网络安全需求概述.docx
《网络安全需求概述.docx》由会员分享,可在线阅读,更多相关《网络安全需求概述.docx(11页珍藏版)》请在冰点文库上搜索。
网络安全需求概述
一、网络安全需求概述
1、主要网络安全威胁
网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。
因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。
由于在这种广域网分布式计算环境中,相对于过去的局域网、主机环境、单机环境,安全问题变得越来越复杂和突出,所以网络安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础。
安全保障不能完全基于思想教育或信任。
而应基于"最低权限"和"相互监督"的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。
通过以上对网络结构的分析不难看出,目前该网络的规模庞大,结构复杂,网络上运行着各种各样的主机和应用程序,使用了多种网络设备;同时,由于多种业务的需要,又和许多其他网络进行连接。
因此,我们认为,该计算机网络安全应该从以下几个层面进行考虑:
第一层:
外部网络连接及数据访问,其中包括:
●出差在外的移动用户的连接;
●托管服务器网站对外提供的公共服务;
●办公自动化网使用ADSL与Internet连接。
第二层:
内部网络连接,其中包括通过DDN专线连接的托管服务器网站与办公自动化网。
第三层:
同一网段中不同部门间的连接这里主要是指同一网段中,即连接在同一个HUB或交换机上的不同部门的主机和工作站的安全问题。
其中外部网络攻击威胁主要来自第一层,内部网络的安全问题集中在第二、三层上。
以下我们将就外部网络安全和内部网络的安全问题展开具体讨论。
2、来自外部网络与内部网络的安全威胁
(1)来自外部网络的安全威胁
由于业务的需要,网络与外部网络进行了连接,这些连接集中在安全威胁的第一层,包括:
内部网络和这些外部网络之间的连接为直接连接,外部网络可以直接访问内部网络的主机,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。
A、出差在外的移动用户的连接由于业务需要,公司员工经常需要出差,并且该移动用户使用当地ISP拨号上网连接上Internet,进入内部网网络,这时非法的internet用户也可以通过各种手段访问内部网络。
这种连接使计委内部网络很容易受到来自internet的攻击。
攻击一旦发生,首先遭到破坏的将是办公自动化网的主机,另外,通过使用连接托管服务器网站与办公自动化网的DDN专线,侵入者可以继续攻击托管服务器网站部分。
攻击的手段以及可能造成的危害多种多样,如:
●修改网站页面,甚至利用该服务器攻击其他单位网站,导致计委声誉受损;
●释放病毒,占用系统资源,导致主机不能完成相应的工作,造成系统乃至全网的瘫痪;●释放"特洛伊木马",取得系统的控制权,进而攻击整个计委内部网络;
●窃取计委的信息,谋取非法所得,而且这种攻击计委是很难发现。
●对于以上各种攻击我们可以利用防病毒、防火墙和防黑客技术加以防范。
B、托管服务器网站对外提供的公共服务
由于公司宣传的需要,计委网络提供对外的公共服务。
这种情况下,必须借助综合的防范手段才能有效的抵御黑客的攻击。
该破坏的主要方式为:
修改网站页面,甚至利用该服务器攻击其他单位网站,导致计委声誉受损;办公自动化网使用ADSL与Internet连接,内部用户使用ADSL拨号服务器作为网关连接到Internet。
这种情况下,传统的网络安全体系无法解决网络的安全问题,必须借助综合的防范手段才能有效的抵御黑客的攻击。
综上所述,外部网络破坏的主要方式为:
●外部网络的非法用户的恶意攻击、窃取信息;
●通过网络传送的病毒和电子邮件夹带的病毒;
●内部网络缺乏有效的手段监视系统、评估网络系统和操作系统的安全性;
●目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器、NT服务器及Windows、桌面PC;
●来自Internet的Web浏览可能存在的恶意Java/ActiveX控件。
(2)来自内部网络的安全威胁
从以上网络图中可以看到,整个计委的计算机网络有一定的规模,分为多个层次,网络上的节点众多,网络应用复杂,网络管理困难。
这些问题主要体现在安全威胁的第二和第三个层面上,具体包括:
●网络的实际结构无法控制;
●网管人员无法及时了解网络的运行状况;
●无法了解网络的漏洞和可能发生的攻击;
●对于已经或正在发生的攻击缺乏有效的追查手段;内部网络的安全涉及到技术、应用以及管理等多方面的因素,只有及时发现问题,确定网络安全威胁的来源,才能制定全面的安全策略,有效的保证网络安全。
A、网络的实际结构无法控制
计算机网络上的用户众多,用户的应用水平差异较大,给管理带来很多困难。
网络的物理连接经常会发生变化,这种变化主要由以下原因造成:
●办公地点调整,如迁址、装修等;
●网络应用人员的调整,如员工的加入或调离;
●网络设备的调整,如设备升级更新;
●人为错误,如网络施工中的失误。
这些因素都会导致网络结构发生变化,网络管理者如果不能及时发现,将其纳入网络安全的总体策略,很可能发生网络配置不当,从而造成网络性能的下降,更严重的是会造成网络安全的严重隐患,导致直接经济损失。
因此,我们需要一种有效的扫描工具,定期对网络进行扫描,发现网络结构的变化,及时纠正错误,调整网络安全策略。
B、网管人员无法及时了解网络的运行状况
网络是一个多应用的平台,上面运行着多种应用,其中包括网站系统、办公自动化系统、邮件系统等。
作为网络管理员,应该能够全面了解这些应用的运行情况。
同时,由于网络用户众多,很可能发生用户运行其他应用程序的情况,这样做的后果一方面可能影响网络的正常工作,降低系统的工作效率,另一方面还可能破坏系统的总体安全策略,对网络安全造成威胁。
因此,网络管理员应拥有有效的工具,及时发现错误,关闭非法应用,保证网络的安全。
C、无法了解网络的漏洞和可能发生的攻击网络建成后,应该制定完善的网络安全和网络管理策略,但是实际情况是,再有经验的网络管理者也不可能完全依靠自身的能力建立十分完善的安全系统。
具体原因表现为:
●即使最初制定的安全策略已经十分可靠,但是随着网络结构和应用的不断变化,安全策略也应该及时进行相应的调整;
●目前黑客的活动越来越猖獗、越来越隐蔽;
●黑客工具可以轻易得到,依靠网络管理人员的个人力量无法与巨大的黑客群体进行抗衡;
●传统方式的安全策略采取被动挨打的方式,等待入侵者的攻击,而缺乏主动防范的功能;●由于网络配置不当导致的安全隐患;
●来自内部网的病毒的破坏;
●内部网络各网段上运行不同应用,而这些应用又要共享某些数据,这些放有共享数据的有有效的保护措施,容易受到攻击;因此,我们需要一种强有力的工具来帮助网络管理者对网络风险进行客观的评估,及时发现网络中的安全隐患,并提出切实可行的防范措施。
D、对于已经或正在发生的攻击缺乏有效的追查手段
网络的安全策略一旦建立,会对整个网络起到全面的保护作用,但是我们都清楚--没有绝对安全的网络,少数攻击行为会穿过防火墙最终发生。
攻击行为一旦发生,最重要的问题在于怎样减小损失和追查当事人的责任。
首先,一旦发现有攻击行为,系统应该能够及时报警,自动采取相应的对策,如关闭有关服务、切断物理线路的连接等。
有些攻击行为相当隐蔽,攻击发生之后很长时间才会被发现。
这种情况下,就需要网络管理者通过有关线索,追踪攻击行为的发起者,追究当事人的责任。
但是,由于多种原因,类似的追查工作往往难以进行,其中包括
●操作系统日志不健全,如Windows95/98不提供操作日志功能;
●对于某些欺骗行为不能够识别;
●对于日志文件记录的内容无法进行有效的分析;
●缺乏对攻击现场回放工具;
●缺乏防御同样攻击的解决办法。
由此可见,为了能够追查攻击的来源,系统应该具备有效的工具,记录攻击行为的全过程,为调查工作提供依据,同时也是对非法入侵者的有效震慑。
另外,由于人手有限,某些工作人员经常一身数职,违反安全系统原则,对系统安全构成严重威胁。
因此,我们应该从技术和管理等多种渠道加强管理和监控,杜绝这个层面上的安全问题。
主机没
二、网络安全系统的总体规划
1、安全体系结构
网络安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等,其安全体系结构如下图所示:
2、安全体系设计安全体系设计原则在进行计算机网络安全设计、规划时,应遵循以下原则:
(1)需求、风险、代价平衡分析的原则:
对任一网络来说,绝对安全难以达到,也不一定必要。
对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。
(2)综合性、整体性原则:
运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。
一个较好的安全措施往往是多种方法适当综合的应用结果。
一个计算机网络包括个人、设备、软件、数据等环节。
它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。
(3)一致性原则:
这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。
(4)易操作性原则:
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,采用的措施不能影响系统正常运行。
(5)适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。
(6)多重保护原则任何安全保护措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
3、网络安全策略
安全策略分安全管理策略和安全技术实施策略两个方面:
(1)管理策略安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理制度。
(2)技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。
4、安全管理原则
计算机信息系统的安全管理主要基于三个原则。
(1)多人负责原则每项与安全有关的活动都必须有两人或多人在场。
这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。
(2)任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。
(3)职责分离原则除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
5、安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:
●确定该系统的安全等级;
●根据确定的安全等级,确定安全管理的范围;
●制订相应的机房出入管理制度,对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域;
●制订严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;
●制订完备的系统维护制度,维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录;
●制订应急措施,要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小;●建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。
一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。
其次,对各级用户的培训也十分重要,只有当用户对网络安全性有了深入了解后,才能降低网络信息系统的安全风险。
总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。
6、网络安全设计
由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。
物理层安全涉及传输介质的安全特性,抗干扰、防窃听将是物理层安全措施制定的重点。
在链路层,通过"桥"这一互连设备的监视和控制作用,使我们可以建立一定程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。
在网络层,可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信,通过对主机路由表的控制来控制与之直接通信的节点。
同时,利用网关的安全控制能力,可以限制节点的通信、应用服务,并加强外部用户识别和验证能力。
对网络进行级别划分与控制,网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等,其中Internet/企业网的接口要采用专用防火墙,骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。
增强网络互连的分割和过滤控制,也可以大大提高安全保密性。
随着企业个人与个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁,信息传输的安全性成为一个重要的问题。
尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性,但商场上的无情竞争已迫使机构打破原有的界限,在企业内部或企业之间共享更多的信息,只有这样才能缩短处理问题的时间,并在相互协作的环境中孕育出更多的革新和创造。
然而,在群件系统中共享的信息却必须保证其安全性,以防止有意无意的破坏。
物理实体的安全管理现已有大量标准和规范,GB9361-88如《计算机场地安全要求》GFB2887-88、《计算机场地技术条件》等。
7、安全产品选型原则在进行网络安全方案的产品选型时,要求安全产品至少应包含以下功能:
●访问控制:
通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前;
●检查安全漏洞:
通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效;
●攻击监控:
通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);
●加密通讯:
主动的加密通讯,可使攻击者不能了解、修改敏感信息;
●认证:
良好的认证体系可防止攻击者假冒合法用户;
●备份和恢复:
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务;
●多层防御:
攻击者在突破第一道防线后,延缓或阻断其到达攻击目标;
●隐藏内部信息:
使攻击者不能了解系统内的基本情况;
●设立安全监控中心:
为信息系统提供安全体系管理、监控,保护及紧急情况服务。
三、FENSTS网络安全整体解决方案详细设计
1、售前网络系统安全评估
主要是选用远东网安的漏洞扫描器和ISS等厂商的漏洞扫描器对用户的网络安全进行漏洞检测和评估。
本工作的主要目的是:
进行最初的网络安全检测,侦察系统的漏洞,清楚知道系统存在的不安全因素,为网络安全产品选型提供依据,并对一些漏洞进行补漏。
本工作流程:
预约用户服务时间--进行检测--给用户提交检测分析报告--进行补漏--提出安全产品选型建议。
本工作性质:
免费。
2、安全产品选择在完成系统安全评估之后,有针对性的为用户提交本系统适用的网络安全产品,主要是三种类型产品:
入侵检测系统、防火墙、防病毒等。
(1)"黑客煞星""黑客煞星"入侵检测系统现有五个系列产品,对不同的客户、不同网络需求环境都能满足,是首家通过国家公安部和国家保密局的检测并被全国范围内推荐使用的入侵检测类产品。
本系统也被列为国家"863"重点项目。
目前,"黑客煞星"是我国第一个成功集成入侵检测技术和防火墙技术于一体的网络安全产品,其独特的远程管理功能,数据挖掘功能和用户自定义功能等,让您尽情享用更安全可靠的网络信息资源。
(2)入侵检测系统的功能与重要性入侵检测是系统安全的重要组成部分,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
计算机安全的三个中心目标是:
●保密性(Confidentiality)保护数据不受非授权操作的破坏
●完整性(Integrity)保证非授权操作不能修改数据
●有效性(Availability)保证非授权操作不能获取保护信息或计算机资源
为了达到这三个目标,计算机操作系统采用一个安全内核来实现对系统资源的访问控制,但是由于现代操作系统和应用软件都变得越来越复杂,软件设计者在设计时很难完全预料程序运行时的系统状态,更无法精确预测在不同系统状态下会发生什么结果,所以系统存在大量的安全漏洞,这就给黑客提供了机会。
为了增强系统安全,传统的安全模型采用了三个补充方法:
识别与验证,访问控制和扫描器,这些不同类型的安全产品在各自的领域都发挥了很好的作用,但同时发现它们也有各自的缺点,例如:
1996年发现著名的认证产品Kerberos可以被破译,一些访问控制手段,典型的如防火墙很难防范某些类型的WWW攻击,而扫描器不能实现实时监测和响应。
为了解决这些问题,国内外一些研究机构十多年来一直在积极研究入侵检测系统,直到最近几年,这方面的技术才走向成熟。
入侵检测技术的一个独有的特征是有一个基于规则的参考引擎,系统通过这个引擎来匹配所有已知的攻击方法,入侵检测系统支持的攻击模式集是根据国内外许多安全专家的宝贵经验得到的,信息安全国家重点实验室与许多国际著名安全组织,如FIRST保持密切的联系,因此能够在第一时间更新模式数据库。
入侵检测技术的另一个特点是它并不需要频繁更新规则库,这与病毒检测程序和脆弱性扫描器不同,黑客攻击程序千变万化,但并不是没有规律可循。
比如对缓冲区溢出攻击就存在一个通用的攻击模式匹配算法,在许多情况下,仅仅因为有一个新程序受到缓冲溢出攻击,并不需要修改规则库。
这些通用的检测方法使得检测系统更加可靠。
3、网络拓扑
升级会员 