构建安全、高效的网络安全系统

1、构建安全、高效的网络安全系统王春雷 白晔抚顺电业局计算机中心113008摘要 本文主要论述安全性在网络设计中的重要因素，尤其是企业把敏感数据移交给内部职工使用，当使用和访问新的Internet技术时，在职工生产力、客户支持和在线商务运作等进行技术和方案的选择上，安全性以何种方式得以实现。针对实际情况一一解决多网合一后可能会出现的一系列安全问题。关键词 网络安全；多网合一；访问控制1 网络现状目前，抚顺供电公司网络基础设施的建设已颇具规模，网上业务的开展也已达到了相当水平，网络环境和网络应用已经成为各级机构行使职能、处理业务、开展工作的重要基础和必要手段。1网络环境抚顺供电公司网络系统组成从应用

2、的角度来看：主要包括办公自动化系统和营业办公系统两部分。从网络结构的角度来看，主要包括办公自动化系统局域网、营业部局域网及下属各分供电局局域网三部分。2网络安全现状1）各局域网间的通信基本没有安全防护措施，只有少部分单位采用了路由器设置访问控制。2）服务器操作系统以Unit、WinNT为主，桌面操作系统以Win95/98为主，基本没有安全保护措施。3）部分应用环境具备防病毒能力。4）内、外部攻击缺少基本的监控保护手段。5）缺乏对系统的安全评估手段。3网络系统存在的隐患、威胁当前，随着多网合一的开放，办公网与营业网互连的机构越来越多，网络安全隐患也越来越严重，威胁主要来自：操作系统的安全性；来自

3、内部网用户的安全威胁；缺乏有效手段监视和评估网络系统的安全性；采用TCP/IP协议族软件，本身缺乏安全性；应用服务的安全性：许多应用服务系统在访问控制及安全通讯方面考虑较少；用户误操作带来的安全威胁。2 影响网络信息安全的主要因素1、网络体系结构网络的基本拓扑结构包括星型、总线和环型。互联网络则包括以上三种网络结构，网络主干是环型或总线，而连接主干的众多子网则异构纷呈，子网往下还可能连接着多层子网。结构的复杂无疑给网络系统管理、拓扑设计带来许多问题。为了满足网络开放性要求，实现异构网络间信息的通信，往往要牺牲一些安全机制的设置和实现。开放性与安全性是一对相生相克的矛盾。2、网络协议国际互联网络

4、协议的主要优势一是采用主流的TCP/IP网络协议，二是普遍兼容其它网络协议。这种协议机制使众多厂商的协议能互联、互通。它在给厂商与用户带来方便和利益的同时，也带来了安全方面的问题，即在一种协议下运行的有害程序能很快传播到整个互联网。 3、地理环境互联网络往往连遍全国，甚至连遍全世界，其地理环境错综复杂，通信信道千差万别，这一方面容易给传输信息造成损坏、丢失，另一方面也给那些“搭线窃听”的黑客以可乘之机，增加更多的安全隐患。 4、使用人员开发维护计算机系统，可以说是形形色色的人员都有，其中难免有政治上不可靠的，也不乏以攻击网络，搜寻、破坏信息为乐事的黑客。正是由于这些人的存在，合法用户都可靠的传

5、统假设已不能成立，计算机网络安全必须既防外又防内，这给网络安全提出了更高的要求。 5、不同机种联入互联网络的主机品种繁多，有大型计算机、小型计算机、工作站、服务器、微机等。这些机器厂商众多，使用的操作系统和网络软件也不尽相同，解决了一种机器的安全问题不一定就适应别的机型。除了上述诸因素以外，涉及信息系统安全的因素还有用户单位的安全政策、使用人员的安全素质、安全设备投资和自然灾害等。3 计算机网络信息安全的主要内容计算机网络信息安全在学术研究上是一门综合性学科，在工程实践上是一项系统工程。按照比较通行的说法，计算机网络安全包括实体安全、运行安全和信息安全三个方面的内容。1. 实体安全实体安全是指

6、保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故破坏的措施和过程。它包括以下三个方面：环境安全设备安全媒体安全实体安全所涉及的技术问题，早在八十年代就有了一套较为切实可行的解决方案。2. 运行安全为保障系统安全功能的实现，采取一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。1风险分析2审计跟踪3备份与恢复4应急安全手段运行安全中风险分析主要是普及网络安全知识，培训网络安全管理人员，充分发挥信息安全专家的作用；审计跟踪需要与信息安全结合起来考虑；其它方面则主要是在实际安全策略基础上加强管理、严格制度的问题。3. 信息安全防止

7、信息资源被截取、被更改、被破坏而采取的安全措施，以确保信息的完整性、保密性、可用性和可控性。信息安全包括以下七个方面：1操作系统安全指对计算机信息系统的硬件和软件资源进行有效控制，能为所管理的资源提供相应的安全保护。它们或是以底层操作系统所提供的安全机制为基础构造安全模块，或完全取代底层操作系统，为建立安全信息系统提供一个可信的安全平台。2数据库安全对数据库系统所管理的数据和资源提供安全保护。它一般采用多种安全机制与操作系统相结合，实现数据库的安全保护。一种选择是安全数据库系统，即一个从系统设计、实现、使用到管理都遵循一套完整的系统安全策略的系统。二是以现有数据库系统所提供的功能为基础构造安全

8、模块，以增强现有数据库系统的安全性。3网络安全提供访问网络资源或使用网络服务的安全保护。包括使用安全的网络设备，规划设计安全的网络拓扑结构，园区网和子网的安全隔离，建立虚拟专网等。4计算机病毒防护提供对计算机病毒的防护。病毒防护包括单机系统的防护和网络系统的防护。单机系统的防护侧重于防护本地计算机资源，而网络系统的防护则侧重于防护网络系统资源。计算机病毒防护产品通过建立系统保护机制，预防、检测和消除病毒。5访问控制保证系统外部用户或内部用户对系统资源的访问以及对敏感信息的访问方式符合组织安全策略。主要包括出入控制和存取控制。出入控制主要是阻止非授权用户进入机构或组织。存取控制是对主体访问客体时

9、的存取权限进行控制。6加密即提供数据加密和密钥管理。数据加密包括对文字、语音、图形、图象和数据流等各种信息的加密。密钥管理包括密钥分发、密钥更换、密钥回收等。7鉴别提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方（包括用户、设备和进程）真实身份的鉴别，主要用来阻止非授权用户对系统资源的访问。信息鉴别是提供对信息正确性、完整性和不可否认性的鉴别。信息正确性完整性鉴别的目的在于证实信息内容未被非法修改或遗漏；不可否认鉴别的目的是使信息发送者不可否认对信息的发送和信息接收者不可否认对信息的接收。信息安全是计算机网络安全的重点和难点，上述七个方面的信息安全内容都需要不断完善、不断发展、不断配套的技术

10、和产品研发工作的支持。其中计算机病毒防护主要只涉及计算机网络技术本身，其它六项则除了涉及计算机网络技术以外，更为重要的是必须以现代密码技术为支撑。离开了密码技术，根本就谈不上真正意义上的操作系统安全、数据库安全、网络安全、访问控制、加密和鉴别。4 采用的计算机网络安全技术结合目前我局计算机网络建设的实际情况，我们主要采用了下列安全技术：1VLAN技术各局域网均采用Ethernet技术，为更好保证局域网的安全，应按照用户群组和系统资源的访问权限进行安全划分。将服务器系统单独划作一个VLAN。也可以按照机构的设置来划分VLAN，如将领导所在的网络单独作为一个Leader VLAN（LVLAN），其

11、他处（科）室分别作为一个VLAN，并且控制LVLAN与其他VLAN的相关信息，其他VLAN不能访问LVLAN的信息。2防火墙根据我公司网络系统的安全需要，我们在办公网的核心交换机与内网核心路由器之间安置防火墙进行隔离，在办公网与营业网之间安置安全访问控制防火墙。针对现有业务可实现：1）主域网能垂直访问到省公司、能向上下收发办公文件、Notes应用、网页浏览（向上下）、Web服务；但不要求访问供电局。2）营业子网能垂直访问到省公司、能向上下收发办公文件、Notes应用、网页浏览（向上下）、Web服务、对供电局访问。3）供电局子网要求：l 管理业务能垂直访问到省公司、能向上下收发办公文件、Note

12、s应用、网页浏览（向上下）、Web服务；但不要求水平方向供电局互相访问。l 营业（收费）业务能垂直访问到市局营业服务器、营业数据库、能送汇总表到市局；但不访问其他业务及管理服务器，不访问各子网（供电局）。l 配电业务能垂直访问到市局的客服中心、能填写日执通过网络送到客服中心服务器、能接收客服中心下发的任务文件；但不访问其它服务器及业务、不访问各子网（供电局）。防火墙在网络入口点检查网络通讯，屏蔽非法侵入，其安全作用体现于：1）有效地防止外来的入侵。2）控制进出网络的信息流向和信息包。3）提供使用和流量的日志和审计。防火墙的审计策略与控制策略有机地结合，实现对安全敏感的通信事件的记录和审计。通过

13、安全审计，管理员可得到系统受到威胁的信息资料，这就避免了在大量日志中查找和分析各种可能的威胁。4）隐藏内部IP地址及网络结构的细节，此功能对于Internet的安全连接极为重要。5）防止IP地址欺骗。通过将接口控制策略加在相应的接口上，防止其他接口区域的IP被此接口区域内的主机冒用。6）入侵检测及纪录，有效地记录入侵历史，便于分析和防范可能的入侵。7）访问权限控制，通过认证服务器，实现对通过防火墙的HTTP、FTP访问进行授权。8）实现IP、用户名（中文）、MAC地址邦定访问权限控制。3IP与MAC、用户名捆绑防止局域网主机IP地址被盗。MAC是用户使用网卡的标识字串，可以唯一的标识一个内部用

14、户的物理地址，IP与MAC捆绑防止防火墙管理的内网域内主机的IP地址被另一台机器盗用。对于要保护的主机与防火墙直接相连，可以将此机器的IP地址与网卡物理地扯捆绑，这样其他内部机器就不可能使用这个IP通过防火墙访问外部网络。同时与用户名进行邦定，可防止非法用户利用合法用户的主机进行非法操作，也可避免合法用户使用其他主机而造成网络漏洞。通过这种措施可以确保IP、用户名（中文）、MAC地址的一一对映，使网络管理趋于完善，杜绝用户名或IP地址的盗用，减少因此带来的一系列损失。4入侵检测系统利用防火墙技术，经过仔细的配置，通常能够在内外网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段。入侵检测

15、系统包括基于主机的入侵检测系统和基于网络的入侵检测系统两种。在人行某分支机构网络系统中布设了基于主机的入侵检测系统，用于保护关键应用的服务器，实时监视可疑的连接和非法访问的闯入，并对各种入侵立即进行反应，如断开网络连接等。5用户身份认证系统对用户的身份进行确认，是保证信息安全的首要前提，只有合法用户的数据才能正常的出入系统，才能使防火墙成为一道防线。在网络中安置认证服务器，可使全网统一管理，在全网中只需唯一一个数据库即可，无需在每台设备上进行设置。用户身份认证系统可以确保未经认证的用户无法通过HTTP、FTP访问网络资源。6防病毒措施计算机病毒对信息安全具有灾难性的影响，在抚顺供电公司网络系统

16、中，我们增加了防病毒网关，以保证信息的安全和系统的正常运行。防病毒网关可实时监测流经Internet 网关或防火墙的、和等数据流，使病毒还没有进入内部网之前就被检测到、被清除或被处理，从而避免了与Internet连接的用户和企业内部网被病毒大范围感染的危险，大大节省了企业的资源和用户产品的升级、维护费用。同时，也可以检测和阻止内部网用户主机上的病毒向Internet和内部其它局域网的传播，并实时将已被病毒感染的消息通知内部用户。该防毒措施使网络防毒软件如虎添翼，实现从全方位、多角度防止病毒对网络造成破坏。7安全服务器子网安全服务器子网可以采用不同于办公子网的IP地址网段，这样既可以节约整个信息

17、网络的IP地址分配，又可以增强安全服务器子网的安全性。实现的办法是使用联想网御防火墙的反向NAT功能。通过使用反向NAT功能，可以将安全服务器子网的IP地址转换成信息网内可路由的IP地址。对于来自本节点外部的访问请求，会受到联想网御防火墙的规则检查：只允许任意地址的主机访问安全服务器子网内的相关服务。比如说，只允许访问FTP服务器的21端口、WWW服务器的80端口等。开启实时入侵检测功能，检测来自本节点之外的入侵行为，防止Web站点受到DoS等攻击。联想网御防火墙采用基于规则的入侵检测技术，目前已经总结了600多条入侵行为规则，在防火墙上可以实时检测出近1000种的网络入侵行为；防火墙在发现入

18、侵行为后，自动在包过滤层设置阻断规则，可以有效地阻断入侵。防火墙发现攻击后进行报警：入侵指示灯显示；向管理员发报警邮件。同时只允许来自内部办公安全子网的授权用户对Web站点和其它服务器进行维护更新。比如说，WWW服务器的管理员要通过FTP的方式上传更新的页面，防火墙管理员可以设置相应的包过滤规则，只允许WWW服务器的管理员的IP地址可以访问WWW服务器的21端口。8远程拨号用户访问控制由于现有网络存在拨号用户，为保证网络安全杜绝远程拨号用户在非工作主机上使用有效用户名及口令密码，必须针对远程拨号用户进行访问控制。可以采用两台Cisco 2620并安装16口模拟Model模块，利用其回拨功能确保

19、远程用户使用工作主机使用网络资源。5 数据备份我局现有网络服务器均为惠普系列产品，数据库为SYBASE和SQL两种，为确保数据库安全及系统的稳定性，应对数据库进行备份。根据现有网络状况选用一台IBM的NAS226作为备份服务器，选用VERITAS的备份软件Backup Exec Windows NT/2000 V8.6作为服务器备份软件。NAS226作为备份设备是一种NAS技术，是目前网络存储的趋势。将IBM的NAS226放置在网络上，可实现整个网络的存储备份，可充分体现其高速、稳定、可靠等特性。利用现有惠普磁带库设备可实现定期冷备，作为历史数据存档，在某台服务器出现故障或瘫痪时，可以通过灾难

20、恢复软件将原有系统备份恢复到服务器上，以便及时恢复系统减小损失。6 VERITAS NetBackpu系列VERITAS NetBackpu for Lotus Notes是NetBackpuTM数据保护解决方案系列的组成部分，包括VERITAS NetBackpu，VERITAS NetBackpu BusinesServer以及VERITAS NetBackpuTM Purofessional。VERITAS NetBackpuTM系列为异构环境提供行业领先的备份和恢复软件解决方案。可以从台式机扩展到数据中心，现在还包括对移动手提电脑提供支持。大小企业现在、明天以及遥远的未来都会依赖于VE

21、RITAS NetBackpu进行综合的数据保护。许多组织使用多种备份产品来进行UNIX、Windows和数据库备份，或依靠终端用户来将台式机和手提电脑上的关键性公司数据复制到联网的文件服务器上。这样，就导致整个企业的数据保护不具有一致性和可靠性。VERITAS NetBackpu系列是世界最强大的企业数据库保护解决方案，可以进行快速，可靠而一致的备份和恢复。VERITAS Backup ExecTM Agent for Microsoft SQL Server可确保您的关键业务数据即使在应用或硬件损坏或丢失的情况下也可安然无忧。在设计上，该选项以灵活性为着眼点，可为SQL Server6.5用户提供直至单个表空间的全面安全保护。Microsoft SQL7.0用户可在对于完全备份而言过小的文件组备份窗口中定制数据保护需求。