⽹络⼊侵检测解决⽅案
北京中科⽹威信息技术有限公司
200X年X⽉
⽬录
⼀.前⾔ (2)
1.1.设计⽬标 (3)
1.2.安全宗旨 (3)
1.3.项⽬集成原则 (3)
⼆.⽹络安全性分析 (4)
三.物理层安全体系 (6)
3.1.电磁泄露 (6)马蓉捉奸视频
3.2.恶意的物理破坏 (7)
3.3.电⼒终端 (7)
3.4.安全拓扑结构 (7)
3.5.安全旁路问题 (8)
3.6.解决措施 (8)
四.⽹络层安全体系 (9)
4.1.外⽹攻击 (10)
4.2.内⽹攻击与监控 (12)
4.3.⽹络设备的安全 (13)
4.4.VLAN安全保密 (14)
4.5.⼊侵取证问题 (15)
五.应⽤层安全体系 (16)
什么是宪法
5.1.操作系统安全 (16)
5.1.1.服务器系统安全解决措施(主要针对Linux) (16) 5.1.2.服务器系统安全解决措施(主要针对Windows) (17)
5.1.3.主机安全的解决⽅案 (18)
六.⽹络⼊侵检测系统 (19)
6.1.单⼀防⽕墙功能的不⾜ (19)
6.2.⼊侵检测系统的功能和优点 (20)
6.3.⼊侵检测系统选型 (20)
6.4.⼊侵检测系统部署 (23)
6.5.中科⽹威”⽹威”⽹络⼊侵检测系统产品介绍 (25)
七.XXXX调通中⼼安全系统⽹络安全拓扑效果图.................... 错误!未定义书签。
⼀. 前⾔
此⽂档就XXXX调通中⼼⽹络安全⽅⾯做全⾯的规划和设计,从⽽确定软件、
硬件体系的组成及各部分的作⽤,和应⽤程序的连接等,从⽽对整个⽹络的安全部分规划、采购起指导性作⽤。
此⽂档将从物理层、⽹络层、应⽤层、管理层等⼏个⽅⾯就XXXX调通中⼼⽹络安全进⾏具体描述。
1.1.设计⽬标
最⼤可能的保护其所辖的⽹络和系统可以得到充分的信任,可以获得良好的管理。总体⽬标是在不影响中⼼⽹络正常⼯作的前提下,实现对中⼼⽹络的全⾯安全及加固。
根据XXXX调通中⼼⽹的要求及国家涉密计算机系统安全要求,提供包括整体安全策略、评估、规划、设计、部署、管理、紧急响应以及配套服务组成的⽹络安全整体解决⽅案。朱珠个人资料
1.2.安全宗旨
建设和服务应遵循如下原则:
◆设计中将以国家涉密计算机系统安全要求为根本
◆采⽤国内最先进,符合涉密系统安全要求的安全设备和产品
◆严格遵守中华⼈民共和国保密局、公安部相关法律和法规
◆严格遵守国家涉密计算机系统安全保密规范
◆我国各级安全主管部门还颁布了⼀系列条例和规定。本项⽬遵守国内的
这些安全条例和规定。
1.3.项⽬集成原则
建⽴中⼼的安全体系,需要先制定完整的、⼀致性的信息安全策略体系,并将且将安全策略体系和其他企业策略相协调。
从系统综合的整体⾓度充分考虑此次中⼼⽹络安全招标项⽬,制定有效、可⾏的安全措施,建⽴完整的安全防范体系。
由于安全设置的增加,必将影响⽹络和系统的性能,包括对⽹络传输速率的影响,对系统本⾝资源的消耗等。因此需要平衡双⽅的利弊,提出最为适当的安全解决建议。
安全解决⽅案不会使原⽹络结构的复杂程度增加,并使操作与维护简单化。安全体系的建⽴也不会对中⼼的结构做出根本性的修改。
安全解决⽅案能够随着中⼼⽹络性能及安全需求的变化⽽变化,要容易适应、容易修改。
安全管理⼯具应能够和其它系统管理⼯具有效兼容。
安全产品和系统都有能⼒在合理范围内保障系统⾃⾝的安全。
总体设计⽅案需保证运⾏过程中的稳定、顺畅,不对应⽤系统造成危害。
⼆. ⽹络安全性分析
当前,全球性的信息化、⽹络化进程正在飞速发展,⽹络技术正逐步改变着各⾏各业传统的⽣产和管理⽅式,⽹络应⽤⽇新⽉异。⽹络在提⾼⽣产和管理效率的同时,也给各类涉密信息⽹络的安全保密系统建设、应⽤和管理提出了新的要求。
作为XXXX调通中⼼安全系统的⽹上形象和⽹上办公系统,保证⽹上信息的安全性、可靠性,保证⽹络的正常运⾏,不被不法分⼦破坏、窜改是整个纪检监
王新军结过几次婚
察计算机⽹络系统中⾮常重要的⼀个组成部分。
XXXX调通中⼼安全系统常涉及的,⽆论是门户系统,数据流、数据中⼼和公共服务,这些都需要⽹络安全的⽀持,从⽤户的登陆认证,⾮法⾏为的监控,门户⽹站的抗攻击性,数据中⼼的操作安全性等多个⽅⾯都离不开⽹络安全系统的⽀持。
⽹络安全整体建设中的某个被忽略的部位弱势,势必影响系统整体的安全⽔平,为了对抗各种攻击破坏,避免因为安全隐患⽽引发的安全事故,通过深⼊分析全国XXXX调通中⼼安全系统的安全需求,建议⽬前的⽹络安全系统管理应从下列⽅⾯⼊⼿着重解决。
◆提供针对⽹络安全问题的保障,着重对于⽬前⽹络上流⾏的攻击形式,
攻击⼿段进⾏防护,同时考虑系统冗余。
◆对XXXX调通中⼼可能出现的攻击⾏为进⾏监控、取证,适当情况下可
以根据监控的内容对攻击者进⾏跟踪,必要时可根据此结果进⾏法律起
诉。
◆对内部可信任⽹段内主机进⾏严格限制,及时发现并阻断⾮法外联⾏
为。
◆对于⽹络安全设备的统⼀管理问题。包括统⼀管理、配置,收集不同系
统上的⽇志资料,进⾏时间分析。
◆对于整个XXXX调通中⼼安全系统的接⼊问题进⾏管理,确保涉密⽹络
与⾮涉密⽹络的物理隔离问题。
◆定制全⽹统⼀的病病毒策略,实现全⽹范围内的病毒防御。
◆基于数字证书的服务。包括证书的统⼀管理,可信服务,⽤户分级,与
应⽤系统⽆间结合等多个⽅⾯。
◆对于⽹络安全事件的紧急响应,包括7×24⼩时的紧急响应。
◆提供对于⽹络正常运⾏的安全服务、培训、安全管理规定等。
建⽴⼀个安全⽹络需要从软件、硬件,产品、服务等多个⽅⾯协同协作,搭建起⼀个完整的安全保障系统。从⽤户登陆系统的开始就做到⾝份认证、⾏为监控、⽇志记录等⼯作;对边界⽹络实⾏严格的访问控制策略;在敏感信息节点对数据的监听、分析,对违反安全策略的⾏为进⾏响应;并定期主动对系统⽹络中
服务器进⾏安全评估,消除安全隐患,防范于未然,为上层的门户系统、⽹上政务系统的正常运⾏提供彻底的保护,对于可能给系统造成损害的每⼀个地⽅做全满考虑,为XXXX调通中⼼安全系统的正常运⾏保驾护航。
三. 物理层安全体系
这⾥说的物理层指的是物理连接⽅⾯的安全,尤其指的是不同密级之间⽹络的连接规范,保证从物理结构上的安全。分⽀内容主要包含以下⼏个⽅⾯:
◆电磁泄漏
◆恶意的物理破坏
◆电⼒中断
◆安全拓扑结构
◆安全旁路问题
3.1.电磁泄露
电磁泄漏主要发⽣在由双绞线连接的物理设备之间,由于双绞线传输数据时周围产⽣的磁场可被还原,故如果出现刻意的针对电磁泄漏⽽进⾏的监听⾏为,则可能防不胜防。由于此种⼊侵的⽅式⾮常隐蔽,可以不⽤进⼊办公区域、不⽤进⾏数据传输、不⽤发⽣⼈员⽅⾯的接触⽽获取数据的特点,所以是国家保密局等安全部分⾮常重视的⼀种基本防护。
对于这种攻击的防护⼿段已经⾮常成熟,分别对应不同的实际环境予以选择:
表格 1安全环境选择表
上⾯提到的问题还只是电磁泄漏防护的⼀种解决⽅案,由于XXXX调通中⼼⽹络是涉密⽹,不需要⾯向⼴⼤市民服务,所以对于电磁防护的问题还需针对现状进⾏分析,原则是对于重要的、涉密的设备进⾏防护。
3.2.恶意的物理破坏
所有交换机设备均封闭在单独的房间内,这些房间主要由⽹络技术部系统管理⼈员负责维护管理,在物理上实现了安全保护。中⼼局域⽹主要的5类双绞线都布设在地下封闭的⾦属槽或天花板上封闭的PVC槽内,遭⼈为破坏的可能性较⼩。对于⽹络线路,主要通过专⽤测试仪和⽹络管理软件如Cisco works 2000等来进⾏监测,管理⼈员能够及时发现线路阻断等异常故障。
怎样转换视频格式
3.3.电⼒终端
⽹络中⼼应重点考虑电⼒中断的问题,由于数据中⼼存放了⾮常多的设备,包括⼩型机、⽹络设备、
PC服务器等,所以电⼒问题要⾮常重视,最好能准备两路不同源的电路,因为重要的服务器等设备均有双电源冗余的设计,双电源是⽹络正常运⾏的有⼒保障。
重要设备应具有在线式UPS,控制了全部重要计算机系统的电源管理;并且安装了针对UNIX和WinNT服务器的⾃动关机程序,⼀旦断电时间接近UPS所能承受的延时服务时间的70%,则发出指令⾃动关闭主要的服务器。
3.4.安全拓扑结构
安全拓扑结果应该说是安全体系的⼀个很重要的组成部分。
针对XXXX调通中⼼⽹络的环境分析:由于此系统涉及涉密⽹络与⾮涉密⽹络之间的连接,也有外⽹与⾮涉密⽹的连接,故拓扑结果⾮常复杂,需要集成商⽅⾯针对不同的接⼊形式做具体分析,并将接⼊⽅式去分为物理隔离、逻辑隔离、基于物理隔离的数据交换等⼏种不同形式,原则上所有内部单位与数据中⼼的连接均应⽤防⽕墙进⾏逻辑隔离,保证可信的数据传输及对⾮法访问的拒绝。
物理隔离:完全⽹络上的隔离,对于涉密⽹与⾮涉密⽹之间的连接,⽆
设备
◆逻辑隔离:使⽤防⽕墙进⾏数据交换⽅⾯的审查,通⾏可信数据,拒绝
⾮法请求。针对XXXX调通中⼼外⽹与内⽹之间的连接。我们好像在哪见过
◆给予物理隔离的数据交换:使⽤基于物理隔离的数据交换进⾏数据交换
⽅⾯的审查,通⾏可信数据,拒绝⾮法请求。此项⽅式是防⽕墙模式的
进⼀步提⾼,此处对涉密外⽹有⽐较⾼的要求时选⽤的设备,但是由于
原理限制,⼤⼤降低⽹络速度。
3.5.安全旁路问题
安全旁路问题是涉密⽹建设的⾮常重要的组成部分,针对不同的单位有相应的解决⼿段。在政府等办公部门主要针对的是物理隔离的内部⽹络的员⼯拨号⾏为,针对研究所等机构主要是软盘,USB设备对于数据的Copy问题,由于⽬前XXXX调通中⼼⽹络是公众外⽹,所以对此部分只是做简单提及,解决⽅式为内部解决。
对于上述内容的管理除了技术上的投⼊以外还需要进⾏专门的管理制度上的制定,具体细则请参见管理制度篇。
3.6.解决措施
物理层安全应⾯临的风险主要是环境安全和设备、设施安全问题。
为保护计算机设备、设施(含⽹络)以及其它媒体免遭地震、⽔灾、⽕灾、有害⽓体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施。
在环境安全上,主要考虑受灾防护和机房区域安全。为此在中⼼机房内,要施⾏严格的保安制度,配备好安防和消防等设备。
(1)环境安全保密解决措施:
◆在安置服务器的机房出⼊⼝设⽴门禁系统,分配权限和密码,仅持有权
限和密码的⼈才可以进⼊机房;管理上要求能够进出机房的⼈员政治和
技术可靠。
◆配备防⽕器材,合理的布置在机房的四周,做到防范于未然,⼀旦出现
明⽕现象,可在机房内将其扑灭。
◆在机房内设⽴摄像监控系统,24⼩时监控录像机房内的⼈员⾏为,记录
影像并标记时间,为可能存在的⼈为破坏提供⽐对的证据。
◆重要服务器机房内应充分利⽤现有的⼯业空调系统,将机房内温度保持
在服务器硬件的平均⼯作温度下。
◆所有通信线路应尽量安置在防⽕的PVC槽内,安置在天花板等⼈不能直
接接触的地⽅。
(2)设备安全保密解决措施:
◆建议中⼼在机房内安置电磁⼲扰发射仪。
◆中⼼⾻⼲⽹络为千兆,⾻⼲为光纤结构,不存在电磁泄漏的问题。
◆中⼼的桌⾯应⽤⽬前仍是百兆,使⽤UTP连接,存在线路泄漏问题。为
此,使⽤UTP线路电磁泄漏⼲扰仪连接在线路的两端进⾏电磁发射⼲扰。
(3)介质安全保密解决措施:
◆介质安全主要体现在存储介质上⾯如磁带机、光盘和硬盘存储器,机密
成果数据的存储介质需要异地保存;
◆在中⼼设⽴专门的介质存放室(⾄少与机房不在⼀个房间内或⼀个楼
层),介质存放室也应做好门禁系统,配备防⽕器材和空调恒温系统;
介质存放室的进出⼈员应接受严格登记和审核,并在管理上要求政治和
技术可靠;