網絡安全解決方案

 

網絡安全設計方案

絕對安全與可靠的信息系統并不存在。一個所謂的安全系統實際上應該是"使入侵者花費不可接受的時間與金錢，并且承受很高的風險才能闖入"系統。安全性的增加通常導致企業費用的增長，這些費用包括系統性能下降、系統復雜性增加、系統可用性降低和操作與維護成本增加等等。安全是一個過程而不是目的。弱點與威脅隨時間變化。安全的努力依賴于許多因素，例如職員的調整、新業務應用的實施、新攻擊技術與工具的導入和安全漏洞。

1.網絡安全設計原則

在具體進行計算機網絡的安全設計、規劃時，一般應遵循以下原則：

1） 需求、風險、代價平衡分析的原則：對任一網絡來說，絕對安全難以達到，也不一定必要。對一個網絡要進行實際分析，對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。保護成本、被保護信息的價值必須平衡，價值僅1萬元的信息如果用5萬元的技術和設備去保護是一種不適當的保護。

2） 綜合性、整體性原則：運用系統工程的觀點、方法，分析網絡的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡包括個人、設備、軟件、數據等環節。它們在網絡安全中的地位和影響作用，只有從系統綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。

3） 一致性原則：這主要是指網絡安全問題應與整個網絡的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網絡的安全需求相一致。實際上，在網絡建設之初就考慮網絡安全對策，比等網絡建設好后再考慮，不但容易，而且花費也少得多。

4） 易操作性原則：安全措施要由人來完成，如果措施過于復雜，對操作人員的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統的正常運行。

5） 適應性、靈活性原則：安全措施必須能隨著網絡性能及安全需求的變化而變化，要容易適應、容易修改，并能切合系統的狀況，滿足分階段實施的要求。

2.建設目標

網絡安全是一個循序漸進的過程，不可能一蹴而就。所以，要求我們首先定位關鍵資源和關鍵的安全風險，以此為基點，先對關鍵資源和高危風險進行保護， 然后按照發散性的思路進行縱深層面的安全分析和擴展保護。

目前內網網絡系統中最為迫切的安全需求包括病毒防御、網絡邊界防御、關鍵業務系統保護、應用系統保護和基本安全管理制度實現。通過這些安全產品的部署和安全機制的實現，主要解決以下安全問題：

通用安全防護，如對病毒的檢測，移動代碼過濾等。

內外網絡系統間的入侵檢測、信息過濾（惡意代碼、非法信息的傳播）。

內部人員濫用權利，有意犯罪，越權訪問機密信息或惡意篡改等問題。

內外部人員針對網絡基礎設施、主機系統和應用服務的各種攻擊，造成網絡和系統服務不可用、信息泄密、數據被篡改等。

缺少必要的安全管理制度來保證系統安全的實現。

針對這些安全問題，我們可以采用的安全防護技術包括：

病毒防御 － 企業級防病毒系統

內網網絡系統中應該部署網絡級防病毒軟件，實現統一、跨平臺的分級管理，即：管理策略、病毒特征代碼可以進行統一的管理和分發，并可以實現分級管理。

對病毒的防御不應該僅僅停留在查殺病毒和將病毒抵御在系統之外。更高層次的病毒防御目標是對病毒感染、發作、爆發的追蹤和控制。從紅色代碼、nimda等蠕蟲病毒開始，新型的病毒已經表現出一些新的特征，如利用網絡快速傳播、利用系統漏洞進行感染和結合黑客手段等，因此在病毒爆發時，如果我們不能對病毒的傳播源和傳播途徑進行控制，勢必無法完全防范病毒的發作。

3.總體方案

內網系統設計的安全防護系統主要考慮以下幾個方面：

1) 整體和各級網絡結構的正確規劃，網絡中設備的正確配置；

2) 整體安全規范制度的確立，各級系統進行信息進行時需要正確依照安全通訊規則；

3) 數據傳輸的一致性、完整性以及保密性，確保數據在各級網絡中傳輸的安全，以及明確各級信息的重要程度與不可否認性；

4) 網絡安全防護，即數據出入各級網絡的安全檢查以及網絡內部數據傳輸的安全審計與管理如，安全網關，入侵檢測系統，網絡審計等技術的實施。

5) 關鍵設備的重點保護，即對于承擔系統中重要工作如，數據計算，數據存儲，信息傳輸等服務器進行有針對性的系統安全操作規則的制定；

6) 人員管理，對于使用系統的所有人員進行統一管理，明確劃分其在不同網絡中的職責權力；

7) 通用安全防護，如對個人PC機的病毒檢測，移動代碼過濾等。

4.總體設計思想

網絡安全是一個循序漸進的過程，不可能一蹴而就。所以，本著首先定位關鍵資源，然后以主動保護關鍵資源為基點，先對關鍵資源進行保護, 然后按照發散性的思路進行縱深層面的安全分析和擴展保護。

4.1內網設計原則

信息系統安全與保密的“木桶原則”：對信息均衡、全面地進行安全保護。

信息安全系統的“整體性原則”：包括安全防護、監測和應急恢復。

信息安全系統的“有效性與實用性”原則：不影響系統正常運行和合法用戶的操作活動。

信息安全系統的“安全性評價”原則：實用安全性與用戶需求和應用環境緊密相關。

信息安全系統的“等級性”原則

信息安全系統的“動態化”原則：引入盡可能多的可變因素，并具有良好的擴展性。

設計為本原則：安全與保密系統的設計應與網絡設計相結合，即在網絡進行總體設計時考慮安全系統的設計，二者合二為一。

自主和可控性原則：解決網絡安全產品的自主權和自控權問題，建立我們自主的網絡安全產品和產業。

權限分割、互相制約、最小化原則：實現權限最小原則。

有的放矢、各取所需原則：考慮性能價格的平衡，根據不同的網絡系統，側重不同求的安全需求。

4.2有步驟、分階段實現安全建設

安全產品的部署應該是一個有步驟、分階段的過程，因此內網的信息安全系統設計了三個階段的建設過程。

在安全建設初期，我們考慮立竿見影的安全效果，著重保護重點資產。因此關鍵服務器和網絡主干設備等是我們考慮的重點。在這個階段，防火墻、入侵檢測和防病毒等技術是需要優先考慮的技術。客戶端的保護側重在防病毒和終端用戶管理方面，隨著安全管理的需求增加，我們建議考慮建立一個基本的安全管理制度。

在安全建設中期，我們考慮關鍵服務器、客戶端和網絡主干設備的進一步保護。漏洞掃描技術和終端安全管理系統，安全管理制度的進一步完善是本階段的工作重點，安全審計技術也為安全管理制度的落實提供了技術上的保證。客戶端的保護也是本階段的重點。在內網的信息系統運行了一至兩年后，各種應用基本趨于完善，業務流程也基本穩定，建議考慮建設CA認證系統，強調對客戶端的完整管理和保護。

最后，在整個信息系統允許3至5年后，整個信息系統的運行已經比較成熟，系統管理員對于整個網絡架構有了深入的理解，網絡設備、安全產品的數量也不斷增加。我們建議在這個階段考慮實現完整的安全生命周期和建設統一的安全管理平臺。完整的安全生命周期遵循安全的動態性原則。安全統一管理平臺實現對所有安全設備和網絡設備的單點、集中管理，并在更高的層面上接收各種安全事件對這些事件進行深層的分析，統計和關聯，提供處理方法和建議，實現專家分析系統。

4.3完整的安全生命周期

完整的安全生命周期應該是由評估、檢測、預防和管理幾個部分組成的動態系統。數量眾多的設備、系統和應用是導致安全隱患不斷出現的根本原因，我們不能指望通過一次的安全建設就達到完全的安全保護效果。安全檢測、預防和管理可以通過入侵檢測、防火墻等手段實現，安全評估則可以通過漏洞掃描工具和人工評估的方式實現。因此我們建議在項目建設的中期或后期采用安全評估和安全加固服務，在漏洞掃描系統供管理員日常對系統進行安全掃描的基礎上，根據掃描報告的加固建議進行安全隱患修復，還通過人工服務的方式進行安全隱患的發現和修復。

5.網絡區域劃分與安全隱患

作為一個整體的安全防護體系，我們首先對內網信息系統進行區域劃分，針對不同區域的特點來部署不同的安全技術和安全產品。同時，各個不同區域的安全管理制度也應該根據區域的特點而有所不同。

網絡安全部署

保護目標

內部網絡的各類服務器、網絡設備和客戶端。服務器和網絡設備是我們保護的主要目標，但實際發生的安全問題往往是由于客戶端的安全問題引起的。因此，不應該忽視對客戶端的完善防護。

威脅來源

來自內部環境的安全威脅主要有：

感染病毒，病毒、惡意代碼的傳播，并導致系統遭到破壞；

口令管理不善會造成來自內部用戶的對服務器的入侵和破壞；

UNIX和NT系統的缺陷和漏洞也為內部用戶的入侵創造了條件；

數據庫的安全隱患使內部用戶有機會篡改或破壞數據，或在數據庫系統中隱藏邏輯炸彈，構成對企業核心業務的重大威脅；

內部用戶濫用權利、越權訪問；

內部用戶的網絡濫用和非法網絡行為；

重要數據在傳輸過程中可能被泄密或被篡改；

硬件故障等災難性事故。

安全策略

在初期的安全部署中，我們建議采用以下技術防范上述的安全威脅：

1. 網絡防病毒技術

在系統內所有服務器和客戶端部署統一管理的企業級防病毒系統。通過防病毒系統的統一部署，可以防止病毒的感染和傳播。這可以解決常見的計算機癱瘓、網絡阻塞等安全問題。

2. 網關過濾技術

在之間通過網關過濾系統進行隔離，并合理的配置限制來自多種協議的病毒蠕蟲等攻擊，減少網絡和主機受攻擊的風險。尤其是實現自動的更新和升級，即使防御最新型的混合型威脅。此外，還可以通過網關過濾系統來保護免遭垃圾郵件的威脅。

3. 入侵檢測技術

在核心交換機上安裝一臺硬件入侵檢測系統對核心交換區域進行實時的入侵行為發現。入侵檢測系統可以實時監控網絡上和主機上的事件，基于入侵的知識庫，可以有效的防止大多數的攻擊手段和訪問異常，并提供報警機和在線監控能力，使管理員隨時獲得服務器網絡的安裝狀況的信息。入侵檢測和強化的訪問控制機制可以為系統提供堅固的審計功能。這樣的可靠和完備的審計機制對內部入侵可以起到良好的預防作用，能夠被系統記錄下操作的痕跡，并有可能被追究責任而受到嚴厲的懲罰，對企圖破壞系統的內部員工會起到威懾力量。

在中期和遠期的安全部署中，我們建議考慮以下技術，進一步完善安全體系。

1. 身份認證技術

用戶的訪問權限和口令的保護是提高系統安全性的重要保障。但目前的用戶認證和訪問控制系統仍存在很多的安全隱患，如對用戶訪問權限的定義比較模糊，采用的用戶名/口令的保護仍屬于弱認證機制等。這些安全隱患必須從應用系統本身進行保護，實現統一用戶管理和統一授權。

2. 第三方主機保護和審計技術

主機保護軟件的口令策略機制統一服務器的口令質量、口令生命周期等，并在全網絡范圍內部署策略。主機保護軟件分割管理員權限，實施集中管理的強制訪問控制。這種強制的訪問控制和對root權限的分割可以增強對系統中的審計機制的保護，而在普通的操作系統，獲得管理員身份的入侵者可疑任意刪除和修改系統的審計信息。管理員能夠通過一個中央控制臺實現對所有的主機進行安全保護。