天融信网络信息安全解决方案

计算机网络是一个分层次的拓扑结构，因此网络的平安防护也需采纳分层次的拓扑防护措施。即一个完整的网络信息平安解决方案应当覆盖网络的各个层次，并且与平安管理相结合。以该思想为动身点，北京天融信公司提出了"网络信息平安解决方案"。一、网络信息平安系统设计原则1.1满意Internet分级管理需求1.2需求、风险、代价平衡的原则1.3综合性、整体性原则1.4可用性原则1.5分步实施原则目前，对于新建网络及已投入运行的网络，必需尽快解决网络的平安保密问题，考虑技术难度及经费等因素，设计时应遵循如下思想：

（1）大幅度地提高系统的平安性和保密性；

（2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透亮性；

（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

（4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；

（5）平安保密系统具有较好的性能价格比，一次性投资，可以长期运用；

（6）平安与密码产品具有合法性，并便于平安管理单位与密码管理单位的检查与监督。

基于上述思想，网络信息平安系统应遵循如下设计原则：

1．1满意因特网的分级管理需求

依据Internet网络规模大、用户众多的特点，对Internet/Intranet信息平安实施分级管理的解决方案，将对它的限制点分为三级实施平安管理。

第一级：中心级网络，主要实现内外网隔离；内外网用户的访问限制；内部网的监控；内部网传输数据的备份与稽查。

其次级：部门级，主要实现内部网与外部网用户的访问限制；同级部门间的访问限制；部门网内部的平安审计。

第三级：终端/个人用户级，实现部门网内部主机的访问限制；数据库及终端信息资源的平安爱护。

1．2需求、风险、代价平衡的原则

对任一网络，肯定平安难以达到，也不肯定是必要的。对一个网络进行实际额探讨（包括任务、性能、结构、牢靠性、可维护性等），并对网络面临的威逼及可能担当的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的平安策略。

1．3综合性、整体性原则

应用系统工程的观点、方法，分析网络的平安及具体措施。平安措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取限制、密码、低辐射、容错、防病毒、采纳高平安产品等）。一个较好的平安措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络平安应遵循整体平安性原则，依据规定的平安策略制定出合理的网络平安体系结构。

1．4可用性原则

平安措施须要人为去完成，假如措施过于困难，对人的要求过高，本身就降低了平安性，如密钥管理就有类似的问题。其次，措施的采纳不能影响系统的正常运行，如不采纳或少采纳极大地降低运行速度的密码算法。

1．5分步实施原则：分级管理分步实施

由于网络系统及其应用扩展范围广袤，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络平安问题是不现实的。同时由于实施信息平安措施需相当的费用支出。因此分步实施，即可满意网络系统及信息平安的基本需求，亦可节约费用开支。

二、网络信息平安系统设计步骤

网络平安需求分析确立合理的目标基线和平安策略明确打算付出的代价制定可行的技术方案工程实施方案（产品的选购与定制）制定配套的法规、条例和管理方法本方案主要从网络平安需求上进行分析，并基于网络层次结构，提出不同层次与平安强度的网络信息平安解决方案。

三、网络平安需求

准确了解网络信息系统须要解决哪些平安问题是建立合理平安需求的基础。一般来讲，网络信息系统须要解决如下平安问题：局域网LAN内部的平安问题，包括网段的划分以及VLAN的实现在连接Internet时，如何在网络层实现平安性应用系统如何保证平安性l如何防止黑客对网络、主机、服务器等的入侵如何实现广域网信息传输的平安保密性加密系统如何布置，包括建立证书管理中心、应用系统集成加密等如何实现远程访问的平安性如何评价网络系统的整体平安性基于这些平安问题的提出，网络信息系统一般应包括如下平安机制：访问限制、平安检测、攻击监控、加密通信、认证、隐藏网络内部信息（如NAT）等，具体参见北京天融信公司<。

四、网络平安层次及平安措施4.1链路平安4.2网络平安4.3信息平安网络的平安层次分为:链路平安、网络平安、信息平安

网络的平安层次及在相应层次上实行的平安措施见下表。

PRIVATE信息平安信息传输平安（动态平安）数据加密数据完整性鉴别防抵赖平安管理信息存储平安（静态平安）数据库平安终端平安信息的防泄密信息内容审计用户鉴别授权（CA）网络平安访问限制（防火墙)网络平安检测入侵检测（监控)IPSEC（IP平安）审计分析链路平安链路加密4．1链路平安

链路平安爱护措施主要是链路加密设备，如各种链路加密机。它对全部用户数据一起加密，用户数据通过通信线路送到另一节点后马上解密。加密后的数据不能进行路由交换。因此，在加密后的数据不须要进行路由交换的状况下，如DDN直通专线用户就可以选择路由加密设备。

一般，线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境，它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网，同步线路密码机则可用于很多专线环境。

4．2网络平安

网络的平安问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑信息网络的平安首先应当考虑把被爱护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可限制的平安的内部网络。也只有做到这一点，实现信息网络的平安才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网（信任网络）与外部不行信任网络（如因特网）之间或是内部网不同网络平安域的隔离与访问限制，保证网络系统及网络服务的可用性。

目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防火墙，一类是应用代理型防火墙，还有一类是复合型防火墙，即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤，包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透亮性。代理型防火墙作用在应用层，一般可以对多种应用协议进行代理，并对用户身份进行鉴别，并供应比较具体的日志和审计信息；其缺点是对每种应用协议都需供应相应的代理程序，并且基于代理的防火墙经常会使网络性能明显下降。应指出的是，在网络平安问题日益突出的今日，防火墙技术发展快速，目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：VPN功能、计费功能、流量统计与限制功能、监控功能、NAT功能等等。

信息系统是动态发展变更的，确定的平安策略与选择合适的防火墙产品只是一个良好的开端，但它只能解决40%－60%的平安问题，其余的平安问题仍有待解决。这些问题包括信息系统高智能主动性威逼、后续平安策略与响应的弱化、系统的配置错误、对平安风险的感知程度低、动态变更的应用环境充溢弱点等，这些都是对信息系统平安的挑战。

信息系统的平安应当是一个动态的发展过程，应当是一种检测──监视──平安响应的循环过程。动态发展是系统平安的规律。网络平安风险评估和入侵监测产品正是实现这一目标的必不行少的环节。

网络平安检测是对网络进行风险评估的重要措施，通过运用网络平安性分析系统，可以刚好发觉网络系统中最薄弱的环节，检查报告系统存在的弱点、漏洞与担心全配置，建议补救措施和平安策略，达到增加网络平安性的目的。

入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据须要爱护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，找寻网络违规模式和未授权的网络访问尝试。当发觉网络违规模式和未授权的网络访问时，入侵检测系统能够依据系统平安策略做出反应，包括实时报警、事务登录，自动阻断通信连接或执行用户自定义的平安策略等。

另外，运用IP信道加密技术（IPSEC）也可以在两个网络结点之间建立透亮的平安加密信道。其中利用IP认证头（IPAH）可以供应认证与数据完整性机制。利用IP封装净载（IPESP）可以实现通信内容的保密。IP信道加密技术的优点是对应用透亮，可以供应主机到主机的平安服务，并通过建立平安的IP隧道实现虚拟专网即VPN。目前基于IPSEC的平安产品主要有网络加密机，另外，有些防火墙也供应相同功能。

4．3信息平安（应用与数据平安）

在这里，我们把信息平安定义为应用层与数据平安。在这一层次上，主要是应用密码技术解决用户身份鉴别、用户权限限制、数据的机密性、完整性等网络上信息的平安问题。由于网络的开放性和资源的共享，使得网络上的信息（无论是动态的还是静态的）的运用和修改都是自由的，如非法修改、越权运用、变更信息的流向等。这也必定威逼到信息的可控性、可用性、保密性、完整性等平安属性。为了保证信息的平安，我们必需实行有效的技术措施。这些措施主要从以下几个方面解决信息的平安问题，即：用户身份鉴别、用户权限限制、信息的传输平安、信息的存储平安以及对信息内容的审计。

北京天融信公司为解决这一层次的平安问题而供应的相关产品有：wInternet/Intranet加密系统：它为应用程序供应身份鉴别、数据加密、数字签名和自动密钥分发等平安功能。CA系统：建立证书中心（CA）即公钥密码证书管理中心，是公钥密码技术得以大规模应用的前提条件。公钥密码算法在密钥自动管理、数字签名、身份识别等方面是传统对称密码算法所不行代替的一项关键技术。尤其在当前迅猛发展的电子商务中，数字签名是电子商务平安的核心部分。公钥密码算法用于数字签名时须借助可信的第三方对签名者的公开密钥供应担保，这个可信的第三方就是CA。因此，建立CA是开展电子商务的先决条件。另外，CA还可为各种基于公钥密码算法建立的网络平安系统供应认证服务。端端加密机：这类密码机只对用户数据中的数据字段部分加密，限制字段部分则不加密，用户数据加密后通过网络路由交换到达目的地后才进行解密。用户数据在网络的各个交换节点中传输时始终处于加密状态，有效地防止了用户信息在网络各个环节上的泄漏和篡改问题。端端系列加密机系列目前主要用于X.25分组交换网等端到端通信环境，为X.25网用户供应全程加密服务，它支持专线及电话拨号两种入网方式。信息稽查系统：是针对信息内容进行审计的平安管理手段，该系统采纳先进的状态检查技术，以透亮方式实时对进出内部网络的电子邮件和传输文件等进行数据备份，并可依据用户需求对通信内容进行审计，并对压缩的文件进行解压还原，从而为防止内部网络敏感信息的泄漏以及外部不良信息的侵入和外部的非法攻击供应有效的技术手段。办公自动化文电加密系统：文电办公自动化平安保密系统是用于文件和电子邮件传送、存储以及访问限制的应用系统，是应用层加密系统。系统采纳对称与非对称算法相结合的体系，为适应国家有关规定，算法可依据用户的平安强度需求不同进行定制；而且具有操作简洁、运用便利的特点。可广泛应用于企业内部网、局域网、广域网以及利用Internet开展的诸多应用中。

平安数据库系统：平安数据库系统是一套完全自主版权好用化的数据库软件产品，系统主要的平安机制包括：管理员、审计员、平安员三权分立的管理机制；对用户和数据的分级管理机制；同时供应牢靠的故障复原机制。该系统是客户/服务器体系机构的分布式多媒体数据库管理系统，支持多台服务器并行协同工作，供应良好的分布式数据库环境，确保分布数据的完整性；支持存储过程和远程数据访问；系统性能与功能强度，相当于ORACLEV7，并可与ORACLE等流行数据库互联互访。数据库平安保密系统：数据库平安保密系统是针对目前已选用的通用数据库开发的平安措施，是在目前流行的通用数据库（如Oracle）基础上增加控件，以实现对数据库的访问/存取限制及加密限制等。五、网络信息平安解决方案选型指导5.1链路平安解决方案5.2网络平安解决方案5.3信息平安解决方案5．1链路平安解决方案

用户需求：链路加密，防信息泄漏，对用户透亮，设备自身平安管理

解决方案：异步线路密码机（适用于电话网）、同步线路密码机）适用于（DDN专线、X.25专线、卫星线路）

5．2网络平安解决方案

1．基本防护体系（包过滤防火墙＋NAT＋计费）

用户需求：全部或部分满意以下各项解决内外网络边界平安，防止外部攻击，爱护内部网络解决内部网平安问题，隔离内部不同网段，建立VLAN依据IP地址、协议类型、端口进行过滤内外网络采纳两套IP地址，须要网络地址转换NAT功能支持平安服务器网络SSN通过IP地址与MAC地址对应防止IP欺瞒基于IP地址计费基于IP地址的流量统计与限制基于IP地址的黑白名单。防火墙运行在平安操作系统之上防火墙为独立硬件防火墙无IP地址解决方案：采纳网络卫士防火墙NGFW-2000

2．标准防护体系（包过滤＋NAT＋计费＋代理＋VPN）

用户需求：在基本防护体系配置的基础之上，全部或部分满意以下各项供应应用代理服务，隔离内外网络用户身份鉴别权限限制基于用户