第一章
本方案為某大型局域網(wǎng)網(wǎng)絡安全解決方案,包括原有網(wǎng)絡系統(tǒng)分析、安全需求分析、安全目標的確立、安全體系結(jié)構(gòu)的設計等。本安全解決方案的目標是在不影響某大型企業(yè)局域網(wǎng)當前業(yè)務的前提下,實現(xiàn)對他們局域網(wǎng)全面的安全管理。
1.將安全策略、硬件及軟件等方法結(jié)合起來,構(gòu)成一個統(tǒng)一的防御系統(tǒng),有效阻止非法用戶進入網(wǎng)絡,減少網(wǎng)絡的安全風險。
2.定期進行漏洞掃描,審計跟蹤,及時發(fā)現(xiàn)問題,解決問題。
3.通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控,提供快速響應故障的手段,同時具備很好的安全取證措施。
4.使網(wǎng)絡管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài),最大限度地減少損失。
5.在工作站、服務器上安裝相應的防病毒軟件,由中央控制臺統(tǒng)一控制和管理,實現(xiàn)全網(wǎng)統(tǒng)一防病毒。
第二章 網(wǎng)絡系統(tǒng)概況
2.1 網(wǎng)絡概況
這個企業(yè)的局域網(wǎng)是一個信息點較為密集的千兆局域網(wǎng)絡系統(tǒng),它所聯(lián)接的現(xiàn)有上千個信息點為在整個企業(yè)內(nèi)辦公的各部門提供了一個快速、方便的信息交流平臺。不僅如此,通過專線與Internet的連接,打通了一扇通向外部世界的窗戶,各個部門可以直接與互聯(lián)網(wǎng)用戶進行交流、查詢資料等。通過公開服務器,企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡互連方案設計為用戶提供快速、方便、靈活通信平臺的同時,也為網(wǎng)絡的安全帶來了更大的風險。因此,在原有網(wǎng)絡上實施一套完整、可操作的安全解決方案不僅是可行的,而且是必需的。
2.1.1 網(wǎng)絡概述
這個企業(yè)的局域網(wǎng),物理跨度不大,通過千兆交換機在主干網(wǎng)絡上提供1000M的獨享帶寬,通過下級交換機與各部門的工作站和服務器連結(jié),并為之提供100M的獨享帶寬。利用與中心交換機連結(jié)的Cisco 路由器,所有用戶可直接訪問Internet。
2.1.2 網(wǎng)絡結(jié)構(gòu)
這個企業(yè)的局域網(wǎng)按訪問區(qū)域可以劃分為三個主要的區(qū)域:Internet區(qū)域、內(nèi)部網(wǎng)絡、公開服務器區(qū)域。內(nèi)部網(wǎng)絡又可按照所屬的部門、職能、安全重要程度分為許多子網(wǎng),包括:財務子網(wǎng)、領(lǐng)導子網(wǎng)、辦公子網(wǎng)、市場部子網(wǎng)、中心服務器子網(wǎng)等。在安全方案設計中,我們基于安全的重要程度和要保護的對象,可以在Catalyst 型交換機上直接劃分四個虛擬局域網(wǎng)(VLAN),即:中心服務器子網(wǎng)、財務子網(wǎng)、領(lǐng)導子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域,由于財務子網(wǎng)、領(lǐng)導子網(wǎng)、中心服務器子網(wǎng)屬于重要網(wǎng)段,因此在中心交換機上將這些網(wǎng)段各自劃分為一個獨立的廣播域,而將其他的工作站劃分在一個相同的網(wǎng)段。(圖省略)
2.2 網(wǎng)絡應用
這個企業(yè)的局域網(wǎng)可以為用戶提供如下主要應用:
1.文件共享、辦公自動化、WWW服務、電子郵件服務;
2.文件數(shù)據(jù)的統(tǒng)一存儲;
3.針對特定的應用在數(shù)據(jù)庫服務器上進行二次開發(fā)(比如財務系統(tǒng));
4.提供與Internet的訪問;
5.通過公開服務器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等;
2.3 網(wǎng)絡結(jié)構(gòu)的特點
在分析這個企業(yè)局域網(wǎng)的安全風險時,應考慮到網(wǎng)絡的如下幾個特點:
1.網(wǎng)絡與Internet直接連結(jié),因此在進行安全方案設計時要考慮與Internet連結(jié)的有關(guān)風險,包括可能通過Internet傳播進來病毒,黑客攻擊,來自Internet的非授權(quán)訪問等。
2.網(wǎng)絡中存在公開服務器,由于公開服務器對外必須開放部分業(yè)務,因此在進行安全方案設計時應該考慮采用安全服務器網(wǎng)絡,避免公開服務器的安全風險擴散到內(nèi)部。
3.內(nèi)部網(wǎng)絡中存在許多不同的子網(wǎng),不同的子網(wǎng)有不同的安全性,因此在進行安全方案設計時,應考慮將不同功能和安全級別的網(wǎng)絡分割開,這可以通過交換機劃分VLAN來實現(xiàn)。
4.網(wǎng)絡中有二臺應用服務器,在應用程序開發(fā)時就應考慮加強用戶登錄驗證,防止非授權(quán)的訪問。
總而言之,在進行網(wǎng)絡方案設計時,應綜合考慮到這個企業(yè)局域網(wǎng)的特點,根據(jù)產(chǎn)品的性能、價格、潛在的安全風險進行綜合考慮。
第三章 網(wǎng)絡系統(tǒng)安全風險分析
隨著Internet網(wǎng)絡急劇擴大和上網(wǎng)用戶迅速增加,風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng),引起大范圍的癱瘓和損失;另外加上缺乏安全控制機制和對Internet安全政策的認識不足,這些風險正日益嚴重。
針對這個企業(yè)局域網(wǎng)中存在的安全隱患,在進行安全方案設計時,下述安全風險我們必須要認真考慮,并且要針對面臨的風險,采取相應的安全措施。下述風險由多種因素引起,與這個企業(yè)局域網(wǎng)結(jié)構(gòu)和系統(tǒng)的應用、局域網(wǎng)內(nèi)網(wǎng)絡服務器的可靠性等因素密切相關(guān)。下面列出部分這類風險因素:
網(wǎng)絡安全可以從以下三個方面來理解:1 網(wǎng)絡物理是否安全;2 網(wǎng)絡平臺是否安全;3 系統(tǒng)是否安全;4 應用是否安全;5 管理是否安全。針對每一類安全風險,結(jié)合這個企業(yè)局域網(wǎng)的實際情況,我們將具體的分析網(wǎng)絡的安全風險。
3.1物理安全風險分析
網(wǎng)絡的物理安全的風險是多種多樣的。
網(wǎng)絡的物理安全主要是指地震、水災、火災等環(huán)境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬件、雙機多冗余的設計、機房環(huán)境及報警系統(tǒng)、安全意識等。它是整個網(wǎng)絡系統(tǒng)安全的前提,在這個企業(yè)區(qū)局域網(wǎng)內(nèi),由于網(wǎng)絡的物理跨度不大,,只要制定健全的安全管理制度,做好備份,并且加強網(wǎng)絡設備和機房的管理,這些風險是可以避免的。
3.2網(wǎng)絡平臺的安全風險分析
網(wǎng)絡結(jié)構(gòu)的安全涉及到網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡路由狀況及網(wǎng)絡的環(huán)境等。
公開服務器面臨的威脅
這個企業(yè)局域網(wǎng)內(nèi)公開服務器區(qū)(WWW、EMAIL等服務器)作為公司的信息發(fā)布平臺,一旦不能運行后者受到攻擊,對企業(yè)的聲譽影響巨大。同時公開服務器本身要為外界服務,必須開放相應的服務;每天,黑客都在試圖闖入Internet節(jié)點,這些節(jié)點如果不保持警惕,可能連黑客怎么闖入的都不知道,甚至會成為黑客入侵其他站點的跳板。因此,規(guī)模比較大網(wǎng)絡的管理人員對Internet安全事故做出有效反應變得十分重要。我們有必要將公開服務器、內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行隔離,避免網(wǎng)絡結(jié)構(gòu)信息外泄;同時還要對外網(wǎng)的服務請求加以過濾,只允許正常通信的數(shù)據(jù)包到達相應主機,其他的請求服務在到達主機之前就應該遭到拒絕。
整個網(wǎng)絡結(jié)構(gòu)和路由狀況
安全的應用往往是建立在網(wǎng)絡系統(tǒng)之上的。網(wǎng)絡系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設。在這個企業(yè)局域網(wǎng)絡系統(tǒng)中,只使用了一臺路由器,用作與Internet連結(jié)的邊界路由器,網(wǎng)絡結(jié)構(gòu)相對簡單,具體配置時可以考慮使用靜態(tài)路由,這就大大減少了因網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡路由造成的安全風險。
3.3系統(tǒng)的安全風險分析
所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡操作系統(tǒng)、網(wǎng)絡硬件平臺是否可靠且值得信任。
網(wǎng)絡操作系統(tǒng)、網(wǎng)絡硬件平臺的可靠性:對于中國來說,恐怕沒有絕對安全的操作系統(tǒng)可以選擇,無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統(tǒng),其開發(fā)廠商必然有其Back-Door。我們可以這樣講:沒有完全安全的操作系統(tǒng)。但是,我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴格控制,提高系統(tǒng)的安全性。因此,不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且,必須加強登錄過程的認證(特別是在到達服務器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作權(quán)限,將其完成的操作限制在最小的范圍內(nèi)。 3.4應用的安全風險分析
應用系統(tǒng)的安全跟具體的應用有關(guān),它涉及很多方面。應用系統(tǒng)的安全是動態(tài)的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。
應用系統(tǒng)的安全動態(tài)的、不斷變化的:應用的安全涉及面很廣,以目前Internet上應用最為廣泛的E-mail系統(tǒng)來說,其解決方案有幾十種,但其系統(tǒng)內(nèi)部的編碼甚至編譯器導致的BUG是很少有人能夠發(fā)現(xiàn)的,因此一套詳盡的測試軟件是相當必須的。但是應用系統(tǒng)是不斷發(fā)展且應用類型是不斷增加的,其結(jié)果是安全漏洞也是不斷增加且隱藏越來越深。因此,保證應用系統(tǒng)的安全也是一個隨網(wǎng)絡發(fā)展不斷完善的過程。
應用的安全性涉及到信息、數(shù)據(jù)的安全性:信息的安全性涉及到:機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個企業(yè)局域網(wǎng)跨度不大,絕大部分重要信息都在內(nèi)部傳遞,因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進行保密的(比如領(lǐng)導子網(wǎng)、財務系統(tǒng)傳遞的重要信息)可以考慮在應用級進行加密,針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。
3.5管理的安全風險分析
管理是網(wǎng)絡安全中最重要的部分
管理是網(wǎng)絡中安全最最重要的部分。責權(quán)不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權(quán)不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。
當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操作等),無法進行實時的檢測、監(jiān)控、報告與預警。同時,當事故發(fā)生后,也無法提供黑客攻擊行為的追蹤線索及破案依據(jù),即缺乏對網(wǎng)絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發(fā)現(xiàn)非法入侵行為。
建立全新網(wǎng)絡安全機制,必須深刻理解網(wǎng)絡并能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的結(jié)合。
3.6黑客攻擊
黑客們的攻擊行動是無時無刻不在進行的,而且會利用系統(tǒng)和管理上的一切可能利用的漏洞。公開服務器存在漏洞的一個典型例證,是黑客可以輕易地騙過公開服務器軟件,得到Unix的口令文件并將之送回。黑客侵入UNIX服務器后,有可能修改特權(quán),從普通用戶變?yōu)楦呒売脩?,一旦成功,黑客可以直接進入口令文件。黑客還能開發(fā)欺騙程序,將其裝入UNIX服務器中,用以監(jiān)聽登錄會話。當它發(fā)現(xiàn)有用戶登錄時,便開始存儲一個文件,這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客,需要設置公開服務器,使得它不離開自己的空間而進入另外的目錄。另外,還應設置組特權(quán),不允許任何使用公開服務器的人訪問WWW頁面文件以外的東西。在這個企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、Web頁面保護技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來保護網(wǎng)絡內(nèi)的信息資源,防止黑客攻擊。
3.7通用網(wǎng)關(guān)接口(CGI)漏洞
有一類風險涉及通用網(wǎng)關(guān)接口(CGI)腳本。許多頁面文件和指向其他頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的。黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務。通常,這些CGI腳本只能在這些所指WWW服務器中尋找,但如果進行一些修改,他們就可以在WWW 服務器之外進行尋找。要防止這類問題發(fā)生,應將這些CGI腳本設置為較低級用戶特權(quán)。提高系統(tǒng)的抗破壞能力,提高服務器備份與恢復能力,提高站點內(nèi)容的防篡改與自動修復能力。
3.8惡意代碼
惡意代碼不限于病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經(jīng)同意的軟件。應該加強對惡意代碼的檢測。
3.9病毒的攻擊
計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒,例如通過E-Mail傳播的病毒,增加了這種威脅的程度。病毒的種類和傳染方式也在增加,國際空間的病毒總數(shù)已達上萬甚至更多。當然,查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染,然而,下載可執(zhí)行文件和接收來歷不明的E-Mail文件需要特別警惕,否則很容易使系統(tǒng)導致嚴重的破壞。典型的“CIH”病毒就是一可怕的例子。
3.10不滿的內(nèi)部員工
不滿的內(nèi)部員工可能在WWW站點上開些小玩笑,甚至破壞。不論如何,他們最熟悉服務器、小程序、腳本和系統(tǒng)的弱點。對于已經(jīng)離職的不滿員工,可以通過定期改變口令和刪除系統(tǒng)記錄以減少這類風險。但還有心懷不滿的在職員工,這些員工比已經(jīng)離開的員工能造成更大的損失,例如他們可以傳出至關(guān)重要的信息、泄露安全重要信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。
3.11網(wǎng)絡的攻擊手段
一般認為,目前對網(wǎng)絡的攻擊手段主要表現(xiàn)在:
非授權(quán)訪問:沒有預先經(jīng)過同意,就使用網(wǎng)絡或計算機資源被看作非授權(quán)訪問,如有意避開系統(tǒng)訪問控制機制,對網(wǎng)絡設備及資源進行非正常使用,或擅自擴大權(quán)限,越權(quán)訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。
信息泄漏或丟失:指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如"黑客"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析,推出有用信息,如用戶口令、帳號等重要信息。),信息在存儲介質(zhì)中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。
破壞數(shù)據(jù)完整性:以非法手段竊得對數(shù)據(jù)的使用權(quán),刪除、修改、插入或重發(fā)某些重要信息,以取得有益于攻擊者的響應;惡意添加,修改數(shù)據(jù),以干擾用戶的正常使用。
拒絕服務攻擊:它不斷對網(wǎng)絡服務系統(tǒng)進行干擾,改變其正常的作業(yè)流程,執(zhí)行無關(guān)程序使系統(tǒng)響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務。
利用網(wǎng)絡傳播病毒:通過網(wǎng)絡傳播計算機病毒,其破壞性大大高于單機系統(tǒng),而且用戶很難防范。 第四章 安全需求與安全目標
4.1安全需求分析
通過前面我們對這個企業(yè)局域網(wǎng)絡結(jié)構(gòu)、應用及安全威脅分析,可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網(wǎng)段的保護以及管理安全上。因此,我們必須采取相應的安全措施杜絕安全隱患,其中應該做到:
公開服務器的安全保護
防止黑客從外部攻擊
入侵檢測與監(jiān)控
信息審計與記錄
病毒防護
數(shù)據(jù)安全保護
數(shù)據(jù)備份與恢復
網(wǎng)絡的安全管理
針對這個企業(yè)局域網(wǎng)絡系統(tǒng)的實際情況,在系統(tǒng)考慮如何解決上述安全問題的設計時應滿足如下要求:
1.大幅度地提高系統(tǒng)的安全性(重點是可用性和可控性);
2.保持網(wǎng)絡原有的能特點,即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性,能透明接入,無需更改網(wǎng)絡設置;
3.易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網(wǎng)絡拓撲結(jié)構(gòu),同時便于系統(tǒng)及系統(tǒng)功能的擴展;
5.安全保密系統(tǒng)具有較好的性能價格比,一次性投資,可以長期使用;
6.安全產(chǎn)品具有合法性,及經(jīng)過國家有關(guān)管理部門的認可或認證;
7.分布實施。
4.2網(wǎng)絡安全策略
安全策略是指在一個特定的環(huán)境里,為保證提供一定級別的安全保護所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個重要組成部分,即:
威嚴的法律:安全的基石是社會法律、法規(guī)、與手段,這部分用于建立一套安全管理標準和方法。即通過建立與信息安全相關(guān)的法律、法規(guī),使非法分子懾于法律,不敢輕舉妄動。
先進的技術(shù):先進的安全技術(shù)是信息安全的根本保障,用戶對自身面臨的威脅進行風險評估,決定其需要的安全服務種類,選擇相應的安全機制,然后集成先進的安全技術(shù)。
嚴格的管理:各網(wǎng)絡使用機構(gòu)、企業(yè)和單位應建立相宜的信息安全管理辦法,加強內(nèi)部管理,建立審計和跟蹤體系,提高整體信息安全意識。
4.3系統(tǒng)安全目標
基于以上的分析,我們認為這個局域網(wǎng)網(wǎng)絡系統(tǒng)安全應該實現(xiàn)以下目標:
建立一套完整可行的網(wǎng)絡安全與網(wǎng)絡管理策略
將內(nèi)部網(wǎng)絡、公開服務器網(wǎng)絡和外網(wǎng)進行有效隔離,避免與外部網(wǎng)絡的直接通信
建立網(wǎng)站各主機和服務器的安全保護措施,保證他們的系統(tǒng)安全
對網(wǎng)上服務請求內(nèi)容進行控制,使非法訪問在到達主機前被拒絕
加強合法用戶的訪問認證,同時將用戶的訪問權(quán)限控制在最低限度
全面監(jiān)視對公開服務器的訪問,及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為
加強對各種訪問的審計工作,詳細記錄對網(wǎng)絡、公開服務器的訪問行為,形成完 整的系統(tǒng)日志
備份與災難恢復——強化系統(tǒng)備份,實現(xiàn)系統(tǒng)快速恢復
加強網(wǎng)絡安全管理,提高系統(tǒng)全體人員的網(wǎng)絡安全意識和防范技術(shù)
第五章 網(wǎng)絡安全方案總體設計
5.1安全方案設計原則
在對這個企業(yè)局域網(wǎng)網(wǎng)絡系統(tǒng)安全方案設計、規(guī)劃時,應遵循以下原則:
綜合性、整體性原則:應用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡,包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。
需求、風險、代價平衡的原則:對任一網(wǎng)絡,絕對安全難以達到,也不一定是必要的。對一個網(wǎng)絡進行實際額研究(包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等),并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略。
一致性原則:一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期(或生命周期)同時存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致。安全的網(wǎng)絡系統(tǒng)設計(包括初步或詳細設計)及實施計劃、網(wǎng)絡驗證、驗收、運行等,都要有安全的內(nèi)容光煥發(fā)及措施,實際上,在網(wǎng)絡建設的開始就考慮網(wǎng)絡安全對策,比在網(wǎng)絡建設好后再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次,措施的采用不能影響系統(tǒng)的正常運行。
分步實施原則:由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此分步實施,即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
可評價性原則:如何預先評價一個安全設計并驗證其網(wǎng)絡的安全性,這需要通過國家有關(guān)網(wǎng)絡信息安全測評認證機構(gòu)的評估來實現(xiàn)。
5.2安全服務、機制與技術(shù)
安全服務:安全服務主要有:控制服務、對象認證服務、可靠性服務等;
安全機制:訪問控制機制、認證機制等;
安全技術(shù):防火墻技術(shù)、鑒別技術(shù)、審計監(jiān)控技術(shù)、病毒防治技術(shù)等;在安全的開放環(huán)境中,用戶可以使用各種安全應用。安全應用由一些安全服務來實現(xiàn);而安全服務又是由各種安全機制或安全技術(shù)來實現(xiàn)的。應當指出,同一安全機制有時也可以用于實現(xiàn)不同的安全服務。
第六章 網(wǎng)絡安全體系結(jié)構(gòu)
通過對網(wǎng)絡的全面了解,按照安全策略的要求、風險分析的結(jié)果及整個網(wǎng)絡的安全目標,整個網(wǎng)絡措施應按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成:物理安全、網(wǎng)絡安全、系統(tǒng)安全、信息安全、應用安全和安全管理
6.1物理安全
保證計算機信息系統(tǒng)各種設備的物理安全是整個計算機信息系統(tǒng)安全的前提,物理安全是保護計算機網(wǎng)絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 它主要包括三個方面:
環(huán)境安全:對系統(tǒng)所在環(huán)境的安全保護,如區(qū)域保護和災難保護;(參見國家標準GB50173-93《電子計算機機房設計規(guī)范》、國標GB2887-89《計算站場地技術(shù)條件》、GB9361-88《計算站場地安全要求》
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;
媒體安全:包括媒體數(shù)據(jù)的安全及媒體本身的安全。
在網(wǎng)絡的安全方面,主要考慮兩個大的層次,一是整個網(wǎng)絡結(jié)構(gòu)成熟化,主要是優(yōu)化網(wǎng)絡結(jié)構(gòu),二是整個網(wǎng)絡系統(tǒng)的安全。
6.2.1網(wǎng)絡結(jié)構(gòu)
安全系統(tǒng)是建立在網(wǎng)絡系統(tǒng)之上的,網(wǎng)絡結(jié)構(gòu)的安全是安全系統(tǒng)成功建立的基礎(chǔ)。在整個網(wǎng)絡結(jié)構(gòu)的安全方面,主要考慮網(wǎng)絡結(jié)構(gòu)、系統(tǒng)和路由的優(yōu)化。
網(wǎng)絡結(jié)構(gòu)的建立要考慮環(huán)境、設備配置與應用情況、遠程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡維護管理、網(wǎng)絡應用與業(yè)務定位等因素。成熟的網(wǎng)絡結(jié)構(gòu)應具有開放性、標準化、可靠性、先進性和實用性,并且應該有結(jié)構(gòu)化的設計,充分利用現(xiàn)有資源,具有運營管理的簡便性,完善的安全保障體系。網(wǎng)絡結(jié)構(gòu)采用分層的體系結(jié)構(gòu),利于維護管理,利于更高的安全控制和業(yè)務發(fā)展。
網(wǎng)絡結(jié)構(gòu)的優(yōu)化,在網(wǎng)絡拓撲上主要考慮到冗余鏈路;防火墻的設置和入侵檢測的實時監(jiān)控等。
6.2.2網(wǎng)絡系統(tǒng)安全
6.2.2.1 訪問控制及內(nèi)外網(wǎng)的隔離
訪問控制
訪問控制可以通過如下幾個方面來實現(xiàn):
1.制訂嚴格的管理制度:可制定的相應:《用戶授權(quán)實施細則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》。
2.配備相應的安全設備:在內(nèi)部網(wǎng)與外部網(wǎng)之間,設置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護內(nèi)部網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟的措施之一。防火墻設置在不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口。
防火墻主要的種類是包過濾型,包過濾防火墻一般利用IP和TCP包的頭信息對進出被保護網(wǎng)絡的IP包信息進行過濾,能根據(jù)企業(yè)的安全政策來控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流。同時可實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換(NAT)、審記與實時告警等功能。由于這種防火墻安裝在被保護網(wǎng)絡與路由器之間的通道上,因此也對被保護網(wǎng)絡和外部網(wǎng)絡起到隔離作用。
防火墻具有以下五大基本功能:過濾進、出網(wǎng)絡的數(shù)據(jù);管理進、出網(wǎng)絡的訪問行為;封堵某些禁止的業(yè)務;記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡攻擊的檢測和告警。
6.2.2.2 內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制
在這里,主要利用VLAN技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。通過在交換機上劃分VLAN可以將整個網(wǎng)絡劃分為幾個不同的廣播域,實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離。這樣,就能防止影響一個網(wǎng)段的問題穿過整個網(wǎng)絡傳播。針對某些網(wǎng)絡,在某些情況下,它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任,或者某個網(wǎng)段比另一個更敏感。通過將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi),就可以限制局部網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。
6.2.2.3 網(wǎng)絡安全檢測
網(wǎng)絡系統(tǒng)的安全性取決于網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)?如何最大限度地保證網(wǎng)絡系統(tǒng)的安全?最有效的方法是定期對網(wǎng)絡系統(tǒng)進行安全性分析,及時發(fā)現(xiàn)并修正存在的弱點和漏洞。
網(wǎng)絡安全檢測工具通常是一個網(wǎng)絡安全性評估分析軟件,其功能是用實踐性的方法掃描分析網(wǎng)絡系統(tǒng),檢查報告系統(tǒng)存在的弱點和漏洞,建議補救措施和安全策略,達到增強網(wǎng)絡安全性的目的。檢測工具應具備以下功能:
具備網(wǎng)絡監(jiān)控、分析和自動響應功能
找出經(jīng)常發(fā)生問題的根源所在;
建立必要的循環(huán)過程確保隱患時刻被糾正;控制各種網(wǎng)絡安全危險。
漏洞分析和響應
配置分析和響應
漏洞形勢分析和響應
認證和趨勢分析
具體體現(xiàn)在以下方面:
防火墻得到合理配置
內(nèi)外WEB站點的安全漏洞減為最低
網(wǎng)絡體系達到強壯的耐攻擊性
各種服務器操作系統(tǒng),如E_MIAL服務器、WEB服務器、應用服務器、,將受黑客攻擊的可能降為最低
對網(wǎng)絡訪問做出有效響應,保護重要應用系統(tǒng)(如財務系統(tǒng))數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人 員誤操作的侵害
6.2.2.4 審計與監(jiān)控
審計是記錄用戶使用計算機網(wǎng)絡系統(tǒng)進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng),還能看出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡攻擊的情況,審計信息對于去定問題和攻擊源很重要。同時,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題,并且它是后面階段事故處理的重要依據(jù)。另外,通過對安全事件的不斷收集與積累并且加以分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。
因此,除使用一般的網(wǎng)管軟件和系統(tǒng)監(jiān)控管理系統(tǒng)外,還應使用目前較為成熟的網(wǎng)絡監(jiān)控設備或?qū)崟r入侵檢測設備,以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷,從而防止針對網(wǎng)絡的攻擊與犯罪行為。
6.2.2.5 網(wǎng)絡防病毒
由于在網(wǎng)絡環(huán)境下,計算機病毒有不可估量的威脅性和破壞力,一次計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。
網(wǎng)絡反病毒技術(shù)包括預防病毒、檢測病毒和消毒三種技術(shù):
1.預防病毒技術(shù):它通過自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲得系統(tǒng)的控制權(quán),監(jiān)視和判斷系統(tǒng)中是否有病毒存在,進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術(shù)有,加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制(如防病毒軟件等)。
2.檢測病毒技術(shù):它是通過對計算機病毒的特征來進行判斷的技術(shù),如自身校驗、關(guān)鍵字、文件長度的變化等。
3.清除病毒技術(shù):它通過對計算機病毒的分析,開發(fā)出具有刪除病毒程序并恢復原文件的軟件。
網(wǎng)絡反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測;在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權(quán)限等。
所選的防毒軟件應該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。主要面向MAIL 、Web服務器,以及辦公網(wǎng)段的PC服務器和PC機等。支持對網(wǎng)絡、服務器、和工作站的實時病毒監(jiān)控;能夠在中心控制臺向多個目標分發(fā)新版殺毒軟件,并監(jiān)視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,包括宏病毒;支持對Internet/ Intranet服務器的病毒防治,能夠阻止惡意的Java或ActiveX小程序的破壞;支持對電子郵件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持對壓縮文件的病毒檢測;支持廣泛的病毒處理選項,如對染毒文件進行實時殺毒,移出,重新命名等;支持病毒隔離,當客戶機試圖上載一個染毒文件時,服務器可自動關(guān)閉對該工作站的連接;提供對病毒特征信息和檢測引擎的定期在線更新服務;支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。 6.2.2.6 網(wǎng)絡備份系統(tǒng)
備份系統(tǒng)為一個目的而存在:盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機制有:場點內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復;場點外的數(shù)據(jù)存儲、備份與恢復;對系統(tǒng)設備的備份。備份不僅在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用,也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡攻擊及破壞數(shù)據(jù)完整性時起到保護作用,同時亦是系統(tǒng)災難恢復的前提之一。
在確定備份的指導思想和備份方案之后,就要選擇安全的存儲媒介和技術(shù)進行數(shù)據(jù)備份,有“冷備份”和“熱備份”兩種。熱備份是指“在線”的備份,即下載備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡中,只不過傳到令一個非工作的分區(qū)或是另一個非實時處理的業(yè)務系統(tǒng)中存放?!袄鋫浞荨笔侵浮安辉诰€”的備份,下載的備份存放到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡沒有直接聯(lián)系,在系統(tǒng)恢復時重新安裝,有一部分原始的數(shù)據(jù)長期保存并作為查詢使用。熱備份的優(yōu)點是投資大,但調(diào)用快,使用方便,在系統(tǒng)恢復中需要反復調(diào)試時更顯優(yōu)勢。熱備份的具體做法是:可以在主機系統(tǒng)開辟一塊非工作運行空間,專門存放備份數(shù)據(jù),即分區(qū)備份;另一種方法是,將數(shù)據(jù)備份到另一個子系統(tǒng)中,通過主機系統(tǒng)與子系統(tǒng)之間的傳輸,同樣具有速度快和調(diào)用方便的特點,但投資比較昂貴。冷備份彌補了熱備份的一些不足,二者優(yōu)勢互補,相輔相成,因為冷備份在回避風險中還具有便于保管的特殊優(yōu)點。
6.3系統(tǒng)安全
系統(tǒng)的安全主要是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網(wǎng)絡硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略:
對操作系統(tǒng)進行安全配置,提高系統(tǒng)的安全性;系統(tǒng)內(nèi)部調(diào)用不對Internet公開;關(guān)鍵性信息不直接公開,盡可能采用安全性高的操作系統(tǒng)。
應用系統(tǒng)在開發(fā)時,采用規(guī)范化的開發(fā)過程,盡可能的減少應用系統(tǒng)的漏洞;
網(wǎng)絡上的服務器和網(wǎng)絡設備盡可能不采取同一家的產(chǎn)品;
通過專業(yè)的安全工具(安全檢測系統(tǒng))定期對網(wǎng)絡進行安全評估。
6.4信息安全
在這個企業(yè)的局域網(wǎng)內(nèi),信息主要在內(nèi)部傳遞,因此信息被竊聽、篡改的可能性很小,是比較安全的。
6.5應用安全
在應用安全上,主要考慮通信的授權(quán),傳輸?shù)募用芎蛯徲嬘涗?。這必須加強登錄過程的認證(特別使在到達服務器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作權(quán)限,將其完成的操作限制在最小的范圍內(nèi)。另外,在加強主機的管理上,除了上面談的訪問控制和系統(tǒng)漏洞檢測外,還可以采用訪問存取控制,對權(quán)限進行分割和管理。應用安全平臺要加強資源目錄管理和授權(quán)管理、傳輸加密、審計記錄和安全管理。對應用安全,主要考慮確定不同服務的應用軟件并緊密注視其Bug ;對掃描軟件不斷升級。
6.6安全管理
為了保護網(wǎng)絡的安全性,除了在網(wǎng)絡設計上增加安全服務功能,完善系統(tǒng)的安全保密措施外,安全管理規(guī)范也是網(wǎng)絡安全所必須的。安全管理策略一方面從純粹的管理上即安全管理規(guī)范來實現(xiàn),另一方面從技術(shù)上建立高效的管理平臺(包括網(wǎng)絡管理和安全管理)。安全管理策略主要有:定義完善的安全管理模型;建立長遠的并且可實施的安全策略;徹底貫徹規(guī)范的安全防范措施;建立恰當?shù)陌踩u估尺度,并且進行經(jīng)常性的規(guī)則審核。當然,還需要建立高效的管理平臺。
6.6.1安全管理規(guī)范
面對網(wǎng)絡安全的脆弱性,除了在網(wǎng)絡設計上增加安全服務功能,完善系統(tǒng)的安全保密措施外,還必須花大力氣加強網(wǎng)絡安全管理規(guī)范的建立,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網(wǎng)絡安全所必須考慮的基本問題,所以應引起各計算機網(wǎng)絡應用部門領(lǐng)導的重視。
1.安全管理原則
網(wǎng)絡信息系統(tǒng)的安全管理主要基于三個原則。
多人負責原則:每一項與安全有關(guān)的活動,都必須有兩人或多人在場。這些人應是系統(tǒng)主管領(lǐng)導指派的,他們忠誠可靠,能勝任此項工作;他們應該簽署工作情況記錄以證明安全工作已得到保障。具體的活動有:
訪問控制使用證件的發(fā)放與回收;
信息處理系統(tǒng)使用的媒介發(fā)放與回收;
處理保密信息;
硬件和軟件的維護;
系統(tǒng)軟件的設計、實現(xiàn)和修改;
重要程序和數(shù)據(jù)的刪除和銷毀等;
任期有限原則:一般地講,任何人最好不要長期擔任與安全有關(guān)的職務,以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則,工作人員應不定期地循環(huán)任職,強制實行休假制度,并規(guī)定對工作人員進行輪流培訓,以使任期有限制度切實可行。
職責分離原則:在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關(guān)的事情,除非系統(tǒng)主管領(lǐng)導批準。出于對安全的考慮,下面每組內(nèi)的兩項信息處理工作應當分開。
計算機操作與計算機編程;
機密資料的接收和傳送;
安全管理和系統(tǒng)管理;
應用程序和系統(tǒng)程序的編制;
訪問證件的管理與其它工作;
計算機操作與信息處理系統(tǒng)使用媒介的保管等。
2.安全管理的實現(xiàn)
信息系統(tǒng)的安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性,制定相應的管理制度或采用相應的規(guī)范。具體工作是:
根據(jù)工作的重要程度,確定該系統(tǒng)的安全等級
根據(jù)確定的安全等級,確定安全管理的范圍
制訂相應的機房出入管理制度對于安全等級要求較高的系統(tǒng),要實行分區(qū)控制,限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別登記系統(tǒng),采用磁卡、身份卡等手段,對人員進行識別、登記管理。
制訂嚴格的操作規(guī)程
操作規(guī)程要根據(jù)職責分離和多人負責的原則,各負其責,不能超越自己的管轄范圍。
制訂完備的系統(tǒng)維護制度
對系統(tǒng)進行維護時,應采取數(shù)據(jù)保護措施,如數(shù)據(jù)備份等。維護時要首先經(jīng)主管部門批準,并有安全管理人員在場,故障的原因、維護內(nèi)容和維護前后的情況要詳細記錄。
制訂應急措施
要制定系統(tǒng)在緊急情況下,如何盡快恢復的應急措施,使損失減至最小。建立人員雇用和解聘制度,對工作調(diào)動和離職人員要及時調(diào)整響應的授權(quán)。
6.6.2網(wǎng)絡管理
管理員可以在管理機器上對整個內(nèi)部網(wǎng)絡上的網(wǎng)絡設備、安全設備、網(wǎng)絡上的防病毒軟件、入侵檢測探測器進行綜合管理,同時利用安全分析軟件可以從不同角度對所有的設備、服務器、工作站進行安全掃描,分析他們的安全漏洞,并采取相應的措施。
6.6.3安全管理
安全管理的主要功能指對安全設備的管理;監(jiān)視網(wǎng)絡危險情況,對危險進行隔離,并把危險控制在最小范圍內(nèi);身份認證,權(quán)限設置;對資源的存取權(quán)限的管理;對資源或用戶動態(tài)的或靜態(tài)的審計;對違規(guī)事件,自動生成報警或生成事件消息;口令管理(如操作員的口令鑒權(quán)),對無權(quán)操作人員進行控制;密鑰管理:對于與密鑰相關(guān)的服務器,應對其設置密鑰生命期、密鑰備份等管理功能;冗余備份:為增加網(wǎng)絡的安全系數(shù),對于關(guān)鍵的服務器應冗余備份。安全管理應該從管理制度和管理平臺技術(shù)實現(xiàn)兩個方面來實現(xiàn)。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺。 |