信息产业部网络安全解决方案.doc

信息产业部信息产业部 网络安全解决方案网络安全解决方案 北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司 Venus Information Technology Beijing 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 1 目目 录录 1概述概述 3 2信息产业部安全需求分析信息产业部安全需求分析 4 2 1安全威胁 4 2 2信息产业部网络平台安全的需求 5 2 2 1信息产业部网络的基本安全需求 5 2 2 2公用服务平台的安全需求 6 2 2 3Internet 服务平台的安全需求 6 3信息产业部网络安全平台体系信息产业部网络安全平台体系 7 3 1建立平台安全体系的原则 7 3 2信息产业部平台安全体系结构 8 3 3网络安全层次 10 3 4全方位的安全体系 12 3 5平台安全的管理因素 12 4信息产业部网络安全系统建设内容信息产业部网络安全系统建设内容 13 4 1安全保护 13 4 1 1设施保护 13 4 1 2设备选型 15 4 1 3安全配置 16 4 1 4漏洞扫描 17 4 1 5备份与恢复 19 4 1 6虚拟专用网 VPN 22 4 1 7动态口令 23 4 1 8日志与审计 23 4 2网络状态监控 25 4 2 1防火墙 25 4 2 2防病毒 26 4 2 3入侵检测 27 4 2 4网管 28 4 2 5WEB 网页保护 28 4 3主机状态监控 29 4 3 1主机防病毒 29 4 3 2基于主机入侵检测 29 4 3 3个人防火墙与个人主机保护系统 29 4 4实时响应 29 4 5恢复 30 5信息产业部网络安全系统的总体规划信息产业部网络安全系统的总体规划 31 5 1网络安全体系设计思想 31 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 2 5 1 1安全体系设计原则 31 5 1 2网络安全策略 32 5 2信息产业部的总体安全设计 34 5 2 1网络的安全的实现 34 5 2 2信息安全 35 5 2 3操作系统安全 36 5 2 4应用层安全 38 6信息产业部网络安全的详细设计信息产业部网络安全的详细设计 40 6 1设计说明 40 6 2网络安全详细设计 42 6 2 1防火墙外网的安全设计 42 6 2 2防火墙内网安全设计 44 6 2 3内部局域网安全设计 44 6 3网络安全子系统 46 6 3 1物理子系统 46 6 3 2防黑客子系统 47 6 3 3防病毒子系统 49 6 3 4安全配置子系统 50 6 3 5网页保护子系统 52 6 3 6主机保护子系统 53 7安全服务体系安全服务体系 54 7 1服务宗旨 54 7 2服务内容 55 7 2 1 风险分析 55 7 2 2 产品维护 55 7 2 3 测试支持 55 7 3服务形式 56 7 3 1 软件升级 56 7 3 2 热线咨询 56 7 3 3 紧急事件处理 56 7 3 4 紧急服务流程 57 7 4技术培训 58 8附件附件 58 8 1防火墙产品说明 58 8 2天阗入侵检测产品说明 62 8 3天蘅防病毒产品说明 65 8 4天镜漏洞扫描产品说明 71 8 5WEB KEEPER网页保护产品说明 75 8 6安星主机保护产品说明 76 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 3 1 概述概述 随着计算机技术和通讯技术的飞速发展 网络正逐步改变着人们的工作方式和生活方式 成为当今社会发展的一个主题 网络的开放性 互连性和共享性程度的扩大 特别是 Internet 的出现 使网络的重要性和对社会的影响也越来越大 随着网络上电子商务 电子 现金 数字货币等新兴业务的兴起 网络安全问题变得越来越重要 计算机网络犯罪所造成的经济损失也令人吃惊 仅在美国每年因计算机犯罪所造成的直 接经济损失就达 150 亿美元 在全球平均每二十秒就发生一次网上入侵事件 有近 80 的公 司至少每周在网络上要被大规模的入侵一次 并且一旦黑客找到系统的薄弱环节 所有用户 都会遭殃 面对计算机网络的种种安全威胁 必须采取有力的措施来保证安全 此外 随着网络规模的不断扩大 复杂性不断增加 异构性不断提高 用户对网络性能 要求的不断提高 网络管理也逐步成为网络技术发展中一个极为关键的任务 对网络的发展 产生很大的影响 成为现代信息网络中最重要的问题之一 如果没有一个高效的网络管理系 统对网络进行管理 就很难向广大用户提供令人满意的服务 因此 找到一种使网络运作更 高效 更实用 更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求 虽 然其重要性已在各方面得到体现 并为越来越多的人所认识 可迄今为止 在网络管理领域 里仍有许多漏洞和亟待完善的问题存在 网络扩展的同时 信息也更加安全 二者的有机结合正是北京启明星辰信息技术有限公 司的权威领域 启明星辰公司把网络安全作为一个长期的战略发展方向 拥有国际一流水准 的权威技术人才和实践经验丰富的研发队伍 以网络安全技术为核心 在应用软件 操作系 统 数据库 网络设备等技术方面提供全方位的网络安全解决方案 通过多项大型网络工程的建设实践 我们深切的认识到任何网络工程的建设都离不开网 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 4 络安全和网络管理的建设工作 正是出于对广大用户和企业切身利益的考虑 本着 提供本 行业最全面的系列网络安全与管理解决方案 的宗旨 荟萃全球的尖端技术 推出了最优秀 的网络总体解决方案 启明星辰网络安全整体解决方案 作为专业的网络安全公司 启明星辰公司现已研制开发了黑客入侵检测与预警系统 网 络漏洞扫描系统 网络防病毒系统 网页监测及自动恢复系统 网络安全运行记录系统 个 人主机保护系统等多项达到国际先进水平的网络安全产品 从安全防护 报警 响应 追踪 恢复 报表和证据采集等各个方面对网络系统提供可靠的安全服务 因此 我们有理由相信 有了这样优秀的产品 加之我们为您奉上的全方位的周到服务 您的网络一定会变得安全而高效 您的事业也一定会因此而取得巨大的成功 2 信息产业部安全需求分析信息产业部安全需求分析 2 1 安全威胁安全威胁 由于信息产业部网络内运行的主要是多种网络协议 而这些网络协议并非专为安全通讯 而设计 所以 信息产业部网络可能存在的安全威胁来自以下方面 1 操作系统的安全性 目前流行的许多操作系统均存在网络安全漏洞 如操作系统的安全性 目前流行的许多操作系统均存在网络安全漏洞 如 UNIX 服服 务器 务器 NT 服务器及服务器及 Windows 桌面桌面 PC 2 防火墙的安全性 防火墙产品自身是否安全 是否设置错误 需要经过检验 防火墙的安全性 防火墙产品自身是否安全 是否设置错误 需要经过检验 3 来自内部网用户的安全威胁 来自内部网用户的安全威胁 4 来自外网用户的安全威胁来自外网用户的安全威胁 5 缺乏有效的手段监视 评估网络系统的安全性 缺乏有效的手段监视 评估网络系统的安全性 6 采用的采用的 TCP IP 协议族软件 本身缺乏安全性 协议族软件 本身缺乏安全性 7 未能对来自未能对来自 Internet 的电子邮件夹带的病毒及的电子邮件夹带的病毒及 Web 浏览可能存在的浏览可能存在的 Java ActiveX 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 5 控件进行有效控制 控件进行有效控制 8 应用服务的安全 许多应用服务系统在访问控制及安全通讯方面考虑较少 并且 应用服务的安全 许多应用服务系统在访问控制及安全通讯方面考虑较少 并且 如果系统设置错误 很容易造成损失 如果系统设置错误 很容易造成损失 9 路由设备 交换机 网关的安全威胁路由设备 交换机 网关的安全威胁 2 2 信息产业部网络平台安全的需求信息产业部网络平台安全的需求 信息产业部网络平台将支持信息产业部的多种应用系统 对于每种系统均在不同程度上 要求充分考虑平台安全 2 2 12 2 1 信息产业部网络的基本安全需求信息产业部网络的基本安全需求 满足基本的安全要求 是该网络成功运行的必要条件 在此基础上提供强有力的安全保 障 是信息产业部网络系统安全的重要原则 信息产业部网络内部部署了众多的网络设备 服务器 保护这些设备的正常运行 维 护主要业务系统的安全 是信息产业部网络的基本安全需求 对于各种各样的网络攻击 如何在提供灵活且高效的网络通讯及信息服务的同时 抵 御和发现网络攻击 并且提供跟踪攻击的手段 是本项目需要解决的问题 信息产业部网络基本安全要求 1 网络正常运行 在受到攻击的情况下 能够保证网络系统继续运行 2 网络管理 网络部署的资料不被窃取 3 对网络病毒进行检测 过滤和清除 4 具备先进的入侵检测及跟踪体系 5 提供灵活而高效的内外通讯服务 6 具有先进的安全管理体系 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 6 2 2 2 公用服务平台的安全需求公用服务平台的安全需求 公用服务平台指由信息产业部网络提供给网内客户的公共信息服务 公用服务平台有 可能受到来自 Internet 或网络的攻击 公用服务平台的安全要求 1 访问控制 确保业务系统不被非法访问 2 数据安全 保证数据库软硬件系统的整体安全性和可靠性 3 入侵检测 对于试图破坏业务系统的恶意行为能够及时发现 记录和跟踪 提供非 法攻击的犯罪证据 4 来自网络内部其他系统的破坏 或误操作造成的安全隐患 2 2 32 2 3 InternetInternet 服务平台的安全需求服务平台的安全需求 Internet 服务平台分为两个部分 提供网络用户对 Internet 的访问 提供 Internet 对网内 服务的访问 网络内客户对 Internet 的访问 有可能带来某些类型的网络安全 如通过电子邮件 FTP 引入病毒 危险的 Java 或 ActiveX 应用等 因此 需要在网络内对上述情况提供集成的 网络病毒检测 消除等操作 提供给 Internet 的网络服务按照应用类型可分为 1 普通服务 该种服务通常需要保障系统抵抗和检测攻击的能力 2 商业应用 商业应用除了要考虑更严格的安全要求外 还希望提供不停顿的服务 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 7 3 信息产业部网络安全平台体系信息产业部网络安全平台体系 3 1 建立平台安全体系的原则建立平台安全体系的原则 信息产业部平台安全体系结构的制订遵循了以下几个原则 可实施性原则可实施性原则 安全体系中的网络风险分析 网络安全需求分析都是从可实施的角度 出发的 按照体系的指导 可以直接把目前已有的安全技术 安全产品 安全措施 网络设 施建设 直至管理规范都规划到某个安全层次中去 因此 本体系不是一个学术化的理论体 系 而是一个用于指导实际工作的一个可实施的安全体系 可管理性原则可管理性原则 在进行网络的安全性改造时往往存在一个问题 就是花了很多钱 买 了很多设备 但是往往网络的安全性得不到显著的改善 常常出现由于管理制度的不完善 或职责划分的不明确 导致采取的安全技术 购买的安全设备不能很好地发挥作用 我们制 订安全体系的原则之二就是试图建立一个动态的 可控的安全体系结构 管理人员不需要掌 握具体的安全技术 在一套合理的安全规范的指导下 就可以管理网络的安全 这样 可以 有效地对安全设备和安全技术进行利用与管理 使得整个网络的安全性是可控的 安全完备性原则安全完备性原则 安全是一个多层面的问题 同样 安全体系也是一个多层次的结构 以安全的层次理论模型为基础 从安全层次出发 对信息产业部络进行详细的安全分析 再 从每一个层次中分离出若干子系统 完整地将网络的总体安全因素都考虑在内 可以保证基 本不会遗漏大的安全问题和安全隐患 可扩展性原则可扩展性原则 随着网络的扩展 其网络结构和应用结构也会日趋复杂 本安全体 系考虑到了这一点 安全体系的可扩充性结构为以后云南城域的网络扩展和业务扩充都预留 了接口 只要在安全防护体系的指导下 安全子系统的实施都可以采取更新的技术 更换更 高档次的产品 或进行拓扑的扩充来对安全功能进行扩展和延续 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 8 专业性原则 专业性原则 安全体系所涉及的所有网络安全的概念 系统定义 体系思想 都是参 考目前国内 国际有关网络安全的专业规范制定的 均符合相关的安全标准 这样可以确保 本安全体系的技术深度和专业性 3 2 信息产业部平台安全体系结构信息产业部平台安全体系结构 信息产业部网络的安全体系结构是划分为若干层次的一种多层次 多方面 立体的安全 构架 针对 全网安全 的要求 网络安全体系涉及的各个环节包括 网络安全策略指导 网络安全标准规范 网络安全防范技术 网络安全管理保障 网络安全服务支持体系等几部 分 如图 1 所示 我们认为信息产业部网络的安全是一个动态的概念 我们已经制定和开发出针对性的一 系列安全方案 技术框架和应用工具 并发展成为一种有效的网络安全解决方案 动态安 全模型 它能够提供给用户比较完整 合理的安全机制 信息产业部络的动态安全管理公式可由下面公式概括 信息产业部网络安全信息产业部网络安全 风险分析风险分析 制订策略制订策略 系统防护系统防护 实时监测实时监测 实时响应实时响应 恢复恢复 网络安全策略 安全标准 规范体系 安全管理 保障体系 安全技术 防范体系 安全服务支持体系 图1 网络安全的环节 网络安全策略 安全标准 规范体系 安全管理 保障体系 安全技术 防范体系 安全服务支持体系 图1 网络安全的环节 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 9 即 网络的安全是一个 AP2DR2 的动态安全公式 如图 2 所示 风险分析 安全策略 系统防护 实时监测 实时响应 灾难恢复 网络安全 图2 网络动态安全体系模型 从安全体系的实施的动态性角度 信息产业部动态安全管理公式的设计充分考虑到了风 险评估 安全策略的制定 防御系统 监控与检测 响应与恢复等各个方面 并且考虑到各 个部分之间的动态关系与依赖性 安全需求和风险评估安全需求和风险评估是制定信息产业部安全策略的依据 风险分析 又称风险评估 风 险管理 是指确定网络资产的安全威胁和脆弱性 并估计可能由此造成的损失或影响的过 程 风险分析有两种基本方法 定性分析和定量分析 我们协助制订业务网络安全策略的时 候 是从全局进行考虑 基于风险分析的结果进行决策 建议究竟是加大投入 采取更强有 力的保护措施 还是可以容忍一些小的风险存在而不采取措施 因此 我们采取了科学的风 险分析方法对信息产业部的安全进行风险分析 风险分析的结果作为制定安全策略的重要依 据之一 根据安全策略安全策略的要求 我们协助选择相应的安全机制和安全技术 实施安全防御系统安全防御系统 进行监控与检测监控与检测 我们认为信息产业部安全防御系统必须包括技术和管理两方面 涵盖物理 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 10 层 系统层 网络层 应用层和管理层各个层面上的诸多风险类 安全防御系统搭建得完善 与否 直接决定了信息产业部网络的安全程度 无论哪个层面上的安全措施不到位 都可能 是很大的安全隐患 都有可能造成业务网络中的后门 响应与恢复系统响应与恢复系统是保障云南城域安全性的重要手段 我们协助采取检测手段 制订紧急 事件响应的方法与技术 根据检测和响应的结果 可以发现防御系统中的薄弱环节 或者安 全策略中的漏洞 进一步进行风险分析 修改安全策略 根据技术的发展和业务的变化 逐 步完善安全策略 加强业务网安全措施 3 3 网络安全层次网络安全层次 信息产业部对网络的安全需求是全方位的 整体的 相应的网络安全体系也是分层次的 在不同层次反映了不同的安全问题 根据网络的应用现状情况和网络的结构 我们将安全体 系的层次划分为五层 物理层安全 系统层安全 网络层安全 应用层安全 安全管理 如 图 3 所示 安全管理 应用层安全 系统层安全 网络层安全 物理层安全 图3 安全体系层次结构 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 11 层次一 物理环境的安全性 物理层安全 层次一 物理环境的安全性 物理层安全 包括通信线路的安全 物理设备的安全 机房的安全等 物理层的安全主要体现在通信 线路的可靠性 线路备份 网管软件 传输介质 软硬件设备安全性 替换设备 拆卸设 备 增加设备 设备的备份 防灾害能力 防干扰能力 设备的运行环境 温度 湿度 烟尘 不间断电源保障 等等 层次二 操作系统的安全性 系统层安全 层次二 操作系统的安全性 系统层安全 这一层次的安全问题来自网络内使用的操作系统 Windows NT Windows 2000 NetWare 等 系统层的安全性问题表现在三方面 一是操作系统本身的缺陷带来的 不安全因素 主要包括身份认证 访问控制 系统漏洞等 二是对操作系统的安全配置问题 三是病毒对操作系统的威胁 层次三 网络的安全性 网络层安全 层次三 网络的安全性 网络层安全 该层次的安全问题主要体现在网络信息的安全性 包括网络层身份认证 网络资源的访 问控制 数据传输的保密与完整性 远程接入的安全 域名系统的安全 路由系统的安全 入侵检测的手段 网络设施防病毒等 层次四 应用的安全性 应用层安全 层次四 应用的安全性 应用层安全 该层次的安全考虑信息产业部提供服务所采用的应用软件和数据的安全性 包括 Web 服务 电子邮件系统 DNS 等 此外 还包括病毒对系统的威胁 层次五 管理的安全性 管理层安全 层次五 管理的安全性 管理层安全 安全管理包括安全技术和设备的管理 安全管理制度 部门与人员的组织规则等 管理 的制度化程度极大地影响着整个网络的安全 严格的安全管理制度 明确的部门安全职责划 分 合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 12 3 43 4 全方位的安全体系全方位的安全体系 与其它安全体系类似 信息产业部应用系统的安全休系应包含 1 访问控制 通过对特定网段 服务建立的访问控制体系 将绝大多数攻击阻止在到 达攻击目标之前 2 检查安全漏洞 通过对安全漏洞的周期检查 即使攻击可到达攻击目标 也可使绝 大多数攻击无效 3 攻击监控 通过对特定网段 服务建立的攻击监控体系 可实时检测出绝大多数攻 击 并采取相应的行动 如断开网络连接 记录攻击过程 跟踪攻击源等 4 加密通讯 主动的加密通讯 可使攻击者不能了解 修改敏感信息 5 认证 良好的认证体系可防止攻击者假冒合法用户 6 备份和恢复 良好的备份和恢复机制 可在攻击造成损失时 尽快地恢复数据和系 统服务 7 多层防御 攻击者在突破第一道防线后 延缓或阻断其到达攻击目标 8 隐藏内部信息 使攻击者不能了解系统内的基本情况 9 设立安全监控中心 为信息系统提供安全体系管理 监控 渠护及紧急情况服务 3 53 5 平台安全的管理因素平台安全的管理因素 平台安全可以采用多种技术来增强和执行 但是 很多安全威胁来源于管理上的松懈及 对安全威胁的认识 安全威胁主要利用以下途径 1 系统实现存在的漏洞 2 系统安全体系的缺陷 3 使用人员的安全意识薄弱 4 管理制度的薄弱 良好的平台管理有助于增强系统的安全性 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 13 1 及时发现系统安全的漏洞 2 审查系统安全体系 3 加强对使用人员的安全知识教育 4 建立完善的系统管理制度 4 信息产业部网络安全系统建设内容信息产业部网络安全系统建设内容 本章介绍了信息产业部网络中建议采取的安全技术和安全措施 安全技术与安全措施分 别属于系统防护 P 状态监测 D 实时响应 R 或恢复 R 中的某个方面 系统防 护的安全措施侧重于对已有网络进行安全配置 安全检查 安全防护 状态监测主要是动态 监控网络的安全性 发现并处理网络的不安全或不稳定因素 实时响应主要是当安全事件发 生时 如何采取紧急手段 处理安全问题 尽量避免发生事件 降低事件带来的损失 恢复 是在发生安全事件之后 如何尽快重新提供正常的服务和正确的数据信息 并排除存在的安 全隐患 防止其它安全事件的发生 对每项安全措施 主要从几个方面介绍 技术原理 在信息产业部中的需求和地位 4 1 安全保护安全保护 4 1 1 设施保护设施保护 4 1 1 1 环境安全环境安全 环境的安全主要是指机房环境的安全 包括 1 机房选址 要注意选择安全的地点 具有较强的防灾害 雷击 暴雨 电压 盗窃 水灾 火灾 地震等 防干扰 电磁干扰 静电等 能力 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 14 2 机房环境 建议按照国家和规划局有关标准建设机房 达到合适的温度 湿度 能够防尘 防静电 防水 防雷击 防电磁辐射 采用不间断电源 装备备用发电机 3 机房防护 机房要门窗坚固 最好几层门 并且每层都能够加锁 并且由不同的人员带不同层次门 的钥匙 非常重要的机房门最好配用多锁和多钥匙 并且几个人同时有钥匙才能开门 业务 机房定时开关门 开发机房可以在开放时间上适当予以放宽 4 机房人员 机房开辟专门的饮水间和娱乐间 工作人员不得在工作间吃喝 吸烟 打闹 打扑克 玩游戏等 上述各项问题实际上是对机房的管理问题 应制订机房管理制度 4 1 1 2设备安全设备安全 设备主要指两类设备 网络专用设备 路由器 交换机等 和主机设备 终端计算机 服务器 防火墙等 设备的安全主要指设备本身的安全性 1 设备可靠性 采用高质量 可靠的设备 如果有必要 对关键的设备要适时更换性能更好 功能更全 运行更稳定的产品 2 设备环境 设备存放环境如温度 湿度等符合设备要求 3 设备备份 重要设备有备份系统 例如硬盘镜像 双机备份等 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 15 4 设备安装 设备的安装要坚固耐用 尽量隔离存放 做到最终用户难以私自安装 拆卸设备的配件 最好象自动柜员机一样 用户能够接触的只有键盘和屏幕 4 1 1 3安全通讯链路安全通讯链路 通讯链路的安全性主要指通信线路的安全性 1 传输介质 尽量选用光纤线路 2 布线方式 如果采用电缆则最好安装电磁屏蔽外套并安装在专用管道内 规划内部网络的布线 线路的空闲端口和插槽要适当屏蔽 以免被搭线窃听 3 线路备份 重要线路要有备份 业务繁忙的线路要有足够的带宽 4 安全检查 定期检查线路及其安装管道的完好性 发现安全隐患及时处理 4 1 2 设备选型设备选型 设备选型包括对各类软硬件设备的选用 主要考虑各类服务器的机型 操作系统的类型 数据库类型等 1 服务器机型 Web 服务器 邮件服务器 DNS 服务器等都是关键的服务器 必须选用可靠性高 运 行稳定 兼容性好的名牌计算机 如 IBM HP COMPAQ 等国际品牌 如果考虑节约成本 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 16 也可选择联想等国内品牌 但必须谨慎挑选整机性能好的机型 2 操作系统类型 操作系统的安全关系到整个业务应用系统安全 因此要特别注意选择功能完备 性能稳 定的产品 如经过几十年实际应用考验的 MVS VMS OS 400 等 建议选择 UNIX 也可 以考虑高版本 windows2000 服务器和工作站版本 尽快淘汰 DOS NT NOVELL 的低版 本系统 目前 较流行的几种操作系统的安全性比较如下表所示 3 数据库类型 选用安全的数据库系统 建议 FoxPro 转换为 SQL Server ORACLE 将 SQL SERVER 升级为最新版本 4 1 3 安全配置安全配置 主要是对操作系统 数据库 防火墙 Web 系统的安全全配置及其版本升级和补丁等 对上述系统的安全配置包括 1 安全配置 参考 Windows NT Windows 2000 DOS NOVELL 等操作系统 Check Point 防火墙 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 17 PIX 防火墙 SQL 数据库等产品的全配置方案 在系统正式开始运行前 进行安全配置 对 有些使用比较复杂的设备 可以在厂家技术人员的指导下 完成系统的安全配置 对 Web 系统及其它应用系统 在软件供应商和专业安全人员的支持和配合下进行安全分析与配置 有些操作系统可以采用专门的操作系统配置工具进行配置 2 操作系统增强 可以考虑使用操作系统安全性能增强工具操作系统安全性能增强工具以进一步提高系统的安全性 操作系统增强工 具主要包括 Windows NT 的增强工具 DOS 增强工具等 3 系统升级 应该注意使用最新补丁和升级至最新版本 信息产业部中需要进行安全配置的设备包括 路由系统 交换设备 域名管理系统 资 料服务器 防火墙 专用防火墙等的安全配置 4 1 4 漏洞扫描漏洞扫描 4 1 4 1技术原理技术原理 由于各种原因存在着各个方面的大量漏洞 成为入侵者可以利用的良好突破口 因此对 系统的整体和各个组成部分进行漏洞扫描并进行有效弥补成为增强安全的有效手段 漏洞扫 描作为系统和网络的安全评估系统 这方面的工具有 网络漏洞扫描工具 能够扫描各方面的网络漏洞 如路由器 交换机 防火墙等的漏洞 系统漏洞扫描工具 能够对不同类型和版本的操作系统及其配置方面的各种漏洞进行扫描 数据库漏洞扫描 能够对不同类型和版本的数据库系统及其配置方面的各种漏洞进行扫描 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 18 漏洞扫描工具一般是把已知的网络和系统 主机操作系统以及应用系统 中存在的安全 性漏洞以规则的形式描述并存储在漏洞探测引擎的知识库中 探测引擎则利用这些规则性的 漏洞知识对系统进行扫描探测 试图性攻击 来及早发现系统中因设计 编码或者系统配 置中存在的漏洞和缺陷 并采取相应的弥补措施 基于主机系统漏洞扫描工具并用于侦测主机系统内部的漏洞并对系统中的安全性问题进 行安全风险的级别划分 系统扫描能够把快速的分析与可靠的建议结合起来 从而保护工作 站上的应用程序 数据免受盗用 破坏或误操作 同时定义一个安全策略或安全门限 系统 漏洞扫描器在没有任何监管的情况下自动运行 一旦发现漏洞立即报警 系统扫描器所实行 的所有规则存放在扫描器的知识库中 并允许用户自己定义一个适合相应平台的规则 网络漏洞扫描工具则是对网络设备进行自动的安全漏洞检测和分析 并且在执行过程中 支持基于策略的安全风险分析 网络漏洞扫描器执行预定的或事件驱动的网络探测 包括对 网络通信服务 操作系统 路由器 电子邮件 WEB 服务器 防火墙和应用程序的检测 从而识别能被入侵者利用来非法进入网络的漏洞 漏洞扫描工具将给出检测到漏洞信息 包 括位置 详细描述和建议的改进方案 这种策略允许管理员侦测和管理安全风险信息 并跟 随开放的网络应用和迅速增长的网络规模而相应地改变 4 1 4 2功能需求功能需求 漏洞扫描一方面是配合安全配置的工具 另一方面也是发现并修补安全漏洞的工具 信 息产业部对漏洞扫描的需求主要是 1 首次检查 在新的操作系统 数据库系统 路由器 防火墙等设备开始正式使用之前 分别采用网 络 系统 数据库等漏洞扫描程序进行扫描 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 19 2 定期检查 对上述设备周期性地进行系统漏洞扫描和漏洞弥补 可以说 业务网的几乎所有中心服务器和网络设施都需要进行漏洞扫描与安全配置 对 外部提供服务的关键的服务器更需要定期进行检查与配置 4 1 5 备份与恢复备份与恢复 4 1 5 1技术原理技术原理 我们考虑的备份主要包括数据备份 服务器备份 线路备份等几个方面 下面重点说明 数据备份的技术原理 日常备份制度描述了每天的备份以什么方式 使用什么备份介质进行 是系统备份方案 的具体实施细则 在制订完毕后 应严格按照制度进行日常备份 否则将无法达到备份方案 的目标 数据备份方式 有多种数据备份方式 全备份 增量备份 差分备份 按需备份等 全备份 备份系统中所有的数据 增量备份 只备份上次备份以后有变化的数据 差分备份 只备份上次完全备份以后有变化的数据 按需备份 根据临时需要有选择地进行数据备份 全备份所需时间最长 但恢复时间最短 操作最方便 当系统中数据量不大时 采用全 备份最可靠 但是随着数据量的不断增大 我们将无法每天做全备份 而只能在周末进行全 备份 其它时间我们采用所用时间更少的增量备份或采用介于两者之间的差分备份 各种备 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 20 份的数据量不同 全备份 差分备份 增量备份 在备份时要根据它们的特点灵活使用 数据存储基本策略的设定 数据库全备份 选择在周五 或周六 自动进行 数据库增量备份 每晚作批前和批后由 Unix 或其它主机系统执行 批处理人员触发 或由系统自动执行 文件全备份 将主机系统和其它服务器的数据作全备份 选择在周日自动进行 文件增量备份 在周一到周四 或周五 之间备份文件的增量 系统全量 在月初的周日备份系统及数据库的全量 系统增量 在其余的时间仅备份系统和数据库配置的增量 跟踪备份 实时备份系统增量 事务日志备份 结合以上备份策略 从便于管理和恢复的角度考虑 制订数据分组和存储介质池对应策 略 将数据分门别类放在不同编号的磁带组上 并建立不同的存取权限 建议建立 数据库介质 专门放置数据库信息 文件介质 除数据库以外的文件 数据库日志和系统日志介质 安全稽核和系统恢复的重要数据记录须较长时间保存 建议由安全管理官员在 NT 一侧建立管理 形成与主机系统管理人员分离的运行数据记录 系统介质 备份系统和系统配置等的变化 做到快速恢复系统 数据备份工作过程 自动备份进程由备份服务器发动 每天晚上 自动按照事先制订的时间表所要求内容 进行增量或全量的备份 由于每天的备份被适当地均衡 峰值备份数据量在周五 或周六 和周日发生 批前及批后备份在 Unix 或其它主机端发起 批处理人员键入触发备份命令 自动按 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 21 要求备份数据库有关内容 其它文件的自由备份 进入软件交互菜单 选择要求备份的文件后备份 在线跟踪备份 配合数据存储管理软件的数据库在线备份功能 可定义实时或定时将 日志备份 灾难备份异地存放介质的克隆 自动复制每日完成后的数据 以存放异地作灾难恢复 灾难恢复 灾难恢复措施在整个备份制度中占有相当重要的地位 因为它关系到系统在经历灾难后 能否迅速恢复 灾难恢复操作通常可以分为两类 第一类是全盘恢复 第二类是个别文件恢 复 全盘恢复 全盘恢复一般应用在服务器发生意外灾难导致数据全部丢失 系统崩溃时 进行整个磁 盘的数据恢复 个别文件恢复 个别文件恢复主要是当应用在服务器的个别文件被更改或发生意外灾难时 针对被损坏 文件的恢复 4 1 5 2备份需求备份需求 备份是保护数据不被丢失 服务不被中断的一种有效手段 备份与恢复包括了对数据 服务器 线路等诸方面的保护 1 数据备份 数据备份要注意备份和恢复策略 可以采取单独的备份服务器 集中式备份 数据仓库 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 22 等备份手段 交易数据 客户资料 行情信息等都要备份 2 服务器备份 服务器备份可以用磁盘镜像 双机热备份等手段 保证当一台服务器出故障或被攻击后 另一台服务器仍旧可以保障正常服务的进行 3 线路备份 关键线路的备份也是为了保证正常服务的顺利进行 用于传输行情的专用线路 网上交 易的专用线路 客户身份认证的专用线路都要进行备份 4 1 6 虚拟专用网 虚拟专用网 VPN VPN 为虚拟专用网络或虚拟私有网络的英文缩写 顾名思义 这种 专用 或 私有 网络是一种技术虚拟 VPN 通过共享公共通信基础设施为用户提供网络连接 当一个组织机构利用这种虚拟 连接技术组成 自己的 专用网络时 在这个专用网络内 所有用户共享相同的安全性 优 先权服务 可靠性和可管理性策略 VPN 具有节省远程访问的长话费 网络设备运行和维护费 连接快速 简便以及简化 WAN 连接管理的优势 VPN 是一种基于 IP 和利用公共网络基础设施的网络虚拟连接技术 从安全角度看 网 络内部点到点之间从物理逻辑和管理上存在很多机制性安全漏洞和隐患 因此基于 TCP IP 协议及物理暴露性所具有的安全脆弱性 网上攻击可能通过 VPN 连接对网络信息资源和用 户资源造成危害 经过分析 对被保护的子网内部信息资源而言 来自外部公共网络的威胁 要变成成功的攻击 必须以骗取信任 假冒他人身份 如 IP 地址等 窃取会话信息及系统 准入口令 收集被攻击目标的网络拓朴轮廓作为破坏或攻入目标系统内部条件 而且完成 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 23 一次攻击一般都需要一定的步骤 如果能在 IP 层上对信息的鉴别和加密采取措施 就可切 断和阻塞来自公共网络的攻击尝试 基于这一思想 在 IP 协议层上采用安全措施以形成安 全虚拟专用网络 SVPN 对于防范利用公共网络威胁内部网络是非常有效的 VPN 是内部网在跨越公网时进行数据传输 或者用于 Internet 交易的一种专用网络 它可以在两个系统之间建立安全的信道 或隧道 用于电子数据交换 EDI 它与信用卡 交易和客户发送订单交易不同 因为在 VPN 中 双方的数据通信量要大得多 而且通信的 双方彼此都很熟悉 这意味着可以使用复杂的专用加密和认证技术 只要通信的双方默认即 可 没有必要为所有的 VPN 进行统一的加密和认证 现有的或正在开发的数据隧道系统可 以进一步增加 VPN 的安全性 因而能够保证数据的保密性和可用性 建议在公司业务网中涉及广域网的通讯部分采用 VPN 技术增强安全性 4 1 7 动态口令动态口令 对资源访问和使用的访问控制手段有多种 为了达到访问控制的目的 必须首先将将数 据分级 然后才能严格执行访问控制 访问控制的手段中应用很广泛的一种就是通过口令认 证访问者的身份 口令是进行身份认证的一种手段 许多应用系统甚至操作系统的身份认证都是基于口令 认证的 口令的安全性就成为一个非常重要的问题 提高口令安全性的一种很有效的方法就 是使用动态口令 4 1 8 日志与审计日志与审计 4 1 8 1技术原理技术原理 信息产业部网络系统中 计算机操作系统 网络管理 应用系统 数据库系统 mail 系 统等 都应具有相应的安全审计功能 系统产生的大量的审计数据给出了系统中活动的详细 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 24 记录 利用系统安全自动分析或检测工具对审计数据进行分析 可尽量早地发现那些可疑事 件或行为的线索 发现网络中存在的不稳定因素 如服务器死机 给出报警或应对措施 早期的大 中型计算机系统中都收集审计信息来建立跟踪文件 这些审计跟踪的目的多 是为了性能测试或计费 目前这些审计文件也为系统安全检测提供了有用信息 通用的审计 跟踪能提供用于攻击检测的重要信息 例如什么人运行了什么程序 何时访问或修改过那些 文件 使用过内存和磁盘空间的数量等等 但也可能漏掉部门重要的攻击检测的相关信息 为了使通用的审计跟踪能用于攻击检测等安全目的 必须配备自动工具对审计数据进行分析 以期尽早发现那些可疑事件或行为的线索 给出报警或对抗措施 为了从大量的 有时是冗 余的审计跟踪数据中提取出对安全功能有用的信息 基于计算机系统审计跟踪信息设计和实 现的系统安全自动分析或检测工具是很必要的 可以用以从中筛选出涉及安全的信息 基于审计的自动分析检测工具可以是脱机的 指分析工具非实时地对审计跟踪文件提供 的信息进行处理 从而得到计算机系统是否受到过攻击的结论 并且提供尽可能多的攻击者 的信息 此外 也可以是联机的 指分析工具实时地对审计跟踪文件提供的信息进行同步处 理 当有可疑的攻击行为时 系统提供实时的警报 在攻击发生时就能提供攻击者的有关信 息 其中可以包括攻击企图指向的信息 基于审计信息的攻击检测特别难于防范的攻击是具备较高优先特权的内部人员的攻击 攻击者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计 对于那些具备 系统特权的用户 需要审查所有关闭或暂停审计功能的操作 通过审查被审计的特殊用户 或者其他的审计参数来发现 审查更低级的功能 如审查系统服务或核心系统调用通常比较 困难 通用的方法很难奏效 需要专用的工具和操作才能实现 总之 为了防范隐秘的内部 攻击需要在技术手段而外确保管理手段的行之有效 技术上则需要监视系统范围内的某些特 定的指标 如 CPU 内存和磁盘的活动 并与通常情况下它们的历史记录进行比较 以期 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 25 发现之 4 1 8 2功能需求功能需求 1 操作系统 操作系统必须启动日志与审计的功能 2 应用软件 办公系统等应用软件应该具有日志和审记功能 以便于安全事故原因的 分析和漏洞的弥补 同时也非常有利于系统的快速恢复 从而将损失降低到最小程度 3 数据库系统 做好数据库操作的日志和审计工作 4 测试与审计中心 网上交易软件的可靠性很重要 建议建立测试与审计中心 模拟 各种情况下的网上攻击和恢复 测试软件功能 总结经验 以利于改进设计 提高安全交易 的水平 4 2 网络状态监控网络状态监控 4 2 1 防火墙防火墙 4 2 1 1技术原理技术原理 防火墙的概念源于 80 年代末 仅仅指一种流量过滤设备 完成基于网络地址或服务的 访问控制功能 防火墙的基本思想 不是对每台主机系统进行保护 而是让所有对系统的 访问通过某一点 并且保护这一点 并尽可能地对外界屏蔽保护网络的信息和结构 它是设 置在可信任的内部网络和不可信任的外界之间的一道屏障 它可以实施比较广泛的安全政策 来控制信息流 防止不可预料的潜在的入侵破坏 防火墙实质上是基于网络的访问控制技术 在网络中的广泛使用却已经成了不争的事实 三种类型的防火墙 包过滤 电路层网关 应用层代理 网关 分别工作在网络层 传输层 信息产业部网络安全解决方案 北京启明星辰信息技术有限公司 地址 北京市东城区西滨河路 9 号 中成大厦 11 层 电话 010 64201188 传真 010 64218428 网址 26 和应用层 完成不同粒度的访问控制 防火墙不仅可以用在网络边缘 在企业网内部使用防 火墙 可以隔离各部门的内部网段 实施内部的访问控制政策 常见的防火墙产品包括 Firewall 1 Check Point PIX Cisco 等 Check Point 防火墙 是最为流行 市场占有率最高的一种 支持网络地址翻译 NAT 流量分担 VPN 加密 认证等功能 PIX 防火墙是一种典型的网络层包过滤专用防火墙 支持网络地址翻译 NAT 在国内的 163 169 网络上面应用很多 但是没有能力防御应用层的攻击 无法进 行内容过滤 例如 Java ActiveX 以及病毒过滤等 此外 还有其它一些国产的防火墙 可 以适当考虑使用 4 2 1 2功能需求功能需求 信息产业部内外网的连接需要防火墙的保护 网内防火墙要保护的设备包括 路由系统 交换设备域名管理系统 Web 服务器 SQL 数据库服务器 等 对信息产业部网内采用的 防火墙的配置要求如下 1 在厂家的支持和配合下完成安全配置方案 进行漏洞扫描 2 不同层