信息技术--赵泽茂--第十五章

第15章 信息安全解决方案,15.1 信息安全体系结构现状,15.2 网络安全需求,15.3 网络安全产品,15.4 某大型企业网络安全解决方案案例,15.5 电子政务安全平台实施方案,小结,习题,20世纪80年代中期,，,，美国国防,部,部为适应军,事,事计算机的,保,保密需要，,在,在20世纪70年代的,基,基础理论研,究,究成果计算,机,机保密模型(Bell,Lapadula模,型,型)的基础,上,上，制定了,“,“可信计算,机,机系统安全,评,评价准则”(TCSEC)，其后,又,又对网络系,统,统、数据库,等,等方面作出,了,了一系列安,全,全解释，形,成,成了安全信,息,息系统体系,结,结构的最早,原,原则。至今,，,，美国已研,制,制出符合TCSEC要,求,求的安全系,统,统(包括安,全,全操作系统,、,、安全数据,库,库、安全网,络,络部件)达100多种,，,，但这些系,统,统仍有局限,性,性，还没有,真,真正达到形,式,式化描述和,证,证明的最高,级,级安全系统,。,。,15.1,信,信息安全,体,体系结构现,状,状,1989年,，,，确立了基,于,于OSI参,考,考模型的信,息,息安全体系,结,结构，1995年在此,基,基础上进行,修,修正，颁布,了,了信息安全,体,体系结构的,标,标准，具体,包,包括五大类,安,安全服务、,八,八大种安全,机,机制和相应,的,的安全管理,标,标准(详见1.4.1,节,节)。20世,纪,纪90年代,初,初，英、法,、,、德、荷四,国,国针对TCSEC准则,只,只考虑保密,性,性的局限，,联,联合提出了,包,包括保密性,、,、完整性、,可,可用性概念,的,的“信息技,术,术安全评价,准,准则”(ITSEC),，,，但是该准,则,则中并没有,给,给出综合解,决,决以上问题,的,的理论模型,和,和方案。近,年,年来六国七,方,方(美国国,家,家安全局和,国,国家技术标,准,准研究所、,加,加、英、法,、,、德、荷),共,共同提出了,“,“信息技术,安,安全评价通,用,用准则”(CC for ITSEC)。CC综合了国,际,际上已有的,评,评测准则和,技,技术标准的,精,精华，给出,了,了框架和原,则,则要求，但,它,它仍然缺少,综,综合解决信,息,息的多种安,全,全属性的理,论,论模型依据,。,。,标准于1999年7月,通,通过国际标,准,准化组织的,认,认可，被确,立,立为国际标,准,准，编号为ISO/IEC 15408。ISO/IEC 15408标准对,安,安全的内容,和,和级别给予,了,了更完整的,规,规范，为用,户,户对安全需,求,求的选取提,供,供了充分的,灵,灵活性。然,而,而，国外研,制,制的高安全,级,级别的产品,对,对我国是封,锁,锁禁售的，,即,即使出售给,我,我们，其安,全,全性也难以,令,令人放心。,安全体系结,构,构理论与技,术,术主要包括,安,安全体系模,型,型的建立及,其,其形式化描,述,述与分析，,安,安全策略和,机,机制的研究,，,，检验和评,估,估系统安全,性,性的科学方,法,法和准则的,建,建立，符合,这,这些模型、,策,策略和准则,的,的系统的研,制,制(比如安,全,全操作系统,、,、安全数据,库,库系统等),。,。我,国,国在系统安,全,全的研究及,应,应用方面与,先,先进国家和,地,地区存在着,很,很大的差距,。,。近几年来,，,，我国进行,了,了安全操作,系,系统、安全,数,数据库、多,级,级安全机制,的,的研究，但,由,由于自主安,全,全内核受控,于,于人，难以,保,保证没有漏,洞,洞，而且大,部,部分有关的,工,工作都以美,国,国1985,年,年的TCSEC标准为,主,主要参照系,。,。 ,开发的防火,墙,墙、安全路,由,由器、安全,网,网关、黑客,入,入侵检测系,统,统等产品和,技,技术，主要,集,集中在系统,应,应用环境的,较,较高层次上,，,，在完善性,、,、规范性、,实,实用性上还,存,存在许多不,足,足，特别是,在,在多平台的,兼,兼容性、多,协,协议的适应,性,性、多接口,的,的满足性方,面,面存在很大,的,的差距，其,理,理论基础和,自,自主的技术,手,手段也有待,于,于发展和强,化,化。然而，,我,我国的系统,安,安全的研究,与,与应用毕竟,已,已经起步，,具,具备了一定,的,的基础和条,件,件。1999年10月,，,，我国发布,了,了“计算机,信,信息系统安,全,全保护等级,划,划分准则”,，,，该准则为,安,安全产品的,研,研制提供了,技,技术支持，,也,也为安全系,统,统的建设和,管,管理提供了,技,技术指导。,Linux,开,开放源代码,为,为我们自主,研,研制安全操,作,作系统提供,了,了前所未有,的,的机遇。作,为,为信息系统,赖,赖以支持的,基,基础系统软,件,件操作,系,系统，其安,全,全性是关键,。,。长期以来,，,，我国广泛,使,使用的主流,操,操作系统都,是,是从国外引,进,进的。从国,外,外引进的操,作,作系统，其,安,安全性难以,令,令人放心。,具,具有我国自,主,主版权的安,全,全操作系统,产,产品在我,国,国各行各业,都,都迫切需要,。,。我国的政,府,府、国防、,金,金融等机构,对,对操作系统,的,的安全都有,各,各自的要求,，,，都迫切需,要,要找到一,个,个既满足功,能,能、性能要,求,求，又具备,足,足够的安全,可,可信度的操,作,作系统。Linux的,发,发展及其在,国,国际上的广,泛,泛应用，在,我,我国也产生,了,了广泛的影,响,响，只要其,安,安全问题得,到,到妥善解决,，,，就会得到,我,我国各行各,业,业的普遍接,受,受。,网络安全需,求,求主要包括,下,下述几种需,求,求。,1. 物理,安,安全需求,由于重要信,息,息可能会通,过,过电磁辐射,或,或线路干扰,而,而被泄漏，,因,因此需要对,存,存放机密信,息,息的机房进,行,行必要的设,计,计，如构,建,建屏蔽室、,采,采用辐射干,扰,扰机等，以,防,防止电磁辐,射,射泄漏机密,信,信息。,此,此外，还可,对,对重要的设,备,备和系统进,行,行备份。,15.2,网,网络安全,需,需求,2. 访问,控,控制需求,网络需要防,范,范非法用户,的,的非法访问,和,和合法用户,的,的非授权访,问,问。非法用,户,户的非法访,问,问也就是黑,客,客或间谍的,攻,攻击行为。,在,在没有任何,防,防范措施的,情,情况下，网,络,络的安全主,要,要是靠主机,系,系统自身的,安,安全设置(,如,如用户名及,口,口令)简单,控,控制的。但,对,对于用户名,及,及口令的保,护,护方式，对,有,有攻击目的,的,的人而言，,根,根本就不是,一,一种障碍。,他,他们可以通,过,过对网络上,信,信息的监听,或,或者通过猜,测,测得到用户,名,名及口令，,这,这对他们而,言,言都不是难,事,事，而且只,需,需花费很少,的,的时间。因,此,此，要采取,一,一定的访问,控,控制手段，,防,防范来自非,法,法用户的攻,击,击，保证只,有,有合法用户,才,才能访问合,法,法资源。,合法用户的,非,非授权访问,是,是指合法用,户,户在没有得,到,到许可的情,况,况下访问了,他,他本不该访,问,问的资源。,一,一般来说，,每,每个成员的,主,主机系统中,，,，有一部分,信,信息是可以,对,对外开放的,，,，而有些信,息,息是要求保,密,密或具有一,定,定的隐私性,的,的。,外,外部用户被,允,允许访问一,定,定的信息，,但,但他们同时,有,有可能通过,一,一些手段越,权,权访问别人,不,不允许他访,问,问的信息，,从,从而会造成,他,他人的信息,泄,泄密， 因,此,此必须加密,访,访问控制的,机,机制，对服,务,务及访问权,限,限进行严格,控,控制。,3. 加密,需,需求与CA,系,系统构建,加密传输是,网,网络安全的,重,重要手段之,一,一。信息的,泄,泄漏很多都,是,是在链路上,被,被搭线窃取,的,的，数据也,可,可能因为在,链,链路上被截,获,获、被篡改,后,后传输给对,方,方，造成数,据,据的真实性,、,、完整性得,不,不到保证。,如,如果利用加,密,密设备对传,输,输数据进行,加,加密，使得,在,在网上的数,据,据以密文传,输,输(因为数,据,据是密文),，,，那么即使,在,在传输过程,中,中被截获，,入,入侵者也读,不,不懂，而且,加,加密还能通,过,过先进的技,术,术手段对数,据,据传输过程,中,中的完整性,、,、真实性进,行,行鉴别，从,而,而保证数据,的,的保密性、,完,完整性及可,靠,靠性。因此,，,，必须配备,加,加密设备对,数,数据进行传,输,输加密。,网络系统采,用,用加密措施,，,，而加密系,统,统通常都通,过,过加密密钥,来,来实现，但,密,密钥的分发,及,及管理的可,靠,靠性却存在,安,安全问题。,为,为解决此问,题,题，提出了CA系统的,构,构建，即通,过,过信任的第,三,三方来确保,通,通信双方互,相,相交换信息,。,。,4. 入侵,检,检测系统需,求,求,防火墙是实,现,现网络安全,最,最基本、最,经,经济、最有,效,效的措施之,一,一。防火墙,可,可以对所有,的,的访问进行,严,严格控制(,允,允许、禁止,、,、报警)，,但,但防火墙不,可,可能完全防,止,止有些新的,攻,攻击或那些,不,不经过防火,墙,墙的其他攻,击,击。所以，,为,为确保网络,更,更加安全，,必,必须配备入,侵,侵检测系统,，,，对透过防,火,火墙的攻击,进,进行检测，,并,并做相应的,反,反应(记录,、,、报警、阻,断,断)。,5. 安全,风,风险评估系,统,统需求,网络系统和,操,操作系统存,在,在安全漏洞(如安全配,置,置不严密等)等是使黑,客,客等入侵者,的,的攻击屡屡,得,得手的重要,因,因素。入侵,者,者通常都是,通,通过一些程,序,序来探测网,络,络中系统存,在,在的一些安,全,全漏洞，然,后,后通过发现,的,的安全漏洞,，,，采取相应,的,的技术进行,攻,攻击，因此,，,，必需配备,网,网络安全扫,描,描系统和系,统,统安全扫描,系,系统来检测,网,网络中存在,的,的安全漏洞,，,，并采取相,应,应的措施填,补,补系统漏洞,，,，对网络设,备,备等存在的,不,不安全配置,重,重新进行安,全,全配置。,6. 防病,毒,毒系统需求,病毒的危害,性,性极大并且,传,传播极为迅,速,速，必须配,备,备从单机到,服,服务器的整,套,套防病毒软,件,件，实现全,网,网的病毒安,全,全防护。必,须,须配备从服,务,务器到单机,的,的整套防病,毒,毒软件，防,止,止病毒入侵,主,主机并扩散,到,到全网，实,现,现全网的病,毒,毒安全防护,，,，以确保整,个,个单位的业,务,务数据不受,到,到病毒的破,坏,坏，日常工,作,作不受病毒,的,的侵扰。,由,由于新病毒,的,的出现比较,快,快，因此要,求,求防病毒系,统,统的病毒代,码,码库的更新,周,周期必须比,较,较短。,7. 漏洞,扫,扫描需求,在网络建设,中,中必须部署,漏,漏洞扫描系,统,统，它能主,动,动检测本地,主,主机系统存,在,在安全性弱,点,点的程序，,采,采用模仿黑,客,客入侵的手,法,法对目标网,络,络中的工作,站,站、服务器,、,、数据库等,各,各种系统以,及,及路由器、,交,交换机、防,火,火墙等网络,设,设备可能存,在,在的安全漏,洞,洞进行逐项,检,检查，测试,该,该系统上有,没,没有安全漏,洞,洞存在，然,后,后就将扫描,结,结果向系统,管,管理员提供,周,周密、可靠,的,的安全性分,析,析报告，从,而,而让管理人,员,员从扫描出,来,来的安全漏,洞,洞报告中了,解,解网络中服,务,务器提供的,各,各种服务及,这,这些服务呈,现,现在网络上,的,的安全漏洞,，,，在系统安,全,全防护中做,到,到有的放矢,，,，及时修补,漏,漏洞，从根,本,本上解决网,络,络安全问题,，,，有效地阻,止,止入侵事件,的,的发生。,8. 电磁,泄,泄漏防护需,求,求,计算机系统,和,和网络系统,在,在工作时会,产,产生电磁辐,射,射，信息以,电,电信号方式,传,传输时也会,产,产生电磁辐,射,射，造成电,磁,磁泄漏。对,重,重要的保密,计,计算机，应,使,使用屏蔽技,术,术、电磁干,扰,扰技术和传,输,输加密技术,，,，避免因电,磁,磁泄漏而引,起,起的信息泄,密,密。,解决网络信,息,息安全问题,的,的主要途径,是,是利用密码,技,技术和网络,访,访问控制技,术,术。密码技,术,术用于隐蔽,传,传输信息、,认,认证用户身,份,份等。网络,访,访问控制技,术,术用于对系,统,统进行安全,保,保护，抵抗,各,各种外来攻,击,击。目前，,在,在市场上比,较,较流行，而,又,又能够代表,未,未来发展方,向,向的安全产,品,品大致有以,下,下几类。,15.3,网,网络安,全,全产品,1. 防火,墙,墙,防火墙在某,种,种意义上可,以,以说是一种,访,访问控制产,品,品。它在内,部,部网络与不,安,安全的外部,网,网络之间设,置,置障碍，阻,止,止外界对内,部,部资源的非,法,法访问，防,止,止内部对外,部,部的不安全,访,访问。 防,火,火墙的主要,技,技术有包过,滤,滤技术、应,用,用网关技术,和,和代理服务,技,技术。防火,墙,墙能够较为,有,有效地防止,黑,黑客利用不,安,安全的服务,对,对内部网络,进,进行的攻击,，,，并且能够,实,实现数据流,的,的监控、过,滤,滤、记录和,报,报告功能，,较,较好地隔断,内,内部网络与,外,外部网络的,连,连接。但它,本,本身可能存,在,在安全问题,，,，也可能会,是,是一个潜在,的,的瓶颈。,2. 安全路,由,由器,由于WAN连接,需,需要专用的路由,器,器设备，因而可,通,通过路由器来控,制,制网络传输。通,常,常采用访问控制,列,列表技术来控制,网,网络信息流。,3. 虚拟专用,网,网(VPN),虚,虚拟专用,网,网(VPN)是,在,在公共数据网络,上,上通过采用数据,加,加密技术和访问,控,控制技术来实现,两,两个或多个可信,内,内部网之间的互,连,连。VPN的构,架,架通常都要求采,用,用具有加密功能,的,的路由器或防火,墙,墙，以实现数据,在,在公共信道上的,可,可信传递。,4. 安全服,务,务器,安全服务器主要,针,针对一个局域网,内,内部信息存储、,传,传输的安全保密,问,问题，其实现功,能,能包括对局域网,资,资源的管理和控,制,制，对局域网内,用,用户的管理，以,及,及对局域网中所,有,有安全相关事件,的,的审计和跟踪。,5. 电子签,证,证机构CA,和,和PKI产品,电,电子签证,机,机构(CA)作,为,为通信的第三方,，,，为各种服务提,供,供可信任的认证,服,服务。CA可向,用,用户发行电子证,书,书，为用户提供,成,成员身份验证和,密,密钥管理等功能,。,。PKI产品可,以,以提供更多的功,能,能和更好的服务,，,，可作为所有应,用,用的计算基础结,构,构的核心部件。,6. 用户认,证,证产品,由于IC卡技术,的,的日益成熟和完,善,善，IC卡被更,为,为广泛地用于用,户,户认证产品中，,用,用来存储用户的,个,个人私钥，并与,其,其他技术(如动,态,态口令)相结合,，,，对用户身份进,行,行有效的识别。,同,同时，还可将IC卡上的个人私,钥,钥与数字签名技,术,术相结合，实现,数,数字签名机制。,随,随着模式识别技,术,术的发展，诸如,指,指纹、视网膜、,脸,脸部特征等高级,的,的身份识别技术,也,也会投入应用，,并,并与数字签名等,现,现有技术结合，,使,使得对于用户身,份,份的认证和识别,功,功能更趋完善。,7. 安全管,理,理中心,由于网上的安全,产,产品较多，且分,布,布在不同的位置,，,，这就需要建立,一,一套集中管理的,机,机制和设备，即,安,安全管理中心。,它,它用来给各网络,安,安全设备分发密,钥,钥，监控网络安,全,全设备的运行状,态,态，负责收集网,络,络安全设备的审,计,计信息等。,8. 入侵检测,系,系统(IDS),入侵检测作为传,统,统保护机制(比,如,如访问控制、身,份,份识别等)的有,效,效补充，形成了,信,信息系统中不可,或,或缺的反馈链。,9. 安全数据,库,库,由于大量的信息,存,存储在计算机数,据,据库内，有些信,息,息是有价值的，,也,也是敏感的，需,要,要保护，安全数,据,据库可以确保数,据,据库的完整性、,可,可靠性、有效性,、,、机密性、可审,计,计性及存取控制,与,与用户身份识别,等,等。,但是，我们也应,该,该看到密码技术,与,与通信技术、计,算,算机技术以及芯,片,片技术的融合正,日,日益紧密，其产,品,品的分界线越来,越,越模糊，彼此也,越,越来越不能分割,。,。在一个计算机,系,系统中，很难简,单,单地划分某个设,备,备是密码设备，,某,某个设备是通信,设,设备。而这种融,合,合的最终目的还,是,是在于为用户提,供,供高可信任的、,安,安全的计算机和,网,网络信息系统。,网络安全问题的,解,解决是一个综合,性,性问题，涉及诸,多,多因素，包括技,术,术、产品和管理,等,等。国际上已有,众,众多的网络安全,解,解决方案和产品,，,，但由于出口政,策,策和自主性等问,题,题，目前还不能,直,直接用于解决我,国,国自己的网络安,全,全问题，因此我,国,国的网络安全问,题,题只能借鉴这些,先,先进技术和产品,自,自行解决。可幸,的,的是，目前国内,已,已有一些网络安,全,全问题解决方案,和,和产品。不过，,这,这些解决方案和,产,产品与国外同类,产,产品相比尚有一,定,定的差距。,安全解决方案的,目,目标是在不影响,企,企业局域网当前,业,业务的前提下，,实,实现对其局域网,全,全面的安全管理,。,。将安全,策,策略、硬件及软,件,件等方法结合起,来,来，构成一个统,一,一的防御系统，,可,可有效阻止非法,用,用户进入网络，,减,减少网络的安全,风,风险。,15.4 某,大,大型企业网络安,全,全解决方案实例,创建一种安全方,案,案意味着设计一,种,种如何处理计算,机,机安全问题的计,划,划，也就是尽力,在,在黑客征服系统,以,以前保护系统。,通,通常，设计一,套,套安全方案涉及,以,以下步骤: (1),网,网络安全需求分,析,析。确切了解网,络,络信息系统需要,解,解决哪些安全问,题,题是建立合理安,全,全需求的基础。,(2),确,确立合理的安,全,全策略。(3) 制订,可,可行的技术方案,，,，包括工程实,施,施方案(产品的,选,选购与订制)、,制,制订管理办法等,。,。,15.4.1,威,威胁分析,威胁就是将会对,资,资产造成不利影,响,响的潜在的事件,或,或行为，包括自,然,然的、故意的以,及,及偶然的情况。,可,可以说威胁是不,可,可避免的，我们,必,必须采取有效的,措,措施，以降低各,种,种情况造成的威,胁,胁。,1. 边界网络,设,设备安全威胁,边界网络设备面,临,临的威胁主要有,以,以下两点: (1),入,入侵者通过控制,边,边界网络设备进,一,一步了解网络拓,扑,扑结构，利用网,络,络渗透搜集信息,，,，为扩大网络入,侵,侵范围奠定基础,。,。比如，入侵者,可,可以利用这些网,络,络设备的系统(Cisco的IOS)漏洞或者,配,配置漏洞，实现,对,对其控制。,(2) 通过各,种,种手段对网络设,备,备实施拒绝服务,攻,攻击，使网络设,备,备瘫痪，从而造,成,成网络通信的瘫,痪,痪。,2. 信息基础,安,安全平台威胁,信息基础平台主,要,要是指支撑各种,应,应用与业务运行,的,的各种操作系统,。,。操作系统主要,有,有Windows系列与UNIX系统。相对边,界,界网络设备来说,，,，熟知操作系统,的,的人员的范围要,广,广得多，而且在,网,网络上，很容易,就,就能找到许多针,对,对各种操作系统,的,的漏洞的详细描,述,述，所以，针对,操,操作系统和数据,库,库的入侵攻击在,网,网络中也是最,常,常见的。,不管是什么操作,系,系统，只要它运,行,行于网络上，就,必,必然会有或多或,少,少的端口服务暴,露,露在网络上，而,这,这些端口服务又,恰,恰恰可能存在致,命,命的安全漏洞，,这,这无疑会给该系,统,统带来严重的安,全,全威胁，从而也,给,给系统所在的网,络,络带来很大的安,全,全威胁。,3. 内部网络,的,的失误操作行为,由于人员的技术,水,水平的局限性以,及,及经验的不足，,可,可能会出现各种,意,意想不到的操作,失,失误，势必会对,系,系统或者网络的,安,安全产生较大的,影,影响。,4. 源自内部,网,网络的恶意攻击,与,与破坏,据统计，有70%的网络攻击来,自,自于网络的内部,。,。对于网络内部,的,的安全防范会明,显,显地弱于对于网,络,络外部的安全防,范,范，而且由于内,部,部人员对于内部,网,网络的熟悉程度,一,一般是很高的，,因,因此，由网络内,部,部发起的攻击也,就,就必然更容易成,功,功， 一旦攻击,成,成功，其强烈的,攻,攻击目的也就必,然,然促成了更为隐,蔽,蔽和严重的网络,破,破坏。,5. 网络病毒,威,威胁,在网络环境下，,网,网络病毒除了具,有,有可传播性、可,执,执行性、破坏性,、,、可触发性等计,算,算机病毒的共性,外,外，还具有一些,新,新的特点，网络,病,病毒的这些新的,特,特点都会对网络,与,与应用造成极大,的,的威胁。,15.4.2,制,制订策略,根据网络系统的,实,实际安全需求，,结,结合网络安全体,系,系模型，建议采,用,用如下网络安全,防,防护措施。,1. 访问控制,建议在网络的各,个,个入口处部署防,火,火墙，对进入企,业,业网络系统的网,络,络用户进行访问,控,控制，主要实现,如,如下防护功能:,(1) 对网络用户,进,进行身份验证，,保,保证网络用户的,合,合法性;(2) 能够,屏,屏蔽流行的攻击,手,手段; (3) 对远,程,程访问的用户提,供,供通信线路的加,密,密连接; (4) 能,提,提供完整的日志,和,和审计功能。,2. VPN防,火,火墙系统,防火墙是指设置,在,在不同网络或网,络,络安全域之间的,一,一系列部件的组,合,合。它是不同网,络,络或网络安全域,之,之间信息的唯一,出,出入口，能根据,网,网络的安全政策,控,控制(允许、拒,绝,绝、监测)出入,网,网络的信息流。,防,防火墙可以确定,哪,哪些内部服务允,许,许外部访问，哪,些,些外人被许可访,问,问所允许的内部,服,服务，哪些外部,服,服务可由内部人,员,员访问。,并,并且防火墙本身,具,具有较强的抗攻,击,击能力，它是提,供,供信息安全服务,，,，实现网络和信,息,息安全的基础设,施,施。,同时网络通信要,对,对用户“透明”,，,，部署带VPN,功,功能的防火墙，,可,可以同时实现,“,“虚拟”和“专,用,用”的安全特性,，,，充分利用已有,公,公共网络基础设,施,施的高效性。VPN实现的协议,有,有IPSec,、,、 L2F、L2TP、PPTP、MPPE,、,、SSL等。其,中,中互联网络层的,安,安全标准是IPSec，事实证,明,明，基于IPSec技术构建的VPN是应用最,广,广、安全特性最,完,完备的实现形式,。,。,3. 入侵检测,系,系统,在传统的网络安,全,全概念里，似乎,配,配置了防火墙就,标,标志着网络的安,全,全，其实不然，,防,防火墙仅仅是部,署,署在网络边界的,安,安全设备，它的,作,作用是防止外部,的,的非法入侵，仅,仅,仅相当于计算机,网,网络的第一道防,线,线。虽然通过防,火,火墙可以隔离大,部,部分的外部攻击,，,，但是仍然会有,小,小部分攻击通过,正,正常的访问的漏,洞,洞渗透到内部网,络,络。另外，据统,计,计，有70以,上,上的攻击事件来,自,自内部网络，也,就,就是说内部人员,作,作案，而这恰恰,是,是防火墙的盲区,。,。入侵检测系统(IDS)可以,弥,弥补防火墙的不,足,足，为网络安全,提,提供实时的入侵,检,检测及采取相应,的,的防护手段，如,记,记录证据用于跟,踪,踪、恢复、断开,网,网络连接等。,入侵检测系统是,实,实时的网络违规,自,自动识别和响应,系,系统。它运行于,有,有敏感数据需要,保,保护的网络上，,通,通过实时监听网,络,络数据流，识别,、,、记录入侵和破,坏,坏性代码流，寻,找,找网络违规模式,和,和未授权的网络,访,访问尝试。当发,现,现网络违规模式,和,和未授权的网络,访,访问尝试时，入,侵,侵检测系统能够,根,根据系统安全策,略,略作出反应。,该,该系统可安,装,装于防火墙前后,，,，可以对攻击防,火,火墙本身的数据,流,流进行响应，同,时,时可以对穿透防,火,火墙的数据流进,行,行响应。,在被保护的局域,网,网中，入侵检测,设,设备应安装于易,受,受到攻击的服务,器,器或防火墙附近,。,。这些保,护,护措施主要是为,了,了监控经过出口,及,及对重点服务器,进,进行访问的数据,流,流。入侵检测报,警,警日志的功能是,对,对所有对网络,系,系统有可能造成,危,危害的数据流进,行,行报警及响应。,由,由于网络攻击大,多,多来自于网络的,出,出口位置，因此,入,入侵检测在此处,将,将承担实时监测,大,大量出入整个网,络,络的具有破坏性,的,的数据流的任务,。,。这些数据流引,起,起的报警日志，,可,可作为系统受到,网,网络攻击的主要,证,证据。,入,入侵检测、防火,墙,墙和漏洞扫描联,动,动体系示意图如,图,图15-4-1,所,所示。,图 15-4-1 入侵检测、防火墙和漏洞扫描联动体系示意图,4. 漏洞扫描,系,系统,网络的应用越来,越,越广泛，而网络,不,不可避免的安全,问,问题也就越来越,突,突出，如今，每,天,天都有数十种有,关,关操作系统、网,络,络软件、应用软,件,件的安全漏洞被,公,公布，利用这些,漏,漏洞可以很容易,地,地破坏乃至完全,地,地控制系统;另,外,外，由于管理员,的,的疏忽或者技术,水,水平的限制所造,成,成的配置漏洞也,是,是广泛存在的，,这,这对于系统的威,胁,胁同样很严重。,动态安全的概念,是,是帮助管理员主,动,动发现问题。最,有,有效的方法是定,期,期对网络系统进,行,行安全性分析，,及,及时发现并修正,存,存在的弱点和漏,洞,洞，保证系统的,安,安全性。因此企,业,业网络系统需要,一,一套帮助管理员,监,监控网络通信数,据,据流、发现网络,漏,漏洞并解决问题,的,的工具，以保证,整,整体网络系统平,台,台安全。,在企业网络系统,网,网络漏洞扫描系,统,统配置中，我们,建,建议采用启明星,辰,辰公司的“天镜,”,”网络漏洞扫描,系,系统。天镜网络,漏,漏洞扫描系统包,括,括了网络模拟攻,击,击、漏洞检测、,报,报告服务进程、,提,提取对象信息、,评,评测风险、提供,安,安全建议和改进,措,措施等功能，帮,助,助用户控制可能,发,发生的安全事件,，,，最大可能地消,除,除安全隐患。该,系,系统具有强大的,漏,漏洞检测能力和,检,检测效率、 贴,切,切用户需求的功,能,能定义、灵活多,样,样的检测方式、,详,详尽的漏洞修补,方,方案和友好的报,表,表系统以及方便,的,的在线升级等优,点,点。,通过在企业网络,系,系统网络进行自,动,动的安全漏洞检,测,测和分析，我,们,们可以做到以下,几,几点: (1) 对企,业,业网络系统网络,重,重要服务器和PC进行漏洞扫描,，,，发现由于安全,管,管理配置不当、,疏,疏忽或操作系统,本,本身存在的漏洞(这些漏洞会使,系,系统中的资料容,易,易被网络上怀有,恶,恶意的人窃取，,甚,甚至造成系统本,身,身的崩溃)，生,成,成详细的可视化,报,报告，同时向管,理,理人员提出相应,的,的解决办法及安,全,全建议。(2) 对企,业,业网络系统网络,边,边界组件、基础,组,组件和其他系统,进,进行漏洞扫描，,检,检查系统的潜在,问,问题，发现操作,系,系统存在的漏洞,和,和安全隐患。,(3) 漏洞,扫,扫描系统对网,络,络及各种系统,进,进行定期或不,定,定期的扫描监,测,测，并向安全,管,管理员提供系,统,统最新的漏洞,报,报告，使管理,员,员能够随时了,解,解网络系统当,前,前存在的漏洞,并,并及时采取相,应,应的措施进行,修,修补。(4) 通过,漏,漏洞扫描的结,果,果，对系统进,行,行加固和优化,。,。在,核,核心交换机上,接,接入一台装有,漏,漏洞扫描系统,软,软件的PC或,笔,笔记本电脑，,直,直接输入目标,主,主机的IP地,址,址，对其系统,的,的漏洞进行扫,描,描。,5. 防病毒,系,系统,一般计算机的,病,病毒有超过20%是通过网,络,络下载文档时,感,感染的，另外,有,有26%是经,电,电子邮件的附,加,加文档感染的,，,，这就需要一,套,套方便、易用,的,的病毒扫描器,，,，使企业的计,算,算机环境免受,病,病毒和其他恶,意,意代码的攻击,。,。建,议,议采用三层防,病,病毒部署体系,来,来实现对企业,网,网络的病毒防,护,护。,1) E-mail网关防,病,病毒系统,在,在企业网,络,络系统建成之,后,后，网络成了,病,病毒传播的主,要,要途径。如果,在,在某网络上有,一,一个用户不小,心,心扩散了一个,被,被病毒感染的,文,文档，其结果,将,将可能是毁灭,性,性的。为了阻,止,止这些“可疑,的,的候选文件”,，,，需要对电子,邮,邮件进行严格,的,的审查。事实,上,上，嵌入Word文档中的,宏,宏病毒通常通,过,过网络发送至,未,未察觉的用户,。,。防病毒软,件,件需要对这一,易,易受攻击的区,域,域进行保护，,对,对所有通过网,关,关出入的电子,邮,邮件进行扫描,，,，一旦检测到,病,病毒，能够自,动,动将该文件,隔,隔离并向系统,管,管理员发出警,告,告。它同时对,内,内容进行过滤(以阻止病毒,欺,欺骗)和创建,历,历史记录(以,跟,跟踪每个检测,到,到的病毒起源)。,一般来说，基,于,于邮件系统的,病,病毒发作主要,是,是从客户端开,始,始的，同时这,种,种病毒感染的,对,对象主要是基,于,于Windows平台的主,机,机和服务器，,对,对其他平台没,有,有感染能力，,所,所以，我们主,要,要是对邮件的,内,内容进行病毒,查,查杀。,2) 服务器,病,病毒系统,如,如果服务,器,器被感染，其,感,感染文件将成,为,为病毒感染的,源,源头，它们会,迅,迅速从桌面感,染,染发展到整个,网,网络的病毒爆,发,发。因此，基,于,于服务器的病,毒,毒保护是XXX网络系统的,重,重点之一。所,以,以，建议对在,各,各个局域网的,交,交换区与局域,网,网内部网段上,的,的服务器进行,特,特别的保护，,将,将病毒扫描技,术,术和服务器的,管,管理能力结合,在,在一起(用于NovellNetWare、MicrosoftNT和UNIX服务器),，,，对服务器接,收,收和发送的被,病,病毒感染的文,件,件以及已经存,在,在于其他服务,器,器的病毒进行,检,检测。一旦检,测,测到病毒，立,刻,刻将该感染文,件,件隔离或删除,。,。,3) 客户端,防,防病毒系统,在,在XXX网络系统中,有,有大量的个人,用,用户，桌面系,统,统和远程PC,是,是主要的病毒,感,感染源。根据,统,统计，50%,以,以上的病毒是,通,通过软盘进入,系,系统的，因此,对,对桌面系统的,病,病毒应严加防,范,范。为了确保,检,检测和清除经,访,访问入口所进,入,入的普通和新,发,发现的病毒，,桌,桌面系统都需,要,要安装防病毒,软,软件。另外，,这,这种防病毒软,件,件要能够将隐,藏,藏于电子邮件,附,附件中的病毒,在,在对其他用户,造,造成感染之前,清,清除。,当发现病毒已,进,进入时，正是,采,采取病毒响应,计,计划的时候。,病,病毒响应计划,的,的主要目的是,利,利用每种可能,的,的方法来彻底,清,清除所有的病,毒,毒。如果有足,够,够的备份，不,会,会丢失太多数,据,据，就应考虑,彻,彻底删掉感染,系,系统中的所有,数,数据，再重新,配,配置。下一步,就,就需要分析病,毒,毒是如何进来,的,的以及要干些,什,什么，这项工,作,作和删除病毒,一,一样重要，因,为,为在所有被感,染,染的系统中，,有,有90%的系,统,统会在三个月,内,内以同样或相,似,似的方式再次,被,被感染。,15.4.3,应,应用部署,方,方案,通过对网络整,体,体进行系统分,析,析，并考虑目,前,前网上运行的,业,业务需求，本,方,方案对原有网,络,络系统进行全,面,面的安全加强,，,，主要实现以,下,下目的:(1),保,保障现有的关,键,键应用长期、,可,可靠地运行，,避,避免病毒和黑,客,客的攻击。(2),防,防止内、外,部,部人员的非法,访,访问，特别是,要,要对内部人员,的,的非法访问进,行,行控制。(3),确,确保网络平台,上,上数据交换的,安,安全性，杜绝,内,内、外部黑客,的,的攻击。,(4) 方便,内,内部授权人员(如公司领导,、,、出差员工等)从互联网上,远,远程方便、安,全,全地访问内部,网,网络，实现信,息,息的最大可用,性,性。(5) 能对,网,网络的异常行,为,为进行监控，,并,并做出回应，,建,建立动态防护,体,体系。,为,为了实现上,述,述目的，我们,采,采用了主动防,御,御体系和被动,防,防御体系相结,合,合的全面网络,安,安全解决方案,，,，如图15-4-2所示。,图 15-4-2 某大型企业网络防御布置示意图,该防御体系由,漏,漏洞扫描与入,侵,侵检测联动系,统,统、入侵检测,与,与防火墙的联,动,动系统及防病,毒,毒系统组成。,用,用户主动防范,攻,攻击行为，尤,其,其是防范从单,位,位内部发起的,攻,攻击。对在企,业,业内网发起的,攻,攻击和攻破了,防,防火墙的黑客,攻,攻击行为，可,以,以依靠入侵检,测,测系统阻断和,发,发现攻击的行,为,为，同时通过,与,与防火墙的互,动,动，自动修改,策,策略设置上的,漏,漏洞，阻挡攻,击,击的继续进入,。,。本方案在交,换,换机上连入入,侵,侵检测系统，,并,并将其与交换,机,机相连的端口,设,设置为镜像,端,端口，由IDS传感器对防,火,火墙的内口、,关,关键服务器进,行,行监听，并进,行,行分析、报警,和,和响应; 在,入,入侵检测的控,制,制台上观察检,测,测结果，并形,成,成报表打印输,出,出。,在实现防火墙,和,和入侵检测系,统,统的联动后，,防,防火墙“访问,控,控制策略”会,动,动态地添加阻,断,断的策略。“,漏,漏洞扫描系统,”,”是一种网络,维,维护人员使用,的,的安全分析工,具,具，主动发现,网,网络系统中的,漏,漏洞，修改防,火,火墙和入侵检,测,测系统中不适,当,当的设置，防,患,患于未然。,同,同时，,防,防火墙主要起,到,到对外防止黑,客,客入侵，对内,进,进行访问控制,和,和授权员工从,外,外网安全接入,的,的作用，在这,里,里主要发挥防,火,火墙和VPN,的,的双重作用。,(1) 保障,局,局域网不受来,自,自外网的黑客,攻,攻击，主要担,当,当防火墙功能,。,。(2) 能够根,据,据需要，让外,网,网向Internet的访,问,问提供服务，,如,如Web、E-mail、DNS等服,务,务。(3) 对,外,外网用户访问(Internet)提供,灵,灵活的访问控,制,制功能，如可,以,以控制任何一,个,个内部员工能,否,否上网，能访,问,问哪些网站，,能,能不能收发E-mail、ftp等，能,够,够在什么时间,上,上网等。简而,言,言之，对外网,用,用户能够基于,“,“六元组”(,即,即源地址、目,的,的地址、源端,口,口号、目的端,口,口号、协议、,时,时间)进行灵,活,活的访问控制,。,。,(4) 下属,单,单位能够通过,防,防火墙与安全,客,客户端软件之,间,间的安全互联,，,，建立通过Internet相连的“虚,拟,拟专用网”，,解,解决在网上传,输,输的内部信息,安,安全问题，方,便,便管理，并极,大,大地降低了成,本,本。,企业根据自身,的,的需要，网络,防,防病毒系统应,选,选用赛门铁克,、,、趋势科技、,瑞,瑞星等知名品,牌,牌系统。整个,系,系统的实施过,程,程应保持流畅,和,和平稳，做到,尽,尽量不影响既,有,有网络系统的,正,正常工作;,安,安装在原有应,用,用系统上的防,毒,毒产品必须保,证,证其稳定性，,不,不影响其他应,用,用的功能;,在,在安装过程中,应,应尽量减少关,闭,闭和重启整个,系,系统; 防病,毒,毒系统的管理,层,层次与结构应,尽,尽量符合机关,自,自身的管理结,构,构; 防病毒,系,系统的升级和,部,部署功能应做,到,到完全自动,化,化，整个系统,应,应具有每日更,新,新的能力;,应,应做到能够对,整,整个系统进行,集,集中的管理和,监,监控，并能集,中,中生成日志报,告,告与统计信息,。,。,15.5.1,电,电子政务,平,平台,政务,平,平台是一个高,质,质量、高效率,、,、智能化的办,公,公系统，该平,台,台以数据库为,基,基础，利用了,文,文件传输、电,子,子邮件、短消,息,息等现代数字,通,通信与Internet技,术,术。随着网络,的,的发展与普及,，,，政府行业单,位,位也由局域网,扩,扩充到广域网,。,。互联网的开,放,放性会使政府,网,网络受到来自,外,外部互联网的,安,安全威胁、内,部,部网络与外部,网,网络互联的安,全,全威胁和内部,网,网络的安全威,胁,胁。,15.5,电,电子政务安全,平,平台实施方案,国家保密局于2000 年1月 1日起,颁,颁布实施的,计,计算机信息系,统,统国际互联网,保,保密管理规定,，对国家机,要,要部门使用互,联,联网规定如下: 涉及国家,秘,秘密的计算机,信,信息系统，不,得,得直接或间接,地,地与国际互联,网,网或其他公共,信,信息网络相连,接,接，必须实行,物,物理隔离。2001年12,月,月，国家公安,部,部发布的端,设,设备隔离部,件,件安全技术要,求,求中对物理,隔,隔离做了明确,的,的定义: 公,共,共网络和专网,在,在网络物理连,线,线上是完全隔,离,离的，且没有,任,任何公用的,存,存储信息。,2002年7,月,月，国家信息,化,化领导小组颁,布,布的国家信,息,息化领导小组,关,关于我国电子,政,政务建设指导,意,意见中规定: 电子政务,网,网络由政务内,网,网和政务外网,构,构成，两网之,间,间物理隔离，,政,政务外网与互,联,联网之间逻辑,隔,隔离。此外，,国,国家保密局在,保,保密知识培训,中,中也多次指出,，,，网络之间只,有,有在线路、设,备,备和存储3,个,个方面均实现,了,了独立，才满,足,足物理隔离的,要,要求。,15.5.2,物,物理隔离,物理隔离产品,是,是用来解决网,络,络安全问题的,。,。尤其是在那,些,些需要绝对保,证,证安全的保密,网,网、专网和特,种,种网络与互联,网,网进行连接时,，,，为了防止来,自,自互联网的攻,击,击和保证这些,高,高安全性网络,的,的保密性、安,全,全性、完整性,、,、防抵赖和高,可,可用性，几乎,全,全部要求采用,物,物理隔离技术,。,。,学术界一般认,为,为，最早提出,物,物理隔离技术,的,的应该是以色,列,列和美国的军,方,方，但是到目,前,前为止，并没,有,有完整的关于,物,物理隔离技术,的,的定义和标准,。,。从不同时期,的,的用词也可以,看,看出，物理隔,离,离技术一直在,演,演变和发展。,较,较早的用词为Physical Disconnection，直,译,译为物理断开,。,。这种情况是,完,完全可以理解,的,的，保密网与,互,互联网连接后,，,，出现很多问,题,题，在没有解,决,决安全问题或,没,没有解决问题,的,的技术手段之,前,前，先断开再,说,说。后来有Physical Separation，直译为物,理,理分开。后期,发,发现完全断开,也,也不是办法，,互,互联网总还是,要,要用的，采取,的,的策略多为该,连,连的连，不,该,该连的不连，,这,这样的该连的,部,部分与不该连,的,的部分要分开,。,。,事实上，没有,与,与互联网相连,的,的系统不多，,互,互联网的用途,还,还是很大，因,此,此，希望能将,一,一部分高安全,性,性的网络隔离,封,封闭起来。后,来,来多使用PhysicalGap，直,译,译为物理隔离,，,，意为通过制,造,造物理的豁口,，,，来达到隔离,的,的目的。现在,，,，一般用Gap Technology,来,来表示物理隔,离,离，它已成为,互,互联网上的一,个,个专用名词。,物理隔离技术,不,不是要替代防,火,火墙、入侵检,测,测、漏洞扫描,和,和防病毒系统,，,，相反，它是,用,用户“深度防,御,御”的安全策,略,略的另一块基,石,石。物理隔离,技,技术是绝对要,解,解决互联网的,安,安全问题，而,不,不是什么其他,的,的问题。,物,物理隔离,的,的指导思想与,防,防火墙有很大,的,的不同: 防,火,火墙的思路是,在,在保障互联互,通,通的前提下，,尽,尽可能安全，,而,而物理隔离的,思,思路是在保证,必,必须安全的前,提,提下，尽可能,互,互联互通。,目前物,理,理隔离,的,的技术,路,路线有3种:,网,网络,开,开关(Network Switcher)、,实,实时交,换,换(Real-timeSwitch)和单,向,向连接(One WayLink)。,网,网络,开,开关是,在,在一个,系,系统里,安,安装两,套,套虚拟,系,系统和,一,一个数,据,据系统,，,，数据,被,被写入,到,到一个,虚,虚拟系,统,统，然,后,后交换,到,到数据,系,系统，,再,再交换,到,到另一,个,个虚拟,系,系统。,实,实时,交,交换相,当,当于在,两,两个系,统,统之间,共,共用一,个,个交换,设,设备，,交,交换设,备,备连接,到,到网络A，得,到,到数据,，,，然后,交,交换到,网,网络B,。,。,单向连,接,接早期,指,指数据,向,向一个,方,方向移,动,动，一,般,般指从,高,高安全,性,性的网,络,络向低,安,安全性,的,的网络,移,移动。, ,物,物理隔,离,离的一,个,个特征,就,就是内,网,网与外,网,网永不,连,连接，,内,内网和,外,外网在,同,同一时,间,间最多,只,只有一,个,个同隔,离,离设备,建,建立非TCP/IP,协,协议的,数,数据连,接,接。其,数,数据传,输,输机制,是,是存储,和,和转发,。,。物理,隔,隔离的,好,好处是,明,明显的,，,，即使,外,外网在,最,最坏的,情,情况下,，,，内网,也,也不会,有,有任何,破,破坏。,修,修复外,网,网系统,也,也非常,容,容易。,15.5.3,电,电,子,子政务,平,平台安,全,全解决,方,方案,政务平,台,台的安,全,全解决,方,方案见,图,图15-5-1。,它,它主要,包,包括防,火,火墙系,统,统、入,侵,侵检测,系,系统、,漏,漏洞扫,描,描系统,、,、网络,防,防病毒,系,系统、,安,安全管,理,理系统,、,、物理,隔,隔离等,设,设备。,首,首先，,将,将整个,网,网络系,统,统分为,两,两部分: (1),内,内外,系,系统:,与,与政,府,府专网,相,相连，,主,主要功,能,能是内,部,部办公,，,，并且,含,含有一,些,些涉密,文,文件。,(2) 外,网,网系统: 与,互,互联网,连,连接，,主,主要功,能,能是对,外,外发布,信,信息，,由,由政府,网,网站服,务,务器组,成,成。,图 15-5-1 政府机构网络系统方案图,安装防,火,火墙将,外,外网系,统,统与互,联,联网隔,离,离，安,装,装物理,隔,隔离系,统,统将内,网,网与外,网,网系统,隔,隔离。,本,本方案,中,中的防,火,火墙系,统,统、入,侵,侵检测,系,系统、,漏,漏洞扫,描,描系统,、,、网络,防,防病毒,系,系统、,安,安全管,理,理系统,具,具体的,作,作用可,以,以参考15.4节的,相,相关内,容,容。,物理隔,离,离可以,采,采用一,些,些安全,公,公司的,知,知名产,品,品。一,般,般来说,，,，隔离,模,模块采,用,用专用,的,的双通,道,道隔离,交,交换卡,实,实现，,通,通过内,嵌,嵌的安,全,全芯片,完,完成内,、,、外网,主,主机模,块,块间安,全,全的数,据,据交换,。,。内、,外,外网主,机,机模块,间,间不存,在,在任何,网,网络连,接,接，因,此,此不存,在,在基于,网,网络协,议,议的数,据,据转发,。,。隔离,交,交换模,块,块是内,、,、外网,主,主机模,块,块间数,据,据交换,的,的唯一,通,通道，,本,本身没,有,有操作,系,系统和,应,应用编,程,程接口,，,，所有,的,的控制,逻,逻辑和,传,传输逻,辑,辑固化,在,在安全,芯,芯片中,，,，自主,实,实现内,、,、外网,数,数据的,交,交换和,验,验证。,在,在极端,情,情况下,，,，即使,黑,黑客攻,破,破了外,网,网主机,模,模块，,但,但由于,无,无从了,解,解隔离,交,交换模,块,块的工,作,作机制,，,，因此,无,无法进,行,行渗透,，,，内网,系,系统的,安,安全仍,然,然可以,保,保障。,由内、,外,外网主,机,机模块,分,分别负,责,责接收,来,来自所,连,连接网,络,络的访,问,问请求,，,，两模,块,块间没,有,有直接,的,的物理,连,连接，,形,形成一,个,个物理,隔,隔断，,从,从而保,证,证了可,信,信网和,非,非可信,网,网之间,没,没有数,据,据包的,交,交换，,没,没有网,络,络连接,的,的建立,。,。,在,在此,前,前提下,，,，通过,专,专有硬,件,件实现,网,网络间,信,信息的,实,实时交,换,换。这,种,种交换,并,并不是,数,数据包,的,的转发,，,，而是,应,应用层,数,数据的,静,静态读,写,写操作,，,，因此,可,可信网,的,的用户,可,可以通,过,过安全,隔,隔离与,信,信息交,换,换系统,放,放心地,访,访问非,可,可信网,的,的资源,，,，而不,必,必担心,可,可信网,的,的安全,会,会受到,影,影响。,物理隔离具,有,有比防火墙,更,更高的安全,性,性能，可在,涉,涉密网络之,间,间、涉密网,络,络不同安全,域,域之间、涉,密,密网络与内,部,部网之间、,内,内部网与互,联,联网之间信,任,任地进行信,息,息交换。当,前,前，物理隔,离,离产品较多,，,，很多都集,成,成了访问控,制,制、负载均,衡,衡、协议分,析,析等功能。,国,国内主流的,物,物理隔离设,备,备有联想网,御,御SIS-3000系,列,列安全隔离,网,网闸、天行,安,安全隔离网,闸,闸、伟思安,全,全隔离与信,息,息交换系统,、,、中网物理,隔,隔离网闸等,。,。,(1) 安,全,全体系结构,理,理论与技术,主,主要包括:,安,安全体系,模,模型的建立,及,及其形式化,描,描述与分析,，,，安全策略,和,和机制的研,究,究，检验和,评,评估系统安,全,全性的科学,方,方法和准则,的,的建立，符,合,合这些模型