内部网络信息系统高级安全策略大纲

1、内网信息息系统高高级安全全策略中智交通通电子系系统有限限公司技技术总监监 何大大为一、公司司概况中智公司司是在国国务院领领导的关关怀和支支持下，根据国国家高新新技术产产业化发发展规划划的要求求，由信信息产业业部发起起成立的的大型专专业化IIT企业业。公司注册册资金￥50000万元元，资产产总额￥280000万万元公司总部部设在北北京市海海淀区万万寿路227号信息产产业部大大厦，研研发中心心设在紫紫竹院路路66号赛赛迪大厦厦。二、网络络安全现现状Inteerneet、Inttrannet加加剧全球球性信息息化。信息网络络技术的的应用日日益普及及和深入入。网络安全全成为网网络应用用的重大大隐患。由

2、于网络络安全的的脆弱性性而导致致的经济济损失，每年都都在快速速增长。 企业追加加网络安安全方面面的资金金。各国政府府开始重重视，加加强管理理和加大大投入。信息产业业部政策策法规司司副司长长赵梅庄庄曾经在在“第三十十三届世世界电信信日纪念念会暨互互联网应应用报告告会”上说，中国政政府正在在加紧制制定电信信法，其其中包含含了互联联网，尤尤其是网网络安全全的内容容。 他说，中国现现有的电信管管理条例例已经经包含了了部分内内容，但但还需要要进一步步规范，例如，对黑客客、病毒毒的界定定以及法法律归属属等问题题需要进进一步的的研究。三、攻击击来自何何方外国政府府 221竞争对手手 448黑客 722内部人

3、员员 889四、如何何保护内内部网络络的安全全设置防火火墙 对数据进进行加密密 完善认证证技术 使用入侵侵检测系系统 设立防病病毒体系系有效的数数据保护护置防火墙墙防火墙并并非万能能，但对对于网络络安全来来说还是是必不可可少的。防火墙是是在两个个网络之之间执行行控制策策略的系系统（包包括硬件件和软件件），目目的是不不被非法法用户侵侵入。本本质上，它遵循循的是一一种允许许或禁止止业务来来往的网网络通信信安全机机制，也也就是提提供可控控的过滤滤网络通通讯，只只允许授授权的通通讯。按照一个个企业的的安全体体系，一一般可以以在以下下位置部部署防火火墙：局域网内内的VLLAN之之间控制制信息流流向时；I

4、ntrraneet与IInteerneet之间间连接时时；在广域网网系统中中，由于于安全的的需要，总部的的局域网网可以将将各分支支机构的的局域网网看成不不安全的的系统，（通过过公网CChinnaPaac，CChinnaDDDN，FFarmme RRelaay等连连接）在在总部的的局域网网和各分分支机构构连接时时采用防防火墙隔隔离，并并利用VVPN构构成虚拟拟专网。总部的局局域网和和分支机机构的局局域网是是通过IInteerneet连接接，需要要各自安安装防火火墙，并并利用VVPN组组成虚拟拟专网。在远程用用户拨号号访问时时，加入入虚拟专专网。数据加密密数据加密密作为一一项基本本技术是是所有通通

5、信安全全的基石石。数据据加密过过程是由由形形色色色的加加密算法法来具体体实施，它以很很小的代代价提供供很大的的安全保保护。在在多数情情况下，数据加加密是保保证信息息机密性性的唯一一方法。据不完完全统计计，到目目前为止止，已经经公开发发表的各各种加密密算法多多达数百百种。如如果按照照收发双双方密钥钥是否相相同来分分类，可可以将这这些加密密算法分分为常规规密码算算法和公公钥密码码算法。 在常规密密码中，收信方方和发信信方使用用相同的的密钥，即加密密密钥和和解密密密钥是相相同或等等价的。比较著著名的常常规密码码算法有有：美国国的DEES及其其各种变变形，比比如Trriplle DDES、GDESS、

6、Neew DDES和和DESS的前身身Luccifeer；欧欧洲的IIDEAA；日本本的FEEALNN、LOOKI991、SSkippjacck、RRC4、RC55以及以以代换密密码和转转轮密码码为代表表的古典典密码等等。在众众多的常常规密码码中影响响最大的的是DEES密码码。 常规密码码的优点点是有很很强的保保密强度度，且经经受住时时间的检检验和攻攻击，但但其密钥钥必须通通过安全全的途径径传送。因此，其密钥钥管理成成为系统统安全的的重要因因素。在公钥密密码中，收信方方和发信信方使用用的密钥钥互不相相同，而而且几乎乎不可能能从加密密密钥推推导解密密密钥。比较著著名的公公钥密码码算法有有：RSS

7、A、背背包密码码、MccEliiecee密码、Difffe Helllmaan、RRabiin、OOng Fiaat SShammir、零知识识证明的的算法、椭圆曲曲线、EEIGaamall算法等等等。最最有影响响的公钥钥密码算算法是RRSA，它能抵抵抗到目目前为止止已知的的所有密密码攻击击。公钥密码码的优点点是可以以适应网网络的开开放性要要求，且且密钥管管理问题题也较为为简单，尤其可可方便的的实现数数字签名名和验证证。但其其算法复复杂，加加密数据据的速率率较低。 认证技术术认证技术术主要解解决网络络通讯过过程中通通讯双方方的身份份认可，数字签签名作为为身份认认证技术术中的一一种具体体技术，同

8、时数数字签名名还可用用于通信信过程中中的不可可抵赖要要求的实实现。认证过程程通常涉涉及到加加密和密密钥交换换。通常常，加密密可使用用对称加加密、不不对称加加密及两两种加密密方法的的混合。Userr Naame/Passswoord认认证：该该种认证证方式是是最常用用的一种种认证方方式，用用于操作作系统登登录、ttelnnet、rlooginn等，但但此种认认证方式式过程不不加密，即paasswwordd容易被被监听和和解密。使用摘要要算法的的认证：Raddiuss（拨号号认证协协议）、OSPPF（路路由协议议）、SSNMPP Seecurrityy Prrotoocoll等均使使用共享享的Se

9、ecurrityy Keyy，加上上摘要算算法（MMD5）进行认认证，由由于摘要要算法是是一个不不可逆的的过程，因此，由摘要要信息是是不能计计算出共共享的ssecuuritty kkey的的，这就就保障了了seccuriity keyy的信息息不会在在网络上上传输。市场上上主要采采用的摘摘要算法法有MDD5和SSHA-1。基于PKKI的认认证：使使用公开开密钥体体系进行行认证和和加密。该种方方法安全全程度较较高，综综合采用用了摘要要算法、不对称称加密、对称加加密、数数字签名名等技术术，很好好地将安安全性和和高效性性结合起起来。这这种认证证方法目目前应用用在电子子邮件、应用服服务器访访问、客客户

10、认证证、防火火墙认证证等领域域。该种种认证方方法安全全程度很很高，但但是涉及及到比较较繁重的的证书管管理任务务。数字签名名：数字字签名作作为验证证发送者者身份和和消息完完整性的的根据。公共密密钥系统统（如RRSA）基于私私有/公公共密钥钥对，作作为验证证发送者者身份和和消息完完整性的的根据，CA使使用私有有密钥技技术其数数字签名名，利用用CA提提供的公公共密钥钥，任何何人均可可验证签签名的真真实性。伪造数数字签名名从计算算机能力力上不可可行的。并且，如果消消息随数数字签名名一同发发送，对对消息的的任何修修改在验验证数字字签名时时都将会会被发现现。 4入侵侵检测入侵检测测技术是是一种主主动保护护

11、自己免免受黑客客攻击的的一种新新型网络络安全技技术。入入侵检测测技术不不但可以以帮助系系统对付付网络攻攻击，而而且扩展展了系统统管理员员的安全全管理能能力（包包括安全全审计、监视、进攻识别别和响应应），提提高了信信息安全全结构的的完整性性。它从从计算机机网络系系统中的的苦干关关键点收收集信息息，并分分析这些些信息，看看网网络中是是否有违违反安全全策略的的行为和和遭到袭袭击的迹迹象。入侵检测测被认为为是防火火墙之后后的第二二道安全全闸门，它在不不影响网网络性能能的情况况下能对对网络监监测，从从而提供供对内部部攻击、外部攻攻击和误误操作的的实时保保护。此此外，它它还可以以弥补防防火墙的的不足，为网

12、络络安全提提供实时时的入侵侵检测及及采取相相应的防防护手段段，是网网络安全全中极其其重要的的部分。总的来讲讲，入侵侵检测系系统的功功能有：监视用户户和系统统的运行行状况，查找非非法用户户和合法法用户的的越权操操作；检测系统统配置的的正确性性和安全全漏洞，并提示示管理员员修补漏漏洞；对用户的的非正常常活动进进行统计计分析，发现入入侵行为为的规律律；检查系统统程序和和数据的的一致性性与正确确性；能够实时时对检测测到的入入侵行为为做出反反应；操作系统统的审计计管理。 5.查杀杀病毒国家计算算机病毒毒应急中中心进行行的中国国首次进进行的计计算机病病毒疫情情网上调调查显示示，中国国有高达达百分之之七十三

13、三的计算算机曾遭遭受过病病毒感染染，而且且多次感感染现象象非常严严重，这这表明中中国防治治计算机机病毒的的工作依依然严峻峻。虽然然很多用用户在遭遭受病毒毒攻击后后采取了了补救措措施，但但调查显显示，计计算机一一旦被感感染，就就有高达达百分之之四十三三的用户户会出现现部分甚甚至全部部数据丢丢失。考考虑到虽虽然数据据未丢失失但已经经被黑客客偷窥的的情况，损失程程度是惊惊人的。计算机病病毒对网网络工作作站的攻攻击途径径主要包包含以下下几个方方面：利用软盘盘读写进进行传播播 这是最古古老、最最有效的的病毒攻攻击手段段。通过过受感染染的软盘盘启动系系统，引引导型病病毒进入入系统引引导区或或系统分分区表；

14、通过拷拷贝和运运行受感感染程序序，文件件型病毒毒进行传传染。通过CDDROMM读写进进行传播播 CDROOM驱动动器已成成为计算算机硬件件系统的的基本配配置之一一。低劣劣的CDDROMM盘片是是计算机机病毒最最好的寄寄生地和和传染源源。 3）通过过网络共共享进行行攻击企业局域域网络的的应用日日益普及及，高效效的企业业信息管管理系统统和办公公自动化化系统离离不开局局域网络络的支持持。网络络的基本本功能之之一是资资源共享享，而受受病毒感感染的文文件共享享所造成成的恶果果，是传传统病毒毒传染途途径所力力不能及及的。 4)通过过电子邮邮件系统统进行攻攻击电子邮件件系统已已成为人人们交换换信息最最方便、

15、快捷的的工具之之一，通通过受感感染的电电子邮件件附加文文件传播播病毒，也已成成为计算算机病毒毒打破地地域、时时域限制制进行传传播的主主要手段段。宏病病毒长期期命列病病毒流行行榜首位位的事实实正是最最有力的的说明。5）通过过FTPP下载进进行攻击击 FTP服服务器提提供通过过INTTERNNET获获取文件件资料的的功能。计算机机病毒程程序同样样可以下下载到本本地硬盘盘中，同同时，为为节省网网络带宽宽，FTTP服务务器上的的文件通通常采用用压缩打打包的形形式，经经过压缩缩后的病病毒文件件也就更更具隐蔽蔽性。 6）通过过WWWW浏览进进行攻击击 计算机病病毒开始始采用JJAVAA、ACCTIVVEX

16、技技术，当当用户访访问某些些未知站站点时，就有遭遭受恶意意JAVVA、ACTIIVEXX程序攻攻击的威威胁。而而这种威威胁有时时很难防防范。7）通过过系统漏漏洞进行行攻击 最新病毒毒迹象表表明，病病毒开始始利用许许多黑客客技术，利用一一些操作作系统的的漏洞，直接通通过TCCP/IIP在网网上自行行传播，速度极极快。 6 数数据保护护目前最先先进的数数据备份份技术是是基于网网络的备备份系统统。理想想的备份份系统应应该是全全方位、多层次次的。网网络存储储备份管管理系统统对整个个网络的的数据进进行管理理。利用用集中式式管理工工具的帮帮助，系系统管理理员可对对全网的的备份策策略进行行统一管管理，备备份

17、服务务器可以以监控所所有机器器的备份份作业，也可以以修改备备份策略略，并可可即时浏浏览所有有目录。所有数数据可以以备份到到同备份份服务器器或应用用服务器器相连的的任意一一台磁带带库内。双机热备备是计算算机应用用系统稳稳定、可可靠、有有效、持持续运行行的重要要保证。它通过过系统冗冗余的方方法解决决计算机机应用系系统的可可靠性问问题，并并具有安安装维护护简单、稳定可可靠、监监测直观观等优点点。位于网络络运转中中心部位位的数据据中心是是各种关关键性商商务应用用的中枢枢点，在在确保高高可用性性方面，服务器器集群堪堪称是最最具价值值的系统统级技术术之一。一个服服务器群群是通过过将多台台服务器器互联在在一

18、起而而形成的的。它以以松散的的成对配配置共享享资源。集群具具有一定定的自我我修正能能力，它它可以保保证系统统的不间间断运行行，把非非计划和和计划的的停机时时间降到到最低。异地容灾灾一般以以存储区区域网络络（SAAN）为为基础，在存储储区域网网络与网网络之间间通过LLAN或或WANN相连，速度可可从T11到OCC3自由由选择。通过光光纤通道道SANN或借助助于广域域网扩展展的SAAN到远远程的复复制，支支持同步步和异步步的容灾灾镜像，支持全全面的磁磁盘同步步，当出出现很大大的灾难难时，确确保这些些数据在在另外一个个地点的的在线拷拷贝是可可用的，以支持持尽快恢恢复在另另一台机机器上的的关键处处理。

19、五、内部部网络数数据存放放的现状状关键服务务器数据据的统一一存放个人工作作站的关关键数据据的分散散存放六、内部部网络的的深层隐隐患易被获取取口令易被放置置特洛伊伊木马程程序易被电子子邮件攻攻击 易被网络络监听易被寻找找系统漏漏洞易被利用用帐号进进行攻击击易被偷取取特权七、隐患患实例1隐患患实例一一：键盘盘击打记记录：其本质是是一段用用以处理理系统消消息的程程序，通通过系统统调用，将其挂挂入系统统。此种种类程序序（俗称称“钩子”）有很很多，每每种“钩子”可以截截获并处处理相应应的消息息，每当当特定的的消息发发出，在在到达目目的窗口口之前，钩子程程序先行行截获该该消息、得到对对此消息息的控制制权。

20、此此时在钩钩子函数数中就可可以对截截获的消消息进行行加工处处理，甚甚至可以以强制结结束消息息的传递递。 用于键盘盘敲击的的钩子程程序可以以在wiindoows系统统或unnix系系统记录录下超级级用户的的键盘输输入。2隐患患实例二二：口令令失窃一是通过过网络监监听非法法得到用用户口令令，这类方方法有一一定的局局限性，但危害害性极大大，监听者者往往能能够获得得其所在在网段的的所有用用户账号号和口令令，对局域域网安全全威胁巨巨大；二是在在知道用用户的账账号后（如电子子邮件前面的的部分）利用一一些专门门软件强强行破解解用户口口令，这种方方法不受受网段限限制，但黑客客要有足足够的耐耐心和时时间；三是在

21、在获得一一个服务务器上的的用户口口令文件件（此文件件成为SShaddow文文件）后，用暴力力破解程程序破解解用户口口令。3隐患患实例三三：特洛洛伊木马马特洛伊木木马程序序常被伪伪装成工工具程序序或者游游戏等诱诱使用户户打开带带有特洛洛伊木马马程序的的附件，一旦用用户打开开了这些些附件或或者执行行了这些些程序之之后，它它们就会会象古特特洛伊人人在敌人人城外留留下的藏藏满士兵的的木马一一样留在在自己的的电脑中中，并在在自己的的计算机机系统中中隐藏一一个可以以在wiindoows启启动时悄悄悄执行行的程序序。当您您连接到到因特网网上时，这个程程序就会会通知黑黑客，来来报告您您的IPP地址以以及预先先

22、设定的的端口。4隐患患实例四四域名服务务系统BBINDD的弱点点：nxxt（在处理理NXTT记录时时存在漏漏洞，允允许远程程攻击者者以运行行DNSS服务的的身份（缺省为为rooot）进入运运行DNNS服务务的系统统。） , iin.nnameed 守守护进程程的漏洞洞有泄漏漏rooot权限限的危险险。5隐患患实例五五微软的IIIS RDSS 安全全漏洞。6隐患患实例六六sadmmindd存在远远程溢出出漏洞 ，在存存在saadmiind漏漏洞的一一些版本本中如果果传送一一个超长长的缓存存数据,会改写写堆栈指指针，从从而造成成可执行行任意代代码。因因为saadmiind以以rooot身份份来运行

23、行，因而而这个漏漏洞会危危及系统统的最高高安全。同时存存在于某某些系统统内部的的 mouuntdd溢出漏漏洞,攻击者者通过修修改堆数数据有可可能会获获得rooot特特权。7隐患患实例七七NFS 以及WiindoowsNNT 1135-1399服务端端口（Winndowws20000的的4455服务端端口），Uniix NNFS 的服务务端口20449,还还有苹果果机用户户支持基基于IPP文件共共享的AApplletaalk oveer iip协议议服务端端口。这这些服务务的目的的是让用用户共享享网络资资源，但但不正确确的配置置，将有有可能让让入侵者者以rooot身身份执行行任意代代码。8隐患患实例八八许多网络络设备和和网络操操作系统统的SNNMP（简单网网络管理理协议）在实现现中，往往往存在在能进行行SNMMP写操操作的缺缺省coommuunitty sstriing。远程攻攻击者利利用这些些可写操操作的ccommmuniity strringg能够无无需任何何认证直直接影响响设备或或操作系系统的运运行状态态。这将将导致攻攻击者可可以控制制路由表表和篡改改ARPP缓存等等。9隐患患实例九九IMAPP 和 POPP 邮件件服务器器缓冲溢溢出漏洞洞和错误误的配置