网络安全技术建议书

1、网络安全技术建议书网络安全技术建议书网络安全技术建议书综述建设背景广电总局内部网承载着广电总局内各部门问日常工作的公文流转、审批等一系列办公自动化系统。目前，该网络与广电总局外部网络采取完全的物理隔离。 随着广电总局内部网络功能和业务的发展需求，网络安全作为信息化建设中必不 可少的一项工作，以逐渐提现出其重要性。首先，在广电总局内部网络的日常运维过程中，出现了一定的安全问题。其次，随着信息化工作的开展，广电总局直属机关与总局内部网络的互联互通将对 网络安全提出新的要求。所以，为了保障广电总局网络系统资源的安全和稳定运 行，迫切需要建立一个统一的安全防护体系， 从而为广电总局及各直属机关提供 高

2、质量的信息服务。本次项目主要是针对广电总局内部的安全提出解决方案，涉及防火墙系统、 安全审计系统、网络型入侵检测系统、日志分析系统、防病毒体系、OA业务安全防护系统、安全管理、系统安全增强及性能优化以及未来与广电总局直属机关 互联互通时的安全相关技术和建议。网络现状及安全需求广电总局内部网络的网拓扑结构可以用下图表示: tA5100网络安全技术建议书广电总局广域网拓扑SUN E3500:两台。OA系统主服务器，采用双机备份。SUN A5100:磁盘阵列E250:两台。一台为内网 DNS,另一台闲置IBM Netfinity 4000 :两台。ULTRA 10:内网网管服务器内部网络结构由两台C

3、ISCO 6509承担内网核心交换工作。该交换机上划分 VLAN。隔离不同业务系统及不同部门问子网。内网业务主机直接接入到6509上。14台2926及2台3548通过千兆上联到6509。提供对各部门日常办公桌面 机的接入。直观看来，此网络已经具有了一定的安全性，内网与Intenet实施了完全的物理隔离措施。但是，仔细分析我们可以看出，这个网络仍然存在很多安全隐患。* 虽然划分了 VLAN，但是VLAN只起到了隔离广播信息的功能。对于内 网中对重要服务器的访问和各部门间的互访缺乏实际的访问控制。事 重要业务主机（服务机）与员工自用桌面机处于同一逻辑层。缺乏安全 等级的划分，服务器与员工桌面机间无

4、安全等级差别或隔离手段，如果 某部门工作PC机被安装了木马，就完全可能被利用成为恶意攻击的跳 板从而对核心服务器或其他部门的主机发起攻击，达到隐藏真正破坏者 的功能。*重要网络设备、重要服务器及业务系统如 OA系统的身份认证技术未采 用加密机制，用户密码以明码方式在网络上传播。如果恶意用户在网络 中安装网络分析软件，可截获用户密码，冒充正常用户身份进行破坏活 动。* 内部网络缺乏统一的病毒防护、查杀及隔离措施，一旦某台用户主机感 染病毒，会在短时间内造成病毒在广电内部网络中的广泛传播。事未来各直属机关的远程接入也有可能成为攻击发起的来源，需要实施隔网络安全技术建议书离。目前广电外网安全只单纯依

5、赖被动型的安全手段如防火墙，而缺乏主动 发现型的安全手段，比如安全漏洞审计系统、入侵检测系统等。无法防 患于未然。缺乏对攻击的监测和记录手段，比如入侵检测系统、日志服务器等，无 法有效的发现安全事件，也没有举证手段。由于存在众多安全问题，所以迫切需要建立一个统一的安全防护体系， 保障 广电总局内部网络系统资源的安全和稳定运行， 从而为广电总局各部门、各直属 机关提供高质量的信息服务。以下我们将从网络结构安全结构、网络安全技术、防病毒体系及安全管理等 几个方面阐述我们的安全建议。1.3安全设计原则*整体性原则安全作为一个特殊的技术领域，有着自己的特点。安全问题必须遵从整体性 原则，网络中的任何一

6、个漏洞或隐患都可能造成整网的安全水平的降低。网络安全系统应该包括三种机制： 安全防护机制；安全监测机制；安全恢复 机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的 防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况， 及时发 现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况 下，进行应急处理和尽量、及时地恢复信息，减少攻击的破坏程度由于业务的重要性及安全需求，广电总局内部网络业务系统目前相对简单。 但是，随着信息化发展的需求，处于严格控管下的互联互通将是网络发展的趋势。 因此在本次设计中，我们从全网角度出发，关注广电信息化建设的目标，各广电

7、 各业务系统安全，根据各业务系统特点提出从防护一 检测一 回复的完整的解决 方案，而不是治标不治本。4集中性原则网络安全技术建议书安全重在管理，所谓“三分技术，七分管理”阐述了安全的本质。而安全管 理重在集中。广电总局的设备和主机类型较多，业务系统涵盖广电各个部门及相关机构， 业务模式相对复杂且管理机构和管理模式也千差万别。在全网安全方案的设计 中，无论是安全管理制度的制定和施行， 或是安全产品的选型和实施，还是长期 安全服务方案的制定，我们都将根据集中性原则，目标是实现对各设备和业务系 统的集中安全管理以及安全事件发生后的集中响应，这些都将依赖于管理制度统一的、集中的制定和施行。半层次性原则

8、在广电总局内部网络安全方案设计中， 无论具体的软硬件部署，还是管理制 度的制定，我们都遵循层次性原则。安全问题的层次性原则集中在两个方面：-管理模式的层次性在广电总局内部网络中，由于涉及到跨部门及机构的人员以及地点， 需要一 种层次性的管理模式。比如，用户管理需要分层次的授权机制； 防病毒体系的病 毒库分发或报警也需要分层次机制；安全紧急响应的流程也需要建立分层监控， 逐级响应的机制。-防护技术的层次性层次性还表现在防护技术上。针对业务系统的防护往往有多种防护设备和手 段，我们需要根据业务系统特点提出多层次防护机制， 保证在外层防护被入侵失 效的情况下，内部防护层还可以起到防护作用。另一方面，

9、各层之间的配合也是 层次性原则的重要特点之一。4长期性原则安全一向是一个交互的过程，使用任何一种“静态”或者号称“动态”防范 的产品都不能解决一直在发展的系统安全问题，所以我们针对安全问题的特点， 提供针对广电总局内部网络全面的安全服务， 其中包括设备产品的技术支持和服 务以及安全审计、安全响应等专业安全服务。网络安全技术建议书二、统一的安全防护体系在整个安全项目设计过程中，我们始终遵循统一的安全原则，从全网安全管 理角度出发，关注于各业务系统的安全，目标是为客户建立统一的安全防护体系。网络系统安全基于以上四个原则，我们为广电总局设计了如下的安全解决方案。下面，按 照“层层设防”的安全理念，我

10、们将从整个网络安全系统的基础一一网络系统的 结构开始，逐步阐述从网络核心交换区域、 到办公网段和核心服务器网段的不同 安全策略和安全产品的选型原则和实施建议。网络结构安全首先，通过如下的示意图，我们可以更加清晰的了解本方案对广电总局内部 网络的安全结构网络安全技术建议书VPN = VPNrouterrouter36XXPSTNUl|nilE2504000l|E250A5100IIIIIIl|VPN2926354835482926 , 2926MODEM POOLNetwork IDS病毒控制管理中心SUN ULTRA 10网管主机；!入侵检测理端安全审计系统内部网络结构建议在经过上述调整之后，

11、我们可以看到，构成网络核心的依旧是两台CISCO6509高性能的高端交换机，在这台交换机上汇接了重要业务系统接入、广电总 局各部门用户、网管及安全管理网段，在原有的VLAN基础上合理划分新的VLAN结构，使网络负载的分布更加合理。其次，在新的拓扑中，重要业务系统如办公系统、DNS/Mail/Proxy等公共服 务器网段之间都利用防火墙作了有效的隔离，建立起用户到业务网段的安全等级与安全隔离。任意一个网段对网络业务的访问都利用防火墙作了隔离，大大提高了网络的安全性，在防止攻击、病毒/蠕虫扩散等方面都能够起到很大作用。第三，在原先网管系统的基础上，建立新的网络管理及安全管理网段，该网网络安全技术建

12、议书段集中了网管、审计、日志、入侵检测、统一认证及病毒管理中心等安全及网管 主机，日常运维中通过各类安全技术收集整网安全信息， 提供运维人员整网状况。 通过在6509上实行一定的访问控制及安全策略，限制其他网段对该网段的非正 常访问。从而确保该网段的安全性。第四，在6509核心机上通过背板管理端口或端口镜像技术将需要检测网络 流量镜像到新增的网络入侵检测系统，该系统可在不影响正常网络流量的基础上 对需要检测的流量进行不间断的检测和报警。与直属机关互联网络建议随着业务的发展,广电总局的内部网目前规划与北京市内广电总局各直属机 关互联互通以及提供用户通过 PSTN远程拨号接入内网。互联通后，广电总

13、局的 内网将开放部分业务系统给各直属机关及拨号用户。因此，必须确保各直属机关及拨号用户的接入不会对网络安全以及信息安全构成影响。目前。由于广电总局内网是与INTERNET完全隔离的网络。为确保广电总 局内网的安全性，针对直属机关互联以及拨号用户的安全将主要考虑如下因素：.确保直属机关与广电总局内网互联信道的物理安全。.对直属机关与广电总局内网的连接采取加密措施（链路层加密，IP层加密或应用层加密）。.限定直属机关及拨号用户的授权访问范围。.限定直属机关及拨号用户对广电总局内网业务的访问流程。.限定直属机关及拨号用户网络接入广电总局网络后导致的INTERNET对总局内网的连接。.对直属机关及拨号

14、用户的访问行为进行实时监控。由以上因素我们可以得出，对直属机关及拨号用户接入广电总局内网的安全 考虑主要分应用层和网络层两大部分。由于应用系统的安全涉及广电内网所使用 的OA办公自动化系统的业务流程、 加密认证方式等相关问题，需由业务系统的 软件供应商提供相关安全措施，具体原则及需求见2.2节。而对于网络层的安全，网络安全技术建议书我们考虑的原则是如何在网络层确保数据的私密性，完整性和不可抵赖性。目前，可以在网络层以下实现的数据加密方式较多，主要包括在链路层实现 的链路加密机制与在网络层实现的各类 IP隧道加密机制。链路加密机通常由独立硬件构成， 通过在链路两端点的链路加密机协商或事 先指定加

15、密密钥，对链路中传输的物理帧进行加密。目前在国内主要应用于金融 及军队，提供小于10M的吞吐能力。通常，有同步（异步）链路加密机、帧中 继加密机。加密机自身的算法使用国内自研算法，对外不公开。qiFRPSTNDDnh.加密机加密机加密隧道:链路加密机制使用链路加密机实现信息的点到点安全，对IP层协议透明。如果网络结构包含多种链路，则必须购买相应的链路加密设备保护其上通讯数据的安全。目前，在国内互联网中使用较多的是网络层的加密机制。如果网络结构庞大，涉及多种通讯线路，如果采用多种链路加密设备则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络 层加密

16、设备，网络加密机是实现端至端的加密，即一个网点只需配备一台VPN加密机。根据具体策略，来保护内部敏感信息和秘密的机密性、完整性及不可抵 赖性。常用的网络机密机制采用的是 IPsec机制。加密机IP加密机制IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不安全的公共网络的线 路建立IP安全隧道，能够保护子网间传输信息的机密性、完整性和真实性。经 过对VPN的配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以 明文方式传输，以达到安全、传输效率的最佳平衡。一般来说，VPN设备可以网络安全技术建议书一对一和一

17、对多地运行，并具有对数据完整性的保证功能，它安装在被保护网络 和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都 支持IPsec标准由于网络层加密设备不依赖于底层的具体传输链路，它一方面可以降低网络 安全设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的 网络层安全基础设施和可选的虚拟专用网服务平台。 对政府行业网络系统这样一 种大型的网络，网络层加密设备可以使网络在升级提速时具有很好的扩展性。鉴于网络层加密设备的突出优点，应根据具体需求，在各个网络结点与内部网络相 连接的进出口处安装配备网络层加密设备。网络安全技术建议书2.1.2网络安全技术防火墙系统VP

18、NT:VPNrouterrouterPSTN3公乂乂VNetwork IDS2926 , 3548 , 3548l|hH国|E250入侵检测系统管理端H1|HA5100HI!SUN ULTRA 10网管主机IBMNetfinity 4000昌口三IPNMODEM POOL2926 . 2926安全审计系统m志分析系统00 E250我们将对广电总网络管理级与业如前图所示，根据广电总局内网整体安全层次的划分需求, 局内网划分四个安全等级：直属机关接入用户级、普通用户级、 务系统级。业务系统级：安全级别最高，包含广电总局内网办公自动化系统主机与内网DNS系统，这类系统发生问题将直接导致广电总局办公系

19、统的全面瘫痪，因此 对这类级别的安全防护需求最高。网络安全技术建议书对于这类系统，建议使用两台防火墙工作在 FAIL-OVER模式下，通过在防 火墙上设置严格的策略，对每个需要访问业务系统的用户进行严格限制，由于目前防火墙对组播(MUTLICAST )技术支持不够理想，目前广电总局内网的视频 点播系统暂不放在该网段下。网络管理级：安全级别居中，包含广电总局内网网管系统及新增的安全管理 系统，这类系统如果遭受入侵或干扰，将暴露整网结构及相关信息，间接影响整 网的安全状况。网管系统及安全管理系统将收集、 配置、管理广电总局内部网络，这些系统 拥有对网络设备及主机一定的管理权限，并存贮整网的相关信息

20、，所以需要对网管系统及安全管理系统进行较高级别的安全防护，由于网管及安全管理系统需要 开放的端口较多，因此我们建议在网络管理级前不部署防火墙系统，依靠主机自身安全增强及强加密认证系统提高系统安全防护能力。普通用户级：安全级别较管理级低，用户为总局内部员工，由于处于局域网 内部，业务访问量较大，有意或无意造成网络安全隐患的概率较高， 因此管理力 度需较远程接入用户加强，安全需求级别较直属机关接入用户高。直属机关接入用户级：安全级别相对较低。可信赖度最低。由于这类用户是 使用远程接入广电总局内网，且对业务的访问模式较固定，所以对该类用户的安 全等级及策略规划较其他三个等级简单。我们建议在广电总局直

21、属机关与广电总局内网链路接入处设置防火墙，限制直属机关接入对内网的访问策略。并通过 VPN方式与各直属机关建立隧道加密 机制。确保数据传输的私密性。由以上四个安全等级划分出发。我们在对网络机构调整的基础上，将利用防 火墙技术对不同安全等级的系统进行安全等级的划分，不同等级之间的访问依靠防火墙策略进行严格规定，确保在防火墙规范下的网络中的流量模型是包含实际 业务模型的最小集合。防火墙上实施如下策略原则如下：1.默认关闭防火墙上的所有访问规则网络安全技术建议书2,允许内网访问DMZ 口的必要服务3.禁止DMZ 口到内网、外网到内网、外网到 DMZ的访问4,允许内网、DMZ对外网的访问，也可根据需要

22、添加必要的限制策略2.1,2,2网络入侵检测系统的安全考虑入侵检测技术是当今一种非常重要的动态安全技术，与传统”的静态防火墙 技术共同使用，将可以大大提高系统的安全防护水平。ICSA入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行 分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象（的一种安全技术）。入侵检测技术是动态安全技术的核心技术之一。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件 和入侵过程能做出实时响应，从理论的分析方式上可分为两种相异的分析技术：1,异常发现技术。2.模式发现技术。目前，国际顶尖的入侵检测系统

23、IDS主要以模式发现技术为主，并结合异常 发现技术。基于以下因素的考虑，我们建议在此次工程中部署基于网络的入侵检测系 统。1.网络的快速增长和复杂程度的提高将产生大量的安全隐患。我们必须及 时高效地发现这些入侵并加以处理，否则可能遭受很大的损失。2,广电总局自身网络系统的结构目前虽然并不复杂，但随着直属机关的接 入和网络规模的发展，为了进一步的提高安全事件的即时响应和举证能 力，必须具备某种手段对可能的有意或无意的攻击作出检测、告警并留 下证据。.虽然在上述的改造方案中已经为广电总局部署了防火墙，对网段起到了 一定的保护作用，但是很多攻击手法是防火墙无法阻挡的，比如对Web网络安全技术建议书S

24、erver的基于异常 URL的攻击，具体体现的例子有 Code Red、Nimda 等等很多。如何及早发现这类攻击方式并处理， 是必须解决的问题之一。.防火墙虽然可以挡住某些攻击，但是通常无法留下细节的攻击记录，这 对分析攻击行为以及调查取证带来了很大困难，而入侵检测系统刚好可 以解决这一问题。.为了规范广电总局内网用户的行为，同时提供一种对用户访问行为的监 控机制和与相关管理制度的执行对照机制，依靠基于网络的入侵检测系 统可以提供一定时期内基于用户或基于协议的访问统计数据，用来更好 的检验相关管理制度的执行情况，为后期网络策略的调整和规划提供依 据。在选择入侵监测系统时需要考虑的因素主要有：

25、.管理模式.协议分析及检测能力；.解码效率（速度）；.自身安全的完备性；.精确度及完整度，防欺骗能力；.模式更新速度。根据广电总局的具体网络状况，我们在广电总局内网中部署一套套基于网络 的入侵检测系统。这套入侵检测系统部署在核心交换机上，（由于性能问题，原则上不对视频 点播系统进行检测）。检测所有不同级别间的用户对 OA业务系统及网管系统的 访问情况。网络IDS系统主机都配置两块网卡，一块用于监听网络流量，一块用于接受 管理中心的管理。需要在防火墙和交换机上设置相应规则以保护入侵检测主机。止匕外，在核心交换机上设置 Port Mirror将需要检测的VLAN的流量映射到 对应的监听网卡所连接的

26、端口网络安全技术建议书同时，在管理网段再配置一台 PC Server,安装入侵检测系统的管理端，如 果未来由于扩容等性能问题需要增加网络入侵检测系统时，该管理端可做为全部 入侵检测系统的集中控制台。Network IDS广电总局网络系统入侵监测系统部署拓扑图安全审计系统网络型扫描软件从网络角度发现主机开放服务，同时模拟黑客入侵对主机 或网络设备进行侦测性刺探，从而发现主机或网络设备的安全漏洞。 一方面网络 型扫描软件可以帮助用户实时检测网络漏洞，另一方面，也是进行全网安全审计 的重要工具。我们推在广电总局内网部署网络扫描软件。该系统部署在管理网段内，对 内网各业务系统及用户主机定期进行扫描审计

27、，并存贮相关审计信息。对于网络扫描审计产品的选型，考虑如下因素：, 体系结构：Client/Server结构的扫描审计软件具有集中管理的优势，禾 于电信环境部署及扩展；半 攻击模式库数量：应对多种攻击模式均支持；*软件更新速度快；中文化和本地化支持；建议扫描审计软件对全网主机和设备的安全审计信息均存放在管理网段的数据库中，其中包括主机的操作系统版本、漏洞情况、patch情况等安全信息。一方面，网管人员可以通过这个集中安全数据库查询全网安全状况，另一方面， 在发生安全事件或紧急响应时提供给我们和客户迅速了解受害机情况，找到对 策，减少损失。同时，扫描审计软件应提供相关接口，便于用户输入设备安全信

28、 息，也进一步增强该软件的决策支持能力。网络安全技术建议书由于目前在安全扫描审计软件中，都存在一定的安全威胁，扫描软件中的部 分攻击模式库存在对网络主机和网络资源的潜在危险性。 因此，对于扫描审计系 统，必须在严格的安全代价分析和详细的扫描模式库选择下进行实施， 通常对于 重要的业务系统，要根据系统主机的负载情况制定不同时间段的扫描计划， 从而 获得全面的系统安全状况。因此，我们建议在安全审计系统中，应采用服务与产品相结合的方式， 由专 业安全服务公司制定专业的审计流程和定期的安全审计服务。，2.1,2,4日志分析系统由于全网存在众多网络和主机设备，但缺乏统一的日志管理系统，我们建 议在安全管

29、理网段部署一套日志分析系统用于网络设备和主机系统的日志管理。建议采用三级结构的日志分析系统，第一级为需要记录日志的主机或设备，该主机配置syslog日志指向日志服务器；第二级为日志服务器，负责日志接受， 同步处理入数据库以及日志的统计分析；第三级为日志服务器的console,用于配置日志系统安全策略，接受日志系统报警和监视日志系统分析统计结果。对于日志分析系统的产品选型，考虑如下因素： Norton AntiVirus Kill 系列、VRV、TrendMicro InterScan 等产品， 应从综合评估，包括反病毒的整体解决方案、查杀病毒的技术和种类、系统资源 的占用、扫描病毒的方式、处置

30、病毒的方式、日志的管理、病毒库的及时更新以 及各公司的技术实力和对广电总局内网的实用性等方面考虑。建立全方位、多层次的、整体的网络防病毒解决方案。鉴于广电总局内网对物理隔离的严格要求，我们建议防病毒系统的病毒库及扫描引擎升级工组有系统管理员通过手工下载并存储在软盘上进行手动安装开 级（只需对病毒集中控制端进行手工操作，其他用户主机将由病毒集中控制中心自动分发并安装）2.2业务系统安全OA业务的安全广电总局的OA业务运行在两台SUN E3500平台上，OA业务的核心进程主 要有WEB服务与数据库服务。目前，所有用户通过浏览器访问OA业务主机，输入个人用户名及密码后登 录该系统处理日常OA业务，服

31、务器采用标准80端口提供服务，所以用户帐号 及密码都是以明码方式在网络上传播， 任何人窃听或截获用户密码及帐号， 都可 以伪装成该用户进行相关破坏活动。针对广电总局的OA业务系统，应通过相应的安全增强手段加强 OA业务的 安全性，具体参考如下：.采用SSL加密访问机制提供OA业务服务。确保用户在进入自己OA系 统时的帐号、密码以及随后的通讯数据的安全性。.采用CA认证机制，建立维护广电总局 OA用户的证书管理中心。采用SSL及CA认证系统需要满足以下安全需求：网络安全技术建议书.身份认证每个使用者必须拥有唯一的可靠的身份认证标识，安全系统能够对每个访 问者的身份进行有效识别，使用者也要对安全系

32、统进行认证，也就是使用者一 一系统之间的双向身份认证。.访问控制对不同的信息资源和用户设定不同的权限，系统根据每个访问者的身份确定他的访问权限，保证只允许授权的用户访问授权的资源。对于OA资源中的目录 和文件进行细粒度的权限划分，确保每个使用者只能访问授权的OA资源。.数据保密信息的传输过程加密，保证通信内容不被他人捕获，不会泄露敏感信息。.数据完整性对关键的数据信息，防止信息被非法入侵者篡改。.防止否认防止信息发出者对自己发出的信息进行抵赖，提供数字化的操作信息凭证。身份认证身份认证采用基于证书的公钥密码体制来实现。公钥密码算法公钥密码算法使用两个不同的密钥，即解密密钥Kd (私有密钥)和加

33、密密钥Ke (公开密钥)，信息加密时使用Ke,密文解密时使用Kd。Kd和Ke是紧密 相关，一一对应的。一般统称私钥 Kd和公钥Ke为“公私密钥对。公私密钥对 由特殊的密码学算法产生，密码学的理论可以保证，在人类现有的计算水平下， 由公钥Ke推算出私钥Kd是几乎不可能的。使用者在使用时，将自己的私钥Kd保存起来，而将自己的公钥 Ke对外公开。证书(Certificate)和证书中心 CA (Certificate Authority)要实现基于公钥密码算法的身份认证求，就必须建立一种信任及信任验证机 制，即每个网络上的实体必须有一个可以被验证的数字标识，这就是 “数字证书(Certificate

34、) 数字证书是各实体在网上信息交流及商务交易活动中的身份证 明，具有唯一性。网络安全技术建议书证书基于公钥密码体制，它将用户的公开密钥（Ke）同用户本身的属性（例 如姓名，单位等）联系在一起。这就意味着应有一个网上各方都信任的机构，专 门负责对各个实体的身份进行审核， 并签发和管理数字证书，这个机构就是证书 中心CA。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名，产生用户的数字证书在基于证书的安全通信中，证书是证明用户合法身份和提供用户合法公钥的凭证，是建立保密通信的基础。因此，作为网络可信机构的证书管理设施，CA的主要职能就是管理和维护它所签发的证书，提供各种证书服务，

35、包括： 证书的 签发、更新、回收、归档等等。目前，国际电力联盟ITU发布了数字证书白国际标准一一 X.509V3,下图是X.509V3证书格式的示意图:Certificate format versionversion 3Certificate serial number1Z345G7BSignature algorithm identifier for CARSA With MDSIssuer X.500 nameValidity periodstart-01/D8/9B. expiry-01W98Subject X.500 name0=115, o=ACMEr cn=John Smith

36、+Subject public ky irtrormationRSA with MDSIssuer unique identifierkani 工Typei/nr-cmn 1- 1TypeSubject unique identifierCriticalityCriticality一，TypeCriticalityValueValueValueExtefi 专 ions认证协议安全套接层协议 SSL （Secure Socket Layer安全套接层SSL协议目前Internet上使用最广泛的安全协议，两大主流浏览-Netscape Navigator和Microsoft IE以及绝大多数的

37、Web服务器均支持标准的SSL3.0协议。该协议向TCP/IP的客户/服务器模式提供了客户端和服务器的 身份认证、会话密钥交换和信息链路加密等安全功能，已成为事实上的工业标准。SSL认证协议有以下特点：对等方实体可以使用非对称密码算法（例如RSA, DSS等）进行认证网络安全技术建议书可以实现双向的身份认证。共享秘密的协商是保密的。即使攻击者能够发起中间人攻击，协商的秘 密也不可能被窃听者获得。协商是高度安全可靠的。攻击者不能在不被发现的情况下篡改协商通信 数据。访问控制访问控制采用集中式的权限控制中心，验证该使用者是否有权限访问特定的资源（文件）。并根据权限中心来完成。安全管理员在权限控制中

38、心为每个使用 者设定权限。在使用者登录 OA服务器的时候，OA服务器的安全系统会访问权 限控制中心，验证该使用者是否有权限访问特定的资源（文件） 。并根据权限进 行允许或拒绝。权限控制中心采用LDAP （轻量级目录访问协议）目录服务器来存储使用者 的权限。信息保密在身份认证通过之后，使用者和安全系统之间使用SSL协议建立安全加密连 接。SSL协议中，生成会话密钥的步骤如下：交换hello消息以协商密码算法，交换随机值。交换必要的密码学参数，使客户和服务器能够协商premaster secret交换证书和密码学信息，使客户和服务器能够进行相互认证。使用交换的随机值和 premaster secr

39、e也成主秘密 master secret 通信双方将根据主秘密master secret计算出此次通信的会话密钥，进行 安全通信。数据完整性与不可否认性数据的完整性与不可否认性通过基于公钥密码算法的数字签名来实现。数字文摘算法（HASH ）网络安全技术建议书数字文摘算法可以将任意长度的数据信息制作成一个固定长度的“文摘”，这个文摘保存了原来信息的一些特征，但是又不可能从这个数字文摘恢复出原来 的信息内容，就象图书馆的书刊索引一样。数字文摘算法主要用于保证信息的完 整性。常用的数字文摘算法主要有 MD5、SHA-1等。数字签名（Digital Signature）数字化的重要信息（例如电子商务交

40、易信息）是以数字形式出现的，不能用 手工的纸笔方式签字盖章，所以必须有一种方式来保证这些“重要的数字流”在传输中不被篡改、伪造，并且使信息发出者不能否认自己曾有过的行为。这种方 式被称为数字签名技术。数字签名技术是公钥密码体制的一种应用，简单地说，签名者使用自己私钥 Kd对签名文件的“数字文摘”加密，就生成了该文件的“数字签名”。签名者将 文件和数字签名一起发送给接收者，接收者就可以用该签名者公布的公钥Ke来解开数字签名，从而检验文件本身的真伪，并确定签名者的身份。由于采用CA及SSL认证通讯方式与广电总局 OA系统结合较紧密，所以本 方案中我们推荐由OA软件供应商根据OA系统的特点，进行相关

41、调整及实施。2.2.2 DNS业务的安全DNS业务提供了广电总局内网的域名解析工作，对于广电总局内网的 DNS 系统的安全，主要有如下建议：.通过将其部署在防火墙内，限制用户对该业务主机其他服务的访问，只 开启DNS服务端口（ 53）和相关管理端口（ 22, 23等）。.依靠入侵检测系统及日志分析系统对该业务主机进行详细的访问记录 审核，并保留相关记录。.对于操作系统，建议实施专业的Saloris安全增强服务，优化系统主机性 能，强化主机的安全性。.日常运维及管理用户通过一次性口令集中认证访问系统，确保密码的安 全性，以及指令的安全性。目前，广电总局内网的DNS采用的BIND,该软件自身存在多

42、种安全隐患，网络安全技术建议书建议实施DNS系统的专业安全增强，确保DNS业务的正常运转，具体内容可参 考如下：.限制域传输.配置主备服务器间认证.防止DNS欺骗.禁止转发查询.设置 allow query.设置重试查询次数2.3信息安全管理中心全网安全管理中心的建立对于广电总局全网安全有着非常大的意义，通过安 全中心可以动态了解和控制全网安全状况。一方面针对全网的安全设备进行集中 管理，另一方面，可以利用集中管理软件收集全网网络和主机安全信息，用于安 全分析和统计，进而对全网安全进行决策和支持。我们建议该安全管理中心分为 安全决策支持中心和安全设备管理中心。安全管理中心的实施拓扑如下图所示：

43、安全管理中心实施拓扑安全决策支持中心安全决策支持中心实际上是一个由专业安全专家、客户安全人员、安全知识库、安全信息中心软件系统以及专业安全服务共同构成的一个常备安全机构。其中安全知识库主要由专业公司提供的安全信息发布服务提供。而安全信息中心软件系统包括了安全管理中心内的安全审计软件和日志分析软件两大部分。网络安全技术建议书安全审计中心目前扫描软件包括网络型扫描器，主机型扫描器和数据库扫描器。一方面由 于主机型扫描器和数据库扫描器在使用中对系统资源占用较高， 另一方面，这些 扫描器的性价比较低，所以不推荐使用。网络型扫描软件从网络角度发现主机开放服务，同时模拟黑客入侵对主机或 网络设备进行侦测性

44、刺探，从而发现主机或网络设备的安全漏洞。 一方面网络型 扫描软件可以帮助用户实时检测网络漏洞， 另一方面，也是进行全网安全审计的 重要工具。日志分析中心日志中心用于全网设备和主机日志的收集和分析，避免了分散日志的安全 性，增加了安全事件的事后可跟踪性；安全设备管理中心安全设备中心包括IDS管理中心、防病毒管理中心、一次性口令集中认证系 统、日志管理中心和审计中心控制台。* IDS管理中心用于网络型IDS的策略控制和监控，报警信息将会在控制 台上显示或报警；网络安全技术建议书防病毒管理中心用于防病毒系统的管理和控制；日志管理中心控制台和审计中心控制台分别是日志分析中心和安全审 计中心的Conso

45、le端软件，可以实现对这两套软件系统的远程控制和管 理。安全设备管理中心，是“集中管理”思想的具体体现。通过一套或几套部署 在同一地点的安全管理软件，集中的实现对多个节点的多套安全工具集中的管 控，极大的节约了人力资源，提高了管理效率，对降低企业安全系统的TCO （总 体拥有成本）有很大效果。三、运维管理及培训方案任何用于主机安全或是网络安全的技术解决方案都必须依赖安全管理规范 的支持，而安全管理贯穿在整个网络运维之中的。 玛赛在长期大量的安全工程的 安全设计和实施中，积累了大量运维工作的安全管理经验， 玛赛愿意与广电总局 安全运维部门一起分享这些经验。结合目前广电总局业务特点，我们将从安全风

46、险管理，物理安全管理，逻辑安全管理和日常安全管理四个方面阐述安全管理方案。安全风险管理安全风险管理是确定适当的安全措施的重要步骤。风险管理对于如何提供安 全性，在那些方面提供安全性以及所应采取的安全控制的类型和力度等方面都有 着重要意义。在广电总局安全运维中，需要通过安全风险管理提供网络中的安全关键点。 下面我们首先将针对广电总局进行安全风险评估， 以确定什么是广电总局的关键 资产，对这些关键资产进行评估以及确定对这些资产出现破坏的可能性。结合广电总局的目前运维情况，我们认为整个网络中比较关键的资产如下表 所示：网络安全技术建议书资产说明核心交换机广电总局局域网所用的核心交换机防火墙广电总局所

47、用的防火墙接入路由器承担广电总局网络直属机关接入的接入路由器OA业务承担广电总局内网业务的服务器集群公共服务网段提供广电总局内部工作人员使用的公共业务 DNS的服务器应用服务器网段广电总局内部工作人员日常应用如视频点播等的服务器集群用户资源广电总局目前的用户群管理人员广电总局担负网络运维的人员，这里只列出了广电总局中一部分最重要的资产，而在长期的安全管理中，需要全局统筹管理，随着业务系统的不断变化， 及时更新关键资产的定义，以保 证处理操作的一致性和便于资产评估。在确定了广电总局中重要资产后，就需要对这些资产评定价值，一般而言，我们需要对有形资产如路由器等设备， 及其无形资产如数据库的数据等，

48、 进行资 产价值评估。无形资产一般可以用重要程度或关键程度评判其价值。 有形资产可 以根据更新价值或关键程度等因素进行评判。 考虑到实际需求，我们用不同的关 键程度等级来划分数据类别来评定广电总局内网资产价值。资产关键程度资产高核心交换机高防火墙中接入路由器高OA业务中公共服务网段高应用服务器网段高网络安全技术建议书用户资源中，下面我们将关注于出现破坏广电总局安全的可能性。网络的脆弱性表现在网 络中存在的可能被威胁利用的缺陷， 如：可能发生外部人员的猜出口令而对网络 进行未经授权访问的事件等。对于广电总局网络中关键资源，威胁有如下一些形 式：窃取或破坏风险管理需要为广电总局建立一套不同类型的敏

49、感数据存储在哪里、数据如何存储以及谁有权访问不同类型数据的的列表，该列表包涵了广电总局中最有价 值信息，通过该列表可以对这些数据进行简单的风险计算。在广电总局中，OA信息、路由配置和安全日志等这些数据是需要安全风险管理关注的关键数据，在运维中需要为这些数据提供安全管理策略，例如：由如何进行备份生备份文件存储在何处中如何对数据进行物理保护由谁有权访问存储数据的介质由数据完整性遭到破坏后的恢复措施事网络资源不可用风险管理将包含确定那些网络资源会受威胁及其所造成的损失。在广电总局网络结构中，业务系统的交换机和接入设备都是重要的网络资源，这些资源由于 设备失效、自然行为（如水灾、火灾和电击等）、系统升

50、级、错误配置以及DDoS 攻击等威胁，会造成商业上的极大损失，我们将根据这些威胁和商业损失上的考 虑，给定这些资源的相对风险，同时也将给出保证这些资源可用的安全策略。，业务资源不可用与网络资源不可用类似，广电总局的业务资源，如 OA系统、DNS系统、 等，都会由于某些威胁，造成系统不可用，我们需要给出这些资源的风险评估。网络安全技术建议书以下给出一个简单针对OA系统和DNS系统的计算风险例子:威胁的可能性（T）1=不太可能2=大概可能3=非常可能期望的损失值（1=低损失2=中等损失3=严重损失L）风险（TXL）1, 2=低风险3, 4=中等风险6 9 =高风险资源名称所受威胁TL风险OA系统数

51、据被窃取、篡改，DoS攻击等236- MiDNS系统非授权访问，DoS攻击等224-中通过这样的风险计算，就可以大致了解整个系统安全高风险的部位， 这样就 可以有的放矢，针对高风险段采取针对性措施进行防护。当在广电总局所有风险评定完毕后，就需要广电总局网络部门进一步确定广 电总局能够接受多高的风险，以及资产需要保护到什么程度。风险缓解是选择适 当的控制方式将风险降低到可接受水平的过程。通过把暴露安全漏洞所带来的风 险和实施及强制执行安全策略所需要的费用进行比较，就可以确定广电总局可接 受的风险水平。如对于办公 PC网络之上的Cisco交换机，我们就不值得花钱制 定严格的安全策略保护它们。再如：

52、针对 DNS服务器系统的威胁，我们只要提 供防火墙设备对进出该网段的访问进行过滤并提供基本的入侵检测即可，而不需要花费太多额外的资源去保护该业务系统。我们建议与广电总局网络部门协作，每个季度对整网实施一次专业的安全风险评估，在风险评估的基础上提出进一步的安全解决方案， 从风险管理的角度为 合理分配资源、进一步制定安全策略提供重要依据。物理安全管理物理安全一直是安全领域重要一环。 在系统中，物理安全主要体现在针对物 理基础设施、物理设备和物理访问的控制， 在广电总局环境中，全网物理安全主 要通过机房物理安全来体现。我们将针对广电总局网络系统提供一些机房管理制 度建议，同时在全网运维过程中与广电总

53、局运维部门协作不断完善这些制度。网络安全技术建议书机房参观访问制度该制度将从参观介绍人和参观对象、 参观申请及审批、参观批次和人数、机 房参观流程、参观级别定义及其资料管理等方面， 为广电总局在运维过程中的客 户参观提供安全管理依据。机房施工管理制度我们结合以前项目中安全管理的经验，为广电总局制定了如下的机房施工管理制度，广电总局运维部门也可以结合各机房情况改进该管理制度，以求充分切合实际。&运维值班管理制度值班管理制度是机房管理制度中较为核心的内容， 我们将配合广电总局网络 部门从值班基本守则、值班工作内容、值班中常见问题处理等多方面提供运维值 班管理建议。运维故障处理制度为保证广电总局网络

54、的安全运行， 保障全网的服务质量，我们为广电总局提 供运维故障处理的建议。建议将从故障发现、故障处理流程、故障级别、故障汇 报和故障报告等多方面提供全网运维故障处理解决的方法。如下为我们为广电总局设计的故障报告的一个简要格式：*其他运维管理制度针对广电总局运维实际，我们从设备使用管理、设备文档管理等方面提供设 备档案管理制度的建议，同时也提供了关于设备配置更改制度的一些想法。针对 某些灾难（电力、空调、水力，火灾），提供了相应的机房灾难应急措施。良好的物理安全是保证整个系统安全的重要部分，广电总局机房管理制度的 发展与完善需要广电总局运维部门和专业安全服务商密切协作， 在长期的运维中 得到加强

55、。网络安全技术建议书3.3逻辑安全管理逻辑安全管理进一步从技术层面建立一些安全管理制度，诸如用户管理、口令管理、网络设备安全管理和主机系统安全管理的制度。就用户管理而言，我们建议对广电总局设备或是网段的访问必须明确限制到 需要访问的个人，我们采取两种管理措施：预防性管理和探测性管理。预防性管 理，用于识别每个授权用户并拒绝非授权用户的访问。探测性管理，用于记录和报告授权用户的行为，以及记录和报告非授权访问或对系统、 程序和数据的访问 企图。在广电总局进行访问控制管理时，我们建议对各网络设备控制台的访问分别 分配一个用户口令，而对网络设备的逻辑访问分别采用另一个用户口令。对业务系统的访问控制，建议每个业务系统独立分配相应的用户。对传统传统口令用户， 有以下建议：事 选择不容易被猜到的口令；在安装完新的网络基础设备后尽快修改默认口令，不要忘记修改控制台 访问口令和用于维护目的的口令；尽可能限制对口令的访问，尽可能利用某些产品提供的对配置文件口令 加密的功能；率 制定指导方针，要求用户多长时间必须更改口令。建议至少在危及到特 权帐户的安全或发生重大人事变动时必须更换口令；在口令选择方面，有以下基本原则：不要使用登录名，不管以何种形式（如原样或颠倒、大写和重复等）不要用名字的第一个、中间