【文章內容簡介】 工具進行網絡系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現漏洞并及時彌補，以及建立實時入侵檢測系統(tǒng)，是十分有效的安全防護措施，將能極大提高、完善企業(yè)系統(tǒng)安全。在條件允許的情況下，我們建議企業(yè)企業(yè)網增加網絡漏洞掃描和入侵檢測系統(tǒng)。 系統(tǒng)安全需求分析各種操作系統(tǒng)是應用運行的基礎，應用系統(tǒng)的安全性，在相當大的程度之上受到操作系統(tǒng)安全性的影響。目前運行大多數應用的各種操作系統(tǒng)，都是針對可以運行多種應用來開發(fā)的，其開發(fā)要兼顧到各種應用的多個方面，在程序開發(fā)過程中，會出現一些人為的疏忽，以及一些人為設置的后門等。這些人為的疏忽或者后門就成了操作系統(tǒng)的安全漏洞。還有，安裝在操作系統(tǒng)上的各種應用系統(tǒng)形成了一個復雜的環(huán)境，這些應用程序本身設計的缺陷也會帶來安全漏洞。另外，系統(tǒng)權限管理的松懈也是造成安全漏洞的重要原因。此外，任何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進行系統(tǒng)的破壞。基于以上的原因，企業(yè)網絡需要對總部的應用服務器進行操作系統(tǒng)和數據庫的備份，操作系統(tǒng)包括 Windows NT, Windows 2022,Solaris,Linux，數據庫系統(tǒng)主要包括Oracle，MS SQL 數據庫。需要對這些系統(tǒng)進行系統(tǒng)安全漏洞的掃描和實時入侵的檢測。 應用安全管理需求分析應用層安全主要是對應用資源的有效性進行控制，管理和控制什么用戶對資源具有什么權限。資源包括信息資源和服務資源。需要提高身份認證安全性的系統(tǒng)包括主機系統(tǒng)、網絡設備、移動用戶訪問、VPN 和應用層。 主機系統(tǒng)包括企業(yè)總部和各下屬公司中心主機、數據庫系統(tǒng)，WEB 服務器、MAIL 服務器等等，這些主機系統(tǒng)是公司網絡系統(tǒng)的核心，存儲著公司最重要的信息資源，因此，保證這些主機系統(tǒng)的登錄的安全是極其重要的。13 / 35目前企業(yè)的主機系統(tǒng)仍然沿用單一密碼的身份認證方式，這種簡單的身份認證存在以下安全隱患：? 網絡入侵者，很容易猜測或破解賬號、密碼，利用他人的帳戶登錄，進行非法操作。? 人員的流動、集成商自設等很多因素，使得每臺主機系統(tǒng)上的多余帳戶增加。 網絡設備安全管理企業(yè)全公司，網絡設備（路由器、交換機）數量以數十甚至數百計。公司所有的業(yè)務系統(tǒng)都是建立在網絡設備基礎之上的，保證網絡設備的安全是保證系統(tǒng)正常運行的首要條件；而保護網絡設備的安全，通?？紤]的最多的是設備的冗余，而網絡設備的配置保護卻不被重視，其實，當某一個人登錄了網絡設備（路由器、防火墻、VPN設備等），將配置進行了更改，為以后非法的登錄建立通道，對整個系統(tǒng)來說，所有的安全設施就形同虛設。因此對登錄網絡設備的人員進行強的身份認證是完全必要的。 移動用戶的訪問控制訪問移動用戶進入公司內部網絡可以通過本地撥號連接公司的內部網絡，也可以通過互聯(lián)網的 ISP 接入公司內部網。對于企業(yè)來說，移動用戶將基本上采用 VPN 的方式對內部進行訪問，外出的員工可以通過 Inter 渠道的方式進入公司內部網絡，獲取所需要信息資源或回送需要提交的信息。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。因此我們必須在移動用戶訪問上增加更加強大的手段對移動用戶進行控制管理。 VPN 上的認證在網絡系統(tǒng)將配置 VPN 系統(tǒng)，遠程移動用戶可以通過撥號連接本地 ISP，用 VPN Client 建立安全通道訪問公司信息資源。而 VPN 技術能夠很好的解決系統(tǒng)傳輸的安全問題，極大的節(jié)約公司的費用，并且使外部非法用戶無法訪問公司內部信息；但是，對于公司內部用戶，由于 VPN 所提供的用戶認證機制依然是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁14 / 35有該帳戶的員工的身份相符合，也就是說，還是存在內部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權瀏覽或更改的），因此，補充更強的身份認證機制對 VPN 系統(tǒng)應用來說也是非常必要的。 應用層安全保護這里的應用層，主要指企業(yè)的信息資源管理系統(tǒng)（ERP）。在員工進入 ERP 系統(tǒng)時需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼的不安全性使得我們有必要在 ERP 系統(tǒng)上采用強的認證機制，保證不同權限的、不同級別的用戶安全合法的使用ERP 系統(tǒng)。ERP 系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有：? 用戶無法保證辦公文件能正確的接受，在接受之前沒有被其他人瀏覽過。? 單一密碼容易泄露，一旦密碼泄露，其惡果可能會很嚴重。? 高級別的用戶在遠程授權以后，需要及時地更改密碼。以上討論了企業(yè)網絡系統(tǒng)各個不同應用的安全認證問題，不難看出，上述的應用都必須在原有的單一靜態(tài)認證基礎上，增加更加強大的認證手段，因此我們建議在企業(yè)網絡安全系統(tǒng)內引入動態(tài)認證機制，即動態(tài)的 SecurID。加入的 RSA SecurID 必須提供通用的 API，使用戶可以將 RSA SecurID 認證內嵌到ERP 系統(tǒng)或其他的應用系統(tǒng)中，保證公司內部網絡用戶接收 MAIL 和文件的安全，驗證用戶身份，并創(chuàng)建用戶登錄日志文件。為了使系統(tǒng)的認證操作和對非法訪問的攔截更加有效，所有認證的轉發(fā)和認證結果的處理都由防火墻來操作完成，即對所有被認證系統(tǒng)認定為非合法訪問的服務請求，通過防火墻“掐斷”其訪問連接，而不是通過應用系統(tǒng)直接拒絕訪問服務。這是防火墻系統(tǒng)設計時必須考慮的可實現功能之一 應用對安全系統(tǒng)的要求分析任何一個完整的網絡安全系統(tǒng)，從其功能和物理層次來看，它將分別是網絡基礎設施和網絡應用系統(tǒng)的組成部分。防火墻作為網絡基礎設施的一部分，和其他網絡設備一樣，其性能目標應該按照網絡系統(tǒng)的應用要求進行選型設計。如果防火墻選型設計的不恰當，即使網絡其他設備的選型設計滿足要求，同樣也會因為防火墻的效率妨礙網絡的應用，嚴重的話會導致整個網絡應用建設的失敗，這已經是被事實證明的。15 / 35因此，本建議書有必要針對企業(yè)的網絡應用進行防火墻系統(tǒng)的要求分析。 網絡應用系統(tǒng)的現狀及發(fā)展說明企業(yè)的網絡應用包括了集團公司幾乎所有的業(yè)務活動和管理方面的應用，例如ERP、OA、財務、網絡視頻會議應用等等。任何一個應用系統(tǒng)提供的應用，都是依賴于網絡的各個層次來實現應用信息的處理和傳送，應用系統(tǒng)最終是通過向所有的網絡用戶提供使用來達到其應用的目的。由此可以看出從網絡用戶電腦（客戶端）到應用系統(tǒng)平臺（服務器端）的結構形式會對網絡設備（尤其防火墻）提出相應的要求；簡單而言，不同的應用模式，對網絡防火墻系統(tǒng)有不同的技術指標要求。企業(yè)網絡目前的應用系統(tǒng)結構是 C/S 和 B/S 兩種應用結構的混合形式，主要的業(yè)務應用系統(tǒng)現在是分布式的 C/S 結構?，F在正在進行的已有應用系統(tǒng)升級開發(fā)將使應用系統(tǒng)從 C/S 結構向 B/S 結構遷移；新增加的應用系統(tǒng)開發(fā)，也是集中式的 B/S 結構。在未來一兩年內，企業(yè)的應用系統(tǒng)將大部分實現集中式的 B/S 結構模式。同時隨著公司規(guī)模的擴大和業(yè)務領域的拓展，目前已經在企業(yè)網絡系統(tǒng)內應用的網絡視頻會議系統(tǒng)（對網絡的傳輸性能要求很高的應用系統(tǒng)）會隨著系統(tǒng)應用規(guī)模的擴大，為網絡系統(tǒng)帶來越來越大的數據傳輸壓力。以上兩種主要的因素，在很大程度上決定我們在防火墻選型設計時對產品的取舍。 面向應用系統(tǒng)的防火墻系統(tǒng)設計要求根據企業(yè)網絡應用系統(tǒng)的現狀以及未來系統(tǒng)的結構發(fā)展，我們認為著重考慮企業(yè)的 B/S 結構應用特點，是防火墻系統(tǒng)技術指標設計的主要依據。眾所周知，防火墻作為網絡設備，對網絡性能影響最為主要的是兩個參數指標，一個是防火墻的 TCP 連接處理能力（并發(fā)會話處理數），另一個是防火墻對網絡數據流量的吞吐能力（帶寬參數）。B/S 結構的應用系統(tǒng)雖然具有管理簡單，客戶端開發(fā)、使用和維護的成本很低的優(yōu)點，但是在網絡上 B/S 結構應用系統(tǒng)將會給網絡帶來巨大的網絡流動數據處理壓力，而且是并發(fā)的。具體來說，B/S 結構的應用系統(tǒng)在網絡上使用，會給網絡防火墻帶來數倍甚至數十倍于 C/S 結構應用系統(tǒng)的并發(fā) TCP 會話數量，而且這些會話絕大部分是16 / 35包長很短的“垃圾”IP 包。由此可見，在設計企業(yè)防火墻系統(tǒng)時，足夠大的 TCP 會話處理能力，是我們選擇防火墻（包括 VPN）產品考慮的主要因素。通過對各類防火墻的比較分析，我們認為目前面向 B/S 結構應用的防火墻設備，硬件防火墻是最為明智的選擇。17 / 353 安全系統(tǒng)實現目標根據上一章的需求分析，從網絡安全的技術手段而言，企業(yè)企業(yè)網的安全系統(tǒng)必須實現從 Inter 和廣域網進入內部資源網絡的數據被有效檢查和過濾、所有對內部資源網絡的訪問可以被有效控制、移動用戶從 Inter 進入內部網絡進行業(yè)務操作的通信和通過廣域網進入內部網的用戶通信必須加密、所有網絡訪問行為能夠被記錄和審計、非法訪問被預警和阻攔（條件允許時實施）、應用系統(tǒng)平臺及數據可以被有效備份以抗擊災難風險、用戶的身份的真實性認證等幾方面的目標。 網絡基礎層安全系統(tǒng)建設目標網絡層安全系統(tǒng)通過防火墻系統(tǒng)（帶 VPN 功能）實現訪問控制、網絡信息檢查、通信加密、非法入侵檢測和攔截，異常情況告警和審計幾大功能目標。 Inter 及 Extra 進出口控制在國際互聯(lián)網（Inter ）和企業(yè)廣域網（Extra）的進出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網絡數據和被禁止的數據源進入企業(yè)內部網絡。從互聯(lián)網入口進入企業(yè)網的用戶，可以被防火墻有效地進行類別劃分，即區(qū)分為通過互聯(lián)網進入內部網的企業(yè)移動用戶或外部的公共訪問者，對于要求進入企業(yè)內部網的訪問者進行用戶的授權認證，攔截沒有用戶權限的訪問者試圖進入內部網。對于通過 Inter 入口和廣域網入口進入總部企業(yè)內部網或分支機構內部網的用戶，設置在網絡出入口的防火墻系統(tǒng)不僅可以對訪問者進行能否被允許進入的權限認證，同時可以實現按照企業(yè)資源被訪問權限劃分的訪問路由控制。對于內部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實現，企業(yè)各類資源的應用系統(tǒng)在邏輯上進行子網系統(tǒng)的劃分，即在技術上提供可以獨立選擇安全策略的虛擬系統(tǒng)劃分。 VPN 應用VPN 應用是為網絡通信提供有效的信息加密手段。在企業(yè)企業(yè)網的 VPN 應用中，采用三倍 DES 的加密技術，這是目前可以獲得的最先進和實用的網絡通信加密技術手段。網絡的 VPN 應用范圍包括移動用戶的客戶機到企業(yè)網絡 Inter 出入口的防火墻、18 / 35各分支機構的廣域網出入口防火墻到集團總部廣域網出入口防火墻。 防火墻系統(tǒng)的功能實現要求總結網絡層的安全保證是企業(yè)網絡系統(tǒng)安全的最關鍵，因此在企業(yè)網絡安全系統(tǒng)中，防火墻系統(tǒng)是整個系統(tǒng)的最重要組成部分，它將擔負完成大部分的安全服務（安全技術手段）實現和執(zhí)行的任務。傳統(tǒng)的網絡安全系統(tǒng)由于受設備功能和性能的限制，在網絡層（從物理層到傳輸層）很難全部由單一的防火墻或其他安全設備全部完成表 1 中提出的功能要求，所以系統(tǒng)的實施難度和費用（包括設備、人力投入和管理成本）會比較驚人。但是在今天已經出現了滿足網絡層全部應用的、功能強大、性能優(yōu)異的防火墻產品，如 Cisco 防火墻。為了使企業(yè)的網絡安全系統(tǒng)結構簡化、建設成本降低，本建議書在網絡防火墻系統(tǒng)建設目標方面，提出了下表 2 的功能目標要求。表 2 防火墻系統(tǒng)實現功能目標物理層 數據鏈路層 網絡層 傳輸層 會話層 表示層 應用層認證 * * * *訪問控制 * * *數據保密 * * * *數據完整性 * * *不可抵賴性審計 * * *可用性 * * * * 應用輔助安全系統(tǒng)的建設目標應用系統(tǒng)的安全性主要在用戶和服務器間的雙向身份認證以及信息和服務資源的訪問控制，具有審計和記錄機制，確保防止拒絕和防抵賴的防否認機制。對于重要的主機系統(tǒng)和應用系統(tǒng)、網絡設備管理系統(tǒng)，在原有的靜態(tài)密碼認證管19 / 35理的基礎上，增加動態(tài)密碼認證管理系統(tǒng)，通過動態(tài)的密碼方式實時不間斷地驗證所有訪問這些系統(tǒng)用戶的真實身份。20 / 354 網絡安全系統(tǒng)的實施建議基于以上的規(guī)劃和分析，我們建議企業(yè)網絡安全系統(tǒng)按照系統(tǒng)的實現目的，分兩個步驟（兩期）分別實現以下各個安全子系統(tǒng)：防火墻系統(tǒng)VPN 系統(tǒng)動態(tài)認證系統(tǒng) 系統(tǒng)設計的基本原則實用、先進、可發(fā)展是安全系統(tǒng)設計的基本原則。本建議書設計的安全系統(tǒng)首先是滿足企業(yè)現有和可預見未來幾年內的應用要求；其次是考慮在投資增加很少的前提下，選擇目前可以提供最先進技術手段的設備和系統(tǒng)方案；最后要考慮實現的安全系統(tǒng)面對應用要有長遠發(fā)展的能力。防火墻系統(tǒng)作為網絡出入口的內外連接控制和網絡通信加密/解密設施，不僅需要有足夠的數據吞吐能力，如網絡物理接口的帶寬，也需要優(yōu)越的網絡連接的數據處理能力，例如并發(fā)連接數量和網絡連接會話處理能力等。以下的防火墻系統(tǒng)設計將根據這些原則