某职业技术学院信息安全解决方案.doc

济宁职业技术学院济宁职业技术学院 信息安全解决方案信息安全解决方案 北京启明星辰信息技术股份有限公司北京启明星辰信息技术股份有限公司 Venus Information Technology Beijing 2011 年年 4 月月 2011 北京启明星辰信息技术股份有限公司 第 2 页 共 64 页 文档说明文档说明 本文档内容为济宁职业技术学院信息系统网络安全的建议书 旨在通过本 文档为济宁职业技术学院的信息系统提供安全保障的思路和建议 本文档所涉及到的文字 图表等 仅限于北京启明星辰信息技术股份有限 公司及济宁职业技术学院使用 未经同意不得擅自拷贝 传播 复制 泄露或 复写本文档的全部或部分内容 2011 北京启明星辰信息技术股份有限公司 第 3 页 共 64 页 目目 录录 1概述概述 6 1 1建设目标 6 1 2设计原则 7 2需求分析需求分析 10 2 1物理层安全风险分析 10 2 1 1物理设备的脆弱性 10 2 1 2环境因素的脆弱性分析 11 2 2网络层安全风险分析 11 2 2 1网络的访问控制 11 2 2 2内部用户的违规行为 12 2 2 3网络拓扑结构的安全风险 12 2 2 4内部网用户带来的安全威胁 12 2 2 5数据库的安全风险 13 2 2 6网络动态监控 13 2 2 7互连设备的安全隐患 14 2 2 8网络设备的风险分析 14 2 3系统层的安全风险分析 14 2 3 1Windows NT 2000 XP的安全问题 15 2 3 2Unix的安全问题 15 2 3 3主机访问安全脆弱性 16 2 3 4泄密信息安全控制 16 2 4应用层安全风险分析 16 2 4 1恶意代码 16 2 4 2抵赖性 17 2 4 3入侵取证问题 17 2 4 4应用系统自身的脆弱性 18 2 5管理层安全风险分析 18 2 5 1误操作 18 2 5 2人为故意 18 2 5 3安全意识 19 2 5 4管理手段 19 3安全保障设计思路安全保障设计思路 20 3 1保障框架 20 3 1 1安全保障总体框架 20 3 1 2信息风险模型 21 3 1 3三观安全体系 22 3 2安全保障模型 23 3 2 1安全事件处理模型 PDR模型 23 3 2 2信息安全保障体系建设模型 花瓶模型 24 2011 北京启明星辰信息技术股份有限公司 第 4 页 共 64 页 4安全解决方案设计安全解决方案设计 26 4 1安全保障体系建设内容 26 4 2安全域的划分 27 4 2 1安全域划分原则 28 4 3网络防护子系统建设 29 4 3 1网络防护 29 4 4网络监控子系统建设 30 4 4 1脆弱性监控 30 4 4 2内部威胁监控 31 4 4 3应用监控 31 4 5应用审计子系统建设 31 4 5 1网络行为审计 31 4 5 2业务行为审计 32 4 6安全管理子系统建设 32 4 6 1安全管理组织 33 4 6 2安全管理策略 33 4 6 3安全管理制度 34 5信息系统安全部署方案信息系统安全部署方案 35 5 1产品部署 35 5 2产品选型和报价 36 6安全咨询服务安全咨询服务 37 6 1安全评估与审计服务 37 6 1 1评估范围 37 6 1 2评估内容 38 6 1 3评估流程 38 6 1 4评估方法 38 6 1 5评估工具 46 6 1 6形成报告 47 6 2增强与加固服务 47 6 2 1服务描述 47 6 2 2服务流程 48 6 2 3安全加固服务内容 50 7方案优势方案优势 52 7 1产品优势 52 7 2安全技术优势 52 7 3工程能力优势 53 7 4案例优势 53 8安全产品指标要求安全产品指标要求 56 8 1入侵检测 56 8 2网络安全审计 57 8 3漏洞扫描 59 2011 北京启明星辰信息技术股份有限公司 第 5 页 共 64 页 8 4WEB 安全防护网关 61 8 5安全服务 63 2011 北京启明星辰信息技术股份有限公司 第 6 页 共 64 页 1 概述概述 济宁职业技术学院是经教育部备案山东省人民政府批准成立的全日制国办 普通高等职业院校 向全社会宣传科教兴国战略和人才强国战略 培养高素质 人才的场所 随着校园数字化进程的加快 济宁职业技术学院希望加大数字化改造的力 度 以实际行动充分发挥现在网络系统的优势 努力提高办学能力 建设数字 化网络环境 数字化教学资源 数字化教学与学习环境 数字化管理手段和工 作环境 实现数字化学习 数字化教学 数字化科研和数字化管理 济宁职业技术学院是一个融合了多种网络 多种终端 多种传输路径的教 育平台 利用网络系统为教师和学生提供服务 整合各种优质教育资源 方便 快捷的现代传输方式满足多样化的学习需求 随着网络规模的扩大 网络安全问题也成为一个重点需要解决的问题 网 络安全是一个复杂的 相对的 动态的系统工程 它贯穿于信息系统的整个生 命周期之中 其核心任务是综合运用技术 管理等手段 保障济宁职业技术学 院信息系统的安全运行 保证业务的连续性 同时 随着国家等级保护制度相关标准的出台 为了贯彻等级化保护 坚 持积极防御 综合防范 的方针 济宁职业技术学院网络建设也需要进行整体 安全体系规划设计 全面提高信息安全防护能力 满足国家等级保护制度的相 关要求 保障信息系统安全稳定的运行 1 1 建设目标建设目标 济宁职业技术学院系统安全解决方案的目标是建立适用于济宁职业技术学 院的信息安全保障体系 保障网络与业务系统的安全性和稳定性 保证相关信 息的保密性 完整性和可用性 建立济宁职业技术学院信息安全保障体系 2011 北京启明星辰信息技术股份有限公司 第 7 页 共 64 页 随着 IT 技术的融入 济宁职业技术学院的信息系统逐步成为日常办公也主 要业务的支撑网络 信息安全建设作为 IT 建设的重要组成部分 在保障济宁职 业技术学院各业务系统涉及的物理 网络 系统 应用 终端等各 IT 层面的安 全方面 都具有十分重要的意义 信息安全是一个复杂的 相对的 动态的系统工程 它贯穿于信息系统的 整个生命周期之中 为有效保障济宁职业技术学院的信息安全 必须从济宁职 业技术学院网络信息化的实际需求出发 建立一个本地化的信息安全保障体系 综合运用技术 管理等手段 保障济宁职业技术学院网络和各业务系统的正常 运行 保证业务的连续性 保证业务持续性 促进业务安全稳定发展 信息安全必须为业务服务 脱离业务的信息安全也就失去了其真正的意义 随着业务的发展 济宁职业技术学院对信息系统的依赖越来越高 因此信 息安全体系的重要性也就越来越突出 另一方面 随着信息技术的飞速发展 信息技术已经实现了从支持业务发展到促进业务发展的转变 信息安全的含义 也从保障系统的稳定运行发展到全面促进业务开展 保证信息的机密性 完整性和可用性 信息安全体系必须保证信息的机密性 完整性和可用性 这是信息安全体 系建设的重要目标 信息的保密性 完整性和可用性对保持济宁职业技术学院 的竞争优势 效益 法律法规符合性和社会形象都是至关重要的 1 2 设计原则设计原则 济宁职业技术学院信息安全解决方案的设计遵循以下原则 合规性原则 合规性原则指济宁职业技术学院信息安全保障体系的设计必须满足外部的 合规要求 我国针对涉及国家安全 经济命脉 社会稳定的重点行业 重点企业的关 键信息系统发布了一系列文件 要求开展风险评估和等级保护工作 建立信息 安全保障体系 作为国家教育类的济宁职业技术学院 济宁职业技术学院也须 2011 北京启明星辰信息技术股份有限公司 第 8 页 共 64 页 遵守国家等级保护的基本制度 除我国的等级保护制度外 济宁职业技术学院信息系统的安全解决方案设 计还遵循了国际和国内的相关标准和规范 遵循了国内外的行业惯例与最佳实 践指导 遵循了国内外相关信息安全项目的建设规范 综合防范原则 信息安全是一个庞大的系统工程 信息系统任何一个环节的疏漏都有可能 导致安全事件的发生 因此 济宁职业技术学院信息安全解决方案的设计坚持 综合防范原则 以保证未来各类安全措施的全面和完整 适度保护原则 在信息安全方面没有必要也不可能追求绝对的安全 一方面过度的追求安 全不但将大大提高信息安全的成本 还往往会影响业务的正常开展 大大降低 业务活动的灵活性 另一方面信息安全工作过于薄弱又会给业务开展留下很大 的隐患 因此方案设计依据适度保护原则 即济宁职业技术学院信息安全工作 的目标是将信息安全风险控制在合理的 可接受的范围内 先进性原则 济宁职业技术学院信息安全解决方案的设计充分借鉴了国际信息安全实践 经验 做到技术先进 理念领先 以 站在巨人的肩膀上看问题 的姿态 实 现信息安全保障体系建设的跨越式发展 成熟性原则 充分借鉴国际信息安全最佳实践 采用成熟的技术 规避风险 济宁职业 技术学院信息安全解决方案的设计采用了成熟的技术和产品 防止由于单纯追 求技术领先而成为先进技术的试验品 可扩展性原则 方案设计充分考虑了济宁职业技术学院未来一段时间内网络 业务规模和 网络安全需求的变化 能够实现对新业务网络的安全保障 具有较强的可扩展 性 有效保护了用户的投资 最小影响原则 信息安全的建设不能影响原有业务系统的正常运行 济宁职业技术学院信 2011 北京启明星辰信息技术股份有限公司 第 9 页 共 64 页 息安全解决方案的设计充分考虑到这一点 从项目管理 技术应用和产品选型 等众多的层面综合优化 使信息安全建设对原有业务系统和网络的正常运行不 造成影响或将所可能造成的影响降到最低程度 2011 北京启明星辰信息技术股份有限公司 第 10 页 共 64 页 2 需求分析需求分析 针对济宁职业技术学院实际的网络情况 对其信息系统进行需求和风险分 析 将从以下层面进行 物理层安全风险物理层安全风险 物理设备的脆弱性分析 物理设备和线路的泄漏分 析 环境因素的脆弱性分析 网络层安全风险网络层安全风险 网络资源的访问控制脆弱性分析 可能存在的入侵 脆弱性分析 网络旁路分析 非法访问分析 假冒攻击 网络设备安 全隐患分析 系统层安全风险系统层安全风险 操作系统本身的脆弱性分析 对操作系统本身的安 全配置脆弱性分析 个人用机安全的脆弱性分析 应用层安全风险应用层安全风险 恶意代码分析 应用系统自身脆弱性分析 抵赖性 分析 取证分析 应用系统的认证分析 应用系统的审计分析 管理层安全风险管理层安全风险 操作失误 人为故意 安全意识 安全管理制度 2 1 物理层安全风险分析物理层安全风险分析 物理层面的安全风险指针对物理环境 设备及介质的安全风险 主要表现 在以下方面 2 1 1 物理设备的脆弱性物理设备的脆弱性 网络信息系统存在的载体为计算机 服务器 交换机 线路等物理设备 这些物理设备本身也存在一定的安全风险 比如 设备的损坏 介质老化造成的数据丢失和数据交换可靠性的降低等 可能存在的恶意的物理破坏 比如存放相对集中的服务器区等 可移动存储设备丢失 被盗 造成涉密信息泄露 设备网络接口与数据接口没有采取有效的访问控制 造成非授权使用 2011 北京启明星辰信息技术股份有限公司 第 11 页 共 64 页 2 1 2 环境因素的脆弱性分析环境因素的脆弱性分析 环境因素的脆弱性对系统造成的安全威胁也比较大 比如机房的防火和防 盗措施还不够完善 介质和介质数据因机房出入控制不严或管理不善丢失或被 盗窃 毁坏 介质管理不严或废弃介质处理不当 导致信息的随意复制或泄漏等 2 2 网络层安全风险分析网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路 许多安全问题都集中体 现在网络的安全方面 由于济宁职业技术学院的信息系统所采用的基础协议 TCP IP 在设计之初没有考虑到安全方面的因素 导致协议自身存在一些安全隐 患 网络入侵者一般利用协议上的隐患 采用预攻击探测 窃听等搜集信息 然后利用 IP 欺骗 重放或重演 拒绝服务攻击 SYN FLOOD PING FLOOD 等 分布式拒绝服务攻击 篡改 堆栈溢出等手段进行攻击 网络的边界访问控制安全是网络安全的重要环节 其指导思想在于 避免 造成旁路可通 避免可疑用户跨过控制区进入敏感区 把不同需求的用户划分 为不同的组或域 从而加强对用户非法访问的控制 避免造成信息流瓶颈 降 低网络的整体性能 2 2 1 网络的访问控制网络的访问控制 随着济宁职业技术学院网络规模的扩大 仅仅依赖现有的交换设备的配置 策略已经不能够满足需求 交换设备很难做到细粒度的访问策略 这就势必给 内部的访问造成混乱 无法对相应的服务和访问进行有效的控制 整个网络区 域没有通过较好的技术手段对网络进行一个合理的划分 将网络划分为安全区 域与非安全区域 也没有根据部门与部门之间实际的业务需求进行细粒度的访 问控制 这就给网络内部重要服务器和重要部门的安全管理带来了不可忽视的 安全隐患 2011 北京启明星辰信息技术股份有限公司 第 12 页 共 64 页 2 2 2 内部用户的违规行为内部用户的违规行为 虽然济宁职业技术学院目前对不同级别的网络之间配置了防火墙 但防火 墙只能防外不防内 初步抵御网络外部安全威胁 同时通常的防火墙只能对用 户连接情况进行控制 并不能监控用户的其它动作行为 其控制规则的设定是 静态的 不具智能化特点 可疑人员可能绕过防火墙 或骗过防火墙进入网络 内部 或内部人员直接对服务器系统 操作系统 数据库系统和各种应用系统 通过网络实施各种攻击 防火墙都无能为力 更重要的是 防火墙实现的是边界控制 对内部的用户没有任何约束力 因此 应该采取有效的技术措施 弥补防火墙的不足 2 2 3 网络拓扑结构的安全风险网络拓扑结构的安全风险 网络拓扑结构的安全性能优化是网络安全的重要环节 同时也是一项基本 措施 其指导思想在于 避免造成旁路可通 以利于实施统一的强制安全策略 避免造成信息流瓶颈 降低网络的整体性能 造成网络拥塞 形成安全故障 将非法用户与网络资源相互隔离 把不同需求的用户划分为不同的网段 从而 加强对用户访问的控制 如果不能在网络结构上进行优化 安全的设计 就可能造成以下危害 造成网络拥塞 用户不能实现正常的访问 降低使用效率 出现安全漏洞 危险人员可能从旁路访问到重要资源 使采用的访问 控制措施虚设 将不同用户群 不同权限的访问者混在一起 不能实现有效的分离 从而降低网络资源 用户群之间相对安全性 2 2 4 内部网用户带来的安全威胁内部网用户带来的安全威胁 真正有效的攻击绝大多数来自系统内部 而内部网的攻击形式也多种多样 各节点内部网中用户之间通过网络共享网络资源 系统用户都可读写 操作 这样就可能因无意中把重要的涉密信息或个人隐私信息存放在 2011 北京启明星辰信息技术股份有限公司 第 13 页 共 64 页 共享目录下 因此造成信息泄漏 内部管理人员有意或者无意泄漏系统管理员的用户名 口令等关键信 息 泄漏内部网的网络结构以及重要信息的分布情况 通过非法连接进行信息窃听等 2 2 5 数据库的安全风险数据库的安全风险 在济宁职业技术学院的网络中的如 WEB 网站等关键业务系统都运行在数据 库平台上 如果数据库安全无法保证 其上的应用系统也会被非法访问或破坏 数据库安全隐患有可能表现在 系统认证 口令强度不够 过期帐号 登录攻击等 系统授权 帐号权限 登录时间超时等 系统完整性 特洛伊木马 审核配置 补丁和修正程序等 数据丢失 操作日志被删除 没有采用数据冗余备份 数据库系统自身的 BUG 没有打最新的数据库系统的补丁 选择了不安全的默认配置 2 2 6 网络动态监控网络动态监控 济宁职业技术学院没有能监控用户的其它动作行为的工具 如果内部人员 通过管理漏洞获取了某些权限 直接对服务器系统 操作系统 数据库系统和 应用系统 通过网络实施各种攻击 目前将无能为力 因此还应该有一些补充 措施来预防这些意外事件的发生 对于一般的网络用户来说 通过网络可以进行浏览 电子邮件通信 数据 传输 数据共享 设备共享等 除了这些正常的操作 还会存在着与工作无关 的浏览 浏览不良站点 下载不良信息 出于好奇使用一些黑客程序 数据共 享 更改设定的 IP 地址 网上泄密等行为 如何及早发现 监督是网络管理员 的责任 因此需要一套行之有效的管理工具 2011 北京启明星辰信息技术股份有限公司 第 14 页 共 64 页 2 2 7 互连设备的安全隐患互连设备的安全隐患 在济宁职业技术学院的网络中部署了各种网络和交换设备 他们都支持 SNMP 协议 这些设备都维护着一个有着设备运行状态 接口等信息的 MIBS 库 运行着 SNMP 的主机或设备可以称为 SNMP AGENT SNMP 管理端和代理端的通信 验证问题仅仅取决于两个 Community 值 一个是 Read Only RO 值 另一个 是 Read Write RW 值 拥有 RO 值的管理端可以查看设备的一些信息包括名 称 接口 ip 地址等 拥有 RW 值的管理端则可以完全管理该设备 令人担忧 的是大多支持 snmp 的互连设备都是处于运行模式 至少有一个 RO 的默认值为 PUBLIC 会泄漏很多信息 拥有 RW 默认值的设备在互联网上也很多 加之 SNMP V2 版本本身的安全验证能力很低 所以极易受到攻击 从而导致互连设 备的瘫痪和流量不正常 如果没有冗余设备 那样整个内部网络就会瘫痪 互连设备的弱管理口令 IOS 版本太低也会使交换设备受到入侵和拒绝服 务攻击 导致不能正常工作 影响信息中心的工作 2 2 8 网络设备的风险分析网络设备的风险分析 济宁职业技术学院业务网络系统中使用网络接入交换机 防火墙等网络设 备 这些设备的自身安全性也会直接关系到济宁职业技术学院各种网络应用的 正常运转 例如 路由设备如果配置不安全 无法防范地址欺骗等安全问题等 2 3 系统层的安全风险分析系统层的安全风险分析 所有的操作系统在不同程度上都存在一些安全漏洞 一些广泛应用的操作 系统 如 Unix Windows 2000 NT 其安全漏洞更是广为流传 同时 不能正 确配置或使用缺省配置 还会人为增加新的漏洞 因系统漏洞造成的信息泄密 屡见不鲜 济宁职业技术学院信息中心的服务器使用的操作系统主要是 Windows 2000 Server Windows NT 和 Unix 这些操作系统的漏洞和配置尤其值得关注 2011 北京启明星辰信息技术股份有限公司 第 15 页 共 64 页 2 3 1 Windows NT 2000 XP 的安全问题的安全问题 Windows NT 2000 XP 操作系统由于其简单明了的图形化操作界面 以及逐 渐提高的系统稳定性等因素 正逐步成为主要的网络操作系统 尤其在办公网 络中占有重要地位 Windows NT 2000 XP 系统的安全水平取决于管理员在安装 过程 补丁安装过程 应用服务配置过程中的安全修养和实际考虑 缺省安装 的 WINDOWS NT 2000 XP 操作系统的安全问题非常严重 它们通常会出现下述安 全问题 没有安装最新的 Service Pack 没有关闭不必要的系统服务 最新的 SERVICE PACK 没有解决的安全漏洞 缺省安装的服务程序带来的各种安全问题 系统注册表属性安全问题 文件系统属性安全问题 缺省帐号安全问题 文件共享方面的安全问题 2 3 2 Unix 的安全问题的安全问题 UNIX 类服务器和工作站由于其出色的稳定性和高性能而成为网络系统常采 用的操作系统 承担着各种应用的关键任务 缺省安装的 UNIX 操作系统 以 HP UNIX 为例 会存在以下安全问题 FINGER 泄露系统信息 各类 RPC 存在大量的远程缓冲区溢出 泄露系统信息 SENDMAIL 许多安全漏洞 垃圾邮件转发等 NAMED 远程缓冲区溢出 拒绝服务攻击等 SNMP 泄露系统信息 操作系统内核中的网络参数存在许多安全隐患 IP 转发 堆栈参数等 存在各种缓冲区溢出漏洞 2011 北京启明星辰信息技术股份有限公司 第 16 页 共 64 页 存在其它方面的安全问题 2 3 3 主机访问安全脆弱性主机访问安全脆弱性 WINDOWS 操作系统所采用的传统的用户名和密码的验证方式已经经不起密 码字典档的推敲 攻击者可以从网络或本机针对目标机器发起验证试探 并且 网络验证时用户名和密码是以明文的形式传输 非常容易被窃取 所以必须使 用更先进安全的认证方式 2 3 4 泄密信息安全控制泄密信息安全控制 主要是一些重要的文件信息在终端被非法外传 从而导致泄密 为此 必 须从控制文件信息的流转来保证这些信息的安全 主要面临的威胁是主机拥有 者的主动泄密行为 2 4 应用层安全风险分析应用层安全风险分析 根据济宁职业技术学院所提供的服务器可能开放以下端口服务 公共服务 有 HTTP SMTP POP3 NETBIOS 等 这些软件和服务都或多或少包含一些安全管理和控制程序 如身份认证 访问控制 用户与资源的管理等 但这些安全措施无论是强度上还是在标准上 都不能满足安全需求 主要表现在 2 4 1 恶意代码恶意代码 由于济宁职业技术学院的需要对互联网提供服务 同时内部办公又需要主 动访问互联网 因此 外部恶意代码很容易通过各种方式侵入到系统内部 另 外 系统内部通过外部存储介质 如 软驱 光驱 U 盘 移动硬盘等方式 带入恶意代码也是不容忽视的 济宁职业技术学院的防病毒主要是针对桌面机客户端的病毒防护 但是这 样的部署具有过于的单一性 网络安全的防护其实是一个整体的防护 忽略了 任何的一面都会成为攻击的切入点 比如邮件的防护 服务器的防护都是防毒 2011 北京启明星辰信息技术股份有限公司 第 17 页 共 64 页 的重点 所以如何合理 科学 切实有效的部署和利用其现有的安全产品成为 安全防护的关键 2 4 2 抵赖性抵赖性 抵赖 可能有多种情况 网络攻击抵赖 破坏数据后的抵赖 破坏机密数 据的抵赖 网络攻击抵赖由于目前网络协议对安全性问题考虑得很少 所以单 单依靠协议地址或一些简单的通信标志来判定攻击者的身份是很难的 也是证 据不足的 高水平的攻击者在攻击时一定会掩饰自己的身份和标志 这样才不 会暴露自己的身份 破坏数据的抵赖主要是因为现行系统平台的审计机制较弱和权限划分不清 造成的 并且系统内目前针对成果数据的完整性校验工具和体系尚未建立 这 类事件在今后是极有可能发生的 这类风险较多的存在与数据库的应用上面 对数据库的行为没有合适的审 计手段就很难做到抗抵赖 2 4 3 入侵取证问题入侵取证问题 济宁职业技术学院的网络划分比较明确 各个部门之间只是通过简单的网 络互联设备相互连接 虽然有防火墙实现基本的访问控制 但是系统内部没有 安全有效的防范措施和产品 一方面非法用户极其容易的通过黑客技术透过防 火墙侵入到信息系统中 另一方面合法用户的违规操作或无意的攻击极其容易 造成对信息系统的瘫痪 所以针对内部网络的安全防范体系的建立是非常重要 的 攻击的手法和技术总是出现在针对该技术的防范之前 现有的防范体系都 是建立在已发现的手法的研究之上的 一旦入侵出现 攻击成功 如何发现攻 击者的身份和攻击的步骤 手段对及时调整网络安全设计和挽回损失会起到极 其重要的作用 缺乏有效的网络安全审计手段 单单依靠入侵检测系统 入侵行为的取证 会显得比较困难 所以这一个方面的工作要综合考虑 2011 北京启明星辰信息技术股份有限公司 第 18 页 共 64 页 2 4 4 应用系统自身的脆弱性应用系统自身的脆弱性 济宁职业技术学院重要应用之一就是其对外的 WEB 发布系统 由于大多数 WEB 系统在代码编写阶段都没有考虑安全的问题 使得正常运行后的 WEB 系统 都没有对用户的输入进行合规性审查和过滤 留下了大量的漏洞 如针对 WEB 网站攻击的跨站脚本攻击和 SQL 注入等 导致网页被篡改 网站被挂马 对网 站自身和浏览者危害极大 这些攻击都是模拟的正常应用进行逐步的渗透和侵入 防火墙无法防御 因此 目前的环境下 济宁职业技术学院的 WEB 网站的防护能力差 面临着较 高的安全风险 2 5 管理层安全风险分析管理层安全风险分析 安全的网络设备离不开人的管理 好的安全策略最终要靠人来实现 因此 管理是整个网络安全中最为重要的一环 我们有必要认真的分析管理所带来的 安全风险 并采取相应的安全措施 管理层的安全风险可能存在于以下几个方面 2 5 1 误操作误操作 系统管理员和普通用户都可能有操作失误 前者的影响往往是致命的 直 接危害到系统和数据安全 后者主要影响用户数据的完整性 2 5 2 人为故意人为故意 来自系统内部人员的攻击是很难防范的 内部人员本身在重要应用系统上 都有一定的使用权限 并且对系统应用非常清楚 一次试探性的攻击演练都可 能会对应用造成瘫痪的影响 这种行为单单依靠工具的检测是很难彻底避免的 还应该建立完善的管理制度 2011 北京启明星辰信息技术股份有限公司 第 19 页 共 64 页 2 5 3 安全意识安全意识 法律靠人来执行 管理靠人来实现 人是各个安全环节中最为重要的因素 全面提高人员的道德品质和技术水平是网络信息安全与保密的最重要保证 当前 信息网络的规模在不断扩大 技术在不断更新 这就要求工作人员 不断提高其技术和业务水平 另外 思想品德的教育也是十分重要的 因为大 部分安全时间都是由思想素质有问题的内部人员引起的 2 5 4 管理手段管理手段 单一的安全产品部署是不能够解决问题的 必须要配合以管理的手段 在 整个安全体系中最为重要的实际上是管理 目前在济宁职业技术学院缺乏针对 性的安全策略和安全技术规范 安全管理和运行维护的组织不健全 缺乏有效 的安全监控措施和评估检查制度 无法有效的发现和监控安全事件 不利于及 时发现安全事件并采取相应的措施 缺乏完善的灾难应急计划和制度 对突发 的安全事件没有制定有效的应对措施 没有有效的对安全事件的处理流程和制 度 2011 北京启明星辰信息技术股份有限公司 第 20 页 共 64 页 3 安全保障设计思路安全保障设计思路 3 1 保障框架保障框架 3 1 1 安全保障总体框架安全保障总体框架 信息安全保障采用 AST 的架构为基础 对资产进行评估 对威胁进行分析 后 设计保障措施 在保障措施中采用 PPT 模型 PP 是指 People 人 Process 过程 Technology 技术这三个方面 这个模型是一个在国外大型企业和机构中应用非 常广泛的模型 信信息息安安全全保保障障总总体体框框架架 功功能能要要素素 保障功能要素模型 FEM Function Element Model 或者用缩写表 达式表示为 AST PPT AIDARC 这个模型提出安全的最根本问题是被保护的资 产 对于资产的威胁和防护措施 防护措施又分为人 组织 过程 策略 运 营 和技术三个大方面 PPT 中的技术部分形成一个 AIDARC 模型 鉴别和认证 Identification Authentication 2011 北京启明星辰信息技术股份有限公司 第 21 页 共 64 页 逻辑访问控制 Access Control 检测 监控和预警 Detection Monitoring Early warning 审计和跟踪 Audit Trail 恢复和冗余 Redundancy Recovery 内容安全 Content Security 3 1 2 信息风险模型信息风险模型 风险管理方法是信息安全工作应当遵循的核心方法和观点 对于风险的描 述又不同的模型和方法 其中最具影响的是 ISO13335 的 6 要素风险模型 ISO13335 中描述的 6 要素风险关系模型是最经典的描述信息安全领域风险 理论的模型 其中阐述的风险评估要素已经成为当前业界进行风险评估的理论 依据 目前 各种风险评估项目中都会进行资产评估 威胁评估 漏洞评估 进而综合计算出风险 然后再考虑和分析控制措施 模型中以资产为起点 因为资产有价值 所以有风险 同时系统的漏洞与 外部的威胁都增加了系统风险 安全防护用来降低风险 抗击威胁 安全是相 对的 防护与风险是共同存在的 2011 北京启明星辰信息技术股份有限公司 第 22 页 共 64 页 3 1 3 三观安全体系三观安全体系 三观安全包括 微观安全 宏观安全和中观安全 安全三观论 三观安全的一个典型模型就是上图的执行模型 上面的执行模型分为底层 的实现层 体现为安全部件 即安全产品和规范化的安全服务 中间的运营层 体现为对于安全产品的集成管理和各种安全任务的流程管理 顶层的决策层 包括决策支持 残余风险确认 以及顶尖上的 使命 任何安全系统 安全项目 安全工作都要在三个层次体现和实现 都要上 传到决策层 以确保决策层的支持和指导 并且能够保证对于机构真正使命的 支撑和达成 都要下达到实现层 以确保所有问题都落实得非常具体 达成安 全要求 而且还要通过运营层 协调 控制 反馈 管理实现层的安全要素 已达成决策层的安全使命和决策 从微观到中观是一个协调管理的过程 从中观到宏观是一个总体监控的过 程 从宏观到中观是一个全局指导的过程 从中观到微观是一个控制和配置的 过程 我国信息安全领域的认识和发展过程是一个从微观安全起步 比如加密 防病毒 防火墙等 逐步认识到宏观安全的重要 希望了解全面地安全状况而 开展风险评估 进而认识到安全执行的重要性 开始考虑安全运营系统 集中 2011 北京启明星辰信息技术股份有限公司 第 23 页 共 64 页 式的安全监控平台 以及和其他 IT 系统的综合集成等问题 最终全面地认识从 微观 中观到宏观三方面的重要性 3 2 安全保障模型安全保障模型 3 2 1 安全事件处理模型安全事件处理模型 PDR 模型模型 PDR 模型是非常经典的安全模型 简单而实用 PDR 模型可以将威胁的外 部控制分成威胁的预防 威胁的感知 威胁的处理三个方面 PDR 模型是一个 可以叠代 滚动的安全事件处理模型 也就是安全事件的生命周期中对应的前 中 后阶段的策略 安全离开时间是没有意义的 PDR 模型给安全加上了时间的要素 其原理 可由下图所示 2011 北京启明星辰信息技术股份有限公司 第 24 页 共 64 页 PDR 原理示意图 为保护信息系统中要保护的资产 我们要建立起一道一道的防护 而入侵 者就是要突破这些防护 入侵者每突破一道防护都要花费时间 不管是破解密 码 猜口令 端口扫描 溢出过程等等都要花费时间 入侵者突破防护的时间 也就是防护能够提供的防护时间 在防护的同时 对入侵者的检测也需要时间 最后 发现入侵后进行响应和处理也需要时间 时间是量化的 可以被计算的 将各个防护所花费的时间加起来定义为 Pt 将检测时间定义为 Dt 将响应时间 定义为 Rt 只要 Pt Dt Rt 即系统防护的时间大于入侵者侵入的时间和对系统 对入侵行为的响应处理时间之和 这个系统就可以被认为是安全的 3 2 2 信息安全保障体系建设模型信息安全保障体系建设模型 花瓶模型花瓶模型 信息安全建设体系是一个全方位的信息安全建设与防护过程 包含了策略 防护 监控 应急 审计等多个方面 信息安全保障体系建设按照安全事件的 生命周期可分为三个功能块的建设 事前防护管理 进行信息安全总体规划 建设各种信息安全策略 实 施各种安全措施 建立科学的信息安全体系 防止安全事件的发生 事中监控与应急调度 了解整个网络的安全状态 对安全事件分析 定位 处理并恢复 事后的安全审计 安全事件的统计与分析 重放与取证 2011 北京启明星辰信息技术股份有限公司 第 25 页 共 64 页 花瓶模型示意图 安全管理既不是单纯的安全事件报警器 也不是安全设备的管理集成 是 整个网络的安全管理核心 按照其功能发展的方向 功能平台设计为防护 监 控与应急 审计三个平台 数据采集源于同一个数据采集平台 好比是一个插 满花的花瓶 因此称作 花瓶 模型 花瓶模型 中的防护 监控 审计是有机结合的安全技术 相互补充 相互配合才能有效保障 任何一部分的缺失都容易出现安全的漏洞 2011 北京启明星辰信息技术股份有限公司 第 26 页 共 64 页 4 安全解决方案设计安全解决方案设计 4 1 安全保障体系安全保障体系建设内容建设内容 结合济宁职业技术学院信息系统的实际情况和当前所面临的风险 在 PDR 安全事件模型和花瓶模型的指导思路下 济宁职业技术学院的信息安全建设主 要包括网络防护子系统 网络监控子系统 应用审计子系统和安全管理子系统 等几个方面 网络防护子系统网络防护子系统 网络防护子系统的建设主要由物理防护 网络安全防护和应用的安全防护 等几部分组成 安全防护体系建设将以满足要求 方便使用 加强管理为原则 网络监控子系统网络监控子系统 2011 北京启明星辰信息技术股份有限公司 第 27 页 共 64 页 网络监控子系统包括脆弱性监控 威胁安全监控和应用监控等几部分 安 全监控体系是通过 重点部署 全面监控 做到对济宁职业技术学院信息系统 的各个层次实时监控 并对各类危险行为在造成危害前进行报警 网络监控子系统处在安全保障的核心位置 它对上衔接了应用防护子系统 向下为及时审计安全事件提供报警 通过安全监控系统 网络管理人员可以对 全网的安全事件整体把控 及时发现 及时响应 应用审计子系统应用审计子系统 应用审计子系统主要包括网络行为审计和业务网行为审计 通过安全审计 子系统 能够在济宁职业技术学院系统内部形成强大的威慑作用 一方面保证 了内部人员日常的上网操作的合规性 另一方面保证了对系统内重要应用和数 据库操作的合规性审计 及时发现违规行为进行报警和记录 并进行相应的阻 断等响应措施 安全管理子系统安全管理子系统 济宁职业技术学院的安全管理子系统包括 安全管理组织 安全管理策略 和安全管理制度等 为了保障济宁职业技术学院信息系统的安全 需要从从组织架构上制定人 员管理制度 加强对有关人员的管理 明确人员分工 保证网络安全 从管理 上制定严格的设备安全管理制度 与各种技术措施互相配合实现信息系统的安 全管理 4 2 安全域的划分安全域的划分 用安全域方法论为主线来设计 能够从安全的角度来分析业务流可能的安 全风险 安全域的概念是指同一系统内有相同的安全保护需求 相互信任 并 具有相同的安全访问控制和边界控制策略的网络或系统 这些网络或系统具有 相同业务要求和安全要求的 IT 系统要素的集合 这些 IT 系统要素包括 网络区域 主机和系统 人和组织 物理环境 2011 北京启明星辰信息技术股份有限公司 第 28 页 共 64 页 策略和流程 业务和使命 因此 如果按照广义安全域来理解 我们不能将安全域的工作仅仅理解为 在网络拓扑结构上的工作 通过划分安全域的方法 将网络系统按照业务流程的不同层面划分为不同 的安全域 各个安全域内部又可以根据业务元素对象划分为不同的安全子域 针对每个安全域或安全子域来标识其中的关键资产 分析所存在的安全隐 患和面临的安全风险 然后给出相应的保护措施 不同的安全子域之间和不同的安全域之间存在着数据流 这时候就需要考 虑安全域边界的访问控制 身份验证和审计等安全策略的实施 4 2 1 安全域划分原则安全域划分原则 安全域的理论和方法所遵循的根本原则 业务保障原则 安全域方法的根本目标是能够更好的保障网络上承载 的业务 在保证安全的同时 还要保障业务的正常运行和运行效率 信息安全服务所强调的核心思想是应该从客户 业务 而不是 IT 服务提供方 技术 的角度理解 IT 服务需求 也就是说 在提 供 IT 服务的时候 我们首先应该考虑业务需求 根据业务需求 来确定 IT 需求 包括安全需求 在安全域划分时会面临有些业务紧密相连 但是根据安全要求 信息密级要求 访问应用要求等 又要将其划分到不同安全域 的矛盾 是将业务按安全域的要求强性划分 还是合并安全域以 满足业务要求 必须综合考虑业务隔离的难度和合并安全域的风 险 会出现有些资产保护级别不够 从而给出合适的安全域划 分 结构简化原则 安全域方法的直接目的和效果是要将整个网络变得更 加简单 简单的网络结构便于设计防护体系 比如 安全域划分并不 是粒度越细越好 安全域数量过多过杂可能导致安全域的管理过于复 2011 北京启明星辰信息技术股份有限公司 第 29 页 共 64 页 杂和困难 等级保护原则 安全域的划分要做到每个安全域的信息资产价值相近 具有相同或相近的安全等级 安全环境 安全策略等 立体协防原则 安全域的主要对象是网络 但是围绕安全域的防护需 要考虑在各个层次上立体防守 包括在物理链路 网络 主机系统 应用等层次 同时 在部署安全域防护体系的时候 要综合运用身份 鉴别 访问控制 检测审计 链路冗余 内容检测等各种安全功能实 现协防 生命周期原则 对于安全域的划分和布防不仅仅要考虑静态设计 还要考 虑不断的变化 另外 在安全域的建设和调整过程中要考虑工程化的管理 4 3 网络防护子系统建设网络防护子系统建设 4 3 1 网络防护网络防护 4 3 1 1边界访问控制的防护边界访问控制的防护 目前济宁职业技术学院有独立的数据中心 存储关于学校与学生的相关信 息 可能会被攻击者利用其他服务器作为跳板而对内部服务器产生威胁 因此 建议对内部数据中心中的服务器与其他服务器 如计费系统服务器 采取安全 措施 使用防火墙进行边界的访问控制 并制定细粒度的访问策略 保护内部 服务器的安全 4 3 1 2安全域应用安全域应用 安全域就是将不同安全等级的网络隔离 控制 对信息资源从安全角度进 行规划 而在安全域网络内部有相同的安全保护需求 相互信任的子网或区域 采用相同的安全访问控制和边界控制策略 相同的安全域共享一样的安全策略 采用安全域的思想规划网络体系 可以对济宁职业技术学院的网络起到以下作 用 2011 北京启明星辰信息技术股份有限公司 第 30 页 共 64 页 更好的利用系统安全措施 发挥安全设备的利用率 便于控制网络安全风险 降低系统风险 安全域的分割式预防出现问题的防护方式 抗渗透 安全域边界时灾难发生时的抑制点 防止影响的扩散 4 3 1 3网络恶意代码的防护网络恶意代码的防护 部署了终端防病毒系统 能够对恶意代码的防护起到一定的控制作用 但 终端防病毒主要是对文件型病毒进行有效检测和防御 无法对网络蠕虫等病毒 进行有效查杀 且学院内终端数量较大 流动性强 不便于管理 所以 最有 效的方法是在源头有效截断恶意代码的侵入 在济宁职业技术学院与外部接入 网的边界位置使用网关型防病毒技术过滤基于网络传输的各种病毒 木马 蠕 虫等恶意代码 避免外部接入网络中的恶意代码通过网络途径侵入到信息系统 内 4 4 网络监控子系统建设网络监控子系统建设 4 4 1 脆弱性监控脆弱性监控 网络的应用越来越广泛 而网络不可避免的安全问题也就越来越突出 如 今 每天都有数十种有关操作系统 网络软件 应用软件的安全漏洞被公布 利用这些漏洞可以很容易的破坏乃至完全的控制系统 另外 由于管理员的疏 忽或者技术水平的限制造成的配置漏洞也是广泛存在的 这对于系统的威胁同 样很严重 建议济宁职业技术学院采用漏洞扫描系统定期对内部主机 服务器系统进 行脆弱性检查 能够达到以下效果 通过对网络系统中的关键服务器进行漏洞扫描 能够发现由于安全管 理配置不当 疏忽或操作系统本身存在的漏洞 这些漏洞会使系统中 的资料容易被网络上的怀有恶意的人窃取 甚至造成系统本身的崩溃 生成详细的可视化报告 同时向管理人员给出相应的解决办法及安全 建议 2011 北京启明星辰信息技术股份有限公司 第 31 页 共 64 页 通过对网络系统边界组件 基础组件和其他系统进行漏洞扫描 检查 系统的潜在问题 发现操作系统存在的漏洞和安全隐患 通过对网络及各种系统进行定期或不定期的扫描监测 并向安全管理 员提供系统最新的漏洞报告 使管理员能够随时了解网络系统当前存 在的漏洞并及时采取相应的措施进行修补 通过漏洞扫描的结果 能够对系统进行加固和优化 4 4 2 内部威胁监控内部威胁监控 通过安全子系统的建设能够阻挡绝大多数攻击的侵入 但安全防护设备一 般都是采用静态的防护措施 不能及时适用外部动态变化的攻击技术 一旦用 外部最新的攻击行为透过防护技术进入到系统中 防护措施很难发挥作用 另 外 系统内部存在大量的终端 一旦这些终端有意或无意 如 ARP 欺骗 的发 起攻击 防护措施也无能为力 因此 必须建立针对系统整体的监控系统 例如入侵检测系统的动态监控 技术 弥补静态防护技术的不足 实时监控系统内部的异常流量和攻击事件 准确定位安全事件的发生源 4 4 3 应用监控应用监控 WEB 应用有着其自身的特殊性 入侵防护措施和防篡改措施能够有效防范 大多数针对 WEB 应用的攻击 并防范页面被恶意篡改 但这些措施对 WEB 挂 马等威胁仍力不从心 无法进行有效防护 另外 随着 WEB 攻击技术的发展 防护技术总有一定的滞后性 这些都对 WEB 应用的安全形成严重威胁 需要 建立专门针对 WEB 应用的检测措施 定期检测 WEB 应用的漏洞和网站挂马的 情况 配合防护技术实现 WEB 应用安全稳定的运行 并保障了访问者的安全 浏览 2011 北京启明星辰信息技术股份有限公司 第 32 页 共 64 页 4 5 应用审计子系统建设应用审计子系统建设 4 5 1 网络行为审计网络行为审计 由于办公的需要 济宁职业技术学院内部网络需要访问互联网 在获取相 关信息的同时 也很容易受到互联网上恶意信息的侵害 互联网中存在大量的 恶意站点 黑客 木马工具 病毒程序等 如果不加限制地访问这些站点 使 用这些工具 会给系统带来安全隐患 影响网络的正常使用 另外 随着 P2P 技术的发展 很有可能存在上班时间某些用户不停地下载 大容量的文件或者在线听音乐 看视频电影 这些行为都会严重占用网络带宽 造成网络堵塞 上网速度下降 影响其他人的正常上网行为 使重要的网络业 务无法得到有效的保障 因此 对互联网的使用进行规范 提高互联网使用效率 同时避免对互联 网使用的不良影响 关系济宁职业技术学院的正常办公和对外服务 是在信息 化建设过程中非常关键的一环 建议使用互联网审计设备加强对互联网访问行 为的管理 避免上网行为对信息系统造成的危害 4 5 2 业务行为审计业务行为审计 济宁职业技术学院的网络中有许多关键业务服务器 它们是各类网络服务 的载体 其重要性不言而喻 这些对重要设备及其所承载的应用的操作将直接 影响到信息系统的安全性 稳定性和可用性 因此对这些行为必须进行有效的 监控和审计记录 建议在核心交换机上部署网络安全审计系统 能够对信息系统中各类网络 操作行为进行细粒度审计 网络安全审计技术能够详细记录谁在什么时间做了 什么样的事情 从管理角度给以震慑 从技术的角度进行保障 并作为系统安 全管理或运维部门的免责依据或安全管理 IT 审计部门的追查证据 网络安全审计系统通过对被授权人员和系统的网络行为进行收集 分析 记录和汇报 有效实现了事前统一的授权管理 事中的实时监控和违规响应 2011 北京启明星辰信息技术股份有限公