网络安全方案技术建议书

网络安全方案技术建议书内容摘要：

们看到，对于某些省份，由于其主干网络采取政务网（第三方不可信任网络），那么当数据以明文的方式在这种不可信任网络中进行传递和交换时，就给数据的安全性、保密性带来极大的挑战，具体来讲对数据传输安全造成威胁的主要行为有：  窃听、破译传输信息： 榆林市政府应急中心网络 主要用于进行重要数据和报文的传递，具有一定的敏感性。 由于使用地方政务网这样的第三方不可信任网络，攻击者能够通过线路侦听等方式，获取传输的信息内容，造成信息泄露；或通过开放 环境中的路由或交换设备，非法截取通信信息；  篡改、删减传输信息：攻击者在得到报文内容后，即可对报文内容进行修改，造成收信者的错误理解。 即使没有破译传输的信息，也可以通过删减信息内容等方式，造成对信息的破坏，比如将一份报文的后半部分去掉，造成时间、地点等重要内容的缺失，导致信息的严重失真；  重放攻击：即使攻击者无法破译报文内容，也无法对报文进行篡改或删减，但也可以通过重新发送收到的数据包的方式，进行重放攻击。 对于一些业务系统，特别是数据库系统，这种重放攻击会造成数据失真以及数据错误；  伪装成合法用户：利用伪造 用户标识，通过电子邮件、实时报文或请求文件传输得以进入通信信道，实现恶意目的。 例如，伪装成一个合法用户，参与正常的通信过程，造成数据泄密。 应用系统风险分析 榆林市政府应急中心网络 应用系统包括：办公自动化系统、档案文件管理与内容管理系统等。 这些应用建立在 硬件平台、操作系统平台、数据库系统平台、中间件系统平台、办公自动化系统平台和 榆林市政府应急中心 网站系统平台之上。 因此，对应用系统安全风险的分析也就 是对各种系统平台的安全风险分析。 硬件平台风险分析 硬件平台的安全风险包括硬件平台的安全威胁和脆弱性，它的某些安 全威胁和脆弱性也影响着软件资产和数据资产。 具体而言，软件是安装在服务器、工作站等硬件之上的，所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。 而数据是依赖于软件而存在的，也就是说数据资产也间接地依赖于某些硬件，因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。 硬件平台的安全风险主要表现在：  火灾  水灾  鼠害  地震、雷电等意外的天灾  偷窃，是指非法用户盗窃财政机构硬件资产和数据资产的可能性 ，它包括内部人员的偷窃和外部人员的偷窃。  人员故意损害，是由于用户心存不满、意在报复而采取的破坏行为和引起系统或维护环境上的物理、软件和数据损坏发生的可能性，它包括内部人员故意损害、外部人员故意损害和恐怖主义。 操作系统平台风险分析 操作系统平台的安全风险主要来自为针对操作系统漏洞的攻击。 安全漏洞是指任意的允许非法用户未经授权许可获得访问或提高其访问层次的硬件或软件特征。 安全漏洞就是某种形式的脆弱性。 „„„„„„ UNIX 操作系统安全漏洞 UNIX 类服务器和工作站由于其出色的稳定性和高性能而成为大型 网络系统常采用的操作系统，当前承担着应用的关键任务。 缺省安装的 UNIX 操作系统（以 HP UNIX 为例）会存在以下安全漏洞：  FINGER（泄露系统信息）  各类 RPC（存在大量的远程缓冲区溢出、泄露系统信息）  SENDMAIL（许多安全漏洞、垃圾邮件转发等）  NAMED（远程缓冲区溢出、拒绝服务攻击等）  SNMP（泄露系统信息）  操作系统内核中的网络参数存在许多安全隐患（ IP 转发、堆栈参数等）  存在各种缓冲区溢出漏洞  存在其它方面的安全漏洞 微软操作系统安全漏洞 Windows NT/2020/XP 的安全漏洞 Windows NT/2020/XP 操作系统由于其简单明了的图形化操作界面，以及逐渐提高的系统稳定性等因素，正逐步成为主要的网络操作系统，并且在 榆林市政府应急中心网络 中占有重要地位。 Windows NT/2020/XP 系统的安全水平取决于管理员在安装过程、补丁安装过程、应用服务配置过程中的安全修养和实际考虑。 缺省安装的 WINDOWS NT/2020/XP 操作系统的安全问题非常严重，它们通常会出现下述安全漏洞：  没有安装最新的 Service Pack.  没有关闭不必要的系统服务  最新的 SERVICE PACK 没有解决的安全漏洞  缺省安装的服务程序带来的各种安全漏洞  系统注册表属性安全漏洞  文件系统属性安全漏洞  缺省帐号安全漏洞  文件共享方面的安全漏洞  其它方面的各种安全漏洞 Windows 9x 的安全漏洞 当前 WINDOWS 9X 操作系统是办公网络、网络管理和监视等的重要组成部分。 借助WINDOWS 95/98 系统中存在的漏洞，攻击和入侵者可以直接窃取用户口令、窃取重要数据文件、安装木马程序、采用逐渐参透方法入侵其它主机等。 一方面，办公人员习惯使用 WINDOWS 9X 系统进行日常的电子通信、文件编辑、资源共享 、文件打印、登录其它主机、浏览网页等；另一方面， WINDOWS 9X 系统的安全问题容易受到忽视而导致安全管理方面的松懈。 因此，由此导致的网络安全威胁不容忽视。 WINDOWS 9X 系统通常存在的安全漏洞包括以下方面：  WINDOWS 9X 系统经常出现的拒绝服务攻击漏洞  IE 浏览器出现的各种安全漏洞  WINDOWS 资源共享导致的安全漏洞  电子邮件携带的病毒和木马程序  IRC、 ICQ、 OICQ 等网络联络工具带来的安全漏洞  WINDOWS 9X 系统中存在的其它安全漏洞 数据库系统平台风险分析 数据库系统一 般可以理解成两部分：一部分是数据库，按一定的方式存取数据；另一部分是数据库管理系统（ DBMS），为用户及应用程序提供数据访问，并具有对数据库进行管理、维护等多种功能。 随着计算机在社会各个领域的广泛应用，信息系统中的数据库管理系统担负着集中处理大量信息的使命，但是数据库通常没有像操作系统和网络那样在安全性上受到重视。 数据完整性和合法存取会受到很多方面的安全威胁，包括对数据库中信息的窃取、篡改和破坏，计算机病毒、特洛伊木马等对数据库系统的渗透、攻击，系统后门以及本身的安全缺陷等。 数据库系统平台是应用系统的基础， 其面临的安全风险包括：  偶然的、无意的侵犯 /或破坏。 自然的或意外的事故。 例如地震，水灾和火灾等导致的硬件损坏，进而导致数据的损坏和丢失。  硬件或软件的故障 /错误导致的数据丢失。 硬件或软件的故障 /错误导致可能导致系统内部的安全机制的失效，也可导致非法访问数据或系统拒绝提供数据服务。  人为的失误。 操作人员或系统的直接用户的错误输入、应用系统的不正确的使用。  蓄意的侵犯或敌意的攻击。 授权用户可能滥用他们的权限，蓄意窃取或破坏信息。  病毒。 病毒可以自我复制，永久的或通常是不可恢复的破坏自我复制的现场，到达破坏信息系 统、取得信息甚至使系统瘫痪。  特洛伊木马。 一些隐藏在公开的程序内部收集环境的信息，可能是由授权用户安装（不经意的）的，利用用户的合法权限窃取数据。  隐通道。 是隐藏在合法程序内部的一段代码，在特定的条件下启动，从而许可此时的攻击可以跳过系统设置的安全稽核机制进入系统，以达到窃取数据的目的。  信息的非正常的扩散 —— 泄密。  对信息的非正常的修改，包括破坏数据一致性的非法修改以及删除。  绕过 DBMS 直接对数据进行读写。 中间件系统平台风险分析 对于中间件的安全 风险主要是在网络互连及数据通信过程中来自不速之客的非法性 动作，主要有非法截取阅读或修改数据、假冒他人身份进行欺骗、未授权用户访问网络资源等。 办公自动化系统平台风险分析  硬件 /软件故障造成系统瘫痪  计算机病毒的入侵  特洛伊木马的恶意程序造成失密  邮件系统故障  办公终端非法连接互联网 榆林市政府应急中心网站系统平台风险分析  拒绝服务攻击  端口扫描  篡改网站主页  非授权用户访问  冒充合法用户的访问  Web 服务器主机的详细信息被泄漏  Web 服务器私人信息和保密信息被窃  利用 Bug 对 Web 站点进行破坏  互联网上传输信息被非法截获，纳税人信息和申报数据被非法篡改 安全风 险分析汇总 安全风险类别 安全风险描述 安全需求 网络架构 网络访问的合理性 来自外接专网的 越权访问 访问控制 来自外接专网的 恶意攻击 入侵检测 来自外接专网的 病毒入侵 病毒防护 来自政务网系统同级、上级和下级节点的 越权访问 访问控制 来自政务网系统同级、上级和下级节点的 恶意攻击 入侵检测 来自政务网系统同级、上级和下级节点的 病毒入侵 病毒防护 TCP/IP 的弱点 利用 TCP/IP 弱点进行 拒绝服务攻击 边界隔离 利用 TCP/IP 弱点进行 IP 欺骗攻击 边界隔离 蠕虫病毒攻击 系统加固 网络设备的风险 路由器弱口令的风险 漏洞扫描 口令明文传递的风险 加密传输 假路由、路由欺骗攻击 漏洞扫描 敏感信息在广域网 中传输的安全隐患 文件查询系统在传输过程中被窃取、篡改、删除 通讯信道加密 网络及系统漏 洞的安全隐患 黑客利用已知的漏洞对网络或系统进行恶意攻击 漏洞扫描 应用系统 关键业务主机出现故障和系统漏洞的安全隐患 不能实时监控关键业务主机硬件系统的运行情况 集中安全管理 （主机性能监控） 不能实时报告关键业务主机系统故障 集中安全管 理 （主机稳定性监控） 操作系统的安全级别低，缺乏对使用关键业务主机操作系统用户权限的严格控制、文件系统的保护等 访问控制 （主机安全防护） 数据库系统的安全隐患 不能实时监控数据库系统的运行情况包括：数据库文件存储空间、系统资源的使用率、配置情况、数据库当前的各种死锁资源情况、数据库进程的状态、进程所占内存空间等。 集中安全管理 （数据库稳定性监控） 安全需求分析 根据上面所分析的内容， 可以看到， 榆林市政府应急中心网络 系统目前 存在着较多的安全隐患，作为重要的 政府 职能部门， 榆林市政府应急 中心网络 系统 受到 更多的关注，遭遇 攻击威胁的可能性 很 高，综合 上面的描述，下面从网络安全、应用安全、管理安全的角度出发，归纳出 榆林市政府应急中心网络 主要 存在 的安全需求 为 ： 边界防护需求、入侵检测需求、安全隔离需求、病毒防护需求。 边界防护的需求 边界防护的设计是将组织的网络，根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域（从纵向上我们将 榆林市政府应急中心网络 划分内网和电子政务专网两个层面，从横向上又分为涉密内网、服务器群和办公内网三个组成部分，从而形成多个安全域），不同的安全域之间形成了网络边 界， 通过边界保护，严格规范 榆林市政府应急中心网络 系统内部 的 访问 ，防范不同网络区域之间的非法访问和攻击， 从而 确保 榆林市政府应急中心网络 各个区域的有序访问。 一般来说边界防护采用的主要技术 是 防火墙技 术。 网络边界防护逻辑示意图 根据 榆林市政府应急中心 的具体情况，并结合用户的需求，在本技术方案中，我们将在互联网和 榆林市政府应急中心 网络之间采取逻辑隔离技术，即使用防火墙和入侵检测系统；而在榆林市政府应急中心办公 内网和 涉密内网 之间采用物理隔离技术，即采用安全隔离网闸来实现榆林市政府应急中心 网络和 榆林市政府应急中心 数 据中心之间的安全数据交换。 防火墙技术 防火墙是指设置在不同网络（如可信任的组织内部网和不可信任的公共网）或网络安全域之间的一系列部件组合。 防火墙通常位于不同网络或网络安全域之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的安全策略，运用包过滤、代理网关、 NAT 转换、IP+MAC 地址绑定等技术，实现对出入网络的信息流进行全面的控制（允许通过、拒绝通过、过程监测），控制类别包括 IP 地址、 TCP/UDP 端口、协议、服务、连接状态等网络信息的各个方面。 防火墙本身必需具有很强的抗攻击能力，以确保其 自身的安全性。 防火墙可实现以下的基本功能。  监控并限制访问 针对黑客攻击的不安全因素，防火墙采取控制进出内外网的数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同时，根据不同情况采取相应的防范措施，从而提高系统的抗攻击能力。  控制协议和服务 针对网络协议设计的先天缺陷，防火墙采取控制协议和服务的方法，使得只有授权的协议和服务才可以通过防火墙，从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。  保护网络内部 针对软件及系统的漏洞或“后门”，防火墙 采用了与受保护网络的操作系统、应用软件无关的体系结构，其自身建立在安全操作系统之上；同时，针对受保护的内部网络，防火墙能够。