XX网络安全规划.doc

网网络安全规划网网络安全规划 项目设计方案项目设计方案 信息工程有限公司 2 目目 录录 第一章第一章 前言前言 7 1 1 网络安全项目目标 7 1 2 安全宗旨 7 1 3 公司信息安全的 三元论 8 1 4 公司安全集成项目原则 8 1 5 公司时空防御系统模型 10 1 时间模型 10 2 空间模型 11 3 安全防护体系结构 12 第二章第二章 网安全规划方案设计标准和文件网安全规划方案设计标准和文件 13 2 1 引用标准 13 2 2 引用法规和文件 14 第三章第三章 网连接概述网连接概述 15 3 1 网互联设计概述 15 3 2 网设计结构概述 15 第四章第四章 网脆弱性分析和安全需求分析网脆弱性分析和安全需求分析 18 4 1 网脆弱性分析层面 18 1 理层脆弱性分析 19 3 2 网络层脆弱性分析 19 3 系统层脆弱性分析 21 4 应用层脆弱性分析 22 5 管理层脆弱性分析 23 4 2 网安全保密需求分析 24 1 物理层安全保密需求分析 24 2 网络层安全保密需求分析 24 3 系统层安全保密需求分析 24 4 应用层安全保密需求分析 25 5 物理层安全保密需求分析 25 第五章第五章 网安全保密规划设计网安全保密规划设计 27 5 1 设计目标 27 5 2 设计原则 28 1 物理隔离 28 2 最高防护 28 3 整体性原则 28 4 动态性原则 28 5 3 安全策略 29 5 4 涉密系统的安全保密设计结构 29 1 物理安全设计要求 30 2 网络运行安全设计要求 31 3 信息安全保密设计要求 31 4 4 安全保密管理要求 31 第六章第六章 网中心节点安全保密具体解决措施网中心节点安全保密具体解决措施 32 6 1 网中心节点安全保密技术和措施总括 32 1 网中心节点安全保密技术和解决措施内容概括 33 6 2 网中心节点物理层安全保密解决措施 34 1 环境安全保密措施 34 2 网各节点设备及线路电磁泄漏的解决措施 35 6 3 网中心节点网络层安全保密解决措施 35 1 网网接入边界防护解决措施 36 2 网的加密安全保密通信解决方案 37 3 网中心节点网络设备的安全加固解决措施 38 4 网中心节点网络访问控制解决措施 39 4 网中心节点系统层安全解决措施 40 1 网主干节点平台安全解决措施 41 2 网主干节点安全配置解决措施 41 6 5 网中心节点应用层安全保密解决措施 42 1 网各节点网络入侵检测解决措施 43 2 网信息加密安全解决措施 44 3 网身份认证和数字签名解决措施 45 4 网网络攻击抗抵赖安全解决措施 47 5 网系统防病毒安全解决措施 48 6 网数据备份安全解决措施 50 5 6 6 网中心节点管理层安全保密解决措施 53 1 全保密管理机构 54 2 安全保密管理制度 54 3 保密管理技术 55 第七章第七章 网总体安全保密解决措施网总体安全保密解决措施 56 7 1 网安全保密解决总设计 56 7 2 网安全保密设计内容总结 57 第八章第八章 网安全保密产品选型和服务网安全保密产品选型和服务 59 8 1 广域网安全保密产品的选型原则 59 8 2 公司的推荐安全产品工具及安全服务 59 1 推荐的安全产品及工具 60 8 3 推荐的中科网卫安全服务体系 63 1 什么是安全服务 63 2 为什么需要安全服务 65 3 安全服务的内容 66 4 评估服务 69 5 主机系统修补 加固优化服务 71 6 紧急响应处理流程 71 6 第一章第一章 前言前言 本章将对 网网络安全项目的目标 安全宗旨及 信息工程有限 公司遵循的网络安全理论进行简单表述 1 11 1 网络安全项目目标网络安全项目目标 网最大可能的保护其所辖的网络和系统可以得到充分的信任 能够对其所属的系统和数据安全保密 本项目的总体目标是保证接入安全 IDC 服务器集群安全 电信业 务系统的安全运营 信息工程有限公司 以下简称 公司 根据 网的网络安全 要求 提供包括整体安全策略 评估 规划 设计 部署 管理 紧急 响应以及配套服务组成的网络安全整体解决方案 1 21 2 安全宗旨安全宗旨 信息工程有限公司向 网安全所提供的建设和服务遵循如 下原则 以 网的安全设计需求为安全设计思想 我国各级安全主管部门还颁布了一系列条例和规定 本项目遵守 国内的这些安全条例和规定 用户的安全是我们最大的成功 1 31 3 公司信息安全的公司信息安全的 三元论三元论 公司信息安全突出表现为 三元论 信息安全有三个要素 策略 管理 技术 7 安全策略 包括各种策略 法律法规 规章制度 管理标准等 是信息安全的最核心问题 是整个信息安全建设的依据 安全管理 包括主要人员 组织和流程的管理 是实现信息安全 的落实手段 安全技术 包含工具 产品及服务 是实现信息安全的有力保障 根据以上要素的指导 云南 浩宇信息工程有限公司为 网提供 的不仅仅是各种安全产品和技术 更重要的是要建立一个完善的安全策 略体系 安全管理体系 安全技术体系 1 41 4 公司安全集成项目原则公司安全集成项目原则 经济性经济性 在本建议书中 在方案的制订 产品的选型 服务的选择方面都尽 可能体现经济性的原则 策略性策略性 建立 网的安全体系 需要先制定完整的 一致性的信息安全策 略体系 并将且将安全策略体系和其他企业策略相协调 综合性和整体性综合性和整体性 从系统综合的整体角度充分考虑此次 网安全项目 制定有效 可行的安全措施 建立完整的安全防范体系 尽量降低对原有网络 系统性能的影响尽量降低对原有网络 系统性能的影响 由于安全设置的增加 必将影响网络和系统的性能 包括对网络传 输速率的影响 对系统本身资源的消耗等 因此需要平衡双方的利弊 提出最为适当的安全解决建议 避免复杂性避免复杂性 公司提供的安全解决方案不会使原网络结构的复杂程度增加 8 并使操作与维护简单化 安全体系的建立也不会对 网的结构做出根 本性的修改 扩展性 适应性扩展性 适应性 公司提供的安全解决方案能够随着 网网络性能及安全需求的 变化而变化 要容易适应 容易修改 兼容性兼容性 公司提供的安全管理工具应能够和其它系统管理工具有效兼容 保障安全系统自身的安全保障安全系统自身的安全 公司提供的安全产品和系统都有能力在合理范围内保障系统自 身的安全 稳定性稳定性 公司总体设计方案需保证运行过程中的稳定 顺畅 不对应用 系统造成危害 9 1 51 5 时空防御系统模型时空防御系统模型 1 时间模型时间模型 特点 动态 多层次特点 动态 多层次特点 动态 多层次特点 动态 多层次 基础 评估基础 评估基础 评估基础 评估 核心 策略核心 策略核心 策略核心 策略 手段 防护 侦测 手段 防护 侦测 手段 防护 侦测 手段 防护 侦测 响应 恢复响应 恢复响应 恢复响应 恢复 各类系统的备份和恢复策略和恢复服务各类系统的备份和恢复策略和恢复服务磐石 文件型 磐石 文件型 恢复恢复 常规响应服务常规响应服务 紧急响应服务紧急响应服务 各个产品各自响应 产品间的协同各个产品各自响应 产品间的协同 响应 互动互联 响应 互动互联 长城与天眼 长城与天眼 响应响应 安全技术服务之 季 月 回归检查 安全技术服务之 季 月 回归检查 审计服务 实时监控审计服务 实时监控 ISSISS 天眼 基于网络 基于主机 天眼 基于网络 基于主机 检测检测 安全技术服务之优化服务 系统 网络 安全技术服务之优化服务 系统 网络 应用 数据库等 应用 数据库等 防火墙 防火墙 PowerIDPowerID 绿岛桌面安全绿岛桌面安全 套件套件 防护防护 安全技术服务之调查 红客攻击安全技术服务之调查 红客攻击ISSISS 火眼 火眼评估评估 安全咨询服务 顾问服务安全咨询服务 顾问服务统一安全管理平台 统一安全管理平台 PowerCA 策略策略 对应安全服务对应安全服务对应产品对应产品 攻击阶段攻击阶段 防范阶段防范阶段 10 2 空间模型空间模型 边界防护边界防护 防火墙 ISS LinkTrust CyberWall 防火墙 长城防火墙 路由器 交 换机安全优化 区域防护区域防护 网络查杀病毒 趋势 熊猫卫士 诺顿 网络入侵检测 ISS 天眼入侵侦测 节点防护节点防护 单机查杀病毒 趋势 瑞星 熊猫卫士 服务器保护 ISS 天眼入侵侦主机 磐石网站监控与恢复 漏洞扫描 ISS 火眼风险评估 系统优化 核心防护核心防护 认证与加密 POWER CA POWER ID POWER VPN 边界防护边界防护边界防护边界防护 核心防护核心防护核心防护 区域防护区域防护区域防护 节点防护节点防护节点防护 11 3 安全防护体系结构安全防护体系结构 公司通过时间和空间模型的组合 构成了如上图所示的安全防 护体系 安全策略安全策略安全策略安全策略 12 第二章第二章 网安全规划方案设计标准和文件网安全规划方案设计标准和文件 公司针对 网提出的安全解决方案在设计中遵循了以下标准及法 律法规文件 2 12 1 引用标准引用标准 国家标准 GB9361 1988 国家标准 GB2887 2000 国家标准 GB50174 1993 国家标准 GB9254 1998 2 22 2 引用法规和文件引用法规和文件 中华人民共和国公安部令 32 号 13 第三章第三章 网网连接概述连接概述 3 13 1 网业务网络概述网业务网络概述 1 网络拓扑结构图网络拓扑结构图 IP 网络目前由三个业务平台组成 1 163 169 业务平台业务平台 基于原 ChinaNET 昆明节点的 163 169 网络 负责窄带拨号用户 PSTN ISDN 方式 及低速专线用户 2M 及以下 的接入 并提供昆明 14 IP 网络的域名解析服务 拨号注册用户的邮件服务等 业务管理系统 采用亚信公司的 AIOBS 系统 网络结构采用双节点方式 2 IP 宽带业务平台 宽带业务平台 基于新建成的昆明 IP 宽带城域网 负责宽带拨号用户 LAN ADSL 及高速专线用户的接入 业务管理系统采用南京联创公司 的 BIP 系统 全网共有 16 个骨干节点 3 3 IDCIDC 业务业务平台 平台 负责 IP 网络的主机托管业务 管理如昆明热线 昆明各大企业等 客户托管的主机 与昆明 IP 宽带城域网以双出口方式相连 目前共有 两个托管机房 有 16 台 UNIX 平台 Solaris IRIX 的托管服务器 87 台 Windows Linux 平台的托管主机 但缺乏一套完整的 IDC 监控系统 来管理 15 第四章第四章 网网脆弱性分析脆弱性分析和安全需求分析和安全需求分析 针对网络系统 网的安全设计方案应分析网络的脆弱性 结合 网络的实际情况分析所面临的威胁 并且脆弱性分析应从物理层 网络 层 系统层 应用层 管理层五个层面进行分析 4 14 1 网脆弱性分析层面网脆弱性分析层面 物理层安全脆弱性 各节点物理设备的脆弱性分析 各节点广域网设备所处机房的环境分析 网络层安全脆弱性 网络资源的访问控制脆弱性分析 可能存在的入侵脆弱性分析 网络设备的安全分析 系统层安全脆弱性 操作系统本身的脆弱性分析 对操作系统本身的安全配置脆弱性分析 应用层安全脆弱性 FTP 数据传输抵赖 WWW 服务器 对外 的安全 邮件系统的安全 邮件病毒传播分析 信息加密 缺乏相应的入侵行为监控 广域网的数据安全性 管理层安全脆弱性 管理规章制度和规范的脆弱性分析 16 1 1 理层脆弱性分析理层脆弱性分析 恶意的物理破坏 各节点广域网互联部分所有交换机和服务器设备均封闭在单独的房 间内 这些房间主要由网络技术部系统管理人员负责管理 在物理上实 现了安全保护 电力中断 广域网中各节点的广域互连部分正在建设中 但在中心节点所使用 的重要服务器依然通过防火墙 天融信 连接内网 物理上与各节点内 网服务器存放在一个机房内 基本上在互连后将会继续使用各节点现有 的 UPS 不间断电源设备 突然的电力中断会导致服务无法正常提供 数据丢失 2 网络层脆弱性分析网络层脆弱性分析 外部网络非法访问 网连接各个节点 对这些节点提供重要数据服务 从边界安全 的角度考虑 每个节点自身是一个安全孤岛 具备可信的性质 自身节 点以外的区域 广域网内的其他系统节点 为不可信区域 自身存在着 遭受不可信区域攻击的危险性 没有受到任何访问控制保护的节点 其 安全性就由节点内各个服务器系统自身的安全性来决定 整个外部网络 的安全性就等同于外网中安全性最低的系统 攻破了其中一个系统 由 于该系统在内部网络中的信任关系 其他的系统也将会门户洞开 攻击 者需要的就仅仅是一个时间的问题 17 节点内部网络可能存在攻击 网互连部分和内网使用防火墙进行通信隔离 应用系统平台以 windows 2000 Sun Solaris 和 IBM AIX 等为主 目前假定为内部所有 用户都是可信群体 但这样不能在技术上监控可能存在的针对应用系统 平台 网络设备的漏洞进行的攻击行为 有很多用户可能会使用一些有 针对性的攻击工具在内部网络中作一些攻击试探和联系 但这样往往就 已经给内部网络造成了伤害 使业务不能正常运行 内部网络的监管需要技术和管理上并进才可保证安全 广域网互连 网各自单位内部网需要进行互连 互连后各单位的系统均可通 过网络进行访问 相对而言 中心 将作为资源节点 下属单位为访问 节点 广域网部分缺乏相应的边界防护措施 重要的信息资源的将暴露 在广域网上 非法访问 在广域网节点上 计费 认证和 ftp 等日常用户安全意识不强 口 令设置缺乏科学性 易猜测 且更换频率低 个别人甚至半年更换一次 这位非法用户盗取数据库资源提供了可能 并且在内部局域网络中这种 经常会出现的口令探测也同样缺乏有效的技术监管 部分 UNIX 或 Windows NT 2000 的命令可以实时检测网络数据包的 传输情况 对于 telnet rlogin 这些不加密的网络应用 用户登陆口 令很容易被发现和窃取 主机操作系统漏洞和错误的系统设置也能导致非法访问的出现 互连设备的安全隐患 18 网互连设备中使用了大量的交换设备和路由器 他们都支持 SNMP 简单网管协议 这些设备都维护着一个有着设备运行状态 接口 等信息的 MIBS 库 运行着 SNMP 的主机或设备可以称为 SNMP AGENT SNMP 管理端和代理端的通信验证问题仅仅取决于两个 Community 值 一个是 Read Only RO 值 另一个是 Read Write RW 值 拥有 RO 值的管理端可以查看设备的一些信息包括名称 接 口 ip 地址等 拥有 RW 值的管理端则可以完全管理该设备 令人担忧 的是大多支持 snmp 的互连设备都是处于运行模式 至少有一个 RO 的默 认值为 PUBLIC 会泄漏很多信息 拥有 RW 默认值的设备在互联网上也 是很多 加之 SNMPV2 版本本身的安全验证能力很低 所以极易收到攻 击 从而导致互连设备的瘫痪和流量不正常 如果没有冗余设备 那样 整个内部网络就会瘫痪 互连设备的弱管理口令 网络操作系统的版本太低也会使交换设备 受到入侵和拒绝服务攻击 导致不能正常工作 影响信息系统的工作 3 系统层脆弱性分析系统层脆弱性分析 系统层的主要问题集中在以 Windows 2000 平台为主的计费和认证服 务器在广域网中的各节点中扮演着重要的角色 如认证服务器还存 放重要的数据 indows 2000 平台一直存在着大量的问题 最近的 病毒蠕虫和黑客攻击均是针对这个平台进行的 这个平台的安全性 问题在系统层安全上来讲非常重要 4 应用层脆弱性分析应用层脆弱性分析 恶意代码 19 恶意代码在 windows 平台上主要是病毒和黑客软件问题 病毒主要 是从诸如 internet 外部数据交换等环境引入 对于 UNIX 系统恶意代 码主要是黑客软件和攻击代码 黑客软件和攻击代码对 系统 unix 服务器系统形成了威胁 这些黑客软件和攻击代码的散布非常广泛且下 载容易简单 破坏信息完整性 信息完整性主要是指国家 网络系统的重要应用数据遭到篡改和 破坏 如果没有相应的备份措施和 集中管理 那样一旦被攻击 数据 遭到的破坏将是难以估计的 数据传输抵赖性 由于目前网络协议对安全性问题考虑得很少 所以单单依靠协议 地址或一些简单的通信标志来判定攻击者的身份是很难的 也是证据不 足的 高水平的攻击者在攻击时一定会掩饰自己的身份和标志 这样才 不会暴露自己的身份 广域网涉密数据传输无法解决接受方和发送方的抗抵赖问题 对发 送有误数据或不承认传输数据的行为无法准确追究责任 病毒的泛滥 广域网的各节点接入部分的计费服务器等是 Windows 2000 是病 毒感染和传播的最佳平台 病毒会破毁系统和应用数据导致服务器瘫痪 和病毒扩散 计费服务器缺乏有效的防病毒措施 用户间计费交换是传播病毒的 最容易的方式 计费服务器对用户的计费交换缺乏有效的病毒防范监控 20 5 管理层脆弱性分析管理层脆弱性分析 操作失误 这是一个无法避免的问题 主要分为系统管理员和普通用户操作失 误两种 前者的影响往往是致命的 直接危害到系统和数据安全 后者 主要影响用户数据的完整性 人为的故意攻击 来自系统内部人员和广域网用户的攻击是很难防范的 内部工作人 员本身在重要应用系统上都有一定的使用权限 并且对系统应用非常清 楚 一次试探性的攻击演练都可能会对应用造成瘫痪的影响 这种行为 单单依靠工具的检测是很难彻底避免的 还应该建立完善的管理制度 4 24 2 网安全需求分析网安全需求分析 针对 4 1 节对 网的五个层面的脆弱性和风险性分析结果 我们总 结了广域网安全保密需求分析 体现在以下五个层面上 1 物理层安全需求分析物理层安全需求分析 在各节点内需求使用电磁泄漏发射干扰系统解决设备电磁泄漏问题 在各节点内需求使用网络线缆发射干扰系统解决线路电磁泄漏问题 21 2 网络层安全需求分析网络层安全需求分析 在各节点广域网接口部分需求防火墙等访问控制系统来解决边界访 问防护问题 在各节点内部需求加固网络互连设备来解决网络互连的安全可靠性 在各节点内部需求加固网络系统的访问控制来解决网络系统的安全 访问控制问题 3 系统层安全需求分析系统层安全需求分析 在各节点内的以 Windows 2000 为平台的计费 认证和 ftp 需求解决 平台自身的安全问题来解决这些应用的安全问题 在主干节点内以 unix 平台的 dns 服务器需求解决平台自身的安全 问题来解决 dns 安全问题 4 应用层安全需求分析应用层安全需求分析 各节点的应用系统 windows2000 solaris 和 AIX 需求加固现有的身 份鉴别机制来有效的解决身份鉴别问题 各节点的计费和认证等应用系统需求加固和安全配置解决这些引用 服务的安全问题 各节点的广域网接入网络需求入侵监控手段来对接入点的网络进行 有效的入侵行为监控 各节点的重要服务器需求加固现行的审计功能来有效的解决系统资 22 源的审计问题 各节点的计费系统需求有效的邮件病毒监控手段来解决邮件的病毒 传播和扩散问题 各节点建立在 windows NT 2000 平台的服务器需求有效的文件病毒 监控手段来解决病毒传播和扩散问题 各节点间的数据的传输需求有效的身份认证 签名和管理手段来解 决传输的抵赖问题 5 管理层安全需求分析管理层安全需求分析 各节点需求建立相应的管理部门来解决管理责任问题 各节点需求建立相应的安全保密管理制度来解决安全管理问题 各节点网络管理人员需求相应的安全防护技术培训来增进安全防护 管理技术水平 23 第五章第五章 网安全规划设计网安全规划设计 网的安全方案应根据上述脆弱性 威胁分析和风险分析的结果 依据安全保密系统设计原则 安全设计中也应根据脆弱性分析的几个层 面进行考虑 网根据安全防护的重要性划分可以分为昆明昆明 163163 节点 昆明节点 昆明 IPIP 宽带网络和昆明宽带网络和昆明 IDCIDC 托管网络托管网络的安全防护 我们将在以下的章节中对中 心节点安全和地市节点的安全分别进行考虑 5 15 1 设计目标设计目标 网的安全设计目标是为了加强广域网信息系统的安全强度 以 满足电信行业关于网络系统在物理 网络安全运行 信息和管理几个部 门的要求 广域网的设计结合 公司的三元论从物理层 网络层 系统层 应用层和管理层几个安全细化层次上分析并解决问题 解决问题将以广 域网各信息节点作为安全保密基础 由点到面 物理安全 环境安全 设备安全 介质安全 网络运行安全 计算机病毒防治 信息安全保密要求 访问控制 信息完整性 身份鉴别 抗抵 赖 入侵检测 安全审计 操作系统安全 数据库安全 管理安全保密 管理机构 管理制度 人员管理 公司的安全设计最终将使广域网及其所属各节点达到安全需求 24 5 25 2 设计原则设计原则 网的规划方案设计应根据单位的业务工作要求 确定恰当的系 统范围 然后提出安全设计的原则 如物理隔离 最高防护 整体性和 动态性 1 物理隔离 物理隔离 网的重要系统应不得直接或间接连入互联网 必须实行物理隔 离 2 最高防护 最高防护 网的网络系统处理多种信息时 按进行保护 3 整体性原则 整体性原则 网的网络系统安全防护的强度应取决于系统中最薄弱的环节 必须采取技术和管理相结合 整体的安全措施 4 动态性原则 动态性原则 随着网络脆弱性的改变和威胁攻击技术的发展 必须及时地 不断 的改进和完善 网网络系统的安全措施 及时进行安全系统技术和设 备的升级换代 25 5 35 3 安全策略安全策略 网的网络系统的安全方案应根据系统的要求提出恰当的安全策 略 如以确保安全为主 多层保护 最小授权 综合防护 以确保网络的安全为主就要求采取一系列的安全技术和措施以保证 网络的安全 多重保护的目的是使各种保护措施相互补充 防止一层措施被突破 后 整个网络的安全就受到严重威胁 最小授权原则指的是网络中账号设置 服务配置 主机间信任关系 配置等应该为网络正常运行所需的最小限度 并将用户的权限配置为完 成其工作所需的最小权限 综合防护要求从物理安全 技术和管理等方面采取各种措施 分层 保护 确保网络的安全 5 45 4 涉密系统的安全设计结构涉密系统的安全设计结构 网安全设计方案应依据设计目标 设计原则和安全策略 从物 理安全 网络运行安全 信息安全和安全管理等方面 涉及其安全保密 功能结构 如下图所示 26 网安全结构设计网安全结构设计 1 物理安全设计要求 物理安全设计要求 为了保护国家 网网络设备 设施 介质和信息免遭自然灾害 环境事故以及人为物理操作失误或错误及各种以暴力手段进行违法犯罪 行为导致的破坏 丢失 网络系统需要具备环境安全 设备安全和介质 安全等功能 27 2 网络运行安全设计要求 网络运行安全设计要求 为保证网络功能的安全实现 需要具备备份与恢复 计算机病毒防 治 电磁兼容等功能 3 信息安全设计要求 信息安全设计要求 为了保证信息的完整性 可控性 可用性和抗抵赖性 系统需要采 用多种安全技术 如访问控制 信息加密 信息完整性校验 抗抵赖 安全审计 安全保密性能检测 入侵监控 操作系统安全 数据库安全 等 4 安全保密管理要求 安全保密管理要求 网网络系统必须加强安全管理 设置安全管理机构 制定严格 的安全管理制度 采用适当的安全管理技术将系统中的各种安全产品进 行集成 并加强对安全人员的管理 28 第六章第六章 网中心节点安全具体解决措施网中心节点安全具体解决措施 本章主要针对中心节点 163 节点网络中心 昆明 IP 宽带网络 IDC 托管网络的安全问题提出相应的安全解决措施 6 16 1 网中心节点安全技术和措施总括网中心节点安全技术和措施总括 公司将严格遵照电信行业关于网络系统安全解决方案的技术设 计要求 将信息安全三元论 策略 管理 技术 体现在广域网的安全 解决措施中 公司将策略 管理 技术信息安全三要素融入在广域 网的物理层 网络层 系统层 应用层和管理层五个亟待解决的安全层 面上 公司在本章将为广域网各节点提供包括法律法规 规章制度 管理标准等在内的安全策略作为各节点信息安全保密建设的依据 公司将为各节点和广域网提供包括主要人员 组织和流程的管 理规范作为安全的重要落实手段 公司将为广域网及其各节点提供包括安全产品 工具及服务在 内的技术手段作为实现安全的有利保障 1 网中心节点安全技术和解决措施内容概括网中心节点安全技术和解决措施内容概括 安全考虑层面安全考虑层面安全层面解决具体内容安全层面解决具体内容 29 物理层安全层面物理层安全层面环境安全解决措施 网络层安全层面网络层安全层面 各节点网络互连设备安全加固措施 各节点网络资源的安全访问控制 广域网安全通信连接 系统层安全层面系统层安全层面 计费 认证服务器的安全解决措施 Dns 服务器的安全解决措施 应用层安全层面应用层安全层面 信息安全解决措施 抗抵赖安全解决措施 系统安全审计解决措施 数据完整性安全解决措施 入侵检测解决措施 入侵取证安全解决措施 应用系统的防病毒解决措施 管理层安全层面管理层安全层面 安全管理机构 安全管理制度 安全管理技术 6 26 2 网中心节点物理层安全解决措施网中心节点物理层安全解决措施 广域网的物理安全主要体现在组成广域网的各节点的物理安全上 各节点的广域网接入部分基本上可以看作和原有内网的服务器机房在一 起 解决各节点的物理层安全就可以有效地解决 网的整体物理安全 30 1 环境安全措施环境安全措施 为保护各节点网络设备 设施 含网络 以及其它媒体免遭地震 水灾 火灾 有害气体和其它环境事故 如电磁污染等 破坏 应采取 适当的保护措施 在环境安全上 主要考虑受灾防护和机房区域安全 为此在各节点 机房内 要施行严格的保安制度 配备好防火 防盗报警等设备 推荐广域网各节点环境安全保密解决措施 推荐广域网各节点环境安全保密解决措施 在安置服务器的机房出入口设立门禁系统 分配权限和密码 在安置服务器的机房出入口设立门禁系统 分配权限和密码 仅持有权限和密码的人才可以进入机房 管理上要求能够进出仅持有权限和密码的人才可以进入机房 管理上要求能够进出 机房的人员政治和技术可靠 机房的人员政治和技术可靠 配备防火器材 合理的布置在机房的四周 做到防范于未然 配备防火器材 合理的布置在机房的四周 做到防范于未然 一旦出现明火现象 可在机房内将其扑灭 一旦出现明火现象 可在机房内将其扑灭 机房内应充分利用现有的工业空调系统 将机房内温度保持在机房内应充分利用现有的工业空调系统 将机房内温度保持在 服务器硬件推荐的平均工作温度下 服务器硬件推荐的平均工作温度下 6 36 3 网中心节点网络层安全解决措施网中心节点网络层安全解决措施 网的安全解决主要集中在广域网连接的数据通信加密问题 各 31 节点的网络层边界访问控制问题 各节点网络资源的访问控制问题 各 节点的网络通信设备加固问题的安全解决措施上 1 网网接入边界防护网网接入边界防护解决措施解决措施 1 1 163 163 节点网络边界防护节点网络边界防护 2 2 IP IP 宽带网络边界防护宽带网络边界防护 32 3 3 IDC IDC 托管网络边界防护托管网络边界防护 根据 IP 宽带网络的情况 我们分别部署在 IP 宽带内部网络 网管 应用服务器 计费 WEB 服务器 机房开发网段 与昆明 IP 宽带外网之间 NETSCREEN 防火墙 根据昆明 163 电信网络的情况 我们部署于 1 63A 节点网络与电信 骨干网 163A 节点网络与用户专心 163 节点完了过计费 认证服务器 关键业务服务器前面分别部署 NETSCREEN 防火墙 163B 节点网络与电 信骨干网之间 根据 IDC 托管网络的情况 我们部署在各企业托管服务器网 33 段 昆明热线 其他企业托管服务器 与昆明 IP 宽带网之间部署 NETSCREEN 防火墙 昆明 163 节点网 IP 宽带网 IDC 托管网在接入骨干网后的应用重 要体现在内部计费 认证 DNS 服务器 安全设计时可考虑使用使用 网络层的访问控制工具 防火墙在唯一通信点进行访问控制 推荐各节点接入广域网的边界访问控制安全解决措施 推荐各节点接入广域网的边界访问控制安全解决措施 考虑尽可能减少对考虑尽可能减少对 网络的性能 流量 效率的影响 在防火网络的性能 流量 效率的影响 在防火 墙的配置方面我们采取 在骨干网上的防火墙做第一层过滤 墙的配置方面我们采取 在骨干网上的防火墙做第一层过滤 主要过滤非法主要过滤非法 IPIP 非授权 非授权 IPIP 和非法用户 和非法用户 非授权用户非授权用户 加以限加以限 制 这样检查的内容不会很多 对主干网络的流量不会有太大制 这样检查的内容不会很多 对主干网络的流量不会有太大 影响 在主要内部服务器的网段 我们设置防火墙不但从非法影响 在主要内部服务器的网段 我们设置防火墙不但从非法 IPIP 和非法用户上考虑 还要配置基于和非法用户上考虑 还要配置基于 8080 5353 等端口的具体访等端口的具体访 问 语句的检查 相对来说会很安全 问 语句的检查 相对来说会很安全 在在 网接入系统电信骨干网的唯一通信接口部分安置防火墙 网接入系统电信骨干网的唯一通信接口部分安置防火墙 使得防火墙能够对电信内部网络与外部使得防火墙能够对电信内部网络与外部 INTERNETINTERNET 进行访问限制 进行访问限制 配置访问规则 允许各节点用户访问重要服务器的基本服务如配置访问规则 允许各节点用户访问重要服务器的基本服务如 计费和认证 不允许通信访问涉密内网资源即可 计费和认证 不允许通信访问涉密内网资源即可 使用边界处的防火墙对出入边界的访问进行审计 记录通信日使用边界处的防火墙对出入边界的访问进行审计 记录通信日 志以供分析 志以供分析 34 2 网中心节点网络设备的安全加固解决措施网中心节点网络设备的安全加固解决措施 网络的网络结构中大量的采用了的路由器和交换设备 作为 骨干交换设备的交换机往往也是攻击者发起攻击的对象 一旦交换机被 攻击 dos 整个网络存在的瘫痪的严重后果 内部局域网的安全中网 络设备也应该是安全考虑中的重中之重 交换机内也是软件系统 依赖 的是固有的网络操作系统 解决交换机的安全性问题应口令和自身漏洞 等多方面来考虑 推荐广域网网络设备安全解决措施 推荐广域网网络设备安全解决措施 加强节点路由设备的特权用户密码的强度 要求超过加强节点路由设备的特权用户密码的强度 要求超过 8 8 个字符个字符 字母和数字 的长度 并且和一般的 字母和数字 的长度 并且和一般的 vtyvty 和和 consoleconsole 口令不能口令不能 相同相同 加强各节点路由设备的加强各节点路由设备的 snmpsnmp 网管的网管的 privateprivate 和和 publicpublic 的的 communitycommunity 值的强度 可以使用值的强度 可以使用 ciscoworks2000ciscoworks2000 来设置 以可以来设置 以可以 直接在交换机中的直接在交换机中的 snmp serversnmp server 设置 设置 对对 vtyvty 终端和终端和 snmpsnmp 的连接进行安全访问控制 制定访问控制列表 的连接进行安全访问控制 制定访问控制列表 仅允许网管主机的连接访问仅允许网管主机的连接访问 3 网中心节点网络访问控制解决措施网中心节点网络访问控制解决措施 网各节点的访问控制目前集中在两个方面 其一是广域网通信 的访问控制问题 目前中心的网络设备无法阻止各节点合法内网计算机 35 以外的计算机接入问题 黑客可以混入各节点后将自己的计算机随意直 接接入内网 缺乏相应的 ip 地址和 mac 地址的有效绑定管理 其二是 内部存放重要资源的服务器系统系统的访问控制 这些重要的服务器在 广域网中最具代表性的就是认证服务器 根据各节点的现有网络环境 解决网络接入的访问控制问题不需要 借助三方安全产品 我们建议直接在各节点的边界防护防火墙上对地址 进行绑定 对各节点内网进行 mac 地址和 ip 地址与用户的对应关系进 行管理登记 划分合法内网接入地址范围 在防火墙上将这个地址范围 进行绑定 这样做后 将仅允许已登记的计算机通过方火墙接入广域网 节点内进行了地址登记的计算机才能接入节点内网 通过防火墙和 路由器访问 网内的资源 推荐广域网各节点网络接入的访问控制解决措施 推荐广域网各节点网络接入的访问控制解决措施 登记内网可信主机通信地址列表 在防火墙做访问许可 将可信地登记内网可信主机通信地址列表 在防火墙做访问许可 将可信地 址列表加入防火墙的地址绑定中 这样防火墙将只允许该范围内的址列表加入防火墙的地址绑定中 这样防火墙将只允许该范围内的 主机地址接入广域网 主机地址接入广域网 对各个节点内的地址进行有效绑定可以确保接入内网的计算机用户对各个节点内的地址进行有效绑定可以确保接入内网的计算机用户 均是合法可信任的用户 这些用户在接入广域网后在网络中的身份均是合法可信任的用户 这些用户在接入广域网后在网络中的身份 是唯一 不可更改的 是唯一 不可更改的 4 4 网中心节点系统层安全解决措施网中心节点系统层安全解决措施 网的互联系统部分主要集中在 windows 平台 仅中心节点 36 网的某些服务器为 UNIX 平台外所有节点的认证 计费服务器为 WINDOWS2000 SERVER 或 UNIX 平台 解决整个广域网系统层的问题应以 各节点的 UNIX WINDOWS 服务器为首要 1 网主干节点平台安全解决措施网主干节点平台安全解决措施 节点接入部分的计费 认证等节点接入部分的计费 认证等 IBMIBM 服务器应至少打上最新的补丁 服务器应至少打上最新的补丁 并打上一些新发现的漏洞补丁如针对并打上一些新发现的漏洞补丁如针对 tcptcp 协议栈漏洞的补丁协议栈漏洞的补丁 开启网络应用服务的主机应打上基本的最新开启网络应用服务的主机应打上基本的最新 serviceservice packpack 后使后使 用漏洞扫描和评估系统评估 对发现的安全配置和漏洞进行及时用漏洞扫描和评估系统评估 对发现的安全配置和漏洞进行及时 37 修补 推荐使用网络漏洞扫描和评估系统修补 推荐使用网络漏洞扫描和评估系统 服务器应加强口令管理力度 可能的情况下不要使用服务器应加强口令管理力度 可能的情况下不要使用 administratoradministrator rootroot 作为管理员用户名 可以尝试改名 最 作为管理员用户名 可以尝试改名 最 好拥有两个管理员账号 然后建立针对管理员账号的锁定策略 好拥有两个管理员账号 然后建立针对管理员账号的锁定策略 禁用一些安全性较低的账号如禁用一些安全性较低的账号如 guestguest 的本地登陆能力的本地登陆能力 在充当应用服务平台的上安装防病毒产品防病毒软件在充当应用服务平台的上安装防病毒产品防病毒软件 推荐广域网各节点接入部分网络使用漏洞扫描和评估系统推荐广域网各节点接入部分网络使用漏洞扫描和评估系统 2 网主干节点安全配置解决措施网主干节点安全配置解决措施 广域网基本上每个节点都有建立在 Windows 2000 上的计费 认 证应用和网关 系统层上的安全应从系统平台和应用平台两个层次上来 考虑 各节点应用平台安全解决措施 各节点应用平台安全解决措施 设置邮件过滤规则 定义关键字 阻止不良信息传播设置邮件过滤规则 定义关键字 阻止不良信息传播 对合法用户的邮箱空间进行限制 防止垃圾邮件吞噬服务器的存对合法用户的邮箱空间进行限制 防止垃圾邮件吞噬服务器的存 储空间储空间 对群发邮件功能进行密码限制 增强管理审核职能对群发邮件功能进行密码限制 增强管理审核职能 设立计费的系统审计日志 记录计费个服务的访问信息 发现潜设立计费的系统审计日志 记录计费个服务的访问信息 发现潜 在的信息在的信息 内部和外部内部和外部 webweb 服务器如果在服务器如果在 windowswindows 20002000 serverserver 平台上为平台上为 iisiis 解决这个平台的问题其一是修补相应的补丁 其二是删除 解决这个平台的问题其一是修补相应的补丁 其二是删除 38 一些不必要的服务和映射文件即可一些不必要的服务和映射文件即可 加强加强 webweb 服务根目录的文件权限 对服务根目录的文件权限 对 everyoneeveryone guestguest 等用户仅等用户仅 赋予读的权限即可赋予读的权限即可 推荐参考推荐参考 公司的计费和认证安全配置建议公司的计费和认证安全配置建议 6 56 5 网中心节点应用层安全解决措施网中心节点应用层安全解决措施 应用层的安全解决措施主要体现在各节点的安全审计 对入侵行为 的监控 信息加密 身份认证和数字签名 FTP 抗抵赖 网络防病毒和 数据备份这几个方面 1 网各节点网络与主机入侵检测解决措施网各节点网络与主机入侵检测解决措施 1 1 163 163 节点网络与主机入侵侦测节点网络与主机入侵侦测 39 2 2 IP IP 宽带网络与主机入侵侦测宽带网络与主机入侵侦测 3 3 IDC IDC 托管网络与主机入侵侦测托管网络与主机入侵侦测 40 在昆明 163 节点网 IP 宽带网 IDC 托管网的中心交换机上分别 部署天眼网络入侵侦测系统 而在认证 计费 DNS 等重要服务器上部 署 SYMANTEC 的主机入侵侦测系统 入侵检测是对入侵行为的监测和控制 它通过监视计算机网络或 系统的运行 从中发现网络或系统中是否有违反安全策略的行为和被攻 击的迹象 一旦发现攻击能够发出警报并采取相应的措施 如阻断 跟 踪等 同时 记录受到攻击的过程 为网络或系统的恢复和追查攻击的 来源提供基本数据 网络边界虽然进行边界保护 但仅是一个被动防御的行为 对 来自应用层的攻击缺乏有效的监控手段 我们建议在各节点的接入部分 设置网络入侵检测系统 对来自应用层或绕过防火墙的功击进行监控和 阻截 广域网各节点网络入侵检测系统安全解决措施 广域网各节点网络入侵检测系统安全解决措施 在各节点的在各节点的 switchswitch 上安装网络入侵检测 连接引擎探头 上安装网络入侵检测 连接引擎探头 在引擎的管理端安装在网管工作站上 并将引擎的管理端口接在引擎的管理端安装在网管工作站上 并将引擎的管理端口接 在交换机上即可 在交换机上即可 网络入侵检测将获取流向服务器的数据包 对数据包进行细致网络入侵检测将获取流向服务器的数据包 对数据包进行细致 的协议分析和模式匹配 发现可能存在的攻击 入侵检测将会的协议分析和模式匹配 发现可能存在的攻击 入侵检测将会 把报警信息以多种方式发送给管理员并且会按照预先制定的策把报警信息以多种方式发送给管理员并且会按照预先制定的策 41 略对攻击通信进行处理 略对攻击通信进行处理 使用自定义匹配规则 允许对带有特定标志的网络通信连接进使用自定义匹配规则 允许对带有特定标志的网络通信连接进 行干预行干预 推荐在广域网的各节点接入部分使用硬件网络入侵检测 安装推荐在广域网的各节点接入部分使用硬件网络入侵检测 安装 在各节点接入部分的在各节点接入部分的 DMZDMZ 区中区中 2 网身份认证和数字签名解决措施网身份认证和数字签名解决措施 网缺乏有效的身份认证措施 具体的做法是在 网络中心节点 设立一个的 CA 认证服务器 为涉及到重要应用和加密应用的用户颁发 证书和公私钥标志其在 网的唯一身份 为这些用户分发存放证书和 公私钥的 USB KEY 这样用户在进行应用时仅需将 usbkey 中的公私钥 信息读取出来就可以完成签名和加密文件的操作 推荐广域网简单身份认证解决措施推荐广域网简单身份认证解决措施 在在 网络中心中设立网络中心中设立 网的简单身份认证中心 配置防火墙网的简单身份认证中心 配置防火墙 端口 允许广域网内用户访问该端口 允许广域网内用户访问该 CACA 的服务器端口的服务器端口 为涉密数据传输管理用户和需要进行数据加密的用户制造证书为涉密数据传输管理用户和需要进行数据加密的用户制造证书 和标志身份的公私钥 并将这些信息分别存储在为这些用户准和标志身份的公私钥 并将这些信息分别存储在为这些用户准 备的备的 USBUSB KEYKEY 中中 将将 USBUSB KEYKEY 分发到这些用户的手中 使用时仅需将这些分发到这些用户的手中 使用时仅需将这些 KEYKEY 安安 装在个人的装在个人的 PCPC 机上 需要使用时从机上 需要使用时从 KEYKEY 中读取这些证书即可中读取这些证书即可 拥有拥有 KEYKEY 的用户可以在线申请新的证书和修改公私钥信息 但的用户可以在线申请新的证书和修改公私钥信息 但 必须获得总节点系统管理员的同意必须获得总节点系统管理员的同意 42 推荐使用推荐使用 POWERCAPOWERCA 强双因素身份认证系统 在强双因素身份认证系统 在 网络中心安装网络中心安装 CACA 中心 为中心 为 网络系统和有文件加密需求的用户准备网络系统和有文件加密需求的用户准备 usbusb keykey 就可以满足需求 就可以满足需求 推荐推荐 网的简单网的简单 CACA 系统的解决措施 系统的解决措施 用户证书的申请 签发和发放原理用户证书的申请 签发和发放原理 43 3 网网络攻击抗抵赖安全解决措施网网络攻击抗抵赖安全解决措施 我们已在各中心节点的接入防火墙上进行了地址绑定 并且在各个 节点的接入部分配备了网络入侵监测系统 从地址绑定和防火墙地址过滤的角度上来讲 现行各中心节点的防 火墙仅允许地址绑定列表内的主机通过该防火墙接入广域网 这样能够 接入到广域网的用户的身份都是唯一的 网已针对各节点进行了地 址段分配 使用了网络入侵检测的节点能够对各节点的接入部分重要服务器的 通信进行监控 一旦发现攻击行为 会提取攻击者的源地址 将该地址 记录或报警给系统管理员 系统管理员可以根据 网的地址分配手册 和各节点的地址绑定列表来确定最终的攻击者 且是不可抵赖的 网络攻击抗抵赖解决措施 网络攻击抗抵赖解决措施 44 各节点在节点接入防火墙上进行本节点的可信地址登记和绑定 各节点在节点接入防火墙上进行本节点的可信地址登记和绑定 设置策略仅允许地址列表内的机器接入广域网设置策略仅允许地址列表内的机器接入广域网 使用网络入侵检测系统对攻击进行检测 将攻击发起者的地址使用网络入侵检测系统对攻击进行检测 将攻击发起者的地址 记录并通报给管理员记录并通报给管理员 根据广域网根据广域网 ip 地址分配规定和各节点的地址登记列表最终确定地址分配规定和各节点的地址登记列表最终确定 攻击者的身份攻击者的身份 4 网系统防病毒安全解决措施网系统防病毒安全解决措施 网的各节点应用服务系统受到的病毒威胁主要来自于两个方 45 面 认证服务器的文件防病毒问题 计费邮件的防病毒问题 针对服务器的文件防病毒我们建议在 网络的服务器平台上安装趋 势 的 protector for serv