食品药品监管信息化顶层设计服务项目网络工程总体方案(编辑修改稿)

食品药品监管信息化顶层设计服务项目网络工程总体方案(编辑修改稿)内容摘要：

中，而该文件普通用户也可读取。 一旦口令文件被入侵者通过简单拷贝的方式得到，他们就可以对口令进行解密，然后用它来获取对系统的访问权。 b、 易被监视的系统 用户使用 Tel 或 FTP 连接他在远程主机 上的账户，在网上传输的口令是没有加密的。 入侵者可以通过监视携带用户名和密码的 IP包获取他们，广西食品药品监管信息化顶层设计 网络工程总体方案 8/48 然后使用这些用户名和密码登录到系统。 假如被截获的是管理员的用户名和密码，那么，获取该系统的超级用户访问就轻而易举了。 c、 有欺骗性的主机地址 TCP 或 UDP 服务相信主机的地址。 如果使用“ IP Source Routing”，那么攻击者的主机就可以冒充一个被信任的主机或客户。 以下具体步骤展示了怎样冒充被信任的客户：  攻击者要使用那个被信任的客户的 IP 地址取代自己的地址；  攻击者构造一条要攻击的服务器和其主机间的直接路径 ，把被信任的客户作为通向服务器的路径的最后节点；  攻击者用这条路径向服务器发出客户申请；  服务器接受客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应；  可信任客户使用这条路径将包向前传送给攻击者的主机。 d、 有缺陷的局域网服务和相互信任的主机 主机的安全管理既困难又费时。 为了降低管理要求并增强局域网，一些站点使用了诸如 NIS（ Network Information Services 网络信息服务）和 NFS（ Network Files System 网络文件系统）之类的服务。 这些服务通过 允许一些数据库（如口令文件）以分布式方式管理以及允许系统共享文件和数据，在很大程度上减轻了过多的管理工作量。 但这些服务带来了不安全因素，可以被有经验闯入者利用以获得访问权。 一些系统处于方便用户并加强系统和设备共享的目的，允许主机们相互“信任”。 如果一个系统被侵入或欺骗，那么对于入侵者来说，获取那些信任该系统的其他系统的访问权就很简单了。 e、 复杂的设置和控制 主机系统的访问控制配置复杂且难于验证。 因此偶然的配置错误会使闯入者获取访问权。 一些主要的 Unix 经销商仍然把 Unix 配置成具有最大访问权的系统，这将 导致未经许可的访问。 许多网上的安全事故是由于入侵者发现了设置中的弱点而造成。 f、 无法估计主机的安全性 广西食品药品监管信息化顶层设计 网络工程总体方案 9/48 主机系统的安全性无法很好地估计：随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。 只用管理一台系统的能力来管理如此多的系统就容易犯错误。 另一因素是某些系统管理的作用经常变换并行动迟缓。 这导致这些系统的安全性比另一些要低。 这些系统将成为网络中的薄弱环节，最终将破坏这个安全链。 （ 2）来自内部的安全威胁分析 食药监 的局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千 个信息点为整个 食药监 各部门 办公 提供了一个快速、方便的信息交流平台。 不仅如此，通过专线与 Inter 的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。 通过公开服务器， 食药监 可以直接对外发布信息或者发送电子邮件。 高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。 因此，实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。 在分析 食药监网络 的安全风险时，应考虑到网络的如下几个特点： 网络与 Inter 直接连结。 因此在进行安全方案设计时要考虑与Inter 连结的有关风险，包括可能通过 Inter 传播进来病毒，黑客攻击，来自 Inter 的非授权访问等。 网络中存在公开服务器。 由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。 内部网络中存在许多不同的子网。 不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分 VLAN 来实现。 网络中有多台应用服务器。 在应用程序 开发时就应考虑加强用户登录验证，防止非授权的访问，可以采用 LDAP（轻型目录服务）集中管理用户并实现单点登录。 网络平台的安全风险分析。 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 广西食品药品监管信息化顶层设计 网络工程总体方案 10/48 a、 公开服务器面临的威胁 食药监 局域网内公开服务器区（ WWW、 EMAIL 等服 务器）作为 食 药监 的信息发布平台，一旦不能运行，或者受到攻击，对 食 药监 的声誉影响巨大。 同时公开服务器本身要为外界服务，必须开放相应的服务；每天，黑客都在试图闯入 Inter 节点，这些节点如果不保持警惕，可能连黑客怎么闯入的都不知道， 甚至会成为黑客入侵其他站点的跳板。 因此，规模比较大网络的管理人员对 Inter 安全事故做出有效反应变得十分重要。 我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。 b、 应用的安全风险分析 应用系统的安全跟具体的应用有关，它涉及很多方面。 应用系统的安全是动态的、不断变化的。 应用的安全性也涉及到信息的安全性，它包括很多方面。 应用系统的安全是动态的、不断变化的：应用的 安全涉及面很广，以目前 Inter 上应用最为广泛的 Email 系统来说，其解决方案有几十种，但其系统内部的编码甚至编译器导致的 BUG 是很少有人能够发现的，因此一套详尽的测试软件是相当必须的。 但是应用系统是不断发展且应用类型是不断增加的，其结果是安全漏洞也是不断增加且隐藏越来越深。 因此，保证应用系统的安全也是一个随网络发展不断完善的过程。 应用的安全性涉及到信息、数据的安全性，信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。 对于有些特别重要的信息需要对内部进行保密 的（比如领导子网、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。 c、 管理的安全风险分析 管理是网络中安全最重要的部分之一。 责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进广西食品药品监管信息化顶层设计 网络工程总体方案 11/48 入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。 当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监 控、报告与预警。 同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。 这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。 建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。 d、 黑客攻击 黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。 为了防止黑客，需要设置公开服务器，使得它不离开自己的空间而进入另外的目录。 另外，还应设置组特权，不允许任何使用公 开服务器的人访问 WWW 页面文件以外的东西。 在 食药监内 网 内，我们可以综合采用防火墙技术、 Web 页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。 安全建设原则 食药监 信息系统使用的网络分为 办公局域网 、 国家 食品药品监管总局专 网 、 自治区 人民政府 办公业务资源网、自治区党委机要网 和因特网。 办公局域网 主要为 食药监 管理服务； 国家 食品药品监管总局专 网 负责与 国家总局 部署的内部网站、电子公文流转系统及其它业务系统 连接； 自治区 人民政府办公业务资源网和自治区党委机要网不与任何网络有物理连接 ， 专网专用； 因特网接口负责与国际互联网互联，实现对外信息服务和内外信息交换。 网络安全目标：建立 食药监 完整、安全、可靠、高效的现代计算机网络和相关基础设施，保证 办公局域网、国家 食品药品监管总局专 网、 自治区 人民政府 办公业务资源网、自治区党委机要网 和因特网 按照 相应 的应用安全要求连续、稳定、可靠运行，实现网络传输、网络接入、网络访问的广西食品药品监管信息化顶层设计 网络工程总体方案 12/48 可控性，保证网络传输信息的保密性、完整性、可靠性、可控性，不断提升网络使用的质量和价值。 建立健全科学规范的管理制度，建立完善的网络配置、性能、记帐、运行等安全监控手段，防止未授权的用户进 入、访问、攻击信息系统网络，确保网络系统的安全运行和使用。 信息管理部门必须设置信息安全管理员，参与网络系统设计，确保网络系统设计的安全性；负责网络安全设备（包括网络用户管理、防火墙、入侵检测设备、网络安全扫描等）的维护或策略检查；负责网络安全日志的收集和分析；负责网络系统的安全检查工作；与相关部门共同保障网络安全运行。 办公局域网 分两级管理。 核心层是第一级网络，核心层 基础设施包括联接所有二级单位及机关处室的主通道网络设备。 汇聚层及接入层 网络是第二级网络。 信息中心 核心层 网络的安全管理，并对二级网络接入一级 网络的节点安全进行统一、集中管理，对 办公局域 网 实施安全检查、监督、评估。 二级单位 设立网络管理专员 负责本单位 的网络安全管理，并与信息中心协调一致，不仅保障本单位接入 办公局域网 网 的安全，还必须根据信息中心的有关规定实施局域网的安全管理，保证 办公局域网 整体安全。 设立 信息系统安全领导小组 并 指定网络安全管理负责人，并按照有关规程召集有关人员对信息系统运行的网络安全进行定期评估，不断完善网络安全策略，建立、健全网络安全管理规章。 制定使用网络和网络服务的策略。 依据总体安全方针、策略制定允许提供的网络服务、制定网络访问许 可和授权管理制度、保证信息系统网络连接和服务的安全技术正确实施，并达到网络安全总体要求。 网络安全模型 一个最常见的安全模型就是 PDRR 模型。 PDRR 模型就是 4 个英文单词的头字符： Protection(防护 )， Detection(检测 )， Response(响应 )，Recovery(恢复 )。 这四个部分构成了一个动态的信息安全周期。 安全策略的每一部分包括一组相应的安全措施来实施一定的安全功广西食品药品监管信息化顶层设计 网络工程总体方案 13/48 能。 安全策略的第一部分就是防御，根据系统已知的所有安全问题做出防御的措施，如打补丁，访问控制，数据加密等等，防御 作为安全策略的第一个战线。 安全策略的第二个战线就是检测。 攻击者如果穿过了防御系统，检测系统就会检测出来。 这个安全战线的功能就是检测出入侵者的身份，包括攻击源，系统损失等。 一旦检测出入侵，响应系统开始响应包括事件处理和其他业务。 安全策略的最后一个战线就是系统恢复。 在入侵事件发生后，把系统恢复到原来的状态。 每次发生入侵事件，防御系统都要更新，保证相同类型的入侵事件不能再发生，所以整个安全策略包括防御、检测、响应和恢复，这四个方面组成了一个信息安全周期。 防护 网络安全策略 PDRR 模型的最重要的部分就是防护 (P)。 防护是预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵，防护可以减少大多数的入侵事件。 其主要技术有：缺陷扫描、访问控制及防火墙、防病毒软件与个人防火墙、数据加密、鉴别技术等。 检测 PDRR 模型的第二个环节就是检测 (D)。 上面提到防护系统除掉入侵事件发生的条件，可以阻止大多数的入侵事件的发生，但是它不能阻止所有的入侵，特别是那些利用新的系统缺陷、新的攻击手段的入侵。 因此安全策略的第二个安全屏障就是检测，即如果入侵发生就检测出来，这个工具是入侵检测系统 (IDS)。 防护主要修补系统和网络的缺陷 ，增加系统的安全性能，从而消除攻击和入侵的条件。 检测并不是根据网络和系统的缺陷，而是根据入侵事件的特征去检测的。 但是，黑客攻击系统的时候往往是利用网络和系统的缺陷进行的，所以入侵事件的特征一般与系统缺陷的特征有关系。 因此防护和检测技术是有相关的理论背景的。 响应 PDRR 模型中的第三个环节就是响应 (R)。 响应就是已知一个攻击 (入侵 )事件发生之后进行处理。 在一个大规模的网络中，响应这个工作都是有一个特殊部门负责，比如是计算机响应小组。 入侵事件的报警可以是入侵检广西食品药品监管信息化顶层设计 网络工程总体方案 14/48 测系统的报警，也可以是通过其他方式的汇报。 响 应的主要工作也可以分为两种：第一种是紧急响应。 第二种是其他事件处理。 紧急响应就是当安全事件发生时采取应对措施，其他事件主要包括咨询、培训和技术支持。 恢复 恢复是 PDRR 模型中的最后一个环节。 恢复是事件发生后，把系统恢复到原来的状态，或者比原来更安全的状态。 恢复也可以分为两个方面：系统恢复和信息恢复。 系统恢复指的是修补该事件所利用的系统缺陷，不让黑客再次利用这样的缺陷入侵。