1、【最新資料,Word版）可自由編輯！】目錄2自治區(qū)煙草公司業(yè)務(wù)網(wǎng)絡(luò)現(xiàn)狀及需求分析 3信息安全規(guī)劃思路 信息安全目標(biāo)和工作思路 信息安全建設(shè)主要任務(wù)4第一階段-迫切階段 加強區(qū)公司與地州公司的邊界訪問捽制 解決區(qū)公司的網(wǎng)頁安全問題 提升入侵防御能力 加強對區(qū)公司、地州終端的桌面管理能力 解決VPN系統(tǒng)的更新并且有效過渡的問題 提升區(qū)公司及地州公司對網(wǎng)絡(luò)可管理的能力 加強對上網(wǎng)行為審計的能力5第二階段信息安全建設(shè)方案 建設(shè)原則 遵照的標(biāo)準(zhǔn)或規(guī)范 安全建設(shè)的思路和方法 安全域建設(shè) 安全域基本概念 安全域劃分的原則 安全域理論 統(tǒng)一認(rèn)證授權(quán)系統(tǒng)技術(shù)方案 自治區(qū)煙草公司網(wǎng)絡(luò)安全評估6第三階段信息安全建設(shè)

2、方案 建設(shè)內(nèi)容 建設(shè)需求 4A統(tǒng)一管理平臺建設(shè)方案 統(tǒng)一日志審計子系統(tǒng)技術(shù)方案 功能概述 安全日志采集 安全日志多維分析 安全日志實時展現(xiàn) 報表分析 審計策略配置 系統(tǒng)平臺和應(yīng)用系統(tǒng)安全建設(shè)方案 認(rèn)證、授權(quán)與行為審計的基本概念 認(rèn)證、授權(quán)與行為審計體系的建設(shè)原則 實施效果 綜合信息安全支撐平臺的概念 綜合安全支撐平臺的建設(shè)原則 實施效果7第四階段信息安全建設(shè)方案 建設(shè)內(nèi)容 建設(shè)方案 信息安全管理體系規(guī)劃制定 自治區(qū)煙草公司信息安全體系規(guī)劃建議 安全策略體系 三年規(guī)劃建設(shè)任務(wù)概述煙草行業(yè)信息安全保障體系是行業(yè)信息化健康發(fā)展的基礎(chǔ)和保障，是行業(yè)各 級數(shù)據(jù)中心的重要組成部分。為推進行業(yè)信息安全保障體

3、系建設(shè)，提高信息安全 管理水平和保障能力，自治區(qū)煙草公司結(jié)合本單位實際情況認(rèn)真落實煙草行業(yè) 信息安全保障體系建設(shè)指南的各項要求，構(gòu)建“組織機制、規(guī)章制度、技術(shù)架 構(gòu)”三位一體的信息安全保障體系，做到信息安全工作與信息化建設(shè)同步規(guī)劃、 同步建設(shè)、協(xié)調(diào)發(fā)展。自治區(qū)煙草公司業(yè)務(wù)網(wǎng)絡(luò)現(xiàn)狀及需求分析自治區(qū)煙草公司業(yè)務(wù)網(wǎng)絡(luò)是全省業(yè)務(wù)辦公與通信的基礎(chǔ)和支撐平臺，整個信 息系統(tǒng)目前存在諸多安全隱患：1）沒有一個完整的信息安全體系，不能對煙草公司信息安全程度進行有效評 估。2）缺少完整的安全管理制度規(guī)范，一旦發(fā)生安全問題，沒有解決依據(jù)。3）安全域劃分不清晰，網(wǎng)絡(luò)安全邊界防護采取的技術(shù)比較單一；防火墻只能基 于端

4、口和流量進行控制，卻無法防御復(fù)雜的攻擊和入侵。4）內(nèi)部信息系統(tǒng)所存在的安全漏洞和隱患，不能及時發(fā)現(xiàn)；對于網(wǎng)絡(luò)而言， 內(nèi)外網(wǎng)互連私接的情況不能進行有效監(jiān)控。5）終端安全沒有保障，缺乏統(tǒng)一終端管理平臺。無法有效的對煙草公司網(wǎng)絡(luò) 進行準(zhǔn)入控制，致使網(wǎng)絡(luò)接入存在一定的風(fēng)險。6）沒有數(shù)據(jù)安全保障體系，數(shù)據(jù)的傳輸和存儲都沒辦法保證不被竊取。7）沒有一個統(tǒng)一的員工身份管理系統(tǒng)，無法做到各類內(nèi)部權(quán)限的細(xì)分，以及 信息安全的加密以及事前、事中、事后的審計。8）缺乏主機和應(yīng)用系統(tǒng)安全保障機制，沒有及時發(fā)現(xiàn)和彌補系統(tǒng)的漏洞和弱 點，存在大量弱口令等問題。9）沒有統(tǒng)一的審計和響應(yīng)機制，即便是發(fā)生攻擊事件無法快速定位到

5、源頭， 并進行針對性的解決。信息安全規(guī)劃思路信息安全目標(biāo)和工作思路我們應(yīng)該按照信息安全總體規(guī)劃，從信息安全管理、信息安全風(fēng)險控制、信 息安全技術(shù)等方面入手，采用先進可行的技術(shù)手段和管理理念，逐步建成全面、 完整、有效的一套信息安全體系。通過系統(tǒng)化的安全技術(shù)和安全管理建設(shè)，自治區(qū)煙草公司逐步形成安全管理 規(guī)范和安全體系架構(gòu)，逐步有機的融合安全技術(shù)和安全管理，使自治區(qū)煙草公司 的安全建設(shè)逐漸成熟，為整個業(yè)務(wù)的正常運行提供強有力的支持和保障。信息化安全體系建設(shè)過程中應(yīng)遵循以下工作思路：? “分級保護”原則：應(yīng)根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度以及面臨的風(fēng)險大小 等因素決定各類信息的安全保護級別，分級保護，合理

6、投資。? “三分技術(shù)、七分管理”原則：煙草公司信息安全不是單純的技術(shù)問 題，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不斷完善各類 安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。? “內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部威脅的同 時，加強規(guī)范內(nèi)部人員行為和審計機制。? “整體規(guī)劃，分步實施”原則：需要對煙草公司信息安全建設(shè)進行整體 規(guī)劃，分步實施，逐步建立完善的信息安全體系。? “風(fēng)險管理”原則：進行安全風(fēng)險管理，確認(rèn)可能影響信息系統(tǒng)的安全 風(fēng)險，并以較低的成本將其降低到可接受的水平?！斑m度安全”原則：沒有絕對的安全，安全和易用性是矛盾的，需要做到適 度安全，找到安全和

7、易用性的平衡點信息安全建設(shè)主要任務(wù)基于企業(yè)信息安全逐步建設(shè)和節(jié)省投資的考慮，自治區(qū)煙草公司信息安全建 設(shè)采用分階段實施的方式，按照各種安全技術(shù)和安全管理在安全建設(shè)體系中的優(yōu) 先地位進行安全建設(shè)。具體實施步驟如下圖所示：安全建設(shè)階段和內(nèi)容1-第一階段一一緊迫階段按照本次自治區(qū)煙草公司安全建設(shè)的要求，主要是對自治區(qū)煙草公司網(wǎng)絡(luò)中 的服務(wù)器群區(qū)域進行安全防護，尤其是對辦公業(yè)務(wù)網(wǎng)進行安全防護。建設(shè)要求本次網(wǎng)絡(luò)基礎(chǔ)安全建設(shè)主要考慮安全域劃分和加強安全邊界防護措施，優(yōu)先 考慮辦公業(yè)務(wù)網(wǎng)出口的安全問題。辦公業(yè)務(wù)網(wǎng)中有自治區(qū)煙草公司網(wǎng)絡(luò)中重要的 服務(wù)器群，保證這些服務(wù)器的安全是保障自治區(qū)煙草公司網(wǎng)絡(luò)安全的基礎(chǔ)

8、。因此 在辦公業(yè)務(wù)網(wǎng)與核心交換區(qū)的邊界處，應(yīng)采用多種安全技術(shù)和手段來防范外來的 威脅。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護、網(wǎng)絡(luò)邊界防病 毒、內(nèi)容安全等方面。第二階段一一加強階段安全建設(shè)第一階段成功結(jié)束后，網(wǎng)絡(luò)狀態(tài)可以達(dá)到相對安全的狀態(tài)。在第二 階段的安全建設(shè)中需要考慮加強手段。主要從安全日志審計、系統(tǒng)平臺和應(yīng)用系 統(tǒng)安全兩個方面展開。(1)安全日志審計系統(tǒng)第一階段部署了大量的安全產(chǎn)品。這些安全產(chǎn)品和大量的網(wǎng)絡(luò)產(chǎn)品以及應(yīng)用 系統(tǒng)產(chǎn)生海量的日志和事件，尤其是入侵檢測之類的安全產(chǎn)品，每天的事件量巨 大，靠人工的方式很難檢索所有的事件，如漏掉重要事件很可能會帶來較大損 失，鑒于此，需要

9、部署統(tǒng)一的日志審計管理平臺。這個平臺能夠收集所有網(wǎng)絡(luò)產(chǎn) 品、安全產(chǎn)品、主機以及應(yīng)用系統(tǒng)的日志和安全事件，對其進行規(guī)范化處理，根 據(jù)審計規(guī)則發(fā)現(xiàn)真正有價值的事件后及時告警，并能夠存儲海量事件，能夠提供 事后取證.(2)系統(tǒng)平臺和應(yīng)用系統(tǒng)安全在第一階段建設(shè)了安全評估體系，定期進行評估和加固，已經(jīng)有效地增強主 機和應(yīng)用的安全，第二階段需要進一步加強系統(tǒng)平臺和應(yīng)用系統(tǒng)的安全管理，考 慮從完整性管理和脆弱性管理兩個方面進行加強。結(jié)合安全日志審計功能，就可 以針對各業(yè)務(wù)系統(tǒng)的帳號級的信息安全審計和追蹤。第三階段一一管理階段待安全建設(shè)一、二階段建設(shè)完成后，自治區(qū)煙草公司的全網(wǎng)安全基本達(dá)到了 系統(tǒng)化的程度，各

10、種安全產(chǎn)品充分發(fā)揮作用，安全管理也逐步到位和正規(guī)化。此 時進行安全管理建設(shè)，主要從安全管理中心、安全管理體系著手完善。(1)安全管理中心建設(shè)安全管理統(tǒng)一平臺，將全網(wǎng)的安全管理通過該平臺進行。通過該平臺可 以及時準(zhǔn)確地獲知網(wǎng)絡(luò)安全體系的效果和現(xiàn)狀，幫助安全管理員進行正確的決策 分析。該平臺應(yīng)該具備風(fēng)險管理、策略中心、事件中心、響應(yīng)中心、知識中心等 功能模塊，并且應(yīng)具備很好的開放性和可定制性。(2)安全管理體系安全管理建設(shè)應(yīng)該自始至終，并且對安全建設(shè)和運維起到指導(dǎo)作用。主要從 安全策略制定、組建安全管理隊伍、安全評估、資產(chǎn)鑒別和分類、安全認(rèn)證等多 種管理領(lǐng)域開展，最終形成管理和技術(shù)相融合，共同形成

11、真正的安全體系架構(gòu)。信息化安全建設(shè)規(guī)劃方案基于企業(yè)信息安全逐步建設(shè)和節(jié)省投資的考慮，我省信息安全建設(shè)采用分階 段實施的方式，按照各種安全技術(shù)和安全管理在安全建設(shè)體系中的優(yōu)先地位進行 安全建設(shè)。安全建設(shè)第一階完成后，網(wǎng)絡(luò)狀態(tài)可以達(dá)到相對安全的狀態(tài)。請結(jié)合自治區(qū) 煙草公司信息安全建設(shè)，考慮第二階段的安全建設(shè)將如何進行。以及待自治區(qū)煙 草公司的全網(wǎng)安全基本達(dá)到了系統(tǒng)化的程度，各種安全產(chǎn)品充分發(fā)揮作用，安全 管理也逐步到位和正規(guī)化，即可考慮第三階段和第四階段將如何開展。第一階段-迫切階段加強區(qū)公司與地州公司的邊界訪問控制目前，自治區(qū)煙草公司已經(jīng)全疆范圍內(nèi)部署了防火墻與 VPN系統(tǒng)，但是由于 時間已經(jīng)很

12、長，設(shè)備在性能與功能上都不能適應(yīng)現(xiàn)在的網(wǎng)絡(luò)與業(yè)務(wù)的發(fā)展。在本 次項目中，我們建議更換防火墻系統(tǒng)，加強網(wǎng)絡(luò)邊界防御工作。從節(jié)省資金的角 度出發(fā)，在本次的防火墻選型中，直接選用帶有 VPN功能的防火墻系統(tǒng)，便于操 作與管理。解決區(qū)公司的網(wǎng)頁安全問題當(dāng)前國際、國內(nèi)的政治形勢和經(jīng)濟形勢比較特殊，又正值7.5事件發(fā)生后期，網(wǎng)站安全問題越來越復(fù)雜，Web服務(wù)器以其強大的計算能力、處理性能及所 蘊含的高價值逐漸成為主要攻擊的目標(biāo)。針對網(wǎng)站，各類安全威脅正在飛速增 長。2008年，CNCERT/CC監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)累積達(dá) 61228個，比 2007年增加了 1.5倍。Google最新數(shù)據(jù)表明，過去

13、10個月中，Google通過對 互聯(lián)網(wǎng)上幾十億URL進行抓取分析，發(fā)現(xiàn)有300多萬個惡意URL。其中，中國 的惡意站點占到了總數(shù)的67%。傳統(tǒng)的邊界安全設(shè)備，如防火墻，作為整體安全策略中不可缺少的重要模 塊，局限于自身的產(chǎn)品定位和防護深度，不能有效地提供針對Web應(yīng)用攻擊完善的防御能力。因此，自治區(qū)煙草公司網(wǎng)站有必要采用專業(yè)的安全防護系統(tǒng)，有效 防護各類攻擊、降低網(wǎng)站安全風(fēng)險。提升入侵防御能力防火墻作為自治區(qū)煙草公司安全保障體系的第一道防線，已經(jīng)得到了非常好 的應(yīng)用效果，但是各式各樣的攻擊行為還是被不斷的發(fā)現(xiàn)和報道，這就意味著有 一類攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。自治區(qū)

14、煙草公司想要實現(xiàn)完全的入侵防御，首先需要對各種攻擊能準(zhǔn)確發(fā) 現(xiàn)，其次是需要實時的阻斷防御與響應(yīng)。防火墻等訪問控制設(shè)備沒有能做到完全 的協(xié)議分析，僅能實現(xiàn)較為低層的入侵防御，對應(yīng)用層攻擊等行為無法進行判 斷，而入侵檢測等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時切斷可 疑連接，都達(dá)不到完全防御的要求。自治區(qū)煙草公司想要實現(xiàn)完全的入侵防御，就需要在網(wǎng)絡(luò)上將完全協(xié)議分析 和在線防御相融合，這就是入侵防御系統(tǒng)（IPS） : online式在線部署，深層分析 網(wǎng)絡(luò)實時數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實施及時的阻斷。加強對區(qū)公司、地州終端的桌面管理能力區(qū)公司采用本類產(chǎn)品目的在于，能夠?qū)蛻舳诉M行狀

15、態(tài)安全控管，主要涉及 客戶端聯(lián)網(wǎng)監(jiān)控、客戶端狀態(tài)管理、設(shè)備注冊、客戶端桌面安全審計、客戶端補 丁分發(fā)管理、客戶端應(yīng)用資源控制以及遠(yuǎn)程協(xié)助管理等能。系統(tǒng)實時監(jiān)控和報警 網(wǎng)絡(luò)中存在的客戶端違規(guī)、病毒事件等行為，提供在線客戶端安全狀態(tài)信息；依 據(jù)系統(tǒng)報警信息和客戶端上報的安全信息，管理人員在控制臺遠(yuǎn)程對異常網(wǎng)絡(luò)或 者違規(guī)客戶端機器采取處理措施（如斷網(wǎng)、告警、遠(yuǎn)程協(xié)助等）。對補丁進行自 動分發(fā)部署和管理控制。客戶端進程黑白名單控制，防止非法進程啟動。全網(wǎng)客戶端進程統(tǒng)一匯總監(jiān)視?？蛻舳塑浖诎酌麊喂芾?，客戶端軟件統(tǒng)一匯總監(jiān)視?？蛻舳塑浖詣臃职l(fā)和管理?？蛻舳私y(tǒng)一的端口策略控制。如何有效進行網(wǎng)絡(luò)資源管理和

16、設(shè)備資產(chǎn)管理網(wǎng)絡(luò)節(jié)點控制弱口令監(jiān)控。Usb移動存儲設(shè)備的行為審計和控制。防止防范用戶繞過防火墻等邊界防護設(shè)施，直接聯(lián)入外網(wǎng)帶來的嚴(yán)重安全隱 患行為（對于物理隔離的網(wǎng)絡(luò)，切實保障其有效的隔離度，保證專網(wǎng)專用）。進行外來筆記本電腦以及其它移動設(shè)備（如 u盤、移動硬盤等）的隨意接入 控制。準(zhǔn)確有效的定位網(wǎng)絡(luò)中病毒的引入點，快速、安全的切斷安全事件發(fā)生點和 相關(guān)網(wǎng)絡(luò)。安全、方便的將非安全計算機阻斷出網(wǎng)。監(jiān)控內(nèi)網(wǎng)的敏感信息。按照既定策略統(tǒng)一配置客戶端端口策略、注冊表策略等客戶端安全策略。有效監(jiān)控客戶端的運維信息，以便網(wǎng)管了解網(wǎng)絡(luò)中的客戶端是否已超負(fù)荷運轉(zhuǎn)，是否需要升級。策略按照（區(qū)域、操作系統(tǒng)、時間等）

17、進行控制和多級級聯(lián)。軟件使用簡單，所有的策略均在策略中心統(tǒng)一配置，用戶上手簡便。解決VPN系統(tǒng)的更新并且有效過渡的問題在本次項目中，我們在采購防火墻時，就帶有 VPN模塊，其中支持 IPSEC、SSL兩種模式，可以根據(jù)應(yīng)用自由選擇，比現(xiàn)有的 VPN系統(tǒng)速度更快， 配置更方便，使用更便捷。使現(xiàn)有的 VPN系統(tǒng)很平滑地向新技術(shù)過渡。提升區(qū)公司及地州公司對網(wǎng)絡(luò)可管理的能力隨著信息化發(fā)展的加速和深入，自治區(qū)煙草公司的 IT系統(tǒng)和網(wǎng)絡(luò)越來越復(fù) 雜，各級分公司對網(wǎng)絡(luò)正常運轉(zhuǎn)的依賴性逐漸增大，IT和網(wǎng)絡(luò)應(yīng)用逐漸融入到單 位的日常工作中。網(wǎng)絡(luò)基礎(chǔ)設(shè)施和各種應(yīng)用系統(tǒng)在不斷增加，一旦 IT系統(tǒng)和網(wǎng)絡(luò) 運行出現(xiàn)問題

18、，將會對所有的依賴于信息化平臺的正常工作產(chǎn)生影響。因此，高 效的系統(tǒng)與管理已經(jīng)成為煙草公司信息化建設(shè)是否成功的重要條件。網(wǎng)絡(luò)管理系統(tǒng)可廣泛應(yīng)用于對局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)和關(guān)鍵IT業(yè)務(wù)系統(tǒng)中的路由器、交換機、防火墻、負(fù)載均衡設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)站、域名、URL OA CRM ERR SCM HIS等各種IT網(wǎng)絡(luò)組件和業(yè)務(wù)系統(tǒng) 進行7X24的持續(xù)監(jiān)控、不間斷的數(shù)據(jù)采集和分析，對錯誤和故障數(shù)據(jù)進行顏色、 聲音、短信息、郵件等多種方式的報警，提供多種圖形和報表幫助用戶進行故障 分析和性能診斷，保證IT業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)持續(xù)、穩(wěn)定運行，提高IT系統(tǒng)的效 率，降低由于IT業(yè)務(wù)系統(tǒng)故障而導(dǎo)

19、致的損失。加強對上網(wǎng)行為審計的能力隨著Internet接入的普及和網(wǎng)絡(luò)帶寬的增加，使用戶上網(wǎng)條件得到改善，同 時也給煙草公司網(wǎng)絡(luò)帶來了更高的危險性、復(fù)雜性。終端用戶隨意使用網(wǎng)絡(luò)資源將導(dǎo)致三個問題：（1）工作效率低下、（2）網(wǎng)絡(luò)性 能惡化、（3）網(wǎng)絡(luò)泄密和違法行為增多。煙草公司網(wǎng)絡(luò)作為一個開放的網(wǎng)絡(luò)系統(tǒng)，運行狀況愈來愈復(fù)雜。網(wǎng)管中心如 何及時了解網(wǎng)絡(luò)運行基本狀況，并對網(wǎng)絡(luò)整體狀況作出基本的分析，發(fā)現(xiàn)可能存 在的問題（如病毒、木馬造成的網(wǎng)絡(luò)異常），并進行快速的故障定位，這些都是 對煙草公司信息安全管理的挑戰(zhàn)，這些問題包括：管理員如何對網(wǎng)絡(luò)效能行為進行統(tǒng)計、分析和評估，管理員如何監(jiān)控、控制 一些非工

20、作上網(wǎng)行為和非正常上網(wǎng)行為，管理員如何杜絕用戶通過電子郵件、 MS蹲途徑泄漏內(nèi)部機密資料，以及管理員如何在發(fā)生問題時有查證的依據(jù)。因此，如何有效地解決這些問題，以便提高用戶的工作效率，降低安全風(fēng) 險，減少損失，對網(wǎng)絡(luò)進行統(tǒng)一管理，調(diào)整網(wǎng)絡(luò)資源的合理利用，已經(jīng)成為煙草 公司信息中心迫在眉睫的緊要任務(wù)。因此內(nèi)網(wǎng)安全管理也隨之提升到一個新的高 度，在防御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時，從內(nèi)到外諸如審 計、監(jiān)控、訪問控制、訪問跟蹤、流量限制等問題也日益凸現(xiàn)。第二階段信息安全建設(shè)方案在這三年信息安全建設(shè)過程中，我們實現(xiàn)安全信息安全體系框架的規(guī)劃設(shè)計 與實現(xiàn)，并重點圍繞自治區(qū)煙草公司當(dāng)前網(wǎng)絡(luò)中

21、存在的問題進行解決，而且該安 全體系框架的規(guī)劃設(shè)計，要能夠適應(yīng)自治區(qū)煙草公司在自身發(fā)展中可能出現(xiàn)的業(yè) 務(wù)調(diào)整和變化。建設(shè)原則在設(shè)計技術(shù)方案時要遵從以下原則：.實用性原則自治區(qū)煙草公司的安全體系建設(shè)將始終遵循“面向應(yīng)用，注重實效”的指導(dǎo) 思想。緊密結(jié)合自治區(qū)煙草公司現(xiàn)有網(wǎng)絡(luò)和應(yīng)用情況，充分保證原有系統(tǒng)和結(jié)構(gòu) 的可用性。.協(xié)商原則對于一個應(yīng)用系統(tǒng)而言，他的安全性有時候與合理性存在著矛盾，從使用者 的角度講是合理的，站在安全的角度來分析則是不安全的，存在著風(fēng)險，這時候 就需要協(xié)調(diào)和論證在二者之間做出平衡。.完整性原則自治區(qū)煙草公司網(wǎng)絡(luò)安全建設(shè)必需保證整個防御體系的完整性。在安全體系 建設(shè)中，我們采取

22、多種安全防御的技術(shù)和措施來保障自治區(qū)煙草公司的網(wǎng)絡(luò)系統(tǒng) 安全運行。.整體均衡原則要對信息系統(tǒng)進行全面均衡的保護，要提高整個信息系統(tǒng)的安全最低點的 安全性能，保證各個層面防護的均衡。.安全目標(biāo)與效率、投入之間的平衡原則要綜合考慮安全目標(biāo)與效率、投入之間的均衡關(guān)系，確定合適的平衡點，不 能為了追求安全而犧牲效率，或投入過大。.標(biāo)準(zhǔn)化與一致性原則在技術(shù)、設(shè)備選型方面必須遵循一系列的業(yè)界標(biāo)準(zhǔn)，充分考慮不同設(shè)備技術(shù) 之間的兼容一致性。.產(chǎn)品異構(gòu)性原則在安全產(chǎn)品選型時，考慮不同廠商安全產(chǎn)品功能互補的特點，在進行多層防 護時，將選用不同廠商的安全產(chǎn)品。.區(qū)域等級原則要將信息系統(tǒng)按照合理的原則劃分為不同安全等

23、級，分區(qū)域分等級進行安全 防護。.動態(tài)發(fā)展原則安全防范體系的建設(shè)不是一個一勞永逸的工作，而是一個長期不斷完善的過 程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào) 整而不斷升級發(fā)展。.統(tǒng)籌規(guī)劃分步實施原則技術(shù)方案的部署不可能一步到位，所以要在一個全面規(guī)劃的基礎(chǔ)上，根據(jù)實 際情況，在不影響正常生產(chǎn)的前提下，分步實施。.保護原有投資原則設(shè)計技術(shù)方案時，要盡量利用現(xiàn)有的設(shè)備與軟件，避免投資浪費，這些設(shè)備 包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備等。遵照的標(biāo)準(zhǔn)或規(guī)范GB/T9387.2-1995開放系統(tǒng)互連基本參考模型第 2部分：安全體系結(jié)構(gòu)RFC1825 TCP/IP安全體系結(jié)構(gòu)ISO10181

24、:1996 信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架GB/T18237-2000信息技術(shù)開放系統(tǒng)互連通用高層安全GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則ISO/ISE17799:2000/BS7799ISO/ISE15408 (CC)AS/NZS4360:1999風(fēng)險管理標(biāo)準(zhǔn)GAO/AIMD-00-33信息安全風(fēng)險評估IATF信息保障技術(shù)框架安全建設(shè)的思路和方法我們著眼于整個安全體系建設(shè)以及安全規(guī)劃建設(shè)的長期目標(biāo)，逐步完善自治 區(qū)煙草公司風(fēng)險管理體系，將安全建設(shè)分解成多個可實施性較強的工程階段，明 確標(biāo)識出各階段安

25、全建設(shè)內(nèi)容和解決的安全問題，為自治區(qū)煙草公司提供一個可 供參考的安全建設(shè)遠(yuǎn)景規(guī)劃以及每期工程需要解決的風(fēng)險管理規(guī)劃，各期工程建 設(shè)內(nèi)容都是依據(jù)自治區(qū)煙草公司所面臨的安全風(fēng)險級別和迫切需要解決的安全問 題依照從高至低排序。這樣的建設(shè)思路讓自治區(qū)煙草公司明確將來安全建設(shè)的內(nèi) 容以及建設(shè)方法，我們首先將解決當(dāng)前對自治區(qū)煙草公司威脅最大的安全風(fēng)險， 在以后的各期項目再逐漸完善和調(diào)整安全框架內(nèi)容。安全域建設(shè)風(fēng)險管理的基本解決思路在于能夠準(zhǔn)確的識別風(fēng)險，并將高級別風(fēng)險降低或 者轉(zhuǎn)移，風(fēng)險管理需要積極的落實到自治區(qū)煙草公司的各業(yè)務(wù)系統(tǒng)。只有貼近具 體業(yè)務(wù)系統(tǒng)，對業(yè)務(wù)系統(tǒng)的重要性和特點有了清楚的定義和識別，風(fēng)

26、險管理才可 能取得確實的成效。要將風(fēng)險管理和業(yè)務(wù)系統(tǒng)聯(lián)系起來，用安全域是一個比較好 的解決思路。通過劃分安全域，我們可以將網(wǎng)絡(luò)根據(jù)業(yè)務(wù)系統(tǒng)、功能和重要性劃 分成不同的層次，并且不同的安全域面臨的是不完全相同的安全風(fēng)險，關(guān)注程度 和解決的方法也就不同。安全域基本概念一般常常理解的安全域（網(wǎng)絡(luò)安全域）是指同一系統(tǒng)內(nèi)有相同的安全保護需 求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相 同的網(wǎng)絡(luò)安全域共享一樣的安全策略。如果理解廣義的安全域概念則是，具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合。這些IT系統(tǒng)要素包括：網(wǎng)絡(luò)區(qū)域主機和系統(tǒng)人和組織物理環(huán)境策略和流程業(yè)務(wù)和使命安全域劃

27、分的原則安全域的理論和方法所遵循的根本原則：1.1,1,1等級保護原則根據(jù)安全域在業(yè)務(wù)支撐系統(tǒng)中的重要程度以及考慮風(fēng)險威脅、安全需求、安 全成本等因素，將其劃為不同的安全保護等級并采取相應(yīng)的安全保護技術(shù)、管理 措施，以保障業(yè)務(wù)支撐的網(wǎng)絡(luò)和信息安全。在參考工信部等級保護的指導(dǎo)意見TC260-N0015B息系統(tǒng)安全技術(shù)要求對 安全等級的劃分基礎(chǔ)上，結(jié)合業(yè)務(wù)支撐系統(tǒng)的具體情況，安全域所涉及應(yīng)用和資產(chǎn)的價值越高，面臨的威脅越大，那么它的安全保護等級也就越高。本文檔定義了不同等級的安全域，對這些安全域的等級保護從業(yè)務(wù)數(shù)據(jù)流角 度來看，要求高等級安全域允許向低等級安全域發(fā)起業(yè)務(wù)訪問的請求，保證發(fā)送 數(shù)據(jù)的

28、機密性，鑒別低等級安全域的合法性，對接受的數(shù)據(jù)進行完整性校驗，對 業(yè)務(wù)操作進行日志記錄與審計；低等級安全域向高等級安全域只允許受限訪問， 保證發(fā)送數(shù)據(jù)的完整性，對業(yè)務(wù)操作進行日志記錄與審計。在基于等級保護原則 同時遵循策略最大化原則。業(yè)務(wù)保障原則安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的 同時，還要保障業(yè)務(wù)的正常運行和運行效率。結(jié)構(gòu)簡化原則安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié) 構(gòu)便于設(shè)計防護體系。安全域劃分不宜過于復(fù)雜。生命周期原則對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計，還要考慮不斷的變化；另 外，在安全域的建設(shè)和調(diào)整過程中要考慮工程化

29、的管理。深度防御原則根據(jù)網(wǎng)絡(luò)應(yīng)用訪問的順序，逐層進行防御，保護核心應(yīng)用的安全安全最大化原則針對業(yè)務(wù)系統(tǒng)可能跨越多個安全域的情況，對該業(yè)務(wù)系統(tǒng)的安全防護必須要 使該系統(tǒng)在全局上達(dá)到要求的安全等級，即實現(xiàn)安全的最大化防護，同時滿足多 個安全域的保護策略。分步實施原則分布實施原則：貫徹安全工作“統(tǒng)一規(guī)劃，分步實施”的原則，根據(jù)自身情 況分階段落實安全域劃分和邊界整合的工作?？蓴U展性原則當(dāng)有新的業(yè)務(wù)系統(tǒng)需要接入業(yè)務(wù)支撐網(wǎng)時，按照等級保護、對端可信度等原 則將其分別劃分至不同安全等級域的各個子域。安全域邊界防護原則根據(jù)本文檔提出安全域劃分原則及相關(guān)標(biāo)準(zhǔn)，在不同安全等級的域間進行數(shù) 據(jù)互訪必須遵循以下防護

30、原則。歸并系統(tǒng)接口自治區(qū)煙草公司的網(wǎng)絡(luò)目前確實存在邊界不清的實際問題，在此情況下只有 在保證支撐系統(tǒng)的各種互聯(lián)需求的有效提供的前提下對安全域的邊界進行合理的 整合，對系統(tǒng)接口的進行有效的整理和歸并，減少接口數(shù)量，提高系統(tǒng)接口的規(guī) 范性，才能做到“重點防護、重兵把守”，達(dá)到事半功倍的效果。最小授權(quán)原則安全子域間的防護需要按照安全最小授權(quán)原則，依據(jù)“缺省拒絕”的方式制 定防護策略。防護策略在身份鑒別的基礎(chǔ)上，只授權(quán)開放必要的訪問權(quán)限，并保 證數(shù)據(jù)安全的完整性、機密性、可用性。業(yè)務(wù)相關(guān)性原則對安全子域的安全防護要充分考慮該子域的業(yè)務(wù)特點，在保證業(yè)務(wù)正常運 行、保證效率的情況下分別設(shè)置相應(yīng)的安全防護策

31、略。如果子域之間的業(yè)務(wù)關(guān)聯(lián)性、互訪信任度、數(shù)據(jù)流量、訪問頻度等較低，通 常情況下沒有數(shù)據(jù)互訪的業(yè)務(wù)需求，因此安全防護策略非常嚴(yán)格，原則上不允許 數(shù)據(jù)互訪。如果子域之間互訪信任度、數(shù)據(jù)流量、訪問頻度等比較高，通常情況 下業(yè)務(wù)關(guān)系比較緊密，安全防護策略可以較為寬松，通常允許受限的信任互訪。 策略最大化原則本文檔針對各域分別制定了多項防護策略。核心域防護包括核心域與接入域 邊界和核心域各子域之間的防護，接入域防護包括接入域內(nèi)部邊界和外部邊界的 防護，當(dāng)存在多項不同安全策略時，安全域防護策略包含這些策略的合集，并選 取最嚴(yán)格的防護策略，安全域的防護必須遵循策略最大化原則。安全域理論安全域劃分以及基于安

32、全域的整體安全工作，對自治區(qū)煙草公司具有很大的 意義和實際作用：? 安全域劃分基于網(wǎng)絡(luò)和系統(tǒng)進行，是下一步安全建設(shè)的部署依據(jù)，可以 指導(dǎo)系統(tǒng)的安全規(guī)劃、設(shè)計、入網(wǎng)和驗收工作；? 可以更好的利用系統(tǒng)安全措施，發(fā)揮安全設(shè)備的利用率；? 基于網(wǎng)絡(luò)和系統(tǒng)進行安全檢查和評估的基礎(chǔ)，可以在運行維護階段降低 系統(tǒng)風(fēng)險，提供檢查審核依據(jù)；? 安全域可以更好的控制網(wǎng)絡(luò)安全風(fēng)險，降低系統(tǒng)風(fēng)險；? 安全域的分割是出現(xiàn)問題時的預(yù)防，能夠防止有害行為的滲透；? 安全域邊界是災(zāi)難發(fā)生時的抑制點，能夠防止影響的擴散。早期在進行安全域的劃分時，完全從一個業(yè)務(wù)單元或者行政機構(gòu)的角度考 慮。將自己的網(wǎng)絡(luò)和系統(tǒng)看成內(nèi)部網(wǎng)絡(luò)，將所有

33、的其他網(wǎng)絡(luò)都作為不可信的網(wǎng)絡(luò) 來看待；將自己看成中心，然后基于這個觀點進行整個系統(tǒng)的分析和安全部署。隨著安全區(qū)域方法的發(fā)展，發(fā)現(xiàn)這樣的方法難于構(gòu)建全局的安全體系，局部的設(shè) 計和實施經(jīng)驗也難于推廣到全局，也難于借鑒。“同構(gòu)性簡化”的安全域劃分方法，其基本思路是認(rèn)為一個復(fù)雜的網(wǎng)絡(luò)應(yīng)當(dāng) 是由一些相通的網(wǎng)絡(luò)結(jié)構(gòu)元所組成，這些進行拼接、遞歸等方式構(gòu)造出一個大的 網(wǎng)絡(luò)?！?3+1同構(gòu)性簡化”的安全域方法是用一種 3+1的網(wǎng)絡(luò)結(jié)構(gòu)元來分析自治區(qū) 煙草公司網(wǎng)絡(luò)的系統(tǒng)。（注：除了 3+1構(gòu)造之外，還存在其他形式的構(gòu)造。）具 體來說自治區(qū)煙草公司的承載網(wǎng)絡(luò)和支撐系統(tǒng)按照其維護數(shù)據(jù)的分類可以分為安 全服務(wù)域、安全接

34、入域、安全互聯(lián)域以及安全支撐域四類。在此基礎(chǔ)上確定不同 區(qū)域的信息系統(tǒng)安全保護等級。同一區(qū)域內(nèi)的資產(chǎn)實施統(tǒng)一的保護，如進出信息 保護機制，訪問控制，物理安全特性等。安全互聯(lián)域連接傳輸共同數(shù)據(jù)的安全服務(wù)域和安全接入域組成的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成了安 全互聯(lián)域。安全互聯(lián)域的安全等級的確定與網(wǎng)絡(luò)所連接的安全接入域和安全服務(wù) 域的安全等級有關(guān)。當(dāng)一個網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有單一安全級別時，該安全 互聯(lián)域的安全等級應(yīng)與該安全等級相同；當(dāng)一個網(wǎng)絡(luò)所連接的安全服務(wù)域和安全接入域具有多安全級別時，應(yīng)盡量組 成不同安全等級的安全互聯(lián)域，為這些安全服務(wù)域和安全接入域中的不同安全級 別提供不同的支持；如果確

35、實無法分別提供支持，則應(yīng)按這些安全服務(wù)域和安全 接入域中的最高安全級別提供安全支持，組成與最高安全級別相同安全等級的安 全互聯(lián)域。主要需要解決的安全問題包括：網(wǎng)絡(luò)設(shè)備的強壯性，防止被非法訪問；防止 網(wǎng)絡(luò)的擁塞；防止線路的嗅探；防止成為惡意代碼傳播和擴散的載體等等。安全互聯(lián)域有時會將其他域的邊界融合在本域中，因此，可能會以一種平臺 的方式存在。安全互聯(lián)域由于主要起到承載作用，應(yīng)當(dāng)以通為主、以隔為輔。基 于這樣的防護原則，其中主要采用的安全措施包括：路由器本身的路由和過濾功 能；交換機的ACL功能；線路的監(jiān)測功能。在骨干上建議只監(jiān)控流量，在接入端 可以考慮監(jiān)控入侵行為等等。安全接入域由訪問同類數(shù)據(jù)

36、的用戶終端構(gòu)成安全接入域，安全接入域的劃分應(yīng)以用戶所 能訪問的安全服務(wù)域中的數(shù)據(jù)類和用戶計算機所處的物理位置來確定。安全接入域的安全防護等級與其所能訪問的安全服務(wù)域的安全等級有關(guān)。當(dāng) 一個安全接入域中的終端能訪問多個安全服務(wù)域時，該安全接入域的安全防護等 級應(yīng)與這些安全服務(wù)域的最高安全等級相同。安全接入域應(yīng)有明確的邊界，以便于進行保護。主要需要解決的安全問題包括：用戶主體的信任問題，也就是對于用戶的身 份認(rèn)證；客戶端主機的信任問題，也就是客戶端是否被感染和侵占；安全接入域 內(nèi)，主機（包括客戶端）之間的互相感染和影響；安全接入域內(nèi)，一個客戶端對 于另外一些客戶端的攻擊和嗅探；安全接入域內(nèi)，各個用

37、戶之間的混淆，導(dǎo)致非 授權(quán)操作；安全接入域內(nèi)的用戶和客戶端突破域的邊界安全規(guī)則等等。針對上述主要問題，在安全接入域內(nèi)需要考慮如下一些防護要點，包括安全 接入域內(nèi)和安全接入域的邊界。安全接入域內(nèi)的防護要點：安全接入域內(nèi)節(jié)點的加固，包括主機操作系統(tǒng)的補丁、主機和網(wǎng)絡(luò)設(shè)備的安 全配置等；進而可以部署補丁管理等強制系統(tǒng)。安全接入域內(nèi)節(jié)點的訪問控制，主要是主機和網(wǎng)絡(luò)設(shè)備管理的訪問控制等； 如果需要加強，還可以部署集中身份認(rèn)證系統(tǒng)、一次登錄系統(tǒng) （SSO）等，可以基 于CA證書、或者口令卡等；安全接入域內(nèi)節(jié)點的防病毒；安全域內(nèi)的主機都應(yīng)當(dāng)部署防病毒系統(tǒng)，可以 考慮部署對于客戶端的強制防病毒軟件安裝和強制升

38、級和更新。安全接入域內(nèi)節(jié)點的防入侵；可以在客戶端部署單機防入侵系統(tǒng)。安全接入域內(nèi)可以根據(jù)用戶主體的分類，分成子域。對于非常不可信的用戶 和客戶端，可以重點部署流量監(jiān)控，以便能夠最快地發(fā)現(xiàn)可能出現(xiàn)的蠕蟲傳播和 拒絕服務(wù)攻擊。安全接入域內(nèi)如果根據(jù)用戶所操作業(yè)務(wù)分類進行子域劃分，可以針對不同的 子域進行應(yīng)用的監(jiān)控和審計；安全接入域內(nèi)防泄密；監(jiān)控安全接入域客戶的非業(yè)務(wù)流量，特別是進行文件 和信息交換的協(xié)議，比如：電子郵件、 FTR WEBJ問等。安全接入域的邊界防護，主要是要保證從安全接入域到其他域的訪問都是由 可信的用戶從可信的客戶端上發(fā)起的；同時還要保證安全接入域不受其他域的侵 害和影響。安全接入

39、域和其他安全域之間邊界和連線的防護要點：安全接入域和內(nèi)部的邊界上需要安全網(wǎng)關(guān)，主要考慮訪問控制的要求；這樣 的安全網(wǎng)關(guān)可以是路由器、防火墻、交換機的 ACL等等。對安全接入域邊界上流經(jīng)的數(shù)據(jù)進行檢測，監(jiān)測內(nèi)容包括：入侵、病毒、蠕 蟲、流量、應(yīng)用等；在安全接入域邊界上進行惡意代碼防護；安全接入域和其他安全域的互聯(lián)方式可能需要加密傳輸，VPNB是一種常見的方式；為了防止安全接入域內(nèi)的用戶突破或者繞過，需要建立防止客戶端非授權(quán)訪 問的控制系統(tǒng)，如非法外聯(lián)系統(tǒng)可以防止客戶端通過撥號、無線網(wǎng)卡等方式繞過 邊界防護；為了防止安全接入域內(nèi)的用戶互相嗅探并且越權(quán)操作，需要對用戶和其相應(yīng) 的客戶端進行分組。比如

40、：對于用戶分組后劃入不同的VLAM是一種方式等等.安全服務(wù)域在局域范圍內(nèi)存儲，傳輸、處理同類數(shù)據(jù)，具有相同安全等級保護的單一計 算機（主機/服務(wù)器）或多個計算機組成了安全服務(wù)域，不同數(shù)據(jù)在計算機的上分 布情況，是確定安全服務(wù)域的基本依據(jù)。根據(jù)數(shù)據(jù)分布，可以有以下安全服務(wù)域：單一計算機單一安全級別服務(wù)域， 多計算機單一安全級別服務(wù)域，單一計算機多安全級別綜合服務(wù)域，多計算機多 安全級別綜合服務(wù)域。主要需要解決的安全問題包括：服務(wù)器被入侵，完整性受到破壞；服務(wù)器被 拒絕服務(wù)攻擊；服務(wù)器成為惡意代碼的傳播載體；服務(wù)器成為垃圾的傳播載體等 等。防護要點：安全服務(wù)域內(nèi)節(jié)點的加固，包括主機操作系統(tǒng)的補丁、

41、主機和網(wǎng) 絡(luò)設(shè)備的安全配置等；安全服務(wù)域內(nèi)節(jié)點的訪問控制，主要是主機和網(wǎng)絡(luò)設(shè)備管 理的訪問控制等；訪問控制機制要和安全接入域的鑒別機制之間相互結(jié)合；安全 服務(wù)域內(nèi)節(jié)點的防病毒：特別是基于 windows平臺的服務(wù)器；安全服務(wù)域內(nèi)節(jié)點 的防入侵；安全服務(wù)域內(nèi)重要鏈路的流量監(jiān)控；安全服務(wù)域內(nèi)業(yè)務(wù)的監(jiān)控和審 計；服務(wù)域內(nèi)防泄密；安全服務(wù)域內(nèi)一些可能產(chǎn)生或者傳播垃圾的服務(wù)器的防 護，如：郵件服務(wù)器需要部署垃圾郵件過濾等等。安全服務(wù)域和其他域之間邊界和連線的防護要點：安全服務(wù)域邊界上的安全 網(wǎng)關(guān)，主要考慮訪問控制的要求；安全服務(wù)域邊界上的監(jiān)測，監(jiān)測內(nèi)容包括：入 侵、病毒、蠕蟲、流量、應(yīng)用等；安全服務(wù)域邊

42、界上的惡意代碼防護；安全服務(wù) 域中的服務(wù)器和其他域的服務(wù)器發(fā)生業(yè)務(wù)關(guān)聯(lián)時，很可能需要考慮加密傳輸?shù)劝踩斡驗檎麄€IT架構(gòu)提供集中的安全服務(wù)，進行集中的安全管理和監(jiān)控以及響應(yīng)。 具體來說可能包括如下內(nèi)容：病毒監(jiān)控中心、認(rèn)證中心、安全管理中心等。主要需要解決的安全問題包括：安全支撐域要能夠?qū)τ谄渌踩蛱峁┍匾?的安全支撐；安全支撐域自身不能帶來新的安全風(fēng)險，要做好自身的防護。安全支撐域不同于其他系統(tǒng)的獨特性在于，安全支撐域會以代理Agent的方式或者提供調(diào)用服務(wù)的方式，插入(plug-into )到被監(jiān)管的系統(tǒng)中。代理方式比 如：業(yè)務(wù)支撐系統(tǒng)會放置計費前端服務(wù)器在業(yè)務(wù)系統(tǒng)中，安全監(jiān)控系統(tǒng)會將I

43、DS等檢測引擎放置在被監(jiān)控的網(wǎng)絡(luò)中等等；調(diào)用服務(wù)方式比如：認(rèn)證中心提供證書 服務(wù)或者其他認(rèn)證服務(wù)。為了能夠保證這種插入機制的正確和安全，要確保插入的功能對于被監(jiān)管的 系統(tǒng)不產(chǎn)生不良的影響；同時還要確保插入的點不會使安全支撐域受到被監(jiān)管系 統(tǒng)的影響。因此插入點和安全支撐域之間常常需要采用相應(yīng)的安全措施，比如： 帶外管理：即插入點到安全支撐域之間建立單獨的物理鏈路或者vpn連接；鏈路加密：插入點和安全支撐域之間的數(shù)據(jù)傳輸和命令傳輸都使用加密傳輸，比如采 用ssl等；插入點自身安全性：插入點對于安全支撐域來說屬于域外的飛地，因 此對于插入點要能夠做到比較強的安全性，其產(chǎn)品的安全性可以用CC的等級來描

44、述。統(tǒng)一認(rèn)證授權(quán)系統(tǒng)技術(shù)方案統(tǒng)一認(rèn)證系統(tǒng)通過動態(tài)口令卡、PKI數(shù)字證書、IC卡等多種通用認(rèn)證手段對 用戶進行身份驗證，是一個對企業(yè)內(nèi)部系統(tǒng)及網(wǎng)絡(luò)設(shè)備的各種訪問進行統(tǒng)一認(rèn) 證、授權(quán)、審核的企業(yè)級認(rèn)證服務(wù)平臺，能夠確保企業(yè)用戶訪問各種資源的安全 性，全面的實施和貫徹用戶制訂的資源訪問策略。根據(jù)自治區(qū)煙草公司網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和安全需求，提出解決方案如下：認(rèn)證服務(wù)器高可用性部署在自治區(qū)煙草公司現(xiàn)有網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上，部署兩臺MSWindows2003服務(wù)器，安裝統(tǒng)一認(rèn)證子系統(tǒng)，形成兩臺相互復(fù)制的認(rèn)證服務(wù)器，用以實現(xiàn)冗余 備份及負(fù)載分擔(dān)。同時，啟用認(rèn)證服務(wù)器內(nèi)置的 RADIUSServer ,做好為主機、

45、 網(wǎng)絡(luò)設(shè)備等資源提供身份認(rèn)證的準(zhǔn)備工作。整體上，由這兩臺認(rèn)證服務(wù)器提供網(wǎng)絡(luò)系統(tǒng)中的認(rèn)證、授權(quán)、審核以及用戶 管理。兩臺認(rèn)證服務(wù)器之間自動進行同步數(shù)據(jù)復(fù)制，確保數(shù)據(jù)的整體完整和協(xié)調(diào) 一致。當(dāng)用戶需求增加，兩臺服務(wù)器已經(jīng)不能滿足大量的認(rèn)證請求時，或需要考 慮高可靠災(zāi)難冗余時，統(tǒng)一認(rèn)證系統(tǒng)可以簡單、迅速的增加鏡像服務(wù)器的數(shù)量， 近乎無限的擴充認(rèn)證的支持?jǐn)?shù)目，確保用戶的投資得到保護。正常工作狀態(tài)下，客戶端的請求按照配置的權(quán)重自動分配到兩臺認(rèn)證服務(wù)器 上，用以降低單臺服務(wù)器的工作負(fù)載，提高系統(tǒng)的運轉(zhuǎn)性能。當(dāng)某臺認(rèn)證服務(wù)器 出現(xiàn)故障時，另外一臺服務(wù)器零間隙、無延時的自動接管原故障服務(wù)器的認(rèn)證服 務(wù)，直到故

46、障服務(wù)器恢復(fù)正常。無論在正常工作狀態(tài)下，還是發(fā)生單機故障時， SPA系統(tǒng)的每臺服務(wù)器上均可以獨立完成全部的系統(tǒng)管理任務(wù)，真正實現(xiàn)認(rèn)證系 統(tǒng)的高可用性。統(tǒng)一身份認(rèn)證身份認(rèn)證是保護業(yè)務(wù)系統(tǒng)中非常重要的一個部份。再安全的網(wǎng)絡(luò)環(huán)境下，用 戶的身份信息被人盜取，那么業(yè)務(wù)系統(tǒng)中的所有信息的機密性也就無從談起。為了解決傳統(tǒng)靜態(tài)口令認(rèn)證存在的各種弊病和安全隱患，統(tǒng)一認(rèn)證系統(tǒng)采用 多因素身份認(rèn)證方式-動態(tài)口令認(rèn)證來加強用戶對各種系統(tǒng)訪問前的身份認(rèn)證問 題。多因素包括：用戶必須持有認(rèn)證器一一口令牌用戶認(rèn)證器的保護一一保護口令牌的 PIN碼 用戶登陸的信息一一口令牌生成的口令用戶登陸信息的變化一一口令牌每次生成的口

47、令不同通過這些多種因素的組合，確保用戶登陸時就是其本人，而不是因非法用戶 盜取得到的口令而登陸系統(tǒng)。對于自治區(qū)煙草公司這種大型企業(yè)來說，內(nèi)部的應(yīng)用和人員角色都很多，反 映到IT系統(tǒng)中會導(dǎo)致不同的認(rèn)證強度的要求，在后續(xù)的使用過程中會需要按照每 個應(yīng)用的實際要求來確認(rèn)認(rèn)證強度。除動態(tài)口令之外，統(tǒng)一認(rèn)證系統(tǒng)在同一臺認(rèn) 證服務(wù)器中還支持其他幾乎所有已知的認(rèn)證方式，如：靜態(tài)口令；基于同步方式的 動態(tài)口令；基于異步方式的動態(tài)口令（挑戰(zhàn)-應(yīng)答）；IC卡；數(shù)字證書；USB 口令 牌；IP地址；短信認(rèn)證；生物辨認(rèn)技術(shù)。通過在一個平臺上支持多種身份認(rèn)證手段，來實現(xiàn)對用戶統(tǒng)一的身份認(rèn)證和 統(tǒng)一的身份管理。集中賬號口

48、令管理統(tǒng)一認(rèn)證系統(tǒng)采用動態(tài)口令的認(rèn)證方式來解決傳統(tǒng)的靜態(tài)口令存在的諸多弊 病，如口令易泄漏，多人使用同一賬號和口令等問題。在介紹此方案之前，我們先確定如下兩個概念：自然人賬號：企業(yè)人員唯一的賬號信息資源賬號：資源系統(tǒng)內(nèi)部賬號信息在自治區(qū)煙草公司網(wǎng)絡(luò)系統(tǒng)中，為每人頒發(fā)一個硬件口令牌，按棄原有的靜 態(tài)口令認(rèn)證方式，用戶無需再記憶自已的口令，每次登陸系統(tǒng)時，只需輸入從硬 件口令牌中得到的口令即可。管理人員也無需定期通知用戶修改口令，因為動態(tài) 口令本身每次登陸時使用的是不同的口令。用過的口令立刻作廢，不能再使用。 這樣完全解決了要求用戶密碼定期修改的問題。也解放了管理人員在這方面的工 作。？通過管理控

49、制臺，為所有IT支撐網(wǎng)系統(tǒng)中需要認(rèn)證的用戶建立賬號（我們稱 之為自然人賬號），設(shè)置用戶的各種屬性，并將每個自然人賬號上分配一個硬件 口令牌。同時在各個需訪問的系統(tǒng)上（網(wǎng)絡(luò)設(shè)備或主機）為每一個用戶建立一個賬號（我們稱之為資源賬號），將資源賬號與統(tǒng)一認(rèn)證上建立的自然人賬號綁定。 用戶登陸系統(tǒng)時必須使用統(tǒng)一認(rèn)證系統(tǒng)上建立的自然人賬號，并用自己的令牌才 可登陸。徹底解決多人使用同一賬號和口令的問題。規(guī)范了管理流程。？通過統(tǒng)一認(rèn)證系統(tǒng)的策略管理組件，管理人員可以設(shè)置動態(tài)口令安全策略：動態(tài)口令的長度動態(tài)口令的組合方式：數(shù)字、字母還是數(shù)字字母的混合保護動態(tài)口令牌的PIN碼長度動態(tài)口令工作方式：同步，挑戰(zhàn)/應(yīng)

50、答? 對用戶的管理：為方便管理需求，可以實現(xiàn)對用戶的集中管理，分級管理， 委托管理和遠(yuǎn)程管理。集中管理：統(tǒng)一認(rèn)證系統(tǒng)的系統(tǒng)管理員可以輕松的管理多個統(tǒng)一認(rèn)證系 統(tǒng)上的用戶，不論在企業(yè)的管理中心或是其它地方，在自治區(qū)煙草公司 網(wǎng)絡(luò)中可以建立一個中央控制臺來管理所有的用戶。分級管理：可以將用戶分成組，并為每一個組指定本地管理員，這個管 理員只可管理本組而不能管理其他的組。遠(yuǎn)程管理：通過遠(yuǎn)程連接方式，對下屬地區(qū)的用戶實現(xiàn)遠(yuǎn)程管理。委托管理：對于臨時的工作，可以委托他人管理用戶信息。？統(tǒng)一認(rèn)證和授權(quán)統(tǒng)一認(rèn)證系統(tǒng)可以作為一個集中的認(rèn)證和訪問控制入口，為所有的用戶進行 認(rèn)證和授權(quán)。并對用戶的訪問做集中的控制

51、。首先確認(rèn)用戶的身份，然后控制用 戶能去什么地方、哪些系統(tǒng)和網(wǎng)絡(luò)資源該用戶可以訪問。統(tǒng)一認(rèn)證系統(tǒng)根據(jù)用戶 的任務(wù)以及與組織的關(guān)系來提供粒狀授權(quán)，來控制用戶可能訪問什么，不可以訪 問什么。沒有通過統(tǒng)一認(rèn)證系統(tǒng)檢驗和授權(quán)的訪問將不被送到后臺真正的各種系 統(tǒng)上。集中認(rèn)證和訪問控制流程如下：.在統(tǒng)一認(rèn)證系統(tǒng)管理平臺上注冊自治區(qū)煙草公司網(wǎng)絡(luò)系統(tǒng)內(nèi)的IT資源;.對每一個用戶選擇為動態(tài)口令認(rèn)證方式；.為用戶分配其可訪問的IT資源，包括撥號服務(wù)器、路由器、交換機，防火 墻、主流的UNIX系統(tǒng)主機、VPN、Windows系統(tǒng)、B/S結(jié)構(gòu)的應(yīng)用系 統(tǒng)，C/S結(jié)構(gòu)的應(yīng)用系統(tǒng)等。.設(shè)置安全訪問策略，統(tǒng)一認(rèn)證系統(tǒng)提供基

52、于角色的訪問控制策略，管理員 可以根據(jù)用戶的身份、所屬組織或訪問動作的屬性來制定訪問策略。制定 詳細(xì)的訪問控制規(guī)則。如：角色授權(quán)，屬于什么角色的人可以訪問什么系統(tǒng)時間授權(quán)，什么時間段可以訪問哪個系統(tǒng)使用何種認(rèn)證方式（或認(rèn)證器）的人可以訪問哪個系統(tǒng)可以對哪個IP地址的系統(tǒng)訪問做控制合作伙伴可以從哪個VPN系統(tǒng)進入進行訪問等？盡管統(tǒng)一認(rèn)證系統(tǒng)可以對自治區(qū)煙草公司網(wǎng)絡(luò)系統(tǒng)中的所有網(wǎng)絡(luò)設(shè)備和系統(tǒng) 進行認(rèn)證和訪問控制，但在第一階段，我們建議先對系統(tǒng)管理員，第三方接入人 員，以及操作權(quán)限較高的人員進行認(rèn)證和管理。對于系統(tǒng)來講，我們建議，先對核心網(wǎng)絡(luò)設(shè)備，主機和 VPN接入及重要的 Web系統(tǒng)做訪問控制。具

53、體配置和實 現(xiàn)如下描述：？網(wǎng)絡(luò)設(shè)備的身份認(rèn)證及授權(quán)在需要保護的骨干路由器、中心交換機、防火墻等網(wǎng)絡(luò)設(shè)備中配置使用 RADIUS驗證，將RADIUS服務(wù)器指向到統(tǒng)一認(rèn)證系統(tǒng)內(nèi)置的 RADIUSServer 從而為網(wǎng)絡(luò)設(shè)備的訪問提供身份認(rèn)證和授權(quán)。為網(wǎng)絡(luò)管理員配置硬件令牌卡。不同的網(wǎng)絡(luò)設(shè)備通過標(biāo)準(zhǔn)的 RADIUS協(xié)議使用統(tǒng)一認(rèn)證系統(tǒng)服務(wù)器進行身份 認(rèn)證，由于統(tǒng)一認(rèn)證系統(tǒng)系統(tǒng)動態(tài)口令的優(yōu)勢，網(wǎng)絡(luò)管理員可以利用令牌卡進行 遠(yuǎn)程登錄，如果使用基于挑戰(zhàn)-應(yīng)答的異步密碼方式，由于密碼根本不在傳輸過 程中出現(xiàn)，從而可以徹底避免密碼在網(wǎng)絡(luò)中明文傳輸和泄漏的問題。？網(wǎng)絡(luò)設(shè)備身份認(rèn)證的系統(tǒng)結(jié)構(gòu)主機系統(tǒng)的身份認(rèn)證及授

54、權(quán)自治區(qū)煙草公司網(wǎng)絡(luò)系統(tǒng)中有大量的核心服務(wù)器，對這些服務(wù)器的管理需要 通過遠(yuǎn)程Telnet或本機登錄認(rèn)證。應(yīng)用系統(tǒng)的管理員管理著業(yè)務(wù)系統(tǒng)主機，承擔(dān) 很大的安全風(fēng)險。主機也是不法分子最好的目標(biāo)，因此，加強主機的安全保護十 分重要。在服務(wù)器主機上安裝統(tǒng)一認(rèn)證系統(tǒng)的登錄代理軟件，并做好相應(yīng)的配 置。系統(tǒng)管理員通過終端登錄到服務(wù)器主機的時候，或使用Ftp,rLogin,SSH,XWindow,Su 登錄系統(tǒng)時，登錄代理軟件將認(rèn)證請求轉(zhuǎn)發(fā)至統(tǒng)一 認(rèn)證系統(tǒng)，在統(tǒng)一認(rèn)證系統(tǒng)對用戶的身份進行有效核實后，將認(rèn)證的結(jié)果轉(zhuǎn)發(fā)給 服務(wù)器主機，允許或拒絕用戶進入，同時在系統(tǒng)日志中記錄認(rèn)證的全部過程。通 過動態(tài)口令認(rèn)證的

55、方式，確保能夠限制未經(jīng)授權(quán)的用戶無法登錄到服務(wù)器主機 上。Unix系統(tǒng)的身份認(rèn)證結(jié)構(gòu)圖遠(yuǎn)程接入或VPN入用戶的認(rèn)證及授權(quán)自治區(qū)煙草公司網(wǎng)絡(luò)系統(tǒng)存在一些遠(yuǎn)程接入人員，一些是內(nèi)部的移動辦公人 員，還有一些是代維的第三方人員，他們都需要通過外網(wǎng)接入自治區(qū)煙草公司網(wǎng) 絡(luò)，進行遠(yuǎn)程訪問。對于這些人員有的是通過 VPN接入，有些是通過撥號路由器 撥號接入。VPN系統(tǒng)提供自治區(qū)煙草公司網(wǎng)絡(luò)的安全通道，使得從外網(wǎng)訪問用戶訪問內(nèi) 部網(wǎng)絡(luò)上的應(yīng)用服務(wù)更加簡單，數(shù)據(jù)傳輸更加安全。但同時帶來的安全隱患也是 不容忽視的。一旦非法用戶通過某種手段得到合法用戶的密碼，他們就可以通過 VPN自由出入企業(yè)的內(nèi)部網(wǎng)絡(luò)，利用黑客工

56、具，收集企業(yè)機密信息，攻擊應(yīng)用服 務(wù)器，有可能造成非常嚴(yán)重的后果（例如：破壞關(guān)鍵服務(wù)器，盜取重要數(shù)據(jù)等 等）。我們建議使用統(tǒng)一認(rèn)證系統(tǒng)的動態(tài)口令來解決VPN系統(tǒng)的撥號系統(tǒng)存在的嚴(yán)重安全缺陷。在VPN網(wǎng)關(guān)上或是撥號路由器上配置使用 RADIUS驗證，將RADIUS服務(wù) 器指向統(tǒng)一認(rèn)證系統(tǒng)內(nèi)置的 RADIUSServer ,不用對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進行任何調(diào) 整，就可將VPN用戶與統(tǒng)一認(rèn)證系統(tǒng)相結(jié)合，對使用 VPN接入的用戶實現(xiàn)了高 強度的安全身份認(rèn)證。對于VPN產(chǎn)品同統(tǒng)一認(rèn)證系統(tǒng)的集成，我們已經(jīng)有很多的案例。無論是IPsecVPN , PPTP,還是SSLVPN ,都能很好的同統(tǒng)一認(rèn)證系統(tǒng)結(jié)合。圖：遠(yuǎn)

57、程接入認(rèn)證系統(tǒng)結(jié)構(gòu)圖數(shù)據(jù)庫管理的身份認(rèn)證及授權(quán)數(shù)據(jù)庫是業(yè)務(wù)運營的重中之重，而數(shù)據(jù)庫的管理也存在著身份認(rèn)證的要求。傳統(tǒng)的靜態(tài)口令認(rèn)證方式迫使數(shù)據(jù)庫管理員記憶大量的復(fù)雜密碼，要不就是所有 管理用戶都使用同一個密碼，顯然這增加了管理人員的工作強度或者降低了系統(tǒng) 安全性，二者不能兼顧。由于工作的需要，數(shù)據(jù)庫管理人員經(jīng)常需要通過遠(yuǎn)程控 制臺等方式連接到數(shù)據(jù)庫進行操作，對于非加密的遠(yuǎn)程連接，輸入的靜態(tài)密碼在 網(wǎng)絡(luò)中是明文傳播的，很有可能被竊聽并非法利用，形成安全隱患。在需要保護的數(shù)據(jù)庫中配置使用 RADIUS驗證，將RADIUS服務(wù)器指向到統(tǒng)認(rèn)證系統(tǒng)內(nèi)置的RADIUSServer ,從而為數(shù)據(jù)庫的訪問提供

58、身份驗證。為數(shù)據(jù)庫管理員配置硬件令牌卡。管理員可以利用令牌卡進行本地或遠(yuǎn)程登 錄，即使密碼在遠(yuǎn)程傳輸過程中被竊聽，由于動態(tài)密碼是一次作廢，非法用戶竊 聽到的口令已經(jīng)失效，徹底避免了盜用口令的隱患。數(shù)據(jù)庫管理用戶身份認(rèn)證結(jié)構(gòu)圖基于Web勺運營系統(tǒng)的身份認(rèn)證及授權(quán)對于自治區(qū)煙草公司網(wǎng)絡(luò)系統(tǒng)上基于 Web的運營系統(tǒng)，可以采用統(tǒng)一認(rèn)證系 統(tǒng)的Web登錄代理將統(tǒng)一認(rèn)證系統(tǒng)和運營系統(tǒng)相集成。Web登錄代理是安裝在 Webserver前端提供反向代理功能的軟件。它和后 端的Webserver在對Web請求的處理上面是分離的，首先由 Web登錄代理截獲 Web用戶的訪問請求，將用戶的信息送到統(tǒng)一認(rèn)證系統(tǒng)，如果

59、經(jīng)過判斷這個用戶 為合法用戶，那么統(tǒng)一認(rèn)證系統(tǒng)將用戶對 Web頁面訪問權(quán)限和相關(guān)信息傳遞給 Web登錄代理，Web登錄代理對用戶 Web請求進行判斷，然后將允許的 Web請 求傳遞到Webserver上，Webserver對用戶的請求做出相關(guān)的回應(yīng)，從而實現(xiàn)對 Web訪問用戶的身份認(rèn)證和訪問控制。在不影響任何業(yè)務(wù)應(yīng)用的前提下，將 Web登錄代理安裝在 Web服務(wù)器前 端，同時，我們建議在客戶端：為內(nèi)部人員分配硬件令牌卡，提供安全保障并便于攜帶使用。為代理商分發(fā)硬件令牌，該令牌帶有鑰匙扣，攜帶方便，同時可以用硬 Pin 碼保護，能夠支持同步口令和異步挑戰(zhàn)-應(yīng)答口令，在保證安全需求前提 下，方便使

60、用分發(fā)。在Web登錄代理系統(tǒng)中為基于URL的訪問制訂靈活、縝密的訪問策略，為業(yè) 務(wù)應(yīng)用提供針對Web的訪問授權(quán)。圖5 Web系統(tǒng)的身份認(rèn)證結(jié)構(gòu)基于C/S結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)的身份認(rèn)證在自治區(qū)煙草公司網(wǎng)絡(luò)中同時也存在大量的基于 C/S結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)，業(yè)務(wù) 操作員通過Client端和Server端建立連接，進行相應(yīng)業(yè)務(wù)方面的處理。目前的業(yè) 務(wù)系統(tǒng)操作人員還是使用固定密碼訪問系統(tǒng)，一旦密碼泄漏，對業(yè)務(wù)系統(tǒng)的安全 運行以及內(nèi)部數(shù)據(jù)的保密將構(gòu)成嚴(yán)重威脅。鑒于業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)中所處的重要位置，我們建議對這些業(yè)務(wù)系統(tǒng)也實 施統(tǒng)一身份認(rèn)證。對于C/S結(jié)構(gòu)的應(yīng)用，需開發(fā)一個適用于不同業(yè)務(wù)系統(tǒng)的代理 Agent,此代