以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型
的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性 和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
山东新潮信息技术有限公司作为一家专注于网络安全的公司,致力为用户提供一流的网络安全解决方案、网络安全产品、网络安全服务。
如今随着网络发展及普及,政府行业单位也从原来单机到局域网并扩展到广域网,XXXX把分布在全省各地的系统内单位通过网络互连起来,从整体上提高了办事效率。
对于各级网络系统通过本地局域网,用户间可以共享网络资源(如:文件服务器、打印机等)
对于各级用户之间,根据用户应用需要,通过广域网络,各级用户之间可以利用电子邮件互相进行信息交流。
而单位间通过网络互相提供浏览器访问方式对外部用户发布信息,提供游览、查询等服务。如发布一些政策、规划等。
各级用户间还有行业数据需要通过网络进行交换。而这些数据大多都可能涉及到秘密信息。
各级单位如果通过网络召开电视电话会议,比如计论有关一些国家政策性的内容,因此其内容在网上传输也需要保密。通过网络使用单位系统内部的IP电话。
山东XXXX在新一期的网络改造项目中,现在网络安全因素已成为网络正常运行关键所在,而新的网络环境更是有必要将其做为网络规划的重要组成部分。
现有内网和外网两套网络,实现物理隔离,分别有核心交换机各一台,千兆光纤到楼层,楼层交换机是交换机由楼层交换机通过AMP五类屏蔽双绞线连接到桌面。
外网数百点客户机,通过100M网通独享光纤通过防火墙(未做双机热备)接入Internet,内网(接入省政府专网)目前的客户机和外网客户机通过硬件隔离卡实现内外网物理隔离。
网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。而这些风险与网络系统结构和系统的应用等 因素密切相关。下面从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述:
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:
•地震、水灾、火灾等环境事故造成整个系统毁灭;
•电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;
•设备被盗、被毁造成数据丢失或信息泄漏;
•电磁辐射可能造成数据信息被窃取或偷阅;
•报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
网络安全不仅是入侵者到企业内部网上进行攻击、窃取或其它破坏,他们完全有可能在公共网络数据传输中截获数据包并通过重组窃取在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全危胁。
随着信息化建设的加强,网络中应用不断增加,但是由于网络带宽的限制,关键应用的却被一些不重要的甚至是有害的流量(比如p-to-p的下载流媒体的在线观看,病毒攻击),造成核心业务的响应缓慢甚至终端,严重影响正常办公效率。
来自与公网互联的安全危胁
如果内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全危胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都将网络安全构成很的威胁。
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的 应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。
病毒侵害
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因些,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对山东XXXX来说,是决不允许的。
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
通过对网络结构、网络安全风险分析,再加上黑客、病毒等安全危胁日益严重。网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。
针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对重要的设备进行备份;对重要系统进行备份等安全保护。
另外为了确保网络的高可用性避免单点故障,需要创建整体网络的负载,包括核心设备的负载,网络链路的负载。
防范非法用户非法访问
非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻出击目的的人而言,根本就不是一种障碍。他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口 令,这都将不是难事,而且可以说只要花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只在合法用户才能访问合法资源。
防范合法用户非授权访问
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有一定的隐私性。外部用户被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信 息泄密。所以,还得加密访问控制的机制,对服务及访问仅限过行严格控制。
防范假冒合法用户非法访问
从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。因此,必需从访问控制上做到防止假冒而过行的非法访问。
在信息化的建设过程中,为了保证政府网络与信息的安全,国家保密局规定涉密系统的内网必须与外网隔离.然而,公共互联网是一个巨大的信息资源宝库,政府的大量信息和数据都需要从中获得,而且随着政务公开政府上网工程的开展,很多政府部门的对外业务服务也都迁移到了互联网上. 通过结合物理断开和逻辑连接,在保证内部网络和外部网络隔离的情况下,提供内外网络实时互访的能力,可以大幅度提高政府部门的网络安全级别。解决内网安全的基础上,实现内外数据的交换。
也许有人认为,网络配了防火墙就安全了,就可以高枕无忧了。其实,这是一种错误的认识,网络安全是整体的,动态的,不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。所以确保网络更加安全必须配备入侵检测系统和入侵防御系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。
随着网络应用的逐渐增多,邮件系统在日常工作中的地位越来越重要,但是垃圾邮件却象爆发的洪水一样,正在侵袭互联网。在全球范围统计,垃圾电子邮件近年来一直在不断地增长。2005年垃圾邮件仅占电邮总量的7%,到2006年即达到29%,截至今年中期则已超过了51%,垃圾邮件的数量已超过合法电子邮件的数量。据中国互联网协会和CNNIC联合组织,最新发布的《中国互联网发展报告》显示,我国网民在今年7月份每周收到正常电子邮件为7.2封,垃圾邮件数却达到8.9封。由于个别单位不重视本单位用户的垃圾邮件管理,有的用户的机器感染病毒之后不断对外发垃圾邮件,而使很多三方反垃圾邮件组织将其列为黑名单,导致使用本单位邮箱的所有用户不能和提供免费邮箱服务的网站互通邮件,既影响正常的办公也不利于本单位的声誉。所以高效的垃圾邮件过滤设备也是现在确保信息化和自动化办公的必备。
XXXX全体用户通过一个互联网出口实现共享上网的情况下,由于带宽资源是有限的,一些关键应用和重要用户往往面临带宽不足的困境。许多单位不得已只好另外增加1条线路,专门用于重要信息应用的网络访问,不仅线路租费上升,而且线路带宽往往得不到充分利用。
网络流量管理的首要目标,在于了解频宽的使用情形,每年用在频宽租赁的成本可高可低,但重点在于是否物尽其用,由于工作人员拥有熟稔的网络使用技巧,上班浏览网页、收发E-mail是每日必做功课,当然聊天、视讯软件还有近来相当盛行的VoIP.都是网络应用的强项,是否禁止或限制端看各家企业的政策如何取决。另外像员工私下窃取机密,或是借用公司频宽经营起在线电子商务网站,因为超出一般预期使用而留下可观的纪录,这类异常的使用行为的确需要加以防范。
网络流量管理第二个目标必须回归到ISO网络管理(Network Management)五个构面其中的网络效能管理(Performance Management),在于知道网络的效率与效能,找出网络效能的瓶颈点,进而改善。
站在企业的角度,观测网络流量的第三个任务是提升网络的效能,常见的技术名词如QoS,我们可以称它为一种封包「排队的机制」,意思是说按照各个使用者,或是个别应用程序的重要性高低,排定一个优先次序先后的规则,这个部分如果能参考网络流量的分析结果,就能知道还能善加利用的资源在哪,达到真正有效率的QoS。
除了了解频宽如何运用、藉由QoS提升效率之外,网络流量管理第四个目标还包括信息安全的防护。有异样的网络环境往往能先从流量的变化进行观察,当某个使用者端感染病毒时,会出现比平常高出百倍的Traffic,此时封锁该IP的联机才能阻止病毒继续蔓延。
网络在给我们带来巨大的经济效益和社会效益的同时,由于网络协议本身存在的缺陷和软件设计编制上的瑕疵,以及网络结构设计上的缺陷,使得网络系统、计算机系统中存在着种种的脆弱点,网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素,这些脆弱点为病毒及非法访问提供了方便之门,并且随着计算机技术的不断发展,新的脆弱点不断产生,入侵者通常都是通过一些程来探测网络中系统中存 在的一些安全漏洞,然后通过发现的安全漏洞,采取相就技术进行攻击,因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞, 有必要时刻监视网络及计算机系统,评估网络的安全性,以便对网络的安全性做到心中有数,并采用相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置,提高信息网络抗风险能力。
在网络中,病毒已从传统的存储介质(软、硬、光盘)感染方式发展为以网络通讯和电子邮件为主要传播途径的感染方式。其传播速度极快、破坏力更强,据统计一个新病毒从一台计算机发出仅六个小时就能感染全球互联网机器,而且每天都有十几种新病毒出现,全世界每个月有将近四百五十种新的病毒出现。网络一旦被病毒侵入并发作,将会对重要数据的保密性、完整性、可用性以及网络环境的正常运行带来严重的危害。所以病毒防范是计算机网络安全工作的重要环节之一。必须配备从客户端到网关的整套防病毒软件,实现全网的病毒安全防护。
根据XXXX个人信息安全和桌面管理的现状,为了保证XXXX桌面系统的安全,健全XXXX的安全体系,堵住各种系统安全漏洞,应付越来越猖獗、制作技巧越来越高明的病毒和黑客软件的攻击,建立统一的个人信息及桌面安全管理系统已刻不容缓。据此,XXXX的桌面安全管理系统应当采用先进的、企业级的桌面安全管理系统解决方案,并建立在高水平、高起点的基础上,以保证主机系统、网络系统和应用系统的正常、安全运行。
另外,桌面PC机种类多、系统复杂,位置分散,网络结构错综复杂,而系统和网络维护人员数量有限。这种复杂的结构给桌面PC机的日常管理、维护、补丁更新、软件安装和准确的信息收集等桌面系统管理工作的整体把握带来了相当的难度。因此,迫切需要对企业内部网络桌面PC机使用统一的企业桌面安全管理系统,使之做到统一制定补丁管理、分发和更新的模式,统一的桌面防病毒安全管理策略和及时的病毒定义码的更新,便于系统管理员的操作、培训和管理,简化管理模式;可以准确快速收集桌面系统软硬件部署情况和使用情况,对全省桌面系统状况实现查询和监控,采用远程支持等方式大量简化维护工作量。以上分析表明建立全省统一的个人信息及桌面安全管理系统非常必要。
对于山东XXXX内部网络而言,存在着大量的办公终端,为了保障内网应用系统的安全和相应的终端访问权限控制和审计,必须对这些数量众多的终端实现安全、有效的准入控制和访问控制。
网络准入控制的目的是检查用户的身份及终端信息,根据预先的设定控制终端用户的访问权限,有效阻止不符合身份认证或安全条件的设备接入及访问网络。通过在网络中部署相应的安全接入控制设备,提供网络准入控制功能,使得用户必须满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。这样一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫和病毒对网络系统以及承载的业务越来越严重的威胁和影响,从而帮助客户发现、预防和消除安全威胁。
随着员工对互联网的利用率越来越高,一些与工作无关的网站也在吸引着员工的访问,例如色情、购物、房地产等,这些访问不但影响了员工的工作效率,同时也带来了病毒、蠕虫等不安全隐患。为了禁止员工利用公司电脑访问色情、邪教等非法网站,需要通过上网行为管理设备制定详细的网站访问控制策略并对允许的行为进行有效的审计:
1. 含有不良信息的高风险网站 (绝对禁止)
2. 影响工作效率的网站(根据部门需要允许/禁止)
3. 消耗网络资源(在分配的带宽额度下分时间段访问)
越来越多的应用在通过互联网实现,无论是工作、娱乐、生活都将涉及在内,然而在办公环境下某些网络应用可能不受欢迎,例如网络游戏、网络电视、P2P下载等应用。为了阻止员工在工作时间上网做与工作无关的事,需要通过上网行为管理设备制定详细的网络应用控制策略并对允许的行为进行有效的审计。
通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。为了防止员工利用电子邮件、聊天软件将公司机密信息泄露,或者通过BBS发表带有政治性的言论,需要通过上网行为管理设备制定详细的外发信息监控策略并对允许的行为进行有效的审计:
1. 邮件监控(包括SMTP邮件监控、流行Webmail监控)的 邮件头、邮件体、URL等的关键字过滤设置
2. BBS监控(支持关键字过滤)
3. 主流IM聊天工具监控
基于以上的需求分析,我们认为网络系统可以实现以下安全目标:
•保护网络系统的可用性
•保护网络系统服务的连续性
•防范网络资源的非法访问及非授权访问
•防范入侵者的恶意攻击与破坏
•保护政府信息通过网上传输过程中的机密性、完整性
•防范病毒的侵害
•实现网络的安全管理。
在进行网络系统安全方案设计、规划时,应遵循以下原则:
需求、风险、代价平衡分析的原则
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。
综合性、整体性原则
应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业 技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。
计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安 全策略制定出合理的网络体系结构及网络安全体系结构。
一致性原则
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包 括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
易操作性原则
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
适应性及灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。网络安全的动态性是指,网络安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某 个机器),原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全。所以,建立网络安全系统不是一劳永逸的事情。
针对安全体系的特性,我们可以采用"统一规划、分步实施"的原则。具体而言,我们可以先对网络做一个比较全面的安全体系规划,然后,根据我们网络的实际应用状况,先建立一个基础的安全防护体系,保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,建立增强的安全防护 体系。
对于政府行业网络安全体系的建立,我们建议采取以上的原则,先对整个网络进行整体的安全规划,然后,根据实际状况建立一个从防护--检测--响应的基础的安全防护体系,提高整个网络基础的安全性,保证应用系统的安全性。
通过对网络应用的全面了解,按照安全风险、需求分析结果、安全策略以及网络的安全目标。根据XXXX网络现状和上文的的分析,XXXX网络改造后的整体安全设计可参考以下模型:
具体的安全控制系统可以从以下几个方面分述: 物理安全、系统安全、网络安全、应用安全、管理安全。
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括两个方面:
对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;核心设备、网络链路的冗余备份;通过严格管理及提高员工的整体安全意识来实现。
网络结构的安全主要指,网络拓扑结构是否合理;线路是否有冗余;路由是否冗余,防止单点失败等。如果网络在设计时,比较好的考虑了这些因素,可以说网络结构是比较合理的、比较安全的。
而XXXX现在与互联网的接口只有网通一条链路,如果该链路出现问题,将造成所有办公网的用户无法访问互联网,同样,核心交换机到网通的接口连接的任意设备出现故障也将造成单点故障,所以在下一期网络改造项目中建议增加一条电信的链路接口,然后添加一台在网关位置的访问控制防火墙和原有的防火墙做热备。网络中的任意位置如果出现单一节点,该设备必须支持硬件断电或超负载的通路。
对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等;Windows NT下的LMHOST、SAM等)使用权限进行严格限制;加强口令字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令),并 及时给系统打补丁、系统内部的相互调用不对外公开。
通过配备漏洞管理系统对网络内所有设备和主机的操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地进行对网络设备重新配置或升级。
对于办公使用的桌面系统,采用桌面管理系统对网络内所有客户机进行系统的漏洞扫描,自动安装安全补丁,配置统一的本地安全性策略和应用软件的管理,并对所有客户机的当前软硬件的资产进行统计。
在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如HTTP、 FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用的合法性;并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
对于向外提供服务的WEB服务器必须确保服务器上的信息的完整性和安全性,自动检测服务器网页代码的安全性,确保该服务器可以杜绝来自外部和内部的攻击,对于该服务器上的任何操作进行完整的审计,并可有效的防范管理员的误操作。
网络安全是整个安全解决方案的关键,从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别描述。
严格的管理制度
可制定的制度有:《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等。
划分虚拟子网(VLAN)
内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实较粗略的访问控制。
配备防火墙
防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。在任何不同的网络节点出都应该部署防火墙,防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。要求产品从网络层到应用层都实现了自由控制。
建议在不同安全区域的网络边界都通过防火墙的访问控制进行连接,如办公网与互联网的接入边界,XXXX政务网到政府网的接入边界,XXXX政务网和下级单位的接入边界(参见网络改造安全设计示意图)。
我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡,数据镜像,数据反射等等,物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。
物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络的主机系统相连接时,它与内部网络的主机系统必须是断开的,反之依然。即保证内、外网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储(写入)和转发(读出)。物理隔离网闸在网络的第七层将数据还原为原始数据文件,然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离网闸。这同透明桥、混杂模式、IP over USB、代理主机、以及通过开关方式来转发信息包有本质的区别。
政务网的外部办公网主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来,物理隔离网闸将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现办公网和XXXX政务网信息的交换。
入侵检测系统通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,它不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动,因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。这是一种集检测、记录、报警、响应的动态安全技术。
在入侵检测系统检测到网络中的攻击或未授权行为时,传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员,然后由管理员手工采取相应措施来阻止入侵。这无疑给安全管理增加了很多的工作量和难度,也大大地提高了安全维护费用,因此系统需要具有更多主动响应行为的入侵检测系统,如今的入侵检测系统可以通过发复位包的方式,或者执行一段用户编写的程序,自动切断危险的连接。
而且,入侵检测系统作为整体安全技术的一个组成部分,它还应该和其他安全组件协同工作、建立互动的响应机制。例如,防火墙作为限制内外网络互相访问的关口,其配置的过滤规则阻止了非授权用户对公司网络的访问,因此在入侵检测系统发现攻击行为时,由它自动地修改防火墙的安全策略,就能封堵可疑的网络通信。这也是为什么入侵检测系统和防火墙之间的联系越来越紧密的原因之一。
在入侵防御系统中,如何降低检测系统的误报率是非常关键的。在传统的入侵检测系统中,误报对安全管理员形成一种滋扰,大量的误报还可能淹没真正的攻击行为,使安全管理员无从响应。在建立联动的一体化安全防御体系中,入侵检测系统可以自动调整其他安全组件的策略,来防止进一步的攻击,这时误报带来的负面影响可能更大了——因为误报触动策略调整之后,本该许可的访问就无法访问了,这形成了一种新的DoS形式。
由于入侵防护的旁路接入,致使在发现攻击和网络异常等问题时存在延时和滞后,即使入侵防护和防火墙可以实现联动,也无法实现网络的实时防护,并且入侵监测的误报率问题始终是困扰联动接入的问题,所以需要安全性和时效性更高的安全产品即入侵防护IPS对网络进行更高级别的防护,它已经渐渐地从“入侵检测”发展为“入侵防御”了。
先进的入侵防御系统还必须是一个全方位的安全管理。它一方面要集中管理全网以及各设备的安全事件,将数据进行标准化、集中、并进行关联和智能分析,以降低误报率和预告威胁的趋势;另一方面还要结合漏洞扫描,提前确定系统是否存在已知漏洞,做到“防范于未然”,以建立前摄性的、而不仅仅是响应式的安全防御体系。
高性能的IPS入侵防护设备不仅可以实现物理端口的入站和出站攻击的防护,还可以制定某区域甚至单独IP地址的防护,IPS设备作为入侵防护使用时是串联到网络中,一般是透明接入部署在接入互联网的区域内的防火墙和核心交换机之间(参见网络改造安全设计示意图),所以设备的物理端口是成对出现,如果设备处理能力较高且具有剩余端口,可以用作入侵监测系统并联接入需要重点监测的网段的交换机上。
网络扫描系统可以对网络中所有部件(Web站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。该设备一般部署在网络的核心交换机,通过可以对整个网络进行高性能的扫描(参见网络改造安全设计示意图),或者使用节点式设备有针对性的接入和扫描某个特定的子网。
系统扫描系统可以对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们都知道,政府网络系统中使用的操作系统一般均为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。
病毒的防护目前主要考虑桌面级的防护和网关级的防护。
反病毒技术包括预防病毒、检测病毒和杀毒三种技术:
预防病毒技术
预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。
检测病毒技术
检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。
杀毒技术
杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。
严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。
对有涉及秘密信息的主机或核心服务器器,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过SAN环境的网络备份系统,可以对数据库和核心应用进行远程备份存储。
带宽控制是网络设计的一个基本问题,也是进行网络设计时要考虑的第一个问题,对组播网络也是如此。随着网络技术的发展,多媒体应用的日益普及,对网络提出的带宽要求也是越来越高。在许多情况下,由于不正确的配置会造成带宽的大量浪费。虽然IP组播的使 用是节省网络带宽的一个非常有效的方法,但是,在组播网络设计时仍应十分小心,以免引起网络性能恶化或由于不恰当地使用IP组播应用而过分地消耗网络带宽,使网络发生故障。两种可以防止在组播网络上消耗过多带宽的技术。这两种方法是相辅相成的,它们可以被一起使用,以提供更好的组播流量管理。
1. 速率限制:速率限制的主要实现方法是通过在特定接口上限制输入或输出组播信息流的带宽。这是一种具有相当强制性的方法。
2. 区域划分:除速率限制外,另一种控制带宽的有效方法是使用区域划分和IP组播边界。其基本思想是将组播信息速率的限制进行层次划分。层次结构中的每一个等级定义了一个组播地址的范围,在该地址范围内发送的组播信息速率可达到该等级所规定的最大速率。
XXXX主要需要保证办公网所有客户机用户接入互联网办公的关键应用带宽,政务网在网络改造之后即将部署视频会议系统,所以需要在互联网和办公网、省XXXX政务网和市政务网的接入边界防火墙和核心交换之间部署分别部署一台流量管理设备(参见网络改造安全设计示意图)。
终端安全准入控制一般从网络接入端点的安全接入控制入手,通过准入控制网关,对接入网络的用户终端强制实施相应的安全策略,加强网络用户终端的主动防御能力,并严格控制终端用户的网络使用行为,保护网络安全。从而实现真正意义上的“可信”办公支撑网络,提供完善的网络接入控制和访问行为控制以及终端设备的完整性保护功能。一般包括:
局域网络准入控制 :这种方式是对局域网络环境(如办公环境)中的终端实现网络准入控制。建议在局域网络的汇聚交换机旁部署安全接入网关,通过TRUNK链路与汇聚交换机相连;各接入交换机的VLAN改变原有三层终结在汇聚交换机上的方式,均通过 TRUNK链路二层透传到安全接入网关设备上;终端用户通过客户端认证(如802.1X、PPPoE或WEB认证)后在安全接入网关设备上获得相应的IP 地址和访问权限,实现受控的接入和访问。
边界网络准入控制 :这种方式是对远程终端接入网络时的准入控制。我们建议采用如下方式,即在网络核心部署联创T-GATE安全接 入网关。终端用户安装联创安全认证客户端软件,由客户端向安全接入网关发起连接请求(如L2TP隧道),通过身份和安全信息检查后在安全接入网关设备上获得相应的IP地址和访问权限,实现受控的接入和访问。
通过在网络中部署安全接入网关,可以实现对用户的身份信息进行认证,对用户终端的完整性进行确认(如系统补丁、Windows版本、防病毒软件病毒库版本等),只有通过检查的终端才能够获得网络的访问权限。
制定健全的安全管理体制将是网络安全得以实现的重要保证。各政府机关单位可以根据自身的实际情况,制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。
构建安全管理平台将会降彽很多因为无意的人为因素而造成的风险。构建安全管理平台从技术上如,组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件。通过安全管理平台实现全网的安全管理。
由于规范上网行为的主要目标用户是接入Internet的办公网用户,所以只需在办公网区域部署一台上网行为管理设备,对所有接入互联网的用户的上网行为进行管理和审计。
政府机关单位应该经常对单位员工进行网络安全防范意识的培训,全面提高员工的整体网络安全防范意识。
