重庆钢铁集团信息网络安全解决方案设计.doc

重庆钢铁集团信息网络安全解决方案设计2重钢集团网络安全体系设计原则2.1综合性整体性原则应用系统工程的观点方法分析网络的安全及具体措施安全措施主要包括行政法律手段各种管理制度人员审查工作流程维护保障制度等以及专业措施识别技术存取控制密码低辐射容错防病毒采用高安全产品等一个较好的安全措施往往是多种方法适当综合的应用结果一个计算机网络包括个人设备软件数据等这些环节在网络中的地位和影响作用也只有从系统综合整体的角度去看待分析才能取得有效可行的措施即计算机网络安全应遵循整体安全性原则根据规定的安全策略制定出合理的网络安全体系结构2.2需求风险代价平衡的原则16对任一网络绝对安全难以达到也不一定是必要的对一个网络进行实际研究包括任务性能结构可靠性可维护性等并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析然后制定规范和措施确定本系统的安全策略2.3一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期或生命周期同时存在制定的安全体系结构必须与网络的安全需求相一致安全的网络系统设计包括初步或详细设计及实施计划网络验证验收运行等都要有安全的内容及措施实际上在网络建设的开始就考虑网络安全对策比在网络建设好后再考虑安全措施不但容易且花费也小得多2.4易操作性原则安全措施需要人为去完成如果措施过于复杂对人的要求过高本身就降低了安全性其次措施的采用不能影响系统的正常运行2.5分步实施原则11由于网络系统及其应用扩展范围广阔随着网络规模的扩大及应用的增加网络脆弱性也会不断增加一劳永逸地解决网络安全问题是不现实的同时由于实施信息安全措施需相当的费用支出因此分步实施即可满足网络系统及信息安全的基本需求亦可节省费用开支2.6多重保护原则任何安全措施都不是绝对安全的都可能被攻破但是建立一个多重保护系统各层保护相互补充当一层保护被攻破时其它层保护仍可保护信息的安全2.7可评价性原则如何预先评价一个安全设计并验证其网络的安全性这需要通过国家有关网络信息安全测评认证机构的评估来实现2.8可扩展性原则由于网络安全是动态的,虽然现在的方案解决了目前安全但是随着时间的变化原有的网络安全解决方案可能满足不了其需求这时就需要对原有的网络解方案进行升级所以现有的网络解决方案应该是具有可扩展性2.9先进性原则重庆钢铁集团公司是国家的重要部门其网络安全更是代表了整个国家的网络安全技术水平所以重庆钢铁集团的安全必须是有一个先进水平的安全具体的技术和技术方案应保证整个系统的具有的技术先进性.2.10管理为本原则安全技术是静态而解决网络信息安全却是一个动态的过程只有好的安全管理才能保证安全技术得到正确合理和及时的使用三分技术,七分管理就是这样来的2.11合理规划,分步实施原则一个完整的网络安全解决方案不可能在很短的时间全部实施完成,需要对整个安全建设过程进行合理的规划.根据重庆钢铁集团网络安全现状,有步骤的分步实施2.12标准性原则设计重庆钢铁集团的网络安全,要根据相关的法律法规的技术规范和标准2.13纵深性原则网络安全是一个多方面,多层次的系统,提供的安全解决方案应该是一个多层保护体系,各层保护相互补充,当一层保护被攻破时,其它层保护仍可以起到保护的作用2.14保障安全系统自身的安全原则网络安全系统是保护整个网络的重要部分如果网络安全系统本身被攻破那么整个网络就自然被攻破了所以安全系统本身的安全也是必须是重庆钢铁集团公司网络安全所必须考虑的2.15适应性及灵活性原则重庆钢铁集团的网络安全方案设计必须是针对其自身设计的安全方案须适应整个集团网络系统的现状以及需求所采取的措施必须能随着网络性能及安全需求的变化而变化要容易适应容易修改2.16投入产出比原则结合重庆钢铁集团自身的网络结构和已经使用部分的安全产品设计一个完整的安全解决方案让用户用最小的投资获取最大的回报避免重复性投资3重庆钢铁集团网络及应用现状3.1全集团信息系统概述重钢集团信息化建设从20世纪90年代开始建设至今已初具规模目前重钢集团公司经过多年的信息化建设已经完成了财务系统固定资产系统人事系统装备管理系统质量管理系统产销一体化系统OA系统等各个功能子系统全公司其余二级单位通过光纤链路都已经连入重钢骨干网形成了一个统一的内部网络系统中心机房放在红楼的四楼连进中心机房的有集团装备处中板厂炼钢厂高线厂型钢厂质管处运输部炼铁厂焦化厂动力厂等连入集团的有刚研所原料处销售电子公司中板厂等中板厂同时也连入股份公司同时每个分厂都有自己的机房里面有各个分厂进行日常生产和办公所需的信息系统并有专人在负责管理和维护没有专人管理维护的由信息中心负责目前网络上已具备了集团电子公司股份公司红楼装备处销售处钢研所中板厂炼钢厂高线厂型钢厂质管处运输部炼铁厂焦化厂动力厂原材料处都安装了防火墙型号为首信和Netscreen网络设备主要为华为85万兆系列65千兆系列交换机linksys hp联想北电cisco金浪d-link harbour等二层接入交换机采用的操作系统有Sco UnixRedFlag Linux Windows 98/2000/xp等操作系统数据库系统主要是Oracle系统现在整个集团正在测试产销一体化系统这个是很重要的系统对重钢来说运行了这套系统后可以大大提高整个集团的运营效率增加收益总体的IP地址规划如下重庆钢铁集团用的IP地址为10.x.x.x这个保留的网段地址各个分厂各自分配一个地址空间具体的分配情况如下面的地址规划在中心骨干交换机上设置的为172.16.x.x这个保留网段运行的是OSPF动态路由协议来对各个分厂的相互访问提供动态路由便于管理和维护重庆钢铁集团网络地址的划分如下集团大楼10.10.X.X销售处和进出口公司10.31.X.X原料处10.41.X.X电子公司10.82.X.X五厂10.89.X.X钢研所10.90.X.X冷轧厂10.91.X.X红楼10.100.X.X装备处10.103.X.X焦化厂10.111.X.X铁厂10.112.X.X烧结厂10.113.X.X动力厂10.114.X.X炼钢厂10.140.X.X运输部10.141.X.X高线厂10.142.X.X型钢厂10.143.X.X质管处10.145.X.X重庆钢铁集团的信息系统结构总体上可以分为三层核心交换层是整个重庆钢铁集团的交换中心整个集团的很多生产数据都要经过它来进行上internet的信息也要经过它通过光纤链路连接汇聚层汇聚层下面的各个分厂和单位经过防火墙或者65系列交换机连到骨干网对整个集团的信息进行访问通过光纤和对绞线连接核心层接入层接入层各个分厂下面的生产车间和单位通过会聚层接入核心交换层进行数据的共享通过光纤连接汇聚层在核心层和汇聚层都有相应的数据处理中心核心层网络中心是整个集团的信息处理中心汇聚层信息中心是下面各个分厂的数据处理中心3.2骨干网络信息系统现状重庆钢铁集团信息系统总体上是一个多层次星形的网络结构通过光纤连成骨干的信息交换网络核心层信息中心负责整个集团的信息处理汇聚层信息中心负责各个分厂的数据处理骨干网络结构按照应用可以分为三层核心交换层核心应用服务层系统内部线路接入层核心交换层重庆钢铁集团的核心交换层是由华为的S8505万兆骨干交换机和S6506R千兆系列交换机组成在股份公司有一台S8505和两台S6506R在集团公司有一台S8505和一台S6506R交换机上的硬件设施都是做了备份的防止硬件故障造成网络系统的不可用同时在85和65上根据需要划分了很多VLAN具体的划分见下面的详细的信息系统介绍核心应用服务层该层是重钢集团和重庆钢铁股份的数据处理核心两台IBM445做的数据库服务器四台IBM 365做的应用服务器一台IBM 225做的应用服务器现在正在测试比较重要的产销一体化系统测试完成后放在骨干网络上系统内部线路接入层骨干网络核心交换层是下面各个分厂的汇聚点通过光纤链路和下面的各个分厂相连构成一个系统的内部网络系统3.3分厂信息系统现状重庆钢铁集团下面有很多的分厂公用数据信息和产销一体化系统的数据处理是在核心交换网络上但是下面各个分厂的具体的生产系统管理系统调度系统等处理都是在各个分厂的数据信息中心进行处理下面的各个分厂的网络拓扑几乎都是星形的网络机构从连接的结构看可以分为三个层次核心交换层应用服务层线路连接层核心交换层主要是各个分厂的内部办公信息处理和生产管理系统的交换处理等一般为二层交换设备有的分厂有65系列交换机应用服务层各个分厂的日常管理信息系统生产调度系统数据库服务器系统等线路接入层连接到骨干交换网络和下面的生产车间工作单位办公系统等一般的连接光纤和双绞线等3.4重庆钢铁集团网络安全产品使用现状和安全隐患根据对重庆钢铁集团网络安全系统的了解得出重庆钢铁集团目前网络安全产品使用现状如下3.4.1防火墙产品使用状况和安全隐患重庆钢铁集团现在大部分分厂和Internet出口处都安装了防火墙来进行边界访问控制利用防火墙来对各个分厂的内部网络信息系统进行保护在我们评估的地方大部分都是用的capitel cf2000在中板厂用的是NetScreen 25但是该款型号的防火墙的连接数太低在我们评估的过程中有好几次都是达到连接数报警点然后内部的信息就出不去了成了一个瓶颈我们对防火墙进行了评估后发现在每个防火墙上设置的安全控制策略很多是没有用的有的设置了安全策略的地方也设置的不够严格控制的不够细致没有做到严格的限制在防火墙上设置的策略原则应该是没有明确允许的全部拒绝在设置策略的时候根据情况需要打开相应的服务同时也把保护机器上的其他服务全部的给关闭最大程度上减少被攻击的可能性而且一般提供服务的机器都是比较重要的服务器上面存储有很多重要的内部生产和管理资料对他们是要时刻做好保护工作由于管理上的原因很多设置好了以后就没有人去根据实际的情况做改动这也就使防火墙没有真正的起到它的作用访问控制的过程也是动态需要时刻根据需要来改动并根据访问日志来对控制策略进行优化3.4.2防病毒产品使用状况在病毒防护方面重庆钢铁集团购买过一套熊猫的防病毒网络版进行整个网络系统病毒的防护但是在我们这次安全评估中发现在各个分厂和单位里很少看到有熊猫防病毒软件在运行着根据了解很多用户反映熊猫防病毒软件占用资料比较严重并存在查不到和杀不死病毒的现象所以用户就把它给卸载了安装了像瑞星金山毒霸江民等单机版的防病毒软件这样的话每个终端都是各自为政没有形成一个统一的整体而且各个防病毒系统的能力不一这样就会出现很多问题有的病毒查不到杀不死还会继续在网络中传播站用网络带宽攻击系统破坏网络系统的正常运行如果要做好一个网络系统的防病毒工作必须形成一个统一的整体制定统一的防病毒策略实施统一的防病毒系统进行统一的管理统一的进行病毒定义码的升级更新使整个系统具有统一的最新的防病毒能力3.4.3入侵检测产品使用状况在重庆钢铁集团内部网络里现在还没有一套入侵系统对来自内部的没有经过防火的对服务器的攻击和非法访问或者是穿过防火墙的对内部系统和服务器系统进行攻击就没有办法防护防火墙的防护是静态的它是根据事先具体定好的安全策略来保护网络系统的安全策略是人定的难免会有疏忽或者定错的时候这样就给攻击有了可趁之机入侵检测系统是动态的分为基于主机和网络的它可以对整个网络里传输的信息进行侦听并分析是否存在攻击的行为并及时的报警和阻断它还可以和防火墙进行联动协同保护信息系统的安全在现在的安全理论里入侵检测系统是必不可少的安全设备现在在一个稍微完整一点的安全体系里至少有防病毒防火墙入侵检测系统等安全系统现在很多企业都是有防病毒防火墙而没有入侵检测系统3.4.4审计系统使用状况在重钢集团的信息系统里没有审计系统这样对网络上和主机上平常发生的那些情况不能有个及时的了解和掌握不能针对现在网络中实际存在的情况及时的调整防护策略来保护网络和主机系统的安全审计分为两个方面一是基于网络的审计一是基于行为的审计基于行为的审计主要涉及到对重庆钢铁集团重要的交换设备服务器操作系统数据库安全设备的日志的集中审计根据审计系统给出的结果可以很明显的发现存在的问题然后就可以及时的采取策略避免或者降低损失基于网络的审计主要是针对到internet的出口进行通过审计就可以清楚的知道什么人什么时候到internet上做了些什么可以通过和防火墙的联动及时的切断上不健康的网站浏览不健康的信息攻击其他系统从事和工作无关的事情等3.4.5其它安全设备使用情况目前重庆钢铁集团安全防护体系尚有待于进一步完善4重庆钢铁集团网络安全技术解决方案4.1以联动的安全模型为理论,以风险评估为依据进行安全分析和安全设计以联动的技术理念我们从安全管理安全防护安全检测安全审计安全服务以及整个安全策略安全管理和安全技术进行有效联动联动5的安全体系架构分析了重庆钢铁集团信息网进行了粗布定性的安全分析4.2物理层安全风险分析及解决方案4.2.1物理层安全评估我们初步评估了重庆钢铁集团网络机房的场地安全机房环境建筑物安全设备可靠性辐射控制与防泄漏通讯线路安全性动力安全性灾难预防与恢复措施等几方面以下是重庆钢铁集团现在的物理安全现状主要是环境和设备的安全这两个方面重钢各机房及设备安全现状1)火灾检测系统部分机房有非常简单的灭火器等灭火系统但绝大多数机房仅仅通过隔板进行了隔离2)电力保障系统所有机房均配备了独立的UPS系统3)温度湿度控制系统大部分机房由空调进行温度控制空调抽湿个别机房空调系统并未起到很好的作用比如炼钢厂第二机房等4)防静电电磁屏蔽系统绝大部分机房配备了防静电地板部分机房网线未使用电磁屏蔽措施5)监视系统所有机房无闭路电视监视个别分厂在其他办公区设有监视器6)机房管理制度,大部分机房没有在机房显要位置张贴机房管理制度个别机房有几年前制定的机房管理制度但执行程度明显不够7)所有设备均安放在专用机柜上网络设备都固定部分机房内部分服务器没有固定8)大部分机房办公区与设备区不同室使用了简单的隔离设施部分机房未进行隔离如原料处机房等9)敏感信息文件放置对敏感信息基本实现了加锁铁皮柜和保险柜进行保护但部分分厂并未实现一般控制1)设备均设有用户口令和密码部分机器有屏幕密码保护2)所有机房均无严格的物理访问记录4.2.2物理层的安全风险分析广泛意义上的物理安全风险分析物理安全是保护计算机网络设备设施以及其它媒体免遭环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程它主要包括三个方面环境安全对系统所在环境的安全保护如区域保护和灾难保护参见国家标准GB50173 93电子计算机机房设计规范国标GB2887 89计算站场地技术条件GB9361 88计算站场地安全要求设备安全主要包括设备的防盗防毁防电磁信息辐射泄漏防止线路截获抗电磁干扰及电源保护等媒体安全包括媒体数据的安全及媒体本身的安全显然为保证信息网络系统的物理安全除在网络规划和场地环境等要求之外还要防止系统信息在空间的扩散计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害为了防止系统中的信息在空间上的扩散通常是在物理上探取一定的防护措施来减少或干扰扩散出去的空间信号网络物理安全是整个网络系统安全的前提物理安全的风险主要有地震水灾火灾等环境事故造成整个系统毁灭电源故障造成设备断电以至操作系统引导失败或数据库信息丢失物理访问控制方面设备被盗被毁造成数据丢失或信息泄漏设备的安全与冗余,负载均衡双机热备等;电磁辐射可能造成数据信息被窃取或偷阅报警系统的设计不足可能造成原本可以防止但实际发生了的事故物理访问控制方面对重庆钢铁集团公司网络的计算机房来讲如果不具备完善的出入登记和门禁系统那么面临的安全风险就比较明显例如有非法的人进入机房对机房的设施进行破坏更改主机的口令甚至可能发生失窃等现象设备线路冗余可以肯定的说目前重庆钢铁集团的核心交换设备具备一定的冗余能力如果出现交换机接口有损坏或者交换机本身背板过载交换机线路板损坏通过双引擎三电源的方式没有办法避免以上问题的发生目前重庆钢铁集团中心接入各分厂已经部分考虑了线路的备份这个做法已经具有了备份的思想这个非常好但是出口的Internet目前只有一条线路如果该线路服务提供商线路中断时可能就会对钢铁的业务造成一定的影响4.2.3物理层安全策略及解决方案保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提物理访问控制方面对主机房及重要信息存储收发部门来说首先要保证重要地点的安全防范工作如非工莫入出入记录录像监控门磁窗磁红外报警等以上非工莫入出入记录可以采用目前先进的IC卡技术指纹技术虹膜技术面纹技术等来实现可以做到实时记录方便查询等优点另外在机房内外安装摄像机实时记录机房内外的各种情况便于今后查询门磁窗磁红外报警等作为安全技术防范的辅助手段加以使用可以获得优异的效果可以通过门窗通道放置磁性红外报警装置当报警装置被触动后激发摄像机定位以便实时记录并触发警报也可以当报警装置被触动后激发摄像机定位启动实时记录并触发警报设备线路冗余对于核心交换建议采用双机热备互为冗余的工作方式(图4.2)部署的好处可以避免单点失败避免因为一个设备的接口和线路板损坏造成网络瘫痪对于Internet出口目前采用的单运营商单线路的工作方式存在一定的安全风险为了保证线路的可靠性我们可以采用双运营商双线路的工作方式同时在两条线路之间可以做负载和均衡机房屏蔽对主机房及重要信息存储收发部门进行屏蔽处理即建设一个具有高效屏蔽效能的屏蔽室用它来安装运行主要设备以防止磁鼓磁带与高辐射设备等的信号外泄为提高屏蔽室的效能在屏蔽室与外界的各项联系连接中均要采取相应的隔离措施和设计如信号线电话线空调消防控制线以及通风波导门的关起等电源系统对主机房及重要信息存储收发等重要部门来说一旦电源发生故障就会造成信息的丢失正常工作无法进行给不法分子造成可乘之机故电源系统应加以改造和优化可以采用多路供电的方法市电动力电专有电网UPS供电等多路电源同时接入重庆钢铁集团公司信息系统大楼或主机房及重要信息存储收发等重要部门当市电故障后自动切换至动力电动力电故障后自动切换至专有电网专有电网故障后自动切换至UPS供电并且当下级电源恢复后应立即自动切换回去这样既保证了安全性又降低了运行费用另外电源质量对用电设备的使用寿命安全等有重大影响在电源系统中存在尖峰浪涌等不洁净的情况一旦发生会使用电设备处于危险境地轻则使用电设备断电重启总则使用电设备烧毁无法使用甚至造成火灾在这种情况下即便是有UPS也无济于事为避免因电源质量而造成不安全因素可以采用电源净化系统电源净化系统不但可以净化电源保证良好的电源质量除去尖峰浪涌等而且可以一定程度上减少电磁污染另外也避免了用电设备的信息随电源电缆外泄的可能传输屏蔽对本地网局域网传输线路传导辐射的抑制由于电缆传输辐射信息的不可避免性现均采用了屏蔽布线和光缆传输的方式该部分的设计可在布线中综合考虑对终端设备辐射的防范计算机作为电子设备在工作时会产生电磁泄露和传导泄露将计算机的显示信息携带出去采用相应的接受设备即可在一定范围内获取该计算机的显示信息这是造成计算机信息泄露的一个危险隐患终端机尤其是CRT显示器由于上万伏高压电子流的作用辐射有极强的信号外泄但又因终端分散使用不宜集中采用屏蔽室的办法来防止故现在的要求除在订购设备上尽量选取低辐射产品外目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃复当前对付计算机信息泄露的办法有两种一是采用屏蔽措施将涉密计算机置于屏蔽室内隔断电磁辐射泄露二是采取电磁加扰措施以干扰信号遮掩计算机辐射信息以防窃收但由于屏蔽方式投资大灵活性小一般很少使用电磁加扰方式具有较高的性价比干扰技术的发展是随着计算机技术和窃收手段的发展而不断深化的以前有些干扰设备采用自噪声干扰但随着相关检测解调技术的发展和手段实施已经被认为是不安全的了随后采用的点相关加扰技术因不能适用粗线条简单图形的干扰防护也只有一定的适用范围目前采用同步仿真干扰技术以计算机场同步信号调制经一定算法产生的干扰信号至在相应的干扰频域上与计算机电磁辐射相仿真即可以保证有效的干扰防护又可以保证较好的电磁兼容指标4.3网络层安全风险分析及解决方案4.3.1网络层安全评估网络层的安全主要包括边界防护访问控制病毒防护入侵检测系统审计系统等方面由于重钢集团并未部署入侵检测系统和审计系统在病毒防护方面虽然购置了网络版的熊猫防病毒系统但由于各方面原因并未得到很好的应用因此本次安全评估项目中对网络层的弱点关注的是边界防护访问控制两个方面重钢网络内的边界防护和访问控制基本都是由交换机和防火墙等网络设备实现的从评估结果来看重钢网络内的交换机自身均保持了较高的安全性对各个网络均使用VLAN进行了较为合理的划分但是VLAN之间默认都可以互相访问没有使用ACL进行访问控制留下了安全隐患另外应引起特别注意的是对整个网络进行保护的防火墙系统自身暴露了大量的安全漏洞在评估小组评估的12台防火墙中有11台防火墙均暴露了高风险安全漏洞这11台防火墙均为首信CapitelCF-2000另外一台为中板厂的NetScreen 25防火墙自身并未发现任何安全漏洞在防火墙的安全策略设置方面大多数防火墙均未进行细致的规则设置相当一部分防火墙未启用任何安全策略使得防火墙的作用形同虚设加上防火墙自身存在的安全漏洞整个重钢网络内网络层的安全状况十分脆弱尤其令人担忧的是整个重钢Internet出口处的Capitel CF-2000防火墙IP地址10.0.0.1暴露的安全漏洞达17个之多高风险漏洞达9个如此脆弱的边界保护无异于把整个重钢网络暴露于大庭广众之下因此评估小组建议尽快采取措施改进边界保护将随时可能发生的恶意入侵事件防患于未然4.3.2网络层安全风险分析结合重庆钢铁集团的实际情况针对重庆钢铁集团这个广域网网络中心各个分厂网络的实际情况从具体的网络结构出发来分析整个广域网的网络层的安全状况网络设备服务器无授权访问风险重庆钢铁集团网络里有很多的路由交换和重要的服务器设备这些设备随时可能被一些未授权的用户访问从而对网络整体安全造成很大的影响网络层边界防护1)广域网内部不同安全区域之间存在非法攻击的现象重庆钢铁集团公司的广域网大体上分为两个层次层次一是集团公司网络中心层次二是下分厂网络中心两个层次属于三个不同的网络安全域不同的安全区域之间可能会存在非法访问和非法攻击2)应用服务核心与网络交换核心和外部线路线路接入层之间处于不同的安全边界需要考虑边界防护在集团公司信息中心应用服务核心层是全厂的数据应用中心,这里包括了办公销售人事防病毒等重要服务器内部的网络交换和外部线路接入都有可能对该区域的网络安全造成威胁合理的保护该区域就需要做好应用服务核心层的边界防护以下各分厂的应用服务核心层和集团中心应用服务核心层面临着同样的安全防护问题入侵检测手段重庆钢铁集团全厂广域网重要的服务器和核心网段需要有监控的措施如果没有一个监控的手段我们对来源于外网穿过防火墙的一些非法攻击和内部的非法攻击我们将无法监控病毒防范措施目前重庆钢铁集团已经部署网络防病毒系统但是一个完整的防病毒系统应该包括网关级防病毒服务器防病毒邮件防病毒和客户端防病毒等方面目前重庆钢铁集团的防病毒体没有部署网关基本级防病毒软件和邮件防病毒软件防病毒体系并不完善审计手段审计包含两个方面的审计第一个方面是基于行为的审计第二个方面是基于网络的审计基于行为的审计主要涉及到对重庆钢铁集团网络重要交换设备路由设备服务器操作系统数据库安全设备的日志的集中审计基于网络的审计主要涉及到重庆钢铁集团对出入Internet出口的审计如果有人访问非法网站或者浏览不良信息炒股聊天就可以通过基于网络的审计系统发现通过基于网路的审计系统和防火墙系统之间的联动就可以中断非法的访问请求脆弱性分析脆弱性分析是中先于黑客发现自己网络或者系统有问题的重要手段4.3.3网络层安全策略及解决方案网络层的安全是整个重庆钢铁集团安全的核心和灵魂需要考虑以下的安全策与解决方案网络设备和服务器的身份认证为了保证重庆钢铁集团内部网络中重要的网络设备路由交换服务器和其它的网络设备的有序管理我们可以采用基于证书的集中式的身份认证对内部网络不同的安全区域有不同的安全需求做不同的安全访问控制措施能够通过使用路由交换的ACL或者划分VLan做访问控制的地方我们尽量去使用原有网络安全设备去做访问控制对于集团中心和分厂不同的安全区域主要是指应用服务核心层和网络交换和网络接入层之间要考虑使用防火墙的机制来完成访问控制对所有的上网用户的上网行为进行审计防止利用网络访问非授权网站炒股聊天打网络游戏使用基于网络审计系统对于重要服务器网络交换路由设备的系统日志采取集中的基于行为的审计从根本上防止别人对重庆钢铁集团重要的系统及设备进行攻击完善病毒防范体系目前重庆钢铁集团防病毒体系中没有网关防病毒和邮件防病毒软件需要进一步完善防病毒体系建立网络安全主动防御机制采用基于主机的入侵检测系统部署防范针对主机的攻击采用基于网络的入侵检测系统对重庆钢铁集团网络各分厂中心重要网段安全提供主动性的安全保证措施采取脆弱性扫描软件和安全评估服务主动的发现重庆钢铁集团网络存在的安全隐患先于入侵者发现安全问题解决安全问题4.4系统层安全风险分析及解决方案4.4.1系统层安全评估在网络安全评估中针对重钢各机房服务器共55台服务器进行了安全漏洞评估共发现系统级各类风险安全漏洞1687个其中高风险漏洞517个中等风险漏洞954个低风险漏洞216个通过评估发现整个重钢系统层安全状况不容乐观在所有的安全风险漏洞中高风险漏洞占了31%的比例,几乎所有被评估的主机系统都存在高风险安全漏洞系统层处于一个很危险的状态4.4.2系统层安全风险分析在本次安全扫描中所有被评估的服务器共暴露出1687个安全漏洞这些漏洞按照漏洞类型可分为15大类具体数量及比例表4.1所示表4.1重钢服务器存在的漏洞类型比例表关键的对外发布的WEB系统一旦出现主页篡改直接就会影响到重钢对外的形象问题对于这样关键的主机我们将采取主机文件完整性保护措施可以安装主页防篡改系统4.5管理安全风险分析及解决方案由于网络的复杂性必然导致重庆钢铁集团网络安全防护的复杂性“分技术七分管理”这句话是对网络安全非常客观的描述任何网络仅在技术上是做不到完整的安全的重庆钢铁集团信息系统还要建立一套科学严密的网络安全管理体系4.5.1确立管理框架根据管理规范内容的重要程度和安全管理的复杂性特点管理规范应包括技术人员与组织结构应急事件安全响应服务安全培训五个方面的内容如下图4.5.2网络安全管理体系技术实现采用基于TOPSEC和SNMP协议的网管平台采取集中控制分级管理的模式在重庆钢铁集团信息中心网管理中心成立一个网络安全管理子中心这个网络安全管理子中心负责管理对重庆钢铁集团信息网络所有的网络安全事件及网络安全设备进行集中的安全管理这个安全管理中心也可下设网络安全管理分中心分中心可设在分厂的网络中心通过该网络安全管理中心可以集中收集全网的网络安全事件为全网的网络安全防御提供可靠的安全管理依据集中管理作为每个网络安全管理中心所应用的安全网管软件既可以管理网络设备路由器和交换机等也可以管理各种网络安全设备例如防火墙和入侵检测设备以及集中的日志审计产品等5重庆钢铁集团网络安全产品部署5.1防火墙的部署5.1.1范围和对象部署在Internet出口处电子公司5.1.2方式与方法使用高性能的千兆防火墙取代目前的百兆防火墙增加出口带宽提高网络冗余度5.1.3产品选型要求1)防火墙应支持多种工作模式透明路由以及透明加路由的混合模式112)防火墙访问控制策略能够基于源目IP地址源目端口号和时间进行设置3)支持IP与MAC地址的绑定可以扩展ip+mac+用户名密码同时绑定彻底防止ip盗用4身份认证协议支持具有多个认证方案如RADIUS OTP RADIUSS/KEY SECUREID TACACS/TACACS+口令方式数字证书CA等5)防火墙应采用先进的状态检测技术或其它最新的防火墙技术6)可支持动态静态双向的网络地址转换NAT7)具备完善的日志功能能够提供日志自动导出功能支持向日志服务器导出日志8)能够与第三方安全产品进行联动尤其是与IDS产品的联动注明联动协议9)支持分级带宽管理可以利用防火墙对带宽进行精细的控制10)应支持常见的动态路由协议如OSPF RIP RIPII,支持生成树协议并能参与生成树算法计算11)防火墙应支持SNMP协议同时提供相应的MIB库文件能通过第三方网管软件对防火墙进行监测和控制12)可扩展支持VPN功能13)要求能够提供基于源地址和目的地址的路由功能14)应支持802.1Q Cisco ISL等VLAN协议不仅能够识别协议而且可以给VLan做路由15)支持WATCH DOG电路能够实现防火墙的自动检测和恢复16)支持基于服务器的负载均衡技术支持基于网络的负载均衡技术17)支持基于数据库的长连接应用5.1.4电子公司防火墙部署方案在以上的部署中我们在互联网出口处部署一台千兆的防火墙做访问控制部署带来的好处将集团公司网络和互联网的联路进行有效的安全隔离防止来自互联网的非法访问防火墙可以和IDS联动防止来自内部的攻击保证了集团公司网络数据核心层的相对安全对服务器的访问做到日志审计对内网和外网的访问做到日志审计千兆防火墙的高处理性保证了对服务器访问的吞吐量使得网络性能不会因为防火墙成为瓶颈同时防火墙必须要做到对VLAN的支持能够做到客户端对服务器的访问控制防火墙具有良好的抗攻击的性能能够对常见的端口扫描PING of deathDOS SYNflood攻击有效防范防火墙可以做到对文件的控制保证了关键文件的安全隐藏内部的网络拓扑结构IP地址复用同时防火墙必须要做到对突发的病毒具有防范能力防火墙上具有应用层的控制功能可以屏蔽掉恶意攻击的代码可以做到对网址的URL过滤可以采用多种用户认证的方式保证对内网访问的合法性5.2入侵与检测部署5.2.1范围和对象由前一部分网络安全分析我们了解到入侵检测系统是防火墙系统的有益补充我们将在以下地方部署入侵检测系统股份公司集团公司的核心应用服务核心数据层互联网出口处5.2.2方式与方法采用基于网络和基于主机的入侵检测系统和基于网络的入侵检测系统完善入侵检测防御体系5.2.3产品选型要求根据重钢网络环境要求和网络安全要求,我们认为只有满足下列要求的入侵检测系统可以给重钢提供可靠的安全保证1)入侵检测系统能够对网络流量进行实时监控能够准确有效地识别所有网络活动中的已知攻击未知攻击行为一旦发现攻击立即报警并采取响应措施要求报警准确避免漏报和误报2)入侵监测系统具备分析采用躲避入侵检测技术的通信数据的能力能够有效的检测针对IDS进行的躲避行为3)入侵检测能够通过分析网络中的数据记录入侵的完整过程为安全事件的调查提供证据4)入侵检测能够实时分析网络中活动发现入侵行为可以采取预先设定的动作响应报警切断网络连接记录日志等等5)能够依据定制的过滤条件获取某一特定网络协议端口的原始报文数据并对HTTP FTP SMTP POP3 Telnet等主要的网络协议通信进行内容恢复事件回放6)入侵检测产品能够提供缺省策略可以灵活通过自定义制定新的符合用户特征的策略便于管理维护并且可依据事件报警的概率分析对事件策略集进行动态调整7)能够提供与其他网络嗅探器和扫描器等辅助工具的集成可与防火墙漏洞扫描验证系统IP定位系统网管系统进行联动便于查看当前网络状况分析网络问题8)能够提供完整的网络事件记录对网络中发生的所有事件进行记录生成完整的网络审计日志并支持对大量审计日志的数据库存储和对日志的多种查询方式9)能够实现背景流量过滤对用户指定的端口协议地址和应用相关的高数据流自动免检入侵检测管理功能需求1)能够支持集中式及多级分布式管理方式可做到集中监控分级管理全局预警2)提供便于使用的图形界面来进行远程管理内置权限管理能够对不同权限的用户进行不同的操作3)能够提供多种方法全面收集网络用户信息方便管理员快速了解当前网络用户状态4)能够实时查看网络当前连接状况对可疑连接可立即切断最大限度的保证用户的安全5)在大规模监测环境中迅速直观地显示报警区域和方位信息可根据自定义的机构名称进行中文定义6)能够支持多种的升级方式和多种审计手段支持远程升级方式7)能够提供全面的在线帮助为用户提供灵活的报告格式报表可以定制8)能够根据管理层技术主管和管理员不同需求产生灵活的报告格式9)尽可能提供中文管理界面和生成中文报表10)能够提供多种响应方式包括控制台告警EMAIL记录切断连接禁止账户记录原始数据重放配合防火墙阻塞源地址向网管发送SNMP以及执行用户自定义行为11)通过监视来自网络的攻击非法的闯入异常进程能够实时地检测出攻击并做出切断服务/重启服务器进程/发出警报/记录入侵过程等动作5.3风险评估系统部署5.3.1范围和对象重庆市钢铁集团网络5.3.2方式与方法使用安全评估软件定期的对全网的进行安全检测5.3.3产品选型1)能够扫描网络范围内的所有支持TCP/IP协议的设备扫描的对象包括NT/2000工作站/服务器各种UNIX工作站/服务器防火墙路由器/交换机等等扫描对象不应受到主机服务器类型的限制2)可以从不同的网络位置对网络设备进行扫描,支持分布式扫描3)可以对数据库进行扫描4)产品应具备操作系统类型的识别能力5)产品应提供接口以灵活调整在不同网络环境下的扫描并发线程数量达到提高扫描效率的目