(网络窃密监听和防泄密技术)第18章面向核心网络的安全体系设计方案

第18章面向核心内部网络的平安体系设计方案18.1背景和需求18.2核心设计思想18.3网络架构设计18.4网络平安防御体系详细设计18.5基于全网虚拟化的“云〞架构设计18.6敏感数据管控机制设计18.7其他通用平安机制 18.1背 景 和 需 求

18.1.1背景在战略和商业竞争日益剧烈的今天，防止敏感信息泄露已经成为保证国家和企业/机构生存开展的首要任务。各单位在建设核心内部网络时，通常会将“99.9999%防泄密〞作为核心需求放在第一位，业务性能放在第二位，而将建设投入本钱放在第三位考虑。因此，网络管理部门有条件进行大胆设计和大规模部署先进的平安设备及技术，实施强有力的平安策略和控制手段。内部网络建设的目的，是为了存储和处理敏感信息，为重大事务和决策提供支持，需要经常输入输出各种数据。因此，如果期望通过单纯的物理隔离手段实现防泄密需求，即内网与外界完全不发生任何形式的网络通信行为，通过人工刻录光盘/转移存储介质的手段来交换内外数据，在理论上是平安的，但在实践中却表现出效率低下、可控性差等问题，不仅需要浪费大量光盘资源，增加存储介质管理和人工记录等无谓工作量，还增加了新的泄密隐患，极大影响了正常工作的开展，无法满足大型核心内部网络的业务效能需求，降低了核心内网的应用价值。18.1.2根本需求

面向核心内部网络的平安体系的设计需求包括两大方面的内容：

1．网络平安防御

网络平安防御需求设计基于“高效的一体化智能防御能力〞设想，力求使网络信息系统在部署软件平安系统、硬件平安设备、平安智能、平安管理平台和平安专家等措施之后，能够实现“全面系统〞、“高度协同〞、“精确灵敏〞、“高效可控〞这四个不同阶段的目标能力：①网络中的任何一个区域、设备、逻辑层次都必须具有一定的防御能力；

②网络中的所有组件能够无缝连接，实现信息共享、协同防御；

③精确识别新型威胁，快速、有效地进行反响，并能自动调整和修改完善网络防御态势(包括平安策略、规那么、平安级别等)；

④能够针对关键业务的特殊平安需求或应用需求，对平安防御的具体措施、分布、协同方式、策略、重点等，按照分级、分区域、分层次、分对象等多种方式，进行优化配置和控制。网络平安防御方案应能够对企业/机构网络中各区域、各模块、各逻辑层次中的所有对象，包括终端、移动设备、无线设备、网络根底设施、数据中心、内部效劳器集群、电子商务、外网连接、远程拨入用户、企业/机构分支(远程)网络、远程数据中心、通信、系统、应用、数据、人员等等，实施全面高效的防御，保证整个企业/机构网络，尤其是关键业务的平安稳定运行。2．敏感数据全程管控

针对敏感信息的全程管控，必须到达“窃密者进不来—进来了接触不到—接触到了看不懂—看懂了偷不走—偷走了能及时发现和追捕〞的水平，具体包括如下内容：

①建立统一平安管理的计算机和用户认证系统，只有经过认证的计算机才能接入业务网络中，只有经过认证的用户才能使用业务网络中的合法计算机终端。

②建立统一平安管理的计算机终端平安管理体系，对计算机的资源进行有效的集中管理，包括计算机的外设控制、网络控制和应用程序控制，并提供详细的审计信息。③建立统一平安管理的数据存储、使用和交换的平安保密环境，数据的存储和传输必须是经过加密的。此外，数据的使用和传输范围需要得到有效的范围控制，不能随意传输出指定的使用范围。

④遵循分域分级管理的原那么，将计算机划分到不同的保密子网，从而区分业务系统计算机和其他内部单位的横向业务。 18.2核心设计思想

18.2.1数据在“云〞中

许多典型的核心内部网络在设计上都采用了类P2P的架构，普通终端具有太高权限，如图18-1所示，双向箭头表示“敏感信息可以发生流动的路径〞，该架构具有两大特点：

(1)敏感信息分散存储。敏感信息存储位置不定，在操作终端存储器、数据中心、效劳器集群以及其他存储介质中都有可能因为业务流程等原因存储着大量不同密级的敏感信息。

(2)在网络策略未实施有效隔离的情况下，彼此信任的内网单元之间，包括各终端、数据中心及效劳器，可任意交换敏感信息，同时对信息流动过程缺乏有效的监督和控制机制。作为必须受到严密保护的对象，任何敏感信息在内网中发生泄露都意味着防御体系存在重大缺陷。目前对于任何类型的存储处理敏感信息的单个计算机设备，只要其防御能力低于某个水平，黑客都有方法瘫痪其防御措施，完成泄密工作。

因此，对于典型的核心内网，其泄密风险来源于敏感信息分布的不确定性和低可控性，每个具有敏感信息存储和交换能力的单元都存在发生泄密事件的可能，其数量越多，网络可能发生泄密的总体概率越大。如果要保证这类网络的高等级平安性，机构必须投入巨资，制定严格的管理制度并配属警卫力量，对每一处设备都实施全面严密的技术和管理制度保护，实施难度极大。图18-1典型内部网络数据分布模型为克服典型核心内网在设计上的弊端，在本章设计的新型平安体系方案中将应用“云计算〞及“云平安〞模型，在“云〞中实现对所有敏感信息全生命周期的管理、应用、实时监视和强力控制。敏感信息的存储、管理、使用和输入/输出三个功能分别集中于数量确定、严密防御并实施详细监察审计的“云内关键模块〞中，缩小泄密可能发生的区域、时间和方式等的范围，使整个内网所面临的威胁和泄密发生的可能性都成为可以准确预测和控制的因素。图18-2表示的是理想状况下的场景，双向箭头表示“敏感信息可以流动的路径〞，普通效劳器集群和终端间的连接线代表“终端和效劳器集群之间只传输操作和控制信息，任何终端不在本地保存和处理任何敏感信息〞。图18-2面向核心内网的平安体系设计方案的数据分布模型从图18-2中可以看到，由于将敏感信息的存储、处理和对外输入/输出分别集中于“云〞中的数据中心、效劳器集群和平安交换网三个区域，数量众多的终端计算机只作为“远程人机界面〞而不再具有存储、处理和流通敏感信息的能力，这样就将可能发生泄密(指通常形式的数据窃密，不包括电磁辐射截获、远距屏幕侦查照相、人员偷窥等间谍手法)的区域减少到三个重点区域。从平安防御实践的角度，防御方可以适当减少对终端平安组件的投入，降低单纯依靠行政手段来控制人员行为所带来的不确定性，优化了工作气氛。最重要的是，网络管理部门可以将总量有限的平安防御资源，特别是平安专家资源和网络带宽资源，集中于对这三个重点区域的防御、监察和审计中，提高每个区域防御力量的总强度，使网络管理部门对网络发生泄密事故的可能性、破坏程度及恢复时间等都能实现精度较高的预测和控制。18.2.2强化内部管控和平安系统的自我防护

面向核心内网的平安体系设计方案包括三个方面的内容：

(1)敏感信息的平安。平安监视、管理和保护机制必须涵盖敏感信息整个生命周期的各个阶段，包括存储、访问、管理和输入输出过程。

(2)平安防御体系的防御效能。防御效能可概括为“敏捷有效〞，其中“敏〞代表对整个网络平安态势、平安威胁的实时感知，“捷〞代表针对威胁的迅速反响，“有效〞代表反响的正确性和力度。

(3)平安防御体系自身的平安性。平安体系中的局部关键组件建立在由国外长期垄断核心技术的系统平台上，必须保证不会因为这些系统平台的平安缺陷导致的平安体系失效。在实现上，设计方案将可信计算技术、分布式网络监听及分析技术、桌面虚拟化技术、数据丧失防护(DLP)技术等结合起来，使平安控制措施融合到网络根底设施和业务信息系统的构建中，并从以下四个方面分别实现高度的平安感知和控制能力：

(1)多级隔离能力。网络中不同逻辑层次的对象，包括子网、终端、操作系统、应用、数据和人员，根据内部级别、权限、业务流程等决定因素，实施同类型或不同类型对象间的有效隔离。

(2)全网监视能力。网络中各个区域，包括业务子网、存储子网、管理子网和交换子网，其中的所有单元，包括各种存储控制器、效劳器、工作站、网络设备、平安设备等，其各种事务的执行、功能调用、数据访问和人员操作都能够实施全面、实时的监视。(3)深层控制能力。网络中各个逻辑层次的对象，从硬件、网络、操作系统、应用、数据到人员，无论是否掌握核心技术，都能够实施迅速的强力控制手段。

(4)中心管理能力。处于网络中心位置的网络管理部门是唯一得到最高级别授权，同时具备所有以上三种能力，能够执行独立/联合审计、调查任务的核心部门，对所有平安事故负有全部责任。除集中动态管理对象间隔离策略，实时采集全网各种信息，完成短、中、长期平安分析外，还具有对网络中所有设备、应用、系统、敏感信息和平安事件的最高级远程管理控制权限。综上所述，本章核心内部网络平安体系设计方案的总体设计思路是，在充分运用冗余设计和优化技术保证网络、信息系统和数据的生存性、可用性和性能的根底上，实施“云平安〞与“全虚拟化〞策略，通过大规模部署监听探针和防御代理，同时将所有敏感信息的存储、访问、传输和全网监察控制权限分别集中于数量严格受控，受到实时多方监察和审计，承担全部责任的多个“云内关键模块〞处，最大限度地强化中心管控能力、弱化终端功能及普通内部操作人员权限，提高对平安事件的发现和控制能力，缩短反响时间，缩小责任追查范围。 18.3网络架构设计

18.3.1网络总体架构设计

本小节进行核心内网的总体架构设计，它立足于通过改变网络体系架构设计的根本模型，初步解决如何实现敏感信息平安分布的问题。如图18-3所示，将整个核心内网划分为四大局部。

(1)存储子网：包含本地和远程数据中心。其中，内网中所有敏感信息，按照密级，分级、分层、加密存储于数据中心，可通过采用虚拟存储技术提高存储效能。图18-3网络总体架构简图(2)平安交换子网：作为整个核心内网对外交换信息的唯一通道，综合采用防火墙、IPS、网闸、数据丧失防护(敏感内容过滤)、监听、审计、VPN、动态加密等技术，一方面满足业务部门对外大数据量交换需求，另一方面，执行对数据通信的全过程、深层次监控，保证网络平安的同时重点承担防止敏感信息外泄的任务。(3)业务子网：包含园区网络根底设施和所有操作终端，由接入层、分布层和核心层组成，按照单位机构设置、业务流程、地理位置等再进一步划分成小规模子网。内部部署基于主机和基于网络的分布式监听设备、各种平安组件等。(4)统一平安管理与虚拟化根底设施子网：包含效劳器集群(ServerFarm)，即数据庞大的效劳器集群(不同单位效劳器集群大小不同，但部署方式与任务一致)。作为整个核心内网的核心和骨干，此局部对上为业务子网提供虚拟化操作系统平台和不同类型的业务应用，对下访问和管理存储子网。同时，它凭借强大的计算能力，配合网络专家和平安专家，承担网络管理维护、网络平安管理、网络行为审计和监察等任务。

其中，存储子网、平安交换子网和统一平安管理与虚拟化根底设施子网共同构成“云〞，为业务子网提供给用效劳及平安保证。值得重点强调的是，图中三个粗箭头明确表达了内网中敏感信息的访问关系和流通渠道。统一平安管理与虚拟化根底设施子网承担了两方面重要任务：(1)作为内网中的核心层/骨干网，承担存储子网、平安交换网和业务网之间的数据通信枢纽功能，该三个子网中的任意二者都不能直接通信；

(2)作为内网“云平安〞架构的核心，控制各子网中的监听探针、平安代理、数据丧失防护代理和各种平安组件，执行网络平安监视、网络平安管理和敏感信息检查过滤功能，确保由“云〞提供的应用效劳、“云〞内流通的数据都是平安并得到授权的。18.3.2网络平安防御体系架构设计

网络平安防御体系的设计以“可灵活配置的平安组件〞的模式，融合网络访问控制(NAC)、通信保密(VPN)、IDS/IPS、传统/Web应用防火墙等不同防御层次的平安设备，并逐步将监视探针和防御代理模块以嵌入式或旁路部署的形式，大规模、分布式地部署到网络中所有对象中去。通过统一平安管理平台，将平安专家、管理技术人员、平安策略、平安法规、分析/决策智能、平安计算和存储能力等，与网络管理、平安组件管理、监视探针管理、防御代理管理等管理系统融合到一起，大幅度提高网络平安管理的效能，实现对新型威胁和非法活动的精确识别，全面、有力、快速、主动、智能、可控的高效平安防御能力。新型平安体系将能够准确识别、防御并快速适应来自网络内外各个逻辑层次的深度威胁，在优化的管理和协同控制下，保障关键业务的运行。如图18-4所示，网络平安防御体系将以上描述的所有元素根据各自的功能和相互协作关系分层融合到一起，形成一种类似于SOA模式的、组件化的、互操作性和可扩展性极强的体系架构，其中包括三个层次的内容：

(1)分布平安层。它实现对全网范围的全面深度覆盖，包含部署于各逻辑层次、区域、模块的网络对象内部/附近的监测探针和防御代理，网络监听与协议分析设备，NetFlow设备及主机/效劳器杀毒软件等。

(2)平安组件层。它以独立平安设备/系统/解决方案(组件)的形式，提供对网络中不同角度、领域或层次的防御功能，包括VPN、IDS/IPS、VPN、防火墙等。(3)根底设施层。它是整个平安防御体系的核心，包括三大局部：

①统一平安组件管理平台、统一网络监听管理平台。这两个平台实现了单个对象级的功能集成。它们以“全局平安信息总线〞的形式，为覆盖整个网络的、来自不同厂商和类型的所有平安组件、监视探针设备和防御代理系统，包括网络根底设施和效劳器等，提供标准化的平安数据(日志、事件、告警、报告等)格式和访问接口。

②平安专家和技术人员、大型平安计算和存储设施、数据分析和辅助决策智能，以及平安策略/法规/最正确实践等。③统一平安管理平台。它是对以上两个局部进行二次集成产生的综合系统，以高度中心化的管理界面，为平安专家和管理技术人员提供对整个网络的全局性态势描述和全面管理控制能力。它综合运用智能分析、辅助决策、自动改进等功能，在实现精确识别威胁的同时，提供了强大的全网协同防御能力，大幅度降低管理部门的工作压力，提高管理效率，更使有限的平安专家资源能专注于对特殊事件、新型威胁、关键业务系统等重点对象的处理，及时有效反响，满足企业/机构在关键业务运行、未来开展、法规遵从等方面的特殊需求。图18-4网络平安防御体系架构的逻辑模型18.4网络平安防御体系详细设计

从逻辑模型上理解，网络平安防御体系是个基于统一平台和组件的三层结构，它从功能和相互关系的角度对各种网络对象进行了分类描述。从实现的角度来说，新型平安体系是一种类似于“云平安〞的大规模分布式计算结构，可采取“三步走〞的策略螺旋构建。

(1)“全面系统〞阶段。此阶段可采用在网络中所有对象(组件)，包括各区域，各层，各模块中的网络根底设施、终端、效劳器、存储网络、网络边缘等，分别部署独立的平安设备、监视探针和防御代理系统来实现。(2)“高度协同〞阶段。此阶段的实现过程是将不同的平安组件、监视探针和防御代理等，根据不同的网络规模和通信带宽特点，按照“全网统一信息集成和管理〞或“分区域信息集成、全网统一平安管理〞的模式，集成到统一的管理平台中，并在带宽、计算能力、存储能力有可靠保证的区域，如效劳器集群、数据中心或第三方平安机构等位置部署这些统一平安管理平台，实现初步的数据融合、数据分析、辅助决策和全面的集中管理控制。

(3)“精确灵敏〞、“高效可控〞阶段。这两个阶段主要表达在对数据融合、数据分析、辅助决策和集中控制机制的优化上，因此，主要实现手段是进一步改进各个统一平安管理平台的工作机制、用户界面、互操作水平、智能化程度、自动化程度、辅助决策和协调控制能力等，关键在软件上下功夫。18.4.1设计中应用的平安设备与技术介绍

在具体实现时，需要进行选择和部署的平安设备和技术有以下几个方面：

(1)信任和身份识别，防止非法设备/用户采用不平安设备或受感染设备的合法用户接入网络。包括网络平安接入、认证和授权系统等。

(2)深度威胁防御，近实时发现可疑活动、精确识别威胁，多设备协同防御。包括主机平安防御系统(主机IPS、杀毒软件、主机防火墙、主机平安代理等)、嵌入式/独立设备防火墙、IDS/IPS/UTM、分布式网络监听和网络分析系统等。

(3)平安连接(传输平安)，即VPN解决方案。包括VPN集中器、支持VPN的路由器、支持VPN的其他设备等。(4)数据丧失防护，对数据进行定位、分级、监控和保护。包括数据加密、终端控制、边界内容防护、数据监控系统等。

(5)网络(平安)管理和事故追查，对独立平安设备进行分别管理和维护，了解网络平安状态，审计并追查事故。包括漏洞管理系统、审计系统、各平安组件的管理系统等。

(6)统一平安管理平台。包括统一监视探针和防御代理平台、统一平安组件管理平台和统一平安管理平台。1．防御代理

防御代理软件是一个基于行为的终端平安/入侵防御工具，能够帮助建立基于主机的主动防御能力，为终端(包括PC、笔记本计算机、效劳器和嵌入式效劳化终端、新型智能移动设备等)提供针对和未知新型威胁的主机防火墙、入侵检测和入侵防护功能。它既可以独立工作，也能够依靠“云平安〞中心的支持，实施更高精确度的判断和防御。它工作在网络终端，可以关联相关的和可疑的行为，防范新的攻击，甚至在平安补丁或者“签名〞更新网络的防病毒软件或者其他平安软件之前即可实施防范。除了提供实时入侵防范的第一道防线之外，因为它安装在终端之中，所以它可以获得很多无法在网络边缘获得的状态信息。平安代理在独立完成访问控制功能时，采取的步骤如下：

(1)实时发现接受访问请求的资源，包括网络资源负载、系统功能调用、系统核心状态变化、应用执行、文件/设备/注册表访问、配置更新等；

(2)采集访问行为的详细情况数据；

(3)分析判断系统状态，包括IP/MAC地址、DNS后缀、VPN客户端状态和接入平安状态等；

(4)参考并分析平安规那么、本地平安策略，包括基于异常、基于特征模式或基于行为的规那么定义以及访问控制矩阵等；

(5)根据平安规那么中定义的每一项策略执行相应的平安控制措施，包括允许、拒绝、询问、改变内部状态或持续监视等。作为一个“防御代理〞，该软件支持由远程控制的防御功能。除检测、分析和制止网络行为外，防御代理还可以跟踪某一台计算机或者一个工作组所安装的应用、使用网络连接的应用、效劳器和台式机所连接的所有远程IP地址的身份信息、远程系统上的所有应用的状态，包括针对用户的安装信息和是否存在试图运行的恶意应用等。管理员可以对任何单一计算机上的具体应用进行详细分析，搜集关于该应用行为的信息，根据该应用的“正常〞行为创立一种控制策略。在平安体系中，平安代理是“云平安〞模式中的“监测端和执行端〞，不再依赖于传统的基于特征签名的识别手段，而使用灵活的基于策略和基于行为的监测机制，在强大的平安运算中心的支持下，准确识别并防御病毒、蠕虫、间谍软件、广告软件、Rootkit和各种各样的针对/未知漏洞的新型“零日攻击〞方式等。此外，平安代理还能完成数据丧失防护的功能，基于广泛、细粒度的数据平安策略对终端中存储的敏感信息、文件、目录等进行法规遵从检查和深层保护。如移动存储设备监控、应用程序间的敏感信息传输、P2P软件、即时通信应用等。平安代理能够针对不同的应用分别预定义“非法行为〞范畴，运用基于策略的分析智能，关联并报告系统功能调用和应用行为情况，识别非法行为并有效阻断。2．监控与分析系统

它是实现智能主动防御能力的关键，每台设备都可以作为全网/区域的平安数据(事件、日志、报告)的中央存储库和智能分析系统，通过接收和采集由不同厂商的网络设备和平安组件，包括路由器、交换机、防火墙、VPN集中器及各类终端设备中的监视探针/防御代理等产生的网络流量和平安数据(事件、报告、报警)等，并进行智能分析，精确识别、关联、分析和判断各种威胁，为平安专家集中显示经过了高度提炼和优化的威胁信息，包括IP/MAC地址、交换机端口、攻击路径视图等。此外，更能通过统一平安管理平台或自行实现与防火墙、IPS等设备联动，进行短/中/长期平安形势预测，提供审计和法规遵从性报告等。通常，因为网络总体带宽、各网络根底设施日志报告功能的设置和各平安组件平安警戒状态等因素不同，监听与分析系统的工作负载(即接收和处理的平安数据量)相差很大。同时，不同的平安组件、网络设备等发送的平安数据，其格式也各具标准。监听与分析系统的部署有两种方式：(1)对于中小规模网络/区域，可进行独立本地化部署。也就是说，在整个网络中只部署一台设备，从所有网络根底设施、平安组件、监听探针和防御代理中搜集平安信息(事件、日志等)；

(2)对于大型网络/区域，可进行基于全局控制器的“多设备分布式本地部署，中心统一平安管理〞的模式。在网络/区域中部署多台监听与分析设备，每台设备在具备独立处理和本地管理能力的同时也接受全局控制器的远程管理并向其发送平安报告。

在需要部署多台监听与分析系统的大型网络中，每台全局控制器起到了中心控制台的作用。它具有以下功能：①执行对所有本地监听与分析设备的全局认证；

②统一平安规那么和报告生成；

③统一平安管理和维护；

④降低远程数据通信量。

对于大型企业/机构，我们推荐采用多设备分布式监控的方案，具体可以采取以下模式：(1)初始部署一台，此后逐台增加独立设备。当网络中全部对象发送的平安数据总量超过单台监视与分析设备的处理能力时，增加第二台设备，改变当前网络中对象与监听分析设备的关联关系，进行负载转移。在网络扩大后，再逐台增加新的监听与分析设备，保证每台设备的处理负载维持在一定水平之内。但每台设备独立处理信息和维护管理，不进行多设备集成和中心化管理。(2)中心控制远程设备。在网络对象总数不多，但存在需要进行远程平安监控的对象时，如果将监听与分析系统部署在主园区网络中，将使得来自远程对象的日志、SNMP、事件等信息必须通过WAN链路实时传播，不但传输质量(丢包、延时等)无法保证，更占用了珍贵的WAN带宽资源。因此，可以在远程站点分布部署一台/多台(根据远程网络规模而定)监听与分析设备，对远程站点中的大量平安数据进行本地化处理后，再将总结性的、带宽需求和实时需求较小的平安报告提交给位于中心的全局控制器。全局控制器也可根据管理部门的需求实时主动抓取远程监听与分析设备采集的数据。(3)中心控制大型园区网中分布部署的多台设备。在园区网络中存在多个需要网络隔离/业务数据隔离，对平安需求/平安规那么定义不同，或者存在特殊的需要独立监控的区域时，可以在这些区域根据处理负载需求分别部署具有相应处理能力的监听与分析设备，各设备根据所在区域的不同需求分别定义平安策略，采集该区域所有的平安数据、分析处理并执行反响措施。各设备在具备独立处理、管理和报告能力的同时，也可接受全局控制器的中心化统一平安管理。3．Web应用防火墙

专门用于应对与Web2.0和社交网络应用相关的平安挑战，能够保护Web应用中的敏感信息。这类属于全代理模式的防火墙既可作为独立产品提供，也可集成到网关来控制对应用的访问，检查HTML和XMLWeb流量，识别攻击模式并加强企业解决Web平安性和法规遵从的能力。4．内容过滤模块/防火墙

通过在路由器中集成或独立部署内容过滤模块/防火墙，能够防止用户访问含有恶意软件、反动内容、黄色内容等的网站，控制对敏感信息的访问，并执行数据丧失防护策略。18.4.2平安设备与技术部署位置参考方案

以上简要介绍了平安防御能力的螺旋实现步骤以及可供选择的平安组件。接下来，以Cisco企业复合网络模型(该模型的具体内容请参见Cisco相关教材)中的不同模块区域来划分，如图18-5所示，概要性地介绍各种平安设备的参考部署位置。应指出的是，该部署只是一个典型配置，表示不同的平安组件“可以〞而不是“一定要〞部署在该处。具体的解决方案应根据自身需求，灵活地进行选择和部署。当然，也可根据形势的开展，在关键位置部署其他的新型平安设备和技术。图18-5平安设备与技术部署位置参考方案1．效劳器集群、数据中心

(1)接入、认证授权和补丁管理效劳器。

(2)统一平安管理平台、统一平安组件管理平台。控制全网范围内的网络根底设施和平安组件，进行事件分析，发现、拦截和阻断攻击，监控、配置和管理所有平安设备和敏感信息。

(3)统一网络监听管理平台。随时获取全网范围内的所有监听数据，进行智能关联和分析，结合网络拓扑，分析出当前正在发生的攻击路径，给出响应建议方案，也可自动协调全网防御能力对攻击进行阻断和歼灭。

(4)数据丧失防护监控系统。

(5)数据存储加密技术。

(6)漏洞扫描和审计效劳器。2.网络接入层

(1)结合防火墙模块与交换机的VLAN和三层隔离特性，在内部各主要部门间及内外网络间进行平安区域划分，实现内部业务系统逻辑隔离，并在策略允许的情况下实现可控的互访，保护关键业务系统。

(2)网络接入控制(NAC)、IPSEC/SSLVPN接入及主机防护代理。通过配置平安接入和认证授权效劳器，实现主机入网健康检查和访问授权；对效劳器及客户机进行平安加固、病毒保护、限制非法应用、限制端口使用等；与IPS进行联动，自动拦截攻击。3．分布层

(1)并联配置IDS，检测基于网络的攻击事件，协调设备进行联动。

(2)IPS设备支持并联和串联模式，可以监控平安区域内部业务，进行异常流量及行为监控，识别平安风险，可以与网络设备防火墙、交换机、路由器等进行联动，自动将配置推送给设备，完成攻击拦截工作。

(3)独立/分布式网络监听和分析系统。随时获取子网范围内的平安数据和通信数据，进行智能关联和分析，进而结合网络拓扑图，分析出当前正在发生的攻击路径，并给出响应方案，也可调用网络设备对攻击进行拦截和阻断。4．边缘分布模块

(1)支持嵌入式平安模块的路由器和防火墙，集成SSL/IPSecVPN，实现平安的网络访问和应用传输，以及高级的应用控制。

(2)并联配置IDS，检测基于网络的攻击事件，并且协调设备进行联动。

(3) IPS设备支持并联和串联模式，可以监控外部访问情况，进行异常流量及行为监控，识别平安风险，可以与网络设备防火墙、交换机、路由器等进行联动，自动推送配置给设备实现攻击的拦截工作。(4) Web应用防火墙。保护Web应用中的敏感信息。既可作为独立产品提供，也可集成到网关来控制对应用的访问，检查HTML和XMLWeb流量，识别攻击模式并加强企业/机构解决Web平安性和法规遵从的能力。

(5)内容过滤模块/防火墙。通过在路由器中集成或独立部署内容过滤模块/防火墙，能够防止用户访问含有恶意软件、反动内容、黄色内容等的网站，控制对敏感信息的访问，并执行数据丧失防护策略。

(6)独立/分布式网络监听和分析系统。随时获取内网与外网的平安数据和通信数据，进行智能关联和分析，进而结合网络拓扑图，分析出当前正在发生的攻击路径，并给出响应方案，也可调用网络设备对攻击进行拦截和阻断。18.4.3详细设计方案

将18.3节与小节的内容相结合，我们最终给出网络平安防御体系的详细设计方案，如图18-6所示。图18-6网络平安防御体系的详细设计(1)弱化终端作用，将“云中心〞以外的各工作站功能限制在类似于瘦客户机的“远程用户界面〞范畴内，所有敏感信息全部集中存储在位于“云中心〞的集群效劳器和存储网络中，用户对敏感信息的任何操作都发生在效劳器空间中，不传输至终端。而普通个人数据的处理，及外网浏览等仍在本地执行。同时，所有终端都去掉USB、蓝牙、IEEE1394等通信端口，将数据传输通道集中于网口。

(2)综合采用“云计算〞(SAAS)和“云平安〞的模式，所有终端的操作系统补丁管理、防御代理软件管理、工具软件安装、业务系统应用等，均通过内部网络，按照平安策略和用户权限，以相关效劳的形式，从“云中心〞获得。(3)统一平安管理平台中所有的子平台、系统等，在逻辑上是别离的，但在部署上都是通过从大型集群效劳器和存储网络中划分相应的资源来实现。值得强调的是，为保证整体的平安性、可靠性和可用性，无相互关联需求的各平台和系统间必须坚持严格隔离的原那么。

(4)在部署平安接入系统(NAC)的根底上，引入基于硬件芯片的可信计算技术。可信任平台芯片可以用来加强用户登录认证，防止未经授权的软件修改，以及全面加密硬盘和可擦写媒体的数据。它将替代传统方案中的“用户名 + 口令〞的设备接入验证方式，保证只有安装了TPM平安芯片，并赋予了合法编码的入网单元，包括工作站、效劳器、网络根底设施、存储网络、管理平台等，才能获得最根本的“接入网络〞的权限，杜绝拥有合法访问权限的内部员工/黑客将外来/私有设备随意接入网络。计算机一旦嵌入了该技术，即可在启动操作系统时发现内核已改，并根据用户需求进行阻止和恢复。这样，不仅能从硬件平安根底提升平安性，也能防止非法软件自运行的发生。(5)根据各企业/机构、同一企业/机构不同部门或人员在内部级别和平安防护级别上的差异，在构建统一身份认证、授权和访问控制系统(SSO)的根底上，可选用各种双因素、多因素身份验证技术，包括USBKey、智能卡、视网膜检验、指纹识别、声音识别、PIN码等等，越关键的区域，需要考察的凭证越多，技术越复杂。(6)在包括工作站、效劳器、管理平台、移动设备等的各种主机操作系统上，安装防御代理软件，融合平安接入代理、主机IPS、杀毒软件、主机防火墙、主机审计软件、主机数据丧失防护(DLP)等诸多主机平安防护功能于一体。该软件除具有独立的全方位行为监视/审计能力、端口控制能力、基于策略的关联分析能力和深入系统底层的威胁阻断/歼灭能力外，更能作为“云平安〞和“统一平安管理〞体系在主机上的“监视数据采集和防御措施执行端〞，在位于“云中心〞的平安计算集群强大的存储、计算、分析智能和平安专家的支持下，通过统一平安管理系统，实现对全网所有主机的一致防御能力，并因此具有“云平安〞模型中“基于大规模平安数据采集和集群计算的分析准确判断新型威胁的能力〞和“统一平安管理〞体系中“全网协同防御〞的能力。(7)为实现从网络层到应用层的深度防御，根据具体的网络拓扑，在网络边界和内部网络中关键模块的核心交换机和路由器处，以前期风险分析为指导，部署独立/嵌入式模块的防火墙、IDS/IPS和Web防火墙。

(8)在全网范围内大规模部署网络监听探针，并根据网络规模和具体平安需求，部署单一的网络监听与分析设备，或以“分布部署、两级报告、全局中心化管理〞模式，在各区域部署本地网络监听与分析设备的同时，在“云中心〞(数据中心)部署中心化的全局网络监听与分析系统。一方面，可以利用其对于所有网络流量的统计分析和解码分析能力，配合网络通信专家和平安专家，实现对网络各区域、各模块、各设备通信的实时监控、历史纪录和深度分析能力，对“云平安〞体系无法自动解决的高级平安问题进行人工处理；另一方面，网络监听与分析设备也可实现新型平安防御体系模型中“统一平安组件管理平台〞的局部功能，根据具体需求，接收全网/区域中各类平安组件的事件、日志、告警等数据，与从网络监听探针中采集的详细网络通信流量进行深度关联，在自动适应模式下，实时分析全网平安状态并动态调整各平安组件的防御态势，包括平安规那么、策略、平安级别、参数配置等。(9)为实现高级别的数据丧失防护(DLP)功能，部署对敏感信息的深度保护能力：

①涉及敏感信息的内部网络业务系统通信，基于TPM平安芯片，全部通过VPN封装，防止非法监听和中间人攻击；

②移动设备、终端、效劳器、数据中心等，基于TPM平安芯片，全部部署静态和动态加密技术，可由不同的具体系统实现，防止遭受离线攻击、脱机攻击和存储设备盗窃；

③在网络边界，部署敏感信息过滤设备，防止敏感信息外流。18.5基于全网虚拟化的“云〞架构设计

在核心内网总体架构设计的根底上，本节通过应用虚拟化技术，设计实现类似“云计算〞的工作机制，主要解决两个问题：

(1)基于虚拟化技术构建网络根底设施和系统运行平台，为平安防御体系提供源于强力底层控制的可靠运行保证；

(2)使网络根底设施和系统运行平台稳定、高效运行，提供满足核心内网日常业务活动所需要的各种应用效劳和终端能力。18.5.1全网虚拟化设计原理

通过采用虚拟化技术，可以在管理效率、平安控制能力、访问性能和资源利用等多个方面实现突破。虚拟化技术允许管理人员在单一文件内对运行在某一特定虚拟机上的应用程序进行批处理，可以对应用程序进行封装或隔离处理，将其置于可以在物理效劳期间转移的虚拟容器内。这些虚拟容器可以很容易被复制、移动和变更。虚拟化技术不仅会为灾难恢复提供支持，还可以加快备份及应用程序测试和部署的速度来减少方案中的停机时间，而上述所有问题通常都会增加停机时间。虚拟机的便携性允许相关人员在物理效劳器间手动地，或在理想状况下自动地移动虚拟机的位置，而该过程可以不需停机或将停机时间控制在要求范围内。如果物理效劳器运行失败，那么虚拟机和应用程序所遭受的效劳中断会被降至最少。或者说，在许多情况下，应用程序根本就不会被中断。采用虚拟化原理，在网络信息系统的每一层之间进行进一步的隔离。效劳器虚拟化就是实现操作系统和硬件隔离，操作系统不再独享一个硬件平台，而是可以和多个操作系统并存，这些操作系统可以运行在同一个硬件平台上。而针对最上面的应用层，把应用和操作系统隔离，就实现了应用系统虚拟化。如果把操作系统从硬件上剥离出来，即使这个硬件上没有操作系统也可以运行远程的一个桌面，这就是桌面虚拟化。应用与数据需要集中的管控，采取应用虚拟化的方案，把应用和用户集中在数据中心，数据不允许放在本地。同时应用虚拟化也会在很大程度上解决访问性能的问题，应用和数据的交互是在数据中心内部，会极大地提高应用的访问性能。采用桌面虚拟化的方案，所有的用户远程访问桌面，不需要在本地安装操作系统，用户使用的可能更多的是瘦客户机，或者本地用的平安级别较低的操作系统。数据中心的效劳器实现效劳器虚拟化，可极大地降低维护本钱，提高管理效率，充分利用效劳器的计算资源。效劳器虚拟化是一种方法，能够通过区分资源的优先次序并随时随地将效劳器资源分配给最需要它们的工作负载来简化管理和提高效率，从而减少为单个工作负载峰值而储藏的资源。在虚拟机设计与部署方面，遵照以下原那么：

(1)按照位置分开虚拟机。消除共享的隔离区资源的平安威胁，在物理上把公共的虚拟机与专用的虚拟机分开，在不同的主机上运行和管理这些虚拟机。所有公开的虚拟机都放置在公开的主机效劳器上，把公共资源与专用资源集群分开。

(2)根据效劳类型分开虚拟机。让全部的网络效劳器虚拟机在一个资源池和集群中，同时让所有的应用虚拟机在另一个资源池或者集群中。根据效劳分开虚拟机，隔离虚拟应用程序并且让虚拟机保持与具体的硬件资源和集群的联系。这样，任意一种类型的虚拟机任务的平安漏洞利用都不会直接使其他虚拟机任务面临风险。18.5.2总体工作模式设计

虚拟化方案采用“云〞模式，将拥有强大存储能力的存储子网和强大计算能力的效劳器集群进行整合，以类似“云计算〞的形式，利用统一接口，根据不同用户需求和相应权限，为各类终端提供两种效劳。一是提供定制的操作系统和应用，二是利用SAAS(软件即效劳)技术，为终端提供业务应用。如图18-7所示，基于虚拟化技术的“云计算〞架构包括两个要点：(1)利用效劳器虚拟化技术实现“云〞端虚拟化。跨越分布的存储子网和效劳器集群子网，构建虚拟化根底设施，以其为平台，为相互隔离的操作系统和各类业务应用动态划分存储、计算资源，实现资源的高效利用，以标准化接口的形式向终端集中提供业务应用和数据存储效劳。

(2)利用桌面虚拟化技术实现终端虚拟化。由“云〞中各类虚拟化效劳器为终端提供定制的操作系统和应用，提高终端可管理性。图18-7基于虚拟化技术的“云计算〞架构基于虚拟化技术的“云计算〞模式，在功能和权限上呈现“强中心—弱终端〞特点，将平安可靠性融入到网络根底设施内部，降低被防御对象本身的平安不确定性，防止因内部问题导致外围防御机制的崩溃，突出表现在以下三点：

(1)终端属性的高可定制性。标准配置的终端很容易遭受各种攻击。采用虚拟化技术的终端可实现由网络管理部门统一平安管理维护操作系统、工具应用和平安系统的版本、配置等，使客户端不再享有自行管理系统的权限，防止因不同终端用户在使用水平上的差异或恶意行为导致终端出现平安漏洞；强制执行统一的平安策略，特别是满足防止非授权敏感信息本地存储、加密传输等需求。(2)深入底层的高可控制性。网络管理部门拥有对位于“云〞端的虚拟化根底设施、虚拟化效劳器和位于终端的虚拟化平台的最高管理控制权限，虚拟化层在操作系统之下的更底层运行，具有对操作系统完全的控制、监视和管理权限，可在任何时候剥夺操作系统对资源的控制，调整操作系统状态。这样就防止了因操作系统核心技术掌握在国外企业机构或操作系统遭到攻击而失去正常工作能力时所引起的被动局面。(3)敏感信息与终端高度别离。终端设备不承担或仅承担极少量的敏感信息存储和直接处理功能，它与大规模内部数据存储区域有效隔离，防止因终端平安问题导致跳板攻击或直接窃密。同时，网络管理部门集中大量防御资源于虚拟化平台，使其本身具有较高的平安性，在受到攻击的情况下可有效保护效劳器集群和存储网络区域。在虚拟化方案中，所有敏感信息集中存储在存储子网，管理平台、虚拟化根底设施和应用系统集中于效劳器集群。存储子网和业务子网完全隔离，它们之间通过统一平安管理、云计算和虚拟化根底设施子网审核并连接。工作流程如图18-8所示，采用UML序列图描述，所有终端通过平安验证和身份认证后接入业务子网，获得操作系统和工具应用，根据身份及权限，通过Web浏览器或应用虚拟化环境，从“云〞端得到业务应用功能，“云〞端根据业务定义及终端身份授权，浏览或修改位于存储子网的敏感信息，并向终端返回处理结果。所有的处理过程都在“云〞端实现，客户端任何对文档的本地输入/输出操作均被禁止。图18-8工作流程图18.5.3终端虚拟化设计

在面向核心内网的平安体系设计方案中，终端平安机制是最重要的根底性设计之一，为保证统一化中心管理能力，方案采用虚拟化终端技术。根据需求分析，本书为核心内网列出三种具有不同工作能力、平安性和建设本钱的终端实现方式，不同的单位和机构可根据各自特点，在业务子网的建设中全部或局部选用以下某几种终端技术。

(1)瘦终端/虚拟桌面。类似于早期的大型计算机终端结构，将所有的存储、计算和流动等功能全部在“云〞端实现，硬件配置简化的瘦终端仅负责执行效劳端远程人机界面功能，无存储和计算能力。其中，瘦终端操作系统和所有业务应用功能均在虚拟化根底设施中运行，内部数据只在数据中心与虚拟化根底设施间流动。这种方式主要执行文档、图像、数据库等静态高内部等级信息的处理工作，也可完成高内部等级的大型计算任务，平安性最高，但需要投入巨额资金建设大型数据中心和效劳器集群，购置专用瘦终端设备。(2)无盘工作站。无盘终端无存储能力，从网络启动，由虚拟化效劳器提供定制的操作系统和业务应用映像，通过虚拟化根底设施从数据中心获得所需敏感信息，在本地完成计算任务。内部数据在数据中心与虚拟化根底设施之间以及终端与虚拟化根底设施之间进行流动。这种方式主要执行需要一定本地计算能力的内部工作，平安性中等，可通过改装现有计算机系统、增加虚拟化效劳器的方式实现。(3)本地虚拟化工作站。本地虚拟化工作站具有本地存储能力和计算能力，通过直接在裸机上或在工作站已有操作系统上运行由虚拟化效劳器生成虚拟化安装包，获得定制的本地虚拟机平台、操作系统和业务应用。虚拟化平台是定制操作系统的运行根底，安装后完全在本地运行。高等级敏感信息在数据中心与虚拟化根底设施之间以及终端与虚拟化根底设施之间进行流动，不存储于本地；低等级敏感信息加密存储于本地。这种方案适用于对某些需要在本地安装特殊硬件设备或验证机制才能正常运行某些专业应用的先进工作站进行虚拟化改造，也适合于区域分布广泛、网络根底设施建设较为薄弱或可靠性较低的环境，如C4ISR系统等，平安性较低，生存性和适应性较强，不要求建设大型数据中心和效劳器集群，直接在现有计算机上实现。18.5.4虚拟化平安机制设计

本小节主要讨论基于虚拟化技术实现的内部网络根底设施和系统平台的平安性问题。主要分为三个方面的内容：

(1)“云〞端(效劳端)虚拟化根底设施及虚拟化效劳器的平安机制；

(2)虚拟化终端(客户端)平安机制；

(3)敏感信息平安传输机制。

首先讨论包括虚拟化效劳器和各种终端在内的虚拟化终端效劳的平安问题。第一，核心内网中将全面部署可信计算技术，即在虚拟化效劳器和终端安装由可信平台模块组织开发的TPM平安芯片或国内的TCM平安芯片。它以硬件的形式存放硬件凭证、证书、密钥等，完成计算机启动过程中对启动文件的平安预检，保证效劳端的虚拟化平台和终端虚拟化映像在遭到恶意破坏或修改、运行环境无法满足平安标准的情况下无法正常启动，确保进入业务子网的计算机都满足预定义的“可信〞标准。虚拟化终端管理程序还能够利用可信计算技术，向硬件发送调用指令而不用将重要信息存储在虚拟化映像中。第二，新型的虚拟化效劳器都采用虚拟权限管理技术来管理平安策略以及对离线虚拟机的访问，还可以通过加密虚拟磁盘来防止管理人员恶意修改虚拟化映像。虚拟化终端在控制访问权限和数据传输平安问题上采用与内网身份验证统一的认证机制来控制桌面客户端的访问，在制定相应的规定之后，只有获准使用指定虚拟桌面的用户才有访问权限。用户权限的发放和回收是通过中央控制台来完成的。此外，认证请求不再是提交给基于用户名+敏感信息的软件认证机制，而是提交给可信芯片和多因素认证手段来处理。

第三，通过在Hypervisor中内置底层监视和分析软件，虚拟化效劳器和终端还能实时监视虚拟操作系统的运行情况，提供主机威胁检测功能，并能在虚拟机出现异常行为时自动反响或通知网络管理部门并接受远程控制。第四，对于无盘工作站这类标准配置、各种通信端口齐全的计算机，可通过在虚拟化映像中参加定制的平安组件，包括平安代理和预定义的平安规那么，保证工作站各种通信端口失效，并执行实时监视和控制功能。

第五，对于本地虚拟化工作站这类有一定特殊性的计算机，虚拟化平台在运行期间，将实现一个具有高度自身平安性、与本地操作系统严格信息隔离、接受预定义的平安规那么约束和实时监控的虚拟化工作环境。虚拟机平安规那么将保证其包含的操作系统和业务应用无法将敏感信息保存于本地磁盘，并在虚拟机运行期间禁止工作站其他网络端口、USB、光驱和打印机等通信接口和外设。系统重启后，虚拟机自动将内部状态(操作系统、应用、数据等)恢复到初始状态。通过严格定义平安规那么，终端可以被管理或禁止的操作包括：①客户端对敏感信息的任何存储操作，包括硬盘存储、软盘存储、光盘存储、U盘存储以及其他客户端存储设备。

②客户端对敏感信息的其他输出操作，包括打印、文档编辑中的复制/粘贴操作、E-mail或屏幕拷贝等操作。

尽管在方案设计中，强调“敏感信息只在‘云’内流动而不进入终端〞，但如果期望这种理想化的瘦客户机/虚拟桌面模式能满足所有类型重点单位内部各部门不同层次的工作或平安防护需求，可能需要巨额资金投入。因此，在实际建设中，针对平安投资有限的某些单位，在终端设计中也提出了另外两种折衷方案，敏感信息会在一定程度上流动于终端和虚拟化效劳器之间。这样，不同类型的虚拟化终端之间、终端与虚拟化效劳器之间传输的信息类型是不同的，需要分别采取相应的传输加密措施。对于瘦终端/虚拟桌面系统，终端嵌入式系统通过内网与虚拟化效劳器连通，传输加密的操作指令，动态接收加密的远程桌面图像。在运行过程中只传输经过压缩和加密的键盘鼠标操作信息和屏幕的变化信息，不传输敏感信息内容及其本身，仅传输给终端有关敏感信息的屏幕图像，而用户所有的使用及操作均集中于虚拟化效劳器或虚拟化根底设施提供的业务应用中，没有任何敏感信息被下载到终端设备中。通过集中在严密保护的效劳器上运行应用系统，将运行的屏幕信息回传到没有存储功能的客户端浏览，可以从根本上杜绝高密信息泄露途径。对于无盘工作站和本地虚拟化工作站，终端无法在本地存储敏感信息，但可以通过Web访问远程获得“云〞端的业务应用能力，在本地处理敏感信息并与之相互传输。因此，其定制的操作系统内含定制VPN程序和平安代理，其预定义的平安规那么必须强制敏感信息通过VPN，依托TPM平安芯片提供的硬件加密能力，进行高强度加密传输。 18.6敏感数据管控机制设计

18.6.1平安交换子网设计

为保证核心内网日常业务的正常运行，必须为其设计实现自动化程度高、信息交换能力强、自身平安性高、监视控制审计能力强、能有效防止敏感信息外泄的对外信息交换机制。在网闸技术和数据交换网技术都能满足核心内网平安对外交换需求的前提下，基于网闸技术的数据交换网具有更强的网络协议隔离能力、信息交换能力和深层次内容过滤检查能力，因此将其作为核心内网的平安交换子网设计的技术根底。平安交换网的设计来源于Clark-Wilson模型，主要是通过业务代理与双人审计的思路保护内外网络通信和敏感信息流动的平安性，它在外网/计算机与核心内网之间建立一个应用多种隔离、监听、过滤、控制和审计机制的深层数据交换区域。其两端可以采用多重网关，也可以采用网闸。交换网络的核心是业务代理，各种对外通信业务和协议要经过接入缓冲区的申请代理，到业务缓冲区的业务代理，才能进入内部网络。交换网络在防止内部网络数据外泄的同时，保证数据的完整性，防止无授权人员恶意修改传输的数据，保证内外数据的一致性。平安交换网的结构如图18-9所示，从左至右，分别是外网、接入缓冲区、业务缓冲区和核心内部网络。其中，平安交换网包括以下两个局部：

(1)接入缓冲区：与外网或负责提供输入/输出端口的外部计算机连接，解决通信中的网络平安问题，防御网络威胁和入侵攻击手段。它主要由典型的网络平安组件构建而成，包括IPS、应用层防火墙、IDS、分布式监听设备和高性能交换机设备。

(2)业务缓冲区：连接接入缓冲区和核心内部网络，负责通过应用层代理技术和网络协议隔离技术，以内部定义的网络协议及纯数据的形式传输敏感信息。根据预定义的平安规那么和内部保密规定，网络管理部门对敏感信息传输过程进行监视、过滤、审计和控制。业务缓冲区既通过“协议落地、纯数据传输〞的形式保证了外界网络攻击无法渗透到内网，同时也凭借实时的内容监视和审计过程确保敏感信息的平安流动。图18-9平安交换网络结构图为保证平安交换网本身的平安性和工作效率，在设计中突出以下重点：

(1)平安交换网作为“云平安〞重要组成局部，其实时采集的网络平安数据和敏感信息设计数据与“云〞端共享，并接受来自“云〞端的技术支持和控制，提高网络防御的准确性。

(2)在接入缓冲区，IPS、IDS与应用层过滤相互配合，分别解决网络层平安、深层数据流检查和应用层平安，将工作负载分布到不同设备中，提高监测效率。对于平安专家初步判断出现问题的通信，可通过监听探针完成对整个通信过程的截获及数据包解码分析。(3)在业务缓冲区，为防止攻击者入侵业务代理，一方面在业务代理设备中采用基于可信计算技术的虚拟化平台，提高底层控制能力；另一方面，在虚拟化系统映像中预安装主机平安代理，接受“云平安〞体系的保护。此外，也可以直接购置嵌入式高性能专用代理效劳器设备，通过固化的精简专用系统防止黑客攻击。

(4)在业务缓冲区，为提高网闸的工作性能，增加对敏感信息检查的广度和深度，同样将工作负载分布到多个设备中去，分别由网闸、敏感信息过滤设备、内容审计设备和交换控制设备完成协议转换、敏感信息检查过滤、信息流通审计和传输控制功能，防止在进行大规模数据传输时因单一网闸设备超负荷运行而造成工作效率大幅下降，甚至出现严重漏检、错检。18.6.2数据丧失防护管理机制设计

核心内网中最常见的敏感信息就是电子文档，防止电子文档的传播泄密需要综合加密技术、权限控制技术、身份认证技术等多种技术对电子文档进行保护。

(1)防止内部重要电子文档被泄密，灵活设置用户使用电子文档的权限(包括：阅读、打印、保存、另存为、打印、截屏等)，并且实时权限回收，防止离职或辞职人员泄密。

(2)为电子文档的泄密提供追查依据。判断泄密事件的问题所在，以方便快速地采取有效的相应措施。

(3)适用于各种文档管理方式，同一文档对不同人的使用权限不同，表达管理层次。(4)不限制网络和移动存储设备的正常使用。采用密钥和文档别离管理技术，密钥与密文别离存储，密钥的下放与解密由系统控制。对企业/机构的核心文件，进行驱动级加密。只有通过文档平安系统的强身份认证之后，才能获取密钥，对机密文件进行解密。否那么，拷贝到的是加密后的文件，无法使用。

(5)确保员工移动办公使用机密文件的平安。给员工提供在离线状态下使用密文文件的效劳，使其在离线状态下，仍然可以控制文档的操作权限和使用时间。

(6)记录用户对文件的使用情况。文档平安保护系统可以详细记录管理员和用户的操作日志，并上传到日志数据库中，以便于事后进行审计。(7)文档平安保护对用户透明，原有的使用流程和习惯不变。文档平安系统对用户透明，加密的文件不改变文件的格式，不改变文件关联的应用，最大限度保存原有文件使用习惯。

(8)保护个人文件。对个人私有文件进行加密，防止被别人获取。

通过身份认证和数据加解密技术，非授权的用户已经无法获取企业和机构内部的电子文档，但是这并不能完全杜绝电子文档及其内容的外泄。因为内部人员最容易得到敏感信息，也最容易泄露敏感信息，所以，对于文档的平安管理来讲，如何有效控制企业和机构内部人员对文档的应用是十分重要的环节。在系统内部，对于电子文档的平安管理主要表达在以下两个方面：首先，系统可以细分用户对文档的操作权限，包括阅读、编辑、打印、复制粘贴、截屏以及完全控制(包括只读、编辑、解密的权限)，通过对单一用户或用户角色授权的细化，完全满足不同用户级别和不同工作内容对操作权限的不同要求。这样，既可保证文档在共享状态下的平安使用，又可以完全控制文档的使用权限，有效防止电子文档的非法传播。

其次，系统可以对用户进行角色划分，满足对用户批量授权或默认授权的要求。例如，针对部门经理，可以全部划分到部门主管角色中，默认就有浏览、编辑和打印的权限。这样部门主管每次创立的文档都将被授予以上权限，不阻碍部门经理对文档的修改和编辑。但对于没有在部门经理角色中的用户，那么文档处于默认加密状态，翻开之后完全看不到内容，全部是无意义的乱码。既减少了对正常工作的影响，又保证了文档的平安性。控制文档的使用时间是文档平安管理的重要组成局部。通常将文档分发出去后，接受方就永远拥有此文档的所有权，随时可以使用该文档中的数据信息。这样很容易造成重要数据信息的外泄。对文档的使用期限加以控制，便可很好地解决这一问题。员工离职后，文件使用到期，即使拥有此文件也不能用。与合作伙伴协同工作完成后，合作伙伴无法将原有的资料用于其他工程。用户能够随时随地控制文件的使用期限，根据实际情况追加使用时间或缩短期限收回文件。日常工作中许多员工可能需要将文档带回家中继续修改，这时文档将脱离工作环境，从而自动进入保密状态，员工将无法翻开文档进行操作。为解决这一问题，文档平安管理系统可以对文档的离线(脱离工作环境)操作进行授权，用户即可在家中通过本地认证使用文档。用户可以放心地将文件保存在系统的硬盘空间，即使遗失也无须担忧存储在磁盘上的信息外泄。从操作系统看，文件保险箱是一个平安的加密大文件，用户插入USB智能卡，输入口令，通过验证后，才可以进入文件保险箱，像对普通的磁盘文件一样进行使用，对应用软件(MSOffice等)完全透明。当文件拷贝或拖入文件保险箱时，加密自动进行；当文档拷贝或拖出文件保险箱时，解密自动进行。当用户关闭文件保险箱或拔出密码钥匙，文件保险箱自动关闭，同时文件被加密保护。 18.7其他通用平安机制

18.7.1终端设备平安

由于计算机设备存在电磁泄露、搭线窃取和介质剩磁效应等泄密渠道，对计算机硬件必须采用电源保护、电磁屏蔽、线路保护、电磁兼容等技术，防止发射信号和辐射信号发生泄漏并保证系统中的设备不因外界或其他设备的电磁干扰而影响其正常工作。具体措施可设置屏蔽电源、物理隔离、专机专房专人专管专用、电磁干扰器、非屏蔽电缆与其他并行线缆保持距离、电缆信号强度监测等。物理防盗也是重点。可综合采用门禁系统、操作人员携带物品检查、平安锁和智能电子锁等手段，防止主机及其内部部件遭到非法拆阅甚至转移。其中，智能电磁锁是一种由BIOS控制的电子激活的内部锁定装置，允许管理人员通过内部网络对机箱进行远程锁定和解锁，在主机及内部组件受到管理员授权范围之外的非法侵害时会向中心化的远程管理控制台发出警告。这是我们比较推荐的物理平安防护方式。此外，针对移动智能设备和移动存储设备也必须制订具体的平安策略，对笔记本、磁盘驱动器、USB闪存驱动器和CD-ROM提供加密保护。使用数据丧失防护系统自动阻拦那些未经授权就连接系统的USB设备，在USB驱动器连接至网络时对其进行识别，并允许IT部门制订允许或不允许其使用的策略，从而为其中的数据提供保护，使用口令保护和非选择性加密技术，包括透明加密(即本书第17章17.1节介绍的“动态加密〞技术)等手段，使拷贝到USB设备的资料无法被小偷访问。此外，还可以在BIOS中设定只能由硬盘启动计算，防止恶意用户使用存储有类似WindowsPE的便携式操作系统的光盘/U盘等可移动设备，非法启动电脑。BIOS也应该有密码保护设置。18.7.2访问控制

网络接入控制是网络访问控制的第一道防线。通过网络接入控制可以限制用户对网络的访问，或禁止用户接入，或限制用户只能在指定的VLAN进行接入，或限制用户接入到指定的效劳器上，或限制用户只能在指定的时间接入网络等。网络接入控制需要经过验证用户名、用户口令和核查该用户账号的默认权限三个过程。其中，前两个环节是用户身份认证过程，根据企业/机构投资情况，可以采用一次性口令、智能卡、USBKey等多种平安方式来验证身份。网络接入控制是由网络管理员依据网络平安策略实施的。网络管理员可以随时建立或删除普通用户账号，可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式，并对接入过程进行必要的审计。对于试图非法接入网络的用户，一经发现立即报警。当用户成功接入网络后，就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。通过网络使用权限控制可以标准和限制用户对网络资源的访问，允许用户访问的资源就开放给用户，不允许用户访问的资源一律加以控制和保护。网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中，规定了用户可以访问的网络资源，以及能够对这些资源进行的操作。系统管理员可随时更改普通用户的权限，或将其删除。用户获得网络使用权限后，即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。目录级平安控制和属性平安控制可以防止用户滥用权限。一般情况下，对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创立权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级平安控制可以限制用户对目录和文件的访问权限，进而保护目录和文件的平安，防止权限滥用。属性平安控制是通过给网络资源设置平安属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后，用户对这些资源的访问将会受到一定的限制。通常，属性平安控制可以限制用户对指定文件进行读、写、删除和执行等操作，可以限制用户查看目录或文件，可以将目录或文件隐藏、共享和设置成系统特性等。

网络允许在效劳器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等。网络效劳器的平安控制包括设置口令锁定效劳器控制台(以防止非法用户修改、删除重要信息或破坏数据)、设定效劳器接入时间限制、设定非法访问者检测和关闭的时间间隔。18.7.3网络根底设施

1．MAC层平安

可对客户端、接入交换机和网关三个控制点实施自上而下的防御来抵御ARP攻击。可使用两类ARP攻击防御解决方案，即监控方式和认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境。IP源地址保护(IPSourceGuard)功能可以根据DHCP侦听记录的IP绑定表动态产生PVACL，强制来自此端口流量的源地址符合DHCP绑定表的记录，这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据包进行转发，合法源地址是与IP地址绑定表保持一致的，它也是来源于DHCPSnooping绑定表。因此，DHCPSnooping功能对于这个功能的动态实现也是必不可少的，对于那些没有用到DHCP的网络环境来说，该绑定表也可以静态配置。IP源地址保护不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤，这样，就只有IP地址和MAC地址都与DHCPSnooping绑定表匹配的通信包才能够被允许传输。此时，必须将IP源地址保护与端口平安(PortSecurity)功能共同使用，并且需要DHCP效劳器支持Option82时，才可以抵御IP地址＋MAC地址的欺骗。认证方式是客户端通过认证协议登录网络，认证效劳器识别客户端，并且将事先配置好的网关IP/MAC绑定信息下发给客户端，实现了ARP报文在客户端、接入交换机和网关的绑定，使得虚假的ARP报文在网络里无立足之地，从根本上防止ARP病毒泛滥。

此外，ARP泛洪攻击会产生大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度急剧降低。因此可翻开各接入交换机的ARP报文限速功能，或在其外部部署专门的ARP报文限速设备。对每个端口单位时间内接收到的ARP报文数量进行限制，防止ARP泛洪攻击，保护网络资源。2．网络管理协议平安

简单网络管理协议(SNMP)简单易行，工作于TCP/IP网络的应用层，在Internet主干设备和绝大多数厂商的网络产品中被广泛采用，是事实上的网络管理协议。但是，许多产品在SNMPv1实施中存在平安问题，特别是在SNMP代理和SNMP管理器处理Trap消息和其他请求消息方面存在平安隐患。这些隐患可能会引发效劳中断，被黑客用于DoS攻击或非法获取设备访问权限。因此必须采取相应措施，正确配置网络，使网络平安风险趋于最小。简单网络管理系统由SNMP管理器和SNMP代理组成。代理是实际网络设备中实现SNMP功能的局部，使用UDP端口161接收请求消息，而管理器使用UDP端口162接收代理的事件通告消息。管理方一旦获取设备的访问权限，就可以访问设备信息，修改和配置设备参数。由于采用的是UDP协议，故工作时不需要在代理和管理器之间保持连接。目前，很多网络根底设施默认采用SNMPv1，但其不支持加密和授权，仅使用类似口令的简单认证。按照SNMPv1协议的规定，大多数网络产品出厂时设定的只读操作用户名默认值为“Public〞，读写操作用户名默认值为“Private〞，通常网络管理人员并不对该值进行修改。这就造成了平安隐患，利用这些默认值黑客可以容易地获取到设备的访问权。由于SNMP主要采用UDP协议传输数据，还容易被假冒为IP源地址，仅使用访问控制列表缺乏以防范。大多数SNMP设备接收来自网络播送地址的SNMP消息，黑客甚至可以不必知道目标设备的IP地址，而只需通过发送SNMP播送数据包就可以到达目的。另外，SNMP管理器解析处理Trap消息和SNMP代理处理请求消息也存在缺陷，主要原因是对SNMP消息的检查不充分。当数据包中含有异常字段值或过长对象时，可能产生内存耗尽、堆栈耗尽及缓冲区溢出等致命错误，从而形成缓冲区溢出攻击或拒绝效劳攻击的条件，出现设备不能正常工作，产生大量日志记录，引起系统崩溃、挂起和设备自动重新启动等问题。为了进一步加强SNMP的平安，应采取以下措施：

(1)关注所用产品的设备驱动与管理软件更新情况。及时进行软件版本升级和使用补丁程序修补漏洞。(2)无必要时关闭对一些中小规模网络的SNMP效劳。网络管理员常常通过控制台端口对网络设备按照静态模式配置参数，对于这种情况可以考虑关闭SNMP功能。例如对Cisco公司的产品，可以使用“NoSnmp-Server〞命令关闭，用“ShowSnmp〞命令查看。

(3)过滤进入网络的SNMP流量，保证设备平安。正常情况下，网络中不应该存在外部主机发起的针对内部网络设备的SNMP数据包，可结合IP地址和传输端口、效劳类型进行过滤。SNMP效劳常使用UDP端口161、162，可能用到的其他端口还有TCP端口161、162、199、1993，UDP端口199、1993等。此外，由于SNMP监控程序常常与网卡地址绑定，还应该注意过滤来自播送地址、子网播送地址，以及内部返回地址的SNMP流。(4)严格控制网络内部未授权主机的SNMP访问。正常情况下，只有安装了SNMP管理器的网络设备有权发送SNMP请求，可以对SNMP代理进行访问控制配置，将来自未授权设备的SNMP请求阻挡掉。但是这种方法对使用UDP协议的源IP地址欺骗无作用，这样配置还可能影响网络性能，需要兼顾考虑。将SNMP流量限制在特定的VLAN上也是一种有效方法。

(5)尽量使用支持SNMPv3的网络设备。3．DNS平安

互联网域名系统中的平安漏洞已经证明会毒害把域名解析为IP地址的效劳器，从而有可能用恶意代码感染用户的PC或者拦截和编辑电子邮件。很多网络管理员还没有认识到他们的路由器能够成为攻击的热点，路由器操作系统同网络操作系统一样容易受到黑客的攻击。确保域名解析系统平安，是非常根本的一个要求。为有效防止DNS漏洞攻击，建议采取以下DNS平安实践：

(1)在不同的网络上运行别离的域名效劳器来取得冗余性。(2)将外部和内部域名效劳器分开(物理上分开或运行BINDViews)并使用转发器(forwarder)。外部域名效劳器应当接受来自任意地址的查询，转发器被配置为只接受来自内部地址的查询。同时，还必须关闭外部域名效劳器上的递归查询功能。

(3)使用动态平安更新，只有认证过的客户端才可以注册并更新效劳器上的入口信息。

(4)将区域传送限制在授权设备上。

(5)利用事务签名对区域传送和区域更新进行数字签名。

(6)隐藏效劳器上的BIND版本。(7)删除运行在DNS效劳器上的不必要效劳，如FTP、Telnet和HTTP。

(8)在网络外围和DNS效劳器上使用防火墙效劳。将访问限制在那些DNS功