广电总局网络安全技术建议书_外

广电总局网络安全技术建议书_外内容摘要：

员可以通过这个集中安全数据库查询全网安全状况，另一方面，在发生安全事件或紧急响应时提供给我们和客户迅速了解受害机情况，找到对策，减少损失。 同时，扫描审计软件应提供相关接口，便于用户 输入设备安全信息，也进一步增强该软件的决策支持能力。 由于目前在安全扫描审计软件中，都存在一定的安全威胁，扫描软件中的部分攻击模式库存在对网络主机和网络资源的潜在危险性。 因此，对于扫描审计系统，必须在严格的安全代价分析和详细的扫描模式库选择下进行实施，通常对于重要的业务系统，要根据系统主机的负载情况制定 不同时间段的 扫描计划 ，从而获得全面的系统安全状况。 因此， 我们建议 在安全审计系统中，应采用服务与产品相结合的方式，由专业安全服务公司制定 专业的审计流程 和定期的安全审计服务。 ， 日志分析系统 由于全网存在众多 网络和主机设备，但缺乏统一的日志管理系统，我们建议在安全管理网段部署一套 日志分析系统 用于网络设备和主机系统的日志管理。 建议采用 三级结构 的日志分析系统 ，第一级为需要记录日志的主机或设备，该主机配置 syslog 日志指向 日志服务器；第二级为日志 服务器，负责日志接受，同步处理入数据库以及日志的统计分析；第三级为 日志服务器 的 console，用于配置日志系统安全策略，接受日志系统报警和监视日志系统 分析 统计结果。 对于日志分析系统的产品选型，考虑如下因素： 集中收集和监控系统日志。 日志收集和分析 Agent 与 Console 运行 在不同平台 ，两者 的 分离 使日志分析系统更 具有 层次性结构 的特点 ，便于未来升级和集中管理。 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 88087212 传真 : (8610) 88087300 Email: URL: 第 14 页 共 31 页 每秒接受日志的速度。 日志服务器应支持 常 用数据库，可将 日志信息存储在数据库中。 持多种 设备类型及数量，是否 支持标准 syslog 协议。 是否提供 二次开发接口。 防病毒体系 对于 广电总局 来说数据 的安全 是最重要的，而病毒是对数据造成严重威胁的主要因素之一。 然而保护网络免受愈演愈烈的计算机病毒威胁已不是一件简单的事情。 目前已知的计算机病毒超过 20， 000 种，并且每月发现的新病毒超过 300种，即每天都有 10 余种新病毒出现。 很 多事实表明，病毒比其他安全威胁造成的经济损失都大的多。 从 CIH 到 Code Red， 以 及最近的 Nimda 计算机病毒的相继发生，造成信息传输量暴增、系统负荷量过重等问题，凸显出网络安全防病毒机制的迫切需求。 传统的防病毒策略往往只注重桌面平台的病毒防范，就像目前 广电总局 内部曾经购买的瑞星防病毒 单机版。 这样虽然可以保证桌面平台避免病毒的威胁，但没有从根本上杜绝病毒在网络上传播，无法解决由于病毒造成的网络流量异常、系统服务过载等这类严重威胁网络正常服务的问题。 随着分布式网络计算、文档驻留宏、群件等新技术的出现以及 网 络 的广泛 应 用，网络早已经成为病毒的主要传播途径。 网络的脆弱性成倍增加，保护计算机网络已不再是简单的在客户机上安装桌面病毒扫描程序就可以解决的问题了。 面对当前的网络安全形势，我们迫切需要一 套 单一、集中、全面的防病毒解决方案。 在防病毒产品的选型上，我 们 认为一个成熟优秀的、高效可靠的防病毒产品应具有以下特点：  先进的体系结构设计  先进的防杀病毒技术  能够在线实时查杀病毒  准确无误的报警功能 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 88087212 传真 : (8610) 88087300 Email: URL: 第 15 页 共 31 页  及时、方便地更新病毒定义代码  快速、有效地处理未知病毒  多平台的支持  功能强大的控制台，便于管理与维护 而针对网络这个层次 而设计的防病毒产品， 我们 认为其重要功能还应该包括能够对网络进行实时病毒监控、支持病毒有效地隔离。 针 对目前世界上主流的病毒产品和国内知名的病毒产品，包括 McAfee VirusScan、 Norton AntiVirus、 Kill 系列、 VRV、 TrendMicro InterScan 等产品 ，应从 综合评估，包括反病毒的整体解决方案、查杀病毒的技术和种类、系统资源的占用、扫描病毒的方式、处置病毒的方式、日志的管理、病毒库的及时更新以及各公司的技术实力和对 广电总局外 网 的实用性等方面 考虑。 建立 全方位、多层次的、整体的 网络防病毒解决方案。 业务系统安全 WEB 业务 的安全 WWW 子系统是广电总局的一个重要应用， 一般情况下， Web Server 主要用来向用户提供公开的信息服务，也是总局对外宣传、开展业务的重要基地， Web Server 作为 Inter 用户访问公司内部资源的通道之一，其被发现的安全漏洞越来越多。 为了防止 Web 服务器成为攻击的牺牲品或成为进入 广电总局外 网的跳板，我们需要给予更多的关心。 我们可以采用如下几种手段保护：  将 Web 服务器置于防火墙保护之下。 通过设置防火墙，可以有效的控制允许外界访问的服务端口， 减少安全风险。 本次建议将其部署在第二层防火墙的 INTRUST 区。  在通往 Web 服务器的网络路径上安装基于网络的实时入侵监控系统。  利用日志系统 经常审查 Web 服务器配置情况及运行日志。 确保 Web 服 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 88087212 传真 : (8610) 88087300 Email: URL: 第 16 页 共 31 页 务器不会因为错误配置导致安全问题，例如泄漏系统文件或者目录列表等等。 运行日志中可能会包含入侵者的入侵探测痕迹，例如 CGI 扫描等等。  运行新的应用前，先进行安全测试。 在安装新的应用时，需要确保使用最新的版本，如果不能这样，也应当保证安装了该软件的最新补丁。 如果是自己开发的应用，更需要严格进行源代码审计，确保没有严重安全问题。  认证过程采用加密通讯 (例如 SSL)或使用 X509 证书模式。  小心设置 Web 服务器的访问控制表。 只允许指定或者可信任的主机登录WWW 服务器。  全面检查 WWW 服务器中的 CGI 程序，降低由 CGI 带来的安全风险，同时要提高程序开发人员的安全意识 对广电总局 而言， Web Server 将用来作为重要数据发布的窗口。 也是威胁的主要来源，我们 建议将其与发布数据库放在防火墙的 INTRUST 区，并实施基于网络的入侵检测。 当然 WWW 主机本身需要专门的安全工程师作安全审计和加固服务。 依靠 专业的安全 服务，对 WEB 系统 (包括各种 UNIX 系统以及 Windows NT/2020)的 WWW 服务器都有 进行 安全配置，最大限度的增强主机系统的安全性。 MAIL 系统的安全 广电总局的电子邮件系统主要用于内部员工与外界进行信息联络，是网络与外部必须开放的服务系统，虽然流量不大，但是对可用性要求是很高，而且很有可能成为攻击者的跳板和入口。 加强电子邮件系统的安全性，我们提出如下办法：  将电子邮件服务器置于 第二层 防火墙的 DMZ 区，和内外网都实现有效的隔离，防治黑客利用此主机作为攻击的跳板。  为该邮件服务器实施主机安全增强服务，消除操作系 统自身的安全漏洞。 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 88087212 传真 : (8610) 88087300 Email: URL: 第 17 页 共 31 页  要求软件供应商升级到最新的安全版本。  由于 目前的垃圾邮件是主要的病毒传播和拒绝服务攻击手段，因此，我们建议对广电总局的邮件系统实施防垃圾邮件措施。 具体措施考虑如下原则：  跟踪技术 按照 RFC 822 规范，每个邮件服务器会将其客户端的地址信息和自己的信息加入到信头的 Received 字段中，这样所有的 Received 字段合起来就可以显示邮件传输的路径。 垃圾邮件的发件人无论通过何种技术，都无法隐藏其来源地址。 如果是动态的地址，可以通过联系发件人使用的第一个 SMTP 服务器的管理员来协同解决问题。  垃圾邮件识别 垃圾邮件识别是一个比较复杂的问题。 目前还没有一个比较全面的方法去识别。 通常可以通过模式识别来进行。 可以采用的方法有：  通过 Received 行来判断是否是垃圾邮件发送者；  通过群发软件在信头中插入的标记来识别；  通过垃圾邮件发件人不当的设置而在邮件中留下的标记来识别；  通过标题或邮件内容里的模式或关键字来识别； 常用的群发邮件程序，包括 DiffondiCool、 Flashsend 等，在其生成的邮件中都包含了特定的标记；而很多垃圾邮件发送程序使用MimeOLE 来进行。 垃圾邮件识别是动态的过 程，要不断地更新模式库才可以阻止大部分的垃圾邮件。  收件人数量限制 对收件人数量进行限制可以有效降低垃圾邮件。 有两种做法：限速或中止。 限速的做法是服务器接收到超过限制数量的收件人地址后，不做响应，插入很长时间的等待（例如 5 秒），然后再响应，这个等待是可 北京玛赛网络系统有限公司 北京西城区金融街 33 号通泰大厦 B 座 419 室 100032 电话 : (8610) 88087212 传真 : (8610) 88087300 Email: URL: 第 18 页 共 31 页 配置的；如果收件人数量非常多，每增加一个收件人，会插入同样的等待时间甚至递增的等待时间，最后，垃圾邮件发送者会因为速度太慢而停手； 中止的做法是在服务器接收到超过限制数量的收件人地址后，立刻返回错误信息，并中止连接。 这种方法会导致垃圾邮件发送程序立刻连接，而 导致系统忙于应付不停的连接、中止操作中；而限制如果过低，会影响正常的工作，限制过高，可以调整垃圾邮件发送程序 另外，也可以实现限速中止，就是说服务器在接收到超过限制数量的收件人地址后，等待较长时间然后中止。  速率限制 对发邮件的速率进行限制，通常是对每连接可以发送的邮件的限制。 限制方法与收件人数量限制类似。  实时黑名单 实时黑名单（ Realtime Blackhole List，简称 RBL）是建立于 DNS 系统上的黑名单系统。 MAPS（ Mail Abuse Preventing System） RBL是一个动 态维护的系统，它将确认为垃圾 IP 地址放在 DNS 记录中，供 SM。