网络入侵检测解决方案
XXXX
入侵检测系统解决方案
北京中科网威信息技术有限公司
200X年X月
目录
一.前言 (2)
1.1.设计目标 (3)
1.2.安全宗旨 (3)
1.3.项目集成原则 (3)
二.网络安全性分析 (4)
三.物理层安全体系 (6)
3.1.电磁泄露 (6)
3.2.恶意的物理破坏 (7)
3.3.电力终端 (7)
3.4.安全拓扑结构 (7)
3.5.安全旁路问题 (8)
3.6.解决措施 (8)
四.网络层安全体系 (9)
4.1.外网攻击 (10)
4.2.内网攻击与监控 (12)
4.3.网络设备的安全 (13)
4.4.VLAN安全保密 (14)
4.5.入侵取证问题 (15)
五.应用层安全体系 (16)
5.1.操作系统安全 (16)
5.1.1.服务器系统安全解决措施(主要针对Linux) (16)
5.1.2.服务器系统安全解决措施(主要针对Windows) (17)
5.1.3.主机安全的解决方案 (18)
六.网络入侵检测系统 (19)
6.1.单一防火墙功能的不足 (19)
6.2.入侵检测系统的功能和优点 (20)
6.3.入侵检测系统选型 (20)
6.4.入侵检测系统部署 (23)
6.5.中科网威”网威”网络入侵检测系统产品介绍 (25)
七.XXXX调通中心安全系统网络安全拓扑效果图..................... 错误!未定义书签。
一. 前言
此文档就XXXX调通中心网络安全方面做全面的规划和设计,从而确定软件、硬件体系的组成及各部分的作用,和应用程序的连接等,从而对整个网络的安全
部分规划、采购起指导性作用。
此文档将从物理层、网络层、应用层、管理层等几个方面就XXXX调通中心网络安全进行具体描述。
1.1.设计目标
最大可能的保护其所辖的网络和系统可以得到充分的信任,可以获得良好的管理。总体目标是在不影响中心网络正常工作的前提下,实现对中心网络的全面安全及加固。
根据XXXX调通中心网的要求及国家涉密计算机系统安全要求,提供包括整体安全策略、评估、规划、设计、部署、管理、紧急响应以及配套服务组成的网络安全整体解决方案。
1.2.安全宗旨
建设和服务应遵循如下原则:
◆设计中将以国家涉密计算机系统安全要求为根本
◆采用国内最先进,符合涉密系统安全要求的安全设备和产品
◆严格遵守中华人民共和国保密局、公安部相关法律和法规
◆严格遵守国家涉密计算机系统安全保密规范
◆我国各级安全主管部门还颁布了一系列条例和规定。本项目遵守国内的
这些安全条例和规定。
1.3.项目集成原则
建立中心的安全体系,需要先制定完整的、一致性的信息安全策略体系,并将且将安全策略体系和其他企业策略相协调。
从系统综合的整体角度充分考虑此次中心网络安全招标项目,制定有效、可行的安全措施,建立完整的安全防范体系。
由于安全设置的增加,必将影响网络和系统的性能,包括对网络传输速率的影响,对系统本身资源的消耗等。因此需要平衡双方的利弊,提出最为适当的安全解决建议。
安全解决方案不会使原网络结构的复杂程度增加,并使操作与维护简单化。安全体系的建立也不会对中心的结构做出根本性的修改。
安全解决方案能够随着中心网络性能及安全需求的变化而变化,要容易适应、容易修改。
安全管理工具应能够和其它系统管理工具有效兼容。
安全产品和系统都有能力在合理范围内保障系统自身的安全。
总体设计方案需保证运行过程中的稳定、顺畅,不对应用系统造成危害。
二. 网络安全性分析
当前,全球性的信息化、网络化进程正在飞速发展,网络技术正逐步改变着各行各业传统的生产和管理方式,网络应用日新月异。网络在提高生产和管理效率的同时,也给各类涉密信息网络的安全保密系统建设、应用和管理提出了新的要求。
作为XXXX调通中心安全系统的网上形象和网上办公系统,保证网上信息的安全性、可靠性,保证网络的正常运行,不被不法分子破坏、窜改是整个纪检监察计算机网络系统中非常重要的一个组成部分。
XXXX调通中心安全系统常涉及的,无论是门户系统,数据流、数据中心和公共服务,这些都需要网络安全的支持,从用户的登陆认证,非法行为的监控,
门户网站的抗攻击性,数据中心的操作安全性等多个方面都离不开网络安全系统的支持。
网络安全整体建设中的某个被忽略的部位弱势,势必影响系统整体的安全水平,为了对抗各种攻击破坏,避免因为安全隐患而引发的安全事故,通过深入分析全国XXXX调通中心安全系统的安全需求,建议目前的网络安全系统管理应从下列方面入手着重解决。
◆提供针对网络安全问题的保障,着重对于目前网络上流行的攻击形式,
攻击手段进行防护,同时考虑系统冗余。
◆对XXXX调通中心可能出现的攻击行为进行监控、取证,适当情况下可
以根据监控的内容对攻击者进行跟踪,必要时可根据此结果进行法律起
诉。
◆对内部可信任网段内主机进行严格限制,及时发现并阻断非法外联行
为。
◆对于网络安全设备的统一管理问题。包括统一管理、配置,收集不同系
统上的日志资料,进行时间分析。
◆对于整个XXXX调通中心安全系统的接入问题进行管理,确保涉密网络
与非涉密网络的物理隔离问题。
◆定制全网统一的病病毒策略,实现全网范围内的病毒防御。
◆基于数字证书的服务。包括证书的统一管理,可信服务,用户分级,与
应用系统无间结合等多个方面。
◆对于网络安全事件的紧急响应,包括7×24小时的紧急响应。
◆提供对于网络正常运行的安全服务、培训、安全管理规定等。
建立一个安全网络需要从软件、硬件,产品、服务等多个方面协同协作,搭建起一个完整的安全保障系统。从用户登陆系统的开始就做到身份认证、行为监控、日志记录等工作;对边界网络实行严格的访问控制策略;在敏感信息节点对数据的监听、分析,对违反安全策略的行为进行响应;并定期主动对系统网络中服务器进行安全评估,消除安全隐患,防范于未然,为上层的门户系统、网上政务系统的正常运行提供彻底的保护,对于可能给系统造成损害的每一个地方做全满考虑,为XXXX调通中心安全系统的正常运行保驾护航。
三. 物理层安全体系
这里说的物理层指的是物理连接方面的安全,尤其指的是不同密级之间网络的连接规范,保证从物理结构上的安全。分支内容主要包含以下几个方面:
◆电磁泄漏
◆恶意的物理破坏
◆电力中断
◆安全拓扑结构
◆安全旁路问题
3.1.电磁泄露
电磁泄漏主要发生在由双绞线连接的物理设备之间,由于双绞线传输数据时周围产生的磁场可被还原,故如果出现刻意的针对电磁泄漏而进行的监听行为,则可能防不胜防。由于此种入侵的方式非常隐蔽,可以不用进入办公区域、不用进行数据传输、不用发生人员方面的接触而获取数据的特点,所以是国家保密局等安全部分非常重视的一种基本防护。
对于这种攻击的防护手段已经非常成熟,分别对应不同的实际环境予以选择:
表格 1安全环境选择表
上面提到的问题还只是电磁泄漏防护的一种解决方案,由于XXXX调通中心网络是涉密网,不需要面向广大市民服务,所以对于电磁防护的问题还需针对现状进行分析,原则是对于重要的、涉密的设备进行防护。
3.2.恶意的物理破坏
所有交换机设备均封闭在单独的房间内,这些房间主要由网络技术部系统管理人员负责维护管理,在物理上实现了安全保护。中心局域网主要的5类双绞线都布设在地下封闭的金属槽或天花板上封闭的PVC槽内,遭人为破坏的可能性较小。对于网络线路,主要通过专用测试仪和网络管理软件如Cisco works 2000等来进行监测,管理人员能够及时发现线路阻断等异常故障。
3.3.电力终端
网络中心应重点考虑电力中断的问题,由于数据中心存放了非常多的设备,包括小型机、网络设备、PC服务器等,所以电力问题要非常重视,最好能准备两路不同源的电路,因为重要的服务器等设备均有双电源冗余的设计,双电源是网络正常运行的有力保障。
重要设备应具有在线式UPS,控制了全部重要计算机系统的电源管理;并且安装了针对UNIX和WinNT服务器的自动关机程序,一旦断电时间接近UPS所能承受的延时服务时间的70%,则发出指令自动关闭主要的服务器。
3.4.安全拓扑结构
安全拓扑结果应该说是安全体系的一个很重要的组成部分。
针对XXXX调通中心网络的环境分析:由于此系统涉及涉密网络与非涉密网络之间的连接,也有外网与非涉密网的连接,故拓扑结果非常复杂,需要集成商方面针对不同的接入形式做具体分析,并将接入方式去分为物理隔离、逻辑隔离、基于物理隔离的数据交换等几种不同形式,原则上所有内部单位与数据中心的连接均应用防火墙进行逻辑隔离,保证可信的数据传输及对非法访问的拒绝。
◆物理隔离:完全网络上的隔离,对于涉密网与非涉密网之间的连接,无
设备
◆逻辑隔离:使用防火墙进行数据交换方面的审查,通行可信数据,拒绝
非法请求。针对XXXX调通中心外网与内网之间的连接。
◆给予物理隔离的数据交换:使用基于物理隔离的数据交换进行数据交换
方面的审查,通行可信数据,拒绝非法请求。此项方式是防火墙模式的
进一步提高,此处对涉密外网有比较高的要求时选用的设备,但是由于
原理限制,大大降低网络速度。
3.5.安全旁路问题
安全旁路问题是涉密网建设的非常重要的组成部分,针对不同的单位有相应的解决手段。在政府等办公部门主要针对的是物理隔离的内部网络的员工拨号行为,针对研究所等机构主要是软盘,USB设备对于数据的Copy问题,由于目前XXXX调通中心网络是公众外网,所以对此部分只是做简单提及,解决方式为内部解决。
对于上述内容的管理除了技术上的投入以外还需要进行专门的管理制度上的制定,具体细则请参见管理制度篇。
3.6.解决措施
物理层安全应面临的风险主要是环境安全和设备、设施安全问题。
为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施。
在环境安全上,主要考虑受灾防护和机房区域安全。为此在中心机房内,要施行严格的保安制度,配备好安防和消防等设备。
(1)环境安全保密解决措施:
◆在安置服务器的机房出入口设立门禁系统,分配权限和密码,仅持有权
限和密码的人才可以进入机房;管理上要求能够进出机房的人员政治和
技术可靠。
◆配备防火器材,合理的布置在机房的四周,做到防范于未然,一旦出现
明火现象,可在机房内将其扑灭。
◆在机房内设立摄像监控系统,24小时监控录像机房内的人员行为,记录
影像并标记时间,为可能存在的人为破坏提供比对的证据。
◆重要服务器机房内应充分利用现有的工业空调系统,将机房内温度保持
在服务器硬件的平均工作温度下。
◆所有通信线路应尽量安置在防火的PVC槽内,安置在天花板等人不能直
接接触的地方。
(2)设备安全保密解决措施:
◆建议中心在机房内安置电磁干扰发射仪。
◆中心骨干网络为千兆,骨干为光纤结构,不存在电磁泄漏的问题。
◆中心的桌面应用目前仍是百兆,使用UTP连接,存在线路泄漏问题。为
此,使用UTP线路电磁泄漏干扰仪连接在线路的两端进行电磁发射干扰。
(3)介质安全保密解决措施:
◆介质安全主要体现在存储介质上面如磁带机、光盘和硬盘存储器,机密
成果数据的存储介质需要异地保存;
◆在中心设立专门的介质存放室(至少与机房不在一个房间内或一个楼
层),介质存放室也应做好门禁系统,配备防火器材和空调恒温系统;
介质存放室的进出人员应接受严格登记和审核,并在管理上要求政治和
技术可靠;
◆对存放在纸上的重要机密信息应严格保存,可以和介质一起放在介质室
内,对作废的文件应使用碎纸机或送往纸浆厂监控处理。
四. 网络层安全体系
这里说的网络层指的是网络设备上的安全,以及专门执行网络安全功能的相应设备,尤其指的是数据传输时的安全问题。物理层网络安全体系是现代网络安全体系种非常重要的组成部分,可以说是网络安全的核心,众多的黑客攻击的手段和方法都是针对网络层而开展的,因此网络层安全体系的建设是网络安全建设的重要组成部分。
目前的网络安全体系不仅仅是一种安全设备,一种安全手段就可以实现的,随着黑客技术的不断成熟安全体系已经发展成为了多产品,多手段相结合的方式,也只有多重手段的综合运用才能从整体上实现安全的防护,在安全领域是适用木桶原则的,如果有哪个领域是我们没有考虑到的,则那个部分则最有可能成为被入侵的环节。
鉴于目前网络安全技术在国内已经十分成熟,技术上不存在壁垒,故推荐使
用国内的安全产品,以防止政府部门由于使用国外产品导致的敏感时期安全设备可能被国外黑客利用,造成不必要的损失情况出现。
由于网络层安全体系涉及的内容非常丰富,本章将针对下面列表中的内容做逐一的分析,并给出解决措施。
◆外网攻击
◆内网攻击
◆加密传输
◆安全旁路问题
4.1.外网攻击
从外网进行的攻击行为可以说是不胜枚举,近年来国内外出现的大量的网络安全事件(经媒体报道过的)可以说应用了目前所有的攻击形式,有各种形式的Flood攻击,Ping of death、Syn flood、DOS、DDOS等,此类攻击尤其针对网站,破坏性是不容置疑的,发生在2001年的五一中美黑客大战就是运用上面攻击形式的结果,致使美国白宫网站不能访问达4小时之久。除此之外还有数不清的木马攻击,操作系统漏洞,对于应用服务的授权的和未授权的访问等,所有这些问题如果用头疼医头、脚疼医脚的方式就会变得捉襟见肘,最好的解决方案是在内网和外网的交汇处设置防火墙,保证内网、外网的之间访问的安全性及抵抗攻击。
下面用一个简单图示来描绘防火墙的应用
图表 1防火墙的应用简图
上图中的DMZ区我们可以假想为门户网站的防治区域,而内网则放置我们的数据库服务器等更加重要的服务器,同时与其它局、委、办的连接也在内网进行,同时我们还应对防火墙的访问策略做简单配置:
外网→DMZ区
DMZ区→内网
内网→DMZ区
DMZ区→外网一些
其它各个部分之间的访问完全禁止
这样数据的传输达成了一个安全通道,即数据访问时:外网→DMZ→内网;回应数据时:内网→DMZ→外网,内外网之间完全禁止访问,这样即使出现什么安全问题也不会直接将内网中的数据泄漏给外网。
下面给出就XXXX调通中心网络建设中防火墙部分应具有的相关功能:
◆支持百兆网络
◆可以实现双机备份
◆双电源冗余
◆至少500,000的并发连接数