网络安全论文.doc_咨信网zixin.com.cn

资源描述

安全论文 DCN网络安全建设方案研究梁世红摘要：本文通过对综合数据通信网（DCN网）网络现状和网络需求的分析，概述了DCN网络主要面临的三类安全威胁和DCN网络安全的三个前提条件，有针对性的提出了DCN网络安全建设的总体方案，并进一步展望了建设省内SOC安全中心的思路。关键词：网络安全管理随着企业信息化程度的不断提高， DCN网的总体定位是采用IP技术构建的、覆盖全国、技术先进、功能齐全的、面向企业内部应用提供服务的数据通信网络，逐步成为企业内部网，而目标网为一张物理网络，是BSS、OSS、MSS、EAI等信息化系统的承载网络。目前省内DCN网络的应用主要包括长途网管系统、七号信令系统、电路调度系统、传输综合网管、本地网管系统、168系统、九七系统、智能网记费、资源管理系统、客服系统、联机计费采集系统、IP综合网管系统、交换接入网综合网管系统、新九七系统等。而随着信息化系统的建设整合，INTERNET 和合作伙伴等也会接入到网络中，随着DCN网络信息资产价值的提高，其重要性和安全问题日益显现出来。一、 DCN省干网络现状 1、 DCN省干网的现状 DCN网络分为两层结构：省干核心层和地市汇聚层。全省共设置了1个省中心节点，若干个地市中心节点。典型配置中省中心节点配置2台的NE40-8路由器，地市中心节点各配置2台NE40-4路由器。省中心路由器与地市中心路由器之间呈双星形结构，省中心节点NE40-8路由器通过155M SDH电路与地市中心节点NE40-4路由器相连，两台路由器以负荷分摊、均衡使用的方式协调工作，从而使两条线路负载均衡。省中心节点局域网配置了2台S6503局域网交换机，每台交换机配有交换引擎、双电源，具有很强的处理能力。每个接入系统均通过2条10/100M自适应以太网链路分别同2台局域网交换机连接，每台交换机通过2条100M快速以太网链路同两台路由器相连。各地市中心节点局域网配置了2台S6506局域网交换机，每台交换机配置了双电源，地市中心节点局域网结构与省中心局域网结构相同。 2、 DCN网络安全需求现状 DCN网络目前存在的安全问题 l l组网方式随意性很强 l l网络区域之间边界不清晰，互通控制管理难度大、效果差，攻击容易扩散 l l 安全防护手段部署原则不明确，已有设备也没有很好的发挥作用 l l 网络资源比较分散：关键数据分散管理，部分通讯资源无法共享 l l 扩展性差：网络层次不清晰，会导致扩展性问题 l l 非均匀的网络分布作为内部支撑业务的“数据通信网”，DCN网络与其他网络的安全需求相比存在着明显的特点： 1、可用性，可控性需求作为内部承载网络，DCN网络的可用性需求是最重要的安全需求，由于DCN网络的特点，公共网络那种以扩大资源（带宽，设备处理能力）为主的处理方式很明显不适合DCN网络的具体情况，例如病毒泛滥，蠕虫传播的情况，由于端接入点不可控，采取很具体的控制手段往往是通过增加资源首先保证可用的方式来解决。但对于DCN网络，由于全网所有节点都在可控范围内，可以方便地采用技术手段和管理手段实现更精细，更有效的可用性管理。 2、可操作性需求 DCN网络覆盖面广，承载业务系统繁多，情况千差万别，要搞好这个系统的安全建设工作，可操作性是目前需要考虑的一个重要问题，没有可操作性，任何建设方案，建设思路都将流于形式。二、 DCN网络面临的安全威胁及安全目标 DCN网络中的主要威胁除了物理攻击破坏外，主要包括恶意软件攻击、、内部员工误用黑客入侵破坏三大类，具体描述如下： 1、物理攻击和破坏物理攻击和破坏主要针对DCN的基础平台而言，对基础平台内重要的网络设备、通信链路进行的攻击和破坏，威胁的形式表现为物理临近攻击，威胁的主体包括DCN内部和外部的破坏者，破坏网络设备使之无法正常提供服务；侵占网络链路资源，使DCN网络有限的带宽资源被无目的地浪费等等； 2、病毒、蠕虫和恶意代码这种威胁主要针对DCN的应用，随着计算机技术的发展和网络互联范围的扩大，计算机病毒制造技术也在不断的翻新和发展，传播方式也有了很大的变化。病毒的发作具有高发性、变异性、破坏力强等特点，在短短的时间内可以迅速传播、蔓延，导致计算机网络瘫痪，造成DCN网重要数据的丢失。与此同时，还出现了许多具有攻击性的黑客程序和其他破坏程序。这些有害的程序都是利用计算机网络的技术进行传播和破坏，使传统的病毒防范技术难以防范，大规模蠕虫病毒对网络资源造成很大的侵占，使系统无法正常支撑业务的运作，严重的将导致整个系统的崩溃。防范的主要目标是： 1、能够掌握DCN网络、数据中心的资产信息和运行状态，每月提供省病毒攻击相关安全事件统计数据报告。 2、能够对省属DCN网络、信息系统的漏洞和威胁进行评估，明确当前省属DCN网络和信息系统存在的风险和被病毒攻击的可能性，并及时做好加固工作。 3、能够对省属DCN关键节点网络流量进行监控，对病毒等造成的流量异常进行及时响应，快速定位并隔离病毒源头。 4、能够通过对网络设备和安全设备的日志和告警事件的关联分析，在病毒爆发初期快速定位并隔离病毒源头。 5、能够在接收到安全通告12小时内向各地市发布安全通告。 6、在病毒爆发时，能够快速定位接入局域网接入位置，提高安全响应时间。 3、垃圾邮件电子邮件的兴起，实现了方便的信息交互和沟通，也为各种攻击提供了新的传播手段，典型的基于电子邮件的攻击就是垃圾邮件，这些垃圾邮件利用邮箱内的地址簿，自我进行复制和传播，从而在网络内形成大量的邮件风暴，而阻碍了正常邮件的发送，甚至引起网络阻塞，影响其他正常业务数据的交互。 4、内部员工误用、滥用和误操作内部员工在使用计算机过程中的一些不当行为，很容易使DCN网遭到外来的攻击和破坏，比如下载一些带有病毒的文件，造成病毒的传播；对业务系统进行误操作，造成业务系统宕机；被植入木马，从而形成跳板去攻击DCN其他网络资源；对数据滥用，造成重要的信息外泄，使重要机密数据被窃取。一般地，内部员工误用、滥用资源和对设备的误操作，无论是无意的，还是有意的，都将给攻击者可乘之际，这种行为会给DCN网带来以下的后果： 1、DCN网机密泄漏和关键数据丢失。 2、误操作导致计算机系统瘫痪、影响业务正常运行。 3、误用和滥用导致业务的不稳定、被攻击的可能性增大。针对此类行为的关键策略是采取集中认证和访问控制、行为审计等措施进行防范，能够建立省中心网络集中认证授权(AAA)管理系统，统一用户的帐号口令管理、统一认证，并能够对关键网络设备的访问和操作进行审计等。 5、蓄意破坏指一些有组织、有预谋的破坏行为，包括采取物理临近攻击，进入DCN网络而获得商业秘密，使机密数据被窃取；针对DCN网络重要网络设备、重要业务服务器进行暴力攻击，影响关键业务的持续运行；针对DCN网络对外提供服务的设备进行拒绝服务攻击，中断其正常服务的提供，对业务的正常开展造成威胁等等；可以采取的措施主要包括： 1、能够在省属DCN关键链路和关键节点有相应冗余措施。 2、能够对省属关键网络设备的访问和操作进行审计。 3、出现安全事件和故障能够快速定位。 6、黑客攻击和非法入侵指外部黑客对DCN网络进行的强制攻击行为，攻击者往往利用DCN网络的弱点，获取访问权限，并利用访问权限获得对DCN信息资产的控制，从而进行进一步的攻击行为，破坏系统的机密性、完整性和可用性，造成系统的崩溃。防范攻击的目标为： 1、掌握DCN网络、数据中心的资产信息和运行状态，提供遭受入侵攻击和安全事件相关统计数据报告。 3、对DCN资产的漏洞和威胁进行评估，明确当前DCN存在的风险和被攻击的可能性，并及时做好加固工作。 4、对省公司与集团总部数据中心接口、Internet 出入口处、合作伙伴接入点进行监控，对内部黑客攻击和非常入侵等造成的流量异常进行及时响应，能够快速定位攻击源，及时切断攻击行为。 5、对网络的攻击行为进行记录和审计。 6、能获得最新的漏洞报告，并能在全网发布。三、 DCN网络安全的前提条件保证网络安全必须有一定的前提条件，主要包括边界整合和安全域划分、出口规划及控制、业务层面的隔离三个方面。 1、边界整合和安全域划分 DCN网的边界包括外部边界和内部系统之间的边界。外部边界包括与INTERNET的接口、上下区域之间的接口。内部边界是指各业务系统之间的边界。在省层面，与外界的接口原则上由省的统一节点管理，并设置严格的安全控制策略。所有对外接口原则上设置在省公司，在地市公司层面，和其他网络没有连接。在CE层实现MPLS VPN控制。在PE层实现Internet的出入口，在业务网的互联区采用边界防火墙进行隔离。图 1 边界整合结构图 2、 DCN网的Internet出口规划及控制 DCN网络根据业务发展的需要应该进行Internet接口的整合，统一DCN网的互联网出口。在确定Internet接入的情况下，在Internet接口处部署防火墙设备。而在Internet出口处部署防火墙必须能够做到： 1、采用状态检测的机制实现。 2、对常见应用采用代理机制，防止反向连接的木马攻击程序。 3、防火墙本身应能实现HA和Load Balance。在DCN网接入Internet接口处，除了采用防火墙这种通用的、常见的措施外，还应采用IPS（入侵防御）技术/产品和防火墙配合使用。 3、 DCN承载业务层面的隔离措施 BSS、OSS和MSS在纵向（集团－省公司－地市公司）、跨DCN骨干网的传输上采用MPLS VPN方式针对不同业务系统进行封包，确保在不同的VPN通道中传输不同业务系统。如果BSS、OSS和MSS系统在横向上同处一个本地网中，则采用路由控制配合其他安全方式来进行安全防护。（1) VPN注1： VPN设备即虚拟专有网络设备，使基于加密标准的加密设备，通过加密机制建立起加密通道，可以让网络内的某些主机通过加密隧道进行传输，以达到“安全，传输效率”的最佳平衡摘自吴世中《信息安全标准与法律法规》 P.133 实现隔离各地市节点NE40-4高端路由器用作PE(即SPE)，组成一个逻辑PE节点(HoPE)。在DCN网络上形成多个这样的逻辑PE，逻辑PE之间通过MP－BGP协议交换VPN路由信息，省中心两台核心路由器NE40-8设置VPN路由反射器(VRR)。逻辑PE内部，SPE和UPE之间运行扩展的MP－BGP协议，交换本地VPN路由信息。（2) 业务系统互访实现子系统之间受控互防，可以有两种方式：（1）利用BGP MPLS VPN提供了extranet VPN的方式，可以方便的控制不同VPN之间的互访，而且互访受到严格的控制。（2）利用VPN内部的路由器（或者防火墙）做地址过滤、报文过滤等。四、 DCN网络安全建设的总体建议方案针对前面分析的DCN网中主要的三种威胁和三类前提条件，提出了DCN安全建设的主要思路，具体分析如下： 1、 DCN网关键资产保护 DCN网的关键资产就是网络设备（包括交换机、路由器等）和主机系统，为了提供对关键资产的安全保障，目前最有效和安全性最高的就是采用安全加固措施，对重要资产进行安全评估后，进行技术性的加固，才能很好的将数据库安全保障达到最可靠的安全等级。 2、防火墙注2：防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊的网络互连设备产品部署在各个通向其它系统或区域的链路上通过防火墙实现边界保护，控制各个区域间的访问和信息流。防火墙根据实际业务情况依据“一切未明确允许的访问都禁止”的原则详细配置访问策略，只允许授权地址访问，过滤两个区域之间的通信量和堵塞未授权访问。省网：在省中心的NE40-8和S6506 之间串接两台防火墙，保护省中心局域网。省网出口：省网的NE40-8有两个上联出口，一个是连接DCN骨干网到达集团公司，另一个是连接Internet，部分合作伙伴方也从这条链路接入。在到DCN骨干网出口上串接防火墙，作为本地DCN网的边界控制。在到Internet的出口上串接防火墙，作为DCN网与外界公网的边界，同时通过VPN实现合作伙伴的远程统一接入。地市网：在各地市网核心的NE40-4和S6503之间串接防火墙，作为各地市DCN网边界，保护各地市的DCN网络。 3、 IDS注3：IDS即入侵检测设备，主要通过监控网络，系统的状态，行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。摘自杨义先《网络安全理论与技术》人民邮电出版社 P.182 产品部署：采用分级部署方式，在省和地市两级分别部署入侵检测探测器和控制台，实现分级分权的监控和管理。省网：在DCN省网处的两台S6506交换机上分别部署一台2监听口的入侵检测探测器，每台探测器通过两条FE连接到一台交换机上，分别监控交换机上连的两个接口。在交换机上做端口镜像，把连接到NE40-8端口的流量镜像到连接IDS的SPAN端口上，入侵检测探测器从交换机的SPAN口实时捕捉数据包。在省中心内部署IDS省级控制台，收集全省DCN网探测器的告警日志信息，并下发安全策略。地市网的部署方式类似省网。 4、漏洞扫描注4：漏洞扫描主要指通过安全分析工具，对整个域或子网进行扫描并寻找安全上的漏洞，针对不同系统的脆弱性确定其弱点。摘自杨义先《网络安全理论与技术》人民邮电出版社 P.96 产品部署：采用分级部署方式，在省公司和地市两级部署无IP地址限制的漏洞扫描设备，实现多级的漏洞扫描，以达到了解整个DCN省网的安全现状。省网：考虑到DCN省网范围需要检测的设备较多，使用一台无IP限制的设备。在省网管中心建立一级远程评估中心，负责DCN省网的脆弱性分析和汇总各个地市的评估数据；地市网：由于各个地市的信息系统规模情况不太一致，在规模较大的地市公司网使用无检测IP限制的设备，与省网形成多级部署。在规模较大地市公司建立二级远程评估中心，负责DCN地市网络的脆弱性评估分析和上报工作通过IDS产品与漏洞扫描产品的联动操作，可以有效地针对保护资产的脆弱性进行安全防护。 5、抗DOS注5：Dos 攻击即拒绝服务攻击。主要指攻击服务器,路由器，以及其他网络服务，使被攻击者无法提供正常服务。摘自杨义先《网络安全理论与技术》人民邮电出版社 99页产品部署：在DCN省网骨干和各重要业务系统中采用不同的部署方式，从不同方面进行保护。在骨干网采用旁路流量牵引方式进行部署，主要作用是滤除大部分的攻击流量，减少骨干网络带宽占用，避免网络阻塞，针对于流量型DOS攻击。同时在对外提供服务的重要业务系统出口处串接部署，主要作用是保护内部业务系统完全免受攻击，彻底防御各个层次的DOS，针对于协议缺陷型DOS攻击。省网骨干：在DCN网核心层部署两台设备，每台设备通过两条FE连接一个NE40-8，同时，还有一台作netflow的采集器，NE40-8与探测器间启用动态路由协议，并将接口netflow信息指向探测器。 6、流量分析产品部署：通过流量分析产品的部署，能够对整体DCN网络的安全趋势进行预测与跟踪，并针对全网范围内的实时统计数据进行安全方面的数据挖掘，从而有效的对DCN网络的运行情况和安全状况进行监测。在发生网络运行或安全事件时，根据产品内置策略或者管理员指定的方法，第一时间内自动告警，进一步协助管理员分析问题的影响范围。 7、双因素认证、防病毒、补丁管理部署：静态口令存在很多缺陷，容易被人猜测或通过交际工程学等途径获取，输入口令时容易被人窥视和被很多工具破解，通过实施双因素认证，增加第二个物理认证因素，从而使认证的确定性按指数级递增，提升资源保护的安全级别，可防止机密数据、内部应用等重要资源被非法访问。由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。特别是对于WINDOWS操作系统，比较容易感染病毒。因此病毒的防范也是信息系统安全建设中应该考虑的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术。在省中心，可以采用一台或多台服务器，安装相应软件后，作为双因素认证服务器、防病毒服务器、补丁管理服务器，实现相应的安全功能，提高DCN网安全性。五、安全管理中心（SOC）的建设对于安全建设而言，主要包括安全组织、安全技术、安全运作、安全策略等方面，单从安全技术而言，太少的安全设备和太多的安全设备一样存在着比较大的问题，特别是安全设备布放多的情况下，产生了大量的告警，使网络变的非常复杂，同时也会使管理人员无所适从。从长远来看，SOC中心的建设成为安全建设的主要发展方向，从而使企业的网络管理向网管中心和安全中心的双中心方向发展。在安全建设过程中，通常采用不同厂商的安全产品和方案，并引入了相当多异构的安全技术。而来源于防火墙、入侵检测、防病毒等安全设备的事件随着网络的发展，在一个中等规模的网络上就可以形成海量安全事件，这些事件中又存在非常多的误报和重复现象，技术人员在维护网络系统时，不能清楚了解网络系统当前的隐患和状态，分别处理了大量信息工作却效果有限。图 2 安全中心的建立框架在DCN网上构筑一个统一的安全网络管理平台，使安全管理以这个平台为依托开展一系列工作，通过集中的安全监控与防护，将技术手段与管理手段进行充分整合，预防和杜绝各种安全事件，重点保护关键网络可用性，减弱网络攻击对DCN网的影响。总之，DCN网络的安全解决一定是个循序渐进的过程，在技术层面上讲，必须通过对网络安全基础设施的部署，最终实现网络安全中心的整体解决方式，从而打造一张安全的企业网络，并以此为基础实现整体信息化的安全。参考文献 1. 杨义先. 网络安全理论与技术. 北京：人民邮电出版社. 2005年（2次印刷） 2. 吴世中. 信息安全标准与法律法规. 北京：人民邮电出版社. 2004年（1次印刷） 3. 蔡立军. 计算机网络安全技术. 北京：中国水利水电出版社. 2005年（1次印刷） 4. Mike Horton. 网络安全手册. 北京：清华大学出版社. 2005年（1次印刷） 5. Sean Convery. 网络安全体系结构. 北京：人民邮电出版社. 2005年（1次印刷） 6. 杨富国. 计算机网络安全应用基础. 北京：北京交通大学出版社. 2005年（1次印刷） 7. 严刚. 浅析网络安全技术. 《科技情报开发与经济》. 2005 （11期） 8. 吴健. 企业网络的安全风险与防范措施. 《山东通信技术》. 2005 （2期） 9. 陈晓红. 网络嗅探攻击及对策《内蒙古科技与经济》.2005 （12期） 10. 公安部信息安全标准化委员会. 网络安全管理的新思路.《计算机安全》.2004 （2期） 11. 华为3Com. 融合多样化防护技术铸就全方位网络安全. 《计算机安全》.2004 （3期） 12. 朱堂全. 企业网络安全的策略与管理. 《计算机安全》. 2004 （3期） 13. 敖挺胡昌振 . 多层次立体防护-基于风险评估的网络安全体系研究及系统实现. 《计算机安全》.2004 （10期） 14. 张莉. 网络安全技术及解决方案探讨. 《广东公安科技》. 2003 （2期）作者简介梁世红，男，1971年出生，1993年7月毕业于山西财经大学，2003年获得山西大学计算机专业工学硕士，现为企业信息化部IT运营支撑主管，工程师，高级企业信息管理师（国家职业资格一级），曾先后从事交换机维护、网管中心系统维护、七号信令监测与分析、企业信息化等工作，组织并参与了省通信公司DCN网络的三期建设和两期安全工程建设工作，撰写并发表了二十余篇学术论文。通讯地址：太原市双塔西街39号企业信息化部 030012，联系电话 13903510152 12

展开阅读全文