项目安全保密解决方案

项目安全保密解决方案 Xx 项目安全保密解决方案 第一章 网络安全结构分析和 1.1 网络情况概述和安全状况 本章我们将从内部网的网络拓扑以及网络内部包含的资产进行描述和分析， 并了解目前内部涉密网络的安全保密现状。 1.1.1 内部网络拓扑结构 单位内部网络拓扑结构从密级和区域,应用三个因素上可以分为绝密隔离内 网区域,机密内网区域和310 专网三个区域,以下为三个区域的网络结构介绍. 绝密隔离内网(物理隔离,独立与其他网络) 绝密网 物理隔离 绝密隔离内网 单位绝密隔离内网应用主要是涉及绝密信息的数据处理,为单独一个隔离的 内部环境,区域内部所有的计算机均不联网,同时各台涉及绝密信息的计算机均 有人员独立操作物理空间,能够有效防止人为窥探行为.区域机房有效实现了电 磁辐射屏蔽和物理安全措施. 机密内网(包含机密和秘密级应用,最高密级为机密) 机密级内网网络拓扑结构 正在建设拟定建设的单位骨干网络内部采用千兆以太网结构,通过骨干交换 设备的 VLAN 划分,将不同应用和职能的部门划分为逻辑子网形式,除分布在北京 的计算所,55 所和技术局子网通过光纤远程与单位骨干网络连接外,其它子网均 与骨干网络在一个物理可控区域范围内各个部门子网内部均有机密级数据应用, 客户端通过端到端加密卡访问这些服务器. 单位网络中的动向情报子网中的动向库系统要求密级很高,但在业务上必须 和 310 专网互联,完成数据传输,但鉴于安全保密措施尚未解决,故没有进行实际 网络连接. 专网连接区域 310 专网连接区域 310 专网目前是一个单独的网络,结果比较简单,主要是通过路由设备与 310 网连接,然后提供一些发布的mail,web,dns 服务器. 从业务上讲,310 专网连接区域与机密内网中的动向子网是存在业务数据交 互的,目前的手段是工作人员使用软盘等设备进行数据交换传输,很难满足用户 的业务需求,在将来的安全规划设计后,将动向子网和 310 专网进行有效结合是 一个解决业务苦难的办法. 1.1.2 网络安全基本情况 目前的网络正在建设中，安全只考虑了机密级内网用户和机密服务器之间的 通信加密连接。 网络攻击 主要体现在机密内网,各个子网间目前没有做网络层安全防范和监控工作。 病毒防治 体现在机密内网和绝密内网的两个目前没有考虑应用层的病毒防范工作 应用需求:行为、身份不可抵赖等 机密级内网用户访问机密级数据库应用仅依靠 IC 卡加密连接无法判断身 份，无法做到抗抵赖和身份认证。 加密传输 机密骨干网络中有几个子网不在骨干网络所处物理可控区域中,其中的计算 所子网,55 所子网,技术局子网分布在外地,通过光纤与骨干网络连接,存在数据 泄密的隐患. 1.2 网络脆弱和风险性分析 单位内部网络是涉密网络，根据以上要求我们从以下几个方面对网络资产风 险性分析。 物理层安全脆弱性: 物理设备的脆弱性分析 物理设备和线路的泄漏分析 环境因素的脆弱性分析 网络层安全脆弱性:网络资源的访问控制脆弱性分析 可能存在的入侵脆弱性分析 政务可能存在攻击分析 非法访问分析 假冒攻击 网络设备安全隐患分析 系统层安全脆弱性:操作系统本身的脆弱性分析 对操作系统本身的安全配置脆弱性分析 桌面安全的脆弱性分析 应用层安全脆弱性:应用系统自身脆弱性分析 抵赖性分析 取证分析 应用系统的认证分析 应用系统的审计分析 管理层安全脆弱性:操作失误 人为故意攻击 人员安全意识薄弱 有待增强的意识 1.2.1 物理层脆弱和风险性分析 电磁泄漏 内网几个区域的电磁泄漏问可以从以下几个角度上考虑(环境电磁泄漏, 设备电磁泄漏和线路电磁泄漏) 环境电磁泄漏:从拓扑结构图上可以看出，某单位内部网所处物理环境为 内部可控安全区域，环境电磁泄漏的威胁系数较低。 设备电磁泄漏:各个区域(服务器和工作机房内)都还没有配备抗设备电 磁泄漏的设备,解决不了设备诸如服务器，主机产生的电磁泄密问题。 1.2.2 网络层脆弱和风险性分析 非法访问 内网使用的数据库的日常用户安全意识如果不强，口令设置缺乏科学性， 易猜测，且更换频率低，个别人甚至半年更换一次。这位非法用户盗取数据库资 源提供了可能，并且在内部局域网络中这种经常会出现的口令探测也同样缺乏有 效的技术监管。 部分 UNIX 或 Windows NT/2000 的命令可以实时检测网络数据包的传输情 况，对于 telnet ,rlogin 这些不加密的网络应用，用户登陆口令很容易被发现 和窃取。 主机操作系统漏洞和错误的系统设置也能导致非法访问的出现。 假冒攻击 在系统的内部局域网内，居心叵测的攻击者可以将自己的 ip 地址改为他人 的地址发起攻击，这种做法往往会让管理人员转移调查目标，难以发现真正发起 攻击的人。 攻击者也可将自己的网卡换掉，修改mac 地址和ip 地址向服务器发起攻击， 攻击完后再回到以前的设置，这些问题是目前中心的安全手段所解决不了的。 互连设备的安全隐患 内网使用的交换和路由设备都支持 SNMP 简单网管协议，这些设备都维护 着一个有着设备运行状态，接口等信息的 MIBS 库，运行着 SNMP 的主机或设 备可以称为 SNMP AGENT.SNMP 管理端和代理端的通信验证问题仅仅取决于 两个Community 值，一个是Read Only(RO)值，另一个是Read /Write (RW) 值， 拥有 RO 值的管理端可以查看设备的一些信息包括名称，接口，ip 地址等;拥 有RW值的管理端则可以完全管理该设备。令人担忧的是大多支持snmp 的互连 设备都是处于运行模式，至少有一个RO 的默认值为PUBLIC，会泄漏很多信息。 拥有RW默认值的设备在互联网上也是很多。加之SNMPV2 版本本身的安全验 证能力很低，所以极易收到攻击，从而导致互连设备的瘫痪和流量不正常，如果 没有冗余设备，那样整个内部网络就会瘫痪。 互连设备的弱管理口令，IOS 版本太低也会使交换设备受到入侵和拒绝服 务攻击，导致不能正常工作，影响信息中心的工作。 安全旁路的隐患 绝密级区域和机密机区域内网均是与其他区域物理隔离，而且绝密级区域 的计算机均不联网，但依然存在安全旁路问题，随着技术的发展，安全旁路已经 不局限与使用电话线拨号上网，而是指通过其他的数据通信设备比如 usb 存储 器，红外线口，网卡(笔记本用户)等设备进行数据泄密，这个就算计算机不联 网也是无法解决的问题。 安全旁路问题已经成为涉密单位比较严重的泄密隐患。 访问失控隐患(专网区域和机密级网络区域) 主要集中在机密级数据内网，集中机密级数据应用的内网服务器均配备的 加密卡，需要访问这些服务器的用户配备加密卡和 IC 卡与服务器建立加密连接 才可以访问服务器，但普通用户还是可以通过网络底层协议访问这些服务器和访 问机密服务器的客户机，网络窃取数据还是存在很大的可能性，缺乏必要的网络 层访问控制手段。 广域专网的一个区域也存在这个问题，广域专网用户通过拨号等手段与专 网区域的一台计算机交互数据，但网络连通后确没有访问控制手段，这台数据交 换计算机连接的专网内部网络中有一台重要的服务器，一旦存在攻击行为将数据 交换机器作为跳板，窃取重要服务器就简单化了。 1.2.3 系统层脆弱和风险性分析 操作系统 这些系统是数据库的主要运行平台。这些系统均达到C2 级 的安全，设置有严格的用户权限，防止数据被非法删改、查询和拷贝. 系统仅具有D1 级的安全性，文件一旦在局域网上共享，根据系 统管理员日常考察，普通用户设置访问口令的情形不多，并常常是面向所有 用户共享。 系统和Unix 系统由于广泛的应用，存在的安全性问题比较多，几乎 每隔一段时间就有关于 windows 和 Unix 的漏洞信息发布在互联网上如针对 sun 系统的漏洞供给代码站点;众多的攻击信息会使内网 的服务器面临很大的危险 桌面安全的脆弱性分析 各区域采用的工作平台是windows2000，但windows2000 的桌面安全则令人 担忧，传统的用户名和密码的验证方式已经经不起密码字典档的推敲，攻击者可 以从网络或本机针对目标机器发起验证试探，并且网络验证时(工作组或域验证) 时用户名和密码是以明文的形式传输，非常容易被窃取，使用更先进安全的认证 方式迫在眉睫。 系统身份认证的脆弱性分析 目前系统内部的大量windows 系统仍然使用windows 自身的身份认证方式， 这种认证方式首先在传输上存在被窃取的安全隐患;其次就是这种认证方式并不 公开，可能存在login 后门，也就是说有两种途径进入系统;再者就是仅以用户 名和密码作为验证方式，遭受crack 破解的几率很大，攻击者只需要一本字典档 和足够的攻击时间就可以完成破解工作。 1.2.4 应用层脆弱和风险性分析 恶意代码 恶意代码在windows 平台上主要是病毒和黑客软件问题，病毒主要是从诸如 internet,外部数据交换等环境引入;对于UNIX 系统恶意代码主要是黑客软件和 攻击代码。黑客软件和攻击代码对“系统”unix 服务器系统形成了威胁，这些 黑客软件和攻击代码的散布非常广泛且下载容易简单。 另一种恶意代码就是网络病毒，它构成威胁的层面非常广，目前系统内部还 没有相应的技术手段能够有效的处理这个隐患。 抵赖性 抵赖，在局内有好几种情况:网络攻击抵赖，破坏政务数据后的抵赖，破坏 机密数据的抵赖。网络攻击抵赖由于目前网络协议对安全性问题考虑得很少，所 以单单依靠协议地址或一些简单的通信标志来判定攻击者的身份是很难的，也是 证据不足的，高水平的攻击者在攻击时一定会掩饰自己的身份和标志，这样才不 会暴露自己的身份。 破坏数据的抵赖主要是因为现行系统平台的审计机制较弱和权限划分不清 造成的;并且局内目前针对成果数据的完整性校验工具和体系尚未建立，这类事 件在今后是极有可能发生的。 这类风险较多的存在与数据库的应用上面，对数据库的行为没有合适的审计 手段就很难做到抗抵赖。 入侵取证问题 攻击的手法和技术总是出现在针对该技术的防范之前，现有的防范体系都是 建立在已发现的手法的研究之上的，一旦入侵出现，攻击成功，如何发现攻击者 的身份和攻击的步骤，手段对及时调整网络安全设计和挽回损失会起到极其重要 的作用。 缺乏有效的网络安全审计手段，单单依靠入侵检测系统，入侵行为的取证会 显得比较困难。 应用系统自身的脆弱性 主要体现在notes 和oracle 数据库上，任何的应用软件都或多或少的存在 安全问题，一部分是软件设计上的安全bug;一部分是安全配置的问题。 针对 bug 和安全配置的漏洞采取的攻击手段和工具在互联网上流传的比较 广泛，如果没有进行合适的配置加固和安全修补，问题就会比较多，安全风险也 就比较大。 应用系统的身份认证缺陷 系统网内存在的主要应用方式是数据库系统，目前的认证方式和操作系统 平台一样都是用户名和口令，我们在系统层的认证脆弱性中进行过相应的分析， 这种用户名和口令的认证方式存在很大的隐患。 尤其是数据库系统更应该考虑这方面的问题。 应用安全审计的缺乏 应用的审计在系统网内部主要集中在数据库系统的审计上面，数据库保存 应用的重要涉密数据，任何对数据库的登陆，操作(添加，删除库表，字段等) 都应该被记录下来留以分析。 数据库的用户名和口令保存的不严密，被人窃取，那么对数据库的越权操 作也就会变的合法化，造成了损失也很难对原因进行定性。 1.2.5 管理层脆弱和风险性分析 操作失误 这是一个无法避免的问题，主要分为系统管理员和普通用户操作失误两种。 前者的影响往往是致命的，直接危害到系统和数据安全;后者主要影响用户数据 的完整性。 人为的故意攻击 来自系统内部人员的攻击是很难防范的，内部工作人员本身在重要应用系统 上都有一定的使用权限，并且对系统应用非常清楚，一次试探性的攻击演练都可 能会对应用造成瘫痪的影响，这种行为单单依靠工具的检测是很难彻底避免的， 还应该建立完善的管理 人员安全意识的薄弱 系统内能够接触到涉密数据的人员分布在好几个区域，其中的网管部门安全 意识较高，不会有太大的问题，但有一些终端用户如使用 Unix 数据服务器的， 这些用户也能接触到密级数据，但往往自身安全意识较差，所使用的工作平台不 是没打过安全补丁，就是口令过于简单。攻击者可以不需接触到数据服务器，只 需找一个薄弱的终端，就可以窃取或破坏数据。 有待增强的管理意识 系统内相应的安全产品一旦建立并不代表能够有效的解决安全问题，安全产品仅 是安全体系的一个方面，在整个安全体系中最为重要的实际上是管理。建立的安 全产品体系仅是一个技术上的保障，如果不配备相应的管理手段，管理策略策略， 这个安全体系依然是一个空架子，起不到任何作用。 1.3 安全保密设计思路和结构 1.3.1 安全保密设计模型 为了降低安全的风险和减少成本，根据信息安全的生命周期特征，提出了一 种按阶段实施的可操作的模型。 模型将信息安全的生命周期描述为下面各个阶段: Policy Phase 策略制订阶段:制订系统的安全目标; Assessment Phase 评估分析阶段:实现需求分析、风险分析、安全功能分析 和评估准则设计等，明确表述现时状态和目标之间的差距; Design Phase 方案设计阶段:形成信息安全解决方案，为达到目标给出有效 的方法和步骤; Implementation Phase 工程实施阶段:根据方案设计的框架，建设、调试并 将整个系统投入使用。 Management Phase 运行管理阶段:在管理阶段包括两种情况——正常状态下 的维护和管理(Management Status)，以及异常状态下的应急响应和异常处理 (Emergency Response Status)。 Education Phase 安全教育:是贯穿整个安全生命周期的工作，需要对企业 的决策层、技术管理层、分析设计人员、工作执行人员等所有相关人员进行教育。 信息安全问题且桓龇浅,丛拥淖酆衔侍猓畔?低秤卸喔丛樱畔踩 有多复杂。信息安全具有信息系统所具有的各种特性，同时也有自己的独特性。 分析某单位内部网络的信息安全需求，应该从信息安全的不同特性和不同角 度去分析，然后根据各方面分析的结果，形成综合的需求分析和解决方案设计。 信息安全最突出的特性包括: 相对性 动态性 潜在性 生命周期特性 分布性 层次性 业务相关特性 综合性、集成性 管理核心、策略核心等 安全的生命周期特性需要通过 SafeCycle 模型在信息安全体系的建立过程 以及今后的维护过程中体现。 1.3.2 安全保密设计结构 网络安全保密设计结构 物理安全 网络运行安全 信息安全保密 安全保密管理 环境安全 备份与恢复 身份鉴别 管理机构 设备安全 网络病毒防治 访问控制 管理制度 介质安全 电磁兼容 信息加密 管理技术 电磁泄漏发射防护 人员管理 信息完整性校验 抗抵赖 安全审计 入侵监控 操作系统安全 数据库安全 物理安全设计要求 为了网络设备，设施，介质和信息免遭自然灾害，环境事故以及人为物理操 作失误或错误及各种以暴力手段进行违法犯罪行为导致的破坏，丢失，涉密系统 需要具备环境安全，设备安全和介质安全等功能 网络运行安全设计要求 为保证网络功能的安全实现，涉密系统需要具备备份与恢复，计算机病毒 防治，电磁兼容等功能 信息安全保密设计要求 为了保证信息的保密性，完整性，可控性，可用性和抗抵赖性，涉密系统需 要采用多种安全保密技术，如身份鉴别，访问控制，信息加密，电磁泄漏发射防 护，信息完整性校验，抗抵赖，安全审计，安全保密性能检测，入侵监控，操作 系统安全，数据库安全等。 安全保密管理要求 系统必须加强安全保密管理，设置安全保密管理机构，制定严格的安全保密 管理制度，采用适当的安全保密管理技术将系统中的各种安全保密产品进行集 成，并加强对涉密人员的管理。 第二章 安全保密总体防护设计 依据 1.2 节对单位网络内部两个区域的安全分析结果,在本章节给出单位整 体安全保密总体防护设计措施 2.1 安全网络vlan 划分 机密级网络内部机密应用和普通密级应用没有从网络层分开，造成了网络通 信的不可控性，从涉密系统的安全设计上考虑，必须将两个不同密级的网络进行 有效的区分，配备网络访问控制才可以满足要求。 安全设计考虑在机密级网络内部使用三层骨干交换机将机密级网络中的机 密应用服务器以及客户终端和普通应用以及终端用户区分为两个 VLAN,配置三 层路由，同时设置accesslist 策略 机密级内网安全VLAN 划分解决措施: 在内网骨干交换机上按区域密级划分至少两个VLAN,配置三层路由，按 密级不同划分访问控制列表access-list，重点保护内网中重要的部门 vlan。 具体的划分为将机密级应用服务器和应用客户终端划分在一个 VLAN 中，其他的普通应用用户终端和服务器划分在一个或多个VLAN，在VLAN 上配置初步访问控制策略。 同时为了应对今后的安全管理,故特意划分出两个安全管理区域:密钥 管理区域子网和安全控制管理区域子网,通过这两个子网对安全进行统 一区域管理. 如果已经划分了 vlan，我们建议在 vlan 之间配置更细致的访问控制策略 access-list,仅允许机密级 vlan 访问普通用户 vlan，不允许普通用户 vlan 访 问机密级vlan，形成单向的访问控制策略 使用产品和服务: 格方GFDSS 设备安全服务,实施点为骨干交换设备 划分部署实施图: 网络VLAN 划分解决方案 2.2 骨干网络设备安全加固 本解决措施是针对机密内网网络设备的安全增强工作，作为骨干交换设备的 交换机往往也是攻击者发起攻击的对象，一旦交换机被攻击(dos)，整个网络存 在的瘫痪的严重后果，内部局域网的安全中网络设备也应该是安全考虑中的重中 之重。交换机内也是软件系统，依赖的是固有的网络操作系统ios(华为的网络 操作系统)，解决交换机的安全性问题应口令和自身漏洞等多方面来考虑。 考虑网络设备的安全性主要从管理终端口令,IOS 系统漏洞和 SNMP 的 COMMUNITY 值问题。 内网网络设备安全保障解决措施: 使用产品服务商提供的帐号下载适合网内交换机的最新ios 版本，及时升 级ios 和版本 加强 vty 和 console 的管理口令强度(至少 6 为以上有数字和字母)，并 且口令要求使用md5 加密存储 加强enable 和secret 密码的强度，要求超过8 个字符(字母和数字)的 长度，并且和一般的vty 和console 口令不能相同 加强snmp 网管的private 和public 的community 值的强度(可以使用华 为works2000 来设置，以可以直接在交换机中的snmp-server 设置) 对 vty 终端和 snmp 的连接进行安全访问控制，制定访问控制列表，仅允 许网管主机的连接访问 在完成交换机的加固后，将使用Solarwinds 针对交换机进行包括snmp,dos 等问 题的安全性测试 使用安全产品和服务: 格方GFDSS 设备安全增强服务,实施点为内网交换,路由设备 2.3 机密内网接入访问控制 机密内网内网的访问控制目前集中在内部网络的访问控制问题，目前系统里 的网络设备无法阻止局内的合法内网计算机以外的计算机接入问题(黑客可以混 入局内后将自己的计算机随意直接接入内网)，缺乏相应的ip 地址和mac 地址的 有效绑定管理。 根据系统内的现有网络环境，解决网络接入的访问控制问题不需要借助三方 安全产品，我们建议直接在内网骨干交换机上实施mac 地址和ip 地址的对应绑 定，对内网进行mac 地址和ip 地址与用户的对应关系进行管理登记，划分合法 内网接入地址范围，在交换机上将这个地址范围进行绑定，这样做后，将仅允许 已登记的计算机接入机密内网内网。 内部网络接入的访问控制解决措施: 将目前所有的内网接入计算机的ip 地址和mac地址进行管理人员管 理登记，制定出内网可信地址范围列表;在网内骨干交换机上做访 问许可，将可信地址列表加入交换机的地址绑定中，这样骨干交换 机将只允许该范围内的主机地址接入网络。 做好地址绑定后，新接入的计算机用户或私自更换网卡(mac 改变)的用户必须 在与网络管理员取得沟通和确认后才能接入内网。 接入访问控制产品和服务: 格方GFDSS 设备安全服务,实施点为骨干交换设备上 部署实施图: MAC 地址绑定接入管理 2.4 动向子网安全数据交换和访问控制 在1.1.1 节中阐述过单位骨干网络中的动向子网与310 专网是存在网络数据 交换的,在没有任何安全保密措施的情况下,这种交换是通过软盘和 usb 存储器 来完成交换,业务进行不方便.本章将采用安全数据交换设备和访问控制设备来 有效解决这个问题. 动向子网数据交换和访问控制解决措施 将310 专网发布区域网络和动向子网连接起来 在发布区域和 310 专网区域连接部分使用防火墙进行网络访问控制, 配置网络访问控制策略,仅允许 310 网的通信连接部分发布或者需 要进行数据交换的主机或者设备. 在310 专用网络连接区域与动向子网间使用一台GATEGUARD 安全隔 离网闸设备进行数据交换,设置隔离策略进行数据通信过滤, 采用 非规范连接设备彻底隔离内部网络，使得内部网络对于外界 (Internet)而言是完全网络隔断的，即，外部网络的无法主动连接 到内部网络。这样就能够避免从外部网络发起的网络入侵行为。同 时，为了保证内部网络原有的正常网络应用，可以灵活设置单向连 接，即，只有内部合法用户发起的主动连接才能通过网络隔离系统。 这样，既能保证内部合法用户正常网络应用，同时也能保证内部网 络的彻底安全隔离。gateguard 的管理控制端安装在安全管理子网 的安全管理工作站上. 动向子网数据交换所需产品和服务: 一台格方GFFW100 型防火墙,部署在310 发布区域与310 专网连接的点 上 一台GATEGUARD 安全隔离网闸,部署在310 发布网和动态子网连接之间. 产品部署实施图: 安全保密数据交换和访问控制解决措施 2.6 网络入侵检测解决措施 入侵检测是对入侵行为的监测和控制，它通过监视计算机网络或系统的运 行，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，一旦发 现攻击能够发出警报并采取相应的措施，如阻断，跟踪等。同时，记录受到攻击 的过程，为网络或系统的恢复和追查攻击的来源提供基本数据 基于网络的入侵检测系统:用于实时监控网络关键路径的信息。基于网络的 安全监控系统具备如下特点: 能够监视经过本网段的任何活动。 实时网络监视。 监视力度更细致。 防入侵欺骗的能力较差。 交换网络环境难于配置。 综上所述，基于网络的模型通过实时监视网络上的数据流，来寻找具有网 络攻击特征的活动;而基于系统的模型则通过分析系统的审计数据来发现可疑的 活动。这两种模型具有互补性，基于网络的模型能够客观地反映网络活动，特别 是能够监视到系统审计的盲区;而基于系统的模型能够更加精确地监视系统中的 各种活动。 网络入侵检测应该放在关键的点上，关键点在服务器群中，目的是为了对所 有访问内网服务器群的行为进行入侵检测。 网络入侵检测系统安全解决措施: 在内网交换机上的一个端口上连接入侵检测系统的引擎探测端口，然后 设置交换机，让入侵检测引擎连接的交换机端口监听(mirror)机密级 VLAN 中的通信行为。 在引擎的管理端安装在安全管理子网的网管工作站上，并将引擎的管理 端口接在交换机上即可。 网络入侵检测将获取流向服务器的数据包，对数据包进行细致的协议分 析和模式匹配，发现可能存在的攻击，入侵检测将会把报警信息以多种 方式发送给管理员并且会按照预先制定的策略对攻击通信进行处理。 选用安全产品或服务: 选用一台启明星辰网络入侵检测系统,入侵检测引擎安装在内网骨干交 换机的一个端口上,配置交换机 span 端口监听机密级 vlan 子网,将管理 控制台安装在安全管理子网的安全管理工作站上. 网络入侵检测具体部署实施图: NIDS 部署实施图 2.7 操作系统安全解决措施 服务器系统安全解决措施:(针对windows2000 系列) 在windows 系统上安装最新的sevicepack 和hotfix,详情见格方格方 windows 系统安全patch package 依照格方的>进行安全配置. 在 windows 服务器上使用北京 gefon SID 强身份认证系统.配置访问 策略,要求使用skey 访问认证. 安全产品或服务: 使用榕基安拓网络评估系统工具,产品安装在安全管理区域的笔记本 或工作站上; 采用格方的系统增强服务GFSSS; 使用北京格方公司的强身份认证产品gefon SID 产品对windows 服务 器访问进行强身份认证访问控制. 产品实施点:机密级VLAN 内的重要的windows 服务器. 客户机系统安全解决措施:(针对windows2000 系列) 系统网络内部使用大量的Windows 系统作为工作机器，这更多的集中在办公 区域内部。这些系统均是涉密资源，这些主机也构成了安全保障体系不可分割的 一部分，系统内部安全遵循一个“木桶”原理，单单保证服务器的安全是不够的， 涉密客户机也是保护对象。 客户机系统安全解决措施: 所有的windows 2000 或者xp 客户机应至少打上最新的service pack， 并打上一些新发现的漏洞补丁如针对tcp 协议栈漏洞的补丁 开启网络应用服务的 NT 主机应打上基本的最高 service pack 后使用漏 洞扫描和评估系统评估，对发现的安全配置和漏洞进行及时修补，推荐 使用网络漏洞扫描和评估系统 应加强口令管理力度，可能的情况下不要使用 administrator 作为管理员用户名，可以尝试改名，最好拥有两个管理员 账号，然后建立针对管理员账号的锁定策略，禁用一些安全性较低的账 号如guest 的本地登陆能力 安全产品或服务: 使用榕基安拓网络评估系统工具,产品安装在安全管理区域的笔记本 或工作站上; 采用格方的系统增强服务GFSSS; 使用北京格方公司的强身份认证产品gefon SID 产品对windows 服务 器访问进行强身份认证访问控制. 2.8 主机登陆身份认证解决措施 Windows2000 的默认验证方式存在一些不安全的因素在内诸如可能存在的认 证后门，认证时的明文传输问题，账号文件的存储问题。这些在中心的WINDOWS 系统上也存在，解决这个问题我们推荐替换掉微软的系统验证模块，其中包括验 证的用户名口令，系统账号及账号存储的机制。 我们建议替换掉内网中所有的重要客户机 windows2000 上的认证模块，使用 国内自主研发的验证模块将其替换，使用新的key 和pin 值作为验证手段。 替换掉现有的机制能够在安全上有以下保证: 使用国内自主的认证模块，可以有效的解决外国产品基本上都存在的后门问 题，这样可以在一定程度上解决这些问题 解决认证时的密码猜测问题，使用新的认证模式后，所有的认证信息将加密 存放在一个key 中，必须同时拥有这个key 和使用该key 的pin 值才能真正 使用系统，攻击者就算单独得到key 或pin 值时没有意义的，猜测基本上可 以解决 解决认证时的口令明文传输问题:当需要用户与服务器在网络上交换信息 时，系统利用 CHAP 协议保证了用户的口令信息不在网上传输，并针对每次 身份认证采用一次性加密口令，保证信息的安全性 解决服务器上原有口令的存储问题:传统的由服务器保存用户口令方式改变 为服务器仅存储用户的加密口令，而加密口令的密钥存在用户的 Skey 中， 由用户掌握。完全杜绝了传统身份认证方式下用户口令被 Hack 截取和破解 的危险，保证了用户信息的安全性。 重要客户机的认证安全解决措施: 推荐在系统内使用格方公司的系统强身份认证系统SID 在系统内重要涉密客户机上 windows2000 上安装 gefon id 的 skey 管 理中心，通过skey 中心创建Skey 的新用户、修改Skey 用户的PIN 值、 查询Skey 的用户信息、删除Skey 用户等。 向这些客户机上的用户发放经过管理中心认证的usb接口的skey，skey 上有用户的pin 值和认证信息，用户今后将使用该usb 接口的skey 进 行认证，用户所作的仅是输入该key 的pin 值即可 客户机我们建议普通用户的skey 由系统内系统管理员进行统一发放管 理，系统管理员持有拥有超级用户身份的 skey,通过 skey 管理中心为 普通用户创建一般身份账号。 的认证机制: Windows 98 Windows NT Client Windows 2000 Client L A N LASA_CLient 端 安装: 1、USB口启动程序 2、LASA_Client端软件 3、安装SP5 4、LASA SKey Manager 安装: 1、USB口启动程序 2、LASA_Server端软件 3、安装SP5 4、LASA SKey Manager LASA_SERVER 端 如上图所示，格方SID-LASA 在局域网内的典型应用模式是: 1)在局域网内NT/2000 域服务器上安装SID-LASA Server 端软件，利用SID 提供的SKEY 管理中心建立操作系统的用户帐号，并保存到用户SKEY 中; 2)在桌面机上安装SID-LASA Client 端软件，并把带有用户身份信息的 SKEY 分发给用户; 3)用户每次启动计算机，都必须使用SKEY，输入SKEY 的用户名和PIN 码， 在认证用户身份之后才能够登录本机或登录NT/2000 域服务器。 格方 SID 系列产品替换了 Windows 操作系统内核的身份认证模块，包括 winlogon.exe、msgina.dll、ntlanman.dll 等模块，使系统在认证用户身份时，能够 在验证用户合法持有SKEY(验证PIN 码)后，自动从SKEY 中读取用户的身份 信息，与SID 系统完成认证。 如果用户不需要登录到NT 域，则可以在桌面机上安装本机身份认证模块，并建 立本机的用户帐号到SKEY 中，利用SKEY 完成到SID 系统的认证 选用安全产品或服务以及产品部署: 选用格方SID 系统强身份认证系统,具体的部署数量为500 个点;部署方 式为在单位内部网络内部所有的计算机上部署一套SID,将认证软件安装 在工作机器上,为每一个使用用户发布usb 认证key. 产品部署实施图: 格方SID 系统强身份认证部署实施图 2.9 涉密主机审计监控解决措施 内网区域安全旁路的隐患矛盾主要集中在绝密级计算机区域，机密级计算机 区域和秘密级区域，解决的手段应该采取技术，管理两个层面，在管理层面首先 应该对内网所有的 pc 机进行登记，并使用管理封条对计算机的硬件进行封印防 止用户进行私自拆卸;技术上应该考虑在此区域的办公计算机上安装主机审计系 统，监控主机的访问和通信，同时对主机上的usb 设备，com 设别，ras 设备进 行有效的监控，这样从两个方面结合就可以有效的解决安全旁路的问题 同时主机审计系统还可以监控 NIC 设备，阻止内网笔记本等涉密主机更改 ip，网卡后接入外网;同时为了保证代理程序一直是激活的(没有多个操作系统) 必须配备相应的管理规章制度和处罚条列。 涉密主机审计监控的解决措施: 管理层面上应对内网所有的涉密个人工作pc 机进行登记，并使用封条将计 算机的硬件进行封印防止个人私自拆卸 在内网区域的机密级区域，绝密级区域的pc 机上安装格方的主机监控系统 GFHMS 在网管机器上装上监控管理端程序，将所有的装上代理 AGENT 的机器加入 到管理列表中，设立策略管理(阻断，报警)，并实时监控代理的工作状态， 向管理员提交报警信息 所有引擎代理端监控的工作状态由 GFHMS 的中央监控审计系统集中定制， 客户端即使是管理员用户都无法修改代理端的工作执行策略。 装上代理程序的机器就算不接在网络上，只要代理激活，仍然不能拨号上 网;装上代理的涉密笔记本就算更换 PCMCIA 网卡和更改 IP 地址，也不能 通过外网联入INTERNET 装上 AGENT 的机器在脱离网络的情况下也能在本机记录日志，并且加密存 储，标志为系统级文件，不能删除，查看或者修改。一旦网络联通，该代 理会自动将日志传回管理控制端 所有被监控计算机的通信外设比如 usb 存储器，打印口，并口，光驱等设 备必须由中央管理员认可下发策略才可以使用。 建立相应的管理规章制度，确保内网涉密主机上的网卡固定登记，硬盘设 备固定登记，主机设备固定登记，并加上防拆封条;网管应通过管理程序 监控每个代理的状态，一旦发现引擎AGENT 不在工作状态超过设定的天数， 应及时落实该主机及其使用者的工作状况(出差) 选用主机审计监控产品: 选用格方GFHAS 主机审计监控系统 产品选用数量为1 个审计监控控制台,500 个监控引擎 具体的部署实施为:将审计监控控制台部署在安全管理子网的安全管理工作 站上 具体的产品实现原理图: GFHAS 主机审计监控原理实现图 具体的产品部署实施图: GFHAS 主机审计监控系统部署 2.10 数据库审计监控解决措施 机密内网系统的重要应用系统大多以数据库作为平台，开放相应的应用。我 们在5.1.4 节对数据库应用进行过相应的脆弱性和风险性分析，我们认为，对数 据库应用系统的安全保障解决措施应该从两个层面进行:数据库增强和数据库审 计。 数据库增强解决措施(以服务为主) 打上oralce 官方提供关于oracle 的安全补丁 将数据库建库的全过程划分为几个主要阶段，每一阶段指定专人负责处 理，系统管理员分配给特定的帐户和密码，对“所有者”、“组”和“其 他”三项设置严密的权限，做到同组间可以浏览，但不可删改，封闭“其 他”用户的权限。只有所有者拥有读、写和执行权。 帐户依任务而定，任务结束，该帐户就失去存在的价值，相应的权限必 须收回，不可永久生存。 使用相应的数据库安全扫描工具对数据库系统存在的安全漏洞及配置进 行安全评估 同时要加强数据库的备份工作，定期对数据库的相应库表，字段等信息 进行增强或者差量备份 数据库审计解决措施(以工具为主) 在对Oracle 数据进行相应的增强和加固服务后，数据库在平台这个层面(系 统层)已经可以达到一定的安全要求，但不能解决应用带来的问题，Oracle 在 应用中会因为帐号丢失导致权限泄漏和权限滥用，或者是合法用户身份登陆数据 库对数据库库表，字段，数据进行修改等都会造成很大的损失，这种损失是对系 统进行怎样的高强度加固都解决不了的问题，所以应该考虑建立对数据库的审计 系统。 针对数据库进行的审计行为，主要跟踪帐号的使用(登陆，注销);信息操 作(字段，库表的修改);维护操作(维护管理)这些主要的应用层面进行审计， 以报表的形式记录所有的行为留以分析，这样以来，任何针对数据库的操作行为 都会被记录在案，一旦出现问题，可以从审计日志从获取相关操作信息进行责任 追究。 审计系统能够解决的问题: 系统审计:系统可对指定数据库的用户操作和用户事件进行审计，如用 户帐号和用户组的创建和删除、用户的登录与退出、数据库的启动与关闭 等。同时系统还具有对象操作管理、会话管理和用户管理等功能，为系统 管理员管理数据库提供帮助。 数据审计:系统可对数据库中的用户数据进行安全审计，包括数据表的 创建、删除、更改，字段的添加、删除、更改和记录的添加、删除、更改 等。系统通过创建触发器对指定的数据表、字段和记录进行安全审计。任 何针对这些数据表、字段和记录的操作都将被系统纪录到审计中心，审计 中心负责对各数据库的审计数据进行分析。 用户审计:用户审计主要是对登录数据库的指定用户进行审计，对该用 户在登录期间进行的所有操作进行记录和审计，并可记录该用户执行操作 的时间、操作类别和操作权限。 数据库攻击检测:系统可对常见的针对数据库发起的黑客攻击进行实时 的监测，一旦发现可疑的攻击行为，系统将立即向系统管理员发送报警信 息，从而使系统管理员能够及时采取相关措施。另外，系统还可根据预定 的安全策略对攻击自动响应，阻断发起攻击的连接，从而保护数据库的安 全。 数据库系统防护:系统可对被监测数据库的配置文件进行特殊保护，避 免被攻击者恶意窜改或删除，从而保证数据库系统自身的安全。 查询和报表:系统提供强大的查询和报表功能。可以按照日期、用户和 操作类型等对审计数据进行查询。系统内置多套默认报表模板，如详细报 表、摘要报表、用户报表、应用统计报表、对象统计报表、特权统计报表、 SQL 语句报表等。用户还可以按照自己的习惯对报表进行定制。 选用安全服务:格方数据库增强服务 GFDASS(gefon database security