企業(yè)網(wǎng)絡系統(tǒng)的安全策略

1、企業(yè)網(wǎng)絡系統(tǒng)的安全策略The Strategies of the Network Security in a Corporation 張 坤1 段寶霞2 麥 影3 （1廣州暨南大學信息與科學技術學院， 2、3 廣州暨南大學管理學院 510632）摘 要：本文針對企業(yè)目前面臨的網(wǎng)絡安全困境，提出一個網(wǎng)絡安全模型，企業(yè)可以依據(jù)該模型為自己的網(wǎng)絡制定安全策略，從而提高企業(yè)網(wǎng)絡的安全性。文章還為企業(yè)的網(wǎng)絡安全設計提出建議，最后給出了一個企業(yè)網(wǎng)絡安全性設計的例子。關鍵詞：網(wǎng)絡系統(tǒng) 網(wǎng)絡安全 加密 防火墻Abstract: A pattern of network security is given ai

2、ming at the network security problem puzzling a corporation. Depending on this pattern, the corporation can make out its strategies of the network security, thus strengthen the safety of the network. At last, in this paper, some suggestions and an example are given to the design of the network secur

3、ity of the corporation. Key words: network system, network security , encrypt , firewall一網(wǎng)絡安全模型企業(yè)網(wǎng)絡安全性在網(wǎng)絡界正受到越來越普遍的關注，一方面因為網(wǎng)絡入侵事件經(jīng)常發(fā)生，另一方面由于網(wǎng)絡安全性技術的大量涌現(xiàn)。如何利用網(wǎng)絡安全性技術保護企業(yè)網(wǎng)絡系統(tǒng)的安全成為大家所關心的問題。首先我們來看一下網(wǎng)絡的安全模型。一般說來，如果網(wǎng)絡系統(tǒng)能夠滿足以下規(guī)則或條件，則可以認為這個系統(tǒng)是安全的：1資源訪問(包括邏輯和物理訪問)前必須經(jīng)過認證和授權(帳號或鑰匙)。網(wǎng)絡資源指網(wǎng)絡基礎設施設備，網(wǎng)絡主機，網(wǎng)絡中傳輸?shù)臄?shù)據(jù)

4、。2只有訪問這些資源的人員才能獲得帳號或鑰匙。用戶不能以任何方式獲得和其身份不符的帳號及權限。3合法用戶接收的信息是完整的、正確的，即信息在傳輸或保存期間沒有被篡改或者破壞。4以上規(guī)則被破壞的，或者違反以上規(guī)則所付出的代價要超過信息本身的價值。5系統(tǒng)能夠拒絕非法的請求。6用戶對資源的訪問要受到監(jiān)察記錄。滿足前四個條件，可以認為這個系統(tǒng)的數(shù)據(jù)或信息是安全的，即保證非法用戶不能夠訪問網(wǎng)絡系統(tǒng)中的資源，包括不能讀取更改網(wǎng)絡設備、操作系統(tǒng)的配置和應用系統(tǒng)中的數(shù)據(jù)。第五個條件是保證系統(tǒng)免受DoS(Denial of Service)類型的攻擊。只有完全滿足前5個條件的系統(tǒng)才是真正安全的。事實上由于受系統(tǒng)

5、所選擇的產(chǎn)品和技術的限制，不可避免地存在某些缺陷，比如為防止用戶竊取口令，系統(tǒng)對所有口令予以加密，由于算法的限制，理論上攻擊者只要有足夠的耐心和足夠強的運算能力，最終是能夠破解的；另外由于管理等方面的原因，也會導致帳號失竊等事件發(fā)生。所以一般來說，完全滿足安全模型中前面四個條件是很困難的。第五個條件就是要保證如果系統(tǒng)的前面四個規(guī)則被破壞，系統(tǒng)管理員能夠很快發(fā)現(xiàn)問題并知道問題發(fā)生的原因，從而有助于防范下一次攻擊。在進一步說明企業(yè)網(wǎng)絡的安全解決方案之前，首先分析一下當前網(wǎng)絡攻擊類型和現(xiàn)有的一些安全性技術。二網(wǎng)絡攻擊類型網(wǎng)絡攻擊大致可以分為這樣幾種類型：l 由于管理員設置上的原因，讓某些用戶可以訪問

6、其不該訪問的資源，即違反了上述安全模型的第二條。l 由于網(wǎng)絡產(chǎn)品本身設計上的缺陷，系統(tǒng)對用戶訪問某些資源沒有作限制。l 還有一些攻擊不是利用管理或者系統(tǒng)的漏洞，而是由整個系統(tǒng)的安全性設計方面的問題，即由計算機網(wǎng)絡安全性所導致。前兩種攻擊一般是從管理和產(chǎn)品上予以防范，這類攻擊也比較容易理解。第三種攻擊的具體表現(xiàn)形式比較豐富，一般說來，計算機網(wǎng)絡安全性的攻擊類別有：l 中斷攻擊(Interruption)，這種攻擊是破壞系統(tǒng)的可用性。l 竊聽攻擊(Interception)，獲得機密數(shù)據(jù)或者信息，包括用戶的帳號和機密文件。l 修改數(shù)據(jù)攻擊(Modification)，修改傳輸過程中的數(shù)據(jù)，破壞系統(tǒng)

7、數(shù)據(jù)的完整性。l 偽造數(shù)據(jù)攻擊(Fabrication)，未經(jīng)授權的用戶向系統(tǒng)發(fā)送數(shù)據(jù)包破壞系統(tǒng)。三網(wǎng)絡安全技術在網(wǎng)絡攻擊類型中看到，攻擊者的攻擊對象有兩類，一類傳輸中的網(wǎng)絡數(shù)據(jù)；另一類是系統(tǒng)。針對系統(tǒng)的攻擊又可以進一步分為兩種：一種以獲取或者更改系統(tǒng)的數(shù)據(jù)為目的，另一種是DoS(Denial of Service)攻擊，也就是讓網(wǎng)絡中的重要系統(tǒng)停止服務。針對不同的攻擊應該采用相應的網(wǎng)絡技術來予以防范。l 防止數(shù)據(jù)在傳輸中的受攻擊攻擊傳輸中的數(shù)據(jù)有多個目的，其一為獲得數(shù)據(jù)內(nèi)容；其二為更改數(shù)據(jù)，破壞數(shù)據(jù)的完整性；其三為分析數(shù)據(jù)流。保護傳輸中數(shù)據(jù)的機密性和完整性的方法有多種，可以在應用層(或者會話

8、層傳輸層)上實現(xiàn)，也可以在網(wǎng)絡層上實現(xiàn)或者物理(數(shù)據(jù))鏈路層上實現(xiàn)。下面是一個示意圖：鏈路層加密是在每兩個傳輸節(jié)點間的鏈路上實施加密，其優(yōu)點明顯，但是要求每個傳輸節(jié)點上均實施加密和解密，這在許多情況下是不現(xiàn)實的。網(wǎng)絡層的加密只在兩個端系統(tǒng)上實施，比如在源和目的主機上實施，也可以由連接網(wǎng)絡的網(wǎng)關或路由器設備實施。由于是網(wǎng)絡層上的實施，對于采用該網(wǎng)絡協(xié)議的應用來說是完全透明的。如果是在網(wǎng)關或者路由器上實施，則對所有的其它網(wǎng)絡設備或用戶，只要他們選擇特定的網(wǎng)絡協(xié)議，就能夠滿足網(wǎng)絡數(shù)據(jù)安全傳輸?shù)男枰?。IPSec就是工作在IP層的加密技術。應用層加密，這里所指的應用層加密不是OSI 7層模型中的應用層，

9、而是泛指該加密方法和應用直接相關。雖然有些技術可以支持多種技術，如工作于TCP上的SSL，可以支持HTTP、FTP、NNTP等協(xié)議，以及既支持TCP又支持UDP的SOCKS技術，由于它們對應用來說不是完全透明的或者對應用程序有一定的要求，對這一類加密技術在這里我們通稱為應用層加密。應用層加密的特點是要求兩端應用程序?qū)υ摷用芗夹g的支持。這幾種技術可單獨使用，也可結(jié)合使用，以進一步提高系統(tǒng)的安全性。具體選擇哪種技術應依據(jù)具體的應用環(huán)境而定。l 防止對系統(tǒng)的攻擊針對攻擊系統(tǒng)的不同目的，采用的安全性技術也不同。如果攻擊者是為了進入系統(tǒng)竊取或更改數(shù)據(jù)，可以采用認證和授權技術予以防范；如果攻擊者是采取Do

10、S攻擊系統(tǒng)停止服務，可以采用防火墻或者代理服務器對重要系統(tǒng)或網(wǎng)絡予以保護。1認證技術一般系統(tǒng)會有自己的認證系統(tǒng)或者認證技術。常見的認證技術有：S/Key、Token口令認證模式、PPP的PAP，CHAP，EAP、以及TACACS+、RADIUS、Kerberos、DCE、FORTEZZA等。S/Key認證可以防止Replay攻擊；PPP的PAP認證在網(wǎng)絡上傳輸?shù)腎D/Password是明文方式；PPP CHAP通過兩端共享相同密鑰，認證過程不需要傳送密鑰，而且在連接建立后認證可以重復；TACACS+和RADIUS一般認證的客戶端一般是NAS(Networks Access Server訪問服務

11、器)，TACACS+能夠接收任意長度和內(nèi)容的認證，包括支持：PPP PAP、PPP CHAP、token cards和Kerberos；Kerberos一般用于認證網(wǎng)絡資源請求，客戶端和服務器端信任一個公共的服務器，客戶訪問服務器資源之前需要向該公共服務器申請，認證通過公共服務器會給客戶端一個有時間限制的的Ticket。DCE(Distributed Computing Environment)是一組技術規(guī)范，這些技術提供對數(shù)據(jù)和名字服務訪問的安全保護和控制，它同時提供授權和認證，認證事實上就是kerberos；FORTEZZA屬于MISSI(Multilevel Information Sy

12、stem Security Initiative)中的一部分，MISSI是美國NSA(National Security Agency)領導制定一個安全性解決方案框架，通過該框架內(nèi)的各個部分用戶可以靈活地搭建滿足自己需要的安全性解決方案，F(xiàn)ORTEZZA需要應用的支持，主要的FORTEZZA應用包括E-MAIL，EDI，WWW以及文件加密和身份標識及認證等內(nèi)容。2防火墻技術通過防火墻技術將不同安全等級的網(wǎng)絡予以隔離，不同安全等級間網(wǎng)絡的訪問由防火墻設備來監(jiān)控，防火墻通過檢測每一個數(shù)據(jù)包并判斷這些數(shù)據(jù)包是否符合某個特定的規(guī)則決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包，從而達到保護網(wǎng)絡以及使重要系統(tǒng)免受DoS攻擊。防火

13、墻有多種類型，它可以是一個專用的設備，也可以是一個軟件，甚至某些路由器也可以執(zhí)行某些類似防火墻的功能，一般來說，專用的防火墻設備或者軟件由于其能夠針對具體應用的數(shù)據(jù)包進行分析，所以所能防范的攻擊類型也豐富得多。硬件防火墻目前市場占有率比較高的是Cisco公司的PIX防火墻，軟件防火墻有Checkpoint公司的Firewall-I，整個防火墻市場目前市場份額最大的是Checkpoint公司的產(chǎn)品。關于防火墻技術的介紹目前有大量的資料，在有關網(wǎng)絡安全性或者一般的IT媒體網(wǎng)站上均能找到相關資料，這里不作具體的分析。3代理服務器技術代理服務器通過代理內(nèi)部網(wǎng)絡主機和外部網(wǎng)絡主機進行通信，隔離內(nèi)部網(wǎng)絡和

14、外部網(wǎng)絡從而達到保護內(nèi)部網(wǎng)絡的目的。代理服務器一般是針對某種具體的應用，如HTTP和FTP代理，或者要求被代理的主機支持某些特定的標準或規(guī)范，如winsock或socks，所以對有些應用來說并不適合，典型的例子是一般代理服務器不支持H.323協(xié)議。四網(wǎng)絡安全解決方案網(wǎng)絡的安全性不是單純的技術問題，它和系統(tǒng)的管理維護制度等方面密切相關。下面是企業(yè)網(wǎng)絡系統(tǒng)安全體系的說明圖：由上圖看到，要實現(xiàn)完整的企業(yè)網(wǎng)絡安全性，首先要制定一個完整的企業(yè)安全策略。一個完整的企業(yè)網(wǎng)絡系統(tǒng)安全策略涵蓋的內(nèi)容很多，整個網(wǎng)絡系統(tǒng)的安全性也不僅依賴于安全可靠的網(wǎng)絡操作、應用系統(tǒng)和網(wǎng)絡設備的安全性。制定企業(yè)的網(wǎng)絡安全策略時，要

15、注意一些原則，這些原則是企業(yè)設計網(wǎng)絡安全策略時通常需要考慮的：1). 需求、風險、代價平衡分析的原則：對一個網(wǎng)絡要進行實際分析，對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護成本、被保護信息的價值必須平衡。2). 授權、認證原則：對那些確實需要保護的企業(yè)網(wǎng)絡資源包括設備、軟件、數(shù)據(jù)等，保證在對這些資源的訪問前，用戶必須經(jīng)過授權和認證，符合身份驗證及授權的用戶才能夠獲得相應的訪問權限。3). 一致性原則：主要指只有應該具備訪問權的人才能夠獲得相應的訪問資源的帳號。這里要特別注意因為員工更換部門，或者離開公司，其相應的帳號或者權限也要相應

16、取消。4). 綜合性、完整性原則：運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。5). 建立安全監(jiān)控、報警手段或者機制：可對網(wǎng)絡的安全策略是否得到了正確實施，以及對違反安全策略的行為予以報警，有助于確保整個網(wǎng)絡系統(tǒng)的安全性。6). 易操作性原則：如果措施過于復雜，對人的要求過高，本身就降低了安全性。7). 適應性、靈活性原則：安全措施必須能隨網(wǎng)絡性能及安全需求的變化而變化，要容易適應、容易修改。8). 多重保護原則制定一個完整的企業(yè)網(wǎng)絡安全策略后，就可以采用相應的技術及產(chǎn)品實現(xiàn)這些安全策略，保證系統(tǒng)的安全性。依據(jù)對安全性要求的

17、不同，通常可以將企業(yè)網(wǎng)絡分成三個不同的部分：園區(qū)網(wǎng)絡主體，撥入連接以及Internet連接，如下圖所示：園區(qū)網(wǎng)絡主體部分包括企業(yè)網(wǎng)絡的核心，撥入部分包括遠程分支連接和移動用戶及遠程計算。Internet部分提供中心園區(qū)網(wǎng)絡到internet的連接。這三個部分要單獨考慮創(chuàng)建一個復雜的安全策略。五企業(yè)網(wǎng)安全設計舉例由于不同的企業(yè)網(wǎng)絡狀況以及其對安全性要求的不同，各個企業(yè)在設計自身的網(wǎng)絡系統(tǒng)安全性時所采用的策略必然不盡相同。這里只是針對企業(yè)所共有或者常見的部分提出作者的一點看法供大家參考。l 在園區(qū)網(wǎng)絡，劃分VLAN隔離網(wǎng)絡的廣播域，通過將不同用戶或資源劃分到不同的VLAN中，利用路由器或者防火墻對

18、VLAN間的訪問進行控制；對于更重要的系統(tǒng)，建議采用全交換式網(wǎng)絡使共享域減小，交換式網(wǎng)絡可以防止用戶采用簡單的網(wǎng)絡數(shù)據(jù)分析軟件竊聽網(wǎng)絡數(shù)據(jù)。l 在撥號接入上，建立AAA認證服務器，一方面方便用戶經(jīng)常更換口令，另一方面可以實施更加嚴格的安全策略，并且對這些策略的實施予以監(jiān)視。l 在Internet接入方面，對于安全性要求不高的企業(yè)，可以選擇代理服務器接入，對于安全性要求高的企業(yè)，建議選用防火墻設備接入，為保護企業(yè)WWW、郵件等服務器，所選擇的防火墻最好能夠?qū)@一類服務器提供專門的保護，目前市場上有大量關于防火墻的書籍，如果對防火墻產(chǎn)品不是特別熟悉，建議閱讀相關的資料。l 為方便用戶對資源訪問以及方便網(wǎng)絡管理，有必要建立一個統(tǒng)一的安全認證及授權系統(tǒng)，比如用戶在企業(yè)內(nèi)部訪問郵件服務器和其撥號帳號，與訪問Internet的帳號是一致的，統(tǒng)一的帳號管理有助于確保安全策略的實施及管理。l 如果您的網(wǎng)絡規(guī)模比較大，網(wǎng)絡設備比較多，建議在網(wǎng)絡上配置能夠?qū)θ肭诌M行檢測的主動防御系統(tǒng)。Cisco、ISS、Abirnet以及Internet tools等公司均提供產(chǎn)品。參考文獻：1 (美)Peter Norton,(美)Mike Stockman；瀟湘工作室譯 網(wǎng)絡安全指南人民郵電出版社，20002 (美)Terry Wil