计算机网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。以该思想为出发点,北京天融信公司提出了"网络信息安全解决方案"。
一、网络信息安全系统设计原则
? 1.1满足Internet分级管理需求
? 1.2需求、风险、代价平衡的原则
? 1.3综合性、整体性原则
? 1.4可用性原则
? 1.5分步实施原则
目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,考虑技术难度及经费等因素,设计时应遵循如下思想:
(1)大幅度地提高系统的安全性和保密性;
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;
(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。
基于上述思想,网络信息安全系统应遵循如下设计原则:
1.1 满足因特网的分级管理需求
根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。
第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。
第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。
第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。精品文档
1.2 需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
1.3 综合性、整体性原则
应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
1.4 可用性原则
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。
1.5 分步实施原则:分级管理分步实施
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
二、网络信息安全系统设计步骤
?网络安全需求分析
?确立合理的目标基线和安全策略
?明确准备付出的代价
?制定可行的技术方案
?工程实施方案(产品的选购与定制)
?制定配套的法规、条例和管理办法
本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的网络信息安全解决方案。
精品文档
三、网络安全需求
确切了解网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,网络信息系统需要解决如下安全问题:
?局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现
?在连接Internet时,如何在网络层实现安全性
?应用系统如何保证安全性l 如何防止黑客对网络、主机、服务器等的入侵
?如何实现广域网信息传输的安全保密性
?加密系统如何布置,包括建立证书管理中心、应用系统集成加密等
?如何实现远程访问的安全性
?如何评价网络系统的整体安全性
基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等,具体参见北京天融信公司<。
四、网络安全层次及安全措施
? 4.1链路安全
? 4.2网络安全
? 4.3信息安全
网络的安全层次分为:链路安全、网络安全、信息安全
网络的安全层次及在相应层次上采取的安全措施见下表。
信息安全信息传输安
全(动态安
全)
数据加密数据完整性鉴别防抵赖
安
全
管
理信息存储安
全(静态安
全)
数据库安全终端安全
信息的防泄
密
信息内容审计
用户鉴别授权(CA)
精品文档
网络安全访问控制(防
火墙)
网络安全检测
入侵检测
(监控)
IPSEC(IP安全)审计分析
链路安全链路加密
4.1链路安全
链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此,在加密后的数据不需要进行路由交换的情况下,如DDN直通专线用户就可以选择路由加密设备。
一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。
4.2网络安全
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
目前市场上成熟的防火墙主要有如下几类,一类是包过滤型防火墙,一类是应用代理型防火墙,还有一类是复合型防火墙,即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层,一般可以对多种应用协议进行代理,并对用户身份进行鉴别,并提供比较详细的日志和审计信息;其缺点是对每种应用协议都需提供相应的代理程序,并且基于代理的防火墙常常会使网络性能明显下降。应指出的是,在网络安全问题日益突出的今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。
信息系统是动态发展变化的,确定的安全策略与选择合适的防火墙产品只是一个良好的开端,但它只能解决40%-60%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。
信息系统的安全应该是一个动态的发展过程,应该是一种检测──监视──安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。
网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全
精品文档
策略,达到增强网络安全性的目的。
入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。
另外,使用IP信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用IP认证头(IP AH)可以提供认证与数据完整性机制。利用IP封装净载(IP ESP)可以实现通信内容的保密。IP信道加密技术的优点是对应用透明,可以提供主机到主机的安全服务,并通过建立安全的IP隧道实现虚拟专网即VPN。目前基于IPSEC的安全产品主要有网络加密机,另外,有些防火墙也提供相同功能。
4.3信息安全(应用与数据安全)
在这里,我们把信息安全定义为应用层与数据安全。在这一层次上,主要是应用密码技术解决用户身份鉴别、用户权限控制、数据的机密性、完整性等网络上信息的安全问题。由于网络的开放性和资源的共享,使得网络上的信息(无论是动态的还是静态的)的使用和修改都是自由的,如非法修改、越权使用、改变信息的流向等。这也必然威胁到信息的可控性、可用性、保密性、完整性等安全属性。为了保证信息的安全,我们必须采取有效的技术措施。这些措施主要从以下几个方面解决信息的安全问题,即:用户身份鉴别、用户权限控制、信息的传输安全、信息的存储安全以及对信息内容的审计。
北京天融信公司为解决这一层次的安全问题而提供的相关产品有:
?w Internet/Intranet加密系统:它为应用程序提供身份鉴别、数据加密、数字签名和自动密钥分发等安全功能。
?CA系统:建立证书中心(CA)即公钥密码证书管理中心,是公钥密码技术得以大规模应用的前提条件。公钥密码算法在密钥自动管理、数字签名、身份识别等方面是传统对称密码算法所不可代替的一项关键技术。尤其在当前迅猛发展的电子商务中,数字签名是电子商务安全的核心部分。公钥密码算法用于数字签名时须借助可信的第三方对签名者的公开密钥提供担保,这个可信的第三方就是CA。因此,建立CA是开展电子商务的先决条件。另外,CA还可为各种基于公钥密码算法建立的网络安全系统提供认证服务。
?端端加密机:这类密码机只对用户数据中的数据字段部分加密,控制字段部分则不加密,用户数据加密后通过网络路由交换到达目的地后才进行解密。用户数据在网络的各个交换节点中传输时始终处于加密状态,有效地防止了用户信息在网络各个环节上的泄漏和篡改问题。端端系列加密机系列目前主要用于X.25分组交换网等端到端通信环境,为X.25网用户提供全程加密服务,它支持专线及电话拨号两种入网方式。
?信息稽查系统:是针对信息内容进行审计的安全管理手段,该系统采用先进的状态检查技术,以透明方式实时对进出内部网络的电子邮件和传输文件等进行数据备份,并可根据用精品文档
户需求对通信内容进行审计,并对压缩的文件进行解压还原,从而为防止内部网络敏感信息的泄漏以及外部不良信息的侵入和外部的非法攻击提供有效的技术手段。
?办公自动化文电加密系统:文电办公自动化安全保密系统是用于文件和电子邮件传送、存储以及访问控制的应用系统,是应用层加密系统。系统采用对称与非对称算法相结合的体系,为适应国家有关规定,算法可根据用户的安全强度需求不同进行定制;而且具有操作简单、使用方便的特点。可广泛应用于企业内部网、局域网、广域网以及利用Internet开展的诸多应用中。
?安全数据库系统:安全数据库系统是一套完全自主版权实用化的数据库软件产品,系统主要的安全机制包括:管理员、审计员、安全员三权分立的管理机制;对用户和数据的分级管理机制;同时提供可靠的故障恢复机制。该系统是客户/服务器体系机构的分布式多媒体数据库管理系统,支持多台服务器并行协同工作,提供良好的分布式数据库环境,确保分布数据的完整性;支持存储过程和远程数据访问;系统性能与功能强度,相当于ORACLE V7,并可与ORACLE等流行数据库互联互访。
?数据库安全保密系统:数据库安全保密系统是针对目前已选用的通用数据库开发的安全措施,是在目前流行的通用数据库(如Oracle)基础上增加控件,以实现对数据库的访问/存取控制及加密控制等。
五、网络信息安全解决方案选型指导
? 5.1链路安全解决方案
? 5.2网络安全解决方案
? 5.3信息安全解决方案
5.1 链路安全解决方案
用户需求:链路加密,防信息泄漏,对用户透明,设备自身安全管理
解决方案:异步线路密码机(适用于电话网)、同步线路密码机)适用于(DDN专线、X.25专线、卫星线路)
5.2 网络安全解决方案
1.基本防护体系(包过滤防火墙+NAT+计费)
用户需求:全部或部分满足以下各项
?解决内外网络边界安全,防止外部攻击,保护内部网络
?解决内部网安全问题,隔离内部不同网段,建立VLAN
?根据IP地址、协议类型、端口进行过滤
精品文档
?内外网络采用两套IP地址,需要网络地址转换NAT功能
?支持安全服务器网络SSN
?通过IP地址与MAC地址对应防止IP欺骗
?基于IP地址计费
?基于IP地址的流量统计与限制
?基于IP地址的黑白名单。
?防火墙运行在安全操作系统之上
?防火墙为独立硬件
?防火墙无IP地址
解决方案:采用网络卫士防火墙NG FW-2000
2.标准防护体系(包过滤+NAT+计费+代理+VPN)
用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项?提供应用代理服务,隔离内外网络
?用户身份鉴别
?权限控制
?基于用户计费
?基于用户的流量统计与控制
?基于WEB的安全管理
?支持VPN及其管理
?支持透明接入
?具有自身保护能力,防范对防火墙的常见攻击
解决方案:
(1)选用网络卫士防火墙NG FW-3000
(2)防火墙基本配置+网络加密机(IP协议加密机)
3.强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+监控)精品文档
用户需求:在标准防护体系配置的基础之上,全部或部分满足以下各项?网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备)?操作系统安全性检测
?网络监控与入侵检测
解决方案:选用网络卫士防火墙NG FW3000+网络安全分析系统+网络监控器精品文档