XX市工商局网络完整安全方案

《XX市工商局网络完整安全方案》由会员分享，可在线阅读，更多相关《XX市工商局网络完整安全方案（59页珍藏版）》请在装配图网上搜索。

1、XX市工商局网络安全改造方案北京安盟信息技术有限公司2009年1月目 录1 前言42项目定义43 环境描述44 安全需求及分析54.1 需要保护的资源54.2 面临的风险54.3安全需求分析94.4 安全建设目标124.5 建设原则125 解决方案135.1部署说明185.2安全产品205.2.1网络管理205.2.1.1拓扑自动生成255.2.1.2网络事件报警265.2.1.3网络管理系统的事件关联系统265.2.1.4定制事件275.2.2入侵检测/防御285.2.2.1结构与工作方式295.2.2.2实时监控预警与自动响应305.2.2.3数据包解析能力315.2.2.4识别的攻击类型

2、315.2.2.5系统的策略配置335.2.2.6日志与审计345.2.3 安全评估355.2.3.1扫描范围365.2.3.2可检测的漏洞种类365.2.3.3策略配置415.2.3.4生成报告415.2.3.5速度、误报率及网络影响425.2.4 防火墙425.2.5安全隔离445.2.5.1安全隔离技术原理445.2.5.2交易分析455.2.5.3交易重构465.2.5.4安全通道传输465.2.5.5安全隔离技术与管理制度的结合475.2.6防病毒475.2.7容灾容错495.2.8综合审计504.8.1审计范围514.8.2综合审计功能目标515.2.9上网行为管理525.2.9.

3、1 规范员工上网行为（比如禁止员工上班时间聊天/打游戏）、提高互联网效率525.2.9.2 内网安全，保护内部数据安全、防止机密信息泄漏525.2.9.3 流量控制、带宽管理，提升带宽利用率525.2.9.4 降低法律责任525.2.9.5 整合式UTM设备，可提供内网和外网的安全联动535.2.10网页防篡改535.2.10.1安全传输545.2.10.2 身份鉴别545.2.10.3 安全发布545.2.10.4 网页上传与备份555.2.10.5更加人性的多种发布模式555.2.10.6 不同的管理权限设置555.2.10.7 支持多虚拟目录555.2.10.8 支持多终端565.2.1

4、0.9 支持日志导出查询565.3安全策略制订565.4制度建设575.5方案总结586 实施591 前言XX市工商局计算机网络已运行多年，部分网络结构、性能、安全性已不能满足日常办公需要，以及未来应用系统扩展的需要。为此，改造XX市工商局的计算机网络已势在必行。XX市工商局从事的行业性质是跟国家紧密联系的，所涉及信息均带有机密性，所以其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对XX市工商局信息安全构成威胁。为保证网络系统的安全，有必要对其网络进行专门安全设计。2项目定义项目名称：XX市工商局网络安全建设本项目的提出者： XX市工商局信息中心规划范围

5、：l XX市工商局局域网l 建设安全管理体系，结合网络管理提出基础安全保护方法与未来扩展框架l 整体考虑应用扩展，建设综合数据交换平台3 环境描述XX市工商局计算机网络是由安全需求级别较高的业务网络和日常办公网络组成组成，并且办公网通过防火墙与Internet联接。其中日常办公网络通过防火墙连接Internet，经常会有病毒、木马等有害信息进入办公网络。为了提高全系统服务质量，XX市工商局要逐步开展电子政务业务。4 安全需求及分析4.1 需要保护的资源保障XX市工商局内网的安全，业务内网绝对不可以被来自非信任网络的病毒、木马感染、控制、破坏，不允许任何敏感数据的非法外泻。保护办公网的安全，尽量

6、避免病毒、木马等有害信息对办公网造成严重的破坏。4.2 面临的风险随着网络的急剧扩大和网络用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策的认识不足，这些风险正日益严重。 针对XX市工商局局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。下述风险由多种因素引起，与这个局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素： 网络安全可以从以下三个方面来理解：1 网络物理是否安全；2

7、网络平台是否安全；3 系统是否安全；4 应用是否安全；5 管理是否安全。针对每一类安全风险，结合这个局域网的实际情况，我们将具体的分析网络的安全风险。 （1）物理安全风险分析 网络的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提，在XX市工商局局域网内，由于各子网络间的物理跨度是通过电信运营商实现的，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。 （2）网络平台的安全风险分析 网络结构的安全涉

8、及到网络拓扑结构、网络路由状况及网络的环境等。l 公开服务器面临的威胁 这个局域网内部公开服务器区（等服务器）作为XX市工商局内部信息交换的平台，一旦不能运行或者受到攻击，对XX市工商局的办公影响巨大。虽然公开服务器本身不为外界提供服务，但是员工的误操作以及病毒的感染也会对它们造成影响甚至造成破坏。因此，XX市工商局网络的管理人员对各种安全事故做出有效反应变得十分重要。我们有必要将内部服务器、内部网络与普通员工的办公区进行隔离，避免网络结构信息外泄；同时还要对进入服务器的服务请求加以过滤，只允许正常通信的数据包到达相应服务器主机，其他的请求服务在到达服务器主机之前就应该遭到拒绝。 （3）系统的

9、安全风险分析 所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。 网络操作系统、网络硬件平台的可靠性：对于中国来说，恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows 2003或者其他任何商用UNIX操作系统，其开发厂商必然有其Back-Door。我们可以这样讲：没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权

10、限，将其完成的操作限制在最小的范围内。 （4）应用的安全风险分析 应用系统的安全跟具体的应用有关，它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。 应用系统的安全状况在动态地、不断地变化，应用的安全涉及面很广，以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有几十种，但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的，因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的，其结果是安全漏洞也是不断增加且隐藏越来越深。因此，保证应用系统的安全也是一个随网络发展不断完善的过程。 应用的安

11、全性涉及到信息、数据的安全性：信息的安全性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。 （5）管理的安全风险分析 管理是网络中安全最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。 当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，

12、即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。 建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。 （6）黑客攻击 黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证，是黑客可以轻易地骗过公开服务器软件，得到服务器的口令文件并将之送回。黑客侵入服务器后，有可能修改特权，从普通用户变为高级用户，一旦成功，黑客可以直接进入口令文件。黑客还能开发欺骗程序，将其载入服务器中，用以监听登录会话。当它发现有用户登录时，便开始

13、存储一个文件，这样黑客就拥有了他人的帐户和口令。这时为了防止黑客，需要设置公开服务器，使得它不离开自己的空间而进入另外的目录。另外，还应设置组特权，不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在XX市工商局的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。 （7）通用网关接口（CGI）漏洞 有一类风险涉及通用网关接口（CGI）脚本。许多页面文件和指向其他页面或站点的超链接。然而有些站点用到这些超链接所指站点寻找特定信息。搜索引擎是通过CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。

14、通常，这些CGI脚本只能在这些所指WWW服务器中寻找，但如果进行一些修改，他们就可以在WWW服务器之外进行寻找。要防止这类问题发生，应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏能力，提高服务器备份与恢复能力，提高站点内容的防篡改与自动修复能力。 （8）恶意代码 恶意代码不限于病毒，还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。 （9）病毒的攻击 计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒，例如通过E-Mail传播的病毒，增加了这种威胁的程度。病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。当然，查

15、看文档、浏览图像或在Web上填表都不用担心病毒感染，然而，下载可执行文件和接收来历不明的E-Mail文件需要特别警惕，否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。 （10）不满的内部员工 不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。不论如何，他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据、制造传播一些有政治影响的或荒诞淫秽内容的信息等等。 （11

16、）网络的攻击手段 一般认为，目前对网络的攻击手段主要表现在： 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏（如黑客们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息。），信息在存储介质中丢失或泄漏，

17、通过建立隐蔽隧道等窃取敏感信息等。 破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。 拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。4.3 安全需求分析网络安全管理体系的目标应符合五个基本安全要素:机密性、完整性、可用性、可控性与可审查性。网络信息系统运行管理及安全保

18、障体系设计应具有完整性、纵深性，能够对信息系统提供多级保护，同时应适应网络升级改造的需要。通过直观的安全管理手段，集中管理所有资源，在提供安全管理信息支持时应具有易用性及可扩展性，提供简单易用的帮助、建议并提供运行状况报告和风险报告，适应组织和环境的变化。（1）网络安全需求明确需要保护什么？用什么样的机制保护？如何协调？资产分类保护对象硬件工作站、个人计算机、打印机、路由器、交换机、调制解调器、OA、DB服务器、工作站、防火墙软件应用系统、诊断程序、操作系统和通信程序等数据在线保存和离线归档的数据、备份、注册记录、数据库以及通信介质上传输的数据人员用户、管理员和硬件维护人员文档软件程序、内部硬

19、件和软件的评价、系统以及本地程序为了对网络系统进行基本的分析，按照提供的服务性质我们把网络系统划分为内部办公区、内部服务区、重点业务区。具体划分如下：内部网络内部办公区各楼层PC机、县区局工商所PC机内部服务区内网服务器（文件服务器、打印服务器等）重点业务区OA系统服务器（数据库服务器、应用服务器）；各区域安全管理需求:区域名称安全管理需求技术情况重点业务区安全风险需求操作系统弱点、漏洞现状：使用OS厂商补丁建议：通过安全评估技术加固操作系统网络攻击防范现状：暂无技术手段建议：通过入侵检测技术监控网络攻击；通过安全隔离系统实现隔离控制访问权限识别现状：使用OS提供的口令认证建议：通过CA认证技

20、术加强控制病毒防范现状：使用桌面防病毒系统建议：通过具备集中管理能力的网络防病毒系统，加强全网病毒防杀能力。访问动作监控（本地、网络）现状：使用OS提供日志记录 建议：通过安全管理审计系统加强控制数据存储安全、服务提供稳定现状：使用双机容错系统、数据备份系统保障数据安全。应用管理需求违规操作监控误操作防范现状：暂无技术手段建议：通过安全管理审计系统加强控制网管需求配置管理与调度管理现状：使用CiscoWork 2000实现网络设备的配置管理，在服务器配置管理与全网流量调度方面，暂无技术手段。建议：通过安全管理审计系统与网络管理系统配合加强管理。内部服务区安全风险需求操作系统弱点、漏洞现状：使用

21、OS厂商补丁建议：通过安全评估技术加固操作系统网络攻击防范现状：暂无技术手段建议：通过入侵检测技术监控网络攻击病毒防范现状：使用桌面防病毒系统建议：通过具备集中管理能力的网络防病毒系统，加强全网病毒防杀能力。访问动作监控（本地、网络）现状：使用OS提供日志记录 建议：通过安全管理审计系统加强控制应用管理需求通用网络应用监控现状：暂无技术手段建议：通过安全管理审计系统加强控制网管需求配置管理与调度管理现状：使，暂无技术手段。建议：通过安全管理审计系统与网络管理系统配合加强管理。内部办公区病毒防范现状：使用桌面防病毒系统建议：通过具备集中管理能力的网络防病毒系统，加强全网病毒防杀能力。（2）需要进

22、一步分析的内容l 评定资产价值n 根据不同的关键程度等级划分数据级别n 有形资产/无形资产n 明确对资产的潜在威胁和资产受此威胁攻击的可能性n 威胁是任何对网络或网络设备造成损害的个人、对象或事件n 脆弱性是网络系统存在的可能被威胁利用的缺陷l 分析受到威胁后造成的影响n 影响是一旦遭到威胁后，对XX市工商局造成直接的损失和潜在的影响。n 数据破坏n 丧失数据的完整性n 资源不可用n 诋毁名誉n l 风险缓解与安全成本n 确定XX市工商局能够接受多高的风险以及资产需要保护到什么程度。n 风险缓解是选择适当的控制方式将风险降低到可以接受水平的过程。n 性能成本（可用性、效率）n 经济成本：实施和

23、管理安全程序的花费必须与潜在利益进行比较有三种对策性问题的解决有助于内部网或内部用户的安全防范1）内部互访-如何控制网络不同部门之间的互相访问；2）管理维护-如何对不断变更的用户进行有效的管理；3）安全认证-如何加强远程拨号用户的安全认证管理；在网络规模较小，只有少数的访问服务器提供远程访问时，一般采用访问服务器的本地安全数据来提供安全认证。随着网络规模的增长以及对访问安全要求的提高，一般需要一台安全服务器为所有的拨号用户提供集中的安全数据库，用户无需在每台访问路由器上增加更改拨号用户安全信息，从而有助于实现统一的访问控制策略。4.4 安全建设目标XX市工商局的网络安全管理的建设目标是：在现有

24、网络基础设施和装备的基础上，以保障网络安全稳定运行为主线，充分利用先进的安全技术手段，建成和不断完善“全网网络安全管理体系”。充分利用传统网管技术与安全技术优势，构建技术能力与整体策略相呼应的动态安全管理体系，并经由规划应用审计规划的科学工程实现过程，满足网络安全管理的准确性、时效性和可分析性的需求。同时，以网络实时监控、科学审计为依托构建多层次立体综合安全框架，形成以保障市政府核心业务安全为重点，各系统稳定运行为基础的网络安全管理体系。网络安全管理的需求是变化的。管理、信息系统、安全体系和事务处理应当互相促进、平衡发展。因此在本项目建设初期，我们考虑到用户网络环境的实际应用状况，充分顾及与现

25、有应用的共通性，兼顾网络的整体发展和以后工程的衔接，力争做好网管核心的建设。4.5 建设原则为达成全网信息化建设的规划目标，在规划设计中除遵循保障的业务运行效率，以及具有良好的可扩展性能这两个基本原则外，还遵循以下原则：1）实用性原则充分考虑已有资源（软硬件及网络设备）的合理利用，做好新旧系统平稳过渡，避免出现不必要的浪费；2）先进性原则使网络安全系统在技术上达到同行业国内领先水平和二十一世纪国际先进水平，是本系统追求的总体目标。采用先进的网络工程学原理，确保实用有效，并提供完整的技术文档资料；3）需求、风险、代价平衡的原则进行实际研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临

26、的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略；4）综合性、整体性原则一个较好的安全管理措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等，这些环节在网络中的地位和影响作用，也只能从系统综合的角度去看待、分析，才能获得有效、可行的措施。即遵循整体安全性原则，根据规定的策略制定出合理的网络安全体系结构； 5）易用性原则技术人员可以简便的安装、运行安全技术。主要产品应具备简单、方便、友好的全中文用户界面，使用户易于理解、易学、易操作；6）动态实施管理原则随着网络规模的扩大及应用的增加，网络应用与安全性也会不断变化，一劳永逸地解决网

27、络应用与安全问题是不现实的。也就是说要根据网络的变化不断调整应对措施，结合我们提供的网络服务与安全技术服务，适应新的网络环境及安全需求。5 解决方案在现有网络基础设施和装备的基础上，以不影响网络实时性要求为前提，充分利用先进的安全技术手段，以网络实时监控、科学审计、应用认证为依托构建多层次立体综合安全框架，形成以保障XX市工商局的核心业务安全为重点，各级部门日常业务工作为基础的网络安全管理体系。从系统工程角度看总体目标是建设XX市工商局网络安全管理体系，形成全系统网路统一的安全管理策略。长远网络安全体系建设包含以下要点：（1）广域网安全技术集成-VPN技术、安全路由技术、认证技术（2）局域网安

28、全技术集成-访问控制、入侵检测、隔离网闸、评估等（3）综合审计技术-以上所有安全技术与网管技术、应用系统之间的协调管理。整体框架示意如下：已经或将要采用的安全技术与内部网络安全技术使用统一的技术标准，确保可以各种技术应用可纳入统一管理平台，以便在整体安全策略指导下，最大限度的发挥安全技术的防御能力。针对OSI七层协议考虑安全建设技术规范：物理层的安全防护：在物理层上主要通过制定物理层面的管理规范和措施以及采用物理隔离网闸来提供统一的安全解决方案。链路层安全保护：主要是链路加密设备对数据加密保护。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后解密。网络层和安全防护：网络层的安全防护

29、是面向IP包的。网络层主要采用防火墙作为安全防护手段，实现初级的安全防护。在网络层也可以根据一些安全协议实施加密保护。在网络层也可实施相应的入侵检测。传输层的安全防护：传输层处于通信子网和资源子网之间，起着承上启下的作用。传输层也支持多种安全服务：1)对等实体认证服务；2)访问控制服务；3)数据保密服务；4)数据完整性服务；5)数据源点认证服务。应用层的安全防护：原则上讲所有安全服务均可在应用层提供。在应用层可以实施强大的基于用户的身份认证。在应用层也是实施数据加密，访问控制的理想位置。在应用层还可加强数据的备份和恢复措施。应用层可以是对资源的有效性进行控制，资源包括各种数据和服务。应用层的安

30、全防护是面向用户和应用程序的，因此可以实施细粒度的安全控制。安全体系的建设是循序渐进的过程，基础安全管理平台建设一般通过以下5个方面集成安全技术。（1）加固服务器的抗攻击能力作为业务核心的服务器，因其在系统中所处的重要地位而最易受到黑客的攻击，故应对其采取以下安全防护机制:l 操作系统安全评估l 系统访问控制l 主机入侵检测l 主机防病毒l 系统完整性检查以实现防御核心安全机制的全面强化，大幅提升其自身的可靠性和安全级别。（2）提高网络通信枢纽对网络的安全控制能力对于其它网络设备作为网络通信枢纽采用以下安全机制以提高网络体系整体的安全防御能力:l 网络设备安全评估l 网络访问控制l 网络防病毒

31、（3）对网络行为的分析监控作为安全防御体系核心的网络入侵检测系统和上网行为管理系统，承担着全面监控网络安全状况的重要职责。其主要任务描述如下:l 检测恶意行为-通过时实监控、解析网络数据流，及时发现针对服务器及其它网络终端设备的恶意行为，并做出反应。l 早期攻击预警-收集并解析位于公网出口处探测器发来的信息，监控外部用户对内网终端的访问，并可对外部攻击行为作出早期预警，以提高防御系统的反应时效。l 监控违规操作-监控局域网内部数据信息，对违规操作等行为进行报警和控制。一是对互联网访问行为进行记录和控制，封堵或减少内网用户使用P2P,在线看电影，大流量下载等行为，对带宽进行合理有效分配；IPS,

32、防arp攻击等的安全防御，对内网单机的安全措施做有效管理。二是检查客户端是否安装了符合规定的操作系统、杀毒软件、防火墙程序等，不符合规定的不允许访问外网，以防带入不安全因素到内网。三是验证钓鱼网站证书，防止用户名密码被盗。四是集成企业级状态检测防火墙，可选IPS，网关杀毒的整网防护措施。全面保护内网。五是可以记录下所有的网络行为访问记录，比如外发消息，监控用户网访问过的网址和试图访问的网址等，在内部人员上网前进行认证，明确责任。网络安全管理目标体系是一个经由规划应用审计规划的动态实现过程，上述的所有安全策略和方法只是完成了初期安全规划。然后应定期对安全体系中所有功能模块或系统提供的系统日志和安

33、全日志进行审计、分析、总结。形成更为完善的安全策略和规划，以指导安全系统的运行。整个安全体系将依照上述过程不断循环往复，进而不断完善成熟。从事件发展的时间周期上看，安全体系分为三部分配合运做，以达到最终的协调统一。l 事前预防：安全评估的系统漏洞修补和入侵检测对攻击前探测的早期预警，构成了事前防御部分；l 事中保护：入侵检测系统对网络体系中信息流全方位的监测控制形成了事中保护安全机制。与访问控制、网络防病毒、系统完整性检查协同形成安全屏障； l 事后审计：安全事件发生后无论产生何种后果，都须对网络系统进行全面的完整性检查与系统日志和安全日志的审计，这就是事后审计阶段。（4）管理制度也是不可忽视

34、的因素在我们的安全体系设计思想中，安全管理制度应发挥不可替代的作用。它随时监督着规划应用审计这个安全系统运行过程的实施情况，管理者可根据安全系统在运行阶段取得的实际经验，不断完善安全管理制度，使其趋于合理。在建设初期通过认为制定制度与规范实现管理，条件成熟后，通过自动化综合审计技术，实现安全、网管、应用三方面技术与管理制度的智能协调。（5）安全技术与管理制度的协调过程下图体现了在实现自动化综合审计技术建立安全管理平台后安全技术、整体安全策略与管理制度的协调过程:网络安全管理综合平台由网络安全技术、安全技术管理并融合审计、策略与制度构建而成。n 网络安全技术应用通过网络安全技术解决网络及系统运行

35、中存在的安全风险，利用防火墙系统增强内外网之间的访问控制能力，利用入侵检测技术监控全网的访问行为，利用安全评估技术增强系统的抗攻击能力，利用防病毒技术增强网络系统防范病毒能力。n 安全技术管理通过安全管理平台集中管理各种网络安全技术，将各种安全技术的报警信息、日志信息集中到安全管理平台上，安全管理平台对这些信息进行分析和审计，为策略和制度的合理定制奠定基础。n 安全策略、制度完善根据安全管理平台分析和统计的结果，定制适应自身的安全运行策略以及合理的网络安全管理制度。在网络安全领域中的各种技术，在系统设计过程中，因其研究对象的不同、角度不同，导致每一种特定的技术都有其局限性，因此在建设网络安全管

36、理体系时，实现各种技术的无缝集成是关键所在。以网络安全管理平台为核心形成安全集中管理体系，不但可以实现各种技术的无缝集成，而且能够形成面向决策的智能化体系。“网络安全管理平台”通过统一的报警与响应平台作为各种层面技术的信息采集接口，把管理制度、规范与技术应用有机地结合起来，既可以用制度指导技术应用，又可以在技术应用的积累中完善制度；使安全管理体系形成一个良性的动态循环。5.1部署说明安全必须是全方位、综合性的，应由多层次的安全技术构成一个整体安全框架。在市政府系统部署安全技术后，形成整体安全防御层次，当系统受到入侵时，各安全防御层会分级阻止违规行为。在防御体系中，为入侵者设置了层层屏障。入侵者

37、必须通过多层次的防御屏障。这将增加入侵者被防住的机率，同时也增加了审核信息的数量，利用这些审核信息可以跟踪防范入侵者。安全隔离系统作为关键业务数据的最后一道屏障，以其强制访问控制机制确保重要数据不通过网络途径不外泄。安全技术的通用部署策略：多种安全技术（保护、检测、响应、恢复）之间存在着一定的因果和依存关系，形成一个整体。单一的保护机制不能形成整体抗打击能力，需要检测来为响应创造条件，有效与充分地响应安全事件，将大大减少对保护和恢复的依赖；恢复能力仅是数据损失后的最后保障机制。综合的，交叉的使用各种安全技术，是解决网络安全问题的有效手段。理想的安全规划能否实现，其关键在于网络行为分析应用的粒度

38、与力度。对网络特征与信息传递动作特征的分析总结，可以帮助管理者掌控自己网络系统每一个应用的技术细节，透彻理解网络协议的内涵，为改进网络安全体系积累技术依据。要建立一个安全的内部网，一个完整的解决方案必须从多方面入手。首先要加强主机本身的安全，减少漏洞；其次要用系统漏洞检测软件定期对网络内部系统进行扫描分析，找出可能存在的安全隐患；建立完善的访问控制措施，安装防火墙，加强授权管理和认证；加强数据备份和恢复措施；对敏感的设备和数据要建立必要的隔离措施；对在公共网络上传输的敏感数据要加密；加强内部网的整体防病毒措施；建立详细的安全审计日志等。部署示意图如下图：5.2安全产品5.2.1网络管理网络管理

39、技术是动态安全管理的核心技术之一，其中有两个需要重点考虑的因素：l 技术因素：行为监控系统因为网络结构的特性导致其监控范围是有限的，网络中的内外出入口均应配备行为监测技术，避免因部署的局限性而导致分析、响应能力的下降（现有的多种网络攻击技术）。l 人员因素：网络中安全事件过多或需要根据需求分析不同层次的网络行为时，因为日志量过大、策略配置的不完整以及人的精力毕竟有限等因素，监控中心过少将不可避免地导致片面性及响应时效不足等情况出现。解决方法：多级行为监控的配置策略可由上级监控中心统一管理（配置规则）下级监控中心的运行策略，下级监控中心可将高风险级别事件上传至上级监控中心，提高全网监控能力，加强

40、协助分析能力。l 全面掌握网络中数据流特征，避免片面性，提高全网安全能力。l 提高系统、人员的分析、处理能力。l 安全事件的响应灵活，避免造成在主干网上实施阻断时对网络应用产生影响。l 提高溯源、定位能力。l 如果监控中心数据不足，当问题出现于无行为监测系统的其它链路时，中心只能在主干网上实施阻断规则；如果在问题发生区域配置行为监控系统则可以从源头阻断，减少流量影响（如发生HTTP应用被利用作用攻击时，响应时会自动阻断该HTTP应用，此时会对应用及流量产生一定影响，在完成对溯源后，才可恢复应用）l 负载均衡。l 由不同的探测器分别分析不同类型的需求或服务，可避免数据损失（丢包）。避免因分析规则

41、过细导致的监控中心数据过大，降低分析和响应能力，影响行为分析的运行。1)管理平台l 系统管理体系需要建立在具有先进架构和技术的管理平台之上，管理平台具有优秀的集成性、扩展性和伸缩性；l 管理平台应具有管理信息安全的保障机制，以确保管理信息在网络上传递上的安全性和高效性（如管理员ID 和口令的加密）；l 系统管理集成在统一的分布式管理平台上，管理平台应采用面向对象技术，为管理应用提供公共服务（如策略文件的分发）；l 系统管理软件需要保证在被管理设备上不占用过多的系统资源 ( 如硬盘空间、内存等)；l 由于系统管理解决方案采用分布式体系结构，以实现分层管理，因此应努力减少网络带宽资源的占用；l 系

42、统管理解决方案能够定义多级管理员，完成授权的不同管理任务，杜绝超级用户，而且能够限制管理员的管理桌面，登录节点，管理权限；l 管理服务器应支持windows2003或UNIX平台。2)网络管理l 自动发现管理范围内的IP设备，能自动生成网络拓扑结构图，并且按照地理位置进行显示；l 添加、删除网络节点时，网络拓扑自动动态更新；l 提供多种网络管理协议的支持（如SNMP V1、SNMP V2等）；l 能对网络设备的运行状况进行实时监控；l 具有网络流量监控与统计功能；l 实现网络异常事件的报警与自动处理，可以通过规则灵活定制；l 具有网管故障分析定位功能；l 由于未来市政府专网有可能使用各种品牌（

43、类型）的设备，因此网管软件应能与第三方网络设备管理软件集成；l 具有动态组合资源的能力，能够根据资源的一般特性，如资源类型，所在地进行组合。而且组合内的资源能够实时动态更新，以减少人为错误和过时信息；l 具有安全功能，能够对网络管理员进行授权，认证，以保证网络管理本身的安全性；l 网管软件具有互相备份的功能，以消除网络管理的单点失效；l 网络管理数据的保存支持众多的关系型数据库：Sybase, Oracle, Informix, DB/2 , MS-SQL Server；l 提供Web界面显示网管的图形界面；l 能够控制网管管理区域；l 网络管理软件应支持跨地域的各分支机构局域网内部IP地址重

44、叠情况，能够实现重叠IP地址的转换。3)服务器系统监控管理l 提供对被监控服务器的重要特定资源进行实时监控；l 服务器系统资源监控的参数配置灵活、简便，并且能定制增加新的监控器；l 可以根据不同情况设置不同报警级别、预警阀值，在系统出现临界状态，系统能自动报警、自动响应和根据设置自动处理；l 系统监控应支持对历史数据的查看、分析和统计，并能生成性能监控历史分析图和预测分析；l 提供集中式的基于策略的管理方式，在一台机器上就可以对整个网络中的所有服务器进行远程监控和设置，可以集中定义、控制监控内容的配置、下发；l 支持对服务器的日志进行监控管理；l 提供在线和非在线的监控系统运行性能，如NT的内

45、存使用，进程运转，文件系统利用，用户登录，应用运行，数据库参数。4)软件分发软件分发系统功能应可以使系统管理员集中控制本辖区IT环境中应用程序、数据文件的分发、安装、卸载和更新。其功能应包括：l 提供软件分发管理，通过局域网或广域网，将应用软件分发到各个客户端；l 集中管理与控制，提供自动打包工具；l 可以进行定时控制和自动处理；l 传输的软件数据支持自动压缩和断点续传；l 要能提供特别针对广域网分发的机制和技术，对带宽进行管理，如：保证软件分发只占用20%的带宽，从而保证正常业务的运行；l 要能提供分发失败的多种处理机制；l 提供对移动用户的支持；l 支持并行分发；l 支持Push、Pull

46、及广播分发等多种分发模式；l 可以提交报表反映软件分发的详细报表。5)资产管理l 能够自动扫描辖区内硬件，软件配置；l 可以与其它系统管理应用集成，尤其为软件分发提供所需资源的信息；l 扫描数据的保存支持众多的关系型数据库：Sybase, Oracle, informix, DB/2 , MS-SQL Server；l 提供查询功能；6)备份管理系统管理软件应可实时对服务器上的数据进行自动备份、恢复及灾难恢复，防止硬盘、数据和介质遭到灾难性的破坏。其功能应包括：l 在统一的主控台集中进行网络数据备份，备份操作可定时自动进行；l 支持Windows2003 Server平台；l 支持全备份、增量

47、备份、归档等多种备份方式，并且针对不同的备份方式提供不同的备份策略；l 提供灾难备份管理；l 能支持数据库的Online在线备份，如Oracle，SQL数据库；l 能提供对存储介质的管理，如支持电子标签等；l 支持磁带内部标签，杜绝因误操作而引起的数据丢失；l 能支持对裸设备的备份/恢复；l 能提供全面的报表以反映数据存储的情况。7)统一事件处理l 具有事件统一报警处理机制，完整的事件管理：捕捉各种管理模块产生的管理事件，并能捕获操作系统、数据库、应用程序产生的日志；l 具有事件分类、过滤功能、自动处理能力，需要提供多种报警机制；l 提供基于规则的分析能力，并提供使用简单的规则定制工具；l 具

48、有分布式的智能处理能力；l 具有事件统计分析、报表功能；l 提供现成可用的处理规则，降低实施难度和工作量；l 支持和第三方管理平台的事件管理集成性；l 可以定义事件处理策略和规则；l 必须能够集成所有管理应用的事件。l 必须能够进行事件自动化处理和相关性处理；l 必须提供工具，以集成其它管理应用的事件。8)远程控制管理l 为Windows平台提供远程控制的功能，能够进行远程节点屏幕、鼠标和键盘的接管；l 支持在一个控制台上同时控制多个节点；l 能够在局域网和广域网上实现远程控制；l 具有严格的管理员权限控制，防止非授权人员进行非法操作；l 提供集成的对话与文件传输功能，协助管理员进行技术支持服

49、务。9)支持管理l 为管理信息提供决策分析支持；l 提供对网络管理、服务器管理、故障管理、资产管理、软件分发管理的统计分析指导，并自动根据新的数据生成报告；l 提供客户化支持，能够增加自定义的分析项目；l 分析结果以图表方式表现，并可以按照机器类型、地址、时间进行查询，对分析结果能够逐层深入；报表可以生成HTML文件，进行公布。5.2.1.1拓扑自动生成网络管理系统可自动发现网络节点、自动产生网络拓扑图，支持DHCP动态分配IP网段的自动发现。网络管理系统将发现以下的对象，并将其放置在默认的映射图中：l 因特网级的子图：IP网络、网关、路由器、和多主机(multi-homed)工作站l 网络级

50、的子图：总线型、星型(star)、和环状网；网关、 网络、网关、和路由器l 网段级的子图：主机、网关、路由器、交换机、集线器、和网桥；如果使用路由器、交换机、集线器；如果使用Windows 2003操作系统，则加上：IPX网络、网关、和路由器l 节点级的子图：网络接口卡5.2.1.2网络事件报警l 显示有关一个警报的重要信息。l 将警报分类。l 确认造成警报的故障正在被处理。l 以多种方法动态地过滤警报清单，令信息变得更加有用。例如，按节点过滤等。l 当警报解除之后，将其从清单中删除。l 指出特定事件中需要执行的额外动作。清单中的每一个警报都显示了以下的信息：Ack一个检查标记，指示该警报是否

51、被确认。Cor本栏中的记录表示它是否是一个由事件关联系统识别出来的，一组警报的主要（根源）警报。Severity警报的严重性Date/Time接收该警报时的星期、日期、和时间Source发出警报的网络对象的标识（例如一个节点名称）Message警报的简要描述5.2.1.3网络管理系统的事件关联系统事件关联通过识别冗余事件的模式(pattern)，判断将其舍弃或者用更少更有意义的事件替换的方式，修改事件流。事件关联功能可以明显地减少显示在报警栏中的冗余事件的数量，并提高事件的价值。当发生设备和连接故障时，系统将产生大量事件，而一个关联的事件流中只显示最有意义的警报，可以更快更简单地识别网络的故障

52、。5.2.1.4定制事件网络管理系统可以通过使用多个内置的应用，控制事件系统。SNMP MIB Browser功能：可以装入和利用各种设备的MIB的功能。可以进行查询、判断远程设备的状态、配置和有效资源。Event Configuration功能：可以定制事件，例如修改MIB生成的错误信息的标准措词，令错误信息更加清楚明了。您可以控制事件将被分配到Alarm Browser的哪些类别：l 自动动作(Automatic Actions)，例如每当网络管理系统接收到一个特定的事件时，就自动拨打一个短信。一个自动动作命令与特定的事件紧密结合在一起，并可以被限制在特定的IP主机名称和/或者IPX地址的

53、清单中。l 执行批处理文件或者可执行文件的其它动作。您可以配置其它动作显示在网络管理系统的菜单中。其它动作可以应用在任何警报或者特定的警报组中。（1）信息采集功能l MIB Application Builder在NNM中设置新的菜单项目，在必要时存取您所选择的MIB对象。l Data Collection & Thresholds配置NNM，自动地采集您所选择的SNMP-MIB对象（设定特定的采集时间、建立设备的阈值监视、以及控制Alarm Browser上所显示的结果）。l MIB Expressions生成MIB表达式（使用MIB对象进行分析的数学公式），用于Data Collectio

54、n & Thresholds。（2）流量查询查询MIB对象，或者通过键入IP地址查询指定的网络设备的相关事件(instanaces)，可以查看所选节点上的实时MIB数值；从而取得和分析该设备流量。还可以通过设定一个时间间隔进行查询，采集多个事件，并显示结果的图形。（3）定义被监视MIB对象的阈值阈值定制功能可以定义特定的被监视MIB对象的阈值，并配置发布在报警栏上的事件，以及当超过特定的阈值时，需要自动采取哪些动作。每一个节点上可以设置多个阈值，每一个样本都有一个阈值。例如，一个主要硬盘上的阈值，或端口流量阀值等。（4）生成和使用MIB表达式MIB表达式是MIB对象的数学公式，它令您可以比单独

55、的MIB对象中得到有关网络运行的更有意义的信息。MIB表达式用于网络管理系统的Data Collection & Thresholds功能和网络管理系统的Event Configuration功能。（5）历史数据分析网络管理系统的数据仓库是提供的一个关系型数据库(RDBMS)。命令行功能可以维护数据仓库。将网络管理系统数据库中信息的一个副本保存在数据仓库中，以获得网络上的历史信息。数据仓库的信息可以使用ODBC工具的标准SQL语句存取。通过Data Warehouse功能可以从数据仓库中输出数据，用于其它的统计分析程序或者管理工具。其作用为：n 预测网络和主机资源的需求，例如网关流量和服务器磁

56、盘空间等。n 监测正常活动中的偏差。n 查找网络故障和性能问题。（6）对设备支持网络管理系统可对所有支持SNMP的设备进行管理，在网络管理系统中Load相应设备的MIB库，使其支持该设备。(MIB库所一般随设备提供)5.2.2入侵检测/防御入侵检测系统是网络安全系统的一个重要组成部分，它不但可以实现复杂烦 琐的信息系统安全管理，而且还可以从目标信息系统和网络资源中采集信息，分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击作出反应。 入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关

57、的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。5.2.2.1结构与工作方式入侵检测和漏洞检测系统是防火墙的重要补充，并能有效地结合其他网络安全产品的性能，对网络安全进行全方位的保护。入侵检测技术可分为五种： (1) 基于应用的监控技术主要特征是使用监控传感器在应用层收集信息。由于这种技术可 以更准确地监控用户某一应用的行为，所以这种技术在日益流行的电子商务中也越来越受到注意，其缺点在于有可能降低技术本身的安全。 (2) 基于主机的监控技术主要特征是使用主机传感器监控本系统的信息。这种技术可以用于分布式、加密、交

58、换的环境中监控，把特定的问题同特定的用户联系起来；其缺点在于主机传感器要和特定的平台相关联，对网络行为不易领会，同时加大了系统的负担。 (3) 基于目标的监控技术主要特征是针对专有系统属性、文件属性、敏感数据、攻击进程结果进行监控。这种技术不依据历史数据，系统开销小，可以准确地确定受攻击的部位，受到攻击的系统容易恢复；其缺点在于实时性较差，对目标的检验数依赖较大。 (4) 基于网络的监控技术主要特征是网络监控传感器监控包监听器收集的信息。该技术不需要任何特殊的审计和登录机制，只要配置网络接口就可以了，不会影响其他数据源；其缺点在于如果数据流进行了加密，就不能审查其内容，对主机上执行的命令也感觉

59、不到。此外，该技术对高速网络不是特别有效。 (5) 综合以上4种方法进行监控其特点是可提高侦测性能，但会产生非常复杂的网络安全方案，严重影响网络的效率，而且目前还没有一个统一的业界标准。l 系统结构系统采用分布处理，集中控制。控制台可以管理多个探测器。探测器分布于需要保护的网段上，实时捕捉恶意网络行为，监控所在网段安全状况。控制台可管理所有探测器，将探测器发送来的报警信息和日志信息记入数据库，总控全网安全状况。用安全控制中心和多台探测器可以组成一个集中管理的分布式安全监测预警系统。它可以放置在组织范围内的各个网段上，以统一的网络安全策略对网络进行管理监测。l 工作方式入侵检测系统以监听方式工作

60、，是完全透明方式，对网络通讯不附加任何延时，不会影响网络传输。网络流量取决于安全控制中心与探测器间的信息流量和能识别攻击与安全事件的次数以及日志量。正常工作时：通过监听网络传输，获得数据包的一个副本，并对其进行处理，所以几乎不影响信息流的传输，因此不会使信息流传输延时。当检测到网络攻击时：进行阻断连接的攻击响应，系统会对试图攻击的后续网络信息流有影响。一般情况下，入侵检测系统不会增加网络流量。对网络流量影响平均低于3%，符合国际工业标准。5.2.2.2实时监控预警与自动响应当发现网络攻击或未授权访问时，安全监测预警系统能够根据系统安全策略做出反应。寻找到网络攻击模式和其他网络违规活动时，入侵检

61、测系统可以进行如下反应：l 控制台报警l 记录网络攻击事件l 实时阻断网络连接入侵检测系统记录事件的日志详细的描述了数据包的源地址、目的地址、数据包类型、使用的端口、发生的日期时间以及报警原因等信息。基于TCP连接的数据包，NISD可根据安全策略进行自动阻断。基于UDP连接的数据包，则需要管理员根据NISD报警日志提供的数据手工配置路由器或防火墙阻断。5.2.2.3数据包解析能力入侵检测系统支持Ethernet、Fast Ethernet、FDDI等多种网络类型，同时支持TCP/IP、NetBIOS等网络协议。能够检测识别Web、E-mail、RSH、Telnet、NFS、SMB、SNMP、D

62、NS等服务种类型，并对每一种服务监控策略提供了配置方法。5.2.2.4识别的攻击类型入侵检测系统系统中内含入侵方法库，包括了1000多种入侵方法，并且还将通过不断跟踪网络入侵技术的发展，继续扩充入侵方法库，以识别新的入侵特征。这些入侵方法可利用计算机操作系统、网络服务和应用程序的一些安全漏洞，对计算机系统、应用系统和网络系统进行干扰和破坏，获取系统的控制权、窃取系统文件、阻止系统的正常服务。用户还可以根据本地网络结构的特点，制定具体的本地监测方法。两者丰富了监测的手段，以达到最佳的防护功能。入侵检测系统内置已知网络攻击模式数据库，能够根据网络数据流和网络通讯会话轨迹，寻找网络攻击模式。目前已支持的攻击特征示例如下：网络攻击特征按性质可以分为攻击与解码两种，五类表现形式：拒绝服务攻击、未授权访问尝试、攻击前探测、可疑行为、解码。 拒绝服务攻击拒绝服务攻击能造成目标主机瘫痪，尤其是当目标主机为因特网服务器时，所造成的破坏会更大。l Echo攻击检测l Finger炸弹弱点检测l Land拒绝服务攻击l Ping洪流l Ping of Deathl Rwhod弱点检测l Smurf