【正文】 ? 大連新船重工責(zé)任有限公司網(wǎng)絡(luò)與下級分支機(jī)構(gòu)網(wǎng)絡(luò)之間建立連接控制手段，對集團(tuán)網(wǎng)絡(luò)網(wǎng)提供高于網(wǎng)絡(luò)邊界更高的安全保護(hù)。應(yīng)用層需求分析建設(shè)大連新船重工責(zé)任有限公司網(wǎng)的目的是實(shí)現(xiàn)信息共享、資源共享。因此，必須解決大連新船重工責(zé)任有限公司網(wǎng)在應(yīng)用層的安全。應(yīng)用層安全主要與企業(yè)的管理機(jī)制和業(yè)務(wù)系統(tǒng)的應(yīng)用模式相關(guān)。管理機(jī)制決定了應(yīng)用模式，應(yīng)用模式?jīng)Q定了安全需求。因此，在這里主要針對各局域網(wǎng)內(nèi)的應(yīng)用的安全進(jìn)行討論，并就建設(shè)全網(wǎng)范圍內(nèi)的應(yīng)用系統(tǒng)提出我們的一些建議。應(yīng)用層的安全需求是針對用戶和網(wǎng)絡(luò)應(yīng)用資源的，主要包括：? 合法用戶可以以指定的方式訪問指定的信息；? 合法用戶不能以任何方式訪問不允許其訪問的信息；? 非法用戶不能訪問任何信息；? 用戶對任何信息的訪問都有記錄。要解決的安全問題主要包括：? 非法用戶利用應(yīng)用系統(tǒng)的后門或漏洞，強(qiáng)行進(jìn)入系統(tǒng)。? 用戶身份假冒：非法用戶利用合法用戶的用戶名，破譯用戶密碼，然后假冒合法用戶身份，訪問系統(tǒng)資源。? 非授權(quán)訪問：非法用戶或者合法用戶訪問在其權(quán)限之外的系統(tǒng)資源。? 數(shù)據(jù)竊取：攻擊者利用網(wǎng)絡(luò)竊聽工具竊取經(jīng)由網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包。 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ２９? 數(shù)據(jù)篡改：攻擊者篡改網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包。? 數(shù)據(jù)重放攻擊：攻擊者抓獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，再發(fā)送到目的地。? 抵賴：信息發(fā)送方或接收方抵賴曾經(jīng)發(fā)送過或接收到了信息。一般來說，各應(yīng)用系統(tǒng)，如 Notes、數(shù)據(jù)庫、Web Server 自身也都有一些安全機(jī)制，傳統(tǒng)的應(yīng)用系統(tǒng)安全性也主要依靠系統(tǒng)自身的安全機(jī)制來保證。其主要優(yōu)點(diǎn)是與系統(tǒng)結(jié)合緊密，但也存在很明顯的缺點(diǎn)：? 開發(fā)量大：據(jù)統(tǒng)計(jì)，傳統(tǒng)的應(yīng)用系統(tǒng)開發(fā)中，安全體系的設(shè)計(jì)和開發(fā)約占開發(fā)量的三分之一。當(dāng)應(yīng)用系統(tǒng)需要在廣域網(wǎng)運(yùn)行時(shí)，隨著安全需求的增加，其開發(fā)量占的比重會更大。? 安全強(qiáng)度參差不齊：有些應(yīng)用系統(tǒng)的安全機(jī)制很弱，如數(shù)據(jù)庫系統(tǒng)，只提供根據(jù)用戶名/口令的認(rèn)證，而且用戶名/口令是在網(wǎng)絡(luò)上明文傳輸?shù)模苋菀妆桓`聽到。有些應(yīng)用系統(tǒng)有很強(qiáng)的安全機(jī)制，如 Notes，但由于設(shè)計(jì)、開發(fā)人員對其安全體系的理解程度以及投入的工作量，也可能使不同的應(yīng)用系統(tǒng)的安全強(qiáng)度會相去甚遠(yuǎn)。? 安全沒有保障：目前很多應(yīng)用系統(tǒng)設(shè)計(jì)、開發(fā)人員的第一概念是系統(tǒng)能夠運(yùn)行，而不是系統(tǒng)能夠安全運(yùn)行，因此在系統(tǒng)設(shè)計(jì)、開發(fā)時(shí)對安全考慮很少，甚至為了簡單或趕進(jìn)度而有意削弱安全機(jī)制。? 維護(hù)復(fù)雜：每個(gè)應(yīng)用系統(tǒng)的安全機(jī)制各不相同，導(dǎo)致很多重復(fù)性工作（如建立用戶帳號等） ；系統(tǒng)管理員必須熟悉每個(gè)應(yīng)用系統(tǒng)獨(dú)特的安全機(jī)制，工作量成倍增加。? 用戶使用不方便：用戶使用不同的應(yīng)用系統(tǒng)時(shí)，都必須做相應(yīng)的身份認(rèn)證，且有些系統(tǒng)需要在訪問不同資源時(shí)分別做授權(quán)（如 IIS Web Server 是在用戶訪問不同的頁面時(shí)輸入不同的口令，口令正確才允許訪問） 。當(dāng)用戶需要訪問多個(gè)應(yīng)用系統(tǒng)時(shí)，會有很多用戶名、口令需要記憶，有可能就取幾個(gè)相同的簡單口令，從而降低了系統(tǒng)的安全性。綜上，我們建議在建設(shè)大連新船重工責(zé)任有限公司網(wǎng)應(yīng)用系統(tǒng)時(shí)，采用具有以下功能的商品化的應(yīng)用層安全產(chǎn)品作為安全應(yīng)用平臺。? 安全應(yīng)用平臺必須能夠?yàn)楦鞣N應(yīng)用系統(tǒng)提供統(tǒng)一的入口控制，而且只有 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ３０通過了安全應(yīng)用平臺的身份認(rèn)證和訪問授權(quán)以后，才可能訪問某個(gè)具體的應(yīng)用系統(tǒng)。? 安全應(yīng)用平臺自身的安全機(jī)制必須是系統(tǒng)的、健壯的，以免因?yàn)楦鞣N應(yīng)用系統(tǒng)安全機(jī)制參差不齊而導(dǎo)致系統(tǒng)不安全的現(xiàn)象出現(xiàn)。? 安全應(yīng)用平臺必須可以無縫集成第三方應(yīng)用系統(tǒng)，如 Notes、數(shù)據(jù)庫、Web Server 等的安全機(jī)制。? 安全應(yīng)用平臺可以集中對各種第三方應(yīng)用系統(tǒng)進(jìn)行安全管理，包括用戶注冊、用戶身份認(rèn)證、資源目錄管理、訪問授權(quán)以及審計(jì)記錄，以減少重復(fù)勞動(dòng)，減輕系統(tǒng)管理人員的工作負(fù)擔(dān)。? 安全應(yīng)用平臺具有可伸縮性，并且安全可靠。安全管理需求分析如前所述，能否制定一個(gè)統(tǒng)一的安全策略，在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)統(tǒng)一的安全管理，對于大連新船重工責(zé)任有限公司網(wǎng)來說就至關(guān)重要了。安全管理主要包括三個(gè)方面：? 內(nèi)部安全管理：主要是建立內(nèi)部安全管理制度，如機(jī)房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。? 網(wǎng)絡(luò)安全管理：在網(wǎng)絡(luò)層設(shè)置路由器、防火墻、安全檢測系統(tǒng)后，必須保證路由器和防火墻的 ACL 設(shè)置正確，其配置不允許被隨便修改。網(wǎng)絡(luò)層的安全管理可以通過網(wǎng)管、防火墻、安全檢測等一些網(wǎng)絡(luò)層的管理工具來實(shí)現(xiàn)。? 應(yīng)用安全管理：應(yīng)用系統(tǒng)的安全管理是一件很復(fù)雜的事情。由于各個(gè)應(yīng)用系統(tǒng)的安全機(jī)制不一樣，因此需要通過建立統(tǒng)一的應(yīng)用安全平臺來管理，包括建立建立統(tǒng)一的用戶庫、統(tǒng)一維護(hù)資源目錄、統(tǒng)一授權(quán)等。 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ３１第二章 安全解決方案分析一. 網(wǎng)絡(luò)配置結(jié)構(gòu)圖 總體結(jié)構(gòu)示意圖服務(wù)器工作站 工作站……服務(wù)器安 全 網(wǎng) 閘工作站 工作站…防 病 毒 入 侵 檢 測 安 全 審 計(jì)I N T E R N E TS w i t c hF i r e w a l l網(wǎng) 管 計(jì) 算 機(jī)身 份 認(rèn) 證身 份 認(rèn) 證《萬源倉商務(wù)網(wǎng)》獨(dú)家提供本篇文章，謹(jǐn)防假冒 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ３２二. 公司總部安全配置? 在總部網(wǎng)關(guān)位置配置 CheckPoint Firewall1 防火墻，劃分多安全區(qū)域，將內(nèi)網(wǎng)，對外發(fā)布的 Web Server 和電子商務(wù)網(wǎng)站放置在不同的網(wǎng)絡(luò)安全區(qū)域；? 在服務(wù)器區(qū)前放置 CheckPoint Firewall1 防火墻模塊，其他區(qū)域?qū)Ψ?wù)器區(qū)的訪問必須經(jīng)過防火墻模塊的檢查；? 在中心交換機(jī)上配置基于網(wǎng)絡(luò)的 IDS 系統(tǒng)，監(jiān)控整個(gè)網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)流量；? 在服務(wù)器區(qū)內(nèi)的重要服務(wù)器，如 Sybase 數(shù)據(jù)庫服務(wù)器等，安裝基于主機(jī)的入侵檢測系統(tǒng)，對所有對數(shù)據(jù)庫服務(wù)器的訪問進(jìn)行監(jiān)控，并對數(shù)據(jù)庫服務(wù)器的操作進(jìn)行記錄和審計(jì)；? 將電子商務(wù)網(wǎng)站和進(jìn)行公司普通 Web 發(fā)布服務(wù)器進(jìn)行獨(dú)立配置，對電子商務(wù)網(wǎng)站的訪問將需要身份認(rèn)證和加密傳輸，保證電子商務(wù)的安全性；? 在 DMZ 區(qū)的電子商務(wù)網(wǎng)站配置基于主機(jī)的入侵檢測系統(tǒng)，防止來自Inter 對 Http 服務(wù)的攻擊行為；? 在公司總部安裝 Spa 統(tǒng)一認(rèn)證服務(wù)器，對所有需要的認(rèn)證進(jìn)行統(tǒng)一管理，并根據(jù)客戶的安全級別設(shè)置所需要的認(rèn)證方式（如靜態(tài)口令，動(dòng)態(tài)口令，數(shù)字證書等） ； 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ３３三. 產(chǎn)品配置說明? Checkpoint Firewall1/VPN1 配置五塊網(wǎng)卡，安裝于網(wǎng)絡(luò)的出口網(wǎng)關(guān)位置，物理連接方式如上圖所示,分別連接外網(wǎng)路由器、內(nèi)網(wǎng)中心交換機(jī)、DMZ 區(qū)交換機(jī)、服務(wù)器網(wǎng)段交換機(jī)和撥號路由器；? 配置 Checkpoint Firewall1 防火墻網(wǎng)絡(luò)安全訪問策略如下：? 把 Web 服務(wù)器、防病毒服務(wù)器、Ftp 服務(wù)器、Mail 服務(wù)器以及 DNS服務(wù)器允許進(jìn)行維護(hù)主機(jī) IP 地址、所有 Inter 訪問用戶分別定義為網(wǎng)絡(luò)安全對象；? 定義 SAP AAA 服務(wù)器對象，指定用戶認(rèn)證方式為 AAA 服務(wù)器的Radius 方式；? 定義防止 IP 地址欺騙的規(guī)則，凡是源地址為 DMZ 區(qū)域和內(nèi)網(wǎng)區(qū)域的數(shù)據(jù)包都不允許通過防火墻進(jìn)入；? 定義安全策略，允許外部連接可以到達(dá) DMZ 指定服務(wù)器的服務(wù)端口；? 定義安全策略，對從內(nèi)部網(wǎng)絡(luò)通過防火墻向外發(fā)送的數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，完全對外隔離內(nèi)部網(wǎng)絡(luò)；? 定義安全規(guī)則，允許指定的應(yīng)用數(shù)據(jù)包包通過防火墻；? 定義安全規(guī)則，強(qiáng)制執(zhí)行對 URL 的過濾；? 定義安全規(guī)則，強(qiáng)制對 應(yīng)用的 Java Applet、ActiveX 以及Java Scripts 進(jìn)行內(nèi)容安全檢測；? 定義安全規(guī)則，強(qiáng)制對 Ftp 應(yīng)用的數(shù)據(jù)傳輸進(jìn)行內(nèi)容安全檢測；? 定義安全規(guī)則，強(qiáng)制對 SMTP 應(yīng)用的附件進(jìn)行內(nèi)容安全檢測；? 定義安全規(guī)則，設(shè)定對流量和帶寬控制的規(guī)則，保證對專有服務(wù)和專有人員的流量保證；? 定義安全規(guī)則，其他的任何包都不允許通過防火墻；? 在軍事化區(qū)安裝 Secure World 的 AAA 認(rèn)證服務(wù)器，并導(dǎo)入全部令牌設(shè)備；? 將終端認(rèn)證的硬件令牌分發(fā)給允許使用 VPN、遠(yuǎn)程撥號訪問的各地分支 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ３４機(jī)構(gòu)和遠(yuǎn)程撥號用戶；? 在 VPN 設(shè)備及撥號訪問接入路由器中開啟 AAA 認(rèn)證，并將認(rèn)證服務(wù)器指向到 SPA 內(nèi)置的 Radius 服務(wù)器；? 在服務(wù)器端配置相關(guān)的用戶自注冊組，允許相關(guān)用戶自行進(jìn)行身份注冊；? 為本地核心網(wǎng)絡(luò)設(shè)備配置使用 SPA 進(jìn)行身份認(rèn)證；? 為系統(tǒng)管理員分配硬件令牌并用其訪問網(wǎng)絡(luò)設(shè)備；? 逐步實(shí)施主機(jī)系統(tǒng)和基于 Windows 2022 域的令牌身份認(rèn)證? 逐步實(shí)施 Web 業(yè)務(wù)應(yīng)用系統(tǒng)及辦公自動(dòng)化系統(tǒng)的身份認(rèn)證 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ３５第三章 防火墻解決方案－Checkpoint Firewall1一. 防火墻部署示意圖服務(wù)器工作站 工作站……服務(wù)器安 全 網(wǎng) 閘工作站 工作站…防 病 毒 入 侵 檢 測 安 全 審 計(jì)I N T E R N E TS w i t c hF i r e w a l l網(wǎng) 管 計(jì) 算 機(jī)身 份 認(rèn) 證身 份 認(rèn) 證二. 防火墻安全策略配置和管理? 配置 Checkpoint Firewall1 防火墻網(wǎng)絡(luò)安全訪問策略如下：? 新的網(wǎng)絡(luò)安全方案中兩臺億陽網(wǎng)警防火墻將被 CheckPoint 防火墻取代，這兩臺取下的防火墻將分別放置在區(qū)市分公司局域網(wǎng)和市公司名煙總匯的網(wǎng)關(guān)處。? 在從外面進(jìn)入總公司局域網(wǎng)的防火墻處建立 DMZ 區(qū)，將辦公網(wǎng)內(nèi)的Web、ftp、mail 服務(wù)器放置于此，使這些服務(wù)器能與外界隔離?！度f源倉商務(wù)網(wǎng)》獨(dú)家提供本篇文章，謹(jǐn)防假冒 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ３６? 在辦公網(wǎng)通向中心交換機(jī)的路徑上分別安裝一臺 CheckPoint 防火墻，以避免重要服務(wù)器受到來自內(nèi)網(wǎng)的攻擊。? 定義用戶對象，指定用戶的認(rèn)證方式；? 定義用戶認(rèn)證規(guī)則，用戶訪問數(shù)據(jù)中心的服務(wù)器時(shí)需要進(jìn)行不同級別的用戶認(rèn)證，并由此控制用戶的訪問權(quán)限；? 定義防止 IP 地址欺騙的規(guī)則，凡是源地址為內(nèi)網(wǎng)區(qū)域的數(shù)據(jù)包都不允許通過防火墻進(jìn)入；? 定義安全策略，允許外部連接可以到達(dá)指定服務(wù)器的服務(wù)端口；? 定義安全策略，對從內(nèi)部網(wǎng)絡(luò)通過防火墻向外發(fā)