某省烟草信息安全全面规划方案.doc

xx省烟草信息安全全面规划方案目 录1某省烟草信息安全现状42某省烟草信息安全需求53终端与内网安全管理系统规划63.1系统架构63.2产品主要功能及特色73.3产品规格113.4产品部署124安全域的重新划分145网络流量分析与响应系统规划方案155.1某省烟草网络流量分析与响应系统的需求155.2网络流量分析与响应系统的部署与作用156防病毒网关的规划186.1防病毒网关的规划部署186.2主要功能186.3规划部署拓扑图207文档加密系统的规划218漏洞扫描产品规划方案218.1漏洞扫描系统的选择218.2漏洞扫描系统功能218.3漏洞扫描系统的部属269综合运维管理平台规划方案269.1方案概述269.1.1方案设计原则269.1.2方案建设目标279.2方案设计思路289.3综合运维管理平台体系架构299.4信息资产监控管理319.4.1主机设备监控管理319.4.2安全设备监控管理329.4.3业务系统监控管理329.4.4数据库系统监控管理339.5网络系统监控管理349.5.1网络拓扑自动发现349.5.2网络拓扑管理349.5.3网络设备监控管理359.5.4网络流量监控和分析369.6网络安全综合监控管理399.6.1漏洞状态监控管理399.6.2补丁更新监控管理419.6.3安全事件信息监控419.6.4事件综合关联分析439.7运维管理系统459.7.1事件处理流程管理459.7.2安全策略管理469.7.3风险预警展示489.7.4综合报表系统509.8知识库系统509.8.1漏洞库519.8.2补丁库519.8.3技术知识库519.8.4工具软件库519.8.5政策法规库519.9用户与权限管理529.10系统性能指标529.10.1处理能力529.10.2扩展性539.10.3易操作性539.10.4可靠性539.10.5可维护性539.10.6时间同步549.11产品部署5410数据库审计系统规划5510.1数据库审计系统部署5510.2产品功能与特性5610.2.1数据库操作审计功能5610.2.2统计功能5810.2.3审计、统计、排名关联功能5910.2.4告警功能6010.2.5实时流量分析功能6110.2.6报表功能6110.2.7转储备份功能6110.2.8管理配置功能6211备份与恢复系统规划6211.1核心业务容灾系统需求分析6211.1.1建设容灾系统的必要性6211.1.2系统平台所面临的问题6311.1.3容灾系统需求6411.2异地容灾系统总体设计方案6511.2.1异地容灾系统方案设计分析6511.2.2采用基于SAN虚拟化存储的容灾方案6911.2.3系统拓扑791 某省烟草信息安全现状某省烟草在相关领导的高度重视下，近年来，在加速信息化建设方面取得了显著的成效，并已走到了同行业前列，目前，某省烟草的整个生产经营均已和信息化平台紧密相联，无论是营销专卖、日常办公、财务管理、还是宏观决策等等。随着未来信息化建设的不断深入和扩展，如何进一步加强信息化平台的稳定性、可靠性和安全性，将成为未来信息化建设需要考虑的重点问题。某省烟草近年来在保障信息安全方面的建设也取得了积极的进展，目前已在全网部署了防火墙、VPN、以及防病毒系统等安全控制措施，在省公司核心区域还部署了防火墙、IDS等安全状态控制与监控工具，另外还实施了专业的安全评估，为确保省及各地市分公司信息化平台的稳定高效运行提供了有力的基础保障。但是，按照烟草行业计算机网络和信息安全技术与管理规范（国烟办【2003】17号）的标准要求以及“国家烟草专卖局烟草经济信息中心”的烟草行业信息安全体系建设指南的具体指导和要求，让我们深刻感受到目前某省烟草信息安全的建设仍然存在有不足，重点表现在烟草行业信息安全体系建设指南的“技术体系”方面。“技术体系”方面的不足如下：1) 在访问控制方面，缺乏对用户终端的访问活动进行有效限制；2) 在标识鉴别方面，缺乏静态口令、一次性口令、数字证书、生物特征或多种方式相结合的方法；3) 网络访问控制方面，缺乏局域网内部的不同区域严格划分；4) 用户终端访问控制方面，缺乏对桌面终端的违规操作进行监测和有效控制，无法防止未经授权的便携式移动设备接入本单位网络系统，也无法防止外单位人员的便携式移动设备在未经批准的情况下接入本单位网络系统。5) 系统与通信保护方面，缺乏按照安全等级，对信息系统进行安全域的划分并对跨越安全域边界的访问进行有效控制。6) 缺乏对拒绝服务的攻击识别与防范。7) 在网络边界防护方面，缺乏监视和控制本单位网络对外出口的通信情况。8) 在对外出口处，缺乏病毒网关防护系统(AV)、流量整形系统等防护。9) 在传输涉及烟草行业秘密或敏感信息时，缺乏加密传输措施。10) 公钥基础设施方面，缺乏PKI/CA认证体系，对重要信息系统必须使用PKI/CA认证体系进行用户身份的标识和鉴别。11) 检测与响应方面，缺乏漏洞扫描工具；缺乏对各种安全日志清晰统一的管理。12) 安全审计方面，缺乏对核心业务的合规性审计。13) 缺乏高级别的备份与恢复设施。因此，按照烟草行业信息安全体系建设指南的要求，结合上述的不足，提出以下安全需求。2 某省烟草信息安全需求分析一下上一章节的某省烟草现状与信息安全不足，提出产品与技术的解决方案，如下：1） 部署终端安全管理系统，对终端的访问活动、违规操作进行监控与控制，防止非法外联及未经授权的便携式移动设备接入本单位网络系统，也无法防止外单位人员的便携式移动设备在未经批准的情况下接入本单位网络系统。2） 公钥基础设施方面，按照国家局的要求，建设、使用和规范管理PKI/CA认证体系，对重要信息系统必须使用PKI/CA认证体系进行用户身份的标识和鉴别。3） 标志鉴别方面，结合国家烟草总公司的CA认证系统，来配备数字证书，对关键业务的人员身份进行有效的鉴别。4） 重新划分安全域，应用防火墙对跨越安全域边界的访问进行有效控制。5） 对外出口处部署网络流量分析与响应系统，识别各种拒绝服务攻击与监视和控制本单位网络对外出口的通信情况，并做到流量整形，保证对外出口安全通信。6） 对外出口处部署防病毒网关，防范来自互联网的各种病毒的侵袭。7） 部署文档加密系统，在传输涉及烟草行业秘密或敏感信息时，保证加密传输。8） 部署漏洞扫描系统，对网络安全状况进行评估，对漏洞进行修补，消除安全隐患。9） 部署安全运维平台，对各种安全日志清晰统一的管理。10） 部署数据库审计系统，对核心业务的操作人员、使用时间、操作内容进行审计。11） 部署高级别的备份与恢复系统。 在下面的章节中将进行详细叙述。3 终端与内网安全管理系统规划在知识型经济之下，企业信息资产显得特别重要，能否有效保护专有技术等内部信息，更是企业成功的关键。进入信息年代，互联网成为本土企业与外地公司沟通、交换业务数据及信息的主要渠道。利用互联网沟通固然方便，但却使机密的商业资料很容易透过开放的互联网泄露给竞争对手。因此企业需要严格监管员工使用网络，防范知识产权和机密商业资料通过网络泄漏而造成的重大损失。另据调查结果表明，目前员工在工作场所花费在网上的与工作无关时间越来越多，企业的生产力受到很大影响。因此监管员工操作行为，可以促进生产力的提高，降低了因滥用电脑带来的损失，同时也保证系统和信息的安全。内网综合管理系统正是为企业解决上述问题的有利的工具。内网综合管理系统严格监控和记录企业内部各台计算机的使用情况,它具有强大的资产管理、网络管理、系统管理、补丁管理、实时跟踪、运行统计、历史归档等功能。可以让您随时了解您企业的计算机用户的资源利用情况。考虑到烟草网络的规模和终端计算机的多样性，客户端程序必须有良好的兼容性和稳定性、较小的系统开销以减少对系统资源的占用。同时，用户环境，客户端程序应具备卸载管理，防止未经授权的卸载使终端计算机脱离管理。我们建议采用终端与内网安全管理系统，包含以下功能子系统：n 桌面安全管理系统 n 补丁分发管理系统 n 安全接入管理系统 n 移动介质管理系统 n 网络资产管理系统3.1 系统架构终端与内网安全管理系统由三部分组成，客户端代理模块、控制台模块和服务器模块。客户端代理模块安装在每一台需要被监视的计算机上，用来收集数据信息，并执行来自服务器模块的指令。服务器模块一般安装在一台具有高性能CPU和大容量内存的用作服务器的计算机上，用来存储和管理所有安装有代理模块的计算机的数据。控制台模块一般安装在公司的管理人员的计算机上，用来监控每台安装有代理模块的计算机，管理各类审计系统，制定安全策略。系统的基本框架如下图所示：3.2 产品主要功能及特色桌面安全管理子系统n 保护机密商业资料：详细记录文件操作（打开、修改、删除等），记录文件操作时的屏幕，限制使用移动存储设备；n 防止滥用公司电脑：限制与工作无关的应用程序的使用，禁止浏览与工作无关的网站；定时记录电脑屏幕操作，直观察看员工的电脑操作记录；n 客观评估员工工作：详细记录员工使用的应用程序，详细记录员工浏览的网页，员工使用电脑情况图表分析；n 协助企业管理：完善丰富的报表功能，自动生成、发送邮件报告，远程控制等；n 限制信息扩散：自动划分内部安全域，限制合法主机和非法主机之间的相互访问，防止敏感信息流入非法区域；n 可扩展的解决方案：充分利用现有的计算机设备，并且可以随时从单个工作站方便的扩充到网络环境，受监控的工作站的多少也可以随时按需调整。这种系统的特性减少了硬件和网络提升后所带来的软件成本上升的压力。补丁分发管理子系统n 具有完全的国内自主知识产权：补丁分发管理系统是国内自主开发的网络安全产品，具有全部的源代码，拥有完全自主的国内知识产权。获得了多项国家认证证书。n 产品自带丰富全面的补丁库：产品自带丰富的补丁库，包括了目前主流的操作系统与应用程序漏洞补丁，为用户节省了搜寻并下载补丁的繁重工作。补丁库采用增量升级，每周升级三到五次，补丁库中所有补丁都经过严格地测试与签名，确保补丁库的安全性与来源可靠性。n 基于漏洞扫描的有效分发：不加分析地随意分发补丁，不仅浪费网络资源，还会干扰客户端的正常应用。补丁分发管理系统可以导入目前主流漏洞扫描产品的扫描结果，并结合主机端漏洞扫描的结果，进行有针对性的有效分发。不仅发现漏洞，而且修补漏洞。n 支持自定义补丁/脚本：大多数补丁管理产品仅仅基于源厂商所发布的补丁库，对于系统配置不当等原因所导致的安全漏洞无能为力。补丁系统不仅包括厂商所发布的补丁，也包括针对漏洞的修补脚本程序和用户自定义的补丁，修补能力更加全面。n 全面的安全资产管理：补丁系统可以管理受控网络节点、非受控网络节点，可以自由分组、灵活调配。客户端的资产信息包括硬件信息、软件信息、自定义信息等，而且补丁下发前结合软、硬件资产的情况做深入的有效性判断，做到分发的补丁与客户端资产的有效协调。n 丰富的任务管理方式：3种时间模式，7种新建任务模式、4种分发模式、任意节点、任意文件的子任务管理。安全接入管理子系统n 投资低廉：不要求复杂昂贵的交换机，不需要另外增加认证服务器和隔离网关，就可以实现网络接入的控制。n 网络适应力强，控制效果有效可靠：可以很好地适应DHCP、PC防火墙、NAT等复杂场景，配置部署简单。n 管理方便：可以自动生成各种白名单并手工更改，快速生成安全接入的管理策略，管理员甚至不需要手工设置，就可以在桌面安全管理系统客户端的基础上实现安全接入控制。n 网络负载小：由于不需要传递复杂的证书和控制协议，基于ARP的干扰措施只需要很小的网络负荷就能实现安全接入的控制。n 扩展能力强：可以和防火墙、隔离网关等设施实现连动，从而实现更灵活、更有效的安全域划分控制和上网行为控制。n 先进的架构：采用分布式部署，支持多VLAN内多控制点的设置，反应迅速，满足系统伸缩性和实时性的要求。移动介质管理子系统n 丰富的访问授权模型：支持“拒绝访问（NoAccess）”、“只读（ReadOnly）”、“只写（WriteOnly）”、“读写完全访问（ReadWrite）”等方式以适应多种运用场景。比如通过“只读（ReadOnly）”、“只写（WriteOnly）”的配合可以解决外网资料向内网的“摆渡”的难题。n 特有的介质管理功能：可以详细规定PC上允许使用的存贮设备实例列表；也可以规定特定移动存储设备允许使用的PC列表，限制在非授权PC上的使用。n 细致灵活的策略模型：支持在单台计算机上不同用户拥有不同的移动存储授权。n 特有的“文件审计”技术：可以很好地防止改名欺骗“rename-spoofing”的问题。比如，防止将Word文档改名伪装成MP3文件躲避审计。n 简单的基础设施要求：可以适应但不要求Active Directory（微软的活动目录服务）等复杂Windows基础设施就可以使用，适合普及推广的需要。n 随遇而安的适应力：可以很好地适应DHCP、PC防火墙、NAT等复杂场景，网络层配置简单，且底层SSL机制支持系统透过Internet部署。n 顽强的抗攻击力：系统客户端采取多种技术增加生存能力并应付多种手段的攻击，以适应内部管理的需要。n 实用方便：系统支持操作员不离开其控制台把客户端“推”向远程PC机的特性，方便大规模部署。系统还支持多个操作员。n 先进的架构：采用分布式P2P技术架构，满足系统伸缩性和实时性的要求。网络资产管理子系统n 提高资产控制力：使用统一的数据库来建立系统信息的单一数据源，自动发现企业计算机资产信息、它们的配置情况和在网络中的位置。n 查询决策：强大的查询工具使您能快速的分析和了解企业的IT环境，从而使您能在软件、硬件有更新或升级需求时作出明智的决定。n 丰富报表：丰富的商务报表能够更容易的显示协同任务的进展，证明IT标准的符合度以及计划您未来的扩充计划n 提高效率：效率意味着自动完成日常任务，并且对人力及IT资源产生最小的影响。在最少的时间、努力和花费下做更多的事。n 分级权限：可以给资产管理的职员只定义库存跟踪和分析功能，给安全加固的人员只定义补丁分发的功能，给IT管理人员定义对全部功能访问权限但只能在他使用办公室的计算机的时候等，实现多种安全等级的控制。3.3 产品规格产品型号终端与内网安全管理系统产品形态软件产品功能桌面安全管理桌面安全管理桌面审计管理客户机屏幕监控功能主机防火墙流量控制补丁分发管理补丁分发补丁管理软件分发任务管理安全接入管理接入控制接入管理非法外联监控非法外联管理移动介质管理存储设备管理外设管理安全配置管理网络资产管理资产统计资产变更处理自定义信息管理安全性系统安全性服务器与客户机之间的通信经过必要的加密措施有管理员帐号管理功能控制台支持分级、分组、分权限管理服务器与客户机的认证防止未获授权使用电子邮件内容加密备份数据加密数据安全性提供自动备份功能支持多种备份装置(如磁带机、CDRW、DVDRW、网络驱动器)系统性能数据库性能高性能的后台数据库网络性能高性能的数据压缩和数据传输，降低数据大小及传输时间快速客户机并发轮询客户机网络流量控制管理功能客户端程序功能客户端程序兼容WINDOWS系列操作系统客户端程序卸载必须通过控制台客户端程序具有反安装保护功能处理机制采用高性能的后台数据库高性能的数据压缩和数据传输，减低数据的大小及数据传输的时间具有快速的客户机并发轮询机制客户机网络流量控制安装方式单独安装域安装WEB安装远程推送内部邮件发送客户端下载连接配置功能用户转换修改密码计算机管理描述管理用户及权限管理查询历史选项设置数据清除周期升级序列号客户端自动升级3.4 产品部署本方案建议采用集中部署终端与内网安全管理系统的方式：n 全网部署一台终端与内网服务器，负责全网各终端计算机的信息收集与策略下发，实现对终端计算机的管理，并在服务器上配置补丁系统，将补丁文件的存贮、发放和管理集中在服务顺进行。n 网内部署管理控制台，运行管理中心。负责对各终端计算机进行查看，并进行策略制定、下发n 终端计算机上安装客户端程序。负责向服务器上报资产、行为、补丁等信息，同时从服务器接收策略，并在本在执行。n 部署客户端可以采用登录WEB页面下载安装和电子邮件分发客户端相结合的方法。这种方式的优势在于部署简单，实现容易。系统部署示意图如下：4 安全域的重新划分按照烟草行业信息安全体系建设指南的要求，将烟草行业电子政务系统、烟草行业电子商务系统等不同用途的系统划分在不同安全域；将信息系统用户功能区域与信息系统管理功能区域相划分在不同安全域，将应用服务（如门户网站、应用系统操作界面）与数据存储服务（如中间件服务器、数据库服务器）划分在不同安全域。因此将内网服务器群区域划分为核心数据库服务器区、应用服务器区及管理服务器区。通过防火墙对跨越安全域边界的访问进行有效控制。安全域重新划分后的拓扑图规划如图4-1所示。 图4-1 安全域重新划分的规划拓扑图安全域重新划分后，需要增加部署2套千兆防火墙系统、1套千兆入侵检测系统及对应的两台交换机系统。5 网络流量分析与响应系统规划方案5.1 某省烟草网络流量分析与响应系统的需求某省烟草省公司及各地市分公司已经统一由省公司对Intetnet出口，与互联网进行访问，并采用VPN方式通过互联网与下属部分单位进行通讯。同时某省烟草广域网骨干路由器汇聚着下属地市分公司等单位的通讯。这将面临来自Intetnet及下属单位的安全威胁。如：下属单位网络路由循环将可能导致某省烟草广域网络瘫痪；内部人员在浏览互联网和收发邮件时，可能面临来自互联网的攻击和蠕虫在网络内的泛滥，从而造成网络流量异常的情况。部署防火墙和入侵检测这些安全设备不能有效的检测和处理异常流量和攻击，并且都不能识别新型及其变种DoS攻击和蠕虫，因而不能及时发现新型攻击，异常流量的增多导致网络质量进一步恶化，另一方面对于在网内传播的异常流量和攻击也不能快速准确定位。网络流量分析与响应系统能够用于网络出口流量的监控检测和分析，通过对出口骨干网络流量信息或系统信息的收集，采用多种方法进行分析、检测，实时监控、检测骨干网络中DoS/DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件，提取异常特征，并启动报警和响应系统进行过滤、阻断和防御。因此对于某省省烟草省公司需要部署网络流量分析与响应系统。5.2 网络流量分析与响应系统的部署与作用网络流量分析与响应系统采用旁路的部署方案，通过连接到到网络中，收集所有出口路由器的Netflow数据。如图5-1所示。图5-1 网络流量分析与响应系统部署拓扑图部署网络流量分析与响应系统的作用：1、网络流量实时分析实时检测因大量数据包的泛滥式攻击造成的网络流量异常，包括网络中的DoS/DDoS攻击、蠕虫病毒、大量的垃圾邮件等异常流量。利用建立的流量基线和流量阀值，当前流量超过阈值或基线时，系统会产生相应的告警信息。管理员还可以通过系统图形化的详细的主机流量、应用流量、会话流量等排名，了解网络流量的问题点。同时系统获取潜在异常流量产生的源、目的通信的原始数据包，以进行深度的攻击检测判断异常流量是垃圾邮件、拒绝服务攻击、病毒等何种成因。2、流量趋势预警实时监控、分析网络的通信流量情况，及时提供关于流量变化趋势的报表，显示网络运行状况。通过设置预警的阈值或基线，当流量超过阈值时及时报警并通知管理员。用户可以根据自身的网络情况及其关注的主要内容，设置相应的监控参数，包括可以指定监控的IP地址，端口、数据包的传输速率等信息，并可以设置组合条件。系统内建数据库，可以进行长期监控，方便管理员了解网络的流量模型，建立流量基线数据，为深度的安全检测提供数据基础，并为网络的优化提供依据。3、攻击检测采用数据流智能重组，以数据流为对象，通过特征检测、协议分析相结合的检测方法，根据强大的攻击特征库，检测各种攻击。并提供攻击报告和建议措施，包括各类攻击的详细内容和可采取的安全措施。系统支持自定义攻击事件，可以对从网络层到应用层的各协议字段设定检测特征。用户还可以基于每个规则制定不同的响应措施。4、通信行为分析采用应用层内容检测、协议解码分析、行为分析等多种检测技术，实现对网络通信行为的检测分析。提供攻击报告和建议措施，包括各类攻击的详细内容和可采取的安全措施。1) 协议解码分析：通过对数据包的捕获和协议解码分析，实现对通信行为的深度检测。通过深度解码分析，可以检测异常协议，从而检测隐秘式攻击；2) 内容检测：针对网络应用协议，如HTTP、FTP、SMTP、POP3、IMAP、DNS、Rlogin、Rsh、MSN、Bit Torrent、eDonkey等，进行通信过程和内容的分析，便于了解攻击过程、监控网络资源的滥用、发现攻击；5、攻击实时响应对于检测到的异常流量，将会产生相应级别的告警信息及建议措施，以多种形式进行记录和通知管理员，包括实时报警、Syslog日志、邮件报警、Email报警、SNMP Trap报警等；同时将异常流量进行隔离，与合法流量分开，正常业务的合法流量继续转发到目的地，而异常流量则进一步重点监控，通过对原始数据包的深度检测，分析获取DoS/DDoS攻击、蠕虫病毒、垃圾邮件等的信息；并根据安全策略，启动设备ACL、黑洞路由、防火墙、防垃圾邮件系统等安全设备对各种异常流量进行防御，包括过滤、阻断、删除等。6、网络信息审计强大的网络信息审计功能，可以全面收集网络系统信息，详细记录网络活动和应用连接的历史信息。攻击报告提供识别到的异常流量和各类攻击的详细内容，包括攻击特征、异常流量特征等。通过数据挖掘和数据仓库，对于异常流量的监控、检测、分析和响应均形成完整的网络审计日志，便于管理员对骨干网络的运行和使用情况进行全面地监控、记录、审计和重放，为进一步审核和调整安全策略提供依据。系统提供先进查询功能，用户既可以进行简单的条件查询，也可以对任意字段进行统计汇总查询，从而实现功能灵活、强大的汇总结果。6 防病毒网关的规划在省公司对Internet出口处增加一台防病毒网关设备，加强对蠕虫病毒以及垃圾邮件的防御。6.1 防病毒网关的规划部署防病毒过滤网关是一款多功能综合过滤网关设备，全面防范通过网络访问、文件下载、电子邮件等形式传播的计算机病毒、阻断蠕虫攻击、抵御网络入侵和攻击破坏等安全威胁，具备强大的防毒墙功能。通过防病毒过滤网关的保护，可有效提升网络环境的安全状况，保护网络范围内系统和数据安全，避免直接或间接的经济或名誉损失。根据用户的不同需要，防病毒过滤网关可实现内网综合保护、关键网段保护、网络隔离等安全保护。6.2 主要功能a) 蠕虫过滤蠕虫可以利用电子邮件、文件传输等方式进行扩散，也可以利用系统的漏洞发起动态攻击。近几年蠕虫造成的危害越来越大，可以导致系统严重损坏和网络瘫痪。如尼姆达（Nimda）、红色代码（CodeRed）、蠕虫王（Slammer）、冲击波（Blaster）等。根据蠕虫的特点，防病毒过滤网关从OSI的多个层次进行处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议（SMTP、HTTP、POP3、FTP等）传输的静态蠕虫代码。防病毒过滤网关所独有的抗蠕虫攻击技术（Anti-Worm）处于国际领先地位，能够全方位抵御所有已知蠕虫病毒的攻击，弥补了国内同类产品空白。这一技术标志着，防病毒过滤网关不仅可以过滤静态蠕虫代码，而且能够阻断蠕虫的动态攻击（包括所引发的病毒传播、后门漏洞、DoS/DDoS攻击等）。这样，可以实现全面防御蠕虫的目的。b) 病毒过滤这里的病毒过滤是指普通病毒（例如CIH）、邮件病毒（例如求职信、美丽杀手、爱虫、Mydoom）、特洛伊木马、网页恶意代码的过滤等。对于网页浏览（HTTP协议）、文件传输（FTP协议）、邮件传输（SMTP、POP3协议）等病毒，基于专门的病毒引擎进行查杀。对邮件病毒，可以定义对病毒的处理方式，决定清除病毒、删除附件、丢弃等操作，发现病毒时通知管理员、收件人、发件人等操作。防病毒过滤网关具有卓越的病毒查杀能力，能够对多种应用协议（SMTP、HTTP、POP3、FTP等）所传递的数据进行病毒过滤，其反病毒引擎获得了ICSA（国际计算机安全协会）实验室的查杀病毒认证，能够100%地检测出目前“流行病毒名单”上的病毒。c) 垃圾邮件过滤垃圾邮件过滤是防病毒过滤网关的一个独立模块，采用国际先进技术，依据公安部反垃圾邮件技术标准开发。防病毒过滤网关既可以将反垃圾邮件模块采用嵌入方式进行过滤处理，也可以划分出单独的反垃圾邮件产品独立工作。垃圾邮件类型大致可以分为：邮件头部包含垃圾邮件特征的邮件；邮件内容包含垃圾邮件特征的邮件；使用Open Relay主机发送的垃圾邮件（Open Relay方式的SMTP邮件服务器被利用向任何地址发送的垃圾邮件）；邮件头部和内容都无法提取特征的垃圾邮件。防病毒过滤网关使用连接限制技术、关键字过滤技术、黑名单技术、贝叶斯智能分析技术，对垃圾邮件进行全面高效过滤。过滤的协议支持SMTP、POP3协议。防病毒过滤网关的反垃圾邮件技术按照协议特征对数据包进行分析、重组及解码，按照安全规则通过智能分析对SMTP连接、IP地址、邮件地址、数据内容进行处理。防病毒过滤网关可以限制IP地址、邮件地址、邮件数量、邮件大小；对邮件标题、正文、附件、包含特定关键字的邮件进行过滤；对特定邮件头信息、邮件发送者地址、邮件接收者地址、域名等进行过滤；支持HELO/EHLO标志过滤；可以基于RFC821信封规范进行检查；支持对伪装邮件过滤。这样，以多种过滤方式最大限度防止垃圾邮件的泛滥。d) 内容过滤防病毒过滤网关基于SBPH/BCR（Sparse Binary Polynomial Hashing/Bayesian Chain Rule）技术进行内容检查。这是一种基于稀疏多项哈希和贝叶斯链的评定系统，具有高度准确的内容识别能力。防病毒过滤网关支持对邮件的关键字、附件文件类型进行过滤，通过定义可信或不可信的URL并进行过滤，可以选择对网页脚本进行过滤，对传输的信息进行智能识别过滤，防止敏感信息的侵扰和扩散。6.3 规划部署拓扑图 如图6-1所示。图61 某省烟草省公司防病毒网关规划部署方案7 文档加密系统的规划文档加密系统应能够在国家烟草专卖局配置的CA认证中心的身份、权限设置的基础上选择保密局认证的文档加密系统产品，将涉及烟草行业秘密或敏感信息进行加密，保证在局域网中加密传输（互联网上传输还将结合VPN技术）。8 漏洞扫描产品规划方案8.1 漏洞扫描系统的选择一个计算机网络安全漏洞有它多方面的属性，主要可以用以下几个方面来概括：漏洞可能造成的直接威胁、漏洞的成因、漏洞的严重性和漏洞被利用的方式。漏洞检测系统是网络安全系统的一个重要组成部分，它不但可以实现复杂烦琐的信息系统安全管理，而且还可以从目标信息系统和网络资源中采集信息，分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。漏洞检测就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。这种技术通常采用两种策略，即被动式策略和主动式策略。被动式策略是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查；而主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。漏洞检测系统是防火墙的重要补充，并能有效地结合其他网络安全产品的性能，对网络安全进行全方位的保护。8.2 漏洞扫描系统功能本产品按照计算机信息系统安全的国家标准、相关行业标准设计、编写、制造。漏洞扫描系统机架式产品可以对不同操作系统下的计算机（在可扫描IP范围内）进行漏洞检测。主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。漏洞扫描系统最终目标是成为加强中国网络信息系统安全功能，提高内部网络安全防护性能和抗破坏能力，检测评估已运行网络的安全性能，为网络系统管理员提供实时安全建议等的主流工具。网络隐患扫描系统作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前可以提供安全防护解决方案。并可根据用户需求对该系统功能进行升级。软件的主要功能有：隐患扫描功能：发现您的网络中可能被黑客用以发起攻击的隐患和漏洞漏洞分析功能：对扫描结果进行详细的分析，给出满足各方面需要的报表和图形。可以方便直观地对用户进行安全性能评估和检查。策略管理功能：针对不同用户的需求，对扫描项进行合理的组合，更快、更有效地帮助不同用户构建自己专用的安全策略。系统管理功能：对本系统的进行系统设置，用来设置本机的IP、子网掩码、网关设置；定时设定，设定指定时间系统自动启动扫描引擎进行扫描；提供日志管理，用户何时访问系统，系统都有一个较为全面的记录；实行账户管理设定不同的用户有不同的访问权限；此外，还对用户进行密码管理。模拟攻击功能：系统提供几种模拟攻击的工具，包括端口扫描、主机检测、PING主机。端口扫描，是对目标主机进行端口检测看对方主要都开放了哪些端口；PING主机，检测目标主机是否在线；主机检测，具有比PING主机更强的功能，可以绕过防火墙检测主机是否在线。在线升级功能：可以随时随地通过网络对漏洞库进行升级，实现与国际最新标准同步，在黑客发起攻击之前帮您堵住漏洞。统计报表功能：漏洞扫描系统采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。1、隐患扫描功能漏洞隐患扫描是做好安全防护的第一步，其作用是在黑客攻击之前，找出网络中存在的漏洞，防患于未然。漏洞扫描系统作为自动化的网络安全风险评估工具，侧重发生安全事故前这一阶段。通过模拟黑客的进攻手法,对被检系统进行攻击性的安全漏洞和隐患扫描，提交风险评估报告，并提供相应的整改措施。先于黑客发现并弥补漏洞，防患与未然。预防性的安全检查最大限度地暴露了现存网络系统中存在的安全隐患，配合行之有效的整改措施，可以将网络系统的运行风险降至最低。针对国际互联网上网络系统中存在的主要弱点和漏洞，漏洞扫描系统集成了十几大类实践性方法，能全方位，多侧面的对网络安全隐患进行扫描分析，基本上覆盖了目前网络和操作系统存在的主要弱点和漏洞，具有强大的扫描分析能力。在网络漏洞检测中，漏洞扫描系统将漏洞主要分为下列类别： CGI攻击测试 Finger攻击测试 FTP测试 NIS测试 RPC测试 SMTP问题测试 Windows测试 端口扫描 防火墙测试 毫无用处的服务 后门测试 拒绝服务 一般测试 远程获取shell 远程获取根权限 远程文件访问 杂项测试 SNMP测试2、漏洞分析功能利用机架式产品具有强大计算能力，对扫描结果进行更为详细的分析，给出满足各方面需要的报表和图形，为您生成一份更为完整的安全分析报告。报告将系统地对目的网络系统的安全性进行更为详细的描述，为用户确保安全提供依据。特别的对于公安、保密等国家授权的网络安全监察部门，能够充分的发挥漏洞扫描系统机架式产品的优势，将各个下属单位的扫描结果进行全面地、系统地、具体地对这些结果文件的分析和比较，可以准确的对下属单位的网络状况进行安全规划评估，能够更加方便、合理的制定全网的安全检测计划和整改意见。3、策略管理功能漏洞扫描系统针对不同用户的需求，对扫描项进行合理的组合，更快、更有效地帮助不同用户构建自己专用的安全策略。漏洞扫描系统预装了多种常见的策略，您可以根据不同的安全需求，选取或自定义不同的扫描策略，对相应的网络设施进行扫描分析。4、系统管理功能定时设定功能，系统定时自动启动扫描引擎进行扫描；提供日志管理，用户何时访问系统，系统都有一个较为全面的记录；实行账户管理设定不同的用户有不同的访问权限；此外，还对用户进行密码管理。系统设置功能系统设置是用来设置本机的系统参数，包括IP地址设置、子网掩码设置以及网关设置。选择系统管理下的系统设置菜单，用户即可以对本机的系统参数进行设置。 定时设定功能由于要求对主机进行定期的检测，经常的对系统进行网络安全的评估。因此要求系统能够自动启动扫描引擎进行扫描。定时设定就是完成这个功能的。用户可以在该模块进行新建、修改以及删除设定。系统实时的检测是否当前的时间与设置中的时间一致。如果一致系统将自动启动扫描引擎，进行网络安全扫描。日志管理功能系统提供的日志管理功能，记录了所有用户何时访问了本系统，何时执行了哪些操作。管理员可以通过日志管理的查询功能，查询到所需要的信息，便于管理员对系统的管理。选择系统管理下的日志管理，进入日志管理的主查询窗口。用户通过选择下拉式列表或输入日期进行复合查询，得到所需要的日志信息。如果用户要以某省项做为复合查询的条件，可以单击该项前面的复选框，激活该查询条件，然后进行选择或输入信息。帐户管理和密码管理功能通过用户管理模块，您可以对使用机架式程序的用户进行密码管理，保证扫描结果只有合法用户才能操作和查阅，这样能有效地防止系统被滥用和盗用。这样这些扫描结果就有可能被其他别有用心的人利用，成为攻击者信息的来源。管理员可以新建帐户，修改帐户和删除帐户的操作。5、模拟攻击功能系统提供几种模拟攻击的工具，包括端口扫描、主机检测、PING主机。端口扫描，是对目标主机进行端口检测看对方主要都开放了哪些端口；PING主机，检测目标主机是否在线；主机检测，具有比PING主机更强的功能，可以绕过防火墙检测主机是否在线。6、在线升级功能漏洞扫描系统利用程序内置的产品升级模块，通过互联网络，可以随时随地通过网络对漏洞库、程序、可扫描IP和策略进行升级，实现与国际最新标准同步，保持漏洞扫描系统的功能的完整性，使您能够检测到被保护对象的新的安全隐患，在黑客发起攻击之前帮您堵住漏洞。例如，我们将及时的跟踪国际上最新的漏洞公告，将最新的漏洞库和策略随时的在网站上更新供用户在线升级。同时漏洞扫描系统对可扫描IP地址进行了严格地限定，当用户管理的服务器的IP地址有变化的时候，需要向我们提交拥有该IP的合法证明，我们将通过网络及时的提供可扫描IP包在线升级，将尽可能的不耽误用户的工作。7、统计报表功能漏洞扫描系统采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。漏洞扫描系统不仅能发现系统存在的弱点和漏洞，还能给用户提出修补这些弱点和漏洞的建议和措施，能给用户建议保证系统安全的安全策略，最大限度地保证用户信息系统的安全。这时候为方便用户的使用，在扫描分析目的网络后，将为您生成一份完整的安全分析报告。报告将系统地对目的网络系统的安全性进行详细描述，为用户确保安全提供依据。下图分别为报表和图形形式的扫描结果。扫描结束后用户可以保存生成的扫描结果，方便用户在一段时间后对扫描结果的查询和比较，通过比较用户可以发现这段时间内网络隐患和漏洞的变化情况，用户就能根据这些情况制定出更适合自身的网络安全管理制度。对于有些用户，例如公安、保密等国家授权的网络安全监察部门，就可以通过对下属单位的网络进行全面的扫描，通过分析和比较扫描结果，制定全网安全策略和计划。8.3 漏洞扫描系统的部属漏洞扫描系统机架式产品部署简单，只需要将产品连接到核心交换机的端口，使用管理机，通过B/S方式就可以进行相应的扫描操作。在某省烟草省公司及各地市分公司各部署一台漏洞扫描系统，来做到日常的安全漏洞检测，以便及时修补漏洞，防患于未然。9 综合运维管理平台规划方案9.1 方案概述9.1.1 方案设计原则在综合运维管理建设方案设计中，我们遵循了以下的原则：n 先进性原则以成熟的IT安全子系统为基础，提出最新的综合运维管理平台的概念，将安全管理和安全技术有效衔接，并根据客户需求，与客户业务网络深入结合，从而保证系统的先进性，以适应未来数据发展的需要。n 整体安全和全网统一的原则综合运维管理建设方案设计从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用不同层次的不同安全手段，为信息网络和安全业务提供全方位的管理和服务。n 标准化原则参考国内外权威的安全技术与管理体系的相关标准进行方案的设计和产品的选型。整个系统安全地互联互通。n 技术和管理相结合原则各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合，从社会工程学的角度综合考虑。n 安全性原则在综合运维管理平台建设中，系统平台采用成熟可靠的技术和产品，同时再配合以完善的项目控制规范和质量保证体系，从而保证综合运维管理平台开发和运行的安全性。n 可扩展性原则为方便满足网络规模和安全功能的扩展，本设计方案考虑了网络新技术和业务发展的扩充要求，本方案所设计的平台系统具有灵活的扩展能力，并且能够具备定期升级，不中断业务应用服务的能力。n 开放性原则综合运维管理平台的运行需要与多种设备协调，如：主机设备、网络设备、安全设备等等，该平台提供了一定的开放性以适应与相关设备和系统的适应。9.1.2 方案建设目标依托安全运维管理平台为基础，融合内网综合管理系统等，构成统一的综合运维管理平台。通过该平台进行统一的网络状况及网络流量的监控管理、终端主机的安全管理、网络安全体系的综合监控管理，并基于该平台建立起完善的网络安全运维处理流程和机制。9.2 方案设计思路根据烟草行业的实际需求，通过构建一套先进、完善的综合安全运维管理平台，集中采集信息系统的日志信息、配置信息、性能信息、流量信息、安全信息等，实时监控主机系统、网络系统、业务系统、数据库系统、安全系统的运行状况，并进行智能化的关联分析，找出IT威胁事件的根本原因，同时还可自动触发IT工单系统，督促相关责任人进行快速处理。综合运维管理平台以安全运维管理平台为基础进行建设。该平台以信息资产为核心，以风险管理为主要途径，通过技术手段提升网络安全管理成熟度，建立主动安全防御体系、有效降低安全风险。1). 此平台是一个以资产为核心的管理体系，首先需要完成包括主机设备、网络设备、业务系统、数据库系统在内的资产调查，建立资产数据库，进行资产管理，通过对信息资产进行风险评估，可以清楚的展示出组织当前的安全状况和安全风险。2). 此平台是为网管人员提供检测和管理组织网络安全的技术手段，其通过风险管理展示了组织当前的网络安全风险状况，同时给出降低安全风险的方法，驱动IT维护人员进行降低安全风险、解决安全问题的工作，使得管理员能够将降低安全风险在安全事件发生之前，在日常工作中有效的完成，并且可以降低组织的管理成本。3). 此平台为组织提供了完善的工单流程，能够高效的协调IT人员。平台通过验证和审核安全维护的行为（包括IT维护人员，信息资产的相关责任人的行为），防止人员在安全方面的疏忽，强调每个人都要遵守的安全规则，确保组织的安全策略得到落实。4). 此平台特有的异常流量检测功能，支持多种方式从多种骨干网络设备采取骨干链路的流量，实时展示和监控全网网络流量状况，并及时对DDOS攻击、大规模蠕虫爆发、垃圾邮件、P2P应用等严重消耗网络带宽资源的非法流量进行识别和报警。9.3 综合运维管理平台体系架构为了充分满足烟草行业的实际需求，本方案所设计的综合运维管理平台从体系架构上可分为数据采集平台、监控管理平台、运维管理平台三个层面，各个层面包括了多个功能模块或子系统，从而共同组成综合运维管理平台。综合运维管理平台的整体架构示意图如下：综合运维管理平台运维管理平台运维管理系统知识库系统安全策略管理政策法规库风险预警展示漏洞库工单处理流程管理补丁库技术知识库综合报表管理软件工具库监控管理平台安全事件信息监控事件综合关联分析网络设备监控管理网络异常流量监控网络拓扑自动发现主机设备监控管理漏洞状况监控管理数据库系统监控管理补丁更新监控管理业务系统监控管理信息资产监控管理安全设备监控管理网络系统监控管理网络安全综合监控管理上网行为监控管理安全信息采集日志采集性能采集配置采集流量采集数据采集平台n 数据采集平台：根据系统指定的策略负责从网络设备、安全设备、主机系统等数据来源采集各种安全告警、日志信息。n 监控管理平台：将采集到的原始安全信息根据策略进行整理、归类和统一标准格式化，并结合信息资产的安全保护等级进行智能化的综合关联分析，科学合理的定义IT事件的性质和处理级别。n 运维管理平台：实现运维管理平台的统一界面展示和运维管理。通过统一的图形化管理界面，运维管理平台实现了安全监控、维护、管理、展示的全部功能。9.4 信息资产监控管理保护信息资产是安全管理体系建设的核心目标，所有信息的存放，例如事件、漏洞都是以资产的视角来查看的，因此资产管理是运维管理平台的核心，是开展安全运维管理工作的基础。运维管理平台管理的资产包括主