某市社保局信息安全解决方案.docx

1、芜湖市社保局信息安全解决方案北京天融信科技有限公司目录第一章 项目背景 41.1 信息安全严峻形势41.2 单位职能简介5 第二章 安全风险分析 62.1 风险分析方法62.2 网络安全弱点分析72.2.1 网络结构脆弱性72.2.2 系统和应用脆弱性82.2.3 网络访问脆弱性 102.2.4 硬件平台脆弱性 102.2.5 管理脆弱性 102.3 网络安全威胁分析 112.3.1 威胁来源 112.3.2 非人为的安全威胁 122.3.3 人为的安全威胁 122.4 网络安全风险分析 152.4.1 物理安全风险 152.4.2 终端安全风险 152.4.3 网络安全风险 162.4.4

2、系统安全风险 172.4.5 管理安全风险 17 第三章 建设需求分析193.1 自身安全防护的需求 193.1.1 互联网出口单点故障 193.1.2 对基础防护平台的需求 203.1.3 对统一运维审计平台的需求 213.1.4 对集中安全管理的需求 213.1.5 管理安全的需求 223.2 芜湖社保局的符合政策层面的需求 22 第四章 整体方案设计244.1 方案设计原则 244.2 信息安全规划图 264.3 规划内容简介 26 第五章 方案详细设计275.1 详细设计概述 275.2 计算环境防护 275.2.1 终端安全管理 275.3 安全边界防护 315.3.1 防火墙部署

3、315.3.2 网闸部署 325.4 保护通信网络 345.4.1 负载均衡系统 345.4.2 安全运维审计 375.5 安全管理平台 395.5.1 安全措施选择 395.5.2 安全措施整合 405.5.3 技术部署选择 405.5.4 安全策略设计 415.5.5 安全功能要求 41 第六章 天融信公司简介43第一章 项目背景1.1 信息安全严峻形势近几年以来全球网络威胁持续增长，网络罪犯在恶意代码和服务的开发、传播和使用上愈发趋于专业化，目的愈发商业化，行为愈发组织化，手段愈发多样化。网络犯罪背后的黑色产业链获利能力大幅提高，互联网的无国界性使得全球各国用户都避之不及，造成的损失也随

4、着范围的扩散而快速增多。二十年前，黑客攻击网络、窃取信息主要是为了好奇或者想炫耀自己的能力。而今，网络攻击更多的是获取经济利益的目的，已经形成了黑色产业链。这意味着，网络安全形势已日趋严峻。此外，近年来随着全球网络通讯技术高度发展，带宽的不断增加，互联网兼容人数迅速增长。与此同时，公民的隐私及安全问题很突出，特别是涉及公众个人的隐私泄露，如银行卡及手机支付等个人账号密码信息的窃取，给公众带来很多损害，引起群众的强烈反响。新兴 IT 技术的应用，物联网、云计算、移动互联、社交网络以及三网融合等等技术正成为 IT 领域发展的新动向，引起了企业的关注、用户的关注。但是它们的发展正在成为病毒泛滥和黑客

5、攻击的新的温床。而且一旦出现问题，其破坏力将会越来越大。近年来，利用信息网络的安全漏洞或后门窃取、倒卖涉密信息获取利益， 或在互联网上恶意公开个人私密信息的事件频繁发生；而传统网络 IP 化、设备实现软件化、3G 业务等新技术、新形式的出现，电信网、互联网和重要信息系统面临的安全形势越来越严峻。尤其是公共电话网络，已逐渐变成继互联网、短信网络之后一个新的骚扰平台，仅在 2008 年有记录可查的骚扰电话数量就超过 9000 万次，而未被投诉和发现的骚扰电话数量则至少超过 2 亿次。信息安全问题随着国家信息化战略的推广凸显其重要地位。信息安全不仅给国家信息化进程带来现实的挑战，而且基于信息网络的渗

6、透、攻防、电子战等概念，也影响到国防安全，给国家与国家之间带来新的竞争关系，直接影响到国家安全和社会稳定。芜湖市人力资源与社会保障局各层领导对安全工作非常重视，从逐年加大在安全建设方面的投资，进行了一系列的安全组织、制度、管理和技术方面的安全建设工作，在近期要求的安全工作包括加强基础安全管理，包括落实组织保障和安全责任；逐步开展安全建设。要从网络、主机、应用系统不同层面建设多层次、立体化安全防护体系；要集中统一建设必备的网络安全防护手段； 在划分安全区域，统一边界的基础上，实现重点防护和隔离。1.2 单位职能简介芜湖市人力资源和社会保障局主要职责l 贯彻执行国家、省人力资源和社会保障工作方针政

7、策和法律法规；起草有关地方性法规规章草案；l 拟订人力资源和社会保障事业发展规划、政策并组织实施和监督检查。拟订并组织实施全市人力资源发展规划、需求目录工作，拟定人才流动政策法规，负责全市人才开发、人才引进工作，建立全市统一规范的人力资源市场，促进人力资源合理、有效配置。l 负责促进就业工作，拟订统筹城乡就业发展的规划和政策，完善公共就业服务体系；建立就业援助制度，完善职业资格制度；统筹建立面向城乡劳动者的职业培训制度。第二章 安全风险分析2.1 风险分析方法分析安全风险的方法，主要参考 ISO13335，从信息资产、漏洞（弱点）、威胁等多个因素进行全面的评估，具体分析模型如下图所表示：图 3

8、.3.1 ISO13335 以风险为核心的安全模型示意图说明： 芜湖社保局所面临的安全风险的大小，是与芜湖社保局所拥有的信息资产对应的，因为信息资产拥有价值，这种价值则增加了安全风险的等级； 芜湖社保局信息资产总是存在一些弱点（即漏洞），这些弱点被安全威胁利用后，造成安全风险的增加； 针对芜湖社保局的信息资产，总是存在一些人为的或者非人为的威胁因素， 而威胁只有利用了信息资产的弱点之后，才会转换为对信息资产的风险； 因为芜湖社保局存在安全风险，为降低安全风险，芜湖社保局必须采取必要的安全措施；同时安全风险的存在使芜湖社保局产生了对安全的需求， 安全需求只有在采取了相当的安全措施以后，才能够被满

9、足。下面，我们将根据所描述的信息资产分析的结果，进一步从安全威胁、安全弱点进行全面的分析，从而归纳出芜湖社保局信息网所存在的安全风险，并引导出芜湖社保局信息网对安全防护体系的需求。2.2 网络安全弱点分析弱点是资产本身存在的，可以被威胁利用、引起组织信息资产或业务目标的损害，一般的，安全风险总是针对系统的安全弱点，所谓安全弱点就是系统在某个方面存在缺陷，而有可能被系统的攻击者利用，对系统发起攻击。所以安全弱点是分析安全风险的首要因素，针对芜湖社保局信息网络，我们分析其存在以下的安全弱点：2.2.1 网络结构脆弱性针对芜湖社保局信息网络的基础协议-TCP/IP，由于其自身的缺陷，也使芜湖社保局信

10、息网络存在先天的一些弱点。TCP/IP 协议在产生之处，还没有全面考虑安全方面的因素，因而在安全方面存在先天的不足，典型利用 TCP/IP 协议的弱点，发起攻击行为的就是“拒绝服务攻击”，比如“SYNFLOOD”攻击，它就是利用了 TCP 协议中，建立可靠连接所必须经过的三次握手行为，攻击者只向攻击目标发送带“SYN”表示的数据包，导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息，而导致系统处于长期等待状态，直至系统的资源耗尽，而无法正常处理其他合法的连接请求。利用 TCP/IP 协议弱点例子还有就是 IP 欺骗攻击，IP 欺骗由若干步骤组成， 首先，目标主机已经选定。其次，信任模式

11、已被发现，并找到了一个被目标主 机信任的主机。黑客为了进行 IP 欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的 TCP 序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。 如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操 作。使被信任主机丧失工作能力，攻击者将要代替真正的被信任主机。2.2.2 系统和应用脆弱性ID名称说明举例1Backdoor各种后门和远程控制软件，例如 BO、Netbus 等2Brute Force各种浏览器相关的弱点，例如自动执行移动代码等3CGI-BIN各种 CGI-BIN

12、 相关的弱点，例如PHF、wwwboard 等4Daemons服务器中各种监守程序产生弱点，例如 amd,nntp 等5DCOM微软公司 DCOM 控件产生的相关弱点6DNSDNS 服务相关弱点，例如 BIND8.2 远程溢出弱点7E-mail各种邮件服务器、客户端相关的安全弱点，例如 Qpopper 的远程溢出弱点8Firewalls各种防火墙及其代理产生的安全弱点，例如GauntletFirewallCyberPatrol 内容检查弱点9FTP各种 FTP 服务器和客户端相关程序或配置弱点，例如 WuFTPD site exec 弱点10InformationGathering各种由于协议

13、或配置不当造成信息泄露弱点，例如 finger 或 rstat 的输出11InstantMessaging当前各种即时消息传递工具相关弱点，例如OICQ、IRC、Yahoo messager 等相关弱点芜湖社保局信息网络运行有大量的重要服务器，众所周知，每一种操作系统都包含有漏洞（如下表所示），开发厂商也会定期发布不订包。如何对重要服务器进行漏洞扫描、入侵检测、补丁管理成为日常安全维护的重要工作。芜湖社保局信息网络网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。12LDAPLDAP 服务相关的安全弱点，13Network网络层协议处理不当引发的安全弱点，例如LAN

14、D 攻击弱点14NetworkSniffers各种窃听器相关的安全弱点，例如 NetXRay 访问控制弱点15NFSNFS 服务相关的安全弱点，例如 NFS 信任关系弱点16NISNIS 服务相关的安全弱点，例如知道 NIS 域名后可以猜测口令弱点17NT Related微软公司 NT 操作系统相关安全弱点18ProtocolSpoofing协议中存在的安全弱点，例如 TCP 序列号猜测弱点19Router/Switch各种路由器、交换机等网络设备中存在的安全弱点，例如 Cisco IOS 10.3 存在拒绝服务攻击弱点20RPCRPC（SUN 公司远程过程调用）服务相关的弱点例如 rpc.t

15、tdbserver 远程缓冲区溢出弱点21Shares文件共享服务相关的安全弱点，i.e.NetBIOS/Samba 等相关弱点，例如 Samba 缓冲区溢出弱点22SNMPSNMP 协议相关的安全弱点，例如利用“public”进行 SNMP_SET 操作23UDPUDP 协议相关弱点，例如允许端口扫描等24Web ScanWeb 服务器相关安全弱点，例如 IISASPdot弱点25X WindowsX 服务相关安全弱点26Management安全管理类漏洞，2.2.3 网络访问脆弱性网络的访问策略是不是合理，访问是不是有序，访问的目标资源是否受控等问题，都会直接影响到政府机关网络的稳定与安全

16、。如果存在网络内访问混乱，外来人员也很容易接入网络，地址被随意使用等问题，将导致网络难以管理，网络工作效率下将，无法部署安全设备、对攻击者也无法进行追踪审计。这就要求系统能够对网络中发生的各种访问，乃至网络中传递的数据包进行很好的监控，特别是针对芜湖社保局信息网络，由于其既存在对内提供服务的设备，也存在对外提供服务的设备，这些服务器在安装的过程中有可能没有关闭掉一些毫无用处的服务，或者即使关闭了这些服务，也因为操作系统自身存在的漏洞而给攻击者可乘之机，特别是对互联网提供服务的设备，很容易成为政务网络的“安全短板”，被来自互联网的攻击者利用，从而发起对内网的攻击。同时我们还看到，芜湖社保局信息网

17、络除了对互联网存在接口以外，对其 他专网也存在较多的接口，这些外联系统对于芜湖社保局来讲，是不可信任或 者不可管理的，那么如果对这些外联系统发出的访问范围，访问内容脱离控制， 后果是不堪设想的。2.2.4 硬件平台脆弱性硬件平台的脆弱性指硬件平台包括硬件平台的纠错能力，它的脆弱性直接影响着软件资产和数据资产的强壮性。具体而言，软件是安装在服务器、工作站等硬件之上的，所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。而数据是依赖于软件而存在的，也就是说数据资产也间接地依赖于某些硬件，因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等

18、硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。2.2.5 管理脆弱性再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环。我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。对于芜湖社保局信息网络，在管理方面的弱点包括： 缺乏针对性的安全策略和安全技术规范，安全管理和运行维护的组织不健全。 缺乏有效的安全监控措施和评估检查制度，无法有效的发现和监控安全事件，不利于及时发现安全事件并采取相应的措施。 缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的对安全事件的处理流程和制度。随着芜湖社保局信

19、息网络安全建设的深入，将有越来越多的安全防护产品被引入到网络中，这样多种技术和产品多层面、分布式共存，不同厂商的不同产品产生大量不同形式的安全信息，使得整个系统的相互协作和统一管理成为安全管理的难点。整体的安全管理体制也变得非常复杂，其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性，因而导致了网络安全的重大隐患。2.3 网络安全威胁分析威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件,包括威胁来源和威胁手段，网络安全所面临的威胁来自很多方面，针对芜湖社保局信息网络，其面临的安全威胁有非人为威胁和人为的威胁。2.

20、3.1 威胁来源对于芜湖社保局信息网络的主要威胁来源包括： 敌对国家：由政府主导，有很好的组织和充足的财力；利用国外的服务引擎来收集来自被认为是敌对国的信息。而芜湖社保局是国家职能的重要组成，其信息网络与国际互联网连接，必然会成为敌对国家的关注焦点； 黑客：攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个人， 这些人员可能在系统外部，也可能在系统内部，其对网络的攻击带有很强 的预谋性，往往对系统的正常运行造成很大的破坏，或者造成机密信息的外泄。 恐怖分子/计算机恐怖分子：使用暴力或威胁使用暴力以迫使政府或社会同意其条件的恐怖分子或团伙，这些组织或团体会采用收买的方式，利用社交工程侵入芜

21、湖社保局信息网络，造成涉密信息外泄。 国际媒体：向纸业和娱乐业的媒体收集并散发有时是非授权的新闻的组织。包括收集任何时间关于任何一个人的任意一件新闻，特别是针对政府涉密类信息，有着狂热的执着。 有怨言的员工：怀有危害局域网络或系统想法的气愤、不满的员工，或者是一些技术爱好者，希望尝试一些技术，这些员工由于掌握了芜湖社保局信息网络的一些访问资源（比如访问帐号，访问某些业务系统的权限，IP 地址等信息），所以攻击成功的可能性很高，并且对系统的破坏也很可观。2.3.2 非人为的安全威胁非人为的安全威胁主要分为两类：一类是自然灾难，另一类为技术局限性。典型的自然灾难包括：地震、水灾、火灾、风灾等。自然

22、灾难可以对网络系统造成毁灭性的破坏，其特点是：发生概率小，但后果严重。技术局限性体现在网络技术本身的局限性、漏洞和缺陷，典型的漏洞包括： 链路老化、电磁辐射、设备以外鼓掌、自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。对于芜湖社保局信息网络来讲，技术局限性还表现在系统、硬件、软件的设计上可能存在存在，实现上存在不足，配置上没有完全执行即定的安全策略等，这些都将威胁到系统运行的强壮性、可靠性和安全性。信息系统的高度复杂性以及信息技术的高速发展和变化，使得信息系统的技术局限性成为严重威胁信息系

23、统安全的重大隐患。2.3.3 人为的安全威胁被动攻击主要指对网络的人为攻击。这些攻击手段都是通过过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。一般来讲，这种人为的安全威胁主要包括被动攻击、主动攻击、邻近攻击、分发攻击和内部威胁。被动攻击包括分析通信流，监视未被保护的通讯，解密弱加密通讯，获取鉴别信息（比如口令）。被动攻击可能造成在没有得到用户同意或告知用户的情况下，将信息或文件泄露给攻击者。对于芜湖社保局信息网络来讲，被动攻击的行为可能有以下几种形式： 监听网络中传输的数据包； 对明文传递的数据、报文进行截取或篡改； 对加密不善的帐号和口令进行截取，从

24、而在网络内获得更大的访问权限； 对网络中存在漏洞的操作系统进行探测； 对信息进行未授权的访问；主动攻击主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播，或导致拒绝服务以及数据的篡改。对于芜湖社保局信息网络来讲，主动攻击的行为可能有以下几种形式： 假冒：某个实体假装成另外一个实体，以便使一线的防卫者相信它是一个合法的实体，取得合法用户的权利和特权，这是侵入安全防线最为常用的方法； 截取：企图截取并修改在芜湖社保局信息网络内传输的数据； 欺骗：进行 IP 地址欺骗，在设备之间发布假路由，虚假 ARP 数据包，比如一个互联网上的攻击者将数据包的源

25、地址更改为内网地址，就有可能越过外网边界部署的问控制设备； 重放：攻击者对截获的某次合法数据进行拷贝，以后出于非法目的而重新发送。 篡改：通信数据在传输过程中被改变、删除或替代。 业务拒绝：对通信设备的使用和管理被无条件地拒绝。物理临近攻击绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。是指一未被授权的个人，在物理意义上接近网络、系统或设备，试图改变、收集信息或拒绝他人对信息的访问。对于芜湖社保局信息网络来讲，物理临近攻击的行为可能有以下几种形式： 对骨干交换设备的毁坏、偷窃； 对配置数据的收集、

26、修改； 对通信线路物理破坏或数据阻塞，影响网络的可用性； 利用电磁干扰，破坏线路的传输。分发攻击指在工厂生产或分销过程中对硬件和软件进行的恶意修改。这种攻击可能是在产品里引入恶意代码，比如后门。对于芜湖社保局信息网络来讲，物理临近攻击的行为可能有以下几种形式： 利用制造商在设备上进行软硬件配置修改； 在设备分发、安装时修改软、硬件配置。内部人员攻击内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用，或使他人的访问遭到拒绝；后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。对于芜湖社保局信息网络来讲，内部人员攻击的行为可能有以下几种形式： 恶意修改设备的配置参数，

27、比如修改网络中部署的防火墙访问控制策略，扩大自己的访问权限； 恶意进行设备、传输线路的物理损坏和破坏； 出于粗心、好奇或技术尝试进行无意的配置，这种行为往往对组织造成严重的后果，而且防范难度比较高。2.4 网络安全风险分析根据业界的标准，我们知道，信息安全的三个特征是： 保密性：确保只有被授权的人才可以访问信息； 完整性：确保信息和信息处理方法的准确性和完整性； 可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。那么，信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。在考虑芜湖社保局所面临的信息安全风险时，我们主要考虑那些对组 织有负面影响的事件，安全风险的存在来源于两个方面，一是信息资产的价值， 所谓信息资产的价值就是指因信息的泄露、系统的停滞或网络的破坏，对组织 正常运作所带来的损失，信息资产价值越高，那么安全风