民航管理局內(nèi)部網(wǎng)絡(luò)安全解決方案

RevisedbyHanlinon10January2021方案InternetIntranet將越網(wǎng)絡(luò)系統(tǒng)在整個社會中扮演的角色將越來越重要，也將使變得越來越突出。如果我們不采取堅決有效的安全控制措將如同目前的計算機病毒那樣泛濫成災(zāi)。特別是當(dāng)前還有的瘋狂攻擊，而郵政部門作為我國一個重要的國家機構(gòu)之感信息和國家的一些機密信息，是犯罪分子首要攻擊的對須從現(xiàn)在做起，將安全控制當(dāng)作一項綜合系統(tǒng)工程來看待某民航管理局(以下簡稱：管理局)是全國民航管理的重要組成部分，其內(nèi)部網(wǎng)管理信息，其中包括許多民航管理政策、公文甚至秘密全國民航管理局的安全。在管理局領(lǐng)導(dǎo)的關(guān)心下，其網(wǎng)著網(wǎng)絡(luò)信息系統(tǒng)的不斷壯大、業(yè)務(wù)的不斷增多，系統(tǒng)安重要，管理局的領(lǐng)導(dǎo)也十分重視，目前已經(jīng)成為其重要多種多樣、應(yīng)用系統(tǒng)很多，這些都造成了在很多的安全漏洞，而即使是一些對漏洞的修補兩個工作區(qū)100余臺機器，未來將要開通四達(dá)到600至700臺，除此之外還包括若干交換機、路由器管理局內(nèi)部網(wǎng)絡(luò)系統(tǒng)中涉及的信息資源主要包括：公文(這其中可能有涉及國家秘密的信息)、航空安全信息(這其中可能有涉及商業(yè)秘密的信息)、其它業(yè)務(wù)信息包括未來可能開通的系統(tǒng)(這其中可能也有涉及商業(yè)秘密的信息)、除了上安全敏感程度較低，但其中WEB服務(wù)器上的網(wǎng)站信息雖然安求的可用性較高，因此在安全方案中應(yīng)對它做適當(dāng)安全保護(hù)。統(tǒng)結(jié)構(gòu)如圖1.所示，它們管理著西南地區(qū)四省一市的地域，對上通過FR(PVC)與民航管理總局相連，對下西南地區(qū)四省一市的民航管理制。

絡(luò)、應(yīng)用和內(nèi)部管理，我們認(rèn)為網(wǎng)絡(luò)系統(tǒng)措施，網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)沒有作到必要的安全性，系法訪問甚至是黑客和病毒的入侵，造成網(wǎng)絡(luò)系統(tǒng)的癱瘓；數(shù)據(jù)在網(wǎng)絡(luò)(局域網(wǎng)或廣域)上傳輸，可能被截取、篡改、假冒；遠(yuǎn)權(quán)的用戶入侵；當(dāng)網(wǎng)絡(luò)受到攻擊時，缺乏必要的防范措施為TCP/IP，而TCP/IP網(wǎng)絡(luò)協(xié)議并非專為安來自對物理通路的損壞、物理通路的竊聽、對物理通路保護(hù)以。非屏蔽5類雙絞線，廣域網(wǎng)則是PVC線路，因此脅路由正確測和監(jiān)控的手段來防范、劃分VLAN(局域網(wǎng))、加密通訊(廣域網(wǎng))等手段來進(jìn)行防范。

局網(wǎng)之間缺乏有效的網(wǎng)絡(luò)邊界保護(hù)措施和集中的訪問控制

TCPIP缺乏安全性。在通訊中未采取加密措施和嚴(yán)格的認(rèn)證的安全威脅SERVER好采用安全的操作系統(tǒng)和安全數(shù)據(jù)庫管理系統(tǒng)或這類產(chǎn)必要采取其它手段加強這方面的安全性能，目安全威脅包括建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如文件傳輸最終目的是為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計和用各種基于PKI的技術(shù)、加密技術(shù)、防火墻技術(shù)等等來

用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且

于普通的電子郵件系統(tǒng)，管理也不是，很容易造成泄密和數(shù)據(jù)丟失。而作為民航管理局單位漏洞威脅統(tǒng)雖然采用了很先進(jìn)和嚴(yán)密的安全技術(shù)措施，但是由于管理員疏忽，對安全策略設(shè)置不嚴(yán)密、管理制度不健全隨著時間推移出現(xiàn)新的攻擊方式網(wǎng)絡(luò)系統(tǒng)發(fā)生變化都可能給網(wǎng)絡(luò)系統(tǒng)帶來新的漏洞，因員要有極強的責(zé)任心加強對系統(tǒng)安全管理，我們認(rèn)為安資效益被保護(hù)對象的價值與保護(hù)成本之間的平衡性要求我們面該實施，那些方面由于成本太高或者目前技術(shù)不成這就要求設(shè)計人員必須做出取舍，必須遵循下述原則益始終放在第包括利用現(xiàn)有設(shè)備)，使幅度提升其信息系統(tǒng)安全強度，達(dá)到為用戶節(jié)約系統(tǒng)要進(jìn)行安全防護(hù)的實際對象來實施安全性，防止出現(xiàn)的安全措施導(dǎo)致性能下降或使用起來麻煩。所以要真以考慮，即便在本期工程中某些安全措施暫要對已經(jīng)實施的系統(tǒng)做出恰當(dāng)評估，從整個系統(tǒng)的安全安全隱患，或者隨著系統(tǒng)升級、配置變化或信息攻防技安全隱患，目前的方案是否有所考慮或在將來如何采取，安全體系與架構(gòu)，選用具有較高安全技術(shù)的安全設(shè)備與產(chǎn)品，在實施中應(yīng)采用先進(jìn)可靠的結(jié)合考慮，通過安全教育與培訓(xùn)，提高員工的安全意識則主要是從具體安全措施、防病毒措施等等。只有人與具體安全措施的完美結(jié)良好的可實施性與可管理性，同時還要具有尚佳的易行業(yè)特性，建議貴單位在安全系統(tǒng)建設(shè)中，安全產(chǎn)品決方案是提供一個企業(yè)級安全管理方案，以解決IT基礎(chǔ)設(shè)為此明確了以下的這些安全領(lǐng)域:物理安全、網(wǎng)絡(luò)安全、服應(yīng)用程序與服務(wù)安全、數(shù)據(jù)安全和安全管理。由于各項安有所不同，根據(jù)國家有關(guān)信息系統(tǒng)安全建設(shè)的指導(dǎo)制:表2.安全對策一覽表些安全項目的建設(shè)已經(jīng)在其它項目實施已經(jīng)實施，但是由于我國安全建設(shè)相對滯后，大多數(shù)企業(yè)在網(wǎng)絡(luò)和機房建設(shè)時對于防盜、防毀、防災(zāi)(防火、防水、防震、防雷擊)處理考慮比較周詳，但對于防輻射尚有欠缺。又例程——本方案中對于防盜、防毀、防災(zāi)的物理安全不做過多闡述。網(wǎng)絡(luò)安全總體規(guī)劃圖如圖2所示：圖2．體規(guī)劃示意圖1、在管理局中心交換機與管理局的邊界路由器之間配置防火墻(如圖2)，這種方案全區(qū)域之間的相互訪問，安全強度較高；缺點是對入方式的防火墻必須具有混合接入模式，另外它要建議實施IP綁定，防止IP冒用。建議防火墻應(yīng)具備統(tǒng)中所配置的防火墻實施策略評估，保證防火墻的策略必須在管理局局網(wǎng)內(nèi)外配置網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)，對進(jìn)出管理局中心網(wǎng)絡(luò)的所有記，探測網(wǎng)絡(luò)攻擊行為，并根據(jù)定制的策略進(jìn)行響應(yīng) (阻斷、報警)，因此這里選用的IDS產(chǎn)品最好能與管理局使用的防火墻產(chǎn)品進(jìn)行置網(wǎng)絡(luò)漏洞掃描系統(tǒng)，實施對整個局網(wǎng)系統(tǒng)的安全漏洞掃置基于主機的操作系統(tǒng)漏洞掃描器，實施對主機操作系統(tǒng)置基于主機的數(shù)據(jù)庫漏洞掃描器，實施對相關(guān)數(shù)據(jù)庫的安署的防火墻與路由器之間部署VPN或者防火墻本身含VPN模網(wǎng)絡(luò)邊界處配置VPN來保證省管理局中心與各省市管理局之間的保密通訊(在圖2中未畫出)，具體配置見圖3。UTP而廣域網(wǎng)則是租用的DDN線路，由于電信變化電磁場也在不斷變化，這就會產(chǎn)生電磁輻射，而上述能力；同時由于管理局所采用的計算機及網(wǎng)絡(luò)設(shè)備均不是在較強的電磁輻射。因此，如果不采取有效的防電磁輻射很容易被國外間諜機構(gòu)采用電磁波還原技術(shù)所竊取，從而造的防電磁輻射，主要采用以下一些方法來抑制：對于較為其建立屏蔽室，對于分散的不能在屏蔽室存放的設(shè)備則宜無相應(yīng)低輻射設(shè)備或采用低輻射設(shè)備成本太高，也可以考主要采用以下一些方法來抑制：將非屏蔽網(wǎng)線更換成有屏STP成本較高。對網(wǎng)絡(luò)通訊進(jìn)行加密，雖然其本有效防范因電磁泄露而被敵人竊聽信息，因此保護(hù)對于重要設(shè)備(如：中心服務(wù)器)需要進(jìn)行物理保護(hù)，它主要包括三個方面：環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)(參見國家標(biāo)準(zhǔn)G信息點應(yīng)采取多種安全防范措施，確保非授權(quán)人員無法進(jìn)入何保證網(wǎng)絡(luò)系統(tǒng)提供數(shù)據(jù)傳輸和交換中的完整性、保輸?shù)耐暾裕ＷC數(shù)據(jù)不被篡改，保證數(shù)據(jù)傳輸?shù)陌玻ＷC數(shù)據(jù)在傳輸過程中不被非法竊取，造成泄密。，運作核查和維護(hù)，通過可用的核查工具進(jìn)行核對不同需求采用不同的方法來實現(xiàn)。具體可采取保證只有被允許的主機(IP/MAC)可以訪問其被授權(quán)訪問的主機和相關(guān)服務(wù)(包括應(yīng)用程序)。VPN密應(yīng)用軟件——志及入侵中還應(yīng)配置網(wǎng)絡(luò)漏洞掃描檢測軟件，對管理局中心網(wǎng)絡(luò)系絡(luò)漏洞進(jìn)行檢測、并對已檢測出的漏洞根據(jù)設(shè)置的網(wǎng)絡(luò)設(shè)備的安全，保證非授權(quán)用戶不能訪問一臺機器家的網(wǎng)絡(luò)設(shè)備，要防范的內(nèi)容是一樣的，但lnetNMPVPN，因此對它們的保護(hù)應(yīng)是非常嚴(yán)格的。建議對它對簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)訪問的控制備的配置，使得只能由某個指定IP地址的網(wǎng)管工作站才絡(luò)管理，對路由器、防火墻其它網(wǎng)絡(luò)設(shè)備進(jìn)行讀寫操器操作系統(tǒng)的訪問控制機制來解決分布式系統(tǒng)的服務(wù)器和用；掃描系統(tǒng)：風(fēng)險評估被用來檢查系統(tǒng)安全配置的缺陷，發(fā)現(xiàn)統(tǒng)進(jìn)行殺毒和隔離乎所有的計算機防病毒軟件都是根據(jù)病毒特征碼對現(xiàn)有的但是對于新病毒查殺都存在一定周期的滯后，并且對于多，同時又無法做到防患于未然，而最新的防病毒技術(shù)——所有計算機中的文件注射疫苗的方式使它們能夠有效抵抗有必要采用病毒免疫系統(tǒng)與防病毒軟件配合使用才能非常用戶安全所有資源的訪問關(guān)口。管理這些賬戶，在用戶獲得訪問特在他們的訪問特權(quán)不再有效時限制用戶賬戶是安全的關(guān)鍵、不同操作系統(tǒng)、不同通訊協(xié)議、不同的數(shù)據(jù)庫系統(tǒng)、不等。隨著這些資源的增加，要想安全有效地管理他們就越護(hù)多種目錄體系既費時費力，又容易出錯，還難以保證系每種系統(tǒng)都有自己的系統(tǒng)管理員，如UNIX的超級用戶為rootWindowsNT為administrator、Sybase和MSSQLT用戶時，就有可能采用不同的用戶名，不同的管理助用戶解決上述問題，允許用戶在單一的界面中管理不臺的用戶策略一致性管理?？梢詫嵤┗诓呗缘墓芾硪訧T管理人員管理用戶的時間和精力，可以隱藏不同操作做類似工作的所有用戶可能需要類似的安全權(quán)限，安全管理應(yīng)該提供角色(或用戶組)的概念，可以將不同平臺上有類似安全權(quán)限需求的用戶規(guī)劃成組，將用戶用戶可以對同一角色的用戶進(jìn)行相同的管理，不管這功能，使得管理員可迅速地在企業(yè)內(nèi)不同操作令保護(hù)的，加強口令變化是安全方案中必不可少資源對系統(tǒng)的訪問權(quán)限。訪問控制主要通過對用戶及時防火墻也是它的重要組成部分。對于公文管理系統(tǒng)則非法或好奇者無法閱讀它，不論是在儲存狀態(tài)還是全手段是通過加密來實現(xiàn)，但是由于數(shù)據(jù)的存儲加密耗費碼消耗量巨大，使得密碼的維護(hù)和管理非常困難，從而給銷，因此不宜實施。數(shù)據(jù)完整性是指防止非法或偶然的數(shù)用于防災(zāi)抗災(zāi)和災(zāi)難恢復(fù)。五、結(jié)束語通過對物理、網(wǎng)絡(luò)體系的設(shè)計分析，結(jié)合管技術(shù)要求，我們選用了以下安全產(chǎn)品：防火墻產(chǎn)品：龍馬衛(wèi)士防火墻(含“用戶認(rèn)證”模塊)。VPN：龍馬衛(wèi)士VPN。網(wǎng)絡(luò)入侵檢測產(chǎn)品：全技術(shù)研究部門對國內(nèi)外最進(jìn)行最及時和最緊密的跟蹤，對重大安全問題更成立專項研究小組進(jìn)行技術(shù)攻關(guān)，迄今為止已完成分布式拒絕服務(wù)攻擊(DDos)、SUNIIS術(shù)研究，取得了一系于領(lǐng)先水平的優(yōu)秀成果。關(guān)鍵還在于上述產(chǎn)品，完全是產(chǎn)品，同時具有同類產(chǎn)品