《浅谈网络安全系统的工程设计》由会员分享,可在线阅读,更多相关《浅谈网络安全系统的工程设计(11页珍藏版)》请在金锄头文库上搜索。
1、浅谈网络安全系统的工程设计1引言今天计算机网络使“天涯若比邻”变成了生活现实,人类社会各种活动对信息网络的依赖程度已经越来越大。当各行各业正在得益于信息革命所带来的新的巨大机遇时,也不得不面对信息安全问题的严峻考验。今天黑客攻击在现实生活中愈演愈烈,几乎每个计算机网络用户都已经意识到安全问题的重要性。“网络安全性” 一词已经变得越来越流行,网络安全需求成为计算机网络用户不可或缺的内容,网络安全系统的设计也成为网络建设必不可少的项目。网络安全性既是一个复杂的课题,也是一个永恒的主题。目前有很多很不错的书籍和文章介绍有关计算机网络安全性方面的内容,其范围从适用于非专业人员理解某个领域的最简单的介绍
2、性读物,到针对安全性产品的实现者掌握错综复杂的技术细节的高级参考书,所介绍的内容实在是太多了。对于非网络安全专业的网络管理人员来讲,主要任务是确定安全性策略的基本需求,并指导系统开发商使用该策略实现安全的网络基础设施。虽然他们不一定参与安全工程的具体实施过程,但了解安全工程设计的工作内涵,无疑是有益的。而安全工程设计的概念、原则、方法和技术信息分散在许多不同的书籍中,把它们摘取出来相当困难。本文尝试将这方面的知识汇集起来供大家参考。2网络安全工程设计的任务网络安全的目的是保护网络信息。信息安全面临的威胁主要来自:系统的软硬件设备的功能失效;系统的软硬件设备的安全缺陷。一般而言,设备功能失效可以
3、通过提高系统的可靠性来解决,设备冗余、负载均衡和备份等技术能够解决这类物理和工程的可靠性问题,经过认真科学的分析、深思熟虑的设计以及全面严谨的测试能使系统具备足够高的可靠程度,使网络信息被破坏几率降到最小或被破坏的信息能接近完整地恢复。网络系统的安全缺陷,是计算机互联的固有特征,由于网络的资源和信息是被共享的,它们必然有可能因人的恶意或偶然原因遭受破坏、更改或泄露。需要在要保护的信息与可能危害网络服务和信息(无意或恶意)的人之间设立实际和虚拟的屏障,限制网络资源和信息的访问自由度,达到降低信息安全风险的目标。网络可靠性问题和安全屏障问题都是网络系统设计的内容,为了便于分析问题,通常将系统可靠性
4、问题放在网络系统结构设计中考虑,而将安全屏障问题放在网络系统安全设计中考虑。网络安全设计的目标,从狭义上讲,是解决系统数据不受偶然的或者恶意的原因而遭受破坏、更改、泄密的问题,侧重于保护网络系统中的内部信息;从广义上讲,是解决网络信息的保密性、完整性、可用性、真实性和可控性的问题,除了考虑如何保护网络系统内部信息外,还要考虑网络系统与外部系统间交换信息的安全性以及信息的合规性,外部系统包括互连的计算机网络、公用传输网络、人员等一切与本系统信息输入/输出相关的实体,保护的范围更为广泛。网络安全设计涉及的内容既有技术方面的问题,也有管理方面的内容,两方面相互补充,缺一不可。技术方面主要侧重于防范非
5、法用户的攻击,管理方面则侧重于内部人为因素的管理。这个管理不仅包括一般意义上的规范使用者合法利用网络的管理制度,它还应该包含大量的保障安全技术发挥作用的管理制度。因为网络安全并不是单纯的技术问题,我们不能买到保证网络绝对安全的万能设备,也不能买到或者编写一段保证网络绝对安全的程序。这就是说,网络安全是一个需要人为干预的过程,而人为干预的作用大小取决于管理制度和落实制度的优劣。安全设备是替代不了管理制度的作用,如果没有一个定期安全审计制度和特征库维护制度,即使网络配置了技术最先进的防火墙、防范病毒、入侵检测等安全设施,由于新的攻击手法不断出现,网络的安全性就会变得越来越差。同样,如果没有一个用户
6、口令密码管理制度,口令密码随意存放或长期不变更的话,网络信息访问权限安全将会形同虚设。在安全设计时,除了选择合适的安全技术外,还应根据采用的安全技术特征制定出相应的可操作的技术管理体系和规定。网络安全工程设计只是从工程实施角度解决防范非法用户攻击的问题,它不是网络安全设计的全部内容,只是网络安全设计的一个技术组成部分。网络安全工程设计的主要困难之一是无法量化设计中提供的各种安全服务的效益,即既无法确切知道这些安全防御屏障是否真正必要,又无法确切知道这些安全防御屏障是否真正有效。如同现实生活中的车辆投保一样,没投保的车辆也许什么事故都不曾发生;而投了保的车辆,因投保的险种不对,发生了事故却不能获
7、得赔偿。不像网络系统结构设计那样有个较客观的度量规则,比如设计了路由热备份,可以使网络传输中断故障几率降低百分之几。另一个主要困难是各种安全服务如何适应网络系统应用和网络安全环境的变化,已实施的安全防御屏障在今天是有效的,但随着黑客攻击技术的发展,以及网络体系结构的变化、软件的增删、服务项目的调整等原因,明天就未必有效。由于网络安全工程设计存在着量化的困难和应变的困难,会经常出现两种极端的设计倾向,一种认为既然无法预知安全服务的效益,就忽视必要的安全工程设计,企图依赖于规章制度来规避信息安全风险,或者寄托于在网络应用阶段的事故发生后的“亡羊补牢”;另一种是抱着“有”比“没有”强的想法,在没有对
8、具体的系统和环境进行充分的考察、分析、评估的情况下,为避免安全责任,不管效用如何,不计成本地配置各种安全服务设施。这两种倾向在网络建设过程中都会有反映,在建设规划时期,由于难以判断危险,而感到担心、恐惧和不确定,计划了不切实际的各种安全服务设施,但进入建设实施时期,经常因投资制约或与应用服务效率发生冲突时,大量被砍去的项目却是安全服务设施,网络安全的工程建设始终处于一种盲目的状态。网络安全工程设计的指导思想应该是,将信息安全风险处于一种“可控”的状态,所谓“可控”是指积极地防御、高效地监测和有效地恢复等三个方面,“防”、“查”、“治”相结合的安全体系,任何杜绝网络系统所有安全漏洞的做法是不现实
9、的。网络安全工程的实现是根据已确立的网络系统信息安全体系结构,将支撑信息安全机制的各种安全服务功能,合理地作用在网络系统的各个安全需求分布点上,最终达到使风险值稳定、收敛且实现安全与风险的适度平衡。3网络安全工程设计的原则尽管没有绝对安全的网络,但是,如果在网络方案设计之处就遵从一些合理的原则,那么相应网络系统的安全就更加有保障。设计时如考虑不全面,消极地将安全措施寄托在网络运行阶段的事后“打补丁”思路是相当危险的。从工程技术角度出发,在设计网络安全方案时,应该遵循以下原则:(1)实用性原则。保证了网络系统的正常运行和合法用户操作活动,网络安全才有意义。网络的信息共享和信息安全是一对不可调和的
10、矛盾:越安全就意味着使用越困难,一方面为方便信息资源的共享,要充分利用网络的服务特征,同时这种方便也带来了网络信息资源的安全漏洞;另一方面为健全和弥补系统缺陷的漏洞,会采取多种技术手段和管理措施,势必给系统的运行增加负担,给用户的使用造成麻烦。比如,在实时性要求很高的业务对安全连接的时延和安全处理的数据扩张有很大限制,如果安全连接和安全处理对系统CPU、存贮器、输传带宽等资源的占用过大,业务就无法正常运行。(2)整体性原则。网络安全工程系统应该包括3种机制:安全防护机制、安全监测机制、安全恢复机制,它们各自完成不可替代的安全任务,并相互结合形成完整的网络安全体系。安全防护机制是根据具体系统存在
11、的各种安全威胁和安全漏洞采取的相应防护屏障,避免非法入侵的进行,是一种事先防御手段;安全监测机制是监测系统的运行情况,及时发现对系统进行的各种攻击,随之调整防护机制制止此类攻击的进行,是一种事中防御手段;安全恢复机制是在安全防御机制失效,而监测机制没有及时发现的情况下,进行应急处理和信息的恢复,减少攻击造成的破坏程度,是一种事后防御手段。网络安全的工程设计要体现安全防护、监测和应急恢复的安全整体性,要求在网络被攻击时,少发生及不发生系统被破坏的情况,一旦发生破坏情况,应能很快地恢复网络信息中心的服务,降低损失。(3)安全有价原则。在考虑网络安全问题的工程解决方案时,必须考虑性能价格的平衡。必须
12、有的放矢,具体问题具体分析,把有限的经费花在刀刃上。不同的网络系统所要求的安全侧重点各不相同。例如国家行政首脑机关、国防部门计算机网络安全侧重于存取控制强度。金融部门侧重于身份认证、审计、网络容错等功能。交通、民航侧重于网络容错等。(4)适用性原则。安全工程设计中要充分考虑到“网络安全是个动态的过程”的特征。为了适应网络服务环境变化和网络服务项目调整的情况,系统单元中所采用的安全服务子系统应能提供友好的可视化的易操作的管理功能,以便及时调整系统的防御屏障体系。(5)“木桶原则”。强调对信息均衡、全面地进行安全防护。网络信息系统本身在物理上、操作上和管理上的种种漏洞构成了系统安全脆弱性,尤其是多
13、用户网络系统自身的复杂性、信息资源共享利用的广泛性,存在着多种公开或隐蔽的渠道访问信息资源,攻击者必然在系统中不设防的渠道进行攻击。充分、全面、完整地对被保护信息的各种访问渠道进行安全漏洞和安全威胁分析是网络安全系统设计的必要条件。(6)分层原则。网络系统中的信息必然存在不同级别,如不同信息的价值可分为极高、高、中、低等级别;不同信息的保密程度可分为绝密、机密、秘密、内部、公开;同一信息的用户操作权限可分成面向个人、面向群组或面向公众;子网络安全程度可划分成安全区域、非安全区域或高危区域;系统体系结构可分为应用层、应用支撑层、网络层、传输层等。针对不同级别或层次的安全对象,提供全面的、可选的安
14、全体制,以满足各级别或层次的实际需求。(7)简化原则。网络提供的服务和捆绑的协议越多,出现安全漏洞的可能性越大。简化网络服务功能,关闭工作任务以外所有的网络服务和网络协议是安全工程设计的重要守则。例如网络业务不需要向用户提供FTP服务,就应该关闭服务器上FTP协议,以免用户启用FTP时,造成不必要的安全漏洞。在具体实施安全工程过程中,经常会发生体现了某一个原则,就会违背了另一个原则的情况,这就需要根据被保护的信息资源价值、可能的安全威胁和受攻击的风险等实际情况进行平衡性的调整。4网络安全系统的分层结构模型为了使复杂的网络安全系统问题简化,更好地解决与工程相关的问题,引入网络安全体系结构概念,对
15、于网络安全工程方案设计具有非常重要的指导意义。研究网络安全体系结构的目的是解决安全服务的逻辑结构和功能分配问题,用层次清晰的结构化的方法,将安全功能按安全对象划分出若干层次,处于高层次的系统仅是利用较低层次的系统提供的接口和功能,不需要了解低层实现该功能所采用的算法和协议;较低层次也仅是使用从高层系统传来的参数,也不需要了解高层实现该功能所采用的算法和协议,这就是层次间的无关性。因为有了这种无关性,层次间的每个模块可以用一个新的模块取代,只要新的模块与旧的模块具有相同的功能和接口,即使它们使用的算法和协议都不一样,也能很好地工作。所以分层结构的网络安全体系结构并不关心各层的安全功能是如何实现,
16、换句话说,它只是从安全功能层面上描述网络安全系统的结构,而不涉及每层硬件和软件的组成,也不涉及这些硬件和软件的实现的问题,是个抽象的逻辑的功能框架。 在计算机网络实践中,“层次”这个概念是无所不在的。安全系统结构层次模型类似于ISO的开放式系统互连(OSI)体系结构的分层模型。网络安全系统层次结构模型与各层次协议的集合定义为网络安全系统的体系结构。根据不同的具体网络结构,网络安全系统的层次的划分、功能的分配及采用的技术均不相同,图1是某国家部委的网络安全体系的层次模型。随着安全技术的发展,不同结构的计算机网络安全系统的互连已成为人们迫切需要解决的问题。安全支撑平台:安全系统结构的最低层,类似OSI参考模型的物理传输介质层,是系统安全信息的载体。它主要包括私钥算法库、公钥算法库、HASH函数库、密钥生成程序、随机数生成程序等信息的安全算法库;包括用户口令和密钥、安全管理参数及权限
