luò)IDS系統(tǒng)主機(jī)都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用于接受 管理中心的管理。需要在防火墻和交換機(jī)上設(shè)置相應(yīng)規(guī)則以保護(hù)入侵檢測(cè)主機(jī)。止匕外，在核心交換機(jī)上設(shè)置 Port Mirror將需要檢測(cè)的VLAN的流量映射到 對(duì)應(yīng)的監(jiān)聽網(wǎng)卡所連接的

26、端口網(wǎng)絡(luò)安全技術(shù)建議書同時(shí)，在管理網(wǎng)段再配置一臺(tái) PC Server,安裝入侵檢測(cè)系統(tǒng)的管理端，如 果未來(lái)由于擴(kuò)容等性能問(wèn)題需要增加網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)時(shí)，該管理端可做為全部 入侵檢測(cè)系統(tǒng)的集中控制臺(tái)。Network IDS廣電總局網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測(cè)系統(tǒng)部署拓?fù)鋱D安全審計(jì)系統(tǒng)網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機(jī)開放服務(wù)，同時(shí)模擬黑客入侵對(duì)主機(jī) 或網(wǎng)絡(luò)設(shè)備進(jìn)行偵測(cè)性刺探，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)設(shè)備的安全漏洞。 一方面網(wǎng)絡(luò) 型掃描軟件可以幫助用戶實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)漏洞，另一方面，也是進(jìn)行全網(wǎng)安全審計(jì) 的重要工具。我們推在廣電總局內(nèi)網(wǎng)部署網(wǎng)絡(luò)掃描軟件。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對(duì) 內(nèi)網(wǎng)各業(yè)務(wù)系統(tǒng)及用戶主機(jī)定期進(jìn)行掃描審計(jì)

27、，并存貯相關(guān)審計(jì)信息。對(duì)于網(wǎng)絡(luò)掃描審計(jì)產(chǎn)品的選型，考慮如下因素：, 體系結(jié)構(gòu)：Client/Server結(jié)構(gòu)的掃描審計(jì)軟件具有集中管理的優(yōu)勢(shì)，禾 于電信環(huán)境部署及擴(kuò)展；半 攻擊模式庫(kù)數(shù)量：應(yīng)對(duì)多種攻擊模式均支持；*軟件更新速度快；中文化和本地化支持；建議掃描審計(jì)軟件對(duì)全網(wǎng)主機(jī)和設(shè)備的安全審計(jì)信息均存放在管理網(wǎng)段的數(shù)據(jù)庫(kù)中，其中包括主機(jī)的操作系統(tǒng)版本、漏洞情況、patch情況等安全信息。一方面，網(wǎng)管人員可以通過(guò)這個(gè)集中安全數(shù)據(jù)庫(kù)查詢?nèi)W(wǎng)安全狀況，另一方面， 在發(fā)生安全事件或緊急響應(yīng)時(shí)提供給我們和客戶迅速了解受害機(jī)情況，找到對(duì) 策，減少損失。同時(shí)，掃描審計(jì)軟件應(yīng)提供相關(guān)接口，便于用戶輸入設(shè)備安全信

28、 息，也進(jìn)一步增強(qiáng)該軟件的決策支持能力。網(wǎng)絡(luò)安全技術(shù)建議書由于目前在安全掃描審計(jì)軟件中，都存在一定的安全威脅，掃描軟件中的部 分攻擊模式庫(kù)存在對(duì)網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)資源的潛在危險(xiǎn)性。 因此，對(duì)于掃描審計(jì)系 統(tǒng)，必須在嚴(yán)格的安全代價(jià)分析和詳細(xì)的掃描模式庫(kù)選擇下進(jìn)行實(shí)施， 通常對(duì)于 重要的業(yè)務(wù)系統(tǒng)，要根據(jù)系統(tǒng)主機(jī)的負(fù)載情況制定不同時(shí)間段的掃描計(jì)劃， 從而 獲得全面的系統(tǒng)安全狀況。因此，我們建議在安全審計(jì)系統(tǒng)中，應(yīng)采用服務(wù)與產(chǎn)品相結(jié)合的方式， 由專 業(yè)安全服務(wù)公司制定專業(yè)的審計(jì)流程和定期的安全審計(jì)服務(wù)。，2.1,2,4日志分析系統(tǒng)由于全網(wǎng)存在眾多網(wǎng)絡(luò)和主機(jī)設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建 議在安全管

29、理網(wǎng)段部署一套日志分析系統(tǒng)用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。建議采用三級(jí)結(jié)構(gòu)的日志分析系統(tǒng)，第一級(jí)為需要記錄日志的主機(jī)或設(shè)備，該主機(jī)配置syslog日志指向日志服務(wù)器；第二級(jí)為日志服務(wù)器，負(fù)責(zé)日志接受， 同步處理入數(shù)據(jù)庫(kù)以及日志的統(tǒng)計(jì)分析；第三級(jí)為日志服務(wù)器的console,用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報(bào)警和監(jiān)視日志系統(tǒng)分析統(tǒng)計(jì)結(jié)果。對(duì)于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素： Norton AntiVirus Kill 系列、VRV、TrendMicro InterScan 等產(chǎn)品， 應(yīng)從綜合評(píng)估，包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源 的占用、掃描病毒的方式、處置

30、病毒的方式、日志的管理、病毒庫(kù)的及時(shí)更新以 及各公司的技術(shù)實(shí)力和對(duì)廣電總局內(nèi)網(wǎng)的實(shí)用性等方面考慮。建立全方位、多層次的、整體的網(wǎng)絡(luò)防病毒解決方案。鑒于廣電總局內(nèi)網(wǎng)對(duì)物理隔離的嚴(yán)格要求，我們建議防病毒系統(tǒng)的病毒庫(kù)及掃描引擎升級(jí)工組有系統(tǒng)管理員通過(guò)手工下載并存儲(chǔ)在軟盤上進(jìn)行手動(dòng)安裝開 級(jí)（只需對(duì)病毒集中控制端進(jìn)行手工操作，其他用戶主機(jī)將由病毒集中控制中心自動(dòng)分發(fā)并安裝）2.2業(yè)務(wù)系統(tǒng)安全OA業(yè)務(wù)的安全廣電總局的OA業(yè)務(wù)運(yùn)行在兩臺(tái)SUN E3500平臺(tái)上，OA業(yè)務(wù)的核心進(jìn)程主 要有WEB服務(wù)與數(shù)據(jù)庫(kù)服務(wù)。目前，所有用戶通過(guò)瀏覽器訪問(wèn)OA業(yè)務(wù)主機(jī)，輸入個(gè)人用戶名及密碼后登 錄該系統(tǒng)處理日常OA業(yè)務(wù)，服

31、務(wù)器采用標(biāo)準(zhǔn)80端口提供服務(wù)，所以用戶帳號(hào) 及密碼都是以明碼方式在網(wǎng)絡(luò)上傳播， 任何人竊聽或截獲用戶密碼及帳號(hào)， 都可 以偽裝成該用戶進(jìn)行相關(guān)破壞活動(dòng)。針對(duì)廣電總局的OA業(yè)務(wù)系統(tǒng)，應(yīng)通過(guò)相應(yīng)的安全增強(qiáng)手段加強(qiáng) OA業(yè)務(wù)的 安全性，具體參考如下：.采用SSL加密訪問(wèn)機(jī)制提供OA業(yè)務(wù)服務(wù)。確保用戶在進(jìn)入自己OA系 統(tǒng)時(shí)的帳號(hào)、密碼以及隨后的通訊數(shù)據(jù)的安全性。.采用CA認(rèn)證機(jī)制，建立維護(hù)廣電總局 OA用戶的證書管理中心。采用SSL及CA認(rèn)證系統(tǒng)需要滿足以下安全需求：網(wǎng)絡(luò)安全技術(shù)建議書.身份認(rèn)證每個(gè)使用者必須擁有唯一的可靠的身份認(rèn)證標(biāo)識(shí)，安全系統(tǒng)能夠?qū)γ總€(gè)訪 問(wèn)者的身份進(jìn)行有效識(shí)別，使用者也要對(duì)安全系

32、統(tǒng)進(jìn)行認(rèn)證，也就是使用者一 一系統(tǒng)之間的雙向身份認(rèn)證。.訪問(wèn)控制對(duì)不同的信息資源和用戶設(shè)定不同的權(quán)限，系統(tǒng)根據(jù)每個(gè)訪問(wèn)者的身份確定他的訪問(wèn)權(quán)限，保證只允許授權(quán)的用戶訪問(wèn)授權(quán)的資源。對(duì)于OA資源中的目錄 和文件進(jìn)行細(xì)粒度的權(quán)限劃分，確保每個(gè)使用者只能訪問(wèn)授權(quán)的OA資源。.數(shù)據(jù)保密信息的傳輸過(guò)程加密，保證通信內(nèi)容不被他人捕獲，不會(huì)泄露敏感信息。.數(shù)據(jù)完整性對(duì)關(guān)鍵的數(shù)據(jù)信息，防止信息被非法入侵者篡改。.防止否認(rèn)防止信息發(fā)出者對(duì)自己發(fā)出的信息進(jìn)行抵賴，提供數(shù)字化的操作信息憑證。身份認(rèn)證身份認(rèn)證采用基于證書的公鑰密碼體制來(lái)實(shí)現(xiàn)。公鑰密碼算法公鑰密碼算法使用兩個(gè)不同的密鑰，即解密密鑰Kd (私有密鑰)和加

33、密密鑰Ke (公開密鑰)，信息加密時(shí)使用Ke,密文解密時(shí)使用Kd。Kd和Ke是緊密 相關(guān)，一一對(duì)應(yīng)的。一般統(tǒng)稱私鑰 Kd和公鑰Ke為“公私密鑰對(duì)。公私密鑰對(duì) 由特殊的密碼學(xué)算法產(chǎn)生，密碼學(xué)的理論可以保證，在人類現(xiàn)有的計(jì)算水平下， 由公鑰Ke推算出私鑰Kd是幾乎不可能的。使用者在使用時(shí)，將自己的私鑰Kd保存起來(lái)，而將自己的公鑰 Ke對(duì)外公開。證書(Certificate)和證書中心 CA (Certificate Authority)要實(shí)現(xiàn)基于公鑰密碼算法的身份認(rèn)證求，就必須建立一種信任及信任驗(yàn)證機(jī) 制，即每個(gè)網(wǎng)絡(luò)上的實(shí)體必須有一個(gè)可以被驗(yàn)證的數(shù)字標(biāo)識(shí)，這就是 “數(shù)字證書(Certificate

34、) 數(shù)字證書是各實(shí)體在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證 明，具有唯一性。網(wǎng)絡(luò)安全技術(shù)建議書證書基于公鑰密碼體制，它將用戶的公開密鑰（Ke）同用戶本身的屬性（例 如姓名，單位等）聯(lián)系在一起。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專 門負(fù)責(zé)對(duì)各個(gè)實(shí)體的身份進(jìn)行審核， 并簽發(fā)和管理數(shù)字證書，這個(gè)機(jī)構(gòu)就是證書 中心CA。CA用自己的私鑰對(duì)所有的用戶屬性、證書屬性和用戶的公鑰進(jìn)行數(shù)字簽名，產(chǎn)生用戶的數(shù)字證書在基于證書的安全通信中，證書是證明用戶合法身份和提供用戶合法公鑰的憑證，是建立保密通信的基礎(chǔ)。因此，作為網(wǎng)絡(luò)可信機(jī)構(gòu)的證書管理設(shè)施，CA的主要職能就是管理和維護(hù)它所簽發(fā)的證書，提供各種證書服務(wù)，

35、包括： 證書的 簽發(fā)、更新、回收、歸檔等等。目前，國(guó)際電力聯(lián)盟ITU發(fā)布了數(shù)字證書白國(guó)際標(biāo)準(zhǔn)一一 X.509V3,下圖是X.509V3證書格式的示意圖:Certificate format versionversion 3Certificate serial number1Z345G7BSignature algorithm identifier for CARSA With MDSIssuer X.500 nameValidity periodstart-01/D8/9B. expiry-01W98Subject X.500 name0=115, o=ACMEr cn=John Smith

36、+Subject public ky irtrormationRSA with MDSIssuer unique identifierkani 工Typei/nr-cmn 1- 1TypeSubject unique identifierCriticalityCriticality一，TypeCriticalityValueValueValueExtefi 專 ions認(rèn)證協(xié)議安全套接層協(xié)議 SSL （Secure Socket Layer安全套接層SSL協(xié)議目前Internet上使用最廣泛的安全協(xié)議，兩大主流瀏覽-Netscape Navigator和Microsoft IE以及絕大多數(shù)的

37、Web服務(wù)器均支持標(biāo)準(zhǔn)的SSL3.0協(xié)議。該協(xié)議向TCP/IP的客戶/服務(wù)器模式提供了客戶端和服務(wù)器的 身份認(rèn)證、會(huì)話密鑰交換和信息鏈路加密等安全功能，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。SSL認(rèn)證協(xié)議有以下特點(diǎn)：對(duì)等方實(shí)體可以使用非對(duì)稱密碼算法（例如RSA, DSS等）進(jìn)行認(rèn)證網(wǎng)絡(luò)安全技術(shù)建議書可以實(shí)現(xiàn)雙向的身份認(rèn)證。共享秘密的協(xié)商是保密的。即使攻擊者能夠發(fā)起中間人攻擊，協(xié)商的秘 密也不可能被竊聽者獲得。協(xié)商是高度安全可靠的。攻擊者不能在不被發(fā)現(xiàn)的情況下篡改協(xié)商通信 數(shù)據(jù)。訪問(wèn)控制訪問(wèn)控制采用集中式的權(quán)限控制中心，驗(yàn)證該使用者是否有權(quán)限訪問(wèn)特定的資源（文件）。并根據(jù)權(quán)限中心來(lái)完成。安全管理員在權(quán)限控制中

38、心為每個(gè)使用 者設(shè)定權(quán)限。在使用者登錄 OA服務(wù)器的時(shí)候，OA服務(wù)器的安全系統(tǒng)會(huì)訪問(wèn)權(quán) 限控制中心，驗(yàn)證該使用者是否有權(quán)限訪問(wèn)特定的資源（文件） 。并根據(jù)權(quán)限進(jìn) 行允許或拒絕。權(quán)限控制中心采用LDAP （輕量級(jí)目錄訪問(wèn)協(xié)議）目錄服務(wù)器來(lái)存儲(chǔ)使用者 的權(quán)限。信息保密在身份認(rèn)證通過(guò)之后，使用者和安全系統(tǒng)之間使用SSL協(xié)議建立安全加密連 接。SSL協(xié)議中，生成會(huì)話密鑰的步驟如下：交換hello消息以協(xié)商密碼算法，交換隨機(jī)值。交換必要的密碼學(xué)參數(shù)，使客戶和服務(wù)器能夠協(xié)商premaster secret交換證書和密碼學(xué)信息，使客戶和服務(wù)器能夠進(jìn)行相互認(rèn)證。使用交換的隨機(jī)值和 premaster secr

39、e也成主秘密 master secret 通信雙方將根據(jù)主秘密master secret計(jì)算出此次通信的會(huì)話密鑰，進(jìn)行 安全通信。數(shù)據(jù)完整性與不可否認(rèn)性數(shù)據(jù)的完整性與不可否認(rèn)性通過(guò)基于公鑰密碼算法的數(shù)字簽名來(lái)實(shí)現(xiàn)。數(shù)字文摘算法（HASH ）網(wǎng)絡(luò)安全技術(shù)建議書數(shù)字文摘算法可以將任意長(zhǎng)度的數(shù)據(jù)信息制作成一個(gè)固定長(zhǎng)度的“文摘”，這個(gè)文摘保存了原來(lái)信息的一些特征，但是又不可能從這個(gè)數(shù)字文摘恢復(fù)出原來(lái) 的信息內(nèi)容，就象圖書館的書刊索引一樣。數(shù)字文摘算法主要用于保證信息的完 整性。常用的數(shù)字文摘算法主要有 MD5、SHA-1等。數(shù)字簽名（Digital Signature）數(shù)字化的重要信息（例如電子商務(wù)交

40、易信息）是以數(shù)字形式出現(xiàn)的，不能用 手工的紙筆方式簽字蓋章，所以必須有一種方式來(lái)保證這些“重要的數(shù)字流”在傳輸中不被篡改、偽造，并且使信息發(fā)出者不能否認(rèn)自己曾有過(guò)的行為。這種方 式被稱為數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是公鑰密碼體制的一種應(yīng)用，簡(jiǎn)單地說(shuō)，簽名者使用自己私鑰 Kd對(duì)簽名文件的“數(shù)字文摘”加密，就生成了該文件的“數(shù)字簽名”。簽名者將 文件和數(shù)字簽名一起發(fā)送給接收者，接收者就可以用該簽名者公布的公鑰Ke來(lái)解開數(shù)字簽名，從而檢驗(yàn)文件本身的真?zhèn)危⒋_定簽名者的身份。由于采用CA及SSL認(rèn)證通訊方式與廣電總局 OA系統(tǒng)結(jié)合較緊密，所以本 方案中我們推薦由OA軟件供應(yīng)商根據(jù)OA系統(tǒng)的特點(diǎn)，進(jìn)行相關(guān)

41、調(diào)整及實(shí)施。2.2.2 DNS業(yè)務(wù)的安全DNS業(yè)務(wù)提供了廣電總局內(nèi)網(wǎng)的域名解析工作，對(duì)于廣電總局內(nèi)網(wǎng)的 DNS 系統(tǒng)的安全，主要有如下建議：.通過(guò)將其部署在防火墻內(nèi)，限制用戶對(duì)該業(yè)務(wù)主機(jī)其他服務(wù)的訪問(wèn)，只 開啟DNS服務(wù)端口（ 53）和相關(guān)管理端口（ 22, 23等）。.依靠入侵檢測(cè)系統(tǒng)及日志分析系統(tǒng)對(duì)該業(yè)務(wù)主機(jī)進(jìn)行詳細(xì)的訪問(wèn)記錄 審核，并保留相關(guān)記錄。.對(duì)于操作系統(tǒng)，建議實(shí)施專業(yè)的Saloris安全增強(qiáng)服務(wù)，優(yōu)化系統(tǒng)主機(jī)性 能，強(qiáng)化主機(jī)的安全性。.日常運(yùn)維及管理用戶通過(guò)一次性口令集中認(rèn)證訪問(wèn)系統(tǒng)，確保密碼的安 全性，以及指令的安全性。目前，廣電總局內(nèi)網(wǎng)的DNS采用的BIND,該軟件自身存在多

42、種安全隱患，網(wǎng)絡(luò)安全技術(shù)建議書建議實(shí)施DNS系統(tǒng)的專業(yè)安全增強(qiáng)，確保DNS業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，具體內(nèi)容可參 考如下：.限制域傳輸.配置主備服務(wù)器間認(rèn)證.防止DNS欺騙.禁止轉(zhuǎn)發(fā)查詢.設(shè)置 allow query.設(shè)置重試查詢次數(shù)2.3信息安全管理中心全網(wǎng)安全管理中心的建立對(duì)于廣電總局全網(wǎng)安全有著非常大的意義，通過(guò)安 全中心可以動(dòng)態(tài)了解和控制全網(wǎng)安全狀況。一方面針對(duì)全網(wǎng)的安全設(shè)備進(jìn)行集中 管理，另一方面，可以利用集中管理軟件收集全網(wǎng)網(wǎng)絡(luò)和主機(jī)安全信息，用于安 全分析和統(tǒng)計(jì)，進(jìn)而對(duì)全網(wǎng)安全進(jìn)行決策和支持。我們建議該安全管理中心分為 安全決策支持中心和安全設(shè)備管理中心。安全管理中心的實(shí)施拓?fù)淙缦聢D所示：

43、安全管理中心實(shí)施拓?fù)浒踩珱Q策支持中心安全決策支持中心實(shí)際上是一個(gè)由專業(yè)安全專家、客戶安全人員、安全知識(shí)庫(kù)、安全信息中心軟件系統(tǒng)以及專業(yè)安全服務(wù)共同構(gòu)成的一個(gè)常備安全機(jī)構(gòu)。其中安全知識(shí)庫(kù)主要由專業(yè)公司提供的安全信息發(fā)布服務(wù)提供。而安全信息中心軟件系統(tǒng)包括了安全管理中心內(nèi)的安全審計(jì)軟件和日志分析軟件兩大部分。網(wǎng)絡(luò)安全技術(shù)建議書安全審計(jì)中心目前掃描軟件包括網(wǎng)絡(luò)型掃描器，主機(jī)型掃描器和數(shù)據(jù)庫(kù)掃描器。一方面由 于主機(jī)型掃描器和數(shù)據(jù)庫(kù)掃描器在使用中對(duì)系統(tǒng)資源占用較高， 另一方面，這些 掃描器的性價(jià)比較低，所以不推薦使用。網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機(jī)開放服務(wù)，同時(shí)模擬黑客入侵對(duì)主機(jī)或 網(wǎng)絡(luò)設(shè)備進(jìn)行偵測(cè)性

44、刺探，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)設(shè)備的安全漏洞。 一方面網(wǎng)絡(luò)型 掃描軟件可以幫助用戶實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)漏洞， 另一方面，也是進(jìn)行全網(wǎng)安全審計(jì)的 重要工具。日志分析中心日志中心用于全網(wǎng)設(shè)備和主機(jī)日志的收集和分析，避免了分散日志的安全 性，增加了安全事件的事后可跟蹤性；安全設(shè)備管理中心安全設(shè)備中心包括IDS管理中心、防病毒管理中心、一次性口令集中認(rèn)證系 統(tǒng)、日志管理中心和審計(jì)中心控制臺(tái)。* IDS管理中心用于網(wǎng)絡(luò)型IDS的策略控制和監(jiān)控，報(bào)警信息將會(huì)在控制 臺(tái)上顯示或報(bào)警；網(wǎng)絡(luò)安全技術(shù)建議書防病毒管理中心用于防病毒系統(tǒng)的管理和控制；日志管理中心控制臺(tái)和審計(jì)中心控制臺(tái)分別是日志分析中心和安全審 計(jì)中心的Conso

45、le端軟件，可以實(shí)現(xiàn)對(duì)這兩套軟件系統(tǒng)的遠(yuǎn)程控制和管 理。安全設(shè)備管理中心，是“集中管理”思想的具體體現(xiàn)。通過(guò)一套或幾套部署 在同一地點(diǎn)的安全管理軟件，集中的實(shí)現(xiàn)對(duì)多個(gè)節(jié)點(diǎn)的多套安全工具集中的管 控，極大的節(jié)約了人力資源，提高了管理效率，對(duì)降低企業(yè)安全系統(tǒng)的TCO （總 體擁有成本）有很大效果。三、運(yùn)維管理及培訓(xùn)方案任何用于主機(jī)安全或是網(wǎng)絡(luò)安全的技術(shù)解決方案都必須依賴安全管理規(guī)范 的支持，而安全管理貫穿在整個(gè)網(wǎng)絡(luò)運(yùn)維之中的。 瑪賽在長(zhǎng)期大量的安全工程的 安全設(shè)計(jì)和實(shí)施中，積累了大量運(yùn)維工作的安全管理經(jīng)驗(yàn)， 瑪賽愿意與廣電總局 安全運(yùn)維部門一起分享這些經(jīng)驗(yàn)。結(jié)合目前廣電總局業(yè)務(wù)特點(diǎn)，我們將從安全風(fēng)

46、險(xiǎn)管理，物理安全管理，邏輯安全管理和日常安全管理四個(gè)方面闡述安全管理方案。安全風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)管理是確定適當(dāng)?shù)陌踩胧┑闹匾襟E。風(fēng)險(xiǎn)管理對(duì)于如何提供安 全性，在那些方面提供安全性以及所應(yīng)采取的安全控制的類型和力度等方面都有 著重要意義。在廣電總局安全運(yùn)維中，需要通過(guò)安全風(fēng)險(xiǎn)管理提供網(wǎng)絡(luò)中的安全關(guān)鍵點(diǎn)。 下面我們首先將針對(duì)廣電總局進(jìn)行安全風(fēng)險(xiǎn)評(píng)估， 以確定什么是廣電總局的關(guān)鍵 資產(chǎn)，對(duì)這些關(guān)鍵資產(chǎn)進(jìn)行評(píng)估以及確定對(duì)這些資產(chǎn)出現(xiàn)破壞的可能性。結(jié)合廣電總局的目前運(yùn)維情況，我們認(rèn)為整個(gè)網(wǎng)絡(luò)中比較關(guān)鍵的資產(chǎn)如下表 所示：網(wǎng)絡(luò)安全技術(shù)建議書資產(chǎn)說(shuō)明核心交換機(jī)廣電總局局域網(wǎng)所用的核心交換機(jī)防火墻廣電總局所

47、用的防火墻接入路由器承擔(dān)廣電總局網(wǎng)絡(luò)直屬機(jī)關(guān)接入的接入路由器OA業(yè)務(wù)承擔(dān)廣電總局內(nèi)網(wǎng)業(yè)務(wù)的服務(wù)器集群公共服務(wù)網(wǎng)段提供廣電總局內(nèi)部工作人員使用的公共業(yè)務(wù) DNS的服務(wù)器應(yīng)用服務(wù)器網(wǎng)段廣電總局內(nèi)部工作人員日常應(yīng)用如視頻點(diǎn)播等的服務(wù)器集群用戶資源廣電總局目前的用戶群管理人員廣電總局擔(dān)負(fù)網(wǎng)絡(luò)運(yùn)維的人員，這里只列出了廣電總局中一部分最重要的資產(chǎn)，而在長(zhǎng)期的安全管理中，需要全局統(tǒng)籌管理，隨著業(yè)務(wù)系統(tǒng)的不斷變化， 及時(shí)更新關(guān)鍵資產(chǎn)的定義，以保 證處理操作的一致性和便于資產(chǎn)評(píng)估。在確定了廣電總局中重要資產(chǎn)后，就需要對(duì)這些資產(chǎn)評(píng)定價(jià)值，一般而言，我們需要對(duì)有形資產(chǎn)如路由器等設(shè)備， 及其無(wú)形資產(chǎn)如數(shù)據(jù)庫(kù)的數(shù)據(jù)等，

48、 進(jìn)行資 產(chǎn)價(jià)值評(píng)估。無(wú)形資產(chǎn)一般可以用重要程度或關(guān)鍵程度評(píng)判其價(jià)值。 有形資產(chǎn)可 以根據(jù)更新價(jià)值或關(guān)鍵程度等因素進(jìn)行評(píng)判。 考慮到實(shí)際需求，我們用不同的關(guān) 鍵程度等級(jí)來(lái)劃分?jǐn)?shù)據(jù)類別來(lái)評(píng)定廣電總局內(nèi)網(wǎng)資產(chǎn)價(jià)值。資產(chǎn)關(guān)鍵程度資產(chǎn)高核心交換機(jī)高防火墻中接入路由器高OA業(yè)務(wù)中公共服務(wù)網(wǎng)段高應(yīng)用服務(wù)器網(wǎng)段高網(wǎng)絡(luò)安全技術(shù)建議書用戶資源中，下面我們將關(guān)注于出現(xiàn)破壞廣電總局安全的可能性。網(wǎng)絡(luò)的脆弱性表現(xiàn)在網(wǎng) 絡(luò)中存在的可能被威脅利用的缺陷， 如：可能發(fā)生外部人員的猜出口令而對(duì)網(wǎng)絡(luò) 進(jìn)行未經(jīng)授權(quán)訪問(wèn)的事件等。對(duì)于廣電總局網(wǎng)絡(luò)中關(guān)鍵資源，威脅有如下一些形 式：竊取或破壞風(fēng)險(xiǎn)管理需要為廣電總局建立一套不同類型的敏

49、感數(shù)據(jù)存儲(chǔ)在哪里、數(shù)據(jù)如何存儲(chǔ)以及誰(shuí)有權(quán)訪問(wèn)不同類型數(shù)據(jù)的的列表，該列表包涵了廣電總局中最有價(jià) 值信息，通過(guò)該列表可以對(duì)這些數(shù)據(jù)進(jìn)行簡(jiǎn)單的風(fēng)險(xiǎn)計(jì)算。在廣電總局中，OA信息、路由配置和安全日志等這些數(shù)據(jù)是需要安全風(fēng)險(xiǎn)管理關(guān)注的關(guān)鍵數(shù)據(jù)，在運(yùn)維中需要為這些數(shù)據(jù)提供安全管理策略，例如：由如何進(jìn)行備份生備份文件存儲(chǔ)在何處中如何對(duì)數(shù)據(jù)進(jìn)行物理保護(hù)由誰(shuí)有權(quán)訪問(wèn)存儲(chǔ)數(shù)據(jù)的介質(zhì)由數(shù)據(jù)完整性遭到破壞后的恢復(fù)措施事網(wǎng)絡(luò)資源不可用風(fēng)險(xiǎn)管理將包含確定那些網(wǎng)絡(luò)資源會(huì)受威脅及其所造成的損失。在廣電總局網(wǎng)絡(luò)結(jié)構(gòu)中，業(yè)務(wù)系統(tǒng)的交換機(jī)和接入設(shè)備都是重要的網(wǎng)絡(luò)資源，這些資源由于 設(shè)備失效、自然行為（如水災(zāi)、火災(zāi)和電擊等）、系統(tǒng)升

50、級(jí)、錯(cuò)誤配置以及DDoS 攻擊等威脅，會(huì)造成商業(yè)上的極大損失，我們將根據(jù)這些威脅和商業(yè)損失上的考 慮，給定這些資源的相對(duì)風(fēng)險(xiǎn)，同時(shí)也將給出保證這些資源可用的安全策略。，業(yè)務(wù)資源不可用與網(wǎng)絡(luò)資源不可用類似，廣電總局的業(yè)務(wù)資源，如 OA系統(tǒng)、DNS系統(tǒng)、 等，都會(huì)由于某些威脅，造成系統(tǒng)不可用，我們需要給出這些資源的風(fēng)險(xiǎn)評(píng)估。網(wǎng)絡(luò)安全技術(shù)建議書以下給出一個(gè)簡(jiǎn)單針對(duì)OA系統(tǒng)和DNS系統(tǒng)的計(jì)算風(fēng)險(xiǎn)例子:威脅的可能性（T）1=不太可能2=大概可能3=非?？赡芷谕膿p失值（1=低損失2=中等損失3=嚴(yán)重?fù)p失L）風(fēng)險(xiǎn)（TXL）1, 2=低風(fēng)險(xiǎn)3, 4=中等風(fēng)險(xiǎn)6 9 =高風(fēng)險(xiǎn)資源名稱所受威脅TL風(fēng)險(xiǎn)OA系統(tǒng)數(shù)

51、據(jù)被竊取、篡改，DoS攻擊等236- MiDNS系統(tǒng)非授權(quán)訪問(wèn)，DoS攻擊等224-中通過(guò)這樣的風(fēng)險(xiǎn)計(jì)算，就可以大致了解整個(gè)系統(tǒng)安全高風(fēng)險(xiǎn)的部位， 這樣就 可以有的放矢，針對(duì)高風(fēng)險(xiǎn)段采取針對(duì)性措施進(jìn)行防護(hù)。當(dāng)在廣電總局所有風(fēng)險(xiǎn)評(píng)定完畢后，就需要廣電總局網(wǎng)絡(luò)部門進(jìn)一步確定廣 電總局能夠接受多高的風(fēng)險(xiǎn)，以及資產(chǎn)需要保護(hù)到什么程度。風(fēng)險(xiǎn)緩解是選擇適 當(dāng)?shù)目刂品绞綄L(fēng)險(xiǎn)降低到可接受水平的過(guò)程。通過(guò)把暴露安全漏洞所帶來(lái)的風(fēng) 險(xiǎn)和實(shí)施及強(qiáng)制執(zhí)行安全策略所需要的費(fèi)用進(jìn)行比較，就可以確定廣電總局可接 受的風(fēng)險(xiǎn)水平。如對(duì)于辦公 PC網(wǎng)絡(luò)之上的Cisco交換機(jī)，我們就不值得花錢制 定嚴(yán)格的安全策略保護(hù)它們。再如：

52、針對(duì) DNS服務(wù)器系統(tǒng)的威脅，我們只要提 供防火墻設(shè)備對(duì)進(jìn)出該網(wǎng)段的訪問(wèn)進(jìn)行過(guò)濾并提供基本的入侵檢測(cè)即可，而不需要花費(fèi)太多額外的資源去保護(hù)該業(yè)務(wù)系統(tǒng)。我們建議與廣電總局網(wǎng)絡(luò)部門協(xié)作，每個(gè)季度對(duì)整網(wǎng)實(shí)施一次專業(yè)的安全風(fēng)險(xiǎn)評(píng)估，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上提出進(jìn)一步的安全解決方案， 從風(fēng)險(xiǎn)管理的角度為 合理分配資源、進(jìn)一步制定安全策略提供重要依據(jù)。物理安全管理物理安全一直是安全領(lǐng)域重要一環(huán)。 在系統(tǒng)中，物理安全主要體現(xiàn)在針對(duì)物 理基礎(chǔ)設(shè)施、物理設(shè)備和物理訪問(wèn)的控制， 在廣電總局環(huán)境中，全網(wǎng)物理安全主 要通過(guò)機(jī)房物理安全來(lái)體現(xiàn)。我們將針對(duì)廣電總局網(wǎng)絡(luò)系統(tǒng)提供一些機(jī)房管理制 度建議，同時(shí)在全網(wǎng)運(yùn)維過(guò)程中與廣電總

53、局運(yùn)維部門協(xié)作不斷完善這些制度。網(wǎng)絡(luò)安全技術(shù)建議書機(jī)房參觀訪問(wèn)制度該制度將從參觀介紹人和參觀對(duì)象、 參觀申請(qǐng)及審批、參觀批次和人數(shù)、機(jī) 房參觀流程、參觀級(jí)別定義及其資料管理等方面， 為廣電總局在運(yùn)維過(guò)程中的客 戶參觀提供安全管理依據(jù)。機(jī)房施工管理制度我們結(jié)合以前項(xiàng)目中安全管理的經(jīng)驗(yàn)，為廣電總局制定了如下的機(jī)房施工管理制度，廣電總局運(yùn)維部門也可以結(jié)合各機(jī)房情況改進(jìn)該管理制度，以求充分切合實(shí)際。&運(yùn)維值班管理制度值班管理制度是機(jī)房管理制度中較為核心的內(nèi)容， 我們將配合廣電總局網(wǎng)絡(luò) 部門從值班基本守則、值班工作內(nèi)容、值班中常見問(wèn)題處理等多方面提供運(yùn)維值 班管理建議。運(yùn)維故障處理制度為保證廣電總局網(wǎng)絡(luò)

54、的安全運(yùn)行， 保障全網(wǎng)的服務(wù)質(zhì)量，我們?yōu)閺V電總局提 供運(yùn)維故障處理的建議。建議將從故障發(fā)現(xiàn)、故障處理流程、故障級(jí)別、故障匯 報(bào)和故障報(bào)告等多方面提供全網(wǎng)運(yùn)維故障處理解決的方法。如下為我們?yōu)閺V電總局設(shè)計(jì)的故障報(bào)告的一個(gè)簡(jiǎn)要格式：*其他運(yùn)維管理制度針對(duì)廣電總局運(yùn)維實(shí)際，我們從設(shè)備使用管理、設(shè)備文檔管理等方面提供設(shè) 備檔案管理制度的建議，同時(shí)也提供了關(guān)于設(shè)備配置更改制度的一些想法。針對(duì) 某些災(zāi)難（電力、空調(diào)、水力，火災(zāi)），提供了相應(yīng)的機(jī)房災(zāi)難應(yīng)急措施。良好的物理安全是保證整個(gè)系統(tǒng)安全的重要部分，廣電總局機(jī)房管理制度的 發(fā)展與完善需要廣電總局運(yùn)維部門和專業(yè)安全服務(wù)商密切協(xié)作， 在長(zhǎng)期的運(yùn)維中 得到加強(qiáng)

55、。網(wǎng)絡(luò)安全技術(shù)建議書3.3邏輯安全管理邏輯安全管理進(jìn)一步從技術(shù)層面建立一些安全管理制度，諸如用戶管理、口令管理、網(wǎng)絡(luò)設(shè)備安全管理和主機(jī)系統(tǒng)安全管理的制度。就用戶管理而言，我們建議對(duì)廣電總局設(shè)備或是網(wǎng)段的訪問(wèn)必須明確限制到 需要訪問(wèn)的個(gè)人，我們采取兩種管理措施：預(yù)防性管理和探測(cè)性管理。預(yù)防性管 理，用于識(shí)別每個(gè)授權(quán)用戶并拒絕非授權(quán)用戶的訪問(wèn)。探測(cè)性管理，用于記錄和報(bào)告授權(quán)用戶的行為，以及記錄和報(bào)告非授權(quán)訪問(wèn)或?qū)ο到y(tǒng)、 程序和數(shù)據(jù)的訪問(wèn) 企圖。在廣電總局進(jìn)行訪問(wèn)控制管理時(shí)，我們建議對(duì)各網(wǎng)絡(luò)設(shè)備控制臺(tái)的訪問(wèn)分別 分配一個(gè)用戶口令，而對(duì)網(wǎng)絡(luò)設(shè)備的邏輯訪問(wèn)分別采用另一個(gè)用戶口令。對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)控制，建議每個(gè)業(yè)務(wù)系統(tǒng)獨(dú)立分配相應(yīng)的用戶。對(duì)傳統(tǒng)傳統(tǒng)口令用戶， 有以下建議：事 選擇不容易被猜到的口令；在安裝完新的網(wǎng)絡(luò)基礎(chǔ)設(shè)備后盡快修改默認(rèn)口令，不要忘記修改控制臺(tái) 訪問(wèn)口令和用于維護(hù)目的的口令；盡可能限制對(duì)口令的訪問(wèn)，盡可能利用某些產(chǎn)品提供的對(duì)配置文件口令 加密的功能；率 制定指導(dǎo)方針，要求用戶多長(zhǎng)時(shí)間必須更改口令。建議至少在危及到特 權(quán)帳戶的安全或發(fā)生重大人事變動(dòng)時(shí)必須更換口令；在口令選擇方面，有以下基本原則：不要使用登錄名，不管以何種形式（如原樣或顛倒、大寫和重復(fù)等）不要用名字的第一個(gè)、中間