【正文】 的重要需求。網(wǎng)絡(luò)安全包括兩層內(nèi)容：其一是網(wǎng)絡(luò)資源的安全性，其二是數(shù)據(jù)交換的安全性。網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)資源和數(shù)據(jù)通訊的關(guān)鍵設(shè)備，有必要提供充分的安全保護功能，交換機、路由器、防火墻、入侵檢測、防病毒、網(wǎng)閘、管理平臺等產(chǎn)品提供了多種網(wǎng)絡(luò)安全機制，為網(wǎng)絡(luò)資源和數(shù)據(jù)交換提供了有力的安全保護。本文將對其技術(shù)與實現(xiàn)作詳細的介紹。 為了便于分析網(wǎng)絡(luò)安全和設(shè)計網(wǎng)絡(luò)安全解決方案，我們采取對網(wǎng)絡(luò)分層的方法，并且在每個層面上進 行細致的分析，根據(jù)風險分析的結(jié)果設(shè)計出符合具體實際的、可行的網(wǎng)絡(luò)安全整體解決方案。 從網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用出發(fā)，網(wǎng)絡(luò)的安全因素可以劃分到如下的五個安全層中，即 物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和安全管理。 物理 層安全－ 網(wǎng)絡(luò)的物理安全主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用 ,而造成網(wǎng)絡(luò)系統(tǒng)的不可用。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在網(wǎng)絡(luò)安全考慮時，首先要考慮物理安全。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計算機系統(tǒng)通過無線電輻射泄露秘密信息等。除此之外，在一些特殊重要的網(wǎng)絡(luò)應(yīng)用中，可利用“網(wǎng)絡(luò)隔離和 信息交換”技術(shù)，將兩個網(wǎng)絡(luò)從物理上隔斷而保證應(yīng)用上連通實現(xiàn)的“信息擺渡”。 網(wǎng)絡(luò)層安全－ 網(wǎng)絡(luò)層 安全 主要分為兩個方面：網(wǎng)絡(luò)傳送安全和網(wǎng)絡(luò)服務(wù)安全。網(wǎng)絡(luò)傳送安全主要需要注意的有重要業(yè)務(wù)數(shù)據(jù)泄漏和重要業(yè)務(wù)數(shù)據(jù)破壞。 重要業(yè)務(wù)數(shù)據(jù)泄漏：由于在同級局域網(wǎng)和上下級網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。 重要數(shù)據(jù)被破壞：是指不法分子針對網(wǎng)上傳輸數(shù)據(jù)做出偽造、刪除、竊取、竄改等攻擊。存儲數(shù)據(jù)對于網(wǎng)絡(luò)系統(tǒng)來說極為重要 ，如果由于通信線路的質(zhì)量原因或者人為的惡意篡改，都將導(dǎo)致難以想象的后果，這也是網(wǎng)絡(luò)犯罪的最大特征。 網(wǎng)絡(luò)服務(wù)安全是指：入侵者通過 Sniffer 等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞；入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)的重要信息；入侵者通過發(fā)送大量 PING 包對內(nèi)部網(wǎng)中重要服務(wù)器進行攻擊，使得服務(wù)器超負荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。 網(wǎng)絡(luò)安全不僅來自外部網(wǎng)絡(luò)，同樣存在于內(nèi)部網(wǎng)，而且來自內(nèi)部的攻擊更嚴重、更難防范。如果辦公系統(tǒng)與 業(yè)務(wù)系統(tǒng)沒有采取相應(yīng)安全措施，同樣是內(nèi)部網(wǎng)用戶的個別員工可能訪問到他本不該訪問的信息。還可能通過可以訪問的條件制造一些其它不安全因素（偽造、篡改數(shù)據(jù)等）。或者在別的用戶關(guān)機后，盜用其 IP 進行非法操作，來隱瞞自已的身份。 應(yīng)用層安全－ 網(wǎng)絡(luò)應(yīng)用系統(tǒng)中主要存在以下安全風險：業(yè)務(wù)網(wǎng)之間的非法訪問；中間業(yè)務(wù)的安全；用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對成功提交的業(yè)務(wù)進行事后抵賴。同時還有：與 INTERNET 連接帶來的安全隱患；身份認證漏洞；高速局域網(wǎng)服務(wù)器群安全；內(nèi)部管理服務(wù)平臺的安全。 系統(tǒng)層安全－ 系統(tǒng)級的安全風險 分析主要針對專用網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫、及相 關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進行分析。專用網(wǎng)絡(luò)通常采用的操作系統(tǒng) (主要為 UNIX)本身在安全方面有一定考慮，但服務(wù)器、數(shù)據(jù)庫的安全級別較低，存在一些安全隱患。 管理層安全－ 再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。因此我們有必要認真的分析管理所帶來的安全風險，并采取相應(yīng)的安全措施。 當網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等 ），必須實時的檢測、監(jiān)控、報告與預(yù)警。同時，當事故發(fā)生后，必須提供黑客攻擊行為的追蹤線索及破案依據(jù)，即網(wǎng)絡(luò)應(yīng)該有可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案。因此，最可行的做法是管理制度和管理解決方案的結(jié)合。 網(wǎng)絡(luò)安全解決思路 網(wǎng)絡(luò)的安全覆蓋系統(tǒng)的各個層面，由“物理級安全、網(wǎng)絡(luò)級安全、應(yīng)用級安全、系統(tǒng)級安全和管理級安全”五個層次組成。在物理層次的安全主要依靠物理線路的可靠保障、維護等措施防護，對于不同安 全級別網(wǎng)絡(luò)區(qū)域，可以采用網(wǎng)閘設(shè)備實現(xiàn)信息擺渡，同樣網(wǎng)閘設(shè)備也可以使攻擊者無法通過系統(tǒng)漏洞攻擊受保護的服務(wù)器。系統(tǒng)級層次的安全主要依靠操作系統(tǒng)的可靠性、漏洞補救、病毒防護等措施保障，該層次的安全性可以結(jié)合網(wǎng)絡(luò)層、應(yīng)用層和管理層的措施共同防護。 所以網(wǎng)絡(luò)的安全解決方案應(yīng)該主要從三個層次解決：網(wǎng)絡(luò)層、應(yīng)用層和管理層。包括網(wǎng)絡(luò)傳送、網(wǎng)絡(luò)服務(wù)、應(yīng)用安全、安全識別、安全防御、安全監(jiān)控、審計分析、集中管理等多個方面。這需要依靠技術(shù)方面的安全保護和管理方面的安全管理進行全面防護。 其中在技術(shù)方面主要由數(shù)據(jù)安全識別、防御、傳 送、監(jiān)控四個部分支撐；在管理方面需要進行實時的安全保護、審計、分析、智能管理。此外，僅僅依靠安全技術(shù)和安全的管理是無法徹底解決安全問題的，解決安全問題是個循序的過程，還需要對緊急事件進行及時的處理響應(yīng)并完善更新策略規(guī)則，增強整個系統(tǒng)安全性 。 安全解決方案層次結(jié)構(gòu) 安全識別技術(shù)包括用戶接入身份認證、用戶訪問權(quán)限區(qū)分、管理員權(quán)限識別與限制、業(yè)務(wù)使用訪問控制、網(wǎng)絡(luò)服務(wù)使用控制、管理員視圖控制、訪問策略服務(wù)等等。 安全防御是通過防火墻來進行安全訪問控制，防火墻是在內(nèi)部可信任設(shè)施和外部非信任網(wǎng)絡(luò)之間的屏障，防火墻 的設(shè)計的原則是：只信任內(nèi)部網(wǎng)絡(luò)，對一切來自外部 /去往外部的流量進行監(jiān)控。 安全傳送包括采用 IPsec、 SSL 等技術(shù)，采用 VPN 隧道對傳輸數(shù)據(jù)進行加密。 安全監(jiān)控一般采用防火墻和入侵檢測系統(tǒng)配合的方式，防火墻是處于網(wǎng)絡(luò)邊界的設(shè)備，自身可能被攻破，需要在內(nèi)部進行監(jiān)控，采用入侵檢測設(shè)備識別網(wǎng)絡(luò)行為的可信任性，判斷是否是內(nèi)部系統(tǒng)網(wǎng)絡(luò)或數(shù)據(jù)資源的可疑行為，并對這些行為做出處理響應(yīng)；入侵檢測是對防御技術(shù)的重要補充，入侵檢測設(shè)備的能效既針對外部網(wǎng)絡(luò)，也針對內(nèi)部網(wǎng)絡(luò)。 網(wǎng)絡(luò)安全問題解決建議 安全方案闡述： 在榆林市政府應(yīng) 急中心網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（電子政務(wù)網(wǎng)、互聯(lián)網(wǎng)）之間部署防火墻產(chǎn)品，用于對進出榆林市政府應(yīng)急中心網(wǎng)絡(luò)的數(shù)據(jù)包進行過濾和有效控制； 在榆林市政府應(yīng)急中心網(wǎng)絡(luò)中需要監(jiān)控的核心交換機上部署入侵檢測設(shè)備，用于監(jiān)測通過內(nèi)網(wǎng)核心交換機的數(shù)據(jù)包行為并與防火墻設(shè)備進行聯(lián)動，一旦發(fā)現(xiàn)有可疑數(shù)據(jù)包，則通知防火墻對該數(shù)據(jù)包作相應(yīng)處理； 按照國家有關(guān)規(guī)定，在榆林市政府應(yīng)急中心網(wǎng)絡(luò)中數(shù)據(jù)中心和外部局域網(wǎng)之間部署網(wǎng)絡(luò)隔離和信息交換設(shè)備，實現(xiàn)內(nèi)部局域網(wǎng)與外部局域網(wǎng)的物理隔離，從根本上杜絕攻擊者利用操作系統(tǒng)或數(shù)據(jù)庫本身的漏洞來竊取重要數(shù)據(jù)或攻擊 數(shù)據(jù)中心服務(wù)器或小機等設(shè)備。 在榆林市政府應(yīng)急中心網(wǎng)絡(luò)中建立整體防病毒體系，對從網(wǎng)絡(luò)入口到網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計算機設(shè)備采取全面病毒防護，并且根據(jù)需要在網(wǎng)絡(luò)中心設(shè)置病毒防護管理中心，可以使反病毒工作按照不同部門或地域的實際情況，分組設(shè)置反病毒管理工作。 2 網(wǎng)絡(luò)安全詳細技術(shù)建議書 網(wǎng)絡(luò)架構(gòu)分析 應(yīng)用系統(tǒng)架構(gòu) 接入與表示層 該層 的主要作用是訪問應(yīng)用邏輯層提供的各種應(yīng)用系統(tǒng)功能，并將應(yīng)用邏輯層返回的結(jié)果通過各種技術(shù)手段展現(xiàn)給用戶，使用戶能通過不同的界面和通訊方式連入應(yīng)用系統(tǒng)。 應(yīng)用系統(tǒng)主要有以下幾類用戶：市應(yīng)急平 臺、市內(nèi)各部門、分中心、各局辦，都是通過電子政務(wù)內(nèi)網(wǎng)或互聯(lián)網(wǎng)直接連接和市應(yīng)急平臺應(yīng)用系統(tǒng)進行通訊。 應(yīng)用邏輯層 應(yīng)用邏輯層是整個應(yīng)用系統(tǒng)架構(gòu)的核心，主要的業(yè)務(wù)邏輯都是由應(yīng)用邏輯層中的應(yīng)用系統(tǒng)實現(xiàn)的。 此外，應(yīng)用邏輯層的另一個主要作用是與數(shù)據(jù)層交換數(shù)據(jù)。 數(shù)據(jù)層 數(shù)據(jù)層存儲的主要是業(yè)務(wù)數(shù)據(jù)，包括文件級數(shù)據(jù)和機密級數(shù)據(jù)。 應(yīng)用系統(tǒng)平臺 硬件平臺 操作系統(tǒng)平臺 數(shù)據(jù)庫系統(tǒng)平臺 中間件系統(tǒng)平臺 辦公自動化系統(tǒng)平臺 網(wǎng)站系統(tǒng)平臺 系統(tǒng)風險分析 網(wǎng)絡(luò)架構(gòu)風險分析 從網(wǎng)絡(luò)架構(gòu)的角度，我們認為存在的安全隱患主要來自于以 下幾個方面，包括 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 的基礎(chǔ) TCP/IP 自身的弱點，網(wǎng)絡(luò)設(shè)備存在的安全隱患、網(wǎng)絡(luò)服務(wù)器存在的安全風險、網(wǎng)絡(luò)訪問的合理性和數(shù)據(jù)傳輸?shù)陌踩?。具體描述如下： TCP/IP 協(xié)議的弱點 由于 TCP/IP 協(xié)議作為事實上的工業(yè)標準 ， 以其 IP Over Everything 的思想 ， 簡化了網(wǎng)絡(luò)構(gòu)建的復(fù)雜性 ， 并隨著技術(shù)的發(fā)展 ， 并最終實現(xiàn) Everything Over IP 的網(wǎng)絡(luò)融合 ， 這種網(wǎng)絡(luò)發(fā)展的趨勢是不可逆轉(zhuǎn)的 ， 是由 IP 技術(shù)的競爭優(yōu)勢確定的。具有非常好的擴展性，適合于構(gòu)造大型的計算機網(wǎng)絡(luò)。 但同時我們也看 到，由于 TCP/IP 協(xié)議在產(chǎn)生之處，還沒有全面考慮安全方面的因素，就使得該協(xié)議組自身便存在一些先天的安全問題，而對于 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 系統(tǒng)來講，由于大量的應(yīng)用程序都是以 TCP 作為數(shù)據(jù)的傳輸層協(xié)議，因此 TCP/IP 協(xié)議的安全性會給 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 帶來嚴重的后果。 典型利用 TCP/IP 協(xié)議的弱點，發(fā)起攻擊行為的就是“拒絕服務(wù)攻擊”，比如“ SYN FLOOD” 攻擊，它就是利用了 TCP 協(xié)議中，建立可靠連接所必須經(jīng)過的三次握手行為，攻擊者只向攻擊目標發(fā)送帶“ SYN”表示的數(shù)據(jù)包，導(dǎo)致攻擊目標一味地等待發(fā)起連 接請求的源地址再次發(fā)送確認信息，而導(dǎo)致系統(tǒng)處于長期等待狀態(tài)，直至系統(tǒng)的資源耗盡，而無法正常處理其他合法的連接請求。 還有就是 IP 欺騙攻擊， IP 欺騙由若干步驟組成，首先，目標主機已經(jīng)選定。其次，信任模式已被發(fā)現(xiàn)，并找到了一個被目標主機信任的主機。黑客為了進行 IP 欺騙，進行以下工作：使得被信任的主機喪失工作能力，同時采樣目標主機發(fā)出的 TCP 序列號，猜測出它的數(shù)據(jù)序列號。然后，偽裝成被信任的主機，同時建立起與目標主機基于地址驗證的應(yīng)用連接。如果成功，黑客可以使用一種簡單的命令放置一個系統(tǒng)后門，以進行非授權(quán)操作。使 被信任主機喪失工作能力 。 攻擊者將要代替真正的被信任主機 。 對于 榆林市政府應(yīng)急中心網(wǎng)絡(luò) ，由于 TCP/IP 協(xié)議的弱點，有可能造成以下的破壞。 ? 攻擊者對網(wǎng)上文件查詢主機進行拒絕服務(wù)攻擊，而使網(wǎng)上文件查詢主機無法正常工作； ? 攻擊者利用地址欺騙，獲得更多的訪問權(quán)限，有可能會滲透到系統(tǒng)內(nèi)部，造成更大的損失； ? 內(nèi)部員工由于不滿或無意識間利用辦公用機散播蠕蟲病毒，導(dǎo)致整體網(wǎng)絡(luò)運行故障； 網(wǎng)絡(luò)設(shè)備的風險 在網(wǎng)絡(luò)中的重要的安全設(shè)備如路由器交換機等有可能存在著以下的安全風險：（以最常用的路由器為例） ? 路由器缺省情況下只使用簡單的 口令驗證用戶的身份，并且遠程 TELNET 登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護能力。 ? 路由器口令的弱點是沒有計數(shù)器功能的，所有每個人都可以不限次數(shù)地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。 ? 每個管理員都可能使用相同的口令，因此，雖然訪問日志可以詳細記錄管理員對路由器進行登錄、修改操作，但無法區(qū)分是哪位管理員進行的操作。 ? 路由器實現(xiàn)的動態(tài)路由協(xié)議存在著一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置，達到破壞網(wǎng)絡(luò)或為攻擊做準備。 ? 針對路由器的拒絕服務(wù)攻擊或分布式 拒絕服務(wù)攻擊。比如 ICMP 重定向攻擊、源路由攻擊等。 ? 發(fā)布假路由，路由欺騙，導(dǎo)致整個網(wǎng)絡(luò)的路由混亂。 網(wǎng)絡(luò)服務(wù)器的風險 針對 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 系統(tǒng)來講，運行在專網(wǎng)上的各種網(wǎng)絡(luò)服務(wù)器構(gòu)成了最重要的信息資產(chǎn)，如何確保這些重要的網(wǎng)絡(luò)服務(wù)器能夠穩(wěn)定、可靠、安全地運行，是保證系統(tǒng)各項業(yè)務(wù)正常開展的基礎(chǔ)。一般來講，網(wǎng)絡(luò)服務(wù)器所面臨的安全問題包括： ? 維護存儲在服務(wù)器上信息的機密性。這要求保證： 1）只有授權(quán)用戶才可以訪問服務(wù)和信息； 2）授權(quán)用戶只能訪問那些他們被授權(quán)訪問的服務(wù)； 3）信息的公開要與策略一致； ? 維護存儲 在服務(wù)器上信息的完整性，以免信息被破壞或被損壞，并使系統(tǒng)像期望的那樣運行。這意味著要能對完整性的破壞進行識別和響應(yīng)； ? 維護服務(wù)和信息的可用性。這要求保證： 1）即使硬件或軟件出故障，或進行系統(tǒng)的日常維護時對信息和服務(wù)的訪問也不中斷； 2）能及時識別并響應(yīng)安全事件； ? 確保用戶名副其實，網(wǎng)絡(luò)服務(wù)器主機也名副其實，這叫做“相互驗證”。 網(wǎng)絡(luò)訪問的合理性 網(wǎng)絡(luò)的訪問策略是不是合理，訪問是不是有序，訪問的目標資源是否受控等問題，都會直接影響到 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 系統(tǒng) 的穩(wěn)定與安全。如果存在網(wǎng)絡(luò)內(nèi)訪問混亂，外來人員也很容易 接入網(wǎng)絡(luò)，地址被隨意使用等問題，將導(dǎo)致網(wǎng)絡(luò)難以管理，網(wǎng)絡(luò)工作效率下將，無法部署安全設(shè)備、對攻擊者也無法進行追蹤審計。 這就要求系統(tǒng)能夠?qū)W(wǎng)絡(luò)中發(fā)生的各種訪問，乃至網(wǎng)絡(luò)中傳遞的數(shù)據(jù)包進行很好的監(jiān)控，特別是針對 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 專網(wǎng)，由于其既存在對內(nèi)提供服務(wù)的設(shè)備，也存在對外提 供服務(wù)的設(shè)備，這些服務(wù)器在安裝的過程中有可能沒有關(guān)閉掉一些毫無用處的服務(wù)，或者即使關(guān)閉了這些服務(wù)，也因為操作系統(tǒng)自身存在的漏洞而給攻擊者可乘之機，特別是對互聯(lián)網(wǎng)提供服務(wù)的設(shè)備，很容易成為 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 專網(wǎng)的“安全短板”，被來自 互聯(lián)網(wǎng)的攻擊者利用，從而發(fā)起對內(nèi)網(wǎng)的攻擊。 數(shù)據(jù)傳輸?shù)陌踩? 從網(wǎng)絡(luò)結(jié)構(gòu)的分析上，我