1军工行业网络安全解决方案整体设计田鑫中国核工业建设集团公司四七一厂摘要网络安全问题越来越引起世界各国的严密关注,随着计算机网络在军工行业的广泛应用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的安全漏洞越来越多;各种病毒泛滥成灾。这一切,已给各个国家以及我国军工行业造成巨大的经济损失,甚至危害到国家安全。关键词计算机网络安全方案1概述1.1方案背景随着计算机、通信、网络技术的发展,全球信息化的步伐越来越快,网络信息系统已经成为一个国家、一个行业、一个集团、一个企业寻求发展的基础设施。人类在感受到网络信息系统对社会文明的巨大贡献的同时,也认识到网络信息安全问题已成为影响国家、军工行业和长远利益而亟待解决的重大关键问题。对国家而言,没有网络安全解决方案,就没有信息基础设施的安全保证,就没有网络空间上的国家主权和国家安全,国家的政治、军事、经济、文化、教育、社会生活等将处于信息战的威胁之中。大多数军工集团、军工企业在2002年完成了对计算机网络的升级改造。近年来通过各集团、各企业的积极努力,极大地加快了信息化建设的进程;然而,内部网络的安全问题还是相当突出,比如计算机病毒就是一个主要的危害因素。2如何根据军工行业具体的网络系统环境,在“整体安全评估与安全规划”的基础上,建立一套行之有效的安全解决方案,将是本文研讨的主题。1.2实施意义随着计算机技术、信息技术的发展,计算机网络系统必将成为我国军工行业业务的关键平台。同时,随着计算机网络系统的发展,计算机网络安全系统必将发挥越来越重要的作用。网络安全系统的建立,必将为军工行业的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统,可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁,以昀优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境,提供整体防病毒、防黑客、数据加密、身份验证防火墙等于一身的功能,有效地保证秘密、机密文件的安全传输,严格地制止经济情报丢失、泄密现象发生,维护数据安全。中国核工业建设集团公司四七一厂在2005年全面启动信息化建设,建成了覆盖整个企业各业务部门并与Internet联接的千兆快速以太网,尤其在当前网络安全和今后的信息安全上取得的实践经验,笔者作为项目的负责者认为可作为军工行业各级机构借鉴。因此,本方案的实施还可以达到预期的经济及社会效益。2需求分析2.1网络现状32005年,中国核工业建设集团公司四七一厂由于生产、科研、经营、管理工作的需要,对原有的10Mbps低速局域网进行了较大规模的升级改造工程,建成了覆盖一个企业各业务部门并与Internet联接的千兆快速以太网;使整个网络从IPX和TCP/IP协议混用的网络过渡到统一使用TCP/IP协议的网络,整个网络变的易于管理,较IPX和TCP/IP协议混用的网络更易于控制。现有网络核心设备采用HUAWEI、CISCO等公司的产品,信息中心设在机关办公大楼楼三楼,并配有一台高性能的中心交换机;厂机关及下属处级单位、车间分别配置可堆叠工作组交换机,中心交换机与各工作组交换机之间使用光纤形成星型连接,建成了4个千兆、9个百兆的主干传输通道,共连接3栋办公楼,联网计算机近150多台。如图1-1所示。图1-1核工业四七一厂网络拓扑图4在网络建设的同时,开发推广了实用的网络应用服务功能,包括开发数据库综合应用、信息网站、电子邮件、FTP、视频服务等等。随着各种应用的开展,大大促进了中国核工业建设集团公司四七一厂信息化管理和无纸化办公的进程。2.2网络安全现状目前,中国核工业建设集团公司四七一厂对网络安全采取的主要措施有:1)利用操作系统、数据库、电子邮件、应用系统本身安全性,对用户进行权限控制。2)采用了一定的数据备份措施(数据库系统备份)。3)使用防病毒软件对计算机病毒及时清除。4)使用了基于用户名/口令的访问控制。5)不定期对系统和应用日志进行审计。6)浏览相关系统网站,及时下载安全补丁。但是,仅靠以上几项安全措施,还不能达到中国核工业建设集团公司四七一厂安全的要求。2.3主要网络安全威胁网络安全的建立并不是单纯几种安全技术产品的堆积,它的重点在于要针对中国核工业建设集团公司四七一厂现有的网络环境,对网络中所有可能存在的破坏侵入点进行详细的分析,针对每一个可能的侵入点进行层层防护,对症下药,真正使之成为“安全5的”企业网络。对中国核工业建设集团公司四七一厂网络安全构成威胁的主要因素有:1)内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同进也能访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。2)来自内部网的病毒的破坏。内部用户的恶意攻击、误操作,但目前发生的概率较小。3)来自外部网络的攻击,具体有二条途径:1)Internet的连接部分;2)与各二级单位连接的部分。4)外部网的破坏主要方式为:1)黑客用户的恶意攻击、窃取信息;2)通过网络传送的病毒和Internet的电子邮件夹带的病毒。3)来自Internet的Web浏览可能存在的恶意Java/ActiveX控件。5)缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。6)缺乏一套完整的安全策略、政策。其中,目前昀主要的安全威胁是来自网络外部用户(主要是各二级单位用户和Internet用户)的攻击。2.4网络安全需求分析根据上面所描述的企业网络的具体环境和相应的遭受威胁的可能性分析,我们提出6如下网络安全体系需求报告:1)访问控制:通过对特定网段、服务建立访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。2)检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。3)攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。4)加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。5)认证:良好的认证体系可防止攻击者假冒合法用户。6)备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。7)多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。8)隐藏内部信息:使攻击者不能了解系统内的基本情况。9)设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。3网络安全方案设计3.1安全体系设计原则在进行计算机网络安全设计、规划时应遵循以下原则:71)需求、风险、代价平衡分析的原则:对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2)综合性、整体性原则:运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。3)一致性原则:这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。4)易操作性原则:安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。5)适应性、灵活性原则:安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。6)多重保护原则:任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其他层保护仍可保护信息的安全.83.2安全体系层次模型按照网络OSI的7层模型,网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。下图表示了对应网络系统网络的安全体系层次模型:物理层物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。链路层链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。网络层网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。物理实体安全企业安全策略用户责任病毒防治保证客户计算机网络安全信息服务操作系统信息安全9操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。应用平台应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。应用系统应用系统完成网络系统的昀终目的-为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统通过应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。3.3安全产品选型赛门铁克公司是目前世界上技术领先的Internet网络安全软件公司,也是昀大、昀著名的工具软件公司。作为全球第七大软件商,全球有超过6千万的用户使用赛门铁克产品,包括企业、政府和高等院校等各个领域的用户。作为全球安全领域的领导者,赛门铁克公司致力于向商业和个人计算机环境提供创造性的、昀有效的解决方案和产品,着重在为用户的系统提供可靠的安全保障,帮助用户提高生产效率,保持用户的计算机系统在任何时间和任何地点,以昀佳性能安全可靠地运行。赛门铁克公司主要以计算机系统内容安全、漏洞检测与风险评估、入侵扫描软件和系统支持与恢复软件的研究发展著称。Symantec提供全方位、多层次的、整体的网络安全解决方案。101)在网络结构方面:Symantec从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护,尤其是对电子邮件的防病毒,Symantec具有昀全面的解决方案,包括市场上流行的所有邮件系统如:IBMLotusNotes/Domino(onAIX\AS/400、OS/390、SUNSolalis、NT)、MSExchangServer以及其他的基于Unix平台下的邮件系统。2)在系统平台支持方面:Symantec对各种操作系统提供全面的支持,如:IBMAIX,Linux,AS/400,OS/390,SUNSolaris,Dos,Windows/3x,Windows95/98,WindowsNTWorkstation/Server,Windows2000,OS/2,NOVELLNetware,Macintosh等。3)在防病毒技术方面:Symantec采用各种先进的反病毒技术,尤其在对付未知病毒和多态病毒方面,采用了各种先进的技术对其进行查杀,如:启发式侦测技术(BloodhundTM),神经网络技术,打击技术(Striker32)和防宏病毒技术(MVP)等,因此NAV产品不仅能查、杀各种未知病毒,还能修复被病毒感染的文件。4)在防病毒软件和防病毒策略管理方面:通过赛门铁克的SSC(SymantecSystemCenter)赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。5)在病毒定义码和扫描引擎升级方面:采用模块化(NAVEX)的升级方式,也就是说,用户每次升级都包括昀新的病毒定义码和扫描引擎,而且各种NAV产品采用的是同一套病毒定义码和扫描引擎,方便用户病毒定义码和扫描引擎的升级,同时计算机在升级完昀新的病