BIT8网络信息系统安全体系设计

1、孙建伟北京理工大学软件学院网络信息系统安全技术体系与安全防护系统解决方案内容概要要局域网系系统概述述信息安全全体系结结构网络信息息系统安安全需求求构建网络络系统安安全的相相关技术术及产品品典型企业业网络安安全解决决方案小结局域网系系统概述述组网技术术交换式以以太网通过路由由器外接接Internet局域网之之间可以以通过VPN技技术互联联功能内部网络络应用共共享共享Internet接入对外提供供的服务务,Web, Email等局域网系系统概述述典型的例例子校园网企业网政务网行业专网网电信、金金融、铁铁路、公公安等信息安全全体系结结构20世纪纪80年年代中期期,基于于计算机机保密模模型(BellL

2、apadula模型)的基础础上的“可信计算算机系统统安全评评价准则则”(TCSEC)20世纪纪90年年代初，英、法法、德、荷四国国针对TCSEC准则则只考虑虑保密性性的局限限，联合合提出了了包括保保密性、完整性性、可用用性概念念的“信息技术术安全评评价准则则”(ITSEC)20世纪纪90年年代末六六国七方方(美国国国家安安全局和和国家技技术标准准研究所所、加、英、法法、德、荷)共共同提出出了“信息技术术安全评评价通用用准则”(CCfor ITSEC)CC标准准综合了了国际上上已有的的评测准准则和技技术标准准的精华华，给出出了框架架和原则则要求。信息安全全体系结结构CC标准准适用于于信息系系统的

3、安安全性设设计安全操作作系统安全数据据库安全Web应用用网络设备备自身安安全一般C/S应用用系统网络信息息系统安安全CC标准准适用于于信息系系统安全全性设计计，并不不针对网网络信息息系统的的安全需需求：统一的身身份管理理与运维维安全管管控网络攻击击的检测测与防护护网络安全全脆弱性性分析、风险评评估信息的安安全传输输网络安全全域划分分与网络络隔离信息安全全体系结结构网络信息息系统的的安全体体系架构构设计架构复杂杂，安全全架构与与网络信信息系统统架构交交叉融合合架构可裁裁剪、可可扩展，根据安安全需求求和信息息系统自自身架构构部署运行时物物理安全全运维安全全管控网络攻击击的检测测与防护护网络安全全脆

4、弱性性分析、风险评评估信息的安安全传输输网络安全全域划分分与网络络隔离网络信息息系统的的安全需需求物理安全全需求重要信息息可能会会通过电电磁辐射射或线路路干扰而而被泄漏漏，因此此需要对对存放机机密信息息的机房房进行必必要的设设计机房设计计构建屏蔽蔽室、采采用辐射射干扰机机等，以以防止电电磁辐射射泄漏机机密信息息。此此外，还可对对重要的的设备和和系统进进行备份份。网络信息息系统的的安全需需求访问控制制的运维维管控统一的身身份管理理统一的认认证管理理集中的授授权管理理集中的访访问控制制集中的运运维审计计网络信息息系统的的安全需需求加密传输输是网络络安全的的重要手手段之一一。信息息的泄漏漏很多都都是

5、在链链路上被被搭线窃窃取的，数据也也可能因因为在链链路上被被截获、被篡改改后传输输给对方方，造成成数据的的真实性性、完整整性得不不到保证证。完整性机密性信道的认认证性与与不可否否认性网络信息息系统的的安全需需求网络攻击击防护体体系网络内部部或外部部发起的的网络攻攻击检测测网络攻击击抑制、阻断攻击事件件的统一一管理基于P2DR防防护模型型的防御御体系IDS、IPS防火墙安全事件件、安全全策略管管理网络信息息系统的的安全需需求安全风险险评估系系统需求求网络系统统和操作作系统存存在安全全漏洞(如安全全配置不不严密等等)等是是使黑客客等入侵侵者的攻攻击屡屡屡得手的的重要因因素。入入侵者通通常都是是通过

6、一一些程序序来探测测网络中中系统存存在的一一些安全全漏洞，然后通通过发现现的安全全漏洞，采取相相应的技技术进行行攻击。信息系统统风险评评估网络安全全扫描系系统对目标网网络中的的工作站站、服务务器、数数据库等等各种系系统以及及路由器器、交换换机、防防火墙等等网络设设备可能能存在的的安全漏漏洞进行行逐项检检查网络信息息系统的的安全需需求系统病毒毒防护病毒的危危害性极极大并且且传播极极为迅速速，必须须配备从从单机到到服务器器的整套套防病毒毒软件，实现全全网的病病毒安全全防护。必须配备备从服务务器到单单机的整整套防病病毒软件件，防止止病毒入入侵主机机并扩散散到全网网，实现现全网的的病毒安安全防护护，以

7、确确保整个个单位的的业务数数据不受受到病毒毒的破坏坏，日常常工作不不受病毒毒的侵扰扰。系统补丁丁的统一一管理网络安全全技术与与产品解决网络络信息安安全问题题的主要要途径内控：建建立集中中的身份份管理，实现统统一访问问控制和和审计，实现CC标准准在网络络空间的的扩展实实现静态防护护：适用用VPN、网络络隔离、防火墙墙等技术术实现网网络安全全架构事前的机机制：通通过漏洞洞扫描，发现系系统脆弱弱性并采采取系统统加固措措施动态防护护架构：建立网网络攻击击检测防防护体系系信息安全全保护: 用SSL/SSH实现网网路传输输加密， 电子子信封等等技术实实现数据据机密性性、完整整性、认认证性保保护网络安全全技

8、术与与产品相关的网网络安全全技术产产品PKI/CA，公共数数字证书书服务体体系VPN，虚拟专专用网IDM，联合身身份管理理、认证证系统ITAudit，IT系统统审计产产品Firewall，防防火墙IDS，SOC，入侵侵检测系系统，安安全事件件管理平平台网络、系系统扫描描器文件加密密系统远程桌面面系统网络安全全技术与与产品PKI/CA，公共数数字证书书服务体体系以密码理理论为基基础统一的证证书颁发发管理机机构CA网络系统统内通信信主体持持有自己己的合法法证书证书用来来在作身身份认证证、数据据加密、数据签签名，实实现数据据机密性性、完整整性、不不可否认认性的保保护通过在网网络系统统部署PKI，可实

9、现现统一的的身份管管理和通通信安全全保护网络安全全技术与与产品VPN，虚拟专专用网基础：身身份认证证、密码码理论功能：通通过认证证、加密密、数据据封装技技术实现现公网上上传输私私网机密密数据应用：跨跨区域建建设大型型企业网网、专网网，实现现远程安安全接入入部署模式式：MPLSVPN，IPSec，SSL，SSH网络安全全技术与与产品IDM，联合身身份管理理、认证证系统联合身份份管理的的必要性性基础：PKI证证书服务务,集集中身份份认证服服务，集集中接入入管理，集中审审计（，account,authorization,authentication,audit）特点：实实现体系系庞大，实现复复杂，带

10、带来网络络运营维维护模式式的根本本变化网络安全全技术与与产品ITAudit，IT系统统审计产产品必要性：审计是是一种事事后机制制，作为为安全事事故分析析、责任任追究或或免责的的手段技术基础础：网络络数据还还原、事事件收集集、分析析（人工工智能）产品分类类：日志收集集与管理理系统网络审计计网络安全全技术与与产品Firewall，防防火墙实质：部部署于网网络边界界，执行行安全规规则控制制进出网网络的数数据。技术基础础：包过滤技技术应用网关关技术状态检测测其他功能能、网关、负载均均衡网络安全全技术与与产品IDS，SOC，入侵侵检测系系统，安安全事件件管理平平台功能：检检测、发发现、评评估、管管理网络

11、络攻击事事件，与与其他网网络安全全设备，如防火火墙、IPS、扫描器器，构成成网络安安全防御御体系技术基础础：数据据收集、攻击模模式识别别、事件件关联分分析类类型：、的的数据来来源：IDS、防火墙墙、扫描描器等，执行安安全事件件分析管管理网络安全全技术与与产品网络、系系统扫描描器功能：发发现网络络上存活活主机、开启的的应用服服务、存存在的系系统漏洞洞、系统统脆弱性性（如：口令）、挂马马网站等等技术基础础：协议议分析、渗透性性测试负面效果果：可作作为网络络攻击平平台网络安全全技术与与产品其它安全全设备上网行为为管理网络行为为分析防水墙网闸设备备网络安全全技术与与产品其它安全全设备文件加密密系统：用

12、电子子信封技技术桌面发布布系统：将桌面面应用发发布为远远程服务务避免客户户端保存存数据便于监管管、审计计有利于企企业知识识产权保保护代表性产产品：CITRIX典型企业业网络安安全解决决方案问题：对对于已经经建设运运行的网网络信息息系统，如何构构建系统统安全防防护解决决方案？系统的安安全威胁胁是什么么？确立系统统安全目目标安全技术术体系的的构建安全策略略的设置置系统的维维护典型企业业网络安安全解决决方案分析系统统的安全全威胁边界网络络设备安安全威胁胁(1)入入侵者者通过控控制边界界网络设设备进一一步了解解网络拓拓扑结构构，利用用网络渗渗透搜集集信息，为扩大大网络入入侵范围围奠定基基础。比比如，入

13、入侵者可可以利用用这些网网络设备备的系统统(Cisco的IOS)漏漏洞或者者配置漏漏洞，实实现对其其控制。(2)通通过各各种手段段对网络络设备实实施拒绝绝服务攻攻击，使使网络设设备瘫痪痪，从而而造成网网络通信信的瘫痪痪。典型企业业网络安安全解决决方案分析系统统的安全全威胁信息基础础安全平平台威胁胁信息基础础平台主主要是指指支撑各各种应用用与业务务运行的的各种操操作系统统。操作作系统主主要有Windows系列与与UNIX系统统。相对对边界网网络设备备来说，熟知操操作系统统的人员员的范围围要广得得多，而而且在网网络上，很容易易就能找找到许多多针对各各种操作作系统的的漏洞的的详细描描述，所所以，针针

14、对操作作系统和和数据库库的入侵侵攻击在在网络中中也是最最常见的的。典型企业业网络安安全解决决方案分析系统统的安全全威胁内部网络络的失误误操作行行为由于人员员的技术术水平的的局限性性以及经经验的不不足，可可能会出出现各种种意想不不到的操操作失误误，势必必会对系系统或者者网络的的安全产产生较大大的影响响。源自内部部网络的的恶意攻攻击与破破坏据统计，有70%的网网络攻击击来自于于网络的的内部。对于网网络内部部的安全全防范会会明显地地弱于对对于网络络外部的的安全防防范，而而且由于于内部人人员对于于内部网网络的熟熟悉程度度一般是是很高的的，因此此，由网网络内部部发起的的攻击也也就必然然更容易易成功， 一

15、旦旦攻击成成功，其其强烈的的攻击目目的也就就必然促促成了更更为隐蔽蔽和严重重的网络络破坏。典型企业业网络安安全解决决方案分析系统统的安全全威胁网络病毒毒威胁在网络环环境下，网络病病毒除了了具有可可传播性性、可执执行性、破坏性性、可触触发性等等计算机机病毒的的共性外外，还具具有一些些新的特特点，网网络病毒毒的这些些新的特特点都会会对网络络与应用用造成极极大的威威胁。典型企业业网络安安全解决决方案安安全技术术体系的的构建建立全网网的身份份管理、访问控控制体系系部署统一一身份认认证、授授权、访访问控制制对网络用用户进行行统一的的帐号管管理对网络用用户进行行统一身身份验证证，保证证网络用用户的合合法性

16、集中的授授权管理理集中的访访问控制制典型企业业网络安安全解决决方案安安全技术术体系的的构建建立全网网的综合合审计体体系网络审计计通过堡垒垒主机的的集中接接入审计计集中日志志收集与与审计分分析与系统配配合构成成综合的运运维管控控体系典型企业业网络安安全解决决方案安安全技术术体系的的构建在局域网网入口处处部署防火墙系系统（支支持）防火墙是是指设置置在不同同网络或或网络安安全域之之间的一一系列部部件的组组合。它它是不同同网络或或网络安安全域之之间信息息的唯一一出入口口，能根根据网络络的安全全政策控控制(允允许、拒拒绝、监监测)出出入网络络的信息息流。防火墙可可以确定定哪些内内部服务务允许外外部访问问

17、，哪些些外人被被许可访访问所允允许的内内部服务务，哪些些外部服服务可由由内部人人员访问问。防火墙本本身具有有较强的的抗攻击击能力，它是提提供信息息安全服服务，实实现网络络和信息息安全的的基础设设施。典型企业业网络安安全解决决方案安安全技术术体系的的构建部署连接接局域网网分支和和移动用用户局域网之之间可采采用移动用户户登录采采用认认证纳入入统一身身份认证证系统典型企业业网络安安全解决决方案安全全技术体体系的构构建部署入侵侵检测系系统、安安全事件件管理中中心防火墙是是部署在在网络边边界的安安全设备备，相当当于计算算机网络络的第一一道防线线。入侵检测测系统（）一般般部署在在局域网网内部，可以弥弥补防

18、火火墙的不不足，为为网络安安全提供供实时的的入侵检检测及采采取相应应的防护护手段，如记录录证据用用于跟踪踪、恢复复、断开开网络连连接等。安全事件件管理中中心收集集全网安安全事件件，集中中管理，通过关关联分析析，强化化安全设设备协同同，为安安全策略略评估提提供依据据。典型企业业网络安安全解决决方案安全全技术体体系的构构建部署漏洞洞扫描系系统操作系统统、网络络软件、应用软软件存在在安全漏漏洞，利利用这些些漏洞可可以很容容易地破破坏乃至至完全地地控制系系统;利利用应应用系统统的脆弱弱性的攻攻击是主主要攻击击形式；由于管管理员的的疏忽或或者技术术水平的的限制所所造成的的配置漏漏洞也是是广泛存存在的，这

19、对于于系统的的威胁同同样很严严重。部署漏洞洞扫描系系统，检检测网络络内部的的脆弱性性，可以以为系统统安全防防护建设设提供评评估手段段本质上是是一种必必要的事事前机制制典型企业业网络安安全解决决方案安全全技术体体系的构构建部署漏洞洞扫描系系统的安安全防护护效果对企业网网络系统统网络重重要服务务器和PC进行行漏洞扫扫描，发发现由于于安全管管理配置置不当、疏忽或或操作系系统本身身存在的的漏洞(这些漏漏洞会使使系统中中的资料料容易被被网络上上怀有恶恶意的人人窃取，甚至造造成系统统本身的的崩溃)，生成成详细的的可视化化报告，同时向向管理人人员提出出相应的的解决办办法及安安全建议议。对企业网网络系统统网络

20、边边界组件件、基础础组件和和其他系系统进行行漏洞扫扫描，检检查系统统的潜在在问题，发现操操作系统统存在的的漏洞和和安全隐隐患。漏洞扫描描系统对对网络及及各种系系统进行行定期或或不定期期的扫描描监测，并向安安全管理理员提供供系统最最新的漏漏洞报告告，使管管理员能能够随时时了解网网络系统统当前存存在的漏漏洞并及及时采取取相应的的措施进进行修补补。通过漏洞洞扫描的的结果，对系统统进行加加固和优优化入侵检测、防火墙和漏洞扫描联动体系示意图典型企业业网络安安全解决决方案安全全技术体体系的构构建部署网络络防病毒毒系统一般计算算机的病病毒有超超过20%是通通过网络络下载文文档时感感染的，另外有有26%是经电

21、电子邮件件的附加加文档感感染的，这就需需要一套套方便、易用的的病毒扫扫描器，使企业业的计算算机环境境免受病病毒和其其他恶意意代码的的攻击。建议采用用三层防防病毒部部署体系系来实现现对企业业网络的的病毒防防护。E-mail网网关防病病毒系统统服务器病病毒系统统桌面防病病毒系统统大型企业网络安全防护系统部署示意图典型企业业网络安安全解决决方案安全全技术体体系的构构建该防御体体系由漏漏洞扫描描与入侵侵检测联联动系统统、入侵侵检测与与防火墙墙的联动动系统及及防病毒毒系统组组成。用户主动动防范攻攻击行为为，尤其其是防范范从单位位内部发发起的攻攻击。对对在企业业内网发发起的攻攻击和攻攻破了防防火墙的的黑客攻攻击行为为，可以以依靠入入侵检测测系统阻阻断和发发现攻击击的行为为，同时时通过与与防火墙墙的互动动，自动动修改策策略设置置上的漏漏洞，阻阻挡攻击击的继续续进入。本方案在在交换机机上连入入入侵检检测系统统，并将将其与交交换