网络安全整体项目解决方案

网

络

安

全

整

体

解

决

方

案神州

数

码DCN产

品

规

划

部王

景

辉服务中国神

州

数

码

Digital

China1主

要

内

容●

网

络

安

全

建

设

原

则●

网

络

安

全

体

系

结

构

●P2DR模型●

网

络

安

全

技

术●

不

同

行

业

中

应

用

的

安

全

技

术神州数码

DigitalChina服务中国2·

综

合

性、

整

体

性

原

则·一

致

性

原

则·

易

操

作

性

原

则·

适

应

性、

灵

活

性

原

则·多

重

保

护

原

则·

可

评

价

性

原

则网

络

安

全

的

建

设

原

则·

需

求、

风

险、

代

价

平

衡的

原

则神州数码

DigitalChina服务中国3边的安安全管理三维安全体系结构框架安全特性信息处理单元安

全

体

系

结

构应用层

表示层

会话层

传输层

网络层

链路层

物理层数

数t据

据保

完

密

整可用性审计管理系统单元结构层次解服务中国身份鉴别示可抵赖神

州

数

码

DigitalChina控

制」访

问4●

Policy(安全策略)o

Protection(保

护

)Detection

(检测

)o

Response(

响

应

)P2DR模型的应用神州数码

DigitalChinaP2DR

模

型

的

组

成

部

分服务中国5RReaction安全

响

应安全响应相测Protect

P安全

保

护访问控制机制D入

侵

检

测

机

制MPDRR

模

型安全模型MPDRR 7:;

:Recovery安全

恢

复备份与恢复机制Management安

全

管

理神州数码

DigitalChina服务中国MR6安全需求与目标神州数码

DigitalChina安全体系建立相应的安全集成/应用开发潜在的安全风险安全解决方案安全方案设计网络系统现状安全服务依照风险制定出服务中国7·

物

理

层

安

全

风

险

分

析·

网

络

层

安

全

风

险

分

析

·

应

用

层

安

全

风

险

分

析

·

管

理

安

全

风

险

分

析安

全

风

险

分

析神州数码

DigitalChina服务中国8物

理

层

安

全

风

险·

网

络

的

物

理

安

全

风

险

主

要

指

网

络

周

边

环

境

和

物

理特性引起的网络设备和线路的不可用，而造成

网络系统的不可用。它是整个网络系统安全的

前

提。

如

：一设备被盗、被毁坏—链路老化或被有意或者无意的破坏一因电子辐射造成信息泄露一设备意外故障、停电一地震、火灾、水灾等自然灾害神州数码

DigitalChina服务中国9·

数

据

传

输

安

全·网

络

边

界安

全

·网

络

设

备安

全网

络

层

安

全

风

险

分

析神州数码

DigitalChina服务中国10·由于在同级局域网和上下级网络数据传输线路

之间存在被窃听的威胁，同时局域网络内部也

存在着内部攻击行为，其中包括登录通行字和一些敏感信息，可能被侵袭者搭线窃取和篡改，

造成泄密。·由于目前尚无安全的数据库及个人终端安全保

护措施

，

还不能抵御来自网络上的各种对数据

库及个人终端的攻击。同时一旦不法分子针对

网上传输数据作出伪造、删除、窃取、窜改等

攻击

，

都将造成十分严重的影响和损失

。神州数码

DigitalChina数

据

传

输

安

全服务中国11·

严

格的

说

网

络

上

的

任

何

一

个

节

点，

其

它

所

有

网

络

节

点

都

是

不

可

信

任

域，

都

可

能

对

该

系

统

造

成

一

定

的

安

全

威

胁

。网

络

边

界

安

全神州数码

DigitalChina服务中国12·

网

络

设

备

可

能

存

在

系

统

漏

洞·

网

络

设

备

可

能

存

错

误

的

配

置网

络

设

备

的

安

全神州数码

DigitalChina服务中国13·

以

CISCO

为

例

说明

：一对于网络设备本身访问认证的攻击一对于网络设备运行的专有操作系统攻击一对于网络设备的拒绝服务攻击一

不必要的IOS

服务或潜在的安全问题—"Multiple

Vendor

SNMP

World

Writeable

CommunityVulnerability":对于已知的缺省SNMP

社区，任何用户都可以进

行

写入

或

读

取

操

作。—"CiscoIOSHTTP%%Vulnerability":当正在利用Web接口时，如果在普通的URL上加上特定的字符串时，将陷入DoS

状态。-"CiscoRouterOnlineHelpVulnerability":在线帮助中显示不

应

泄漏的信息。网

络

设

备

的

安

全

风

险服务中国神州数码

DigitalChina14·

操

作

系

统

安

全

漏

洞·

数

据

库

系

统

安

全

漏

洞系

统

层

安

全

风

险

分

析神州数码

DigitalChina服务中国15·

操作系统(如Windows2000server/professional,

Windows

NT/Workstation

,

Windows

ME

,Windows

95/98、UNIX)、

服务器(如DOMINO)、数据库(如SYBASE)

等产品可能会因为设计、编码的原因存在各种各样的安全漏洞(有已知的、

未知的),还可能留有隐蔽通道或后门。·操作系统(如NT、UNIX)、

服务器(如DOMINO)、

数据库(如SQL、SYBASE、ORACLE)

等商用

产品本身安全级别较低。服务中国神州数码

DigitalChina16·操作人员对系统功能、系统服务、数据库管理

系统和Web

服务器等的误操作或者配置，不可

避免会给信息网系统带来一定的安全风险。·网络管理人员和用户的终端极易感染病毒(如外来文件的拷贝

，

盗版软件

，

从外部站点下载

的文件或应用软件的非法安装等),而一旦感染病毒，就有可能造成整个系统感染病毒。·电子邮件系统的邮件收发，极易感染恶意病毒

程序。病毒可肆意进行删除、篡改和拷贝操作，

从而导致巨大的危害。神州数码

DigitalChina服务中国17·

身

份

认

证

漏

洞·DNS

服务威胁·WWW

服务漏洞·电

子

邮

件

系

统

漏

洞应

用

层

安

全

风

险神州数码

DigitalChina服务中国18身

份

认

证

漏

洞·

网

络

服

务

系

统

登

录

和

主

机

登

录

使

用的

是

静

态口

令，口

令

在

一

定

时

间内

是

不

变

的，

且

在

数

据

库

中

有

存

储

记

录，

可

重

复

使

用

。

这样非法用户通过网络窃听，非法数据

库

访

问，

穷

举

攻

击，

重

放

攻

击

等

手

段

很

容

易

得

到

这

种

静

态口

令，

然

后，

利

用口

令，可

对

业

务

系

统

和OA

系

统

中

的

资

源

非

法

访

问

和

越

权

操

作

。神州数码

DigitalChina服务中国19DNS

服

务

威

胁·

Internet域名服务为Internet/Intranet应用提供了，极

大

的

灵

活

性。

几

乎

所

有

的

网

络

应

用

均

利

用

域统

信

息、

推

导

出

可

能

的

网

络

结

构

等

。·例如，新发现的针对BIND-DNS

实现的安全漏

洞也开始发现，而绝大多数的域名系统均存在

类

似的问

题。

如

由

于DNS

查

询

使

用

无

连

接

的UDP协

议，

利

用

可

预

测的

查

询ID

可

欺

骗

域

名

服

务器给出错误的主机名-IP对应关系。神州数码

DigitalChina名服务。但是，域名服务通常为hacker提供了入侵网络的有用信息，如服务器的IP、操作系服务中国20·WebServer经常成为Internet

用户访问企业

内

部

资

源

的

通

道

之

一，

如Web

server通过

中间件访问主机系统

，

通过数据库连接部

件

访问

数

据

库

，

利

用CGI访

问

本

地

文

件系统或网络系统中其它资源。但Web

服务器越来越复杂

，

其被发现的安全漏洞越来越多。为了防止Web

服务器成为攻击的牺牲品或成为进入内部网络的跳板

，

我们需要给予更多的关心。神州数码

DigitalChinaWWW

服

务

漏

洞服务中国21·电子邮件为网络系统用户提供电子邮件

应

用。

内

部

网

用

户

可

够

通

过

拔

号

或

其

它

方式进行电子邮件发送和接收这就存在

被黑客跟踪或收到一些恶意程序(如，

特

洛

伊

木马、

蠕

虫

等

)

、

病

毒

程

序

等

，

由

于

许

多

用

户

安

全

意

识

比

较

淡

薄，

对

一

些来历不明的邮件

，

没有警惕性

，

给入

侵者提供机会

，

给系统带来不安全因至

素

。22电

子

邮

件

系

统

漏

洞神州数码

DigitalChina服务中国·

再

安

全的

网

络

设

备

也

离

不

开

人

的

管

理

，

再好的安全策略最终要靠人来实现

，

因

此管理是整个网络安全中最为重要的一

环

，

尤其是对于一个比较庞大和复杂的

网络

，

更是如此

。

因此我们有必要认真

的分析管理所带来的安全风险

，

并采取

相应的安全措施

。安

全

管

理神州数码

DigitalChina服务中国23ApplicationPresentationSessionTransportNetworkData

LinkPhysical安全管理应用层安全技术系统层安全技术网络层安全技术物理层安全技术神州数码

DigitalChinaOSI

七

层

参

考

模

型服务中国24ApplicationPresentationSessionTransportNetworkData

LinkPhysicalGAP

技术(物理隔离)物理设备的冗余和备份防电磁辐射、抗静电等等物

理

层

安

全

技

术服务中国神州数码

DigitalChina25·双机

双网·双硬盘隔离卡

·单硬盘隔离卡·安全网闸物

理

隔

离

技

术神州数码

DigitalChina服务中国26ApplicationPresentationSessionTransportNetworkData

LinkPhysical防火墙技术VPN

技术网络入侵检测技术网络设备的安全性增强技术网

络

层

安

全

技

术神州数码

DigitalChina服务中国27ApplicationApplication

Layer

GatewayPresentation(Proxy)—Application

LevelSessionTransportNtetworkPacket

Filtering—

NetworkLevelStatefulInspectionData

Link—

BeforeNetworkLevelPhysical防

火

墙

分

类服务中国神州数码

DigitalChina28包

过

滤

防

火

墙

的

优

点

)·

Pros—

Inexpensive一

Application

Transparency一Quickerthan

applicationlayergatewaysApplicationPresentationSessionTransportNetworkData

LinkPhysicalPacketFiltering

(神州数码

DigitalChina服务中国29包

过

滤

防

火

墙

的

缺

点

)1C

ss

to

packetheader·Limitedscreeningabove·

yil

to

nSubjecttoIP

SpoofingeortingigumaginforlogcoinfatetoateultulqupeciadffianInDim··ityerLimitedabnetwork

latedacceSecurityLimiLnoswApplicationPresentationSessionTransportNetworkData

LinkPhysicalPacket

Filtering(神州数码

DigitalChina服务中国30Layer

Gateway的

优

点·

Pros—

Good

Security—

Fullapplication-layerawarenessApplicationPresentationSessionTransportNetworkData

LinkPhysicalApplication神州数码

DigitalChina服务中国31LayerGateway的

缺

点●

Cons一

Stateinformationpartial..一PoorScalability—

DetrimentalPerformance—

ProxiescannotprovideforUDP...—

Mostproxiesnon-transparent—

VulnerabletoOS...—Overlookslowerlevelinfo—

ExpensiveperformancecostApplicationPresentationSessionTransportNetworkData

LinkPhysicalApplication神州数码

DigitalChina服务中国32ApplicationPresentationSessionTransport

etwork

Data

LinkPhysical—

Good

Security—

FullApplication-layerawareness—

HighPerformance一Scalability—

Extensible—

TransparencyStateful

Inspection的

特

点神州数码

DigitalChina服务中国33防

火

墙

功

能·访问控制功能·NAT

功

能·

PAT

功能·

流

量

管

理

功能·地址绑

定·双机热备和负载均衡·支

持

入

侵

检

测·支持动态路由·支持身份认证等等神州数码

DigitalChina服务中国34动

态

防

火

墙

安

全

模

型·Policy

网络访问控制策略的制订·Protection——传统防火墙，可以定义防火

墙

允

许

流

过

的

服

务

数

据，

定

义

基

本

的

访

问

控制限制·Detection——

实

时

入

侵

检

测

系

统，

可以

动

态地发现那些透过防火墙的入侵行为·Response

根

据

发

现

的

安

全

问

题，

在

统

一

策

略

的

指

导

下，

动

态

地

调

整

防

火

墙神州数码

DigitalChina服务中国35DetectionIDS

主

机识别出攻击行为动

态

防

火

墙

安

全

模

型验证报文并采取措施Prdtecidr管码eatthinaResponse阻断连接或

者报警等发起攻击HostA

Host

B

Host示

例入

侵

检

测

控制台受保护网络服务中国Policy返回黑

客InternetC36Intranet省

局各电厂神州数码

DigitalChina方

火

墙

配

置

方

案移动办公用户各地市局服务中国37·

入侵的定义破坏系统资源可用性、完整性和保密性的行为·入侵检测系统的定义检测侵入系统或非法使用系统资源行为的系统·机理：基于某种策略或规则推理的方法知识库方法模式匹配方法自学习的方法·响应机制：日志、报警、通讯阻断、事后审计38入侵检测技术

IntrusionDetectionSystem神州数码

DigitalChina服务中国IDS

的

分

类·按

数

据

源

：基于主机IDS:数据源来自单个主机--文件系统、帐

户

系

统

、

进

程

分

析分

布

式IDS:

多

主

机

系

统基于网络IDS:网络数据--数据包分析和嗅探器技术

·按

数

据

处

理

方

式

：一单包分析与上下文分析·

按

模

型

：一异常

(anomaly)检测模型----偏离正常的行为检测

一

违

规

(misuse)检

测

模

型

-

-

-

-

-

具

有

入

侵

特

征

或

利

用

系统漏洞的行为检测神州数码

DigitalChina服务中国39按服务划分·监视E-Mail攻击·

监视Web攻击·监视远程过程攻击

·

监视NFS攻击·

监视FTP攻击·

监

视Telnet

攻

击·监视非授权网络传输按技术途径划分

·监视口令攻击·监视扫描攻击·监视特洛伊攻击·监视拒绝服务攻击

·监视防火墙攻击·

监

视daemon

攻

击·监视非授权网络访问兵

备

的

致

击

检

测

能

J神州数码

DigitalChina服务中国40内部网Internet网

络

入

侵

检

测

示

意

图网

络

入

侵

检测控制台神州数码

DigitalChina入

侵

检

测引擎服务中国41什

么

是VPNVPN,英文全称是virtual

Private

Network,中文名称一般称为虚拟专用网或虚拟私有网。

它指的是以公密

和

验

证

网

络

流

量

来

保

护

在

公

共

网

络

上

传

输

的

私

有

信息k

似于私有网神州数码

Digital

Chinarivate

Networ被窃取和篡改，(P会络不用开放的网络(如Internet)作为基本传输媒体，

通过加VPN

概

述服务中国42●

数

据

机

密

性

保

护●

数

据

完

整

性

保

护●

数

据

源

身

份

鉴

别●

数

字

签

名VPN

功

能神州数码

DigitalChina服务中国43边界路由器

InternetIntenet区域●●●●PSTN数

据

机

密

性

保

护明文传输密文传输WWW

Mail

DNSSSN区域神州数码

DigitalChina服务中国DDN/FRX.25专线内部工作子网拨号服务器内部WWW重点子网管理子网明文传输下属机构般子网44对原始数据包进行Hash对原始数据包进行加密原始数据包加密后的数据包

摘要数据完整性保护与原摘要进行比较，验证数据的完整性原始数扶摘要加密后的数据包内部wwW般子网加密后的数据句摘要解密原始数据包DDN/FRX.25专线加密后的数据包服务中国内部工作子网Hash加密管理子网重点子网下属机构摘要摘要Hash45DsS得到数字签名Hash

摘要加密将数字签名附在原始包

后面供对方验证签名8

0-

日原始数据包原始数据包内部wWW般子网管理子网数

据

源

身

份

认

证两摘要相比较相等吗?原始数据包摘要取出DSS解密服务中国对原始数据包进行HashDDN/FRX.25专线DSSDSs肉部工作子网原始数据包验证通过重点子网下属机构摘要私钥HashDSSDSS46VPN

的

应

用

示

意

图Windows客

户

端受

保

护

子网控制

中心副

品路

由器品品路

由器VPN

概

述VP

N

移动

客

户服务中国神

州

数

码

Digital

China受

保

护

子

网VPN网关VPN

网

关Internet●●二

二●

●a

●●

●447●●●●一VPN的

组

成·VPN

网

关·VPN

客户

端

软

件·

集

中

管

理

软

件

或

控

制

中

心神州数码

DigitalChina服务中国48·

从

全

网

角

度

考

虑，

在

保

证

全

网

路由

畅

通

的

基

础

之

上，

通

过

安

全

配

置

路由

器

、

交换

机

等

网

络

设

备

改

进

整

个

网

络

的

安

全

性

。网

络

设

备

的

安

全

性

增

强神州数码

DigitalChina服务中国49以

路

由

器

为

例

说

明Global服务配置---通过考察骨干节点上的骨干路由器配置

情

况，

结

合

实际

需

求，

打

开

某

些

必

要的

服

务

或

是

关Interface

服务配置---根据制定好的基本配置方案对路由

器进行配置检查，删去某些不必要ip

特性，诸如：noipredirectsno

ip

drected-broadcastCDP

配置根据ISP网络的特点，以及制定好的方案，配置路由器的CDP。banner,隐藏路由器系统真secret来加密secret□令。神州数码

Digital

ChinaLoginBanner配置修改login

实信息。Enablesecret配置使用enable

等

等闭一些不必要的服务。例如：no

service

fingernoservice

pad等●●···

·服务中国50·

操

作

系

统

的

安

全

性

增

强

技

术·

数

据

库

系

统

的

安

全

性

增

强

技

术·基于主机的入侵检测技术·

漏

洞

扫

描

技

术(

针

对

操

作

系

统

和

数

据

库

)系

统

层

的

安

全

技

术神州数码

DigitalChina服务中国51基

于

主

机

的

入

侵

检

测·基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监·

个原理：计算机系统上的攻击和正常的系统活动有着显著的不同。

一个系统入侵者所表现出的行为模式不同于合法用户的正常行为。入侵检测的工作就是通过分析现有系统提供的众多信息来检测那些异常于这样器应用基务测服侵检Web入如机，主视模式

。神州数码

DigitalChina服务中国52基

于

主

机

的

入

侵

检

测

示

意

图主机入侵检测控制合Internet神州数码

DigitalChina探测引擎服务中国内部网53漏

洞

扫

描

技

术·

从

原

理

上

讲，

网

络

漏

洞

检

测

就

是

模

拟

攻

击者的角度

、

攻击的方法和手段并结合

漏洞知识库进行扫描和检测，也就是说

网络漏洞检测是通过扫描工具发出模拟

攻击检测包

，

然后侦听检测目标响应来

收集信息和判断网络中是否存在漏洞。

检测范围包括所有的网络系统设备：

服务器

、

防火墙

、

交换机

、

路由器等网络

中所有设备及主机

。神州数码

DigitalChina服务中国54内部网Internet其他合作的外部网络扫描防火墙扫描内部网Web服务器

DNS服务器扫描Web服务器漏

洞

扫

描

示

意

图网络扫描器控制台神州数码

DigitalChina服务中国55·对所有网络中的附属设备进行扫描，检查来自通讯、服务、防火墙、WEB

应用等的漏洞；·其扫描对网络不会做任何修改和造成任何危害；·

生

成

针

对

企

业

决

策

人、

部

门

管

理

人

员以

及

技

术

人员等不同管理对象的报告，报告中详细说明

了每个漏洞的危害及补救办法；·网络的漏洞扫描可以按安全级别实施，评估安

全级别越高，达到的安全程度越高。神州数码

DigitalChina漏

洞

扫

描

产

品

的

功

能服务中国56ApplicationPresentationSessionTransportNetworkData

LinkPhysical身份认证技术防病毒技术应用服务器的安全增强技术应

用

层

安

全

技

术神州数码

DigitalChina服务中国57emallVPNwebEDIPKI

的

引

入$SLeayments服务中国神州数码

DigitalChinaPKI

isatthe

heart

ofe-businessapplicationsPIGnetprnssSAMIEIPSecSET58基

础PKI

策

略软硬件系统PKI

应

用服

务

实

体证书机构CA

注册机构RA

证书发布系统PKI组

成

框

图神州数码

DigitalChina服务中国59·一个

典

型

的CA系

统

包括安全服务器、注

册机构RA

、CA服务

器、LDAP目录服务器和数据库服务器等。用户申请业务受理注册机构RA

CA.服务器典

型CA

框

架

图数据库服务器LADP服务器证书下载或查询神州数码

DigitalChina服务中国数据库服务器

LADP服务器安

全

服

务

器安

全

服

务

器证书用户60C

AServe

r

认

证

中

心CA

本

地

数

据

库

服

务

器CA

证

书

库

(

目

录

服

务

器)

(

可

选

件

)RAServe

r

注

册

中

心

(

可

选

件

)RA

本

地

数

据

库

服

务

器LRA(LocalRA)

注

册

终

端

(

可

选

件

)CATermina1

个

人

管

理

器

(

可

选

件

)CABrowser

公

众

申

请

/

下

载

服

务

器

(

可

选61T卡

)CA

系

统

构

成

神州数码

Digital

China服务中国根CA管理证

书

管

理密

钥

管

理CRL

管

理目

录

管

理审

计

管

理CA

主

要

功

能神州数码

DigitalChina服务中国62证

书

的

申

请

、

签

发

流

程RA/CAAdmin考

授

权

码创建用户DNLDAP身

份

证

明荣

略

规

定

的

方

法目录服务器63神州数码

HONE

Chin参

考

号

和

授

权

码新

用

户用中请服务中国CA填写得到的Ref#和AuthCode序通过验证用户本地产生密钥对LDAP将用户证书发布到自录服务号器CAdminCATerminal

CABrowserHO

C数码E州M神证

书

下

载

流

程IT

服

务

中

国CA

签

证—FTP/HTTP/SMTP·

服

务

器防

病毒·邮

件

或

群

件

防

毒—EXCHANGE

Sendmail—LotusNotes·

客

户

机

防

病

毒·

病毒控制中心防

病

毒

产

品

组

成·

网关防毒神州数码

DigitalChina服务中国65