1、理性,同时还要具有尚佳的易维护性。3.6 测评认证原则鉴于管理局的行业特性,建议贵单位在安全系统建设中,安全产品应尽量选用国产的经过国家或军队信息安全产品测评认证部门认证的产品。四、安全体系规划我们的解决方案是提供一个企业级安全管理方案,以解决IT基础设施内各个领域的问题,为此明确了以下的这些安全领域:物理安全、网络安全、服务器安全、用户安全、应用程序与服务安全、数据安全和安全管理。由于各项安全技术所涉及的底层技术各不相同, 用来保护每一安全领域机制也有所不同,根据国家有关信息系统安全建设的指导设计原则,我们建议如下的机制:表2. 安全对策一览表4.1 总体设计由于技术领域的交叉性,可能有些安
2、全项目的建设已经在其它项目实施,或应独立实施,例如:物理安全可能应在网络建设时就已经实施,但是由于我国安全建设相对滞后,大多数企业在网络和机房建设时对于防盗、防毁、防灾(防火、防水、防震、防雷击)处理考虑比较周详,但对于防辐射尚有欠缺。又例如:数据备份可能单独作为一项工程系统容灾及数据备份来实施。因此在本方案中对于防盗、防毁、防灾的物理安全以及系统容灾及数据备份不做过多阐述。网络安全总体规划图如图2所示:图2 某民航管理局网络安全总体规划示意图1、 在管理局中心交换机与管理局的边界路由器之间配置防火墙(如图2),这种方案的优点是突出重点保护中心局网,有效防止了来自所有远程网络的不安全因素,同时
3、非常有效地控制了各个安全区域之间的相互访问,安全强度较高;缺点是对于设备要求较高,适应这种接入方式的防火墙必须具有混合接入模式,另外它要求配置的安全策略相应较多。建议实施IP绑定,防止IP冒用。建议防火墙应具备用户认证功能模块,以便于实现用户强化的身份验证。2、 对管理局中心网络系统中所配置的防火墙实施策略评估,保证防火墙的策略必须是安全的。3、 在管理局局网内外配置网络入侵检测系统(IDS),对进出管理局中心网络的所有行为进行监控并进行日志审记,探测网络攻击行为,并根据定制的策略进行响应(阻断、报警),因此这里选用的IDS产品最好能与管理局使用的防火墙产品进行联动。4、 在管理局中心局网内配
4、置网络漏洞扫描系统,实施对整个局网系统的安全漏洞扫描评估。5、 对管理局中心服务器配置基于主机的操作系统漏洞扫描器,实施对主机操作系统的安全漏洞扫描评估。6、 对管理局中心服务器配置基于主机的数据库漏洞扫描器,实施对相关数据库的安全漏洞扫描评估。7、 在管理局中心系统处部署的防火墙与路由器之间部署VPN或者防火墙本身含VPN模块,而在各省市管理局局网络边界处配置VPN来保证省管理局中心与各省市管理局之间的保密通讯(在图2中未画出),具体配置见图3。4.2 物理安全4.2.1 防电磁辐射管理局网络系统大量采用了5类UTP线缆,而广域网则是租用的DDN线路,由于电信号在传输时随着信号的变化电磁场也
5、在不断变化,这就会产生电磁辐射,而上述线路基本没有任何屏蔽能力;同时由于管理局所采用的计算机及网络设备均不是低辐射产品,同样也存在较强的电磁辐射。因此,如果不采取有效的防电磁辐射措施,管理局的信息很容易被国外间谍机构采用电磁波还原技术所窃取,从而造成严重后果。对于计算机和网络设备的防电磁辐射,主要采用以下一些方法来抑制:对于较为集中的重要设备可以为其建立屏蔽室,对于分散的不能在屏蔽室存放的设备则宜采用低辐射设备,若因无相应低辐射设备或采用低辐射设备成本太高,也可以考虑使用主动式电磁干扰设备来降低被窃听的风险。对于线路防电磁辐射,主要采用以下一些方法来抑制:将非屏蔽网线更换成有屏蔽能力的5类ST
6、P或光纤,但这样相对成本较高。对网络通讯进行加密,虽然其本身不能防止电磁辐射,但却能够很有效防范因电磁泄露而被敌人窃听信息,因此如果更新线路成本太高或者无法达成,则可以考虑对网络通讯进行加密。4.2.2 重要设备及信息点的物理保护对于重要设备(如:中心服务器)需要进行物理保护,它主要包括三个方面:环境安全:对系统所在环境的安全保护,如区域保护和灾难保护(参见国家标准GB50173-93电子计算机机房设计规范、GB2337-89计算机场地技术条件、CB9361-88计算机场地安全要求)。设备安全:主要包括设备的防盗、防毁坏和电源保护等。对于中心机房和关键信息点应采取多种安全防范措施,确保非授权人
7、员无法进入,中心机房与处理核心业务的系统均应采用有效的电子门控系统和多重的身份验证措施。核心业务设备应有不间断电源保护。媒体安全:包括数据及媒体本身的安全。4.3 网络安全4.3.1 网络安全设计本节主要从网络角度论述如何保证网络系统提供数据传输和交换中的完整性、保密性、抗否认性和可用性。针对网络系统的具体情况采用不同的安全考虑。我们主要从以下几个方面考虑:首先考虑网络中合法用户的身份验证,如何通过安全机制对非法用户进行拒绝,容许合法用户的访问,对不同用户的访问权限进行限制。其次要考虑数据在网络中传输的完整性,保证数据不被篡改,保证数据传输的安全,可以通过各种数据加密技术来实现。再次要考虑数据
8、传输的隐秘性,保证数据在传输过程中不被非法窃取,造成泄密。最后要考虑对网络用户进行稽查,运作核查和维护,通过可用的核查工具进行核查, 要了解用户的所作所为及系统运行情况。为了完成以上的四点要求,我们对不同需求采用不同的方法来实现。具体可采取以下几方面的措施进行网络安全的控制。1. 网络访问控制依托防火墙技术保证只有被允许的主机(IP/MAC)可以访问其被授权访问的主机和相关服务(包括应用程序)。2. 通讯的安全保密依托VPN和加密应用软件防止敏感数据在通讯信道中传输时被窃取、被篡改和否认企图。3. 网络入侵检测主要依托网络入侵检测软件并辅以各种网络设备的审记日志及入侵检测系统。4. 在管理局中
9、心网络系统中还应配置网络漏洞扫描检测软件,对管理局中心网络系统进行网络安全风险评估及网络漏洞进行检测、并对已检测出的漏洞根据设置的策略提出处理建议。由于各方的网络设备配置情况不尽相同,因此在具体实施安全保障过程中应以立足现有设备为基本前提条件,采用相应的安全措施。4.3.2 网络设备的安全保障整个网络的安全首先要确保网络设备的安全,保证非授权用户不能访问一台机器、防火墙和网络交换设备。这里我们通过一个具体的例子来说明网络设备安全的实现,对于不同的网络设备、不同厂家的网络设备,要防范的内容是一样的,但具体的配置方法可能不同。为了保障网络设备的安全性,我们要考虑从以下几个方面的因素: 安全的控制台
10、/Telnet 访问 控制SNMP 访问 在局网中划分VLAN 强化用户的管理对防火墙及VPN访问的控制由于防火墙和VPN在本安全系统中是控制安全非常关键的基础设备,它们安全与否关系到整个网络体系的安全强度,因此对它们的保护应是非常严格的。建议对它们的访问控制可使用以下几种方式: 由指定的控制台访问控制和管理防火墙或VPN 对用户实行3A认证 对口令进行加密 禁止Telnet的访问对简单网络管理协议(SNMP)访问的控制通过对路由器、防火墙设备的配置,使得只能由某个指定IP地址的网管工作站才能对路由器、防火墙进行网络管理,对路由器、防火墙其它网络设备进行读写操作。4.4 服务器安全保护服务器主
11、机主要依托以下一些安全机制:访问控制:利用服务器操作系统的访问控制机制来解决分布式系统的服务器和用户工作站需要控制谁能访问它们或访问者可以干些什么;主机入侵检测系统:检测有意或偶然闯入系统的不速之客;操作系统/数据库漏洞扫描系统:风险评估被用来检查系统安全配置的缺陷,发现安全漏洞;防病毒软件:防止病毒和特洛伊木马的侵入,并对已感染的系统进行杀毒和隔离处理;病毒免疫系统:目前几乎所有的计算机防病毒软件都是根据病毒特征码对现有的病毒进行侦测和查杀,但是对于新病毒查杀都存在一定周期的滞后,并且对于多态性病毒几乎无能为力,同时又无法做到防患于未然,而最新的防病毒技术病毒免疫技术则采用对所有计算机中的文
12、件注射疫苗的方式使它们能够有效抵抗各种病毒的攻击,因此有必要采用病毒免疫系统与防病毒软件配合使用才能非常有效防范计算机病毒。政策审查:政策审查则用来监视系统是否严格执行了规定的安全政策。4.5 用户安全实施单一的登录机制用户账户是通向系统内所有资源的访问关口。管理这些账户,在用户获得访问特权时设置用户功能,或在他们的访问特权不再有效时限制用户账户是安全的关键。这部分安全主要依托于各个系统自带的分级授权、用户身份效验、审计功能。实施强化的用户管理机制随着企业分布式计算环境的发展,需要管理的资源越来越多,如用户、用户组、计算机之间的信任关系、不同操作系统、不同通讯协议、不同的数据库系统、不同的服务器和桌面机等等。随着这些资源的增加,要想安全有效地管理他们就越来越困难了。单独地维护多种目录体系既费时费力,又容易出错,还难以保证系统的总体安全性和一致性。管理企业内部的用户资源也变得越来越重要和困难。在通常的
