《[互联网]第12章 计算机网络安全工程.ppt》由会员分享,可在线阅读,更多相关《[互联网]第12章 计算机网络安全工程.ppt(122页珍藏版)》请在三一文库上搜索。
1、,第12章 计算机网络安全工程,12.1 网络安全系统设计过程 12.2 区级电子政务网络安全系统设计实例 习题,12.1 网络安全系统设计过程 计算机网络安全从其本质上来讲就是保障网络上的信息安全,即保证网络上信息的保密性、完整性、可用性、真实性和可控性。如何在网络上保证合法用户对资源的安全访问,防止并杜绝黑客的蓄意攻击与破坏,同时又不至于造成过多的网络使用限制和性能的下降,或因投入过高而造成实施安全性的延迟,正成为当前网络安全技术不懈追求的目标。 网络安全设计一般应遵循以下过程:,1. 需求分析 需求分析一般包括确定网络资源、分析安全需求两方面的工作。 确定网络资源是网络安全系统设计中的首
2、要步骤。一般的网络建设很少是全新的建设,因此在进行方案设计的时候必须考虑原有网络资源情况,尽量在保留原有设备和资源的前提下进行扩建和升级,避免造成浪费。网络资源一般包括网络中的硬件资源、软件资源及存储资源等。 安全需求分析是在确定网络资源的基础上结合系统的设计目标确定每一部分网络资源对安全方面的要求以及要达到的目标。,2. 方案设计 安全方案设计一般是在安全需求分析的指导下,针对现有网络资源进行风险评估以确定现有资源存在的安全风险,然后制定相关的安全策略,并选择所需的安全服务种类及安全机制。,1) 风险评估 风险评估是对信息和信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估,一般根据网
3、络的开放程度,对安全故障可能造成的业务损失、现有网络服务的风险、当前的主要威胁和漏洞以及目前实施的控制措施进行分析,确定信息资产的风险等级和优先风险控制。 常用的风险评估可以采用量化分析法或定性分析法对系统面临的风险等级作出评估。所谓量化分析法属于精确算法,就是用数字来进行评估,把考虑的所有问题都变成可以度量的数字,计算出风险评估分数,从而得出面临的风险等级。定性分析方法则是在评估时对风险的影响值和概率值用“高/中/低”的期望值或划分等级的办法来评估系统风险。,进行风险评估是一个非常复杂的过程,除了常用的量化法和定性分析法以外,也可以利用一些风险评估工具,如基于信息安全标准的风险评估与管理工具
4、ASSET、CC Toolbox;基于知识的风险评估与管理工具COBRA、MSAT、RISK;基于模型的风险评估与管理工具RA、CORA等。另外,还有一些基于漏洞检测和面向特定服务的扫描工具,包括基于主机的风险评估工具、面向应用层的风险评估工具以及密码和帐户的检查工具等。,2) 制定安全策略 安全策略规定了用户、管理人员和技术人员保护技术和信息资源的义务,也指明了完成这些机制要承担的责任,是所有访问机构的技术和信息资源人员都必须遵守的规则。一般来说,安全策略包含两个部分:总体的策略和具体的规则。总体的策略用于阐明企业或单位对于网络安全的总体思想,而具体的规则用于说明网络上什么活动是被允许的,什
5、么活动是被禁止的。计算机网络的安全策略一般包含物理安全策略、访问控制策略、信息加密策略、网络安全管理策略等几个方面。具体也可以参照RFC 2196中安全策略的详细信息。,3) 决定安全服务 在工程中,网络安全服务一般包含预警、评估、实现、支持和审计几个过程。 预警:根据掌握的系统漏洞和安全审计结果,预测未来可能受到的攻击危害,全面提供安全组织和厂家的安全通告。 评估:根据当前用户的网络状况进行深入的、全面的网络安全风险评估与管理。主要包括威胁分析、脆弱性分析、资产评估、风险分析等技术手段。, 实现:根据预警和评估的成果,对不同的用户制定不同的网络安全解决方案。主要包括系统加固、产品选型,工程实
6、施、维护等全面的技术实现。 支持:对用户进行全面的安全培训和安全咨询,以及对突发事件进行快速响应支持。帮助用户建立良好的安全管理体制,提高用户安全意识。 审计:针对用户的网络安全现状,审查核定网络安全状态,帮助用户识别网络环境的漏洞和存在的风险,提供安全报告并且提出安全解决方案。,4) 选择安全机制 根据安全策略和选择的安全服务确定具体要采用的安全机制,即要实现的具体技术措施,包括网络物理安全、计算机系统安全、数据安全、防火墙、入侵检测、防病毒技术等。,3. 系统集成 安全系统集成就是根据安全设计方案进行相关硬件和软件的选择和配置,并测试网络系统安全性,建立有关安全的规章制度,并对安全系统进行
7、审计、评估和维护,同时,还必须在网络建成后对用户、管理者和技术人员进行技术培训,使其对整个网络进行有效管理和使用。,12.2 区级电子政务网络安全系统设计实例 电子政务网络是政府信息网络平台,如何建立一个标准统一、功能完善、安全可靠的电子政务网络是关系到整个政府信息能否得到有效利用的关键因素。区级电子政务网络是市级电子政务网络建设的重要组成部分,而随着国民经济的发展,原有的电子政务网络已不能满足区内各级政府办公和为民服务的需要,因此计划应充分利用原有政务网的基础,重新规划建设覆盖全区的电子政务网络,以满足全区范围内各行政部门办公的需求。,新建设的区政务网络平台作为全区各个办事机构的主要办公平台
8、,涉及了很多部门(如财政、工商、税务等)的内部信息,因此,该网络上将会有很多部门敏感信息进行传输和流转。同时,区政府网络平台又是区统一的互联网出口,将面临网络上的各种病毒和木马等风险的威胁,如果建成后网络安全无法保障,或存在重大的安全漏洞,那么其后果将是极其严重的,因此,信息安全建设是区政务网络建设中非常重要的部分。,本政务平台的安全建设需要全面的、系统的从边界数据防护系统、病毒防治系统、数据审计系统等几个方面规划。同时,安全规划要与区政务网现有网络整体安全规划一致,统一考虑安全管理问题。,12.2.1 项目概述 安全系统的建设是电子政务建设和应用的重要保障。由于政务应用系统中存在着较多的敏感
9、信息和重要数据,必须保证网络和数据的安全,所以对系统的保密性要求很高。,1. 项目安全系统设计目标 本项目安全系统设计的目标是:对原有区政务网络平台进行必要的安全建设,保障政务平台的信息安全。从技术与管理两方面着手,将全区的网络应用系统建设成一个具有纵深安全体系部署的可靠系统。,重点建设内容包括以下几方面: 政务网络平台本身的基础设施建设; 政务网络平台与各个边界的安全建设; 各个业务系统及公众服务体系安全的措施; 完善的病毒防护机制; 数据安全保障及有效的备份中心; 完善的综管理系统和机制; 统一的全网认证体系。,2. 项目总体安全构架 本项目总体安全架构建设由安全技术架构和安全运行总体管理
10、架构两部分组成。 1) 安全技术架构 网络基础设施安全(网络设备安全配置,核心设备及重要区域链路的冗余,网络出口的负载均衡)。 边界安全策略(边界访问控制,防火墙,入侵防御,网关防病毒)。 计算环境安全(统一防病毒体系,网络审计)。 安全基础设施(公钥体系建设,安全管理中心)。,2) 安全运行管理架构 安全运行管理架构包括安全协调策略、事件响应策略、日常监控策略、升级管理策略、分析改进策略、培训教育策略和应急响应策略。,3. 项目总体设计原则 系统建设应充分考虑长远发展需求,统一规划、统一布局、统一设计。在实施策略上根据实际需要及投资金额,分期配置、分期实施、逐步扩展,保证系统应用的完整性和用
11、户投资的有效性。在方案设计中,应遵循以下设计原则: (1) 标准化原则。系统建设、业务处理和技术方案应符合国家、市及区有关信息化标准的规定。数据指标体系及代码体系统一化、标准化。,(2) 资源充分利用原则。所有设计必须在原有的基础上利用现有资源对政务网络平台提出符合发展趋势的设计规划,并充分利用原有设备。 (3) 实施及网络切换的高效性原则。由于在网络改造和切换的过程中将会严重影响整个区的政务办公,因此,项目的实施设计应遵循改造实施及网络切换的高效性原则,要设计详细的计划和方案。,(4) 安全性原则。信息管理系统中的用户有着各种各样不同的权限级别和应用层次,因此在系统设计时,应该充分考虑不同用
12、户的需求,保证正常用户能够高效、快速地访问授权范围内的系统信息和资源。同时,也必须能够有效地阻止未授权用户的非法入侵和非授权访问。,(5) 可靠性原则。信息管理系统每天将处理全区几十个部门的审批数据,任何时刻的系统设备故障都有可能给用户带来损失,这就要求系统具备很高的稳定性和可靠性,以及很高的平均无故障率,保证故障发生时系统能够提供有效的失效转移或者快速恢复等性能。硬件环境应消除单点故障,实现双机容错和负载均衡功能,保证系统的高可用性,即724小时不停机的工作模式。,(6) 开放性原则。开放性是现今计算机技术发展过程中形成的一种建立大系统、扩大系统交流范围的技术原则。系统总体方案设计在体系结构
13、、硬件/软件平台的确定,以及产品选型、设计、开发等方面都要充分考虑“标准和开放”的原则。在应用系统的设计与开发中,应依据标准化和模块化的设计思想,建立具有一定灵活性和可扩展性的应用平台,使系统不仅在体系结构上保持很大的开放性而且可以提供各种灵活可变的接口,系统内部也应保持相当程度的可扩充性。,(7) 实用性及可扩展性原则。系统的建设既要充分体现政府系统业务的特点,充分利用现有资源,合理配置系统软硬件,保护用户投资;又要着眼建成使用后具有良好的扩展能力,可以根据不断增长的业务需求,随着信息技术的发展而不断地平滑升级。各计算机应用系统的开发,应做到功能完善、使用方便、符合实际、运作高效。实用性的原
14、则是系统能够成功应用的关键。在系统的设计阶段就应该充分考虑本区内当前的各种业务层次的需求、各个环节的数据处理以及管理要求。在实际的项目实施过程中可以采用总体设计、分布实施的方案,保障核心部门的核心业务功能首先得到实现,然后再逐步扩展业务功能。,(8) 可维护性及易用性原则。由于信息管理系统的范围大、应用广,因此对于系统的管理和维护性能提出了更高的要求。在方案设计时,易使用、易维护原则成为将来系统应用实施过程中的重要条件。因此,系统设计必须充分考虑管理维护的可视化、层次化以及控制的实时性。系统面向掌握不同计算机知识层次的人员,要容易操作使用。,(9) 经济性原则。在保证系统能够安全、可靠运行的前
15、提下,充分利用原有的计算机设备、网络设备、业务应用系统、数据等投资,注重经济性,避免浪费,最大限度地降低系统造价,这也是重要的设计思路。同时计算机与网络技术的发展是非常迅速的,通常不可能选择一种永远不过时的计算机及网络技术。所以在构造一个信息管理系统时,应该将投资与目前的应用紧密结合起来,选用便于向更高的技术过渡的方案。,12.2.2 需求分析 某区政务网安全现状拓扑图如图12.1所示。,图12.1 区政务网安全现状拓扑图,1. 网络平台基本状况 目前区政务网络平台由一台核心交换机(Quidway S6506)、 三台内外接入交换机以及三个服务器区和外网出口等几个部分组成的。 在区电子政务内网
16、中,各乡镇与园区通过光纤连接到中心机房,并通过汇聚交换机(Quidway S3526)汇总后接入网络核心;各委办局通过接入交换机(Quidway S3526)汇总后接入网络核心;区政府大院局域网也通过3COM6509交换机汇总后接入核心网络。,网络服务器按照功能分为了三个区域,一个是对外提供服务或有公众网络需求的服务器,此区域设置在出口处的防火墙DMZ区,提供对外服务。另两个区域分别是公文服务器区和OA服务器区,数据库、OA、电子政务等服务器分别连接到一台汇聚交换机上(Quidway S3526)。一台千兆联想防火墙(联想网御防火墙2000FWE-T3)实施安全策略以控制用户对这些服务器的访问
17、。视频服务器和视频采集服务器均直接接入核心交换机(Quidway S6506)。区政府的各种服务器通过汇聚形成服务器群,统一连接到核心交换机。对于Web、OA和经济分析系统采用了双机热备,共用磁盘阵列,集中式存取重要数据。,外网出口有三个,政务外网用户通过防火墙(华依千兆防火墙HY-F2000KU)接入区核心网络;通过PSTN访问区内网的用户经过拨号路由设备(Quidway R2621RT-6AM)接入区核心网络;Internet访问用户则通过防火墙(华依百兆防火墙HY-F2000K)接入区核心网络。,2. 网络安全状况 从安全拓扑图可以看出,区电子政务外网是一个多连接的网络。多连接体现为网络
18、连接既有节点内部不同网段的连接(如区府大院内各部门间的连接),又有节点间的连接(如区府电子政务系统与各局委办专用网络的连接),同时还存在外部连接(与互联网的连接)。,如果将网络结构按照应用系统严格划分,使每种应用都运行在独立的网络中,那么网络中用户相互信任程度就很高,安全问题会降低到最小。但是实际情况不允许这样划分,主要原因在于主机设备、网络设备、通信线路的共用以及不同应用间的数据交换。如果进行硬性的划分必然会增加投资、管理以及维护工作的难度。由于主机为支持应用的需求开放了多种网络服务,客户端通过特定的通信线路执行某种特定应用程序的同时,又用来执行非必要的网络服务,这样就产生了非法访问和黑客攻
19、击的可能。,目前区政务网均统一部署了瑞星防病毒系统;各自按照部门划分了VLAN,进行访问控制;并分别部署了两台百兆鹰眼入侵检测系统,与防火墙形成联动,其主要的安全设备如表12.1所示。,表12.1 某区电子政务网目前主要安全设备表,3. 安全系统需求 由于政务外网将承载区大部分的应用系统,并同互联网逻辑隔离,因此受到的安全威胁较大,也比较复杂。政务外网的安全需求主要来自应用系统安全、网络及系统技术安全、安全基础措施和支撑性基础措施四个方面。 1) 应用系统安全 本期政务外网建成后,将运行多个应用系统,如邮件交换系统、公文流转系统、OA系统等等,这些应用系统对政务外网的接入单位提供服务。需要通过
20、认证授权、应用审计和运行监控等手段对这些应用系统的正常运行进行保护。,2) 网络及系统技术安全 网络及系统技术安全包括以下两方面。 (1) 网络边界安全:网络边界处是整个政务外网安全方面最脆弱、最容易发生隐患的部位。来自外部网络或是内部的攻击和威胁,都会对政务外网造成不可估量的影响。应对进出边界的数据流进行有效的控制与监视,实施访问控制。 (2) 网络骨干和平台安全:对于提供数据传输服务的网络,应能保证政务外网上传输的各种数据流能正确实现传输。需要通过流量监控,核心设备和链路的冗余,网络设备的安全配置等方式保证数据流的高效传输。,3) 安全基础设施 为保证系统的正常运转,需要为各类系统设备提供
21、一个安全、可靠、温湿度及洁净度均符合要求的运行环境;为相关工作人员提供方便、快捷、舒适的工作环境和顺畅高效的通信通道;并需要防止非法用户进入计算机控制室及防止各种偷窃、破坏活动的发生。 4) 支撑性基础措施安全 系统安全的重要工作是对全网(包括公务网和政务外网)的安全状态进行集中的监控,对与区电子政务网安全相关的服务请求做出及时的响应和及时支持。为此需要在网络中心建立集中的管理监控平台,及时掌握全网的安全状态。,12.2.3 策略建设 安全建设是一个体系过程,任何一个环节存在问题都会导致整个系统安全性出现问题。这是信息系统安全中的“木桶理论”,即信息系统的安全程度是由整个系统的最弱环节而非最强
22、环节决定。安全系统的策略建设主要包括网络与基础设施保护策略、计算机环境保护策略、边界安全保护策略和支撑性基础措施保护策略四个方面。,1. 网络与基础设施保护策略 在网络上通常传输着有三种不同的数据流:用户数据、控制数据、管理数据。保护网络与基础设施的根本目的是保护这三种数据流能正确实现传输。通常用于保护网络设施的相关技术有网络流量控制、冗余、备份技术等等。,2. 计算机环境保护策略 信息系统中的每一个主机都是构成信息系统的一员,它们的安全情况都直接影响到整个信息系统的安全。因此,建设一个安全的信息系统首先要做的就是确保信息系统中的每一台主机的安全状况良好。对信息系统中主机安全防护的方法有多种,
23、可以通过操作系统安全加固(打安全补丁、设置安全配置)、安装防病毒软件,对于安全要求严格的主机,还可以通过在系统上安装安全加固软件、主机入侵监测系统等软件并对其数据进行备份来增强主机的安全等级。,3. 边界安全保护策略 绝大多数的网络都需要与外界相连,区政务外网信息系统除了与机关外的各委办局之间存在网络连接外,部门委办局还与其上级单位的局域网之间进行网络连接,这些连接的接入点被称为边界。对边界的保护就是实施访问控制,对进出的数据流进行有效的控制与监视。,4. 支撑性基础设施保护策略 深度防御的根本在于提高针对网络的入侵与攻击的防范能力,支撑性基础设施是能够提供安全服务的一套相互关联的活动与基础设
24、施,其所提供的安全服务用于实现框架式的技术解决方案并对其进行管理。目前的深层防御策略定义了两个支撑性的基础设施检测与响应,其作用是检测、识别可能的网络攻击和非法行为;做出有效响应以及对攻击行为进行调查分析。通常可以采用安全审计系统来检测记录可能的网络非法行为,并对其进行调查分析和总结,从而加固系统的安全。,12.2.4 措施建设 通过对区政务信息中心将来运行环境的分析,我们提出了相应的安全规划,同时明确了用户的安全需求,下面列出的是关于安全集成设计的说明,以切实可行的方案满足用户的需求。 将各个业务不同的服务器按照其功能划分为几个服务器区,同时针对各个服务器区的职能和个别业务的需求,划分严格的
25、安全策略。因此除了在防火墙实施严格的安全访问控制策略外,还需要在网络VLAN划分时,详细考虑网络各部分的规划。, 由于各个应用服务器以及数据服务器的重要性,应部署入侵防御系统、安全审计系统等设备,对区域内重要服务器的访问行为进行多种防护。 为了保障系统的稳定性,重要网络部分均采用双链路连接。 现在的网络面临着各种各样的安全威胁,如蠕虫病毒、黑客的攻击、用户误操作等等,因此需要对整网的数据流进行监控,一旦发现可疑的行为,应迅速采取相关的安全手段,将攻击带来的影响最小化。 为了数据的统一存储及提高磁盘空间的效率,将建立一套全网的SAN系统以方便数据的存储。, 在区网络中心以外的地方增加一台磁带备份
26、服务器,以使系统崩溃或灾难发生时数据不会被丢失,并能恢复到崩溃或灾难之前的运行状态。 信息系统中每个服务器的安全情况都直接影响到整个信息系统的安全。因此,建设一个安全的信息系统首先要做的就是确保信息系统中的每一台服务器安全状况良好,这是通过对整个服务器群区域内的服务器进行系统安全加固来实现。 随着区电子政务网络平台的扩展,越来越多的用户单位都接入这套网络,极需对接入的PC机的防病毒软件和病毒库做统一的管理和更新。, 随着网络平台的扩展,涉及到的网络设备种类、数量繁多。不可能通过人工一台一台地进行维护,这样就给管理和维护人员带来了极大的挑战。通过一个统一的管理平台,能够内嵌和调用其他厂商的监管系
27、统,对各种设备进行自动的远程实时监控和分析,找出故障点和原因,以便及时采取相应措施,并提高工作效率。 为了保障应用系统的安全,提供详尽的应用安全措施。 综合以上设计思想,新区政务网络系统安全设计如图12.2所示。,图12.2 新区政务网安全设计拓扑图,1. 网络基础设施安全 1) 网络设备安全配置 在系统的详细设计阶段,对网络中每个设备的功能就应该有明确的定义。在设备部署过程中,应该根据设计阶段的定义确定设备应提供的网络服务,对于设计定义之外的网络服务应该禁用,因为不必要的网络服务只会为攻击者提供更多的攻击途径和门户。除此之外,有两点应该着重注意:即设备缺省配置和已知的不安全服务。很多设备(或
28、其中软件系统)为了方便用户应用,都会有一个出厂缺省配置。一定要根据系统的详细设计文档仔细核对设备提供的网络服务,禁用不该有的缺省服务。,2) 核心设备及重要区域链路的冗余 由于区政务信息中心网络本身具有的特性,网络核心是整个网络的交通枢纽,如果网络核心瘫痪,整个信息系统的应用将随之崩溃。随着公共服务业务的展开,政府机关日常办公对信息系统的依赖性增大,因此采用网络双交换核心成为大势所趋,并采用高性能的三层交换机来保证网络的连通性和稳定性。该项目将采用网络双交换核心的设计理念,以及重要区域双链路的设计,同时与另外两个分中心建立环状网络,充分保证区政务信息中心的高可用性和稳定性。如图12.2中的“政
29、府网络核心区域”模块所示。,3) 网络出口的负载均衡 网络出口负载均衡有多种方式可以实现。针对不同方式分析如下: 单一的ISP运营商的两条链路同一点接入。整个网络接入互联网使用单一的ISP链路运营商,就等于将网络对外访问的可靠性完全依靠在单一的ISP链路运营商身上。采用双链路的目的本来就为了预防因运营商的故障造成对外访问中断,同一运营商的两条链路很难解决这个问题。, 单一的ISP运营商的两条链路不同点接入。这样可能在一定程度上减小用户两条链路被放置在同一运营商同一地点同一机房的可能性,相对增加了对外访问的可靠性,但是当该运营商的整个网络出现故障时,这两条链路也会完全瘫痪。两条链路不同点的接入方
30、式还将给网络的管理和划分造成较大的问题。这种接入方式造成了网络有两个外网出口的事实,这就需要区的网络管理人员自己划分哪些应用或者哪些人员从哪个网络出口对外访问。这实际是非常困难的,首先网络管理人员必须清楚各种应用的流量大小,以及人员访问出现的峰值,在区政务网高速发展的情况下,应用不断增多,一旦将应用与出口划分固定,就会对今后发展造成极大的障碍。, 不同的ISP运营商的链路同一点接入。采用不同运营商的链路,对出口的瓶颈进行适当的缓解,并实现整个网络出口的不间断性,这就意味要部署负载均衡设备,对这两条链路进行动态的分配,当某条ISP链路掉(down)时,整个负载就直接划到另外一条链路上去,保证网络
31、的不间断性。同时负载均衡设备还可实时地调整两条链路的负载情况,当一条链路流量过大时,可以自动将部分流量调整到另一条链路上,真正地发挥双链路的作用。 根据以上三种情况的分析,确定第三种方式是最合理的接入方式。负载均衡设备部署如图12.2中的“公众网”模块所示。,负载均衡设备都是串接在网络出口处。通过该设备,区政务外网就无需通过ISP 协作、大带宽连接、选定的IP地址块、ASN 或高端路由器来消除系统故障。由于链路控制器解决方案不依靠BGP提供故障切换功能,它不存在BGP多归属所面临的延迟、高更新成本、次等流量管理等问题。通过使用链路控制器,能够使用成本低的带宽,并且可对基于性能、成本和业务政策的
32、链路选择进行完全的粒状控制。,2. 边界安全 1) 边界策略的制定 在区政务网络基础平台建设中,由于职能和业务的不同,网络分为了不同的区域。我们需要按照不同的要求对每个区域采取相对独立的策略设置。网络核心由配置了防火墙模块的万兆交换机组成,重要的网络用户和视频服务、认证服务等直接通过核心交换机,由核心交换机上的防火墙模块处理这些数据流量,以保证这些用户和服务的数据交换的高速及时。如图12.2“政府网络核心区域”模块所示。,对于其他跨区域的数据流量,要严格制定网络边界策略。比如,对于对外服务的Mail服务器、政府网站服务器和DNS服务器来说,一方面要面对互联网上的用户访问,一方面还要访问位于数据
33、库区的门户系统数据库。数据库区域是整个信息网络平台的核心,其安全级别是远远高于对外服务区的,因此我们就要制定相应的边界访问策略,只允许政务中心服务器的固定IP和固定端口访问门户数据服务器的相应端口。 同样,由于信息平台中包括政务网络用户和办公人员,我们也要针对他们定制相应的边界策略,区分不同区域的访问权限。,2) 防火墙 如图12.2所示,本项目除配置了两块核心交换机防火墙板卡外,还有三台防火墙,分别位于分中心1核心交换机、分中心2核心交换机和互联网出口的边界。, 核心区域的防火墙部署 核心交换区域是所有应用服务的核心,在功能上与网络的核心类似,所有的服务处理及数据库集中于此,而且任何原因造成
34、的破坏和中断都会造成严重后果。为了保障全区应用服务的安全运行,对于这一区域的安全保护措施必须加强。另外这一区域不同于连接Internet区域,由于服务及数据量非常集中,数据量及延迟的要求是这一区域安全设计必须考虑的问题。鉴于这些原因,在核心交换区域的核心交换机上配备了防火墙板卡,在保证服务器区域安全的同时也排除了由于安全措施对各种服务的延迟影响,如图12.2所示“政府网络核心区域”模块核心交换机防火墙配置。, 外网出口区域的防火墙部署 Internet区域属于全开放区域,不但数据流量大,而且由于没有统一的安全保障体系,病毒、攻击、入侵、非法站点随处可见。为了保证区政务外网网络的安全,对于这两个
35、网络的连接只在策略上采取控制手段是远远不够的,必须通过专门的设备来保证内部网络的安全。因此通过对一台千兆防火墙来达到硬件级的隔离效果,具体部署在核心交换机与外网之间,分别强制所有由内向外和由外向内传输的数据必须经过防火墙的安全处理。同时在技术方式上内部网络访问Internet统一通过NAT方式,借助NAT技术的地址安全保障功能使外部网络无法获知内部网络情况,从而阻断绝大部分攻击。DMZ区服务器通过外网防火墙进行安全的数据交换。如图12.2所示“公众网”模块和“DMZ”模块防火墙配置。,3) 入侵防御系统与入侵检测 入侵防御对于网络的安全运行和改进完善起着极其重要的作用,通过对全网内所有数据流的
36、实时采集与分析,使得我们能够洞察内部网络的各种非法行为。 入侵防御同时也可以对网络的操作做一个完整的记录,当违反网络安全规则的事件发生时,能有效地追查责任和分析原因,必要时还能为惩罚恶意攻击行为提供必要的技术证据。如果与报警功能结合在一起,就可以在违反网络安全规则的事件发生之后,或在威胁网络安全的重要操作进行时,及时制止和补救,避免损失扩大。,由于对区政务网络的入侵主要集中在连接Internet的出口区域,所以从安全方面考虑,在这个区域内布设入侵防御设备,可以更为有效地阻断入侵行为,为网络管理人员提供重要的数据依据,并在第一时间对入侵行为进行阻断。 入侵防御的部署如图12.2“公众网”模块所示
37、。在Internet与防火墙之间串行接入IPS设备,使其不但能对来自Internet的数据进行分析和检测,也能够对内网中的DMZ区、核心交换机和应用服务器汇聚交换机等的数据流进行实时采集与分析,使得我们能够洞察网络内外的各种非法行为,及时弥补安全漏洞。,通过入侵检测设备,可以实时监控整个网络的数据流量,实时发现攻击行为并立即报警,为动态网络安全防御提供了良好的基础设备支持。利用入侵检测系统,可以在无人干扰的情况下进行724小时的安全监控,一旦发现入侵行为,可以及时地通知管理人员,或者采取其他相应的措施,如切断可疑连接等。,4) 网关防病毒 区政务外网的Internet出口处,是各类病毒进入的重
38、要途径,网关防病毒技术能够在网络边界处,对混合型病毒进行全面扫描,防止病毒通过网络边界传入。网关防病毒的部署如图12.2“公众网”模块所示。 将防病毒网关部署在互联网的出口处,对进入的数据进行扫描,以阻止病毒爆发、堵塞网络病毒(Internet 蠕虫),并在病毒爆发期间阻塞高威胁漏洞,隔离并清除包括无保护设备(当其进入网络时)在内的传染源。防病毒网关不仅能够采取准确的预防病毒爆发的安全性措施,并且能够前瞻性地检测、预防并排除病毒爆发的危险。,3. 计算机环境安全 1) 统一防病毒体系 在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染。其传播速度极快,破坏力更强。据
39、统计,一个新病毒从一台计算机出发后仅六个小时就足以感染全球互联网机器。网络一旦被病毒侵入而发作,将会对重要数据的安全、网络环境的正常运行带来严重的危害。,区政务外网的安全非常重要,一旦病毒发生与扩散,造成的后果不可估量,所以防止计算机病毒是区政务外网安全设计的重要环节。 整个病毒防护系统的部署包括三个部分:服务器父中心端、服务器子中心端和客户端。 由于区政务外网信息点较多,在政务网核心区应该部署专用的防病毒服务器,同时,在各个分中心同样应该部署防病毒服务器,对防病毒客户端要进行集中管理,安装防病毒客户端软件,防病毒控制中心要能够对所有的客户端进行强制防病毒策略的实施,避免人为因素造成病毒防护失
40、败。,应选用具有多层病毒防护体系的防病毒软件来构建区政务网的防病毒部署,由防病毒父中心对位于不同区域的一级防病毒子中心和直属客户端进行控制和更新,再由防病毒一级子中心对所属的防病毒客户端或二级子中心进行日常的维护和更新,由此形成多级的立体的防病毒体系。,2) 网络审计 安全审计是网络安全系统中的一个重要环节。各单位信息网络都包含了许多业务系统,对于一些重要业务系统的操作访问需要进行审计,防止滥用。 通过安全审计技术能够收集审计跟踪的信息;通过列举被记录的安全事件的类别(例如对安全要求的明显违反或成功操作),能适应各种不同的需要。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。,如
41、图12.2中的“政府网络核心区域”模块所示,在核心交换机处安装一台网络安全审计系统,并采用统一的控制中心进行管理。网络安全审计系统上有两种端口,分别为管理端口和探头。分布型网络安全审计系统由控制中心和检测引擎组成,控制中心是安装在客户指定的服务器上的软件,检测引擎是有管理端口和探头的硬件设备。网络审计系统能够实现实时采集网络中对应用系统的访问信息,进行协议分析,恢复还原应用层数据,自动记录重要的事件,协助网管人员全面地掌握网络使用情况,及时发现、制止非法访问。审计范围是与外网相连接的链路,通过在交换机做镜像来采集数据。,4. 支撑性基础措施安全 支撑性基础措施安全包括公钥体制建设和系统综合管理
42、平台两个方面。,1) 公钥体系建设 公钥体系建设分为两个方面:统一授权管理和统一认证,两者是相互关联的有机整体,其目的是为了解决电子政务网络中要解决的安全核心问题,包括网络中各实体身份认证、身份真实性、授权合法性及信息的保密性、完整性和不可抵赖性。其平台建设应根据系统应用当前的实际情况,有计划、有重点地进行和展开,先建立证书应用环境,即部署证书发放模块(RA系统)实现基于证书的身份认证,然后扩大应用范围,并实现重要业务的责任认定,最后待该平台从功能上、性能上、稳定性等几个方面不断完善以后,将其同各类应用平台集成,实现安全应用系统。,区电子政务网络公钥体系建设主要包括SHECA RA系统建设、应
43、用系统安全认证建设和网络远程接入认证建设三个方面(注:SHECA,即上海电子商务安全证书管理中心,是上海市唯一从事数字证书签发和管理业务的权威性认证中心)。,(1) SHECA RA系统建设。SHECA RA(以下简称“RA”)作为SHECA系统证书管理服务功能在区电子政务各单位的延伸,不但能够方便自行管理数字证书,更能根据各自应用的具体情况进行证书信息定制,使得数字证书更能满足对用户属性信息的需要。RA系统建设需要部署以下内容:, RA服务器:RA服务器作为RA服务的主体,需要首先在用户单位进行安装部署; 管理终端:管理终端的作用是对RA服务器进行日常维护和管理; 制证终端:制证终端的作用是
44、对用户证书的申请、审核、制作、管理; 防火墙:若用户有条件,最好在RA服务区出口处部署一台防火墙,用以加强RA服务区的网络环境安全性;配置政务外网与互联网的边界防火墙,以使得RA服务器能够同SHECA指定的服务器建立通信。,(2) 应用系统安全认证建设。应用系统安全认证建设作为数字证书的典型应用,不但技术成熟,部署迅速,而且效果突出,用户操作便捷,因此推荐采用其作为初次建立安全支撑平台的工作内容。应用系统安全认证建设需要部署以下内容:, 安全认证网关部署:安全认证网关作为应用系统安全认证的重要组成部分,能够实现基于数字证书的用户身份安全认证、访问控制、数据传输加密,并为应用系统提供用户证书信息
45、获取接口。安全认证网关部署在客户端和应用服务器通信链路之间。 应用系统接入:根据安全认证网关获取用户证书信息的接口,改造用户登录认证模块。 客户端:安装数字证书USB Key驱动。 防火墙配置:若在应用服务区和用户工作区之间部署防火墙,需要配置防火墙开放安全认证网关端口,允许客户端访问该端口。,(3) 网络远程接入认证建设。网络远程接入认证建设的目标是基于SHECA签发的数字证书,通过部署安全认证网关,实现工作人员能够通过Internet网络安全地连接到电子政务网,并能够正常使用各应用系统。网络远程接入认证部署内容包括远程接入认证客户端和安全认证网关两方面,其中前者采用数字证书和安全认证客户端
46、套件,实现基于数字证书的远程登录,实现双网独立;后者采用SSL/VPN技术,实现对客户端证书验证和访问控制,在客户端和服务端建立高强度加密的安全通信链路。部署具体内容如下:, 在互联网和电子政务外网边界防火墙的DMZ区部署安全认证网关,如图12.2中DMZ模块所示,以确保所有需要进入政务外网的访问请求都必须首先通过安全认证网关的认证后才能进行; 在边界防火墙中配置策略,允许外部用户访问安全认证网关的服务端口(仅需一个端口即可); 在需要进行远程访问电子政务外网应用的终端计算机上安装安全认证客户端软件,以实现对政务外网的访问以及客户端策略的执行; 在安全认证网关上配置访问控制策略,如允许哪些用户
47、访问哪些应用,是否允许客户端在访问政务外网的时候访问互联网的其他应用。,2) 系统综合管理平台 对区中心大楼内政务平台的所有小型机、服务器、存储设备、网络设备、UPS、机房空调设备进行监控。该平台要能够实现对网络设备、服务器和机房中的各种设备的运行情况进行监视,能够提前对设备的异常情况发出报警,及时控制异常设备。平台由网络管理和机房环境监控组成。,(1) 网络管理系统。由于新网络中心的网络规模大,设备多,还有很多重要应用服务器,因此需要通过高效的网络管理系统对整个网络进行监控,从而保证网络的正常运行。好的网关系统不仅在网络发生故障时能够报警并准确快速定位故障点,而且还要在故障发生前就能够根据各
48、种网络设备的流量、负载的情况,及时察觉网络的异常,将网络故障消灭在萌芽状态。网络管理系统能解决的问题有以下几方面:, 提供网络稳定安全运行最为强大的技术保障,使业务运营连续高效。 完全掌握全网整体结构,有助于发现网络瓶颈,优化网络结构,便于做出网络升级参考。 及时的预警以及告警、快速的故障定位以及恢复,提高了网络运行质量以及稳定性。 降低故障发生率,提升用户满意度。 扩大业务市场占有率,直接带来效益。 网络的科学升级,从而避免浪费,保护投资。 强大的报表系统体现了整个网络的运行情况和工作业绩。,(2) 机房环境监控系统:包括七个组成部分,UPS设备监控、机房专用空调监控、配电设备监控、门禁系统
49、监控、机房环境监控、直放站合入器监控和图像监控。根据要求,我们为区政务网机房安装其中的四部分。, UPS:机房内的UPS对于网络设备是至关重要的,它不仅在断电时为网络设备提供电源,而且在正常供电时也能对市电进行滤波和功率因素修正,可以完全解决所有的电源问题,如断电、市电高/低压、电压瞬时跌落、减幅振荡、高压脉冲、电压波动、浪涌电压、谐波失真、杂波干扰、频率波动等电源问题。所以UPS是否正常工作,对网络系统是很重要的。机房环境监控设备能够对UPS工作状态进行监控,并通过监控系统输出相应的数据,显示在大屏幕上,使工作人员能够非常直观地了解UPS的工作状态。同时当UPS处在非正常工作状态下时,机房环境监控系统会立刻联动报警系统,