网络安全解决方案
网络安全设计方案
绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是"使入侵者花费不可接受的时间与金钱,并且承受很高的风险才能闯入"系统。安全性的增加通常导致企业费用的增长,这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素,例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。
1.网络安全设计原则
在具体进行计算机网络的安全设计、规划时,一般应遵循以下原则:
1) 需求、风险、代价平衡分析的原则:对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。
2) 综合性、整体性原则:运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。
3) 一致性原则:这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。
4) 易操作性原则:安全措施要由人来完成,如果措施过于复杂,对操作人员的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统的正常运行。
5) 适应性、灵活性原则:安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改,并能切合系统的状况,满足分阶段实施的要求。
2.建设目标
网络安全是一个循序渐进的过程,不可能一蹴而就。所以,要求我们首先定位关键资源和关键的安全风险,以此为基点,先对关键资源和高危风险进行保护, 然后按照发散性的思路进行纵深层面的安全分析和扩展保护。
目前内网网络系统中最为迫切的安全需求包括病毒防御、网络边界防御、关键业务系统保护、应用系统保护和基本安全管理制度实现。通过这些安全产品的部署和安全机制的实现,主要解决以下安全问题:
通用安全防护,如对病毒的检测,移动代码过滤等。
内外网络系统间的入侵检测、信息过滤(恶意代码、非法信息的传播)。
内部人员滥用权利,有意犯罪,越权访问机密信息或恶意篡改等问题。
内外部人员针对网络基础设施、主机系统和应用服务的各种攻击,造成网络和系统服务不可用、信息泄密、数据被篡改等。
缺少必要的安全管理制度来保证系统安全的实现。
针对这些安全问题,我们可以采用的安全防护技术包括:
病毒防御 - 企业级防病毒系统
内网网络系统中应该部署网络级防病毒软件,实现统一、跨平台的分级管理,即:管理策略、病毒特征代码可以进行统一的管理和分发,并可以实现分级管理。
对病毒的防御不应该仅仅停留在查杀病毒和将病毒抵御在系统之外。更高层次的病毒防御目标是对病毒感染、发作、爆发的追踪和控制。从红色代码、nimda等蠕虫病毒开始,新型的病毒已经表现出一些新的特征,如利用网络快速传播、利用系统漏洞进行感染和结合黑客手段等,因此在病毒爆发时,如果我们不能对病毒的传播源和传播途径进行控制,势必无法完全防范病毒的发作。
3.总体方案
内网系统设计的安全防护系统主要考虑以下几个方面:
1) 整体和各级网络结构的正确规划,网络中设备的正确配置;
2) 整体安全规范制度的确立,各级系统进行信息进行时需要正确依照安全通讯规则;
3) 数据传输的一致性、完整性以及保密性,确保数据在各级网络中传输的安全,以及明确各级信息的重要程度与不可否认性;
4) 网络安全防护,即数据出入各级网络的安全检查以及网络内部数据传输的安全审计与管理如,安全网关,入侵检测系统,网络审计等技术的实施。
5) 关键设备的重点保护,即对于承担系统中重要工作如,数据计算,数据存储,信息传输等服务器进行有针对性的系统安全操作规则的制定;
6) 人员管理,对于使用系统的所有人员进行统一管理,明确划分其在不同网络中的职责权力;
7) 通用安全防护,如对个人PC机的病毒检测,移动代码过滤等。
4.总体设计思想
网络安全是一个循序渐进的过程,不可能一蹴而就。所以,本着首先定位关键资源,然后以主动保护关键资源为基点,先对关键资源进行保护, 然后按照发散性的思路进行纵深层面的安全分析和扩展保护。
4.1内网设计原则
信息系统安全与保密的“木桶原则”:对信息均衡、全面地进行安全保护。
信息安全系统的“整体性原则”:包括安全防护、监测和应急恢复。
信息安全系统的“有效性与实用性”原则:不影响系统正常运行和合法用户的操作活动。
信息安全系统的“安全性评价”原则:实用安全性与用户需求和应用环境紧密相关。
信息安全系统的“等级性”原则
信息安全系统的“动态化”原则:引入尽可能多的可变因素,并具有良好的扩展性。
设计为本原则:安全与保密系统的设计应与网络设计相结合,即在网络进行总体设计时考虑安全系统的设计,二者合二为一。
自主和可控性原则:解决网络安全产品的自主权和自控权问题,建立我们自主的网络安全产品和产业。
权限分割、互相制约、最小化原则:实现权限最小原则。
有的放矢、各取所需原则:考虑性能价格的平衡,根据不同的网络系统,侧重不同求的安全需求。
4.2有步骤、分阶段实现安全建设
安全产品的部署应该是一个有步骤、分阶段的过程,因此内网的信息安全系统设计了三个阶段的建设过程。
在安全建设初期,我们考虑立竿见影的安全效果,着重保护重点资产。因此关键服务器和网络主干设备等是我们考虑的重点。在这个阶段,防火墙、入侵检测和防病毒等技术是需要优先考虑的技术。客户端的保护侧重在防病毒和终端用户管理方面,随着安全管理的需求增加,我们建议考虑建立一个基本的安全管理制度。
在安全建设中期,我们考虑关键服务器、客户端和网络主干设备的进一步保护。漏洞扫描技术和终端安全管理系统,安全管理制度的进一步完善是本阶段的工作重点,安全审计技术也为安全管理制度的落实提供了技术上的保证。客户端的保护也是本阶段的重点。在内网的信息系统运行了一至两年后,各种应用基本趋于完善,业务流程也基本稳定,建议考虑建设CA认证系统,强调对客户端的完整管理和保护。
最后,在整个信息系统允许3至5年后,整个信息系统的运行已经比较成熟,系统管理员对于整个网络架构有了深入的理解,网络设备、安全产品的数量也不断增加。我们建议在这个阶段考虑实现完整的安全生命周期和建设统一的安全管理平台。完整的安全生命周期遵循安全的动态性原则。安全统一管理平台实现对所有安全设备和网络设备的单点、集中管理,并在更高的层面上接收各种安全事件对这些事件进行深层的分析,统计和关联,提供处理方法和建议,实现专家分析系统。
4.3完整的安全生命周期
完整的安全生命周期应该是由评估、检测、预防和管理几个部分组成的动态系统。数量众多的设备、系统和应用是导致安全隐患不断出现的根本原因,我们不能指望通过一次的安全建设就达到完全的安全保护效果。安全检测、预防和管理可以通过入侵检测、防火墙等手段实现,安全评估则可以通过漏洞扫描工具和人工评估的方式实现。因此我们建议在项目建设的中期或后期采用安全评估和安全加固服务,在漏洞扫描系统供管理员日常对系统进行安全扫描的基础上,根据扫描报告的加固建议进行安全隐患修复,还通过人工服务的方式进行安全隐患的发现和修复。
5.网络区域划分与安全隐患
作为一个整体的安全防护体系,我们首先对内网信息系统进行区域划分,针对不同区域的特点来部署不同的安全技术和安全产品。同时,各个不同区域的安全管理制度也应该根据区域的特点而有所不同。
网络安全部署
保护目标
内部网络的各类服务器、网络设备和客户端。服务器和网络设备是我们保护的主要目标,但实际发生的安全问题往往是由于客户端的安全问题引起的。因此,不应该忽视对客户端的完善防护。
威胁来源
来自内部环境的安全威胁主要有:
感染病毒,病毒、恶意代码的传播,并导致系统遭到破坏;
口令管理不善会造成来自内部用户的对服务器的入侵和破坏;
UNIX和NT系统的缺陷和漏洞也为内部用户的入侵创造了条件;
数据库的安全隐患使内部用户有机会篡改或破坏数据,或在数据库系统中隐藏逻辑炸弹,构成对企业核心业务的重大威胁;
内部用户滥用权利、越权访问;
内部用户的网络滥用和非法网络行为;
重要数据在传输过程中可能被泄密或被篡改;
硬件故障等灾难性事故。
安全策略
在初期的安全部署中,我们建议采用以下技术防范上述的安全威胁:
1. 网络防病毒技术
在系统内所有服务器和客户端部署统一管理的企业级防病毒系统。通过防病毒系统的统一部署,可以防止病毒的感染和传播。这可以解决常见的计算机瘫痪、网络阻塞等安全问题。
2. 网关过滤技术
在之间通过网关过滤系统进行隔离,并合理的配置限制来自多种协议的病毒蠕虫等攻击,减少网络和主机受攻击的风险。尤其是实现自动的更新和升级,即使防御最新型的混合型威胁。此外,还可以通过网关过滤系统来保护免遭垃圾邮件的威胁。
3. 入侵检测技术
在核心交换机上安装一台硬件入侵检测系统对核心交换区域进行实时的入侵行为发现。入侵检测系统可以实时监控网络上和主机上的事件,基于入侵的知识库,可以有效的防止大多数的攻击手段和访问异常,并提供报警机和在线监控能力,使管理员随时获得服务器网络的安装状况的信息。入侵检测和强化的访问控制机制可以为系统提供坚固的审计功能。这样的可靠和完备的审计机制对内部入侵可以起到良好的预防作用,能够被系统记录下操作的痕迹,并有可能被追究责任而受到严厉的惩罚,对企图破坏系统的内部员工会起到威慑力量。
在中期和远期的安全部署中,我们建议考虑以下技术,进一步完善安全体系。
1. 身份认证技术
用户的访问权限和口令的保护是提高系统安全性的重要保障。但目前的用户认证和访问控制系统仍存在很多的安全隐患,如对用户访问权限的定义比较模糊,采用的用户名/口令的保护仍属于弱认证机制等。这些安全隐患必须从应用系统本身进行保护,实现统一用户管理和统一授权。
2. 第三方主机保护和审计技术
主机保护软件的口令策略机制统一服务器的口令质量、口令生命周期等,并在全网络范围内部署策略。主机保护软件分割管理员权限,实施集中管理的强制访问控制。这种强制的访问控制和对root权限的分割可以增强对系统中的审计机制的保护,而在普通的操作系统,获得管理员身份的入侵者可疑任意删除和修改系统的审计信息。管理员能够通过一个中央控制台实现对所有的主机进行安全保护。