第10章網絡安全解決方案 內容提要 網絡安全體系結構網絡安全解決方案單機用戶網絡安全解決方案內部網絡安全管理制度小結 10 1網絡安全體系結構 1 網絡信息安全的基本問題網絡信息安全的基本問題是眾所周知的諸要素 可用性 保密性 完整性 可控性與可審查性等 最終要解決是使用者對基礎設施的信心和責任感的問題 返回本章首頁 網絡時代的信息安全有非常獨特的特征 研究信息安全的困難在于 邊界模糊評估困難安全技術滯后管理滯后 返回本章首頁 2 網絡與信息安全體系要實施一個完整的網絡與信息安全體系 至少應包括三類措施 并且三者缺一不可 一是社會的法律政策 規章制度措施二是技術措施三是審計和管理措施 返回本章首頁 數據安全 平臺安全 服務安全要求用完整的信息保障體系 并不斷發展傳統的信息安全概念 保護 檢測 響應 恢復涵蓋了對現代網絡信息系統保護的各個方面 構成了一個完整的體系 使網絡信息安全建筑在更堅實的基礎之上 返回本章首頁 1 保護 Protect 保護包括傳統安全概念的繼承 用加解密技術 訪問控制技術 數字簽名技術 從信息動態輿 數據靜態存儲和經授權方可使用 以及可驗證的信息交換過程等到方面對數據及其網上操作加以保護 返回本章首頁 2 檢測 Detect 檢測的含義是 對信息傳輸的內容的可控性的檢測 對信息平臺訪問過程的甄別檢測 對違規與惡意攻擊的檢測 對系統與網絡弱點與漏洞的檢測等等 返回本章首頁 3 響應 React 在復雜的信息環境中 保證在任何時候信息平臺能高效正常運行 要求安全體系提供有力的響應機制 返回本章首頁 4 恢復 Restore 狹義的恢復指災難恢復 在系統受到攻擊的時候 評估系統受到的危害與損失 按緊急響應預案進行數據與系統恢復 啟動備份系統恢復工作等 廣義的恢復還包括災難生存等現代新興學科的研究 返回本章首頁 保護 檢測 響應 恢復四個概念之間存在著一定的因果和依存關系 形成一個整體 如果全面的保護仍然不能確保安全 這在現階段是必然的 就需要檢測來為響應創造條件 有效與充分地響應安全事件 將大大減少對保護和恢復的依賴 恢復能力是在其他措施均失準備的情形下的最后保障機制 返回本章首頁 3 網絡安全體系結構要使信息系統免受攻擊 關鍵要建立起安全防御體系 從信息的保密性 拓展到信息的完整性 信息的可用性 信息的可控性 信息的不可否認性等 為研究的方便 可以將其簡化為用三維框架表示的結構模型 其構成要素是安全特性 系統單元及開放互連參考模型結構層次 返回本章首頁 返回本章首頁 安全防御體系結構框架 上述框架模型是一個立體空間結構 突破了以往分散孤立地考慮安全問題的舊模式 是站在頂層從整體上對網絡安全進行分析和描述的 它把與網絡安全相關的物理 規章及人員等安全要素都容納其中 涉及系統保安和人員的行政管理等方面的各種法令 法規 條例和制度等也均在其考慮之列 返回本章首頁 在進行計算機網絡安全設計 規劃時 應遵循以下原則 需求 風險 代價平衡分析的原則綜合性 整體性原則一致性原則易操作性原則適應性 靈活性原則多重保護原則 返回本章首頁 任何安全保護措施都不是絕對安全的 都可能被攻破 為此需要構建全方位的安全體系 全方位的安全體系的主要內容包括 訪問控制檢查安全漏洞攻擊監控加密通訊認證備份和恢復 返回本章首頁 10 2網絡安全解決方案 1 網絡安全需求分析 1 網絡安全需求分析的基本原則網絡系統的安全性和易用性在很多時候是矛盾的 因此 在做安全需求分析時需要在其中找到一個恰當的平衡點 如果安全原則妨礙了系統應用 那么這個安全原則就不是一個好的原則 返回本章首頁 在做需求分析時需要確立的幾種意識 風險意識權衡意識相對意識集成意識 返回本章首頁 2 安全威脅分析企業網絡面臨的安全威脅主要來自以下方面 操作系統的安全性 防火墻的安全性 來自內部網用戶的安全威脅 缺乏有效的手段監視 評估網絡系統的安全性 返回本章首頁 采用的TCP IP協議族軟件 本身缺乏安全性 應用服務的安全性 未能對來自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java ActiveX控件進行有效控制 返回本章首頁 一套完整的網絡安全解決方案 應該根據目標網絡系統的具體特征和應用特點 有針對性地解決可能面臨的安全問題 具體來講 需要考慮的問題包括 關于物理安全的考慮關于數據安全的考慮數據備份的考慮防病毒的考慮關于操作系統 數據庫 應用系統的安全考慮 返回本章首頁 網絡系統安全結構的考慮通信系統安全的考慮關于口令安全的考慮關于軟件研發安全的考慮關于人員安全因素的考慮網絡相關設施的設置和改造安全設備的選型安全策略與安全管理保障機制的設計 返回本章首頁 網絡安全行政與法律保障體系的建立長期安全顧問服務服務的價格事件處理機制安全監控網絡和安全監控中心的建立安全培訓等 返回本章首頁 3 企業網絡的安全需求分析企業網絡的基本安全需求企業網絡內部部署了眾多的網絡設備 服務器 保護這些設備的正常運行 維護主要業務系統的安全 是企業網絡的基本安全需求 返回本章首頁 業務系統的安全需求企業網絡應保障 訪問控制 確保業務系統不被非法訪問 數據安全 保證數據庫軟硬件系統的整體安全性和可靠性 入侵檢測 能及時發現 記錄和跟蹤破壞業務系統的惡意行為 提供非法攻擊的證據 來自網絡內部其他系統帶來的安全隱患 返回本章首頁 Internet服務網絡的安全需求Internet服務網絡安全需求是保護網絡不受破壞 確保網絡服務的可用性 Internet服務網絡分為兩個部分 提供網絡用戶對Internet的訪問提供Internet對網內服務的訪問 返回本章首頁 作為信息網絡之間互聯的邊界安全應作為主要安全需求包括 保證信息網絡間安全互聯 能夠實現網絡安全隔離 對于專有應用的安全服務 必要的信息交互的可信任性 能夠提供對于主流網絡應用的良好支持 返回本章首頁 信息網絡公共資源能夠對開放用戶提供安全訪問 對網絡安全事件的審計 對于網絡安全狀態的量化評估 對網絡安全狀態的實時監控 返回本章首頁 信息網絡內部的安全需求 包括 信息網絡中的各單位網絡之間建立連接控制手段 能夠滿足信息網絡內的授權用戶對相關專用網絡資源訪問 同時對于遠程訪問用戶增強安全管理 加強對于整個信息網絡資源和人員的安全管理與培訓 返回本章首頁 4 安全需求分析的一般過程 返回本章首頁 本節以某公司網絡為例 來介紹進行安全需求分析的一般過程 網絡拓撲結構如右圖所示 網絡系統的總體安全需求是建立在對網絡安全層次分析基礎上的 對于基于TCP IP協議的網絡系統來說 安全層次是與TCP IP協議層次相對應的 針對網絡的實際情況 可以將安全需求層次歸納為網絡層安全和應用層安全兩個技術層次 同時將在各層都涉及的安全管理部分單獨作為一部分進行分析 返回本章首頁 網絡層需求分析網絡層安全需求是保護網絡不受攻擊 確保網絡服務的可用性 能夠防范來自Internet的對提供服務的非法利用 防范來自Internet的網絡入侵和攻擊行為的發生 對于內部網絡提供高于網絡邊界更高的安全保護 返回本章首頁 應用層需求分析應用層的安全需求是針對用戶和網絡應用資源的 主要包括 合法用戶可以以指定的方式訪問指定的信息 合法用戶不能以任何方式訪問不允許其訪問的信息 非法用戶不能訪問任何信息 用戶對任何信息的訪問都有記錄 返回本章首頁 安全管理需求分析能否制定一個統一的安全策略 在全網范圍內實現統一的安全管理 對于企業網來說是至關重要的 安全管理主要包括三個方面 內部安全管理網絡安全管理應用安全管理 返回本章首頁 2 網絡安全解決方案 1 網絡安全解決方案的層次劃分第一部分為法律 法規與管理手段第二部分為增強的用戶認證第三部分是授權第四部分是加密第五部分為審計 監控和數據備份 返回本章首頁 在上述網絡和信息安全模型中 五個部分是相輔相成 缺一不可的 其中底層是上層保障的基礎 如果缺少下面各層次的安全保障 上一層的安全措施則無從說起 返回本章首頁 2 網絡安全解決方案 返回本章首頁 根據上述網絡安全解決方案的層次分析 可以設計出如圖所示的網絡安全解決方案 在總部網關位置配置CheckPointFirewall 1防火墻 劃分多安全區域 將內網 對外發布的WebServer和電子商務網站放置在不同的網絡安全區域 在服務器區前放置CheckPointFirewall 1防火墻模塊 其他區域對服務器區的訪問必須經過防火墻模塊的檢查 在中心交換機上配置基于網絡的IDS系統 監控整個網絡內的網絡流量 返回本章首頁 在服務器區內的重要服務器 如Sybase數據庫服務器等 安裝基于主機的入侵檢測系統 對所有對數據庫服務器的訪問進行監控 并對數據庫服務器的操作進行記錄和審計 將電子商務網站和進行公司普通Web發布服務器進行獨立配置 對電子商務網站的訪問將需要身份認證和加密傳輸 保證電子商務的安全性 返回本章首頁 在DMZ區的電子商務網站配置基于主機的入侵檢測系統 防止來自Internet對Http服務的攻擊行為 在公司總部安裝Spa統一認證服務器 對所有需要的認證進行統一管理 并根據客戶的安全級別設置所需要的認證方式 如靜態口令 動態口令 數字證書等 返回本章首頁 3 設備說明防火墻設備在本方案中選用的防火墻設備是CheckPointFireWall 1防火墻 FireWall 1功能特點有 對應用程序的廣泛支持集中管理下的分布式客戶機 服務器結構遠程網絡訪問的安全保障 FireWall 1SecuRemote 返回本章首頁 防病毒設備在本方案中防病毒設備選用的是趨勢科技的整體防病毒產品和解決方案 包括中央管理控制 服務器防病毒和客戶機防病毒三部分 返回本章首頁 入侵監測設備在本方案中入侵監測設備采用的是NFR入侵監測設備 包括NFRNID和NFRHID NFR把基于網絡的入侵檢測技術NID和基于主機的入侵檢測技術HID完美地結合起來 構成了一個完整的 一致的實時入侵監控體系 返回本章首頁 SPA身份認證設備本方案采用的身份認證設備是SecureComputing的SafeWord SafeWord具備分散式運作及無限制的可擴充特性 返回本章首頁 10 3單機用戶網絡安全解決方案 由于當前個人用戶使用Windows類操作系統的占大多數 因此本節所討論的單機用戶網絡安全解決方案主要是針對Windows系列操作系統的 單機上網用戶面臨的安全問題主要包括 返回本章首頁 計算機硬件設備的安全計算機病毒網絡蠕蟲惡意攻擊木馬程序網站惡意代碼操作系統和應用軟件漏洞等 返回本章首頁 1 Windows98安全解決方案 1 Windows98系統面臨的安全威脅Windows98系統的可控性和可管理性相對較差 從自身來講安全性不強 但同時來自于Internet上的安全威脅又相對較少 主要體現在 返回本章首頁 惡意網絡攻擊網絡共享漏洞惡意網站代碼不明來歷的包含病毒與木馬的應用程序惡意電子郵件攻擊等 返回本章首頁 其中電子郵件帶來的安全問題主要包括 電子郵件容易被截獲電子郵件客戶端軟件設計存在缺陷 返回本章首頁 2 Windows98安全解決方案根據以上的分析對Windows98系統的安全解決方案主要包括 防病毒與木馬防網絡攻擊防網站惡意代碼電子郵件安全 返回本章首頁 防病毒與木馬防病毒與木馬主要依賴于防病毒軟件 目前比較流行的有代表性的防病毒軟件有 NortonAnti Virus KasperskyAnti Virus 江民的KV系列 金山毒霸和瑞星等 防病毒軟件通常也具有一定防木馬的能力 專業的防木馬軟件有 木馬克星 Anti Trojan TrojanRemover等 安裝防病毒軟件絕對不是一勞永逸的 一定要養成定期更新病毒代碼庫的良好習慣 返回本章首頁 防網絡攻擊防網絡攻擊的有效手段是安裝個人防火墻 應用防火墻軟件最主要的是要設置好防火墻的規則 只有這樣才能正常發揮抵御網絡攻擊的能力 典型的個人防火墻軟件主要有 NortonInternetSecurity ZoneAlarmPro BlackIce 天網防火墻 個人版 綠色警戒等 返回本章首頁 防網站惡意代碼對于單機上網用戶來說 網站惡意代碼是威脅用戶安全的主要因素 為了防網站惡意代碼的危害 不讓其執行是其中的關鍵 可以在IE瀏覽器的安全設置中禁止VBScript和JavaScript的執行 此外 如今的防病毒軟件大多數也具有檢測并殺除網站惡意代碼的能力 返回本章首頁 電子郵件安全從技術上看 沒有任何辦法可以阻止攻擊者截獲需要在網絡上傳輸的數據包 保護電子郵件安全的唯一方法就是讓攻擊者截獲了數據包但無法閱讀它 即對電子郵件的內容進行某種形式的加密處理 目前已經出現了不少解決電子郵件安全問題的加密系統解決方案 其中最具代表性的是PGP加密系統 返回本章首頁 2 Windows2000 XP安全解決方案針對Windows98的安全措施對Windows2000 XP同樣有效 也是Windows2000 XP安全解決方案的重要組成部分 此外Windows2000 XP的可管理性比Windows98要強得多 本小節主要從安全管理和安全配置方面進行介紹 返回本章首頁 1 Windows2000 XP安全管理停用Guest帳號限制不必要的用戶數量創建2個管理員用帳號把系統administrator帳號改名創建一個陷阱帳號把共享文件的權限從 everyone 組改成 授權用戶 返回本章首頁 使用安全密碼設置屏幕保護密碼使用NTFS格式分區保障備份盤的安全 返回本章首頁 2 Windows2000安全配置利用win2000 XP的安全配置工具來配置策略關閉不必要的服務關閉不必要的端口打開審核策略開啟密碼策略開啟帳戶策略設定安全記錄的訪問權限 返回本章首頁 不讓系統顯示上次登陸的用戶名到微軟網站下載最新的補丁程序禁止建立空連接關閉默認共享禁止dumpfile的產生關機時清除掉頁面文件禁止從軟盤和CDRom啟動系統考慮使用智能卡來代替密碼慮使用IPSec 返回本章首頁 10 4內部網絡安全管理制度 面對網絡安全的脆弱性 除在網絡設計上增加安全服務功能 完善系統的安全保密措施外 還必須花大力氣加強網絡的安全管理 下面提出有關信息系統安全管理的若