IPSIDS网络安全解决方案具有参考价值Word文档下载推荐.doc

1、5.4总体设计思想565.4.1内网设计原则575.4.2有步骤、分阶段实现安全建设585.4.3完整的安全生命周期595.5网络区域划分与安全隐患596.0网络安全部署59保护目标59威胁来源60安全策略606.1防火墙系统626.1.1防火墙系统的设计思想626.1.2 防火墙的目的636.1.3 防火墙的控制能力646.1.4 防火墙特征656.1.5 第四代防火墙的抗攻击能力676.1.6 防火墙产品的选型与推荐696.2入侵检测系统746.2.1什么是入侵检测系统746.2.2如何选择合适的入侵检测系统756.2.3IDS的实现方式-网络IDS766.2.4IDS的实现方式-主机ID

2、S776.2.5基于网络的入侵检测系统的主要优点有：796.2.6入侵检测系统的设计思想796.2.7入侵检测产品的选型与推荐826.3漏洞扫描系统876.3.1漏洞扫描系统产品选型与推荐886.3.2漏洞扫描系统的部署方案896.4网络信息监控与取证系统906.4.1网络信息监控与取证系统产品的选型与推荐916.4.2网络信息监控与取证系统的部署方案946.5内部安全管理系统（防水墙系统）966.5.1内部安全管理系统产品选型与推荐986.5.2内部安全管理系统的部署方案1046.6其他计算机系统安全产品介绍1056.6.1天镜系漏洞扫描1056.6.2数据库审计系统1096.6.3iGua

3、rd网页防篡改系统1146.6.4防垃圾邮件网关1216.6.5集中安全管理平台 GSMDesktop 7.11306.6.6中软运行管理系统2.0R21351.信息安全介绍信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递或电子手段发送，可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适当地保护起来。因此信息安全的特征包括如下特性： 保密性（confidentiality）：保证信息只让合法用户访问； 完整性（integrity）：保障信息及其处理

4、方法的准确性（accuracy）、完全性（completeness）； 可用性（availability）：保证合法用户在需要时可以访问到信息及相关资产。实现信息安全要有一套合适的控制（controls），如策略（policies）、惯例（practices）、程序（procedures）、组织的机构（organizational structures）和软件功能（software functions）。这些控制需要被建立以保证机构的安全目标能够最终实现。信息安全意义信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重

5、要。但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管理的效果。很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。

6、对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便宜。1.1 信息安全原理绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入”系统。安全性的增加通常导致企业费用的增长，这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素，例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。1.1.1 系统生命周期系统生命周期通常由以下阶段组成：概念与需求定义、系统功能设计、系统开发与获取、系统实

7、现与测试、系统的持久操作支持和最终系统处理。在过去的几年里，实现系统生命周期支持的途径已经转变，以适应将安全组成部分和安全过程综合到系统工程过程中的需要。与系统生命周期相对应，安全生命周期由以下几个阶段构成：安全概念和需求定义、安全机制设计、安全集成与实现、安全管理解决方案和安全风险分析。涉及到任何功能和系统级别的需求，通过理解安全需求、参加安全产品评估并最终在工程设计和实现系统等方式，应该在生命周期过程的早期便提出安全问题。近年来发现，在系统开发之后实现系统安全非常困难，而且已经有了不少教训。因此，必须在发掘需求和定义系统时便考虑安全需求。为了在系统工程过程中有效地集成安全方法与控制，设计者

8、与开发者应该调整现有的过程模型，以产生一个交互的系统开发生命周期。该周期更关注使系统获得安全性的安全控制和保护机制。1.1.2 3S安全体系3S安全体系由三部分组成：安全解决方案（Security Solution）、安全应用（Security Application）和安全服务（Security Service）。这三部分又都以客户价值为中心。安全解决方案（Security Solution）包括安全解决方案的设计与实施，安全产品选型与系统集成。安全应用（Security Application）包括根据用户的实际应用环境，为用户定制应用安全系统。安全服务（Security Service）

9、则贯穿了整个安全建设的始终，从最初的安全风险评估与风险管理，帮助用户制定信息安全管理系统，系统安全加固，紧急安全响应，到安全项目实施后的安全培训教育。附图1. 3S安全体系1.1.3 关注资产的安全风险安全技术涉及到方方面面的问题。对各种系统和设备的安全管理必然是一个复杂的、高负荷的工作。在若干的安全事件中，我们关注的是那些针对关键资产的安全漏洞发起的攻击，这些攻击才会对资产形成威胁。因此，对于企业资产和资产风险的管理应该是整个安全管理的第一步，即通过对这些资产的安全评估，了解资产安全状况的水准。这些工作是其他安全保护技术的基础，也是有效管理企业IT安全的基石。安全弱点管理平台可以智能发现关键

10、IT业务资产和经营这些资产的技术（操作系统、应用程序、硬件版本等等），将其与确认的弱点进行对比，并提供包含逐步修补指导说明的基于风险的弱点管理任务列表，指导IT管理员合理及时处理安全弱点，从而显著地降低风险。安全对抗平台对关键网段进行监视，并且可以随时准备转移到安全事件的突发区，进行事件分析，帮助管理员和专家抵抗、反击攻击者。在安全事件发生后，可以重建安全事件过程、恢复关键数据，能够极大地提高系统的生存能力，并且起到威慑攻击者的目的。1.1.4 统一管理安全事件不是独立的、偶然的。一次成功的攻击事件，必然会在网络的相关设备和系统中有所反应。不论是人为发起的攻击，还是来自病毒的攻击行为，都可以从

11、防火墙、路由器、交换机、入侵检测和主机系统中获取相关的证据。攻击的证据零散地分布在这些系统中，如果能够有效地、智能地加以整合，我们就可以清晰地了解到整个安全事件的过程，帮助管理员更好地管理信息系统的安全。来自管理方面的需求也迫切地需要一个安全统一管理平台。从广义的角度来看，网络设备应该也属于网络安全的一部分。在一个大型的网络中，对于分布在不同网段、不同地理位置的网络设备、安全设备的管理会消耗管理员大量的精力。而安全系统往往会部署在异构平台上，对于这些异构平台的掌握、对于安全系统的掌握也会浪费管理员的时间和精力。安全统一管理自动整合来自运行路由器、交换机、入侵检测、防病毒、防火墙等安全产品的事件

12、数据，同时通过其客户端以及SAPI有效收集第三方安全检测产品产生的安全事件数据，并将其存储在中心数据库中以便方便地进行访问和编写报表。管理员使用安全统一管理平台管理、监视、报警和报告跨平台的用户活动信息。有了这些信息，系统管理员将可以在出现可能对关键电子商务系统造成负面影响的袭击和问题之前，立即做出反应。1.1.5 安全 = 管理 + 技术信息和支持进程、系统以及网络都是重要的业务资产。为保证企业富有竞争力，保持现金流顺畅和组织赢利，以及遵纪守法和维护组织的良好商业形象，信息的保密性、完整性和可用性是至关重要的。很多信息系统在设计时，没有考虑到安全问题。通过技术手段获得安全保障十分有限，必须辅

13、之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划，并对细节问题加以注意。作为信息安全管理的最基本要求，企业内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施，那么信息安全控制的成本会很低，并更有效率。1.2 计算机系统安全问题目前，计算机系统和信息安全问题是IT业最为关心和关注的焦点之一。据ICSA统计，有11的安全问题导致网络数据被破坏，14导致数据失密，15的攻击来自系统外部，来自系统内部的安全威胁高达60。由于受到内部心怀不

14、满的职工安放的程序炸弹侵害，Omega Engineering公司蒙受了价值300万美元的销售收入和合同损失，由于受到来自网络的侵袭，Citibank银行被窃了1000万美元，后来他们虽然追回了750万美元损失，但却因此失去了7的重要客户，其声誉受到了沉重打击。这只是人们知道的两个因安全问题造成巨大损失的例子，实际上，更多的安全入侵事件没有报告。据美国联邦调查局估计，仅有7的入侵事件被报告了，而澳大利亚联邦警察局则认为这个数字只有5。因为许多入侵根本没有被检测到，还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。那么，为什么当今信息系统中存在如此之多的安全隐患，安全问题如此突出呢？这是与

15、计算机系统的发展、当今流行系统的设计思路、当前IT系统的使用状况紧密相关的。下面，我们从以下几个方面简要论述。1.2.1 从计算机系统的发展看安全问题安全问题如此突出和严重是与IT技术和环境的发展分不开的。早期的业务系统是局限于大型主机上的集中式应用，与外界联系较少，能够接触和使用系统的人员也很少，系统安全隐患尚不明显。现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用，用户、程序和数据可能分布在世界的各个角落，给系统的安全管理造成了很大困难。早期的网络大多限于企业内部，与外界的物理连接很少，对于外部入侵的防范较为容易，现在，网络已发展到全球一体

16、化的Internet，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等等。在这样一个分布式应用的环境中，企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”，只要有一个“门户”没有完全保护好忘了上锁或不很牢固，“黑客”就会通过这道门进入系统，窃取或破坏所有系统资源。随着系统和网络的不断开放，供黑客攻击系统的简单易用的“黑客工具”和“黑客程序”不断出现，一个人不必掌握很高深的计算机技术就可以成为黑客，黑客的平均年龄越来越小，现在是1416岁。1.2.2 从计算机

17、系统的特点看安全问题在现代典型的计算机系统中，大都采用TCP/IP作为主要的网络通讯协议，主要服务器为UNIX或Windows NT操作系统。众所周知，TCP/IP和UNIX都是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还存在一些这样那样的漏洞。TCP/IP的结构与基于专用主机（如IBM ES/3000、AS/400）和网络（如SNA网络）的体系结构相比，灵活性、易用性、开发性都很好，但是，在安全性方面却存在很多隐患。TCP/IP的网络结构没有集中的控制，每个节点的地址由

18、自己配置，节点之间的路由可任意改变。服务器很难验证某客户机的真实性。IP协议是一种无连接的通讯协议，无安全控制机制，存在IP Spoofing、TCP sequence number prediction attacks、Source outing attacks 、RIP attacks、ICMP attacks、Data-driven attacks （SMTP and MIME） 、Domain Name Service attacks、Fragment attacks、Tiny fragment attacks、 Hijacking attacks、Data integrity att

19、acks、 Encapsulated IP attacks等各种各样的攻击手段。实际上，从TCP/IP的网络层，人们很难区分合法信息流和入侵数据，DoS（Denial of Services，拒绝服务）就是其中明显的例子。UNIX操作系统更是以开放性著称的，在安全性方面存在许多缺限。如用户认证和授权管理方面，UNIX操作系统对用户登录的管理是靠用户名和口令实现的，存在很多安全上的隐患；在对资源的访问控制管理方面，UNIX只有读、写和执行三种权限，无法对文件进行更为细致的控制，且缺乏完善有效的跟踪审计能力。严格的控制需要复杂的配置过程，不同系统上配置方法也很不一致，实际上无法全面有效地实施。另外

20、UNIX中的root用户为特权用户，拥有至高无上的特权，它也成为黑客窥视的主要目标，给系统安全造成了极大危害。2.物理安全2.1 设备的安全目的： 防止资产丢失、损失或被破坏，防止业务活动的停顿。设备应有物理保护不受安全威胁及环境事故的影响。要保护设备（包括用在离线的地方）以减少非法访问数据的风险，和保护不会丢失或损失，也要考虑设备应放在什么地方及如何处理掉。 可能需要特别的控制来保护故障或非法访问，和保障支援设备，例如电力供应和线缆架构。2.1.1设备的放置及保护设备应放在安全的地方，保护减少来自环境威胁及事故的风险，减少非法访问的机会。要考虑的有： 设备的位置，应是尽量减少不必要的到工作地

21、方的访问； 处理敏感数据的信息处理及储存设备应该好好放置，以减少使用时被俯瞰的风险； 需要特别保护的东西，应被隔离； 应控制并减少潜在威胁出现的风险：n 偷窃；n 火；n 爆炸物；n 烟；n 水（或供水有问题）；n 尘埃；n 震动；n 化学效应；n 电力供应干扰；n 电磁辐射； 机构应考虑在信息处理设备附近的饮食及吸烟策略； 应监控那些严重影响信息处理设备操作的环境； 考虑在工业环境设备的特殊保护方法，例如采用键盘薄膜； 应考虑在大厦附近发生灾难的后果，例如隔离大厦着火、房顶漏水，地下层渗水、街道发生爆炸。2.1.2电力的供应应保证设备电源不会出现故障，或其它电力异常。应有适当的、符合设备生产

22、商规格的电力供应。关于连续性供电的选项有： 多个输电点，避免单点输电导致全部停电； 不间断电源（UPS）； 备份发电机。建议为那些支持重要业务操作的设备配备UPS，保持有次序的停电或连续性供电。应急计划应包括UPS 发生故障时应采取什么行动。UPS设备应定期检查，保证有足够的容量，并按生产商的建议进行测试。如果发生长时间电源失败还要继续信息处理的话，请考虑配备后备发电机。发电机安装后，应按生产商的指示定期进行测试。应提供足够的燃料保证发电机可以长时间发电。此外，紧急电力开关应放置设备房紧急出口的附近，以便一旦发生紧急事故马上关闭电源。也要考虑一旦电源失败时的应急灯。要保护全大厦的灯，及在所有外

23、部通讯线路都要装上灯光保护过滤器。2.1.3电缆线路的安全应保护带有数据或支持信息服务的电力及电讯电缆，使之不被侦听或破坏。要注意的有： 进入信息处理设备的电力及电讯电缆线路应放在地下下面，如可能，也可以考虑其它有足够保护能力的办法； 网络布线应受到保护，不要被非法截取或被破坏，举例，使用管道或避免通过公众地方的路径； 电源电缆应与通讯电缆分开，避免干扰； 至于敏感或重要的系统，更要考虑更多的控制，包括：n 安装装甲管道，加了锁的作为检查及终点的房间或盒子；n 使用可选路由或者传输介质；n 光纤光缆；n 清除附加在电缆上的未授权设备。2.1.4设备的维护设备应正确维护来保证连续性可用合完整性。

24、 以下是要注意的： 设备应按供应商的建议服务间隔及规格维护； 只有授权的维护人员才可以修理设备； 记录所有可疑的或真实的故障，以及所有防范及改正措施； 实施适当的控制如何把设备送出大厦进行修理2.1.4设备离开大厦的安全无论是谁拥有的，在机构外面使用任何设备处理信息应有管理层的授权。 所提供的安全保护应与设备在大厦内使用时相同。还要考虑在机构大厦外面工作的风险。信息处理设备包括所有形式的个人计算机、商务通、移动电话纸张或其它表格，放在家里或从日常工作地方搬走。 从大厦取走的设备及介质，不应放在公众地方无人看管。 笔记本计算机应当作手提行李随身，及在外时尽量遮蔽，不要显露在外被人看到； 应时常注

25、意生产商保护设备的指示，例如不要暴露在强大的电磁场内； 在家工作的控制，应在评估风险后确定，并适当地实施，举例，可上锁的文件柜、清除桌子的策略及计算机的访问控制； 应有足够的保险保护不在大厦的设备。安全风险，例如损坏、被盗及偷听，可能每个地方都不同，所以应仔细考虑后确定最适当的控制。参看3.8.1的关于如何保护移动设备。2.1.5设备的安全清除或重用信息可以通过不小心清除或重复使用设备而被破坏（参看8.6.4），有敏感信息的存储设备应该物理被销毁或安全地覆盖，而不是使用标准的删除功能。所有储存设备，例如固定硬盘，应被检查以保证已清除所有敏感数据及授权软件，或在清除前已被覆盖。损坏了、有敏感数据

26、的储存设备可能需要评估风险后确定是否把设备销毁、修理或丢掉。3.访问控制3.1访问控制的业务需求控制信息的访问。应按照业务及安全要求控制信息及业务程序的访问，应把信息发布及授权的策略内容加入到考虑范围之内。3.1.1访问控制策略3.1.1.1策略及业务需求首先要定义业务需求的访问控制，并记录下来。访问策略的文件应清楚写明每个用户或每组用户应有的访问控制规定及权限，用户及服务提供商都应有一份这样的文件，明白访问控制要达到什么业务需求。访问控制策略应包括以下内容： 每个业务应用系统的安全要求； 确认所有与业务应用系统有关的信息； 信息发布及授权的策略，例如：安全级别及原则，以及信息分类的需要； 不

27、同系统及网络之间的访问控制及信息分类策略的一致性； 关于保护访问数据或服务的相关法律或任何合同规定； 一般作业类的标准用户访问配置； 在分布式及互联的环境中，管理所有类别的连接的访问权限。3.1.1.2访问控制规定在制定访问控制规定时，应小心考虑以下： 将必须实施的规定和可以选择实施或有条件实施的规定分开考虑； 根据“除非有明文准可，否则一般是被禁止”的原则建立规定，而不是“在一般情况下全都可以，除非有明文禁止”的模糊概念； 由信息处理设备自动启动与经过用户判断启动的信息标记改动； 由信息系统自动启动的与由管理员启动的用户许可的变动。 需要与不需要管理员或其它批准才能颁布的规定。3.2用户访问

28、的管理防止非法访问信息系统。应有一套正式程序来控制分配信息系统及服务的访问权限。手续应包括用户访问生命周期的所有阶段，从一开始注册新用户直到最后注销那些不再需要访问信息安全及服务的用户。应特别注意控制分配特级访问权限，因为这些特级权限让用户越过系统的控制。3.2.1用户登记应有一套正式的用户注册及注销手续，以便授予访问所有多用户信息系统及服务。多用户信息服务的访问应通过正式的用户注册手续控制，内容应包括： 使用唯一的用户ID，以便鉴定是谁做什么操作，并予以追究责任； 检查用户是否已被系统拥有者授权使用信息系统或服务。有时，还需要管理个别批准访问权限； 检查所准许的访问级别是否适用于业务目的（参

29、看3.1），是否与机构的安全策略一致，例如不会破坏责任的分开； 发送用户访问权限声明书给用户； 要求用户在声明书上签字，表示明白了访问的条件； 确保服务提供者不能访问，直到授权手续已完成； 保存一份所有注册使用服务的正式名单； 马上取消已更换岗位、或已离开机构的用户的访问权限； 定期检查是否有多余的用户ID及账号，并予以除掉； 确保多余的用户ID不会发给其它用户。此外，应仔细研究员工合同及服务合同中涉及员工或服务商试图非法访问后所受到的制裁的条款。3.2.2特权管理应禁止及控制特权（指任何一种功能或设备会让用户可以越过系统或应用系统控制的多用户信息系统）的分配与使用。不适当使用系统特权往往是系统安全被破坏的主要原因。需要保护不被非法访问的多用户系统应有正式授权手续控制特权的分配，应考虑以下的步骤： 认与每个系统产品（例如操作系统、数据库管理系统以及每个应用系统，以关联的特权，以及找出那些应配有特权的员工。 权应按照“需要使用”及“按事件”的原则分配，即只在需要时所赋有的最低功能角色要求。 应有一套授权程序，及记录所有被分配的特权。不应授予特权，直到完成整个授权程序。 鼓励开发及使用系统例行程序，以避免授予用户特权的需要 特权应赋予不同的用户ID，与用作业务的ID分开3.2.3用户口令的管理口令是一个常用方法，来核查访问某个信息系统或服务的用户身份。所