涉密政务网络安全方案与实现Word文档下载推荐.docx
《涉密政务网络安全方案与实现Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《涉密政务网络安全方案与实现Word文档下载推荐.docx(13页珍藏版)》请在冰点文库上搜索。
隔离服务器实现网络间文件交换拷贝等。
这些物理隔离方式对于信息交换实效性要求不高,仅局限于少量文件交换的小规模网络中被采用。
切断物理通路以避免基于网络的攻击和入侵,但不能有效地阻止依靠磁盘拷贝传播的病毒、木马程序等流入内网。
此外,采用隔离卡安全点分散容易造成管理困难。
根据用户不同的需求,物理隔离技术分为桌面级和企业级。
硬盘隔离卡、物理隔离集线器等能满足一般的对物理隔离的需求,能最大限度地保障用户工作站的安全地访问涉密网络,又可以访问非涉密网络,属于桌面级的应用;
单向和双向物理隔离网闸既能够保障涉密网络和非涉密网络之间数据交换的安全又可以很方便的实现单向/双向的数据交换。
二)入侵检测技术
随着网络技术的发展,网络环境变得越来越复杂,对于网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,入侵是我们面临的最大问题。
“入侵”<
Intrusion)是个广义的概念主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。
入侵者不仅来自外部,同时也指内部用户的未授权活动:
入侵检测系统IDS<
IntrusionDetectionSystem>
是一种主动保护自己免受攻击的一种网络安全技术,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测是动态安全技术的核心技术之一,也是目前比较成熟的安全技术,传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。
入侵检测<
IntrusionDetection)作为一种积极主动的安全防护提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害和入侵。
入侵检测系统能很好的弥补防火墙的不足,从某种意义上讲是防火墙的补充。
是继“防火墙”、“数据加密”等传统安全保护措施后新安全保障技术。
因此,入侵检测系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
入侵检测系统试图发现入侵者或识别出对计算机的非法访问行为,并对其进行隔离。
它能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。
入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、感知系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务、黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的网络安全,由于入侵检测和响应密切相关,而且现在没有独立的响应系统,所以多数的入侵检测系统都具有响应功能。
入侵检测系统也有自己的缺点,在识别大规模的组合式、分布式的入侵攻击方面,还没有较好的方法和成熟的解决方案,出现误报与漏报现象严重,用户往往淹没在海量的报警信息中,而漏掉真正的报警,因此它的基础上还产生了后一代产品IPS(IntrusionProtectSystem>
,IPS是一种更主动、机智的防御系统,它的拦截行为与其分析行为处在同一层次,能够更敏锐地捕捉入侵的流量,并能将危害切断在发生之前。
三)防火墙技术
防火墙是一个或一组实施访问控制策略的系统,它在内部网络和外部网络之间形成一道安全保护屏障,能够根据访问控制策略对出入网络的信息流进行安全控制。
它有助于抵御多种恶意Internet通信量,防止它们进入您的系统。
有些防火墙有助于防止其他人在您毫无察觉的情况下使用您的计算机攻击其他计算机,还有助于抵挡病毒和入侵者。
防火墙可以有不同的结构和规模,可以是一台主机、路由器,也可以是多台计算机组成的体系,也可以由软件组建.
常用防火墙的类型包括四大类:
包过滤型、代理服务型、电路级网关和规则检测防火墙。
防火墙技术是内部网络最重要的安全技术之一,主要功能就是控制对受保护网络的非法访问,进行边界防护。
但防火墙也有自己的局限,因此它的未来功能将向多方面发展,将一些网络安全功能集成到防火墙中,其中就有两种功能十分重要,第一是用户认证与加密,第二是分布式防火墙的发展。
分布式防火墙技术己在逐渐兴起,并在国外一些大的网络设备开发商中得到了实现,由于其优越的安全防护体系,符合未来的发展趋势。
而且分布式防火墙还可以有效的堵住内部网漏洞。
分布式防火墙安全体系具有以下特点:
灵活性和易管理性,分布式防火墙是集中管理,在一台管理站上可添加删除、修改资源,并可对所有的资源进行权限设置,大大方便了管理员使用;
高可靠性,由于多过滤器的使用可以使网络权限的划分更加细致全面,从而提高了整个系统的安全性;
成本低,在分布式防火墙中用得最多的是过滤器,过滤器本身设备简单,与硬件防火墙相比,价格优势很大。
黑客一直尝试对连接到网络的计算机发起攻击。
防火墙旨在“隐藏”在线的计算机,以达到保护计算机的目的。
防火墙还可以检测通信,并分析通信的来源和目的地。
如果位置受到怀疑的话,那么通信就会被阻断。
与某一位置的通信被阻断时,您的防火墙甚至可以创建一个日志文件,上面记录着试图侵入您的计算机的站点的地址和名称。
为了安全,每一台连接网络的计算机都需要防火墙。
网络防火墙技术是用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进人内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
它对两个或多个网络之间传输的数据包,如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。
防火墙主要产品有堡垒主机、包过滤路由器、电路层网关、监督型防火墙等类型。
防火包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。
虽然,包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全,但是无法识别基于应用层的恶意侵人,如恶意的Java小程序以及电子邮件中附带的病毒。
电路层网关技术实现的防火墙主要是用于把IP地址转换成临时的、外部的、注册的护地址标准。
它允许具有私有IP地址的内部网络访问因特网,在内部网络通过安全网卡访问外部网络时,将产生一个映射记录,但是并不能真正实现内部网络的有效防护。
由于防火包过滤产品和电路网关防火墙产品的技术特点,它们并不能满足涉密网内网和外网之间的安全防护要求。
最新的防火墙是监测型防火墙,它能够对各层的数据进行主动的、实时的监测,并在对数据加以分析的基础上,能够有效地判断出各层中的非法侵人。
它能够安置在各种应用服务器和其它网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。
因此,监测型防火墙不仅超越了传统防火墙的定义,且在安全性上也超越了前两代产品。
四)信息加密技术
信息加密技术是网络信息安全的核心和关键,它通过软件或者硬件将信息变换或编码,将机密的明文加密变为密文,只有掌握解密方式的接收方才能解密得到明文,从而实现了信息隐蔽。
五)网络病毒防护技术
面对病毒的猖獗,需要建立有效的技术措施,能从病毒传染的各种可能途径入手,不受病毒种类和变形的限制,能够以防为主,防杀结合,也需要建立合理的病毒防范体系和制度。
现在网络防病毒产品得到了快速发展,己经具备以下主要技术:
1)能够提供集中式安全控管的防毒策略
采用架构在服务器端的集中式管理和部署方式,系统人员能够很方便地管理和部署整个网络的防毒策略。
通过Web界面管理主控台,一旦发生紧急状况时,管理者能够从网络上的任一地点通过Web浏览器立即处理。
2)能够全面防护病毒
能删除从各种渠道入侵的病毒、恶意木马和蠕虫;
如针对电子邮件、磁盘、光盘、共享档案和网络下载,均要能够有效防堵:
除了扫描计算机的文件之外,还能提供随系统开机而启动的木马程序清除工具。
3)支持远程化
支持远程管理,用户可在主服务器安装系统后远程安装各辅助服务器和客户端。
系统管理员可以通过控制台对客户端的瑞星杀毒软件进行设置,避免客户端的疏忽而产生整个病毒防护系统的漏洞。
4)自动化
系统定时自动核对版本,并提示升级程序。
主服务器程序升级后,自动分发给局域网内的各服务器与客户端,进行自动升级。
5)智能化
对登录的客户端实行版本智能查询核对,保证全部节点版本一致,避免因版本差异导致杀毒能力差异,出现网络防毒的薄弱环节。
三.实现涉密网络安全的技术手段
一)建立健全安全管理制度
依据上级部门相关制度,制定了相应的管理规定,建立健全了一系列规章制度,主要包括:
《涉密人员管理规定》、《泄露国家秘密事件报告和查出办法》、《涉密通信、计算机信息系统及办公自动化保密管理办法》、《保密工程密级界定和岗位定密工作办法》、《文件资料定密和保密工作管理细则》、《计算机及移动存储设备管理规定》、《计算机和移动存储设备维修管理规定》、《机密资料室保密管理制度》、《密件的保密管理规定》、《传递密件的保密工作管理办法》、《机密资料室保密管理制度》、《计算机网络管理制度》、《机房保密管理员岗位责任制》、《密码工作人员岗位责任制》、《密码密钥使用管理规定》等。
所有制度悬挂与明显位置,并汇编成一本《保密管理工作制度汇编》。
制度的保障作用为网络的安全提供了有力的支持,制度的约束代替了人为的管理,有效的为网络安全保密工作提供了规范和标准。
此外还设立了由主管领导担任组长的安全应急小组,目的在于对于网络中的突发事件能够及时地响应;
领导的亲自指挥可以及时快速的对事件进行协调和调度,最大限度的减少业务停顿的时间;
避免非法入侵对数据破坏;
避免主页被黑造成影响;
对于已经破坏的数据采取相应的技术手段进行恢复;
通过培训提高人员对突发事件的处理能力;
追踪非法入侵人员。
(二>
采用成熟的网络安全产品和技术
1.内外网物理隔离
内外网独立布线,物理线路上已实现隔离。
对于处理涉密信息的内网计算机,采用专机和物理隔离卡相结合的方式,单位大多数人员人手一台计算机,作为内网专机使用,利用一些配置较低的计算机独立的连接外网。
实现物理隔离具有如下优势:
1)内外网绝对隔离。
将单一的PC从物理上分隔成两个虚拟工作站,它们分别有自己独立的硬和操作系统,并能通过各自的专用接口与网络连接。
从而最大限度地保证了内网与外网环境的物理隔离。
2)全控制。
安装在主板和两块硬盘之间,完全控制硬盘通道。
并通过继电器来控制网和外网间的硬盘转换和网络连接,保证其工作状态的稳定性及可靠性。
3)转换自如。
用户可根据需要在任何时间任何系统中方便自如地进行内部网和外部网间的转换。
2.加密机对数据进行加密
国家发改委统一配发两台加密机,由成都卫士通股份有限公司生产,加密机密级为机密级,一台用于ATM网络数据加密,另一台TCP/IP密码机用于SDH线路数据传输加密,发改系统所有网络都采用同型号的加密机进行加密解密。
三)采用网络防毒技术
在现代化的办公环境中,计算机的使用己经非常普遍,几乎所有的计算机用户都不同程度地受到过计算机病毒危害,很多人因此对计算机病毒感到神秘和恐惧。
计算机病毒其实就是一种可执行程序,由于和生物界的病毒类似,能够寻找并附着到寄主身上存活,导致寄主的行为异常,因此被形象地比喻为数字病毒。
除了自我复制的特征外,很多病毒还被设计为具有毁坏应用程序、删除文件甚至重新格式化硬盘的能力。
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,因此计算机网络病毒的防范是网络安全性建设中重要的一环。
网络反病毒技术包括预防病毒、检测病毒和消除病毒三种技术。
在网络中,计算机病毒的爆发对用户的系统安全和数据安全构成了极大的威胁,一些黑客甚至利用病毒,盗取个人隐私甚至密码账号等信息,严重的可以窃取国家机密。
有的病毒可能造成整个系统瘫痪,因此,配置网络病毒防护系统十分重要。
网络防毒技术能够提供集中式安全控管的防毒策略;
采用架构在服务器端的集中式管理和部署方式,系统人员能够很方便地管理和部署整个网络的防毒策略。
本课题所研究的网络使用的是瑞星杀毒软件网络版,一个中心控制台即服务器端,160台客户终端使用授权。
由于移动存储设备的使用,造成了一些恶意小程序的感染,虽然没有破坏性,但是也会影响用户的使用,针对一些随移动存储介质的运行而自动运行的病毒,每台计算机都安装了木马扫描程序。
虽然终端计算机不能连接Internet进行杀毒软件升级,但可以通过服务器进行自动升级。
网络管理员定期下载升级包,存放于瑞星系统中心所在内网服务器上,客户端可以自动扫描新版本进行升级。
同时网络管理人员定期不定期进行病毒检查,对于没有及时升级杀毒软件或者感染木马和病毒的计算机,进行单独清理,严重的时候重新安装操作系统。
网络防病毒系统可以加强对服务器进行保护,提供对病毒的检测、清除、免疫和对抗能力。
在客户端的主机也安装防病毒软件,将病毒在本地清除而不至于扩散到其他主机或服务器。
再加上防病毒制度与措施,构成了一套完整的网络防病毒体系。
以上手段是每个涉密网络必须所具有的功能和防护手段,此外对一些制度和管理手段进行了改进。
四)建立灾难恢复系统
建立灾难恢复系统,利用在本地或远离灾难现场的地方的备份系统重新组织系统运行和恢复业务的过程,保护数据的完整性,使政务数据损失最少、甚至没有数据损失;
快速恢复工作,使业务停顿时间最短,甚至不中断业务。
五)对系统定期进行脆弱性检查
针对系统和网络漏洞,定期不定期的对系统进行扫描,定期测试和评价系统的安全性,及时发现安全漏洞,包括网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,发现安全隐患。
六)开发改进安全软件
1.系统和数据备份
数据备份的目的是为了在系统数据崩溃时能够快速的恢复数据。
备份系统由三个因素构成:
执行备份的设备、存储备份的介质、控制备份的软件。
备份措施有磁盘镜像、磁盘阵列、双机容错、数据拷贝。
一个完整的系统备份方案应包括:
备份硬件、备份软件、日常备份制度CBackupRoutines>
和灾难恢复措施(DisasterRecoveryPlan>
四个部分。
本课题所研究的网络备份系统采用一台DELL775NNAS服务器、一台DELL122T磁带机构成,每天晚9时启动数据备份程序,每晚的数据备份分两步:
首先将所数据备份到NAS上;
然后将NAS上的数据备份到磁带上。
磁带每周更换一次,每次更换下来的磁带存入委档案室。
NAS上的数据循环保存一周。
每个季度将数据刻录到DVD光盘上,异地存放,存入档案室。
所有办公系统的数据均存放于服务器。
在服务器上为特殊用户开辟空间,以便于将重要数据保存到用户自用的服务器文件夹上,并与服务器数据一同备份。
建立备份系统的主要目的是避免由于各种情况造成的网络、数据、系统的不可用给网络中运行的业务造成影响,一旦灾难发生,可以通过该系统为网络的恢复提供有力的保证。
备份措施要保证主要线路、关键设备、重要数据、重要系统等要素的可用性,从而保证电子政务系统的稳定运行,提高其对各类事件的免疫能力。
2.科学的网络管理方式
对网络进行科学的管理,根据实际情况将网络管理分为故障管理、性能管理、配置管理、安全管理、系统管理。
1)故障管理。
故障管理的目标是确保网络能够可靠、持久的运行。
对监控对象进行实时告警监视。
当检测到系统异常或报警时,创建报警日志,提供故障诊断和故障的相关性分析,确定其性质和位置,并及时地通知网络管理员,缩短管理员排除故障的时间,保证网络的正常运行。
2)性能管理。
对网络上各类设备的协议实体、业务的性能统计数据<
例如网络的吞吐率、响应时间、网络的可用性等)进行采集、分析处理、入库存储,通过各类应用从不同的角度对数据进行分析、显示,帮助用户合理控制网络负荷,提高网络运行质量。
性能管理功能主要包括:
性能数据采集和处理、异常性能数据监视、性能数据分析、性能数据查询、性能数据报表、性能数据汇总。
3)配置管理。
对网络、设备、系统参数的修改和配置,以及系统内管理对象的资源配置情况的管理和分析等功能。
前者完成对网络、系统、设备、软件等参数配置和控制管理功能;
后者主要是对信息资源进行管理、分析。
通过图形、文字等形式综合显示出资源信息、以及资源之间的关系,并且具有编辑<
增加、删除、更改)、分类统计和打印输出这些资源配置数据的功能,掌握和控制网络的状态,包括网络内各个设备的状态及其连接关系,主要包括编辑功能、网络拓扑管理等功能。
4)安全管理。
安全管理是网管系统正常、安全、可靠运行的保障,包含权限分配管理、注册登记、操作权限检查等功能,实现用户分级和管理分区两种权限管理机制,可以灵活、合理的对系统的使用者进行管理。
5)系统管理。
对网管系统自身的管理,是网管系统安全可靠、正常运行的保证。
主要功能包括设备管理、进程管理、日志管理、备份管理、恢复和容错管理等功能。
此外,根据自身网络的特点,独立设置网络防护措施,对多项功能进行开发和改进,提升系统的安全性,在兼顾节约系统资源的同时,提高了网络的高效性和易维护性。
3.提升操作系统安全
针对不同的服务器,应用不同的服务器安全设置,这里将域控制器安全设置的部分实现功能设置进行解释,这里很多的内容结合了BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》和BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》的具体要求。
为了加强操作系统的安全管理,从物理安全、登录安全、用户安全、文件系统、打印机安全、注册表安全、数据安全和各应用系统安全等方面制定强化安全的措施。
在设置规定的格式后,首先进行安全审核日志设置,对访问权限、容量、持续时间等进行详细记录,方便后期检查问题,并防范非法用户更改日志。
七)采用域控制器模式进行管理
采用WINDOWS2000域控制器模式。
用二台IBM255<
双至强1.5GCPU,双千兆网卡,双36G硬盘RAID1)与一台IBMEXP300磁盘阵列柜<
14块36G硬盘分为三个RAID5)构成服务器群集,两台服务器均配置为域控制器,所有网内计算机必须加入域,将所有客户端计算机的本地用户权限收回,所有用户只能通过登录域进入计算机进而使用办公内网的网络资源。
所有客户端计算机与网络设备的资源统一由域控制器管理分配。
在域控制器上通过用户分组与分组的用户策略配置用户对资源的使用权限。
对于所有普通用户的权限设置保证了以下几点:
1)用户密码必须至少八位,且必须包含字母。
用户名和是登录域控制器和使用网络资源的唯一途径,因密码丢失或泄露而造成的损失由个人承担。
系统强制要求密码15天更换一次。
2)用户无权查看与更改客户端计算机的系统协议与IP地址等客户端设置。
3)用户无权查看与更改客户端计算机的注册表。
4)用户无权在客户端计算机上安装应用程序与驱动程序。
5)终端用户无权在客户端计算机上格式化硬盘与变更硬盘及其中任何文件夹的权限设置。
6)终端用户无权在客户端计算机上安装新的硬件设备包括打印机、扫描仪等。
7)终端用户无权在客户端计算机上共享文件夹与打印机。
8)终端对于用户需要特殊加密保护的文件,在其客户端计算机上的本地硬盘权限通过服务给予特殊设置,确保除该用户之外的其他用户既便是登录进该客户端计算机也无法打开其文件夹与文件。
9)终端用户ID的使用范围受到限制,如领导的ID只能在自己的计算机及其它个别几台计算机上使用,一般用户的ID只能在处室内部的计算机上使用。
10)终端用户的环境设置通过域用户策略实现,使得用户设置的调整更加便利。
加入域的计算机可以通过权限设置,确保用户的使用权限。
如果用户计算机未加入域或用户未能正确地登录域,用户无法使用网络资源。
八)核心交换机上划分VLAN
在实行区域划分策略时,VLAN技术是主要的划分手段。
目前常用的VLAN主要分为一般VLAN和私有VLAN<
PrivateVLAN)。
具体都是与VLAN的实现形式有关,后一种PVLAN是目前最新交换机广域网主流方式。
在安全级别较高的情况下如果需要网络用户之间不产生任何的访问就可使用PVLAN方式以提高系统的安全性。
基于策略组成的VLAN
升级会员 