《网络安全解决方案》由会员分享,可在线阅读,更多相关《网络安全解决方案(8页珍藏版)》请在金锄头文库上搜索。
1、3.13.1 网络安全解决方案网络安全解决方案3.2.13.2.1 安全建设目标安全建设目标总体安全性:全面有效的保护企业网络系统的安全,保护计算机硬件、软件、数据、网络不因偶然的或恶意破坏的原因遭到更改、泄漏和丢失,确保数据的完整性,大幅度地提高系统的安全性和保密性。可控与可管理性:可自动和手动分析网络安全状况,适时检测并及时发现记录潜在的安全威胁,制定安全策略,及时报警、阻断不良攻击行为,具有很强的可控性和可管理性。系统可用性:保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;易于操作、维护,并便于自动化管理,而不增加或少增加
2、附加操作。可扩展特性:满足成都酒店的业务需求和企业可持续发展的要求,具有很强的可扩展性和柔韧性;安全保密系统具有较好的性能价格比,一次性投资,可以长期使用。合法性:安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。3.2.23.2.2 安全建设手段安全建设手段3.2.2.13.2.2.1 防火墙防火墙作为一种有效的保护计算机网络安全技术性措施,防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络(如 Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。防火墙是一种被动防卫技术,它假设了网络的边界和服务,因此,
3、防火墙最适合于部署在相对独立的企业内部网络与公网(主要为 Internet)之间。作为对企业内网的安全性保护设备/节点,防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业内网和 Internet 间安装防火墙。企业信息系统对于来自 Internet 的访问,采取有选择的接收方式。它可以允许或禁止一类具体的 IP 地址访问,也可以接收或拒绝 TCP/IP 上的某一类具体的应用。防火墙是企业网安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到
4、一定的安全要求。3.2.2.23.2.2.2 加密与数字签名加密与数字签名数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。在网络应用中一般采取两种加密形式:对称密钥和非对称/公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都应在实际环境中具体考虑。对于对称密钥加密。其常见加密标准为 DES 等,当使用 DES 时,用户和接受方采用 64 位密钥对报文加密和解密,当对安全性有特
5、殊要求时,则要采取IDEA 和三重 DES 等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用 KDC 来集中管理和分发密钥并以此为基础验证身份,但是并不适合 Internet 环境。在 Internet 中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是 RSA 算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当
6、这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合 Internet 网上使用。3.2.2.33.2.2.3 用户认证用户认证仅仅加密是不够的,全面的保护还要求认证和识别。它确保参与加密对话的人确实是其本人。用户认证可以依靠许多机制来实现,从安全卡到身份鉴别。前一个安全保护能确保只有经过授权的用户才能通过可靠终端进行公网/私网的交互式访问;后者则提供一
7、种方法,用它生成某种形式的口令或数字签名,被访问的一方(通常是准入设备)据此来认证来自访问者的请求。用户管理的口令通常是前一种安全措施;硬件/软件解决方案则不仅正逐步成为数字身份认证的手段,同时它也可以被可信第三方用来完成用户数字身份(ID)的相关确认。3.2.2.43.2.2.4 网络防病毒网络防病毒随着 Internet 开拓性的发展,病毒可能为网络带来灾难性后果。Internet 带来了两种不同的安全威胁。一种威胁是来自文件下载。这些被浏览的或是通过FTP 下载的文件中可能存在病毒。而共享软件(public shareware)和各种可执行的文件,如格式化的介绍性文件(formatted
8、 presentation)已经成为病毒传播的重要途径。并且,Internet 上还出现了 Java 和 Active X 形式的恶意小程序。另一种主要威胁来自于电子邮件。大多数的 Internet 邮件系统提供了在网络间传送附带格式化文档邮件的功能。只要简单地敲敲键盘,邮件就可以发给一个或一组收信人。因此,受病毒感染的文档或文件就可能通过网关和邮件服务器涌入企业网络。另一种网络化趋势也加重了病毒的威胁。这种趋势是向群件应用程序发展的,如 Lotus Notes,Microsoft Exchange,Novell Groupwise 和 Netscape Colabra。由于群件的核心是在网络
9、内共享文档,那么这就为病毒的发展提供了丰富的基础。而群件不仅仅是共享文档的储藏室,它还提供合作功能,能够在相关工作组之间同步传输文档。这就大大提高了病毒传播的机会。因此群件系统的安全保护显得格外重要。在企业中,重要的数据往往保存在位于整个网络中心结点的文件服务器上,这也是病毒攻击的首要目标。为保护这些数据,网络管理员必须在网络的多个层次上设置全面保护措施。有效的多层保护措施必须具备四个特性:集成性:所有的保护措施必须在逻辑上是统一的和相互配合的。 单点管理:作为一个集成的解决方案,最基本的一条是必须有一个安全管理的聚焦点。 自动化:系统需要有能自动更新病毒特征码数据库和其它相关信息的功能。 多
10、层分布:这个解决方案应该是多层次的,适当的防毒部件在适当的位置分发出去,最大限度地发挥作用,而又不会影响网络负担。一般情况下,防毒软件至少应该安装在服务器工作站和邮件系统上。3.2.33.2.3 解决方案解决方案计算机网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。以该思想为出发点,提出如下的“网络信息安全解决方案“3.2.3.13.2.3.1 网络安全建设总体原则网络安全建设总体原则满足 Intranet 网的分级管理需求根据客户网络规模大、用户众多的特点,对 Intranet 信息安全
11、实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。第一级:数据中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。第二级:部门级,主要实现不同用户分配的虚拟网络间的访问控制;同用户虚拟网络不同地点间的访问控制;以及用户虚拟网络内部的安全审计。第三级:终端/个人用户级,实现用户内部主机的访问控制;数据库及终端信息资源的安全保护。需求、风险、代价平衡的原则对任何网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等) ,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规
12、范和措施,确定本系统的安全策略。综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等) 。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。可用性原则安全措施需要人为去完成,如果措施过于复
13、杂,对人的要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。分步实施原则:分级管理分步实施由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。3.2.3.23.2.3.2 安全防护手段与安全区域规划安全防护手段与安全区域规划由于网络安全的目的是保障用户的重要信息的安全,因此限制直接接触十分重要。如果用户的网络连入 In
14、ternet,那么最好尽可能地把与 Internet 连接的机器与网络的其余部分隔离开来。实现这个目标的最安全的方法是将 Internet服务器与网络划分不同的领域,建立不同的安全策略。如此一来,如果有人闯入隔离开的机器,那么网络的其余部分不会受到牵连。安全区域的规划核心点是访问控制,访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一
15、定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。用户对网络资源的访问权限可以用一个访问控制表来描述。防火墙是最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网络进行区域分割,提供基于 IP 地址和 TCP/IP 服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP 欺骗、IP 盗用等进行有效防护;并提供 NAT 地址转换、流量限制、用户认证、IP 与 MAC 绑定、智能蠕虫防护等安全增强措施。ARP 攻击防护ARP 欺骗:在同一个 IP 子网内,数据包根据目标机器的 MAC 地址进行
16、寻址,而目标机器的 MAC 地址是通过 ARP 协议由目标机器的 IP 地址获得的。每台主机(包括网关)都有一个 ARP 缓存表,在正常情况下这个缓存表能够有效维护 IP 地址对 MAC 地址的一对一对应关系。但是在 ARP 缓存表的实现机制和 ARP 请求应答的机制中存在一些不完善的地方,容易造成 ARP 欺骗的情况发生。对于 ARP 欺骗攻击来说,单独针对任何一台设备做防护配置都是微薄的,解决ARP 欺骗需要对整体网络的进行有效的规划,在每一台网络设备,每一台终端设备上做有效地防护措施:把网络划分多个网段,ARP 询问不会超出你的 VLAN,超出 VLAN 的 IP和 MAC 地址表由网关来控制。这样危急的范围会变小,易于故障处理在每一台网络设备/终端设备上做 IP 和 MAC 静态绑定,在网内把主机和网关都做 IP 和 MAC 绑定。欺骗是通过 ARP 的动态实时的规则欺骗内网机器,所以我们把 ARP 全部设置为静态可以解决对内网 PC 的欺骗,同时在网关也要进行 IP 和 MAC 的静态绑定,这样双向绑定才比较保险。通过对防火墙进行设置也是防御 A
