馮朝明

網(wǎng)絡(luò)系統(tǒng)的安全程度同樣符合木桶原理，即最終的安全性取決于網(wǎng)絡(luò)中最弱的一個(gè)環(huán)節(jié)。本文系統(tǒng)地對網(wǎng)絡(luò)架構(gòu)的各個(gè)安全點(diǎn)進(jìn)行了分析，同時(shí)針對性地介紹了降低這些安全點(diǎn)風(fēng)險(xiǎn)的方案和措施。

各種網(wǎng)絡(luò)安全事故頻發(fā)使得各個(gè)組織對信息安全的重視程度逐漸提高，同時(shí)各種專門提供網(wǎng)絡(luò)安全服務(wù)的企業(yè)也應(yīng)運(yùn)而生。然而，目前大多安全服務(wù)都是以主機(jī)的安全評估、系統(tǒng)加固、應(yīng)急響應(yīng)、應(yīng)用安全防護(hù)、管理層面的安全策略體系制訂、應(yīng)用安全防護(hù)、安全產(chǎn)品集成等為主，對于網(wǎng)絡(luò)架構(gòu)的安全評估卻很少。綜觀近幾年來互連網(wǎng)上不斷出現(xiàn)的病毒蠕蟲感染等安全事件，不少是由于對網(wǎng)絡(luò)架構(gòu)安全的忽視導(dǎo)致了大范圍的傳播和影響。2003年的27號文件——《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障的文件》下發(fā)后，對信息系統(tǒng)安全域劃分、等級保護(hù)、信息安全風(fēng)險(xiǎn)評估、等級保障等需求愈來愈迫切，而做好安全域劃分的關(guān)鍵就是對網(wǎng)絡(luò)架構(gòu)安全的正確分析。

信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu)安全分析是通過對整個(gè)組織的網(wǎng)絡(luò)體系進(jìn)行深入調(diào)研，以國際安全標(biāo)準(zhǔn)和技術(shù)框架為指導(dǎo)，全面地對網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)QoS、網(wǎng)絡(luò)建設(shè)的規(guī)范性、網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)管理等多個(gè)方面進(jìn)行深入分析。

網(wǎng)絡(luò)架構(gòu)分析

網(wǎng)絡(luò)架構(gòu)分析的主要內(nèi)容包括根據(jù)IATF技術(shù)框架分析網(wǎng)絡(luò)設(shè)計(jì)是否層次分明，是否采用了核心層、匯聚層、接入層等劃分原則的網(wǎng)絡(luò)架構(gòu)（劃分不規(guī)范不利于網(wǎng)絡(luò)優(yōu)化和調(diào)整）; 網(wǎng)絡(luò)邊界是否清晰，是否符合IATF的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、邊界/外部連接、計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施的深度防御原則（邊界不清晰不便于安全控制）。應(yīng)考慮的安全點(diǎn)主要有:

1. 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)應(yīng)符合層次分明、分級管理、統(tǒng)一規(guī)劃的原則，應(yīng)便于以后網(wǎng)絡(luò)整體規(guī)劃和改造。

2. 根據(jù)組織實(shí)際情況進(jìn)行區(qū)間劃分，Internet、Intranet和Extranet之間以及它們內(nèi)部各區(qū)域之間結(jié)構(gòu)必須使網(wǎng)絡(luò)應(yīng)有的性能得到充分發(fā)揮。

3. 根據(jù)各部門的工作職能、重要性、所涉及信息等級等因素劃分不同的子網(wǎng)或網(wǎng)段。

4. 網(wǎng)絡(luò)規(guī)劃應(yīng)考慮把核心網(wǎng)絡(luò)設(shè)備的處理任務(wù)分散到邊緣設(shè)備，使其能將主要的處理能力放在對數(shù)據(jù)的轉(zhuǎn)發(fā)或處理上。

5. 實(shí)體的訪問權(quán)限通常與其真實(shí)身份相關(guān)，身份不同，工作的內(nèi)容、性質(zhì)、所在的部門就不同，因此所應(yīng)關(guān)注的網(wǎng)絡(luò)操作也不同，授予的權(quán)限也就不同。

6. 網(wǎng)絡(luò)前期建設(shè)方案、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖應(yīng)和實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)一致; 所有網(wǎng)絡(luò)設(shè)備（包括交換機(jī)、路由器、防火墻、IDS以及其他網(wǎng)絡(luò)設(shè)備）應(yīng)由組織統(tǒng)一規(guī)劃部署，并應(yīng)符合實(shí)際需求。

7. 應(yīng)充分考慮Internet接入的問題，防止出現(xiàn)多Internet接入點(diǎn)，同時(shí)限制接入用戶的訪問數(shù)量。

8. 備份也是需要考慮的重要因素，對廣域網(wǎng)設(shè)備、局域網(wǎng)設(shè)備、廣域網(wǎng)鏈路、局域網(wǎng)鏈路采用物理上的備份和采取冗余協(xié)議，防止出現(xiàn)單點(diǎn)故障。

網(wǎng)絡(luò)邊界分析

邊界保護(hù)不僅存在于組織內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，而且也存在于同一組織內(nèi)部網(wǎng)絡(luò)中，特別是不同級別的子網(wǎng)之間邊界。有效的邊界防護(hù)技術(shù)措施主要包括網(wǎng)絡(luò)訪問控制、入侵防范、網(wǎng)關(guān)防病毒、信息過濾、網(wǎng)絡(luò)隔離部件、邊界完整性檢查，以及對于遠(yuǎn)程用戶的標(biāo)識與鑒別/訪問控制。邊界劃分還應(yīng)考慮關(guān)鍵業(yè)務(wù)系統(tǒng)和非關(guān)鍵業(yè)務(wù)系統(tǒng)之間是否進(jìn)行了分離，分離后各業(yè)務(wù)區(qū)域之間的邏輯控制是否合理，業(yè)務(wù)系統(tǒng)之間的交疊不但影響網(wǎng)絡(luò)的性能還會(huì)給網(wǎng)絡(luò)帶來安全上的隱患。應(yīng)考慮的安全點(diǎn)主要有:

1. Internet、Intranet和Extranet之間及它們內(nèi)部各VLAN或區(qū)域之間邊界劃分是否合理; 在網(wǎng)絡(luò)節(jié)點(diǎn)（如路由器、交換機(jī)、防火墻等設(shè)備）互連互通應(yīng)根據(jù)實(shí)際需求進(jìn)行嚴(yán)格控制; 驗(yàn)證設(shè)備當(dāng)前配置的有效策略是否符合組織確定的安全策略。

2. 內(nèi)網(wǎng)中的安全區(qū)域劃分和訪問控制要合理，各VLAN之間的訪問控制要嚴(yán)格，不嚴(yán)格就會(huì)越權(quán)訪問。

3. 可檢查網(wǎng)絡(luò)系統(tǒng)現(xiàn)有的身份鑒別、路由器的訪問控制、防火墻的訪問控制、NAT等策略配置的安全性; 防止非法數(shù)據(jù)的流入; 對內(nèi)防止敏感數(shù)據(jù)（涉密或重要網(wǎng)段數(shù)據(jù)）的流出。

4. 防火墻是否劃分DMZ區(qū)域; 是否配置登錄配置的安全參數(shù)。例如: 最大鑒別失敗次數(shù)、最大審計(jì)存儲容量等數(shù)據(jù)。

5. 網(wǎng)絡(luò)隔離部件上的訪問通道應(yīng)該遵循“默認(rèn)全部關(guān)閉，按需求開通的原則”; 拒絕訪問除明確許可以外的任何一種服務(wù)，也就是拒絕一切未經(jīng)特許的服務(wù)。

6. 實(shí)現(xiàn)基于源和目的的IP地址、源和目的端口號、傳輸層協(xié)議的出入接口的訪問控制。對外服務(wù)采用用戶名、IP、MAC 等綁定，并限制變換的MAC地址數(shù)量，用以防止會(huì)話劫持、中間人攻擊。

7. 對于應(yīng)用層過濾，應(yīng)設(shè)置禁止訪問 Java Applet、ActiveX等以降低威脅。

8. 采用業(yè)界先進(jìn)的安全技術(shù)對關(guān)鍵業(yè)務(wù)系統(tǒng)和非關(guān)鍵業(yè)務(wù)系統(tǒng)進(jìn)行邏輯隔離，保證各個(gè)業(yè)務(wù)系統(tǒng)間的安全性和高效性，例如: 采用MPLS-VPN對各業(yè)務(wù)系統(tǒng)間邏輯進(jìn)行劃分并進(jìn)行互訪控制。

9. 必要時(shí)對涉密網(wǎng)絡(luò)系統(tǒng)進(jìn)行物理隔離; 實(shí)現(xiàn)VPN傳輸系統(tǒng); 對重要網(wǎng)絡(luò)和服務(wù)器實(shí)施動(dòng)態(tài)口令認(rèn)證; 進(jìn)行安全域的劃分，針對不同的區(qū)域的重要程度，有重點(diǎn)、分期進(jìn)行安全防護(hù)，逐步從核心網(wǎng)絡(luò)向網(wǎng)絡(luò)邊緣延伸。例如，網(wǎng)絡(luò)可以分成三個(gè)區(qū)域: 信任域、非信任域和隔離區(qū)域。信任域和隔離區(qū)域進(jìn)行重點(diǎn)保護(hù)，對于非信任域，可根據(jù)不同業(yè)務(wù)系統(tǒng)的重要程度進(jìn)行重點(diǎn)保護(hù)。

10. 整體網(wǎng)絡(luò)系統(tǒng)統(tǒng)一策略、統(tǒng)一升級、統(tǒng)一控制。

網(wǎng)絡(luò)協(xié)議分析

深入分析組織整個(gè)網(wǎng)絡(luò)系統(tǒng)的協(xié)議設(shè)計(jì)是否合理，是否存在協(xié)議設(shè)計(jì)混亂、不規(guī)范的情況，是否采用安全協(xié)議，協(xié)議的區(qū)域之間是否采用安全防護(hù)措施。協(xié)議是網(wǎng)絡(luò)系統(tǒng)運(yùn)行的神經(jīng)，協(xié)議規(guī)劃不合理就會(huì)影響整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率，甚至帶來高度隱患和風(fēng)險(xiǎn)。應(yīng)考慮的安全點(diǎn)主要有:

1. 路由協(xié)議、路由相關(guān)的協(xié)議及交換協(xié)議應(yīng)以安全的、對網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)方便為原則，應(yīng)充分考慮局域網(wǎng)絡(luò)的規(guī)劃、建設(shè)、擴(kuò)充、性能、故障排除、安全隱患、被攻擊可能性，并應(yīng)啟用加密和驗(yàn)證功能。

2. 應(yīng)合理設(shè)計(jì)網(wǎng)絡(luò)路由協(xié)議和路由策略，保證網(wǎng)絡(luò)的連通性、可達(dá)性，以及網(wǎng)絡(luò)業(yè)務(wù)流向分布的均衡性。

3. 啟用動(dòng)態(tài)路由協(xié)議的認(rèn)證功能，并設(shè)置具有一定強(qiáng)度的密鑰,相互之間交換路由信息的路由器必須具有相同的密鑰。默認(rèn)的認(rèn)證密碼是明文傳輸?shù)模ㄗh啟用加密認(rèn)證。

4. 對使用動(dòng)態(tài)路由協(xié)議的路由設(shè)備設(shè)置穩(wěn)定的邏輯地址，如Loopback地址，以減少路由振蕩的可能性。

5. 應(yīng)禁止路由器上 IP 直接廣播、ICMP重定向、Loopback數(shù)據(jù)包和多目地址數(shù)據(jù)包，保證網(wǎng)絡(luò)路徑的正確性，防止IP源地址欺騙。如禁止非公有地址、組播地址、全網(wǎng)絡(luò)地址和自己內(nèi)部的網(wǎng)絡(luò)地址訪問內(nèi)部網(wǎng)絡(luò)，同時(shí)禁止非內(nèi)部網(wǎng)絡(luò)中的地址訪問外部網(wǎng)絡(luò)。

6. 重要網(wǎng)段應(yīng)采取IP地址與MAC地址綁定措施，防止ARP欺騙。

7. 如果不需要ARP代理（ARP Proxy）服務(wù)則禁止它。

8. 應(yīng)限制 SYN 包流量帶寬，控制 ICMP、TCP、UDP 的連接數(shù)。

9. ICMP協(xié)議的安全配置。對于流入的ICMP數(shù)據(jù)包，只允許Echo Reply、Destination Unreachable、Time Out及其他需要的類型。對于流出的ICMP數(shù)據(jù)包，只允許Echo及其他必需的類型。

10. SNMP協(xié)議的Community String字串長度應(yīng)大于12位，并由數(shù)字、大小寫字母和特殊字符共同組成。

11. 禁用HTTP服務(wù)，不允許通過HTTP方式訪問路由器。如果不得不啟用HTTP訪問方式，則需要對其進(jìn)行安全配置。

12. 對于交換機(jī)，應(yīng)防止VLAN穿越攻擊。例如，所有連接用戶終端的接口都應(yīng)從VLAN1中排除，將Trunk接口劃分到一個(gè)單獨(dú)的VLAN中; 為防止STP攻擊，對用戶側(cè)端口，禁止發(fā)送BPDU; 為防止VTP攻擊，應(yīng)設(shè)置口令認(rèn)證，口令強(qiáng)度應(yīng)大于12位，并由數(shù)字、大小寫字母和特殊字符共同組成;盡量將交換機(jī)VTP設(shè)置為透明(Transparent)模式。

13.采用安全性較高的網(wǎng)絡(luò)管理協(xié)議，如SNMP v3、RMON v2。

網(wǎng)絡(luò)流量分析

流量分析系統(tǒng)主要從帶寬的網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)協(xié)議流量分析、基于網(wǎng)段的業(yè)務(wù)流量分析、網(wǎng)絡(luò)異常流量分析、應(yīng)用服務(wù)異常流量分析等五個(gè)方面對網(wǎng)絡(luò)系統(tǒng)進(jìn)行綜合流量分析。應(yīng)考慮的安全點(diǎn)主要有:

1. 帶寬的網(wǎng)絡(luò)流量分析。復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中不同的應(yīng)用需占用不同的帶寬，重要的應(yīng)用是否得到了最佳的帶寬？所占比例是多少？隊(duì)列設(shè)置和網(wǎng)絡(luò)優(yōu)化是否生效？通過基于帶寬的網(wǎng)絡(luò)流量分析會(huì)使其更加明確。采用監(jiān)控網(wǎng)絡(luò)鏈路流量負(fù)載的工具軟件，通過SNMP協(xié)議從設(shè)備得到設(shè)備的流量信息，并將流量負(fù)載以包含PNG格式的圖形的HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負(fù)載。

2. 網(wǎng)絡(luò)協(xié)議流量分析。對網(wǎng)絡(luò)流量進(jìn)行協(xié)議劃分，針對不同的協(xié)議進(jìn)行流量監(jiān)控和分析,如果某一個(gè)協(xié)議在一個(gè)時(shí)間段內(nèi)出現(xiàn)超常流量暴漲，就有可能是攻擊流量或有蠕蟲病毒出現(xiàn)。例如: Cisco NetFlow V5可以根據(jù)不同的協(xié)議對網(wǎng)絡(luò)流量進(jìn)行劃分，對不同協(xié)議流量進(jìn)行分別匯總。

3. 基于網(wǎng)段的業(yè)務(wù)流量分析。流量分析系統(tǒng)可以針對不同的VLAN來進(jìn)行網(wǎng)絡(luò)流量監(jiān)控，大多數(shù)組織都是基于不同的業(yè)務(wù)系統(tǒng)通過VLAN來進(jìn)行邏輯隔離的，所以可以通過流量分析系統(tǒng)針對不同的VLAN 來對不同的業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流量進(jìn)行監(jiān)控。例如: Cisco NetFlow V5可以針對不同的VLAN進(jìn)行流量監(jiān)控。

4. 網(wǎng)絡(luò)異常流量分析。異常流量分析系統(tǒng)支持異常流量發(fā)現(xiàn)和報(bào)警，能夠通過對一個(gè)時(shí)間窗內(nèi)歷史數(shù)據(jù)的自動(dòng)學(xué)習(xí)，獲取包括總體網(wǎng)絡(luò)流量水平、流量波動(dòng)、流量跳變等在內(nèi)的多種網(wǎng)絡(luò)流量測度，并自動(dòng)建立當(dāng)前流量的置信度區(qū)間作為流量異常監(jiān)測的基礎(chǔ)。通過積極主動(dòng)鑒定和防止針對網(wǎng)絡(luò)的安全威脅，保證了服務(wù)水平協(xié)議(SLA)并且改進(jìn)顧客服務(wù), 從而為組織節(jié)約成本。

抗擊異常流量系統(tǒng)必須完備，網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)流比較大，而且復(fù)雜，如果抗異常流量系統(tǒng)不完備，當(dāng)網(wǎng)絡(luò)流量異常時(shí)或遭大規(guī)模DDOS攻擊時(shí)，就很難有應(yīng)對措施。

5. 應(yīng)用服務(wù)異常流量分析。當(dāng)應(yīng)用層出現(xiàn)異常流量時(shí)，通過IDS&IPS;的協(xié)議分析、協(xié)議識別技術(shù)可以對應(yīng)用層進(jìn)行深層的流量分析，并通過IPS的安全防護(hù)技術(shù)進(jìn)行反擊。

網(wǎng)絡(luò)QoS

合理的QoS配置會(huì)增加網(wǎng)絡(luò)的可用性，保證數(shù)據(jù)的完整性和安全性，因此應(yīng)對網(wǎng)絡(luò)系統(tǒng)的帶寬、時(shí)延、時(shí)延抖動(dòng)和分組丟失率等方面進(jìn)行深入分析，進(jìn)行QoS配置來優(yōu)化網(wǎng)絡(luò)系統(tǒng)。應(yīng)考慮的安全點(diǎn)主要有:

1. 采用RSVP協(xié)議。RSVP使IP網(wǎng)絡(luò)為應(yīng)用提供所要求的端到端的QoS保證。

2. 采用路由匯聚。路由器把QoS需求相近的業(yè)務(wù)流看成一個(gè)大類進(jìn)行匯聚，減少流量交疊，保證QoS。

3. 采用MPLSVPN技術(shù)。多協(xié)議標(biāo)簽交換(MPLS)將靈活的3層IP選路和高速的2層交換技術(shù)完美地結(jié)合起來，從而彌補(bǔ)了傳統(tǒng)IP網(wǎng)絡(luò)的許多缺陷。

4. 采用隊(duì)列技術(shù)和流量工程。隊(duì)列技術(shù)主要有隊(duì)列管理機(jī)制、隊(duì)列調(diào)度機(jī)制、CAR和流量工程。

5. QoS路由。QoS路由的主要目標(biāo)是為接入的業(yè)務(wù)選擇滿足其服務(wù)質(zhì)量要求的傳輸路徑，同時(shí)保證網(wǎng)絡(luò)資源的有效利用路由選擇。

6. 應(yīng)保證正常應(yīng)用的連通性。保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的性能不因網(wǎng)絡(luò)設(shè)備上的策略配置而有明顯下降，特別是一些重要應(yīng)用系統(tǒng)。

7. 通過對不同服務(wù)類型數(shù)據(jù)流的帶寬管理，保證正常服務(wù)有充足的帶寬，有效抵御各種拒絕服務(wù)類型的攻擊。

網(wǎng)絡(luò)的規(guī)范性

應(yīng)考慮的安全點(diǎn)主要有:

1. IP地址規(guī)劃是否合理，IP地址規(guī)劃是否連續(xù)，在不同的業(yè)務(wù)系統(tǒng)采用不同的網(wǎng)段，便于以后網(wǎng)絡(luò)IP調(diào)整。

2. 網(wǎng)絡(luò)設(shè)備命名是否規(guī)范，是否有統(tǒng)一的命名原則，并且很容易區(qū)分各個(gè)設(shè)備的。

3. 應(yīng)合理設(shè)計(jì)網(wǎng)絡(luò)地址，應(yīng)充分考慮地址的連續(xù)性管理以及業(yè)務(wù)流量分布的均衡性。

4. 網(wǎng)絡(luò)系統(tǒng)建設(shè)是否規(guī)范，包括機(jī)房、線纜、配電等物理安全方面，是否采用標(biāo)準(zhǔn)材料和進(jìn)行規(guī)范設(shè)計(jì)，設(shè)備和線纜是否貼有標(biāo)簽。

5. 網(wǎng)絡(luò)設(shè)備名稱應(yīng)具有合理的命名體系和名稱標(biāo)識，便于網(wǎng)管人員迅速準(zhǔn)確識別，所有網(wǎng)絡(luò)端口應(yīng)進(jìn)行充分描述和標(biāo)記。

6. 應(yīng)對所有網(wǎng)絡(luò)設(shè)備進(jìn)行資產(chǎn)登記，登記記錄上應(yīng)該標(biāo)明硬件型號、廠家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號、安裝和升級的時(shí)間等內(nèi)容。

7. 所有網(wǎng)絡(luò)設(shè)備旁都必須以清晰可見的形式張貼類似聲明: “嚴(yán)格禁止未經(jīng)授權(quán)使用此網(wǎng)絡(luò)設(shè)備。

8. 應(yīng)制定網(wǎng)絡(luò)設(shè)備用戶賬號的管理制度，對各個(gè)網(wǎng)絡(luò)設(shè)備上擁有用戶賬號的人員、權(quán)限以及賬號的認(rèn)證和管理方式做出明確規(guī)定。對于重要網(wǎng)絡(luò)設(shè)備應(yīng)使用Radius或者TACACS+的方式實(shí)現(xiàn)對用戶的集中管理。

網(wǎng)絡(luò)設(shè)備安全

對設(shè)備本身安全進(jìn)行配置，并建設(shè)完備的安全保障體系，包括: 使用訪問控制、身份驗(yàn)證配置; 關(guān)閉不必要的端口、服務(wù)、協(xié)議; 用戶名口令安全、權(quán)限控制、驗(yàn)證; 部署安全產(chǎn)品等。應(yīng)考慮的安全點(diǎn)主要有:

1. 安全配置是否合理，路由、交換、防火、IDS等網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全產(chǎn)品的不必要的服務(wù)、端口、協(xié)議是否關(guān)閉，網(wǎng)絡(luò)設(shè)備的安全漏洞及其脆弱的安全配置方面的優(yōu)化，如路由器的安全漏洞、訪問控制設(shè)置不嚴(yán)密、數(shù)據(jù)傳輸未加密、網(wǎng)絡(luò)邊界未完全隔離等。

2. 在網(wǎng)絡(luò)建設(shè)完成、測試通過、投入使用前，應(yīng)刪除測試用戶和口令，最小化合法用戶的權(quán)限，最優(yōu)化系統(tǒng)配置。

3. 在接入層交換機(jī)中，對于不需要用來進(jìn)行第三層連接的端口，通過設(shè)置使其屬于相應(yīng)的 VLAN，應(yīng)將所有空閑交換機(jī)端口設(shè)置為 Disable，防止空閑的交換機(jī)端口被非法使用。

4. 應(yīng)盡量保持防火墻規(guī)則的清晰與簡潔，并遵循“默認(rèn)拒絕，特殊規(guī)則靠前，普通規(guī)則靠后，規(guī)則不重復(fù)”的原則，通過調(diào)整規(guī)則的次序進(jìn)行優(yōu)化。

5. 應(yīng)為不同的用戶建立相應(yīng)的賬號，根據(jù)對網(wǎng)絡(luò)設(shè)備安裝、配置、升級和管理的需要為用戶設(shè)置相應(yīng)的級別，并對各個(gè)級別用戶能夠使用的命令進(jìn)行限制，嚴(yán)格遵循“不同權(quán)限的人執(zhí)行不同等級的命令集”。同時(shí)對網(wǎng)絡(luò)設(shè)備中所有用戶賬號進(jìn)行登記備案

6. 應(yīng)制訂網(wǎng)絡(luò)設(shè)備用戶賬號口令的管理策略，對口令的選取、組成、長度、保存、修改周期以及存儲做出規(guī)定。

7. 使用強(qiáng)口令認(rèn)證，對于不宜定期更新的口令，如SNMP字串、VTP認(rèn)證密碼、動(dòng)態(tài)路由協(xié)議認(rèn)證口令等，其口令強(qiáng)度應(yīng)大于12位，并由數(shù)字、大小寫字母和特殊字符共同組成。

8. 設(shè)置網(wǎng)絡(luò)登錄連接超時(shí)，例如，超過60秒無操作應(yīng)自動(dòng)退出。

9. 采用帶加密保護(hù)的遠(yuǎn)程訪問方式，如用SSH代替Telnet。

10. 嚴(yán)格禁止非本系統(tǒng)管理人員直接進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作，若在特殊情況下（如系統(tǒng)維修、升級等）需要外部人員（主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師、安全管理員等）進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作時(shí)，必須由本系統(tǒng)管理員登錄，并對操作全過程進(jìn)行記錄備案。

11. 對設(shè)備進(jìn)行安全配置和變更管理，并且對設(shè)備配置和變更的每一步更改，都必須進(jìn)行詳細(xì)的記錄備案。

12. 安全存放路由器的配置文件，保護(hù)配置文件的備份和不被非法獲取。

13. 應(yīng)立即更改相關(guān)網(wǎng)絡(luò)設(shè)備默認(rèn)的配置和策略。

14. 應(yīng)充分考慮網(wǎng)絡(luò)建設(shè)時(shí)對原有網(wǎng)絡(luò)的影響，并制定詳細(xì)的應(yīng)急計(jì)劃，避免因網(wǎng)絡(luò)建設(shè)出現(xiàn)意外情況造成原有網(wǎng)絡(luò)的癱瘓。

15. 關(guān)鍵業(yè)務(wù)數(shù)據(jù)在傳輸時(shí)應(yīng)采用加密手段，以防止被監(jiān)聽或數(shù)據(jù)泄漏。

16. 對網(wǎng)絡(luò)設(shè)備本身的擴(kuò)展性、性能和功能、網(wǎng)絡(luò)負(fù)載、網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)背板等方面應(yīng)充分考慮。設(shè)備功能的有效性與部署、配置及管理密切相關(guān)，倘若功能具備卻沒有正確配置及管理，就不能發(fā)揮其應(yīng)有的作用。

17. 網(wǎng)絡(luò)安全技術(shù)體系建設(shè)主要包括安全評估、安全防護(hù)、入侵檢測、應(yīng)急恢復(fù)四部分內(nèi)容，要對其流程完備性進(jìn)行深入分析。

18. 安全防護(hù)體系是否堅(jiān)固，要分析整個(gè)網(wǎng)絡(luò)系統(tǒng)中是否部署了防火墻及VPN系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描系統(tǒng)、IDS&IPS;系統(tǒng)、流量負(fù)載均衡系統(tǒng)部署、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)層驗(yàn)證系統(tǒng)、動(dòng)態(tài)口令認(rèn)證系統(tǒng)，各個(gè)安全系統(tǒng)之間的集成是否合理。

19. 應(yīng)安全存放防火墻的配置文件，專人保管，保護(hù)配置文件不被非法獲取。

20. 及時(shí)檢查入侵檢測系統(tǒng)廠商的規(guī)則庫升級信息，離線下載或使用廠商提供的定期升級包對規(guī)則庫進(jìn)行升級。具體包括:

● 查看硬件和軟件系統(tǒng)的運(yùn)行情況是否正常、穩(wěn)定;

● 查看OS版本和補(bǔ)丁是否最新;

● OS是否存在已知的系統(tǒng)漏洞或者其他安全缺陷。

網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理和監(jiān)控系統(tǒng)是整個(gè)網(wǎng)絡(luò)安全防護(hù)手段中的重要部分，網(wǎng)絡(luò)管理應(yīng)該遵循SDLC(生命周期)的原則，從網(wǎng)絡(luò)架構(gòu)前期規(guī)劃、網(wǎng)絡(luò)架構(gòu)開發(fā)建設(shè)到網(wǎng)絡(luò)架構(gòu)運(yùn)行維護(hù)、網(wǎng)絡(luò)架構(gòu)系統(tǒng)廢棄都應(yīng)全面考慮安全問題，這樣才能夠全面分析網(wǎng)絡(luò)系統(tǒng)存在的風(fēng)險(xiǎn)。應(yīng)考慮的安全點(diǎn)主要有:

1. 網(wǎng)絡(luò)設(shè)備網(wǎng)管軟件的部署和網(wǎng)絡(luò)安全網(wǎng)管軟件的部署; 部署監(jiān)控軟件對內(nèi)部網(wǎng)絡(luò)的狀態(tài)、網(wǎng)絡(luò)行為和通信內(nèi)容進(jìn)行實(shí)時(shí)有效的監(jiān)控，既包括對網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)違規(guī)操作、惡意攻擊行為、惡意代碼傳播等現(xiàn)象進(jìn)行有效地發(fā)現(xiàn)和阻斷，又包括對網(wǎng)絡(luò)進(jìn)行的安全漏洞評估。

2. 確認(rèn)網(wǎng)絡(luò)安全技術(shù)人員是否定期通過強(qiáng)加密通道進(jìn)行遠(yuǎn)程登錄監(jiān)控網(wǎng)絡(luò)狀況。

3. 應(yīng)盡可能加強(qiáng)網(wǎng)絡(luò)設(shè)備的安全管理方式，例如應(yīng)使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定遠(yuǎn)程登錄的超時(shí)時(shí)間、遠(yuǎn)程管理的用戶數(shù)量、遠(yuǎn)程管理的終端IP地址，同時(shí)進(jìn)行嚴(yán)格的身份認(rèn)證和訪問權(quán)限的授予，并在配置完后，立刻關(guān)閉此類遠(yuǎn)程連接; 應(yīng)盡可能避免使用SNMP協(xié)議進(jìn)行管理。如果的確需要，應(yīng)使用V3版本替代V1、V2版本，并啟用MD5等驗(yàn)證功能。進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)設(shè)置控制口和遠(yuǎn)程登錄口的超時(shí)時(shí)間，讓控制口和遠(yuǎn)程登錄口在空閑一定時(shí)間后自動(dòng)斷開。

4. 及時(shí)監(jiān)視、收集網(wǎng)絡(luò)以及安全設(shè)備生產(chǎn)廠商公布的軟件以及補(bǔ)丁更新，要求下載補(bǔ)丁程序的站點(diǎn)必須是相應(yīng)的官方站點(diǎn)，并對更新軟件或補(bǔ)丁進(jìn)行評測，在獲得信息安全工作組的批準(zhǔn)下，對生產(chǎn)環(huán)境實(shí)施軟件更新或者補(bǔ)丁安裝。

5. 應(yīng)立即提醒信息安全工作組任何可能影響網(wǎng)絡(luò)正常運(yùn)行的漏洞，并及時(shí)評測對漏洞采取的對策，在獲得信息安全工作組的批準(zhǔn)的情況下，對生產(chǎn)環(huán)境實(shí)施評測過的對策，并將整個(gè)過程記錄備案。

6. 應(yīng)充分考慮設(shè)備認(rèn)證、用戶認(rèn)證等認(rèn)證機(jī)制，以便在網(wǎng)絡(luò)建設(shè)時(shí)采取相應(yīng)的安全措施。

7. 應(yīng)定期提交安全事件和相關(guān)問題的管理報(bào)告，以備管理層檢查，以及方便安全策略、預(yù)警信息的順利下發(fā)。檢測和告警信息的及時(shí)上報(bào)，保證響應(yīng)流程的快速、準(zhǔn)確而有效。

8. 系統(tǒng)開發(fā)建設(shè)人員在網(wǎng)絡(luò)建設(shè)時(shí)應(yīng)嚴(yán)格按照網(wǎng)絡(luò)規(guī)劃中的設(shè)計(jì)進(jìn)行實(shí)施，需要變更部分，應(yīng)在專業(yè)人士的配合下，經(jīng)過嚴(yán)格的變更設(shè)計(jì)方案論證方可進(jìn)行。

9. 網(wǎng)絡(luò)建設(shè)的過程中，應(yīng)嚴(yán)格按照實(shí)施計(jì)劃進(jìn)行，并對每一步實(shí)施，都進(jìn)行詳細(xì)記錄，最終形成實(shí)施報(bào)告。

10. 網(wǎng)絡(luò)建設(shè)完成投入使用前，應(yīng)對所有組件包括設(shè)備、服務(wù)或應(yīng)用進(jìn)行連通性測試、性能測試、安全性測試，并做詳細(xì)記錄，最終形成測試報(bào)告。測試機(jī)構(gòu)應(yīng)由專業(yè)的信息安全測試機(jī)構(gòu)或第三方安全咨詢機(jī)構(gòu)進(jìn)行。

11. 應(yīng)對日常運(yùn)維、監(jiān)控、配置管理和變更管理在職責(zé)上進(jìn)行分離，由不同的人員負(fù)責(zé)。

12. 應(yīng)制訂網(wǎng)絡(luò)設(shè)備日志的管理制定，對于日志功能的啟用、日志記錄的內(nèi)容、日志的管理形式、日志的審查分析做明確的規(guī)定。對于重要網(wǎng)絡(luò)設(shè)備，應(yīng)建立集中的日志管理服務(wù)器，實(shí)現(xiàn)對重要網(wǎng)絡(luò)設(shè)備日志的統(tǒng)一管理，以利于對網(wǎng)絡(luò)設(shè)備日志的審查分析。

13. 應(yīng)保證各設(shè)備的系統(tǒng)日志處于運(yùn)行狀態(tài)，每兩周對日志做一次全面的分析，對登錄的用戶、登錄時(shí)間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時(shí)應(yīng)及時(shí)向信息安全工作組報(bào)告。

14. 對防火墻管理必須經(jīng)過安全認(rèn)證，所有的認(rèn)證過程都應(yīng)記錄。認(rèn)證機(jī)制應(yīng)綜合使用多種認(rèn)證方式，如密碼認(rèn)證、令牌認(rèn)證、會(huì)話認(rèn)證、特定IP地址認(rèn)證等。

15. 應(yīng)設(shè)置可以管理防火墻的IP范圍，對登錄防火墻管理界面的權(quán)限進(jìn)行嚴(yán)格限制。

16. 在防火墻和入侵檢測系統(tǒng)聯(lián)動(dòng)的情況下，最好是手工方式啟用聯(lián)動(dòng)策略，以避免因入侵檢測系統(tǒng)誤報(bào)造成正常訪問被阻斷。

17. 部署安全日志審計(jì)系統(tǒng)。安全日志審計(jì)是指對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量、運(yùn)行狀況等進(jìn)行全面的監(jiān)測、分析、評估，通過這些記錄來檢查、發(fā)現(xiàn)系統(tǒng)或用戶行為中的入侵或異常。目前的審計(jì)系統(tǒng)可以實(shí)現(xiàn)安全審計(jì)數(shù)據(jù)的輸入、查詢、統(tǒng)計(jì)等功能。

18. 安全審計(jì)內(nèi)容包括操作系統(tǒng)的審計(jì)、應(yīng)用系統(tǒng)的審計(jì)、設(shè)備審計(jì)、網(wǎng)絡(luò)應(yīng)用的審計(jì)等。操作系統(tǒng)的審計(jì)、應(yīng)用系統(tǒng)的審計(jì)以及網(wǎng)絡(luò)應(yīng)用的審計(jì)等內(nèi)容本文不再贅述。在此僅介紹網(wǎng)絡(luò)設(shè)備中路由器的審計(jì)內(nèi)容：操作系統(tǒng)軟件版本、路由器負(fù)載、登錄密碼有無遺漏，enable 密碼、telnet 地址限制、HTTP安全限制、SNMP有無安全隱患; 是否關(guān)閉無用服務(wù); 必要的端口設(shè)置、Cisco發(fā)現(xiàn)協(xié)議（CDP協(xié)議）; 是否已修改了缺省旗標(biāo)（BANNER）、日志是否開啟、是否符合設(shè)置RPF的條件、設(shè)置防SYN攻擊、使用CAR（Control Access Rate）限制ICMP包流量; 設(shè)置SYN數(shù)據(jù)包流量控制（非核心節(jié)點(diǎn)）。

19. 通過檢查性審計(jì)和攻擊性審計(jì)兩種方式分別對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面審計(jì)。

20. 應(yīng)對網(wǎng)絡(luò)設(shè)備物理端口、CPU、內(nèi)存等硬件方面的性能和功能進(jìn)行監(jiān)控和管理。

● 系統(tǒng)維護(hù)中心批準(zhǔn)后，根據(jù)實(shí)際應(yīng)用情況提出接入需求和方案，向信息安全工作組提交接入申請;

● 由申請人進(jìn)行非上線實(shí)施測試，并配置其安全策略;

● 信息安全員對安全配置進(jìn)行確認(rèn)，檢查安全配置是否安全，若安全則進(jìn)入下一步，否則重新進(jìn)行配置。

21. 網(wǎng)絡(luò)設(shè)備廢棄的安全考慮應(yīng)有一套完整的流程，防止廢棄影響到網(wǎng)絡(luò)運(yùn)行的穩(wěn)定。任何網(wǎng)絡(luò)設(shè)備的廢棄都應(yīng)進(jìn)行記錄備案，記錄內(nèi)容應(yīng)包括廢棄人、廢棄時(shí)間、廢棄原因等。