司法行政系统网络安全解决方案.doc

XX司法行政系统安全解决方案XX司法行政系统网络安全解决方案二一年三月前 言本方案主要是针对XX司法行政系统的网络情况所制定的一个网络信息安全以及日后网络扩容的整体解决方案。XX司法行政系统经过2008年以来，在司法厅党委的高度重视下，全区司法行政系统信息化建设取得了显著进步。但是从信息化的发展来看，仍处于刚起步阶段。从对现有的计算机网络系统的安全策略分析看，主要面临的安全问题有：1. 安全防范措施分散、安全标准不一，缺乏集成性与一体性。现采取的技术防范措施基本上是针对特定的防范对象，安全防范的整体性不够，随着计算机网络系统复杂性的不断增加，不可避免地带来安全漏洞，安全的可控性无法得到保证；2. 采用的安全防范技术相对落后。随着计算机信息技术的飞速发展，特别是Internet的广泛应用，使得计算机网络入侵和网络犯罪的技术不断提高，现已采取的安全防范技术无法完全保证XX司法行政系统计算机网络系统的安全，网络系统存在着巨大的安全隐患；3. 尚未建立有效的安全检测、响应与管理机制。现有的安全防范以静态防范为主，无法及时检测与监控恶意的网络侵入与破坏，缺乏有力的制止计算机犯罪的手段与方法。因而，选择适当的技术和产品，制定灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道，逐步把对计算机网络系统安全的静态防范、被动防范和分散防范转变成动态防范、主动防范和集中整体防范，建立内部计算机网络系统完备的防范、检测与响应的动态安全机制，才能真正保证各个应用系统的安全性。目 录前 言2目 录3第一章 安全理念61.1 网络信息整体安全的理解61.1.1 为什么要实施安全系统？71.1.2 如何部署安全系统？时空防御系统模型 从时间角度部署安全系统 从空间角度部署安全系统91.1.3 只从安全产品方面入手就可以解决网络信息安全？91.1.4 需要达成的共识111.1.5 安全原则121.2 网络安全设计原则121.3 系统总体设计框架13第二章 需求分析152.1 XX司法行政系统网络安全风险分析152.1.1 物理层安全风险分析152.1.2 网络层安全风险分析162.1.3 系统层安全风险分析172.1.4 应用层安全风险分析 资源共享安全风险 数据传输安全风险182.1.5 管理层安全风险分析182.2 XX司法行政系统网络安全需求描述192.2.1 边界防护202.2.2 区域防护212.2.3 节点防护222.2.4 核心防护222.2.5 统一审计232.2.6 安全需求小结23第三章 XX司法行政系统网络信息安全解决方案243.1 XX司法行政系统网络信息安全策略243.1.1 物理层安全策略243.1.2 网络层安全策略273.1.3 系统层安全策略293.1.4 应用层安全策略303.1.5 管理层安全策略313.2 边界安全防火墙解决方案373.2.1 防火墙系统选型3 状态检测技术3 全中文图形化配置3 虚拟防火墙技术3 完善的用户认证体系3 防止DoS攻击3 灵活的接入方式3 强大的日志管理40 全面的产品资质认定40 其它特点403.2.2 防火墙系统具体部署403.2.3 防火墙部署示意图413.2.4 实现的功能413.2.5 产品特点423.3 区域安全入侵检测系统解决方案433.3.1 入侵检测系统选型4系统数据库管理4旁路监听方式4灵活的部署方式4OpenIDS联动协议4更多信息捕获4全面的产品资质认定453.3.2 入侵检测系统具体部署453.3.3 具体部署图463.3.4 实现的功能463.3.5 产品特点联动协防体系473.4 节点安全漏洞扫描解决方案493.4.1 漏洞扫描系统选型4 评估对象广4 检测项目全50 用户可以灵活的自定义扫描策略50 稳定性高，控制方便50 专业的报表与漏洞修改建议50 完善的服务体系513.4.2 漏洞扫描系统具体部署513.4.3 产品简介523.5 统一审计安全管理平台533.5.1 安全管理平台产品选型5 安全监控管理中心5 事件分析处理中心5 安全策略管理中心5 安全事件响应中心5 安全信息发布中心583.5.2 安全管理平台具体部署593.5.3 产品特点603.6 安全系统整体部署图示意图60第一章 安全理念1.1 网络信息整体安全的理解一个专业的安全厂商必须有自己对网络信息安全的整体理解，它既包括理论模型，还包括众多项目实施经验。这个模型是厂商参照国际、国内标准，集多年的研发成果及无数项目实施经验提炼出来的，同时他们也会根据这个理论模型及自己的专业经验帮助客户完善对其业务系统的安全认识，最终部署安全产品和安全服务以保证其系统的安全。网威认为要设计一个安全的网络，必须要经过安全需求分析、安全设计规划、安全产品选型、安全产品安装实施、售后安全服务等几个过程。1.1.1 为什么要实施安全系统？内因，也就是根本原因，是因为其信息有价值。客户的信息资产值越来越大，信息越来越电子化、网络化，越来越容易泄漏、篡改和丢失，为了保护信息资产值不减值，必须要保护，因此要有安全投入。其次才是我们耳熟能详的外因，如遭受攻击。当前在网络信息领域中，入侵的门槛已经越来越低（攻击条件简单化；攻击方式工具化；攻击形式多样化；攻击后果严重化；攻击范围内部化；攻击动机目的化；攻击人群低龄化），因此当入侵者采用技术方式攻击时，客户必须采用安全技术防范，任何抽象的安全技术必须通过具体的安全产品和安全服务来体现。1.1.2 如何部署安全系统？时空防御系统模型时间和空间是事物的两个根本特性，即一经一纬构成了一个立体的整体概念，安全系统的设计也可以这么理解。 从时间角度部署安全系统XXXX黑客入侵防范体系该模型的核心思想是从时间方面考虑，以入侵者成功入侵一个系统的完整步骤为主线，安全方案的设计处处与入侵者争夺时间，赶在入侵者前面对所保护的系统进行安全处理。在入侵前，对入侵的每一个时间阶段，即下一个入侵环节进行预防处理。也就是说，与入侵者赛跑，始终领先一步。在客户系统具有一定的信息资产的时候，客户就应该根据业务特点和网络特点制订出一整套如何保护系统安全的技术和管理的方法和措施（包括哪些服务器应该重点防护，防火墙允许什么用户在什么时候访问什么服务，安全管理人员应该负责什么，普通用户又有什么权限及义务，一旦受到攻击应该怎么处理等等），使整个系统的安全处于受控状态。图中的“策略”正对应这样的中心位置。在制订安全策略以后，对现有（新建）系统进行漏洞评估，使客户了解自己网络的安全状况，并且针对暴露的问题进行修补，使系统更完善。具有一定的抗击打（入侵）能力，属于练内功的范畴。如上图的“评估”环节。在成为入侵者攻击的目标前（或设计新的网络前），针对不同的系统（部分）要采用相应的保护技术，并部署有关的安全产品和实施相关的安全技术优化系统。使系统处于一个静态的保护之下，做到人（入侵者）未来，我先防。图中的“防护”环节包括抗毁技术（如冗余、备份）、系统安全优化配置技术、防火墙、VPN、加密认证等技术和措施。在系统的运行过程中，“检测”环节作为静态防护（或称事先防护）的补充非常重要（网络应用和黑客攻击方式都是动态变化的，任何一个事先设计的防护策略在解决新的漏洞前总有一段安全时间间隙），它实时监测流经被保护对象的数据流，对合法用户及非法用户的所有行为进行监控分析，最终识别出入侵者、入侵行为，同时和响应环节通信，保证系统和管理员及时采取措施，同时进行非法行为审计，以便取证和结合相关规章制度来保证法律威慑力。响应环节有两个含义，一个是产品的响应，如网络入侵检测系统在识别出入侵行为后即报警或与防火墙互动（通知防火墙切断此连接，阻断攻击者）；另一个是更高层次即人的响应，管理员在得到报警后，会采取响应措施。恢复是防范体系的又一个环节，无论防范多严密，都很难确保万无一失，所以，采用亡羊补牢的策略，使用完善的备份机制确保内容的可恢复性，借助自动恢复系统、快速恢复系统来控制和修复破坏，将损失降至最低，保证系统的可用性。 从空间角度部署安全系统一个具体的网络系统可以根据保护对象的重要程度（信息资产值的大小）及防护范围，把整个保护对象从网络空间角度划分成若干层次，不同层次采用具有不同特点的安全技术，其突出的特点是对保护对象“层层设防、重点保护”。一个基本的网络系统按防护范围可以分为边界防护、区域防护、节点防护、核心防护四个层次。边界防护是指在一个系统的边界设立一定的安全防护措施，具体到系统中边界一般是两个不同逻辑或物理的网络之间，常见的边界防护技术和产品有路由器、交换机和防火墙。区域防护相较于边界是一个更小的范围，指在一个区域设立的安全防护措施，具体到系统中区域可能是小的网段或者网络，常见的区域防护技术和产品有网络入侵检测系统。节点防护范围更小，一般具体到一台服务器或主机的防护措施，它主要是保护系统的健壮性，消除系统的漏洞，常见的核心防护技术和产品有病毒防范系统和漏洞扫描系统等。核心防护的作用范围最小，比如针对某一个具体应用、具体机器或用户，它架构在其它网络安全体系之上，但它抗攻击强度最大，能够保证最核心的信息安全，常见的核心防护技术和产品有强双因子身份认证系统。1.1.3 只从安全产品方面入手就可以解决网络信息安全？网络信息安全设计是一个综合的系统工程，其复杂性丝毫不亚于设计一个庞大的应用系统。一个网络的安全设计，需要考虑涉及到的所有软硬件产品环节，网络的总体安全往往取决于所有环节中的最薄弱环节，或者说如果有一个环节出了问题，网络的总体安全就得不到保障。认为解决网络信息安全应该从三个方面入手，即信息安全突出表现为“三元论”信息安全有三个要素：策略、管理、技术。 安全策略安全策略内容非常多，包括各种策略、法律法规、规章制度、管理标准等，是信息安全的最核心问题，也是整个信息安全建设的依据。根据实际的系统网络情况，我们把系统的信息安全划分五个层次，物理层、网络层、系统层、应用层及管理层，每一层都有相应的安全策略。信息系统安全层次架构管理层应用层系统层网络层物理层在网络信息安全规划时，网络系统自身的安全考虑往往容易被忽视，结果成为被黑客利用的“短木条”。实际上，很多攻击我们可以通过良好的网络设计和配置加以避免和消除。 安全管理安全管理包括主要人员、组织和流程的管理，是实现信息安全的落实手段。管理是将信息安全策略落实的重要保障，在信息安全策略中对安全管理也要进行规定。管理的重要依据为信息安全管理纲要，它主要从管理的角度对信息安全给予全面的描述。在信息安全管理方面，人员管理是核心问题。人员管理主要通过组织的形式来体现。层次系统安全架构的最顶层就是对信息系统进行操作、维护和使用的内部人员。人员有各种层次，对人员的管理和安全制度的制订是否有效，将影响由这一层次所引发的安全问题。除按业务划分的组织结构以外，必须成立专门安全组织结构。这个安全组织应当由各级行政负责人、安全技术负责人、业务负责人及负责具体实施的安全技术人员组成。此外，必须制订系列的安全管理制度和普及安全教育，包括：u 用户守则制订，如应包括：未知请求一律禁止通过、只有网络管理员才可进行物理访问、只有网络人员才可进行软件安装工作、禁止访问Internet、所有安全软件必须能保留完整的日志、重要系统应使用难猜测的口令并经常改换口令。u 机房管理制度的制订。u 分层次的安全培训，对行政、技术的各级人员有针对地进行培训。u 建立安全信息分发系统，对安全管理的阶段性结果，以可读性好的报告形式分发给各个节点的安全部门。应对具体的分发方式、分发渠道、保密措施做出规定。网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题，需要从系统层次结构的角度展开，分析各个层次可能存在的安全漏洞和安全风险，并提出解决方案。安全管理的内容主要包括制定以下管理制度：u 机构与人员安全管理制度u 系统运行环境安全管理制度u 硬设施安全管理制度u 软设施安全管理制度u 网络安全管理制度u 数据安全管理制度u 技术文档安全管理制度u 应用系统运行安全管理制度u 操作安全管理制度u 应用系统开发安全管理制度u 应急安全管理制度u 加密算法与密钥安全管理制度。 安全技术安全技术包含工具、产品及服务。后面将网络系统现状，详细讨论安全系统中需要的安全技术和产品。1.1.4 需要达成的共识n 安全是整体的第一，系统安全的保障不是仅仅放置几个安全产品就能达到的，它需要从安全策略的设计、安全技术（产品）的选型以及安全管理三个层面进行考虑；第二，仅从安全技术（产品）角度讲，目前最主流的静态防护与动态监测相结合是一整套安全体系结构，每一种技术（产品）都有它的局限性，所以一个系统中需要多种技术（产品）必须相互补充，才构成整体的安全。n 安全是相对的第一，100%的安全是不可能的，即使进行最安全的设计、部署安全体系架构中所有的安全产品、进行最全面的管理，也不可能保证系统绝对不会遭到破坏、信息绝对不会泄露；第二，100%的安全是没有必要的，客户需要的是最适合的系统而不是昂贵的系统。一般而言，在一个系统中部署三、四种安全产品，就能解决系统某一方面最主要的安全隐患，我们从而可以认为得到了一个安全的系统。n 安全是动态的第一，安全系统应该随着业务系统的发展而发展，在前期计算机和网络承担着较少的业务时，过多的安全投入是没必要的；一旦更多的业务系统、更有价值的信息由计算机系统处理完成，安全投入必须增加；第二，具体的安全策略应该随着网络平台应用变化而动态变化。1.1.5 安全原则实际上，上面这三条希望和用户一起达成的共识，是以两条隐含的安全原则为指导的：安全是辅助系统，对一个企业级应用而言，其业务系统的有效、稳定运行永远是第一位的，安全系统的设计实施不能喧宾夺主；安全需要考虑成本平衡，投入成本越多，系统会越安全，根据投入安全增长曲线决定为用户找到一个动态平衡点是安全厂商的主要职责。1.2 网络安全设计原则稳定性网威总体设计方案能保证运行过程中的稳定、顺畅，不对应用系统造成危害。经济性在本方案中，在方案的制订、产品的选型、服务的选择方面都尽可能体现经济性的原则。策略性建立网络信息安全体系，需要先制定完整的、一致性的信息安全策略体系，即安全策略体系和其他企业策略相协调。综合性和整体性从系统综合的整体角度充分考虑安全项目，制定有效、可行的安全措施，建立完整的安全防范体系。尽量降低对原有网络、系统性能的影响由于安全设置的增加，必将影响网络和系统的性能，包括对网络传输速率的影响，对系统本身资源的消耗等。因此需要平衡双方的利弊，提出最为适当的安全解决建议。避免复杂性提供的安全解决方案不会使原网络结构的复杂程度增加，能使操作与维护简单化。安全体系的建立也不会对网络结构做出根本性的修改。扩展性、适应性可扩展性主要包括两个方面的内容：一是为网络将扩充新的节点和新的分支预先作好硬件、软件和管理接口。二是网络平台必须具有升级能力，能够适应新技术发展的要求，从而为将来网络平台升级到其他更新的技术作好准备兼容性提供的安全管理工具能够和其它系统管理工具有效兼容。保障安全系统自身的安全提供的安全产品和系统都有能力在合理范围内保障系统自身安全。1.3 系统总体设计框架 XX司法厅安全网络建设管理安全会话层安全链路层安全物理层安全表示层安全网络层安全应用层安全传输层安全防火墙入侵检测管理机构环境安全安全路由信息加密管理制度设备安全漏洞扫描管理技术介质安全访问控制管理人员安全管理XX司法行政系统信息安全体系设计结构图第二章 需求分析2.1 XX司法行政系统网络安全风险分析XX司法行政系统的网络环境，都是采用TCP/IP协议建立的，该协议以开放和自由为基础，从协议规划、服务模式、网络管理等方面均缺乏安全性设计，所以信息系统就存在着先天的安全隐患。安全威胁包括黑客入侵、病毒泛滥和蔓延、信息间谍的潜入和窃密、攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等，应引起足够警惕，采取措施应对。数据作为系统最终的元素是安全保障的根本，对XX司法行政系统而言主要安全隐患是数据被窃取、篡改、假冒、抵赖、销毁。XX司法行政系统网络化本身与网络安全是一对实际的矛盾，网络化要求通畅交流，安全要求控制交流，而各种交流可能直接引起网络的连通，由于连通而引起安全事件。随着网络应用扩大，网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。根据目前XX司法行政系统网络情况，我们从下面几个方面进行较全面细致的安全风险分析，然后根据风险分析的结果设计出符合具体实际的、可行的信息系统安全整体解决方案。2.1.1 物理层安全风险分析我们从以下几点考虑物理层安全：1、地震、水灾、火灾等环境事故造成整个系统毁灭；2、机房等防止设备的环境如温度、湿度等对系统稳定性的影响；3、电源故障造成设备断电以至操作系统引导失败或数据库信息丢失；4、线路的恶意破坏、中断、带宽拥堵使网络的连续性、QoS得不到保障；5、链路的传输风险，真实性、机密性、可靠性及完整性被破坏；6、设备被盗、被毁造成数据丢失或信息泄漏；7、电磁辐射可能造成数据信息被窃取或偷阅；8、报警系统的设计不足可能造成原本可以防止但实际发生了的事故。2.1.2 网络层安全风险分析1、 来自与其他外部网络的安全威胁各个都不与其它网络连接，采用完全物理隔离方式，因此理论上不会受到其他外部网络的直接安全威胁。2、 来自内部局域网的安全威胁首先，各节点内部网中用户之间通过网络共享网络资源。对于常用的操作系统Windows操作系统，其网络共享的数据便是局域网所有用户都可读甚至可写，这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏。在局域网上，用户安全意识不强，口令设置缺乏科学性，易猜测，且更换频率低，个别人甚至半年以上才更换一次。这为非法用户盗取数据库资源提供了可能。部分UNIX或Windows NT/2000等的命令可以实时检测网络数据包的传输情况，对于telnet ,rlogin这些不加密的网络应用，用户登录口令很容易被发现和窃取。另外，内部管理人员有意或者无意泄漏系统管理员的用户名、口令等关键信息；泄露内部网的网络结构以及重要信息的分布情况。甚至存在内部人员编写程序通过网络进行传播，或者故意把黑客程序放在共享资源目录做个陷阱，乘机控制并入侵他人主机。来自系统内部人员的攻击是很难防范的，内部工作人员本身在重要应用系统上都有一定的使用权限，并且对系统应用非常清楚，一次试探性的攻击演练都可能会对应用造成系统瘫痪的影响，这种行为单单依靠工具的检测是很难彻底避免的，还得依靠建立完善的管理制度和处罚措施来解决。XX司法行政系统由不同的职能部门组成，虽然这些职能部门都属于一个系统，但终归各有各的重要或私有数据。具体到每一个节点来说，其他所有网络节点都是不可信任域，都可能对该系统造成一定的安全威胁。如果系统内部局域网络之间没有采取一定的安全防护措施，内部网络容易造成安全隐患，如：入侵者通过黑客工具来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。2.1.3 系统层安全风险分析系统安全通常是指网络操作系统、应用系统的安全。对而言，操作系统或应用系统存在不安全因素，将是黑客攻击得手的关键因素，因为黑客攻击某网络系统，一般都是通过攻击软件扫描该网络系统中主机是否存在安全漏洞，通过可利用的安全漏洞进行攻击并控制这台主机，为以后进一步攻击打下基础。就目前的操作系统或应用系统来说，无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，都存在着或多或少的安全漏洞。如果黑客利用这些漏洞进行系统的攻击，结果可想而知。从实际应用考虑，系统的安全漏洞并不是不可避免的，因为系统本身也会有自己的安全配置，只要定期的安装相应系统的补丁，关闭不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进入内部网是不容易的。这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。2.1.4 应用层安全风险分析在应用层方面都存在一定风险。应用安全是指XX司法行政系统应用系统的安全，包括WEB系统、业务系统、OA办公系统等。应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全，一些通用的应用程序，如Web Server程序，FTP服务程序，E-mail服务程序，浏览器，MS Office办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。 资源共享安全风险办公网络应用通常是共享网络资源，比如文件共享、打印机共享等。由此就可能存在着：员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，因为缺少必要的访问控制策略，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密。病毒也有可能趁机进入到共享服务器上，从而导致整个网络的病毒爆发。 数据传输安全风险数据安全对XX司法行政系统来说至关重要，在涉密网内传输的数据是保密的，而由于网络自身的自由、广泛等特性，很难保证在数据传输过程中不被非法窃取和篡改。黑客或一些不法份子会通过一些手段，设法在线路上获得传输的数据信息，造成信息的泄密。对于XX司法行政系统来说，数据丢失、破坏、被修改或泄漏等情况都是不允许发生的。2.1.5 管理层安全风险分析安全管理是保证网络安全的重要组成部分，是防止网络入侵所必须的。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起网络安全管理的风险。网络安全的管理包括组织建设、制度建设和人员培训三方面内容。组织建设是指建立健全网络安全管理机构，配备相应的管理人员，明确职责分工；制度建设是指建立一整套切实可行的规章制度，使安全管理有章可循；人员培训是对网络管理人员和网络用户保密安全意识培训和技能培训。组织机构不完整、安全管理制度不健全和人员安全意识不强，都会引起网络安全管理的风险。从以往的经验教训看，有些单位组织机构不健全，规章制度不完整，网络安全管理也就无从谈起。还有些单位有机构，有制度，但没有人去执行和落实，网络安全管理有名无实。在网络安全管理中，人是决定的因素，如果人的安全保密意识差，技术技能低，投资在大，设备再先进，也无法保障网络的安全。2.2 XX司法行政系统网络安全需求描述XX司法行政系统涉密网络系统应采取严格的技术措施，建立较为完善的安全保密机制，为网络系统提供安全保障。内容包括加强网络和信息安全管理，制定系统的安全策略并组织实施和监督，提供信息和网络的访问控制、用户识别、权限审核、信息加密。针对目前XX司法行政系统涉密网络系统过于分散，管理人员少的情况，必须在进行方案考虑时注意掌握以下几项原则：1、安全保密原则。即XX司法行政系统涉密网络系统必须符合国家保密局对涉密网建设的基本要求，与其他网络物理隔离。2、最少接触原则。涉密网自成一体，其终端设备只能允许符合规定的少量人员接触，核心设备至少要两人以上才能进行配置修改。3、行为审计原则。涉密网络中用户的所有行为必须进行有效审计和记录，以便安全管理人员能够定期检查。4、方便管理原则。涉密网络结构和管理方式应简洁易行，在有效保证安全性的同时，要能够让系统管理员、安全管理员、保密检查人员都能方便地进行相关的管理、审计、检查等工作。XX司法行政系统网络系统采取严格的技术措施建立较为完善的安全保密机制，为网络系统提供安全保障是十分必要的。网络和信息安全管理，制定系统的安全策略并组织实施和监督，提供信息和网络的访问控制、用户识别、权限审核、信息加密。根据XX司法行政系统网络现状，现阶段主要做到以下几个方面的安全防护：2.2.1 边界防护边界防护是指在一个系统的边界设立一定的安全防护措施，具体到系统中边界一般是一个逻辑或物理的网络，常见的边界防护技术和产品有路由器、交换机、物理隔离设备和防火墙。通过设定边界防护，可以保护中心系统的核心网络资源、主机资源，阻止非法的连接与资源访问，实现网络访问控制，保护中心系统的安全。对网络边界的防护，可以按照单位需要保护资源的重要性，或者说密级等级的不同选择适合的隔离方案，如根据我国国家对信息秘密等级的划分，分为：绝密、机密、秘密，另外还有像内部资料、一般文件等。而隔离在技术上可以划分为：物理隔离、逻辑隔离和软件认证授权。物理隔离技术作为信息与网络安全技术的重要实现手段，越来越受到业界的重视。物理隔离，简单的说就是让存有用户重要数据的内网与外部网络不存在物理上的连接，将用户涉密信息与非涉密的可以公开的信息隔离开来，让攻击者无机可乘，是安全等级最高的隔离方案；逻辑隔离就是利用安全设备把一个网段或网络隔离开，没有实现真正的隔离，只是通过安全设备的访问控制对网络进行隔离，物理上有通路。如防火墙技术、VLAN技术、ACL等等；另外的利用软件认证授权来实现的隔离安全性最低，如某个应用系统或数据库系统自身的通过用户名口令的认证系统，而攻击者可以利用包括猜测或监听工具截取合法用户名和口令，进而方便地入侵系统。边界防护是网络安全防护中的第一道防线，由XX司法行政系统目前的网络现状可以看出，需要防护的主要有：1、 内网服务器群与其他网络之间的边界防护2、 网络管理员所在的网段（或VLAN）与其他网络间的边界防护2.2.2 区域防护区域防护是指在一个区域设立的安全防护措施，具体到系统中区域可能是网段或者网络。常见的区域防护技术和产品有网络入侵检测系统、网络防病毒系统等。部署在网络边界的防火墙能在很大程度上抵御跨区域的网络入侵和非法访问，但是攻击者仍有可能穿透防火墙，并且防火墙对于来自网络内部的攻击和反弹攻击等无能为力。动态地监测网络内部活动并做出及时的响应，就要依靠基于网络的实时入侵监测技术。网络入侵检测系统在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整支持OPSEC协议防火墙的防护策略，使得防火墙成为一个动态的智能的防护体系。外来移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文件被窃取，引入病毒等严重后果，对于具有防火墙、网关等硬件防范的网络，移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。如何防止外来移动存储介质随意接入网内终端，如何保护终端的涉密信息，对涉密信息的访问、修改、复制、删除进行控制，如何能够对涉密文件的打印、发邮件、网络共享进行控制，发现敏感字能及时过滤，并对以上所有行为进行审计记录是急需解决的问题。目前网络病毒问题越来越严重，病毒消耗网络有限带宽，占有大量主机CPU，使网络、主机性能下降，影响正常业务办公，且现在的一种趋势是病毒与黑客技术的结合，使原来病毒的危害由对系统的破坏上升到重要数据如涉及国家机密或企业商业秘密等重要数据的泄漏和窃取。目前病毒的传播已经由以前通过介质，如软盘、光盘、磁带等传播又有了新的传播途径：u 通过Web游览传播，主要是恶意的Java控件网站u 通过FTP，电子邮件传播u 通过群件系统传播u 通过MSN等聊天工具等传播u 通过P2P点对点文件共享传播在整个系统网络防病毒系统，能保护整个网络不受病毒的侵害；并定期下载、分发病毒增量库，定期升级防病毒软件；关注安全网站，在重大疫情暴发前及时发布通告，做好预防措施，避免病毒大规模泛滥。因此我们在区域防护方面要作好：1、 对整个区域数据的监控、审计2、 对整个区域的移动存储器的控制3、 对整个区域的病毒防护2.2.3 节点防护节点防护一般具体到独立的网络设备、服务器或主机的防护措施，它主要是保护系统信息不被破坏和系统在遭到毁坏仍能保证可用性。目前通常对节点的防护主要包括3个方面：1、节点本身的冗余（这里部分关键业务服务器采用双机热备份的同时增加异地容灾）；2、节点的病毒防护；3、对节点的抗攻击保护。2.2.4 核心防护核心防护一般指对重要的业务服务器中的数据进行保护的措施。它主要是保护系统信息的安全，防止被非法窜改，不被非法访问和越权访问。建议XX司法行政系统对内部办公用户对重要资源的访问进行严格的身份认证并进行权限限制，解决像下面可能出现的安全隐患： 非法用户假冒合法用户的身份访问应用资源，如攻击者通过各种手段取得应用系统的一个合法用户的帐号访问应用资源，或是一个内部的合法用户盗用领导的用户帐号访问应用资源； 攻击者利用网络窃听工具窃取经由网络传输的数据包，通过分析获得重要的信息，攻击者篡改网络上传输的数据包，使信息的接收方接收到不正确的信息，影响正常的工作；网络接入设备的操作系统提供的身份认证的机制是，用户在接入的时候，用户输入的密码，一般以某种编码或明文的形式传送，易被截获，攻击者只要把他从网络上获取的加密的信息，以同样的方式发给服务器，就有可能侵入系统（重放攻击），因此，存在着巨大的安全隐患；。2.2.5 统一审计XX司法行政系统将拥有多种安全设备、拥有防病毒等多种安全系统、拥有各种应用服务器、主要网络设备。每个不同的网络设备都会产生大量的日志信息，对这些日志的纪录、审计都将是一个很大工作量。如果网络出现问题，只靠管理员一台一台设备察看日志将会是一个漫长的时间，很有可能把重要的数据遗漏，造成无法查找出真正的问题。2.2.6 安全需求小结概括来说，针对XX司法行政系统网络的现状，根据安全管理的需求，本着“总体规划、分步实施”的原则，本次项目的主要需求是：XX司法行政系统网络安全整体解决方案。整体解决方案中需要考虑各安全体系之间的联系；第三章 XX司法行政系统网络信息安全解决方案网络安全设计是一个综合的系统工程，其复杂性丝毫不亚于设计一个庞大的应用系统。一个网络的安全设计，需要考虑涉及到的所有软硬件产品环节，网络的总体安全往往取决于所有环节中的最薄弱环节，或者说如果有一个环节出了问题，网络的总体安全就得不到保障。认为解决网络信息安全应该从三个方面入手，即信息安全突出表现为“三元论”信息安全有三个要素：策略、管理、技术。 安全策略：包括各种策略、法律法规、规章制度、管理标准等，是信息安全的最核心问题，是整个信息安全建设的依据。 安全管理：包括主要人员、组织和流程的管理，是实现信息安全的落实手段。 安全技术：包含工具、产品及服务，是实现信息安全的有力保障。根据以上要素的指导，为XX司法行政系统网络系统提供的不仅仅是各种安全产品和技术，更重要的是要建立一个完善的安全策略体系、安全管理体系、安全技术体系。3.1 XX司法行政系统网络信息安全策略3.1.1 物理层安全策略的物理安全正常的防范措施主要集中在三个方面：物理访问限制 所有计算机房应采用单点访问(single point access)程序。即一条路进，一条路出。减少入口数目能降低脆弱性。在访问控制中，最好在门口布置警卫或其他职员。基于令牌的鉴定是常用的技术。它要求用户缴验令牌式的证据来证明该职员是合法用户。身份证件就是一个例子，应强制实行。在准许进入前，应根据警卫的主要用户列表检查代码( ID)。代码卡有多种形式，从磁片式(magnetic strips)到携带微像传送器(carry miniature transmitters)的。 对有能力的部门来说，可以使用采用更复杂的高级鉴认手段。生理测量技术鉴定包括衡量个人特性，比如语音、指纹、视网膜或签名。这些特性伪造起来要困难得多，但通常会造成无法使用。基于令牌的鉴定同生理测量技术的结合是增加安全度的好办法。 登录表(login sheets)应强制使用，来记录谁进入过房间，访问时间及访问持续时间。当数据损失时，应审查签入(sign in)和签出(sign out )的记录。此外，仔细检查用户带入及带出的东西也能减少数据外泄的损失 。实际中访问控制并不完美，并且永远不会完善。它会因远程终端和职员的失职及粗心而不起作用 。国家计算机安全中心称审慎的访问控制“在只要有一名用户可随意访问信息的前提下，信息就能被传给其他人。”你能使访问变得困难，但永远不能让其成为不可能。场地安全 任何计算机,不论是桌面工作站还是主管部门的服务器，都需要防备并非来自指法灵活的黑客或内部数据欺骗的破坏。火灾、电源事故及系统崩溃的威胁更常见，必须加以戒备。 主要计算机本身应置于用耐火和非易燃材料构建的建筑中。计算机设施应使用非易燃耐火的隔板、墙、门同邻近区域隔开。所有备份磁带、磁盘都应放在计算机房之外的单独、安全、耐火区域。应检查地板与天花板，看是否由非易燃材料建成。所有计算机房人员都应接受基本消防技能训练，以及人身安全和疏散方法训练。 计算机设施本身应至少用以下手段之一来保护：自动二氧化碳灭火器，洒水器或水管。便携式灭火器应放在易找到的、标注的区域。烟感器应安装在天花板上、垫高的地板下及通风管中以发挥最大作用。所有职员都应注意紧急电源开关的位置及使用方法。定期开展消防演习有助于保持机敏的逃生技能。 电子元件偶尔会发热、融化及着火。保持系统清凉要求保证计算机或主机放置于通风良好、有空调的区域。应检查设备中的风扇及通风孔，看看它们是否被墙壁橱柜、其他设备或灰尘阻塞。灭火器应放置在触手可及的位置，或至少是离工作站几步之内。 垫高的地板应有合适的排水系统，在地面装有排水装置使水不接近硬件。电子中继盒应避免与地板接触，以防水从邻近区域流过来而触及。应检查外部窗、门和天花板的完整性及是否漏水。应时常准备可覆盖设备的大块塑料布以防漏水或洒水器意外流水。 个人计算机或主机的电源应有合适的起伏、峰值、持续及突然停电的保护，还应备有不间断电源以便在电源出故障时使设备继续运行。如果门用的是密码锁，应备有电池。火警警报器也要有后备电池。所有硬盘上的数据都应每天备份，备份文件应存放在单独房间内。设备安全 至于磁盘和磁带机等的储存设备也应妥善保管，可考虑采用能抵抗火灾和水灾的保险箱。在某些情况下，对USB和光驱加锁能有效防止人们利用U盘或光盘启动机器从而绕开系统的安全设置。 对于设备周围环境的考虑，你应尽量保证合适的温度和湿度，避免热源，并给予设备充分的空气流通。决不能把机器安置在有潜在水，烟或火患的地方。设备应经常擦拭，因为灰尘是它们最大的敌人。还应该牢记的是不要在吃喝的地方附近放置计算机，如果这样做了就有可能引起许多小麻烦，比如液体溅到了键盘上。 最后一点就是关于电源问题，用户应确保他们的设备正确接地，并防止高电流对设备内部部件的损坏。使用UPS（不间断电源）就能有效控制电流的冲击或突然停电，以保护重要数据不至于丢失。 设备安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击；验证用户的身份和使用权限、防止用户越权操作；确保网络设备有一个良好的电磁兼容工作环境；建立完备的机房安全管理制度，妥善保管备份磁带和文档资料；防止非法人员进入机房进行偷窃和破坏活动。3.1.2 网络层安全策略在网络信息安全规划时，网络系统自身的安全考虑往往容易被忽视，结果成为被黑客利用的“短木条”。实际上，对很多攻击我们可以通过良好的网络设计和配置加以避免和消除。对于XX司法行政系统的网络结构安全设计和具体优化配置应该考虑如下几个方面(更加详细和周密的安全策略要结合安全服务进行)：i. 内部网络结构层次分明，便于网络隔离和安全规划。ii. 网络结构具备高可靠性和高可用性。iii. 服务区按功能划分如网管主机、业务主机、开发主机、邮件主机等区域，不同的区域在交换机上划分不同VLAN，不同VLAN之间的路由设置ACL。iv. 地址规划应便于路由汇总以方便路由管理、提高路由广播效率以及简化ACL配置。v. 边界和内部的动态路由协议应尽量启用认证，用来防止路由欺骗，否则黑客可以通过发送恶意的路由更新广播包，使得路由器更新路由表，造成网络瘫痪和路由旁路。vi. 所有对网络设备的维护管理启用更可靠的认证。vii. 路由器或交换机的L3模块配置ACL。viii. 路由器配置QoS，通过对不同服务类型数据流的带宽管理，保证正常服务有充足的带宽，限制无关服务类型的使用，QoS的配置能够有效抵御各种拒绝服务类型的攻击。ix. 路由器的Inbound、Outbound设置反地址欺骗检查。对于路由器，Outbound接收包的源地址只可能是外部地址，不可能是内部地址，同样Inbound接收包的源地址只可能是内部地址，不可能是外部地址，这样能防止黑客利用策略允许的内部或外部地址钻进网络。x. 启用路由反向解析验证，这在某种程度上牺牲了一定的网络性能，但能有效阻止随机源地址类型的攻击如SyncFlood。良好的网络结构设计和配置，能够消除网络结构不合理带来的安全隐患，也能够使得我们更好地实施更高层次的安全规划。另外，系统的安全性在很大的方面表现为可用性，除了单纯的防火墙、加密、漏洞评估、强制认证以及入侵检测等安全防范措施之外，还需要整体网络的优化。通常的网络优化和配置主要表现在两个层面上:i. 路由策略的优化。在工程方法上对IP地址进行合理规划，尽可能的进行连续规划和分配，采用CIDR技术进行动态会聚。路由协议的选择上无论是域内路由协议还是域间路由协议需要针对全网的业务平台的分布状态进行优化，即保证业务的连续可靠，又保证路由的精简和高效。ii. 主机系统的优化。在业务的承载系统平台上，无论是交换空间上，还是具体服务的配置上往往存在很大的可变更性。针对业务的容量，业务的特点需要专业的配置和优化，即保证在硬件设备相对固定的情况下，是系统的配置最优。（1）路由器路由器作为网络中的关键设备，其安全性也是大家非常关心的问题。路由器的安全通常分成2个部分：路由器本身的安全访问控制（包括维护方式、地址限制、密码保护等）；通过对路由器的ACL配置和其他参数配置等来做简单的包过滤和防止DOS攻击，配合防火墙更好的来抵抗来自于外部的攻击。这些工作，也将会包含在安全服务内来完成。（2）服务器冗余我们知道，没有什么硬件设备是可以做到万无一失的，只要是机器，总会有损坏的时候。同时也没有什么软件可以保证永远不出现问题。针对XX司法行政系统网络系统这种对安全性要求非常高的系统，就必须要考虑对服务器的冗余设计。在系统冗余设计方面，通常采用2种常用技术：集群（Cluster）和负载均衡（Load Balance）。集群技术可以使多台服务器协同工作，执行共同的任务，通常应用在数据库服务和消息系统服务中；负载均衡技术则是将来自用户的服务请求按特定的算法平均的分配给不同的服务器去完成，通常应用在WEB服务中。在具体案例中，可以根据实际需求来选择不同的技术。（3）服务器抗攻击能力我们知道，任何的操作系统都会存在安全漏洞，包括系统漏洞、不安全的服务；密码保护不当；服务配置不当等等，从而给黑客大开方便之门。所以必须对对外提供服务的服务器进行严格的安全修补和安全配置措施，以提高服务器自身的抗攻击能力。在这方面，安全顾问及技术专家有着丰富的经验和严谨的工作态度，在安全服务体系中，也包含了详细的业务描述。基本原则就是：在服务器上线之前，必须保证经过严格的安全配置，杜绝了所有的已知漏洞，并经过安全专家的攻击测试，保证服务器不会因自身的安全隐患而给整个系统带来威胁。3.1.3 系统层安全策略系统层（主机操作系统）安全具有一定的特殊性，因为系统层的安全往往决定着应用层、数据层的安全。系统层一旦被突破，应用层和数据层就会暴露在攻击者面前。因此对于的安全必须采取严格的定义。 不仅要对这些服务器进行及时的定期的打补丁，还要进行非常严格的系统安全评估，也就是采用严格的安全扫描软件进行主机系统的安全审查，然后根据结果结合系统实际运行服务的要求的情况，进行合理的正确的安全配置(更加详细和周密的安全策略要结合安全服务进行)。 加强口令安全，密码长度要大于6位，对于重要的服务器，超级用户的密码建议大于8位，而且密码的组合要采用复杂字段，不仅有字母还