“ 高能所网络安全管理 ” 课题 2002 年年终总结

1. “高能所网络安全管理”课题2002年年终总结 • 防火墙系统改进状况 • 防病毒系统的部署与效果 • 安全网站和数据库系统 • 网络安全课题软件开发进展 • 目前高能所网络安全总体评价 • 下一步完善高能所网络安全

2. 通过防火墙对高能所网络分类 网络① 一般用户， 受限用户 网络①的计算机不能被所外网络访问，但可以主动向外访问Internet和网络② Internet 网络② 有对外合 作的用户 网络②的计算机可与Internet相互访问，但不可以主动连接网络① 防火墙 网络 ③ 公用网络 服务器 网络③与网络②类似，但仅用来连接高能所的公用网络服务器组

3. 网络用户经防火墙上网的途径 经过防火墙NAT后访问Internet Internet 直接穿透防火墙访问Internet 防火墙 通过代理服务器访问Internet 代理服务器

4. Internet 公用电话网 实际的防火墙系统网络拓扑结构 (202.122.32.160/27) 路由器 路由器 • 202.122.32.130/27 • 202.122.32.132/27 集线器 (202.122.32.128/27) • 202.122.32.131/27 防火墙 • 202.38.128.170/26 • 202.122.32.193/27 • 202.38.128.2/26 andh: 202.122.32.133/27 nsmg: 202.122.32.142/27 Switch集线器 Switch集线器 (202.38.128.0/26) (202.122.32.192/27) • 202.38.128.11/26 • 202.38.128.12/26 • 202.38.128.171/26 • 202.38.128.173/26 网络监视设备 双防毒墙 • 202.38.128.129/26 (202.38.128.128/26) 中心交换机 Ftp: 202.38.128.130/26 Wins: 202.38.128.138/26 Web: 202.122.32.39/26 Nsg: 202.38.128.142/26 Proxy1: 202.38.128.136/26 Proxy2: 202.38.128.137/26 Kill: 202.38.128.139/26 Sec: 202.38.128.172/26 MAIL: 202.38.128.1/26 WWW: 202.38.128.8/26 SUN: 202.38.128.10/26 DNS: 202.38.128.58/26 允许被从所外访问的服务器 高能所内网

5. 防火墙安全策略的制定原则 • 对绝大多数计算机用户授权NAT方式访问Internet； • 将有特殊（需要被从所外向内访问）的用户计算机安放在计算中心专门的保护区； • 对不能移到计算中心，但又需要与特定所外单位相互通讯的计算机，按IP地址和协议设置相应的保护策略； • 对仅在所内通讯的计算机设置不允许穿越防火墙的安全保护策略。

6. 防火墙安全策略查询方法 • 为使用户知道自己使用的计算机正处于哪种被保护状态，以便于确定能执行何种权限的网络操作，在高能所网络安全网站（http://sec.ihep.ac.cn)上公布了高能所内所有计算机的安全类别，用户可根据自己计算机的安全类别判断是否满足自己的工作需要，并可向计算中心申请修改保护方式。

7. 防病毒系统的部署与效果 • 网关型防病毒系统结构 • 服务器/客户端方式的防病毒系统 • 防病毒软件部署后的效果 • 病毒截杀情况统计详表 • 防病毒安全服务机制

8. 网关型防病毒系统结构 Internet 进、出邮件均受到防毒网关保护，实现方法： 进：将Mail服务器、Sun服务器的MX纪录均指向防病毒网关，这样外部进入的邮件先经过防病毒网关的过滤，再由防病毒网关自带的SendMail发送给内部邮件服务器。 出：将Mail服务器、Sun服务器外发邮件全部指向防病毒网关，由防病毒网关过滤后由自带的SendMail发送给外部的收件人 InterScan防毒网关 客户的HTTP请求受到防毒网关保护，并且客户端不需要更改设置，实现方法： 在代理服务器上打开Cascade功能，将所有客户端的http请求转发到防病毒网关。 防病毒网关本身也是一个代理服务器，将收到的请求发送给Internet，并将传回的网页经过扫描后传递回代理服务器，再由代理服务器交给客户端。 因此在下载大文件时，一开始会很慢，因为正个文件回先下载到防病毒网关，经过扫描后经由代理服务器载传递给客户 客户的FTP请求受到防毒网关保护，但需要按照如下方式操作： 例如下载站点为，download.com，使用的用户名为anonymous,密码为1@sina.com，客户端必须在命令行模式下： ftp v-wall.ihep.ac.cn (ftp到防病毒网关) User (v-wall.ihep.ac.cn:(none)): anonymous@ download.com Password: 1@sina.com 然后使用ftp命令正常下载 邮件服务器 www代理服务器

9. 服务器/客户端方式的防病毒系统

10. 防病毒软件部署后的效果 Kill防病毒软件安装情况： 截至2002年12月10日，累计安装kill客户端杀毒系统已达731台。 Kill防病毒软件升级情况： 自7月份安装以来，共升级了41次，平均每周2次。 网关防毒InterScan VirusWall 统计结果： 自从2002.7.11 -- 2002.12.10，总共截杀Email病毒12693个，平均每天截杀Email病毒83.5个；总共截杀HTTP病毒2020个，平均每天截杀 13.3个。在 7月16 日新病毒password 传播时，防病毒 1891 个，7 月22 日防病毒428 个。

11. 排名 排名 截杀病毒总数(2002.7.11 -- 2002.12.10) Http 病毒名称 Email 病毒名称 病毒数 病毒数 平均每天截杀病毒数 占总病毒数的百分比 占总病毒数的百分比 1 Email 1 12693 JS_EXCEPTION.GEN WORM_KLEZ.H 9685 1312 83.5 65.0% 76.3% 2 2 HTTP 2020 VBS_REDLOF.A WORM_BUGBEAR.A 217 156 13.3 7.7% 1.7% 3 3 PE_TECATA BKDR_DINDANG.A 134 82 1.1% 4.1% 病毒截杀情况统计详表

12. 严重性 问 题 描 述 响应时间 问题解决时间 A 最高级 病毒爆发、大量扩散。 立即 1个工作日 B 紧急 系统主要功能无法执行。 系统作业效率突然严重降低。 4小时 2个工作日 C 重要 系统出现细微错误，不影响日常正常作业。一般性的产品使用问题。 1个工作日 3个工作日 D 普通 索取产品更新（非电子资料方式）。索取一般信息。 1个工作日 3 – 5个工作日 防病毒安全服务机制 • 由计算中心为高能所全体用户做技术支持： • 紧急情况立即到现场解决问题 • 非紧急情况可和计算中心预约派技术人员帮助解决问题 • 由防病毒软件厂商为计算中心做技术支持：

13. 安全网站和数据库系统 • 网络安全数据库系统 • 网络安全网站系统 • 网络安全信息收集中心

14. 安全网站和数据库系统 • 系统基于Linux平台，采用Mysql数据库软件实现： • 记录每台连网的计算机的基本信息（使用者、位置、IP地址、MAC地址、网络使用权限等） • 提供了基于Web的用户界面，以实现数据库的基本管理 • 为其他应用提供了程序调用接口 • 目前数据库共收集了2111条主机信息的记录 • 网络安全Web网站与数据库系统设立在同一台计算机上，是向用户提供安全咨询的途径之一： • 提供高能所网络安全知识、网络使用规范、安全警告信息等 • 可与数据库连接，提供网络注册和安全资料查询 • 提供网络安全软件下载

16. 网络安全课题软件开发进展 • 国家课题研究成果及其在高能所的应用 • 取证系统 • 陷阱机保护系统 • 小区网络监视系统 • 针对高能所网络的研究和开发工作 • 垃圾邮件防范技术措施 • 网络通信异常检测与控制 • 防火墙安全规则优化

17. “网络陷阱与诱骗技术研究”课题成果“网络陷阱系统”的典型应用环境如上图所示。网络陷阱系统以主动防御为目的，可引诱黑客攻击行为到一个可控的范围，消耗其资源，记录下他的所有动作，研究其行为，了解其使用的攻击方法和技术，并提醒他的下一个攻击目标，以便及时做出防范，从而保护真正的服务器的安全，提高网络的安全防护性能“网络陷阱与诱骗技术研究”课题成果“网络陷阱系统”的典型应用环境如上图所示。网络陷阱系统以主动防御为目的，可引诱黑客攻击行为到一个可控的范围，消耗其资源，记录下他的所有动作，研究其行为，了解其使用的攻击方法和技术，并提醒他的下一个攻击目标，以便及时做出防范，从而保护真正的服务器的安全，提高网络的安全防护性能 Internet 服务器1 服务器2 服务器3 服务器4 被保护 服务器群 IDS 防火墙 陷阱主机 DMZ区 交换机 陷阱机1 陷阱机2 陷阱机3 陷阱机4 陷阱机 日志服务器 陷阱机 控制台 陷阱 主机 一个陷阱主机可虚拟四个陷阱机，每个陷阱机都有独立的IP地址和独立的服务功能 IDS探测器2 内部网 网络陷阱系统介绍

18. 入侵取证系统介绍 HUB 取证机 被取证机 分析机 RedHat7.2 Windows2000 被保护服务器 双网卡

19. 网络安全监管系统介绍 Internet 交换机 监管系统 对可疑的IP的活动进行分析和监管，及时发现异常行为并处理 DMZ区 防火墙 Web 服务器 Mail 服务器 DNS 路由器 财务网 内部网 内网段2 内网段1

20. 垃圾邮件防护的技术措施 • 防止所外向所内传递垃圾或病毒邮件的措施 • 在邮件服务器上设置procmail邮件过滤程序，可删除满足特征的电子邮件 • 在防火墙上设置安全规则，禁止所内的邮件服务器直接收来自所外的邮件，必须经防毒墙过滤才可到达 • 防止由所内向所外传递垃圾或病毒邮件的措施 • 在防毒墙上设置了可信任主机的列表，只接收所内批准的合法email服务器的邮件 • 在防火墙上设置安全规则，禁止所内的邮件服务器直接向外发送邮件，必须经放毒墙过滤后再转发出去 • 在邮件服务器上设置了发信认证机制 • 编制了程序自动检测高能所是否被列入“国际反垃圾邮件组织”的黑名单，如发现，及时查明原因并申请从中撤消

21. 网络通信异常检测与控制 • 按IP地址进行网络流量统计并可提供实时地查询功能 • 能实时地检测出网络通讯流量异常的IP地址 • 能判别出正在进行网络扫描或具有这类特征的病毒发作的IP地址 • 可与防火墙系统配合自动禁止这类计算机的通讯

22. 防火墙安全规则优化 • 防火墙安全规则优化的目的是把来自全所计算机用户的安全要求经过合并、筛选，并通过计算机程序自动生成合理的、效率高的防火墙安全规则； • 通过安全优化，可减少防火墙上的规则数目，提高防火墙的性能，完成在这之前硬件性能无法满足的功能。

23. 目前高能所网络安全总体评价 • 今年高能所在网络安全上的投资情况 • 目前高能所网络安全设施 • 高能所网络抗“黑客”攻击的能力 • 高能所网络抗“病毒”攻击的能力 • 对高能所网络用户管理的能力 • 网络安全服务和应急响应速度

24. 当前IHEP网络安全管理实施效果 • 病毒问题大大减少 • 未发生大规模病毒发作事件 • 网关防病毒系统过滤掉许多病毒自7月11日安装后，到目前，共过滤掉E-mail病毒一万三千多个、HTTP病毒二千多个。 • 垃圾邮件影响减轻 • 外发垃圾邮件的情况减少 • 收到的垃圾邮件经过滤，数目减少 • 黑客攻击行为减少 • 外部尝试利用我所网络进行跳转攻击等扫描行为被有效阻断 • 攻击行为被及时发现并有效隔离

25. 下一步完善高能所网络安全的重点 • 完善现有的网络安全设施和手段，尽快解决当前用户急需的网络需求； • 进一步完善高能所网络安全体系的软硬件设施和功能，增强网络网络安全管理的技术措施，实现网络安全计算机化管理； • 引导博士生、研究生的网络安全研究成果及国家网络安全课题研究成果与高能所网络应用结合，在高能所网络发挥作用； • 改进服务管理技术，提高为所内用户进行网络安全服务的响应能力和质量。