密码:
 网络与信息安全解决方案 一、前言 随着网络经济和网络时代的发展,网络已经成为一个无处不有、无所不用的工具。经济、文化、军事和社会活动将会强烈地依赖于网络。网络系统的安全性和可靠性成为世界各国共同关注的焦点。而网络自身的一些特点,在为各国带来发展机遇的同时,也必将带来巨大的风险。网络安全威胁主要存在于: 1. 网络的共享性: 资源共享是建立计算机网络的基本目的之一,但是这也为系统安全的攻击者利用共享的资源进行破坏活动提供了机会。 随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。 二、网络与信息安全防范体系设计 2.1 网络与信息安全防范体系模型 网络与信息安全防范体系是一个动态的、基于时间变化的概念,为确保网络与信息系统的抗攻击性能,保证信息的完整性、可用性、可控性和不可否认性,本安全体系提供这样一种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对网络系统的攻击。?
图1: 网络与信息安全防范模型 网络与信息安全防范模型如图1所示,它是一个可扩展的结构。 2.1.1 安全管理 一个成功的安全防范体系开始于一个全面的安全政策,它是所有安全技术和措施的基础,也是整个体系的核心。 2.1.2 预警 是实施安全防范体系的依据,对整个网络安全防护性能给出科学、准确的分析评估,有针对性的给出防范体系的建设方案才是可行的。 2.1.3 攻击防范 攻击防范是用于提高安全性能,抵抗入侵的主动防御手段,通过建立一种机制来检查、再检查系统的安全设置,评估整个网络的风险和弱点,确保每层是相互配合而不是相互抵触地工作,检测与政策相违背的情况,确保与整体安全政策保持一致。使用扫描工具及时发现问题并进行修补,使用防火墙、VPN、PKI等技术和措施来提高网络抵抗黑客入侵的能力。 2.1.4 攻击检测 攻击检测是保证及时发现攻击行为,为及时响应提供可能的关键环节,使用基于网络和基于主机的IDS,并对检测系统实施隐蔽技术,以防止黑客发现防护手段进而破坏监测系统,以及时发现攻击行为,为响应赢得时间。采用与防火墙互联互动、互动互防的技术手段,形成一个整体策略,而不是单一的部分。设立安全监控中心,掌握整个网络的安全运行状态,是防止入侵的关键环节。 2.1.5 应急响应 在发现入侵行为后,为及时切断入侵、抵抗攻击者的进一步破坏行动,作出及时准确的响应是必须的。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时,预防同类事件的再发生并为捕获攻击者提供可能,为抵抗黑客入侵提供有效的保障。 恢复是防范体系的又一个环节,无论防范多严密,都很难确保万无一失,使用完善的备份机制确保内容的可恢复,借助自动恢复系统、快速恢复系统来控制和修复破坏,将损失降至最低。 6个环节互为补充,构成一个有机整体,形成较完善的网络与信息安全体系。 2.2网络与信息安全防范体系模型流程 网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程。
图2:网络与信息安全防范体系工作流程 网络与信息安全防范体系的工作流程为: 攻击前的防范部分负责对日常的防御工作及对实时的消息进行防御:防火墙作为第一道关口,负责控制进入网络的访问控制,即进行了日常的防御工作,也对事实的消息进行了防御;系统漏洞检测系统、安全评估软件一个从内一个从外,非常详细地扫描安全漏洞并将系统漏洞一一列表,给出最佳解决方法。邮件过滤系统、PKI、VPN等都是进行日常的防御工作。 攻击过程中的防范部分负责对实时的攻击做出反应。预警系统、入侵检测系统检测通过防火墙的数据流进行进一步检查,综合分析各种信息,动态分析出那些时黑客对系统做出的进攻,并立即做出反应。通过分析系统审计日志中大量的跟踪用户活动的细节记录来发现入侵,分别在网络级和系统级共同探测黑客的攻击并及时做出反击,防止黑客进行更深一步的破坏。 攻击过程后的应对部分主要是造成一定损害时,则由应急响应与灾难恢复子系统进行处理。 2.3 网络与信息安全防范体系模型各子部分介绍 网络与信息安全防御体系是一个动态的、基于时间变化的概念,是一种互联互动、多层次的黑客入侵防御体系:以预警、攻击防范、攻击检测、应急响应、恢复和安全管理为子部分构成一个整体。 2.3.1 安全服务器 作为一种重要的基础网络设备,安全服务器产品广泛应用于电子商务和电子信息服务等关键领域。目前国内服务器产品大都为国外设备,在信息安全构建过程中必然存在着潜在的危险,因而发展民族服务器产业,构建民族信息长城是国家亟待解决的重大问题。所谓的安全服务器,即是指运行安全程序的计算机。众所周知,Internet是伴随着TCP/IP设计的网络,不管是访问控制层还是数据链路层,安全问题基本没有被考虑。TCP/IP是以明文方式传输数据的,这在开放的Internet环境里很容易被窃听。安全服务器即是:通过对传输中的数据流进行加密,保证数据即使被窃听也不能被解密;通过电子证书和密钥算法进行身份确认,防止了身份欺诈;通过对数据流的校验,保证数据在传输过程中不被篡改,使得非法进入网上秘密程序无机可乘。 其主要涉及的技术有:容量大,稳定性高的磁盘阵列;大内存,以提高系统的处理与运算能力;系统的容错能力;故障的在线修复技术;服务器集群技术;对称多处理技术;安全SSL技术;安全服务器网络技术(SSN)等。 2.3.2 预警 预警子系统的目的就是采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为,并评测攻击的威胁程度、攻击的本质、范围和起源,同时预测敌方可能的行动。预警过程是基于收集和分析从开放信息资源收集而获得,提取重要的信息来指导计划、训练和提前做准备。 2.3.3 网络防火墙 防火墙是保护网络安全最主要的手段之一,它是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部地结构、信息和运行情况,以此来实现内部网络地安全保护。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据相应的安全策略控制 (允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,可有效地监控内部网和外部网之间地活动,保证了内部网络地安全。研制与开发防火墙子系统地关键技术主要是实现防火墙地安全、高性能与可扩展。 防火墙一般具有以下几种功能: 允许网络管理员定义一个中心点来防止非法用户进入内部网络。 可以很方便地监视网络的安全性,并报警。 可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。 是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。 可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。 2.3.4 系统漏洞检测与安全评估软件 系统漏洞检测可以探测网络上每台主机乃至路由器的各种漏洞;安全评估软件从系统内部扫描安全漏洞和隐患。安全评估软件还主要涉及到网络安全检测,其主要是系统提供的网络应用和服务及相关的协议分析和检测。 系统漏洞检测与安全评估软件完成的功能主要有: 对网络的拓扑结构和环境的变化必须进行定期的分析,并且及时调整安全策略; 2.3.5 病毒防范 病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方面 研究病毒免疫机理。加强对计算机病毒的识别、预警以及防治能力,形成基于网络的病毒防治体系。 网络病毒发现及恶意代码过滤技术主要是研究已知与未知病毒识别技术、网上恶意代码发现与过滤技术。主要的功能为开发网络病毒疫情实时监控系统、主动网络病毒探查工具。能对疫情情况进行统计分析,能主动对INTERNET中的网站进行病毒和病毒源代码检测;可利用静态的特征代码技术和动态行为特征综合判定未知病毒。 2.3.6 VPN VPN是集合了数字加密验证和授权来保护经过INTERNET的信息的技术。它可以在远程用户和本信息系统网络之间建立一个安全管道。主要的技术包括隧道技术、隧道交换技术与公钥基础设施(PKI)的紧密集成技术以及质量保证技术等。 隧道技术主要研究合适的封装协议、加解密算法、密钥交换协议以及认证协议等。 隧道交换技术研究将隧道如何延伸到防火墙内,并可以在任意位置终止的技术。 2.3.7 PKI 公钥技术设施集成技术:提出与国际接轨的PKI和密钥KMI技术标准,提供基于PKI和KMI技术的安全服务平台和公共安全接口,开发PKI技术产品和应用系统。其中PKI的安全核心部件包括不同规模的CA系统、RA系统和KM系统。 2.3.8 入侵检测 入侵检测子系统是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测子系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。具有以下的功能: 监视、分析用户及系统活动; 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 2.3.9 日志取证系统 通过对网络上发生的各种访问过程进行记录和产生日志,并对日志进行统计分析,从而对资源使用情况进行分析,对异常现象进行追踪监视。 2.3.10 应急响应与事故恢复 本子系统主要的目标是在开放的互联网环境下构造基于生存性的多样化动态漂移网络,当信息系统遭受攻击时,快速反应和对遭到的系统、文件和数据进行快速恢复。为建立信息安全应急反应服务体系提供方法。并且能提供自我诊断与自我恢复相结合的功能。 主要涉及的技术有: 故障分析诊断技术。将入侵检测、病毒防治和安全管理等系统相配合,研究攻击和破坏事件自动报警和保护技术、攻击事件信息记录和破坏现场保护技术、黑客追踪和病毒源分析技术。 攻击避免与故障隔离技术。研究信息系统、网络系统的仿真、诱骗和隐蔽技术;研究具有抗攻击和破坏能力的网络与系统的体系结构和技术,如隔离技术等。 2.4 各子部分之间的关系及接口 各子部分的关系如图:??
图3:各子部分之间关系图 各子部分之间的接口规范如下: 1.内容安全使用CVP(Content Vectoring Protocol) 内容安全允许用户扫描经过网络的所有数据包内容。例如:病毒、恶意Java或AcitveX程序等。本体系可提供的CVP API定义了异步接口将数据包转发到服务器应用程序去执行内容验证。用户可以根据多种标准来验证内容的安全。 2、Web资源管理使用UFP(URL Filtering Protocol) UFP定义了Client/Server异步接口来分类和控制基于特定URL地址的通信。防火墙上的UFP客户端将URL传送到UFP服务器上,UFP服务器使用动态分类技术将URL进行分类,防火墙则根据安全规则的定义对分类进行处理。对客户来说,通过中央的安全策略管理即可实现高效的Web资源管理。 3、入侵检测采用SAMP(Suspicious Activity Monitorng Protocol) SAMP API定义了入侵检测应用同VPN和网络防火墙通信的接口。入侵检测引擎使用SAMP来识别网络中的可疑行为,并通知防火墙处理。另外SAMP应用可以发送日志、告警和状态信息到安全管理子系统。 4、事件集成 可提供两个API:LEA(Log Export API)和ELA(Event Logging API)允许第三方来访问日志数据。报表和事件分析采用LEA API,而安全与事件整合采用ELA API。 5、管理和分析采用OMI(OPSEC Management Interface) OMI提供到安全管理子系统的中央策略数据库的接口,允许第三方应用安全地访问存储在管理服务器上的安全策略。OMI能够访问以下资源: ● 存储在管理服务器上的安全策略 6、认证采用OPSEC PKI集成 本体系提供了一个开放式集成环境,第三方的Public Key Infrastructure(PKI)能紧密的与总体系集成在一起(VPN Gateway、VPN SecureClient、防火墙C/S之间的通信等)。VPN Gateway能同时多个不同的CA。开放的PKI使得管理员能够选择最大限度满足要求的PKI解决方案。 |
FAX: 010-62261093
| 北京辽轩科技有限公司 版权所有 (c) 2007 京ICP备 05081374 |