XX通信公司網(wǎng)絡(luò)安全系統(tǒng)方案

1、密 級(jí)：秘 密文檔編號(hào):工程代號(hào):XXX通 信網(wǎng)絡(luò)網(wǎng)管平安系統(tǒng)整體方案建議書Verl.O2021年5月1 XXX通信省網(wǎng)管中央平安需求分析 11.1 XXX通信省網(wǎng)管中央及重要節(jié)點(diǎn)網(wǎng)絡(luò)現(xiàn)狀 11.2 XXX通信省網(wǎng)管中央及重要節(jié)點(diǎn)現(xiàn)有平安舉措 21.3 XXX通信公司威脅來源分析21.4 XXX通信省網(wǎng)管中央及重要節(jié)點(diǎn)網(wǎng)絡(luò)平安需求分析 32 XXX通信平安方案設(shè)計(jì)5.2.1 設(shè)計(jì)理念及方法 覆蓋整個(gè)生命周期的完整體系一 ADDME52.1.2 100%的風(fēng)險(xiǎn)治理體系 平安設(shè)計(jì)理念 7.2.2 設(shè)計(jì)原那么7.2.3 XXX通信網(wǎng)絡(luò)平安架構(gòu)模型82.4 平安漏洞掃描

2、系統(tǒng) 網(wǎng)絡(luò)平安評(píng)估 部署建議1.02.4.3 主機(jī)系統(tǒng)平安評(píng)估 1.02.4.4 部署建議112.4.5 數(shù)據(jù)庫(kù)平安評(píng)估 112.4.6 部署建議 漏洞掃描系統(tǒng)部署示意圖1.32.5 入侵檢測(cè)系統(tǒng)一一IDS152.5.1 百兆NIDS網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署建議172.5.2 入侵檢測(cè)系統(tǒng)部署圖1.72.6 方案總結(jié)182.7 平安方案產(chǎn)品配置一覽 20ii1 XXX通信省網(wǎng)管中央平安需求分析本需求分析建立在?XXX通信省網(wǎng)管中央絡(luò)平安設(shè)備配置與投資規(guī)模? 所 提供的XXX通信平安需求資料和XX公司前期調(diào)研的根底上,旨在給出構(gòu)建后 文所述平安體系的充

3、分理由.1.1 XXX通信省網(wǎng)管中央及重要節(jié)點(diǎn)網(wǎng)絡(luò)現(xiàn)狀隨著XXX通信數(shù)據(jù)業(yè)務(wù)的開展,用戶數(shù)量迅速增長(zhǎng),為了適應(yīng)市場(chǎng)的競(jìng)爭(zhēng)、 提升整個(gè)XXX通信運(yùn)營(yíng)和治理效率,XXX通信在今年方案實(shí)施網(wǎng)絡(luò)平安工程以 保證省網(wǎng)管中央重要網(wǎng)段和效勞器以及各個(gè)寬帶城域網(wǎng)結(jié)點(diǎn)Radius系統(tǒng)的安全.網(wǎng)絡(luò)現(xiàn)狀如下列圖所示:黑龍江省網(wǎng)管中央局域網(wǎng)結(jié)構(gòu)圖VLAN2GECatalys8540Catalys6506VLAN3PSTNLiVLAN1AISB probe AIWebStaterverRC20NMS HP C3000ISS SUN SPp VE5護(hù)工作站:Backup Ser' :SUN U1H后臺(tái)維哈爾濱節(jié)點(diǎn)

4、統(tǒng)計(jì)/查詢效勞器SUN E3000VLAN4LDAP ServerPPPsewerEMSserver Mail Server SUN E2SUN E3000.、.SPARC20 .SUN E3000 .AISerBaseSUN E450PIXICatalyst2800TlRAID(DB )Billing server 1 Enterprise 4000AINettrend SUN E3000FreeMailSUN E3000E3000ACESwitchHA'' Billing server 2 Enterprise 400019圖1.1 XXX通信省網(wǎng)管中央網(wǎng)絡(luò)拓?fù)涫疽鈭DCis

5、co7513Cisco7513省網(wǎng)65096509寬帶城域網(wǎng)圖1.2 XXX通信牡丹江等節(jié)點(diǎn)網(wǎng)絡(luò)拓?fù)涫疽鈭D1.2 XXX通信省網(wǎng)管中央及重要節(jié)點(diǎn)現(xiàn)有平安舉措XXX通信公司網(wǎng)絡(luò)中現(xiàn)有網(wǎng)絡(luò)掃描器(In ternet Sea nner) 100個(gè)lice nee, 對(duì)分布在網(wǎng)絡(luò)中的重要效勞器、網(wǎng)絡(luò)設(shè)備等實(shí)施網(wǎng)絡(luò)層面的漏洞掃描.另外,網(wǎng)絡(luò)中現(xiàn)有2臺(tái)NetScreen防火墻,1臺(tái)為城域網(wǎng)工程備件中的NS10 , 1臺(tái)為國(guó)家163骨干網(wǎng)工程中一臺(tái)閑置的 NS100.但均未具體部署.采用雙機(jī)熱備舉措保護(hù)計(jì)費(fèi)和認(rèn)證等重要效勞器.1.3 XXX通信公司威脅來源分析XXX通信省網(wǎng)管中央及各個(gè)寬帶城域網(wǎng)節(jié)點(diǎn)現(xiàn)階段面

6、臨的主要風(fēng)險(xiǎn)如下：1. 網(wǎng)絡(luò)與系統(tǒng)漏洞存在風(fēng)險(xiǎn)：由于TCP/IP網(wǎng)絡(luò)協(xié)議與操作系統(tǒng)和應(yīng)用軟件 自身的缺陷,漏洞必然存在于網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)中,漏洞是黑客進(jìn)行攻擊的首選目標(biāo) 和有利條件,隨著業(yè)務(wù)系統(tǒng)功能和復(fù)雜性的增加,必須對(duì)各個(gè)層面的漏洞實(shí)施有 效的治理和封堵.2. 外部黑客風(fēng)險(xiǎn)：由于認(rèn)證、計(jì)費(fèi)、DNS等系統(tǒng)需要連接In ternet、其他內(nèi)部網(wǎng)絡(luò)和合作伙伴網(wǎng)絡(luò)等多個(gè)接口,因此必然存在不同級(jí)別的外部黑客入侵的 風(fēng)險(xiǎn),必須全面考慮各個(gè)系統(tǒng)接口,制定治理標(biāo)準(zhǔn),高效地配置平安限制和檢測(cè) 產(chǎn)品,降低外部黑客攻擊風(fēng)險(xiǎn).3. 拒絕效勞攻擊風(fēng)險(xiǎn)：這種方式的攻擊,使得應(yīng)用效勞器在很短的時(shí)間內(nèi) 創(chuàng)立大量的到客戶端的So

7、cket連接,直到耗盡系統(tǒng)資源,此時(shí)系統(tǒng)性能嚴(yán)重下 降,正常業(yè)務(wù)無法維持,應(yīng)用系統(tǒng)陷入癱瘓狀態(tài).4. 內(nèi)部黑客和系統(tǒng)誤用風(fēng)險(xiǎn)：根據(jù)美國(guó) FBI/CSI的統(tǒng)計(jì),企業(yè)由于其內(nèi)部成心的濫用/欺詐和非成心的誤用產(chǎn)生的損失占其全部平安損失的93%,盡管這局部攻擊僅占據(jù)36%的平安事故.要降低內(nèi)部黑客攻擊和系統(tǒng)誤用的風(fēng)險(xiǎn)首先 需要對(duì)內(nèi)部系統(tǒng)進(jìn)行平安掃描和增強(qiáng),然后增強(qiáng)監(jiān)控和審計(jì)舉措.5. 病毒威脅風(fēng)險(xiǎn)：計(jì)算機(jī)病毒寄生于操作系統(tǒng)或一般的可執(zhí)行程序上,傳播 及發(fā)作的方式多種多樣,影響范圍廣,動(dòng)輒修改、刪除文件甚至刪除整個(gè)文件系 統(tǒng),導(dǎo)致業(yè)務(wù)系統(tǒng)程序運(yùn)行錯(cuò)誤,死機(jī)甚至整個(gè)系統(tǒng)數(shù)據(jù)的喪失,目前病毒已成 為計(jì)算機(jī)信

8、息系統(tǒng)的重要威脅之一.1.4 XXX通信省網(wǎng)管中央及重要節(jié)點(diǎn)網(wǎng)絡(luò)平安需求分析根據(jù)XXX通信省網(wǎng)管中央及牡丹江等寬帶城域網(wǎng)重要節(jié)點(diǎn)網(wǎng)絡(luò)結(jié)構(gòu)及業(yè)務(wù) 特點(diǎn),可以把網(wǎng)絡(luò)平安問題具體定位在以下三個(gè)層次上：層次一：通訊和效勞該層次的平安問題主要表達(dá)在網(wǎng)絡(luò)協(xié)議本身存在的一些漏洞.如Ping炸彈可使一臺(tái)主機(jī)宕機(jī)、無需口令通過 Rlogin以root身份登錄到一臺(tái)主機(jī)等,都是 利用了 TCP/IP協(xié)議本身的漏洞.層次二：操作系統(tǒng)操作系蜒層-MV®-o&z-隔為趣HT-DOS琵二層第i層第三層 應(yīng)用程序?qū)?呱“齡曲-IzdbS&f EfeEDw&la Ofia血血皿乩恤血這一層次

9、的平安問題來自內(nèi)部網(wǎng)采用的各種操作系統(tǒng),如運(yùn)行各種UNIX的操作系統(tǒng).包括操作系統(tǒng)本身的配置不平安和可能駐留在操作系統(tǒng)內(nèi)部的黑客程 序木馬等帶來的威脅.層次三：應(yīng)用程序該層次的平安主要考慮重要業(yè)務(wù)系統(tǒng)應(yīng)用效勞的保護(hù),如DNS等.在上述三個(gè)層面上,結(jié)合對(duì) XXX通信省網(wǎng)管中央可能受到的平安威脅分析 中的需求說明,得出此次 XXX通信省網(wǎng)管中央網(wǎng)絡(luò)平安工程需求主要表達(dá)在以 下四個(gè)方面：1 在省網(wǎng)管中央的兩個(gè)重要網(wǎng)段認(rèn)證、網(wǎng)管及 7個(gè)寬帶城域網(wǎng)節(jié)點(diǎn) Radius效勞器所在網(wǎng)段提供平安的、基于策略的網(wǎng)絡(luò)層訪問限制舉措,部署防 火墻系統(tǒng)；2 . 在省網(wǎng)管中央兩個(gè)重要網(wǎng)段認(rèn)證、網(wǎng)管擴(kuò)充基于網(wǎng)絡(luò)的實(shí)時(shí)入侵

10、檢測(cè)系統(tǒng),對(duì)黑客攻擊實(shí)施7x24小時(shí)的實(shí)時(shí)檢測(cè)、審計(jì)、響應(yīng)和阻斷；3. 增加對(duì)重要主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的漏洞治理舉措；4. 對(duì)省IDC中央的托管效勞器,在內(nèi)容層面上提供基于策略的、 可調(diào)度 的病毒防范水平.2 XXX通信平安方案設(shè)計(jì)2.1設(shè)計(jì)理念及方法2.1.1覆蓋整個(gè)生命周期的完整體系一ADDME為了降低風(fēng)險(xiǎn)和減少本錢,根據(jù)信息平安的生命周期特征,iss公司提出了 一種按階段實(shí)施的可操作的模型 ADDME.將信息平安的生命周期描述為下面各 個(gè)階段：圖3.1.1、ADDME立體示意圖Policy/Standards/Guidelines Phase策略/標(biāo)準(zhǔn)/指南制訂階段：制訂系統(tǒng)的

11、 平安目標(biāo)；Assess Phase評(píng)估分析階段：實(shí)現(xiàn)需求分析、風(fēng)險(xiǎn)分析、平安功能分析和 評(píng)估準(zhǔn)那么設(shè)計(jì)等,明確表述現(xiàn)時(shí)狀態(tài)和目標(biāo)之間的差距；Design Phase方案設(shè)計(jì)階段：形成信息平安解決方案,為到達(dá)目標(biāo)給出有 效的方法和步驟；Deploy Phase工程實(shí)施階段：根據(jù)方案設(shè)計(jì)的框架,建設(shè)、調(diào)試并將整個(gè)系統(tǒng)投入使用Man age&Support Phase治理和支持階段：在治理階段包括兩種情況一正 常狀態(tài)下的維護(hù)和治理(Management Status),以及異常狀態(tài)下的應(yīng)急響應(yīng)和 異常處理(Emergency Response Status ).Educate Phase平

12、安教育：是貫穿整個(gè)平安生命周期的工作, 需要對(duì)企業(yè)的 決策層、技術(shù)治理層、分析設(shè)計(jì)人員、工作執(zhí)行人員等所有相關(guān)人員進(jìn)行教育.ADDME模型將成為實(shí)現(xiàn)XXX通信公司網(wǎng)絡(luò)平安系統(tǒng)工程的實(shí)施過程指南.2.1.2100%的風(fēng)險(xiǎn)治理體系信息平安工作歸根結(jié)底就是一個(gè)信息平安風(fēng)險(xiǎn)治理工作.風(fēng)險(xiǎn)治理主要由下 面一些步驟組成：第一階段一風(fēng)險(xiǎn)評(píng)估治理資產(chǎn)分類和評(píng)估漏洞和脆弱性識(shí)別威脅識(shí)別影響評(píng)估業(yè)務(wù)風(fēng)險(xiǎn)風(fēng)險(xiǎn)量化和評(píng)級(jí)第二階段一風(fēng)險(xiǎn)限制治理評(píng)估現(xiàn)有平安限制評(píng)價(jià)新的限制方法制訂策略和流程實(shí)施和降低風(fēng)險(xiǎn)風(fēng)險(xiǎn)承受和轉(zhuǎn)嫁(給保險(xiǎn)公司)通過上述風(fēng)險(xiǎn)治理過程,將 XXX通信省網(wǎng)管中央可能面臨的所有平安風(fēng)險(xiǎn) 全部進(jìn)行評(píng)估和限制,

13、并采取有效舉措予以防范.對(duì)于經(jīng)過限制后還具有的剩余 風(fēng)險(xiǎn),通過最后的承受和轉(zhuǎn)嫁給予解決.這樣XXX通信省網(wǎng)管中央100%的信息平安風(fēng)險(xiǎn)都有了解決方法和對(duì)策.在BS7799中對(duì)可能遇到的信息平安風(fēng)險(xiǎn),從治理的角度分為了 10大類127 個(gè)風(fēng)險(xiǎn)點(diǎn).ISS公司可以在此標(biāo)準(zhǔn)的根底之上,以效勞形式為 XXX通信公司省 網(wǎng)管中央進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)治理, 協(xié)助構(gòu)建100%的信息平安風(fēng)險(xiǎn)治理 體系.注：100%的信息平安風(fēng)險(xiǎn)治理體系,并不是能夠保證100%的平安,而是指100%的風(fēng)險(xiǎn)都實(shí)施了有效的治理.2.1.3平安設(shè)計(jì)理念平安問題并不是一個(gè)簡(jiǎn)單的技術(shù)問題,而是一個(gè)多方面、多角度的、復(fù)雜的策略、治理和技

14、術(shù)的融合問題.一個(gè)單項(xiàng)的技術(shù)并不能夠解決所有的平安問題, 而反過來,如果過分依賴于技術(shù)來解決平安問題,由于配置錯(cuò)誤、治理疏忽、口 令喪失等問題,將更容易導(dǎo)致整個(gè)平安系統(tǒng)的失效.所以,我們?cè)跒閄XX通信省網(wǎng)管中央設(shè)計(jì)平安體系的時(shí)候,必須有一套合理有效的平安理念的選擇和設(shè) 計(jì).ADDME平安模型為整個(gè)平安系統(tǒng)的建設(shè),提供了工程實(shí)施的具體階段的定 義和周期劃分,同時(shí)也為平安工程的建設(shè)提供了指導(dǎo),當(dāng)然也為XXX通信網(wǎng)絡(luò)平安工程的建設(shè)提供了依據(jù)；而100%風(fēng)險(xiǎn)治理模型依據(jù)的理論來源是先進(jìn)流行 的平安治理標(biāo)準(zhǔn)ISO17799/BS7799,它為風(fēng)險(xiǎn)評(píng)估、策略定制、治理限制選擇、 業(yè)務(wù)可持續(xù)開展等,平安治理

15、體系的建立提供了理論依據(jù)和指導(dǎo),依據(jù)它,可以為企業(yè)構(gòu)建一個(gè)良好的平安治理體系,提供一個(gè)良好的途徑和理論根底.而在這一點(diǎn)上,建議根據(jù) ADDME生命周期模型來實(shí)施整個(gè)XXX通信省網(wǎng) 管中央網(wǎng)絡(luò)平安工程建設(shè),根據(jù) 100%風(fēng)險(xiǎn)治理理念來構(gòu)建整個(gè) XXX通信省網(wǎng) 管中央的平安治理體系,將能夠保證 XXX通信省網(wǎng)管中央實(shí)現(xiàn)的真正的平安目 標(biāo),為XXX通信省網(wǎng)管中央用戶提供合理、恰當(dāng)?shù)?、可持續(xù)的平安體系.2.2設(shè)計(jì)原那么針對(duì)XXX通信省網(wǎng)管中央及寬帶城域網(wǎng)節(jié)點(diǎn)網(wǎng)絡(luò)特點(diǎn),本方案將嚴(yán)格遵循 如下原那么進(jìn)行規(guī)劃和設(shè)計(jì).體系化原那么分析XXX通信省網(wǎng)管中央及寬帶城域網(wǎng)節(jié)點(diǎn)的層次關(guān)系,遵循先進(jìn)的平安 理念,提出科

16、學(xué)的平安體系和平安框架,并根據(jù)平安體系分析存在的各種平安風(fēng) 險(xiǎn),從而最大限度地解決可能存在的平安問題.標(biāo)準(zhǔn)性原那么方案設(shè)計(jì)以及具體產(chǎn)品的選擇實(shí)施依據(jù)國(guó)內(nèi)或國(guó)際的相關(guān)標(biāo)準(zhǔn)進(jìn)行,這些規(guī)范包括：ISO 17799 / BS7799ISO 13335ISO 15408 / GB18336系統(tǒng)性、綜合性設(shè)計(jì)原那么從全系統(tǒng)出發(fā),綜合考慮各種平安風(fēng)險(xiǎn),采取相應(yīng)的平安舉措,并根據(jù)風(fēng)險(xiǎn) 的大小,采取不同強(qiáng)度的平安舉措,提供具有最優(yōu)的性能價(jià)格比的平安解決方案.可控性原那么采取的技術(shù)手段需要到達(dá)平安可控的目的, 技術(shù)解決方案涉及的工程實(shí)施應(yīng) 具有可控性；最小影響原那么根底平安建設(shè)方案將本著對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)影響最小化考

17、慮,盡量不影響現(xiàn)有業(yè)務(wù)的正常使用；動(dòng)態(tài)和靜態(tài)原那么根底平安建設(shè)方案將從動(dòng)態(tài)和靜態(tài)兩個(gè)方面考慮,充分考慮平安的動(dòng)態(tài)性等 特點(diǎn).投資保護(hù)原那么在方案設(shè)計(jì)過程中,將充分利用 XXX通信省網(wǎng)管中央及寬帶城域網(wǎng)節(jié)點(diǎn)已 經(jīng)存在的設(shè)備,保護(hù)已有投資.2.3 XXX通信網(wǎng)絡(luò)平安架構(gòu)模型XXX通信省網(wǎng)管中央及寬帶城域網(wǎng)節(jié)點(diǎn)的網(wǎng)絡(luò)平安系統(tǒng)將參照如下平安架構(gòu)進(jìn)行設(shè)計(jì)和建設(shè):整體平安 技術(shù)因素內(nèi)容平安平安治理應(yīng)用平臺(tái)的平安性操作系統(tǒng)平臺(tái)的平安性網(wǎng)絡(luò)平安物理平安平安評(píng)估平安策略網(wǎng)絡(luò)根底結(jié)構(gòu)圖2.1整體平安架構(gòu)示意圖物理平安將不在本方案中加以討論2.4平安漏洞掃描系統(tǒng)無論是做好一個(gè)平安工程的建設(shè),還是在網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)作

18、過程中, 清楚 的了解自身平安狀況,目前面臨的平安威脅,存在的平安隱患,以及定期的了解 存在那些漏洞,新出現(xiàn)的平安問題等,都要求信息系統(tǒng)自身和用戶作好平安評(píng)估. ISS公司可為XXX通信提供詳細(xì)、全面的平安漏洞掃描解決方案：2.4.1 網(wǎng)絡(luò)平安評(píng)估In ternet Sca nner可以掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持 TCP/IP協(xié)議的設(shè)備,掃描 的對(duì)象包括NT/2000工作站/效勞器、各種UNIX工作站/效勞器、防火墻、路由 器/交換機(jī)等等,通過模擬黑客攻擊手法,掃描目標(biāo)對(duì)象存在的平安漏洞,與黑 客攻擊不同的是不做任何破壞活動(dòng).目前In ternet Scanner掃描的漏洞類型高達(dá)1067多種,

19、是業(yè)界支持漏洞類型最多的網(wǎng)絡(luò)掃描器產(chǎn)品.在進(jìn)行掃描時(shí),可以從不同的網(wǎng)絡(luò)位置對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描,例如在防火墻的內(nèi)側(cè)和外側(cè)的掃描效果 不同,內(nèi)側(cè)掃描的結(jié)果真實(shí)、準(zhǔn)確,外側(cè)掃描可以用來檢測(cè)防火墻或網(wǎng)絡(luò)的耐攻 擊程度.另外也可以根據(jù)不同的掃描對(duì)象選擇或定制不同的策略,如針對(duì)防火墻、UNIX效勞器、NT效勞器、InternetWWW、DNS、MAIL效勞器、路由器交換 機(jī)等等,掃描結(jié)束后生成詳細(xì)的平安評(píng)估報(bào)告.2.4.2 部署建議利用ISS公司的網(wǎng)絡(luò)平安評(píng)估產(chǎn)品In ternet Sca nne定期掃描XXX!信省網(wǎng)管 中央網(wǎng)絡(luò)及7個(gè)核心節(jié)點(diǎn)中的路由器、效勞器、工作站及防火墻等網(wǎng)絡(luò)設(shè)備,對(duì) 網(wǎng)絡(luò)設(shè)備進(jìn)行

20、定期、不定期的掃描,進(jìn)行平安漏洞檢測(cè),找出平安隱患,并且在 執(zhí)行過程中實(shí)現(xiàn)基于策略的平安風(fēng)險(xiǎn)治理.原有的100個(gè)In ternet Scanner IP Lice nse可以充分使用,再購(gòu)置 1年的升級(jí) 和技術(shù)支持效勞；另外,由于新增了很多網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備,所以新增100個(gè)License以實(shí)現(xiàn)對(duì)全網(wǎng)所有重點(diǎn)設(shè)備和效勞器的平安評(píng)估.2.4.3 主機(jī)系統(tǒng)平安評(píng)估System Sca nne在系統(tǒng)層上通過依附于主機(jī)上的掃描器代理偵測(cè)主機(jī)內(nèi)部的 漏洞.在重要的效勞器上安裝System Scanne的代理軟件代理軟件支持NT/2000 和各種UNIX操作系統(tǒng),在一臺(tái)NT工作站上安裝System Sca

21、nner限制臺(tái).系 統(tǒng)掃描比擬一個(gè)組織規(guī)定的平安策略和實(shí)際的主機(jī)配置來發(fā)現(xiàn)潛在的平安風(fēng)險(xiǎn), 包括缺少的平安補(bǔ)丁、詞典中可猜中的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng) 登錄權(quán)限、操作系統(tǒng)內(nèi)部是否有黑客程序駐留、不平安的效勞配置等等.掃描結(jié) 果可生成各級(jí)漏洞報(bào)告,可根據(jù)報(bào)告中詳述的內(nèi)容修改操作系統(tǒng)中不平安的配置掃描器代理的平安策略可以通過系統(tǒng)掃描器限制臺(tái)進(jìn)行集中治理和配置.系統(tǒng)掃描帶來了更強(qiáng)有力的針對(duì)基于主機(jī)的漏洞評(píng)估技術(shù),它把快速的分析與可靠 的建議結(jié)合起來,從而保護(hù)效勞器上的應(yīng)用程序、數(shù)據(jù)免受盜用、破壞或誤操作. 同時(shí)可以制定一個(gè)系統(tǒng)基線,制定方案和規(guī)那么,讓系統(tǒng)掃描器在沒有任何監(jiān)管的 情況下自

22、動(dòng)運(yùn)行,一旦發(fā)現(xiàn)漏洞立即報(bào)警.系統(tǒng)掃描器所實(shí)行的所有規(guī)那么定義在 每個(gè)代理的知識(shí)庫(kù)里,它允許用戶自己定義一個(gè)適合相應(yīng)平臺(tái)的規(guī)那么,同時(shí)還允 許進(jìn)行特殊定義,當(dāng)網(wǎng)絡(luò)不通時(shí)代理也可以進(jìn)行工作.2.4.4 部署建議在本工程中,建議可以考慮使用 System Seanner對(duì)XXX通信省網(wǎng)管中央的 重要效勞器的操作系統(tǒng)定期進(jìn)行平安漏洞掃描和風(fēng)險(xiǎn)評(píng)估, 包括漫游認(rèn)證、統(tǒng)計(jì) 查詢、Billing server 等.共配置 5 個(gè) License.同時(shí)System Scanner也可以采用風(fēng)險(xiǎn)評(píng)估效勞的形式實(shí)施.2.4.5 數(shù)據(jù)庫(kù)平安評(píng)估ISS Database Sea nner是世界上第一個(gè)針對(duì)數(shù)據(jù)庫(kù)治理

23、系統(tǒng)的風(fēng)險(xiǎn)評(píng)估檢測(cè) 工具,可以利用它建立數(shù)據(jù)庫(kù)的平安規(guī)那么,通過運(yùn)用審核程序來提供有關(guān)平安風(fēng) 險(xiǎn)和位置的簡(jiǎn)明報(bào)告.利用 Database Sea nne定期地通過網(wǎng)絡(luò)快速、方便地掃描 數(shù)據(jù)庫(kù),去檢查數(shù)據(jù)庫(kù)特有的平安漏洞,全面評(píng)估數(shù)據(jù)庫(kù)存在的認(rèn)證、授權(quán)、完 整性方面的問題.Database Scanne目前支持的數(shù)據(jù)庫(kù)類型有： MS SQL Server、 Oracle和Sybase不同的數(shù)據(jù)庫(kù)類型有相應(yīng)的數(shù)據(jù)庫(kù)掃描器產(chǎn)品.對(duì)數(shù)據(jù)庫(kù)的掃描同樣生成詳細(xì)的平安評(píng)估報(bào)告.所有掃描器可以根據(jù)掃描的結(jié)果為技術(shù)人員、部門領(lǐng)導(dǎo)生成不同的平安評(píng)估 報(bào)告,為技術(shù)人員的生成報(bào)告列舉了所有的平安漏洞,分高、中、低三個(gè)

24、風(fēng)險(xiǎn)級(jí) 別,每個(gè)漏洞給出了詳細(xì)的說明并附修補(bǔ)建議,某些漏洞需要打補(bǔ)丁的還給出了下載網(wǎng)址.為治理人員生成的報(bào)告給出了匯總信息,使治理者了解整體平安狀況, 提供決策指導(dǎo).利用Database Scanne定期的通過網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫(kù),檢查數(shù)據(jù) 庫(kù)特有的平安漏洞,自動(dòng)識(shí)別數(shù)據(jù)庫(kù)系統(tǒng)潛在的平安問題, 全面評(píng)估數(shù)據(jù)庫(kù)存在 的認(rèn)證、授權(quán)、完整性方等方面的缺陷.Database Sca nner目前支持的數(shù)據(jù)庫(kù)類型有：MS SQL Server、Oracle 和 Sybase2.4.6 部署建議Server 主建議可以考慮新增一個(gè)Database Scanner License以實(shí)現(xiàn)對(duì)Billing

25、機(jī)上所運(yùn)行的Oracle數(shù)據(jù)庫(kù)平臺(tái)進(jìn)行數(shù)據(jù)庫(kù)平安評(píng)估.同時(shí)Database Scanner也可以采用風(fēng)險(xiǎn)評(píng)估效勞的形式實(shí)施.2.4.7漏洞掃描系統(tǒng)部署示意圖各地節(jié)點(diǎn)漏洞掃描系統(tǒng)產(chǎn)品部署示意圖省網(wǎng)Radius65098610NAS寬帶城域網(wǎng)8610省網(wǎng)管中央漏洞掃描系統(tǒng)產(chǎn)品部署示意圖省網(wǎng)管中央局域網(wǎng)結(jié)構(gòu)圖VLAN2ISS ServerSUN E250統(tǒng)計(jì)/查詢效勞器SUN E3000HP VE5后臺(tái)維護(hù)工作站SUN SPARC20GECatalys8540PSTNPIXDiskACESwitchVLAN4IB<HA 蕪JSearBackup SeSUN U1VLAN3漫游認(rèn)證SUN E30

26、00LDAP ServerDisk、PPPserverEMSsewer “Mail Server1FreeMail. FreeMail . 1SUN E3000 SPARC20 SUN E3000 SUN E2 SUN E3000E3000節(jié)點(diǎn)VLAN1AISB probe AIWebStateCatalys6506NMS. HP C3000AINettrend AISerBase SUN .E3OQ0 .l*aiB UIIBIUAII IISUN E450:Billing server 1) Billing server 2'Enterprise 4000Enterprise 400

27、02.5入侵檢測(cè)系統(tǒng)IDS防火墻的保護(hù)是必要的,但絕不是僅僅的保護(hù)手段,特別是在XXX通信這樣的運(yùn)營(yíng)商網(wǎng)絡(luò),有著許多極其重要的應(yīng)用系統(tǒng),能否正常運(yùn)行直接關(guān)系到相關(guān) 業(yè)務(wù)能否正常開展.因此,網(wǎng)落還需要一種動(dòng)態(tài)和主動(dòng)的保護(hù)機(jī)制,時(shí)刻檢查和 解析所有的訪問請(qǐng)求和內(nèi)容,一旦發(fā)現(xiàn)可疑的行為,及時(shí)作出適當(dāng)?shù)捻憫?yīng),以保 證將系統(tǒng)調(diào)整到“最平安和“風(fēng)險(xiǎn)最低的狀態(tài).這種動(dòng)態(tài)的保護(hù)機(jī)制就是入 侵檢測(cè)系統(tǒng).ISS公司的入侵檢測(cè)系統(tǒng)一一RealSecure是業(yè)界第一個(gè)集成了基于網(wǎng)絡(luò)和基 于主機(jī)的入侵檢測(cè)系統(tǒng).它可以最大限度地、全天候地監(jiān)控企業(yè)級(jí)的平安問題. RealSecure入侵檢測(cè)系統(tǒng)可以自動(dòng)地監(jiān)控分析網(wǎng)絡(luò)數(shù)據(jù)流

28、、主機(jī)日志等,對(duì)可疑的事件作出響應(yīng),在主機(jī)和網(wǎng)絡(luò)遭受破壞之前阻止非法入侵,并能記載入侵過程.RealSecure入侵檢測(cè)系統(tǒng)包含如下幾個(gè)部件：網(wǎng)絡(luò)傳感器Network Sensor、效勞器傳感器 ServerSenso、桌面?zhèn)鞲衅?Desktop Protector和工作組治理器 Workgroup Man age.網(wǎng)絡(luò)傳感器Network Sensor用來保護(hù)一個(gè)網(wǎng)絡(luò).它靜靜地監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù) 包及其內(nèi)容,能夠正確識(shí)別各種正在進(jìn)行的攻擊特征,一旦發(fā)現(xiàn)入侵行為,便可根據(jù)預(yù)定義的策略作出響應(yīng),如阻斷入侵、發(fā)出警報(bào)、記錄事件、發(fā)SNMP陷阱事件和郵件、執(zhí)行用戶自定義動(dòng)作甚至修改防火墻策略.

29、通常,Network Sensor由于需要獲取網(wǎng)絡(luò)數(shù)據(jù)流,需要安裝在網(wǎng)絡(luò)入口連接處,入口連接處如果使用共 享式的HUB,Network Sensor直接連接在HUB上即可,如果使用交換機(jī),那么需 對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行映射,通過配置交換機(jī)的調(diào)試口如Cisco的Port Monitor 口或SPAN 口來實(shí)現(xiàn).為了進(jìn)一步提升平安性,Network Sensor還可配置兩塊網(wǎng)卡,一塊無IP,監(jiān)視網(wǎng)絡(luò),這樣沒人能夠發(fā)現(xiàn)它的存在,另外一塊有IP,連接Con sole, 用于治理.效勞器傳感器：Server Sen sor用來保護(hù)用戶重要的信息資產(chǎn),是業(yè)界最強(qiáng)大的主機(jī)保護(hù)產(chǎn)品.Server Sen so融合了

30、 Network Se nsor和X-Force組織的主機(jī)保護(hù)技術(shù),它安裝在 需要保護(hù)的效勞器上,檢測(cè)所有進(jìn)入該效勞器的網(wǎng)絡(luò)數(shù)據(jù)包,同時(shí)也可以解析相關(guān)日志信息.Server Sensor處理速度極快,能夠直接用于千兆網(wǎng)卡的效勞器,也 可用于監(jiān)視底層加密的數(shù)據(jù)流如IPsec而通?；诰W(wǎng)絡(luò)的IDS產(chǎn)品不能識(shí)別加 密的數(shù)據(jù)流.桌面?zhèn)鞲衅髯烂鎮(zhèn)鞲衅?RealSecure Desktop Protector簡(jiǎn)稱RDP)是企業(yè)和組織用來保 護(hù)桌面機(jī)和移動(dòng)電腦的最正確選擇. 它創(chuàng)造性的結(jié)合了防火期、入侵檢測(cè)和應(yīng)用程 序保護(hù)的最先進(jìn)技術(shù),全面保護(hù)客戶個(gè)人電腦的平安.RDP的個(gè)人防火墻可以阻斷來自互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)

31、到您的PC的各種未授權(quán)的通信.RDP入侵檢測(cè)組件采用和效勞器傳感器相同的高速引擎,它分析系統(tǒng)行 為和通信內(nèi)容中的可疑活動(dòng),和防火墻組件自動(dòng)聯(lián)動(dòng)以阻止黑客的攻擊.應(yīng)用程序保護(hù)組件可以監(jiān)視系統(tǒng)上各種應(yīng)用程序的行為和通信,保護(hù)用戶的電腦免受未知的程序破壞.Workgroup Manager:Workgroup Manager是RealSecure入侵檢測(cè)系統(tǒng)的中央治理器,集中、平安 的為分布于企業(yè)各網(wǎng)段、關(guān)鍵效勞器群組的網(wǎng)絡(luò)傳感器、主機(jī)傳感器提供集中管 理、配置、報(bào)告及實(shí)時(shí)報(bào)警.工作組治理器運(yùn)行在Windows NT、Windows 2000上.RealSecure入侵檢測(cè)系統(tǒng)采用先進(jìn)的三層分布式體

32、系結(jié)構(gòu),把集中在一臺(tái)管 理器的幾個(gè)主要功能分成四個(gè)部件執(zhí)行,構(gòu)成工作組治理器系統(tǒng).三層分布式體 系結(jié)構(gòu)更加靈活,可伸縮性和可生存性更好.三層分布式結(jié)構(gòu)的核心就是中間層 的事件收集器.事件收集器是限制臺(tái)和傳感器的樞紐,它負(fù)責(zé)從傳感器收集事件 數(shù)據(jù)并傳送給限制臺(tái)和企業(yè)數(shù)據(jù)庫(kù).事件收集的工作由獨(dú)立的部件完成,大大減 輕了限制臺(tái)工作負(fù)荷.平安事件的數(shù)據(jù)隨著監(jiān)控的網(wǎng)絡(luò)規(guī)模的增大、平安事件的增多、平安審計(jì)的要求,數(shù)據(jù)量會(huì)成爆炸性增長(zhǎng),因此對(duì)數(shù)據(jù)庫(kù)軟件和硬件平臺(tái) 的要求更高,數(shù)據(jù)存儲(chǔ)在中間層會(huì)增加平安性和提升性能,增加部署方案的靈活性.在三層分布式結(jié)構(gòu)中各部件可以運(yùn)行在一臺(tái)計(jì)算機(jī)上,也可以分布運(yùn)行在多臺(tái)計(jì)算

33、機(jī)上.各部件可以是一對(duì)多或者多對(duì)多的關(guān)系,例如,幾個(gè)限制臺(tái)可以共用一個(gè)資產(chǎn)數(shù)據(jù)庫(kù)；一個(gè)事件收集器可以治理許多臺(tái)傳感器并向假設(shè)干限制臺(tái)傳 送數(shù)據(jù)2.5.1 百兆NIDS網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署建議為保證XXX通信省網(wǎng)管中央重要業(yè)務(wù)系統(tǒng)的平安可靠運(yùn)行,同時(shí)節(jié)約投資、方便部署,建議依如下方式配置百兆網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品RealSecure NetworkSen so,便于實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的入侵檢測(cè)：1 .在網(wǎng)管設(shè)備所在的網(wǎng)段的網(wǎng)絡(luò)交換機(jī)上配置Port Mirror功能,將RealSecure Network Sen so 直接與該交換機(jī)上的 Dest in ation (SPAN) Port 相連,將 與該

34、交換機(jī)連接的防火墻Intran et端口所對(duì)應(yīng)的交換機(jī)端口設(shè)置為 Source (SPAN) Port,實(shí)現(xiàn)基于SPAN方式的網(wǎng)絡(luò)入侵檢測(cè),所有由外網(wǎng)流入該網(wǎng)管網(wǎng)段的網(wǎng)絡(luò) 流量和內(nèi)容都得到有效的實(shí)時(shí)檢測(cè).另外增加一臺(tái)高檔 PC Server,用于安裝 RealSecure的 Workgroup Manager 入侵檢測(cè)系統(tǒng)中央控管平臺(tái)(包含事件收集器和治理限制臺(tái),平安企業(yè)數(shù)據(jù)庫(kù) SQL2000等),實(shí)現(xiàn)對(duì)2臺(tái)RealSecure Network Senso啲集中治理,升級(jí),策略 定制,分析與報(bào)告等功能.2.5.2入侵檢測(cè)系統(tǒng)部署圖省網(wǎng)管中央平安系統(tǒng)產(chǎn)品部署示意圖黑龍江省網(wǎng)管中央局域網(wǎng)結(jié)構(gòu)圖VL

35、AN3PSTNVLAN1PIXACESwitchHAvst28oc=iBjUing setvoi 1 _.Enterprise 4000DiskFreeMail 'E3000RD；Bi)iiQgrs£rveL2iEnterprise 4000PPPserver"g'EMSserver - Mail Served'" LDAP ' ServerFreeMail,SUN E3000 SPARC20 SUN E3000 SUN E2 SUN E3000VLAN2統(tǒng)計(jì)/查詢效勞器HP VE5后臺(tái)維護(hù)丄作站GECatalys8540.AISB

36、 probe-AIWebStateNMS HP C3000 AINettrendAISerBaseGUN E3000, -ii SUN E45017Catalys6506 Backup SerSUN U1VLAN4圖2.4網(wǎng)絡(luò)入侵檢測(cè)部署示意圖2.6方案總結(jié)本方案在充分考慮到XXX通信省網(wǎng)管中央和7個(gè)重要節(jié)點(diǎn)的平安需求及實(shí) 際網(wǎng)絡(luò)結(jié)構(gòu),采用目前國(guó)際,國(guó)內(nèi)領(lǐng)先的相關(guān)平安技術(shù),在保證平安體系總體性 價(jià)比的前提下,重點(diǎn)考慮了在本方案中所有子系統(tǒng)相互之間的聯(lián)系,力爭(zhēng)建立一 個(gè)具有有機(jī)聯(lián)系的整體平安體系.本平安方案建議在充分理解用戶需求的前提下,綜合考慮了多方面的因素,符合如下的設(shè)計(jì)要求：先進(jìn)性：所選產(chǎn)品都是業(yè)界最先進(jìn)的產(chǎn)品線,同時(shí)也提供業(yè)界最先進(jìn)和前沿 的治理理念,使得客戶始終能夠和世界領(lǐng)先的技術(shù)和治理理念同步.充分的“兼容：對(duì)現(xiàn)有用戶網(wǎng)絡(luò)的改造,只是添加平安設(shè)備,根本上不需 要對(duì)業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)做大的