广电总局网络安全技术建议书_内

北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 1 页 共 34 页 广电总局网络安全技术建议书 一、 综述 1.1 建设背景 广电总局内部网 承载着广电总局内各部门间日常工作的公文流转、审批等一系列办公自动化系统。目前，该网络与广电总局外部网络采取完全的物理隔离 。随着广电总局内部网络功能和业务的发展需求， 网络 安全 作为信息化建设中必不可少的一项工作 ， 以逐渐提现出其重要性。 首先， 在 广电总局内部网络 的日常 运维过程中， 出 现 了一定的 安全问题 。其次，随着信息化工作的开展，广电总局直属机关与总局内部网络的互联互通将对网络安全提出新的要求。 所以 ，为了 保障 广电总局 网络 系统资源的安全和稳定运行， 迫切需 要建立一个统一的安全防护体系， 从而 为 广电总局 及各直属机关 提供高质量的信息服务。 本次项目主 要是针对 广电总局内部 的安全提出 解决方案，涉及防火墙系统、安全审计系统、 网络型入侵检测系统、 日志分析系统、防病毒体系、 OA 业务 安全防护系统 、安全管理、系统安全增强及性能优化 以及未来与广电总局直属机关互联互通时的安全相关 技术 和建议 。 1.2 网络现状及安全需求 广电 总局内部网络 的网拓扑结构可以用下图表示： 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 2 页 共 34 页 SiSi SiSiA5100E3500 E3500 E250 E250 IBMNetfinity 4000IBMNetfinity 40002926 2926 3548 35482926.SUN U10广电总局 广域网拓扑 SUN E3500：两台。 OA 系统主服务器，采用 双机备份。 SUN A5100：磁盘阵列 E250：两台。 一台为内网 DNS，另一台闲置 IBM Netfinity 4000：两台 。 ULTRA 10： 内网网管服务器 内部网络结构由两台 CISCO 6509 承担内网核心交换工作。该交换机上划分VLAN。隔离不同业务系统及不同部门间子网。内网业务主机直接接入到 6509上。 14 台 2926 及 2 台 3548 通过千兆上联到 6509。提供对各部门日常办公桌面机的接入。 直观看来，此网络已经具有了一定的安全性，内网与 Intenet 实施了 完全的物理 隔离措施。但是，仔细分析我 们可以看出，这个网络仍然存在很多安全隐患。 虽然 划分了 VLAN，但是 VLAN 只起到了隔离广播信息的功能。 对于 内网中对重要服务器的访问和各部门间的互访缺乏实际的访问控制。 重要业务主机（服务机）与员工自用桌面机处于同一逻辑层。缺乏安全等级的划分，服务器与员工桌面机间无安全等级差别 或 隔离手段，如果某部门 工作 PC 机被安装了木马，就完全可能 被利用 成为 恶意 攻击的跳 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 3 页 共 34 页 板从而对核心服务器 或其他部门的主机 发起攻击 ，达到隐藏真正破坏者的功能 。 重要网络设备、重要服务器及 业务系统如 OA 系统的身份认证技术未采用加密机制，用户密码以 明码方式在网络上传播。如果恶意用户在网络中安装网络分析软件，可截获用户密码，冒充正常用户身份进行破坏活动。 内部网络缺乏统一的病毒防护 、查杀及隔离 措施，一旦某台用户主机感染病毒， 会在短时间内造成病毒在广电内部网络中的广泛传播。 未来各直属机关的远程接入 也有可能成为攻击发起的来源，需要实施隔离。 目前广电外网安全只 单纯依赖被动型的安全手段如防火墙，而缺乏主动发现型的安全手段，比如安全漏洞审计系统、入侵检测系统等。无法防患于未然。 缺乏对攻击的监测和记录手段，比如入侵检测系统、日志服务器等，无法有效的发现安全事 件，也没有举证手段。 由于存 在众多安全问题，所以迫切需要建立一个统一的安全防护体系，保障广电总局内部 网络 系统资源的安全和稳定运行，从而为 广电总局 各 部门、各直属机关 提供高质量的信息服务。 以下 我们 将从网络结构安全 结构 、 网络 安全 技术 、 防病毒体系 及安全管理 等几个方面 阐述 我们 的安全建议 。 1.3 安全设计原则 整体性原则 安全作为一个特殊的技术领域，有着自己的特点。安全问题必须遵从整体性原则， 网络中的任何一个漏洞或隐患都可能造成整网的安全水平的降低。 网络 安全系统应该包括三种机制：安全防护机制；安全监测机制；安全恢复 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 4 页 共 34 页 机制。 安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少攻击的破坏程度 由于业务的重要性及安全需求， 广电总局 内部网络 业务系统 目前相对简单。但是， 随着 信息化发展的 需求，处于严格控管下的互联互通将是网络发展的 趋势 。因此 在本次设计中，我们从全网角度出发，关注 广电信息化建设的目标， 各 广电各 业务系统安全，根据各业务系统特点提出 从防 护 检测 回复 的 完整的 解决方案，而不是治标不治本。 集中性原则 安全重在管理，所谓“三分技术，七分管理”阐述了安全的本质。而安全管理重在集中。 广电总局 的设备和主机类型较 多，业务系统 涵盖广电各个部门及相关机构，业务模式 相对复杂且管理机构和管理模式也千差万别。在全网安全方案的设计中，无论是安全管理制度的制定和施行，或是安全产品的选型和实施，还是长期安全服务方案的制定，我们都将根据集中性原则，目标是实现对各设备和 业务 系统的集中安全管理以及安全事件发生后的集中响应，这些都 将 依赖于管理制度统一的、集中的制定和施 行。 层次性原则 在 广电总局 内部网络 安全方案设计中，无论具体的软硬件部署，还是管理制度的制定，我们都遵循层次性原则。安全问题的层次性原则集中在两个方面： 管理模式的层次性 在 广电总局 内部网络中，由于涉及到跨部门及机构的 人员以及地点，需要一种层次性的管理模式。比如，用户管理需要分层次的授权机制；防病毒体系的病毒库分发或报警也需要分层次机制；安全紧急响应的流程也需要建立分层监控，逐级响应的机制。 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 5 页 共 34 页 防护技术的层次性 层次性还表现在防护技术上。针对业务系统的防护往往有多种防护设备和手段，我们需要根据业务系统 特点提出多层次防护机制，保证在外层防护被入侵 失效 的情况 下 ，内部防护层还可以起到防护作用。另一方面，各层之间的配合也是层次性原则的重要特点之一。 长期性原则 安全一向是一个交互的过程，使用任何一种“静态”或者号称“动态”防范的产品都不能解决一直在发展的系统安全问题，所以我们针对安全问题的特点，提供针对 广电总局 内部网络 全面的安全服务，其中包括设备产品的技术支持和服务以及安全审计、安全响应等专业安全服务。 二、 统一的安全防护体系 在整个安全项目设计过程中，我们始终遵循统一的安全原则，从全网安全管理角度出发，关注于各业 务系统的安全，目标是为客户建立统一的安全防护体系。 2.1 网络系统 安全 基于以上四个原则， 我们 为 广电总局 设计了如下的安全解决方案。下面，按照“层层设防”的安全理念， 我们 将从整个网络安全系统的基础 网络系统的结构开始，逐步阐述从 网络核心交换区域、到办公网段和核心服务器网段的不同安全策略和安全产品的选型 原则 和实施建议。 2.1.1 网络 结构 安全 首先，通过如下的示意图，我们可以更加清晰的 了解本方案对广电总局内部网络的安全结构 。 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 6 页 共 34 页 SiSi SiSiA5100E3500E250 E250IBMNetfinity 40002926 2926 3548 35482926.Network IDS防火墙 防火墙3548 35483548安全审计系统入侵检测系统管理端日志分析系统SUN ULTRA 10网管主机VPNMODEM POOLPSTNVPN36XXVPNrouterVPNrouter病毒控制管理中心 内部网络结构 建议 在经过上述调整之后，我们 可以看到，构成网络核心的 依旧是两台 CISCO 6509 高性能的高端 交换机，在这台交换机 上汇接了 重要业务系统 接入、 广电总局 各部门用户 、 网管及安全管理网段 ， 在原有的 VLAN 基础上合理划分新的VLAN 结构 ，使网络负载的分布更加合理。 其次， 在新的拓扑中， 重要业务系统如办公系统、 DNS/Mail/Proxy 等公共服务器网段之间都利用防火墙作了有效的隔离 ，建立起用户到业务网段的安全等级与安全隔离 。 任意一个 网段 对网络业务的访问都利用防火墙作了隔离，大大提高了网络的安全性，在防止 攻击、病毒 /蠕虫扩散等方面都能够起到很大作 用。 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 7 页 共 34 页 第三， 在原先网管系统的基础上，建立新的网络管理及安全管理网段，该网段集中了网管、审计、日志、入侵检测、统一认证及病毒管理中心等安全及网管主机，日常运维中通过各类安全技术收集整网安全信息，提供运维人员整网状况。通过在 6509 上实行一定的访问控制及安全策略，限制其他网段对该网段的非正常访问。从而确保该网段的安全性 。 第四， 在 6509 核心机上通过背板管理端口或端口镜像技术将需要检测网络流量镜像到新增的网络入侵检测系统，该系统可在不影响正常网络流量的基础上对需要检测的流量进行不间断的检测和报警。 与直属机关互 联网络建议 随着业务的发展，广电总局的内部网目前规划与北京市内 广电总局 各直属机关互联互通 以及提供用户通过 PSTN 远程拨号接入内网 。互联通后，广电总局的内网将开放部分业务系统给各直属机关 及拨号用户 。因此， 必须 确保各直属机关及拨号用户 的接入不会对网络 安全以及信息安全构成影响。 目前。由于广电总局内网是与 INTERNET 完全隔离的网络。 为确保广电总局内网的安全性 ，针对直属机关 互联 以及拨号用户 的安全将主要考虑 如下因素 ： 1. 确保直属机关与广电总局内网互联信道的物理安全。 2. 对直属机关与广电总局内网的连接采取加密措施（链路 层加密， IP 层加密或应用层加密）。 3. 限定直属机关 及拨号 用户的授权访问范围 。 4. 限定直属机关 及拨号 用户对广电总局内网业务的访问流程。 5. 限定直属机关 及拨号用户 网络接入广电总局网络后导致的 INTERNET对总局内网的连接。 6. 对 直属机关 及拨号 用户的访问行为 进行实时 监控 。 由以上因素我们可以得出，对直属机关 及拨号用户 接入广电总局内网的安全考虑主要分应用 层 和网络 层 两大部分。由于应用系统的安全涉及广电内网所使用 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 8 页 共 34 页 的 OA 办公自动化系统的业务流程、加密认证方式等相关问题，需由业务系统的软件供应商 提供相关安全措施，具体原则及需求见 2.2 节。而对于网络层的安全 ，我们考虑的原则是如何在网络层确保数据的私密性，完整性和不可抵赖性。 目前，可以在网络层以下实现的数据加密方式较多，主要包括在链路层实现的链路加密机制与在网络层实现的 各类 IP 隧道加密机制。 链路加密机通常由独立硬件构成，通过在链路 两端点 的链路加密机协商或事先指定加密密钥，对链路中传输的物理帧进行加密。目前在国内主要应用于金融及军队 ，提供小于 10M 的吞吐能力 。通常，有 同步（异步）链路 加密机、帧中继加密机。加密机自身的 算法使用国内自研算法，对外不公开。 加密隧道加密机FR PSTN DDN加密机链路加密机制 使用链路加密机实现信息的 点到点 安全，对 IP 层协议透明。 如果网络结构包含多种链路，则必须购买相应的链路加密设备保护其上通讯数据的安全。 目前，在国内互联网中使用较多的是网络层的加密机制。如果网络结构庞大，涉及多种通讯线路， 如果采用多种链路加密 设备 则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备，网络加密机是实现端至端的加密，即一个网点只需配备一台 VPN加密机。根据具体策略，来保护内部敏感信息和 秘密的机密性、 完 整性 及不可抵赖性 。 常用的网络机密机制采用的是 IPsec 机制。 加密隧道加密机FR PSTN DDN加密机IP 加密机制 IPsec 是在 TCP/IP 体系中实现网络安全服务的重要措施。而 VPN 设备正是一种符合 IPsec 标准的 IP 协议加密设备。它通过利用跨越不安全的公共网络的线 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 9 页 共 34 页 路建立 IP 安全隧道，能够保护子网间传输信息的机密性、完整性和真实性。经过对 VPN 的配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以明文方式传输，以达到安全、传输效率的最佳平衡。一般来说， VPN 设备可以一对一和一对多地 运行，并具有对数据完整性的保证功能，它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持 IPsec 标准 由于 网络层加密 设备不依赖于底层的具体传输 链 路，它一方面可以降低网络安全设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络， 网络层加密 设备可以使网络在升级提速时具有很好的扩展性。鉴于 网络层加密 设备的突出优点，应根据具体需求，在各个网络结点与 内部 网络相连接的进出口处安装配备 网络层加密 设备。 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 10 页 共 34 页 2.1.2 网络安全技术 防火墙系统 SiSi SiSiA5100E3500E250 E250IBMNetfinity 40002926 2926 3548 35482926.Network IDS防火墙 防火墙3548 35483548安全审计系统入侵检测系统管理端日志分析系统SUN ULTRA 10网管主机VPNMODEM POOLPSTNVPN36XXVPNrouterVPNrouter如 前 图所示，根据广电总局内网整体安全层次的划分需求，我们将对广电总局内网划分 四 个安全等级： 直属机关接入用户级、 普通用户级、 网络 管理级与业务系统级。 业务系统级 ：安全级别最高，包含广电总局内网办公自动化系统主机与内网DNS 系统 ， 这类系统发生问题将直接导致广电总局办公系统的全面瘫痪，因此 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 11 页 共 34 页 对这类级别的安全防护需求最高 。 对于这类系统，建议使用两台防火墙工作在 FAIL-OVER 模式下，通过在防火墙上设置严格的策略， 对每个需要访问业务系统的用户进行严格限制，由于目前防火墙对组播（ MUTLICAST）技术支持不够理想，目前广电总局内网的视频点播系统暂不放在该网段下。 网络 管理级 ：安全级别居中，包含广电总局内网网管系统及新增的安全管理系统 ，这类系统如果遭受入侵或干扰，将暴露整网结构及相关信息，间接影响整网的安全状况 。 网管系统及安全管理系统将收集、配置、管理广电 总局内部网络，这些系统拥有对网络设备及主机一定的管理权限，并存贮整网的相关信息 ，所以需要对网管系统及安全管理系统进行较高级别的安全防护，由于网管及安全管理系统需要开 放的端口较多，因此我们建议在网络 管理级前不部署防火墙系统，依靠主机自身安全增强及强加密认证系统提高系统安全防护能力 。 普通用户级 ： 安全级别较管理级低， 用户为 总局内部员工，由于处于局域网内部， 业务访问量较大 ， 有 意或无意造成网络安全隐患的概率较高，因此 管理力度 需较 远程接入用户 加 强， 安全 需求级别较直属机关接入用户高。 直属机关接入用户级 ：安全级别相对较低。可信赖度最低。由于这类用户是使用远程接入广电总局内网，且对业务的访问模式较固定，所以对该类用户的安全 等级 及策略规划较其他三 个等 级简单。 我们建议在广电总局直属机 关与广电总局内网链路接入处设置防火墙，限制直属机关接入 对内网的访问策略。并通过 VPN 方式与各直属机关建立隧道加密机制 。确保数据传输的私密性。 由以上四个安全等级划分出发。我们在对网络机构调整的基础上，将利用防火墙技术对不同安全等级的系统进行安全等级的划分，不同等级之间的访问依靠防火墙策略进行严格规定，确保在防火墙规范下的网络中的流量模型是包含实际业务模型的最小集合。 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 12 页 共 34 页 防火墙上实施如下策略 原则如下 ： 1. 默认关闭防火墙上的所有访问规则 2. 允许内网访问 DMZ 口的必要服务 3. 禁止 DMZ 口到内网、外网到内网 、外网到 DMZ 的 访问 4. 允许内网、 DMZ 对外网的访问，也可根据需要添加必要的限制策略 网络入侵检测系统的安全考虑 入侵检测技术是当今一种非常重要的动态安全技术，与 传统 的静态防火墙技术共同使用，将可以大大提高系统的安全防护水平。 ICSA 入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象 (的一种安全技术 )。入侵检测技术是动态安全技术的核心技术之一。 入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程 能做出实时响应，从理论的分析方式上可分为两种相异的分析技术： 1. 异常发现技术。 2. 模式发现技术。 目前，国际顶尖的入侵检测系统 IDS 主要以模式发现技术为主，并结合异常发现技术。 基于以下 因素 的考虑，我们建议在此次工程中部署基于网络的入侵检测系统。 1. 网络的快速增长和复杂程度的提高将产生大量的安全隐患 。我们必须及时高效地发现这些入侵并加以处理，否则可能遭受很大的损失。 2. 广电总局 自身网络系统 的结构 目前虽然并不 复杂， 但随着直属机关的接入和网络规模的发展， 为了进一步的提高安全事件的即时响应和举证能力 ，必须具备某 种手段对可能 的有意或无意的攻击作出检测、告警并留 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 13 页 共 34 页 下证据。 3. 虽然在 上述的改造方案中已经为 广电总局 部署了防火墙，对 网段起到了一定的保护作用，但是很多攻击手法是防火墙无法阻挡的，比如对 Web Server 的基于异常 URL 的攻击，具体体现的例子有 Code Red、 Nimda等等很多。如何及早发现这类攻击方式并处理，是必须解决的问题之一。 4. 防火墙虽然可以挡住某些攻击，但是通常无法留下细节的攻击记录，这对分析攻击行为以及调查取证带来了很大困难，而入侵检测系统刚好可以解决这一问题。 5. 为了规范广电总局内网用户的行为，同时提 供一种对用户访问行为的监控机制和与相关管理制度的执行对照机制，依靠基于网络的入侵检测系统可以提供一 定 时期内基于用户或基于协议的 访问统计数据，用来更好的检验相关管理制度的执行情况，为后期网络策略的调整和规划提供依据。 在选择入侵监测系统时需要考虑的因素主要有： 1. 管理模式 2. 协议分析及检测能力； 3. 解码效率 (速度 )； 4. 自身安全的完备性； 5. 精确度及完整度，防欺骗能力； 6. 模式更新速度。 根据 广电总局 的具体网络状况 ，我们在 广电总局内网 中 部署 一套 套基于网络的入侵检测系统。 这套入侵检测系统 部署在 核心交换机上，（由于性能问题 ，原则上不对视频点播系统进行检测） 。 检测所有 不同级别间的 用户对 OA 业务系统及网管系统的访问情况。 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 14 页 共 34 页 网络 IDS 系统主机都配置两块网卡，一块用于监听网络流量，一块用 于接受管理中心的管理。需要在防火墙和交换机上设置相应规则以保护 入侵检测 主机。 此外，在核心 交换机上设置 Port Mirror 将 需要检测 的 VLAN 的流量映射到对应 的监听网卡所连接的端口。 同时， 在 管理 网段再配置一台 PC Server，安装 入侵检测系统的管理端 ， 如果未来由于扩容等性能问题需要增加网络入侵检测 系统 时， 该管理端 可做 为全部入侵检测系统的集中控制 台。 SiSi SiSiNetwork IDSVPN VPN广电总局 网络系统入侵监测系统部署拓扑图 安全审计系统 网络型扫描软件从网络角度发现主机开放服务，同时模拟黑客入侵对主机或网络设备进行侦测性刺探，从而发现主机或网络设备的安全漏洞。一方面网络型扫描软件可以帮助用户实时检测网络漏洞，另一方面，也是进行全网安全审计的重要工具。 我们推在广电总局内网部署网络扫描软件。该系统部署在管理网段内，对内网各业务系统及用户主机定期进行扫描审计，并存贮相关审计信息。 对于网络扫描审计产品的选型，考虑如下因素： 体系 结构： Client/Server 结构的扫描审计软件具有集中管理的优势，利于电信环境部署及扩展； 攻击模式库数量：应对多种攻击模式均支持； 软件更新速度快； 中文化和本地化支持； 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 15 页 共 34 页 建议扫描审计软件对全网主机和设备的安全审计信息均存放在管理网段的数据库中，其中包括主机的操作系统版本、漏洞情况、 patch 情况等安全信息。一方面，网管人员可以通过这个集中安全数据库查询全网安全状况，另一方面，在发生安全事件或紧急响应时提供给我们和客户迅速了解受害机情况，找到对策，减少损失。同时，扫描审计软件应提供相关接口，便于用户输 入设备安全信息，也进一步增强该软件的决策支持能力。 由于目前在安全扫描审计软件中，都存在一定的安全威胁，扫描软件中的部分攻击模式库存在对网络主机和网络资源的潜在危险性。因此，对于扫描审计系统，必须在严格的安全代价分析和详细的扫描模式库选择下进行实施，通常对于重要的业务系统，要根据系统主机的负载情况制定 不同时间段的 扫描计划 ，从而获得全面的系统安全状况。 因此， 我们建议 在安全审计系统中，应采用服务与产品相结合的方式，由专业安全服务公司制定 专业的审计流程 和定期的安全审计服务。 ， 日志分析系统 由于全网存在众多网 络和主机设备，但缺乏统一的日志管理系统，我们建议在安全管理网段部署一套 日志分析系统 用于网络设备和主机系统的日志管理。 建议采用 三级结构 的日志分析系统 ，第一级为需要记录日志的主机或设备，该主机配置 syslog 日志指向 日志服务器；第二级为日志 服务器，负责日志接受，同步处理入数据库以及日志的统计分析；第三级为 日志服务器 的 console，用于配置日志系统安全策略，接受日志系统报警和监视日志系统 分析 统计结果。 对于日志分析系统的产品选型，考虑如下因素： 集中收集和监控系统日志 。 日志收集和分析 Agent 与 Console 运行 在不同平台 ，两者 的 分离 使日志分析系统更 具有 层次性结构 的特点 ，便于未来升级和集中管理 。 每秒接受日志的速度 。 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 16 页 共 34 页 日志服务器应支持 常 用数据库，可将 日志信息存储在数据库中 。 持多种 设备类型及数量，是否 支持标准 syslog 协议。 是否提供 二次开发接口。 集中认证及一次性口令系统 广电总局由于主机系统和网络设备繁多，在以往的管理模式下，用户认证和授权都存在较大的安全隐患，主要表现在主机和网络设备的口令认证，以及网络设备的用户权限控制上。 为了保证全网管理中用户身份验证的可靠性，我们建议在网管中心部署一套集中认证及 一次性口令系统，全网关键网络设备和主要业务系统的用户验证都集中在该服务器商，便于对于这些设备的集中管理。 用户身份认证是一个完善的安全策略方案中必不可少的模块，特别是在存在着通过远程访问方式访问系统资源的情况下。对用户进行身份认证可以了解谁试图访问特定资源，这对于保护资源是必需的。除了认证用户身份以外，用户验证还可以定义了每个用户能够访问的资源，这就为多种资源并存的环境提供了增强的控制和更好的安全性。目前，常用的验证方法包括 Challenge and Response，digital certificates， tokens， RADIUS 和 S/Key。 一次性口令密码保护解决方案是利用双重密码： 静态及动态密码 ， 静态密码 :用户自己默记的个人口令， 动态密码 :由拥有一个令牌，每六十秒变换出一个独一无二、不能预测的密码 。 由于动态口令每分钟更改一次，即使静态密码被猜中，而动态密码被猜出的机会 趋于 0。这样在很大程度上避免了由于用户主观上的失误而造成的安全漏洞。 目前，常见的这类 系统的基础是“ token”标记，它是一个数字编码，与用户永久性 ID 号一起生成一个唯一的、不会被发觉的口令，而且仅能使用一次。 “标记”的产生 有两种方式，它可以由一个硬设备 像信用卡般大小的电子计算器，每 60 秒钟生成并显示一个新的未知的随机代码，也可以由基于工作 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 17 页 共 34 页 站的软件公用程序而产生。当“标记”拥有者登录到网络时，当前代码已被键入到该拥有者的 PIN 中，服务器和标志发生器在时间上是同步的，因此编码的改变可共享。另外，这种代码比起常规口令模式的优点在于它不可能被盗用，因为它总是在改变口令。 我们建议选用了一套 1 25 用户的 一次性动态口令集中认证系统 ，负责重要设备和系统的口令认证。本次安全项目建议购买 7 个令牌卡，具体部署如下： 认证中心 放置在网管中心 ； 2 块令牌用于关键网络设备的用户验证， 1 块作为备份； 3 块令牌用于重要 服务器用户验证， 1 块作为备份； 我们建议 利旧广电总局目前已有的 Sun E250 服务器负责 RSA 系统运行。 2.1.3 防病毒体系 对于 广电总局 来说数据 的安全 是最重要的，而病毒是对数据造成严重威胁的主要因素之一。然而保护网络免受愈演愈烈的计算机病毒威胁已不是一件简单的事情。目前已知的计算机病毒超过 20， 000 种，并且每月发现的新病毒超过 300种，即每天都有 10 余种新病毒出现。很多事实表明，病毒比其他安全威胁造成的经济损失都大的多。从 CIH 到 Code Red， 以 及最近的 Nimda 计算机病毒的相继发生，造成信息传输量暴增、系统负荷量过重等问题，凸显出网络安全防病毒机制的迫切需求。 传统的防病毒策略往往只注重桌面平台的病毒防范，就像目前 广电总局 内部曾经购买的瑞星防病毒 单机版。这样虽然可以保证桌面平台避免病毒的威胁，但没有从根本上杜绝病毒在网络上传播，无法解决由于病毒造成的网络流量异常、系统服务过载等这类严重威胁网络正常服务的问题。随着分布式网络计算、文档驻留宏、群件等新技术的出现以及 网络 的广泛 应 用，网络早已经成为病毒的主要传播途径。网络的脆弱性成倍增加，保护 计算机网络已不再是简单的在客户机上安装桌面病毒扫描程序就可以解决的问题了。面对当前的网络安全形势，我们迫切需要一 套 单一、集中、全面的防病毒解决方案。 在防病毒产品的选型上， 我们 认为一个成熟优秀的、高效可靠的防病毒产品 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 18 页 共 34 页 应具有以下特点： 先进的体系结构设计 先进的防杀病毒技术 能够在线实时查杀病毒 准确无误的报警功能 及时、方便地更新病毒定义代码 快速、有效地处理未知病毒 多平台的支持 功能强大的控制台，便于管理与维护 而针对网络这个层次而设计的防病毒产品， 我们 认为其重要功能还应该包括能够对网络进行实时病毒监控、支持病毒有效地隔离。 针 对目前世界上主流的病毒产品和国内知名的病毒产品，包括 McAfee VirusScan、 Norton AntiVirus、 Kill 系列、 VRV、 TrendMicro InterScan 等产品 ，应从 综合评估，包括反病毒的整体解决方案、查杀病毒的技术和种类、系统资源的占用、扫描病毒的方式、处置病毒的方式、日志的管理、病毒库的及时更新以及各公司的技术实力和对 广电总局内网 的实用性等方面 考虑 。 建立 全方位、多层次的、整体的网络防病毒解决方案。 鉴于广电总局内网对物理隔离的严格要求，我们建议防病毒系统的病毒库及扫描引擎升级工组有系统管理员通过手工下载并存储在软盘上进行手动安装升级（只需对病毒集中控制端进行手工操作，其他用户主机将由病毒集中控制中心自动分发并安装） 2.2 业务系统安全 2.2.1 OA 业务 的安全 广电总局的 OA 业务运行在两台 SUN E3500 平台上， OA 业务的核心进程主要有 WEB 服务与数据库服务。 目前，所有用户通过浏览器访问 OA 业务主机，输入个人用户名及密码后登 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 19 页 共 34 页 录该系统处理日常 OA 业务，服务器采用标准 80 端口提供服务，所以用户帐号及密码都是以明码方式 在网络上传播 ，任何人窃听或截获用户密码及帐号，都可以伪装成该用户进行相关破坏活动 。 针对广电总局的 OA 业务系统，应通过相应的安全增强手段加强 OA 业务的安全性，具体参考如下： 1. 采用 SSL 加密访问机制提供 OA 业务服务。确保用户在进入自己 OA 系统时的帐号、密码以及随后的通讯数据的安全性。 2. 采用 CA 认证机制，建立维护广电总局 OA 用户的证书管理中心。 采用 SSL 及 CA 认证 系统需要满足以下安全需求： 1. 身份认证 每个使用者必须拥有唯一的可靠的身份认证标识，安全系统能够对每个访问者的身份进行有效识别，使用者也要对安全系统进 行认证，也就是使用者 系统之间的双向身份认证。 2. 访问控制 对不同的信息资源和用户设定不同的权限，系统根据每个访问者的身份确定他的访问权限，保证只允许授权的用户访问授权的资源。对于 OA 资源中的目录和文件进行细粒度的权限划分，确保每个使用者只能访问授权的 OA 资源。 3. 数据保密 信息的传输过程加密，保证通信内容不被他人捕获，不会泄露敏感信息。 4. 数据完整性 对关键的数据信息，防止信息被非法入侵者篡改。 5. 防止否认 防止信息发出者对自己发出的信息进行抵赖，提供数字化的操作信息凭证。 身份认证 身份认证采用基于证书的公钥 密码体制来实现。 公钥密码算法 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 20 页 共 34 页 公钥密码算法使用两个不同的密钥，即解密密钥 Kd（私有密钥）和加密密钥 Ke（公开密钥），信息加密时使用 Ke，密文解密时使用 Kd。 Kd 和 Ke 是紧密相关，一一对应的。一般统称私钥 Kd 和公钥 Ke 为“公私密钥对”。公私密钥对由特殊的密码学算法产生，密码学的理论可以保证，在人类现有的计算水平下，由公钥 Ke 推算出私钥 Kd 是几乎不可能的。使用者在使用时，将自己的私钥 Kd保存起来，而将自己的公钥 Ke 对外公开。 证书（ Certificate）和证书中心 CA（ Certificate Authority） 要实现基于公钥密码算法的身份认证求，就必须建立一种信任及信任验证机制，即每个网络上的实体必须有一个可以被验证的数字标识，这就是“数字证书（ Certificate）”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明，具有唯一性。 证书基于公钥密码体制，它将用户的公开密钥（ Ke）同用户本身的属性（例如姓名，单位等）联系在一起。这就意味着应有一个网上各方都信任的机构，专门负责对各个实体的身份进行审核，并签发和管理数字证书，这个机构就是证书中心 CA。 CA 用自己的私钥对所有的用户属性、证书属性和用户 的公钥进行数字签名，产生用户的数字证书。 在基于证书的安全通信中，证书是证明用户合法身份和提供用户合法公钥的凭证，是建立保密通信的基础。因此，作为网络可信机构的证书管理设施， CA的主要职能就是管理和维护它所签发的证书，提供各种证书服务，包括：证书的签发、更新、回收、归档等等。 目前，国际电力联盟 ITU 发布了数字证书的国际标准 X.509V3，下图是X.509V3 证书格式的示意图： 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 21 页 共 34 页 认证协议 安全套接层协议 SSL（ Secure Socket Layer） 安全套接层 SSL 协议目前 Internet 上使用最广泛的安全协议，两大主流浏览器 Netscape Navigator 和 Microsoft IE以及绝大多数的 Web服务器均支持标准的 SSL3.0 协议。该协议向 TCP/IP 的客户 /服务器模式提供了客户端和服务器的身份认证、会话密钥交换和信息链路加密等安全功能，已成为事实上的工业标准。 SSL 认证协议有以下特点： 对等方实体可以使用非对称密码算法（例如 RSA， DSS 等）进行认证。 可以实现双向的身份认证。 共享秘密的协商是保密的。即使攻击者能够发起中间 人攻击，协商的秘密也不可能被窃听者获得。 协商是高度安全可靠的。攻击者不能在不被发现的情况下篡改协商通信数据。 访问控制 访问控制采用集中式的权限控制中心，验证该使用者是否有权限访问特定的资源（文件）。并根据权限中心来完成。安全管理员在权限控制中心为每个使用 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 8808-7212 传真 : (8610) 8808-7300 Email: URL: 第 22 页 共 34 页 者设定权限。在使用者登录 OA 服务器的时候， OA 服务器的安全系统会访问权限控制中心，验证该使用者是否有权限访问特定的资源（文件）。并根据权限进行允许或拒绝。 权限控制中心采用 LDAP（轻量级目录访问协议）目录服务器来存储使用者的权限。 信息保密 在身份认证 通过之后，使用者和安全系统之间使用 SSL 协议建立安全加密连接。 SSL 协议中，生成会话密钥的步骤如下： 交换 hello 消息以协商密码算法，交换随机值。 交换必要的密码学参数，使客户和服务器能够协商 premaster secret。 交换证书和密码学信息，使客户和服务器能够进行相互认证。 使用交换的随机值和 premaster secret 生成主秘密 master secret。 通信双方将根据主秘密 master secret 计算出此次通信的会话密钥，进行安全通信。 数据完整性与不可否认性 数据的完整性与不可否认性 通过基于公钥密码算法的数字签名来实现。 数字文摘算法（ HASH） 数字文摘算法可以将任意长度的数据信息制作成一个固定长度的“文摘”，这个文摘保存了原来信息的一些特征，但是又不可能从这个数字文摘恢复出原来的信息内容，就象图书馆的书刊索引一样。数字文摘算法主要用于保证信息的完整性。常用的数字文摘算法主要有 MD5、 SHA-1 等。 数字签名（ Digital Signature） 数字化的重要信息（例如电子商务交易信息）是以数字形式出现的，不能用手工的纸笔方式签字盖章，所以必须有一种方式来保证这些“重要的数字流”在传 输中不被篡改、伪造，并且使信息发出者不能否认自己曾有过的行为。这种方 北京