广电总局网络安全技术建议书_内.doc

广电总局网络安全技术建议书一、 综述1.1 建设背景广电总局内部网承载着广电总局内各部门间日常工作的公文流转、审批等一系列办公自动化系统。目前，该网络与广电总局外部网络采取完全的物理隔离。随着广电总局内部网络功能和业务的发展需求，网络安全作为信息化建设中必不可少的一项工作，以逐渐提现出其重要性。首先，在广电总局内部网络的日常运维过程中，出现了一定的安全问题。其次，随着信息化工作的开展，广电总局直属机关与总局内部网络的互联互通将对网络安全提出新的要求。所以，为了保障广电总局网络系统资源的安全和稳定运行，迫切需要建立一个统一的安全防护体系，从而为广电总局及各直属机关提供高质量的信息服务。本次项目主要是针对广电总局内部的安全提出解决方案，涉及防火墙系统、安全审计系统、网络型入侵检测系统、日志分析系统、防病毒体系、oa业务安全防护系统、安全管理、系统安全增强及性能优化以及未来与广电总局直属机关互联互通时的安全相关技术和建议。1.2 网络现状及安全需求广电总局内部网络的网拓扑结构可以用下图表示：广电总局广域网拓扑sun e3500：两台。oa系统主服务器，采用双机备份。sun a5100：磁盘阵列e250：两台。一台为内网dns，另一台闲置ibm netfinity 4000：两台。ultra 10：内网网管服务器内部网络结构由两台cisco 6509承担内网核心交换工作。该交换机上划分vlan。隔离不同业务系统及不同部门间子网。内网业务主机直接接入到6509上。14台2926及2台3548通过千兆上联到6509。提供对各部门日常办公桌面机的接入。直观看来，此网络已经具有了一定的安全性，内网与intenet实施了完全的物理隔离措施。但是，仔细分析我们可以看出，这个网络仍然存在很多安全隐患。l 虽然划分了vlan，但是vlan只起到了隔离广播信息的功能。对于内网中对重要服务器的访问和各部门间的互访缺乏实际的访问控制。l 重要业务主机（服务机）与员工自用桌面机处于同一逻辑层。缺乏安全等级的划分，服务器与员工桌面机间无安全等级差别或隔离手段，如果某部门工作pc机被安装了木马，就完全可能被利用成为恶意攻击的跳板从而对核心服务器或其他部门的主机发起攻击，达到隐藏真正破坏者的功能。l 重要网络设备、重要服务器及业务系统如oa系统的身份认证技术未采用加密机制，用户密码以明码方式在网络上传播。如果恶意用户在网络中安装网络分析软件，可截获用户密码，冒充正常用户身份进行破坏活动。l 内部网络缺乏统一的病毒防护、查杀及隔离措施，一旦某台用户主机感染病毒，会在短时间内造成病毒在广电内部网络中的广泛传播。l 未来各直属机关的远程接入也有可能成为攻击发起的来源，需要实施隔离。l 目前广电外网安全只单纯依赖被动型的安全手段如防火墙，而缺乏主动发现型的安全手段，比如安全漏洞审计系统、入侵检测系统等。无法防患于未然。l 缺乏对攻击的监测和记录手段，比如入侵检测系统、日志服务器等，无法有效的发现安全事件，也没有举证手段。由于存在众多安全问题，所以迫切需要建立一个统一的安全防护体系，保障广电总局内部网络系统资源的安全和稳定运行，从而为广电总局各部门、各直属机关提供高质量的信息服务。以下我们将从网络结构安全结构、网络安全技术、防病毒体系及安全管理等几个方面阐述我们的安全建议。1.3 安全设计原则l 整体性原则安全作为一个特殊的技术领域，有着自己的特点。安全问题必须遵从整体性原则，网络中的任何一个漏洞或隐患都可能造成整网的安全水平的降低。网络安全系统应该包括三种机制：安全防护机制；安全监测机制；安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少攻击的破坏程度由于业务的重要性及安全需求，广电总局内部网络业务系统目前相对简单。但是，随着信息化发展的需求，处于严格控管下的互联互通将是网络发展的趋势。因此在本次设计中，我们从全网角度出发，关注广电信息化建设的目标，各广电各业务系统安全，根据各业务系统特点提出从防护检测回复的完整的解决方案，而不是治标不治本。l 集中性原则安全重在管理，所谓“三分技术，七分管理”阐述了安全的本质。而安全管理重在集中。广电总局的设备和主机类型较多，业务系统涵盖广电各个部门及相关机构，业务模式相对复杂且管理机构和管理模式也千差万别。在全网安全方案的设计中，无论是安全管理制度的制定和施行，或是安全产品的选型和实施，还是长期安全服务方案的制定，我们都将根据集中性原则，目标是实现对各设备和业务系统的集中安全管理以及安全事件发生后的集中响应，这些都将依赖于管理制度统一的、集中的制定和施行。l 层次性原则在广电总局内部网络安全方案设计中，无论具体的软硬件部署，还是管理制度的制定，我们都遵循层次性原则。安全问题的层次性原则集中在两个方面： 管理模式的层次性在广电总局内部网络中，由于涉及到跨部门及机构的人员以及地点，需要一种层次性的管理模式。比如，用户管理需要分层次的授权机制；防病毒体系的病毒库分发或报警也需要分层次机制；安全紧急响应的流程也需要建立分层监控，逐级响应的机制。 防护技术的层次性层次性还表现在防护技术上。针对业务系统的防护往往有多种防护设备和手段，我们需要根据业务系统特点提出多层次防护机制，保证在外层防护被入侵失效的情况下，内部防护层还可以起到防护作用。另一方面，各层之间的配合也是层次性原则的重要特点之一。l 长期性原则安全一向是一个交互的过程，使用任何一种“静态”或者号称“动态”防范的产品都不能解决一直在发展的系统安全问题，所以我们针对安全问题的特点，提供针对广电总局内部网络全面的安全服务，其中包括设备产品的技术支持和服务以及安全审计、安全响应等专业安全服务。二、 统一的安全防护体系在整个安全项目设计过程中，我们始终遵循统一的安全原则，从全网安全管理角度出发，关注于各业务系统的安全，目标是为客户建立统一的安全防护体系。2.1 网络系统安全基于以上四个原则，我们为广电总局设计了如下的安全解决方案。下面，按照“层层设防”的安全理念，我们将从整个网络安全系统的基础网络系统的结构开始，逐步阐述从网络核心交换区域、到办公网段和核心服务器网段的不同安全策略和安全产品的选型原则和实施建议。2.1.1 网络结构安全首先，通过如下的示意图，我们可以更加清晰的了解本方案对广电总局内部网络的安全结构。2.1.1.1 内部网络结构建议在经过上述调整之后，我们可以看到，构成网络核心的依旧是两台cisco 6509高性能的高端交换机，在这台交换机上汇接了重要业务系统接入、广电总局各部门用户、网管及安全管理网段，在原有的vlan基础上合理划分新的vlan结构，使网络负载的分布更加合理。其次，在新的拓扑中，重要业务系统如办公系统、dns/mail/proxy等公共服务器网段之间都利用防火墙作了有效的隔离，建立起用户到业务网段的安全等级与安全隔离。任意一个网段对网络业务的访问都利用防火墙作了隔离，大大提高了网络的安全性，在防止攻击、病毒/蠕虫扩散等方面都能够起到很大作用。第三，在原先网管系统的基础上，建立新的网络管理及安全管理网段，该网段集中了网管、审计、日志、入侵检测、统一认证及病毒管理中心等安全及网管主机，日常运维中通过各类安全技术收集整网安全信息，提供运维人员整网状况。通过在6509上实行一定的访问控制及安全策略，限制其他网段对该网段的非正常访问。从而确保该网段的安全性。第四，在6509核心机上通过背板管理端口或端口镜像技术将需要检测网络流量镜像到新增的网络入侵检测系统，该系统可在不影响正常网络流量的基础上对需要检测的流量进行不间断的检测和报警。2.1.1.2 与直属机关互联网络建议随着业务的发展，广电总局的内部网目前规划与北京市内广电总局各直属机关互联互通以及提供用户通过pstn远程拨号接入内网。互联通后，广电总局的内网将开放部分业务系统给各直属机关及拨号用户。因此，必须确保各直属机关及拨号用户的接入不会对网络安全以及信息安全构成影响。目前。由于广电总局内网是与internet完全隔离的网络。为确保广电总局内网的安全性，针对直属机关互联以及拨号用户的安全将主要考虑如下因素：1. 确保直属机关与广电总局内网互联信道的物理安全。2. 对直属机关与广电总局内网的连接采取加密措施（链路层加密，ip层加密或应用层加密）。3. 限定直属机关及拨号用户的授权访问范围。4. 限定直属机关及拨号用户对广电总局内网业务的访问流程。5. 限定直属机关及拨号用户网络接入广电总局网络后导致的internet对总局内网的连接。6. 对直属机关及拨号用户的访问行为进行实时监控。由以上因素我们可以得出，对直属机关及拨号用户接入广电总局内网的安全考虑主要分应用层和网络层两大部分。由于应用系统的安全涉及广电内网所使用的oa办公自动化系统的业务流程、加密认证方式等相关问题，需由业务系统的软件供应商提供相关安全措施，具体原则及需求见2.2节。而对于网络层的安全，我们考虑的原则是如何在网络层确保数据的私密性，完整性和不可抵赖性。目前，可以在网络层以下实现的数据加密方式较多，主要包括在链路层实现的链路加密机制与在网络层实现的各类ip隧道加密机制。链路加密机通常由独立硬件构成，通过在链路两端点的链路加密机协商或事先指定加密密钥，对链路中传输的物理帧进行加密。目前在国内主要应用于金融及军队，提供小于10m的吞吐能力。通常，有同步（异步）链路加密机、帧中继加密机。加密机自身的算法使用国内自研算法，对外不公开。链路加密机制使用链路加密机实现信息的点到点安全，对ip层协议透明。如果网络结构包含多种链路，则必须购买相应的链路加密设备保护其上通讯数据的安全。目前，在国内互联网中使用较多的是网络层的加密机制。如果网络结构庞大，涉及多种通讯线路，如果采用多种链路加密设备则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备，网络加密机是实现端至端的加密，即一个网点只需配备一台vpn加密机。根据具体策略，来保护内部敏感信息和秘密的机密性、完整性及不可抵赖性。常用的网络机密机制采用的是ipsec机制。ip加密机制ipsec是在tcp/ip体系中实现网络安全服务的重要措施。而vpn设备正是一种符合ipsec标准的ip协议加密设备。它通过利用跨越不安全的公共网络的线路建立ip安全隧道，能够保护子网间传输信息的机密性、完整性和真实性。经过对vpn的配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以明文方式传输，以达到安全、传输效率的最佳平衡。一般来说，vpn设备可以一对一和一对多地运行，并具有对数据完整性的保证功能，它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持ipsec标准由于网络层加密设备不依赖于底层的具体传输链路，它一方面可以降低网络安全设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络，网络层加密设备可以使网络在升级提速时具有很好的扩展性。鉴于网络层加密设备的突出优点，应根据具体需求，在各个网络结点与内部网络相连接的进出口处安装配备网络层加密设备。2.1.2 网络安全技术2.1.2.1 防火墙系统如前图所示，根据广电总局内网整体安全层次的划分需求，我们将对广电总局内网划分四个安全等级：直属机关接入用户级、普通用户级、网络管理级与业务系统级。业务系统级：安全级别最高，包含广电总局内网办公自动化系统主机与内网dns系统，这类系统发生问题将直接导致广电总局办公系统的全面瘫痪，因此对这类级别的安全防护需求最高。对于这类系统，建议使用两台防火墙工作在fail-over模式下，通过在防火墙上设置严格的策略，对每个需要访问业务系统的用户进行严格限制，由于目前防火墙对组播（mutlicast）技术支持不够理想，目前广电总局内网的视频点播系统暂不放在该网段下。网络管理级：安全级别居中，包含广电总局内网网管系统及新增的安全管理系统，这类系统如果遭受入侵或干扰，将暴露整网结构及相关信息，间接影响整网的安全状况。网管系统及安全管理系统将收集、配置、管理广电总局内部网络，这些系统拥有对网络设备及主机一定的管理权限，并存贮整网的相关信息，所以需要对网管系统及安全管理系统进行较高级别的安全防护，由于网管及安全管理系统需要开放的端口较多，因此我们建议在网络管理级前不部署防火墙系统，依靠主机自身安全增强及强加密认证系统提高系统安全防护能力。普通用户级：安全级别较管理级低，用户为总局内部员工，由于处于局域网内部，业务访问量较大，有意或无意造成网络安全隐患的概率较高，因此管理力度需较远程接入用户加强，安全需求级别较直属机关接入用户高。直属机关接入用户级：安全级别相对较低。可信赖度最低。由于这类用户是使用远程接入广电总局内网，且对业务的访问模式较固定，所以对该类用户的安全等级及策略规划较其他三个等级简单。我们建议在广电总局直属机关与广电总局内网链路接入处设置防火墙，限制直属机关接入对内网的访问策略。并通过vpn方式与各直属机关建立隧道加密机制。确保数据传输的私密性。由以上四个安全等级划分出发。我们在对网络机构调整的基础上，将利用防火墙技术对不同安全等级的系统进行安全等级的划分，不同等级之间的访问依靠防火墙策略进行严格规定，确保在防火墙规范下的网络中的流量模型是包含实际业务模型的最小集合。防火墙上实施如下策略原则如下：1. 默认关闭防火墙上的所有访问规则2. 允许内网访问dmz口的必要服务3. 禁止dmz口到内网、外网到内网、外网到dmz的访问4. 允许内网、dmz对外网的访问，也可根据需要添加必要的限制策略2.1.2.2 网络入侵检测系统的安全考虑入侵检测技术是当今一种非常重要的动态安全技术，与传统的静态防火墙技术共同使用，将可以大大提高系统的安全防护水平。icsa入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的核心技术之一。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，从理论的分析方式上可分为两种相异的分析技术： 1. 异常发现技术。2. 模式发现技术。目前，国际顶尖的入侵检测系统ids主要以模式发现技术为主，并结合异常发现技术。基于以下因素的考虑，我们建议在此次工程中部署基于网络的入侵检测系统。1. 网络的快速增长和复杂程度的提高将产生大量的安全隐患。我们必须及时高效地发现这些入侵并加以处理，否则可能遭受很大的损失。2. 广电总局自身网络系统的结构目前虽然并不复杂，但随着直属机关的接入和网络规模的发展，为了进一步的提高安全事件的即时响应和举证能力，必须具备某种手段对可能的有意或无意的攻击作出检测、告警并留下证据。3. 虽然在上述的改造方案中已经为广电总局部署了防火墙，对网段起到了一定的保护作用，但是很多攻击手法是防火墙无法阻挡的，比如对web server的基于异常url的攻击，具体体现的例子有code red、nimda等等很多。如何及早发现这类攻击方式并处理，是必须解决的问题之一。4. 防火墙虽然可以挡住某些攻击，但是通常无法留下细节的攻击记录，这对分析攻击行为以及调查取证带来了很大困难，而入侵检测系统刚好可以解决这一问题。5. 为了规范广电总局内网用户的行为，同时提供一种对用户访问行为的监控机制和与相关管理制度的执行对照机制，依靠基于网络的入侵检测系统可以提供一定时期内基于用户或基于协议的访问统计数据，用来更好的检验相关管理制度的执行情况，为后期网络策略的调整和规划提供依据。在选择入侵监测系统时需要考虑的因素主要有：1. 管理模式2. 协议分析及检测能力；3. 解码效率(速度)；4. 自身安全的完备性；5. 精确度及完整度，防欺骗能力；6. 模式更新速度。根据广电总局的具体网络状况，我们在广电总局内网中部署一套套基于网络的入侵检测系统。这套入侵检测系统部署在核心交换机上，（由于性能问题，原则上不对视频点播系统进行检测）。检测所有不同级别间的用户对oa业务系统及网管系统的访问情况。网络ids系统主机都配置两块网卡，一块用于监听网络流量，一块用于接受管理中心的管理。需要在防火墙和交换机上设置相应规则以保护入侵检测主机。此外，在核心交换机上设置port mirror将需要检测的vlan的流量映射到对应的监听网卡所连接的端口。同时，在管理网段再配置一台pc server，安装入侵检测系统的管理端，如果未来由于扩容等性能问题需要增加网络入侵检测系统时，该管理端可做为全部入侵检测系统的集中控制台。广电总局网络系统入侵监测系统部署拓扑图2.1.2.3 安全审计系统网络型扫描软件从网络角度发现主机开放服务，同时模拟黑客入侵对主机或网络设备进行侦测性刺探，从而发现主机或网络设备的安全漏洞。一方面网络型扫描软件可以帮助用户实时检测网络漏洞，另一方面，也是进行全网安全审计的重要工具。我们推在广电总局内网部署网络扫描软件。该系统部署在管理网段内，对内网各业务系统及用户主机定期进行扫描审计，并存贮相关审计信息。对于网络扫描审计产品的选型，考虑如下因素：l 体系结构：client/server结构的扫描审计软件具有集中管理的优势，利于电信环境部署及扩展；l 攻击模式库数量：应对多种攻击模式均支持；l 软件更新速度快；l 中文化和本地化支持；建议扫描审计软件对全网主机和设备的安全审计信息均存放在管理网段的数据库中，其中包括主机的操作系统版本、漏洞情况、patch情况等安全信息。一方面，网管人员可以通过这个集中安全数据库查询全网安全状况，另一方面，在发生安全事件或紧急响应时提供给我们和客户迅速了解受害机情况，找到对策，减少损失。同时，扫描审计软件应提供相关接口，便于用户输入设备安全信息，也进一步增强该软件的决策支持能力。由于目前在安全扫描审计软件中，都存在一定的安全威胁，扫描软件中的部分攻击模式库存在对网络主机和网络资源的潜在危险性。因此，对于扫描审计系统，必须在严格的安全代价分析和详细的扫描模式库选择下进行实施，通常对于重要的业务系统，要根据系统主机的负载情况制定不同时间段的扫描计划，从而获得全面的系统安全状况。因此，我们建议在安全审计系统中，应采用服务与产品相结合的方式，由专业安全服务公司制定专业的审计流程和定期的安全审计服务。，2.1.2.4 日志分析系统由于全网存在众多网络和主机设备，但缺乏统一的日志管理系统，我们建议在安全管理网段部署一套日志分析系统用于网络设备和主机系统的日志管理。建议采用三级结构的日志分析系统，第一级为需要记录日志的主机或设备，该主机配置syslog日志指向日志服务器；第二级为日志服务器，负责日志接受，同步处理入数据库以及日志的统计分析；第三级为日志服务器的console，用于配置日志系统安全策略，接受日志系统报警和监视日志系统分析统计结果。对于日志分析系统的产品选型，考虑如下因素：l 集中收集和监控系统日志。l 日志收集和分析agent与console运行在不同平台，两者的分离使日志分析系统更具有层次性结构的特点，便于未来升级和集中管理。l 每秒接受日志的速度。l 日志服务器应支持常用数据库，可将日志信息存储在数据库中。l 持多种设备类型及数量，是否支持标准syslog协议。l 是否提供二次开发接口。2.1.2.5 集中认证及一次性口令系统广电总局由于主机系统和网络设备繁多，在以往的管理模式下，用户认证和授权都存在较大的安全隐患，主要表现在主机和网络设备的口令认证，以及网络设备的用户权限控制上。为了保证全网管理中用户身份验证的可靠性，我们建议在网管中心部署一套集中认证及一次性口令系统，全网关键网络设备和主要业务系统的用户验证都集中在该服务器商，便于对于这些设备的集中管理。用户身份认证是一个完善的安全策略方案中必不可少的模块，特别是在存在着通过远程访问方式访问系统资源的情况下。对用户进行身份认证可以了解谁试图访问特定资源，这对于保护资源是必需的。除了认证用户身份以外，用户验证还可以定义了每个用户能够访问的资源，这就为多种资源并存的环境提供了增强的控制和更好的安全性。目前，常用的验证方法包括challenge and response，digital certificates，tokens，radius和s/key。一次性口令密码保护解决方案是利用双重密码： 静态及动态密码 ， 静态密码:用户自己默记的个人口令， 动态密码:由拥有一个令牌，每六十秒变换出一个独一无二、不能预测的密码。由于动态口令每分钟更改一次，即使静态密码被猜中，而动态密码被猜出的机会趋于0。这样在很大程度上避免了由于用户主观上的失误而造成的安全漏洞。目前，常见的这类系统的基础是“token”标记，它是一个数字编码，与用户永久性id号一起生成一个唯一的、不会被发觉的口令，而且仅能使用一次。“标记”的产生有两种方式，它可以由一个硬设备像信用卡般大小的电子计算器，每60秒钟生成并显示一个新的未知的随机代码，也可以由基于工作站的软件公用程序而产生。当“标记”拥有者登录到网络时，当前代码已被键入到该拥有者的pin中，服务器和标志发生器在时间上是同步的，因此编码的改变可共享。另外，这种代码比起常规口令模式的优点在于它不可能被盗用，因为它总是在改变口令。我们建议选用了一套125用户的一次性动态口令集中认证系统，负责重要设备和系统的口令认证。本次安全项目建议购买7个令牌卡，具体部署如下：n 认证中心放置在网管中心；n 2块令牌用于关键网络设备的用户验证，1块作为备份；n 3块令牌用于重要服务器用户验证，1块作为备份；我们建议利旧广电总局目前已有的sun e250服务器负责rsa系统运行。2.1.3 防病毒体系对于广电总局来说数据的安全是最重要的，而病毒是对数据造成严重威胁的主要因素之一。然而保护网络免受愈演愈烈的计算机病毒威胁已不是一件简单的事情。目前已知的计算机病毒超过20，000种，并且每月发现的新病毒超过300种，即每天都有10余种新病毒出现。很多事实表明，病毒比其他安全威胁造成的经济损失都大的多。从cih到code red，以及最近的nimda计算机病毒的相继发生，造成信息传输量暴增、系统负荷量过重等问题，凸显出网络安全防病毒机制的迫切需求。传统的防病毒策略往往只注重桌面平台的病毒防范，就像目前广电总局内部曾经购买的瑞星防病毒单机版。这样虽然可以保证桌面平台避免病毒的威胁，但没有从根本上杜绝病毒在网络上传播，无法解决由于病毒造成的网络流量异常、系统服务过载等这类严重威胁网络正常服务的问题。随着分布式网络计算、文档驻留宏、群件等新技术的出现以及网络的广泛应用，网络早已经成为病毒的主要传播途径。网络的脆弱性成倍增加，保护计算机网络已不再是简单的在客户机上安装桌面病毒扫描程序就可以解决的问题了。面对当前的网络安全形势，我们迫切需要一套单一、集中、全面的防病毒解决方案。在防病毒产品的选型上，我们认为一个成熟优秀的、高效可靠的防病毒产品应具有以下特点：l 先进的体系结构设计l 先进的防杀病毒技术l 能够在线实时查杀病毒l 准确无误的报警功能l 及时、方便地更新病毒定义代码l 快速、有效地处理未知病毒l 多平台的支持l 功能强大的控制台，便于管理与维护而针对网络这个层次而设计的防病毒产品，我们认为其重要功能还应该包括能够对网络进行实时病毒监控、支持病毒有效地隔离。针对目前世界上主流的病毒产品和国内知名的病毒产品，包括mcafee virusscan、norton antivirus、kill系列、vrv、trendmicro interscan等产品，应从综合评估，包括反病毒的整体解决方案、查杀病毒的技术和种类、系统资源的占用、扫描病毒的方式、处置病毒的方式、日志的管理、病毒库的及时更新以及各公司的技术实力和对广电总局内网的实用性等方面考虑。建立全方位、多层次的、整体的网络防病毒解决方案。鉴于广电总局内网对物理隔离的严格要求，我们建议防病毒系统的病毒库及扫描引擎升级工组有系统管理员通过手工下载并存储在软盘上进行手动安装升级（只需对病毒集中控制端进行手工操作，其他用户主机将由病毒集中控制中心自动分发并安装）2.2 业务系统安全2.2.1 oa业务的安全广电总局的oa业务运行在两台sun e3500平台上，oa业务的核心进程主要有web服务与数据库服务。目前，所有用户通过浏览器访问oa业务主机，输入个人用户名及密码后登录该系统处理日常oa业务，服务器采用标准80端口提供服务，所以用户帐号及密码都是以明码方式在网络上传播，任何人窃听或截获用户密码及帐号，都可以伪装成该用户进行相关破坏活动。针对广电总局的oa业务系统，应通过相应的安全增强手段加强oa业务的安全性，具体参考如下：1. 采用ssl加密访问机制提供oa业务服务。确保用户在进入自己oa系统时的帐号、密码以及随后的通讯数据的安全性。2. 采用ca认证机制，建立维护广电总局oa用户的证书管理中心。采用ssl及ca认证系统需要满足以下安全需求：1. 身份认证每个使用者必须拥有唯一的可靠的身份认证标识，安全系统能够对每个访问者的身份进行有效识别，使用者也要对安全系统进行认证，也就是使用者系统之间的双向身份认证。2. 访问控制对不同的信息资源和用户设定不同的权限，系统根据每个访问者的身份确定他的访问权限，保证只允许授权的用户访问授权的资源。对于oa资源中的目录和文件进行细粒度的权限划分，确保每个使用者只能访问授权的oa资源。3. 数据保密信息的传输过程加密，保证通信内容不被他人捕获，不会泄露敏感信息。4. 数据完整性对关键的数据信息，防止信息被非法入侵者篡改。5. 防止否认防止信息发出者对自己发出的信息进行抵赖，提供数字化的操作信息凭证。身份认证身份认证采用基于证书的公钥密码体制来实现。l 公钥密码算法公钥密码算法使用两个不同的密钥，即解密密钥kd（私有密钥）和加密密钥ke（公开密钥），信息加密时使用ke，密文解密时使用kd。kd和ke是紧密相关，一一对应的。一般统称私钥kd和公钥ke为“公私密钥对”。公私密钥对由特殊的密码学算法产生，密码学的理论可以保证，在人类现有的计算水平下，由公钥ke推算出私钥kd是几乎不可能的。使用者在使用时，将自己的私钥kd保存起来，而将自己的公钥ke对外公开。l 证书（certificate）和证书中心ca（certificate authority）要实现基于公钥密码算法的身份认证求，就必须建立一种信任及信任验证机制，即每个网络上的实体必须有一个可以被验证的数字标识，这就是“数字证书（certificate）”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明，具有唯一性。证书基于公钥密码体制，它将用户的公开密钥（ke）同用户本身的属性（例如姓名，单位等）联系在一起。这就意味着应有一个网上各方都信任的机构，专门负责对各个实体的身份进行审核，并签发和管理数字证书，这个机构就是证书中心ca。ca用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名，产生用户的数字证书。在基于证书的安全通信中，证书是证明用户合法身份和提供用户合法公钥的凭证，是建立保密通信的基础。因此，作为网络可信机构的证书管理设施，ca的主要职能就是管理和维护它所签发的证书，提供各种证书服务，包括：证书的签发、更新、回收、归档等等。目前，国际电力联盟itu发布了数字证书的国际标准x.509v3，下图是x.509v3证书格式的示意图：l 认证协议安全套接层协议ssl（secure socket layer）安全套接层ssl协议目前internet上使用最广泛的安全协议，两大主流浏览器netscape navigator和microsoft ie以及绝大多数的web服务器均支持标准的ssl3.0协议。该协议向tcp/ip的客户/服务器模式提供了客户端和服务器的身份认证、会话密钥交换和信息链路加密等安全功能，已成为事实上的工业标准。ssl认证协议有以下特点：l 对等方实体可以使用非对称密码算法（例如rsa，dss等）进行认证。l 可以实现双向的身份认证。l 共享秘密的协商是保密的。即使攻击者能够发起中间人攻击，协商的秘密也不可能被窃听者获得。l 协商是高度安全可靠的。攻击者不能在不被发现的情况下篡改协商通信数据。访问控制访问控制采用集中式的权限控制中心，验证该使用者是否有权限访问特定的资源（文件）。并根据权限中心来完成。安全管理员在权限控制中心为每个使用者设定权限。在使用者登录oa服务器的时候，oa服务器的安全系统会访问权限控制中心，验证该使用者是否有权限访问特定的资源（文件）。并根据权限进行允许或拒绝。权限控制中心采用ldap（轻量级目录访问协议）目录服务器来存储使用者的权限。信息保密在身份认证通过之后，使用者和安全系统之间使用ssl协议建立安全加密连接。ssl协议中，生成会话密钥的步骤如下： 交换hello消息以协商密码算法，交换随机值。 交换必要的密码学参数，使客户和服务器能够协商premaster secret。 交换证书和密码学信息，使客户和服务器能够进行相互认证。 使用交换的随机值和premaster secret生成主秘密master secret。 通信双方将根据主秘密master secret计算出此次通信的会话密钥，进行安全通信。数据完整性与不可否认性数据的完整性与不可否认性通过基于公钥密码算法的数字签名来实现。l 数字文摘算法（hash）数字文摘算法可以将任意长度的数据信息制作成一个固定长度的“文摘”，这个文摘保存了原来信息的一些特征，但是又不可能从这个数字文摘恢复出原来的信息内容，就象图书馆的书刊索引一样。数字文摘算法主要用于保证信息的完整性。常用的数字文摘算法主要有md5、sha-1等。l 数字签名（digital signature）数字化的重要信息（例如电子商务交易信息）是以数字形式出现的，不能用手工的纸笔方式签字盖章，所以必须有一种方式来保证这些“重要的数字流”在传输中不被篡改、伪造，并且使信息发出者不能否认自己曾有过的行为。这种方式被称为数字签名技术。数字签名技术是公钥密码体制的一种应用，简单地说，签名者使用自己私钥kd对签名文件的“数字文摘”加密，就生成了该文件的“数字签名”。签名者将文件和数字签名一起发送给接收者，接收者就可以用该签名者公布的公钥ke来解开数字签名，从而检验文件本身的真伪，并确定签名者的身份。由于采用ca及ssl认证通讯方式与广电总局oa系统结合较紧密，所以本方案中我们推荐由oa软件供应商根据oa系统的特点，进行相关调整及实施。2.2.2 dns业务的安全dns业务提供了广电总局内网的域名解析工作，对于广电总局内网的dns系统的安全，主要有如下建议：1. 通过将其部署在防火墙内，限制用户对该业务主机其他服务的访问，只开启dns服务端口（53）和相关管理端口（22，23等）。2. 依靠入侵检测系统及日志分析系统对该业务主机进行详细的访问记录审核，并保留相关记录。3. 对于操作系统，建议实施专业的saloris安全增强服务，优化系统主机性能，强化主机的安全性。4. 日常运维及管理用户通过一次性口令集中认证访问系统，确保密码的安全性，以及指令的安全性。目前，广电总局内网的dns采用的bind，该软件自身存在多种安全隐患，建议实施dns系统的专业安全增强，确保dns业务的正常运转，具体内容可参考如下：1. 限制域传输2. 配置主备服务器间认证3. 防止dns欺骗4. 禁止转发查询5. 设置allow query6. 设置重试查询次数2.3 信息安全管理中心全网安全管理中心的建立对于广电总局全网安全有着非常大的意义，通过安全中心可以动态了解和控制全网安全状况。一方面针对全网的安全设备进行集中管理，另一方面，可以利用集中管理软件收集全网网络和主机安全信息，用于安全分析和统计，进而对全网安全进行决策和支持。我们建议该安全管理中心分为安全决策支持中心和安全设备管理中心。安全管理中心的实施拓扑如下图所示：安全管理中心实施拓扑2.3.1 安全决策支持中心安全决策支持中心实际上是一个由专业安全专家、客户安全人员、安全知识库、安全信息中心软件系统以及专业安全服务共同构成的一个常备安全机构。其中安全知识库主要由专业公司提供的安全信息发布服务提供。而安全信息中心软件系统包括了安全管理中心内的安全审计软件和日志分析软件两大部分。2.3.1.1 安全审计中心目前扫描软件包括网络型扫描器，主机型扫描器和数据库扫描器。一方面由于主机型扫描器和数据库扫描器在使用中对系统资源占用较高，另一方面，这些扫描器的性价比较低，所以不推荐使用。网络型扫描软件从网络角度发现主机开放服务，同时模拟黑客入侵对主机或网络设备进行侦测性刺探，从而发现主机或网络设备的安全漏洞。一方面网络型扫描软件可以帮助用户实时检测网络漏洞，另一方面，也是进行全网安全审计的重要工具。2.3.1.2 日志分析中心日志中心用于全网设备和主机日志的收集和分析，避免了分散日志的安全性，增加了安全事件的事后可跟踪性；2.3.2 安全设备管理中心安全设备中心包括ids管理中心、防病毒管理中心、一次性口令集中认证系统、日志管理中心和审计中心控制台。l ids管理中心用于网络型ids的策略控制和监控，报警信息将会在控制台上显示或报警；l 防病毒管理中心用于防病毒系统的管理和控制；l 日志管理中心控制台和审计中心控制台分别是日志分析中心和安全审计中心的console端软件，可以实现对这两套软件系统的远程控制和管理。安全设备管理中心，是“集中管理”思想的具体体现。通过一套或几套部署在同一地点的安全管理软件，集中的实现对多个节点的多套安全工具集中的管控，极大的节约了人力资源，提高了管理效率，对降低企业安全系统的tco（总体拥有成本）有很大效果。三、 运维管理及培训方案任何用于主机安全或是网络安全的技术解决方案都必须依赖安全管理规范的支持，而安全管理贯穿在整个网络运维之中的。玛赛在长期大量的安全工程的安全设计和实施中，积累了大量运维工作的安全管理经验，玛赛愿意与广电总局安全运维部门一起分享这些经验。结合目前广电总局业务特点，我们将从安全风险管理，物理安全管理，逻辑安全管理和日常安全管理四个方面阐述安全管理方案。3.1 安全风险管理安全风险管理是确定适当的安全措施的重要步骤。风险管理对于如何提供安全性，在那些方面提供安全性以及所应采取的安全控制的类型和力度等方面都有着重要意义。在广电总局安全运维中，需要通过安全风险管理提供网络中的安全关键点。下面我们首先将针对广电总局进行安全风险评估，以确定什么是广电总局的关键资产，对这些关键资产进行评估以及确定对这些资产出现破坏的可能性。结合广电总局的目前运维情况，我们认为整个网络中比较关键的资产如下表所示：资产说明核心交换机广电总局局域网所用的核心交换机防火墙广电总局所用的防火墙接入路由器承担广电总局网络直属机关接入的接入路由器oa业务承担广电总局内网业务的服务器集群公共服务网段提供广电总局内部工作人员使用的公共业务dns的服务器应用服务器网段广电总局内部工作人员日常应用如视频点播等的服务器集群用户资源广电总局目前的用户群管理人员广电总局担负网络运维的人员这里只列出了广电总局中一部分最重要的资产，而在长期的安全管理中，需要全局统筹管理，随着业务系统的不断变化，及时更新关键资产的定义，以保证处理操作的一致性和便于资产评估。在确定了广电总局中重要资产后，就需要对这些资产评定价值，一般而言，我们需要对有形资产如路由器等设备，及其无形资产如数据库的数据等，进行资产价值评估。无形资产一般可以用重要程度或关键程度评判其价值。有形资产可以根据更新价值或关键程度等因素进行评判。考虑到实际需求，我们用不同的关键程度等级来划分数据类别来评定广电总局内网资产价值。资产关键程度资产高核心交换机高防火墙中接入路由器高oa业务中公共服务网段高应用服务器网段高用户资源中下面我们将关注于出现破坏广电总局安全的可能性。网络的脆弱性表现在网络中存在的可能被威胁利用的缺陷，如：可能发生外部人员的猜出口令而对网络进行未经授权访问的事件等。对于广电总局网络中关键资源，威胁有如下一些形式：l 窃取或破坏风险管理需要为广电总局建立一套不同类型的敏感数据存储在哪里、数据如何存储以及谁有权访问不同类型数据的的列表，该列表包涵了广电总局中最有价值信息，通过该列表可以对这些数据进行简单的风险计算。在广电总局中，oa信息、路由配置和安全日志等这些数据是需要安全风险管理关注的关键数据，在运维中需要为这些数据提供安全管理策略，例如：l 如何进行备份l 备份文件存储在何处l 如何对数据进行物理保护l 谁有权访问存储数据的介质l 数据完整性遭到破坏后的恢复措施l 网络资源不可用风险管理将包含确定那些网络资源会受威胁及其所造成的损失。在广电总局网络结构中，业务系统的交换机和接入设备都是重要的网络资源，这些资源由于设备失效、自然行为（如水灾、火灾和电击等）、系统升级、错误配置以及ddos攻击等威胁，会造成商业上的极大损失，我们将根据这些威胁和商业损失上的考虑，给定这些资源的相对风险，同时也将给出保证这些资源可用的安全策略。l 业务资源不可用与网络资源不可用类似，广电总局的业务资源，如oa系统、dns系统、等，都会由于某些威胁，造成系统不可用，我们需要给出这些资源的风险评估。以下给出一个简单针对oa系统和dns系统的计算风险例子：威胁的可能性（t）期望的损失值（l）风险（tl）1不太可能1低损失1，2低风险2大概可能2中等损失3，4中等风险3非常可能3严重损失69高风险资源名称所受威胁tl风险oa系统数据被窃取、篡改，dos攻击等236-高dns系统非授权访问，dos攻击等224-中通过这样的风险计算，就可以大致了解整个系统安全高风险的部位，这样就可以有的放矢，针对高风险段采取针对性措施进行防护。当在广电总局所有风险评定完毕后，就需要广电总局网络部门进一步确定广电总局能够接受多高的风险，以及资产需要保护到什么程度。风险缓解是选择适当的控制方式将风险降低到可接受水平的过程。通过把暴露安全漏洞所带来的风险和实施及强制执行安全策略所需要的费用进行比较，就可以确定广电总局可接受的风险水平。如对于办公pc网络之上的cisco 交换机，我们就不值得花钱制定严格的安全策略保护它们。再如：针对dns服务器系统的威胁，我们只要提供防火墙设备对进出该网段的访问进行过滤并提供基本的入侵检测即可，而不需要花费太多额外的资源去保护该业务系统。我们建议与广电总局网络部门协作，每个季度对整网实施一次专业的安全风险评估，在风险评估的基础上提出进一步的安全解决方案，从风险管理的角度为合理分配资源、进一步制定安全策略提供重要依据。3.2 物理安全管理物理安全一直是安全领域重要一环。在系统中，物理安全主要体现在针对物理基础设施、物理设备和物理访问的控制，在广电总局环境中，全网物理安全主要通过机房物理安全来体现。我们将针对广电总局网络系统提供一些机房管理制度建议，同时在全网运维过程中与广电总局运维部门协作不断完善这些制度。l 机房参观访问制度该制度将从参观介绍人和参观对象、参观申请及审批、参观批次和人数、机房参观流程、参观级别定义及其资料管理等方面，为广电总局在运维过程中的客户参观提供安全管理依据。l 机房施工管理制度我们结合以前项目中安全管理的经验，为广电总局制定了如下的机房施工管理制度，广电总局运维部门也可以结合各机房情况改进该管理制度，以求充分切合实际。l 运维值班管理制度值班管理制度是机房管理制度中较为核心的内容，我们将配合广电总局网络部门从值班基本守则、值班工作内容、值班中常见问题处理等多方面提供运维值班管理建议。l 运维故障处理制度为保证广电总局网络的安全运行，保障全网的服务质量，我们为广电总局提供运维故障处理的建议。建议将从故障发现、故障处理流程、故障级别、故障汇报和故障报告等多方面提供全网运维故障处理解决的方法。如下为我们为广电总局设计的故障报告的一个简要格式：l 其他运维管理制度针对广电总局运维实际，我们从设备使用管理、设备文档管理等方面提供设备档案管理制度的建议，同时也提供了关于设备配置更改制度的一些想法。针对某些灾难（电力、空调、水力，火灾），提供了相应的机房灾难应急措施。良好的物理安全是保证整个系统安全的重要部分，广电总局机房管理制度的发展与完善需要广电总局运维部门和专业安全服务商密切协作，在长期的运维中得到加强。3.3 逻辑安全管理逻辑安全管理进一步从技术层面建立一些安全管理制度，诸如用户管理、口令管理、网络设备安全管理和主机系统安全管理的制度。就用户管理而言，我们建议对广电总局设备或是网段的访问必须明确限制到需要访问的个人，我们采取两种管理措施：预防性管理和探测性管理。预防性管理，用于识别每个授权用户并拒绝非授权用户的访问。探测性管理，用于记录和报告授权用户的行为，以及记录和报告非授权访问或对系统、程序和数据的访问企图。在广电总局进行访问控制管理时，我们建议对各网络设备控制台的访问分别分配一个用