e政府信息安全管理整体解决方案.ppt

e政府信息安全管理整体解决方案 广东天海威数码技术有限公司陈伟纯 蓝盾安全小组 目录 第一章导言第二章网络概况第三章网络安全威胁和风险分析第四章蓝盾政府解决方案 蓝盾安全小组 第一章导言 改革开放的中国在迎来经济高速发展的同时 也进入了信息高速公路发展时期 网络的应用从小范围小规模迅速扩展到各行各业 特别是政府 金融 公安 电信等行业 开放的互联网带给人们方便快捷信息交流的同时 伴随着网络的普及 信息安全问题日益突出 已经是刻不容缓有待解决的问题 政府肩负着国家的管理与经济的宏观调控 政府部门交流的信息往往是涉及政治经济机密的 信息安全问题 如敏感信息的泄露 黑客的侵入 网络资源的非法使用以及计算机病毒等都将对政府的正常工作带来严重的威胁 甚至影响到国家的长治久安 为此对政府的网络进行严格的安全设计是必不可少的 广东天海威数码技术有限公司成立于1999年 以软件工程国家工程研究中心 中山大学 华南理工大学 华南师范大学为依托 专业从事网络安全产品的研究 开发 生产 本公司在2001年8月被软件工程国家工程研究中心专门指定网络安全认证培训基地 公司生产的蓝盾系列硬件防火墙通过国家公安部 保密委 北方计算中心等权威机构的认证 并在公安 金融 财税 教育 电信 保险等行业有着广泛的应用 受到广大客户的一致好评 蓝盾安全小组 公司简介 第二章网络概况 一 政府网络结构1 政府内部办公网 计算机 服务器 计算机 省厅 省厅直属单位 省厅直属单位 省局 县级 县级 县级 市级 市级 服务器 县级 蓝盾安全小组 DDN X25 FR DMZ服务器 蓝盾安全小组 内网LAN 部门办公室 远程访问服务器 防火墙 拨号 移动用户 2政府与internet互联 边界路由器 专线 政府与internet互联拓朴分析 1 不充分的边界路由器访问控制 配置不当的路由器ACL会使得透过ICMP IP和NetBIOS发生信息成为可能 从而导致对DMZ上服务器提供的服务进行未经授权的访问 2 没有施行安全措施且无人监管的远程访问点提供访问目标站点公司网络的最简易方式之一 3 过度的信任关系 例如NT的DomainTrusts和UNI的 rhosts和hosts equiv文件 能够给攻击者提供未经授权访问敏感信息的能力 4 具有过度特权的用户账号或测试账号 5 没有打过补丁的 过时的 脆弱的或遗留在缺省配置状态的软件 6 缺乏采纳已经被接受的并被广泛散布的安全策略 规范和指导 7 过度的文件的目录访问控制 NT共享资源 UNIXNFS导出清单 8 不加认证的服务 例如XWindows允许用户捕捉远程键击 9 工作站级别脆弱的 易于猜中的和重用的密码会给服务器带来被侵害的厄运 10 配置不当的因特网服务器 特别是Web服务器上的CGI脚本和匿名FTP 11 配置不当的防火墙或路由器ACL允许直接某个DMZ上服务器后访问内部系统 12 运行并非必要的服务 例如RPC FTP DNS SMTP 的主机很容易被侵害 13 信息泄漏给攻击者提供操作系统和应用程序版本 用户 用户组 共享资源 DNS信息 通过区域传送到 以及运行中的服务 例如SNMP finger SMTP telnet NetBIOS 等信息 14 在网络和主机级别不充足的记录 监视和检测能力 第三章网络安全威胁与风险分析 1 操作系统风险分析WIN2000系统 Ftp internet win2000服务器 黑客电脑 蓝盾安全小组 WINDOWSFTP服务漏洞 FTP即文件传输协议 FileTransferProtocol 是当前最常用的协议之一 它允许往远程系统上传或从远程系统下载文件 FTP还往往被滥用来获取对于远程系统的访问权或存放非法取得的文件 许多FTP服务器允许匿名访问 使得任何用户无需认证就能登录到这些FTP服务器中 一般情况下匿名FTP能够访问的文件系统仅限于整个目录树的特定分支 然而偶然情况下匿名FTP服务器会允许用户越整个目录结构 这么一来攻击者就能取走 etc passwd之类敏感的配置文件了 使得这种情形更为恶化的是 许多FTP服务器拥有任何用户都可以写目录 任何用户都可写的目录与匿名访问结合的后果是等着发生安全事件 攻击者出许有能力往某个用户的主目录 homedirectory 中放置一个 rhosts文件 以允许攻击者rlogin到目标系统 另外 许多FTP服务器还被软件海盗们滥用来存入非法掠夺物到隐藏的目录中 如果你的网络利用率一天之内翻了三倍 那么它可能表征你的系统正被别人用来转移最近累积的赃物 除了与允许匿名访问关联的危险外 FTP服务器程序在与缓冲区溢出条件和其它不安全因素相关的安全问题中出占有自己的相当份额 Unix系统 unix服务器 Udp internet 黑客电脑 蓝盾安全小组 2 应用的风险分析IISUNICODE漏洞WIN2000 NT的IIS的UNICODE漏洞 WIN2000的ISAPI扩展远程溢出漏洞 null idaWIN2000的ISAPI扩展远程溢出漏洞 null idqIIS5 0 printer远程缓冲区溢出漏洞 蓝盾安全小组 CGI漏洞IISCGI文件名二次解码漏洞 vti bin 35 63 35 63 35 63 35 63 35 63 winnt system32 cmd exe c dir vti bin 35c 35c 35c 35c 35c winnt system32 cmd exe c dir 蓝盾安全小组 电子邮件电子邮件为网系统用户提供电子邮件应用 内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马 病毒程序等 由于许多用户安全意识比较淡薄 对一些来历不明的邮件 没有警惕性 给入侵者提供机会 给系统带来不安全因至素 蓝盾安全小组 资源共享政府网络系统内部必有自动化办公系统 而办公网络应用通常是共享网络资源 比如文件共享 打印机共享等 由此就可能存在着 员工有意 无意把硬盘中重要信息目录共享 长期暴露在网络邻居上 可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密 因为缺少必要的访问控制策略 蓝盾安全小组 3 病毒红色代码病毒CodeRed采用了一种叫做 缓存区溢出 的黑客技术 利用网络上使用微软IIS系统的服务器来进行蠕虫的传播 这个蠕虫蠕虫使用服务器的端口80进行传播 而这个端口正是Web服务器与浏览器进行信息交流的渠道 蓝盾安全小组 4 其它安全风险物理风险 蓝盾安全小组 链路风险 黑客电脑 蓝盾安全小组 第四章蓝盾政府解决方案 1 蓝盾防火墙和入侵检测解决方案入侵检测系统置于防火墙之后 保护服务器群及内部网络敏感区如下图所示 蓝盾安全小组 蓝盾入侵检测BDNIDS 普通区域内部网 敏感区域内部网 蓝盾防火墙 服务器群 引警 引警 入侵检测服务器 蓝盾安全小组 蓝盾入侵检测系统是一种实时的网络入侵检测和响应系统 它能够实时监控网络传输 自动检测可疑行为 分析来自网络外部和内部的入侵信号 在系统受到危害之前发出警告 实时对攻击作出反应 并提供补救措施 最大程度地为网络系统提供安全保障 蓝盾入侵检测系统由两部分组成 控制中心和检测引擎 蓝盾入侵检测系统控制中心是整个入侵检测系统的控制部分 它负责接收网络上多个检测引擎传回的多种信息 处理这些信息 并提供入侵预警 控制中心还负责控制检测引擎系统的运行 提供对报警信息 原始网络信息的记录和检索 统计等功能 蓝盾入侵检测系统检测引擎实际是系统运行的核心 它监听该引擎所在的物理网络上的所有通信信息 并分析这些网络通信信息 将分析结果与检测引擎上运行的策略集相匹配 依照匹配结果对网络信息的交换执行报警 阻断 日志等功能 同时它还需要完成对控制中心指令的接收和响应工作 蓝盾入侵检测系统的检测引擎部分是由策略驱动的网络监听和分析系统 蓝盾入侵检测系统 蓝盾安全小组 2 VPN和移动办公 PSTN FWVPN FWVPN 公司总部 分公司 移动用户 Internet 蓝盾安全小组 3 蓝盾网络监控和救援中心解决方案 蓝盾防火墙 前端 Modem 服务器 内网 Modem池 PSTN 数据服务器 监控服务器二 多功能终端 多功能终端 Internet 监控救援中心 监控目标 网络监控及救援中心托扑结构图 监控服务器一 服务器 蓝盾安全小组 结束语 政府的信息安全是一个值得广泛关注的问题 我们将尽全力为e时代的政府信息安全管理作出自己贡献 谢谢各位领导 各位来宾 Thanks 蓝盾安全小组