孫玉秀，翟素娟

SUN Yu-xiu，ZHAI Su-juan

（河北交通職業(yè)技術(shù)學(xué)院，石家莊 050035）

0 引言

企業(yè)局域網(wǎng)的建立，為企業(yè)的資源和信息的共享提供了方便，大大地提升了企業(yè)的管理和決策水平，提高了工作效率。隨著企業(yè)信息化進(jìn)程的推進(jìn)，這些企業(yè)局域網(wǎng)通過各種連接方式連接到因特網(wǎng)，由于TCP/IP協(xié)議的一些缺陷，網(wǎng)絡(luò)系統(tǒng)的缺陷和漏洞，使到網(wǎng)絡(luò)安全成了中小企業(yè)必須重視并加以有效防范的問題[1,2]。本文主要針對上述問題，重點(diǎn)分析了計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)動(dòng)安全策略及系統(tǒng)架構(gòu)相關(guān)問題。

1 系統(tǒng)數(shù)據(jù)的組織和收集方式設(shè)計(jì)

在現(xiàn)有的網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)上，需要多種安全協(xié)議和安全策略的有效配合。在保證現(xiàn)有企業(yè)網(wǎng)絡(luò)中已有的設(shè)備投資中，不同設(shè)備，不同廠商之間的產(chǎn)品進(jìn)行相互協(xié)調(diào)，系統(tǒng)設(shè)計(jì)綜合安全與效率方面，主要使用以下數(shù)據(jù)組織和收集方式[3,4]：

1）作為互聯(lián)網(wǎng)的主要管理模型

SNMP可以提供一種訪問不同廠商的網(wǎng)絡(luò)設(shè)備的標(biāo)準(zhǔn)方法，具有簡單、實(shí)用、傳送處理效率高等優(yōu)點(diǎn)?？毓苤行耐ㄟ^定時(shí)輪詢程序收集已有的部署在各網(wǎng)絡(luò)工作交換機(jī)，服務(wù)器中的Agent提供的可收集信息。

在交換機(jī)與控管中心使用SNMP協(xié)議。目前SNMP主要包括三個(gè)版本：SNMPvl，SNMPv2以及最新的SNMPv3。相對而言，SNMPv3增加、完善了安全和管理機(jī)制，其主要特點(diǎn)在于適應(yīng)性強(qiáng)，可適用于多種操作環(huán)境，能滿足復(fù)雜網(wǎng)絡(luò)的管理需求。使用時(shí)，應(yīng)對效率與安全進(jìn)行綜合考慮，在不同的安全區(qū)域，靈活采用相應(yīng)的SNMP版本。兼顧考慮網(wǎng)絡(luò)設(shè)備的兼容性，大部分采用SNMPv2，保證通信的安全。例如，管理數(shù)據(jù)流經(jīng)過不安全可信區(qū)域時(shí)，可考慮使用SNMPv3進(jìn)行管理，并且最好采用分布式管理，將管理負(fù)荷由多臺網(wǎng)管工作站共同負(fù)擔(dān)，網(wǎng)絡(luò)管理才能正常有效地運(yùn)行下去。

2）基于XML的通用數(shù)據(jù)格式

控管中心與網(wǎng)絡(luò)防火墻，網(wǎng)絡(luò)防毒系統(tǒng)的交互通信，采用XML的通用數(shù)據(jù)格式安全策略中心與IDS的信息交互格式，將參照IDWG提出的入侵檢測消息交換格式（DMED和基于XML格式的實(shí)現(xiàn)（IDWG）提出的IDMEF使得各種網(wǎng)絡(luò)安全產(chǎn)品之問的通信成為可能。IDMEF定義了面向?qū)ο蟮目蓴U(kuò)展的數(shù)據(jù)模型；而且基于XML的IDMEF的實(shí)現(xiàn)消除了由于內(nèi)容和形式導(dǎo)致的語義理解差異，可以從多個(gè)不同的層次描述入侵事件。擴(kuò)展標(biāo)記語言XML是一種簡單的數(shù)據(jù)存儲語言，使用一系列簡單的標(biāo)記描述數(shù)據(jù)，而這些標(biāo)記可以用方便的方式建立，XML的簡單使其易于在任何應(yīng)用程序中讀寫數(shù)據(jù)，這使XML很快成為數(shù)據(jù)交換的唯一公共語言，在異構(gòu)系統(tǒng)中數(shù)據(jù)交換最方便的途徑，在現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)中，需要控管中心收集網(wǎng)絡(luò)防火墻，網(wǎng)絡(luò)防毒軟件輸出的數(shù)據(jù)，運(yùn)用XML數(shù)據(jù)格式的成本最少，對現(xiàn)有系統(tǒng)影響最小。

3）傳輸使用SSL協(xié)議

安全套接層協(xié)議（SSL）是在Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議．它能使客戶，服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對服務(wù)器進(jìn)行認(rèn)證，還可選擇對客戶進(jìn)行認(rèn)證。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議（例如：TCP）之上SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的。高層的應(yīng)用層協(xié)議（例如：HTTP，F(xiàn)TP，TELNET……）能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的私密性。

通過以上敘述，SSL協(xié)議提供的安全信道有以下三個(gè)特性：1）私密性。因?yàn)樵谖帐謪f(xié)議定義了會(huì)話密鑰后，所有的消息都被加密。2）確認(rèn)性。因?yàn)楸M管會(huì)話的客戶端認(rèn)證是可選的，但是服務(wù)器端始終是被認(rèn)證的。3）可靠性。因?yàn)閭魉偷南ㄏ⑼暾詸z查（使用MAC）。

2 系統(tǒng)架構(gòu)設(shè)計(jì)

數(shù)據(jù)引擎負(fù)責(zé)收集入侵檢測的數(shù)據(jù)，網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防毒系統(tǒng)的日志和數(shù)據(jù)。轉(zhuǎn)換成統(tǒng)一數(shù)據(jù)格式，記錄所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，為其他功能提供原始的數(shù)據(jù)材料。并生成日志記錄，及時(shí)備份記錄，保證在事后取證調(diào)查。系統(tǒng)防御機(jī)制的實(shí)現(xiàn)是由數(shù)據(jù)分析，檢測策略規(guī)則，識別不同的入侵行為，判斷對網(wǎng)絡(luò)不同的危害程度，采取不同的防御手段。

系統(tǒng)核心為部署在不同級別上的防御控管中心，收集來自于本級別上的網(wǎng)絡(luò)接入交換機(jī)中各主楓的網(wǎng)絡(luò)防毒軟件的客戶端報(bào)告和接入交換機(jī)的流量信息，在數(shù)據(jù)分析中綜合處理分析，運(yùn)用策略評判系統(tǒng)，做出防御控制命令，嚴(yán)格對本級別中的主機(jī)的入侵危害進(jìn)行監(jiān)控，在發(fā)生嚴(yán)重的網(wǎng)絡(luò)危害爆發(fā)時(shí)及時(shí)從本級別的交換機(jī)解決處理，實(shí)現(xiàn)分區(qū)域分管網(wǎng)絡(luò)的目的，自動(dòng)將網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)安全系統(tǒng)之間有效地聯(lián)動(dòng)起來，自動(dòng)監(jiān)控網(wǎng)絡(luò)的危害爆發(fā)，將網(wǎng)絡(luò)分而治之，即使網(wǎng)絡(luò)發(fā)生嚴(yán)重的入侵，病毒危害發(fā)生，也將網(wǎng)絡(luò)有效的隔離，將影響和損失減少到最低的程度。

根據(jù)以上要求，設(shè)計(jì)的系統(tǒng)分析如下。本系統(tǒng)采用了三級安全防御體系。端接在匯接交換機(jī)上的主機(jī)上的網(wǎng)絡(luò)防毒客戶端收集主機(jī)的信息，它帶有主機(jī)入侵檢測系統(tǒng)構(gòu)成一道最低級安全防御體系。該級別的防御體系主要保護(hù)對象是用戶主機(jī)資源和檢測網(wǎng)絡(luò)的末端接入設(shè)備。端接在核心交換機(jī)上的安全控管中心與各級網(wǎng)絡(luò)接入級交換機(jī)成的核心安全防御體系．該級安全防御體系既要抵御來自外部網(wǎng)絡(luò)的入侵和攻擊，又抵御來自內(nèi)網(wǎng)的攻擊。本系統(tǒng)核心就是讓交換機(jī)的端口在系統(tǒng)核心的安全控管中心的指揮下成為一道安全的防御出入口，解決在中間層中安全的薄弱問題。網(wǎng)絡(luò)交換機(jī)不同的端口位置相對應(yīng)在網(wǎng)絡(luò)的位置是不盡相同的，通過聯(lián)防控管中心的識別和策略評判對不同位置的網(wǎng)絡(luò)交換機(jī)端口的控制，達(dá)到中斷入侵危害網(wǎng)絡(luò)的網(wǎng)絡(luò)行為。最外層的是控管中心監(jiān)控聯(lián)動(dòng)的網(wǎng)絡(luò)防火墻。對于來自外網(wǎng)的入侵和攻擊，要想成功攻擊企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)中心的應(yīng)用服務(wù)器，必須攻破三層安全防御體系。對于來自內(nèi)網(wǎng)的入侵和攻擊，要想成功攻擊企業(yè)網(wǎng)絡(luò)中心的應(yīng)用服務(wù)器，則必須攻破二層安全防御體系，從而實(shí)現(xiàn)網(wǎng)絡(luò)聯(lián)動(dòng)防御。

3 網(wǎng)絡(luò)聯(lián)防的網(wǎng)絡(luò)設(shè)備和系統(tǒng)功能

為了更好理解上述分析，這里以網(wǎng)絡(luò)聯(lián)防的網(wǎng)絡(luò)設(shè)備和系統(tǒng)功能為例進(jìn)行說明分析。

3.1 網(wǎng)絡(luò)邊界防火墻

本次項(xiàng)目所采用訪火墻為現(xiàn)有的Fortigate 400與Fortigate 50，將通過冗余方式進(jìn)行高可用設(shè)計(jì)，防火墻的綜合安全性能要滿足千兆交換要求，無需工作模式切換就能同時(shí)實(shí)現(xiàn)在透明模式和路由模式下的全部功能，包括雙鏈路冗余、多層訪問控制、多種安全管理方式、信息內(nèi)容過濾、網(wǎng)絡(luò)入侵檢測、日志審計(jì)系統(tǒng)等多種安全策略下的綜合應(yīng)用。在集防黑、防毒、防黃等安全功能為一身的同時(shí)，在網(wǎng)絡(luò)性能上依然表現(xiàn)出色，其吞吐量、最大并發(fā)連接數(shù)、時(shí)延等性能指標(biāo)均應(yīng)滿足相關(guān)性能要求。同時(shí)還需提供集中式安全管理，可以用統(tǒng)一的策略和集成的平臺對受控網(wǎng)絡(luò)進(jìn)行安全配置和管理。本項(xiàng)目中網(wǎng)絡(luò)防御系統(tǒng)控管中心通過sN^lP協(xié)議與Fortigate進(jìn)行相互通信，收集fortigate日志，異常發(fā)生的數(shù)據(jù)，策略命令對fortigate添加修改防火墻策略。Fortigate在網(wǎng)絡(luò)防御系統(tǒng)中擔(dān)當(dāng)企業(yè)內(nèi)外重要的關(guān)口，具有重大的安全意義和影響。

3.2 網(wǎng)絡(luò)防毒軟件

項(xiàng)目中采用已有得網(wǎng)絡(luò)防毒軟件體系，趨勢科技的OfficeScan的網(wǎng)絡(luò)版防毒系統(tǒng)軟件，針對企業(yè)網(wǎng)絡(luò)上的桌面PC和服務(wù)器的綜合性信息安全解決方案趨勢科技防毒墻網(wǎng)絡(luò)版OfficeScan是一套集成了多種安全功能的綜合性信息安全管理系統(tǒng)，能夠全面保護(hù)企業(yè)網(wǎng)絡(luò)免受病毒、特洛伊木馬、蠕蟲、網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)病毒、間諜軟件及混合攻擊的威脅。

該解決方案同時(shí)支持網(wǎng)絡(luò)準(zhǔn)入控制方案一'NAC（Network Admission Control），為企業(yè)提供了一個(gè)在Cisco自防御網(wǎng)絡(luò)環(huán)境中實(shí)施安全政策的最有效方法。如果網(wǎng)絡(luò)中沒有支持NAC功能的設(shè)備，也同樣可以利用趨勢科技的網(wǎng)絡(luò)防毒墻NVW（Network Virus Wall）實(shí)施同樣的企業(yè)信息安全策略。

企業(yè)可以同時(shí)選擇部署趨勢科技的爆發(fā)預(yù)防服務(wù)（OPS—Outbreak Prevention Services），該服務(wù)可以在高危病毒出現(xiàn)，而對應(yīng)的病毒特征碼尚未發(fā)布之前，為企業(yè)提供額外的控制能力，在保證業(yè)務(wù)系統(tǒng)繼續(xù)運(yùn)行的阿時(shí)，預(yù)防或阻止病毒疫情的蔓延。憑借趨勢科技的損害清除服務(wù)（DCS-Damage Cleanup Services），則可以集中部署、升級針對高危病毒的專殺工具，幫助管理員高效率地清除網(wǎng)絡(luò)上的病毒殘余、問諜軟件及其它惡意程序。在項(xiàng)目中，我們也要利用所部署的網(wǎng)絡(luò)版防毒軟件作為客戶端的安全防御體系的一部分作為防御內(nèi)部網(wǎng)絡(luò)威脅的部分。在本項(xiàng)目中網(wǎng)絡(luò)防毒體系在網(wǎng)絡(luò)防御系統(tǒng)中處在網(wǎng)絡(luò)最邊緣，與用戶的接觸最為密切，防毒軟件的功能的發(fā)揮直接影響到用戶的正常使用，同時(shí)擔(dān)負(fù)能否有效清除來自最內(nèi)部的網(wǎng)絡(luò)威脅。

4 結(jié)束語

網(wǎng)絡(luò)安全問題日益嚴(yán)重，給網(wǎng)絡(luò)和信息系統(tǒng)帶來了嚴(yán)重威脅。究其原因，主要是網(wǎng)絡(luò)攻擊技術(shù)不斷發(fā)展變化，并呈現(xiàn)出一些新的特點(diǎn)，而原有的安全解決方案不能迅速地適應(yīng)這些新特點(diǎn)，導(dǎo)致網(wǎng)絡(luò)的安全保障技術(shù)相對落后于網(wǎng)絡(luò)攻擊技術(shù)，從而出現(xiàn)防不勝防的尷尬局面。本文結(jié)合實(shí)際網(wǎng)絡(luò)安全項(xiàng)目建設(shè)，構(gòu)建一個(gè)與現(xiàn)有的網(wǎng)絡(luò)設(shè)備，安全產(chǎn)品聯(lián)動(dòng)的防御系統(tǒng)，在實(shí)際的應(yīng)用中取得相關(guān)的項(xiàng)目經(jīng)驗(yàn)和使用效果是有意義的嘗試。

[1]高虹,王志國.企業(yè)網(wǎng)絡(luò)安全問題分析及應(yīng)對措施[J].科技信息,2008,（23）.

[2]張海燕.企業(yè)網(wǎng)絡(luò)安全與發(fā)展趨勢[J].煤炭技術(shù),2005,24（8）.

[3]魯海龍,劉淑芬,吳瑤睿,等.企業(yè)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].微計(jì)算機(jī)信息,2009,25（12）.

[4]章曉萌.淺談防火墻技術(shù)與企業(yè)網(wǎng)絡(luò)安全的解決方案[J].中國科技博覽,2009,12.