《网络安全系统设计方案.doc》由会员分享,可在线阅读,更多相关《网络安全系统设计方案.doc(45页珍藏版)》请在三一办公上搜索。
1、网络安全系统设计方案第1现状和目标1第2需求分析22.1系统安全需求分析22.2功能需求分析52.3管理需求分析52.4服务需求分析6第3系统设计63.1防火/毒墙系统设计63.2入侵检测系统设计83.3网络安全审计系统设计103.4内外网隔离系统设计113.5防病毒系统设计153.6网络安全风险评估服务设计163.7CA系统设计(参考)343.8远程灾备系统设计(参考)35第4产品部署374.1设备部署示意图374.2设备部署设计37第5产品选型385.1防火/毒墙385.2入侵检测IDS405.3网络安全审计系统415.4网络隔离卡43第6产品清单44第1 现状和目标市城市管理局网络外网连
2、接Internet(2根电信光纤)和政府专线(即Internet备用线路),内网连接政府专网(党政机关网、国土资源局等)、下属单位以及区指挥中心。它不仅是数据存储中心也是数据交换中心和业务处理中心,因此网络安全问题将成为一个十分突出的问题。目前,市城市管理局网络系统的安全存在以下问题:l 由于对外发布服务系统群与互联网接口的存在,整个网络系统容易遭受来自互联网的黑客以及病毒攻击;l 内外网没有做到物理隔离,一旦网络被侵入将给客户带来巨大的损失;l 由于整个系统具有覆盖地域较广、使用人员较复杂、以及接入点众多等特点,而整个系统没有有效的访问控制体制,使系统更加容易遭受来自内部的非法攻击行为;l
3、由于网络系统的开放性,一旦某一个节点感染了病毒都能迅速的向全网蔓延,造成整个系统的瘫痪;l 操作系统、数据库系统以及其他应用软件系统的漏洞都能导致整个信息系统的高安全风险;l 缺乏对系统故障以及安全事件的响应与恢复制度。在网络技术不断发展的今天,针对网络的各种攻击手段在不断更新,故信息安全在市城市管理局信息化建设的每个阶段都必须要考虑;l 用户的身份验证和数据的异地备份也将是安全的主要考虑的方面。为了解决现阶段市城市管理局网络安全的问题,我们将对城管局网络安全体系进行设计。主要包含以下系统:防火/毒墙系统、入侵检测系统、网络安全审计系统、内外网隔离系统设计、网络防病毒系统、网络安全风险评估服务
4、、CA中心、远程灾备系统。第2 需求分析2.1 系统安全需求分析在阐述网络面临的安全威胁之前,我们有必要简单的了解一下威胁的实质。威胁就是将会对资产造成不利影响的潜在的事件或行为,包括自然的、故意的以及偶然的情况。威胁至少包含以下属性:动机(自然威胁除外)、能力、影响方式等。可以说威胁是不可避免的,我们只能采取有效的措施,尽量减少各种情况造成的威胁。市城市管理局网络是多种资产的庞大组合,其所面临的威胁也就是对网络能够造成不利影响的一些潜在的事件或者行为,同样这些威胁包括自然的、故意的以及偶然的情况。我们对城管局网络面临的威胁进行分析,我们将努力减少市城市管理局网络面临的安全威胁,并努力控制在最
5、小的范围内。一、来自外部安全威胁分析1、 边界网络设备安全威胁网络系统边界网络设备是指不同应用、不同业务、不同网络相互连接的设备,如核心路由器及与核心路由器连接的交换机等。从攻击的角度分析,边界网络设备面临的威胁主要有以下两点:第一:入侵者通过控制边界网络设备,进一步了解网络拓扑结构,利用网络渗透搜集信息,为扩大网络入侵范围奠定基础。比如,入侵者可以利用这些网络设备的系统(Cisco的IOS)漏洞或者配置漏洞,实现对其的控制。第二:通过各种手段,对网络设备实施拒绝服务攻击,使网络设备瘫痪,从而造成整个网络通信的瘫痪。网络正日趋被人们所了解,而网络协议自然也被越来越多的人所研究,许多网络协议的设
6、计漏洞被不断的公开,这使得越来越多的攻击利用了网络协议的设计漏洞。很多入侵者利用网络协议的设计漏洞或者设备本身的漏洞对边界网络设备实施拒绝服务攻击,造成这些网络设备的性能下降乃至完全瘫痪。2、 信息基础安全平台威胁信息基础平台主要是指支撑各种应用与业务运行的各种操作系统与数据库系统。目前城管局主机采用的操作系统主要是Windows 2000操作系统和SQL Server 2000数据库。相对边界网络设备来说,熟知操作系统和数据库系统的人员的范围要广的多,而且在互联网上,很容易就能找到许多针对各种操作系统和数据库系统的漏洞的详细描述,所以针对操作系统和数据库的入侵攻击在互联网络中也是最多最常见的
7、。不管是什么操作系统或者数据库系统,只要它运行于网络上,就必然会有或多或少的端口服务暴露在互联网上,而这些端口服务又恰恰可能存在致命的安全漏洞,这无疑会给该系统带来严重的安全威胁,从而也给系统所在的网络带来很大的安全威胁。3、 应用与业务的网络威胁在整个网络系统中,应用与业务网络中的数据是至关重要,而入侵者当然也会明白这一点,但是应用或业务网络往往并不能轻易的被直接入侵成功,所以,恶意的入侵者往往会采取逐步网络渗透的方法来最终达成其入侵目的。一旦这些关键应用系统遭到黑客的入侵或者破坏,将会影响整个市城市管理局网络的运行,甚至会导致全网业务系统的崩溃,造成间接或直接的巨大的经济损失。二、来自内部
8、安全威胁分析1、 内部网络的失误操作行为由于人员的技术水平的局限性以及经验的不足,可能会出现各种意想不到的操作失误,势必对系统或者网络的安全产生较大的影响。2、 来自内部网络的恶意攻击与破坏据统计,有70%的网络攻击来自于网络的内部。对于网络内部的安全防范会明显的弱于对于网络外部的安全防范,而且由于内部人员对于内部网络的熟悉程度一般是很高的,所以,由网络内部发起的攻击也就必然更容易成功,因此一旦攻击成功,其强烈的攻击目的也就必然促使了更为隐蔽和严重的网络破坏。三、病毒威胁分析在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有一些新的特点,网络病毒的这
9、些新的特点都会对网络与应用造成极大的威胁。l 感染速度快城管局网络是一个大型网络,一个节点有病毒疫情,如果不采取措施进行实时防范的话,病毒就可以在很短的时间内传遍全网,就会给网络造成危害。l 扩散面广网络由网管中心与各节点网络构成,如果病毒渗入其中任何一个关联网络,病毒就会通过各种途径迅速地感染网络上服务器与工作站,感染范围有可能覆盖全网。l 传播的形式复杂多样计算机病毒在网络上一般是通过“工作站-服务器-工作站”的途径进行传播的,但传播的形式复杂多样,通过网络共享、服务漏洞、电子邮件等多种方式进行传播。l 病毒的智能化程序越来越高网络病毒可以利用系统的漏洞进行传播或攻击;在携带特洛伊木马程序
10、进行对系统远程破坏与控制;为系统开后门;散播拒绝服务攻击点,对目标采取分布式拒绝服务攻击等等。l 难于彻底清除智能化的网络病毒既可以像传统病毒一样感染服务器或客户端主机的应用文件系统,也兼具网络黑客技术的特点,通过各种途径破坏服务器或客户机的重要数据,通过电子邮件系统散播恶意代码,设置系统后门,窃取系统的重要数据与机密信息等。病毒要完成这些复杂的动作,就要对系统进行比较复杂的设置,对系统的影响较大,仅有防病毒软件很难彻底地从系统上将病毒清除掉。l 破坏性大网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃, 破坏服务器信息,造成巨大的直接和间接的经济损失。防病毒一直是网
11、络安全中需要考虑的因素之一,通过加强管理和预防,将可以对病毒进行有效的控制和预防。2.2 功能需求分析为保障市城市管理局网络整个业务的正常持续的运行,需要对全网的网络运行状态和安全状态进行有效监视。对网络边界设备(Router 、Switch、 Firewall)、基础设备(主机服务器、数据库)、应用服务(OA、WEB、Mail等)进行相应的保护。从安全功能的角度,需要对二个物理网络(政府内网与Internet网)进行有效的物理隔离同时保证彼此可以进行安全访问控制;对服务器进行保护,服务器主要承载整个城管局业务应用、对外服务、负责数据的备份等。服务器的安全会影响整个业务的正常运行,需要对服务器
12、所在的网段进行隔离保护,对黑客、对系统采取有效的监视防御,同时还需要对网络病毒进行有效的查杀。2.3 管理需求分析l 产品管理在管理上需要实现,对防火墙的集中管理,能够在网管中心对所有节点的防火墙日志信息进行集中的管理和设置;对入侵监测控制系统,能够在网管中心对所有节点的入侵检测系统进行集中控制;对网络安全审计系统,能够在网管中心对所有节点的网络安全审计系统进行集中分析日志;对防病毒控制系统,能够对所有节点的防病毒软件进行包括集中下发、集中版本升级、病毒库更新、集中配置管理、远程安装、远程杀毒、远程报警功能。l 组织管理良好的安全产品配置和过硬的安全技术,并不能很好的解决系统的安全问题,必须辅
13、以完善的安全管理体制,才能促使其作用得到完美体现。需要制定一套完善的安全管理体系,同时需要相应的安全产品进行有效的配合,从管理和技术两个方面保证系统安全的有效实施。2.4 服务需求分析由于黑客攻击和病毒泛滥对系统的安全随时提出了挑战,需要提供服务的公司具有专业的安全人才和专业的安全技术,能够对最新的系统安全漏洞、攻击技术以及用户行业现状有深入的理解,并能将相应的技术通过产品升级和应急服务等方式及时提供给用户,只有这样才能保证用户系统在安全性和可用性上具有持续的保障。由于需要对安全事件进行及时相应,在产品和技术服务支持上只有能同时拥有自主产品和安全服务的综合性安全公司厂才能对用户系统安全有所保障
14、。第3 系统设计3.1 防火/毒墙系统设计一、部署意义防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通信。通过使用防火墙过滤不安全的服务,提高网络安全和减少子网中主机的风险,提供对系统的访问控制;阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于一种被动的安全防御工具。设立防火墙的目的是保护一个网络不受来自另一个网络的攻击,防火墙的主要功能包括以下几个方面:1、 防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性,降低受攻击的风险;
15、2、 防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口令、加密、认证、审计等),比分散管理更经济;3、 防火墙强化安全认证和监控审计。因为所有进出网络的数据流都必须通过防火墙,防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务;4、 防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器,即能防外,又能防止内部未经授权用户对外网的访问。二、设备部署在外网接入口处(即网关口)部署NGFW4000防火墙及相应模块,NGFW4000千兆防火墙上可最多扩展到7个端口。l 连接方式:防火墙的一个内网口连接到交换机上(即外网交换机),防火墙外网端口连接Internet上,通过透明方
16、式连接,创建DMZ区提供对对外发布服务器群的保护。l 集成卡巴斯基的防病毒模块,实现了对网络内部病毒的查杀和对来之互联网病毒的防御。l 规则设置:设置恰当的访问控制规则,审核内部网络和外部网络间的访问请求。通过与访问控制规则相比较,只有合法的访问才能通过。规则设置上可配置默认为禁止所有,再打开必要的服务。三、功能设计防火墙设备的部署,可为城管办网络系统实现以下功能:l 通过防火墙连接,隔离安全区域通过对访问请求的审核,我们隔离了内部网络同外部网络连接,可以达到保护脆弱的服务、控制对内部的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。在有不安全网络接入时,全部通信都受到防火墙的监
17、控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全性。l 过滤网络中不必要传输的垃圾数据防火墙是一种网关型的设备,各个区域之间的通信,可以通过防火墙的添加,如果在其上添加一些策略,就可以过滤掉部分无用的信息,在网络中只能传输必要的应用数据。l 利用防火墙的带宽控制功能,调整链路的带宽利用防火墙是一种网关型的设备,而且天融信防火墙具有带宽控制的特性,可以依据应用来限制流量,来调整链路的带宽。实现每个用户、服务器的带宽控制,提高链路带宽利用的效率。l 通过防火墙的保护,隐蔽内部网络信息,提高系统的安全性使得各个内网区不受到黑客的攻击,黑客无法通过防火墙进行扫描、攻击等非法动作。NGFW
18、4000系列防火墙可防止黑客通过外部网对重要服务器的TCP/UDP的端口非法扫描,消除系统安全的隐患。可防止攻击者通过外部网对重要服务器的源路由攻击、IP碎片包攻击、DNS / RIP / ICMP攻击、SYN攻击、拒绝服务攻击等多种攻击。天融信防火墙还具有一定的入侵检测功能,当发现有绕过防火墙攻击重要服务器时,防火墙将自动报警并根据策略进行响应。l 强大的应用层控制天融信NGFW4000系列防火墙提供应用级透明代理,可以对高层应用(HTTP、FTP、SMTP、POP3、NNTP)做了更详细控制,如HTTP命令(GET,POST,HEAD)及URL,FTP命令(GEI,PUT)及文件控制。 这
19、对于提高城管办网络中的应用服务器的安全非常有意义。3.2 入侵检测系统设计一、部署意义利用防火墙技术,经过详细的配置,通常能够在内外网之间提供安全的网络保护,降低网络安全风险。但是仅仅使用防火墙,网络安全是远远不够的,防火墙也有明显的缺陷:l 防火墙无法防止绕过防火墙设备的其他途径的攻击;l 防火墙不能阻止内部攻击者带来的威胁;l 防火墙不能防范已感染病毒文件和软件的传输;l 防火墙也无法防止诸如数据驱动型的攻击。通过入侵检测(IDS)系统,可以实时检测到各种攻击,同时实时做出各种预先定义的响应,力求作到在黑客造成破坏或入侵之前发现问题。入侵检测系统是一种自动识别和实时响应的智能安全系统。它能
20、监视网络中的活动事件,寻找有攻击企图和未经授权的访问行为。当入侵检测系统检测到一个攻击,它提供几种响应方式,包括记录攻击、通知系统管理员、以及与防火墙进行联动。入侵检测系统通常采用分布式体系使你可以通过一个中心控制器去监控整个企业网络。目前入侵检测系统分为网络型入侵检测系统(Network-based IDS,简称NIDS)和主机型入侵检测系统(Host-based IDS,简称HIDS)。网络型入侵检测(NIDS)系统是通过嗅探器按照匹配规则从网络上获取与入侵安全事件关联的数据包,传递给入侵分析引擎器进行归类筛选和安全分析判断。分析引擎器接收来自嗅探器和网络安全数据库的信息进行综合分析,将结
21、果传递给管理/配置器,从而做出响应(如报警、与防火墙联动等)。不会影响这些服务器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。主机型入侵检测(HIDS)系统虽然比网络型入侵检测(NIDS)系统误报率要低,系统的复杂性也要少得多,但是需要安装在受保护的服务器上,这样会降低应用业务系统的效率。主机型入侵检测系统依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能,则必需重新配置,这将会给运行中的业务系统带来不可预见的性能影响。综上所诉我们采用网络型入侵检测(NIDS)。网络入侵检测系统的优点是:l 能够检测那些来自网络的攻击,能够检测到超过授权的非法访问;l 网络入侵检测系统
22、不需要改变服务器等主机的配置。不会影响业务系统的性能;l 由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作,它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。二、设备部署为了增加DMZ区中对外发布服务器群的安全性,在交换机上(即DMZ区交换机)部署天融信公司网络卫士入侵检测系统(NGIDS-UF),具有1 个10/100Base-TX接口,2 个 10/100/1000Base-TX接口,2 个千兆光纤(多模)接口。三、功能设计l 网络卫士入侵检测系统中内置 2600余种入侵检测规则,可以细粒度检测各种入侵攻击企图;l 灵活的响应方式:网络卫士入侵检测系统对所
23、检测到的入侵企图和违背设定安全策略的活动做出响应,并提供了多种响应方式;l 网络入侵阻断:网络卫士入侵检测系统可以阻断对特定服务器的访问或来自特定用户的服务;l 实时会话监控功能:提供实时监控当前TCP会话并根据需要进行切断、保存会话内容的功能;l 流量统计功能:提供基于各种协议的流量统计功能和基于访问端、服务端的流量统计功能;l 入侵报表功能:提供针对网络流量的统计报表;提供各种丰富的入侵事件报表;提供针对当前系统设置的详细分析报表;提供用户自定义报表;l 协议还原功能:监控并还原邮件内容(POP3, SMTP, IMAP, WEB MAIL);监控并记录WWW、FTP、TELNET等TCP
24、会话的访问信息。3.3 网络安全审计系统设计一、部署意义TA-W 是面向企业级的内容审计与行为审计为一体的产品,它能以旁路的方式部署在网络中,不影响网络的性能。TA-W 具有及时的网络数据采集能力、强大的审计分析功能、智能的信息处理能力。通过使用该系统,可以实现如下目标:l 对用户的网络行为监控、网络传输内容审计 (如员工是否在工作时间上网冲浪、网上聊天、是否访问内容不健康的网站、员工是否通过网络泄漏了公司的机密信息等等);l 实现网络传输信息的保密存储;l 实现网络行为后期取证。二、设备部署为了保护整体网络的安全监控用户上网行为,在连接用户工作区的交换机上(外网交换机)部署安全审计系统(TA
25、-W),该端口需设定为监听模式。三、功能设计l 网络行为监控、信息内容审计FTP 、HTT、POP3、SMTP、IMAP协议监控、审计,同时还可以监控、审计网络聊天和即时通讯。l 各种发件内容的还原审查将采集到的各种发件(HTTP、POP3、SMTP、FTP、MSN)进行还原,包括浏览的页面还原,压缩文件的解压还原,管理可以直接审查发信的明文,为最终确定发信内容提供确证手段。对于通过页面发送邮件也可以自动分析,并还原成邮件的格式展现给使用者。对于邮件的附件文件可以直接打开,比如使用WORD 可以直接打开附件的内容。实现自动关键词发件内容审计检查。用户选择需要进行检查的发件的时间范围,审计设备将
26、根据用户设定的关键词库自动进行全文检索,快速进行匹配,对于匹配成功的情况,系统将通过醒目颜色在发件列表中标示出具体那个发件中标。3.4 内外网隔离系统设计一、部署意义高可靠性的计算机及网络为政府/企业的办公提供了稳定快捷的平台,极大的提高了政府/企业的工作效益。城管局网络开始时就没有进行很好的规划,由于前期综合布线较早没有考虑保密局提出政府办公实现内外网分离的要求,而对现行办公楼的重新布线不切实际,难度也大。其次政府办公及上网都在一套系统、一块硬盘操作中进行,一旦出现黑客入侵,将出现城管局的数据被窃取或被损坏,从而造成不可估量的损失。内外网络隔离目的:l 建成一个适合于信息采集、共享的外部访问
27、网络;l 内外网的物理隔离。二、设备部署我们采用网络安全隔离卡+网络安全隔离集线器来解决市城管局单布线网络。1、网络安全隔离卡网络安全隔离卡安装在主板和硬盘之间,完全控制硬盘与主板之间的数据通道,并控制网络连接以及通讯线路。通过隔离卡操作软件控制内部网络与外部网络之间的切换以及对应的网络连接,在任何状态两块硬盘均不存在数据共享,确保两个网络环境实现完全物理隔离。彻底杜绝Internet黑客侵入内部网络区域,防止内部信息泄露和被破坏。同时用户可以根据工作需要自如方便地进行内部网和外部网的切换。安装网络安全隔离卡,需要增加一块硬盘,两块硬盘的数据线首先连接到隔离卡,再通过隔离卡转接到主板,使一台计
28、算机虚拟成两台相对独立的计算机。网络安全隔离卡原理示意图如上图所示网络安全隔离卡是一个数据安全设备,它使用两个独立硬盘对应于两种网络环境,一个硬盘对应于外部局域网(如Internet),另一个硬盘则对应于内部局域网。它们分别拥有自己独立的操作系统,并能通过各自的专用接口与网络连接。2、网络隔离集线器中孚网络安全隔离选择器是一种多路开关切换设备,采用时分复用原理。一条网线上分时传送内网信息或外网信息。标准的19面板,支持8口或24口终端用户工作站的内外网访问,它检测网络安全隔离卡发出的特殊信号,识别出所连接的计算机,自动将其网络线路切换至相应网络的交换机上。它与网络安全隔离卡配合使用。网络安全隔
29、离集线器内部有一套开关控制线路,根据工作站当前的内外网工作状态发出不同信号,决定连接相应的内外网线。它具有标准的RJ45接口,入口与网络安全隔离卡相连,出口分别与内、外网络的交换机相连。作为网络安全隔离卡的一项配套产品,可以使已有的单布线网络,通过已装有网络安全隔离卡的终端安全地从桌面联接到两个不同的网络上去。大大节省额外的布线费用,繁重的工作和大量的时间。如图:在市城管局网络中我们采用山东中孚的网络安全隔离卡HDP-IIIA-202双硬盘型支持单双布线(现城管局的网络为单布线,但考虑到今后的发展可能会有双布线的网络出现,需要隔离卡可以通过简单的跳线来完成对双布线的支持)的隔离卡,内外网分别与
30、各自的交换机连接,然后内外网线路连接到网络隔离集线器上,通过网络隔离集线器继电器的开关作用,实现只能有一条网线(内网或外网)与客户端连通,通过中孚网络安全隔离卡来控制网络隔离集线器是连通内网还是连通外网,达到内网、外网物理隔离的目的。三、功能设计1、 内外网绝对隔离中孚网络安全隔离卡是一种数据安全装置,在PC上只需要物理增加一块硬盘安装上操作系统便能形成两个相对独立的虚拟工作站,它们分别有自己独立的硬盘和操作系统,并能通过各自的专用接口与网络连接。内外网之间数据的交换只能通过存储介质来完成,从而保证安全(内网)环境与非安全(外网)环境的物理隔离。2、 全控制中孚网络安全隔离卡安装在主板和硬盘之
31、间,完全控制硬盘通道。并通过隔离卡软件来控制内网和外网间的转换,保证其工作状态的稳定性及可靠性能。3、 转换自如用户可根据需要在任何时间任何系统中方便自如地进行内部网和外部网之间的转换。4、 应用广泛不依赖于操作系统,可以应用于所有使用IDEATA硬盘的PC系统。可以适应于局域网、拔号上网、ISDN、宽带等不同的网络环境。5、 对网络技术、协议完全透明6、 安装方便,操作简单,不需要用户进行专门的维护四、相关证书3.5 防病毒系统设计根据用户网络系统防病毒安全需求,采用瑞星2005网络版杀毒软件(1中心+80服务器端+420客户端)来构建用户防病毒系统。我们将在所有的服务器、工作站以及电子邮件
32、服务器等上面安装瑞星2005网络版防病毒软件,对磁盘、可移动磁盘、光盘以及网络所收发文件和电子邮件的附件进行防护。网络是病毒传播的最快的途径之一,病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。典型的CIH、Codered、Codeblue病毒就是可怕的例子。3.6 网络安全风险评估服务设计网络安全检测与评估是保证计算机网络信息系统安全运行的重要手段,对于准确掌握计算机网络信息
33、系统的安全状况具有重要意义。由于计算机网络信息系统的安全状况是动态变化的,应此网络安全检测与评估也是一个动态的过程。在计算机网络信息系统的整个生命周期内,随着网络结构的变化、新的漏洞的发现、管理员/用户的操作、主机的安全状况是不断变化着的,随时都可能需要对系统的安全性进行检测和评估。在城管局网络系统中定期对系统进行安全评估服务可在安全时间发生前就发现、解决系统中的安全漏洞,提高整体安全水平。本项目中将提供每季一次的安全评估服务。在定级要素中,信息资产价值对等级的划分起着决定性的作用。在信息资产价值分析的基础上,分析系统面临的安全威胁、风险发生的可能性及造成的影响等几个要素可以辅助确定等级。风险
34、评估作为风险管理的第一步,也是最重要的一步。在组织的信息系统建设之初,风险评估可以揭示组织完备的风险状况,为组织信息系统预算提供合理的参考,为信息系统建设的实施提供指导;在组织的信息系统建设当中,风险评估为信息系统建设的实施提供指导;在组织的信息系统建设完毕以及运行当中,定期的风险评估可对组织的信息安全当前状态提供一个科学的、准确的图像,既可反映组织的信息安全现状,为控制措施的选择和应用提供参照,也可为下一次的安全评估提供基线。通过风险评估可了解系统面对的威胁、本身的脆弱性、实施的控制措施等信息,通过对这些信息的综合分析和评估,最终得出系统实际的安全风险等级。我们认为,城管局的安全保障体系应该
35、建立在完善的风险评估的基础上,通过风险评估,得到系统所面临的安全风险状况,根据系统风险状况,得到系统安全需求,然后再根据安全需求,确定信息安全规划。一、安全评估范围对城管局网络系统中的安全管理策略、信息系统结构、网络、系统、数据库、业务应用等方面进行安全风险评估,确定所存在的安全隐患及安全事故。安全评估的对象包括:物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、策略等。二、安全评估目标通过对网络内主机系统,服务器,网络设备进行扫描,从而:l 发现脆弱点;l 发现威胁;l 评估影响;l 评估后果;l 为选择安全控制措施提供依据;l 降低安全
36、风险。三、安全评估流程为使风险评估更有效率、更具有可操作性,必须遵循一个科学、合理的程序,即风险评估应采取的步骤和流程。下图显示了天融信风险评估的示意流程以及每一个步骤的输入信息和输出文档。风险评估流程图四、信息资产的调查与界定本项任务主要通过调查表、访谈、和辅助工具去发现城管局的网络拓扑、运行环境和与信息相关的所有资产,并进行保护对象划分两项工作:l 资产调查:调查和统计城管局网络所包含的信息资产(包含物理环境、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等),明确现有状况、配置情况和管理情况。如主机系统,需要明确其平台、版本、补丁等基本情况外,还需明确开放端口、服务和进程等配置
37、管理信息。现有安全系统调查工作包括明确现有安全设备(防火墙、防病毒系统、入侵检测系统、安全扫描系统、账号口令集中管理)的部署情况和使用情况。拓扑结构调查工作包括对所有网络的拓扑结构进行调查,并按统一标准绘制成图;l 保护对象划分:根据系统业务流以及城管局整体安全策略对其系统进行保护对象划分。五、威胁评估威胁是指某个特定威胁源利用某个特定系统脆弱性对系统造成损失的潜在能力。这种利用可能是偶然的,也可能是有意的。如果系统没有脆弱性,威胁源无法对系统造成威胁;同样,即使系统具有脆弱性,如果没有威胁源,也不足以对系统造成威胁。为对信息系统进行安全风险评估,我们将对信息系统所面临威胁的可能性进行分析。对
38、某个威胁发生的可能性与系统存在的脆弱性、威胁源的强度和系统采取的控制措施有关。威胁源按照其性质一般可分为自然威胁、人为威胁和环境威胁三种。信息系统根据自身应用的特点和地理位置可能会面对不同的威胁源。l 自然威胁:指那些由不可抗拒的自然力引起的威胁,包括地震、洪水、风暴、火灾、雪崩、电风暴等;l 人为威胁:指那些由怀有各种目的和动机的人产生的威胁,包括偶然闯入系统、恶意攻击、制造病毒和恶意软件、非授权访问机密信息等;l 环境威胁:指那些由信息系统运行环境故障引起的威胁,包括电力中断、化学污染、液体泄漏等;。在识别信息系统面临的威胁时,必须对系统面临的所有威胁进行全面的考虑。由于人具有各种各样的动
39、机,拥有难以计算的资源,因此人也成为信息系统安全的最大威胁源。下表列出了各种类型的人为威胁源及其可能的动机和实施攻击的行为方式。该表提供的信息可以帮助组织了解其面临的人为威胁并制定适合自己的人为威胁清单。另外,对组织曾经遭遇过的攻击历史和以往的事故报告进行回顾,以及与系统管理员的交流等都可以帮助更好的识别信息系统的人为威胁源。为了估计信息系统面临的威胁发生的可能性,应对威胁源及其动机和典型行为进行充分的了解。本步骤执行结束后生成市城管局信息系统威胁分析报告。 可能的威胁源及其动机和典型行为威胁源动机典型行为电脑黑客挑战自负反叛破解社交工程闯入系统非授权访问计算机犯罪者非法破坏数据非法泄漏数据非
40、法篡改数据金钱交易计算机犯罪身份假冒信息窃取欺骗闯入系统恐怖主义分子破坏复仇敲诈勒索恐怖袭击信息战争系统攻击系统渗透系统篡改工业间谍公司竞争金钱交易信息盗窃个人隐私侵犯社交工程系统渗透非授权访问内部员工好奇自负聪明金钱诱惑复仇无意破坏暴力攻击员工(以获取信息)敲诈勒索浏览私人信息信息盗窃计算机滥用欺骗恶意代码使用出卖员工信息系统闯入系统缺陷非授权系统访问六、系统脆弱性评估对信息系统安全风险的评估需要对信息系统的脆弱性进行分析。系统脆弱性是指系统设计、实施、操作和控制过程中存在的可被威胁源利用造成系统安全危害的缺陷或弱点。系统脆弱性往往需要与对应的威胁相结合时才会对系统的安全造成危害。下表列出了
41、从物理层到管理层的一些常见系统脆弱性及其对应的威胁。常见系统脆弱性及其对应的威胁脆弱性威胁源威胁行为机房没有严格的进出控制措施偶然闯入者、未授权职员和间谍进入机房,通过终端非法访问网络设备获取机密信息,对物理设备蓄意破坏机房没有采取防火措施火灾对系统和设备产生不可挽救的物理损坏边界防火墙允许访问网络内部某台服务器且该服务器开放了guest帐号非授权用户,例如黑客、离职员工、计算机犯罪者和恐怖主义分子登录到内部服务器,访问私有文件和数据离职员工的系统帐号没有及时注销离职员工远程进入组织的信息系统网络,继续访问组织的私有数据操作系统本身具有的设计缺陷非授权用户,例如黑客、离职职员、计算机犯罪者和恐
42、怖主义分子利用缓冲区溢出等攻击手段攻击系统,造成损失对用户计算机的使用缺乏良好的管理措施,例如员工离开办公桌时没有锁定屏幕普通员工、偶然闯入者看到屏幕上某些机密信息,甚至私自操作计算机将信息非法窃取系统脆弱性的识别通过对系统脆弱性的核查、以往安全事故报告的查阅以及对系统进行安全测试等方法进行。系统脆弱性的收集必须全面和准确,下面列出了可获得系统脆弱性的一些有效途径:l 以往的信息系统风险评估文档;l 信息系统的审计报告、异常事故报告、安全检查报告、系统测试和评估报告等;l 厂商公告;l 权威部门的安全公告,如CERT中心(http:/www.cert.org);l 系统软件的安全分析;l 另外
43、,通过对系统进行测试来检查信息系统脆弱性,测试包括下面几个方面:利用自动化工具进行脆弱性扫描;渗透测试;控制措施验证。利用自动化工具进行脆弱性扫描是一个快速的测试方法,其缺点是由于不能针对信息系统的具体环境和应用特点而不可避免的产生误报、漏报。因此我们将对扫描得到的系统脆弱性进行合理的筛选和过滤,必要时还需要手动进行验证。渗透测试指的是评估执行人员利用自己掌握的技术和辅助工具,对系统进行攻击和侵入。如果系统被侵入,说明系统存在相应的脆弱性。由于渗透测试基本上是运用了与网络黑客和其他侵入者相同的技术手段和攻击手法,客观的再现了信息系统遭受真正攻击的情况,因此可对系统的安全现状得到客观的认识。其缺
44、点是评估执行人员必须具有相当的专业技术知识,测试投入比较大,如果处理不当甚至还会对信息系统造成某些破坏。控制措施验证是指按照设定的方案逐步对信息系统已经部署的控制措施进行核查,验证已实施的控制措施是否真正起到了控制作用。另外,对信息系统是否满足设计或运行时的安全需求进行验证,也可以间接了解到系统的脆弱性。下表列举了在管理安全、操作安全和技术安全方面可进行安全需求符合性核查的项目。系统安全需求符合性核查项目安全类别核查项目组织管理安全安全责任划分信息系统可持续性支持事故响应能力安全控制措施周期性核查员工背景调查和性格调查周期性安全风险评估信息系统安全教育和培训责任分离系统授权和重新授权信息系统安
45、全计划运行安全对易燃易爆物品的处理电力供应控制数据存储介质的使用和销毁物理设施保护湿度控制温度控制个人计算机和移动设备保护技术安全边界接入点控制(远程拨号接入、网络互联等)加密访问控制身份标识和认证入侵检测客体重用系统审计风险评估方法对象对应表评估对象评估方法组织信息系统远程脆弱性扫描本地脆弱性扫描渗透测试Checklist复核访谈BS7799复核系统安全控制措施复核对市城管局信息系统的脆弱性检查完毕后形成市城管局信息系统脆弱性清单,然后汇总到市城管局风险信息管理数据库。通过脆弱性评估对市城管局的网络系统安全状况进行深入了解,对市城管局的网络资产进行仔细的安全检察,发现网络资产中隐含的漏洞和脆
46、弱性。以此为依据给出市城管局的安全指数,明确市城管局网络所面临的外部威胁。安全评估将成为安全加固服务的前提。脆弱性评估服务是专业安全服务的重要组成部分。网络安全和系统安全是不断发展的,每一天都有新的漏洞出现,从网络安全的技术构成上来说,黑客和系统管理员之间的斗争是一个时间和耐力的赛跑。通过专业的脆弱性评估服务,使用一定的安全工具,自动或者手动检测网络和系统的实际安全状况,对客户的网络安全情况进行综合评估。评估的范围很广,从系统的漏洞扫描到系统管理员的机房管理制度以及流程上的一些疏漏,这些疏漏也许就有可能成为网络安全的一个致命点。我方拥有一流的安全专家,在安全项目实施过程中,通过对网络进行安全评
47、估,得出整个网络安全状态的评估报告,找出网络的安全漏洞和隐患,并据此进行安全项目的集成,以保障大型和复杂网络环境的网络安全。同时,在网络运行维护过程中,我方还会对系统进行日常的安全评估服务,动态监控整个系统的安全状况,以此实时解决安全问题。基础架构脆弱性评估内容如下:1、 从管理层次出发,制定切实可行的日常安全评估制度,其中包括:l 建立客户方与我方日常安全评估的例行制度;l 明确定义日常安全评估(服务实施的日程安排与计划);l 明确定义我方日常安全评估服务中涉及到的报告形式及内容;l 明确定义日常安全评估服务所要达到的目标;2、 从技术层次出发,建立标准的安全评估流程明确定义安全评估所涉及的过程及技术要求,其中包括:l 建立详细完备的(用
