网络安全建设实施方案

1 京唐港股份有限公司 网络安全建设实施方案 二 OO七年二 月 2 目录 1 概述 .4 2 网络系统安全建设 .4 2.1 安全现状分析 . 4 2.2 安全风险分析 . 5 2.2.1 物理安全 .5 2.2.2 网络安全与系统安全 .5 2.2.3 应用安全 .6 2.2.4 安全管理 .6 2.3 安全需求分析 . 7 2.3.1 物理安全需求分析 .7 2.3.2 网络安全与系统安全 .7 2.3.3 应用安全 .8 2.3.4 安全管理 .8 2.4 安全实施方案 . 9 2.4.1 物理安全防护 .9 2.4.2 备份与恢复 .9 2.4.3 访问控制 . 10 2.4.4 系统安全 . 10 2.4.5 网段划分与虚拟局域网 .11 2.4.6 办公网整体安全建议 . 12 2.4.7 防火墙实施方案 . 14 2.4.8 入侵检测系统实施方案 . 21 2.4.9 漏洞扫描系统实施方案 . 30 2.4.10 身份认证系统实施方案 . 34 2.4.11 安全审计系统实施方案 . 40 2.4.12 防病毒系统实施方案 . 44 3 异地网接入安全建设 . 56 3.1 接入方式选择 . 57 3.2 安全性分析 . 58 3.3 两种方式优势特点 . 58 3.4 VPN 原理介绍 . 59 3.5 VPN 的选型 . 64 3.6 财务系统安全防护 . 67 4 机房设备集中监控管理 . 67 4.1.1 设备及 应用系统管理现状 . 67 4.1.2 建立机房集中控制管理系统需求 . 67 4.1.3 集中控制管理系统方案实现 . 68 4.1.4 功能特点 . 69 4.2 监控显示系统 . 69 4.2.1 投影显示系统 . 69 3 4.2.2 等离子显示系统 . 69 5 网络管理中心 . 70 5.1.1 建立网络管理中心需求 . 70 5.1.2 网络管理功能实现 . 70 6 桌面管理及补丁分发中心 . 73 6.1.1 建立桌面管理中心需求 . 73 6.1.2 桌面管理功能实现 . 75 7 网络设备升级 . 824 1 概述 京唐港 股份有限公司 办公大楼 网络 信息系统 目前刚刚投入使用， 主要包括新建大厦、旧办公区办公网络以及部分省市办事处专网，该套网络与 Internet 互联， 将要实现整个业务系统的办公自动化，包括业务系统使用、数据存储备份、文件共享、对外宣传等，同时还要为员工相关业务应用及学习提供便利的上网条件；所以该网络 既是办公系统的承载体， 也是威胁风险的承受体，在 公司 规模日渐 壮大的今天 ，网络规模也相应的 在 不断的扩大， 相关的配套 网络及安全 设备 虽然 具有较新的技术和功能， 但 还不足以抵御纷繁复杂的互联网的威胁，整个网络的安全 也 需要做 相应的增强防护， 另外 从设备及应用的管理角度来看，可以 采取一些智能 和高效 的管理手段 及措施，在 保障业务正常运行了同时， 保证系统的安全可靠， 减少和 简化安全管理， 提高 系统 工作 效率。 本方案将着重从安全系统的整体建设及相应的一些网络管理手段上具体分析，并提出可行性的实施方案，把目前在使用过程中遇到的一些问题解决并防患于未然，同时为用户提供一整套安全及网络管理措施，把公 司网络建设成为一个符合业务需求、安全可靠、容易管理操作的 高质量的办公网络。 2 网络 系统安全建设 2.1 安全现状分析 京唐港股份有限公司依托于京唐港整体规划建设 和发展 ， 将承载着越来越多的港口业务等工作，特别是随着信息化办公的进一步深入， 自动化办公的便利和效率可以说是公司发展壮大的必要手段 ； 但是 京唐港股份有限公司 办公大楼是整个公司信息的核心地带，不但为本地员工及另外 一个 园区的业务人员 提供各种办公应用服务，而且在各地已经或是将要成立办事处，实现远程办公，并且各个位置和部门的业务需求又不尽相同，在这种网络结构较为庞大，多层 次、多应用的网络中，安全是一项很重要的任务和保证措施。 目前，该网络已经建设完成，安全手段主要 在网络边界处 采取了 防火墙，在 5 整个网络中部署了网络版杀毒软件和网管软件， 其他安全措施主要是依靠个人的安全意识和行为；现阶段，全网已经爆发了多次病毒感染等问题，一定程度上影响了办公的效率，所以有必要进一步从技术角度完善安全系统。 2.2 安全风险分析 2.2.1 物理安全 物理安全层面存在下述威胁和风险形式： 机房毁坏：由于 战争、自然灾害、意外事故造成机房毁坏，大部分设备损坏 。 线路中断：因线路中断，造成系统不能正常工作。 电力中断：因电 力检修、线路或设备故障造成电力中断。 设备非正常毁坏：因盗窃、人为故意破坏造成设备毁坏。 设备正常损坏：设备软 、硬件故障，造成设备不能正常工作。 存贮媒体损坏：因温度 、湿度或其他原因，各种数据存储媒体不能正常使用。 2.2.2 网络安全与系统安全 互联网安全隐患：互联网会带来的越权访问、恶意攻击、病毒入侵等安全隐患 ； 搭线窃取的隐患：黑客或犯罪团体通过搭线和架设协议分析设备非法窃取系统信息 ； 病毒侵袭的隐患：病毒在系统内感染、传播和发作 ； 操作系统安全隐患：操作系统可能的后门程序、安全漏洞、安全设置不当、安全级 别低 等，缺乏文件系统的保护和对操作的控制，让各种攻击有可乘之机； 数据库系统安全隐患：不能实时监控数据库系统的运行情况，数据库数据丢失、被非法访问或窃取 ； 应用系统安全隐患：应用系统存在后门、因考虑不周出现安全漏洞等， 6 可能出现非法访问 ； 恶意攻击和非法访问：拒绝服务攻击，网页篡改，下载不怀好意的恶意小程序，对系统进行恶意攻击，对系统进行非法访问等。 2.2.3 应用 安全 身份假冒：缺少强制认证和加密措施的涉密信息系统，关键业务系统被假冒身份者闯入 ； 非授权访问：缺少强制认证和加密措施的涉密信息系统，关键业务系统被越权访问 ； 数据失、泄密：涉密数据在处理、传输、存储过程中，被窃取或非授权访问 ； 数据被修改：数据在处理、传输、存储过程中被非正常修改和删除 ； 否认操作：数据操作者为逃避责任而否认其操作行为。 2.2.4 安全管理 安全管理组织不健全：没有相应的安全管理组织，缺少安全管理人员编制，没有建立应急响应支援体系等。 缺乏安全管理手段：不能实时监控机房工作、网络连接和系统运行状态，不能及时发现已经发生的网络安全事件，不能追踪安全事件等。 人员安全意识淡薄：无意泄漏系统口令等系统操作信息，随意放置操作员 IC 卡，私自接入外网，私自拷贝窃 取信息，私自安装程序，不按操作规程操作和越权操作，擅离岗位，没有交接手续等，均会造成安全隐患。 管理制度不完善：缺乏相应的管理制度，人员分工和职责不明，没有监督、约束和奖惩机制，存在潜在的管理风险。 缺少标准规范：系统缺乏总体论证，没有或缺少相关的标准规范，各子系统各自为政，系统的互联性差，扩展性不强。 缺乏安全服务：人员缺少安全培训，系统从不进行安全评估和安全加固，系统故障不能及时恢复等。 7 2.3 安全需求分析 基于上述的安全风险分析， 京唐港股份有限公司 信息系统必须采取相应的应对措施与手段， 形成有效的安全防护能力 、隐患发现能力和应急反应能力，为 整个 信息系统建立可靠的安全运行环境和安全业务系统，切实保障 全公司 信息系统正常、有序、可靠地运行。 2.3.1 物理安全 需求分析 异地容灾：异地容灾主要是预防场地问题带来的数据不可用等突发情况。这些场地问题包括：电力中断 供电部门因各种原因长时间的中断；电信中断 各种原因造成的通信线路破坏；战争、地震、火灾、水灾等造成机房毁坏或不可用等。这些灾难性事件会直接造成业务的中断，甚至造成数据丢失等，会造成相当程度的社会影响和经济影响。通过容灾系统将这种“场地”故障造成的数据不可用性减到最小。要求灾难发生时，异地容灾系统保证：数据在远程场地存有一致、可用的拷贝，保证数据的安全；应用立即在远程现场运行，保证业务的连续性 。 机房监控：机房监控主要是预防盗窃、人为破坏、私自闯入等情况。监控手段有门禁系统、监视系统、红外系统等。 设备备份：设备备份用于预防关键设备意外损坏。 网络中关键网络设备、服务器应有冗余设计。 线路备份：线路备份主要是预防通信线路意外中断。 电源备份：电源备份用于预防电源故障引起的短时电力中断。 2.3.2 网络安全与系统安全 深层防御：深层防御就是采用层次化保护 策略，预防能攻破一层 或一类保护的攻击行为，使之无法破坏整个办公 网络。要求合理划分安全域，对每个安全域的边界和局部计算环境，以及域之间的远程访问，根据需要采用适当的有效保护。 8 边界防护：边界防护用于预防来自本安全域以外的各种恶意攻击和 远程访问控制。边界防护机制有防火墙、入侵检测、隔离网闸等，实现网络的安全隔离 。 网络防病毒：网络防病毒用于预防病毒在网络内传播、感染和发作。 备份恢复：备份恢复用于意外情况下的数据备份和系统恢复。 漏洞扫描：漏洞扫描用于及时发现操作系统、数据库系统、应用系统以及网络协议安全漏洞，防止安全漏洞引起的安 全隐患。 主机保护：对关键的主机，例如数据库服务器安装主机保护软件，对操作系统进行安全加固。 安全审计：用于事件追踪。要求网络、安全设备和操作系统、数据库系统有审计功能，同时安装第三方的安全监控和审计系统。 2.3.3 应用安全 身份认证：身份认证用于保证身份的真实性。公司 网络中身份认证包括用户身份认 证、管理人员身份认证、操作员身份认证服务器身份认证。鉴于办公 网 与互联网相连 ， 用户数量较大的，基于数字证书（ CA）的认证体制将是理想的选择。 权限管理：权限管理指对 公司办公 网络中的网络设备、业务应用、主机系统的所有操作和访 问权限进行管理，防止非授权访问和操作。 数据完整性：数据完整性指对办公 网络中存储、传输的数据进行数据完整性保护。 抗抵赖：抗抵赖就是通过采用数字 签名方法保证当事人行为的不可否认性，建立有效的责任机制，为京唐港公司 网络创造可信的应用环境。 安全审计：各应用系统对各种访问和操作要有完善的日志记录，并提供相应的审计工具。 2.3.4 安全管理 组织建设：安全管理组织建设包括：组织机构、人才队伍、应急响应支援体系等的建设。 9 制度建设：安全管理制度建设包括：人员管理制度、机房管理制度、卡机具生产管理制度、设备管理制度、文档管理 制度等的建设。 标准建设：安全标准规范建设包括：数据交换安全协议、认证协议、密码服务接口等标准规范的建立。 安全服务：安全服务包括安全培训、日常维护、安全评估、安全加固、紧急响应等。 技术建设：安全管理技术建设主要指充分利用已有的安全管理技术，利用和开发相关的安全管理工具，提高安全管理的自动化、智能化水平 。 2.4 安全实施方案 2.4.1 物理安全防护 物理安全是整个系统安全的基础，要把 公司内部局域 网系统的安全风险减至最低限度，需要选择适当的技术和产品，保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及 人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 机房建设必须严格按照国家标准 GB50173-93电子计算机机房设计规范、国标 GB2887-89计算站场地技术条件、 GB9361-88计算站场地安全要求进行建设。 通过防盗措施，如装备报警装置防止设备被盗；通过对重要设备电源采用UPS 供电防止电源意外断电中断服务；通过对重要设备或线路冗余备份保持服务的可持续性。 2.4.2 备份与恢复 对于网络应用实时性要求很高的系统，数据备份措施往往采用服务器的双机备份。即两台服务器同时安装备份系统，同时在线，互为备份 。正常情况下，由主服务器提供服务，备份服务器处于带电但不提供服务状态，一旦主服务器出现故障，备份服务器自动接管主服务器来提供服务。保证应用服务器能够提供不间 10 断的服务。 京唐港股份公司 应用服务可靠要求较 高，而且业务数据存储容量 会随着业务的扩展而增 大，并 非常重要。为了防止业务数据的丢失和损坏而影响业务办理，或者在数据出现意外事 故时无法恢复，必须对数据库进行备份。根据实际情况可采用 SAN 结构存储系统， 采用磁带库进行备份并实现灾难恢复。 2.4.3 访问控制 访问控制是网络安全防范和保护最有效手段之一，据统计分析，完善的访问控 制策略可把网络安全风险降低 90%。网 络的访问控制技术可以针对网络协议 、目标对象以及通讯端口等进行过滤和检验，符合条件才通过，不符合条件的则被丢弃。系统访问控制可以针对具体的一个文件或目录授权给指定的人员相应的权限，受派者在试图访问相应信息时，需要验证身份、判别权限后才能进行访问。访问控制的主要任务是保证网络资源不被非法使用和非法访问。访问控制技术是保证网络安全最重要的核心策略之一。 访问控制策略可以采用三层交换设备 VLAN 技术、 ACL 技术、绑定技术等，使得不同部门、不同组别、不同用户之间的网络访问达到有效的 控制；也可以通过在不同网络安全域之间加装防火墙等安全设备，利用防火墙的控制策略达到网络访问控制的目的。 2.4.4 系统安全 系统安全包括数据库安全和操作系统安全，下面分别阐述。 数据库安全 数据库存放了整个网络中的重要数据，为此需要建立一套有效的安全机制。加强数据库系统登陆权限管理，加强管理员登陆口令的管理以及数据库远程访问权限的管理，对数据库采用备份与恢复机制。同时对重要的涉密系统应选用经国家主管部门批准使用的安全数据库，或者对数据库进行安全增强改造、加固。数据库具体安全要求： 11 1、用户角色的管理 这是保护数据库系 统安全的重要手段之一。把网络中使用数据库的用户设置为不同的用户组并对用户组的安全属性进行验证，有效地防止非法的用户进入数据库系统；在数据库中，可以通过授权对用户的操作进行限制，即允许一些用户对数据库服务器进行访问，具有读写整个数据库的权利，而大多数用户只能在同组内进行读写或对整个数据库只具有读的权利。在此，特别强调对系统管理员和安全管理员两个特殊账户的保密管理。 2、数据保护 数据库的数据保护主要是数据库的备份，当计算机的软硬件发生故障时，利用备份进行数据库恢复，以恢复破坏的数据库文件、控制文件或其他文件。 另一种数据保护是日志，数据库实例都提供日志，用以记录数据库中所进行的各种操作，包括修改、调整参数等，并在数据库内部建立一个所有作业的完整记录。再一个就是控制文件的备份，一般用于存储数据库物理结构的状态，控制文件中的某些状态信息在实例恢复和介质恢复期间用于引导数据库，在实际操作时，需要为网络的数据库分别指定相应的备份策略。 操作系统安全 目前用户办公计算机采用操作系统还主要基于 Windows 平台。其自身安全需要得到关注，即在日常工作中必须注意对操作系统进行必要的防护。如： 1、定期维护：及时安装漏洞补丁，定 期进行完整性检查、配置检查、病毒检查和漏洞扫描。 2、使用权限控制：用户权限、口令安全。 3、远程访问安全：进行基本的安全配置。 2.4.5 网段划分 与虚拟局域网 网段划分主要是对 IP 地址进行合理的规划和分配。为确保 办公网 中各子网以及用户之间的互联互通和便于部署网络安全基础设施，保证网络正常、安全运 12 行，需要合理规划、分配外网各部门的 IP 地址。网段划分的方法可以采用各个部门或机构划分 网段，重要的服务器设备划分单独的网段，以便监控网络关键设备的安全。 虚拟局域网可有效地解决广播风暴、广播攻击、充分利用网络带宽资源。结合访问 控制列表功能，可以极大地增强 办公网 的安全性，防止 网 络内用户对系统相关信息的非授权访问。办公 网可按各个职能来划分 VLAN，如将领导所在的网络单独作为一个 Leader VLAN (LVLAN )，技术人员划分为一个 VLAN，工作人员划分为一个 VLAN，而其它机构分别划作一个 VLAN。其共享服务器（如 EMAIL服务器、 DNS 服务器、 WEB 服务器等）单独划作一个 VLAN (MVLAN)。其他服务器如数据库服务器划为 Data VLAN。 2.4.6 办公网 整体安全建议 根据以上的安全风险分析、需求分析和 京唐港公司 的具体情况， 建议 从以下方面考虑进行安全方面的部署： 终端防护 A. 在系统内所有客户端部署统一管理的 企业级防病毒系统 。通过防病毒系统的统一部署，可以防止病毒的感染和传播。这可以解决常见的计算机瘫痪、网络阻塞等安全问题。 B. 在系统内所有客户端部署统一管理的 终端安全防护系统。 通过终端安全防护系统的统一部署，可以 京唐港公司 安全管理制度提供有利的技术保障措施，保障终端的系统安全和终端的安全管理。 C. 在中心部署 身份认证登陆系统 ，终端必须通过身份认证才能进入，避免非法进入 。 边界的防护 A. 通过 防火墙 系统的部署，可以根据不同的安全要求，设置不同的安 全区域， 来限制不同信任度区域之间的相 互访问，保护各关键应用服务器系统免受网络上的非法访问和恶意攻击，可以在服务器区的前端增 13 加一台防火墙设备。 B. 通过 入侵检测 系统的部署， 帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。 服务器的防护 A. 与客户端一起，在系统内所有服务器部署统一管理的 企业级防病毒系统 。通过防病毒系统的统一部署，可以防止服务器免受病毒的感染和传播。这可以解决常见的服务器瘫痪、信息资产丢失等安全问题，为服务器病毒防护提供有效的安全保障。 B. 与客户端一起，在系统内所有服务器 部署统一管理的 终端安全防护系统 。通过终端安全防护系统的统一部署，为服务器提供访问控制、系统的安全、补丁的有效管理、和为服务器的安全管理提供技术保障措施。 C. 服务器安全加固 ，对关键服务器进行安全加固，保证服务器的安全使用和稳固 。 系统安全防护 A. 在办公网系统上部署 漏洞扫描系统 ，可以随时的对网络内的所有终端、服务器、数据库系统进行扫描，以发现安全隐患。 B. 在系统当中 部署 安全强审计系统 。根据用户的安全策略制定详细的审计保护规则，对 整个网络和主机中 违反安全策略的行为进行阻断，并向管理中心报警。 系统整体安全 体系结构 图见 图 1： 14 W E B 服 务 器邮 件 服 务 器病 毒 服 务 器I N T E R N E T出口生产系统区办公系统区入 侵 检 测 系 统安 全 审 计 系 统K V M审 计 服 务 器网 管 工 作 站旧办公区各个楼层交换入 侵 检 测 系 统入 侵 检 测 系 统公共系统区入 侵 检 测 系 统网络管理区图 1： 系统整体安全体系结构 示意 图 2.4.7 防火墙实施方案 实施原则 （ 1） 整体性 安全防范体系的建立和多层保护的相互配合； 实现技术、产品选型、质量保证与技术服务的统一。 （ 2） 先进性 安全技术先进； 安全产品成熟； 安全系统技术生命的周期适度。 （ 3） 可用性 安全系统本身的可用性； 安全管理友好，并于其他系统管理的有效集成； 避免造成网络系统结构的复杂； 15 尽量降低对原有网络系统的性能影响和不影响应用业务的开展。 （ 4） 扩充性 安全系统能适 应客户网络和业务应用需求的变化而变化； 安全系统遵循标准，系统的变化易实现、易修改、易扩充。 实施策略 采取核心保护策略，尽可能的以最小的投资达到最大的安全防护。 采用可以提供集中管理控制的产品，同时要求考虑产品适应性可扩展性，以适应网络扩展的需要。 产品在使用上应具有友好的用户界面，使用户在管理、使用、维护上尽量简单、直观。 建立层次化的防护体系和管理体系。 防火墙系统部署 从 京唐港公司网络结构和功能划分上，可以看出，办公 网 中 的服务器区域是很重要的安全区域，这些服务器承载着 整个公司 全部网络功能的需求，对网 络安全系数的要求很高 ，一旦重要服务器遭到攻击破坏，将对整个公司的业务产生非常大的影响，所以可以 在服务器交换机与核心交换机的连接中设置防火墙设备，根据用户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通信，是必不可少的安全防御措施。 控制从外网区到安全服务区的访问，确保允许的访问才能够进行，而其他未经过允许的行为全部被禁止； 限制安全服务区对非安全服务区的直接访问； 防火墙有效记录区域之间的访问日志，为出现安全问题时提供备查资料； 具体配置情况如图 1 所示，在网络边界处部署一台防火墙 作为网 络系统与Internet 连接的第一道安全防护，通过防火墙提供的功能来达到访问控制的目的 ；另外，在各个系统 区的出口处也部署一台防火墙，用来保证 各个区域 的安全，制定不同的安全策略，实现对重要服务器 系统 的防护和访问控制。 16 防火墙安全策略 针对 公司办公局域网 的具体情况，我们 建议制定以下的安全策略： 安全区域隔离策略 由于网络安全的整体性要求，为了使网络系统达到一定的安全水平，必须保证对 网络中各部分都采取了均衡的保护措施， 但对于公司整个办公网来说都采用相同的手段是不可能也没有必要的， 本办公网可以采 用的方法 是根据网络不同部分的重要 性划分为不同的安全区域，并着重对其中重要的安全区域进行隔离和保护。 建议采用防 火墙系统审查和控制不同区域之间的通信连接，重点是各服务器区域与办公 网 内 用户区域之间的连接。 访问控制策略 防火墙被部署后 ，将根据实际应用需要定义适当的安全策略，针对源地址、目的地址、网络协议、服务、时间、带宽等条件的实现访问控制，确保不同网络区域之间的授权、有序访问 ，特别是防止互联网中非法用户的访问或一些恶意的攻击 。 例如，服务器区域防火墙上可制定如下安全策略： - 允许业务相关的用户区域主机访问本区域服务器的特定端口，拒绝其他任何访问请求，这样可以保护服务器系统不受非法入侵和攻击； - 缺省规则应该是拒绝一切访问。 本次项目我们将在实施的过程中，根据网络 的真实环境和应用系统数据交互的实际需要，来制定详细的访问控制策略。基本原则是开放最少端口。作为区域边界保护的准则，防火墙的访问控制策略与业务的一致性是保证系统访问控制策略是否得到实施的关键，因此对防火墙访问控制策略的定期检查和调整是区域边界保护中要注意的问题。 用户认证和授权策略 选择一种既方便实用又具备足够安全性的用户认证机制，通过防火墙实现对网络用户身份的可靠鉴别和访问授权管 理，防止非法人员盗用合法用户的网络地址来假冒合法用户访问关键资源，同时也便于针对实际用户进行行为审计。 带宽管理策略 17 我们可以依据应用需要来限制流量，来调整链路的带宽利用 。 可以在防火墙中直接加载控制策略，为比 较重要的访问 定义可用的最大带宽和优先级，确保为重要的应用预留足够的带宽进行数据交换。 我们还可以 定义任意两个网络对象之间通信时的最大带宽。 例如，通过防火墙的带宽管理，可为内部网络的重要用户如领导、网络管理人员等定义进行网络通信时的最大带宽和优先级，而且带宽分配可以是分层的，例如部门带宽下面有小组带宽然后 是个人带宽等，可以防止带宽被滥用，保证重要的通信的顺畅。 日志和审计策略 一个安全防护体系中的审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图，使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。进行信息审计的前提是必须有足够的多的日志信息。 防火墙系统提供了强大的日志功能，可对重要关键资源的使用情况进行有效的监控，实现日志的分级管理、自动报表、自动报警功能，用户可以根据需要对不同的通讯内容记录不同的日志，包括会话日志（主要描述通讯的时 间、源目地址、源目端口、通信流量、通讯协议等）和命令日志（主要描述使用了那些命令，执行了那些操作）。用户可以根据需要记录不同的日志，从而为日志分析、事后追踪提供更多的依据。同时，产生的日志能够以多种方式导出，有利于网络内部署的安全集中管理平台进行统一的管理。 防火墙选型 由于将各个系统按照区域化分进行分别防护，在总出口处已经部署一台 高性能 千兆防火墙，根 据流量及应用实际分析，在办公系统和生产系统处可分别部署一台千 兆防火墙，考虑到部分有可能系统采用 VPN 设备，所以可以选择带 VPN功能模块的防火墙。 产品功能： 功能类别 功能项 功能细项 网络安全性 工作模式 路由、透明、混合 内容过滤 支持基于流、数据包、透明代理的过滤方式。 支持对 HTTP、 SMTP、 POP3、 FTP 等协议的深度内容过滤。 18 支持 URL 过滤 支持对移动代码如 Java applet、 Active-X、 VBScript、 Jscript、 Java script的过滤 支持对邮件的收发邮件地址、文件名、文件类型过滤 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤 动态端口支持协议： FTP、 RTSP、 SQL*NET、 MMS、 RPC(msrpc,dcerpc)、H.323、 TFTP。 防病毒 对通过的数据进行在线过滤，查杀邮件正文附件、网页及下载文件中包含的病毒， 病毒库更新 提供快速扫描及完全扫描两种扫描方式 系统状态实时监控 包过滤 基于状态检测的动态包过滤 实现基于源 /目的 IP 地址、源 /目的 MAC 地址、源 /目的端口、协议、时间等数据包快速过滤 支持报文合法性检查 可实现 IP/MAC 绑定 防御攻击 非法报文攻击： land 、 Smurf、 Pingofdeath、 winnuke、 tcp_sscan、 ip_option、teardrop、 targa3、 ipspoof 统计型报文攻击： Synflood、 Icmpflood、 Udpflood、 Portscan、 ipsweep Topsec 联动：可与支持 TOPSEC 协议的 IDS 设备联动，以提高入侵检测效率。 端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置 SYN 代理：对来自定义区域的 Syn Flood 攻击行为进行阻断过滤 AAA 服务 支持使用一次性口令认证（ OTP）、本地认证、 双因子认证（ SecureID）以及数字证书（ CA）等常用的安全认证方式 支持使用第三方认证如 RADIUS、 TACACS/TACACS+、 LDAP、域认证等安全认证方式 支持 Session 认证、 HTTP 会话认证 支持认证保活功能 可将认证用户信息加密存放在本地数据库 NAT 支持双向 NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 支持虚拟服务器功能 网络适应性 路由 支持静态路由、动态路由 支持基于源 /目的地址、接口 、 Metric 的策略路由 支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。 支持 Vlan 路由，能够在不同的 VLAN 虚接口间实现路由功能。 19 支持 RIP、 OSPF 等路由协议。 组播 支持 IGMP 组播协议 支持 IGMP SNOOPING 可有效地实现视频会议等多媒体应用 VLAN 支持与交换机的 Trunk 接口对接，并且能够实现 Vlan 间通过安全设备传播路由 支持 802.1Q，能进行 802.1Q 的封装和解封 支持 ISL，能进行 ISL 的封装和解封 在同 一个 Vlan 内能进行二层交换 生成树 支持 802.1D 生成树协议，包括 PVST+及 CST 等协议。 ARP 支持 ARP 代理、 ARP 学习 可设置静态 ARP 非 IP 协议 支持对非 IP 协议 IPX/NetBEUI 的传输与控制。 DHCP 支持 DHCP Client、 DHCP Relay、 DHCP Server 接入 支持 ADSL 接入功能，可满足中小企业的多种接入需求。 支持 PPPOE 拨号接入 其它 支持网络时钟协议 SNTP，可以自动根据 NTP 服务器的时钟调整本机时间 支 持 IPX、 NetBEUI 等非 IP 协议。 VPN IKE 支持基于标准 IKE 协商的 VPN 通信隧道 支持多种 IKE 认证方式，如预共享密钥，数字证书等 支持 IKE 扩展认证，如 Radius 认证等。 解决方案 支持网关到网关、远程移动用户到网关的 VPN 隧道 在具有 SCM 的解决方案中，支持灵活的移动用户到移动用户的隧道。 可以和密码机产品，远程客户端产品及 VPN 安全管理系统（ SCM）共同组成完整的 VPN 解决方案。 算法 支持 3DES、 DES、国密办等加密算法 支持标准 MD5、 SHA-1 认证算法 支持加密卡提供的 MD5、 SHA-1 认证算法 工作模式 支持 HUB-SPOKE 方式 支持网状连接方式 支持分级的树状连接方式 其它功能 支持网络邻居（利用 WINS） 支持隧道的 NAT 穿越 支持对隧道内明文的访问控制 可同时支持明密传输 安全管理 日志 支持 Welf、 Syslog 等多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 支持对接收到的日志进行缓冲存储 20 通过安全审计系统（ TA-L），可获得更详尽的日志分 析和审计功能 ,并能提供员工上网行为管理功能。 可选高级日志审计功能模块，除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。 监控 支持网络接口监测、 CPU 利用率监测、内存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程内存监测、加密卡状况监测。 可根据配置文件进行错误恢复 报警 报警事件：内置了 “管理 ”、 “系统 ”、 “安全 ”、 “策略 ”、 “通信 ”、 “硬件 ”、“容错 ”、 “测试 ”等多种触发报警的事件类 报警方式：采用邮件、 NETBIOS、声音、 SNMP、控制台等多种报警方式，报警方式可以组合使用。 带宽管理 QoS QOS 带宽管理 根据 IP、协议、网络接口、时间定义带宽分配策略 支持最小保证带宽和最大限制带宽 支持分层的带宽管理 优先级 支持 8 级优先级控制 双机热备 支持双机热备 支持系统故障切换 负载均衡 支持服务器的负载均衡，提供轮询、加权轮叫、最少连接、加权最少链接等多种负载均衡方式供用户选择。 支持生成树协议，可实现链路负载均衡。 其它功能 支持链路备份功能 支持 双系统引导，当主系统损坏时，可以启用备用系统，不影响设备的正常使用 支持 Watchdog 功能 配置管理 配置方式 支持 WEB 图形配置、命令行配置 支持本地配置、远程配置 支持基于 SSH、 SSL 的安全配置 命令行 支持配置命令分级保护 支持中英文 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 SNMP 支持 SNMP 的 v1 、 v2 、 v2c 、 v3 版本 与当前通用的网络管理平台兼容，如 HP Openview 等。 系统升级 支持双系统升级 支持远程维护和系统升级 支持 TFTP 升级 报文调试 提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题。 支持发送虚拟报文 21 配置恢复 可以进行配置文件的备份、下载、删除、恢复和上载。 其它 扩展能力 开放式的架构支持未来方便扩展防病毒、防垃圾邮件、 IPSEC VPN、 SSL VPN 等功能以及各种 VPN 加速卡 技术参数 1. 1000M 光纤接口 2； 2. 并发连接数 50 万 ； 3. VLAN 支持：支持 802.1q； 4. 流量管理：支持带宽管理和优先级控制 ； 5. 支持 IP 与 MAC 地 址绑定 ； 6. 支持 HTTP、 STMP、 POP3、 FTP、 SOCKS 代理 ； 7. 支持抗 DOS、端口扫描、特洛伊木马等攻击 ； 8. 支持基于 H.323 的视频会议和 VOIP 语音系统 。 2.4.8 入侵检测系统实施方案 入侵检测系统 概述 入侵检测系统是属于主动防御 ， 它识别大量的攻击模式、并根据用户策略 做出响应。入侵检测系统以实时性、动态检测和主动防御为特点，有效弥补了其它静态防御工具的不足，完善我们的防御系统 ， 已经成为网络安全系统的必备设施。 网络 入侵检测系统 可以对整个网络进行检测和防御， 通常由控制中心和探测引擎两部分组成。探测引擎一般采用 专用硬件设备通过旁路方式接入检测网络。探测引擎全面侦听网络信息流，动态监视网络上流过的所有数据包，进行检测和实时分析，从而实时甚至提前发现非法或异常行为，并且执行告警、阻断等功能，并记录相应的事件日志。控制中心是面向用户，提供管理配置使用。它支持控制多个位于本地或远程的探测引擎，集中制定和配置监控策略，提供统一的数据管理。 对发现入侵或异常行为，入侵检测系统控制中心能记录、显示详细的入侵告警信息，如入侵主机的 IP 地址、攻击特征等。通过对所记录的历史报警信息进 22 行分类统计，可形成用户所需要的管理报表。 入侵检测 技术 高性能报文捕获 DMA 和零拷贝技术 IDS 作为保障信息安全的重要环节，一直发挥着重要作用。目前，由于网络自身的发展非常迅速，一般的网络局域网主干交换带宽速度由 10/100M 的网络发展到 1000M，给 IDS 带来了巨大的挑战。由于传统的入侵检测系统一般基于简单的模式匹配实现，在百兆满负荷的网络环境中工作已经相当吃力，而网络带宽成 10 倍的增加，如果不考虑其它条件，意味着要求 IDS 增加 10 倍的处理能力，因此网络的发展，提出了千兆或更高性能 IDS 的需求。而高性能入侵检测的一个重要瓶颈就在于高速的报文捕获和批量处 理分析。 为了提高报文捕获的效率，通过修改网卡驱动程序，使用 DMA 和数据零拷贝技术零拷贝技术，大大提高了效率，如下图所示： DMA 和数据零拷贝技术和传统入侵检测报文捕获技术的比较 零拷贝技术省略了 TCP/IP 堆栈的处理，直接将网卡通过 DMA 直接数据传输将报文数据传递到了 IDS 系统可以访问的空间，大大减少了传统方式中因为上下文切换和数据拷贝而带来的系统开销，使用了零拷贝技术之后，系统的捕包效率大大提高，测试结果是在能够在 1.4G 的 CPU 下，捕获 100 万 /秒报文时，CPU 占用率还低于 10%。这种效率完全可以满足在千兆高速环境下入侵检测分析。 23 支撑平台 结构 和系统 优化 对于整体结构的优化有助于进一步提高 IDS 系统引擎的速度。 1. 并行处理 在双 CPU 并行处理机上，通过使用多线程，使得我们可以将多个报文同时进行处理，为了减少同步带来的代价，使用报文的预分析，然后根据预分析的结果进行任务分配，将一个报文的所有分析和匹配工作都交给一个工作线程去处理，多个线程可以同时并行处理多个报文。 2. 使用汇编语言实现关键处理 通过使用汇编语言可以大大减少使用高级语言带来的冗余代码，在核 心的关键处理上如模式集合的匹配上使用汇编语言实现能够大大提高效率。 3. 优化内存分配算法 经过分析在 IDS 系统中，会大量的使用内存的分配和释放操作，如果，实现中都通过系统的分配释放函数来实现会大大影响系统的处理速度。通过使用简化而且合理的内存分配算法，能够使这部分的代价减少。 通过精简运行的操作系统，使用优化程序技术也是提高入侵检测的性能的必要条件，同时保证了入侵检测产品的自身安全性。 基于状态的全面协议分析 协议分析模块完成 IDS 系统引擎中主要的分析工作，对于一个报文在引擎的处理过程中，报文：分析：匹配 1： 1： N，这就是说一个报文需要经过一次分析，再和 N 条规则进行匹配之后产生事件。如果能够通过更准确的分析，减少匹配的工作，就能够最终提高整个 IDS 系统的处理效率。因此协议分析的准确性和效率对于整个系统的处理效率影响非常大。这部分包括两个大的方面： 提高协议分析的速度 1. 基于状态的协议分析 网络中通讯的报文一般都不是孤立的，而是在一系列的报文通讯之中的，也就是说是有一定的报文前后上下文的。通过基于状态的协议分析，能够大大提高解析的准确度，同时对于不同报文采用不同的少量分析的方式，从而也提高了协议分析的速度。 2. 运 用多种算法进行解析 24 在报文的分析过程，采用多种算法来提高协议解析的速度，比如使用高速树型匹配算法、 HASH 算法等等。 提高协议分析的效果 采用两种方法提高协议解析的效果：直接产生协议分析中确定的事件和更深入的协议分析。 1. 直接产生协议分析中确定的事件 通过在协议分析模块中直接产生事件，从而减少在匹配规则模块中规则集的规模，如： RFC 协议确定的事件和异常事件：如 FLOOD 攻击，从而提高整个报文的处理速度。 2. 更深入的协议分析 更深入的协议解析提高了规则集中规则的匹配准确性，比如缩小一次字符串匹配在报文 中搜索范围，从而节省时间，提高规则匹配的效率。 树型规则和匹配算法 前面已经提到，报文：分析：匹配 1： 1： N 的关系。一个报文需要跟多条规则进行比较，这需要大量的运算，占用许多的 CPU 时间。通过三个方法去提高其效率：协议规则子集、规则树和快速模式集合匹配。 1. 协议规则子集 协议规则子集是通过将规则集合中的规则按照其所属的协议分成许多小的子集，而一个报文只与其相关的协议规则子集中的规则进行匹配，从而大大减少实际一个报文进行匹配的规则数量，减少匹配时间。 2. 规则树 将线性规则匹配方式改造成为树型规则匹配方式，就必 须构造规则树。通过规则树，我们可以很容易在匹配过程中淘汰掉不可能的规则 ,减少重复判断的次数 ,并实现将一个协议变量的多个取值放到一起（形成取值集合）进行判断，大大的提高了比较效率。 3. 快速模式集合匹配 由于在一个报文的匹配中，最为耗时的匹配运算是在报文中匹配一个字符串模式，通过快速模式集合匹配算法来提高这部分匹配的效率。快速匹配意味着能够尽可能快的在一个正文串中查找到一个模式串的存在，这是通过提高匹配时移 25 动模式的距离实现的；集合匹配意味着同时快速的对多个模式进行匹配。二者的结合就是在一个报文中快速的匹配多个模式 。 准确的特征分析和规范描述 解决入侵检测的漏报和误报现象还依赖于 准确的特征提取和描述，在 所应用的特征全面采用了如下两种特征分析方法和统一的规范化语言描述 。 基于漏洞机理的特征分析 利用漏洞机理的方法来提取和定义特征，可以实现检测和具体攻击工具的无关性，特别对于防止新型变种的攻击和攻击工具改造非常有效。 基于攻击过程的特征分析 攻击过程分析法则是完全站在攻击者的角度，破析完整的攻击过程，可以判断攻击是处在攻击尝试阶段还是已经攻击成功。 入侵检测系统 部署 本方案中分别在公共区域、生产系统区域、办公系统区域部署 一套入侵检测系统， 部署示意图如图 1 所示， 公共系统的入侵检测引擎与核心交换机相连，办公系统、生产系统的入侵检测系统与该区域的交换机相连，分别针对不同的需求，对各个子网的入侵进行检测和防护 。 入侵检测系统选型 本方案中按照三个区域分别采用三套入侵检测系统，可以在生产系统、办公系统区域 和公共区域各采用一套千 兆入侵检测引擎， 另外，在核心交换机处部署一套高性能千兆入侵检测系统， 实时监控 各个子网 网络传输 状态 ，自动检测可疑行为，及时发现来自 网络外部或内部的攻击，并可以实时响应，切断攻击方的连接，同时还 可以与防火墙紧密结合 ， 产生联动， 弥补了防火墙的访问控制不严密的问题。 另外，根据网络 网络部署结构，可以 将核心处 选择 为 带子控功能 的入侵检测系统，当 在部署结构改变后 可以 作为中心节点使用。配合探测引擎， 管理中心 安装于一台服务器上， 控制中心面向用户，提供管理配置之用。控制中心是个高性能的管理系统，它能控制位于本地或远程的多个网络探测引擎的活动，集中 26 制定和配置策略，提供统一的数据管理。管理控制中心可以被设置为主、子结构，主管理控制中心可以实时接收、转发子控制中心的告警信息，分类提取子控制中心的日志信息，下发各种配置文件、策略供子控对其所属 网络探测引擎进行配置。 入侵检测系统功能 完善的管理控制体系 多层分级管理 所选入侵检测系统 的 管理 控制中心可灵活设置 成与行政业务管理流程紧密结合的集中监控、多层管理的分级体系。通过策略下发机制，使上级部门能够统一全网的安全防护策略；通过信息上传机制，使上级部门能够及时了解和监控全网的安全状态。 灵活的更新和版本升级 所选入侵检测系统 支持手动和自动的特征更新和版本升级，也可以在分级管理体系下由主控统一来完成。 所选入侵检测系统 的探测引擎同时支持通过 USB口进行升级。 全局预警 在 所选入侵检测系统 的多层分级管理体 系下，可以实现把单点发生的重要事件自动预警到其它管理区域，使得各级管理员对于可能发生的重要安全事件具有提前的预警提示 。 利用全局预警通道，各级管理员也可以发送交互信息，交流对安全事件的处理经验。 严格的权限管理 所选入侵检测系统 可以设定多种 分 类 权限 供不同的人员使用，支持更为严格的 多鉴别身份认证方式 。同时在产品部署上支持事件监测、事件分析以及管理配置分布部署，从物理角度保证管理安全。 时钟同步机制 所选入侵检测系统 支持 NTP 服务 进行时间同步 ，保证跨时区的部署条件下也能保持管理时间的一致性。 支持多报警显示台 27 所选入侵检测系统 提供了良好的多点监测机制，允许挂接多个报警显示中心，方便多个管理人员进行有效的报警观测。 数据库维护管理 所选入侵检测系统 提供强大的数据库维护管理功能，可以对历史数据进行自动、手动的备份、删除操作，还可以导入历史的备份数据。 可扩展到入侵管理 入侵检测全面支持入侵管理，实现多种安全产品：漏洞扫描、主机入侵检测的统一管理和协同关联。 全面的入侵检测能力 多种技术结合防止漏报 1. 采用引擎高速捕包技术保证满负荷的报文捕获； 2. 采用的高速树型匹配技术实现了一次匹配多个规则的模式，检测效率得以成倍的量级提 高； 3. 采用了 IP 碎片重组、 TCP 流重组以及特殊应用编码解析等多种方式，应对躲避 IDS 检测的手法，如： WHISKER、 FRAGROUTE 等攻击方式； 4. 采用预制漏洞机理分析方法定义特征，对未知攻击方式和变种攻击也能及时报警； 5. 采用行为关联分析技术，可以发现基于组合行为的复杂攻击； 多种措施降低误报 1. 基于状态的协议分析和协议规则树，保证特征匹配的准确性； 2. 基于攻击过程的分析方法定义特征，可以识别攻击的状态，提供不同级别的事件报警信息； 3. 通过采集和关联攻击发送方和被攻击目标的信息，可以成功或失败的攻击事件给出明确标 识。 4. 通过支持入侵管理，可以结合漏洞扫描结果来评估威胁的风险级别。 多种机制限制滥报 1. 内置状态检测机制，可以识别和处理类似“ STICK”等的反 IDS 攻 28 击，有效地避免了事件风暴的产生； 2. 提供多种可选的统计合并技术，可以对同一事件采用合并上报，减少报警量。 可扩展的响应和联动 所选入侵检测系同应具有丰富的可扩展事件响应方式， 包括 屏幕显示 日志记录 TCP KILLER 阻断 支持邮件方式远程报警、声音以及自定义程序报警 支持向网管发送 SNMP TRAP 信息 可以充分实现和第三方安全产品以及网络设备的策略响应 联动。 防火墙联动 :通过联动通讯标准的支持，防火墙业界主流的产品可以实现 和入侵系统 的联动，对外部发起的攻击行为进行阻断。 交换机联动： 可以 根据策略制定动态关闭相应的交换机端口，可以防止蠕虫类事件的攻击扩散，进行内网安全防护。 多样化的日志分析报告 可以 为管理人员和入侵检测分析员提供了不同类型的日志分析手段和报告输出 。 为管理人员提供了常用的周期性统计报表类型模版，管理人员可以直接利用，得出管理性的安全结论。为入侵检测分析员提供了多种缺省分析 模版，根据这些模版可以获得多种分类的事件日志信息和统计排名。入侵检测系 统 提供了多样化的日志过滤查询条件，用户可以进行自主定义习惯的查询模式，进行有效的日志分析查询。 报表可以导出为多种常用格式（ WORDEXCEL），并设置邮件定时发送报告功能。 检测 性能指标 攻击特征流采用统一的 100 种标准的不同攻击样本，目标机器配置多种网络服务。网络背景流量采用专用发包设备来制造，以背景流量为基准，测试入侵检测系统在不同的流量环境（包长）和不同连接背景下的检测能力。 29 千兆引擎的性能指标如下： 技术参数 1. 1 个标准 1000Base-SX(SC)接口（可扩展）；至少 3 个 标准 10/100/1000Base 30 TX 接口； 2. MTBF 9 万小时 ； 3. IP 碎片重组 500,000， 4. 最大检测 TCP 会话数： 800,000 ， 5. 检测流量： 1G。 2.4.9 漏洞扫描系统实施方案 配备一套漏洞扫描系统按要求就要以实现对内部计算机、网络设备、安全设备等进行安全性扫描、评估。为管理员、安全维护人员提供详细的脆弱性信息和安全建议。漏洞扫描器通过确定目标设备的系统状态，用于对网络设备和主机进行脆弱性分析。 实施 目的 由于防火墙固有的局限性和目前对入侵检测系统的逃避技术，网络安全性的提高还需要有漏洞扫描系统， 它是要实现对内部计算机、网络设备、安全设备等进行安全性扫描、评估。为管理员、安全维护人员提供详细的脆弱性信息和安全建议。 通过部署 漏洞扫描 系统主要为了达到如下的目的 ： 扫描分析网络系统，检测和发现网络系统中安全薄弱环节。 准确而全面地报告网络存在的脆弱性和漏洞。 检测并报告扫描目标的相关信息以及对外提供的服务。 根据用户需要生成各种分析报告。 实施策略 根据目前情况分析 采取全网扫描策略 ； 当网络规模增大后，特别是分为多级网络结构后可以采用分布式部署策略， 其功能组件可以部署在不同主机上，控制中心同时管理多个扫 描引 31 擎，不同的扫描引擎负责对不同网段的系统进行扫描检测，显示中心和报表中心可汇总显示各扫描引擎的扫描结果信息 。 漏洞扫描系统部署 由于漏洞扫描系统为软件产品，而且是定期或不定期使用，无需专门提供计算机来安装。可以安装在网络中配置较高的任意一台计算机上即可对全网相关设备 进行扫描。 但是本网络结构中由于部分需要重点防护，并且部分应用不可以跨网段，安全性要求也不尽相同，所以可以在三个区域分别部署一套漏洞扫描系统，制定不同的扫描策略，有针对性的进行漏洞扫描 ，另外也可以采用分布式单级部署方式，将不同扫描引擎安装在不同的 区域，然后进行统一管理 。单个系统 部署示意图如下： 路 由 器核 心 交换 机防火墙I D S楼 层 交 换 机工 作 站工 作 站工 作 站服 务 器 区扫 描 主 机安 全 性 分 析 报 告 ：系 统 版 本 太 低 ： 高 风 险管 理 员 口 令 永 不 过 期 ： 中 风 险开 放 N F S 等 无 关 服 务 ： 低 风 险 图 2：漏洞扫描系统部署示意图 漏洞扫描系统选型 漏洞扫描系统一般为软件产品，本方案选用带三个扫描器的漏洞扫描系统， 32 分别 对公共区域，生产系统区、 办公系统区进行部署，根据不同级别和策略的扫描采用不同的安全防护手段。三个扫描器可以安装在三个子网中的任意一台机器上，建议安装在应用服务器上，然后统一由管理中心管理。 漏洞扫描系统功能特点 分布式管理分布管理、集中分析 各扫描引擎可以按不同的扫描策略同时进行多网 络系统的漏洞检测，并将检测结果集中显示、集中分析 。 多级管理 对于拥有不同地域、大规模网络的用户，各个地域的网络安全管理员管理着本地域的网络安全状况，其上层的安全管理员可以上传检测结果、下达检测策略、统一管理、统一分析、统一升级；实现大规模网络环境下的全局风险控制、降低管理成本。 京唐港公司日后规模扩大可以采用此种方式。 策略管理 为用户提供多 种扫描策略， 用户可根据实际需求来选择合适的策略。同时，灵活的策略自定义功能可以让用户根据特殊需要更改和编辑扫描策略。应用特定配置的策略，用户能实现不同内容、不同级别、不 同程度、不同层次的扫描。 扫描计划定制 产品应支持扫描计划任务，可根据用户自定义的扫描计划来完成扫描任务，扫描任务可以按照不同时间类型（如每周、每月等）制定多个，分别自动执行，系统还支持计划有效期的设定。 扫描功能 可识别的扫描对象 能够准确的识别各种操作系统和主机名称，如 Win95/98/Me、 Windows NT、Windows 2000/XP、 Windows2003、 Linux、 Solaris、 SCO Unix、 HP Unix、 IBM AIX、IRIX、 BSD 等。 可以扫描的对象包括各种服务器、工作站 、网络打印机以及相应的网络设备如： 3Com 交换机、 CISCO 路由器、 Checkpoint Firewall、 HP 打印机、 Cisco PIX Firewall 等。 33 可以提供扫描对象的账户信息，便于检查是否异常账户出现。 扫描漏洞分类 Windows 系统漏洞、 WEB 应用漏洞、 CGI 应用漏洞、 FTP 类漏洞、 DNS、后门类、网络设备漏洞类、缓冲区溢出、信息泄漏、 MAIL 类、 RPC、 NFS、 NIS、 SNMP、守护进程、 PROXY、强力攻击等 1000 种以上 。 数据库扫描 支持对 MS SQL Server、 Oracle、 Sybase、 DB2 数据库的扫描功能。可以扫描数据库近二百多种漏洞，包含了有关空口令、弱口令、用户权限漏洞、用户访问认证漏洞、系统完整性检查、存储过程漏洞和与数据库相关的应用程序漏洞等方面的漏洞，基本上覆盖了数据库常被用做后门进行攻击的漏洞，并提出相应的修补建议。 Web 扫描 可以扫描目标主机的 Web 服务，以发现 Web 服务器可能存在的漏洞。 持常见的 IIS、 Apache 等 Web 服务器的扫描，尤其对于 IIS 具有最多的漏洞检测能力。 报告功能 具备全面详细的分析报告能力，可根据安全管理的不同角色定位按 照要求生成面向主管领导、管理人员、技术人员的不同类型的报告。这些报告包括：分时间扫描任务执行报告、分时间扫描任务执行结果、报告不同时间的扫描结果趋势比较、管理性简报、技术报告、评估报告以及扫描采用策略报告 。 报告中的内容包括漏洞信息、漏洞主机信息、危险级别、修补建议等，并提供安全补丁供应商的热连接，以保证快速及时的修补漏洞。 报告形式中采用图、表 以及详细文字说明结合，报告的标题格式可以由用户自定义， 可以输出多种格式的报告（如 PDF、 XML、 HTML 、 EXCEL、 WORD 等常见格式） 。 技术 参数 1. 支持多线 程定时和多网段 IP 地址的自动扫描 ； 2. 能够扫描发现网络设备，服务器以及防火墙中的安全漏洞 ； 3. 内置不同的策略模板如针对 Unix、 Windows 服务器、 WEB 应用漏洞，便 34 于用户定制扫描策略。用户可定义扫描范围，扫描策略； 4. 可定义扫描端口范围 ，支持多种方式的口令猜测方式，包括利用 Telnet, Pop3, Ftp, Windows SMB 进行口令猜测； 5. 可以通过本地或者网络升级随时保持与国际最新标准漏洞库同步。漏洞分为 19 大类，总计可扫描漏洞数量大于 2500 个 ； 6. 支持自动模板匹配技术提高扫描速度和准确率； 7. 无限 IP 扫描 。 2.4.10 身份认证系统实施方案 身份认证在整个系统中处于基础的、关键的地位。信息安全最基本、最关键的保护就是要从身份认证入手来提高和控制整个系统的安全。 公司 系统登录现状还是采用传统的静态口令的身份认证，而这种认身份认证是不能满足安全需求和安全管理标准的，主要是因为静态口令认证存在如下的安全隐患： 剽窃，主要表现在用户在输入口令的时候，被他人偷窥看到。 猜测，猜测的主要依据是根据静态口令不变的基本特征以及静态口令设置的基本要求，进行各种组合的扫描测试。 盗用，主要是采用各种软件手段，获得用户的存储口令的文件 或者获得用户的键盘输入。 截取，主要是有的口令在网络上传输是明文的，进行网络数据包截取后，就可以获得口令。 重发，主要是依据静态口令不变的特点，在网络上截取认证数据包，进行重发认证。 不管是哪一种方式，关键的原因就是静态口令能够被重复的使用，大大降低了系统的安全性。必须要采取一种方便实用的强力的身份认证技术。 实施目的 对接入网内的用户实行权限管理，身份鉴别； 35 实现人机对应，保证重要用户对机器的合法使用权； 防止非授权用户使用内部的网络 资源 ； 防止不相关人员使用非授权的机器 ； 防止口令等被别人盗窃、猜测 从而 丢失 重要 信息 ； 保护合法用户的合法使用权。 实施策略 目前 强力 身份鉴别技术有智能卡存储身份信息、数字证书、指纹、视网膜等生理特征识别等。 本方案所采用的身份认证技术为 指纹 身份信息方式， 通过使用相应系统 替换 Windows 操作系统网络登录的 身份认证机制。用户开机 登录 时，需要 将输入的指纹信息与已采集的指纹信息 进行对比 ， 客户端将包含指纹 数据的字节流发送到服务器端后，会接收到服务器端发过来的比对结果； 如果比对结果正确，则客户端可以将该用户的指纹数据存储到本地，以备以后比对时使用。然后程序就可以进行下一步的操作 登录 Windows 操作系统了。 当登录到 Windows 后系统处于锁定状态，用户欲解除锁定时，对话框采集到的指纹数据不用再传输到服务器端进行比对，而直接在本地比对即可。即将登录时存储在本地的登录用户的指纹调出，然后采用组件中提供的方法对采集到的指纹与从本地读取的指纹进行比对，比对成功则可以解除锁定，比对失败则给予用户相应的提示。 由于指纹属于生理特性，是鉴别身份强有力的手段，部署该套系统可以 实现用户与机器的一一对应， 保证了用户对机器的合法使用权。 身份认证系统部署 该身份认证系统部署较为简单，在一台服务器上安装服 务器段存储指纹信息尽心对比认证，在各个客户端安装客户端程序即可。 指纹验证登陆 功能 实现 1用带有指纹采集和显示的对话框替换 WINDOWS 原有对话框 36 为了实现用指纹验证方式替代用户名和密码的验证方式，需要用带有指纹数据采集和显示的对话框替代原有 WINDOWS 提示输入用户名和密码的对话框。 GINA里专门提供了 Winlogon 支持的一系列产生对话框的 API 函数，开发者可以使用这些函数来开发自己的对话框。 首先需要替代的是由 WlxLoggedOutSAS函数负责显示的登录 WINDOWS时的对话框。这里作者采用了 WlxDialogBoxParam 函数，这个函数的定义如下： int WlxDialogBoxParam( HANDLE hWlx, HANDLE hInst, LPWSTR lpszTemplate, HWND hwndOwner, DLGPROC dlgproc, LPARAM dwInitParam )； 其中前两个参数分别为代表 Winlogon 和 GINA 的句柄，在 WlxInitialize函数中可以得到； lpszTemplate 代表对话框模板，在资源中创建了对话框后直接用 MAKEINTRESOURCE 宏就可以得到这个值； hwndOwner 是指该对话框从属的窗体，这里不予指定； dlgproc 是指对话框的消息处理函数，用于处理各种关于对话框的消息； dwInitParam 是指传给对话框处理函数的值。这个函数和 win32 里的 DialogBoxParam 函数用法很相似。 因为指纹模块是以 com 组件的形式封装的，所以要加入指纹采集和显示模块，就需要在处理对话框的 WM_INITDIALOG 消息时对于初始化 com 组件的相关调用。具体方法是在处理 WM_INITDIALOG 消息时调用 AtlAxWinInit()函数注册一个 ATLAXWin 的窗口类别，然后调用 CreateWindow 函数在自己创建的登录对话框中创建一个显示指纹的窗口。之后再调用 AtlAxGetControl()函数即可实现该指纹窗口与用户输入的交互。接下来可以继续在登录对话框上创建自己需要的项目。在对话框中，对于取消和关机的消息处理比较简单， WlxLoggedOutSAS 有分别对应的两个返回值 WLX_SAS_ACTION_NONE 和 WLX_SAS_ACTION_SHUTDOWN，可以使 WINDOWS 返回到 WlxDisplaySASNotice 所显示的对话框和执 行关机操作。而对 37 于登录按钮的处理相对复杂一些，其中相应的指纹验证以及与服务器通信部分在后续内容中介绍，这里只描述验证指纹成功后的处理方法。 因为 WINDOWS 的登录是一个相当复杂的过程，而且其中的一些部分属于微软未公开的文档，所以想做到完全取代或绕过 WINDOWS 的登录是很难的。因此笔者这套系统采用的方法是直接从 WINDOWS 默认的 msgina.dll 中导出相应的函数，需要的时候直接将自己的 GINA中的函数的返回值设为 msgina.dll中相应的函数的地址。当用户指纹验证成功后，直接返回从 msgina.dll 中导出的相应函数WlxLoggedOutSAS 即可，这样 Winlogon 接下来会执行 WINDOWS 的相应登录过程。而这时为了实现在形式上绕过 WINDOWS 的登录框，需要修改一下注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 一项，分别将键 AutoAdminLogon 的值改为 1（使WINDOWS 不出现登录默认框而自动登录），并且添加 ForceAutoLogon 键，将其值置为 1（实现用户注销后也可以自动登录） 。然后将 DefaultUserName置为 WINDOWS默认的用户名（在本系统中此用户必须为管理员身份），再添加 DefaultPassword键，其值为用户名对应的密码。经过上述修改后，在登录时自己开发的加入了指纹采集和识别的登录框就完全取代了 WINDOWS 默认的登录框。 图 3 是加入了指纹显示模块的新的登录框，其中左下方的窗口中显示的即为用户输入的指纹。 图 3 加入了指纹显示模块的新的登录对话框 对用户解除锁定的 WlxWkstaLockedSAS 函数中的对话框也可以用完全一样的方法进行处理，这里 不再赘述。另外，为了保持整个指纹登录系统的风格的统 38 一，作者还开发了在 WlxDisplaySASNotice 和 WlxDisplayLockedNotice 函数里所显示的对话框。如图 4 所示： 图 4 新的计算机启动时提示用户按三键的对话框 许多程序开发者使用 c/c+语言开发界面的时候习惯使用 MFC 这一工具。在GINA 中同样可以使用 MFC 调出上述对话框，而且开发效率可能要比使用 win32 API 的方法高。但是为什么作者使用了 Winlogon 支持的 win32 API 进行对话框的调用和处理呢？ 这是因为在 GINA 中使用它本身提供的 Winlogon 支持的函数（比如WlxDialogBoxParam）能够接收一些特定的系统消息并且有返回值，这些返回值与 Winlogon 的状态有关，而这些返回值使用 MFC 包括一些普通 win32 API 函数（比如 DialogBoxParam）是得不到的。比如，在 GINA 的 WlxWkstaLockedSAS 函数 中 如 果 产 生 对 话 框 的 函 数 WlxDialogBoxParam 返回WLX_DLG_INPUT_TIMEOUT，即表示在默认时间内用户没有任何动作，这时WlxWkstaLockedSAS 函 数 应 该 返 回 WLX_SAS_ACTION_NONE ， 并 重 新 进 入WlxDisplayLockedNotice 函数。而此时使用普通的 win32 API 函数或者 MFC 调用对话框则无法返回 WLX_DLG_INPUT_TIMEOUT，也就无法处理对话框超时，这样当超过了默认的时间后会导致系统停在该对话框界面而死机。在我们开发的GINA DLL 中，函数 WlxDisplaySASNotice ， WlxLoggedOutSAS ，WlxDisplayLockedNotice， WlxWkstaLockedSAS 采用了我们自己开发的 对话框以取代系统原有的对话框。 2 指纹数据的处理 在登录和解除锁定的时候都需要对用户输入的指纹信息进行处理。首先，在 39 用户登录到 WINDOWS 系统的时候，需要进行指纹数据的采集和传输。 当用户输入指纹后，通过调用 com 组件中相关的方法，可以获得 VARIANT类型的指纹数据。而为了将其传输到服务器进行比对，还需要经过将其转化为二进制的字节流。客户端将包含指纹数据的字节流发送到服务器端后，会接收到服务器端发过来的比对结果。如果比对结果正确，则客户端可以将该用户的指纹数据存储到本地，以备以后比对时使用。然后程序 就可以进行下一步的操作 登录 WINDOWS 操作系统了。 当登录到 WINDOWS 后系统处于锁定状态，用户欲解除锁定时，对话框采集到的指纹数据不用再传输到服务器端进行比对，而直接在本地比对即可。即将登录时存储在本地的登录用户的指纹调出，然后采用组件中提供的方法对采集到的指纹与从本地读取的指纹进行比对，比对成功则可以解除锁定，比对失败则给予用户相应的提示。整个指纹验证登录系统的实现流程如下图所示： 图 5 指纹登录流程 3 主机控制模块与指纹登录模块的融合 本信息安全系统的客户端除了需要实现指纹登录以外，还有一个重要的功能模块：主机控制，即根据用户的身份为其分配不同的本机端口使用权限。这就需显示对话框提示 用户按三键 显示登录框，提示用户输入指纹 输入 Ctrl+Alt+Del 输入指纹 将采集到的指纹信息转化为二进制字节流并传输到服务器端 接收验证结果 认证失败 认证成功 登录到 WINDOWS 锁定 WINDOWS，显示对话框提示用户输入三键 显示锁定登录框，提示用户输入指纹 存取指纹数据到本地 读取指纹数据并与本地存取的 指纹数据进行比对 分析比对结果 认证成功 认证失败 输入 Ctrl+Alt+Del 输入指纹 40 要将端口控制与 WINDOWS 指纹登录模块进行融合。 首先需要分析一下将这两个模块融合在一起的可行性。因为本系统的端口控制是基于底层驱动技术实现的，所以在进行端口控制的时候要求必须是以WINDOWS 的 SYSTEM 用户身份执行的。而 Winlogon 进程是以 SYSTEM 的身份运行的，这也就意味着所有在 GINA 中执行的函数，产生的线程和进程均是以 SYSTEM的身份运行的 (如果有的特殊进程需要以 SYSTEM 之外的身份运行，可以使用函数CreateProcessAsUser)。这样，在将主机控制模块融合到 WINDOWS 指纹登录系统的时候免去了“运行身份”这一后顾之忧， Winlogon 进程的 SYSTEM 运行身份使主机控制也以 SYSTEM 的身份运行。因此，将端口控制模块融合到指纹登录模块是完全可行且安全稳定的。 具体的实现过程是这样的，在客户端向服务器发送了包含指纹数据的数据包后，将获得服务器端发送过来的验证数据 包，这个数据包一来包含了验证成功与否这一结果，二来在验证成功的前提下该数据包还包含了该用户身份对应的本机端口使用权限。根据该用户对于不同端口的使用权限执行主机控制接口函数，从而实现对不同端口的控制。而这一过程是在 GINA DLL 的 WlxLoggedOutSAS 中实现的。当用户登录到 WINDOWS 后，端口控制也立即生效。 2.4.11 安全审计系统实施方案 审计的原始意义是指 独立检查会计账目，监督财政、财务收支真实、合法、效益的行为。 目前，国内外信息安全市场主要集中在防火墙、入侵监测、漏洞扫描等防外的产品上。网络安全以单 点防护为主，大量安全产品简单堆砌，形不成规模化、体系化的立体防护体系。在网络信息安全发展的现阶段，网络规模不断扩大，网络设备和节点不断增加，同时网络安全事件层出不穷，有愈演愈烈之势，仅靠过去单一的网络安全产品已无力保障网络信息的安全运行。同时，业界过分 重视防范来自外部的信息安全事件 ， 缺乏有效的内部人员威胁解决方案，甚至很少有这方面的研究项目，大多数人对内部人员威胁的认识仅限于概念层面上， 更缺少针对内部人员威胁的安全审计监控系统的技术研究和产品开发 。 安全审计 监控是指 记录用户使用计算机网络系统的所有过程，它是 提高安全 41 性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样的使用。审计信息对于确定问题、是否有网络攻击和攻击源很重要。通过对安全事件的连续收集与积累并加以分析，对其中有疑问的某些站点或用户进行审计跟踪，以便为发现可能产生的破坏性行为提供有利的证据。 实施目的 能够提供完善的安全审计功能 不仅可以收集到用户关心的多种审计数据，审计的结果也具有绝对的权威性，同时可以生成多种格式的报表。 产品模块化 一旦系统安全管理员指定好安全策略并发布成功，各模块之间独立运行，整个系统运行效率非常高，同时也便于用户 结合自身特点购买使用。 提供统一管理平台 集成各子系统的控制模块，实现对各子系统的集中管理，向子系统下达各种规则。 实施策略 信息安全综合强审计监控系统主要突出审计的综合性、强制性和全面性。综合强审计系统从防御到事后取证，全面地对整个网络、主机、服务器、数据库、应用系统进行审计与保护，能够有力抵御各种破坏行为。同时，该系统采用分布式跨网段设计，集中统一管理，可对审计数据进行综合的统计与分析，可以更有效的防御外部的入侵和内部的非法违规操作。 在实施当中主要是分为三部分审计监控，网络审计监控、主机审计监控和数据 库审计监控 ，全面地实现整个网络的审计及主机系统的审计，三部分审计监控既有软件设备又硬件设备，为方便统一的管理，可以采用监控管理中心统一进行管理 。 产品部署 根据 网络实际情况 ，强审计监 控体系 在全网所有终端部署审计客户端，在核心交换机上 部署一套网络 /数据库探测引擎，对 中心管辖的客 户端、探测引擎等 42 组件进行审计监控，并向管理中心上报情况。 根据 日后网络发展 结构的 实际情况 ，还可以分级进行部署和管理，即采用分布式的监控和管理。 审计对象 1. 全网所有接入终端 2. 用户的操作行为 3. 全网服务器，包括应用服务器、 Web 服务器、邮件服务 器、 FTP 服务器等服务器。 4. 全网数据库 5. 网络中其他信息 主机审计监控 主机审计监控采用主机传感器组件（软件），安装于受控的主机系统中，通过对被审计主机资源和重要文件与信息的审计，起到审计和监控主机资源的作用，例如拨号、文件访问、网络连接等资源的控制。 主机审计监控 系统信息综合审计 对系统的配置信息和运行情况进行审计，包括主机机器名、网络配置、用户登录、进程情况、 CPU 和内存使用情况、硬盘容量等。 系统日志审计 系统日志审计包括：系统日志、安全日志、应用程序写入的系统日志、其它服务日志（如 DNS Server）等，同时对系统日志进行管理。 网络连接审计监控 记录和监视主机的网络连接情况，制定网络连接规则，允许或禁止指定的网络连接，对数据包内容进行过滤，非法的连接产生报警事件。 盘符审计监控 对系统的其它可用资源进行审计和保护，监视资源设备的 I/O 操作，例如：打印机、 USB 接口、软驱光驱、串口等。 拨号审计监控 通过设置拨号规则进行拨号控制管理，实时对拨号信息进行监控，可以禁止或者允许拨号，也可以设定允许在某一时间段内通过某一号码访问某一网址。 43 文件审计监控 通过在客户端对系统的文件操作进行驱动级审 计与保护，对用户指定的文件实行读写操作授权，对重要的系统文件进行保护，非法的文件操作将产生报警事件。 进程审计监控 设置进程为合法或非法后，可提供非法进程报警和报警信息查询功能。 打印审计监控 打印审计是对所有连接到审计中心的主机传感器的打印信息审计。审计的内容包括：传感器名、打印机名称以及实现打印再现等功能。 邮件审计监控 对主机的有关邮件的操作进行监控，用于实时监控和事后查询邮件操作。 主机 IP 审计监控 主机 IP 审计功能实现的是对被审计主机 IP 地址的修改进行记录和禁止。同时可以查询到在指定时间段 的被审计主机 IP 地址的修改信息。 网络审计监控 网络审计采用网络传感器组件，是一个独立的硬件，连接到核心交换机，它抓取网络中的数据包，并对抓到的包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、信息还原等网络审计功能。 网络审计监控 网络入侵审计监控 对从网络中抓取到的包进行协议分析，与相应的入侵检测规则库进行模式匹配，从而发现有入侵特征的数据包；同时记忆基于连接的网络数据包前后状态，从中分析入侵的可能或企图。发现入侵或可疑企图即产生入侵事件。 应用协议审计 此功能基于信息还原技术，还原成 应用协议后，再对应用协议的操作和内容进行进一步的分析，对有特殊内容或某些违规的操作产生报警事件。 流量审计监控 对抓取的数据包根据某一类特征进行归类统计，可以得到各种流量统计表或统计图。可以对某些地址的流量速度进行限制，超过规定值时即产生报警事件。 44 MAC 地址审计监控 制定 IP 地址与 MAC 地址的对应关系，如果抓取到的数据包与此对应关系不符，则产生报警事件。 非法计算机接入审计 对通过非法途径接入网络的计算机、终端等进行审计监控 数据库审计监控 数据库审计监控对特定的连接数据包（数据库远程连接）进行分 析，从数据库访问操作入手，对抓到的数据包进行语法分析，从而审计对数据库中的哪些数据进行操作，可以对特定的数据操作制定规则，产生报警事件，并对非法操作进行阻断。有效地加强了数据库的安全性。 数据库审计监控子系统 数据库日志审计监控 对数据库系统本身所产生的日志文件进行审计，达到远程管理数据库的目的。 数据库操作审计 数据库操作审计适用于主机传感器组件与网络传感器组件。通过对数据包中数据操作语法的分析，可以知道对数据库中的某个表、某个字段进行了什么操作，并可对违规的操作产生报警事件。 2.4.12 防病毒系统实施方案 防病毒系统目前已经采取了瑞星网络 版 防病毒软件， 其主要 包括客户机 /服务器 防病毒和防病毒中央监控系统。防病毒 中央监 控系统安装在 安全管理 服务器上，构成病毒防护中心，布置在安全管理 服务器上 。各服务器和终端 PC 自动安装防病系统客户端。 管 理上实现集中式管理，建立起一个完善的、可管理性强的病毒防护体系。 由于 该系统 目前已经部署实施完成， 下面将着重针对实际应用需求就功能特点 、 部署情况 、安全管理 等进行阐述。 系统结构 分布式体系结构 瑞星杀毒软件网络版采用分布式的体系结构，整个防病毒体系是由四个相互 45 关联的子系统组成：系统中心、服务器端、客户端、“移动式”管理员控制台。各个子系统协同工作，共同完成对整个网络的病毒防护工作，为企业级用户的网络系统提供全方位防病毒解决方案。 图 6 分布式体系结构 其中： 系统 中心是整个 瑞星杀毒软件网络版 网络防病毒体系的信息管理和病毒防护的自动控制核心，它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息，同时根据管理员控制台的设置，实现对整个防护系统的自动控制。 服务器端 /客户端是分别针对网络服 务器 /网络工作站（客户机）设计的，承担着对当前服务器 /工作站上病毒的实时监控、检测和清除，自动向系统中心报告病毒监测情况，以及自动进行升级的任务。 瑞星管理员控制台是为网络管理员专门设计的，是整个瑞星杀毒软件网络版网络防病毒系统设置、管理和控制的操作平台，它集中管理网络上所有已安装了瑞星杀毒软件网络版的计算机，同时实现对系统中心的管理，它可以安装到任何一台安装了瑞星杀毒软件网络版的计算机上，实现移动式管理。 46 瑞星杀毒软件网络版采用分布