网络安全设计

7．2．6　网络安全设计

1）系统风险分析

影响本次建设平台安全的隐患主要包括：

（1）病毒的威胁

网络是病毒传播的最好、最快的途径之一，病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径进入内部网。病毒的传播途径如此众多，传播速度如此之快，因此，危害是不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。

应对此类风险应该采取对内、对外两手措施，对外加装防病毒软件，利用防病毒软件、防火墙层层防护，将病毒阻拦在系统之外，不得其门而入。对内因该加强服务器管理和人员管理，防止病毒被带入主机。

（2）黑客入侵

由于黑客技术不受限制的在网上散播以及人们网络安全防范意识的淡薄，我们有必要去考虑是否可能遭到黑客的攻击。可以说黑客们是无孔不入的，他们采用的手段包括社会调查法、网络扫描、网络窃听、DOS攻击、木马攻击等。网络中有无法估量的信息资产，一旦遭到黑客攻击，后果可能是用户数据丢失、系统崩溃、系统瘫痪、生产停顿等，是任何人都难以承担的。应付黑客攻击同样是对外加强网络管理、系统管理，对内加强人员设备管理。同时还要注意及时地进行系统漏洞的修复。

（3）内部安全

根据调查，在已有的网络安全攻击事件中，约70%是来自内部网络。如内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；内部员工编写破坏程序在内部网上传播；内部人员通过各种方式盗取他人涉密信息传播出去，如此种种都将对网络安全构成很大的威胁。因此，采用有效手段来监测和防范来源于内部的风险就显得特别重要。

（4）硬件故障风险

软件系统必然是构建在硬件平台上，也就不可避免地会遇到各类硬件故障，此外各类不可抗力，例如机房发生火灾、水灾、恐怖事件，也会对系统产生严重的影响。如何在灾害发生时将风险降至最低，必须依靠合理的安全考虑。在系统中从两方面实行保障，一是主机/备机方案，可以在运行设备故障时采用备机尽快使系统恢复运行，二是采用合适的数据库备份方案，保证数据不至于大规模丢失。

2）安全解决方案

（1）员工账户安全方案

为了加强用户账户的安全性，防止黑客后门程序盗取用户账户密码，可采用以下方式保证用户账户的安全。

用户账户密码加密存储。加密算法采用MD5、SH1或者其他HASH加密算法，加密算法单向不可逆，即使黑客得到用户的密码也不能破解密码。

严格按照萨班斯法案的要求，在用户注册的时候，系统提示用户密码必须按最高密码强度设置，系统每3个月提示用户修改账户密码。采用动态键盘、ACTIVEX密码控件的方式防止黑客程序截取用户的键盘输入。服务器端的账户登录系统，会自动判断密码暴力破解情况，一旦发现，系统会自动屏蔽该IP地址或者锁定账户。

（2）应用系统安全方案

应用系统安全主要解决数据安全性问题，也就是数据的安全传输、完整性检测、数据的安全存储、数据访问安全、安全认证等内容。具体来说采用以下方法实现数据安全策略。

①数据传输安全策略

在报文的传输中加密敏感性数据，保证信息传输的隐秘性。

②数据访问安全控制策略

根据数据的敏感程度，分为普通信息、敏感信息两类。普通信息及敏感信息都必须配置相应的数据库访问策略，并进行审计跟踪处理。对这些数据都进行备份处理，访问敏感数据必须通过安全认证。

③数据存储安全策略

敏感数据不能以明文方式存放在数据库中，应加密以密文方式存放。

④数据传输完整性检测

通过数字签名技术来保证传输的完整性。

⑤数据传输的安全认证和不可否认性

通过SSL建立来实现用户的身份认证；通过数字签名技术来保证交易的来源认证和不可否认性。使用防火墙、综合接入平台和存储设备共同保障应用系统安全。

（3）安全访问控制方案

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问，它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面分述各种访问控制策略。

①入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中，只要任何一关未过，该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。

用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合。用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密、基于测试模式的口令加密、基于公钥加密方案的口令加密、基于平方剩余的口令加密、基于多项式共享的口令加密、基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令；也可用便携式验证器（如智能卡）来验证用户的身份。用户可以修改自己的口令，但系统管理员应该可以进行口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

②网络权限控制

网络的权限控制是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以限定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

③目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步被指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。用户对文件或目标的有效权限取决于以下三个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

④属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应于一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派的有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、修改、显示等。

⑤网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

⑥网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问。对非法的网络访问，服务器应以图形、文字或声音等形式报警，以引起网络管理员的注意。如果非法入侵者，网络服务器应自动记录企图进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。

防火墙、综合接入平台、服务器以及存储设备均能保证安全访问控制能力。

（4）运行安全方案

任何系统的安全，归根结底是落实到系统运行过程中对人员的安全管理和安全制度的执行。运行安全方案是指系统运行维护方面的安全管理规范、人员管理安全机制和安全审计管理。

①制定安全管理规范

安全管理部门应根据管理原则和各部门具体情况，制订相应的管理制度或采用相应的规范。具体工作有：

A．根据工作的重要程度，确定该系统的安全需求。

B．根据确定的安全需求，确定安全管理的范围。

C．制订相应的机房出入管理制度。对于安全要求较高的系统，实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。具体实现方式请见机房设计部分。

D．制订严格的操作规程

操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。E．制订完备的系统维护制度

对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。

F．制订应急措施

要制订系统在紧急情况下的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。

②人员管理安全机制

在以下活动中，需要规范的人员管理机制来保障系统的信息安全：访问控制证件的发放与回收；信息处理系统使用的媒介的发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等。

③安全审计管理

安全审计管理包括操作系统安全审计、数据库访问审计跟踪、应用系统操作员行为安全审计、防火墙安全审计。