1、某企业防火墙技术分析与应用部署设计与实施封面108摘 要本文作者根据计算机网络安全的基本理论及知识,提出了计算机分层的安全防护设计思想及其实现方案。通过对 50-100 个员工规模的杭州数媒企训科技有限公司网络安全系统的深层次研究,从层次结构的角度详细分析了该企业内部各个层次可能存在的安全隐患及风险,按照 整体,平衡,技管结合等原则,提出了一个符合企业要求的网络安全目标,并以此为基础提出了一个整体网络安全方案。根据该企业的情况,论文重点论述了网络防火墙的配置、入侵检测系统设计与配置、VPN 的应用、访问控制程序等内容。同时,论文还对网络安全硬件设备的类型选择、配置、安全管理制度的建立和实施给出
2、了说明。该方案具有高实用性、高安全性、较好的性价比、可操作性强、配置较为先进、可扩展性良好等优点。 关键词:信息安全;网络安全;安全体系;分层防护;实施方案 目录封面I摘 要I第一章 绪论11.1 研究背景11.2 国内外企业网络安全研究现状31.3 研究目的81.4 本文主要工作91.5 论文章节安排10第二章 相关技术基础122.1 网络攻击入侵122.1.1 计算机网络攻击入侵的主要方法122.1.2 计算机网络攻击的后果152.2 企业计算机网络安全体系172.2.1 企业计算机网络安全原则172.2.2 企业计算机网络安全体系212.1.3 企业计算机网络安全体系实现232.3 防火
3、墙技术282.4 VPN 技术312.5 其他辅助安全技术352.6 本章小结43第三章 杭州数媒企训科技有限公司网络安全应用需求分析443.1 公司网络安全现状分析453.2 公司计算机网络安全目标603.3 网络基础层安全需求分析663.3.1Internet 连接安全保护663.3.2 广域网连接的安全保护673.3.3 虚拟连接广域网的安全保护703.3.4 其他安全保护辅助措施713.4 系统安全需求分析713.5 应用安全管理需求分析723.5.1 主机系统723.5.2 网络设备安全管理733.5.3 移动用户的访问控制访问733.5.4 VPN 上的认证743.5.5 应用层安
4、全保护753.6 应用对安全系统的要求分析763.6.1 应用对安全系统的要求分析773.6.2 面向应用系统的防火墙系统设计要求773.7 本章小结78第四章 杭州数媒企训科技有限公司整合式网络安全设计实现794.1 企业网络安全设计794.2 方案部署与实现814.2.1 总部的网络安全方案实现814.2.2 分部的网络安全方案实现904.3 系统运行效果954.4 本章小结100第五章 结 语101致 谢102参考文献102 第一章 绪论1.1 研究背景 计算机信息和资源随着网络技术的不断发展,受到各方面的影响也越来越多。任何事物的影响都具有两面性, Internet 的发展也不例外,企
5、业网的发展肯定从Internet 成熟的应用技术方面受益,但同时,Internet 的发展也给企业网的安全问题带来了一些负面影响;另一方面,企业网的安全性问题也有部分是因为企业内部的网络的方面,包括企业内部的人员和企业内部的信息资源的遗漏。因此,企业网的安全问题主要来源有两个方面。人们在享受网络的开放性和共享性的同时也是隐含着一定的潜在危险性,有些危险系数还是比较大对人造成的是能够活比较深,比如黑客袭击重要数据、服务器出现障碍等等。网络安全技术随着信息技术的的迅速的发展受到的关注也越来越多,为了确保网络的安全性,各种网络安全技术也先后被研究出来,比如防火墙、人侵检测、虚拟专用网、访问控制等都是
6、为了网络安全而设置的。网络安全问题着因特网的迅速普及而激增,据美国 FBI 统计,83%的信息安全事故为内部人员和内外勾结所为。据我国公安部统计,70%的泄密犯罪来自于内部,电脑应用 80%未设立相应的安全管理系统、技术措施和制度。由于内部人员泄密所导致的资产损失高达 6 干多万美元,是黑客所造成损失的 16 倍,是病毒所造成损失的 12 倍。为什么安装了防火墙、防病毒软件等措施后,网络安全事故依然频繁发生?这是因为网络的使用者是人,人们在网上的行为并没有得到有效的管理和控制。 企业的网络同样存在安全方面的风险问题。对于大多数网络黑客来说,成功地侵入一企业特别是著名企业的网络系统,具有证明和炫
7、耀其“能耐”的价值,尽管这种行为的初衷也许并不具有恶意的目的;窃取企业的网络数据,甚至破坏其网络系统,更加具有现实和长远的商业价值。因此,企业网络建立完善的安全系统,其必要性不言而喻。 随着威胁的快速发展,计算机网络安全目标也在不断变化。因此,只有不断获得病毒和其他软件的最近更新才能确保安全性。于那些包含对商务至关重要的敏感信息资产的系统和设备,企业可以应用统一的方法,从而确保能够对病毒特征文件、入侵检测特征、防火墙配置以及安全系统的其它关键方面进行集成式更新。单纯的技术并不能解决安全问题。只有建立在强健的策略和程序之上,并借助于适当的人员和物理安全措施,整合安全解决方案才能发挥最大功效。强健
8、的安全策略和标准定义了需要保护的内容,应该授予权限的人员,以及需要授予其权限的原因。企业对安全策略的高度支持以及员工意识的加强将有助于成功实现策略。整合安全策略提高了目标计算机网络的整体安全状况,这是采用来自多个不同厂商的网络安全相关的独立产品所无法实现的。无论是内部处理还是外包处理安全问题,都应确保能实现所有这些特点。这点对于维持安全的关键基础架构非常重要。 1.2 国内外企业网络安全研究现状 国际咨询服务机构 FrostandSullivan 近日宣称,逾七成亚洲企业遭遇过网络安全入侵,由于经济的飞速发展和随之而来的与日俱增的网络攻击行为,亚太地区的网络安全市场在未来三年内将以 13.9%
9、的年增长率向前发展。同时,据安全调查发现:国内企业对互联网危险的防范十分薄弱,其中 63.6%的企业用户处于“高度风险”级别,而仅有只有 10%企业用户处于“低度风险”保障区内;因此,在遭受 web 病毒及其他网络攻击威胁时,可能导致企业网络陷入无法弥补的灾难性后果。70%的企业没有有效限制和管理内部计算机软件安装,在处于高风险的 63.6%的企业用户中,电子邮件、恶意网站、实时通讯、终端移动代码、流媒体使用、P2P 软件、共享数据夹使用等 7 种上网行为对 Web 安全影响比较大。其中,21.8%的企业对上述 7 种行为均没有任何管理措施,而仅有 5%的企业对全部 7 种行为均进行了管理。同
10、时,在实施了上网行为管理的企业中,对恶意网站进行过滤的超过了一半;对电子邮件过滤的超过了 1/3;其他各项大都也在 24%28%之间。但是在安全培训方面,74.9%的企业表示从未或很少举办 Web 安全相关知识培训,而这恰恰是网络安全防范方面你就重要的途径之一。 企业网络安全一般都是针对系统在结构方面是否存在危险而言的,所以,企业网安全系统可以从系统结构方面着手来分析。对企业网安全保障体系进行层次划分,一般可以可以分为 4 个层次,最高层次上企业安全策略层,最低的层次上是安全服务层,也是最基本的层次,中间的两个层次分别是企业用户层、企业网络与信息资源层。通过这四个层次就可以组建成一个比较完善的
11、安全技术防范系统,针对网络安全方面发展起来了一系列的企业网安全技术,先对各项技术分析如下: 1.VLAN(虚拟局域网)技术 网络安全保障方面的工作做好了,对网络的整体性安全有着重要的影响,而保障方面的工作要做好最基本的就是链路层,链路层的安全一般选择 VLAN 技术来确保。一般而言,在网络的物理拓扑结构上安装一个交换设备 congestion 工具一个新的逻辑网络就形成了 VLAN,它的工作原理主要是利用用户的逻辑,然后可以根据设备所连端口,也可以参考用户节点的 MAC 地址,将一个局域网分成多个虚拟子网。VLAN 技术对网络流量的限制有着重要的作用,一方面还可以杜绝广播风暴的侵袭,另一方面,
12、MAC 层的数据包过滤技术对系统的安全性也起到大大加强的作用。同时,当某一虚拟子网被黑客侵袭了并不会对整个网络的信息造成任何的损失。 2. 网络分段 企业网中一般包含很多的以太网,以太网的最基本划分根据都是广播的形式,以太网的作用主要是连接任何两个节点之间的通信数据包。因此,很多黑客就利用以太网上的这个特点,在以太网的某个节点上进行攻破,然后就可以获得这个以太网上的所有数据包,从而将网络的关键信息从中截取出来。那么网络分段技术就是真多这种危险性而制定的,非法用户是无法接触到网络资源的,无权访问网络获取信息。 3. 硬件防火墙技术 在网络安全的防范过程中,硬件防火墙技术发挥着重要的作用,几乎每一
13、个企业网都会选择硬件防火墙技术来确保整个网络的安全性。防火墙主要是将内部网络与 Internet 之间或者与其他外部网络之间不存在连接接触的关系,所以一般它的位置一般都是选择在企业网络的边缘,这样一来网络之间的互访就会受到限制从而达到保护网络安全的目地。 4. 入侵检测技术 现在网络的危险侵袭途径越来越多,从而促进入侵检测方法也不断的发展,包括基于专家系统入侵检测方法、基于神经网络的入侵检测方法等各式各样。目前,在应用层一些入侵检测方法已经在入侵检测系统中发挥着实际性的作用。在防火墙、代理服务器或网络服务器上,为了阻止病毒的侵犯,可以通过病毒检测技术来实现,或者在企业局域网上,这些电脑病毒能够
14、利用网络版杀毒软件来进行清除。 5. 加密技术 为了确保网络的安全,网络数据的加密技术也得到了一定的发展,现在这种技术已经有对称型、不对称型和不可逆这3种类型的加密方式,其中对称型、不对称型的加密方式都存在密钥保管和分发问题,因此,分布式网络系统一般适合选择不可逆形式,并且计算机系统中的口令中也是选择这种加密形式的,但是这种加密方式也存在一定的缺陷,在算法上比较的复杂,因此当数据量非常大的情形下不适合这种加密方式。 6. VPN(虚拟专网)技术 隧道技术在 VPN 技术中发挥着至关重要的作用,内部网络的数据不能公开化,一定要做好加密封闭方面的工作,一些敏感数据都是只允许在虚拟的公网隧道进行传送
15、的,一般很难被人侵袭获取的。在 Internet、服务提供商的 IP 网、帧中继网或 ATM 网中都可以选择应用 VPN 技术,应用这项技术,对网络的整体安全性有着很好的确保,同时对网络的优先性、可靠性和可管理性也有着一定的影响。 7. 系统备份和恢复技术 防范手段无论做的有多么的细致还是会存在一定的疏漏之处,突发性事件是不可避免的,也是人们不可预测的,同时带来的后果有些可能是巨大的灾难般。因此,系统的备份与恢复对整个网络的安全方面发挥着至关重要的作用,即使是出现了灾难性的障故对计算机系统并不会造成很大的影响。备份方案多种多样并不是单一的,但是保证系统不受侵害是其最重要的目标。 8. 整合网络
16、安全技术 随着网络安全性不断受到人们的关注,大多数企业也会更加关注来自不同厂商的多个单独的安全产品。因此,企业有可能逐渐迁移到应用整合的安全解决方案,从而确保每个网络层中各个相互竞争的安全产品之间的互操作性和集成性。这种阶段性的方法开始将涉及到部分安全功能的集成。 整合网络安全解决方案提供了全面、整体的安全系统,可以解决当今网络型企业面临的挑战和机遇。这种方法将多种安全技术企业的策略一致性、管理、客户服务与支持及高级研究相结合,从而提供全面保护。它使用的是深入的防护原理,并在 IT 基础架构内的多个层次中都采用了补充的安全功能。 1.3 研究目的 事实上,目前采用整合安全策略的企业在利用下一阶
17、段的整合安全技术(即集成并集中管理所有的网络层)方面将占据非常有利的形势。通过这种企业范围的安全集成可以优化管理员资源,因为可以从一个控制台进行安装、报告和更新。这种管理能力将进一步提高防护能力,同时降低与企业安全性相关的管理成本、支持成本以及拥有成本。 所以本文通过对企业计算机网络安全的技术整合,实现企业网络安全: 1. 整合网络安全解决方案可以将 IT 人员重新分配到其它更具战略性的项目中,从而使常常负担过重的 IT 部门的效率达到最高,从而从整体上提高了计算机网络安全的可管理性。 2.整合安全解决方案可以在网络的所有层次实现,因此能够为所有者资产提供更全面的保护。整合安全解决方案可以实现
18、不中断的业务运作、提高员工的效率、使收入最大,并使遭受诉讼的可能性最小。 3. 整合网络安全解决方案能够然客户企业获得多方面的收益,包括提高安全功能的效率;将攻击对商务造成的影响降至最低;提高整体的安全状况。 1.4 本文主要工作 整合网络安全解决方案结合了多个网络安全功能,可以更有效地防范每一层上的各种威胁,从而将计算机网络攻击的威胁降至最小。所以本文通过对 50-100个员工规模的杭州数媒企训科技有限公司网络安全系统的深层次研究,从层次结构的角度详细分析了该企业内部各个层次可能存在的安全隐患及风险,按照 整体,平衡,技管结合等原则,提出了一个符合企业要求的网络安全目标,并以此为基础提出了一
19、个整体网络安全方案。根据该企业的情况,论文重点论述了网络防火墙的配置、入侵检测系统设计与配置、VPN 的应用、访问控制程序等内容。同时,论文还对网络安全硬件设备的类型选择、配置、安全管理制度的建立和实施给出了说明。最终使其企业网络安全系统具有通过过滤传入和传出网络(或局部网络)的信息来控制所有的网络通信,有助于确保没有对计算机和/或网络发生未授权访问;检测未授权的访问,并提供可用于进行模式和规划分析的告警和报告;识别并消除不需要的业务流;确保企业范围之外的连接安全,使企业可以安全地与 Internet 上的其他网络通信;通过揭示安全漏洞并提供改进建议来评估网络安全状况;防护病毒、蠕虫和特洛伊木
20、马等,这些功能的实现,为中小企业网络安全的构建起到全面的防护措施,同时也极大降低复杂性和成本。1.5 论文章节安排第一章为绪论,在了解了企业网络安全研究现状的基础上,提出了本文的研究目的和意义。 第二章为相关技术基础,详细介绍了企业计算机网络安全的相关技术,如计算机网络入侵和攻击技术,以及现阶段针对以上网络安全问题如何构架安全体系。 第三章为杭州数媒企训科技有限公司计算机网络安全应用需求分析,本文主要以杭州数媒企训科技有限公司为研究对象,针对该公司的网络安全现状进行了现状和需求分析,包括基础层安全需求、系统安全需求、应用安全管理需求和应用对安全系统的需求。 第四章为杭州数媒企训科技有限公司整合
21、式网络安全解决方案,结合该公司的网络安全现状和需求,制定了整合式的网络安全解决方案,从防火墙、VPN 和其他辅助安全系统进行了整合说明。 第五章为公司网络安全系统的实施测试,主要对整合式网络系统的安全防护性能做了测试,以此改善该公司的网络安全问题和提升公司的网络运行环境。 第六章为结语,总结全文研究成果,并展望未来研究发展趋势和以后工作延伸。 第二章 相关技术基础2.1 网络攻击入侵 2.1.1 计算机网络攻击入侵的主要方法 网络系统的攻击或入侵是指利用系统(主机或网络)安全漏洞,非法潜入他人系统,进行窃听、篡改、添加或删除信息的行为。随着计算机技术的高速发展,黑客对网络攻击和入侵的手段和方法
22、也不断更新。其主要有段见下表: 图 2-1 黑客攻击手段分类图 1. 口令入侵: 所谓口令入侵,就是指用一些软件解开已经得到但被人加密的口令文档,不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传,使得入侵电脑网络系统有时变得相当简单,一般不需要很深入了解系统的内部结构,是初学者的好方法。 2.利用软件系统的漏洞“后门”入侵: 前面提到过许多软件系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的。大多数攻击成功的范例还是利用了系统软件本身的漏洞。 造成软件漏洞的主
23、要原因还是在于编制该软件的程序员缺乏安全意识。当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。在这其中利用缓冲区溢出进行的攻击最为普遍,据权威组织统计 80以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。 3. 网络监听: 网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如 NetXray for windows 95/98/nt,sniffit for linux 、solaries等等就可以轻而易举地截取
24、包括口令和帐号在内的信息资料。虽然网络监听获得的。 用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。 4.拒绝服务攻击: 拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。 拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是
25、使用 IP 欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。 5. 伪装 IP 攻击: 指一个非法的主机假冒内部的主机 ip 地址,骗取服务器的“信任”,从而达到对网络的攻击目的。 6. 特洛伊木马: 特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行,一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。木马也可以通过 Script、ActiveX 及 Asp、Cgi 交互脚本的方式植入。木马在被
26、植入攻击主机后,它一般会通过一定的方式把入侵主机的信息,如主机的 IP 地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制攻击主机。 7. 计算机病毒: 计算机病毒是指一种能使自己附加到目标机系统的文件上的程序。病毒发作时,能耗尽系统资源,造成系统死机或拒绝服务。它在所有破坏性设备中最具危险性。 8. 蠕虫程序:也称超级病毒,它是一段独立的程序,能够针对系统漏洞直接发起攻击,通过网络进行大量繁殖和传播,造成通信过载,最终使网络瘫痪。 2.1.2 计算机网络攻击的后果 计算机网络攻击造成的恶劣后果有很多,对企业而言最主要的后果有以下两方面: 1. 技术层面 被攻击主
27、机资源消耗严重; 中间设备在处理时消耗大量资源; 服务器拒绝服务; 网络拒绝服务; 服务器死机; 网络瘫痪; 2. 企业自身利益层面 企业机密信息泄露:一些企业内部核心机密信息一旦被泄露,将对企业造成灾难性后果。 商务运作中断:由于攻击造成的停工会导致生产率降低和收入损失,而与恢复受攻击的网络相关的花费又会增加处理攻击事件的总体财务成本。一旦受到攻击,企业通常会部署解决团队来帮助客户、员工以及合作伙伴尽快恢复业务。在修复之前,不仅业务会停顿,而且解决团队疲于应对,无法进行其日常工作,这些都造成了生产率的损失。 法律责任和潜在诉讼:受到攻击的企业可能需要作为被告或关键证人出庭。 要求遵守隐私和安
28、全性法规的企业(如卫生保健企业和金融机构)可能需要证明其为将网络攻击的威胁降至最小而付出的艰辛努力。这一过程将极大地消耗员工的工作效率和企业的资金流。 竞争力下降:信息通常被认为是企业最宝贵的资产(70% 或更多公司的价值在于其知识产权资产)1,这部分数据的损失或被窃可能造成严重后果,甚至会威胁企业在市场中的地位。根据 2002 CSI/FBI 计算机犯罪与安全调查的调查结果,由于安全性被破坏而导致的最为严重的财务损失包括所有权信息的被窃(26 个被访者报告的损失超过$170,000,000)2。 品牌资产被损害:对企业品牌的损害可能会有多种形式,但每种形式都会降低企业在市场中的地位。例如,如
29、果企业的客户数据(如信用卡信息)被窃并被公布到其他 Web 站点上,该企业可能会陷入难以使客户对其品牌恢复信任的困境。 2.2 企业计算机网络安全体系 2.2.1 企业计算机网络安全原则 未来确保企业计算机网络的安全性,系统安全工程能力成熟模型简称 SSE-CMM以及简称为 ISO17799 的信息安全管理系统等都制定了相应的国际标准,都是为了达到防范安全攻击的安全需求,实现安全目标,确保网络安全机制的正常运行,这些标准都是在综合考虑各个方面的因素下制定的,具有一定的可实施性、可管理性、可扩展性,并且具有非常好的综合完备性、系统均衡性,9 项原则是整体设计过程中格外重视的: 1网络信息安全的木
30、桶原则 为了确保信息的均衡性,对网络信息的各个方面进行全面的保护,从而制定了网络信息安全的木桶原则。木桶原则对系统的安全漏洞和安全威胁的每一个方面都不放过,在防范方面能够确保各个地攻破系统中的最薄弱的之处都能被其发现,设计信息安全系统之前,对任何一个部位的评估和检测都是不容错过的。杜绝最常用的攻击手段成功攻破系统的安全性是安全机制和安全服务设计的最初动力,但是换个角度来看,实质上是为了确保整个系统的安全性能,将安全最低点系数增加。 2网络信息安全的整体性原则 安全系统是为了确保网络信息安全,在这个过程中与系统安全防护、检测、恢复这些操作是密不可分的。关于安全防护机制,主要是针对未来要发生的危险
31、性行为进行一定的防护措施来阻止其发生。关于安全检测机制,主要是是针对系统已经存在的危险性行为,进行各种检查,从而保证系统能够正常运行,能够对系统出现的各种攻击保证及时发现及时制止。关于安全恢复机制的作用,顾名思义就是对已经出现的攻击行为进行挽救,及时应急处理和尽快、及时对损失破坏的信息进行恢复,以阻止进一步的损害。 3安全性评价与平衡原则 安全体系设计的过程并不是随便盲目的,这个过程中一定要权衡好需求、风险与代价方面的重要性,要保证在确保安全性的情况下,还具有很好的可用性,在操作是具有可行性。评判标准和衡量指标并不能绝对的说明评价信息的安全性,因为系统的安全性与系统的用户需求密切相关,同时与具
32、体的应用环境,系统的规模和范围,系统的性质和信息的重要程度等都有着一些联系,安全性不是单方面决定的。 4标准化与一致性原则 安全系统之间的各种关系错综复杂,犹如一个庞大的系统工程的操作过程一般,因此,设计的过程中需要一系列的标准来确保安全体系的合理性,只有这样各个分系统之间才能保持一致性的关系,整个系统每个地方的安全性才能都得到确保。 5技术与管理相结合原则 各种安全技术要与运行管理机制相结合起来,相互促进,同时,还可以开展一些人员思想教育与技术培训的活动,将安全规章制度真正落实。 6统筹规划,分步实施原则 由于相关法律没有明确的规定,同时政策也没有对其格外的重视,并且攻击手段各种各样等,使得
33、安全防护的工作一直没有取得很好的效果,因此,为了确保网络安全性问题得到真正的解决,政府对其来自统筹规划,分步实施计划是非常有必要的。 7等级性原则 整个网络中根据不同方面的分层,可以具有不同的安全层次和安全级别,比如,根据信息保密程度可以进行划分层次,也可以根据用户操作权限来设置一些级别,同时,网络安全程度与系统实现结构这两个方面也是可以进行等级划分的,等等,等级性原则渗透整个网络系统中。因此,针对不同级别的安全对象提供不同的安全体制是非常具有实际意义的。 8动态发展原则 采用安全措施就是为了维护网络安全,所以当网络环境发生变动,网络安全需求也会发生变化,为了适应新的网络环境,必须要调整新的安
34、全策略,因此,安全措施并不是保持一成不变的,是处于动态变化中的。 9易操作性原则 第一个方面,任何一项安全措施都离不开人的操作,因此,为了提高安全性,在采取措施方面要倾向于操作的简便性。第二个方面,采用措施的不能干扰系统的程序运行过程。 2.2.2 企业计算机网络安全体系 网络安全方案必须架构在科学的安全体系和安全框架之上,因为安全框架是安全方案设计和分析的基础。为了系统、科学地分析网络安全系统涉及的各种安全问题,网络安全技术专家们提出了三维安全体系结构,并在其基础上抽象地总结了能够指导安全系统总体设计的三维安全体系(见图 1-1),它反映了信息系统安全需求和体系结构的共性。具体说明如下: 图
35、 2-2 安全框架示意图1. 安全服务维 安全服务维(第一维,X 轴)定义了 7 种主要完全属性。具体如下: 身份认证:用于确认所声明的身份的有效性; 访问控制:防止非授权使用资源或以非授权的方式使用资源; 数据保密:数据存储和传输时加密,防止数据窃取、窃听; 数据完整:防止数据篡改; 不可抵赖:取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认; 审计管理:设置审计记录措施,分析审计记录; 可用性、可靠性:在系统降级或受到破坏时能使系统继续完成其功能,使得在不利的条件下尽可能少地受到侵害者的破坏。 2. 协议层次维 协议层次维(Y 轴)由
36、 ISO/OSI 参考模型的七层构成。与 TCP/IP 层次对应,可以把会话层、表示、应用层统一为“应用层”。 3.系统单元维 系统单元维(Z 轴)描述了信息网络基础构件的各个成分。 通信平台:信息网络的通信平台; 网络平台:信息网络的网络系统; 系统平台:信息网络的操作系统平台; 应用平台:信息网络各种应用的开发、运行平台; 物理环境:信息网络运行的物理环境及人员管理。 企业计算机网络信息系统的安全体系需要从技术和安全管理两个方面来共同实现。 2.1.3 企业计算机网络安全体系实现 1. 技术实现 (l)防火墙:防火墙(Firewall)是内部网与外部网之间的“门户”, 对防火墙明确定义来自
37、 AT&T 的两位工程师 Willam Cheswick 和 steven Beellovin,他们将防火墙定义为置于两个网络之间的一组构件或一个系统,它具有以下属性: 双向流通信息必须经过它;只有被预定本定安全策略授权的信息流才被允许通过;该系统本身具有很高的抗攻击性能; 防火墙是在内部网与外部网之间实施安全防范的系统,它用于保护可信网络免受非可信网络的威胁,同时,仍允许双方通信,目前,许多防火墙都用于 Internet内部网之间,但在任何网间和企业网内部均可使用防火墙。不过防火墙也有其缺点: 不能防范恶意的知情者:防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘
38、、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。 不能防范不通过它的连接:防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 不能防备全部的威胁:防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。 防火墙不能防范病毒:防火墙不能消除网络上的
39、PC 机的病毒。 (2)入侵检测系统 (IDS): 是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS 是一种积极主动的安全防护技术。假如防火墙是一幢大楼的门卫,那么 IDS 就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 实时入侵检测系统还可以定义关键字,防止信息的泄密。可以记录非法用户来源,实现入侵行为的取证,给用户权益以最大限度的保护。 (3)安全扫描技术:主要分为两类,主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适
40、的设置脆弱的口令,以及针对其它同安全规则抵触的对象进行检查等;而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。网络安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。 (4
41、)安全漏洞评估工具:(VA)工具可以分为三类,免费软件、开放源代码程序和商业产品。这些工具不仅在网络规划前期有用,而且可以深入查看网络中哪些服务在运行并发现已知和潜在的漏洞。这些安全工具的种类很多。配置和操作都很简单的基于动态服务器主页的工具如:Qualys 公司的 QualysGuard,基于图形用户界面的工具如:Application Security 公司的 AppDetective,Elcomsoft公司的 Proactive Windows Security Explorer,而基于图形用户界面的 Nessus和命令行模式的 Nikto 则要求用户具有较高专业知识。 (5)网络管理技
42、术:一般来说,网络管理就是通过某种方式对网络进行管理,网络能正常高效地运行。其目的很明确,就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行等。 (6)多层次的、立体的病毒防护体系: 一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。 (7)安全审计:帮助安全人员审计系统的可靠性和安全性;对妨碍系统运行的明显企图及时报告给安全控制台,及时采取措施。一般要在网络系统中建立安全保密检测控制中心,负责对系统安全的监测、控制、处理和
43、审计。所有的安全保密服务功能、网络中的所有层次都与审计跟踪系统有关。 (8)线路数据加密:对于企业而言,为了防止搭线窃听、仿冒、非法接入、拒绝服务攻击等网络攻击手段,关键数据线路的数据加密是十分必需的。 2. 安全管理体系 单纯依靠网络安全技术的革新,不可能完全解决网络安全的隐患,想从根本上克服网络安全问题,网络安全的任何一项工作,都必须在网络安全策略、网络安全组织、网络安全技术、网络安全运行体系的综合作用下才能取得成效。 安全策略体系应包括网络安全的目标、方针、策略、规范、标准及流程等,并通过在组织内对安全策略的发布和落实来保证对网络安全的承诺与支持。安全组织体系包括安全组织结构建立、安全角
44、色和职责划分、人员安全管理、安全培训和教育、第三方安全管理等。安全技术体系主要包括鉴别和认证、访问控制、内容安全、冗余和恢复、审计和响应。安全运作体系包括安全管理和技术实施的操作规程,实施手段和考核办法。安全运作体系提供安全管理和安全操作人员具体的实施指导,是整个安全体系的操作基础。 具备了这四个体系,就要做到: 第一,必须有具体的人和组织来承担安全工作,并且赋予组织相应的责权; 第二,必须有相应的安全策略来指导和规范安全工作的开展,明确应该做什么,不应该做什么,按什么流程和方法来做; 第三,若有了安全组织、安全目标和安全策略后,需要选择合适的安全技术方案来满足安全目标; 第四,在确定了安全组
45、织、安全策略、安全技术后,必须通过规范的运作过程来实施安全工作,将安全组织、安全策略和安全技术有机地结合起来,形成一个相互推动、相互联系的整体,通过实际的工程运作和动态的运营维护,最终实现安全工作的目标。 2.3 防火墙技术 目前,在所有的网络安全技术中,使用最频繁,应用领域最广的技术还是要属防火墙技术,防火墙技术应用原理主要是借助于子网的协助来完成的,在网间网中间构建子网来确保网络环境的安全性,当对两个网络进行相互访问时,很容易被黑客侵袭,这时候防火墙技术就能对访问者进行限制,非访问者是很难趁机而入的,因此,网络与互联网络之间或者是各个网络之间在存取、传递信息的过程,都需要安装防火墙技术可以
46、防范危险。防火墙技术主要是起到隔离控制作用,因此,在不同网络或网络安全域之间都可以安装防火墙来作为信息的出入口,网络的信息流能够被掌控。 防火墙系统在网络层安全系统中发挥重要的作用,包括(带 VPN 功能)实现访问控制、网络信息检查、通信加密、非法入侵检测和拦截,异常情况告警和审计几大功能目标。企业网络系统中做重要的一个安全环节就是确保网络层不受到侵袭,因此,防火墙系统在企业网络安全系统中发挥着重要的作用,整个系统的的安全性与其都有着紧密的关系。为了使企业的网络安全系统结构简化、建设成本降低,提出了下表的功能目标要求。 防火墙的优点 1. 防火墙能强化安全策略 Internet 就是给很多人方
47、便,所以的信息都可以被大家一起共享,在方便的同时也是给了那些品德不良的人“作案”的机会,然而,防火墙在这个网络安全系统中就扮演着“交通警察”的角色,对网络系统中各个站点的访问权限都有其相应的要求,通过这种安全策略加强系统的安全性。 2.防火墙对 Internet 上的操作都会留下记忆 系统和网络中的所有信息都需要经过防火墙处理的,每个信息都必不能逃脱过关的。防火墙将会对任何的访问行为进行记录,也是唯一一个通过这种方式对网络和外部网络进行保护工作的。 3.防火墙限制暴露用户点 网络中每一个网段直接都是安装了一个防火墙,因此,当一个网段出现危险时或者被破坏时并不一定会危及到整个整个网络的安全性。 4. 防火墙是一个安全策略的检查站 任何的信息在传送,保持的过程中,都需要经过防火墙进行检查的,安全系统中作为检查点的防火墙为网络的安全性发挥着重要的作用。 2.4 VPN 技术 VPN 应用是为网络通信提供有效的信息加密手段。 在企业企业网的 VPN 应用