网络安全建设实施方案.doc

1 京唐港股份有限公司京唐港股份有限公司 网网络络安全建安全建设实设实施方案施方案 二二 oo 七年二月七年二月 2 目录目录 1概述概述.3 2网络系统安全建设网络系统安全建设.3 2.1安全现状分析.3 2.2安全风险分析.4 2.2.1物理安全4 2.2.2网络安全与系统安全4 2.2.3应用安全5 2.2.4安全管理5 2.3安全需求分析.6 2.3.1物理安全需求分析6 2.3.2网络安全与系统安全7 2.3.3应用安全7 2.3.4安全管理8 2.4安全实施方案.8 2.4.1物理安全防护8 2.4.2备份与恢复9 2.4.3访问控制9 2.4.4系统安全9 2.4.5网段划分与虚拟局域网11 2.4.6办公网整体安全建议11 2.4.7防火墙实施方案13 2.4.8入侵检测系统实施方案20 2.4.9漏洞扫描系统实施方案29 2.4.10身份认证系统实施方案33 2.4.11安全审计系统实施方案39 2.4.12防病毒系统实施方案43 3异地网接入安全建设异地网接入安全建设.55 3.1接入方式选择.56 3.2安全性分析.57 3.3两种方式优势特点.57 3.4vpn 原理介绍58 3.5vpn 的选型63 3.6财务系统安全防护.66 4机房设备集中监控管理机房设备集中监控管理.66 4.1.1设备及应用系统管理现状66 4.1.2建立机房集中控制管理系统需求66 4.1.3集中控制管理系统方案实现67 4.1.4功能特点68 4.2监控显示系统.68 4.2.1投影显示系统68 3 4.2.2等离子显示系统68 5网络管理中心网络管理中心.69 5.1.1建立网络管理中心需求69 5.1.2网络管理功能实现69 6桌面管理及补丁分发中心桌面管理及补丁分发中心.72 6.1.1建立桌面管理中心需求72 6.1.2桌面管理功能实现74 7网络设备升级网络设备升级.81 4 1 概述概述 京唐港股份有限公司办公大楼网络信息系统目前刚刚投入使用，主要包括 新建大厦、旧办公区办公网络以及部分省市办事处专网，该套网络与 internet 互联，将要实现整个业务系统的办公自动化，包括业务系统使用、数据存储备 份、文件共享、对外宣传等，同时还要为员工相关业务应用及学习提供便利的 上网条件；所以该网络既是办公系统的承载体，也是威胁风险的承受体，在公 司规模日渐壮大的今天，网络规模也相应的在不断的扩大，相关的配套网络及 安全设备虽然具有较新的技术和功能，但还不足以抵御纷繁复杂的互联网的威 胁，整个网络的安全也需要做相应的增强防护，另外从设备及应用的管理角度 来看，可以采取一些智能和高效的管理手段及措施，在保障业务正常运行了同 时，保证系统的安全可靠，减少和简化安全管理，提高系统工作效率。 本方案将着重从安全系统的整体建设及相应的一些网络管理手段上具体分 析，并提出可行性的实施方案，把目前在使用过程中遇到的一些问题解决并防 患于未然，同时为用户提供一整套安全及网络管理措施，把公司网络建设成为 一个符合业务需求、安全可靠、容易管理操作的高质量的办公网络。 2 网络系统安全建设网络系统安全建设 2.1 安全现状分析安全现状分析 京唐港股份有限公司依托于京唐港整体规划建设和发展，将承载着越来越 多的港口业务等工作，特别是随着信息化办公的进一步深入，自动化办公的便 利和效率可以说是公司发展壮大的必要手段；但是京唐港股份有限公司办公大 楼是整个公司信息的核心地带，不但为本地员工及另外一个园区的业务人员提 供各种办公应用服务，而且在各地已经或是将要成立办事处，实现远程办公， 并且各个位置和部门的业务需求又不尽相同，在这种网络结构较为庞大，多层 次、多应用的网络中，安全是一项很重要的任务和保证措施。 目前，该网络已经建设完成，安全手段主要在网络边界处采取了防火墙， 5 在整个网络中部署了网络版杀毒软件和网管软件，其他安全措施主要是依靠个 人的安全意识和行为；现阶段，全网已经爆发了多次病毒感染等问题，一定程 度上影响了办公的效率，所以有必要进一步从技术角度完善安全系统。 2.2 安全风险分析安全风险分析 2.2.1 物理安全物理安全 物理安全层面存在下述威胁和风险形式： 机房毁坏：由于战争、自然灾害、意外事故造成机房毁坏，大部分设 备损坏。 线路中断：因线路中断，造成系统不能正常工作。 电力中断：因电力检修、线路或设备故障造成电力中断。 设备非正常毁坏：因盗窃、人为故意破坏造成设备毁坏。 设备正常损坏：设备软 、硬件故障，造成设备不能正常工作。 存贮媒体损坏：因温度 、湿度或其他原因，各种数据存储媒体不能正 常使用。 2.2.2 网络安全与系统安全网络安全与系统安全 互联网安全隐患：互联网会带来的越权访问、恶意攻击、病毒入侵等 安全隐患； 搭线窃取的隐患：黑客或犯罪团体通过搭线和架设协议分析设备非法 窃取系统信息； 病毒侵袭的隐患：病毒在系统内感染、传播和发作； 操作系统安全隐患：操作系统可能的后门程序、安全漏洞、安全设置 不当、安全级别低等，缺乏文件系统的保护和对操作的控制，让各种 攻击有可乘之机； 数据库系统安全隐患：不能实时监控数据库系统的运行情况，数据库 数据丢失、被非法访问或窃取； 应用系统安全隐患：应用系统存在后门、因考虑不周出现安全漏洞等， 6 可能出现非法访问； 恶意攻击和非法访问：拒绝服务攻击，网页篡改，下载不怀好意的恶 意小程序，对系统进行恶意攻击，对系统进行非法访问等。 2.2.3 应用安全应用安全 身份假冒：缺少强制认证和加密措施的涉密信息系统，关键业务系统 被假冒身份者闯入； 非授权访问：缺少强制认证和加密措施的涉密信息系统，关键业务系 统被越权访问； 数据失、泄密：涉密数据在处理、传输、存储过程中，被窃取或非授 权访问； 数据被修改：数据在处理、传输、存储过程中被非正常修改和删除； 否认操作：数据操作者为逃避责任而否认其操作行为。 2.2.4 安全管理安全管理 安全管理组织不健全：没有相应的安全管理组织，缺少安全管理人员 编制，没有建立应急响应支援体系等。 缺乏安全管理手段：不能实时监控机房工作、网络连接和系统运行状 态，不能及时发现已经发生的网络安全事件，不能追踪安全事件等。 人员安全意识淡薄：无意泄漏系统口令等系统操作信息，随意放置操 作员 ic 卡，私自接入外网，私自拷贝窃取信息，私自安装程序，不按 操作规程操作和越权操作，擅离岗位，没有交接手续等，均会造成安 全隐患。 管理制度不完善：缺乏相应的管理制度，人员分工和职责不明，没有 监督、约束和奖惩机制，存在潜在的管理风险。 缺少标准规范：系统缺乏总体论证，没有或缺少相关的标准规范，各 子系统各自为政，系统的互联性差，扩展性不强。 缺乏安全服务：人员缺少安全培训，系统从不进行安全评估和安全加 固，系统故障不能及时恢复等。 7 2.3 安全需求分析安全需求分析 基于上述的安全风险分析，京唐港股份有限公司信息系统必须采取相应的 应对措施与手段，形成有效的安全防护能力、隐患发现能力和应急反应能力， 为整个信息系统建立可靠的安全运行环境和安全业务系统，切实保障全公司信 息系统正常、有序、可靠地运行。 2.3.1 物理安全需求分析物理安全需求分析 异地容灾：异地容灾主要是预防场地问题带来的数据不可用等突发情 况。这些场地问题包括：电力中断供电部门因各种原因长时间的 中断；电信中断各种原因造成的通信线路破坏；战争、地震、火 灾、水灾等造成机房毁坏或不可用等。这些灾难性事件会直接造成业 务的中断，甚至造成数据丢失等，会造成相当程度的社会影响和经济 影响。通过容灾系统将这种“场地”故障造成的数据不可用性减到最 小。要求灾难发生时，异地容灾系统保证：数据在远程场地存有一 致、可用的拷贝，保证数据的安全；应用立即在远程现场运行，保 证业务的连续性 。 机房监控：机房监控主要是预防盗窃、人为破坏、私自闯入等情况。 监控手段有门禁系统、监视系统、红外系统等。 设备备份：设备备份用于预防关键设备意外损坏。网络中关键网络设 备、服务器应有冗余设计。 线路备份：线路备份主要是预防通信线路意外中断。 电源备份：电源备份用于预防电源故障引起的短时电力中断。 2.3.2 网络安全与系统安全网络安全与系统安全 深层防御：深层防御就是采用层次化保护策略，预防能攻破一层或一 类保护的攻击行为，使之无法破坏整个办公网络。要求合理划分安全 域，对每个安全域的边界和局部计算环境，以及域之间的远程访问， 根据需要采用适当的有效保护。 8 边界防护：边界防护用于预防来自本安全域以外的各种恶意攻击和远 程访问控制。边界防护机制有防火墙、入侵检测、隔离网闸等，实现 网络的安全隔离。 网络防病毒：网络防病毒用于预防病毒在网络内传播、感染和发作。 备份恢复：备份恢复用于意外情况下的数据备份和系统恢复。 漏洞扫描：漏洞扫描用于及时发现操作系统、数据库系统、应用系统 以及网络协议安全漏洞，防止安全漏洞引起的安全隐患。 主机保护：对关键的主机，例如数据库服务器安装主机保护软件，对 操作系统进行安全加固。 安全审计：用于事件追踪。要求网络、安全设备和操作系统、数据库 系统有审计功能，同时安装第三方的安全监控和审计系统。 2.3.3 应用安全应用安全 身份认证：身份认证用于保证身份的真实性。公司网络中身份认证包 括用户身份认证、管理人员身份认证、操作员身份认证服务器身份认 证。鉴于办公网与互联网相连，用户数量较大的，基于数字证书 （ca）的认证体制将是理想的选择。 权限管理：权限管理指对公司办公网络中的网络设备、业务应用、主 机系统的所有操作和访问权限进行管理，防止非授权访问和操作。 数据完整性：数据完整性指对办公网络中存储、传输的数据进行数据 完整性保护。 抗抵赖：抗抵赖就是通过采用数字签名方法保证当事人行为的不可否 认性，建立有效的责任机制，为京唐港公司网络创造可信的应用环境。 安全审计：各应用系统对各种访问和操作要有完善的日志记录，并提 供相应的审计工具。 2.3.4 安全管理安全管理 组织建设：安全管理组织建设包括：组织机构、人才队伍、应急响应 9 支援体系等的建设。 制度建设：安全管理制度建设包括：人员管理制度、机房管理制度、 卡机具生产管理制度、设备管理制度、文档管理制度等的建设。 标准建设：安全标准规范建设包括：数据交换安全协议、认证协议、 密码服务接口等标准规范的建立。 安全服务：安全服务包括安全培训、日常维护、安全评估、安全加固、 紧急响应等。 技术建设：安全管理技术建设主要指充分利用已有的安全管理技术， 利用和开发相关的安全管理工具，提高安全管理的自动化、智能化水 平 。 2.4 安全实施方案安全实施方案 2.4.1 物理安全防护物理安全防护 物理安全是整个系统安全的基础，要把公司内部局域网系统的安全风险减 至最低限度，需要选择适当的技术和产品，保护计算机网络设备、设施以及其 它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算 机犯罪行为导致的破坏过程。 机房建设必须严格按照国家标准 gb50173-93电子计算机机房设计规范 、 国标 gb2887-89计算站场地技术条件 、gb9361-88计算站场地安全要求 进行建设。 通过防盗措施，如装备报警装置防止设备被盗；通过对重要设备电源采用 ups 供电防止电源意外断电中断服务；通过对重要设备或线路冗余备份保持服 务的可持续性。 2.4.2 备份与恢复备份与恢复 对于网络应用实时性要求很高的系统，数据备份措施往往采用服务器的双 机备份。即两台服务器同时安装备份系统，同时在线，互为备份。正常情况下， 10 由主服务器提供服务，备份服务器处于带电但不提供服务状态，一旦主服务器 出现故障，备份服务器自动接管主服务器来提供服务。保证应用服务器能够提 供不间断的服务。 京唐港股份公司应用服务可靠要求较高，而且业务数据存储容量会随着业 务的扩展而增大，并非常重要。为了防止业务数据的丢失和损坏而影响业务办 理，或者在数据出现意外事故时无法恢复，必须对数据库进行备份。根据实际 情况可采用 san 结构存储系统，采用磁带库进行备份并实现灾难恢复。 2.4.3 访问控制访问控制 访问控制是网络安全防范和保护最有效手段之一，据统计分析，完善的访 问控制策略可把网络安全风险降低 90%。网络的访问控制技术可以针对网络协 议、目标对象以及通讯端口等进行过滤和检验，符合条件才通过，不符合条件 的则被丢弃。系统访问控制可以针对具体的一个文件或目录授权给指定的人员 相应的权限，受派者在试图访问相应信息时，需要验证身份、判别权限后才能 进行访问。访问控制的主要任务是保证网络资源不被非法使用和非法访问。访 问控制技术是保证网络安全最重要的核心策略之一。 访问控制策略可以采用三层交换设备 vlan 技术、acl 技术、绑定技术等， 使得不同部门、不同组别、不同用户之间的网络访问达到有效的控制；也可以 通过在不同网络安全域之间加装防火墙等安全设备，利用防火墙的控制策略达 到网络访问控制的目的。 2.4.4 系统安全系统安全 系统安全包括数据库安全和操作系统安全，下面分别阐述。 数据库安全 数据库存放了整个网络中的重要数据，为此需要建立一套有效的安全机制。 加强数据库系统登陆权限管理，加强管理员登陆口令的管理以及数据库远程访 问权限的管理，对数据库采用备份与恢复机制。同时对重要的涉密系统应选用 11 经国家主管部门批准使用的安全数据库，或者对数据库进行安全增强改造、加 固。数据库具体安全要求： 1、用户角色的管理 这是保护数据库系统安全的重要手段之一。把网络中使用数据库的用户设 置为不同的用户组并对用户组的安全属性进行验证，有效地防止非法的用户进 入数据库系统；在数据库中，可以通过授权对用户的操作进行限制，即允许一 些用户对数据库服务器进行访问，具有读写整个数据库的权利，而大多数用户 只能在同组内进行读写或对整个数据库只具有读的权利。在此，特别强调对系 统管理员和安全管理员两个特殊账户的保密管理。 2、数据保护 数据库的数据保护主要是数据库的备份，当计算机的软硬件发生故障时， 利用备份进行数据库恢复，以恢复破坏的数据库文件、控制文件或其他文件。 另一种数据保护是日志，数据库实例都提供日志，用以记录数据库中所进 行的各种操作，包括修改、调整参数等，并在数据库内部建立一个所有作业的 完整记录。再一个就是控制文件的备份，一般用于存储数据库物理结构的状态， 控制文件中的某些状态信息在实例恢复和介质恢复期间用于引导数据库，在实 际操作时，需要为网络的数据库分别指定相应的备份策略。 操作系统安全 目前用户办公计算机采用操作系统还主要基于 windows 平台。其自身安全 需要得到关注，即在日常工作中必须注意对操作系统进行必要的防护。如： 1、定期维护：及时安装漏洞补丁，定期进行完整性检查、配置检查、病毒 检查和漏洞扫描。 2、使用权限控制：用户权限、口令安全。 3、远程访问安全：进行基本的安全配置。 12 2.4.5 网段划分与虚拟局域网网段划分与虚拟局域网 网段划分主要是对 ip 地址进行合理的规划和分配。为确保办公网中各子网 以及用户之间的互联互通和便于部署网络安全基础设施，保证网络正常、安全 运行，需要合理规划、分配外网各部门的 ip 地址。网段划分的方法可以采用各 个部门或机构划分网段，重要的服务器设备划分单独的网段，以便监控网络关 键设备的安全。 虚拟局域网可有效地解决广播风暴、广播攻击、充分利用网络带宽资源。 结合访问控制列表功能，可以极大地增强办公网的安全性，防止网络内用户对 系统相关信息的非授权访问。办公网可按各个职能来划分 vlan，如将领导所 在的网络单独作为一个 leader vlan (lvlan )，技术人员划分为一个 vlan，工作人员划分为一个 vlan，而其它机构分别划作一个 vlan。其共 享服务器（如 email 服务器、dns 服务器、web 服务器等）单独划作一个 vlan (mvlan)。其他服务器如数据库服务器划为 data vlan。 2.4.6 办公网整体安全建议办公网整体安全建议 根据以上的安全风险分析、需求分析和京唐港公司的具体情况，建议从以 下方面考虑进行安全方面的部署： 终端防护终端防护 a. 在系统内所有客户端部署统一管理的企业级防病毒系统企业级防病毒系统。通过防病 毒系统的统一部署，可以防止病毒的感染和传播。这可以解决常见 的计算机瘫痪、网络阻塞等安全问题。 b.在系统内所有客户端部署统一管理的终端安全防护系统。终端安全防护系统。通过终端 安全防护系统的统一部署，可以京唐港公司安全管理制度提供有利 的技术保障措施，保障终端的系统安全和终端的安全管理。 c.在中心部署身份认证登陆系统身份认证登陆系统，终端必须通过身份认证才能进入， 避免非法进入。 边界的防护边界的防护 13 a. 通过防火墙防火墙系统的部署，可以根据不同的安全要求，设置不同的安 全区域，来限制不同信任度区域之间的相互访问，保护各关键应用 服务器系统免受网络上的非法访问和恶意攻击，可以在服务器区的 前端增加一台防火墙设备。 b.通过入侵检测入侵检测系统的部署，帮助系统对付网络攻击，扩展系统管理 员的安全管理能力，提高信息安全基础结构的完整性。 服务器的防护服务器的防护 a. 与客户端一起，在系统内所有服务器部署统一管理的企业级防病毒企业级防病毒 系统系统。通过防病毒系统的统一部署，可以防止服务器免受病毒的感 染和传播。这可以解决常见的服务器瘫痪、信息资产丢失等安全问 题，为服务器病毒防护提供有效的安全保障。 b. 与客户端一起，在系统内所有服务器部署统一管理的终端安全防护终端安全防护 系统系统。通过终端安全防护系统的统一部署，为服务器提供访问控制、 系统的安全、补丁的有效管理、和为服务器的安全管理提供技术保 障措施。 c. 服务器安全加固服务器安全加固，对关键服务器进行安全加固，保证服务器的安全 使用和稳固。 系统安全防护系统安全防护 a. 在办公网系统上部署漏洞扫描系统漏洞扫描系统，可以随时的对网络内的所有终端、 服务器、数据库系统进行扫描，以发现安全隐患。 b. 在系统当中部署安全强审计系统安全强审计系统。根据用户的安全策略制定详细的审计 保护规则，对整个网络和主机中违反安全策略的行为进行阻断，并向管 理中心报警。 系统整体安全体系结构图见图系统整体安全体系结构图见图 1： 14 web服务器 邮件服务器 病毒服务器 internet 出出 口口 生生 产产 系系 统统 区区 办办 公公 系系 统统 区区 入侵检测系统 安全审计系统 kvm 审计服务器 网管工作站 旧旧 办办 公公 区区 各各 个个 楼楼 层层 交交 换换 入侵检测系统入侵检测系统 公公 共共 系系 统统 区区 入侵检测系统 网网 络络 管管 理理 区区 图 1： 系统整体安全体系结构示意图 2.4.7 防火墙实施方案防火墙实施方案 实施原则实施原则 （1） 整体性 安全防范体系的建立和多层保护的相互配合； 实现技术、产品选型、质量保证与技术服务的统一。 （2） 先进性 安全技术先进； 安全产品成熟； 安全系统技术生命的周期适度。 （3） 可用性 安全系统本身的可用性； 安全管理友好，并于其他系统管理的有效集成； 避免造成网络系统结构的复杂； 15 尽量降低对原有网络系统的性能影响和不影响应用业务的开展。 （4） 扩充性 安全系统能适应客户网络和业务应用需求的变化而变化； 安全系统遵循标准，系统的变化易实现、易修改、易扩充。 实施策略实施策略 采取核心保护策略，尽可能的以最小的投资达到最大的安全防护。 采用可以提供集中管理控制的产品，同时要求考虑产品适应性可扩展 性，以适应网络扩展的需要。 产品在使用上应具有友好的用户界面，使用户在管理、使用、维护上 尽量简单、直观。 建立层次化的防护体系和管理体系。 防火墙系统部署防火墙系统部署 从京唐港公司网络结构和功能划分上，可以看出，办公网中的服务器区域 是很重要的安全区域，这些服务器承载着整个公司全部网络功能的需求，对网 络安全系数的要求很高，一旦重要服务器遭到攻击破坏，将对整个公司的业务 产生非常大的影响，所以可以在服务器交换机与核心交换机的连接中设置防火 墙设备，根据用户设定的安全规则，在保护内部网络安全的前提下，提供内外 网络通信，是必不可少的安全防御措施。 控制从外网区到安全服务区的访问，确保允许的访问才能够进行，而 其他未经过允许的行为全部被禁止； 限制安全服务区对非安全服务区的直接访问； 防火墙有效记录区域之间的访问日志，为出现安全问题时提供备查资 料； 具体配置情况如图 1 所示，在网络边界处部署一台防火墙作为网络系统与 internet 连接的第一道安全防护，通过防火墙提供的功能来达到访问控制的目 的；另外，在各个系统区的出口处也部署一台防火墙，用来保证各个区域的安 全，制定不同的安全策略，实现对重要服务器系统的防护和访问控制。 16 防火墙安全策略防火墙安全策略 针对公司办公局域网的具体情况，我们建议制定以下的安全策略： 安全区域隔离策略 由于网络安全的整体性要求，为了使网络系统达到一定的安全水平，必须 保证对网络中各部分都采取了均衡的保护措施，但对于公司整个办公网来说都 采用相同的手段是不可能也没有必要的，本办公网可以采用的方法是根据网络 不同部分的重要性划分为不同的安全区域，并着重对其中重要的安全区域进行 隔离和保护。 建议采用防火墙系统审查和控制不同区域之间的通信连接，重点是各服务 器区域与办公网内用户区域之间的连接。 访问控制策略 防火墙被部署后，将根据实际应用需要定义适当的安全策略，针对源地址、 目的地址、网络协议、服务、时间、带宽等条件的实现访问控制，确保不同网 络区域之间的授权、有序访问，特别是防止互联网中非法用户的访问或一些恶 意的攻击。 例如，服务器区域防火墙上可制定如下安全策略： - 允许业务相关的用户区域主机访问本区域服务器的特定端口，拒绝其他 任何访问请求，这样可以保护服务器系统不受非法入侵和攻击； - 缺省规则应该是拒绝一切访问。 本次项目我们将在实施的过程中，根据网络的真实环境和应用系统数据交 互的实际需要，来制定详细的访问控制策略。基本原则是开放最少端口。作为 区域边界保护的准则，防火墙的访问控制策略与业务的一致性是保证系统访问 控制策略是否得到实施的关键，因此对防火墙访问控制策略的定期检查和调整 是区域边界保护中要注意的问题。 用户认证和授权策略 选择一种既方便实用又具备足够安全性的用户认证机制，通过防火墙实现 对网络用户身份的可靠鉴别和访问授权管理，防止非法人员盗用合法用户的网 络地址来假冒合法用户访问关键资源，同时也便于针对实际用户进行行为审计。 17 带宽管理策略 我们可以依据应用需要来限制流量，来调整链路的带宽利用。可以在防火 墙中直接加载控制策略，为比较重要的访问定义可用的最大带宽和优先级，确 保为重要的应用预留足够的带宽进行数据交换。 我们还可以定义任意两个网络对象之间通信时的最大带宽。例如，通过防 火墙的带宽管理，可为内部网络的重要用户如领导、网络管理人员等定义进行 网络通信时的最大带宽和优先级，而且带宽分配可以是分层的，例如部门带宽 下面有小组带宽然后是个人带宽等，可以防止带宽被滥用，保证重要的通信的 顺畅。 日志和审计策略 一个安全防护体系中的审计系统的作用是记录安全系统发生的事件、状态 的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图，使 管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。进行信 息审计的前提是必须有足够的多的日志信息。 防火墙系统提供了强大的日志功能，可对重要关键资源的使用情况进行有 效的监控，实现日志的分级管理、自动报表、自动报警功能，用户可以根据需 要对不同的通讯内容记录不同的日志，包括会话日志（主要描述通讯的时间、 源目地址、源目端口、通信流量、通讯协议等）和命令日志（主要描述使用了 那些命令，执行了那些操作） 。用户可以根据需要记录不同的日志，从而为日志 分析、事后追踪提供更多的依据。同时，产生的日志能够以多种方式导出，有 利于网络内部署的安全集中管理平台进行统一的管理。 防火墙选型防火墙选型 由于将各个系统按照区域化分进行分别防护，在总出口处已经部署一台高 性能千兆防火墙，根据流量及应用实际分析，在办公系统和生产系统处可分别 部署一台千兆防火墙，考虑到部分有可能系统采用 vpn 设备，所以可以选择带 vpn 功能模块的防火墙。 产品功能： 功能类别功能项功能细项 18 工作模式路由、透明、混合 支持基于流、数据包、透明代理的过滤方式。 支持对 http、smtp、pop3、ftp 等协议的深度内容过滤。 支持 url 过滤 支持对移动代码如 java applet、active-x、vbscript、jscript、java script 的过滤 支持对邮件的收发邮件地址、文件名、文件类型过滤 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过 滤 内容过滤 动态端口支持协议： ftp、rtsp、sql*net、mms、rpc(msrpc,dcerpc)、h.323、tftp。 对通过的数据进行在线过滤，查杀邮件正文附件、网页及下载文件中包 含的病毒， 病毒库更新 提供快速扫描及完全扫描两种扫描方式 防病毒 系统状态实时监控 基于状态检测的动态包过滤 实现基于源/目的 ip 地址、源/目的 mac 地址、源/目的端口、协议、时 间等数据包快速过滤 支持报文合法性检查 包过滤 可实现 ip/mac 绑定 非法报文攻击：land 、smurf、pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3 、ipspoof 统计型报文攻击：synflood、icmpflood、udpflood、portscan、ipsweep topsec 联动：可与支持 topsec 协议的 ids 设备联动，以提高入侵检 测效率。 端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置 防御攻击 syn 代理：对来自定义区域的 syn flood 攻击行为进行阻断过滤 支持使用一次性口令认证（otp）、本地认证、双因子认证 （secureid）以及数字证书（ca）等常用的安全认证方式 支持使用第三方认证如 radius、tacacs/tacacs+、ldap、域认证 等安全认证方式 支持 session 认证、http 会话认证 支持认证保活功能 aaa 服务 可将认证用户信息加密存放在本地数据库 支持双向 nat 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 网络安全性 nat 支持虚拟服务器功能 支持静态路由、动态路由 网络适应性路由 支持基于源/目的地址、接口、metric 的策略路由 19 支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。 支持 vlan 路由，能够在不同的 vlan 虚接口间实现路由功能。 支持 rip、ospf 等路由协议。 支持 igmp 组播协议 支持 igmp snooping组播 可有效地实现视频会议等多媒体应用 支持与交换机的 trunk 接口对接，并且能够实现 vlan 间通过安全设备传 播路由 支持 802.1q，能进行 802.1q 的封装和解封 支持 isl，能进行 isl 的封装和解封 vlan 在同一个 vlan 内能进行二层交换 生成树支持 802.1d 生成树协议，包括 pvst+及 cst 等协议。 支持 arp 代理、arp 学习 arp 可设置静态 arp 非 ip 协议支持对非 ip 协议 ipx/netbeui 的传输与控制。 dhcp支持 dhcp client、dhcp relay、dhcp server 支持 adsl 接入功能，可满足中小企业的多种接入需求。 接入 支持 pppoe 拨号接入 支持网络时钟协议 sntp，可以自动根据 ntp 服务器的时钟调整本机时 间其它 支持 ipx、netbeui 等非 ip 协议。 支持基于标准 ike 协商的 vpn 通信隧道 支持多种 ike 认证方式，如预共享密钥，数字证书等ike 支持 ike 扩展认证，如 radius 认证等。 支持网关到网关、远程移动用户到网关的 vpn 隧道 在具有 scm 的解决方案中，支持灵活的移动用户到移动用户的隧道。 解决方案 可以和密码机产品，远程客户端产品及 vpn 安全管理系统（scm）共 同组成完整的 vpn 解决方案。 支持 3des、des、国密办等加密算法 支持标准 md5、sha-1 认证算法算法 支持加密卡提供的 md5、sha-1 认证算法 支持 hub-spoke 方式 支持网状连接方式工作模式 支持分级的树状连接方式 支持网络邻居（利用 wins） 支持隧道的 nat 穿越 支持对隧道内明文的访问控制 vpn 其它功能 可同时支持明密传输 支持 welf、syslog 等多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 安全管理日志 支持对接收到的日志进行缓冲存储 20 通过安全审计系统（ta-l），可获得更详尽的日志分析和审计功能,并 能提供员工上网行为管理功能。 可选高级日志审计功能模块，除接受防火墙日志外还能接受交换机、路 由器、操作系统、应用系统和其他安全产品的日志进行联合分析。 支持网络接口监测、cpu 利用率监测、内存使用率监测、操作系统状况 监测、网络状况监测、硬件系统监测、进程监测、进程内存监测、加密 卡状况监测。 监控 可根据配置文件进行错误恢复 报警事件：内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、 “容错”、“测试”等多种触发报警的事件类 报警 报警方式：采用邮件、netbios、声音、snmp、控制台等多种报警方 式，报警方式可以组合使用。 qos 带宽管理 根据 ip、协议、网络接口、时间定义带宽分配策略 支持最小保证带宽和最大限制带宽 qos 支持分层的带宽管理 优先级支持 8 级优先级控制 支持双机热备 双机热备 支持系统故障切换 支持服务器的负载均衡，提供轮询、加权轮叫、最少连接、加权最少链 接等多种负载均衡方式供用户选择。负载均衡 支持生成树协议，可实现链路负载均衡。 支持链路备份功能 支持双系统引导，当主系统损坏时，可以启用备用系统，不影响设备的 正常使用 带宽管理 其它功能 支持 watchdog 功能 支持 web 图形配置、命令行配置 支持本地配置、远程配置配置方式 支持基于 ssh、ssl 的安全配置 支持配置命令分级保护 支持中英文 命令行 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 支持 snmp 的 v1 、v2 、v2c 、v3 版本 snmp 与当前通用的网络管理平台兼容，如 hp openview 等。 支持双系统升级 支持远程维护和系统升级系统升级 支持 tftp 升级 提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调 试和解决问题。报文调试 支持发送虚拟报文 配置管理 配置恢复可以进行配置文件的备份、下载、删除、恢复和上载。 21 其它扩展能力 开放式的架构支持未来方便扩展防病毒、防垃圾邮件、ipsec vpn、ssl vpn 等功能以及各种 vpn 加速卡 技术参数技术参数 1.1000m 光纤接口2； 2.并发连接数50 万； 3.vlan 支持：支持 802.1q； 4.流量管理：支持带宽管理和优先级控制； 5.支持 ip 与 mac 地址绑定； 6.支持 http、stmp、pop3、ftp、socks 代理； 7.支持抗 dos、端口扫描、特洛伊木马等攻击； 8.支持基于 h.323 的视频会议和 voip 语音系统。 2.4.8 入侵检测系统实施方案入侵检测系统实施方案 入侵检测系统概述入侵检测系统概述 入侵检测系统是属于主动防御，它识别大量的攻击模式、并根据用户策略 做出响应。入侵检测系统以实时性、动态检测和主动防御为特点，有效弥补了 其它静态防御工具的不足，完善我们的防御系统，已经成为网络安全系统的必 备设施。 网络入侵检测系统可以对整个网络进行检测和防御，通常由控制中心和探 测引擎两部分组成。探测引擎一般采用专用硬件设备通过旁路方式接入检测网 络。探测引擎全面侦听网络信息流，动态监视网络上流过的所有数据包，进行 检测和实时分析，从而实时甚至提前发现非法或异常行为，并且执行告警、阻 断等功能，并记录相应的事件日志。控制中心是面向用户，提供管理配置使用。 它支持控制多个位于本地或远程的探测引擎，集中制定和配置监控策略，提供 统一的数据管理。 对发现入侵或异常行为，入侵检测系统控制中心能记录、显示详细的入侵 告警信息，如入侵主机的 ip 地址、攻击特征等。通过对所记录的历史报警信息 22 进行分类统计，可形成用户所需要的管理报表。 入侵检测技术入侵检测技术 高性能报文捕获高性能报文捕获 dmadma 和零拷贝技术和零拷贝技术 ids 作为保障信息安全的重要环节，一直发挥着重要作用。目前，由于网 络自身的发展非常迅速，一般的网络局域网主干交换带宽速度由 10/100m 的网 络发展到 1000m，给 ids 带来了巨大的挑战。由于传统的入侵检测系统一般基 于简单的模式匹配实现，在百兆满负荷的网络环境中工作已经相当吃力，而网 络带宽成 10 倍的增加，如果不考虑其它条件，意味着要求 ids 增加 10 倍的处 理能力，因此网络的发展，提出了千兆或更高性能 ids 的需求。而高性能入侵 检测的一个重要瓶颈就在于高速的报文捕获和批量处理分析。 为了提高报文捕获的效率，通过修改网卡驱动程序，使用 dma 和数据零 拷贝技术零拷贝技术，大大提高了效率，如下图所示： dma 和数据零拷贝技术和传统入侵检测报文捕获技术的比较 零拷贝技术省略了 tcp/ip 堆栈的处理，直接将网卡通过 dma 直接数据传 输将报文数据传递到了 ids 系统可以访问的空间，大大减少了传统方式中因为 上下文切换和数据拷贝而带来的系统开销，使用了零拷贝技术之后，系统的捕 包效率大大提高，测试结果是在能够在 1.4g 的 cpu 下，捕获 100 万/秒报文时， cpu 占用率还低于 10%。这种效率完全可以满足在千兆高速环境下入侵检测分 析。 23 支撑平台结构和系统优化支撑平台结构和系统优化 对于整体结构的优化有助于进一步提高 ids 系统引擎的速度。 1. 并行处理 在双 cpu 并行处理机上，通过使用多线程，使得我们可以将多个报文同时 进行处理，为了减少同步带来的代价，使用报文的预分析，然后根据预分析的 结果进行任务分配，将一个报文的所有分析和匹配工作都交给一个工作线程去 处理，多个线程可以同时并行处理多个报文。 2. 使用汇编语言实现关键处理 通过使用汇编语言可以大大减少使用高级语言带来的冗余代码，在核心的 关键处理上如模式集合的匹配上使用汇编语言实现能够大大提高效率。 3. 优化内存分配算法 经过分析在 ids 系统中，会大量的使用内存的分配和释放操作，如果，实 现中都通过系统的分配释放函数来实现会大大影响系统的处理速度。通过使用 简化而且合理的内存分配算法，能够使这部分的代价减少。 通过精简运行的操作系统，使用优化程序技术也是提高入侵检测的性能的 必要条件，同时保证了入侵检测产品的自身安全性。 基于状态的全面协议分析基于状态的全面协议分析 协议分析模块完成 ids 系统引擎中主要的分析工作，对于一个报文在引擎 的处理过程中，报文：分析：匹配1：1：n，这就是说一个报文需要经过一 次分析，再和 n 条规则进行匹配之后产生事件。如果能够通过更准确的分析， 减少匹配的工作，就能够最终提高整个 ids 系统的处理效率。因此协议分析的 准确性和效率对于整个系统的处理效率影响非常大。这部分包括两个大的方面： 提高协议分析的速度提高协议分析的速度 1.基于状态的协议分析 网络中通讯的报文一般都不是孤立的，而是在一系列的报文通讯之中的， 也就是说是有一定的报文前后上下文的。通过基于状态的协议分析，能够大大 提高解析的准确度，同时对于不同报文采用不同的少量分析的方式，从而也提 高了协议分析的速度。 24 2.运用多种算法进行解析 在报文的分析过程，采用多种算法来提高协议解析的速度，比如使用高 速树型匹配算法、hash 算法等等。 提高协议分析的效果提高协议分析的效果 采用两种方法提高协议解析的效果：直接产生协议分析中确定的事件和 更深入的协议分析。 1.直接产生协议分析中确定的事件 通过在协议分析模块中直接产生事件，从而减少在匹配规则模块中规则集 的规模，如：rfc 协议确定的事件和异常事件：如 flood 攻击，从而提高整 个报文的处理速度。 2.更深入的协议分析 更深入的协议解析提高了规则集中规则的匹配准确性，比如缩小一次字 符串匹配在报文中搜索范围，从而节省时间，提高规则匹配的效率。 树型规则和匹配算法树型规则和匹配算法 前面已经提到，报文：分析：匹配1：1：n 的关系。一个报文需要跟多 条规则进行比较，这需要大量的运算，占用许多的 cpu 时间。通过三个方法去 提高其效率：协议规则子集、规则树和快速模式集合匹配。 1.协议规则子集 协议规则子集是通过将规则集合中的规则按照其所属的协议分成许多小 的子集，而一个报文只与其相关的协议规则子集中的规则进行匹配，从而大大 减少实际一个报文进行匹配的规则数量，减少匹配时间。 2.规则树 将线性规则匹配方式改造成为树型规则匹配方式，就必须构造规则树。通 过规则树，我们可以很容易在匹配过程中淘汰掉不可能的规则,减少重复判断的 次数,并实现将一个协议变量的多个取值放到一起（形成取值集合）进行判断， 大大的提高了比较效率。 3.快速模式集合匹配 由于在一个报文的匹配中，最为耗时的匹配运算是在报文中匹配一个字符 串模式，通过快速模式集合匹配算法来提高这部分匹配的效率。快速匹配意味 25 着能够尽可能快的在一个正文串中查找到一个模式串的存在，这是通过提高匹 配时移动模式的距离实现的；集合匹配意味着同时快速的对多个模式进行匹配。 二者的结合就是在一个报文中快速的匹配多个模式。 准确的特征分析和规范描述准确的特征分析和规范描述 解决入侵检测的漏报和误报现象还依赖于准确的特征提取和描述，在所应 用的特征全面采用了如下两种特征分析方法和统一的规范化语言描述。 基于漏洞机理的特征分析基于漏洞机理的特征分析 利用漏洞机理的方法来提取和定义特征，可以实现检测和具体攻击工具的 无关性，特别对于防止新型变种的攻击和攻击工具改造非常有效。 基于攻击过程的特征分析基于攻击过程的特征分析 攻击过程分析法则是完全站在攻击者的角度，破析完整的攻击过程，可以 判断攻击是处在攻击尝试阶段还是已经攻击成功。 入侵检测系统部署入侵检测系统部署 本方案中分别在公共区域、生产系统区域、办公系统区域部署一套入侵检 测系统，部署示意图如图 1 所示，公共系统的入侵检测引擎与核心交换机相连， 办公系统、生产系统的入侵检测系统与该区域的交换机相连，分别针对不同的 需求，对各个子网的入侵进行检测和防护。 入侵检测系统选型入侵检测系统选型 本方案中按照三个区域分别采用三套入侵检测系统，可以在生产系统、办 公系统区域和公共区域各采用一套千兆入侵检测引擎，另外，在核心交换机处 部署一套高性能千兆入侵检测系统，实时监控各个子网网络传输状态，自动检 测可疑行为，及时发现来自网络外部或内部的攻击，并可以实时响应，切断攻 击方的连接，同时还可以与防火墙紧密结合，产生联动，弥补了防火墙的访问 控制不严密的问题。另外，根据网络网络部署结构，可以将核心处选择为带子 控功能的入侵检测系统，当在部署结构改变后可以作为中心节点使用。配合探 测引擎，管理中心安装于一台服务器上，控制中心面向用户，提供管理配置之 26 用。控制中心是个高性能的管理系统，它能控制位于本地或远程的多个网络探 测引擎的活动，集中制定和配置策略，提供统一的数据管理。管理控制中心可 以被设置为主、子结构，主管理控制中心可以实时接收、转发子控制中心的告 警信息，分类提取子控制中心的日志信息，下发各种配置文件、策略供子控对 其所属网络探测引擎进行配置。 入侵检测系统功能入侵检测系统功能 完善的管理控制体系完善的管理控制体系 多层分级管理多层分级管理 所选入侵检测系统的管理控制中心可灵活设置成与行政业务管理流程紧密 结合的集中监控、多层管理的分级体系。通过策略下发机制，使上级部门能够 统一全网的安全防护策略；通过信息上传机制，使上级部门能够及时了解和监 控全网的安全状态。 灵活的更新和版本升级灵活的更新和版本升级 所选入侵检测系统支持手动和自动的特征更新和版本升级，也可以在分级 管理体系下由主控统一来完成。所选入侵检测系统的探测引擎同时支持通过 usb 口进行升级。 全局预警全局预警 在所选入侵检测系统的多层分级管理体系下，可以实现把单点发生的重要 事件自动预警到其它管理区域，使得各级管理员对于可能发生的重要安全事件 具有提前的预警提示。 利用全局预警通道，各级管理员也可以发送交互信息，交流对安全事件的 处理经验。 严格的权限管理严格的权限管理 所选入侵检测系统可以设定多种分类权限供不同的人员使用，支持更为严 格的多鉴别身份认证方式。同时在产品部署上支持事件监测、事件分析以及管 理配置分布部署，从物理角度保证管理安全。 时钟同步机制时钟同步机制 所选入侵检测系统支持 ntp 服务进行时间同步，保证跨时区的部署条件下 27 也能保持管理时间的一致性。 支持多报警显示台支持多报警显示台 所选入侵检测系统提供了良好的多点监测机制，允许挂接多个报警显示中 心，方便多个管理人员进行有效的报警观测。 数据库维护管理数据库维护管理 所选入侵检测系统提供强大的数据库维护管理功能，可以对历史数据进行 自动、手动的备份、删除操作，还可以导入历史的备份数据。 可扩展到入侵管理可扩展到入侵管理 入侵检测全面支持入侵管理，实现多种安全产品：漏洞扫描、主机入侵检 测的统一管理和协同关联。 全面的入侵检测能力全面的入侵检测能力 多种技术结合防止漏报多种技术结合防止漏报 1. 采用引擎高速捕包技术保证满负荷的报文捕获； 2. 采用的高速树型匹配技术实现了一次匹配多个规则的模式，检测 效率得以成倍的量级提高； 3. 采用了 ip 碎片重组、tcp 流重组以及特殊应用编码解析等多种方 式，应对躲避 ids 检测的手法，如：whisker、fragroute 等攻击 方式； 4. 采用预制漏洞机理分析方法定义特征，对未知攻击方式和变种攻 击也能及时报警； 5. 采用行为关联分析技