搜索
信息安全网络体系、设计与管理尹丽波,徐晨信息产业部电子科学技术情报研究所,北京(100040)E-mail:xuchen@etiri.com.cn摘要:本文探讨了为保证网络信息安全在物理层、基础平台层、应用层和管理层采取的技术手段,对技术管理人员具有一定的参考意义。关键词:网络安全,技术体系结构,管理原则1.引言随着计算机及网络技术的发展,各种工作都开始越来越依赖网络环境,离不开计算机及网络系统。信息安全计算机网络系统关系到保守本系统本单位的秘密,维护自身利益,也是一些行业、领域信息系统能否达到预期建设目的的关键所在。信息安全计算机网络既包括部分封闭的系统,也包括部分对外提供某些服务的半封闭计算机信息网络系统。它是有关人员进行各类重要信息处理、传递、储存的计算机网络系统。在管理方面,计算机网络应有一套严格的管理制度和严密的保密制度来确保信息安全。在技术方面,科学的安全体系、可靠的安全设施是安全计算机网络的技术安全保障[1]。本文结合计算机网络技术和制度管理两个方面,讨论在网络环境的各个环节中如何采取措施,建设信息安全计算机网络。本文中信息安全网络指以承载信息的计算机网络为主,并包括相关系统以及管理体系。2.信息安全网络的安全需求和挑战因素认识安全计算机网络的需求和挑战是实现网络安全的前提。从管理的角度来说,其需求主要是:1)应对各类情况,保证系统的稳定运行;2)确保意外情况下系统的安全恢复;3)保证重要信息的秘密内容不被泄露。从技术管理角度说,其需求主要是:1)做好冗余、备份的规划和管理工作;2)合理规划信息系统管理和使用的各种角色;3)管理系统中的权限;4)保证信息存储的安全;5)确保信息传输的安全;6)系统管理和使用活动的保存与查询。不安全的挑战因素则来自内、外两个方面。内部的不安全因素主要是技术产品缺陷,核心技术来自国外;管理结构缺陷,组织机构、法律、标准等不健全。外部的不安全因素主要是病毒感染和黑客攻击。3.信息安全网络体系结构为了满足上述信息安全网络的需求,规避信息安全风险,可在以下四个层次上建立相应的安全体系:物理层安全、基础平台层安全、应用层安全、管理层安全。同时可把网络安全构成划分为六个子系统:身份认证子系统、加密子系统、安全防御与响应子系统、安全备份与恢复子系统、监控子系统、授权子系统。并在身份鉴别、访问控制、数据保密、数据完整性、不可抵赖、防病毒、审计、可用性八个安全技术特性方面加以考虑。安全体系结构如图[2]。-1-物理层安全设计物理安全是保护计算机网络设备、设施免遭地震、水灾、火灾等环境事故以及人为操作失误或错误等行为导致的破坏过程。它主要包括三个方面:环境安全、设备安全和线路安全。对于需要保密的网络,我们还要采用隔离技术将核心保密网络在物理上与其他系统进行隔离。4.1.1环境安全信息网络系统一般由一个或几个中心连结在一起构成。这些中心存放了非常多的精密设备,包括各档次服务器、计算机、网络设备、外部设备等,所以保护这些中心的整体环境就是环境安全。环境安全从基本的电力保护到高级的容灾系统,其造价和效果成正比的关系。最基础的,要准备至少两路不同源的电力供应。其次是防尘、防潮、防高、低温等。机房不允许开窗,要远离电磁干扰,进出口与外界需设置过渡间,人员进入作业最好换穿工作服、内部鞋或鞋套。高级的容灾系统能够在严重自然灾害破坏了某个机房整体的情况下,自动启动远方的备份节点,使系统在短时恢复正常工作,同时基本不损失工作数据。这种机制技术复杂,适合金融等重要的商业、重要的政府机关等单位。4.1.2设备安全设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰、电源保护和设备冗余备份等。对于防盗毁,主要采用各类监控报警系统,值守系统来完成。而对于设备的自身故障,则采用冗余的设计。大型系统的CPU、内存、硬盘、电源、风扇甚至外设卡都要支持冗余纠错编码恢复和双容错设计,系统中单点损坏基本不影响系统的运行。4.1.3线路安全线路安全包括传输媒体数据的安全及传输媒体本身的安全。电子线路传输有电磁辐射,-2-数据传输要经过调制,无论是有线传输还是无线传输,这些都存在安全漏洞。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,典型的例如电话拨号调制解码,以及WI-FI和蓝牙等。解决办法则主要有加装屏蔽,设置干扰,以及传输数据加密等。值得注意的是,在重要系统建设中,必须采用国产并经必要等级机构认证的设备和技术。4.2基础平台安全设计基础平台层包括系统软件,如OS,网络环境的基本服务,中间件服务器、DBMS软件等。基础平台层安全主要包括平台自身的安全管理和平台服务器的加强防卫措施。4.2.1平台自身软件的安全考虑由于现代软件功能越来越强,规模越来越大,更新速度也很快,这样系统不可避免地存在大量的设计、运行、管理等方面的代码漏洞。因而,几乎所有现代软件都随时对软件进行更新,尽管各公司称呼不同,但习惯上一般形象地称为“补丁”。事实上,由于补丁总在问题发生后推出,并且推出前用户无法采取有效手段进行防卫,因而,它是平台层安全中最严重和最主要问题。此前著名的SQL-Slammer病毒事件和红码事件都是因平台自身的安全缺陷所致。进行基础平台层安全防护的有效措施就是对平台进行加固防护,即安装一些功能强大的基于主机的防火墙软件。这些软件可以有效消除大部分的安全威胁。此外,还可利用网络层防火墙和网络设备ACL机制切断所有不必要、不使用的通信类型。漏洞扫描系统也是解决平台自身安全问题的一个有效手段。漏洞检测系统负责定期或不定期地对整个服务器OS,以及某些服务系统进行安全扫描和检测,及时发现安全漏洞并予以补救。4.2.2平台层的病毒问题病毒防治系统则是解决基础平台自身安全问题的一个非常重要的必需措施。现代网络无处不在,而基于网络的计算机病毒危害能力大,传播能力极强。因而各类网络系统必须设置中央管理的分布式可控病毒防治系统。它负责对各类计算机病毒的检测与杀灭,以及对网络中各用户计算机防毒状态是否正常进行监控和管理。4.2.3平台层网络设计的重要安全环节网络设计安全的基础是安全拓扑,主要指网络各部分的连接关系,要符合网络的安全性要求。大型计算机网络拓扑结构非常复杂,不仅包括本网络的内网部分和外网部分,以及外网的对外服务部分,还包括重要系统涉密网络与非涉密网络之间的连接。这些网络的连接方式则可分为物理隔离、逻辑隔离、基于物理隔离的数据交换等几种不同形式。在现代计算机网络中,大量采用了VLAN技术。需要指出的是,VLAN技术不仅解决网络用户异地分组的有效措施,也是网络安全的重要措施之一。4.2.3.1网络隔离设计网络隔离分物理隔离和逻辑隔离。在网络的各级交换机上进行跨交换机的VLAN划分,配置三层路由,并配置访问控制列表(AccessList),不仅隔离了不必要的以太网络通信,-3-提高了网络带宽的利用率,而且使不同用户组的通信不会在非通信组传播,从而保护了网络通信,提高了安全性。这种隔离就是逻辑隔离。它使用防火墙进行数据交换方面的审查,通行许可的数据通信请求,拒绝非法请求。由于逻辑隔离既保证了一定程度的安全性,又使主要的通信交换正常地进行,因而被广泛应用于各级、各类的网络当中。物理隔离则是某一网络和其他网络物理地隔断,该网的计算机不能访问其他网络任何资源,其必须的数据交换则通过一些间接形式完成,例如,物理网络切换和移动介质数据交换。逻辑隔离对网络设计人员的技术水平提出了较高的要求,逻辑隔离的正确设计与实现十分重要。一个逻辑隔离的网络的安全水平几乎就是网络设计施工人员的技术水平,因而可能存在许多安全问题。因此,政府的部分网络和其他保密单位的核心网络必须使用物理隔离。4.2.3.2防火墙与DMZ(非军事区)的应用和设置防火墙是用一个或一组网络设备在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙系统决定了一个网络的哪些部分的哪些服务可以被其他网络访问。所有往来的信息都必须经过防火墙,只有被许可的通信和传输才能够通过。安全拓扑设计中的另一个重要因素就是DMZ(非军事区)的应用和设置。DMZ构成了网络外部和内部的一个缓冲。许多服务器放置在这里,其安全设置十分重要。DMZ自身的区域安全主要由防火墙和一些带有访问控制功能的路由器/交换机系统来完成,并辅以入侵检测和防御系统、漏洞扫描系统、病毒防治系统、安全审计系统。它在为外部提供服务的同时,为内部网络构成一道屏障。DMZ区中,通常会安排某些特别的必需连接内外部的服务器系统,例如电子邮件的防病毒网关等。4.2.3.3入侵检测的应用和设置平台层网络中的另一安全设备就是基于网络的入侵检测系统。它一般采用安全监测控制器和探测器两级的分布式结构,探测器配置在网络的敏感部位进行信息采集,而安全监测控制器则对所收集到的信息进行分析处理,判断网络是否遭到入侵攻击,在遭到攻击时并会才有报警动作,并会联合兼容的防火墙才取防卫措施。4.2.3.4基础平台层的管理与安全现代网络设备都支持SNMP网管协议,网络监控体系也是符合SNMP协议来实现监控功能的。每个设备都维护着一个含有设备状态、接口信息等资料的MIBS库,SNMP协议通过对MIBs库的获取和更新来监控和管理设备。SNMP协议的某些版本存在安全缺陷,因而SNMP管理体系需要经过检查,同时其管理端和代理端要被正确、合理配置,以确保网络的安全性,并减少对网络流量的影响。4.2.3.5基础平台层的安全审计基础平台层的另一重要安全保证是设置审计系统。它负责对各类系统的全部活动过程轨迹进行记录,以便为事后的安全审计追踪、系统安全漏洞分析提供原始证据。安全审计系统的功能主要包括安全审计事件自动响应、安全审计数据生成、安全审计数据存储、安全审计分析等。它是应对黑客入侵的一个十分有效又极为重要的系统。网络及基础平台层有一个重要的问题在实践中值得关注,即无论是漏洞扫描还是入侵检-4-测,抑或是防病毒体系和操作系统保护,都需要在线的、及时的远程更新,而这种更新需要一种合适的机制,以符合网络的隔离或者保护政策。4.3应用层安全设计应用层安全为网络基础设施层和应用层提供可靠的信息安全支撑服务,是重要的网络安全组成部分。现代大型应用层的安全方案设计均采用CA认证措施。应用层的安全是基于PKI(公共密钥基础设施),为网络基础设施层、综合业务支撑平台层和应用层提供统一的信息安全服务。其安全证件和安全认证应采用“集中式生产、分布式服务”的模式,即证书的生产、签发、发布、管理、撤消等集中在证书生产系统进行,而证书的服务则由大量分布式的证书查询验证服务系统完成。CA认证措施主要功能为:1)提供基于数字证书的信任服务,进行证书管理;2)提供基于统一安全管理的密钥服务,包括密钥的生成、管理等相关服务;3)提供数字证书/证书撤消列表的目录查询及管理服务;4)提供基于统一安全管理的密码服务;5)以信任服务为基础,提供可信的授权管理服务;6)基于国家权威时间源和公钥密码技术,提供可信的时间戳服务。7)提供网络可信接入、安全通信及可信管理服务;8)提供信息安全防护系统服务。CA认证措施系统结构包括:证书生产系统、证书查询验证服务系统、可信时间戳服务系统、可信授权服务系统、网络信任域系统和信息安全防御系统等。其中证书生产系统为重要应用提供数字证书的生产服务,由证书认证中心CA、证书审核注册中心RA、密钥管理中心KM组成。由于安全体系的基础是密码技术,为重要工程提供信息安全保障服务,地位十分重要,因此安全体系的建设必须选用具有我国自主知识产权、通过国家密码主管部门安全审查的、具有完整体系结构的安全产品。4.4管理层面安全设计管理层安全主要指非技术的管理体制方面。它是安全系统的