【文章內(nèi)容簡介】 工具進行網(wǎng)絡系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時彌補，以及建立實時入侵檢測系統(tǒng)，是十分有效的安全防護措施，將能極大提高、完善企業(yè)系統(tǒng)安全。在條件允許的情況下，我們建議企業(yè)企業(yè)網(wǎng)增加網(wǎng)絡漏洞掃描和入侵檢測系統(tǒng)。 系統(tǒng)安全需求分析各種操作系統(tǒng)是應用運行的基礎，應用系統(tǒng)的安全性，在相當大的程度之上受到操作系統(tǒng)安全性的影響。目前運行大多數(shù)應用的各種操作系統(tǒng)，都是針對可以運行多種應用來開發(fā)的，其開發(fā)要兼顧到各種應用的多個方面，在程序開發(fā)過程中，會出現(xiàn)一些人為的疏忽，以及一些人為設置的后門等。這些人為的疏忽或者后門就成了操作系統(tǒng)的安全漏洞。還有，安裝在操作系統(tǒng)上的各種應用系統(tǒng)形成了一個復雜的環(huán)境，這些應用程序本身設計的缺陷也會帶來安全漏洞。另外，系統(tǒng)權限管理的松懈也是造成安全漏洞的重要原因。此外，任何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進行系統(tǒng)的破壞?；谝陨系脑?，企業(yè)網(wǎng)絡需要對總部的應用服務器進行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括 Windows NT, Windows 2022,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括Oracle，MS SQL 數(shù)據(jù)庫。需要對這些系統(tǒng)進行系統(tǒng)安全漏洞的掃描和實時入侵的檢測。 應用安全管理需求分析應用層安全主要是對應用資源的有效性進行控制，管理和控制什么用戶對資源具有什么權限。資源包括信息資源和服務資源。需要提高身份認證安全性的系統(tǒng)包括主機系統(tǒng)、網(wǎng)絡設備、移動用戶訪問、VPN 和應用層。 主機系統(tǒng)包括企業(yè)總部和各下屬公司中心主機、數(shù)據(jù)庫系統(tǒng)，WEB 服務器、MAIL 服務器等等，這些主機系統(tǒng)是公司網(wǎng)絡系統(tǒng)的核心，存儲著公司最重要的信息資源，因此，保證這些主機系統(tǒng)的登錄的安全是極其重要的。13 / 35目前企業(yè)的主機系統(tǒng)仍然沿用單一密碼的身份認證方式，這種簡單的身份認證存在以下安全隱患：? 網(wǎng)絡入侵者，很容易猜測或破解賬號、密碼，利用他人的帳戶登錄，進行非法操作。? 人員的流動、集成商自設等很多因素，使得每臺主機系統(tǒng)上的多余帳戶增加。 網(wǎng)絡設備安全管理企業(yè)全公司，網(wǎng)絡設備（路由器、交換機）數(shù)量以數(shù)十甚至數(shù)百計。公司所有的業(yè)務系統(tǒng)都是建立在網(wǎng)絡設備基礎之上的，保證網(wǎng)絡設備的安全是保證系統(tǒng)正常運行的首要條件；而保護網(wǎng)絡設備的安全，通?？紤]的最多的是設備的冗余，而網(wǎng)絡設備的配置保護卻不被重視，其實，當某一個人登錄了網(wǎng)絡設備（路由器、防火墻、VPN設備等），將配置進行了更改，為以后非法的登錄建立通道，對整個系統(tǒng)來說，所有的安全設施就形同虛設。因此對登錄網(wǎng)絡設備的人員進行強的身份認證是完全必要的。 移動用戶的訪問控制訪問移動用戶進入公司內(nèi)部網(wǎng)絡可以通過本地撥號連接公司的內(nèi)部網(wǎng)絡，也可以通過互聯(lián)網(wǎng)的 ISP 接入公司內(nèi)部網(wǎng)。對于企業(yè)來說，移動用戶將基本上采用 VPN 的方式對內(nèi)部進行訪問，外出的員工可以通過 Inter 渠道的方式進入公司內(nèi)部網(wǎng)絡，獲取所需要信息資源或回送需要提交的信息。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。因此我們必須在移動用戶訪問上增加更加強大的手段對移動用戶進行控制管理。 VPN 上的認證在網(wǎng)絡系統(tǒng)將配置 VPN 系統(tǒng)，遠程移動用戶可以通過撥號連接本地 ISP，用 VPN Client 建立安全通道訪問公司信息資源。而 VPN 技術能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費用，并且使外部非法用戶無法訪問公司內(nèi)部信息；但是，對于公司內(nèi)部用戶，由于 VPN 所提供的用戶認證機制依然是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁14 / 35有該帳戶的員工的身份相符合，也就是說，還是存在內(nèi)部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權瀏覽或更改的），因此，補充更強的身份認證機制對 VPN 系統(tǒng)應用來說也是非常必要的。 應用層安全保護這里的應用層，主要指企業(yè)的信息資源管理系統(tǒng)（ERP）。在員工進入 ERP 系統(tǒng)時需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼的不安全性使得我們有必要在 ERP 系統(tǒng)上采用強的認證機制，保證不同權限的、不同級別的用戶安全合法的使用ERP 系統(tǒng)。ERP 系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有：? 用戶無法保證辦公文件能正確的接受，在接受之前沒有被其他人瀏覽過。? 單一密碼容易泄露，一旦密碼泄露，其惡果可能會很嚴重。? 高級別的用戶在遠程授權以后，需要及時地更改密碼。以上討論了企業(yè)網(wǎng)絡系統(tǒng)各個不同應用的安全認證問題，不難看出，上述的應用都必須在原有的單一靜態(tài)認證基礎上，增加更加強大的認證手段，因此我們建議在企業(yè)網(wǎng)絡安全系統(tǒng)內(nèi)引入動態(tài)認證機制，即動態(tài)的 SecurID。加入的 RSA SecurID 必須提供通用的 API，使用戶可以將 RSA SecurID 認證內(nèi)嵌到ERP 系統(tǒng)或其他的應用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡用戶接收 MAIL 和文件的安全，驗證用戶身份，并創(chuàng)建用戶登錄日志文件。為了使系統(tǒng)的認證操作和對非法訪問的攔截更加有效，所有認證的轉發(fā)和認證結果的處理都由防火墻來操作完成，即對所有被認證系統(tǒng)認定為非合法訪問的服務請求，通過防火墻“掐斷”其訪問連接，而不是通過應用系統(tǒng)直接拒絕訪問服務。這是防火墻系統(tǒng)設計時必須考慮的可實現(xiàn)功能之一 應用對安全系統(tǒng)的要求分析任何一個完整的網(wǎng)絡安全系統(tǒng)，從其功能和物理層次來看，它將分別是網(wǎng)絡基礎設施和網(wǎng)絡應用系統(tǒng)的組成部分。防火墻作為網(wǎng)絡基礎設施的一部分，和其他網(wǎng)絡設備一樣，其性能目標應該按照網(wǎng)絡系統(tǒng)的應用要求進行選型設計。如果防火墻選型設計的不恰當，即使網(wǎng)絡其他設備的選型設計滿足要求，同樣也會因為防火墻的效率妨礙網(wǎng)絡的應用，嚴重的話會導致整個網(wǎng)絡應用建設的失敗，這已經(jīng)是被事實證明的。15 / 35因此，本建議書有必要針對企業(yè)的網(wǎng)絡應用進行防火墻系統(tǒng)的要求分析。 網(wǎng)絡應用系統(tǒng)的現(xiàn)狀及發(fā)展說明企業(yè)的網(wǎng)絡應用包括了集團公司幾乎所有的業(yè)務活動和管理方面的應用，例如ERP、OA、財務、網(wǎng)絡視頻會議應用等等。任何一個應用系統(tǒng)提供的應用，都是依賴于網(wǎng)絡的各個層次來實現(xiàn)應用信息的處理和傳送，應用系統(tǒng)最終是通過向所有的網(wǎng)絡用戶提供使用來達到其應用的目的。由此可以看出從網(wǎng)絡用戶電腦（客戶端）到應用系統(tǒng)平臺（服務器端）的結構形式會對網(wǎng)絡設備（尤其防火墻）提出相應的要求；簡單而言，不同的應用模式，對網(wǎng)絡防火墻系統(tǒng)有不同的技術指標要求。企業(yè)網(wǎng)絡目前的應用系統(tǒng)結構是 C/S 和 B/S 兩種應用結構的混合形式，主要的業(yè)務應用系統(tǒng)現(xiàn)在是分布式的 C/S 結構?，F(xiàn)在正在進行的已有應用系統(tǒng)升級開發(fā)將使應用系統(tǒng)從 C/S 結構向 B/S 結構遷移；新增加的應用系統(tǒng)開發(fā)，也是集中式的 B/S 結構。在未來一兩年內(nèi)，企業(yè)的應用系統(tǒng)將大部分實現(xiàn)集中式的 B/S 結構模式。同時隨著公司規(guī)模的擴大和業(yè)務領域的拓展，目前已經(jīng)在企業(yè)網(wǎng)絡系統(tǒng)內(nèi)應用的網(wǎng)絡視頻會議系統(tǒng)（對網(wǎng)絡的傳輸性能要求很高的應用系統(tǒng)）會隨著系統(tǒng)應用規(guī)模的擴大，為網(wǎng)絡系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。以上兩種主要的因素，在很大程度上決定我們在防火墻選型設計時對產(chǎn)品的取舍。 面向應用系統(tǒng)的防火墻系統(tǒng)設計要求根據(jù)企業(yè)網(wǎng)絡應用系統(tǒng)的現(xiàn)狀以及未來系統(tǒng)的結構發(fā)展，我們認為著重考慮企業(yè)的 B/S 結構應用特點，是防火墻系統(tǒng)技術指標設計的主要依據(jù)。眾所周知，防火墻作為網(wǎng)絡設備，對網(wǎng)絡性能影響最為主要的是兩個參數(shù)指標，一個是防火墻的 TCP 連接處理能力（并發(fā)會話處理數(shù)），另一個是防火墻對網(wǎng)絡數(shù)據(jù)流量的吞吐能力（帶寬參數(shù)）。B/S 結構的應用系統(tǒng)雖然具有管理簡單，客戶端開發(fā)、使用和維護的成本很低的優(yōu)點，但是在網(wǎng)絡上 B/S 結構應用系統(tǒng)將會給網(wǎng)絡帶來巨大的網(wǎng)絡流動數(shù)據(jù)處理壓力，而且是并發(fā)的。具體來說，B/S 結構的應用系統(tǒng)在網(wǎng)絡上使用，會給網(wǎng)絡防火墻帶來數(shù)倍甚至數(shù)十倍于 C/S 結構應用系統(tǒng)的并發(fā) TCP 會話數(shù)量，而且這些會話絕大部分是16 / 35包長很短的“垃圾”IP 包。由此可見，在設計企業(yè)防火墻系統(tǒng)時，足夠大的 TCP 會話處理能力，是我們選擇防火墻（包括 VPN）產(chǎn)品考慮的主要因素。通過對各類防火墻的比較分析，我們認為目前面向 B/S 結構應用的防火墻設備，硬件防火墻是最為明智的選擇。17 / 353 安全系統(tǒng)實現(xiàn)目標根據(jù)上一章的需求分析，從網(wǎng)絡安全的技術手段而言，企業(yè)企業(yè)網(wǎng)的安全系統(tǒng)必須實現(xiàn)從 Inter 和廣域網(wǎng)進入內(nèi)部資源網(wǎng)絡的數(shù)據(jù)被有效檢查和過濾、所有對內(nèi)部資源網(wǎng)絡的訪問可以被有效控制、移動用戶從 Inter 進入內(nèi)部網(wǎng)絡進行業(yè)務操作的通信和通過廣域網(wǎng)進入內(nèi)部網(wǎng)的用戶通信必須加密、所有網(wǎng)絡訪問行為能夠被記錄和審計、非法訪問被預警和阻攔（條件允許時實施）、應用系統(tǒng)平臺及數(shù)據(jù)可以被有效備份以抗擊災難風險、用戶的身份的真實性認證等幾方面的目標。 網(wǎng)絡基礎層安全系統(tǒng)建設目標網(wǎng)絡層安全系統(tǒng)通過防火墻系統(tǒng)（帶 VPN 功能）實現(xiàn)訪問控制、網(wǎng)絡信息檢查、通信加密、非法入侵檢測和攔截，異常情況告警和審計幾大功能目標。 Inter 及 Extra 進出口控制在國際互聯(lián)網(wǎng)（Inter ）和企業(yè)廣域網(wǎng)（Extra）的進出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網(wǎng)絡數(shù)據(jù)和被禁止的數(shù)據(jù)源進入企業(yè)內(nèi)部網(wǎng)絡。從互聯(lián)網(wǎng)入口進入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進行類別劃分，即區(qū)分為通過互聯(lián)網(wǎng)進入內(nèi)部網(wǎng)的企業(yè)移動用戶或外部的公共訪問者，對于要求進入企業(yè)內(nèi)部網(wǎng)的訪問者進行用戶的授權認證，攔截沒有用戶權限的訪問者試圖進入內(nèi)部網(wǎng)。對于通過 Inter 入口和廣域網(wǎng)入口進入總部企業(yè)內(nèi)部網(wǎng)或分支機構內(nèi)部網(wǎng)的用戶，設置在網(wǎng)絡出入口的防火墻系統(tǒng)不僅可以對訪問者進行能否被允許進入的權限認證，同時可以實現(xiàn)按照企業(yè)資源被訪問權限劃分的訪問路由控制。對于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實現(xiàn)，企業(yè)各類資源的應用系統(tǒng)在邏輯上進行子網(wǎng)系統(tǒng)的劃分，即在技術上提供可以獨立選擇安全策略的虛擬系統(tǒng)劃分。 VPN 應用VPN 應用是為網(wǎng)絡通信提供有效的信息加密手段。在企業(yè)企業(yè)網(wǎng)的 VPN 應用中，采用三倍 DES 的加密技術，這是目前可以獲得的最先進和實用的網(wǎng)絡通信加密技術手段。網(wǎng)絡的 VPN 應用范圍包括移動用戶的客戶機到企業(yè)網(wǎng)絡 Inter 出入口的防火墻、18 / 35各分支機構的廣域網(wǎng)出入口防火墻到集團總部廣域網(wǎng)出入口防火墻。 防火墻系統(tǒng)的功能實現(xiàn)要求總結網(wǎng)絡層的安全保證是企業(yè)網(wǎng)絡系統(tǒng)安全的最關鍵，因此在企業(yè)網(wǎng)絡安全系統(tǒng)中，防火墻系統(tǒng)是整個系統(tǒng)的最重要組成部分，它將擔負完成大部分的安全服務（安全技術手段）實現(xiàn)和執(zhí)行的任務。傳統(tǒng)的網(wǎng)絡安全系統(tǒng)由于受設備功能和性能的限制，在網(wǎng)絡層（從物理層到傳輸層）很難全部由單一的防火墻或其他安全設備全部完成表 1 中提出的功能要求，所以系統(tǒng)的實施難度和費用（包括設備、人力投入和管理成本）會比較驚人。但是在今天已經(jīng)出現(xiàn)了滿足網(wǎng)絡層全部應用的、功能強大、性能優(yōu)異的防火墻產(chǎn)品，如 Cisco 防火墻。為了使企業(yè)的網(wǎng)絡安全系統(tǒng)結構簡化、建設成本降低，本建議書在網(wǎng)絡防火墻系統(tǒng)建設目標方面，提出了下表 2 的功能目標要求。表 2 防火墻系統(tǒng)實現(xiàn)功能目標物理層 數(shù)據(jù)鏈路層 網(wǎng)絡層 傳輸層 會話層 表示層 應用層認證 * * * *訪問控制 * * *數(shù)據(jù)保密 * * * *數(shù)據(jù)完整性 * * *不可抵賴性審計 * * *可用性 * * * * 應用輔助安全系統(tǒng)的建設目標應用系統(tǒng)的安全性主要在用戶和服務器間的雙向身份認證以及信息和服務資源的訪問控制，具有審計和記錄機制，確保防止拒絕和防抵賴的防否認機制。對于重要的主機系統(tǒng)和應用系統(tǒng)、網(wǎng)絡設備管理系統(tǒng)，在原有的靜態(tài)密碼認證管19 / 35理的基礎上，增加動態(tài)密碼認證管理系統(tǒng)，通過動態(tài)的密碼方式實時不間斷地驗證所有訪問這些系統(tǒng)用戶的真實身份。20 / 354 網(wǎng)絡安全系統(tǒng)的實施建議基于以上的規(guī)劃和分析，我們建議企業(yè)網(wǎng)絡安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，分兩個步驟（兩期）分別實現(xiàn)以下各個安全子系統(tǒng)：防火墻系統(tǒng)VPN 系統(tǒng)動態(tài)認證系統(tǒng) 系統(tǒng)設計的基本原則實用、先進、可發(fā)展是安全系統(tǒng)設計的基本原則。本建議書設計的安全系統(tǒng)首先是滿足企業(yè)現(xiàn)有和可預見未來幾年內(nèi)的應用要求；其次是考慮在投資增加很少的前提下，選擇目前可以提供最先進技術手段的設備和系統(tǒng)方案；最后要考慮實現(xiàn)的安全系統(tǒng)面對應用要有長遠發(fā)展的能力。防火墻系統(tǒng)作為網(wǎng)絡出入口的內(nèi)外連接控制和網(wǎng)絡通信加密/解密設施，不僅需要有足夠的數(shù)據(jù)吞吐能力，如網(wǎng)絡物理接口的帶寬，也需要優(yōu)越的網(wǎng)絡連接的數(shù)據(jù)處理能力，例如并發(fā)連接數(shù)量和網(wǎng)絡連接會話處理能力等。以下的防火墻系統(tǒng)設計將根據(jù)這些原則