網(wǎng)絡安全方案及對策

1、-. z.目錄網(wǎng)絡安全問題3設計的安全性3可用性.3性.3完整性.3可控性.3可審查性.3訪問控制.3數(shù)據(jù)加密.3安全審計.33、安全設計方案5設備選型.5網(wǎng)絡安全.7訪問控制.9入侵檢測.104、總結(jié)111、網(wǎng)絡安全問題隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。 大多數(shù)安全性問題

2、的出現(xiàn)都是由于有惡意的人試圖獲得*種好處或損害*些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡安全不僅僅是使它沒有編程錯誤。它包括要防那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。 網(wǎng)絡安全性可以被粗略地分為4個相互交織的部分：、鑒別、反拒認以及完整性控制。是保護信息不被未授權(quán)者訪問，這是人們提到的網(wǎng)絡安全性時最常想到的容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關(guān)。和完整性通過使用注冊過的和文件鎖來 2、設計的安全性通過對網(wǎng)絡系統(tǒng)的風險分析及需

3、要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡系統(tǒng)的性、完整性、可用性、可控性與可審查性。即， 可用性： 授權(quán)實體有權(quán)訪問數(shù)據(jù) 性： 信息不暴露給未授權(quán)實體或進程 完整性： 保證數(shù)據(jù)不被未授權(quán)修改 可控性： 控制授權(quán)圍的信息流向及操作方式 可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段 訪問控制：需要由防火墻將部網(wǎng)絡與外部不可信任的網(wǎng)絡隔離，對與外部網(wǎng)絡交換數(shù)據(jù)的部網(wǎng)絡及其主機、所交換的數(shù)據(jù)進行嚴格的訪問控制。同樣，對部網(wǎng)絡，由于不同的應用業(yè)務以及不同的安全級別，也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離，并實現(xiàn)相互的訪問控制。 數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法

4、竊取、篡改信息的有效手段。 安全審計： 是識別與防止網(wǎng)絡攻擊行為、追查網(wǎng)絡泄密行為的重要措施之一。具體包括兩方面的容，一是采用網(wǎng)絡監(jiān)控與入侵防系統(tǒng)，識別網(wǎng)絡各種違規(guī)操作與攻擊行為，即時響應（如報警）并進行阻斷；二是對信息容的審計，可以防止部或敏感信息的非法泄漏針對企業(yè)現(xiàn)階段網(wǎng)絡系統(tǒng)的網(wǎng)絡結(jié)構(gòu)和業(yè)務流程，結(jié)合企業(yè)今后進行的網(wǎng)絡化應用圍的拓展考慮，企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：（1）部竊密和破壞由于企業(yè)網(wǎng)絡上同時接入了其它部門的網(wǎng)絡系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網(wǎng)絡進入部網(wǎng)絡，并進一步竊取和破壞其中的重要信息(如領導的網(wǎng)絡和口令、

5、重要文件等)，因此這種風險是必須采取措施進行防的。（2）搭線(網(wǎng)絡)竊聽這種威脅是網(wǎng)絡最容易發(fā)生的。攻擊者可以采用如Sniffer等網(wǎng)絡協(xié)議分析工具，在INTERNET網(wǎng)絡安全的薄弱處進入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的容。對企業(yè)網(wǎng)絡系統(tǒng)來講，由于存在跨越INTERNET的部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。（3）假冒這種威脅既可能來自企業(yè)網(wǎng)部用戶，也可能來自INTERNET的其它用戶。如系統(tǒng)部攻擊者偽裝成系統(tǒng)部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信

6、息，進一步竊取用戶網(wǎng)絡的重要信息。或者部用戶通過假冒的方式獲取其不能閱讀的秘密信息。（4）完整性破壞這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于*企業(yè)網(wǎng)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。（5） 其它網(wǎng)絡的攻擊企業(yè)網(wǎng)絡系統(tǒng)是接入到INTERNET上的，這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡攻擊，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱

7、瘓等。因此這也是需要采取相應的安全措施進行防。（6） 管理及操作人員缺乏安全知識由于信息和網(wǎng)絡技術(shù)發(fā)展迅猛，信息的應用和安全技術(shù)相對滯后，用戶在引入和采用安全設備和系統(tǒng)時，缺乏全面和深入的培訓和學習，對信息安全的重要性與技術(shù)認識不足，很容易使安全設備/系統(tǒng)成為擺設，不能使其發(fā)揮正確的作用。如本來對*些通信和操作需要限制，為了方便，設置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡漏洞。由于網(wǎng)絡安全產(chǎn)品的技術(shù)含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全設備能夠盡量發(fā)揮其作用，避免使用上的漏洞。（7）雷擊由于網(wǎng)絡系統(tǒng)中涉及很多的網(wǎng)絡設備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷

8、擊，造成連鎖反應，使整個網(wǎng)絡癱瘓，設備損壞，造成嚴重后果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網(wǎng)絡系統(tǒng)采取相應的防雷措施。3、網(wǎng)絡安全設計方案（1）網(wǎng)絡拓撲結(jié)構(gòu)圖設備選型傳統(tǒng)的組網(wǎng)已經(jīng)不能滿足現(xiàn)在網(wǎng)絡應用的變化了，在組網(wǎng)的初期必須考慮到安全和網(wǎng)絡的問題，考慮到這個問題我們就不能不考慮免疫網(wǎng)絡的作用以及前景如何。免疫網(wǎng)絡免疫網(wǎng)絡是企業(yè)信息網(wǎng)絡的一種安全形式。免疫”是生物醫(yī)學的名詞，它指的是人體所具有的生理防御、自身穩(wěn)定與免疫監(jiān)視”的特定功能。 就像我們耳熟能詳?shù)碾娔X病毒一樣，在電腦行業(yè)，病毒”就是對醫(yī)學名詞形象的借用。同樣，免疫”也被

9、借用于說明計算機網(wǎng)絡的一種能力和作用。免疫就是讓企業(yè)的部網(wǎng)絡也像人體一樣具備防御、穩(wěn)定、監(jiān)視”的功能。這樣的網(wǎng)絡就稱之為免疫網(wǎng)絡。免疫網(wǎng)絡的主要理念是自主防御和管理，它通過源頭抑制、群防群控、全網(wǎng)聯(lián)動使網(wǎng)絡每一個節(jié)點都具有安全功能，在面臨攻擊時調(diào)動各種安全資源進行應對。它具有安全和網(wǎng)絡功能融合、全網(wǎng)設備聯(lián)動、可信接入、深度防御和控制、精細帶寬管理、業(yè)務感知、全網(wǎng)監(jiān)測評估等主要特征。下面讓我們看看這幾個特征的距離容安全和網(wǎng)絡功能的融合網(wǎng)絡架構(gòu)的融合，主要包括網(wǎng)關(guān)和終端的融合 網(wǎng)關(guān)方面：ARP先天免疫原理NAT表中添加源MAC地址濾窗防火墻封包檢測，IP分片檢查UDP洪水終端方面：驅(qū)動部分免疫標記

10、網(wǎng)絡協(xié)議的融合行為特征和網(wǎng)絡行為的融合全網(wǎng)設備的聯(lián)動驅(qū)動與運營中心的聯(lián)動分收策略驅(qū)動與驅(qū)動的聯(lián)動IP地址沖突網(wǎng)關(guān)和驅(qū)動的聯(lián)動群防群控運營中心和網(wǎng)關(guān)的聯(lián)動（外網(wǎng)攻擊，上下線可信接入MAC地址的可信（類似于DNA），生物身份傳輸?shù)目尚牛庖邩擞洠┥疃确烙涂刂粕钊氲矫總€終端的網(wǎng)卡深入到協(xié)議的最低層深入到二級路由，多級路由器下精細帶寬管理身份精細IP/MAC的精確位置精確終端驅(qū)動路徑細分（特殊的IP）流量去向（，公網(wǎng)）應用流控（QQ,MSN）業(yè)務感知協(xié)議區(qū)分和應用感知它與防火墻（FW）、入侵檢測系統(tǒng)（IDS）、防病毒等老三樣”組成的安全網(wǎng)絡相比，突破了被動防御、邊界防護的局限，著重從網(wǎng)的角度解決攻擊

11、問題，應對目前網(wǎng)絡攻擊復雜性、多樣性、更多從網(wǎng)發(fā)起的趨勢，更有效地解決網(wǎng)絡威脅。 同時，安全和管理密不可分。免疫網(wǎng)絡對基于可信身份的帶寬管理、業(yè)務感知和控制，以及對全網(wǎng)安全問題和工作效能的監(jiān)測、分析、統(tǒng)計、評估，保證了企業(yè)網(wǎng)絡的可管可控，大大提高了通信效率和可靠性。安全架構(gòu)分析根據(jù)企業(yè)網(wǎng)絡現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行考慮：網(wǎng)絡傳輸保護主要是數(shù)據(jù)加密保護主要網(wǎng)絡安全隔離通用措施是采用防火墻 網(wǎng)絡病毒防護采用網(wǎng)絡防病毒系統(tǒng) 廣域網(wǎng)接入部分的入侵檢測采用入侵檢測系統(tǒng)系統(tǒng)漏洞分析采用漏洞分析設備定期安全審計主要包括兩部分：容審計和網(wǎng)絡通信審計重要數(shù)據(jù)的備份重要信息點的防電磁泄露網(wǎng)絡安

12、全結(jié)構(gòu)的可伸縮性包括安全設備的可伸縮性，即能根據(jù)用戶的需要隨時進行規(guī)模、功能擴展網(wǎng)絡防雷（2）網(wǎng)絡安全作為企業(yè)應用業(yè)務系統(tǒng)的承載平臺，網(wǎng)絡系統(tǒng)的安全顯得尤為重要。由于許多重要的信息都通過網(wǎng)絡進行交換，網(wǎng)絡傳輸由于企業(yè)中心部網(wǎng)絡存在兩套網(wǎng)絡系統(tǒng)，其中一套為企業(yè)部網(wǎng)絡，主要運行的是部辦公、業(yè)務系統(tǒng)等;另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)部的上、下級機構(gòu)網(wǎng)絡相連。通過公共線路建立跨越INTERNET的企業(yè)集團部局域網(wǎng)，并通過網(wǎng)絡進行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護，如果不采取相應的安全措施，易受到來自網(wǎng)絡上任意主機的監(jiān)聽而造成重要信息的泄密或非

13、法篡改，產(chǎn)生嚴重的后果。由于現(xiàn)在越來越多的政府、金融機構(gòu)、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡的聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對網(wǎng)絡傳輸安全部分推薦采用VPN設備來構(gòu)建聯(lián)網(wǎng)?？稍诿考壒芾碛蛟O置一套VPN設備，由VPN設備實現(xiàn)網(wǎng)絡傳輸?shù)募用鼙Ｗo。根據(jù)企業(yè)三級網(wǎng)絡結(jié)構(gòu)，VPN設置如下圖所示：圖為三級 VPN設置拓撲圖每一級的設置及管理方法相同。即在每一級的中心網(wǎng)絡安裝一臺VPN設備和一臺VPN認證服務器(VPN-CA)，在所屬的直屬單位的網(wǎng)絡接入處安裝一臺VPN設備，由上級的VPN認證服務器通過網(wǎng)絡對下一級的VPN設備進行集中統(tǒng)一的網(wǎng)絡化管理?？蛇_到以下幾個目的：網(wǎng)絡傳輸數(shù)據(jù)保護由安裝在

14、網(wǎng)絡上的VPN設備實現(xiàn)各部網(wǎng)絡之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸網(wǎng)絡隔離保護與INTERNET進行隔離，控制網(wǎng)與INTERNET的相互訪問集中統(tǒng)一管理，提高網(wǎng)絡安全性降低成本(設備成本和維護成本)其中，在各級中心網(wǎng)絡的VPN設備設置如下圖：圖為中心網(wǎng)絡VPN設置圖由一臺VPN管理機對CA、中心VPN設備、分支機構(gòu)VPN設備進行統(tǒng)一網(wǎng)絡管理。將對外服務器放置于VPN設備的DMZ口與部網(wǎng)絡進行隔離，禁止外網(wǎng)直接訪問網(wǎng)，控制網(wǎng)的對外訪問、記錄日志。這樣即使服務器被攻破，部網(wǎng)絡仍然安全。下級單位的VPN設備放置如下圖所示：圖為下級單位VPN設置圖從圖可知，下屬機構(gòu)的VPN設備

15、放置于部網(wǎng)絡與路由器之間，其配置、管理由上級機構(gòu)通過網(wǎng)絡實現(xiàn)，下屬機構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網(wǎng)絡設備，其維護、管理需要相應的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構(gòu)的維護成本和對專業(yè)技術(shù)人員的要求，這對有著龐大下屬、分支機構(gòu)的單位來講將是一筆不小的費用。由于網(wǎng)絡安全的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對安全設備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因為*個設備的設置不當，而使整個網(wǎng)絡出現(xiàn)重大的安全隱患。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述

16、現(xiàn)象;同時，每個維護人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡中斷。所以，在安全設備的選擇上應當選擇可以進行網(wǎng)絡化集中管理的設備，這樣，由少量的專業(yè)人員對主要安全設備進行管理、配置，提高整體網(wǎng)絡的安全性和穩(wěn)定性。（3）訪問控制由于企業(yè)廣域網(wǎng)網(wǎng)絡部分通過公共網(wǎng)絡建立，其在網(wǎng)絡上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網(wǎng)絡的訪問控制最成熟的是采用防火墻技術(shù)來實現(xiàn)的，本方案中選擇帶防火墻功能的VPN設備來實現(xiàn)網(wǎng)絡安全隔離，可滿足以下幾個方面

17、的要求：控制外部合法用戶對部網(wǎng)絡的網(wǎng)絡訪問;控制外部合法用戶對服務器的訪問;禁止外部非法用戶對部網(wǎng)絡的訪問; 控制部用戶對外部網(wǎng)絡的網(wǎng)絡;阻止外部用戶對部的網(wǎng)絡攻擊;防止部主機的IP欺騙;對外隱藏部IP地址和網(wǎng)絡拓撲結(jié)構(gòu);網(wǎng)絡監(jiān)控;網(wǎng)絡日志審計;詳細配置拓撲圖見圖由于采用防火墻、VPN技術(shù)融為一體的安全設備，并采取網(wǎng)絡化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：管理、維護簡單、方便;安全性高(可有效降低在安全設備使用上的配置漏洞);硬件成本和維護成本低;網(wǎng)絡運行的穩(wěn)定性更高由于是采用一體化設備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設備而言，其穩(wěn)定性更高，故障率更低。（4）入侵檢測網(wǎng)絡安全不可

18、能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡安全是個整體的，必須配相應的安全產(chǎn)品。作為必要的補充，入侵檢測系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預見的攻擊手段的信息代碼對進出網(wǎng)絡的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應(阻斷、報警、發(fā)送)。從而防止針對網(wǎng)絡的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器(網(wǎng)絡引擎)?？刂婆_用作制定及管理所有探測器(網(wǎng)絡引擎)。探測器(網(wǎng)絡引擎)用作監(jiān)聽進出網(wǎng)絡的訪問行為，根據(jù)控制臺的指令執(zhí)行相應行為。由于探測器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應用不會對網(wǎng)絡系統(tǒng)性能造成多大影響。入侵檢測系統(tǒng)的設置如下圖：從上圖可知，入侵檢測儀在網(wǎng)絡接如上與VPN設備并接使用。入侵檢測儀在使用上是獨立網(wǎng)絡使用的，網(wǎng)絡數(shù)據(jù)全部通過VPN設備