1、目 录1 网络安全方案摘要 31.1 网络安全方案描述 31.2 网络安全解决思路 51.3 网络安全问题解决建议 62 网络安全详细技术建议书 72.1 网络架构分析 72.1.1 应用系统架构 .72.1.2 应用系统平台 .82.2 系统风险分析 82.2.1 网络架构风险分析 .82.2.2 应用系统风险分析 .112.2.3 安全风险分析汇总 .162.3 安全需求分析 182.3.1 边界防护的需求 .182.3.2 入侵检测需求 .222.3.3 病毒防护安全需求 .252.4 系统安全建议 262.4.1 防火墙子系统规划 .272.4.2 入侵检测子系统规划 .302.4.3
2、 安全隔离子系统规划 .362.4.4 病毒防护规划 .402.5 安全产品选型 422.5.1 防火墙产品选型 .422.5.2 入侵检测产品选型 .442.5.3 安全隔离产品选型 .472.5.4 病毒防护产品选型 .48SAV 主要功能、特点 .48建立防病毒系统主要考虑内容 .51MCAFEE 公司防病毒产品介绍 512.5.5 主要功能: .52集中管理的防病毒管理体系 .54防病毒管理系统的主要特点及功能 .54强大的广域网管理能力 .54防病毒软件的管理: .56配置和集中管理 56任务调度和执行 57病毒自动更新和升级 57小结 592.5.6 产品清单 .601 网络安全方
3、案摘要1.1 网络安全方案描述众所周知,网络为人们提供了极大的便利。但由于构成 Internet 的 TCP/IP 协议本身缺乏安全性,提供一种开放式的环境,网络安全成为一个在开放式环境中必要的技术,成为必须面对的一个实际问题。而由于目前网络应用的自由性、广泛性以及黑客的“流行” ,网络面临着各种安全威胁,存在着各种类型的机密泄漏和攻击方式,包括:窃听报文 攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。通过 Internet 的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据彻底不受窃听,基本是不可能的。IP 地址欺骗 攻击者
4、通过改变自己的 IP 地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送 ICMP 的特定报文)来更改路由信息,以窃取信息。源路由攻击 报文发送方通过在 IP 报文的 Option 域中指定该报文的路由,使报文有可能被发往一些受保护的网络。端口扫描 通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个 DOWN 掉或无法正常运行。拒绝服务攻击 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报
5、文使得网络带宽资源被消耗。Mellisa 宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,Distributed Denial Of Service,简称 DDOS。许多大型网站都曾被黑客用 DDOS 方式攻击而造成很大的损失。应用层攻击 有多种形式,包括探测应用软件的漏洞、 “特洛依木马”等等。另外,网络本身的可靠性与线路安全也是值得关注的问题。随着网络应用的日益普及,尤其是在一些敏感场合(如公安、政府机关等)的应用,网络安全成为日益迫切的重要需求。网络安全包括两层内容:其一是网络资源的安全性,其二是数据交换的安全性。网络设备作为网络资源和数据通
6、讯的关键设备,有必要提供充分的安全保护功能,交换机、路由器、防火墙、入侵检测、防病毒、网闸、管理平台等产品提供了多种网络安全机制,为网络资源和数据交换提供了有力的安全保护。本文将对其技术与实现作详细的介绍。为了便于分析网络安全和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。从网络、系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理层、网络层、系统层、应用层和安全管理。物理层安全网络的物理安全主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整
7、个网络系统安全的前提。在网络安全考虑时,首先要考虑物理安全。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。除此之外,在一些特殊重要的网络应用中,可利用“网络隔离和信息交换”技术,将两个网络从物理上隔断而保证应用上连通实现的“信息摆渡” 。网络层安全网络层安全主要分为两个方面:网络传送安全和网络服务安全。网络传送安全主要需要注意的有重要业务数据泄漏和重要业务数据破坏。重要业务数据泄漏:由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网络内部也存在着内部攻击行为,其中包括登录通行字和一些敏感信息,可能被侵袭者搭线窃取和篡改,造成泄密。重要
8、数据被破坏:是指不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击。存储数据对于网络系统来说极为重要,如果由于通信线路的质量原因或者人为的恶意篡改,都将导致难以想象的后果,这也是网络犯罪的最大特征。网络服务安全是指:入侵者通过 Sniffer 等嗅探程序来探测扫描网络及操作系统存在的安全漏洞;入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网的重要信息;入侵者通过发送大量 PING 包对内部网中重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。网络安全不仅来自外部网络,同样存在于内部网,而且来自内部的攻击更严重、更
9、难防范。如果办公系统与业务系统没有采取相应安全措施,同样是内部网用户的个别员工可能访问到他本不该访问的信息。还可能通过可以访问的条件制造一些其它不安全因素(伪造、篡改数据等) 。或者在别的用户关机后,盗用其 IP 进行非法操作,来隐瞒自已的身份。应用层安全网络应用系统中主要存在以下安全风险:业务网之间的非法访问;中间业务的安全;用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖。同时还有:与 INTERNET 连接带来的安全隐患;身份认证漏洞;高速局域网服务器群安全;内部管理服务平台的安全。系统层安全系统级的安全风险分析主要针对专用网络采用的操作系统、数据库、及相关商用产品的安全
10、漏洞和病毒威胁进行分析。专用网络通常采用的操作系统(主要为 UNIX)本身在安全方面有一定考虑,但服务器、数据库的安全级别较低,存在一些安全隐患。管理层安全再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等) ,必须实时的检测、监控、报告与预警。同时,当事故发生后,必须提供黑客攻击行为的追踪线索及破案依据,即网络应该有可控性与可审查性。这就要求我们必须对站点的
11、访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案。因此,最可行的做法是管理制度和管理解决方案的结合。1.2 网络安全解决思路网络的安全覆盖系统的各个层面,由“物理级安全、网络级安全、应用级安全、系统级安全和管理级安全”五个层次组成。在物理层次的安全主要依靠物理线路的可靠保障、维护等措施防护,对于不同安全级别网络区域,可以采用网闸设备实现信息摆渡,同样网闸设备也可以使攻击者无法通过系统漏洞攻击受保护的服务器。系统级层次的安全主要依靠操作系统的可靠性、漏洞补救、病毒防护等措施保障,该层次的安全性可以结合网络层、应用层和管理层的措施共同防护
12、。所以网络的安全解决方案应该主要从三个层次解决:网络层、应用层和管理层。包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠技术方面的安全保护和管理方面的安全管理进行全面防护。其中在技术方面主要由数据安全识别、防御、传送、监控四个部分支撑;在管理方面需要进行实时的安全保护、审计、分析、智能管理。此外,仅仅依靠安全技术和安全的管理是无法彻底解决安全问题的,解决安全问题是个循序的过程,还需要对紧急事件进行及时的处理响应并完善更新策略规则,增强整个系统安全性。安 全 解 决 方 案 层 次 结 构安全识别技术包括用户接入身份认证、用户访问权限区分、
13、管理员权限识别与限制、业务使用访问控制、网络服务使用控制、管理员视图控制、访问策略服务等等。安全防御是通过防火墙来进行安全访问控制,防火墙是在内部可信任设施和外部非信任网络之间的屏障,防火墙的设计的原则是:只信任内部网络,对一切来自外部/去往外部的流量进行监控。安全传送包括采用 IPsec、SSL 等技术,采用 VPN 隧道对传输数据进行加密。安全监控一般采用防火墙和入侵检测系统配合的方式,防火墙是处于网络边界的设备,自身可能被攻破,需要在内部进行监控,采用入侵检测设备识别网络行为的可信任性,判断是否是内部系统网络或数据资源的可疑行为,并对这些行为做出处理响应;入侵检测是对防御技术的重要补充,
14、入侵检测设备的能效既针对外部网络,也针对内部网络。1.3 网络安全问题解决建议安全方案阐述:1.1 在榆林市政府应急中心网络和外部网络(电子政务网、互联网)之间部署防火墙产品,用于对进出榆林市政府应急中心网络的数据包进行过滤和有效控制;1.2 在榆林市政府应急中心网络中需要监控的核心交换机上部署入侵检测设备,用于监测通过内网核心交换机的数据包行为并与防火墙设备进行联动,一旦发现有可疑数据包,则通知防火墙对该数据包作相应处理;1.3 按照国家有关规定,在榆林市政府应急中心网络中数据中心和外部局域网之间部署网络隔离和信息交换设备,实现内部局域网与外部局域网的物理隔离,从根本上杜绝攻击者利用操作系统
15、或数据库本身的漏洞来窃取重要数据或攻击数据中心服务器或小机等设备。1.4 在榆林市政府应急中心网络中建立整体防病毒体系,对从网络入口到网络内的服务器和所有计算机设备采取全面病毒防护,并且根据需要在网络中心设置病毒防护管理中心,可以使反病毒工作按照不同部门或地域的实际情况,分组设置反病毒管理工作。2 网络安全详细技术建议书2.1 网络架构分析2.1.1 应用系统架构2.1.1.1 接入与表示层该层的主要作用是访问应用逻辑层提供的各种应用系统功能,并将应用逻辑层返回的结果通过各种技术手段展现给用户,使用户能通过不同的界面和通讯方式连入应用系统。应用系统主要有以下几类用户:市应急平台、市内各部门、分
16、中心、各局办,都是通过电子政务内网或互联网直接连接和市应急平台应用系统进行通讯。2.1.1.2 应用逻辑层应用逻辑层是整个应用系统架构的核心,主要的业务逻辑都是由应用逻辑层中的应用系统实现的。此外,应用逻辑层的另一个主要作用是与数据层交换数据。2.1.1.3 数据层数据层存储的主要是业务数据,包括文件级数据和机密级数据。2.1.2 应用系统平台2.1.2.1 硬件平台2.1.2.2 操作系统平台2.1.2.3 数据库系统平台2.1.2.4 中间件系统平台2.1.2.5 办公自动化系统平台2.1.2.6 网站系统平台2.2 系统风险分析2.2.1 网络架构风险分析从网络架构的角度,我们认为存在的
17、安全隐患主要来自于以下几个方面,包括榆林市政府应急中心网络的基础-TCP/IP 自身的弱点,网络设备存在的安全隐患、网络服务器存在的安全风险、网络访问的合理性和数据传输的安全性。具体描述如下:2.2.1.1 TCP/IP 协议的弱点由于 TCP/IP 协议作为事实上的工业标准,以其 IP Over Everything 的思想,简化了网络构建的复杂性,并随着技术的发展,并最终实现 Everything Over IP 的网络融合,这种网络发展的趋势是不可逆转的,是由 IP 技术的竞争优势确定的。具有非常好的扩展性,适合于构造大型的计算机网络。但同时我们也看到,由于 TCP/IP 协议在产生之处
18、,还没有全面考虑安全方面的因素,就使得该协议组自身便存在一些先天的安全问题,而对于榆林市政府应急中心网络系统来讲,由于大量的应用程序都是以 TCP 作为数据的传输层协议,因此 TCP/IP 协议的安全性会给榆林市政府应急中心网络带来严重的后果。典型利用 TCP/IP 协议的弱点,发起攻击行为的就是“拒绝服务攻击” ,比如“SYN FLOOD”攻击,它就是利用了 TCP 协议中,建立可靠连接所必须经过的三次握手行为,攻击者只向攻击目标发送带“SYN”表示的数据包,导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息,而导致系统处于长期等待状态,直至系统的资源耗尽,而无法正常处理其他合法的连
19、接请求。还有就是 IP 欺骗攻击,IP 欺骗由若干步骤组成,首先,目标主机已经选定。其次,信任模式已被发现,并找到了一个被目标主机信任的主机。黑客为了进行 IP 欺骗,进行以下工作:使得被信任的主机丧失工作能力,同时采样目标主机发出的 TCP 序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。使被信任主机丧失工作能力。攻击者将要代替真正的被信任主机。对于榆林市政府应急中心网络,由于 TCP/IP 协议的弱点,有可能造成以下的破坏。 攻击者对网上文件查询主机进行拒绝服务攻击,
20、而使网上文件查询主机无法正常工作; 攻击者利用地址欺骗,获得更多的访问权限,有可能会渗透到系统内部,造成更大的损失; 内部员工由于不满或无意识间利用办公用机散播蠕虫病毒,导致整体网络运行故障;2.2.1.2 网络设备的风险在网络中的重要的安全设备如路由器交换机等有可能存在着以下的安全风险:(以最常用的路由器为例) 路由器缺省情况下只使用简单的口令验证用户的身份,并且远程 TELNET 登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。 路由器口令的弱点是没有计数器功能的,所有每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。 每个管理员都可能使用相同的
21、口令,因此,虽然访问日志可以详细记录管理员对路由器进行登录、修改操作,但无法区分是哪位管理员进行的操作。 路由器实现的动态路由协议存在着一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击做准备。 针对路由器的拒绝服务攻击或分布式拒绝服务攻击。比如 ICMP 重定向攻击、源路由攻击等。 。 。 发布假路由,路由欺骗,导致整个网络的路由混乱。2.2.1.3 网络服务器的风险针对榆林市政府应急中心网络系统来讲,运行在专网上的各种网络服务器构成了最重要的信息资产,如何确保这些重要的网络服务器能够稳定、可靠、安全地运行,是保证系统各项业务正常开展的基础。一般来讲,网络服务
22、器所面临的安全问题包括: 维护存储在服务器上信息的机密性。这要求保证:1)只有授权用户才可以访问服务和信息;2)授权用户只能访问那些他们被授权访问的服务;3)信息的公开要与策略一致; 维护存储在服务器上信息的完整性,以免信息被破坏或被损坏,并使系统像期望的那样运行。这意味着要能对完整性的破坏进行识别和响应; 维护服务和信息的可用性。这要求保证:1)即使硬件或软件出故障,或进行系统的日常维护时对信息和服务的访问也不中断;2)能及时识别并响应安全事件; 确保用户名副其实,网络服务器主机也名副其实,这叫做“相互验证” 。2.2.1.4 网络访问的合理性网络的访问策略是不是合理,访问是不是有序,访问的
23、目标资源是否受控等问题,都会直接影响到榆林市政府应急中心网络系统的稳定与安全。如果存在网络内访问混乱,外来人员也很容易接入网络,地址被随意使用等问题,将导致网络难以管理,网络工作效率下将,无法部署安全设备、对攻击者也无法进行追踪审计。这就要求系统能够对网络中发生的各种访问,乃至网络中传递的数据包进行很好的监控,特别是针对榆林市政府应急中心网络专网,由于其既存在对内提供服务的设备,也存在对外提供服务的设备,这些服务器在安装的过程中有可能没有关闭掉一些毫无用处的服务,或者即使关闭了这些服务,也因为操作系统自身存在的漏洞而给攻击者可乘之机,特别是对互联网提供服务的设备,很容易成为榆林市政府应急中心网
24、络专网的“安全短板” ,被来自互联网的攻击者利用,从而发起对内网的攻击。2.2.1.5 数据传输的安全性从网络结构的分析上,我们看到,对于某些省份,由于其主干网络采取政务网(第三方不可信任网络) ,那么当数据以明文的方式在这种不可信任网络中进行传递和交换时,就给数据的安全性、保密性带来极大的挑战,具体来讲对数据传输安全造成威胁的主要行为有: 窃听、破译传输信息:榆林市政府应急中心网络主要用于进行重要数据和报文的传递,具有一定的敏感性。由于使用地方政务网这样的第三方不可信任网络,攻击者能够通过线路侦听等方式,获取传输的信息内容,造成信息泄露;或通过开放环境中的路由或交换设备,非法截取通信信息;
25、篡改、删减传输信息:攻击者在得到报文内容后,即可对报文内容进行修改,造成收信者的错误理解。即使没有破译传输的信息,也可以通过删减信息内容等方式,造成对信息的破坏,比如将一份报文的后半部分去掉,造成时间、地点等重要内容的缺失,导致信息的严重失真; 重放攻击:即使攻击者无法破译报文内容,也无法对报文进行篡改或删减,但也可以通过重新发送收到的数据包的方式,进行重放攻击。对于一些业务系统,特别是数据库系统,这种重放攻击会造成数据失真以及数据错误; 伪装成合法用户:利用伪造用户标识,通过电子邮件、实时报文或请求文件传输得以进入通信信道,实现恶意目的。例如,伪装成一个合法用户,参与正常的通信过程,造成数据
26、泄密。2.2.2 应用系统风险分析榆林市政府应急中心网络应用系统包括:办公自动化系统、档案文件管理与内容管理系统等。这些应用建立在硬件平台、操作系统平台、数据库系统平台、中间件系统平台、办公自动化系统平台和榆林市政府应急中心网站系统平台之上。因此,对应用系统安全风险的分析也就是对各种系统平台的安全风险分析。2.2.2.1 硬件平台风险分析硬件平台的安全风险包括硬件平台的安全威胁和脆弱性,它的某些安全威胁和脆弱性也影响着软件资产和数据资产。具体而言,软件是安装在服务器、工作站等硬件之上的,所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。而
27、数据是依赖于软件而存在的,也就是说数据资产也间接地依赖于某些硬件,因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。硬件平台的安全风险主要表现在: 火灾 水灾 鼠害 地震、雷电等意外的天灾 偷窃,是指非法用户盗窃财政机构硬件资产和数据资产的可能性,它包括内部人员的偷窃和外部人员的偷窃。 人员故意损害,是由于用户心存不满、意在报复而采取的破坏行为和引起系统或维护环境上的物理、软件和数据损坏发生的可能性,它包括内部人员故意损害、外部人员故意损害和恐怖主义。2.2.2.2 操作系统平台风险分析操作系统平台的安全风险主要来自为针对操作系
28、统漏洞的攻击。安全漏洞是指任意的允许非法用户未经授权许可获得访问或提高其访问层次的硬件或软件特征。安全漏洞就是某种形式的脆弱性。2.2.2.2.1 UNIX 操作系统安全漏洞UNIX 类服务器和工作站由于其出色的稳定性和高性能而成为大型网络系统常采用的操作系统,当前承担着应用的关键任务。缺省安装的 UNIX 操作系统(以 HP UNIX 为例)会存在以下安全漏洞: FINGER(泄露系统信息) 各类 RPC(存在大量的远程缓冲区溢出、泄露系统信息) SENDMAIL(许多安全漏洞、垃圾邮件转发等) NAMED(远程缓冲区溢出、拒绝服务攻击等) SNMP(泄露系统信息) 操作系统内核中的网络参数
29、存在许多安全隐患(IP 转发、堆栈参数等) 存在各种缓冲区溢出漏洞 存在其它方面的安全漏洞2.2.2.2.2 微软操作系统安全漏洞2.2.2.2.2.1 Windows NT/2000/XP 的安全漏洞Windows NT/2000/XP 操作系统由于其简单明了的图形化操作界面,以及逐渐提高的系统稳定性等因素,正逐步成为主要的网络操作系统,并且在榆林市政府应急中心网络中占有重要地位。Windows NT/2000/XP 系统的安全水平取决于管理员在安装过程、补丁安装过程、应用服务配置过程中的安全修养和实际考虑。缺省安装的 WINDOWS NT/2000/XP 操作系统的安全问题非常严重,它们通
30、常会出现下述安全漏洞: 没有安装最新的 Service Pack. 没有关闭不必要的系统服务 最新的 SERVICE PACK 没有解决的安全漏洞 缺省安装的服务程序带来的各种安全漏洞 系统注册表属性安全漏洞 文件系统属性安全漏洞 缺省帐号安全漏洞 文件共享方面的安全漏洞 其它方面的各种安全漏洞2.2.2.2.2.2 Windows 9x 的安全漏洞当前 WINDOWS 9X 操作系统是办公网络、网络管理和监视等的重要组成部分。借助WINDOWS 95/98 系统中存在的漏洞,攻击和入侵者可以直接窃取用户口令、窃取重要数据文件、安装木马程序、采用逐渐参透方法入侵其它主机等。一方面,办公人员习惯
31、使用WINDOWS 9X 系统进行日常的电子通信、文件编辑、资源共享、文件打印、登录其它主机、浏览网页等;另一方面,WINDOWS 9X 系统的安全问题容易受到忽视而导致安全管理方面的松懈。因此,由此导致的网络安全威胁不容忽视。WINDOWS 9X 系统通常存在的安全漏洞包括以下方面: WINDOWS 9X 系统经常出现的拒绝服务攻击漏洞 IE 浏览器出现的各种安全漏洞 WINDOWS 资源共享导致的安全漏洞 电子邮件携带的病毒和木马程序 IRC、ICQ、OICQ 等网络联络工具带来的安全漏洞 WINDOWS 9X 系统中存在的其它安全漏洞2.2.2.3 数据库系统平台风险分析数据库系统一般可
32、以理解成两部分:一部分是数据库,按一定的方式存取数据;另一部分是数据库管理系统(DBMS) ,为用户及应用程序提供数据访问,并具有对数据库进行管理、维护等多种功能。随着计算机在社会各个领域的广泛应用,信息系统中的数据库管理系统担负着集中处理大量信息的使命,但是数据库通常没有像操作系统和网络那样在安全性上受到重视。数据完整性和合法存取会受到很多方面的安全威胁,包括对数据库中信息的窃取、篡改和破坏,计算机病毒、特洛伊木马等对数据库系统的渗透、攻击,系统后门以及本身的安全缺陷等。数据库系统平台是应用系统的基础,其面临的安全风险包括: 偶然的、无意的侵犯/或破坏。自然的或意外的事故。例如地震,水灾和火
33、灾等导致的硬件损坏,进而导致数据的损坏和丢失。 硬件或软件的故障/错误导致的数据丢失。硬件或软件的故障 /错误导致可能导致系统内部的安全机制的失效,也可导致非法访问数据或系统拒绝提供数据服务。 人为的失误。操作人员或系统的直接用户的错误输入、应用系统的不正确的使用。 蓄意的侵犯或敌意的攻击。授权用户可能滥用他们的权限,蓄意窃取或破坏信息。 病毒。病毒可以自我复制,永久的或通常是不可恢复的破坏自我复制的现场,到达破坏信息系统、取得信息甚至使系统瘫痪。 特洛伊木马。一些隐藏在公开的程序内部收集环境的信息,可能是由授权用户安装(不经意的)的,利用用户的合法权限窃取数据。 隐通道。是隐藏在合法程序内部
34、的一段代码,在特定的条件下启动,从而许可此时的攻击可以跳过系统设置的安全稽核机制进入系统,以达到窃取数据的目的。 信息的非正常的扩散泄密。 对信息的非正常的修改,包括破坏数据一致性的非法修改以及删除。 绕过 DBMS 直接对数据进行读写。2.2.2.4 中间件系统平台风险分析对于中间件的安全风险主要是在网络互连及数据通信过程中来自不速之客的非法性动作,主要有非法截取阅读或修改数据、假冒他人身份进行欺骗、未授权用户访问网络资源等。2.2.2.5 办公自动化系统平台风险分析 硬件/软件故障造成系统瘫痪 计算机病毒的入侵 特洛伊木马的恶意程序造成失密 邮件系统故障 办公终端非法连接互联网2.2.2.
35、6 榆林市政府应急中心网站系统平台风险分析 拒绝服务攻击 端口扫描 篡改网站主页 非授权用户访问 冒充合法用户的访问 Web 服务器主机的详细信息被泄漏 Web 服务器私人信息和保密信息被窃 利用 Bug 对 Web 站点进行破坏 互联网上传输信息被非法截获,纳税人信息和申报数据被非法篡改2.2.3 安全风险分析汇总安全风险类别 安全风险描述 安全需求来自外接专网的越权访问 访问控制来自外接专网的恶意攻击 入侵检测来自外接专网的病毒入侵 病毒防护来自政务网系统同级、上级和下级节点的越权访问 访问控制来自政务网系统同级、上级和下级节点的恶意攻击 入侵检测网络访问的合理性来自政务网系统同级、上级和
36、下级节点的病毒入侵 病毒防护利用 TCP/IP 弱点进行拒绝服务攻击 边界隔离利用 TCP/IP 弱点进行 IP 欺骗攻击 边界隔离TCP/IP 的弱点蠕虫病毒攻击 系统加固路由器弱口令的风险 漏洞扫描口令明文传递的风险 加密传输网络设备的风险假路由、路由欺骗攻击 漏洞扫描网络架构敏感信息在广域网中传输的安全隐患文件查询系统在传输过程中被窃取、篡改、删除 通讯信道加密网络及系统漏洞的安全隐患黑客利用已知的漏洞对网络或系统进行恶意攻击 漏洞扫描不能实时监控关键业务主机硬件系统的运行情况集中安全管理(主机性能监控)应用系统关键业务主机出现故障和系统漏洞的安全隐患 不能实时报告关键业务主机系统故障
37、集中安全管理(主机稳定性监控)操作系统的安全级别低,缺乏对使用关键业务主机操作系统用户权限的严格控制、文件系统的保护等访问控制(主机安全防护)数据库系统的安全隐患不能实时监控数据库系统的运行情况包括:数据库文件存储空间、系统资源的使用率、配置情况、数据库当前的各种死锁资源情况、数据库进程的状态、进程所占内存空间等。集中安全管理(数据库稳定性监控)2.3 安全需求分析根据上面所分析的内容,可以看到,榆林市政府应急中心网络系统目前存在着较多的安全隐患,作为重要的政府职能部门, 榆林市政府应急中心网络系统受到更多的关注,遭遇攻击威胁的可能性很高,综合上面的描述,下面从网络安全、应用安全、管理安全的角
38、度出发,归纳出榆林市政府应急中心网络主要存在的安全需求为:边界防护需求、入侵检测需求、安全隔离需求、病毒防护需求。2.3.1 边界防护的需求边界防护的设计是将组织的网络,根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域(从纵向上我们将榆林市政府应急中心网络划分内网和电子政务专网两个层面,从横向上又分为涉密内网、服务器群和办公内网三个组成部分,从而形成多个安全域) ,不同的安全域之间形成了网络边界,通过边界保护,严格规范榆林市政府应急中心网络系统内部的访问,防范不同网络区域之间的非法访问和攻击,从而确保榆林市政府应急中心网络各个区域的有序访问。一般来说边界防护采用的主要技术是防
39、火墙技术。网络边界防护逻辑示意图根据榆林市政府应急中心的具体情况,并结合用户的需求,在本技术方案中,我们将在互联网和榆林市政府应急中心网络之间采取逻辑隔离技术,即使用防火墙和入侵检测系统;而在榆林市政府应急中心办公内网和涉密内网之间采用物理隔离技术,即采用安全隔离网闸来实现榆林市政府应急中心网络和榆林市政府应急中心数据中心之间的安全数据交换。2.3.1.1 防火墙技术防火墙是指设置在不同网络(如可信任的组织内部网和不可信任的公共网)或网络安全域之间的一系列部件组合。防火墙通常位于不同网络或网络安全域之间信息的唯一连接处,根据组织的业务特点、行业背景、管理制度所制定的安全策略,运用包过滤、代理网
40、关、NAT转换、IP+MAC 地址绑定等技术,实现对出入网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测) ,控制类别包括 IP 地址、TCP/UDP 端口、协议、服务、连接状态等网络信息的各个方面。防火墙本身必需具有很强的抗攻击能力,以确保其自身的安全性。防火墙可实现以下的基本功能。 监控并限制访问针对黑客攻击的不安全因素,防火墙采取控制进出内外网的数据包的方法,实时监控网络上数据包的状态,并对这些状态加以分析和处理,及时发现存在的异常行为;同时,根据不同情况采取相应的防范措施,从而提高系统的抗攻击能力。 控制协议和服务针对网络协议设计的先天缺陷,防火墙采取控制协议和服务的方法,使得
41、只有授权的协议和服务才可以通过防火墙,从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。 保护网络内部针对软件及系统的漏洞或“后门” ,防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构,其自身建立在安全操作系统之上;同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏洞,进行访问上的限制;防火墙还可以屏蔽受保护网络的相关信息,使黑客无从下手。 日志记录与审计当防火墙系统被配置为工作在不同安全域之间的关键节点时,防火墙系统就能够对不同安全域之间的访问请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用
42、情况做出统计。这样网络管理员通过对统计结果进行分析,掌握网络的运行状态,继而更加有效的管理整个网络。I N T E R N E T保 护 主 机F i r e w a l l防火墙部署示意图针对榆林市政府应急中心网络系统的具体情况,我们得到对防火墙的需求包括以下几个方面: 访问控制防火墙必须能够实现网络边界的隔离,具有基于状态检测的包过滤功能,能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制,能够实现邮件内容过滤,支持网络地址转换等功能。 高效率由于防火墙被部署在榆林市政府应急中心网络系统不同安全域之间的关键节点上,因此从某种意义上讲,防火墙的工作效率就决定了榆林市政府应急
43、中心网络的工作效率,所以采用的防火墙设备必须有较高的工作效率,确保网络原有的吞吐率、延迟等重要的指标尽量不受到防火墙的干扰。 高可靠性由于防火墙是网络中的重要设备,意外的宕机都会造成网络的瘫痪,因此防火墙必须是运行稳定,故障率低的系统,并且要求能够实现双机热备,最好能够实现防火墙集群技术,以保证不间断的网络服务。 日志和审计要求防火墙能够对重要关键资源的使用情况应进行有效的监控,防火墙系统应有较强的日志处理能力和日志分析能力,能够实现日志的分级管理、自动报表、自动报警功能,同时希望支持第三方的日志软件,实现功能的定制。 身份认证防火墙本身必须支持身份认证的功能,在简单的地方可以实现防火墙本身自
44、带数据库的身份认证,在大型的情况下,可以支持与 RADIUS 等认证服务器的结合使用。 高安全性作为安全设备,防火墙本身必须具有高安全性,本身没有安全漏洞,不开放服务,可以抵抗各种类型的攻击。可以有效抵抗拒绝服务攻击的能力,防范攻击者利用 TCP/IP 协议自身弱点发起对榆林市政府应急中心专网系统的攻击。 可以扩展系统的建设必须考虑到未来发展的需要,系统必须具有良好的可扩展性和良好的可升级性。 易于管理系统的安装、配置与管理尽可能的简洁,安装便捷、配置灵活、操作简单。 支持 VPN 加密传输针对榆林市政府应急中心系统数据明文传输的风险,要求防火墙必须支持 VPN 加密模块,在榆林市政府应急中心
45、系统利用政务网进行数据传输的过程中,将数据进行加密,使数据以密文的方式被传递,防范数据被政务网内攻击者窃取的风险,同时 VPN 模块还支持数据完整性校验和抗重放攻击的能力,进一步加强数据传输的安全性。2.3.1.2 隔离交换技术隔离交换技术是针对不同安全级别网络之间的隔离需求而研制的一种新型物理隔离系统,工作在不同安全级别的网段之间,利用“信息摆渡技术” ,终断了原有的 TCP/IP 连接,使得没有任何存活的 TCP/IP 连接能穿过该系统,从而有效防止针对网络协议和操作系统漏洞的各种攻击,并且在物理上断开内外网络连接的同时,还能够实现适度的、可控的内外网络数据交换,其工作原理如下图所示:安全
46、隔离网闸工作原理图隔离交换系统主要有外网主机模块、外网通信网口、内网主机模块、内网通信网口和安全通道组成,外网主机模块和内网主机模块采用独立的系统,包含各自的处理单元和存储单元,分别连接可信内网和非可信的网络,负责对应用数据进行预处理及安全检查。内网主机模块和外网主机模块间通过专用的通信设备及专有的安全协议形成安全通道。当外网需要向内网传递数据时(反之也亦然) ,数据首先被传递到外网主机模块,然后在系统内被送往安全通道;安全通道采用“信息摆渡”技术,使信息能够从外网主机模块“摆渡”到和内网主机模块,进一步被传递到内网。并且在交换的过程中,安全通道会阻断所有的TCP 直接连接,因此保证了内网和外
47、网的物理隔离。针对数据中心网络和办公网络,由于两个区域要求的安全级别不同,那么最安全的方式就是物理隔离,使数据中心网络与办公网络在物理隔离的前提下,还能够确小机中的数据通过网闸“摆渡”到办公网络进行处理。在此我认为,针对榆林市政府应急中心系统,对于隔离交换的需求主要包括以下几个方面: 严格隔离内外网络要求必须使用高速安全隔离电子开关,支持单向或双向网络连接,保证内外网在物理链路层上是完全断开的。 高速网络切换要求由于榆林市政府应急中心系统有网上数据查询系统,因此要求隔离交换系统能够有比较快的数据交换能力,不影响处理业务的正常效率。 可控信息交换要求 由于网上查询业务是直接连接互联网,而基于互联
48、网的完全公开性,加上榆林市政府应急中心系统本身数据的重要性,决定了其受到攻击的概率很高,这就要求隔离交换系统对于传递的信息也要提供多种安全手段,能够有效保证传输数据的应用安全性。 具有自定义传输协议要求系统能够支持自定义信息交换报文和协议进行信息传递和交换,防止黑客利用标准网络协议的各种漏洞进行攻击 具有可审计功能要求所有数据交换操作都必须有详细的日志记录,配合数字签名等措施,系统必须提供有效的审计数据,和审计工具。便于榆林市政府应急中心系统的网管人员及时对数据进行审计和查询。2.3.2 入侵检测需求利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但
49、是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。入侵检测系统可以部署在网络中的核心,这里我们建议在榆林市政府应急中心系统网络中引入入侵检测系统,监视并记录网络中的所有反问行为和操作,有效防止非法操作和恶意攻击。同时,入侵检测系统还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。I N T E R N E T保 护 主 机F i r e w a l lI D S入侵检测部署示意图需要说明的是,IDS 是对防火墙的非常有必要的附加而不仅仅是简单的补充。防火墙系统是基于策略的对网络边界实施静态安全防范的技术,根据系统的策略 (IP Address/port/)只允许通过策略所允许的数据包,但不能切断隐藏在正常数据包中的黑客攻击试图。而且,对于不通过防火墙的数据包(内部的相互
