網絡安全
一、引言
隨著國內計算機和網絡技術的迅猛發展和廣泛普及,企業經營活動的各種業務系統都立足于Internet/Intranet環境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。一旦網絡系統安全受到嚴重威脅,甚至處于癱瘓狀態,將會給企業、社會、乃至整個國家帶來巨大的經濟損失。應此如何使企業信息網絡系統免受黑客和病毒的入侵,已成為信息事業健康發展所要考慮的重要事情之一。
一般企業網絡的應用系統,主要有WEB、E-mail、OA、MIS、財務系統、人事系統等。而且隨著企業的發展,網絡體系結構也會變得越來越復雜,應用系統也會越來越多。但從整個網絡系統的管理上來看,通常包括內部用戶,也有外部用戶,以及內外網之間。因此,一般整個企業的網絡系統存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
(2)企業內網的安全性:最新調查顯示,在受調查的企業中60%以上的員工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業數千萬美金的損失。所以企業內部的網絡安全同樣需要重視,存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。
(3)內部網絡之間、內外網絡之間的連接安全:隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
圖說明 圖一 企業網絡簡圖
對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下:
1. 標準化原則
2. 系統化原則
3. 規避風險原則
4. 保護投資原則
5. 多重保護原則
6. 分步實施原則
四、企業網絡安全解決方案的思路
1.安全系統架構
安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。
2.安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網絡與信息安全防范體系模型
3.企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三 總體安全結構圖
五、整體網絡安全方案
1.網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1)身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
2)數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3)數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
2. VPN系統
VPN(Virtual Private Network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
3. 網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行防護。其網絡結構一般如下:
圖說明 圖四 防火墻
此外在實際中可以增加入侵檢測系統,作為防火墻的功能互補,提供對監控網段的攻擊的實時報警和積極響應等功能。
4. 病毒防護系統
應強化病毒防護系統的應用策略和管理策略,增強勤業網絡的病毒防護功能。這里我們可以選擇瑞星網絡版殺毒軟件企業版。瑞星網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發的網絡防病毒軟件,通過瑞星網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統,并且可以實現防病毒體系的統一、集中管理,實時掌握、了解當前網絡內計算機病毒事件,并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。
5. 對服務器的保護
在一個企業中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME( Secure Multipurpose Internet Mail Extensions ),它是從 PEM(Privacy Enhanced Mail) 和 MIME(Internet 郵件的附件標準 ) 發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織 ( 根證書 ) 之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式):
圖說明 圖五 郵件系統保護
6. 關鍵網段保護
企業中有的網段上傳送的數據、信息是非常重要的,應此對外應是保密的。所以這些網段我們也應給予特別的防護。簡圖如下圖六所示。
圖說明 圖六 關鍵網段的防護
7. 日志分析和統計報表能力
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。
8. 內部網絡行為的管理和監控
除對外的防護外,對網絡內的上網行為也應該進行規范,并監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。企業內部用戶上網信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監控可以規范網絡內部的上網行為,提高工作效率,同時避免企業內部產生網絡安全隱患。因此對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統:
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2) 安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
則內網綜合保護簡圖如下圖七所示:
圖說明 圖七 內網綜合保護
9. 移動用戶管理系統
對于企業內部的筆記本電腦在外工作,當要接入內部網也應進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。
10. 身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程?;赑KI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明 圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本設計以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。