军工行业信息安全网络解决方案

《军工行业信息安全网络解决方案》由会员分享，可在线阅读，更多相关《军工行业信息安全网络解决方案（20页珍藏版）》请在金锄头文库上搜索。

1、 1 军工行业网络安全解决方案整体设计军工行业网络安全解决方案整体设计 田鑫 中国核工业建设集团公司四七一厂 摘摘 要要 网络安全问题越来越引起世界各国的严密关注 随着计算机网络在军工行业的广泛应 用 不断出现网络被非法入侵 重要资料被窃取 网络系统瘫痪等严重问题 网络 应用程序的 安全漏洞越来越多 各种病毒泛滥成灾 这一切 已给各个国家以及我国军工行业造成巨大的经 济损失 甚至危害到国家安全 关键词关键词 计算机 网络 安全 方案 1 概述 1 概述 1 1 方案背景 随着计算机 通信 网络技术的发展 全球信息化的步伐越来越快 网络信息系统 已经成为一个国家 一个行业 一个集团 一个企业寻求

2、发展的基础设施 人类在感受 到网络信息系统对社会文明的巨大贡献的同时 也认识到网络信息安全问题已成为影响 国家 军工行业和长远利益而亟待解决的重大关键问题 对国家而言 没有网络安全解决方案 就没有信息基础设施的安全保证 就没有网 络空间上的国家主权和国家安全 国家的政治 军事 经济 文化 教育 社会生活等 将处于信息战的威胁之中 大多数军工集团 军工企业在 2002 年完成了对计算机网络的升级改造 近年来通 过各集团 各企业的积极努力 极大地加快了信息化建设的进程 然而 内部网络的安 全问题还是相当突出 比如计算机病毒就是一个主要的危害因素 2 如何根据军工行业具体的网络系统环境 在 整体安全

3、评估与安全规划 的基础上 建立一套行之有效的安全解决方案 将是本文研讨的主题 1 2 实施意义 随着计算机技术 信息技术的发展 计算机网络系统必将成为我国军工行业业务的 关键平台 同时 随着计算机网络系统的发展 计算机网络安全系统必将发挥越来越重 要的作用 网络安全系统的建立 必将为军工行业的业务信息系统 行政管理 信息交流提供 一个安全的环境和完整平台 通过先进技术建立起的网络安全系统 可以从根本上解决 来自网络外部及内部对网络安全造成的各种威胁 以最优秀的网络安全整体解决方案为 基础形成一个更加完善的业务系统和办公自动化系统 利用高性能的网络安全环境 提 供整体防病毒 防黑客 数据加密 身

4、份验证防火墙等于一身的功能 有效地保证秘密 机密文件的安全传输 严格地制止经济情报丢失 泄密现象发生 维护数据安全 中国核工业建设集团公司四七一厂在 2005 年全面启动信息化建设 建成了覆盖整 个企业各业务部门并与 Internet 联接的千兆快速以太网 尤其在当前网络安全和今后的 信息安全上取得的实践经验 笔者作为项目的负责者认为可作为军工行业各级机构借 鉴 因此 本方案的实施还可以达到预期的经济及社会效益 2 需求分析需求分析 2 1 网络现状 3 2005 年 中国核工业建设集团公司四七一厂由于生产 科研 经营 管理工作的 需要 对原有的 10Mbps 低速局域网进行了较大规模的升级改

5、造工程 建成了覆盖一 个企业各业务部门并与 Internet 联接的千兆快速以太网 使整个网络从 IPX 和 TCP IP 协议混用的网络过渡到统一使用 TCP IP 协议的网络 整个网络变的易于管理 较 IPX 和 TCP IP 协议混用的网络更易于控制 现有网络核心设备采用 HUAWEI CISCO 等公司的产品 信息中心设在机关办公 大楼楼三楼 并配有一台高性能的中心交换机 厂机关及下属处级单位 车间分别配置 可堆叠工作组交换机 中心交换机与各工作组交换机之间使用光纤形成星型连接 建成 了 4 个千兆 9 个百兆的主干传输通道 共连接 3 栋办公楼 联网计算机近 150 多台 如图 1

6、1 所示 图 核工业四七一厂网络拓扑图 4 在网络建设的同时 开发推广了实用的网络应用服务功能 包括开发数据库综合应 用 WWW 信息网站 电子邮件 FTP 视频服务等等 随着各种应用的开展 大大促 进了中国核工业建设集团公司四七一厂信息化管理和无纸化办公的进程 2 2 网络安全现状 目前 中国核工业建设集团公司四七一厂对网络安全采取的主要措施有 1 1 利用操作系统 数据库 电子邮件 应用系统本身安全性 对用户进行权限控 制 2 采用了一定的数据备份措施 数据库系统备份 3 使用防病毒软件对计算机病毒及时清除 4 使用了基于用户名 口令的访问控制 5 不定期对系统和应用日志进行审计 6 浏览

7、相关系统网站 及时下载安全补丁 但是 仅靠以上几项安全措施 还不能达到中国核工业建设集团公司四七一厂安全 的要求 2 3 主要网络安全威胁 网络安全的建立并不是单纯几种安全技术产品的堆积 它的重点在于要针对中国核 工业建设集团公司四七一厂现有的网络环境 对网络中所有可能存在的破坏侵入点进行 详细的分析 针对每一个可能的侵入点进行层层防护 对症下药 真正使之成为 安全 5 的 企业网络 对中国核工业建设集团公司四七一厂网络安全构成威胁的主要因素有 1 内部网络和外部网络之间的连接为直接连接 外部用户不但可以访问对外服务 的服务器 同进也能访问内部的网络服务器 这样 由于内部和外部没有隔离措施 内

8、 部系统较容易遭到攻击 2 来自内部网的病毒的破坏 内部用户的恶意攻击 误操作 但目前发生的概率 较小 3 来自外部网络的攻击 具体有二条途径 1 Internet 的连接部分 2 与各二 级单位连接的部分 4 外部网的破坏主要方式为 1 黑客用户的恶意攻击 窃取信息 2 通过网络 传送的病毒和 Internet 的电子邮件夹带的病毒 3 来自 Internet 的 Web 浏览可能存 在的恶意 Java ActiveX 控件 5 缺乏有效的手段监视 评估网络系统和操作系统的安全性 目前流行的许多操 作系统均存在网络安全漏洞 如 UNIX 服务器 NT 服务器及 Windows 桌面 PC 6

9、 缺乏一套完整的安全策略 政策 其中 目前最主要的安全威胁是来自网络外部用户 主要是各二级单位用户和 Internet 用户 的攻击 2 4 网络安全需求分析 根据上面所描述的企业网络的具体环境和相应的遭受威胁的可能性分析 我们提出 6 如下网络安全体系需求报告 1 访问控制 通过对特定网段 服务建立访问控制体系 将绝大多数攻击阻止在 到达攻击目标之前 2 检查安全漏洞 通过对安全漏洞的周期检查 即使攻击可到达攻击目标 也可 使绝大多数攻击无效 3 攻击监控 通过对特定网段 服务建立的攻击监控体系 可实时检测出绝大多 数攻击 并采取相应的行动 如断开网络连接 记录攻击过程 跟踪攻击源等 4 加

10、密通讯 主动的加密通讯 可使攻击者不能了解 修改敏感信息 5 认证 良好的认证体系可防止攻击者假冒合法用户 6 备份和恢复 良好的备份和恢复机制 可在攻击造成损失时 尽快地恢复数据 和系统服务 7 多层防御 攻击者在突破第一道防线后 延缓或阻断其到达攻击目标 8 隐藏内部信息 使攻击者不能了解系统内的基本情况 9 设立安全监控中心 为信息系统提供安全体系管理 监控 保护及紧急情况服 务 3 网络安全方案设计3 网络安全方案设计 3 1 安全体系设计原则 在进行计算机网络安全设计 规划时应遵循以下原则 7 1 需求 风险 代价平衡分析的原则 对任一网络来说 绝对安全难以达到 也 不一定必要 对一

11、个网络要进行实际分析 对网络面临的威胁及可能承担的风险进行定 性与定量相结合的分析 然后制定规范和措施 确定本系统的安全策略 保护成本 被 保护信息的价值必须平衡 价值仅 1 万元的信息如果用 5 万元的技术和设备去保护是一 种不适当的保护 2 综合性 整体性原则 运用系统工程的观点 方法 分析网络的安全问题 并 制定具体措施 一个较好的安全措施往往是多种方法适当综合的应用结果 一个计算机 网络包括个人 设备 软件 数据等环节 它们在网络安全中的地位和影响作用 只有 从系统综合的整体角度去看待和分析 才可能获得有效 可行的措施 3 一致性原则 这主要是指网络安全问题应与整个网络的工作周期 或生

12、命周期 同时存在 制定的安全体系结构必须与网络的安全需求相一致 实际上 在网络建设之 初就考虑网络安全对策 比等网络建设好后再考虑 不但容易 而且花费也少得多 4 易操作性原则 安全措施要由人来完成 如果措施过于复杂 对人的要求过高 本身就降低了安全性 其次 采用的措施不能影响系统正常运行 5 适应性 灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化 要容易适应 容易修改 6 多重保护原则 任何安全保护措施都不是绝对安全的 都可能被攻破 但是建 立一个多重保护系统 各层保护相互补充 当一层保护被攻破时 其他层保护仍可保护 信息的安全 8 3 2 安全体系层次模型 按照网络 OSI

13、的 7 层模型 网络安全贯穿于整个 7 层 针对网络系统实际运行的 TCP IP 协议 网络安全贯穿于信息系统的 4 个层次 下图表示了对应网络系统网络的 安全体系层次模型 物理层 物理层信息安全 主要防止物理通路的损坏 物理通路的窃听 对物理 通路的攻击 干扰等 链路层 链路层的网络安全需要保证通过网络链路传送的数据不被窃听 主要采 用划分 VLAN 局域网 加密通讯 远程网 等手段 网络层 网络层的安全需要保证网络只给授权的客户使用授权的服务 保证网络 路由正确 避免被拦截或监听 物物 理理 实实 体体 安安 全全 企业安全策略 用户责任 病毒 防治 保证 客户 计算机网络安全 信息 服务

14、 操作 系统 信息安全 9 操作系统 操作系统安全要求保证客户资料 操作系统访问控制的安全 同时能 够对该操作系统上的应用进行审计 应用平台 应用平台指建立在网络系统之上的应用软件服务 如数据库服务器 电子邮件服务器 Web 服务器等 由于应用平台的系统非常复杂 通常采用多种技术 如 SSL 等 来增强应用平台的安全性 应用系统 应用系统完成网络系统的最终目的 为用户服务 应用系统的安全与系 统设计和实现关系密切 应用系统通过应用平台提供的安全服务来保证基本安全 如通 讯内容安全 通讯双方的认证 审计等手段 3 3 安全产品选型 赛门铁克公司是目前世界上技术领先的 Internet 网络安全软

15、件公司 也是最大 最 著名的工具软件公司 作为全球第七大软件商 全球有超过 6 千万的用户使用赛门铁克 产品 包括企业 政府和高等院校等各个领域的用户 作为全球安全领域的领导者 赛门铁克公司致力于向商业和个人计算机环境提供创 造性的 最有效的解决方案和产品 着重在为用户的系统提供可靠的安全保障 帮助用 户提高生产效率 保持用户的计算机系统在任何时间和任何地点 以最佳性能安全可靠 地运行 赛门铁克公司主要以计算机系统内容安全 漏洞检测与风险评估 入侵扫描软 件和系统支持与恢复软件的研究发展著称 Symantec 提供全方位 多层次的 整体的网络安全解决方案 10 1 在网络结构方面 Symant

16、ec 从第一层工作站 第二层服务器 第三层电子邮件 服务器到第四层防火墙都有相应的防毒软件提供完整的 全面的防病毒保护 尤其是对 电子邮件的防病毒 Symantec 具有最全面的解决方案 包括市场上流行的所有邮件系统 如 IBM Lotus Notes Domino on AIX AS 400 OS 390 SUN Solalis NT MS Exchang Server 以及其他的基于 Unix 平台下的邮件系统 2 在系统平台支持方面 Symantec对各种操作系统提供全面的支持 如 IBM AIX Linux AS 400 OS 390 SUNSolaris Dos Windows 3x Windows95 98 Windows NT Workstation Server Windows 2000 OS 2 NOVELL Netware Macintosh 等 3 在防病毒技术方面 Symantec 采用各种先进的反病毒技术 尤其在对付未知病 毒和多态病毒方面 采用了各种先进的技术对其进行查杀 如 启发式侦测技术 Bloodhund TM 神经网络技术 打击技术 Striker3