北京电信防病毒网关技术建议书.doc

北京电信防病毒网关技术建议书2009-11目 录第一部分 背景3第二部分安全风险与现状分析42.1现状分析42.2当前安全风险52.2.1 应用层恶意软件威胁分析52.2.2网络层恶意软件威胁分析62.2.3系统层恶意软件威胁分析72.3 整体恶意软件防护设计思路7第三部分 边界恶意软件防护需求与选型指南8第四部分 边界恶意软件防护解决方案10第一部分 背景近几年，国家信息化领导小组下发了“关于加强信息安全保障工作的意见” (中办发200327号) 文件把网络与信息安全工作提高为国家安全的重要组成部分，明确了加强信息安全保障工作的总体要求，即：“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全”。文件要求正确处理安全与发展的关系，统筹规划，突出重点，强化基础性工作。北京电信严格按照国家的相关政策和要求，根据不同的保护等级，从网络、主机、应用系统不同层面逐步建设由安全基础设施（如防火墙、入侵检测、防病毒、账号管理等）构成的多层立体防护体系。在此背景下，北京电信对全网的病毒防护提出完整的技术要求，以完善全网病毒防护立体防护体系架构，防止病毒入侵，完善网络防病毒能力，阻止蠕虫、木马、后门程序等通过互联网网关进入并通过局域网传播和扩散，保障数据安全和网络的正常运行。为了提高北京电信网络安全性，提出针对目前北京电信系统需要的边界安全防护技术需求。在此建议书中指出采用目前国内网主流的边界恶意软件防护技术，建设北京电信网络系统统一、安全、稳定、高效的病毒安全维护体系，形成涵盖北京电信终端、应用和管理等信息系统各个方面的安全总体病毒防护方案及安全策略。第二部分安全风险与现状分析2.1现状分析北京电信业务系统分为三出口多业务的架构，在各出口下发分别为彩信短信网关、来电提醒、WAP站点、WAP网关、彩铃业务、智能网系统和ISAG等重要业务系统提供Internet接口以及外联DCN等接口。从网络拓扑分析，所有核心业务系统均采用冗余链路与汇聚交换机连接，同时汇聚交换机、出口路由器、防火墙也均采用双链路连接。业务连续性、稳定性和冗余性得到充分保障。在安全性保证方面，分别在ChinaNet与DCN接口部署防火墙进行访问控制策略与网络层安全防护。由于ChinaNet出口能够连接至外网并为下级各业务服务器提供Internet接入服务，由于防火墙网络数据过滤的局限性，在防火墙所开放的重要业务端口如：80、21、25、110、143等都需要在防火墙开放，而且业务端口中传输的数据是否为正常数据、是否夹带了病毒程序等则难以辨别。网络示意图如下：2.2当前安全风险当前90%以上的恶意软件都是来自于互联网，并且网络病毒和蠕虫攻击速度非常惊人。蠕虫、木马和间谍软件等恶意软件是当今最危险、最流行的安全威胁，传输途径主要包括SMTP和POP3邮件以及HTTP和FTP通讯。上述病毒现在都被称为恶意代码(Malware)，为Malicious software的简写。按照国际著名信息安全专家、克林顿安全办公室顾问，Ed Skoudis的定义：“恶意代码是运行在你的计算机上，使系统按照攻击者意愿执行任务的一组指令。”尽管近几年我们才目睹恶意代码的迅速增长，但它并不是什么新鲜事物。二十多年前，第一次被报道的计算机病毒就在Apple II中被发现，随着Internet的飞速发展，恶意代码更是肆虐传播。按照其传播机制和危害，恶意代码可以区分为：计算机病毒、网络蠕虫、网页病毒、后门、木马、RootKit、间谍程序等，混合型恶意代码也越来越多。要抵御当今的病毒和混合型恶意代码，仅仅一个单一解决方案是远远不够的，除了针对桌面设备的强大反病毒保护以外，在互联网网关、内部网络之间等安全环节防范恶意软件，基于边界、终端的恶意软件防护组合并已成为恶意代码立体防范技术的发展趋势。2.2.1 应用层恶意软件威胁分析应用层的恶意软件通常来自于以下五种传播途径： 互联网接口 ：由于互联网接口与Internet相联，内部所有访问互联网的行为和内部服务器对外提供的WEB服务等都通过互联网接口子域与互联网通讯，虽然有防火墙，仍会受到来自HTTP，FTP，SMTP，POP3等应用层通讯协议数据流为载体的潜在病毒的威胁和网络层蠕虫病毒的攻击。 远程接入：包括远程拨号接入，渠道营销合作伙伴远程VPN接入等方式，由远程终端发起TCP连接，与内部系统进行数据交换。这种类型的接入是无法控制接入端是否带病毒，病毒有可能会通过这种渠道传播进入业务支撑系统。 终端设备： 由于终端设备的使用情况比较复杂，也没有很好的安全操作规范，因此这些终端有可能携带病毒的进入网络。这些终端包括业务操作终端，厂家测试终端等。这些终端通过插入带有病毒的介质(光盘、软盘等)感染自身，一旦受到感染，便可通过网络迅速传播感染其他子域系统进而交叉相互感染。 应用平台服务器：包括内部接口相联的业务应用服务器平台，互联网接口对外提供WEB服务的服务器等其他应用服务。如果不加防护，会成为病毒迅速扩散的温床。 外联设备：由于可能会有其他外来的人员联入网络，如：开发测试系统的使用人员多为第三方厂商，为不受控人员，可能对信息系统造成破环。2.2.2网络层恶意软件威胁分析由于网络层病毒与应用层病毒不同，病毒体多为不成文件的单个数据包，使用传统的应用层防护产品无法识别和处理网络层病毒。而网络蠕虫病毒主要是以占用网络带宽和系统资源为主，严重影响网络带宽资源和系统稳定性，并能导致网络交换机、路由器、服务器严重过载瘫痪。网络层病毒攻击来自于以下三种传播途径： 互联网接口：由于有部分区域可以访问互联网，该接口直接连接INTERNET，最易受到攻击并形成传播病毒的源头。 终端接口：终端接口包括业务操作终端，厂家开发测试终端，远程接入终端等。由于使用终端的群体比较复杂如：营业厅的营业员，设备厂家调试人员，渠道合作伙伴等，终端用户对网络的使用情况各不相同，极有可能携带病毒联入网络成为网络病毒的主要传播渠道。 内部接口：内部接口指内部的邮件系统，OA系统等应用系统相联，而内部的应用系统能够直接访问，从而易受病毒攻击并成为传播病毒的通道，进一步感染到核心域各系统。2.2.3系统层恶意软件威胁分析系统层的恶意软件风险是恶意软件主要的目的地，破坏的方式以盗取个人数据、破坏系统文件、占用系统资源并使染毒计算机成为跳板再通过网络共享等方式在局域网内大范围传播。系统层的威胁主要来自： 网络接口：通过互联网、局域网到达目标主机。 程序漏洞：包括操作系统漏洞、应用程序漏洞、弱口令漏洞等方式感染终端系统。 移动介质：通过非网络传播的渠道，包括：U盘、光盘等方式感染终端系统。2.3 整体恶意软件防护设计思路通过上述对系统的恶意软件威胁分析，提出了整体恶意软件防护系统设计思想，对防病毒系统的集中或者分级控管、系统设计、系统部署等方面作了具体说明，为北京电信网络的平稳运行提供有力的安全保障。在整体恶意软件防护体系的设计中，贯彻了如下四点整体恶意软件防护的基本思想：l 构建“集中管理”的控管基础架构：在总部构建恶意软件防护控管中心，集中管理防病毒软件、硬件系统，集中监控全网恶意软件防护动态。l 构建全方位、多层次的防毒体系：在防病毒体系设计中，结合网络恶意软件防护需求，新建基于网关恶意软件防护技术、巩固和加强应用服务器防毒、客户端防毒多层次病毒防线，斩断病毒传播的多种途径，实现恶意软件的全面防范，重点加强恶意软件防治，有效切断病毒传播途径；同时要求恶意软件特征文件库能达到每天自动升级。l 构建覆盖病毒生命周期的控制体系：恶意软件防护体系应该包含病毒预警、病毒扩散跟踪、病毒代码更新、病毒遏制等全过程。当一个恶性病毒、网络钓鱼、恶意软件入侵时，恶意软件防护系统不仅仅使用代码来防范这些攻击，而且要具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理，特别是对那些利用系统漏洞、端口攻击等方式瘫痪整个网络的新型病毒具有很好的防护手段。第三部分 边界恶意软件防护需求与选型指南推荐使用业界主流的硬件防病毒网关或安全网关以综合防护技术都得保护网络边界，在网络边界处扫描和过滤进出的恶意软件、垃圾邮件和非法内容等安全威胁。如果在ChinaNet出口阻断恶意软件、木马、黑客程序和垃圾邮件传到内部网络，那么内部网络恶意软件防护工作将轻松很多，因此在网络边界部署安全网关或防病毒产品在ChinaNet网络出口进行透明接入和恶意软件过滤。考虑北京电信网络出口流量较大，安全网关或防病毒网关应当具备良好的处理性能、吞吐性能、综合的恶意软件、垃圾邮件、非法内容的防护功能并且需要具备良好的扩展能力和高可用性。安全网关或防病毒网关应当具有下列功能和性能：硬件平台由于应用层过滤设备需要消耗较高的CPU和内存资源，所以在设备选型时优先推荐采用Sun、HP、IBM、Dell服务器硬件平台。安装部署方式需要能支持各种网络环境：交换机TRUNK环境支持，保证能够在TRUNK环境下扫描病毒并进行Web管理；双机热备环境支持，保证能够部署在双机热备设备的前后；网卡模式需要支持10/100/1000M自适应,全双工,半双工模式；需要支持软硬件故障情况下的BYPASS功能，不能影响正常业务流量；恶意软件检测种类应当能够检测病毒，蠕虫，木马，间谍软件，网络钓鱼，拨号软件，玩笑程序，未知威胁，漏洞攻击和黑客工具，必须具有详细的配置选项。扫描协议至少支持以下6种常用Internet协议: HTTP (包括Java和ActiveX)、FTP、SMTP、POP3、IMAP4和NNTP。以及对以上6种协议的非标准端口的病毒扫描；高扩展性和负载均衡建议具有内置负载均衡功能，在对大量数据进行扫描时必须具备足够的扩展能力；快速自动修复必须支持CD/DVD光盘快速自动修复系统；自动恢复系统一旦发现硬件损害，比如说硬盘或者是主引导记录出现损坏，它将从一个正常的备份分区启动，同时会恢复被损坏的分区。升级方式需要支持恶意软件定义文件，防恶意软件引擎，的每日自动更新、增量更新、离线病毒库更新。病毒库数量鉴于目前恶意软件种类较多，防病毒网关应具备超过180万种以上的特征种类。对于北京电信售后运维服务来说，病毒库和引擎100%为自主研发是十分必要的。SMTP扫描性能至少要求 500封/秒来满足北京电信实际需求。HTTP扫描性能至少要求 500 Mbps来满足北京电信实际需求。启发式扫描应当支持启发式扫描技术，可以检测到隐藏在可执行文件中的未知病毒，保证潜在的危险内容被过滤掉。其他功能其他附件功能还应该包括B/S架构管理，如果支持内容过滤、反垃圾邮件、隔离区功能以及Web过滤将更加提升边界防护能力。第四部分 边界恶意软件防护解决方案建议在ChinaNet双链路出口分别部署安全网关/防病毒网关保障内部核心业务系统安全，将互联网威胁阻断在内网之外。部署后的示意图如下：在ChinaNet