1、 XX市工商局网络安全改造方案 北京安盟信息技术有限公司 2009年1月 目 录 1 前言 4 2项目定义 4 3 环境描述 4 4 安全需求及分析 5 4.1 需要保护的资源 5 4.2 面临的风险 5 4.3安全需求分析 9 4.4 安全建设目标 12 4.5 建设原则 12 5 解决方案 13 5.1部署说明 18 5.2安全产品 20 5.2.1网络管理 20 5.2.1.1拓扑自动生成 25 5.2.1.2网络事件
2、报警 26 5.2.1.3网络管理系统的事件关联系统 26 5.2.1.4定制事件 27 5.2.2入侵检测/防御 28 5.2.2.1结构与工作方式 29 5.2.2.2实时监控预警与自动响应 30 5.2.2.3数据包解析能力 31 5.2.2.4识别的攻击类型 31 5.2.2.5系统的策略配置 33 5.2.2.6日志与审计 34 5.2.3 安全评估 35 5.2.3.1扫描范围 36 5.2.3.2可检测的漏洞种类 36 5.2.3.3策略配置 41 5.2.3.4生成报告 41 5.2.3.5速度、误报率及网络影响 42 5.2.4 防火墙 42
3、 5.2.5安全隔离 44 5.2.5.1安全隔离技术原理 44 5.2.5.2交易分析 45 5.2.5.3交易重构 46 5.2.5.4安全通道传输 46 5.2.5.5安全隔离技术与管理制度的结合 47 5.2.6防病毒 47 5.2.7容灾容错 49 5.2.8综合审计 50 4.8.1审计范围 51 4.8.2综合审计功能目标 51 5.2.9上网行为管理 52 5.2.9.1 规范员工上网行为(比如禁止员工上班时间聊天/打游戏)、提高互联网效率 52 5.2.9.2 内网安全,保护内部数据安全、防止机密信息泄漏 52 5.2.9.3 流量控制、带宽管理,
4、提升带宽利用率 52 5.2.9.4 降低法律责任 52 5.2.9.5 整合式UTM设备,可提供内网和外网的安全联动 53 5.2.10网页防篡改 53 5.2.10.1安全传输 54 5.2.10.2 身份鉴别 54 5.2.10.3 安全发布 54 5.2.10.4 网页上传与备份 55 5.2.10.5更加人性的多种发布模式 55 5.2.10.6 不同的管理权限设置 55 5.2.10.7 支持多虚拟目录 55 5.2.10.8 支持多终端 56 5.2.10.9 支持日志导出查询 56 5.3安全策略制订 56 5.4制度建设 57 5.5方案总结 5
5、8 6 实施 59 1 前言 XX市工商局计算机网络已运行多年,部分网络结构、性能、安全性已不能满足日常办公需要,以及未来应用系统扩展的需要。为此,改造XX市工商局的计算机网络已势在必行。XX市工商局从事的行业性质是跟国家紧密联系的,所涉及信息均带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对XX市工商局信息安全构成威胁。为保证网络系统的安全,有必要对其网络进行专门安全设计。 2项目定义 项目名称:XX市工商局网络安全建设 本项目的提出者: XX市工商局信息中心 规划范围: l XX市工商局局域网 l 建设安全管理体
6、系,结合网络管理提出基础安全保护方法与未来扩展框架 l 整体考虑应用扩展,建设综合数据交换平台 3 环境描述 XX市工商局计算机网络是由安全需求级别较高的业务网络和日常办公网络组成组成,并且办公网通过防火墙与Internet联接。 其中日常办公网络通过防火墙连接Internet,经常会有病毒、木马等有害信息进入办公网络。 为了提高全系统服务质量,XX市工商局要逐步开展电子政务业务。 4 安全需求及分析 4.1 需要保护的资源 保障XX市工商局内网的安全,业务内网绝对不可以被来自非信任网络的病毒、木马感染、控制、破坏,不允许任何敏感数据的非法外泻。 保护办公网的安全,尽量避
7、免病毒、木马等有害信息对办公网造成严重的破坏。 4.2 面临的风险 随着网络的急剧扩大和网络用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策的认识不足,这些风险正日益严重。 针对XX市工商局局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与这个局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素: 网络安全可以从以下三个方面来理解:1 网络物理
8、是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合这个局域网的实际情况,我们将具体的分析网络的安全风险。 (1)物理安全风险分析 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在XX市工商局局域网内,由于各子网络间的物理跨度是通过电信运营商实现的,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。 (2)网络平台的安全
9、风险分析 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 l 公开服务器面临的威胁 这个局域网内部公开服务器区(WWW、EMAIL等服务器)作为XX市工商局内部信息交换的平台,一旦不能运行或者受到攻击,对XX市工商局的办公影响巨大。虽然公开服务器本身不为外界提供服务,但是员工的误操作以及病毒的感染也会对它们造成影响甚至造成破坏。因此,XX市工商局网络的管理人员对各种安全事故做出有效反应变得十分重要。我们有必要将内部服务器、内部网络与普通员工的办公区进行隔离,避免网络结构信息外泄;同时还要对进入服务器的服务请求加以过滤,只允许正常通信的数据包到达
10、相应服务器主机,其他的请求服务在到达服务器主机之前就应该遭到拒绝。 (3)系统的安全风险分析 所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。 网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows 2003或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程
11、的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 (4)应用的安全风险分析 应用系统的安全跟具体的应用有关,它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。 应用系统的安全状况在动态地、不断地变化,应用的安全涉及面很广,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是
12、安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。 应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。 (5)管理的安全风险分析 管理是网络中安全最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。 当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人
13、员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。 建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。 (6)黑客攻击 黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到服务器的口令文件并将之送回。黑客侵入服务器后,有可能修改特权,从普通用户变为
14、高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其载入服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在XX市工商局的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。 (7)通用网关接口(CGI)漏洞 有一类风险涉及通用网关接口(CGI)脚本。许多页面文件和指向其他页面或站点的超链接
15、然而有些站点用到这些超链接所指站点寻找特定信息。搜索引擎是通过CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。通常,这些CGI脚本只能在这些所指WWW服务器中寻找,但如果进行一些修改,他们就可以在WWW服务器之外进行寻找。要防止这类问题发生,应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏能力,提高服务器备份与恢复能力,提高站点内容的防篡改与自动修复能力。 (8)恶意代码 恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。 (9)病毒的攻击 计算机病毒一直是计算机安全的主要威胁。能在Int
16、ernet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。 (10)不满的内部员工 不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经
17、离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据、制造传播一些有政治影响的或荒诞淫秽内容的信息等等。 (11)网络的攻击手段 一般认为,目前对网络的攻击手段主要表现在: 非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。 信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏
18、如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。 破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。 拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒:通过网络
19、传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。 4.3 安全需求分析 网络安全管理体系的目标应符合五个基本安全要素:机密性、完整性、可用性、可控性与可审查性。 网络信息系统运行管理及安全保障体系设计应具有完整性、纵深性,能够对信息系统提供多级保护,同时应适应网络升级改造的需要。通过直观的安全管理手段,集中管理所有资源,在提供安全管理信息支持时应具有易用性及可扩展性,提供简单易用的帮助、建议并提供运行状况报告和风险报告,适应组织和环境的变化。 (1)网络安全需求 明确需要保护什么?用什么样的机制保护?如何协调? 资产分类 保护对象 硬件 工作站、个人计算机、打印机
20、路由器、交换机、调制解调器、OA、DB服务器、工作站、防火墙 软件 应用系统、诊断程序、操作系统和通信程序等 数据 在线保存和离线归档的数据、备份、注册记录、数据库以及通信介质上传输的数据 人员 用户、管理员和硬件维护人员 文档 软件程序、内部硬件和软件的评价、系统以及本地程序 为了对网络系统进行基本的分析,按照提供的服务性质我们把网络系统划分为内部办公区、内部服务区、重点业务区。具体划分如下: 内部网络 内部办公区 各楼层PC机、县区局工商所PC机 内部服务区 内网服务器(文件服务器、打印服务器等) 重点业务区 OA系统服务器(数据库服务器、应用服务器);
21、 各区域安全管理需求: 区域名称 安全管理需求 技术情况 重点业务区 安全风险需求 操作系统弱点、漏洞 现状:使用OS厂商补丁 建议:通过安全评估技术加固操作系统 网络攻击防范 现状:暂无技术手段 建议:通过入侵检测技术监控网络攻击; 通过安全隔离系统实现隔离控制 访问权限识别 现状:使用OS提供的口令认证 建议:通过CA认证技术加强控制 病毒防范 现状:使用桌面防病毒系统 建议:通过具备集中管理能力的网络防病毒系统,加强全网病毒防杀能力。 访问动作监控(本地、网络) 现状:使用OS提供日志记录 建议:通过安全管理审计系统加强控制 数据存储安全、服
22、务提供稳定 现状:使用双机容错系统、数据备份系统保障数据安全。 应用管理需求 违规操作监控 误操作防范 现状:暂无技术手段 建议:通过安全管理审计系统加强控制 网管需求 配置管理与调度管理 现状:使用CiscoWork 2000实现网络设备的配置管理,在服务器配置管理与全网流量调度方面,暂无技术手段。 建议:通过安全管理审计系统与网络管理系统配合加强管理。 内部服务区 安全风险需求 操作系统弱点、漏洞 现状:使用OS厂商补丁 建议:通过安全评估技术加固操作系统 网络攻击防范 现状:暂无技术手段 建议:通过入侵检测技术监控网络攻击 病毒防范 现状:使用桌面
23、防病毒系统 建议:通过具备集中管理能力的网络防病毒系统,加强全网病毒防杀能力。 访问动作监控(本地、网络) 现状:使用OS提供日志记录 建议:通过安全管理审计系统加强控制 应用管理需求 通用网络应用监控 现状:暂无技术手段 建议:通过安全管理审计系统加强控制 网管需求 配置管理与调度管理 现状:使,暂无技术手段。 建议:通过安全管理审计系统与网络管理系统配合加强管理。 内部办公区 病毒防范 现状:使用桌面防病毒系统 建议:通过具备集中管理能力的网络防病毒系统,加强全网病毒防杀能力。 (2)需要进一步分析的内容 l 评定资产价值 n 根据不同的关键程度等级
24、划分数据级别 n 有形资产/无形资产 n 明确对资产的潜在威胁和资产受此威胁攻击的可能性 n 威胁是任何对网络或网络设备造成损害的个人、对象或事件 n 脆弱性是网络系统存在的可能被威胁利用的缺陷 l 分析受到威胁后造成的影响 n 影响是一旦遭到威胁后,对XX市工商局造成直接的损失和潜在的影响。 n 数据破坏 n 丧失数据的完整性 n 资源不可用 n 诋毁名誉 n … l 风险缓解与安全成本 n 确定XX市工商局能够接受多高的风险以及资产需要保护到什么程度。 n 风险缓解是选择适当的控制方式将风险降低到可以接受水平的过程。 n 性能成本(可用性、效率) n 经济成
25、本:实施和管理安全程序的花费必须与潜在利益进行比较 有三种对策性问题的解决有助于内部网或内部用户的安全防范 1)内部互访--如何控制网络不同部门之间的互相访问; 2)管理维护--如何对不断变更的用户进行有效的管理; 3)安全认证--如何加强远程拨号用户的安全认证管理; 在网络规模较小,只有少数的访问服务器提供远程访问时,一般采用访问服务器的本地安全数据来提供安全认证。随着网络规模的增长以及对访问安全要求的提高,一般需要一台安全服务器为所有的拨号用户提供集中的安全数据库,用户无需在每台访问路由器上增加更改拨号用户安全信息,从而有助于实现统一的访问控制策略。 4.4 安全建设目标 X
26、X市工商局的网络安全管理的建设目标是:在现有网络基础设施和装备的基础上,以保障网络安全稳定运行为主线,充分利用先进的安全技术手段,建成和不断完善“全网网络安全管理体系”。充分利用传统网管技术与安全技术优势,构建技术能力与整体策略相呼应的动态安全管理体系,并经由规划à应用à审计à规划的科学工程实现过程,满足网络安全管理的准确性、时效性和可分析性的需求。同时,以网络实时监控、科学审计为依托构建多层次立体综合安全框架,形成以保障市政府核心业务安全为重点,各系统稳定运行为基础的网络安全管理体系。 网络安全管理的需求是变化的。管理、信息系统、安全体系和事务处理应当互相促进、平衡发展。因此在本项目建设初
27、期,我们考虑到用户网络环境的实际应用状况,充分顾及与现有应用的共通性,兼顾网络的整体发展和以后工程的衔接,力争做好网管核心的建设。 4.5 建设原则 为达成全网信息化建设的规划目标,在规划设计中除遵循保障的业务运行效率,以及具有良好的可扩展性能这两个基本原则外,还遵循以下原则: 1)实用性原则 充分考虑已有资源(软硬件及网络设备)的合理利用,做好新旧系统平稳过渡,避免出现不必要的浪费; 2)先进性原则 使网络安全系统在技术上达到同行业国内领先水平和二十一世纪国际先进水平,是本系统追求的总体目标。采用先进的网络工程学原理,确保实用有效,并提供完整的技术文档资料; 3)需求、风险、代
28、价平衡的原则 进行实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定安全策略; 4)综合性、整体性原则 一个较好的安全管理措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等,这些环节在网络中的地位和影响作用,也只能从系统综合的角度去看待、分析,才能获得有效、可行的措施。即遵循整体安全性原则,根据规定的策略制定出合理的网络安全体系结构; 5)易用性原则 技术人员可以简便的安装、运行安全技术。主要产品应具备简单、方便、友好的全中文用户界面,使用户易于理解、易学、易操
29、作; 6)动态实施管理原则 随着网络规模的扩大及应用的增加,网络应用与安全性也会不断变化,一劳永逸地解决网络应用与安全问题是不现实的。也就是说要根据网络的变化不断调整应对措施,结合我们提供的网络服务与安全技术服务,适应新的网络环境及安全需求。 5 解决方案 在现有网络基础设施和装备的基础上,以不影响网络实时性要求为前提,充分利用先进的安全技术手段,以网络实时监控、科学审计、应用认证为依托构建多层次立体综合安全框架,形成以保障XX市工商局的核心业务安全为重点,各级部门日常业务工作为基础的网络安全管理体系。从系统工程角度看总体目标是建设XX市工商局网络安全管理体系,形成全系统网路统一的安全
30、管理策略。 长远网络安全体系建设包含以下要点: (1)广域网安全技术集成---VPN技术、安全路由技术、认证技术 (2)局域网安全技术集成---访问控制、入侵检测、隔离网闸、评估等 (3)综合审计技术---以上所有安全技术与网管技术、应用系统之间的协调管理。 整体框架示意如下: 已经或将要采用的安全技术与内部网络安全技术使用统一的技术标准,确保可以各种技术应用可纳入统一管理平台,以便在整体安全策略指导下,最大限度的发挥安全技术的防御能力。 针对OSI七层协议考虑安全建设技术规范: 物理层的安全防护:在物理层上主要通过制定物理层面的管理规范和措施以及采用物理隔离网闸来提供统一
31、的安全解决方案。 链路层安全保护:主要是链路加密设备对数据加密保护。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后解密。 网络层和安全防护:网络层的安全防护是面向IP包的。网络层主要采用防火墙作为安全防护手段,实现初级的安全防护。在网络层也可以根据一些安全协议实施加密保护。在网络层也可实施相应的入侵检测。 传输层的安全防护:传输层处于通信子网和资源子网之间,起着承上启下的作用。传输层也支持多种安全服务:1)对等实体认证服务;2)访问控制服务;3)数据保密服务;4)数据完整性服务;5)数据源点认证服务。 应用层的安全防护:原则上讲所有安全服务均可在应用层提供。在应用层可以实
32、施强大的基于用户的身份认证。在应用层也是实施数据加密,访问控制的理想位置。在应用层还可加强数据的备份和恢复措施。应用层可以是对资源的有效性进行控制,资源包括各种数据和服务。应用层的安全防护是面向用户和应用程序的,因此可以实施细粒度的安全控制。 安全体系的建设是循序渐进的过程,基础安全管理平台建设一般通过以下5个方面集成安全技术。 (1)加固服务器的抗攻击能力 作为业务核心的服务器,因其在系统中所处的重要地位而最易受到黑客的攻击,故应对其采取以下安全防护机制: l 操作系统安全评估 l 系统访问控制 l 主机入侵检测 l 主机防病毒 l 系统完整性检查 以实现防御核心安全机制的
33、全面强化,大幅提升其自身的可靠性和安全级别。 (2)提高网络通信枢纽对网络的安全控制能力 对于其它网络设备作为网络通信枢纽采用以下安全机制以提高网络体系整体的安全防御能力: l 网络设备安全评估 l 网络访问控制 l 网络防病毒 (3)对网络行为的分析监控 作为安全防御体系核心的网络入侵检测系统和上网行为管理系统,承担着全面监控网络安全状况的重要职责。其主要任务描述如下: l 检测恶意行为----通过时实监控、解析网络数据流,及时发现针对服务器及其它网络终端设备的恶意行为,并做出反应。 l 早期攻击预警----收集并解析位于公网出口处探测器发来的信息,监控外部用户对内网终端的
34、访问,并可对外部攻击行为作出早期预警,以提高防御系统的反应时效。 l 监控违规操作----监控局域网内部数据信息,对违规操作等行为进行报警和控制。一是对互联网访问行为进行记录和控制,封堵或减少内网用户使用P2P,在线看电影,大流量下载等行为,对带宽进行合理有效分配;IPS,防arp攻击等的安全防御,对内网单机的安全措施做有效管理。二是检查客户端是否安装了符合规定的操作系统、杀毒软件、防火墙程序等,不符合规定的不允许访问外网,以防带入不安全因素到内网。三是验证钓鱼网站证书,防止用户名密码被盗。四是集成企业级状态检测防火墙,可选IPS,网关杀毒的整网防护措施。全面保护内网。五是可以记录下所有的网
35、络行为访问记录,比如外发消息,监控用户网访问过的网址和试图访问的网址等,在内部人员上网前进行认证,明确责任。 网络安全管理目标体系是一个经由规划à应用à审计à规划的动态实现过程,上述的所有安全策略和方法只是完成了初期安全规划。然后应定期对安全体系中所有功能模块或系统提供的系统日志和安全日志进行审计、分析、总结。 形成更为完善的安全策略和规划,以指导安全系统的运行。整个安全体系将依照上述过程不断循环往复,进而不断完善成熟。 从事件发展的时间周期上看,安全体系分为三部分配合运做,以达到最终的协调统一。 l 事前预防:安全评估的系统漏洞修补和入侵检测对攻击前探测的早期预警,构成了事前防御部分
36、 l 事中保护:入侵检测系统对网络体系中信息流全方位的监测控制形成了事中保护安全机制。与访问控制、网络防病毒、系统完整性检查协同形成安全屏障; l 事后审计:安全事件发生后无论产生何种后果,都须对网络系统进行全面的完整性检查与系统日志和安全日志的审计,这就是事后审计阶段。 (4)管理制度也是不可忽视的因素 在我们的安全体系设计思想中,安全管理制度应发挥不可替代的作用。它随时监督着规划à应用à审计这个安全系统运行过程的实施情况,管理者可根据安全系统在运行阶段取得的实际经验,不断完善安全管理制度,使其趋于合理。 在建设初期通过认为制定制度与规范实现管理,条件成熟后,通过自动化综合审计
37、技术,实现安全、网管、应用三方面技术与管理制度的智能协调。 (5)安全技术与管理制度的协调过程 下图体现了在实现自动化综合审计技术建立安全管理平台后安全技术、整体安全策略与管理制度的协调过程: 网络安全管理综合平台由网络安全技术、安全技术管理并融合审计、策略与制度构建而成。 n 网络安全技术应用 通过网络安全技术解决网络及系统运行中存在的安全风险,利用防火墙系统增强内外网之间的访问控制能力,利用入侵检测技术监控全网的访问行为,利用安全评估技术增强系统的抗攻击能力,利用防病毒技术增强网络系统防范病毒能力。 n 安全技术管理 通过安全管理平台集中管理各种网络安全技术,将各种安
38、全技术的报警信息、日志信息集中到安全管理平台上,安全管理平台对这些信息进行分析和审计,为策略和制度的合理定制奠定基础。 n 安全策略、制度完善 根据安全管理平台分析和统计的结果,定制适应自身的安全运行策略以及合理的网络安全管理制度。 在网络安全领域中的各种技术,在系统设计过程中,因其研究对象的不同、角度不同,导致每一种特定的技术都有其局限性,因此在建设网络安全管理体系时,实现各种技术的无缝集成是关键所在。以网络安全管理平台为核心形成安全集中管理体系,不但可以实现各种技术的无缝集成,而且能够形成面向决策的智能化体系。 “网络安全管理平台”通过统一的报警与响应平台作为各种层面技术的信息采集
39、接口,把管理制度、规范与技术应用有机地结合起来,既可以用制度指导技术应用,又可以在技术应用的积累中完善制度;使安全管理体系形成一个良性的动态循环。 5.1部署说明 安全必须是全方位、综合性的,应由多层次的安全技术构成一个整体安全框架。在市政府系统部署安全技术后,形成整体安全防御层次,当系统受到入侵时,各安全防御层会分级阻止违规行为。在防御体系中,为入侵者设置了层层屏障。 入侵者必须通过多层次的防御屏障。这将增加入侵者被防住的机率,同时也增加了审核信息的数量,利用这些审核信息可以跟踪防范入侵者。安全隔离系统作为关键业务数据的最后一道屏障,以其强制访问控制机制确保重要数据不通过网络途径不外泄
40、 安全技术的通用部署策略: 多种安全技术(保护、检测、响应、恢复)之间存在着一定的因果和依存关系,形成一个整体。单一的保护机制不能形成整体抗打击能力,需要检测来为响应创造条件,有效与充分地响应安全事件,将大大减少对保护和恢复的依赖;恢复能力仅是数据损失后的最后保障机制。综合的,交叉的使用各种安全技术,是解决网络安全问题的有效手段。理想的安全规划能否实现,其关键在于网络行为分析应用的粒度与力度。对网络特征与信息传递动作特征的分析总结,可以帮助管理者掌控自己网络系统每一个应用的技术细节,透彻理解网络协议的内涵,为改进网络安全体系积累技术依据。 要建立一个安全的内部网,一个完整的解决
41、方案必须从多方面入手。首先要加强主机本身的安全,减少漏洞;其次要用系统漏洞检测软件定期对网络内部系统进行扫描分析,找出可能存在的安全隐患;建立完善的访问控制措施,安装防火墙,加强授权管理和认证;加强数据备份和恢复措施;对敏感的设备和数据要建立必要的隔离措施;对在公共网络上传输的敏感数据要加密;加强内部网的整体防病毒措施;建立详细的安全审计日志等。 部署示意图如下图: 5.2安全产品 5.2.1网络管理 网络管理技术是动态安全管理的核心技术之一,其中有两个需要重点考虑的因素: l 技术因素:行为监控系统因为网络结构的特性导致其监控范围是有限的,网络中的内外出入口均应配备行为监测技术
42、避免因部署的局限性而导致分析、响应能力的下降(现有的多种网络攻击技术)。 l 人员因素:网络中安全事件过多或需要根据需求分析不同层次的网络行为时,因为日志量过大、策略配置的不完整以及人的精力毕竟有限等因素,监控中心过少将不可避免地导致片面性及响应时效不足等情况出现。 解决方法: 多级行为监控的配置策略可由上级监控中心统一管理(配置规则)下级监控中心的运行策略,下级监控中心可将高风险级别事件上传至上级监控中心,提高全网监控能力,加强协助分析能力。 l 全面掌握网络中数据流特征,避免片面性,提高全网安全能力。 l 提高系统、人员的分析、处理能力。 l 安全事件的响应灵活,避免造成在主
43、干网上实施阻断时对网络应用产生影响。 l 提高溯源、定位能力。 l 如果监控中心数据不足,当问题出现于无行为监测系统的其它链路时,中心只能在主干网上实施阻断规则;如果在问题发生区域配置行为监控系统则可以从源头阻断,减少流量影响(如发生HTTP应用被利用作用攻击时,响应时会自动阻断该HTTP应用,此时会对应用及流量产生一定影响,在完成对溯源后,才可恢复应用) l 负载均衡。 l 由不同的探测器分别分析不同类型的需求或服务,可避免数据损失(丢包)。 避免因分析规则过细导致的监控中心数据过大,降低分析和响应能力,影响行为分析的运行。 1)管理平台 l 系统管理体系需要建立在具有先进架构
44、和技术的管理平台之上,管理平台具有优秀的集成性、扩展性和伸缩性; l 管理平台应具有管理信息安全的保障机制,以确保管理信息在网络上传递上的安全性和高效性(如管理员ID 和口令的加密); l 系统管理集成在统一的分布式管理平台上,管理平台应采用面向对象技术,为管理应用提供公共服务(如策略文件的分发); l 系统管理软件需要保证在被管理设备上不占用过多的系统资源 ( 如硬盘空间、内存等); l 由于系统管理解决方案采用分布式体系结构,以实现分层管理,因此应努力减少网络带宽资源的占用; l 系统管理解决方案能够定义多级管理员,完成授权的不同管理任务,杜绝超级用户,而且能够限制管理员的管理桌
45、面,登录节点,管理权限; l 管理服务器应支持windows2003或UNIX平台。 2)网络管理 l 自动发现管理范围内的IP设备,能自动生成网络拓扑结构图,并且按照地理位置进行显示; l 添加、删除网络节点时,网络拓扑自动动态更新; l 提供多种网络管理协议的支持(如SNMP V1、SNMP V2等); l 能对网络设备的运行状况进行实时监控; l 具有网络流量监控与统计功能; l 实现网络异常事件的报警与自动处理,可以通过规则灵活定制; l 具有网管故障分析定位功能; l 由于未来市政府专网有可能使用各种品牌(类型)的设备,因此网管软件应能与第三方网络设备管理软件集成
46、 l 具有动态组合资源的能力,能够根据资源的一般特性,如资源类型,所在地进行组合。而且组合内的资源能够实时动态更新,以减少人为错误和过时信息; l 具有安全功能,能够对网络管理员进行授权,认证,以保证网络管理本身的安全性; l 网管软件具有互相备份的功能,以消除网络管理的单点失效; l 网络管理数据的保存支持众多的关系型数据库:Sybase, Oracle, Informix, DB/2 , MS-SQL Server; l 提供Web界面显示网管的图形界面; l 能够控制网管管理区域; l 网络管理软件应支持跨地域的各分支机构局域网内部IP地址重叠情况,能够实现重叠IP地址的
47、转换。 3)服务器系统监控管理 l 提供对被监控服务器的重要特定资源进行实时监控; l 服务器系统资源监控的参数配置灵活、简便,并且能定制增加新的监控器; l 可以根据不同情况设置不同报警级别、预警阀值,在系统出现临界状态,系统能自动报警、自动响应和根据设置自动处理; l 系统监控应支持对历史数据的查看、分析和统计,并能生成性能监控历史分析图和预测分析; l 提供集中式的基于策略的管理方式,在一台机器上就可以对整个网络中的所有服务器进行远程监控和设置,可以集中定义、控制监控内容的配置、下发; l 支持对服务器的日志进行监控管理; l 提供在线和非在线的监控系统运行性能,如NT的
48、内存使用,进程运转,文件系统利用,用户登录,应用运行,数据库参数。 4)软件分发 软件分发系统功能应可以使系统管理员集中控制本辖区IT环境中应用程序、数据文件的分发、安装、卸载和更新。 其功能应包括: l 提供软件分发管理,通过局域网或广域网,将应用软件分发到各个客户端; l 集中管理与控制,提供自动打包工具; l 可以进行定时控制和自动处理; l 传输的软件数据支持自动压缩和断点续传; l 要能提供特别针对广域网分发的机制和技术,对带宽进行管理,如:保证软件分发只占用20%的带宽,从而保证正常业务的运行; l 要能提供分发失败的多种处理机制; l 提供对移动用户的支持;
49、 l 支持并行分发; l 支持Push、Pull及广播分发等多种分发模式; l 可以提交报表反映软件分发的详细报表。 5)资产管理 l 能够自动扫描辖区内硬件,软件配置; l 可以与其它系统管理应用集成,尤其为软件分发提供所需资源的信息; l 扫描数据的保存支持众多的关系型数据库:Sybase, Oracle, informix, DB/2 , MS-SQL Server; l 提供查询功能; 6)备份管理 系统管理软件应可实时对服务器上的数据进行自动备份、恢复及灾难恢复,防止硬盘、数据和介质遭到灾难性的破坏。其功能应包括: l 在统一的主控台集中进行网络数据备份,备份
50、操作可定时自动进行; l 支持Windows2003 Server平台; l 支持全备份、增量备份、归档等多种备份方式,并且针对不同的备份方式提供不同的备份策略; l 提供灾难备份管理; l 能支持数据库的Online在线备份,如Oracle,SQL数据库; l 能提供对存储介质的管理,如支持电子标签等; l 支持磁带内部标签,杜绝因误操作而引起的数据丢失; l 能支持对裸设备的备份/恢复; l 能提供全面的报表以反映数据存储的情况。 7)统一事件处理 l 具有事件统一报警处理机制,完整的事件管理:捕捉各种管理模块产生的管理事件,并能捕获操作系统、数据库、应用程序产生的






