【正文】 個三線立體框架結(jié)構(gòu)。信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)安全服務(wù)取自于國際標(biāo)準(zhǔn)化組織制訂的安全體系結(jié)構(gòu)模型 ISO7498，我們在 ISO7498 的基礎(chǔ)上增加了審計(jì)功能和可用性服務(wù)。協(xié)議層次的劃分參照 TCP／IP 協(xié)議的分層模型。7 / 34系統(tǒng)單元給出了信息網(wǎng)絡(luò)系統(tǒng)的組成。安全管理涉及到所有協(xié)議層次、所有單元的安全服務(wù)和安全機(jī)制的管理。安全管理涉及兩方面的內(nèi)容：各種安全技術(shù)的管理和安全管理制度。 安全服務(wù)模型國際標(biāo)準(zhǔn)化組織所定義的安全體系結(jié)構(gòu)中包括五組重要的安全服務(wù)，這些安全服務(wù)反映了信息系統(tǒng)的安全需求。這五種服務(wù)并不是相互獨(dú)立的，而且不同的應(yīng)用環(huán)境有不同的程度的要求，我們在圖中給出了主要安全服務(wù)之間的邏輯關(guān)系。各種安全服務(wù)之間的邏輯關(guān)系在不同的協(xié)議層次，實(shí)體都有主體和客體（或資源）之分：在網(wǎng)絡(luò)層，對主體和資源的識別以主機(jī)或協(xié)議端口為粒度，認(rèn)證服務(wù)主要指主機(jī)地址的認(rèn)證，網(wǎng)絡(luò)層的訪問控制主要指防火墻等過濾機(jī)制；在應(yīng)用系統(tǒng)中，主體的識別以用戶為粒度，客體是業(yè)務(wù)信息資源，認(rèn)證是指用戶身份認(rèn)證和應(yīng)用服務(wù)的認(rèn)證，訪問控制的粒度可以具體到某種操作，如對數(shù)據(jù)項(xiàng)的追加、修改和刪除。在開放式應(yīng)用環(huán)境中，主體與客體的雙向認(rèn)證非常重要。從這一模型可以得出如下結(jié)論：對資源的訪問控制是安全保密的核心，而對實(shí)體的（用戶、主機(jī)、服務(wù)）認(rèn)證是訪問控制的前提。 協(xié)議層次安全模型從網(wǎng)絡(luò)體系結(jié)構(gòu)的協(xié)議層次角度考察安全體系結(jié)構(gòu)，我們得到了網(wǎng)絡(luò)安全8 / 34的協(xié)議層次模型，如圖所示，圖中實(shí)現(xiàn)上述安全服務(wù)的各種安全機(jī)制，并給出了它們在協(xié)議層次中的位置。該模型與 OSI 體系結(jié)構(gòu)一致。協(xié)議層次模型 安全實(shí)體單元在工程實(shí)施階段，各種安全服務(wù)、各協(xié)議的安全機(jī)制最終要落實(shí)到物理實(shí)體單元。如圖所示，從實(shí)體單元角度來看，安全體系結(jié)構(gòu)可以分成以下層次：● 物理環(huán)境安全?！?端系統(tǒng)安全，主要保護(hù)網(wǎng)絡(luò)環(huán)境下端系統(tǒng)的自身的安全。● 網(wǎng)絡(luò)通信安全，一則保障網(wǎng)絡(luò)自身的安全可靠運(yùn)行，保證網(wǎng)絡(luò)的可用性；二則為業(yè)務(wù)數(shù)據(jù)提供完整性、保密性的安全服務(wù)?！?應(yīng)用系統(tǒng)安全，為某種或多種應(yīng)用提供用戶認(rèn)證、數(shù)據(jù)保密性、完整性以及授權(quán)與訪問控制服務(wù)等。9 / 34系統(tǒng)單元安全模型其中，安全政策是制定安全方案和各項(xiàng)管理制度的依據(jù)，安全政策是有一定的生命周期的，一般要經(jīng)歷風(fēng)險分析、安全政策制定、安全方案和管理制度的實(shí)施、安全審計(jì)和后評估、四個階段。安全管理是各項(xiàng)安全措施能夠有效發(fā)揮作用的重要保證。安全管理的內(nèi)容可以分成安全技術(shù)管理和安兮管理制度兩部分。安全技術(shù)的管理包括安全服務(wù)的激活和關(guān)閉、安全相關(guān)參數(shù)的分發(fā)與更新、安全相關(guān)事件的收集與告警等。10 / 34第三章 XX 企業(yè)信息網(wǎng)絡(luò)的安全現(xiàn)狀和需求分析隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)成為信息高速公路，人們利用網(wǎng)絡(luò)來獲取和發(fā)布信息，處理和共享數(shù)據(jù)。但是網(wǎng)絡(luò)協(xié)議本身的缺陷、計(jì)算機(jī)軟件的安全漏洞，對網(wǎng)絡(luò)安全的忽視給計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)帶來極大的風(fēng)險。實(shí)際上，安全漏洞廣泛存在于網(wǎng)絡(luò)數(shù)據(jù)鏈路、網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用系統(tǒng)中。網(wǎng)絡(luò)安全是一個體系工程，如果把 XX 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)劃一個邊界的話，未來在廣域網(wǎng)建好之后可能發(fā)生的安全威脅會來自各個方向、各個層面。 XX 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及威脅分析XX 企業(yè)集團(tuán)現(xiàn)有信息網(wǎng)絡(luò)覆蓋 10 平方公里之內(nèi)的各個下屬鋼鐵企業(yè)、附屬機(jī)構(gòu)和分布在異地的遠(yuǎn)程分支機(jī)構(gòu)。到目前為止，共有終端用戶 1000 余個，其中包含各種服務(wù)器 30 臺。網(wǎng)絡(luò)設(shè)備基本采用 CISCO 系列產(chǎn)品，主干網(wǎng)絡(luò)交換機(jī)近 100 臺。整個網(wǎng)絡(luò)擁有 100M 的因特網(wǎng)出口。Internet EMAIL轉(zhuǎn)發(fā)服務(wù)器Proxy AAACisco3640防火墻pix 2950123500G24小型機(jī) SUNFIRE4800Catalyst6506Catalyst6506Catalyst4006Catalyst40062950G242950G242950G48生產(chǎn)子網(wǎng)12950G24295012 295012VPN及移動上網(wǎng)卡3550G12T終端服務(wù)器計(jì)量服務(wù)器Email服務(wù)器3548G2m數(shù)字電路三個分廠生產(chǎn)子網(wǎng)2下面主要針對 XX 企業(yè)的信息系統(tǒng)，列出可能面臨的主要安全威脅為：11 / 34 內(nèi)部網(wǎng)絡(luò)與 Inter 互聯(lián)的安全威脅? 與 Inter 相連，如果沒有邊界防護(hù)將是危險的。 XX 企業(yè)內(nèi)部網(wǎng)絡(luò)與 Inter 如果不采取安全防護(hù)措施，這樣內(nèi)部網(wǎng)絡(luò)很容易遭到來自于 Inter 中可能的入侵者的攻擊。如：? 入侵者通過 Sniffer 等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò) IP 地址、應(yīng)用操作系統(tǒng)的類型、開放哪些 TCP 端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。? 入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。? 惡意攻擊：入侵者通過發(fā)送大量 PING 包對內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓? 在 Inter 上爆發(fā)網(wǎng)絡(luò)蠕蟲病毒的時候，如果內(nèi)網(wǎng)的邊界處沒有訪問控制設(shè)備對蠕蟲病毒在第一時間進(jìn)行隔離，那么蠕蟲的攻擊將會對網(wǎng)絡(luò)造成致命的影響。? 分支機(jī)構(gòu)通過 Inter 與總公司進(jìn)行通訊的安全威脅? 在 Inter 上傳輸?shù)墓緝?nèi)部數(shù)據(jù)，會面臨被讀取，被篡改，被冒名的安全威脅，所以需要對數(shù)據(jù)的源發(fā)性、數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性進(jìn)行驗(yàn)證。? 在分支機(jī)構(gòu)與總部的 VPN 網(wǎng)關(guān)建立隧道以后，如果分支機(jī)構(gòu)的計(jì)算機(jī)遭到病毒或黑客的入侵，同樣將會對 XX 企業(yè)的內(nèi)網(wǎng)造成安全威脅。 來自內(nèi)部網(wǎng)絡(luò)的安全威脅? 核心交換機(jī)如果沒有訪問控制，就不能抵御日益嚴(yán)重的網(wǎng)絡(luò)攻擊XX 企業(yè)內(nèi)部系統(tǒng)基本是一個三層互聯(lián)的網(wǎng)絡(luò)，核心交換機(jī)的設(shè)計(jì)如果可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)之間的訪問控制。即使在交換機(jī)上可以通過配置提供一些安全保證，但是其強(qiáng)度是不足的。現(xiàn)在的黑客攻擊工具在網(wǎng)絡(luò)上泛濫成災(zāi)，任何一個稍微有點(diǎn)計(jì)算機(jī)操作能力的人員都可以利用這些工12 / 34具進(jìn)行攻擊。同時，由于內(nèi)部人員比較熟悉系統(tǒng)的情況，其攻擊行為更容易取得成功。據(jù)權(quán)威數(shù)據(jù)表明，有 97％的攻擊是來自內(nèi)部攻擊和內(nèi)外勾結(jié)的攻擊，而且內(nèi)部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來自于外部網(wǎng)絡(luò)的攻擊，造成的后果也嚴(yán)重的多。而且 XX 企業(yè)的網(wǎng)絡(luò)很龐大，覆蓋面積廣，內(nèi)部人員復(fù)雜，不同的網(wǎng)絡(luò)區(qū)域?qū)τ趦?nèi)網(wǎng)的應(yīng)用系統(tǒng)都會構(gòu)成安全威脅。具體表現(xiàn)在：首先是XX 企業(yè)內(nèi)部任何區(qū)域的安全級別都要低于兩臺重要的 ERP 服務(wù)器，也是就其他的網(wǎng)段和區(qū)域都會對兩臺 ERP 服務(wù)器造成威脅；其次是棒材和煉鋼生產(chǎn)子網(wǎng)；煉鋼大高爐生產(chǎn)子網(wǎng)；礦業(yè)公司和二化子網(wǎng)；電話站專網(wǎng)。這些專網(wǎng)之間都需要進(jìn)行訪問控制。? 服務(wù)器區(qū)的安全威脅，缺少入侵監(jiān)測設(shè)備XX 企業(yè)的內(nèi)部服務(wù)器組存有很多重要的數(shù)據(jù)，這些數(shù)據(jù)是不能丟失或損壞的，因此一定要對這些服務(wù)器進(jìn)行重點(diǎn)保護(hù)，防止這些數(shù)據(jù)被篡改和竊取。在該網(wǎng)絡(luò)結(jié)構(gòu)中，各重要的服務(wù)器和主機(jī)都將是通過核心交換機(jī)直接與其他子網(wǎng)連接的，并且這些服務(wù)器區(qū)的邊界如果沒有任何訪問控制產(chǎn)品和監(jiān)控設(shè)備，內(nèi)部人員對這些服務(wù)器可以很容易實(shí)施攻擊。? 網(wǎng)絡(luò)節(jié)點(diǎn)變化的隱患在 XX 企業(yè)集團(tuán)網(wǎng)絡(luò)系統(tǒng)中，預(yù)留了一些空節(jié)點(diǎn)以備人員擴(kuò)充時使用，若有非法人員利用這些節(jié)點(diǎn)接入后，就可以直接連入 XX 企業(yè)集團(tuán)的網(wǎng)絡(luò)中，并且能與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器物理連接。此時，該人員就可以非常方便地通過一些非法的工具和手段來隨意攻擊網(wǎng)絡(luò)上的數(shù)據(jù)庫服務(wù)器和其他客戶端主機(jī)、盜取網(wǎng)絡(luò)上的一些關(guān)鍵數(shù)據(jù)以及獲取當(dāng)前比較詳細(xì)的 XX 企業(yè)集團(tuán)整體網(wǎng)絡(luò)情況為以后更致命的攻擊做好準(zhǔn)備，然而網(wǎng)絡(luò)管理員并沒有一個有效的方法來實(shí)時了解網(wǎng)絡(luò)中各節(jié)點(diǎn)的情況，控制這些網(wǎng)絡(luò)節(jié)點(diǎn)的變化，因此給整個 XX 企業(yè)集團(tuán)的網(wǎng)絡(luò)系統(tǒng)造成極大的威脅。? 非法訪問的危害XX 企業(yè)集團(tuán)的網(wǎng)絡(luò)是一個多應(yīng)用多連接的系統(tǒng)，雖然目前已經(jīng)存在一些常用的訪問控制手段：所有用戶在訪問服務(wù)器時都必須輸入正確13 / 34的用戶名和口令等，但是這樣的網(wǎng)絡(luò)結(jié)構(gòu)利用傳統(tǒng)的網(wǎng)絡(luò)管理措施難以實(shí)現(xiàn)有效的訪問控制。對于網(wǎng)絡(luò)中沒有訪問其他網(wǎng)段主機(jī)權(quán)限的用戶來說，當(dāng)要對其他網(wǎng)段上主機(jī)發(fā)動攻擊時，其情況類似于外部網(wǎng)絡(luò)的攻擊。但是與外部網(wǎng)絡(luò)的攻擊者相比，內(nèi)部攻擊者對網(wǎng)絡(luò)結(jié)構(gòu)了解的更加細(xì)致，而且更容易竊取用戶登錄所需資料，所以非法訪問更易成功。如某臺非法主機(jī)在經(jīng)過相關(guān)的配置后就可以與網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器和其他客戶端主機(jī)進(jìn)行 TCP/IP 通信。這樣就能夠通過仿冒合法用戶或通過其他黑客工具對客戶端甚至關(guān)鍵的數(shù)據(jù)庫服務(wù)器進(jìn)行非法通信和數(shù)據(jù)訪問，這將給 XX 企業(yè)集團(tuán)帶來嚴(yán)重的危害。? 非法應(yīng)用的威脅XX 企業(yè)集團(tuán)系統(tǒng)中有許多的應(yīng)用在實(shí)時地使用著，尤其是數(shù)據(jù)庫和工業(yè)控制的應(yīng)用。但網(wǎng)絡(luò)管理員并沒有一個有效方法來監(jiān)控這些應(yīng)用的使用，然而多數(shù)的木馬程序都是以注入內(nèi)存的方式來調(diào)用一些非法應(yīng)用與黑客通信的。若此時有一臺開發(fā)客戶端主機(jī)中了木馬程序，在正常訪問服務(wù)器的過程中就可能通過這一非法應(yīng)用程序?qū)⒃L問服務(wù)器的賬號、口令以及訪問方式都泄露給黑客，黑客就能通過獲取的信息堂而皇之地登錄到該應(yīng)用服務(wù)器上，并能在該服務(wù)器上也啟動一些非法的應(yīng)用服務(wù)，幫助黑客完全地控制服務(wù)器。 系統(tǒng)的安全風(fēng)險分析? 如果沒有漏洞掃描和安全評估機(jī)制，將不能及時地填補(bǔ)網(wǎng)絡(luò)漏洞所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是 Windows 還是其它任何商用 UNIX 操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其 BackDoor。而且系統(tǒng)本身必定存在安全漏洞。這些后門或安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間。14 / 34 病毒對 XX 企業(yè)網(wǎng)絡(luò)安全運(yùn)營的安全威脅? 外部 –XX 企業(yè)與 Inter 有直接通道，會受到