Intranet与网络安全1企业内部网信息安全建设的技术要求、配置方案及建议Intranet与网络安全2企业网网络安全解决方案引言1999年已经到来,人类处在21世纪前夜。1998年是全球信息革命和Internet新腾飞的一年。“带宽爆炸”,用户超亿,网上协同攻破密码等等创造性的应用层出不穷。Internet已成为全新的传播媒体,克林顿丑闻材料在48小时内就有2000万人上网观看。电子商务发展更出人意料,网上购物仅圣诞节就突破3亿美元的销售额,比预计的全年20亿还多。美国对“Internet经济”投资达到1240亿,第二代Internet正式启动,第三代智能网络已在酝酿,以Internet为代表和主体的信息网络必将在21世纪成为人类生产、生活、自下而上的一个基本方式。世界各国都以战略眼光注视着它的发展,并在积极谋取网上的优势和主动权。但是Internet网的信息安全问题在1998年也较突出,除两千年虫问题已进入倒计时外,下面摘录上电报导:病毒感染事件1998年增加了二倍,宏病毒入侵案件占60%,已超过1300种,而1996只有40种。网上攻击事件大幅上升,对50个国家的抽样调查显示:去年有73%的单位受到各种形式的入侵,而1996年是42%。据估计,世界上已有两千万人具有进行攻击的潜力。网上经济诈骗增长了五倍,估计金额达到6亿美元,而同年暴力抢劫银行的损失才5900万。一份调查报告中说:有48%的企业受过网上侵害,其中损失最多的达一百万美元。对美军的非绝密计算机系统的攻击试验表明,成功率达到88%。而被主动查出的只占5%。1998年5月美CIA局长在信息安全的报告中正式宣布:“信息战威胁确实存在。”网上赌博盛行,去年在200个网点上的赌博金额达到60亿美元,预计今年还会增加一倍。网上色情泛滥,通过浏览器、电子邮件等方式大量扩散。由于问题严重,西方12个国家的警方在去年九月进行了一次联合行动,共抓96人,其中一Intranet与网络安全3个网址竟有25万张黄色图像。联合国科教文组织决定今年一月召开会议,研究遏制网上色情。欧盟正式发表了对网上有害和非法信息内容的处理法规。电子邮件垃圾已被新闻界选为1998年Internet坏消息之一,美国一家网络公司一年传送的电子邮件中有三分之一是电子垃圾。网上违反保密和密码管制的问题已成为各国政府关注的一个焦点。暴露个人隐私问题突出,例如通过美国一个网站很容易量到别人的经济收入信息,另一网址只要输入车牌号码就可查到车主地址,为此这些网址已被封闭。在电子邮件内传播个人隐私的情况更为严重。带有政治性的网上攻击在1998年有较大增加,包括篡改政府机构的网页,侵入竞选对手的网站窃取信息,在东南亚经济危机中散布谣言,伪造世界热点地区的现场照片,煽动民族纠纷等等,已引起各国政府的高度重视。我国的情况也大致相仿。一方面Internet上网人数增加,仅下半年年就由117万剧增到210万,另一方面,同一时期内外电对在我国发生的Internet安全事件的报道数量也大增,比1997年全年还多6倍,其中包括经济犯罪、窃密、黑客入侵,造谣惑众等等。以上报导只是全部景观的一角,却预示着下一个世纪全球信息安全形势不容乐观。我国正处于网络发展的初级阶段,又面临着发达国家信息优势的压力,要在信息化进程中趋利避害,从一开始就做好信息安全工作十分重要。这是这项工作难度也非常大,经常遇到十分困难的选择,甚至非难。人们对于“该不该”和“能不能”抓好信息安�全也尚有不同的看法。我们应当充分相信我国的制度优越性和人民的智慧与觉悟,积极寻求解决中国特色的Internet安全问题的办法。在此,仅就企业内部网的信息安全的建设作一个详细的讨论。1.企业网络的现状世纪之交,信息化已成为国际性发展趋势,作为国民经济信息化的基础,企业信息化建设受到国家和企业的广泛重视。企业信息化,企业网络的建设是基础,从计算机网络技术和应用发展的Intranet与网络安全4现状来看,Intranet是得到广泛认同的企业网络模式。Intranet并不完全是原来局域网的概念,通过与Internet的联结,企业网络的范围可以是跨地区的,甚至跨国界的。现在,Internet的发展已成燎原之势,随着上商业活动的激增,Intranet也应运而生。近几年,许多有远见的企业领导者都已感到企业信息化的重要性,陆续建立起了自己的企业网和Intranet并通过各种WAN线路与Internet相连。国际互联网Internet在带来巨大的资源和信息访问的方便的同时,它也带来了巨大的潜在的危险,至今仍有很多企业仍然没有感到企业网安全的重要性。在我国网络急剧发展还是近几年的事,而在国外企业网领域出现的安全事故已经是数不胜数。因此,我们应该在积极进行企业网建设的同时,就应借鉴国外企业网建设和管理的经验,在网络安全上多考虑一些,将企业网中可能出现的危险和漏洞降到最低。使已经花了不少财力、人力和时间后,建立起来的网络真正达到预想的效果。从总体上来说,企业网络建设以下几方面的误区:解决方案上的误区、应用开发上的误区和系统管理上的误区。1.1解决方案上的误区在解决方案上的误区主要包括:1.认为只要肯花钱就万事大吉了。诚然,投资是企业网络建设的基本,但并非所有的东西都能直接买来。事实上,数据、应用软件、网络系统管理及网络的应用水平等都不是简单买来了事的。2.不根据实际需求,盲目认为购买的硬件、软件产品越先进越好,甚至要求达到10年不落后等要求。这种提法本身就不科学,信息技术的发展是日新月异的,10年前谁也不知道现在的计算机会发展到如此水平,同样,10年后如何也无法预料。这样一来,后果是可以想到的:平台越先进,设备越昂贵,技术越复杂,建设的投入与产出相比一定很高,这当然不是企业需要得到的结果。3.认为有了网络、服务器、数据库、联通了Internet就能要什么就有Intranet与网络安全5什么了,忽视总体数据体系规划和组织、应用系统开发,数据的采集、传输、加工、存储和查询等具体应用工作。而缺少这些,网络的作用就不能充分发挥出来,这恰恰与企业网络建设的初衷相违。4.认为可以“毕其功于一役”地搞企业网络建设,实际上,这是一项长期的工作。5.认为只要找到好的供应商、系统集成商就肯定可以把网络建好,没有想到只有良好的合作才能获得成功,只有建立自己的技术队伍才能保持成功之果。1.2应用开发上的误区应用开发是企业网络系统建设中的重要内容,也是网络建设成功与否的关键。不少企业网络建设项目中,在应用开发方面也存在一些误区:1.认为只要有好的计算机专业人员去干就可以了,业务人员不参与应用开发工作,甚至不很好地配合。事实上,由于专业计算机人员缺少具体业务知识和经验,无法独立开发出很适合业务部门的应用软件。2.认为凡是业务部门、业务人员提出的需求都要进行开发。在应用开发的范围上,不进行认真地分析,不分主次。实际上,许多现成的工具软件已包含了许多功能,例如EXECL,但由于不重视业务人员计算机技能的提高,一切功能都寄希望于开发。这就造成开发成本的提高和工作重点的分散。3.认为只有采用最新潮的开发工具和最时髦的开发语言才能开发好的软件,而不顾自己的实际需求,也不问那些工具和语言到底有什么用。4.认为开发软件与操作软件一样容易,所以不重视开发人员的工作,随意提出需求,之后又随意改动。这样的改动,很可能给开发增加许多工作量,更为严重的是,破坏开发的总体规划,导致开发进度的延迟。5.企业高级领导认为开发工作是下面的事情,不参与总体规划,却对Intranet与网络安全6开发抱着过高的期望,以为开发结果一定应符合自己的想象。1.3系统管理上的误区企业网络效果的发挥离不开系统管理,决不仅仅是安装好企业网络的设备,配置好软件那么简单,同样一个运行良好的企业网离不开人的管理,系统管理在网络建设和维护中是至关重要的,目前在系统管理方面存在的误区主要包括:1.认为系统管理只要有计算机人员就可以了,不建立规范、有效的管理制度,没有想到系统管理实际上是企业管理中必不可少的一部分。2.认为系统管理就是对计算机、网络设备、系统软件的管理,没考虑到对企业整体信息资源的管理,不注重对数据信息的规范化、标准化管理。3.认为系统管理简单,费用不高,投入的财力、人力、物力不足。有许多企业的系统管理员只会“玩”PC而已,网管软件也被当作是可有可无的东西。殊不知,随着网络技术的发展和信息的增多,系统管理工作是相当复杂和繁重的。4.认为系统管理工作只是辅助性工作,不能为企业创造直接效益,可以不予重视。结果导致专业计算机人才流失,只好使用非专业人员,使管理效果大打折扣。5.认为只有看的见的东西才值钱,因而不愿意在服务上花钱。在系统管理上无法得到专业厂商的支持,导致管理水平业余而落后。2.Intranet与网络安全技术2.1信息安全的重要性和内涵长期以来,人们把信息安全理解为对信息的机密性、完整性和可获性的保护,这固然是对的,但这个观念是在二十多年前主机时代形成的。当时人们需要保护的是设在专用机房内的主机以及数据的安全性,因此它是面Intranet与网络安全7向单机、面向数据的。八十年代进入了微机和局域网时代,计算机已从专用机房内解放到分散的办公桌面乃至家庭,由于它的用户/网络结构比较简单、对称,所以既要依靠技术措施保护,还要制定人人必须遵守的规定。因此,这个时代的信息安全是面向网管、面向规约的。九十年代进入了互联网时代,每个用户有都可以联接、使用乃至控制散布在世界上各个角落的上网计算机,因此Internet的信息安全内容更多,更为强调面向连接、面向用户(“人”)。因为在这个崭新的世界里,人与计算机的关系发生了质的变化。人、网、环境相结合,形成了一个复杂的巨系统。通过网上的协同和交流,人的智能和计算机快速运行的能力汇集并融合起来,创造了新的社会生产力,丰富着大量应用(电子商务,网上购物等等)和满足着人们的各种社会需要(交流、学习、医疗、消费、娱乐、安全感、安全环境等等)。在这个复杂巨系统中,“人”以资源使用者的身份出现,是系统的主体,处于主导地位,而系统的资源(包括硬软件、通讯网、数据、信息内容等)则是客体,它是为主体即“人”服务的,与此相适应,信息安全的主体也是“人”(包括用户、团体、社会和国家),其目的主要是保证主体对信息资源的控制。可以这样说:面向数据的安全概念是前述的保密性、完整性和可获性,而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。这两者结合就是信息安全体系结构中的安全服务功能),而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心,安全标准和系统评估是信息安全的基础。总之从历史的、人网大系统的概念出发,现代的信息安全涉及到个人权益、企业生存、金融风险防范、社会稳定和国家的安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和。信息安全的完整内涵是和信息安全的方法论相匹配的,信息安全系统是一个多维、多因素、多层次、多目标的系统。因此,有必要从方法论的角度去理解现有的信息安全模式。1.分析与综合的辩证思维方法:要在分析过程中从整体上把握好分析Intranet与网络安全8要素的内部矛盾,例如:*在威胁分析中的环境灾害与人员失误、无意疏忽与有意破坏、外部人员与内部职员、窃密篡改与拒绝服务、个人行为与有组织的信息战威胁等关系。在脆弱性分析中的软件、协议缺陷与嵌入后门、网络层、系统层、应用层薄弱环节的关联等。在攻击分析中的利用技术漏洞与社会工程、行为模式与隐蔽方式等关系。在综合方法上则应该面向过程,着眼发展:风险管理的综合方法:立足于尽量减少风险,实行资产评估,风险估算,重点选择,综合平衡,政策制定,系统实施,审计监管等的全过程和全面质量管理。安全评估的综合方法:面向设计过程,强调系统总体评价。在评估标准上掌握好传统与现实、国际通用互认和中国特点的关系