笔记-信息网络系统建设设计阶段的监理-16.4 网络安全和管理平台方案的评审
16.4 网络安全和管理平台方案的评审
与网络工程类似,网络安全系统承建方的质量管理体现了承建方本身的管理水平及工程实施的能力,它将直接影响信息系统安全工程的实施和完成后的质量。
网络安全工程的承建方必须取得国家相关主管部门颁发的相关资质。国家对于若干领域(如涉及国家秘密领域)信息系统的建设实施有非常严格的资质管理制度。承建方内部应建立完整的质量保证体系,对公司内部及所实施的工程项目进行质量管理。
此外,在网络安全系统监理过程,监理方应在以下几个方面加以重视,这是信息安全工程不同于其他工程监理的重要内容。
(1)风险分析的有效性、准确性。风险分析是确定安全需求的基础,风险分析的有效性、准确性是确保系统安全的基础,监理需要从风险分析的方法、流程、结论等方面,把握分析结论的科学性、准确性,从而保证其“可信度”。
(2)确保符合国家法令、法规的要求。信息安全是一个政策性非常强的领域,符合国家法令、法规是对信息系统安全的基本要求。
(3)保证有关评审是在相关职能部门的主持下完成的。由于信息安全的特殊性,国家有关法令规定了其评审单位必须是有关职能部门,监理应协助用户保证这一点,督促承建方进行方案的评审。
(4)从技术、市场、工程组织实施、售后服务等各个环节对网络系统的安全性进行整体和分项评估,避免出现任何技术和管理漏洞。
16.4.1 防火墙系统
1. 防火墙的功能和性能监理评审要素
主要包括以下内容:
(1)支持透明和路由两种工作模式。
(2)集成VPN网关功能。
(3)支持广泛的网络通信协议和应用协议,包括IPSEC、H.323等,能够满足网络视频会议、VOD和IP电话等多媒体数据流的传输要求。支持多种协议及控制,满足应用需要及应用控制严格性要求,支持TCP/IP、IPX, ICMP/ARP/RARP、OSPF、NETBEUI,SNMP、802.1Q、VOIP、DNS等相关协议及控制。
(4)支持多种入侵监测类型,包括扫描探测、DoS、Web攻击、特洛伊木马等。
(5)支持SSH远程安全登录。
(6)支持对HTTP、FTP、SMTP等服务类型的访问控制。
(7)支持静态、动态和双向的NAT。
(8)支持域名解析,支持链路自动切换。
(9)支持对日志的统计分析功能,同时日志是否可以存储在本地和网络数据库上。
(10)对防火墙本身或受保护网段的非法攻击系统提供多种告警方式以及多种级别的告警。
(11)提供策略备份和恢复功能。管理员可以灵活地定制和应用不同的策略,可以方便地进行策略的备份和还原,并可用于灾难恢复。
(12)具备检测DoS攻击的能力,例如可以检测SYN Flood、Tear Drop、Ping of Death、IP Spoofing等攻击,默认数据包拒绝,过滤源路由IP,动态过滤访问等。
(13)支持对接口和策略的带宽和流量管理。
(14)支持SCMIADS客户隧道配置参数自动集中管理。
(15)支持负载均衡。
(16)支持双机热备。
(17)支持Web自动页面恢复。
(18)实现与入侵监测系统的联动。
2. 性能指标
(1)单台设备并发VPN隧道数;
(2)系统平均无故障时间;
(3)网络接口:
(4)加密速度;
(5)密钥长度;
(6)设备连续无故障运行时间;
(7)在不产生网络瓶颈、千兆和百兆网络环境下防火墙的吞吐量;
(8)防火墙的并发连接数。
16.4.2 入侵监测和漏洞扫描系统
1. 入侵监测系统的功能和性能要素
主要包括:
(1)在检测到入侵事件时,自动执行切断服务、记录入侵过程、邮件报警等动作。
(2)支持攻击特征信息的集中式发布和攻击取证信息的分布式上载。
(3)提供多种方式对监视引擎和检测特征的定期更新服务。
(4)内置网络使用状况监控工具和网络监听工具。
2. 漏洞扫描系统的功能和性能要素
主要包括:
(1)定期或不定期地使用安全性分析软件对整个内部系统进行安全扫描,及时发现系统的安全漏洞、报警并提出补救建议。
(2)支持与入侵监测系统的联动。
(3)检测规则应与相应的国际标准漏洞相对应,包括CVE、BugTrap、WhiteHats等国际标准漏洞库。
(4)支持灵活的事件和规则自定义功能,允许用户修改和添加自定义检测事件和规则,支持事件查询。
(5)支持快速检索事件和规则信息的功能,方便用户通过事件名、详细信息、检测规则等关键字对事件进行快速查询。
(6)可以按照风险级别进行事件分级。
(7)控制台应能提供事件分析和事后处理功能,应具有对报警事件的源地址进行地址解析,分析主机名,分析攻击来源的功能。
(8)传感器应提供TCP连接的检测报警能力。
(9)提供安全事件统计概要报表,并按照风险等级进行归类。
(10)通过数据库管理工具统计数据库建立时间以及当前记录数目。
(11)支持对Teardrop、s.cgi缓冲区溢出攻击的检测。
16.4.3 其他网络安全系统
1. 网络防病毒系统的功能和性能要素
主要包括:
(1)支持多种平台的病毒防范。
(2)支持对服务器的病毒防治。
(3)支持对电子邮件附件的病毒防治。
(4)提供对病毒特征信息和检测引擎的定期在线更新服务。
(5)实现远程管理。
(6)实现集中管理、分布式杀毒。
(7)防病毒范围广泛,包括UNIX系列、Windows系列、Linux系列等操作系统。
2. 安全审计的功能和性能要素
主要包括:
(1)进行系统数据收集,进行统一存储,集中进行安全审计。
(2)支持基于PKI的应用审计。
(3)支持基于XML的审计数据采集协议。
(4)提供灵活的自定义审计规则。
3. Web信息防篡改系统的功能和性能要素
主要包括:
(1)支持多种操作系统。
(2)具有集成发布与监控功能,使系统能够区分合法更新与非法篡改。
(3)可以实时发布与备份。
(4)具备自动监控、自动恢复、自动报警功能。
(5)提供日志管理、扫描策略管理、更新管理。
4. 网闸的功能和性能要素
主要包括:
(1)应选择正式通过公安部或其他权威机构检测的设备。
(2)不改变原有网络和业务系统,即插即用。
(3)既保证外网不能直接访问内网,内网也不能直接访问内网,又保证授权的业务请求和业务数据能得到及时的、安全的处理和响应,并自动截断非法网络动作和非授权信息传输。
(4)既能防止来自Internet的网络入侵,又能防止业务系统的泄密。
(5)技术体系具备自主的知识产权。
(6)采用自主可控的安全操作系统。
(7)支持双系统体系结构以及双系统间特殊的通信协议,保证外网和外网之间实现网络安全隔离。
(8)同时支持多条包过滤规则链式组合使用,提供IP地址、端口和协议组合的包过滤等多重、多级防火墙功能。
(9)能够对外网与外网之间交换数据进行基于数据内容的过滤。
(10)支持多粒度的过滤,包括端口、协议、网段、主机地址等。
(11)能够“无缝”地嵌入当前应用中。
16.4.4 网络管理系统
1. 网管系统的功能和性能要素
主要包括:
(1)能够进行全网范围内的统一管理,包括制定统一的管理模式和策略,对资源的统一分配和调度。
(2)能够对网络内部各种平台、数据库、网络应用的运行状态进行有效监控。
(3)能够进行高度的自动化管理,尽量减少人为干预,避免由于人员操作不当引起的系统故障。
(4)可以对网络节点进行远程配置,并能实时监控各节点的性能状态,一旦出现故障便能自动及时报警。
(5)能够提供辅助支持,出现网络故障时可以快速响应,同时为系统的长期规划提供统计依据。
(6)尽量减少管理信息对网络传输的压力。
2. 实际应用的基本需求
从功能的角度分析,实际应用对网络管理的基本需求包括以下三部分:
(1)网络管理。对整个网络和指定子系统或设备的工作状态进行集中管理和监控,包括拓扑结构、网络设备、连通状态、故障分析等内容。
(2)系统管理。服务器系统、存储和备份系统、网络服务、网络安全系统进行统一的管理和监控。
(3)运行维护管理。对网络系统各种资源的运行状况进行全面的信息采集和自动预警。