《网络入侵检测解决方案》由会员分享,可在线阅读,更多相关《网络入侵检测解决方案(33页珍藏版)》请在金锄头文库上搜索。
1、NetpowerXXXX入侵检测系统解决方案北京中科网威信息技术有限公司200X年X月目录前言 21.1. 设计目标 31.2. 安全宗旨 31.3. 项目集成原则 3网络安全性分析4物理层安全体系61.1. 电磁泄露 61.2. 恶意的物理破坏 71.3. 电力终端 71.4. 安全拓扑结构 71.5. 安全旁路问题 81.6. 解决措施 8四 .网络层安全体系94.1. 外网攻击 104.2. 内网攻击与监控 124.3. 网络设备的安全 134.4. VLAN安全保密 144.5. 入侵取证问题 15五 .应用层安全体系165.1. 操作系统安全 165.1.1. 服务器系统安全解决措施
2、(主要针对Linux) 165.1.2. 服务器系统安全解决措施(主要针对Windows) 175.1.3. 主机安全的解决方案 18六 . 网络入侵检测系统196.1. 单一防火墙功能的不足 196.2.入侵检测系统的功能和优点206.3. 入侵检测系统选型 206.4. 入侵检测系统部署 236.5. 中科网威”网威”网络入侵检测系统产品介绍 25七 .XXXX调通中心安全系统网络安全拓扑效果图 错误!未定义书签。前言此文档就XXXXM通中心网络安全方面做全面的规划和设计,从而确定软件、硬件体系的组成及各部分的作用,和应用程序的连接等,从而对整个网络的安全 部分规划、采购起指导性作用。此文
3、档将从物理层、网络层、应用层、管理层等几个方面就xxxXM通中心网络安全进行具体描述。1.1. 设计目标最大可能的保护其所辖的网络和系统可以得到充分的信任, 可以获得良好的 管理。总体目标是在不影响中心网络正常工作的前提下, 实现对中心网络的全面 安全及加固。根据xxxXS通中心网的要求及国家涉密计算机系统安全要求,提供包括整 体安全策略、评估、规划、设计、部署、管理、紧急响应以及配套服务组成的网 络安全整体解决方案。1.2. 安全宗旨建设和服务应遵循如下原则:设计中将以国家涉密计算机系统安全要求为根本采用国内最先进,符合涉密系统安全要求的安全设备和产品严格遵守中华人民共和国保密局、公安部相关
4、法律和法规严格遵守国家涉密计算机系统安全保密规范我国各级安全主管部门还颁布了一系列条例和规定。本项目遵守国内的 这些安全条例和规定。1.3. 项目集成原则策略性建立中心的安全体系,需要先制定完整的、一致性的信息安全策略体系,并 将且将安全策略体系和其他企业策略相协调。综合性和整体jF从系统综合的整体角度充分考虑此次中心网络安全招标项目,制定有效、可行的安全措施,建立完整的安全防范体系。尽量降低对原有网络、系统性能的影响由于安全设置的增加,必将影响网络和系统的性能,包括对网络传输速率的 影响,对系统本身资源的消耗等。因此需要平衡双方的利弊,提出最为适当的安 全解决建议。避免复杂性安全解决方案不会
5、使原网络结构的复杂程度增加,并使操作与维护简单化。 安全体系的建立也不会对中心的结构做出根本性的修改。扩展性、适应性一安全解决方案能够随着中心网络性能及安全需求的变化而变化,要容易适 应、容易修改。兼容性安全管理工具应能够和其它系统管理工具有效兼容。保障安全系统自身的安全安全产品和系统都有能力在合理范围内保障系统自身的安全。稳定性总体设计方案需保证运行过程中的稳定、顺畅,不对应用系统造成危害。二 .网络安全性分析当前,全球性的信息化、网络化进程正在飞速发展,网络技术正逐步改变着 各行各业传统的生产和管理方式,网络应用日新月异。网络在提高生产和管理效 率的同时,也给各类涉密信息网络的安全保密系统
6、建设、 应用和管理提出了新的 要求。作为xxxXM通中心安全系统的网上形象和网上办公系统,保证网上信息的 安全性、可靠性,保证网络的正常运行,不被不法分子破坏、窜改是整个纪检监 察计算机网络系统中非常重要的一个组成部分。XXXX调通中心安全系统常涉及的,无论是门户系统,数据流、数据中心和 公共服务,这些都需要网络安全的支持,从用户的登陆认证,非法行为的监控,门户网站的抗攻击性,数据中心的操作安全性等多个方面都离不开网络安全系统的支持。网络安全整体建设中的某个被忽略的部位弱势,势必影响系统整体的安全水平,为了对抗各种攻击破坏,避免因为安全隐患而引发的安全事故,通过深入分析全国xxxXM通中心安全
7、系统的安全需求,建议目前的网络安全系统管理应从 下列方面入手着重解决。提供针对网络安全问题的保障,着重对于目前网络上流行的攻击形式,攻击手段进行防护,同时考虑系统冗余。对XXXX调通中心可能出现的攻击行为进行监控、取证,适当情况下可以根据监控的内容对攻击者进行跟踪,必要时可根据此结果进行法律起诉。对内部可信任网段内主机进行严格限制,及时发现并阻断非法外联行 为。对于网络安全设备的统一管理问题。包括统一管理、配置,收集不同系统上的日志资料,进行时间分析。对于整个XXXX调通中心安全系统的接入问题进行管理,确保涉密网络 与非涉密网络的物理隔离问题。定制全网统一的病病毒策略,实现全网范围内的病毒防御
8、。基于数字证书的服务。包括证书的统一管理,可信服务,用户分级,与 应用系统无间结合等多个方面。对于网络安全事件的紧急响应,包括 7X24小时的紧急响应。提供对于网络正常运行的安全服务、培训、安全管理规定等。建立一个安全网络需要从软件、硬件,产品、服务等多个方面协同协作,搭建起一个完整的安全保障系统。从用户登陆系统的开始就做到身份认证、行为监控、日志记录等工作;对边界网络实行严格的访问控制策略;在敏感信息节点对数据的监听、分析,对违反安全策略的行为进行响应;并定期主动对系统网络中服务器进行安全评估,消除安全隐患,防范于未然,为上层的门户系统、网上政务系统的正常运行提供彻底的保护,对于可能给系统造
9、成损害的每一个地方做全满考虑,为XXXX3通中心安全系统的正常运行保驾护航。三 .物理层安全体系这里说的物理层指的是物理连接方面的安全,尤其指的是不同密级之间网络 的连接规范,保证从物理结构上的安全。分支内容主要包含以下几个方面:电磁泄漏恶意的物理破坏电力中断安全拓扑结构安全旁路问题3.1. 电磁泄露电磁泄漏主要发生在由双绞线连接的物理设备之间,由于双绞线传输数据时周围产生的磁场可被还原,故如果出现刻意的针对电磁泄漏而进行的监听行为, 则可能防不胜防。由于此种入侵的方式非常隐蔽,可以不用进入办公区域、不用进行数据传输、不用发生人员方面的接触而获取数据的特点,所以是国家保密局等安全部分非常重视的
10、一种基本防护。对于这种攻击的防护手段已经非常成熟,分别对应不同的实际环境予以选择:现状解决方法没有屏蔽室建立屏敝室光纤网络(条件所限无法建立屏蔽室)不用做电磁防护措施Utp双绞线网络(条件所限无法建立屏蔽 室)需要针对线路做加密,保密局后相关 产品表格i安全环境选择表上面提到的问题还只是电磁泄漏防护的一种解决方案,由于xxxXS通中心网络是涉密网,不需要面向广大市民服务,所以对于电磁防护的问题还需针对现 状进行分析,原则是对于重要的、涉密的设备进行防护。3.2. 恶意的物理破坏所有交换机设备均封闭在单独的房间内,这些房间主要由网络技术部系统管理人员负责维护管理,在物理上实现了安全保护。中心局域
11、网主要的5 类双绞线都布设在地下封闭的金属槽或天花板上封闭的PVC 曹内,遭人为破坏的可能性较小。对于网络线路,主要通过专用测试仪和网络管理软件如Cisco works 2000等来进行监测,管理人员能够及时发现线路阻断等异常故障。3.3. 电力终端网络中心应重点考虑电力中断的问题,由于数据中心存放了非常多的设备,包括小型机、网络设备、pc服务器等,所以电力问题要非常重视,最好能准备两路不同源的电路,因为重要的服务器等设备均有双电源冗余的设计,双电源是网络正常运行的有力保障。重要设备应具有在线式ups控制了全部重要计算机系统的电源管理;并且 安装了针对UNIX和WinNT服务器的自动关机程序,
12、一旦断电时间接近UP薪能承受的延时服务时间的70%,则发出指令自动关闭主要的服务器。3.4. 安全拓扑结构安全拓扑结果应该说是安全体系的一个很重要的组成部分。针对XXXXJM通中心网络的环境分析:由于此系统涉及涉密网络与非涉密网络之间的连接,也有外网与非涉密网的连接,故拓扑结果非常复杂,需要集成商方面针对不同的接入形式做具体分析,并将接入方式去分为物理隔离、逻辑隔离、基于物理隔离的数据交换等几种不同形式,原则上所有内部单位与数据中心的连接均应用防火墙进行逻辑隔离,保证可信的数据传输及对非法访问的拒绝。物理隔离:完全网络上的隔离,对于涉密网与非涉密网之间的连接,无设备逻辑隔离:使用防火墙进行数据
13、交换方面的审查,通行可信数据,拒绝非法请求。针对XXXXH通中心外网与内网之间的连接。给予物理隔离的数据交换:使用基于物理隔离的数据交换进行数据交换方面的审查,通行可信数据,拒绝非法请求。此项方式是防火墙模式的进一步提高,此处对涉密外网有比较高的要求时选用的设备,但是由于原理限制,大大降低网络速度。3.5. 安全旁路问题安全旁路问题是涉密网建设的非常重要的组成部分,针对不同的单位有相应的解决手段。在政府等办公部门主要针对的是物理隔离的内部网络的员工拨号行为,针对研究所等机构主要是软盘,USB设备对于数据的Copy问题,由于目前 XXXX调通中心网络是公众外网,所以对此部分只是做简单提及,解决方
14、式为内 部解决。对于上述内容的管理除了技术上的投入以外还需要进行专门的管理制度上的制定,具体细则请参见管理制度篇。3.6. 解决措施物理层安全应面临的风险主要是环境安全和设备、设施安全问题。为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施。在环境安全上,主要考虑受灾防护和机房区域安全。为此在中心机房内,要施行严格的保安制度,配备好安防和消防等设备。(1) 环境安全保密解决措施:在安置服务器的机房出入口设立门禁系统,分配权限和密码,仅持有权限和密码的人才可以进入机房;管理上要求能够进出机房的人员政治和技术可靠。配备
15、防火器材,合理的布置在机房的四周,做到防范于未然,一旦出现明火现象,可在机房内将其扑灭。在机房内设立摄像监控系统,24 小时监控录像机房内的人员行为,记录影像并标记时间,为可能存在的人为破坏提供比对的证据。重要服务器机房内应充分利用现有的工业空调系统,将机房内温度保持在服务器硬件的平均工作温度下。所有通信线路应尽量安置在防火的 PVC曹内,安置在天花板等人不能直 接接触的地方。(2) 设备安全保密解决措施:建议中心在机房内安置电磁干扰发射仪。中心骨干网络为千兆,骨干为光纤结构,不存在电磁泄漏的问题。中心的桌面应用目前仍是百兆,使用 UTP1接,存在线路泄漏问题。为 止匕,使用UTPife路电磁泄漏干扰仪连接在线路的两端进行电磁发射干扰。(3) 介质安全
