《涉密园区网规划与实施_基础信息化_信息安全_2114》由会员分享,可在线阅读,更多相关《涉密园区网规划与实施_基础信息化_信息安全_2114(10页珍藏版)》请在金锄头文库上搜索。
1、涉密园区网规划与实施_基础信息化_信息安全针对军工单位参与国防科研的现实,为了实现信息化建设要求,建立覆盖 全局的安全、可靠、保密、实用、经济、合理的网络信息平台,以实现 WEB 浏 览、邮件服务等基本网络应用,并在此基础上实现 OA、CAD/CAM 系统应用、 CAPP/PDM、管理信息系统(包括 ERP 系统)等的网络应用,必须在网络建设的同 时,设计安全可靠的安全系统,以保证国家秘密的安全和信息传输的完整性。现阶段,保证计算机网络安全的主要方法和途径包括有实体保护、加密技 术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复 等。但网络安全是一个系统工程,不能仅仅依靠防火
2、墙、防病毒等单个的系统, 而需要仔细考虑整个系统的安全需求,并将各种安全技术和管理手段结合在一 起才能生成一个高效、通用、安全的网络系统。一、网络总体设计一、网络总体设计涉密兼顾联通涉密兼顾联通由于军工科研机构的性质,所属计算机网络必须保证相应的安全等级。同 时,由于地理位置的原因,为了实现与上级机关和所属分部之间的联系,必须 设置广域网外联结构。所以,网络总体设计应包括:1 1、局域网设计、局域网设计在网络内部实现互联互通,必须考虑网络中合法用户的身份验证、网络中 数据传输的完整性和隐秘性以及内网行为的内部审计,以保证内部网络安全可 信。2 2、广域网接入设计、广域网接入设计为了实现到上级机
3、关或分支机构的连接,必须敷设光缆或租用公用线路以 实现安全接入。3 3、互联网接入设计、互联网接入设计主要实现如收发 Email、客户联系、对外宣传(WWW)、查阅资料等应用。按 保密要求,不能直接将 Internet 接入研究所内网之中。二、网络拓扑结构二、网络拓扑结构1 1、局域网拓扑结构、局域网拓扑结构局域网以高速以太网技术构建,并以 TCP/IP 作为网络传输协议,提供各建 筑物内信息点的高速网络连接。整个网络采用星型层次结构,根据各主要建筑 物内用户对流量以及对带宽方面的需求情况,在网络中心设立互为冗余、备份 的核心交换机,两台核心交换机之间采用 GEC 技术进行连接,以防止单链路或
4、者单台设备出现故障造成对正常业务的影响,为了保证科研楼的日常的设计、 开发工作。同时,在科研楼设立分中心核心交换机,三台核心交换机之间采用环状连 接进一步保证内部关键业务的开展,核心交换机和服务器设在网络中心,核心 交换机到服务器之间采用 1000M 以太网技术、链路冗余技术实现连接,核心以 及分核心交换机通过 1000M 光缆直接连接到各主要建筑物配线间的汇聚/接入层 交换机。接入交换机设在各主要建筑物的配线间和子配线间,各主要建筑物的 接入交换机,通过六类双绞线直接连接到各信息点,个别距离过远的信息点采 用光缆和交换机通过级联进行扩展。网络整体采用集中式管理,室外主干光缆 架设一次到位。网
5、络整体设计采用层次化的网络结构,即包括核心(Core)层、汇聚 (Distribution)层和接入(Access)层。网络层次化设计有利于当局部网络环境 发生变化时不影响其它无关的层次,也便于发现和隔离故障。其中核心层提供 网络系统高效、可靠的数据交换;汇聚层提供网络系统网管中心与各部门网络交 换设备之间高效率、高可靠性的数据传输服务;接入层提供各专业系统的接入。最终的网络方案是网络内网系统在核心层采用千兆以太网技术(将来可以顺 利平滑过渡到万兆以太网),通过千兆链路将各汇聚层的交换设备连接到网络系 统的核心层次,同时在汇聚层和接入层采用 100 兆到桌面(将来可以顺利过渡到 千兆以太网)的
6、以太网络交换技术来完成部门专业化的各类应用。网络拓扑图如 图 1 所示。图 1 园区网网络拓扑图2 2、广域网规划和设计、广域网规划和设计由于军工性质的原因,在对外连接、数据访问方面,对数据、信息安全方 面的要求很高。为了实现到上级机关和分支机构的广域连接,考虑到经济成本 因素,租用公用线路必须采用路由器、防火墙、密码机、入侵检测等产品实现 安全接入。出差在外的员工与内部局域网通信,采用 VPN 技术接入。3 3、互联网接入设计、互联网接入设计为了满足保密规定不能直接将 Internet 接入内网,所以对于必须访问 Internet 进行资料查询、Email、信息共享等应用的用户,在不违反保密
7、规定、 条例的前提下,由其自行通过拨号或 ADSL 等方式解决,所使用的计算机与企业 内网物理隔离三、网络安全设计三、网络安全设计建成后的计算机网络,网络风险不仅来自 Internet 上黑客、病毒等的侵袭, 即使是在 LAN 环境内,系统也不可避免地要受到来自内部一些员工有意或无意 的入侵甚至是恶意的攻击、破坏,以及病毒的潜在威胁、数据的窃取、流失等 不安全因素,这些不安全因素严重时可以使整个内部局域网络陷于瘫痪。因此,需要制订一套统一、完善的能够指导整个计算机及信息网络系统安 全运行的管理规范,以最大限度避免和杜绝实施信息共享时所面临的安全问题。 内部局域网络安全需要建立体化、多层次的安全
8、体系,其中主要涉及到的安全 问题包括实体保护、加密技术、身份认证、路由器和防火墙、入侵检测系统、 内容(行为)审计、防病毒等。1 1、计算机实体安全、计算机实体安全由于计算机设备存在电磁泄露、非法终端、搭线窃取和介质的剩磁效应等 泄密渠道,对于计算机硬件,必须采用电源保护、防盗技术、环境保护、电磁 兼容性等技术,对发射信号和辐射信号进行防护,保证系统中的设备不因外界 或其他设备的电磁干扰而影响其正常工作。具体的措施包括,在网络中心专门设置屏蔽电源,保证“红黑”分离;严格 按照保密条例中规定的距离等级,使涉密计算机的布置远离城市公共区域;使用 传导干扰器;非屏蔽电缆与其他并行线缆保持 1m-3m
9、 的距离等。2 2、加密技术、加密技术由于需要采用广域网与上级机关和所属分部通讯,所以必须在线路上加装 密码机设备。它可以有效对抗截收、非法访问等威胁。通过硬件在网络的链路 层和物理层的加密技术和公钥密码算法实现的数字签名和验证手段,保护了通 信节点之间数据的传输。同时,在数据存储方面,考虑选用操作系统的文件加密方式,使用 NTFS 文 件分区格式,将所用客户端的涉密文件,存储到域服务器上,以实现某种程度 的对文档的加密。3 3、身份认证和内部访问控制、身份认证和内部访问控制3.13.1 身份认证身份认证目前的实际应用中,有三种常用的身份认证方法:用户帐号+口令密码;智 能卡;虹膜或指纹等生物
10、特征技术等,三种技术各有利弊。各种智能卡中,动态 口令的令牌方式和基于 USBkey 的认证技术发展很快。但动态口令存在时钟漂移 等缺点,考虑到安全、可靠、成本低廉等因素,基于 USBkey 的身份认证系统, 作为用户来说,不失为一种易于应用推广的技术。本项目中采用的 USBSkey 局域网智能钥匙强双因子身份认证系统,域用户 可结合存储在 Skey 中的 Skey 域用户名、PIN 值及域名,安全登录指定域,本 机用户也可以结合 Skey 和正确的用户名、PIN 值,安全登录本机。这样,用更 安全的数字证书认证机制代替用户名、口令的认证机制,加强了用户身份认证 机制的安全性;每个用户拥有了一
11、个惟一的身份,实现了全系统内用户身份的统 一管理。否则,用户为了使用方便,采用某些简单的对策,就极有可能会严重 地降低系统的安全性;同时,采用 USBSkey 电子钥匙来携带用户的数字证书,携 带方便安全。还有远程拨号强双因子身份认证系统,在通过 MODEM 拨号远程登 录过程中,运用 PKI 技术代替 PAP、CHAT 等认证方式,使用户通过数字证书而 不是简单的用户名、密码来验证身份,从而大大提高了系统的安全性。本系统在网络中心设置认证服务器一台,通过 SQL Server 数据库存储认证 信息,处理认证请求;用户安装 USBSkey 客户端,通过电子钥匙、用户名、PIN 值,有效保证了身
12、份认证的可靠性。同时,服务器通过身份认证可以严格控制 了客户端的输入/输出,使所有涉密信息严格处于可控状态。图 2 是 USBSkey 身 份认证框图。图 2 USBSkey 身份认证框图3.23.2 内部访问控制内部访问控制内部访问控制采用了以下几种技术:1)VLAN1)VLANVLAN 依据协议、MAC 地址或端口在逻辑上将网络划分为若干部分。VLAN 模 拟了一组终端设备,即使它们处于不同的物理网段上,也不受物理位置的限制。 VLAN 的作用是使得同一 VLAN 中的成员之间能够通信,而不同 VLAN 用户之间是 相互隔离的,如果需要通信必须通过路由设备或三层交换机。VLAN 使网络管理
13、 简单化,可以减少工作站移动和变化所需的费用,方便地进行逻辑分组,添加、 删除和修改用户信息以及通过网络流量测试工具进行计费等工作。此外 VLAN 可 以将广播风暴遏制在本 VLAN 的范围之内,其他 VLAN 用户不受影响,大大节约 了网络带宽,提高了带宽利用率。2)IP-MAC2)IP-MAC 端口绑定端口绑定在使用其它安全设备、产品的同时,为了实现对计算机网络内各个部分的 更细粒度的安全防护,即防止 IP 地址盗用、假冒身份的现象的发生,对于一般 第二层交换机,需要将网卡 MAC 地址同交换机的端口进行绑定,即使是这样, 但仍然会有一些计算机会冒用别的机器的 IP 地址,从而进行一些非法
14、的、非授 权的访问,为了彻底杜绝这种潜在的危险,可以充分利用我们所选择的第三层 交换机的三层特性,在各个交换机上实施 IP 地址MAC 地址交换机端口三者 之间的绑定。这样就能保证各个网络用户在其权限之内安全、充分地享受系统 所提供的各种网络资源,有效的杜绝一些系统内部用户有意或者无意的入侵、 数据流失、数据窃取、系统外部恶意的攻击等行为的发生,才能避免给系统造 成各种危害或者使危害给系统所造成的损失降低到最低程度。3)ACL(Access3)ACL(Access ControlControl List)List)ACL 通过网络接口进入网络内部的数据包进行控制,从原来的网络层技术 扩展为端口
15、限速、端口过滤、端口绑定等二层技术,来实现对网络的各层面的 有效控制。具体到安全领域来说,它可以实现限制网络流量以提高网络性能、 提供网络访问的基本安全手段。这样,在网络中,ACL 不但可以让网管员用来 制定网络策略,对个别用户或特定数据流进行控制;也可以用来加强网络的安全 屏蔽作用。从简单的 Ping of Death 攻击、TCP Syn 攻击,到更多样化更复杂 的黑客攻击,ACL 都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换 机都具备支持标准 ACL 及扩展 ACL 的能力,网络设备就可以将安全屏蔽及策略 执行能力延伸到网络的边缘。4)802.1x4)802.1x 认证认证IEE
16、E802.1x 协议通过对认证方式和认证体系结构进行优化,有效地解决了 传统 PPPoE 和 Web/Portal 认证方式带来的问题,消除了网络瓶颈,减轻了网络 封装开销,降低了建网成本,从而成为当前内部局域网选型的一个热点。针对 内网所有用户,可以采用交换机本身支持的 802.1x 技术实现用户的登陆身份认 证。4 4、路由器和防火墙、路由器和防火墙边界路由器提供了园区网到广域网的互联访问,边界防火墙可以管理内、 外网之间的访问。网管员可以利用硬件提供的工具,阻止非法用户进入内网, 并过滤掉不安全服务。边界防火墙具有访问控制、状态包检测、集中式管理、 网关入侵检测和报警、网络地址翻译(NAT)、流量审核日志等功能。访问控制和 状态包检测技术能够有效侦测和阻止不符合安全策略的访问行为;网络地址翻译 可以屏蔽内网中的 IP 地址,避免内网主机遭受外网攻击;防火墙日志能够记录 进出网关的行为和外部攻击行为,方便网管员设置更全面的网关安全策略。5 5、入侵检测和安全审计、入侵检测和安全审计虽然网络配置了防火墙,它不可能完全防止有些新的攻击或那些不经过防 火墙的其它攻击。所以
