系统安全解决方案.docx

1、系统安全解决方案1系统安全方案1.1物理级安全解决方案保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为作失误或错误及各种计算机犯罪行为导致的破坏过程.它主要包括三个方面： 1.1.1环境安全对系统所在环境的安全保护,如区域保护和灾难保护；(参见国家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求 1.1.2设备安全设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份；通过

2、严格管理及提高员工的整体安全意识来实现.1.1.3媒体安全包括媒体数据的安全及媒体本身的安全。显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散.计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号.这对重要的政策、军队、金融机构在兴建信息中心时都将成为首要设置的条件。正常的防范措施主要在三个方面：对主机房及重要信息存储、

3、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，故现在的要求

4、除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室，这种方法虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。1.2网络级安全解决方案网络安全是整个安全解决方案的关键，从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别描述。1.2.1隔离与访问控制1.2.1.1严格的管理制度可制定的制度用户授权实施细则、口令字及帐户管理规范、权限管理制度、安全责任制度等。1.2.1.2划分虚拟子网（VLAN)内部网络根据不同用户安全级别或者根据不同部门的安全需求，利用三层交换

5、机来划分虚拟子网（VLAN),在没有配置路的情况下，不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实较粗略的访问控制。1.2.1.3防火墙防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。FortiGate产品从网络层到应用层都实现了自由控制。1.2.2通信保密数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备，使得在网上传送的数据是密文形式,而不是明文.可以选择以下几种方式.1.2.2.1链

6、路层加密对于连接各涉密网节点的广域网线路，根据线路种类不同可以采用相应的链路级加密设备，以保证各节点涉密网之间交换的数据都是加密传送,以防止非授权用户读懂、篡改传输的数据。链路加密机由于是在链路级,加密机制是采用点对点的加密、解密。即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机.通过两端加密机的协商配合实现加密、解密过程。1.2.2.2网络层加密鉴于网络分布较广,网点较多，而且可能采用DDN、FR等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用,同时为系统维护、升级、扩展也带来了相应困难.因此在这种情况下我们建议采用网络层加密设备（VPN）

7、,VPN是网络加密机，是实现端至端的加密,即一个网点只需配备一台VPN加密机。根据具体策略,来保护内部敏感信息和企业秘密的机密性、真实性及完整性.IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不安全的公共网络的线路建立IP安全隧道，能够保护子网间传输信息的机密性、完整性和真实性.经过对VPN的配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以明文方式传输，以达到安全、传输效率的最佳平衡。一般来说，VPN设备可以一对一和一对多地运行，并具有对数据完整性的保证功能,它安装在被保护网络和路由器之间的位置。设

8、备配置见下图。目前全球大部分厂商的网络安全产品都支持IPsec标准.由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资；而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络,VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点,应根据企业具体需求,在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。1.2.3入侵检测利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙，从而降低安全风险.但是，网络安全不可能完全依靠防火墙单一产品来实现，网络安全是个整

9、体的,必须配相应的安全产品，作为防火墙的必要补充.入侵检测系统就是最好的安全产品，入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有作行为进行实时监控、记录，并按制定的策略实行响应(阻断、报警、发送Email）.从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎）.控制台用作制定及管理所有探测器(网络引擎)。探测器（网络引擎）用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。1.2.4扫描系统网络扫描系统可以对网络中所有部件(Web站点,防火墙，路由

10、器，TCP/IP及相关协议服务)进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险,建议补救措施。系统扫描系统可以对网络系统中的所有作系统进行安全性扫描，检测作系统存在的安全漏洞，并产生报表,以供分析；还会针对具体安全漏洞提出补救措施。1.2.5病毒防护由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。我们都知道，政府网络系统中使用的*作系统一般均为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术：1.2.5.1预防病毒技术预防病毒技术通过自身常驻系统内存,优先获得系

11、统的控制权,监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏.这类技术有,加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等).1.2.5.2检测病毒技术检测病毒技术是通过对计算机病毒的特征来进行判断的技术（如自身校验、关键字、文件长度的变化等)，来确定病毒的类型。1.2.5.3杀毒技术杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件.反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施（清除、更名或删除），防止病毒进

12、入网络进行传播扩散。1.3系统级安全解决方案1.3.1网络结构安全网络结构的安全主要指,网络拓扑结构是否合理；线路是否有冗余；路由是否冗余，防止单点失败等。工行网络在设计时,比较好的考虑了这些因素，可以说网络结构是比较合理的、比较安全的。1.3.2操作系统安全对于操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件（如UNIX下：/。rhost、etc/host、passwd、shadow、group等；Windows NT下的LMHOST、SAM等）使用权限进行严格限制;加强口令

13、字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令)，并及时给系统打补丁、系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描，发现其中存在的安全漏洞，并有针对性地进行对网络设备重新配置或升级。1.3.3应用系统安全在应用系统安全上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证.确保用户使用的合法性；并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志

14、功能，对用户所访问的信息做记录,为事后审查提供依据。1.3.4Windows操作系统的安全解决方案1.3.4.1安装防火墙、病毒软件并及时更新病毒库计算机病毒的危害日益加重,我们必须在服务器上安装防病毒软件,并做到及时更新.1.3.4.1.1安装杀毒软件曾几何时，大家都在为卡巴斯基的杀毒能力叫好，每次听见卡巴的“杀猪声”让人格外兴奋，卡巴斯基就是有着这样的鲜明特点。早在卡巴斯基6、7 KIS开始，网页防护功能、与游戏平台的兼容、与部分软件、网络游戏的兼容存在问题.卡巴斯基用它的非常“暴力特点，征服了用户未来将会继续走红.1.3.4.1.2安装系统防火墙瑞星个人防火墙是瑞星公司较早出品的安全软件

15、之一.瑞星个人防火墙的特点是资源占用不大，对于中文软件的识别率高,且不依赖于防火墙规则设定与用户自主操作，防护能力尚可。经历了数年的沧桑磨练,是一款比较成熟的防火墙软件。1.3.4.1.3关闭系统自动播放自动播放类病毒防不胜防,为了安全起见最好禁止自动播放功能，可用多种软件进行设置,如360安全卫士、超级兔子和优化大师的系统防护设置，当然也可以用XP下从开始菜单运行命令“gpedit。msc，通过左侧菜单栏“计算机配置-管理模板-系统”内,找到“自动播放”项,进行关闭操作.1.3.4.2及时安装最新版本的SP和Hotfixes补丁程序要及时跟踪Microsoft公司发布SP以及hotfixes

16、的消息，从而根据具体环境，在机器中安装最新的SP及hotfixes补丁程序.微软公司的产品补丁分为2类:SP（Service Pack）和HotFixes。SP是集合一段时间发布的HotFixes的大补丁，一般命名为SP1、SP2，一段时间才发布一次。HotFixes是小补丁，它位于当前SP和下一个SP之间,是为解决微软网站上最新安全告示（Security bulletin)中的系统漏洞而发布的,一般命名为“MS年份序号”，比如MS01044表示2001第44个HotFixes.可以设置系统为自动下载更新系统补丁。1.3.4.3关掉不需要的服务安装完Windows 2000 Server后,我

17、们就应该禁止掉该服务器不承担的任何网络服务程序。特别要考虑的是，是否需要运行文件和打印机共享服务。另外,除非特别需要,我们也不要在服务器上安装其他应用程序.比如说,不要安装电子邮件客户端程序、office产品等等。总之,不是必须运行的程序，不安装！1.3.4.4对系统帐户进行安全设置1.3.4.4.1禁用Guest账号 在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。1.3.4.4.2限制不必要的用户去掉所有的Duplicate User用户、

18、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。1.3.4.4.3创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。1.3.4.4.4把系统Administrator账号改名大家都知道,Windows 2000 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。1.3.4.4.5创建一个陷阱用户什么是陷阱用户？即创建一

19、个名为“Administrator”的本地用户,把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码.这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。1.3.4.4.6把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。1.3.4.4.7开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。1.3.4.4.8不让系统显示上次登录的用户名默认情况下，登录对话框中会显示

20、上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测.修改注册表可以不让对话框里显示上次登录的用户名.方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDontDisplayLastUserName”,把REG_SZ的键值改成1。1.3.4.4.9密码安全设置1.3.4.4.9.1使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单,比如“welcome等等。因此，要注意密码的复杂性，还要记住经常改密码。1.3.4.4.9.

21、2开启密码策略注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。1.3.4.4.9.3考虑使用智能卡来代替密码对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记.如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法.1.3.4.5开启审核策略开启安全审核是win2000最基本的入侵检测方法.当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等)入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开

22、启的，其他的可以根据需要增加：策略设置：审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功，失败1.3.4.6限制LAS信息不被匿名访问LSA 是Local Security Authority的缩写，即本地安全颁发机构，它的功能是负责在本地计算机上处理用户登录与身份验证。LSA的信息非常重要,我们应该限制匿名用户对LSA的访问。要实现这个目的,需要修改注册表,步骤如下： 创建键值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro

23、lLSARestrictAnonymous赋值为1，类型为REG_DWORD1.3.4.7禁止对注册表的远程访问对注册表的远程访问会造成安全上的问题，我们的注册表中保留了机器的配置和安全信息，让别人知道总不是件好事。可以通过下面的方法禁止对注册表的远程访问:打开注册表编辑器，找到HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurePipeServersWinReg，设置其值为1即可。1.3.4.8关闭不需要的端口用端口扫描器扫描系统所开放的端口，确定开放了哪些端口，关闭不必要的端口,在system32driversetcservices文

24、件中有知名端口和服务的对照表可供参考.具体方法为： 网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性打开tcp/ip筛选，添加需要的tcp，udp，协议即可。1.4应用级安全解决方案1.4.1系统安全1.4.1.1身份认证系统提供多种认证方式，包括普通口令认证、AD认证、身份认证卡等。普通口令认证采用MD5加密算法，128位密钥加密确保系统安全.AD认证通过系统与WINDOWS操作系统的AD目录(活动目录）集成接口，实现统一管理、统一登录的功能，为以后与其他应用系统整合留下足够接口。身份认证卡可以满足对安全要求更高的用户的需求。身份认证卡为硬件认证

25、卡，内置MD5 哈希(HASH）算法，32K加密存储器,通过加密方式保存用户的密钥和CA数字证书，曾获得中国人民解放军信息安全测评认证中心最高的认证等级：“军C，具有比一般认证方式安全性更高、运算速度更快、效率更高的特性.1.4.1.2授权/访问控制系统采用严格的授权/访问控制，系统不仅控制应用/用户访问哪些信息，而且控制应用或用户有权执行哪些操作。此外系统能够对管理权进行委托，以能够管理大型组织结构的跨应用的访问授权。1.4.1.3数字签名在系统间消息通讯中，特别是对那些跨越企业或不同行政单位的消息，需要保证消息的完整性、防篡改,还要保证该消息确定来自于所期望的源。这一切都可以通过数字签名来

26、实现。数字签名使用强大的加密技术和公钥基础结构,提供端到端的消息完整性保证，实现对原始报文的鉴别和不可抵赖性，以更好地保证文档的真实性、完整性和受认可性。 1.4.1.4事务处理系统采用事务的方式处理系统中重要的业务流程，这样可以保证在系统遇到意外状况（比如掉电)发生的时候，系统不会对数据库作任何修改，达到控制和维护数据库数据的一致性和完整性，维护业务数据不会丢失。1.4.1.5操作日志系统提供日志功能，将用户登录、退出系统，以及重要的模块所有的操作都记录在日志中，并且重要的数据系统采用回收站的方式保留,系统管理员能够恢复被删除的数据，有效追踪非法入侵和维护系统数据安全.1.4.1.6数据备份

27、容错双机热备份保证724小时应用不间断.为了满足办公自动化系统的持续运行能力的高要求。在继续进行信息化建设的同时保障系统的高可用性我们可以建议使用双机热备份的方案。提供高可用性让系统无论是硬件或是软件失效,保证办公应用服务不间断的能力。高可用性软件简单的说是两种功能的综合：监控功能、切换功能,其基本工作原理是服务器间通过软件监控服务器，当某服务器硬件或是软件失效，软件的切换功能发生作用将中断服务器的工作在指定服务器上启动起来使服务器的工作得以继续。高可用性软件从功能上分可以分为热备、容错两种，细分为双机热备、双机容错、集群热备、集群容错。热备与容错的区别在于容错软件是应用级的监控,而热备是主机

28、级的监控。容错软件有着比热备软件更高的不间断性，具有保护业务关键数据和维持和应用程序高可用的能力，做到坚持247的运作将保证系统的安全运行。Legato公司提供的系列双机软件被认为是当今性价比极高的产品。同时也是可用于各种不同操作系统环境中的可用性数据备份与灾难恢复的解决方案.1.4.1.7磁盘阵列磁盘阵列是由一个硬盘控制器来控制多个硬盘的相互连接，使多个硬盘的读写同步，减少错误，增加效率和可靠度的技术。磁盘阵列可以通过两种方法来实现：软件阵列与硬件阵列。软件阵列是通过网络操作系统自身提供的磁盘管理功能将连接的普通SCSI卡上的多块硬盘配置成逻辑盘，组成阵列，可以提供数据冗余功能，但是磁盘子系

29、统的性能会有所降低。硬件阵列是使用专门的磁盘阵列卡来实现的.硬件阵列能够提供在线扩容、动态修改阵列级别、自动数据恢复、驱动器漫游、超高速缓冲等功能。并且磁盘阵列卡拥有一个专门的处理器和存贮器,这样服务器对磁盘的操作就直接通过磁盘阵列卡来进行处理，不会降低磁盘子系统的性能。1.4.2安全管理体系1.4.2.1管理目标网络安全管理目标是：采取集中控制、分级管理的模式，建立由专人负责安全事件定期报告和检查制度，从而在管理上确保全方位、多层次、快速有效的网络安全防护。1.4.2.2管理框架考虑到管理体系建立需要有详细的组织架构、人员配备及网络结构等方面的信息，所以此建议书中仅就网络安全规范提供一个框架

30、性建议,具体管理规范有待我们对系统进行全面、详细的调查后，与信息中心合作或独立完成。根据管理规范内容的重要程度和安全管理的复杂性特点,我们认为管理规范应包括技术、人员与组织结构、应急事件、安全响应服务、安全培训五个方面的内容,如下图:1.4.2.3安全技术规范1.4.2.3.1日常操作管理办法:日常操作规范主要是对日常工作职责、内容、操作流程所做的规定，从而实现安全防护的程序化和统一化管理，主要内容包括：各种软件安装、调试、维护、卸载权限和流程；管理员日常监管职责划分;安全扫描评估方式选择；安全事件发现后的分析与记录；对本级和下级安全设备及软件运行状态、问题处理的监控；突发事件紧急处理、报告程

31、序安全策略配置管理办法：根据安全问题潜存环境的差异和对环境关注程度的不同，选择相应的网络安全策略是网络安全建设非常重要的一步,突出重点、兼顾一般的策略配置能够降低风险，其主要内容包括：策略配置目标不同环境要求下的策略分类不同策略配置权限划分和配置流程策略配置效果分析策略配置修正数据备份管理办法：出于对数据安全性、可恢复性考虑,适时的数据备份能够实现防范的目的，同时能够提高遭破坏后的数据恢复速度，而更重要的是对备份数据是否存在安全隐患，确保备份数据的真正安全可靠，这是数据备份管理规范区别于传统数据备份的重大区别所在，其主要内容包括：数据重要性级别划分；不同级别数据备份更新频率；备份流程;备份数据的保管;备份数据病毒查杀与恢复；攻击事件预警管理办法;预警是对出现攻击事件的报警，其主要内容包括；安全事件报警形式(电子邮件、手机短信、LAN即时消息等）预警结果传送渠道；预警结果的处理；1.4.2.3.2日志管理办法:日志是软件对安全防护系统工作运行结果进行的记录，是管理员进行统计分析和发现问题的一种方主要包括:日志生成统计分析 重要情况通报1.4.2.4人员与组织结构安全防护系统能否真正实现最终取决于如何对政务各类人员进行有效的人员配置和组织结构的设定以及检查监督机制的建立。1.4.2.4.1安全岗位职责设置（体现集中控制，分级管理）