《网络与信息安全防范体系技术白皮书》由会员分享,可在线阅读,更多相关《网络与信息安全防范体系技术白皮书(11页珍藏版)》请在金锄头文库上搜索。
1、一、刖言随着网络经济和网络时代的发展,网络已经成为一个无处不有、无所不用的工具。经济、 文化、军事和社会活动将会强烈地依赖于网络。网络系统的安全性和可靠性成为世界各国共 同关注的焦点。而网络自身的一些特点,在为各国带来发展机遇的同时,也必将带来巨大的 风险。网络安全威胁主要存在于:1. 网络的共享性:资源共享是建立计算机网络的基本目的之一,但是这也为系统安全的攻击 者利用共享的资源进行破坏活动提供了机会。2. 网络的开放性:网上的任何用户很容易浏览到一个企业、单位,以及个人的敏感性信息。 受害用户甚至自己的敏感性信息已被人盗用却全然不知。3. 系统的复杂性:计算机网络系统的复杂性使得网络的安全
2、管理更加困难。4. 边界的不确定性:网络的可扩展性同时也必然导致了网络边界的不确定性。网络资源共享 访问时的网络安全边界被破坏,导致对网络安全构成严重的威胁。5. 路径的不确定性:从用户宿主机到另一个宿主机可能存在多条路径。一份报文在从发送节 点达到目标节点之前可能要经过若干个中间节点。所以起点节点和目标节点的安全保密性能 并不能保证中间节点的不可靠性问题。6. 信息的高度聚集性:当信息分离的小块出现时,信息的价值往往不大。只有将大量相关信 息聚集在一起时,方可显示出其重要价值。网络中聚集了大量的信息,特别是Internet中, 它们很容易遭到分析性攻击。随着信息技术的发展与应用,信息安全的内
3、涵在不断的延伸,从最初的信息保密性发展 到信息的完整性、可用性、可控性和不可否认性,进而又发展为攻(攻击)、防(防范)、 测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。传 统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据 库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认 证产品等。传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能 很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安 全模型。但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问
4、题。二、网络与信息安全防范体系设计2.1网络与信息安全防范体系模型网络与信息安全防范体系是一个动态的、基于时间变化的概念,为确保网络与信息系统 的抗攻击性能,保证信息的完整性、可用性、可控性和不可否认性,本安全体系提供这样一 种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建 一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑 客攻击的成本和难度,从而大大减少了他们对网络系统的攻击。图1:网络与信息安全防范模型网络与信息安全防范模型如图1所示,它是一个可扩展的结构。2.1.1安全管理一个成功的安全防范体系开始于一个全面的安全政策,它是
5、所有安全技术和措施的基础, 也是整个体系的核心。2.1.2预警是实施安全防范体系的依据,对整个网络安全防护性能给出科学、准确的分析评估,有 针对性的给出防范体系的建设方案才是可行的。2.1.3攻击防范攻击防范是用于提高安全性能,抵抗入侵的主动防御手段,通过建立一种机制来检查、 再检查系统的安全设置,评估整个网络的风险和弱点,确保每层是相互配合而不是相互抵触 地工作,检测与政策相违背的情况,确保与整体安全政策保持一致。使用扫描工具及时发现 问题并进行修补,使用防火墙、VPN、PKI等技术和措施来提高网络抵抗黑客入侵的能力。2.1.4攻击检测攻击检测是保证及时发现攻击行为,为及时响应提供可能的关键
6、环节,使用基于网络和 基于主机的IDS,并对检测系统实施隐蔽技术,以防止黑客发现防护手段进而破坏监测系统, 以及时发现攻击行为,为响应赢得时间。采用与防火墙互联互动、互动互防的技术手段,形 成一个整体策略,而不是单一的部分。设立安全监控中心,掌握整个网络的安全运行状态, 是防止入侵的关键环节。2.1.5应急响应在发现入侵行为后,为及时切断入侵、抵抗攻击者的进一步破坏行动,作出及时准确的 响应是必须的。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确 保响应的准确、有效和及时,预防同类事件的再发生并为捕获攻击者提供可能,为抵抗黑客 入侵提供有效的保障。2.1.6恢复恢复是防范体
7、系的又一个环节,无论防范多严密,都很难确保万无一失,使用完善的备 份机制确保内容的可恢复,借助自动恢复系统、快速恢复系统来控制和修复破坏,将损失降 至最低。6个环节互为补充,构成一个有机整体,形成较完善的网络与信息安全体系。2.2网络与信息安全防范体系模型流程网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范 和攻击后的应对。安全管理贯穿全流程。图2:网络与信息安全防范体系工作流程网络与信息安全防范体系的工作流程为:攻击前的防范部分负责对日常的防御工作及对实时的消息进行防御:防火墙作为第一道 关口,负责控制进入网络的访问控制,即进行了日常的防御工作,也对事实的消息进行
8、了防 御;系统漏洞检测系统、安全评估软件一个从内一个从外,非常详细地扫描安全漏洞并将系 统漏洞一一列表,给出最佳解决方法。邮件过滤系统、PKI、VPN等都是进行日常的防御工 作。攻击过程中的防范部分负责对实时的攻击做出反应。预警系统、入侵检测系统检测通过 防火墙的数据流进行进一步检查,综合分析各种信息,动态分析出那些时黑客对系统做出的 进攻,并立即做出反应。通过分析系统审计日志中大量的跟踪用户活动的细节记录来发现入 侵,分别在网络级和系统级共同探测黑客的攻击并及时做出反击,防止黑客进行更深一步的 破坏。攻击过程后的应对部分主要是造成一定损害时,则由应急响应与灾难恢复子系统进行处 理。2.3网络
9、与信息安全防范体系模型各子部分介绍网络与信息安全防御体系是一个动态的、基于时间变化的概念,是一种互联互动、多层 次的黑客入侵防御体系:以预警、攻击防范、攻击检测、应急响应、恢复和安全管理为子部 分构成一个整体。2.3.1安全服务器作为一种重要的基础网络设备,安全服务器产品广泛应用于电子商务和电子信息服务等 关键领域。目前国内服务器产品大都为国外设备,在信息安全构建过程中必然存在着潜在的 危险,因而发展民族服务器产业,构建民族信息长城是国家亟待解决的重大问题。所谓的安 全服务器,即是指运行安全程序的计算机。众所周知,Internet是伴随着TCP/IP设计的网络, 不管是访问控制层还是数据链路层
10、,安全问题基本没有被考虑。TCP/IP是以明文方式传输 数据的,这在开放的Internet环境里很容易被窃听。安全服务器即是:通过对传输中的数据 流进行加密,保证数据即使被窃听也不能被解密;通过电子证书和密钥算法进行身份确认, 防止了身份欺诈;通过对数据流的校验,保证数据在传输过程中不被篡改,使得非法进入网 上秘密程序无机可乘。其主要涉及的技术有:容量大,稳定性高的磁盘阵列;大内存,以提高系统的处理与运 算能力;系统的容错能力;故障的在线修复技术;服务器集群技术;对称多处理技术;安全 SSL技术;安全服务器网络技术(SSN)等。2.3.2预警预警子系统的目的就是采用多检测点数据收集和智能化的数
11、据分析方法检测是否存在某 种恶意的攻击行为,并评测攻击的威胁程度、攻击的本质、范围和起源,同时预测敌方可能 的行动。预警过程是基于收集和分析从开放信息资源收集而获得,提取重要的信息来指导计 划、训练和提前做准备。2.3.3网络防火墙防火墙是保护网络安全最主要的手段之一,它是设置在被保护网络与外部网络之间的一 道屏障,以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的 数据流,尽可能地对外屏蔽网络内部地结构、信息和运行情况,以此来实现内部网络地安全 保护。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据相应的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具
12、有较强的抗攻击能力。它是提供信 息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制 器,也是一个分析器,可有效地监控内部网和外部网之间地活动,保证了内部网络地安全。 研制与开发防火墙子系统地关键技术主要是实现防火墙地安全、高性能与可扩展。防火墙一般具有以下几种功能:允许网络管理员定义一个中心点来防止非法用户进入内部网络。可以很方便地监视网络的安全性,并报警。可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技 术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问 题。是审计和记
13、录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供 Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部 门级的计费。可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和 FTP服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。2.3.4系统漏洞检测与安全评估软件系统漏洞检测可以探测网络上每台主机乃至路由器的各种漏洞;安全评估软件从系统内部扫描安全漏洞和隐患。安全评估软件还主要涉及到网络安全检测,其主要是系统提供的网 络应用和服务及相关的协议分析和检测。系统漏洞检测与安全评估
14、软件完成的功能主要有:对网络的拓扑结构和环境的变化必须进行定期的分析,并且及时调整安全策略;定期分析有关网络设备的安全性,检查配置文件和日志文件;定期分析操作系统和应用软件,一旦发现安全漏洞,应该及时修补;检测的方法主要采用安全扫描工具,测试网络系统是否具有安全漏洞和是否可以抗击有 关攻击,从而判定系统的安全风险。2.3.5病毒防范病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤 杀技术等。能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方面研究病毒免疫机理。加强对计算机病毒的识别、预警以及防治能力,形成基于网络的病 毒防治体系。网络病毒发现及恶意
15、代码过滤技术主要是研究已知与未知病毒识别技术、网上恶意代码 发现与过滤技术。主要的功能为开发网络病毒疫情实时监控系统、主动网络病毒探查工具。 能对疫情情况进行统计分析,能主动对INTERNET中的网站进行病毒和病毒源代码检测; 可利用静态的特征代码技术和动态行为特征综合判定未知病毒。2.3.6 VPNVPN是集合了数字加密验证和授权来保护经过INTERNET的信息的技术。它可以在远程 用户和本信息系统网络之间建立一个安全管道。主要的技术包括隧道技术、隧道交换技术与 公钥基础设施(PKI)的紧密集成技术以及质量保证技术等。隧道技术主要研究合适的封装协议、加解密算法、密钥交换协议以及认证协议等。隧
16、道交换技术研究将隧道如何延伸到防火墙内,并可以在任意位置终止的技术。2.3.7 PKI公钥技术设施集成技术:提出与国际接轨的PKI和密钥KMI技术标准,提供基于PKI 和KMI技术的安全服务平台和公共安全接口,开发PKI技术产品和应用系统。其中PKI的 安全核心部件包括不同规模的CA系统、RA系统和KM系统。2.3.8入侵检测入侵检测子系统是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安 全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。 它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安 全策略的行为和遭到袭击的迹象。入侵检测子系统被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测,从
