一、网络安全需求概述
1、主要网络安全威胁
网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中,相对于过去的局域网、主机环境、单机环境,安全问题变得越来越复杂和突出,所以网络安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础。 安全保障不能完全基于思想教育或信任。而应基于"最低权限"和"相互监督"的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。
通过以上对网络结构的分析不难看出,目前该网络的规模庞大,结构复杂,网络上运行着各种各样的主机和应用程序,使用了多种网络设备;同时,由于多种业务的需要,又和许多其他网络进行连接。因此,我们认为,该计算机网络安全应该从以下几个层面进行考虑:
第一层:外部网络连接及数据访问,其中包括:
● 出差在外的移动用户的连接;
● 托管服务器网站对外提供的公共服务;
● 办公自动化网使用ADSL与Internet连接。
第二层:内部网络连接,其中包括通过DDN专线连接的托管服务器网站与办公自动化网。
第三层:同一网段中不同部门间的连接
这里主要是指同一网段中,即连接在同一个HUB或交换机上的不同部门的主机和工作站的安全问题。
其中外部网络攻击威胁主要来自第一层,内部网络的安全问题集中在第二、三层上。以下我们将就外部网络安全和内部网络的安全问题展开具体讨论。
2、 来自外部网络与内部网络的安全威胁
(1) 来自外部网络的安全威胁
由于业务的需要,网络与外部网络进行了连接,这些连接集中在安全威胁的第一层,包括:内部网络和这些外部网络之间的连接为直接连接,外部网络可以直接访问内部网络的主机,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。
A、出差在外的移动用户的连接
由于业务需要,公司员工经常需要出差,并且该移动用户使用当地ISP拨号上网连接上Internet,进入内部网网络,这时非法的internet用户也可以通过各种手段访问内部网络。这种连接使计委内部网络很容易受到来自internet的攻击。攻击一旦发生,首先遭到破坏的将是办公自动化网的主机,另外,通过使用连接托管服务器网站与办公自动化网的DDN专线,侵入者可以继续攻击托管服务器网站部分。攻击的手段以及可能造成的危害多种多样,如:
● 修改网站页面,甚至利用该服务器攻击其他单位网站,导致计委声誉受损;
● 释放病毒,占用系统资源,导致主机不能完成相应的工作,造成系统乃至全网的瘫痪;
● 释放"特洛伊木马",取得系统的控制权,进而攻击整个计委内部网络;
● 窃取计委的信息,谋取非法所得,而且这种攻击计委是很难发现。
● 对于以上各种攻击我们可以利用防病毒、防火墙和防黑客技术加以防范。
B、托管服务器网站对外提供的公共服务
由于公司宣传的需要,计委网络提供对外的公共服务。
这种情况下,必须借助综合的防范手段才能有效的抵御黑客的攻击。
该破坏的主要方式为:修改网站页面,甚至利用该服务器攻击其他单位网站,导致计委声誉受损;
办公自动化网使用ADSL与Internet连接,内部用户使用ADSL拨号服务器作为网关连接到Internet。这种情况下,传统的网络安全体系无法解决网络的安全问题,必须借助综合的防范手段才能有效的抵御黑客的攻击。
综上所述,外部网络破坏的主要方式为:
● 外部网络的非法用户的恶意攻击、窃取信息;
● 通过网络传送的病毒和电子邮件夹带的病毒;
● 内部网络缺乏有效的手段监视系统、评估网络系统和操作系统的安全性;
● 目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器、NT服务器及Windows、桌面PC;
● 来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。
(2)来自内部网络的安全威胁
从以上网络图中可以看到,整个计委的计算机网络有一定的规模,分为多个层次,网络上的节点众多,网络应用复杂,网络管理困难。这些问题主要体现在安全威胁的第二和第三个层面上,具体包括:
● 网络的实际结构无法控制;
● 网管人员无法及时了解网络的运行状况;
● 无法了解网络的漏洞和可能发生的攻击;
● 对于已经或正在发生的攻击缺乏有效的追查手段;
内部网络的安全涉及到技术、应用以及管理等多方面的因素,只有及时发现问题,确定网络安全威胁的来源,才能制定全面的安全策略,有效的保证网络安全。
A、网络的实际结构无法控制
计算机网络上的用户众多,用户的应用水平差异较大,给管理带来很多困难。网络的物理连接经常会发生变化,这种变化主要由以下原因造成:
● 办公地点调整,如迁址、装修等;
● 网络应用人员的调整,如员工的加入或调离;
● 网络设备的调整,如设备升级更新;
● 人为错误,如网络施工中的失误。
这些因素都会导致网络结构发生变化,网络管理者如果不能及时发现,将其纳入网络安全的总体策略,很可能发生网络配置不当,从而造成网络性能的下降,更严重的是会造成网络安全的严重隐患,导致直接经济损失。
因此,我们需要一种有效的扫描工具,定期对网络进行扫描,发现网络结构的变化,及时纠正错误,调整网络安全策略。
B、网管人员无法及时了解网络的运行状况
网络是一个多应用的平台,上面运行着多种应用,其中包括网站系统、办公自动化系统、邮件系统等。作为网络管理员,应该能够全面了解这些应用的运行情况。同时,由于网络用户众多,很可能发生用户运行其他应用程序的情况,这样做的后果一方面可能影响网络的正常工作,降低系统的工作效率,另一方面还可能破坏系统的总体安全策略,对网络安全造成威胁。
因此,网络管理员应拥有有效的工具,及时发现错误,关闭非法应用,保证网络的安全。
C、无法了解网络的漏洞和可能发生的攻击
网络建成后,应该制定完善的网络安全和网络管理策略,但是实际情况是,再有经验的网络管理者也不可能完全依靠自身的能力建立十分完善的安全系统。具体原因表现为:
● 即使最初制定的安全策略已经十分可靠,但是随着网络结构和应用的不断变化,安全策略也应该及时进行相应的调整;
● 目前黑客的活动越来越猖獗、越来越隐蔽;
● 黑客工具可以轻易得到,依靠网络管理人员的个人力量无法与巨大的黑客群体进行抗衡;
● 传统方式的安全策略采取被动挨打的方式,等待入侵者的攻击,而缺乏主动防范的功能;
● 由于网络配置不当导致的安全隐患;
● 来自内部网的病毒的破坏;
● 内部网络各网段上运行不同应用,而这些应用又要共享某些数据,这些放有共享数据的
主机没有有效的保护措施,容易受到攻击;
因此,我们需要一种强有力的工具来帮助网络管理者对网络风险进行客观的评估,及时发现网络中的安全隐患,并提出切实可行的防范措施。
D、对于已经或正在发生的攻击缺乏有效的追查手段
网络的安全策略一旦建立,会对整个网络起到全面的保护作用,但是我们都清楚--没有绝对安全的网络,少数攻击行为会穿过防火墙最终发生。攻击行为一旦发生,最重要的问题在于怎样减小损失和追查当事人的责任。
首先,一旦发现有攻击行为,系统应该能够及时报警,自动采取相应的对策,如关闭有关服务、切断物理线路的连接等。
有些攻击行为相当隐蔽,攻击发生之后很长时间才会被发现。这种情况下,就需要网络管理者通过有关线索,追踪攻击行为的发起者,追究当事人的责任。但是,由于多种原因,类似的追查工作往往难以进行,其中包括
● 操作系统日志不健全,如Windows95/98不提供操作日志功能;
● 对于某些欺骗行为不能够识别;
● 对于日志文件记录的内容无法进行有效的分析;
● 缺乏对攻击现场回放工具;
● 缺乏防御同样攻击的解决办法。
由此可见,为了能够追查攻击的来源,系统应该具备有效的工具,记录攻击行为的全过程,为调查工作提供依据,同时也是对非法入侵者的有效震慑。
另外,由于人手有限,某些工作人员经常一身数职,违反安全系统原则,对系统安全构成严重威胁。
因此,我们应该从技术和管理等多种渠道加强管理和监控,杜绝这个层面上的安全问题。
二、网络安全系统的总体规划
1、安全体系结构
网络安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等,其安全体系结构如下图所示:
2、安全体系设计
安全体系设计原则
在进行计算机网络安全设计、规划时,应遵循以下原则:
(1) 需求、风险、代价平衡分析的原则 :
对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去
