【文章內(nèi)容簡介】 用的監(jiān)控，缺乏對網(wǎng)絡設備及主機的抗攻擊能力的評估；4. 對互聯(lián)網(wǎng)出口沒有嚴格的訪問限制，及冗余措施；5. 沒有統(tǒng)一立體的防病毒體系，抵抗源于各個方面的病毒入侵；6. 缺乏嚴格的安全制度管理，以降低人為因素的信息系統(tǒng)安全風險。 網(wǎng)絡安全現(xiàn)狀目前，對網(wǎng)絡安全采取的主要措施有：1. 利用操作系統(tǒng)、數(shù)據(jù)庫、電子郵件、應用系統(tǒng)本身的安全性，對用戶進行權限控制；2. 某些桌面防病毒軟件。實際上，僅靠以上的安全措施，不能達到整體網(wǎng)絡安全的要求。 系統(tǒng)安全目標基于以上的分析，我們認為紹興市國土資源局網(wǎng)絡安全應該實現(xiàn)以下內(nèi)容：1. 建立一套完備可行的網(wǎng)絡安全和網(wǎng)絡管理策略；2. 在內(nèi)外網(wǎng)上設置隔離手段，將內(nèi)部網(wǎng)與其他網(wǎng)絡隔離；3. 建立全面的用戶權限認證體系，健全系統(tǒng)訪問日志，提供有效的監(jiān)督機制；4. 實現(xiàn)安全認證和數(shù)字簽名技術，保證通訊安全和通訊的不可抵賴性；5. 對內(nèi)部用戶進行嚴格的訪問控制及權限分配；6. 及時發(fā)現(xiàn)黑客攻擊活動，提出報警，并自動采取相應對策；7. 建立完整的系統(tǒng)防病毒體系，防止病毒的侵害；8. 提供監(jiān)控和安全維護工具，及時分析和排除網(wǎng)絡故障；9. 加強人員管理，提高全體人員的網(wǎng)絡安全意識和防范技術。 網(wǎng)絡安全系統(tǒng)總體規(guī)劃網(wǎng)絡安全方案必須架構在科學的安全體系和安全框架之上。安全框架是安全方案設計和分析的基礎。為了系統(tǒng)地描述和分析安全問題，本節(jié)將通過對紹興市國土資源局網(wǎng)絡分析各個層次可能存在的安全漏洞和安全風險，按照網(wǎng)絡安全系統(tǒng)的總體規(guī)劃以及相應的國內(nèi)國際安全標準，提出我們的解決方案。本節(jié)，我們將針對以上的內(nèi)容，提出解決紹興市國土資源局網(wǎng)絡的安全問題的全局方案，其中討論針對的問題和所采用的相應技術，主要包括以下內(nèi)容：1. 應用防火墻技術，控制訪問權限，實現(xiàn)網(wǎng)絡安全集中管理；2. 應用VPN功能，保證數(shù)據(jù)傳輸過程中的保密性；3. 應用入侵檢測技術保護主機資源，防止非法訪問和惡意攻擊；4. 應用安全掃描技術主動探測網(wǎng)絡安全漏洞，進行網(wǎng)絡安全評估；5. 應用認證和數(shù)字簽名技術，保證通訊過程中通訊雙方的身份認可，同時實現(xiàn)通訊的不可抵賴要求；6. 網(wǎng)絡版防殺病毒軟件，保證網(wǎng)絡不被病毒感染，萬一感染后的及時清除，不會因為病毒而影響網(wǎng)絡工作效率。 系統(tǒng)安全建設的實施根據(jù)紹興市國土資源局網(wǎng)絡系統(tǒng)的結構特點、安全需求等角度，我們建議紹興市國土資源局網(wǎng)絡安全建設實施應該具備以下方面：從整個紹興市國土資源局網(wǎng)絡系統(tǒng)考慮，要保證整個網(wǎng)絡系統(tǒng)的專網(wǎng)特性和整個專網(wǎng)對外部的安全性，鏈路傳輸?shù)陌踩宰顬橹匾?，在市國土資源局到縣國土資源局、市國土資源局到辦事處的出口處都加上VPN設備，這樣從市國土資源局向下一直到縣國土資源局就組成一個虛擬專網(wǎng)，保證了數(shù)據(jù)傳輸?shù)募用苄?。從每個局域網(wǎng)的安全需求來考慮，在各處局域網(wǎng)出口處放置防火墻，重要服務器都放置再DMZ區(qū)來保證局域網(wǎng)及服務器組對外的安全。防火墻與VPN功能可以集成在一起，確保網(wǎng)絡以及子網(wǎng)邊界安全以及各子網(wǎng)之間數(shù)據(jù)傳輸?shù)陌踩A上的成本控制。對整個廣域網(wǎng)絡作為一個整體來防止病毒入侵，便于管理和控制。防病毒產(chǎn)品的配置置為：在市國土資源局安裝一級病毒服務器，縣國土資源局裝二級病毒服務器。同時在市國土資源局放置一級控制臺、縣國土資源局放置二級控制臺來進行分級管理。病毒庫更新也采用統(tǒng)一更新。由市國土資源局的一級服務器定時下載更新病毒庫，然后由一級服務器向二級服務器分發(fā)更新的病毒庫，再由二級服務器分發(fā)到客戶端，保證在病毒升級過程中，不會產(chǎn)生網(wǎng)絡到INTERNET出口的安全隱患和帶寬浪費。每臺服務器都有安全漏洞隱患，解決辦法是安全評估，建議由專業(yè)安全工程師使用SCANNER等工具和人工對它們進行安全評估，并用相應的技術和工具,制定具體的安全策略對服務器和重要主機進行加固，使安全隱患降到最低。為能夠在非法入侵者攻擊網(wǎng)絡特別是重要服務器時作出及時響應，可在每個局域網(wǎng)的服務器區(qū)放置基于網(wǎng)絡的IDS，如有特別重要的服務器，可以加上基于主機的IDS。為保證整個網(wǎng)絡的下級終端安全登錄數(shù)據(jù)庫等重要服務器，從而避免非法用戶的入侵，建議使用身份認證系統(tǒng)。整個網(wǎng)絡使用一個認證體系，認證服務器設在市國土資源局，由它來分派身份權限，這樣當下級登錄上級時都必須通過身份認證時才能完成。下圖為經(jīng)過優(yōu)化和實施網(wǎng)絡安全整體防護體系保護的紹興市國土資源局網(wǎng)絡拓撲： 防火墻系統(tǒng)的設計防火墻是解決子網(wǎng)的邊界安全問題、實現(xiàn)網(wǎng)絡訪問控制的有效解決方法。在紹興市國土資源局網(wǎng)絡中，我們按照地理區(qū)域劃分子網(wǎng)。并考慮整個網(wǎng)絡同其他網(wǎng)絡之間的邊界以及子網(wǎng)之間的邊界安全。根據(jù)紹興市國土資源局網(wǎng)絡系統(tǒng)的特點，可以使用防火墻解決專網(wǎng)的邊界安全問題、實現(xiàn)網(wǎng)絡訪問控制，因此對防火墻的配置為：紹興市國土資源局、縣國土資源局的各種服務器、以及個人電腦單獨劃開，通過防火墻的多個網(wǎng)口將不同的功能區(qū)域劃分開，將防火墻作為各種不同區(qū)域的分割點。因此，防火墻可以進行邊界安全的防護，來保護整個局域網(wǎng)。一般防火墻有三個接口，外網(wǎng)、內(nèi)網(wǎng)、DMZ區(qū)，把防火墻配置在路由器之后，再經(jīng)過防火墻到內(nèi)網(wǎng)和DMZ區(qū)，服務器組設在DMZ區(qū)，除對外提供服務以為個人電腦作為內(nèi)網(wǎng)來保護。其中防火墻加裝有VPN模塊，保證與下級單位數(shù)據(jù)傳輸安全。由于各個縣國土資源局內(nèi)部局域網(wǎng)絡結構相當，所以針對防火墻的配置結構大致相同，對于結構特殊，情況有所出入的地點也可以針對具體情況具體分析，對放置方法做相應改動。在關鍵業(yè)務網(wǎng)絡上，應該考慮防火墻的高可用性，來減少網(wǎng)絡的單點故障和流量的負載平衡。防火墻的主要功能：l 包過濾包過濾（Packet Filter）是在網(wǎng)絡層、傳輸層中對數(shù)據(jù)包實施有選擇的通過。如當你從Internet上下載文件或收發(fā)Email時，防火墻監(jiān)測每一個進入或離開的數(shù)據(jù)包，依據(jù)系統(tǒng)內(nèi)設定的過濾規(guī)則，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的端口與鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。防火墻定義了多種包過濾方式：IP源地址和IP目標地址：數(shù)據(jù)包經(jīng)過防火墻時，防火墻就會檢查目標地址和源地址，然后根據(jù)規(guī)則決定是否允許該包通過。服務類型：取舍以一個特殊服務為基礎的信息流協(xié)議：如IP、ICMP、TCP、UDP、SMTP等MAC地址：在MAC層上執(zhí)行包過濾檢測日期和時間：包括起始時間、終止時間，區(qū)間從年、月、日直至小時、分鐘域名：根據(jù)用戶的需求對特定站點（URL）進行過濾。l 網(wǎng)絡地址轉換NAT防火墻提供了多種NAT方式，使防火墻在復雜的網(wǎng)絡環(huán)境可以進行靈活的設置而不降低對安全性的需求。靜態(tài)映射：一對一轉換類型，所有從“源地址”網(wǎng)絡發(fā)出的IP包，經(jīng)過防火墻后，IP包的源地址更換為“映射IP地址”，源端口號不變；返回數(shù)據(jù)包作相應的反向變換；適用于需要將一個內(nèi)部服務器或主機映射為“注冊IP”服務器或主機的情況。動態(tài)映射：多對一的轉換類型，可以將內(nèi)網(wǎng)中一個子網(wǎng)映射成外網(wǎng)的一個合法地址。經(jīng)過了兩個的網(wǎng)絡之間的動態(tài)映射后，其中一臺內(nèi)網(wǎng)的主機經(jīng)過防火墻后，自動轉化成外網(wǎng)中的合法地址。反向映射：當外部主機對內(nèi)網(wǎng)中的某臺主機主動發(fā)起連接時，需要進行反向映射，將外網(wǎng)的一個合法地址的某個端口指向內(nèi)網(wǎng)中的某臺主機的某個端口，這個合法地址與防火墻外網(wǎng)口在一個網(wǎng)段中。如此的話，如果外網(wǎng)訪問該合法地址時，防火墻將數(shù)據(jù)包目的地址和端口自動轉換成內(nèi)網(wǎng)中的主機地址及對應端口。l 安全簡單的管理方式系統(tǒng)管理員通過一個防火墻管理軟件建立、維護安全策略，加載安全規(guī)則防火墻。防火墻采用B/S結構,可以使用各種瀏覽器(IE, Netscape等)對防火墻進行安全策略與規(guī)則的配置及審計信息的維護等，為集中管理、執(zhí)行安全策略提供了強有力的工具。使用防火墻的內(nèi)置WEB服務器可以實現(xiàn)防火墻的遠程管理或本地管理，同時也可通過命令行界面對防火墻進行本地管理。安全策略編輯器：維護規(guī)則庫，添加、編輯、刪除規(guī)則，加載規(guī)則到防火墻系統(tǒng)上。日志管理器：提供可視化的對所有通過防火墻網(wǎng)關的連接跟蹤、監(jiān)視和統(tǒng)計信息，提供實時報警和入侵檢測及阻斷功能。系統(tǒng)狀態(tài)查看器：提供實時的系統(tǒng)狀態(tài)、審計和報警功能。l 實時日志與報警記錄由于所有進出的信息包都必須經(jīng)過防火墻，防火墻非常適用于收集關于系統(tǒng)和網(wǎng)絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡和外部網(wǎng)絡之間進行記錄。這些記錄可以清楚地知道防火墻是否能夠抵擋攻擊者的探測和攻擊？防火墻的控制是否有效？網(wǎng)絡是否存在著安全威脅等等。通過防火墻的實時日志和報警記錄，使網(wǎng)絡管理員能夠實時地監(jiān)控網(wǎng)絡狀態(tài)。我們在選擇防火墻時，考慮到了衡量防火墻性能的五大指標：吞吐量：該指標直接影響網(wǎng)絡的性能，是指防火墻在不丟包的情況下能夠達到的最大速率。時延： 入口處輸入幀最后一個比特到達至出口處輸出幀的第1個比特輸出所用的時間間隔。丟包率：在穩(wěn)態(tài)負載下，應由網(wǎng)絡設備傳輸，但由于資源缺乏而被丟棄的幀的百分比。背靠背：從空閑狀態(tài)開始，以達到傳輸介質最小合法間隔極限的傳輸速率發(fā)送相當數(shù)量的固定長度的幀，當出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)。并發(fā)連接數(shù)：并發(fā)連接數(shù)是指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)。此外，我們還考慮到了以下不容忽視的兩個要素： 1. 防火墻管理的難易度 防火墻管理的難易度是防火墻能否達到目的的主要考慮因素之一；2. 防火墻自身的安全性 大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務，但往往忽略了一點：防火墻也是網(wǎng)絡上的主機之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再強，也不能完全保護內(nèi)部網(wǎng)絡。 VPN的設計實施VPN是利用公網(wǎng)來構建專用網(wǎng)絡，它是通過特殊設計的硬件和軟件直接通過共享的IP網(wǎng)所建立的隧道來完成的。我們通常將 VPN當作 WAN解決方案，但它也可以簡單地用于 LAN。VPN類似于點到點直接撥號連接或租用線路連接，盡管它是以交換和路由的方式工作，在大多數(shù)情況下，在VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過加密處理的。使用VPN，紹興市國土資源局內(nèi)部資源享用者只需連入本地ISP的POP（介入服務提供點）即可相互通信。而利用傳統(tǒng)的WAN組網(wǎng)技術，彼此之間要有專線相連才可達到相同目的。在紹興市國土資源局網(wǎng)絡互聯(lián)中，可以采用VPN的工作形式，在較低的投資情況下保證數(shù)據(jù)傳輸?shù)陌踩?。本方案建議在各處，包括紹興市國土資源局、各縣國土資源局的出口處加上VPN設備，其中VPN設備可以為專用設備或防火墻的一個功能模塊，而在各辦事處采用VPN客戶端軟件來建立到上級的VPN隧道。這樣，可使保障整個網(wǎng)絡的虛擬通道，確保全網(wǎng)的鏈路安全。配置VPN設備應具有：1）．安全保障性；2）．服務質量保證（QoS）性；3）．網(wǎng)絡優(yōu)化性；4）．可擴充性和靈活性；5）．可管理性。VPN介紹：公網(wǎng)開“隧道”VPN的核心是被稱為“隧道”的技術。隧道允許 VPN的數(shù)據(jù)流被路由通過 IP網(wǎng)絡而不管生成該數(shù)據(jù)流的是何種類型的網(wǎng)絡或設備。從這個意義上說，VPN的操作獨立于其他的網(wǎng)絡協(xié)議，隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTalk或其他類型的數(shù)據(jù)包。 隧道技術的核心是隧道協(xié)議。由 3Com公司和 Microsoft公司合作開發(fā)的點對點隧道協(xié)議 (PPTP)是第一個廣泛使用來建立 VPN的協(xié)議。目前，Windows 998和 NT PPTP，這就使絕大多數(shù)的桌面計算機可以初始化一個 VPN。PPTP可以將其他類型協(xié)議的數(shù)據(jù)包提取出來，然后封裝在一個PPTP包中，這樣就可以支持客戶機 LAN（例如：移動用戶到園區(qū) LAN）和 LAN LAN（例如：銷售機構到園區(qū) LAN）兩種隧道。 防病毒的設計實施由于病毒的特性決定了在實施網(wǎng)絡防病毒時必須由紹興市國土資源局規(guī)劃統(tǒng)一進行，病毒服務器放置時，在紹興市國土資源局、縣國土資源局都規(guī)劃一個服務器組。在紹興市國土資源局、縣國土資源局都設置控制臺，紹興市國土資源局為一級控制臺，各縣國土資源局為二級控制臺。在設置病毒庫升級時，整個廣域網(wǎng)由下級通過上級升級，最后由紹興市國土資源局到公網(wǎng)上升級更新病毒庫。在選擇防毒軟件時，應確定防病毒軟件達到或具有以下功能：l 能夠在中心控制臺上向多個目標系統(tǒng)分發(fā)新版殺毒軟件；l 能夠在中心控制臺上對多個目標系統(tǒng)監(jiān)視病毒防治情況；l 支持多種平臺的病毒防范；l 能夠識別廣泛的已知和未知病毒，包括宏病毒；l 支持對服務器的病毒防治，能夠阻止惡意的小程序破壞l 支持對電子郵件附件的病毒防治，包括WORD/EXCEL中的宏病毒l 支持對壓縮文件的病毒檢測； l 持廣泛的病毒處理選項，如實時殺毒、移出、刪除、重新命名等；l 支持病毒隔離，當客戶機試圖上載染毒文件時，服務器可自動關閉對該工作站的連接；l 提供對病毒特征信息和檢測引擎的定期在線更新服務；l 支持日志記錄功能；l 支持多種方式的告警功能（聲音、圖像、等）。 風險評估風險評估（Vulnerability Assessment）是網(wǎng)絡安全防御中的一項重要技術，其原理是根據(jù)已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。目標可以是工作站、服務器、交換機、數(shù)據(jù)庫應用等各種對象。然后根據(jù)掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡安全體系的建設中，安全掃描工具花費低、效果好、見效快、與網(wǎng)絡的運行相對對立、安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。風險評估技術基本上也可分為基于主機的和基于網(wǎng)絡的兩種，前者主要關注軟件所在主機上面的風險漏洞，而后者則是通過網(wǎng)絡遠程探測其它主機的安全風險漏洞。基于數(shù)據(jù)庫的風險評估技術，使風險評估內(nèi)容更加完善?，F(xiàn)代操作系統(tǒng)代碼數(shù)量巨大，成百上千工程師的共同設計編制，很難避免產(chǎn)生安全漏洞。隨著及計算機技術的發(fā)展，操作系統(tǒng)的功能越來越強大，但配置越來越復雜。面對橫跨多種平臺、不同版本、不同種類的操作系統(tǒng)，系統(tǒng)管理員顯得力不從心，經(jīng)常會造成配置上失誤，產(chǎn)生安全問題。系統(tǒng)安全漏洞涉及口