it基礎(chǔ)設(shè)施與網(wǎng)絡(luò)安全

1、it系統(tǒng)安全白皮書 第四章實踐及案例分析4.1 it基礎(chǔ)設(shè)施與網(wǎng)絡(luò)安全在一個現(xiàn)代的，具冇基本的電子商務(wù)模式的企業(yè)屮，關(guān)鍵性應(yīng)用所依賴的軟 件、碩件和網(wǎng)絡(luò)被稱為it基礎(chǔ)設(shè)施。it基礎(chǔ)設(shè)施通常遵循開放的標準，易于集 成，不需要太多額外的開發(fā)工作就可以投入使用。典型的it基礎(chǔ)設(shè)施包括網(wǎng)絡(luò) 架構(gòu)、基木網(wǎng)絡(luò)服務(wù)（如dns,dhcp）、web服務(wù)和文件服務(wù)等。網(wǎng)絡(luò)架構(gòu)是it基礎(chǔ)設(shè)施的重要組成部分。隨著業(yè)務(wù)流程對網(wǎng)絡(luò)架構(gòu)的依賴逐步 加深，如何構(gòu)建一個安全、可靠、靈活的網(wǎng)絡(luò)已經(jīng)不再僅僅是一個it問題。 cio,甚至ceo將會越來越多地關(guān)心企業(yè)中網(wǎng)絡(luò)環(huán)境的情況。今天，越來越多的機構(gòu)，無論它們從事何種業(yè)務(wù)，也無論

2、它們有多大的規(guī)模， 開始從internet接入中獲益。但是接入internet同樣意味著風(fēng)險。在您為員工， 客戶和業(yè)務(wù)伙伴提供信息訪問服務(wù)的同時，您也為全世界鋪設(shè)了訪問您機構(gòu)中 的隱秘信息的道路。在各人媒體上，關(guān)于黑客入侵導(dǎo)致泄密的報道屢見不鮮。 有些時候，來自網(wǎng)絡(luò)的攻擊會導(dǎo)致部分或整個網(wǎng)絡(luò)服務(wù)停止工作，并進一步影 響到您的關(guān)鍵性應(yīng)用。最近一年以來的沖擊波、震蕩波等病毒的人規(guī)模發(fā)作就 是很典型的例了。4.1.1網(wǎng)絡(luò)安全的變革在傳統(tǒng)的網(wǎng)絡(luò)安全模式中，人們著眼于如何將入侵者阻扌肖在機構(gòu)的網(wǎng)絡(luò)之外。 在這種模式中，經(jīng)常被使用的工具有來自不同廠商，使用各種技術(shù)的路由器， 防火墻，病毒過濾器等等。隨著w

3、eb技術(shù)和屯子商務(wù)的發(fā)展，您可能需要從前 被歸于“入侵者” 一類的人（比如您的客戶，您的合作伙伴，或是出差在外的 員工）通過可控制的手段來訪問您的網(wǎng)絡(luò)中的特定的信息。他們不會像“口己 人” 一樣從內(nèi)部網(wǎng)絡(luò)發(fā)起訪問請求，他們的請求來自internetointernet的設(shè)計本身毫無安全性可言。您機構(gòu)中的安全策略和安全工具完全沒有 辦法去控制internet上的信息流。您的路由器，防火墻和病毒過濾器等工具仍然 可以在內(nèi)部網(wǎng)絡(luò)屮為防御垃圾郵件，病毒和木馬等等做貢獻，但在防止客戶、 員工和業(yè)務(wù)伙伴對未授權(quán)的信息的訪問方面，如果不改變它們的使用方法，它 們幫不上什么忙。新的網(wǎng)絡(luò)安全模式要求您首先分析自己

4、機構(gòu)的網(wǎng)絡(luò)，并從屮找出不同業(yè)務(wù)、數(shù) 據(jù)和安全策略的分界線。您需要在這些分界線上構(gòu)建安全防御。這些分界線通 常被稱為“邊界網(wǎng)絡(luò)”。4.1.2構(gòu)建邊界網(wǎng)絡(luò) 構(gòu)建邊界網(wǎng)絡(luò)需要用到防火墻。一個防火墻是一個軟件和硬件的組合，它決定 什么樣的信息可以被允許通過某一個網(wǎng)絡(luò)。防火墻通常和路由器結(jié)合使用以在 不同的網(wǎng)絡(luò)z間建立安全邊界。以下我們介紹幾種常見的防火墻類型。a. 包過濾防火墻包過濾防火墻檢查每一個通過它的網(wǎng)絡(luò)包頭，并根據(jù)包頭屮的信息來決定是否 允許這個包的轉(zhuǎn)發(fā)。包過濾防火墻的功能十分冇限，因為它不會去檢查應(yīng)用層 的信息，也不會去跟蹤信息交換的狀態(tài)。但功能簡單的特性同時也決定了它是 所有防火墻技術(shù)屮性

5、能最好的。在實際應(yīng)用中，包過濾防火墻常常會改變包頭中的地址信息從而使轉(zhuǎn)發(fā)的包看 起來像是來自于不同的計算機。這種改變技術(shù)叫做網(wǎng)絡(luò)地址轉(zhuǎn)換（nat）,這 種方法可以用來對不信任的網(wǎng)絡(luò)隱藏本地網(wǎng)絡(luò)的配置信息。b. 鏈路型防火墻鏈路型防火墻只轉(zhuǎn)發(fā)連接請求包和已經(jīng)建立的連接的包。這種防火墻跟蹤每- 個信息交換連接的狀態(tài)，并根據(jù)預(yù)設(shè)的安全策略來決定哪些連接是被允許的。 它比包過濾防火墻耍復(fù)朵，也常常和nat技術(shù)結(jié)合使用。c. 應(yīng)用層防火墻這種防火墻檢查所有網(wǎng)絡(luò)包的內(nèi)容并11工作在osi七層協(xié)議模型的應(yīng)用層。在 這種防火墻看來，它接受和轉(zhuǎn)發(fā)的不是單個的網(wǎng)絡(luò)包而是完整的信息流。它會 將網(wǎng)絡(luò)上傳遞的信息完整地

6、提取出來，然后根據(jù)預(yù)設(shè)的安全策略來決定是否轉(zhuǎn) 發(fā)，或者是否更改后轉(zhuǎn)發(fā)。應(yīng)用層防火墻通常以具備特殊用途的軟件形式出 現(xiàn)，并且常常使用代理服務(wù)器模式而不允許網(wǎng)絡(luò)信息直接通過。有些企業(yè)級的 病毒防火墻也是應(yīng)用層防火墻的實現(xiàn)。應(yīng)用層防火墻通常具有很強的日志記錄和審計功能，所以它們可以和入侵檢測 系統(tǒng)結(jié)合使用來提供攻擊行為的紀錄。應(yīng)用層防火墻的功能最復(fù)雜，性能開銷也最大。有關(guān)日志記錄和審計的"0能 力對應(yīng)用層防火墻來說至關(guān)重要。d. 動態(tài)包過濾防火墻除了安全策略設(shè)置外，動態(tài)包過濾防火墻使用一個數(shù)據(jù)庫來決定是否允許信息 通過。它會記錄發(fā)出的包的特性，以便核對接收到的包是否能與合理的連接請 求過程

7、吻合。這種防火墻能夠有效地抵御端口掃描。4.1.3網(wǎng)絡(luò)結(jié)構(gòu)我們建議您使用集成的，基于開放標準的網(wǎng)絡(luò)設(shè)計模型來作為您調(diào)整網(wǎng)絡(luò)結(jié)構(gòu) 的參考。使用這種模型可以幫助您避免難以預(yù)見的安全風(fēng)險。下圖的模型就是mass域概念在網(wǎng)絡(luò)結(jié)構(gòu)上的應(yīng)用?；ヂ?lián)兩互瑕網(wǎng)diz生產(chǎn)系統(tǒng)內(nèi)部期覧戶11著理系統(tǒng)安全區(qū)域受不受禱區(qū)域受撿區(qū)讖眼制區(qū)以安全區(qū)繪在這里我們簡單地回顧一下這些mass域的定義。a. 不受控區(qū)域。這部分區(qū)域不受您的機構(gòu)控制。來自不受控區(qū)域的訪問可以通 過多種渠道。b. 受控區(qū)域。存在于不受控區(qū)域與限制區(qū)域z間。又稱為非軍事區(qū)（dmz）。c. 限制區(qū)域。只冇被授權(quán)的人員才能訪問，與internet沒冇直接連接

8、。d. 安全區(qū)域。只有極少數(shù)被高度信任的人員才能夠訪問。被授權(quán)給一個安全區(qū) 域并不意味著被授權(quán)給所有安全區(qū)域。e. 外部控制區(qū)域。由其它組織控制的區(qū)域，數(shù)據(jù)的保護措施不能十分受信任。這些定義與我建議的網(wǎng)絡(luò)結(jié)構(gòu)模型對應(yīng)如下：a. internet-不受控區(qū)域b. internet dmz-受控區(qū)域internet dmz中通常包括internet 口j以直接連接的主機和多個防火墻，它可以被 認為是一個內(nèi)部和外部網(wǎng)絡(luò)的緩沖區(qū)。這種設(shè)計使您在不同的層面上來控制網(wǎng) 絡(luò)上的信息交換（如internet和dmz之間，dmz和內(nèi)部網(wǎng)絡(luò)之間等等）。c. 生產(chǎn)區(qū)域-限制區(qū)域這個區(qū)域包含這只有少數(shù)被授權(quán)人才能訪問的網(wǎng)絡(luò)服務(wù)。它可以與dmz和 intranet通過防火墻連接。d. intranet-受控區(qū)