网络安全解决方案

1、网络系统安全综合解决方案网络系统的安全威胁系统安全性局域网安全解决方案广域网安全解决方案网络系统的安全威胁由于大型网络系统内运行多种网络协议(TCP/IP, IPX/SPX, NETBEUA),而这些网络协议并非专为安全通讯而设计。所以，网络 系统可能存在的安全威胁来自以下方面：操作系统的安全性。目前流行的许多操作系统均存在网络安全漏 洞，如UNIX服务器,NT服务器及Windows桌面PC.防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要 经过检验。来自内部网用户的安全威胁.缺乏有效的手段监视、评估网络系 统的安全性。采用的TCP/IP协议族软件，本身缺乏安全性。未能对来自Inte

2、rnet的电子邮件挟带的病毒及Web浏览可能存 在的恶意Java/ActiveX控件进行有效控制。应用服务的安全.许多应用服务系统在访问控制及安全通讯方面 考虑较少，并且，如果系统设置错误，很容易造成损失。系统安全性计算机安全事业始于本世纪60年代末期.当时，计算机系统的脆弱 性已日益为美国政府和私营部门的一些机构所认识.但是，由于当 时计算机的速度和性能较落后，使用的范围也不广，再加上美国政 府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一 直局限在比较小的范围内.进入80年代后，计算机的性能得到了成白上千倍的提高，应用的 范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用

3、 通信网络把孤立的单机系统连接起来，相互通信和共享资源.但是, 随之而来并日益严峻的问题是计算机信息安全的问题。人们在这方 面所做的研究与计算机性能及应用的飞速发展不相适应，因此，它 已成为未来信息技术中的主要问题之一。由于计算机信息有共享和易于扩散等特性，它在处理、存储，传输 和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失， 甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒 的感染。国际标准化组织（ISO）将计算机安全定义为：为数据处理系统 建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据 不因偶然和恶意的原因而遭到破坏、更改和泄露. ”此概念偏重于 静态信息保

4、护。也有人将计算机安全定义为：”计算机的硬件、 软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和 泄露，系统连续正常运行。该定义着重于动态意义描述.计算机安全的内容应包括两方面：即物理安全和逻辑安全。物理安 全指系统设备及相关设备受到物理保护，免于破坏、丢失等.逻辑 安全包括信息完整性、保密性和可用性：保密性指高级别信息仅在授权情况下流向低级别的客体与主体；完整性指信息不会被非授权修改及信息保持一致性等；可用性指合法用户的正常请求能及时、正确、安全地得到服务或回 应。一个系统存在的安全问题可能主要来源于两方面：或者是安全控制 机构有故障；或者是系统安全定义有缺陷。前者是一个软件可靠性

5、 问题，可以用优秀的软件设计技术配合特殊的安全方针加以克服； 而后者则需要精确描述安全系统.美国国防部（DOD）于1985年出版了可信计算机系统的评价准则 （乂称桔皮书），使计算机系统的安全性评估有了一个权威性的标准。DOD的桔皮书中使用了可信计算基础（TrustedComputingBase, TCB）这一概念,即计算机硬件与支持 不可信应用及不可信用户的操作系统的组合体。桔皮书将计算机系 统的可信程度划分为D、Cl、C2、Bl、B2、B3和A1七个层次在 DOD的评估准则中，从B级开始就要求具有强制存取控制和形式化 模型技术的应用。桔皮书论述的重点是通用的操作系统，为了使它 的评判方法使用

6、于网络，美国国家计算机安全中心于1987年出版 了可信网络指南。该书从网络安全的角度出发，解释了准则中 的观点.局域网安全解决方案由于局域网中采用广播方式，因此，若在某个广播域中可以侦听到 所有的信息包，黑客就可以对信息包进行分析,那么本广播域的信 息传递都会暴露在黑客面前。网络分段网络分段是保证安全的一项重措施，同时也是一项基本措施,其指 导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非 法访问的目的。网络分段可分为物理分段和逻辑分段两种方式：物理分段通常是指 将网络从物理层和数据链路层aso/osi模型中的第一层和第二 层）上分为若干网段，各网段相互之间无法进行直接通讯。目前，

7、许多交换机都有一定的访问控制能力,可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层（ISO/OSI模型中的第三层） 上进行分段.例如，对于TCP/IP网络，可把网络分成若干IP子网， 各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行 连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子 网间的访问.在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来 实现对网络系统的安全性控制。VLAN的实现虚拟网技术主要基于近年发展的局域网交换技术（ATM和以太网交 换）.交换技术将传统的基于广播的局域网技术发展为面向连接的 技术。因此，网管系统有能力限制局域网通讯的范围而无需

8、通过开 销很大的路由器。以太网从本质上基于广播机制，但应用了交换机 和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信 息交换也不会存在监听和插入（改变）问题。由以上运行机制带来的网络安全的好处是显而易见的：信息只到达 应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。 通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访 问虚拟网内节点。但是，虚拟网技术也带来了新的问题：执行虚拟 网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播 原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC 的VLAN不能防止MAC欺骗攻击.采用基于MAC的VLAN划分将面

9、临 假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口.但 这要求整个网络桌面使用交换端口或每个交换端口所在的网段机 器均属于相同的VLAN.VLAN之间的划分原则VLAN的划分方式的目的是保证系统的安全性。因此，可以按照系 统的安全性来划分VLAN：可以将总部中的服务器系统单独划作一 个VLAN,如数据库服务器、电子邮件服务器等。也可以按照机构 的设置来划分VLAN,如将领导所在的网络单独作为一个LeaderVLAN（LVLAN）,其它司局（或下级机构）分别作为一个VLAN,并且 控制LVLAN与其它VLAN之间的单向信息流向，即允许LVLAX查看 其他VLAN的相关信息，其他VL

10、AN不能访问LVLAN的信息.VLAN之 内的连接采用交换技术实现，VLAN与VLAN之间采用路由实现.山 于路由控制的能力有限，不能实现LVLAN与其他VLAN之间的单向 信息流动，需要在LVLAN与其他VLAN之间设置一个etScreen防 火墙作为安全隔离设备,控制VLAN与VLAN之间的信息交换.广域网安全解决方案由于广域网采用公网传输数据，因而在广域网上进行传输时信息也 可能会被不法分子截取。如分支机构从异地发一个信息到总部时， 这个信息包就可能被人截取和利用。因此在广域网上发送和接收信 息时要保证：除了发送方和接收方外，其他人是不可知悉的（隐私性）；传送过程中不被篡改（真实性）；发

11、送方能确信接收方不是假冒的（非伪装性）；发送方不能否认自己的发送行为（非否认）。如果没有专门的软件对数据进行控制，所有的广域网通信都将不受 限制地进行传输，因此任何一个对通信进行监测的人都可以对通信 数据进行截取。这种形式的”攻击是相对比较容易成功的，只要 使用现在可以很容易得到的“包检测”软件即可.如果从一个联网 的UNIX工作站上使用跟踪路由命令的话,就可以看见数据从客 户机传送到服务器要经过多少种不同的节点和系统，所有这些都被 认为是最容易受到黑客攻击的目标.一般地，一个监听攻击只需通 过在传输数据的末尾获取IP包的信息即可以完成。这种办法并不 需要特别的物理访问。如果对网络用线具有直接

12、的物理访问的话， 还可以使用网络诊断软件来进行窃听。对付这类攻击的办法就是对 传输的信息进行加密，或者是至少要对包含敏感数据的部分信息进 行加密。加密技术加密型网络安全技术的基本思想是不依赖于网络中数据路径的安 全性来实现网络系统的安全，而是通过对网络数据的加密来保障网 络的安全可靠性，因而这一类安全保障技术的基石是使用放大数据 加密技术及其在分布式系统中的应用.数据加密技术可以分为三类,即对称型加密、不对称型加密和不可 逆加密。对称型加密使用单个密钥对数据进行加密或解密，其特点 是计算量小、加密效率高.但是此类算法在分布式系统上使用较为 困难，主要是密钥管理困难，从而使用成本较高，保安性能也

13、不易 保证。这类算法的代表是在计算机专网系统中广泛使用的DES算法 (DigitalEncrypt i onStandard).不对称型加密算法也称公用密钥算法,其特点是有二个密钥(即公 用密钥和私有密钥)，只有二者搭配使用才能完成加密和解密的全 过程。由于不对称算法拥有二个密钥，它特别适用于分布式系统中 的数据加密，在Internet中得到广泛应用。其中公用密钥在网上 公布，为数据对数据加密使用，而用于解密的相应私有密钥则由数 据的接收方妥善保管。不对称加密的另一用法称为“数字签名(digitalsignature), 即数据源使用其私有密钥对数据的求校验和(checksum)或其它与 数据

14、内容有关的变量进行加密,而数据接收方则用相应的公用密钥 解读数字签名，并将解读结果用于对数据完整性的检验。在网络 系统中得到应用的不对称加密算法有RSA算法和美国国家标准局 提出的DSA算法(DigitalSignatureAlgorithm)。不对称加密法在 分布式系统中应用需注意的问题是如何管理和确认公用密钥的合 法性。不可逆加密算法的特征是加密过程不需要密钥，并且经过加密的数 据无法被解密，只有同样的输入数据经过同样的不可逆加密算法才 能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问 题，适合于分布式网络系统上使用，但是其加密计算工作量相当可 观，所以通常用于数据量有限的情形下

15、的加密，例如计算机系统中 的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不 断改善，不可逆加密的应用逐渐增加。在计算机网络中应用较多的 有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆 加密标准(SHS-SecureHashStandard)。加密技术用于网络安全通常有二种形式，即面向网络或面向应用服 务.前者通常工作在网络层或传输层，使用经过加密的数据包传送、 认证网络路由及其他网络协议所需的信息，从而保证网络的连通性 和可用性不受损害。在网络层上实现的加密技术对于网络应用层的 用户通常是透明的。此外，通过适当的密钥管理机制，使用这一方 法还可以在公用的互联网络上建立

16、虚拟专用网络并保障虚拟专用 网上信息的安全性。SKIP协议即是近来IETF在这方面的努力之一。 面向网络应用服务的加密技术使用则是目前较为流行的加密技术 的使用方法，例如使用Kerberos服务的telnet、NFS、rlogion等, 以及用作电子邮件加密的PEM (PrivacyEnhancedMail)和 PGP(PrettyGoodPrivacy).这一类加密技术的优点在于实现相对较 为简单，不需要对电子信息(数据包)所经过的网络的安全性能提 出特殊要求，对电子邮件数据实现了端到端的安全保障。数字签名和认证技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名 作为身份认证技术

17、中的一种具体技术，同时数字签名还可用于通信 过程中的不可抵赖要求的实现。认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、 不对称加密及两种加密方法的混合。UserName/Password 认证该种认证方式是最常川的一种认证方式，用于操作系统登录、telnet、rlogin等，但此种认证方式过程不加密，即password容 易被监听和解密。使用摘要算法的认证Radius（拨号认证协议）、OSPF（路ill协议）、SNNfPSecurityProtocol 等均使用共享的SecurityKey,加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的 过程,因此，在认证过程中，由摘

18、要信息不能技术出共享的 securitykey,敏感信息不在网络上传输。市场上主要采用的摘要 算法有MD5和SHA1。基于PKI的认证使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合 采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好 地将安全性和高效性结合起来。这种认证方法目前应用在电子邮 件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任 务。数字签名数字签名作为验证发送者身份和消息完整性的根据.公共密钥系统 (如RSA)基于私有/公共密钥对，作为验证发送者身份和消息完 整性的根据，CA使用私有密钥技术其数字签名，利用

19、CA提供的公 共密钥，任何人均可验证签名的真实性.伪造数字签名从计算机能 力上不可行的.并且,如果消息随数字签名一同发送,对消息的任何 修改在验证数字签名时都将会被发现。通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密 密钥，并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行 验证.基于此种加密模式，需要管理的密钥数目与通讯者的数量为线性关 系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成 正比。VPN技术网络系统总部和各分支机构之间采用公网网络进行连接，其最大的 弱点在于缺乏足够的安全性。企业网络接入到公网中，暴露出两个 主要危险：来自公网的未经

20、授权的对企业内部网的存取。当网络系统通过公网进行通讯时，信息可能受到窃听和非法修改。 完整的集成化的企业范围的VPN安全解决方案,提供在公网上安全 的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。VPN技术的原理：VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息，使得敏感的数 据不会被窃听。其处理过程大体是这样：要保护的主机发送明文信息到连接公共网络的VPN设备；VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让 数据直接通过。对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签 名.VPN设备加上新的数据报头，

21、其中包括目的地VPN设备需要的安全 信息和一些初始化参数。VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备 IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网 上传输。当数据包到达目标VP设备时，数据包被解封装,数字签名被核对 无误后，数据包被解密。IPSecIPSec作为在IPv4及IPv6上的加密通讯框架，已为大多数厂商所 支持。IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包 增加了新的包头格式，AuthenticationHeader (AH)及 encapsulatingsecuritypayload (ESP) o IPSec 使用 ISAKAT/Oakley 及SKIP进行密钥交换、管理及加密通讯协商(SecurityAssociation)。IPSec包含两个部分：IPsecurityProtocolproper,定义 IPSec 报头格式。ISWT/Oakley,负责加密通讯协商.IPSec提