安全生产_某市房地产管理局信息安全解决方案

亳州市房地产管理局信息安全解决方案北京天融信科技有限公司2012年3月目 录第一章 项目背景介绍41.1 信息安全严峻形势41.2 单位职能简介5第二章 安全风险分析72.1 风险分析方法72.2 网络安全弱点分析82.2.1 网络结构脆弱性82.2.2 系统和应用脆弱性92.2.3 网络访问脆弱性112.2.4 硬件平台脆弱性112.2.5 管理脆弱性112.3 网络安全威胁分析122.3.1 威胁来源122.3.2 非人为的安全威胁132.3.3 人为的安全威胁132.4 网络安全风险分析162.4.1 物理安全风险162.4.2 终端安全风险162.4.3 网络安全风险172.4.4 系统安全风险182.4.5 管理安全风险18第三章 建设需求分析203.1 自身安全防护的需求203.1.1 互联网出口单点故障203.1.2 对基础防护平台的需求213.1.3 对安全审计平台的需求223.1.4 对集中安全管理的需求223.1.5 管理安全的需求233.2 亳州市房产局的符合政策层面的需求23第四章 整体方案设计254.1 方案设计原则254.2 信息安全规划图274.3 规划内容简介27第五章 方案详细设计295.1 详细设计概述295.2 计算环境防护295.2.1 终端安全管理295.2.2 网站防护系统325.3 安全边界防护355.3.1 防火墙部署355.3.2 入侵防御系统365.3.3 隔离与交换系统部署385.4 保护通信网络405.4.1 负载均衡系统405.4.2 安全审计平台435.4.3 防病毒网关45第六章 天融信公司简介47第一章 项目背景介绍1.1 信息安全严峻形势近几年以来全球网络威胁持续增长，网络罪犯在恶意代码和服务的开发、传播和使用上愈发趋于专业化，目的愈发商业化，行为愈发组织化，手段愈发多样化。网络犯罪背后的黑色产业链获利能力大幅提高，互联网的无国界性使得全球各国用户都避之不及，造成的损失也随着范围的扩散而快速增多。二十年前，黑客攻击网络、窃取信息主要是为了好奇或者想炫耀自己的能力。而今，网络攻击更多的是获取经济利益的目的，已经形成了黑色产业链。这意味着，网络安全形势已日趋严峻。此外，近年来随着全球网络通讯技术高度发展，带宽的不断增加，互联网兼容人数迅速增长。与此同时，公民的隐私及安全问题很突出，特别是涉及公众个人的隐私泄露，如银行卡及手机支付等个人账号密码信息的窃取，给公众带来很多损害，引起群众的强烈反响。新兴IT技术的应用，物联网、云计算、移动互联、社交网络以及三网融合等等技术正成为IT领域发展的新动向，引起了企业的关注、用户的关注。但是它们的发展正在成为病毒泛滥和黑客攻击的新的温床。而且一旦出现问题，其破坏力将会越来越大。近年来，利用信息网络的安全漏洞或后门窃取、倒卖涉密信息获取利益，或在互联网上恶意公开个人私密信息的事件频繁发生；而传统网络IP化、设备实现软件化、3G业务等新技术、新形式的出现，电信网、互联网和重要信息系统面临的安全形势越来越严峻。尤其是公共电话网络，已逐渐变成继互联网、短信网络之后一个新的骚扰平台，仅在2008年有记录可查的骚扰电话数量就超过9000万次，而未被投诉和发现的骚扰电话数量则至少超过2亿次。信息安全问题随着国家信息化战略的推广凸显其重要地位。信息安全不仅给国家信息化进程带来现实的挑战，而且基于信息网络的渗透、攻防、电子战等概念，也影响到国防安全，给国家与国家之间带来新的竞争关系，直接影响到国家安全和社会稳定。亳州市房产局各层领导对安全工作非常重视，从逐年加大在安全建设方面的投资，进行了一系列的安全组织、制度、管理和技术方面的安全建设工作，在近期要求的安全工作包括加强基础安全管理，包括落实组织保障和安全责任；逐步开展安全建设。要从网络、主机、应用系统不同层面建设多层次、立体化安全防护体系；要集中统一建设必备的网络安全防护手段；在划分安全区域，统一边界的基础上，实现重点防护和隔离。1.2 单位职能简介（一）贯彻执行国家、省、市有关房地产管理和房改的政策和法规，研究制定全市房地产业和房改的发展战略、中长期规划、年度计划，并指导组织实施。（二）负责全市城镇房屋产权产籍管理，城镇私有房屋管理。办理城镇房屋所有权登记、测绘、确权、发证，管理房屋产权产籍档案并提供利用。（三）负责全市城镇房屋拆迁管理和城镇异产比连房屋管理；审定拆迁协议，发布拆迁公告，裁决拆迁纠纷以及申请实施强制拆迁。（四）负责全市房地产市场管理、土地使用权转让、出租、抵押的管理工作；办理各类房地产交易的过户手续；实施商品房预售登记和房地产抵押租赁管理；负责房地产市场评估管理和中介服务管理。（五）负责全市城镇房屋安全的监督检查，实施房屋安全鉴定和房屋安全鉴定单位的管理，督促有关责任人对危险房屋进行治理。危险房屋管理工作。（六）负责全市房地产开发和集资合作建房管理，管理开发经营单位资质；负责住宅产业化工作；指导住宅小区试点，负责小区综合验收；组织实施国家安居工程和省政府住宅“422”工程，指导全市经济适用住房建设。（七）负责全市公有住房管理，直管公房经营管理。房屋修缮管理和物业管理。负责对全市自管房、自管居民住宅区的企事业单位进行政策、法规和行业管理，负责房屋年度统计。（八）主管全市房改工作，审核区、县房改方案，拟定全市住房公积金征缴率和租金改革规划，合同物价部门核实报批区、县公有住房出售价格，并监督执行。（九）负责全市住房资金管理。（十）指导全市房地产业协会工作，负责全市房地产业的科学研究、技术进步。职业教育、专业培训和队伍建设。（十一）承办市政府交办的其他事项。第二章 安全风险分析2.1 风险分析方法分析安全风险的方法，主要参考ISO13335，从信息资产、漏洞（弱点）、威胁等多个因素进行全面的评估，具体分析模型如下图所表示：图3.3.1 ISO13335以风险为核心的安全模型示意图说明： 亳州市房产局所面临的安全风险的大小，是与亳州市房产局所拥有的信息资产对应的，因为信息资产拥有价值，这种价值则增加了安全风险的等级； 亳州市房产局信息资产总是存在一些弱点（即漏洞），这些弱点被安全威胁利用后，造成安全风险的增加； 针对亳州市房产局的信息资产，总是存在一些人为的或者非人为的威胁因素，而威胁只有利用了信息资产的弱点之后，才会转换为对信息资产的风险； 因为亳州市房产局存在安全风险，为降低安全风险，亳州市房产局必须采取必要的安全措施；同时安全风险的存在使亳州市房产局产生了对安全的需求，安全需求只有在采取了相当的安全措施以后，才能够被满足。下面，我们将根据所描述的信息资产分析的结果，进一步从安全威胁、安全弱点进行全面的分析，从而归纳出亳州市房产局信息网所存在的安全风险，并引导出亳州市房产局信息网对安全防护体系的需求。2.2 网络安全弱点分析弱点是资产本身存在的，可以被威胁利用、引起组织信息资产或业务目标的损害，一般的，安全风险总是针对系统的安全弱点，所谓安全弱点就是系统在某个方面存在缺陷，而有可能被系统的攻击者利用，对系统发起攻击。所以安全弱点是分析安全风险的首要因素，针对亳州市房产局信息网络，我们分析其存在以下的安全弱点：2.2.1 网络结构脆弱性针对亳州市房产局信息网络的基础协议-TCP/IP，由于其自身的缺陷，也使亳州市房产局信息网络存在先天的一些弱点。TCP/IP协议在产生之处，还没有全面考虑安全方面的因素，因而在安全方面存在先天的不足，典型利用TCP/IP协议的弱点，发起攻击行为的就是“拒绝服务攻击”，比如“SYN FLOOD”攻击，它就是利用了TCP协议中，建立可靠连接所必须经过的三次握手行为，攻击者只向攻击目标发送带“SYN”表示的数据包，导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息，而导致系统处于长期等待状态，直至系统的资源耗尽，而无法正常处理其他合法的连接请求。利用TCP/IP协议弱点例子还有就是IP欺骗攻击，IP欺骗由若干步骤组成，首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。使被信任主机丧失工作能力，攻击者将要代替真正的被信任主机。2.2.2 系统和应用脆弱性亳州市房产局信息网络运行有大量的重要服务器，众所周知，每一种操作系统都包含有漏洞（如下表所示），开发厂商也会定期发布不订包。如何对重要服务器进行漏洞扫描、入侵检测、补丁管理成为日常安全维护的重要工作。亳州市房产局信息网络网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。ID名称说明举例1Backdoor各种后门和远程控制软件，例如BO、Netbus等2Brute Force各种浏览器相关的弱点，例如自动执行移动代码等3CGI-BIN各种CGI-BIN相关的弱点，例如PHF、wwwboard等4Daemons服务器中各种监守程序产生弱点，例如amd, nntp等5DCOM微软公司DCOM控件产生的相关弱点6DNSDNS服务相关弱点，例如BIND 8.2远程溢出弱点7E-mail各种邮件服务器、客户端相关的安全弱点，例如Qpopper的远程溢出弱点8Firewalls各种防火墙及其代理产生的安全弱点，例如Gauntlet Firewall CyberPatrol内容检查弱点9FTP各种FTP服务器和客户端相关程序或配置弱点，例如WuFTPD site exec弱点10Information Gathering各种由于协议或配置不当造成信息泄露弱点，例如finger或rstat的输出11Instant Messaging当前各种即时消息传递工具相关弱点，例如OICQ、IRC、Yahoo messager等相关弱点12LDAPLDAP服务相关的安全弱点，13Network网络层协议处理不当引发的安全弱点，例如LAND攻击弱点14Network Sniffers各种窃听器相关的安全弱点，例如NetXRay访问控制弱点15NFSNFS服务相关的安全弱点，例如NFS信任关系弱点16NISNIS服务相关的安全弱点，例如知道NIS域名后可以猜测口令弱点17NT Related微软公司NT操作系统相关安全弱点18Protocol Spoofing协议中存在的安全弱点，例如TCP序列号猜测弱点19Router/Switch各种路由器、交换机等网络设备中存在的安全弱点，例如Cisco IOS 10.3存在拒绝服务攻击弱点20RPCRPC（SUN公司远程过程调用）服务相关的弱点，例如rpc.ttdbserver远程缓冲区溢出弱点21Shares文件共享服务相关的安全弱点，i.e. NetBIOS/Samba等相关弱点，例如Samba缓冲区溢出弱点22SNMPSNMP协议相关的安全弱点，例如利用“public”进行SNMP_SET操作23UDPUDP协议相关弱点，例如允许端口扫描等24Web ScanWeb服务器相关安全弱点，例如IIS ASP dot弱点25X WindowsX服务相关安全弱点26Management安全管理类漏洞2.2.3 网络访问脆弱性网络的访问策略是不是合理，访问是不是有序，访问的目标资源是否受控等问题，都会直接影响到政府机关网络的稳定与安全。如果存在网络内访问混乱，外来人员也很容易接入网络，地址被随意使用等问题，将导致网络难以管理，网络工作效率下将，无法部署安全设备、对攻击者也无法进行追踪审计。这就要求系统能够对网络中发生的各种访问，乃至网络中传递的数据包进行很好的监控，特别是针对亳州市房产局信息网络，由于其既存在对内提供服务的设备，也存在对外提供服务的设备，这些服务器在安装的过程中有可能没有关闭掉一些毫无用处的服务，或者即使关闭了这些服务，也因为操作系统自身存在的漏洞而给攻击者可乘之机，特别是对互联网提供服务的设备，很容易成为政务网络的“安全短板”，被来自互联网的攻击者利用，从而发起对内网的攻击。同时我们还看到，亳州市房产局信息网络除了对互联网存在接口以外，对其他专网也存在较多的接口，这些外联系统对于亳州市房产局来讲，是不可信任或者不可管理的，那么如果对这些外联系统发出的访问范围，访问内容脱离控制，后果是不堪设想的。2.2.4 硬件平台脆弱性硬件平台的脆弱性指硬件平台包括硬件平台的纠错能力，它的脆弱性直接影响着软件资产和数据资产的强壮性。具体而言，软件是安装在服务器、工作站等硬件之上的，所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。而数据是依赖于软件而存在的，也就是说数据资产也间接地依赖于某些硬件，因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。2.2.5 管理脆弱性再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环。我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。对于亳州市房产局信息网络，在管理方面的弱点包括： 缺乏针对性的安全策略和安全技术规范，安全管理和运行维护的组织不健全。 缺乏有效的安全监控措施和评估检查制度，无法有效的发现和监控安全事件，不利于及时发现安全事件并采取相应的措施。 缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的对安全事件的处理流程和制度。随着亳州市房产局信息网络安全建设的深入，将有越来越多的安全防护产品被引入到网络中，这样多种技术和产品多层面、分布式共存，不同厂商的不同产品产生大量不同形式的安全信息，使得整个系统的相互协作和统一管理成为安全管理的难点。整体的安全管理体制也变得非常复杂，其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性，因而导致了网络安全的重大隐患。2.3 网络安全威胁分析威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件,包括威胁来源和威胁手段，网络安全所面临的威胁来自很多方面，针对亳州市房产局信息网络，其面临的安全威胁有非人为威胁和人为的威胁。2.3.1 威胁来源对于亳州市房产局信息网络的主要威胁来源包括： 敌对国家：由政府主导，有很好的组织和充足的财力； 利用国外的服务引擎来收集来自被认为是敌对国的信息。而亳州市房产局是国家职能的重要组成，其信息网络与国际互联网连接，必然会成为敌对国家的关注焦点； 黑客：攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个人，这些人员可能在系统外部，也可能在系统内部，其对网络的攻击带有很强的预谋性，往往对系统的正常运行造成很大的破坏，或者造成机密信息的外泄。 恐怖分子/计算机恐怖分子：使用暴力或威胁使用暴力以迫使政府或社会同意其条件的恐怖分子或团伙，这些组织或团体会采用收买的方式，利用社交工程侵入亳州市房产局信息网络，造成涉密信息外泄。 国际媒体：向纸业和娱乐业的媒体收集并散发有时是非授权的新闻的组织。包括收集任何时间关于任何一个人的任意一件新闻，特别是针对政府涉密类信息，有着狂热的执着。 有怨言的员工：怀有危害局域网络或系统想法的气愤、不满的员工，或者是一些技术爱好者，希望尝试一些技术，这些员工由于掌握了亳州市房产局信息网络的一些访问资源（比如访问帐号，访问某些业务系统的权限，IP地址等信息），所以攻击成功的可能性很高，并且对系统的破坏也很可观。2.3.2 非人为的安全威胁非人为的安全威胁主要分为两类：一类是自然灾难，另一类为技术局限性。典型的自然灾难包括：地震、水灾、火灾、风灾等。自然灾难可以对网络系统造成毁灭性的破坏，其特点是：发生概率小，但后果严重。技术局限性体现在网络技术本身的局限性、漏洞和缺陷，典型的漏洞包括：链路老化、电磁辐射、设备以外鼓掌、自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。对于亳州市房产局信息网络来讲，技术局限性还表现在系统、硬件、软件的设计上可能存在存在，实现上存在不足，配置上没有完全执行即定的安全策略等，这些都将威胁到系统运行的强壮性、可靠性和安全性。信息系统的高度复杂性以及信息技术的高速发展和变化，使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。2.3.3 人为的安全威胁主要指对网络的人为攻击。这些攻击手段都是通过过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。一般来讲，这种人为的安全威胁主要包括被动攻击、主动攻击、邻近攻击、分发攻击和内部威胁。被动攻击被动攻击包括分析通信流，监视未被保护的通讯，解密弱加密通讯，获取鉴别信息（比如口令）。被动攻击可能造成在没有得到用户同意或告知用户的情况下，将信息或文件泄露给攻击者。对于亳州市房产局信息网络来讲，被动攻击的行为可能有以下几种形式： 监听网络中传输的数据包； 对明文传递的数据、报文进行截取或篡改； 对加密不善的帐号和口令进行截取，从而在网络内获得更大的访问权限； 对网络中存在漏洞的操作系统进行探测； 对信息进行未授权的访问；主动攻击主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播，或导致拒绝服务以及数据的篡改。对于亳州市房产局信息网络来讲，主动攻击的行为可能有以下几种形式： 假冒：某个实体假装成另外一个实体，以便使一线的防卫者相信它是一个合法的实体，取得合法用户的权利和特权，这是侵入安全防线最为常用的方法； 截取：企图截取并修改在亳州市房产局信息网络内传输的数据； 欺骗：进行IP地址欺骗，在设备之间发布假路由，虚假ARP数据包，比如一个互联网上的攻击者将数据包的源地址更改为内网地址，就有可能越过外网边界部署的问控制设备； 重放：攻击者对截获的某次合法数据进行拷贝，以后出于非法目的而重新发送。 篡改：通信数据在传输过程中被改变、删除或替代。 业务拒绝：对通信设备的使用和管理被无条件地拒绝。绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。物理临近攻击是指一未被授权的个人，在物理意义上接近网络、系统或设备，试图改变、收集信息或拒绝他人对信息的访问。对于亳州市房产局信息网络来讲，物理临近攻击的行为可能有以下几种形式： 对骨干交换设备的毁坏、偷窃； 对配置数据的收集、修改； 对通信线路物理破坏或数据阻塞，影响网络的可用性； 利用电磁干扰，破坏线路的传输。分发攻击指在工厂生产或分销过程中对硬件和软件进行的恶意修改。这种攻击可能是在产品里引入恶意代码，比如后门。对于亳州市房产局信息网络来讲，物理临近攻击的行为可能有以下几种形式： 利用制造商在设备上进行软硬件配置修改； 在设备分发、安装时修改软、硬件配置。内部人员攻击内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用，或使他人的访问遭到拒绝；后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。对于亳州市房产局信息网络来讲，内部人员攻击的行为可能有以下几种形式： 恶意修改设备的配置参数，比如修改网络中部署的防火墙访问控制策略，扩大自己的访问权限； 恶意进行设备、传输线路的物理损坏和破坏； 出于粗心、好奇或技术尝试进行无意的配置，这种行为往往对组织造成严重的后果，而且防范难度比较高。2.4 网络安全风险分析根据业界的标准，我们知道，信息安全的三个特征是： 保密性：确保只有被授权的人才可以访问信息； 完整性：确保信息和信息处理方法的准确性和完整性； 可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。那么，信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。在考虑亳州市房产局所面临的信息安全风险时，我们主要考虑那些对组织有负面影响的事件，安全风险的存在来源于两个方面，一是信息资产的价值，所谓信息资产的价值就是指因信息的泄露、系统的停滞或网络的破坏，对组织正常运作所带来的损失，信息资产价值越高，那么安全风险也必然越高；二是威胁的来源和威胁转换为攻击的可能，综合上述的弱点分析，威胁分析，我们意识到，亳州市房产局信息网络存在以下的安全风险。2.4.1 物理安全风险 地震、水灾、火灾等环境事故造成整个系统毁灭； 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失； 设备被盗、被毁造成数据丢失或信息泄漏； 电磁辐射可能造成数据信息被窃取或偷阅； 不严格的机房管理制度使系统遭受物理临近攻击；2.4.2 终端安全风险风险还体现在对网络内一些突发事件很难进行范围的控制，比如对于亳州市房产局的某台机器，如果遭受蠕虫病毒的感染后（可能在下载文件或者拷贝文件的过程中感染），由于大多数机器处于一个大的网络，因此导致蠕虫病毒在网络中很容易大面积传播；终端的自身安全性，是决定了亳州市房产局信息网络是否能够持续、稳定支撑上层业务应用的关键，而我们看到，亳州市房产局内终端的数量众多，管理起来难度很大，很容易造成安全管理的盲区，而一旦形成安全管理的盲区后，对整个系统都会造成不良的后果。（比如被档案馆信息网络外部的访问者利用，形成进一步攻击档案馆信息网络的跳板）终端访问行为的安全性，也是亳州市房产局信息网络整体安全性确保的关键因素，特别是终端在访问互联网时，是否访问了不安全的网站，造成恶意脚本的传播，或者终端使用者由于好奇心的驱使，在信息网络内尝试一些攻击工具，从而造成大面积的网络瘫痪或服务停滞等后果。终端行为的安全性，还体现在对外存设备的使用方面，即终端使用者是否利用外存，拷贝了一些敏感信息，造成信息外泄；是否安装了一些非法的软件，进入系统；终端自身的强壮性：终端是否有足够的抗攻击能力，是否能够检测出针对终端攻击行为，并能够保护终端设备的可用性。2.4.3 网络安全风险 非授权的访问和攻击行为，或者假冒身份、伪装类攻击行为，对亳州市房产局信息网络形成渗透，获取关键信息； DOS/DDOS攻击、DNS欺骗攻击，会造成服务器服务的中断，影响业务的正常运行； 内部用户通过Sniffer等嗅探程序在网络内部抓包，获得系统用户名和口令等关键信息或其他机密数据，进而假冒内部合法身份进行非法登录，窃取内部网重要信息； 内部用户通过扫描软件或取其他用户系统或服务器的各种信息，并利用这些信息对整个网络或其他系统进行破坏。 病毒，尤其是蠕虫病毒爆发，将使整个网络处于瘫痪状态； 目前，垃圾邮件已经成为网络安全的又一种重大威胁，垃圾邮件或邮件炸弹的爆发将使网络带宽大量被消耗，邮件服务器系统资源消耗殆尽，不能够进行正常的邮件转发服务。2.4.4 系统安全风险目前亳州市房产局信息网络中所使用的操作系统主要是WINDOWS系统，我们知道，WINDOWS系统中存在众多的安全隐患，这些安全隐患很容易被攻击者利用，对亳州市房产局信息网络造成很大的破坏，严重地将导致系统的崩溃和瘫痪。系统自身存在的安全漏洞，还将导致系统被非法接管，将导致亳州市房产局大量的信息被非法获得，从而导致无法估量的损失。2.4.5 管理安全风险对于管理风险包括： 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。 机房重地却被任何人都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件。 内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏，如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。 非法人员进入重要部门或机房，非法获得资料或对设备进行破坏； 员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。 大量的人为因素的安全隐患，为破坏着进入系统造成了便利，例如：1. 部分系统管理员密码强度不够，或没有设置密码；2. 密码和帐号名相同或者采用帐号名翻转作为密码；3. 采用电话号码作为密码；4. 采用单一字符集作为密码，例如“qqqqqq”；5. 密码的复杂程度不够；管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理技术来实现。第三章 建设需求分析作为政府机关的重要组成，亳州市房产局的安全建设需求可分为政策性需求和自身防护需求两个方面，结合前面所描述的亳州市房产局的安全风险，我们归纳出系统对安全防护系统的建设需求包括：3.1 自身安全防护的需求根据亳州市房产局的网络结构，和一些主要的应用系统，以及前期对亳州市房产局信息网络的交流结果，从自身安全防护的角度出发，总结出亳州市房产局信息网络存在以下的安全防护需求：3.1.1 互联网出口单点故障当只有一条链路接入Internet时，单点故障往往会引起整个网络的瘫痪，并导致重要应用无法交付。为了确保网络传输不间断，采用多条广域网链路并与不同的网络服务提供商（ISP）连接的方式得到普遍应用，这种连接方式称为多重链路网络架构。多重链路的架构提供了更可靠、效能更好的网络传输。在此架构下，一旦某一链路发生错误，网络仍能继续运作；另外，由于网络的总带宽来自于各条链路带宽的总和，因此效能更好。l 二合一负载均衡：集成高性能链路负载均衡和服务器负载均衡，保证应用数据在错综复杂的网络中获得最佳传输路径。完善的链路、应用服务健康检查机制，及时诊断出不能正常工作或负载过重的链路和服务器。能够根据应用、链路的健康状况，智能调整流量在多链路、多服务器之间的分配，并自动完成切换，提升网络和应用的可用性。l 精确带宽控制提升带宽价值端到端精确带宽控制与均衡技术避免了传统队列机制所带来的广域网下行带宽的浪费，真正实现优先级管理、带宽限制、带宽保障以及带宽的公平使用，提升带宽价值。l 高可用性保证实现多机集群及Active-Standby、Active-Acitive模式的高可用性部署，最大化应用运行时间，避免了设备或网络故障对业务的影响。l 强化的安全防护状态检测防火墙实现高性能的访问控制，双向NAT支持多对一、一对多和一对一等多种方式的地址转换，IP/MAC地址自动扫描及绑定，有效抵御数十种网络攻击。l 易于使用及部署透明、路由及混合接入模式最大程度上减少用户网络结构的调整。负载均衡算法的自适应管理、加速模块的“一键开关”设置、内置中国ISP地址列表、服务器故障自动通知及应用故障自动修复等降低了用户配置管理的复杂性。基于网络层的加速、压缩对应用完全透明。多设备部署时，不需要对“对端设备”做任何配置，设备之间也不需要做任何隧道配置，便于轻松扩展并实现大规模自动部署。多设备自动探测技术实现多设备自动协调工作达到最优效果。3.1.2 对基础防护平台的需求l 对不同区域的设备进行逻辑隔离，并执行严格的访问控制策略；l 针对网络访问数据包进行细化分析与检测，判断是否存在攻击行为；l 系统具备防范病毒、蠕虫和恶意代码的能力；l 系统应能够对内部员工的操作行为进行实时检测，能够针对存在安全威胁的行为提出报警，并进行记录；l 系统应能够对亳州市房产局信息网络内的终端操作系统补丁进行统一升级；l 亳州市房产局内的终端应具备良好的病毒防护能力；l 内部服务器区域与互联网办公网之间物理隔离；l 系统应具备自动发现自身弱点的能力；3.1.3 对安全审计平台的需求网络中的各种安全设备（防火墙、IDS系统、防病毒软件等）、操作系统（包括Windows和Unix）、应用服务（email，www，DNS）等都可产生大量的日志数据。这些日志数据详实地记录了系统和网络的运行事件，是安全审计的重要数据。这些日志信息对于记录、检测、分析、识别各种安全事件和威胁有非常重要的作用，也是对当前网络安全情况进行评估的主要数据源。但由于目前网络设备越来越多，网络攻击的手段越来越多样，攻击方法越来越隐蔽，单纯的依靠某一种安全设备的事件来对网络安全情况进行评估和反应是远远不够的。 对各类系统产生的安全日志实现全面、有效的综合分析，就必须为网络安全管理员建立一个能够集中收集、管理、分析各种安全日志的安全审计管理中心，使网络管理员不用像以前那样从庞杂的日志信息中手工搜寻网络入侵的行为，为管理员提供一个方便、高效、直观的审计平台，大大提高安全管理员的工作效率和质量，更加有效地保障网络的安全运行。3.1.4 对集中安全管理的需求l 能够实现对亳州市房产局信息网络内终端的集中管理；l 能够实现对终端操作系统补丁的统一升级；l 能够实现对终端系统进程的集中监控；l 能够实现对全网设备的集中管理；l 能够实现对全网访问事件的集中监管；l 能够实现对全网安全事件的关联分析，发生安全事故时，能够准确定位事故产生的节点和事故原因；l 能够实现安全策略的统一管理。3.1.5 管理安全的需求如前所术，管理安全主要考虑的是“人”的因素，即在安全建设及维护的过程中，如何通过“人”来对技术进行安全的“操作”和“配置”，针对亳州市房产局，在管理方面存在以下需求： 需要建立完善的机房管理制度，确保重要的安全区域内，只有授权的人员才能进入； 需要建立完善的网络与安全人员管理制度； 需要定期进行培训，提升网络管理人员的技术水平，还需要对全员进行安全意识的培训； 需要对重要的信息资产进行统一的管理，防范信息资产被破坏或窃取； 需要对异构的信息安全平台实现统一的策略下发，安全事件集中关联分析，从而最大化发挥信息安全平台的防护功效。3.2 亳州市房产局的符合政策层面的需求正如前面所述，亳州市房产局是亳州市政府的重要组成部门，其信息化建设必须符合国家和亳州市政府的相关规定和要求，从安全的角度，必须遵从国信办、信息化办公室等相关部门的要求，对信息安全保障体系进行全面的规划和设计，符合相关标准，确保亳州市房产局信息网络安全保障体系的广度和深度。从政策符合性的角度，亳州市房产局信息安全保障体系建设必须要满足： 安全方案的设计及规划，必须符合电子政务信息安全保障技术框架的思路与技术要求； 从信息资产划分和等级化保护设计的角度，必须符合计算机信息系统安全保护等级划分准则GB17859的技术准则，同时必须符合北京市党政机关网络于信息系统安全定级指南的等级建议，对亳州市房产局信息资产进行分级分类的设计和规划； 从等级化防护体系设计的角度，必须符合关于信息安全等级保护工作的实施意见（公通字200466号文件）对应五个等级信息系统防护体系的要求，必须符合北京市党政机关信息系统安全测评规范中，对不同级别信息网络的安全基本要求，重点针对亳州市房产局的实际情况，进行定级，并根据定级结果和对相应等级的技术要，进行安全防护系统的划分； 方案的建设原则必须以国家信息化领导小组关于加强信息安全保障工作的意见（中办200327号文件）的指导思想为准则，坚持“积极防御、综合防范”的建设方针，坚持“用发展的思路来解决信息安全问题，从发展中求安全，以安全保发展”的设计思路，规划并实施亳州市房产局整体安全保障体系。第四章 整体方案设计4.1 方案设计原则根据网络的多样性和灵活性，以及面向互联网开发的特殊性，本方案在设计中将严格遵循以下原则：需求、风险、代价平衡分析的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略；综合性、整体性原则应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等，在网络安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构；动态保护原则网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，又包括相应的管理手段。安全设备不是指单一的某种安全设备，而是指几种安全设备的综合。网站安全系统的动态性是指，安全是随着环境、时间的变化而变化的，在一定环境下是安全的系统，环境发生变化了（如更换了某个机器），原来安全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了（如今天是安全的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了），原来的系统就会变的不安全。所以，建设网站的安全防护系统不是一劳永逸的事情；一致性原则一致性原则主要是指网络安全问题应当与具体的安全措施保持同步，并且在网站安全建设中所采取的各类安全措施应当执行统一的安全策略，各个策略之间能够相互互补，并针对具体的问题，从不同的侧面执行一致性的策略，避免出现策略自身的矛盾和失误；强制性原则安全措施的策略应当统一下发，强制执行，应避免各个环节的安全措施各自为政，从而也保障了安全策略的一致性，保障各个环节的安全措施能够相互互补，真正的为网站系统提供有效的保护；易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。4.2 信息安全规划图我们总羡慕别人的幸福，却常常忽略自己生活中的美好。其实，幸福很平凡也很简单，它就藏在看似琐碎的生活中。幸福的人，并非拿到了世界上最好的东西，而是珍惜了生命中的点点滴滴，用感恩的心态看待生活，用乐观的态度闯过磨难。4.3 规划内容简介如上图所示，通过负载均衡器与两条外网ISP接入，实现用户上网的智能选路功能，合理使用互联网资源，防止单点故障。在互联网整体出口处部署入侵防御系统，主要实现抗DDOS、针对常见应用层攻击的入侵防御和上网行为管理。在互联网边界处部署防火墙，在防火墙上划分安全区域，DMZ区域和互联网办公区域，。DMZ区域部署网站服务器等，提供互联网用户访问和查询等业务，在DMZ服务器部署WEB安全防护网关和网页防篡改系统，保护互联网服务器免受外部各种各样攻击造成的影响。区域之间部署部署精细安全访问控制策略，只允许外部合法用户访问DMZ区域网站服务器的WEB应用。核心交换区域分别接用户接入区、内网服务器区域、安全接入区域和安全管理区。用户接入区域提供用户接入使用，建议在此区域部署防病毒软件和终端安全管理系统，可以对终端违规外联的行为、移动介质的使用、终端统一管理等进行监控和管理。在内网服务器区域边界部署网络隔离与信息交换系统，隔离内网与互联网办公区之间网络连接，数据通过隔离装置进行摆渡，实现内外网的单向隔离。安全接入区域主要实现与省和县单位之间的纵向连接，主要部署网络隔离与信息交换系统、前置机和防火墙等措施，实现数据的安全交换。在安全管理区域部署统一部署防病毒软件、终端安全管理服务器端和安全日志审计平台。安全日志审计平台实现针对海量日志收集与存储设计，广泛支持对现有网络设备及系统的日志的收集及审计，提供强大的可视化事件分析能力，并可根据策略进行多种模式的响应。系统设计贯穿现代PDR2（protection, detection, response, recovery）动态防御体系思想，与其它安全设备有效整合真正实现全网纵深与动态防御。第五章 方案详细设计5.1 详细设计概述参考等级保护技术方案设计规范，从信息系统安全涉及角度，安全信息系统可以看成是由安全应用支撑平台和在其上运行的应用软件系统两部分组成，而安全应用支撑平台又是由信息安全机制和信息安全基础技术支持来实现的，其中信息安全基础技术包括密码基基础、系统安全技术、网络安全技术以及其他安全技术；这些基础提供了身份认证、访问控制、安全审计、可用性保护、机密性保护、完整性保护、监控、隔离、过滤等安全机制，用以形成覆盖计算环境、区域边界、通信网络的等级保护技术方案，同时通过引入多级互联机制以及安全管理中心，则构成了多级的安全信息系统。本方案将按照分区保护的原则，对信息系统进行安全区域的划分，并确定要保护的计算环境、区域边界和通信网络，并根据安全区域内保护对象来分别确定各个环节的保护强度，并根据保护强度来设计不同的安全防护系统。然后在实现基础性保护措施的基础上，利用安全管理平台来进行总体安全管理中心的设计，实现对网络统一安全管理。5.2 计算环境防护5.2.1 终端安全管理 技术措施选择终端防护系统是对局域网内部的网络安全行为进行全面监管，检测并保障桌面系统的安全的产品。常常包括四大模块：桌面行为监管、桌面系统监管、系统资源管理，通过统一定制、下发安全策略并强制执行的机制，实现对局域网内部桌面系统的管理和维护，能有效保障桌面系统及机密数据的安全。在终端防护系统的众多功能中，本方案充分利用以下功能：l 终端管理系统能提高终端自身防护能力：它自动检测桌面系统的安全状态，能针对桌面系统的补丁自动检测、下发和安装，修复存在的安全漏洞，满足系统自身安全防护的需求，防止漏洞被木马和病毒利用。该功能提高了非法外联后终端的抗攻击能力。l 终端管理系统监管桌面行为：对桌面系统上拨号行为、打印行为、外存使用行为、外存设备的监控，通过策略定制限制主机是否允许使用外存设备，确保机密数据的安全，避免了内部保密数据的泄漏和减少了非法外联可能。l 非法接入控制功能：通过多种方式来检测并限制非法接入的终端，执行严格的访问控制，防止对内网的非授权访问；l 终端自身健康性检查：对终端的补丁状态、防病毒软件的运行状态、病毒库版本信息以及终端是否有病毒等进行实时检查，对不符合健康性要求的终端进行阻断，防止因终端自身问题带来的安全隐患；l 网络切换控制：根据要求，终端虽然可以访问互联网，也可以访问内网服务器，但是在一个时点上只能访问一个网络，因此可利用终端管理平台的功能，对终端的外访状态进行检测，当发现终端在访问内网的时候，自动断开与互联网的连接；当发现终端在访问互联网时，自动断开与内网的连接。这样避免了终端同时访问互联网和内网服务器的情况；l 终端文件保护：在终端上设置专用的内网文件保险柜，保险柜内存放了终端在访问内网服务器时的很多缓存信息，当终端访问互联网的时候，该文件保险柜自动隐藏，从而防止互联网攻击者对缓存文件的窃取，造成信息泄密。 安全措施整合终端安全管理平台与防火墙的认证整合其整合控制过程为：l 终端接入网络并需要访问互联网时，向防火墙发起OPT认证请求，只有认证通过的可确定为合法访问用户，并且可以正常访问互联网；l 终端在访问互联网的同时，运行在终端上的安全管理代理会监视终端的访问目标，并限制终端访问内网服务器；l 终端通过认证后，需要进行健康性检查，当发现终端操作系统补丁不是最新的，或者终端的防病毒软件运行不正常，或者终端的病毒库没有更新到最新版本，防火墙会终止终端的访问；l 同时终端安全管理平台会限制终端上的加密文件夹（文件保险柜），将其隐藏起来，防止被互联网上的用户看到，造成重要文件的泄露；l 当终端开始访问内网服务器时，终端安全管理平台终止终端对互联网的访问，并进行与交换机的802.1X认证。 安全策略设计终端安全防护系统策略设计l 终端准入检测策略：这里主要通过三种手段来实现准入控制，一是与交换机进行802.1X认证，从而限制非法的主机接入；二是与防火墙进行OPT认证，限制了非法终端的接入；三是利用终端安全管理平台，对非法终端（没有安装代理的终端）进行ARP欺骗，第三种方式是针对没有智能交换机的网络（无法进行802.1X认证）进行的准入控制；l 终端健康性检查策略：系统能够自动检测内网终端桌面系统的病毒防护工作是否正常，如果发觉终端未安装防病毒系统，或者安装的防病毒系统没有及时升级到最新版本，那么终端防护系统将自动通知终端用户，督促其尽快安装防病毒软件或者将病毒库进行升级。系统还能检测内网终端桌面系统有哪些补丁漏洞，并根据漏洞情况自动进行补丁审计。系统还能检测内网终端桌面系统的软件资源、软件进程，当发现有非法软件安装、异常软件进程时，进行报警和阻断。l 终端访问网络切换策略：当终端访问网络时，终端代理会弹出网络选择托盘，提示终端用户选择访问目标，包括选择内网、外网或者互联网，当用户选择内网，那么终端代理与交换机进行802.1X的认证，通过后即可进行访问