廣電總局網(wǎng)絡(luò)安全技術(shù)建議書_內(nèi)

北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 1 頁 共 34 頁 廣電總局網(wǎng)絡(luò)安全技術(shù)建議書 一、 綜述 1.1 建設(shè)背景 廣電總局內(nèi)部網(wǎng) 承載著廣電總局內(nèi)各部門間日常工作的公文流轉(zhuǎn)、審批等一系列辦公自動化系統(tǒng)。目前，該網(wǎng)絡(luò)與廣電總局外部網(wǎng)絡(luò)采取完全的物理隔離 。隨著廣電總局內(nèi)部網(wǎng)絡(luò)功能和業(yè)務(wù)的發(fā)展需求， 網(wǎng)絡(luò) 安全 作為信息化建設(shè)中必不可少的一項工作 ， 以逐漸提現(xiàn)出其重要性。 首先， 在 廣電總局內(nèi)部網(wǎng)絡(luò) 的日常 運維過程中， 出 現(xiàn) 了一定的 安全問題 。其次，隨著信息化工作的開展，廣電總局直屬機關(guān)與總局內(nèi)部網(wǎng)絡(luò)的互聯(lián)互通將對網(wǎng)絡(luò)安全提出新的要求。 所以 ，為了 保障 廣電總局 網(wǎng)絡(luò) 系統(tǒng)資源的安全和穩(wěn)定運行， 迫切需 要建立一個統(tǒng)一的安全防護體系， 從而 為 廣電總局 及各直屬機關(guān) 提供高質(zhì)量的信息服務(wù)。 本次項目主 要是針對 廣電總局內(nèi)部 的安全提出 解決方案，涉及防火墻系統(tǒng)、安全審計系統(tǒng)、 網(wǎng)絡(luò)型入侵檢測系統(tǒng)、 日志分析系統(tǒng)、防病毒體系、 OA 業(yè)務(wù) 安全防護系統(tǒng) 、安全管理、系統(tǒng)安全增強及性能優(yōu)化 以及未來與廣電總局直屬機關(guān)互聯(lián)互通時的安全相關(guān) 技術(shù) 和建議 。 1.2 網(wǎng)絡(luò)現(xiàn)狀及安全需求 廣電 總局內(nèi)部網(wǎng)絡(luò) 的網(wǎng)拓?fù)浣Y(jié)構(gòu)可以用下圖表示： 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 2 頁 共 34 頁 SiSi SiSiA5100E3500 E3500 E250 E250 IBMNetfinity 4000IBMNetfinity 40002926 2926 3548 35482926.SUN U10廣電總局 廣域網(wǎng)拓?fù)?SUN E3500：兩臺。 OA 系統(tǒng)主服務(wù)器，采用 雙機備份。 SUN A5100：磁盤陣列 E250：兩臺。 一臺為內(nèi)網(wǎng) DNS，另一臺閑置 IBM Netfinity 4000：兩臺 。 ULTRA 10： 內(nèi)網(wǎng)網(wǎng)管服務(wù)器 內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)由兩臺 CISCO 6509 承擔(dān)內(nèi)網(wǎng)核心交換工作。該交換機上劃分VLAN。隔離不同業(yè)務(wù)系統(tǒng)及不同部門間子網(wǎng)。內(nèi)網(wǎng)業(yè)務(wù)主機直接接入到 6509上。 14 臺 2926 及 2 臺 3548 通過千兆上聯(lián)到 6509。提供對各部門日常辦公桌面機的接入。 直觀看來，此網(wǎng)絡(luò)已經(jīng)具有了一定的安全性，內(nèi)網(wǎng)與 Intenet 實施了 完全的物理 隔離措施。但是，仔細(xì)分析我 們可以看出，這個網(wǎng)絡(luò)仍然存在很多安全隱患。 雖然 劃分了 VLAN，但是 VLAN 只起到了隔離廣播信息的功能。 對于 內(nèi)網(wǎng)中對重要服務(wù)器的訪問和各部門間的互訪缺乏實際的訪問控制。 重要業(yè)務(wù)主機（服務(wù)機）與員工自用桌面機處于同一邏輯層。缺乏安全等級的劃分，服務(wù)器與員工桌面機間無安全等級差別 或 隔離手段，如果某部門 工作 PC 機被安裝了木馬，就完全可能 被利用 成為 惡意 攻擊的跳 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 3 頁 共 34 頁 板從而對核心服務(wù)器 或其他部門的主機 發(fā)起攻擊 ，達(dá)到隱藏真正破壞者的功能 。 重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及 業(yè)務(wù)系統(tǒng)如 OA 系統(tǒng)的身份認(rèn)證技術(shù)未采用加密機制，用戶密碼以 明碼方式在網(wǎng)絡(luò)上傳播。如果惡意用戶在網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)分析軟件，可截獲用戶密碼，冒充正常用戶身份進行破壞活動。 內(nèi)部網(wǎng)絡(luò)缺乏統(tǒng)一的病毒防護 、查殺及隔離 措施，一旦某臺用戶主機感染病毒， 會在短時間內(nèi)造成病毒在廣電內(nèi)部網(wǎng)絡(luò)中的廣泛傳播。 未來各直屬機關(guān)的遠(yuǎn)程接入 也有可能成為攻擊發(fā)起的來源，需要實施隔離。 目前廣電外網(wǎng)安全只 單純依賴被動型的安全手段如防火墻，而缺乏主動發(fā)現(xiàn)型的安全手段，比如安全漏洞審計系統(tǒng)、入侵檢測系統(tǒng)等。無法防患于未然。 缺乏對攻擊的監(jiān)測和記錄手段，比如入侵檢測系統(tǒng)、日志服務(wù)器等，無法有效的發(fā)現(xiàn)安全事 件，也沒有舉證手段。 由于存 在眾多安全問題，所以迫切需要建立一個統(tǒng)一的安全防護體系，保障廣電總局內(nèi)部 網(wǎng)絡(luò) 系統(tǒng)資源的安全和穩(wěn)定運行，從而為 廣電總局 各 部門、各直屬機關(guān) 提供高質(zhì)量的信息服務(wù)。 以下 我們 將從網(wǎng)絡(luò)結(jié)構(gòu)安全 結(jié)構(gòu) 、 網(wǎng)絡(luò) 安全 技術(shù) 、 防病毒體系 及安全管理 等幾個方面 闡述 我們 的安全建議 。 1.3 安全設(shè)計原則 整體性原則 安全作為一個特殊的技術(shù)領(lǐng)域，有著自己的特點。安全問題必須遵從整體性原則， 網(wǎng)絡(luò)中的任何一個漏洞或隱患都可能造成整網(wǎng)的安全水平的降低。 網(wǎng)絡(luò) 安全系統(tǒng)應(yīng)該包括三種機制：安全防護機制；安全監(jiān)測機制；安全恢復(fù) 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 4 頁 共 34 頁 機制。 安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的防護措施，避免非法攻擊的進行；安全監(jiān)測機制是監(jiān)測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊；安全恢復(fù)機制是在安全防護機制失效的情況下，進行應(yīng)急處理和盡量、及時地恢復(fù)信息，減少攻擊的破壞程度 由于業(yè)務(wù)的重要性及安全需求， 廣電總局 內(nèi)部網(wǎng)絡(luò) 業(yè)務(wù)系統(tǒng) 目前相對簡單。但是， 隨著 信息化發(fā)展的 需求，處于嚴(yán)格控管下的互聯(lián)互通將是網(wǎng)絡(luò)發(fā)展的 趨勢 。因此 在本次設(shè)計中，我們從全網(wǎng)角度出發(fā)，關(guān)注 廣電信息化建設(shè)的目標(biāo)， 各 廣電各 業(yè)務(wù)系統(tǒng)安全，根據(jù)各業(yè)務(wù)系統(tǒng)特點提出 從防 護 檢測 回復(fù) 的 完整的 解決方案，而不是治標(biāo)不治本。 集中性原則 安全重在管理，所謂“三分技術(shù)，七分管理”闡述了安全的本質(zhì)。而安全管理重在集中。 廣電總局 的設(shè)備和主機類型較 多，業(yè)務(wù)系統(tǒng) 涵蓋廣電各個部門及相關(guān)機構(gòu)，業(yè)務(wù)模式 相對復(fù)雜且管理機構(gòu)和管理模式也千差萬別。在全網(wǎng)安全方案的設(shè)計中，無論是安全管理制度的制定和施行，或是安全產(chǎn)品的選型和實施，還是長期安全服務(wù)方案的制定，我們都將根據(jù)集中性原則，目標(biāo)是實現(xiàn)對各設(shè)備和 業(yè)務(wù) 系統(tǒng)的集中安全管理以及安全事件發(fā)生后的集中響應(yīng)，這些都 將 依賴于管理制度統(tǒng)一的、集中的制定和施 行。 層次性原則 在 廣電總局 內(nèi)部網(wǎng)絡(luò) 安全方案設(shè)計中，無論具體的軟硬件部署，還是管理制度的制定，我們都遵循層次性原則。安全問題的層次性原則集中在兩個方面： 管理模式的層次性 在 廣電總局 內(nèi)部網(wǎng)絡(luò)中，由于涉及到跨部門及機構(gòu)的 人員以及地點，需要一種層次性的管理模式。比如，用戶管理需要分層次的授權(quán)機制；防病毒體系的病毒庫分發(fā)或報警也需要分層次機制；安全緊急響應(yīng)的流程也需要建立分層監(jiān)控，逐級響應(yīng)的機制。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 5 頁 共 34 頁 防護技術(shù)的層次性 層次性還表現(xiàn)在防護技術(shù)上。針對業(yè)務(wù)系統(tǒng)的防護往往有多種防護設(shè)備和手段，我們需要根據(jù)業(yè)務(wù)系統(tǒng) 特點提出多層次防護機制，保證在外層防護被入侵 失效 的情況 下 ，內(nèi)部防護層還可以起到防護作用。另一方面，各層之間的配合也是層次性原則的重要特點之一。 長期性原則 安全一向是一個交互的過程，使用任何一種“靜態(tài)”或者號稱“動態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問題，所以我們針對安全問題的特點，提供針對 廣電總局 內(nèi)部網(wǎng)絡(luò) 全面的安全服務(wù)，其中包括設(shè)備產(chǎn)品的技術(shù)支持和服務(wù)以及安全審計、安全響應(yīng)等專業(yè)安全服務(wù)。 二、 統(tǒng)一的安全防護體系 在整個安全項目設(shè)計過程中，我們始終遵循統(tǒng)一的安全原則，從全網(wǎng)安全管理角度出發(fā)，關(guān)注于各業(yè) 務(wù)系統(tǒng)的安全，目標(biāo)是為客戶建立統(tǒng)一的安全防護體系。 2.1 網(wǎng)絡(luò)系統(tǒng) 安全 基于以上四個原則， 我們 為 廣電總局 設(shè)計了如下的安全解決方案。下面，按照“層層設(shè)防”的安全理念， 我們 將從整個網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ) 網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)開始，逐步闡述從 網(wǎng)絡(luò)核心交換區(qū)域、到辦公網(wǎng)段和核心服務(wù)器網(wǎng)段的不同安全策略和安全產(chǎn)品的選型 原則 和實施建議。 2.1.1 網(wǎng)絡(luò) 結(jié)構(gòu) 安全 首先，通過如下的示意圖，我們可以更加清晰的 了解本方案對廣電總局內(nèi)部網(wǎng)絡(luò)的安全結(jié)構(gòu) 。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 6 頁 共 34 頁 SiSi SiSiA5100E3500E250 E250IBMNetfinity 40002926 2926 3548 35482926.Network IDS防火墻 防火墻3548 35483548安全審計系統(tǒng)入侵檢測系統(tǒng)管理端日志分析系統(tǒng)SUN ULTRA 10網(wǎng)管主機VPNMODEM POOLPSTNVPN36XXVPNrouterVPNrouter病毒控制管理中心 內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) 建議 在經(jīng)過上述調(diào)整之后，我們 可以看到，構(gòu)成網(wǎng)絡(luò)核心的 依舊是兩臺 CISCO 6509 高性能的高端 交換機，在這臺交換機 上匯接了 重要業(yè)務(wù)系統(tǒng) 接入、 廣電總局 各部門用戶 、 網(wǎng)管及安全管理網(wǎng)段 ， 在原有的 VLAN 基礎(chǔ)上合理劃分新的VLAN 結(jié)構(gòu) ，使網(wǎng)絡(luò)負(fù)載的分布更加合理。 其次， 在新的拓?fù)渲校?重要業(yè)務(wù)系統(tǒng)如辦公系統(tǒng)、 DNS/Mail/Proxy 等公共服務(wù)器網(wǎng)段之間都利用防火墻作了有效的隔離 ，建立起用戶到業(yè)務(wù)網(wǎng)段的安全等級與安全隔離 。 任意一個 網(wǎng)段 對網(wǎng)絡(luò)業(yè)務(wù)的訪問都利用防火墻作了隔離，大大提高了網(wǎng)絡(luò)的安全性，在防止 攻擊、病毒 /蠕蟲擴散等方面都能夠起到很大作 用。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 7 頁 共 34 頁 第三， 在原先網(wǎng)管系統(tǒng)的基礎(chǔ)上，建立新的網(wǎng)絡(luò)管理及安全管理網(wǎng)段，該網(wǎng)段集中了網(wǎng)管、審計、日志、入侵檢測、統(tǒng)一認(rèn)證及病毒管理中心等安全及網(wǎng)管主機，日常運維中通過各類安全技術(shù)收集整網(wǎng)安全信息，提供運維人員整網(wǎng)狀況。通過在 6509 上實行一定的訪問控制及安全策略，限制其他網(wǎng)段對該網(wǎng)段的非正常訪問。從而確保該網(wǎng)段的安全性 。 第四， 在 6509 核心機上通過背板管理端口或端口鏡像技術(shù)將需要檢測網(wǎng)絡(luò)流量鏡像到新增的網(wǎng)絡(luò)入侵檢測系統(tǒng)，該系統(tǒng)可在不影響正常網(wǎng)絡(luò)流量的基礎(chǔ)上對需要檢測的流量進行不間斷的檢測和報警。 與直屬機關(guān)互 聯(lián)網(wǎng)絡(luò)建議 隨著業(yè)務(wù)的發(fā)展，廣電總局的內(nèi)部網(wǎng)目前規(guī)劃與北京市內(nèi) 廣電總局 各直屬機關(guān)互聯(lián)互通 以及提供用戶通過 PSTN 遠(yuǎn)程撥號接入內(nèi)網(wǎng) ?；ヂ?lián)通后，廣電總局的內(nèi)網(wǎng)將開放部分業(yè)務(wù)系統(tǒng)給各直屬機關(guān) 及撥號用戶 。因此， 必須 確保各直屬機關(guān)及撥號用戶 的接入不會對網(wǎng)絡(luò) 安全以及信息安全構(gòu)成影響。 目前。由于廣電總局內(nèi)網(wǎng)是與 INTERNET 完全隔離的網(wǎng)絡(luò)。 為確保廣電總局內(nèi)網(wǎng)的安全性 ，針對直屬機關(guān) 互聯(lián) 以及撥號用戶 的安全將主要考慮 如下因素 ： 1. 確保直屬機關(guān)與廣電總局內(nèi)網(wǎng)互聯(lián)信道的物理安全。 2. 對直屬機關(guān)與廣電總局內(nèi)網(wǎng)的連接采取加密措施（鏈路 層加密， IP 層加密或應(yīng)用層加密）。 3. 限定直屬機關(guān) 及撥號 用戶的授權(quán)訪問范圍 。 4. 限定直屬機關(guān) 及撥號 用戶對廣電總局內(nèi)網(wǎng)業(yè)務(wù)的訪問流程。 5. 限定直屬機關(guān) 及撥號用戶 網(wǎng)絡(luò)接入廣電總局網(wǎng)絡(luò)后導(dǎo)致的 INTERNET對總局內(nèi)網(wǎng)的連接。 6. 對 直屬機關(guān) 及撥號 用戶的訪問行為 進行實時 監(jiān)控 。 由以上因素我們可以得出，對直屬機關(guān) 及撥號用戶 接入廣電總局內(nèi)網(wǎng)的安全考慮主要分應(yīng)用 層 和網(wǎng)絡(luò) 層 兩大部分。由于應(yīng)用系統(tǒng)的安全涉及廣電內(nèi)網(wǎng)所使用 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 8 頁 共 34 頁 的 OA 辦公自動化系統(tǒng)的業(yè)務(wù)流程、加密認(rèn)證方式等相關(guān)問題，需由業(yè)務(wù)系統(tǒng)的軟件供應(yīng)商 提供相關(guān)安全措施，具體原則及需求見 2.2 節(jié)。而對于網(wǎng)絡(luò)層的安全 ，我們考慮的原則是如何在網(wǎng)絡(luò)層確保數(shù)據(jù)的私密性，完整性和不可抵賴性。 目前，可以在網(wǎng)絡(luò)層以下實現(xiàn)的數(shù)據(jù)加密方式較多，主要包括在鏈路層實現(xiàn)的鏈路加密機制與在網(wǎng)絡(luò)層實現(xiàn)的 各類 IP 隧道加密機制。 鏈路加密機通常由獨立硬件構(gòu)成，通過在鏈路 兩端點 的鏈路加密機協(xié)商或事先指定加密密鑰，對鏈路中傳輸?shù)奈锢韼M行加密。目前在國內(nèi)主要應(yīng)用于金融及軍隊 ，提供小于 10M 的吞吐能力 。通常，有 同步（異步）鏈路 加密機、幀中繼加密機。加密機自身的 算法使用國內(nèi)自研算法，對外不公開。 加密隧道加密機FR PSTN DDN加密機鏈路加密機制 使用鏈路加密機實現(xiàn)信息的 點到點 安全，對 IP 層協(xié)議透明。 如果網(wǎng)絡(luò)結(jié)構(gòu)包含多種鏈路，則必須購買相應(yīng)的鏈路加密設(shè)備保護其上通訊數(shù)據(jù)的安全。 目前，在國內(nèi)互聯(lián)網(wǎng)中使用較多的是網(wǎng)絡(luò)層的加密機制。如果網(wǎng)絡(luò)結(jié)構(gòu)龐大，涉及多種通訊線路， 如果采用多種鏈路加密 設(shè)備 則增加了系統(tǒng)投資費用，同時為系統(tǒng)維護、升級、擴展也帶來了相應(yīng)困難。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備，網(wǎng)絡(luò)加密機是實現(xiàn)端至端的加密，即一個網(wǎng)點只需配備一臺 VPN加密機。根據(jù)具體策略，來保護內(nèi)部敏感信息和 秘密的機密性、 完 整性 及不可抵賴性 。 常用的網(wǎng)絡(luò)機密機制采用的是 IPsec 機制。 加密隧道加密機FR PSTN DDN加密機IP 加密機制 IPsec 是在 TCP/IP 體系中實現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。而 VPN 設(shè)備正是一種符合 IPsec 標(biāo)準(zhǔn)的 IP 協(xié)議加密設(shè)備。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 9 頁 共 34 頁 路建立 IP 安全隧道，能夠保護子網(wǎng)間傳輸信息的機密性、完整性和真實性。經(jīng)過對 VPN 的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機通過加密隧道，讓另一些主機仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。一般來說， VPN 設(shè)備可以一對一和一對多地 運行，并具有對數(shù)據(jù)完整性的保證功能，它安裝在被保護網(wǎng)絡(luò)和路由器之間的位置。設(shè)備配置見下圖。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都支持 IPsec 標(biāo)準(zhǔn) 由于 網(wǎng)絡(luò)層加密 設(shè)備不依賴于底層的具體傳輸 鏈 路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺。對政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)， 網(wǎng)絡(luò)層加密 設(shè)備可以使網(wǎng)絡(luò)在升級提速時具有很好的擴展性。鑒于 網(wǎng)絡(luò)層加密 設(shè)備的突出優(yōu)點，應(yīng)根據(jù)具體需求，在各個網(wǎng)絡(luò)結(jié)點與 內(nèi)部 網(wǎng)絡(luò)相連接的進出口處安裝配備 網(wǎng)絡(luò)層加密 設(shè)備。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 10 頁 共 34 頁 2.1.2 網(wǎng)絡(luò)安全技術(shù) 防火墻系統(tǒng) SiSi SiSiA5100E3500E250 E250IBMNetfinity 40002926 2926 3548 35482926.Network IDS防火墻 防火墻3548 35483548安全審計系統(tǒng)入侵檢測系統(tǒng)管理端日志分析系統(tǒng)SUN ULTRA 10網(wǎng)管主機VPNMODEM POOLPSTNVPN36XXVPNrouterVPNrouter如 前 圖所示，根據(jù)廣電總局內(nèi)網(wǎng)整體安全層次的劃分需求，我們將對廣電總局內(nèi)網(wǎng)劃分 四 個安全等級： 直屬機關(guān)接入用戶級、 普通用戶級、 網(wǎng)絡(luò) 管理級與業(yè)務(wù)系統(tǒng)級。 業(yè)務(wù)系統(tǒng)級 ：安全級別最高，包含廣電總局內(nèi)網(wǎng)辦公自動化系統(tǒng)主機與內(nèi)網(wǎng)DNS 系統(tǒng) ， 這類系統(tǒng)發(fā)生問題將直接導(dǎo)致廣電總局辦公系統(tǒng)的全面癱瘓，因此 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 11 頁 共 34 頁 對這類級別的安全防護需求最高 。 對于這類系統(tǒng)，建議使用兩臺防火墻工作在 FAIL-OVER 模式下，通過在防火墻上設(shè)置嚴(yán)格的策略， 對每個需要訪問業(yè)務(wù)系統(tǒng)的用戶進行嚴(yán)格限制，由于目前防火墻對組播（ MUTLICAST）技術(shù)支持不夠理想，目前廣電總局內(nèi)網(wǎng)的視頻點播系統(tǒng)暫不放在該網(wǎng)段下。 網(wǎng)絡(luò) 管理級 ：安全級別居中，包含廣電總局內(nèi)網(wǎng)網(wǎng)管系統(tǒng)及新增的安全管理系統(tǒng) ，這類系統(tǒng)如果遭受入侵或干擾，將暴露整網(wǎng)結(jié)構(gòu)及相關(guān)信息，間接影響整網(wǎng)的安全狀況 。 網(wǎng)管系統(tǒng)及安全管理系統(tǒng)將收集、配置、管理廣電 總局內(nèi)部網(wǎng)絡(luò)，這些系統(tǒng)擁有對網(wǎng)絡(luò)設(shè)備及主機一定的管理權(quán)限，并存貯整網(wǎng)的相關(guān)信息 ，所以需要對網(wǎng)管系統(tǒng)及安全管理系統(tǒng)進行較高級別的安全防護，由于網(wǎng)管及安全管理系統(tǒng)需要開 放的端口較多，因此我們建議在網(wǎng)絡(luò) 管理級前不部署防火墻系統(tǒng)，依靠主機自身安全增強及強加密認(rèn)證系統(tǒng)提高系統(tǒng)安全防護能力 。 普通用戶級 ： 安全級別較管理級低， 用戶為 總局內(nèi)部員工，由于處于局域網(wǎng)內(nèi)部， 業(yè)務(wù)訪問量較大 ， 有 意或無意造成網(wǎng)絡(luò)安全隱患的概率較高，因此 管理力度 需較 遠(yuǎn)程接入用戶 加 強， 安全 需求級別較直屬機關(guān)接入用戶高。 直屬機關(guān)接入用戶級 ：安全級別相對較低?？尚刨嚩茸畹?。由于這類用戶是使用遠(yuǎn)程接入廣電總局內(nèi)網(wǎng)，且對業(yè)務(wù)的訪問模式較固定，所以對該類用戶的安全 等級 及策略規(guī)劃較其他三 個等 級簡單。 我們建議在廣電總局直屬機 關(guān)與廣電總局內(nèi)網(wǎng)鏈路接入處設(shè)置防火墻，限制直屬機關(guān)接入 對內(nèi)網(wǎng)的訪問策略。并通過 VPN 方式與各直屬機關(guān)建立隧道加密機制 。確保數(shù)據(jù)傳輸?shù)乃矫苄浴?由以上四個安全等級劃分出發(fā)。我們在對網(wǎng)絡(luò)機構(gòu)調(diào)整的基礎(chǔ)上，將利用防火墻技術(shù)對不同安全等級的系統(tǒng)進行安全等級的劃分，不同等級之間的訪問依靠防火墻策略進行嚴(yán)格規(guī)定，確保在防火墻規(guī)范下的網(wǎng)絡(luò)中的流量模型是包含實際業(yè)務(wù)模型的最小集合。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 12 頁 共 34 頁 防火墻上實施如下策略 原則如下 ： 1. 默認(rèn)關(guān)閉防火墻上的所有訪問規(guī)則 2. 允許內(nèi)網(wǎng)訪問 DMZ 口的必要服務(wù) 3. 禁止 DMZ 口到內(nèi)網(wǎng)、外網(wǎng)到內(nèi)網(wǎng) 、外網(wǎng)到 DMZ 的 訪問 4. 允許內(nèi)網(wǎng)、 DMZ 對外網(wǎng)的訪問，也可根據(jù)需要添加必要的限制策略 網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全考慮 入侵檢測技術(shù)是當(dāng)今一種非常重要的動態(tài)安全技術(shù)，與 傳統(tǒng) 的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護水平。 ICSA 入侵檢測系統(tǒng)論壇的定義即：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象 (的一種安全技術(shù) )。入侵檢測技術(shù)是動態(tài)安全技術(shù)的核心技術(shù)之一。 入侵檢測技術(shù)通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程 能做出實時響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)： 1. 異常發(fā)現(xiàn)技術(shù)。 2. 模式發(fā)現(xiàn)技術(shù)。 目前，國際頂尖的入侵檢測系統(tǒng) IDS 主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。 基于以下 因素 的考慮，我們建議在此次工程中部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 1. 網(wǎng)絡(luò)的快速增長和復(fù)雜程度的提高將產(chǎn)生大量的安全隱患 。我們必須及時高效地發(fā)現(xiàn)這些入侵并加以處理，否則可能遭受很大的損失。 2. 廣電總局 自身網(wǎng)絡(luò)系統(tǒng) 的結(jié)構(gòu) 目前雖然并不 復(fù)雜， 但隨著直屬機關(guān)的接入和網(wǎng)絡(luò)規(guī)模的發(fā)展， 為了進一步的提高安全事件的即時響應(yīng)和舉證能力 ，必須具備某 種手段對可能 的有意或無意的攻擊作出檢測、告警并留 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 13 頁 共 34 頁 下證據(jù)。 3. 雖然在 上述的改造方案中已經(jīng)為 廣電總局 部署了防火墻，對 網(wǎng)段起到了一定的保護作用，但是很多攻擊手法是防火墻無法阻擋的，比如對 Web Server 的基于異常 URL 的攻擊，具體體現(xiàn)的例子有 Code Red、 Nimda等等很多。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問題之一。 4. 防火墻雖然可以擋住某些攻擊，但是通常無法留下細(xì)節(jié)的攻擊記錄，這對分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測系統(tǒng)剛好可以解決這一問題。 5. 為了規(guī)范廣電總局內(nèi)網(wǎng)用戶的行為，同時提 供一種對用戶訪問行為的監(jiān)控機制和與相關(guān)管理制度的執(zhí)行對照機制，依靠基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以提供一 定 時期內(nèi)基于用戶或基于協(xié)議的 訪問統(tǒng)計數(shù)據(jù)，用來更好的檢驗相關(guān)管理制度的執(zhí)行情況，為后期網(wǎng)絡(luò)策略的調(diào)整和規(guī)劃提供依據(jù)。 在選擇入侵監(jiān)測系統(tǒng)時需要考慮的因素主要有： 1. 管理模式 2. 協(xié)議分析及檢測能力； 3. 解碼效率 (速度 )； 4. 自身安全的完備性； 5. 精確度及完整度，防欺騙能力； 6. 模式更新速度。 根據(jù) 廣電總局 的具體網(wǎng)絡(luò)狀況 ，我們在 廣電總局內(nèi)網(wǎng) 中 部署 一套 套基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 這套入侵檢測系統(tǒng) 部署在 核心交換機上，（由于性能問題 ，原則上不對視頻點播系統(tǒng)進行檢測） 。 檢測所有 不同級別間的 用戶對 OA 業(yè)務(wù)系統(tǒng)及網(wǎng)管系統(tǒng)的訪問情況。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 14 頁 共 34 頁 網(wǎng)絡(luò) IDS 系統(tǒng)主機都配置兩塊網(wǎng)卡，一塊用于監(jiān)聽網(wǎng)絡(luò)流量，一塊用 于接受管理中心的管理。需要在防火墻和交換機上設(shè)置相應(yīng)規(guī)則以保護 入侵檢測 主機。 此外，在核心 交換機上設(shè)置 Port Mirror 將 需要檢測 的 VLAN 的流量映射到對應(yīng) 的監(jiān)聽網(wǎng)卡所連接的端口。 同時， 在 管理 網(wǎng)段再配置一臺 PC Server，安裝 入侵檢測系統(tǒng)的管理端 ， 如果未來由于擴容等性能問題需要增加網(wǎng)絡(luò)入侵檢測 系統(tǒng) 時， 該管理端 可做 為全部入侵檢測系統(tǒng)的集中控制 臺。 SiSi SiSiNetwork IDSVPN VPN廣電總局 網(wǎng)絡(luò)系統(tǒng)入侵監(jiān)測系統(tǒng)部署拓?fù)鋱D 安全審計系統(tǒng) 網(wǎng)絡(luò)型掃描軟件從網(wǎng)絡(luò)角度發(fā)現(xiàn)主機開放服務(wù)，同時模擬黑客入侵對主機或網(wǎng)絡(luò)設(shè)備進行偵測性刺探，從而發(fā)現(xiàn)主機或網(wǎng)絡(luò)設(shè)備的安全漏洞。一方面網(wǎng)絡(luò)型掃描軟件可以幫助用戶實時檢測網(wǎng)絡(luò)漏洞，另一方面，也是進行全網(wǎng)安全審計的重要工具。 我們推在廣電總局內(nèi)網(wǎng)部署網(wǎng)絡(luò)掃描軟件。該系統(tǒng)部署在管理網(wǎng)段內(nèi)，對內(nèi)網(wǎng)各業(yè)務(wù)系統(tǒng)及用戶主機定期進行掃描審計，并存貯相關(guān)審計信息。 對于網(wǎng)絡(luò)掃描審計產(chǎn)品的選型，考慮如下因素： 體系 結(jié)構(gòu)： Client/Server 結(jié)構(gòu)的掃描審計軟件具有集中管理的優(yōu)勢，利于電信環(huán)境部署及擴展； 攻擊模式庫數(shù)量：應(yīng)對多種攻擊模式均支持； 軟件更新速度快； 中文化和本地化支持； 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 15 頁 共 34 頁 建議掃描審計軟件對全網(wǎng)主機和設(shè)備的安全審計信息均存放在管理網(wǎng)段的數(shù)據(jù)庫中，其中包括主機的操作系統(tǒng)版本、漏洞情況、 patch 情況等安全信息。一方面，網(wǎng)管人員可以通過這個集中安全數(shù)據(jù)庫查詢?nèi)W(wǎng)安全狀況，另一方面，在發(fā)生安全事件或緊急響應(yīng)時提供給我們和客戶迅速了解受害機情況，找到對策，減少損失。同時，掃描審計軟件應(yīng)提供相關(guān)接口，便于用戶輸 入設(shè)備安全信息，也進一步增強該軟件的決策支持能力。 由于目前在安全掃描審計軟件中，都存在一定的安全威脅，掃描軟件中的部分攻擊模式庫存在對網(wǎng)絡(luò)主機和網(wǎng)絡(luò)資源的潛在危險性。因此，對于掃描審計系統(tǒng)，必須在嚴(yán)格的安全代價分析和詳細(xì)的掃描模式庫選擇下進行實施，通常對于重要的業(yè)務(wù)系統(tǒng)，要根據(jù)系統(tǒng)主機的負(fù)載情況制定 不同時間段的 掃描計劃 ，從而獲得全面的系統(tǒng)安全狀況。 因此， 我們建議 在安全審計系統(tǒng)中，應(yīng)采用服務(wù)與產(chǎn)品相結(jié)合的方式，由專業(yè)安全服務(wù)公司制定 專業(yè)的審計流程 和定期的安全審計服務(wù)。 ， 日志分析系統(tǒng) 由于全網(wǎng)存在眾多網(wǎng) 絡(luò)和主機設(shè)備，但缺乏統(tǒng)一的日志管理系統(tǒng)，我們建議在安全管理網(wǎng)段部署一套 日志分析系統(tǒng) 用于網(wǎng)絡(luò)設(shè)備和主機系統(tǒng)的日志管理。 建議采用 三級結(jié)構(gòu) 的日志分析系統(tǒng) ，第一級為需要記錄日志的主機或設(shè)備，該主機配置 syslog 日志指向 日志服務(wù)器；第二級為日志 服務(wù)器，負(fù)責(zé)日志接受，同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計分析；第三級為 日志服務(wù)器 的 console，用于配置日志系統(tǒng)安全策略，接受日志系統(tǒng)報警和監(jiān)視日志系統(tǒng) 分析 統(tǒng)計結(jié)果。 對于日志分析系統(tǒng)的產(chǎn)品選型，考慮如下因素： 集中收集和監(jiān)控系統(tǒng)日志 。 日志收集和分析 Agent 與 Console 運行 在不同平臺 ，兩者 的 分離 使日志分析系統(tǒng)更 具有 層次性結(jié)構(gòu) 的特點 ，便于未來升級和集中管理 。 每秒接受日志的速度 。 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 16 頁 共 34 頁 日志服務(wù)器應(yīng)支持 常 用數(shù)據(jù)庫，可將 日志信息存儲在數(shù)據(jù)庫中 。 持多種 設(shè)備類型及數(shù)量，是否 支持標(biāo)準(zhǔn) syslog 協(xié)議。 是否提供 二次開發(fā)接口。 集中認(rèn)證及一次性口令系統(tǒng) 廣電總局由于主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備繁多，在以往的管理模式下，用戶認(rèn)證和授權(quán)都存在較大的安全隱患，主要表現(xiàn)在主機和網(wǎng)絡(luò)設(shè)備的口令認(rèn)證，以及網(wǎng)絡(luò)設(shè)備的用戶權(quán)限控制上。 為了保證全網(wǎng)管理中用戶身份驗證的可靠性，我們建議在網(wǎng)管中心部署一套集中認(rèn)證及 一次性口令系統(tǒng)，全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備和主要業(yè)務(wù)系統(tǒng)的用戶驗證都集中在該服務(wù)器商，便于對于這些設(shè)備的集中管理。 用戶身份認(rèn)證是一個完善的安全策略方案中必不可少的模塊，特別是在存在著通過遠(yuǎn)程訪問方式訪問系統(tǒng)資源的情況下。對用戶進行身份認(rèn)證可以了解誰試圖訪問特定資源，這對于保護資源是必需的。除了認(rèn)證用戶身份以外，用戶驗證還可以定義了每個用戶能夠訪問的資源，這就為多種資源并存的環(huán)境提供了增強的控制和更好的安全性。目前，常用的驗證方法包括 Challenge and Response，digital certificates， tokens， RADIUS 和 S/Key。 一次性口令密碼保護解決方案是利用雙重密碼： 靜態(tài)及動態(tài)密碼 ， 靜態(tài)密碼 :用戶自己默記的個人口令， 動態(tài)密碼 :由擁有一個令牌，每六十秒變換出一個獨一無二、不能預(yù)測的密碼 。 由于動態(tài)口令每分鐘更改一次，即使靜態(tài)密碼被猜中，而動態(tài)密碼被猜出的機會 趨于 0。這樣在很大程度上避免了由于用戶主觀上的失誤而造成的安全漏洞。 目前，常見的這類 系統(tǒng)的基礎(chǔ)是“ token”標(biāo)記，它是一個數(shù)字編碼，與用戶永久性 ID 號一起生成一個唯一的、不會被發(fā)覺的口令，而且僅能使用一次。 “標(biāo)記”的產(chǎn)生 有兩種方式，它可以由一個硬設(shè)備 像信用卡般大小的電子計算器，每 60 秒鐘生成并顯示一個新的未知的隨機代碼，也可以由基于工作 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 17 頁 共 34 頁 站的軟件公用程序而產(chǎn)生。當(dāng)“標(biāo)記”擁有者登錄到網(wǎng)絡(luò)時，當(dāng)前代碼已被鍵入到該擁有者的 PIN 中，服務(wù)器和標(biāo)志發(fā)生器在時間上是同步的，因此編碼的改變可共享。另外，這種代碼比起常規(guī)口令模式的優(yōu)點在于它不可能被盜用，因為它總是在改變口令。 我們建議選用了一套 1 25 用戶的 一次性動態(tài)口令集中認(rèn)證系統(tǒng) ，負(fù)責(zé)重要設(shè)備和系統(tǒng)的口令認(rèn)證。本次安全項目建議購買 7 個令牌卡，具體部署如下： 認(rèn)證中心 放置在網(wǎng)管中心 ； 2 塊令牌用于關(guān)鍵網(wǎng)絡(luò)設(shè)備的用戶驗證， 1 塊作為備份； 3 塊令牌用于重要 服務(wù)器用戶驗證， 1 塊作為備份； 我們建議 利舊廣電總局目前已有的 Sun E250 服務(wù)器負(fù)責(zé) RSA 系統(tǒng)運行。 2.1.3 防病毒體系 對于 廣電總局 來說數(shù)據(jù) 的安全 是最重要的，而病毒是對數(shù)據(jù)造成嚴(yán)重威脅的主要因素之一。然而保護網(wǎng)絡(luò)免受愈演愈烈的計算機病毒威脅已不是一件簡單的事情。目前已知的計算機病毒超過 20， 000 種，并且每月發(fā)現(xiàn)的新病毒超過 300種，即每天都有 10 余種新病毒出現(xiàn)。很多事實表明，病毒比其他安全威脅造成的經(jīng)濟損失都大的多。從 CIH 到 Code Red， 以 及最近的 Nimda 計算機病毒的相繼發(fā)生，造成信息傳輸量暴增、系統(tǒng)負(fù)荷量過重等問題，凸顯出網(wǎng)絡(luò)安全防病毒機制的迫切需求。 傳統(tǒng)的防病毒策略往往只注重桌面平臺的病毒防范，就像目前 廣電總局 內(nèi)部曾經(jīng)購買的瑞星防病毒 單機版。這樣雖然可以保證桌面平臺避免病毒的威脅，但沒有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播，無法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過載等這類嚴(yán)重威脅網(wǎng)絡(luò)正常服務(wù)的問題。隨著分布式網(wǎng)絡(luò)計算、文檔駐留宏、群件等新技術(shù)的出現(xiàn)以及 網(wǎng)絡(luò) 的廣泛 應(yīng) 用，網(wǎng)絡(luò)早已經(jīng)成為病毒的主要傳播途徑。網(wǎng)絡(luò)的脆弱性成倍增加，保護 計算機網(wǎng)絡(luò)已不再是簡單的在客戶機上安裝桌面病毒掃描程序就可以解決的問題了。面對當(dāng)前的網(wǎng)絡(luò)安全形勢，我們迫切需要一 套 單一、集中、全面的防病毒解決方案。 在防病毒產(chǎn)品的選型上， 我們 認(rèn)為一個成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 18 頁 共 34 頁 應(yīng)具有以下特點： 先進的體系結(jié)構(gòu)設(shè)計 先進的防殺病毒技術(shù) 能夠在線實時查殺病毒 準(zhǔn)確無誤的報警功能 及時、方便地更新病毒定義代碼 快速、有效地處理未知病毒 多平臺的支持 功能強大的控制臺，便于管理與維護 而針對網(wǎng)絡(luò)這個層次而設(shè)計的防病毒產(chǎn)品， 我們 認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進行實時病毒監(jiān)控、支持病毒有效地隔離。 針 對目前世界上主流的病毒產(chǎn)品和國內(nèi)知名的病毒產(chǎn)品，包括 McAfee VirusScan、 Norton AntiVirus、 Kill 系列、 VRV、 TrendMicro InterScan 等產(chǎn)品 ，應(yīng)從 綜合評估，包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源的占用、掃描病毒的方式、處置病毒的方式、日志的管理、病毒庫的及時更新以及各公司的技術(shù)實力和對 廣電總局內(nèi)網(wǎng) 的實用性等方面 考慮 。 建立 全方位、多層次的、整體的網(wǎng)絡(luò)防病毒解決方案。 鑒于廣電總局內(nèi)網(wǎng)對物理隔離的嚴(yán)格要求，我們建議防病毒系統(tǒng)的病毒庫及掃描引擎升級工組有系統(tǒng)管理員通過手工下載并存儲在軟盤上進行手動安裝升級（只需對病毒集中控制端進行手工操作，其他用戶主機將由病毒集中控制中心自動分發(fā)并安裝） 2.2 業(yè)務(wù)系統(tǒng)安全 2.2.1 OA 業(yè)務(wù) 的安全 廣電總局的 OA 業(yè)務(wù)運行在兩臺 SUN E3500 平臺上， OA 業(yè)務(wù)的核心進程主要有 WEB 服務(wù)與數(shù)據(jù)庫服務(wù)。 目前，所有用戶通過瀏覽器訪問 OA 業(yè)務(wù)主機，輸入個人用戶名及密碼后登 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 19 頁 共 34 頁 錄該系統(tǒng)處理日常 OA 業(yè)務(wù)，服務(wù)器采用標(biāo)準(zhǔn) 80 端口提供服務(wù)，所以用戶帳號及密碼都是以明碼方式 在網(wǎng)絡(luò)上傳播 ，任何人竊聽或截獲用戶密碼及帳號，都可以偽裝成該用戶進行相關(guān)破壞活動 。 針對廣電總局的 OA 業(yè)務(wù)系統(tǒng)，應(yīng)通過相應(yīng)的安全增強手段加強 OA 業(yè)務(wù)的安全性，具體參考如下： 1. 采用 SSL 加密訪問機制提供 OA 業(yè)務(wù)服務(wù)。確保用戶在進入自己 OA 系統(tǒng)時的帳號、密碼以及隨后的通訊數(shù)據(jù)的安全性。 2. 采用 CA 認(rèn)證機制，建立維護廣電總局 OA 用戶的證書管理中心。 采用 SSL 及 CA 認(rèn)證 系統(tǒng)需要滿足以下安全需求： 1. 身份認(rèn)證 每個使用者必須擁有唯一的可靠的身份認(rèn)證標(biāo)識，安全系統(tǒng)能夠?qū)γ總€訪問者的身份進行有效識別，使用者也要對安全系統(tǒng)進 行認(rèn)證，也就是使用者 系統(tǒng)之間的雙向身份認(rèn)證。 2. 訪問控制 對不同的信息資源和用戶設(shè)定不同的權(quán)限，系統(tǒng)根據(jù)每個訪問者的身份確定他的訪問權(quán)限，保證只允許授權(quán)的用戶訪問授權(quán)的資源。對于 OA 資源中的目錄和文件進行細(xì)粒度的權(quán)限劃分，確保每個使用者只能訪問授權(quán)的 OA 資源。 3. 數(shù)據(jù)保密 信息的傳輸過程加密，保證通信內(nèi)容不被他人捕獲，不會泄露敏感信息。 4. 數(shù)據(jù)完整性 對關(guān)鍵的數(shù)據(jù)信息，防止信息被非法入侵者篡改。 5. 防止否認(rèn) 防止信息發(fā)出者對自己發(fā)出的信息進行抵賴，提供數(shù)字化的操作信息憑證。 身份認(rèn)證 身份認(rèn)證采用基于證書的公鑰 密碼體制來實現(xiàn)。 公鑰密碼算法 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 20 頁 共 34 頁 公鑰密碼算法使用兩個不同的密鑰，即解密密鑰 Kd（私有密鑰）和加密密鑰 Ke（公開密鑰），信息加密時使用 Ke，密文解密時使用 Kd。 Kd 和 Ke 是緊密相關(guān)，一一對應(yīng)的。一般統(tǒng)稱私鑰 Kd 和公鑰 Ke 為“公私密鑰對”。公私密鑰對由特殊的密碼學(xué)算法產(chǎn)生，密碼學(xué)的理論可以保證，在人類現(xiàn)有的計算水平下，由公鑰 Ke 推算出私鑰 Kd 是幾乎不可能的。使用者在使用時，將自己的私鑰 Kd保存起來，而將自己的公鑰 Ke 對外公開。 證書（ Certificate）和證書中心 CA（ Certificate Authority） 要實現(xiàn)基于公鑰密碼算法的身份認(rèn)證求，就必須建立一種信任及信任驗證機制，即每個網(wǎng)絡(luò)上的實體必須有一個可以被驗證的數(shù)字標(biāo)識，這就是“數(shù)字證書（ Certificate）”。數(shù)字證書是各實體在網(wǎng)上信息交流及商務(wù)交易活動中的身份證明，具有唯一性。 證書基于公鑰密碼體制，它將用戶的公開密鑰（ Ke）同用戶本身的屬性（例如姓名，單位等）聯(lián)系在一起。這就意味著應(yīng)有一個網(wǎng)上各方都信任的機構(gòu)，專門負(fù)責(zé)對各個實體的身份進行審核，并簽發(fā)和管理數(shù)字證書，這個機構(gòu)就是證書中心 CA。 CA 用自己的私鑰對所有的用戶屬性、證書屬性和用戶 的公鑰進行數(shù)字簽名，產(chǎn)生用戶的數(shù)字證書。 在基于證書的安全通信中，證書是證明用戶合法身份和提供用戶合法公鑰的憑證，是建立保密通信的基礎(chǔ)。因此，作為網(wǎng)絡(luò)可信機構(gòu)的證書管理設(shè)施， CA的主要職能就是管理和維護它所簽發(fā)的證書，提供各種證書服務(wù)，包括：證書的簽發(fā)、更新、回收、歸檔等等。 目前，國際電力聯(lián)盟 ITU 發(fā)布了數(shù)字證書的國際標(biāo)準(zhǔn) X.509V3，下圖是X.509V3 證書格式的示意圖： 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 21 頁 共 34 頁 認(rèn)證協(xié)議 安全套接層協(xié)議 SSL（ Secure Socket Layer） 安全套接層 SSL 協(xié)議目前 Internet 上使用最廣泛的安全協(xié)議，兩大主流瀏覽器 Netscape Navigator 和 Microsoft IE以及絕大多數(shù)的 Web服務(wù)器均支持標(biāo)準(zhǔn)的 SSL3.0 協(xié)議。該協(xié)議向 TCP/IP 的客戶 /服務(wù)器模式提供了客戶端和服務(wù)器的身份認(rèn)證、會話密鑰交換和信息鏈路加密等安全功能，已成為事實上的工業(yè)標(biāo)準(zhǔn)。 SSL 認(rèn)證協(xié)議有以下特點： 對等方實體可以使用非對稱密碼算法（例如 RSA， DSS 等）進行認(rèn)證。 可以實現(xiàn)雙向的身份認(rèn)證。 共享秘密的協(xié)商是保密的。即使攻擊者能夠發(fā)起中間 人攻擊，協(xié)商的秘密也不可能被竊聽者獲得。 協(xié)商是高度安全可靠的。攻擊者不能在不被發(fā)現(xiàn)的情況下篡改協(xié)商通信數(shù)據(jù)。 訪問控制 訪問控制采用集中式的權(quán)限控制中心，驗證該使用者是否有權(quán)限訪問特定的資源（文件）。并根據(jù)權(quán)限中心來完成。安全管理員在權(quán)限控制中心為每個使用 北京瑪賽網(wǎng)絡(luò)系統(tǒng)有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 8808-7212 傳真 : (8610) 8808-7300 Email: URL: 第 22 頁 共 34 頁 者設(shè)定權(quán)限。在使用者登錄 OA 服務(wù)器的時候， OA 服務(wù)器的安全系統(tǒng)會訪問權(quán)限控制中心，驗證該使用者是否有權(quán)限訪問特定的資源（文件）。并根據(jù)權(quán)限進行允許或拒絕。 權(quán)限控制中心采用 LDAP（輕量級目錄訪問協(xié)議）目錄服務(wù)器來存儲使用者的權(quán)限。 信息保密 在身份認(rèn)證 通過之后，使用者和安全系統(tǒng)之間使用 SSL 協(xié)議建立安全加密連接。 SSL 協(xié)議中，生成會話密鑰的步驟如下： 交換 hello 消息以協(xié)商密碼算法，交換隨機值。 交換必要的密碼學(xué)參數(shù)，使客戶和服務(wù)器能夠協(xié)商 premaster secret。 交換證書和密碼學(xué)信息，使客戶和服務(wù)器能夠進行相互認(rèn)證。 使用交換的隨機值和 premaster secret 生成主秘密 master secret。 通信雙方將根據(jù)主秘密 master secret 計算出此次通信的會話密鑰，進行安全通信。 數(shù)據(jù)完整性與不可否認(rèn)性 數(shù)據(jù)的完整性與不可否認(rèn)性 通過基于公鑰密碼算法的數(shù)字簽名來實現(xiàn)。 數(shù)字文摘算法（ HASH） 數(shù)字文摘算法可以將任意長度的數(shù)據(jù)信息制作成一個固定長度的“文摘”，這個文摘保存了原來信息的一些特征，但是又不可能從這個數(shù)字文摘恢復(fù)出原來的信息內(nèi)容，就象圖書館的書刊索引一樣。數(shù)字文摘算法主要用于保證信息的完整性。常用的數(shù)字文摘算法主要有 MD5、 SHA-1 等。 數(shù)字簽名（ Digital Signature） 數(shù)字化的重要信息（例如電子商務(wù)交易信息）是以數(shù)字形式出現(xiàn)的，不能用手工的紙筆方式簽字蓋章，所以必須有一種方式來保證這些“重要的數(shù)字流”在傳 輸中不被篡改、偽造，并且使信息發(fā)出者不能否認(rèn)自己曾有過的行為。這種方 北京