網(wǎng)絡安全建設實施方案.doc

《網(wǎng)絡安全建設實施方案.doc》由會員分享，可在線閱讀，更多相關《網(wǎng)絡安全建設實施方案.doc（89頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、1 京唐港股份有限公司京唐港股份有限公司 網(wǎng)網(wǎng)絡絡安全建安全建設實設實施方案施方案 二二 OO 七年二月七年二月 2 目錄目錄 1概述概述.3 2網(wǎng)絡系統(tǒng)安全建設網(wǎng)絡系統(tǒng)安全建設.3 2.1安全現(xiàn)狀分析.3 2.2安全風險分析.4 2.2.1物理安全4 2.2.2網(wǎng)絡安全與系統(tǒng)安全4 2.2.3應用安全5 2.2.4安全管理5 2.3安全需求分析.6 2.3.1物理安全需求分析6 2.3.2網(wǎng)絡安全與系統(tǒng)安全7 2.3.3應用安全7 2.3.4安全管理8 2.4安全實施方案.8 2.4.1物理安全防護8 2.4.2備份與恢復9 2.4.3訪問控制9 2.4.4系統(tǒng)安全9 2.4.5網(wǎng)段劃分與虛

2、擬局域網(wǎng)11 2.4.6辦公網(wǎng)整體安全建議11 2.4.7防火墻實施方案13 2.4.8入侵檢測系統(tǒng)實施方案20 2.4.9漏洞掃描系統(tǒng)實施方案29 2.4.10身份認證系統(tǒng)實施方案33 2.4.11安全審計系統(tǒng)實施方案39 2.4.12防病毒系統(tǒng)實施方案43 3異地網(wǎng)接入安全建設異地網(wǎng)接入安全建設.55 3.1接入方式選擇.56 3.2安全性分析.57 3.3兩種方式優(yōu)勢特點.57 3.4VPN 原理介紹58 3.5VPN 的選型63 3.6財務系統(tǒng)安全防護.66 4機房設備集中監(jiān)控管理機房設備集中監(jiān)控管理.66 4.1.1設備及應用系統(tǒng)管理現(xiàn)狀66 4.1.2建立機房集中控制管理系統(tǒng)需求6

3、6 4.1.3集中控制管理系統(tǒng)方案實現(xiàn)67 4.1.4功能特點68 4.2監(jiān)控顯示系統(tǒng).68 4.2.1投影顯示系統(tǒng)68 3 4.2.2等離子顯示系統(tǒng)68 5網(wǎng)絡管理中心網(wǎng)絡管理中心.69 5.1.1建立網(wǎng)絡管理中心需求69 5.1.2網(wǎng)絡管理功能實現(xiàn)69 6桌面管理及補丁分發(fā)中心桌面管理及補丁分發(fā)中心.72 6.1.1建立桌面管理中心需求72 6.1.2桌面管理功能實現(xiàn)74 7網(wǎng)絡設備升級網(wǎng)絡設備升級.81 4 1 概述概述 京唐港股份有限公司辦公大樓網(wǎng)絡信息系統(tǒng)目前剛剛投入使用，主要包括 新建大廈、舊辦公區(qū)辦公網(wǎng)絡以及部分省市辦事處專網(wǎng)，該套網(wǎng)絡與 Internet 互聯(lián)，將要實現(xiàn)整個業(yè)務

4、系統(tǒng)的辦公自動化，包括業(yè)務系統(tǒng)使用、數(shù)據(jù)存儲備 份、文件共享、對外宣傳等，同時還要為員工相關業(yè)務應用及學習提供便利的 上網(wǎng)條件；所以該網(wǎng)絡既是辦公系統(tǒng)的承載體，也是威脅風險的承受體，在公 司規(guī)模日漸壯大的今天，網(wǎng)絡規(guī)模也相應的在不斷的擴大，相關的配套網(wǎng)絡及 安全設備雖然具有較新的技術和功能，但還不足以抵御紛繁復雜的互聯(lián)網(wǎng)的威 脅，整個網(wǎng)絡的安全也需要做相應的增強防護，另外從設備及應用的管理角度 來看，可以采取一些智能和高效的管理手段及措施，在保障業(yè)務正常運行了同 時，保證系統(tǒng)的安全可靠，減少和簡化安全管理，提高系統(tǒng)工作效率。 本方案將著重從安全系統(tǒng)的整體建設及相應的一些網(wǎng)絡管理手段上具體分 析

5、，并提出可行性的實施方案，把目前在使用過程中遇到的一些問題解決并防 患于未然，同時為用戶提供一整套安全及網(wǎng)絡管理措施，把公司網(wǎng)絡建設成為 一個符合業(yè)務需求、安全可靠、容易管理操作的高質量的辦公網(wǎng)絡。 2 網(wǎng)絡系統(tǒng)安全建設網(wǎng)絡系統(tǒng)安全建設 2.1 安全現(xiàn)狀分析安全現(xiàn)狀分析 京唐港股份有限公司依托于京唐港整體規(guī)劃建設和發(fā)展，將承載著越來越 多的港口業(yè)務等工作，特別是隨著信息化辦公的進一步深入，自動化辦公的便 利和效率可以說是公司發(fā)展壯大的必要手段；但是京唐港股份有限公司辦公大 樓是整個公司信息的核心地帶，不但為本地員工及另外一個園區(qū)的業(yè)務人員提 供各種辦公應用服務，而且在各地已經或是將要成立辦事處

6、，實現(xiàn)遠程辦公， 并且各個位置和部門的業(yè)務需求又不盡相同，在這種網(wǎng)絡結構較為龐大，多層 次、多應用的網(wǎng)絡中，安全是一項很重要的任務和保證措施。 目前，該網(wǎng)絡已經建設完成，安全手段主要在網(wǎng)絡邊界處采取了防火墻， 5 在整個網(wǎng)絡中部署了網(wǎng)絡版殺毒軟件和網(wǎng)管軟件，其他安全措施主要是依靠個 人的安全意識和行為；現(xiàn)階段，全網(wǎng)已經爆發(fā)了多次病毒感染等問題，一定程 度上影響了辦公的效率，所以有必要進一步從技術角度完善安全系統(tǒng)。 2.2 安全風險分析安全風險分析 2.2.1 物理安全物理安全 物理安全層面存在下述威脅和風險形式： 機房毀壞：由于戰(zhàn)爭、自然災害、意外事故造成機房毀壞，大部分設 備損壞。 線路中斷

7、：因線路中斷，造成系統(tǒng)不能正常工作。 電力中斷：因電力檢修、線路或設備故障造成電力中斷。 設備非正常毀壞：因盜竊、人為故意破壞造成設備毀壞。 設備正常損壞：設備軟 、硬件故障，造成設備不能正常工作。 存貯媒體損壞：因溫度 、濕度或其他原因，各種數(shù)據(jù)存儲媒體不能正 常使用。 2.2.2 網(wǎng)絡安全與系統(tǒng)安全網(wǎng)絡安全與系統(tǒng)安全 互聯(lián)網(wǎng)安全隱患：互聯(lián)網(wǎng)會帶來的越權訪問、惡意攻擊、病毒入侵等 安全隱患； 搭線竊取的隱患：黑客或犯罪團體通過搭線和架設協(xié)議分析設備非法 竊取系統(tǒng)信息； 病毒侵襲的隱患：病毒在系統(tǒng)內感染、傳播和發(fā)作； 操作系統(tǒng)安全隱患：操作系統(tǒng)可能的后門程序、安全漏洞、安全設置 不當、安全級別

8、低等，缺乏文件系統(tǒng)的保護和對操作的控制，讓各種 攻擊有可乘之機； 數(shù)據(jù)庫系統(tǒng)安全隱患：不能實時監(jiān)控數(shù)據(jù)庫系統(tǒng)的運行情況，數(shù)據(jù)庫 數(shù)據(jù)丟失、被非法訪問或竊??； 應用系統(tǒng)安全隱患：應用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等， 6 可能出現(xiàn)非法訪問； 惡意攻擊和非法訪問：拒絕服務攻擊，網(wǎng)頁篡改，下載不懷好意的惡 意小程序，對系統(tǒng)進行惡意攻擊，對系統(tǒng)進行非法訪問等。 2.2.3 應用安全應用安全 身份假冒：缺少強制認證和加密措施的涉密信息系統(tǒng)，關鍵業(yè)務系統(tǒng) 被假冒身份者闖入； 非授權訪問：缺少強制認證和加密措施的涉密信息系統(tǒng)，關鍵業(yè)務系 統(tǒng)被越權訪問； 數(shù)據(jù)失、泄密：涉密數(shù)據(jù)在處理、傳輸、存儲過程中，

9、被竊取或非授 權訪問； 數(shù)據(jù)被修改：數(shù)據(jù)在處理、傳輸、存儲過程中被非正常修改和刪除； 否認操作：數(shù)據(jù)操作者為逃避責任而否認其操作行為。 2.2.4 安全管理安全管理 安全管理組織不健全：沒有相應的安全管理組織，缺少安全管理人員 編制，沒有建立應急響應支援體系等。 缺乏安全管理手段：不能實時監(jiān)控機房工作、網(wǎng)絡連接和系統(tǒng)運行狀 態(tài)，不能及時發(fā)現(xiàn)已經發(fā)生的網(wǎng)絡安全事件，不能追蹤安全事件等。 人員安全意識淡?。簾o意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操 作員 IC 卡，私自接入外網(wǎng)，私自拷貝竊取信息，私自安裝程序，不按 操作規(guī)程操作和越權操作，擅離崗位，沒有交接手續(xù)等，均會造成安 全隱患。 管理制度不

10、完善：缺乏相應的管理制度，人員分工和職責不明，沒有 監(jiān)督、約束和獎懲機制，存在潛在的管理風險。 缺少標準規(guī)范：系統(tǒng)缺乏總體論證，沒有或缺少相關的標準規(guī)范，各 子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴展性不強。 缺乏安全服務：人員缺少安全培訓，系統(tǒng)從不進行安全評估和安全加 固，系統(tǒng)故障不能及時恢復等。 7 2.3 安全需求分析安全需求分析 基于上述的安全風險分析，京唐港股份有限公司信息系統(tǒng)必須采取相應的 應對措施與手段，形成有效的安全防護能力、隱患發(fā)現(xiàn)能力和應急反應能力， 為整個信息系統(tǒng)建立可靠的安全運行環(huán)境和安全業(yè)務系統(tǒng)，切實保障全公司信 息系統(tǒng)正常、有序、可靠地運行。 2.3.1 物理安全需求分析

11、物理安全需求分析 異地容災：異地容災主要是預防場地問題帶來的數(shù)據(jù)不可用等突發(fā)情 況。這些場地問題包括：電力中斷供電部門因各種原因長時間的 中斷；電信中斷各種原因造成的通信線路破壞；戰(zhàn)爭、地震、火 災、水災等造成機房毀壞或不可用等。這些災難性事件會直接造成業(yè) 務的中斷，甚至造成數(shù)據(jù)丟失等，會造成相當程度的社會影響和經濟 影響。通過容災系統(tǒng)將這種“場地”故障造成的數(shù)據(jù)不可用性減到最 小。要求災難發(fā)生時，異地容災系統(tǒng)保證：數(shù)據(jù)在遠程場地存有一 致、可用的拷貝，保證數(shù)據(jù)的安全；應用立即在遠程現(xiàn)場運行，保 證業(yè)務的連續(xù)性 。 機房監(jiān)控：機房監(jiān)控主要是預防盜竊、人為破壞、私自闖入等情況。 監(jiān)控手段有門禁系

12、統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。 設備備份：設備備份用于預防關鍵設備意外損壞。網(wǎng)絡中關鍵網(wǎng)絡設 備、服務器應有冗余設計。 線路備份：線路備份主要是預防通信線路意外中斷。 電源備份：電源備份用于預防電源故障引起的短時電力中斷。 2.3.2 網(wǎng)絡安全與系統(tǒng)安全網(wǎng)絡安全與系統(tǒng)安全 深層防御：深層防御就是采用層次化保護策略，預防能攻破一層或一 類保護的攻擊行為，使之無法破壞整個辦公網(wǎng)絡。要求合理劃分安全 域，對每個安全域的邊界和局部計算環(huán)境，以及域之間的遠程訪問， 根據(jù)需要采用適當?shù)挠行ПＷo。 8 邊界防護：邊界防護用于預防來自本安全域以外的各種惡意攻擊和遠 程訪問控制。邊界防護機制有防火墻、入侵檢測、隔離

13、網(wǎng)閘等，實現(xiàn) 網(wǎng)絡的安全隔離。 網(wǎng)絡防病毒：網(wǎng)絡防病毒用于預防病毒在網(wǎng)絡內傳播、感染和發(fā)作。 備份恢復：備份恢復用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復。 漏洞掃描：漏洞掃描用于及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng) 以及網(wǎng)絡協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。 主機保護：對關鍵的主機，例如數(shù)據(jù)庫服務器安裝主機保護軟件，對 操作系統(tǒng)進行安全加固。 安全審計：用于事件追蹤。要求網(wǎng)絡、安全設備和操作系統(tǒng)、數(shù)據(jù)庫 系統(tǒng)有審計功能，同時安裝第三方的安全監(jiān)控和審計系統(tǒng)。 2.3.3 應用安全應用安全 身份認證：身份認證用于保證身份的真實性。公司網(wǎng)絡中身份認證包 括用戶身份認證、管理人員身份認證、操作員身

14、份認證服務器身份認 證。鑒于辦公網(wǎng)與互聯(lián)網(wǎng)相連，用戶數(shù)量較大的，基于數(shù)字證書 （CA）的認證體制將是理想的選擇。 權限管理：權限管理指對公司辦公網(wǎng)絡中的網(wǎng)絡設備、業(yè)務應用、主 機系統(tǒng)的所有操作和訪問權限進行管理，防止非授權訪問和操作。 數(shù)據(jù)完整性：數(shù)據(jù)完整性指對辦公網(wǎng)絡中存儲、傳輸?shù)臄?shù)據(jù)進行數(shù)據(jù) 完整性保護。 抗抵賴：抗抵賴就是通過采用數(shù)字簽名方法保證當事人行為的不可否 認性，建立有效的責任機制，為京唐港公司網(wǎng)絡創(chuàng)造可信的應用環(huán)境。 安全審計：各應用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提 供相應的審計工具。 2.3.4 安全管理安全管理 組織建設：安全管理組織建設包括：組織機構、人才隊伍

15、、應急響應 9 支援體系等的建設。 制度建設：安全管理制度建設包括：人員管理制度、機房管理制度、 卡機具生產管理制度、設備管理制度、文檔管理制度等的建設。 標準建設：安全標準規(guī)范建設包括：數(shù)據(jù)交換安全協(xié)議、認證協(xié)議、 密碼服務接口等標準規(guī)范的建立。 安全服務：安全服務包括安全培訓、日常維護、安全評估、安全加固、 緊急響應等。 技術建設：安全管理技術建設主要指充分利用已有的安全管理技術， 利用和開發(fā)相關的安全管理工具，提高安全管理的自動化、智能化水 平 。 2.4 安全實施方案安全實施方案 2.4.1 物理安全防護物理安全防護 物理安全是整個系統(tǒng)安全的基礎，要把公司內部局域網(wǎng)系統(tǒng)的安全風險減 至

16、最低限度，需要選擇適當?shù)募夹g和產品，保護計算機網(wǎng)絡設備、設施以及其 它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算 機犯罪行為導致的破壞過程。 機房建設必須嚴格按照國家標準 GB50173-93電子計算機機房設計規(guī)范 、 國標 GB2887-89計算站場地技術條件 、GB9361-88計算站場地安全要求 進行建設。 通過防盜措施，如裝備報警裝置防止設備被盜；通過對重要設備電源采用 UPS 供電防止電源意外斷電中斷服務；通過對重要設備或線路冗余備份保持服 務的可持續(xù)性。 2.4.2 備份與恢復備份與恢復 對于網(wǎng)絡應用實時性要求很高的系統(tǒng)，數(shù)據(jù)備份措施往往采用服務器的雙 機備

17、份。即兩臺服務器同時安裝備份系統(tǒng)，同時在線，互為備份。正常情況下， 10 由主服務器提供服務，備份服務器處于帶電但不提供服務狀態(tài)，一旦主服務器 出現(xiàn)故障，備份服務器自動接管主服務器來提供服務。保證應用服務器能夠提 供不間斷的服務。 京唐港股份公司應用服務可靠要求較高，而且業(yè)務數(shù)據(jù)存儲容量會隨著業(yè) 務的擴展而增大，并非常重要。為了防止業(yè)務數(shù)據(jù)的丟失和損壞而影響業(yè)務辦 理，或者在數(shù)據(jù)出現(xiàn)意外事故時無法恢復，必須對數(shù)據(jù)庫進行備份。根據(jù)實際 情況可采用 SAN 結構存儲系統(tǒng)，采用磁帶庫進行備份并實現(xiàn)災難恢復。 2.4.3 訪問控制訪問控制 訪問控制是網(wǎng)絡安全防范和保護最有效手段之一，據(jù)統(tǒng)計分析，完善的

18、訪 問控制策略可把網(wǎng)絡安全風險降低 90%。網(wǎng)絡的訪問控制技術可以針對網(wǎng)絡協(xié) 議、目標對象以及通訊端口等進行過濾和檢驗，符合條件才通過，不符合條件 的則被丟棄。系統(tǒng)訪問控制可以針對具體的一個文件或目錄授權給指定的人員 相應的權限，受派者在試圖訪問相應信息時，需要驗證身份、判別權限后才能 進行訪問。訪問控制的主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。訪 問控制技術是保證網(wǎng)絡安全最重要的核心策略之一。 訪問控制策略可以采用三層交換設備 VLAN 技術、ACL 技術、綁定技術等， 使得不同部門、不同組別、不同用戶之間的網(wǎng)絡訪問達到有效的控制；也可以 通過在不同網(wǎng)絡安全域之間加裝防火墻等安全設備，

19、利用防火墻的控制策略達 到網(wǎng)絡訪問控制的目的。 2.4.4 系統(tǒng)安全系統(tǒng)安全 系統(tǒng)安全包括數(shù)據(jù)庫安全和操作系統(tǒng)安全，下面分別闡述。 數(shù)據(jù)庫安全 數(shù)據(jù)庫存放了整個網(wǎng)絡中的重要數(shù)據(jù)，為此需要建立一套有效的安全機制。 加強數(shù)據(jù)庫系統(tǒng)登陸權限管理，加強管理員登陸口令的管理以及數(shù)據(jù)庫遠程訪 問權限的管理，對數(shù)據(jù)庫采用備份與恢復機制。同時對重要的涉密系統(tǒng)應選用 11 經國家主管部門批準使用的安全數(shù)據(jù)庫，或者對數(shù)據(jù)庫進行安全增強改造、加 固。數(shù)據(jù)庫具體安全要求： 1、用戶角色的管理 這是保護數(shù)據(jù)庫系統(tǒng)安全的重要手段之一。把網(wǎng)絡中使用數(shù)據(jù)庫的用戶設 置為不同的用戶組并對用戶組的安全屬性進行驗證，有效地防止非法

20、的用戶進 入數(shù)據(jù)庫系統(tǒng)；在數(shù)據(jù)庫中，可以通過授權對用戶的操作進行限制，即允許一 些用戶對數(shù)據(jù)庫服務器進行訪問，具有讀寫整個數(shù)據(jù)庫的權利，而大多數(shù)用戶 只能在同組內進行讀寫或對整個數(shù)據(jù)庫只具有讀的權利。在此，特別強調對系 統(tǒng)管理員和安全管理員兩個特殊賬戶的保密管理。 2、數(shù)據(jù)保護 數(shù)據(jù)庫的數(shù)據(jù)保護主要是數(shù)據(jù)庫的備份，當計算機的軟硬件發(fā)生故障時， 利用備份進行數(shù)據(jù)庫恢復，以恢復破壞的數(shù)據(jù)庫文件、控制文件或其他文件。 另一種數(shù)據(jù)保護是日志，數(shù)據(jù)庫實例都提供日志，用以記錄數(shù)據(jù)庫中所進 行的各種操作，包括修改、調整參數(shù)等，并在數(shù)據(jù)庫內部建立一個所有作業(yè)的 完整記錄。再一個就是控制文件的備份，一般用于存儲

21、數(shù)據(jù)庫物理結構的狀態(tài)， 控制文件中的某些狀態(tài)信息在實例恢復和介質恢復期間用于引導數(shù)據(jù)庫，在實 際操作時，需要為網(wǎng)絡的數(shù)據(jù)庫分別指定相應的備份策略。 操作系統(tǒng)安全 目前用戶辦公計算機采用操作系統(tǒng)還主要基于 Windows 平臺。其自身安全 需要得到關注，即在日常工作中必須注意對操作系統(tǒng)進行必要的防護。如： 1、定期維護：及時安裝漏洞補丁，定期進行完整性檢查、配置檢查、病毒 檢查和漏洞掃描。 2、使用權限控制：用戶權限、口令安全。 3、遠程訪問安全：進行基本的安全配置。 12 2.4.5 網(wǎng)段劃分與虛擬局域網(wǎng)網(wǎng)段劃分與虛擬局域網(wǎng) 網(wǎng)段劃分主要是對 IP 地址進行合理的規(guī)劃和分配。為確保辦公網(wǎng)中各子

22、網(wǎng) 以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡安全基礎設施，保證網(wǎng)絡正常、安全 運行，需要合理規(guī)劃、分配外網(wǎng)各部門的 IP 地址。網(wǎng)段劃分的方法可以采用各 個部門或機構劃分網(wǎng)段，重要的服務器設備劃分單獨的網(wǎng)段，以便監(jiān)控網(wǎng)絡關 鍵設備的安全。 虛擬局域網(wǎng)可有效地解決廣播風暴、廣播攻擊、充分利用網(wǎng)絡帶寬資源。 結合訪問控制列表功能，可以極大地增強辦公網(wǎng)的安全性，防止網(wǎng)絡內用戶對 系統(tǒng)相關信息的非授權訪問。辦公網(wǎng)可按各個職能來劃分 VLAN，如將領導所 在的網(wǎng)絡單獨作為一個 Leader VLAN (LVLAN )，技術人員劃分為一個 VLAN，工作人員劃分為一個 VLAN，而其它機構分別劃作一個 VLA

23、N。其共 享服務器（如 EMAIL 服務器、DNS 服務器、WEB 服務器等）單獨劃作一個 VLAN (MVLAN)。其他服務器如數(shù)據(jù)庫服務器劃為 Data VLAN。 2.4.6 辦公網(wǎng)整體安全建議辦公網(wǎng)整體安全建議 根據(jù)以上的安全風險分析、需求分析和京唐港公司的具體情況，建議從以 下方面考慮進行安全方面的部署： 終端防護終端防護 A. 在系統(tǒng)內所有客戶端部署統(tǒng)一管理的企業(yè)級防病毒系統(tǒng)企業(yè)級防病毒系統(tǒng)。通過防病 毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見 的計算機癱瘓、網(wǎng)絡阻塞等安全問題。 B.在系統(tǒng)內所有客戶端部署統(tǒng)一管理的終端安全防護系統(tǒng)。終端安全防護系統(tǒng)。通過終端 安全

24、防護系統(tǒng)的統(tǒng)一部署，可以京唐港公司安全管理制度提供有利 的技術保障措施，保障終端的系統(tǒng)安全和終端的安全管理。 C.在中心部署身份認證登陸系統(tǒng)身份認證登陸系統(tǒng)，終端必須通過身份認證才能進入， 避免非法進入。 邊界的防護邊界的防護 13 A. 通過防火墻防火墻系統(tǒng)的部署，可以根據(jù)不同的安全要求，設置不同的安 全區(qū)域，來限制不同信任度區(qū)域之間的相互訪問，保護各關鍵應用 服務器系統(tǒng)免受網(wǎng)絡上的非法訪問和惡意攻擊，可以在服務器區(qū)的 前端增加一臺防火墻設備。 B.通過入侵檢測入侵檢測系統(tǒng)的部署，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展系統(tǒng)管理 員的安全管理能力，提高信息安全基礎結構的完整性。 服務器的防護服務器的防護

25、A. 與客戶端一起，在系統(tǒng)內所有服務器部署統(tǒng)一管理的企業(yè)級防病毒企業(yè)級防病毒 系統(tǒng)系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務器免受病毒的感 染和傳播。這可以解決常見的服務器癱瘓、信息資產丟失等安全問 題，為服務器病毒防護提供有效的安全保障。 B. 與客戶端一起，在系統(tǒng)內所有服務器部署統(tǒng)一管理的終端安全防護終端安全防護 系統(tǒng)系統(tǒng)。通過終端安全防護系統(tǒng)的統(tǒng)一部署，為服務器提供訪問控制、 系統(tǒng)的安全、補丁的有效管理、和為服務器的安全管理提供技術保 障措施。 C. 服務器安全加固服務器安全加固，對關鍵服務器進行安全加固，保證服務器的安全 使用和穩(wěn)固。 系統(tǒng)安全防護系統(tǒng)安全防護 A. 在辦公網(wǎng)系統(tǒng)上部

26、署漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)，可以隨時的對網(wǎng)絡內的所有終端、 服務器、數(shù)據(jù)庫系統(tǒng)進行掃描，以發(fā)現(xiàn)安全隱患。 B. 在系統(tǒng)當中部署安全強審計系統(tǒng)安全強審計系統(tǒng)。根據(jù)用戶的安全策略制定詳細的審計 保護規(guī)則，對整個網(wǎng)絡和主機中違反安全策略的行為進行阻斷，并向管 理中心報警。 系統(tǒng)整體安全體系結構圖見圖系統(tǒng)整體安全體系結構圖見圖 1： 14 WEB服務器 郵件服務器 病毒服務器 INTERNET 出出 口口 生生 產產 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 辦辦 公公 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 入侵檢測系統(tǒng) 安全審計系統(tǒng) KVM 審計服務器 網(wǎng)管工作站 舊舊 辦辦 公公 區(qū)區(qū) 各各 個個 樓樓 層層 交交 換換 入侵檢測系統(tǒng)入侵檢

27、測系統(tǒng) 公公 共共 系系 統(tǒng)統(tǒng) 區(qū)區(qū) 入侵檢測系統(tǒng) 網(wǎng)網(wǎng) 絡絡 管管 理理 區(qū)區(qū) 圖 1： 系統(tǒng)整體安全體系結構示意圖 2.4.7 防火墻實施方案防火墻實施方案 2.4.7.1實施原則實施原則 （1） 整體性 安全防范體系的建立和多層保護的相互配合； 實現(xiàn)技術、產品選型、質量保證與技術服務的統(tǒng)一。 （2） 先進性 安全技術先進； 安全產品成熟； 安全系統(tǒng)技術生命的周期適度。 （3） 可用性 安全系統(tǒng)本身的可用性； 安全管理友好，并于其他系統(tǒng)管理的有效集成； 避免造成網(wǎng)絡系統(tǒng)結構的復雜； 15 盡量降低對原有網(wǎng)絡系統(tǒng)的性能影響和不影響應用業(yè)務的開展。 （4） 擴充性 安全系統(tǒng)能適應客戶網(wǎng)絡和業(yè)務

28、應用需求的變化而變化； 安全系統(tǒng)遵循標準，系統(tǒng)的變化易實現(xiàn)、易修改、易擴充。 2.4.7.2實施策略實施策略 采取核心保護策略，盡可能的以最小的投資達到最大的安全防護。 采用可以提供集中管理控制的產品，同時要求考慮產品適應性可擴展 性，以適應網(wǎng)絡擴展的需要。 產品在使用上應具有友好的用戶界面，使用戶在管理、使用、維護上 盡量簡單、直觀。 建立層次化的防護體系和管理體系。 2.4.7.3防火墻系統(tǒng)部署防火墻系統(tǒng)部署 從京唐港公司網(wǎng)絡結構和功能劃分上，可以看出，辦公網(wǎng)中的服務器區(qū)域 是很重要的安全區(qū)域，這些服務器承載著整個公司全部網(wǎng)絡功能的需求，對網(wǎng) 絡安全系數(shù)的要求很高，一旦重要服務器遭到攻擊破

29、壞，將對整個公司的業(yè)務 產生非常大的影響，所以可以在服務器交換機與核心交換機的連接中設置防火 墻設備，根據(jù)用戶設定的安全規(guī)則，在保護內部網(wǎng)絡安全的前提下，提供內外 網(wǎng)絡通信，是必不可少的安全防御措施。 控制從外網(wǎng)區(qū)到安全服務區(qū)的訪問，確保允許的訪問才能夠進行，而 其他未經過允許的行為全部被禁止； 限制安全服務區(qū)對非安全服務區(qū)的直接訪問； 防火墻有效記錄區(qū)域之間的訪問日志，為出現(xiàn)安全問題時提供備查資 料； 具體配置情況如圖 1 所示，在網(wǎng)絡邊界處部署一臺防火墻作為網(wǎng)絡系統(tǒng)與 Internet 連接的第一道安全防護，通過防火墻提供的功能來達到訪問控制的目 的；另外，在各個系統(tǒng)區(qū)的出口處也部署一臺防

30、火墻，用來保證各個區(qū)域的安 全，制定不同的安全策略，實現(xiàn)對重要服務器系統(tǒng)的防護和訪問控制。 16 2.4.7.4防火墻安全策略防火墻安全策略 針對公司辦公局域網(wǎng)的具體情況，我們建議制定以下的安全策略： 安全區(qū)域隔離策略 由于網(wǎng)絡安全的整體性要求，為了使網(wǎng)絡系統(tǒng)達到一定的安全水平，必須 保證對網(wǎng)絡中各部分都采取了均衡的保護措施，但對于公司整個辦公網(wǎng)來說都 采用相同的手段是不可能也沒有必要的，本辦公網(wǎng)可以采用的方法是根據(jù)網(wǎng)絡 不同部分的重要性劃分為不同的安全區(qū)域，并著重對其中重要的安全區(qū)域進行 隔離和保護。 建議采用防火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點是各服務 器區(qū)域與辦公網(wǎng)內用戶區(qū)域

31、之間的連接。 訪問控制策略 防火墻被部署后，將根據(jù)實際應用需要定義適當?shù)陌踩呗?，針對源地址?目的地址、網(wǎng)絡協(xié)議、服務、時間、帶寬等條件的實現(xiàn)訪問控制，確保不同網(wǎng) 絡區(qū)域之間的授權、有序訪問，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問或一些惡 意的攻擊。 例如，服務器區(qū)域防火墻上可制定如下安全策略： - 允許業(yè)務相關的用戶區(qū)域主機訪問本區(qū)域服務器的特定端口，拒絕其他 任何訪問請求，這樣可以保護服務器系統(tǒng)不受非法入侵和攻擊； - 缺省規(guī)則應該是拒絕一切訪問。 本次項目我們將在實施的過程中，根據(jù)網(wǎng)絡的真實環(huán)境和應用系統(tǒng)數(shù)據(jù)交 互的實際需要，來制定詳細的訪問控制策略?；驹瓌t是開放最少端口。作為 區(qū)域邊界保

32、護的準則，防火墻的訪問控制策略與業(yè)務的一致性是保證系統(tǒng)訪問 控制策略是否得到實施的關鍵，因此對防火墻訪問控制策略的定期檢查和調整 是區(qū)域邊界保護中要注意的問題。 用戶認證和授權策略 選擇一種既方便實用又具備足夠安全性的用戶認證機制，通過防火墻實現(xiàn) 對網(wǎng)絡用戶身份的可靠鑒別和訪問授權管理，防止非法人員盜用合法用戶的網(wǎng) 絡地址來假冒合法用戶訪問關鍵資源，同時也便于針對實際用戶進行行為審計。 17 帶寬管理策略 我們可以依據(jù)應用需要來限制流量，來調整鏈路的帶寬利用。可以在防火 墻中直接加載控制策略，為比較重要的訪問定義可用的最大帶寬和優(yōu)先級，確 保為重要的應用預留足夠的帶寬進行數(shù)據(jù)交換。 我們還可以

33、定義任意兩個網(wǎng)絡對象之間通信時的最大帶寬。例如，通過防 火墻的帶寬管理，可為內部網(wǎng)絡的重要用戶如領導、網(wǎng)絡管理人員等定義進行 網(wǎng)絡通信時的最大帶寬和優(yōu)先級，而且?guī)挿峙淇梢允欠謱拥?，例如部門帶寬 下面有小組帶寬然后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的 順暢。 日志和審計策略 一個安全防護體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài) 的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使 管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調整安全策略。進行信 息審計的前提是必須有足夠的多的日志信息。 防火墻系統(tǒng)提供了強大的日志功能，可對重要關鍵資源的使用情況進行

34、有 效的監(jiān)控，實現(xiàn)日志的分級管理、自動報表、自動報警功能，用戶可以根據(jù)需 要對不同的通訊內容記錄不同的日志，包括會話日志（主要描述通訊的時間、 源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了 那些命令，執(zhí)行了那些操作） 。用戶可以根據(jù)需要記錄不同的日志，從而為日志 分析、事后追蹤提供更多的依據(jù)。同時，產生的日志能夠以多種方式導出，有 利于網(wǎng)絡內部署的安全集中管理平臺進行統(tǒng)一的管理。 2.4.7.5防火墻選型防火墻選型 由于將各個系統(tǒng)按照區(qū)域化分進行分別防護，在總出口處已經部署一臺高 性能千兆防火墻，根據(jù)流量及應用實際分析，在辦公系統(tǒng)和生產系統(tǒng)處可分別 部署一臺千兆防火墻，

35、考慮到部分有可能系統(tǒng)采用 VPN 設備，所以可以選擇帶 VPN 功能模塊的防火墻。 產品功能： 功能類別功能項功能細項 18 工作模式路由、透明、混合 支持基于流、數(shù)據(jù)包、透明代理的過濾方式。 支持對 HTTP、SMTP、POP3、FTP 等協(xié)議的深度內容過濾。 支持 URL 過濾 支持對移動代碼如 Java applet、Active-X、VBScript、Jscript、Java script 的過濾 支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾 支持對郵件主題、正文、收發(fā)件人、附件名、附件內容等關鍵字匹配過 濾 內容過濾 動態(tài)端口支持協(xié)議： FTP、RTSP、SQL*NET、MMS、R

36、PC(msrpc,dcerpc)、H.323、TFTP。 對通過的數(shù)據(jù)進行在線過濾，查殺郵件正文附件、網(wǎng)頁及下載文件中包 含的病毒， 病毒庫更新 提供快速掃描及完全掃描兩種掃描方式 防病毒 系統(tǒng)狀態(tài)實時監(jiān)控 基于狀態(tài)檢測的動態(tài)包過濾 實現(xiàn)基于源/目的 IP 地址、源/目的 MAC 地址、源/目的端口、協(xié)議、時 間等數(shù)據(jù)包快速過濾 支持報文合法性檢查 包過濾 可實現(xiàn) IP/MAC 綁定 非法報文攻擊：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3 、ipspoof 統(tǒng)計型報文攻擊：Synflood、Icmpf

37、lood、Udpflood、Portscan、ipsweep Topsec 聯(lián)動：可與支持 TOPSEC 協(xié)議的 IDS 設備聯(lián)動，以提高入侵檢 測效率。 端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進行阻斷設置 防御攻擊 SYN 代理：對來自定義區(qū)域的 Syn Flood 攻擊行為進行阻斷過濾 支持使用一次性口令認證（OTP）、本地認證、雙因子認證 （SecureID）以及數(shù)字證書（CA）等常用的安全認證方式 支持使用第三方認證如 RADIUS、TACACS/TACACS+、LDAP、域認證 等安全認證方式 支持 Session 認證、HTTP 會話認證 支持認證?；罟δ?AAA 服務 可將

38、認證用戶信息加密存放在本地數(shù)據(jù)庫 支持雙向 NAT 支持動態(tài)地址轉換和靜態(tài)地址轉換 支持多對一、一對多和一對一等多種方式的地址轉換 網(wǎng)絡安全性 NAT 支持虛擬服務器功能 支持靜態(tài)路由、動態(tài)路由 網(wǎng)絡適應性路由 支持基于源/目的地址、接口、Metric 的策略路由 19 支持單臂路由，可通過單臂模式接入網(wǎng)絡，并提供路由轉發(fā)功能。 支持 Vlan 路由，能夠在不同的 VLAN 虛接口間實現(xiàn)路由功能。 支持 RIP、OSPF 等路由協(xié)議。 支持 IGMP 組播協(xié)議 支持 IGMP SNOOPING組播 可有效地實現(xiàn)視頻會議等多媒體應用 支持與交換機的 Trunk 接口對接，并且能夠實現(xiàn) Vlan

39、間通過安全設備傳 播路由 支持 802.1Q，能進行 802.1Q 的封裝和解封 支持 ISL，能進行 ISL 的封裝和解封 VLAN 在同一個 Vlan 內能進行二層交換 生成樹支持 802.1D 生成樹協(xié)議，包括 PVST+及 CST 等協(xié)議。 支持 ARP 代理、ARP 學習 ARP 可設置靜態(tài) ARP 非 IP 協(xié)議支持對非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。 DHCP支持 DHCP Client、DHCP Relay、DHCP Server 支持 ADSL 接入功能，可滿足中小企業(yè)的多種接入需求。 接入 支持 PPPOE 撥號接入 支持網(wǎng)絡時鐘協(xié)議 SNTP，可以自動

40、根據(jù) NTP 服務器的時鐘調整本機時 間其它 支持 IPX、NetBEUI 等非 IP 協(xié)議。 支持基于標準 IKE 協(xié)商的 VPN 通信隧道 支持多種 IKE 認證方式，如預共享密鑰，數(shù)字證書等IKE 支持 IKE 擴展認證，如 Radius 認證等。 支持網(wǎng)關到網(wǎng)關、遠程移動用戶到網(wǎng)關的 VPN 隧道 在具有 SCM 的解決方案中，支持靈活的移動用戶到移動用戶的隧道。 解決方案 可以和密碼機產品，遠程客戶端產品及 VPN 安全管理系統(tǒng)（SCM）共 同組成完整的 VPN 解決方案。 支持 3DES、DES、國密辦等加密算法 支持標準 MD5、SHA-1 認證算法算法 支持加密卡提供的 MD5

41、、SHA-1 認證算法 支持 HUB-SPOKE 方式 支持網(wǎng)狀連接方式工作模式 支持分級的樹狀連接方式 支持網(wǎng)絡鄰居（利用 WINS） 支持隧道的 NAT 穿越 支持對隧道內明文的訪問控制 VPN 其它功能 可同時支持明密傳輸 支持 Welf、Syslog 等多種日志格式的輸出 支持通過第三方軟件來查看日志 支持日志分級 安全管理日志 支持對接收到的日志進行緩沖存儲 20 通過安全審計系統(tǒng)（TA-L），可獲得更詳盡的日志分析和審計功能,并 能提供員工上網(wǎng)行為管理功能。 可選高級日志審計功能模塊，除接受防火墻日志外還能接受交換機、路 由器、操作系統(tǒng)、應用系統(tǒng)和其他安全產品的日志進行聯(lián)合分析。

42、支持網(wǎng)絡接口監(jiān)測、CPU 利用率監(jiān)測、內存使用率監(jiān)測、操作系統(tǒng)狀況 監(jiān)測、網(wǎng)絡狀況監(jiān)測、硬件系統(tǒng)監(jiān)測、進程監(jiān)測、進程內存監(jiān)測、加密 卡狀況監(jiān)測。 監(jiān)控 可根據(jù)配置文件進行錯誤恢復 報警事件：內置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、 “容錯”、“測試”等多種觸發(fā)報警的事件類 報警 報警方式：采用郵件、NETBIOS、聲音、SNMP、控制臺等多種報警方 式，報警方式可以組合使用。 QOS 帶寬管理 根據(jù) IP、協(xié)議、網(wǎng)絡接口、時間定義帶寬分配策略 支持最小保證帶寬和最大限制帶寬 QoS 支持分層的帶寬管理 優(yōu)先級支持 8 級優(yōu)先級控制 支持雙機熱備 雙機熱備 支持系統(tǒng)故障

43、切換 支持服務器的負載均衡，提供輪詢、加權輪叫、最少連接、加權最少鏈 接等多種負載均衡方式供用戶選擇。負載均衡 支持生成樹協(xié)議，可實現(xiàn)鏈路負載均衡。 支持鏈路備份功能 支持雙系統(tǒng)引導，當主系統(tǒng)損壞時，可以啟用備用系統(tǒng)，不影響設備的 正常使用 帶寬管理 其它功能 支持 Watchdog 功能 支持 WEB 圖形配置、命令行配置 支持本地配置、遠程配置配置方式 支持基于 SSH、SSL 的安全配置 支持配置命令分級保護 支持中英文 命令行 支持命令超時、歷史命令、命令補齊、命令幫助、命令錯誤提示等功能 支持 SNMP 的 v1 、v2 、v2c 、v3 版本 SNMP 與當前通用的網(wǎng)絡管理平臺兼容

44、，如 HP Openview 等。 支持雙系統(tǒng)升級 支持遠程維護和系統(tǒng)升級系統(tǒng)升級 支持 TFTP 升級 提供強大的報文調試功能，可以幫助網(wǎng)絡管理員或安全管理員發(fā)現(xiàn)、調 試和解決問題。報文調試 支持發(fā)送虛擬報文 配置管理 配置恢復可以進行配置文件的備份、下載、刪除、恢復和上載。 21 其它擴展能力 開放式的架構支持未來方便擴展防病毒、防垃圾郵件、IPSEC VPN、SSL VPN 等功能以及各種 VPN 加速卡 2.4.7.6技術參數(shù)技術參數(shù) 1.1000M 光纖接口2； 2.并發(fā)連接數(shù)50 萬； 3.VLAN 支持：支持 802.1q； 4.流量管理：支持帶寬管理和優(yōu)先級控制； 5.支持 I

45、P 與 MAC 地址綁定； 6.支持 HTTP、STMP、POP3、FTP、SOCKS 代理； 7.支持抗 DOS、端口掃描、特洛伊木馬等攻擊； 8.支持基于 H.323 的視頻會議和 VOIP 語音系統(tǒng)。 2.4.8 入侵檢測系統(tǒng)實施方案入侵檢測系統(tǒng)實施方案 2.4.8.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述 入侵檢測系統(tǒng)是屬于主動防御，它識別大量的攻擊模式、并根據(jù)用戶策略 做出響應。入侵檢測系統(tǒng)以實時性、動態(tài)檢測和主動防御為特點，有效彌補了 其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng)，已經成為網(wǎng)絡安全系統(tǒng)的必 備設施。 網(wǎng)絡入侵檢測系統(tǒng)可以對整個網(wǎng)絡進行檢測和防御，通常由控制中心和探 測引擎兩

46、部分組成。探測引擎一般采用專用硬件設備通過旁路方式接入檢測網(wǎng) 絡。探測引擎全面?zhèn)陕牼W(wǎng)絡信息流，動態(tài)監(jiān)視網(wǎng)絡上流過的所有數(shù)據(jù)包，進行 檢測和實時分析，從而實時甚至提前發(fā)現(xiàn)非法或異常行為，并且執(zhí)行告警、阻 斷等功能，并記錄相應的事件日志。控制中心是面向用戶，提供管理配置使用。 它支持控制多個位于本地或遠程的探測引擎，集中制定和配置監(jiān)控策略，提供 統(tǒng)一的數(shù)據(jù)管理。 對發(fā)現(xiàn)入侵或異常行為，入侵檢測系統(tǒng)控制中心能記錄、顯示詳細的入侵 告警信息，如入侵主機的 IP 地址、攻擊特征等。通過對所記錄的歷史報警信息 22 進行分類統(tǒng)計，可形成用戶所需要的管理報表。 2.4.8.2入侵檢測技術入侵檢測技術 高性能

47、報文捕獲高性能報文捕獲 DMADMA 和零拷貝技術和零拷貝技術 IDS 作為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。目前，由于網(wǎng) 絡自身的發(fā)展非常迅速，一般的網(wǎng)絡局域網(wǎng)主干交換帶寬速度由 10/100M 的網(wǎng) 絡發(fā)展到 1000M，給 IDS 帶來了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測系統(tǒng)一般基 于簡單的模式匹配實現(xiàn)，在百兆滿負荷的網(wǎng)絡環(huán)境中工作已經相當吃力，而網(wǎng) 絡帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 IDS 增加 10 倍的處 理能力，因此網(wǎng)絡的發(fā)展，提出了千兆或更高性能 IDS 的需求。而高性能入侵 檢測的一個重要瓶頸就在于高速的報文捕獲和批量處理分析。 為了提高報文捕獲

48、的效率，通過修改網(wǎng)卡驅動程序，使用 DMA 和數(shù)據(jù)零 拷貝技術零拷貝技術，大大提高了效率，如下圖所示： DMA 和數(shù)據(jù)零拷貝技術和傳統(tǒng)入侵檢測報文捕獲技術的比較 零拷貝技術省略了 TCP/IP 堆棧的處理，直接將網(wǎng)卡通過 DMA 直接數(shù)據(jù)傳 輸將報文數(shù)據(jù)傳遞到了 IDS 系統(tǒng)可以訪問的空間，大大減少了傳統(tǒng)方式中因為 上下文切換和數(shù)據(jù)拷貝而帶來的系統(tǒng)開銷，使用了零拷貝技術之后，系統(tǒng)的捕 包效率大大提高，測試結果是在能夠在 1.4G 的 CPU 下，捕獲 100 萬/秒報文時， CPU 占用率還低于 10%。這種效率完全可以滿足在千兆高速環(huán)境下入侵檢測分 析。 23 支撐平臺結構和系統(tǒng)優(yōu)化支撐平臺

49、結構和系統(tǒng)優(yōu)化 對于整體結構的優(yōu)化有助于進一步提高 IDS 系統(tǒng)引擎的速度。 1. 并行處理 在雙 CPU 并行處理機上，通過使用多線程，使得我們可以將多個報文同時 進行處理，為了減少同步帶來的代價，使用報文的預分析，然后根據(jù)預分析的 結果進行任務分配，將一個報文的所有分析和匹配工作都交給一個工作線程去 處理，多個線程可以同時并行處理多個報文。 2. 使用匯編語言實現(xiàn)關鍵處理 通過使用匯編語言可以大大減少使用高級語言帶來的冗余代碼，在核心的 關鍵處理上如模式集合的匹配上使用匯編語言實現(xiàn)能夠大大提高效率。 3. 優(yōu)化內存分配算法 經過分析在 IDS 系統(tǒng)中，會大量的使用內存的分配和釋放操作，如果

50、，實 現(xiàn)中都通過系統(tǒng)的分配釋放函數(shù)來實現(xiàn)會大大影響系統(tǒng)的處理速度。通過使用 簡化而且合理的內存分配算法，能夠使這部分的代價減少。 通過精簡運行的操作系統(tǒng)，使用優(yōu)化程序技術也是提高入侵檢測的性能的 必要條件，同時保證了入侵檢測產品的自身安全性。 基于狀態(tài)的全面協(xié)議分析基于狀態(tài)的全面協(xié)議分析 協(xié)議分析模塊完成 IDS 系統(tǒng)引擎中主要的分析工作，對于一個報文在引擎 的處理過程中，報文：分析：匹配1：1：N，這就是說一個報文需要經過一 次分析，再和 N 條規(guī)則進行匹配之后產生事件。如果能夠通過更準確的分析， 減少匹配的工作，就能夠最終提高整個 IDS 系統(tǒng)的處理效率。因此協(xié)議分析的 準確性和效率對于整

51、個系統(tǒng)的處理效率影響非常大。這部分包括兩個大的方面： 提高協(xié)議分析的速度提高協(xié)議分析的速度 1.基于狀態(tài)的協(xié)議分析 網(wǎng)絡中通訊的報文一般都不是孤立的，而是在一系列的報文通訊之中的， 也就是說是有一定的報文前后上下文的。通過基于狀態(tài)的協(xié)議分析，能夠大大 提高解析的準確度，同時對于不同報文采用不同的少量分析的方式，從而也提 高了協(xié)議分析的速度。 24 2.運用多種算法進行解析 在報文的分析過程，采用多種算法來提高協(xié)議解析的速度，比如使用高 速樹型匹配算法、HASH 算法等等。 提高協(xié)議分析的效果提高協(xié)議分析的效果 采用兩種方法提高協(xié)議解析的效果：直接產生協(xié)議分析中確定的事件和 更深入的協(xié)議分析。

52、1.直接產生協(xié)議分析中確定的事件 通過在協(xié)議分析模塊中直接產生事件，從而減少在匹配規(guī)則模塊中規(guī)則集 的規(guī)模，如：RFC 協(xié)議確定的事件和異常事件：如 FLOOD 攻擊，從而提高整 個報文的處理速度。 2.更深入的協(xié)議分析 更深入的協(xié)議解析提高了規(guī)則集中規(guī)則的匹配準確性，比如縮小一次字 符串匹配在報文中搜索范圍，從而節(jié)省時間，提高規(guī)則匹配的效率。 樹型規(guī)則和匹配算法樹型規(guī)則和匹配算法 前面已經提到，報文：分析：匹配1：1：N 的關系。一個報文需要跟多 條規(guī)則進行比較，這需要大量的運算，占用許多的 CPU 時間。通過三個方法去 提高其效率：協(xié)議規(guī)則子集、規(guī)則樹和快速模式集合匹配。 1.協(xié)議規(guī)則子集

53、 協(xié)議規(guī)則子集是通過將規(guī)則集合中的規(guī)則按照其所屬的協(xié)議分成許多小 的子集，而一個報文只與其相關的協(xié)議規(guī)則子集中的規(guī)則進行匹配，從而大大 減少實際一個報文進行匹配的規(guī)則數(shù)量，減少匹配時間。 2.規(guī)則樹 將線性規(guī)則匹配方式改造成為樹型規(guī)則匹配方式，就必須構造規(guī)則樹。通 過規(guī)則樹，我們可以很容易在匹配過程中淘汰掉不可能的規(guī)則,減少重復判斷的 次數(shù),并實現(xiàn)將一個協(xié)議變量的多個取值放到一起（形成取值集合）進行判斷， 大大的提高了比較效率。 3.快速模式集合匹配 由于在一個報文的匹配中，最為耗時的匹配運算是在報文中匹配一個字符 串模式，通過快速模式集合匹配算法來提高這部分匹配的效率?？焖倨ヅ湟馕?25 著

54、能夠盡可能快的在一個正文串中查找到一個模式串的存在，這是通過提高匹 配時移動模式的距離實現(xiàn)的；集合匹配意味著同時快速的對多個模式進行匹配。 二者的結合就是在一個報文中快速的匹配多個模式。 準確的特征分析和規(guī)范描述準確的特征分析和規(guī)范描述 解決入侵檢測的漏報和誤報現(xiàn)象還依賴于準確的特征提取和描述，在所應 用的特征全面采用了如下兩種特征分析方法和統(tǒng)一的規(guī)范化語言描述。 基于漏洞機理的特征分析基于漏洞機理的特征分析 利用漏洞機理的方法來提取和定義特征，可以實現(xiàn)檢測和具體攻擊工具的 無關性，特別對于防止新型變種的攻擊和攻擊工具改造非常有效。 基于攻擊過程的特征分析基于攻擊過程的特征分析 攻擊過程分析法

55、則是完全站在攻擊者的角度，破析完整的攻擊過程，可以 判斷攻擊是處在攻擊嘗試階段還是已經攻擊成功。 2.4.8.3入侵檢測系統(tǒng)部署入侵檢測系統(tǒng)部署 本方案中分別在公共區(qū)域、生產系統(tǒng)區(qū)域、辦公系統(tǒng)區(qū)域部署一套入侵檢 測系統(tǒng)，部署示意圖如圖 1 所示，公共系統(tǒng)的入侵檢測引擎與核心交換機相連， 辦公系統(tǒng)、生產系統(tǒng)的入侵檢測系統(tǒng)與該區(qū)域的交換機相連，分別針對不同的 需求，對各個子網(wǎng)的入侵進行檢測和防護。 2.4.8.4入侵檢測系統(tǒng)選型入侵檢測系統(tǒng)選型 本方案中按照三個區(qū)域分別采用三套入侵檢測系統(tǒng)，可以在生產系統(tǒng)、辦 公系統(tǒng)區(qū)域和公共區(qū)域各采用一套千兆入侵檢測引擎，另外，在核心交換機處 部署一套高性能千兆

56、入侵檢測系統(tǒng)，實時監(jiān)控各個子網(wǎng)網(wǎng)絡傳輸狀態(tài)，自動檢 測可疑行為，及時發(fā)現(xiàn)來自網(wǎng)絡外部或內部的攻擊，并可以實時響應，切斷攻 擊方的連接，同時還可以與防火墻緊密結合，產生聯(lián)動，彌補了防火墻的訪問 控制不嚴密的問題。另外，根據(jù)網(wǎng)絡網(wǎng)絡部署結構，可以將核心處選擇為帶子 控功能的入侵檢測系統(tǒng)，當在部署結構改變后可以作為中心節(jié)點使用。配合探 測引擎，管理中心安裝于一臺服務器上，控制中心面向用戶，提供管理配置之 26 用。控制中心是個高性能的管理系統(tǒng)，它能控制位于本地或遠程的多個網(wǎng)絡探 測引擎的活動，集中制定和配置策略，提供統(tǒng)一的數(shù)據(jù)管理。管理控制中心可 以被設置為主、子結構，主管理控制中心可以實時接收、轉

57、發(fā)子控制中心的告 警信息，分類提取子控制中心的日志信息，下發(fā)各種配置文件、策略供子控對 其所屬網(wǎng)絡探測引擎進行配置。 2.4.8.5入侵檢測系統(tǒng)功能入侵檢測系統(tǒng)功能 完善的管理控制體系完善的管理控制體系 多層分級管理多層分級管理 所選入侵檢測系統(tǒng)的管理控制中心可靈活設置成與行政業(yè)務管理流程緊密 結合的集中監(jiān)控、多層管理的分級體系。通過策略下發(fā)機制，使上級部門能夠 統(tǒng)一全網(wǎng)的安全防護策略；通過信息上傳機制，使上級部門能夠及時了解和監(jiān) 控全網(wǎng)的安全狀態(tài)。 靈活的更新和版本升級靈活的更新和版本升級 所選入侵檢測系統(tǒng)支持手動和自動的特征更新和版本升級，也可以在分級 管理體系下由主控統(tǒng)一來完成。所選入侵

58、檢測系統(tǒng)的探測引擎同時支持通過 USB 口進行升級。 全局預警全局預警 在所選入侵檢測系統(tǒng)的多層分級管理體系下，可以實現(xiàn)把單點發(fā)生的重要 事件自動預警到其它管理區(qū)域，使得各級管理員對于可能發(fā)生的重要安全事件 具有提前的預警提示。 利用全局預警通道，各級管理員也可以發(fā)送交互信息，交流對安全事件的 處理經驗。 嚴格的權限管理嚴格的權限管理 所選入侵檢測系統(tǒng)可以設定多種分類權限供不同的人員使用，支持更為嚴 格的多鑒別身份認證方式。同時在產品部署上支持事件監(jiān)測、事件分析以及管 理配置分布部署，從物理角度保證管理安全。 時鐘同步機制時鐘同步機制 所選入侵檢測系統(tǒng)支持 NTP 服務進行時間同步，保證跨時區(qū)

59、的部署條件下 27 也能保持管理時間的一致性。 支持多報警顯示臺支持多報警顯示臺 所選入侵檢測系統(tǒng)提供了良好的多點監(jiān)測機制，允許掛接多個報警顯示中 心，方便多個管理人員進行有效的報警觀測。 數(shù)據(jù)庫維護管理數(shù)據(jù)庫維護管理 所選入侵檢測系統(tǒng)提供強大的數(shù)據(jù)庫維護管理功能，可以對歷史數(shù)據(jù)進行 自動、手動的備份、刪除操作，還可以導入歷史的備份數(shù)據(jù)。 可擴展到入侵管理可擴展到入侵管理 入侵檢測全面支持入侵管理，實現(xiàn)多種安全產品：漏洞掃描、主機入侵檢 測的統(tǒng)一管理和協(xié)同關聯(lián)。 全面的入侵檢測能力全面的入侵檢測能力 多種技術結合防止漏報多種技術結合防止漏報 1. 采用引擎高速捕包技術保證滿負荷的報文捕獲； 2

60、. 采用的高速樹型匹配技術實現(xiàn)了一次匹配多個規(guī)則的模式，檢測 效率得以成倍的量級提高； 3. 采用了 IP 碎片重組、TCP 流重組以及特殊應用編碼解析等多種方 式，應對躲避 IDS 檢測的手法，如：WHISKER、FRAGROUTE 等攻擊 方式； 4. 采用預制漏洞機理分析方法定義特征，對未知攻擊方式和變種攻 擊也能及時報警； 5. 采用行為關聯(lián)分析技術，可以發(fā)現(xiàn)基于組合行為的復雜攻擊； 多種措施降低誤報多種措施降低誤報 1. 基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹，保證特征匹配的準確性； 2. 基于攻擊過程的分析方法定義特征，可以識別攻擊的狀態(tài)，提供 不同級別的事件報警信息； 3. 通過采集和關

61、聯(lián)攻擊發(fā)送方和被攻擊目標的信息，可以成功或失 敗的攻擊事件給出明確標識。 4. 通過支持入侵管理，可以結合漏洞掃描結果來評估威脅的風險級 別。 28 多種機制限制濫報多種機制限制濫報 1. 內置狀態(tài)檢測機制，可以識別和處理類似“STICK”等的反 IDS 攻擊，有效地避免了事件風暴的產生； 2. 提供多種可選的統(tǒng)計合并技術，可以對同一事件采用合并上報， 減少報警量。 可擴展的響應和聯(lián)動可擴展的響應和聯(lián)動 所選入侵檢測系同應具有豐富的可擴展事件響應方式， 包括 屏幕顯示 日志記錄 TCP KILLER 阻斷 支持郵件方式遠程報警、聲音以及自定義程序報警 支持向網(wǎng)管發(fā)送 SNMP TRAP 信息

62、可以充分實現(xiàn)和第三方安全產品以及網(wǎng)絡設備的策略響應聯(lián)動。 防火墻聯(lián)動:通過聯(lián)動通訊標準的支持，防火墻業(yè)界主流的產品 可以實現(xiàn)和入侵系統(tǒng)的聯(lián)動，對外部發(fā)起的攻擊行為進行阻斷。 交換機聯(lián)動：可以根據(jù)策略制定動態(tài)關閉相應的交換機端口，可 以防止蠕蟲類事件的攻擊擴散，進行內網(wǎng)安全防護。 多樣化的日志分析報告多樣化的日志分析報告 可以為管理人員和入侵檢測分析員提供了不同類型的日志分析手段和報告 輸出。為管理人員提供了常用的周期性統(tǒng)計報表類型模版，管理人員可以直接 利用，得出管理性的安全結論。為入侵檢測分析員提供了多種缺省分析模版， 根據(jù)這些模版可以獲得多種分類的事件日志信息和統(tǒng)計排名。入侵檢測系統(tǒng)提 供

63、了多樣化的日志過濾查詢條件，用戶可以進行自主定義習慣的查詢模式，進 行有效的日志分析查詢。 報表可以導出為多種常用格式（WORDEXCEL） ，并設置郵件定時發(fā)送報告功 能。 2.4.8.6檢測性能指標檢測性能指標 攻擊特征流采用統(tǒng)一的 100 種標準的不同攻擊樣本，目標機器配置多種網(wǎng) 29 絡服務。網(wǎng)絡背景流量采用專用發(fā)包設備來制造，以背景流量為基準，測試 入侵檢測系統(tǒng)在不同的流量環(huán)境（包長）和不同連接背景下的檢測能力。 千兆引擎的性能指標如下： 30 2.4.8.7技術參數(shù)技術參數(shù) 1.1 個標準 1000Base-SX(SC)接口（可擴展） ；至少 3 個標準 10/100/1000Ba

64、seTX 接口； 2.MTBF9 萬小時； 3.IP 碎片重組500,000， 4.最大檢測 TCP 會話數(shù)：800,000 ， 5.檢測流量：1G。 2.4.9 漏洞掃描系統(tǒng)實施方案漏洞掃描系統(tǒng)實施方案 配備一套漏洞掃描系統(tǒng)按要求就要以實現(xiàn)對內部計算機、網(wǎng)絡設備、安全 設備等進行安全性掃描、評估。為管理員、安全維護人員提供詳細的脆弱性信 息和安全建議。漏洞掃描器通過確定目標設備的系統(tǒng)狀態(tài)，用于對網(wǎng)絡設備和 主機進行脆弱性分析。 2.4.9.1實施目的實施目的 由于防火墻固有的局限性和目前對入侵檢測系統(tǒng)的逃避技術，網(wǎng)絡安全性 的提高還需要有漏洞掃描系統(tǒng)，它是要實現(xiàn)對內部計算機、網(wǎng)絡設備、安全設

65、 備等進行安全性掃描、評估。為管理員、安全維護人員提供詳細的脆弱性信息 和安全建議。 通過部署漏洞掃描系統(tǒng)主要為了達到如下的目的： 掃描分析網(wǎng)絡系統(tǒng)，檢測和發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中安全薄弱環(huán)節(jié)。 準確而全面地報告網(wǎng)絡存在的脆弱性和漏洞。 檢測并報告掃描目標的相關信息以及對外提供的服務。 根據(jù)用戶需要生成各種分析報告。 31 2.4.9.2實施策略實施策略 根據(jù)目前情況分析采取全網(wǎng)掃描策略； 當網(wǎng)絡規(guī)模增大后，特別是分為多級網(wǎng)絡結構后可以采用分布式部署 策略，其功能組件可以部署在不同主機上，控制中心同時管理多個掃 描引擎，不同的掃描引擎負責對不同網(wǎng)段的系統(tǒng)進行掃描檢測，顯示 中心和報表中心可匯總顯示各掃描

66、引擎的掃描結果信息。 2.4.9.3漏洞掃描系統(tǒng)部署漏洞掃描系統(tǒng)部署 由于漏洞掃描系統(tǒng)為軟件產品，而且是定期或不定期使用，無需專門提供 計算機來安裝?？梢园惭b在網(wǎng)絡中配置較高的任意一臺計算機上即可對全網(wǎng)相 關設備進行掃描。但是本網(wǎng)絡結構中由于部分需要重點防護，并且部分應用不 可以跨網(wǎng)段，安全性要求也不盡相同，所以可以在三個區(qū)域分別部署一套漏洞 掃描系統(tǒng)，制定不同的掃描策略，有針對性的進行漏洞掃描，另外也可以采用 分布式單級部署方式，將不同掃描引擎安裝在不同的區(qū)域，然后進行統(tǒng)一管理。 單個系統(tǒng)部署示意圖如下： 路由器 核心交 換機 防 火 墻 IDS 樓層交換機 工作站 工作站 工作站 服務器區(qū) 掃描主機 安安全全性性分分析析報報告告： 系系統(tǒng)統(tǒng)版版本本太太低低：高高風風險險 管管理理員員口口令令永永不不過過期期：中中風風