信息与网络安全架构与方案

信息安全博士后科研工作站马东平博士2001-10-25信息与网络

安全架构与方案Version3Copyrightã2001X-ExploitTeamX-ExploitTeam日程安排安全理念安全体系架构安全模型安全解决方案全线安全产品系列安全顾问服务结束语安全理念Copyrightã2001X-ExploitTeamX-ExploitTeam信息与网络系统安全理念安全不是纯粹的技术问题，是一项复杂的系统工程—信息安全工程论安全是策略，技术与管理的综合组织人才政策法规安全技术安全策略管理信息安全特性物理安全应用安全网络安全系统安全层次性动态性过程性生命周期性全面性相对性

信道加密

信源加密身份认证。。。

应网络级系统级用级管理级信息网络系统密级管理。。。访问控制地址过滤数据加密，线路加密安全操作系统应用安全集成外联业务安全措施安全管理规范网络病毒监控与清除防火墙技术集中访问控制网络系统安全策略入侵检测弱点漏洞检测系统配置检测系统审计教训培育中软VPN安全网关中软B1安全操作系统中软高性能防火墙中软网络安全巡警中软信息监控与取证系统中软入侵检测系统信息与网络系统安全管理模型企业信息与网络系统统一安全策略Policy安全技术标准Management安全管理规范Administrator密码技术认证授权访问控防火墙技术动态安全管理技术网络防病毒技术政策法规安全机构与组织安全管理人员安全管理流程信息支援体系企业信息与网络系统主要安全实施领域信息与网络系统安全体系架构企业信息与网络系统具体安全解决方案基于具体安全解决方案的安全产品功能规范典型企业的信息与网络系统拓扑INSIDE拨号接入服务器企业内部网络WANINTERNET企业广域网络WebServerMailServerDNSServerAAAServer企业合作伙伴网络Internet出口PSTNINTERNET企业部门数据中心数据库服务器数据库服务器图1-2信息基础设施元素企业的信息与网络系统的抽象企业的信息与网络系统的安全框架IATF安全全框框架架IATF保卫卫网网络络和和基基础础设设施施主干干网网络络的的可可用用性性无线线网网络络安安全全框框架架系统统互互连连和和虚虚拟拟私私有有网网（（VPN））保卫卫边边界界网络络登登录录保保护护远程程访访问问多级级安安全全保卫卫计计算算环环境境终端端用用户户环环境境系统统应应用用程程序序的的安安全全支撑撑基基础础设设施施密钥钥管管理理基基础础设设施施/公公共共密密钥钥基基础础设设施施（（KMI/PKI）检测和响响应保护计算算环境计算环境境包括终终端用户户工作站站——台台式机和和笔记本本，工作作站中包包括了周周边设备备；安全框架架的一个个基本原原则是防防止穿透透网络并并对计算算环境的的信息的的保密性性、完整整性和可可用性造造成破坏坏的计算算机攻击击；对于那些些最终得得逞了的的攻击来来说，早早期的检检测和有有效的响响应是很很关键的的；不断的或或周期性性的入侵侵检测、、网络扫扫描以及及主机扫扫描可以以验证那那些已经经配置的的保护系系统的有有效性；；系统应用用的安全全；基于主机机的检测测与响应应。保护网络络边界一个区域域边界之之内通常常包含多多个局域域网以及及各种计计算资源源组件，，比如用用户平台台、网络络、应用用程序、、通信服服务器、、交换机机等。边边界环境境是比较较复杂的的，比如如它可以以包含很很多物理理上分离离的系统统。绝大多数数边界环环境都拥拥有通向向其它网网络的外外部连接接。它与与所连接接的网络络可以在在密级等等方面有有所不同同。边界保护护主要关关注对流流入、流流出边界界的数据据流进行行有效的的控制和和监督。。有效地地控制措措施包括括防火墙墙、门卫卫系统、、VPN、、标识和鉴鉴别/访访问控制制等。有有效的监监督措施施包括基基于网络络的如今今检测系系统（IDS））、脆弱性扫扫描器、、局域网网上的病病毒检测测器等。。这些机机制可以以单独使使用，也也可以结结合使用用，从而而对边界界内的各各类系统统提供保保护。虽然边界界的主要要作用是是防止外外来攻击击，但它它也可以以来对付付某些恶恶意的内内部人员员，这些些内部人人员有可可能利用用边界环环境来发发起攻击击，和通通过开放放后门/隐蔽通通道来为为外部攻攻击提供供方便。。保护网络络和基础础设施网络以及及为其提提供支撑撑的相关关基础设设施（比比如管理理系统））是必须须受到保保护的。。在网络络上，有有三种不不同的通通信流：：用户通通信流、、控制通通信流以以及管理理通信流流。保护的策策略是，，使用经经过批准准的广域域网（WAN））来传输企企业的机机密数据据，加密密方式采采用国家家相关部部门批准准的算法法；为保护非非加密局局域网上上交换的的敏感数数据，要要求使用用符合一一定条件件的商业业解决方方案。支持基础础设施给给以下情情况提供供服务：：网络；；最终用用户工作作站；网网络、应应用和文文件服务务器；单单独使用用的基础础设施机机器（即即：高级级的域名名服务器器（DNS））服务，高高级目录录服务器器）。框架包括括两个方方面的内内容：密密钥管理理基础设设施(KMI)，其中包括括公钥基基础设施施(PKI)和检测响响应基础础设施。。密钥管理理基础设设施：KMI提供一种种通用的的联合的的处理方方式，以以便于安安全创建建、分发发和管理理公共密密钥证明明和传统统的对称称密钥，，使它们们能够安安全服务务于网络络、领地地、和计计算机环环境。这这些服务务能够对对发送者者和接收收者的身身份进行行可靠验验证，并并可以保保护信息息不会发发生未授授权泄露露和更改改。KMI支持受控控制的相相互可操操作的用用户，保保持为每每个用户户团体建建立的安安全策略略。检测和响响应：检检测和响响应基础础设施使使能够迅迅速检测测和响应应入侵。。它也提提供一个个“熔化化”能力力，以便便于可以以观察事事件与其其它相关关连。还还允许分分析员识识别潜在在的行为为模式或或新发展展。在多多数实现现检测和和响应能能力的机机构中，，本地中中心监视视本地运运行，并并输送到到大区域域或国家家中心。。需要这这个基础础设施有有技术解解决方案案，如：：入侵检检测和监监视软件件；一些些训练有有素的专专业人员员，通常常指的是是计算机机应急响响应小组组(CERT)。支撑基础础设施可定制的的安全要要素和领领域网络物理理与拓扑扑安全（（CSS-SEC-ARC）访问控制制与安全全边界（（CSS-SEC-CTL）弱点漏洞洞分析和和风险审审计（CSS-SEC-ASS）入侵检测测与防御御（CSS-SEC-IDS）信息监控控与取证证（CSS-SEC-INF）网络病毒毒防范（（CSS-SEC-VPR）身份认证证与授权权（CSS-SEC-AAA）通信链路路安全（（CSS-SEC-LNK）系统安全全（CSS-SEC-SYS）数据与数数据库安安全（CSS-SEC-DBS）应用系统统安全（（CSS-SEC-APS）个人桌面面安全（（CSS-SEC-PCS）涉密网的的物理隔隔离（CSS-SEC-PHY）灾难恢复复与备份份（CSS-SEC-RAB）集中安全全管理（（CSS-SEC-MAN）网络物理理与结构构安全（（CSS-SEC-ARC）网络物理理安全物理安全全是保护护计算机机网络设设备、设设施、介介质和信信息免遭遭自然灾灾害、环环境事故故以及人人为物理理操作失失误或错错误及各各种以物物理手段段犯罪行行为导致致的破坏坏、丢失失。考虑三个个方面：：环境安安全、设设备安全全和媒体体安全。。对于机房房环境安安全，应应符合相相关的国国家标准准：GB50173-93《电子计算算机机房房设计规规范》；；GB2887-89《《计算站场场地技术术条件》》；GB9361-88《《计算站场场地安全全要求》》等。对于设备备的物理理安全，，主要包包括设备备的防盗盗、防毁毁、防电电磁信息息辐射泄泄漏、防防止线路路截获、、抗电磁磁干扰及及电源保保护等；；关键网网络设备备和应用用系统主主机设备备的冗余余设计；；员工整整体安全全意识的的提高。。对于媒体体安全，，包括媒媒体数据据的安全全及媒体体本身的的安全，，要防止止系统信信息在空空间的扩扩散。网络安全全域结构构核心层（（办公应应用服务务域，应应用服务务域，企企业位内内部信息息服务域域等）安全层（（系统内内部信息息服务域域，对相相关单位位信息服服务域））可信任层层（内部部上下级级节点网网络，相相关单位位网络））非安全层层（对外外信息服服务域））危险层（（公共Internet）各层安全全性逐层层递减。。访问控制制与安全全边界（（CSS-SEC-CTL）根据内部部网络的的安全域域结构，，需要在在不同安安全域间间设置边边界访问问控制，，包括内内外网连连界、内内网边界界。网络络边界访访问控制制的设计计包括网网络隔离离方案、、边界防防火墙配配置方案案、局域域网虚拟拟子网间间的访问问控制、、远程访访问控制制。网络隔离离根据国家家安全主主管部门门有关规规定，党党政涉密密网要求求与因特特网物理理断开。。对于各各单位的的涉密应应用，如如涉密办办公应用用，应单单独建立立相应的的网络。。边界防火火墙防火墙是是网络安安全最基基本的安安全措施施，目的的是要在在内部、、外部两两个网络络之间建建立一个个安全隔隔离带，，通过允允许、拒拒绝或重重新定向向经过防防火墙的的数据流流，实现现对进、、出内部部网络的的服务和和访问的的审计和和控制。。网络隔离离局域网的的多个业业务系统统：办公公应用系系统，应应用系统统，数据据中心………。可通过有有效的虚虚拟子网网划分来来对无关关用户组组间实施施安全隔隔离，提提供子网网间的访访问控制制:VLAN划分。远程访问问控制通过在广广域连接接的出入入口配置置防火墙墙，使远远程用户户对内部部网服务务器的访访问受到到防火墙墙的控制制，远程程内部网网用户可可按权限限访问指指定的内内部网服服务器。。另外，通过过设置一台台安全认证证服务器，，可进行拨拨号用户身身份、远程程拨号路由由器身份的的认证，从从而限制非非法单机和和局域网用用户对内部部网的访问问。认证服务器器可设在防防火墙内，，连接到内内部网的交交换机上。。弱点漏洞分分析和风险险审计（CSS-SEC-ASS）弱点漏洞检测错误配置检测误操作检测风险识别风险度量风险控制事前管理安全隐患管理—网络安全巡警系统入侵检测与与防御（CSS-SEC-IDS）入侵检测攻击/违规操作识别审计/日志/报告行为管理事件管理操作管理事中监控行为监控—分布式入侵检测预警与响应系统信息监控与与取证（CSS-SEC-INF）信息流分析信息流过滤入侵取证信息流控制信息流管理证据留存事后取证信息分析—网络信息监控与取证系统网络病毒防防范（CSS-SEC-VPR）计算机病毒毒一段能够够自我复制制，自行传传播的程序序。病毒运运行后能够够损坏文件件、使系统统瘫痪，从从而造成各各种难以预预料的后果果。在网络络环境下，，计算机病病毒种类越越来越多、、危害越来来越大、传传染速度越越来越快。。计算机网网络病毒具具有不可估估量的威胁胁性和破坏坏力，因而而计算机病病毒的防范范也是网络络安全建设设的重要环环节。考虑虑内部网络络系统运行行环境复杂杂，网上用用户数多，，同Internet有连接等，，需在网络络上建立多多层次的病病毒防护体体系，对桌桌面、服务务器和网关关等潜在病病毒进入点点实行全面面保护。（1）建建立基基于桌面的的反病毒系系统在内部网中中的每台桌桌面机上安安装单机版版的反病毒毒软件，实实时监测和和捕获桌面面计算机系系统的病毒毒，防止来来自软盘、、光盘以及及活动驱动动器等的病病毒来源。。（2）建建立基基于服务器器的反病毒毒系统在网络系统统的文件及及应用服务务器（一些些关键的WindowsNT服务器）上上安装基于于服务器的的反病毒软软件，实时时监测和捕捕获进出服服务器的数数据文件病病毒，使病病毒无法在在网络中传传播。（3）建建立基基于群件环环境的反病病毒系统在网络系统统的LoutsNotes和MsExchange服务器上安安装基于群群件环境的的反病毒软软件，堵住住夹在文档档或电子邮邮件中的病病毒。（4）建建立基基于Internet网关的反病病毒系统在代理服务务器（Proxy）网关上安装装基于网关关的反病毒毒软件，堵堵住来自Internet通过Http或Ftp等方式进入入内部网络络的病毒，，而且可过过滤恶意ActiveX,Java和JavaApplet程序。（5）建建立病病毒管理控控制中心在中心控制制台（安全全管理控制制台）实施施策略配置置和管理、、统一事件件和告警处处理、保证证整个网络络范围内病病毒防护体体系的一致致性和完整整性。通过过自动更新新、分发和和告警机制制，使桌面面PC和服务器等等设备自动动获得最新新的病毒特特征库，完完成终端用用户软件及及病毒特征征信息的自自动更新和和升级，以以实现网络络病毒防范范系统的集集中管理。。信息与网络络系统安全全解决方案案OUTSIDEINSIDEDMZ拨号接入服服务器企业内部网网络WANDMZ中立区INTERNET企业广域网网络WebServerMailServerDNSServerAAAServer企业合作伙伙伴网络Internet出口PSTN企业部门VPN网关构建企企业VPN数据中心数据库服务器数据库服务器统一安全管管理平台：：网络安全巡巡警系统入侵检测系系统控制台台信息监控与与取证系统统控制台Windows审计系统控控制台INTERNET系统安全产产品中软安全操操作系统COSIX64中软LinuxB1级安全操作作系统中软操作系系统安全加加固系统系统安全系统安全系统安全静态网络安安全产品高带宽支持IDS扩展支持IPSec扩展地址转换包过滤代理应用网关网络安全边界访问控制-中软高性能防火墙高效算法支持IPSec等安全协议完善的密钥管理数据源认证数据机密性隧道技术IPsec网络通信安全通讯安全-中软VPN安全网关弱点漏洞检测错误配置检测误操作检测风险识别风险度量风险控制事前管理安全隐患管理—网络安全巡警系统入侵检测攻击/违规操作识别审计/日志/报告行为管理事件管理操作管理事中监控行为监控—分布式入侵检测预警与响应系统信息流分析信息流过滤入侵取证信息流控制信息流管理证据留存事后取证信息分析—网络信息监控与取证系统动态网络安安全产品集中安全管管理平台个人桌面系系统审计系系统桌面安全与与安全管理理产品系统安全系统安全系统安全安全边界通信安全动态安全桌面安全安全管理信息与网络络系统全线线安全产品品基于X-Exploit库的安全顾顾问服务企业信息与与网络系统统风险分析析与评估企业信息与与网络系统统安全需求求分析企业信息与与网络系统统安全策略略制定基于X-Exploit库的安全顾顾问服务企业信息与与网络系统统安全体系系设计企业信息与与网络系统统工程实施施与监理企业信息与与网络系统统安全产品品测试与选选型基于X-Exploit库的安全顾顾问服务企业信息与与网络系统统安全教育育与培训企业信息与与网络系统统安全应急急响应结束语安全不是技技术，而是是策略、技技术与管理理的综合安全解决方方案不是简简单产品的的堆砌，而而是从风险险分析、需需求分析、、安全策略略到安全意意识教育与与技术培训训的系统工工程本安全解决决方案是集集安全技术术、安全产产品与安全全服务于一一体的整体体安全解决决方案，是是一个国有有大型软件件企业对社社会的承偌偌。关于X-ExploitTeamCopyrightã2001X-ExploitTeamX-ExploitTeamX-ExploitTeam一支由信息息安全博士士、博士后后组成的博博士团队一支由专业业安全技术术人员组成成的安全团团队一支不从政政，不经商商，专注安安全学术的的学术团队队一支既不高高傲自大，，也不妄自自菲薄，只只求扎扎实实实作技术术的求实团团队一支从事安安全体系结结构、安全全模型、安安全策略等等基础理论论研究的奉奉献团队一支专注密密码工程、、弱点漏洞洞、攻击模模式、攻击击方法等工工程技术研研究的工程程团队一支……欢迎加入X-ExploitTeam9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Wednesday,December28,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。20:28:1620:28:1620:2812/28/20228:28:16PM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2220:28:1620:28Dec-2228-Dec-2212、故人人江海海别，，几度度隔山山川。。。20:28:1720:28:1720:28Wednesday,December28,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2220:28:1720:28:17December28,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。28十十二二月月20228:28:17下下午午20:28:1712月月-2215、比不了得就就不比，得不不到的就不要要。。。十二月228:28下下午12月-2220:28December28,202216、行动出成成果，工作作出财富。。。2022/12/2820:28:1720:28:1728December202217、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。8:28:17下下午8:28下下午20:28:1712月-229、没有失败，，只有暂时停停止成功！。。12月-2212月-22Wednesday,December28,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。20:28:1720:28:1720:2812/28/20228:28:17PM11、成功就就是日复复一日那那一点点点小小努努力的积积累。。。12月-2220:28:1720:28Dec-2228-Dec-2212、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。20:28:1720:28:1720:28Wednesday,December28,202213、不知香积寺寺，数里入云云峰。。12月-2212月-2220:28:1720:28:17December28,202214、意志坚强的的人能把世界界放在手中像像泥块一样任任意揉捏。28十二月月20228:28:17下午20:28:1712月-2215、楚塞三三湘接，，荆门