《网络对应用系统的支持规范.doc》由会员分享,可在线阅读,更多相关《网络对应用系统的支持规范.doc(6页珍藏版)》请在三一文库上搜索。
1、某某石油管理局企业标准网络对应用系统的支持规范1适用范围 某某油田各级单位2规范解释权 本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。3网络对应用系统支持概述:网络为用户数据流的传输和获得用户信息而提供一种传输机制。网络和支持它的基础设施必须防止阻碍用户信息传输的拒绝服务攻击。支撑性基础设施可以是管理系统或者其他任何支持网络运行的系统。网络支持三种不同的数据流:用户、控制和管理。用户通信流就是简单的在网上传输用户信息。网络有责任分割用户通信流。必须维护单个用户连结的隔离,以确保可信赖的发出信息。控制通信流是为了建立用户连结而在所必备的网络组件之间传送的任意信息。控制通信流由一
2、个信令协议提供,包括编址、路由信息和发信令。网络基础设施的正确编址是用户通信流的基础,它确保了数据能被传送到目的地址。管理通信流使用来配置网络组件或表明网络组件状态的信息,与其相关的协议包括简单网络管理协议(SNMP)公共管理信息协议(CMIP)、超文本传输协议(HTTP)等。网络管理通信流对于确保网络组件没有被非授权用户改变非常重要。下面将从两个方面说明网络在支持应用系统安全时因该注意的地方4油田专有骨干网的可用性这一部分内容强调了改善油田骨干传输系统的可用性,使得即使在信息战的攻击下仍能够满足网络的操作需求。骨干网可用性的基本要求是当需要通过骨干网来完成任务时它们能够发挥作用。以下是我们对
3、其确定的特别需求: 骨干网必须提供得到认可级别的响应、服务连续性、通信服务中的抗意外性和抗故意中断服务。(认可是在网络拥有者和网络用户之间达成的)。 骨干网不需要太多的提供用户数据的安全服务(比如保密性和数据完整性),那一般在子网网络边界提供。 骨干网必须保证信息不拖延、误传递或不传递。 作为端到端的信息传输系统,骨干网提供的服务必须对用户透明。 作为透明需求的一部分,骨干网与其它骨干网或者本地网络必须无缝连接。4.1 骨干网安全要求访问控制 访问控制必须能够区分用户对数据传输的访问和管理员对网络管理和控制的访问。比如,用户对状态信息访问时,必须实施比访问配置信息更强的访问控制。 访问控制必须
4、能够限制对网络管理中心的访问。认证 网络设备必须能认证从其它网络设备外发出的所有通信的来源,比如路由信息。 网络设备必须认证网络管理人员的所有的连接要求。 网络管理系统必须在同意访问之前能认证网络管理人员。 网络管理中心必须认证从外网进入网络管理中心的所有通信源。 网络管理中心必须认证制造商提供的材料的来源。 网络管理中心必须认证制造商提供的软件的来源。比如,新版本的操作系统必须经相应级别的信息安全机构评审认可后才能在网络上使用。 在所有拨号用户进入网络管理之前,网络管理中心必须认证他们。可用性 硬件和软件(比如用户代理和服务器)对用户必须是可用的。 服务商必须向用户提供高层次的系统可用性。保
5、密性 必须提供关键材料的保密性。 网络管理员必须提供路由信息、信令信息、网络管理通信流的保密性,以保障它们的安全。完整性 必须保证网络设备之间通信的完整性。 必须保证网络设备的硬件和软件的完整性。 必须保证网络设备的网络管理中心之间的完整性。 必须保证制造商提供的硬件和软件的完整性。 必须保护向网络管理中心的拨号通信的完整性。不可否认性 网络人员一定不能否认对网络设备的配置所作的改变。 制造商一定不能否认由他们提供或开发的软硬件。4.2骨干网潜在的威胁网络可用性的威胁主要有: 可用带宽损耗:每一个网络都只有有限的带宽。黑客的攻击可以减少可用带宽,使合法用户的网络资源受到限制,从而降低了网络的可
6、用性。 网络管理通信的破坏:本质上,网络的功能是通过通信信道将一个用户的信息传递给另一个用户。这种攻击通过破坏通信信道,从而威胁正常的信息传输。 网络基础设施失去管理:表现为网络基础设施失控。这时网络资源可能被攻击者利用以达到它们的目的。4.3为支持应用骨干网应当实施的防范 对于可用网络带宽的攻击:1) 对骨干网来说,网络阻塞攻击最容易检测但最难处理。这种攻击有很多防御措施,如服务代理或者介质冗余技术,他们常用于军事,但在商业骨干网中较少。实施此规范时可以根据油田应用的实际情况酌情使用。2) 洪流攻击能通过消耗网络资源来“淹没”网络,使网络通信量出现超负荷。通常有两种预防措施,一是给特定的用户
7、优先使用带宽的权利,而是给每个接入点一定的带宽。3) 服务与窃取攻击,其危害较轻。典型的预防措施是用户在使用该项业务时先进行认证。另外可以建立可靠的检测技术。 对于网络管理通信破坏攻击:这种类型的攻击是专门针对骨干网的。有两种预防办法。一 所有的网络管理信息流都产生于本地网络之内,需要所有的外接设备都必须对进入网络的通信信息进行检测以防非网络管理命令从外部进入,这种措施关键在于建立一个安全接口;二 对通信的完整性和权限进行认证。 对于使网络基础设施失控的攻击:1) 针对网络操作员和设备之间通行的攻击,最好的对策是提供尽量多的接入点,允许网络管理员和网络基础设备之间的自由通信。2) 直接针对网络
8、设备的网络控制攻击,有两种可行的对策,在进入网络系统之前进行严格认证或者在网络操作员和设备之间建立一条受保护的通道,例如加密的虚拟专用网络。3) 针对网管中心的攻击,网络护卫和防火墙可以用来监测进入网管中心的通道,可防止非通信的访问、病毒入侵和其它的网络威胁。另外是在组织和流程上,实施有关的策略或者流程来支持网管中心的恢复和建立备份网管中心 此外对于内部人员的攻击(网管中心的操作员、网络组件的开发者和程序员恶意的攻击或者误操作),最有效的对策是建立策略机制和严格的访问控制。策略机制把网络访问权限分为关键网络功能,诸如配置、维护和提供资源,以及非关键网络功能。建立审计机制来检查网络操作的执行。
9、石油管理局应当统一管理骨干网络,规定各应用单位接入主干网络的标准,包括防火墙配置,应用端口的设定等;保证应用系统之间的透明性。5支持公共网络平台安全的若干技术网络平台安全指利用公共通信基础设施构造内联网以及与国际互联网和其他网络连接的结构安全。利用公共通信基础设施进行户外或跨地域连接的安全问题,主要解决被保护网络内的站点以及子网在与外部网络连接、通信和信息交换中的访问控制、实体鉴别和传输过程中的机密性、完整性问题。目前被广泛看好的虚拟专用网(Virtual Private Network),即VPN,是通过共享公共通信基础设施实现内联网、外联网和远程用户连接的优化技术之一。VPN的构建在链路层
10、或者网络层上进行,VPN这种网络的“专有”或“私有”是依靠防火墙、网关设备或密码设备等的配置来维持的。因此,一般来说VPN是一种泛称技术,并不等于网络安全,为此提出安全VPN的概念。所谓安全的VPN,就是解决维持VPN结构期间通行源之间的访问控制、鉴别以及加密传输的问题,并对VPN结构的维持具有可管理性。可见,解决了VPN的安全问题,实际上就构成了安全的网络通信平台。5.1 防火墙5.1.1 概念防火墙是位于内部网络和外部网络连接通道处的物理隔离设备,对进出内部网络的通信和服务进行基于访问控制策略的判决和反应,从而允许符合安全策略的信息流动,而阻断不合符安全策略的信息流动。5.1.2 功能防火
11、墙的基本功能有两个:一是隔离 ,使内部网络不与外部网络连接;二是访问控制,使进出内部网络的数据包按照安全策略有选择的转发。围绕这两个基本功能,大量与安全有关的网络技术和安全技术被综合进防火墙中,使防火墙的功能不断扩展,性能不断提高。概括的说,功能较完善的防火墙一般具有下列特性: 基于IP地址、TCP/IP协议端口号以及协议类型的过滤控制功能,一实现基本访问控制; 基于流状态检测的过滤控制功能,以实现更为细粒度的访问控制; 网络地址转换能力(NAT),以利用保留IP地址实现与异地网络的连接,并对外部网络隐藏内部网络拓扑信息; 自主可控操作系统平台,以阻塞通用操作系统的安全漏洞; 黑匣子功能,即防
12、火墙不对除管理器以外的任何用户和进程提供进入系统的途径; 较强的审计信息收集能力,并通过安全通道传输审查信息; 告警和紧急状态下的应急处理能力。此外,某些针对内部网络与国际互联网连接安全而专门设计的防火墙,还将用户鉴别、应用代理等功能集成到防火墙设备中。5.2 链路层加密5.2.1 概念链路加密是在OSI参考模型的第二层实现的,信息在同一链路的两节点之间进行双向加/解密,当源信息需要通过不同链路才能到达终点时,必须使用不同的链路密码设备完成加/解密。5.2.2 功能链路加密在采用适当密码算法并在规定限期内,可保证信息传输的机密性和完整性。链路加密可以通过一对N的方式完成与多个节点的保密通信。通
13、过链路加密设备,一个组织机构或一个行业系统可以利用公共网络将分散在各地方的网络安全的连接起来形成安全VPN。从安全VPN的角度讲,当两个节点需要通过多个链路时,链路之间会出现明文;进一步,多种链路设备的管理和配置参数的一致性和集中管理会存在一定难度。因此,链路加密设备最适合于通过单一类型网络构成安全的VPN。5.3 基于Ipsec的网络加密5.3.1 概念这里所说的网络加密是指运行在OSI参考模型的第三层或TCP/IP模型的IP层上的密码技术。就目前广泛采用的互联网技术而言,几乎所有公共通信基础设施和服务供应商都支持TCP/IP有关协议标准。针对IP层的密码技术运用,国际上普遍采用事实上的工业
14、标准基于Ipsec机制的隧道模式。当其设计网络保护而不是主机保护时,均采用基于Ipsec的ESP(封装安全载荷)隧道模式。这种工作模式采用ESP模式在网关处对原IP包或其它协议数据包进行加密封装后再附上ESP安全相关报头,然后以网关的IP地址作为新的源地址通过公共网络送到接收端网关。接收端网关收到该IP包后,利用ESP安全相关信息进行解密还原处理后将数据包递交给目的地。很显然,由于这里采用了与网络接口层无关的IP协议,因此通过支持IP协议的多个互联网网关时,只需按路由递交即可,而无需与密码技术相关的其它转换。5.3.2 功能基于Ipsec的网络加密具有如下功能: 网络层加密设备具有一对N的通信
15、能力,因此一个加密设备可与多个加密设备互连; 由于加密设备处于网关的位置,因此可以利用访问控制策略对明/密文传输要求进行判决,从而使一些子网或站点信息通过加密隧道传输,而另一些内部子网络或站点信息不通过加密隧道传输,以提高网络传输效率并避免滥用密码技术; 基于Ipsec的密码设备,可通过公共网络方便的构建管理信息的安全通道,以实现密钥分发、管理以及审计信息传输的网络化自动过程; 网络化管理为密码设备的统一配置提供了基本条件,因此为垂直分层次的树性结构大中型内连网提供了集中管理、分布式策略控制的网络平台设备; 基于Ipsec网关间的加密隧道模式与网络接口层无关,因此两个被保护网络之间的网络只需支持IP网络互连协议标准,无需其他设备;此外,这类密码设备还可以综合防火墙的其他功能,由此构成的网络平台机构具有多重安全性。综上所述,基于IP层的密码设备是通过公共网络构建安全VPN的理想技术之一。6生效日期