广电总局网络安全技术建议书_外.doc

广电总局网络安全技术建议书一、 综述1.1 建设背景广电总局外部网目前承载着广电总局对外官方网站、电子邮件、dns系统、视频点播、主机托管以及广电总局用户访问internet等一系列业务功能。目前，该网络通过两条出口链路接入互联网。随着广电总局网络功能和业务的发展需求，网络安全作为信息化建设中必不可少的一项工作，以逐渐提现出其重要性。首先，在广电总局外部网络的日常运维过程中，出现了一定的安全问题（目前，外网的部分托管主机依旧存在nimda病毒）。其次，随着信息化工作的开展以及广电网络的建设，广电总局的网络及部分业务面临着结构调整和对外开放也对网络安全提出新的要求。所以，为了保障广电总局网络系统资源的安全和稳定运行，迫切需要建立一个统一的安全防护体系，从而为广电总局的网络业务提供高质量的信息服务。本次项目主要是针对广电总局外部网络的安全提出解决方案，涉及防火墙系统、安全审计系统、网络型入侵检测系统、防病毒体系、垃圾邮件系统、安全管理、系统安全增强及性能优化以及未来与广电总局直属机关互联互通时的安全相关技术和建议。1.2 网络现状及安全需求广电总局外部网络的网拓扑结构可以用下图表示：广电总局广域网拓扑sun e3500：两台。web主服务器，其中一台闲置。sun a5100：磁盘阵列e220r：两台。一台为邮件服务器，另一台为主dns服务器。e250：两台。一台为辅dns，另一台闲置ibm netfinity 4000：两台，视频服务器。ultra 10：外网网管服务器外部网络结构由两台cisco 6509承担外网核心交换工作，目前只有一台6509处于工作状态。在该交换机上划分vlan。不同出口链路经过防火墙后进入vlan201（512k链路dmz口）、vlan202（512k链路与2m链路trust口）与vlan301（2m链路dmz口）。其中，vlan201主要包含广电总局托管服务器，vlan301包含web服务、mail服务、dns服务及视频服务，员工桌面机通过各2926与3548交换机汇聚至vlan202，通过防火墙nat进行internet访问。直观看来，此网络已经具有了一定的安全性，外网与intenet部署了防火墙系统进行防护。但是，仔细分析我们可以看出，这个网络仍然存在很多安全隐患。l 虽然划分了vlan，但是重要业务主机（web/mail/dns）全部集中在一个vlan内，不利于风险的分散原则，也容易造成单点故障。l pix520防火墙系统未设置严格的访问策略，只对员工桌面机设置了nat，对于入侵者来说防护效果较不理想。l mail系统用户帐号及密码以明码方式在网络上传播。如果恶意用户在网络中安装网络分析软件，可截获用户密码，冒充正常用户身份进行邮件的收发。l 网络缺乏统一的病毒防护、查杀及隔离措施，一旦某台主机感染病毒，会在短时间内造成病毒在广电网络中的广泛传播，（目前外网部分主机依旧被nimda病毒感染）。l 目前广电外网安全只单纯依赖被动型的安全手段如防火墙，而缺乏主动发现型的安全手段，比如安全漏洞审计系统、入侵检测系统等。无法防患于未然。l 缺乏对攻击的监测和记录手段，比如入侵检测系统、日志服务等，无法有效的发现安全事件，也没有举证手段。由于存在众多安全问题，所以迫切需要建立一个统一的安全防护体系，保障广电总局外部网络系统资源的安全和稳定运行，从而为广电总局各部门、各用户提供高质量的信息服务。以下我们将从网络结构安全结构、网络安全技术、防病毒体系及安全管理等几个方面阐述我们的安全建议。1.3 安全设计原则l 整体性原则安全作为一个特殊的技术领域，有着自己的特点。安全问题必须遵从整体性原则，网络中的任何一个漏洞或隐患都可能造成整网的安全水平的降低。网络安全系统应该包括三种机制：安全防护机制；安全监测机制；安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少攻击的破坏程度由于业务的发展及网络安全需求，广电总局外部网络业务系统目前相对简单。但是，随着信息化发展的需求，处于严格控管下的互联互通将是网络发展的趋势。因此在本次设计中，我们从全网角度出发，关注广电信息化建设的目标，各广电各业务系统安全，根据各业务系统特点提出从防护检测回复的完整的解决方案，而不是治标不治本。l 集中性原则安全重在管理，所谓“三分技术，七分管理”阐述了安全的本质。而安全管理重在集中。广电总局的设备和主机类型较多，业务系统涵盖广电各个部门及相关机构，业务模式相对复杂且管理机构和管理模式也千差万别。在全网安全方案的设计中，无论是安全管理制度的制定和施行，或是安全产品的选型和实施，还是长期安全服务方案的制定，我们都将根据集中性原则，目标是实现对各设备和业务系统的集中安全管理以及安全事件发生后的集中响应，这些都将依赖于管理制度统一的、集中的制定和施行。l 层次性原则在广电总局外部网络安全方案设计中，无论具体的软硬件部署，还是管理制度的制定，我们都遵循层次性原则。安全问题的层次性原则集中在两个方面： 管理模式的层次性在广电总局外部网络中，由于涉及到跨部门及机构的人员以及地点，需要一种层次性的管理模式。比如，用户管理需要分层次的授权机制；防病毒体系的病毒库分发或报警也需要分层次机制；安全紧急响应的流程也需要建立分层监控，逐级响应的机制。 防护技术的层次性层次性还表现在防护技术上。针对业务系统的防护往往有多种防护设备和手段，我们需要根据业务系统特点提出多层次防护机制，保证在外层防护被入侵失效的情况下，内部防护层还可以起到防护作用。另一方面，各层之间的配合也是层次性原则的重要特点之一。l 长期性原则安全一向是一个交互的过程，使用任何一种“静态”或者号称“动态”防范的产品都不能解决一直在发展的系统安全问题，所以我们针对安全问题的特点，提供针对广电总局外部网络全面的安全服务，其中包括设备产品的技术支持和服务以及安全审计、安全响应等专业安全服务。二、 统一的安全防护体系在整个安全项目设计过程中，我们始终遵循统一的安全原则，从全网安全管理角度出发，关注于各业务系统的安全，目标是为客户建立统一的安全防护体系。2.1 网络系统安全基于以上四个原则，我们为广电总局设计了如下的安全解决方案。下面，按照“层层设防”的安全理念，我们将从整个网络安全系统的基础网络系统的结构开始，逐步阐述从出口链路到网络核心交换区域、到重要业务系统和用户桌面机网段的不同安全策略和安全产品的选型原则和实施建议。2.1.1 网络结构安全首先，通过如下的示意图，我们可以更加清晰的了解本方案对广电总局外部网络的安全结构。在经过上述调整之后，我们可以看到，考虑到未来广电总局将使用一条新的10m光线出口链路，并保留目前的一条出口链路作为备份链路，我们建议在出口接入路由器上运行动态路由协议，保持两条的链路互为备份。在接入路由器后，利旧原有的pix520对进出网络流量进行基础安全防护。原视频服务器与主dns服务器放置在该pix520的dmz口所在vlan，而其他业务放置在该pix520的intrust口所在vlan.。核心交换依旧是两台cisco 6509高性能的高端交换机，我们建议所有提供服务的主机不再直接连接在核心交换机上，以备网络扩容需要。各业务及用户网段的vlan划分在工程实施时提供详细vlan划分及ip地址分配原则。其次，在新的拓扑中，重要业务系统如web系统、dns/mail等公共服务器利用新增防火墙划分更高层次的安全隔离，建立起用户到业务网段的安全等级与安全隔离。任意一个网段对网络业务的访问都利用防火墙作了隔离，大大提高了网络的安全性，在防止攻击、病毒/蠕虫扩散等方面都能够起到很大作用。第三，在原先网管系统的基础上，建立新的网络管理及安全管理网段，该网段集中了网管、审计、日志、入侵检测及病毒管理中心等安全及网管主机，日常运维中通过各类安全技术收集整网安全信息，提供运维人员整网状况。通过在6509上实行一定的访问控制及安全策略，限制其他网段对该网段的非正常访问。从而确保该网段的安全性。第四，在6509核心机上通过背板管理端口或端口镜像技术将需要检测网络流量镜像到新增的网络入侵检测系统，该系统可在不影响正常网络流量的基础上对需要检测的流量进行不间断的检测和报警。2.1.2 网络安全技术 防火墙系统如前图所示，根据广电总局外网整体安全层次的划分需求，我们将对广电总局外网划分五个安全等级：web系统级、mail/备份dns级、网络管理级、普通用户级、视频服务/主dns级。web系统级：安全级别最高，包含广电总局官方网站主机，由于广电总局的网站是整个广电系统的门户站点及信息发布平台，此系统容易成为入侵者的首选目标，且发生问题也会导致不良的政治影响，因此对这类级别的安全防护需求最高。对于这类系统，建议使用两台防火墙工作在fail-over模式下，通过在防火墙上设置严格的策略，对每个需要访问业务系统的用户进行严格限制。mail/备份dns：安全级别仅次于web应用系统，包含广电总局的邮件应用系统与备份dns系统。其中，邮件系统是广电系统应用的必不可少的一个重要业务系统。而dns系统如果受到攻击而停止服务，也会导致整个网络的瘫痪，备份dns在主dns受入侵或出现故障时可继续提供域名解析服务。网络管理级：安全级别次于mail及备份dns系统，包含广电总局外网网管系统及新增的安全管理系统，这类系统如果遭受入侵或干扰，将暴露整网结构及相关信息，间接影响整网的安全状况。网管系统及安全管理系统将收集、配置、管理广电总局外部网络，这些系统拥有对网络设备及主机一定的管理权限，并存贮整网的相关信息，所以需要对网管系统及安全管理系统进行较高级别的安全防护，由于网管及安全管理系统需要开放的端口较多，因此我们建议在网络管理级前不部署防火墙系统，依靠主机自身安全增强及强加密认证系统提高系统安全防护能力。普通用户级：安全级别较管理级低，用户为总局内部员工，由于用户可直接访问internet，因此，用户对互联网的访问行为将带来很大的危险性，我们建议将所有用户的出口访问都通过最外层的防火墙进行安全策略的规范，防止由于用户的有意或无意过时导致的安全隐患的发生。视频服务/主dns级：由于视频服务的组播技术目前的防火墙不能够很好的支持，因此我们将视频服务独立出来，不提供进一步的防火墙防护。出于防止单点故障的原因，我们建议将主备dns系统分别放置在不同vlan内，并分别配置不同网段的ip地址，防止由于拒绝服务攻击造成两台dns同时停止服务（注：2000年微软公司4台dns服务器由于其中3台部署在一个c类地址内，而造成该三台dns主机同时被拒绝服务攻击导致大面积主机地址无法解析）。因此，我们建议将主dns服务器至于此网段内。由以上五个安全等级划分出发。我们在对网络机构调整的基础上，将利用防火墙技术对不同安全等级的系统进行安全等级的划分，不同等级之间的访问依靠防火墙策略进行严格规定，确保在防火墙规范下的网络中的流量模型是包含实际业务模型的最小集合。防火墙上实施如下策略原则如下：1. 默认关闭防火墙上的所有访问规则2. 允许内网访问dmz口的必要服务3. 禁止dmz口到内网、外网到内网、外网到dmz的访问4. 允许内网、dmz对外网的访问，也可根据需要添加必要的限制策略 网络入侵检测系统的安全考虑入侵检测技术是当今一种非常重要的动态安全技术，与传统的静态防火墙技术共同使用，将可以大大提高系统的安全防护水平。icsa入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的核心技术之一。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，从理论的分析方式上可分为两种相异的分析技术： 1. 异常发现技术。2. 模式发现技术。目前，国际顶尖的入侵检测系统ids主要以模式发现技术为主，并结合异常发现技术。基于以下因素的考虑，我们建议在此次工程中部署基于网络的入侵检测系统。1. 网络的快速增长和复杂程度的提高将产生大量的安全隐患。我们必须及时高效地发现这些入侵并加以处理，否则可能遭受很大的损失。2. 广电总局自身网络系统的结构目前虽然并不复杂，但随着出口链路带宽的提高和网络规模的发展，为了进一步的提高安全事件的即时响应和举证能力，必须具备某种手段对可能的有意或无意的攻击作出检测、告警并留下证据。3. 虽然在上述的改造方案中已经为广电总局外网部署了防火墙，对网段起到了一定的保护作用，但是很多攻击手法是防火墙无法阻挡的，比如对web server的基于异常url的攻击，具体体现的例子有code red、nimda等等很多。如何及早发现这类攻击方式并处理，是必须解决的问题之一。4. 防火墙虽然可以挡住某些攻击，但是通常无法留下细节的攻击记录，这对分析攻击行为以及调查取证带来了很大困难，而入侵检测系统刚好可以解决这一问题。5. 为了规范广电总局外网用户对internet的访问行为，同时提供一种对用户访问行为的监控机制和与相关管理制度的执行对照机制，依靠基于网络的入侵检测系统可以提供一定时期内基于用户或基于协议的访问统计数据，用来更好的检验相关管理制度的执行情况，为后期网络策略的调整和规划提供依据。在选择入侵监测系统时需要考虑的因素主要有：1. 管理模式2. 协议分析及检测能力；3. 解码效率(速度)；4. 自身安全的完备性；5. 精确度及完整度，防欺骗能力；6. 模式更新速度。根据广电总局的具体网络状况，我们在广电总局外网中部署一套套基于网络的入侵检测系统。这套入侵检测系统部署在核心交换机上，（由于性能问题，原则上不对视频点播系统进行检测）。检测所有来自internet对web、mail及dns的请求和用户对internetd的访问情况。网络ids系统主机都配置两块网卡，一块用于监听网络流量，一块用于接受管理中心的管理。需要在防火墙和交换机上设置相应规则以保护入侵检测主机。此外，在核心交换机上设置port mirror将需要检测的vlan的流量映射到对应的监听网卡所连接的端口。同时，在管理网段再配置一台pc server，安装入侵检测系统的管理端，如果未来由于扩容等性能问题需要增加网络入侵检测系统时，该管理端可做为全部入侵检测系统的集中控制台。广电总局网络系统入侵监测系统部署拓扑图 安全审计系统网络型扫描软件从网络角度发现主机开放服务，同时模拟黑客入侵对主机或网络设备进行侦测性刺探，从而发现主机或网络设备的安全漏洞。一方面网络型扫描软件可以帮助用户实时检测网络漏洞，另一方面，也是进行全网安全审计的重要工具。我们建议在广电总局外网部署网络扫描软件。该系统部署在管理网段内，对外网各业务系统及用户主机定期进行扫描审计，并存贮相关审计信息。对于网络扫描审计产品的选型，考虑如下因素：l 体系结构：client/server结构的扫描审计软件具有集中管理的优势，利于电信环境部署及扩展；l 攻击模式库数量：应对多种攻击模式均支持；l 软件更新速度快；l 中文化和本地化支持；建议扫描审计软件对全网主机和设备的安全审计信息均存放在管理网段的数据库中，其中包括主机的操作系统版本、漏洞情况、patch情况等安全信息。一方面，网管人员可以通过这个集中安全数据库查询全网安全状况，另一方面，在发生安全事件或紧急响应时提供给我们和客户迅速了解受害机情况，找到对策，减少损失。同时，扫描审计软件应提供相关接口，便于用户输入设备安全信息，也进一步增强该软件的决策支持能力。由于目前在安全扫描审计软件中，都存在一定的安全威胁，扫描软件中的部分攻击模式库存在对网络主机和网络资源的潜在危险性。因此，对于扫描审计系统，必须在严格的安全代价分析和详细的扫描模式库选择下进行实施，通常对于重要的业务系统，要根据系统主机的负载情况制定不同时间段的扫描计划，从而获得全面的系统安全状况。因此，我们建议在安全审计系统中，应采用服务与产品相结合的方式，由专业安全服务公司制定专业的审计流程和定期的安全审计服务。， 日志分析系统由于全网存在众多网络和主机设备，但缺乏统一的日志管理系统，我们建议在安全管理网段部署一套日志分析系统用于网络设备和主机系统的日志管理。建议采用三级结构的日志分析系统，第一级为需要记录日志的主机或设备，该主机配置syslog日志指向日志服务器；第二级为日志服务器，负责日志接受，同步处理入数据库以及日志的统计分析；第三级为日志服务器的console，用于配置日志系统安全策略，接受日志系统报警和监视日志系统分析统计结果。对于日志分析系统的产品选型，考虑如下因素：l 集中收集和监控系统日志。l 日志收集和分析agent与console运行在不同平台，两者的分离使日志分析系统更具有层次性结构的特点，便于未来升级和集中管理。l 每秒接受日志的速度。l 日志服务器应支持常用数据库，可将日志信息存储在数据库中。l 持多种设备类型及数量，是否支持标准syslog协议。l 是否提供二次开发接口。2.1.3 防病毒体系对于广电总局来说数据的安全是最重要的，而病毒是对数据造成严重威胁的主要因素之一。然而保护网络免受愈演愈烈的计算机病毒威胁已不是一件简单的事情。目前已知的计算机病毒超过20，000种，并且每月发现的新病毒超过300种，即每天都有10余种新病毒出现。很多事实表明，病毒比其他安全威胁造成的经济损失都大的多。从cih到code red，以及最近的nimda计算机病毒的相继发生，造成信息传输量暴增、系统负荷量过重等问题，凸显出网络安全防病毒机制的迫切需求。传统的防病毒策略往往只注重桌面平台的病毒防范，就像目前广电总局内部曾经购买的瑞星防病毒单机版。这样虽然可以保证桌面平台避免病毒的威胁，但没有从根本上杜绝病毒在网络上传播，无法解决由于病毒造成的网络流量异常、系统服务过载等这类严重威胁网络正常服务的问题。随着分布式网络计算、文档驻留宏、群件等新技术的出现以及网络的广泛应用，网络早已经成为病毒的主要传播途径。网络的脆弱性成倍增加，保护计算机网络已不再是简单的在客户机上安装桌面病毒扫描程序就可以解决的问题了。面对当前的网络安全形势，我们迫切需要一套单一、集中、全面的防病毒解决方案。在防病毒产品的选型上，我们认为一个成熟优秀的、高效可靠的防病毒产品应具有以下特点：l 先进的体系结构设计l 先进的防杀病毒技术l 能够在线实时查杀病毒l 准确无误的报警功能l 及时、方便地更新病毒定义代码l 快速、有效地处理未知病毒l 多平台的支持l 功能强大的控制台，便于管理与维护而针对网络这个层次而设计的防病毒产品，我们认为其重要功能还应该包括能够对网络进行实时病毒监控、支持病毒有效地隔离。针对目前世界上主流的病毒产品和国内知名的病毒产品，包括mcafee virusscan、norton antivirus、kill系列、vrv、trendmicro interscan等产品，应从综合评估，包括反病毒的整体解决方案、查杀病毒的技术和种类、系统资源的占用、扫描病毒的方式、处置病毒的方式、日志的管理、病毒库的及时更新以及各公司的技术实力和对广电总局外网的实用性等方面考虑。建立全方位、多层次的、整体的网络防病毒解决方案。2.2 业务系统安全2.2.1 web业务的安全www子系统是广电总局的一个重要应用，一般情况下，web server主要用来向用户提供公开的信息服务，也是总局对外宣传、开展业务的重要基地，web server作为internet用户访问公司内部资源的通道之一，其被发现的安全漏洞越来越多。为了防止web服务器成为攻击的牺牲品或成为进入广电总局外网的跳板，我们需要给予更多的关心。我们可以采用如下几种手段保护：l 将web服务器置于防火墙保护之下。 通过设置防火墙，可以有效的控制允许外界访问的服务端口，减少安全风险。本次建议将其部署在第二层防火墙的intrust区。l 在通往web服务器的网络路径上安装基于网络的实时入侵监控系统。l 利用日志系统经常审查web服务器配置情况及运行日志。确保web服务器不会因为错误配置导致安全问题，例如泄漏系统文件或者目录列表等等。运行日志中可能会包含入侵者的入侵探测痕迹，例如cgi扫描等等。l 运行新的应用前，先进行安全测试。在安装新的应用时，需要确保使用最新的版本，如果不能这样，也应当保证安装了该软件的最新补丁。如果是自己开发的应用，更需要严格进行源代码审计，确保没有严重安全问题。l 认证过程采用加密通讯(例如ssl)或使用x509证书模式。l 小心设置web服务器的访问控制表。只允许指定或者可信任的主机登录www服务器。l 全面检查www服务器中的cgi程序，降低由cgi带来的安全风险，同时要提高程序开发人员的安全意识对广电总局而言，web server将用来作为重要数据发布的窗口。也是威胁的主要来源，我们建议将其与发布数据库放在防火墙的intrust区，并实施基于网络的入侵检测。当然www主机本身需要专门的安全工程师作安全审计和加固服务。依靠专业的安全服务，对web系统(包括各种unix系统以及windows nt/2000)的www服务器都有进行安全配置，最大限度的增强主机系统的安全性。2.2.2 mail系统的安全广电总局的电子邮件系统主要用于内部员工与外界进行信息联络，是网络与外部必须开放的服务系统，虽然流量不大，但是对可用性要求是很高，而且很有可能成为攻击者的跳板和入口。加强电子邮件系统的安全性，我们提出如下办法：l 将电子邮件服务器置于第二层防火墙的dmz区，和内外网都实现有效的隔离，防治黑客利用此主机作为攻击的跳板。l 为该邮件服务器实施主机安全增强服务，消除操作系统自身的安全漏洞。l 要求软件供应商升级到最新的安全版本。l 由于目前的垃圾邮件是主要的病毒传播和拒绝服务攻击手段，因此，我们建议对广电总局的邮件系统实施防垃圾邮件措施。具体措施考虑如下原则：n 跟踪技术按照rfc 822规范，每个邮件服务器会将其客户端的地址信息和自己的信息加入到信头的received字段中，这样所有的received字段合起来就可以显示邮件传输的路径。垃圾邮件的发件人无论通过何种技术，都无法隐藏其来源地址。如果是动态的地址，可以通过联系发件人使用的第一个smtp服务器的管理员来协同解决问题。n 垃圾邮件识别垃圾邮件识别是一个比较复杂的问题。目前还没有一个比较全面的方法去识别。通常可以通过模式识别来进行。可以采用的方法有：l 通过received行来判断是否是垃圾邮件发送者；l 通过群发软件在信头中插入的标记来识别；l 通过垃圾邮件发件人不当的设置而在邮件中留下的标记来识别；l 通过标题或邮件内容里的模式或关键字来识别；常用的群发邮件程序，包括diffondicool、flashsend等，在其生成的邮件中都包含了特定的标记；而很多垃圾邮件发送程序使用mimeole来进行。垃圾邮件识别是动态的过程，要不断地更新模式库才可以阻止大部分的垃圾邮件。n 收件人数量限制对收件人数量进行限制可以有效降低垃圾邮件。有两种做法：限速或中止。限速的做法是服务器接收到超过限制数量的收件人地址后，不做响应，插入很长时间的等待（例如5秒），然后再响应，这个等待是可配置的；如果收件人数量非常多，每增加一个收件人，会插入同样的等待时间甚至递增的等待时间，最后，垃圾邮件发送者会因为速度太慢而停手；中止的做法是在服务器接收到超过限制数量的收件人地址后，立刻返回错误信息，并中止连接。这种方法会导致垃圾邮件发送程序立刻连接，而导致系统忙于应付不停的连接、中止操作中；而限制如果过低，会影响正常的工作，限制过高，可以调整垃圾邮件发送程序另外，也可以实现限速中止，就是说服务器在接收到超过限制数量的收件人地址后，等待较长时间然后中止。n 速率限制对发邮件的速率进行限制，通常是对每连接可以发送的邮件的限制。限制方法与收件人数量限制类似。n 实时黑名单实时黑名单（realtime blackhole list，简称rbl）是建立于dns系统上的黑名单系统。maps（mail abuse preventing system） rbl是一个动态维护的系统，它将确认为垃圾ip地址放在dns记录中，供smtp服务器进行查询。例如，如果ip地址为的ip被确认为是垃圾邮件的来源，rbl查询域为，则可以查询到记录：.. in a 如果一个smtp客户连接上来，可以通过检查其ip地址是否有相应记录在rbl中来确认它是否是垃圾邮件来源。需要注意的是，国内不少著名的大型免费邮件提供商的服务器都被列入过rbl，所以采用rbl时要确认是否有必要，和估计相应的风险。2.2.3 dns业务的安全广电总局外网拥有两台dns主机，负责对内外网的域名查询任务。dns系统的安全威胁主要来自以下几个方面：n 监听向dns server发的查询id，实现欺骗攻击；n 针对dns服务器链缺陷的报文放大技术，使一个主机的带宽消耗殆尽的dns smurf 攻击；n 域名劫持(这一攻击用于在有make changes功能注册域名的公司)；n bind存在的远程缓冲区溢出的漏洞；n 非法区域传输问题；因此，对于广电总局外网的dns系统的安全，我们有如下建议：1. 将贮备dns服务器置于不同ip地址段内，防止由于拒绝服务的攻击造成dns停止服务。2. 通过将其部署在防火墙内，限制用户对该业务主机其他服务的访问，只开启dns服务端口（53）和相关管理端口（22，23等）。3. 依靠入侵检测系统及日志分析系统对该业务主机进行详细的访问记录审核，并保留相关记录。4. 对于操作系统，建议实施专业的saloris安全增强服务，优化系统主机性能，强化主机的安全性。5. 日常运维及管理用户通过一次性口令集中认证访问系统，确保密码的安全性，以及指令的安全性。目前，广电总局外网的dns采用的bind，该软件自身存在多种安全隐患，建议实施dns系统的专业安全增强，确保dns业务的正常运转，具体内容可参考如下：1. 限制域传输2. 配置主备服务器间认证3. 防止dns欺骗4. 禁止转发查询5. 设置allow query6. 设置重试查询次数2.3 信息安全管理中心全网安全管理中心的建立对于广电总局全网安全有着非常大的意义，通过安全中心可以动态了解和控制全网安全状况。一方面针对全网的安全设备进行集中管理，另一方面，可以利用集中管理软件收集全网网络和主机安全信息，用于安全分析和统计，进而对全网安全进行决策和支持。我们建议该安全管理中心分为安全决策支持中心和安全设备管理中心。安全管理中心的实施拓扑如下图所示：安全管理中心实施拓扑2.3.1 安全决策支持中心安全决策支持中心实际上是一个由专业安全专家、客户安全人员、安全知识库、安全信息中心软件系统以及专业安全服务共同构成的一个常备安全机构。其中安全知识库主要由专业公司提供的安全信息发布服务提供。而安全信息中心软件系统包括了安全管理中心内的安全审计软件和日志分析软件两大部分。 安全审计中心目前扫描软件包括网络型扫描器，主机型扫描器和数据库扫描器。一方面由于主机型扫描器和数据库扫描器在使用中对系统资源占用较高，另一方面，这些扫描器的性价比较低，所以不推荐使用。网络型扫描软件从网络角度发现主机开放服务，同时模拟黑客入侵对主机或网络设备进行侦测性刺探，从而发现主机或网络设备的安全漏洞。一方面网络型扫描软件可以帮助用户实时检测网络漏洞，另一方面，也是进行全网安全审计的重要工具。 日志分析中心日志中心用于全网设备和主机日志的收集和分析，避免了分散日志的安全性，增加了安全事件的事后可跟踪性；2.3.2 安全设备管理中心安全设备中心包括ids管理中心、防病毒管理中心、一次性口令集中认证系统、日志管理中心和审计中心控制台。l ids管理中心用于网络型ids的策略控制和监控，报警信息将会在控制台上显示或报警；l 防病毒管理中心用于防病毒系统的管理和控制；l 日志管理中心控制台和审计中心控制台分别是日志分析中心和安全审计中心的console端软件，可以实现对这两套软件系统的远程控制和管理。安全设备管理中心，是“集中管理”思想的具体体现。通过一套或几套部署在同一地点的安全管理软件，集中的实现对多个节点的多套安全工具集中的管控，极大的节约了人力资源，提高了管理效率，对降低企业安全系统的tco（总体拥有成本）有很大效果。三、 运维管理及培训方案任何用于主机安全或是网络安全的技术解决方案都必须依赖安全管理规范的支持，而安全管理贯穿在整个网络运维之中的。玛赛在长期大量的安全工程的安全设计和实施中，积累了大量运维工作的安全管理经验，玛赛愿意与广电总局安全运维部门一起分享这些经验。结合目前广电总局业务特点，我们将从安全风险管理，物理安全管理，逻辑安全管理和日常安全管理四个方面阐述安全管理方案。3.1 安全风险管理安全风险管理是确定适当的安全措施的重要步骤。风险管理对于如何提供安全性，在那些方面提供安全性以及所应采取的安全控制的类型和力度等方面都有着重要意义。在广电总局安全运维中，需要通过安全风险管理提供网络中的安全关键点。下面我们首先将针对广电总局进行安全风险评估，以确定什么是广电总局的关键资产，对这些关键资产进行评估以及确定对这些资产出现破坏的可能性。结合广电总局的目前运维情况，我们认为整个网络中比较关键的资产如下表所示：资产说明核心交换机广电总局外网所用的核心交换机防火墙广电总局所用的防火墙接入路由器承担广电总局外网internet接入的接入路由器web业务承担广电总局web服务的主机mail业务提供广电总局内部工作人员使用的mail业务dns业务提供互联网用户及广电总局内部工作人员的dns业务用户资源广电总局目前的用户群管理人员广电总局担负网络运维的人员这里只列出了广电总局外网中一部分最重要的资产，而在长期的安全管理中，需要全局统筹管理，随着业务系统的不断变化，及时更新关键资产的定义，以保证处理操作的一致性和便于资产评估。在确定了广电总局中重要资产后，就需要对这些资产评定价值，一般而言，我们需要对有形资产如路由器等设备，及其无形资产如数据库的数据等，进行资产价值评估。无形资产一般可以用重要程度或关键程度评判其价值。有形资产可以根据更新价值或关键程度等因素进行评判。考虑到实际需求，我们用不同的关键程度等级来划分数据类别来评定广电总局外网资产价值。资产关键程度资产高核心交换机高防火墙中接入路由器高oa业务中公共服务网段高应用服务器网段高用户资源中下面我们将关注于出现破坏广电总局安全的可能性。网络的脆弱性表现在网络中存在的可能被威胁利用的缺陷，如：可能发生外部人员的猜出口令而对网络进行未经授权访问的事件等。对于广电总局网络中关键资源，威胁有如下一些形式：l 窃取或破坏风险管理需要为广电总局建立一套不同类型的敏感数据存储在哪里、数据如何存储以及谁有权访问不同类型数据的的列表，该列表包涵了广电总局中最有价值信息，通过该列表可以对这些数据进行简单的风险计算。在广电总局中，oa信息、路由配置和安全日志等这些数据是需要安全风险管理关注的关键数据，在运维中需要为这些数据提供安全管理策略，例如：l 如何进行备份l 备份文件存储在何处l 如何对数据进行物理保护l 谁有权访问存储数据的介质l 数据完整性遭到破坏后的恢复措施l 网络资源不可用风险管理将包含确定那些网络资源会受威胁及其所造成的损失。在广电总局网络结构中，业务系统的交换机和接入设备都是重要的网络资源，这些资源由于设备失效、自然行为（如水灾、火灾和电击等）、系统升级、错误配置以及ddos攻击等威胁，会造成商业上的极大损失，我们将根据这些威胁和商业损失上的考虑，给定这些资源的相对风险，同时也将给出保证这些资源可用的安全策略。l 业务资源不可用与网络资源不可用类似，广电总局的业务资源，如oa系统、dns系统、等，都会由于某些威胁，造成系统不可用，我们需要给出这些资源的风险评估。以下给出一个简单针对oa系统和dns系统的计算风险例子：威胁的可能性（t）期望的损失值（l）风险（tl）1不太可能1低损失1，2低风险2大概可能2中等损失3，4中等风险3非常可能3严重损失69高风险资源名称所受威胁tl风险oa系统数据被窃取、篡改，dos攻击等236-高dns系统非授权访问，dos攻击等224-中通过这样的风险计算，就可以大致了解整个系统安全高风险的部位，这样就可以有的放矢，针对高风险段采取针对性措施进行防护。当在广电总局所有风险评定完毕后，就需要广电总局网络部门进一步确定广电总局能够接受多高的风险，以及资产需要保护到什么程度。风险缓解是选择适当的控制方式将风险降低到可接受水平的过程。通过把暴露安全漏洞所带来的风险和实施及强制执行安全策略所需要的费用进行比较，就可以确定广电总局可接受的风险水平。如对于办公pc网络之上的cisco 交换机，我们就不值得花钱制定严格的安全策略保护它们。再如：针对dns服务器系统的威胁，我们只要提供防火墙设备对进出该网段的访问进行过滤并提供基本的入侵检测即可，而不需要花费太多额外的资源去保护该业务系统。我们建议与广电总局网络部门协作，每个季度对整网实施一次专业的安全风险评估，在风险评估的基础上提出进一步的安全解决方案，从风险管理的角度为合理分配资源、进一步制定安全策略提供重要依据。3.2 物理安全管理物理安全一直是安全领域重要一环。在系统中，物理安全主要体现在针对物理基础设施、物理设备和物理访问的控制，在广电总局环境中，全网物理安全主要通过机房物理安全来体现。我们将针对广电总局网络系统提供一些机房管理制度建议，同时在全网运维过程中与广电总局运维部门协作不断完善这些制度。l 机房参观访问制度该制度将从参观介绍人和参观对象、参观申请及审批、参观批次和人数、机房参观流程、参观级别定义及其资料管理等方面，为广电总局在运维过程中的客户参观提供安全管理依据。l 机房施工管理制度我们结合以前项目中安全管理的经验，为广电总局制定了如下的机房施工管理制度，广电总局运维部门也可以结合各机房情况改进该管理制度，以求充分切合实际。l 运维值班管理制度值班管理制度是机房管理制度中较为核心的内容，我们将配合广电总局网络部门从值班基本守则、值班工作内容、值班中常见问题处理等多方面提供运维值班管理建议。l 运维故障处理制度为保证广电总局网络的安全运行，保障全网的服务质量，我们为广电总局提供运维故障处理的建议。建议将从故障发现、故障处理流程、故障级别、故障汇报和故障报告等多方面提供全网运维故障处理解决的方法。如下为我们为广电总局设计的故障报告的一个简要格式：l 其他运维管理制度针对广电总局运维实际，我们从设备使用管理、设备文档管理等方面提供设备档案管理制度的建议，同时也提供了关于设备配置更改制度的一些想法。针对某些灾难（电力、空调、水力，火灾），提供了相应的机房灾难应急措施。良好的物理安全是保证整个系统安全的重要部分，广电总局机房管理制度的发展与完善需要广电总局运维部门和专业安全服务商密切协作，在长期的运维中得到加强。3.3 逻辑安全管理逻辑安全管理进一步从技术层面建立一些安全管理制度，诸如用户管理、口令管理、网络设备安全管理和主机系统安全管理的制度。就用户管理而言，我们建议对广电总局设备或是网段的访问必须明确限制到需要访问的个人，我们采取两种管理措施：预防性管理和探测性管理。预防性管理，用于识别每个授权用户并拒绝非授权用户的访问。探测性管理，用于记录和报告授权用户的行为，以及记录和报告非授权访问或对系统、程序和数据的访问企图。在广电总局进行访问控制管理时，我们建议对各网络设备控制台的访问分别分配一个用户口令，而对网络设备的逻辑访问分别采用另一个用户口令。对业务系统的访问控制，建议每个业务系统独立分配相应的用户。对传统传统口令用户，有以下建议：l 选择不容易被猜到的口令；l 在安装完新的网络基础设备后尽快修改默认口令，不要忘记修改控制台访问口令和用于维护目的的口令；l 尽可能限制对口令的访问，尽可能利用某些产品提供的对配置文件口令加密的功能；l 制定指导方针，要求用户多长时间必须更改口令。建议至少在危及到特权帐户的安全或发生重大人事变动时必须更换口令；在口令选择方面，有以下基本原则：l 不要使用登录名，不管以何种形式（如原样或颠倒、大写和重复等）l 不要用名字的第一个、中间一个或最后一个字（不管是现用名还是曾用名）l 不要用最亲近的家人的名字（包括配偶、子女、父母和宠物）l 不要用其他任何容易得到的关于你的信息l 不要使用纯数字或完全同一个字母组成的口令l 不要使用在英文字典中的单词l 不要使用短于6位的口令l 不要将口令告诉任何人l 不要将口令电子邮件给任何人l 如果可能，应该使用大小写混合的字母l 使用包括非字母字符的口令l 使用容易记的口令，这样就不必将它写下来l 使用不用看键盘就可以很快键出的口令针对网络设备和主机系统的安全管理，除了用户身份的验证和认证管理之外，则更多的注