廣電總局網(wǎng)絡(luò)安全技術(shù)建議書_外.doc

廣電總局網(wǎng)絡(luò)安全技術(shù)建議書一、 綜述1.1 建設(shè)背景廣電總局外部網(wǎng)目前承載著廣電總局對外官方網(wǎng)站、電子郵件、dns系統(tǒng)、視頻點(diǎn)播、主機(jī)托管以及廣電總局用戶訪問internet等一系列業(yè)務(wù)功能。目前，該網(wǎng)絡(luò)通過兩條出口鏈路接入互聯(lián)網(wǎng)。隨著廣電總局網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求，網(wǎng)絡(luò)安全作為信息化建設(shè)中必不可少的一項(xiàng)工作，以逐漸提現(xiàn)出其重要性。首先，在廣電總局外部網(wǎng)絡(luò)的日常運(yùn)維過程中，出現(xiàn)了一定的安全問題（目前，外網(wǎng)的部分托管主機(jī)依舊存在nimda病毒）。其次，隨著信息化工作的開展以及廣電網(wǎng)絡(luò)的建設(shè)，廣電總局的網(wǎng)絡(luò)及部分業(yè)務(wù)面臨著結(jié)構(gòu)調(diào)整和對外開放也對網(wǎng)絡(luò)安全提出新的要求。所以，為了保障廣電總局網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運(yùn)行，迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系，從而為廣電總局的網(wǎng)絡(luò)業(yè)務(wù)提供高質(zhì)量的信息服務(wù)。本次項(xiàng)目主要是針對廣電總局外部網(wǎng)絡(luò)的安全提出解決方案，涉及防火墻系統(tǒng)、安全審計(jì)系統(tǒng)、網(wǎng)絡(luò)型入侵檢測系統(tǒng)、防病毒體系、垃圾郵件系統(tǒng)、安全管理、系統(tǒng)安全增強(qiáng)及性能優(yōu)化以及未來與廣電總局直屬機(jī)關(guān)互聯(lián)互通時(shí)的安全相關(guān)技術(shù)和建議。1.2 網(wǎng)絡(luò)現(xiàn)狀及安全需求廣電總局外部網(wǎng)絡(luò)的網(wǎng)拓?fù)浣Y(jié)構(gòu)可以用下圖表示：廣電總局廣域網(wǎng)拓?fù)鋝un e3500：兩臺(tái)。web主服務(wù)器，其中一臺(tái)閑置。sun a5100：磁盤陣列e220r：兩臺(tái)。一臺(tái)為郵件服務(wù)器，另一臺(tái)為主dns服務(wù)器。e250：兩臺(tái)。一臺(tái)為輔dns，另一臺(tái)閑置ibm netfinity 4000：兩臺(tái)，視頻服務(wù)器。ultra 10：外網(wǎng)網(wǎng)管服務(wù)器外部網(wǎng)絡(luò)結(jié)構(gòu)由兩臺(tái)cisco 6509承擔(dān)外網(wǎng)核心交換工作，目前只有一臺(tái)6509處于工作狀態(tài)。在該交換機(jī)上劃分vlan。不同出口鏈路經(jīng)過防火墻后進(jìn)入vlan201（512k鏈路dmz口）、vlan202（512k鏈路與2m鏈路trust口）與vlan301（2m鏈路dmz口）。其中，vlan201主要包含廣電總局托管服務(wù)器，vlan301包含web服務(wù)、mail服務(wù)、dns服務(wù)及視頻服務(wù)，員工桌面機(jī)通過各2926與3548交換機(jī)匯聚至vlan202，通過防火墻nat進(jìn)行internet訪問。直觀看來，此網(wǎng)絡(luò)已經(jīng)具有了一定的安全性，外網(wǎng)與intenet部署了防火墻系統(tǒng)進(jìn)行防護(hù)。但是，仔細(xì)分析我們可以看出，這個(gè)網(wǎng)絡(luò)仍然存在很多安全隱患。l 雖然劃分了vlan，但是重要業(yè)務(wù)主機(jī)（web/mail/dns）全部集中在一個(gè)vlan內(nèi)，不利于風(fēng)險(xiǎn)的分散原則，也容易造成單點(diǎn)故障。l pix520防火墻系統(tǒng)未設(shè)置嚴(yán)格的訪問策略，只對員工桌面機(jī)設(shè)置了nat，對于入侵者來說防護(hù)效果較不理想。l mail系統(tǒng)用戶帳號及密碼以明碼方式在網(wǎng)絡(luò)上傳播。如果惡意用戶在網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)分析軟件，可截獲用戶密碼，冒充正常用戶身份進(jìn)行郵件的收發(fā)。l 網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護(hù)、查殺及隔離措施，一旦某臺(tái)主機(jī)感染病毒，會(huì)在短時(shí)間內(nèi)造成病毒在廣電網(wǎng)絡(luò)中的廣泛傳播，（目前外網(wǎng)部分主機(jī)依舊被nimda病毒感染）。l 目前廣電外網(wǎng)安全只單純依賴被動(dòng)型的安全手段如防火墻，而缺乏主動(dòng)發(fā)現(xiàn)型的安全手段，比如安全漏洞審計(jì)系統(tǒng)、入侵檢測系統(tǒng)等。無法防患于未然。l 缺乏對攻擊的監(jiān)測和記錄手段，比如入侵檢測系統(tǒng)、日志服務(wù)等，無法有效的發(fā)現(xiàn)安全事件，也沒有舉證手段。由于存在眾多安全問題，所以迫切需要建立一個(gè)統(tǒng)一的安全防護(hù)體系，保障廣電總局外部網(wǎng)絡(luò)系統(tǒng)資源的安全和穩(wěn)定運(yùn)行，從而為廣電總局各部門、各用戶提供高質(zhì)量的信息服務(wù)。以下我們將從網(wǎng)絡(luò)結(jié)構(gòu)安全結(jié)構(gòu)、網(wǎng)絡(luò)安全技術(shù)、防病毒體系及安全管理等幾個(gè)方面闡述我們的安全建議。1.3 安全設(shè)計(jì)原則l 整體性原則安全作為一個(gè)特殊的技術(shù)領(lǐng)域，有著自己的特點(diǎn)。安全問題必須遵從整體性原則，網(wǎng)絡(luò)中的任何一個(gè)漏洞或隱患都可能造成整網(wǎng)的安全水平的降低。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括三種機(jī)制：安全防護(hù)機(jī)制；安全監(jiān)測機(jī)制；安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行；安全監(jiān)測機(jī)制是監(jiān)測系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對系統(tǒng)進(jìn)行的各種攻擊；安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少攻擊的破壞程度由于業(yè)務(wù)的發(fā)展及網(wǎng)絡(luò)安全需求，廣電總局外部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)目前相對簡單。但是，隨著信息化發(fā)展的需求，處于嚴(yán)格控管下的互聯(lián)互通將是網(wǎng)絡(luò)發(fā)展的趨勢。因此在本次設(shè)計(jì)中，我們從全網(wǎng)角度出發(fā)，關(guān)注廣電信息化建設(shè)的目標(biāo)，各廣電各業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點(diǎn)提出從防護(hù)檢測回復(fù)的完整的解決方案，而不是治標(biāo)不治本。l 集中性原則安全重在管理，所謂“三分技術(shù)，七分管理”闡述了安全的本質(zhì)。而安全管理重在集中。廣電總局的設(shè)備和主機(jī)類型較多，業(yè)務(wù)系統(tǒng)涵蓋廣電各個(gè)部門及相關(guān)機(jī)構(gòu)，業(yè)務(wù)模式相對復(fù)雜且管理機(jī)構(gòu)和管理模式也千差萬別。在全網(wǎng)安全方案的設(shè)計(jì)中，無論是安全管理制度的制定和施行，或是安全產(chǎn)品的選型和實(shí)施，還是長期安全服務(wù)方案的制定，我們都將根據(jù)集中性原則，目標(biāo)是實(shí)現(xiàn)對各設(shè)備和業(yè)務(wù)系統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應(yīng)，這些都將依賴于管理制度統(tǒng)一的、集中的制定和施行。l 層次性原則在廣電總局外部網(wǎng)絡(luò)安全方案設(shè)計(jì)中，無論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。安全問題的層次性原則集中在兩個(gè)方面： 管理模式的層次性在廣電總局外部網(wǎng)絡(luò)中，由于涉及到跨部門及機(jī)構(gòu)的人員以及地點(diǎn)，需要一種層次性的管理模式。比如，用戶管理需要分層次的授權(quán)機(jī)制；防病毒體系的病毒庫分發(fā)或報(bào)警也需要分層次機(jī)制；安全緊急響應(yīng)的流程也需要建立分層監(jiān)控，逐級響應(yīng)的機(jī)制。 防護(hù)技術(shù)的層次性層次性還表現(xiàn)在防護(hù)技術(shù)上。針對業(yè)務(wù)系統(tǒng)的防護(hù)往往有多種防護(hù)設(shè)備和手段，我們需要根據(jù)業(yè)務(wù)系統(tǒng)特點(diǎn)提出多層次防護(hù)機(jī)制，保證在外層防護(hù)被入侵失效的情況下，內(nèi)部防護(hù)層還可以起到防護(hù)作用。另一方面，各層之間的配合也是層次性原則的重要特點(diǎn)之一。l 長期性原則安全一向是一個(gè)交互的過程，使用任何一種“靜態(tài)”或者號稱“動(dòng)態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問題，所以我們針對安全問題的特點(diǎn)，提供針對廣電總局外部網(wǎng)絡(luò)全面的安全服務(wù)，其中包括設(shè)備產(chǎn)品的技術(shù)支持和服務(wù)以及安全審計(jì)、安全響應(yīng)等專業(yè)安全服務(wù)。二、 統(tǒng)一的安全防護(hù)體系在整個(gè)安全項(xiàng)目設(shè)計(jì)過程中，我們始終遵循統(tǒng)一的安全原則，從全網(wǎng)安全管理角度出發(fā)，關(guān)注于各業(yè)務(wù)系統(tǒng)的安全，目標(biāo)是為客戶建立統(tǒng)一的安全防護(hù)體系。2.1 網(wǎng)絡(luò)系統(tǒng)安全基于以上四個(gè)原則，我們?yōu)閺V電總局設(shè)計(jì)了如下的安全解決方案。下面，按照“層層設(shè)防”的安全理念，我們將從整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)開始，逐步闡述從出口鏈路到網(wǎng)絡(luò)核心交換區(qū)域、到重要業(yè)務(wù)系統(tǒng)和用戶桌面機(jī)網(wǎng)段的不同安全策略和安全產(chǎn)品的選型原則和實(shí)施建議。2.1.1 網(wǎng)絡(luò)結(jié)構(gòu)安全首先，通過如下的示意圖，我們可以更加清晰的了解本方案對廣電總局外部網(wǎng)絡(luò)的安全結(jié)構(gòu)。在經(jīng)過上述調(diào)整之后，我們可以看到，考慮到未來廣電總局將使用一條新的10m光線出口鏈路，并保留目前的一條出口鏈路作為備份鏈路，我們建議在出口接入路由器上運(yùn)行動(dòng)態(tài)路由協(xié)議，保持兩條的鏈路互為備份。在接入路由器后，利舊原有的pix520對進(jìn)出網(wǎng)絡(luò)流量進(jìn)行基礎(chǔ)安全防護(hù)。原視頻服務(wù)器與主dns服務(wù)器放置在該pix520的dmz口所在vlan，而其他業(yè)務(wù)放置在該pix520的intrust口所在vlan.。核心交換依舊是兩臺(tái)cisco 6509高性能的高端交換機(jī)，我們建議所有提供服務(wù)的主機(jī)不再直接連接在核心交換機(jī)上，以備網(wǎng)絡(luò)擴(kuò)容需要。各業(yè)務(wù)及用戶網(wǎng)段的vlan劃分在工程實(shí)施時(shí)提供詳細(xì)vlan劃分及ip地址分配原則。其次，在新的拓?fù)渲?，重要業(yè)務(wù)系統(tǒng)如web系統(tǒng)、dns/mail等公共服務(wù)器利用新增防火墻劃分更高層次的安全隔離，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級與安全隔離。任意一個(gè)網(wǎng)段對網(wǎng)絡(luò)業(yè)務(wù)的訪問都利用防火墻作了隔離，大大提高了網(wǎng)絡(luò)的安全性，在防止攻擊、病毒/蠕蟲擴(kuò)散等方面都能夠起到很大作用。第三，在原先網(wǎng)管系統(tǒng)的基礎(chǔ)上，建立新的網(wǎng)絡(luò)管理及安全管理網(wǎng)段，該網(wǎng)段集中了網(wǎng)管、審計(jì)、日志、入侵檢測及病毒管理中心等安全及網(wǎng)管主機(jī)，日常運(yùn)維中通過各類安全技術(shù)收集整網(wǎng)安全信息，提供運(yùn)維人員整網(wǎng)狀況。通過在6509上實(shí)行一定的訪問控制及安全策略，限制其他網(wǎng)段對該網(wǎng)段的非正常訪問。從而確保該網(wǎng)段的安全性。第四，在6509核心機(jī)上通過背板管理端口或端口鏡像技術(shù)將需要檢測網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對需要檢測的流量進(jìn)行不間斷的檢測和報(bào)警。2.1.2 網(wǎng)絡(luò)安全技術(shù) 防火墻系統(tǒng)如前圖所示，根據(jù)廣電總局外網(wǎng)整體安全層次的劃分需求，我們將對廣電總局外網(wǎng)劃分五個(gè)安全等級：web系統(tǒng)級、mail/備份dns級、網(wǎng)絡(luò)管理級、普通用戶級、視頻服務(wù)/主dns級。web系統(tǒng)級：安全級別最高，包含廣電總局官方網(wǎng)站主機(jī)，由于廣電總局的網(wǎng)站是整個(gè)廣電系統(tǒng)的門戶站點(diǎn)及信息發(fā)布平臺(tái)，此系統(tǒng)容易成為入侵者的首選目標(biāo)，且發(fā)生問題也會(huì)導(dǎo)致不良的政治影響，因此對這類級別的安全防護(hù)需求最高。對于這類系統(tǒng)，建議使用兩臺(tái)防火墻工作在fail-over模式下，通過在防火墻上設(shè)置嚴(yán)格的策略，對每個(gè)需要訪問業(yè)務(wù)系統(tǒng)的用戶進(jìn)行嚴(yán)格限制。mail/備份dns：安全級別僅次于web應(yīng)用系統(tǒng)，包含廣電總局的郵件應(yīng)用系統(tǒng)與備份dns系統(tǒng)。其中，郵件系統(tǒng)是廣電系統(tǒng)應(yīng)用的必不可少的一個(gè)重要業(yè)務(wù)系統(tǒng)。而dns系統(tǒng)如果受到攻擊而停止服務(wù)，也會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓，備份dns在主dns受入侵或出現(xiàn)故障時(shí)可繼續(xù)提供域名解析服務(wù)。網(wǎng)絡(luò)管理級：安全級別次于mail及備份dns系統(tǒng)，包含廣電總局外網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理系統(tǒng)，這類系統(tǒng)如果遭受入侵或干擾，將暴露整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整網(wǎng)的安全狀況。網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、配置、管理廣電總局外部網(wǎng)絡(luò)，這些系統(tǒng)擁有對網(wǎng)絡(luò)設(shè)備及主機(jī)一定的管理權(quán)限，并存貯整網(wǎng)的相關(guān)信息，所以需要對網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進(jìn)行較高級別的安全防護(hù)，由于網(wǎng)管及安全管理系統(tǒng)需要開放的端口較多，因此我們建議在網(wǎng)絡(luò)管理級前不部署防火墻系統(tǒng)，依靠主機(jī)自身安全增強(qiáng)及強(qiáng)加密認(rèn)證系統(tǒng)提高系統(tǒng)安全防護(hù)能力。普通用戶級：安全級別較管理級低，用戶為總局內(nèi)部員工，由于用戶可直接訪問internet，因此，用戶對互聯(lián)網(wǎng)的訪問行為將帶來很大的危險(xiǎn)性，我們建議將所有用戶的出口訪問都通過最外層的防火墻進(jìn)行安全策略的規(guī)范，防止由于用戶的有意或無意過時(shí)導(dǎo)致的安全隱患的發(fā)生。視頻服務(wù)/主dns級：由于視頻服務(wù)的組播技術(shù)目前的防火墻不能夠很好的支持，因此我們將視頻服務(wù)獨(dú)立出來，不提供進(jìn)一步的防火墻防護(hù)。出于防止單點(diǎn)故障的原因，我們建議將主備dns系統(tǒng)分別放置在不同vlan內(nèi)，并分別配置不同網(wǎng)段的ip地址，防止由于拒絕服務(wù)攻擊造成兩臺(tái)dns同時(shí)停止服務(wù)（注：2000年微軟公司4臺(tái)dns服務(wù)器由于其中3臺(tái)部署在一個(gè)c類地址內(nèi)，而造成該三臺(tái)dns主機(jī)同時(shí)被拒絕服務(wù)攻擊導(dǎo)致大面積主機(jī)地址無法解析）。因此，我們建議將主dns服務(wù)器至于此網(wǎng)段內(nèi)。由以上五個(gè)安全等級劃分出發(fā)。我們在對網(wǎng)絡(luò)機(jī)構(gòu)調(diào)整的基礎(chǔ)上，將利用防火墻技術(shù)對不同安全等級的系統(tǒng)進(jìn)行安全等級的劃分，不同等級之間的訪問依靠防火墻策略進(jìn)行嚴(yán)格規(guī)定，確保在防火墻規(guī)范下的網(wǎng)絡(luò)中的流量模型是包含實(shí)際業(yè)務(wù)模型的最小集合。防火墻上實(shí)施如下策略原則如下：1. 默認(rèn)關(guān)閉防火墻上的所有訪問規(guī)則2. 允許內(nèi)網(wǎng)訪問dmz口的必要服務(wù)3. 禁止dmz口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng)、外網(wǎng)到dmz的訪問4. 允許內(nèi)網(wǎng)、dmz對外網(wǎng)的訪問，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全考慮入侵檢測技術(shù)是當(dāng)今一種非常重要的動(dòng)態(tài)安全技術(shù)，與傳統(tǒng)的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。icsa入侵檢測系統(tǒng)論壇的定義即：通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象(的一種安全技術(shù))。入侵檢測技術(shù)是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一。入侵檢測技術(shù)通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實(shí)時(shí)響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)： 1. 異常發(fā)現(xiàn)技術(shù)。2. 模式發(fā)現(xiàn)技術(shù)。目前，國際頂尖的入侵檢測系統(tǒng)ids主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)?；谝韵乱蛩氐目紤]，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。1. 網(wǎng)絡(luò)的快速增長和復(fù)雜程度的提高將產(chǎn)生大量的安全隱患。我們必須及時(shí)高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。2. 廣電總局自身網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)目前雖然并不復(fù)雜，但隨著出口鏈路帶寬的提高和網(wǎng)絡(luò)規(guī)模的發(fā)展，為了進(jìn)一步的提高安全事件的即時(shí)響應(yīng)和舉證能力，必須具備某種手段對可能的有意或無意的攻擊作出檢測、告警并留下證據(jù)。3. 雖然在上述的改造方案中已經(jīng)為廣電總局外網(wǎng)部署了防火墻，對網(wǎng)段起到了一定的保護(hù)作用，但是很多攻擊手法是防火墻無法阻擋的，比如對web server的基于異常url的攻擊，具體體現(xiàn)的例子有code red、nimda等等很多。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問題之一。4. 防火墻雖然可以擋住某些攻擊，但是通常無法留下細(xì)節(jié)的攻擊記錄，這對分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測系統(tǒng)剛好可以解決這一問題。5. 為了規(guī)范廣電總局外網(wǎng)用戶對internet的訪問行為，同時(shí)提供一種對用戶訪問行為的監(jiān)控機(jī)制和與相關(guān)管理制度的執(zhí)行對照機(jī)制，依靠基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以提供一定時(shí)期內(nèi)基于用戶或基于協(xié)議的訪問統(tǒng)計(jì)數(shù)據(jù)，用來更好的檢驗(yàn)相關(guān)管理制度的執(zhí)行情況，為后期網(wǎng)絡(luò)策略的調(diào)整和規(guī)劃提供依據(jù)。在選擇入侵監(jiān)測系統(tǒng)時(shí)需要考慮的因素主要有：1. 管理模式2. 協(xié)議分析及檢測能力；3. 解碼效率(速度)；4. 自身安全的完備性；5. 精確度及完整度，防欺騙能力；6. 模式更新速度。根據(jù)廣電總局的具體網(wǎng)絡(luò)狀況，我們在廣電總局外網(wǎng)中部署一套套基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。這套入侵檢測系統(tǒng)部署在核心交換機(jī)上，（由于性能問題，原則上不對視頻點(diǎn)播系統(tǒng)進(jìn)行檢測）。檢測所有來自internet對web、mail及dns的請求和用戶對internetd的訪問情況。網(wǎng)絡(luò)ids系統(tǒng)主機(jī)都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用于接受管理中心的管理。需要在防火墻和交換機(jī)上設(shè)置相應(yīng)規(guī)則以保護(hù)入侵檢測主機(jī)。此外，在核心交換機(jī)上設(shè)置port mirror將需要檢測的vlan的流量映射到對應(yīng)的監(jiān)聽網(wǎng)卡所連接的端口。同時(shí)，在管理網(wǎng)段再配置一臺(tái)pc server，安裝入侵檢測系統(tǒng)的管理端，如果未來由于擴(kuò)容等性能問題需要增加網(wǎng)絡(luò)入侵檢測系統(tǒng)時(shí)，該管理端可做為全部入侵檢測系統(tǒng)的集中控制臺(tái)。廣電總局網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測系統(tǒng)部署拓?fù)鋱D 安全審計(jì)系統(tǒng)網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機(jī)開放服務(wù)，同時(shí)模擬黑客入侵對主機(jī)或網(wǎng)絡(luò)設(shè)備進(jìn)行偵測性刺探，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)設(shè)備的安全漏洞。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實(shí)時(shí)檢測網(wǎng)絡(luò)漏洞，另一方面，也是進(jìn)行全網(wǎng)安全審計(jì)的重要工具。我們建議在廣電總局外網(wǎng)部署網(wǎng)絡(luò)掃描軟件。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對外網(wǎng)各業(yè)務(wù)系統(tǒng)及用戶主機(jī)定期進(jìn)行掃描審計(jì)，并存貯相關(guān)審計(jì)信息。對于網(wǎng)絡(luò)掃描審計(jì)產(chǎn)品的選型，考慮如下因素：l 體系結(jié)構(gòu)：client/server結(jié)構(gòu)的掃描審計(jì)軟件具有集中管理的優(yōu)勢，利于電信環(huán)境部署及擴(kuò)展；l 攻擊模式庫數(shù)量：應(yīng)對多種攻擊模式均支持；l 軟件更新速度快；l 中文化和本地化支持；建議掃描審計(jì)軟件對全網(wǎng)主機(jī)和設(shè)備的安全審計(jì)信息均存放在管理網(wǎng)段的數(shù)據(jù)庫中，其中包括主機(jī)的操作系統(tǒng)版本、漏洞情況、patch情況等安全信息。一方面，網(wǎng)管人員可以通過這個(gè)集中安全數(shù)據(jù)庫查詢?nèi)W(wǎng)安全狀況，另一方面，在發(fā)生安全事件或緊急響應(yīng)時(shí)提供給我們和客戶迅速了解受害機(jī)情況，找到對策，減少損失。同時(shí)，掃描審計(jì)軟件應(yīng)提供相關(guān)接口，便于用戶輸入設(shè)備安全信息，也進(jìn)一步增強(qiáng)該軟件的決策支持能力。由于目前在安全掃描審計(jì)軟件中，都存在一定的安全威脅，掃描軟件中的部分攻擊模式庫存在對網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)資源的潛在危險(xiǎn)性。因此，對于掃描審計(jì)系統(tǒng)，必須在嚴(yán)格的安全代價(jià)分析和詳細(xì)的掃描模式庫選擇下進(jìn)行實(shí)施，通常對于重要的業(yè)務(wù)系統(tǒng)，要根據(jù)系統(tǒng)主機(jī)的負(fù)載情況制定不同時(shí)間段的掃描計(jì)劃，從而獲得全面的系統(tǒng)安全狀況。因此，我們建議在安全審計(jì)系統(tǒng)中，應(yīng)采用服務(wù)與產(chǎn)品相結(jié)合的方式，由專業(yè)安全服務(wù)公司制定專業(yè)的審計(jì)流程和定期的安全審計(jì)服務(wù)。， 日志分析系統(tǒng)由于全網(wǎng)存在眾多網(wǎng)絡(luò)和主機(jī)設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套日志分析系統(tǒng)用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。建議采用三級結(jié)構(gòu)的日志分析系統(tǒng)，第一級為需要記錄日志的主機(jī)或設(shè)備，該主機(jī)配置syslog日志指向日志服務(wù)器；第二級為日志服務(wù)器，負(fù)責(zé)日志接受，同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計(jì)分析；第三級為日志服務(wù)器的console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報(bào)警和監(jiān)視日志系統(tǒng)分析統(tǒng)計(jì)結(jié)果。對于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素：l 集中收集和監(jiān)控系統(tǒng)日志。l 日志收集和分析agent與console運(yùn)行在不同平臺(tái)，兩者的分離使日志分析系統(tǒng)更具有層次性結(jié)構(gòu)的特點(diǎn)，便于未來升級和集中管理。l 每秒接受日志的速度。l 日志服務(wù)器應(yīng)支持常用數(shù)據(jù)庫，可將日志信息存儲(chǔ)在數(shù)據(jù)庫中。l 持多種設(shè)備類型及數(shù)量，是否支持標(biāo)準(zhǔn)syslog協(xié)議。l 是否提供二次開發(fā)接口。2.1.3 防病毒體系對于廣電總局來說數(shù)據(jù)的安全是最重要的，而病毒是對數(shù)據(jù)造成嚴(yán)重威脅的主要因素之一。然而保護(hù)網(wǎng)絡(luò)免受愈演愈烈的計(jì)算機(jī)病毒威脅已不是一件簡單的事情。目前已知的計(jì)算機(jī)病毒超過20，000種，并且每月發(fā)現(xiàn)的新病毒超過300種，即每天都有10余種新病毒出現(xiàn)。很多事實(shí)表明，病毒比其他安全威脅造成的經(jīng)濟(jì)損失都大的多。從cih到code red，以及最近的nimda計(jì)算機(jī)病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負(fù)荷量過重等問題，凸顯出網(wǎng)絡(luò)安全防病毒機(jī)制的迫切需求。傳統(tǒng)的防病毒策略往往只注重桌面平臺(tái)的病毒防范，就像目前廣電總局內(nèi)部曾經(jīng)購買的瑞星防病毒單機(jī)版。這樣雖然可以保證桌面平臺(tái)避免病毒的威脅，但沒有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播，無法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過載等這類嚴(yán)重威脅網(wǎng)絡(luò)正常服務(wù)的問題。隨著分布式網(wǎng)絡(luò)計(jì)算、文檔駐留宏、群件等新技術(shù)的出現(xiàn)以及網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)早已經(jīng)成為病毒的主要傳播途徑。網(wǎng)絡(luò)的脆弱性成倍增加，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)已不再是簡單的在客戶機(jī)上安裝桌面病毒掃描程序就可以解決的問題了。面對當(dāng)前的網(wǎng)絡(luò)安全形勢，我們迫切需要一套單一、集中、全面的防病毒解決方案。在防病毒產(chǎn)品的選型上，我們認(rèn)為一個(gè)成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點(diǎn)：l 先進(jìn)的體系結(jié)構(gòu)設(shè)計(jì)l 先進(jìn)的防殺病毒技術(shù)l 能夠在線實(shí)時(shí)查殺病毒l 準(zhǔn)確無誤的報(bào)警功能l 及時(shí)、方便地更新病毒定義代碼l 快速、有效地處理未知病毒l 多平臺(tái)的支持l 功能強(qiáng)大的控制臺(tái)，便于管理與維護(hù)而針對網(wǎng)絡(luò)這個(gè)層次而設(shè)計(jì)的防病毒產(chǎn)品，我們認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)病毒監(jiān)控、支持病毒有效地隔離。針對目前世界上主流的病毒產(chǎn)品和國內(nèi)知名的病毒產(chǎn)品，包括mcafee virusscan、norton antivirus、kill系列、vrv、trendmicro interscan等產(chǎn)品，應(yīng)從綜合評估，包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源的占用、掃描病毒的方式、處置病毒的方式、日志的管理、病毒庫的及時(shí)更新以及各公司的技術(shù)實(shí)力和對廣電總局外網(wǎng)的實(shí)用性等方面考慮。建立全方位、多層次的、整體的網(wǎng)絡(luò)防病毒解決方案。2.2 業(yè)務(wù)系統(tǒng)安全2.2.1 web業(yè)務(wù)的安全www子系統(tǒng)是廣電總局的一個(gè)重要應(yīng)用，一般情況下，web server主要用來向用戶提供公開的信息服務(wù)，也是總局對外宣傳、開展業(yè)務(wù)的重要基地，web server作為internet用戶訪問公司內(nèi)部資源的通道之一，其被發(fā)現(xiàn)的安全漏洞越來越多。為了防止web服務(wù)器成為攻擊的犧牲品或成為進(jìn)入廣電總局外網(wǎng)的跳板，我們需要給予更多的關(guān)心。我們可以采用如下幾種手段保護(hù)：l 將web服務(wù)器置于防火墻保護(hù)之下。 通過設(shè)置防火墻，可以有效的控制允許外界訪問的服務(wù)端口，減少安全風(fēng)險(xiǎn)。本次建議將其部署在第二層防火墻的intrust區(qū)。l 在通往web服務(wù)器的網(wǎng)絡(luò)路徑上安裝基于網(wǎng)絡(luò)的實(shí)時(shí)入侵監(jiān)控系統(tǒng)。l 利用日志系統(tǒng)經(jīng)常審查web服務(wù)器配置情況及運(yùn)行日志。確保web服務(wù)器不會(huì)因?yàn)殄e(cuò)誤配置導(dǎo)致安全問題，例如泄漏系統(tǒng)文件或者目錄列表等等。運(yùn)行日志中可能會(huì)包含入侵者的入侵探測痕跡，例如cgi掃描等等。l 運(yùn)行新的應(yīng)用前，先進(jìn)行安全測試。在安裝新的應(yīng)用時(shí)，需要確保使用最新的版本，如果不能這樣，也應(yīng)當(dāng)保證安裝了該軟件的最新補(bǔ)丁。如果是自己開發(fā)的應(yīng)用，更需要嚴(yán)格進(jìn)行源代碼審計(jì)，確保沒有嚴(yán)重安全問題。l 認(rèn)證過程采用加密通訊(例如ssl)或使用x509證書模式。l 小心設(shè)置web服務(wù)器的訪問控制表。只允許指定或者可信任的主機(jī)登錄www服務(wù)器。l 全面檢查www服務(wù)器中的cgi程序，降低由cgi帶來的安全風(fēng)險(xiǎn)，同時(shí)要提高程序開發(fā)人員的安全意識(shí)對廣電總局而言，web server將用來作為重要數(shù)據(jù)發(fā)布的窗口。也是威脅的主要來源，我們建議將其與發(fā)布數(shù)據(jù)庫放在防火墻的intrust區(qū)，并實(shí)施基于網(wǎng)絡(luò)的入侵檢測。當(dāng)然www主機(jī)本身需要專門的安全工程師作安全審計(jì)和加固服務(wù)。依靠專業(yè)的安全服務(wù)，對web系統(tǒng)(包括各種unix系統(tǒng)以及windows nt/2000)的www服務(wù)器都有進(jìn)行安全配置，最大限度的增強(qiáng)主機(jī)系統(tǒng)的安全性。2.2.2 mail系統(tǒng)的安全廣電總局的電子郵件系統(tǒng)主要用于內(nèi)部員工與外界進(jìn)行信息聯(lián)絡(luò)，是網(wǎng)絡(luò)與外部必須開放的服務(wù)系統(tǒng)，雖然流量不大，但是對可用性要求是很高，而且很有可能成為攻擊者的跳板和入口。加強(qiáng)電子郵件系統(tǒng)的安全性，我們提出如下辦法：l 將電子郵件服務(wù)器置于第二層防火墻的dmz區(qū)，和內(nèi)外網(wǎng)都實(shí)現(xiàn)有效的隔離，防治黑客利用此主機(jī)作為攻擊的跳板。l 為該郵件服務(wù)器實(shí)施主機(jī)安全增強(qiáng)服務(wù)，消除操作系統(tǒng)自身的安全漏洞。l 要求軟件供應(yīng)商升級到最新的安全版本。l 由于目前的垃圾郵件是主要的病毒傳播和拒絕服務(wù)攻擊手段，因此，我們建議對廣電總局的郵件系統(tǒng)實(shí)施防垃圾郵件措施。具體措施考慮如下原則：n 跟蹤技術(shù)按照rfc 822規(guī)范，每個(gè)郵件服務(wù)器會(huì)將其客戶端的地址信息和自己的信息加入到信頭的received字段中，這樣所有的received字段合起來就可以顯示郵件傳輸?shù)穆窂?。垃圾郵件的發(fā)件人無論通過何種技術(shù)，都無法隱藏其來源地址。如果是動(dòng)態(tài)的地址，可以通過聯(lián)系發(fā)件人使用的第一個(gè)smtp服務(wù)器的管理員來協(xié)同解決問題。n 垃圾郵件識(shí)別垃圾郵件識(shí)別是一個(gè)比較復(fù)雜的問題。目前還沒有一個(gè)比較全面的方法去識(shí)別。通?？梢酝ㄟ^模式識(shí)別來進(jìn)行?？梢圆捎玫姆椒ㄓ校簂 通過received行來判斷是否是垃圾郵件發(fā)送者；l 通過群發(fā)軟件在信頭中插入的標(biāo)記來識(shí)別；l 通過垃圾郵件發(fā)件人不當(dāng)?shù)脑O(shè)置而在郵件中留下的標(biāo)記來識(shí)別；l 通過標(biāo)題或郵件內(nèi)容里的模式或關(guān)鍵字來識(shí)別；常用的群發(fā)郵件程序，包括diffondicool、flashsend等，在其生成的郵件中都包含了特定的標(biāo)記；而很多垃圾郵件發(fā)送程序使用mimeole來進(jìn)行。垃圾郵件識(shí)別是動(dòng)態(tài)的過程，要不斷地更新模式庫才可以阻止大部分的垃圾郵件。n 收件人數(shù)量限制對收件人數(shù)量進(jìn)行限制可以有效降低垃圾郵件。有兩種做法：限速或中止。限速的做法是服務(wù)器接收到超過限制數(shù)量的收件人地址后，不做響應(yīng)，插入很長時(shí)間的等待（例如5秒），然后再響應(yīng)，這個(gè)等待是可配置的；如果收件人數(shù)量非常多，每增加一個(gè)收件人，會(huì)插入同樣的等待時(shí)間甚至遞增的等待時(shí)間，最后，垃圾郵件發(fā)送者會(huì)因?yàn)樗俣忍Ｊ?；中止的做法是在服?wù)器接收到超過限制數(shù)量的收件人地址后，立刻返回錯(cuò)誤信息，并中止連接。這種方法會(huì)導(dǎo)致垃圾郵件發(fā)送程序立刻連接，而導(dǎo)致系統(tǒng)忙于應(yīng)付不停的連接、中止操作中；而限制如果過低，會(huì)影響正常的工作，限制過高，可以調(diào)整垃圾郵件發(fā)送程序另外，也可以實(shí)現(xiàn)限速中止，就是說服務(wù)器在接收到超過限制數(shù)量的收件人地址后，等待較長時(shí)間然后中止。n 速率限制對發(fā)郵件的速率進(jìn)行限制，通常是對每連接可以發(fā)送的郵件的限制。限制方法與收件人數(shù)量限制類似。n 實(shí)時(shí)黑名單實(shí)時(shí)黑名單（realtime blackhole list，簡稱rbl）是建立于dns系統(tǒng)上的黑名單系統(tǒng)。maps（mail abuse preventing system） rbl是一個(gè)動(dòng)態(tài)維護(hù)的系統(tǒng)，它將確認(rèn)為垃圾ip地址放在dns記錄中，供smtp服務(wù)器進(jìn)行查詢。例如，如果ip地址為的ip被確認(rèn)為是垃圾郵件的來源，rbl查詢域?yàn)?，則可以查詢到記錄：.. in a 如果一個(gè)smtp客戶連接上來，可以通過檢查其ip地址是否有相應(yīng)記錄在rbl中來確認(rèn)它是否是垃圾郵件來源。需要注意的是，國內(nèi)不少著名的大型免費(fèi)郵件提供商的服務(wù)器都被列入過rbl，所以采用rbl時(shí)要確認(rèn)是否有必要，和估計(jì)相應(yīng)的風(fēng)險(xiǎn)。2.2.3 dns業(yè)務(wù)的安全廣電總局外網(wǎng)擁有兩臺(tái)dns主機(jī)，負(fù)責(zé)對內(nèi)外網(wǎng)的域名查詢?nèi)蝿?wù)。dns系統(tǒng)的安全威脅主要來自以下幾個(gè)方面：n 監(jiān)聽向dns server發(fā)的查詢id，實(shí)現(xiàn)欺騙攻擊；n 針對dns服務(wù)器鏈缺陷的報(bào)文放大技術(shù)，使一個(gè)主機(jī)的帶寬消耗殆盡的dns smurf 攻擊；n 域名劫持(這一攻擊用于在有make changes功能注冊域名的公司)；n bind存在的遠(yuǎn)程緩沖區(qū)溢出的漏洞；n 非法區(qū)域傳輸問題；因此，對于廣電總局外網(wǎng)的dns系統(tǒng)的安全，我們有如下建議：1. 將貯備dns服務(wù)器置于不同ip地址段內(nèi)，防止由于拒絕服務(wù)的攻擊造成dns停止服務(wù)。2. 通過將其部署在防火墻內(nèi)，限制用戶對該業(yè)務(wù)主機(jī)其他服務(wù)的訪問，只開啟dns服務(wù)端口（53）和相關(guān)管理端口（22，23等）。3. 依靠入侵檢測系統(tǒng)及日志分析系統(tǒng)對該業(yè)務(wù)主機(jī)進(jìn)行詳細(xì)的訪問記錄審核，并保留相關(guān)記錄。4. 對于操作系統(tǒng)，建議實(shí)施專業(yè)的saloris安全增強(qiáng)服務(wù)，優(yōu)化系統(tǒng)主機(jī)性能，強(qiáng)化主機(jī)的安全性。5. 日常運(yùn)維及管理用戶通過一次性口令集中認(rèn)證訪問系統(tǒng)，確保密碼的安全性，以及指令的安全性。目前，廣電總局外網(wǎng)的dns采用的bind，該軟件自身存在多種安全隱患，建議實(shí)施dns系統(tǒng)的專業(yè)安全增強(qiáng)，確保dns業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，具體內(nèi)容可參考如下：1. 限制域傳輸2. 配置主備服務(wù)器間認(rèn)證3. 防止dns欺騙4. 禁止轉(zhuǎn)發(fā)查詢5. 設(shè)置allow query6. 設(shè)置重試查詢次數(shù)2.3 信息安全管理中心全網(wǎng)安全管理中心的建立對于廣電總局全網(wǎng)安全有著非常大的意義，通過安全中心可以動(dòng)態(tài)了解和控制全網(wǎng)安全狀況。一方面針對全網(wǎng)的安全設(shè)備進(jìn)行集中管理，另一方面，可以利用集中管理軟件收集全網(wǎng)網(wǎng)絡(luò)和主機(jī)安全信息，用于安全分析和統(tǒng)計(jì)，進(jìn)而對全網(wǎng)安全進(jìn)行決策和支持。我們建議該安全管理中心分為安全決策支持中心和安全設(shè)備管理中心。安全管理中心的實(shí)施拓?fù)淙缦聢D所示：安全管理中心實(shí)施拓?fù)?.3.1 安全決策支持中心安全決策支持中心實(shí)際上是一個(gè)由專業(yè)安全專家、客戶安全人員、安全知識(shí)庫、安全信息中心軟件系統(tǒng)以及專業(yè)安全服務(wù)共同構(gòu)成的一個(gè)常備安全機(jī)構(gòu)。其中安全知識(shí)庫主要由專業(yè)公司提供的安全信息發(fā)布服務(wù)提供。而安全信息中心軟件系統(tǒng)包括了安全管理中心內(nèi)的安全審計(jì)軟件和日志分析軟件兩大部分。 安全審計(jì)中心目前掃描軟件包括網(wǎng)絡(luò)型掃描器，主機(jī)型掃描器和數(shù)據(jù)庫掃描器。一方面由于主機(jī)型掃描器和數(shù)據(jù)庫掃描器在使用中對系統(tǒng)資源占用較高，另一方面，這些掃描器的性價(jià)比較低，所以不推薦使用。網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機(jī)開放服務(wù)，同時(shí)模擬黑客入侵對主機(jī)或網(wǎng)絡(luò)設(shè)備進(jìn)行偵測性刺探，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)設(shè)備的安全漏洞。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實(shí)時(shí)檢測網(wǎng)絡(luò)漏洞，另一方面，也是進(jìn)行全網(wǎng)安全審計(jì)的重要工具。 日志分析中心日志中心用于全網(wǎng)設(shè)備和主機(jī)日志的收集和分析，避免了分散日志的安全性，增加了安全事件的事后可跟蹤性；2.3.2 安全設(shè)備管理中心安全設(shè)備中心包括ids管理中心、防病毒管理中心、一次性口令集中認(rèn)證系統(tǒng)、日志管理中心和審計(jì)中心控制臺(tái)。l ids管理中心用于網(wǎng)絡(luò)型ids的策略控制和監(jiān)控，報(bào)警信息將會(huì)在控制臺(tái)上顯示或報(bào)警；l 防病毒管理中心用于防病毒系統(tǒng)的管理和控制；l 日志管理中心控制臺(tái)和審計(jì)中心控制臺(tái)分別是日志分析中心和安全審計(jì)中心的console端軟件，可以實(shí)現(xiàn)對這兩套軟件系統(tǒng)的遠(yuǎn)程控制和管理。安全設(shè)備管理中心，是“集中管理”思想的具體體現(xiàn)。通過一套或幾套部署在同一地點(diǎn)的安全管理軟件，集中的實(shí)現(xiàn)對多個(gè)節(jié)點(diǎn)的多套安全工具集中的管控，極大的節(jié)約了人力資源，提高了管理效率，對降低企業(yè)安全系統(tǒng)的tco（總體擁有成本）有很大效果。三、 運(yùn)維管理及培訓(xùn)方案任何用于主機(jī)安全或是網(wǎng)絡(luò)安全的技術(shù)解決方案都必須依賴安全管理規(guī)范的支持，而安全管理貫穿在整個(gè)網(wǎng)絡(luò)運(yùn)維之中的?，斮愒陂L期大量的安全工程的安全設(shè)計(jì)和實(shí)施中，積累了大量運(yùn)維工作的安全管理經(jīng)驗(yàn)，瑪賽愿意與廣電總局安全運(yùn)維部門一起分享這些經(jīng)驗(yàn)。結(jié)合目前廣電總局業(yè)務(wù)特點(diǎn)，我們將從安全風(fēng)險(xiǎn)管理，物理安全管理，邏輯安全管理和日常安全管理四個(gè)方面闡述安全管理方案。3.1 安全風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)管理是確定適當(dāng)?shù)陌踩胧┑闹匾襟E。風(fēng)險(xiǎn)管理對于如何提供安全性，在那些方面提供安全性以及所應(yīng)采取的安全控制的類型和力度等方面都有著重要意義。在廣電總局安全運(yùn)維中，需要通過安全風(fēng)險(xiǎn)管理提供網(wǎng)絡(luò)中的安全關(guān)鍵點(diǎn)。下面我們首先將針對廣電總局進(jìn)行安全風(fēng)險(xiǎn)評估，以確定什么是廣電總局的關(guān)鍵資產(chǎn)，對這些關(guān)鍵資產(chǎn)進(jìn)行評估以及確定對這些資產(chǎn)出現(xiàn)破壞的可能性。結(jié)合廣電總局的目前運(yùn)維情況，我們認(rèn)為整個(gè)網(wǎng)絡(luò)中比較關(guān)鍵的資產(chǎn)如下表所示：資產(chǎn)說明核心交換機(jī)廣電總局外網(wǎng)所用的核心交換機(jī)防火墻廣電總局所用的防火墻接入路由器承擔(dān)廣電總局外網(wǎng)internet接入的接入路由器web業(yè)務(wù)承擔(dān)廣電總局web服務(wù)的主機(jī)mail業(yè)務(wù)提供廣電總局內(nèi)部工作人員使用的mail業(yè)務(wù)dns業(yè)務(wù)提供互聯(lián)網(wǎng)用戶及廣電總局內(nèi)部工作人員的dns業(yè)務(wù)用戶資源廣電總局目前的用戶群管理人員廣電總局擔(dān)負(fù)網(wǎng)絡(luò)運(yùn)維的人員這里只列出了廣電總局外網(wǎng)中一部分最重要的資產(chǎn)，而在長期的安全管理中，需要全局統(tǒng)籌管理，隨著業(yè)務(wù)系統(tǒng)的不斷變化，及時(shí)更新關(guān)鍵資產(chǎn)的定義，以保證處理操作的一致性和便于資產(chǎn)評估。在確定了廣電總局中重要資產(chǎn)后，就需要對這些資產(chǎn)評定價(jià)值，一般而言，我們需要對有形資產(chǎn)如路由器等設(shè)備，及其無形資產(chǎn)如數(shù)據(jù)庫的數(shù)據(jù)等，進(jìn)行資產(chǎn)價(jià)值評估。無形資產(chǎn)一般可以用重要程度或關(guān)鍵程度評判其價(jià)值。有形資產(chǎn)可以根據(jù)更新價(jià)值或關(guān)鍵程度等因素進(jìn)行評判?？紤]到實(shí)際需求，我們用不同的關(guān)鍵程度等級來劃分?jǐn)?shù)據(jù)類別來評定廣電總局外網(wǎng)資產(chǎn)價(jià)值。資產(chǎn)關(guān)鍵程度資產(chǎn)高核心交換機(jī)高防火墻中接入路由器高oa業(yè)務(wù)中公共服務(wù)網(wǎng)段高應(yīng)用服務(wù)器網(wǎng)段高用戶資源中下面我們將關(guān)注于出現(xiàn)破壞廣電總局安全的可能性。網(wǎng)絡(luò)的脆弱性表現(xiàn)在網(wǎng)絡(luò)中存在的可能被威脅利用的缺陷，如：可能發(fā)生外部人員的猜出口令而對網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)訪問的事件等。對于廣電總局網(wǎng)絡(luò)中關(guān)鍵資源，威脅有如下一些形式：l 竊取或破壞風(fēng)險(xiǎn)管理需要為廣電總局建立一套不同類型的敏感數(shù)據(jù)存儲(chǔ)在哪里、數(shù)據(jù)如何存儲(chǔ)以及誰有權(quán)訪問不同類型數(shù)據(jù)的的列表，該列表包涵了廣電總局中最有價(jià)值信息，通過該列表可以對這些數(shù)據(jù)進(jìn)行簡單的風(fēng)險(xiǎn)計(jì)算。在廣電總局中，oa信息、路由配置和安全日志等這些數(shù)據(jù)是需要安全風(fēng)險(xiǎn)管理關(guān)注的關(guān)鍵數(shù)據(jù)，在運(yùn)維中需要為這些數(shù)據(jù)提供安全管理策略，例如：l 如何進(jìn)行備份l 備份文件存儲(chǔ)在何處l 如何對數(shù)據(jù)進(jìn)行物理保護(hù)l 誰有權(quán)訪問存儲(chǔ)數(shù)據(jù)的介質(zhì)l 數(shù)據(jù)完整性遭到破壞后的恢復(fù)措施l 網(wǎng)絡(luò)資源不可用風(fēng)險(xiǎn)管理將包含確定那些網(wǎng)絡(luò)資源會(huì)受威脅及其所造成的損失。在廣電總局網(wǎng)絡(luò)結(jié)構(gòu)中，業(yè)務(wù)系統(tǒng)的交換機(jī)和接入設(shè)備都是重要的網(wǎng)絡(luò)資源，這些資源由于設(shè)備失效、自然行為（如水災(zāi)、火災(zāi)和電擊等）、系統(tǒng)升級、錯(cuò)誤配置以及ddos攻擊等威脅，會(huì)造成商業(yè)上的極大損失，我們將根據(jù)這些威脅和商業(yè)損失上的考慮，給定這些資源的相對風(fēng)險(xiǎn)，同時(shí)也將給出保證這些資源可用的安全策略。l 業(yè)務(wù)資源不可用與網(wǎng)絡(luò)資源不可用類似，廣電總局的業(yè)務(wù)資源，如oa系統(tǒng)、dns系統(tǒng)、等，都會(huì)由于某些威脅，造成系統(tǒng)不可用，我們需要給出這些資源的風(fēng)險(xiǎn)評估。以下給出一個(gè)簡單針對oa系統(tǒng)和dns系統(tǒng)的計(jì)算風(fēng)險(xiǎn)例子：威脅的可能性（t）期望的損失值（l）風(fēng)險(xiǎn)（tl）1不太可能1低損失1，2低風(fēng)險(xiǎn)2大概可能2中等損失3，4中等風(fēng)險(xiǎn)3非?？赡?嚴(yán)重?fù)p失69高風(fēng)險(xiǎn)資源名稱所受威脅tl風(fēng)險(xiǎn)oa系統(tǒng)數(shù)據(jù)被竊取、篡改，dos攻擊等236-高dns系統(tǒng)非授權(quán)訪問，dos攻擊等224-中通過這樣的風(fēng)險(xiǎn)計(jì)算，就可以大致了解整個(gè)系統(tǒng)安全高風(fēng)險(xiǎn)的部位，這樣就可以有的放矢，針對高風(fēng)險(xiǎn)段采取針對性措施進(jìn)行防護(hù)。當(dāng)在廣電總局所有風(fēng)險(xiǎn)評定完畢后，就需要廣電總局網(wǎng)絡(luò)部門進(jìn)一步確定廣電總局能夠接受多高的風(fēng)險(xiǎn)，以及資產(chǎn)需要保護(hù)到什么程度。風(fēng)險(xiǎn)緩解是選擇適當(dāng)?shù)目刂品绞綄L(fēng)險(xiǎn)降低到可接受水平的過程。通過把暴露安全漏洞所帶來的風(fēng)險(xiǎn)和實(shí)施及強(qiáng)制執(zhí)行安全策略所需要的費(fèi)用進(jìn)行比較，就可以確定廣電總局可接受的風(fēng)險(xiǎn)水平。如對于辦公pc網(wǎng)絡(luò)之上的cisco 交換機(jī)，我們就不值得花錢制定嚴(yán)格的安全策略保護(hù)它們。再如：針對dns服務(wù)器系統(tǒng)的威脅，我們只要提供防火墻設(shè)備對進(jìn)出該網(wǎng)段的訪問進(jìn)行過濾并提供基本的入侵檢測即可，而不需要花費(fèi)太多額外的資源去保護(hù)該業(yè)務(wù)系統(tǒng)。我們建議與廣電總局網(wǎng)絡(luò)部門協(xié)作，每個(gè)季度對整網(wǎng)實(shí)施一次專業(yè)的安全風(fēng)險(xiǎn)評估，在風(fēng)險(xiǎn)評估的基礎(chǔ)上提出進(jìn)一步的安全解決方案，從風(fēng)險(xiǎn)管理的角度為合理分配資源、進(jìn)一步制定安全策略提供重要依據(jù)。3.2 物理安全管理物理安全一直是安全領(lǐng)域重要一環(huán)。在系統(tǒng)中，物理安全主要體現(xiàn)在針對物理基礎(chǔ)設(shè)施、物理設(shè)備和物理訪問的控制，在廣電總局環(huán)境中，全網(wǎng)物理安全主要通過機(jī)房物理安全來體現(xiàn)。我們將針對廣電總局網(wǎng)絡(luò)系統(tǒng)提供一些機(jī)房管理制度建議，同時(shí)在全網(wǎng)運(yùn)維過程中與廣電總局運(yùn)維部門協(xié)作不斷完善這些制度。l 機(jī)房參觀訪問制度該制度將從參觀介紹人和參觀對象、參觀申請及審批、參觀批次和人數(shù)、機(jī)房參觀流程、參觀級別定義及其資料管理等方面，為廣電總局在運(yùn)維過程中的客戶參觀提供安全管理依據(jù)。l 機(jī)房施工管理制度我們結(jié)合以前項(xiàng)目中安全管理的經(jīng)驗(yàn)，為廣電總局制定了如下的機(jī)房施工管理制度，廣電總局運(yùn)維部門也可以結(jié)合各機(jī)房情況改進(jìn)該管理制度，以求充分切合實(shí)際。l 運(yùn)維值班管理制度值班管理制度是機(jī)房管理制度中較為核心的內(nèi)容，我們將配合廣電總局網(wǎng)絡(luò)部門從值班基本守則、值班工作內(nèi)容、值班中常見問題處理等多方面提供運(yùn)維值班管理建議。l 運(yùn)維故障處理制度為保證廣電總局網(wǎng)絡(luò)的安全運(yùn)行，保障全網(wǎng)的服務(wù)質(zhì)量，我們?yōu)閺V電總局提供運(yùn)維故障處理的建議。建議將從故障發(fā)現(xiàn)、故障處理流程、故障級別、故障匯報(bào)和故障報(bào)告等多方面提供全網(wǎng)運(yùn)維故障處理解決的方法。如下為我們?yōu)閺V電總局設(shè)計(jì)的故障報(bào)告的一個(gè)簡要格式：l 其他運(yùn)維管理制度針對廣電總局運(yùn)維實(shí)際，我們從設(shè)備使用管理、設(shè)備文檔管理等方面提供設(shè)備檔案管理制度的建議，同時(shí)也提供了關(guān)于設(shè)備配置更改制度的一些想法。針對某些災(zāi)難（電力、空調(diào)、水力，火災(zāi)），提供了相應(yīng)的機(jī)房災(zāi)難應(yīng)急措施。良好的物理安全是保證整個(gè)系統(tǒng)安全的重要部分，廣電總局機(jī)房管理制度的發(fā)展與完善需要廣電總局運(yùn)維部門和專業(yè)安全服務(wù)商密切協(xié)作，在長期的運(yùn)維中得到加強(qiáng)。3.3 邏輯安全管理邏輯安全管理進(jìn)一步從技術(shù)層面建立一些安全管理制度，諸如用戶管理、口令管理、網(wǎng)絡(luò)設(shè)備安全管理和主機(jī)系統(tǒng)安全管理的制度。就用戶管理而言，我們建議對廣電總局設(shè)備或是網(wǎng)段的訪問必須明確限制到需要訪問的個(gè)人，我們采取兩種管理措施：預(yù)防性管理和探測性管理。預(yù)防性管理，用于識(shí)別每個(gè)授權(quán)用戶并拒絕非授權(quán)用戶的訪問。探測性管理，用于記錄和報(bào)告授權(quán)用戶的行為，以及記錄和報(bào)告非授權(quán)訪問或?qū)ο到y(tǒng)、程序和數(shù)據(jù)的訪問企圖。在廣電總局進(jìn)行訪問控制管理時(shí)，我們建議對各網(wǎng)絡(luò)設(shè)備控制臺(tái)的訪問分別分配一個(gè)用戶口令，而對網(wǎng)絡(luò)設(shè)備的邏輯訪問分別采用另一個(gè)用戶口令。對業(yè)務(wù)系統(tǒng)的訪問控制，建議每個(gè)業(yè)務(wù)系統(tǒng)獨(dú)立分配相應(yīng)的用戶。對傳統(tǒng)傳統(tǒng)口令用戶，有以下建議：l 選擇不容易被猜到的口令；l 在安裝完新的網(wǎng)絡(luò)基礎(chǔ)設(shè)備后盡快修改默認(rèn)口令，不要忘記修改控制臺(tái)訪問口令和用于維護(hù)目的的口令；l 盡可能限制對口令的訪問，盡可能利用某些產(chǎn)品提供的對配置文件口令加密的功能；l 制定指導(dǎo)方針，要求用戶多長時(shí)間必須更改口令。建議至少在危及到特權(quán)帳戶的安全或發(fā)生重大人事變動(dòng)時(shí)必須更換口令；在口令選擇方面，有以下基本原則：l 不要使用登錄名，不管以何種形式（如原樣或顛倒、大寫和重復(fù)等）l 不要用名字的第一個(gè)、中間一個(gè)或最后一個(gè)字（不管是現(xiàn)用名還是曾用名）l 不要用最親近的家人的名字（包括配偶、子女、父母和寵物）l 不要用其他任何容易得到的關(guān)于你的信息l 不要使用純數(shù)字或完全同一個(gè)字母組成的口令l 不要使用在英文字典中的單詞l 不要使用短于6位的口令l 不要將口令告訴任何人l 不要將口令電子郵件給任何人l 如果可能，應(yīng)該使用大小寫混合的字母l 使用包括非字母字符的口令l 使用容易記的口令，這樣就不必將它寫下來l 使用不用看鍵盤就可以很快鍵出的口令針對網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的安全管理，除了用戶身份的驗(yàn)證和認(rèn)證管理之外，則更多的注