網(wǎng)絡(luò)安全建設(shè)實(shí)施方案
《網(wǎng)絡(luò)安全建設(shè)實(shí)施方案》由會(huì)員分享,可在線閱讀,更多相關(guān)《網(wǎng)絡(luò)安全建設(shè)實(shí)施方案(89頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、1京唐港股份有限公司京唐港股份有限公司網(wǎng)絡(luò)安全建設(shè)實(shí)施方案網(wǎng)絡(luò)安全建設(shè)實(shí)施方案二二 OOOO 七年二月七年二月2目錄目錄1概述概述.32網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè).32.1安全現(xiàn)狀分析.32.2安全風(fēng)險(xiǎn)分析.42.2.1物理安全.42.2.2網(wǎng)絡(luò)安全與系統(tǒng)安全.42.2.3應(yīng)用安全.52.2.4安全管理.52.3安全需求分析.62.3.1物理安全需求分析.62.3.2網(wǎng)絡(luò)安全與系統(tǒng)安全.72.3.3應(yīng)用安全.72.3.4安全管理.82.4安全實(shí)施方案.82.4.1物理安全防護(hù).82.4.2備份與恢復(fù).92.4.3訪問(wèn)控制.92.4.4系統(tǒng)安全.92.4.5網(wǎng)段劃分與虛擬局域網(wǎng).112.4
2、.6辦公網(wǎng)整體安全建議.112.4.7防火墻實(shí)施方案.132.4.8入侵檢測(cè)系統(tǒng)實(shí)施方案.202.4.9漏洞掃描系統(tǒng)實(shí)施方案.292.4.10身份認(rèn)證系統(tǒng)實(shí)施方案.332.4.11安全審計(jì)系統(tǒng)實(shí)施方案.392.4.12防病毒系統(tǒng)實(shí)施方案.433異地網(wǎng)接入安全建設(shè)異地網(wǎng)接入安全建設(shè).553.1接入方式選擇.563.2安全性分析.573.3兩種方式優(yōu)勢(shì)特點(diǎn).573.4VPN 原理介紹.583.5VPN 的選型.633.6財(cái)務(wù)系統(tǒng)安全防護(hù).664機(jī)房設(shè)備集中監(jiān)控管理機(jī)房設(shè)備集中監(jiān)控管理.664.1.1設(shè)備及應(yīng)用系統(tǒng)管理現(xiàn)狀.664.1.2建立機(jī)房集中控制管理系統(tǒng)需求.664.1.3集中控制管理系統(tǒng)方
3、案實(shí)現(xiàn).674.1.4功能特點(diǎn).684.2監(jiān)控顯示系統(tǒng).684.2.1投影顯示系統(tǒng).6834.2.2等離子顯示系統(tǒng).685網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)管理中心.695.1.1建立網(wǎng)絡(luò)管理中心需求.695.1.2網(wǎng)絡(luò)管理功能實(shí)現(xiàn).696桌面管理及補(bǔ)丁分發(fā)中心桌面管理及補(bǔ)丁分發(fā)中心.726.1.1建立桌面管理中心需求.726.1.2桌面管理功能實(shí)現(xiàn).747網(wǎng)絡(luò)設(shè)備升級(jí)網(wǎng)絡(luò)設(shè)備升級(jí).8141 概述概述京唐港股份有限公司辦公大樓網(wǎng)絡(luò)信息系統(tǒng)目前剛剛投入使用,主要包括新建大廈、舊辦公區(qū)辦公網(wǎng)絡(luò)以及部分省市辦事處專網(wǎng),該套網(wǎng)絡(luò)與 Internet互聯(lián),將要實(shí)現(xiàn)整個(gè)業(yè)務(wù)系統(tǒng)的辦公自動(dòng)化,包括業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)存儲(chǔ)備份、
4、文件共享、對(duì)外宣傳等,同時(shí)還要為員工相關(guān)業(yè)務(wù)應(yīng)用及學(xué)習(xí)提供便利的上網(wǎng)條件;所以該網(wǎng)絡(luò)既是辦公系統(tǒng)的承載體,也是威脅風(fēng)險(xiǎn)的承受體,在公司規(guī)模日漸壯大的今天,網(wǎng)絡(luò)規(guī)模也相應(yīng)的在不斷的擴(kuò)大,相關(guān)的配套網(wǎng)絡(luò)及安全設(shè)備雖然具有較新的技術(shù)和功能,但還不足以抵御紛繁復(fù)雜的互聯(lián)網(wǎng)的威脅,整個(gè)網(wǎng)絡(luò)的安全也需要做相應(yīng)的增強(qiáng)防護(hù),另外從設(shè)備及應(yīng)用的管理角度來(lái)看,可以采取一些智能和高效的管理手段及措施,在保障業(yè)務(wù)正常運(yùn)行了同時(shí),保證系統(tǒng)的安全可靠,減少和簡(jiǎn)化安全管理,提高系統(tǒng)工作效率。本方案將著重從安全系統(tǒng)的整體建設(shè)及相應(yīng)的一些網(wǎng)絡(luò)管理手段上具體分析,并提出可行性的實(shí)施方案,把目前在使用過(guò)程中遇到的一些問(wèn)題解決并防患
5、于未然,同時(shí)為用戶提供一整套安全及網(wǎng)絡(luò)管理措施,把公司網(wǎng)絡(luò)建設(shè)成為一個(gè)符合業(yè)務(wù)需求、安全可靠、容易管理操作的高質(zhì)量的辦公網(wǎng)絡(luò)。2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)2.1 安全現(xiàn)狀分析安全現(xiàn)狀分析京唐港股份有限公司依托于京唐港整體規(guī)劃建設(shè)和發(fā)展,將承載著越來(lái)越多的港口業(yè)務(wù)等工作,特別是隨著信息化辦公的進(jìn)一步深入,自動(dòng)化辦公的便利和效率可以說(shuō)是公司發(fā)展壯大的必要手段;但是京唐港股份有限公司辦公大樓是整個(gè)公司信息的核心地帶,不但為本地員工及另外一個(gè)園區(qū)的業(yè)務(wù)人員提供各種辦公應(yīng)用服務(wù),而且在各地已經(jīng)或是將要成立辦事處,實(shí)現(xiàn)遠(yuǎn)程辦公,并且各個(gè)位置和部門的業(yè)務(wù)需求又不盡相同,在這種網(wǎng)絡(luò)結(jié)構(gòu)較為龐大,多層次
6、、多應(yīng)用的網(wǎng)絡(luò)中,安全是一項(xiàng)很重要的任務(wù)和保證措施。目前,該網(wǎng)絡(luò)已經(jīng)建設(shè)完成,安全手段主要在網(wǎng)絡(luò)邊界處采取了防火墻,5在整個(gè)網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)版殺毒軟件和網(wǎng)管軟件,其他安全措施主要是依靠個(gè)人的安全意識(shí)和行為;現(xiàn)階段,全網(wǎng)已經(jīng)爆發(fā)了多次病毒感染等問(wèn)題,一定程度上影響了辦公的效率,所以有必要進(jìn)一步從技術(shù)角度完善安全系統(tǒng)。2.2 安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)分析2.2.1 物理安全物理安全物理安全層面存在下述威脅和風(fēng)險(xiǎn)形式:機(jī)房毀壞:由于戰(zhàn)爭(zhēng)、自然災(zāi)害、意外事故造成機(jī)房毀壞,大部分設(shè)備損壞。線路中斷:因線路中斷,造成系統(tǒng)不能正常工作。電力中斷:因電力檢修、線路或設(shè)備故障造成電力中斷。設(shè)備非正常毀壞:因盜竊、人
7、為故意破壞造成設(shè)備毀壞。設(shè)備正常損壞:設(shè)備軟 、硬件故障,造成設(shè)備不能正常工作。存貯媒體損壞:因溫度 、濕度或其他原因,各種數(shù)據(jù)存儲(chǔ)媒體不能正常使用。2.2.2 網(wǎng)絡(luò)安全與系統(tǒng)安全網(wǎng)絡(luò)安全與系統(tǒng)安全互聯(lián)網(wǎng)安全隱患:互聯(lián)網(wǎng)會(huì)帶來(lái)的越權(quán)訪問(wèn)、惡意攻擊、病毒入侵等安全隱患;搭線竊取的隱患:黑客或犯罪團(tuán)體通過(guò)搭線和架設(shè)協(xié)議分析設(shè)備非法竊取系統(tǒng)信息;病毒侵襲的隱患:病毒在系統(tǒng)內(nèi)感染、傳播和發(fā)作;操作系統(tǒng)安全隱患:操作系統(tǒng)可能的后門程序、安全漏洞、安全設(shè)置不當(dāng)、安全級(jí)別低等,缺乏文件系統(tǒng)的保護(hù)和對(duì)操作的控制,讓各種攻擊有可乘之機(jī);數(shù)據(jù)庫(kù)系統(tǒng)安全隱患:不能實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行情況,數(shù)據(jù)庫(kù)數(shù)據(jù)丟失、被非法
8、訪問(wèn)或竊取;應(yīng)用系統(tǒng)安全隱患:應(yīng)用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等,6可能出現(xiàn)非法訪問(wèn);惡意攻擊和非法訪問(wèn):拒絕服務(wù)攻擊,網(wǎng)頁(yè)篡改,下載不懷好意的惡意小程序,對(duì)系統(tǒng)進(jìn)行惡意攻擊,對(duì)系統(tǒng)進(jìn)行非法訪問(wèn)等。2.2.3 應(yīng)用安全應(yīng)用安全身份假冒:缺少?gòu)?qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng),關(guān)鍵業(yè)務(wù)系統(tǒng)被假冒身份者闖入;非授權(quán)訪問(wèn):缺少?gòu)?qiáng)制認(rèn)證和加密措施的涉密信息系統(tǒng),關(guān)鍵業(yè)務(wù)系統(tǒng)被越權(quán)訪問(wèn);數(shù)據(jù)失、泄密:涉密數(shù)據(jù)在處理、傳輸、存儲(chǔ)過(guò)程中,被竊取或非授權(quán)訪問(wèn);數(shù)據(jù)被修改:數(shù)據(jù)在處理、傳輸、存儲(chǔ)過(guò)程中被非正常修改和刪除;否認(rèn)操作:數(shù)據(jù)操作者為逃避責(zé)任而否認(rèn)其操作行為。2.2.4 安全管理安全管理安全管理組
9、織不健全:沒(méi)有相應(yīng)的安全管理組織,缺少安全管理人員編制,沒(méi)有建立應(yīng)急響應(yīng)支援體系等。缺乏安全管理手段:不能實(shí)時(shí)監(jiān)控機(jī)房工作、網(wǎng)絡(luò)連接和系統(tǒng)運(yùn)行狀態(tài),不能及時(shí)發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件,不能追蹤安全事件等。人員安全意識(shí)淡?。簾o(wú)意泄漏系統(tǒng)口令等系統(tǒng)操作信息,隨意放置操作員 IC 卡,私自接入外網(wǎng),私自拷貝竊取信息,私自安裝程序,不按操作規(guī)程操作和越權(quán)操作,擅離崗位,沒(méi)有交接手續(xù)等,均會(huì)造成安全隱患。管理制度不完善:缺乏相應(yīng)的管理制度,人員分工和職責(zé)不明,沒(méi)有監(jiān)督、約束和獎(jiǎng)懲機(jī)制,存在潛在的管理風(fēng)險(xiǎn)。缺少標(biāo)準(zhǔn)規(guī)范:系統(tǒng)缺乏總體論證,沒(méi)有或缺少相關(guān)的標(biāo)準(zhǔn)規(guī)范,各子系統(tǒng)各自為政,系統(tǒng)的互聯(lián)性差,擴(kuò)展性不
10、強(qiáng)。缺乏安全服務(wù):人員缺少安全培訓(xùn),系統(tǒng)從不進(jìn)行安全評(píng)估和安全加固,系統(tǒng)故障不能及時(shí)恢復(fù)等。72.3 安全需求分析安全需求分析基于上述的安全風(fēng)險(xiǎn)分析,京唐港股份有限公司信息系統(tǒng)必須采取相應(yīng)的應(yīng)對(duì)措施與手段,形成有效的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力,為整個(gè)信息系統(tǒng)建立可靠的安全運(yùn)行環(huán)境和安全業(yè)務(wù)系統(tǒng),切實(shí)保障全公司信息系統(tǒng)正常、有序、可靠地運(yùn)行。 2.3.1 物理安全需求分析物理安全需求分析異地容災(zāi):異地容災(zāi)主要是預(yù)防場(chǎng)地問(wèn)題帶來(lái)的數(shù)據(jù)不可用等突發(fā)情況。這些場(chǎng)地問(wèn)題包括:電力中斷供電部門因各種原因長(zhǎng)時(shí)間的中斷;電信中斷各種原因造成的通信線路破壞;戰(zhàn)爭(zhēng)、地震、火災(zāi)、水災(zāi)等造成機(jī)房毀壞或不
11、可用等。這些災(zāi)難性事件會(huì)直接造成業(yè)務(wù)的中斷,甚至造成數(shù)據(jù)丟失等,會(huì)造成相當(dāng)程度的社會(huì)影響和經(jīng)濟(jì)影響。通過(guò)容災(zāi)系統(tǒng)將這種“場(chǎng)地”故障造成的數(shù)據(jù)不可用性減到最小。要求災(zāi)難發(fā)生時(shí),異地容災(zāi)系統(tǒng)保證:數(shù)據(jù)在遠(yuǎn)程場(chǎng)地存有一致、可用的拷貝,保證數(shù)據(jù)的安全;應(yīng)用立即在遠(yuǎn)程現(xiàn)場(chǎng)運(yùn)行,保證業(yè)務(wù)的連續(xù)性 。機(jī)房監(jiān)控:機(jī)房監(jiān)控主要是預(yù)防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。設(shè)備備份:設(shè)備備份用于預(yù)防關(guān)鍵設(shè)備意外損壞。網(wǎng)絡(luò)中關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器應(yīng)有冗余設(shè)計(jì)。線路備份:線路備份主要是預(yù)防通信線路意外中斷。電源備份:電源備份用于預(yù)防電源故障引起的短時(shí)電力中斷。2.3.2 網(wǎng)絡(luò)安全與系統(tǒng)
12、安全網(wǎng)絡(luò)安全與系統(tǒng)安全深層防御:深層防御就是采用層次化保護(hù)策略,預(yù)防能攻破一層或一類保護(hù)的攻擊行為,使之無(wú)法破壞整個(gè)辦公網(wǎng)絡(luò)。要求合理劃分安全域,對(duì)每個(gè)安全域的邊界和局部計(jì)算環(huán)境,以及域之間的遠(yuǎn)程訪問(wèn),根據(jù)需要采用適當(dāng)?shù)挠行ПWo(hù)。8邊界防護(hù):邊界防護(hù)用于預(yù)防來(lái)自本安全域以外的各種惡意攻擊和遠(yuǎn)程訪問(wèn)控制。邊界防護(hù)機(jī)制有防火墻、入侵檢測(cè)、隔離網(wǎng)閘等,實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離。網(wǎng)絡(luò)防病毒:網(wǎng)絡(luò)防病毒用于預(yù)防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。備份恢復(fù):備份恢復(fù)用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復(fù)。漏洞掃描:漏洞掃描用于及時(shí)發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)以及網(wǎng)絡(luò)協(xié)議安全漏洞,防止安全漏洞引起的安全隱患。主機(jī)保護(hù)
13、:對(duì)關(guān)鍵的主機(jī),例如數(shù)據(jù)庫(kù)服務(wù)器安裝主機(jī)保護(hù)軟件,對(duì)操作系統(tǒng)進(jìn)行安全加固。安全審計(jì):用于事件追蹤。要求網(wǎng)絡(luò)、安全設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)有審計(jì)功能,同時(shí)安裝第三方的安全監(jiān)控和審計(jì)系統(tǒng)。2.3.3 應(yīng)用安全應(yīng)用安全身份認(rèn)證:身份認(rèn)證用于保證身份的真實(shí)性。公司網(wǎng)絡(luò)中身份認(rèn)證包括用戶身份認(rèn)證、管理人員身份認(rèn)證、操作員身份認(rèn)證服務(wù)器身份認(rèn)證。鑒于辦公網(wǎng)與互聯(lián)網(wǎng)相連,用戶數(shù)量較大的,基于數(shù)字證書(CA)的認(rèn)證體制將是理想的選擇。權(quán)限管理:權(quán)限管理指對(duì)公司辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、主機(jī)系統(tǒng)的所有操作和訪問(wèn)權(quán)限進(jìn)行管理,防止非授權(quán)訪問(wèn)和操作。數(shù)據(jù)完整性:數(shù)據(jù)完整性指對(duì)辦公網(wǎng)絡(luò)中存儲(chǔ)、傳輸?shù)臄?shù)據(jù)進(jìn)行數(shù)
14、據(jù)完整性保護(hù)??沟仲嚕嚎沟仲嚲褪峭ㄟ^(guò)采用數(shù)字簽名方法保證當(dāng)事人行為的不可否認(rèn)性,建立有效的責(zé)任機(jī)制,為京唐港公司網(wǎng)絡(luò)創(chuàng)造可信的應(yīng)用環(huán)境。安全審計(jì):各應(yīng)用系統(tǒng)對(duì)各種訪問(wèn)和操作要有完善的日志記錄,并提供相應(yīng)的審計(jì)工具。2.3.4 安全管理安全管理組織建設(shè):安全管理組織建設(shè)包括:組織機(jī)構(gòu)、人才隊(duì)伍、應(yīng)急響應(yīng)9支援體系等的建設(shè)。制度建設(shè):安全管理制度建設(shè)包括:人員管理制度、機(jī)房管理制度、卡機(jī)具生產(chǎn)管理制度、設(shè)備管理制度、文檔管理制度等的建設(shè)。標(biāo)準(zhǔn)建設(shè):安全標(biāo)準(zhǔn)規(guī)范建設(shè)包括:數(shù)據(jù)交換安全協(xié)議、認(rèn)證協(xié)議、密碼服務(wù)接口等標(biāo)準(zhǔn)規(guī)范的建立。安全服務(wù):安全服務(wù)包括安全培訓(xùn)、日常維護(hù)、安全評(píng)估、安全加固、緊急響應(yīng)等
15、。技術(shù)建設(shè):安全管理技術(shù)建設(shè)主要指充分利用已有的安全管理技術(shù),利用和開發(fā)相關(guān)的安全管理工具,提高安全管理的自動(dòng)化、智能化水平 。2.4 安全實(shí)施方案安全實(shí)施方案2.4.1 物理安全防護(hù)物理安全防護(hù)物理安全是整個(gè)系統(tǒng)安全的基礎(chǔ),要把公司內(nèi)部局域網(wǎng)系統(tǒng)的安全風(fēng)險(xiǎn)減至最低限度,需要選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品,保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。機(jī)房建設(shè)必須嚴(yán)格按照國(guó)家標(biāo)準(zhǔn) GB50173-93電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 、國(guó)標(biāo) GB2887-89計(jì)算站場(chǎng)地技術(shù)條件 、GB9361-88計(jì)算站場(chǎng)地安全要求進(jìn)行建設(shè)。通過(guò)防盜措
16、施,如裝備報(bào)警裝置防止設(shè)備被盜;通過(guò)對(duì)重要設(shè)備電源采用UPS 供電防止電源意外斷電中斷服務(wù);通過(guò)對(duì)重要設(shè)備或線路冗余備份保持服務(wù)的可持續(xù)性。2.4.2 備份與恢復(fù)備份與恢復(fù)對(duì)于網(wǎng)絡(luò)應(yīng)用實(shí)時(shí)性要求很高的系統(tǒng),數(shù)據(jù)備份措施往往采用服務(wù)器的雙機(jī)備份。即兩臺(tái)服務(wù)器同時(shí)安裝備份系統(tǒng),同時(shí)在線,互為備份。正常情況下,10由主服務(wù)器提供服務(wù),備份服務(wù)器處于帶電但不提供服務(wù)狀態(tài),一旦主服務(wù)器出現(xiàn)故障,備份服務(wù)器自動(dòng)接管主服務(wù)器來(lái)提供服務(wù)。保證應(yīng)用服務(wù)器能夠提供不間斷的服務(wù)。京唐港股份公司應(yīng)用服務(wù)可靠要求較高,而且業(yè)務(wù)數(shù)據(jù)存儲(chǔ)容量會(huì)隨著業(yè)務(wù)的擴(kuò)展而增大,并非常重要。為了防止業(yè)務(wù)數(shù)據(jù)的丟失和損壞而影響業(yè)務(wù)辦理,或
17、者在數(shù)據(jù)出現(xiàn)意外事故時(shí)無(wú)法恢復(fù),必須對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份。根據(jù)實(shí)際情況可采用 SAN 結(jié)構(gòu)存儲(chǔ)系統(tǒng),采用磁帶庫(kù)進(jìn)行備份并實(shí)現(xiàn)災(zāi)難恢復(fù)。2.4.3 訪問(wèn)控制訪問(wèn)控制訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)最有效手段之一,據(jù)統(tǒng)計(jì)分析,完善的訪問(wèn)控制策略可把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降低 90%。網(wǎng)絡(luò)的訪問(wèn)控制技術(shù)可以針對(duì)網(wǎng)絡(luò)協(xié)議、目標(biāo)對(duì)象以及通訊端口等進(jìn)行過(guò)濾和檢驗(yàn),符合條件才通過(guò),不符合條件的則被丟棄。系統(tǒng)訪問(wèn)控制可以針對(duì)具體的一個(gè)文件或目錄授權(quán)給指定的人員相應(yīng)的權(quán)限,受派者在試圖訪問(wèn)相應(yīng)信息時(shí),需要驗(yàn)證身份、判別權(quán)限后才能進(jìn)行訪問(wèn)。訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。訪問(wèn)控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核
18、心策略之一。訪問(wèn)控制策略可以采用三層交換設(shè)備 VLAN 技術(shù)、ACL 技術(shù)、綁定技術(shù)等,使得不同部門、不同組別、不同用戶之間的網(wǎng)絡(luò)訪問(wèn)達(dá)到有效的控制;也可以通過(guò)在不同網(wǎng)絡(luò)安全域之間加裝防火墻等安全設(shè)備,利用防火墻的控制策略達(dá)到網(wǎng)絡(luò)訪問(wèn)控制的目的。2.4.4 系統(tǒng)安全系統(tǒng)安全系統(tǒng)安全包括數(shù)據(jù)庫(kù)安全和操作系統(tǒng)安全,下面分別闡述。數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)存放了整個(gè)網(wǎng)絡(luò)中的重要數(shù)據(jù),為此需要建立一套有效的安全機(jī)制。加強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)登陸權(quán)限管理,加強(qiáng)管理員登陸口令的管理以及數(shù)據(jù)庫(kù)遠(yuǎn)程訪問(wèn)權(quán)限的管理,對(duì)數(shù)據(jù)庫(kù)采用備份與恢復(fù)機(jī)制。同時(shí)對(duì)重要的涉密系統(tǒng)應(yīng)選用11經(jīng)國(guó)家主管部門批準(zhǔn)使用的安全數(shù)據(jù)庫(kù),或者對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全增
19、強(qiáng)改造、加固。數(shù)據(jù)庫(kù)具體安全要求:1、用戶角色的管理這是保護(hù)數(shù)據(jù)庫(kù)系統(tǒng)安全的重要手段之一。把網(wǎng)絡(luò)中使用數(shù)據(jù)庫(kù)的用戶設(shè)置為不同的用戶組并對(duì)用戶組的安全屬性進(jìn)行驗(yàn)證,有效地防止非法的用戶進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng);在數(shù)據(jù)庫(kù)中,可以通過(guò)授權(quán)對(duì)用戶的操作進(jìn)行限制,即允許一些用戶對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行訪問(wèn),具有讀寫整個(gè)數(shù)據(jù)庫(kù)的權(quán)利,而大多數(shù)用戶只能在同組內(nèi)進(jìn)行讀寫或?qū)φ麄€(gè)數(shù)據(jù)庫(kù)只具有讀的權(quán)利。在此,特別強(qiáng)調(diào)對(duì)系統(tǒng)管理員和安全管理員兩個(gè)特殊賬戶的保密管理。2、數(shù)據(jù)保護(hù)數(shù)據(jù)庫(kù)的數(shù)據(jù)保護(hù)主要是數(shù)據(jù)庫(kù)的備份,當(dāng)計(jì)算機(jī)的軟硬件發(fā)生故障時(shí),利用備份進(jìn)行數(shù)據(jù)庫(kù)恢復(fù),以恢復(fù)破壞的數(shù)據(jù)庫(kù)文件、控制文件或其他文件。另一種數(shù)據(jù)保護(hù)是日志,數(shù)
20、據(jù)庫(kù)實(shí)例都提供日志,用以記錄數(shù)據(jù)庫(kù)中所進(jìn)行的各種操作,包括修改、調(diào)整參數(shù)等,并在數(shù)據(jù)庫(kù)內(nèi)部建立一個(gè)所有作業(yè)的完整記錄。再一個(gè)就是控制文件的備份,一般用于存儲(chǔ)數(shù)據(jù)庫(kù)物理結(jié)構(gòu)的狀態(tài),控制文件中的某些狀態(tài)信息在實(shí)例恢復(fù)和介質(zhì)恢復(fù)期間用于引導(dǎo)數(shù)據(jù)庫(kù),在實(shí)際操作時(shí),需要為網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)分別指定相應(yīng)的備份策略。操作系統(tǒng)安全目前用戶辦公計(jì)算機(jī)采用操作系統(tǒng)還主要基于 Windows 平臺(tái)。其自身安全需要得到關(guān)注,即在日常工作中必須注意對(duì)操作系統(tǒng)進(jìn)行必要的防護(hù)。如:1、定期維護(hù):及時(shí)安裝漏洞補(bǔ)丁,定期進(jìn)行完整性檢查、配置檢查、病毒檢查和漏洞掃描。2、使用權(quán)限控制:用戶權(quán)限、口令安全。3、遠(yuǎn)程訪問(wèn)安全:進(jìn)行基本的安
21、全配置。122.4.5 網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分主要是對(duì) IP 地址進(jìn)行合理的規(guī)劃和分配。為確保辦公網(wǎng)中各子網(wǎng)以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,保證網(wǎng)絡(luò)正常、安全運(yùn)行,需要合理規(guī)劃、分配外網(wǎng)各部門的 IP 地址。網(wǎng)段劃分的方法可以采用各個(gè)部門或機(jī)構(gòu)劃分網(wǎng)段,重要的服務(wù)器設(shè)備劃分單獨(dú)的網(wǎng)段,以便監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全。虛擬局域網(wǎng)可有效地解決廣播風(fēng)暴、廣播攻擊、充分利用網(wǎng)絡(luò)帶寬資源。結(jié)合訪問(wèn)控制列表功能,可以極大地增強(qiáng)辦公網(wǎng)的安全性,防止網(wǎng)絡(luò)內(nèi)用戶對(duì)系統(tǒng)相關(guān)信息的非授權(quán)訪問(wèn)。辦公網(wǎng)可按各個(gè)職能來(lái)劃分 VLAN,如將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨(dú)作為一個(gè) Leader V
22、LAN (LVLAN ),技術(shù)人員劃分為一個(gè)VLAN,工作人員劃分為一個(gè) VLAN,而其它機(jī)構(gòu)分別劃作一個(gè) VLAN。其共享服務(wù)器(如 EMAIL 服務(wù)器、DNS 服務(wù)器、WEB 服務(wù)器等)單獨(dú)劃作一個(gè)VLAN (MVLAN)。其他服務(wù)器如數(shù)據(jù)庫(kù)服務(wù)器劃為 Data VLAN。2.4.6 辦公網(wǎng)整體安全建議辦公網(wǎng)整體安全建議根據(jù)以上的安全風(fēng)險(xiǎn)分析、需求分析和京唐港公司的具體情況,建議從以下方面考慮進(jìn)行安全方面的部署:終端防護(hù)終端防護(hù)A. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的企業(yè)級(jí)防病毒系統(tǒng)企業(yè)級(jí)防病毒系統(tǒng)。通過(guò)防病毒系統(tǒng)的統(tǒng)一部署,可以防止病毒的感染和傳播。這可以解決常見(jiàn)的計(jì)算機(jī)癱瘓、網(wǎng)絡(luò)阻塞等安
23、全問(wèn)題。B.在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的終端安全防護(hù)系統(tǒng)。終端安全防護(hù)系統(tǒng)。通過(guò)終端安全防護(hù)系統(tǒng)的統(tǒng)一部署,可以京唐港公司安全管理制度提供有利的技術(shù)保障措施,保障終端的系統(tǒng)安全和終端的安全管理。C.在中心部署身份認(rèn)證登陸系統(tǒng)身份認(rèn)證登陸系統(tǒng),終端必須通過(guò)身份認(rèn)證才能進(jìn)入,避免非法進(jìn)入。邊界的防護(hù)邊界的防護(hù)13A. 通過(guò)防火墻防火墻系統(tǒng)的部署,可以根據(jù)不同的安全要求,設(shè)置不同的安全區(qū)域,來(lái)限制不同信任度區(qū)域之間的相互訪問(wèn),保護(hù)各關(guān)鍵應(yīng)用服務(wù)器系統(tǒng)免受網(wǎng)絡(luò)上的非法訪問(wèn)和惡意攻擊,可以在服務(wù)器區(qū)的前端增加一臺(tái)防火墻設(shè)備。B.通過(guò)入侵檢測(cè)入侵檢測(cè)系統(tǒng)的部署,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安
24、全管理能力,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。服務(wù)器的防護(hù)服務(wù)器的防護(hù)A. 與客戶端一起,在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的企業(yè)級(jí)防病毒企業(yè)級(jí)防病毒系統(tǒng)系統(tǒng)。通過(guò)防病毒系統(tǒng)的統(tǒng)一部署,可以防止服務(wù)器免受病毒的感染和傳播。這可以解決常見(jiàn)的服務(wù)器癱瘓、信息資產(chǎn)丟失等安全問(wèn)題,為服務(wù)器病毒防護(hù)提供有效的安全保障。B. 與客戶端一起,在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的終端安全防護(hù)終端安全防護(hù)系統(tǒng)系統(tǒng)。通過(guò)終端安全防護(hù)系統(tǒng)的統(tǒng)一部署,為服務(wù)器提供訪問(wèn)控制、系統(tǒng)的安全、補(bǔ)丁的有效管理、和為服務(wù)器的安全管理提供技術(shù)保障措施。C. 服務(wù)器安全加固服務(wù)器安全加固,對(duì)關(guān)鍵服務(wù)器進(jìn)行安全加固,保證服務(wù)器的安全使用和穩(wěn)固。系
25、統(tǒng)安全防護(hù)系統(tǒng)安全防護(hù)A. 在辦公網(wǎng)系統(tǒng)上部署漏洞掃描系統(tǒng)漏洞掃描系統(tǒng),可以隨時(shí)的對(duì)網(wǎng)絡(luò)內(nèi)的所有終端、服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行掃描,以發(fā)現(xiàn)安全隱患。B. 在系統(tǒng)當(dāng)中部署安全強(qiáng)審計(jì)系統(tǒng)安全強(qiáng)審計(jì)系統(tǒng)。根據(jù)用戶的安全策略制定詳細(xì)的審計(jì)保護(hù)規(guī)則,對(duì)整個(gè)網(wǎng)絡(luò)和主機(jī)中違反安全策略的行為進(jìn)行阻斷,并向管理中心報(bào)警。系統(tǒng)整體安全體系結(jié)構(gòu)圖見(jiàn)圖系統(tǒng)整體安全體系結(jié)構(gòu)圖見(jiàn)圖 1:14WEB服務(wù)器郵件服務(wù)器病毒服務(wù)器INTERNET出出口口生生產(chǎn)產(chǎn)系系統(tǒng)統(tǒng)區(qū)區(qū)辦辦公公系系統(tǒng)統(tǒng)區(qū)區(qū)入侵檢測(cè)系統(tǒng)安全審計(jì)系統(tǒng)KVM審計(jì)服務(wù)器網(wǎng)管工作站舊舊辦辦公公區(qū)區(qū)各各個(gè)個(gè)樓樓層層交交換換入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)公公共共系系統(tǒng)統(tǒng)區(qū)區(qū)入侵檢
26、測(cè)系統(tǒng)網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理區(qū)區(qū)圖 1: 系統(tǒng)整體安全體系結(jié)構(gòu)示意圖2.4.7 防火墻實(shí)施方案防火墻實(shí)施方案2.4.7.1實(shí)施原則實(shí)施原則(1) 整體性安全防范體系的建立和多層保護(hù)的相互配合;實(shí)現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。(2) 先進(jìn)性安全技術(shù)先進(jìn);安全產(chǎn)品成熟;安全系統(tǒng)技術(shù)生命的周期適度。(3) 可用性安全系統(tǒng)本身的可用性;安全管理友好,并于其他系統(tǒng)管理的有效集成;避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜;15盡量降低對(duì)原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開展。(4) 擴(kuò)充性安全系統(tǒng)能適應(yīng)客戶網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用需求的變化而變化;安全系統(tǒng)遵循標(biāo)準(zhǔn),系統(tǒng)的變化易實(shí)現(xiàn)、易修改、易擴(kuò)充。2.4.7.2實(shí)
27、施策略實(shí)施策略采取核心保護(hù)策略,盡可能的以最小的投資達(dá)到最大的安全防護(hù)。采用可以提供集中管理控制的產(chǎn)品,同時(shí)要求考慮產(chǎn)品適應(yīng)性可擴(kuò)展性,以適應(yīng)網(wǎng)絡(luò)擴(kuò)展的需要。產(chǎn)品在使用上應(yīng)具有友好的用戶界面,使用戶在管理、使用、維護(hù)上盡量簡(jiǎn)單、直觀。建立層次化的防護(hù)體系和管理體系。2.4.7.3防火墻系統(tǒng)部署防火墻系統(tǒng)部署從京唐港公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上,可以看出,辦公網(wǎng)中的服務(wù)器區(qū)域是很重要的安全區(qū)域,這些服務(wù)器承載著整個(gè)公司全部網(wǎng)絡(luò)功能的需求,對(duì)網(wǎng)絡(luò)安全系數(shù)的要求很高,一旦重要服務(wù)器遭到攻擊破壞,將對(duì)整個(gè)公司的業(yè)務(wù)產(chǎn)生非常大的影響,所以可以在服務(wù)器交換機(jī)與核心交換機(jī)的連接中設(shè)置防火墻設(shè)備,根據(jù)用戶設(shè)定的安
28、全規(guī)則,在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下,提供內(nèi)外網(wǎng)絡(luò)通信,是必不可少的安全防御措施??刂茝耐饩W(wǎng)區(qū)到安全服務(wù)區(qū)的訪問(wèn),確保允許的訪問(wèn)才能夠進(jìn)行,而其他未經(jīng)過(guò)允許的行為全部被禁止;限制安全服務(wù)區(qū)對(duì)非安全服務(wù)區(qū)的直接訪問(wèn);防火墻有效記錄區(qū)域之間的訪問(wèn)日志,為出現(xiàn)安全問(wèn)題時(shí)提供備查資料;具體配置情況如圖 1 所示,在網(wǎng)絡(luò)邊界處部署一臺(tái)防火墻作為網(wǎng)絡(luò)系統(tǒng)與Internet 連接的第一道安全防護(hù),通過(guò)防火墻提供的功能來(lái)達(dá)到訪問(wèn)控制的目的;另外,在各個(gè)系統(tǒng)區(qū)的出口處也部署一臺(tái)防火墻,用來(lái)保證各個(gè)區(qū)域的安全,制定不同的安全策略,實(shí)現(xiàn)對(duì)重要服務(wù)器系統(tǒng)的防護(hù)和訪問(wèn)控制。162.4.7.4防火墻安全策略防火墻安全策略針
29、對(duì)公司辦公局域網(wǎng)的具體情況,我們建議制定以下的安全策略:安全區(qū)域隔離策略由于網(wǎng)絡(luò)安全的整體性要求,為了使網(wǎng)絡(luò)系統(tǒng)達(dá)到一定的安全水平,必須保證對(duì)網(wǎng)絡(luò)中各部分都采取了均衡的保護(hù)措施,但對(duì)于公司整個(gè)辦公網(wǎng)來(lái)說(shuō)都采用相同的手段是不可能也沒(méi)有必要的,本辦公網(wǎng)可以采用的方法是根據(jù)網(wǎng)絡(luò)不同部分的重要性劃分為不同的安全區(qū)域,并著重對(duì)其中重要的安全區(qū)域進(jìn)行隔離和保護(hù)。建議采用防火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接,重點(diǎn)是各服務(wù)器區(qū)域與辦公網(wǎng)內(nèi)用戶區(qū)域之間的連接。訪問(wèn)控制策略防火墻被部署后,將根據(jù)實(shí)際應(yīng)用需要定義適當(dāng)?shù)陌踩呗?,針?duì)源地址、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時(shí)間、帶寬等條件的實(shí)現(xiàn)訪問(wèn)控制,確保不同網(wǎng)絡(luò)
30、區(qū)域之間的授權(quán)、有序訪問(wèn),特別是防止互聯(lián)網(wǎng)中非法用戶的訪問(wèn)或一些惡意的攻擊。例如,服務(wù)器區(qū)域防火墻上可制定如下安全策略:- 允許業(yè)務(wù)相關(guān)的用戶區(qū)域主機(jī)訪問(wèn)本區(qū)域服務(wù)器的特定端口,拒絕其他任何訪問(wèn)請(qǐng)求,這樣可以保護(hù)服務(wù)器系統(tǒng)不受非法入侵和攻擊;- 缺省規(guī)則應(yīng)該是拒絕一切訪問(wèn)。 本次項(xiàng)目我們將在實(shí)施的過(guò)程中,根據(jù)網(wǎng)絡(luò)的真實(shí)環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交互的實(shí)際需要,來(lái)制定詳細(xì)的訪問(wèn)控制策略?;驹瓌t是開放最少端口。作為區(qū)域邊界保護(hù)的準(zhǔn)則,防火墻的訪問(wèn)控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問(wèn)控制策略是否得到實(shí)施的關(guān)鍵,因此對(duì)防火墻訪問(wèn)控制策略的定期檢查和調(diào)整是區(qū)域邊界保護(hù)中要注意的問(wèn)題。用戶認(rèn)證和授權(quán)策略選擇一種
31、既方便實(shí)用又具備足夠安全性的用戶認(rèn)證機(jī)制,通過(guò)防火墻實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶身份的可靠鑒別和訪問(wèn)授權(quán)管理,防止非法人員盜用合法用戶的網(wǎng)絡(luò)地址來(lái)假冒合法用戶訪問(wèn)關(guān)鍵資源,同時(shí)也便于針對(duì)實(shí)際用戶進(jìn)行行為審計(jì)。17帶寬管理策略我們可以依據(jù)應(yīng)用需要來(lái)限制流量,來(lái)調(diào)整鏈路的帶寬利用??梢栽诜阑饓χ兄苯蛹虞d控制策略,為比較重要的訪問(wèn)定義可用的最大帶寬和優(yōu)先級(jí),確保為重要的應(yīng)用預(yù)留足夠的帶寬進(jìn)行數(shù)據(jù)交換。我們還可以定義任意兩個(gè)網(wǎng)絡(luò)對(duì)象之間通信時(shí)的最大帶寬。例如,通過(guò)防火墻的帶寬管理,可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員等定義進(jìn)行網(wǎng)絡(luò)通信時(shí)的最大帶寬和優(yōu)先級(jí),而且?guī)挿峙淇梢允欠謱拥模绮块T帶寬下面有小組帶寬然
32、后是個(gè)人帶寬等,可以防止帶寬被濫用,保證重要的通信的順暢。日志和審計(jì)策略一個(gè)安全防護(hù)體系中的審計(jì)系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過(guò)該節(jié)點(diǎn)的符合安全策略的訪問(wèn)和不符合安全策略的企圖,使管理員可以隨時(shí)審核系統(tǒng)的安全效果、追蹤危險(xiǎn)事件、調(diào)整安全策略。進(jìn)行信息審計(jì)的前提是必須有足夠的多的日志信息。防火墻系統(tǒng)提供了強(qiáng)大的日志功能,可對(duì)重要關(guān)鍵資源的使用情況進(jìn)行有效的監(jiān)控,實(shí)現(xiàn)日志的分級(jí)管理、自動(dòng)報(bào)表、自動(dòng)報(bào)警功能,用戶可以根據(jù)需要對(duì)不同的通訊內(nèi)容記錄不同的日志,包括會(huì)話日志(主要描述通訊的時(shí)間、源目地址、源目端口、通信流量、通訊協(xié)議等)和命令日志(主要描述使用了那些命令,執(zhí)行了那些
33、操作) 。用戶可以根據(jù)需要記錄不同的日志,從而為日志分析、事后追蹤提供更多的依據(jù)。同時(shí),產(chǎn)生的日志能夠以多種方式導(dǎo)出,有利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺(tái)進(jìn)行統(tǒng)一的管理。2.4.7.5防火墻選型防火墻選型由于將各個(gè)系統(tǒng)按照區(qū)域化分進(jìn)行分別防護(hù),在總出口處已經(jīng)部署一臺(tái)高性能千兆防火墻,根據(jù)流量及應(yīng)用實(shí)際分析,在辦公系統(tǒng)和生產(chǎn)系統(tǒng)處可分別部署一臺(tái)千兆防火墻,考慮到部分有可能系統(tǒng)采用 VPN 設(shè)備,所以可以選擇帶VPN 功能模塊的防火墻。產(chǎn)品功能:功能類別功能項(xiàng)功能細(xì)項(xiàng)18工作模式路由、透明、混合支持基于流、數(shù)據(jù)包、透明代理的過(guò)濾方式。支持對(duì) HTTP、SMTP、POP3、FTP 等協(xié)議的深度內(nèi)容過(guò)濾
34、。支持 URL 過(guò)濾支持對(duì)移動(dòng)代碼如 Java applet、Active-X、VBScript、Jscript、Java script的過(guò)濾支持對(duì)郵件的收發(fā)郵件地址、文件名、文件類型過(guò)濾支持對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過(guò)濾內(nèi)容過(guò)濾動(dòng)態(tài)端口支持協(xié)議:FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP。對(duì)通過(guò)的數(shù)據(jù)進(jìn)行在線過(guò)濾,查殺郵件正文附件、網(wǎng)頁(yè)及下載文件中包含的病毒,病毒庫(kù)更新提供快速掃描及完全掃描兩種掃描方式防病毒系統(tǒng)狀態(tài)實(shí)時(shí)監(jiān)控基于狀態(tài)檢測(cè)的動(dòng)態(tài)包過(guò)濾實(shí)現(xiàn)基于源/目的 IP 地址、源/目的 MAC 地址、源/目
35、的端口、協(xié)議、時(shí)間等數(shù)據(jù)包快速過(guò)濾支持報(bào)文合法性檢查包過(guò)濾可實(shí)現(xiàn) IP/MAC 綁定非法報(bào)文攻擊:land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof統(tǒng)計(jì)型報(bào)文攻擊:Synflood、Icmpflood、Udpflood、Portscan、ipsweepTopsec 聯(lián)動(dòng):可與支持 TOPSEC 協(xié)議的 IDS 設(shè)備聯(lián)動(dòng),以提高入侵檢測(cè)效率。端口阻斷:可以根據(jù)數(shù)據(jù)包的來(lái)源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置防御攻擊SYN 代理:對(duì)來(lái)自定義區(qū)域的 Syn Flood 攻擊行為進(jìn)行阻斷過(guò)濾支持使用一次性口令認(rèn)證
36、(OTP)、本地認(rèn)證、雙因子認(rèn)證(SecureID)以及數(shù)字證書(CA)等常用的安全認(rèn)證方式支持使用第三方認(rèn)證如 RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證等安全認(rèn)證方式支持 Session 認(rèn)證、HTTP 會(huì)話認(rèn)證支持認(rèn)證?;罟δ蹵AA 服務(wù)可將認(rèn)證用戶信息加密存放在本地?cái)?shù)據(jù)庫(kù)支持雙向 NAT支持動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換網(wǎng)絡(luò)安全性NAT支持虛擬服務(wù)器功能支持靜態(tài)路由、動(dòng)態(tài)路由網(wǎng)絡(luò)適應(yīng)性路由支持基于源/目的地址、接口、Metric 的策略路由19支持單臂路由,可通過(guò)單臂模式接入網(wǎng)絡(luò),并提供路由轉(zhuǎn)發(fā)功能。支持 Vlan 路由,能夠
37、在不同的 VLAN 虛接口間實(shí)現(xiàn)路由功能。支持 RIP、OSPF 等路由協(xié)議。支持 IGMP 組播協(xié)議支持 IGMP SNOOPING組播可有效地實(shí)現(xiàn)視頻會(huì)議等多媒體應(yīng)用支持與交換機(jī)的 Trunk 接口對(duì)接,并且能夠?qū)崿F(xiàn) Vlan 間通過(guò)安全設(shè)備傳播路由支持 802.1Q,能進(jìn)行 802.1Q 的封裝和解封支持 ISL,能進(jìn)行 ISL 的封裝和解封VLAN在同一個(gè) Vlan 內(nèi)能進(jìn)行二層交換生成樹支持 802.1D 生成樹協(xié)議,包括 PVST+及 CST 等協(xié)議。支持 ARP 代理、ARP 學(xué)習(xí)ARP可設(shè)置靜態(tài) ARP非 IP 協(xié)議支持對(duì)非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。D
38、HCP支持 DHCP Client、DHCP Relay、DHCP Server支持 ADSL 接入功能,可滿足中小企業(yè)的多種接入需求。接入支持 PPPOE 撥號(hào)接入支持網(wǎng)絡(luò)時(shí)鐘協(xié)議 SNTP,可以自動(dòng)根據(jù) NTP 服務(wù)器的時(shí)鐘調(diào)整本機(jī)時(shí)間其它支持 IPX、NetBEUI 等非 IP 協(xié)議。支持基于標(biāo)準(zhǔn) IKE 協(xié)商的 VPN 通信隧道支持多種 IKE 認(rèn)證方式,如預(yù)共享密鑰,數(shù)字證書等IKE支持 IKE 擴(kuò)展認(rèn)證,如 Radius 認(rèn)證等。支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠(yuǎn)程移動(dòng)用戶到網(wǎng)關(guān)的 VPN 隧道在具有 SCM 的解決方案中,支持靈活的移動(dòng)用戶到移動(dòng)用戶的隧道。解決方案可以和密碼機(jī)產(chǎn)品,遠(yuǎn)程客戶端產(chǎn)
39、品及 VPN 安全管理系統(tǒng)(SCM)共同組成完整的 VPN 解決方案。支持 3DES、DES、國(guó)密辦等加密算法支持標(biāo)準(zhǔn) MD5、SHA-1 認(rèn)證算法算法支持加密卡提供的 MD5、SHA-1 認(rèn)證算法支持 HUB-SPOKE 方式支持網(wǎng)狀連接方式工作模式支持分級(jí)的樹狀連接方式支持網(wǎng)絡(luò)鄰居(利用 WINS)支持隧道的 NAT 穿越支持對(duì)隧道內(nèi)明文的訪問(wèn)控制VPN其它功能可同時(shí)支持明密傳輸支持 Welf、Syslog 等多種日志格式的輸出支持通過(guò)第三方軟件來(lái)查看日志支持日志分級(jí)安全管理日志支持對(duì)接收到的日志進(jìn)行緩沖存儲(chǔ)20通過(guò)安全審計(jì)系統(tǒng)(TA-L),可獲得更詳盡的日志分析和審計(jì)功能,并能提供員工上
40、網(wǎng)行為管理功能??蛇x高級(jí)日志審計(jì)功能模塊,除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。支持網(wǎng)絡(luò)接口監(jiān)測(cè)、CPU 利用率監(jiān)測(cè)、內(nèi)存使用率監(jiān)測(cè)、操作系統(tǒng)狀況監(jiān)測(cè)、網(wǎng)絡(luò)狀況監(jiān)測(cè)、硬件系統(tǒng)監(jiān)測(cè)、進(jìn)程監(jiān)測(cè)、進(jìn)程內(nèi)存監(jiān)測(cè)、加密卡狀況監(jiān)測(cè)。監(jiān)控可根據(jù)配置文件進(jìn)行錯(cuò)誤恢復(fù)報(bào)警事件:內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯(cuò)”、“測(cè)試”等多種觸發(fā)報(bào)警的事件類報(bào)警報(bào)警方式:采用郵件、NETBIOS、聲音、SNMP、控制臺(tái)等多種報(bào)警方式,報(bào)警方式可以組合使用。QOS 帶寬管理根據(jù) IP、協(xié)議、網(wǎng)絡(luò)接口、時(shí)間定義帶寬分配策略支持最小保證帶
41、寬和最大限制帶寬QoS支持分層的帶寬管理優(yōu)先級(jí)支持 8 級(jí)優(yōu)先級(jí)控制支持雙機(jī)熱備雙機(jī)熱備支持系統(tǒng)故障切換支持服務(wù)器的負(fù)載均衡,提供輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種負(fù)載均衡方式供用戶選擇。負(fù)載均衡支持生成樹協(xié)議,可實(shí)現(xiàn)鏈路負(fù)載均衡。支持鏈路備份功能支持雙系統(tǒng)引導(dǎo),當(dāng)主系統(tǒng)損壞時(shí),可以啟用備用系統(tǒng),不影響設(shè)備的正常使用帶寬管理其它功能支持 Watchdog 功能支持 WEB 圖形配置、命令行配置支持本地配置、遠(yuǎn)程配置配置方式支持基于 SSH、SSL 的安全配置支持配置命令分級(jí)保護(hù)支持中英文命令行支持命令超時(shí)、歷史命令、命令補(bǔ)齊、命令幫助、命令錯(cuò)誤提示等功能支持 SNMP 的 v1 、v
42、2 、v2c 、v3 版本SNMP與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容,如 HP Openview 等。支持雙系統(tǒng)升級(jí)支持遠(yuǎn)程維護(hù)和系統(tǒng)升級(jí)系統(tǒng)升級(jí)支持 TFTP 升級(jí)提供強(qiáng)大的報(bào)文調(diào)試功能,可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問(wèn)題。報(bào)文調(diào)試支持發(fā)送虛擬報(bào)文配置管理配置恢復(fù)可以進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載。21其它擴(kuò)展能力開放式的架構(gòu)支持未來(lái)方便擴(kuò)展防病毒、防垃圾郵件、IPSEC VPN、SSL VPN 等功能以及各種 VPN 加速卡2.4.7.6技術(shù)參數(shù)技術(shù)參數(shù)1.1000M 光纖接口2;2.并發(fā)連接數(shù)50 萬(wàn);3.VLAN 支持:支持 802.1q;4.流量管理:支持帶寬管
43、理和優(yōu)先級(jí)控制;5.支持 IP 與 MAC 地址綁定;6.支持 HTTP、STMP、POP3、FTP、SOCKS 代理;7.支持抗 DOS、端口掃描、特洛伊木馬等攻擊;8.支持基于 H.323 的視頻會(huì)議和 VOIP 語(yǔ)音系統(tǒng)。2.4.8 入侵檢測(cè)系統(tǒng)實(shí)施方案入侵檢測(cè)系統(tǒng)實(shí)施方案2.4.8.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)是屬于主動(dòng)防御,它識(shí)別大量的攻擊模式、并根據(jù)用戶策略做出響應(yīng)。入侵檢測(cè)系統(tǒng)以實(shí)時(shí)性、動(dòng)態(tài)檢測(cè)和主動(dòng)防御為特點(diǎn),有效彌補(bǔ)了其它靜態(tài)防御工具的不足,完善我們的防御系統(tǒng),已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)的必備設(shè)施。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行檢測(cè)和防御,通常由控制中心和探測(cè)
44、引擎兩部分組成。探測(cè)引擎一般采用專用硬件設(shè)備通過(guò)旁路方式接入檢測(cè)網(wǎng)絡(luò)。探測(cè)引擎全面?zhèn)陕?tīng)網(wǎng)絡(luò)信息流,動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過(guò)的所有數(shù)據(jù)包,進(jìn)行檢測(cè)和實(shí)時(shí)分析,從而實(shí)時(shí)甚至提前發(fā)現(xiàn)非法或異常行為,并且執(zhí)行告警、阻斷等功能,并記錄相應(yīng)的事件日志。控制中心是面向用戶,提供管理配置使用。它支持控制多個(gè)位于本地或遠(yuǎn)程的探測(cè)引擎,集中制定和配置監(jiān)控策略,提供統(tǒng)一的數(shù)據(jù)管理。對(duì)發(fā)現(xiàn)入侵或異常行為,入侵檢測(cè)系統(tǒng)控制中心能記錄、顯示詳細(xì)的入侵告警信息,如入侵主機(jī)的 IP 地址、攻擊特征等。通過(guò)對(duì)所記錄的歷史報(bào)警信息22進(jìn)行分類統(tǒng)計(jì),可形成用戶所需要的管理報(bào)表。2.4.8.2入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)高性能報(bào)文捕獲高性能報(bào)
45、文捕獲DMADMA 和零拷貝技術(shù)和零拷貝技術(shù)IDS 作為保障信息安全的重要環(huán)節(jié),一直發(fā)揮著重要作用。目前,由于網(wǎng)絡(luò)自身的發(fā)展非常迅速,一般的網(wǎng)絡(luò)局域網(wǎng)主干交換帶寬速度由 10/100M 的網(wǎng)絡(luò)發(fā)展到 1000M,給 IDS 帶來(lái)了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般基于簡(jiǎn)單的模式匹配實(shí)現(xiàn),在百兆滿負(fù)荷的網(wǎng)絡(luò)環(huán)境中工作已經(jīng)相當(dāng)吃力,而網(wǎng)絡(luò)帶寬成 10 倍的增加,如果不考慮其它條件,意味著要求 IDS 增加 10 倍的處理能力,因此網(wǎng)絡(luò)的發(fā)展,提出了千兆或更高性能 IDS 的需求。而高性能入侵檢測(cè)的一個(gè)重要瓶頸就在于高速的報(bào)文捕獲和批量處理分析。為了提高報(bào)文捕獲的效率,通過(guò)修改網(wǎng)卡驅(qū)動(dòng)程序,使用
46、 DMA 和數(shù)據(jù)零拷貝技術(shù)零拷貝技術(shù),大大提高了效率,如下圖所示:DMA 和數(shù)據(jù)零拷貝技術(shù)和傳統(tǒng)入侵檢測(cè)報(bào)文捕獲技術(shù)的比較零拷貝技術(shù)省略了 TCP/IP 堆棧的處理,直接將網(wǎng)卡通過(guò) DMA 直接數(shù)據(jù)傳輸將報(bào)文數(shù)據(jù)傳遞到了 IDS 系統(tǒng)可以訪問(wèn)的空間,大大減少了傳統(tǒng)方式中因?yàn)樯舷挛那袚Q和數(shù)據(jù)拷貝而帶來(lái)的系統(tǒng)開銷,使用了零拷貝技術(shù)之后,系統(tǒng)的捕包效率大大提高,測(cè)試結(jié)果是在能夠在 1.4G 的 CPU 下,捕獲 100 萬(wàn)/秒報(bào)文時(shí),CPU 占用率還低于 10%。這種效率完全可以滿足在千兆高速環(huán)境下入侵檢測(cè)分析。23支撐平臺(tái)結(jié)構(gòu)和系統(tǒng)優(yōu)化支撐平臺(tái)結(jié)構(gòu)和系統(tǒng)優(yōu)化對(duì)于整體結(jié)構(gòu)的優(yōu)化有助于進(jìn)一步提高 ID
47、S 系統(tǒng)引擎的速度。1. 并行處理在雙 CPU 并行處理機(jī)上,通過(guò)使用多線程,使得我們可以將多個(gè)報(bào)文同時(shí)進(jìn)行處理,為了減少同步帶來(lái)的代價(jià),使用報(bào)文的預(yù)分析,然后根據(jù)預(yù)分析的結(jié)果進(jìn)行任務(wù)分配,將一個(gè)報(bào)文的所有分析和匹配工作都交給一個(gè)工作線程去處理,多個(gè)線程可以同時(shí)并行處理多個(gè)報(bào)文。2. 使用匯編語(yǔ)言實(shí)現(xiàn)關(guān)鍵處理通過(guò)使用匯編語(yǔ)言可以大大減少使用高級(jí)語(yǔ)言帶來(lái)的冗余代碼,在核心的關(guān)鍵處理上如模式集合的匹配上使用匯編語(yǔ)言實(shí)現(xiàn)能夠大大提高效率。3. 優(yōu)化內(nèi)存分配算法經(jīng)過(guò)分析在 IDS 系統(tǒng)中,會(huì)大量的使用內(nèi)存的分配和釋放操作,如果,實(shí)現(xiàn)中都通過(guò)系統(tǒng)的分配釋放函數(shù)來(lái)實(shí)現(xiàn)會(huì)大大影響系統(tǒng)的處理速度。通過(guò)使用簡(jiǎn)化
48、而且合理的內(nèi)存分配算法,能夠使這部分的代價(jià)減少。通過(guò)精簡(jiǎn)運(yùn)行的操作系統(tǒng),使用優(yōu)化程序技術(shù)也是提高入侵檢測(cè)的性能的必要條件,同時(shí)保證了入侵檢測(cè)產(chǎn)品的自身安全性。基于狀態(tài)的全面協(xié)議分析基于狀態(tài)的全面協(xié)議分析協(xié)議分析模塊完成 IDS 系統(tǒng)引擎中主要的分析工作,對(duì)于一個(gè)報(bào)文在引擎的處理過(guò)程中,報(bào)文:分析:匹配1:1:N,這就是說(shuō)一個(gè)報(bào)文需要經(jīng)過(guò)一次分析,再和 N 條規(guī)則進(jìn)行匹配之后產(chǎn)生事件。如果能夠通過(guò)更準(zhǔn)確的分析,減少匹配的工作,就能夠最終提高整個(gè) IDS 系統(tǒng)的處理效率。因此協(xié)議分析的準(zhǔn)確性和效率對(duì)于整個(gè)系統(tǒng)的處理效率影響非常大。這部分包括兩個(gè)大的方面:提高協(xié)議分析的速度提高協(xié)議分析的速度1.基于
49、狀態(tài)的協(xié)議分析網(wǎng)絡(luò)中通訊的報(bào)文一般都不是孤立的,而是在一系列的報(bào)文通訊之中的,也就是說(shuō)是有一定的報(bào)文前后上下文的。通過(guò)基于狀態(tài)的協(xié)議分析,能夠大大提高解析的準(zhǔn)確度,同時(shí)對(duì)于不同報(bào)文采用不同的少量分析的方式,從而也提高了協(xié)議分析的速度。242.運(yùn)用多種算法進(jìn)行解析在報(bào)文的分析過(guò)程,采用多種算法來(lái)提高協(xié)議解析的速度,比如使用高速樹型匹配算法、HASH 算法等等。提高協(xié)議分析的效果提高協(xié)議分析的效果采用兩種方法提高協(xié)議解析的效果:直接產(chǎn)生協(xié)議分析中確定的事件和更深入的協(xié)議分析。1.直接產(chǎn)生協(xié)議分析中確定的事件通過(guò)在協(xié)議分析模塊中直接產(chǎn)生事件,從而減少在匹配規(guī)則模塊中規(guī)則集的規(guī)模,如:RFC 協(xié)議確定
50、的事件和異常事件:如 FLOOD 攻擊,從而提高整個(gè)報(bào)文的處理速度。2.更深入的協(xié)議分析更深入的協(xié)議解析提高了規(guī)則集中規(guī)則的匹配準(zhǔn)確性,比如縮小一次字符串匹配在報(bào)文中搜索范圍,從而節(jié)省時(shí)間,提高規(guī)則匹配的效率。樹型規(guī)則和匹配算法樹型規(guī)則和匹配算法前面已經(jīng)提到,報(bào)文:分析:匹配1:1:N 的關(guān)系。一個(gè)報(bào)文需要跟多條規(guī)則進(jìn)行比較,這需要大量的運(yùn)算,占用許多的 CPU 時(shí)間。通過(guò)三個(gè)方法去提高其效率:協(xié)議規(guī)則子集、規(guī)則樹和快速模式集合匹配。1.協(xié)議規(guī)則子集協(xié)議規(guī)則子集是通過(guò)將規(guī)則集合中的規(guī)則按照其所屬的協(xié)議分成許多小的子集,而一個(gè)報(bào)文只與其相關(guān)的協(xié)議規(guī)則子集中的規(guī)則進(jìn)行匹配,從而大大減少實(shí)際一個(gè)報(bào)文
51、進(jìn)行匹配的規(guī)則數(shù)量,減少匹配時(shí)間。2.規(guī)則樹將線性規(guī)則匹配方式改造成為樹型規(guī)則匹配方式,就必須構(gòu)造規(guī)則樹。通過(guò)規(guī)則樹,我們可以很容易在匹配過(guò)程中淘汰掉不可能的規(guī)則,減少重復(fù)判斷的次數(shù),并實(shí)現(xiàn)將一個(gè)協(xié)議變量的多個(gè)取值放到一起(形成取值集合)進(jìn)行判斷,大大的提高了比較效率。3.快速模式集合匹配由于在一個(gè)報(bào)文的匹配中,最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配一個(gè)字符串模式,通過(guò)快速模式集合匹配算法來(lái)提高這部分匹配的效率。快速匹配意味25著能夠盡可能快的在一個(gè)正文串中查找到一個(gè)模式串的存在,這是通過(guò)提高匹配時(shí)移動(dòng)模式的距離實(shí)現(xiàn)的;集合匹配意味著同時(shí)快速的對(duì)多個(gè)模式進(jìn)行匹配。二者的結(jié)合就是在一個(gè)報(bào)文中快速的匹配
52、多個(gè)模式。準(zhǔn)確的特征分析和規(guī)范描述準(zhǔn)確的特征分析和規(guī)范描述解決入侵檢測(cè)的漏報(bào)和誤報(bào)現(xiàn)象還依賴于準(zhǔn)確的特征提取和描述,在所應(yīng)用的特征全面采用了如下兩種特征分析方法和統(tǒng)一的規(guī)范化語(yǔ)言描述。基于漏洞機(jī)理的特征分析基于漏洞機(jī)理的特征分析利用漏洞機(jī)理的方法來(lái)提取和定義特征,可以實(shí)現(xiàn)檢測(cè)和具體攻擊工具的無(wú)關(guān)性,特別對(duì)于防止新型變種的攻擊和攻擊工具改造非常有效?;诠暨^(guò)程的特征分析基于攻擊過(guò)程的特征分析攻擊過(guò)程分析法則是完全站在攻擊者的角度,破析完整的攻擊過(guò)程,可以判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。2.4.8.3入侵檢測(cè)系統(tǒng)部署入侵檢測(cè)系統(tǒng)部署本方案中分別在公共區(qū)域、生產(chǎn)系統(tǒng)區(qū)域、辦公系統(tǒng)區(qū)域部
53、署一套入侵檢測(cè)系統(tǒng),部署示意圖如圖 1 所示,公共系統(tǒng)的入侵檢測(cè)引擎與核心交換機(jī)相連,辦公系統(tǒng)、生產(chǎn)系統(tǒng)的入侵檢測(cè)系統(tǒng)與該區(qū)域的交換機(jī)相連,分別針對(duì)不同的需求,對(duì)各個(gè)子網(wǎng)的入侵進(jìn)行檢測(cè)和防護(hù)。2.4.8.4入侵檢測(cè)系統(tǒng)選型入侵檢測(cè)系統(tǒng)選型本方案中按照三個(gè)區(qū)域分別采用三套入侵檢測(cè)系統(tǒng),可以在生產(chǎn)系統(tǒng)、辦公系統(tǒng)區(qū)域和公共區(qū)域各采用一套千兆入侵檢測(cè)引擎,另外,在核心交換機(jī)處部署一套高性能千兆入侵檢測(cè)系統(tǒng),實(shí)時(shí)監(jiān)控各個(gè)子網(wǎng)網(wǎng)絡(luò)傳輸狀態(tài),自動(dòng)檢測(cè)可疑行為,及時(shí)發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)外部或內(nèi)部的攻擊,并可以實(shí)時(shí)響應(yīng),切斷攻擊方的連接,同時(shí)還可以與防火墻緊密結(jié)合,產(chǎn)生聯(lián)動(dòng),彌補(bǔ)了防火墻的訪問(wèn)控制不嚴(yán)密的問(wèn)題。另外,根
54、據(jù)網(wǎng)絡(luò)網(wǎng)絡(luò)部署結(jié)構(gòu),可以將核心處選擇為帶子控功能的入侵檢測(cè)系統(tǒng),當(dāng)在部署結(jié)構(gòu)改變后可以作為中心節(jié)點(diǎn)使用。配合探測(cè)引擎,管理中心安裝于一臺(tái)服務(wù)器上,控制中心面向用戶,提供管理配置之26用??刂浦行氖莻€(gè)高性能的管理系統(tǒng),它能控制位于本地或遠(yuǎn)程的多個(gè)網(wǎng)絡(luò)探測(cè)引擎的活動(dòng),集中制定和配置策略,提供統(tǒng)一的數(shù)據(jù)管理。管理控制中心可以被設(shè)置為主、子結(jié)構(gòu),主管理控制中心可以實(shí)時(shí)接收、轉(zhuǎn)發(fā)子控制中心的告警信息,分類提取子控制中心的日志信息,下發(fā)各種配置文件、策略供子控對(duì)其所屬網(wǎng)絡(luò)探測(cè)引擎進(jìn)行配置。2.4.8.5入侵檢測(cè)系統(tǒng)功能入侵檢測(cè)系統(tǒng)功能完善的管理控制體系完善的管理控制體系多層分級(jí)管理多層分級(jí)管理所選入侵檢測(cè)
55、系統(tǒng)的管理控制中心可靈活設(shè)置成與行政業(yè)務(wù)管理流程緊密結(jié)合的集中監(jiān)控、多層管理的分級(jí)體系。通過(guò)策略下發(fā)機(jī)制,使上級(jí)部門能夠統(tǒng)一全網(wǎng)的安全防護(hù)策略;通過(guò)信息上傳機(jī)制,使上級(jí)部門能夠及時(shí)了解和監(jiān)控全網(wǎng)的安全狀態(tài)。靈活的更新和版本升級(jí)靈活的更新和版本升級(jí)所選入侵檢測(cè)系統(tǒng)支持手動(dòng)和自動(dòng)的特征更新和版本升級(jí),也可以在分級(jí)管理體系下由主控統(tǒng)一來(lái)完成。所選入侵檢測(cè)系統(tǒng)的探測(cè)引擎同時(shí)支持通過(guò)USB 口進(jìn)行升級(jí)。全局預(yù)警全局預(yù)警在所選入侵檢測(cè)系統(tǒng)的多層分級(jí)管理體系下,可以實(shí)現(xiàn)把單點(diǎn)發(fā)生的重要事件自動(dòng)預(yù)警到其它管理區(qū)域,使得各級(jí)管理員對(duì)于可能發(fā)生的重要安全事件具有提前的預(yù)警提示。利用全局預(yù)警通道,各級(jí)管理員也可以發(fā)
56、送交互信息,交流對(duì)安全事件的處理經(jīng)驗(yàn)。嚴(yán)格的權(quán)限管理嚴(yán)格的權(quán)限管理所選入侵檢測(cè)系統(tǒng)可以設(shè)定多種分類權(quán)限供不同的人員使用,支持更為嚴(yán)格的多鑒別身份認(rèn)證方式。同時(shí)在產(chǎn)品部署上支持事件監(jiān)測(cè)、事件分析以及管理配置分布部署,從物理角度保證管理安全。時(shí)鐘同步機(jī)制時(shí)鐘同步機(jī)制所選入侵檢測(cè)系統(tǒng)支持 NTP 服務(wù)進(jìn)行時(shí)間同步,保證跨時(shí)區(qū)的部署條件下27也能保持管理時(shí)間的一致性。支持多報(bào)警顯示臺(tái)支持多報(bào)警顯示臺(tái)所選入侵檢測(cè)系統(tǒng)提供了良好的多點(diǎn)監(jiān)測(cè)機(jī)制,允許掛接多個(gè)報(bào)警顯示中心,方便多個(gè)管理人員進(jìn)行有效的報(bào)警觀測(cè)。數(shù)據(jù)庫(kù)維護(hù)管理數(shù)據(jù)庫(kù)維護(hù)管理所選入侵檢測(cè)系統(tǒng)提供強(qiáng)大的數(shù)據(jù)庫(kù)維護(hù)管理功能,可以對(duì)歷史數(shù)據(jù)進(jìn)行自動(dòng)、手動(dòng)
57、的備份、刪除操作,還可以導(dǎo)入歷史的備份數(shù)據(jù)。可擴(kuò)展到入侵管理可擴(kuò)展到入侵管理入侵檢測(cè)全面支持入侵管理,實(shí)現(xiàn)多種安全產(chǎn)品:漏洞掃描、主機(jī)入侵檢測(cè)的統(tǒng)一管理和協(xié)同關(guān)聯(lián)。全面的入侵檢測(cè)能力全面的入侵檢測(cè)能力多種技術(shù)結(jié)合防止漏報(bào)多種技術(shù)結(jié)合防止漏報(bào)1. 采用引擎高速捕包技術(shù)保證滿負(fù)荷的報(bào)文捕獲;2. 采用的高速樹型匹配技術(shù)實(shí)現(xiàn)了一次匹配多個(gè)規(guī)則的模式,檢測(cè)效率得以成倍的量級(jí)提高;3. 采用了 IP 碎片重組、TCP 流重組以及特殊應(yīng)用編碼解析等多種方式,應(yīng)對(duì)躲避 IDS 檢測(cè)的手法,如:WHISKER、FRAGROUTE 等攻擊方式;4. 采用預(yù)制漏洞機(jī)理分析方法定義特征,對(duì)未知攻擊方式和變種攻擊也能
58、及時(shí)報(bào)警;5. 采用行為關(guān)聯(lián)分析技術(shù),可以發(fā)現(xiàn)基于組合行為的復(fù)雜攻擊;多種措施降低誤報(bào)多種措施降低誤報(bào)1. 基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹,保證特征匹配的準(zhǔn)確性;2. 基于攻擊過(guò)程的分析方法定義特征,可以識(shí)別攻擊的狀態(tài),提供不同級(jí)別的事件報(bào)警信息;3. 通過(guò)采集和關(guān)聯(lián)攻擊發(fā)送方和被攻擊目標(biāo)的信息,可以成功或失敗的攻擊事件給出明確標(biāo)識(shí)。4. 通過(guò)支持入侵管理,可以結(jié)合漏洞掃描結(jié)果來(lái)評(píng)估威脅的風(fēng)險(xiǎn)級(jí)別。28多種機(jī)制限制濫報(bào)多種機(jī)制限制濫報(bào)1. 內(nèi)置狀態(tài)檢測(cè)機(jī)制,可以識(shí)別和處理類似“STICK”等的反 IDS攻擊,有效地避免了事件風(fēng)暴的產(chǎn)生;2. 提供多種可選的統(tǒng)計(jì)合并技術(shù),可以對(duì)同一事件采用合并上
59、報(bào),減少報(bào)警量??蓴U(kuò)展的響應(yīng)和聯(lián)動(dòng)可擴(kuò)展的響應(yīng)和聯(lián)動(dòng)所選入侵檢測(cè)系同應(yīng)具有豐富的可擴(kuò)展事件響應(yīng)方式, 包括屏幕顯示日志記錄TCP KILLER 阻斷支持郵件方式遠(yuǎn)程報(bào)警、聲音以及自定義程序報(bào)警支持向網(wǎng)管發(fā)送 SNMP TRAP 信息可以充分實(shí)現(xiàn)和第三方安全產(chǎn)品以及網(wǎng)絡(luò)設(shè)備的策略響應(yīng)聯(lián)動(dòng)。防火墻聯(lián)動(dòng):通過(guò)聯(lián)動(dòng)通訊標(biāo)準(zhǔn)的支持,防火墻業(yè)界主流的產(chǎn)品可以實(shí)現(xiàn)和入侵系統(tǒng)的聯(lián)動(dòng),對(duì)外部發(fā)起的攻擊行為進(jìn)行阻斷。交換機(jī)聯(lián)動(dòng):可以根據(jù)策略制定動(dòng)態(tài)關(guān)閉相應(yīng)的交換機(jī)端口,可以防止蠕蟲類事件的攻擊擴(kuò)散,進(jìn)行內(nèi)網(wǎng)安全防護(hù)。多樣化的日志分析報(bào)告多樣化的日志分析報(bào)告可以為管理人員和入侵檢測(cè)分析員提供了不同類型的日志分析手段
60、和報(bào)告輸出。為管理人員提供了常用的周期性統(tǒng)計(jì)報(bào)表類型模版,管理人員可以直接利用,得出管理性的安全結(jié)論。為入侵檢測(cè)分析員提供了多種缺省分析模版,根據(jù)這些模版可以獲得多種分類的事件日志信息和統(tǒng)計(jì)排名。入侵檢測(cè)系統(tǒng)提供了多樣化的日志過(guò)濾查詢條件,用戶可以進(jìn)行自主定義習(xí)慣的查詢模式,進(jìn)行有效的日志分析查詢。報(bào)表可以導(dǎo)出為多種常用格式(WORDEXCEL) ,并設(shè)置郵件定時(shí)發(fā)送報(bào)告功能。2.4.8.6檢測(cè)性能指標(biāo)檢測(cè)性能指標(biāo)攻擊特征流采用統(tǒng)一的 100 種標(biāo)準(zhǔn)的不同攻擊樣本,目標(biāo)機(jī)器配置多種網(wǎng)29絡(luò)服務(wù)。網(wǎng)絡(luò)背景流量采用專用發(fā)包設(shè)備來(lái)制造,以背景流量為基準(zhǔn),測(cè)試入侵檢測(cè)系統(tǒng)在不同的流量環(huán)境(包長(zhǎng))和不同
61、連接背景下的檢測(cè)能力。 千兆引擎的性能指標(biāo)如下:302.4.8.7技術(shù)參數(shù)技術(shù)參數(shù)1.1 個(gè)標(biāo)準(zhǔn) 1000Base-SX(SC)接口(可擴(kuò)展) ;至少 3 個(gè)標(biāo)準(zhǔn)10/100/1000BaseTX 接口;2.MTBF9 萬(wàn)小時(shí);3.IP 碎片重組500,000,4.最大檢測(cè) TCP 會(huì)話數(shù):800,000 ,5.檢測(cè)流量:1G。2.4.9 漏洞掃描系統(tǒng)實(shí)施方案漏洞掃描系統(tǒng)實(shí)施方案配備一套漏洞掃描系統(tǒng)按要求就要以實(shí)現(xiàn)對(duì)內(nèi)部計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行安全性掃描、評(píng)估。為管理員、安全維護(hù)人員提供詳細(xì)的脆弱性信息和安全建議。漏洞掃描器通過(guò)確定目標(biāo)設(shè)備的系統(tǒng)狀態(tài),用于對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行脆弱性分析
62、。2.4.9.1實(shí)施目的實(shí)施目的由于防火墻固有的局限性和目前對(duì)入侵檢測(cè)系統(tǒng)的逃避技術(shù),網(wǎng)絡(luò)安全性的提高還需要有漏洞掃描系統(tǒng),它是要實(shí)現(xiàn)對(duì)內(nèi)部計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行安全性掃描、評(píng)估。為管理員、安全維護(hù)人員提供詳細(xì)的脆弱性信息和安全建議。通過(guò)部署漏洞掃描系統(tǒng)主要為了達(dá)到如下的目的:掃描分析網(wǎng)絡(luò)系統(tǒng),檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中安全薄弱環(huán)節(jié)。準(zhǔn)確而全面地報(bào)告網(wǎng)絡(luò)存在的脆弱性和漏洞。檢測(cè)并報(bào)告掃描目標(biāo)的相關(guān)信息以及對(duì)外提供的服務(wù)。根據(jù)用戶需要生成各種分析報(bào)告。312.4.9.2實(shí)施策略實(shí)施策略根據(jù)目前情況分析采取全網(wǎng)掃描策略;當(dāng)網(wǎng)絡(luò)規(guī)模增大后,特別是分為多級(jí)網(wǎng)絡(luò)結(jié)構(gòu)后可以采用分布式部署策略,其功能組
63、件可以部署在不同主機(jī)上,控制中心同時(shí)管理多個(gè)掃描引擎,不同的掃描引擎負(fù)責(zé)對(duì)不同網(wǎng)段的系統(tǒng)進(jìn)行掃描檢測(cè),顯示中心和報(bào)表中心可匯總顯示各掃描引擎的掃描結(jié)果信息。2.4.9.3漏洞掃描系統(tǒng)部署漏洞掃描系統(tǒng)部署由于漏洞掃描系統(tǒng)為軟件產(chǎn)品,而且是定期或不定期使用,無(wú)需專門提供計(jì)算機(jī)來(lái)安裝??梢园惭b在網(wǎng)絡(luò)中配置較高的任意一臺(tái)計(jì)算機(jī)上即可對(duì)全網(wǎng)相關(guān)設(shè)備進(jìn)行掃描。但是本網(wǎng)絡(luò)結(jié)構(gòu)中由于部分需要重點(diǎn)防護(hù),并且部分應(yīng)用不可以跨網(wǎng)段,安全性要求也不盡相同,所以可以在三個(gè)區(qū)域分別部署一套漏洞掃描系統(tǒng),制定不同的掃描策略,有針對(duì)性的進(jìn)行漏洞掃描,另外也可以采用分布式單級(jí)部署方式,將不同掃描引擎安裝在不同的區(qū)域,然后進(jìn)行統(tǒng)
64、一管理。單個(gè)系統(tǒng)部署示意圖如下:路由器核心交換機(jī)防火墻IDS樓層交換機(jī)工作站工作站工作站服務(wù)器區(qū)掃描主機(jī)安安全全性性分分析析報(bào)報(bào)告告:系系統(tǒng)統(tǒng)版版本本太太低低:高高風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理員員口口令令永永不不過(guò)過(guò)期期:中中風(fēng)風(fēng)險(xiǎn)險(xiǎn)開開放放NFS等等無(wú)無(wú)關(guān)關(guān)服服務(wù)務(wù):低低風(fēng)風(fēng)險(xiǎn)險(xiǎn)32圖 2:漏洞掃描系統(tǒng)部署示意圖2.4.9.4漏洞掃描系統(tǒng)選型漏洞掃描系統(tǒng)選型漏洞掃描系統(tǒng)一般為軟件產(chǎn)品,本方案選用帶三個(gè)掃描器的漏洞掃描系統(tǒng),分別對(duì)公共區(qū)域,生產(chǎn)系統(tǒng)區(qū)、辦公系統(tǒng)區(qū)進(jìn)行部署,根據(jù)不同級(jí)別和策略的掃描采用不同的安全防護(hù)手段。三個(gè)掃描器可以安裝在三個(gè)子網(wǎng)中的任意一臺(tái)機(jī)器上,建議安裝在應(yīng)用服務(wù)器上,然后統(tǒng)一由管理中
65、心管理。2.4.9.5漏洞掃描系統(tǒng)功能特點(diǎn)漏洞掃描系統(tǒng)功能特點(diǎn)分布式管理分布式管理分布管理、集中分析分布管理、集中分析各掃描引擎可以按不同的掃描策略同時(shí)進(jìn)行多網(wǎng)絡(luò)系統(tǒng)的漏洞檢測(cè),并將檢測(cè)結(jié)果集中顯示、集中分析。多級(jí)管理多級(jí)管理對(duì)于擁有不同地域、大規(guī)模網(wǎng)絡(luò)的用戶,各個(gè)地域的網(wǎng)絡(luò)安全管理員管理著本地域的網(wǎng)絡(luò)安全狀況,其上層的安全管理員可以上傳檢測(cè)結(jié)果、下達(dá)檢測(cè)策略、統(tǒng)一管理、統(tǒng)一分析、統(tǒng)一升級(jí);實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)環(huán)境下的全局風(fēng)險(xiǎn)控制、降低管理成本。京唐港公司日后規(guī)模擴(kuò)大可以采用此種方式。策略管理策略管理為用戶提供多種掃描策略,用戶可根據(jù)實(shí)際需求來(lái)選擇合適的策略。同時(shí),靈活的策略自定義功能可以讓用戶根據(jù)
66、特殊需要更改和編輯掃描策略。應(yīng)用特定配置的策略,用戶能實(shí)現(xiàn)不同內(nèi)容、不同級(jí)別、不同程度、不同層次的掃描。掃描計(jì)劃定制掃描計(jì)劃定制產(chǎn)品應(yīng)支持掃描計(jì)劃任務(wù),可根據(jù)用戶自定義的掃描計(jì)劃來(lái)完成掃描任務(wù),掃描任務(wù)可以按照不同時(shí)間類型(如每周、每月等)制定多個(gè),分別自動(dòng)執(zhí)行,系統(tǒng)還支持計(jì)劃有效期的設(shè)定。掃描功能掃描功能可識(shí)別的掃描對(duì)象能夠準(zhǔn)確的識(shí)別各種操作系統(tǒng)和主機(jī)名稱,如 Win95/98/Me、Windows 33NT、Windows 2000/XP、Windows2003、Linux、Solaris、SCO Unix、HP Unix、IBM AIX、IRIX、BSD 等??梢話呙璧膶?duì)象包括各種服務(wù)器、工作站、網(wǎng)絡(luò)打印機(jī)以及相應(yīng)的網(wǎng)絡(luò)設(shè)備如:3Com 交換機(jī)、CISCO 路由器、Checkpoint Firewall、HP 打印機(jī)、Cisco PIX Firewall 等??梢蕴峁呙鑼?duì)象的賬戶信息,便于檢查是否異常賬戶出現(xiàn)。掃描漏洞分類掃描漏洞分類Windows 系統(tǒng)漏洞、WEB 應(yīng)用漏洞、CGI 應(yīng)用漏洞、FTP 類漏洞、DNS、后門類、網(wǎng)絡(luò)設(shè)備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 建筑施工重大危險(xiǎn)源安全管理制度
- 安全培訓(xùn)資料:典型建筑火災(zāi)的防治基本原則與救援技術(shù)
- 企業(yè)雙重預(yù)防體系應(yīng)知應(yīng)會(huì)知識(shí)問(wèn)答
- 8 各種煤礦安全考試試題
- 9 危險(xiǎn)化學(xué)品經(jīng)營(yíng)單位安全生產(chǎn)管理人員模擬考試題庫(kù)試卷附答案
- 加壓過(guò)濾機(jī)司機(jī)技術(shù)操作規(guī)程
- 樹脂砂混砂工藝知識(shí)總結(jié)
- XXXXX現(xiàn)場(chǎng)安全應(yīng)急處置預(yù)案
- 某公司消防安全檢查制度總結(jié)
- 1 煤礦安全檢查工(中級(jí))職業(yè)技能理論知識(shí)考核試題含答案
- 4.燃?xì)獍踩a(chǎn)企業(yè)主要負(fù)責(zé)人模擬考試題庫(kù)試卷含答案
- 工段(班組)級(jí)安全檢查表
- D 氯化工藝作業(yè)模擬考試題庫(kù)試卷含答案-4
- 建筑起重司索信號(hào)工安全操作要點(diǎn)
- 實(shí)驗(yàn)室計(jì)量常見(jiàn)的30個(gè)問(wèn)問(wèn)答題含解析