第1章 總體概述
1.1 建設背景
xxxxxx圖書館是xxx市xxx文獻收藏及服務、xxx文獻編目、xxx閱讀輔導、xxx社會教育中心,是xxx公共文化服務體系的重要組成部分。作為xxx市市級xxx圖書館,它將承擔著為全市各區xxx圖書館(室)和中小學圖書館進行業務輔導、資源共享的任務。xxxxxx圖書館位於xxx市紅荔路1011號(原xxx圖書館館址)。其服務對象包括:0—18歲的青xxx; 需要利用有關xxx文獻信息的教育教學工作者、家長、科研人員及其他成人讀者;需要獲取xxx資訊的生產廠家和組織機構。
同時,xxxxxx圖書館是由中國數字圖書館授權的中國數字圖書館xxx中心館(以下簡稱“中心館”),在全國十六個省市建設有中國數字圖書館xxx分館。中心館和分館運用高新技術與手段,採集、加工、存貯xxx信息資源,為廣大讀者提供數字信息資源服務。中心館作為牽頭單位承接了文化部重點科技項目:中國xxx信息大世界——網上圖書館(以下簡稱“網上圖書館”),目前該項目已經結題,但建設工作仍在繼續之中,服務亟待擴展。
xxxxxx圖書館計算機信息系統系統工程的建設既是xxxxxx圖書館數字化建設,也是中國數字圖書館xxx中心館的建設,兩者是相輔相成、相互補充、相互融合的,是一體化建設。本項目既要充分考慮到xxxxxx圖書館本館和本地區的計算機信息系統建設的需求,也要全面考慮到xxxxxx圖書館作為中國數字圖書館xxx中心館的地位和任務,以便實現xxxxxx圖書館“立足xxx、服務全國、面向世界”的目標。
1.2 建設目標
xxxxxx圖書館計算機信息系統建設的主要目標是建設適應現代xxx圖書館發展需求的網絡平臺,其中的安全技術標部分的主要建設目標是保障項目中各子系統的網絡安全與信息安全。
1.3 建設內容
1、計算機信息系統安全設備及相關集成(含軟硬件)部分(安全機櫃另行採購,不在本項目招標範圍內);
2、不間斷電源(UPS)設備部分;
Ø UPS系統的設計
Ø UPS系統的安裝調試
Ø UPS系統的三年免費保修和保修期後的維修
3、協助計算機信息系統服務器設備及相關集成項目的中標供應商完成計算機信息系統中的主機系統、存儲系統、網絡系統、安全系統、UPS設備、外設與終端等六部分內容之間的硬件集成工作。
4、協助業主、總集成商、監理單位完成軟硬件總集成任務。
1.4 建設原則
為了保證能夠達到上述目標任務,在進行項目建設時,需要嚴格遵照以下建設原則。
1.4.1 實用性原則
實用性原則主要體現在以下方面:以現行需求為基礎,適當考慮發展的需要為依據來確定系統規模。選擇成熟、先進、維護量小、使用方便的技術設備和措施。創造一個開放的網絡平臺,支持多種業務的同時傳輸,如支持語音、圖象等多媒體業務。
1.4.2 安全性原則
1) 協議的安全性
在網絡中運行著很多網絡協議,包括路由協議和各種為上層應用服務的廣域網,局域網絡協議等,路由器上也存在著很多服務,有些服務是網絡運行所必需的,必須打開它,而有些服務是對網絡運行無關緊要或無用的,可以關閉。正是這些網絡協議或服務,確保了網絡系統的正常運行,因此,我們首先應確保這些網絡協議或服務的安全性。
2) 應用服務協議的安全
對這些路由協議和各種上層應用服務的協議,我們應區別對待。首先,對於網絡運行所必需的協議,如路由協議等,我們不但應正常運行,而且必須加以保護,以防止非法路由器加入或偽造的路由信息,系統如何能夠鑑別出哪些路由信息是可靠的呢,就必須採用一些加密技術或鄰機校驗方法,以完成認證,對於網絡運行無關緊要或無用的協議,則應嚴格限制或關閉,而對於對網絡運行有危害或本身有安全缺陷的協議,則應關閉。
3) 路由協議的安全
在路由協議安全性方面,我們可以採用路由器鄰居相互校驗,校驗方式可以是明碼方式或MD5加密方式,對於OSPF、BGP既可採用MD5校驗方式,也可以採用明碼方式。通過明碼或MD5加密方式校驗,可以確保只有有效的路由器才能加入到網絡,從而能夠避免非法的路由器或偽造的路由信息加入到網絡中,使路由出錯,導致網絡癱瘓。
4) 設備的安全性
對網絡設備的訪問與配置,主要有以下兩種方式:控制口console的控制和遠程登錄telnet 的控制。
A 控制口console的控制
B 遠程登錄telnet 的控制
C 用戶的分級管理
D 設備支持WEB配置
1.4.3 可靠性原則
為保證各項業務應用,網絡必須具有高可靠性,決不能出現單點故障。要對整個網絡的機房佈局、結構設計、設備選型、日常維護等各個方面進行高可靠性的設計和建設。在關鍵設備採用硬件備份、冗餘等可靠性技術的基礎上,採用相關的軟件技術提供較強的管理機制、控制手段和事故監控與安全保密等技術措施提高電腦機房的安全可靠性。
1.4.4 成熟和先進性原則
在網絡結構設計、網絡配置、網絡管理方式等方面採用國際上先進同時又是成熟、實用的技術。設備廠商和系統集成商應有相關領域的豐富經驗。
1.4.5 規範性原則
網絡設計所採用的組網技術和設備應符合國際標準、國家標準和業界標準,為網絡的擴展升級、與其他網絡的互聯提供良好的基礎。
1.4.6 開放性和標準化原則
在設計時,要求提供開放性好、標準化程度高的技術方案;設備的各種接口滿足開放和標準化原則,如果是不同廠商的產品,必須之間具備可操作性與可管理性。
1.4.7 可擴充和擴展化原則
有充分的機制方便各網點的擴展、業務量和業務種類的擴展,保證建設完成後的網絡在向新的技術升級時,能保護現有的投資。
網絡可擴展的關鍵在於能否實現合理的層次化設計,採取層次化的設計可以根據網絡需求的變化,可在不影響現有網絡運行的狀況下,迅速擴展。
網絡的建設必須具有良好的靈活性與可擴展性,能夠根據今後業務不斷深入發展的需要,擴大設備容量和提高用戶數量和質量的功能。具備支持多種網絡傳輸、多種物理接口的能力,提供技術升級、設備更新的靈活性。
在網絡設備選型過程中,每個核心骨幹層次設計中所採用的設備本身應具有極高的端口密度,層次化設計為整個網絡的擴展奠定了基礎。同時,我們應充分考慮路由協議的選用,使路由協議為整個網絡的發展帶來極強的路由擴展能力。
1.4.8 可管理性原則
整個網絡系統的設備和服務器的安全性、數據流量、性能等得到很好的監視和控制,並可以進行遠程管理和故障診斷。
1.5 設計依據
本方案所遵守的技術標準但不限於以下標準:
《有線網絡建設技術規範》 DG/TJ 08-2009-2006
《計算機信息系統安全等級保護網絡技術要求》 GA/T 387-2002
《信息安全技術 網絡基礎安全技術要求》 GB/T 20270-2006
《國家電子政務網絡技術和運行管理規範》GB/T 21061-2007
《基於網絡的企業信息集成規範》GB/Z 18729-2002
《網絡信息分類系統》SJ/T 11268-2002
《IP網絡技術要求-網絡總體》YD/T 1170-2001
《IP網絡技術要求——網絡性能測量方法》 YD/T 1381-2005
《公眾IP網絡安全要求--安全框架》 YD/T 1613-2007
《系統設計方案建議書》
《信息技術互連國際標準》(ISO/IEC11801-95);
《信息技術、軟件包質量要求和測試》(GB/T 17544-1998);
《軟件工程標準分類法》(GB/T 15538-1995);
《軟件開發規範》(GB 8566-88);
《軟件維護指南》(GB/T 14079-93);
《計算機軟件可靠性和可維護性管理》(GB/T 12394-93)。
《EN50091-1-1/EN62040-1-1》
《EN50091-2/3》
《IEC 61000-4-2/3/4/5》
《信息技術設備用不間斷電源通用技術條件》GB/T-14715-1993
《電子計算機機房設計規範》GB50174-93
《通信用不間斷電源-UPS》YD/T1095-2000
第2章 技術方案設計
2.1 總體框架設計
1、 需求說明:
本部分內容包括計算機信息系統安全設備(含軟硬件)的採購、部署、安裝、調試及集成。本項目為包乾工程,安全設備(含軟硬件)安裝、調試、集成直至能夠正常使用。
xxxxxx圖書館中心機房的供電:主要由兩套並聯的UPS系統集中為四樓的IT機房及樓層網絡設備供電。
2、網絡拓樸圖:
3、設備清單:
2.2 安全風險與安全需求分析
2.2.1 安全體系結構
計算機安全事業始於本世紀60年代末期。當時,計算機系統的脆弱性已日益為美國政府和私營部門的一些機構所認識。但是,由於當時計算機的速度和性能較落後,使用的範圍也不廣,再加上美國政府把它當作敏感問題而施加控制,因此,有關計算機安全的研究一直侷限在比較小的範圍內。 進入80年代後,計算機的性能得到了成百上千倍的提高,應用的範圍也在不斷擴大,計算機已遍及世界各個角落。並且,人們利用通信網絡把孤立的單機系統連接起來,相互通信和共享資源。但是,隨之而來並日益嚴峻的問題是計算機信息安全的問題。人們在這方面所做的研究與計算機性能及應用的飛速發展不相適應,因此,它已成為未來信息技術中的主要問題之一。 由於計算機信息有共享和易於擴散等特性,它在處理、存儲、傳輸和使用上有著嚴重的脆弱性,很容易被幹擾、濫用、遺漏和丟失,甚至被洩露、竊取、篡改、冒充和破壞,還有可能受到計算機病毒的感染。
國際標準化組織(ISO)將"計算機安全"定義為:"為數據處理系統建立和採取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和洩露。"此概念偏重於靜態信息保護。也有人將"計算機安全"定義為:"計算機的硬件、軟件和數據受到保護,不因偶然和惡意的原因而遭到破壞、更改和洩露,系統連續正常運行。"該定義著重於動態意義描述。 計算機安全的內容應包括兩方面:即物理安全和邏輯安全。物理安全指系統設備及相關設備受到物理保護,免於破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性:
● 保密性指高級別信息僅在授權情況下流向低級別的客體與主體;
● 完整性指信息不會被非授權修改及信息保持一致性等;
● 可用性指合法用戶的正常請求能及時、正確、安全地得到服務或回應。
一個系統存在的安全問題可能主要來源於兩方面:或者是安全控制機構有故障;或者是系統安全定義有缺陷。前者是一個軟件可靠性問題,可以用優秀的軟件設計技術配合特殊的安全方針加以克服;而後者則需要精確描述安全系統。 美國國防部(DOD)於1985年出版了《可信計算機系統的評價準則》 (又稱"桔皮書" ),使計算機系統的安全性評估有了一個權威性的標準。DOD的桔皮書中使用了可信計算基礎(Trusted Computing Base,TCB)這一概念,即計算機硬件與支持不可信應用及不可信用戶的操作系統的組合體。桔皮書將計算機系統的可信程度劃分為D、C1、C2、B1、B2、B3和A1七個層次。在DOD的評估準則中,從B級開始就要求具有強制存取控制和形式化模型技術的應用。桔皮書論述的重點是通用的操作系統,為了使它的評判方法使用於網絡,美國國家計算機安全中心於1987年出版了《可信網絡指南》。該書從網絡安全的角度出發,解釋了準則中的觀點。
根據計算機網絡通信系統依照的開放系統互聯參考模型,我們認為網絡安全實際上包含了構成整個網絡信息系統的各個層面的安全。
物理層的安全
物理層信息安全,主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊(干擾等)。
鏈路層的安全
鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被竊聽。主要採用劃分VLAN(局域網)、加密通訊(遠程網)等手段。
網絡層的安全
網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或監聽。
操作系統的安全
操作系統安全要求保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計。
應用平臺的安全
應用平臺指建立在網絡系統之上的應用軟件服務,如數據庫服務器、電子郵件服務器、Web服務器等。由於應用平臺的系統非常複雜,通常採用多種技術(如SSL等)來增強應用平臺的安全性。
應用系統的安全
應用系統完成網絡系統的最終目的--為用戶服務。應用系統的安全與系統設計和實現關係密切。應用系統使用應用平臺提供的安全服務來保證基本安全,如通訊內容安全,通訊雙方的認證,審計等手段。
從安全技術實現的角度來看,網絡信息系統的安全體系也應該是一個多層次、多方面的結構。它應當包含:
1、訪問控制。通過對特定網段、服務建立的訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。
2、檢查安全漏洞。通過對安全漏洞的週期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。
3、攻擊監控。通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,並採取響應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。
4、加密通訊。主動的加密通訊,可使攻擊者不能瞭解、修改敏感信息。
5、認證。良好的認證體系可防止攻擊者假冒合法用戶
6、檢測預防和清除病毒,防止各種病毒帶來的信息危害。
7、備份和恢復。良好的備份和恢復機制,可在攻擊造成損失時,儘快地恢復數據和系統服務。
8、多層防禦。攻擊者在突破第一道防線後,延緩或阻斷其到達攻擊目標。
9、設立安全監控中心,為信息系統提供安全體系管理、監控、保護及緊急情況服務。
通常,系統安全與性能和功能是一對矛盾的關係。如果某個系統不向外界提供任何服務(斷開),外界是不可能構成安全威脅的。但是,若要提供更多的服務,將網絡建成了一個開放的網絡環境,各種安全包括系統級的安全問題也隨之產生。構建平臺安全系統,一方面由於要進行認證、加密、監聽、分析、記錄等工作,由此影響網絡效率,並且降低客戶應用的靈活性;另一方面也增加了管理費用。
但是,來自網絡的安全威脅是實際存在的,特別是在網絡上運行關鍵業務時,網絡安全是首先要解決的問題。因此我們應當選擇適當的技術和產品,制訂靈活的網絡安全策略,在保證網絡安全的情況下,提供靈活的網絡服務通道。同時採用適當的安全體系設計和管理計劃,能夠有效降低網絡安全對網絡性能的影響並降低管理費用。
2.2.2 網絡信息系統安全風險分析
信息系統作為業務運營的支撐系統,系統安全的重要性是不言而喻的。網絡互聯技術的採用為xxxxxx圖書館計算機信息系統實現信息共享和業務互動提供了便利,但同時也使信息系統安全風險變得更加嚴重和複雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統和主機,引起大範圍的癱瘓和損失;另外加上缺乏安全控制機制和對信息安全政策及防護意識的認識不足,安全風險正日益加重。
瞄準計算機網絡系統可能存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網絡系統結構和網絡應用服務等因素密切相關。
完整的網絡安全風險評估是對網絡內的信息資產進行價值評估、對網絡中存在的威脅進行評估、對整體安全策略和制度的有效性進行評估、以及對系統漏洞(弱點)被利用的可能性進行評估後的綜合結果。它是一項綜合系統的工程,是風險管理的重要組成部分,也是整體信息安全解決方案的重要參考依據。我們所理解的風險關係如下圖所示:
圖2.1 網絡安全的風險關係
下面將首先分層次對xxxxxx圖書館計算機信息系統中存在的安全弱點進行描述,然後結合網絡信息系統可能面臨的安全威脅總結出xxxxxx圖書館計算機信息系統網絡信息系統中目前存在的安全風險。
2.2.3 信息系統中存在的安全弱點
xxxxxx圖書館計算機信息系統中存在較多的安全弱點(脆弱性),分別體現在構成信息系統的物理環境和設備、數據鏈路、網絡系統和通訊協議、操作系統和應用平臺以及管理等各個層面,例如:
l 物理層脆弱性
網絡信息系統的順利有效運行必須依賴其所處的物理環境(如機房)和硬件基礎設施(各種服務器、路由器、交換機、工作站等硬件設備和通信線路)的可靠運行,任何一處的失效都可能導致整個系統的不可用。物理層可能存在的安全弱點包括:
n 機房和傳輸線路缺少必要的防電磁洩漏機制
n 機房缺乏必要的門禁系統
n 機房缺乏必要的視頻監視系統
n 物理設備缺乏必要的災難備份機制
l 鏈路層脆弱性
xxxxxx圖書館計算機信息系統中局域網均採用基於開放互聯標準的以太網組網方式,各局域網間互聯採用了公共傳輸線路,因此在數據鏈路層存在著一定的安全弱點,主要體現在以下兩個方面:
n 由於傳輸鏈路是完全開放的,任何人都可能採用監聽機制竊取或篡改在局域網或廣域網鏈路上所傳輸的信息數據
n 由於局域網的物理地址是可以動態分配的,因此,人們就可以盜用他人的物理地址發送或接受分組信息
l 網絡層脆弱性
xxxxxx圖書館計算機信息系統由局域網系統通過租用的廣域網線路(DDN、PSTN)互聯而成,網絡通訊協議採用標準的TCP/IP,因此網絡層面存在較多的安全弱點,主要分為以下幾個方面:
n IP協議本身的安全弱點:IP協議本身未加密使得人們非法盜竊信息和口令等成為可能
n 網絡操作系統的安全弱點:一些重要的網絡設備,如路由器、交換機、網關防火牆等,其所採用的網絡操作系統,不論是IOS,windows,Linux還是Unix,都存在固有的安全弱點,可能導致網絡設備的不安全;有些網絡設備還可能存在“後門”(back door),容易造成設備被他人非法操控
n 網絡拓撲結構的安全弱點:網絡拓撲結構是否按照安全體系結構和安全機制進行設計,直接影響到網絡平臺的安全保障能力,不同機構的局域網之間是否進行隔離及如何進行隔離,網段劃分是否合理,路由是否正確,網絡的容量、帶寬是否考慮網絡流量的峰值,網絡設備有無冗餘設計等都與安全問題密切相關
n SNMP網管協議的安全弱點:由於SNMP協議的認證機制非常簡單,且使用未加密的明碼傳輸,這就存在人們通過非法途徑獲得SNMP協議分組並分析破解有關網絡管理信息的可能性
l 系統和應用脆弱性
n 網絡內部運行有大量的重要服務器,操作系統和應用軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全弱點被暴露所招致的苦果。
n 業務終端均採用基於Windows平臺的PC工作站,存在較多的安全漏洞,極易受到病毒、黑客程序的入侵和攻擊,並很容易通過網絡應用(文件共享、電子郵件等)傳播到其他主機和終端上,最終導致整個信息系統性能下降甚至癱瘓。
l 管理脆弱性
n 缺乏針對性的安全策略和安全技術規範,安全管理和運行維護的組織不健全。
n 缺乏有效的安全監控措施和評估檢查制度,無法有效的發現和監控安全事件,不利於及時發現安全事件並採取相應的措施。
n 缺乏完善的災難應急計劃和制度,對突發的安全事件沒有制定有效的應對措施,沒有有效的對安全事件的處理流程和制度。
2.2.4 信息系統所面臨的安全威脅
一般來說網絡所面臨的威脅大體可分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網絡系統資源的非法使用,歸結起來,針對信息系統安全的威脅主要有三:
l 自然威脅
n 來自於各種自然災害,如洪水、地震、颶風、泥石流、雪崩、雷電風暴及其它類似事件。
l 環境威脅
n 包括惡劣的場地環境、電力故障、電磁輻射和電磁干擾、網絡設備自然老化等。這些都屬於無目的的事件,有時會直接威脅網絡系統的安全,影響信息的存儲和傳輸媒介。
l 人為威脅
n 即對網絡的人為攻擊,多是通過尋找目標系統的弱點,以便達到破壞、欺騙、竊取數據等目的,造成有形資產和無形資產上不可估量的損失。人為威脅可能來自於未經培訓的員工、蓄意破壞者或黑客。
從安全事件發生的概率上看,我們將更多地關注人為威脅。人為威脅可表現為兩種:非惡意的和惡意的。
非惡意威脅
非惡意的威脅主要是由於合法用戶的正常過失引起的數據機密性和完整性問題,如系統配置不當、操作失誤、共享賬號、管理疏忽等。非惡意威脅通常來自計算機操作經驗不足、培訓不足或缺乏安全意識的用戶和員工。
惡意威脅
惡意威脅即我們通常所說的攻擊,一般都是有目的破壞性活動,可能的來源包括對現狀不滿或懷有惡意的內部人員,以及離職員工、外界黑客、競爭對手等。惡意的內部人員可能有特定的目標,通常對系統具有某種級別的合法訪問權限,可侵襲計算機安全或應用程序的所有組件,並瞭解哪些攻擊行為和漏洞可使組織遭受最大的損失,這種類型的攻擊極難檢測或進行保護,也是危害最大的一種。
攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。
由於網絡信息系統結構複雜,眾多的分支機構互相聯網,人為的惡意攻擊危害性最大,容易導致數據的洩漏和破壞及其他安全隱患。
2.2.5 網絡信息系統中可能遭遇到的病毒威脅分析
目前絕大多數病毒傳播的途徑是網絡。對於一個網絡系統而言,針對病毒的入侵渠道和病毒集散地進行防護是最有效的防治策略。因此,對於每一個病毒可能的入口,部署相應的反病毒軟件,實時檢測其中是否有病毒,是構建一個完整有效反病毒體系的關鍵。
l 來自系統外部(Internet或外網)的病毒入侵: 這是目前病毒進入最多的途徑。因此在與外部連接的網關處進行病毒攔截是效率最高,耗費資源最少的措施。可以使進入內部系統的病毒數量大為減少。但很明顯,它只能阻擋進出內部系統病毒的入侵。
l 網絡郵件/群件系統: 如果網絡內採用了自己的郵件/群件系統實施辦公和信息自動化,那麼一旦有某個用戶感染了病毒,通過郵件方式該病毒將以幾何級數在網絡內迅速傳播,並且很容易導致郵件系統負荷過大而癱瘓。因此在郵件系統上部署反病毒也顯得尤為重要。
l 文件服務器:文件資源共享是網絡提供的基本功能。文件服務器大大提高了資源的重複利用率,並且能對信息進行長期有效的存儲和保護。但是一旦服務器本身感染了病毒,就會對所有的訪問者構成威脅。因此文件服務器也需要設置反病毒保護。
l 最終用戶:病毒最後的入侵途徑就是最終的桌面用戶。由於網絡共享的便利性,某個感染病毒的桌面機可能隨時會感染其它的機器,或是被種上了黑客程序而向外傳送機密文件。因此在網絡內對所有的客戶機進行防毒控制也是非常重要的。
l 集中管理:對於一個大型網絡來說,部署的防毒系統將十分複雜和龐大。尤其在各網點在地域上分離的情況下,通過一個監控中心對整個系統內的防毒服務和情況進行管理和維護顯得十分重要。這樣可以大大降低維護人員的數量和維護成本,並且縮短了升級、維護系統的響應時間。防毒系統的最大特點是需要不斷的升級和更新防毒軟件,以應對新產生的各類病毒。因此各點的防毒軟件集中進行升級行動也是有效防毒的重要一環。
2.3 信息系統安全風險總結
通過對上述信息系統的弱點和威脅進行分析,我們可以對系統所面臨的風險從物理安全、鏈路安全、網絡安全、系統安全、應用安全、數據安全及管理安全進行分類描述:
2.3.1 物理安全風險
物理安全是整個網絡系統安全的前提。物理層面存在的安全風險可以細分為如下三個方面:
1、物理環境安全風險
l 地震、水災、火災、雷電等環境事故造成網絡中斷、系統癱瘓、數據丟失等;
l 機房電力設備和其它配套設備的運行故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失;
l 機房安全設施自動化水平低,不能有效監控環境和信息系統工作,即使發生非法侵入事件也無法迅速察覺;
l 因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統不能正常工作;
l 電磁輻射可能造成數據信息被竊取或偷閱。
2、物理設備的安全風險
l 信息系統所依賴的網絡設備如交換機、路由器等,服務器如PC服務器、小型機等,一旦發生故障,將直接影響信息系統和各種網絡應用的正常運轉;
l 個人電腦如臺式機和便攜機等被非法盜取或毀壞而造成信息洩漏或數據丟失。
3、通信線路的安全風險
l 通信中斷:由於通信線路自身故障或被惡意切斷或過高電壓等導致信息系統的通信線路出現意外中斷,造成信息系統資源的不可用。
l 傳輸錯誤:信息系統的重要數據在傳輸過程中可能出現錯誤,導致信息完整性和可用性的破壞。
2.3.2 鏈路安全風險
l 入侵者可能在傳輸線路上安裝竊聽裝置,竊取網上傳輸的重要數據,再通過一些技術讀出數據信息,造成洩密或者做一些篡改來破壞數據的完整性;
l 局域網用戶隨意更改物理地址或盜用他人的物理地址來進行網絡活動,將會給訪問控制、網絡計費等帶來麻煩。
2.3.3 網絡安全風險
在xxxxxx圖書館計算機信息系統中,從安全程度和安全角度的不同主要可以劃分為幾個不同的網絡安全區域:我們將從以下幾個角度來分析公司網絡環境中存在的安全風險:
(1)來自外部網絡的安全威脅
l 來自Internet黑客的DOS/DDOS攻擊,會造成網絡通訊和應用服務的中斷,影響業務的正常運行;
l 蠕蟲病毒的傳播和爆發,將使整個網絡處於癱瘓狀態;
l 目前,垃圾郵件已經成為網絡安全的又一種重大威脅,垃圾郵件或郵件炸彈的爆發將使網絡帶寬大量被消耗,郵件服務器系統資源消耗殆盡,不能夠進行正常的郵件轉發服務;
(2)來自內部網絡的安全威脅
l 內部用戶通過Sniffer等嗅探程序在網絡內部抓包,獲得系統用戶名和口令等關鍵信息或其他機密數據,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息;
l 內部用戶通過掃描軟件獲取其他用戶系統或服務器的配置信息和安全漏洞,並利用這些信息對整個網絡或其他系統進行破壞;
l 局域網內部沒有采取有效的訪問控制機制,任何一個稍微有點計算機操作能力的人員都可以利用從Internet下載的黑客攻擊工具進行網絡攻擊,由於內部人員比較熟悉系統的情況,其攻擊行為更容易取得成功(據權威數據表明,有97%的攻擊是來自內部攻擊和內外勾結的攻擊,而且內部攻擊成功的概率要遠遠高於來自於外部網絡的攻擊,造成的後果也嚴重的多);
(3)網絡傳輸的安全問題
l 攻擊者有可能在傳輸線路上安裝竊聽裝置,竊取網上傳輸的重要數據,再通過一些技術讀出數據信息,造成洩密或者做一些篡改來破壞數據的完整性。
2.3.4 系統安全風險
目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其後門。而且系統本身必定存在安全漏洞。這些“後門”或安全漏洞都將存在重大安全隱患。但是從實際應用上,系統的安全程度跟對其進行安全配置及系統的應用面有很大關係,操作系統如果沒有采用相應的安全配置,則其是漏洞百出,掌握一般攻擊技術的人都可能入侵得手。如果進行安全配置,比如,填補安全漏洞,關閉一些不常用的服務,禁止開放一些不常用而又比較敏感的端口等,那麼入侵者要成功進行內部網是不容易,這需要相當高的技術水平及相當長時間。
2.3.5 應用安全風險
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也動態。這就需要我們對不同的應用,檢測安全漏洞,採取相應的安全措施,降低應用的安全風險。
2.3.5.1 資源共享
信息系統內部用戶有意、無意把硬盤中重要信息目錄共享,並缺少必要的訪問控制策略,長期暴露在網絡鄰居上,可能被外部人員輕易偷取或被內部其他員工竊取並傳播出去造成洩密。
2.3.5.2 電子郵件系統
各級機構網絡均連入互聯網,電子郵件將成為內外用戶間信息傳遞的一種重要手段,可能存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等的危險,由於許多用戶安全意識比較淡薄,對一些來歷不明的郵件,沒有警惕性,給入侵者提供機會,讓黑客掌握了系統的主動權,給系統帶來不安全因素。
2.3.5.3 病毒和惡意程序
隨著計算機工業和互聯網的發展,會編寫病毒程序的人也越來越多,遭受計算機病毒感染的機會也越來越大。網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內部網。因此,使用計算機的人都必須提高警惕,以防病毒感染。
所謂計算機病毒,是指一種能使自己附加到目標機系統的文件上的程序。它在所有破壞性設備中最具危險性,可以導致服務拒絕、破壞數據,甚至使計算機系統完全癱瘓。當病毒被釋放到網絡環境時,其無法預測的擴散能力使它極具危險性。病毒會突破系統的訪問控制,對系統造成破壞,可能造成機器死機、信息洩漏、文件丟失等威脅。在一個互聯互通的網絡計算環境下,只要任何一個節點網絡中的任何一臺主機遭受到病毒感染,那麼病毒將很容易在很短的時間內迅速地蔓延到整個網絡中去,最終造成無法估量的侵害。
近年來人們遭受更多的當屬蠕蟲病毒的威脅。蠕蟲病毒是一種通過網絡傳播的惡性病毒,它利用系統(包括操作系統、數據庫、應用軟件)的漏洞,攻擊該漏洞依附的TCP、UDP等協議的端口,造成系統癱瘓,或對網絡造成拒絕服務。蠕蟲病毒可以在短短几個小時甚至幾十分鐘時間內,橫掃全球,攪亂世界。幾十萬臺、上百萬臺機器在頃刻間崩潰,數據丟失,服務停頓,造成無數經濟損失和名譽損失。
此外如特洛伊木馬類型的惡意程序,由於它們並不會自我複製,常常不被歸類成病毒,但它們表面上看起來好像有某種用途或可以提供娛樂效果的程序,如NetBus就偽裝成一個小遊戲。其真正目的很可能恰好與外表相反,會對文件進行破壞,或在計算機中植入病毒。特洛伊木馬類型的惡意程序最大的壞處就是潛入計算機,竊取用戶的合法賬號和口令,從而使攻擊者方便地侵入內部局域網。
2.3.6 數據安全風險
數據安全對xxxxxx圖書館計算機信息系統來說尤其重要,如果數據在存儲、處理過程中被非法複製或破壞,或在傳輸過程中被非法竊取或篡改,則其可用性、機密性、真實性、完整性就得不到保證,可能給企業造成巨大的經濟損失。
2.3.7 管理安全風險
安全的網絡設備離不開人的管理,好的安全策略最終要靠人來實施,因此管理是整個網絡安全中最為重要的一環,尤其是對於一個比較龐大和複雜的網絡,更是如此。安全管理包括技術和設備的安全管理,制度化的安全管理,部門與人員的組織規則等。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理的安全風險,即使採用了各種先進的安全技術手段,信息系統仍然無法有效抵禦所受到的各種安全威脅。管理層面的安全風險舉例如下:
u 內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息洩漏風險。
u 機房重地卻被任何人都可以進進出出,來去自由。存有惡意的入侵者便有機會得到入侵的條件。
u 內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑,甚至破壞,如傳出至關重要的信息、錯誤地進入數據庫、刪除數據等等。這些都將給網絡造成極大的安全風險。
u 非法人員進入重要部門或機房,非法獲得資料或對設備進行破壞;
u 員工有意、無意把硬盤中重要信息目錄共享,長期暴露在網絡鄰居上,可能被外部人員輕易偷取或被內部其他員工竊取並傳播出去造成洩密,因為缺少必要的訪問控制策略。
u 大量的人為因素的安全隱患,為破壞著進入系統造成了便利,例如:
1. 部分系統管理員密碼強度不夠,或沒有設置密碼;
2. 密碼和帳號名相同或者採用帳號名翻轉作為密碼;
3. 採用電話號碼作為密碼;
4. 採用單一字符集作為密碼,例如qqqqqq;
5. 密碼的複雜程度不夠;
2.4 信息系統安全需求分析
目前xxxxxx圖書館計算機信息系統的局域網基本上都沒有采取任何安全防護措施,一旦通過因特網實現全國系統聯網後,各級機構必須採取必要的網絡安全防護,否則任何一個節點的安全風險都可能影響全網系統的安全。
根據對xxxxxx圖書館計算機信息系統安全風險的全面分析,我們認為,從整體安全的角度出發,在構成信息系統的各個層面上都存在著加強安全防護的需求,具體包括以下幾個方面。
2.4.1 物理層安全需求
主要是解決物理環境、物理設備和通信線路的安全問題,包括:
確保各臺關鍵網絡設備和服務器主機設備所工作的物理環境條件滿足網絡系統正常安全運行的需要;
避免網絡設備、服務器主機及通信線路受到自然災害、人為破壞、搭線竊聽攻擊;
防止因管理疏忽而使非法人員闖入網絡設備間、信息中心機房等關鍵區域進行偷竊或物理破壞;
確保重要的網絡設備和主機設備具有高效屏蔽的工作環境,避免因電磁輻射導致關鍵信息洩露;
2.4.2 網絡通訊安全需求
2.4.2.1 訪問控制需求
l 防範非法用戶的非法訪問
非法用戶的非法訪問也就是黑客或間諜的攻擊行為。在沒有任何防範措施的情況下,網絡的安全主要是靠主機系統自身的安全,如用戶名及口令字這些簡單的控制。但對於用戶名及口令的保護方式,對有攻擊目的的人而言,根本就不是一種障礙。他們可以通過對網絡上信息的監聽,得到用戶名及口令或者通過猜測用戶及口令,這都將不是難事,而且可以說只要花費很少的時間。因此,要採取一定的訪問控制手段,防範來自非法用戶的攻擊,嚴格控制只有合法用戶才能訪問合法資源。
l 防範合法用戶的非授權訪問
合法用戶的非授權訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源。一般來說,每個成員的主機系統中,有一部份信息是可以對外開放,而有些信息是要求保密或具有一定的隱私性。外部用戶(指數字網絡合法用戶)被允許正常訪問的一定的信息,但他同時通過一些手段越權訪問了別人不允許他訪問的信息,因此而造成他人的信息洩密。所以,還得加密訪問控制的機制,對服務及訪問權限進行嚴格控制。
l 防範假冒合法用戶的非法訪問
從管理上及實際需求上是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源。那麼,入侵者便會在用戶下班或關機的情況下,假冒合法用戶的IP地址或用戶名等資源進行非法訪問。因此,必需從訪問控制上做到防止假冒而進行的非法訪問。
2.4.2.2 傳輸加密需求
加密傳輸是網絡安全重要手段之一。信息的洩漏很多都是在鏈路上被搭線竊取,數據也可能因為在鏈路上被截獲、被篡改後傳輸給對方,造成數據真實性、完整性得不到保證。如果利用加密設備對傳輸數據進行加密,使得在網上傳的數據以密文傳輸,因為數據是密文,所以,即使在傳輸過程中被截獲,入侵者也讀不懂,而且加密技術還能對數據傳輸過程中的完整性、真實性進行鑑別。可以保證數據的保密性、完整性及可靠性。因此,網絡系統中必需採用相應的加密技術對數據進行傳輸加密。
2.4.2.3 入侵檢測需求
防火牆是實現網絡安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但網絡配置了防火牆卻不一定安全,防火牆不可能完全防止有些新的攻擊或那些不經過防火牆的其它攻擊。因為網絡安全是整體的,動態的,不是單一產品能夠完全實現,所以確保網絡更加安全必須配備入侵防護系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。
2.4.3 操作系統安全需求
2.4.3.1 安全漏洞檢測和修補需求
網絡系統存在安全漏洞(如安全配置不嚴密等)和操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過一些程序來探測網絡中系統中存在的一些安全漏洞,然後通過發現的安全漏洞,採取相就技術進行攻擊,因此,必需配備網絡安全掃描系統和系統安全掃描系統檢測網絡中存在的安全漏洞,並採用相應的措施填補系統漏洞,對網絡設備等存在的不安全配置重新進行安全配置。
2.4.3.2 安全加固需求
對關鍵的服務器主機系統進行安全加固,提供用戶認證、訪問控制和審計,嚴格控制用戶對服務器系統的訪問,禁止黑客利用系統的開口隱患和安全管理功能的不足之處進行非法訪問,避免內部用戶的濫用。
2.4.4 網絡應用安全需求
2.4.4.1 防病毒需求
針對防病毒危害性極大並且傳播極為迅速的特點,必須配備涵蓋客戶端、服務器、郵件系統、互聯網網關的整套防病毒體系,實現全網的病毒安全防護,徹底切斷病毒繁殖和傳播的途徑。
2.4.4.2 防垃圾郵件需求
必須採用有效的手段防範互聯網垃圾郵件進入網絡內部郵件服務器系統,干擾正常業務通信。
2.4.4.3 身份認證需求
必須採用必要的用戶身份認證和授權管理機制,對網絡用戶身份的真實性、合法性進行集中的控制。
2.4.5 數據安全需求
2.4.5.1 數據備份需求
對重要的業務數據和管理數據應提供可靠的備份機制,防止因非法攻擊或意外事件造成數據的破壞;
2.4.5.2 數據加密需求
對敏感數據的存儲和通訊採用可靠的加密機制,使攻擊者無法竊取、篡改和破壞敏感信息。
2.4.6 安全管理需求
提高人的安全意識可以通過安全常識培訓來實現。對人的行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。網絡系統中也可以通過部署相應的安全管理產品,採用一定的技術手段監控各種網絡行為。
根據用戶的實際需要,我們將主要從網絡層、系統層和應用層幾個方面考慮安全的問題,確保系統具有足夠的安全保護措施來保證系統穩定運行和防止外界的惡意攻擊。具體安全需求如下:
l 網絡隔離和訪問控制
防範外部網絡用戶或Internet黑客利用公司網絡的對外互聯通信接口非法侵入局域網,或進而通過廣域網侵入某個分公司局域網進行各種破壞活動,尤其是防範外界人員對公司的核心管理和業務主機系統進行攻擊,同時也要防止因內部網用戶的濫用或誤用而導致內部網絡遭受外界侵害;
對各級單位網絡之間的通信進行控制,防範任何一個單位網絡中的非授權用戶通過企業廣域網平臺非法訪問及侵入其他單位網絡進行各種破壞活動,同時也防止外部人員利用某個單位的網絡間接對其他單位網絡進行攻擊,此外,對於採用單機撥號方式聯網的遠程營業網點提供可靠的用戶身份認證和網絡訪問授權管理,防止外界非授權人員通過撥號方式非法侵入公司網絡;
l 數據傳輸安全
xxxxxx圖書館計算機信息系統中傳輸的數據一旦被攻擊者竊聽、篡改均會造成社會影響和經濟損失。因此需要採取密碼學技術保證數據的機密性,確保信息數據在網絡(主要是廣域網)傳輸過程中不被非法竊取。通過數字簽名機制檢驗數據從數據源到目的地的傳輸過程中是否被篡改以及數據的真實來源,實現數據的完整性和真實性。
l 網絡入侵檢測和攻擊防範
對xxxxxx圖書館計算機信息系統網絡中各重要網段上流經的各種通信流量進行實時監視和分析,及時發現並阻止非法攻擊行為,防止其對網絡中的關鍵應用系統和信息數據造成侵害,不管攻擊是來自網絡內部或外部;
l 網絡安全評估和漏洞掃描
採用專業工具對重要的網絡和主機設備如路由器、交換機、服務器、工作站、防火牆等提供自動的安全漏洞檢測和分析,對網絡中的應用服務協議進行安全風險評估,幫助及時檢測、發現系統和服務中所固有的及因配置不當而存在的安全漏洞,並提供有效的報告和建議以便對所發現的漏洞做出及時、正確的處理;
l 病毒防範
需要建立全方位、多層次的病毒防範體系,能夠在病毒發作後殺毒,更重要的是起到事先預防、報警的作用,保護重要文件和數據;
l 安全審計
提供一個分佈式的集日誌存儲、分析、管理等功能於一身的安全審計平臺,在具有多種網絡設備及主機類型的複雜網絡環境中,通過記錄、分析網絡中的各類日誌信息,並實時監視網絡中的各種設備狀態,及時、有效分析出網絡中發生的安全事件及入侵行為;
l 安全管理
建立安全管理制度,包括對安全產品的管理制度、安全人員的工作職責、安全服務計劃等,從管理上提高系統的安全水平。
當然,系統內部安全性問題也很重要,尤其是重要的服務器系統和應用系統的安全問題,應當充分利用系統自身提供的安全功能進行有效的安全管理配置,必要時輔以適當的安全軟件,如系統安全加固、用戶身份認證和授權等,確保整個信息系統的安全性。關於這方面的設計我們將在其他方案中專門進行詳細闡述。
第3章 安全方案總體設計
3.1 常用信息安全保護技術
網絡信息安全強調的是通過技術和管理手段,能夠實現和保護消息在公用網絡信息系統傳輸、交換和存儲流通的保密性、完整性、可用性、真實性和不可抵賴性。因此當前網絡信息安全保護技術主要是兩個類型:主動防禦技術和被動防禦技術。
當然在實際系統安全建設中,可根據安全風險、投資規模,選擇其中幾種安全防禦技術,分次分批的部署安全產品,提高系統的安全防護水平。
(1)主動防禦技術
l數據加密:密碼技術是公認保護網絡信息安全的最實用辦法。對數據最有效的保護就是加密,因為加密的方式可用不同的手段來實現。
l身份鑑別:身份鑑別強調一致性驗證,驗證要與一次性證明相匹配。通常身份鑑別包括:驗證依據、驗證系統和安全要求。
l存取控制:存取控制是主體對客體具有規定權限操作的能力。存取控制的內容包括:人員限制、訪問權限設置、數據標識、控制類型和風險分析等。它是內部網絡信息安全的重要方面。
l權限設置。規定合法用戶訪問網絡信息資源的資格範圍,即反映能對資源進行何種操作。
l虛擬專用網技術。使用虛擬專用網VPN或虛擬局域網VLAN技術。VPN技術就是在公網基礎上進行邏輯分割而虛擬構建的一種特殊通信環境,使其具有私有性何隱蔽性。VPN也使一種策略,可為用戶提供定製的傳輸何安全服務。
(2)被動防禦技術
l防火牆技術:防火牆是內部網與Internet(或一般外網)間實現安全策略要求的訪問控制保護,是一種具有防範免疫功能的系統或系統組保護技術,其核心的控制思想是包過濾技術(也有應用代理技術)。
l入侵防護系統。IDS就是在系統中的檢查位置執行入侵檢測功能的程序或硬件執行體,可對當前的系統資源何狀態進行監控,檢測可能的入侵行為。
l安全掃描器。它可自動檢測遠程或本地主機及網絡系統的安全性漏洞點的專用功能程序,可用於觀察網絡信息系統的運行情況。
l病毒防護。通過各種檢測手段如特徵碼比對、行為監測等發現並清除文件中附帶的病毒,避免對系統、應用和數據造成危害。
l口令驗證。它利用密碼檢查器中的口令驗證程序查驗口令集中的薄弱口令,防止攻擊者假冒身份登入系統。
l審計跟蹤。它對網絡信息系統的運行狀況進行詳細審計,並保持審計記錄和日誌,幫助發現系統存在的安全弱點和入侵點,儘量降低安全風險。
l物理保護和安全管理。它通過制定標準、管理辦法和條例,對物理實體和信息系統加強規範管理,減少人為管理因素不力的負面影響。
3.1.1 防火牆技術
防火牆作為置於不同網絡安全域之間的訪問控制設備,是增強內部網絡安全性的重要安全措施,防火牆通過檢測和控制網絡之間的信息交換和訪問行為來實現對網絡的安全保護。
3.1.1.1 安全技術要求
1.防火牆應具有較高的穩定可靠性,要求產品能連續無故障運行,支持雙機熱備份,並支持Active-Active、Active-Standby,支持狀態同步(STP)協議。
2.防火牆應具有較高的安全性,要求防火牆產品無後門程序和安全漏洞,具有很高的抗網絡攻擊的能
3.過濾和管理進出網絡的數據包;
4. 封堵禁止的訪問行為;
5. 記錄通過防火牆的信息內容和活動;
6. 對網絡攻擊進行檢測和告警;
7. 通過自身以及和IDS 系統的聯動達到阻止網絡入侵和非法訪問的目的;
8. 其他附加的功能,如:負載均衡、應用層過濾、防病毒等功能。
3.1.1.2 安全管理要求
防火牆策略的制定和管理決定了防火牆是否能夠真正的發揮保護作用,如果安裝了防火牆但是並沒有根據安全需求去配置防火牆策略,或者是配置了錯誤的策略,就會使防火牆形同虛設。所以防火牆策略的配置和管理是非常重要的環節。攻擊者可以監視網絡通信來獲取明文傳輸口令,所以管理員與防火牆的通信需要安全的信道,很多的防火牆都提供安全的登錄方式如:OTP(one time password)、通過SSH 方式的Telnet 服務、基於SSL的GUI 管理方式。
3.1.2 虛擬專用網技術
虛擬專用網(Virtual Private Network)是指依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商)提供的公用網,採用密碼技術、協議技術等建立起專用數據通信鏈路的技術。在虛擬專用網中,任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的,如IETF草案認為:基於IP的VPN為:"使用IP機制仿真出一個私有的廣域網"是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。
目前,最常用的VPN技術分為IPSEC和SSL VPN兩種,下面分別進行說明。
3.1.2.1 IPSEC VPN技術
1、IPSEC。IPSEC是一個工業標準網絡安全協議,為IP網絡通信提供透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,可以有效抵禦網絡攻擊,同時保持易用性。IPSEC 有兩個基本功能:1)保護IP數據包安全;2)為抵禦網絡攻擊提供防護措施。
IPSEC綜合採用密碼技術、安全協議技術、密鑰管理技術來實現上述兩個功能,不僅能為局域網與撥號用戶、域、網站、遠程站點以及EXTRANET之間的通信提供強有力的保護,而且還能用來篩選特定數據流。IPSEC基於一種端-對-端的安全模式。IPSEC有助於xxx市電子政務用戶以如下三種方式配置IPSEC:
n局域網:c/s模式,對等模式;
n廣域網:路由器-對-路由器模式,網關-對-網關模式;
n遠程訪問:撥號客戶機,專網對internet的訪問。
3.1.2.2 SSL VPN技術
2、SSL VPN。SSL VPN通過SSL協議,利用PKI的證書體系,在傳輸過程中使用DES、3DES、AES、RSA、MD5、SHA1等多種密碼算法保證數據的機密性、完整性、不可否認性而完成秘密傳輸,實現在Internet上安全的進行信息交換。
SSL VPN具備很強的靈活性,幾乎所有瀏覽器都內建有SSL功能,可以成為點政務應用、無線接入設備、Web服務以及安全接入管理的關鍵協議。SSL協議層包含兩類子協議——SSL握手協議和SSL記錄協議。它們共同為應用訪問連接提供認證、加密和防篡改功能。SSL能在TCP/IP和應用層間無縫實現Internet協議棧處理,而不對其他協議層產生任何影響。
SSL安全功能組件包括三部分:認證,服務器對客戶端進行驗證同時對服務器和客戶端進行驗證;加密,對通信進行加密,只有經過加密的雙方才能交換信息並相互識別;完整性檢驗,進行信息內容檢測,防止被篡改。保證通信進程安全的一個關鍵步驟是對通信雙方進行認證,SSL握手子協議負責這一進程處理:客戶端向服務器提交有效證書,服務器採用公共密鑰算法對證書信息進行檢驗,以確認終端用戶的合法性。
SSL VPN控制功能強大,能方便實現更多遠程用戶在不同地點遠程接入,實現更多網絡資源訪問,且對客戶端設備要求低,因而降低了配置和運行支撐成本。SSL VPN作為遠程安全接入技術,主要是由於其接入控制功能比較強。SSL VPN提供安全、可代理連接,只有經認證的用戶才能對資源進行訪問。SSL VPN能對加密隧道進行細分,從而使得終端用戶能夠同時接入Internet和訪問內部企業網資源,也就是說它具備可控功能。另外,SSL VPN還能細化接入控制功能,易於將不同訪問權限賦予不同用戶,實現伸縮性訪問,這種精確的接入控制功能對遠程接入IPSEC VPN來說難以實現的。
SSL VPN基本上不受接入位置限制,可以從眾多Internet接入設備、任何遠程位置訪問網絡資源。SSL VPN通信基於標準TCP/UDP協議傳輸,因而能遍歷所有NAT設備、基於代理的防火牆和狀態檢測防火牆。這使得用戶能夠從任何地方接入,無論是處於其他公司網絡中基於代理的防火牆之後,或是寬帶連接中。隨著遠程接入需求的不斷增長,SSL VPN是實現任意位置的遠程安全接入的理想選擇。
SSL VPN具有簡單、易用、低成本的特點,特別適用於xxx電子政務外網域安全防護。
3.1.3 入侵防護技術
3.1.3.1 入侵防護系統—IPS
入侵防護系統通過收集和分析計算機網絡或計算機系統中若干關鍵眯的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的集合便是入侵防護系統。與其它安全產品不同的是,入侵防護系統需要更多的智能,它必須可以將行到的數據進行分析,並得出有用的結果。
入侵防護系統通常由數據採集部分、數據分析部分、控制檯部分以及日誌部分幾個部件構成,並且這幾個部件往往位於不同的主機上。數據採集部分從整個信息系統中獲得事件,並向系統的其他部分提供此事件。數據分析部分分析得到的數據,併產生分析結果。控制檯部分則是結分析結果作出反應的功能單元,它可以作出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。日誌部分是存放各種中間和最終數據的地方的統稱,它可以是複雜的數據庫,也可以是簡單的文本文件。
3.1.3.2 入侵防護系統主要技術
l 數據流實時監測功能
入侵防護系統應提供實時監測網絡上的數據流的功能,對防範網絡惡意攻擊及誤操作提供主動的實時保護,在網絡系統受到危害時攔截和響應入侵。
l 生成和管理審計數據的功能
入侵防護系統應根據網絡安全策略對網絡和系統活動進行檢查,捕獲網絡安全違規事件,並對生成的審計數據進行分析處理和過濾,多方位反映系統安全狀況。
l 特徵庫更新能力
入侵防護系統應提供特徵庫更新功能。
l 自動響應功能
入侵防護系統應記錄網絡安全事件的詳細信息,採取郵件等其他形式提示系統安全管理員採取一定的安全措施。
l 聯動功能
入侵防護系統宜具有與防火牆或者其它網絡設備聯動的功能,實時阻斷連接。
3.1.3.3 入侵防護系統管理技術
l 入侵防護系統只應允許授權人員設置入侵管理規則,如定義攻擊特徵、指定非標準服務端口、入侵響應方式等。入侵管理規則應操作簡單、安全有效,並保證入侵防護系統的功能實現沒有被旁路。
l 入侵防護系統應對入侵管理規則範圍內的所有操作有完備的日誌記錄,包括入侵事件的日期、時間、來源、攻擊目標、事件類型、過程、事件的結果等內容。
l 入侵防護系統只能允許授權人員查閱、統計、管理、維護日誌記錄。日誌記錄不得被更改或任意刪除,日誌所佔存儲空間將滿時,入侵防護系統應及時告警,以便系統管理員及時將日誌導出或刪除。
l 系統管理員應定期更新攻擊特徵數據庫,定期分析入侵檢測記錄,並根據系統已經存在或潛在的安全漏洞及時調整監控策略。
3.1.4 病毒檢測防範技術
3.1.4.1 防病毒技術
防病毒的內容是在內部網絡上安裝和運行防病毒系統,針對網絡的實際情況,包括各種主機操作系統,進行病毒掃描和清除。
3.1.4.2 防病毒主要技術
l 管理功能
中央分級管理,整個系統具有統一的管理和策略控制;在整個網絡結構中,應該能夠實現防病毒體系的多級管理,中央管理員應能夠實現對整個防病毒系統的中央集中控管。跨平臺管理,應能夠統一管理整個網絡結構中不同系統下的防病毒系統,比如:Windows、Linux、Novell和Unix等。可以限制管理員的訪問權限,訪問權限包括:讀、寫、修改或完全控制等。
網絡策略的強制執行,防病毒管理中心能夠強制客戶端執行企業級安全策略,以保持信任域策略的一致性。防病毒管理中心能夠鎖定客戶端的防病毒策略,禁止客戶端的用戶修改管理中心下
發的防病毒策略。
遠程自動安裝,應能夠實現對多平臺的計算機的遠程安裝。
l 警報和日誌功能
應具有集中化的報警、日誌報告功能,能生成統計分析報告。具備實時報警功能,應能夠通過網絡廣播、電子郵件等形式向管理員通報各種病毒發作的警告。
防毒功能
隔離染毒用戶,防止病毒傳播。防病毒產品應占用較少的系統資源,在系統繁忙時應能調整資源的佔用率,不影響主機上的業務應用。
能檢測蠕蟲病毒、宏病毒、木馬型病毒等各種已知病毒和未知病毒,對病毒檢測、清除能力強,管理工作站可對防毒客戶端進行配置,包括對客戶端的啟動、停止、關閉、監測、掃描、清除、隔離、告警、日誌記錄、處理方式、代碼提取、代碼傳送及其它各類控制參數進行設置。
能夠掃描包括使用多種主流壓縮格式進行多重壓縮的文件內的病毒。
3.1.4.3 防病毒管理技術
管理技術應實施病毒的檢測和預防控制,加強用戶的防病毒意識。防止病毒應基於安全意識、合適的系統訪問和變更管理控制。控制應包括:
l 安裝並定期更新防病毒檢測和修復軟件;
l 對於不明來歷或未授權的電子媒體上的任何文件、從不可信的網絡上收到的文件,在使用前應進行病毒檢查;
l 任何電子郵件附件在下載或使用前應針對惡意軟件進行檢查。該檢查可以在不同的位置進行,例如,在電子郵件服務器、臺式計算機處或者當進入網絡時;
l 相應的從病毒攻擊中恢復的業務連續性計劃,包括所有必要數據和軟件備份以及恢復安排;
l 安裝經國家認可的病毒防治產品,根據系統安全需求制定病毒防範策略。定期組織查殺系統的病毒;
l 系統應在病毒侵入時及時報警並予以隔離、清除或採用既定病毒防範策略中規定的處理方式。系統應對病毒事件的發生及處理過程有詳細的日誌記錄;
l 定期更新病毒特徵庫,及時對病毒防治產品進行版本升級。定期對病毒相關日誌記錄進行詳細統計與分析,及時調整病毒防範策略。
3.2 安全系統總體設計
3.2.1 安全產品部署拓撲圖
在xxxxxx圖書館計算機信息系統的安全建設中應根據安全目標、網絡狀況、目前用戶最關注的安全重點和現有投資規模選擇當前最迫切需要的安全防護機制,用以確保xxxxxx圖書館計算機信息系統網絡信息系統的安全可靠運行。
經過對xxxxxx圖書館計算機信息系統的安全風險和安全需求分析,我們提出一個整合防火牆、VPN、入侵防護、防病毒於一體的安全解決方案,希望能幫助xxxxxx圖書館計算機信息系統有效抵禦來自外部和內部網絡的非法攻擊。
作為xxxxxx圖書館計算機信息系統的網絡現狀,下圖是xxxxxx圖書館計算機信息系統中的安全產品部署拓撲圖。
圖3.1 安全產品部署拓撲圖
本期項目建設需求清單:
3.2.2 網絡安全產品部署
本項目建設中安全產品部署包括以下四個子系統:
3.2.2.1 防火牆系統
在本方案中,本期項目建設採用雙鏈路備份。網絡中防火牆部署方式如下:
l 互聯網出口
n 廣域網出口防火牆:採用兩臺H3C NS-DPtech FW1000-GS防火牆,部署在網出口邊界路由器與內網核心交換機之間,設置恰當的訪問控制規則,審核來自外部網絡的訪問請求,通過與訪問控制規則的比較,確保只有合法的訪問才能通過,從而為內部網絡建立安全的防禦屏障,拒絕來自廣域網上一切無關節點和用戶的訪問。
l 辦公區和讀者區
n 對於網絡安全內部的防範,在辦公區和讀者區與中心交換機之間部署兩套H3C NS-DPtech FW1000-GS防火牆,通過與訪問控制規則的比較,確保只有合法的訪問才能通過,從而為內部網絡建立安全的防禦屏障。
3.2.2.2 SSL VPN系統
n 本項目中部署一套H3C NS-SecPath F100-A系統。SSL VPN提供安全、可代理連接,只有經認證的用戶才能對資源進行訪問。SSL VPN能對加密隧道進行細分,從而使得終端用戶能夠同時接入Internet和訪問內部企業網資源,也就是說它具備可控功能。另外,SSL VPN還能細化接入控制功能,易於將不同訪問權限賦予不同用戶,實現伸縮性訪問,這種精確的接入控制功能對遠程接入IPSEC VPN來說難以實現的。
3.2.2.3 入侵防護系統
n 部署一臺H3C NS-SecPath T200-A
n 建議在網絡的外部連接著關鍵服務器主機或有重要數據流經的網段上部署H3C網絡入侵防護系統,實時監測防禦流經網絡尤其是進出關鍵服務器主機或進出網絡的各種通信數據流,及時發現來自網絡內部、外部的攻擊行為並進行報警和響應。
n 由於在網絡的對外出口位置已經部署防火牆系統提供安全隔離屏障,為了使入侵防護系統與防火牆系統更有效地進行配合,我們可以把防火牆系統作為網絡與外界通信的第一道安全屏障,而把網絡入侵防護系統作為第二道安全屏障,連接在被保護網絡的交換機上,這樣即使外部網絡的攻擊能夠穿透防火牆而進入局域網,也會立即被網絡入侵防護系統發現並攔截,同時,通過網絡入侵防護系統與防火牆系統的聯動,可以動態調整防火牆上的安全策略設置,把後續的攻擊攔截在防火牆之外。
3.2.2.4 防病毒系統
為了構建一個完善、有效的反病毒體系,在分析了xxx市xxx圖書館網絡架構及相關應用之後,我司建議採用結合產品、防禦策略、服務為一體的反病毒體系。
在xxx市xxx圖書館網絡中所有能訪問互連網的工作站上,安裝Kaspersky桌面反病毒軟件;在此網絡中的Windows/Linux服務器上安裝Kaspersky for Server服務器反病毒軟件;
在xxx市xxx圖書館總部指定一臺配置較高PC上安裝安裝Kaspersky的Administration Kit管理服務器,實現對總部本地網Kaspersky反病毒軟件集中管理和控制,也可以對各地區網絡中所有Kaspersky反病毒軟件的集中管理和控制;
在各地和各分部分別建立自己的管理服務器,分別指定一臺配置較高PC上安裝Kaspersky的Administration Kit管理工具,實現對各地網Kaspersky反病毒軟件集中管理和控制。
首先要在總部和各地分部的服務器、工作站上完成反病毒部署,然後逐步在各地和各分部完成反病毒軟件的部署。各分部在各網絡內實現本地的網絡安全管理,總部也可以對各分部進行統一的綜合管控。由管理服務器,管理本地及二級服務器通信,管理下級工作站,進行信息的彙總分析。
第4章 各子系統設計
4.1 防火牆子系統
4.1.1 防火牆系統部署的意義
防火牆是近年發展起來的重要安全技術,其主要作用是在網絡入口點檢查網絡通信,根據用戶設定的安全規則,在保護內部網絡安全的前提下,提供內外網絡通信。通過使用Firewall過濾不安全的服務器,提高網絡安全和減少子網中主機的風險,提供對系統的訪問控制;阻止攻擊者獲得攻擊網絡系統的有用信息,記錄和統計網絡利用數據以及非法使用數據、攻擊和探測策略執行。防火牆屬於一種被動的安全防禦工具。
設立防火牆的目的就是保護一個網絡不受來自另一個網絡的攻擊,防火牆的主要功能包括以下幾個方面:
(1)防火牆提供安全邊界控制的基本屏障。設置防火牆可提高內部網絡安全性,降低受攻擊的風險。
(2)防火牆體現網絡安全策略的具體實施。防火牆集成所有安全軟件(如口令、加密、認證、審計等),比分散管理更經濟。
(3)防火牆強化安全認證和監控審計。因為所有進出網絡的通信流都通過防火牆,使防火牆也能提供日誌記錄、統計數據、報警處理、審計跟蹤等服務。
(4)防火牆能阻止內部信息洩漏。防火牆實際意義上也是一個隔離器,即能防外,又能防止內部未經授權用戶對互聯網的訪問。
4.1.2 防火牆的部署方式
在本方案中,本期項目建設採用雙鏈路備份。網絡中防火牆部署方式如下:
l 互聯網出口
n 廣域網出口防火牆:採用兩臺迪普 NS-DPtech FW1000-GS防火牆,部署在網出口邊界路由器與內網核心交換機之間,設置恰當的訪問控制規則,審核來自外部網絡的訪問請求,通過與訪問控制規則的比較,確保只有合法的訪問才能通過,從而為內部網絡建立安全的防禦屏障,拒絕來自廣域網上一切無關節點和用戶的訪問。
l 辦公區和讀者區
n 對於網絡安全內部的防範,在辦公區和讀者區與中心交換機之間部署兩套迪普 NS-DPtech FW1000-GS防火牆,通過與訪問控制規則的比較,確保只有合法的訪問才能通過,從而為內部網絡建立安全的防禦屏障。
4.1.3 防火牆的技術特點
4.1.3.1 擴展性最強
基於先進的OAA開放應用架構,防火牆能靈活擴展病毒防範、網絡流量監控和SSL VPN等硬件業務模塊,實現2-7層的全面安全。
4.1.3.2 強大的攻擊防範能力
能防禦DoS/DDoS攻擊(如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等)、ARP欺騙攻擊、TCP報文標誌位不合法攻擊、Large ICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊,同時支持黑名單、MAC綁定、內容過濾等先進功能。
4.1.3.3 增強型狀態安全過濾
支持基礎、擴展和基於接口的狀態檢測包過濾技術;支持H3C特有ASPF應用層報文過濾協議,支持對每一個連接狀態信息的維護監測並動態地過濾數據包,支持對應用層協議的狀態監控。
4.1.3.4 豐富的VPN特性
集成IPSec、L2TP、GRE和SSL等多種成熟VPN接入技術,保證移動用戶、合作伙伴和分支機構安全、便捷的接入。
4.1.3.5 應用層內容過濾
可以有效的識別網絡中各種P2P模式的應用,並且對這些應用採取限流的控制措施,有效保護網絡帶寬;支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾。
4.1.3.6 全面NAT應用支持
提供多對一、多對多、靜態網段、雙向轉換 、Easy IP和DNS映射等NAT應用方式;支持多種應用協議正確穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。
4.1.3.7 全面的認證服務
支持本地用戶、RADIUS、TACACS等認證方式,支持基於PKI/CA體系的數字證書(X.509格式)認證功能。支持基於用戶身份的管理,實現不同身份的用戶擁有不同的命令執行權限,並且支持用戶視圖分級,對於不同級別的用戶賦予不同的管理配置權限。
4.1.3.8 集中管理與審計
提供各種日誌功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。
4.1.4 防火牆產品資質
1.1.1.1 銷售許可證
4.1.4.1 國家信息安全認證產品型號證書
4.1.4.2 涉密信息系統產品檢測證書
4.1.4.3 軍用信息安全產品認證證書(軍隊評測中心)
4.2 SSL VPN子系統
4.2.1 SSL VPN系統的部署
本項目中部署一套H3C NS-SecPath F100-A系統。SSL VPN提供安全、可代理連接,只有經認證的用戶才能對資源進行訪問。SSL VPN能對加密隧道進行細分,從而使得終端用戶能夠同時接入Internet和訪問內部資源,也就是說它具備可控功能。另外,SSL VPN還能細化接入控制功能,易於將不同訪問權限賦予不同用戶,實現伸縮性訪問,這種精確的接入控制功能對遠程接入IPSEC VPN來說難以實現的。
4.2.2 H3C SecPath SSL VPN產品介紹
SecPath SSL VPN系列網關是SecPath系列產品的新成員,是H3C公司開發的新一代專業安全產品。SecPath SSL VPN網關能夠讓用戶在最低成本的情況下部署移動用戶、遠程分支和外聯網的VPN接入,實現用戶網絡的安全連通。
SecPath SSL VPN網關同時還具有完善的防火牆功能,支持外部攻擊防範、內網安全、流量監控、郵件過濾、網頁過濾、應用層過濾等功能,能夠有效的保護網絡安全;採用應用狀態檢測技術,可對連接狀態過程和異常命令進行檢測;提供多種智能分析和管理手段;提供基本的路由能力,支持路由策略及策略路由;支持豐富的QoS特性。
SecPath SSL VPN網關的推出,進一步增強了H3C公司安全解決方案的提供能力。
4.2.3 SSL VPN系統技術特點
4.2.3.1 市場領先的安全防護功能
l 增強型狀態安全過濾:支持基礎、擴展和基於接口的狀態檢測包過濾技術,支持按照時間段進行過濾;支持H3C特有ASPF應用層報文過濾(Application Specific Packet Filter)協議,支持對每一個連接狀態信息的維護監測並動態地過濾數據包,支持對FTP、HTTP、SMTP、RTSP、H.323(包括Q.931,H.245, RTP/RTCP等)應用層協議的狀態監控,支持TCP/UDP應用的狀態監控。
l 抗攻擊防範能力:包括多種DoS/DDoS攻擊防範、ARP欺騙攻擊的防範、提供ARP主動反向查詢、TCP報文標誌位不合法攻擊防範、超大ICMP報文攻擊防範、地址/端口掃描的防範、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能;靜態和動態黑名單功能;MAC和IP綁定功能;支持智能防範蠕蟲病毒技術。
l 應用層內容過濾:可以有效的識別網絡中各種P2P模式的應用,並且對這些應用採取限流的控制措施,有效保護網絡帶寬;支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾;支持應用層過濾,提供Java/ActiveX Blocking和SQL注入攻擊防範。
l 多種安全認證服務:支持RADIUS和HWTACACS協議及域認證;支持基於PKI /CA體系的數字證書(X.509格式)認證功能;在PPP線路上支持CHAP和PAP驗證協議;支持用戶身份管理,不同身份的用戶擁有不同的命令執行權限;支持用戶視圖分級,不同級別的用戶賦予不同的管理配置權限。
l 集中管理與審計:提供各種日誌功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。
l 全面NAT應用支持:提供多對一、多對多、靜態網段、雙向轉換 、Easy IP和DNS映射等NAT應用方式;支持多種應用協議正確穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。
4.2.3.2 專業 靈活的VPN服務
l 支持L2TP VPN、GRE VPN、IPSec VPN、動態VPN和SSL VPN等多種VPN業務模式。
l 利用動態VPN(DVPN)技術,簡化VPN配置,實現按需動態構建VPN網絡。
4.2.3.3 智能網絡集成及QoS保證
l 支持路由、透明及混合運行模式
l 支持靜態路由協議
l 支持RIP v1/2、OSPF、BGP動態路由協議
l 支持路由策略及策略路由
l 支持基於802.1q VLAN
l 支持PPPoE Client/Server
l DHCP Client/Server/Relay
l 支持流分類、流量監管、流量整形及接口限速
l 支持擁塞管理(FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ)
l 支持擁塞避免(WRED)
4.2.3.4 電信級設備高可靠性
l 支持雙機狀態熱備功能,支持Active/Active和Active/Passive兩種工作模式,實現負載分擔和業務備份
l 36年的平均無故障時間(MTBF)
l 遠端鏈路狀態監測(L3 monitor)
l 設備關鍵部件均採用冗餘設計
4.2.3.5 智能 圖形化的管理
l 通過Web方式進行遠程配置管理。
l 通過 H3C iMC實現與網絡設備的統一管理。
l 通過H3C BIMS系統對數量眾多、位置分散的設備提供智能和高效管理。
l 通過H3C VPN Manager系統對VPN進行動態和圖形化的業務管理和狀態監控。
4.2.4 SSL VPN產品資質
4.3 IPS入侵防護子系統
4.3.1 IPS入侵防護系統的部署
部署一臺H3C NS-SecPath T200-A
建議在網絡的外部連接著關鍵服務器主機或有重要數據流經的網段上部署H3C NS-SecPath T200-A入侵防護系統,實時監測防禦流經網絡尤其是進出關鍵服務器主機或進出網絡的各種通信數據流,及時發現來自網絡內部、外部的攻擊行為並進行報警和響應。
由於在網絡的對外出口位置已經部署防火牆系統提供安全隔離屏障,為了使入侵防護系統與防火牆系統更有效地進行配合,我們可以把防火牆系統作為網絡與外界通信的第一道安全屏障,而把網絡入侵防護系統作為第二道安全屏障,連接在被保護網絡的交換機上,這樣即使外部網絡的攻擊能夠穿透防火牆而進入局域網,也會立即被網絡入侵防護系統發現並攔截,同時,通過網絡入侵防護系統與防火牆系統的聯動,可以動態調整防火牆上的安全策略設置,把後續的攻擊攔截在防火牆之外。
4.3.2 IPS入侵防護系統技術特點
4.3.2.1 高精度、高效率的入侵檢測引擎
SecPath T200採用H3C公司自主知識產權的FIRST(Full Inspection with Rigorous State Test,基於精確狀態的全面檢測)引擎。FIRST引擎集成了多項檢測技術,實現了基於精確狀態的全面檢測,具有極高的入侵檢測精度;同時,FIRST引擎採用了並行檢測技術,軟、硬件可靈活適配,大大提高了入侵檢測的效率。
4.3.2.2 全面、及時的攻擊特徵庫
攻擊特徵庫是FIRST檢測引擎進行攻擊檢測的依據。H3C公司多年的網絡技術與安全技術積累,造就了資深的攻擊特徵庫團隊和安全服務團隊,建有攻防實驗室,最新的部署於全球的蜜罐系統,緊跟網絡技術與安全技術的發展前沿和網絡攻防的最新動態,定期更新併發布攻擊特徵庫升級包,源源不斷地為強大的檢測引擎注入高質量的“燃油”。
4.3.2.3 精細化的深度防禦與應用控制
l 客戶機和服務器保護
- 抵禦針對應用和操作系統漏洞的攻擊
- 擯棄代價昂貴的應急補丁工作
- 精細化的深度防禦與應用控制
l 病毒過濾
- 全球頂尖級病毒分析專家團隊
- 擁有超過40萬的病毒樣本
- 阻止多種類型的網絡蠕蟲/病毒攻擊
- 深度過濾隱藏在IM/P2P/email等常用軟件中攜帶的病毒
- 過濾壓縮後的病毒、木馬
- 過濾變種病毒
l 網絡基礎設施保護
- 保護DNS和其他網絡基礎設施
- 抵禦流量異常以及SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、CC等各種DDoS攻擊
- 訪問控制
l 流量正規化
- 提高網絡帶寬和路由器性能
- 正規化非法網絡流量
- 優化網絡性能
l URL過濾
- 根據時間定製過濾規則
- 自定義URL過濾規則
- URL過濾與帶寬管理關聯定製組合
l 應用性能保護
- 提高帶寬和服務器性能
- 阻止或限制P2P/IM等非關鍵流量
l 特徵庫實時升級
- 抵禦零日攻擊
- 最新特徵庫自動發佈
4.3.2.4 基於對象的虛擬系統
SecPath T200提供業界領先的基於對象的虛擬系統功能。T200的所有策略都使用對象來定義,包括動作對象、時間表對象、服務對象、協議對象等。針對不同的網絡環境和安全需求,可基於對象制定不同的安全策略和響應方式,每個虛擬系統分別執行不同的安全策略,實現面向不同對象、不同安全策略的智能化入侵檢測和帶寬管理。
4.3.2.5 安全技術與網絡的深度融合
SecPath T200融合了豐富的網絡特性,可在各種複雜的網絡環境中實現透明接入組網,支持MPLS、802.1Q、QinQ、GRE等網絡協議。同時,SecPath T200可與H3C公司的網絡設備、網絡管理系統等進行配合,形成整網安全解決方案。
4.3.2.6 豐富的響應方式
SecPath T200提供了豐富的威脅響應方式,包括阻斷、限流、TCP Reset、抓取原始報文、重定向、隔離、Email告警、日誌記錄等,各響應方式可以相互組合。設備出廠時已內置了一些常用的響應組合,便於部署和維護。
4.3.2.7 高可靠性,打造99.999%安全網絡
SecPath T200使用無源連接設備PFC(Power Free Connector)提供掉電保護功能。在T200掉電的情況下,PFC將網絡流量自動繞開T200,旁路到下一跳設備上去;當恢復電源供給後,PFC又會自動禁止旁路功能,所有流量將再度流經T200接受檢測。
SecPath T200內置的監測模塊以很高的頻率定時監測設備的健康狀況。一旦探測到檢測引擎或軟件系統故障,該模塊會將T200設置成一個簡單的二層交換設備,網絡流量將在兩個接口之間直接貫通,從而保持網絡業務的連續性。
SecPath T200支持冗餘部署。互為備份的多臺T200可以工作在負載分擔(Active/Active)模式,保證業務的持續運行。
4.3.2.8 強大、靈活的管理功能
在單臺或小規模部署時,為了節約設備成本和管理成本,SecPath T200提供了對單機的基於Web的圖形化管理系統,讓客戶不用購買、部署額外的管理服務器硬件和管理軟件就能實現對T200的圖形化管理。
在大規模部署時,SecPath T200提供了強大的集中管理系統,客戶通過集中管理系統可以在全網範圍內制定統一的安全策略,方便地分發到各地的T200上,同時各地的T200上產生的攻擊事件可以集中上報到管理中心。為用戶提供全網深度防禦解決方案。
4.3.3 IPS入侵防護產品資質
4.3.3.1 銷售許可證
4.3.3.2 國家信息安全產品型號證書
4.3.3.3 計算機軟件著作權登記證書
4.4 防病毒子系統
4.4.1 防病毒子系統的部署
4.4.1.1 管理服務器實施部署配置
根據xxx市xxx圖書館網絡系統的實際狀況,卡巴斯基建議通過總部的一臺FTP服務器,用戶訪問點擊安裝鏈接,安裝Kaspersky桌面反病毒軟件。
總部:
l 根據xxx市xxx圖書館網絡系統的實際狀況,卡巴斯基有限公司建議在總部一臺基於NT的機器上安裝集中控管軟件Administration Kit,負責監控所屬網絡中的防毒產品。利用這個工具,還能提供統一且自動的反病毒軟件更新,集中對Kaspersky的病毒定義和程序組件進行自動更新。在總部的NT服務器上部署KAV for Windows Server反病毒產品,通過Administration Kit進行集中管理。
注:這樣部署便於管理員及時處理染毒工作站,在最短時間內控制病毒在網絡中擴散。如果要跨防火牆管理工作站,需要配置防火牆打開反病毒軟件專用的通訊端口(TCP13000、14000),工作站需要打開反病毒軟件專用的通訊端口(UDP15000)。
l 對於聯入網絡的Win 9x/Me、Windows NT Workstation、Windows 2000 Professional、XP Home/Professional、Vista、Linux工作站,可以使用針對客戶端的防毒軟件KAV for Windows/Linux workstation,自動和強制地保護客戶端的工作站。
l 總部配備專業網絡安全管理人員,通過防毒集中控制系統Administration Kit對上述防毒產品進行集中維護管理、控制和更新。
l Kaspersky每小時一次更新病毒庫,每次更新數據量約3-20K,對網絡應用的影響極小。
各分級服務器:
l 在xxx市xxx圖書館的各地市網絡分別安裝集中控管軟件Administration Kit,負責監控所屬網絡中的防毒產品。利用這個工具,還能提供統一且自動的反病毒軟件更新,集中對Kaspersky的病毒定義和程序組件進行自動更新。在各NT/Linux服務器上部署KAV for NT/Linux Server反病毒產品,通過Administration Kit進行集中管理。
如果要跨防火牆管理,需要配置防火牆打開反病毒軟件專用的通訊端口(TCP13000、14000),工作站需要打開反病毒軟件專用的通訊端口(UDP15000)。
l 對於聯入網絡的Win 9x/Me、Windows NT Workstation、Windows 2000 Professional、XP Home/Professional、Vista、Linux工作站,可以使用針對客戶端的防毒軟件KAV for Windows/Linux workstation,自動和強制地保護客戶端的工作站。
l 各地市配備專業網絡安全管理人員,通過防毒集中控制系統Administration Kit對上述防毒產品進行集中維護管理、控制和更新。
l Kaspersky每小時一次更新病毒庫,每次更新數據量約3-20K,對網絡應用的影響極小。
4.4.1.2 卡巴斯基反病毒軟件服務端、客戶端的部署
² 安裝:
服務器防護終端和客戶端防護終端的安裝基本一致,針對xxx市xxx圖書館的網絡結構,有以下幾種安裝方式:
1) 利用光盤安裝。在服務器上和各地市未能聯網的計算機上,可以採取直接使用光盤的方式進行安裝。
2) 利用WEB方式安裝。根據xxx市xxx圖書館網絡具體防護要求預先定製安裝包,然後在總公司建立內部的FTP站點,將定製好的安裝包放到FTP站點上,通過網頁或者FTP的方式下載到本地或者在線進行安裝。(根據xxx市xxx圖書館的拓撲環境,建議採用這種安裝方式)
3) 利用腳本進行安裝。針對NT域和WIN2000域環境下的用戶,可以採用自動腳本安裝方式(即在所有域用戶在重新登陸域環境的時候,自動後臺運行安裝腳本,自動後臺安裝)。
4) 遠程安裝。針對NT架構的操作系統(WIN XP和WIN2003除外),可以直接遠程登陸安裝,但需要事先知道遠程主機的管理員口令。
5) 通過網上鄰居安裝。網絡用戶也可以通過網上鄰居找到反病毒服務器上安裝包所在的目錄,點擊安裝文件進行安裝。
注意事項:
1、 在安裝卡巴斯基反病毒軟件之前,必須完全卸載其他各種反病毒軟件。
2、 如果服務器端或客戶端安裝有防火牆程序,則必須修改規則開放SSL13000、tcp14000、udp15000端口。
² 管理:
通過總部的管理工具管理所有安裝完畢的反病毒系統,可以處於一個功能強大的網絡管理平臺下,集中進行管理,可以遠程監控遠端客戶機的狀況,實時的監控和修改遠端客機的設置,可以遠程直接執行遠程客機的上的反病毒相關的操作;可以集中觀測統一日誌。可以統一分發策略。可以統一定製升級和其他計劃等;鑑於xxx市xxx圖書館的網絡環境,建議在各地市分別安裝管理工具,在各地市等地分別安裝上管理工具,對這些地市網絡中的服務器和工作站集中進行管理,可以監控本網中客戶機的狀況,實時的監控和修改客戶機的設置,可以直接執行遠程客機的上的反病毒相關的操作;可以集中觀測統一日誌。可以統一分發策略。可以統一定製升級和其他計劃等。
4.4.1.3 病毒庫升級方法
反病毒升級的方式要根據xxx市xxx圖書館網的具體連通準則來確定,一般反病毒體系的升級式多樣的。
1) 總部服務器端升級方式:
2) A)如果服務器端可以連接互聯網,則可以讓服務器直接連入互聯網進行升級。升級頻率可設為每小時更新一次。
3) B)如果服務器不可以連接互聯網,則需要管理員定期通過可以連通互聯網的機器上下載最新的病毒升級包並將其解壓到反病毒服務器上,然後在反病毒服務器上設置為從本地文件夾中升級即可。
4) 總部客戶端升級方式:
5) A)根據安全原則和節省網絡資源的考慮,我們一般推薦在內網建立內部升級鏡像站點(協議方面可以使用HTTP和FTP方式),這樣內網廣大反病毒客戶端可以享受內網廣闊的帶寬升級,又避免了多點聯入互聯網帶來的安全隱患。這種方式也可以為以後對升級用戶進行管理提供方便。另外,我們也提供內網共享文件夾升級,和聯入反病毒專用服務器升級的方式。
6) B)對於使用移動筆記本電腦的用戶,可以設置為從本地和互聯網兩種方式進行升級,系統會首先連接本地升級服務器,當本地無法接通時,會自動嘗試連接到互聯網上進行病毒庫的升級。
7) 各地市服務器升級方式:
A) 如果服務器端可以連接總部的FTP或HTTP站點,則可以讓服務器直接連入從內部站點進行升級。升級頻率可設為每小時更新一次。
B) B) 如果服務器不可以連接FTP或HTTP站點,則可以讓服務器直接連入互聯網進行升級。升級頻率可設為每小時更新一次,如果不可以連接互聯網,也可以通過需要管理員定期通過可以連通互聯網的機器上下載最新的病毒升級包並將其解壓到反病毒服務器上,然後在反病毒服務器上設置為從本地文件夾中升級即可。
8) 各分部客戶端升級方式:
9) A) 如果客戶端可以連接總部的FTP或HTTP站點,則可以讓工作站直接連入從總部的內部站點進行升級。升級頻率可設為每小時更新一次。
B) 如果不可以連接FTP或HTTP站點,根據安全原則和節省網絡資源的考慮,我們一般推薦在各內網建立內部升級鏡像站點(協議方面可以使用HTTP和FTP方式),這樣內網廣大反病毒客戶端可以享受內網廣闊的帶寬升級,又避免了多點聯入互聯網帶來的安全隱患。這種方式也可以為以後對升級用戶進行管理提供方便。另外,我們也提供內網共享文件夾升級,和聯入反病毒專用服務器升級的方式。
C)對於使用移動筆記本電腦的用戶,可以設置為從本地和互聯網兩種方式進行升級,系統會首先連接本地升級服務器,當本地無法接通時,會自動嘗試連接到互聯網上進行病毒庫的升級。
10) 升級頻率:卡巴斯基常規病毒庫升級頻率為每小時一次。如果服務器直接連接互聯網,建議設置升級頻率為每小時一次,如果需要手動升級建議升級頻率為每一天一次。客戶端升級頻率建議設為每一天兩次,每次升級的文件大小不超過30K。升級的速度應該和企業網的具體帶寬相關。
11) 可以採用時間驅動,做到定時計劃升級,自動程度高。也可以採用事件驅動升級,比如當客戶機開機時進行升級,這要可以避開同一時間升級對網絡帶寬的佔用。
4.4.1.4 遠程管理
1、 策略管理
在管理服務器上,創建一個策略時,您可以為該應用程序的操作設定一套最小的參數。所有其他設置都是默認設置,默認值與該應用程序本地安裝期間應用的默認值相對應。創建的策略可以以後修改。
在這個策略創建後,它會被添加到組的策略文件夾當中,同時它會被作為繼承的策略添加到這個組的所有下級組中。新的策略會顯示在細節面板中。這個策略會在客戶/服務器第一次同步期間分配給客戶。
策略應用的方法如下:如果在客戶計算機上運行常駐內存的任務(實時保護),新的策略設置可以很好的應用於這些任務。如果正在客戶計算機上運行週期性的策略任務(手動掃描,數據庫更新),這些任務會繼續使用原有設置工作。新的策略任務會在這些任務下次啟動時應用
l 策略修改
在修改策略時,您可以對策略、鎖定策略設置和下級組的應用程序設置進行更改。
l 在附屬管理服務器上部署策略
根據分級網絡結構,自動執行主管理服務器的策略。
策略的設置可以在在主管理服務器上修改,修改後,附屬管理服務器的策略也相應的修改,並在客戶計算機上上部署。
主管理服務器上的策略屬性中的增強標籤中顯示了附屬管理服務器上部署策略的結果。 同時,可以連接到附屬管理服務器,通過策略屬性窗口查看客戶端的策略的執行結果。
l 導出導入策略
可以將策略從一個管理組導入或導出到其它管理組
2、 任務管理
可以通過創建和啟動任務的方式來實現任務的管理。卡巴斯基管理控制檯有如下 任務:
· 產品部署任務
· 下載更新任務
更改卡巴斯基管理服務器任務
可以為每種類型的任務創建組、全局、本地任務。程序的部署任務可以是一個組任務,也可以是一個全局任務。下載更新任務只能是一個全局任務。在任務文件中相應組的任務,全局任務是保存在任務節點的全局任務。
創建任務
查看與修改任務
啟動/停止任務
導入/導出任務
在附屬管理服務器上部署任務
運行在網絡管理上,可以從主管理服務器顯示服務器和附屬服務器的組任務,並能對客戶端進行部署。組任務只能在主管理服務器上修改,更改後,附屬管理服務器的組任務和客戶端計算機也自動執行。在附屬管理服務器上的任務結果可以顯示在主管理服務器的歷史窗口內。同樣,也可以在連接附屬管理服務器後,查看組內客戶端的任務結果。
查看編輯管理服務器屬性
4.4.1.5 附屬管理服務器備份和恢復數據
使用卡巴斯基管理工具分配工具的klbackup 備份功能可以附屬管理服務器備份和恢復數據。使用此功能,您可以很容易地將管理服務器從一臺計算機遷移到另一臺計算機。
在安裝了管理服務器之後,該效用位於安裝文件夾。該工具可以備份或恢復數據,此操作是命令行下進行的:
● 管理服務器數據庫保存了策略,任務,應用程序設置和管理服務器上的事件日誌;
● 關於邏輯網絡和客戶配置的信息;
● 為應用程序遠程安裝安裝文件(包文件夾目錄);
● 管理服務器證書。
Utility syntax(語法結構):
klbackup [-logfile LOGFILE] -path BACKUP_PATH [-no_sql] [-use_ts]|[-restore] [-savecert PASSWORD]
重要描::
● -logfile LOGFILE – 保存關於附屬管理服務器備份/恢復數據的報告。
● -path BACKUP_PATH – 保存信息到BACKUP_PATH 文件夾 / 使用BACKUP_PATH 文件夾中的數據恢復數據(強制參數)。
● -no_sql - 不備份/不恢復SQL Server數據庫。
● -use_ts -數據備份被保存在BACKUP_PATH文件夾中的命名為klbackup YYYY-MM-DD # MM-HH-SS文件夾中(文件夾的名稱是當前的日期和時間)。如果沒有定義該操作,信息會保存在BACKUP_PATH文件夾的根目錄下,並且每次都會覆蓋上次的內容。
-use_ts 功能允許您存檔與管理服務器有關的數據。例如,如果-path 被設置為 C:\KLBackups, klbackup 2003-06-19 # 11-30-18 文件夾將會包括關於管理服務器在2003年6月19日上午11:30分18秒的信息。
● -restore -備份管理服務器數據。如果沒有定義key,將按照BACKUP_PATH的值來恢復數據。
● -savecert PASSWORD -保存/刪除管理服務器證書,使用PASSWORD參數定義的密碼來加密/解密該證書。如果沒有使用該操作,在新管理服務器安裝期間會分配一個值給這個證書。
要恢復該證書,指定與備份該證書時相同的密碼。如果密碼不匹配,將不恢復這個證書。要創建一個管理服務器數據的備份,在安裝管理服務器的計算機上運行 klbackup 效用並使用相應的命令功能。要恢復管理服務器的數據,在安裝了新管理服務器的計算機上運行 klbackup 效用並使用相應的命令功能。如果在您恢復數據時共享文件夾的路徑已經改變,確定包括共享文件夾的任務是正確運行的(更新任務,遠程安裝任務),如果需要,將路徑設定為所需路徑。
4.4.2 防病毒子系統的技術特點
4.4.2.1 跨網段集中管理、集中分發
xxx市xxx圖書館防毒系統實現了跨網絡的“兩級控制、三級管理”機制,集中分發策略、病毒庫升級、掃描引擎,並集成生成日誌報表,使得一個管理員就可以完成整個所轄網絡的防毒系統的集中管理,大大減少了人力投入,保證了防毒系統策略的一致性。
4.4.2.2 全面的保護
提供實時有效的保護,在文件運行、建立或者拷貝的瞬間,就對其進行病毒檢測。受感染和可疑的對象都能立即檢測出來,及時刪除或處理。根據用戶需求掃描本地及網絡磁盤,用戶可以手動操作,也可以根據預先設定的工作時間表進行自動掃描。
4.4.2.3 集中安裝和管理
系統管理員可以輕鬆通過卡巴斯基管理工具建立一個網絡代理模塊。它擁有遠程管理的所有功能。支持為企業網絡中的所有工作站集中安裝上卡巴斯基反病毒軟件,建立反病毒軟件的工作時間表,集中為客戶端主機更新反病毒數據庫和程序模塊,蒐集所有事件和發現病毒的詳細報告等功能。
自動更新反病毒數據庫,卡巴斯基反病毒更新模塊允許從互聯網或者當地的卡巴斯基服務器下載最新的反病毒數據庫和組件。
4.4.2.4 反病毒威脅
卡巴斯基反病毒 Windows 工作站不僅保護工作站免受所有已知的病毒和惡意程序的侵害,而且還能夠保護工作站免受潛在的惡意程序的侵害,例如惡意的廣告、間諜程序等。
4.4.2.5 反病毒功能
◇建立統一的防護體系
卡巴斯基Windows反病毒工作站版能夠處理進出計算機的所有數據,包括電子郵件、互聯網數據流和網絡互動,帶給用戶非一般的完整防護。保護在線交流在用戶通過郵件、即時通訊工具和skype交流與溝通時,可以提供實時的保護,包括持續、穩定的反病毒掃描和垃圾郵件過濾,使您的郵箱遠離病毒並且免受垃圾郵件的騷擾。
◇簡單便捷
最初的配置嚮導幫助您選擇程序最佳的運行模式,反病毒數據庫與程序模塊的常規更新將自動執行。準確的程序設置內容介紹,幫助用戶迅速理解程序設置的細節要點。
◇郵件保護
對所有符合POP3、IMAP、NNTP和SMTP協議接收或發送的郵件進行掃描。適用於任意一款郵件程序,並針對現今流行的郵件客戶端例如微軟Outlook和微軟Outlook Express作了專門的優化(可掃描郵件數據庫)。
◇系統文件保護
能對所有單獨的文件、目錄或者邏輯分區進行病毒掃描,而且可以只對操作系統的系統文件夾以及啟動對象等關鍵區域進行掃描。把注意力集中在容易被感染的對象和區域將大大節約掃描時間。
◇主動防禦
本軟件可在任何危險的、可疑的或隱藏的(Rootkits)進程出現時發出警報,阻斷對系統的所有有害更改,並可在惡意行為出現後將系統復原。(操作說明詳見用戶手冊)
◇保護機密信息
防止洩露機密信息。程序可以檢測釣魚信息,並警告用戶連接到了釣魚站點,避免網絡詐騙者使用社會工程學方法以及似是而非的藉口說服用戶提供機密信息,例如帳戶、密碼及訪問在線銀行的信息。
◇無憂網上衝浪
在用戶登陸網絡站點訪問時預防危險進程的嵌入,以阻止彈出窗口和廣告標語,這些危險的行為不僅令人討厭,同時也是惡意代碼進入用戶計算機的一種方式。阻止自動撥號程序識別並阻止試圖以用戶的調制解調器來撥打付費服務電話的惡意程序。
◇阻止網絡攻擊
檢測是否存在對用戶計算機進行端口掃描的操作,在網絡攻擊之前做出預警。通過對常見的幾種攻擊行為的檢測阻止黑客攻擊,並且對所有的網絡行為進行監控,提供有效的統計信息。
◇對網絡行為的完全控制
控制應用程序的所有請求,並根據不同的網絡源定義不同的程序規則設置,同時跟蹤所有進出的數據包。
◇對任意網絡的保護工作
允許用戶計算機在連接網絡時指定網絡類型(可信賴的網絡、企業內部或者互聯網),為防火牆選擇不同規則。
◇在線工作時選用隱身模式
選用此模式可以防止用戶的計算機在互聯網上被其他的計算機看見。當切換到此模式時,所有的網絡行為會“隱形”,並且允許用戶在不同的網絡區域裡設置不同的模式。
◇使用綜合的方式檢測垃圾郵件
使用多種方法檢測垃圾郵件,例如:郵件地址的黑白名單(包括釣魚站點的URL地址)、列舉郵件正文的短語、分析郵件正文時使用自我學習法。我們的軟件同樣可以檢測包含圖像文件的垃圾郵件。
◇支持常見的郵件客戶端
專門針對微軟Outlook、微軟Outlook Express和The Bat!等常用的郵件客戶端做了優化,允許用戶設置郵件的處理規則,並可對發件人的身份進行分析。
◇初步的郵件分析
節約用戶設置網絡通信的時間,郵件管理者可以利用快速學習嚮導分析所有收取郵件的標題,定製相應的黑白名單,並有選擇地下載郵件,以便減少垃圾郵件和病毒被下載到用戶計算機上的風險。
4.4.2.6 優化性能
² 可靠的應用軟件∕程序列表
通過創建可靠的程序列表,系統管理者能夠排除一些在病毒掃描中的惡意程序,從而減少系統負載,大大提高操作效率。
² 支持筆記本電腦
卡巴斯基反病毒 Windows 工作站保證筆記本電腦受到全面的保護,即使是在沒有聯網的狀態下也同樣受到保護。如果在下載反病毒數據庫更新的過程中斷網了,已下載部分會保存起來,未下載的部分會在電腦重新連上網時自動下載。
4.4.2.7 集中式的管理
² 安裝方法選擇
系統管理者可以利用任何支持 MSI 格式的集中安裝系統(包括通過活動目錄表連接服務器)來安裝該應用程序。
² 用戶通知
如果病毒被檢測,或者存在關於卡巴斯基反病毒 Windows 工作站的事件(例如反病毒數據庫的更新、電腦的全盤掃描等),系統管理者將會收到相關的通知。還可以及時收到郵件或 NetSend 通知。
² 詳細報告
系統管理者能夠通過詳細的報告得到關於程序狀態和運行的詳細信息。
4.4.2.8 優異的性能保證成功的案例
卡巴斯基為俄羅斯產品,獲得所有世界頂級權威認證。是微軟的金牌認證夥伴。其內核被許多國內外軟件開發商使用,如:Microworld、Deerfield、Borderware
世界上第一例計算機病毒就是被卡巴斯基發現的,相應的第一個殺毒引擎也是卡巴斯基開發的。獨有全球頂尖的掃描引擎技術。
突出的未知病毒的防範能力。卡巴斯基採用的引擎是:“第二代啟發式掃描器”,是最先進的掃描引擎。之所以稱為“啟發式”,是因為它可以在不更新病毒庫的前提下,發現未知病毒,例證:愛蟲、Mydoom.a、Bagle 惡意木馬程序等。
卡巴斯基“熊貓燒香”病毒爆發抑制策略案例分析:
隨著“熊貓燒香”知名度的迅速提升,從而燃起了2007年反病毒業界絞殺變種病毒的第一把“戰火”。備受國內用戶推崇的反病毒品牌卡巴斯基又創造了一個業界奇蹟,即在此次強大的病毒攻擊波中,凡是安裝正版卡巴斯基反病毒軟件並將其升級到最新病毒庫的用戶,沒有一臺電腦被病毒攻陷。對於國內用戶來說,此種“不尋常”現象也使其再次體驗到全球頂尖反病毒品牌具有超強的“內核”技術實力。
面對來勢兇猛的“熊貓燒香”,是什麼煉就了正版卡巴斯基用戶電腦的 “不敗金身”呢?
據瞭解,卡巴斯基實驗室作為世界上最先進的計算機病毒分析機構,其在開發每一款新產品過程中,研發隊伍都逐一分析病毒庫中的儲存樣本,同時將阻斷樣本變種的每一種方式進行反覆驗證,從而得出最佳反病毒解決方案並將其嵌入到新產品中。
另外,當前被國內各大品牌“熱捧”且賦予不同概念的主動防禦技術,其實卡巴斯基實驗室早在90年代即已掌握併成功運用於旗下產品,而卡巴斯基擁有此技術的核心優勢主要表現在:當用戶電腦在運行中間,如果卡巴斯基反病毒軟件發現任何危險的、可疑的或隱藏的進程,其就會及時發出警報,並阻斷該進程對系統的所有有害更改,而反病毒軟件可在惡意行為出現後將系統復原。
由此可見,卡巴斯基反病毒軟件具有“先天防禦”的功能是基於超強“內核”技術之上的,而“熊貓燒香”未能對正版卡巴斯基用戶構成威脅亦是必然。基於此,卡巴斯基(中國)公司認為,對於此次病毒攻擊現象無須推出專殺工具,正版用戶只需對軟件適時升級即可安全使用。
相對於卡巴斯基超強的“內核”技術而言,國內部分反病毒品牌為絞殺“熊貓燒香”也先後推出專殺工具,但由於其反病毒產品對病毒入侵警覺性不高,再加之病毒具有絕妙的“隱形術”,從而導致其部分用戶感染“熊貓燒香”,儘管其後續推出的專殺工具在一定程度對病毒起到遏制作用,但由於存儲在電腦中被病毒刪改的文件已無法恢復,從而給用戶造成巨大的經濟損失。
4.4.3 防病毒子系統產品資質
4.4.3.1 計算機信息系統安全專用產品銷售許可證(
4.4.3.2 計算機信息系統安全專用產品銷售許可證
4.5 UPS不間斷電源系統
4.5.1 安裝和環境需求
4.5.1.1 環境需求
UPS安裝質量好壞直接影響到UPS系統今後的長期運行尤其是大中型UPS,因此大中型UPS在規劃到安裝過程中都應該規範。一般來講UPS在安裝時主要考慮以下幾方面因素即電網情況、負載容量及特性、使用環境、接地情況、配線及開關容量等。
使用環境
溫度:要求為0℃~40℃
溼度:要求為20%~90%
落塵:UPS周圍環境要保持清潔,這樣可以減少有害灰塵對UPS內部線路的腐蝕
結構:UPS長延時配置時電池可能較重,此時應考慮地板承重問題
空間大小:應保證UPS進行維護時工程人員有一定的施展空間(見俯視圖規格)
4.5.1.2 接地要求
在電腦系統中為了確保電腦系統穩定可靠工作防止寄生電容耦合干擾,保護設備及人身安全,因此必須要有良好的接地系統。在接地系統中以接地電阻來表示接地好壞,一般接地電阻小於5Ω較為理想。
4.5.1.3 機房面積需求和承重需求
UPS現場安裝示意圖
3C3系統採用底部輪子+剎車片的安裝,沒有將主機用螺絲固定在地面或另外製作的底座上。只是依靠機器本身的重量,壓在剎車片上將機器固定在地面上。
散熱要求:
為了機器風冷善熱以及維護的方便,UPS機櫃後部與障礙物間必須有至少200mm的距離,機櫃側面距離障礙物至少有500mm的距離。
為便於UPS散熱,UPS必須放置在通風良好的地方,UPS不能側放,必須保證UPS的進、出風孔風道暢通,同時為便於UPS維護,UPS的放置場所必須滿足:對於3C3機器,D1≧70cm,D2≧70cm
組合方式不同,系統的重量和佔地面積不同,這裡提供一種組合方式的計算.
機房面積和承重需求:
機房承重需求:
4.5.2 3C3系列主要性能及特點介紹
3C3-系列屬於山特城堡UPS系列,是高效率、高性能的雙轉換純在線,三相輸入、三相輸出的UPS產品。3C3系列產品幾乎可以完全解決所有的電源問題,如斷電、市電高壓、諧波失真、雜波干擾、頻率波動等電源問題。3C3系列產品範圍很廣、從計算機設備到通信系統、行業自動設備都可以使用。
技術性能及特點如下。
4.5.2.1 雙轉換純在線結構
在線式不斷電系統的輸出完全由變流器來供應,不論市電電力品質如何,其輸出均是穩定且純淨的正弦波電源。
4.5.2.2 傑出的設計及構造
1.佈局合理的堅固結構
2方便移動固定的車輪裝置
3 卓越的風道設計,產品壽命更長
4 類模塊化設計維護方便
5 佔地面積小,可靠牆放置
6 重量最輕,樓板最適合的選擇.
7 方便安裝的接線臺
4.5.2.3 高 效
最新的 IGBT-功率(晶體)管
為使損失降到最低而採用最優化的磁性元件
為非線性負載設計,因此節省設備採購費用
4.5.2.4 優越的產品特性能力
1.過載及輸入電壓範圍:
電壓範圍最寬 45%(-25%~20%)最適合中國電力環境
過載能力:125 % 需 5分鐘/150 % 需 30秒
短路保護: 可於中文顯示面板上顯示X相短路
清除短路能力
2.最安全的隔離輸入能力
3.高效的智能化充電器:
CPU控制,自動修正充電參數
高效能兩段式充電,
簡易的電池維護(採用winpower 2000軟件)
可為電池延長壽命
4.5.2.5 完善的並機功能
無需特別機種,或是使用龐大的並機櫃,只要每臺3C3 UPS加裝一塊並機卡,就可以最多並接8臺3C3 UPS,而且是直接將每臺UPS輸出並接在一起的真正並機,因為每一臺都可以並機,而且不需要並機櫃,所以就並機的彈性,時間或進度的配合,都是最方便的。同時每臺UPS都是均流輸出,所以非常適合使用在N+X冗餘應用,或是擴充容量的應用上。
4.5.2.6 操作簡易的中文用戶界面
全中文顯示,依據中文提示系統,操作簡易方便。
可提供完整的UPS運轉信息,並可清楚顯示系統資料及狀態
可遠端監控UPS
4.5.2.7 高效能的DSP運算
為了提高3C3系列系統控制的精密度、準確度與穩定度,在控制系統中,利用了DSP與CPU結合,形成了如圖4的控制核心。DSP利用高效能的運算能力,進行信號處理後,提供CPU做為系統控制,使得3C3系列的機器性能、保護性能、產品可靠度與工作穩定度都更加完備。
4.5.2.8 完備的監控通訊接口
3C3系列提供了RS-232、RS-485、AS-400、智能插槽 ( Intelligent Slot )及技術人員專用的PPVIS等監控通訊接口。透過RS-232可以使用山特圖形化管理的WinPower2000監控軟件,智能插槽提供用戶可以選購山特的遠程監控管理卡WebPower。同時AS-400監控通訊接口提供AS-400用戶,可以直接利用AS-400系統的UPS監控功能,做為電源的監控管理。而在並機使用時,必須透過RS-485進行UPS的監控管理,使得UPS的電源供應可以完全得到掌握。
4.5.3 配電和接線方案
4.5.3.1 整體配電電路圖
UPS配電圖如下圖, 初步方案不包括樓層的配電箱具體配置。
4.5.3.2 UPS輸入輸出及電池線材的選擇
略
4.5.3.3 UPS輸入輸出及電池空開的選擇
略
4.5.3.4 UPS輸入輸出電池接線圖
4.5.4 監控管理
4.5.4.1 整體監控方案
功能要求:客戶要求能在總部查看到各網點UPS運行狀態(市電、旁路、電池、故障)
現場網絡環境配置:各網點不能都提供專用PC,但可以提供網線及IP地址。
分析:1.由於現場不能用PC監控,無法用RS232串口通訊。
2.各網點距離分行遠近有在幾公里到幾十公里。
3.監控軟件需支持TCP/IP、SNMP協議,能直接通過瀏覽器查看單臺UPS狀態。
4.有專門的軟件可以集中查看所有網點的UPS狀態。
方案:採用每臺UPS配置一塊WEBPOWER卡,在總部監控電腦上安裝Winpower企業版軟件,同時配備山特環境溫溼度檢測模塊,GSM等配件使用.
整體監控模式:
採用Webpower卡+Winpower企業版作基於SNMP的網絡集中監控,並採用手機短信的形式實現即時告警。
4.5.4.2 幾種報警實現方式
略
4.5.4.3 Winpower軟件
WinPower軟件用於監控山特智能UPS,可以保證計算機系統不會因為市電的故障而遭到損壞。通過該軟件,用戶可以在同一個局域網內監視和配置網上的任意一臺UPS。一個 Monitor 可以監測多臺UPS;同時,多個 Monitors 也可以一起來監測一臺UPS。通過自動響應功能顯著地增強網絡可靠性,並在發生電源故障條件時保護系統/數據的完整性。它以預防式管理UPS系統,從而保護您的網絡,併為網絡管理員提供優異的電源管理工具。
WinPower監控界面
用戶界面
界面管理工具
可以設置管理UPS的各項性能參數,以達到安全管理UPS的目的。
界面監控
通過Monitor,可以獲得UPS的各項具體性能參數
偵測UPS型號
能夠自動偵測UPS型號,方便用戶使用
聯機幫助
提供豐富的聯機幫助文檔
UPS管理
安全管理機制
提供密碼安全驗證機制
配置管理工具
可以設置UPS事件關機參數等
任務調度
設置UPS定時開關機、自測等參數
本地Agent設置
通過更改本地Agent的設置,用戶可以隨時修改用戶密碼,是否接受遠程關機信號以及接受那一臺Agent的關機信號等參數。
輔助關機功能
用戶可以添加自己要執行的動作命令,為用戶更好地管理UPS提供接口。
測試
UPS定期自測
通過週期性測試UPS可以及時發現電源問題
UPS自測
通過UPS自測,便於用戶隨時瞭解UPS的電池狀況,以便採取預防措施。
數據記錄
通過查看歷史記錄數據,瞭解UPS的工作狀況,便於系統管理員更好地掌握UPS的工作狀況
事件管理
多達29種事件支持
對於定義的29種事件發生時,系統管理員可以根據事件的嚴重性,決定是否發送EMAIL或Pager信息通知用戶或採取其它動作來處理事件。
關機/重啟
關閉操作系統
可以安全關閉用戶系統。
多服務器關閉
通過TCP/IP網絡,可以關閉多臺服務器。
關機參數
用戶可以設置或修改關閉系統和UPS的參數,確保用戶系統的安全關閉。
4.5.4.4 Webpower卡
由於網絡應用的普及,使得UPS在通訊方面的應用更趨多元化。山特UPS為適應市場需求,推出了被稱為智能型UPS插卡的監控產品WebPower。通過智能插卡,UPS可直接成為用戶計算機網絡中的一個節點。配合多種操作系統平臺下以及對TCP/IP,SNMP,HTTP等協議的支持,滿足用戶對UPS網絡化的需求,更可適應用戶對分散應用、集中管理的需求趨勢,真正達到完善的電源管理模式。
WebPower支持SNMP和HTTP 協議。用戶可以通過Internet瀏覽器和網管軟件及Winpower企業版來集中管理UPS。
PowerNet SNMP Manager 用戶界面
WebPower卡的性能
用戶界面
WebPower管理工具
通過web瀏覽器獲得完備的UPS管理性能
支持JAVA
以圖形方式實時顯示UPS各項參數
SNMP管理
通過網管軟件獲得完備的UPS管理性能
聯機幫助
提供豐富的聯機幫助文檔,方便用戶使用
UPS管理
安全性管理
提供用戶名和密碼安全驗證機制
配置管理工具
可以設置WebPower網絡參數,事件關機參數等
任務調度
定期UPS自測,定時開關機,特別日關機功能
UPS控制參數
為直接操作控制UPS提供接口
支持串口初始化參數
支持通過串口設置WebPower重要參數功能,如超級用戶,初始化口令,SNMP等。
固件升級
運行固件升級程序,用戶可以通過串口升級WebPower
WebPower/Central Control
可以集中控制網絡中的所有UPS,便於用戶及時發現問題,方便用戶管理
診斷
UPS定期自測
通過週期性測試UPS可以及時發現電源問題
UPS自測
通過UPS自測10秒/測試至電池低電位,便於用戶隨時瞭解UPS的電池狀況,以便採取預防措施。
數據記錄
通過查看WebPower的歷史記錄數據,瞭解UPS的工作狀況,便於系統管理員更好地掌握WebPower的工作狀況。
事件管理
支持SNMPTrap
WebPower支持多達21種電源或環境事件,系統管理員可以通過配置事件的不同參數來控制WebPower的工作。
關機/啟動
關閉操作系統
通過WebPowerShutdown程序,可以安全關閉用戶系統。
關閉多服務器
通過TCP/IP網絡,可以關閉多臺服務器(最多64臺)
開啟/關閉UPS
可以直接關閉或開啟連接設備的電源,便於客戶進行系統設備維護。
4.5.4.5 環境溫溼度偵測模塊(EMD)
溫溼度偵測模塊的界面和外觀
4.5.4.6 GSM短信發射器
主要用於當客戶端UPS發生工作異常等情況,向管理員及時發送故障信號,以便管理員及時處理相關事宜,從而保證設備的正常運行。發送成功率100%。
4.5.5 UPS不間斷電源產品資質
◆ 國家重點新產品證書
◆
ISO 9001:2000質量管理體系認證證書
◆
ISO 14001:2004環境管理體系認證證書
◆ 消費者最需愛的UPS電源品牌
◆ xxx市科技進步獎(二等獎)
◆ 國家重點新產品證書
◆ 國家重點新產品證書
