企业级信息与网络系统安全解决方案建议书.doc

编号 Ent-NSBP-001企业级Enterprise信息与网络系统安全解决方案建议书Network Security Bluepoint Proposal版本: 第一版中国计算机软件与技术服务总公司2001年8月目 录1.概述11.1.信息与网络系统安全事关国家安全的大事11.2.本企业信息与网络系统是国家关键基础设施的组成部分，应加倍安全防范21.3.建设安全系统工程应严格按照信息安全工程学的方法实施32.中软总公司信息与网络安全工程实现方法论52.1.概述52.2.信息安全理念52.3.信息安全工程与信息安全工程学62.4.信息安全工程生命周期模型63.安全工程的目标与范围93.1.目标93.2.范围94.信息与网络安全解决方案184.1.安全解决方案设计目标184.2.安全解决方案设计原则194.3.安全解决方案描述204.4.安全解决方案中安全技术与产品列表424.5.安全解决方案安全组件的拓扑分布444.6.第一期工程实施项目455.项目管理465.1.项目组织团队465.2.双方责任475.3.前提条件495.4.项目管理506.项目成本预算546.1.工程报价546.2.工程费用546.3.第三方费用546.4.其它费用546.5.有效期547.中软总公司实施安全工程的十大优势557.1.中国软件第一品牌，国际知名品牌-中软总公司557.2.系统集成一级资质强大的系统集成与安全集成能力567.3.信息安全第一站-中软信息安全博士后科研工作站567.4.信息安全重点实验室-中软信息安全实验室577.5.国内最大的安全知识库X-Exploits617.6.技术领先的安全产品617.7.有丰富的安全服务的实践经验637.8.得到政府部门的大力支持647.9.承担国家信息网络安全重点课题，理论基础扎实前瞻性好657.10.拥有一批具有良好资历的安全顾问提供咨询服务658.附录A:主要参考标准678.1.ISO15408简介678.2.BS7799 / ISO17799简介708.3.SSE-CMM简介808.4.中软总公司信息安全知识库X-Exploits简介849.附录B:安全工程咨询与实施专家的简历869.1.沈昌祥院士869.2.马东平博士879.3.朱鲁华博士909.4.钟向群博士9210.附录C:推荐产品介绍9410.1.NetScreen 100f防火墙介绍(Netscreen-100f)9510.2.中软网络安全巡警系统介绍(CSS-ISRanger)9710.3.中软入侵检测预警与响应系统介绍(CSS-DIDSystem)10710.4.中软HuaTech-2000型防火墙(CSS-HT2000)11310.5.超级SVPN设备IP加密机12510.6.卡式SVPN设备PCI加密卡12510.7.卡式SVPN设备PCMCIA加密卡12610.8.SVPN软件包IP安全包12710.9.密钥管理中心127图表目录表格 1技术与产品配置表43表格 2实施项目清单52表格 3工作进度表52表格 5沈院士简介861301. 概述阿尔伯特.爱因斯坦曾说过：“我们创造着世界是我们思维水平所能达到的结果，也因此在很大程度上制造了在创造它们的同一水平上我们所不能解决的问题。”的确，我们人类发明了计算机，构建了网络，计算机和网络在大大推动社会发展进程的同时，又给我们带来了无穷无尽的困扰。我们的生活越来越依赖计算机和网络，我们开始提心吊胆，因为工作和生活开始失去切实的安全感，病毒、黑客、攻击等等是我们无形的敌人，它们窥探着我们的生活空间，压抑着我们自由的欲望。在它们隐藏着恶意的情况下，我们只有一个深切的呼唤：安全！安全！只有拥有实在的安全感，我们在自己的空间里才可能自由地舒展。1.1. 信息与网络系统安全事关国家安全的大事在不足一代人的时间内，信息革命和计算机以惊人的速度渗透到人类社会各个层面，人类已经跨入了信息化、网络化时代。信息与网络正以前所未有的方式悄然改变着人们日常生活的组织方式、经济的运作方式以至国家安全的保障方式。随着社会发展，信息，已成为最能代表综合国力的战略资源。伴随而来的信息安全问题也在全球范围内突现出来，能否有效地保护信息资源，保护信息化进程健康、有序、可持续发展，直接关系到国家安危，关系到民族兴亡，是国家、民族的头等大事。没有信息安全，就没有真正意义上的政治安全，就没有稳固的经济安全和军事安全，更没有完整意义上的国家安全。信息与网络安全问题已成为一个战略性问题。1.2. 本企业信息与网络系统是国家关键基础设施的组成部分，应加倍安全防范在我们这个信息化的时代，处处充斥着隐患和危险。众所周知，所有受计算机驱动的系统都容易遭到入侵和破坏。这传递出一个可怕的信号：我们的重要经济部门或者政府机构的信息与网络系统一旦受到侵害，就会产生灾难性的后果。在美国，控制政府和工业内的关键网络的计算机系统防卫设施、高压输电线、银行、政府机构、电信系统以及运输系统每天都会受到成千上万次的攻击尝试。这些攻击尝试中有不少取得了成功。获得成功的攻击者取得了“系统管理员的地位”，下载了密码，安装了嗅探器以拷贝交易信息，或者插入了后门留待以后进入。在我国，有效检测的手段尚未建立，面临的情况比美国更为复杂莫测：有的攻击者就像驾车兜风的窃车者，以犯罪为乐；有的攻击者则是为了从事间谍活动、偷窃、报复性破坏和勒索，有的攻击者则可能是为了收集情报，预先侦察，或者为未来的攻击创造机会。这些作恶者种类甚多，从青少年到小偷，从恐怖分子到有组织的犯罪团体，到潜在的军事敌对力量以及情报机构。在最近几年这些威胁的严重性有增无减。曾几何时，敌对的攻击依赖于炸弹和子弹，而如今，一台膝上型计算机就可能成为敌对分子和恐怖分子利用的武器，在我们大意的一瞬间就可能制造巨大的破坏，给我们的国家带来无可弥补的损失。据了解，一些外国政府正在为对付中国的计算机网络而发展强大的攻击能力，特别针对国家关键基础设施的网络系统。令人担忧的是，我国在基础服务上对计算机网络有越来越多的依赖性，水、电、气、通信（语音和数据）、铁路、航空和其他关键设施都在巨大的信息系统网络中直接受到计算机的控制。而国家对计算机网络依赖的同时很少注意去保护，以至于很容易受到攻击。值得我们警惕的是，罪犯团伙、恐怖分子集团、敌对国家都可能通过攻击我们的网络，并通过攻击关键性的网络来降低我们的防卫响应能力来破坏经济，制造混乱，严重影响我国的经济发展。1.3. 建设安全系统工程应严格按照信息安全工程学的方法实施我们认为，信息与网络安全建设的示范工程，应该严格按照信息安全工程学的理论来实施，应该严格按照信息安全工程的规律办事，作到“指导文档齐全、工程实施规范、投入产出效率高”，还应该对其他企业的网络安全工程的建设具有强烈的指导与借鉴意义，因此，我们将按照信息安全工程学的理论指导企业信息与网络系统安全工程的建设，从政策法规、组织体系、安全技术标准、安全体系架构、安全管理流程等方面入手，按照科学的规律与方法学，从理论到实践、从文档到工程实施等方面，进行研究、开发与实施。信息安全是一项需要进行长期投入、综合研究、从整体上进行运筹的工程，是采用工程的概念、原理、技术和方法来研究、开发、实施与维护企业级信息与网络系统安全的过程。该工程主要从下列几个方面入手来构造系统安全：首先提供信息安全工程生命周期模型，进而对信息与网络系统进行风险分析与评估、系统需求分析来构建信息与网络系统结构，同时对信息与网络系统安全产品功能进行规范，从而实施整个信息与网络系统安全工程；进行监理、测试、维护；对实施信息与网络系统安全的用户进行教育与技术培训；在安全工程实施后期，还要进行严格的稽核与检查。2. 中软总公司信息与网络安全工程实现方法论2.1. 概述信息安全不是纯粹的技术问题，不是简单产品与技术的堆砌，是策略、技术与管理的综合。中软总公司拥有自己独到的针对信息与网络安全和信息与网络安全服务的方法论。这一安全方法论包含以下几个范畴： 信息安全理念 信息安全工程与信息安全工程学 信息安全工程生命周期模型2.2. 信息安全理念中软总公司的信息安全理念突出地表现为信息安全“三元论”。我们认为信息安全有三个要素：策略、技术和管理。 安全策略包括各种安全策略、法律法规、规章制度、技术标准、管理规范等，是信息安全的最核心问题，是整个信息安全建设的依据； 安全技术包含工具、产品和服务等，是实现信息安全的有力保证； 安全管理主要是人员、组织和流程的管理，是实现信息安全的落实手段。三元论将信息安全工作中的“管理中心”特性突出地描述出来，完全抛弃了传统的以技术为中心的一元论观点。中软总公司的信息安全理念之二表现在对安全特性的理解上。我们认为信息安全具有层次性、动态性、过程性和生命周期性。中软总公司的安全服务理念可以表述为：a) 依据信息安全工程学的原理，为信息安全工程全过程提供顾问服务。b) 依据最先进的国际信息安全标准这些标准包括ISO15408、Common Criteria V2.1、ISO17799、BS7799、TCSEC、ITSEC、IETFRFC、SET、SSL、SSE-CMM等。c) 采用国际上最先进的安全技术和安全产品。d) 采用国际标准来规范中软总公司提供的信息安全服务ISO9000系列质量保证体系以及ISO14000系列环境体系等。e) 严格遵守中华人民共和国相关的法律和法规。2.3. 信息安全工程与信息安全工程学为了降低风险和减少成本，中软总公司根据信息安全的生命周期特征，提出信息安全工程及信息安全工程学的概念（1998年沈昌祥院士、马东平博士首次在国内提出，他们关于“信息安全工程学”学术专著将于2001年9月份由电子工业出版社出版）。信息安全工程(ISE)是采用工程的概念、原理、技术和方法来研究、开发、实施与维护企业级信息与网络系统安全的过程，它将经过时间考验证明是正确的管理技术和当前能够得到的最好的技术方法相结合。研究信息安全工程的学说就是信息安全工程学。我们所提及的信息安全是一个广义的概念，是指信息与网络系统全面的安全，而不是狭义的信息本身的安全性问题。2.4. 信息安全工程生命周期模型在研究信息安全工程过程的同时，我们提出了“信息安全工程生命周期模型ISE-LCM”。该模型是信息安全工程学说的落脚点和支撑点，也是信息安全工程学研究的基础。在这个模型中,我们将信息安全工程生命周期过程分为目标的确定、风险分析、需求分析、安全策略研究、安全体系结构的研究、安全实施领域的确定、安全技术与产品的测试与选型、安全工程的实施、安全工程的实施监理、安全工程的测试与运行、安全意识的教育与技术培训、安全稽核与检查，这一个过程的结束标志信息安全工程这一轮生命的终止，经过安全稽核与检查后，又形成新一轮的生命周期，整个模型是一个不断往复的不断上升的螺旋式安全模型。信息安全工程生命周期模型(Information Security Engineering-Life Cycle Model, 以下简称ISE-LCM)描述了一个企业级信息与网络系统实施信息安全工程过程的基本特性，它是保证良好信息与网络系统安全工程必须具备的模型与规范。ISE-LCM并不是指定某个过程或顺序，而是要抓住工业界所遵循的实践规律。这个模型与规范是一个衡量信息与网络系统安全工程实践的标准尺度，全面覆盖： 整个生命周期过程，包括开展、运行、维护和退役等行为。 整个组织机构，包括管理、编制、工程等部门行为。 同其它准则共同发挥作用，如：系统、软件、硬件、人员因素、检测工程；系统管理、运行和维护。 同其它相关联机构的交互，如：采集、系统管理、证明、委托和评估。3. 安全工程的目标与范围3.1. 目标本企业建设信息与网络安全系统工程的目标是：通过信息与网络安全示范工程的实施，建立完整的本企业信息与网络系统的安全防护体系，在安全法律、法规、政策的支持与指导下，通过制定客户化的安全策略，采用合适的安全技术和进行制度化的安全管理，保障本企业信息与网络系统稳定可靠地运行，确保本企业信息与网络资源受控合法地使用。3.2. 范围本企业信息与网络系统安全工程是典型信息安全工程的范例，建议严格按照信息安全工程的方法实施。中软总公司可以提供全面的基于安全知识库的一条龙安全体系架构设计与安全工程的实施。3.2.1. 安全整体规划信息与网络系统的安全工程建设不是一个独立的项目问题，而是牵涉到网络系统，甚至是非网络系统的全面性的问题，需要统筹考虑问题，兼顾本企业各部门，兼顾系统的各个组成部分，兼顾本企业的目前状况与长远发展等因素，要着眼全局，放眼未来，统筹规划，从政策策略、组织体系、人力资源、信息支援等方面全方位考虑。中软总公司能为本企业从战略高度、以发展眼光提供安全整体规划咨询服务，为本企业制定信息安全整体发展规划、安全建设纲要、安全总则等战略性的指导文档，全面指导本企业的信息安全工程的建设，为建设本企业信息安全示范工程，起好步，开好头。3.2.2. 风险分析与评估信息安全旨在保护信息资产以免受威胁。考虑到所有类型的威胁，绝对安全是不可能的，只能通过一定的措施把风险降低到一个可接受的程度。对本企业来说，解决信息安全的首要问题就是明白本企业信息与网络系统目前与未来的风险所在，充分评估这些风险可能带来的威胁与影响的程度，即信息与网络系统的风险分析。本企业进行安全风险分析与评估，可从以下几个方面进行： 基于机构/部门之间信息安全和日常工作与应用的区别，确认最关键的资产。 分析本企业内部或者本企业和企业之间的共享互操作性，同时进行信息资产之间的相互依赖性的分析。 基于对关键资产的确认和共享互操作性的分析，系统管理员、操作者、安全专家对网络脆弱性进行评估，进行风险的识别。 风险的度量。此外，在风险分析过程中，人是最为关键的因素，需要详细考察形形色色的不同类型的人，他们对信息与网络系统的安全有着极其重要的影响。3.2.3. 安全需求分析不同的企业信息与网络系统的安全需求是不同的。对企业信息与网络系统的安全需求的理解可以从多侧面、多角度入手，企业信息与网络系统的安全体系应该是全方位的，而不仅仅是加密，也不仅仅是防火墙或其他安全措施的堆砌，而应着眼于从安全性、可靠性、高效性、可控性和持续性等多方面落实。根据我们多年来的研究和与众多网络用户的接触和了解，我们认为本企业可以从以下几个方面提出信息安全需求：首先，从国家政策法规，企业性质和规章制度，以及考虑安全生产的方方面面的要求，提出企业信息与网络系统总体的安全要求与安全级别。其次，根据企业信息与网络系统资产的确认情况，提出不同资产的安全级别需求，这样，企业信息与网络系统的安全问题可以有的放矢。第三，根据信息与网络系统的层次化，分级别提出安全需求，保证按照安全的实施层次化，风险层次化。一般情况下，可以按照管理、物理、系统、网络和应用五个层次提出安全需求。安全需求的提出要充分考虑本企业的经济承受能力，同时安全需求要充分考虑本企业的发展，本企业网络系统的未来可能出现的需求问题。3.2.4. 整体安全策略开发安全策略是信息与网络系统安全的灵魂与核心，是企业为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总和。一个企业信息与网络系统没有安全策略是不可言喻的。根据我们的实践经验，企业级安全策略可以从三个层面来考虑开发制定：一是抽象安全策略。它通常表现为一系列的自然语言描述的文档，是企业根据企业的任务、面临的威胁及风险分析、以及上层的制度、法律等制定出来限制用户使用哪些资源、如何使用资源的一组规定。二是全局自动安全策略。它是组织抽象安全策略的子集和细化，指能够由计算机、路由器等设备自动实施的安全措施的规则和约束，不能由计算机实施的安全策略由安全管理制度等物理环境安全等其他手段实施。全局自动安全策略主要从安全功能的角度考虑，分为标识与认证策略、授权与访问控制策略、信息保密与完整性策略、数字签名与抗抵赖策略、安全审计策略、入侵检测策略、响应与恢复策略、病毒防范策略、容错与备份策略等。三是局部执行策略。它是分布在终端系统、中继系统和应用系统中的GASP的子集，网络中所有实体LESP的总和是GASP的具体实施。局部可执行的安全策略是由物理组件与逻辑组件所实施的形式化的规则，如口令管理策略、防火墙过滤规则、认证系统中的认证策略、访问控制系统中的主体的能力表、资源的访问控制链表、安全标签等等。每一条具体的规则都是可以设置与实施的。对绝大多数的企业来说，没有必要考虑那么全面。但对于企业信息与网络系统，开发全面的整体的安全策略是必要的。在内容方面，安全策略必须明确我们要保护什么，确定保护的内容；明确如何去保护，确定保护的方法与技术手段；明确有谁去实施，承担什么责任，确定责任与分工；同时，要明确处理问题后如何应对，确定后果处理方法等。这些就是安全策略中每一项策略的具体的内容。开发安全策略时，要注意充分考虑制定安全策略的优先次序，充分考虑企业内部因素对安全策略的影响，不要指望能够制定一个绝对正确和详细的策略，我们没有能力提前预知问题的所有情况和细节。我们既要充分意识到今天好的能够实施的策略比明年伟大策略要好，同时还要考虑实现安全策略可能的投资。安全策略力求简洁，可实施，具有可操作性。一个十分完美的而不可操作的安全策略是没有任何用处的。制定一个不能够实施的安全策略等于没有安全策略。3.2.5. 安全体系的设计企业信息与网络系统的安全策略、技术标准与管理规范是企业进行信息与网络系统安全设计与工程的“思想上”的描述，真正要实现信息与网络系统的安全，需要落实到具体的“行动上”，需要确定企业信息与网络系统的安全框架，明确具体的实施领域。一个信息与网络系统的安全体系框架，包括安全指导性文档、安全基础设施建设和检查与稽核三个方面，是策略、技术与管理的统一，具有高安全性、高可靠性、高可用性、可操作性、可扩展性与经济实用性。在安全指导性文档方面，是前面所述的内容的具体化描述，主要有企业信息与网络安全的总体目标与原则，企业信息与网络系统的风险分析与需求分析，企业信息与网络系统的安全策略、技术标准与管理规范，企业信息与网络系统的安全技术与产品的功能规范等关键文档组成，是企业信息与网络系统安全的理论支撑与核心。在实施领域方面，根据企业目前信息与网络系统的具体情况明确安全实施领域制定安全解决方案。安全问题是随着信息技术发展逐步出现的问题。很多企业在当初建立信息与网络系统时，由于多方面的原因没有充分考虑安全问题，现在要彻底改变安全现状，不可能一步到位，从应用与现实的情况来看也不可能一步到位，因为既要要考虑投资规模，也要考虑安全实施对目前正常业务的影响等因素。安全实施领域的关键在于实施企业信息网络安全风险的层次管理，实施领域、实施方法手段的层次化，最大限度地风险管理的层次化，确保信息网络系统的安全。至于规划设计一个全新的信息与网络系统，进行安全规划，那就要简单多了，可以从管理级安全、物理级安全、系统级安全、网络级安全和应用级安全等五个方面来规划设计。这五个方面的实施是全面的安全解决方案，是比较彻底的，但这样的企业是少数。对于一个信息与网络系统已经建设了一定规模，运行了相当年月、具有很多成熟应用的企业来说，不能完全从上述五个方面进行实施，但可以在标准和规范的指导下，依据整体安全策略并采用先进适用的综合技术手段来建立一个统一的网络安全防护体系。安全稽核与检查制度是安全整体框架的一部分，要明确安全检查的对象、检查的方法、手段与工具、数据的收集、整理与分析，同时要明确检查的标准与规范。3.2.6. 安全意识的教育与技术的培训企业的信息与网络系统的安全问题关键的是在于人的因素，人在整个安全过程中起着决定因素，因此，对整个企业的全体人员乃至全民的广普的安全意识教育与针对技术人员的安全技术培训是至关重要的。不同的企业可以根据具体情况建立不同规模的教育培训体系，设置不同的培训课程，制定不同层次的考核方法与标准。企业还应定期组织各种形式的宣传活动。培训与教育工作也要制度化与经常化，不宜走过场。3.2.7. 安全系统的评测、稽核与检查企业信息与网络系统安全稽核与检查工作是监督企业安全工作落实情况，保证企业统一安全策略得到贯彻实施的有效方法与手段。我们经过大量的调查发现，绝大多数企业没有安全稽核与检查制度，即使有也是流于形式上的检查，没有有效的技术方法来进行检查，对检查的结果数据没有统一的标准来衡量与评估。从安全策略上看，稽核与检查工作和安全基础设施建设工作，在组织、人员、技术、设备、系统等方面应该是分开，应该是相互制约的，只有这样企业信息与网络系统的安全才能得到保障。稽核与检查工作包括调查研究、座谈会、微服私访、工具与方法测试、日志审计、渗透式测试等多种方法，对安全政策、组织、人员、技术措施、安全意识等方面进行全面的检查，形成综合的稽核报告，最大限度地监督安全基础设施的建设与落实，保证企业信息与网络系统的安全，保证企业日常工作与安全生产的顺利进行。3.2.8. 安全事件的应急响应当企业信息与网络系统发生紧急情况时，中软总公司可以提供应急响应服务，帮助企业启动紧急救援计划。中软总公司将派训练有素的安全技术人员以最快的反应速度到达现场，恢复系统正常工，协助检查入侵来源，提供事故分析报告和安全建议，为企业提供及时、全面的安全问题解决服务。根据紧急事件的发生现象和发生原因，所提供的服务分类如下： 实时攻击当黑客攻击正在进行时，派安全专家现场进行防范，对黑客进行跟踪、协助检查入侵来源，并对其进行打击。 灾难恢复当网络或主机已经遭受黑客攻击，并且造成严重后果，安全专家将对受到破坏的数据进行恢复，并提出进一步的安全保护方案；同时对系统日志和安全日志进行分析整理，收集黑客攻击的证据。 系统异常当用户发现网络或主机发生异常情况，比如WWW服务异常、系统负荷异常、系统非法进程、异常端口激活、非法扫描、加密传输异常等异常情况，需要安全专家到现场进行网络探测、系统分析，找到异常情况发生的原因，并采取紧急措施，恢复系统。 病毒发作当网络上发作病毒时，病毒安全专家将到现场，根据病毒种类和所造成危害的性质，进行病毒查杀和数据恢复。4. 信息与网络安全解决方案4.1. 安全解决方案设计目标有很多安全厂商推出了自己的安全解决方案，都在不同程度地解决了企业网络系统的安全问题。随着信息技术的发展，很多解决方案不能满足日益严重的信息网络安全问题的需要。有的只是部分安全解决方案，安全风险越来越大，需要用多种安全技术层次化的化解风险，需要一套整体的从根本上解决安全问题的安全解决方案。企业信息与网络系统的安全需求是我们安全解决方案，在最小安全投资的前提下，最大限度的满足企业网络系统的安全需求。同时根据安全投资的情况，按照不同的相对独立的实施领域，分阶段逐步实现企业网络系统的安全。具体目标如下：（1） 建立本企业稳固的安全边界，实现本企业网络系统与外界网络系统的安全隔离与访问控制。（2） 最大限度的控制网络系统本身固有的安全风险。目标是定期进行弱点漏洞分析、不当的系统配置分析，消除网络系统本身存在大量的弱点漏洞和认为的操作或配置所产生的不当的与安全策略相违背的系统配置，减少入侵者可以利用来进行入侵的机会。（3） 实现本企业网络系统入侵行为的检测与防御。目标是有效阻止来自外部的攻击行为，同时也能防止内部职工的违规操作行为。（4） 控制本企业敏感信息、技术专利在网络系统中无序传播；控制本企业员工对不合法站点资源的访问。（5） 保证本企业网络系统桌面系统的安全。（6） 提高操作系统的安全级别，实现系统级安全。（7） 实现统一的身份认证与访问授权。（8） 实现网络系统病毒的侦测与预防。（9） 实现本企业网络系统通信链路的安全。（10） 实现本企业网络系统敏感数据及数据库的安全。（11） 保证本企业网络系统中应用系统的安全。（12） 实现本企业网络系统的灾难恢复与数据的备份。（13） 实现本企业网络系统安全系统的集中管理。以上这些只是本企业网络安全需求的一些事例，要全面满足上述需求，需要制定统一的安全策略，使用适当的安全机制与安全技术，通过合适的管理才能解决。安全不是技术问题，而是策略、技术与管理的综合。4.2. 安全解决方案设计原则没有独立于本企业应用需求的安全解决方案，中软总公司在进行安全解决方案设计时遵从以下原则：a) 安全目标和安全行为必须根据业务目标和业务需要，并受业务管理的指导，这就是安全方案服务于业务需求的原则。b) 安全系统必须稳定、可靠、可用，不影响应用系统原有的功能与效率，这就是可靠性原则。c) 安全系统必须能够真正保护网络系统，实现网络系统稳定可靠的运行，保证网络资源授控合法的使用，这就是安全性原则。d) 安全系统必须允许增加新的安全组件与安全功能，保证系统安全性不断增长的需要，这就是可扩展性原则。e) 安全系统必须经济实用，性能价格比最优，这就是经济性原则。f) 安全系统必须好用、可用与易用，复杂的配置，只有专家能够使用与维护的安全，对企业来说是不实际的，这就是易用性原则。g) 安全系统必须是多层次的、立体的、覆盖事前事中事后的解决方案，最大限度的保证网络系统的安全。4.3. 安全解决方案设计框架我们深入分析了众多的企业信息与网络系统的安全需求，通过总结国际上安全标准规范，认为安全设计框架主要考虑三个方面的问题，即：人、技术和操作。人技术操作l 培训l 意识培养l 物理安全l 人事安全l 系统安全管理l 安全技术框架实施领域l 安全标准l IT/IA 采购l 风险评估l 认证和鉴定l 评估l 监视l 入侵检测l 警报l 响应l 恢复从方案的保护策略上看，信息与网络系统安全主要考虑四个基本领域： l 保护网络和基础设施l 保护区域边界l 保护计算环境l 保护支撑基础设施这四个基本领域可以细化为十三个基本实施领域（下节详细描述）。4.4. 安全解决方案描述根据本企业网络系统的安全需求，中软总公司提出了一套性能价格比很高的保护-检测-响应-恢复的安全解决方案，这一方案是以本企业统一的安全策略为核心的，是基于“安全不是技术，而是策略、技术与管理的综合”这一安全理念，充分分析安全过程及安全风险层次缓释的科学方法论。本企业安全方案覆盖从系统级安全到桌面系统安全；从静态的访问控制到动态的入侵检测主要层面，覆盖网络安全的事前弱点漏洞分析修正、事中入侵行为为监控响应和事后信息监控取证全过程。方案着眼于信息与网络系统的主要安全要素，对这些安全要素进行多层次的保护。根据不同的安全要素，整个方案分为十三个安全实施领域：（） 访问控制与安全边界管理；（） 弱点漏洞与风险管理；（） 网络行为管理；（） 网络信息监控与入侵证据管理；（） 身份认证与授权；（） 通信链路安全；（） 系统安全；（） 应用系统安全；（） 数据与数据库安全；（） 个人桌面系统安全；（） 病毒防治；（） 灾难恢复与备份；（） 集中安全管理。4.4.1. 访问控制与安全边界（CSS-SEC-CTL）目标与范围（） 建立本企业网络系统的安全边界，实现网络拓扑安全；（） 建立不同安全区域（外部、内部与DMZ），实现不同级别的安全控制与管理；（） 利用应用代理与地址转换机制，隐藏内部网络，实现内部与外部网络系统的安全隔离；（） 阻止对网络与资源的未授权访问，实现本企业网络系统的访问控制。实施方案安装具有地址转换、应用代理和过滤功能的防火墙系统。基于访问控制的防火墙系统能有效地实现本企业网络系统访问控制、代理服务、身份认证，建立本企业信息网络的安全边界，访问控制。本方案将防火墙布控在Interent出口，拨号接入入口，本企业关键服务器的前端和与合作伙伴的连接出口，实现本企业网络系统与外界的安全隔离，保护本企业的关键信息资产和网络组件，不影响网络系统的工作效率。安全功能规范a) 10/100以太网接口或更高，支持10/100M bps线速率。b) 支持同时30000个以上连接。c) 增强内核OS或专用OS。d) 支持远程安全管理及SNMP V2。e) 支持网络对象，服务的组管理。f) 支持网络地址转换。（Static, NAPT, Dynamic）g) 实时报警与日志。（SNMP V2 trap或SYSLOG）h) 支持多台防火墙的负载均衡及冗余备份。i) 支持高级过滤规则，可通过认证、时间、访问的网络对象、源网络对象、访问的网络服务等组合过滤规则。j) 识别和防御DDOS, SYN-Flood, Tear Drop, Ping of Death等拒绝服务攻击。k) 识别IP欺骗。l) 支持集中的用户认证和增强的认证手段（Radius/LDAP, SKIP/OTP）。m) 支持对不同连接的带宽分配和管理（*）n) 平均无故障时间 20000小时。布控点与数量 根据具体情况，进一步细化。推荐使用的产品网屏公司的NetScreen 100f防火墙系统（详见附件Netscreen-100f）。中软总公司Hua-Tech 2000高性能防火墙（详见附件CSS-HT2000）4.4.2. 弱点漏洞分析和风险审计（CSS-SEC-VUL）目标与范围 动态对网络设备、服务器与应用系统进行弱点漏洞、系统配置与误操作分析与评估，及时发现、修补系统的安全漏洞，增强系统的安全性。实施方案 定期进行弱点漏洞分析与风险评估。定期检测分析、修补弱点漏洞，定期检查，纠正网络系统的不当配置，保证系统配置与安全策略的一致。减少攻击者可以用来进行攻击的“机会”。由于入侵手段的日益复杂和常用系统出现的安全缺陷，分析网络系统对破坏的抵抗能力有助于保障安全。安全扫描分析系统当前的设置和防御，指出潜在的安全漏洞，以改进系统对入侵的防御能力。安全扫描技术主要是用来评估计算机网络系统的安全性能。安全扫描技术与防火墙、入侵检测系统（安全监控系统）互相配合能够提供很高安全性的网络。安全扫描工具源于“黑客”在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描主要分为两种方式：1、 直接配置检查：从系统内部检查常见的Unix与Windiws 等主流系统的安全配置错误与漏洞，如关键文件权限设置，ftp权限与路径设置，root路径设置，密码等等，指出存在的失误，减少系统可能被入侵者（包括内部用户）利用的漏洞。2、 模拟入侵 ：这种技术模拟入侵者可能的攻击行为，从系统外部进行扫描，以探测是否存在可以被入侵者利用的系统安全薄弱之处。安全扫描工具通常也分为基于服务器和基于网络的扫描器：1、 基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件、目录和文件权限、共享文件系统、敏感服务、软件、系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。2、 基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围（IP地址或路由器跳数）。网络安全扫描的主要性能应该考虑以下方面：1、 速度： 因为在网络内进行安全扫描非常耗时。2、 网络拓扑： 通过GUI的图形界面，可选择一个或某些区域的设备。3、 能够发现的漏洞数量：弱点漏洞是攻击者进行攻击的主要途径。4、 是否支持可制定的攻击方法： 通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。5、 报告： 扫描器应该能够给出清楚的安全漏洞报告。6、 更新周期： 提供该项产品的厂商应尽快给出新发现的安全漏洞扫描特征升级，并给出相应的改进建议。安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。安全功能规范弱点漏洞分析与风险审计需具备如下功能：（1） 网管员能够从中心点对指定系统和网络进行风险扫描。（2） 风险扫描能够按时间自动启动，审计报告能够以HTML, WORD等格式产生。（3） 风险审计需明确可能对生产系统产生的危害的操作， 并在执行该类操作前提示用户。（4） 风险审计系统能够不断升级其审计特征，以应付不断出现的安全威胁。（5） 风险审计系统能够用户让方便地自行增加新的审计特征。（6） 能够根据风险级别对审计结果进行分类。（7） 能够帮助用户比较不同时间范围内的风险审计结果。（8） 风险审计的执行应尽量不影响系统的正常运行效率。（9） 基于网络的风险审计应能够分析出防火墙、路由器、网络服务等的安全程度，并给出指定范围内的网络/系统拓扑结构。（10） 基于主机的风险审计应指出主机的配置、软件版本、访问控制、用户帐号、敏感信息的加密强度等风险因素。（11） 为专用应用设计的风险审计应支持专用应用的帐户、访问控制、内容及事务处理过程的风险审计。风险分析需具备如下功能：（1） 从全网（系统）范围内自动收集有关的运行日志。日志来源应包含：防火墙、安全审计、入侵检测、系统日志、路由器日志、访问服务器日志、 基本服务日志（DNS, WEB, email, PROXY, 数据库等）、应用系统日志（电子商务系统日志，网上银行的日志等）。（2） 风险分析应能够指出网络内当前的主要风险点。（3） 风险分析应能指出网络内当前受攻击的主要方面。（4） 风险分析能指出受到攻击的主要原因。（5） 风险分析能指出攻击的主要来源和特征。布控点与数量 根据具体情况，进一步细化。推荐使用的产品 中软网络安全巡警系统ISRanger(详见附件CSS-ISRanger)。4.4.3. 入侵检测与防御（CSS-SEC-HAC）目标与范围实时管理网络行为。对大量的入侵行为、违规操作进行预警与响应，有效阻止来自内部和透过防火墙的攻击行为，防止内部员工的违规行为和犯罪。入侵检测及防御的目标如下。a) 识别并阻断从外部网发起的攻击。b) 识别并阻断从Internet出口内部发起的对关键设备和服务的攻击。c) 识别并阻断从内部网发起的对Internet出口的关键设备和服务的攻击。实施方案通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络信息安全检测预警系统能够根据系统安全策略做出响应。安全功能规范入侵检测及防御按工作原理分为实时及周期检查，按部署方式分为基于网络和基于设备（主机）。l 入侵检测及防御应支持10Mbps 以太网及100Mbps快速以太网。l 入侵检测及防御应支持Solaris, IRIX, AIX,HPUX,NT,WIN2000及Win9x。l 入侵检测及防御应提供对病毒和木马程序的实时/周期检查和清除。l 入侵检测及防御应不使系统正常运行性能显著下降。（10%以内）基于网络的入侵检测和防御（1） 能够智能识别在10/100M bps上满负荷状态下的入侵特征。（2） 能够防御流行的IDS欺骗。（3） 能够向监控台发出不同级别的警告，严重时能够直接切断入侵连接。（4） 可根据设定的规则与防火墙配合，自动切断（终止）入侵连接。（5） 入侵检测的误报率应小于10%。（6） 入侵检测sensor能够集中管理。（7） 入侵检测sensor不能占用业务用带宽。（8） 防御系统不能中断正常的业务通讯。（9） 入侵检测系统能够集中自动升级。基于主机的入侵检测和防御（1） 能够自动监视重要的系统日志。（2） 支持包含AIX, HPUX, Solaris, NT,IRIX, WIN2000在内的操作系统。（3） 能够根据事件级别向指定地点发出SNMP Trap, SMTP email警报。（4） 能够由一个console对以上系统进行集中安全管理。完整性分析（1） 基于系统的入侵检测。通过检查系统文件/配置以及关键文件，识别是否发生了系统入侵。（2） 系统策略的一致性检查。通过检查/设置系统文件及配置，以保证系统设置符合一致的安全策略。（3） 系统确认。能够检查系统内是否安装了未授权的软件。（4） 破坏审计和恢复。能够帮助管理员在入侵后检查破坏情况，并指出需要恢复的文件和设置。分布在各系统上的完整性分析软件能够由中央控制台集中设置安全策略，并报告事件。布控点与数量 根据具体情况，进一步细化。推荐使用的产品 中软分布式入侵检测预警与响应系统DIDSystem(详见附件CSS-DIDSystem)。NFR公司的NFR version 5.0。4.4.4. 信息监控与取证（CSS-SEC-INF）目标与范围内容安全是我们国家信息安全的很重要的一个方面，有效的阻止来自网络这一媒体的文化侵蚀和防止失泄密事件发生是信息监控与取证实施领域要解决的问题。根据用户定义的监控和分析策略对网络数据了流根据不同的协议，不同的原地址和目标地址，或者根据用户定义的文字内容进行分析，将信息还原，归类。同时，系统根据策略的设置情况进行不同的报警和跟踪。实施方案使用信息监控与取证工具，对网络信息流进行实时监控，对访问的路由信息进行记录与反跟踪。安全功能规范信息监控与分析过滤技术，路由跟踪技术。l 有害信息过滤与记录；l 有害站点的封堵；l 垃圾邮件与反动邮件的分析与过滤；l 进出信息（文件、邮件等）的过滤；l 路由跟踪记录；l 反路由跟踪记录；l 等等。布控点与数量 根据具体情况，进一步细化。推荐使用的产品 中软信息监控与取证系统IIAnalysis(详见附件CSS- IIAnalysis)。4.4.5. 通信链路安全（CSS-SEC-LNK）目标与范围实现通信链路安全，保证数据的完整性与正确性。同时要实现远程访问用户（主要是移动用户）的通信安全。实施方案加密技术能够保护信息的机密性、提供完整性检测、身份验证能力等安全保护，防止信息被窃取、篡改和假冒。加密技术在国防、金融、证券等行业已经得到普遍采用。为满足上述行业对机密性、完整性和认证等高度需求，通常使用专用通信加密机、私有加密算法等手段完成通信加密。（） 链路加密技术（） IPSec-VPNIPSec协议是在IP基础上发展而来，具有加密和认证、不可抵赖等能力。RFC2401、RFC2402、FRC2406等12个文件定义了IPSec的主要内容。它包含认证头（AH）和安全净荷封装（ESP）两部分，其中AH能够提供认证和完整性检查能力，ESP能够提供机密性、认证、重发保护和完整性保护能力。当前，IPSec获得了业界广泛的支持，包括CISCO路由器、多种防火墙、LINUX、FREEBSD、WINDOWS 2000等操作系统。使用IPSec技术建立加密通信渠道和虚拟专网（VPN）不仅具有可行性，并且具有投资节省、方便配置、高强度加密安全环境等特点。考虑到本企业信息网络系统规模大、分布式的特点，使用IPSec技术在跨广域网的业务系统之间建立VPN加密通信环境无疑是恰当的。这种架构与本企业公用网络可以作到无缝集成，为重要业务系统之间提供了适用有效的加密手段。VPN还能满足远程移动用户（通过拨号、专线、Internet等方式）安全访问网络系统的需求。安全功能规范（） 使用加密机，实现链路级的加密。（） 使用VPN设备，建立安全通道、实现数的加密与安全传输。（） 保证移动用户的安全访问的需要。布控点与数量根据具体情况，进一步细化。推荐使用的产品中软VPN 安全网关(详见附件CSS-VPN)。卫士通加密机（详见附件卫士通链路加密机）。PCI加密卡（CSS-PCI）。PCMCIA加密卡（CSS-PCMCIA）。4.4.6. 系统安全（CSS-SEC-SYS）目标与范围操作系统是网络系统的基础，操作系统的安全在网络安全中有着举足轻重的位置。操作系统安全也称主机安全，由于现代操作系统的代码庞大，从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如Unix、Window NT，其安全漏洞更是广为流传的。另一方面，系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够，配置不当也会造成的安全隐患。操作系统自身的脆弱性。系统安全是要在操作系统这一层面上解决自身的安全问题。实施方案主机系统是网络通信的重要组成部分，是关键业务和关键信息的主要承载体。对主机系统的保护成为本企业网络安全防御中的重中之重。多数的网络攻击和入侵目标是网络中的主机系统中的业务信息。本建议书认为经过安全加固配置的主机操作系统构成了保护主机系统的基础。通常缺少安装配置下的主机网络操作系统面临着来自网络和内部恶意用户的收集信息攻击、猜测口令攻击、拒绝服务攻击、（远程和本地）缓冲区溢出攻击等巨大威胁，缺省配置下的操作系统服务无法有效识别系统中的特洛伊木马程序和入侵者安装的黑客后门程序等，无法准确记录和定位攻击和入侵者的“足迹”。国外厂商的操作系统一直垄断国内市场，系统级安全问题