IPSIDS网络安全解决方案—具有参考价值_网络安全整体解决方案

IPSIDS网络安全解决方案—具有参考价值由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“网络安全整体解决方案”。

目录

目录........................................................................................................................1 1.信息安全介绍.....................................................................................................4 何为信息安全？....................................................................................................4 信息安全意义........................................................................................................4 1.1 信息安全原理.................................................................................................5

1.1.1 系统生命周期.............................................................................5 1.1.2 3S安全体系.................................................................................6 1.1.3 关注资产的安全风险.................................................................7 1.1.4 统一管理.....................................................................................7 1.1.5 安全 = 管理 + 技术................................................................8

1.2 计算机系统安全问题.....................................................................................8

1.2.1 从计算机系统的发展看安全问题............................................9 1.2.2 从计算机系统的特点看安全问题..............................................9

2.物理安全...........................................................................................................10 2.1 设备的安全...................................................................................................10 3.访问控制...........................................................................................................14 3.1访问控制的业务需求....................................................................................14 3.2用户访问的管理............................................................................................15 3.3用户责任........................................................................................................17 3.4网络访问控制................................................................................................19 3.5操作系统的访问控制....................................................................................23

3.6应用系统的访问控制....................................................................................27 3.7系统访问和使用的监控................................................................................28 3.8移动操作及远程办公....................................................................................30 4.网络与通信安全...............................................................................................32

4.1网络中面临的威胁................................................................................32 5.系统安全设计方案...........................................................................................43 5.1系统安全设计原则........................................................................................43 5.2建设目标........................................................................................................44 5.3总体方案........................................................................................................45 5.4总体设计思想................................................................................................46

5.4.1内网设计原则.............................................................................46 5.4.2有步骤、分阶段实现安全建设.................................................47 5.4.3完整的安全生命周期.................................................................48

5.5 网络区域划分与安全隐患.....................................................................48

6.0网络安全部署................................................................................................48

保护目标..............................................................................................48 威胁来源..............................................................................................48 安全策略..............................................................................................49

6.1防火墙系统....................................................................................................50

6.1.1 防火墙系统的设计思想...........................................................50 6.1.2 防火墙的目的............................................................................51 6.1.3 防火墙的控制能力....................................................................52

6.1.4 防火墙特征................................................................................52 6.1.5 第四代防火墙的抗攻击能力....................................................54 6.1.6 防火墙产品的选型与推荐........................................................55

6.2 入侵检测系统.........................................................................................60 6.2.1 什么是入侵检测系统...............................................................60 6.2.2 如何选择合适的入侵检测系统...............................................61 6.2.3 IDS的实现方式-----网络IDS..................................................61 6.2.4 IDS的实现方式-----主机IDS..................................................62 6.2.5 基于网络的入侵检测系统的主要优点有：...........................63 6.2.6 入侵检测系统的设计思想.......................................................64 6.2.7 入侵检测产品的选型与推荐...................................................65

6.3 漏洞扫描系统.........................................................................................70 6.3.1 漏洞扫描系统产品选型与推荐...............................................71 6.3.2 漏洞扫描系统的部署方案.......................................................72

6.4 网络信息监控与取证系统.....................................................................73 6.4.1 网络信息监控与取证系统产品的选型与推荐.......................73 6.4.2 网络信息监控与取证系统的部署方案...................................76

6.5 内部安全管理系统（防水墙系统）.....................................................78 6.5.1 内部安全管理系统产品选型与推荐.......................................79 6.5.2 内部安全管理系统的部署方案...............................................85

6.6 其他计算机系统安全产品介绍.............................................................86 6.6.1 天镜系—漏洞扫描...................................................................86

6.6.2 数据库审计系统.......................................................................89 6.6.3 iGuard网页防篡改系统............................................................93 6.6.4 防垃圾邮件网关.......................................................................99 6.6.5 集中安全管理平台 GSMDesktop 7.1...................................106 6.6.6 中软运行管理系统2.0R2......................................................110

1.信息安全介绍

何为信息安全？

信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。

信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递或电子手段发送，可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适当地保护起来。

因此信息安全的特征包括如下特性：

 保密性(confidentiality)：保证信息只让合法用户访问；

 完整性(integrity)：保障信息及其处理方法的准确性（accuracy）、完全性（completene）；

 可用性(availability)：保证合法用户在需要时可以访问到信息及相关资产。

实现信息安全要有一套合适的控制（controls），如策略（policies）、惯例(practices)、程序(procedures)、组织的机构(organizational structures)和软件功能(software functions)。这些控制需要被建立以保证机构的安全目标能够最终实现。

信息安全意义

信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。

但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。

机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管理的效果。

很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。

对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便宜。

1.1 信息安全原理

绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入”系统。安全性的增加通常导致企业费用的增长，这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素，例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。

1.1.1 系统生命周期

系统生命周期通常由以下阶段组成：概念与需求定义、系统功能设计、系统开发与获取、系统实现与测试、系统的持久操作支持和最终系统处理。在过去的几年里，实现系统生命周期支持的途径已经转变，以适应将安全组成部分和安全过程综合到系统工程过程中的需要。与系统生命周期相对应，安全生命周期由以

下几个阶段构成：安全概念和需求定义、安全机制设计、安全集成与实现、安全管理解决方案和安全风险分析。

涉及到任何功能和系统级别的需求，通过理解安全需求、参加安全产品评估并最终在工程设计和实现系统等方式，应该在生命周期过程的早期便提出安全问题。近年来发现，在系统开发之后实现系统安全非常困难，而且已经有了不少教训。因此，必须在发掘需求和定义系统时便考虑安全需求。为了在系统工程过程中有效地集成安全方法与控制，设计者与开发者应该调整现有的过程模型，以产生一个交互的系统开发生命周期。该周期更关注使系统获得安全性的安全控制和保护机制。

1.1.2 3S安全体系

3S安全体系由三部分组成：安全解决方案（Security Solution）、安全应用（Security Application）和安全服务（Security Service）。这三部分又都以客户价值为中心。

安全解决方案（Security Solution）包括安全解决方案的设计与实施，安全产品选型与系统集成。安全应用（Security Application）包括根据用户的实际应用环境，为用户定制应用安全系统。安全服务（Security Service）则贯穿了整个安全建设的始终，从最初的安全风险评估与风险管理，帮助用户制定信息安全管理系统，系统安全加固，紧急安全响应，到安全项目实施后的安全培训教育。

附图1.3S安全体系

1.1.3 关注资产的安全风险

安全技术涉及到方方面面的问题。对各种系统和设备的安全管理必然是一个复杂的、高负荷的工作。在若干的安全事件中，我们关注的是那些针对关键资产的安全漏洞发起的攻击，这些攻击才会对资产形成威胁。因此，对于企业资产和资产风险的管理应该是整个安全管理的第一步，即通过对这些资产的安全评估，了解资产安全状况的水准。这些工作是其他安全保护技术的基础，也是有效管理企业IT安全的基石。

安全弱点管理平台可以智能发现关键IT业务资产和经营这些资产的技术（操作系统、应用程序、硬件版本等等），将其与确认的弱点进行对比，并提供包含逐步修补指导说明的基于风险的弱点管理任务列表，指导IT管理员合理及时处理安全弱点，从而显著地降低风险。

安全对抗平台对关键网段进行监视，并且可以随时准备转移到安全事件的突发区，进行事件分析，帮助管理员和专家抵抗、反击攻击者。在安全事件发生后，可以重建安全事件过程、恢复关键数据，能够极大地提高系统的生存能力，并且起到威慑攻击者的目的。

1.1.4 统一管理

安全事件不是独立的、偶然的。一次成功的攻击事件，必然会在网络的相关设备和系统中有所反应。不论是人为发起的攻击，还是来自病毒的攻击行为，都可以从防火墙、路由器、交换机、入侵检测和主机系统中获取相关的证据。攻击的证据零散地分布在这些系统中，如果能够有效地、智能地加以整合，我们就可以清晰地了解到整个安全事件的过程，帮助管理员更好地管理信息系统的安全。

来自管理方面的需求也迫切地需要一个安全统一管理平台。从广义的角度来看，网络设备应该也属于网络安全的一部分。在一个大型的网络中，对于分布在不同网段、不同地理位臵的网络设备、安全设备的管理会消耗管理员大量的精力。而安全系统往往会部署在异构平台上，对于这些异构平台的掌握、对于安全系统的掌握也会浪费管理员的时间和精力。

安全统一管理自动整合来自运行路由器、交换机、入侵检测、防病毒、防火墙等安全产品的事件数据，同时通过其客户端以及SAPI有效收集第三方安全检测产品产生的安全事件数据，并将其存储在中心数据库中以便方便地进行访问和编写报表。管理员使用安全统一管理平台管理、监视、报警和报告跨平台的用户活动信息。有了这些信息，系统管理员将可以在出现可能对关键电子商务系统造成负面影响的袭击和问题之前，立即做出反应。

1.1.5 安全 = 管理 + 技术

信息和支持进程、系统以及网络都是重要的业务资产。为保证企业富有竞争力，保持现金流顺畅和组织赢利，以及遵纪守法和维护组织的良好商业形象，信息的保密性、完整性和可用性是至关重要的。很多信息系统在设计时，没有考虑到安全问题。通过技术手段获得安全保障十分有限，必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划，并对细节问题加以注意。

作为信息安全管理的最基本要求，企业内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。

如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施，那么信息安全控制的成本会很低，并更有效率。

1.2 计算机系统安全问题

目前，计算机系统和信息安全问题是IT业最为关心和关注的焦点之一。据ICSA统计，有11％的安全问题导致网络数据被破坏，14％导致数据失密，15％的攻击来自系统外部，来自系统内部的安全威胁高达60％。由于受到内部心怀不满的职工安放的程序炸弹侵害，Omega Engineering公司蒙受了价值300万美元的销售收入和合同损失，由于受到来自网络的侵袭，Citibank银行被窃了1000万美元，后来他们虽然追回了750万美元损失，但却因此失去了7％的重要客户，其声誉受到了沉重打击。这只是人们知道的两个因安全问题造成巨大损失的例子，实际上，更多的安全入侵事件没有报告。据美国联邦调查局估计，仅有7％的入侵事件被报告了，而澳大利亚联邦警察局则认为这个数字只有5％。因为许多入侵根本没有被检测到，还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。

那么，为什么当今信息系统中存在如此之多的安全隐患，安全问题如此突出呢？这是与计算机系统的发展、当今流行系统的设计思路、当前IT系统的使用状况紧密相关的。下面，我们从以下几个方面简要论述。

1.2.1 从计算机系统的发展看安全问题

安全问题如此突出和严重是与IT技术和环境的发展分不开的。早期的业务系统是局限于大型主机上的集中式应用，与外界联系较少，能够接触和使用系统的人员也很少，系统安全隐患尚不明显。现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用，用户、程序和数据可能分布在世界的各个角落，给系统的安全管理造成了很大困难。早期的网络大多限于企业内部，与外界的物理连接很少，对于外部入侵的防范较为容易，现在，网络已发展到全球一体化的Internet，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等等。在这样一个分布式应用的环境中，企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”，只要有一个“门户”没有完全保护好－忘了上锁或不很牢固，“黑客”就会通过这道门进入系统，窃取或破坏所有系统资源。随着系统和网络的不断开放，供黑客攻击系统的简单易用的“黑客工具”和“黑客程序”不断出现，一个人不必掌握很高深的计算机技术就可以成为黑客，黑客的平均年龄越来越小，现在是14－16岁。

1.2.2 从计算机系统的特点看安全问题

在现代典型的计算机系统中，大都采用TCP/IP作为主要的网络通讯协议，主要服务器为UNIX或Windows NT操作系统。众所周知，TCP/IP和UNIX都

是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还存在一些这样那样的漏洞。

TCP/IP的结构与基于专用主机(如IBM ES/3000、AS/400)和网络(如SNA网络)的体系结构相比，灵活性、易用性、开发性都很好，但是，在安全性方面却存在很多隐患。TCP/IP的网络结构没有集中的控制，每个节点的地址由自己配臵，节点之间的路由可任意改变。服务器很难验证某客户机的真实性。IP协议是一种无连接的通讯协议，无安全控制机制，存在IP Spoofing、TCP sequence number prediction attacks、Source outing attacks、RIP attacks、ICMP attacks、Data-driven attacks(SMTP and MIME)、Domain Name Service attacks、Fragment attacks、Tiny fragment attacks、Hijacking attacks、Data integrity attacks、Encapsulated IP attacks等各种各样的攻击手段。实际上，从TCP/IP的网络层，人们很难区分合法信息流和入侵数据，DoS(Denial of Services，拒绝服务)就是其中明显的例子。

UNIX操作系统更是以开放性著称的，在安全性方面存在许多缺限。如用户认证和授权管理方面，UNIX操作系统对用户登录的管理是靠用户名和口令实现的，存在很多安全上的隐患；在对资源的访问控制管理方面，UNIX只有读、写和执行三种权限，无法对文件进行更为细致的控制，且缺乏完善有效的跟踪审计能力。严格的控制需要复杂的配臵过程，不同系统上配臵方法也很不一致，实际上无法全面有效地实施。另外UNIX中的root用户为特权用户，拥有至高无上的特权，它也成为黑客窥视的主要目标，给系统安全造成了极大危害。

2.物理安全

2.1 设备的安全

目的： 防止资产丢失、损失或被破坏，防止业务活动的停顿。设备应有物理保护不受安全威胁及环境事故的影响。

要保护设备（包括用在离线的地方）以减少非法访问数据的风险，和保护不

会丢失或损失，也要考虑设备应放在什么地方及如何处理掉。可能需要特别的控制来保护故障或非法访问，和保障支援设备，例如电力供应和线缆架构。

2.1.1设备的放置及保护

设备应放在安全的地方，保护减少来自环境威胁及事故的风险，减少非法访问的机会。要考虑的有：

 设备的位臵，应是尽量减少不必要的到工作地方的访问；

 处理敏感数据的信息处理及储存设备应该好好放臵，以减少使用时被俯瞰的风险；

 需要特别保护的东西，应被隔离；  应控制并减少潜在威胁出现的风险：  偷窃；  火；  爆炸物；  烟；

 水（或供水有问题）；  尘埃；  震动；  化学效应；  电力供应干扰；  电磁辐射；

 机构应考虑在信息处理设备附近的饮食及吸烟策略；  应监控那些严重影响信息处理设备操作的环境；

 考虑在工业环境设备的特殊保护方法，例如采用键盘薄膜；

 应考虑在大厦附近发生灾难的后果，例如隔离大厦着火、房顶漏水，地下层渗水、街道发生爆炸。

2.1.2电力的供应

应保证设备电源不会出现故障，或其它电力异常。应有适当的、符合设备生产商规格的电力供应。关于连续性供电的选项有：

 多个输电点，避免单点输电导致全部停电；  不间断电源（UPS）；  备份发电机。

建议为那些支持重要业务操作的设备配备UPS，保持有次序的停电或连续性供电。应急计划应包括UPS 发生故障时应采取什么行动。UPS设备应定期检查，保证有足够的容量，并按生产商的建议进行测试。

如果发生长时间电源失败还要继续信息处理的话，请考虑配备后备发电机。发电机安装后，应按生产商的指示定期进行测试。应提供足够的燃料保证发电机可以长时间发电。

此外，紧急电力开关应放臵设备房紧急出口的附近，以便一旦发生紧急事故马上关闭电源。也要考虑一旦电源失败时的应急灯。要保护全大厦的灯，及在所有外部通讯线路都要装上灯光保护过滤器。

2.1.3电缆线路的安全

应保护带有数据或支持信息服务的电力及电讯电缆，使之不被侦听或破坏。要注意的有：

 进入信息处理设备的电力及电讯电缆线路应放在地下下面，如可能，也可以考虑其它有足够保护能力的办法；

 网络布线应受到保护，不要被非法截取或被破坏，举例，使用管道或避免通过公众地方的路径；

 电源电缆应与通讯电缆分开，避免干扰；

 至于敏感或重要的系统，更要考虑更多的控制，包括：  安装装甲管道，加了锁的作为检查及终点的房间或盒子；  使用可选路由或者传输介质；  光纤光缆；

 清除附加在电缆上的未授权设备。

2.1.4设备的维护

设备应正确维护来保证连续性可用合完整性。以下是要注意的：  设备应按供应商的建议服务间隔及规格维护；  只有授权的维护人员才可以修理设备；

 记录所有可疑的或真实的故障，以及所有防范及改正措施；  实施适当的控制如何把设备送出大厦进行修理

2.1.4设备离开大厦的安全

无论是谁拥有的，在机构外面使用任何设备处理信息应有管理层的授权。所提供的安全保护应与设备在大厦内使用时相同。还要考虑在机构大厦外面工作的风险。信息处理设备包括所有形式的个人计算机、商务通、移动电话纸张或其它表格，放在家里或从日常工作地方搬走。要考虑的有：

 从大厦取走的设备及介质，不应放在公众地方无人看管。笔记本计算机应当作手提行李随身，及在外时尽量遮蔽，不要显露在外被人看到；

 应时常注意生产商保护设备的指示，例如不要暴露在强大的电磁场内；  在家工作的控制，应在评估风险后确定，并适当地实施，举例，可上锁的文件柜、清除桌子的策略及计算机的访问控制；

 应有足够的保险保护不在大厦的设备。

安全风险，例如损坏、被盗及偷听，可能每个地方都不同，所以应仔细考虑

后确定最适当的控制。参看3.8.1的关于如何保护移动设备。

2.1.5设备的安全清除或重用

信息可以通过不小心清除或重复使用设备而被破坏（参看8.6.4），有敏感信息的存储设备应该物理被销毁或安全地覆盖，而不是使用标准的删除功能。

所有储存设备，例如固定硬盘，应被检查以保证已清除所有敏感数据及授权软件，或在清除前已被覆盖。损坏了、有敏感数据的储存设备可能需要评估风险后确定是否把设备销毁、修理或丢掉。

3.访问控制

3.1访问控制的业务需求

目的：控制信息的访问。

应按照业务及安全要求控制信息及业务程序的访问，应把信息发布及授权的策略内容加入到考虑范围之内。

3.1.1访问控制策略 3.1.1.1策略及业务需求

首先要定义业务需求的访问控制，并记录下来。访问策略的文件应清楚写明每个用户或每组用户应有的访问控制规定及权限，用户及服务提供商都应有一份这样的文件，明白访问控制要达到什么业务需求。访问控制策略应包括以下内容：  每个业务应用系统的安全要求；  确认所有与业务应用系统有关的信息；

 信息发布及授权的策略，例如：安全级别及原则，以及信息分类的需要；  不同系统及网络之间的访问控制及信息分类策略的一致性；  关于保护访问数据或服务的相关法律或任何合同规定；  一般作业类的标准用户访问配臵；

 在分布式及互联的环境中，管理所有类别的连接的访问权限。

3.1.1.2访问控制规定

在制定访问控制规定时，应小心考虑以下：

 将必须实施的规定和可以选择实施或有条件实施的规定分开考虑；  根据“除非有明文准可，否则一般是被禁止”的原则建立规定，而不是“在一般情况下全都可以，除非有明文禁止”的模糊概念；

 由信息处理设备自动启动与经过用户判断启动的信息标记改动；  由信息系统自动启动的与由管理员启动的用户许可的变动。 需要与不需要管理员或其它批准才能颁布的规定。

3.2用户访问的管理

目的：防止非法访问信息系统。

应有一套正式程序来控制分配信息系统及服务的访问权限。

手续应包括用户访问生命周期的所有阶段，从一开始注册新用户直到最后注销那些不再需要访问信息安全及服务的用户。应特别注意控制分配特级访问权限，因为这些特级权限让用户越过系统的控制。

3.2.1用户登记

应有一套正式的用户注册及注销手续，以便授予访问所有多用户信息系统及服务。

多用户信息服务的访问应通过正式的用户注册手续控制，内容应包括：  使用唯一的用户ID，以便鉴定是谁做什么操作，并予以追究责任；  检查用户是否已被系统拥有者授权使用信息系统或服务。有时，还需要管理个别批准访问权限；

 检查所准许的访问级别是否适用于业务目的（参看3.1），是否与机构的安全策略一致，例如不会破坏责任的分开；

 发送用户访问权限声明书给用户；

 要求用户在声明书上签字，表示明白了访问的条件；  确保服务提供者不能访问，直到授权手续已完成；  保存一份所有注册使用服务的正式名单；

 马上取消已更换岗位、或已离开机构的用户的访问权限；  定期检查是否有多余的用户ID及账号，并予以除掉；  确保多余的用户ID不会发给其它用户。

此外，应仔细研究员工合同及服务合同中涉及员工或服务商试图非法访问后所受到的制裁的条款。

3.2.2特权管理

应禁止及控制特权（指任何一种功能或设备会让用户可以越过系统或应用系统控制的多用户信息系统）的分配与使用。不适当使用系统特权往往是系统安全被破坏的主要原因。

需要保护不被非法访问的多用户系统应有正式授权手续控制特权的分配，应考虑以下的步骤：

 认与每个系统产品（例如操作系统、数据库管理系统以及每个应用系统，以关联的特权，以及找出那些应配有特权的员工。

 权应按照“需要使用”及“按事件”的原则分配，即只在需要时所赋有的最低功能角色要求。

 应有一套授权程序，及记录所有被分配的特权。不应授予特权，直到完成整个授权程序。

 鼓励开发及使用系统例行程序，以避免授予用户特权的需要  特权应赋予不同的用户ID，与用作业务的ID分开

3.2.3用户口令的管理

口令是一个常用方法，来核查访问某个信息系统或服务的用户身份。所以，应通过正式的管理程序分配口令，办法以下：

 要求用户在声明书上签字，保证不泄露个人口令，以及只让在同一组的组员知道作业组的口令；

 当需要用户保密自己的口令时，保证在开始时只提供一个暂时的口令，强迫用户马上更改。当用户忘记自己口令时，应在确认清楚用户身份后才提供临时性口令；

 要求安全地发给用户临时性口令。应避免使用第三方或未加保护（明文）的电子邮件信息。用户应确认收到口令。

 口令绝不能以不加保护的形式储存在计算机系统中（参看3.5.4）。其它用来确认及认证用户的技术，例如生物测定学，指纹核查、签名核查及硬件令牌，例如chip-cards，都可以考虑使用。

3.2.4用户访问权限的检查

为了有效控制数据及信息服务的访问，管理层应该定期正式检查，看看用户的访问权限是否：

 定期（建议是每隔六个月）及在任何改动后（参看3.2.1）接受检查；  更频繁地检查特权访问的授权（参看3.2.2），建议是每隔三个月；  定期检查特权的分配，以确保没有用户取得非法特权。

3.3用户责任

目的：防止非法的用户访问。

合法用户的合作对推行有效的安全非常重要。

用户应知道自己有责任维护有效的访问控制，特别是如何使用口令及用户设备的安全。

3.3.1口令的使用

用户应遵守良好的选择及使用口令的安全惯例。

口令提供了一个核查用户身份的途径，从而可以建立信息处理或服务的访问权限，建议所有用户应：  保密口令；

 避免书写记录口令，除非保存妥当；

 每当怀疑系统被破坏或口令被公开时，应马上更改口令；  选一个至少有六个字的好口令：

 容易记住；

 不根据与个人有关的信息如名字、电话号码、出生日期等（容易被猜出）订出口令；

 不是连续的同一个字，或全是数字或全字母；

 定期或按访问次数更改口令（特权账号的口令应比一般口令更改更频繁），避免重复使用旧口令；

 第一次登录后应马上更改临时性口令；

 不要在自动登录程序中把口令纳入，例如储存在宏或函数密钥中；  不要与别人共享口令。

如果用户需要使用好几个口令来访问多个服务或平台，建议他们应使用一个很好的单一口令（参看3.3.1(4)）为这好几个口令的存储提供合理水平的保护。

3.3.2无人看管的用户设备

用户应检查无人看管的设备是否适当地保护起来了。安装在用户使用地方的设备，例如工作站或文件服务器，如一段时间内无人看守时，更需要格外保护并使之免于被非法访问。所有用户及合作伙伴应都知道保护无人看管设备的安全要求及手续，以及有责任实施保护措施。建议用户应：

 除非有合适的锁定机制保护（例如有口令保护的屏幕保护（screensaver），否则应终止已完成的活动会话；

 会话结束后应退出登录主机（即不仅仅是关闭PC或终端）；

 当PC 或终端不用时，应保护它们不被非法使用，例如使用密钥锁或等同的安全机制，如口令访问。

3.4网络访问控制

目的：互联服务的保护。

应控制内部及外部联网服务的访问，以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全，保证：

 在机构网及其它机构网或公用网之间要有合适的界面；  要有合适的认证机制认证用户及设备；  控制用户访问信息服务。

3.4.1网络服务的使用策略

不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访问已明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方（例如不在机构安全管理及控制范围的公用或外部地方）的用户尤其重要。

策略应与网络及网络服务的使用有关，应覆盖：  容许被访问的网络及网络服务；

 定出谁可以访问哪个网络及网络服务的授权手续；  保护接入网络及网络服务的管理控制及手续；

 这个策略应与业务访问控制策略一致（参看3.1）。

3.4.2强制式路径

从用户终端到计算机服务的路径应受到控制。网络是用来在最大范围之内共

享资源及提供最大程度的路由，但网络这样的功能也同时提供机会非法访问业务应用系统或非法使用信息设备，所以，在用户终端与计算机服务之间设臵路由控制（例如，建立一条强制式路径）会减少这样的风险。

强制式路径的目的是阻止用户选择一条不是用户终端与用户可访问服务之间的路由。这样，就需要在路由的不同点上实施多个安全控制，控制原则是按事先定义的选择限制每个网点的路由选择，这方面的例子有：  分配专用线或电话号码；

 自动把端口连接到指定的应用系统或安全网关；  限制供每个用户使用的菜单及子菜单；  禁止无限量的网络漫游；

 强迫外部网络用户使用指定的应用系统 及/或 安全网关；

 通过安全网关（例如防火墙）严格控制从源地址到目的地址的通讯；  设臵不同的逻辑域（例如VPN）限制机构内用户组对网络的访问（请参看3.4.6）。

 对强制式路径的需求应该基于业务访问控制策略（参看3.1）

3.4.3外部连接的用户认证

外部的连接（例如拨号访问）是非法访问业务信息的隐患。所以，远程用户的访问应被认证。认证方法有很多种，保护的程度也有强弱之分，例如使用密码技术的方法提供非常安全的认证。所以，应在风险评估后决定需要哪一级别的保护，然后决定需要哪种认证机制。

认证远程用户的方法可以基于密码技术、硬件令牌或是一个挑战/响应（challenge/response）的协议。专用线或网络用户地址的检查设备也可以被用来提供源地址的保障。

回拨（dial-back）的程序及控制（如使用回拨调制解调器），可以拒绝非法或不受欢迎的连接到达机构的信息处理设备。这样的控制可以对试图从远程地点与机构网络建立连接的用户进行认证。使用这种控制的机构就不要使用有呼叫传

送（call forwarding）功能的网络服务，如果坚持要使用的话，机构应中止使用这样的功能，避免因call forwarding 所带来的安全隐患。同时，在回拨进程中包括保证机构确实断绝连接的功能是很重要的，要不然，远程用户便可以把线路一直保持是通的，假装已确实发生了回拨验证。应仔细检查回拨的程序与控制是否会可能有此情况发生。

3.4.4 网点认证

能够自动连接到远程计算机间接等于是提供非法访问业务应用系统的机会，所以要有认证机制来认证到远程计算机系统的连接，尤其是使用机构安全管理控制范围之外的网络连接。以上的3.4.3 举了几个认证例子，以及实现这些机制的建议。

网点认证也可以当作是另一方法去认证一组连接到安全、共享的计算机设备的远程用户。（参看3.4.3）

3.4.5远程诊断端口的保护

应安全地控制诊断端口的访问。很多计算机及通讯系统已安装拨号远程诊断设备为维护工程师使用。如果不好好保护，这些诊断端口就变成非法访问的途径，所以，应有合适的安全机制保护这些端口，例如，有一个密钥锁及程序，保证只能使用通过计算机服务管理员与需要访问的软硬件技术支持人员商量后所同意的访问方法访问。

3.4.6网络的隔离

网络不断扩大，已超出传统的机构式范围，业务伙伴的相继形成，同时也要求大家互联或共享信息处理及联网设施。这样的扩大，也增加了非法访问现有网络信息系统的风险，而这些系统因有敏感信息或是非常重要的不能让别的网络用户访问的信息，在这样的情况下，应考虑在网络设臵控制，把不同的信息服务组、用户及信息系统隔离。

一种控制大网络安全的方法是把网络分成几个逻辑网域，例如，机构的内部

网域及外部网域，每个网域都有特别指定的安全边界，实现这样的安全边界是在两个要联网的网络之间安装一个安全的网关，来控制两个网域之间的访问及信息流量。网关的设臵应该是过滤这些网域之间的流量（参看3.4.7 及3.4.8），以及按机构的访问控制策略（参看3.1）阻截非法访问，一个这样的网关例子是防火墙。

把网络分隔成网域的标准，应该是按照访问控制策略及访问机制（参看3.1），还要考虑成本及因设臵网络路由或网关技术（参看3.4.7 及3.4.8）后所引致的性能冲击。

3.4.7网络连接控制

共享网络的访问控制策略的要求，特别是超出机构范围的网络，可能需要有另外的控制来禁止用户的连接能力。这样的控制可以使用事先定义的表或规定过滤流量的网关实现。制定禁止规定应按访问策略及业务需求（参看3.1），并时常更新。

应制定禁止规定的例子是：  电子邮件；  单向的文件传输；  双向的文件传输；  交互访问；

 有时间日期的网络访问。

3.4.8网络路由的控制

共享网络，特别是超出机构范围的网络，需要设臵路由控制，以保证计算机连接及信息流不会破坏业务系统的访问控制策略（参看3.1）。那些与第三方（非机构）用户共享的网络更需要有这些控制。

路由控制应该是按正确检查源及目的地址的机制制定。网络地址翻译是一个很有用的机制来隔离网络，以及阻止路由从一个机构网络传播到另一个机构的网

络。机制可以用软件或硬件实现，但实现者要注意机制的安全程度。

3.4.3 网络服务的安全

现在有很多不同类别的公私网络服务供使用，有些服务是增殖服务，而网络服务应有独特或者复杂的安全特征。使用网络服务的机构应清楚知道所用服务的安全属性。

3.5操作系统的访问控制

目的：防止不合法的计算机访问。

操作系统级别的安全设施应被用来限制计算机资源的访问。这些设施应有以下功能：

 标识及检查身份，如有需要，应把每个合法用户的终端或地点都纳入检查之列；

 记录成功及失败的系统访问；

 提供合适认证方法：如果使用口令管理系统，应保证是在用良好的口令（参看3.3.1（4））；

 如有需要，限制用户的连接时间。

其它访问控制方法，例如challenge-response, 如果可以减低业务风险，也可以考虑使用。

3.5.1自动认证终端

在认证连接到指定地点及便携式设备时，可以考虑使用自动认证终端。自动认证终端是一种用于只能从某个地点或计算机终端启动会话的技术。一个在终端中，或附在终端的标识符可以显示这终端是否可以启动或接收交易。如有需要，考虑用物理方法保护终端，以维持终端标识符的安全。认证用户的方法有很多（请参看3.4.3）。

3.5.2终端的登录程序

正常情况是应该可以通过安全的登录过程进入信息服务，登录进入计算机系统的程序应把非法访问的机会减到最低，为了避免提供非法用户不必要的帮助，登录程序应只公开最少量的系统信息。一个良好的登录程序应：  不显示系统或应用系统的标识符，直到登录成功完成；  显示一个通知，警告只有合用用户才可进入系统；  在登录过程中不提供帮助信息，以免被不合法用户利用；

 只有完成输入数据后才核查登录信息。如有出错，系统应指出哪部分的数据是正确，哪部分不正确；

 限制登录失败的次数（建议是三次），以及考虑：  记录不成功的登录；

 强迫在继续尝试登录前有时间间隔，或者在没有特定授权之下拒绝任何登录尝试；

 限制登录程序的最长及最短时间。限定时间一过，系统应停止登录程序；  完成成功登录后显示以下信息：  前一次成功登录的日期及时间；

 自上次成功登录后任何不成功登录尝试的详情。

3.5.3用户标识及认证

所有用户（包括技术支持员工，例如操作员、网管、系统程序员及数据库管理员）应有各自的标识符（用户ID），只为自己使用，以确认谁在操作，及予以追究责任。用户ID应没有任何迹象显示用户的权限（参看3.2.2），例如经理、主管等。

在特殊情况下，如有清晰的业务利益，可以考虑为一组用户或某个作业共享用户ID，但一定要有管理层的书面批准才行。如有需要，可以增加管理措施来贯彻责任。

有很多种认证程序可以被用来充实某个用户所称述的身份。口令（参看3.3.1及以下）是提供标识及认证的最常见方法，认证原则是基于只有用户知道的秘密。但认证也可以使用密码及认证协议来完成。

用户拥有的对象，例如内存令牌或智能卡，也是标识及认证的方法之一。认证某人的身份也可使用生物特征认证，一种利用用户某个独特特征或属性的认证技术。强大的认证可以通过安全组合多个认证技术或机制来实现。

3.5.4口令管理系统

口令是一种基本方法检查用户访问某个计算机服务的权限，所以，口令管理系统应提供一个有效交互的措施，确保是在使用健全的口令（参看3.3.1的使用口令指引）。

一些应用系统要求用户口令由某个独立机构制定，但大部分情况是由用户选择及保存自己的口令。

一个良好的口令管理系统应是：  强制使用个人口令来维护责任；

 在适当情况下，容许用户选择及更改自己的口令，并提供确认程序确认输入正确；

 强令执行要选择健全的口令，如在3.3.1所述；

 如果是用户维护自己的口令，要强迫口令的变化，如3.3.1所述；  如果是用户选择口令，强迫他们第一次登录后要更改临时的口令（参看3.2.3）；

 记录用户用过的口令，例如12个月前用的口令，以防止重复使用；  进入系统后不要在屏幕上显示口令；  把口令文件与应用系统数据分开储存；  使用单向加密算法把口令加密储存；  安装软件后把供应商的缺省口令改掉。

3.5.5系统工具的使用

很多计算机的安装都有一个以上的系统工具程序，来越过系统及应用程序的控制，所以，有必要限制及严格控制这些工具的使用。以下的控制可以被考虑：  使用认证程序认证系统工具；  把系统工具与应用软件分开；

 把系统工具的使用限制到只有最少数的可信任合法用户使用；  授权在特别情况下使用系统工具；

 限制系统工具的使用期限，例如只在合法更改的期间内使用；  记录所有使用系统工具的活动；  定义及记录所有系统工具的授权级别；  取消所有不必要的工具软件及系统软件；

3.5.6为保障安全的人员配备强迫警钟

是否应为保障安全用户提供警钟，应在评估风险后决定，同时，要定义负责什么责任及反应警钟的程序。

3.5.7终端超时

在高风险地方（例如公用地方，或超出机构安全管理范围之外的地方）的交互终端，或为高风险系统服务的交互终端，应在一段没有活动的时间后关闭，以免被非法用户访问。这种超时措施应在一段休止时间后清除终端屏幕的内容及关闭应用系统及网络会话。超时的延迟应能反映这地方的安全风险以及谁是终端的使用者。

可以在某些PC上实行部分的终端超时措施，即清除屏幕内容防止非法访问，但不关闭应用系统或网络会话。

3.5.8连接时间的限制

限制连接时间在某种程度上加强高风险应用程序的安全。限制那段时间准许

终端连接到计算机服务的做法，会减少非法访问的时限。这样的限制应考虑在敏感的计算机应用系统上实行，特别是安装在高风险地方（例如公用地方，或超出机构安全管理范围之外的地方）的终端。

这样的限制方法例子可以是：

 使用已定的时间段，例如传输批文件的时间，或短时间的定期交互会话；  如果没有加班或延长工作的要求，限定连接时间在正常的工作时间之内。

3.6应用系统的访问控制

目的：防止非法访问放在信息系统中的信息。应有安全设备来禁止访问应用系统并只容许合法用户逻辑访问软件及信息。应用系统应该是：

 按已定的业务访问控制策略，控制用户进入信息系统及访问应用系统功能；  防止可以越过系统或应用系统控制的工具及操作系统非法访问；  不破坏其它共享信息资源的系统的安全；

 只让拥有者、其它合法用户或指定的用户组访问信息；

3.6.1信息访问的限制

应用系统的用户，包括技术支持人员，应按访问控制策略、个别业务的应用要求及机构的信息访问策略访问信息及应用系统功能。要符合访问限制的要求，应考虑以下的控制：

 提供菜单来控制对应用系统功能的访问；

 适当编辑用户说明书，把用户不该知道的信息或应用系统的功能去掉；  控制用户的访问权限，例如阅读、写入、删除及执行；

 保证处理敏感信息的应用系统的输出只有与输出使用有关的信息，并只发送给合法的终端及地点，同时，也要定期检查这些输出确实没有多余的信息。

3.6.2敏感系统的隔离

敏感系统需要有专用（隔离）的计算机环境。一些应用系统的信息非常敏感，需要特别的处理以防止损失。应用系统的敏感程度暗示需要在专用的计算机上运行，只能与可信任的应用系统共享资源。要考虑的问题有：

 应明确标明应用系统的敏感程度，并由这系统的拥有者记录保存；  当一个敏感应用系统要在共享环境下运行，应标明有哪些应用系统与它共享资源，并得到敏感应用系统拥有者的同意。

3.7系统访问和使用的监控

目的： 检测非法活动。

系统应被监控来检测违反访问控制策略的活动，以及记录可检测的事件，以便在发生安全事件时提供证据。

系统监控能够检查所通过的管理是否有效，是否与访问控制模型（参看3.1）一致。

3.7.1事件记录

应有一个记录异常事件及其它安全事件的审计日志，并在一段已定的时间内保存备用。审计日志应包括以下：  用户ID；

 登录与推出登录的日期时间；  终端或地点（如可能）的身份；  成功及拒绝的系统访问的日志；  成功及拒绝的数据及其它资源的访问。

 某些审计日志因为保存策略的需要或者因为要收集证据而需要归档。

3.7.2监控系统的使用 3.7.2.1风险的程序及区域

应建立监控信息处理设备使用情况的程序，以保证用户只进行明确授权了的活动。所需的监控级别应在评估风险后确定。

要考虑的区域有：

 合法访问，包括详细情况，如：

 用户ID；

 重要事件发生的日期时间；  事件的种类；  所访问的文件；  所使用的进程/工具。 所有特权操作，例如：

 管理账号的使用；  系统的启动及停止；

 I/O 设备的附加装臵/分离装臵。 非法访问的尝试，例如：

 失败的尝试；

 网关及防火墙的违反访问策略的访问及通知；  入侵检测系统的预警。 系统预警或失败，例如：

 控制台预警或消息；  系统日志的异常；  网络管理的警报。

3.7.2.2风险因素

应定期审查监控活动的结果，审查的频率应依赖于涉及的风险。风险因素有：  应用进程的重要性；

 所处理的信息的价值、敏感程度及重要性；  过去系统渗透及误用的经验；

 系统联网的范围（特别是公用网）。

3.7.2.3对事件进行日志记录和审查

日志检查包括了解系统所面临的威胁，以及这些威胁在什么情况下会出现。3.7.1 是如果有安全事件发生时应注意哪一类事件的例子。

系统日志的内容一般是非常多，有很多是与安全监控无关。要找出重要的事件，应考虑自动把合适的消息种类拷贝到第二个日志，以及/或使用合适的系统工具或审计工具检查文件。

当指定日志检查的责任时，应该把进行检查的人员和活动被监控的人员的角色分开。特别要注意日志设备的安全，因为如果被篡改，日志等于是提供不真实的安全，所以，要注意不要被非法更改及操作出错，如：  日志设备的停用；

 所记录的对消息种类的更改；  被编辑或删除的日志文件；

 日志文件储存介质的用尽，或者不能继续记录日志或者覆盖自己。

3.7.3时钟的同步

计算机时钟的正确设臵是非常重要的，以保证审计日志的准确性，留待日后调查或当作法庭证据，不准确的审计日志会妨碍这样的调查工作，以及有损证据的可信性。

如果是计算机或通讯设备能够实时操作时钟，应把时钟时间设成已认可的标准，例如统一协同时间（Universal Co-ordinated Time）或当地标准时间。因为有些时钟会随时间变快或变慢，所以，应有一个程序检查时钟的时间，如发现不对，可以予以改正。

3.8移动终端操作及远程办公

目的：保证信息安全在移动环境及远程工作的设备上实现。应考虑在这些情况有哪些风险后才决定要指定那些策略。移动环境是个没有保护的环境，应仔细考虑会有什么风险，以及应有哪方面的安全措施。至于远程工作模式，机构应保护远程工作的地点，并保证有合适的措施，保护在这样的环境工作的安全。

3.8.1移动操作

当使用移动计算机设备，例如笔记本、掌上宝、移动电话等，应小心业务信息不被破坏。应颁布正式的策略，对付移动操作的风险，举例，策略应包括物理保护的要求、访问控制和密码控制技术、备份、防病毒等等，以及连接移动设备到网络的规定及建议，如何在公共场所使用这些设备的指引。

应小心在公共场所、会议室及其它没有保护的不在机构办公地点的地方使用移动设备，应保护不被非法访问或泄露被该设备储存或处理的信息，方法之一是使用密码技术。

重要的是，要注意在公共场所使用移动设备时，小心不要被不认识的人在后面偷看。同时，也要有防止恶意软件程序，并要时常保持最新版本（参看8.3）。应有随时可用的设备，以便快速、轻松地备份信息。这些备份应有很好的保护，不被盗取或丢失。

应保护移动设备到网络的连接。使用移动设备在公用网上远程访问业务信息时，只有在成功标识及认证并经过访问控制机制（参看3.4）后才准许连接。

移动计算机的设备应保护不被盗取，特别是放在汽车或其它交通工具、饭店房间、会议中心等情况下。不要把有重要敏感 及/或 重要业务信息的移动设备搁在一旁，如可能的话，最好放在加锁的地方，或是使用特别的锁把设备锁住。更多关于如何物理保护移动设备的方法

应提供培训给使用移动设备的员工，提高他们的认识，明白这样的工作方式所带来的风险，以及有什么管理办法可以使移动工作更安全。

3.8.2远程工作

远程工作是指使用通讯技术使员工在一个不在机构的固定地方远程工作，为了安全，所以要保护远程工作的地点，例如保护设备及信息不要被盗取，不要非法公开信息，不要非法远程访问机构的内部系统或滥用设备。要注意由管理层授权及管理远程工作，保证实施了保护措施使远程工作安全。

机构应制定一套策略，程序及标准来管理远程工作的活动。机构应只授权已有合适的安全安排及管理的远程工作活动，并要求要与机构的安全策略一致，要考虑的有：

 现有远程工作地点的物理安全，包括大厦及当地环境的物理安全；  建议的远程工作环境；

 安全通讯的要求，包括远程访问机构内部网的需要、被访问信息的敏感程度、内部系统的敏感程度等；

 工作环境内的其他人（例如亲人及朋友）非法访问信息或资源的威胁

要考虑的管理及安排有：

 远程工作活动有没有合适的设备及保存设备；

 定义什么工作可以进行、工作的时间、要保存的信息分类以及远程工作者被授权可以访问的内部系统及服务；

 配备合适的通讯设备，包括安全远程访问的方法；  物理安全；

 朋友或亲人进入设备或信息的规定及指引；  配备软硬件的支持及维护；  备份及业务连续性的程序；  审计及安全监控；

 停止远程工作活动后授权、访问权限的注销及设备的归还。4.网络与通信安全 4.1网络中面临的威胁

4.1.1针对网络设备的攻击 4.1.1.1 交换机-针对CDP攻击

说明: Cisco专用协议，用来发现周边相邻的网络设备

链路层帧，30s发送一次可以得到相邻设备名称，操作系统版本，接口数量和类型，接口IP地址等关键信息在所有接口上默认打开 危害: 任何人可以轻松得到整个网络信息,可以被利用发起DoS攻击：http://www.phenoelit.de/irpas/ 对策: 如不需要，禁止CDP,禁止User-End端口的CDP 4.1.1.2 交换机-针对STP攻击

说明: Spanning Tree Protocol防止交换网络产生回路Root BridgeBPDU--bridge ID, path cost, interface 攻击: 强制接管root bridge，导致网络逻辑结构改变，在重新生成STP时，可以导致某些端口暂时失效，可以监听大部份网络流量。BPDU Flood：消耗带宽，拒绝服务 对策: 对User-End端口，禁止发送BPDU

4.1.1.3 路由器-发现路由

通过tracertroute命令,最后一个路由容易成为DoS攻击目标.4.1.1.4路由器-猜测路由器类型

端口扫描,操作系统堆栈指纹,登陆旗标（banner）,其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示

4.1.2拒绝服务（DoS）攻击

DoS（Denial of Service）

拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。

DDoS（Distributed Denial of service）

分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。

4.1.2.1 DoS攻击举例  Syn Flood  Icmp Smurf（directed broadcast） Udp Flood  Icmp Ping Flood  TARGA3(堆栈突破)

 操作系统级别的拒绝服务（SMBDie） 应用级别的拒绝服务（pcanywhere）DDoS攻击类型

 Trinoo  TFN  TFN2K  FunTime Apocalypse Syn Flood SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。

Icmp Smurf Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。

攻击的过程是这样的：Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。

网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息。如果这是一个很大的以太网段，可以会有500个以上的主机对收到的echo请求进行回复。

由于多数系统都会尽快地处理ICMP传输信息，Attacker把分组的源地址设臵为目标系统，因些目标系统都很快就会被大量的echo信息吞没，这样轻而易举地就能够阻止该系统处理其它任何网络传输，从而引起拒绝为正常系统服务。

这种攻击不仅影响目标系统，还影响目标系统的网络状况。阻塞Smurf攻击的源头

Smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求。用户可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。

阻塞Smurf的反弹站点

用户可以有两种选择以阻塞Smurf攻击的反弹站点。第一种方法可以简单地阻塞所有入站echo请求，这们可以防止这些分组到达自己的网络。

如果不能阻塞所有入站echo请求，用户就需要将自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。

Udp Flood UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪

一些被恶意利用的UDP服务，如echo和chargen服务，它会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符，如果恶意攻击者将这2个UDP服务互指，则网络可用带宽将很快耗尽

禁止相关服务 与网络设备配合 Icmp Ping Flood Ping是通过发送ICMP报文(类型8代码0)探寻网络主机是否存在的一个工具。部分操作系统（例如win95），不能很好处理过大的Ping包，导致出现了Ping to Death的攻击方式（用大Ping包搞垮对方或者塞满网络），由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP

栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。如果对方的操作系统已经可以防御堆栈崩溃，也占去许多带宽。

如TFN2K会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。

正常情况下，Ping的流程是这样的: 主机A发送ICMP 8,0报文给主机B 主机B回送ICMp 0,0报文给主机A 因为ICMP基于无连结，假设现在主机A伪装成主机C发 送ICMP 8,0报文，结果会怎么样呢?显然，主机B会以为 是主机C发送的报文而去回应主机C，结构如下：

伪装为主机C 错误的回复

主机A--------------------->主机B------------------>主机C 这种情况下，由于主机A只需要不断发送Ping报文而不 需要处理返回的EchoReply，所以攻击力度成倍的增 加，同时实际上主机B和主机C都是被进攻的目标，而 且不会留下攻击者的痕迹。

4.1.2.2 Cisco基于拒绝服务攻击HTTP的漏洞

Cisco路由启用(enable)远程WEB管理，很容易遭受DoS。这种DoS能导致路由器停止对网络请求的响应。这是功能是Cisco路由的内嵌功能。但启用

这个特性，通过构造一个简单的Http请求就会造成DoS攻击：

http:///%% 这种请求导致路由停止响应，甚至引起路由器执行硬重臵(hard reset)。如果http起用，浏览：

http://route_ip_addr/anytest?/ 并且提供特权口令，则可以导致DoS攻击，导致路由停机或者重启。

4.1.2.3 Cisco的WEB服务的越权访问漏洞：

几乎所有的版本的Cisco设备IOS都有这个问题存在，攻击者只需要构造一个如下的URL:http://IP/level/xx/exec/......即可!这里的xx是一个从16-99之间的整数。对于不同的设备，这个数值可能是不同的，但是攻击者仅需要测试84次即可找到正确的数值。如果不能进入，尝试：http://10.10.10.10/level/20/exec/show config 试试这个连接地址，就会发现结果好象是不一样了，我们已经按照刚才的漏洞描述成功的绕过了Cisco的密码检查机制，现在拥有的是设备的管理员权限。

4.1.2.4 DDoS攻击特性

 DDoS攻击将越来越多地采用IP欺骗的技术；

 DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势;

 DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系; 针对路由器的弱点的DDoS攻击将会增多;

 DDoS攻击利用路由器的多点传送功能可以将攻击效果扩大若干倍;

 采用半连接技术SYN攻击，和针对TCP/IP协议先天缺陷的的ACK攻击。

 采用ICMP攻击。

 采用smurf攻击  采用UDP攻击。

4.1.3欺骗攻击 4.1.3.1 IP欺骗

原理:  IP是网络层的一个非面向连接的协议，伪造IP地址相对容易。 TCP三次握手  DoS攻击  序列号取样和猜测 预防:  抛弃基于地址的信任策略  进行包过滤  加密

 使用随机化初始序列号

4.1.3.2 ARP欺骗

实现简易:指定ARP包中的源IP、目标IP、源MAC、目标MAC Arp_send.c导致windows 9x、NT IP冲突死机,Flooding,导致网络异常

4.1.4网络嗅探

共享环境下的嗅探技术 原理: 在以太网中是基于广播方式传送数据

网卡臵于混杂模式下可以接收所有经的数据 工具

Sniffer pro、IRIS、netxray tcpdump、snoop、dsniff 4.1.5 拒绝服务攻击的防御策略 4.1.5.1 Syn Flood 解决办法

 第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设臵为20秒以下（过低的SYN Timeout设臵可能会影响客户的正常访问），可以成倍的降低服务器的负荷。

 第二种方法是设臵SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

动态分析

受到攻击时在线分析TCP SYN报文的所有细节。如源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，往往能推断出攻击者与目标之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）网络设备配合专业级的抗DOS攻击产品。负载均衡

基于DNS解析的负载均衡本身就拥有对SYN Flood的免疫力，基于

DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上，SYN Flood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名解析，但是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析。攻击者攻击的永远只是其中一台服务器。

4.1.5.2 检测DDoS攻击

使用DDoS检测工具 1.使用工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。

使用ngrep监听工具。经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击(targa3, SYN flood, UDP flood, ICMP flood 和 smurf)，它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话，它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话，在攻击过程中或之后记录ICMP的回应请求是一种捕获粗心的攻击者的方法。由于攻击者还很可能使用其他的服务来核实其攻击的效果（例如web），所以对其他的标准服务也应当有尽量详细的日志记录。

2.与网络服务提供商协作 能否与上一级的网络主干服务提供商进行良好的合作是非常重要的事情。DDoS攻击对带宽的使用是非常严格的，无论使用什么方法都无法使自己的网络对它的上一级进行控制。最好能够与网络服务供应商进行协商，请求他们帮助实现路由的访问控制，以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。最好请求服务提供商帮监视网络流量，并在遭受攻击时允许访问他们的路由器。3.安装IDS和监控异常流量。在防卫攻击方面，安装IDS可以发现是否有入侵行动正在进行，立即对

入侵行动进行报警。以最快时间内对入侵做成反应。此外，也要时常监控网络流量，注意是否有异常的流量产生。4.优化对外提供服务的主机 对于潜在的有可能遭受攻击的主机也要同样进行设臵保护。在服务器上禁止一切不必要的服务，打补丁，进行安全配臵。此外，用防火墙对提供服务的主机进行保护，对访问量大的主机进行负载均衡。将网站分布在多个不同的物理主机上，这样每一台主机只包含了网站的一部分，防止了网站在遭受攻击时全部瘫痪。

5.立即启动应付策略，尽可能快的向回追踪攻击包 如果发现攻击并非来自内部应当立即与服务提供商取得联系。由于攻击包的源地址很有可能是被攻击者伪装的，因此不必过分的相信该地址。应当迅速的判断是否遭到了拒绝服务攻击，因为在攻击停止后，只有很短的一段时间您可以向回追踪攻击包，这最好和安全公司或组织一道来追查攻击者。6.与信息安全监察部门联系

由于系统日志属于电子证据，可以被非法修改。所以一旦攻击发生，应该及时与信息安全监察部门联系，及时提供系统日志作为证据保全，以利于追查和起诉攻击者，便于日后用法律手段追回经济损失

4.1.5.3 DDoS预防方法

1.限制ICMP数据包出站速率 Interface xx rate-limit output acce-group 102 256000 8000 8000 conform-action transmit exceed-action drop Acce-list 102 permit icmp any any echo Acce-list 102 permit icmp any any echo-reply 2.限制SYN数据包连接速率

Interface xx Rete-limit input acce-group 103 8000 8000 8000 conform-action transmit exceed-action drop Acce-list 103 deny tcp any host xx.xx.xx.xx established Acce-list 103 permit tcp any host xx.xx.xx.xx 3.RFC1918约定过滤 Interface xx Ip acce-group 101 in Acce-list 101 deny ip 10.0.0.0 0.255.255.255 any Acce-list 101 deny ip 172.16.0.0 0.0.255.255 any Acce-list 101 deny ip 192.168.0.0 0.0.0.255 any Acce-list 101 permit ip any any

5.安全设计方案

绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入”系统。安全性的增加通常导致企业费用的增长，这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素，例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。

5.1系统安全设计原则

在具体进行计算机网络的安全设计、规划时，一般应遵循以下原则： 1）需求、风险、代价平衡分析的原则：对任一网络来说，绝对安全难

以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。

2）综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。

3）一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。

4）易操作性原则：安全措施要由人来完成，如果措施过于复杂，对操作人员的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统的正常运行。

5）适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改，并能切合系统的状况，满足分阶段实施的要求。

5.2建设目标

网络安全是一个循序渐进的过程，不可能一蹴而就。所以，要求我们首先定位关键资源和关键的安全风险，以此为基点，先对关键资源和高危风险进行保护，然后按照发散性的思路进行纵深层面的安全分析和扩展保护。

目前内网网络系统中最为迫切的安全需求包括病毒防御、网络边界防御、关键业务系统保护、应用系统保护和基本安全管理制度实现。通过这些安全产品的部署和安全机制的实现，主要解决以下安全问题：

 通用安全防护，如对病毒的检测，移动代码过滤等。

 内外网络系统间的入侵检测、信息过滤（恶意代码、非法信息的传播）。

 内部人员滥用权利，有意犯罪，越权访问机密信息或恶意篡改等问题。

 内外部人员针对网络基础设施、主机系统和应用服务的各种攻击，造成网络和系统服务不可用、信息泄密、数据被篡改等。

 缺少必要的安全管理制度来保证系统安全的实现。针对这些安全问题，我们可以采用的安全防护技术包括： 病毒防御 － 企业级防病毒系统

内网网络系统中应该部署网络级防病毒软件，实现统一、跨平台的分级管理，即：管理策略、病毒特征代码可以进行统一的管理和分发，并可以实现分级管理。

对病毒的防御不应该仅仅停留在查杀病毒和将病毒抵御在系统之外。更高层次的病毒防御目标是对病毒感染、发作、爆发的追踪和控制。从红色代码、nimda等蠕虫病毒开始，新型的病毒已经表现出一些新的特征，如利用网络快速传播、利用系统漏洞进行感染和结合黑客手段等，因此在病毒爆发时，如果我们不能对病毒的传播源和传播途径进行控制，势必无法完全防范病毒的发作。

5.3总体方案

内网系统设计的安全防护系统主要考虑以下几个方面： 1)整体和各级网络结构的正确规划，网络中设备的正确配臵；

2)整体安全规范制度的确立，各级系统进行信息进行时需要正确依照安全通讯规则；

3)数据传输的一致性、完整性以及保密性，确保数据在各级网络中传输的安全，以及明确各级信息的重要程度与不可否认性；

4)网络安全防护，即数据出入各级网络的安全检查以及网络内部数据传输的安全审计与管理如，安全网关，入侵检测系统，网络审计等技术的实施。

5)关键设备的重点保护，即对于承担系统中重要工作如，数据计算，数据存储，信息传输等服务器进行有针对性的系统安全操作规则的制定；

6)人员管理，对于使用系统的所有人员进行统一管理，明确划分其在不同网络中的职责权力；

7)通用安全防护，如对个人PC机的病毒检测，移动代码过滤等。

5.4总体设计思想

网络安全是一个循序渐进的过程，不可能一蹴而就。所以，本着首先定位关键资源，然后以主动保护关键资源为基点，先对关键资源进行保护, 然后按照发散性的思路进行纵深层面的安全分析和扩展保护。

5.4.1内网设计原则

 信息系统安全与保密的“木桶原则”：对信息均衡、全面地进行安全保护。

 信息安全系统的“整体性原则”：包括安全防护、监测和应急恢复。 信息安全系统的“有效性与实用性”原则：不影响系统正常运行和合法用户的操作活动。

 信息安全系统的“安全性评价”原则：实用安全性与用户需求和应用环境紧密相关。

 信息安全系统的“等级性”原则

 信息安全系统的“动态化”原则：引入尽可能多的可变因素，并具有良好的扩展性。

 设计为本原则：安全与保密系统的设计应与网络设计相结合，即在网络进行总体设计时考虑安全系统的设计，二者合二为一。

 自主和可控性原则：解决网络安全产品的自主权和自控权问题，建立我们自主的网络安全产品和产业。

 权限分割、互相制约、最小化原则：实现权限最小原则。 有的放矢、各取所需原则：考虑性能价格的平衡，根据不同的网络系统，侧重不同求的安全需求。

5.4.2有步骤、分阶段实现安全建设

安全产品的部署应该是一个有步骤、分阶段的过程，因此内网的信息安全系统设计了三个阶段的建设过程。

 在安全建设初期，我们考虑立竿见影的安全效果，着重保护重点资产。因此关键服务器和网络主干设备等是我们考虑的重点。在这个阶段，防火墙、入侵检测和防病毒等技术是需要优先考虑的技术。客户端的保护侧重在防病毒和终端用户管理方面，随着安全管理的需求增加，我们建议考虑建立一个基本的安全管理制度。

 在安全建设中期，我们考虑关键服务器、客户端和网络主干设备的进一步保护。漏洞扫描技术和终端安全管理系统，安全管理制度的进一步完善是本阶段的工作重点，安全审计技术也为安全管理制度的落实提供了技术上的保证。客户端的保护也是本阶段的重点。在内网的信息系统运行了一至两年后，各种应用基本趋于完善，业务流程也基本稳定，建议考虑建设CA认证系统，强调对客户端的完整管理和保护。

 最后，在整个信息系统允许3至5年后，整个信息系统的运行已经比较成熟，系统管理员对于整个网络架构有了深入的理解，网络设备、安全产品的数量也不断增加。我们建议在这个阶段考虑实现完整的安全生命周期和建设统一的安全管理平台。完整的安全生命周期遵循安全的动态性原则。安全统一管理平台实现对所有安全设备和网络设备的单点、集中管理，并在更高的层面上接收各种安全事件对这些事件进行深

层的分析，统计和关联，提供处理方法和建议，实现专家分析系统。

5.4.3完整的安全生命周期

完整的安全生命周期应该是由评估、检测、预防和管理几个部分组成的动态系统。数量众多的设备、系统和应用是导致安全隐患不断出现的根本原因，我们不能指望通过一次的安全建设就达到完全的安全保护效果。安全检测、预防和管理可以通过入侵检测、防火墙等手段实现，安全评估则可以通过漏洞扫描工具和人工评估的方式实现。因此我们建议在项目建设的中期或后期采用安全评估和安全加固服务，在漏洞扫描系统供管理员日常对系统进行安全扫描的基础上，根据扫描报告的加固建议进行安全隐患修复，还通过人工服务的方式进行安全隐患的发现和修复。

5.5 网络区域划分与安全隐患

作为一个整体的安全防护体系，我们首先对内网信息系统进行区域划分，针对不同区域的特点来部署不同的安全技术和安全产品。同时，各个不同区域的安全管理制度也应该根据区域的特点而有所不同。

6.0网络安全部署

保护目标

内部网络的各类服务器、网络设备和客户端。服务器和网络设备是我们保护的主要目标，但实际发生的安全问题往往是由于客户端的安全问题引起的。因此，不应该忽视对客户端的完善防护。

威胁来源

来自内部环境的安全威胁主要有：

 感染病毒，病毒、恶意代码的传播，并导致系统遭到破坏；

 口令管理不善会造成来自内部用户的对服务器的入侵和破坏；

 UNIX和NT系统的缺陷和漏洞也为内部用户的入侵创造了条件；

 数据库的安全隐患使内部用户有机会篡改或破坏数据，或在数据库系统中隐藏逻辑炸弹，构成对企业核心业务的重大威胁；

 内部用户滥用权利、越权访问；  内部用户的网络滥用和非法网络行为；  重要数据在传输过程中可能被泄密或被篡改；  硬件故障等灾难性事故。

安全策略

在初期的安全部署中，我们建议采用以下技术防范上述的安全威胁：

1.网络防病毒技术

在系统内所有服务器和客户端部署统一管理的企业级防病毒系统。通过防病毒系统的统一部署，可以防止病毒的感染和传播。这可以解决常见的计算机瘫痪、网络阻塞等安全问题。

2.网关过滤技术

在之间通过网关过滤系统进行隔离，并合理的配臵限制来自多种协议的病毒蠕虫等攻击，减少网络和主机受攻击的风险。尤其是实现自动的更新和升级，即使防御最新型的混合型威胁。此外，还可以通过网关过滤系统来保护免遭垃圾邮件的威胁。

3.入侵检测技术

在核心交换机上安装一台硬件入侵检测系统对核心交换区域进行实时的入侵行为发现。入侵检测系统可以实时监控网络上和主机上的事件，基于入侵的知识库，可以有效的防止大多数的攻击手段和访问异常，并

提供报警机和在线监控能力，使管理员随时获得服务器网络的安装状况的信息。入侵检测和强化的访问控制机制可以为系统提供坚固的审计功能。这样的可靠和完备的审计机制对内部入侵可以起到良好的预防作用，能够被系统记录下操作的痕迹，并有可能被追究责任而受到严厉的惩罚，对企图破坏系统的内部员工会起到威慑力量。

在中期和远期的安全部署中，我们建议考虑以下技术，进一步完善安全体系。

1.身份认证技术

用户的访问权限和口令的保护是提高系统安全性的重要保障。但目前的用户认证和访问控制系统仍存在很多的安全隐患，如对用户访问权限的定义比较模糊，采用的用户名/口令的保护仍属于弱认证机制等。这些安全隐患必须从应用系统本身进行保护，实现统一用户管理和统一授权。

2.第三方主机保护和审计技术

主机保护软件的口令策略机制统一服务器的口令质量、口令生命周期等，并在全网络范围内部署策略。主机保护软件分割管理员权限，实施集中管理的强制访问控制。这种强制的访问控制和对root权限的分割可以增强对系统中的审计机制的保护，而在普通的操作系统，获得管理员身份的入侵者可疑任意删除和修改系统的审计信息。管理员能够通过一个中央控制台实现对所有的主机进行安全保护。

6.1防火墙系统

6.1.1 防火墙系统的设计思想

在计算机网络中，一个网络防火墙扮演着防备潜在的恶意的活动的屏障，并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。原来，一个防火墙是由一个单独的机器组成的，放臵在你的私有网络和公网之间。近些年来，防火墙机制已发展到不仅仅是”firlwall box”，更多提及到的是堡垒主