华为政务网网络安全解决方案.docx
《华为政务网网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《华为政务网网络安全解决方案.docx(42页珍藏版)》请在冰点文库上搜索。
华为政务网网络安全解决方案
政务网
网络安全解决方案
2002/10/28
华为政务网网络安全解决方案
1政务网络安全需求
政务网络的应用以及业务发展面临着安全挑战,随着政务网络的层次化、分组化以及宽带化发展,政府部门越来越多的统计决策业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变,这符合当前信息网络融合发展的趋势。
多网融合对应用的安全性提出了更高的要求。
但目前政务网络常见的情况是:
a、没有统一的网络授权控制策略,仅采用简单的口令控制,使用不便,而且难以确保口令的时效限制。
B、机房中心访问控制与未来跨主机业务之间的矛盾,(如不同政府部门之间的业务开展和结算等)。
C、网络规划基本上还是以简单办公业务需要为主,没有考虑到将来政府网络支持的业务(特别是电子商务)对网络架构和安全要求提高的平滑过渡。
D、政务内网与政务外网之间的数据交换的实时性与安全性之间的矛盾。
电子政务网络需要具有先进性、标准性、有特色的,并且考虑今后扩展性的的整体安全解决方案。
2政务网络安全策略
完整的安全体系结构应覆盖系统的各个层面,由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。
网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全;应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制,在应用层保证对政务网络各种应用系统的信息访问合法性;系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控,防止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁;管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。
因此作为一个完整的系统,政务网络必须对网络系统进行全方位的考虑。
我们从网络设备安全、网络协议安全以及组网安全这三个方面来讨论网络安全策略。
2.1网络设备安全
网络设备本身的可靠性与线路安全是值得关注的安全问题。
网络设备物理层安全包括过压和过流保护、防电涌破坏、抗电磁干扰的能力,设备的电磁干扰必须满足国家标准。
设备应安装过压、过流保护器。
过压、过流保护器在外接电源异常时保护设备的核心部分。
设备应带有防电涌器件,有效防止电涌对设备的损坏。
设备在受到0.01~1000MHz频率范围内电场强度为140dBuV/m的外界电磁干扰时应不出现故障和性能下降。
正常情况下,设备的绝缘电阻应不小于50M,设备的接地电阻应小于5。
由设备射出的电磁干扰、由设备进入交流馈电线的电磁干扰、由设备进入直流馈线和信号线的电磁干扰都必须满足我国的国家标准。
2.2网络协议安全威胁和安全策略
一般的IP网模型分为链路层、IP层、传输层、应用层这四个层次。
其中传输层及其以下各层是进行业务传输的基础,可以将这几层统称为网络层,而以上的各个层次则称为业务层。
网络层及业务层所面临的安全问题有各自的特点,需要分别考虑。
网络层所面临的安全威胁主要有报文窃听、流量攻击、IP地址欺骗、用户名/口令失密、拒绝服务攻击、网络设备后门等。
2.2.1报文窃听
攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。
通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据不受窃听,基本是不可能的。
对于以太网,在同一个VLAN内的用户,所有的用户都能获取其他用户所传输的报文。
安全策略:
政务网络中基于公共的网络平台将越来越多,比如越来越多的政务城域网采用城域宽带网来解决带宽与成本的问题,因此必须采取加密技术以防止报文窃听。
2.2.2流量攻击
攻击者发送大量无用报文占用带宽,使得业务不能正常开展。
比如接入到城域网中的链路是10M带宽,而上行到网络中心是采用DDN(小于10M),则有可能接收到来自城域网的大量无用报文,正常的业务报文发送受到阻碍,影响业务的运行。
安全策略:
因此有必要采用访问控制技术来限制非法的报文。
2.2.3IP地址欺骗
攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
安全策略:
对于伪装成内部网用户的情况,可以采用访问控制技术进行限制。
对于外部网络用户可以通过结合应用层的身份认证的方式进行限制。
2.2.4用户名/口令失密
在一些组网情况下,采用通过PSTN或ISDN拨号进行网络连接,拨号网络一般采用的协议为PPP,PPP需要用户名/口令认证。
如果用户名/口令丢失,其他的用户就可以伪装成此用户登陆网络。
在政务网的县乡级组网中,大量使用到了拨号线路进行备份。
对于口令失密的情况,可以采用CallBack技术解决。
通过CallBack,可以保证是与设定的对端进行通信。
而对于采用ISDN备份的方案还可以采用来电显示号码认证的办法,速度更快。
2.2.5拒绝服务攻击
攻击者的目的是阻止合法用户对资源的访问。
比如通过发送大量报文使得网络带宽资源被消耗。
流量攻击也是拒绝服务攻击的一种。
其他的包括SYNFlooding(发送大量的TCP请求连接报文)等。
Mellisa宏病毒所达到的效果就是拒绝服务攻击。
许多大型网站都曾被分布式拒绝服务(DistributedDenialOfService,简称DDOS)攻击而造成很大的损失。
安全策略:
对于SYNFlooding,可以通过ASPF(应用层的报文过滤)技术进行防御。
对于其他导致拒绝服务的攻击(比如利用操作系统的漏洞)可以通过网络层及应用层的结合防御。
未来电子政务网络将提供更多的网上办公业务,这些业务可以通过Internet访问,因此需要抵御拒绝服务攻击以保证业务的正常开展。
2.2.6网络设备的后门
不排除某些国外网络设备提供商有意或无意在提供的产品中预留了一些后门,只要通过发送特定的报文就可以导致设备不可用或者被他们所操纵!
已经有这方面的许多实际案例。
在国内和国外设备具有同等性能,满足电子政务网络需求的情况下,尽量采用国产设备,保证政务网络的设备安全。
2.2.7其他在网络层的攻击
比如源路由攻击、极小报文攻击等等。
源路由攻击——报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
端口扫描——通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。
然后利用这些漏洞对路由器进行攻击,使得路由器被控制或无法正常运行。
安全策略:
一般的防火墙设备均可以抵御这些攻击。
2.3业务层安全威胁和安全策略
政务网络业务层所面临的安全威胁主要有操作系统或应用软件漏洞、用户名/口令泄密、非法访问等几个方面。
2.3.1操作系统或应用软件的漏洞
目前的Internet上最多的攻击就是利用操作系统或者是应用软件的漏洞来进行的,如“特洛依木马”等
比如某个知名操作系统存在一个BUG,在接收到特定的UDP报文时就会发生出现蓝屏,并且网络立刻中断!
如果采用了这种操作系统架设对外的服务,安全性可想而知。
有一部分的WWW服务器软件存在缺陷,可以通过非法的URL来访问内部系统。
例子:
由于某些双字节的win2k系统在处理某些特殊字符时与英文版本不同,通过这些特殊字符攻击者可绕过IIS的目录审计远程访问计算机上的任意文件或执行任意命令。
安全策略:
针对操作系统或者是应用软件的漏洞,需要通过经常性的检测操作系统以及应用软件并安装相应的PATCH来保证网络处于安全的状态。
2.3.2用户名/口令泄密
在使用类似网上的业务时,如果提供的是一个不加密的环境,则用户名/口令很容易被窃取。
建议在提供网上业务时采用SSL等加密技术以保证数据的安全传输。
2.3.3非法访问
用户访问不受限制,越级访问或者跨区域的访问。
在政务网络中,存在多个部门,包括政府、人大、政协、纪委等部门,这些部门之间一般情况下应当不能够相互访问。
解决这个问题的方法有:
使用VLAN等方式从物理层进行隔离,或者在应用层上使用得到业界公认的可进行有效访问控制的办公自动化系统。
2.4组网的分层结构
政府网络系统包括政务内网、政务外网和政府网站三个部分。
政务内网与其它网络之间完全物理上断开,政务外网与政府网站采用逻辑隔离设备隔离。
政务内网有政府部门局域网、城域网和广域网。
一般的政务内网广域网组网模型分为接入层、汇聚层、核心层三个层次(有的模型中包括第四部分:
内容网络)。
这是内部网络的结构。
省到地市广域网为核心层,地市到县广域网为汇聚层,县到乡镇广域网为接入层。
政务外网的网络结构和政务内网网络结构相同,网络层次结构也相同。
随着以后城镇的发展,城镇人口增长,政府网站作为面向企业和公众提供公共服务的政府信息服务平台,需要支持大量的安全访问;政府网站系统内各类服务器分别提供Web服务、数据库服务、全文检索、域名和邮件服务、代理等服务;为政务内网的公务员建立连接Internet的电子邮件服务。
先对政务内网模型中广域网的三个部分作安全上的分析,这三个部分因面对的外部环境不同而有各自的安全特点。
然后对政务内网模型中局域网部分作安全上的分析。
最好对政府网站做网络安全分析。
政务外网和政务内网的安全问题基本相同,所以采取的措施相同。
政务内网有政府部门局域网、城域网和政务骨干广域网,主要提供内部会议管理、人事管理、资产管理,活动安排、信访管理、机要文件传送、财务等政府部门内部业务的网络平台,主要是传送数据业务。
所以网络安全主要是政务内网的局域网的网络安全和省级政务网骨干网的网络安全。
电子政务内网上信息传输的安全性问题,通过数据隔离、数据加密、权限管理、CA认证等手段防止信息在传输过程中被窃取、篡改、偷看、越权等问题,同时应依靠数据签名等手段防止冒名和抵赖。
建立终端安全监控系统,防止因开后门而导致全网的安全漏洞的产生。
2.4.1政务内网边缘接入层的网络安全
政务内网边缘节点主要是指各乡镇政府网点,一般地理位置分散,需要考虑对本地主机的访问控制、节点与中心数据传输的安全保密、安全接入中心网络等。
目前乡镇政府网络主要存在三种接入方式与县级政务网互联:
一个是拨号接入,一个是DDN,另一个是通过公网的VPN方式的接入,不同接入方式需要不同的安全技术。
拨号接入
拨号线路是一个全网可达的网络,因此存在密码泄露后非安全用户接入及线路被窃听的可能(上海的某个交易所发生过类似的事情),此时线路的安全是首位的。
建议一方面使用CallBack保证是在选定的线路上进行操作,而对于采用ISDN备份的方案还可以采用来电显示号码认证的办法,速度更快,在物理上保证安全,另一方面拨号线路可能有大段的用户线在没有任何物理隔离的情况下传输,有必要考虑采用加密技术将报文加密后传输。
DDN接入
DDN是一种传统接入方式,采用的是类似物理层透明通道似的方式传输网络数据,由线路提供商在两点之间进行半永久的连接,因此通常认为线路有比较高的安全性。
一般情况下,主要考虑的是网络的安全访问控制及认证互联;如果需要提供更高的安全性,可以在DDN上应用加密。
通过宽带城域网VPN技术接入
公网的安全性很低,因此必须采用加密技术。
针对不同的业务(数据流),安全性的要求不一样。
在对关键业务作加密时,可以考虑采用更强的加密算法,而对一般的数据流可以只采用普通强度的加密算法。
密钥更换的时间也可以作相应的设置。
安全性高的,密钥更换的频率要高。
同时这些节点是网络的外围节点,容易被他人利用,因此需要对网络节点设备及数据访问进行安全控制及管理,确保这些节点不成为不良企图使用者对网络进行攻击的跳板。
2.4.2政务内网汇聚层的网络安全
政务内网广域网的汇聚层主要是指县政务内网到地市政务内网中心,由于接入方式的多样性,同时汇聚层还起着县政务网节点与省政务网数据中心相连的作用,环境较复杂。
对于地市政务内网与县级政务内网节点之间的互联,由于数据量较大,主要存在两种接入方式:
一个是n×DDN/155MATM/155MPOS专线,另一个是通过公网的VPN方式的接入,因此应配合接入边缘网点的安全策略,提供相应的服务:
DDN/ATM/POS接入
一般具有很高的安全性,但也可在采用PPP的两点之间进行认证,并应用加密。
通过公网采用VPN技术接入
与边缘网点互通,必须采用加密技术。
针对不同的业务(数据流),安全性的要求不一样。
在对关键业务作加密时,可以考虑采用更强的加密算法,而对一般的数据流可以只采用普通强度的加密算法。
密钥更换的时间也可以作相应的设置。
安全性高的,密钥更换的频率要高。
2.4.3政务内网核心层的安全
政务内网核心层主要是指地市政务内网到省政务内网骨干节点,数据经汇聚层汇聚后传输到核心层。
核心层是政务内网的重要组成部分,在选择骨干路由器的时候不仅应该考虑设备的处理性能、可靠性、扩展性,还要考虑网络设备的安全性。
2.4.4政务内网城域网的安全
政务内网城域网部分主要是指省和地市政府部门的政务内网局域网通过城域网接入到省和地市政务内网骨干节点。
一般采用大容量骨干交换设备,应该提供完善的业务控制、用户管理能力,支持MPLSVPN及802.1QVLAN。
对通过DDN/FE/POS等线路进行的互联进行数据加密,保证政务内网城域网部分的安全性。
2.4.5政务内网的局域网安全
不考虑对外提供服务的情况下,政务内网局域网层不存在被外部攻击的可能,威胁主要来自政府部门的网络内部。
一般的安全策略是不同的业务部门之间不允许相互访问。
一般采用直接的物理隔离或者是VLAN划分,同时可以考虑结合应用程序的访问控制功能来实现。
也可以采用三层的访问控制列表ACL进行隔离,但这样效率较低。
2.4.6政务外网的局域网安全
由于政务外网通过政府网站系统与外部网络有联系的情况,分内部主动访问外部网络以及外部用户使用对外业务这两方面来考虑。
内部主动访问外部网络
比如某些业务部门需要访问Internet。
需要指出的是,一旦能够访问Internet,也就存在被攻击以及泄密的可能!
试想一下,某位员工下载了一个特洛依木马程序或者是下载了一个携带病毒的软件,就有可能导致信息被窃取或者网络瘫痪。
举两个例子:
一是某著名的软件公司发现部分源程序被黑客获取,原因是有员工安装了一个木马程序;另一个是邮件中携带的宏病毒导致整个MAIL服务器群瘫痪。
在提供给员工便利的同时,必须要考虑由此而带来的巨大的安全隐患。
建议与业务相关的均与Internet隔离,或者不允许通过这些与业务相关的计算机上网。
能上网的主机必须与业务无关,并且上网需要进行NAT或通过PROXY。
外部用户使用对外业务
某些业务需要向公众开放,比如网上审批业务、与其它银行业务清算业务等。
外部网络不可以直接访问到内部网络,必须通过设立非军事区(DMZ)的方式来提供业务,也就是说对外提供业务的机器必须搁置DMZ中,外部网络只能访问DMZ中的主机,而不能访问内部网络。
严格控制DMZ中的主机访问内部网络的权限,只允许所开放的业务的数据进入内部网络,其他的一概禁止。
这样,即使DMZ中的主机被攻击,也不会影响到内部网络的安全。
2.4.7政务网站的安全
政府网站系统是为社会大众提供服务的网络,有一套独立的网络体系结构。
政府网站涉及到的网络设备比较简单,包含核心交换机、汇聚交换机、出口路由器以及防火墙等设备。
政府网站通过路由交换设备和Internet连接,通过物理隔离设备和防火墙与政务专网连接。
2.5网络安全管理
建设安全的电子政务网络是电子政务建设的关键,是政务网安全运行的基础,是国家和社会安全的组成部分。
电子政务的安全建设7分靠管理,3分靠技术。
即安全管理是信息安全的关键;人员管理是安全管理的核心;安全策略是安全管理的依据;安全工具是安全管理的保证。
政务网络安全是一种策略及管理,而不仅仅是某一种产品,是一个系统工程,它包括了网络设备的网络层和应用层的一系列安全措施和策略、服务器主机的安全策略、用户的认证等。
在技术层面,华为提供防御、隔离、认证、授权、策略等多种手段为政务网安全提供保证;在设备层面,华为自主开发的国产系列化路由器、系列化交换机、防火墙设备、CAMS综合安全管理系统和统一的网络操作系统VRP可以保证电子政务网络安全。
3华为网络安全技术
华为Quidway系列设备提供一个全面的网络安全解决方案,包括线路安全、身份认证、访问控制、信息隐藏、数据压缩、数据加密、攻击探测和防范、安全管理等等。
华为设备所采用的安全技术包括入侵检测、CallBack技术、AAA、CA技术、包过滤技术、地址转换、数据压缩技术、加密与密钥交换技术、ASPF、安全管理、其他安全技术与措施。
具体请参考华为的《网络安全技术白皮书》。
4华为政务内网安全解决方案
网络安全大体上分为两个层次:
网络自身安全和网络业务安全。
这两个层次的在整个网络安全体系中是相辅相成的,前者主要是指网络数据的安全传送、网络资源的合法使用;后者主要是指网络业务的合法授权、使用和监管。
可以看出前者是后者的基础,后者是前者的目的。
同时,网络安全的实施必须在网络的整体设计时进行考虑,以确保对网络出口的访问策略设置的统一规划。
针对政府的现有网络和业务的现状,我们认为一个完整的网络安全方案应该由网络层安全策略和应用层安全策略来构成,网络层安全策略主要完成对非法使用网络资源的控制,而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控制,只有两者的完美结合,才能构成一个安全的系统!
!
!
政务内网是政府部门的内部网络,和外界网络完全隔离,所以安全问题可能出现在自局域网内部和政务内网的广域网上。
下面分别说明这两个部分的网络安全方案
4.1政务内网局域网的网络安全解决方案
随着以太网应用的日益普及,尤其是在一些大中型政务网的应用,以太网的安全为日益迫切的需求。
一方面,以太网交换机作为政府部门网络内部的网络之间通信的关键设备,有必要在政务网内部提供充分的安全保护功能。
针对以太网存在的各种链路层和网络层安全隐患,QuidwayS系列以太网交换机采用多种网络安全机制,包括访问控制、用户验证、防地址假冒、入侵与防范、安全管理等技术,提供了一个有效的网络安全解决方案。
下面就这些技术进行详细的解释。
图4-1-1政务内网局域网安全解决方案
图4-1-2政务内网网管中心安全解决方案
4.1.1访问控制
在局域网内的访问控制的原则是只允许授权的用户访问某个主机,通过网络设备来提供这种保障。
访问控制包括对交换机的访问控制、基于IP地址的访问控制、基于MAC地址的访问控制、基于端口的访问的控制、基于VLAN的访问控制。
政务内网的数据库、服务器等资源是受限访问的。
一般一个部门内的用户的权限是相同的,可以将这些用户划分在一个VLAN内,只要设置基于VLAN的报文过滤策略就可以实现对这个VLAN内所有的用户的报文过滤。
这样可以看出基于VLAN的报文过滤是最简单实用的某个用户群的访问控制策略。
可以设定QuidwayS系列以太网交换机端口禁止或允许转发来自或去往某个VLAN的报文。
QuidwayS系列以太网交换机支持标准及扩展的ACL。
可以通过标准的ACL只设定一个简单的地址范围,也可以使用扩展的ACL设定具体到协议、源地址范围、目的地址范围、源端口范围以及优先级与服务类型等。
这样可以实现复杂的访问控制策略。
有时候政务内网需要配置复杂的ACL,管理和维护比较麻烦。
QuidwayS系列以太网交换机可以支持针对某一类的ACL自动排序,以简化配置的复杂度,方便对于ACL的配置与维护。
QuidwayS系列以太网交换机支持名称方式的ACL,易于记忆及配置。
如果有些主机和内部应用服务器在晚上是要关闭的,不接受访问,我们可以在QuidwayS系列以太网交换机上设置在特定的时间段起作用的访问控制列表ACL,比如可以设置每周一的8:
00至21:
00此ACL起作用,还可以具体到某年某月某日至某年某月某日此ACL作用。
对于一些和以太网交换机相连接的特殊设备,只允许接受和发送到某个以太网交换机端口的报文,以保证该设备的安全。
QuidwayS系列以太网交换机支持基于端口进行过滤,可以设定禁止或允许转发来自或去往某个端口的报文。
QuidwayS系列以太网交换机支持基于MAC地址进行帧过滤。
如某些政府单位召开各部门的领导群组开会,可以设定和领导群组相连的交换机端口允许转发来自或去往领导的计算机MAC地址的帧,禁止和普通员工相连的交换机端口转发来自或去往领导计算机MAC地址的帧。
QuidwayS系列三层以太网交换机实现了完善的包过滤,不仅可以过滤有安全隐患的以太网帧,还可以过滤IP包。
在政务内网内可以实现对某些应用进行过滤,比如禁止HTTP/FTP报文等。
我们可以QuidwayS系列以太网交换机的端口的输入帧的前80字节范围内的64字节任意域设置过滤规则。
对于政务内网中一些关键的地方,可以对符合条件的报文或帧做日志,记录报文或帧的相关信息。
QuidwayS系列以太网交换机支持上续功能并提供了机制保证在有大量相同的触发日志的情况下不会消耗过多的资源。
4.1.2用户验证
用户验证的目的是保证接入政务内网的用户是合法的或通过某个以太网交换机端口接入政务内网局域网的用户是预先配置的。
Quidway系列交换机提供的用户验证包括PPPoE验证、WEB验证、802.1X端口验证。
在多个用户共享介质的情况下,QuidwayS系列以太网交换机可以将PPPoE应用在共享的网络介质上,采用CHAP进行口令交换,以避免明文口令被侦听。
但PPPOE验证封装方式增加了开销,在流量大的时候,容易形成网络瓶颈;提高处理性能则会导致增加设备成本。
只有在一些流量小的政府部门采用低成本的网络设备建设政务内网的时候,可以采用这样的验证方式。
用户使用的网络设备类型可能不同,用户的主机IP地址一般通过DHCP协议动态获得,如果用户验证的方式与接入的介质没有直接的关系,可以为用户验证提供方便的解决方案。
华为公司提供的WEB验证方式是一种应用层的验证方法,可以实现这样的目标。
现在WEB浏览器软件非常丰富,华为公司提供的WEB验证界面非常友好易用。
用户主机动态获得IP地址后,然后通过接入点交换机自动导向进行访问验证的Portal页面,通过华为公司自主开发的Portal协议进行WEB验证。
在一般政务内网用户的主机是固定位置的,可以通过交换机的逻辑端口认证来保证接入以太网交换机的用户的正确性,这样可以支持一个物理端口下多个末端接口的认证,对多个终端的识别具体到其源MAC地址。
基于逻辑端口的验证方法802.1X是由IEEE进行标准化的验证方法,用于交换式的以太网环境,要求客户和与其直接连接的设备都实现了802.1X。
该协议适用于接入设备与接入端口间点到点的连接方式,实现对局域网用户的认证与服务管理。
对于OA服务器,无需进行验证,可以将相连的交换机端口的认证方式配置成常开模式。
而对于没有主机接入政务内网的预留的以太网交换机接入端口,可以配置成802.1X常关模式,屏蔽非法用户使用预留端口访问政务内网。
如果以后有计算机或网络设备需要接入,可以将这个端口的验证方式配置成常开或协议控制方式。
而对于一般用户,将以太网交换机端口配置成协议控制方式,启动802.1X端口认证,用户只有通过验证后才能访问政务内网的资源,保证只有可靠的用户接入政务内网。
802.1X协议的缺省的
升级会员 