蘇慶昶

[摘要]對計算機網(wǎng)絡(luò)在實際運行過程中可能遇到的各種安全威脅,必須采用防護、檢測、響應(yīng)、恢復(fù)等行之有效的安全措施,建立一個全方位并易于管理的安全體系,保障計算機網(wǎng)絡(luò)系統(tǒng)運行的安全、穩(wěn)定、可靠。

[關(guān)鍵詞]計算機網(wǎng)絡(luò)安全體系

中圖分類號:TP3文獻標(biāo)識碼:A文章編號:1671-7597(2009)0710074-02

隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,全球信息化已成為人類發(fā)展的大趨勢。計算機網(wǎng)絡(luò)具備分布廣域性、體系結(jié)構(gòu)開放性、網(wǎng)絡(luò)資源共享性和網(wǎng)絡(luò)信道共用性的特點,因此增加了網(wǎng)絡(luò)的實用性和易用性,同時也不可避免地帶來系統(tǒng)的脆弱性,使其面臨嚴(yán)重的安全問題。目前廣泛應(yīng)用的TCP/IP協(xié)議是在可信環(huán)境下為網(wǎng)絡(luò)互聯(lián)專門設(shè)計的,加上黑客的攻擊及病毒的泛濫,使得網(wǎng)絡(luò)存在很多不安全因素,如DDOS攻擊、口令猜測、地址欺騙、TCP端口盜用、業(yè)務(wù)數(shù)據(jù)篡改、對域名系統(tǒng)和基礎(chǔ)設(shè)施的破壞、利用Web破壞數(shù)據(jù)庫和社會工程、郵件炸彈、病毒攜帶等。

一、計算機網(wǎng)絡(luò)安全問題分析

(一)計算機網(wǎng)絡(luò)的安全隱患

當(dāng)前計算機網(wǎng)絡(luò)的安全隱患主要有以下幾種:傳輸數(shù)據(jù)被竊聽或篡改;內(nèi)部人員作案;網(wǎng)絡(luò)連接被盜用;網(wǎng)絡(luò)竊聽;病毒擴散;攻擊擴散;關(guān)鍵數(shù)據(jù)的備份和恢復(fù)。

(二)對計算機網(wǎng)絡(luò)的攻擊手段

目前對計算機網(wǎng)絡(luò)的攻擊手段主要有以下幾種:口令破解;連接盜用;拒絕服務(wù)(DDOS);網(wǎng)絡(luò)竊聽;數(shù)據(jù)篡改;地址欺騙;惡意端口掃描;基礎(chǔ)設(shè)施破壞;數(shù)據(jù)驅(qū)動攻擊。

(三)計算機網(wǎng)絡(luò)安全體系的構(gòu)成

計算機網(wǎng)絡(luò)的安全體系主要由以下幾個方面組成:

1.網(wǎng)絡(luò)級安全。通過合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和路由的設(shè)計、虛擬局域網(wǎng)(VLAN)、虛擬專網(wǎng)(VPN)、訪問控制列表(ACL)、包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)等措施保證網(wǎng)絡(luò)的安全運行。

2.應(yīng)用級安全。應(yīng)用級安全主要從下面3個方面加以實現(xiàn):一是利用計算機網(wǎng)絡(luò)應(yīng)用系統(tǒng)自身的安全機制,主要是指數(shù)據(jù)庫自身的安全機制來實現(xiàn);二是通過采用一個通用的安全應(yīng)用平臺來保證對各種應(yīng)用系統(tǒng)信息訪問的合法性;三是通過對關(guān)鍵系統(tǒng)的數(shù)據(jù)進行備份來保證數(shù)據(jù)的安全。

3.操作系統(tǒng)級安全。計算機網(wǎng)絡(luò)的各種重要應(yīng)用系統(tǒng)均運行在UNIX或Windows系統(tǒng)平臺上。對于系統(tǒng)級安全的實現(xiàn),可以通過科學(xué)合理的設(shè)置來充分利用UNIX和Windows操作系統(tǒng)本身提供的安全機制,彌補操作系統(tǒng)的安全漏洞,利用主機監(jiān)控與保護來增強系統(tǒng)運行的安全性。

4.企業(yè)級安全。企業(yè)級安全建立在計算機網(wǎng)絡(luò)系統(tǒng)上,確保網(wǎng)絡(luò)系統(tǒng)的正常運行,包括網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)的正常運行以及信息存儲和傳輸?shù)陌踩煽?。其主要?nèi)容包括內(nèi)部安全管理、安全審計、病毒防范以及防止外部入侵等。

在計算機網(wǎng)絡(luò)的安全體系中,以上幾個方面并非是獨立的,而是一個整體,互為保障,只有這樣,才能確保計算機網(wǎng)絡(luò)的安全運行。

二、網(wǎng)絡(luò)級安全的設(shè)計

(一)網(wǎng)絡(luò)的拓?fù)浼奥酚山Y(jié)構(gòu)設(shè)計

為保證網(wǎng)絡(luò)系統(tǒng)運行的可靠性和穩(wěn)定性,在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計時,可以將網(wǎng)絡(luò)劃分為3層結(jié)構(gòu),即核心層、匯聚層和接入層。

1.核心層負(fù)責(zé)進行數(shù)據(jù)的快速轉(zhuǎn)發(fā),其網(wǎng)絡(luò)結(jié)構(gòu)重點考慮可靠性和可擴展性,核心層節(jié)點的位置選擇應(yīng)結(jié)合業(yè)務(wù)分布、機房條件和光纖布放情況等綜合考慮,其節(jié)點數(shù)量一般應(yīng)控制在2～4個左右,采用環(huán)狀或網(wǎng)狀連接,核心層設(shè)備建議采用Gb路由交換機。

2.匯聚層負(fù)責(zé)匯集分散的接入點,擴大核心層設(shè)備的端口密度和種類,擴大核心層節(jié)點的業(yè)務(wù)覆蓋范圍,實現(xiàn)接入用戶的可管理性。匯聚層節(jié)點和核心層節(jié)點間采用星型連接,在光纖資源具備的情況下,每個匯聚層節(jié)點最好能夠與兩個核心節(jié)點同時連接。匯聚層設(shè)備可采用3層交換機或中高檔多端口路由器。

3.接入層負(fù)責(zé)提供各種類型用戶的接入,將不同地理分布的用戶快速接入骨干網(wǎng)。接入層節(jié)點可根據(jù)實際環(huán)境中的用戶數(shù)量、距離和密度的不同,設(shè)置一級或二級聯(lián)接入。接入層設(shè)備可采用高端密度二層交換機。當(dāng)前域內(nèi)路由選擇協(xié)議主要有靜態(tài)路由、RIP、OSPF和IGRP等,比較典型的路由選擇協(xié)議是選擇OSPF協(xié)議,核心層路由交換機劃為骨干0域(Area0)、核心層和匯聚層,3層交換機之間分別劃分為Areal,Area2,Area3。由于匯聚層節(jié)點和核心層節(jié)點之間通過兩路以上的光纖相連,而OSPF協(xié)議又支持相同距離上的負(fù)載均衡,因此,這樣做既能提高鏈路的可靠性,又能加快數(shù)據(jù)的轉(zhuǎn)發(fā)速率。

(二)縱向網(wǎng)互通及橫向網(wǎng)邏輯隔離的實現(xiàn)

為了實現(xiàn)計算機網(wǎng)絡(luò)中各單位橫向業(yè)務(wù)之間的邏輯隔離和縱向業(yè)務(wù)的互通,保障業(yè)務(wù)實現(xiàn)的安全性,可采用VLAN+VPN的方式,當(dāng)前業(yè)界比較流行的VPN組網(wǎng)方式是基于MPLS(多協(xié)議標(biāo)簽交換)的VPN。在匯聚層3層交換機以下,各單位之間業(yè)務(wù)通過VLAN進行邏輯隔離,通過匯聚層的3層交換機實現(xiàn)VLAN之間的互通。對于需要實現(xiàn)縱向網(wǎng)業(yè)務(wù)的單位,通過MPLSVPN保障其縱向網(wǎng)的安全性。

(三)網(wǎng)絡(luò)地址轉(zhuǎn)換和包過濾及訪問列表控制

計算機網(wǎng)絡(luò)要實現(xiàn)網(wǎng)上辦公及面向公眾的服務(wù),就必須接入Internet。在Internet出口處設(shè)立千兆防火墻,計算機網(wǎng)絡(luò)內(nèi)部采用Internet保留地址(10.0.0.0/8),根據(jù)實際情況,對計算機網(wǎng)絡(luò)各部門分配IP網(wǎng)絡(luò)地址。對Internet的訪問可通過NAT來實現(xiàn),以隱藏網(wǎng)絡(luò)內(nèi)部拓?fù)浼暗刂方Y(jié)構(gòu),同時通過包過濾及訪問列表控制對不需要對外開放的端口號以及受限訪問的IP地址進行控制。各部門局域網(wǎng)接入Internet時,可自己設(shè)立防火墻,在部門防火墻上,各部門系統(tǒng)管理員通過在部門防火墻上設(shè)立訪問列表及包過濾規(guī)則對本部門局域網(wǎng)進行保護。在匯聚層3層交換機上對一些安全關(guān)鍵部門通過訪問列表限制訪問。

三、應(yīng)用級安全的實現(xiàn)

應(yīng)用級安全主要是針對各個具體的應(yīng)用實現(xiàn)其安全性,主要包括郵件、數(shù)據(jù)庫、OA系統(tǒng)以及FTP和DNS等應(yīng)用的安全。

(一)網(wǎng)絡(luò)存儲備份系統(tǒng)安全

為保障數(shù)據(jù)的安全性及可靠性,計算機網(wǎng)絡(luò)中必須采用適當(dāng)?shù)臄?shù)據(jù)存儲及備份系統(tǒng)。當(dāng)前,網(wǎng)絡(luò)存儲系統(tǒng)主要有3種,即直接存儲(DAS)、網(wǎng)絡(luò)存儲系統(tǒng)(NAS)和存儲區(qū)域網(wǎng)(SAN),其中基于光通道存儲網(wǎng)絡(luò)的SAN可以更好地滿足計算機網(wǎng)絡(luò)對存儲設(shè)備的性能、可用性、可擴展性以及靈活性的要求。對于郵件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、公文流轉(zhuǎn)系統(tǒng)等比較關(guān)鍵系統(tǒng)的數(shù)據(jù)可以采用SAN進行集中存儲,并制定備份策略定期用SAN網(wǎng)絡(luò)所連接的磁帶庫進行增量備份和全備份。

(二)應(yīng)用系統(tǒng)安全

計算機網(wǎng)絡(luò)主要是通過各種應(yīng)用系統(tǒng)來對網(wǎng)絡(luò)用戶提供服務(wù),因此應(yīng)用系統(tǒng)的安全可靠性就顯得非常重要。應(yīng)用系統(tǒng)的安全主要包括授權(quán)、認(rèn)證和加密傳輸。由于涉及的應(yīng)用系統(tǒng)非常多,總體上應(yīng)遵循以下原則:

1.系統(tǒng)之間或系統(tǒng)各模塊之間的通信必須經(jīng)過授權(quán)或認(rèn)證,如對辦公自動化(OA)等系統(tǒng)傳輸數(shù)據(jù)必須進行加密。

2.利用防火墻或TCPWRAPPER等限制應(yīng)用服務(wù)可被訪問的客戶地址段,關(guān)閉不必要開放的端口,降低被攻擊的可能性。

3.加強計算機網(wǎng)絡(luò)信息中心各主機的安全管理,嚴(yán)禁用戶以各種途徑執(zhí)行系統(tǒng)級指令,以避免黑客通過SNIFFER等工具軟件偵聽密碼或其他信息。

4.傳輸中所用的加密算法根據(jù)不同情況選用公開密鑰或私有密鑰算法。為保證傳輸信息不被篡改,還可采用MD5等算法。

5.計算機網(wǎng)絡(luò)內(nèi)部的一些基于WWW的應(yīng)用(如OA系統(tǒng)),其加密協(xié)議可選用SSL,HTTPS或COOKIE機制及DES,MD5算法。

(三)操作系統(tǒng)級安全

計算機網(wǎng)絡(luò)操作系統(tǒng)的安全更多的時候是與操作系統(tǒng)軟件廠家的反應(yīng)速度密切相關(guān),如“沖擊波”病毒的爆發(fā),微軟站點就及時公布了path代碼供用戶下載。另外,計算機網(wǎng)絡(luò)系統(tǒng)管理員自身的素質(zhì)也和操作系統(tǒng)的安全息息相關(guān),系統(tǒng)管理員需要及時了解網(wǎng)上的操作系統(tǒng)安全信息,定期對操作系統(tǒng)進行安全審計檢查,并對操作系統(tǒng)進行及時升級?？偟膩砜?操作系統(tǒng)的安全問題主要存在于以下兩個方面:一是系統(tǒng)安全機制的配置;二是系統(tǒng)本身的漏洞。對操作系統(tǒng)漏洞的發(fā)現(xiàn)及補救可以通過一些廠家的安全漏洞掃描檢測工具來實現(xiàn)。操作系統(tǒng)的安全策略可以從以下幾方面來考慮:

1.通過防火墻或路由器及交換機中的ACL設(shè)計,禁止用戶對沒有必要開放的主機或端口進行訪問。

2.重要主機,如OA以及WWW、郵件服務(wù)器等采用專門的安全軟件,對主機的各項服務(wù)進行動態(tài)監(jiān)測,及時發(fā)現(xiàn)問題并通知管理員。

3.保證服務(wù)器上系統(tǒng)目錄和文件的安全。

4.限制用戶的權(quán)限,使用戶無法獲得系統(tǒng)管理員的口令,防止非法用戶對系統(tǒng)進行破壞。對新用戶開放滿足要求的權(quán)限即可,不必開放所有權(quán)限。

5.經(jīng)常留意用戶從哪里登錄主機系統(tǒng),要檢查其合法性。

6.關(guān)閉服務(wù)器上不需要運行的服務(wù)進程。

7.禁止使用或設(shè)置不經(jīng)授權(quán)即可共享的系統(tǒng)資源,包括硬盤及服務(wù)。

8.加強密碼管理,提醒或強制管理員定期修改密碼,禁止使用安全性不高的密碼。

9.對操作系統(tǒng)及時升級版本和patch,及時堵住安全漏洞。

四、企業(yè)級安全

企業(yè)級安全主要是從設(shè)備安全、安全管理、安全審計、病毒防范以及防止外部侵入等整體上保障計算機網(wǎng)絡(luò)的安全。

(一)設(shè)備安全

定期檢查主機、設(shè)備、UPS等模塊是否正常工作。

(二)防火墻等的安全

防火墻、安全審計系統(tǒng)和入侵檢測系統(tǒng)形成了計算機網(wǎng)絡(luò)安全防范的一個鏈條。首先,入侵檢測系統(tǒng)檢測到一些攻擊行為,通知防火墻阻隔掉這些具有攻擊行為的數(shù)據(jù)包,安全審計系統(tǒng)對這些攻擊行為進行記錄,以便于對攻擊行為進行分析,并使攻擊方對自己的攻擊行為具有不可抵賴性。這里需要特別指出的是對防火墻、安全審計及入侵檢測系統(tǒng)的軟件包需定期升級,以保證其特征庫能得到及時更新。

(三)病毒防范

計算機網(wǎng)絡(luò)中病毒防范也是一個非常關(guān)鍵的問題,針對目前日益增多的計算機病毒和惡意代碼,應(yīng)采取的病毒防范策略如下:一是建立防病毒的規(guī)章制度,嚴(yán)格管理;二是建立防病毒和應(yīng)急體系;三是進行計算機安全教育,提高安全防范意識;四是對服務(wù)器及主機系統(tǒng)進行安全評估;五是選擇經(jīng)公安部認(rèn)證的防病毒產(chǎn)品;六是正確配置、使用防病毒產(chǎn)品;七是正確配置系統(tǒng),減少病毒侵害事件;八是定期檢查敏感文件;九是適時進行安全評估,調(diào)整各種防病毒系統(tǒng)策略;十是建立病毒事故分析制度;十一是確保系統(tǒng)可以快速恢復(fù)以減少損失。在具體實施時,由于計算機網(wǎng)絡(luò)用戶數(shù)量龐大,如所有用戶都購買網(wǎng)絡(luò)防病毒軟件則投資太大,可以優(yōu)先對服務(wù)器進行網(wǎng)絡(luò)防病毒保護,而對個人主機可用單機防病毒軟件進行防護。另外,需調(diào)動各級系統(tǒng)管理員和用戶的積極性,定期對操作系統(tǒng)進行升級,及時發(fā)現(xiàn)感染病毒的主機,清除病毒。

(四)安全管理

計算機網(wǎng)絡(luò)即使采用了最先進的技術(shù)而沒有一個好的安全管理體制,其網(wǎng)絡(luò)也是不安全的。管理是整個網(wǎng)絡(luò)安全中最重要的部分。責(zé)權(quán)不明、管理混亂、安全管理制度不健全以及缺乏可操作性等都可能引起安全管理的風(fēng)險。安全管理不僅是一個技術(shù)上的問題,也涉及組織、制度、人員和意識,是一個多層次、多方面的體系。安全管理主要包括安全管理機構(gòu)、安全管理制度及安全管理技術(shù)三部分,這三個方面相輔相成,缺一不可。

1.安全管理機構(gòu)是安全管理的實施者、安全管理制度的制定者,是整個安全管理體系的組織基礎(chǔ)。

2.安全管理制度是安全管理的規(guī)范和依據(jù),是整個安全管理體系的制度基礎(chǔ)。

3.安全管理技術(shù)是安全管理的技術(shù)手段,是安全管理體系的技術(shù)保障。

實踐表明,安全架構(gòu)計算機網(wǎng)絡(luò),其投資及工作量都非常龐大,需要各級部門的高度重視,采取多種防范措施,保障計算機網(wǎng)絡(luò)的安全。

參考文獻:

[1]李海泉,計算機網(wǎng)絡(luò)安全與加密技術(shù)[M].北京:科學(xué)出版社,2001.

[2]李明之、趙糧著,張侃譯,網(wǎng)絡(luò)安全與數(shù)據(jù)完整性[M].北京:機械工業(yè)出版社,1998.

[3]趙慧玲、葉華,以軟交換為核心的下一代網(wǎng)絡(luò)技術(shù)[M].北京:人民郵電出版社,2002.

[4]李洪、林殿魁、李學(xué)軍,電信級IP信息網(wǎng)絡(luò)的構(gòu)建[M].北京:人民郵電出版社,2002.

[5]陳龍,安全防范系統(tǒng)工程[M].北京:清華大學(xué)出版社,1998.