广电总局网络安全技术建议书_内

1、广电总局网络安全技术建议书一、 综述1.1 建设背景广电总局内部网承载着广电总局内各部门间日常工作的公文流转、审批等一系列办公自动化系统。目前，该网络与广电总局外部网络采取完全的物理隔离。随着广电总局内部网络功能和业务的发展需求，网络安全作为信息化建设中必不可少的一项工作，以逐渐提现出其重要性。首先，在广电总局内部网络的日常运维过程中，出现了一定的安全问题。其次，随着信息化工作的开展，广电总局直属机关与总局内部网络的互联互通将对网络安全提出新的要求。所以，为了保障广电总局网络系统资源的安全和稳定运行，迫切需要建立一个统一的安全防护体系，从而为广电总局及各直属机关提供高质量的信息服务。本次项目主要是针对广电总局内部的安全提出解决方案，涉及防火墙系统、安全审计系统、网络型入侵检测系统、日志分析系统、防病毒体系、OA业务安全防护系统、安全管理、系统安全增强及性能优化以及未来与广电总局直属机关互联互通时的安全相关技术和建议。1.2 网络现状及安全需求广电总局内部网络的网拓扑结构可以用下图表示：广电总局广域网拓扑SUN E3500：两台。OA系统主服务器，采用双机备份。SUN A5100：磁盘阵

2、列E250：两台。一台为内网DNS，另一台闲置IBM Netfinity 4000：两台。ULTRA 10：内网网管服务器内部网络结构由两台CISCO 6509承担内网核心交换工作。该交换机上划分VLAN。隔离不同业务系统及不同部门间子网。内网业务主机直接接入到6509上。14台2926及2台3548通过千兆上联到6509。提供对各部门日常办公桌面机的接入。直观看来，此网络已经具有了一定的安全性，内网与Intenet实施了完全的物理隔离措施。但是，仔细分析我们可以看出，这个网络仍然存在很多安全隐患。l 虽然划分了VLAN，但是VLAN只起到了隔离广播信息的功能。对于内网中对重要服务器的访问和各部门间的互访缺乏实际的访问控制。l 重要业务主机（服务机）与员工自用桌面机处于同一逻辑层。缺乏安全等级的划分，服务器与员工桌面机间无安全等级差别或隔离手段，如果某部门工作PC机被安装了木马，就完全可能被利用成为恶意攻击的跳板从而对核心服务器或其他部门的主机发起攻击，达到隐藏真正破坏者的功能。l 重要网络设备、重要服务器及业务系统如OA系统的身份认证技术未采用加密机制，用户密码以明码方式在网络上传播

3、。如果恶意用户在网络中安装网络分析软件，可截获用户密码，冒充正常用户身份进行破坏活动。l 内部网络缺乏统一的病毒防护、查杀及隔离措施，一旦某台用户主机感染病毒，会在短时间内造成病毒在广电内部网络中的广泛传播。l 未来各直属机关的远程接入也有可能成为攻击发起的来源，需要实施隔离。l 目前广电外网安全只单纯依赖被动型的安全手段如防火墙，而缺乏主动发现型的安全手段，比如安全漏洞审计系统、入侵检测系统等。无法防患于未然。l 缺乏对攻击的监测和记录手段，比如入侵检测系统、日志服务器等，无法有效的发现安全事件，也没有举证手段。由于存在众多安全问题，所以迫切需要建立一个统一的安全防护体系，保障广电总局内部网络系统资源的安全和稳定运行，从而为广电总局各部门、各直属机关提供高质量的信息服务。以下我们将从网络结构安全结构、网络安全技术、防病毒体系及安全管理等几个方面阐述我们的安全建议。1.3 安全设计原则l 整体性原则安全作为一个特殊的技术领域，有着自己的特点。安全问题必须遵从整体性原则，网络中的任何一个漏洞或隐患都可能造成整网的安全水平的降低。网络安全系统应该包括三种机制：安全防护机制；安全监测机制；安

4、全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少攻击的破坏程度由于业务的重要性及安全需求，广电总局内部网络业务系统目前相对简单。但是，随着信息化发展的需求，处于严格控管下的互联互通将是网络发展的趋势。因此在本次设计中，我们从全网角度出发，关注广电信息化建设的目标，各广电各业务系统安全，根据各业务系统特点提出从防护检测回复的完整的解决方案，而不是治标不治本。l 集中性原则安全重在管理，所谓“三分技术，七分管理”阐述了安全的本质。而安全管理重在集中。广电总局的设备和主机类型较多，业务系统涵盖广电各个部门及相关机构，业务模式相对复杂且管理机构和管理模式也千差万别。在全网安全方案的设计中，无论是安全管理制度的制定和施行，或是安全产品的选型和实施，还是长期安全服务方案的制定，我们都将根据集中性原则，目标是实现对各设备和业务系统的集中安全管理以及安全事件发生后的集中响应，这些都将依赖于管理制

5、度统一的、集中的制定和施行。l 层次性原则在广电总局内部网络安全方案设计中，无论具体的软硬件部署，还是管理制度的制定，我们都遵循层次性原则。安全问题的层次性原则集中在两个方面： 管理模式的层次性在广电总局内部网络中，由于涉及到跨部门及机构的人员以及地点，需要一种层次性的管理模式。比如，用户管理需要分层次的授权机制；防病毒体系的病毒库分发或报警也需要分层次机制；安全紧急响应的流程也需要建立分层监控，逐级响应的机制。 防护技术的层次性层次性还表现在防护技术上。针对业务系统的防护往往有多种防护设备和手段，我们需要根据业务系统特点提出多层次防护机制，保证在外层防护被入侵失效的情况下，内部防护层还可以起到防护作用。另一方面，各层之间的配合也是层次性原则的重要特点之一。l 长期性原则安全一向是一个交互的过程，使用任何一种“静态”或者号称“动态”防范的产品都不能解决一直在发展的系统安全问题，所以我们针对安全问题的特点，提供针对广电总局内部网络全面的安全服务，其中包括设备产品的技术支持和服务以及安全审计、安全响应等专业安全服务。二、 统一的安全防护体系在整个安全项目设计过程中，我们始终遵循统一的安全原

6、则，从全网安全管理角度出发，关注于各业务系统的安全，目标是为客户建立统一的安全防护体系。2.1 网络系统安全基于以上四个原则，我们为广电总局设计了如下的安全解决方案。下面，按照“层层设防”的安全理念，我们将从整个网络安全系统的基础网络系统的结构开始，逐步阐述从网络核心交换区域、到办公网段和核心服务器网段的不同安全策略和安全产品的选型原则和实施建议。2.1.1 网络结构安全首先，通过如下的示意图，我们可以更加清晰的了解本方案对广电总局内部网络的安全结构。2.1.1.1 内部网络结构建议在经过上述调整之后，我们可以看到，构成网络核心的依旧是两台CISCO 6509高性能的高端交换机，在这台交换机上汇接了重要业务系统接入、广电总局各部门用户、网管及安全管理网段，在原有的VLAN基础上合理划分新的VLAN结构，使网络负载的分布更加合理。其次，在新的拓扑中，重要业务系统如办公系统、DNS/Mail/Proxy等公共服务器网段之间都利用防火墙作了有效的隔离，建立起用户到业务网段的安全等级与安全隔离。任意一个网段对网络业务的访问都利用防火墙作了隔离，大大提高了网络的安全性，在防止攻击、病毒/蠕虫扩散

7、等方面都能够起到很大作用。第三，在原先网管系统的基础上，建立新的网络管理及安全管理网段，该网段集中了网管、审计、日志、入侵检测、统一认证及病毒管理中心等安全及网管主机，日常运维中通过各类安全技术收集整网安全信息，提供运维人员整网状况。通过在6509上实行一定的访问控制及安全策略，限制其他网段对该网段的非正常访问。从而确保该网段的安全性。第四，在6509核心机上通过背板管理端口或端口镜像技术将需要检测网络流量镜像到新增的网络入侵检测系统，该系统可在不影响正常网络流量的基础上对需要检测的流量进行不间断的检测和报警。2.1.1.2 与直属机关互联网络建议随着业务的发展，广电总局的内部网目前规划与北京市内广电总局各直属机关互联互通以及提供用户通过PSTN远程拨号接入内网。互联通后，广电总局的内网将开放部分业务系统给各直属机关及拨号用户。因此，必须确保各直属机关及拨号用户的接入不会对网络安全以及信息安全构成影响。目前。由于广电总局内网是与INTERNET完全隔离的网络。为确保广电总局内网的安全性，针对直属机关互联以及拨号用户的安全将主要考虑如下因素：1. 确保直属机关与广电总局内网互联信道的物理

8、安全。2. 对直属机关与广电总局内网的连接采取加密措施（链路层加密，IP层加密或应用层加密）。3. 限定直属机关及拨号用户的授权访问范围。4. 限定直属机关及拨号用户对广电总局内网业务的访问流程。5. 限定直属机关及拨号用户网络接入广电总局网络后导致的INTERNET对总局内网的连接。6. 对直属机关及拨号用户的访问行为进行实时监控。由以上因素我们可以得出，对直属机关及拨号用户接入广电总局内网的安全考虑主要分应用层和网络层两大部分。由于应用系统的安全涉及广电内网所使用的OA办公自动化系统的业务流程、加密认证方式等相关问题，需由业务系统的软件供应商提供相关安全措施，具体原则及需求见2.2节。而对于网络层的安全，我们考虑的原则是如何在网络层确保数据的私密性，完整性和不可抵赖性。目前，可以在网络层以下实现的数据加密方式较多，主要包括在链路层实现的链路加密机制与在网络层实现的各类IP隧道加密机制。链路加密机通常由独立硬件构成，通过在链路两端点的链路加密机协商或事先指定加密密钥，对链路中传输的物理帧进行加密。目前在国内主要应用于金融及军队，提供小于10M的吞吐能力。通常，有同步（异步）链路加密机

9、、帧中继加密机。加密机自身的算法使用国内自研算法，对外不公开。链路加密机制使用链路加密机实现信息的点到点安全，对IP层协议透明。如果网络结构包含多种链路，则必须购买相应的链路加密设备保护其上通讯数据的安全。目前，在国内互联网中使用较多的是网络层的加密机制。如果网络结构庞大，涉及多种通讯线路，如果采用多种链路加密设备则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备，网络加密机是实现端至端的加密，即一个网点只需配备一台VPN加密机。根据具体策略，来保护内部敏感信息和秘密的机密性、完整性及不可抵赖性。常用的网络机密机制采用的是IPsec机制。IP加密机制IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不安全的公共网络的线路建立IP安全隧道，能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以明文方式传输，以达到安全、传输效率的最佳平衡。一般来说，VPN设备可以一对一和一对多地运行，并具有对数据完整性的保证功能，它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持IPsec标准由于网络层加密设备不依赖于底层的具体传输链路，它一方面可以降低网络安全设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络，网络层加密设备可以使网络在升级提速时具有很好的扩展性。鉴于网络层加密设备的突出优点，应根据具体需求，在各个网络结点与内部网络相连接的进出口处安装配备网络层加密设备。2.1.2 网络安全技术2.1.2.1 防火墙系统如前图所示，根据广电总局内网整体安全层次的划分需求，我们将对广电总局内网划分四个安全等级：

《广电总局网络安全技术建议书_内》由会员s9****2分享，可在线阅读，更多相关《广电总局网络安全技术建议书_内》请在金锄头文库上搜索。