天融信網絡信息安全解決方案

2019-11-04 21:17:13

字體：大中小

來源：轉載

供稿：網友

計算機網絡是一個分層次的拓撲結構，因此網絡的安全防護也需采用分層次的拓撲防護措施。即一個完整的網絡信息安全解決方案應該覆蓋網絡的各個層次，并且與安全治理相結合。以該思想為出發點，北京天融信公司提出了"網絡信息安全解決方案"。

一、網絡信息安全系統設計原則

· 1.1滿足Internet分級治理需求

· 1.2需求、風險、代價平衡的原則

· 1.3綜合性、整體性原則

· 1.4可用性原則

· 1.5分步實施原則

目前，對于新建網絡及已投入運行的網絡，必須盡快解決網絡的安全保密問題，考慮技術難度及經費等因素，設計時應遵循如下思想：

（1）大幅度地提高系統的安全性和保密性；

（2）保持網絡原有的性能特點，即對網絡的協議和傳輸具有很好的透明性；

（3）易于操作、維護，并便于自動化治理，而不增加或少增加附加操作；

（4）盡量不影響原網絡拓撲結構，便于系統及系統功能的擴展；

（5）安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；

（6）安全與密碼產品具有合法性，并便于安全治理單位與密碼治理單位的檢查與監督。

基于上述思想，網絡信息安全系統應遵循如下設計原則：

1．1 滿足因特網的分級治理需求

根據Internet網絡規模大、用戶眾多的特點，對Internet/Intranet信息安全實施分級治理的解決方案，將對它的控制點分為三級實施安全治理。

第一級：中心級網絡，主要實現內外網隔離；內外網用戶的訪問控制；內部網的監控；內部網傳輸數據的備份與稽查。
第二級：部門級，主要實現內部網與外部網用戶的訪問控制；同級部門間的訪問控制；部門網內部的安全審計。
第三級：終端/個人用戶級，實現部門網內部主機的訪問控制；數據庫及終端信息資源的安全保護。

1．2 需求、風險、代價平衡的原則

對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。

1．3 綜合性、整體性原則

應用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種治理制度（人員審查、工作流程、維護保障制度等）以及專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構。

1．4 可用性原則

安全措施需要人為去完成，假如措施過于復雜，對人的要求過高，本身就降低了安全性，如密鑰治理就有類似的問題。其次，措施的采用不能影響系統的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。

1．5 分步實施原則：分級治理分步實施

由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。

二、網絡信息安全系統設計步驟

· 網絡安全需求分析

· 確立合理的目標基線和安全策略

· 明確預備付出的代價

· 制定可行的技術方案

· 工程實施方案（產品的選購與定制）

· 制定配套的法規、條例和治理辦法

本方案主要從網絡安全需求上進行分析，并基于網絡層次結構，提出不同層次與安全強度的網絡信息安全解決方案。

三、網絡安全需求

確切了解網絡信息系統需要解決哪些安全問題是建立合理安全需求的基礎。一般來講，網絡信息系統需要解決如下安全問題：

· 局域網LAN內部的安全問題，包括網段的劃分以及VLAN的實現

· 在連接Internet時，如何在網絡層實現安全性

· 應用系統如何保證安全性 l 如何防止黑客對網絡、主機、服務器等的入侵

· 如何實現廣域網信息傳輸的安全保密性

· 加密系統如何布置，包括建立證書治理中心、應用系統集成加密等

· 如何實現遠程訪問的安全性

· 如何評價網絡系統的整體安全性

基于這些安全問題的提出，網絡信息系統一般應包括如下安全機制：訪問控制、安全檢測、攻擊監控、加密通信、認證、隱藏網絡內部信息（如NAT）等，具體參見北京天融信公司<<ÍøÂçÐÅÏ¢°²È«°×Æ¤Êé>。

四、網絡安全層次及安全措施

· 4.1鏈路安全

· 4.2網絡安全

· 4.3信息安全

網絡的安全層次分為:鏈路安全、網絡安全、信息安全

網絡的安全層次及在相應層次上采取的安全措施見下表。

信息安全

信息傳輸安全（動態安全）

數據加密

數據完整性鑒別

防抵賴

安全治理

信息存儲安全（靜態安全）

數據庫安全

終端安全

信息的防泄密

信息內容審計

用戶

鑒別

授權（CA）

網絡安全

訪問控制（防火墻)

網絡安全檢測

入侵檢測（監控)

ipSEC（IP安全）

審計分析

鏈路安全

鏈路加密

4． 1鏈路安全

鏈路安全保護措施主要是鏈路加密設備，如各種鏈路加密機。它對所有用戶數據一起加密，用戶數據通過通信線路送到另一節點后立即解密。加密后的數據不能進行路由交換。因此，在加密后的數據不需要進行路由交換的情況下，如DDN直通專線用戶就可以選擇路由加密設備。

一般，線路加密產品主要用于電話網、DDN、專線、衛星點對點通信環境，它包括異步線路密碼機和同步線路密碼機。異步線路密碼機主要用于電話網，同步線路密碼機則可用于許多專線環境。

4．2網絡安全

網絡的安全問題主要是由網絡的開放性、無邊界性、自由性造成的，所以我們考慮信息網絡的安全首先應該考慮把被保護的網絡由開放的、無邊界的網絡環境中獨立出來，成為可治理、可控制的安全的內部網絡。也只有做到這一點，實現信息網絡的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現內部網（信任網絡）與外部不可信任網絡（如因特網）之間或是內部網不同網絡安全域的隔離與訪問控制，保證網絡系統及網絡服務的可用性。

目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應用代理型防火墻，還有一類是復合型防火墻，即包過濾與應用代理型防火墻的結合。包過濾防火墻通常基于IP數據包的源或目標IP地址、協議類型、協議端口號等對數據流進行過濾，包過濾防火墻比其它模式的防火墻有著更高的網絡性能和更好的應用程序透明性。代理型防火墻作用在應用層，一般可以對多種應用協議進行代理，并對用戶身份進行鑒別，并提供比較具體的日志和審計信息；其缺點是對每種應用協議都需提供相應的代理程序，并且基于代理的防火墻經常會使網絡性能明顯下降。應指出的是，在網絡安全問題日益突出的今天，防火墻技術發展迅速，目前一些領先防火墻廠商已將很多網絡邊緣功能及網管功能集成到防火墻當中，這些功能有：VPN功能、計費功能、流量統計與控制功能、監控功能、NAT功能等等。

信息系統是動態發展變化的，確定的安全策略與選擇合適的防火墻產品只是一個良好的開端，但它只能解決40%－60%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境布滿弱點等，這些都是對信息系統安全的挑戰。

信息系統的安全應該是一個動態的發展過程，應該是一種檢測──監視──安全響應的循環過程。動態發展是系統安全的規律。網絡安全風險評估和入侵監測產品正是實現這一目標的必不可少的環節。

網絡安全檢測是對網絡進行風險評估的重要措施，通過使用網絡安全性分析系統，可以及時發現網絡系統中最薄弱的環節，檢查報告系統存在的弱點、漏洞與不安全配置，建議補救措施和安全策略，達到增強網絡安全性的目的。

入侵檢測系統是實時網絡違規自動識別和響應系統。它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方，通過實時截獲網絡數據流，能夠識別、記錄入侵和破壞性代碼流，尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問時，入侵檢測系統能夠根據系統安全策略做出反應，包括實時報警、事件登錄，自動阻斷通信連接或執行用戶自定義的安全策略等。

另外，使用IP信道加密技術（IPSEC）也可以在兩個網絡結點之間建立透明的安全加密信道。其中利用IP認證頭（IP AH）可以提供認證與數據完整性機制。利用IP封裝凈載（IP ESP）可以實現通信內容的保密。IP信道加密技術的優點是對應用透明，可以提供主機到主機的安全服務，并通過建立安全的IP隧道實現虛擬專網即VPN。目前基于IPSEC的安全產品主要有網絡加密機，另外，有些防火墻也提供相同功能。

4．3信息安全（應用與數據安全）

在這里，我們把信息安全定義為應用層與數據安全。在這一層次上，主要是應用密碼技術解決用戶身份鑒別、用戶權限控制、數據的機密性、完整性等網絡上信息的安全問題。由于網絡的開放性和資源的共享，使得網絡上的信息（無論是動態的還是靜態的）的使用和修改都是自由的，如非法修改、越權使用、改變信息的流向等。這也必然威脅到信息的可控性、可用性、保密性、完整性等安全屬性。為了保證信息的安全，我們必須采取有效的技術措施。這些措施主要從以下幾個方面解決信息的安全問題，即：用戶身份鑒別、用戶權限控制、信息的傳輸安全、信息的存儲安全以及對信息內容的審計。

北京天融信公司為解決這一層次的安全問題而提供的相關產品有：

· w Internet/Intranet加密系統：它為應用程序提供身份鑒別、數據加密、數字簽名和自動密鑰分發等安全功能。

· CA系統：建立證書中心（CA）即公鑰密碼證書治理中心，是公鑰密碼技術得以大規模應用的前提條件。公鑰密碼算法在密鑰自動治理、數字簽名、身份識別等方面是傳統對稱密碼算法所不可代替的一項要害技術。尤其在當前迅猛發展的電子商務中，數字簽名是電子商務安全的核心部分。公鑰密碼算法用于數字簽名時須借助可信的第三方對簽名者的公開密鑰提供擔保，這個可信的第三方就是CA。因此，建立CA是開展電子商務的先決條件。另外，CA還可為各種基于公鑰密碼算法建立的網絡安全系統提供認證服務。

· 端端加密機：這類密碼機只對用戶數據中的數據字段部分加密，控制字段部分則不加密，用戶數據加密后通過網絡路由交換到達目的地后才進行解密。用戶數據在網絡的各個交換節點中傳輸時始終處于加密狀態，有效地防止了用戶信息在網絡各個環節上的泄漏和篡改問題。端端系列加密機系列目前主要用于X.25分組交換網等端到端通信環境，為X.25網用戶提供全程加密服務，它支持專線及電話撥號兩種入網方式。

· 信息稽查系統：是針對信息內容進行審計的安全治理手段，該系統采用先進的狀態檢查技術，以透明方式實時對進出內部網絡的電子郵件和傳輸文件等進行數據備份，并可根據用戶需求對通信內容進行審計，并對壓縮的文件進行解壓還原，從而為防止內部網絡敏感信息的泄漏以及外部不良信息的侵入和外部的非法攻擊提供有效的技術手段。

· 辦公自動化文電加密系統：文電辦公自動化安全保密系統是用于文件和電子郵件傳送、存儲以及訪問控制的應用系統，是應用層加密系統。系統采用對稱與非對稱算法相結合的體系，為適應國家有關規定，算法可根據用戶的安全強度需求不同進行定制；而且具有操作簡單、使用方便的特點。可廣泛應用于企業內部網、局域網、廣域網以及利用Internet開展的諸多應用中。

· 安全數據庫系統：安全數據庫系統是一套完全自主版權實用化的數據庫軟件產品，系統主要的安全機制包括：治理員、審計員、安全員三權分立的治理機制；對用戶和數據的分級治理機制；同時提供可靠的故障恢復機制。該系統是客戶/服務器體系機構的分布式多媒體數據庫治理系統，支持多臺服務器并行協同工作，提供良好的分布式數據庫環境，確保分布數據的完整性；支持存儲過程和遠程數據訪問；系統性能與功能強度，相當于Oracle V7，并可與ORACLE等流行數據庫互聯互訪。

· 數據庫安全保密系統：數據庫安全保密系統是針對目前已選用的通用數據庫開發的安全措施，是在目前流行的通用數據庫（如Oracle）基礎上增加控件，以實現對數據庫的訪問/存取控制及加密控制等。

五、網絡信息安全解決方案選型指導

· 5.1鏈路安全解決方案

· 5.2網絡安全解決方案

· 5.3信息安全解決方案

5．1 鏈路安全解決方案

用戶需求：鏈路加密，防信息泄漏，對用戶透明，設備自身安全治理

解決方案：異步線路密碼機（適用于電話網）、同步線路密碼機）適用于（DDN專線、X.25專線、衛星線路）

5．2 網絡安全解決方案

1． 基本防護體系（包過濾防火墻＋NAT＋計費）

用戶需求：全部或部分滿足以下各項

· 解決內外網絡邊界安全，防止外部攻擊，保護內部網絡

· 解決內部網安全問題，隔離內部不同網段，建立VLAN

· 根據IP地址、協議類型、端口進行過濾

· 內外網絡采用兩套IP地址，需要網絡地址轉換NAT功能

· 支持安全服務器網絡SSN

· 通過IP地址與MAC地址對應防止IP欺騙

· 基于IP地址計費

· 基于IP地址的流量統計與限制

· 基于IP地址的黑白名單。

· 防火墻運行在安全操作系統之上

· 防火墻為獨立硬件

· 防火墻無IP地址